企业协作管理系统安全技术方案

1、企业协作管理系统安全技术方案 目 录 TOC o 1-2 h z u HYPERLINK l _Toc33901438 第1章系统总体解决方案 PAGEREF _Toc33901438 h 2 HYPERLINK l _Toc33901439 1.1设计理念 PAGEREF _Toc33901439 h 2 HYPERLINK l _Toc33901440 1.2设计思路 PAGEREF _Toc33901440 h 2 HYPERLINK l _Toc33901441 1.3设计原则 PAGEREF _Toc33901441 h 3 HYPERLINK l _Toc33901442 1.4功

2、能架构 PAGEREF _Toc33901442 h 5 HYPERLINK l _Toc33901443 第2章系统安全解决方案 PAGEREF _Toc33901443 h 6 HYPERLINK l _Toc33901444 2.1安全风险分析 PAGEREF _Toc33901444 h 6 HYPERLINK l _Toc33901445 2.2安全解决方案 PAGEREF _Toc33901445 h 7系统总体解决方案 设计理念用友NC协同产品ECM（Enterprise Collaborative Management）是基于全员应用的纯WEB化产品，“以人为本，流程驱动，资源

3、共享，提升效率，便捷移动，智慧协同”，突出以人为核心的协作与沟通，关注分享、交流的企业社区环境，兼顾以组织为主体的业务协同，重点解决沟通协作、综合办公、流程审批、信息发布、公文管理、知识分享、企业门户、业务协同等企业协同办公需求、办公与业务应用一体化联动需求，实现企业完整的闭环管理。设计思路谈协同管理要放眼于企业的经营与管理活动上。企业从战略开始，分解到经营目标，再去制订计划的过程，是企业经营的规划、计划阶段，如下图所示。在具体的目标达成上，以任务执行发起，通过工作汇报来总结分析，以短周期的方式，如周、月、季度等去评价计划执行。长周期的方式，通过绩效管理，来评价全年经营目标的执行结果。从任务执

4、行到工作汇报，需要计划、组织、协调、监管等协同工作，也是企业计划执行体系的核心内容。从计划到任务执行，需要规划、完善企业的管理制度，形成工作标准；同时，需要合理分配企业资源、并合理优化资源使用；以及通过信息发布、知识共享，实现学习型组织，当前更需要跨组织、跨角色的随时随地的沟通协作，这些都是协同管理与企业经营的关系，企业越来越重视组织协同、个人协同应用。打造一个高效协同的工作氛围和企业文化。图3-1：执行体系企业协同管理的深入应用，离不开信息化的规划与支撑。如下图所示，协同的深入应用离不开数据，需要借助信息化工具实现信息沟通、资源配置、借助一体化应用平台获取大数据的分析结果，通过数据来驱动关键

5、协作任务同样，协同离不开管理效率的提高。管理效率的改善影响企业经营效果，需要信息化工具实现集团管控如人事任命、重大事项审批，在具体的业务执行上通过协同工作流与表单实现业务协同，通过知识共享实现组织核心能力改善。这些都离不开信息化工具的支撑使得这些工作最终实现企业经营的提效率、控风险、降成本的管理目标。图3-2：协同平台价值设计原则用友软件提供的ECM系统，在设计实现时遵循以下优秀原则：稳定性系统具有稳定的性能，能满足集团总部及各级成员单位的业务要求。实用性坚持一切从实际出发，一切为用户着想的原则，以用户的需要为出发点，以求得更高的效益，确保功能完善，界面友好，兼容性强，能使用户最方便地实现各种

6、功能。以现行需求为基础，充分考虑发展的需要来确定系统规模。成熟性系统结构设计、系统配置、系统管理方式等方面采用国内外先进同时又是成熟、实用的技术。个性化能够提供个性化的服务，针对不同的系统用户设计不同的操作界面、操作内容及操作流程，更方便于用户的使用。可实现库结构、指标代码、函数公式等的灵活设置；能够对业务规则进行灵活定制，提供业务流程监控功能，对不同的业务可灵活授权 可管理性为使系统正常运行及充分发挥效能，必须具有良好的易管理性，包括数据管理，用户管理，操作管理等方面，系统设置多种业务预警功能，以便提醒用户及时处理业务。可扩展性满足系统不断拓展的要求，系统要具有灵活而有高度的可扩展性而无须进

7、行已有系统架构的调整和大规模的应用功能改造；同时在外界的环境改变时，系统可以不做修改，或少做修改就能在新的环境下运行。能够实现系统的灵活部署，支持两级部署、分布集中以及一级架构大集中的应用部署模式。开放性 提供功能强大的数据接口，轻松实现各种数据的导入导出以及与外部系统的无缝连接；可方便引入和生成各类Office文档，便于用户使用；支持所有主流关系型数据库管理系统，如：SQL、Oracle、Sybase等；支持主流操作系统，如WINDOWS、UNIX、LINUX。规范性系统设计所采用的技术应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。软件体系结构和通信协

8、议采用国际标准或主流行业标准，使应用系统很容易地进行互连、扩充、管理。易用性系统使用方便，易于维护，操作简单，易学，易用，相关人员经短期培训即能掌握。界面友好简洁、布局合理，直观体现人力资源管理的主要工作模块和内容；具备简单易用的表格设计工具，函数公式设定、指标代码修改简单易学。整体性所购买软件的安装、调试和开发，要保证其整体配套和功能完整，从整个应用系统建设的角度，考虑平台建设。集成性可与财务系统、ERP系统、MIS系统及人力资源管理软件系统集成，构成完整的企业信息化平台；可与企业网站集成，构成基于Web的管理平台。安全性系统要提供多种安全加密模式，能够执行对数据项、数据表、数据库、操作功能

9、的多层次加密功能；可设定用户对系统不同模块的不同级别的操作权限；建立日志文件，跟踪记录用户对系统每一次操作的详细情况；要制定可行的重要数据备份恢复策略、安全控制机制、运行管理监控和故障处理手段；对紧急情况应有相应的应急处理措施，具备数据灾难恢复等功能。功能架构用友软件提供的ECM系统功能模块规划如下图所示：图3-7：ECM功能架构图ECM基于UAP平台构建，与NC业务系统完全一体，统一建模、统一基础档案和主数据，区别传统OA组织级应用、无集成后顾之忧。使用NCv6多组织、多集团架构，支持集团、组织分级管理，满足大型企业集团应用需求。UAP强大的运行支撑平台，系统性能和稳定性更有保障。轻量级协同

10、平台提供了良好的业务扩展能力和丰富的公共组件。自由表单和协同流程支持灵活搭建企业日常审批业务、关键任务管理和简单业务管理模块。公共组件和和office应用等专业化的公共应用，贯穿整个ECM产品应用，让工作变得更简单。丰富的日常办公功能模块，全面支撑企业事务性工作，多角色协同工作，构建高效、共享、协作、交流的工作环境。包括沟通与协作、公文管理、信息发布、综合办公、资源审批等，并可通过协同平台扩展更多日常审批业务。关键任务是支持企业战略策略和业务设计落地的重大事项，需要从计划和执行结果进行监控。在ECM中可灵活定义管理工具，由企管和行政重点跟踪。支持导入最佳实践解决方案，并可提供咨询实施服务。学习

11、平台是帮助企业知识沉淀、传播、创新的有效工具，ECM将知识管理、培训管理、在线学习、考试管理、创新管理与学习门户、学习社区结合，帮助企业打造主动培训+自助学习+分享传播相结合的全面学习创新环境。ECM与NC业务系统紧密联动，一体化应用融合。作为NC产品的轻量级全员应用入口，汇总了所有流程待办和通知、预警消息。为全员用户提供自助型服务，为管理用户提供分析和监控服务。可实现业务从WEB端申请、过程审批到后端处理的闭环操作模式。配合UAP分析工具，ECM支持跨领域分析数据展现，让数据说话，有效决策支持。ECM企业门户，提供基于角色的个人工作桌面，可针对不同职权、不同业务身份的员工提供针对性的角色驱动

12、的工作中心。同时，支持多级门户、角色门户、业务门户、外部门户等多维门户定义。 ECM企业社区，基于UAP社交平台，融入流行的社交化元素，关注企业内部沟通、交流、分享、互动，与协同一体化应用。 ECM支持与更多第三方专业产品整合应用，支持用户、界面、流程、消息、业务等全面全层次集成方案。系统安全解决方案安全风险分析8.1.1物理安全风险物理安全风险主要包括环境安全风险、设备安全风险、记录介质安全风险等。环境安全风险主要指物理设备所处环境的安全风险，例如：机房周边环境的安全风险、机房火险、机房水险、供配电异常、空调系统失灵、电磁干扰、地震、雷击、静电等等。设备安全风险主要是指设备的被盗、被损和不可

13、用的安全风险。记录介质安全风险主要是指各类记录介质被盗、被损、非法拷贝等等。这些安全隐患都可能导致系统崩溃、数据丢失、信息泄漏等等，造成无法挽回的损失。8.1.2网络安全风险由于我们搭建在内部网络上，这里的风险主要是指内部网络用户基于内部的局域网环境，非法访问主机系统和业务应用系统引起的系统工作异常甚至崩溃、信息数据泄密和破坏等风险。8.1.3系统安全风险操作系统本身的漏洞和缺陷、用户权限设置不合理、一些不安全协议的使用等等这些因素都构成对系统的威胁；应用系统漏洞及其设计缺陷等等也会引起系统的安全风险问题；病毒是威胁系统安全的一个主要方面；此外，系统备份认识不足也是系统安全隐患。8.1.4数据

14、安全风险数据安全风险主要包括防止数据被破坏、窃取和非法使用等。数据安全风险和系统安全风险往往具有相关性。8.1.5管理安全风险安全意识淡薄、管理制度不健全等等都可能构成安全隐患。种种事件表明，多数公司机密泄漏事件是由于公司内部相关人员对个人密码的保护上重视程度不够，甚至在利益的驱使下直接将内部信息泄漏出去。安全解决方案8.2.1完善强大的系统管理功能系统管理是整个系统运行的基础，提供了操作员管理、用户组管理、权限管理、上机日志管理、系统维护等功能。可以建立一个或多个系统管理员，按照分工或者职责的不同，对系统的不同的部分进行维护。可以针对一个单位增加操作员，也可以先增加操作员后与各单位建立关联。

15、这样一个操作员就可以对多个单位的数据进行操作，并且只能对被赋予权限的单位的数据进行操作。用户组的建立为操作员的管理和权限分配带来很大方便。上机日志记载了每个操作员每一次操作的时间、操作的内容等数据。完整的上机日志为系统安全的管理提供了保证。8.2.2高度的安全性应用1）系统软件安全保障数据传递采用RSA+DES算法，并且可以在传输层绑定各种协议。客户认证，全部在服务器上认证。并且每个用户的密码在数据库内加密存放。密码存放对一般用户不是透明的。系统从功能权限、数据权限、字段权限三个层次管理使用者，保证机密数据的安全。系统数据是放在数据库中的，大型的数据库本身有一套比较完善的安全体系。产品代码全部

16、放于服务器上，只有服务器管理人员才能更改代码。客户端的代码是动态地下载到客户端的，动态下载意味着谁也无法在客户端修改客户端的运行代码。数据库的管理只在服务器上，数据库的访问权控制在系统管理员手中。数据库不用放在WEB服务器上，减少了服务器被攻击的可能。系统采用三层结构，运行在服务器上的代码可以直接访问数据库，客户端不能直接访问。有访问权限的用户也只能访问WEB和应用服务器，而不能直接看到数据库服务器。2）分级的权限管理机制功能权限：根据功能的划分来为操作员设置权限。功能的权限不仅能够设置到最末的一级菜单功能，而且能够设置到每个功能中的各个按钮。由于可以将权限明细到功能按钮级，保证了功能权限的最

17、明细化。数据权限：在功能权限的基础上，针对具体的业务对象或者数据内容提供了更进一步的权限设置。数据权限又可以进一步细分为三类：数据对象权限：数据对象就是各个系统的所操作的主要业务对象，例如人员信息等内容。针对哪些数据对象设置权限可以进行自由设置，并且可以设置某个操作员对这些数据对象的使用权，没有被赋予权限的数据对象不能被当前的操作员操作。在功能权限的基础上，通过数据对象权限的进一步控制，可以满足企事业更加严密、精细的权限要求。业务字段权限：针对某页面上的各个字段，或者信息查询与统计分析所输出的各个字段，设置更加明细的操作权限，没有被赋予权限的字段不能被当前操作员操作。字段范围权限：针对某页面上

18、各个字段，或者查询与统计分析所输出的各个字段，按照取值范围设置权限，只有在被赋予权限的取值范围内，操作员才能操作。业务权限：功能权限和数据权限全部是针对操作员进行设置的，而业务权限则是针对两个业务对象来进行设置的，通过设置两个业务对象之间的关系，来完成相应的业务约束。3）安全认证方案通过INTERNET进行网上在线结算，不仅需要保证用户身份的保密性，而且还要保证从客户端到服务器的通信传输链路的安全。要实现这一点，就要利用PKI技术并结合身份认证、访问控制、数据加密以及数字签名技术来构建一个完整的安全体系。（注：该方案只适用于B/S结构。）安全认证总体构架首先，需要为每个客户颁发不同的CA证书。

19、可以通过自建CA中心或使用第三方CA证书管理中心（如CFCA）提供的证书服务。CA中心的职能是为用户进行数字证书的签发、生成和注销，建立系统中的相互认证体系和用户管理办法。其次，用户的证书保存在硬件的加密模块里（如IC卡，USB电子钥匙），传输中的加密通过硬件加密模块实现，并通过密码进行保护。建议对关键用户采用USB电子钥匙。然后，WEB服务器和客户端之间通过证书身份认证后，在公共网络上建立SSL/TLS安全通信通道，对所有通信数据进行加密传输。最后，采用身份控制的登录方式访问被授权的网页（不同的用户登录不同的网页），建立加密的安全通道，用户需要在表单上做数字签名操作，然后返回数字签名是否被验

20、证成功的结果。CA认证及密钥管理利用数字证书进行用户身份认证和信息加密是网络结算系统的安全基石。证书的作用：证书是由CA中心颁发的，包含拥有者的信息及秘钥的数字文件。它的作用简而言之就是数字签名和加密（解密），来保证信息的完整性、机密性和不可抵赖性。用户端证书的存放：为了保证证书的安全，证书通常存放于专用硬件中，如IC卡、电子钥匙。（注：采用电子钥匙，需要用户端计算机带有USB接口。）智能卡技术的应用智能卡或电子钥匙与浏览器直接相结合的方法是当前世界上公认的商业网络安全通信中最好的客户端解决方案，它具有一些其他方法所不具备的独特优点：把用户的重要信息，包括证书、密钥、口令、个人信息等，存放于智

21、能卡内安全保管。卡内产生密钥，加密处理在卡内完成，密钥等信息是不允许从卡中读出的，从而最大限度地保障安全。每张智能卡存放的内容都是独特的，是不可替代的，具有代表使用者身份的意义，提供对安全责任的可管理性。智能卡的拥有者可以方便地携带它，可以到任何地点的计算机上去完成电子商务操作，不仅安全而且比其它方法更方便。此外，它还有同一张卡片支持多种应用、可以与多种通信软件和卡片应用设备配合使用等显著优点。数字签名及验证系统利用密码学的原理，数字签名及验证系统可以保证信息传输的完整性和抗抵赖性。在客户端，使用智能卡安全通信套件配合数字签名模块，可以对Web网页所携带的表单和交易信息进行数字签名。在服务器端

22、，使用数字签名验证服务器对数字签名进行验证，以保证交易数据的正确性和交易的抗否认性。实现数字签名需要对WEB应用程序进行少量修改，使得用户提交的表单和交易信息经过数字签名认证后再存入数据库中。数字签名验证服务器提供相关API接口，供应用程序调用。（注：实现数字签名需要一台专用的数字签名验证服务器。）采用SSL安全通信通道安全套接层（SSL）是在WEB服务器与用户浏览器之间的安全通道，它通过客户端与服务器端的双向身份认证及密钥协商功能，来保证数据传输的安全，目前，大多数Web服务器（如微软IIS、Oracle Web logic）都支持SSL技术。4）审计与监控审计是记录用户使用计算机网络系统进

23、行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。在用友ECM系统中，主要是通过以下几个方面满足企业审计与监控的需求：1、系统内的日志管理能够记录用户进入某个功能节点的时间和用户退出某个功能节点的时间，并提供用户对日志的管理功能。上机日志使用户对系统的使用

24、情况有了详细的了解，同时增强了系统的安全性。在系统中单击【客户化】-【系统维护】的子菜单【上机日志】，输入查询条件后，系统将弹出上机日志的主窗口。该窗口分左右两个部分,左侧是日志类型树状列表(登录NC日志，进入节点日志，点击按钮日志，业务日志以及管理员日记)，右侧是左侧选中日志类型所对应的上机日志。如下图：2、NC中间件提供专门的日志服务：以文本方式存取。对系统所有操作以及ECM系统发生问题的错误记录。如下图:3、ECM系统提供专门的监控记录管理，人员信息发生变化后，都可以在系统中查询出人员变化前后的信息。如下图：5）网络安全方案用友公司提供的安全方案来搭建网络安全体系。系统建立好之后，用户的

25、访问先经过防火墙过滤、身份验证，防止非法用户访问公司数据。有访问权限的用户也只能访问WEB和应用服务器，WEB和应用服务器上面安装两块网卡并禁止IP转发，一块连接公司内部网络，另一块单独连接数据库服务器。保证没有用户能直接访问到数据库服务器。本系统采用四层保密机制：1通过防火墙及其他安全措施，保证网络、WEB服务器的安全。将WEB服务器与应用服务器安装于一台物理服务器，将数据库服务器安装为一台服务器。数据库服务器放在防火墙后面，外界无法知道数据库服务器的IP，无法直接访问数据库服务器，保障了数据库服务器的安全。因为所有的数据都存放在数据库服务器中，因而，数据库服务器是系统中最重要的机器。其安全

26、性也最为重要。应用服务器与数据库服务器通过标准的JDBC连接相连。而工作站无法直接连接到数据库服务器，只能连接到应用服务器，通过用友中间件操作，因此应用服务器的安全也比较关键。首先，可以通过应用服务器的配置限制IP访问，对于远程用户，可以通过设置电话回拔限制远程电话拔号访问。以此控制非系统内人员的访问，对系统内人员的访问，则主要通过用友应用程序的权限设置。这便要求其系统管理员的口令高度保密。而对于一般操作人员，绝对不要赋予其不必要的权限。另外，如有异常，可通过操作日志了解操作员的操作情况。进行事后的追踪。2、JAVA语言在安全方面做了严格的限制，保证浏览器操作的安全。登录到系统的客户无法利用象

27、C语言的指针类似的后门来进行破坏，因为JAVA语言取消了容易产生安全问题的指针操作。另外，JAVA语言取消了直接对存储器的存取操作，也保证了工作站不能破坏服务器的硬盘。3、大型关系型数据库具有良好的安全性，保证数据的安全。数据库将操作系统和数据库的权限相结合，可对用户授予数据库级或表级的权限，表的授权可由一般用户和超级用户代理。严格避免前台直接对数据库操作。可以通过数据库权限设置、操作系统权限设置，让一般用户不能直接访问服务器，而只能登录到用友软件来访问，如此，可将操作人员的范围界定在财务操作人员，他们只能通过用友软件来访问服务器，而财务操作人员的口令一般只有局部权限，不会对系统造成破坏。4、

28、用软件提供了多层次的安全控制功能。包括用户权限管理（模块权限、功能权限、科目权限），操作日志监控，数据的联机备份、复制与恢复、数据传输加密等数据在网络上传输时，进行了核心数据的加密设置（如凭证内容），系统采用DES算法，64位加密。加密算法在中间件实现。备份与恢复方案数据库备份备份范围1）基础数据2）系统数据3）数据库元数据4）系统/应用的配置信息备份方式数据库的备份应保证系统的基础数据以及用户信息等资料不丢失，能够在基础数据系统遭到破坏时迅速恢复，尽量避免或减少数据的丢失，将损失降低到最小程度。通常数据库备份有以下三种：1）物理备份指在数据库关闭的情况下对数据文件、控制文件等的备份。物理备份

29、的特点是基本与数据库操作无关，通常可以利用现成的操作系统工具（如UNIX中的TAR命令）很方便地实现。2）逻辑备份在数据库正常使用的情况下对数据库对象进行的备份。日常进行逻辑备份的意义在于必要时可以进行“对象或行恢复”。例如如果有人误删除一个表或表中若干行时，很难从物理备份中恢复这个表或这些行，这时一个逻辑备份就是有益的和必要的。3）联机备份在数据库打开并且对用户开放时对数据库文件、控制文件等的备份，备份时数据库可以继续正常操作。采用灵活的备份方式，保证能够将系统恢复到故障点之前的状态。应用软件备份应用软件的备份是为了保证在应用系统瘫痪时迅速恢复。应用软件的备份可通过操作系统和内置磁带机设备完

30、成。考虑到应用软件版本更新、升级频繁，各部分程序模块经常会有程度不同的修改，需要保留以前的旧软件版本来保证应用软件的安全性和高可恢复性，因此，在每次版本更新升级后都需要进行备份。同时，可以考虑配置版本管理软件对软件进行管理。备份周期备份周期指隔多长时间进行备份，即备份的频率。若采取每天全备份，系统资源开销较大，每天备份的时间长。可以对备份内容进行分类，不同类型采用不同的备份周期和备份方式。对于数据加载服务器上的数据文件，每天全备份当天传输来的数据文件。对于数据库中的数据，建议至少每周全备份。当出现意外时，使用上周的数据备份恢复，再重复本周的数据加载操作。对于WEB服务器和应用服务器上的数据备份，推荐每周全备份，每天增量备份。当出现意外时，使用最近一次数据全备份和每天的增量备份恢复。对于系统/应用的配置文件的备份，建议在有变动时每月分别做一次全备份，在没有变动时无须备份。备份时间备份时间应该避开最终用户访问时间、数据加载和处理时间。每天的备份与晚上的批处理操作对应；每周备份建议放在周末。备份实现方法数据备份应包含两个部分，即应用程序代码的备份和日常业务数