如何保護ERP系統(tǒng)中的數(shù)據(jù)安全是擺放在眾多ERP實施顧問面前的一道門檻���?如何安全的跨過這個門檻,打好這場ERP系統(tǒng)信息安全的保衛(wèi)戰(zhàn)�����?
筆者在這里以一個實施顧問的身份�,從顧問的角度,給企業(yè)用戶提一些建議���。希望這些建議能夠幫助企業(yè)打贏這場戰(zhàn)爭���。 建議一:安全從賬戶管理做起。
ERP系統(tǒng)的相關(guān)權(quán)限控制,都是依賴于具體的帳戶與角色展開的�。所以,若要保護好ERP系統(tǒng)中的郵件�,則首先需要管理好ERP系統(tǒng)的帳戶。
筆者實施了不少的ERP項目�����,其中就有一家企業(yè)����,他們?yōu)榱斯芾砩系姆奖�,一個部門就采用一個賬戶。雖然這個部門只有七個人���,但是�����,共用一個賬戶的話�,則就不能區(qū)分系統(tǒng)中的相關(guān)操作到底是誰做的�����。當(dāng)出現(xiàn)問題時�,如單據(jù)被意外刪除或者單據(jù)被非法修改的時候����,就不能夠找到責(zé)任人�。雖然共用一個賬戶,可以給管理帶來一定的方便�。但是,卻會大大的降低ERP系統(tǒng)的安全性�����。
筆者向來反對�,以犧牲系統(tǒng)的安全性來減少管理的工作量。所以����,筆者在這里強烈建議,為了提高ERP系統(tǒng)中數(shù)據(jù)的安全性���,在系統(tǒng)管理與配置的時候�,切記不要一個部門一個賬戶�。而是要做到一個員工一個賬戶,如此的話����,才能夠?qū)崿F(xiàn)責(zé)任落實到人��,安全落實到人����。
建議二:開啟ERP系統(tǒng)的日志功能���。 馬后炮,可能有時覺得多余��。但是��,若事情發(fā)生后����,能夠及時的收集證據(jù),在損失進(jìn)一步擴大之前�,采取合理的措施,把問題消除在萌芽狀態(tài)�。這種“亡羊補牢”的方法,也未嘗不可行�。 一般ERP系統(tǒng)中,都會有系統(tǒng)日志功能����。在這個日志中����,會紀(jì)錄用戶在ERP系統(tǒng)中的具體操作�����。如什么用戶在什么時候?qū)С隽丝蛻艋拘畔①Y料��;什么用戶在什么時間刪除或者更改了某張單據(jù)的信息等等����。都會詳細(xì)的記錄下來,當(dāng)系統(tǒng)管理員發(fā)現(xiàn)數(shù)據(jù)出現(xiàn)異常時��,就可以憑借這些日志信息�����,找到對應(yīng)的責(zé)任人���。
所以����,為了提高ERP系統(tǒng)的信息安全,筆者建議企業(yè)開啟系統(tǒng)日志功能���。如此的話��,可以給企業(yè)帶來如下好處:一是無形中會對用戶有警示作用���。當(dāng)用戶看到自己的所作所為都會在系統(tǒng)中留下記錄的時候,則他們在竊取系統(tǒng)資料的時候��,就不會那么明目張膽了�����。這就好像在公路上��,若裝有攝像頭的話��,則司機的違規(guī)違法現(xiàn)象就會少的多�����,他們會自己約束自己������?梢姡糸_啟了ERP系統(tǒng)的日志功能的話�����,可以給其他用戶一個警示的作用����,讓他們規(guī)范自己的ERP系統(tǒng)操作。 二是可以幫助企業(yè)員工做好相關(guān)的安全審計��。
所以說�,ERP系統(tǒng)的日志能夠很大程度上規(guī)范員工的行業(yè),可以在一定程度上保障ERP系統(tǒng)的安全性����。不過從上面的分析來看,我們也知道���,日志功能是依賴于具體的用戶賬戶的���。若多個人共用一個賬戶的話,則日志也是不能夠區(qū)分到底某個危險行為是哪個員工所做的���。所以���,要啟用日志功能的話����,首先就需要根據(jù)用戶來設(shè)立帳號�����。
建議三:限制重要資料的導(dǎo)出 由于ERP系統(tǒng)是強調(diào)數(shù)據(jù)共享的����。所以,很多部門的機密信息�����,如客戶信息���,產(chǎn)品成本價格信息,產(chǎn)品構(gòu)成等等重要內(nèi)容���,都會被存儲在ERP系統(tǒng)中���。若沒有相關(guān)權(quán)限控制的話����,則企業(yè)員工獲取這些信息將會輕而易舉��。特別是為了管理的方便�����,系統(tǒng)提供了導(dǎo)出的功能�����,可以導(dǎo)到EXCEL表格中���,進(jìn)行后續(xù)的處理�����。這就無形中增加了數(shù)據(jù)泄密的風(fēng)險���。因為用戶不需要一條條的記錄相關(guān)的信息,而只需要把他們成批的導(dǎo)出來即可�����。然后回家再慢慢的去尋找有價值的信息。
所以��,在ERP系統(tǒng)信息安全保衛(wèi)戰(zhàn)中��,有一個重要的戰(zhàn)略措施�,就是要管理要報表的導(dǎo)出功能。為此���,筆者有如下建議值得參考:一是對于有些資料沒必要導(dǎo)出的話就取消其導(dǎo)出功能��。
其實�����,對于一些客戶信息�����、產(chǎn)品價格信息等等,完全沒有再導(dǎo)出備份的必要��。有些企業(yè)����,他們有一個傳統(tǒng)作業(yè)的習(xí)慣�����,會要求財務(wù)人員每個星期發(fā)一份成本分析資料給各個銷售人員�。其實�,這完全沒有必要的。只需要企業(yè)系統(tǒng)管理人員配合財務(wù)人員����,在系統(tǒng)中實現(xiàn)這份報表。銷售員可以直接在系統(tǒng)中查詢相關(guān)的信息����,而不需要財務(wù)人員先導(dǎo)出來再發(fā)給大家。如果把產(chǎn)品成本信息導(dǎo)出來之后�����,銷售人員跟客戶串通���,把成本信息泄露給客話��,則企業(yè)將會失去價格談判上的主動權(quán)����。
所以,企業(yè)應(yīng)該結(jié)合自己的情況���,對各項基本資料進(jìn)行分析����,若沒有十分充分的必要要導(dǎo)出數(shù)據(jù)的話�,就索性把這些內(nèi)容的導(dǎo)出功能禁用掉,從根源上把這個缺口堵住�。 二是嚴(yán)格限制導(dǎo)入導(dǎo)出的用戶。 有時候�����,某些敏感信息確實有導(dǎo)出的必要�。如筆者一家客戶,他們需要導(dǎo)出產(chǎn)品的成本分析報告���。在每個月的產(chǎn)品會議上��,公司會把最近利潤比較高的產(chǎn)品當(dāng)作下月的主推產(chǎn)品等等����。此時����,就可能需要用到這個成本分析包括。這個時候����,有兩種方法。一是通過ERP系統(tǒng)自帶的報表實現(xiàn)��。不過�����,有些用戶可能比較刁�,他們希望能夠類似EXCLE表格的那種圖形來直觀的表示產(chǎn)品的利潤情況。為此��,一些基于傳統(tǒng)的客戶端/服務(wù)器端模式的ERP軟件可能無法實現(xiàn)這個需求��。
此時�����,用戶迫不得已需要導(dǎo)出這個報表。遇到這種情況的話���,就需要嚴(yán)格限制導(dǎo)入導(dǎo)出的用戶�,并且�,結(jié)合ERP系統(tǒng)的日志功能,做好這個危險動作的監(jiān)督工作�����。 ..
|
