中小企業ERP的安全防御與策略

梁文廣

摘要：本文從非技術領域與技術領域介紹了中小企業ERP的安全防御與策略，主要包括：人員安全、建立事故處理預案、企業設施的優化配備和合理使用、網絡安全、操作安全、數據庫的安全。

關鍵詞：中小企業ERP安全防御與策略

一、前言

目前，國內中小企業已經達到4200多萬戶，占全國企業總數的99％以上。其中ERP系統整合了企業內部所有經營活動。調查顯示，60％以上的中小企業認為ERP軟件是目前企業的主要需求。與大企業相比，中小型企業在阿絡安全方面通常面臨的問題是預算不足，然而其對于安全性的要求往往是相同甚至更高。

二、非技術領域策略

為了降低成本或趕進度，中小企業在推行ERP系統時往往不愿意為“控制”投入太多，因為他們認為內部控制增加了員工的額外負擔，使得工作效率降低。但是，權限控制是完善職責分離制度的基礎控制手段，主要目標是防范內部人員的舞弊行為帶給企業的災難，中小企業的高層領導必須更新觀念，親自參與信息安全管理工作。在職能部門中也要在企業組織架構設置的基礎之上貫徹職責分離原則，負責采購、銷售、庫存、記錄及維護固定資產等職能的人員只應對這些職能中的某一具體業務環節負責，他們對其指定任務以外的職能不應享有系統使用權。對于復雜的業務，可以細化到某個字段、某個表格的管理權、查詢權、刪除和插入等權限，從而構造一張完整的職責分離網絡，從多個緯度杜絕錯誤、失常乃至欺詐行為的發生，徹底消除以往僅依靠其自身的職業操守和道德準繩進行自我約束的狀況。

人員安全。近幾年，由于經濟的高速發展，業務不斷的更新和變化，同時新用戶進入ERP系統，老用戶由于崗位變動，更換了不同性質的工作，要求進行ERP知識的培訓和再培訓。在提高用戶的業務能力和素質同時，加強了對用戶的考核與淘汰。通過對最終用戶的考核與淘汰制度，強化了用戶的學習意識和工作責任，減少了數據錄入錯誤，保證了ERP系統的平穩運行。

建立事故處理預案。安全事故預案是應對安全事故及故障的指導原則，目的是幫助企業迅速地對事故及故障做出反應，將事故及故障造成的損害降到最小，并通過對已發事件進行分析來監督此類事件，達到進一步防范風險的作用。建立安全事故處理預案是長期、低成本實現ERP安全運作的重要手段，制度中應該明確事件的不同類型，如安全漏洞、安全威脅、弱點或故障等，以及它們的報告程序，以使業務人員在發現事件時可以及時匯報和迅速做出處理。在對事故做出適當的處理后，應迅速收集相關證據，以合適的機制進行量化，評價事故與故障的種類、數量和成本，以利于后續的監督和防范工作。此外，還應當建立和事件相對應的處罰措施，對引起系統安全漏洞的員工加以適當的警示，有利于降低業務人員出錯帶來的安全隱患。

三、技術領域策略

企業設施的優化配備和合理使用。對于中小企業來說，為了保障ERP系統安全實施，通常要依賴于網絡外圍的防御，利用諸如防火墻、VPNS，以及入侵防范等措施來抵御外界對其ERP系統的入侵。對于非授權的訪問，尤其是有意圖、有目的的攻擊行為要通過運行專用的網管軟件進行網絡監控、采用專用內容過濾技術阻止各種惡意內容的入侵，架設防火墻和殺毒軟件等技術措施防范來自網絡的黑客攻擊和病毒攻擊，并且限制來路不明的軟件在系統主機上安裝，最大程度地控制了網絡攻擊和惡意軟件帶來的風險。對于服務器和工作站的配備要綜合企業發展、現金流量、業務類型等因素綜合考慮，既能滿足企業現有的運作要求又能夠兼顧企業未來在較長時間內的持續發展，實現性價比最優。另外，企業信息系統設備的安全是系統運行的基礎，因此如何保證設備的安全是信息系統風險防范的基礎。諸如服務器、網絡設備、存儲設備、工作站等必備資源設立專門的中心機房和操作室，設立必備的監控系統以應對突發的各種安全隱患如自然災害和偷盜風險等。

網絡安全。油田企業像一個“沒有圍墻”的工廠，單位分散、點多面廣、地域偏僻。保障網絡的安全、穩定、及時，是實施ERP系統必須考慮的關鍵因素。為此，在保證局域網正常暢通的前提下，需要限定ERP系統上線人數上限，限制出口用戶的數量，要求上線用戶只能在內部運行，對外出口設置防火墻，外部用戶經過授權，通過口令與密碼才能訪問系統。同時，對業務流量進行實時監控。

操作安全、數據庫的安全。SAP系統運行于安全可靠的操作系統，如UNIX、Windows2000，數據庫系統，如Oracel、Informix。這些操作系統和數據庫系統，都已通過或超過C2級安全認證，或達到相應安全級別的管理要求。系統管理員應當能夠有效地利用它們的安全能力。在實際工作中規定了口令長度，實行口令多次打不開系統失敗后的賬戶鎖定，強制上線用戶定期更改口令等，以確保操作系統和數據庫的口令安全。按照ERP系統的公司公告和推薦，及時下載操作系統和數據庫系統的補丁程序，對系統存在的漏洞進行修補，盡最大可能減少系統的安全漏洞。對于數據庫的安全，除了口令、密碼等安全外，還做好了數據的備份管理工作，包括實行對每天的生產系統數據備份，每周的數據校驗，每月的數據備份的可用性和可恢復性檢查。切實的做好數據的備份工作，才能夠確保ERP系統內數據的穩妥和安全。同時，在企業條件許可的情況下，還將考慮增加異地容災系統，實行服務器異地運行，分別備份數據管理，以最大限度的提高ERP系統的安全運行能力。

綜上所述，企業ERP系統的安全實施，是軟件、硬件和人員的高效結合，缺一不可。企業要充分考慮各種可行舉措，適應企業的業務發展，使系統安全高效的運行，滿足管理和生產的需要。

參考文獻：

[1]羅鳳蘭，歐陽電平：ERP系統環境下信息系統內部控制的風險分析與防范——基于某企業集團實施ERP案例的思考，中國管理信息化，2005(5)

[2]沈沉.ERP安全現狀和解決方案，網絡安全技術與應用，2005(5)

[3]羅鴻.ERP原理、設計、實施，北京：電子工業出版社，2002

[4]劉安華.商品化ERP軟件的選擇、需求和實施，電子與信息化，2000