|
ERP系統(tǒng)就像企業(yè)的“黑盒子”,內(nèi)部涵蓋了應(yīng)用企業(yè)最關(guān)鍵和最敏感的信息資源���。為此���,如何在開展應(yīng)用的基礎(chǔ)上確保安全,一直是ERP部署中的最大挑戰(zhàn)���。
安全刻不容緩
ERP的特點(diǎn)是大而全��,使用者可以從中尋找出一個企業(yè)的組織架構(gòu)、管理理念�����、客戶資源�����、人力資源組成、企業(yè)產(chǎn)能���、銷售渠道����、合作伙伴�、競爭對手等方方面面的信息。正因?yàn)槿绱����,建立信息安全管理機(jī)制、保護(hù)ERP的安全已經(jīng)迫在眉睫�����。有專家建議�,在ERP應(yīng)用過程中,信息安全應(yīng)成為業(yè)界關(guān)注的焦點(diǎn)和亟待解決的問題��。
然而目前很多企業(yè)在探討���、推廣ERP項(xiàng)目建設(shè)的時候����,沒有建立事故災(zāi)難的預(yù)見與應(yīng)對機(jī)制,經(jīng)常難于有效考慮信息安全的要求����,往往忽略了ERP系統(tǒng)信息安全的建設(shè)問題。無論是ERP系統(tǒng)的產(chǎn)品供應(yīng)商�����、實(shí)施服務(wù)商�����、還是第三方咨詢機(jī)構(gòu)�����,也都對ERP系統(tǒng)功能傾下過多關(guān)注�����,而對涉及ERP信息安全問題大都輕描淡寫��。
同時由于ERP系統(tǒng)的實(shí)施過程相對較為復(fù)雜����,廠商技術(shù)力量有限,在實(shí)施過程中也難于建立有效的ERP系統(tǒng)信息安全管理機(jī)制�,使ERP處于整個企業(yè)信息安全管理最為薄弱的的環(huán)節(jié)。而完善可靠的信息安全管理是影響ERP系統(tǒng)成功實(shí)施的中心環(huán)節(jié)��,如果不能對ERP系統(tǒng)的信息安全問題施以有效的管控��,不但可能增加系統(tǒng)的實(shí)施成本��,還可能很大程度地限制系統(tǒng)功能的充分應(yīng)用��,最終使ERP建設(shè)事倍功半甚至功虧一匱�����,從而導(dǎo)致我國ERP項(xiàng)目建設(shè)成功率不到35%���。
ERP的安全總結(jié)
可以說����,隨著ERP系統(tǒng)在國內(nèi)企業(yè)的普遍應(yīng)用�,ERP的安全問題日益暴露出來,而且日漸嚴(yán)重���,總結(jié)其產(chǎn)生的原因���,主要如下:第一�,物理環(huán)境��,主要為水���、火����、供電等災(zāi)難以及人員的使用����、決策、控制等水平低下;第二�,系統(tǒng)硬件,主要為監(jiān)測和控制設(shè)備�、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備�、連接線等缺陷;第三,系統(tǒng)軟件�����,主要為計(jì)算機(jī)操作系統(tǒng)����、數(shù)據(jù)庫管理系統(tǒng)、服務(wù)器等缺陷;第四��,應(yīng)用軟件���,主要為ERP系統(tǒng)自身的設(shè)計(jì)缺陷����、技術(shù)薄弱等所致;第五���,外來侵入�����,主要為病毒����、黑客等篡改和破壞;第六�����,內(nèi)部濫用����,主要為操作失誤���、人為破壞、內(nèi)部作案等���。
在信息化應(yīng)用迅速普及的今天���,尤其是基于Internet能多方內(nèi)外遠(yuǎn)程訪問的ERP系統(tǒng)時刻遭遇著病毒、黑客甚至競爭對手獲取��、篡改和破壞的風(fēng)險�,稍有不慎,就會給企業(yè)帶來巨大風(fēng)險損失�����,因此如何兼顧ERP系統(tǒng)的安全與高效�,增強(qiáng)企業(yè)識別、防止�、減少和控制組織信息安全風(fēng)險的管控能力、建立安全可靠�����、行之有效的安全管理系統(tǒng)與機(jī)制正成為企業(yè)信息化建設(shè)的頭等大事,也是眾多企業(yè)面臨的一大難題�。
四大重點(diǎn)
ERP信息系統(tǒng)安全應(yīng)當(dāng)包括實(shí)體安全、信息安全����、運(yùn)行安全和人身安全四大內(nèi)容�。其中,實(shí)體安全是指有關(guān)保護(hù)計(jì)算機(jī)設(shè)備���、基礎(chǔ)設(shè)施(含網(wǎng)絡(luò))以及其他設(shè)施免遭自然和人為破壞的措施�、過程;信息安全是指防止信息被故意的或偶然的非法授權(quán)泄漏�����、更改���、破壞或使信息被非法系統(tǒng)辨識����、控制的措施��、過程;運(yùn)行安全是指系統(tǒng)風(fēng)險管理、審計(jì)跟蹤�、備份與恢復(fù)、應(yīng)急四個方面的措施����、內(nèi)容;人身安全主要是指系統(tǒng)使用、管理人員的安全意識����、法律意識、安全技能等表現(xiàn)���。
建立ERP系統(tǒng)安全管理機(jī)制為的是在企業(yè)ERP信息系統(tǒng)工程項(xiàng)目建設(shè)過程中��,保證用戶企業(yè)信息系統(tǒng)在可用性��、保密性�、完整性與ERP信息系統(tǒng)工程的可維護(hù)性技術(shù)環(huán)節(jié)上沒有沖突;在控制投資的前提下��,確保信息系統(tǒng)安全設(shè)計(jì)上沒有漏洞;督促企業(yè)的ERP信息系統(tǒng)管理人員�����、應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理����,時刻建立安全意識;監(jiān)督承建單位按照技術(shù)標(biāo)準(zhǔn)和建設(shè)方案實(shí)施��,檢查承建單位是否存在設(shè)計(jì)過程中的非安全隱患行為或現(xiàn)象等�。
策略與技術(shù)
ERP安全重于泰山���。對廣大企業(yè)來說�����,建立一個運(yùn)行可靠、合理經(jīng)濟(jì)的信息安全管理體系是十分重要和必要的�����。在如何建立信息安全管理體系上���,雖有多種技術(shù)方法和手段��,其具體細(xì)節(jié)更是林林總總�����,但根本方法是要建立健全的ERP信息安全管理制度和采用相應(yīng)的基本策略與主要技術(shù)�,通過制度和手段的有機(jī)結(jié)合,以達(dá)到最佳的信息安全管理效果��。
第一是建立ERP安全風(fēng)險預(yù)測與控制機(jī)制�,這是信息安全管理體系的第一步。利用“失誤模型及后果分析法”技術(shù)��,預(yù)見����、發(fā)現(xiàn)系統(tǒng)中每一個環(huán)節(jié)所產(chǎn)生的(或潛在的)失誤條件,為ERP系統(tǒng)持續(xù)安全運(yùn)行減少風(fēng)險隱患���。另外����,做好一個完善的初始化建立和運(yùn)作的實(shí)施也很重要�。
第二是建立ERP安全防護(hù)策略與制度,通過確定關(guān)鍵信息���、崗位配置�、工作人員的權(quán)限���,明確企業(yè)ERP信息的使用范圍和處理方式����。保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施����,防止病毒、黑客等入侵����、篡改和破壞,監(jiān)督管理員��、應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理��。
第三是做好ERP安全防護(hù)技術(shù)的全面實(shí)施��,主要是服務(wù)器安全控制��、登錄安全控制����、數(shù)據(jù)庫安全控制三大項(xiàng)的全面實(shí)施�����。這是對信息安全防護(hù)策略與制度執(zhí)行情況的監(jiān)控手段,是維護(hù)信息安全管理體系的保障�����。信息安全防護(hù)技術(shù)是信息安全管理體系中的一個重要環(huán)節(jié)����,是信息安全防護(hù)制度和策略重要的執(zhí)行和保證手段。
第四是做好ERP安全防護(hù)效果分析總結(jié)與評估�,這是為完善今后動態(tài)信息安全管理體系提供必要的依據(jù)。吃一塹長一智�����,通過信息安全管理效果分析和評估���,可以不斷發(fā)現(xiàn)新的安全漏洞和隱患���,進(jìn)一步完善信息安全防護(hù)策略和制度。
當(dāng)然��,任何道理都是相對�,ERP信息安全也是一個相對概念,沒有絕對的安全�。即不能因過分強(qiáng)調(diào)系統(tǒng)功能而忽視安全性���,也不能因?yàn)檫^分強(qiáng)調(diào)系統(tǒng)安全而大幅度降低系統(tǒng)運(yùn)行質(zhì)量和效率。妥善處理信息安全與運(yùn)行質(zhì)量����、效能的關(guān)系,兼顧ERP系統(tǒng)的安全與高效����,進(jìn)一步規(guī)范系統(tǒng)運(yùn)行規(guī)則,建立符合標(biāo)準(zhǔn)與合理相結(jié)合的安全措施���,以全面提高企業(yè)ERP系統(tǒng)的整體運(yùn)行效果�����。
只要以科學(xué)嚴(yán)謹(jǐn)認(rèn)真的態(tài)度對待信息安全問題,建立一套切實(shí)有效的和適應(yīng)企業(yè)環(huán)境的ERP信息安全管理體系���,就會將企業(yè)ERP系統(tǒng)安全風(fēng)險降至最小�,并取得最佳建設(shè)實(shí)施效果����。
ERP安全建設(shè)經(jīng)驗(yàn)
建立可靠�、有效的安全管理系統(tǒng)與機(jī)制是確保ERP應(yīng)用安全的前提
可靠性�����、可用性����、保密性、完整性����、可維護(hù)性是ERP安全的內(nèi)涵
風(fēng)險預(yù)防與控制機(jī)制是ERP安全管理體系的基礎(chǔ)
為了做到有據(jù)可查,企業(yè)必須建立自己的ERP安全策略與制度
安全與功能相輔相成����,ERP建設(shè)必須平衡二者的關(guān)系
本文出自:億恩科技【mszdt.com】
本文出自:億恩科技【www.enidc.com】
-->
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)����!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
