如何保護(hù)ERP系統(tǒng)中的數(shù)據(jù)安全是擺放在眾多ERP實(shí)施顧問面前的一道門檻�����?如何安全的跨過這個(gè)門檻�,打好這場ERP系統(tǒng)信息安全的保衛(wèi)戰(zhàn)?
筆者在這里以一個(gè)實(shí)施顧問的身份����,從顧問的角度�����,給企業(yè)用戶提一些建議����。希望這些建議能夠幫助企業(yè)打贏這場戰(zhàn)爭�。 建議一:安全從賬戶管理做起。
ERP系統(tǒng)的相關(guān)權(quán)限控制���,都是依賴于具體的帳戶與角色展開的。所以��,若要保護(hù)好ERP系統(tǒng)中的郵件���,則首先需要管理好ERP系統(tǒng)的帳戶��。
筆者實(shí)施了不少的ERP項(xiàng)目����,其中就有一家企業(yè)����,他們?yōu)榱斯芾砩系姆奖����,一個(gè)部門就采用一個(gè)賬戶�����。雖然這個(gè)部門只有七個(gè)人�,但是,共用一個(gè)賬戶的話�,則就不能區(qū)分系統(tǒng)中的相關(guān)操作到底是誰做的。當(dāng)出現(xiàn)問題時(shí)��,如單據(jù)被意外刪除或者單據(jù)被非法修改的時(shí)候�����,就不能夠找到責(zé)任人����。雖然共用一個(gè)賬戶,可以給管理帶來一定的方便����。但是,卻會(huì)大大的降低ERP系統(tǒng)的安全性。
筆者向來反對(duì)���,以犧牲系統(tǒng)的安全性來減少管理的工作量�����。所以����,筆者在這里強(qiáng)烈建議��,為了提高ERP系統(tǒng)中數(shù)據(jù)的安全性����,在系統(tǒng)管理與配置的時(shí)候,切記不要一個(gè)部門一個(gè)賬戶���。而是要做到一個(gè)員工一個(gè)賬戶,如此的話��,才能夠?qū)崿F(xiàn)責(zé)任落實(shí)到人����,安全落實(shí)到人。
建議二:開啟ERP系統(tǒng)的日志功能。 馬后炮�����,可能有時(shí)覺得多余�����。但是���,若事情發(fā)生后�,能夠及時(shí)的收集證據(jù)�,在損失進(jìn)一步擴(kuò)大之前,采取合理的措施�,把問題消除在萌芽狀態(tài)。這種“亡羊補(bǔ)牢”的方法���,也未嘗不可行���。 一般ERP系統(tǒng)中,都會(huì)有系統(tǒng)日志功能�。在這個(gè)日志中,會(huì)紀(jì)錄用戶在ERP系統(tǒng)中的具體操作�。如什么用戶在什么時(shí)候?qū)С隽丝蛻艋拘畔①Y料���;什么用戶在什么時(shí)間刪除或者更改了某張單據(jù)的信息等等。都會(huì)詳細(xì)的記錄下來��,當(dāng)系統(tǒng)管理員發(fā)現(xiàn)數(shù)據(jù)出現(xiàn)異常時(shí)����,就可以憑借這些日志信息,找到對(duì)應(yīng)的責(zé)任人����。
所以,為了提高ERP系統(tǒng)的信息安全�,筆者建議企業(yè)開啟系統(tǒng)日志功能。如此的話����,可以給企業(yè)帶來如下好處:一是無形中會(huì)對(duì)用戶有警示作用。當(dāng)用戶看到自己的所作所為都會(huì)在系統(tǒng)中留下記錄的時(shí)候�����,則他們在竊取系統(tǒng)資料的時(shí)候����,就不會(huì)那么明目張膽了。這就好像在公路上��,若裝有攝像頭的話��,則司機(jī)的違規(guī)違法現(xiàn)象就會(huì)少的多�,他們會(huì)自己約束自己�?梢姡糸_啟了ERP系統(tǒng)的日志功能的話��,可以給其他用戶一個(gè)警示的作用����,讓他們規(guī)范自己的ERP系統(tǒng)操作。 二是可以幫助企業(yè)員工做好相關(guān)的安全審計(jì)�����。
所以說���,ERP系統(tǒng)的日志能夠很大程度上規(guī)范員工的行業(yè)����,可以在一定程度上保障ERP系統(tǒng)的安全性�����。不過從上面的分析來看,我們也知道���,日志功能是依賴于具體的用戶賬戶的�����。若多個(gè)人共用一個(gè)賬戶的話����,則日志也是不能夠區(qū)分到底某個(gè)危險(xiǎn)行為是哪個(gè)員工所做的��。所以����,要啟用日志功能的話,首先就需要根據(jù)用戶來設(shè)立帳號(hào)����。
建議三:限制重要資料的導(dǎo)出 由于ERP系統(tǒng)是強(qiáng)調(diào)數(shù)據(jù)共享的。所以����,很多部門的機(jī)密信息,如客戶信息�����,產(chǎn)品成本價(jià)格信息�,產(chǎn)品構(gòu)成等等重要內(nèi)容,都會(huì)被存儲(chǔ)在ERP系統(tǒng)中�����。若沒有相關(guān)權(quán)限控制的話��,則企業(yè)員工獲取這些信息將會(huì)輕而易舉����。特別是為了管理的方便,系統(tǒng)提供了導(dǎo)出的功能�,可以導(dǎo)到EXCEL表格中,進(jìn)行后續(xù)的處理����。這就無形中增加了數(shù)據(jù)泄密的風(fēng)險(xiǎn)。因?yàn)橛脩舨恍枰粭l條的記錄相關(guān)的信息�����,而只需要把他們成批的導(dǎo)出來即可。然后回家再慢慢的去尋找有價(jià)值的信息����。
所以,在ERP系統(tǒng)信息安全保衛(wèi)戰(zhàn)中���,有一個(gè)重要的戰(zhàn)略措施��,就是要管理要報(bào)表的導(dǎo)出功能����。為此��,筆者有如下建議值得參考:一是對(duì)于有些資料沒必要導(dǎo)出的話就取消其導(dǎo)出功能���。
其實(shí)�����,對(duì)于一些客戶信息��、產(chǎn)品價(jià)格信息等等��,完全沒有再導(dǎo)出備份的必要����。有些企業(yè),他們有一個(gè)傳統(tǒng)作業(yè)的習(xí)慣�����,會(huì)要求財(cái)務(wù)人員每個(gè)星期發(fā)一份成本分析資料給各個(gè)銷售人員�。其實(shí)�����,這完全沒有必要的����。只需要企業(yè)系統(tǒng)管理人員配合財(cái)務(wù)人員,在系統(tǒng)中實(shí)現(xiàn)這份報(bào)表�。銷售員可以直接在系統(tǒng)中查詢相關(guān)的信息,而不需要財(cái)務(wù)人員先導(dǎo)出來再發(fā)給大家����。如果把產(chǎn)品成本信息導(dǎo)出來之后,銷售人員跟客戶串通��,把成本信息泄露給客話,則企業(yè)將會(huì)失去價(jià)格談判上的主動(dòng)權(quán)����。
所以,企業(yè)應(yīng)該結(jié)合自己的情況��,對(duì)各項(xiàng)基本資料進(jìn)行分析�,若沒有十分充分的必要要導(dǎo)出數(shù)據(jù)的話,就索性把這些內(nèi)容的導(dǎo)出功能禁用掉�����,從根源上把這個(gè)缺口堵住�����。 二是嚴(yán)格限制導(dǎo)入導(dǎo)出的用戶���。 有時(shí)候���,某些敏感信息確實(shí)有導(dǎo)出的必要。如筆者一家客戶��,他們需要導(dǎo)出產(chǎn)品的成本分析報(bào)告�。在每個(gè)月的產(chǎn)品會(huì)議上,公司會(huì)把最近利潤比較高的產(chǎn)品當(dāng)作下月的主推產(chǎn)品等等。此時(shí)���,就可能需要用到這個(gè)成本分析包括�。這個(gè)時(shí)候��,有兩種方法���。一是通過ERP系統(tǒng)自帶的報(bào)表實(shí)現(xiàn)。不過�����,有些用戶可能比較刁�����,他們希望能夠類似EXCLE表格的那種圖形來直觀的表示產(chǎn)品的利潤情況�。為此,一些基于傳統(tǒng)的客戶端/服務(wù)器端模式的ERP軟件可能無法實(shí)現(xiàn)這個(gè)需求�。
此時(shí),用戶迫不得已需要導(dǎo)出這個(gè)報(bào)表��。遇到這種情況的話�����,就需要嚴(yán)格限制導(dǎo)入導(dǎo)出的用戶,并且�,結(jié)合ERP系統(tǒng)的日志功能,做好這個(gè)危險(xiǎn)動(dòng)作的監(jiān)督工作�����。 ..
|
