中小企業ＥＲＰ安全管理的現狀與對策分析

[摘 要] 中小企業ERP項目雖然市場發展空間較大，但在其安全管理方面卻危機重重。因此必須從項目實施的各個階段加以規范，加強資源的優化管理和內外信息監控，以充分發揮ERP系統帶來的企業運作優勢。

[關鍵詞] 中小企業 ERP安全 對策

隨著國內ERP市場的逐漸成熟，隨著ERP產品價格的日益下降，越來越多的中小企業開始將ERP軟件運用于日常的企業事務。由于中小企業普遍缺乏資金和IT技術應用經驗，在購買ERP產品時往往僅考慮其性能價值比的最大化，而忽略其產品的安全系數。隨著企業現代化水平的不斷提高和管理機制的不斷完善，在處理財務、員工福利，以及其他類似敏感資料的信息系統的應用不斷增加的同時，針對這些信息系統的外部入侵者的攻擊和損害和來自內部用戶的惡意攻擊、欺詐和系統濫用的機會也在呈指數級的增長。這樣導致了企業即便是成功的實施了ERP系統，但在用戶的使用反應速度上卻極其緩慢，系統安全不堪一擊。

一、ERP安全管理現狀

ERP管理軟件保存著企業所有的信息，既有敏感的客戶信息，也有賴以生存的專利配方，可以說ERP管理軟件的實質就是一個實體企業在軟件中的虛擬映射。ERP管理軟件可以反映出一個企業的組織架構、管理理念、客戶資源、人力資源組成、企業產能、銷售渠道、合作伙伴、競爭對手等方方面面的信息。這些信息都保存在網絡中的某臺或某幾臺電腦中，令所有可以接入網絡的電腦，都有可能對其進行訪問。在這種情況下，信息安全就不可避免的成為企業的重點管理的目標。

1.數據庫安全岌岌可危

目前市場上比較流通的數據庫主要包括Oracle、Sybase、DB2、SQLserver等。各種數據庫的性能、價格之間，也數據安全上都存在一定的差異。中小企業由于資金的制約，往往選擇價格相對低廉的低端的數據庫。在數據量達到一定程度后，產生數據崩潰，將導致所有商業數據丟失。還有些ERP系統，使用明文顯示的數據庫，很容易就可以查看到數據信息。另外，在選擇軟件的時候，由于缺乏技術支持，沒有選擇合適的數據庫架構，B/S、C/S結構設計失誤將直接導致ERP系統的安全性能收到威脅，對于用戶來講，將帶來難以挽回的損失。

2.軟件安全存在隱患

ERP軟件的安全性取決于兩個方面：首先，軟件提供商的生命力和行業背景是否經受住市場上眾多用戶和時間的考驗，其業務流程的設計是否能夠滿足基本的企業生產、財務、物流等業務的要求。ERP軟件要易學易用，應該成為我們的管理工具，要幫助我們簡化流程，而不是增加我們的工作量。其次，ERP廠商的服務，是ERP軟件安全性的另一個重要的組成部分。一個生命期很短的供應商無法保證對自己的產品進行持續的升級服務。中小企業由于人力資源的限制，在產品升級和具體實施時缺乏專業顧問的保障，因而售后服務的完備與及時是ERP軟件安全運行的重要資源。目前，有些中小型企業逐步開始采用租賃方式的ERP軟件，由供應商提供服務器和軟件，客戶將自己的數據保存在服務商提供的服務器上。這更就需要了解供應商的安全防范能力和數據庫吞吐能力。

3.管理安全尚未得到重視

很多中小型企業為了突破自身發展的瓶頸，花費了大量的金錢，采購了硬件和軟件，在一定程度上幫助管理者用理性決策取代情緒化、經驗性決策。但系統安全并沒有達到預期的目標，主要原因在于管理安全尚未得到重視。在企業日常運作中缺乏完善的管理制度，操作人員缺乏安全意識，在口令、交接、網絡和存儲管理上缺乏細致的權限劃分，對共享數據范圍缺乏明確的定義，導致了企業敏感資料和公共資料毫無分別，處于非授權和非保護狀態，從而帶來不可估量的巨大經濟損失。

二、中小企業ERP安全管理對策分析

美國一份權威報告曾指出，“企業必須考慮其系統安全功能和控制的全面設置，以便交易得以正常安全地進行”。中小企業一方面要在充分調研、嚴格論證的基礎上選擇實用、夠用、易用的ERP軟件；另一方面要苦練內功，充分發揮ERP的功效。

1.對ERP項目進行嚴格的可行性論證

項目的可行性論證可以很大程度上降低實施的安全風險，在論證時要在明確自身需求的前提下，對自身未來的業務發展進行展望，以此為基礎展開對軟件提供商的嚴格考察。在功能的選擇上，中小企業一定不能脫離實際情況，盲目選擇功能多、流程細致的模塊，因為模塊越復雜、越繁瑣則可能存在的實施安全風險越大，需要采取的安全控制手段越多，軟件功能不求多，而求適用、易用；在軟件提供商的選擇上，一定要選擇建立了現代企業制度，發展勢頭良好，在市場上口碑良好，有著完善的售后服務機制的廠商。另外，項目準備投用前應該首先在測試服務器上進行程序測試，這樣可以有效地控制新增程序設計不當和與系統不兼容的風險。

2.企業設施的優化配備和合理使用

對于中小企業來說，為了保障ERP系統安全實施，通常要依賴于網絡外圍的防御，利用諸如防火墻、VPNS，以及入侵防范等措施來抵御外界對其ERP系統的入侵。對于非授權的訪問，尤其是有意圖、有目的的攻擊行為要通過運行專用的網管軟件進行網絡監控、采用專用內容過濾技術阻止各種惡意內容的入侵，架設防火墻和殺毒軟件等技術措施防范來自網絡的黑客攻擊和病毒攻擊，并且限制來路不明的軟件在系統主機上安裝，最大程度地控制了網絡攻擊和惡意軟件帶來的風險。對于服務器和工作站的購置要綜合企業發展、現金流量、業務類型等因素綜合考慮，既能滿足企業現有的運作要求又能夠兼顧企業未來在較長時間內的持續發展，實現性價比最優。另外，企業信息系統設備設備的安全是系統運行的基礎，因此如何保證設備的安全是信息系統風險防范的基礎。諸如服務器、網絡設備、存儲設備、工作站等必備資源設立專門的中心機房和操作室，設立必備的監控系統以應對突發的各種安全隱患如自然災害和偷盜風險等。

3.建立和完善內部控制制度

為了降低開支或趕進度，中小企業在推行ERP系統時不愿意為“控制”投入太多，因為他們認為內部控制增加了員工的額外負擔，使得工作效率降低。但是，權限控制是完善職責分離制度的基礎控制手段，主要目標是防范內部人員的舞弊行為帶給企業的災難，中小企業的高層領導必須更新觀念，親自參與信息安全管理工作。在ERP環境下，信息系統中的職責分離主要包括：系統設計人員與系統操作人員的職責分離；系統維護人員與系統操作人員的職責分離：系統操作人員、系統設計人員與數據檔案管理員的職責分離；數據庫管理員與信息系統管理部門的其他職責要分離。在技術部門內對人員進行嚴格的分工，并由部門經理統一在系統中設定每個人的權限，這樣就保證了每個人操作權限的獨立性，有效地防范了舞弊風險。在職能部門中也要在企業組織架構設置的基礎之上貫徹職責分離原則，負責采購、支付、庫存、記錄及維護固定資產等職能的人員只應對這些職能中的某一具體業務環節負責，他們對其指定任務以外的職能不應享有系統使用權。對于復雜的業務，可以細化到某個字段、某個表格的管理權、查詢權、刪除和插入等權限，從而構造一張完整的職責分離網絡，從多個緯度杜絕錯誤、失常乃至欺詐行為的發生，徹底消除以往僅依靠其自身的職業操守和道德準繩進行自我約束的狀況。

4.加強外部管理監控

ERP把客戶需求和企業內部的制造活動，以及供應商的制造資源整合在一起，形成企業一個完整的供應鏈，而在ERP系統中允許企業通過供應鏈管理將信息系統與可信賴的合作伙伴整合在一起的同時，相應授權用戶的數量也在持續增加。因此，企業不僅僅要考慮內部員工的可信度，還要考慮合作伙伴員工的可信度，以及外圍安全的可信度。基于以上原因，企業之間的安全通道可以采用VPN或者加密等技術進行保護，限制數據庫外泄；另外企業必須建立詳細的交易日志，通過這種舉措監控和辨認非正常交易，并確定該筆交易是否表明有詐騙、濫用或錯誤現象發生。

5.建立事故處理預案

安全事故預案是應對安全事故及故障的指導原則，目的是幫助企業迅速地對事故及故障做出反應，將事故及故障造成的損害降到最小，并通過對已發事件進行分析來監督此類事件，達到進一步防范風險的作用。建立安全事故處理預案是長期、低成本實現ERP安全運作的重要手段，該制度中應該明確事件的不同類型，如安全漏洞、安全威脅、弱點或故障等，以及它們的報告程序，以使員工在發現事件時可以及時匯報和迅速做出處理。在對事故做出適當的處理后，應迅速收集相關證據，以合適的機制進行量化，評價事故與故障的種類、數量和成本，以利于后續的監督和防范工作。此外，還應當建立和事件相對應的處罰措施，對引起系統安全漏洞的員工加以適當的懲罰，有利于降低人員出錯帶來的安全隱患。

綜上所述，企業ERP系統的安全實施，是軟件、硬件和人員的高效結合，缺一不可。企業要充分考慮各種可行舉措，適應企業的業務發展，使系統安全高效的運行，滿足管理和生產的需要。

參考文獻：

[1]羅鳳蘭歐陽電平:ERP系統環境下信息系統內部控制的風險分析與防范——基于某企業集團實施ERP案例的思考.《中國管理信息化》，2005（5）

[2]沈沉:ERP安全現狀和解決方案.《網絡安全技術與應用》，2005（5）