关于ERP系统运维中的安全管理

关于ERP系统运维中的安全管理

2014-04-21

任焕萍

随着信息化建设的快速发展，信息系统面临的安全威胁越来

越多。对企业而言，以ERP为核心的信息化管理系统，在企业经

营和发展中的作用越来越重要，ERP作为企业资源计划管理系

统，涉及企业人、财、物、销、生产、成本和设备管理等诸多业

务，企业的核心业务、流程和管控都要在ERP系统中处理完成，

因此，ERP系统的安全性就尤为重要。那么，如何做好ERP系统

的安全工作呢？其实，信息系统的安全与其他行业的安全方面有

很多共通之处，安全管理的思路、体系、方法都是相同的，信息

化安全管理要借鉴，借鉴传统行业的安全管理模式，学习其他行

业、单位安全工作的经验，不断提升，才能做好ERP运维安全工

作。

通常安全事故隐患发生的原因，主要分为三类，包括：人的

不安全行为，物的不安全状态，管理上的缺陷。针对这三类，预

防安全隐患、做好安全工作需要从认识、技术和管理三方面为抓

手，如果本质安全和防范措施无力或失效，事故的发生是必然的。

信息化系统也不例外。因此，信息系统的安全要从源头抓，从安

全认识和安全管理入手。具体主要从以下几个方面开展：

一、增强安全意识

要增强ERP运维人员安全意识，增加对运维工作的危机感。

在ERP实施和运维中，对于系统环境有严格的分类管理要求，系

统环境一般分为开发环境、测试环境、培训环境、生产环境，正

式的运行系统就叫生产系统，信息化系统的安全就像煤炭生产的

安全一样也很重要，ERP运维安全重点是生产系统的安全。”产

系统的业务数据所有权属于企业，只有客户才能有权限访问与产

系统。运维工作的安全红线是“决不能以操作业务为代价来做运

维”，红线碰不得，事故出不得。现在一般企业都做了很多信息

化系统，信息系统的安全问题日益凸显，信息系统的运维人员很

多还不能很清晰地明确自身的角色定位，存在很多安全隐患。系

统运维人员是技术支持者，不管有任何理由都不能有操作权限，

也不能以客户的权限操作系统，更不能泄露客户数据和业务°要

把握好尺度，严格规范和执行关于系统访问权限和数据安全保密

的要求，明确哪些是运维人员能做的，哪些是不能做的，杜绝超

越权限范畴越权访问。总之，要通过加强安全的培训、宣贯和督

查，强化安全意识，在潜移默化中树立新的安全价值理念，把运

维安全意识贯穿到每个人，贯穿到工作的每个环节，引导每个人

从“要我安全”向“我要安全、我会安全”转变。

二、加强安全体系化管理

没有事故发生不等于足够安全。侥幸心理要不得，有个别人

认为我做了多次违章操作，都没有发生事故，就不会发生，殊不

知表面的风平浪静不等于真正的安全。更有一些人，当发生事故

时，认为是一时疏忽，是偶然，却不知偶然中存在着必然。1941

年美国的海因里希统计了55万件机械事故之后，得出一个重要

数据结论，即当一个企业有300个隐患或违章，必然要发生29

起轻伤或故障，在这29起轻伤事故或故障当中，有一起重伤、

死亡或重大事故。对于不同的生产过程，不同类型的事故，上述

比例关系不一定完全相同，但这个统计规律说明，在进行同一项

活动中，无数个隐患或违章，必然导致意外故障的发生，而无数

个意外故障，必然导致重大事故的发生。

可见，及时做好防御工作才能保证信息安全。在ERP系统包

括其他套装软件系统的安全方面，借鉴传统行业成熟的安全管理

经验，实现安全管理的制度化、规范化、标准化、专业化，是预

防和管控安全风险的关键。制度化是要建立管控体系，建立变更

管理、需求管理、事件管理、问题处理的流程制度。规范化是要

实现规范管理，我们在ERP运维中要形成三线支持运维体系，一

线作为热线支持，解决基本问题，要求支持人员完全熟练掌握支

持手册，能辨识恒题类别，对于无法处理的问题和不能快速处理

（比如5分钟内不能解决）的问题，要转给二线运维人员；二线

责任是根据业务场景，定位问题，分析问题原因，直接解决问题，

对于需要经过配置和开发等改变系统后才能解决的问题，要提交

到三线支持；三线支持要按照项目管理的方法论和规范要求解决,

特别是要经过严格的测试和发布流程，确保生产系统稳定运行。

复杂的疑难问题、产品问题，提交产品厂商和专家解决。每一级

需要规定内容范围、问题处理和级间交互衔接的规范化要求,标

率，不能为了一味追求效率忽视安全，比如不按照规范走个捷径,

而一旦发生安全事故，那需要花费几倍乃至百倍的力量去处理，

有时甚至是推翻重新做，反而是大大降低了效率。有些操作或问

题，技术人员觉得很复杂，代替用户做比教他快多了，殊不知这

样不仅违规，而且一次代替不能永远代替，以后每当遇到这类问

题，都要反复，而如果教用户掌握了，以后使用就顺利了。

不论源头：严格按照安全规范和要求执行，无论问题产刍的

背景和原因是什么，更不能继续他人做过的不当处理方式。匕如

有些问题是实施阶段造成的或者实施过程是这么做的，如果有错

就要改正，前面做的方式方法不对，要及时调整修正，避免影响

扩大。

不计代价：如果发生安全事故，可能损失和代价难以估算，

甚至不可弥补。要把安全当做头等大事来抓。

一票否决：一旦发生安全事故，就是大问题，造成的损矢不

可避免，再讲其他的辛苦、讲成绩都没有意义。把安全纳入考核

体系。

不存侥幸心理：就像开车要遵守交通规则一样，系统运维也

要遵守安全管理要求，照章办事，坚决杜绝习惯性违章。有的人

觉得我多次这样做了，都没有出过事，不会有事、不会万一。但

事故往往就是在不规范、违章操作中发生。信息系统发生的数据

泄露事件，大多数都是因为不遵守安全规则导致的。

四、安全常态化

ERP运维安全管理要学习煤矿安全管理经验，采取常态化、

闭环式管理方式，做好计划、执行、检查、整改，持续改进。一

些煤矿生产单位安全检查每周或每旬一次，安监局每月一次安全

夜查，对于ERP运维安全也要设置安全检查组，各业务支持组要

设定专人进行安全管理，按照逐层上报方式，对安全工作有计划

安排，层层把关。业务支持组每月检查，安全检查组定期抽查，

每两个月一次巡查，对照隐患源清单逐项检查，特别是隐蔽性危

险源隐患，确保无违规权限、违章操作。检查发现的问题，要限

期整改，宣贯总结，使安全管理落实到位。

同时，要定期开展安全培训工作，组织安全经验讨论会，与

业内先进单位交流，做好阶段性安全总结，不断提升安全管理意

识和水平。要把这些工作常态化，不能一抓就紧，不抓就放。

总之，“安全第一，预防为主”是信息安全的基本方针。随

着IT技术和应用的快速发展，随着信息化应用系统的普及，信

息安全的重要性日益突显，过去对于信息化系统工作重建设轻运

维，现在越来越多的企业和单位认识到了运维的重要性，特别是

应用系统运维中的信息安全和数据安全，更是摆在重要位置,对

于ERP这样的大型应用系统，其中的数据集中体现了企业的核心

业务、经营指标和管理诉求，