王 娟

（渤海大學(xué)，遼寧錦州 121000）

信息化發(fā)展使得目前全球90%以上大型企業(yè)或跨國集團(tuán)企業(yè)都在應(yīng)用ERP系統(tǒng)作為管理平臺(tái)和手段。信息化技術(shù)加快了企業(yè)數(shù)據(jù)和信息的采集、加工、存儲(chǔ)和分析等，讓決策更科學(xué)，ERP作為企業(yè)信息化核心，極大的提高了企業(yè)的工作效率，給企業(yè)帶來巨大的收益。但同時(shí)在享受信息化成果的時(shí)候，也要承擔(dān)因硬件損壞、操作失誤、病毒、黑客攻擊、自然災(zāi)害和人為災(zāi)難等給企業(yè)帶來的風(fēng)險(xiǎn)。

1 ERP安全保障措施發(fā)展的現(xiàn)狀

ERP系統(tǒng)是當(dāng)前最科學(xué)、最先進(jìn)的為企業(yè)管理設(shè)計(jì)的系統(tǒng)模式，該系統(tǒng)一旦出現(xiàn)問題就會(huì)給企業(yè)造成經(jīng)營管理停滯，嚴(yán)重者可以導(dǎo)致企業(yè)被競爭對(duì)手淘汰，帶來災(zāi)難性的損失。在上世紀(jì)七十年代，美國就開始研究對(duì)于信息化技術(shù)的安全措施，早在1979年就創(chuàng)建了SunGard Recovery Services,這是對(duì)于災(zāi)難恢復(fù)領(lǐng)域，保證系統(tǒng)連續(xù)性具有重大意義。隨著信息化的發(fā)展，各種保障措施也得到空前發(fā)展，在硬件、軟件、系統(tǒng)和數(shù)據(jù)等方面都漸進(jìn)成熟。但是隨著云計(jì)算、云技術(shù)等發(fā)展，ERP系統(tǒng)安全又成了一個(gè)新的研究課題。

在國內(nèi)，信息化發(fā)展比較晚，企業(yè)信息化落實(shí)不全面，很多企業(yè)都剛剛進(jìn)入ERP引進(jìn)階段，企業(yè)對(duì)安全風(fēng)險(xiǎn)認(rèn)識(shí)不足，直至2007年7月，我國才正式發(fā)布《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》，對(duì)于數(shù)據(jù)備份和災(zāi)難性恢復(fù)等內(nèi)容進(jìn)行了明確闡述。同時(shí)公安部、國務(wù)院信息化辦公室、國家密碼管理局和國家保密局聯(lián)合印發(fā)《信息安全等級(jí)保護(hù)管理辦法》，中明確指出信息系統(tǒng)需建立數(shù)據(jù)備份與恢復(fù)功能，至少每天備份一次完整數(shù)據(jù)，采用冗余技術(shù)對(duì)網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)處理系統(tǒng)和通信線路的硬件冗余，保證系統(tǒng)的高可用。為了更深入研究和保證ERP系統(tǒng)和公司信息安全，不中斷企業(yè)信息服務(wù)，設(shè)計(jì)詳細(xì)的安全措施，保證企業(yè)安全運(yùn)行。

2 ERP系統(tǒng)的安全隱患

ERP系統(tǒng)作為大型的企業(yè)管理信息化系統(tǒng)，其安全隱患所在是保證軟件能夠?yàn)橛脩籼峁┛煽康?、快速的、連續(xù)不中斷服務(wù)，并且出現(xiàn)問題能夠及時(shí)恢復(fù)。隱患會(huì)涉及到ERP系統(tǒng)的各個(gè)組成方面，硬件、軟件、數(shù)據(jù)和環(huán)境等，而要設(shè)計(jì)保證其安全的方案也應(yīng)該從這些方面入手，有計(jì)劃、有步驟的進(jìn)行。隨著信息化的發(fā)展，系統(tǒng)安全的問題會(huì)不斷出現(xiàn)，只有用動(dòng)態(tài)發(fā)展的眼光，有計(jì)劃的進(jìn)行防范和控制，才能減少損失發(fā)生，系統(tǒng)能夠連續(xù)為企業(yè)服務(wù)。

3 ERP系統(tǒng)硬件安全技術(shù)方案

作為ERP系統(tǒng)運(yùn)行的基礎(chǔ)，硬件的安全、可靠、穩(wěn)定是系統(tǒng)正常運(yùn)行的基礎(chǔ)保障。硬件冗余技術(shù)是對(duì)出現(xiàn)問題的硬件及時(shí)更換的一種方法。ERP系統(tǒng)涉及到的硬件包過計(jì)算機(jī)、打印機(jī)、數(shù)據(jù)備份設(shè)備、網(wǎng)絡(luò)設(shè)備和不間斷電源等，這些硬件發(fā)生問題，在不影響運(yùn)行情況下用多余的替換下來。

在整個(gè)ERP系統(tǒng)中，服務(wù)器是系統(tǒng)的核心，服務(wù)器出現(xiàn)問題，會(huì)使整個(gè)系統(tǒng)癱瘓。服務(wù)器的安全可以根據(jù)情況設(shè)計(jì)，如果企業(yè)實(shí)時(shí)性不太強(qiáng)，可以在主服務(wù)器外備用一個(gè)服務(wù)器，把數(shù)據(jù)定期備份上去；在實(shí)時(shí)性較強(qiáng)的企業(yè)，可以采用鏡像技術(shù)，保證兩臺(tái)服務(wù)器內(nèi)容一致，一旦發(fā)生問題，可以隨時(shí)替換。而普通計(jì)算機(jī)上其他的像網(wǎng)卡、散熱器等可以采取“熱插拔””技術(shù)，不終止服務(wù)而直接更換。

其他的磁盤、光盤等可以選擇環(huán)境保存，存在不同建筑物內(nèi)，多重備份。同時(shí)計(jì)算機(jī)離不開電源，斷電或電壓不穩(wěn)可能導(dǎo)致系統(tǒng)中斷運(yùn)行，可以使用不間斷電源和穩(wěn)壓設(shè)備，可以在出現(xiàn)問題時(shí)，有時(shí)間準(zhǔn)備。

4 ERP系統(tǒng)軟件安全技術(shù)方案

在ERP系統(tǒng)的軟件配備中，包括系統(tǒng)軟件、ERP系統(tǒng)應(yīng)用軟件、數(shù)據(jù)庫和防毒工具軟件。ERP軟件不同開發(fā)公司，對(duì)于操作系統(tǒng)軟件要求不同，微軟公司的操作系統(tǒng)使用最多，但是隨著時(shí)間的推移，系統(tǒng)出現(xiàn)的問題也很多，漏洞不斷。在使用才做軟件時(shí)，要注意漏洞補(bǔ)丁。ERP應(yīng)用軟件對(duì)于企業(yè)來說，可以使用成熟的軟件，也可以自行開發(fā)。成熟軟件如SAP公司的ERP系統(tǒng)在市場運(yùn)行比較成功。數(shù)據(jù)庫的應(yīng)用平臺(tái)屬M(fèi)icrosoft SQL Server 和Oracle應(yīng)用較多，數(shù)據(jù)庫的功能要與系統(tǒng)相適應(yīng)。防毒工具軟件是目前網(wǎng)絡(luò)環(huán)境下不可缺少的，減少系統(tǒng)受侵害，可以使用防毒工具，防火墻之類的工具軟件。對(duì)于像黑客等破壞性行為，要及時(shí)利用備份資料恢復(fù)，切斷網(wǎng)絡(luò)。病毒傳播，要通過切斷傳播途徑防患于未然。

5 ERP系統(tǒng)數(shù)據(jù)安全技術(shù)方案

ERP系統(tǒng)數(shù)據(jù)是基于數(shù)據(jù)庫而存在。好的數(shù)據(jù)庫能夠快速容錯(cuò)，但是同時(shí)也能自動(dòng)存儲(chǔ)。例如RAC是Oracle（Oracle Real Application Cluster）真正應(yīng)用集群的簡稱，為數(shù)據(jù)庫提供了靈活的伸縮性和最高的可用性。通過數(shù)據(jù)庫實(shí)現(xiàn)了共享資源組，共享資源組內(nèi)包括應(yīng)用系統(tǒng)的服務(wù)（程序）、共享磁盤、虛擬主機(jī)、文件系統(tǒng)和IP網(wǎng)絡(luò)資源等。通過測試保證設(shè)備發(fā)生問題時(shí)自動(dòng)修復(fù)。

ERP系統(tǒng)數(shù)據(jù)保護(hù)通常通過存儲(chǔ)數(shù)據(jù)保護(hù)、數(shù)據(jù)備份保護(hù)和容災(zāi)技術(shù)。數(shù)據(jù)存儲(chǔ)在服務(wù)器，機(jī)器、磁盤等，加安全密碼，保護(hù)數(shù)據(jù)。 ERP系統(tǒng)數(shù)據(jù)也是企業(yè)競爭最想獲得的東西，除了上面的技術(shù)外，還可以實(shí)施“三代備份”法，按照每日，每周和每月三代備份，同時(shí)把資料放在不同建筑物立面，減少風(fēng)險(xiǎn)，分散風(fēng)險(xiǎn)。容災(zāi)技術(shù)，可以使得ERP系統(tǒng)盡快運(yùn)行，數(shù)據(jù)盡快恢復(fù)。尤其用一些同步備份、鏡像技術(shù)和遠(yuǎn)程傳輸?shù)燃夹g(shù)。

6 ERP系統(tǒng)網(wǎng)絡(luò)安全

通過網(wǎng)絡(luò)設(shè)備和連接實(shí)現(xiàn)了信息系統(tǒng)與用戶之間數(shù)據(jù)交互，只有網(wǎng)絡(luò)連接順暢和網(wǎng)絡(luò)設(shè)備可靠，才能保障信息系統(tǒng)與用戶間的數(shù)據(jù)交互暢通。利用冗余網(wǎng)絡(luò)保護(hù)網(wǎng)絡(luò)連接，避免線纜和網(wǎng)絡(luò)接口故障。雙網(wǎng)卡或多網(wǎng)卡，綁在一個(gè)IP上，就如同一個(gè)網(wǎng)卡一樣，可以增大帶寬流量，保持帶寬的穩(wěn)定性 。同時(shí)對(duì)服務(wù)器訪問流量被分擔(dān)，負(fù)載壓力減小，抗并發(fā)訪問的能力提高。

7 ERP系統(tǒng)運(yùn)作安全技術(shù)

ERP系統(tǒng)進(jìn)入企業(yè)運(yùn)行過程中，會(huì)出現(xiàn)操作不當(dāng)、系統(tǒng)硬軟件維護(hù)與管理、ERP檔案管理等安全問題。ERP系統(tǒng)操作人員，直接接觸軟件，很多不安全因素來源于人為操作，例如人員口令密碼泄露，軟件代碼的刪除，避免人員操作問題的最直接辦法是制度保障和人員接觸控制。

ERP系統(tǒng)的維護(hù)是運(yùn)行過程中最重要也是最費(fèi)時(shí)的工作，要保證系統(tǒng)的硬件、軟件安全，故障及時(shí)清除，就必須加強(qiáng)維護(hù)管理，硬件定期檢查；軟件根據(jù)信息化環(huán)境變化而變化，適應(yīng)管理發(fā)展；程序維護(hù)是診斷和改正程序錯(cuò)誤，做好記錄，避免惡意修改。

ERP系統(tǒng)檔案保管，特別是系統(tǒng)開發(fā)的文檔資料和企業(yè)ERP系統(tǒng)數(shù)據(jù)。文檔加密，設(shè)定調(diào)閱權(quán)限，保持檔案環(huán)境要防水、防潮、防磁場等。加強(qiáng)ERP系統(tǒng)日常的管理，是ERP系統(tǒng)安全有效運(yùn)行的保證。

隨著信息技術(shù)的發(fā)展，ERP系統(tǒng)的安全問題也會(huì)不斷出現(xiàn)，新的技術(shù)不斷完善，只有不斷吸取先進(jìn)的經(jīng)驗(yàn)和技術(shù)，系統(tǒng)滾動(dòng)升級(jí)，在技術(shù)管理人員的通力合作基礎(chǔ)上，ERP系統(tǒng)將為企業(yè)提供更加穩(wěn)定、安全的服務(wù)，為企業(yè)的發(fā)展做出貢獻(xiàn)。

[1]陳開藝.連續(xù)性業(yè)務(wù)系統(tǒng)中容災(zāi)備份系統(tǒng)的建設(shè)[J].計(jì)算機(jī)時(shí)代,2007(11):22-23.

[2]褚躍龍.淺析企業(yè)應(yīng)如何成功實(shí)施ERP系統(tǒng)[J].遼寧工業(yè)大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版).2010, 12(3)：28-30.

[3]王慶銘.企業(yè)ERP項(xiàng)目實(shí)施風(fēng)險(xiǎn)分析及對(duì)策研究〔D].北京交通大學(xué)，2011-06.

[4]張如敏.ERP項(xiàng)目實(shí)施中的風(fēng)險(xiǎn)控制策略應(yīng)用分析[J].寧波廣播電視大學(xué)學(xué)報(bào)，2009, 7 (4).

[5]曹潔.實(shí)施ERP的主要風(fēng)險(xiǎn)與防范措施[J].電腦知識(shí)與技術(shù)，2010, 6.