近几年我国中央企业信息化发展迅猛,多数央企根据自身需要进行了ERP系统的建设,用于对企业财务、人事、CRM、库存等关键资源进行整合管理。ERP通过优化企业资源使用和改善企业业务流程,提高了企业核心竞争力,因此在企业经营中具有至关重要的作用。然而,ERP系统与任意企业信息系统一样,面临着国内外非法组织的不法企图,商业竞争对手的恶意攻击,不满情绪人员的发泄等严重威胁等问题。ERP的重要性意味着它必须得到较高强度的信息安全保护,否则一旦遭到破坏或者入侵,将威胁到企业核心利益,造成难以估量的损失。
当前ERP系统在身份认证、数据保护环节存在明显的缺陷,具体分析存在如下几个问题:一、用户登录采用“用户名+口令”方式,容易被破解;二、访问ERP系统的不同模块均需要输入不同的“用户名+口令”,加大了用户负担;三、服务器端和客户端未采用专有密钥加密传输,传输过程泄密风险大;四、关键操作不支持抗抵赖。
本方案通过建设PKI/CA体系,结合安全中间件、加密机、USBKEY等基于证书的密码应用产品,解决ERP现存的种种安全问题。方案设计思路如下:一、通过PKI/CA体系颁发数字证书,用户通过数字证书登陆ERP系统,代替传统的“用户名+口令”方式,用以避免“用户名+口令”方式引发的泄密风险;二、在用户登录系统的不同模块时,插入存储数字证书的USBKEY即可进行登录,避免输入不同的“用户名+口令”,降低了用户负担;三、基于数字证书实现客户端和服务端之间传输信息的加密,保证传输信息的保密性;四、基于数字证书提供数字签名服务,保证关键操作的不可抵赖。
以SAP系统为例,整个体系的逻辑架构示意图如下所示:
整个方案逻辑架构分为如下几个部分:1)SAP安全中间件客户端:该部分主要安装在终端客户机上,实现和GUI程序的有机融合,主要完成基于数字证书的身份认证、数据在服务器端和GUI之间的加解密,执行SAP安全中间件服务器端下发的策略;2)SAP安全中间件服务器端:该系统主要部署在在SAP系统的服务器端,实现和SAP系统服务器端各个模块之间的融合,主要配合安全中间件客户端部分实现基于数字证书的身份认证、传输数据的加密解、客户端的管理、安全策略的下发等;3)管理服务端(Console Setup)部署在单独的客户机上,主要用于配置管理SAP安全中间件系统中心服务器的相关内容;4)CA系统主要为每个需要登录SAP的用户颁发数字证书,同时也为SAP系统服务器端颁发数字证书。
