ERP系統就像企業的“黑匣子”，內部涵蓋了應用企業最關鍵和最敏感的信息資源。為此，如何在開展應用的基礎上確保安全，一直是ERP部署中的最大挑戰。

　　安全刻不容緩

　　ERP的特點是大而全，使用者可以從中尋找出一個企業的組織架構、管理理念、客戶資源、人力資源組成、企業產能、銷售渠道、合作伙伴、競爭對手等方方面面的信息。正因為如此，建立信息安全管理機制、保護ERP的安全已經迫在眉睫。有專家建議，在ERP應用過程中，信息安全應成為業界關注的焦點和亟待解決的問題。

　　然而目前很多企業在探討、推廣ERP項目建設的時候，沒有建立事故災難的預見與應對機制，經常難于有效考慮信息安全的要求，往往忽略了ERP系統信息安全的建設問題。無論是ERP系統的產品供應商、實施服務商、還是第三方咨詢機構，也都對ERP系統功能傾下過多關注，而對涉及ERP信息安全問題大都輕描淡寫。

　　同時由于ERP系統的實施過程相對較為復雜，廠商技術力量有限，在實施過程中也難于建立有效的ERP系統信息安全管理機制，使ERP處于整個企業信息安全管理最為薄弱的的環節。而完善可靠的信息安全管理是影響ERP系統成功實施的中心環節，如果不能對ERP系統的信息安全問題施以有效的管控，不但可能增加系統的實施成本，還可能很大程度地限制系統功能的充分應用，最終使ERP建設事倍功半甚至功虧一匱，從而導致我國ERP項目建設成功率不到35%。

　　ERP的安全總結

　　可以說，隨著ERP系統在國內企業的普遍應用，ERP的安全問題日益暴露出來，而且日漸嚴重，總結其產生的原因，主要如下：第一，物理環境，主要為水、火、供電等災難以及人員的使用、決策、控制等水平低下;第二，系統硬件，主要為監測和控制設備、計算機系統、網絡設備、連接線等缺陷;第三，系統軟件，主要為計算機操作系統、數據庫管理系統、服務器等缺陷;第四，應用軟件，主要為ERP系統自身的設計缺陷、技術薄弱等所致;第五，外來侵入，主要為病毒、黑客等篡改和破壞;第六，內部濫用，主要為操作失誤、人為破壞、內部作案等。

　　在信息化應用迅速普及的今天，尤其是基于Internet能多方內外遠程訪問的ERP系統時刻遭遇著病毒、黑客甚至競爭對手獲取、篡改和破壞的風險，稍有不慎，就會給企業帶來巨大風險損失，因此如何兼顧ERP系統的安全與高效，增強企業識別、防止、減少和控制組織信息安全風險的管控能力、建立安全可靠、行之有效的安全管理系統與機制正成為企業信息化建設的頭等大事，也是眾多企業面臨的一大難題。

　　四大重點

　　ERP信息系統安全應當包括實體安全、信息安全、運行安全和人身安全四大內容。其中，實體安全是指有關保護計算機設備、基礎設施(含網絡)以及其他設施免遭自然和人為破壞的措施、過程;信息安全是指防止信息被故意的或偶然的非法授權泄漏、更改、破壞或使信息被非法系統辨識、控制的措施、過程;運行安全是指系統風險管理、審計跟蹤、備份與恢復、應急四個方面的措施、內容;人身安全主要是指系統使用、管理人員的安全意識、法律意識、安全技能等表現。

    建立ERP系統安全管理機制為的是在企業ERP信息系統工程項目建設過程中，保證用戶企業信息系統在可用性、保密性、完整性與ERP信息系統工程的可維護性技術環節上沒有沖突;在控制投資的前提下，確保信息系統安全設計上沒有漏洞;督促企業的ERP信息系統管理人員、應用人員在安全管理制度和安全規范下嚴格執行安全操作和管理，時刻建立安全意識;監督承建單位按照技術標準和建設方案實施，檢查承建單位是否存在設計過程中的非安全隱患行為或現象等。

　　策略與技術

　　ERP安全重于泰山。對廣大企業來說，建立一個運行可靠、合理經濟的信息安全管理體系是十分重要和必要的。在如何建立信息安全管理體系上，雖有多種技術方法和手段，其具體細節更是林林總總，但根本方法是要建立健全的ERP信息安全管理制度和采用相應的基本策略與主要技術，通過制度和手段的有機結合，以達到最佳的信息安全管理效果。

　　第一是建立ERP安全風險預測與控制機制，這是信息安全管理體系的第一步。利用“失誤模型及后果分析法”技術，預見、發現系統中每一個環節所產生的(或潛在的)失誤條件，為ERP系統持續安全運行減少風險隱患。另外，做好一個完善的初始化建立和運作的實施也很重要。

　　第二是建立ERP安全防護策略與制度，通過確定關鍵信息、崗位配置、工作人員的權限，明確企業ERP信息的使用范圍和處理方式。保護計算機設備、設施，防止病毒、黑客等入侵、篡改和破壞，監督管理員、應用人員在安全管理制度和安全規范下嚴格執行安全操作和管理。

　　第三是做好ERP安全防護技術的全面實施，主要是服務器安全控制、登錄安全控制、數據庫安全控制三大項的全面實施。這是對信息安全防護策略與制度執行情況的監控手段，是維護信息安全管理體系的保障。信息安全防護技術是信息安全管理體系中的一個重要環節，是信息安全防護制度和策略重要的執行和保證手段。

　　第四是做好ERP安全防護效果分析總結與評估，這是為完善今后動態信息安全管理體系提供必要的依據。吃一塹長一智，通過信息安全管理效果分析和評估，可以不斷發現新的安全漏洞和隱患，進一步完善信息安全防護策略和制度。

　　當然，任何道理都是相對，ERP信息安全也是一個相對概念，沒有絕對的安全。即不能因過分強調系統功能而忽視安全性，也不能因為過分強調系統安全而大幅度降低系統運行質量和效率。妥善處理信息安全與運行質量、效能的關系，兼顧ERP系統的安全與高效，進一步規范系統運行規則，建立符合標準與合理相結合的安全措施，以全面提高企業ERP系統的整體運行效果。

　　只要以科學嚴謹認真的態度對待信息安全問題，建立一套切實有效的和適應企業環境的ERP信息安全管理體系，就會將企業ERP系統安全風險降至最小，并取得最佳建設實施效果。

　　ERP安全建設經驗

　　建立可靠、有效的安全管理系統與機制是確保ERP應用安全的前提

　　可靠性、可用性、保密性、完整性、可維護性是ERP安全的內涵

　　風險預防與控制機制是ERP安全管理體系的基礎

　　為了做到有據可查，企業必須建立自己的ERP安全策略與制度

　　安全與功能相輔相成，ERP建設必須平衡二者的關系

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：如何確保ERP系統中的數據安全？

本文網址：http://www.guhuozai8.cn/html/consultation/1082025060.html