EPR軟件系統(tǒng)使用的安全風險及防范-2019年文檔

EPRt件系統(tǒng)使用的安全風險及防范企業(yè)信息化建設(shè)的腳步越來越快，伴隨著快節(jié)奏的信息化之路所產(chǎn)生的安全風險也越來越多。 沒有安全風險意識對ERP系統(tǒng)是極其危險的， 風險發(fā)生所導致的后果一般不可逆的且沒辦法補救。只有提前做好風險防范才能有效抑制風險的發(fā)生，從而避免不必要的損失。 本文結(jié)合計算機技術(shù)及網(wǎng)絡(luò)技術(shù)的最新發(fā)展分析了當前ER瞰件系統(tǒng)使用中面臨的人為因素和客觀因素導致的風險，并提出了具體防范建議。希望本文的研究有助于企業(yè)加強ER啾件系統(tǒng)使用的安全性，從而幫助企業(yè)有效發(fā)揮使用 ERP次件系統(tǒng)的作用。一、計算機、網(wǎng)絡(luò)技術(shù)及 ER啾件發(fā)展現(xiàn)狀ERPMEnterpriseResourcePlanning的縮寫（企業(yè)資源計劃），20世紀90年代隨著計算機技術(shù)發(fā)展以及在企業(yè)管理中的應(yīng)用而提出的概念，它是以計算機技術(shù)和管理科學為基礎(chǔ)而最新發(fā)展而來的。隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展進步，管理對數(shù)據(jù)準確性及時性的要求不斷提高， ERP系統(tǒng)也在不斷發(fā)展整合，由最早的庫存管理，銷售管理發(fā)展到如今囊括財務(wù)管理、生產(chǎn)管理、庫存管理、客戶管理、供應(yīng)鏈管理、銷售管理、質(zhì)量管理等業(yè)務(wù)相關(guān)內(nèi)容的管理。當前，隨著電子商務(wù)的發(fā)展，互聯(lián)網(wǎng)的發(fā)展，ERP的框架分化為C/S結(jié)構(gòu)（客戶端/服務(wù)器模式）和B/S（瀏覽器/服務(wù)器模式）結(jié)構(gòu)。管理模式的不同和框架的不同所面臨的風險也各有不同，防范方法也差異很大。本文從通用角度探討風險及防范方法，不針對個例去研究。二、人為因素導致ERP軟件系統(tǒng)的風險（一）手工錄入差錯風險手工錄入原始數(shù)據(jù)的時候，沒有嚴格執(zhí)行審核機制，錄入錯誤導致后面一系列的計算和分析都是建立的錯誤的數(shù)據(jù)之上的。由于原始數(shù)據(jù)多是手寫，錄入員對數(shù)據(jù)的辨識存在主觀因。錄入過程中也是手工錄入，也存在重復(fù)錄入和遺漏內(nèi)容等主觀因素，這些都會導致錄入錯誤。例如數(shù)字‘ 3’和‘ 8’的書寫不規(guī)范就容易混淆，還有日期格式的不同比如5.9.2013有的人認為是 5月9日，有的人認為是 9月5日，這樣就造成認識上的誤差導致數(shù)據(jù)錄入錯誤。（二）數(shù)據(jù)篡改風險出于某種目的，不按著正常軟件操作流程進行數(shù)據(jù)更正，直接進入原始表更改數(shù)據(jù)導致表之間的關(guān)聯(lián)關(guān)系失效。這樣導致整個ERP的數(shù)據(jù)計算和分析都是錯誤的，更嚴重的有可能導致表格之間校驗失敗整個數(shù)據(jù)庫無法使用。 目前ERP作為企業(yè)經(jīng)營分析的主要數(shù)據(jù)依據(jù)，一些管理者或使用者出于個人目的篡改原始數(shù)據(jù)又不想留下更改痕跡（正常數(shù)據(jù)更正程序都會記錄數(shù)據(jù)更改過程），以達到影響數(shù)據(jù)分析結(jié)果目。例如，某日用百貨公司向ERP系統(tǒng)供應(yīng)商反映客戶儲值卡無交易記錄，但余額變少的情況，系統(tǒng)供應(yīng)商在認真核查所有ERP系統(tǒng)后發(fā)現(xiàn)無操作誤差，最后在核查數(shù)據(jù)庫事務(wù)日志的時候發(fā)現(xiàn)有人用系統(tǒng)管理員登錄數(shù)據(jù)庫直接修改儲值卡余額，最后根據(jù) IP鎖定某操作人員通過盜取數(shù)據(jù)庫管理員密碼篡改數(shù)據(jù)為自己謀利側(cè)行為。（三）病毒導致ERP系統(tǒng)的安全風險移動存儲設(shè)備、不安全的網(wǎng)絡(luò)訪問及惡意的網(wǎng)絡(luò)攻擊導致病毒對ERP系統(tǒng)的數(shù)據(jù)安全造成風險。 互聯(lián)網(wǎng)普及帶來的后果之一就是病毒傳播越來越快、越來越廣泛。病毒伴隨著計算機系統(tǒng)的發(fā)展，也由最初的以惡作劇為目的發(fā)展到當前以破壞軟硬件系統(tǒng)及盜取用戶信息資料和資金為目的。 由最初少數(shù)技術(shù)能力強的個人制作發(fā)展到當前的團隊批量制作， 病毒導致的危害性變得更深更大。ERP系統(tǒng)上保存的客戶、供應(yīng)商資料及內(nèi)部數(shù)據(jù)資料都有可能成為新型病毒攻擊的目標。例如，頗具爭議的‘灰鴿子病毒’。2007年國內(nèi)很多不太懂電腦的人通過使用‘灰鴿子病毒’盜取他人網(wǎng)銀密碼、游戲賬號密碼、充值網(wǎng)站密碼為自己謀利而違法落網(wǎng)的案例，‘灰鴿子病毒’名義上是遠程控制軟件，同時又具有好多病毒特征（可配置服務(wù)器端，監(jiān)視記錄鍵盤，截取屏幕，免殺功能等等），這樣的工具被不法人員所利用就成為了盜竊工具。三、客觀因素導致ERP軟件系統(tǒng)的風險（一）網(wǎng)絡(luò)不穩(wěn)定導致數(shù)據(jù)存儲不完全帶來的安全風險隨著連鎖企業(yè)及集團企業(yè)對ERP系統(tǒng)數(shù)據(jù)的及時性要求日益提高，現(xiàn)在大多數(shù)ERP系統(tǒng)都支持互聯(lián)網(wǎng)訪問或者專線數(shù)據(jù)傳輸，網(wǎng)絡(luò)的質(zhì)量直接決定著ERP系統(tǒng)的數(shù)據(jù)的完整性。同時由于多運營商的不同接入方式導致網(wǎng)絡(luò)的實際傳輸和標稱相差懸殊，致使ERP系統(tǒng)運行速度慢甚至產(chǎn)生網(wǎng)絡(luò)連接錯誤。由于網(wǎng)絡(luò)不穩(wěn)定導致的數(shù)據(jù)存儲不完全帶來的安全風險，局域網(wǎng)老化，互聯(lián)網(wǎng)擁堵，VPNg入速度等等方面原因?qū)е聰?shù)據(jù)錯誤， 最終都導致ERP系統(tǒng)完整性的安全風險。（二）服務(wù)器硬件損壞導致數(shù)據(jù)存儲丟失帶來的安全風險由于企業(yè)對ERP系統(tǒng)重要性的認識不足及投資限制問題， 一般企業(yè)都是單服務(wù)器運轉(zhuǎn)，很少有企業(yè)能做到雙機熱備。單服務(wù)器運行導致數(shù)據(jù)存儲危險性加大，機房的溫度控制，是否配備長效的UPS（不間斷電源）等因素都對服務(wù)器存儲數(shù)據(jù)至關(guān)重要。同時地震、火災(zāi)、水災(zāi)、偷盜等不可抗因素對現(xiàn)代化機房的威脅也不可忽視的，服務(wù)器都集中存放在機房，機房的安全隱患導致了ERP系統(tǒng)的安全風險。四、ER啾件系統(tǒng)安全風險的防范方法（一）人為因素導致風險的防范方法通過加強人員管理、提高風險意識，修補漏洞以達到防范人為因素造成的安全風險。具體可以從三個方面入手。1.建立審計校驗機制可有效防范數(shù)據(jù)錄入錯誤風險。手工錄入錯誤可以通過提高錄入員自我檢查、設(shè)置必要的審計人員來避免，也可以通過在ERP系統(tǒng)里設(shè)置原始數(shù)據(jù)錄入的合理校驗機制來防范風險，適當延長原始數(shù)據(jù)保存周期及錄入登記手續(xù)，做到隨時可以追溯數(shù)據(jù)來源，規(guī)范手工單據(jù)書寫標準（可以參考財務(wù)數(shù)據(jù)的書寫標準）、統(tǒng)一編碼（ERP系統(tǒng)從建立之初就建立一整套編碼體系，在系統(tǒng)運行過程中要嚴格執(zhí)行編碼標準，防止重碼、誤碼對ERP系統(tǒng)的數(shù)據(jù)統(tǒng)計產(chǎn)生的風險）、統(tǒng)一格式（對于日期等容易產(chǎn)生差錯的格式性數(shù)據(jù)，統(tǒng)一規(guī)范格式，比如日期格式Y(jié)YYY-MM-DD4年2位月2位日前面提到日期表述應(yīng)該是2013-05-09）,以達到避免手工錄入給ERP系統(tǒng)帶來的安全風險。2.加強內(nèi)部控制合理分配權(quán)限可有效防范數(shù)據(jù)篡改風險。針對不正常修改表格，可以嚴格管控數(shù)據(jù)庫管理員、 ERP系統(tǒng)管理員權(quán)限，對于數(shù)據(jù)庫密碼要設(shè)置足夠強度并且定期修改，以防范密碼盜取。明晰各管理員的權(quán)責，讓數(shù)據(jù)管理員不參與營運管理，有效避免數(shù)據(jù)管理員參與篡改數(shù)據(jù)的風險。規(guī)范各崗位使用ERP系統(tǒng)安全意識，操作人員離開座位時，必須退出ERP系統(tǒng)或者鎖定ERP系統(tǒng)，防范他人盜用用戶名修改數(shù)據(jù)。在 ERP服務(wù)器端設(shè)置數(shù)據(jù)校驗功能對于沒有按正常修改的數(shù)據(jù)提出異常警報，并保存數(shù)據(jù)庫更改記錄。3.對于病毒所帶來的風險可以通過以下方法封堵。使用上網(wǎng)行為管理的設(shè)備分別針對不同使用人員給予不同上網(wǎng)權(quán)限，過濾不安全網(wǎng)站，封閉US端口、不得隨意使用移動存儲設(shè)備，通過域來管理用戶，普通用戶只分配操作權(quán)限不具有安裝卸載軟件和更改系統(tǒng)設(shè)置權(quán)限， 安裝正版殺毒軟件并及時更新病毒庫， 及時更新系統(tǒng)安全補丁， 設(shè)置網(wǎng)絡(luò)防火墻隔離互聯(lián)網(wǎng)和局域網(wǎng)， 對操作人員培訓上網(wǎng)常識，不要點擊不確定安全的文件，建立殺毒服務(wù)器，監(jiān)視整個網(wǎng)絡(luò)防毒殺毒情況，通過這些手段來防范病毒對ERP系統(tǒng)造成的安全風險。（二）客觀因素導致安全風險的防范方法客觀因素導致的安全風險可以通過優(yōu)化網(wǎng)絡(luò)運行環(huán)境，多做備份來防范風險。.對于web發(fā)布的ERP建議及時更新服務(wù)器安全補丁， 封閉不使用的端口，提高管理員密碼強度，強制定期更換用戶密碼，來保護服務(wù)器的安全。定期檢查網(wǎng)絡(luò)運行環(huán)境，防止局域網(wǎng)產(chǎn)生鏈路、回路；檢查服務(wù)器端口承壓。對于中國南電信北聯(lián)通的情況，建議VPN?（務(wù)器使用多運營商寬帶混合接入， 以保障不同用戶撥入時都能有穩(wěn)定的網(wǎng)絡(luò)環(huán)境。同時協(xié)調(diào)ER啾件系統(tǒng)開發(fā)商做好數(shù)據(jù)的網(wǎng)絡(luò)校驗以達到防范風險目的。.防范ERP服務(wù)器硬件的風險，選用優(yōu)質(zhì)服務(wù)器，同時硬盤采取RAID磁盤陣列（RAID1或者RAID5都是廉價解決方案，也可以考慮RAID0+1模式），資金充足可以使用雙服務(wù)器熱備份，同時數(shù)據(jù)庫設(shè)置每天自動備份，如果條件允許最好采取異地保存數(shù)據(jù)，以避免水災(zāi)火災(zāi)地震等不可抗因素對 ERP系統(tǒng)數(shù)據(jù)的風險，控制機房溫度做好通風去靜電措施， 配備長效UPSB止意外斷電造成服務(wù)器硬件損壞，建立不可抗因素應(yīng)對方案，能在發(fā)生不可抗因素對機房災(zāi)難性毀滅后及時有效的恢復(fù) ERP系統(tǒng)。五、結(jié)束語提高風險意識，加強風險管理，總結(jié)經(jīng)驗教訓，對于 ERP系統(tǒng)的長效穩(wěn)定運行提供了有利保障。