《金蝶EAS信息安全方案》由会员分享,可在线阅读,更多相关《金蝶EAS信息安全方案(26页珍藏版)》请在金锄头文库上搜索。
1、金蝶RP-金蝶EAS信息安全方案Kingdee金蝶软件(中国)有限公司EAS产品事业部目录1. 引言 22. 前言 33. 信息安全组织和制度保障 44. EAS安全策略 44.1. J2EE的安全性 442EAS安全介绍 55. EAS资金管理系统安全方案 85.1. EAS与PKI体系整合的安全架构图: 85.2. EAS资金系统银企互联安全原理图: 95.3. 基于证书的双身份认证 105.4. USB Key身份认证 105.5. 数据加密传输 115.6. 业务单据的数字签名 115.7. 二次身份认证 125.8. EAS资金成功案例介绍 126. EAS网络安全 136.1. 防
2、火墙 136.2. VPN 技术 146.3. VLAN167. 电脑病毒防护 168. EAS数据安全 178.1. 磁盘存储系统 178.2. 数据备份 189. EAS服务器安全 199.1. 服务器系统冗余 199.1.1. IBM P 系列服务器群集技术 (HACMP) 199.1.2. HP MC/ServiceGuard 集群方案 209.2. EAS服务器群集 20集群模型特点 20集群部署建议 219.3. Oracle RAC 2110. 其它注意事项 2211. 附件 23信息安全体系结构 231. 引言在信息安全技术中有一个著名的“木桶理论”其核心思想是:一个木桶能装多
3、少水,不是取决于木 桶中最长的木板,而是木桶中最短的木板决定着一个木桶能够装多少水。把一个公司的信息安全看作是 一个木桶的话,那么这个公司信息安全级别高低不是看其安全防范最好的地方,而是看其安全防范最薄 弱的地方。不论公司信息安全体系的关键位置的安全防范有多严密,只要体系中有一个安全漏洞,那么 整个信息安全体系的安全可以说是脆弱的。一个信息系统的安全弱点就是它防护最弱的那部分,不管其 他部分是如何的强壮,一旦此弱点被利用,就会给系统带来灾难。要保护系统的安全,需要全方位考虑, 系统管理员要经常检测系统的薄弱环节。2. 前言对一个企业来说,信息和其它商业资产一样有价值。信息安全就是保护信息免受来
4、自各方面的威胁,是一个企业持续经营策略和管理的重要环节。随着公司治理、内部控制的加强,以及美国颁布萨班斯 法案和上海深圳证券交易所出台上市公司内部控制指引,越来越多的企业开始重视公司的信息安 全。作为国内领先的ERP软件,EAS正在为越来越多的大中型企业所使用。金蝶EAS(EnterpriseApplication Suite),是金蝶国际软件集团推出的新一代企业应用套件。秉承40万家用户的最佳应用实践,采用最新的ERRI管理思想和最先进的平台化技术架构,是K/3产品的重大平台升级和管理升级,涵盖集团管理、财务管理、人力资源管理、客户关系管理、供应链管理、供应商关系管理、协同平台等 管理领域。
5、为大中型企业提供最适合中国企业管理特质的个性化企业管理及电子商务应用解决方案。如 何保障EAS系统的信息安全,是EAS用户十分关注的问题。国际标准化组织(ISO)已于2000年颁布ISO/IEC 17799,是信息安全管理实施细则 (Code of Practice for In formation Security Man ageme nt)。其05年最新版本涉及信息安全管理的各个方面:安全策略(Security Policy )信息安全的组织结构( Organi zati on of in formati on security)资产管理(Asset Management )人力资源安全(
6、 Human resources security)物理和环境安全( Physical and environmen tal security)通信和操作管理( Commun icati on and operati ons man ageme nt)访问控制(Access control)系统采购、开发和维护(In formati on systems acquisiti on, developme nt and maintenance)信息安全事件管理(In formati on security in cide nt man ageme nt)业务连续性管理( Busin ess con
7、tinu ity man ageme nt)符合性(Complianee )通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节,还有39个主要安全类和133个具体控制措施(最佳实践),供负责信息安全系统开发的人员作为参考使用,以规范化组织机构信息安全管理建设的内容。另外国际标准化组织于2005年10月颁布IS027001 , IS027001是建立信息安全管理体系(ISMS的一套规范(Specification for Information Security Management Systems),其中详纟田说明了建立、实施和维护信息安全管理体系的
8、要求,可用来指导相关人员去应用ISO 17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS)。综上述,信息安全有一套严格的体系和规范,必须从制度、管理、技术等多维度来保障公司信息安 全。EAS系统是公司众多信息系统的一个重要应用系统,需要公司的信息安全体系提供保障,而不是单 纯依靠EAS内部的一些安全手段,只有这样才能保证EAS系统的安全。由于信息安全涉及面太广,下面仅就与EAS紧密相关的成熟的信息安全技术展开讨论,为EAS用户提供参考。3信息安全组织和制度保障根据ISO/IEC 17799规定,公司应当制定信息安全制度为公司信息安全提供管理方向和指南。同时成立信息安全管理
9、部门,推行信息安全制度,对信息安全权责进行分配,并协调公司内部信息安全的实 施。如有必要,在公司内部设立特别信息安全顾问并指定相应人选。同时,要设立外部安全顾问,以便 跟踪行业走向,监视安全标准和评估手段,并在发生安全事故时建立恰当的联络渠道。4. EAS安全策略4.1. J2EE的安全性J2EE(Java 2 En terprise Editio n)提供了一个企业级的计算模型和运行环境用于开发和部署多层体系结构的应用,J2EE提供一系列安全算法、PKI体系、安全通讯、认证和存取控制等,可以通过各种安全策略的设置来开放足够使用的执行权限。它通过提供企业计算环境所必需的各种服务,使得部署在J2
10、EE平台上的多层应用,可以实现高可用性、安全性、可扩展性和可靠性。它的优越性在于:计算平台支持Java语言,使得基于 J2EE标准开发的应用可以跨平台地移植;Java语言非常安全、严格,这使开发者可以编写出非常可靠的代码;J2EE提供了企业计算中需要的所有服务,且更加易用;J2EE中多数标准定义了接口,例如JNDI (Java Nami ng and Directory In terface)、JDBC Java Mail 等,因此可以和许多厂商的产品配合,容易得到广泛的支持;J2EE树立了一个广泛而通用的标准,大大简化了应用开发和移植过程。J2EE中有一套严格的安全概念和安全体系架构,对信息
11、安全的提供灵活而健壮框架。42 EAS安全介绍金蝶EAS严格遵循J2EE规范,采用J2EE标准的三层体系架构,分别为客户端、应用服务器、数据 库服务器三层架构,客户端只能访问应用服务器,采用防火墙、数据加密、权限管理、身份认证等多重 安全机制,最大限度地保证 EAS的系统安全。EAS的安全架构:EAS安全性包括:完善的权限体系,EAS权限模型包括三个基本要素(组织、功能权限、用户),支持功能权限、数据权限(行级和字段级);具有灵活的授权机制,支持角色授权、用户授权、功能权限的可转授、功 能权限的禁止权(禁止权优先于任何权限)、支持特殊数据权限(主管权限、创建者权限、离散权限)、 支持行级权限、
12、字段级权限等。支持多种认证:EAS除了提供传统认证外, 还支持LDAP认证、AD活动目录认证、ActivCard动态密码认证、 USB Key认证、指纹认证等。:|功乍瞬卑消忌咿业动志密码卡用戶类型用户实生曽理申元茗称用户蜀录方式1ADTAUBITOR未JS用祐烷认证方式2件红认证为5;3XLUIfl*LDO走衆翱幣S匪4kLJIl苴供ALLEE1密码策略:根据不同敏感程度的用户,设置不同级别的密码策略,使安全策略应用到了用 户级别,EAS可以设置的密码控制项包括: 密码的最小长度、 密码复杂度(必须包含英文字母和数字) 密码有效天数、首次登录必须修改密码等。-|n|鱼罟却 业英 工負CD 带
13、肋凹 ffX巧退出|申嗡CH心空码百坡工総30 二I-刚珂能汽E令英立才丑卫鞫T连蟻5二彳左密越洁课范定悴号工 首代登屋烦慷改害码堆堆:OI账户锁定策略:账户锁定是指在某些情况下 (例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击),为保护该账户的安全而将此账户进行锁定。账户锁定策略 包括:锁定阀值,即允许使用错误密码的最大登录次数,可按不同用户设置不同阀值,超过阀值则锁定账户;锁定期,使其在锁定的时间内,就算是正确的密码也不能登录。一旦该账户被锁定后,即使是 合法用户也就无法使用了。只有管理员才可以重新启用该账户,这就造成了许多不便,提供锁 定期功能,以便锁定期过后可自动解锁;用户在
14、线监控策略:EAS系统提供在线用户的实时监控功能,对所有的在线用户账户 (身份)客户端的IP和机器名、在线时间、操作功能等信息进行实时监控,对非法用户在线进行破坏或者在线用户进行违规操作时,可以立即进行阻止。对非法用户在线进行破坏或者在线用户进行违规操作时,可以 立即进行阻止。对在线用户进行的危险操作,管理员也可以发送提示信息或者警告信息,达到预防危险 发生的目的。U3BI 金媒 EASB ”射“血14融M事欣帥目宀出重复登录提醒,用户可选择踢出对方:EAS系统支持一个账户多点登录,但是会给出提示。如果是独享的账户,则用户可以选择立即将对方的登录账户踢出系统,并立即修改密码,以减少账户被盗用带来的后果。闲置账户自动踢出:EAS系统中,提供自动踢出闲置账户的功能,系统管理员可以根据系统的应用情况设置自动踢出闲置账户的闲置时间阈值,一旦某个账户的闲置时间超过了阈值,那么系统会自动将 该账户踢出系统,该账户必须重新登录才能继续进行操作。数据加密:ORMRP是金蝶自主产权的,基于 TCP/IP协议上的远程对象请求协议,可以与第三 方具有公信力的权威认证相结合,提供数据加密传输;其数据加密传输的实现原理与SSL相类似。结合PKI/CA的ORMRP数据加密/解密传输过程说明:首先,用户基于证书进行双身份登录认证,若认证通过,且服务端要求进行数据加密传输时, 将在服务端产生会话密钥,并用
