SAP License：如何做好ERP系统的安全防护

如何做好ERP系统的安全防护

ERP系统是对于企业资源的整合管理，涉及到财务、进销存、供应链、政务管理等各个方面，因此ERP系统的安全防护是构建企业稳健运行环境的重要保障，这关系到企业的安全和利益，企业管理者在ERP系统的实施和应用当中，应该对于系统的安全防护功能有足够的重视。本文将从ERP系统的安全风险、ERP系统的安全防护策略和安全体系建设的措施三个方面来进行深入阐述。

一、ERP系统中的安全风险

由于ERP系统的复杂性，以及企业在建设维护ERP系统时受到的技术条件、人员素质等各种条件的限制，导致ERP系统存在多种安全风险。要加强ERP系统的安全风险防范工作，就需要正确识别ERP系统运行管理中存在的安全风险和成因。一般来说，ERP系统的安全风险主要有以下几个方面：

1.不可抗外力灾害的安全威胁。

2.管理疏忽导致的事故的安全威胁。

3.系统缺陷导致事故的安全威胁。

4.恶意攻击的安全威胁。

5.其他因素造成的安全威胁。如系统故障、病毒和其他恶意软件的传播攻击、缺乏安全备份机制、数据基础资料不准确、系统维护力量投入不足等造成事故的威胁。其中，管理与技术方面的缺陷和黑客病毒的攻击是威胁ERP系统安全的的主要风险。

二、安全防护体系建设的安全策略

1.安全防护体系建设的设计目标。

由于目前信息技术发展的局限性，绝对安全是不存在的，最多只能通过实施一定预防措施，把风险威胁降低到一定程度，实现风险威胁可控、可以挽回损失。

因此，ERP系统规划和实施的首要目标是建立ERP系统的安全保障体系，以保护企业的信息资产的安全，建设技术和管理上的安全防护措施，提供用户身份认证、操作授权、网络安全检测和病毒攻击的防范等安全功能，以保护ERP系统中的硬件、软件及数据的安全稳定、完整有效和机密性，预防因恶意或偶然的原因使系统或数据信息遭到破坏、篡改和泄漏从而最终造成企业的严重经济损失。

“ERP系统安全项目要保护的资源包括ERP系统的软硬件资源和数据资源。硬件资源主要包括数据库服务器、应用服务器和客户端计算机，以及传输网络;软件资源包括服务器上的操作系统、数据库管理系统DBMs、应用服务器软件以及客户端计算机上的应用浏览器等。数据信息资源是ERP系统的最宝贵财富。”

2.安全防护体系建设的设计思路。

要构建一个完善的、高效的企业ERP系统安全体系结构，必须先制定一整套安全策略规划。安全策略是实施企业信息与网络安全体系的基础。

企业ERP系统要建设一个安全高效的安全防护体系，必须先制定有针对性的安全策略。ERP系统的“安全策略，是指在一个特定的环境里(安全区域)，为保证提供一定级别的安全保护所必须遵守的一系列条例、规则。”

安全策略详细规定了ERP系统允许的各种安全活动和违规行为的惩罚措施，稳妥可行、细致周密的安全策略规划是成功建设安全防护设施的前提和基础。

“安全策略体系是指安全策略的建立、执行、审核、修订等;安全技术体系包括身份认证和授权、访问控制、数据的冗余备份、系统的监控、审计等;安全运作体系包括人员的组织建设、技术人员的工作内容和工作考核等。”

企业建设保障ERP系统安全的技术体系、运作体系应当与企业的安全目标和安全策略相一致。

企业ERP系统的安全体系建设，包括企业内部局域网的安全建设，与合作企业、分支机构联网的安全建设等。企业既要加强ERP系统的安全性，又不能以降低系统性能为代价。

3.安全防护体系的设计原则。

在工作流程上，“事前”，建立高安全的ERP系统，选择高安全应用服务协议，及时了解信息技术上、人员管理上的动态变化，修补系统漏洞，避免被恶意利用;。“事中”，针对各种不同的安全威胁，综合安全防火墙、入侵防护系统、系统自身的网络安全设置、数据库权限、操作规范、操作人员管理等多种手段进行防护;“事后”，实现保存系统工作日志，科学的备份策略，和事故应急预案等多策并举。

三、安全防护体系建设的措施

1.重视基础设施建设，合理设置信息安全架构。

应依据ERP系统的特点和确定的安全目标、安全策略以建设一个合理的、完善的安全架构体系，根据系统的功能特点和面l临的安全风险，合理地划分安全区域，统一规划安全设施、网络设施、共享的信息资源范围等，增强对网络的监控。

根据职能和部门、内网和外网的不同，对网络、系统平台之间进行合理、有效的区域隔离和访问控制，实现“应用分区、安全分级、网络分层”，对核心设备、核心环节的安全进行重点防护，从而实现ERP系统的安全目标、规避和控制安全风险。

根据安全的等级，网络环境和具体模块功能的不同，ERP系统的安全防护区域可以具体划分为：网络核心区、服务器接人区、办公网接入区、网络安全监控管理区、广域网接人区、外联网接入区，区域间使用安全技术设备加以隔离。

对用户的工作域及用户名称和权限，应按职能和部门的不同进行规范，统一设置，加以区别。

2.加强系统平台安全防护措施，保证网络和设备的安全。

根据安全目标和安全体系构架的要求，根据最新技术进展，对ERP系统平台进行二次开发和系统补丁升级，增加相关的实时监测、控制功能，及时进行漏洞、木马病毒、对外重要接口的安全扫描和修补工作，由此完善软件、硬件的安全功能。同时，统一规划并加强以下几方面的安全控制：身份认证、操作权限管理、访问控制、信息保密及完整、系统实时监控及日志记录，对于所开放的权限和系统服务按照满足生产操作所需的最小程度严格限定，从源头上预防安全风险，保证网络和设备的安全、完整、准确。对于二次开发的软件、硬件必须经过安全检测才可投入运行。

对于外网远程访问ERP系统内数据库，一般采用虚拟专用网(VPN)技术，通过安全加密通道连接传输，增强保密和认证作用，防止重要数据在传输线路上被截取。

3.设立防火墙和入侵检测系统，加强访问控制和对木马病毒、恶意攻击等的防范。

ERP 系统服务器所用的防火墙采用软硬件结合的方式，软件防火墙一般只起到数据包过滤、系统运行监控以及服务器工作状态监控等，硬件防火墙将软件防火墙集成在硬件设备内，通过专门的安全控制芯片与软件协调工作，除执行软件防火墙的功能外，还有内容过滤(CF)、入侵侦测(IDS)、入侵防护(IPS)以及VPN 等功能。

应当科学合理地配置防火墙内服务器及客户端的各种安全规则，加强内容过滤和预警等功能，进行访问控制，对于访问系统的行为和出入的数据信息进行监测控制并记录日志，对于来自内部和外部的违反安全策略的异常行为和各种恶意攻击、破坏行为加以实时、动态地防范，并提供预警及阻断攻击。建立定期安全检查、风险快速的响应的机制、扩展系统管理员的安全管理能力，使其可以有效地监控、审查和评估系统，及时发现、处理安全风险问题，维护网络通畅、数据信息的安全完整，系统的安全稳定。

单机杀毒软件并不能适应网络时代病毒的更新、传播速度和范围，因此必须使用可以服务于整个局域网的安全防护产品，进行分布式部署、统一监控管理，实现“自动分发、智能升级、集中管控、统一报警”，加强对网络病毒、木马以及黑客软件攻击的防范。

同时，应不断地采用最新的信息网络安全技术，及时升级安全产品;制定安全操作规范，加强用户管理和操作管理，加强外来移动存储设备的管理;定期检查ERP系统软硬件设备的安全状况。

4.制定完善的数据备份策略。

ERP系统的信息是通过计算机及网络储存到数据库中，但由于存在硬软件故障导致数据被破坏丢失、数据库不能使用的安全风险，所以为了防止数据的丢失、保障系统及数据的安全对于数据库的备份与恢复、应对事故的应急预案措施就显得十分必要。

数据库备份的技术多种多样，在实施时，应考虑到企业对数据安全的要求和数据备份的规模，由此制定适合企业自身特点及要求的安全备份策略，对备份的数据应定期进行可用性和可恢复性校验，切实做好数据的备份工作，确保ERP系统数据的稳妥和安全。

首先，按数据备份的要求确定软硬件技术配置，如，独立磁盘冗余阵列(RAID)、热插拔技术、一主机一备份机、在线热备份系统等，数据备份的体系架构应具有实用性、扩展性、安全性的特点，不仅应具备良好的备份、恢复性能(特别是故障恢复性能)，同时也应具备良好的系统扩展性与技术前瞻性。

其次，数据备份一般有定时备份和实时备份之分，月备份、周备份和日备份之分，自动备份和手动备份之分，以及数据全量备份和增量备份之分，企业应按照自身特点及安全要求制定备份计划，确定备份数据保留的天数。

第三，注意存储的环境安全建设，离线的备份数据应存储在特制的金属柜内，要做到防火、防盗、防湿、防尘、防静电、防雷击等。在条件允许的情况下，还可以设置机房环境监控系统和异地容灾备份系统。

企业应建立安全事故应急处理预案，使得企业对于可能发生的系统事故及故障能够及时做出反应，保证在系统及数据被破坏后，能立即启用备用系统、恢复备份的数据，及时诊断、抢修发生故障的软硬件以及网络环境，使系统服务不致于中断，将安全事故的损害降到最低程度。应急预案也应包括事故处理过程的相关信息收集，事后可以合理量化评估事故的种类、数量和成本，以利在今后工作中加以监督和防范。

5.加强ERP系统安全的管理措施。

安全管理措施是维护系统安全稳定运行的最为关键的部分，企业除了需要在信息安全技术上加强投入外，还需要加强并规范人员行为的安全管理措施。

首先，完善信息安全管理的各种规章制度的建设，制定安全目标和安全策略，在此基础上制定设备物理环境、系统运行维护、访问权限控制、业务保障、安全监测审计、安全设备管理、人员安全操作规程等的安全制度建设，在工作中严格遵照执行，并且对此进行定期培训和考核、检查。

其次，建立信息安全管理组织机构，明确各部门、各环节的安全职责、组织形式和处理流程，具体落实到相关责任人，分工合作、各负其责，加强操作用户登记、明确权限，重大事件的操作须授权核准，启用日志管理，避免越权和非授权操作，也应定期进行考核、检查。

第三，定期进行分级分层的全员信息安全风险教育和操作维护培训，学习安全操作流程和行为规范，了解和掌握相关的信息安全知识和策略，以及应承担的安全职责，提高操作人员的安全风险防范意识和能力。

企业网络安全是由多方面来保证的，并且由于各种安全技术措施存在着不足与局限性，因此在实际工作中需要将多种技术综合应用以保证ERP系统安全。

企业实施ERP系统，极大地提高了企业的经营管理效率，增强了企业的核心竞争力，成为企业经营管理中的不可或缺的重要组成部分。ERP系统稳定、高效的运行是关系到企业生死存亡的大事，这就需要不断发展、完善安全基础设施来防范风险、保护系统的安全。企业在实际工作中，应紧跟最新的信息安全技术的发展，及时调整安全防范策略，综合应用多种防范措施，更新相应的信息安全产品，同时加强信息安全方面的教育和培训活动，更好地抵御安全风险，为ERP系统的安全稳定运行保驾护航。

SAP相关产品：

SAP GRC权限合规检查系统（简称AMS-R系统）是SAP ERP应用企业进行权限合规检查、违规数据抓取和IT审计的理想工具。

AMS-V SAP License 资产优化管理系统产品：是应用于SAP系统权限风险控制及注册用户账号管理为目标的SAP软件资产精益化管理方案。

SAP 日志堡垒机安全管理系统（简称AMS-L系统）是一款面向SAP ERP 系统的网络安全管理工具，提供基于SAP系统用户业务行为的常态化监管，是对SAP现有日志体系的有效增强管理。

SAP 运维管理平台系统（简称AMS-Ops）旨在确保企业SAP应用系统健康、稳定运行的基础上，持续性的改进、优化，从而满足其业务发展需要的企业级SAP系统运维管理服务。

AMS SAP 商超订单统一管理系统以商超平台订单集中管理为核心，系统支持多平台、多店铺、全渠道系统采购订单、验收单、结算单等业务单据的统一管理；商超订单统一管理系统支持与 SAP ERP 系统的无缝衔接，在SAP ERP系统中自动生成销售订单、外向交货单，核对验收单、结算单等 SD 模块业务操作，有效的简化企业商超订单管理工作流程，保证订单数据处理的统一、准确、高效，实现跨系统、组织的协同管理，提升企业营销效率。

关于赛锐信息

河南赛锐信息科技有限公司（简称“赛锐信息”）是一家致力于SAP ERP系统应用的服务商，公司立足打造基于AMS产品套件的企业信息化解决方案，结合前沿技术追求最佳用户体验、企业信息化优秀解决方案和企业级产品应用的供应商。公司自主研发的AMS系列软件产品是国内首个用于SAP权限风险识别的增强系统，也是同行业用户精益化管理解决方案中最优的解决方案，作为用户管理、风险规避和信息审计的辅助工具，其有助于规范企业的管理行为，帮助建立合规的管控流程，有效提高企业IT资产投资回报率；AMS系列产品在各项技术指标上拥有完全的、独立的领先优势，可以满足市场竞争、技术许可和标准制定等方面的需要。

作者：SAP权限管理 QQ:2651000673