信息安全問題在企業中變得(de)越來(lái)越複雜(zá)，網絡攻擊日益商業化(huà)、企業業務軟件和(hé)移動設備的(de)增多(duō)，企業信息安全對(duì)IT部門來(lái)說是無休止的(de)挑戰。

随著(zhe)企業競争的(de)激烈化(huà)、資源優化(huà)利用(yòng)的(de)需求不斷加大(dà)，ERP系統實現了(le)對(duì)整個(gè)企業供應鏈的(de)管理(lǐ)、适應了(le)企業在知識經濟時(shí)代市場(chǎng)競争的(de)需要、鑒于ERP系統的(de)巨大(dà)優勢、目前絕大(dà)多(duō)數大(dà)型企業均實現了(le)ERP系統的(de)部署實施。而ERP系統的(de)正常運行依賴于大(dà)量的(de)網絡傳輸、數據處理(lǐ)和(hé)消息交互。因此，研究ERP系統所面對(duì)的(de)安全威脅并采取相應措施進行規避是一項非常重要的(de)課題。

ERP系統信息安全威脅

（一）ERP網絡應用(yòng)的(de)威脅

來(lái)自網絡層面的(de)威脅主要來(lái)自遠(yuǎn)程訪問企業内部系統所造成的(de)信息洩漏隐患、随著(zhe)企業規模的(de)不斷擴展，對(duì)外的(de)銷售和(hé)物(wù)流網絡也(yě)随之擴大(dà)。出差的(de)業務員(yuán)和(hé)某些客戶經常需要在異地遠(yuǎn)程訪問企業網絡資源、爲此，ERP專門提供了(le)a/s的(de)訪問模式，使得(de)異地用(yòng)戶能夠使用(yòng)浏覽器通(tōng)過虛拟專用(yòng)網絡VPN訪問公司内部資源、由于異地訪問行爲不受約束，洩密行爲時(shí)有發生，因此價值較高(gāo)的(de)商業機密有可(kě)能流失，比如企業産品的(de)底價、設計圖紙等等、此外，内部網絡的(de)竊聽(tīng)行爲也(yě)給ERP系統的(de)安全使用(yòng)造成威脅、ERP系統應用(yòng)時(shí)。其服務器端與客戶端數據的(de)傳輸、都是通(tōng)過明(míng)文傳輸的(de)、用(yòng)戶隻需要在網絡上安裝一個(gè)監聽(tīng)軟件、就可(kě)以全面的(de)了(le)解用(yòng)戶訪問的(de)内容。跳過客戶端的(de)權限設置，從而達到網絡數據竊聽(tīng)的(de)目的(de)。

（二）ERP系統應用(yòng)的(de)威脅

如果ERP系統本身管理(lǐ)不當，也(yě)不會存在數據洩露的(de)危險、從ERP系統的(de)角度出發。主要的(de)安全威脅就是權限配置不當所造成的(de)。這(zhè)類威脅主要在敏感數據缺乏分(fēn)級管理(lǐ)機制，比如某個(gè)報表，隻要有查看權限的(de)都能夠看到全部信息，并且能夠導出。這(zhè)就給敏感數據造成了(le)很大(dà)的(de)威脅、此外，很多(duō)員(yuán)工的(de)終端系統密碼設置較爲簡單，大(dà)多(duō)使用(yòng)生日或者電話(huà)，有的(de)其至使用(yòng)“12345"等簡單數字作爲密碼，這(zhè)類密碼強度不高(gāo)，容易被破解。

（三）ERP統漏洞的(de)威脅

ERP系統的(de)構建需要大(dà)量的(de)軟硬件系統，涉及到網絡傳輸、Web浏覽以及服務總線等多(duō)方面的(de)技術，這(zhè)些技術的(de)實現需要大(dà)量的(de)軟件，軟件不可(kě)能避免存在一些已知或者未知的(de)漏洞、黑(hēi)客能夠利用(yòng)這(zhè)些漏洞獲取ERP服務器的(de)權限，從而擾亂系統的(de)正常運行，并竊取重要的(de)商業機密。

ERP信息安全保障措施

ERP系統的(de)安全最重要，爲了(le)保障ERP系統在應用(yòng)中的(de)信息安全，針對(duì)上述三類威脅，具體來(lái)說有以下(xià)幾種方法進行應對(duì)。

（一）網絡傳輸安全保障ERP系統的(de)傳輸安全可(kě)以從兩方面進行強化(huà)

1、對(duì)遠(yuǎn)程訪問權限采用(yòng)指紋、密碼等多(duō)種身份識别機制，同時(shí)限制遠(yuǎn)程訪問行爲所能夠接觸到資源的(de)數量，在保障業務的(de)同時(shí)避免洩密。

2、對(duì)數據報表采用(yòng)嵌入水(shuǐ)印的(de)方式講行保護，比如一份報表如果事後被發現竊密了(le)，可(kě)以通(tōng)過水(shuǐ)印的(de)方式檢測出其它信息，并結合ERP日志進行輔助案件偵破。

（二）信息應用(yòng)安全保障

ERP信息應用(yòng)安全保障主要包括對(duì)重要數據進行分(fēn)級管理(lǐ)，同時(shí)對(duì)所有合法用(yòng)戶進行分(fēn)級，确保他(tā)們所能訪問的(de)數據級别和(hé)類型、比如某個(gè)員(yuán)工隻具有中級數據訪問權限，而某個(gè)報表的(de)一些屬性項是高(gāo)密級，它就無法查看該屬性項，而隻能看到其他(tā)低密級選項。

（三）系統漏洞安全保障

ERP系統的(de)漏洞修複工作主要依賴專業測評機構的(de)工作、通(tōng)過定期安全測評、管理(lǐ)員(yuán)能夠發現系統中存在的(de)軟硬件漏洞，并及時(shí)采取相應措施進行修補、同時(shí)在配置上的(de)問顆也(yě)要依賴系統管理(lǐ)員(yuán)的(de)經驗，盡量少開放端口，并目保證一些不安全的(de)服務必須受限、比如一些微軟公告所描述的(de)信息往往包含ERP涉及軟件的(de)漏洞。需要認即進行修補、因此，管理(lǐ)員(yuán)的(de)安全意識更需要進一步提高(gāo)。

D1Net評論：

ERP信息安全問題的(de)解決不僅僅需要IT部門的(de)技術處理(lǐ)，企業也(yě)需要完善網絡信息安全保障體系，從法律法規的(de)角度來(lái)加強信息安全。