企业财务信息化系统安全技术方案_第1页
企业财务信息化系统安全技术方案_第2页
企业财务信息化系统安全技术方案_第3页
企业财务信息化系统安全技术方案_第4页
企业财务信息化系统安全技术方案_第5页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、企业财务信息化系统安全技术方案目 录 TOC o 1-4 f u 1项目概述 PAGEREF _Toc57140646 h 32详细规划方案 PAGEREF _Toc57140647 h 42.1技术实现方案 PAGEREF _Toc57140648 h 42.1.1系统安全技术方案 PAGEREF _Toc57140649 h 42.1.1.1IT系统安全体系 PAGEREF _Toc57140651 h 42.1.1.2安全管理制度 PAGEREF _Toc57140652 h 52.1.1.3安全系统设计 PAGEREF _Toc57140653 h 52.1.1.4网络安全 PAGER

2、EF _Toc57140654 h 62.1.2系统性能要求方案 PAGEREF _Toc57140655 h 8项目概述通过架构顶层设计和统一管理,加强数据共享和业务协同、支撑未来业务快速上线。对于财务核算系统建设的总体目标,理解主要包括以下两个方面:提升集团“财务服务能力”:基于统一核算规则,全流程贯通,全面协同,提升管理效率,降低管理成本,支持财务转型;提升集团“财务管控能力”:一套系统、集中部署,落实全集团核算过程的统一,利用主数据、合并报告等手段,整体提升集团层面集中管控能力。具体来看,本期工程重点要达成以下目的:建设集中化的财务核算系统,通过集团统一核算规则及管控规则的集中固化,替

3、换原总部及各工程局、专业公司、设计院等子属分散部署的财务核算系统;与资金系统、报账系统集成,形成业财协同和财财融合体系,实现核算自动化,提升交易处理效率;实现总部、各工程局、专业公司、设计院等子属之间的关联交易协同,提升对账准确性和及时率;与合并系统集成,实现对外披露报表的自动化,实现全集团报表一点出具;与预算系统、资金系统、税务系统集成,提升财务专业运营能力,支撑管理会计体系的构建,助力财务转型。通过上述目标的达成,最终实现“纵向上,集团管理贯穿所有组织层级,实现纵向信息穿透、管理一体化;横向上,业务横向贯穿业务部门,实现业财协同;决策上,实现一个、一副面孔,一个数据口径、一套决策体系” 的

4、集中化财务管理平台。详细规划方案技术实现方案系统安全技术方案 IT系统安全体系在安全体系建设过程中,需要综合考虑安全要素,主要包含贯穿始终的安全策略、安全评估和安全管理;而在技术层面上需要考虑实体的物理安全,网络的基础结构、网络层的安全、操作系统平台的安全、应用平台的安全,以及在此基础之上的应用数据的安全。这几个方面,既是一种防护基础,也是相互促进的,同时,也是一个循环递进的工程,需要不断的自我完善和增强,才能够形成一套合理有效的整体安全防护系统。整体安全包括如下几个部分:策略安全,包括安全的范围、等级、公司的政策、标准。安全评估,包括威胁评估、漏洞评估、制度评估。物理安全,包括门禁系统、防静

5、电防磁、防火防盗、多路供电。系统安全,包括系统漏洞扫描、系统加固、系统入侵侦测和响应、主机访问控制、集中认证。网络安全,包括网络漏洞扫描、网络入侵侦测和响应、路由器访问控制列表(ACL)、集中认证、防火墙、VLAN、QoS、路由欺骗、地址欺骗。身份认证,包括接入系统的身份认证,门户系统的身份认证。应用和数据库安全,包括数据库漏洞扫描,数据库安全管理。数据和内容安全,包括网络和网关式病毒扫描服务、VPN加密。具体请参照下图:图:IT系统安全体系架构安全管理制度安全最重要的方面就是管理,只要制定完善的安全管理制度,并有一支队来严格按照此支队进行安全管理,同时配以相应的安全产品,才能做到真正的安全。

6、安全管理的基础是建立网络安全管理组织,落实管理制度。应从领导层、技术层、职能层和基础层全面进行组织建设,以支持安全法规、政策、标准的贯彻执行。安全管理的核心是管好人。要重视信息网络安全的教育,提高工作人员的安全意识,使网络安全管理措施的落实,逐步转变成法律约束之下的自律行为,这是实现信息网络安全的关键因素。在此基础上,培养一批信息安全管理的专门人才,解决信息网络安全的根本性问题。安全系统设计安全是现今所有建设的数据系统应当首先考虑的问题,企业IT建设中需要许多内部的应用系统相关联,需要时IT系统要接入Internet,所以安全是系统建设者需要首先考虑的一个重要问题。安全性不是一个附加的或独立的

7、项目,设计一个IT系统必须从一开始就考虑安全性。系统安全架构将从三个层次来考虑:网络层、主机/服务器系统及应用层。网络层的安全主要是防范对于整个网络的非法访问,一般通过防火墙来实现。通过配置了多级防火墙,以隔离数据中心网络各个组成部分相互之间的非法访问(合法访问可以通过);对于Internet用户来讲,如果想非法侵入数据中心的内部网络,必须突破防火墙的防范。另外,各级防火墙可采用不同的产品,以提高网络整体的安全性。主机/服务器系统的安全是针对个别机器的。除了主机/服务器的操作系统自身的安全性之外,目前有多种产品可供选择。应用层的安全将从三个方面来考虑:增强应用服务器系统的安全;采用身份认证机制

8、,以支持应用的可靠性;采用数据加密技术和防病毒软件,以支持应用的安全性。网络安全网络安全域规划系统根据各应用对安全防护需求划分不同的安全域,针对各安全域制订相应的ACL访问过滤策略,以提高网络的安全性。其中外部对安全域的访问通过的防火墙的ACL访问过滤策略实现,只有符合业务规定的访问数据流才被防火墙允许通过。对于安全域内部的子系统之间,可通过划分VLAN进行隔离,通过三层交换机在VLAN间配置访问控制列表,建立安全域内部VLAN间的安全访问控制策略。网络边界防护网络边界防护主要包括部署入侵检测设备以及防火墙等安全防护设备。防火墙防火墙作为网络的第一道安全屏障,其主要目标是要在核心网和外网之间建

9、立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出网络的服务和访问的审计和控制,保护内部资源,防止信息泄漏和外部入侵,提供对网络资源的访问控制。在公网出口与业务网络间采用异构的两层防火墙进行安全隔离,以提高核心层网络的安全性。公网系统只能通过防火墙的前端接口服务器访问业务网络的后端业务数据,避免外网系统直接访问核心业务网络,防范来自公网进行的侵入、攻击;在内部互联区与业务网络网络间通过防火墙进行安全隔离,通过防火墙的访问控制策略,防止来自内网用户对远程医疗服务平台系统的侵入、攻击。入侵监测入侵监测设备是专用型高性能网络安全“设备”,能够阻止网络上的非法恶意行为,例如黑客

10、发动的攻击。通过实时分析流量,使用户能够快速对安全问题作出反应。本次方案在公网出口部署入侵检测设备,以及时的阻止来自公网上的非法恶意行为。在数据库产品配置和应用系统实现上,使用敏感数据存储和网络传输(尤其是基于公网的数据传输)的安全性设计。网络安全规范可分为安全、认证两方面的规范。安全规范当前网络的安全规范包括加密算法、报文摘要算法、安全通信协议等方面的规范。加密技术是使数据不可读的处理过程。有许多不同的(和复杂的)打乱和恢复信息的方法。目前有两种方案可供选择,一种是访问使用了服务器证书的安全Web站点,故称之为服务器端加密技术。另一种用于接收和发送加密电子邮件。这两种用途中的加密处理方法都包

11、含了交换公钥过程。在加密过程中,使用公钥或私钥来加密信息,反之使用与之匹配的私钥或公钥来解密信息。例如,当访问一个安全Web站点时,客户端计算机接收到这个Web站点的公钥(公钥存储在证书里),客户端计算机对WEB站点发送的信息使用WEB站点的公钥加密,解密这些信息的唯一方法是Web站点使用他们的私钥。数字签名数字签名(Digital Signature)是应用公开密钥加密技术,用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。其使用方式是:报文的发送方从报文文本中生成一个128位或160位的单向散列值(或报文摘要),并用自己的私有密钥对这个散列值进行加密,形成发送

12、方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别与验证,支持报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字证书“数字证书”是一个经证书认证中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是网络安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥。C

13、A对申请者所提供的信息进行验证,然后通过向网络中各参与方签发数字证书,来确认各方的身份,支持网上业务的安全性。公钥基础设施(PKI)PKI是通过使用公开密钥技术和数字证书来支持系统信息安全并负责验证数字证书持有者身份的一种体系。企业可以建立公钥基础设施(PKI)体系来控制对其计算机网络的访问。 PKI采用各参与方都信任一个同一CA(认证中心),由该CA来核对和验证各参与方身份的身份这种信任机制。系统性能要求方案对于本次项目涉及软件系统应用除EBS系统外,其他系统的应用均提供Web服务,客户端直接通过浏览器访问,基本操作响应时间Web应用响应时间要求,对于数据量较大的查询操作建议采用后台请求的方

14、式。另外,Oracle EBS提供Form应用操作界面,在用户首次打开form应用时需要从服务器更新下载必要的jar文件,登录时间相对较长,一旦登录以后form应用在网络间的数据传输量将大幅降低。但是Oracle EBS系统form应用本身包含了部分大数据量的复杂应用程序,如果这部分应用出现性能问题,主要通过应用程序优化提升效率。在满足保证性能保障方面,我们根据各系统注册用户数量以及并发用户数量的评估,在资源配置上主要从两个方面建议如下:集群部署支持硬件资源横向扩展对于ERP系统和合并&预算系统的数据库部署Oracle Rac集群,当计算资源性能出现瓶颈影响前端应用响应时间的时候可以通过增加集群中服务器节点数量来提高集群的并发处理计算能。应用系统采用多节点部署以及网络负载均衡相结合的方式实现应用服务的计算资源横向扩展。使用超高IO存储设备针对ERP系统和合并&预算系统大数据量处理的特点,建议数据库的存储

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论