|
最近�����,一家企業�����,正在為數據泄密的事情而煩惱。企業人員的流動帶走了ERP系統中的所有客戶信息、產品價格信息等�����,憑著這些信息�����,競爭對手挖走了公司不少的客戶,給企業造成了嚴重的損失���,那么如何才能避免這種事件的發生。
如何保護ERP系統中的數據安全是擺放在眾多ERP實施顧問面前的一道門檻?如何安全的跨過這個門檻���,打好這場ERP系統信息安全的保衛戰?
筆者在這里以一個實施顧問的身份,從顧問的角度��,給企業用戶提一些建議��。希望這些建議能夠幫助企業打贏這場戰爭��。
建議一:安全從賬戶管理做起。
ERP系統的相關權限控制�����,都是依賴于具體的帳戶與角色展開的���。所以��,若要保護好ERP系統中的郵件���,則首先需要管理好ERP系統的帳戶�����。
筆者實施了不少的ERP項目,其中就有一家企業�����,他們為了管理上的方便��,一個部門就采用一個賬戶。雖然這個部門只有七個人,但是���,共用一個賬戶的話,則就不能區分系統中的相關操作到底是誰做的。當出現問題時,如單據被意外刪除或者單據被非法修改的時候�����,就不能夠找到責任人���。雖然共用一個賬戶��,可以給管理帶來一定的方便�����。但是,卻會大大的降低ERP系統的安全性。
筆者向來反對,以犧牲系統的安全性來減少管理的工作量。所以��,筆者在這里強烈建議�����,為了提高ERP系統中數據的安全性�����,在系統管理與配置的時候��,切記不要一個部門一個賬戶。而是要做到一個員工一個賬戶���,如此的話,才能夠實現責任落實到人��,安全落實到人�����。
建議二:開啟ERP系統的日志功能。
馬后炮,可能有時覺得多余。但是���,若事情發生后,能夠及時的收集證據�����,在損失進一步擴大之前���,采取合理的措施���,把問題消除在萌芽狀態�����。這種“亡羊補牢”的方法��,也未嘗不可行。
一般ERP系統中,都會有系統日志功能。在這個日志中�����,會紀錄用戶在ERP系統中的具體操作�����。如什么用戶在什么時候導出了客戶基本信息資料;什么用戶在什么時間刪除或者更改了某張單據的信息等等��。都會詳細的記錄下來���,當系統管理員發現數據出現異常時���,就可以憑借這些日志信息�����,找到對應的責任人���。
所以��,為了提高ERP系統的信息安全,筆者建議企業開啟系統日志功能��。如此的話��,可以給企業帶來如下好處:
一是無形中會對用戶有警示作用�����。當用戶看到自己的所作所為都會在系統中留下記錄的時候,則他們在竊取系統資料的時候���,就不會那么明目張膽了。這就好像在公路上�����,若裝有攝像頭的話,則司機的違規違法現象就會少的多��,他們會自己約束自己������?梢��,若開啟了ERP系統的日志功能的話,可以給其他用戶一個警示的作用���,讓他們規范自己的ERP系統操作。
二是可以幫助企業員工做好相關的安全審計�����。
有些信息化安全要求比較高的企業��,會有專門人員審計信息化安全��。如筆者認識一家企業的CIO,他們會對員工的網絡行為進行監控�����,包括用戶的來往郵件��、聊天信息等等�����。
三是當出現信息泄露的事件時,可以作為向員工索賠的證據���。
當遇到員工泄露企業的信息時,企業最頭疼的問題就是沒有證據可以證明是員工所為���,他們最多只能把可疑的員工辭退,而不能夠要求他們補償損失��。而若開啟了ERP系統的日志功能之后�����,用戶的所作所為都會在系統中記錄。當員工非法更改數據或者非法導出客戶信息的時候��,都會有詳細的記錄��。這可以為日后對他們進行罰款等處罰措施���,找到證據��。
所以說,ERP系統的日志能夠很大程度上規范員工的行業,可以在一定程度上保障ERP系統的安全性���。不過從上面的分析來看,我們也知道,日志功能是依賴于具體的用戶賬戶的�����。若多個人共用一個賬戶的話��,則日志也是不能夠區分到底某個危險行為是哪個員工所做的���。所以���,要啟用日志功能的話���,首先就需要根據用戶來設立帳號���。
建議三:限制重要資料的導出
由于ERP系統是強調數據共享的��。所以,很多部門的機密信息���,如客戶信息�����,產品成本價格信息���,產品構成等等重要內容���,都會被存儲在ERP系統中�����。若沒有相關權限控制的話��,則企業員工獲取這些信息將會輕而易舉。特別是為了管理的方便,系統提供了導出的功能�����,可以導到EXCEL表格中���,進行后續的處理���。這就無形中增加了數據泄密的風險���。因為用戶不需要一條條的記錄相關的信息��,而只需要把他們成批的導出來即可��。然后回家再慢慢的去尋找有價值的信息。
所以,在ERP系統信息安全保衛戰中�����,有一個重要的戰略措施�����,就是要管理要報表的導出功能。為此���,筆者有如下建議值得參考:
一是對于有些資料沒必要導出的話就取消其導出功能。
其實���,對于一些客戶信息、產品價格信息等等���,完全沒有再導出備份的必要。有些企業�����,他們有一個傳統作業的習慣��,會要求財務人員每個星期發一份成本分析資料給各個銷售人員��。其實,這完全沒有必要的��。只需要企業系統管理人員配合財務人員��,在系統中實現這份報表���。銷售員可以直接在系統中查詢相關的信息��,而不需要財務人員先導出來再發給大家。如果把產品成本信息導出來之后��,銷售人員跟客戶串通��,把成本信息泄露給客話���,則企業將會失去價格談判上的主動權。
所以���,企業應該結合自己的情況,對各項基本資料進行分析,若沒有十分充分的必要要導出數據的話��,就索性把這些內容的導出功能禁用掉���,從根源上把這個缺口堵住。
二是嚴格限制導入導出的用戶�����。
有時候��,某些敏感信息確實有導出的必要�����。如筆者一家客戶,他們需要導出產品的成本分析報告��。在每個月的產品會議上���,公司會把最近利潤比較高的產品當作下月的主推產品等等�����。此時���,就可能需要用到這個成本分析包括���。這個時候���,有兩種方法。一是通過ERP系統自帶的報表實現。不過��,有些用戶可能比較刁���,他們希望能夠類似EXCLE表格的那種圖形來直觀的表示產品的利潤情況��。為此��,一些基于傳統的客戶端/服務器端模式的ERP軟件可能無法實現這個需求。此時,用戶迫不得已需要導出這個報表。遇到這種情況的話��,就需要嚴格限制導入導出的用戶��,并且��,結合ERP系統的日志功能,做好這個危險動作的監督工作。如筆者對這家客戶的建議是�����,有財務經理來導出這份報表�����,其他人員都沒有這個權限�����。并且在導出的Excel表格中,最好也設置比較復雜的密碼,以提高這個Excle文件本身的安全性。
建議四:做好員工之間的信息屏蔽���。
筆者有一家客戶,他們對于信息安全方面要求比較嚴。他們希望�����,即使是同一個部門�����,如采購部門,不同員工下的采購單���,他們之間也不能夠看到。如果看到這些信息的話��,則有經驗的人就可以從采購記錄中發現產品的組成方式���,甚至了解到產品的配方��、工藝等方面的信息��。為此�����,這家客戶他們要求能夠對員工之間的信息也能夠進行屏蔽,當然作為部門的負責人,就有權看到所有的采購信息���。
本文出自:億恩科技【www.laynepeng.cn】
本文出自:億恩科技【www.enidc.com】
-->
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
