如何做好ERP系統(tǒng)的安全防護(hù)

    ERP系統(tǒng)是對(duì)于企業(yè)資源的整合管理，涉及到財(cái)務(wù)、進(jìn)銷存、供應(yīng)鏈、政務(wù)管理等各個(gè)方面，因此ERP系統(tǒng)的安全防護(hù)是構(gòu)建企業(yè)穩(wěn)健運(yùn)行環(huán)境的重要保障，這關(guān)系到企業(yè)的安全和利益，企業(yè)管理者在ERP系統(tǒng)的實(shí)施和應(yīng)用當(dāng)中，應(yīng)該對(duì)于系統(tǒng)的安全防護(hù)功能有足夠的重視。本文將從ERP系統(tǒng)的安全風(fēng)險(xiǎn)、ERP系統(tǒng)的安全防護(hù)策略和安全體系建設(shè)的措施三個(gè)方面來進(jìn)行深入闡述。

    一、ERP系統(tǒng)中的安全風(fēng)險(xiǎn)

    由于ERP系統(tǒng)的復(fù)雜性，以及企業(yè)在建設(shè)維護(hù)ERP系統(tǒng)時(shí)受到的技術(shù)條件、人員素質(zhì)等各種條件的限制，導(dǎo)致ERP系統(tǒng)存在多種安全風(fēng)險(xiǎn)。要加強(qiáng)ERP系統(tǒng)的安全風(fēng)險(xiǎn)防范工作，就需要正確識(shí)別ERP系統(tǒng)運(yùn)行管理中存在的安全風(fēng)險(xiǎn)和成因。一般來說，ERP系統(tǒng)的安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面：

    1．不可抗外力災(zāi)害的安全威脅。

    2．管理疏忽導(dǎo)致的事故的安全威脅。

    3．系統(tǒng)缺陷導(dǎo)致事故的安全威脅。

    4．惡意攻擊的安全威脅。

    5．其他因素造成的安全威脅。如系統(tǒng)故障、病毒和其他惡意軟件的傳播攻擊、缺乏安全備份機(jī)制、數(shù)據(jù)基礎(chǔ)資料不準(zhǔn)確、系統(tǒng)維護(hù)力量投入不足等造成事故的威脅。其中，管理與技術(shù)方面的缺陷和黑客病毒的攻擊是威脅ERP系統(tǒng)安全的的主要風(fēng)險(xiǎn)。

    二、安全防護(hù)體系建設(shè)的安全策略

    1．安全防護(hù)體系建設(shè)的設(shè)計(jì)目標(biāo)。

    由于目前信息技術(shù)發(fā)展的局限性，絕對(duì)安全是不存在的，最多只能通過實(shí)施一定預(yù)防措施，把風(fēng)險(xiǎn)威脅降低到一定程度，實(shí)現(xiàn)風(fēng)險(xiǎn)威脅可控、可以挽回?fù)p失。

    因此，ERP系統(tǒng)規(guī)劃和實(shí)施的首要目標(biāo)是建立ERP系統(tǒng)的安全保障體系，以保護(hù)企業(yè)的信息資產(chǎn)的安全，建設(shè)技術(shù)和管理上的安全防護(hù)措施，提供用戶身份認(rèn)證、操作授權(quán)、網(wǎng)絡(luò)安全檢測(cè)和病毒攻擊的防范等安全功能，以保護(hù)ERP系統(tǒng)中的硬件、軟件及數(shù)據(jù)的安全穩(wěn)定、完整有效和機(jī)密性，預(yù)防因惡意或偶然的原因使系統(tǒng)或數(shù)據(jù)信息遭到破壞、篡改和泄漏從而最終造成企業(yè)的嚴(yán)重經(jīng)濟(jì)損失。

    “ERP系統(tǒng)安全項(xiàng)目要保護(hù)的資源包括ERP系統(tǒng)的軟硬件資源和數(shù)據(jù)資源。硬件資源主要包括數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器和客戶端計(jì)算機(jī)，以及傳輸網(wǎng)絡(luò)；軟件資源包括服務(wù)器上的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)DBMs、應(yīng)用服務(wù)器軟件以及客戶端計(jì)算機(jī)上的應(yīng)用瀏覽器等。數(shù)據(jù)信息資源是ERP系統(tǒng)的最寶貴財(cái)富?！?/span>

    2．安全防護(hù)體系建設(shè)的設(shè)計(jì)思路。

    要構(gòu)建一個(gè)完善的、高效的企業(yè)ERP系統(tǒng)安全體系結(jié)構(gòu)，必須先制定一整套安全策略規(guī)劃。安全策略是實(shí)施企業(yè)信息與網(wǎng)絡(luò)安全體系的基礎(chǔ)。

    企業(yè)ERP系統(tǒng)要建設(shè)一個(gè)安全高效的安全防護(hù)體系，必須先制定有針對(duì)性的安全策略。ERP系統(tǒng)的“安全策略，是指在一個(gè)特定的環(huán)境里(安全區(qū)域)，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的一系列條例、規(guī)則。”

    安全策略詳細(xì)規(guī)定了ERP系統(tǒng)允許的各種安全活動(dòng)和違規(guī)行為的懲罰措施，穩(wěn)妥可行、細(xì)致周密的安全策略規(guī)劃是成功建設(shè)安全防護(hù)設(shè)施的前提和基礎(chǔ)。

    “安全策略體系是指安全策略的建立、執(zhí)行、審核、修訂等；安全技術(shù)體系包括身份認(rèn)證和授權(quán)、訪問控制、數(shù)據(jù)的冗余備份、系統(tǒng)的監(jiān)控、審計(jì)等；安全運(yùn)作體系包括人員的組織建設(shè)、技術(shù)人員的工作內(nèi)容和工作考核等?！?/span>

    企業(yè)建設(shè)保障ERP系統(tǒng)安全的技術(shù)體系、運(yùn)作體系應(yīng)當(dāng)與企業(yè)的安全目標(biāo)和安全策略相一致。

    企業(yè)ERP系統(tǒng)的安全體系建設(shè)，包括企業(yè)內(nèi)部局域網(wǎng)的安全建設(shè)，與合作企業(yè)、分支機(jī)構(gòu)聯(lián)網(wǎng)的安全建設(shè)等。企業(yè)既要加強(qiáng)ERP系統(tǒng)的安全性，又不能以降低系統(tǒng)性能為代價(jià)。

    3．安全防護(hù)體系的設(shè)計(jì)原則。

    在工作流程上，“事前”，建立高安全的ERP系統(tǒng)，選擇高安全應(yīng)用服務(wù)協(xié)議，及時(shí)了解信息技術(shù)上、人員管理上的動(dòng)態(tài)變化，修補(bǔ)系統(tǒng)漏洞，避免被惡意利用；?！笆轮小?，針對(duì)各種不同的安全威脅，綜合安全防火墻、入侵防護(hù)系統(tǒng)、系統(tǒng)自身的網(wǎng)絡(luò)安全設(shè)置、數(shù)據(jù)庫權(quán)限、操作規(guī)范、操作人員管理等多種手段進(jìn)行防護(hù)；“事后”，實(shí)現(xiàn)保存系統(tǒng)工作日志，科學(xué)的備份策略，和事故應(yīng)急預(yù)案等多策并舉。

    三、安全防護(hù)體系建設(shè)的措施

    1．重視基礎(chǔ)設(shè)施建設(shè)，合理設(shè)置信息安全架構(gòu)。

    應(yīng)依據(jù)ERP系統(tǒng)的特點(diǎn)和確定的安全目標(biāo)、安全策略以建設(shè)一個(gè)合理的、完善的安全架構(gòu)體系，根據(jù)系統(tǒng)的功能特點(diǎn)和面l臨的安全風(fēng)險(xiǎn)，合理地劃分安全區(qū)域，統(tǒng)一規(guī)劃安全設(shè)施、網(wǎng)絡(luò)設(shè)施、共享的信息資源范圍等，增強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控。

    根據(jù)職能和部門、內(nèi)網(wǎng)和外網(wǎng)的不同，對(duì)網(wǎng)絡(luò)、系統(tǒng)平臺(tái)之間進(jìn)行合理、有效的區(qū)域隔離和訪問控制，實(shí)現(xiàn)“應(yīng)用分區(qū)、安全分級(jí)、網(wǎng)絡(luò)分層”，對(duì)核心設(shè)備、核心環(huán)節(jié)的安全進(jìn)行重點(diǎn)防護(hù)，從而實(shí)現(xiàn)ERP系統(tǒng)的安全目標(biāo)、規(guī)避和控制安全風(fēng)險(xiǎn)。

    根據(jù)安全的等級(jí)，網(wǎng)絡(luò)環(huán)境和具體模塊功能的不同，ERP系統(tǒng)的安全防護(hù)區(qū)域可以具體劃分為：網(wǎng)絡(luò)核心區(qū)、服務(wù)器接人區(qū)、辦公網(wǎng)接入?yún)^(qū)、網(wǎng)絡(luò)安全監(jiān)控管理區(qū)、廣域網(wǎng)接人區(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，區(qū)域間使用安全技術(shù)設(shè)備加以隔離。

    對(duì)用戶的工作域及用戶名稱和權(quán)限，應(yīng)按職能和部門的不同進(jìn)行規(guī)范，統(tǒng)一設(shè)置，加以區(qū)別。

    2．加強(qiáng)系統(tǒng)平臺(tái)安全防護(hù)措施，保證網(wǎng)絡(luò)和設(shè)備的安全。

    根據(jù)安全目標(biāo)和安全體系構(gòu)架的要求，根據(jù)最新技術(shù)進(jìn)展，對(duì)ERP系統(tǒng)平臺(tái)進(jìn)行二次開發(fā)和系統(tǒng)補(bǔ)丁升級(jí)，增加相關(guān)的實(shí)時(shí)監(jiān)測(cè)、控制功能，及時(shí)進(jìn)行漏洞、木馬病毒、對(duì)外重要接口的安全掃描和修補(bǔ)工作，由此完善軟件、硬件的安全功能。同時(shí)，統(tǒng)一規(guī)劃并加強(qiáng)以下幾方面的安全控制：身份認(rèn)證、操作權(quán)限管理、訪問控制、信息保密及完整、系統(tǒng)實(shí)時(shí)監(jiān)控及日志記錄，對(duì)于所開放的權(quán)限和系統(tǒng)服務(wù)按照滿足生產(chǎn)操作所需的最小程度嚴(yán)格限定，從源頭上預(yù)防安全風(fēng)險(xiǎn)，保證網(wǎng)絡(luò)和設(shè)備的安全、完整、準(zhǔn)確。對(duì)于二次開發(fā)的軟件、硬件必須經(jīng)過安全檢測(cè)才可投入運(yùn)行。

    對(duì)于外網(wǎng)遠(yuǎn)程訪問ERP系統(tǒng)內(nèi)數(shù)據(jù)庫，一般采用虛擬專用網(wǎng)(VPN)技術(shù)，通過安全加密通道連接傳輸，增強(qiáng)保密和認(rèn)證作用，防止重要數(shù)據(jù)在傳輸線路上被截取。

    3．設(shè)立防火墻和入侵檢測(cè)系統(tǒng)，加強(qiáng)訪問控制和對(duì)木馬病毒、惡意攻擊等的防范。

   ERP系統(tǒng)服務(wù)器所用的防火墻采用軟硬件結(jié)合的方式，軟件防火墻一般只起到數(shù)據(jù)包過濾、系統(tǒng)運(yùn)行監(jiān)控以及服務(wù)器工作狀態(tài)監(jiān)控等，硬件防火墻將軟件防火墻集成在硬件設(shè)備內(nèi)，通過專門的安全控制芯片與軟件協(xié)調(diào)工作，除執(zhí)行軟件防火墻的功能外，還有內(nèi)容過濾(CF)、入侵偵測(cè)(IDS)、入侵防護(hù)(IPS)以及VPN等功能。

    應(yīng)當(dāng)科學(xué)合理地配置防火墻內(nèi)服務(wù)器及客戶端的各種安全規(guī)則，加強(qiáng)內(nèi)容過濾和預(yù)警等功能，進(jìn)行訪問控制，對(duì)于訪問系統(tǒng)的行為和出入的數(shù)據(jù)信息進(jìn)行監(jiān)測(cè)控制并記錄日志，對(duì)于來自內(nèi)部和外部的違反安全策略的異常行為和各種惡意攻擊、破壞行為加以實(shí)時(shí)、動(dòng)態(tài)地防范，并提供預(yù)警及阻斷攻擊。建立定期安全檢查、風(fēng)險(xiǎn)快速的響應(yīng)的機(jī)制、擴(kuò)展系統(tǒng)管理員的安全管理能力，使其可以有效地監(jiān)控、審查和評(píng)估系統(tǒng)，及時(shí)發(fā)現(xiàn)、處理安全風(fēng)險(xiǎn)問題，維護(hù)網(wǎng)絡(luò)通暢、數(shù)據(jù)信息的安全完整，系統(tǒng)的安全穩(wěn)定。

    單機(jī)殺毒軟件并不能適應(yīng)網(wǎng)絡(luò)時(shí)代病毒的更新、傳播速度和范圍，因此必須使用可以服務(wù)于整個(gè)局域網(wǎng)的安全防護(hù)產(chǎn)品，進(jìn)行分布式部署、統(tǒng)一監(jiān)控管理，實(shí)現(xiàn)“自動(dòng)分發(fā)、智能升級(jí)、集中管控、統(tǒng)一報(bào)警”，加強(qiáng)對(duì)網(wǎng)絡(luò)病毒、木馬以及黑客軟件攻擊的防范。

    同時(shí)，應(yīng)不斷地采用最新的信息網(wǎng)絡(luò)安全技術(shù)，及時(shí)升級(jí)安全產(chǎn)品；制定安全操作規(guī)范，加強(qiáng)用戶管理和操作管理，加強(qiáng)外來移動(dòng)存儲(chǔ)設(shè)備的管理；定期檢查ERP系統(tǒng)軟硬件設(shè)備的安全狀況。

   4.制定完善的數(shù)據(jù)備份策略。

   ERP系統(tǒng)的信息是通過計(jì)算機(jī)及網(wǎng)絡(luò)儲(chǔ)存到數(shù)據(jù)庫中，但由于存在硬軟件故障導(dǎo)致數(shù)據(jù)被破壞丟失、數(shù)據(jù)庫不能使用的安全風(fēng)險(xiǎn)，所以為了防止數(shù)據(jù)的丟失、保障系統(tǒng)及數(shù)據(jù)的安全對(duì)于數(shù)據(jù)庫的備份與恢復(fù)、應(yīng)對(duì)事故的應(yīng)急預(yù)案措施就顯得十分必要。

    數(shù)據(jù)庫備份的技術(shù)多種多樣，在實(shí)施時(shí)，應(yīng)考慮到企業(yè)對(duì)數(shù)據(jù)安全的要求和數(shù)據(jù)備份的規(guī)模，由此制定適合企業(yè)自身特點(diǎn)及要求的安全備份策略，對(duì)備份的數(shù)據(jù)應(yīng)定期進(jìn)行可用性和可恢復(fù)性校驗(yàn)，切實(shí)做好數(shù)據(jù)的備份工作，確保ERP系統(tǒng)數(shù)據(jù)的穩(wěn)妥和安全。

    首先，按數(shù)據(jù)備份的要求確定軟硬件技術(shù)配置，如，獨(dú)立磁盤冗余陣列(RAID)、熱插拔技術(shù)、一主機(jī)一備份機(jī)、在線熱備份系統(tǒng)等，數(shù)據(jù)備份的體系架構(gòu)應(yīng)具有實(shí)用性、擴(kuò)展性、安全性的特點(diǎn)，不僅應(yīng)具備良好的備份、恢復(fù)性能(特別是故障恢復(fù)性能)，同時(shí)也應(yīng)具備良好的系統(tǒng)擴(kuò)展性與技術(shù)前瞻性。

    其次，數(shù)據(jù)備份一般有定時(shí)備份和實(shí)時(shí)備份之分，月備份、周備份和日備份之分，自動(dòng)備份和手動(dòng)備份之分，以及數(shù)據(jù)全量備份和增量備份之分，企業(yè)應(yīng)按照自身特點(diǎn)及安全要求制定備份計(jì)劃，確定備份數(shù)據(jù)保留的天數(shù)。

    第三，注意存儲(chǔ)的環(huán)境安全建設(shè)，離線的備份數(shù)據(jù)應(yīng)存儲(chǔ)在特制的金屬柜內(nèi)，要做到防火、防盜、防濕、防塵、防靜電、防雷擊等。在條件允許的情況下，還可以設(shè)置機(jī)房環(huán)境監(jiān)控系統(tǒng)和異地容災(zāi)備份系統(tǒng)。

    企業(yè)應(yīng)建立安全事故應(yīng)急處理預(yù)案，使得企業(yè)對(duì)于可能發(fā)生的系統(tǒng)事故及故障能夠及時(shí)做出反應(yīng)，保證在系統(tǒng)及數(shù)據(jù)被破壞后，能立即啟用備用系統(tǒng)、恢復(fù)備份的數(shù)據(jù)，及時(shí)診斷、搶修發(fā)生故障的軟硬件以及網(wǎng)絡(luò)環(huán)境，使系統(tǒng)服務(wù)不致于中斷，將安全事故的損害降到最低程度。應(yīng)急預(yù)案也應(yīng)包括事故處理過程的相關(guān)信息收集，事后可以合理量化評(píng)估事故的種類、數(shù)量和成本，以利在今后工作中加以監(jiān)督和防范。

    5．加強(qiáng)ERP系統(tǒng)安全的管理措施。

    安全管理措施是維護(hù)系統(tǒng)安全穩(wěn)定運(yùn)行的最為關(guān)鍵的部分，企業(yè)除了需要在信息安全技術(shù)上加強(qiáng)投入外，還需要加強(qiáng)并規(guī)范人員行為的安全管理措施。

    首先，完善信息安全管理的各種規(guī)章制度的建設(shè)，制定安全目標(biāo)和安全策略，在此基礎(chǔ)上制定設(shè)備物理環(huán)境、系統(tǒng)運(yùn)行維護(hù)、訪問權(quán)限控制、業(yè)務(wù)保障、安全監(jiān)測(cè)審計(jì)、安全設(shè)備管理、人員安全操作規(guī)程等的安全制度建設(shè)，在工作中嚴(yán)格遵照?qǐng)?zhí)行，并且對(duì)此進(jìn)行定期培訓(xùn)和考核、檢查。

    其次，建立信息安全管理組織機(jī)構(gòu)，明確各部門、各環(huán)節(jié)的安全職責(zé)、組織形式和處理流程，具體落實(shí)到相關(guān)責(zé)任人，分工合作、各負(fù)其責(zé)，加強(qiáng)操作用戶登記、明確權(quán)限，重大事件的操作須授權(quán)核準(zhǔn)，啟用日志管理，避免越權(quán)和非授權(quán)操作，也應(yīng)定期進(jìn)行考核、檢查。

    第三，定期進(jìn)行分級(jí)分層的全員信息安全風(fēng)險(xiǎn)教育和操作維護(hù)培訓(xùn)，學(xué)習(xí)安全操作流程和行為規(guī)范，了解和掌握相關(guān)的信息安全知識(shí)和策略，以及應(yīng)承擔(dān)的安全職責(zé)，提高操作人員的安全風(fēng)險(xiǎn)防范意識(shí)和能力。

    企業(yè)網(wǎng)絡(luò)安全是由多方面來保證的，并且由于各種安全技術(shù)措施存在著不足與局限性，因此在實(shí)際工作中需要將多種技術(shù)綜合應(yīng)用以保證ERP系統(tǒng)安全。

    企業(yè)實(shí)施ERP系統(tǒng)，極大地提高了企業(yè)的經(jīng)營管理效率，增強(qiáng)了企業(yè)的核心競(jìng)爭(zhēng)力，成為企業(yè)經(jīng)營管理中的不可或缺的重要組成部分。ERP系統(tǒng)穩(wěn)定、高效的運(yùn)行是關(guān)系到企業(yè)生死存亡的大事，這就需要不斷發(fā)展、完善安全基礎(chǔ)設(shè)施來防范風(fēng)險(xiǎn)、保護(hù)系統(tǒng)的安全。企業(yè)在實(shí)際工作中，應(yīng)緊跟最新的信息安全技術(shù)的發(fā)展，及時(shí)調(diào)整安全防范策略，綜合應(yīng)用多種防范措施，更新相應(yīng)的信息安全產(chǎn)品，同時(shí)加強(qiáng)信息安全方面的教育和培訓(xùn)活動(dòng)，更好地抵御安全風(fēng)險(xiǎn)，為ERP系統(tǒng)的安全穩(wěn)定運(yùn)行保駕護(hù)航。