《安全生产金蝶EAS信息安全方案》由会员分享,可在线阅读,更多相关《安全生产金蝶EAS信息安全方案(22页珍藏版)》请在金锄头文库上搜索。
1、安全生产金蝶 EAS 信息安全方案安全生产金蝶 EAS 信息安全方案 金蝶 EAS 信息安全方案 金蝶软件(中国)有限公司 EAS 产品事业部 目录目录 1.引言 3 2.前言 3 3.信息安全组织和制度保障 4 4.EAS 安全策略 5 4.1.J2EE 的安全性 5 4.2.EAS 安全介绍 5 5.EAS 资金管理系统安全方案 9 5.1.EAS 与 PKI 体系整合的安全架构图:9 5.2.EAS 资金系统银企互联安全原理图:10 5.3.基于证书的双身份认证 11 5.4.USBKey 身份认证 11 5.5.数据加密传输 12 5.6.业务单据的数字签名 12 5.7.二次身份认证
2、 13 5.8.EAS 资金成功案例介绍 14 6.EAS 网络安全 14 6.1.防火墙 14 6.2.VPN 技术 15 6.3.VLAN17 7.电脑病毒防护 17 8.EAS 数据安全 18 8.1.磁盘存储系统 18 8.2.数据备份 19 9.EAS 服务器安全 20 9.1.服务器系统冗余 20 9.1.1.IBMP 系列服务器群集技术(HACMP)20 9.1.2.HPMC/ServiceGuard 集群方案 21 9.2.EAS 服务器群集 21 集群模型特点 22 集群部署建议 22 9.3.OracleRAC23 10.其它注意事项 24 11.附件 25 信息安全体系结
3、构 25 1. 引言1. 引言 在信息安全技术中有一个著名的“木桶理论”其核心思想是:一个木桶能装多少水,不 是取决于木桶中最长的木板,而是木桶中最短的木板决定着一个木桶能够装多少水。把一个 公司的信息安全看作是一个木桶的话,那么这个公司信息安全级别高低不是看其安全防范最 好的地方,而是看其安全防范最薄弱的地方。不论公司信息安全体系的关键位置的安全防范 有多严密,只要体系中有一个安全漏洞,那么整个信息安全体系的安全可以说是脆弱的。一 个信息系统的安全弱点就是它防护最弱的那部分,不管其他部分是如何的强壮,一旦此弱点 被利用,就会给系统带来灾难。要保护系统的安全,需要全方位考虑,系统管理员要经常检
4、 测系统的薄弱环节。 2. 前言2. 前言 对一个企业来说,信息和其它商业资产一样有价值。信息安全就是保护信息免受来自各 方面的威胁,是一个企业持续经营策略和管理的重要环节。随着公司治理、内部控制的加强, 以及美国颁布萨班斯法案和上海深圳证券交易所出台上市公司内部控制指引 ,越来 越多的企业开始重视公司的信息安全。 作为国内领先的 ERP 软件,EAS 正在为越来越多的大中型企业所使用。金蝶 EAS(EnterpriseApplicationSuite),是金蝶国际软件集团推出的新一代企业应用套件。秉 承 40 万家用户的最佳应用实践,采用最新的 ERP管理思想和最先进的平台化技术架构, 是
5、K/3 产品的重大平台升级和管理升级,涵盖集团管理、财务管理、人力资源管理、客户关 系管理、供应链管理、供应商关系管理、协同平台等管理领域。为大中型企业提供最适合中 国企业管理特质的个性化企业管理及电子商务应用解决方案。 如何保障 EAS 系统的信息安全, 是 EAS 用户十分关注的问题。 国际标准化组织(ISO)已于 2000 年颁布 ISO/IEC17799,是信息安全管理实施细则 (CodeofPracticeforInformationSecurityManagement) 。其 05 年最新版本涉及信息安全管 理的各个方面: 安全策略(SecurityPolicy) 信息安全的组织结
6、构(Organizationofinformationsecurity) 资产管理(AssetManagement) 人力资源安全(Humanresourcessecurity) 物理和环境安全(Physicalandenvironmentalsecurity) 通信和操作管理(Communicationandoperationsmanagement) 访问控制(Accesscontrol) 系统采购、 开发和维护 (Informationsystemsacquisition,developmentandmaintenance) 信息安全事件管理(Informationsecurityinci
7、dentmanagement) 业务连续性管理(Businesscontinuitymanagement) 符合性(Compliance) 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等 11 个安全控制章节,还有 39 个主要安全类和 133 个具体控制措施(最佳实践) ,供负责信息 安全系统开发的人员作为参考使用,以规范化组织机构信息安全管理建设的内容。 另外国际标准化组织于 2005 年 10 月颁布 ISO27001,ISO27001 是建立信息安全管理体 系(ISMS)的一套规范(SpecificationforInformationSecurityMa
8、nagementSystems) ,其 中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用 ISO17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS) 。 综上述,信息安全有一套严格的体系和规范,必须从制度、管理、技术等多维度来保障 公司信息安全。EAS 系统是公司众多信息系统的一个重要应用系统,需要公司的信息安全体 系提供保障, 而不是单纯依靠 EAS 内部的一些安全手段, 只有这样才能保证 EAS 系统的安全。 由于信息安全涉及面太广, 下面仅就与 EAS 紧密相关的成熟的信息安全技术展开讨论, 为 EAS 用户提供参考。 3. 信息安全组织
9、和制度保障3. 信息安全组织和制度保障 根据 ISO/IEC17799 规定,公司应当制定信息安全制度为公司信息安全提供管理方向和 指南。同时成立信息安全管理部门,推行信息安全制度,对信息安全权责进行分配,并协调 公司内部信息安全的实施。如有必要,在公司内部设立特别信息安全顾问并指定相应人选。 同时,要设立外部安全顾问,以便跟踪行业走向,监视安全标准和评估手段,并在发生安全 事故时建立恰当的联络渠道。 4. EAS 安全策略4. EAS 安全策略 4.1. J2EE 的安全性4.1. J2EE 的安全性 J2EE(Java2EnterpriseEdition)提供了一个企业级的计算模型和运行环
10、境用于开发和 部署多层体系结构的应用,J2EE 提供一系列安全算法、PKI 体系、安全通讯、认证和存取控 制等,可以通过各种安全策略的设置来开放足够使用的执行权限。它通过提供企业计算环境 所必需的各种服务,使得部署在 J2EE 平台上的多层应用,可以实现高可用性、安全性、可 扩展性和可靠性。它的优越性在于:计算平台支持 Java 语言,使得基于 J2EE 标准开发的应 用可以跨平台地移植;Java 语言非常安全、严格,这使开发者可以编写出非常可靠的代码; J2EE 提供了企业计算中需要的所有服务,且更加易用;J2EE 中多数标准定义了接口,例如 JNDI(JavaNamingandDirect
11、oryInterface) 、JDBC、JavaMail 等,因此可以和许多厂商的产 品配合,容易得到广泛的支持;J2EE 树立了一个广泛而通用的标准,大大简化了应用开发和 移植过程。J2EE 中有一套严格的安全概念和安全体系架构,对信息安全的提供灵活而健壮框 架。 4.2. EAS 安全介绍4.2. EAS 安全介绍 金蝶 EAS 严格遵循 J2EE 规范,采用 J2EE 标准的三层体系架构,分别为客户端、应用服 务器、数据库服务器三层架构,客户端只能访问应用服务器,采用防火墙、数据加密、权限 管理、身份认证等多重安全机制,最大限度地保证 EAS 的系统安全。 EAS 的安全架构: EAS
12、安全性包括: 完善的权限体系,EAS 权限模型包括三个基本要素(组织、功能权限、用户) ,支持 功能权限、数据权限(行级和字段级) ;具有灵活的授权机制,支持角色授权、用户授权、 功能权限的可转授、功能权限的禁止权(禁止权优先于任何权限) 、支持特殊数据权限(主 管权限、创建者权限、离散权限) 、支持行级权限、字段级权限等。 支持多种认证:EAS 除了提供传统认证外,还支持 LDAP 认证、AD 活动目录认证、 ActivCard 动态密码认证、USBKey 认证、指纹认证等。 密码策略:根据不同敏感程度的用户,设置不同级别的密码策略,使安全策略应用 到了用户级别,EAS 可以设置的密码控制项
13、包括:密码的最小长度、密码复杂度(必须包含 英文字母和数字) 、密码有效天数、首次登录必须修改密码等。 账户锁定策略:账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜 解方式的在线自动登录攻击),为保护该账户的安全而将此账户进行锁定。账户锁定策略 包括: 锁定阀值,即允许使用错误密码的最大登录次数,可按不同用户设置不同阀值,超 过阀值则锁定账户; 锁定期,使其在锁定的时间内,就算是正确的密码也不能登录。一旦该账户被锁定 后,即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户,这就造成了许多 不便,提供锁定期功能,以便锁定期过后可自动解锁; 用户在线监控策略:EAS 系统提供
14、在线用户的实时监控功能,对所有的在线用户账 户(身份) 、客户端的 IP 和机器名、在线时间、操作功能等信息进行实时监控,对非法用户 在线进行破坏或者在线用户进行违规操作时,可以立即进行阻止。对非法用户在线进行破坏 或者在线用户进行违规操作时,可以立即进行阻止。对在线用户进行的危险操作,管理员也 可以发送提示信息或者警告信息,达到预防危险发生的目的。 重复登录提醒,用户可选择踢出对方:EAS 系统支持一个账户多点登录,但是会给 出提示。如果是独享的账户,则用户可以选择立即将对方的登录账户踢出系统,并立即修改 密码,以减少账户被盗用带来的后果。 闲置账户自动踢出:EAS 系统中,提供自动踢出闲置
15、账户的功能,系统管理员可以根据 系统的应用情况设置自动踢出闲置账户的闲置时间阈值,一旦某个账户的闲置时间超过了阈 值,那么系统会自动将该账户踢出系统,该账户必须重新登录才能继续进行操作。 数据加密:ORMRPC 是金蝶自主产权的,基于 TCP/IP 协议上的远程对象请求协议, 可以与第三方具有公信力的权威认证相结合,提供数据加密传输;其数据加密传输的实现原 理与 SSL 相类似。结合 PKI/CA 的 ORMRPC 数据加密/解密传输过程说明: 首先,用户基于证书进行双身份登录认证,若认证通过,且服务端要求进行数据加 密传输时,将在服务端产生会话密钥,并用用户个人公钥进行加密,返回给客户端;
16、其次,客户端获取到加密后的会话密钥后,将使用个人私钥进行解密 然后,在本次用户会话周期内,以后每次的数据传输,都将使用该会话密钥进行数 据的加密/解密; 以上数据加密/解密过程是与 PKI/CA 体系相结合的,是类似 SSL 的一种实现,但与 EAS 结合的更紧密,且降低了 SSL 的部署复杂度,是能够灵活满足不同客户的安全需要的。 上机日志:EAS 用户上机日志能详细记录用户的操作时间、功能点、IP 等信息,为 系统管理和系统安全提供分析数据。 5. EAS 资金管理系统安全方案5. EAS 资金管理系统安全方案 金蝶 EAS 资金管理系统通过资金计划、统一结算控制、资金分析、融资管理、银企直联 等方式,实现内部资金结算、统收统支、内部网上结算,并实现与商业银行接口,实现资金 集中管理,要求资金管理系统要有很高的安全性。金蝶 EAS 针对资金系统的高安全性,提出 了全方位的安全解决方案,详细方案如下: 5.1. EAS 与 PKI 体系整合的安全架构图5.1. EAS 与 PKI 体系整合的安全架构图 EAS 系统提供各种安全策略来保证系统达到不同的安全级别,除了普通的
