erp信息系统的安全防护措施

手册/FAQ (616) 2015-12-02 13:50:11

一、ERP系统信息安全威胁

       安全问题的产生是一个非常复杂的问题,包含了多种因素的相互作用。总结起来,企业ERP系统所面临的信息安全威胁主要包括来自以下几个方面的内容:

(一)ERP网络应用的威胁。来自网络层面的威胁主要来自远程访问企业内部系统所造成的信息泄漏隐患。随着企业规模的不断扩展,对外的销售和物流网络也随之扩大,出差的业务员和某些客户经常需要在异地远程访问企业网络资源。为此,ERP专门提供了B/S的访问模式,使得异地用户能够使用浏览器通过虚拟专用网络访问公司内部资源。由于异地访问行为不受约束,泄密行为时有发生,有些价值较高的商业机密有可能流失,比如企业产品的底价、设计图纸等等。

此外,内部网络的窃听行为也给ERP系统的安全使用造成威胁。ERP系统应用时,其服务器端与客户端数据的传输,都是通过明文传输的,用户只需要在网络上安装一个监听软件,就可以全面的了解用户访问的内容,跳过客户端的权限设置,从而达到网络数据窃听的目的。

(二)ERP系统应用的威胁。如果ERP系统本身管理不当,也会存在数据泄露的危险。从ERP系统的角度出发,主要的安全威胁就是权限配置不当所造成的。这类威胁主要在于敏感数据缺乏分级管理机制,比如某个报表,只要有查看权限的都能够看到全部信息,并且能够导出,这就给敏感数据造成了很大的威胁。

此外,很多员工的终端系统密码设置较为简单,大多使用生日或者电话,有的甚至使用“12345”等简单数字作为密码,这类密码强度不高,容易被破解。

(三)ERP系统漏洞的威胁。ERP系统的构建需要大量的软硬件系统,涉及到网络传输、Web浏览以及服务总线等多方面的技术,这些技术的实现需要大量的软件,软件不可避免存在一些已知或者未知的漏洞。黑客能够利用这些漏洞获取ERP服务器的权限,从而扰乱系统的正常运行,并窃取重要的商业机密。

二、ERP信息安全保障措施

ERP系统的安全拿火重要,为了保障ERP系统在应用中的信息安全,针对上述三类威胁,具体来说有以下几种方法进行应对:

(一)网络传输安全保障。ERP系统的传输安全可以从两方面进行强化。1.对于远程访问权限采用指纹、密码等多种身份识别机制,同时限制远程访问行为所能够接触到资源的数量,在保障业务的同时避免泄密;2.对数据报表采用嵌入水印的方式进行保护,比如一份报表如果事后被发现窃密了,可以通过水印的方式检测出其相关信息,并结合ERP日志进行辅助案件侦破。

(二)信息应用安全保障。ERP信息应用安全保障主要包括对重要数据进行分级管理,同时对所有合法用户进行分级,确定他们所能访问的数据级别和类型。比如某个员工只具有中级数据访问权限,而某个报表的一些属性项是高密级,它就无法查看该属性项,而只能看到其他低密级选项

(三)系统漏洞安全保障。ERP系统的漏洞修复工作主要依赖专业测评机构的工作。通过定期安会测评,管理员能够发现系统中存在的软硬件漏洞,并及时采取相应措施进行修补。同时在配置上的问题也要依赖系统管理员的经验,尽量少开放端口,并且保证一些安全的服务必须受限。比如一些微软公告所描述的信息往往包含ERP涉及软件的漏洞,需要立即进行修补。因此,管理员的安令意识也需要进一步提高。

三、结束语

       ERP系统的广泛应用是信息化推进和企业市场规模发展到一定阶段的产物。如何在利用ERP带来的企业运营和管理便利的同时,尽可能避免安全威胁,是在ERP系统应用过程中需要详细考虑的问题。随着信息安全技术的不断发展,不断有新的威胁会出现,也需要ERP系统进一步提高安全意识,防范可能的网络攻击行为。

THE END