關于我們
Welcome to Dandong Kingdee co., ltd

公司動態(tài)

>公司動態(tài)>新聞中心>首頁
您現(xiàn)在的位置  |

企業(yè)ERP開展應用部署如何確保信息安全?

瀏覽次數(shù):3946發(fā)布時間:2008-1-17

  ERP系統(tǒng)就像企業(yè)的“黑匣子”,內(nèi)部涵蓋了應用企業(yè)最關鍵和最敏感的信息資源。為此,如何在開展應用的基礎上確保安全,一直是ERP部署中的最大挑戰(zhàn)。

  安全刻不容緩

  ERP的特點是大而全,使用者可以從中尋找出一個企業(yè)的組織架構、管理理念、客戶資源、人力資源組成、企業(yè)產(chǎn)能、銷售渠道、合作伙伴、競爭對手等方方面面的信息。正因為如此,建立信息安全管理機制、保護ERP的安全已經(jīng)迫在眉睫。有專家建議,在ERP應用過程中,信息安全應成為業(yè)界關注的焦點和亟待解決的問題。

  然而目前很多企業(yè)在探討、推廣ERP項目建設的時候,沒有建立事故災難的預見與應對機制,經(jīng)常難于有效考慮信息安全的要求,往往忽略了ERP系統(tǒng)信息安全的建設問題。無論是ERP系統(tǒng)的產(chǎn)品供應商、實施服務商、還是第三方咨詢機構,也都對ERP系統(tǒng)功能傾下過多關注,而對涉及ERP信息安全問題大都輕描淡寫。

  同時由于ERP系統(tǒng)的實施過程相對較為復雜,廠商技術力量有限,在實施過程中也難于建立有效的ERP系統(tǒng)信息安全管理機制,使ERP處于整個企業(yè)信息安全管理最為薄弱的的環(huán)節(jié)。而完善可靠的信息安全管理是影響ERP系統(tǒng)成功實施的中心環(huán)節(jié),如果不能對ERP系統(tǒng)的信息安全問題施以有效的管控,不但可能增加系統(tǒng)的實施成本,還可能很大程度地限制系統(tǒng)功能的充分應用,最終使ERP建設事倍功半甚至功虧一匱,從而導致我國ERP項目建設成功率不到35%。

  ERP的安全總結

  可以說,隨著ERP系統(tǒng)在國內(nèi)企業(yè)的普遍應用,ERP的安全問題日益暴露出來,而且日漸嚴重,總結其產(chǎn)生的原因,主要如下:第一,物理環(huán)境,主要為水、火、供電等災難以及人員的使用、決策、控制等水平低下;第二,系統(tǒng)硬件,主要為監(jiān)測和控制設備、計算機系統(tǒng)、網(wǎng)絡設備、連接線等缺陷;第三,系統(tǒng)軟件,主要為計算機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、服務器等缺陷;第四,應用軟件,主要為ERP系統(tǒng)自身的設計缺陷、技術薄弱等所致;第五,外來侵入,主要為病毒、黑客等篡改和破壞;第六,內(nèi)部濫用,主要為操作失誤、人為破壞、內(nèi)部作案等。

  在信息化應用迅速普及的今天,尤其是基于Internet能多方內(nèi)外遠程訪問的ERP系統(tǒng)時刻遭遇著病毒、黑客甚至競爭對手獲取、篡改和破壞的風險,稍有不慎,就會給企業(yè)帶來巨大風險損失,因此如何兼顧ERP系統(tǒng)的安全與高效,增強企業(yè)識別、防止、減少和控制組織信息安全風險的管控能力、建立安全可靠、行之有效的安全管理系統(tǒng)與機制正成為企業(yè)信息化建設的頭等大事,也是眾多企業(yè)面臨的一大難題。

  四大重點

  ERP信息系統(tǒng)安全應當包括實體安全、信息安全、運行安全和人身安全四大內(nèi)容。其中,實體安全是指有關保護計算機設備、基礎設施(含網(wǎng)絡)以及其他設施免遭自然和人為破壞的措施、過程;信息安全是指防止信息被故意的或偶然的非法授權泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制的措施、過程;運行安全是指系統(tǒng)風險管理、審計跟蹤、備份與恢復、應急四個方面的措施、內(nèi)容;人身安全主要是指系統(tǒng)使用、管理人員的安全意識、法律意識、安全技能等表現(xiàn)。

  建立ERP系統(tǒng)安全管理機制為的是在企業(yè)ERP信息系統(tǒng)工程項目建設過程中,保證用戶企業(yè)信息系統(tǒng)在可用性、保密性、完整性與ERP信息系統(tǒng)工程的可維護性技術環(huán)節(jié)上沒有沖突;在控制投資的前提下,確保信息系統(tǒng)安全設計上沒有漏洞;督促企業(yè)的ERP信息系統(tǒng)管理人員、應用人員在安全管理制度和安全規(guī)范下嚴格執(zhí)行安全操作和管理,時刻建立安全意識;監(jiān)督承建單位按照技術標準和建設方案實施,檢查承建單位是否存在設計過程中的非安全隱患行為或現(xiàn)象等。

  策略與技術

  ERP安全重于泰山。對廣大企業(yè)來說,建立一個運行可靠、合理經(jīng)濟的信息安全管理體系是十分重要和必要的。在如何建立信息安全管理體系上,雖有多種技術方法和手段,其具體細節(jié)更是林林總總,但根本方法是要建立健全的ERP信息安全管理制度和采用相應的基本策略與主要技術,通過制度和手段的有機結合,以達到最佳的信息安全管理效果。

  第一是建立ERP安全風險預測與控制機制,這是信息安全管理體系的第一步。利用“失誤模型及后果分析法”技術,預見、發(fā)現(xiàn)系統(tǒng)中每一個環(huán)節(jié)所產(chǎn)生的(或潛在的)失誤條件,為ERP系統(tǒng)持續(xù)安全運行減少風險隱患。另外,做好一個完善的初始化建立和運作的實施也很重要。

  第二是建立ERP安全防護策略與制度,通過確定關鍵信息、崗位配置、工作人員的權限,明確企業(yè)ERP信息的使用范圍和處理方式。保護計算機設備、設施,防止病毒、黑客等入侵、篡改和破壞,監(jiān)督管理員、應用人員在安全管理制度和安全規(guī)范下嚴格執(zhí)行安全操作和管理。

  第三是做好ERP安全防護技術的全面實施,主要是服務器安全控制、登錄安全控制、數(shù)據(jù)庫安全控制三大項的全面實施。這是對信息安全防護策略與制度執(zhí)行情況的監(jiān)控手段,是維護信息安全管理體系的保障。信息安全防護技術是信息安全管理體系中的一個重要環(huán)節(jié),是信息安全防護制度和策略重要的執(zhí)行和保證手段。

  第四是做好ERP安全防護效果分析總結與評估,這是為完善今后動態(tài)信息安全管理體系提供必要的依據(jù)。吃一塹長一智,通過信息安全管理效果分析和評估,可以不斷發(fā)現(xiàn)新的安全漏洞和隱患,進一步完善信息安全防護策略和制度。

  當然,任何道理都是相對,ERP信息安全也是一個相對概念,沒有絕對的安全。即不能因過分強調(diào)系統(tǒng)功能而忽視安全性,也不能因為過分強調(diào)系統(tǒng)安全而大幅度降低系統(tǒng)運行質(zhì)量和效率。妥善處理信息安全與運行質(zhì)量、效能的關系,兼顧ERP系統(tǒng)的安全與高效,進一步規(guī)范系統(tǒng)運行規(guī)則,建立符合標準與合理相結合的安全措施,以全面提高企業(yè)ERP系統(tǒng)的整體運行效果。

  只要以科學嚴謹認真的態(tài)度對待信息安全問題,建立一套切實有效的和適應企業(yè)環(huán)境的ERP信息安全管理體系,就會將企業(yè)ERP系統(tǒng)安全風險降至最小,并取得最佳建設實施效果。

  ERP安全建設經(jīng)驗

  建立可靠、有效的安全管理系統(tǒng)與機制是確保ERP應用安全的前提

  可靠性、可用性、保密性、完整性、可維護性是ERP安全的內(nèi)涵

  風險預防與控制機制是ERP安全管理體系的基礎

  為了做到有據(jù)可查,企業(yè)必須建立自己的ERP安全策略與制度

  安全與功能相輔相成,ERP建設必須平衡二者的關系。