欧美日操-欧美日韩91-欧美日韩99-欧美日韩ay在线观看-xxxx色-xxxx视频在线

試論ERP系統安全問題及五大對策

2013-12-20 17:29:01 北極星電力網  點擊量: 評論 (0)
一、ERP系統中的安全風險 由于ERP系統的復雜性,以及企業在建設維護ERP系統時受到的技術條件、人員素質等各種條件的限制,導致ERP系統存在多種安全風險。要加強ERP系統的安全風險防范工作,就需要正確識別ERP
        一、ERP系統中的安全風險

        由于ERP系統的復雜性,以及企業在建設維護ERP系統時受到的技術條件、人員素質等各種條件的限制,導致ERP系統存在多種安全風險。要加強ERP系統的安全風險防范工作,就需要正確識別ERP系統運行管理中存在的安全風險和成因。一般來說,ERP系統的安全風險主要有以下幾個方面:

        1.不可抗外力災害的安全威脅。由于自然災害、意外事故等不確定的客觀原因造成如系統硬件的損壞、網絡中斷及數據丟失等的威脅。

        2.管理疏忽導致的事故的安全威脅。由于企業管理不規范、不嚴謹,相關人員監管不力,用戶身份認證及權限管理不嚴,操作人員誤操作以及業務不熟練等主觀原因造成的事故威脅。

        3.系統缺陷導致事故的安全威脅。由于受構建企業ERP系統平臺時的技術條件、網絡產品、通信協議等方面限制,在硬件設備質量不過關、操作系統平臺安全漏洞、服務器配置有誤、系統設計缺陷、網絡協議漏洞、缺乏有效監控手段等方面的安全隱患造成的事故威脅;

        4.惡意攻擊的安全威脅。企業內部員工或外界黑客和其他入侵者為了獲得不當利益、竊取商業秘密、獵奇心理等惡意破壞行為造成的事故威脅。

        5.其他因素造成的安全威脅。如系統故障、病毒和其他惡意軟件的傳播攻擊、缺乏安全備份機制、數據基礎資料不準確、系統維護力量投入不足等造成事故的威脅。其中,管理與技術方面的缺陷和黑客病毒的攻擊是威脅ERP系統安全的的主要風險。

        二、安全防護體系建設的安全策略

        1.安全防護體系建設的設計目標。

        由于目前信息技術發展的局限性,絕對安全是不存在的,最多只能通過實施一定預防措施,把風險威脅降低到一定程度,實現風險威脅可控、可以挽回損失。

        因此,ERP系統規劃和實施的首要目標是建立ERP系統的安全保障體系,以保護企業的信息資產的安全,建設技術和管理上的安全防護措施,提供用戶身份認證、操作授權、網絡安全檢測和病毒攻擊的防范等安全功能,以保護ERP系統中的硬件、軟件及數據的安全穩定、完整有效和機密性,預防因惡意或偶然的原因使系統或數據信息遭到破壞、篡改和泄漏從而最終造成企業的嚴重經濟損失。

        “ERP系統安全項目要保護的資源包括ERP系統的軟硬件資源和數據資源。硬件資源主要包括數據庫服務器、應用服務器和客戶端計算機,以及傳輸網絡;軟件資源包括服務器上的操作系統、數據庫管理系統DBMs、應用服務器軟件以及客戶端計算機上的應用瀏覽器等。數據信息資源是ERP系統的最寶貴財富。”

        2.安全防護體系建設的設計思路。

        要構建一個完善的、高效的企業ERP系統安全體系結構,必須先制定一整套安全策略規劃。安全策略是實施企業信息與網絡安全體系的基礎。

       企業ERP系統要建設一個安全高效的安全防護體系,必須先制定有針對性的安全策略。ERP系統的“安全策略,是指在一個特定的環境里(安全區域),為保證提供一定級別的安全保護所必須遵守的一系列條例、規則。”

        安全策略詳細規定了ERP系統允許的各種安全活動和違規行為的懲罰措施,穩妥可行、細致周密的安全策略規劃是成功建設安全防護設施的前提和基礎。

        “安全策略體系是指安全策略的建立、執行、審核、修訂等;安全技術體系包括身份認證和授權、訪問控制、數據的冗余備份、系統的監控、審計等;安全運作體系包括人員的組織建設、技術人員的工作內容和工作考核等。”

        企業建設保障ERP系統安全的技術體系、運作體系應當與企業的安全目標和安全策略相一致。

        企業ERP系統的安全體系建設,包括企業內部局域網的安全建設,與合作企業、分支機構聯網的安全建設等。企業既要加強ERP系統的安全性,又不能以降低系統性能為代價。

         3.安全防護體系的設計原則。

       在工作流程上,“事前”,建立高安全的ERP系統,選擇高安全應用服務協議,及時了解信息技術上、人員管理上的動態變化,修補系統漏洞,避免被惡意利用;。“事中”,針對各種不同的安全威脅,綜合安全防火墻、入侵防護系統、系統自身的網絡安全設置、數據庫權限、操作規范、操作人員管理等多種手段進行防護;“事后”,實現保存系統工作日志,科學的備份策略,和事故應急預案等多策并舉。具體設計原則主要有:

        (1)在設計和規劃ERP系統的安全防護設施之前,應當對信息安全技術的發展趨勢和黑客攻擊技術的最新變化,以及ERP技術的進展和可能面臨的風險隱患有充分的了解,并提高相關的安全意識。

        (2)企業應當了解所要實施的ERP系統的技術特點和實施的實際情況(包括系統構架、業務流程、功能環節及運行狀況等),了解相關安全需求,基于系統工程理論對ERP系統的具體操作人員、硬件設備、軟件平臺、數據傳輸及存儲、網絡環境以及運行流程等環節進行定性和定量的綜合分析,確認要重點防護的環節、面臨的安全風險威脅,找出薄弱環節、縮小漏洞范圍,由此制定安全目標和安全策略,做好事故應急預案和代價限度。

        (3)ERP系統的安全防護設施是一個整體性、綜合性的系統工程,不是某個安全技術措施單獨能夠防護的,任何一個微小的漏洞都會導致系統整體崩潰。在建設安全防護設施時應該將現有各種安全組件、管控措施有機地組合起來,優化配置,部署于ERP系統的正確的位置,協同配合,共同防護,由此全面、全方位地提高安全防護水準,提高了防護效率、效果,超越任何單一安全組件單打獨斗式極低的防護效果。

       (4)在設計規劃安全防護設施時,應當使其適應企業目前業務活動特點、業務人員水平和滿足ERP系統正常運行的要求,而且由于信息技術的發展,安全防護設施的建設也是一個循序漸進、不斷完善的過程,因此,安全防護設施的建設要實現可用性、可靠性、可擴充性、完整性、機密性和可伸縮性間的全面結合。

       (5)由于ERP系統面臨的安全威脅是不斷變化的,因此安全設施的建設應當根據安全目標、安全策略有序地組織起來,構建立體布局、流程化、動態化的安全防護體系。建設技術手段與管理體系的并重、進行流程控制的安全防護體系。

        從技術層面上提高物理層、鏈路層、網絡層、應用層等方面的安全防護技術手段,在管理體系上,制定嚴格的管理制度,建立科學的、嚴密的崗位分工與組織,并進行經常性的維護、檢查。

       (6)企業建設的安全防護體系應當有相應的、健全的評價規范和準則,可以進行定性定量的風險評估,可以匯總出整個ERP系統安全防護體系的整體結構和所采用的安全工具與措施,確定安全防護體系的建設是否實現了安全目標與安全策略。

         三、安全防護體系建設的措施

        1.重視基礎設施建設,合理設置信息安全架構。

        應依據ERP系統的特點和確定的安全目標、安全策略以建設一個合理的、完善的安全架構體系,根據系統的功能特點和面l臨的安全風險,合理地劃分安全區域,統一規劃安全設施、網絡設施、共享的信息資源范圍等,增強對網絡的監控。

        根據職能和部門、內網和外網的不同,對網絡、系統平臺之間進行合理、有效的區域隔離和訪問控制,實現“應用分區、安全分級、網絡分層”,對核心設備、核心環節的安全進行重點防護,從而實現ERP系統的安全目標、規避和控制安全風險。

根據安全的等級,網絡環境和具體模塊功能的不同,ERP系統的安全防護區域可以具體劃分為:網絡核心區、服務器接人區、辦公網接入區、網絡安全監控管理區、廣域網接人區、外聯網接入區,區域間使用安全技術設備加以隔離。

大云網官方微信售電那點事兒

責任編輯:黎陽錦

免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
?
主站蜘蛛池模板: 亚洲精品日本高清中文字幕| 全网毛片免费| 视频福利在线| 一本大道香蕉久97在线视频| 欧美成人eee在线| 亚洲高清视频在线播放| 轻轻碰在线视频免费视频| 亚洲丝袜国产| 欧美久久综合九色综合| 一级成人毛片免费观看| 青草娱乐极品免费视频| 四虎中文| 色吧综合| 亚洲人成亚洲精品| 一本之道久| 欧美日韩91| 熟女毛片| 午夜免费| 色亚洲视频| 午夜看片影院在线观看| 天天碰免费上传视频| 亚洲欧美日韩在线| 亚洲一区二区三区高清不卡| 一级不卡毛片免费| 亚洲一区二区三区高清视频| 亚洲大成色www永久网| 亚洲自偷自拍另类12p| 亚洲无毛| 青青青国产精品手机在线观看| 亚洲狠狠婷婷综合久久久图片| 亚洲欧洲视频在线观看| 亚洲欧美黄色片| 色偷偷97| 色桃影院| 日韩国产有码在线观看视频| 欧洲精品视频在线观看| 亚洲一区二区三区高清不卡| 日本欧美在线视频| 欧洲亚洲一区| 亚洲综合sss久久天堂| 欧美日韩网|