安全從賬戶(hù)管理做起 打響ERP系統(tǒng)安全保衛(wèi)戰(zhàn)

　　如何保護(hù)ERP系統(tǒng)中的數(shù)據(jù)安全是擺放在眾多ERP實(shí)施顧問(wèn)面前的一道門(mén)檻?如何安全的跨過(guò)這個(gè)門(mén)檻，打好這場(chǎng)ERP系統(tǒng)信息安全的保衛(wèi)戰(zhàn)?

　　筆者在這里以一個(gè)實(shí)施顧問(wèn)的身份，從顧問(wèn)的角度，給企業(yè)用戶(hù)提一些建議。希望這些建議能夠幫助企業(yè)打贏這場(chǎng)戰(zhàn)爭(zhēng)。

　　建議一：安全從賬戶(hù)管理做起。

　　ERP系統(tǒng)的相關(guān)權(quán)限控制，都是依賴(lài)于具體的帳戶(hù)與角色展開(kāi)的。所以，若要保護(hù)好ERP系統(tǒng)中的郵件，則首先需要管理好ERP系統(tǒng)的帳戶(hù)。

　　筆者實(shí)施了不少的ERP項(xiàng)目，其中就有一家企業(yè)，他們?yōu)榱斯芾砩系姆奖�，一個(gè)部門(mén)就采用一個(gè)賬戶(hù)。雖然這個(gè)部門(mén)只有七個(gè)人，但是，共用一個(gè)賬戶(hù)的話(huà)，則就不能區(qū)分系統(tǒng)中的相關(guān)操作到底是誰(shuí)做的。當(dāng)出現(xiàn)問(wèn)題時(shí)，如單據(jù)被意外刪除或者單據(jù)被非法修改的時(shí)候，就不能夠找到責(zé)任人。雖然共用一個(gè)賬戶(hù)，可以給管理帶來(lái)一定的方便。但是，卻會(huì)大大的降低ERP系統(tǒng)的安全性。

　　筆者向來(lái)反對(duì)，以犧牲系統(tǒng)的安全性來(lái)減少管理的工作量。所以，筆者在這里強(qiáng)烈建議，為了提高ERP系統(tǒng)中數(shù)據(jù)的安全性，在系統(tǒng)管理與配置的時(shí)候，切記不要一個(gè)部門(mén)一個(gè)賬戶(hù)。而是要做到一個(gè)員工一個(gè)賬戶(hù)，如此的話(huà)，才能夠?qū)崿F(xiàn)責(zé)任落實(shí)到人，安全落實(shí)到人。

　　建議二：開(kāi)啟ERP系統(tǒng)的日志功能。

　　馬后炮，可能有時(shí)覺(jué)得多余。但是，若事情發(fā)生后，能夠及時(shí)的收集證據(jù)，在損失進(jìn)一步擴(kuò)大之前，采取合理的措施，把問(wèn)題消除在萌芽狀態(tài)。這種“亡羊補(bǔ)牢”的方法，也未嘗不可行。

　　一般ERP系統(tǒng)中，都會(huì)有系統(tǒng)日志功能。在這個(gè)日志中，會(huì)紀(jì)錄用戶(hù)在ERP系統(tǒng)中的具體操作。如什么用戶(hù)在什么時(shí)候?qū)С隽丝蛻?hù)基本信息資料;什么用戶(hù)在什么時(shí)間刪除或者更改了某張單據(jù)的信息等等。都會(huì)詳細(xì)的記錄下來(lái)，當(dāng)系統(tǒng)管理員發(fā)現(xiàn)數(shù)據(jù)出現(xiàn)異常時(shí)，就可以憑借這些日志信息，找到對(duì)應(yīng)的責(zé)任人。

　　所以，為了提高ERP系統(tǒng)的信息安全，筆者建議企業(yè)開(kāi)啟系統(tǒng)日志功能。如此的話(huà)，可以給企業(yè)帶來(lái)如下好處：

　　一是無(wú)形中會(huì)對(duì)用戶(hù)有警示作用。當(dāng)用戶(hù)看到自己的所作所為都會(huì)在系統(tǒng)中留下記錄的時(shí)候，則他們?cè)诟`取系統(tǒng)資料的時(shí)候，就不會(huì)那么明目張膽了。這就好像在公路上，若裝有攝像頭的話(huà)，則司機(jī)的違規(guī)違法現(xiàn)象就會(huì)少的多，他們會(huì)自己約束自己�？梢�(jiàn)，若開(kāi)啟了ERP系統(tǒng)的日志功能的話(huà)，可以給其他用戶(hù)一個(gè)警示的作用，讓他們規(guī)范自己的ERP系統(tǒng)操作。

　　二是可以幫助企業(yè)員工做好相關(guān)的安全審計(jì)。

　　有些信息化安全要求比較高的企業(yè)，會(huì)有專(zhuān)門(mén)人員審計(jì)信息化安全。如筆者認(rèn)識(shí)一家企業(yè)的CIO，他們會(huì)對(duì)員工的網(wǎng)絡(luò)行為進(jìn)行監(jiān)控，包括用戶(hù)的來(lái)往郵件、聊天信息等等。

　　三是當(dāng)出現(xiàn)信息泄露的事件時(shí)，可以作為向員工索賠的證據(jù)。

　　當(dāng)遇到員工泄露企業(yè)的信息時(shí)，企業(yè)最頭疼的問(wèn)題就是沒(méi)有證據(jù)可以證明是員工所為，他們最多只能把可疑的員工辭退，而不能夠要求他們補(bǔ)償損失。而若開(kāi)啟了ERP系統(tǒng)的日志功能之后，用戶(hù)的所作所為都會(huì)在系統(tǒng)中記錄。當(dāng)員工非法更改數(shù)據(jù)或者非法導(dǎo)出客戶(hù)信息的時(shí)候，都會(huì)有詳細(xì)的記錄。這可以為日后對(duì)他們進(jìn)行罰款等處罰措施，找到證據(jù)。

　　所以說(shuō)，ERP系統(tǒng)的日志能夠很大程度上規(guī)范員工的行業(yè)，可以在一定程度上保障ERP系統(tǒng)的安全性。不過(guò)從上面的分析來(lái)看，我們也知道，日志功能是依賴(lài)于具體的用戶(hù)賬戶(hù)的。若多個(gè)人共用一個(gè)賬戶(hù)的話(huà)，則日志也是不能夠區(qū)分到底某個(gè)危險(xiǎn)行為是哪個(gè)員工所做的。所以，要啟用日志功能的話(huà)，首先就需要根據(jù)用戶(hù)來(lái)設(shè)立帳號(hào)。

　　建議三：限制重要資料的導(dǎo)出

　　由于ERP系統(tǒng)是強(qiáng)調(diào)數(shù)據(jù)共享的。所以，很多部門(mén)的機(jī)密信息，如客戶(hù)信息，產(chǎn)品成本價(jià)格信息，產(chǎn)品構(gòu)成等等重要內(nèi)容，都會(huì)被存儲(chǔ)在ERP系統(tǒng)中。若沒(méi)有相關(guān)權(quán)限控制的話(huà)，則企業(yè)員工獲取這些信息將會(huì)輕而易舉。特別是為了管理的方便，系統(tǒng)提供了導(dǎo)出的功能，可以導(dǎo)到EXCEL表格中，進(jìn)行后續(xù)的處理。這就無(wú)形中增加了數(shù)據(jù)泄密的風(fēng)險(xiǎn)。因?yàn)橛脩?hù)不需要一條條的記錄相關(guān)的信息，而只需要把他們成批的導(dǎo)出來(lái)即可。然后回家再慢慢的去尋找有價(jià)值的信息。

　　所以，在ERP系統(tǒng)信息安全保衛(wèi)戰(zhàn)中，有一個(gè)重要的戰(zhàn)略措施，就是要管理要報(bào)表的導(dǎo)出功能。為此，筆者有如下建議值得參考：

　　一是對(duì)于有些資料沒(méi)必要導(dǎo)出的話(huà)就取消其導(dǎo)出功能。

　　其實(shí)，對(duì)于一些客戶(hù)信息、產(chǎn)品價(jià)格信息等等，完全沒(méi)有再導(dǎo)出備份的必要。有些企業(yè)，他們有一個(gè)傳統(tǒng)作業(yè)的習(xí)慣，會(huì)要求財(cái)務(wù)人員每個(gè)星期發(fā)一份成本分析資料給各個(gè)銷(xiāo)售人員。其實(shí)，這完全沒(méi)有必要的。只需要企業(yè)系統(tǒng)管理人員配合財(cái)務(wù)人員，在系統(tǒng)中實(shí)現(xiàn)這份報(bào)表。銷(xiāo)售員可以直接在系統(tǒng)中查詢(xún)相關(guān)的信息，而不需要財(cái)務(wù)人員先導(dǎo)出來(lái)再發(fā)給大家。如果把產(chǎn)品成本信息導(dǎo)出來(lái)之后，銷(xiāo)售人員跟客戶(hù)串通，把成本信息泄露給客話(huà)，則企業(yè)將會(huì)失去價(jià)格談判上的主動(dòng)權(quán)。

　　所以，企業(yè)應(yīng)該結(jié)合自己的情況，對(duì)各項(xiàng)基本資料進(jìn)行分析，若沒(méi)有十分充分的必要要導(dǎo)出數(shù)據(jù)的話(huà)，就索性把這些內(nèi)容的導(dǎo)出功能禁用掉，從根源上把這個(gè)缺口堵住。

　　二是嚴(yán)格限制導(dǎo)入導(dǎo)出的用戶(hù)。

　　有時(shí)候，某些敏感信息確實(shí)有導(dǎo)出的必要。如筆者一家客戶(hù)，他們需要導(dǎo)出產(chǎn)品的成本分析報(bào)告。在每個(gè)月的產(chǎn)品會(huì)議上，公司會(huì)把最近利潤(rùn)比較高的產(chǎn)品當(dāng)作下月的主推產(chǎn)品等等。此時(shí)，就可能需要用到這個(gè)成本分析包括。這個(gè)時(shí)候，有兩種方法。一是通過(guò)ERP系統(tǒng)自帶的報(bào)表實(shí)現(xiàn)。不過(guò)，有些用戶(hù)可能比較刁，他們希望能夠類(lèi)似EXCLE表格的那種圖形來(lái)直觀的表示產(chǎn)品的利潤(rùn)情況。為此，一些基于傳統(tǒng)的客戶(hù)端/服務(wù)器端模式的ERP軟件可能無(wú)法實(shí)現(xiàn)這個(gè)需求。此時(shí)，用戶(hù)迫不得已需要導(dǎo)出這個(gè)報(bào)表。遇到這種情況的話(huà)，就需要嚴(yán)格限制導(dǎo)入導(dǎo)出的用戶(hù)，并且，結(jié)合ERP系統(tǒng)的日志功能，做好這個(gè)危險(xiǎn)動(dòng)作的監(jiān)督工作。如筆者對(duì)這家客戶(hù)的建議是，有財(cái)務(wù)經(jīng)理來(lái)導(dǎo)出這份報(bào)表，其他人員都沒(méi)有這個(gè)權(quán)限。并且在導(dǎo)出的Excel表格中，最好也設(shè)置比較復(fù)雜的密碼，以提高這個(gè)Excle文件本身的安全性。

　　建議四：做好員工之間的信息屏蔽。

　　筆者有一家客戶(hù)，他們對(duì)于信息安全方面要求比較嚴(yán)。他們希望，即使是同一個(gè)部門(mén)，如采購(gòu)部門(mén)，不同員工下的采購(gòu)單，他們之間也不能夠看到。如果看到這些信息的話(huà)，則有經(jīng)驗(yàn)的人就可以從采購(gòu)記錄中發(fā)現(xiàn)產(chǎn)品的組成方式，甚至了解到產(chǎn)品的配方、工藝等方面的信息。為此，這家客戶(hù)他們要求能夠?qū)�員工之間的信息也能夠進(jìn)行屏蔽，當(dāng)然作為部門(mén)的負(fù)責(zé)人，就有權(quán)看到所有的采購(gòu)信息。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]