巧用FOREFRONT为企业ERP做网络安全保障
【 专稿】伴随着国家在电子商务和电子政务方面各种推进政策,ERP对我们好多企业来说已经不再那么陌生,ERP软件数据集中的特点,方便了企业管理,提高了企业运行效率,也使得很多的企业可以在损失发生之前采取及时的措施将其降低到最低。
然而ERP软件不是功能较多的,在实际使用中总会带来很多的安全和控制问题,一旦将这些负面问题解决了,对于企业信息化的成效来说无疑是如虎添翼。
去年春节,我们原来安全小组里几个人一起交流的时候听他们谈到了微软刚出来的产品FOREFRONT,回来后便好好研究了下,发现其很多功能刚好满足我们现在的需求。
首先,在ERP中我们常常面临这样一个问题,ERP平台如果直接放到INTERNET网上无疑和将企业机密信息放在网上随人下载没什么大的区别,因为在这里成百上千的系统操作员里面他们水平各异,安全意识更是不能保证,而放在局域网内虽然安全性上去了,但是对于很多企业来说他们的业务范围遍布全各地,业务人员长期在外,必须要给他们提供一个可以接入企业ERP的方案,而微软的ISA2006可以通过统一的SSL加密VP, 应用程序层过滤和端点安全管理,使业务员可以随时随地,对企业内部网络中ERP及其业务相关的文档和数据进行安全访问,从而确保ERP高效、安全地运行。同时ISA2006可以与活动目录结合,通过基于身份的精细策略,控制企业网络中端点的访问。另外Forefront 系列的另一个网络边缘安全产品(IAG)2007还提供了更为严格的端点安全验证,更为方便的基于浏览器的VPN连接,对客户端提供更先进的安全与管理控制,同时还可以将基于策略的访问延伸到合作伙伴和客户。
另外一方面,企业ERP系统功能复杂,补丁也是不断的推出,但是对于本企业并非所有的补丁都适用,很多补丁之间又存在着依赖关系,客户端和服务器端补丁不一致还会带来其他不可预测的问题,ERP对操作系统中一些应用程序的版本也有着一定的要求,特别是在操作系统补丁的安装上面,很多时候我们必须要控制好系统补丁与ERP补丁的兼容和冲突问题,此外我们还要确保客户端及其所在的系统环境不被恶意软件破坏,以免影响操作员的日常办公,如何及时的了解各个客户端机器的系统配置情况和补丁安装情况并安全快速地部署这些补丁和应用程序对我们信息部门提出了新的挑战,而在Forefront中Client Security可以对所有的客户端进行全面的保护和控制,管理员可以通过状态评估扫描和安全警报,确定哪些由 Forefront Client Security 管理的计算机需要修补程序,或配置不安全,当前安装状态的仪表盘快照可以帮助您了解需要采取行动的位置。管理员通过定义一个Client Security策略,借助企业的活动目录和软件分发服务(WSUS/SUS),即可管理一台或更多计算机上的所有保护代理设置从而实现更快的签名,更快地将软件部署到台式机、便携电脑和服务器操作系统。从而确保ERP客户端的安全稳定的运行。
此外,为了保障ERP能够高效稳定的从外网接入,公司投入了大量的经费在公司的网络上,然而公司员工在工作时间不遵守公司规定,随意的下载音乐和电影,收看在线视频,都对公司网络资源造成了严重的占用,带宽的滥用使得业务员无法正常利用公司网络进行业务操作,而Forefront提供了完善的访问控制功能,通过合理设置访问权限,杜绝了对Internet资源的滥用,在这里我们还可以通过 ISA来设置好带宽优先级在网络繁忙的时候,优先保障ERP操作人员的网络连接,从而为ERP客户端与服务器端的连接通畅。
以上为本人根据在ERP实施过程中遇到的问题结合FOREFRONT的特点作出的一点总结,在实际操作中很多企业在ERP其他信息系统之间还存在着数据的传输问题,在这里则可以采用Microsoft Forefront Server Security来通过对相关的服务端的防护和过滤策略来对外围服务器和ERP服务器之间的信息传输进行必要的控制和监视,从另一方面确保ERP的高效稳定的运行。