ERP系统的安全策略探究
2016-05-14王钱静
王钱静
[摘 要] 本文以石化企业为例,从系统安全框架设计、系统权限安全设计、系统数据安全设计等方面探究了企业现阶段ERP系统安全的应用现状。
[关键词] ERP ;SAP;安全策略;权限设计
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2016. 05. 030
[中图分类号] F270.7 [文献标识码] A [文章编号] 1673 - 0194(2016)05- 0057- 01
为保障ERP系统的稳定安全运行,给企业关键用户一个安全的数据交换平台,我们必须采取有力的措施来保证安全。
1 ERP的定义和企业环境
(1) 什么是ERP?ERP是企业资源计划的英文缩写,系统主要包括:生产计划、物料需求计划、能力计划、采购计划、销售执行计划、利润计划、财务预算和人力资源计划等,而且这些计划功能与价值控制功能已完全集成到整个供应链系统中。
(2)ERP可应用的企业环境。以中石化为例,作为一个大型国有企业,拥有众多分公司,对于集团来说需要及时掌握各个分公司的经营情况。如何将分布在各子公司的生产经营数据有效地采集、过滤、加工、分析,如何在企业中建立起一个合理高效的信息流,使它们在企业运营中充分发挥积极作用,是增强企业竞争力的关键。
2 ERP的安全框架设计
2.1 技术体系之网络相关安全技术
(1)防病毒技术。依照总部要求,统一部署防病毒系统管理系统(控制台),用于内部的防病毒软件的分发、管理、配置、安装和升级管理,总部收集企业内的病毒报警事件。
(2)VPN技术。VPN有很多的加密手段,这都可以根据企业需求进行选择。目前国际上比较流行的VPN加密协议主要有IPSEC、MPLS、SSL等。①IPSEC协议:IPSEC是一种由IETF设计的端到端的确保基于IP通信的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。它是目前最流行的VPN加密方式。②MPLS协议:MPLS协议正如上文所说主要由电信提供,一般企业自己搭建MPLS协议开销比较大,很难承担。MPLS VPN的安全性是相当高的,而企业自身的维护难度是非常低的。③SSL协议:SSL协议是目前网络中常见的一种加密协议,例如通过SSL连接远程桌面,通过建立SSL网站提高页面访问的安全性等。所以我们也可以把SSL协议应用到VPN上。SSL VPN也是比较新颖的技术,同样安全性很高。
(3)ERP服务器安全防护技术。实施ERP企业都有各自独立的局域网,网络中都有自己的核心交换机。多数企业配置了独立的ERP生产服务器。运行UNIX操作系统、ORACLE数据库和SAP系统。服务器通常采用千兆连接,连接介质为光纤或双绞线,接入服务器区交换机存在二层和三层配置。
2.2 管理体系之ERP系统应用权限安全设计
现在以九江分公司在实施ERP时做的权限分配为例具体阐述上述机制。建立一个角色到其成为关键用户分为以下几步。
(1)根据客户需求及其实际工作情况要求,提交事务代码。事务代码是最终关键用户操作的最根本元素,从一般意义而言,可以把这些事务代码看成是应用软件系统中的菜单栏下的具体工具菜单。而事务代码都是根据具体的流程以及关键用户操作时工作需求制定的。
(2)事务代码提交后,建立通用角色。所谓通用角色即给予某一特定职位的权限参数文件的组合。从技术上讲,可以将通用角色看作是多个简单角色的集合,它包含了某一集团用户共用的事务代码,建立通用角色的目的在于为以后建立本地角色提供事务代码的共同载体。
(3)通用角色的测试过程。完成通用角色的设定后,需要权限设置人员对所设定内容进行测试,其中在测试内容时将用户和各个通用角色以一一映射的方式进行操作,进入一个通用角色然后检查其中的事务代码能否在测试环境中打开。
(4)通用角色测试通过之后,就可以开始建立本地角色。本地角色其实区分使用同一通用角色下的最终用户的不同权限,也就是A和B都具有使用某一订单的事务代码,但工作要求只能由A创建,而B仅能查看而无权创建,这就需要对该事务代码下的某一权限对象进行不同的赋值来加以区分。此时,当设定了本地角色时,同时就规范了使用者的责任设计位置。
3 ERP数据安全设计
ERP 系统上线之初即按照数据重要程度、数据处理方式对不同的备份对象进行分类,对不同类别的备份对象制定了不同的备份策略。
备份策略包括:备份对象、数据重要程度、备份要求、备份方法、备份频率、保存时限等,并根据备份策略制订备份与恢复操作规程。
(1)备份检查及问题处理。备份内容要包括备份管理软件的配置、DB和LOG。通过DB13检查归档日志及数据库备份作业的日志,检查是否有严重警告信息及备份成功与否。至少每周要定义两次在线数据备份,每天定义两次归档日志的备份,确认是否正常执行备份、对备份失败问题应及时处理。
(2)系统停机备份及恢复。登录数据库服务器生成控制文件备份,利用命令生成类似检查文件内容:more pxy_ora_1798400.trc文件,并将这个文件拷贝到目录下备用。利用命名行将数据库数据、用户信息文件利用外接磁带机备份进入磁带中,进而对备份介质进行异地存储,以备不时之需。
依照相关管理制度每年进行一次统一数据恢复工作并做记录。
(3)数据库监控管理。对SAP系统服务器主要指标、软件运行(SAP及数据库进程、HA或Cluster运行情况或日志)及系统错误日志进行监控和分析。对发现的问题应及时处理或上报,做好监控、发现的问题及相应处理的记录。
4 结 语
ERP系统作为石化企业以财务核算为核心的、全链条式管理系统,承载的核心数据可想而知。因此,在设计、实施之初ERP已将安全性策略纳入检查和限制范围中,从网络技术安全部署、服务器安全部署、应用安全设计等诸多方面进行控制。
