金蝶EAS信息安全方案.docVIP

金蝶EAS信息安全方案 金蝶软件（中国）有限公司 EAS产品事业部 目录 1. 引言 3 2. 前言 3 3. 信息安全组织和制度保障 4 4. EAS安全策略 5 4.1. J2EE的安全性 5 4.2. EAS安全介绍 5 5. EAS资金管理系统安全方案 9 5.1. EAS与PKI体系整合的安全架构图： 9 5.2. EAS资金系统银企互联安全原理图： 10 5.3. 基于证书的双身份认证 11 5.4. USB Key身份认证 11 5.5. 数据加密传输 12 5.6. 业务单据的数字签名 12 5.7. 二次身份认证 13 5.8. EAS资金成功案例介绍 14 6. EAS网络安全 14 6.1. 防火墙 14 6.2. VPN技术 15 6.3. VLAN 17 7. 电脑病毒防护 17 8. EAS数据安全 18 8.1. 磁盘存储系统 18 8.2. 数据备份 19 9. EAS服务器安全 20 9.1. 服务器系统冗余 20 9.1.1. IBM P系列服务器群集技术(HACMP) 20 9.1.2. HP MC/ServiceGuard 集群方案 21 9.2. EAS服务器群集 21 集群模型特点 22 集群部署建议 22 9.3. Oracle RAC 23 10. 其它注意事项 24 11. 附件 25 信息安全体系结构 25 引言 在信息安全技术中有一个著名的“木桶理论”其核心思想是：一个木桶能装多少水，不是取决于木桶中最长的木板，而是木桶中最短的木板决定着一个木桶能够装多少水。把一个公司的信息安全看作是一个木桶的话，那么这个公司信息安全级别高低不是看其安全防范最好的地方，而是看其安全防范最薄弱的地方。不论公司信息安全体系的关键位置的安全防范有多严密，只要体系中有一个安全漏洞，那么整个信息安全体系的安全可以说是脆弱的。一个信息系统的安全弱点就是它防护最弱的那部分，不管其他部分是如何的强壮，一旦此弱点被利用，就会给系统带来灾难。要保护系统的安全，需要全方位考虑，系统管理员要经常检测系统的薄弱环节。 前言 对一个企业来说，信息和其它商业资产一样有价值。信息安全就是保护信息免受来自各方面的威胁，是一个企业持续经营策略和管理的重要环节。随着公司治理、内部控制萨班斯法案上海深圳证券交易所出台《上市公司内部控制指引》越来越多企业信息安全作为领先的ERP软件，正在为越来越多的大中型企业所使用EAS(Enterprise Application Suite)，是金蝶国际软件集团推出的新一代企业应用套件。秉承40万家用户的最佳应用实践，采用必威体育精装版的ERP管理思想K/3产品的重大平台升级和管理升级，涵盖集团管理、财务管理、客户关系管理、供应链管理、等电子商务国际标准化组织已于2000年ISO/IEC 17799，是信息安全管理实施细则Code of Practice for Information Security Management）。其05年必威体育精装版版本涉及信息安全管理的各个方面： 安全策略（Security Policy） 信息安全的组织结构（Organization of information security）资产管理（Asset Management）人力资源安全（Human resources security） 物理和环境安全（Physical and environmental security）通信和操作管理（Communication and operations management）访问控制（Access control） 系统采购、开发和维护（Information systems acquisition, development and maintenance）信息安全事件管理（Information security incident management） 业务连续性管理（Business continuity management） 符合性（Compliance）通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节，还有39个主要安全类和133个具体控制措施（最佳实践），供负责信息安全系统开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。国际标准化组织05年10月ISO27001，ISO27001是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO 17799，其最终目的，