【文章內容簡介】 8。 使用方便，價格便宜。. 數(shù)據(jù)加密傳輸u ORMRPC是金蝶自主產(chǎn)權的，基于TCP/IP協(xié)議上的遠程對象請求協(xié)議，可以與第三方具有公信力的權威認證相結合，提供數(shù)據(jù)加密傳輸；其數(shù)據(jù)加密傳輸?shù)膶崿F(xiàn)原理與SSL相類似。u 結合PKI/CA的ORMRPC數(shù)據(jù)加密/解密傳輸過程說明：178。 首先，用戶基于證書進行雙身份登錄認證，若認證通過，且服務端要求進行數(shù)據(jù)加密傳輸時，將在服務端產(chǎn)生會話密鑰，并用用戶個人公鑰進行加密，返回給客戶端；178。 其次，客戶端獲取到加密后的會話密鑰后，將使用個人私鑰進行解密；178。 然后，在本次用戶會話周期內，以后每次的數(shù)據(jù)傳輸，都將使用該會話密鑰進行數(shù)據(jù)的加密/解密；178。 以上數(shù)據(jù)加密/解密過程是與PKI/CA體系相結合的，是類似SSL的一種實現(xiàn)，但與EAS結合的更緊密，且降低了SSL的部署復雜度，是能夠靈活滿足不同客戶的安全需要的。. 業(yè)務單據(jù)的數(shù)字簽名u 對于資金等敏感數(shù)據(jù)需要保障其完整性，比如：需要防止直接通過數(shù)據(jù)庫工具進行EAS系統(tǒng)外的修改；而對于用戶在EAS系統(tǒng)內的修改，也需要提供不可抵賴的證據(jù)；顯然這些需求都可通過數(shù)字簽名來實現(xiàn)。EAS主要業(yè)務對象為單據(jù)，通過對業(yè)務單據(jù)進行數(shù)字簽名，可確保數(shù)據(jù)的完整性和不可抵賴。u 后續(xù)將進一步提供簽名數(shù)據(jù)的審計功能，以便對存在疑問的數(shù)據(jù)進行簽名審計，通過審計對系統(tǒng)安全進行審查，并盡早發(fā)現(xiàn)問題。u EAS中業(yè)務單據(jù)提交銀企互聯(lián)的時候，由于是真正付款出去，對某些字段比如付款賬號、收款賬號、金額、幣別等的安全性要求比較高，從審批到提交銀企互聯(lián)的環(huán)節(jié)之間，進行了關鍵字段的防篡改處理，以付款單為例，實現(xiàn)思路如下實現(xiàn)思路如下：178。 付款單審批的時候對要防篡改的字段進行加密處理，得出加密字符串保存到付款單記錄加密字段中。178。 付款單提交銀企互聯(lián)的時候對要加密的字段用相同加密算法重新進行加密得到新的加密字符串，與付款單記錄加密字段中保存的加密字符串進行比較，如果不相同，則說明被加密的這幾個字段中有字段數(shù)據(jù)被修改過，否則就說明沒被篡改。. 二次身份認證功能二次身份認證，是通過在功能權限上綁定身份認證方式來實現(xiàn)的，其設置主界面如下圖所示：業(yè)務功能與二次身份認證方式的綁定管理員對資金關鍵業(yè)務功能可以設置是否進行二次身份認證，然后再設置哪些功能分別使用哪種驗證方式，設置好了之后，每個用戶在操作這些功能時，系統(tǒng)會自動增加二次認證，如果用戶符合二次身份認證設置的條件，那么用戶就會沒有任何感覺的繼續(xù)操作功能，如果不符合二次身份認證設置的條件，那么即使該用戶有操作權限，也不允許使用該功能。. EAS資金成功案例介紹XX綜合性機械制造特大型集團企業(yè)使用EAS的安全性需求：178。 基于證書的身份認證；178。 數(shù)字簽名：保障數(shù)據(jù)完整性、以及不可抵賴性；178。 數(shù)據(jù)傳輸加密：有效防止敏感數(shù)據(jù)在傳輸過程中被竊取而泄密；EAS安全性解決方案：178。 所有使用電子結算的成員單位都需要使用財務公司下發(fā)的電子密鑰及服務證書。178。 每家參與電子結算的成員單位需提交兩個證書備案表，即需要兩個不同身份的服務證書，一個用于收付單的審批身份認證，一個用于將收付款單發(fā)往財務公司時的數(shù)字簽名。 178。 為保證傳送到接口的數(shù)據(jù)的合規(guī)性，所有收付款的審批人在登陸EAS系統(tǒng)時都必須使用證書進行登陸，所有將收付款單發(fā)往財務公司的人員在做發(fā)送指令時都必須進行數(shù)字簽名以實現(xiàn)傳送數(shù)據(jù)的不可抵賴性。178。 采用雙系統(tǒng)管理員，即系統(tǒng)管理員和安全管理員，系統(tǒng)管理員不能給自己授于業(yè)務操作權限，同時在EAS系統(tǒng)設置安全管理員角色，安全管理員只能處理類似USBKey綁定、撤銷綁定、發(fā)放等日常工作。 6. EAS網(wǎng)絡安全. 防火墻防火墻的基本功能是能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。出于安全考慮，企業(yè)必須購置防火墻以保證其數(shù)據(jù)安全，建議將生產(chǎn)服務器放置在單獨區(qū)域，與辦公網(wǎng)絡隔離。EAS客戶端通過金蝶自主開發(fā)的協(xié)議ORMRPC與應用服務器連接，ORMRPC可以運行在HTTP或TCP/IP協(xié)議之上，ORMRPC可以使用HTTP 80端口或TCP 11034默認端口，客戶也可以自己定義ORMRPC協(xié)議的TCP端口。在防火墻上配置策略需要開放應用服務器的端口和11034端口（或客戶自定義端口）。WebSphere默認HTTP端口是9080，Apusic默認的HTTP端口是6888，Weblogic默認的HTTP端口是7001。EAS 防火墻配置圖：EASClientORMRPCEAS APP SERDBServerQuerySER防火墻開放端口：HTTP：6888TCP : 11034. VPN技術VPN 即虛擬專用網(wǎng)(Virtual Private Networks) 提供了一種通過公共非安全介質(如Internet)建立安全專用連接的技術。使用VPN技術，甚至機密信息都可以通過公共非安全的介質進行安全傳送。VPN技術的發(fā)展與成熟，可為企業(yè)的商業(yè)運作提供一個無處不在的、可靠的、安全的數(shù)據(jù)傳輸網(wǎng)絡。VPN通過安全隧道建立一個安全的連接通道，將分支機構、遠程用戶、合作伙伴等和企業(yè)網(wǎng)絡互聯(lián)，形成一個擴展的企業(yè)網(wǎng)絡。VPN基本特征：u 使企業(yè)享受到在專用網(wǎng)中可獲得的相同安全性、可靠性和可管理性。u 網(wǎng)絡架構彈性大——無縫地將Intranet延伸到遠端辦事處、移動用戶和遠程工作者。u 可以通過Extranet連接企業(yè)合作伙伴、供應商和主要客戶（建立綠色信息通道），以提高客戶滿意度、降低經(jīng)營成本。VPN實現(xiàn)方式u 硬件設備：帶VPN功能模塊的路由器、防火墻、專用VPN硬件設備等，如Nokia、 Cisco、NetScreen等。u 軟件實現(xiàn)：Windows 2000自帶PPTP或L2TP、第三方軟件（如CheckPoint、深信服等）。u 服務提供商（ISP）：中國電信、聯(lián)通、網(wǎng)通等。目前一些ISP推出了MPLS + VPN，線路質量更有保證，推薦使用。由于南北電信存在互聯(lián)互通的問題，如果不能統(tǒng)一線路提供商，通常的解決方法是在總部同時申請電信和網(wǎng)通線路，下屬機構根據(jù)實際情況采用電信或網(wǎng)通線路，如下圖：. VLANVLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。VLAN不僅有利于網(wǎng)絡安全和防止網(wǎng)絡風暴，而且可以提高網(wǎng)絡運行的效率，解決許多其它問題。7. 電腦病毒防護目前流行的電腦病毒破壞力越來越強，不只是破壞感染病毒的電腦，還消耗大量的網(wǎng)絡資源，嚴重時導致關鍵業(yè)務系統(tǒng)癱瘓，所以企業(yè)考慮