首页 > 资讯中心 >

 

如今,ERP系统已经被越来越多的企业运用到经营管理之中,关系到企业生存发展的机密信息都存储在ERP系统中,因此一旦ERP系统使用不当,就很可能造成数据的泄露和丢失。那么,什么情况会对ERP系统数据安全造成威胁呢?

ERP系统数据安全威胁来自哪些方面?

 

1、外部访问授权不规范

有时企业为了满足员工出差的需要,会使ERP逐渐向浏览器/服务器模式发展。这种模式最大的好处是运行维护比较简便,能实现不同的人员,从不同的地点,以不同的接入方式访问和操作共同的数据 。这就使在外地工作的员工可以通过浏览器很方便的访问到内部的ERP系统,给员工异地工作带来了很大的便利。但是,我们也应该注意到,这会给ERP系统带来很大的安全隐患。

一是由于员工在企业外部使用系统,受不到有效的管理,容易滋生违规行为。假设采购员在外地出差时,只要稍有私心,就很容易将企业的采购计划、其他供应商的价格等信息通过外部访问ERP系统的形式泄露给供应商,造成企业丢失采购的主动权。因此,在这种情况下,企业一定要严格控制外部访问的人数以及相应的权限;并且最好能单独管理能远程访问的用户,特别是其密码要不断的变更,以防止不小心把用户名与密码泄露给其他公司的人员。

二是当需要给客户设置访问权限时,一旦设置不当,很容易使他们访问到公司的机密信息。有的客户为了实时了解他们的订单的进度,会主动要求供应商提供外部访问ERP系统的接口,若果权限设置不合理,客户很可能会访问到不该访问的信息,如产品成本等等。因此,企业一定要注意权限的设置问题。比如设置访问记录功能,这时用户访问了哪些数据,有无非法访问,企业都可检测到。

2、内部网络存在窃听

如果企业ERP系统的服务器端与客户端数据的传输是通过明文传输的,那么用户只需在网络上安装一个监听软件,就可以全面的了解用户访问的内容,跳过客户端的权限设置,从而达到网络数据窃听的目的。尽管,网络窃听可能在技术上要求比较高,但现在随着黑客工具在网络上的泛滥,企业还是要做好防患工作。因此,企业可用要求在ERP数据传输数据过程中,使用密文传输,这样,即使用户窃听数据,也是乱码的,没有实际价值。若果企业现在使用的ERP系统不提供网络数据传输的加密功能,则可以通过购买专门的相关加密服务,实现此项功能。

3、 ERP系统本身的威胁

如果ERP系统本身管理不当,也会存在数据泄露的危险。从ERP系统的角度出发,主要的安全威胁就是权限配置不当所造成的。

一是价格权限配置不当。有些ERP系统没有设置专门的价格管理权限,即在用户或者表的级别上,设置价格是否可以更改及是否可以查询,只能一张张表去设定价格的访问权限,这样操作难免会疏漏掉,会使一些不需要访问到价格的用户在导出处表格时看到了价格,而价格对企业来说,基本都是敏感数据。因此,在EPR中设置权限时,要从价格开始。

 

二是报表导出权限设置不当。报表呈现很重要的内部信息,如果随便一个人都可以导出来的话,信息将毫无保密性可言。所以对报表的导出权限要严格限制。通常的做法是只允许用户查看报表,无法导出,真的有导出报表需求可以通过申请获得。对于一些尤为敏感的数据,如客户信息,产品价格等,一般都可以把报表导出功能屏蔽掉。只有当需要的时候,再由管理员导出。

三是用户名密码设置过于简单。过于简单的用户密码,很容易被人猜出来,进而冒用账号登录访问,窥探不该知道的信息。这样权限设置的再完美,也是无济于事的。因此在员工个人可以更改密码的情况下,企业要提醒员工设置较为复杂的密码,并且最好采用密码定期修改策略,让用户定期的修改密码,防止密码泄露。
 

如有其它不明白的问题,或需要我们解决的问题,请联系我们!电话:0512-68230780。也可以通过在线咨询联系我们。迈拓信息(苏州用友软件销售服务中心)

 

 

用友软件股份有限公司苏州营销服务中心

苏州迈拓信息科技有限公司

售前咨询:0512-68230781

技术服务:0512-68230780

咨询电话:18136083330

公司网址:http://www.szmtxx.com

公司地址:苏州工业园区杨东路277号晶汇大厦512