随着信息化进程的不断加快,实施ERP(Enterprise resource plan)系统是企业必然选择。ERP系统包含着企业众多重要的信息,因此近年来网络安全事故不断增多。IAM(Identify and Access Management)管理包含身份认证和访问管理,是应用系统的最后一道门槛。因此加强IAM管理能极大增强ERP系统的安全性。首先,本文在详细了解现有的各种身份认证方式的实现原理以及它们的优缺点基础上,结合ERP的特点,提出了一种多因子的可配置的身份认证方案。在访问管理系统的设计中,为了满足法律上的遵从性,将访问的可追踪性纳入方案设计之中。在访问控制方案的设计中,综合了现有各种访问控制方案的优缺点,提出一种新的访问控制模型。它由角色为中心的访问控制模型演化而来,在客体端借鉴强制访问控制模型的思想,同时利用PMI(Privilege Management Infrastructure)里属性数字证书功能完成追踪审计功能。除此之外,开放性作为IAM系统的一个重要的特点,它强调的是系统的通用性,其中至关重要的是与现有应用系统的平滑连接。本文提供了三种可供选择的方案。针对可更改源代码的应用系统,可以使用加密文件或者标识变量的方式进行连接。对于不可更改源代码的应用系统可以使用句柄发送消息的方式进行连接。最后,本文针对ERP系统安全的特点,设计了一个专门的个性化防火墙。防火墙包含两方面的内容:网络过滤和文件防护。对于未经过IAM授权进入ERP系统的,一律视为非法用户。IAM本身具有一个合法的用户列表,根据检测ERP系统实际的网络连接可以获取非法用户的网络连接,通过网络技术将对应的网络连接进行过滤就可以了。因为ERP系统的文件对操作系统是透明的,因此一旦有攻击者入侵了系统,ERP系统的文件也岌岌可危,为此设计一个文件防火墙就十分必要。文件防火墙采用文件过滤驱动技术,目的是只允许特定进程对特定文件进行操作。这样防止系统的入侵者对系统的重要文件进行读、写、下载、删除等等。