铁肩担道义企业ERP系统的安全使命

1、铁肩担道义企业erp系统的安全使命 erp系统就像企业的“黑匣子”，内部涵盖了应用企业最关键和最敏感的信息资源。为此，如何在开展应用的基础上确保安全，一直是erp部署中的最大挑战。 安全刻不容缓 erp的特点是大而全，使用者可以从中查找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。正因为如此，建立信息安全管理机制、保护erp的安全已经迫在眉睫。有专家建议，在erp应用过程中，信息安全应成为业界关注的焦点和亟待解决的问题。 然而，目前许多企业在探讨、推广erp项目建设的时候，没有建立事故灾难的预见与应对机制，经常难以有效考虑信息安

2、全的要求，往往忽视了erp系统信息安全的建设问题。无论是erp系统的产品供应商、实施服务商、还是第三方咨询机构，也都对erp系统功能倾入过多的关注，而对涉及erp信息安全问题大都轻描淡写。 同时，由于erp系统的实施过程相对较为复杂，厂商技术力气有限，在实施过程中也难于建立有效的erp系统信息安全管理机制，使erp处于整个企业信息安全管理最为薄弱的环节。而完善牢靠的信息安全管理是影响erp系统成功实施的中心环节，假如不能对erp系统的信息安全问题施以有效的管控，不但可能增加系统的实施成本，还可能很大程度地限制系统功能的充分应用，最终使erp建设事倍功半甚至功亏一匮，甚至有可能导致我国erp项目

3、建设成功率不到35%。 erp的安全总结 可以说，随着erp系统在国内企业的普遍应用，erp的安全问题日益暴露出来，而且日渐严重。总结其产生的原因，主要如下：第一，物理环境。主要为水、火、供电等灾难以及人员的使用、决策、掌握等水平低下；第二，系统硬件，主要为监测和掌握设备、计算机系统、网络设备、连接线等有缺陷；第三，系统软件。主要为计算机操作系统、数据库管理系统、服务器等缺陷；第四，应用软件。主要为erp系统自身的设计缺陷、技术薄弱等所致；第五，外来侵入。主要为病毒、黑客等篡改和破坏；第六，内部滥用。主要为操作失误、人为破坏、内部作案等。 在信息化应用快速普及的今日，尤其是基于internet

4、能多方内外远程访问的erp系统时刻会遭遇到病毒、黑客甚至竞争对手获取、篡改和破坏的风险，稍有不慎，就会给企业带来巨大损失。因此，如何兼顾erp系统的安全与高效，增加企业识别、防止、削减和掌握组织信息安全风险的管控能力，建立安全牢靠、行之有效的安全管理系统与机制，正成为企业信息化建设的头等大事，也是众多企业面临的一大难题。 四大重点 erp信息系统安全应当包括实体安全、信息安全、运行安全和人身安全四大内容。其中，实体安全是指有关保护计算机设备、基础设施（含网络）以及其他设施免遭自然和人为破坏的措施、过程。信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、掌握的措

5、施和过程；运行安全是指系统风险管理、审计跟踪、备份与恢复、应急四个方面的措施和内容；人身安全主要是指系统使用、管理人员的安全意识、法律意识、安全技能等表现。 建立erp系统安全管理机制为的是在企业erp信息系统工程项目建设过程中，保证用户企业信息系统在可用性、保密性、完整性与erp信息系统工程的可维护性技术环节上没有冲突；在掌握投资的前提下，确保信息系统安全设计上没有漏洞；督促企业的erp信息系统管理人员、应用人员在安全管理制度和安全规范下严格执行安全操作和管理，时刻建立安全意识；监督承建单位根据技术标准和建设方案实施，检查承建单位是否存在设计过程中的非安全隐患行为或现象等。 策略与技术 er

6、p安全至关重要。对广阔企业来说，建立一个运行牢靠、合理经济的信息安全管理体系是非常必要的。在如何建立信息安全管理体系上，虽有多种技术方法和手段， 其详细细节更是林林总总，但根本方法是要建立健全的erp信息安全管理制度和采用相应的基本策略与主要技术，通过制度和手段的有机结合，以达到最佳的信息安全管理效果。 第一是建立erp安全风险预估与掌握机制，这是信息安全管理体系的第一步。利用“失误模型及后果分析法”技术，预见、发觉系统中每一个环节所产生的（或潜在的）失误条件，为erp系统持续安全运行削减风险隐患。另外，做好一个完善的初始化建立和运作的实施也很重要。 第二是建立erp安全防护策略与制度，通过确

7、定关键信息、岗位配置、工作人员的权限，明确企业erp信息的使用范围和处理方式。保护计算机设备、设施，防止病毒、黑客等入侵、篡改和破坏，监督管理员、应用人员在安全管理制度和安全规范下严格执行安全操作和管理。 第三是做好erp安全防护技术的全面实施，主要是服务器安全掌握、登录安全掌握、数据库安全掌握三大项的全面实施。这是对信息安全防护策略与制度执行状况的监控手段，是维护信息安全管理体系的保障。信息安全防护技术是信息安全管理体系中的一个重要环节，是信息安全防护制度和策略的重要执行和保证手段。 第四是做好erp安全防护效果分析总结与评估，这是为完善今后动态信息安全管理体系供应必要的依据。“吃一堑长一智”，通过信息安全管理效果分析和评估，可以不断发觉新的安全漏洞和隐患，进一步完善信息安全防护策略和制度。 当然，任何道理都是相对的，erp信息安全也是一个相对概念，没有肯定的安全。既不能因过分强调系统功能而忽视安全性，也不能因为过分强调系统安全而大幅度降低系统运行质量和效率。妥当处理信息安全与运行质量、效能的关系，兼顾erp系统的安全与高效，进一步规范系统运行规则，建立符合标准与