企業(yè)ERP管理系統(tǒng)安全需求分析方案

　　1.1 概述

　　隨著信息技術(shù)的發(fā)展和應(yīng)用的不斷深入，信息安全日益受到國家、企業(yè)和社會公眾的關(guān)注。中國政府已經(jīng)提出了構(gòu)建國家信息安全保障體系的設(shè)想，明確了政府、企業(yè)和公民各自應(yīng)承擔(dān)的責(zé)任與義務(wù)，同時國家也鼓勵信息安全技術(shù)的研究和創(chuàng)新，《信息產(chǎn)業(yè)科技發(fā)展“十一五”規(guī)劃和2020年中長期規(guī)劃綱要》中明確把信息安全技術(shù)作為優(yōu)先發(fā)展的重點(diǎn)技術(shù)之一，主要包括密碼技術(shù)、電子認(rèn)證、應(yīng)急響應(yīng)、信息安全評測技術(shù)等。

　　ERP(EnterpriseResourcePlanning)企業(yè)資源計(jì)劃系統(tǒng)，是指建立在信息技術(shù)基礎(chǔ)上，以系統(tǒng)化的管理思想，為企業(yè)決策層及員工提供決策運(yùn)行手段的管理平臺?？梢哉f，企業(yè)的ERP系統(tǒng)幾乎覆蓋了企業(yè)運(yùn)作的所有部分，包括生產(chǎn)、營銷、管理、客服、售后服務(wù)等等。因此，在某種程度上可以將ERP系統(tǒng)作為企業(yè)中樞系統(tǒng)，統(tǒng)領(lǐng)著一切其他子系統(tǒng)，子系統(tǒng)在總系統(tǒng)的分配調(diào)度下協(xié)調(diào)工作，共同為企業(yè)整體的運(yùn)轉(zhuǎn)提供保證。如果中樞系統(tǒng)出現(xiàn)問題，將導(dǎo)致整個企業(yè)運(yùn)轉(zhuǎn)出現(xiàn)問題，甚至導(dǎo)致整個企業(yè)的癱瘓，可以說， ERP系統(tǒng)的安全穩(wěn)定對于企業(yè)整體的安全有著重要作用。

　　本方案以成熟的、安全的、認(rèn)可的PKI/CA技術(shù)為基礎(chǔ)，從安全技術(shù)角度提供企業(yè)ERP系統(tǒng)安全解決方案，如果實(shí)現(xiàn)ERP系統(tǒng)整體安全，企業(yè)還需考慮安全的管理措施。

　　1.2 安全需求分析

　　企業(yè)ERP系統(tǒng)的安全與穩(wěn)定關(guān)系到整個企業(yè)能否正常運(yùn)行，是企業(yè)需要特別注重的方面。為了保證系統(tǒng)的安全，不僅僅要保證主系統(tǒng)不受外部干擾，還應(yīng)確保各個部門之間的聯(lián)系和資源共享得到安全保證，做到不越權(quán)進(jìn)行彼此互訪，防止內(nèi)部安全系統(tǒng)出現(xiàn)問題。ERP系統(tǒng)安全需求主要體現(xiàn)在以下幾個方面：

　　1) 身份真實(shí)性認(rèn)證

　　不同業(yè)務(wù)系統(tǒng)無法實(shí)現(xiàn)統(tǒng)一的安全認(rèn)證和授權(quán)，同時各個系統(tǒng)安全策略設(shè)置級別不一致，從而無法保障各個系統(tǒng)的身份認(rèn)證和訪問安全的可靠性。

　　2) 信息安全需求

　　ERP的特點(diǎn)大而全，包含企業(yè)的組織架構(gòu)、銷售渠道、客戶資源等方方面面的信息。正因?yàn)槿绱?，ERP系統(tǒng)信息安全顯得尤為重要，包含ERP系統(tǒng)中的信息資產(chǎn)安全已經(jīng)破在眉睫。

　　3) 對關(guān)鍵操作的控制和審計(jì)

　　關(guān)鍵操作即對數(shù)據(jù)交換過程，主要有ERP系統(tǒng)中關(guān)鍵文檔的提交和發(fā)布、報(bào)賬系統(tǒng)中重要信息的傳輸、財(cái)務(wù)系統(tǒng)中的資金支付、電子單據(jù)確認(rèn)等。在這些關(guān)鍵操作中，都需要保證對操作行為進(jìn)行有效的控制，即有真實(shí)權(quán)限的人員才能進(jìn)行操作，操作后對操作行為要有有效的審計(jì)。

　　4) 數(shù)據(jù)信息的法律保障

　　ERP系統(tǒng)中存儲的都是企業(yè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，對這些業(yè)務(wù)數(shù)據(jù)的管理和審計(jì)必須符合相關(guān)的法律法規(guī)要求。

　　5) 管理成本控制

　　企業(yè)需要管理不同業(yè)務(wù)系統(tǒng)的用戶，導(dǎo)致了用戶管理的復(fù)雜度增加和效率降低，為此企業(yè)需要付出更多的 IT管理成本。業(yè)務(wù)系統(tǒng)繁多，用戶需要記憶多個帳戶和口令，無形中引導(dǎo)客戶使用弱密碼，不同系統(tǒng)登陸和使用極為不便，同時由于用戶口令遺忘而導(dǎo)致的支持費(fèi)用不斷上漲。

　　1.3 方案建設(shè)目標(biāo)

　　1) 建設(shè)企業(yè)PKI/CA體系，為ERP系統(tǒng)終端用戶提供數(shù)字證書發(fā)放與管理，為企業(yè)用戶提供優(yōu)質(zhì)的、規(guī)范的數(shù)字證書生命周期服務(wù)，滿足企業(yè)ERP系統(tǒng)數(shù)字證書應(yīng)用;

　　2) 建立財(cái)務(wù)管理系統(tǒng)、物流管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等企業(yè)ERP系統(tǒng)統(tǒng)一的業(yè)務(wù)應(yīng)用安全支撐體系，實(shí)現(xiàn)電子認(rèn)證服務(wù)和相關(guān)技術(shù)與企業(yè)信息系統(tǒng)的有機(jī)集成結(jié)合，有效提升企業(yè)財(cái)務(wù)管理等系統(tǒng)的業(yè)務(wù)信息安全保障水平，構(gòu)建安全可信的企業(yè)ERP業(yè)務(wù)環(huán)境，保證用戶登錄的真實(shí)身份認(rèn)證、信息傳輸?shù)陌踩?、完整性、用戶操作行為的不可抵賴?

　　3) 在企業(yè)部署安全存儲系統(tǒng)，對敏感數(shù)據(jù)進(jìn)行加密存儲，能發(fā)生糾紛時，能快速提取簽名數(shù)據(jù)、簽章數(shù)據(jù)作為有效的電子證據(jù)，防止抵賴行為。

發(fā)布：2010-04-19 11:05 編輯：泛普軟件 · zhangyan [打印此頁] [關(guān)閉]

相關(guān)欄目：