ERP 系统安全接入解决方案

-1-ERP系统安全接入解决方案ArrayNetworks,Inc.-2-目录1.ERP系统需求分析.........................................................................................................................31.1.ERP背景介绍.....................................................................................................................31.2.ERP的系统部署结构.........................................................................................................41.3.ERP系统接入安全分析.....................................................................................................42.ERP系统安全接入解决方案.........................................................................................................62.1.方案简介.............................................................................................................................62.2.接入方式：.........................................................................................................................72.3.同IPSecVPN相比SSLVPN的特点：...............................................................................93.SSLVPN提升ERP系统的安全性..................................................................................................93.1.轻松实现内部网到外部网的扩展.....................................................................................93.2.支持通用SSL加密算法................................................................................................103.3.用户认证、授权...............................................................................................................103.4.审计和管理.......................................................................................................................103.5.多层安全控制机制...........................................................................................................103.6.证书管理...........................................................................................................................104.采用ArrayNetworksSSLVPN接入ERP系统特点：.................................................................115.SSLVPN安全接入对于ERP系统的益处....................................................................................125.1.提高信息安全性...............................................................................................................125.2.灵活的用户管理和访问控制...........................................................................................135.3.方便实施，简单使用.......................................................................................................135.4.降低管理和维护成本.......................................................................................................135.5.高度的扩展性和灵活性...................................................................................................135.6.提高企业生产效率...........................................................................................................14CompanyConfidential1.ERP系统需求分析1.1.ERP背景介绍20世纪90年代以来，企业信息处理量不断加大，企业资源管理的复杂化也不断加大，这要求信息的处理有更高的效率，传统的人工管理方式难以适应以上系统，而只能依靠计算机系统来实现，信息的集成度要求扩大到企业的整个资源的利用、管理，从而产生了新一代的管理理论与计算机系统——企业资源计划ERP。企业资源计划系统（ERP）是一套将财会、分销、制造及其他业务功能集成的应用软件系统。一般来讲，ERP系统包括生产计划、车间计划、销售定单处理、采购管理、销售计划、仓库管理、财务会计及报表等功能。ERP合理地重组企业业务并进一步地规范企业管理。ERP是昀有代表性的现代企业的管理规范和管理技术，是公认的先进制造企业的管理准则。ERP有一整套适合于现代制造业的管理规章、制度和准则，以及非常规范的企业业务流程和管理控制方法，对于提高企业的管理水平和促进企业快速发展都有非常大的帮助。ERP是以计算机网络为基础的，它不但充分地利用了企业原有的计算机，挖掘企业现有的闲散资源的价值，更为重要的是它能够同Internet连接起来，帮助企业同外部建立联系，为企业十年、二十年后的生存和发展打下坚实基础和做好充分准备。ERP同世界上昀新的管理理论和管理思想紧密相连，成功实施对提高企业利用新技术，吸收新管理思想和采纳科学的运作方式具有重要的意义，使企业在激烈的市场竟争中，占据优势地位，赢得生存和发展。国内外有很多厂家在做ERP系统，如SAP，ORACLE，IBM，金蝶，用友等，都提出了自己地ERP解决方案，并开发了相应应用软件，已经在很多企业成功地运行着，为ERP在中国地普及作了巨大贡献。下图是一个典型的ERP系统模型。CompanyConfidential1.2.ERP的系统部署结构ERP软件系统是以三层结构的Clent/Server方式为基础的，在网络结构上具有很大的灵活性。在三层结构中，Presentation与Application层的通信量非常小；而Application和Database层之间具有较高的通信量。如下图：支持ERP系统运行的网络可以分为核心网络和访问网络两大部分。核心网络的任务是提供足够支持应用服务器与数据库服务器运行所需要的高带宽。同时核心网络起到了隔离作为，保护了数据库服务器上数据的安全。所有对ERP系统的数据访问实际上都必须由应用服务器执行。在网络带宽足够的前提下，Database和ApplicationServer可以进行灵活的配置：用户可以根据硬件平台的容量选择将数据库和应用服务器集中在同一主机上，或者分布在多台主机上，起到负载均衡的作用。访问网络部分的任务为ERP客户端提供灵活多样的接入手段。ERP的三层结构设计中，Presentation与Application层通信量小，即使使用电话拨号的访问方式依然能够保证良好的用户响应时间。用户界面层（PresentationLayer）有两种方式：专用的图形化客户界面；标准的浏览器界面，通过java技术实现远端访问。一般ERP采用集中式结构。数据库服务器和应用服务器被安置在计算中心局域网内的核心网段上。所有外地用户（包括外地局域网用户和远程访问用户）都必须通过防火墙的过滤才能够访问核心网络及其上的ERP系统。企业总部内各办公楼、库房等通过光纤和100/10M交换机与计算中心共同组成中心网络。通过防火墙的分隔，ERP数据库服务器和应用服务器所在网段成为核心网段，网络其余部分为访问网段。外地分支机构网络通过DDN专线（或者FrameRelay、ISDN拨号等其他方式）连接到中心网络的访问网段。为提高网络的可靠性，可以采用包括电话拨号备份在内的线路备份措施，以及具有冗余路由的广域网结构。1.3.ERP系统接入安全分析通过上面的介绍，我们可以看到，一般的ERP系统的网络层面的安全主要依靠防火墙来实现，但防火墙对于ERP系统的安全远不能满足要求，如防病毒入侵，数据的加密，用户的认证和鉴权等，尤其是不容易作认证鉴权。有些ERP系统采用软件加密，但软件加密会消耗大量用户服务器的资源，影响ERP系统的响应速度。ERP系统一般也会有自己的基于对象权限和用户角色概念的授权机制，但是她的授权机制是在应用系统的层次来作的，还不能在网络接入等底层对接入用户作授权，一但黑客攻入系统主机，仍有可能对系统进行破坏，或者窃取数据。可见，网络层面接入的认证和授权同样重要。CompanyConfidential许多企业采用拨号线路为外地客户机提供接入以保障安全，总部为这些接入提供MODEM池和RAS服务。但者依然存在数据加密和授权灵活行的问题，同时，拨号线路也过于昂贵，并且速度也是个大问题。对于要求快速响应的大企业的ERP系统来说是不允许的。由于VPN（虚拟专网）比租用专线更加便宜、灵活，所以有越来越多的公司采用VPN，连接在家工作和出差在外的员工，以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发端加密数据、在收端解密数据，以保证数据的私密性。现在大多数远程安全访问解决方案是采用IPSecVPN方式，其组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术，表示它独立于应用程序。IPSec以自己的封包封装原