驗證ERP系統(tǒng)的安全性防止數(shù)據(jù)泄漏

來源: erp十萬個為什么編輯： 2011/03/02 15:20:13　　字體：大小

　　問：我們的管理團隊關心的是我們遺留下來的內部ERP應用程序中存在數(shù)據(jù)泄漏的潛在可能。我應該如何確保數(shù)據(jù)的安全，并提出最好的方法來防止數(shù)據(jù)泄漏呢？

　　答：企業(yè)資源計劃（ERP）應用程序常用于整合和管理內部和外部的資源，例如資產和原料，還有財務和人力資源。它的主要目的是減輕組織內部各商業(yè)活動之間的信息流動，同時管理如投資者和客戶等任何與之有關的外部聯(lián)系。ERP應用程序有多種實現(xiàn)，但通常而言，它是具有集中式或分布式模塊結構的數(shù)據(jù)庫。

　　為了防止數(shù)據(jù)在任何系統(tǒng)下丟失，首先要確定任何機密或敏感數(shù)據(jù)所在的位置，然后將其加入清單。弄清楚什么情況和誰將訪問和使用它是十分重要的，再一次記錄下你發(fā)現(xiàn)的所有信息。這是一項耗費時間的工作，尤其是針對那些拙劣的文件系統(tǒng)、或者那些結構雜亂的系統(tǒng)。

　　檢查適當?shù)目刂茩C構以確保那些在空閑中、在傳輸過程中，在處理過程中的敏感數(shù)據(jù)得到保護，只有那些經(jīng)過認證的程序和用戶可以訪問它；我所指的檢查不僅僅是記錄這些控制措施，還應該包括檢查它們的規(guī)定任務。

　　一旦部署完ERP應用程序，還有許多需要注意的地方，例如冗余賬號、不合適的訪問權限、過時的編碼算法、不充分的網(wǎng)絡保護、沒有打補丁的軟件，還包括與ERP系統(tǒng)及其數(shù)據(jù)有關的文檔和強制安全政策等諸多方面的問題。

　　所有這些問題都需要得到解決，以便讓你的過時系統(tǒng)升級到一個安全性能可接受的水平。主動地維護你的數(shù)據(jù)安全，防止它從組織中泄露，你還應該了解可用于抓取數(shù)據(jù)的新技術和新的攻擊技巧，雖然在系統(tǒng)初次設計時這些問題并不突出。你必須對你的系統(tǒng)進行檢查，從而確保它不受到OWASP十大嚴重網(wǎng)絡安全漏洞的影響，我推薦你訂購像Threatpost這樣的服務，卡巴斯基實驗室的安全信息中心會報道新的漏洞信息及其利用程序。

　　如果用戶通過桌面訪問你的ERP系統(tǒng)，你還需要通過監(jiān)控網(wǎng)絡活動在終端上加強安全策略。要專注于數(shù)據(jù)流失的重要原因，即電子郵件、web通信（如社交網(wǎng)站）和可移動設備（如USB設備）。但在你監(jiān)控系統(tǒng)的同時，對于任何可疑事件和違規(guī)行為都應該生成一份詳細的報告，這使你可以采取行動阻止違規(guī)操作，并對違反規(guī)定者進行處罰。

　　目前有些程序可能對你的管理有所幫助。以Symantec公司的數(shù)據(jù)丟失防護措施為例，它在筆記本、桌面機和服務器上使用內容匹配的方法找出機密數(shù)據(jù)并對其進行保護，或者防止該信息移動到那些未經(jīng)授權的地方。如果你需要徹底檢查你的ERP系統(tǒng)，Approva公司的控制智能套件值得一用，它為在你系統(tǒng)里進行的訪問、配置和操作加入了自動控制措施。

　　在一個組織里共享數(shù)據(jù)并不是一件容易的工作，特別是當共享的是敏感數(shù)據(jù)的時候。如果你要選擇一個新系統(tǒng)，且在目前來看ERP不會是你的第一選擇，那么請確保這個系統(tǒng)不會因為低劣的安全性而成為你工作上的約束。

【我要糾錯】責任編輯：雨非

上一篇：ERP為什么難以“云”化

下一篇：用友U8財務軟件建賬技巧