企业ERP系统的风险与防范

[摘要]ERP(EnterpriseResource Planning，企业资源计划)系统是现代管理思想和计算机技术的结合体，涵盖了应用企业最关键和最敏感的信息资源，如企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。因此，随着ERP的日益普及和应用，ERP系统的风险与防范问题也凸显出来，成为企业应高度关注的焦点和亟待解决的首要问题。企业ERP系统的风险来自物理环境、系统硬件、系统软件、应用软件、外来侵入、内部管理等方面，本文对此进行了分析，并从管理和技术两个层面提出了防范的办法。

[关键词]ERP系统；风险：防范

[中图分类号]F270.7　[文献标识码]A　[文章编号]1006-5024(2009)01-0095-03

[作者简介]胡衍庆，江西经济管理干部学院副教授，研究方向为管理信息系统。(江西南昌330088)

一、物理环境的风险及防范

ERP系统的物理环境风险是指系统的外部环境所造成的风险，包括意外事故和自然灾害两方面。物理环境所造成的风险对ERP系统而言，轻则直接造成业务交易的中断，给企业带来不可估量的损失，重则给ERP系统带来毁灭性的打击。

意外事故产生的风险应是可避免的，如可通过安装机房环境的报警系统、采用自动切换的备份电源，以避免外界突然断电造成的交易中断，使用空调保证机房的温度和湿度，对机房进行电磁屏蔽，从制度上规范系统操作人员的行为，坚决制止其在操作空间的玩笑和打闹行为。

自然灾害造成的风险虽无法避免，但利用远程(异地)备份数据和恢复机制，则可将损失降至最低。因此，为抵御ERP系统的灭顶之灾，投入一些成本，建立远程(异地)备份数据和恢复机制，是非常必要的。

由于物理环境的安全是ERP系统安全的前提，因此，健全安全管理制度，做好备份，加强设备和机房的管理，是不容忽视的。

二、系统硬件的风险及防范

系统硬件处于ERP系统的底层，其风险主要来自构成系统设备存在的安全缺陷和硬件的质量。一般质量问题容易引起人们的重视，质量不好的设备谁也不会买，但硬件自身存在的安全缺陷往往容易被忽视，这类风险的隐蔽性较强，但产生的损失却是很大的。到目前为止，对我国许多企业而言，系统硬件最大的缺陷是其制造的核心技术。众所周知，构成我国信息基础设施的网络、硬件等产品几乎都是建立在以美国为首的少数几个发达国家的核心信息技术之上，由此而产生的风险以及潜在的风险是不言而喻的。

系统硬件风险的防范应从宏观和微观两方面进行：

在宏观上，国家应组织力量对关键的硬件制造技术进行攻关，利用好国内外资源，以创新的思想超越固有的约束，研制出具有中国特色的关键芯片，从根本上杜绝系统硬件产生的风险。

在微观上，要树立系统硬件的风险意识，知道风险的存在，同时，应该了解系统中哪些是存在风险的关键设备。一旦风险产生，应有规避风险的措施和办法，如监控系统的出入口上的数据流量一旦出现异常，就应该立刻切断系统的出人口或关闭设备。

三、系统软件的风险及防范

系统软件主要是指计算机操作系统软件和数据库管理系统软件，其风险主要来自这两个软件的安全漏洞。

操作系统软件处于硬件和上层应用的中间环节，可以提供对网络系统、数据库、应用软件、用户的认证管理等，提供全方位的保护。没有操作系统的保护，就不可能有网络系统的安全，也不可能有应用软件信息处理的安全。由于操作系统是唯一紧靠硬件的基本软件，其安全职能是其他软件安全职能的根基，缺乏这个安全的根基，构筑在其上的应用系统以及安全系统的安全性是得不到根本保障的，因此，操作系统也与系统硬件一样是ERP系统的安全基础之一。

数据库作为信息的聚集体，是ERP系统的核心部件，从中可以寻找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息，风险防范至关重要。

由于数据库的安全在很大程度上依赖于数据库管理系统，而数据库管理系统在操作系统下都是以文件形式进行管理的，因此，入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用操作系统工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户是难以察觉的。

长期以来，我们在构建ERP系统时，尽管在规划阶段也会考虑安全问题，但基本上不考虑操作系统和数据库管理系统的安全，对其只是进行性能上的选择，这使得ERP的信息安全体系在基础上就先天不足。

对系统软件产生的风险，可从以下方面进行防范：

第一，仍需国家组织力量攻关，从操作系统的内核编程技术人手，以密码技术为核心，构建具有中国特色的、拥有完全自主知识产权的安全操作系统，从操作系统的根本上解决安全问题。

第二，在安全操作系统的研制尚未完成时，可对现有的操作系统进行安全加固，只要在它的外部加入一些加固模块，就能够起到很好的安全防范作用。例如，采用设计安全隔离层――中间件的方式，增强其安全性，为应用对象提供安全封装、主动服务。

第三，对数据库文件进行加密处理，是数据风险防范的有效方法，可以从操作系统层面、数据库管理系统内核层面和数据库管理系统外层这三个层面分别对数据库的数据加密，这使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。

四、ERP软件的风险与防范

ERP软件的风险来自ERP系统自身程序的缺陷。这种缺陷主要来自两方面：一是在设计程序的时候，考虑的都是程序的功能和性能，基本没有考虑安全问题；二是不影响程序功能和性能的编程错误。这种错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件(特别是处理字符串的内存缓冲时)；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可。

这些错误被使用到攻击系统的行为中，不正确地输入参数造成程序进行一些它本来不应该进行的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。由于设计时就没考虑这些风险，程序测试就自然无此项目，而访问控制系统中没有什么办法可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现这些问题。

应用软件风险的防范，应在ERP规划阶段就予以充分考虑，对ERP软件如何防止信息被故意或偶然地被非法授权泄漏、更改、破坏，或防止信息被非法系统辨识、控制，应在风险管理、审计跟踪、备份与恢复、应急等方面都有具体的措施和内容。只有这样，才能产生相关的程序测试用例，以验证程序

的安全性。

如果准备购买ERP软件，应要求供应商按自己的安全要求，提供测试数据，只有这些数据被认可，才能认为产品在安全方面是合格的，千万别只注重功能与性能的测试数据，忽略安全数据的测试结果。

如果自行开发ERP软件，安全数据的测试结果，则应成为软件验收的必备条件之一。

由于大多数软件测试是假定用户将以某种“随机”或“有用”的方式工作，而安全性缺陷通常只出现在使用极其古怪的值的情况时，所以，传统的测试完全不会检查这样的值。因此，进行安全测试时，必须突破传统测试的框架，尽可能地找出足够多的安全测试数据进行测试，以确保ERP软件自身的安全。

五、外来入侵的风险及防范

外来入侵是指计算机遭到攻击，主要表现形式是黑客和病毒等对ERP系统的文件和数据的篡改和破坏。

黑客在本文是指未经许可，闯入他人计算机系统进行破坏的人，黑客们的攻击行动是无时无刻不在进行的，这些人利用ERP系统和管理上的一些漏洞，进入计算机系统后，破坏或篡改重要数据，盗取机密与资源，控制他人的机器，清除记录，设置后门，给ERP系统带来灾难性的后果。

计算机病毒是人为编写的一组程序，可以攻击ERP系统的数据区、文件和内存，可以攻击计算机的磁盘、CONS，扰乱屏幕显示，干扰计算机键盘和打印机的正常工作，以致使计算机的硬件失灵，软件瘫痪，数据破坏，系统崩溃，造成无法挽回的损失。

值得高度关注的是：随着各种应用工具在计算机网络上的传播，黑客已经大众化了，不像过去那样非电脑高手不能成为黑客。而计算机病毒问世十几年来，各种新型病毒及其变种迅速增加，并利用计算机网络这一通道迅速传播，这就使防范外来入侵的难度大大增加。但是，既然是外来入侵，就一定有外来的通道，这个通道就是开放的计算机网络，若在此设防，抵御外来入侵必定事半功倍。目前常用的技术有：

(1)防火墙

防火墙是应用最广的一种防范技术。作为系统的第一道防线，其主要作用是监控可信任网络和不可信任网络之间的访问通道，可在内部与外部网络之间形成一道防护屏障。拦截来自外部的非法访问并阻止内部信息的外泄，但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出，但无法动态识别或自适应地调整规则，因而其智能化程度很有限。防火墙技术主要有三种：数据包过滤器、和状态分析。现代防火墙产品通常混合使用这几种技术。

(2)入侵检测

入侵检测是近年来发展起来的一种防范技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法，其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。1987年，Derothy Denning首次提出了一种检测入侵的思想，经过不断发展和完善，作为监控和识别攻击的标准解决方案，IDS系统已经成为安全防御系统的重要组成部分。入侵检测采用的分析技术可分为三大类：签名、统计和数据完整性分析法。

(3)使用防病毒软件构造全网统一的防病毒体系

主要面向MAIL、Web服务器以及办公网段的Pc服务器和Pc机等。支持对网络、服务器和工作站的实时病毒监控；能够在中心控制台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治情况；支持多种平台的病毒防范；能够识别广泛的已知和未知病毒，包括宏病毒；支持对Intemet／In－tranet服务器的病毒防治，能够阻止恶意的Java或ActiveX小程序的破坏；支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持对压缩文件的病毒检测；支持广泛的病毒处理选项，如对染毒文件进行实时杀毒、移出、重新命名等；支持病毒隔离，当客户机试图上载一个染毒文件时，服务器可自动关闭对该工作站的连接；提供对病毒特征信息和检测引擎的定期在线更新服务；支持日志记录功能；支持多种方式的告警功能(声音、图像、电子邮件等)等。

需提请注意的是：在购置实现以上安全技术的产品时。一定要检验其合法性，必须是经过国家有关管理部门的认可或认证的安全产品；同时，要掌握产品的正确使用方法；还要有一套严格的管理制度，规范对安全产品的操作。这3点如不能同时做到，轻则会使这些产品起不到应有的作用，重则会使ERP系统无法正常运行，给企业带来损失。

六、内部管理的风险及防范

内部管理的风险主要表现为：一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，错误地进人数据库、删除数据等等；对于已经离职的员工，没有及时地改变系统的口令并删除他们的记录；当系统出现攻击行为或受到其他一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对系统的可控性与可审查性。

缺乏约束机制、责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等是引起ERP系统安全风险的根源。这就要求我们必须从管理上健全相应的规章制度来规范和约束员工的行为；根据工作的重要程度，确定该系统的安全等级；根据确定的安全等级，确定安全管理的范围；制订相应的机房出入管理制度，对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。对人员进行识别、登记管理；制订严格的操作规程，操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围；制订完备的系统维护制度，对系统进行维护时，应采取数据保护措施，如数据备份等，维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录；制订应急措施，要制定系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小；建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权；对系统的访问活动进行多层次的记录，及时发现非法入侵行为。