EPR軟件系統(tǒng)使用的安全風(fēng)險及防范-2019年文檔

EPRt件系統(tǒng)使用的安全風(fēng)險及防范企業(yè)信息化建設(shè)的腳步越來越快，伴隨著快節(jié)奏的信息化之路所產(chǎn)生的安全風(fēng)險也越來越多。 沒有安全風(fēng)險意識對ERP系統(tǒng)是極其危險的， 風(fēng)險發(fā)生所導(dǎo)致的后果一般不可逆的且沒辦法補救。只有提前做好風(fēng)險防范才能有效抑制風(fēng)險的發(fā)生，從而避免不必要的損失。 本文結(jié)合計算機技術(shù)及網(wǎng)絡(luò)技術(shù)的最新發(fā)展分析了當(dāng)前ER瞰件系統(tǒng)使用中面臨的人為因素和客觀因素導(dǎo)致的風(fēng)險，并提出了具體防范建議。希望本文的研究有助于企業(yè)加強ER啾件系統(tǒng)使用的安全性，從而幫助企業(yè)有效發(fā)揮使用 ERP次件系統(tǒng)的作用。一、計算機、網(wǎng)絡(luò)技術(shù)及 ER啾件發(fā)展現(xiàn)狀ERPMEnterpriseResourcePlanning的縮寫（企業(yè)資源計劃），20世紀90年代隨著計算機技術(shù)發(fā)展以及在企業(yè)管理中的應(yīng)用而提出的概念，它是以計算機技術(shù)和管理科學(xué)為基礎(chǔ)而最新發(fā)展而來的。隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展進步，管理對數(shù)據(jù)準確性及時性的要求不斷提高， ERP系統(tǒng)也在不斷發(fā)展整合，由最早的庫存管理，銷售管理發(fā)展到如今囊括財務(wù)管理、生產(chǎn)管理、庫存管理、客戶管理、供應(yīng)鏈管理、銷售管理、質(zhì)量管理等業(yè)務(wù)相關(guān)內(nèi)容的管理。當(dāng)前，隨著電子商務(wù)的發(fā)展，互聯(lián)網(wǎng)的發(fā)展，ERP的框架分化為C/S結(jié)構(gòu)（客戶端/服務(wù)器模式）和B/S（瀏覽器/服務(wù)器模式）結(jié)構(gòu)。管理模式的不同和框架的不同所面臨的風(fēng)險也各有不同，防范方法也差異很大。本文從通用角度探討風(fēng)險及防范方法，不針對個例去研究。二、人為因素導(dǎo)致ERP軟件系統(tǒng)的風(fēng)險（一）手工錄入差錯風(fēng)險手工錄入原始數(shù)據(jù)的時候，沒有嚴格執(zhí)行審核機制，錄入錯誤導(dǎo)致后面一系列的計算和分析都是建立的錯誤的數(shù)據(jù)之上的。由于原始數(shù)據(jù)多是手寫，錄入員對數(shù)據(jù)的辨識存在主觀因。錄入過程中也是手工錄入，也存在重復(fù)錄入和遺漏內(nèi)容等主觀因素，這些都會導(dǎo)致錄入錯誤。例如數(shù)字‘ 3’和‘ 8’的書寫不規(guī)范就容易混淆，還有日期格式的不同比如5.9.2013有的人認為是 5月9日，有的人認為是 9月5日，這樣就造成認識上的誤差導(dǎo)致數(shù)據(jù)錄入錯誤。（二）數(shù)據(jù)篡改風(fēng)險出于某種目的，不按著正常軟件操作流程進行數(shù)據(jù)更正，直接進入原始表更改數(shù)據(jù)導(dǎo)致表之間的關(guān)聯(lián)關(guān)系失效。這樣導(dǎo)致整個ERP的數(shù)據(jù)計算和分析都是錯誤的，更嚴重的有可能導(dǎo)致表格之間校驗失敗整個數(shù)據(jù)庫無法使用。 目前ERP作為企業(yè)經(jīng)營分析的主要數(shù)據(jù)依據(jù)，一些管理者或使用者出于個人目的篡改原始數(shù)據(jù)又不想留下更改痕跡（正常數(shù)據(jù)更正程序都會記錄數(shù)據(jù)更改過程），以達到影響數(shù)據(jù)分析結(jié)果目。例如，某日用百貨公司向ERP系統(tǒng)供應(yīng)商反映客戶儲值卡無交易記錄，但余額變少的情況，系統(tǒng)供應(yīng)商在認真核查所有ERP系統(tǒng)后發(fā)現(xiàn)無操作誤差，最后在核查數(shù)據(jù)庫事務(wù)日志的時候發(fā)現(xiàn)有人用系統(tǒng)管理員登錄數(shù)據(jù)庫直接修改儲值卡余額，最后根據(jù) IP鎖定某操作人員通過盜取數(shù)據(jù)庫管理員密碼篡改數(shù)據(jù)為自己謀利側(cè)行為。（三）病毒導(dǎo)致ERP系統(tǒng)的安全風(fēng)險移動存儲設(shè)備、不安全的網(wǎng)絡(luò)訪問及惡意的網(wǎng)絡(luò)攻擊導(dǎo)致病毒對ERP系統(tǒng)的數(shù)據(jù)安全造成風(fēng)險。 互聯(lián)網(wǎng)普及帶來的后果之一就是病毒傳播越來越快、越來越廣泛。病毒伴隨著計算機系統(tǒng)的發(fā)展，也由最初的以惡作劇為目的發(fā)展到當(dāng)前以破壞軟硬件系統(tǒng)及盜取用戶信息資料和資金為目的。 由最初少數(shù)技術(shù)能力強的個人制作發(fā)展到當(dāng)前的團隊批量制作， 病毒導(dǎo)致的危害性變得更深更大。ERP系統(tǒng)上保存的客戶、供應(yīng)商資料及內(nèi)部數(shù)據(jù)資料都有可能成為新型病毒攻擊的目標(biāo)。例如，頗具爭議的‘灰鴿子病毒’。2007年國內(nèi)很多不太懂電腦的人通過使用‘灰鴿子病毒’盜取他人網(wǎng)銀密碼、游戲賬號密碼、充值網(wǎng)站密碼為自己謀利而違法落網(wǎng)的案例，‘灰鴿子病毒’名義上是遠程控制軟件，同時又具有好多病毒特征（可配置服務(wù)器端，監(jiān)視記錄鍵盤，截取屏幕，免殺功能等等），這樣的工具被不法人員所利用就成為了盜竊工具。三、客觀因素導(dǎo)致ERP軟件系統(tǒng)的風(fēng)險（一）網(wǎng)絡(luò)不穩(wěn)定導(dǎo)致數(shù)據(jù)存儲不完全帶來的安全風(fēng)險隨著連鎖企業(yè)及集團企業(yè)對ERP系統(tǒng)數(shù)據(jù)的及時性要求日益提高，現(xiàn)在大多數(shù)ERP系統(tǒng)都支持互聯(lián)網(wǎng)訪問或者專線數(shù)據(jù)傳輸，網(wǎng)絡(luò)的質(zhì)量直接決定著ERP系統(tǒng)的數(shù)據(jù)的完整性。同時由于多運營商的不同接入方式導(dǎo)致網(wǎng)絡(luò)的實際傳輸和標(biāo)稱相差懸殊，致使ERP系統(tǒng)運行速度慢甚至產(chǎn)生網(wǎng)絡(luò)連接錯誤。由于網(wǎng)絡(luò)不穩(wěn)定導(dǎo)致的數(shù)據(jù)存儲不完全帶來的安全風(fēng)險，局域網(wǎng)老化，互聯(lián)網(wǎng)擁堵，VPNg入速度等等方面原因?qū)е聰?shù)據(jù)錯誤， 最終都導(dǎo)致ERP系統(tǒng)完整性的安全風(fēng)險。（二）服務(wù)器硬件損壞導(dǎo)致數(shù)據(jù)存儲丟失帶來的安全風(fēng)險由于企業(yè)對ERP系統(tǒng)重要性的認識不足及投資限制問題， 一般企業(yè)都是單服務(wù)器運轉(zhuǎn)，很少有企業(yè)能做到雙機熱備。單服務(wù)器運行導(dǎo)致數(shù)據(jù)存儲危險性加大，機房的溫度控制，是否配備長效的UPS（不間斷電源）等因素都對服務(wù)器存儲數(shù)據(jù)至關(guān)重要。同時地震、火災(zāi)、水災(zāi)、偷盜等不可抗因素對現(xiàn)代化機房的威脅也不可忽視的，服務(wù)器都集中存放在機房，機房的安全隱患導(dǎo)致了ERP系統(tǒng)的安全風(fēng)險。四、ER啾件系統(tǒng)安全風(fēng)險的防范方法（一）人為因素導(dǎo)致風(fēng)險的防范方法通過加強人員管理、提高風(fēng)險意識，修補漏洞以達到防范人為因素造成的安全風(fēng)險。具體可以從三個方面入手。1.建立審計校驗機制可有效防范數(shù)據(jù)錄入錯誤風(fēng)險。手工錄入錯誤可以通過提高錄入員自我檢查、設(shè)置必要的審計人員來避免，也可以通過在ERP系統(tǒng)里設(shè)置原始數(shù)據(jù)錄入的合理校驗機制來防范風(fēng)險，適當(dāng)延長原始數(shù)據(jù)保存周期及錄入登記手續(xù)，做到隨時可以追溯數(shù)據(jù)來源，規(guī)范手工單據(jù)書寫標(biāo)準（可以參考財務(wù)數(shù)據(jù)的書寫標(biāo)準）、統(tǒng)一編碼（ERP系統(tǒng)從建立之初就建立一整套編碼體系，在系統(tǒng)運行過程中要嚴格執(zhí)行編碼標(biāo)準，防止重碼、誤碼對ERP系統(tǒng)的數(shù)據(jù)統(tǒng)計產(chǎn)生的風(fēng)險）、統(tǒng)一格式（對于日期等容易產(chǎn)生差錯的格式性數(shù)據(jù)，統(tǒng)一規(guī)范格式，比如日期格式Y(jié)YYY-MM-DD4年2位月2位日前面提到日期表述應(yīng)該是2013-05-09）,以達到避免手工錄入給ERP系統(tǒng)帶來的安全風(fēng)險。2.加強內(nèi)部控制合理分配權(quán)限可有效防范數(shù)據(jù)篡改風(fēng)險。針對不正常修改表格，可以嚴格管控數(shù)據(jù)庫管理員、 ERP系統(tǒng)管理員權(quán)限，對于數(shù)據(jù)庫密碼要設(shè)置足夠強度并且定期修改，以防范密碼盜取。明晰各管理員的權(quán)責(zé)，讓數(shù)據(jù)管理員不參與營運管理，有效避免數(shù)據(jù)管理員參與篡改數(shù)據(jù)的風(fēng)險。規(guī)范各崗位使用ERP系統(tǒng)安全意識，操作人員離開座位時，必須退出ERP系統(tǒng)或者鎖定ERP系統(tǒng)，防范他人盜用用戶名修改數(shù)據(jù)。在 ERP服務(wù)器端設(shè)置數(shù)據(jù)校驗功能對于沒有按正常修改的數(shù)據(jù)提出異常警報，并保存數(shù)據(jù)庫更改記錄。3.對于病毒所帶來的風(fēng)險可以通過以下方法封堵。使用上網(wǎng)行為管理的設(shè)備分別針對不同使用人員給予不同上網(wǎng)權(quán)限，過濾不安全網(wǎng)站，封閉US端口、不得隨意使用移動存儲設(shè)備，通過域來管理用戶，普通用戶只分配操作權(quán)限不具有安裝卸載軟件和更改系統(tǒng)設(shè)置權(quán)限， 安裝正版殺毒軟件并及時更新病毒庫， 及時更新系統(tǒng)安全補丁， 設(shè)置網(wǎng)絡(luò)防火墻隔離互聯(lián)網(wǎng)和局域網(wǎng)， 對操作人員培訓(xùn)上網(wǎng)常識，不要點擊不確定安全的文件，建立殺毒服務(wù)器，監(jiān)視整個網(wǎng)絡(luò)防毒殺毒情況，通過這些手段來防范病毒對ERP系統(tǒng)造成的安全風(fēng)險。（二）客觀因素導(dǎo)致安全風(fēng)險的防范方法客觀因素導(dǎo)致的安全風(fēng)險可以通過優(yōu)化網(wǎng)絡(luò)運行環(huán)境，多做備份來防范風(fēng)險。.對于web發(fā)布的ERP建議及時更新服務(wù)器安全補丁， 封閉不使用的端口，提高管理員密碼強度，強制定期更換用戶密碼，來保護服務(wù)器的安全。定期檢查網(wǎng)絡(luò)運行環(huán)境，防止局域網(wǎng)產(chǎn)生鏈路、回路；檢查服務(wù)器端口承壓。對于中國南電信北聯(lián)通的情況，建議VPN?（務(wù)器使用多運營商寬帶混合接入， 以保障不同用戶撥入時都能有穩(wěn)定的網(wǎng)絡(luò)環(huán)境。同時協(xié)調(diào)ER啾件系統(tǒng)開發(fā)商做好數(shù)據(jù)的網(wǎng)絡(luò)校驗以達到防范風(fēng)險目的。.防范ERP服務(wù)器硬件的風(fēng)險，選用優(yōu)質(zhì)服務(wù)器，同時硬盤采取RAID磁盤陣列（RAID1或者RAID5都是廉價解決方案，也可以考慮RAID0+1模式），資金充足可以使用雙服務(wù)器熱備份，同時數(shù)據(jù)庫設(shè)置每天自動備份，如果條件允許最好采取異地保存數(shù)據(jù)，以避免水災(zāi)火災(zāi)地震等不可抗因素對 ERP系統(tǒng)數(shù)據(jù)的風(fēng)險，控制機房溫度做好通風(fēng)去靜電措施， 配備長效UPSB止意外斷電造成服務(wù)器硬件損壞，建立不可抗因素應(yīng)對方案，能在發(fā)生不可抗因素對機房災(zāi)難性毀滅后及時有效的恢復(fù) ERP系統(tǒng)。五、結(jié)束語提高風(fēng)險意識，加強風(fēng)險管理，總結(jié)經(jīng)驗教訓(xùn)，對于 ERP系統(tǒng)的長效穩(wěn)定運行提供了有利保障。