試論ERP系統(tǒng)安全問題及五大對策
由于ERP系統(tǒng)的復雜性,以及企業(yè)在建設維護ERP系統(tǒng)時受到的技術條件、人員素質等各種條件的限制,導致ERP系統(tǒng)存在多種安全風險。要加強ERP系統(tǒng)的安全風險防范工作,就需要正確識別ERP系統(tǒng)運行管理中存在的安全風險和成因。一般來說,ERP系統(tǒng)的安全風險主要有以下幾個方面:
1.不可抗外力災害的安全威脅。由于自然災害、意外事故等不確定的客觀原因造成如系統(tǒng)硬件的損壞、網(wǎng)絡中斷及數(shù)據(jù)丟失等的威脅。
2.管理疏忽導致的事故的安全威脅。由于企業(yè)管理不規(guī)范、不嚴謹,相關人員監(jiān)管不力,用戶身份認證及權限管理不嚴,操作人員誤操作以及業(yè)務不熟練等主觀原因造成的事故威脅。
3.系統(tǒng)缺陷導致事故的安全威脅。由于受構建企業(yè)ERP系統(tǒng)平臺時的技術條件、網(wǎng)絡產(chǎn)品、通信協(xié)議等方面限制,在硬件設備質量不過關、操作系統(tǒng)平臺安全漏洞、服務器配置有誤、系統(tǒng)設計缺陷、網(wǎng)絡協(xié)議漏洞、缺乏有效監(jiān)控手段等方面的安全隱患造成的事故威脅;
4.惡意攻擊的安全威脅。企業(yè)內(nèi)部員工或外界黑客和其他入侵者為了獲得不當利益、竊取商業(yè)秘密、獵奇心理等惡意破壞行為造成的事故威脅。
5.其他因素造成的安全威脅。如系統(tǒng)故障、病毒和其他惡意軟件的傳播攻擊、缺乏安全備份機制、數(shù)據(jù)基礎資料不準確、系統(tǒng)維護力量投入不足等造成事故的威脅。其中,管理與技術方面的缺陷和黑客病毒的攻擊是威脅ERP系統(tǒng)安全的的主要風險。
二、安全防護體系建設的安全策略
1.安全防護體系建設的設計目標。
由于目前信息技術發(fā)展的局限性,絕對安全是不存在的,最多只能通過實施一定預防措施,把風險威脅降低到一定程度,實現(xiàn)風險威脅可控、可以挽回損失。
因此,ERP系統(tǒng)規(guī)劃和實施的首要目標是建立ERP系統(tǒng)的安全保障體系,以保護企業(yè)的信息資產(chǎn)的安全,建設技術和管理上的安全防護措施,提供用戶身份認證、操作授權、網(wǎng)絡安全檢測和病毒攻擊的防范等安全功能,以保護ERP系統(tǒng)中的硬件、軟件及數(shù)據(jù)的安全穩(wěn)定、完整有效和機密性,預防因惡意或偶然的原因使系統(tǒng)或數(shù)據(jù)信息遭到破壞、篡改和泄漏從而最終造成企業(yè)的嚴重經(jīng)濟損失。
“ERP系統(tǒng)安全項目要保護的資源包括ERP系統(tǒng)的軟硬件資源和數(shù)據(jù)資源。硬件資源主要包括數(shù)據(jù)庫服務器、應用服務器和客戶端計算機,以及傳輸網(wǎng)絡;軟件資源包括服務器上的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)DBMs、應用服務器軟件以及客戶端計算機上的應用瀏覽器等。數(shù)據(jù)信息資源是ERP系統(tǒng)的最寶貴財富。”
2.安全防護體系建設的設計思路。
要構建一個完善的、高效的企業(yè)ERP系統(tǒng)安全體系結構,必須先制定一整套安全策略規(guī)劃。安全策略是實施企業(yè)信息與網(wǎng)絡安全體系的基礎。
企業(yè)ERP系統(tǒng)要建設一個安全高效的安全防護體系,必須先制定有針對性的安全策略。ERP系統(tǒng)的“安全策略,是指在一個特定的環(huán)境里(安全區(qū)域),為保證提供一定級別的安全保護所必須遵守的一系列條例、規(guī)則。”
安全策略詳細規(guī)定了ERP系統(tǒng)允許的各種安全活動和違規(guī)行為的懲罰措施,穩(wěn)妥可行、細致周密的安全策略規(guī)劃是成功建設安全防護設施的前提和基礎。
“安全策略體系是指安全策略的建立、執(zhí)行、審核、修訂等;安全技術體系包括身份認證和授權、訪問控制、數(shù)據(jù)的冗余備份、系統(tǒng)的監(jiān)控、審計等;安全運作體系包括人員的組織建設、技術人員的工作內(nèi)容和工作考核等。”
企業(yè)建設保障ERP系統(tǒng)安全的技術體系、運作體系應當與企業(yè)的安全目標和安全策略相一致。
企業(yè)ERP系統(tǒng)的安全體系建設,包括企業(yè)內(nèi)部局域網(wǎng)的安全建設,與合作企業(yè)、分支機構聯(lián)網(wǎng)的安全建設等。企業(yè)既要加強ERP系統(tǒng)的安全性,又不能以降低系統(tǒng)性能為代價。
3.安全防護體系的設計原則。
在工作流程上,“事前”,建立高安全的ERP系統(tǒng),選擇高安全應用服務協(xié)議,及時了解信息技術上、人員管理上的動態(tài)變化,修補系統(tǒng)漏洞,避免被惡意利用;。“事中”,針對各種不同的安全威脅,綜合安全防火墻、入侵防護系統(tǒng)、系統(tǒng)自身的網(wǎng)絡安全設置、數(shù)據(jù)庫權限、操作規(guī)范、操作人員管理等多種手段進行防護;“事后”,實現(xiàn)保存系統(tǒng)工作日志,科學的備份策略,和事故應急預案等多策并舉。具體設計原則主要有:
(1)在設計和規(guī)劃ERP系統(tǒng)的安全防護設施之前,應當對信息安全技術的發(fā)展趨勢和黑客攻擊技術的最新變化,以及ERP技術的進展和可能面臨的風險隱患有充分的了解,并提高相關的安全意識。

責任編輯:何健
-
重新審視“雙循環(huán)”下的光伏行業(yè)
2020-11-02光伏行業(yè),光伏技術,光伏出口 -
能源轉型進程中火電企業(yè)的下一程
2020-11-02五大發(fā)電,火電,煤電 -
國內(nèi)最高額定水頭抽蓄電站2#引水上斜井滑?;炷潦┕ろ樌瓿?/a>
2020-10-30抽水蓄能電站,長龍山抽水蓄能電站,水力發(fā)電
-
能源轉型進程中火電企業(yè)的下一程
2020-11-02五大發(fā)電,火電,煤電 -
資本市場:深度研究火電行業(yè)價值
2020-07-09火電,火電公司,電力行業(yè) -
國家能源局印發(fā)2020年能源工作指導意見:從嚴控制、按需推動煤電項目建設
2020-06-29煤電,能源轉型,國家能源局
-
高塔技術助力分散式風電平價上網(wǎng)
2020-10-15分散式風電,風電塔筒,北京國際風能大會 -
創(chuàng)造12項世界第一!世界首個柔性直流電網(wǎng)工程組網(wǎng)成功
2020-06-29?清潔能源,多能互補,風電 -
桂山風電項目部組織集體默哀儀式
2020-04-08桂山風電項目部組織