企業ＥＲＰ軟件實踐應用中的安全防范

摘要：隨著國內ERP市場的逐漸成熟， 隨著ERP產品價格的日益下降，越來越多的企業開始將ERP軟件運用于日常的企業事務。但是針對這些ERP系統軟件的外部入侵者的攻擊和損害和來自內部用戶的惡意攻擊、欺詐和系統濫用的機會也在呈指數級的增長，這樣導致了企業即便是成功的實施了ERP系統，但在用戶的使用反應速度上卻極其緩慢，系統安全不堪一擊。本文為此具體探討企業ERP系統軟件的安全隱患與防范措施。

關鍵詞：企業；ERP軟件；安全管理；安全防范

中圖分類號：TP311文獻標識碼：A 文章編號：1009-3044(2008)24-1315-02

Security Guard of Practice Application of Enterprise ERP Software

LU Zhi-bin

(Dongguan City， blue sky decorated Ltd. ，Dongwan 523010，China)

Abstract: Along with the gradually mature of the domestic ERP market and the price of ERP product drop day-by-day， more and more enterprises starts using the ERP software to utilize the daily business affair. But exterior intruder's attack， the internal user's malicious attack， the cheat and the system abuses the opportunity of the ERP assumes grow exponentially. It cause the enterprise that were the successful implemented the ERP system extremely was actually slower in the user's use reaction rate， and the safe of system is bad. For this reason， this article f concrete discuss the safe hidden danger and measure of enterprise ERP system software.

Key words: enterprise; ERP software; safety control; security guard

1 引言

ERP（Enterprise Resource Planning）企業資源計劃系統是指建立在信息技術基礎上，以系統化的管理思想，為企業決策層及員工提供決策運行手段的管理平臺。企業ERP系統覆蓋了企業基本的運營業務包括生產、采購、財務、銷售、人力資源、客戶關系等，它可以看作為一個企業的中樞神經系統，要是這個中樞神經系統出了什么問題，那么整個企業就有可能面臨癱瘓和崩潰的危險。隨著現代企業制度的逐步建立，科學管理受到普遍重視。由于ERP中存有大量的企業機密信息， 因此，ERP系統的安全性是一個不容忽視的問題。雖然許多企業對ERP安全做了一些工作，但企業目前的ERP安全管理基本上還處在一種靜態的、局部的、突擊式的、事后糾正式的管理方式，導致的結果是不能從根本上避免、降低各類風險，也不能降低ERP安全故障導致的綜合損失。本文為此具體探討企業ERP系統軟件的安全隱患與防范措施。

2 企業ERP系統軟件的安全隱患

2.1 網絡安全

網絡安全就是一種能夠識別和消除不安全因素的能力。在一些實施ERP的企業里，人們往往僅注重網絡的高效，但常常忽視網絡的安全問題，特別是缺乏網絡安全意識，危害更大，這樣一旦有安全事故的發生，將給企業帶來不可估量的損失。其首先是物理安全，其主要因素有火災及自然災害、雷電、輻射、停電、硬件故障、搭線、盜用、偷竊和超負荷等等。其次是網絡應用安全。將計算機聯到網上就會多出一個網絡安全的問題病毒的襲擊、黑客的攻擊、其他人員的破環、操作員的不按規范程序違章操作或操作失誤等都能引起網絡故障產生網絡安全問題。

2.2 數據庫安全

目前市場上比較流通的數據庫主要包括。Sybase、DB2、SQL server等。各種數據庫的性能、價格之間、也數據安全上都存在一定的差異。中小企業由于資金的制約，往往選擇價格相對低廉的低端的數據庫。在數據量達到一定程度后，產生數據崩潰，將導致所有商業數據丟失。還有些ERP系統，使用明文顯示的數據庫，很容易就可以查看到數據信息。另外，在選擇軟件的時候，由于缺乏技術支持，沒有選擇合適的數據庫架構。B/SC/S結構設計失誤將直接導致ERP系統的安全性能收到威脅，對于用戶來講，將帶來難以挽回的損失。

2.3軟件安全

ERP軟件的安全性取決于兩個方面：首先，軟件提供商的生命力和行業背景是否經受住市場上眾多用戶和時間的考驗，其業務流程的設計是否能夠滿足基本的企業生產、財務、物流等業務的要求。ERP軟件要易學易用，應該成為我們的管理工具，要幫助我們簡化流程，而不是增加我們的工作量。其次，ERP廠商的服務，是ERP軟件安全性的另一個重要的組成部分。一個生命期很短的供應商無法保證對自己的產品進行持續的升級服務。一些企業由于人力資源的限制，在產品升級和具體實施時缺乏專業顧問的保障，因而售后服務的完備與及時是ERP軟件安全運行的重要資源。

2.4 系統權限的相互制約

當前幾乎所有的ERP軟件在信息安全的設計上都沒有或者很少在這方面加以考慮。在這些軟件的設計中，往往存在一個無所不能的超級用戶掌管著其它合法用戶的“生殺大權”，他不僅能夠獨立地增加、刪除用戶和重置用戶密碼；而且可以隨意調整合法用戶的職責和權限。而這對于涉及企業綜合性管理的ERP軟件來說，可能帶來的危害是致命的。因為超級用戶能夠掌握企業大量的機密信息，一旦其別有用心，將會給企業帶來不可估量的商業損失。因此必須考慮對系統權限進行分割并使其相互制約，避免出現權限的過分集中。

3 加強企業ERP系統軟件安全防范的措施

3.1 合理選擇ERP軟件

對于ERP軟件的選擇，要根據企業的實際情況來確定。如果地點單一，可以考慮使用C/S架構的軟件；如果地點分散在不同國家、地區等，可以考慮使用B/S架構的軟件。在ERP軟件采購過程中，非常重要的一點就是要對軟件提供商的生命力和行業性進行評估，防止供應商的破產帶來后續服務的終結。ERP廠商的服務，是ERP軟件安全性一個重要的組成部分。產品升級和專業顧問是保障軟件安全運行的重要資源。另外，ERP軟件由于包含了企業的全部信息，應該對所有登錄到系統的操作人員做細致的權限劃分，保證數據共享范圍和拒絕范圍。

3.2 加強授權管理和身份鑒別

授權管理就是系統可以根據用戶的身份或所在的分組來允許或拒絕合法用戶執行某些規定的系統使用權利。使用RBAC（基于角色的訪問控制）策略來進行授權管理。非常適合用于擁有大量的用戶和海量的數據信息的ERP系統。身份鑒別是確保使用者能夠提出宣稱身份相符的證明，這在網絡安全中非常重要。比如，不是收銀員就不能操作POS機，不是財務人員不能進入財務系統，不是營業員所開具的銷貨票就不能通過POS機銷售，特別是超級用戶，三次輸入錯誤口令系統將自動關閉超級用戶。只有通過技術處理后，超級用戶才能再次登錄，這樣通過身份鑒別體系。使系統達到一種合理的管理控制，防止越權操作，防止錯誤操作，減少安全事故的發生，并且如出現錯誤操作也可以依據身份鑒別界定責任人。

3.3 保護數據庫中的數據

數據庫安全性是用戶權限管理等方面的內容，這種安全性以信息資源和信息資源的用戶為主要管理對象，一個用戶只要具有對某個對象的訪問權限，就可以對信息資源進行操作。我們以SQL Server數據為例來探討保護數據庫中的數據方法。第一四SQL Server的安全性可以與操作系統的安全性建立某種聯系，這就是SQL Server的安全性模式。它有3種安全模式：標準安全、集成安全、混合安全。標準安全完全由SQL Server自身維護安全性，對所有連接采用SQL Server本身的登錄證實過程，通過使用Login ID和口令來訪問數據庫服務器。集成安全允許SQL Server用Windows 2000的認證機制來證實SQL Server的所有連接。混合安全使得SQL Server的用戶和Windows 2000的用戶都可以獲得訪問數據庫的權限。當然，可以不使用SQL Server自身的用戶管理，只允許Windows 2000的用戶具有訪問數據庫的權限。第二是在SQL Server中，權限分兩大級別：連接權、訪問權。連接權指是否可以訪問SQL Server，訪問權指是否可以查詢或修改數據庫。每一個網絡用戶在訪問SQL Server數據之前，必須使用一個windows的賬號或SQL Server的Login ID以及口令，與SQL Server建立連接，SQL Server的安全系統通過對用戶提供的登錄信息的驗證決定是否允許這個用戶連接。在連接成功后，用戶還需要在每個數據庫中都有一個數據庫用戶賬號，或者是用戶別名，查詢或者修改數據時，SQL Server的安全系統根據這個賬號或者別名的權限決定是否允許用戶請求的操作。

3.4 安全備份和安全恢復

企業的ERP系統是為信息服務的，網絡的安全主要是信息的安全，而企業的信息都儲存在數據庫中，數據庫可能由于硬件或軟件故障變得不能使用，所以為了防止數據的丟失，數據庫的備份與恢復就顯得十分重要。首先要制定完善的安全備份策略，數據備份策略一般有月備份、周備份和日備份，再細分有數據全量備份和數據增量備份之分。數據全量備份就是將數據庫內容全部復制到備份設備上，其多用于日增加數據量較小的系統中，一般這種備份數據每日增加量不超過100Mb，1年下來整個數據備份起來也不大于30Gb，這種備份的數據包含著以前的歷史數據，恢復時只需要最后一次的備份數據。數據增量備份是僅將當天產生的數據進行備份，這些數據同以前備份的數據一起構成完整的信息 恢復時要把以前的所有數據放在一起才行，這常用于數據量大的情況，如日產生新數據超過100Mb甚至更高的情況。但是對于兩種備份方法上，采用全量備份較為安全，但每日備份操作時間較長，一般要達到1-2個小時。

4 結束語

總之，隨著ERP在我國的迅速普及，加上網絡的快速發展，ERP的安全性已成為IT專家所要研究的一項重要課題，是計算機科學的重要分支。如何建立一個滿足各級部門信息處理要求的、行之有效的安全的ERP系統，成為一個企業或組織生存和發展的重要條件。

參考文獻：

[1] 李全林，顧冠群.信息化帶動工業化指南[M].南京：東南大學出版社，2005:55.

[2] 羅鴻.ERP原理、設計、實施[M].北京：電子工業出版社，2002:32.

[3] 劉安華.商品化ERP軟件的選擇、需求和實施[J].電子與信息化，2000:1-2.

[4] 羅風蘭，歐陽電平.ERP系統環境下信息系統內部控制的風險分析與防范-基于某企業集團實施ERP案例的思考中國管理信息化[J]，2005，12(5):12-13.