驗(yàn)證ERP系統(tǒng)的安全性防止數(shù)據(jù)泄漏

來源: erp十萬個(gè)為什么編輯： 2011/03/02 15:20:13　　字體：大小

　　問：我們的管理團(tuán)隊(duì)關(guān)心的是我們遺留下來的內(nèi)部ERP應(yīng)用程序中存在數(shù)據(jù)泄漏的潛在可能。我應(yīng)該如何確保數(shù)據(jù)的安全，并提出最好的方法來防止數(shù)據(jù)泄漏呢？

　　答：企業(yè)資源計(jì)劃（ERP）應(yīng)用程序常用于整合和管理內(nèi)部和外部的資源，例如資產(chǎn)和原料，還有財(cái)務(wù)和人力資源。它的主要目的是減輕組織內(nèi)部各商業(yè)活動之間的信息流動，同時(shí)管理如投資者和客戶等任何與之有關(guān)的外部聯(lián)系。ERP應(yīng)用程序有多種實(shí)現(xiàn)，但通常而言，它是具有集中式或分布式模塊結(jié)構(gòu)的數(shù)據(jù)庫。

　　為了防止數(shù)據(jù)在任何系統(tǒng)下丟失，首先要確定任何機(jī)密或敏感數(shù)據(jù)所在的位置，然后將其加入清單。弄清楚什么情況和誰將訪問和使用它是十分重要的，再一次記錄下你發(fā)現(xiàn)的所有信息。這是一項(xiàng)耗費(fèi)時(shí)間的工作，尤其是針對那些拙劣的文件系統(tǒng)、或者那些結(jié)構(gòu)雜亂的系統(tǒng)。

　　檢查適當(dāng)?shù)目刂茩C(jī)構(gòu)以確保那些在空閑中、在傳輸過程中，在處理過程中的敏感數(shù)據(jù)得到保護(hù)，只有那些經(jīng)過認(rèn)證的程序和用戶可以訪問它；我所指的檢查不僅僅是記錄這些控制措施，還應(yīng)該包括檢查它們的規(guī)定任務(wù)。

　　一旦部署完ERP應(yīng)用程序，還有許多需要注意的地方，例如冗余賬號、不合適的訪問權(quán)限、過時(shí)的編碼算法、不充分的網(wǎng)絡(luò)保護(hù)、沒有打補(bǔ)丁的軟件，還包括與ERP系統(tǒng)及其數(shù)據(jù)有關(guān)的文檔和強(qiáng)制安全政策等諸多方面的問題。

　　所有這些問題都需要得到解決，以便讓你的過時(shí)系統(tǒng)升級到一個(gè)安全性能可接受的水平。主動地維護(hù)你的數(shù)據(jù)安全，防止它從組織中泄露，你還應(yīng)該了解可用于抓取數(shù)據(jù)的新技術(shù)和新的攻擊技巧，雖然在系統(tǒng)初次設(shè)計(jì)時(shí)這些問題并不突出。你必須對你的系統(tǒng)進(jìn)行檢查，從而確保它不受到OWASP十大嚴(yán)重網(wǎng)絡(luò)安全漏洞的影響，我推薦你訂購像Threatpost這樣的服務(wù)，卡巴斯基實(shí)驗(yàn)室的安全信息中心會報(bào)道新的漏洞信息及其利用程序。

　　如果用戶通過桌面訪問你的ERP系統(tǒng)，你還需要通過監(jiān)控網(wǎng)絡(luò)活動在終端上加強(qiáng)安全策略。要專注于數(shù)據(jù)流失的重要原因，即電子郵件、web通信（如社交網(wǎng)站）和可移動設(shè)備（如USB設(shè)備）。但在你監(jiān)控系統(tǒng)的同時(shí)，對于任何可疑事件和違規(guī)行為都應(yīng)該生成一份詳細(xì)的報(bào)告，這使你可以采取行動阻止違規(guī)操作，并對違反規(guī)定者進(jìn)行處罰。

　　目前有些程序可能對你的管理有所幫助。以Symantec公司的數(shù)據(jù)丟失防護(hù)措施為例，它在筆記本、桌面機(jī)和服務(wù)器上使用內(nèi)容匹配的方法找出機(jī)密數(shù)據(jù)并對其進(jìn)行保護(hù)，或者防止該信息移動到那些未經(jīng)授權(quán)的地方。如果你需要徹底檢查你的ERP系統(tǒng)，Approva公司的控制智能套件值得一用，它為在你系統(tǒng)里進(jìn)行的訪問、配置和操作加入了自動控制措施。

　　在一個(gè)組織里共享數(shù)據(jù)并不是一件容易的工作，特別是當(dāng)共享的是敏感數(shù)據(jù)的時(shí)候。如果你要選擇一個(gè)新系統(tǒng)，且在目前來看ERP不會是你的第一選擇，那么請確保這個(gè)系統(tǒng)不會因?yàn)榈土拥陌踩远蔀槟愎ぷ魃系募s束。

【我要糾錯】責(zé)任編輯：雨非

上一篇：ERP為什么難以“云”化

下一篇：用友U8財(cái)務(wù)軟件建賬技巧