一��、前言
�。上海企業(yè)網(wǎng)站建設(shè))目前,國(guó)內(nèi)中小企業(yè)已經(jīng)達(dá)到4200多萬(wàn)戶����,占全國(guó)企業(yè)總數(shù)的99%以上。其中ERP系統(tǒng)整合了企業(yè)內(nèi)部所有經(jīng)營(yíng)活動(dòng)��。調(diào)查顯示����,60%以上的中小企業(yè)認(rèn)為ERP軟件是目前企業(yè)的主要需求。與大企業(yè)相比,中小型企業(yè)在阿絡(luò)安全方面通常面臨的問(wèn)題是預(yù)算不足���,然而其對(duì)于安全性的要求往往是相同甚至更高����。
二��、非技術(shù)領(lǐng)域策略
為了降低成本或趕進(jìn)度�����,中小企業(yè)在推行ERP系統(tǒng)時(shí)往往不愿意為“控制”投入太多���,因?yàn)樗麄冋J(rèn)為內(nèi)部控制增加了員工的額外負(fù)擔(dān)�����,使得工作效率降低。但是����,權(quán)限控制是完善職責(zé)分離制度的基礎(chǔ)控制手段,主要目標(biāo)是防范內(nèi)部人員的舞弊行為帶給企業(yè)的災(zāi)難�,中小企業(yè)的高層領(lǐng)導(dǎo)必須更新觀念,親自參與信息安全管理工作。在職能部門(mén)中也要在企業(yè)組織架構(gòu)設(shè)置的基礎(chǔ)之上貫徹職責(zé)分離原則��,負(fù)責(zé)采購(gòu)�、銷售、庫(kù)存�����、記錄及維護(hù)固定資產(chǎn)等職能的人員只應(yīng)對(duì)這些職能中的某一具體業(yè)務(wù)環(huán)節(jié)負(fù)責(zé)����,他們對(duì)其指定任務(wù)以外的職能不應(yīng)享有系統(tǒng)使用權(quán)。對(duì)于復(fù)雜的業(yè)務(wù)����,可以細(xì)化到某個(gè)字段、某個(gè)表格的管理權(quán)�����、查詢權(quán)�����、刪除和插入等權(quán)限����,從而構(gòu)造一張完整的職責(zé)分離網(wǎng)絡(luò)���,從多個(gè)緯度杜絕錯(cuò)誤、失常乃至欺詐行為的發(fā)生��,徹底消除以往僅依靠其自身的職業(yè)操守和道德準(zhǔn)繩進(jìn)行自我約束的狀況。
(上海網(wǎng)站建設(shè))人員安全�����。近幾年,由于經(jīng)濟(jì)的高速發(fā)展���,業(yè)務(wù)不斷的更新和變化�����,同時(shí)新用戶進(jìn)入ERP系統(tǒng)�����,老用戶由于崗位變動(dòng),更換了不同性質(zhì)的工作�,要求進(jìn)行ERP知識(shí)的培訓(xùn)和再培訓(xùn)。在提高用戶的業(yè)務(wù)能力和素質(zhì)同時(shí),加強(qiáng)了對(duì)用戶的考核與淘汰�����。通過(guò)對(duì)終用戶的考核與淘汰制度����,強(qiáng)化了用戶的學(xué)習(xí)意識(shí)和工作責(zé)任,減少了數(shù)據(jù)錄入錯(cuò)誤���,保證了ERP系統(tǒng)的平穩(wěn)運(yùn)行�。
建立事故處理預(yù)案�����。安全事故預(yù)案是應(yīng)對(duì)安全事故及故障的指導(dǎo)原則�,目的是幫助企業(yè)迅速地對(duì)事故及故障做出反應(yīng),將事故及故障造成的損害降到小����,并通過(guò)對(duì)已發(fā)事件進(jìn)行分析來(lái)監(jiān)督此類事件,達(dá)到進(jìn)一步防范風(fēng)險(xiǎn)的作用����。建立安全事故處理預(yù)案是長(zhǎng)期����、低成本實(shí)現(xiàn)ERP安全運(yùn)作的重要手段��,制度中應(yīng)該明確事件的不同類型����,如安全漏洞、安全威脅���、弱點(diǎn)或故障等�,以及它們的報(bào)告程序���,以使業(yè)務(wù)人員在發(fā)現(xiàn)事件時(shí)可以及時(shí)匯報(bào)和迅速做出處理����。在對(duì)事故做出適當(dāng)?shù)奶幚砗��,?yīng)迅速收集相關(guān)證據(jù)����,以合適的機(jī)制進(jìn)行量化,評(píng)價(jià)事故與故障的種類�����、數(shù)量和成本�����,以利于后續(xù)的監(jiān)督和防范工作����。此外,還應(yīng)當(dāng)建立和事件相對(duì)應(yīng)的處罰措施����,對(duì)引起系統(tǒng)安全漏洞的員工加以適當(dāng)?shù)木荆欣诮档蜆I(yè)務(wù)人員出錯(cuò)帶來(lái)的安全隱患�����。
三�、技術(shù)領(lǐng)域策略
企業(yè)設(shè)施的優(yōu)化配備和合理使用。對(duì)于中小企業(yè)來(lái)說(shuō)�,為了保障ERP系統(tǒng)安全實(shí)施,通常要依賴于網(wǎng)絡(luò)外圍的防御�����,利用諸如防火墻、VPNS��,以及入侵防范等措施來(lái)抵御外界對(duì)其ERP系統(tǒng)的入侵��。對(duì)于非授權(quán)的訪問(wèn)�����,尤其是有意圖�����、有目的的攻擊行為要通過(guò)運(yùn)行專用的網(wǎng)管軟件進(jìn)行網(wǎng)絡(luò)監(jiān)控���、采用專用內(nèi)容過(guò)濾技術(shù)阻止各種惡意內(nèi)容的入侵�����,架設(shè)防火墻和殺毒軟件等技術(shù)措施防范來(lái)自網(wǎng)絡(luò)的黑客攻擊和病毒攻擊��,并且限制來(lái)路不明的軟件在系統(tǒng)主機(jī)上安裝��,大程度地控制了網(wǎng)絡(luò)攻擊和惡意軟件帶來(lái)的風(fēng)險(xiǎn)。對(duì)于服務(wù)器和工作站的配備要綜合企業(yè)發(fā)展��、現(xiàn)金流量、業(yè)務(wù)類型等因素綜合考慮�,既能滿足企業(yè)現(xiàn)有的運(yùn)作要求又能夠兼顧企業(yè)未來(lái)在較長(zhǎng)時(shí)間內(nèi)的持續(xù)發(fā)展,實(shí)現(xiàn)性價(jià)比優(yōu)�。另外����,企業(yè)信息系統(tǒng)設(shè)備的安全是系統(tǒng)運(yùn)行的基礎(chǔ),因此如何保證設(shè)備的安全是信息系統(tǒng)風(fēng)險(xiǎn)防范的基礎(chǔ)���。諸如服務(wù)器�����、網(wǎng)絡(luò)設(shè)備�����、存儲(chǔ)設(shè)備����、工作站等必備資源設(shè)立專門(mén)的中心機(jī)房和操作室����,設(shè)立必備的監(jiān)控系統(tǒng)以應(yīng)對(duì)突發(fā)的各種安全隱患如自然災(zāi)害和偷盜風(fēng)險(xiǎn)等��。
��。上海做網(wǎng)站)網(wǎng)絡(luò)安全��。油田企業(yè)像一個(gè)“沒(méi)有圍墻”的工廠�,單位分散�、點(diǎn)多面廣、地域偏僻��。保障網(wǎng)絡(luò)的安全����、穩(wěn)定、及時(shí)����,是實(shí)施ERP系統(tǒng)必須考慮的關(guān)鍵因素。為此���,在保證局域網(wǎng)正常暢通的前提下�,需要限定ERP系統(tǒng)上線人數(shù)上限���,限制出口用戶的數(shù)量���,要求上線用戶只能在內(nèi)部運(yùn)行��,對(duì)外出口設(shè)置防火墻�,外部用戶經(jīng)過(guò)授權(quán)�,通過(guò)口令與密碼才能訪問(wèn)系統(tǒng)。同時(shí)���,對(duì)業(yè)務(wù)流量進(jìn)行實(shí)時(shí)監(jiān)控。[Page]
操作安全�����、數(shù)據(jù)庫(kù)的安全����。SAP系統(tǒng)運(yùn)行于安全可靠的操作系統(tǒng),如UNIX�、Windows2000,數(shù)據(jù)庫(kù)系統(tǒng)��,如Oracel���、Informix����。這些操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng),都已通過(guò)或超過(guò)C2級(jí)安全認(rèn)證���,或達(dá)到相應(yīng)安全級(jí)別的管理要求���。系統(tǒng)管理員應(yīng)當(dāng)能夠有效地利用它們的安全能力。在實(shí)際工作中規(guī)定了口令長(zhǎng)度�,實(shí)行口令多次打不開(kāi)系統(tǒng)失敗后的賬戶鎖定,強(qiáng)制上線用戶定期更改口令等�,以確保操作系統(tǒng)和數(shù)據(jù)庫(kù)的口令安全。按照ERP系統(tǒng)的公司公告和推薦�����,及時(shí)下載操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的補(bǔ)丁程序��,對(duì)系統(tǒng)存在的漏洞進(jìn)行修補(bǔ)��,盡大可能減少系統(tǒng)的安全漏洞����。對(duì)于數(shù)據(jù)庫(kù)的安全����,除了口令��、密碼等安全外�,還做好了數(shù)據(jù)的備份管理工作,包括實(shí)行對(duì)每天的生產(chǎn)系統(tǒng)數(shù)據(jù)備份�����,每周的數(shù)據(jù)校驗(yàn)�,每月的數(shù)據(jù)備份的可用性和可恢復(fù)性檢查。切實(shí)的做好數(shù)據(jù)的備份工作�����,才能夠確保ERP系統(tǒng)內(nèi)數(shù)據(jù)的穩(wěn)妥和安全�����。同時(shí)�,在企業(yè)條件許可的情況下���,還將考慮增加異地容災(zāi)系統(tǒng)��,實(shí)行服務(wù)器異地運(yùn)行���,分別備份數(shù)據(jù)管理����,以大限度的提高ERP系統(tǒng)的安全運(yùn)行能力��。
綜上所述�,企業(yè)ERP系統(tǒng)的安全實(shí)施,是軟件��、硬件和人員的高效結(jié)合�����,缺一不可��。企業(yè)要充分考慮各種可行舉措��,適應(yīng)企業(yè)的業(yè)務(wù)發(fā)展�,使系統(tǒng)安全高效的運(yùn)行,滿足管理和生產(chǎn)的需要�����。(上海網(wǎng)站推廣)
.png)
滬公網(wǎng)安備 31011402007386號(hào)