论文部分内容阅读
[摘 要] 中小企业ERP项目虽然市场发展空间较大,但在其安全管理方面却危机重重。因此必须从项目实施的各个阶段加以规范,加强资源的优化管理和内外信息监控,以充分发挥ERP系统带来的企业运作优势。
[关键词] 中小企业 ERP安全 对策
随着国内ERP市场的逐渐成熟,随着ERP产品价格的日益下降,越来越多的中小企业开始将ERP软件运用于日常的企业事务。由于中小企业普遍缺乏资金和IT技术应用经验,在购买ERP产品时往往仅考虑其性能价值比的最大化,而忽略其产品的安全系数。随着企业现代化水平的不断提高和管理机制的不断完善,在处理财务、员工福利,以及其他类似敏感资料的信息系统的应用不断增加的同时,针对这些信息系统的外部入侵者的攻击和损害和来自内部用户的恶意攻击、欺诈和系统滥用的机会也在呈指数级的增长。这样导致了企业即便是成功的实施了ERP系统,但在用户的使用反应速度上却极其缓慢,系统安全不堪一击。
一、ERP安全管理现状
ERP管理软件保存着企业所有的信息,既有敏感的客户信息,也有赖以生存的专利配方,可以说ERP管理软件的实质就是一个实体企业在软件中的虚拟映射。ERP管理软件可以反映出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。这些信息都保存在网络中的某台或某几台电脑中,令所有可以接入网络的电脑,都有可能对其进行访问。在这种情况下,信息安全就不可避免的成为企业的重点管理的目标。
1.数据库安全岌岌可危
目前市场上比较流通的数据库主要包括Oracle、Sybase、DB2、SQLserver等。各种数据库的性能、价格之间,也数据安全上都存在一定的差异。中小企业由于资金的制约,往往选择价格相对低廉的低端的数据库。在数据量达到一定程度后,产生数据崩溃,将导致所有商业数据丢失。还有些ERP系统,使用明文显示的数据库,很容易就可以查看到数据信息。另外,在选择软件的时候,由于缺乏技术支持,没有选择合适的数据库架构,B/S、C/S结构设计失误将直接导致ERP系统的安全性能收到威胁,对于用户来讲,将带来难以挽回的损失。
2.软件安全存在隐患
ERP软件的安全性取决于两个方面:首先,软件提供商的生命力和行业背景是否经受住市场上众多用户和时间的考验,其业务流程的设计是否能够满足基本的企业生产、财务、物流等业务的要求。ERP软件要易学易用,应该成为我们的管理工具,要帮助我们简化流程,而不是增加我们的工作量。其次,ERP厂商的服务,是ERP软件安全性的另一个重要的组成部分。一个生命期很短的供应商无法保证对自己的产品进行持续的升级服务。中小企业由于人力资源的限制,在产品升级和具体实施时缺乏专业顾问的保障,因而售后服务的完备与及时是ERP软件安全运行的重要资源。目前,有些中小型企业逐步开始采用租赁方式的ERP软件,由供应商提供服务器和软件,客户将自己的数据保存在服务商提供的服务器上。这更就需要了解供应商的安全防范能力和数据库吞吐能力。
3.管理安全尚未得到重视
很多中小型企业为了突破自身发展的瓶颈,花费了大量的金钱,采购了硬件和软件,在一定程度上帮助管理者用理性决策取代情绪化、经验性决策。但系统安全并没有达到预期的目标,主要原因在于管理安全尚未得到重视。在企业日常运作中缺乏完善的管理制度,操作人员缺乏安全意识,在口令、交接、网络和存储管理上缺乏细致的权限划分,对共享数据范围缺乏明确的定义,导致了企业敏感资料和公共资料毫无分别,处于非授权和非保护状态,从而带来不可估量的巨大经济损失。
二、中小企业ERP安全管理对策分析
美国一份权威报告曾指出,“企业必须考虑其系统安全功能和控制的全面设置,以便交易得以正常安全地进行”。中小企业一方面要在充分调研、严格论证的基础上选择实用、够用、易用的ERP软件;另一方面要苦练内功,充分发挥ERP的功效。
1.对ERP项目进行严格的可行性论证
项目的可行性论证可以很大程度上降低实施的安全风险,在论证时要在明确自身需求的前提下,对自身未来的业务发展进行展望,以此为基础展开对软件提供商的严格考察。在功能的选择上,中小企业一定不能脱离实际情况,盲目选择功能多、流程细致的模块,因为模块越复杂、越繁琐则可能存在的实施安全风险越大,需要采取的安全控制手段越多,软件功能不求多,而求适用、易用;在软件提供商的选择上,一定要选择建立了现代企业制度,发展势头良好,在市场上口碑良好,有着完善的售后服务机制的厂商。另外,项目准备投用前应该首先在测试服务器上进行程序测试,这样可以有效地控制新增程序设计不当和与系统不兼容的风险。
2.企业设施的优化配备和合理使用
对于中小企业来说,为了保障ERP系统安全实施,通常要依赖于网络外围的防御,利用诸如防火墙、VPNS,以及入侵防范等措施来抵御外界对其ERP系统的入侵。对于非授权的访问,尤其是有意图、有目的的攻击行为要通过运行专用的网管软件进行网络监控、采用专用内容过滤技术阻止各种恶意内容的入侵,架设防火墙和杀毒软件等技术措施防范来自网络的黑客攻击和病毒攻击,并且限制来路不明的软件在系统主机上安装,最大程度地控制了网络攻击和恶意软件带来的风险。对于服务器和工作站的购置要综合企业发展、现金流量、业务类型等因素综合考虑,既能满足企业现有的运作要求又能够兼顾企业未来在较长时间内的持续发展,实现性价比最优。另外,企业信息系统设备设备的安全是系统运行的基础,因此如何保证设备的安全是信息系统风险防范的基础。诸如服务器、网络设备、存储设备、工作站等必备资源设立专门的中心机房和操作室,设立必备的监控系统以应对突发的各种安全隐患如自然灾害和偷盗风险等。
3.建立和完善内部控制制度
为了降低开支或赶进度,中小企业在推行ERP系统时不愿意为“控制”投入太多,因为他们认为内部控制增加了员工的额外负担,使得工作效率降低。但是,权限控制是完善职责分离制度的基础控制手段,主要目标是防范内部人员的舞弊行为带给企业的灾难,中小企业的高层领导必须更新观念,亲自参与信息安全管理工作。在ERP环境下,信息系统中的职责分离主要包括:系统设计人员与系统操作人员的职责分离;系统维护人员与系统操作人员的职责分离:系统操作人员、系统设计人员与数据档案管理员的职责分离;数据库管理员与信息系统管理部门的其他职责要分离。在技术部门内对人员进行严格的分工,并由部门经理统一在系统中设定每个人的权限,这样就保证了每个人操作权限的独立性,有效地防范了舞弊风险。在职能部门中也要在企业组织架构设置的基础之上贯彻职责分离原则,负责采购、支付、库存、记录及维护固定资产等职能的人员只应对这些职能中的某一具体业务环节负责,他们对其指定任务以外的职能不应享有系统使用权。对于复杂的业务,可以细化到某个字段、某个表格的管理权、查询权、删除和插入等权限,从而构造一张完整的职责分离网络,从多个纬度杜绝错误、失常乃至欺诈行为的发生,彻底消除以往仅依靠其自身的职业操守和道德准绳进行自我约束的状况。
4.加强外部管理监控
ERP把客户需求和企业内部的制造活动,以及供应商的制造资源整合在一起,形成企业一个完整的供应链,而在ERP系统中允许企业通过供应链管理将信息系统与可信赖的合作伙伴整合在一起的同时,相应授权用户的数量也在持续增加。因此,企业不仅仅要考虑内部员工的可信度,还要考虑合作伙伴员工的可信度,以及外围安全的可信度。基于以上原因,企业之间的安全通道可以采用VPN或者加密等技术进行保护,限制数据库外泄;另外企业必须建立详细的交易日志,通过这种举措监控和辨认非正常交易,并确定该笔交易是否表明有诈骗、滥用或错误现象发生。
5.建立事故處理预案
安全事故预案是应对安全事故及故障的指导原则,目的是帮助企业迅速地对事故及故障做出反应,将事故及故障造成的损害降到最小,并通过对已发事件进行分析来监督此类事件,达到进一步防范风险的作用。建立安全事故处理预案是长期、低成本实现ERP安全运作的重要手段,该制度中应该明确事件的不同类型,如安全漏洞、安全威胁、弱点或故障等,以及它们的报告程序,以使员工在发现事件时可以及时汇报和迅速做出处理。在对事故做出适当的处理后,应迅速收集相关证据,以合适的机制进行量化,评价事故与故障的种类、数量和成本,以利于后续的监督和防范工作。此外,还应当建立和事件相对应的处罚措施,对引起系统安全漏洞的员工加以适当的惩罚,有利于降低人员出错带来的安全隐患。
综上所述,企业ERP系统的安全实施,是软件、硬件和人员的高效结合,缺一不可。企业要充分考虑各种可行举措,适应企业的业务发展,使系统安全高效的运行,满足管理和生产的需要。
参考文献:
[1]罗凤兰欧阳电平:ERP系统环境下信息系统内部控制的风险分析与防范——基于某企业集团实施ERP案例的思考.《中国管理信息化》,2005(5)
[2]沈沉:ERP安全现状和解决方案.《网络安全技术与应用》,2005(5)
[关键词] 中小企业 ERP安全 对策
随着国内ERP市场的逐渐成熟,随着ERP产品价格的日益下降,越来越多的中小企业开始将ERP软件运用于日常的企业事务。由于中小企业普遍缺乏资金和IT技术应用经验,在购买ERP产品时往往仅考虑其性能价值比的最大化,而忽略其产品的安全系数。随着企业现代化水平的不断提高和管理机制的不断完善,在处理财务、员工福利,以及其他类似敏感资料的信息系统的应用不断增加的同时,针对这些信息系统的外部入侵者的攻击和损害和来自内部用户的恶意攻击、欺诈和系统滥用的机会也在呈指数级的增长。这样导致了企业即便是成功的实施了ERP系统,但在用户的使用反应速度上却极其缓慢,系统安全不堪一击。
一、ERP安全管理现状
ERP管理软件保存着企业所有的信息,既有敏感的客户信息,也有赖以生存的专利配方,可以说ERP管理软件的实质就是一个实体企业在软件中的虚拟映射。ERP管理软件可以反映出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。这些信息都保存在网络中的某台或某几台电脑中,令所有可以接入网络的电脑,都有可能对其进行访问。在这种情况下,信息安全就不可避免的成为企业的重点管理的目标。
1.数据库安全岌岌可危
目前市场上比较流通的数据库主要包括Oracle、Sybase、DB2、SQLserver等。各种数据库的性能、价格之间,也数据安全上都存在一定的差异。中小企业由于资金的制约,往往选择价格相对低廉的低端的数据库。在数据量达到一定程度后,产生数据崩溃,将导致所有商业数据丢失。还有些ERP系统,使用明文显示的数据库,很容易就可以查看到数据信息。另外,在选择软件的时候,由于缺乏技术支持,没有选择合适的数据库架构,B/S、C/S结构设计失误将直接导致ERP系统的安全性能收到威胁,对于用户来讲,将带来难以挽回的损失。
2.软件安全存在隐患
ERP软件的安全性取决于两个方面:首先,软件提供商的生命力和行业背景是否经受住市场上众多用户和时间的考验,其业务流程的设计是否能够满足基本的企业生产、财务、物流等业务的要求。ERP软件要易学易用,应该成为我们的管理工具,要帮助我们简化流程,而不是增加我们的工作量。其次,ERP厂商的服务,是ERP软件安全性的另一个重要的组成部分。一个生命期很短的供应商无法保证对自己的产品进行持续的升级服务。中小企业由于人力资源的限制,在产品升级和具体实施时缺乏专业顾问的保障,因而售后服务的完备与及时是ERP软件安全运行的重要资源。目前,有些中小型企业逐步开始采用租赁方式的ERP软件,由供应商提供服务器和软件,客户将自己的数据保存在服务商提供的服务器上。这更就需要了解供应商的安全防范能力和数据库吞吐能力。
3.管理安全尚未得到重视
很多中小型企业为了突破自身发展的瓶颈,花费了大量的金钱,采购了硬件和软件,在一定程度上帮助管理者用理性决策取代情绪化、经验性决策。但系统安全并没有达到预期的目标,主要原因在于管理安全尚未得到重视。在企业日常运作中缺乏完善的管理制度,操作人员缺乏安全意识,在口令、交接、网络和存储管理上缺乏细致的权限划分,对共享数据范围缺乏明确的定义,导致了企业敏感资料和公共资料毫无分别,处于非授权和非保护状态,从而带来不可估量的巨大经济损失。
二、中小企业ERP安全管理对策分析
美国一份权威报告曾指出,“企业必须考虑其系统安全功能和控制的全面设置,以便交易得以正常安全地进行”。中小企业一方面要在充分调研、严格论证的基础上选择实用、够用、易用的ERP软件;另一方面要苦练内功,充分发挥ERP的功效。
1.对ERP项目进行严格的可行性论证
项目的可行性论证可以很大程度上降低实施的安全风险,在论证时要在明确自身需求的前提下,对自身未来的业务发展进行展望,以此为基础展开对软件提供商的严格考察。在功能的选择上,中小企业一定不能脱离实际情况,盲目选择功能多、流程细致的模块,因为模块越复杂、越繁琐则可能存在的实施安全风险越大,需要采取的安全控制手段越多,软件功能不求多,而求适用、易用;在软件提供商的选择上,一定要选择建立了现代企业制度,发展势头良好,在市场上口碑良好,有着完善的售后服务机制的厂商。另外,项目准备投用前应该首先在测试服务器上进行程序测试,这样可以有效地控制新增程序设计不当和与系统不兼容的风险。
2.企业设施的优化配备和合理使用
对于中小企业来说,为了保障ERP系统安全实施,通常要依赖于网络外围的防御,利用诸如防火墙、VPNS,以及入侵防范等措施来抵御外界对其ERP系统的入侵。对于非授权的访问,尤其是有意图、有目的的攻击行为要通过运行专用的网管软件进行网络监控、采用专用内容过滤技术阻止各种恶意内容的入侵,架设防火墙和杀毒软件等技术措施防范来自网络的黑客攻击和病毒攻击,并且限制来路不明的软件在系统主机上安装,最大程度地控制了网络攻击和恶意软件带来的风险。对于服务器和工作站的购置要综合企业发展、现金流量、业务类型等因素综合考虑,既能满足企业现有的运作要求又能够兼顾企业未来在较长时间内的持续发展,实现性价比最优。另外,企业信息系统设备设备的安全是系统运行的基础,因此如何保证设备的安全是信息系统风险防范的基础。诸如服务器、网络设备、存储设备、工作站等必备资源设立专门的中心机房和操作室,设立必备的监控系统以应对突发的各种安全隐患如自然灾害和偷盗风险等。
3.建立和完善内部控制制度
为了降低开支或赶进度,中小企业在推行ERP系统时不愿意为“控制”投入太多,因为他们认为内部控制增加了员工的额外负担,使得工作效率降低。但是,权限控制是完善职责分离制度的基础控制手段,主要目标是防范内部人员的舞弊行为带给企业的灾难,中小企业的高层领导必须更新观念,亲自参与信息安全管理工作。在ERP环境下,信息系统中的职责分离主要包括:系统设计人员与系统操作人员的职责分离;系统维护人员与系统操作人员的职责分离:系统操作人员、系统设计人员与数据档案管理员的职责分离;数据库管理员与信息系统管理部门的其他职责要分离。在技术部门内对人员进行严格的分工,并由部门经理统一在系统中设定每个人的权限,这样就保证了每个人操作权限的独立性,有效地防范了舞弊风险。在职能部门中也要在企业组织架构设置的基础之上贯彻职责分离原则,负责采购、支付、库存、记录及维护固定资产等职能的人员只应对这些职能中的某一具体业务环节负责,他们对其指定任务以外的职能不应享有系统使用权。对于复杂的业务,可以细化到某个字段、某个表格的管理权、查询权、删除和插入等权限,从而构造一张完整的职责分离网络,从多个纬度杜绝错误、失常乃至欺诈行为的发生,彻底消除以往仅依靠其自身的职业操守和道德准绳进行自我约束的状况。
4.加强外部管理监控
ERP把客户需求和企业内部的制造活动,以及供应商的制造资源整合在一起,形成企业一个完整的供应链,而在ERP系统中允许企业通过供应链管理将信息系统与可信赖的合作伙伴整合在一起的同时,相应授权用户的数量也在持续增加。因此,企业不仅仅要考虑内部员工的可信度,还要考虑合作伙伴员工的可信度,以及外围安全的可信度。基于以上原因,企业之间的安全通道可以采用VPN或者加密等技术进行保护,限制数据库外泄;另外企业必须建立详细的交易日志,通过这种举措监控和辨认非正常交易,并确定该笔交易是否表明有诈骗、滥用或错误现象发生。
5.建立事故處理预案
安全事故预案是应对安全事故及故障的指导原则,目的是帮助企业迅速地对事故及故障做出反应,将事故及故障造成的损害降到最小,并通过对已发事件进行分析来监督此类事件,达到进一步防范风险的作用。建立安全事故处理预案是长期、低成本实现ERP安全运作的重要手段,该制度中应该明确事件的不同类型,如安全漏洞、安全威胁、弱点或故障等,以及它们的报告程序,以使员工在发现事件时可以及时汇报和迅速做出处理。在对事故做出适当的处理后,应迅速收集相关证据,以合适的机制进行量化,评价事故与故障的种类、数量和成本,以利于后续的监督和防范工作。此外,还应当建立和事件相对应的处罚措施,对引起系统安全漏洞的员工加以适当的惩罚,有利于降低人员出错带来的安全隐患。
综上所述,企业ERP系统的安全实施,是软件、硬件和人员的高效结合,缺一不可。企业要充分考虑各种可行举措,适应企业的业务发展,使系统安全高效的运行,满足管理和生产的需要。
参考文献:
[1]罗凤兰欧阳电平:ERP系统环境下信息系统内部控制的风险分析与防范——基于某企业集团实施ERP案例的思考.《中国管理信息化》,2005(5)
[2]沈沉:ERP安全现状和解决方案.《网络安全技术与应用》,2005(5)