《小企业ERP安全环境搭建7.doc》由会员分享,可在线阅读,更多相关《小企业ERP安全环境搭建7.doc(15页珍藏版)》请在金锄头文库上搜索。
1、中小企业ERP系统安全环境搭建 毕业论文系 部: 信息工程系 学生姓名: 徐晓兰 专业班级: 信息09E1 学 号: 093411116 指导教师: 时荣 2012年3月29日摘要1一、引言2二、ERP简述2(一)ERP的原理概述2(二)ERP在中小企业的应用需求2(三)ERP应用的安全隐患与需求2三、构建中小企业ERP应用的安全环境3(一)企业内部网络ERP用户管理控制3(二)企业ERP数据加密41、对称密码体制42、非对称密码体制43、单向散列函数4(三)企业ERP外部访问控制技术VPN技术51、关键技术52、VPN解决方案63、VPN的安全策略7(四)企业内部网络防护防火墙技术81、防火
2、墙系统功能和原理82、防火墙的类型83、部署防火墙构建安全网络9四、中小企业ERP安全环境描述10(一)中小企业ERP安全环境拓扑10(二)中小企业ERP安全环境组成11五、总结11六、致谢11摘要当前越来越多的中小企业迫切选择使用ERP系统进行企业管理运维,以求突破自身发展的制约和瓶颈,提高企业的竞争力。ERP项目是一个复杂的系统工程,企业必须在政策、设备、技术等多方面共同运维才能取得成功,中小企业自身各方面的条件都受到一定的限制,ERP应用的效果不尽人意。本文通过对中小企业ERP应用的需求进行简单分析,对ERP应用所需要的网络安全环境进行分析和描述,从用户管理、数据加密、安全防护、远程接入
3、等多方面因素进行探讨,提出了中小企业ERP应用的网络安全环境初步架构及可行方案。关键字:中小型企业ERP 防火墙 安全环境 网络安全一、引言目前中小型企业发展如雨后春笋般迅速,但是由于自身发展的局限性,许多缺陷也慢慢的显现出来,大大地阻碍了企业的发展,因此许多企业迫切需求有个系统化、规范化、制度化的管理体制。ERP成为很多中小型企业对制度改革的首选,因此ERP系统安全使用,成为企业发展的热议话题。本文通过对企业ERP应用的需求分析和ERP运行的网络安全需求分析,讨论怎样搭建中小企业ERP应用的安全网络环境。二、ERP简述及应用安全需求分析(一)ERP的概述ERP是一个庞大的管理信息系统,其实质
4、是在MRP II(Manufacturing Resources Planning,“制造资源计划”)基础上进一步发展而成的ERP(EntERPrise Resource Planning,“企业资源计划”),是在MRP II(Manufacturing Resources Planning)中融入了供应链等管理思想,扩展其功能和应用范围,使企业系统的管理核心由“在正确的时间的,制造和销售客户需求的合适的产品”转移到了“在最佳的时间和地点,获得资源的最大增值和企业的最大效益”,这已经成为当今主流的企业管理信息系统模式。(二)ERP在中小企业的应用需求中小型企业由于规模小、人数少、运作流程简单,
5、很多人认为ERP与他们无关。但是,随着市场竞争日益激烈,中小型企业同样面临如何利用信息技术、加强管理、提高效率的问题,中小型企业应用ERP也就完全有了必要性。随着网络技术的发展和Internet的广泛使用,ERP系统要求企业能够快速便捷的利用信息给企业带来的机遇之外,还要求企业能够将自身置于信息的洪流之中,为别的企业或者个人提供需求的信息,因此,企业不能像个“信息孤岛”一样,闭关自守。网络技术的发展就为企业提供了方便,如企业总部和分支机构企业与客户,企业与供应商之间的远程信息交流等。ERP的实施离不开网络,也正因为如此,网络的安全性也就影响着ERP的安全性。(三)ERP应用的安全隐患与需求用户
6、管理缺陷:由于中小型企业自身在经济、技术上存在一些缺憾,因此,在用户管理机制上会有很多待完善的地方,在数据保密上,由于网络环境简单,网络构造过于单一,在人员组织、分工不明确,管理制度还不完善;信息保密制度上常常受到外来非法入侵以及内部因安全管理的缺陷而导致信息的泄露,是否正确设置,以及缺乏有效的网络监视手段都是可能的安全隐患。防火墙经过安全认证配置后可以实现内外用户访问的安全性,确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链接转发到另外的链路上去。出于异地业务的需求,VPN使分布在不同地方的专用网络能在不可信任的公用网络上安全地通信, 从而可以帮助远程用户、公司分支机构、商业伙伴
7、及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。三、构建中小企业ERP应用的安全环境(一)企业内部网络ERP用户管理控制用户管理控制也就是我们平时为了防止信息被窃取以及防止黑客入侵所采取的一系列企业内部管理人员制度,其中包括身份识别,授权管理、访问控制等手段。身份识别就是访问信息或系统资源的护法用户服务的,用以确保系统能够清晰的辨别不同用户的身份。这一般是通过用户ID加密码的静态方式加以识别,这也就是最流行和最普通的用户认证方法,同样也是安全系统系数最小的保护方法。授权管理就是系统可以授权用户的身份来允许或拒绝合法用户执行某些规定的系统使用权利,使用RBAC策略来进行授权管理
8、,非常适合用于拥有大量的用户和海量的数据信息的ERP系统基于角色的访问控制技术RBAC的基本思想即把整个访问控制过程分成两步:访问权限与角色相关联,角色与用户关联,从而实现了用户与访问权限的逻辑分离。根据具体应用系统中所给出的安全策略划分出不同的角色,并为每个角色分配不同的操作许可,同时为每个角色指派相应的角色,这也就是说用户可以通过角色间接获取对信息资源的访问权限。这样在很大程度简化了用户的授权管理,使得对信息资源访问控制能更好的适应特定单位的安全策略,即当系统中增加了新的岗位角色,则可以在角色中添加新的许可以及撤销过期的许可,并修改用户对应的若干角色。RBAC的基本思想见下图(1):图(1
9、)RBAC的基本思想 RBAC96模型是在20世纪90年代期间,由美国george mason大学信息安全技术实验室提出的,是当时最具有系统性的RBAC模型,得到普遍的公认。RBAC96是一个模型族,其中包括RBAC0 RBAC3四个概念性模型。基本模型RBAC0定义了完全支持RBAC概念的任何系统的最低需求。RBAC96内各模型的关系见下图(2):图(2)RBAC96模型间的关系(二)企业ERP数据加密密码技术是保护信息安全的主要手段之一,数据加密作为一项基础技术是所有通信安全的基石。在现代技术下,使用密码技术不仅可以保证计算机网络信息的保密性,而且可以保证信息完整性和可用性,防止信息被篡改
10、、伪造和假冒。在某些情况下,数据加密是保证网络信息安全的唯一方法。1、对称密码体制对称密码体制是一种传统密码体制,也称为私钥密码体制。在对称加密系统中,加密和解密采用相同的密钥。因为加解密密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去,这样就可以实现数据的机密性和完整性。对于具有n个用户的网络,需要n(n-1)/2个密钥,在用户群不是很大的情况下,对称加密系统是有效的。但是对于大型网络,当用户群很大,分布很广时,密钥的分配和保存就成了问题。对机密信息进行加密和验证随报文一起发送报文摘要(或散列值)来实现。2、非对称密码体制非对称密码体制也叫公钥加密技术
11、,该技术就是针对私钥密码体制的缺陷被提出来的。在公钥加密系统中,加密和解密是相对独立的,加密和解密会使用两把不同的密钥,加密密钥(公开密钥)向公众公开,谁都可以使用,解密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,顾其可称为公钥密码体制。如果一个人选择并公布了他的公钥,另外任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密。3、单向散列函数单向散列函数,又称单向Hash函数、杂凑函数,就是把任意长的输入消息串变化成固定长的输出串且由输出串难以得到输入串的一种函数。这个输出串称为该消息的散列值。一般
12、用于产生消息摘要,密钥加密等.一个安全的单向散列函数应该至少满足以下几个条件:输入长度是任意的;输出长度是固定的,根据目前的计算技术应至少取128bits长,以便抵抗生日攻击;对每一个给定的输入,计算输出即散列值是很容易的给定散列函数的描述,找到两个不同的输入消息杂凑到同一个值是计算上不可行的,或给定杂凑函数的描述和一个随机选择的消息,找到另一个与该消息不同的消息使得它们杂凑到同一个值是计算上不可行的。Hash函数主要用于完整性校验和提高数字签名的有效性,目前已有很多方案。这些算法都是伪随机函数,任何杂凑值都是等可能的。输出并不以可辨别的方式依赖于输入;在任何输入串中单个比特的变化,将会导致输
13、出比特串中大约一半的比特发生变化。(三)企业ERP外部访问控制技术VPN技术1、关键技术隧道技术,指在传输的两点之间建立起一条类似专用“通道”的通信通道。通过隧道将具有各种协议的数据帧或数据包重新封装心的包头后进行传输。如图(3)图(3)隧道技术主要隧道协议点对点隧道协议(point-to-point tunneling protocol,PPTP):PPTP是“点对点协议(PPP)”的扩展,增加了PPP的身份验证、数据压缩和加密机制。其允许对IP、IPX或NETBEUI数据流加密,然后经封装后通过互联网络发送。封装使用一般路由封装头文件和IP头数据包装PPP帧。加密使用使用MS-CHAP或E
14、AP-TLS身份验证过程中生成的密钥,其客户机必须使用MS-CHAP或EAP-TLS身份验证协议。见图(4)示:PPP帧是PPTP封装。图(4)点对点隧道协议(PPTP)安全IP(IPSec)隧道模式IPSec(IPSecurity)用于提供IP层的安全性。允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或IP互联网络如Internet发送(如下图)。IPSc有3个主要协议:AH,ESP和IKE.ES协议主要用来处理对IP数据包的加密。几乎可以支持各种对称密钥加密算法。AH除了可以对IP的负载进行认证外,还可以对IP头部试试认证。主要是处理数据对,可以对IP头部进行认证。IKE
15、协议一、主要是密钥交换进行管理,包括密钥协商、密钥交换机制和约定跟踪3个功能。见图(5):图(5)安全IP(IPSec)隧道模式2、VPN解决方案针对不同的用户要求,VPN有3种解决方案:远程访问虚拟网AccessVPN、企业内部虚拟网IntranetVPN和企业扩展虚拟网ExtranetVPN,这3种类型的VPN分别于传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所组成的Extranet相对应。AccessVPNAccessVPNt通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差人员利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。IntranetVPN利用VPN特性可在Internet上组建时间范围内的IntranetVPN。利用Internet的线路保证网络的互联性,而利
