xxxx（天津）有限公司xxxx工业（天津）有限公司IT审计报告(Forthe periodfrom 01, Nov, 2009 to 31, May, 2010)Preparedby: Internal IT AuditorInternal Audit Dept., XXXX Group目     录第一部分  审计背景第二部分  IT应用控制审计审计发现一     采购业务系统操作与实物操作不一致审计发现二      SAP工程物料管理方案无法满足管控需求审计发现三     SAP系统存在一人多账号的情况审计发现四     生产管理的主数据维护流程不完整审计发现五     SAP系统中存在没有经过测试、审批的程序审计发现六     产品配方的访问控制缺失审计发现七     产品配方的变更管理缺失审计发现八     客户计入价格程序存在访问控制的漏洞审计发现九     信贷、货款管理的系统授权违反职责分离原则审计发现十     SAP系统提单程序（事务代码VL03N）错误审计发现十一   系统中存在大量没关闭的不再执行的合同审计发现十二   系统中存在长期不执行的贸易合同第三部分  IT一般控制审计审计发现十三   企业购置电脑违反集团采购制度审计发现十四   新员工入职缺少IT方面的培训审计发现十五   机房缺少火灾报警系统审计发现十六   机房访问控制不严格审计发现十七   机房存在水灾隐患审计发现十八   机房短期供电设备损坏审计发现十九   企业缺少对外来人员接入集团网络的控制审计发现二十   网络设备缺乏访问控制策略审计发现二十一  主要服务器缺少身份鉴别策略审计发现二十二  地磅系统主机存在安全隐患审计发现二十三  主要服务器缺少身份鉴别失败处理策略审计发现二十四  主要服务器缺少审计策略重要审计发现摘要序号审计摘要页码1审计发现：采购业务及后续收货、成本核算等系统操作与实物操作不一致：部分采购申请填写较随意，申请的物料并非真实需要采购的物料，单据的备注里注明的才是需要申请的物料。按照此采购申请生成的采购订单以及后续的收货、成本核算均与实物不一致。风险：1)   导致实际库存与系统库存的差异。2)   导致相关物料成本不准确。52审计发现：工程物料管理方案不能满足管控需求，采购、入库、领用、成本核算等环节不能管理物料明细：1)   采购订单（PD类）不能记录物料数量和明细种类，采购人员只能够在系统外手工处理采购合同。2)   采购订单收货时，由于没有物料明细，仓库需要在系统外手工记录收货情况；工程领用时，仓库人员同样需要手工记录领用状况。系统无法反映详细的入库量和出库量。3)        由于此部分物料默认是计入工程成本或费用的，在没有完全耗用的情况下，无法将剩余的工程物料转化为普通物料，因此无法在系统中准确核算工程项目耗用量。风险：1)   系统外的手工管理增加了出错和舞弊的风险，可能会导致资产损失。2)   手工管理效率低下，增加了管理成本。3)   可能导致工程项目的成本或费用虚高。73审计发现：SAP系统存在一人多账号的情况。xxxx（天津）有限公司和xxxx工业（天津）有限公司共有108位员工使用SAP系统，但是创建了156个SAP账号，有48人因同时处理两个工厂的业务而在各工厂分别创建了SAP账号，一年因此而多出来的维护费用为28.8万元。风险：1)   SAP账号数是收取软件授权费用和服务费用的依据，一人拥有多个SAP账号，会增加系统运营成本，造成浪费。2)   一人拥有多个SAP账号，不利于权限的管理，可能会造成访问控制方面的漏洞。94审计发现：存在直接在正式系统中创建的变式类程序，此类程序没有经过开发系统、测试系统的测试、审批，如创建物料清单的变式程序ZCS01。在正式系统中有大量人员拥有维护变式（事务代码SHD0）的权限。风险：未经测试、审批而直接在正式系统中创建变式，可能会影响某一程序的正常使用，并且这种影响可能会是全局性的。125审计发现： SAP中产品配方（物料清单）的查看权限未作严格控制，大量与产品配方无关的人员均可查看。风险：目前国家尚未出台调和油的标准来要求食用油行业强制执行，各企业的调油配方属于企业机密，各不相同。在这种情况下，配方先被曝光的企业会处于被动的地位，例如：如果调油配方被竞争对手掌握，竞争对手则可以据此来推算我司各类调和油的成本，进而可以在价格策略上掌握主动。136审计发现：产品配方（物料清单）的变更管理流程没有启用。产品变更需要由品管部门提出申请，并经部门领导审批后交给生产部门，生产部门按照审批后的内容在系统中录入变更管理号（事务代码CC01）后再修改BOM。目前没有通过变更管理号来记录。风险：没有启用变更管理流程会导致系统中无法查询配方的变更记录，不便于追溯变更的准确性和及时性。147审计发现：1)   客户计入价格程序（事务代码ZSD509）包含查看、申请、审核计入价格的功能，但是系统缺少对申请计入价格功能的权限控制，所有拥有此事务代码的员工均能够申请计入价格。2)   存在违反职责分离，财务人员自己申请客户计入价格，自己审批的情况。计入价格应由贸易内勤提出申请，由财务审批。3)   此程序的授权没有遵循最小授权原则，大量SAP用户有此权限，与销售价格无关的储运部门也有此权限。风险：1)   价格的申请和审核由同一人进行处理，会增加舞弊的风险。2)   程序对于权限控制的漏洞，以及不正确的授权会影响价格数据的准确性以及保密性。158审计发现： SAP系统提单程序（事务代码VL03N）存在错误，当提单项目物料分不同批次时，“未清数量”和“毛重”计算错误。风险：交货提单程序逻辑错误，会导致相关报表取数错误。199审计发现：违反集团下发的《IT资产采购程序》，按程序规定台式电脑应采购惠普公司产品，笔记本电脑采购富士通公司产品。审计发现存在购买其他品牌电脑的情况。风险：集团的采购制度是出于成本、质量、企业形象的综合考虑，违反此制度可能会在这些方面有所欠缺。2210审计发现：机房缺少自动检测火情、自动报警系统。风险：机房缺少必要的火情检测或报警设备，无法有效的预防和控制火灾。2411审计发现：机房中水暖气管道与服务器间隔较近，没有排水设计，暖气曾经有过泄漏喷水，且有些服务器放置于离暖气距离较近的地面。风险：服务器可能会因水管泄露进水而被损坏。2612审计发现：地磅系统主机存在以下安全漏洞：1)   主机机箱未进行物理加锁。2)   主机未限制软件的安装、使用和外网的访问，在主机中发现有网络游戏的软件。风险：1)   地磅作为重要的主机，物理访问控制和逻辑访问控制的缺失，可能会被人利用更改其软硬件用于舞弊。2)   未限制访问外网，会增加感染病毒的风险，可能导致系统无法正常使用而延误收发货31第一部分  审计背景xxxx（天津）有限公司成立于2002年，主要产品包括散油、小包装油、中包装油以及起酥油、人造奶油等特种油脂，2009年公司主营业务收入达52.67亿元。SAP系统于08年8月上线，09年11月份优化完成。xxxx工业（天津）有限公司成立于2004年，主要产品包括甘油、皂粒等油脂化工产品，2009年公司主营业务收入达2.39亿元。SAP系统于08年11月上线，09年11月份优化完成。公司总经理：公司财务经理：第二部分  IT应用控制审计审计发现一      采购业务系统操作与实物操作不一致采购业务及后续收货、成本核算等系统操作与实物操作不一致：部分采购申请填写较随意，申请的物料并非真实需要采购的物料，单据的备注里注明的才是需要申请的物料。按照此采购申请生成的采购订单以及后续的收货、成本核算均与实物不一致。例如：申领人采购申请物料编码物料描述项目文本5610000561076.301.401圆钢板 ss304 152*15mm因此物料号是按平米维护，所买圆钢板计算出来仅0.019平米，系统不能维护，故请按下面的尺寸来买，即要直径为152mm，厚度为15mm，材质为ss304的圆钢板两件。5610000438079.051.092法兰手柄式碳钢碟阀DN200PN16由于没有物料号，要求购买DN300的碟阀5610000561076.103.005扁钢 SS304 1600*40*8mm因为系统原因，请以下面尺寸来买，即：买长：宽：厚为1600：40：8单位为：mm  材质ss304的扁钢2件5610000226046.509.004壁挂式洗眼器移动单口洗眼器风险1)   导致实际库存与系统库存的差异。2)   导致相关物料成本不准确。建议在集团范围内建立有关物料编码管理、采购申请等流程的规范，例如：1)   制定规范，确定必须进行编码管理的物料种类，以及因何种原因目前无法进行编码管理物料种类。2)   采购申请部门应按照物料编码管理规范进行操作，及时提交物料新增或变更申请到SAP物料维护部门。3)   采购申请的审批环节或是在采购部门接到填写不规范的采购申请时，应当有权利拒收，而不应让此类错误的单据继续流转下去。管理层意见改进措施、时间及负责人审计发现二      工程物料管理方案无法满足管控需求工程物料管理方案不能满足管控需求，采购、入库、领用、成本核算等环节不能管理物料明细：1)   采购订单（PD类）不能记录物料数量和明细种类，采购人员只能够在系统外手工处理采购合同。2)   采购订单收货时，由于没有物料明细，仓库需要在系统外手工记录详细的收货情况；工程领用时，仓库人员同样需要手工记录领用状况。系统无法反映详细的入库量和出库量。3)       由于此部分物料默认是计入工程成本或费用的，在没有完全耗用的情况下，无法将剩余的工程物料转化为普通物料，因此无法在系统中准确核算工程项目耗用量。例如，系统采购订单号：5630000988，实际的采购需求是一批不同种类的截止阀，系统中只能记录为“油化罐区阀门一批（见合同明细表）”，系统限定数量“1.000/PU”不可修改：物料编码物料描述数量/单位油化罐区阀门一批（见合同明细表）1.000/PU实际的物料需求包含不同数量的多种阀门（手工明细账）：序号名称压力材质连接方式通径数量介质单价金额1截止阀PN16B10焊接DN403蒸汽44013202截止阀PN16B10焊接DN2511蒸汽24026403截止阀PN40B10焊接DN1514蒸汽18025202009年12月-2010年5月，此类物资的采购订单总金额已达500多万人民币（如下表），系统中没有明细的种类、数量、金额和详细的入库量、工程耗用量。采购凭证物料描述供货厂商订单含税总价币种5630000988油化罐区阀门一批（详见合同）天津詹姆斯伯雷阀门有限公司CNY5630000996启动开关阀一批BC VALTAC PTE LTDUSD5630001020wta波纹管截止阀一批翘高国际发展有限公司USD5630001030流量计传感器一批天津海纳通达科技有限公司CNY5630001044氢化阀门一批天津詹姆斯伯雷阀门有限公司CNY5630001091电缆一批（详见合同20100303）宝胜科技创新股份有限公司CNY5630001092电缆一批（详见合同201003002）安徽天康（集团）股份有限公司CNY5630001093电缆一批（详见合同201003002）安徽天康（集团）股份有限公司CNY5630001096B+L计量泵备件一批HIE TECHNOLOGY CORP.USD5630001180进口催化剂一批吉林市卓威经贸有限公司CNY5630001182氢气压缩循环机备件-国外部分一批CAMETECH.CO.LTDEUR5630001262天然气压缩机备件一批北京欣彼艾通用机械有限公司CNY5630001283高压泵备件一批Jebsen & Co.,LtdEUR5630001287氢化阀门一批天津詹姆斯伯雷阀门有限公司CNY风险1)   系统外的手工管理增加了出错和舞弊的风险，可能会导致资产损失。2)   手工管理效率低下，增加了管理成本。3)   可能导致工程项目的成本或费用虚高。建议1)   SAP需要修改程序，使PD类订单能够反映物料明细。2)   业务管理方需要对各类工程物料的管理进行规范，包括是否需要进行编码管理，所适用的采购流程、库存管理流程和成本核算流程等。管理层意见改进措施、时间及负责人审计发现三      SAP系统存在一人多账号的情况SAP系统存在一人多账号的情况。xxxx（天津）有限公司和xxxx工业（天津）有限公司共有108位员工使用SAP系统，但是创建了156个SAP账号，有48人因同时处理两个工厂的业务而在各工厂分别创建了SAP账号，一年因此而多出来的维护费用为28.8万元。多账号情况举例如下：姓名SAP账号TJ-XUEZZ    TL-XUEZZTJ-ZOUY     TL-ZOUYTL-ZHANGHW  TJ-ZHANGHWTJ-WEIJJ    TL-WEIJJTJ-WANGJ    TL-WANGJTJ-CUIXY    TL-WANGJ风险1)   SAP账号数是收取软件授权费用和服务费用的依据，一人拥有多个SAP账号，会增加系统运营成本，造成浪费。2)   一人拥有多个SAP账号，不利于权限的管理，可能会造成访问控制方面的漏洞。建议严格按照一个用户对应一个SAP账户的规则创建系统账户。管理层意见改进措施、时间及负责人审计发现四      生产管理的主数据维护流程不完整SAP系统优化项目确定的流程：工作中心、工艺路线等主数据应由SAP支持部门统一维护。但是天津xxxx以及其他各工厂均有多人拥有维护此类数据的权限，此类数据的维护大部分都是由工厂用户自己完成。例如：天津xxxx拥有工作中心、工艺路线维护权限的员工：SAP账号姓名部门TJ-SONGWJ包装部TJ-YUL生产部TL-LIQ生产部TL-QIW物流管理部TL-WANGTT生产部TL-ZHANGC生产部部分主数据维护记录：SAP账号所在公司操作内容操作日期JM-ZHANGLL佳木斯食品CA01创建工艺路线2010.01.04GF-DINGQY金海食品CA01创建工艺路线2010.01.06GF-DINGQY金海食品CA01创建工艺路线2010.01.06GF-DINGQY金海食品CA01创建工艺路线2010.01.06SZ-YANGB石家庄粮油CA01创建工艺路线2010.01.07DG-PENGXF东莞粮油CA01创建工艺路线2010.01.11TJ-SONGWJ天津xxxxCA01创建工艺路线2010.01.11TJ-SONGWJ天津xxxxCA01创建工艺路线2010.01.11TL-ZHOUYH天津xxxxCR02修改工作中心2009.12.21风险主数据维护流程不清晰，会影响工作效率，以及数据的准确性。建议梳理流程，收回不必要的授权，确保数据维护的唯一入口。管理层意见改进措施、时间及负责人审计发现五      SAP系统中存在没有经过测试、审批的程序存在直接在正式系统中创建的变式类程序，此类程序没有经过开发系统、测试系统的测试、审批，如创建物料清单的变式程序ZCS01。在正式系统中有大量人员拥有维护变式（事务代码SHD0）的权限：SAP账号姓名部门ABAP-WANGSHWCS技术开发部ABAP-YUESCWCS技术开发部AUDIT-WANGJ集团内审部BC-BAIYRWCS支持部门BC-CHENSWWCS运维支持部BC-FANWWCS运维支持部BC-WENQWCS运维支持部BC-YAOBWCS运维支持部BW-LIUQFWCS技术开发部风险未经测试、审批而直接在正式系统中创建变式，可能会影响某些程序的正常使用，并且这种影响可能会是全局性的。建议1)   变式的创建、维护必须在开发系统中进行，并在测试系统中测试通过，经审批后上传到正式系统。2)   收回正式系统中所有的变式维护（事务代码SHD0）的权限，检查是否有类似的可能导致系统变更失控的权限存在。管理层意见改进措施、时间及负责人审计发现六      产品配方的访问控制缺失SAP中产品配方（物料清单）的查看权限未作严格控制，大量与产品配方无关的人员均可查看。例如，共有800多SAP账号可以查看配方数据，天津xxxx有如下人员有查看权限：SAP账号姓名部门TJ-CHENLX储运TJ-KONGR储运TJ-LIHS储运TJ-LIYUE储运TJ-LUOWQ财务TJ-WEILB储运TJ-XIANGLH储运TJ-ZHANGH储运TJ-ZHANGXB工程TL-BUXW储运风险目前国家尚未出台调和油的标准来要求食用油行业强制执行，各企业的调油配方仍属商业机密，各不相同。在这种情况下，配方先被曝光的企业会处于被动的地位，例如：如果调油配方被竞争对手掌握，竞争对手则可以据此来推算我司各类调和油的成本，进而可以在价格策略上掌握主动。建议按照最小授权原则，清理SAP中的产品配方查看权限。管理层意见改进措施、时间及负责人审计发现七      产品配方的变更管理缺失产品配方（物料清单）的变更管理流程没有启用。产品配方的变更需要由品管部门提出申请，并经部门领导审批后交给生产部门，生产部门按照审批后的内容在系统中录入变更管理号（事务代码CC01）后再修改BOM。风险没有启用变更管理流程会导致系统中无法查询配方的变更记录，不便于追溯变更的准确性和及时性。建议SAP中启用产品配方的变更管理流程，设置变更管理号为必输项。管理层意见改进措施、时间及负责人审计发现八      客户计入价格程序存在访问控制的漏洞1)   客户计入价格程序（事务代码ZSD509）包含查看、申请、审核计入价格的功能，但是程序缺少对申请计入价格功能的权限控制，所有拥有此事务代码的员工均能够申请计入价格。2)   存在违反职责分离，财务人员自己申请客户计入价格，自己审批的情况。计入价格应用贸易内勤提出申请，由财务审批。例如：客户金额原因申请人申请日期审批人审批日期12101620临促工资2010.05.052010.05.0512101622计入价格冲红2010.03.242010.03.2412101622计入价格冲红2010.03.242010.03.24122005527月临促2010.03.242010.03.2412102026转入铭印2010.04.212010.04.2112101622计入价格冲红2010.05.052010.05.05121021136-7堆头2010.02.282010.02.28121016259月堆头2010.02.282010.02.28221001078月堆头2010.02.282010.02.28121016258月堆头2010.02.282010.02.2812101621计入价格冲红2010.03.232010.03.2312101622计入价格冲红2010.05.052010.05.0512101649计入价格冲红2010.05.272010.05.2712101620计入价格冲红2010.05.272010.05.273)   此程序的授权没有遵循最小授权原则，大量SAP用户有此权限，与销售价格无关的储运部门也有此权限，例如：SAP账号姓名部门储运部储运部储运部储运部储运部储运部风险1)   价格的申请和审核由同一人进行处理，会增加舞弊的风险。2)   程序对于权限控制的漏洞，以及不正确的授权会影响价格数据的准确性以及保密性。建议1)   SAP修改客户计入价格的程序，使其只有经过授权才能有申请价格的权限。2)   工厂应严格按照由经营部门提出价格申请，财务部门负责审批的流程来处理。3)   按照最小授权原则，取消无关人员的价格申请、查看的权限。管理层意见改进措施、时间及负责人审计发现九      信贷、货款管理的系统授权违反职责分离原则按照业务需求事务代码ZSD142有以下功能：客户信贷管理、客户货款录入、客户货款确认、BDC(Batch Data Conversion) 执行和单据出错查询,按照不同的职责应有不同的操作权限，审计发现如下违反职责分离原则的授权：1)   财务人员既有货款录入权限又有货款确认权限；2)   贸易人员既有客户信贷金额修改权限又有客户货款录入权限；3)   财务人员既有客户信贷修改权限又有客户信贷审核权限；4)   负责废副品销售的采购部人员拥有信贷修改、货款录入的权限；关于SAP事物代码ZSD142的权限控制在西安xxxx的IT审计报告中已经提出，问题的回复是通过GRC项目解决，2010年4月9日提交解决方案，但截止到2010年6月7日，没有相应的解决方案。风险1)   存在财务人员录入虚假货款并审核确认的风险。2)   存在贸易人员释放信贷的风险。3)   存在采购人员释放客户信贷和录入虚假货款的风险。建议在授权程序修改之前按以下规则授权：1)   贸易内勤货款录入权限：客户货款录入界面的修改、打印，客户货款确认的查询权限。2)   财务人员货款确认权限：客户货款录入界面的审核权限、客户货款确认的修改、打印。3)   财务人员货款录入反审核权限：财务经理及财务主任特殊审核、反审核权限，相关查询权限。4)   客户信贷管理权限：财务人员的信贷修改权限。5)   客户信贷审核权限：财务经理或主任的信贷管理审核、反审核权限。管理层意见改进措施、时间及负责人审计发现十      SAP系统提单程序（VL03N）错误SAP系统提单程序（事务代码VL03N）存在错误，当交货单包含同种物料但不同批次时，“未清数量”和 “毛重”计算错误。例如：换货出货单8375001589，分两个批次分别已交货,但项目10显示的是未清数量为240，实际已经完成交货，导致换货报表（事务代码ZSD506）报表错误。提单：项目交货数量物料描述批次未清数量毛重100 BOX花旗白奶油HMW42-03(15KG*1)240 BOX0 KG900174 BOX花旗白奶油HMW42-03(15KG*1)1M130911050 BOX1110 KG9002166 BOX花旗白奶油HMW42-03(15KG*1)1M370911140 BOX2490 KG换货报表：项目客户名称换入订单数量换入提单量换出提单量换出订单数量10大城县椰王贸易有限责任公司2402400240风险交货提单程序逻辑错误，会导致相关报表取数错误。建议修改程序以及相关报表。管理层意见改进措施、时间及负责人审计发现十一    系统中存在大量没关闭的不再执行的合同SAP系统中存在较多长期未关闭的废副品销售合同，原因主要是由于销售合同的数量较大，销售后尾数不再执行，未及时关闭销售合同，例如：销售订单号物料客户超期天数8370004002废品广平县五龙植物油有限责任公司1478370004033废品广平县五龙植物油有限责任公司588370001262废品天津市津南区武盛拔丝材料厂58风险可能会被错误的认为是长期未执行的合同而被错误的继续执行。建议及时关闭尾数不再执行的合同。管理层意见改进措施、时间及负责人审计发现十二    系统中存在长期不执行的贸易合同SAP系统中存在长期未执行的销售合同：销售订单号物料客户超期天数8370001256海皇餐饮专用大豆油22L*1北京超市发海批商贸有限责任公司1488370001768精炼33度棕榈油广州宝洁有限公司61风险销售合同长期未执行可能会引起与客户的纠纷。建议对于长期未执行的销售合同，需要追查原因，促进业务尽快处理；如果需要延期应在系统中及时更新。管理层意见改进措施、时间及负责人第三部分  IT一般控制审计审计发现十三    企业购置电脑违反集团采购制度违反集团下发的《IT资产采购程序》，按程序规定台式电脑应采购惠普公司产品，笔记本电脑采购富士通公司产品。审计发现存在购买其他品牌电脑的情况：日期物料供应商数量2010.02.03联想笔记本电脑（T400  2765-65C)天津长得瑞华电子技术有限公司12010.02.03台式电脑（杨天M4680N)天津长得瑞华电子技术有限公司22009.12.02台式电脑（杨天T4900V)+17寸液晶显示器天津开发区振泰科技有限公司3风险集团的采购制度是出于成本、质量、企业形象等的综合考虑，违反此制度可能会在这些方面有所欠缺。建议按集团下发的制度执行采购程序。如果有特殊原因需要购买其他品牌电脑，建议集团考虑是否需要补充修订IT资产采购程序。管理层意见改进措施、时间及负责人审计发现十四    新员工入职缺少IT方面的培训新员工的入职缺少IT相关培训环节，如信息安全规范、电子邮件管理、信息系统的操作等。风险缺少以上相关的IT培训，使新员工缺乏相应的信息安全意识和信息系统的操作经验。建议新员工入职时进行必要的IT培训。管理层意见改进措施、时间及负责人审计发现十五    机房缺少火灾报警系统机房缺少自动检测火情、自动报警系统。风险机房缺少必要的火情检测或报警设备，无法有效的预防和控制火灾 。建议设置火情自动报警装置。管理者意见改进措施、时间和负责人审计发现十六   机房访问控制不严格缺少进出机房的人员登记记录，机房管理人员离开机房后未上锁。风险IT设备和相关配置可能会被非法的访问甚至变更，可能导致集团重要的IT资源不能访问而影响企业正常的生产运营。建议机房管理员离开机房后应对大门上锁，同时建立进出机房人员登记制度。管理者意见改进措施、时间和负责人审计发现十七    机房存在水灾隐患机房中水暖气管道与服务器间隔较近，且没有排水设计，暖气曾经有过泄漏喷水，并且有些服务器放置于离暖气距离较近的地面。风险服务器可能会因水管泄露进水而被损坏。建议根据实际情况对水暖进行处理，取消水暖器。如施工难度较大，考虑增加排水沟或地漏防水。管理者意见改进措施、时间和负责人审计发现十八    机房短期供电设备损坏机房具有短期备用电源设备（UPS），但设备已损坏，无法保证短期供电。风险机房断电会导致重要网络设备中断，造成集团如SAP等重要IT资源不能使用，影响工厂的日常运营。建议尽快对相关设备进行维修处理。管理者意见改进措施、时间和负责人审计发现十九   企业缺少对外来人员接入集团网络的控制没有对外来人员携带的笔记本电脑接入企业内部网络进行全面控制，通过有线、无线接入网络后，可以访问集团内资源，例如访问SAP系统。风险外来人员携带的笔记本电脑直接接入企业内网，可能会使企业内网感染病毒影响网络资源的正常使用，同时增加了企业内部信息泄密的风险。建议1)   通过划分网段，使内网与外网隔离，外来人员经审批，只允许其访问外网，IT同事做好相关的接入记录，以便集团IT人员和IT审计人员检查。2)   通过绑定MAC地址建立网络访问控制列表，外来人员经审批后，IT同事配置IP地址与MAC地址关系，控制其访问内网，同时做好相关的记录。管理者意见改进措施、时间和负责人审计发现二十    网络设备缺乏访问控制策略边界和主要网络设备（防火墙、路由器等）未与管理员登录的IP地址绑定，目前公司内网中任意IP地址的主机均可以尝试登录防火墙等边界和主要网络设备。风险重要的边界和主要网络设备是公司局域网的核心，管理员登录的IP地址未进行限制，一旦管理员账户被破解，入侵者可以远程修改防火墙等配置，绕开边界网络设备进入企业网络。建议在对边界和主要网络设备管理员登录地址进行限制，避免非授权登录。管理者意见改进措施、时间和负责人审计发现二十一 主要服务器缺少身份鉴别策略文件服务器、域控制服务器缺少身份鉴别控制策略，例如文件服务器、域控制服务器缺少相关策略：口令足够长、口令复杂程度、口令生命周期、新旧口令的替换要求等。域控制器也缺少对员工电脑的身份鉴别策略的控制。密码策略密码必须符合复杂性要求密码长度最小值密码最长存留期密码最短存留期强制密码历史风险重要服务器身份鉴别策略的缺失，存在身份鉴别信息易被冒用的风险。同时，域控制器未对员工电脑进行身份鉴别的控制，使得员工电脑也存在被非法授权登录的风险。建议配置重要服务器的组策略，同时配置域控制器安全策略，满足集团信息安全规范的要求。管理者意见改进措施、时间和负责人审计发现二十二 地磅系统主机存在安全隐患地磅系统主机存在以下安全漏洞：1)   主机机箱未进行物理加锁。2)   主机未限制软件的安装、使用和外网的访问，在主机中发现有网络游戏的软件。风险1)   地磅作为重要的主机，物理访问控制和逻辑访问控制的缺失，可能会被人利用更改其软硬件用于舞弊。2)   未限制访问外网，会增加感染病毒的风险，可能导致系统无法正常使用而延误收发货。建议1)   对地磅主机机箱进行物理加锁。2)   禁止U盘、软件的安装，非工作相关软件的使用。3)   禁止地磅主机访问外网。管理者意见改进措施、时间和负责人审计发现二十三  主要服务器缺少身份鉴别失败处理策略文件服务器未配置鉴别失败处理策略，未设置了非法登录次数的限制值，对超过限制值的登录终止其鉴别会话或临时封闭账号；未设置网络登录连接超时自动退出；未设置鉴别警示信息等。账户锁定策略账户锁定时间复位账户锁定计数器账户锁定阀值风险主要服务器未配置相关策略，缺少对身份鉴别的控制，非法访问者从而可以利用此类控制弱点进行暴力破解。建议配置以上服务器的组策略。管理者意见改进措施、时间和负责人审计发现二十四 主要服务器缺少审计策略文件服务器和域控制服务器未配置相关的审计策略，例如，用户标识与鉴别、自主访问控制的所有操作记录、重要用户行为（如用超级用户命令改变用户身份）、系统资源的异常使用、重要系统命令的使用等。审核策略审核策略的更改审核登录事件审核对象访问审核特权使用审核系统事件审核账户登录事件审核账户管理风险主要服务器未配置相关审计策略，使得服务器监控者无法找到相关的审计轨迹，无法判断事故的原因，从而无法进行预防。建议配置审核策略更改，审核登录时间、审核对象访问、审核账户登录时间、审核账户管理等服务器审计策略。管理者意见改进措施、时间和负责人