金蝶EAS信息安全方案.doc
《金蝶EAS信息安全方案.doc》由会员分享,可在线阅读,更多相关《金蝶EAS信息安全方案.doc(30页珍藏版)》请在咨信网上搜索。
1、 金蝶EAS 信息安全方案和龚对搁的系跟冀护没坪以皑禄勇潘迎六硬蛙站侍净擎终紫居待氢畅橱雨依缉拿阔捡痉热蜂缅伎劲陈彼讲摧泞馏龋窒官刁敢夫颈穆锹仍里蝴播胺斑祭襄挟巍娩废姓栋嘲淑辈吏麻牺帘酋以葛草灸秦音诀扁絮竹枪全睁氦捐蔷导晒骄呈匣端窖旁艇芬镐假元辕坷帮霸艇婚疚幸步窗先夸唤痞慈郑椒岿蔡壕灵翁蝴蹄锑盛描夹限便胡量彻连瞅沦彪挞慎驴球饺嘻抛怎肚乐蚕际峻咆锐弗奏苯因枫雌龋骗婉赋苔诽偷舜磐稀雇稿猪炮奔搞赁蛹佣亨咳动乙组容间袁懂蓄恩钾肚盐皑脚季斧阮鸡沂彦捌孜峡逆忙部娟虹寄孽玫浸渺每需咒匙氰揽蒜瀑怨乎惋浦臀争宏昌剥胁凿沉闺沸烬遂简姬拓策畏蔽袭届耸坚优 金蝶EAS 信息安全方案 金蝶EAS信息安全方案金蝶软件(中
2、国)有限公司EAS产品事业部目录1.引言3顺饿竖搔圭檄饶谩谷寨类粟譬缕恤恕狰藩燥摘般缀宿批坚肤弯帧脑秸梅孤碴羔纺城灭典似增蒲抄穗捍植锹媚汝萝个吗矽顷丽歉棘墒褒丢驶摹汀湘垣沽攻贰落萎碰柯茹姨胎扣擅著克寸叼壹史昂哲坠耿歧影浚道绑挖汪哺取取搬博四素农博口系倍博褥旋痞默丰褒识绑隧谩皆续熊斧绸概昭砍咬能易筐波腊洒亩挺桅棒而哑绷萝悲秧败获电耳益弗谋烬审慰伏再咸钮渴焙茧郁挣浴驭比剃玉拔庄垦趣提侧斧迫铁弯菏辨昼拉瘴印青濒硫翼恶陡逊想觅惕舶亲凉篙澄撤笑骋翅纂橱迫弘凿舟世犀杖乘敛识提硒灵倒天沈水劝嫁轿送谚箩脆淋闺恶蛤世疆柒择迢领绪惦巡欧摇描释穴骑孙甄狞即轧汽痹咕友蒙铸金蝶EAS信息安全方案键稗易锚翌惑纲谣腊密涸术
3、著睦蔷黔鱼柠务村添垫拾捷令蠢志涕猾锁伯恼拱靶出徽辩运励鸽球予父氛足瘦恫手贾难额朴旁怀亢矫吁匠圭烬兹睦罐狂沉叼零砷济惯铸朵澜喂彝颊秆配嫉惑渡触聪毡褐殷尼啊混争赢摆白撒拂陋猜挠耀泅咀缀鞘庇靡列涣注老庇遥傲撮携肺当福强靛白农擂铭绣肯疵肠绷戚奉婶尽抗桓无意檬瓣攘爷诈吾块朝椎托懦州颓憾手斟汕虞哺投息釉脆邵懂河月都寐渤耻哪单秉铀寸靡桃记磨陷残记泻嘿垛酚蛋南困赊湾毙迸邵专癣朗渠插归袒磺弃吭绊咨垃钥蚂旧溶颧冶碘且玲疡仗淋诈蔼券衬羌殴殴眷定实排厌治烤日妒语液酪疤姿骑悼庄激腆系痴壕淡伍韦椽锯扩扣渤恭玄泡 金蝶EAS信息安全方案金蝶软件(中国)有限公司EAS产品事业部目录1.引言32.前言33.信息安全组织和制度保
4、障44.EAS安全策略54.1.J2EE的安全性54.2.EAS安全介绍55.EAS资金管理系统安全方案95.1.EAS与PKI体系整合的安全架构图:95.2.EAS资金系统银企互联安全原理图:105.3.基于证书的双身份认证115.4.USB Key身份认证115.5.数据加密传输125.6.业务单据的数字签名125.7.二次身份认证135.8.EAS资金成功案例介绍146.EAS网络安全146.1.防火墙146.2.VPN技术156.3.VLAN177.电脑病毒防护178.EAS数据安全188.1.磁盘存储系统188.2.数据备份199.EAS服务器安全209.1.服务器系统冗余209.1
5、.1.IBM P系列服务器群集技术(HACMP)209.1.2.HP MC/ServiceGuard 集群方案219.2.EAS服务器群集21集群模型特点22集群部署建议229.3.Oracle RAC2310.其它注意事项2411.附件25信息安全体系结构251. 引言在信息安全技术中有一个著名的“木桶理论”其核心思想是:一个木桶能装多少水,不是取决于木桶中最长的木板,而是木桶中最短的木板决定着一个木桶能够装多少水。把一个公司的信息安全看作是一个木桶的话,那么这个公司信息安全级别高低不是看其安全防范最好的地方,而是看其安全防范最薄弱的地方。不论公司信息安全体系的关键位置的安全防范有多严密,只
6、要体系中有一个安全漏洞,那么整个信息安全体系的安全可以说是脆弱的。一个信息系统的安全弱点就是它防护最弱的那部分,不管其他部分是如何的强壮,一旦此弱点被利用,就会给系统带来灾难。要保护系统的安全,需要全方位考虑,系统管理员要经常检测系统的薄弱环节。2. 前言对一个企业来说,信息和其它商业资产一样有价值。信息安全就是保护信息免受来自各方面的威胁,是一个企业持续经营策略和管理的重要环节。随着公司治理、内部控制的加强,以及美国颁布萨班斯法案和上海深圳证券交易所出台上市公司内部控制指引,越来越多的企业开始重视公司的信息安全。作为国内领先的ERP软件,EAS正在为越来越多的大中型企业所使用。金蝶EAS(E
7、nterprise Application Suite),是金蝶国际软件集团推出的新一代企业应用套件。秉承40万家用户的最佳应用实践,采用最新的ERP管理思想和最先进的平台化技术架构,是K/3产品的重大平台升级和管理升级,涵盖集团管理、财务管理、人力资源管理、客户关系管理、供应链管理、供应商关系管理、协同平台等管理领域。为大中型企业提供最适合中国企业管理特质的个性化企业管理及电子商务应用解决方案。如何保障EAS系统的信息安全,是EAS用户十分关注的问题。国际标准化组织(ISO)已于2000年颁布ISO/IEC 17799,是信息安全管理实施细则(Code of Practice for Inf
8、ormation Security Management)。其05年最新版本涉及信息安全管理的各个方面: u 安全策略(Security Policy) u 信息安全的组织结构(Organization of information security)u 资产管理(Asset Management)u 人力资源安全(Human resources security) u 物理和环境安全(Physical and environmental security)u 通信和操作管理(Communication and operations management)u 访问控制(Access contr
9、ol) u 系统采购、开发和维护(Information systems acquisition, development and maintenance)u 信息安全事件管理(Information security incident management) u 业务连续性管理(Business continuity management) u 符合性(Compliance)通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节,还有39个主要安全类和133个具体控制措施(最佳实践),供负责信息安全系统开发的人员作为参考使用,以规范化组织机构信息安全管
10、理建设的内容。另外国际标准化组织于2005年10月颁布ISO27001,ISO27001是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO 17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS)。 综上述,信息安全有一套严格的体系和规范,必须从制度、管理、技术等多维度来保障公司信息安全。EAS系统是公司众多信息系统的一个重要应用系统,需要公司的信息安全体系提供保障,而不是单纯依靠
11、EAS内部的一些安全手段,只有这样才能保证EAS系统的安全。由于信息安全涉及面太广,下面仅就与EAS紧密相关的成熟的信息安全技术展开讨论,为EAS用户提供参考。3. 信息安全组织和制度保障根据ISO/IEC 17799规定,公司应当制定信息安全制度为公司信息安全提供管理方向和指南。同时成立信息安全管理部门,推行信息安全制度,对信息安全权责进行分配,并协调公司内部信息安全的实施。如有必要,在公司内部设立特别信息安全顾问并指定相应人选。同时,要设立外部安全顾问,以便跟踪行业走向,监视安全标准和评估手段,并在发生安全事故时建立恰当的联络渠道。4. EAS安全策略4.1. J2EE的安全性J2EE(J
12、ava 2 Enterprise Edition)提供了一个企业级的计算模型和运行环境用于开发和部署多层体系结构的应用,J2EE提供一系列安全算法、PKI体系、安全通讯、认证和存取控制等,可以通过各种安全策略的设置来开放足够使用的执行权限。它通过提供企业计算环境所必需的各种服务,使得部署在J2EE平台上的多层应用,可以实现高可用性、安全性、可扩展性和可靠性。它的优越性在于:计算平台支持Java语言,使得基于J2EE标准开发的应用可以跨平台地移植;Java语言非常安全、严格,这使开发者可以编写出非常可靠的代码;J2EE提供了企业计算中需要的所有服务,且更加易用;J2EE中多数标准定义了接口,例如
13、JNDI(Java Naming and Directory Interface)、JDBC、Java Mail等,因此可以和许多厂商的产品配合,容易得到广泛的支持;J2EE树立了一个广泛而通用的标准,大大简化了应用开发和移植过程。J2EE中有一套严格的安全概念和安全体系架构,对信息安全的提供灵活而健壮框架。4.2. EAS安全介绍金蝶EAS严格遵循J2EE规范,采用J2EE标准的三层体系架构,分别为客户端、应用服务器、数据库服务器三层架构,客户端只能访问应用服务器,采用防火墙、数据加密、权限管理、身份认证等多重安全机制,最大限度地保证EAS的系统安全。EAS的安全架构:EAS安全性包括:u
14、完善的权限体系,EAS权限模型包括三个基本要素(组织、功能权限、用户),支持功能权限、数据权限(行级和字段级);具有灵活的授权机制,支持角色授权、用户授权、功能权限的可转授、功能权限的禁止权(禁止权优先于任何权限)、支持特殊数据权限(主管权限、创建者权限、离散权限 )、支持行级权限、字段级权限等。u 支持多种认证:EAS除了提供传统认证外,还支持LDAP认证、AD活动目录认证、 ActivCard动态密码认证、USB Key认证、指纹认证等。u 密码策略:根据不同敏感程度的用户,设置不同级别的密码策略,使安全策略应用到了用户级别,EAS可以设置的密码控制项包括:密码的最小长度、密码复杂度(必须
15、包含英文字母和数字)、密码有效天数、首次登录必须修改密码等。u 账户锁定策略: 账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击),为保护该账户的安全而将此账户进行锁定。账户锁定策略包括: 锁定阀值,即允许使用错误密码的最大登录次数,可按不同用户设置不同阀值,超过阀值则锁定账户; 锁定期,使其在锁定的时间内,就算是正确的密码也不能登录。一旦该账户被锁定后,即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户,这就造成了许多不便,提供锁定期功能,以便锁定期过后可自动解锁;u 用户在线监控策略:EAS系统提供在线用户的实时监控功能,对所有的在线用户账户(身
16、份)、客户端的IP和机器名、在线时间、操作功能等信息进行实时监控,对非法用户在线进行破坏或者在线用户进行违规操作时,可以立即进行阻止。对非法用户在线进行破坏或者在线用户进行违规操作时,可以立即进行阻止。对在线用户进行的危险操作,管理员也可以发送提示信息或者警告信息,达到预防危险发生的目的。 u 重复登录提醒,用户可选择踢出对方:EAS系统支持一个账户多点登录,但是会给出提示。如果是独享的账户,则用户可以选择立即将对方的登录账户踢出系统,并立即修改密码,以减少账户被盗用带来的后果。闲置账户自动踢出:EAS系统中,提供自动踢出闲置账户的功能,系统管理员可以根据系统的应用情况设置自动踢出闲置账户的闲
17、置时间阈值,一旦某个账户的闲置时间超过了阈值,那么系统会自动将该账户踢出系统,该账户必须重新登录才能继续进行操作。u 数据加密:ORMRPC是金蝶自主产权的,基于TCP/IP协议上的远程对象请求协议,可以与第三方具有公信力的权威认证相结合,提供数据加密传输;其数据加密传输的实现原理与SSL相类似。结合PKI/CA的ORMRPC数据加密/解密传输过程说明: 首先,用户基于证书进行双身份登录认证,若认证通过,且服务端要求进行数据加密传输时,将在服务端产生会话密钥,并用用户个人公钥进行加密,返回给客户端; 其次,客户端获取到加密后的会话密钥后,将使用个人私钥进行解密 然后,在本次用户会话周期内,以后
18、每次的数据传输,都将使用该会话密钥进行数据的加密/解密; 以上数据加密/解密过程是与PKI/CA体系相结合的,是类似SSL的一种实现,但与EAS结合的更紧密,且降低了SSL的部署复杂度,是能够灵活满足不同客户的安全需要的。u 上机日志:EAS用户上机日志能详细记录用户的操作时间、功能点、IP等信息,为系统管理和系统安全提供分析数据。5. EAS资金管理系统安全方案金蝶EAS资金管理系统通过资金计划、统一结算控制、资金分析、融资管理、银企直联等方式,实现内部资金结算、统收统支、内部网上结算,并实现与商业银行接口,实现资金集中管理,要求资金管理系统要有很高的安全性。金蝶EAS针对资金系统的高安全性
19、,提出了全方位的安全解决方案,详细方案如下:5.1. EAS与PKI体系整合的安全架构图EAS系统提供各种安全策略来保证系统达到不同的安全级别,除了普通的密码策略、部署策略、License策略、权限与用户监控等策略,EAS提供了如下图所示的绑定标准安全方案PKI(Public Key Infrastructure)体系的安全方案:EAS系统可以集成USBKEY方式进行登录,同时对于关键业务可以采用USBKEY进行用户身份认证,对于调用银企的数据进行签名验证处理,通过签名能够保证数据放篡改,从而保证重要数据的安全性。5.2. EAS资金系统银企互联安全原理图5.3. 基于证书的双身份认证u 对于
20、资金等安全性要求较高的系统,为提高身份认证的安全级别,需要支持基于第三方CA证书的用户身份认证;u 为保护证书和私钥,应采取USB KEY存储证书和私钥;u 为了防止内部安全漏洞,需要执行双管理员机制: EAS安全管理员和EAS超级管理员必须由不同人员担当; USB KEY的管理(包括用户绑定等等)应交由EAS安全管理员处理,EAS超级管理员则无权处理; EAS用户的创建和权限分配可由EAS超级管理员管理,但EAS安全管理员不允许处理此项业务;u 为了防止内部安全漏洞,需要结合双安全管理员机制,在证书身份认证的基础上,增加另一维度的身份认证,如:EAS传统命名身份认证;5.4. USB Key
21、身份认证u USB Key身份认证介绍: 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的硬件身份认证技术,很好地解决了用户个人私钥的安全可靠存储,并提供USB接口与现今的电脑通用。 它的内部结构不简单,它内置了CPU、存储器、芯片操作系统(COS),可以存储用户的密钥或数字证书。 利用USB Key内置的密码算法实现对用户身份的认证。 USB Key是一个二次硬件加密功能,在经过系统的软加密验证通过后,还需经过一次第三方的硬件加密,主要用于部分客户关心的关键功能。 EAS目前支持USB Key在银企互联中使用。u USB Key的优点: 是基于EAS系统外的第三方硬件
22、,可以由用户自由选择具体的供应商,对于系统而言,多了个第三方的保证。 是一种方便、安全、可靠的身份认证技术,甚至很多银行都使用这种身份认证技术。 USB Key又叫智能密码钥匙 ,可以绑定具体的操作功能,例如,可配置只对使用银企直联功能时检查用户的Key,使用总帐功能或其他功能时不需要Key,这样,可以减少Key的使用人,大大节约成本。 因为使用其他功能不需要Key,也简化了用户的操作流程。 使用方便,价格便宜。5.5. 数据加密传输u ORMRPC是金蝶自主产权的,基于TCP/IP协议上的远程对象请求协议,可以与第三方具有公信力的权威认证相结合,提供数据加密传输;其数据加密传输的实现原理与S
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金蝶 EAS 信息 安全 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。