论坛社区  |  会员登录  |  免费注册  |  设为首页  |  加入收藏
当前位置:首页 > 解决方案 > KHCB_ERP系统网络安全解决方案
公司新闻
行业动态
最新公告
 
联系电话:020-3828-4378
销售电话:020-3890-0789
热线电话:400-8090-278
    传真:020-3876-9633
售前小詹:
点击这里给我发送消息
售后小方:
点击这里给我发送消息
E_MAIL:guanchuanghr@126.com
联系地址:广州市天河区中山大道西89号国家软件产业基地天河华景软件园区A栋506室
 
KHCB_ERP系统网络安全解决方案

INTNERET并非是一个完美的神话,移动用户可与公司内部服务器之间进行信息通信和数据的传递,同时又要面临由于INTERNET的开放所带来的数据安全的新挑战,任何一家企业都不希望自己的技术和商业机密被他人获得,所以对于企业信息管理系统来说,安全性是一个十分重要的问题。安全性问题是包括恶意攻击和窃取、泄漏信息两种类型。

企业在实施企业管理软件、尤其是进行远程访问与数据传输的时候,安全性是一个要着重考虑的问题。KBCB_ERP系统网络安全解决方案主要通过以下几个方面来保证。第一、使用防火墙安全技术;第二、网路数据加密传输(IPSec安全通讯协议);第三、数据库系统安全认证技术;第四、通过KBCB_ERP系统本身的安全认证与加密。

网络系统整体规划与设计

(1)、 专业的企业内部网络(Intranet)整体规划与设计,是企业内部日常运作的重要保证,如何管理好网络用户的通信,做到既保证较高的用户通信质量,又合理的利用网络资源,是规划和设计一个网络所面临的首要问题。

(2)、 稳定可靠的网络。只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠等,要求网络产品具备物理层、数据链路层和网络层的备份和冗余技术,并具备热替换能力。

(3)、 易扩展的网络。系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级,同时有效保护现有的网络投资。

(4)、 安全性的网络。网络系统应具有良好的安全性,由于公司网络既有内部网Intranet,又连接Internet,安全管理就显得尤其重要。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。

网络系统布线工程参照 EIA/TIA 568AEIA/TIA 569 EIA/TIA TSB36/40工业、国际商务建筑布线标准及相应国家电信通信标准。

使用防火墙安全技术

企业为了扩大系统的运用范围,必定要采用覆盖面最大的Internet作为网络通讯,在公用网上建立私用网,安全是首要的问题,它可以在不妨碍内部网访问外界资源的情况下防止外界的‘黑客’非法侵入,采用防火墙(Firewall)技术,它可以很好地把企业的内部网与INTERNET隔离开来,作为企业网的第一道安全防线,并且还可以通过其加密技术实现移动用户与公司之间的安全链接,从而在Internet上安全地传输私有信息;防火墙技术是用来保证对主机和应用安全访问及多种客户机和服务器的安全性,保护关键部门不受到来自内部和外部的攻击,为通过INTERNET进行远程通信的客户提供安全通道,用户可以根据自己的实际情况选择合适的防火墙产品,来保证企业站点的安全性。

防火墙是网络系统中的基本设备,它是一种通过创建一个中心控制点来实现网络安全控制的技术。通过在专用网和INTERNET之间的设置路卡、防火墙监视所有出入专用网的信息流,并决定哪些是可以通过的,哪些是不可以的。安全的防火墙意味着网络的安全。在网络系统采用了防火墙技术以后,通过统一的RPC(远程访问服务的简称)端口管理,可以使得KBCB_ERP系统和防火墙之间有很好的兼容性。

防火墙技术说明

一般的防火墙采用三种关键技术保护内部网:过滤、代理服务器、加密,具体如下:

1)过滤

防火墙可以甄别TCL/IP包并根据IP地址或TCP/IP协议赋予访问权或拒绝访问。当TCP/IP向防火墙发数据包时,防火墙查看包头信息并据此对数据包定向。防火墙根据一数据和规则来做决定,用户可以管理这些规则,比如:规定只允许一定的IP地址通过防火墙。

2)防火墙作代理服务器

防火墙代理服务器能控制进出网络的访问。它检查从安全网络来的请求并将它们接力到外部网络。代理服务器代表客户与外部网络交谈,提供了控制客户端和外部网络间流量的一种手段,同时将内部网络结构隐藏起来。

3)防火墙使用加密

加密可以给网络带来另一级别的安全。防火墙过滤与代理服务器可以控制谁能从外部不安全的网络进入内部的安全网络。加密可以使外部的人不能看到你在网络上发送的数据并且数据的发送者也可以被确认。

网络数据加密传输(IPSec安全通讯协议)

KBCB_ERP系统在远程应用、尤其是通过INTERNET传输数据时,数据的流通途径、路线存在着不可预期性。这也是所有基于互联网的应用系统所共同面临的问题。

IP_SECURITY协议(IPSec),是INTERNET工程任务组(IETF)IP安全推荐的一个协议。通过相应的隧道技术,可实现VPNIPSec有两种模式:隧道模式和传输模式。IPSec协议组还包括支持网络层安全性密钥管理要求的密码技术。

IPsecIP层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。

IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。因为这些服务均在IP层提供,所以任何高层协议均能使用它们,例如TCPUDPICMPBGP等等。

IPSec协议体系结构图

IPSec协议体系描述

IPSec将几种安全技术结合形成一个完整的安全体系,它包括安全协议部分和密钥协商部分。

1)安全关联和安全策略:安全关联(Security AssociationSA)是构成IPSec的基础,是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。

2IPSec 协议的运行模式:IPSec协议的运行模式有两种,IPSec隧道模式及IPSec传输模式。隧道模式的特点是数据包最终目的地不是安全终点。通常情况下,只要IPSec双方有一方是安全网关或路由器,就必须使用隧道模式。传输模式下,IPSec 主要对上层协议即IP包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。

3AHAuthentication Header,认证头)协议:设计AH 认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务,但是AH不提供任何保密性服务。IPSec验证报头AH是个用于提供IP数据报完整性、身份认证和可选的抗重传攻击的机制,但是不提供数据机密性保护。验证报头的认证算法有两种: 一种是基于对称加密算法(如DES),另一种是基于单向哈希算法(如MD5SHA-1)。 验证报头的工作方式有传输模式和隧道模式。传输模式只对上层协议数据(传输层数据)和IP头中的固定字段提供认证保护,把AH插在IP报头的后面,主要适合于主机实现。隧道模式把需要保护的IP包封装在新的IP包中,作为新报文的载荷, 然后把AH插在新的IP报头的后面。隧道模式对整个IP数据报提供认证保护。

4ESPEncapsulate Security Payload,封装安全载荷)协议:封装安全载荷(ESP)用于提高Internet协议(IP)协议的安全性。它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。ESP属于IPSec的机密性服务。其中,数据机密性是ESP的基本功能,而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。ESP主要支持IP数据包的机密性,它将需要保护的用户数据进行加密后再重新封装到新的IP 数据包中。

5Internet 密钥交换协议(IKE):Internet密钥交换协议(IKE)是IPSec默认的安全密钥协商方法。 IKE通过一系列报文交换为两个实体(如网络终端或网关)进行安全通信派生会话密钥。IKE建立在Internet安全关联和密钥管理协议(ISAKMP)定义的一个框架之上。IKEIPSec目前正式确定的密钥交换协议,IKEIPSecAHESP协议提供密钥交换管理和SA管理,同时也为ISAKMP提供密钥管理和安全管理。IKE具有两种密钥管理协议(OakleySKEME安全密钥交换机制)的一部分功能,并综合了 OakleySKEME的密钥交换方案,形成了自己独一无二的受鉴别保护的加密材料生成技术。

数据库系统安全认证技术

KBCB_ERP系统解决方案采用大型数据库管理系统作为数据存储方案,大型数据库对用户有一套严格的权限管理机制,这为系统数据又加了一道安全屏障。对大型数据库的用户、密码进行严格管理,定义用户的数据库角色,并且打开审计线索,充分保证数据的安全性。

Microsoft SQL Server 2000系统是目前几大主流的大型数据库系统管理平台,它对计算机系统的要求低、性能和可靠性高、安全、易于维护,拥有完善的数据库日志备份和灾难恢复机制,降低了工作损失的风险。由此成为大规模联机事务处理 (OLTP)、数据仓库和电子商务应用程序的优秀数据库平台。

作为微软企业级数据平台,系统固有的数据加密、默认安全设置以及强制口令策略功能使企业数据库系统能够以最高的性能、最高的可用性和最高的安全性运行任何苛刻的应用系统。

KBCB_ERP系统是运行在Windows NT 网络平台上的应用系统,通过和网络操作系统的集成,采用了NT的域用户权限机制,是操作系统级别的用户识别,较之传统的企业管理软件输入用户名和密码的身份识别方式来讲更加安全。

 KBCB_ERP系统安全认证技术

如上所述KBCB_ERP系统在互联网上的安全性有多种设置方式可保证其数据在互联网上的安全。由于企业内部分工所引伸的内部控制制度的要求,故操作用户的权限设置即系统本身所提供的用户不同级别的操作权限级控制尤显重要。

(1)、 完善的用户权限控制

所有操作人员仅允许执行已经授权的操作,系统不但能够控制用户打开模块权限,而且能够控制用户的查询、导出、列印、录入、修改、删除、作废、审核权限。

系统所有用户授权操作均由后台服务管理器管理,前台通过内置的用户授权以及数据加密协议公共接口与后台交换数据。由于用户授权过程不开放到客户端,客户端仅接受加密指令,大大增强了系统的安全性,提高了系统管理员的日常管理效率。

(2)、 双重身份认证模式

系统支持内建账户以及Soft-Key eKey(智能密钥)、指纹识别等相结合的多种用户身份识别模式,并且可以根据企业需要为用户定制特殊的身份识别模式。用户身份多重认证模式在移动办公时激活,在内部局域网中仅采用内建账户的身份认证模式。

(3)、 资料授权机制

系统在资料授权上也是非常的安全可靠,所有操作人员仅允许查看或操作已经授权的工地的所有资料,而对于未授权的工地的所有资料(包括统计)则禁止查看,大大增强了企业内部资料的安全性。

(4)、 完善的单据作废及审核机制

系统仅允许经授权的用户才能够审核相关单据,一经审核的单据,则不允许执行任何修改或删除操作。

系统对一般用户保留了单据的删除操作权限,对于无效的单据,相关操作人员仅允许将其作废,作废的单据再由相关人员执行审核,所有作废单据可永久保存,并不计入统计。

(5)、 独创的128位动态加密算法加密

系统对所有安全性要求较高的数据均采用了独创的SDL-128动态加密算法加密存储,确保系统安全性数据不会因人为因素而造成损失或窜改。

SDL-128动态加密算法是我们在原主流的数据加密算法的基础上专业研发的数据加密算法,通过增加双密钥动态交换以及动态的防破解跟踪的随机数据。由于非采用了普遍使用的加密算法,大大降低了系统加密数据被破解的风险,有效地保护了系统数据的存储安全。

(6)、 独特设计的系统数据仓库设计

系统采用了目前先进、稳定的关系型数据结构设计,并经过了独特的优化设计,大大增强了数据库的存储管理效率,减少了数据存储空间,在相同的数据存储量的情况下,我们的数据仅需要同类系统的1/3 1/5的存储空间。

综上所述,惠邦科技KBCB_ERP系统的用户管理授权机制是多层次和严密控制的,可结合用户的实际情况进行符合自身特点的授权机制。

友情链接金蝶国际软件集团 广州市惠邦信息科技有限公司 广州市图吉信息有限公司 中国商品混凝土网 混凝土第一视频网

关于我们产品介绍联系我们

客服电话400-8090-278

客服邮箱2120525030@qq.com

www.gc-erp.com Copyright @ 2001-2015 All rights reserved. 版权所有:广州市冠创信息科技有限公司

粤ICP备16026723号-1