ERP系統(tǒng)是指建立在信息技術(shù)基礎(chǔ)上���,以系統(tǒng)化的管理思想����,為企業(yè)決策層及員工提供決策運行手段的管理平臺�。它是從MRP發(fā)展而來的新一代集成化管理信息系統(tǒng),它擴展了MRP的功能���,其核心思想是供應(yīng)鏈管理�����。由于ERP系統(tǒng)的復(fù)雜性�,以及企業(yè)在建設(shè)維護(hù)ERP系統(tǒng)時受到的技術(shù)條件����、人員素質(zhì)等各種條件的限制,導(dǎo)致ERP系統(tǒng)存在多種安全風(fēng)險��。
為了加強ERP系統(tǒng)的安全風(fēng)險防范工作����,就需要正確識別ERP系統(tǒng)運行管理中存在的安全風(fēng)險和成因。一般來說��,ERP系統(tǒng)的安全風(fēng)險主要有以下幾個方面:
1.不可抗外力災(zāi)害的安全威脅��。
由于自然災(zāi)害、意外事故等不確定的客觀原因造成如系統(tǒng)硬件的損壞��、網(wǎng)絡(luò)中斷及數(shù)據(jù)丟失等的威脅����。
2.管理疏忽導(dǎo)致的事故的安全威脅。
由于企業(yè)管理不規(guī)范���、不嚴(yán)謹(jǐn)��,相關(guān)人員監(jiān)管不力��,用戶身份認(rèn)證及權(quán)限管理不嚴(yán)���,操作人員誤操作以及業(yè)務(wù)不熟練等主觀原因造成的事故威脅。
3.系統(tǒng)缺陷導(dǎo)致事故的安全威脅�。
由于受構(gòu)建企業(yè)ERP系統(tǒng)平臺時的技術(shù)條件、網(wǎng)絡(luò)產(chǎn)品�、通信協(xié)議等方面限制,在硬件設(shè)備質(zhì)量不過關(guān)��、操作系統(tǒng)平臺安全漏洞�����、服務(wù)器配置有誤��、系統(tǒng)設(shè)計缺陷�����、網(wǎng)絡(luò)協(xié)議漏洞���、缺乏有效監(jiān)控手段等方面的安全隱患造成的事故威脅;
4.惡意攻擊的安全威脅����。
企業(yè)內(nèi)部員工或外界黑客和其他入侵者為了獲得不當(dāng)利益����、竊取商業(yè)秘密、獵奇心理等惡意破壞行為造成的事故威脅���。
5.其他因素造成的安全威脅����。
如系統(tǒng)故障�����、病毒和其他惡意軟件的傳播攻擊、缺乏安全備份機制�、數(shù)據(jù)基礎(chǔ)資料不準(zhǔn)確、系統(tǒng)維護(hù)力量投入不足等造成事故的威脅�����。其中����,管理與技術(shù)方面的缺陷和黑客病毒的攻擊是威脅ERP系統(tǒng)安全的的主要風(fēng)險。
針對以上分析的安全威脅���,提出以下安全防護(hù)體系建設(shè)的安全策略:
1.安全防護(hù)體系建設(shè)的設(shè)計目標(biāo)�。
由于目前信息技術(shù)發(fā)展的局限性�,絕對安全是不存在的,最多只能通過實施一定預(yù)防措施����,把風(fēng)險威脅降低到一定程度,實現(xiàn)風(fēng)險威脅可控����、可以挽回?fù)p失。因此����,ERP系統(tǒng)規(guī)劃和實施的首要目標(biāo)是建立ERP系統(tǒng)的安全保障體系,以保護(hù)企業(yè)的信息資產(chǎn)的安全����,建設(shè)技術(shù)和管理上的安全防護(hù)措施,提供用戶身份認(rèn)證�����、操作授權(quán)�、網(wǎng)絡(luò)安全檢測和病毒攻擊的防范等安全功能,以保護(hù)ERP系統(tǒng)中的硬件����、軟件及數(shù)據(jù)的安全穩(wěn)定、完整有效和機密性�,預(yù)防因惡意或偶然的原因使系統(tǒng)或數(shù)據(jù)信息遭到破壞、篡改和泄漏從而最終造成企業(yè)的嚴(yán)重經(jīng)濟損失����。
“ERP系統(tǒng)安全項目要保護(hù)的資源包括ERP系統(tǒng)的軟硬件資源和數(shù)據(jù)資源。硬件資源主要包括數(shù)據(jù)庫服務(wù)器���、應(yīng)用服務(wù)器和客戶端計算機����,以及傳輸網(wǎng)絡(luò);軟件資源包括服務(wù)器上的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)DBMs�����、應(yīng)用服務(wù)器軟件以及客戶端計算機上的應(yīng)用瀏覽器等��。數(shù)據(jù)信息資源是ERP系統(tǒng)的最寶貴財富���?����!?/span>
2.安全防護(hù)體系建設(shè)的設(shè)計思路����。
要構(gòu)建一個完善的�、高效的企業(yè)ERP系統(tǒng)安全體系結(jié)構(gòu),必須先制定一整套安全策略規(guī)劃����。安全策略是實施企業(yè)信息與網(wǎng)絡(luò)安全體系的基礎(chǔ)。
企業(yè)ERP系統(tǒng)要建設(shè)一個安全高效的安全防護(hù)體系,必須先制定有針對性的安全策略�。ERP系統(tǒng)的“安全策略,是指在一個特定的環(huán)境里(