隨著ERP系統(tǒng)的普及和涉及的范圍越來越廣，ERP系統(tǒng)的數(shù)據(jù)安全也越來越被重視，很多關系到企業(yè)生命的機密信息都被存儲在ERP系統(tǒng)中。因此，ERP系統(tǒng)使用不當，就可能造成數(shù)據(jù)的泄露和丟失。那么，ERP系統(tǒng)有哪些安全問題呢？如果保證數(shù)據(jù)的安全性呢？

一、來自網(wǎng)絡層面的威脅

從網(wǎng)絡層面來說，ERP數(shù)據(jù)安全所遭受到的威脅主要來自于兩個方面。一是外部訪問授權不夠規(guī)范；二是在內部網(wǎng)絡上可能存在竊聽。

1、外部訪問授權不夠規(guī)范

ERP為了擴大使用領域，滿足不斷出差員工的需要，逐漸的向B／S模式發(fā)展。而這個模式最大的優(yōu)點，就是可以很方便的提供外部的訪問。即員工出差在外，也可以通過瀏覽器很方便的訪問到內部的ERP系統(tǒng)。這雖然給我們的工作帶了很大的便利，拓展了ERP系統(tǒng)的使用空間。但是，勿庸質疑，也給我們系統(tǒng)帶來了很大的安全威脅。

一是在企業(yè)外部使用系統(tǒng)，受不到有效的管理。如采購員出差在外，若稍有一點私心，就可以跟供應商勾結，把公司近期的采購計劃、其他供應商的價格等等，都可以通過外部訪問ERP系統(tǒng)的形式，告訴給供應商，使得企業(yè)喪失采購的主動權。

由于出差在外的員工使用系統(tǒng)受不到有效管理，所以類似的情況時有發(fā)生。所以，對于外部訪問，我們一方面要嚴格管理外部訪問的人數(shù)，哪些人具有外部訪問的權限，我們還要有嚴格的限制；另一方面，遠程訪問的用戶最好能夠單獨管理，特別是其密碼要不斷的變更，以防止不小心把用戶名與密碼泄露給其他公司的人員。也就是說，在員工電腦上，掛著一個密碼生成器，這個是與ERP服務器同步的，一般在十分種左右，服務器就會重新生成一個用戶名與密碼，然后在員工的密碼生成器上，也會同時生成用戶名與密碼。因為兩者生成的規(guī)則是一樣的，所以，員工可以用密碼生成器上的用戶名與密碼登陸ERP系統(tǒng)。這樣就可以解決在外面使用ERP系統(tǒng)的密碼泄露問題。

二是在特定的情況下，或許會給客戶一些遠程訪問的權限，若這個權限設置不當?shù)脑?#xff0c;則很可能把一些客戶不能訪問的信息也提供給他們／。

現(xiàn)在隨著信息化管理在企業(yè)中的地位不斷加強，有些客戶會主動要求他們的供應商使用ERP系統(tǒng)，并提供網(wǎng)絡訪問的接口，讓他們可以通過網(wǎng)絡實時的了解他們定單的進展。如此企業(yè)不得不給他們提供ERP用戶，讓他們進行遠程的訪問。但是，這里就存在一個安全的威脅，若我們權限設置不當 的話，客戶就可以訪問到企業(yè)一些機密信息，如產品成本等等。

所以，如在客戶的強烈要求下，要提供他們ERP系統(tǒng)的遠程訪問權限時，我們一定要注意，權限的設置問題。不能夠讓他們訪問一些不該訪問的數(shù)據(jù)。我的建議是，遇到這種情況時，要對這個用戶訪問的數(shù)據(jù)進行監(jiān)測，看看其訪問了哪些數(shù)據(jù)，有沒有存在非法訪問的情形。若有的話，要及時進行調整。現(xiàn)在很多ERP系統(tǒng)都已經(jīng)有了針對用戶的訪問記錄功能。利用這個功能，可以有效的管理用戶的訪問權限。

2、內部網(wǎng)絡上可能存在竊聽

從網(wǎng)絡層面上考慮，除了這個外部訪問管理不當存在數(shù)據(jù)泄露的危險外，還有一個很大的安全漏洞就是網(wǎng)絡竊聽的問題。現(xiàn)在大部分的ERP系統(tǒng)，其服務器端與客戶端數(shù)據(jù)的傳輸，都是通過明文傳輸?shù)摹Ｓ脩糁恍枰诰W(wǎng)絡上安裝一個監(jiān)聽軟件，就可以全面的了解用戶訪問的內容，跳過客戶端的權限設置，從而達到網(wǎng)絡數(shù)據(jù)竊聽的目的。

雖然網(wǎng)絡竊聽可能在技術上要求比較高，但是，現(xiàn)在隨著黑客工具在網(wǎng)絡上的泛濫，所以，要完成這項竊聽的工作，難度也不是很大。我相信，只需要對隨便一個員工進行半個小時的培訓，其就可以掌握這門手藝，從而完成對ERP數(shù)據(jù)竊聽的工作。

所以，與其到數(shù)據(jù)泄露了，再來追查責任，還不如在剛開始的時候，就防范與未然，解決數(shù)據(jù)泄露的漏洞。

為了解決數(shù)據(jù)在網(wǎng)絡傳輸過程中的竊聽問題，最好的方法，就是要求在ERP數(shù)據(jù)在傳輸過程中，是加密過的，是通過密文傳輸，而不是明文傳輸。如此，員工及時竊聽到數(shù)據(jù)，也是亂碼，沒有多少的實際價值。

所以，我們若有這方面的擔心，則最好在ERP系統(tǒng)選擇的時候，就要有這方面的考慮。要求ERP供應商提供的系統(tǒng)，在數(shù)據(jù)訪問的是時候，在網(wǎng)絡上傳輸是加密過的數(shù)據(jù)，而不是簡單的明文傳輸。這個技術，現(xiàn)在已經(jīng)比較成熟。只是以前很多ERP供應商沒有注意到這個問題，所以，沒有把這個技術跟ERP系統(tǒng)結合起來。故，我們若是要選擇ERP數(shù)據(jù)在網(wǎng)絡傳輸過程中，實現(xiàn)加密技術，那我們ERP系統(tǒng)的選擇范圍余地可能會小許多。

但是，若企業(yè)現(xiàn)在已經(jīng)在使用ERP系統(tǒng)了，而現(xiàn)在用的這套系統(tǒng)，不提供網(wǎng)絡數(shù)據(jù)傳輸?shù)募用芄δ堋Ｄ俏覀冇衷撊绾蝸肀Ｕ蠑?shù)據(jù)在網(wǎng)絡傳輸過程中的安全問題呢？我們可以利用專門的加密技術，實現(xiàn)在網(wǎng)絡傳輸過程中，數(shù)據(jù)的加密功能。如微軟提供了一種IP安全策略。利用這種技術，可以實現(xiàn)客戶端與服務器之間的密文傳輸。當然除了微軟的IP安全策略以外，還有其他的一些網(wǎng)絡傳輸加密方法，用戶可以根據(jù)自己的需要，進行選擇使用。

二、來自ERP系統(tǒng)的威脅

如果ERP系統(tǒng)本身管理不當，也會存在數(shù)據(jù)泄露的危險。從ERP系統(tǒng)的角度出發(fā)，主要的安全威脅就是權限配置不當所造成的。

一是價格權限配置不當。價格對于企業(yè)來說，基本上都是敏感數(shù)據(jù)。所以，我們在EPR中設置權限時，要從價格開始。

二是報表方面導出設置不當。報表上面匯集了很多重要的信息，而且，報表可以隨便導出來的話，則信息將會無隱私。所以，在報表的導出權限上，我們要進行特殊的限制。不能讓每個用戶都可以隨便的導出報表。一般可以讓用戶只能夠查看報表，而無法導出報表，這是原則。如果用戶真的有導出報表的需求，那就要申請。特別是對一些敏感數(shù)據(jù)的報表，如客戶信息、產品價格等等，一般都可以把報表導出功能屏蔽掉。只有當需要的時候，再由管理員導出。

三是用戶名密碼設置過于簡單。

我見過一些用戶，他們密碼設置太過與簡單，這導致其他用戶很方便就可以猜到密碼。這直接的結果就是，其他用戶若自己沒有權限，則可以利用有權限的用戶進行系統(tǒng)訪問。因為由于密碼簡單，他們知道其他用戶的訪問密碼。如我有一家客戶，在設置用戶名與密碼的時候，用戶名就是他們的員工編號，而密碼呢，都是統(tǒng)一的，如123456。如此的用戶名與密碼，即使權限設置的再完美，也是沒有用的。用戶可以輕而易舉的獲得別人的用戶名與密碼，如此，在自己沒有權限的情況下，他們有可以利用其他有權限的用戶，進行系統(tǒng)登陸與訪問。如此的話，權限設置不等于形同虛設嗎？所以，在用戶名與密碼設置的時候，一定要科學。用戶名可以根據(jù)他們的員工編號編寫，但是，密碼設置的時候，一定要復雜一點，不能讓人猜得透；并且，最好采用密碼定期修改策略，讓用戶定期的修改密碼，防止密碼泄露。

-----------------------------------------------------------------------

從企業(yè)發(fā)展的長遠角度來看，要想持續(xù)健康運營，為未來企業(yè)更好的發(fā)展甚至為上市做準備，就必須有安全的ERP數(shù)據(jù)，那么如何讓ERP系統(tǒng)的數(shù)據(jù)更加安全呢？

　　1、制定ERP系統(tǒng)數(shù)據(jù)標準

　　ERP系統(tǒng)數(shù)據(jù)要求應該是怎么樣的？哪些是關鍵數(shù)據(jù)為必填項？填寫的規(guī)范要求是什么樣的？應該多長時間填寫一次？應該由誰來填？填寫的時候會有哪幾個場景？等等這一切都需要明確！由于ERP軟件中涉及到的數(shù)據(jù)千千萬萬，不可能把所有數(shù)據(jù)都列進來，因此在這里需要列舉的一定是涉及到企業(yè)運營核心的幾個數(shù)據(jù)，而這幾個數(shù)據(jù)的輸出都應該是直接和企業(yè)的運營管理指標直接相關的，只有這樣才能確保效果。

　　2、制定ERP系統(tǒng)數(shù)據(jù)驗證策略

　　如何驗證ERP系統(tǒng)內數(shù)據(jù)是正確的呢？在這里一定需要有一個校驗機制，如：總額校驗、分項數(shù)據(jù)校驗、相關數(shù)據(jù)校驗、人工校驗等多種方式，只有確定了數(shù)據(jù)驗證策略，才可以考慮把這些驗證策略做成數(shù)據(jù)驗證工具，通過系統(tǒng)進行自動化檢驗，大大提高數(shù)據(jù)校驗的效率。

　　3、制定ERP系統(tǒng)數(shù)據(jù)安檢機制

　　需要確定數(shù)據(jù)安檢的周期，是一周檢查一次，還是一個月查一次，或者是季度、半年？哪些數(shù)據(jù)是需要一個月查一次的？哪些數(shù)據(jù)是季度或一年才查一次的？隨著業(yè)務類型的不同，數(shù)據(jù)的安檢周期也應該是不同的。另外，數(shù)據(jù)安檢是由企業(yè)自行來完成，還是作為軟件服務商的增值服務來完成，還和企業(yè)的預算、人員編制、服務商能力、雙方的合作深度有著直接關系。

　　4、制定數(shù)據(jù)安檢之后的改進措施

數(shù)據(jù)有問題了怎么辦？整改呀。怎么改？是軟件問題，還是操作問題，或者是業(yè)務規(guī)則與流程的問題？都需要對問題進行仔細分析，并將問題落實到責任人頭上，推動改進。只有這樣才能夠把系統(tǒng)越用越順暢，而系統(tǒng)中的數(shù)據(jù)也能夠越來越準確，越來越及時。

總結

以上是生活随笔為你收集整理的ERP系统的数据安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。