金蝶EAS信息安全方案

EAS金蝶軟件（中國）EAS引 前 信息安全組織和制度保 EAS安全策 J2EE的安全 EAS安全介 EAS資金管理系統(tǒng)安全方 EAS與PKI體系整合的安全架構(gòu)圖 EAS資金系統(tǒng)銀企互聯(lián)安全原理圖 基于證書的雙身份認 USBKey身份認 數(shù)據(jù)加密傳 業(yè)務單據(jù)的數(shù)字簽 二次身份認 EAS資金成功案例介 EAS網(wǎng)絡安 防火 VPN技 電腦病毒防 EAS數(shù)據(jù)安 磁盤存儲系 數(shù)據(jù)備 EAS服務器安 服務器系統(tǒng)冗 IBMP系列服務器群集技術(shù) HPMC/ServiceGuard集群方 EAS服務器群 集群模型特 集群部署建 Oracle 其它注意事 附 信息安全體系結(jié) 作為國內(nèi)領(lǐng)先的ERPEAS正在為越來越多的大中型企業(yè)所使用。金蝶EAS(EnterpriseApplicationSuite)40ERPⅡK/3EASEAS國際標準化組織（ISO）2000ISO/IEC17799（CodeofPracticeforInformationSecurityManagement05年最新版本涉及信息安全管安全策略（Security信息安全的組織結(jié)構(gòu)（Organizationofinformation資產(chǎn)管理（Asset人力資源安全（Humanresources物理和環(huán)境安全（Physicalandenvironmental通信和操作管理（Communicationandoperations訪問控制（Access系統(tǒng)采購、開發(fā)和維護（Informationsystemsacquisition,developmentand信息安全事件管理（Informationsecurityincident業(yè)務連續(xù)性管理（Businesscontinuity符合性系（ISMS）的一套規(guī)范（SpecificationforInformationSecurityManagementSystems，其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導相關(guān)人員去應用ISO（ISMS公司信息安全。EAS系統(tǒng)是公司眾多信息系統(tǒng)的一個重要應用系統(tǒng)，需要公司的信息安全EAS緊密相關(guān)的成熟的信息安全技術(shù)展開討EAS用戶提供參考。ISO/IEC17799規(guī)定，公司應當制定信息安全制度為公司信息安全提供管理方向和EASJ2EEJ2EE(Java2EnterpriseEdition)提供了一個企業(yè)級的計算模型和運行環(huán)境用于開發(fā)和部署多層體系結(jié)構(gòu)的應用，J2EE提供一系列安全算法、PKI體系、安全通訊、認證和存取控J2EE平臺上的多層應用，可以實現(xiàn)高可用性、安全性、可JavaJ2EE標準開發(fā)的應用可以跨平臺地移植；Java語言非常安全、嚴格，這使開發(fā)者可以編寫出非?？煽康拇a；J2EE提供了企業(yè)計算中需要的所有服務，且更加易用；J2EE中多數(shù)標準定義了接口，例如JNDI（JavaNamingandDirectoryInterface、JDBC、JavaMail等，因此可以和許多廠商的產(chǎn)品配合，容易得到廣泛的支持；J2EE樹立了一個廣泛而通用的標準，大大簡化了應用開發(fā)和移植過程。J2EE中有一套嚴格的安全概念和安全體系架構(gòu)，對信息安全的提供靈活而EASEAS的系統(tǒng)安全。EASEAS完善的權(quán)限體系，EAS權(quán)限模型包括三個基本要素（組織、功能權(quán)限、用戶管權(quán)限、創(chuàng)建者權(quán)限、離散權(quán)限、支持行級權(quán)限、字段級權(quán)限等。ActivCard動態(tài)密碼認證、USBKey認證、指紋認證等。用到了用戶級別，EAS可以設(shè)置的密碼控制項包括：密碼的最小長度、密碼復雜度（必須賬戶鎖定策略：賬戶鎖定是指在某些情況下(例如賬戶受到采用密碼詞典或暴力用戶在線監(jiān)控策略：EAS系統(tǒng)提供在線用戶的實時監(jiān)控功能，對所有的在線用戶重復登錄提醒，用戶可選擇踢出對方：EAS閑置賬戶自動踢出：EAS系統(tǒng)中，提供自動踢出閑置賬戶的功能，系統(tǒng)管理員可以根SSLPKI/CAORMRPC數(shù)據(jù)加密/解密傳輸過程說明：以上數(shù)據(jù)加密/PKI/CASSL的一種實現(xiàn)，但EASSSL的部署復雜度，是能夠靈活滿足不同客戶的上機日志：EAS用戶上機日志能詳細記錄用戶的操作時間、功能點、IP等信息，EASEAS資金管理系統(tǒng)通過資金計劃、統(tǒng)一結(jié)算控制、資金分析、融資管理、銀企直EAS針對資金系統(tǒng)的高安全性，EAS與PKIEAS系統(tǒng)提供各種安全策略來保證系統(tǒng)達到不同的安全級別，除了普通的密碼策略、部署策略、License策略、權(quán)限與用戶監(jiān)控等策略，EAS提供了如下圖所示的綁定標準安全PKI（PublicKeyInfrastructure）體系的安全方案：EASUSBKEYUSBKEY進EASCA證書的用戶身份認證；USBKEYEASEASUSBKEY的管理（包括用戶綁定等等EAS安全管理員處理，EAS超級管EASEASEAS安全管理員不允許增加另一維度的身份認證，如：EAS傳統(tǒng)命名身份認證;USBKeyUSBKeyUSBKey的身份認證方式是近幾年發(fā)展起來的一種方便、安全、可靠的硬件USB接口與它的內(nèi)部結(jié)構(gòu)不簡單，它內(nèi)置了CPU、存儲器、芯片操作系統(tǒng)（COS，可以存儲 利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。USBKey是一個二次硬件加密功能，在經(jīng)過系統(tǒng)的軟加密驗證通過后，還需經(jīng)過EASUSBKeyUSBKeyEAS系統(tǒng)外的第三方硬件，可以由用戶自由選擇具體的供應商，對于系統(tǒng)USBKey又叫智能密碼鑰匙，可以綁定具體的操作功能，例如，可配置只對使用Key的使用人，大大節(jié)約成本。KeySSL相類似。PKI/CAORMRPC數(shù)據(jù)加密/以上數(shù)據(jù)加密/PKI/CASSL的一種實現(xiàn)，但證據(jù)；顯然這些需求都可通過數(shù)字簽名來實現(xiàn)。EAS主要業(yè)務對象為單據(jù)，通過EAS中業(yè)務單據(jù)提交銀企互聯(lián)的時候，由于是真正付款出去，對某些字段比如付付款單提交銀企互聯(lián)的時候?qū)σ用艿淖侄斡孟嗤用芩惴ㄖ匦逻M行加密得到新則說明被加密的這幾個字段中有字段數(shù)據(jù)被修改過，否則就說明沒被篡改。EASXXEASEASEAS系統(tǒng)時都必操作權(quán)限，同時在EAS系統(tǒng)設(shè)置安全管理員角色，安全管理員只能處理類似USBKey綁定、撤銷綁定、發(fā)放等日常工作。EAS與辦公網(wǎng)絡隔離。EAS客戶端通過金蝶自主開發(fā)的協(xié)議ORM-RPC與應用服務器連接，ORM-RPCHTTPTCP/IP協(xié)議之上，ORM-RPCHTTP80端口或TCP11034ORM-RPCTCP端口。在防火墻上配置11034（或客戶自定義端口WebSphereHTTP9080，ApusicHTTP6888，WeblogicHTTP7001。EASTCP:APPSERVPNVPN即虛擬專用網(wǎng)(VirtualPrivateNetworks)提供了一種通過公共非安全介質(zhì)如Internet)VPN技術(shù)，甚至機密信息都可以通過公共非安全的介質(zhì)進行安全傳送。VPN技術(shù)的發(fā)展與成熟，可為企業(yè)的商業(yè)運作提供一個無處不在的、VPN網(wǎng)絡架構(gòu)彈性大——IntranetExtranet連接企業(yè)合作伙伴、供應商和主要客戶（建立綠色信息通道VPN硬件設(shè)備：帶VPN功能模塊的路由器、防火墻、專用VPN硬件設(shè)備等，如Nokia Cisco、NetScreen等軟件實現(xiàn)：Windows2000PPTPL2TP、第三方軟件（CheckPoint、深信服務提供商（ISP）：中國電信、聯(lián)通、網(wǎng)通等。目前一些ISPMPLS+VLAN（VirtualLocalAreaNetwork）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，VLAN組 2 必須制定嚴格的企業(yè)防病毒管理措施3 劃分VLAN,可以防止病毒擴散，縮小影響范圍EASEAS運行的是企業(yè)運營管理的核心關(guān)鍵數(shù)據(jù)，存儲的可靠性要求非常高，因此必須要EAS數(shù)據(jù)，而且EMC、IBM、HDS、HP等。RAIDRedundantArrayofInexpensiveDisks的縮寫，中文譯作LEVELRAID0，RAID1，RAID3，RAID5RAID10，RAID50等，以及硬件廠商自己定RAIDRAID級別，RAID10RAID5比較常見，金蝶推RAID10IO性能和可靠性。EAS200EAS12201500目前比較流行的解決方法包括硬盤介質(zhì)存儲，光學介質(zhì)和磁帶/目前主流的備份軟件有，IBMTivoli（TSM，HPOpenView，Veritas公司的NetBackup,LegatoNetWorker,CAARCserve等。客戶可以根據(jù)實際情況選擇合適備份計劃/EAS的數(shù)據(jù)安全，金蝶建議客戶購買專業(yè)的備份軟件和硬件，并要求客戶必須對EAS數(shù)據(jù)進行備份。EASIBMP系列服務器群集技術(shù)IBMPPHACMP（HighAvailabilityClusterMulti-Processing）雙機系統(tǒng)，一臺安裝應用服務器，一臺安裝數(shù)據(jù)庫，兩臺主機互為HACMP作為雙機系統(tǒng)的兩臺服務器（AB）HACMP行情況（包括系統(tǒng)的軟硬件運行、網(wǎng)絡通訊和應用運行情況等；IPHAHACMP232PSPIBMP系列服務器擴展性很強，一般客戶采用配置相同的兩臺主機（一臺應用服務器，HPMC/ServiceGuardMC/ServiceGuardMC/SGHP服務器的高可用性集群軟件。MC/SG實現(xiàn)的功能：EASEAS服務器（LoadEAS服務器EAS服務器EASEAS；應用服務器配置，CPU1CPU、2.5G內(nèi)存可以EAS節(jié)點。EASOracleOracleRAC(RealApplicationClusters)真正應用集群選件,Oracle數(shù)據(jù)庫高性能、高10gRACHA軟件，降低采購成本。OracleRAC原理示意圖RAC和主/備(雙機熱備)1分鐘內(nèi)透主/5~20分鐘HA1 測試服務器環(huán)基于安全考慮，EAS除了生產(chǎn)服務器之外，還應該配置測試服務器，測試服務器的軟EAS的補丁必須先在測試服務器上安裝，在測試服務器上驗證通過后才能安裝在生產(chǎn)服務2、