企业ERP系统安全解决方案.docx
- 文档编号:233763
- 上传时间:2022-10-07
- 格式:DOCX
- 页数:70
- 大小:3.72MB
企业ERP系统安全解决方案.docx
《企业ERP系统安全解决方案.docx》由会员分享,可在线阅读,更多相关《企业ERP系统安全解决方案.docx(70页珍藏版)》请在冰豆网上搜索。
企业ERP系统
安全解决方案
东方中讯数字证书认证有限公司
企业ERP信息系统安全解决方案
目录
第1章方案介绍 5
1.1 概述 5
1.2 安全需求分析 6
1.3 方案建设目标 7
第2章企业PKI/CA体系安全解决方案 8
2.1 常用术语 8
2.2 设计依据 9
2.3 安全认证体系建设方案 11
2.3.1CA安全认证体系框架 11
2.3.2网络架构 12
2.4 企业ERP系统安全保障体系 14
2.4.1可信身份认证体系 14
2.4.2安全传输通道 16
2.4.3可信电子签名体系 16
2.4.4可信电子签章体系 18
2.4.5数据安全存储 19
2.4.6可信时间戳签名 19
2.5 企业ERP系统认证体系应用 20
2.5.1企业自建PKI/CA体系模式 20
2.5.2远程PKI/CA体系模式 21
2.5.3混合式PKI/CA模式 21
第3章电子认证体系服务方案 22
3.1数字证书服务 22
3.1.1证书生命周期 23
3.1.2支持多种数字证书介质 30
3.1.3证书发放模式 30
3.2培训服务 33
3.2.1对系统相关人员培训 33
3.2.2用户培训 34
3.3售后服务 37
第4章东方中讯及主要产品介绍 44
4.1企业资质和技术实力 44
4.1.1企业规模 44
4.1.2企业人才队伍信息 44
4.1.3企业文化建设 45
4.1.4技术团队 46
4.1.5资质证明 46
4.2PKI/CA体系主要产品 49
4.2.1签名取证系统 49
4.2.2数字证书应用中间件 50
4.2.3签名验证服务器 52
4.2.4电子签章 53
4.2.5时间戳服务器 56
4.2.6安全存储系统 58
4.2.7加密机 60
第6章产品配置及报价 63
6.1本期建设方案产品报价方案 63
6.2后期售后服务及产品报价方案 66
第1章方案介绍
1.1概述
随着信息技术的发展和应用的不断深入,信息安全日益受到国家、企业和社会公众的关注。
中国政府已经提出了构建国家信息安全保障体系的设想,明确了政府、企业和公民各自应承担的责任与义务,同时国家也鼓励信息安全技术的研究和创新,《信息产业科技发展“十一五”规划和2020年中长期规划纲要》中明确把信息安全技术作为优先发展的重点技术之一,主要包括密码技术、电子认证、应急响应、信息安全评测技术等。
ERP(EnterpriseResourcePlanning)企业资源计划系统,是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台。
可以说,企业的ERP系统几乎覆盖了企业运作的所有部分,包括生产、营销、管理、客服、售后服务等等。
因此,在某种程度上可以将ERP系统作为企业中枢系统,统领着一切其他子系统,子系统在总系统的分配调度下协调工作,共同为企业整体的运转提供保证。
如果中枢系统出现问题,将导致整个企业运转出现问题,甚至导致整个企业的瘫痪,可以说,ERP系统的安全稳定对于企业整体的安全有着重要作用。
本方案以成熟的、安全的、认可的PKI/CA技术为基础,从安全技术角度提供企业ERP系统安全解决方案,如果实现ERP系统整体安全,企业还需考虑安全的管理措施。
1.2安全需求分析
企业ERP系统的安全与稳定关系到整个企业能否正常运行,是企业需要特别注重的方面。
为了保证系统的安全,不仅仅要保证主系统不受外部干扰,还应确保各个部门之间的联系和资源共享得到安全保证,做到不越权进行彼此互访,防止内部安全系统出现问题。
ERP系统安全需求主要体现在以下几个方面:
1)身份真实性认证
不同业务系统无法实现统一的安全认证和授权,同时各个系统安全策略设置级别不一致,从而无法保障各个系统的身份认证和访问安全的可靠性。
2)信息安全需求
ERP的特点大而全,包含企业的组织架构、销售渠道、客户资源等方方面面的信息。
正因为如此,ERP系统信息安全显得尤为重要,包含ERP系统中的信息资产安全已经破在眉睫。
3)对关键操作的控制和审计
关键操作即对数据交换过程,主要有ERP系统中关键文档的提交和发布、报账系统中重要信息的传输、财务系统中的资金支付、电子单据确认等。
在这些关键操作中,都需要保证对操作行为进行有效的控制,即有真实权限的人员才能进行操作,操作后对操作行为要有有效的审计。
4) 数据信息的法律保障
ERP系统中存储的都是企业的关键业务数据,对这些业务数据的管理和审计必须符合相关的法律法规要求。
5)管理成本控制
企业需要管理不同业务系统的用户,导致了用户管理的复杂度增加和效率降低,为此企业需要付出更多的IT管理成本。
业务系统繁多,用户需要记忆多个帐户和口令,无形中引导客户使用弱密码,不同系统登陆和使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨。
1.3方案建设目标
1)建设企业PKI/CA体系,为ERP系统终端用户提供数字证书发放与管理,为企业用户提供优质的、规范的数字证书生命周期服务,满足企业ERP系统数字证书应用;
2)建立财务管理系统、物流管理系统、生产管理系统等企业ERP系统统一的业务应用安全支撑体系,实现电子认证服务和相关技术与企业信息系统的有机集成结合,有效提升企业财务管理等系统的业务信息安全保障水平,构建安全可信的企业ERP业务环境,保证用户登录的真实身份认证、信息传输的安全性、完整性、用户操作行为的不可抵赖性;
3)在企业部署安全存储系统,对敏感数据进行加密存储,能发生纠纷时,能快速提取签名数据、签章数据作为有效的电子证据,防止抵赖行为。
第2章企业PKI/CA体系安全解决方案
2.1常用术语
1)PKI
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI政务的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
2)数字证书
数字证书(DigitalCertificate),是由权威的电子认证服务机构进行数字签名的,包含拥有者信息、拥有者公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
3)CA系统
证书认证系统(CertificateAuthenticationSystem),简称CA系统,是对数字证书进行证书生命周期全过程管理的安全系统。
4)SSL协议
SSL(SecureSocketsLayer安全套接层),及其继任者传输层安全(TransportLayerSecurity,TLS)是为网络通信提供安全及数据完整性的一种安全协议。
TLS与SSL在传输层对网络连接进行加密。
5)电子签名
电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章。
6)电子签章
电子签章是电子签名的一种表现形式,利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。
7)时间戳
在电子商务交易文件中,时间是十分重要的信息。
在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
数字时间戳服务(DTS:
digitaltimestampservice)是网上电子商务安全服务项目之一,能提供电子文件的日期和时间信息的安全保护。
2.2设计依据
我公司提供的CA安全认证体系的建设方案遵循相关的国际标准、国家标准以及电子商务行业标准:
1)国际标准
lPKCS#1:
RSACryptographyStandard;
lPKCS#3:
Diffie-HellmanKeyAgreementStandard;
lPKCS#5:
Password-BasedCryptographyStandard;
lPKCS#6:
Extended-CertificateSyntaxStandard;
lPKCS#7:
CryptographicMessageSyntaxStandard;
lPKCS#8:
Private-KeyInformationSyntaxStandard;
lPKCS#9:
SelectedAttributeTypes;
lPKCS#10:
CertificationRequestSyntaxStandard;
lPKCS#11:
CryptographicTokenInterfaceStandard;
lPKCS#12:
PersonalInformationExchangeSyntaxStandard;
lPKCS#15:
CryptographicTokenInformationFormatStandard。
2)国家标准
lSM2椭圆曲线公钥密码算法
3)法律法规
l中华人民共和国《电子签名法》
------《电子签名法》第七条:
“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。
”
------《电子签名法》第十三条:
电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
------《电子签名法》第十四条:
“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。
l公安部《中华人民共和国公共安全行业标准》
------《电子数据法庭科学鉴定通用方法》(GA/T976-2012公安部):
“规定了法庭鉴定时电子证据数据的获取、检验分析和呈现的规范获取的数据文件和原始的数据文件的哈希值,验证两者的一致性,确保两者是相同的。
------《取证与鉴定文书电子签名》(GA/T976-2012公安部):
“明确电子签名、数字证书、数字证书格式和数字证书签发机构”
“明确签名过程和电子签名验证过程”
“明确电子签名管理系统”
4)其他规范
l《电子认证服务管理办法》
l《电子认证业务规则规范(试行)》
l《信息安全等级保护管理办法》
l《信息系统等级保护安全设计技术要求》
2.3安全认证体系建设方案
2.3.1CA安全认证体系框架
ERP的应用系统中,置入东方中讯PKI/CA体系或企业自建PKI/CA体系,实现安全可信的企业信息系统。
CA认证体系框架如图2-1所示:
图2-1CA认证体系
2.3.2网络架构
企业安全体系由安全接入网关和CA认证体系(包括签名取证系统、证书应用中间件、签名验证服务器、电子签章系统、时间戳服务器、时间源服务器、安全存储系统、加密机)组成,为ERP系统提供身份认证、访问控制、数据传输加密、数字签名、电子签章、安全存储等于一体的安全解决方案。
企业体系网络架构如图2-2所示:
图2-2企业安全体系网络架构图
网络结构图说明:
1)ERP系统端前置安全接入网关
l实现用户安全接入:
基于数字证书的用户真实身份鉴别和严格的访问控制策略保证合法的用户安全接入网络,阻止非法用户访问;
l实现ERP系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 ERP 系统安全 解决方案