ST_NC_04_001-ERP系统安全策略及日常维护办法.docVIP

项目编号：ST_NC_ERP 项目名称：四特酒集团ERP项目 文档编号：ST_NC_ERP_04_001_1 文档版本：V1.0 四特酒集团NC-ERP系统安全策略 二O一四年六月 文档控制 更新记录： 日期 作者 职务 版本 备注 叶秀林 2014-10-24 柴银才 V1.0 创建 审阅人: 姓名 职位 审阅签字 存档: 拷贝号 地点 备注  目 录 四特酒集团ERP管理系统安全策略 1 第一章 系统安全概述 4 第一节 系统安全原则 4 第二节 ERP系统三员职责 4 第二章 数据库安全策略 5 第一节 ERP系统访问数据库机制 5 第二节 ERP系统数据库管理机制 6 第三节 数据库备份和恢复机制 6 第三章 应用系统访问安全策略 7 第一节 基于角色的访问控制策略 7 第二节 系统角色及权限划分 8 第三节 系统用户身份身份鉴别策略 8 第四节 系统日志与系统监控 9 第三章 ERP系统系统日常维护办法 9 第一节 普通用户及权限分配 9 第二节 基础档案维护 10 第三节 系统参数维护 11 第四节 组织机构维护 11 第五节 人员信息维护 12 第六节 系统模板维护 12 第七节 系统账务期间管理 12 第八节 二次功能和报表开发 12 第九节 系统技术支持 13 第四章 系统升级管理办法 13 第五章 系统应用迁移办法 14 第六章 附则 14  系统安全概述 系统安全原则 NC-ERP是企业的核心系统，为保证系统稳定、安全的运行，按照以下安全原则建立和完善安全系统保障体系： “三员”原则：超级管理员、系统管理员、安全审计员分别由不同人员担当，各自按照职责范围进行系统维护； 最小权限原则：不给用户超出任务范围以外的系统权限； 最小开放原则：相关计算机只限开放需要使用服务，不使用的服务全部关闭； 可审查性原则：使每个授权用户的活动都是唯一标识和受监控的，对其操作内容进行跟踪和审计，为出现的安全问题提供调查的依据和调查手段。 NC-ERP三员职责 根据四特酒公司关于信息系统的权限管理办法，将NC-ERP系统应用维护管理分为：超级管理员、系统管理员、安全审计员（下称“三员”）。NC-ERP系统严格按照“三员”的职责范围进行权限划分。 超级管理员职责如下： 负责系统所在服务器维护，保证系统应用服务器和数据库服务器正常运转； 进行数据库维护，根据数据备份与恢复策略进行数据库备份和恢复工作，定期对备份和恢复策略进行测试，保证其有效性，确保应用系统的安全运行； 根据需要进行系统的升级和部署工作； 系统管理管理员职责： 负责系统用户管理和权限分配；产生用户登录系统使用的用户身份标识并发放； 有明确的最小授权权限策略，定期审查权限列表，调查可疑行为及违规操作，采取相应的措施,并将所有的权限明细文档化； 检查与用户身份标识相关的日志，对审计日志进行审查或分析，对可审计事件、异常事件和行为统计分析，调查可疑行为及违规操作，采取相应的措施并形成文档化报告； 安全审计员职责： 对系统用户行为进行审计跟踪分析和监督检查，并定期（机密级一个月、秘密级三个月）形成文档化的审计报告； 系统的安全审计文档至少保留6个月，其次1个月必须进行一次的日志分析，同时形成分析记录文档； 用户行为审计策略至少保留6个月，其次1个月必须进行一次的日志分析，同时形成分析记录文档； 数据库安全策略 NC-ERP系统访问数据库机制 系统软件访问数据库采用如下机制来确保数据安全： 数据库连接信息加密存储机制：NC-ERP系统与数据库连接采用JDBC进行连接，连接文件中的数据库用户密码采用DES加密方式存储，DES密钥存储在系统程序中； 用于程序连接的数据库用户和密码采用复杂命名方式：数据库用户名采用无规律命名方式进行命名；数据库密码采用字母、数字、特殊符号相结合的复杂密码格式，并以暗码方式输入； 外部数据提供采用视图访问机制：对于数据交互层面的应用，NC-ERP系统不接受其他系统数据的输入，只对其他系统提供特定范围内的数据输出；数据提供方式采用视图的方式实现，从而避免数据被改写； NC-ERP系统数据库管理机制 NC-ERP系统数据独立存放于NC-ERP系统专用数据库实例，该实例超级用户（sys、sysman、system）密码、NC-ERP系统软件专用用户密码均采用复杂密码格式生成并由总经办主任保存； 启用数据库日志监控：记录数据库所有应用操作，安全审计员定期对数据库日志进行审查；如有不合规操作可根据数据库日志进行追溯； 数据库备份和恢复机制 建议使用专业的数据库备份和恢