信息系统安全工程理论在ERP系统中的运用.pdfVIP

科技信息 ○IT技术论坛○ SCIENCETECHNOLOGYINFORMATION 2008年 第17期 信息系统安全工程理论在ERP系统中的运用 赵艳忠 陈小潘 河（南大学计算机与信息工程学院 河南 开封 475004） 【摘 要】随着ERP系统由原来仅在Intranet上部署发展到在Internet上部署，ERP系统所面临的威胁越来越多，用户的安全需求也越来 越高。本文运用信息系统安全工程的相关理论，分析了J2EE架构下ERP系统的安全威胁，提出了增强系统安全性的设计方案和实施中要考虑 的安全要素。 【关键词】信息系统安全工程； ERP系统；ISSE-CMM 【Keywords】InformationSystemSecurityEngineering；ERPSystem；ISSE-CMM [3] 一、引言 现ERP系统的一种架构 。表示层控制用户与系统的交互接口，业务 计算机及互联网技术的发展，改变了企业的经营管理模式。企业 逻辑层包含了企业的业务流程，数据库层为上层功能提供数据存储的 资源计划 E（nterpriseResourcePlan,简称ERP）系统充分利用互联网技 支持。 术，实现了供需链管理、客户关系管理、商业智能、电子商务、办公业务 自动化等技术的全面集成和资源、数据的全面共享，极大地提高了企 [1] 业的管理水平，带来了可观的经济效益 。ERP系统的部署方式已经由 原来的仅仅在企业内部网络 Intranet上部署扩展为在广域的Internet 上部署，随之而来的是ERP系统遭受攻击的风险的急剧增加。企业持 有的数据是否安全关系着企业的生存发展， ERP系统的安全性问题因 而变得越来越重要，ERP用户对系统安全的需求也越来越高。为ERP 系统实施必要的安全保护，进而构建一个具有较高安全级别的系统成 为ERP系统构建过程中要考虑的一个重要问题。本文运用信息系统 安全工程 （InformationSystemSecurityEngineering，简称 ISSE）的相关 [2] 理论 ，结合J2EE架构下ERP系统的特点，在详细分析了ERP系统 的安全需求和安全风险的基础上，重点从系统工程的角度，描述ERP 系统开发和实施的主要控制环节，提出了详细的安全设计方案。信息 系统安全工程的基本理论是在系统安全工程的理论基础上逐步发展 而形成的。它是发掘用户信息保护需求，然后以经济、精确和简明的方 法来设计和制造信息系统的一门技巧和科学；这些需求可能安全地抵 抗信息所遭受的各种攻击；它的主要目的是确定安全风险；它的主要 过程包括：发掘信息保护需求、确定系统安全要求、设计系统安全体系 结构、开发系统详细安全设计、实现系统安全、保护的有效性评估。 二、ERP信息系统安全工程的需求确定 1.ERP系统概述 如图1所示，典型的ERP系统由系统管理、生 图2 J2EE架构下一种ERP系统的实现方案 产管理、进销存管理、财务管理、分销管理、客户关系管理等子系统组 ERP系统安全工程的总体目标是：建立ERP系统的安全保障体 成，这些子系统通过数据库进行信息交换。其中系统管理子系统包含 系，提供身份认证、授权、网络检测和病毒防范等安全功能，保证数据 企业原数据管理、系统原数据管理、系统监控等功能模块。企业元数据 在传输、处理、存储过程中的机密性、完整性，保证用户之间发送消息 管理负责维护与企业有关的数据，如企业的人员组织机构、供应链及 的不可依赖性，防范不法分子采取的各种攻击。ERP系统的安全体系 客户信息、产品信息等。系统元数据