如何做好ERP系統的安全防護

    ERP系統是對于企業資源的整合管理，涉及到財務、進銷存、供應鏈、政務管理等各個方面，因此ERP系統的安全防護是構建企業穩健運行環境的重要保障，這關系到企業的安全和利益，企業管理者在ERP系統的實施和應用當中，應該對于系統的安全防護功能有足夠的重視。本文將從ERP系統的安全風險、ERP系統的安全防護策略和安全體系建設的措施三個方面來進行深入闡述。

    一、ERP系統中的安全風險

    由于ERP系統的復雜性，以及企業在建設維護ERP系統時受到的技術條件、人員素質等各種條件的限制，導致ERP系統存在多種安全風險。要加強ERP系統的安全風險防范工作，就需要正確識別ERP系統運行管理中存在的安全風險和成因。一般來說，ERP系統的安全風險主要有以下幾個方面：

    1．不可抗外力災害的安全威脅。

    2．管理疏忽導致的事故的安全威脅。

    3．系統缺陷導致事故的安全威脅。

    4．惡意攻擊的安全威脅。

    5．其他因素造成的安全威脅。如系統故障、病毒和其他惡意軟件的傳播攻擊、缺乏安全備份機制、數據基礎資料不準確、系統維護力量投入不足等造成事故的威脅。其中，管理與技術方面的缺陷和黑客病毒的攻擊是威脅ERP系統安全的的主要風險。

    二、安全防護體系建設的安全策略

    1．安全防護體系建設的設計目標。

    由于目前信息技術發展的局限性，絕對安全是不存在的，最多只能通過實施一定預防措施，把風險威脅降低到一定程度，實現風險威脅可控、可以挽回損失。

    因此，ERP系統規劃和實施的首要目標是建立ERP系統的安全保障體系，以保護企業的信息資產的安全，建設技術和管理上的安全防護措施，提供用戶身份認證、操作授權、網絡安全檢測和病毒攻擊的防范等安全功能，以保護ERP系統中的硬件、軟件及數據的安全穩定、完整有效和機密性，預防因惡意或偶然的原因使系統或數據信息遭到破壞、篡改和泄漏從而最終造成企業的嚴重經濟損失。

    “ERP系統安全項目要保護的資源包括ERP系統的軟硬件資源和數據資源。硬件資源主要包括數據庫服務器、應用服務器和客戶端計算機，以及傳輸網絡；軟件資源包括服務器上的操作系統、數據庫管理系統DBMs、應用服務器軟件以及客戶端計算機上的應用瀏覽器等。數據信息資源是ERP系統的最寶貴財富。”

    2．安全防護體系建設的設計思路。

    要構建一個完善的、高效的企業ERP系統安全體系結構，必須先制定一整套安全策略規劃。安全策略是實施企業信息與網絡安全體系的基礎。

    企業ERP系統要建設一個安全高效的安全防護體系，必須先制定有針對性的安全策略。ERP系統的“安全策略，是指在一個特定的環境里(安全區域)，為保證提供一定級別的安全保護所必須遵守的一系列條例、規則。”

    安全策略詳細規定了ERP系統允許的各種安全活動和違規行為的懲罰措施，穩妥可行、細致周密的安全策略規劃是成功建設安全防護設施的前提和基礎。

    “安全策略體系是指安全策略的建立、執行、審核、修訂等；安全技術體系包括身份認證和授權、訪問控制、數據的冗余備份、系統的監控、審計等；安全運作體系包括人員的組織建設、技術人員的工作內容和工作考核等。”

    企業建設保障ERP系統安全的技術體系、運作體系應當與企業的安全目標和安全策略相一致。

    企業ERP系統的安全體系建設，包括企業內部局域網的安全建設，與合作企業、分支機構聯網的安全建設等。企業既要加強ERP系統的安全性，又不能以降低系統性能為代價。

    3．安全防護體系的設計原則。

    在工作流程上，“事前”，建立高安全的ERP系統，選擇高安全應用服務協議，及時了解信息技術上、人員管理上的動態變化，修補系統漏洞，避免被惡意利用；。“事中”，針對各種不同的安全威脅，綜合安全防火墻、入侵防護系統、系統自身的網絡安全設置、數據庫權限、操作規范、操作人員管理等多種手段進行防護；“事后”，實現保存系統工作日志，科學的備份策略，和事故應急預案等多策并舉。

    三、安全防護體系建設的措施

    1．重視基礎設施建設，合理設置信息安全架構。

    應依據ERP系統的特點和確定的安全目標、安全策略以建設一個合理的、完善的安全架構體系，根據系統的功能特點和面l臨的安全風險，合理地劃分安全區域，統一規劃安全設施、網絡設施、共享的信息資源范圍等，增強對網絡的監控。

    根據職能和部門、內網和外網的不同，對網絡、系統平臺之間進行合理、有效的區域隔離和訪問控制，實現“應用分區、安全分級、網絡分層”，對核心設備、核心環節的安全進行重點防護，從而實現ERP系統的安全目標、規避和控制安全風險。

    根據安全的等級，網絡環境和具體模塊功能的不同，ERP系統的安全防護區域可以具體劃分為：網絡核心區、服務器接人區、辦公網接入區、網絡安全監控管理區、廣域網接人區、外聯網接入區，區域間使用安全技術設備加以隔離。

    對用戶的工作域及用戶名稱和權限，應按職能和部門的不同進行規范，統一設置，加以區別。

    2．加強系統平臺安全防護措施，保證網絡和設備的安全。

    根據安全目標和安全體系構架的要求，根據最新技術進展，對ERP系統平臺進行二次開發和系統補丁升級，增加相關的實時監測、控制功能，及時進行漏洞、木馬病毒、對外重要接口的安全掃描和修補工作，由此完善軟件、硬件的安全功能。同時，統一規劃并加強以下幾方面的安全控制：身份認證、操作權限管理、訪問控制、信息保密及完整、系統實時監控及日志記錄，對于所開放的權限和系統服務按照滿足生產操作所需的最小程度嚴格限定，從源頭上預防安全風險，保證網絡和設備的安全、完整、準確。對于二次開發的軟件、硬件必須經過安全檢測才可投入運行。

    對于外網遠程訪問ERP系統內數據庫，一般采用虛擬專用網(VPN)技術，通過安全加密通道連接傳輸，增強保密和認證作用，防止重要數據在傳輸線路上被截取。

    3．設立防火墻和入侵檢測系統，加強訪問控制和對木馬病毒、惡意攻擊等的防范。

   ERP系統服務器所用的防火墻采用軟硬件結合的方式，軟件防火墻一般只起到數據包過濾、系統運行監控以及服務器工作狀態監控等，硬件防火墻將軟件防火墻集成在硬件設備內，通過專門的安全控制芯片與軟件協調工作，除執行軟件防火墻的功能外，還有內容過濾(CF)、入侵偵測(IDS)、入侵防護(IPS)以及VPN等功能。

    應當科學合理地配置防火墻內服務器及客戶端的各種安全規則，加強內容過濾和預警等功能，進行訪問控制，對于訪問系統的行為和出入的數據信息進行監測控制并記錄日志，對于來自內部和外部的違反安全策略的異常行為和各種惡意攻擊、破壞行為加以實時、動態地防范，并提供預警及阻斷攻擊。建立定期安全檢查、風險快速的響應的機制、擴展系統管理員的安全管理能力，使其可以有效地監控、審查和評估系統，及時發現、處理安全風險問題，維護網絡通暢、數據信息的安全完整，系統的安全穩定。

    單機殺毒軟件并不能適應網絡時代病毒的更新、傳播速度和范圍，因此必須使用可以服務于整個局域網的安全防護產品，進行分布式部署、統一監控管理，實現“自動分發、智能升級、集中管控、統一報警”，加強對網絡病毒、木馬以及黑客軟件攻擊的防范。

    同時，應不斷地采用最新的信息網絡安全技術，及時升級安全產品；制定安全操作規范，加強用戶管理和操作管理，加強外來移動存儲設備的管理；定期檢查ERP系統軟硬件設備的安全狀況。

   4.制定完善的數據備份策略。

   ERP系統的信息是通過計算機及網絡儲存到數據庫中，但由于存在硬軟件故障導致數據被破壞丟失、數據庫不能使用的安全風險，所以為了防止數據的丟失、保障系統及數據的安全對于數據庫的備份與恢復、應對事故的應急預案措施就顯得十分必要。

    數據庫備份的技術多種多樣，在實施時，應考慮到企業對數據安全的要求和數據備份的規模，由此制定適合企業自身特點及要求的安全備份策略，對備份的數據應定期進行可用性和可恢復性校驗，切實做好數據的備份工作，確保ERP系統數據的穩妥和安全。

    首先，按數據備份的要求確定軟硬件技術配置，如，獨立磁盤冗余陣列(RAID)、熱插拔技術、一主機一備份機、在線熱備份系統等，數據備份的體系架構應具有實用性、擴展性、安全性的特點，不僅應具備良好的備份、恢復性能(特別是故障恢復性能)，同時也應具備良好的系統擴展性與技術前瞻性。

    其次，數據備份一般有定時備份和實時備份之分，月備份、周備份和日備份之分，自動備份和手動備份之分，以及數據全量備份和增量備份之分，企業應按照自身特點及安全要求制定備份計劃，確定備份數據保留的天數。

    第三，注意存儲的環境安全建設，離線的備份數據應存儲在特制的金屬柜內，要做到防火、防盜、防濕、防塵、防靜電、防雷擊等。在條件允許的情況下，還可以設置機房環境監控系統和異地容災備份系統。

    企業應建立安全事故應急處理預案，使得企業對于可能發生的系統事故及故障能夠及時做出反應，保證在系統及數據被破壞后，能立即啟用備用系統、恢復備份的數據，及時診斷、搶修發生故障的軟硬件以及網絡環境，使系統服務不致于中斷，將安全事故的損害降到最低程度。應急預案也應包括事故處理過程的相關信息收集，事后可以合理量化評估事故的種類、數量和成本，以利在今后工作中加以監督和防范。

    5．加強ERP系統安全的管理措施。

    安全管理措施是維護系統安全穩定運行的最為關鍵的部分，企業除了需要在信息安全技術上加強投入外，還需要加強并規范人員行為的安全管理措施。

    首先，完善信息安全管理的各種規章制度的建設，制定安全目標和安全策略，在此基礎上制定設備物理環境、系統運行維護、訪問權限控制、業務保障、安全監測審計、安全設備管理、人員安全操作規程等的安全制度建設，在工作中嚴格遵照執行，并且對此進行定期培訓和考核、檢查。

    其次，建立信息安全管理組織機構，明確各部門、各環節的安全職責、組織形式和處理流程，具體落實到相關責任人，分工合作、各負其責，加強操作用戶登記、明確權限，重大事件的操作須授權核準，啟用日志管理，避免越權和非授權操作，也應定期進行考核、檢查。

    第三，定期進行分級分層的全員信息安全風險教育和操作維護培訓，學習安全操作流程和行為規范，了解和掌握相關的信息安全知識和策略，以及應承擔的安全職責，提高操作人員的安全風險防范意識和能力。

    企業網絡安全是由多方面來保證的，并且由于各種安全技術措施存在著不足與局限性，因此在實際工作中需要將多種技術綜合應用以保證ERP系統安全。

    企業實施ERP系統，極大地提高了企業的經營管理效率，增強了企業的核心競爭力，成為企業經營管理中的不可或缺的重要組成部分。ERP系統穩定、高效的運行是關系到企業生死存亡的大事，這就需要不斷發展、完善安全基礎設施來防范風險、保護系統的安全。企業在實際工作中，應緊跟最新的信息安全技術的發展，及時調整安全防范策略，綜合應用多種防范措施，更新相應的信息安全產品，同時加強信息安全方面的教育和培訓活動，更好地抵御安全風險，為ERP系統的安全穩定運行保駕護航。