網站地圖 原創論文網,覆蓋經濟,法律,醫學,建筑,藝術等800余專業,提供60萬篇論文資料免費參考
主要服務:論文發表、論文修改服務,覆蓋專業有:經濟、法律、體育、建筑、土木、管理、英語、藝術、計算機、生物、通訊、社會、文學、農業、企業

企業ERP系統中信息安全技術的實現

來源:原創論文網 添加時間:2019-06-24

  摘    要: 隨著信息技術的發展和應用的不斷深入, 信息安全日益受到國家、企業和社會公眾的關注。《信息產業科技發展“十一五”規劃和2020年中長期規劃綱要》中明確把信息安全技術作為優先發展的重點技術之一, 主要包括應急響應、密碼技術、電子認證、信息安全評測技術等。隨著企業日常事務越來越依賴ERP系統, ERP系統的安全問題也逐漸得到了重視。四川成都煙草公司開發的安全管理信息平臺, 基于企業的私有云采用工作流技術進行管理。在信息平臺的安全性設計方面, 考慮私有云中的數據存儲安全、工作流技術的代碼越權防范措施、ERP系統安全的真實身份認證和對關鍵操作的審計等方面, 確保ERP系統中信息的機密性和安全性。

  關鍵詞: 信息安全; 私有云; 工作流技術; ERP系統;

  Abstract: With the development and application of information technology, information security has been paid more and more attention by the state, enterprises and the public. Information security technology is clearly regarded as one of the key technologies for priority development in the Eleventh Five-Year Plan for the Development of Information Industry Science and Technology and the outline of the medium-and long-term Plan for 2020. It mainly includes emergency response, cryptography technology, electronic authentication, information security evaluation technology and so on. As the daily affairs of enterprises rely more and more on ERP system, the security of ERP system has been paid more and more attention. The security management information platform developed by Sichuan Chengdu Tobacco Company is managed by workflow technology based on the private cloud of the enterprise. In the security design of the information platform, the data storage security in the private cloud, the code ultra vires prevention measures of workflow technology, the true identity authentication of ERP system security and the audit of key operations are considered, thus ensuring the confidentiality and security of information in ERP systems.

  Keyword: information security; private cloud; workflow technology; ERP system;

  1、 概述

  ERP系統是企業資源計劃 (Enterprise Resource Planning) 的簡稱, 是指建立在信息技術基礎上, 集信息技術與先進管理思想于一身, 以系統化的管理思想, 提供決策手段的管理平臺。隨著企業日常事務越來越依賴ERP系統, ERP系統的安全問題也逐漸得到了重視。如果ERP系統發生重要商業數據失密、個人信息丟失、被惡意攻擊等問題, 將會給企業帶來巨大損失, 因此保證ERP系統的信息安全變得十分重要。四川煙草公司開發的安全管理信息平臺系統基于工作流技術, 在已有的私有云上進行數據的存儲。主要功能是對公司員工進行安全生產教育, 同時也對公司的辦事流程進行了規范。系統的開發極大地促進了公司員工安全意識。

  2 、需求分析

  2.1 、云存儲安全的需求

  云儲存系統的使用, 是為數據存儲提供充足的空間, 并保證數據安全。數據存儲中, 需完成多個環節的操作, 某個環節的操作可能出現信息泄露, 故保證存儲的安全, 使用有效的方式規避并完成信息的存儲。ERP系統基于私有云的安全問題, 主要體現在云存儲安全方面, 而不需要考慮私有云本身的安全問題, 體現如下四個方面:

  (1) 訪問控制和資源隔離。在云環境下的應用將數據提交給虛擬磁盤, 由虛擬化管理軟件將數據分配到不同的物理介質。這就可能導致安全保密需求低的應用有可能越權訪問敏感資源或者高安全保密應用的信息, 不同保密要求的資源存在于同一個物理存儲介質上。 (2) 數據加密。在各類安全技術中, 加密技術是最常見的基礎安全防護手段, 它利用密碼技術對信息進行加密, 實現信息隱蔽, 從而起到保護信息的安全的作用。在云環境下, 對數據進行加密可以防止數據丟失、被篡改和被非法截獲, 保障了數據的可用性、完整性和機密性。
 

企業ERP系統中信息安全技術的實現
 

  2.2、 工作流技術的安全需求

  工作流是對工作流程及其各操作步驟之間業務規則的抽象、概括描述。為了實現某個業務目標, 利用計算機在多個參與者之間按某種規則自動傳遞信息、任務或者文檔。工作流技術主要從代碼層級, 完成對用戶角色的控制, 主要的安全需求體現在:

  (1) 非授權用戶對于數據庫的讀寫訪問。非授權訪問指未經授權使用網絡資源或以未授權的方式使用網絡資源, 包括非法用戶進入網絡或系統進行違法操作。如果非授權用戶對數據庫進行讀寫訪問, 數據庫的內容將面臨惡意竊取和隨意篡改的風險。 (2) 授權用戶對于數據庫的越權讀寫訪問。非授權訪問也包括合法用戶以未授權的方式進行操作。當用戶取得對數據庫的訪問權后, 并不意味著可以訪問數據庫中的任何資源。若授權用戶擅自擴大權限, 越權訪問信息, 非授權的保密信息將面臨泄露的風險。

  2.3、 ERP系統安全需求

  企業ERP系統的安全與穩定關系到整個企業能否正常運行。不僅僅要保證主系統不受外部干擾, 還應確保各個部門之間的聯系和資源共享得到安全保證, 從而保證系統的安全。做到不越權進行彼此互訪, 防止內部安全系統出現問題。ERP系統安全需求主要體現在以下幾個方面:

  (1) 身份真實性認證。不同業務系統無法實現統一的安全認證和授權, 同時各個系統安全策略設置級別不一致, 從而無法保障各個系統的身份認證和訪問安全的可靠性。 (2) 關鍵操作的審計。在ERP系統中, 關鍵操作有關鍵文檔的提交和發布、重要信息的傳輸、電子單據的確認、財務系統中的資金支付等。在這些關鍵操作中, 都需要保證是具有相應權限的人員進行的操作行為, 并且在操作后對操作行為要有有效的審計。

  3 、信息安全技術在企業ERP系統中的實現

  四川煙草公司開發的安全管理信息平臺系統基于工作流技術, 在已有的私有云上進行數據的存儲, 公司車輛安全管理同時基于該系統運營。企業的ERP系統幾乎覆蓋了企業運作的所有部分, 在某種程度上可以將ERP系統視為統管其他子系統的企業中樞系統, 子系統在總系統的分配調度下協調工作, 共同為企業整體的安全運轉提供保證。所以ERP系統的安全穩定對于企業整體的安全有著重要意義。本文將從以下幾個方面進行ERP系統安全的實現:

  3.1、 數據安全存儲

  ERP系統對涉密數據進行加密存儲, 保障信息的安全。數據安全存儲是加密機、安全存儲系統及密碼技術對涉密數據加密處理過程, 流程如圖1所示:

  圖1 數據安全存儲流程圖
圖1 數據安全存儲流程圖

  (1) ERP系統將涉密數據提交到CA認證特性的安全存儲系統加密接口。 (2) 安全存儲系統調用加密機服務器證書的公鑰生成加密數據后存儲。 (3) ERP系統調用安全存儲系統機密接口獲取涉密數據原文。

  針對私有云的分布式存儲特點, 對于核心數據庫, 采用物理隔離, 異地存儲, 配置虛擬防火墻的方式。可以預防外部;多路UPS不間斷電源, 確保系統核心業務不斷電。

  3.2、 越權防御

  橫向越權指的是攻擊者嘗試訪問與他擁有相同權限的用戶的資源。例如:在忘記密碼回答問題成功后, 會跳到重設密碼的頁面, 這個時候如果用戶隨意填用戶名和密碼, 而且數據庫也剛剛好存在這個用戶時, 那么就會修改其他用戶的密碼。對于橫向越權可以添加有有效期的Token值標識, 操作時進行比對。在用戶回答密碼提示問題正確后, 服務端根據用戶名隨機生成一個Token值保存在本地緩存里, 并給Token設置過期時間 (如5分鐘) , 然后重置密碼的接口中要求前端傳遞該Token, 后臺根據此token (隨機數與重設密碼時輸入的用戶名的映射) 與本地緩存的token (隨機數和用戶名的映射) 比較來判斷是否在修改當前用戶。

  縱向越權指的是一個低級別攻擊者嘗試訪問高級別用戶的資源。可以通過設置用戶角色, 為不同的角色提供不同的權限來避免。例如在用戶注冊的時候, 就選擇對應的身份, 持久化到數據庫, 方便后期進入后臺管理員時進行角色狀態判斷。一個權限系統的功能是通過數據庫中對應權限和角色形成的, 而不只是通過頁面上進行權限判斷決定的, 所以也可以在每個頁面加載之前進行權限驗證。

  3.3 、用戶真實身份認證

  可信身份認證體系是密碼設備、數字證書、安全接入網關、簽名取證系統、證書應用中間件、ERP系統共同構建。

  圖2 可信身份認證體系流程圖
圖2 可信身份認證體系流程圖

  (1) 用戶將帶數字證書的USB Key插入計算機, 訪問客戶端程序 (基于B/S的IE或者基于C/S的客戶端) 登錄統一門戶, 系統要求用戶選擇用戶證書和輸入密碼設備密碼; (2) 通過安全接入網關完成雙向身份認證后, 客戶端和安全接入網關之間建立SSL連接, 客戶端和ERP服務器之間的數據傳輸通過SSL通道加密傳輸; (3) ERP系統獲取客戶端提交的隨機數簽名數據, 通過socket或EWEBSER-VIC方式提交數據到CA認證平臺, 它將對用戶證書的有效性, 簽名數據的完整性、有效性進行驗證; (4) 如果驗證通過, 則安全進入安全接入網關;如果驗證和查詢失敗, 用戶將無法進行登錄。

  必須用證書介質 (USBKEY) +數字證書才可以登錄ERP系統, 且登錄密碼存儲在證書介質 (USBKEY) 內, 無法從其他渠道獲取, 登錄過程應用隨機數簽名, 保證每次登錄不可以被模擬、復制, 實現用戶角色和權限的管理和分配。同時在后臺會記錄用戶登錄日志, 便于后期快速檢測用戶訪問記錄。

  3.4 、安全傳輸通道

  SSL協議 (Security Socket Layer安全套接層協議) 是一種為網絡通信提供安全及數據完整性的安全協議。可用于建立ERP系統服務器與用戶之間的加密通信, 確保所傳遞信息的機密性和安全性。用戶與服務器之間的SSL安全機制通信過程如下:用戶向服務器發送建立新的會話連接請求, 服務器在響應用戶時, 將公用密鑰與數字證書發送給用戶, 用戶端生成會話密鑰。并用公共密鑰對會話密鑰進行加密, 然后傳遞給服務器, 服務器端用私人密鑰進行解密, 通過這個過程, 用戶和服務器端建立了一條安全通道, 只有SSL協議允許的用戶才能與服務器進行通信, 從而解決了客戶端與ERP系統服務器之間信息加密傳輸的問題。

  4、 結束語

  企業ERP系統增強了企業的核心競爭力, 極大地提高了企業的經營管理效率, 成為企業經營管理中的不可或缺的重要組成部分。ERP系統穩定、高效的運行需要不斷發展、完善安全基礎設施來防范風險、保護系統的安全。針對現有的企業ERP系統安全性低的問題, 本文提出一種面向私有云存儲安全、云工作流安全及系統本身安全的解決方法。從數據存儲、代碼、身份認證等方面保證系統的安全。ERP系統對涉密數據進行加密存儲, 客戶端與ERP系統之間使用SSL協議建立加密通信, 同時能根據不同的越權操作采取不同的措施, 并用密碼設備、數字證書、安全接入網關、簽名取證系統、證書應用中間件、ERP系統共同構建可信身份認證體系。實踐結果表明:本文方法能有效提升四川煙草公司財務管理、車輛管理等系統的業務信息安全保障水平, 構建安全可信的企業ERP業務環境, 保證用戶登錄的真實身份認證、信息傳輸的安全性、完整性、用戶操作行為的不可抵賴性, 從整體上有效提高了四川煙草公司ERP系統的安全性。

  參考文獻

  [1]阮進勇, 徐凌宇, 丁廣太.數字海洋云計算平臺工作流安全機制[J].計算機技術與發展, 2015, 25 (01) :155-158+182.
  [2]葉鑫, 梁繼偉, 尹艷麗.考慮信息安全因素的多目標云工作流調[J].計算機集成制造系統, 2017, 23 (05) :972-982.
  [3]范月祺.云儲存系統結構模型及安全策略[J].電腦與電信, 2017 (04) :34-35+43.
  [4]江濤.云存儲安全技術分析與對策[J].電腦知識與技術, 2017, 13 (03) :28-29.
  [5]王梅.云儲存系統結構模型及安全策略[J].信息系統工程, 2018 (09) :75.
  [6]郭玉芝, 唐國城.關于私有云的系統安全性研究[J].電腦知識與技術, 2018, 14 (30) :24-25.
  [7]王亞文, 郭云飛, 劉文彥, 等.面向云工作流安全的任務調度方法[J].計算機研究與發展, 2018, 55 (06) :1180-1189.
  [8]De, S.J., Pal, A.K.. A Policy-Based Security Framework for Storage and Computation on Enterprise Data in the Cloud[P].System Sciences (HICSS) , 2014 47th Hawaii International Conference on, 2014.
  [9]Anthony Lewis, Brychan Thomas, Sophie James. A critical analysis of the implementation of social networking as an e-recruitment tool within a security enterprise[J]. Cogent Business&Management, 2015, 2 (1) .

重要提示:轉載本站信息須注明來源:原創論文網,具體權責及聲明請參閱網站聲明。
閱讀提示:請自行判斷信息的真實性及觀點的正誤,本站概不負責。
我們的服務
聯系我們
相關文章
天津快乐10分查询结果 2016dnf赚钱吧 爱波网首页 广东麻将赖子怎么用 未来最赚钱的维修行业 全国十大赚钱的专业排名2015 手机捕鱼技巧 新河北棋牌吧河北麻将 酒行赚钱 有什么出卖时间赚钱的方法 91单机捕鱼刷金币外挂 腾讯的什么app赚钱 农村医疗保险国家赚钱 盛达娱乐游戏 向阳坊加盟会赚钱吗 赚钱的文艺词 乐赢彩票网址