1.1 概述
随着信息技术的发展和应用的不断深入,信息安全日益受到国家、企业和社会公众的关注。中国政府已经提出了构建国家信息安全保障体系的设想,明确了政府、企业和公民各自应承担的责任与义务,同时国家也鼓励信息安全技术的研究和创新,《信息产业科技发展“十一五”规划和2020年中长期规划纲要》中明确把信息安全技术作为优先发展的重点技术之一,主要包括密码技术、电子认证、应急响应、信息安全评测技术等。
ERP(EnterpriseResourcePlanning)企业资源计划系统,是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台。可以说,企业的ERP系统几乎覆盖了企业运作的所有部分,包括生产、营销、管理、客服、售后服务等等。因此,在某种程度上可以将ERP系统作为企业中枢系统,统领着一切其他子系统,子系统在总系统的分配调度下协调工作,共同为企业整体的运转提供保证。如果中枢系统出现问题,将导致整个企业运转出现问题,甚至导致整个企业的瘫痪,可以说, ERP系统的安全稳定对于企业整体的安全有着重要作用。
本方案以成熟的、安全的、认可的PKI/CA技术为基础,从安全技术角度提供企业ERP系统安全解决方案,如果实现ERP系统整体安全,企业还需考虑安全的管理措施。
1.2 安全需求分析
企业ERP系统的安全与稳定关系到整个企业能否正常运行,是企业需要特别注重的方面。为了保证系统的安全,不仅仅要保证主系统不受外部干扰,还应确保各个部门之间的联系和资源共享得到安全保证,做到不越权进行彼此互访,防止内部安全系统出现问题。ERP系统安全需求主要体现在以下几个方面:
1) 身份真实性认证
不同业务系统无法实现统一的安全认证和授权,同时各个系统安全策略设置级别不一致,从而无法保障各个系统的身份认证和访问安全的可靠性。
2) 信息安全需求
ERP的特点大而全,包含企业的组织架构、销售渠道、客户资源等方方面面的信息。正因为如此,ERP系统信息安全显得尤为重要,包含ERP系统中的信息资产安全已经破在眉睫。
3) 对关键操作的控制和审计
关键操作即对数据交换过程,主要有ERP系统中关键文档的提交和发布、报账系统中重要信息的传输、财务系统中的资金支付、电子单据确认等。在这些关键操作中,都需要保证对操作行为进行有效的控制,即有真实权限的人员才能进行操作,操作后对操作行为要有有效的审计。
4) 数据信息的法律保障
ERP系统中存储的都是企业的关键业务数据,对这些业务数据的管理和审计必须符合相关的法律法规要求。
5) 管理成本控制
企业需要管理不同业务系统的用户,导致了用户管理的复杂度增加和效率降低,为此企业需要付出更多的 IT管理成本。业务系统繁多,用户需要记忆多个帐户和口令,无形中引导客户使用弱密码,不同系统登陆和使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨。
1.3 方案建设目标
1) 建设企业PKI/CA体系,为ERP系统终端用户提供数字证书发放与管理,为企业用户提供优质的、规范的数字证书生命周期服务,满足企业ERP系统数字证书应用;
2) 建立财务管理系统、物流管理系统、生产管理系统等企业ERP系统统一的业务应用安全支撑体系,实现电子认证服务和相关技术与企业信息系统的有机集成结合,有效提升企业财务管理等系统的业务信息安全保障水平,构建安全可信的企业ERP业务环境,保证用户登录的真实身份认证、信息传输的安全性、完整性、用户操作行为的不可抵赖性;
3) 在企业部署安全存储系统,对敏感数据进行加密存储,能发生纠纷时,能快速提取签名数据、签章数据作为有效的电子证据,防止抵赖行为。
添加专属销售顾问
扫码获取一对一服务