金蝶EAS信息安全方案

EAS金蝶软件（中国）EAS引 前 信息安全组织和制度保 EAS安全策 J2EE的安全 EAS安全介 EAS资金管理系统安全方 EAS与PKI体系整合的安全架构图 EAS资金系统银企互联安全原理图 基于证书的双身份认 USBKey身份认 数据加密传 业务单据的数字签 二次身份认 EAS资金成功案例介 EAS网络安 防火 VPN技 电脑病毒防 EAS数据安 磁盘存储系 数据备 EAS服务器安 服务器系统冗 IBMP系列服务器群集技术 HPMC/ServiceGuard集群方 EAS服务器群 集群模型特 集群部署建 Oracle 其它注意事 附 信息安全体系结 作为国内领先的ERPEAS正在为越来越多的大中型企业所使用。金蝶EAS(EnterpriseApplicationSuite)40ERPⅡK/3EASEAS国际标准化组织（ISO）2000ISO/IEC17799（CodeofPracticeforInformationSecurityManagement05年最新版本涉及信息安全管安全策略（Security信息安全的组织结构（Organizationofinformation资产管理（Asset人力资源安全（Humanresources物理和环境安全（Physicalandenvironmental通信和操作管理（Communicationandoperations访问控制（Access系统采购、开发和维护（Informationsystemsacquisition,developmentand信息安全事件管理（Informationsecurityincident业务连续性管理（Businesscontinuity符合性系（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO（ISMS公司信息安全。EAS系统是公司众多信息系统的一个重要应用系统，需要公司的信息安全EAS紧密相关的成熟的信息安全技术展开讨EAS用户提供参考。ISO/IEC17799规定，公司应当制定信息安全制度为公司信息安全提供管理方向和EASJ2EEJ2EE(Java2EnterpriseEdition)提供了一个企业级的计算模型和运行环境用于开发和部署多层体系结构的应用，J2EE提供一系列安全算法、PKI体系、安全通讯、认证和存取控J2EE平台上的多层应用，可以实现高可用性、安全性、可JavaJ2EE标准开发的应用可以跨平台地移植；Java语言非常安全、严格，这使开发者可以编写出非常可靠的代码；J2EE提供了企业计算中需要的所有服务，且更加易用；J2EE中多数标准定义了接口，例如JNDI（JavaNamingandDirectoryInterface、JDBC、JavaMail等，因此可以和许多厂商的产品配合，容易得到广泛的支持；J2EE树立了一个广泛而通用的标准，大大简化了应用开发和移植过程。J2EE中有一套严格的安全概念和安全体系架构，对信息安全的提供灵活而EASEAS的系统安全。EASEAS完善的权限体系，EAS权限模型包括三个基本要素（组织、功能权限、用户管权限、创建者权限、离散权限、支持行级权限、字段级权限等。ActivCard动态密码认证、USBKey认证、指纹认证等。用到了用户级别，EAS可以设置的密码控制项包括：密码的最小长度、密码复杂度（必须账户锁定策略：账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力用户在线监控策略：EAS系统提供在线用户的实时监控功能，对所有的在线用户重复登录提醒，用户可选择踢出对方：EAS闲置账户自动踢出：EAS系统中，提供自动踢出闲置账户的功能，系统管理员可以根SSLPKI/CAORMRPC数据加密/解密传输过程说明：以上数据加密/PKI/CASSL的一种实现，但EASSSL的部署复杂度，是能够灵活满足不同客户的上机日志：EAS用户上机日志能详细记录用户的操作时间、功能点、IP等信息，EASEAS资金管理系统通过资金计划、统一结算控制、资金分析、融资管理、银企直EAS针对资金系统的高安全性，EAS与PKIEAS系统提供各种安全策略来保证系统达到不同的安全级别，除了普通的密码策略、部署策略、License策略、权限与用户监控等策略，EAS提供了如下图所示的绑定标准安全PKI（PublicKeyInfrastructure）体系的安全方案：EASUSBKEYUSBKEY进EASCA证书的用户身份认证；USBKEYEASEASUSBKEY的管理（包括用户绑定等等EAS安全管理员处理，EAS超级管EASEASEAS安全管理员不允许增加另一维度的身份认证，如：EAS传统命名身份认证;USBKeyUSBKeyUSBKey的身份认证方式是近几年发展起来的一种方便、安全、可靠的硬件USB接口与它的内部结构不简单，它内置了CPU、存储器、芯片操作系统（COS，可以存储 利用USBKey内置的密码算法实现对用户身份的认证。USBKey是一个二次硬件加密功能，在经过系统的软加密验证通过后，还需经过EASUSBKeyUSBKeyEAS系统外的第三方硬件，可以由用户自由选择具体的供应商，对于系统USBKey又叫智能密码钥匙，可以绑定具体的操作功能，例如，可配置只对使用Key的使用人，大大节约成本。KeySSL相类似。PKI/CAORMRPC数据加密/以上数据加密/PKI/CASSL的一种实现，但证据；显然这些需求都可通过数字签名来实现。EAS主要业务对象为单据，通过EAS中业务单据提交银企互联的时候，由于是真正付款出去，对某些字段比如付付款单提交银企互联的时候对要加密的字段用相同加密算法重新进行加密得到新则说明被加密的这几个字段中有字段数据被修改过，否则就说明没被篡改。EASXXEASEASEAS系统时都必操作权限，同时在EAS系统设置安全管理员角色，安全管理员只能处理类似USBKey绑定、撤销绑定、发放等日常工作。EAS与办公网络隔离。EAS客户端通过金蝶自主开发的协议ORM-RPC与应用服务器连接，ORM-RPCHTTPTCP/IP协议之上，ORM-RPCHTTP80端口或TCP11034ORM-RPCTCP端口。在防火墙上配置11034（或客户自定义端口WebSphereHTTP9080，ApusicHTTP6888，WeblogicHTTP7001。EASTCP:APPSERVPNVPN即虚拟专用网(VirtualPrivateNetworks)提供了一种通过公共非安全介质如Internet)VPN技术，甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN技术的发展与成熟，可为企业的商业运作提供一个无处不在的、VPN网络架构弹性大——IntranetExtranet连接企业合作伙伴、供应商和主要客户（建立绿色信息通道VPN硬件设备：带VPN功能模块的路由器、防火墙、专用VPN硬件设备等，如Nokia Cisco、NetScreen等软件实现：Windows2000PPTPL2TP、第三方软件（CheckPoint、深信服务提供商（ISP）：中国电信、联通、网通等。目前一些ISPMPLS+VLAN（VirtualLocalAreaNetwork）又称虚拟局域网，是指在交换局域网的基础上，VLAN组 2 必须制定严格的企业防病毒管理措施3 划分VLAN,可以防止病毒扩散，缩小影响范围EASEAS运行的是企业运营管理的核心关键数据，存储的可靠性要求非常高，因此必须要EAS数据，而且EMC、IBM、HDS、HP等。RAIDRedundantArrayofInexpensiveDisks的缩写，中文译作LEVELRAID0，RAID1，RAID3，RAID5RAID10，RAID50等，以及硬件厂商自己定RAIDRAID级别，RAID10RAID5比较常见，金蝶推RAID10IO性能和可靠性。EAS200EAS12201500目前比较流行的解决方法包括硬盘介质存储，光学介质和磁带/目前主流的备份软件有，IBMTivoli（TSM，HPOpenView，Veritas公司的NetBackup,LegatoNetWorker,CAARCserve等。客户可以根据实际情况选择合适备份计划/EAS的数据安全，金蝶建议客户购买专业的备份软件和硬件，并要求客户必须对EAS数据进行备份。EASIBMP系列服务器群集技术IBMPPHACMP（HighAvailabilityClusterMulti-Processing）双机系统，一台安装应用服务器，一台安装数据库，两台主机互为HACMP作为双机系统的两台服务器（AB）HACMP行情况（包括系统的软硬件运行、网络通讯和应用运行情况等；IPHAHACMP232PSPIBMP系列服务器扩展性很强，一般客户采用配置相同的两台主机（一台应用服务器，HPMC/ServiceGuardMC/ServiceGuardMC/SGHP服务器的高可用性集群软件。MC/SG实现的功能：EASEAS服务器（LoadEAS服务器EAS服务器EASEAS；应用服务器配置，CPU1CPU、2.5G内存可以EAS节点。EASOracleOracleRAC(RealApplicationClusters)真正应用集群选件,Oracle数据库高性能、高10gRACHA软件，降低采购成本。OracleRAC原理示意图RAC和主/备(双机热备)1分钟内透主/5~20分钟HA1 测试服务器环基于安全考虑，EAS除了生产服务器之外，还应该配置测试服务器，测试服务器的软EAS的补丁必须先在测试服务器上安装，在测试服务器上验证通过后才能安装在生产服务2、