1樓:波士商學教育
一、來自網路層面的威脅
從網路層面來說,erp資料安全所遭受到的威脅主要來自於兩個方面。一是外部訪問授權不夠規範;二是在內部網路上可能存在竊聽。
1、外部訪問授權不夠規範
erp為了擴大使用領域,滿足不斷出差員工的需要,逐漸的向b/s模式發展。而這個模式最大的優點,就是可以很方便的提供外部的訪問。即員工出差在外,也可以通過瀏覽器很方便的訪問到內部的erp系統。
這雖然給我們的工作帶了很大的便利,拓展了erp系統的使用空間。但是,勿庸質疑,也給我們系統帶來了很大的安全威脅。
一是在企業外部使用系統,受不到有效的管理。如採購員出差在外,若稍有一點私心,就可以跟**商勾結,把公司近期的採購計劃、其他**商的**等等,都可以通過外部訪問erp系統的形式,告訴給**商,使得企業喪失採購的主動權。由於出差在外的員工使用系統受不到有效管理,所以類似的情況時有發生。
所以,對於外部訪問,我們一方面要嚴格管理外部訪問的人數,哪些人具有外部訪問的許可權,我們還要有嚴格的限制;另一方面,遠端訪問的使用者最好能夠單獨管理,特別是其密碼要不斷的變更,以防止不小心把使用者名稱與密碼洩露給其他公司的人員。也就是說,在員工電腦上,掛著一個密碼生成器,這個是與erp伺服器同步的,一般在十分種左右,伺服器就會重新生成一個使用者名稱與密碼,然後在員工的密碼生成器上,也會同時生成使用者名稱與密碼。因為兩者生成的規則是一樣的,所以,員工可以用密碼生成器上的使用者名稱與密碼登陸erp系統。
這樣就可以解決在外面使用erp系統的密碼洩露問題。
二是在特定的情況下,或許會給客戶一些遠端訪問的許可權,若這個許可權設定不當的話,則很可能把一些客戶不能訪問的資訊也提供給他們/。現在隨著資訊化管理在企業中的地位不斷加強,有些客戶會主動要求他們的**商使用erp系統,並提供網路訪問的介面,讓他們可以通過網路實時的瞭解他們定單的進展。如此企業不得不給他們提供erp使用者,讓他們進行遠端的訪問。
但是,這裡就存在一個安全的威脅,若我們許可權設定不當的話,客戶就可以訪問到企業一些機密資訊,如產品成本等等。所以,如在客戶的強烈要求下,要提供他們erp系統的遠端訪問許可權時,我們一定要注意,許可權的設定問題。不能夠讓他們訪問一些不該訪問的資料。
我的建議是,遇到這種情況時,要對這個使用者訪問的資料進行監測,看看其訪問了哪些資料,有沒有存在非法訪問的情形。若有的話,要及時進行調整。現在很多erp系統都已經有了針對使用者的訪問記錄功能。
利用這個功能,可以有效的管理使用者的訪問許可權。
2、內部網路上可能存在竊聽
從網路層面上考慮,除了這個外部訪問管理不當存在資料洩露的危險外,還有一個很大的安全漏洞就是網路竊聽的問題。現在大部分的erp系統,其伺服器端與客戶端資料的傳輸,都是通過明文傳輸的。使用者只需要在網路上安裝一個監聽軟體,就可以全面的瞭解使用者訪問的內容,跳過客戶端的許可權設定,從而達到網路資料竊聽的目的。
雖然網路竊聽可能在技術上要求比較高,但是,現在隨著黑客工具在網路上的泛濫,所以,要完成這項竊聽的工作,難度也不是很大。我相信,只需要對隨便一個員工進行半個小時的培訓,其就可以掌握這門手藝,從而完成對erp資料竊聽的工作。
所以,與其到資料洩露了,再來追查責任,還不如在剛開始的時候,就防範與未然,解決資料洩露的漏洞。
為了解決資料在網路傳輸過程中的竊聽問題,最好的方法,就是要求在erp資料在傳輸過程中,是加密過的,是通過密文傳輸,而不是明文傳輸。如此,員工及時竊聽到資料,也是亂碼,沒有多少的實際價值。
所以,我們若有這方面的擔心,則最好在erp系統選擇的時候,就要有這方面的考慮。要求erp**商提供的系統,在資料訪問的是時候,在網路上傳輸是加密過的資料,而不是簡單的明文傳輸。這個技術,現在已經比較成熟。
只是以前很多erp**商沒有注意到這個問題,所以,沒有把這個技術跟erp系統結合起來。故,我們若是要選擇erp資料在網路傳輸過程中,實現加密技術,那我們erp系統的選擇範圍餘地可能會小許多。
但是,若企業現在已經在使用erp系統了,而現在用的這套系統,不提供網路資料傳輸的加密功能。那我們又該如何來保障資料在網路傳輸過程中的安全問題呢?我們可以利用專門的加密技術,實現在網路傳輸過程中,資料的加密功能。
如微軟提供了一種ip安全策略。利用這種技術,可以實現客戶端與伺服器之間的密文傳輸。當然除了微軟的ip安全策略以外,還有其他的一些網路傳輸加密方法,使用者可以根據自己的需要,進行選擇使用。
二、來自erp系統的威脅
如果erp系統本身管理不當,也會存在資料洩露的危險。從erp系統的角度出發,主要的安全威脅就是許可權配置不當所造成的。
一是**許可權配置不當。我記得我以前使用的神州數碼的易飛erp系統,有專門的**管理許可權。可以在使用者或者表的級別上,設定**是否可以更改及是否可以查詢。
我們可以把一些不需要訪問到**的使用者,在使用者級別上設定為**不可見。就可以一勞永逸的解決問題。但是,有些erp系統沒有提供類似的功能,他們只能夠一張張表去設定**的訪問許可權。
難免會有漏網之魚,可能只設定了在視窗中不能訪問**,但是,他們在匯出報表時,可能就有**了,等等。而且,**對於企業來說,基本上都是敏感資料。所以,我們在epr中設定許可權時,要從**開始。
二是報表方面匯出設定不當。報表上面彙集了很多重要的資訊,而且,報表可以隨便匯出來的話,則資訊將會無隱私。所以,在報表的匯出許可權上,我們要進行特殊的限制。
不能讓每個使用者都可以隨便的匯出報表。一般可以讓使用者只能夠檢視報表,而無法匯出報表,這是原則。如果使用者真的有匯出報表的需求,那就要申請。
特別是對一些敏感資料的報表,如客戶資訊、產品**等等,一般都可以把報表匯出功能遮蔽掉。只有當需要的時候,再由管理員匯出。
三是使用者名稱密碼設定過於簡單。我見過一些使用者,他們密碼設定太過與簡單,這導致其他使用者很方便就可以猜到密碼。這直接的結果就是,其他使用者若自己沒有許可權,則可以利用有許可權的使用者進行系統訪問。
因為由於密碼簡單,他們知道其他使用者的訪問密碼。如我有一家客戶,在設定使用者名稱與密碼的時候,使用者名稱就是他們的員工編號,而密碼呢,都是統一的,如123456。如此的使用者名稱與密碼,即使許可權設定的再完美,也是沒有用的。
使用者可以輕而易舉的獲得別人的使用者名稱與密碼,如此,在自己沒有許可權的情況下,他們有可以利用其他有許可權的使用者,進行系統登陸與訪問。如此的話,許可權設定不等於形同虛設嗎?所以,在使用者名稱與密碼設定的時候,一定要科學。
使用者名稱可以根據他們的員工編號編寫,但是,密碼設定的時候,一定要複雜一點,不能讓人猜得透;並且,最好採用密碼定期修改策略,讓使用者定期的修改密碼,防止密碼洩露。
2樓:火力
外部訪問授權不夠規範
erp為了擴大使用領域,滿足不斷出差員工的需要,逐漸的向b/s模式發展。而這個模式最大的優點,就是可以很方便的提供外部的訪問。即員工出差在外,也可以通過瀏覽器很方便的訪問到內部的erp系統。
這雖然給我們的工作帶了很大的便利,拓展了erp系統的使用空間。但是,勿庸質疑,也給我們系統帶來了很大的安全威脅。
一是在企業外部使用系統,受不到有效的管理。如採購員出差在外,若稍有一點私心,就可以跟**商勾結,把公司近期的採購計劃、其他**商的**等等,都可以通過外部訪問erp系統的形式,告訴給**商,使得企業喪失採購的主動權。由於出差在外的員工使用系統受不到有效管理,所以類似的情況時有發生。
所以,對於外部訪問,我們一方面要嚴格管理外部訪問的人數,哪些人具有外部訪問的許可權,我們還要有嚴格的限制;另一方面,遠端訪問的使用者最好能夠單獨管理,特別是其密碼要不斷的變更,以防止不小心把使用者名稱與密碼洩露給其他公司的人員。也就是說,在員工電腦上,掛著一個密碼生成器,這個是與erp伺服器同步的,一般在十分種左右,伺服器就會重新生成一個使用者名稱與密碼,然後在員工的密碼生成器上,也會同時生成使用者名稱與密碼。因為兩者生成的規則是一樣的,所以,員工可以用密碼生成器上的使用者名稱與密碼登陸erp系統。
這樣就可以解決在外面使用erp系統的密碼洩露問題。
erp系統都存在哪些安全問題 erp系統出現問
3樓:普實軟體代言人
絕大多數的都是資料上的問題:
資料丟失(被黑)一般是指因為伺服器問題引起的丟失;
機密檔案被員工外洩;
erp軟體廠家始終會掌握有軟體的最高許可權,也就是說如果系統中包含有財務模組的話,也就是說這個企業的運營情況無時無刻都是在對一個非企業內部的人開放的,這也是一個風險(但是這個是無可避免的,只有從道德和法律的層面上來束縛了)
其他的不知道有什麼安全問題了。
資訊保安所面臨的威脅有哪些?
4樓:匿名使用者
資訊保安的威脅有:
(1) 資訊洩露:資訊被洩露或透露給某個非授權的實體。
(2) 破壞資訊的完整性:資料被非授權地進行增刪、修改或破壞而受到損失。
(3) 拒絕服務:對資訊或其他資源的合法訪問被無條件地阻止。
(4) 非法使用(非授權訪問):某一資源被某個非授權的人,或以非授權的方式使用。
(5) 竊聽:用各種可能的合法或非法的手段竊取系統中的資訊資源和敏感資訊。例如對通訊
線路中傳輸的訊號搭線監聽,或者利用通訊裝置在工作過程中產生的電磁洩露擷取有用資訊
等。(6) 業務流分析:通過對系統進行長期監聽,利用統計分析方法對諸如通訊頻度、通訊的信
息流向、通訊總量的變化等引數進行研究,從中發現有價值的資訊和規律。
(7) 假冒:通過欺騙通訊系統(或使用者)達到非法使用者冒充成為合法使用者,或者特權小的用
戶冒充成為特權大的使用者的目的。黑客大多是採用假冒攻擊。
(8) 旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特
權。例如,攻擊者通過各種攻擊手段發現原本應保密,但是卻又暴露出來的一些系統「特性」,利用這些「特性」,攻擊者可以繞過防線守衛者侵入系統的內部。
(9) 授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此許可權用於其他非授
權的目的,也稱作「內部攻擊」。
(10)特洛伊木馬:軟體中含有一個覺察不出的有害的程式段,當它被執行時,會破壞使用者的
安全。這種應用程式稱為特洛伊木馬(trojan horse)。
(11)陷阱門:在某個系統或某個部件中設定的「機關」,使得在特定的資料輸入時,允許違反
安全策略。
(12)抵賴:這是一種來自使用者的攻擊,比如:否認自己曾經發布過的某條訊息、偽造一份對
方來信等。
(13)重放:出於非法目的,將所截獲的某次合法的通訊資料進行拷貝,而重新傳送。
(14)計算機病毒:一種在計算機系統執行過程中能夠實現傳染和侵害功能的程式。
(15)人員不慎:一個授權的人為了某種利益,或由於粗心,將資訊洩露給一個非授權的人。
(16)**廢棄:資訊被從廢棄的磁碟或列印過的儲存介質中獲得。
(17)物理侵入:侵入者繞過物理控制而獲得對系統的訪問。
(18)竊取:重要的安全物品,如令牌或身份卡被盜。
(19)業務欺騙:某一偽系統或系統部件欺騙合法的使用者或系統自願地放棄敏感資訊等等
國內ERP系統有哪些,常用的ERP系統都有哪些
1 國內的erp市場現在只有抄三家比較大的了分別是金蝶 用友和神州數碼 2 什麼是erp系統 1 erp系統是企業資源計劃 enterprise resource planning 的簡稱,是指建立在資訊科技基礎上,集資訊科技與先進管理思想於一身,以系統化的管理思想,為企業員工及決策層提供決策手段的...
常用的ERP系統都有哪些 常用的erp系統有哪些?
現在這類產品有很多,對於如何選擇一款合適自己的erp不妨提幾個點。1 系統的安全和穩定性,2是否可以試用3 服務和行業口碑幾大方向 建 廣 數 科的服務,建議你去了解下,公司是是中國領先的傳統產業數字化轉型完整it解決方案和端到端it服務的提供商。多年來一直專注於高階 erp 實施服務領域,通過多年...
國內ERP系統有哪些
國內erp系統有以下幾種 1 博科erp,上海博科資訊基於yigo軟體智慧開發技術,提供erp scm eam oa 垂直電商等管理資訊系統及其行業資訊化整體應用解決方案。2 賽思軟體erp,廣東賽思軟體 專業從事傢俱行業管理軟體研發和推廣,產品有 傢俱製造業erp系統 傢俱製造業進銷存系統 傢俱商...