如何建设ERP安全防护体系

1.重视基础设施建设,合理设置信息安全架构。

应依据ERP系统的特点和确定的安全目标、安全策略以建设一个合理的、完善的安全架构体系,根据系统的功能特点和面临的安全风险,合理地划分安全区域,统一规划安全设施、网络设施、共享的信息资源范围等,增强对网络的监控。

根据职能和部门、内网和外网的不同,对网络、系统平台之间进行合理、有效的区域隔离和访问控制,实现“应用分区、安全分级、网络分层”,对核心设备、核心环节的安全进行重点防护,从而实现ERP系统的安全目标、规避和控制安全风险。

根据安全的等级,网络环境和具体模块功能的不同,ERP系统的安全防护区域可以具体划分为:网络核心区、服务器接人区、办公网接入区、网络安全监控管理区、广域网接人区、外联网接入区,区域间使用安全技术设备加以隔离。

对用户的工作域及用户名称和权限,应按职能和部门的不同进行规范,统一设置,加以区别。

2.加强系统平台安全防护措施,保证网络和设备的安全。

根据安全目标和安全体系构架的要求,根据最新技术进展,对ERP系统平台进行二次开发和系统补丁升级,增加相关的实时监测、控制功能,及时进行漏洞、木马病毒、对外重要接口的安全扫描和修补工作,由此完善软件、硬件的安全功能。同时,统一规划并加强以下几方面的安全控制:身份认证、操作权限管理、访问控制、信息保密及完整、系统实时监控及日志记录,对于所开放的权限和系统服务按照满足生产操作所需的最小程度严格限定,从源头上预防安全风险,保证网络和设备的安全、完整、准确。对于二次开发的软件、硬件必须经过安全检测才可投入运行。

对于外网远程访问ERP系统内数据库,一般采用虚拟专用网(VPN)技术,通过安全加密通道连接传输,增强保密和认证作用,防止重要数据在传输线路上被截取。

3.设立防火墙和入侵检测系统,加强访问控制和对木马病毒、恶意攻击等的防范。

ERP系统服务器所用的防火墙采用软硬件结合的方式,软件防火墙一般只起到数据包过滤、系统运行监控以及服务器工作状态监控等,硬件防火墙将软件防火墙集成在硬件设备内,通过专门的安全控制芯片与软件协调工作,除执行软件防火墙的功能外,还有内容过滤(CF)、入侵侦测(IDS)、入侵防护(IPS)以及VPN等功能。

应当科学合理地配置防火墙内服务器及客户端的各种安全规则,加强内容过滤和预警等功能,进行访问控制,对于访问系统的行为和出入的数据信息进行监测控制并记录日志,对于来自内部和外部的违反安全策略的异常行为和各种恶意攻击、破坏行为加以实时、动态地防范,并提供预警及阻断攻击。建立定期安全检查、风险快速的响应的机制、扩展系统管理员的安全管理能力,使其可以有效地监控、审查和评估系统,及时发现、处理安全风险问题,维护网络通畅、数据信息的安全完整,系统的安全稳定。

单机杀毒软件并不能适应网络时代病毒的更新、传播速度和范围,因此必须使用可以服务于整个局域网的安全防护产品,进行分布式部署、统一监控管理,实现“自动分发、智能升级、集中管控、统一报警”,加强对网络病毒、木马以及黑客软件攻击的防范。

同时,应不断地采用最新的信息网络安全技术,及时升级安全产品;制定安全操作规范,加强用户管理和操作管理,加强外来移动存储设备的管理;定期检查ERP系统软硬件设备的安全状况。

4.制定完善的数据备份策略。

ERP系统的信息是通过计算机及网络储存到数据库中,但由于存在硬软件故障导致数据被破坏丢失、数据库不能使用的安全风险,所以为了防止数据的丢失、保障系统及数据的安全对于数据库的备份与恢复、应对事故的应急预案措施就显得十分必要。

数据库备份的技术多种多样,在实施时,应考虑到企业对数据安全的要求和数据备份的规模,由此制定适合企业自身特点及要求的安全备份策略,对备份的数据应定期进行可用性和可恢复性校验,切实做好数据的备份工作,确保ERP系统数据的稳妥和安全。

首先,按数据备份的要求确定软硬件技术配置,如,独立磁盘冗余阵列(RAID)、热插拔技术、一主机一备份机、在线热备份系统等,数据备份的体系架构应具有实用性、扩展性、安全性的特点,不仅应具备良好的备份、恢复性能(特别是故障恢复性能),同时也应具备良好的系统扩展性与技术前瞻性。

其次,数据备份一般有定时备份和实时备份之分,月备份、周备份和日备份之分,自动备份和手动备份之分,以及数据全量备份和增量备份之分,企业应按照自身特点及安全要求制定备份计划,确定备份数据保留的天数。

第三,注意存储的环境安全建设,离线的备份数据应存储在特制的金属柜内,要做到防火、防盗、防湿、防尘、防静电、防雷击等。在条件允许的情况下,还可以设置机房环境监控系统和异地容灾备份系统。

企业应建立安全事故应急处理预案,使得企业对于可能发生的系统事故及故障能够及时做出反应,保证在系统及数据被破坏后,能立即启用备用系统、恢复备份的数据,及时诊断、抢修发生故障的软硬件以及网络环境,使系统服务不至于中断,将安全事故的损害降到最低程度。应急预案也应包括事故处理过程的相关信息收集,事后可以合理量化评估事故的种类、数量和成本,以利在今后工作中加以监督和防范。

5.加强ERP系统安全的管理措施。

安全管理措施是维护系统安全稳定运行的最为关键的部分,企业除了需要在信息安全技术上加强投入外,还需要加强并规范人员行为的安全管理措施。

首先,完善信息安全管理的各种规章制度的建设,制定安全目标和安全策略,在此基础上制定设备物理环境、系统运行维护、访问权限控制、业务保障、安全监测审计、安全设备管理、人员安全操作规程等的安全制度建设,在工作中严格遵照执行,并且对此进行定期培训和考核、检查。

其次,建立信息安全管理组织机构,明确各部门、各环节的安全职责、组织形式和处理流程,具体落实到相关责任人,分工合作、各负其责,加强操作用户登记、明确权限,重大事件的操作须授权核准,启用日志管理,避免越权和非授权操作,也应定期进行考核、检查。

第三,定期进行分级分层的全员信息安全风险教育和操作维护培训,学习安全操作流程和行为规范,了解和掌握相关的信息安全知识和策略,以及应承担的安全职责,提高操作人员的安全风险防范意识和能力。

企业网络安全是由多方面来保证的,并且由于各种安全技术措施存在着不足与局限性,因此在实际工作中需要将多种技术综合应用以保证ERP系统安全。

企业实施ERP系统,极大地提高了企业的经营管理效率,增强了企业的核心竞争力,成为企业经营管理中的不可或缺的重要组成部分。ERP系统稳定、高效的运行是关系到企业生死存亡的大事,这就需要不断发展、完善安全基础设施来防范风险、保护系统的安全。企业在实际工作中,应紧跟最新的信息安全技术的发展,及时调整安全防范策略,综合应用多种防范措施,更新相应的信息安全产品,同时加强信息安全方面的教育和培训活动,更好地抵御安全风险,为ERP系统的安全稳定运行保驾护航。