移動(dòng)ERP系統(tǒng)信息安全問題分析
時(shí)間:2022-02-25 10:42:09
導(dǎo)語:移動(dòng)ERP系統(tǒng)信息安全問題分析一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
自1990年美國GartnerGroup公司提出企業(yè)資源計(jì)劃(ERP)概念以來,ERP也不斷升級(jí)和演進(jìn),應(yīng)用的內(nèi)容也越來越廣。傳統(tǒng)ERP對(duì)電腦和網(wǎng)絡(luò)的依賴決定了其辦公時(shí)的局限性。由于新一代移動(dòng)通信技術(shù)的發(fā)展以及移動(dòng)終端智能化,移動(dòng)ERP恰好彌補(bǔ)了傳統(tǒng)ERP由于終端設(shè)備體積較大,攜帶不方便等諸多不足,為移動(dòng)辦公增加了更大的動(dòng)力,有效的提高了企業(yè)的工作效率。
2移動(dòng)ERP的特點(diǎn)
移動(dòng)ERP系統(tǒng)以傳統(tǒng)ERP系統(tǒng)為依托,覆蓋了財(cái)務(wù)、生產(chǎn)、銷售、物流等多個(gè)層面,保存著企業(yè)所有的數(shù)據(jù)信息。任何一個(gè)企業(yè)員工都能夠通過接入網(wǎng)絡(luò)的移動(dòng)終端設(shè)備實(shí)時(shí)了解業(yè)務(wù)狀態(tài)、及時(shí)得到重要預(yù)警、隨時(shí)隨地處理重要任務(wù)并制定決策。
2.1價(jià)格低廉
傳統(tǒng)ERP需要配備相應(yīng)的PC終端,資金投入高,尤其是對(duì)于中小企業(yè)而言,不堪重負(fù)。而移動(dòng)ERP采用手機(jī)等通信終端即可,資金投入較少。
2.2即時(shí)管理
隨著經(jīng)濟(jì)全球化,企業(yè)的生存環(huán)境越來越復(fù)雜,業(yè)務(wù)模式隨著市場區(qū)域變化也在不斷改變,而移動(dòng)ERP為企業(yè)即時(shí)管理提供了更強(qiáng)的靈活性。
2.3全網(wǎng)互通
移動(dòng)ERP基于對(duì)傳統(tǒng)ERP的拓展,實(shí)現(xiàn)全網(wǎng)互通,從而為中小企業(yè)的業(yè)務(wù)實(shí)施提高了更強(qiáng)的實(shí)時(shí)性。
3移動(dòng)ERP不安全因素分析
美國一份權(quán)威報(bào)告曾指出,“企業(yè)必須考慮其系統(tǒng)安全功能和控制的全面設(shè)置,以便交易得以正常安全地進(jìn)行”。移動(dòng)ERP系統(tǒng)在與外網(wǎng)進(jìn)行信息通信的同時(shí),也使得外面的世界能夠接觸到局域網(wǎng)并對(duì)其產(chǎn)生影響,這便對(duì)系統(tǒng)本身產(chǎn)生了威脅。雖然對(duì)每個(gè)工作站和系統(tǒng)本身都配置強(qiáng)大的安全特性是可能的,但這似乎并不能夠完全解決系統(tǒng)安全問題。硬件的失效、操作失誤、人為破壞等都會(huì)影響到移動(dòng)ERP系統(tǒng)的正常運(yùn)行,從而導(dǎo)致系統(tǒng)進(jìn)入危險(xiǎn)狀態(tài)。其次系統(tǒng)軟硬件在某種特殊條件下運(yùn)行時(shí),病毒與惡意攻擊對(duì)于移動(dòng)ERP而言或許是最危險(xiǎn)的。隱藏的木馬不僅會(huì)讀取短信方式發(fā)送的ERP數(shù)據(jù),而且還會(huì)竊取系統(tǒng)中的數(shù)據(jù)信息,從而威脅到移動(dòng)ERP的信息安全。如何安全、有效的利用移動(dòng)ERP,成為當(dāng)下最值得思考的問題。分析其安全隱患,主要有如下幾個(gè)方面:(1)用戶身份異常登錄;(2)使用未知WIFI造成信息泄露;(3)數(shù)據(jù)信息的非正常擴(kuò)散和泄密;(4)入侵者非授權(quán)或惡意攻擊造成數(shù)據(jù)的不完整性;(5)系統(tǒng)自身的設(shè)計(jì)缺陷威脅信息安全。
4移動(dòng)ERP的安全策略
ERP安全重于泰山,根本方法是對(duì)可預(yù)見的安全隱患通過“控”、“管”、“審”、“防”等四種手段以達(dá)到最佳的信息安全管理效果。
4.1移動(dòng)終端自身的信息安全
物理安全通常是安全的第一道防線,未經(jīng)加密處理或?qū)ο嚓P(guān)權(quán)限未經(jīng)授權(quán)的登錄信息都有可能利用移動(dòng)終端從而造成安全隱患。移動(dòng)終端的物理安全包含幾個(gè)層面的安全,首先是移動(dòng)終端的安全性。為提高安全程度,應(yīng)提供一定的防范措施。目前,較為常用的方式是使用移動(dòng)終端綁定。管理員可以設(shè)置帶唯一編號(hào)ID的移動(dòng)終端請(qǐng)求,該ID為移動(dòng)客戶端自動(dòng)生成,即使同一客戶端換臺(tái)設(shè)備重新安裝程序也無法使用。如此,則只需確定終端沒有安裝木馬程序,登錄程序并未被第三方程序加載調(diào)試即可。
4.2信息傳輸安全
移動(dòng)ERP系統(tǒng)作為網(wǎng)絡(luò)系統(tǒng),其網(wǎng)絡(luò)級(jí)安全主要包括兩個(gè)方面:信息的存儲(chǔ)安全和信息的傳輸安全。信息的存儲(chǔ)安全是指信息在靜態(tài)存放狀態(tài)下的安全。信息的傳輸安全是指信息在動(dòng)態(tài)存放狀態(tài)下的安全。為確保ERP系統(tǒng)數(shù)據(jù)傳輸過程中的信息安全,其核心解決方案有以下幾個(gè)方面:(1)利用應(yīng)用級(jí)網(wǎng)關(guān),用于對(duì)遠(yuǎn)程接入用戶進(jìn)行高精度的認(rèn)證和授權(quán)。(2)使用VPN技術(shù)以保證傳輸數(shù)據(jù)安全可靠。所謂的VPN就是終端用戶和企業(yè)服務(wù)器之間通信的安全通道,利用加密技術(shù)對(duì)傳輸數(shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)的私有性和安全性。而且VPN客戶端軟件還具有連接“超時(shí)”功能,即如果連接長時(shí)間處于非活動(dòng)狀態(tài)時(shí)就會(huì)被自動(dòng)中斷,這一功能有助于防止黑客利用開放的連接進(jìn)行攻擊。(3)數(shù)據(jù)通信的安全性。數(shù)據(jù)傳輸進(jìn)行加密接入移動(dòng)網(wǎng)絡(luò)時(shí),系統(tǒng)可為用戶提供高強(qiáng)度AES數(shù)據(jù)加密體制。其次,對(duì)于網(wǎng)絡(luò)傳輸而言,加密有三種方式:①網(wǎng)絡(luò)通道的加密,如SSL、GRE隧道等方式。②在網(wǎng)絡(luò)通道不加密的情況下,被傳輸?shù)臄?shù)據(jù)本身的加密。③加密通道和加密數(shù)據(jù)的結(jié)合,在加密的網(wǎng)絡(luò)通道中傳輸加密的數(shù)據(jù)。
4.3權(quán)限控制安全
移動(dòng)ERP系統(tǒng)的權(quán)限管理、運(yùn)維期間的權(quán)限變更以及角色互換等,都是移動(dòng)ERP系統(tǒng)上線后面臨的重要的信息安全工作。移動(dòng)ERP相較于傳統(tǒng)ERP能夠提供高安全性能的短信智能、終端實(shí)體等多重綁定,保證ERP系統(tǒng)的正常運(yùn)行。
4.4移動(dòng)設(shè)備監(jiān)控
開啟移動(dòng)ERP系統(tǒng)的日志功能,能夠滿足實(shí)時(shí)對(duì)應(yīng)用日志、用戶訪問行為、系統(tǒng)運(yùn)行狀態(tài)等各類信息進(jìn)行集中監(jiān)控、過濾及分析處理,及時(shí)發(fā)現(xiàn)各種安全隱患及異常行為事件,以保證安全最優(yōu)化。綜上所述,企業(yè)移動(dòng)ERP系統(tǒng)的安全實(shí)施,是硬件、軟件和網(wǎng)絡(luò)的高效結(jié)合,缺一不可。企業(yè)要充分考慮各種有助于系統(tǒng)安全的措施,提升企業(yè)系統(tǒng)的信息安全性,促進(jìn)企業(yè)的信息安全,提高企業(yè)的核心競爭力。
作者:王璐 王瑞 單位:四川啟明星鋁業(yè)有限責(zé)任公司
參考文獻(xiàn)
[1]www.199it.com/archives/194540.htmlWearesocial:2014年全球社會(huì)化媒體、數(shù)字和移動(dòng)業(yè)務(wù)數(shù)據(jù)洞察[Z].2014.
[2]www.199it.com/archives/183108.html《PonemonInstitute:2014年75%的人認(rèn)為移動(dòng)設(shè)備安全隱患嚴(yán)重[Z].2014.
[3]唐莉莉.移動(dòng)辦公系統(tǒng)解決方案及其安全體系[J].數(shù)據(jù)技術(shù)與應(yīng)用,2010,157.
[4]楊軒.高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)AES的Java實(shí)現(xiàn)與應(yīng)用研究[D].南京信息工程大學(xué),2006.