论文部分内容阅读
摘要:随着国内ERP市场的逐渐成熟, 随着ERP产品价格的日益下降,越来越多的企业开始将ERP软件运用于日常的企业事务。但是针对这些ERP系统软件的外部入侵者的攻击和损害和来自内部用户的恶意攻击、欺诈和系统滥用的机会也在呈指数级的增长,这样导致了企业即便是成功的实施了ERP系统,但在用户的使用反应速度上却极其缓慢,系统安全不堪一击。本文为此具体探讨企业ERP系统软件的安全隐患与防范措施。
关键词:企业;ERP软件;安全管理;安全防范
中图分类号:TP311文献标识码:A 文章编号:1009-3044(2008)24-1315-02
Security Guard of Practice Application of Enterprise ERP Software
LU Zhi-bin
(Dongguan City, blue sky decorated Ltd. ,Dongwan 523010,China)
Abstract: Along with the gradually mature of the domestic ERP market and the price of ERP product drop day-by-day, more and more enterprises starts using the ERP software to utilize the daily business affair. But exterior intruder’s attack, the internal user’s malicious attack, the cheat and the system abuses the opportunity of the ERP assumes grow exponentially. It cause the enterprise that were the successful implemented the ERP system extremely was actually slower in the user’s use reaction rate, and the safe of system is bad. For this reason, this article f concrete discuss the safe hidden danger and measure of enterprise ERP system software.
Key words: enterprise; ERP software; safety control; security guard
1 引言
ERP(Enterprise Resource Planning)企业资源计划系统是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台。企业ERP系统覆盖了企业基本的运营业务包括生产、采购、财务、销售、人力资源、客户关系等,它可以看作为一个企业的中枢神经系统,要是这个中枢神经系统出了什么问题,那么整个企业就有可能面临瘫痪和崩溃的危险。随着现代企业制度的逐步建立,科学管理受到普遍重视。由于ERP中存有大量的企业机密信息, 因此,ERP系统的安全性是一个不容忽视的问题。虽然许多企业对ERP安全做了一些工作,但企业目前的ERP安全管理基本上还处在一种静态的、局部的、突击式的、事后纠正式的管理方式,导致的结果是不能从根本上避免、降低各类风险,也不能降低ERP安全故障导致的综合损失。本文为此具体探讨企业ERP系统软件的安全隐患与防范措施。
2 企业ERP系统软件的安全隐患
2.1 网络安全
网络安全就是一种能够识别和消除不安全因素的能力。在一些实施ERP的企业里,人们往往仅注重网络的高效,但常常忽视网络的安全问题,特别是缺乏网络安全意识,危害更大,这样一旦有安全事故的发生,将给企业带来不可估量的损失。其首先是物理安全,其主要因素有火灾及自然灾害、雷电、辐射、停电、硬件故障、搭线、盗用、偷窃和超负荷等等。其次是网络应用安全。将计算机联到网上就会多出一个网络安全的问题病毒的袭击、黑客的攻击、其他人员的破环、操作员的不按规范程序违章操作或操作失误等都能引起网络故障产生网络安全问题。
2.2 数据库安全
目前市场上比较流通的数据库主要包括。Sybase、DB2、SQL server等。各种数据库的性能、价格之间、也数据安全上都存在一定的差异。中小企业由于资金的制约,往往选择价格相对低廉的低端的数据库。在数据量达到一定程度后,产生数据崩溃,将导致所有商业数据丢失。还有些ERP系统,使用明文显示的数据库,很容易就可以查看到数据信息。另外,在选择软件的时候,由于缺乏技术支持,没有选择合适的数据库架构。B/SC/S结构设计失误将直接导致ERP系统的安全性能收到威胁,对于用户来讲,将带来难以挽回的损失。
2.3软件安全
ERP软件的安全性取决于两个方面:首先,软件提供商的生命力和行业背景是否经受住市场上众多用户和时间的考验,其业务流程的设计是否能够满足基本的企业生产、财务、物流等业务的要求。ERP软件要易学易用,应该成为我们的管理工具,要帮助我们简化流程,而不是增加我们的工作量。其次,ERP厂商的服务,是ERP软件安全性的另一个重要的组成部分。一个生命期很短的供应商无法保证对自己的产品进行持续的升级服务。一些企业由于人力资源的限制,在产品升级和具体实施时缺乏专业顾问的保障,因而售后服务的完备与及时是ERP软件安全运行的重要资源。
2.4 系统权限的相互制约
当前几乎所有的ERP软件在信息安全的设计上都没有或者很少在这方面加以考虑。在这些软件的设计中,往往存在一个无所不能的超级用户掌管着其它合法用户的“生杀大权”,他不仅能够独立地增加、删除用户和重置用户密码;而且可以随意调整合法用户的职责和权限。而这对于涉及企业综合性管理的ERP软件来说,可能带来的危害是致命的。因为超级用户能够掌握企业大量的机密信息,一旦其别有用心,将会给企业带来不可估量的商业损失。因此必须考虑对系统权限进行分割并使其相互制约,避免出现权限的过分集中。
3 加强企业ERP系统软件安全防范的措施
3.1 合理选择ERP软件
对于ERP软件的选择,要根据企业的实际情况来确定。如果地点单一,可以考虑使用C/S架构的软件;如果地点分散在不同国家、地区等,可以考虑使用B/S架构的软件。在ERP软件采购过程中,非常重要的一点就是要对软件提供商的生命力和行业性进行评估,防止供应商的破产带来后续服务的终结。ERP厂商的服务,是ERP软件安全性一个重要的组成部分。产品升级和专业顾问是保障软件安全运行的重要资源。另外,ERP软件由于包含了企业的全部信息,应该对所有登录到系统的操作人员做细致的权限划分,保证数据共享范围和拒绝范围。
3.2 加强授权管理和身份鉴别
授权管理就是系统可以根据用户的身份或所在的分组来允许或拒绝合法用户执行某些规定的系统使用权利。使用RBAC(基于角色的访问控制)策略来进行授权管理。非常适合用于拥有大量的用户和海量的数据信息的ERP系统。身份鉴别是确保使用者能够提出宣称身份相符的证明,这在网络安全中非常重要。比如,不是收银员就不能操作POS机,不是财务人员不能进入财务系统,不是营业员所开具的销货票就不能通过POS机销售,特别是超级用户,三次输入错误口令系统将自动关闭超级用户。只有通过技术处理后,超级用户才能再次登录,这样通过身份鉴别体系。使系统达到一种合理的管理控制,防止越权操作,防止错误操作,减少安全事故的发生,并且如出现错误操作也可以依据身份鉴别界定责任人。
3.3 保护数据库中的数据
数据库安全性是用户权限管理等方面的内容,这种安全性以信息资源和信息资源的用户为主要管理对象,一个用户只要具有对某个对象的访问权限,就可以对信息资源进行操作。我们以SQL Server数据为例来探讨保护数据库中的数据方法。第一四SQL Server的安全性可以与操作系统的安全性建立某种联系,这就是SQL Server的安全性模式。它有3种安全模式:标准安全、集成安全、混合安全。标准安全完全由SQL Server自身维护安全性,对所有连接采用SQL Server本身的登录证实过程,通过使用Login ID和口令来访问数据库服务器。集成安全允许SQL Server用Windows 2000的认证机制来证实SQL Server的所有连接。混合安全使得SQL Server的用户和Windows 2000的用户都可以获得访问数据库的权限。当然,可以不使用SQL Server自身的用户管理,只允许Windows 2000的用户具有访问数据库的权限。第二是在SQL Server中,权限分两大级别:连接权、访问权。连接权指是否可以访问SQL Server,访问权指是否可以查询或修改数据库。每一个网络用户在访问SQL Server数据之前,必须使用一个windows的账号或SQL Server的Login ID以及口令,与SQL Server建立连接,SQL Server的安全系统通过对用户提供的登录信息的验证决定是否允许这个用户连接。在连接成功后,用户还需要在每个数据库中都有一个数据库用户账号,或者是用户别名,查询或者修改数据时,SQL Server的安全系统根据这个账号或者别名的权限决定是否允许用户请求的操作。
3.4 安全备份和安全恢复
企业的ERP系统是为信息服务的,网络的安全主要是信息的安全,而企业的信息都储存在数据库中,数据库可能由于硬件或软件故障变得不能使用,所以为了防止数据的丢失,数据库的备份与恢复就显得十分重要。首先要制定完善的安全备份策略,数据备份策略一般有月备份、周备份和日备份,再细分有数据全量备份和数据增量备份之分。数据全量备份就是将数据库内容全部复制到备份设备上,其多用于日增加数据量较小的系统中,一般这种备份数据每日增加量不超过100Mb,1年下来整个数据备份起来也不大于30Gb,这种备份的数据包含着以前的历史数据,恢复时只需要最后一次的备份数据。数据增量备份是仅将当天产生的数据进行备份,这些数据同以前备份的数据一起构成完整的信息 恢复时要把以前的所有数据放在一起才行,这常用于数据量大的情况,如日产生新数据超过100Mb甚至更高的情况。但是对于两种备份方法上,采用全量备份较为安全,但每日备份操作时间较长,一般要达到1-2个小时。
4 结束语
总之,随着ERP在我国的迅速普及,加上网络的快速发展,ERP的安全性已成为IT专家所要研究的一项重要课题,是计算机科学的重要分支。如何建立一个满足各级部门信息处理要求的、行之有效的安全的ERP系统,成为一个企业或组织生存和发展的重要条件。
参考文献:
[1] 李全林,顾冠群.信息化带动工业化指南[M].南京:东南大学出版社,2005:55.
[2] 罗鸿.ERP原理、设计、实施[M].北京:电子工业出版社,2002:32.
[3] 刘安华.商品化ERP软件的选择、需求和实施[J].电子与信息化,2000:1-2.
[4] 罗风兰,欧阳电平.ERP系统环境下信息系统内部控制的风险分析与防范-基于某企业集团实施ERP案例的思考中国管理信息化[J],2005,12(5):12-13.
关键词:企业;ERP软件;安全管理;安全防范
中图分类号:TP311文献标识码:A 文章编号:1009-3044(2008)24-1315-02
Security Guard of Practice Application of Enterprise ERP Software
LU Zhi-bin
(Dongguan City, blue sky decorated Ltd. ,Dongwan 523010,China)
Abstract: Along with the gradually mature of the domestic ERP market and the price of ERP product drop day-by-day, more and more enterprises starts using the ERP software to utilize the daily business affair. But exterior intruder’s attack, the internal user’s malicious attack, the cheat and the system abuses the opportunity of the ERP assumes grow exponentially. It cause the enterprise that were the successful implemented the ERP system extremely was actually slower in the user’s use reaction rate, and the safe of system is bad. For this reason, this article f concrete discuss the safe hidden danger and measure of enterprise ERP system software.
Key words: enterprise; ERP software; safety control; security guard
1 引言
ERP(Enterprise Resource Planning)企业资源计划系统是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台。企业ERP系统覆盖了企业基本的运营业务包括生产、采购、财务、销售、人力资源、客户关系等,它可以看作为一个企业的中枢神经系统,要是这个中枢神经系统出了什么问题,那么整个企业就有可能面临瘫痪和崩溃的危险。随着现代企业制度的逐步建立,科学管理受到普遍重视。由于ERP中存有大量的企业机密信息, 因此,ERP系统的安全性是一个不容忽视的问题。虽然许多企业对ERP安全做了一些工作,但企业目前的ERP安全管理基本上还处在一种静态的、局部的、突击式的、事后纠正式的管理方式,导致的结果是不能从根本上避免、降低各类风险,也不能降低ERP安全故障导致的综合损失。本文为此具体探讨企业ERP系统软件的安全隐患与防范措施。
2 企业ERP系统软件的安全隐患
2.1 网络安全
网络安全就是一种能够识别和消除不安全因素的能力。在一些实施ERP的企业里,人们往往仅注重网络的高效,但常常忽视网络的安全问题,特别是缺乏网络安全意识,危害更大,这样一旦有安全事故的发生,将给企业带来不可估量的损失。其首先是物理安全,其主要因素有火灾及自然灾害、雷电、辐射、停电、硬件故障、搭线、盗用、偷窃和超负荷等等。其次是网络应用安全。将计算机联到网上就会多出一个网络安全的问题病毒的袭击、黑客的攻击、其他人员的破环、操作员的不按规范程序违章操作或操作失误等都能引起网络故障产生网络安全问题。
2.2 数据库安全
目前市场上比较流通的数据库主要包括。Sybase、DB2、SQL server等。各种数据库的性能、价格之间、也数据安全上都存在一定的差异。中小企业由于资金的制约,往往选择价格相对低廉的低端的数据库。在数据量达到一定程度后,产生数据崩溃,将导致所有商业数据丢失。还有些ERP系统,使用明文显示的数据库,很容易就可以查看到数据信息。另外,在选择软件的时候,由于缺乏技术支持,没有选择合适的数据库架构。B/SC/S结构设计失误将直接导致ERP系统的安全性能收到威胁,对于用户来讲,将带来难以挽回的损失。
2.3软件安全
ERP软件的安全性取决于两个方面:首先,软件提供商的生命力和行业背景是否经受住市场上众多用户和时间的考验,其业务流程的设计是否能够满足基本的企业生产、财务、物流等业务的要求。ERP软件要易学易用,应该成为我们的管理工具,要帮助我们简化流程,而不是增加我们的工作量。其次,ERP厂商的服务,是ERP软件安全性的另一个重要的组成部分。一个生命期很短的供应商无法保证对自己的产品进行持续的升级服务。一些企业由于人力资源的限制,在产品升级和具体实施时缺乏专业顾问的保障,因而售后服务的完备与及时是ERP软件安全运行的重要资源。
2.4 系统权限的相互制约
当前几乎所有的ERP软件在信息安全的设计上都没有或者很少在这方面加以考虑。在这些软件的设计中,往往存在一个无所不能的超级用户掌管着其它合法用户的“生杀大权”,他不仅能够独立地增加、删除用户和重置用户密码;而且可以随意调整合法用户的职责和权限。而这对于涉及企业综合性管理的ERP软件来说,可能带来的危害是致命的。因为超级用户能够掌握企业大量的机密信息,一旦其别有用心,将会给企业带来不可估量的商业损失。因此必须考虑对系统权限进行分割并使其相互制约,避免出现权限的过分集中。
3 加强企业ERP系统软件安全防范的措施
3.1 合理选择ERP软件
对于ERP软件的选择,要根据企业的实际情况来确定。如果地点单一,可以考虑使用C/S架构的软件;如果地点分散在不同国家、地区等,可以考虑使用B/S架构的软件。在ERP软件采购过程中,非常重要的一点就是要对软件提供商的生命力和行业性进行评估,防止供应商的破产带来后续服务的终结。ERP厂商的服务,是ERP软件安全性一个重要的组成部分。产品升级和专业顾问是保障软件安全运行的重要资源。另外,ERP软件由于包含了企业的全部信息,应该对所有登录到系统的操作人员做细致的权限划分,保证数据共享范围和拒绝范围。
3.2 加强授权管理和身份鉴别
授权管理就是系统可以根据用户的身份或所在的分组来允许或拒绝合法用户执行某些规定的系统使用权利。使用RBAC(基于角色的访问控制)策略来进行授权管理。非常适合用于拥有大量的用户和海量的数据信息的ERP系统。身份鉴别是确保使用者能够提出宣称身份相符的证明,这在网络安全中非常重要。比如,不是收银员就不能操作POS机,不是财务人员不能进入财务系统,不是营业员所开具的销货票就不能通过POS机销售,特别是超级用户,三次输入错误口令系统将自动关闭超级用户。只有通过技术处理后,超级用户才能再次登录,这样通过身份鉴别体系。使系统达到一种合理的管理控制,防止越权操作,防止错误操作,减少安全事故的发生,并且如出现错误操作也可以依据身份鉴别界定责任人。
3.3 保护数据库中的数据
数据库安全性是用户权限管理等方面的内容,这种安全性以信息资源和信息资源的用户为主要管理对象,一个用户只要具有对某个对象的访问权限,就可以对信息资源进行操作。我们以SQL Server数据为例来探讨保护数据库中的数据方法。第一四SQL Server的安全性可以与操作系统的安全性建立某种联系,这就是SQL Server的安全性模式。它有3种安全模式:标准安全、集成安全、混合安全。标准安全完全由SQL Server自身维护安全性,对所有连接采用SQL Server本身的登录证实过程,通过使用Login ID和口令来访问数据库服务器。集成安全允许SQL Server用Windows 2000的认证机制来证实SQL Server的所有连接。混合安全使得SQL Server的用户和Windows 2000的用户都可以获得访问数据库的权限。当然,可以不使用SQL Server自身的用户管理,只允许Windows 2000的用户具有访问数据库的权限。第二是在SQL Server中,权限分两大级别:连接权、访问权。连接权指是否可以访问SQL Server,访问权指是否可以查询或修改数据库。每一个网络用户在访问SQL Server数据之前,必须使用一个windows的账号或SQL Server的Login ID以及口令,与SQL Server建立连接,SQL Server的安全系统通过对用户提供的登录信息的验证决定是否允许这个用户连接。在连接成功后,用户还需要在每个数据库中都有一个数据库用户账号,或者是用户别名,查询或者修改数据时,SQL Server的安全系统根据这个账号或者别名的权限决定是否允许用户请求的操作。
3.4 安全备份和安全恢复
企业的ERP系统是为信息服务的,网络的安全主要是信息的安全,而企业的信息都储存在数据库中,数据库可能由于硬件或软件故障变得不能使用,所以为了防止数据的丢失,数据库的备份与恢复就显得十分重要。首先要制定完善的安全备份策略,数据备份策略一般有月备份、周备份和日备份,再细分有数据全量备份和数据增量备份之分。数据全量备份就是将数据库内容全部复制到备份设备上,其多用于日增加数据量较小的系统中,一般这种备份数据每日增加量不超过100Mb,1年下来整个数据备份起来也不大于30Gb,这种备份的数据包含着以前的历史数据,恢复时只需要最后一次的备份数据。数据增量备份是仅将当天产生的数据进行备份,这些数据同以前备份的数据一起构成完整的信息 恢复时要把以前的所有数据放在一起才行,这常用于数据量大的情况,如日产生新数据超过100Mb甚至更高的情况。但是对于两种备份方法上,采用全量备份较为安全,但每日备份操作时间较长,一般要达到1-2个小时。
4 结束语
总之,随着ERP在我国的迅速普及,加上网络的快速发展,ERP的安全性已成为IT专家所要研究的一项重要课题,是计算机科学的重要分支。如何建立一个满足各级部门信息处理要求的、行之有效的安全的ERP系统,成为一个企业或组织生存和发展的重要条件。
参考文献:
[1] 李全林,顾冠群.信息化带动工业化指南[M].南京:东南大学出版社,2005:55.
[2] 罗鸿.ERP原理、设计、实施[M].北京:电子工业出版社,2002:32.
[3] 刘安华.商品化ERP软件的选择、需求和实施[J].电子与信息化,2000:1-2.
[4] 罗风兰,欧阳电平.ERP系统环境下信息系统内部控制的风险分析与防范-基于某企业集团实施ERP案例的思考中国管理信息化[J],2005,12(5):12-13.