中小企业ERP的安全防御与策略

    一、前言

　　目前，国内中小企业已经达到4200多万户，占全国企业总数的99%以上。其中ERP系统整合了企业内部所有经营活动。调查显示，60%以上的中小企业认为ERP软件是目前企业的主要需求。与大企业相比，中小型食业在网络安全方面通常面临的问题是预算不足，然而其对于安全性的要求往往是相同甚至更高。

　　二、非技术领域策略

　　为了降低成本或赶进度，中小企业在推行ERP系统时往往不愿意为“控制”投入太多，因为他们认为内部控制增加了员工的额外负担.使得工作效率降低。但是，权限控制是完善职责分离制度的基础控制手段，主要目标是防范内部人员的舞弊行为带给企业的灾难，中小企业的高层领导必须更新观念，亲自参与信息安全管理丁作。在职能部门中也要在企业组织架构设置的基础之上贯彻职责分离原则，负责采购，销售、库存、记录及维护固定资产等职能的人员只应对这些职能中的某一具体业务环节负责，他们对其指定任务以外的职能不应享有系统使用权。对于复杂的业务，可以细化到某个字段、某个表格的管理权、查询权、删除和插入等权限，从而构造一张完整的职责分离网络，从多个纬度杜绝错误、失常乃至欺诈行为的发生，彻底消除以往仪依靠其自身的职业操守和道德准绳进行自我约束的状况。

　　人员安全。近几年，由于经济的高速发展，业务不断的更新和变化，同时新用户进入系统，老用户由于岗位变动，更换了不同性质的工作，要求进行ERP知识的培训和再培训。在提高用户的业务能力和素质同时，加强了对用户的考核与淘汰。通过对最终用户的考核与淘汰制度，强化了用户的学习意识和工作责任，减少了数据录入错误，保证了ERP系统的平稳运行。

　　建立事故处理预案。安全事故预案是应对安全事故及故障的指导原则，目的是帮助企业迅速地对事故及故障做出反应，将事故及故障造成的损害降到最小。并通过对已发事件进行分析来监督此类事件，达到进一步防范风险的作用。建立安全事故处理预案是长期、低成本实现ERP安全运作的重要手段，制度中应该明确事件的不同类型，如安全漏洞、安伞威胁、弱点或故障等，以及它们的报告程序，以使业务人员在发现事件时可以及时汇报和迅速做出处理。在对事故做出适当的处理后，应迅速收集相关证据，以合适的机制进行量化，评价事故与故障的种类、数量和成本，以利于后续的监督和防范丁作。此外，还应当建立和事件相对应的处罚措施，对引起系统安伞漏洞的员工加以适当的警示，有利于降低业务人员出错带来的安全隐患。

　　三、技术领域策略

　　企业设施的优化配备和合理使用。对于中小企业来说，为了保障ERP系统安全实施，通常要依赖于网络外围的防御，利用诸如防火墙、VPNS，以及人侵防范等措施来抵御外界对其ERP系统的入侵。

　　对于非授权的访问，尤其是有意图、有目的的攻击行为要通过运行专用的网管软件进行网络监控、采用专用内容过滤技术阻止各种恶意内容的人侵，架设防火墙和杀毒软件等技术措施防范来自网络的黑客攻击和病毒攻击。并且限制来路不明的软件在系统主机上安装，最大程度地控制了.网络攻击和恶意软件带来的风险。对于服务器和—r作站的配备要综合企业发展、现金流量、业务类型等因素综合考虑，既能满足企业现有的运作要求又能够兼顾企业未来在较长时间内的持续发展.实现性价比最优。另外，企业信息系统设备的安全是系统运行的基础.因此如何保证设备的安全是信息系统风险防范的基础。诸如服务器、网络设备、存储设备、工作站等必备资源设立专门的中心机房和操作室，设立必备的监控系统以应对突发的各种安全隐患如自然灾害和偷盗风险等。

　　网络安全。油田企业像一个“没有围墙”的工厂，单位分散、点多面广、地域偏僻。保障网络的安全、稳定、及时，是实施ERP系统必须考虑的关键冈素。为此.在保证局域网正常畅通的前提下，需要限定ERP系统上线人数上限，限制出口用户的数量，要求上线用户只能在内部运行，对外出口设置防火墙，外部用户经过授权，通过口令与密码才能访问系统。同时，对业务流量进行实时监控。

　　操作安全、数据库的安全。SAP系统运行于安全可靠的操作系统，如UNIX、Windows2000。数据库系统，如Oracel、Informix。这些操作系统和数据库系统，都已通过或超过C2级安全认证，或达到相应安全级别的管理要求。系统管理员应当能够有效地利用它们的安全能力。在实际工作中规定了口令长度，实行口令多次打不开系统失败后的账户锁定，强制上线用户定期更改口令等，以确保操作系统和数据库的口令安全。按照ERP系统的公司公告和推荐，及时下载操作系统和数据库系统的补丁程序，对系统存在的漏洞进行修补，尽最大可能减少系统的安伞漏洞。对于数据库的安全，除了口令、密码等安全外.还做好了数据的备份管理工作，包括实行对每天的牛产系统数据备份，每周的数据校验，每月的数据备份的可用性和可恢复性检查。切实的做好数据的备份工作，才能够确保ERP系统内数据的稳妥和安全。同时，在企业条件许可的情况下，还将考虑增加异地容灾系统，实行服务器异地运行，分别备份数据管理。以最大限度的提高ERP系统的安全运行能力。

　　综上所述，企业ERP系统的安全实施，是软件、硬件和人员的高效结合，缺一不可。企业要充分考虑各种可行举措，适应企业的业务发展，使系统安全高效的运行，满足管理和生产的需要。