保护ERP系统
【 报道】随着Internet和Intranet/Extranet的快速增长,Web已经对商业、工业、银行、财政、教育、政府和娱乐及我们的工作和生活产生了深远的影响。许多传统的信息和数据库系统正在被移植到互联网上,电子商务迅速增长,早已超过了国界。范围广泛的、复杂的分布式应用正在Web环境中出现。Web的流行和无所不在,是因为它能提供支持所有类型内容连接的信息发布,容易为最终用户存取。
Web的普及和应用,使采用B/S(Browser/Server)模式成为了目前应用系统设计开发的主要模式。B/S(Browser/Server)结构即浏览器和服务器结构。它是随着Internet技术的兴起,对C/S结构的一种变化或者改进的结构。在这种结构下,用户工作界面是通过WWW浏览器来实现,极少部分事务逻辑在前端(Browser)实现,但是主要事务逻辑在服务器端(Server)实现,形成所谓三层3-tier结构。这样就大大简化了客户端电脑负载,减轻了系统维护与升级的成本和工作量,降低了用户的总体成本(TCO)。以目前的技术看,局域网建立B/S结构的网络应用,并通过Internet/Intranet模式下数据库应用,相对易于把握、成本也是较低的。它是一次性到位的开发,能实现不同的人员,从不同的地点,以不同的接入方式(比如LAN, WAN, Internet/Intranet等)访问和操作共同的数据库;它能有效地保护数据平台和管理访问权限,服务器数据库也很安全 。特别是在JAVA这样的跨平台语言出现之后,B/S架构管理软件更是方便、快捷、高效。
在B/S应用中,ERP应用是非常广泛的一种应用。ERP是由美国著名的计算机技术咨询和评估集团Garter Group 公司提出的一整套企业管理系统体系标准,是指建立在信息技术基础上,以提高企业资源效能为系统思想,为企业提供业务集成运行中的资源管理方案。系统集中信息技术与先进的管理思想于一身,成为现代企业的运行模式,反映时代对企业合理调配资源,最大化地创造社会财富的要求,并为很多发达国家的企业成功应用所证实。
随着ERP系统在国内企业的应用,ERP的问题也渐渐暴露出来,除了非技术性的ERP本土适应问题,还有技术上的问题。在ERP开发过程中,目前重点关注的是功能问题,而ERP的安全问题却很少人去关心。在实际应用中,由于对ERP系统的访问涉及企业的隐私和数据安全问题,在实现基于Internet的远程访问时必须考虑数据传输的安全性和访问的合法性,防止绝密的数据资料被黑客甚至竞争对手获取、篡改和破坏,因此建设ERP系统时,相比企业其他的信息化系统,其安全需求就显得尤为突出。此外,如何在安全的前提下保证ERP系统的效率,保持业务的可扩展性等也是当前ERP实施中需要重点考虑的问题。基于B/S构架的ERP系统使用web作为前端界面和后台数据库的纽带,针对web的安全威胁在B/S构架的ERP系统中同样存在。比如,企业内部信息录入和查询组件中使用了大量的POST标单来处理用户提交的内容,这些处理过程隐藏着SQL注入,缓冲区益处等潜在的安全风险。
ERP系统面临的许多安全问题单靠程序加固是无法解决的,必须通过一种全新设计的高性能安全代理专用设备来完成专门的安全防护。具体来说,利用应用安全防护技术,深层管理和控制由用户访问外部资源而引起的应用层攻击,解决针对应用的、具有破坏性的复杂攻击。
在目前的web应用防护中,AppRock应用防火墙实现了对web网络应用保护,是传统安全技术的有效补充。应用防火墙可以阻止针对Web应用的攻击,而不仅仅是验证 Http协议。这些攻击包括利用特殊字符或通配符修改数据的数据攻击,设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。2004年所出现的Web应用10大漏洞,应用防火墙均可以防御,未知攻击也无法越过应用防火墙。
AppRock应用防火墙的用户行为检测技术,可以从网络数据中还原出应用数据流,并在应用数据的基础上归纳用户行为,然后进行用户行为的合法性判断,从而精确的判断出攻击行为。通过和积极安全模型结合,用户行为检测可以实现只允许发生符合正常用户行为的访问数据通过,任何异常数据都会被阻止。
AppRock应用防火墙安装在ERP系统中应用服务器前端,在ISO模型的第七层上运行。所有的会话信息,包括上行和下行的会话信息,都要流经AppRock应用防火墙。下行请求经过应用防火墙,并且在积极模型的情况下,进行政策的解析处理。这就要求应用防火墙安装在缓存服务器的前端,以保证请求的有效性。上行请求经过只允许有效请求通过的应用防火墙,因此避免了有害请求进入服务器。应用防火墙截获会话请求,提供与已有应用的联机集成,并与Web应用技术相兼容。应用防火墙监听80和443 TCP端口,并从客户机接收输入的HTTP/HTTPS请求,然后解析这些请求,将这些请求与会话建立关系或者创建一次会话,然后将请求与会话的政策相匹配。如果这个请求符合安全策略,它就被转发给ERP中的Web服务器,否则请求就被拒绝。
通过AppRcok应用防火墙对ERP系统中Server端的全面保护,可以实现在不修改现有ERP系统的情况下提高整个ERP系统的安全性。AppRock应用防火墙作为ERP的安全防护“锁”,为企业的ERP系统保驾护航。