当前位置:企业应用软件ERP → 正文

ERP运行中的安全问题与解决方案

责任编辑:editor005 |来源:企业网D1Net  2017-02-23 15:10:41 本文摘自:e-works数字化企业网

一、ERP系统中的安全风险

由于ERP系统的复杂性,以及企业在建设维护ERP系统时受到的技术条件、人员素质等各种条件的限制,导致ERP系统存在多种安全风险。要加强ERP系统的安全风险防范工作,就需要正确识别ERP系统运行管理中存在的安全风险和成因。一般来说,ERP系统的安全风险主要有以下几个方面:

1.不可抗外力灾害的安全威胁。由于自然灾害、意外事故等不确定的客观原因造成如系统硬件的损坏、网络中断及数据丢失等的威胁。

2.管理疏忽导致的事故的安全威胁。由于企业管理不规范、不严谨,相关人员监管不力,用户身份认证及权限管理不严,操作人员误操作以及业务不熟练等主观原因造成的事故威胁。

3.系统缺陷导致事故的安全威胁。由于受构建企业ERP系统平台时的技术条件、网络产品、通信协议等方面限制,在硬件设备质量不过关、操作系统平台安全漏洞、服务器配置有误、系统设计缺陷、网络协议漏洞、缺乏有效监控手段等方面的安全隐患造成的事故威胁;

4.恶意攻击的安全威胁。企业内部员工或外界黑客和其他入侵者为了获得不当利益、窃取商业秘密、猎奇心理等恶意破坏行为造成的事故威胁。

5.其他因素造成的安全威胁。如系统故障、病毒和其他恶意软件的传播攻击、缺乏安全备份机制、数据基础资料不准确、系统维护力量投入不足等造成事故的威胁。其中,管理与技术方面的缺陷和黑客病毒的攻击是威胁ERP系统安全的的主要风险。

二、安全防护体系建设的安全策略

1.安全防护体系建设的设计目标。

由于目前信息技术发展的局限性,绝对安全是不存在的,最多只能通过实施一定预防措施,把风险威胁降低到一定程度,实现风险威胁可控、可以挽回损失。

因此,ERP系统规划和实施的首要目标是建立ERP系统的安全保障体系,以保护企业的信息资产的安全,建设技术和管理上的安全防护措施,提供用户身份认证、操作授权、网络安全检测和病毒攻击的防范等安全功能,以保护ERP系统中的硬件、软件及数据的安全稳定、完整有效和机密性,预防因恶意或偶然的原因使系统或数据信息遭到破坏、篡改和泄漏从而最终造成企业的严重经济损失。

“ERP系统安全项目要保护的资源包括ERP系统的软硬件资源和数据资源。硬件资源主要包括数据库服务器、应用服务器和客户端计算机,以及传输网络;软件资源包括服务器上的操作系统、数据库管理系统DBMs、应用服务器软件以及客户端计算机上的应用浏览器等。数据信息资源是ERP系统的最宝贵财富。”

2.安全防护体系建设的设计思路。

要构建一个完善的、高效的企业ERP系统安全体系结构,必须先制定一整套安全策略规划。安全策略是实施企业信息与网络安全体系的基础。

企业ERP系统要建设一个安全高效的安全防护体系,必须先制定有针对性的安全策略。ERP系统的“安全策略,是指在一个特定的环境里(安全区域),为保证提供一定级别的安全保护所必须遵守的一系列条例、规则。”

安全策略详细规定了ERP系统允许的各种安全活动和违规行为的惩罚措施,稳妥可行、细致周密的安全策略规划是成功建设安全防护设施的前提和基础。

“安全策略体系是指安全策略的建立、执行、审核、修订等;安全技术体系包括身份认证和授权、访问控制、数据的冗余备份、系统的监控、审计等;安全运作体系包括人员的组织建设、技术人员的工作内容和工作考核等。”

企业建设保障ERP系统安全的技术体系、运作体系应当与企业的安全目标和安全策略相一致。

企业ERP系统的安全体系建设,包括企业内部局域网的安全建设,与合作企业、分支机构联网的安全建设等。企业既要加强ERP系统的安全性,又不能以降低系统性能为代价。

3.安全防护体系的设计原则。

在工作流程上,“事前”,建立高安全的ERP系统,选择高安全应用服务协议,及时了解信息技术上、人员管理上的动态变化,修补系统漏洞,避免被恶意利用;。“事中”,针对各种不同的安全威胁,综合安全防火墙、入侵防护系统、系统自身的网络安全设置、数据库权限、操作规范、操作人员管理等多种手段进行防护;“事后”,实现保存系统工作日志,科学的备份策略,和事故应急预案等多策并举。具体设计原则主要有:

(1)在设计和规划ERP系统的安全防护设施之前,应当对信息安全技术的发展趋势和黑客攻击技术的最新变化,以及ERP技术的进展和可能面临的风险隐患有充分的了解,并提高相关的安全意识。

(2)企业应当了解所要实施的ERP系统的技术特点和实施的实际情况(包括系统构架、业务流程、功能环节及运行状况等),了解相关安全需求,基于系统工程理论对ERP系统的具体操作人员、硬件设备、软件平台、数据传输及存储、网络环境以及运行流程等环节进行定性和定量的综合分析,确认要重点防护的环节、面临的安全风险威胁,找出薄弱环节、缩小漏洞范围,由此制定安全目标和安全策略,做好事故应急预案和代价限度。

(3)ERP系统的安全防护设施是一个整体性、综合性的系统工程,不是某个安全技术措施单独能够防护的,任何一个微小的漏洞都会导致系统整体崩溃。在建设安全防护设施时应该将现有各种安全组件、管控措施有机地组合起来,优化配置,部署于ERP系统的正确的位置,协同配合,共同防护,由此全面、全方位地提高安全防护水准,提高了防护效率、效果,超越任何单一安全组件单打独斗式极低的防护效果。

(4)在设计规划安全防护设施时,应当使其适应企业目前业务活动特点、业务人员水平和满足ERP系统正常运行的要求,而且由于信息技术的发展,安全防护设施的建设也是一个循序渐进、不断完善的过程,因此,安全防护设施的建设要实现可用性、可靠性、可扩充性、完整性、机密性和可伸缩性间的全面结合。

(5)由于ERP系统面临的安全威胁是不断变化的,因此安全设施的建设应当根据安全目标、安全策略有序地组织起来,构建立体布局、流程化、动态化的安全防护体系。建设技术手段与管理体系的并重、进行流程控制的安全防护体系。

从技术层面上提高物理层、链路层、网络层、应用层等方面的安全防护技术手段,在管理体系上,制定严格的管理制度,建立科学的、严密的岗位分工与组织,并进行经常性的维护、检查。

(6)企业建设的安全防护体系应当有相应的、健全的评价规范和准则,可以进行定性定量的风险评估,可以汇总出整个ERP系统安全防护体系的整体结构和所采用的安全工具与措施,确定安全防护体系的建设是否实现了安全目标与安全策略。

关键字:ERP系统安全策略

本文摘自:e-works数字化企业网

x ERP运行中的安全问题与解决方案 扫一扫
分享本文到朋友圈
当前位置:企业应用软件ERP → 正文

ERP运行中的安全问题与解决方案

责任编辑:editor005 |来源:企业网D1Net  2017-02-23 15:10:41 本文摘自:e-works数字化企业网

一、ERP系统中的安全风险

由于ERP系统的复杂性,以及企业在建设维护ERP系统时受到的技术条件、人员素质等各种条件的限制,导致ERP系统存在多种安全风险。要加强ERP系统的安全风险防范工作,就需要正确识别ERP系统运行管理中存在的安全风险和成因。一般来说,ERP系统的安全风险主要有以下几个方面:

1.不可抗外力灾害的安全威胁。由于自然灾害、意外事故等不确定的客观原因造成如系统硬件的损坏、网络中断及数据丢失等的威胁。

2.管理疏忽导致的事故的安全威胁。由于企业管理不规范、不严谨,相关人员监管不力,用户身份认证及权限管理不严,操作人员误操作以及业务不熟练等主观原因造成的事故威胁。

3.系统缺陷导致事故的安全威胁。由于受构建企业ERP系统平台时的技术条件、网络产品、通信协议等方面限制,在硬件设备质量不过关、操作系统平台安全漏洞、服务器配置有误、系统设计缺陷、网络协议漏洞、缺乏有效监控手段等方面的安全隐患造成的事故威胁;

4.恶意攻击的安全威胁。企业内部员工或外界黑客和其他入侵者为了获得不当利益、窃取商业秘密、猎奇心理等恶意破坏行为造成的事故威胁。

5.其他因素造成的安全威胁。如系统故障、病毒和其他恶意软件的传播攻击、缺乏安全备份机制、数据基础资料不准确、系统维护力量投入不足等造成事故的威胁。其中,管理与技术方面的缺陷和黑客病毒的攻击是威胁ERP系统安全的的主要风险。

二、安全防护体系建设的安全策略

1.安全防护体系建设的设计目标。

由于目前信息技术发展的局限性,绝对安全是不存在的,最多只能通过实施一定预防措施,把风险威胁降低到一定程度,实现风险威胁可控、可以挽回损失。

因此,ERP系统规划和实施的首要目标是建立ERP系统的安全保障体系,以保护企业的信息资产的安全,建设技术和管理上的安全防护措施,提供用户身份认证、操作授权、网络安全检测和病毒攻击的防范等安全功能,以保护ERP系统中的硬件、软件及数据的安全稳定、完整有效和机密性,预防因恶意或偶然的原因使系统或数据信息遭到破坏、篡改和泄漏从而最终造成企业的严重经济损失。

“ERP系统安全项目要保护的资源包括ERP系统的软硬件资源和数据资源。硬件资源主要包括数据库服务器、应用服务器和客户端计算机,以及传输网络;软件资源包括服务器上的操作系统、数据库管理系统DBMs、应用服务器软件以及客户端计算机上的应用浏览器等。数据信息资源是ERP系统的最宝贵财富。”

2.安全防护体系建设的设计思路。

要构建一个完善的、高效的企业ERP系统安全体系结构,必须先制定一整套安全策略规划。安全策略是实施企业信息与网络安全体系的基础。

企业ERP系统要建设一个安全高效的安全防护体系,必须先制定有针对性的安全策略。ERP系统的“安全策略,是指在一个特定的环境里(安全区域),为保证提供一定级别的安全保护所必须遵守的一系列条例、规则。”

安全策略详细规定了ERP系统允许的各种安全活动和违规行为的惩罚措施,稳妥可行、细致周密的安全策略规划是成功建设安全防护设施的前提和基础。

“安全策略体系是指安全策略的建立、执行、审核、修订等;安全技术体系包括身份认证和授权、访问控制、数据的冗余备份、系统的监控、审计等;安全运作体系包括人员的组织建设、技术人员的工作内容和工作考核等。”

企业建设保障ERP系统安全的技术体系、运作体系应当与企业的安全目标和安全策略相一致。

企业ERP系统的安全体系建设,包括企业内部局域网的安全建设,与合作企业、分支机构联网的安全建设等。企业既要加强ERP系统的安全性,又不能以降低系统性能为代价。

3.安全防护体系的设计原则。

在工作流程上,“事前”,建立高安全的ERP系统,选择高安全应用服务协议,及时了解信息技术上、人员管理上的动态变化,修补系统漏洞,避免被恶意利用;。“事中”,针对各种不同的安全威胁,综合安全防火墙、入侵防护系统、系统自身的网络安全设置、数据库权限、操作规范、操作人员管理等多种手段进行防护;“事后”,实现保存系统工作日志,科学的备份策略,和事故应急预案等多策并举。具体设计原则主要有:

(1)在设计和规划ERP系统的安全防护设施之前,应当对信息安全技术的发展趋势和黑客攻击技术的最新变化,以及ERP技术的进展和可能面临的风险隐患有充分的了解,并提高相关的安全意识。

(2)企业应当了解所要实施的ERP系统的技术特点和实施的实际情况(包括系统构架、业务流程、功能环节及运行状况等),了解相关安全需求,基于系统工程理论对ERP系统的具体操作人员、硬件设备、软件平台、数据传输及存储、网络环境以及运行流程等环节进行定性和定量的综合分析,确认要重点防护的环节、面临的安全风险威胁,找出薄弱环节、缩小漏洞范围,由此制定安全目标和安全策略,做好事故应急预案和代价限度。

(3)ERP系统的安全防护设施是一个整体性、综合性的系统工程,不是某个安全技术措施单独能够防护的,任何一个微小的漏洞都会导致系统整体崩溃。在建设安全防护设施时应该将现有各种安全组件、管控措施有机地组合起来,优化配置,部署于ERP系统的正确的位置,协同配合,共同防护,由此全面、全方位地提高安全防护水准,提高了防护效率、效果,超越任何单一安全组件单打独斗式极低的防护效果。

(4)在设计规划安全防护设施时,应当使其适应企业目前业务活动特点、业务人员水平和满足ERP系统正常运行的要求,而且由于信息技术的发展,安全防护设施的建设也是一个循序渐进、不断完善的过程,因此,安全防护设施的建设要实现可用性、可靠性、可扩充性、完整性、机密性和可伸缩性间的全面结合。

(5)由于ERP系统面临的安全威胁是不断变化的,因此安全设施的建设应当根据安全目标、安全策略有序地组织起来,构建立体布局、流程化、动态化的安全防护体系。建设技术手段与管理体系的并重、进行流程控制的安全防护体系。

从技术层面上提高物理层、链路层、网络层、应用层等方面的安全防护技术手段,在管理体系上,制定严格的管理制度,建立科学的、严密的岗位分工与组织,并进行经常性的维护、检查。

(6)企业建设的安全防护体系应当有相应的、健全的评价规范和准则,可以进行定性定量的风险评估,可以汇总出整个ERP系统安全防护体系的整体结构和所采用的安全工具与措施,确定安全防护体系的建设是否实现了安全目标与安全策略。

关键字:ERP系统安全策略

本文摘自:e-works数字化企业网

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^