验证ERP系统的安全性及其非常好的实践
【 信息化】
问:我们的管理团队关心的是我们遗留下来的内部ERP应用程序中存在数据泄漏的潜在可能。我应该如何确保数据的安全,并提出最好的方法来防止数据泄漏呢?
答:企业资源计划(ERP)应用程序常用于整合和管理内部和外部的资源,例如资产和原料,还有财务和人力资源。它的主要目的是减轻组织内部各商业活动之间的信息流动,同时管理如投资者和客户等任何与之有关的外部联系。ERP应用程序有多种实现,但通常而言,它是具有集中式或分布式模块结构的数据库。
为了防止数据在任何系统下丢失,首先要确定任何机密或敏感数据所在的位置,然后将其加入清单。弄清楚什么情况和谁将访问和使用它是十分重要的,再一次记录下你发现的所有信息。这是一项耗费时间的工作,尤其是针对那些拙劣的文件系统、或者那些结构杂乱的系统。
检查适当的控制机构以确保那些在空闲中、在传输过程中,在处理过程中的敏感数据得到保护,只有那些经过认证的程序和用户可以访问它;我所指的检查不仅仅是记录这些控制措施,还应该包括检查它们的规定任务。
一旦部署完ERP应用程序,还有许多需要注意的地方,例如冗余账号、不合适的访问权限、过时的编码算法、不充分的网络保护、没有打补丁的软件,还包括与ERP系统及其数据有关的文档和强制安全政策等诸多方面的问题。
所有这些问题都需要得到解决,以便让你的过时系统升级到一个安全性能可接受的水平。主动地维护你的数据安全,防止它从组织中泄露,你还应该了解可用于抓取数据的新技术和新的攻击技巧,虽然在系统初次设计时这些问题并不突出。你必须对你的系统进行检查,从而确保它不受到OWASP十大严重网络安全漏洞的影响,我推荐你订购像Threatpost这样的服务,卡巴斯基实验室的安全信息中心会报道新的漏洞信息及其利用程序。
如果用户通过桌面访问你的ERP系统,你还需要通过监控网络活动在终端上加强安全策略。要专注于数据流失的重要原因,即电子邮件、web通信(如,社交网站)和可移动设备(如,USB设备)。但在你监控系统的同时,对于任何可疑事件和违规行为都应该生成一份详细的报告,这使你可以采取行动阻止违规操作,并对违反规定者进行处罚。
目前有些程序可能对你的管理有所帮助。以Symantec公司的数据丢失防护措施为例,它在笔记本、桌面机和服务器上使用内容匹配的方法找出机密数据并对其进行保护,或者防止该信息移动到那些未经授权的地方。如果你需要彻底检查你的ERP系统,Approva公司的控制智能套件值得一用,它为在你系统里进行的访问、配置和操作加入了自动控制措施。
在一个组织里共享数据并不是一件容易的工作,特别是当共享的是敏感数据的时候。如果你要选择一个新系统,且在目前来看ERP不会是你的第一选择,那么请确保这个系统不会因为低劣的安全性而成为你工作上的约束。