10秒后自動關(guān)閉
如何提升財務(wù)系統(tǒng)和ERP系統(tǒng)安全(用友、泛微、通達)

大部分公司都有自己的財務(wù)系統(tǒng)和ERP系統(tǒng),并都購買自第三方服務(wù)商,如用友、泛微和通達等。


這些系統(tǒng)功能非常強大,能幫助企業(yè)大幅提升運營能力。但也正因為功能強大,漏洞也就比較多。并不是說這些服務(wù)商開發(fā)實力不行,而是只要稍微復(fù)雜點的系統(tǒng),漏洞就在所難免。就連微軟這樣的巨無霸公司,漏洞也從來沒有停止過。


目前這些知名的財務(wù)系統(tǒng)和ERP系統(tǒng),在互聯(lián)網(wǎng)隨處可以搜索到漏洞播報,官方也在不斷發(fā)布修復(fù)補丁。但即使官方不斷發(fā)布補丁,依然有很多系統(tǒng)被黑客入侵,被植入惡意代碼或者加密勒索。要徹底解決黑客入侵威脅,我們還應(yīng)該部署一些必要的防護措施。


下面我們就用最簡單的方法、最低廉的成本,徹底解決安全威脅問題。

財務(wù)系統(tǒng)和ERP系統(tǒng)通常都只對內(nèi)部員工開放,那么我們只需要從物理層面限制“只允許內(nèi)部員工訪問系統(tǒng)”,就能解決99.99%的入侵威脅。

所謂物理層面,是指不依賴財務(wù)系統(tǒng)和ERP系統(tǒng)自身的身份驗證模塊,而采用第三方驗證系統(tǒng),讓黑客無法繞過身份驗證。為此我們需要用到一款專業(yè)的主機安全防護軟件:『護衛(wèi)神·防入侵系統(tǒng)』(如圖一)。該系統(tǒng)是一款綜合性的安全防護系統(tǒng),具有上百個防護模塊,可以對主機和網(wǎng)站進行全方位的保護。

fangruqin.png

(圖一:護衛(wèi)神.防入侵系統(tǒng)管理面板)

下面我們就來實戰(zhàn)兩步解決財務(wù)系統(tǒng)和ERP系統(tǒng)安全問題!


一、使用零信任,杜絕外部威脅

所謂零信任,即“誰也不信任”。零信任的詳細說明請點這里:https://mp.weixin.qq.com/s/c2wh5t5qwtVYOGqG03LrjA


◆ 傳統(tǒng)的身份驗證

用戶先訪問系統(tǒng),再進行身份驗證(如圖二)。此模式的缺點是一旦系統(tǒng)有漏洞,黑客可能繞過身份驗證,直接入侵系統(tǒng)。


lianjie.jpg

(圖二:先允許訪問,再驗證身份)


◆ 物理層面的零信任防護

先驗證身份,再連接系統(tǒng)(如圖三)。即使系統(tǒng)有漏洞,黑客也接觸不到該漏洞,也就無從入侵了,安全性大幅提升。

renzheng.png

(圖三:先驗證身份,再允許訪問)



要啟用零信任防護,限制“只允許內(nèi)部員工訪問系統(tǒng)”,只需要安裝『護衛(wèi)神·防入侵系統(tǒng)』后,開啟“防火墻”模塊(如圖四);此時服務(wù)器對外呈關(guān)閉狀態(tài),必須經(jīng)過『護衛(wèi)神·防入侵系統(tǒng)』授權(quán)驗證后,才能訪問服務(wù)器。

注意:注冊軟件后,會有一個面板管理地址,這個面板地址后續(xù)會用到。

fanghuoqiang.png

(圖四:防火墻只開放了遠程桌面端口)


此時所有人都將無法進入財務(wù)系統(tǒng)和ERP系統(tǒng),接下來還需要為員工分配授權(quán)賬戶,添加方法:在“系統(tǒng)設(shè)置-賬戶管理-添加賬戶”(如圖五),權(quán)限建議選擇“其他”。

tianjiazhanghu.png

(圖五:添加授權(quán)賬戶)



添加賬戶以后,員工只需要登錄上述的“面板地址”,并輸入添加的賬戶密碼登錄,就可以訪問財務(wù)系統(tǒng)和ERP系統(tǒng)了。


如果內(nèi)部員工太多,每個人都分配賬戶,那工作量確實有點大,有更簡單的辦法嗎?

肯定有的。因為黑客和您同所城市的可能性幾乎為零,我們就可以針對城市授權(quán),例如“只允許成都地區(qū)用戶訪問系統(tǒng)”。

設(shè)置方法:在『護衛(wèi)神.防入侵系統(tǒng)』的防火墻模塊,添加入口規(guī)則,端口為財務(wù)系統(tǒng)或ERP系統(tǒng)使用的端口,地區(qū)添加您所在城市(如圖六)。設(shè)置后您所在城市的用戶均能訪問系統(tǒng),而其他地區(qū)用戶均不能訪問。對于經(jīng)常出差的員工,單獨分配授權(quán)賬戶即可解決。

tianjiaquyu.png

(圖六:只允許成都用戶訪問8088端口)


二、使用WAF,解決內(nèi)部威脅

解決了外部威脅,還需要同步解決內(nèi)部威脅,方可徹底解決安全問題。

內(nèi)部威脅是指內(nèi)部員工發(fā)起的入侵行為。

內(nèi)部威脅攻擊方式主要有“SQL注入攻擊”和“XSS跨站攻擊”,對數(shù)據(jù)進行篡改、拖庫等破壞行為。

『護衛(wèi)神.防入侵系統(tǒng)』的“網(wǎng)站防護”模塊實則是WAF(網(wǎng)站應(yīng)用防火墻),具有數(shù)十個防護模塊,可以全方位的保護網(wǎng)站安全。財務(wù)系統(tǒng)和ERP系統(tǒng)基本上都是PHP語言開發(fā),本質(zhì)就是一個網(wǎng)站系統(tǒng)。因此通過“網(wǎng)站防護”模塊,可以全面解決內(nèi)部安全威脅。


我們只需要開啟『護衛(wèi)神.防入侵系統(tǒng)』的“網(wǎng)站防護”模塊,即可自動開啟SQL注入防護和XSS跨站擊防護(如下圖七)。

SQL.png

(圖七:SQL注入防護)


攔截效果如下(圖八):

lanjieSQL.png

(圖八:攔截XSS攻擊)


如果您對系統(tǒng)安全有更嚴(yán)苛的要求,還可以使用“篡改防護”模塊,對財務(wù)系統(tǒng)和ERP系統(tǒng)做嚴(yán)格的防篡改保護,具體方法因系統(tǒng)而異,建議聯(lián)系護衛(wèi)神的工程師免費幫您處理。如果您有其他安全困惱,也可以聯(lián)系護衛(wèi)神工程師免費幫您分析!


本文到此就結(jié)束了,只需要兩步就可以徹底解決財務(wù)系統(tǒng)和ERP系統(tǒng)的安全威脅,是不是非常簡單呢!