ERP_Oracle系统安全接入解决方案

ArrayNetworksCompanyConfidential-1-ERPOracleApplication系统安全接入解决方案ArrayNetworks,Inc.2004年10月ArrayNetworksCompanyConfidential-2-目录1.ERP需求分析.............................................................................................................31.1OracleAppliationERP系统介绍.........................................................................31.2OracleApplication系统的网络结构................................................................41.3ERP系统接入安全分析.......................................................................................72.OracleApplication系统SSLVPN解决方案.............................................................92.1组网结构.............................................................................................................102.2接入方式..............................................................................................................112.3SSLVPN接入ERP系统特点：...................................................................143.SSLVPN组网ERP系统的安全提升......................................................................153.1轻松实现内部网到外部网的扩展......................................................................153.2支持通用SSL加密算法..................................................................................163.3用户认证、授权.................................................................................................163.4审计和管理..........................................................................................................163.5多层安全控制机制.............................................................................................173.6证书管理.............................................................................................................173.7支持集群技术.....................................................................................................183.8SingleSighOn.....................................................................................................183.9Session级保护...................................................................................................184.SSLVPN安全接入对于企业的益处.......................................................................185.1提高信息安全性.................................................................................................185.2灵活的用户管理和访问控制.............................................................................195.3方便实施，简单使用.........................................................................................205.4降低管理和维护成本.........................................................................................205.5高度的扩展性和灵活性.....................................................................................20CompanyConfidential1.ERP需求分析1.1OracleAppliationERP系统介绍企业资源计划系统（ERP）是一套将财会、分销、制造及其他业务功能集成的应用软件系统。一般来讲，ERP系统包括生产计划、车间计划、销售定单处理、采购管理、销售计划、仓库管理、财务会计及报表等功能。Oracle全面集成的电子商务套件OracleApplicationsR11i，它能够自动化企业经营管理过程中的各个方面。Oracle电子商务套件涵盖了企业经营管理过程中的方方面面，虽然它在不同的方面分别面对不同的竞争对手，而Oracle电子商务解决方案的核心优势就在于它的集成性和完整性，用户完全可以从Oracle公司获得任何所需要的应用功能，更重要的是，它们具有一致的基于Internet技术的应用体系结构。系统分为企业管理和财务两大子系统，共有几十个模块。如下图：Oracle总帐发票收款发票付款Oracle固定资产固定资产登记固定资产增加、报废折旧Oracle应付帐款发票订单匹配应计接受销售成本接受货物,项目主档案,Oracle采购管理预测Oracle库存管理采购申请Oracle制造管理Oracle订单管理项目主档案,发货订单发票Oracle应收帐款Oracle现金管理项目Oracle总帐发票收款发票付款Oracle固定资产Oracle固定资产固定资产登记固定资产增加、报废折旧Oracle应付帐款Oracle应付帐款发票订单匹配应计接受销售成本接受货物,项目主档案,Oracle采购管理Oracle采购管理预测Oracle库存管理Oracle库存管理采购申请Oracle制造管理Oracle订单管理项目主档案,发货订单发票Oracle应收帐款Oracle现金管理Oracle现金管理项目CompanyConfidential1.2OracleApplication系统的网络结构OracleApplication的软件体系架构是以三层结构的Clent/Server方式为基础的，在网络结构上具有很大的灵活性。这三层分别为：UserDesktop;Applicationserver;DatabaseServer.如下图：支持ERP系统运行的网络可以分为核心网络和访问网络两大部分。核心网络的任务是提供足够支持应用服务器与数据库服务器运行所需要的高带宽。同时核心网络起到了隔离作为，保护了数据库服务器上数据的安全。所有对ERP系统的数据访问实际上都必须由应用服务器执行。在网络带宽足够的前提下，Database和ApplicationServer可以进行灵活的配置：用户可以根据硬件平台的容量选择将数据库和应用服务器集中在同一主机上，或者分布在多台主机上，起到负载均衡的作用。CompanyConfidentialUserDesktop与ApplicationServer之间的通信部分的任务为ERP客户端提供灵活多样的接入手段。ERP的三层结构设计中，Desktop与Application层通信量小，即使使用电话拨号的访问方式依然能够保证良好的用户响应时间。OracleApplication11i提供（PresentationLayer）图形化客户界面，通过标准的浏览器界面，加上java技术实现远端访问。如下图当客户端访问Applicationserver时，客户端使用标准浏览器访问Applicationserver中的WEBSERVER以建立连接，然后客户端会下载oracleJinitiator并作为一个java虚拟机，这样就可以运行OracleFormclientapplet,这时，通过oracleJinitiator客户端和ApplicationServer之间的CompanyConfidential应用运行结构就类似C/S结构了。下载成功后，OracleJinitiator会保存在客户端的硬盘上，以备下次登陆时使用。下图时OracleJinitiator下载运行的实例。一般ERP网络架构采用集中式结构。数据库服务器和应用服务器被安置在计算中心局域网内的核心网段上。所有外地用户（包括外地局域网用户和远程访问用户）都必须通过防火墙的过滤才能够访问核心网络及其上的ERP系统。企业总部内各办公楼、库房等通过光纤和100/10M交换机与计算中心共同组成中心网络。通过防火墙的分隔，ERP数据库服务器和应用服务器所在网段成为核心网段，网络其余部分为访问网段。CompanyConfidential外地分支机构网络通过DDN专线（或者FrameRelay、ISDN拨号等其他方式）连接到中心网络的访问网段。为提高网络的可靠性，可以采用包括电话拨号备份在内的线路备份措施，以及具有冗余路由的广域网结构。1.3ERP系统接入安全分析通过上面的介绍，我们可以看到，一般的ERP系统的网络层面的安全主要依靠防火墙来实现，但防火墙对于ERP系统的安全远不能满足要求，如防病毒入侵，数据的加密，用户的认证和鉴权等，尤其是不能作数据加密。有些ERP系统采用软件加密，但软件加密会消耗大量用户服务器的资源，影响ERP系统的响应速度。OracleApplicationserver也会有自己的基于对象权限和用户角色概念的授权机制，但是她的授权机制是在应用系统的层次来作的，还不能在网络接入等底层对接入用户作授权，一但黑客攻入系统主机，仍有可能对系统进行破坏，或者窃取数据。可见，网络层面接入的认证和授权同样重要。许多企业采用拨号线路为外地客户机提供接入以保障安全，总部为这些接入提供MODEM池和RAS服务。但者依然存在数据加密和授权灵活行的问题，同时，拨号线路也过于昂贵，并且速度也是个大问题。对于要求快速响应的大企业