試論ERP系統安全問題及五大對策
根據安全的等級,網絡環境和具體模塊功能的不同,ERP系統的安全防護區域可以具體劃分為:網絡核心區、服務器接人區、辦公網接入區、網絡安全監控管理區、廣域網接人區、外聯網接入區,區域間使用安全技術設備加以隔離。
對用戶的工作域及用戶名稱和權限,應按職能和部門的不同進行規范,統一設置,加以區別。
2.加強系統平臺安全防護措施,保證網絡和設備的安全。
根據安全目標和安全體系構架的要求,根據最新技術進展,對ERP系統平臺進行二次開發和系統補丁升級,增加相關的實時監測、控制功能,及時進行漏洞、木馬病毒、對外重要接口的安全掃描和修補工作,由此完善軟件、硬件的安全功能。同時,統一規劃并加強以下幾方面的安全控制:身份認證、操作權限管理、訪問控制、信息保密及完整、系統實時監控及日志記錄,對于所開放的權限和系統服務按照滿足生產操作所需的最小程度嚴格限定,從源頭上預防安全風險,保證網絡和設備的安全、完整、準確。對于二次開發的軟件、硬件必須經過安全檢測才可投入運行。
對于外網遠程訪問ERP系統內數據庫,一般采用虛擬專用網(VPN)技術,通過安全加密通道連接傳輸,增強保密和認證作用,防止重要數據在傳輸線路上被截取。
3.設立防火墻和入侵檢測系統,加強訪問控制和對木馬病毒、惡意攻擊等的防范。
ERP系統服務器所用的防火墻采用軟硬件結合的方式,軟件防火墻一般只起到數據包過濾、系統運行監控以及服務器工作狀態監控等,硬件防火墻將軟件防火墻集成在硬件設備內,通過專門的安全控制芯片與軟件協調工作,除執行軟件防火墻的功能外,還有內容過濾(CF)、入侵偵測(IDS)、入侵防護(IPS)以及VPN等功能。
應當科學合理地配置防火墻內服務器及客戶端的各種安全規則,加強內容過濾和預警等功能,進行訪問控制,對于訪問系統的行為和出入的數據信息進行監測控制并記錄日志,對于來自內部和外部的違反安全策略的異常行為和各種惡意攻擊、破壞行為加以實時、動態地防范,并提供預警及阻斷攻擊。建立定期安全檢查、風險快速的響應的機制、擴展系統管理員的安全管理能力,使其可以有效地監控、審查和評估系統,及時發現、處理安全風險問題,維護網絡通暢、數據信息的安全完整,系統的安全穩定。
單機殺毒軟件并不能適應網絡時代病毒的更新、傳播速度和范圍,因此必須使用可以服務于整個局域網的安全防護產品,進行分布式部署、統一監控管理,實現“自動分發、智能升級、集中管控、統一報警”,加強對網絡病毒、木馬以及黑客軟件攻擊的防范。
同時,應不斷地采用最新的信息網絡安全技術,及時升級安全產品;制定安全操作規范,加強用戶管理和操作管理,加強外來移動存儲設備的管理;定期檢查ERP系統軟硬件設備的安全狀況。
4.制定完善的數據備份策略。
ERP系統的信息是通過計算機及網絡儲存到數據庫中,但由于存在硬軟件故障導致數據被破壞丟失、數據庫不能使用的安全風險,所以為了防止數據的丟失、保障系統及數據的安全對于數據庫的備份與恢復、應對事故的應急預案措施就顯得十分必要。
數據庫備份的技術多種多樣,在實施時,應考慮到企業對數據安全的要求和數據備份的規模,由此制定適合企業自身特點及要求的安全備份策略,對備份的數據應定期進行可用性和可恢復性校驗,切實做好數據的備份工作,確保ERP系統數據的穩妥和安全。
首先,按數據備份的要求確定軟硬件技術配置,如,獨立磁盤冗余陣列(RAID)、熱插拔技術、一主機一備份機、在線熱備份系統等,數據備份的體系架構應具有實用性、擴展性、安全性的特點,不僅應具備良好的備份、恢復性能(特別是故障恢復性能),同時也應具備良好的系統擴展性與技術前瞻性。其次,數據備份一般有定時備份和實時備份之分,月備份、周備份和日備份之分,自動備份和手動備份之分,以及數據全量備份和增量備份之分,企業應按照自身特點及安全要求制定備份計劃,確定備份數據保留的天數。
第三,注意存儲的環境安全建設,離線的備份數據應存儲在特制的金屬柜內,要做到防火、防盜、防濕、防塵、防靜電、防雷擊等。在條件允許的情況下,還可以設置機房環境監控系統和異地容災備份系統。
企業應建立安全事故應急處理預案,使得企業對于可能發生的系統事故及故障能夠及時做出反應,保證在系統及數據被破壞后,能立即啟用備用系統、恢復備份的數據,及時診斷、搶修發生故障的軟硬件以及網絡環境,使系統服務不致于中斷,將安全事故的損害降到最低程度。應急預案也應包括事故處理過程的相關信息收集,事后可以合理量化評估事故的種類、數量和成本,以利在今后工作中加以監督和防范。
5.加強ERP系統安全的管理措施。
安全管理措施是維護系統安全穩定運行的最為關鍵的部分,企業除了需要在信息安全技術上加強投入外,還需要加強并規范人員行為的安全管理措施。
首先,完善信息安全管理的各種規章制度的建設,制定安全目標和安全策略,在此基礎上制定設備物理環境、系統運行維護、訪問權限控制、業務保障、安全監測審計、安全設備管理、人員安全操作規程等的安全制度建設,在工作中嚴格遵照執行,并且對此進行定期培訓和考核、檢查。
其次,建立信息安全管理組織機構,明確各部門、各環節的安全職責、組織形式和處理流程,具體落實到相關責任人,分工合作、各負其責,加強操作用戶登記、明確權限,重大事件的操作須授權核準,啟用日志管理,避免越權和非授權操作,也應定期進行考核、檢查。
第三,定期進行分級分層的全員信息安全風險教育和操作維護培訓,學習安全操作流程和行為規范,了解和掌握相關的信息安全知識和策略,以及應承擔的安全職責,提高操作人員的安全風險防范意識和能力。
企業網絡安全是由多方面來保證的,并且由于各種安全技術措施存在著不足與局限性,因此在實際工作中需要將多種技術綜合應用以保證ERP系統安全。
企業實施ERP系統,極大地提高了企業的經營管理效率,增強了企業的核心競爭力,成為企業經營管理中的不可或缺的重要組成部分。ERP系統穩定、高效的運行是關系到企業生死存亡的大事,這就需要不斷發展、完善安全基礎設施來防范風險、保護系統的安全。企業在實際工作中,應緊跟最新的信息安全技術的發展,及時調整安全防范策略,綜合應用多種防范措施,更新相應的信息安全產品,同時加強信息安全方面的教育和培訓活動,更好地抵御安全風險,為ERP系統的安全穩定運行保駕護航。

責任編輯:黎陽錦
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡