金蝶EAS信息安全方案

EAS金蝶軟件（中國(guó)）EAS引 前 信息安全組織和制度保 EAS安全策 J2EE的安全 EAS安全介 EAS資金管理系統(tǒng)安全方 EAS與PKI體系整合的安全架構(gòu)圖 EAS資金系統(tǒng)銀企互聯(lián)安全原理圖 基于證書的雙身份認(rèn) USBKey身份認(rèn) 數(shù)據(jù)加密傳 業(yè)務(wù)單據(jù)的數(shù)字簽 二次身份認(rèn) EAS資金成功案例介 EAS網(wǎng)絡(luò)安 防火 VPN技 電腦病毒防 EAS數(shù)據(jù)安 磁盤存儲(chǔ)系 數(shù)據(jù)備 EAS服務(wù)器安 服務(wù)器系統(tǒng)冗 IBMP系列服務(wù)器群集技術(shù) HPMC/ServiceGuard集群方 EAS服務(wù)器群 集群模型特 集群部署建 Oracle 其它注意事 附 信息安全體系結(jié) 作為國(guó)內(nèi)領(lǐng)先的ERPEAS正在為越來(lái)越多的大中型企業(yè)所使用。金蝶EAS(EnterpriseApplicationSuite)40ERPⅡK/3EASEAS國(guó)際標(biāo)準(zhǔn)化組織（ISO）2000ISO/IEC17799（CodeofPracticeforInformationSecurityManagement05年最新版本涉及信息安全管安全策略（Security信息安全的組織結(jié)構(gòu)（Organizationofinformation資產(chǎn)管理（Asset人力資源安全（Humanresources物理和環(huán)境安全（Physicalandenvironmental通信和操作管理（Communicationandoperations訪問(wèn)控制（Access系統(tǒng)采購(gòu)、開發(fā)和維護(hù)（Informationsystemsacquisition,developmentand信息安全事件管理（Informationsecurityincident業(yè)務(wù)連續(xù)性管理（Businesscontinuity符合性系（ISMS）的一套規(guī)范（SpecificationforInformationSecurityManagementSystems，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用ISO（ISMS公司信息安全。EAS系統(tǒng)是公司眾多信息系統(tǒng)的一個(gè)重要應(yīng)用系統(tǒng)，需要公司的信息安全EAS緊密相關(guān)的成熟的信息安全技術(shù)展開討EAS用戶提供參考。ISO/IEC17799規(guī)定，公司應(yīng)當(dāng)制定信息安全制度為公司信息安全提供管理方向和EASJ2EEJ2EE(Java2EnterpriseEdition)提供了一個(gè)企業(yè)級(jí)的計(jì)算模型和運(yùn)行環(huán)境用于開發(fā)和部署多層體系結(jié)構(gòu)的應(yīng)用，J2EE提供一系列安全算法、PKI體系、安全通訊、認(rèn)證和存取控J2EE平臺(tái)上的多層應(yīng)用，可以實(shí)現(xiàn)高可用性、安全性、可JavaJ2EE標(biāo)準(zhǔn)開發(fā)的應(yīng)用可以跨平臺(tái)地移植；Java語(yǔ)言非常安全、嚴(yán)格，這使開發(fā)者可以編寫出非?？煽康拇a；J2EE提供了企業(yè)計(jì)算中需要的所有服務(wù)，且更加易用；J2EE中多數(shù)標(biāo)準(zhǔn)定義了接口，例如JNDI（JavaNamingandDirectoryInterface、JDBC、JavaMail等，因此可以和許多廠商的產(chǎn)品配合，容易得到廣泛的支持；J2EE樹立了一個(gè)廣泛而通用的標(biāo)準(zhǔn)，大大簡(jiǎn)化了應(yīng)用開發(fā)和移植過(guò)程。J2EE中有一套嚴(yán)格的安全概念和安全體系架構(gòu)，對(duì)信息安全的提供靈活而EASEAS的系統(tǒng)安全。EASEAS完善的權(quán)限體系，EAS權(quán)限模型包括三個(gè)基本要素（組織、功能權(quán)限、用戶管權(quán)限、創(chuàng)建者權(quán)限、離散權(quán)限、支持行級(jí)權(quán)限、字段級(jí)權(quán)限等。ActivCard動(dòng)態(tài)密碼認(rèn)證、USBKey認(rèn)證、指紋認(rèn)證等。用到了用戶級(jí)別，EAS可以設(shè)置的密碼控制項(xiàng)包括：密碼的最小長(zhǎng)度、密碼復(fù)雜度（必須賬戶鎖定策略：賬戶鎖定是指在某些情況下(例如賬戶受到采用密碼詞典或暴力用戶在線監(jiān)控策略：EAS系統(tǒng)提供在線用戶的實(shí)時(shí)監(jiān)控功能，對(duì)所有的在線用戶重復(fù)登錄提醒，用戶可選擇踢出對(duì)方：EAS閑置賬戶自動(dòng)踢出：EAS系統(tǒng)中，提供自動(dòng)踢出閑置賬戶的功能，系統(tǒng)管理員可以根SSLPKI/CAORMRPC數(shù)據(jù)加密/解密傳輸過(guò)程說(shuō)明：以上數(shù)據(jù)加密/PKI/CASSL的一種實(shí)現(xiàn)，但EASSSL的部署復(fù)雜度，是能夠靈活滿足不同客戶的上機(jī)日志：EAS用戶上機(jī)日志能詳細(xì)記錄用戶的操作時(shí)間、功能點(diǎn)、IP等信息，EASEAS資金管理系統(tǒng)通過(guò)資金計(jì)劃、統(tǒng)一結(jié)算控制、資金分析、融資管理、銀企直EAS針對(duì)資金系統(tǒng)的高安全性，EAS與PKIEAS系統(tǒng)提供各種安全策略來(lái)保證系統(tǒng)達(dá)到不同的安全級(jí)別，除了普通的密碼策略、部署策略、License策略、權(quán)限與用戶監(jiān)控等策略，EAS提供了如下圖所示的綁定標(biāo)準(zhǔn)安全PKI（PublicKeyInfrastructure）體系的安全方案：EASUSBKEYUSBKEY進(jìn)EASCA證書的用戶身份認(rèn)證；USBKEYEASEASUSBKEY的管理（包括用戶綁定等等EAS安全管理員處理，EAS超級(jí)管EASEASEAS安全管理員不允許增加另一維度的身份認(rèn)證，如：EAS傳統(tǒng)命名身份認(rèn)證;USBKeyUSBKeyUSBKey的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全、可靠的硬件USB接口與它的內(nèi)部結(jié)構(gòu)不簡(jiǎn)單，它內(nèi)置了CPU、存儲(chǔ)器、芯片操作系統(tǒng)（COS，可以存儲(chǔ) 利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。USBKey是一個(gè)二次硬件加密功能，在經(jīng)過(guò)系統(tǒng)的軟加密驗(yàn)證通過(guò)后，還需經(jīng)過(guò)EASUSBKeyUSBKeyEAS系統(tǒng)外的第三方硬件，可以由用戶自由選擇具體的供應(yīng)商，對(duì)于系統(tǒng)USBKey又叫智能密碼鑰匙，可以綁定具體的操作功能，例如，可配置只對(duì)使用Key的使用人，大大節(jié)約成本。KeySSL相類似。PKI/CAORMRPC數(shù)據(jù)加密/以上數(shù)據(jù)加密/PKI/CASSL的一種實(shí)現(xiàn)，但證據(jù)；顯然這些需求都可通過(guò)數(shù)字簽名來(lái)實(shí)現(xiàn)。EAS主要業(yè)務(wù)對(duì)象為單據(jù)，通過(guò)EAS中業(yè)務(wù)單據(jù)提交銀企互聯(lián)的時(shí)候，由于是真正付款出去，對(duì)某些字段比如付付款單提交銀企互聯(lián)的時(shí)候?qū)σ用艿淖侄斡孟嗤用芩惴ㄖ匦逻M(jìn)行加密得到新則說(shuō)明被加密的這幾個(gè)字段中有字段數(shù)據(jù)被修改過(guò)，否則就說(shuō)明沒(méi)被篡改。EASXXEASEASEAS系統(tǒng)時(shí)都必操作權(quán)限，同時(shí)在EAS系統(tǒng)設(shè)置安全管理員角色，安全管理員只能處理類似USBKey綁定、撤銷綁定、發(fā)放等日常工作。EAS與辦公網(wǎng)絡(luò)隔離。EAS客戶端通過(guò)金蝶自主開發(fā)的協(xié)議ORM-RPC與應(yīng)用服務(wù)器連接，ORM-RPCHTTPTCP/IP協(xié)議之上，ORM-RPCHTTP80端口或TCP11034ORM-RPCTCP端口。在防火墻上配置11034（或客戶自定義端口WebSphereHTTP9080，ApusicHTTP6888，WeblogicHTTP7001。EASTCP:APPSERVPNVPN即虛擬專用網(wǎng)(VirtualPrivateNetworks)提供了一種通過(guò)公共非安全介質(zhì)如Internet)VPN技術(shù)，甚至機(jī)密信息都可以通過(guò)公共非安全的介質(zhì)進(jìn)行安全傳送。VPN技術(shù)的發(fā)展與成熟，可為企業(yè)的商業(yè)運(yùn)作提供一個(gè)無(wú)處不在的、VPN網(wǎng)絡(luò)架構(gòu)彈性大——IntranetExtranet連接企業(yè)合作伙伴、供應(yīng)商和主要客戶（建立綠色信息通道VPN硬件設(shè)備：帶VPN功能模塊的路由器、防火墻、專用VPN硬件設(shè)備等，如Nokia Cisco、NetScreen等軟件實(shí)現(xiàn)：Windows2000PPTPL2TP、第三方軟件（CheckPoint、深信服務(wù)提供商（ISP）：中國(guó)電信、聯(lián)通、網(wǎng)通等。目前一些ISPMPLS+VLAN（VirtualLocalAreaNetwork）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，VLAN組 2 必須制定嚴(yán)格的企業(yè)防病毒管理措施3 劃分VLAN,可以防止病毒擴(kuò)散，縮小影響范圍EASEAS運(yùn)行的是企業(yè)運(yùn)營(yíng)管理的核心關(guān)鍵數(shù)據(jù)，存儲(chǔ)的可靠性要求非常高，因此必須要EAS數(shù)據(jù)，而且EMC、IBM、HDS、HP等。RAIDRedundantArrayofInexpensiveDisks的縮寫，中文譯作LEVELRAID0，RAID1，RAID3，RAID5RAID10，RAID50等，以及硬件廠商自己定RAIDRAID級(jí)別，RAID10RAID5比較常見(jiàn)，金蝶推RAID10IO性能和可靠性。EAS200EAS12201500目前比較流行的解決方法包括硬盤介質(zhì)存儲(chǔ)，光學(xué)介質(zhì)和磁帶/目前主流的備份軟件有，IBMTivoli（TSM，HPOpenView，Veritas公司的NetBackup,LegatoNetWorker,CAARCserve等。客戶可以根據(jù)實(shí)際情況選擇合適備份計(jì)劃/EAS的數(shù)據(jù)安全，金蝶建議客戶購(gòu)買專業(yè)的備份軟件和硬件，并要求客戶必須對(duì)EAS數(shù)據(jù)進(jìn)行備份。EASIBMP系列服務(wù)器群集技術(shù)IBMPPHACMP（HighAvailabilityClusterMulti-Processing）雙機(jī)系統(tǒng)，一臺(tái)安裝應(yīng)用服務(wù)器，一臺(tái)安裝數(shù)據(jù)庫(kù)，兩臺(tái)主機(jī)互為HACMP作為雙機(jī)系統(tǒng)的兩臺(tái)服務(wù)器（AB）HACMP行情況（包括系統(tǒng)的軟硬件運(yùn)行、網(wǎng)絡(luò)通訊和應(yīng)用運(yùn)行情況等；IPHAHACMP232PSPIBMP系列服務(wù)器擴(kuò)展性很強(qiáng)，一般客戶采用配置相同的兩臺(tái)主機(jī)（一臺(tái)應(yīng)用服務(wù)器，HPMC/ServiceGuardMC/ServiceGuardMC/SGHP服務(wù)器的高可用性集群軟件。MC/SG實(shí)現(xiàn)的功能：EASEAS服務(wù)器（LoadEAS服務(wù)器EAS服務(wù)器EASEAS；應(yīng)用服務(wù)器配置，CPU1CPU、2.5G內(nèi)存可以EAS節(jié)點(diǎn)。EASOracleOracleRAC(RealApplicationClusters)真正應(yīng)用集群選件,Oracle數(shù)據(jù)庫(kù)高性能、高10gRACHA軟件，降低采購(gòu)成本。OracleRAC原理示意圖RAC和主/備(雙機(jī)熱備)1分鐘內(nèi)透主/5~20分鐘HA1 測(cè)試服務(wù)器環(huán)基于安全考慮，EAS除了生產(chǎn)服務(wù)器之外，還應(yīng)該配置測(cè)試服務(wù)器，測(cè)試服務(wù)器的軟EAS的補(bǔ)丁必須先在測(cè)試服務(wù)器上安裝，在測(cè)試服務(wù)器上驗(yàn)證通過(guò)后才能安裝在生產(chǎn)服務(wù)2、