用友NC安全解决方案.doc
《用友NC安全解决方案.doc》由会员分享,可在线阅读,更多相关《用友NC安全解决方案.doc(47页珍藏版)》请在咨信网上搜索。
1、用友NC安全解决方案东方中讯数字证书认证有限公司用友用友NC安全解决方案 目录目 录1前言12应用安全需求概述12.1用友NC实现功能22.2CA应用需求22。3VPN安全应用需求42.4法律需求电子签名法52。4.1相关概念52。4。2相关规定62.4。3法律效益73CA安全解决方案73。1总体架构73。2托管服务模式93。2.1网络架构103.2.2CA系统工作流程设计113。2.3CA系统实施部署流程143.2。4托管模式意义143.3CA技术与VPN相结合153。3.1VPN总体架构153。3.2VPN安全登录实现原理163.3.3VPN证书应用173。4硬件RA- 东方中讯RAM18
2、3.4.1概述183.4.2产品特点183。4.3产品功能193.5证书存储介质194人员安全解决方案204。1信息部职责204。2各部门、分公司的职责204.3员工的权利与义务204.4证书申请流程和规范214.4.1数字证书发放模式214。4.2数字证书申请流程224。5鉴证审批管理规范234.5.1鉴证审批的基本原则234.5.2证书更新鉴证244。5。3证书吊销鉴证244。6网络管理员安全控制254.6。1网络管理员职责254。6。2NC系统人员安全管控265NC系统层次安全架构介绍315。1客户端接入315。2传输层加密335。3服务器安全335.4数据库安全346证书审批模式设计3
3、56。1手动审批366。2自动审批376.3通行码审批396.4集中制证模式407CA安全认证系统工作原理427.1系统安全原理427.2系统环境要求468证书存储方式468。1USB KEY介绍468.2USB KEY优点478。3USB KEY密码489用友NC系统证书应用4810技术支持与培训52附件一 关于东方中讯53附件二 东方中讯相关资质57东方中讯数字证书认证有限公司用友用友NC安全解决方案 第43页 共43页1 前言用友软件是中国最大的管理软件、ERP软件、财务软件、集团管理软件供应商之一。用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品,涵盖从集中财务管理、
4、供应链管理、集团资金管理等全面应用,全面支持企业各项经营,是集团企业协同电子商务的有效手段。用友NC与东方中讯数字PKI/CA产品和服务的整合方案,是一次强强联合。用友NC核心管理理念是“集中管理 战略协同”,其中“战略协同”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。而东方中讯作为专业的电子认证服务运营商和CA产品提供商,实现了用友NC用户多方安全协同工作,保障信息传递的机密性、保障电子化信息交互的层面上双方(多方)行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力,得到中华人民共和国电子签名法法律的保障。目前
5、,用友NC系统已经成功支持东方中讯CA产品和服务,NC系统只需简单的部署和配置,就可以实现基于数字证书的各种安全功能,保障系统高效、成功地实施.迄今为止,东方中讯PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。东方中讯以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴,为用友NC产品保驾护航,提供全面的安全解决方案.2 应用安全需求概述目前NC的默认登录方式是用户名+口令的方式,安全性不高,容易被暴力破解,当然在业务交流的时候也会因为人为的疏忽或者黑客的攻击而导致业务信息丢失,公开或者篡改,使用户的资金系统存在着安全隐患,导致不必要的损失。2.1 用友NC实
6、现功能1、 通过NC系统的应付系统来完成支付业务的全过程管理。2、 由系统实现专项预算对支付的自动控制,超出部分不允许支付。3、 可以通过配置不同付款单的审批流程来控制各子公司的支付走款,同时不允许修改由支付业务触发生成的总账凭证中的金额等要素。4、 子公司出纳将审批通过的付款单进行支付,如果开通了银企互联的支付功能,则可以在系统平台上直接对外支付.5、 子公司财务人员根据支付完成的付款单自动触发生成相关会计凭证.2.2 CA应用需求由于在用户内部存在着许多支付和审批交易,不可避免的会遇到一些安全保障因素,对支付人、审批人的身份认证,可信电子签名,操作控制以及抗抵赖追等,都是集团考虑的安全要素
7、。就用户的应用安全需求,结合用友NC系统,东方中讯提出下面几点具体的CA安全需求: 基于用户名/口令的认证方式基于用户名/口令的认证方式是最常用的一种技术,也是现在用友NC普遍使用的认证方式,无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录,都是基于用户名和口令的方式认证。基于用户名/口令的认证方式存在严重的安全问题,是攻击者最容易攻击的目标:1) 它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。2) 为记忆方便,是用户往往选择简单、容易被猜测的口令,如:与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口.3) 口令一般是经过加密后存放在口
8、令文件中,如果口令文件被窃取,那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。关于网站安全的调查结果表明:超过80的安全入侵是由于用户选用了拙劣的口令而导致的。由此可以推断,大部分的入侵可以通过选择好的口令来阻止。 应用系统对关键操作的控制关键操作即对数据交互的安全操作,比如在ERP系统中关键文档的提交和发布,报帐系统中重要信息的传输,资金系统中涉及资金的审批,供应链中的单据确认等等。主要涉及了三方面的安全风险:1) 信息的机密性:传输在客户端与Web服务器之间的敏感、机密信息和交易数据,如客户的私隐信息等,这些数据都是保密的数据。而通过开放的互联网,有可能在传输过程中被截取,被非
9、法用户加以利用,给用户和企业造成损失.2) 信息的完整性:在保证信息机密性的同时,还需要保证敏感数据的完整传输。通过开放的互联网,敏感数据在传输过程中很可能被恶意篡改,使得接收方不能得到完整的信息。3) 信息的不可抵赖性:是指发送信息的一方不能对自己的发送的信息进行抵赖,不能否认自己发送信息的行为。由于信息的传输是通过开放的互联网,经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题,给交易的双方带来巨大的影响和损失。网上交互(交易)行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据(无论是司法取证还是内部管理追溯或者审计)。 身份及资产的管理无论内部员工还是外部用户,最
10、大的风险就是信息环境中人与用户的关联性。当前信息安全的发展不仅要求虚拟身份的标识符合应用系统要求,而且强调标识方式符合真实的社会实体要求,即虚拟身份与真实身份唯一对应.对设备等实物资产同样,无法将真实身份按角色的分配给用户会导致整个管理的混乱,信息孤岛会导致IT的目标与企业战略和股东利益的不一致.东方中讯为用友NC提供的解决方案,能够完全解决财务、资金、供应链、客户关系管理、决策支撑、人力资源等丰富系统中的用户认证、数据加密、信息不可否认性等方面存在的安全问题。2.3 VPN安全应用需求随着信息化应用需求的逐步深入,企事业单位的内部应用系统往往需要向外部人员开放,方便本单位驻外地员工或者外单位
11、人员进行业务交流,在这种需求下,越来越多的企事业单位通过VPN系统处理外部用户的业务请求,采用VPN使外部用户可以方便的登录企业内部办公应用系统。在这种模式下,用户通过VPN能够直接接入企业内网,为了企业内部网络安全和传输信息安全,采用何种用户认证模式,就显得尤为重要了。具体的需求如下:(1) 身份认证和访问控制:高强度的身份认证是保障VPN系统安全的前提,VPN系统对用户的身份认证往往采用的是“用户名密码”的方式,这种口令式的用户身份认证方式降低了VPN系统的整体安全性.(2) 机密性:在网络上传输的信息不能被窃取;(3) 数据完整性:在网络上传输的信息不能被恶意窜改;(4) 不可抵赖性:在
12、网上提交的请求是不允许抵赖的,同时对涉及信息安全的事件,提供事后追踪、审核及统计的手段。2.4 法律需求-电子签名法2.4.1 相关概念电子签名:是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文:是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息.电子签名的表现形式:1、附着于电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像。2、向收件人发出证实发送人身份的密码、计算机口令.3、采用特定生物技术识别工具,如指纹或者虹膜透视辨别法。4、使用非对称密码加密系统对电子记录进行加密、解密变换来实现的数字签名。电子认证服务:是指为
13、电子签名相关各方提供真实性、可靠性验证的公众服务活动。电子签名人:是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。电子签名依赖方:是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。电子签名制作数据:是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。电子签名验证数据:是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。电子签名认证证书:是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。2.4.2 相关规定数字证书内容:电子签名法第二十一条 电子认证服务提供者签发的电子签名认证证书应当准确无误
14、,并应当载明下列内容:(一)电子认证服务提供者名称;(二)证书持有人名称;(三)证书序列号;(四)证书有效期;(五)证书持有人的电子签名验证数据;(六)电子认证服务提供者的电子签名;(七)国务院信息产业主管部门规定的其他内容.电子认证服务机构的条件:电子认证服务管理办法第五条 电子认证服务机构,应当具备下列条件:(一)具有独立的企业法人资格;(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员 和客户服务人员不少于三十名;(三)注册资金不低于人民币三千万元;(四)具有固定的经营场所和满足电子认证服务要求的物理环境;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机
15、构同意使用密码的证明文件;(七)法律、行政法规规定的其他条件。2.4.3 法律效益立法要解决的是规定安全可靠的电子签名应当达到的标准并赋予其法律效力;而如何达到法定标准,则属于技术问题. 电子签名法第十四条:“可靠的电子签名与手写签名或者盖章具有同等法律效力.” 电子签名法第十三条电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。3 CA安全解决方案3.1 总体架构在用友ERP的应用平台中,东方
16、中讯CA中心负责用户身份系统的权威数字证书管理,作为系统的基础支撑模块来完成整个可信平台的建设:目前,用友NC ERP已经成功集成了东方中讯的数字证书接口,因此,在用友软件ERP构建的企业ERP系统、资金管理系统中就可以直接通过使用东方中讯提供的数字证书服务,系统不必作任何改动就可以针对性的解决用友ERP所遇到的安全问题:如图所示,解决方案总体框架包含如下几个基本思想:一、 采用东方中讯提供的证书服务,为最终用户颁发数字证书,提供安全认证服务。二、 基于东方中讯和用友NC的系统集成,通过数字证书实现身份认证和访问控制,同时通过加密技术和数字签名技术,实现信息传输的机密性和抗抵赖性.三、 用户证
17、书保存在USB令牌中,USB令牌是一种安全的证书存储介质,可以保证保存在USB令牌上的证书私钥不能够被导出。同时,实现移动办公的需求。四、 技术和法律层面的双重保障抗抵赖性在2005年中华人民共和国电子签名法颁布以后,法律上规定:只有得到信息产业部颁发的电子认证服务许可证的数字认证机构,其所颁发的数字证书在电子商务中的数字签名才能够得到法律的认可和保护。东方中讯率先从信息产业部获得该资质,因此,用友NC ERP系统用户使用东方中讯提供的数字证书实现的电子签名是合乎法律要求的抗抵赖证据,从而使用友NC ERP的电子化签名和手写签名一样得到法律的认可,可以作为法律上有效的证据,结束了电子化信息系统
18、重要数据的“无据可依”,“无法可依”的现状。因此,通过此方式,用户能够实现技术和法律层面的双重保障.3.2 托管服务模式第三方托管型模式的解决方案的适用的范围是:传递的信息敏感,在技术层面上要实现敏感信息传递要防篡改、抗抵赖;信息传递双方(多方)的行为需要有公正的第三方的证实,在法律层面上要能够做到抗抵赖性.例如,资金管理系统中的分支机构和企业总部之间、电子交易平台中企业和经销商之间等。采用“第三方托管CA模式企业可以节省,企业就可以专心做自己的业务,而不用购买和维护复杂的、昂贵的 PKI 系统。更重要的是:客户希望他们使用的数字证书得到电子签名法的保护,对于这样的用户我们建议采用第三方托管服
19、务模式:在东方中讯认证中心内部,为客户建立一套托管CA系统,企业在申请数字证书的时候只需要直接通过互联网到东方中讯数字认证中心在线申请代表集团企业员工、企业供应商、客户、合作伙伴等身份的数字证书。3.2.1 网络架构如上图所示: 托管CA服务在企业本地不建设任何CA模块,通过企业委派的CA管理员使用数字证书(以USB KEY为证书介质)登录到东方中讯认证中心后台为企业提供的RA控制中心来实现证书审批和管理功能. CA管理员通过登录到用户注册服务器来完成用户证书申请以及其他证书生命周期管理功能。 发放数字证书后,用户可以将数字证书存放在USBKEY中,登入NC系统时采用用户名+口令+CA认证的方
20、式。 用户登入到NC系统,在做了相应的业务操作之后,需要用数字证书对数据进行签名保存,业务数据将被加密传输。 审批人员可以对签名的数据进行签名验证,查看业务数据是否被篡改。托管服务模式流程如下图:客户托管CA系统托管在东方中讯认证中心内部l 用户自己无需维护一套对技术和维护要求很高的CA系统,用户CA核心后台托管到东方中讯安全数据认证中心。用户需要建设的内容非常少,系统的建设速度也非常快。更重要的是,此种建设方式能够使用户的应用安全得到中华人民共和国电子签名法的保护。l 用户管理员可以远程管理其托管CA,安全便捷的发放数字证书。电子签名应用服务器在用户的系统中实现数字签名、身份认证、数据加解密
21、的电子签名集成系统(和NC系统配合)。3.2.2 CA系统工作流程设计(1)证书发放流程本方案设计的用友托管CA认证系统采用集中制证的发证模式,其工作流程如下图所示:证书发放流程(1) 最终用户使用浏览器,访问客户RA服务器,进入证书申请页面,填写证书申请信息,向客户RA认证系统提交证书申请请求.在本地USB令牌上产生证书的公私钥对,并将公钥和用户信息一起作为证书申请请求,提交给RA服务器;(2) RA管理员使用浏览器,访问RA服务器管理页面,查看用户提交的证书申请请求,验证申请信息,批准用户的证书申请请求;(3) RA服务器根据管理的批准,向托管在东方中讯的CA服务器进行申请,CA服务器根据
22、RA的申请,签发用户证书,将用户证书返回到RA端。同时,给用户发送一封电子邮件,指导用户下载签发的数字证书;(4) 最终用户按照邮件的提示,访问RA服务器,下载签发的证书,证书下载时自动保存到用户的USB令牌中,证书申请结束.(2)证书吊销流程在用户证书的私钥受到威胁、或者用户私钥丢失时,需要吊销用户的证书,根据用友的应用情况,本方案设计证书吊销由管理员进行,其工作流程如下:(1) 管理员在发现用户违反使用规定,或者用户自己向管理员发送邮件,请求吊销自己的证书时,管理员访问CA认证系统管理员管理页面,进行用户证书吊销;(2) 管理员通过证书管理功能页面,查询到需要吊销的用户证书;(3) 管理员
23、选择吊销操作,选择吊销用户证书的原因,向CA认证系统发送证书吊销请求;(4) CA认证系统根据管理员的证书吊销请求,自动的吊销用户的证书,并将吊销的用户证书发布到证书吊销列表中,同时对数据库中保存的用户证书的最新状态进行更新;(5) CA认证系统给管理员返回证书吊销成功信息,同时给用户发送电子邮件,告诉用户证书已经被吊销,不能再使用自己的证书.(3)证书更新流程最终用户在其证书即将过期之前,需要访问CA认证系统,更新自己的证书,其流程为:(1) 最终用户在证书即将过期前(一般为一个月),访问用户CA认证系统,登录用户服务页面,点击“证书更新”选项;(2) 系统自动识别用户是否具有用户CA认证系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 用友 NC 安全 解决方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。