ERP系统的数据安全
隨著ERP系統的普及和涉及的范圍越來越廣,ERP系統的數據安全也越來越被重視,很多關系到企業生命的機密信息都被存儲在ERP系統中。因此,ERP系統使用不當,就可能造成數據的泄露和丟失。那么,ERP系統有哪些安全問題呢?如果保證數據的安全性呢?
一、來自網絡層面的威脅
從網絡層面來說,ERP數據安全所遭受到的威脅主要來自于兩個方面。一是外部訪問授權不夠規范;二是在內部網絡上可能存在竊聽。
1、外部訪問授權不夠規范
ERP為了擴大使用領域,滿足不斷出差員工的需要,逐漸的向B/S模式發展。而這個模式最大的優點,就是可以很方便的提供外部的訪問。即員工出差在外,也可以通過瀏覽器很方便的訪問到內部的ERP系統。這雖然給我們的工作帶了很大的便利,拓展了ERP系統的使用空間。但是,勿庸質疑,也給我們系統帶來了很大的安全威脅。
一是在企業外部使用系統,受不到有效的管理。如采購員出差在外,若稍有一點私心,就可以跟供應商勾結,把公司近期的采購計劃、其他供應商的價格等等,都可以通過外部訪問ERP系統的形式,告訴給供應商,使得企業喪失采購的主動權。
由于出差在外的員工使用系統受不到有效管理,所以類似的情況時有發生。所以,對于外部訪問,我們一方面要嚴格管理外部訪問的人數,哪些人具有外部訪問的權限,我們還要有嚴格的限制;另一方面,遠程訪問的用戶最好能夠單獨管理,特別是其密碼要不斷的變更,以防止不小心把用戶名與密碼泄露給其他公司的人員。也就是說,在員工電腦上,掛著一個密碼生成器,這個是與ERP服務器同步的,一般在十分種左右,服務器就會重新生成一個用戶名與密碼,然后在員工的密碼生成器上,也會同時生成用戶名與密碼。因為兩者生成的規則是一樣的,所以,員工可以用密碼生成器上的用戶名與密碼登陸ERP系統。這樣就可以解決在外面使用ERP系統的密碼泄露問題。
二是在特定的情況下,或許會給客戶一些遠程訪問的權限,若這個權限設置不當的話,則很可能把一些客戶不能訪問的信息也提供給他們/。
現在隨著信息化管理在企業中的地位不斷加強,有些客戶會主動要求他們的供應商使用ERP系統,并提供網絡訪問的接口,讓他們可以通過網絡實時的了解他們定單的進展。如此企業不得不給他們提供ERP用戶,讓他們進行遠程的訪問。但是,這里就存在一個安全的威脅,若我們權限設置不當 的話,客戶就可以訪問到企業一些機密信息,如產品成本等等。
所以,如在客戶的強烈要求下,要提供他們ERP系統的遠程訪問權限時,我們一定要注意,權限的設置問題。不能夠讓他們訪問一些不該訪問的數據。我的建議是,遇到這種情況時,要對這個用戶訪問的數據進行監測,看看其訪問了哪些數據,有沒有存在非法訪問的情形。若有的話,要及時進行調整。現在很多ERP系統都已經有了針對用戶的訪問記錄功能。利用這個功能,可以有效的管理用戶的訪問權限。
2、內部網絡上可能存在竊聽
從網絡層面上考慮,除了這個外部訪問管理不當存在數據泄露的危險外,還有一個很大的安全漏洞就是網絡竊聽的問題。現在大部分的ERP系統,其服務器端與客戶端數據的傳輸,都是通過明文傳輸的。用戶只需要在網絡上安裝一個監聽軟件,就可以全面的了解用戶訪問的內容,跳過客戶端的權限設置,從而達到網絡數據竊聽的目的。
雖然網絡竊聽可能在技術上要求比較高,但是,現在隨著黑客工具在網絡上的泛濫,所以,要完成這項竊聽的工作,難度也不是很大。我相信,只需要對隨便一個員工進行半個小時的培訓,其就可以掌握這門手藝,從而完成對ERP數據竊聽的工作。
所以,與其到數據泄露了,再來追查責任,還不如在剛開始的時候,就防范與未然,解決數據泄露的漏洞。
為了解決數據在網絡傳輸過程中的竊聽問題,最好的方法,就是要求在ERP數據在傳輸過程中,是加密過的,是通過密文傳輸,而不是明文傳輸。如此,員工及時竊聽到數據,也是亂碼,沒有多少的實際價值。
所以,我們若有這方面的擔心,則最好在ERP系統選擇的時候,就要有這方面的考慮。要求ERP供應商提供的系統,在數據訪問的是時候,在網絡上傳輸是加密過的數據,而不是簡單的明文傳輸。這個技術,現在已經比較成熟。只是以前很多ERP供應商沒有注意到這個問題,所以,沒有把這個技術跟ERP系統結合起來。故,我們若是要選擇ERP數據在網絡傳輸過程中,實現加密技術,那我們ERP系統的選擇范圍余地可能會小許多。
但是,若企業現在已經在使用ERP系統了,而現在用的這套系統,不提供網絡數據傳輸的加密功能。那我們又該如何來保障數據在網絡傳輸過程中的安全問題呢?我們可以利用專門的加密技術,實現在網絡傳輸過程中,數據的加密功能。如微軟提供了一種IP安全策略。利用這種技術,可以實現客戶端與服務器之間的密文傳輸。當然除了微軟的IP安全策略以外,還有其他的一些網絡傳輸加密方法,用戶可以根據自己的需要,進行選擇使用。
二、來自ERP系統的威脅
如果ERP系統本身管理不當,也會存在數據泄露的危險。從ERP系統的角度出發,主要的安全威脅就是權限配置不當所造成的。
一是價格權限配置不當。價格對于企業來說,基本上都是敏感數據。所以,我們在EPR中設置權限時,要從價格開始。
二是報表方面導出設置不當。報表上面匯集了很多重要的信息,而且,報表可以隨便導出來的話,則信息將會無隱私。所以,在報表的導出權限上,我們要進行特殊的限制。不能讓每個用戶都可以隨便的導出報表。一般可以讓用戶只能夠查看報表,而無法導出報表,這是原則。如果用戶真的有導出報表的需求,那就要申請。特別是對一些敏感數據的報表,如客戶信息、產品價格等等,一般都可以把報表導出功能屏蔽掉。只有當需要的時候,再由管理員導出。
三是用戶名密碼設置過于簡單。
我見過一些用戶,他們密碼設置太過與簡單,這導致其他用戶很方便就可以猜到密碼。這直接的結果就是,其他用戶若自己沒有權限,則可以利用有權限的用戶進行系統訪問。因為由于密碼簡單,他們知道其他用戶的訪問密碼。如我有一家客戶,在設置用戶名與密碼的時候,用戶名就是他們的員工編號,而密碼呢,都是統一的,如123456。如此的用戶名與密碼,即使權限設置的再完美,也是沒有用的。用戶可以輕而易舉的獲得別人的用戶名與密碼,如此,在自己沒有權限的情況下,他們有可以利用其他有權限的用戶,進行系統登陸與訪問。如此的話,權限設置不等于形同虛設嗎?所以,在用戶名與密碼設置的時候,一定要科學。用戶名可以根據他們的員工編號編寫,但是,密碼設置的時候,一定要復雜一點,不能讓人猜得透;并且,最好采用密碼定期修改策略,讓用戶定期的修改密碼,防止密碼泄露。
-----------------------------------------------------------------------
從企業發展的長遠角度來看,要想持續健康運營,為未來企業更好的發展甚至為上市做準備,就必須有安全的ERP數據,那么如何讓ERP系統的數據更加安全呢?
1、制定ERP系統數據標準
ERP系統數據要求應該是怎么樣的?哪些是關鍵數據為必填項?填寫的規范要求是什么樣的?應該多長時間填寫一次?應該由誰來填?填寫的時候會有哪幾個場景?等等這一切都需要明確!由于ERP軟件中涉及到的數據千千萬萬,不可能把所有數據都列進來,因此在這里需要列舉的一定是涉及到企業運營核心的幾個數據,而這幾個數據的輸出都應該是直接和企業的運營管理指標直接相關的,只有這樣才能確保效果。
2、制定ERP系統數據驗證策略
如何驗證ERP系統內數據是正確的呢?在這里一定需要有一個校驗機制,如:總額校驗、分項數據校驗、相關數據校驗、人工校驗等多種方式,只有確定了數據驗證策略,才可以考慮把這些驗證策略做成數據驗證工具,通過系統進行自動化檢驗,大大提高數據校驗的效率。
3、制定ERP系統數據安檢機制
需要確定數據安檢的周期,是一周檢查一次,還是一個月查一次,或者是季度、半年?哪些數據是需要一個月查一次的?哪些數據是季度或一年才查一次的?隨著業務類型的不同,數據的安檢周期也應該是不同的。另外,數據安檢是由企業自行來完成,還是作為軟件服務商的增值服務來完成,還和企業的預算、人員編制、服務商能力、雙方的合作深度有著直接關系。
4、制定數據安檢之后的改進措施
數據有問題了怎么辦?整改呀。怎么改?是軟件問題,還是操作問題,或者是業務規則與流程的問題?都需要對問題進行仔細分析,并將問題落實到責任人頭上,推動改進。只有這樣才能夠把系統越用越順暢,而系統中的數據也能夠越來越準確,越來越及時。
總結
以上是生活随笔為你收集整理的ERP系统的数据安全的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ERP系统能给企业带来的那些好处
- 下一篇: erp系统服务器性能指标,ERP系统体检