隨著市場規(guī)模的不斷發(fā)展,企業(yè)競爭已經(jīng)從單一企業(yè)間的競爭朝著企業(yè)供應(yīng)鏈之間的競爭發(fā)展。企業(yè)僅靠自身資源已經(jīng)無法有效地參與市場競爭,還必須把經(jīng)營過程中的有關(guān)各方納入一個緊密的供應(yīng)鏈中,才能有效地安排企業(yè)的產(chǎn)、供、銷活動,滿足企業(yè)利用全社會一切市場資源快速有效地進行生產(chǎn)經(jīng)營的需求,以期進一步提高效率和在市場上獲得競爭優(yōu)勢。針對這一需求,企業(yè)紛紛引進ERP系統(tǒng),構(gòu)建企業(yè)信息化平臺。當(dāng)前ERP系統(tǒng)是泛指針對物資資源管理、人力資源管理、財務(wù)資源管理、信息資源管理集成一體化的企業(yè)管理軟件。ERP系統(tǒng)實現(xiàn)了對整個企業(yè)供應(yīng)鏈的管理,適應(yīng)了企業(yè)在知識經(jīng)濟時代市場競爭的需要。鑒于ERP系統(tǒng)的巨大優(yōu)勢,目前絕大多數(shù)大型企業(yè)均實現(xiàn)了ERP系統(tǒng)的部署實施。然而,由于互聯(lián)網(wǎng)上存在大量的網(wǎng)絡(luò)攻擊、木馬、蠕蟲等網(wǎng)絡(luò)安全威脅,而ERP系統(tǒng)的正常運行依賴于大量的網(wǎng)絡(luò)傳輸、數(shù)據(jù)處理和消息交互,這就阻礙了ERP系統(tǒng)的應(yīng)用與實施。因此,研究ERP系統(tǒng)所面對的安全威脅并采取相應(yīng)措施進行規(guī)避是一項非常重要的課題。
一、ERP系統(tǒng)信息安全威脅
安全問題的產(chǎn)生是一個非常復(fù)雜的問題,包含了多種因素的相互作用?偨Y(jié)起來,企業(yè)ERP系統(tǒng)所面臨的信息安全威脅主要包括來自以下幾個方面的內(nèi)容:
(一)ERP網(wǎng)絡(luò)應(yīng)用的威脅。來自網(wǎng)絡(luò)層面的威脅主要來自遠程訪問企業(yè)內(nèi)部系統(tǒng)所造成的信息泄漏隱患。隨著企業(yè)規(guī)模的不斷擴展,對外的銷售和物流網(wǎng)絡(luò)也隨之?dāng)U大,出差的業(yè)務(wù)員和某些客戶經(jīng)常需要在異地遠程訪問企業(yè)網(wǎng)絡(luò)資源。為此,ERP專門提供了B/S的訪問模式,使得異地用戶能夠使用瀏覽器通過虛擬專用網(wǎng)絡(luò)VPN訪問公司內(nèi)部資源。由于異地訪問行為不受約束,泄密行為時有發(fā)生,有些價值較高的商業(yè)機密有可能流失,比如企業(yè)產(chǎn)品的底價、設(shè)計圖紙等等。
此外,內(nèi)部網(wǎng)絡(luò)的竊聽行為也給ERP系統(tǒng)的安全使用造成威脅。ERP系統(tǒng)應(yīng)用時,其服務(wù)器端與客戶端數(shù)據(jù)的傳輸,都是通過明文傳輸?shù),用戶只需要在網(wǎng)絡(luò)上安裝一個監(jiān)聽軟件,就可以全面的了解用戶訪問的內(nèi)容,跳過客戶端的權(quán)限設(shè)置,從而達到網(wǎng)絡(luò)數(shù)據(jù)竊聽的目的。
(二)ERP系統(tǒng)應(yīng)用的威脅。如果ERP系統(tǒng)本身管理不當(dāng),也會存在數(shù)據(jù)泄露的危險。從ERP系統(tǒng)的角度出發(fā),主要的安全威脅就是權(quán)限配置不當(dāng)所造成的。這類威脅主要在于敏感數(shù)據(jù)缺乏分級管理機制,比如某個報表,只要有查看權(quán)限的都能夠看到全部信息,并且能夠?qū)С觯@就給敏感數(shù)據(jù)造成了很大的威脅。
此外,很多員工的終端系統(tǒng)密碼設(shè)置較為簡單,大多使用生日或者電話,有的甚至使用“12345”等簡單數(shù)字作為密碼,這類密碼強度不高,容易被破解。
(三)ERP系統(tǒng)漏洞的威脅。ERP系統(tǒng)的構(gòu)建需要大量的軟硬件系統(tǒng),涉及到網(wǎng)絡(luò)傳輸、Web瀏覽以及服務(wù)總線等多方面的技術(shù),這些技術(shù)的實現(xiàn)需要大量的軟件,軟件不可避免存在一些已知或者未知的漏洞。黑客能夠利用這些漏洞獲取ERP服務(wù)器的權(quán)限,從而擾亂系統(tǒng)的正常運行,并竊取重要的商業(yè)機密。
二、ERP信息安全保障措施
ERP系統(tǒng)的安全拿火重要,為了保障ERP系統(tǒng)在應(yīng)用中的信息安全,針對上述三類威脅,具體來說有以下幾種方法進行應(yīng)對:
(一)網(wǎng)絡(luò)傳輸安全保障。ERP系統(tǒng)的傳輸安全可以從兩方面進行強化。1.對于遠程訪問權(quán)限采用指紋、密碼等多種身份識別機制,同時限制遠程訪問行為所能夠接觸到資源的數(shù)量,在保障業(yè)務(wù)的同時避免泄密;2.對數(shù)據(jù)報表采用嵌入水印的方式進行保護,比如一份報表如果事后被發(fā)現(xiàn)竊密了,可以通過水印的方式檢測出其相關(guān)信息,并結(jié)合ERP日志進行輔助案件偵破。
(二)信息應(yīng)用安全保障。ERP信息應(yīng)用安全保障主要包括對重要數(shù)據(jù)進行分級管理,同時對所有合法用戶進行分級,確定他們所能訪問的數(shù)據(jù)級別和類型。比如某個員工只具有中級數(shù)據(jù)訪問權(quán)限,而某個報表的一些屬性項是高密級,它就無法查看該屬性項,而只能看到其他低密級選項。
(三)系統(tǒng)漏洞安全保障。ERP系統(tǒng)的漏洞修復(fù)工作主要依賴專業(yè)測評機構(gòu)的工作。通過定期安會測評,管理員能夠發(fā)現(xiàn)系統(tǒng)中存在的軟硬件漏洞,并及時采取相應(yīng)措施進行修補。同時在配置上的問題也要依賴系統(tǒng)管理員的經(jīng)驗,盡量少開放端口,并且保證一些安全的服務(wù)必須受限。比如一些微軟公告所描述的信息往往包含ERP涉及軟件的漏洞,需要立即進行修補。因此,管理員的安令意識也需要進一步提高。
三、結(jié)束語
ERP系統(tǒng)的廣泛應(yīng)用是信息化推進和企業(yè)市場規(guī)模發(fā)展到一定階段的產(chǎn)物。如何在利用ERP帶來的企業(yè)運營和管理便利的同時,盡可能避免安全威脅,是在ERP系統(tǒng)應(yīng)用過程中需要詳細考慮的問題。隨著信息安全技術(shù)的不斷發(fā)展,不斷有新的威脅會出現(xiàn),也需要ERP系統(tǒng)進一步提高安全意識,防范可能的網(wǎng)絡(luò)攻擊行為。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:互聯(lián)網(wǎng)環(huán)境下ERP信息安全問題研究
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10820223789.html