1、外部访问授权不规范

有时企业为了满足员工出差的需要，会使ERP逐渐向浏览器/服务器模式发展。这种模式最大的好处是运行维护比较简便，能实现不同的人员，从不同的地点，以不同的接入方式访问和操作共同的数据 。这就使在外地工作的员工可以通过浏览器很方便的访问到内部的ERP系统，给员工异地工作带来了很大的便利。但是，我们也应该注意到，这会给ERP系统带来很大的安全隐患。

一是由于员工在企业外部使用系统，受不到有效的管理，容易滋生违规行为。假设采购员在外地出差时，只要稍有私心，就很容易将企业的采购计划、其他供应商的价格等信息通过外部访问ERP系统的形式泄露给供应商，造成企业丢失采购的主动权。因此，在这种情况下，企业一定要严格控制外部访问的人数以及相应的权限；并且最好能单独管理能远程访问的用户，特别是其密码要不断的变更，以防止不小心把用户名与密码泄露给其他公司的人员。

二是当需要给客户设置访问权限时，一旦设置不当，很容易使他们访问到公司的机密信息。有的客户为了实时了解他们的订单的进度，会主动要求供应商提供外部访问ERP系统的接口，若果权限设置不合理，客户很可能会访问到不该访问的信息，如产品成本等等。因此，企业一定要注意权限的设置问题。比如设置访问记录功能，这时用户访问了哪些数据，有无非法访问，企业都可检测到。

2、内部网络存在窃听

如果企业ERP系统的服务器端与客户端数据的传输是通过明文传输的，那么用户只需在网络上安装一个监听软件，就可以全面的了解用户访问的内容，跳过客户端的权限设置，从而达到网络数据窃听的目的。尽管，网络窃听可能在技术上要求比较高，但现在随着黑客工具在网络上的泛滥，企业还是要做好防患工作。因此，企业可用要求在ERP数据传输数据过程中，使用密文传输，这样，即使用户窃听数据，也是乱码的，没有实际价值。若果企业现在使用的ERP系统不提供网络数据传输的加密功能，则可以通过购买专门的相关加密服务，实现此项功能。

3、 ERP系统本身的威胁

如果ERP系统本身管理不当，也会存在数据泄露的危险。从ERP系统的角度出发，主要的安全威胁就是权限配置不当所造成的。

一是价格权限配置不当。有些ERP系统没有设置专门的价格管理权限，即在用户或者表的级别上，设置价格是否可以更改及是否可以查询，只能一张张表去设定价格的访问权限，这样操作难免会疏漏掉，会使一些不需要访问到价格的用户在导出处表格时看到了价格，而价格对企业来说，基本都是敏感数据。因此，在EPR中设置权限时，要从价格开始。

二是报表导出权限设置不当。报表呈现很重要的内部信息，如果随便一个人都可以导出来的话，信息将毫无保密性可言。所以对报表的导出权限要严格限制。通常的做法是只允许用户查看报表，无法导出，真的有导出报表需求可以通过申请获得。对于一些尤为敏感的数据，如客户信息，产品价格等，一般都可以把报表导出功能屏蔽掉。只有当需要的时候，再由管理员导出。

三是用户名密码设置过于简单。过于简单的用户密码，很容易被人猜出来，进而冒用账号登录访问，窥探不该知道的信息。这样权限设置的再完美，也是无济于事的。因此在员工个人可以更改密码的情况下，企业要提醒员工设置较为复杂的密码，并且最好采用密码定期修改策略，让用户定期的修改密码，防止密码泄露。
 

• 如有其它不明白的问题，或需要我们解决的问题，请联系我们!电话：0512-68230780。也可以通过在线咨询联系我们。迈拓信息(苏州用友软件销售服务中心)

•  

•  

• 用友软件股份有限公司苏州营销服务中心

  苏州迈拓信息科技有限公司

  技术服务：0512－68230780

  售前咨询： 4006557890

  咨询电话：18136083330

  公司网址：http://www.szmtxx.com

  公司地址：苏州工业园区杨东路277号晶汇大厦512