【正文】 金蝶EAS信息安全方案金蝶軟件（中國）有限公司EAS產(chǎn)品事業(yè)部目錄1. 引言 32. 前言 33. 信息安全組織和制度保障 44. EAS安全策略 5. J2EE的安全性 5. EAS安全介紹 55. EAS資金管理系統(tǒng)安全方案 9. EAS與PKI體系整合的安全架構(gòu)圖： 9. EAS資金系統(tǒng)銀企互聯(lián)安全原理圖： 10. 基于證書的雙身份認證 11. USB Key身份認證 11. 數(shù)據(jù)加密傳輸 12. 業(yè)務(wù)單據(jù)的數(shù)字簽名 12. 二次身份認證 13. EAS資金成功案例介紹 146. EAS網(wǎng)絡(luò)安全 14. 防火墻 14. VPN技術(shù) 15. VLAN 177. 電腦病毒防護 178. EAS數(shù)據(jù)安全 18. 磁盤存儲系統(tǒng) 18. 數(shù)據(jù)備份 199. EAS服務(wù)器安全 20. 服務(wù)器系統(tǒng)冗余 20. IBM P系列服務(wù)器群集技術(shù)(HACMP) 20. HP MC/ServiceGuard 集群方案 21. EAS服務(wù)器群集 21集群模型特點 22集群部署建議 22. Oracle RAC 2310. 其它注意事項 2411. 附件 25信息安全體系結(jié)構(gòu) 251. 引言在信息安全技術(shù)中有一個著名的“木桶理論”其核心思想是：一個木桶能裝多少水，不是取決于木桶中最長的木板，而是木桶中最短的木板決定著一個木桶能夠裝多少水。把一個公司的信息安全看作是一個木桶的話，那么這個公司信息安全級別高低不是看其安全防范最好的地方，而是看其安全防范最薄弱的地方。不論公司信息安全體系的關(guān)鍵位置的安全防范有多嚴(yán)密，只要體系中有一個安全漏洞，那么整個信息安全體系的安全可以說是脆弱的。一個信息系統(tǒng)的安全弱點就是它防護最弱的那部分，不管其他部分是如何的強壯，一旦此弱點被利用，就會給系統(tǒng)帶來災(zāi)難。要保護系統(tǒng)的安全，需要全方位考慮，系統(tǒng)管理員要經(jīng)常檢測系統(tǒng)的薄弱環(huán)節(jié)。2. 前言對一個企業(yè)來說，信息和其它商業(yè)資產(chǎn)一樣有價值。信息安全就是保護信息免受來自各方面的威脅，是一個企業(yè)持續(xù)經(jīng)營策略和管理的重要環(huán)節(jié)。隨著公司治理、內(nèi)部控制的加強，以及美國頒布《薩班斯法案》和上海深圳證券交易所出臺《上市公司內(nèi)部控制指引》，越來越多的企業(yè)開始重視公司的信息安全。作為國內(nèi)領(lǐng)先的ERP軟件，EAS正在為越來越多的大中型企業(yè)所使用。金蝶EAS(Enterprise Application Suite)，是金蝶國際軟件集團推出的新一代企業(yè)應(yīng)用套件。秉承40萬家用戶的最佳應(yīng)用實踐，采用最新的ERPⅡ管理思想和最先進的平臺化技術(shù)架構(gòu)，是K/3產(chǎn)品的重大平臺升級和管理升級，涵蓋集團管理、財務(wù)管理、人力資源管理、客戶關(guān)系管理、供應(yīng)鏈管理、供應(yīng)商關(guān)系管理、協(xié)同平臺等管理領(lǐng)域。為大中型企業(yè)提供最適合中國企業(yè)管理特質(zhì)的個性化企業(yè)管理及電子商務(wù)應(yīng)用解決方案。如何保障EAS系統(tǒng)的信息安全，是EAS用戶十分關(guān)注的問題。國際標(biāo)準(zhǔn)化組織（ISO）已于2000年頒布ISO/IEC 17799，是信息安全管理實施細則（Code of Practice for Information Security Management）。其05年最新版本涉及信息安全管理的各個方面： u 安全策略（Security Policy） u 信息安全的組織結(jié)構(gòu)（Organization of information security）u 資產(chǎn)管理（Asset Management）u 人力資源安全（Human resources security） u 物理和環(huán)境安全（Physical and environmental security）u 通信和操作管理（Communication and operations management）u 訪問控制（Access control） u 系統(tǒng)采購、開發(fā)和維護（Information systems acquisition, development and maintenance）u 信息安全事件管理（Information security incident management） u 業(yè)務(wù)連續(xù)性管理（Business continuity management） u 符合性（Compliance）通過層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個安全控制章節(jié)，還有39個主要安全類和133個具體控制措施（最佳實踐），供負責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用，以規(guī)范化組織機構(gòu)信息安全管理建設(shè)的內(nèi)容。另外國際標(biāo)準(zhǔn)化組織于2005年10月頒布ISO27001，ISO27001是建立信息安全管理體系（ISMS）的一套規(guī)范（Specification for Information Security Management Systems），其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO 17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。 綜上述，信息安全有一套嚴(yán)格的體系和規(guī)范，必須從制度、管理、技術(shù)等多維度來保障公司信息安全。EAS系統(tǒng)是公司眾多信息系統(tǒng)的一個重要應(yīng)用系統(tǒng)，需要公司的信息安全體系提供保障，而不是單純依靠EAS內(nèi)部的一些安全手段，只有這樣才能保證EAS系統(tǒng)的安全。由于信息安全涉及面太廣，下面僅就與EAS緊密相關(guān)的成熟的信息安全技術(shù)展開討論，為EAS用戶提供參考。3. 信息安全組織和制度保障根據(jù)ISO/IEC 17799規(guī)定，公司應(yīng)當(dāng)制定信息安全制度為公司信息安全提供管理方向和指南。同時成立信息安全管理部門，推行信息安全制度，對信息安全權(quán)責(zé)進行分配，并協(xié)調(diào)公司內(nèi)部信息安全的實施。如有必要，在公司內(nèi)部設(shè)立特別信息安全顧問并指定相應(yīng)人選。同時，要設(shè)立外部安全顧問，以便跟蹤行業(yè)走向，監(jiān)視安全標(biāo)準(zhǔn)和評估手段，并在發(fā)生安全事故時建立恰當(dāng)?shù)穆?lián)絡(luò)渠道。4. EAS安全策略. J2EE的安全性J2EE(Java 2 Enterprise Edition)提供了一個企業(yè)級的計算模型和運行環(huán)境用于開發(fā)和部署多層體系結(jié)構(gòu)的應(yīng)用，J2EE提供一系列安全算法、PKI體系、安全通訊、認證和存取控制等，可以通過各種安全策略的設(shè)置來開放足夠使用的執(zhí)行權(quán)限。它通過提供企業(yè)計算環(huán)境所必需的各種服務(wù)，使得部署在J2EE平臺上的多層應(yīng)用，可以實現(xiàn)高可用性、安全性、可擴展性和可靠性。它的優(yōu)越性在于：計算平臺支持Java語言，使得基于J2EE標(biāo)準(zhǔn)開發(fā)的應(yīng)用可以跨平臺地移植；Java語言非常安全、嚴(yán)格，這使開發(fā)者可以編寫出非?？煽康拇a；J2EE提供了企業(yè)計算中需要的所有服務(wù)，且更加易用；J2EE中多數(shù)標(biāo)準(zhǔn)定義了接口，例如JNDI（Java Naming and Directory Interface）、JDBC、