一、前言
(上海企業(yè)網(wǎng)站建設)目前���,國內(nèi)中小企業(yè)已經(jīng)達到4200多萬戶,占全國企業(yè)總數(shù)的99%以上��。其中ERP系統(tǒng)整合了企業(yè)內(nèi)部所有經(jīng)營活動�。調(diào)查顯示�,60%以上的中小企業(yè)認為ERP軟件是目前企業(yè)的主要需求����。與大企業(yè)相比�,中小型企業(yè)在阿絡安全方面通常面臨的問題是預算不足�,然而其對于安全性的要求往往是相同甚至更高����。
二�����、非技術領域策略
為了降低成本或趕進度�,中小企業(yè)在推行ERP系統(tǒng)時往往不愿意為“控制”投入太多���,因為他們認為內(nèi)部控制增加了員工的額外負擔�����,使得工作效率降低。但是�,權(quán)限控制是完善職責分離制度的基礎控制手段�����,主要目標是防范內(nèi)部人員的舞弊行為帶給企業(yè)的災難��,中小企業(yè)的高層領導必須更新觀念���,親自參與信息安全管理工作��。在職能部門中也要在企業(yè)組織架構(gòu)設置的基礎之上貫徹職責分離原則,負責采購��、銷售���、庫存、記錄及維護固定資產(chǎn)等職能的人員只應對這些職能中的某一具體業(yè)務環(huán)節(jié)負責,他們對其指定任務以外的職能不應享有系統(tǒng)使用權(quán)��。對于復雜的業(yè)務,可以細化到某個字段�、某個表格的管理權(quán)���、查詢權(quán)����、刪除和插入等權(quán)限�����,從而構(gòu)造一張完整的職責分離網(wǎng)絡,從多個緯度杜絕錯誤���、失常乃至欺詐行為的發(fā)生,徹底消除以往僅依靠其自身的職業(yè)操守和道德準繩進行自我約束的狀況�����。
(上海網(wǎng)站建設)人員安全����。近幾年��,由于經(jīng)濟的高速發(fā)展���,業(yè)務不斷的更新和變化�,同時新用戶進入ERP系統(tǒng)�����,老用戶由于崗位變動,更換了不同性質(zhì)的工作����,要求進行ERP知識的培訓和再培訓。在提高用戶的業(yè)務能力和素質(zhì)同時,加強了對用戶的考核與淘汰���。通過對終用戶的考核與淘汰制度,強化了用戶的學習意識和工作責任�����,減少了數(shù)據(jù)錄入錯誤,保證了ERP系統(tǒng)的平穩(wěn)運行���。
建立事故處理預案��。安全事故預案是應對安全事故及故障的指導原則����,目的是幫助企業(yè)迅速地對事故及故障做出反應�,將事故及故障造成的損害降到小,并通過對已發(fā)事件進行分析來監(jiān)督此類事件�,達到進一步防范風險的作用�����。建立安全事故處理預案是長期、低成本實現(xiàn)ERP安全運作的重要手段��,制度中應該明確事件的不同類型��,如安全漏洞、安全威脅�����、弱點或故障等����,以及它們的報告程序�����,以使業(yè)務人員在發(fā)現(xiàn)事件時可以及時匯報和迅速做出處理���。在對事故做出適當?shù)奶幚砗螅瑧杆偈占嚓P證據(jù)�,以合適的機制進行量化�,評價事故與故障的種類��、數(shù)量和成本��,以利于后續(xù)的監(jiān)督和防范工作。此外�����,還應當建立和事件相對應的處罰措施,對引起系統(tǒng)安全漏洞的員工加以適當?shù)木��,有利于降低業(yè)務人員出錯帶來的安全隱患�����。
三����、技術領域策略
企業(yè)設施的優(yōu)化配備和合理使用�����。對于中小企業(yè)來說,為了保障ERP系統(tǒng)安全實施�����,通常要依賴于網(wǎng)絡外圍的防御��,利用諸如防火墻��、VPNS����,以及入侵防范等措施來抵御外界對其ERP系統(tǒng)的入侵。對于非授權(quán)的訪問�,尤其是有意圖�����、有目的的攻擊行為要通過運行專用的網(wǎng)管軟件進行網(wǎng)絡監(jiān)控��、采用專用內(nèi)容過濾技術阻止各種惡意內(nèi)容的入侵�����,架設防火墻和殺毒軟件等技術措施防范來自網(wǎng)絡的黑客攻擊和病毒攻擊�����,并且限制來路不明的軟件在系統(tǒng)主機上安裝�����,大程度地控制了網(wǎng)絡攻擊和惡意軟件帶來的風險�。對于服務器和工作站的配備要綜合企業(yè)發(fā)展、現(xiàn)金流量���、業(yè)務類型等因素綜合考慮�,既能滿足企業(yè)現(xiàn)有的運作要求又能夠兼顧企業(yè)未來在較長時間內(nèi)的持續(xù)發(fā)展��,實現(xiàn)性價比優(yōu)�。另外�,企業(yè)信息系統(tǒng)設備的安全是系統(tǒng)運行的基礎,因此如何保證設備的安全是信息系統(tǒng)風險防范的基礎�。諸如服務器���、網(wǎng)絡設備�����、存儲設備�、工作站等必備資源設立專門的中心機房和操作室����,設立必備的監(jiān)控系統(tǒng)以應對突發(fā)的各種安全隱患如自然災害和偷盜風險等。
�。上海做網(wǎng)站)網(wǎng)絡安全。油田企業(yè)像一個“沒有圍墻”的工廠��,單位分散����、點多面廣�����、地域偏僻���。保障網(wǎng)絡的安全、穩(wěn)定��、及時���,是實施ERP系統(tǒng)必須考慮的關鍵因素����。為此�����,在保證局域網(wǎng)正常暢通的前提下,需要限定ERP系統(tǒng)上線人數(shù)上限�����,限制出口用戶的數(shù)量�����,要求上線用戶只能在內(nèi)部運行���,對外出口設置防火墻,外部用戶經(jīng)過授權(quán)���,通過口令與密碼才能訪問系統(tǒng)。同時�����,對業(yè)務流量進行實時監(jiān)控。[Page]
操作安全�、數(shù)據(jù)庫的安全����。SAP系統(tǒng)運行于安全可靠的操作系統(tǒng)���,如UNIX、Windows2000�����,數(shù)據(jù)庫系統(tǒng)�����,如Oracel、Informix����。這些操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)��,都已通過或超過C2級安全認證,或達到相應安全級別的管理要求��。系統(tǒng)管理員應當能夠有效地利用它們的安全能力�����。在實際工作中規(guī)定了口令長度,實行口令多次打不開系統(tǒng)失敗后的賬戶鎖定����,強制上線用戶定期更改口令等,以確保操作系統(tǒng)和數(shù)據(jù)庫的口令安全���。按照ERP系統(tǒng)的公司公告和推薦,及時下載操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的補丁程序�,對系統(tǒng)存在的漏洞進行修補�,盡大可能減少系統(tǒng)的安全漏洞。對于數(shù)據(jù)庫的安全���,除了口令���、密碼等安全外���,還做好了數(shù)據(jù)的備份管理工作����,包括實行對每天的生產(chǎn)系統(tǒng)數(shù)據(jù)備份���,每周的數(shù)據(jù)校驗,每月的數(shù)據(jù)備份的可用性和可恢復性檢查���。切實的做好數(shù)據(jù)的備份工作��,才能夠確保ERP系統(tǒng)內(nèi)數(shù)據(jù)的穩(wěn)妥和安全。同時��,在企業(yè)條件許可的情況下���,還將考慮增加異地容災系統(tǒng),實行服務器異地運行�����,分別備份數(shù)據(jù)管理,以大限度的提高ERP系統(tǒng)的安全運行能力�����。
綜上所述�,企業(yè)ERP系統(tǒng)的安全實施���,是軟件���、硬件和人員的高效結(jié)合,缺一不可���。企業(yè)要充分考慮各種可行舉措,適應企業(yè)的業(yè)務發(fā)展���,使系統(tǒng)安全高效的運行,滿足管理和生產(chǎn)的需要����。(上海網(wǎng)站推廣)
滬公網(wǎng)安備 31011402007386號