大部分公司都有自己的财务系统和ERP系统,并都购买自第三方服务商,如用友、泛微和通达等。
这些系统功能非常强大,能帮助企业大幅提升运营能力。但也正因为功能强大,漏洞也就比较多。并不是说这些服务商开发实力不行,而是只要稍微复杂点的系统,漏洞就在所难免。就连微软这样的巨无霸公司,漏洞也从来没有停止过。
目前这些知名的财务系统和ERP系统,在互联网随处可以搜索到漏洞播报,官方也在不断发布修复补丁。但即使官方不断发布补丁,依然有很多系统被黑客入侵,被植入恶意代码或者加密勒索。要彻底解决黑客入侵威胁,我们还应该部署一些必要的防护措施。
下面我们就用最简单的方法、最低廉的成本,彻底解决安全威胁问题。
财务系统和ERP系统通常都只对内部员工开放,那么我们只需要从物理层面限制“只允许内部员工访问系统”,就能解决99.99%的入侵威胁。
所谓物理层面,是指不依赖财务系统和ERP系统自身的身份验证模块,而采用第三方验证系统,让黑客无法绕过身份验证。为此我们需要用到一款专业的主机安全防护软件:『护卫神·防入侵系统』(如图一)。该系统是一款综合性的安全防护系统,具有上百个防护模块,可以对主机和网站进行全方位的保护。
(图一:护卫神.防入侵系统管理面板)
下面我们就来实战两步解决财务系统和ERP系统安全问题!
一、使用零信任,杜绝外部威胁
所谓零信任,即“谁也不信任”。零信任的详细说明请点这里:https://mp.weixin.qq.com/s/c2wh5t5qwtVYOGqG03LrjA
◆ 传统的身份验证
用户先访问系统,再进行身份验证(如图二)。此模式的缺点是一旦系统有漏洞,黑客可能绕过身份验证,直接入侵系统。
(图二:先允许访问,再验证身份)
◆ 物理层面的零信任防护
先验证身份,再连接系统(如图三)。即使系统有漏洞,黑客也接触不到该漏洞,也就无从入侵了,安全性大幅提升。
(图三:先验证身份,再允许访问)
要启用零信任防护,限制“只允许内部员工访问系统”,只需要安装『护卫神·防入侵系统』后,开启“防火墙”模块(如图四);此时服务器对外呈关闭状态,必须经过『护卫神·防入侵系统』授权验证后,才能访问服务器。
注意:注册软件后,会有一个面板管理地址,这个面板地址后续会用到。
(图四:防火墙只开放了远程桌面端口)
此时所有人都将无法进入财务系统和ERP系统,接下来还需要为员工分配授权账户,添加方法:在“系统设置-账户管理-添加账户”(如图五),权限建议选择“其他”。
(图五:添加授权账户)
添加账户以后,员工只需要登录上述的“面板地址”,并输入添加的账户密码登录,就可以访问财务系统和ERP系统了。
如果内部员工太多,每个人都分配账户,那工作量确实有点大,有更简单的办法吗?
肯定有的。因为黑客和您同所城市的可能性几乎为零,我们就可以针对城市授权,例如“只允许成都地区用户访问系统”。
设置方法:在『护卫神.防入侵系统』的防火墙模块,添加入口规则,端口为财务系统或ERP系统使用的端口,地区添加您所在城市(如图六)。设置后您所在城市的用户均能访问系统,而其他地区用户均不能访问。对于经常出差的员工,单独分配授权账户即可解决。
(图六:只允许成都用户访问8088端口)
二、使用WAF,解决内部威胁
解决了外部威胁,还需要同步解决内部威胁,方可彻底解决安全问题。
内部威胁是指内部员工发起的入侵行为。
内部威胁攻击方式主要有“SQL注入攻击”和“XSS跨站攻击”,对数据进行篡改、拖库等破坏行为。
『护卫神.防入侵系统』的“网站防护”模块实则是WAF(网站应用防火墙),具有数十个防护模块,可以全方位的保护网站安全。财务系统和ERP系统基本上都是PHP语言开发,本质就是一个网站系统。因此通过“网站防护”模块,可以全面解决内部安全威胁。
我们只需要开启『护卫神.防入侵系统』的“网站防护”模块,即可自动开启SQL注入防护和XSS跨站击防护(如下图七)。
(图七:SQL注入防护)
拦截效果如下(图八):
(图八:拦截XSS攻击)
如果您对系统安全有更严苛的要求,还可以使用“篡改防护”模块,对财务系统和ERP系统做严格的防篡改保护,具体方法因系统而异,建议联系护卫神的工程师免费帮您处理。如果您有其他安全困恼,也可以联系护卫神工程师免费帮您分析!
本文到此就结束了,只需要两步就可以彻底解决财务系统和ERP系统的安全威胁,是不是非常简单呢!