消除 企业信息 安全的盲区 重视 ERP 权限管理.PDFVIP

消除企业信息息安全的的盲区 ——重视ERP 权限限管理 一. 当前前企业在EERP 系统安安全管理所面面临的问题题 随着ERRP 系统逐渐被被采用，企业业运营信息的的加工和传递递效率确实被被极大提高了了。但是，任何何事物都 有两面性性，在这种情情况下，如果果授权不当，企业运营信信息的风险也会大大提高。这种风险主主要来自 两个方面面，一是让更更多原本没有有必要了解企企业敏感信息息的员工可随时掌握这些信信息，大大增增加了泄 密的可能能性;二是让原原本没有必要要操作或加工工这些信息的的员工拥有了了这些权力，导致内部舞弊弊行为发 生，增加加了信息化安安全管控的难难度。这无疑对对如何确保ERP 系统安安全以保护企业信息资产提提出了更 高的要求求。 尽管企业业在近几年提提高了对ERP 权限管理的的预算，但是是ERP 权限限管理仍旧是一个复杂、长长期和需 要持续改改进的工作。ERP 系统覆覆盖了企业业业务诸多需求求，ERP 本身设计就是提供解决多种业业务问题 的灵活方方案，但是 EERP 系统很很少关注权限配配置中存在的的潜在安全风风险和问题。ERP 系统部部署和实 施也很少少关注安全因因素，相关的的培训在实施期间也很少。。因为ERP 项目的主要目的是在预定定时间和 预算范围围内实现功能能应用, 在项项目实施中顾问和业务部门门用户的权限限都是被放大大的；而ERP 上线之 后，企业业往往忽视了了将权限及时时规整收回，造成问题的的原因不仅是缺乏专业的管理工具，更更多的原 因是安全全配置问题已已经是积重难难返了。 SAP 公司司于2007 年年对国内某家家石油化工公公司下属的二二级公司的一一次系统权限全面检查中发发现，仅 仅36 个个用户就存在5,597 个违规规，其中2,6642 条违规属属于高风险，主要分布在在采购、财务和和销售环 节。 在 2008 年实施施的一个ERRP 权限项目目中了解到，该企业由于于权限管理纰漏，发生了库库存管理 人员利用用同时具备修修改移动类别别和执行出库库的两个具有有职责分离冲突的权限，先将正品改为为废品移 到无人注注意的废品库库，而后将货货物出库专卖卖造成企业资产累计损失达达1,200 万元元人民币。 ERP 系统统提供了更高高质量和可用用的财务信息息的同时，也也增加了由于于权限分配过过大 (例如没有有把多个 权限进行行职责分离处处理或者没有有限制其敏感感交易的权限) 造成内部舞舞弊的风险和和敏感信息(例例如查看 所有员工工的工资信息息)的入侵。这这样的用户从职责分离角度度看都是可以以在ERP 系统内执行多个个交易， 利用某一一个交易创建建虚假的记录录，而使用另另外一笔交易隐藏其舞弊行行为。SAP GRC 访问控控制系统 中的权限限控制有职责责分离（Segregation of DDuty, SoD）控制和敏感感权限（关键操作）控制两两部分组 成。职责责分离（SODD）是美国军军方所设计的的安全控制手手段，其旨在在避免两个相互冲突的职责责被同一 个人拥有有，从而产生生舞弊的可能能性，给企业业带来潜在的威胁。 二. 导致致忽视ERPP 系统安全全管理的原因 近年来，尽管在政府府和上市监管管部门的要求求下，企业信信息系统的安全管理和控制制方面在企业业内部逐 第 1 页 渐得到重重视，但不幸幸的是，很多企业并没有充充分准备解决决ERP 安全全管理的问题题，导致这种情情况发生 有多种原原因： • ERP 系统的的复杂性是造造成安全管理理薄弱的一个个原因。 ERP 系统必必须能够提供了大量的商业业交易，能够够实施一套复复杂的细颗粒粒度的用户访访问安全 机机制。在SAAP ERP 采用用了上百个授授权对象管理理系统中不同同操作的访问权限。一个中中小企业 常用的交易大大致是100 个个，每个交易易通常需要至少两个授权对对象。如果企企业有200 个个SAP 用 户户拥有20 个个不同角色和和职责，那么么在ERP 系统统里就会产生生800,000 种种安全配置的的情况 (100X2X20XX200) 。这个个示例还不包包括其他更复复杂的情况，比如多个交易易共用同一个个授权对 象象，一个授权权对象有多达达10 个字段段可分配不同的数值，还有有使用基于