Total 144 No.2 2017 铜学工 暑 总第14期 2017年第2期 COPPER ENGINEERING 吴伟东,童军科,徐飞元 (江西铜业集团公司,江西南昌330096) 摘要:随着ERP系统的不断发展和运用,系统面临的安全威胁也越来越多。我们必须提高安全认识,尽 量减少核心数据被窃取、篡改,满足企业越来越高的安全需求。我们通过对ERP网络架构和网络安全威胁进行 深入分析,为企业为用户提出增强ERP系统安全性的可行性方案。 关键词:ERP系统;网络架构;网络安全;网络威胁;安全策略 中图分类号:TP393 文献标识码:B 文章编号:1009—3842(2017)02—0006—04 Network Framework and Safety Analysis of ERP WU Wei—dong,TONG Jun-ke,XU Fei—yuan (Jiangxi Copper Corporation,Nanchang 330096,Jiangxi,China) Abstract:Along with the development and application of ERP,the ERP system is facing more and more cyber threats. We must improve safety awareness,and try our best to reduce core data theft and tampering for meeting the growing security needs of enterprises.Through in-depth analysis of ERP network architecture and network security threats,we propose a feasi— ble scheme to enhance the security of ERP system for users. Keywords:ERP system;network framework;network security;cyber threats;security policy 主,而国产的新中大、浪潮的产品在国内市场占有 1引言 随着网络技术的发展和Internet的广泛使用. ERP(Enterprise Resource Planning)系统在各大 企业越来越普及.此系统已经成为当今主流的企业 率较低。此文以ORACLE产品为例,进行对ERP 系统安全分析。 2 ERP网络架构分析 当前各大公司ERP系统均采用以下三种网络 架构 : 2.1分布式构架 管理信息系统模式。正因如此,ERP系统的网络 安全性也越来越被企业重视_1]。 2016年底,中央网络与信息化办公室专家小 组对国内各大企业的关键信息基础设施安全状况展 开摸底调查,其中对ERP系统的网络安全问题十 分布式构架(图1)是指公司总部和分支单位各 自采用自己独立的ERP应用系统,分支单位的 ERP应用系统通过独享的网络(专线)或VPN等方 式与公司总部的应用服务器相连接,总部采用一些 技术对分支单位数据进行必要的采集,或通过0r— acle Application各模块的接口,定期将各分支单位 分担忧。虽然制定了《网络安全法》 ],但暂没出台 信息安全的国家标准和行业标准管理办法。本文从 ERP系统的网络架构和安全威胁进行剖析,并提 出合理化的可行性解决方案。当今ERP软件市场 主要还是以SAP、ORACLE、INFOR、ACCPAC为 的管理信息输出并保存到总部的ERP数据库中。 收稿日期:2017—03—28 作者简介:吴伟东(1974-),男,江西兴国人,高级工程师,主要从事信息化管理和研究。E-maih 347972899@qq.corn 6 吴伟东,童军科,徐飞元:ERP网络架构与安全分析 2017年第2期 用服务器数据库服务器性能也要优良。分支单位或 子公司通常通过租用电信、移动或联通的专线和利 用VPN技术,访问总部的ERP服务器。这样更安 全可靠,因为专线相当于物理上隔离了其他有害的 安全威胁,而VPN技术已经得到了广泛的应用. 大大方便移动办公的员工。VPN是在互联网上开 辟一条“虚拟隧道”.而在“隧道”里穿梭必须通 过用户认证,提高了访问的安全性。 图1 Oracle电子两务套件分布式构架 2.2集中式分布 3高可用性架构 ERP系统的高可用性是系统架构的一个重要 集中式构架(图2)是指应用服务器与数据库 服务器都部署在公司总部,分支单位和下属单位通 过独享网络(专线)或VPN技术等与总部的ERP 应用服务器连接,实现对应用系统的访问。这种构 架方式符合近几年来很多大企业系统进行集中的形 部分。ERP系统的可靠性和容错能力是保证企业 应用业务连续的基础。分别是网络高可用性、存储 高可用性、数据库服务器高可用性、应用服务器高 可用性。 势,但这种架构对网络及硬件的要求偏高。 机器放在集中机房中 所有用户通过测览器访fq* 目前很多公司核心交换机都采用两台做冗余, 包转发率都能达到5760Mpp以上,做到了网络高 可靠性。Oracle系统采用自动存储管理(ASM), 提供在磁盘上的自动负载均衡,大大减少维护的要 求,提高磁盘读写能力。而ERP数据库服务器通 常使用两台作为RAC(应用集群),保证数据库的 高可用性。ERP应用服务器也采用两台组成应用 层集群。当一个应用服务器出现突发性故障,也可 图2 Oracle电子商务套件集中式构架 以用负载均衡设备屏蔽掉这个服务器而不影响整个 系统的运行。另外,ERP容灾系统也是非常必要 的。一旦主数据遭遇破坏,还能异地恢复,为 2.3混合式构架 混合式构架是集中式构架与分布式构架的结 合.各分支单位有各自的ERP应用服务器,而 ERP数据库都集中存放在总部。可以根据实际的 情况,把一部分应用服务器构架在防火墙内,把另 外一部分服务器架构在防火墙外,以满足不同的业 务需求。这种架构方式适合云计算技术。 大型企业基本选择集中式架构,便于集中管 理。因为集中式架构需要网络配置较高,部署的应 表1 三种架构方式的优缺点以及应用场景对比 ERP系统的高可用性提供最后的基础保障。 4系统安全架构 当数据和应用集成以后,信息的安全对于整个 企业来说是至关重要的。企业信息的安全保护是一 个系统的工程,需要建立属于自己的一套信息安全 7 Total 144 体系。 一铜拳二矛暑 总第144期 个完整的安全体系是由4个方面构成的: 5 国内各大公司ERP系统安全威胁分析E43 现在公司ERP系统的安全威胁主要分以下几 个方面。 安全策略、安全保护、检测保护和响应保护。 4.1 安全策略 安全策略是安全体系的核心,如果想构建企业 级的完整安全体系。首先必须制定企业的安全策 略。所有的保护、检测和响应措施都是依据安全策 略来实施的.安全策略为安全管理提供了管理方向 和支持手段 4.2安全保护 (1)不可抗力。自然灾害、政治军事原因等导 致服务器物理损坏等。 (2)非故障的操作错误。由于管理人员的操作 不当造成的威胁。 (3)技术、管理缺陷。由于系统在设计、实 现、配置或业务流程造成的安全威胁。 (4)黑客和病毒攻击。核心数据被窃取、篡改 等。 安全保护通常是通过一些传统的静态安全技术 及方法来实现的,主要有防火墙、加密和认证等方法。 4-3检测保护 检测是强制落实安全策略的有力途径,通过对 (5)内部人员的蓄意攻击。单位管理人员故意 破坏或泄露自身的商业秘密数据。 表2威胁来源发生的可能性和危害程度,分为4个等级 网络和系统不断地监控和检测来发现系统存在的威 胁和弱点,通过循环反馈及时做出有效的响应。现 在各大公司都愿意请外部专业公司对自己的ERP 系统进行渗透测试,来检测自身的安全漏洞,这点 是很值得提倡的,但一定要签署必要的保密协议。 4.4响应保护 1级最高。 威胁来源 可能性破坏信息公布信息窃取信息拒绝服务 紧急响应在安全系统中占有最重要的位置,是 解决潜在安全问题的最有效办法,在检测到安全漏 洞和安全事件后必须及时做出正常的响应,从而把 系统调整到安全状态。响应保护是处理安全威胁的 过程,各大公司就需要配备自身的安全管理员,为 ERP系统时刻保驾护航。 下图(图3)是大多数企业部署的安全架构,O. ralce电子商务套件除了有自身的安全机制外,还 能通过硬件的网络防火墙、单点登录、数据库防火 墙、数据库的审计等,做到每个层面的安全。从某 通过分析上表,得出结论:主要的威胁来自技 术管理缺陷和黑客病毒攻击。所以我们可以将 ERP系统需要控制的危害因素界定为以下5个方 面。 种程度上讲,安全性已经很高了,问题是还有那么 企业的商业秘密被窃取了,原因来自于哪里呢? (1)和公共网络连接可能造成的危害。除了通 过防火墙、网络安全设备过滤威胁数据外,客户端 的威胁也不容忽视。随着在企业网络中服务器、 PC机、打印机、语音电话等(注:下文将服务器、 PC机、打印机、语音电话等直接称之为网络终端) 网络终端的增加.对这些网络终端的管理难度越来 越大,同时这些网络终端接入网络时的安全认证风 险也越来越高 。由于企业员_T网络完全意识参差 不齐,个性化的软件众多。病毒木马入侵,用传统 的手段例如客户端装杀毒软件来防范效率不高。网 图3 Oracle—EBS安全架构 8 络管理员为了更好的维护网络终端的安全.可以利 吴伟东,童军科,徐飞元:ERP网络架构与安全分析 2017年第2期 用终端准人管理和域账户绑定进行认证,提高对网 络终端的安全接人进行管理和控制。 新;如果有了新的生意合作伙伴,或是企业内部成 立了新的业务部门,或是企业开拓了新的市场,同 样要对系统程序控制进行调整,因此对EBS系统 的维护耗费几乎是无止境的。最大的亮点就在于 EBS系统稳定后。新开拓的市场就能成为企业营收 的新的增长点,但也带来了更多的安全隐患。安全 威胁来自于全球。特别是在当今世界复杂的格局 中,企业在利用好自身的资源的同时,必须提高自 (2)信息通过公共网络传输可能遇到的风险 ]。 包括搭线窃听、网络监控等,可以对信息传输进行 加密处理,提高专线路由器的安全配置,保障网络 的安全。数据的通讯离不开物理的链路,各大网络 运营商有责任有义务为用户提供安全可靠的线路。 (3)内部员工造成的危害。内部员工的恶意攻 击等,必须启用数据库审计服务器,再通过出台相 身网络安全意识,提高网络管理水平,这样不仅能 给自身带来丰厚利润.也为国家迈人世界网络强国 贡献自身的力量。 参考文献: [1]李晶.“棱镜”折射下的网络信息安全挑战及其战略思考[J].情报理 论与实践。2014(4):48—50. [2]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报, 2015(2):72-74. [3]朱龙春.Oraeke E—Business Suite ERP DBA实践指南[M].北京:机 关的管理制度进行约束,加强网络安全的培训工 作.继续完善安全保密管理制度并加大执行力度。 对于近年来企业发生的重要系统安全事件。大多数 来自于内部管理人员的责任意识和安全管理意识严 重缺失,为一己私利。损害企业核心利益。 (4)用户身份的冒用、滥用造成的危害。需要 采用基于角色的用户管理机制。细化每一个用户的 责任和权限。 械工业出版社.2012(6):14—26. 6 ERP系统衍生的应用系统部署 一[4]朱诗生、陈晓强、肖海涛,等.ERP系统IAM的网络安全设计[J].电 子设计工程.2014(4):166—168. 个稳定的高效的安全的EBS系统部署运行 [5]陈婕.基于云计算的ERP安全机制研究[J].电脑知识与技术,2016 (35):216-218. [6]王璐,王瑞.移动ERP系统信息安全问题探析[J].电子技术与软件工 后,EBS的维护是耗资耗时的。每当员工升职、转 岗、退休或被解雇时,系统中相对的数据就需要更 程.2016(3):230. 《铜业工程》2017年第1期广告索引 山推工程机械股份有限公司 封面 封二 长沙博厚工程机械有限公司 江西通用电力开关有限公司 山推工程机械股份有限公司 后插2 后插3 后插4 江西铜业集团(贵溪)防腐工程有限公司 江西铜业集团(贵溪)防腐工程有限公司 前插1 重庆川仪自动化股份有限公司 重庆川仪自动化股份有限公司 中冶京诚(湘潭)矿山装备有限公司 前插2 前插3 前插4 前插5 前插6 前插7 前插8 后插1 山推工程机械股份有限公司、江西山推工程机械有限公司 后插5 中冶京诚(湘潭)矿山装备有限公司 尼霍夫机械制造(常州)有限公司 北矿机电科技有限责任公司 衡阳金扬冶金矿山设备有限公司 江山市玉兰变压器有限公司 北京矿冶研究总院矿物工程研究设计所 北京矿冶研究总院矿物工程研究设计所 后插6 后插7 北京矿冶研究总院信息技术与自动化研究设计所 后插8 北京矿冶研究总院信息技术与自动化研究设计所 江西耐普矿机新材料股份有限公司 封三 封底 9