試論ERP系統(tǒng)安全問題及五大對策

2013-11-27 16:05:21 北極星電力信息化網　點擊量：評論 (0)

一、ERP系統(tǒng)中的安全風險由于ERP系統(tǒng)的復雜性，以及企業(yè)在建設維護ERP系統(tǒng)時受到的技術條件、人員素質等各種條件的限制，導致ERP系統(tǒng)存在多種安全風險。要加強ERP系統(tǒng)的安全風險防范工作，就需要正確識別ERP系統(tǒng)

(2)企業(yè)應當了解所要實施的ERP系統(tǒng)的技術特點和實施的實際情況(包括系統(tǒng)構架、業(yè)務流程、功能環(huán)節(jié)及運行狀況等)，了解相關安全需求，基于系統(tǒng)工程理論對ERP系統(tǒng)的具體操作人員、硬件設備、軟件平臺、數(shù)據(jù)傳輸及存儲、網絡環(huán)境以及運行流程等環(huán)節(jié)進行定性和定量的綜合分析，確認要重點防護的環(huán)節(jié)、面臨的安全風險威脅，找出薄弱環(huán)節(jié)、縮小漏洞范圍，由此制定安全目標和安全策略，做好事故應急預案和代價限度。

(3)ERP系統(tǒng)的安全防護設施是一個整體性、綜合性的系統(tǒng)工程，不是某個安全技術措施單獨能夠防護的，任何一個微小的漏洞都會導致系統(tǒng)整體崩潰。在建設安全防護設施時應該將現(xiàn)有各種安全組件、管控措施有機地組合起來，優(yōu)化配置，部署于ERP系統(tǒng)的正確的位置，協(xié)同配合，共同防護，由此全面、全方位地提高安全防護水準，提高了防護效率、效果，超越任何單一安全組件單打獨斗式極低的防護效果。

(4)在設計規(guī)劃安全防護設施時，應當使其適應企業(yè)目前業(yè)務活動特點、業(yè)務人員水平和滿足ERP系統(tǒng)正常運行的要求，而且由于信息技術的發(fā)展，安全防護設施的建設也是一個循序漸進、不斷完善的過程，因此，安全防護設施的建設要實現(xiàn)可用性、可靠性、可擴充性、完整性、機密性和可伸縮性間的全面結合。

(5)由于ERP系統(tǒng)面臨的安全威脅是不斷變化的，因此安全設施的建設應當根據(jù)安全目標、安全策略有序地組織起來，構建立體布局、流程化、動態(tài)化的安全防護體系。建設技術手段與管理體系的并重、進行流程控制的安全防護體系。

從技術層面上提高物理層、鏈路層、網絡層、應用層等方面的安全防護技術手段，在管理體系上，制定嚴格的管理制度，建立科學的、嚴密的崗位分工與組織，并進行經常性的維護、檢查。

(6)企業(yè)建設的安全防護體系應當有相應的、健全的評價規(guī)范和準則，可以進行定性定量的風險評估，可以匯總出整個ERP系統(tǒng)安全防護體系的整體結構和所采用的安全工具與措施，確定安全防護體系的建設是否實現(xiàn)了安全目標與安全策略。

三、安全防護體系建設的措施

1.重視基礎設施建設，合理設置信息安全架構。

應依據(jù)ERP系統(tǒng)的特點和確定的安全目標、安全策略以建設一個合理的、完善的安全架構體系，根據(jù)系統(tǒng)的功能特點和面l臨的安全風險，合理地劃分安全區(qū)域，統(tǒng)一規(guī)劃安全設施、網絡設施、共享的信息資源范圍等，增強對網絡的監(jiān)控。

根據(jù)職能和部門、內網和外網的不同，對網絡、系統(tǒng)平臺之間進行合理、有效的區(qū)域隔離和訪問控制，實現(xiàn)“應用分區(qū)、安全分級、網絡分層”，對核心設備、核心環(huán)節(jié)的安全進行重點防護，從而實現(xiàn)ERP系統(tǒng)的安全目標、規(guī)避和控制安全風險。

根據(jù)安全的等級，網絡環(huán)境和具體模塊功能的不同，ERP系統(tǒng)的安全防護區(qū)域可以具體劃分為：網絡核心區(qū)、服務器接人區(qū)、辦公網接入區(qū)、網絡安全監(jiān)控管理區(qū)、廣域網接人區(qū)、外聯(lián)網接入區(qū)，區(qū)域間使用安全技術設備加以隔離。

對用戶的工作域及用戶名稱和權限，應按職能和部門的不同進行規(guī)范，統(tǒng)一設置，加以區(qū)別。

2.加強系統(tǒng)平臺安全防護措施，保證網絡和設備的安全。

根據(jù)安全目標和安全體系構架的要求，根據(jù)最新技術進展，對ERP系統(tǒng)平臺進行二次開發(fā)和系統(tǒng)補丁升級，增加相關的實時監(jiān)測、控制功能，及時進行漏洞、木馬病毒、對外重要接口的安全掃描和修補工作，由此完善軟件、硬件的安全功能。同時，統(tǒng)一規(guī)劃并加強以下幾方面的安全控制：身份認證、操作權限管理、訪問控制、信息保密及完整、系統(tǒng)實時監(jiān)控及日志記錄，對于所開放的權限和系統(tǒng)服務按照滿足生產操作所需的最小程度嚴格限定，從源頭上預防安全風險，保證網絡和設備的安全、完整、準確。對于二次開發(fā)的軟件、硬件必須經過安全檢測才可投入運行。

對于外網遠程訪問ERP系統(tǒng)內數(shù)據(jù)庫，一般采用虛擬專用網(VPN)技術，通過安全加密通道連接傳輸，增強保密和認證作用，防止重要數(shù)據(jù)在傳輸線路上被截取。

3.設立防火墻和入侵檢測系統(tǒng)，加強訪問控制和對木馬病毒、惡意攻擊等的防范。

ERP系統(tǒng)服務器所用的防火墻采用軟硬件結合的方式，軟件防火墻一般只起到數(shù)據(jù)包過濾、系統(tǒng)運行監(jiān)控以及服務器工作狀態(tài)監(jiān)控等，硬件防火墻將軟件防火墻集成在硬件設備內，通過專門的安全控制芯片與軟件協(xié)調