ERP安全管理的方法及实践.pdfVIP

ERP安全管理的方法及实践

安全管理方法的研究与实践

天津企之星郝刚

1、引言

企业资源计划（ERP，EnterpriseResourcePlanning）是当今

世界上制造业企业普遍采用的管理系统。由于ERP中存有大量的企业

机密信息，因此，ERP系统的安全性是一个不容忽视的问题。虽然许

多企业对ERP安全工作做了一些工作，但企业目前的ERP安全管理基

本上还处在一种静态的、局部的、突击式的、事后纠正式的管理方式，

导致的结果是不能从根本上避免、降低各类风险，也不能降低ERP安

全故障导致的综合损失。

信息安全技术是ERP安全控制的重要手段，ERP的安全性必须借

助于技术手段来实现，但单独依靠技术手段实现安全的能力是有限的，

安全技术还必须由适当的管理和程序来支持，否则，安全技术发挥不

了其应有的安全作用，或者当应用环境发生变化时，不做适当的技术

调整，其安全作用会打折扣，甚至丧失。ERP安全来自“三分技术，

七分管理”，必须注意ERP安全管理。

天津市企之星信息技术有限公司从事ERP系统开发实施已经有十

年的时间，实施了上百家的ERP项目，涉及行业包括汽车、机械、电

子、制药、化工、印刷、服装及纺织等，在2002年的科技部首次

ERP产品测评中，在几十家ERP产品中脱颖而出，成为通过测评的六

家合格产品之一。长期的工作实践中，笔者深知ERP安全管理的重要

性，也感到了当前由于企业对此问题的淡漠所造成的危机。本文重点

对ERP安全管理的内容和方法进行介绍，同时列举一些实例，让大家

对此问题有一个具体的认识。

2、ERP安全管理的内容

ERP安全涉及到系统信息的必威体育官网网址性、完整性、可用性、可控性。

综合起来说，就是要保障系统信息的有效性。必威体育官网网址性就是对抗对手的

被动攻击，保证信息不泄漏给未经授权的人。完整性就是对抗对手主

动攻击，防止信息被未经授权的篡改。可用性就是保证信息及信息系

统确实为授权使用者所用。可控性就是对信息及信息系统实施安全监

控。

ERP安全管理是指导和控制企业关于ERP安全风险的相互协调活

动，通常包括制定安全方针、风险评估、控制目标与方式选择、风险

控制、安全保证等。ERP安全管理实际上是风险管理的过程。风险管

理（RiskManagement）是指用可接受的费用，识别、控制、降低

或消除可能影响信息系统的安全风险的过程。风险管理是一个识别、

控制、降低或消除安全风险的活动，通过风险分析来识别风险大小，

通过特定安全方针，采取适当的控制目标与控制方式对风险进行控制，

使风险被避免、转移或降至一个可被接受的水平。在风险管理方面应

考虑控制费用与风险之间的平衡。

3、ERP系统安全风险分析

ERP系统风险分析（ERPRiskAssessment）是指对ERP系统的

威胁、影响和薄弱点及三者发生的可能性的分析。威胁是指可能对系

统造成损害的事故的潜在原因；影响是指威胁一旦发生给企业带来的

直接和间接损失；薄弱点是指系统中能被威胁利用的弱点；风险是指

特定的威胁利用系统的薄弱点，导致企业损失的潜在可能性，即特定

威胁事件发生的可能性与后果的结合。风险分析也就是确认安全风险

及其大小的过程，及利用适当的风险分析工具，包括定性和定量的方

法，确定资产风险等级和优先控制顺序。

ERP系统风险分析应考虑系统信息及其价值、对系统的威胁以及

它们发生的可能性、系统薄弱点、已有的安全控制措施等。要注意的

是，进行风险分析时，应考虑系统的每个部分可能存在多个威胁，每

一威胁可能利用一个或数个薄弱点，同时，威胁的来源可能不只一个，

应从人员（包括内部与外部）、环境（如自然灾害）、系统本身（如

设备故障）等方面加以考虑。一般来讲，风险分析过程包含以下内容：

（1）按照企业业务运作流程进行系统资源的识别，并根据估价原

则对系统资源进行估价；

（2）根据系统各部分所处的环境进行威胁识别与评价

（3）对应每一威胁，对系统存在的薄弱点进行识别与评价