用友NC安全解决方案.doc
《用友NC安全解决方案.doc》由会员分享,可在线阅读,更多相关《用友NC安全解决方案.doc(54页珍藏版)》请在冰点文库上搜索。
用友NC安全解决方案
东方中讯数字证书认证有限公司
用友用友NC安全解决方案目录
目录
1 前言 1
2 应用安全需求概述 1
2.1 用友NC实现功能 2
2.2 CA应用需求 2
2.3 VPN安全应用需求 4
2.4 法律需求—电子签名法 5
2.4.1 相关概念 5
2.4.2 相关规定 6
2.4.3 法律效益 7
3 CA安全解决方案 7
3.1 总体架构 7
3.2 托管服务模式 9
3.2.1 网络架构 10
3.2.2 CA系统工作流程设计 11
3.2.3 CA系统实施部署流程 14
3.2.4 托管模式意义 14
3.3 CA技术与VPN相结合 15
3.3.1 VPN总体架构 15
3.3.2 VPN安全登录实现原理 16
3.3.3 VPN证书应用 17
3.4 硬件RA----东方中讯RA-M 18
3.4.1 概述 18
3.4.2 产品特点 18
3.4.3 产品功能 19
3.5 证书存储介质 19
4 人员安全解决方案 20
4.1 信息部职责 20
4.2 各部门、分公司的职责 20
4.3 员工的权利与义务 20
4.4 证书申请流程和规范 21
4.4.1 数字证书发放模式 21
4.4.2 数字证书申请流程 22
4.5 鉴证审批管理规范 23
4.5.1 鉴证审批的基本原则 23
4.5.2 证书更新鉴证 24
4.5.3 证书吊销鉴证 24
4.6 网络管理员安全控制 25
4.6.1 网络管理员职责 25
4.6.2 NC系统人员安全管控 26
5 NC系统层次安全架构介绍 31
5.1 客户端接入 31
5.2 传输层加密 33
5.3 服务器安全 33
5.4 数据库安全 34
6 证书审批模式设计 35
6.1 手动审批 36
6.2 自动审批 37
6.3 通行码审批 39
6.4 集中制证模式 40
7 CA安全认证系统工作原理 42
7.1 系统安全原理 42
7.2 系统环境要求 46
8 证书存储方式 46
8.1 USBKEY介绍 46
8.2 USBKEY优点 47
8.3 USBKEY密码 48
9 用友NC系统证书应用 48
10 技术支持与培训 52
附件一关于东方中讯 53
附件二东方中讯相关资质 57
东方中讯数字证书认证有限公司
用友用友NC安全解决方案第50页共50页
1前言
用友软件是中国最大的管理软件、ERP软件、财务软件、集团管理软件供应商之一。
用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品,涵盖从集中财务管理、供应链管理、集团资金管理等全面应用,全面支持企业各项经营,是集团企业协同电子商务的有效手段。
用友NC与东方中讯数字PKI/CA产品和服务的整合方案,是一次强强联合。
用友NC核心管理理念是“集中管理战略协同”,其中“战略协同”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。
而东方中讯作为专业的电子认证服务运营商和CA产品提供商,实现了用友NC用户多方安全协同工作,保障信息传递的机密性、保障电子化信息交互的层面上双方(多方)行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力,得到《中华人民共和国电子签名法》法律的保障。
目前,用友NC系统已经成功支持东方中讯CA产品和服务,NC系统只需简单的部署和配置,就可以实现基于数字证书的各种安全功能,保障系统高效、成功地实施。
迄今为止,东方中讯PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。
东方中讯以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴,为用友NC产品保驾护航,提供全面的安全解决方案。
2应用安全需求概述
目前NC的默认登录方式是用户名+口令的方式,安全性不高,容易被暴力破解,当然在业务交流的时候也会因为人为的疏忽或者黑客的攻击而导致业务信息丢失,公开或者篡改,使用户的资金系统存在着安全隐患,导致不必要的损失。
2.1用友NC实现功能
1、通过NC系统的应付系统来完成支付业务的全过程管理。
2、由系统实现专项预算对支付的自动控制,超出部分不允许支付。
3、可以通过配置不同付款单的审批流程来控制各子公司的支付走款,同时不允许修改由支付业务触发生成的总账凭证中的金额等要素。
4、子公司出纳将审批通过的付款单进行支付,如果开通了银企互联的支付功能,则可以在系统平台上直接对外支付。
5、子公司财务人员根据支付完成的付款单自动触发生成相关会计凭证。
2.2CA应用需求
由于在用户内部存在着许多支付和审批交易,不可避免的会遇到一些安全保障因素,对支付人、审批人的身份认证,可信电子签名,操作控制以及抗抵赖追等,都是集团考虑的安全要素。
就用户的应用安全需求,结合用友NC系统,东方中讯提出下面几点具体的CA安全需求:
Ø基于用户名/口令的认证方式
基于用户名/口令的认证方式是最常用的一种技术,也是现在用友NC普遍使用的认证方式,无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录,都是基于用户名和口令的方式认证。
基于用户名/口令的认证方式存在严重的安全问题,是攻击者最容易攻击的目标:
1)它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
2)为记忆方便,是用户往往选择简单、容易被猜测的口令,如:
与用户名相同的口令、生日、单词等。
这往往成为安全系统最薄弱的突破口。
3)口令一般是经过加密后存放在口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式攻击。
这也是黑客最常用的手段之一。
关于网站安全的调查结果表明:
超过80%的安全入侵是由于用户选用了拙劣的口令而导致的。
由此可以推断,大部分的入侵可以通过选择好的口令来阻止。
Ø应用系统对关键操作的控制
关键操作即对数据交互的安全操作,比如在ERP系统中关键文档的提交和发布,报帐系统中重要信息的传输,资金系统中涉及资金的审批,供应链中的单据确认等等。
主要涉及了三方面的安全风险:
1)信息的机密性:
传输在客户端与Web服务器之间的敏感、机密信息和交易数据,如客户的私隐信息等,这些数据都是保密的数据。
而通过开放的互联网,有可能在传输过程中被截取,被非法用户加以利用,给用户和企业造成损失。
2)信息的完整性:
在保证信息机密性的同时,还需要保证敏感数据的完整传输。
通过开放的互联网,敏感数据在传输过程中很可能被恶意篡改,使得接收方不能得到完整的信息。
3)信息的不可抵赖性:
是指发送信息的一方不能对自己的发送的信息进行抵赖,不能否认自己发送信息的行为。
由于信息的传输是通过开放的互联网,经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题,给交易的双方带来巨大的影响和损失。
网上交互(交易)行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据(无论是司法取证还是内部管理追溯或者审计)。
Ø身份及资产的管理
无论内部员工还是外部用户,最大的风险就是信息环境中人与用户的关联性。
当前信息安全的发展不仅要求虚拟身份的标识符合应用系统要求,而且强调标识方式符合真实的社会实体要求,即虚拟身份与真实身份唯一对应。
对设备等实物资产同样,无法将真实身份按角色的分配给用户会导致整个管理的混乱,信息孤岛会导致IT的目标与企业战略和股东利益的不一致。
东方中讯为用友NC提供的解决方案,能够完全解决财务、资金、供应链、客户关系管理、决策支撑、人力资源等丰富系统中的用户认证、数据加密、信息不可否认性等方面存在的安全问题。
2.3VPN安全应用需求
随着信息化应用需求的逐步深入,企事业单位的内部应用系统往往需要向外部人员开放,方便本单位驻外地员工或者外单位人员进行业务交流,在这种需求下,越来越多的企事业单位通过VPN系统处理外部用户的业务请求,采用VPN使外部用户可以方便的登录企业内部办公应用系统。
在这种模式下,用户通过VPN能够直接接入企业内网,为了企业内部网络安全和传输信息安全,采用何种用户认证模式,就显得尤为重要了。
具体的需求如下:
(1)身份认证和访问控制:
高强度的身份认证是保障VPN系统安全的前提,VPN系统对用户的身份认证往往采用的是“用户名+密码”的方式,这种口令式的用户身份认证方式降低了VPN系统的整体安全性。
(2)机密性:
在网络上传输的信息不能被窃取;
(3)数据完整性:
在网络上传输的信息不能被恶意窜改;
(4)不可抵赖性:
在网上提交的请求是不允许抵赖的,同时对涉及信息安全的事件,提供事后追踪、审核及统计的手段。
2.4法律需求—电子签名法
2.4.1相关概念
电子签名:
是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
数据电文:
是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
电子签名的表现形式:
1、附着于电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像。
2、向收件人发出证实发送人身份的密码、计算机口令。
3、采用特定生物技术识别工具,如指纹或者虹膜透视辨别法。
4、使用非对称密码加密系统对电子记录进行加密、解密变换来实现的数字签名。
电子认证服务:
是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。
电子签名人:
是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。
电子签名依赖方:
是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。
电子签名制作数据:
是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。
电子签名验证数据:
是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。
电子签名认证证书:
是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。
2.4.2相关规定
数字证书内容:
《电子签名法》第二十一条
电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
(一)电子认证服务提供者名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务提供者的电子签名;
(七)国务院信息产业主管部门规定的其他内容。
电子认证服务机构的条件:
《电子认证服务管理办法》第五条电子认证服务机构,应当具备下列条件:
(一)具有独立的企业法人资格;
(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员
和客户服务人员不少于三十名;
(三)注册资金不低于人民币三千万元;
(四)具有固定的经营场所和满足电子认证服务要求的物理环境;
(五)具有符合国家有关安全标准的技术和设备;
(六)具有国家密码管理机构同意使用密码的证明文件;
(七)法律、行政法规规定的其他条件。
2.4.3法律效益
立法要解决的是规定安全可靠的电子签名应当达到的标准并赋予其法律效力;而如何达到法定标准,则属于技术问题。
《电子签名法》第十四条:
“可靠的电子签名与手写签名或者盖章具有同等法律效力。
”
《电子签名法》第十三条
电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
3CA安全解决方案
3.1总体架构
在用友ERP的应用平台中,东方中讯CA中心负责用户身份系统的权威数字证书管理,作为系统的基础支撑模块来完成整个可信平台的建设:
目前,用友NCERP已经成功集成了东方中讯的数字证书接口,因此,在用友软件ERP构建的企业ERP系统、资金管理系统中就可以直接通过使用东方中讯提供的数字证书服务,系统不必作任何改动就可以针对性的解决用友ERP所遇到的安全问题:
如图所示,解决方案总体框架包含如下几个基本思想:
一、采用东方中讯提供的证书服务,为最终用户颁发数字证书,提供安全认证服务。
二、基于东方中讯和用友NC的系统集成,通过数字证书实现身份认证和访问控制,同时通过加密技术和数字签名技术,实现信息传输的机密性和抗抵赖性。
三、用户证书保存在USB令牌中,USB令牌是一种安全的证书存储介质,可以保证保存在USB令牌上的证书私钥不能够被导出。
同时,实现移动办公的需求。
四、技术和法律层面的双重保障抗抵赖性
在2005年中华人民共和国《电子签名法》颁布以后,法律上规定:
只有得到信息产业部颁发的《电子认证服务许可证》的数字认证机构,其所颁发的数字证书在电子商务中的数字签名才能够得到法律的认可和保护。
东方中讯率先从信息产业部获得该资质,因此,用友NCERP系统用户使用东方中讯提供的数字证书实现的电子签名是合乎法律要求的抗抵赖证据,从而使用友NCERP的电子化签名和手写签名一样得到法律的认可,可以作为法律上有效的证据,结束了电子化信息系统重要数据的“无据可依”,“无法可依”的现状。
因此,通过此方式,用户能够实现技术和法律层面的双重保障。
3.2托管服务模式
第三方托管型模式的解决方案的适用的范围是:
传递的信息敏感,在技术层面上要实现敏感信息传递要防篡改、抗抵赖;信息传递双方(多方)的行为需要有公正的第三方的证实,在法律层面上要能够做到抗抵赖性。
例如,资金管理系统中的分支机构和企业总部之间、电子交易平台中企业和经销商之间等。
采用“第三方托管CA”模式企业可以节省,企业就可以专心做自己的业务,而不用购买和维护复杂的、昂贵的PKI系统。
更重要的是:
客户希望他们使用的数字证书得到《电子签名法》的保护,对于这样的用户我们建议采用第三方托管服务模式:
在东方中讯认证中心内部,为客户建立一套托管CA系统,企业在申请数字证书的时候只需要直接通过互联网到东方中讯数字认证中心在线申请代表集团企业员工、企业供应商、客户、合作伙伴等身份的数字证书。
3.2.1网络架构
如上图所示:
Ø托管CA服务在企业本地不建设任何CA模块,通过企业委派的CA管理员使用数字证书(以USBKEY为证书介质)登录到东方中讯认证中心后台为企业提供的RA控制中心来实现证书审批和管理功能。
ØCA管理员通过登录到用户注册服务器来完成用户证书申请以及其他证书生命周期管理功能。
Ø发放数字证书后,用户可以将数字证书存放在USBKEY中,登入NC系统时采用用户名+口令+CA认证的方式。
Ø用户登入到NC系统,在做了相应的业务操作之后,需要用数字证书对数据进行签名保存,业务数据将被加密传输。
Ø审批人员可以对签名的数据进行签名验证,查看业务数据是否被篡改。
托管服务模式流程如下图:
客户托管CA系统——托管在东方中讯认证中心内部
l用户自己无需维护一套对技术和维护要求很高的CA系统,用户CA核心后台托管到东方中讯安全数据认证中心。
用户需要建设的内容非常少,系统的建设速度也非常快。
更重要的是,此种建设方式能够使用户的应用安全得到《中华人民共和国电子签名法》的保护。
l用户管理员可以远程管理其托管CA,安全便捷的发放数字证书。
电子签名应用服务器
在用户的系统中实现数字签名、身份认证、数据加解密的电子签名集成系统(和NC系统配合)。
3.2.2CA系统工作流程设计
(1)证书发放流程
本方案设计的用友托管CA认证系统采用集中制证的发证模式,其工作流程如下图所示:
证书发放流程
(1)最终用户使用浏览器,访问客户RA服务器,进入证书申请页面,填写证书申请信息,向客户RA认证系统提交证书申请请求。
在本地USB令牌上产生证书的公私钥对,并将公钥和用户信息一起作为证书申请请求,提交给RA服务器;
(2)RA管理员使用浏览器,访问RA服务器管理页面,查看用户提交的证书申请请求,验证申请信息,批准用户的证书申请请求;
(3)RA服务器根据管理的批准,向托管在东方中讯的CA服务器进行申请,CA服务器根据RA的申请,签发用户证书,将用户证书返回到RA端。
同时,给用户发送一封电子邮件,指导用户下载签发的数字证书;
(4)最终用户按照邮件的提示,访问RA服务器,下载签发的证书,证书下载时自动保存到用户的USB令牌中,证书申请结束。
(2)证书吊销流程
在用户证书的私钥受到威胁、或者用户私钥丢失时,需要吊销用户的证书,根据用友的应用情况,本方案设计证书吊销由管理员进行,其工作流程如下:
(1)管理员在发现用户违反使用规定,或者用户自己向管理员发送邮件,请求吊销自己的证书时,管理员访问CA认证系统管理员管理页面,进行用户证书吊销;
(2)管理员通过证书管理功能页面,查询到需要吊销的用户证书;
(3)管理员选择吊销操作,选择吊销用户证书的原因,向CA认证系统发送证书吊销请求;
(4)CA认证系统根据管理员的证书吊销请求,自动的吊销用户的证书,并将吊销的用户证书发布到证书吊销列表中,同时对数据库中保存的用户证书的最新状态进行更新;
(5)CA认证系统给管理员返回证书吊销成功信息,同时给用户发送电子邮件,告诉用户证书已经被吊销,不能再使用自己的证书。
(3)证书更新流程
最终用户在其证书即将过期之前,需要访问CA认证系统,更新自己的证书,其流程为:
(1)最终用户在证书即将过期前(一般为一个月),访问用户CA认证系统,登录用户服务页面,点击“证书更新”选项;
(2)系统自动识别用户是否具有用户CA认证系统颁发的数字证书,并且判断是否过期,如果即将过期,便提示进行更新;
(3)用户选择需要更新的证书,点击提交,向CA认证系统提交证书更新请求。
在提交证书更新请求时,在USBKey中,重新产生更新证书的公私钥对,将公钥和即将过期的证书一起,作为证书更新请求,提交给CA认证系统;
(4)管理员使用浏览器,登录CA认证系统管理员管理页面,查看用户提交的证书更新请求,验证证书更新信息,批准用户的证书更新请求;
(5)CA认证系统根据管理员的批准,自动更新用户的证书,将更新的用户证书发布到目录服务器,同时给用户发送一封邮件,指导用户下载已更新的证书;
(6)用户按照邮件提示,访问CA认证系统,进入证书下载页面,将已更新的证书下载到本地,自动保存到USBKey中
3.2.3CA系统实施部署流程
(1)可通过VPN设备来实现对数据传输过程中的安全保护;
(2)为客户设计数字证书申请流程和证书上显示的个人信息;(在现场实施之前,东方中讯实施人员需要预先定制证书模板);
(3)为客户进行NC系统对东方中讯数字证书支持的集成;即,由于东方中讯已与NC系统进行了接口集成,故只需修改NC系统的调用配置,支持东方中讯的证书即可;(NC系统当中证书的具体应用节点是由用友工程师协助完成);
(4)NC系统在接口和数字证书的使用上有明确的规范和标准,需要在使用数字证书前通过手工绑定的方式,将“用户名”和数字证书捆绑在一起,东方中讯提供进行绑定的工具;
(5)完成全部实施工作。
3.2.4托管模式意义
(1)从技术层面上讲:
东方中讯数字证书实现的数字签名技术可以通过目前最安全的PKI技术上实现以下功能:
数字签名:
对关键业务数据进行签名,保证机密性、完整性和不可抵赖性。
安全访问:
替换掉原有安全级别较低的“用户名/口令”方式,防止非授权用户的恶意攻击,同时不能破坏NC原有的权限管理机制。
信息加密:
通过高强度的加密算法形成安全的SSL加密通道,防窃取。
(2)从法律层面上讲:
东方中讯率先获得了《电子认证服务许可证》,其所颁发的数字证书得到中华人民共和国《电子签名法》的认可和保护。
NC-ERP使用东方中讯数字证书服务,其电子化签名即和手写签名一样可以作为法律上有效的证据。
有效的满足了NC-ERP资金、财务等敏感信息对法律方面的安全需求。
3.3CA技术与VPN相结合
对于采用标准协议实现的VPN设备,由于VPN设备对数字证书的支持,根据东方中讯的经验,我们采用的方案是把PKI/CA技术与VPN应用系统相结合,解决VPN应用中存在的安全问题,确保VPN技术在互联网上应用的安全。
我们可以通过CA认证系统为VPN设备颁发数字证书,为客户端颁发个人证书,利用东方中讯的CA系统进行相应的数字证书发放和管理。
证书的加密和验证数据在这些设备之间进行传送,产生了一个安全的虚拟专用网络。
3.3.1VPN总体架构
东方中讯通过为VPN系统建立一套CA认证系统,为VPN系统用户发放数字证书,用户使用数字证书登录VPN系统,实现基于数字证书的VPN身份认证。
本方案将采用东方中讯的东方中讯CA系统为VPN建设CA认证系统。
总体框架图如下:
一、采用东方中讯东方中讯CA系统,建设一个标准的CA认证系统,为VPN设备和用户颁发数字证书,提供安全认证服务。
二、利用VPN体系架构,通过标准协议在VPN应用中集成数字证书。
用户在登录到VPN系统时,必须提交CA认证系统颁发的用户证书,系统通过用户证书来实现对VPN用户的身份认证和访问控制。
用户证书保存在最终用户的USB令牌中,USB令牌是一种安全的证书存储介质,可以保证保存在USB令牌上的证书私钥不能够被导出。
另外,使用USB令牌,员工可以在外地或网吧,随时随地的通过VPN客户端访问企业内部的业务系统,提交保存在USB令牌上的用户证书,实现VPN的安全登录。
3.3.2VPN安全登录实现原理
目前,使用VPN可以采用两种方式,即使用证书的方式和不使用证书的方式。
对于不使用证书的方式建立的VPN存在下列风险:
(1)不使用证书的方式建立VPN时,是基于“用户名和口令”的认证,我们知道“用户名和口令”的认证强度低,存在很多安全弱点,无法满足较高的安全需求;
(2)其次,不使用证书的方式存在VPN密钥分发的困难,VPN密钥是一个对称密钥,用来对VPN链路层数据的加密。
而目前比较通常的做法是在配置VPN时,就在VPN客户端和VPN服务端(VPN网关)之间配置一个共享的对称密钥。
但是这种方式的对称密钥的安全性不高,很容易被泄漏。
为了提高这种方式的安全性,需要管理员不定期的对共享的对称密钥进行更换,但是,由于更换对称密钥的操作中的人为因素等原因,使得这种方式存在巨大的安全隐患。
为此,VPN应用引入了证书,来解决不使用证书方式存在的安全隐患:
(1)VPN证书(包括VPN设备证书和VPN用户证书)是VPN设备和用户的护照,表明设备和用户的身份,基于数字证书的身份认证是一种强身份认证,完全可以满足应用的身份认证需求;
(2)使用VPN证书(包括VPN设备证书和VPN用户证书)可以实现协商会话密钥,在进行数据通信时,发送方产生会话密钥,对发送数据进行加密,然后使用接收者的证书(公钥)加密会话密钥。
接收者使用自己的证书私钥解密会话密钥,再用会话密钥解密被加密的数据;
3.3.3VPN证书应用
根据以往的VPN证书应用经验,证书的应用流程主要有:
(1)登录CA服务器,下载VPN根
升级会员 