试论ERP系统安全问题及五大对策

(2)企业应当了解所要实施的ERP系统的技术特点和实施的实际情况(包括系统构架、业务流程、功能环节及运行状况等)，了解相关安全需求，基于系统工程理论对ERP系统的具体操作人员、硬件设备、软件平台、数据传输及存储、网络环境以及运行流程等环节进行定性和定量的综合分析，确认要重点防护的环节、面临的安全风险威胁，找出薄弱环节、缩小漏洞范围，由此制定安全目标和安全策略，做好事故应急预案和代价限度。

(3)ERP系统的安全防护设施是一个整体性、综合性的系统工程，不是某个安全技术措施单独能够防护的，任何一个微小的漏洞都会导致系统整体崩溃。在建设安全防护设施时应该将现有各种安全组件、管控措施有机地组合起来，优化配置，部署于ERP系统的正确的位置，协同配合，共同防护，由此全面、全方位地提高安全防护水准，提高了防护效率、效果，超越任何单一安全组件单打独斗式极低的防护效果。

(4)在设计规划安全防护设施时，应当使其适应企业目前业务活动特点、业务人员水平和满足ERP系统正常运行的要求，而且由于信息技术的发展，安全防护设施的建设也是一个循序渐进、不断完善的过程，因此，安全防护设施的建设要实现可用性、可靠性、可扩充性、完整性、机密性和可伸缩性间的全面结合。

(5)由于ERP系统面临的安全威胁是不断变化的，因此安全设施的建设应当根据安全目标、安全策略有序地组织起来，构建立体布局、流程化、动态化的安全防护体系。建设技术手段与管理体系的并重、进行流程控制的安全防护体系。

从技术层面上提高物理层、链路层、网络层、应用层等方面的安全防护技术手段，在管理体系上，制定严格的管理制度，建立科学的、严密的岗位分工与组织，并进行经常性的维护、检查。

(6)企业建设的安全防护体系应当有相应的、健全的评价规范和准则，可以进行定性定量的风险评估，可以汇总出整个ERP系统安全防护体系的整体结构和所采用的安全工具与措施，确定安全防护体系的建设是否实现了安全目标与安全策略。

三、安全防护体系建设的措施

1.重视基础设施建设，合理设置信息安全架构。

应依据ERP系统的特点和确定的安全目标、安全策略以建设一个合理的、完善的安全架构体系，根据系统的功能特点和面l临的安全风险，合理地划分安全区域，统一规划安全设施、网络设施、共享的信息资源范围等，增强对网络的监控。

根据职能和部门、内网和外网的不同，对网络、系统平台之间进行合理、有效的区域隔离和访问控制，实现“应用分区、安全分级、网络分层”，对核心设备、核心环节的安全进行重点防护，从而实现ERP系统的安全目标、规避和控制安全风险。

根据安全的等级，网络环境和具体模块功能的不同，ERP系统的安全防护区域可以具体划分为：网络核心区、服务器接人区、办公网接入区、网络安全监控管理区、广域网接人区、外联网接入区，区域间使用安全技术设备加以隔离。

对用户的工作域及用户名称和权限，应按职能和部门的不同进行规范，统一设置，加以区别。

2.加强系统平台安全防护措施，保证网络和设备的安全。

根据安全目标和安全体系构架的要求，根据最新技术进展，对ERP系统平台进行二次开发和系统补丁升级，增加相关的实时监测、控制功能，及时进行漏洞、木马病毒、对外重要接口的安全扫描和修补工作，由此完善软件、硬件的安全功能。同时，统一规划并加强以下几方面的安全控制：身份认证、操作权限管理、访问控制、信息保密及完整、系统实时监控及日志记录，对于所开放的权限和系统服务按照满足生产操作所需的最小程度严格限定，从源头上预防安全风险，保证网络和设备的安全、完整、准确。对于二次开发的软件、硬件必须经过安全检测才可投入运行。

对于外网远程访问ERP系统内数据库，一般采用虚拟专用网(VPN)技术，通过安全加密通道连接传输，增强保密和认证作用，防止重要数据在传输线路上被截取。

3.设立防火墙和入侵检测系统，加强访问控制和对木马病毒、恶意攻击等的防范。

ERP系统服务器所用的防火墙采用软硬件结合的方式，软件防火墙一般只起到数据包过滤、系统运行监控以及服务器工作状态监控等，硬件防火墙将软件防火墙集成在硬件设备内，通过专门的安全控制芯片与软件协调