一、引言

　　當今我國市場規模的不斷發展，企業競爭已經從單一企業間的競爭朝著企業供應鏈之間的競爭發展、企業僅靠自身資源已經無法有效地參與市場競爭，還必須把經營過程中的有關各方納入一個緊密的供應鏈中，才能有效地安排企業的產、供、銷活動，滿足企業利用全社會一切市場資源快速高效地進行生產經營的需求，以進一步提高效率和在市場上獲得競爭優勢、針對這一需求，企業紛紛引進ERP系統，構建企業信息化平臺、當前ERP系統是指針對物資資源管理、人力資源管理、財務資源管理、信息資源管理集成一體化的企業管理軟件、ERP系統實現了對整個企業供應鏈的管理、適應了企業在知識經濟時代市場競爭的需要、鑒于ERP系統的巨大優勢、目前絕大多數大型企業均實現了ERP系統的部署實施、然而，由于互聯網上存在大量的網絡攻擊、木馬、蠕蟲等網絡安全威脅。而ERP系統的正常運行依賴于大量的網絡傳輸、數據處理和消息交互這就阻礙了ERP系統的應用與實施、因此，研究ERP系統所面對的安全威脅并采取相應措施進行規避是一項非常重要的課題。

　　二、ERP系統信息安全威脅

　　安全問題的產生是一個非常復雜的問題，包含了多種因素的相互作用、總結起來，企業ERP系統所面臨的信息安全威脅主要包括來自以下幾個方面的內容。

　　(一)ERP網絡應用的威脅

　　來自網絡層面的威脅主要來自遠程訪問企業內部系統所造成的信息泄漏隱患、隨著企業規模的不斷擴展，對外的銷售和物流網絡也隨之擴大。出差的業務員和某些客戶經常需要在異地遠程訪問企業網絡資源、為此，ERP專門提供了a/s的訪問模式，使得異地用戶能夠使用瀏覽器通過虛擬專用網絡VPN訪問公司內部資源、由于異地訪問行為不受約束，泄密行為時有發生，因此價值較高的商業機密有可能流失，比如企業產品的底價、設計圖紙等等、此外，內部網絡的竊聽行為也給ERP系統的安全使用造成威脅、ERP系統應用時。其服務器端與客戶端數據的傳輸、都是通過明文傳輸的、用戶只需要在網絡上安裝一個監聽軟件、就可以全面的了解用戶訪問的內容。跳過客戶端的權限設置，從而達到網絡數據竊聽的目的。

　　(二)ERP統應用的威脅

　　如果ERP系統本身管理不當，也不會存在數據泄露的危險、從ERP系統的角度出發。主要的安全威脅就是權限配置不當所造成的。這類威脅主要在敏感數據缺乏分級管理機制，比如某個報表，只要有查看權限的都能夠看到全部信息，并且能夠導出。這就給敏感數據造成了很大的威脅、此外，很多員工的終端系統密碼設置較為簡單，大多使用生日或者電話，有的其至使用“12345"等簡單數字作為密碼，這類密碼強度不高，容易被破解。

　　(三)ERP統漏洞的威脅

　　ERP系統的構建需要大量的軟硬件系統，涉及到網絡傳輸、Web瀏覽以及服務總線等多方面的技術，這些技術的實現需要大量的軟件，軟件不可能避免存在一些已知或者未知的漏洞、黑客能夠利用這些漏洞獲取ERP服務器的權限，從而擾亂系統的正常運行，并竊取重要的商業機密。

　　三、ERP信息安全保障措施

　　ERP系統的安全最重要，為了保障ERP系統在應用中的信息安全，針對上述三類威脅，具體來說有以下幾種方法進行應對。

　　(一)網絡傳輸安全保障ERP系統的傳輸安全可以從兩方面進行強化

　　1、對遠程訪問權限采用指紋、密碼等多種身份識別機制，同時限制遠程訪問行為所能夠接觸到資源的數量，在保障業務的同時避免泄密。

　　2、對數據報表采用嵌入水印的方式講行保護，比如一份報表如果事后被發現竊密了，可以通過水印的方式檢測出其它信息，并結合ERP日志進行輔助案件偵破。

　　(二)信息應用安全保障

　　ERP信息應用安全保障主要包括對重要數據進行分級管理，同時對所有合法用戶進行分級，確保他們所能訪問的數據級別和類型、比如某個員工只具有中級數據訪問權限，而某個報表的一些屬性項是高密級，它就無法查看該屬性項，而只能看到其他低密級選項。

　　(三)系統漏洞安全保障

　　ERP系統的漏洞修復工作主要依賴專業測評機構的工作、通過定期安全測評、管理員能夠發現系統中存在的軟硬件漏洞，并及時采取相應措施進行修補、同時在配置上的問顆也要依賴系統管理員的經驗，盡量少開放端口，并目保證一些不安全的服務必須受限、比如一些微軟公告所描述的信息往往包含ERP涉及軟件的漏洞。需要認即進行修補、因此，管理員的安全意識更需要進一步提高。

　　四、完善網絡信息安全保障體系

　　首先，需要制定完善的法律政策，以法制手段來強化網絡安全;其次，從管理上維護系統的安全，確定信息安全管理機構和切實可行的網絡管理規章制度，加強信息安全教育、提高高層管理者的安全意識，以保證網絡信息安全;最后，從技術上采取措施，在企業內部和互聯網之間要加一道防火墻，防止黑客或計算機病毒的襲擊，保護企業內部的敏感數據。

　　五、加強對操作人品的培訓

　　企業信息化管理涉及整個企業經營管理模式的變革，它把信息技術與管理相結合，利用先進技術不斷提高管理水平、加強財務管理信息化建設，必須從公司主要領導開始到所有工作人員進行動員，充分認識到信息化對提高管理水平的重要性、工作人員要在思想觀念上更新和轉變對管理的理解和認識，必須在系統上建立健全工作人員培訓制度，并在系統建設的全過程中貫徹落實，以提高員工的業務素質以及熟練使用軟件的能力、具有創新能力的人員是企業順利而有效地開展管理創新的基礎，有針對性地對人員進行網絡技術培訓，可以提高人員的適應能力和創新能力、同時企業要樹立與網絡環境，適應的信息觀念、協作競爭觀念、以人為本觀念和開放型管理模式。

　　ERP系統的廣泛使用是信息化推進和企業市場規模發展到一定階段的產物、如何在利用ERP帶來的企業運營和管理便利的同時、盡可能避免安全威脅、是在ERP系統應用過程中需要詳細考慮的問題、隨著信息安全技術的不斷發展，不斷有新的威脅會出現，也需要ERP系統進一步提高安全意識，防范可能的網絡攻擊行為。

原文出自【比特網】，轉載請保留原文鏈接：http://sec.chinabyte.com/303/12825303.shtml

本站部分文章或圖片來源于互聯網，本網本著傳播知識、有益學習和研究的目的進行的轉載，為網友免費提供，并盡力標明作者與出處，如有著作權人或出版方提出異議，本站將立即刪除。如果您對文章轉載有任何疑問請告之我們，以便我們及時糾正。

聯系方式：QQ：741266807 Tel：020-22275526。