关于ERP系统运维中的安全管理.docx

关于ERP系统运维中的安全管理2014-04-21任焕萍随着信息化建设的快速发展，信息系统面临的安全威胁越来越多。对企业而言，以ERP为核心的信息化管理系统，在企业经营和发展中的作用越来越重要， ERP作为企业资源计划管理系统，涉及企业人、财、物、销、生产、成本和设备管理等诸多业务，企业的核心业务、流程和管控都要在ERP系统中处理完成，因此，ERP系统的安全性就尤为重要。那么，如何做好ERP系统的安全工作呢？其实，信息系统的安全与其他行业的安全方面有很多共通之处，安全管理的思路、体系、方法都是相同的，信息化安全管理要借鉴,借鉴传统行业的安全管理模式，学习其他行业、单位安全工作的经验，不断提升，才能做好ERP运维安全工作。通常安全事故隐患发生的原因，主要分为三类，包括：人的不安全行为，物的不安全状态，管理上的缺陷。针对这三类，预防安全隐患、做好安全工作需要从认识、技术和管理三方面为抓手，如果本质安全和防范措施无力或失效，事故的发生是必然的。信息化系统也不例外。因此，信息系统的安全要从源头抓，从安全认识和安全管理入手。具体主要从以下几个方面开展：一、增强安全意识要增强ERP运维人员安全意识，增加对运维工作的危机感。在ERP实施和运维中，对于系统环境有严格的分类管理要求,系统环境一般分为开发环境、测试环境、培训环境、生产环境，正式的运行系统就叫生产系统，信息化系统的安全就像煤炭生产的安全一样也很重要，ERP运维安全重点是生产系统的安全。生产系统的业务数据所有权属于企业，只有客户才能有权限访问生产系统。运维工作的安全红线是“决不能以操作业务为代价来做运维”，红线碰不得，事故出不得。现在一般企业都做了很多信息化系统，信息系统的安全问题日益凸显，信息系统的运维人员很多还不能很清晰地明确自身的角色定位，存在很多安全隐患。系统运维人员是技术支持者，不管有任何理由都不能有操作权限，也不能以客户的权限操作系统，更不能泄露客户数据和业务。要把握好尺度，严格规范和执行关于系统访问权限和数据安全保密的要求，明确哪些是运维人员能做的，哪些是不能做的，杜绝超越权限范畴越权访问。总之，要通过加强安全的培训、宣贯和督查，强化安全意识，在潜移默化中树立新的安全价值理念，把运维安全意识贯穿到每个人，贯穿到工作的每个环节，引导每个人从“要我安全”向“我要安全、我会安全”转变。二、加强安全体系化管理没有事故发生不等于足够安全。侥幸心理要不得，有个别人认为我做了多次违章操作，都没有发生事故，就不会发生，殊不知表面的风平浪静不等于真正的安全。更有一些人，当发生事故时，认为是一时疏忽，是偶然，却不知偶然中存在着必然。1941年美国的海因里希统计了55万件机械事故之后，得出一个重要数据结论，即当一个企业有300个隐患或违章，必然要发生29起轻伤或故障，在这29起轻伤事故或故障当中，有一起重伤、死亡或重大事故。对于不同的生产过程，不同类型的事故，上述比例关系不一定完全相同，但这个统计规律说明，在进行同一项活动中，无数个隐患或违章，必然导致意外故障的发生，而无数个意外故障，必然导致重大事故的发生。可见，及时做好防御工作才能保证信息安全。在ERP系统包括其他套装软件系统的安全方面，借鉴传统行业成熟的安全管理经验，实现安全管理的制度化、规范化、标准化、专业化，是预防和管控安全风险的关键。制度化是要建立管控体系，建立变更管理、需求管理、事件管理、问题处理的流程制度。规范化是要实现规范管理，我们在ERP运维中要形成三线支持运维体系，一线作为热线支持，解决基本问题，要求支持人员完全熟练掌握支持手册，能辨识问题类别,对于无法处理的问题和不能快速处理（比如5分钟内不能解决）的问题，要转给二线运维人员；二线责任是根据业务场景，定位问题，分析问题原因，直接解决问题，对于需要经过配置和开发等改变系统后才能解决的问题，要提交到三线支持；三线支持要按照项目管理的方法论和规范要求解决，特别是要经过严格的测试和发布流程，确保生产系统稳定运行。复杂的疑难问题、产品问题，提交产品厂商和专家解决。每一级需要规定内容范围、问题处理和级间交互衔接的规范化要求。标准化是指运维人员的日常操作，要有明确的操作动作标准，比如：不能同时打开系统的多个窗口，特殊情况下进入生产系统跟踪问题不能同时打开测试系统，离开座位时要关闭所有系统界面窗口，一人不能同时拥有多个单位的系统权限，顾问间权限不能互相提供，不能将密码泄露他人等。专业化是针对运维人员，要提升自身技术水平和业务能力，从专业化角度提供更高质量的服务。建立安全责任体系，按照制度制定者、管理者、执行者、检查者分类管理各类人员，各负其责，协调配合，做好安全管理和落实。按照操作隐患、权限隐患、数据隐患、系统隐患四类分类建立和管理隐患源，定期检查，排除安全隐患，设定隐患整改办法。制订