移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

浅析ERP系统环境下的企业信息安然治理

时间:2014-01-06 11:57来源:TuZhiJiaMi企业信息安全专家 点击:
1、引言 当今我国市场范围的不竭成长,企业竞争已从单一企业间的竞争朝着企业供给链之间的竞争成长、企业仅靠本身资本已没法有效地介入市场竞争,还必需把经营过程中的有关各方纳进一
Tags系统安全(735)安全管理(325)ERP系统(3)企业信息(4)  

  1、引言

  当今我国市场范围的不竭成长,企业竞争已从单一企业间的竞争朝着企业供给链之间的竞争成长、企业仅靠本身资本已没法有效地介入市场竞争,还必需把经营过程中的有关各方纳进一个慎密的供给链中,才能有效地放置企业的产、供、销勾当,知足企业操纵全社会一切市场资本快速高效地进行出产经营的需求,以进一步进步效力和在市场上获得竞争优势、针对这一需求,企业纷繁引进ERP系统,构建企业信息化平台、当前ERP系统是指针对物质资本治理、人力资本治理、财务资本治理、信息资本治理集成一体化的企业治理软件、ERP系统实现了对全部企业供给链的治理、适应了企业在常识经济期间市场竞争的需要、鉴于ERP系统的巨大年夜优势、今朝尽大年夜大都大年夜型企业均实现了ERP系统的摆设实施、但是,因为互联网上存在大年夜量的收集报复打击、木马、蠕虫等收集安然威胁。而ERP系统的正常运行依托于大年夜量的收集传输、数据措置和动静交互这就阻碍了ERP系统的利用与实施、是以,研究ERP系统所面对的安然威胁并采纳响应办法进行规避是一项很是首要的课题。

  2、ERP系统信息安然威胁

  安然标题问题标产生是一个很是复杂的标题问题,包含了多种身分的彼此感化、总结起来,企业ERP系统所面对的信息安然威胁首要包含来自以下几个方面的内容。

  (一)ERP收集利用的威胁

  来自收集层面的威胁首要来自长途拜候企业内部系统所酿成的信息泄漏隐患、跟着企业范围的不竭扩大,对外的发卖和物流收集也随之扩大年夜。出差的营业员和某些客户常常需要在异地长途拜候企业收集资本、为此,ERP专门供给了a/s的拜候模式,使得异地用户可以或许利用浏览器经由过程虚拟专用收集VPN拜候公司内部资本、因为异地拜候行动不受束缚,泄密行动时有产生,是以价值较高的商业奥秘有可能流掉,好比企业产品的底价、设计图纸等等、别的,内部收集的***行动也给ERP系统的安然利用造成威胁、ERP系统利用时。其办事器端与客户端数据的传输、都是经由过程明文传输的、用户只需要在收集上安装一个监听软件、便可以周全的体味用户拜候的内容。跳过客户端的权限设置,从而达到收集数据***的目标。

  (二)ERP统利用的威胁

  假定ERP系统本身治理不当,也不会存在数据泄漏的危险、从ERP系统的角度解缆。首要的安然威胁就是权限建设不当所酿成的。这类威胁首要在敏感数据贫乏分级治理机制,好比某个报表,只要有查看权限的都可以或许看到全数信息,并且可以或许导出。这就给敏感数据造成了很大年夜的威胁、别的,良多员工的终端系统暗码设置较为简单,大年夜多利用生日或德律风,有的其至利用“12345"等简单数字作为暗码,这类暗码强度不高,等闲被破解。

  (三)ERP统缝隙的威胁

  ERP系统的构建需要大年夜量的软硬件系统,触及到收集传输、Web浏览和办事总线等多方面的手艺,这些手艺的实现需要大年夜量的软件,软件不成能避免存在一些已知或未知的缝隙、黑客可以或许操纵这些缝隙获得ERP办事器的权限,从而侵扰系统的正常运行,并盗取首要的商业奥秘。

  3、ERP信息安然保障办法

  ERP系统的安然最首要,为了保障ERP系统在利用中的信息安然,针对上述三类威胁,具体来讲有以下几种编制进行应对。

  (一)收集传输安然保障ERP系统的传输安然可以从两方面进行强化

  1、对长途拜候权限采取指纹、暗码等多种身份辨认机制,同时限制长途拜候行动所可以或许接触到资本的数量,在保障营业的同时避免泄密。

  2、对数据报表采取嵌进水印的编制讲行呵护,好比一份报表假定过后被发现窃密了,可以经由过程水印的编制检测出其它信息,并连络ERP日记进行辅助案件侦破。

  (二)信息利用安然保障

  ERP信息利用安然保障首要包含对首要数据进行分级治理,同时对所有合法用户进行分级,确保他们所能拜候的数据级别和类型、好比某个员工只具有中级数据拜候权限,而某个报表的一些属性项是高密级,它就没法查看该属性项,而只能看到其他低密级选项。

  (三)系统缝隙安然保障

  ERP系统的缝隙修复工作首要依托专业测评机构的工作、经由过程按期安然测评、治理员可以或许发现系统中存在的软硬件缝隙,并及时采纳响应办法进行修补、同时在建设上的问颗也要依托系统治理员的经验,尽可能少开放端口,并目包管一些不服安的办事必需受限、好比一些微软通知布告所描述的信息常常包含ERP触及软件的缝隙。需要认即进行修补、是以,治理员的安然意识更需要进一步进步。

  4、完美收集信息安然保障系统

  起首,需要拟定完美的法令政策,以法制手段来强化收集安然;其次,从治理上保护系统的安然,肯定信息安然治理机构和切实可行的收集治理规章轨制,加强信息安然教育、进步高层治理者的安然意识,以包管收集信息安然;最后,从手艺上采纳办法,在企业内部和互联网之间要加一道防火墙,避免黑客或计较机病毒的攻击,呵护企业内部的敏感数据。

  5、加强对把持人品的培训

  企业信息化治理触及全部企业经营治理模式的改变,它把信息手艺与治理相连络,操纵进步前辈手艺不竭进步治理程度、加强财务治理信息化扶植,必需从公司首要带领开端到所有工作人员进行带动,充分熟谙到信息化对进步治理程度的首要性、工作人员要在思惟不雅念上更新和改变对治理的理解和熟谙,必需在系统上成立健全工作人员培训轨制,并在系统扶植的全过程中贯彻落实,以进步员工的营业本质和谙练利用软件的能力、具有立异能力的人员是企业顺利而有效地展开治理立异的根本,有针对性地对人员进行收集手艺培训,可以进步人员的适应能力和立异能力、同时企业要建立与收集环境,适应的信息不雅念、协作竞争不雅念、以报酬本不雅念和开放型治理模式。

  ERP系统的遍及利用是信息化推动和企业市场范围成长到必然阶段的产品、如安在操纵ERP带来的企业运营和治理便当的同时、尽可能避免安然威胁、是在ERP系统利用过程中需要具体考虑的标题问题、跟着信息安然手艺的不竭成长,不竭有新的威胁会呈现,也需要ERP系统进一步进步安然意识,防备可能的收集报复打击行动。

------分隔线----------------------------

推荐内容