警笛长鸣 保护ERP系统安全迫在眉睫
【 专稿】ERP系统涵盖了应用企业最关键和最敏感的信息资源,恰如企业的“黑盒子”,从中可以找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。
正因如此,凸显出建立信息安全管理机制、保护ERP的安全迫在眉睫。然而目前很多企业在ERP项目建设的时候,没有建立事故灾难的预见与应对机制,忽略ERP系统信息安全的问题。无论是ERP系统的产品供应商,还是实施服务商、第三方咨询机构,都对ERP系统功能过多关注,而对ERP信息安全问题轻描淡写,甚至视而不见。
随着ERP系统在国内企业的普遍应用,ERP的安全问题日益暴露出来,总结其产生的原因,主要如下:
①物理环境,主要为水、火、供电等灾难以及人员的使用、决策、控制等水平低下; ②系统硬件,主要为监测和控制设备、计算机系统、网络设备、连接线等缺陷; ③系统软件,主要为计算机操作系统、数据库管理系统、服务器等缺陷; ④应用软件,主要为ERP系统自身的设计缺陷、技术薄弱等所致; ⑤外来侵入,主要为病毒、黑客等篡改和破坏; ⑥内部滥用,主要为操作失误、人为破坏、内部作案等。
ERP信息系统安全包括实体安全、信息安全、运行安全和人身安全四大内容。
实体安全是指有关保护计算机设备、设施(含网络)以及其他设施免遭自然和人为破坏的措施、过程; 信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制的措施、过程; 运行安全是指系统风险管理、审计跟踪、备份与恢复、应急四个方面的措施、内容; 人身安全主要是指系统使用、管理人员的安全意识、法律意识、安全技能等表现。