浅析ERP系统环境下的企业信息安全管理

　　一、引言

　　当今我国市场规模的不断发展，企业竞争已经从单一企业间的竞争朝着企业供应链之间的竞争发展、企业仅靠自身资源已经无法有效地参与市场竞争，还必须把经营过程中的有关各方纳入一个紧密的供应链中，才能有效地安排企业的产、供、销活动，满足企业利用全社会一切市场资源快速高效地进行生产经营的需求，以进一步提高效率和在市场上获得竞争优势、针对这一需求，企业纷纷引进ERP系统，构建企业信息化平台、当前ERP系统是指针对物资资源管理、人力资源管理、财务资源管理、资源管理集成一体化的企业管理软件、ERP系统实现了对整个企业供应链的管理、适应了企业在知识经济时代市场竞争的需要、鉴于ERP系统的巨大优势、目前绝大多数大型企业均实现了ERP系统的部署实施、然而，由于上存在大量的攻击、木马、蠕虫等网络威胁。而ERP系统的正常运行依赖于大量的网络传输、处理和消息交互这就阻碍了ERP系统的应用与实施、因此，研究ERP系统所面对的安全威胁并采取相应措施进行规避是一项非常重要的课题。

　　二、ERP系统信息安全威胁

　　安全问题的产生是一个非常复杂的问题，包含了多种因素的相互作用、总结起来，企业ERP系统所面临的信息安全威胁主要包括来自以下几个方面的内容。

　　(一)ERP网络应用的威胁

　　来自网络层面的威胁主要来自远程访问企业内部系统所造成的信息泄漏隐患、随着企业规模的不断扩展，对外的销售和物流网络也随之扩大。出差的业务员和某些客户经常需要在异地远程访问企业网络资源、为此，ERP专门提供了a/s的访问模式，使得异地用户能够使用浏览器通过虚拟专用网络VPN访问公司内部资源、由于异地访问行为不受约束，泄密行为时有发生，因此价值较高的商业机密有可能流失，比如企业产品的底价、设计图纸等等、此外，内部网络的窃听行为也给ERP系统的安全使用造成威胁、ERP系统应用时。其服务器端与客户端数据的传输、都是通过明文传输的、用户只需要在网络上安装一个监听软件、就可以全面的了解用户访问的内容。跳过客户端的权限设置，从而达到网络数据窃听的目的。

　　(二)ERP统应用的威胁

　　如果ERP系统本身管理不当，也不会存在数据泄露的危险、从ERP系统的角度出发。主要的安全威胁就是权限配置不当所造成的。这类威胁主要在敏感数据缺乏分级管理机制，比如某个报表，只要有查看权限的都能够看到全部信息，并且能够导出。这就给敏感数据造成了很大的威胁、此外，很多员工的终端系统密码设置较为简单，大多使用生日或者电话，有的其至使用“12345″等简单数字作为密码，这类密码强度不高，容易被破解。

　　(三)ERP统漏洞的威胁

　　ERP系统的构建需要大量的软硬件系统，涉及到网络传输、Web浏览以及服务总线等多方面的技术，这些技术的实现需要大量的软件，软件不可能避免存在一些已知或者未知的漏洞、黑客能够利用这些漏洞获取ERP服务器的权限，从而扰乱系统的正常运行，并窃取重要的商业机密。

　　三、ERP信息安全保障措施

　　ERP系统的安全最重要，为了保障ERP系统在应用中的信息安全，针对上述三类威胁，具体来说有以下几种方法进行应对。

　　(一)网络传输安全保障ERP系统的传输安全可以从两方面进行强化

　　1、对远程访问权限采用指纹、密码等多种身份识别机制，同时限制远程访问行为所能够接触到资源的数量，在保障业务的同时避免泄密。

　　2、对数据报表采用嵌入水印的方式讲行保护，比如一份报表如果事后被发现窃密了，可以通过水印的方式检测出其它信息，并结合ERP日志进行辅助案件侦破。

　　(二)信息应用安全保障

　　ERP信息应用安全保障主要包括对重要数据进行分级管理，同时对所有合法用户进行分级，确保他们所能访问的数据级别和类型、比如某个员工只具有中级数据访问权限，而某个报表的一些属性项是高密级，它就无法查看该属性项，而只能看到其他低密级选项。

　　(三)系统漏洞安全保障

　　ERP系统的漏洞修复工作主要依赖专业测评机构的工作、通过定期安全测评、管理员能够发现系统中存在的软硬件漏洞，并及时采取相应措施进行修补、同时在配置上的问颗也要依赖系统管理员的经验，尽量少开放端口，并目保证一些不安全的服务必须受限、比如一些微软公告所描述的信息往往包含ERP涉及软件的漏洞。需要认即进行修补、因此，管理员的安全意识更需要进一步提高。

　　四、完善网络信息安全保障体系

　　首先，需要制定完善的法律政策，以法制手段来强化网络安全;其次，从管理上维护系统的安全，确定信息安全管理机构和切实可行的网络管理规章制度，加强信息安全教育、提高高层管理者的安全意识，以保证网络信息安全;最后，从技术上采取措施，在企业内部和互联网之间要加一道防火墙，防止黑客或计算机病毒的袭击，保护企业内部的敏感数据。

　　五、加强对操作人品的培训

　　企业信息化管理涉及整个企业经营管理模式的变革，它把信息技术与管理相结合，利用先进技术不断提高管理水平、加强财务管理信息化建设，必须从公司主要领导开始到所有工作人员进行动员，充分认识到信息化对提高管理水平的重要性、工作人员要在思想观念上更新和转变对管理的理解和认识，必须在系统上建立健全工作人员培训制度，并在系统建设的全过程中贯彻落实，以提高员工的业务素质以及熟练使用软件的能力、具有创新能力的人员是企业顺利而有效地开展管理创新的基础，有针对性地对人员进行网络技术培训，可以提高人员的适应能力和创新能力、同时企业要树立与网络环境，适应的信息观念、协作竞争观念、以人为本观念和开放型管理模式。

　　ERP系统的广泛使用是信息化推进和企业市场规模发展到一定阶段的产物、如何在利用ERP带来的企业运营和管理便利的同时、尽可能避免安全威胁、是在ERP系统应用过程中需要详细考虑的问题、随着信息安全技术的不断发展，不断有新的威胁会出现，也需要ERP系统进一步提高安全意识，防范可能的网络攻击行为。

相关文章：

实施信息安全管理转型刻不容缓 ISO27001信息安全管理体系与等级保护管理要求 ISO27001信息安全管理体系如何落到实处 ISO27001信息安全管理体系建立过程 从信息安全管理角度探讨网络隔离技术