鐵肩擔(dān)道義企業(yè)ERP系統(tǒng)的安全使命

1、鐵肩擔(dān)道義企業(yè)erp系統(tǒng)的安全使命 erp系統(tǒng)就像企業(yè)的“黑匣子”，內(nèi)部涵蓋了應(yīng)用企業(yè)最關(guān)鍵和最敏感的信息資源。為此，如何在開展應(yīng)用的基礎(chǔ)上確保安全，一直是erp部署中的最大挑戰(zhàn)。 安全刻不容緩 erp的特點(diǎn)是大而全，使用者可以從中查找出一個(gè)企業(yè)的組織架構(gòu)、管理理念、客戶資源、人力資源組成、企業(yè)產(chǎn)能、銷售渠道、合作伙伴、競爭對手等方方面面的信息。正因?yàn)槿绱?，建立信息安全管理機(jī)制、保護(hù)erp的安全已經(jīng)迫在眉睫。有專家建議，在erp應(yīng)用過程中，信息安全應(yīng)成為業(yè)界關(guān)注的焦點(diǎn)和亟待解決的問題。 然而，目前許多企業(yè)在探討、推廣erp項(xiàng)目建設(shè)的時(shí)候，沒有建立事故災(zāi)難的預(yù)見與應(yīng)對機(jī)制，經(jīng)常難以有效考慮信息安

2、全的要求，往往忽視了erp系統(tǒng)信息安全的建設(shè)問題。無論是erp系統(tǒng)的產(chǎn)品供應(yīng)商、實(shí)施服務(wù)商、還是第三方咨詢機(jī)構(gòu)，也都對erp系統(tǒng)功能傾入過多的關(guān)注，而對涉及erp信息安全問題大都輕描淡寫。 同時(shí)，由于erp系統(tǒng)的實(shí)施過程相對較為復(fù)雜，廠商技術(shù)力氣有限，在實(shí)施過程中也難于建立有效的erp系統(tǒng)信息安全管理機(jī)制，使erp處于整個(gè)企業(yè)信息安全管理最為薄弱的環(huán)節(jié)。而完善牢靠的信息安全管理是影響erp系統(tǒng)成功實(shí)施的中心環(huán)節(jié)，假如不能對erp系統(tǒng)的信息安全問題施以有效的管控，不但可能增加系統(tǒng)的實(shí)施成本，還可能很大程度地限制系統(tǒng)功能的充分應(yīng)用，最終使erp建設(shè)事倍功半甚至功虧一匱，甚至有可能導(dǎo)致我國erp項(xiàng)目

3、建設(shè)成功率不到35%。 erp的安全總結(jié) 可以說，隨著erp系統(tǒng)在國內(nèi)企業(yè)的普遍應(yīng)用，erp的安全問題日益暴露出來，而且日漸嚴(yán)重?？偨Y(jié)其產(chǎn)生的原因，主要如下：第一，物理環(huán)境。主要為水、火、供電等災(zāi)難以及人員的使用、決策、掌握等水平低下；第二，系統(tǒng)硬件，主要為監(jiān)測和掌握設(shè)備、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、連接線等有缺陷；第三，系統(tǒng)軟件。主要為計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、服務(wù)器等缺陷；第四，應(yīng)用軟件。主要為erp系統(tǒng)自身的設(shè)計(jì)缺陷、技術(shù)薄弱等所致；第五，外來侵入。主要為病毒、黑客等篡改和破壞；第六，內(nèi)部濫用。主要為操作失誤、人為破壞、內(nèi)部作案等。 在信息化應(yīng)用快速普及的今日，尤其是基于internet

4、能多方內(nèi)外遠(yuǎn)程訪問的erp系統(tǒng)時(shí)刻會(huì)遭遇到病毒、黑客甚至競爭對手獲取、篡改和破壞的風(fēng)險(xiǎn)，稍有不慎，就會(huì)給企業(yè)帶來巨大損失。因此，如何兼顧erp系統(tǒng)的安全與高效，增加企業(yè)識別、防止、削減和掌握組織信息安全風(fēng)險(xiǎn)的管控能力，建立安全牢靠、行之有效的安全管理系統(tǒng)與機(jī)制，正成為企業(yè)信息化建設(shè)的頭等大事，也是眾多企業(yè)面臨的一大難題。 四大重點(diǎn) erp信息系統(tǒng)安全應(yīng)當(dāng)包括實(shí)體安全、信息安全、運(yùn)行安全和人身安全四大內(nèi)容。其中，實(shí)體安全是指有關(guān)保護(hù)計(jì)算機(jī)設(shè)備、基礎(chǔ)設(shè)施（含網(wǎng)絡(luò)）以及其他設(shè)施免遭自然和人為破壞的措施、過程。信息安全是指防止信息被故意的或偶然的非法授權(quán)泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、掌握的措

5、施和過程；運(yùn)行安全是指系統(tǒng)風(fēng)險(xiǎn)管理、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急四個(gè)方面的措施和內(nèi)容；人身安全主要是指系統(tǒng)使用、管理人員的安全意識、法律意識、安全技能等表現(xiàn)。 建立erp系統(tǒng)安全管理機(jī)制為的是在企業(yè)erp信息系統(tǒng)工程項(xiàng)目建設(shè)過程中，保證用戶企業(yè)信息系統(tǒng)在可用性、保密性、完整性與erp信息系統(tǒng)工程的可維護(hù)性技術(shù)環(huán)節(jié)上沒有沖突；在掌握投資的前提下，確保信息系統(tǒng)安全設(shè)計(jì)上沒有漏洞；督促企業(yè)的erp信息系統(tǒng)管理人員、應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理，時(shí)刻建立安全意識；監(jiān)督承建單位根據(jù)技術(shù)標(biāo)準(zhǔn)和建設(shè)方案實(shí)施，檢查承建單位是否存在設(shè)計(jì)過程中的非安全隱患行為或現(xiàn)象等。 策略與技術(shù) er

6、p安全至關(guān)重要。對廣闊企業(yè)來說，建立一個(gè)運(yùn)行牢靠、合理經(jīng)濟(jì)的信息安全管理體系是非常必要的。在如何建立信息安全管理體系上，雖有多種技術(shù)方法和手段， 其詳細(xì)細(xì)節(jié)更是林林總總，但根本方法是要建立健全的erp信息安全管理制度和采用相應(yīng)的基本策略與主要技術(shù)，通過制度和手段的有機(jī)結(jié)合，以達(dá)到最佳的信息安全管理效果。 第一是建立erp安全風(fēng)險(xiǎn)預(yù)估與掌握機(jī)制，這是信息安全管理體系的第一步。利用“失誤模型及后果分析法”技術(shù)，預(yù)見、發(fā)覺系統(tǒng)中每一個(gè)環(huán)節(jié)所產(chǎn)生的（或潛在的）失誤條件，為erp系統(tǒng)持續(xù)安全運(yùn)行削減風(fēng)險(xiǎn)隱患。另外，做好一個(gè)完善的初始化建立和運(yùn)作的實(shí)施也很重要。 第二是建立erp安全防護(hù)策略與制度，通過確

7、定關(guān)鍵信息、崗位配置、工作人員的權(quán)限，明確企業(yè)erp信息的使用范圍和處理方式。保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施，防止病毒、黑客等入侵、篡改和破壞，監(jiān)督管理員、應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理。 第三是做好erp安全防護(hù)技術(shù)的全面實(shí)施，主要是服務(wù)器安全掌握、登錄安全掌握、數(shù)據(jù)庫安全掌握三大項(xiàng)的全面實(shí)施。這是對信息安全防護(hù)策略與制度執(zhí)行狀況的監(jiān)控手段，是維護(hù)信息安全管理體系的保障。信息安全防護(hù)技術(shù)是信息安全管理體系中的一個(gè)重要環(huán)節(jié)，是信息安全防護(hù)制度和策略的重要執(zhí)行和保證手段。 第四是做好erp安全防護(hù)效果分析總結(jié)與評估，這是為完善今后動(dòng)態(tài)信息安全管理體系供應(yīng)必要的依據(jù)?！俺砸粔q長一智”，通過信息安全管理效果分析和評估，可以不斷發(fā)覺新的安全漏洞和隱患，進(jìn)一步完善信息安全防護(hù)策略和制度。 當(dāng)然，任何道理都是相對的，erp信息安全也是一個(gè)相對概念，沒有肯定的安全。既不能因過分強(qiáng)調(diào)系統(tǒng)功能而忽視安全性，也不能因?yàn)檫^分強(qiáng)調(diào)系統(tǒng)安全而大幅度降低系統(tǒng)運(yùn)行質(zhì)量和效率。妥當(dāng)處理信息安全與運(yùn)行質(zhì)量、效能的關(guān)系，兼顧erp系統(tǒng)的安全與高效，進(jìn)一步規(guī)范系統(tǒng)運(yùn)行規(guī)則，建立符合標(biāo)準(zhǔn)與