返回
信息系统安全工程理论在erp系统中的运用

信息系统安全工程理论在erp系统中的运用

ID:34138467

大小:162.64 KB

页数:3页

时间:2019-03-03

信息系统安全工程理论在erp系统中的运用_第1页
信息系统安全工程理论在erp系统中的运用_第2页
信息系统安全工程理论在erp系统中的运用_第3页
资源描述:

《信息系统安全工程理论在erp系统中的运用》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、科技信息○IT技术论坛○SCIENCE&TECHNOLOGYINFORMATION2008年第17期信息系统安全工程理论在ERP系统中的运用赵艳忠陈小潘(河南大学计算机与信息工程学院河南开封475004)【摘要】随着ERP系统由原来仅在Intranet上部署发展到在Internet上部署,ERP系统所面临的威胁越来越多,用户的安全需求也越来越高。本文运用信息系统安全工程的相关理论,分析了J2EE架构下ERP系统的安全威胁,提出了增强系统安全性的设计方案和实施中要考虑的安全要素。【关键词】信息系统安全工程;ER

2、P系统;ISSE-CMM【Keywords】InformationSystemSecurityEngineering;ERPSystem;ISSE-CMM一、引言现ERP系统的一种架构[3]。表示层控制用户与系统的交互接口,业务计算机及互联网技术的发展,改变了企业的经营管理模式。企业逻辑层包含了企业的业务流程,数据库层为上层功能提供数据存储的资源计划(EnterpriseResourcePlan,简称ERP)系统充分利用互联网技支持。术,实现了供需链管理、客户关系管理、商业智能、电子商务、办公业务自动化等技术

3、的全面集成和资源、数据的全面共享,极大地提高了企业的管理水平,带来了可观的经济效益[1]。ERP系统的部署方式已经由原来的仅仅在企业内部网络Intranet上部署扩展为在广域的Internet上部署,随之而来的是ERP系统遭受攻击的风险的急剧增加。企业持有的数据是否安全关系着企业的生存发展,ERP系统的安全性问题因而变得越来越重要,ERP用户对系统安全的需求也越来越高。为ERP系统实施必要的安全保护,进而构建一个具有较高安全级别的系统成为ERP系统构建过程中要考虑的一个重要问题。本文运用信息系统安全工程(In

4、formationSystemSecurityEngineering,简称ISSE)的相关理论[2],结合J2EE架构下ERP系统的特点,在详细分析了ERP系统的安全需求和安全风险的基础上,重点从系统工程的角度,描述ERP系统开发和实施的主要控制环节,提出了详细的安全设计方案。信息系统安全工程的基本理论是在系统安全工程的理论基础上逐步发展而形成的。它是发掘用户信息保护需求,然后以经济、精确和简明的方法来设计和制造信息系统的一门技巧和科学;这些需求可能安全地抵抗信息所遭受的各种攻击;它的主要目的是确定安全风险;

5、它的主要过程包括:发掘信息保护需求、确定系统安全要求、设计系统安全体系结构、开发系统详细安全设计、实现系统安全、保护的有效性评估。二、ERP信息系统安全工程的需求确定1.ERP系统概述如图1所示,典型的ERP系统由系统管理、生图2J2EE架构下一种ERP系统的实现方案产管理、进销存管理、财务管理、分销管理、客户关系管理等子系统组ERP系统安全工程的总体目标是:建立ERP系统的安全保障体成,这些子系统通过数据库进行信息交换。其中系统管理子系统包含系,提供身份认证、授权、网络检测和病毒防范等安全功能,保证数据企业

6、原数据管理、系统原数据管理、系统监控等功能模块。企业元数据在传输、处理、存储过程中的机密性、完整性,保证用户之间发送消息管理负责维护与企业有关的数据,如企业的人员组织机构、供应链及的不可依赖性,防范不法分子采取的各种攻击。ERP系统的安全体系客户信息、产品信息等。系统元数据包括安全策略体系、安全技术体系、安全运作体系。安全策略体系是指管理维护与系统有关的元数据,如系统菜单定义、报表格式、系统安全策略的建立、执行、审核、修订等;安全技术体系包括身份认证和用户信息等。系统监控用来监控系统的运行情况,查找系统瓶颈和

7、非授权、访问控制、数据的冗余备份、系统的监控、审计等;安全运作体系法的系统访问。ERP系统的安全保证主要在系统管理子系统中实现。包括人员的组织建设、技术人员的工作内容和工作考核等。2.ERP系统资源分析ERP系统安全项目要保护的资源包括ERP系统的硬件资源、软件资源和数据资源。硬件资源主要包括数据库服务器、应用服务器和客户PC;软件资源包括服务器上的操作系统、数据库管理系统DBMS、应用服务器软件以及客户PC上的浏览器等;数据资源是ERP系统的运行过程中逐渐积累的一类资源,是一个企业最宝贵的财富。ERP系统安

8、全保证的最终目的就是确保数据资源的安全,进而维护企业的安全和利益。为了便于进行风险分析,在识别数据资源的同时,还需要对其敏感程度进行区分,原则上敏感程度越高的信息其价值越大,一旦安全受到威胁,对企业的安全和利益危害也最大。另外还需要定义数据资源的合法访问者,例如任何人都可以访问企业的宣传材料,但是企业外部的人是不能访问企业的经营信息的;销售部分的用户可以查看所在销售部分的数据,但是不能查看生产部分的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。