基于ERP系统的数据安全性的研究

【摘　要】分析了企业引入ERP的意义和ERP系统数据可能存在的安全漏洞，简单介绍了ERP系统对用户的管理和介绍数据库安全保密的重要意义。数据库系统作为信息系统中的基础软件，其安全性问题十分重要。

【关键词】ERP数据库；数据库安全；数据加密；SQL加密

0.前言

自从计算机进入企业，开始为企业服务起，企业就开始不断开发相应的计算机系统来为企业服务。刚开始，一般是开发各个部门的应用系统，如工资系统、人事系统等。随着企业的发展和信息技术的进步，这些系统也不断的进行着功能上的扩充、修改和维护，以适应新形势下企业发展的需求，这时也可能引进了一些商业软件包来完善企业管理。有需求就会有发展，到了20世纪90年代，信息技术发展出现了企业资源计划(ERP)，这种信息技术应用在企业中就能够解决上面提到的企业新遇到的问题。

1.ERP系统的安全性研究背景

如果我们从另外一个角度来看ERP，其发展过程也是将企业各种资源逐步集成到企业信息系统的发展过程。刚开始是库存系统，然后生产系统，采购和销售系统，财务系统和人事系统等都逐步加进了企业的信息系统中，从而形成了企业完整的事务运作信息系统，使得企业内的应用得到统一，从根本上消除了企业应用的蜘蛛网问题。

在国内ERP实施的圈子里流传着这样一句话：“成功实施ERP的企业具有相似的基本条件，但实施ERP失败的原因却各有不同。”了解国内实施ERP系统终告失败的企业后，结合ERP的核心管理思想，可以将国内企业实施ERP系统失败的原因划分为项目管理的原因和技术管理的原因。其实，在企业实施ERP系统的过程中，还存在着一个巨大的技术管理问题，就是企业未能有效地进行数据的管理，这是导致企业ERP实施失败的重要原因。

2.ERP数据的重要性分析

很难想象没有数据的ERP是什么样子的。然而，实际情况又是如何的呢？根据AMT(美国机械制造技术协会)的研究，在那些上线不成功或者上线后掉线的案例中，有高达70％的项目都有一个共同的直接原因，那就是在数据上出了问题。有的是在数据还没有准备好，诸多数据不准确、不完整的情况下就仓促上线；有的则是业务没有理顺，出现一数多据的情况，不知道该相信哪个数据；还有的是上线运行后操作人员未及时更新业务数据导致系统内的数据失真等等，虽然数据问题的表现不尽相同，但最终的结果都是一样的，那就是大家忙了数月得到的是一个没有数据的ERP系统。

通常，ERP的数据方面的失败存在以下三方面的前台数据操作问题：

（1）数据输入不规范，同一部门不同的成员有不同的数据输入格式，造成数据不统一。

（2）数据操作权限混乱，从而存在数据来源多，同一业务在不同部门的赋值不同。

（3）企业本身一些业务不规范，没有及时形成业务数据，导致在系统中的数据不完整。

而以上三方面的原因可以归结为企业没有对数据的安全性做好足够的保证。为了保证ERP能够成功的实施，我们必须保证ERP数据的安全性。

3.ERP数据的安全性研究

目前，数据库的安全性还没有被人们与系统的安全性等同起来，多数管理员错误地认为只要把网络和操作系统的安全搞好了，那么所有的应用程序也就安全了。其实，数据库系统中存在的安全问题通常也会造成严重的后果，因此研究数据库的安全就具有非常重要的价值了。

3.1影响数据库安全的主要因素

数据库系统的安全性要求与其他计算机系统的安全性要求有很大的相似性。原则上，凡是造成对数据库内存储数据的非授权访问、读取，或非授权的写入、增加、删除、修改等，都属于对数据库安全造成了威胁和破坏。另一方面，凡是正常业务需要访问数据库时，授权用户不能正常得到数据库中的数据，或者非授权用户的越权访问也称之为对数据库的安全形成了威胁或破坏。影响数据库安全的主要因素大致可以分为以下几类：

（1）系统故障，包括硬件或软件的故障/错误导致的数据丢失等。

（2）信息的非正常扩散和泄密。

（3）由授权读取的数据，通过推论得到不应访问的数据。

（4）对信息的非正常修改，包括破坏数据一致性的非法修改以及删除。

（5）并发操作引起的数据不一致。

（6）敌对方的攻击，内部或外部的非授权用户从不同渠道进行攻击。

（7）病毒，特洛伊木马。

（8）人为的失误等。

3.2 ERP数据库的安全策略

面对诸多的危险，加上数据库系统自身的安全特点，对数据库的安全性就提出了诸多要求。计算机安全性的三个方面：完整性、保密性和可用性，与数据库管理系统都有关系。完整性既适用于数据库的个别元素也适用于整个数据库，所以在数据库管理系统的设计中完整性是主要的关心对象。保密性由于推理攻击而变成数据库的一大问题。最后，因为共享访问的需要是开发数据库的基础，所以可用性是重要的。

一般来说，在ERP系统中都有用户登陆模块，其作用是提供用户登陆界面，验证用户身份和密码，防止非法用户进入。确保只有经过授权的合法用户才能访问数据库，并且只能在系统授予的权限范围内对数据库进行操作。这种机制包括两部分：一是定义用户的权限，并将用户的权限登记到数据字典中；二是对用户的合法权限校验，当用户发出访问或者操作数据库的请求时候，数据库管理系统通过查找数据字典，根据安全规则进行合法权限检查，确保用户的操作都在其被授予的权限范围内。

3.3保护ERP数据库的安全方法

在以上说的策略之外，数据库加密也是一个非常重要的保护手段。数据加密就是将明文数据经过交换，一般通过变序或替换变成密文数据，数据解密则是将密文数据转换成明文数据输出。一个加密系统包含明文集合、密文集合、密钥集合和算法,其中密钥和算法构成了加密系统的基本单元，算法是一些公式、法则或程序，规定了明文与密文之间的变换方法，密钥则可以看作算法中的参数。

数据加密是防止数据库中数据泄露的有效手段，与传统的通信或网络加密技术相比，由于数据保存的时间要长得多，对加密强度的要求也更高。而且，由于数据库中数据是多用户共享，对加密和解密的时间要求也更高，以不会明显降低系统性能为要求。

3.4系统数据库的备份恢复

由于企业数据库中的数据存储量在成比例地增长，为了适应不断增长的数据，防止数据丢失，数据库备份技术受到了越来越高的重视。数据库备份是把硬盘上的数据库数据备份到媒体上。根据备份时间、备份内容及备份方式的不同目前采用最多的备份策略有：完全备份、增量备份、差分备份三种，每个企业要根据自己的实际情况来制订不同的备份策略。

4.结束语

本文就基于ERP数据库的发展及安全性的有关技术进行了讨论，随着数据库应用范围的扩大和计算机技术的发展，数据库系统安全问题不仅仅是孤立的数据库问题，其他应用系统通过接口也可以存取数据库，因此对应用系统和数据库连接部分程序本身的安全研究也是广义数据库系统安全研究的范围。

【参考文献】

［１］周姗姗,程良伦.网络数据库的安全及性能优化[J].计算机与现代化,2006(1).

［２］江南,常春.SQL Server2000安全验证的故障诊断与分析[J].计算机与数字工程,2006.

［３］谷震离,杜根远 SQL Server数据库应用程序中数据库安全性研究.计算机工程与设计,2007（8）.