企业ERP系统风险与防范.docVIP

企业ERP系统的风险与防范 　　[摘要]ERP(EnterpriseResource Planning，企业资源计划)系统是现代管理思想和计算机技术的结合体，涵盖了应用企业最关键和最敏感的信息资源，如企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。因此，随着ERP的日益普及和应用，ERP系统的风险与防范问题也凸显出来，成为企业应高度关注的焦点和亟待解决的首要问题。企业ERP系统的风险来自物理环境、系统硬件、系统软件、应用软件、外来侵入、内部管理等方面，本文对此进行了分析，并从管理和技术两个层面提出了防范的办法。 　　[关键词]ERP系统；风险：防范 　　[中图分类号]F270.7　[文献标识码]A　[文章编号]1006-5024(2009)01-0095-03 　　[作者简介]胡衍庆，江西经济管理干部学院副教授，研究方向为管理信息系统。(江西南昌330088) 　　 　　一、物理环境的风险及防范 　　 　　ERP系统的物理环境风险是指系统的外部环境所造成的风险，包括意外事故和自然灾害两方面。物理环境所造成的风险对ERP系统而言，轻则直接造成业务交易的中断，给企业带来不可估量的损失，重则给ERP系统带来毁灭性的打击。 　　意外事故产生的风险应是可避免的，如可通过安装机房环境的报警系统、采用自动切换的备份电源，以避免外界突然断电造成的交易中断，使用空调保证机房的温度和湿度，对机房进行电磁屏蔽，从制度上规范系统操作人员的行为，坚决制止其在操作空间的玩笑和打闹行为。 　　自然灾害造成的风险虽无法避免，但利用远程(异地)备份数据和恢复机制，则可将损失降至最低。因此，为抵御ERP系统的灭顶之灾，投入一些成本，建立远程(异地)备份数据和恢复机制，是非常必要的。 　　由于物理环境的安全是ERP系统安全的前提，因此，健全安全管理制度，做好备份，加强设备和机房的管理，是不容忽视的。 　　 　　二、系统硬件的风险及防范 　　 　　系统硬件处于ERP系统的底层，其风险主要来自构成系统设备存在的安全缺陷和硬件的质量。一般质量问题容易引起人们的重视，质量不好的设备谁也不会买，但硬件自身存在的安全缺陷往往??易被忽视，这类风险的隐蔽性较强，但产生的损失却是很大的。到目前为止，对我国许多企业而言，系统硬件最大的缺陷是其制造的核心技术。众所周知，构成我国信息基础设施的网络、硬件等产品几乎都是建立在以美国为首的少数几个发达国家的核心信息技术之上，由此而产生的风险以及潜在的风险是不言而喻的。 　　系统硬件风险的防范应从宏观和微观两方面进行： 　　在宏观上，国家应组织力量对关键的硬件制造技术进行攻关，利用好国内外资源，以创新的思想超越固有的约束，研制出具有中国特色的关键芯片，从根本上杜绝系统硬件产生的风险。 　　在微观上，要树立系统硬件的风险意识，知道风险的存在，同时，应该了解系统中哪些是存在风险的关键设备。一旦风险产生，应有规避风险的措施和办法，如监控系统的出入口上的数据流量一旦出现异常，就应该立刻切断系统的出人口或关闭设备。 　　 　　三、系统软件的风险及防范 　　 　　系统软件主要是指计算机操作系统软件和数据库管理系统软件，其风险主要来自这两个软件的安全漏洞。 　　操作系统软件处于硬件和上层应用的中间环节，可以提供对网络系统、数据库、应用软件、用户的认证管理等，提供全方位的保护。没有操作系统的保护，就不可能有网络系统的安全，也不可能有应用软件信息处理的安全。由于操作系统是唯一紧靠硬件的基本软件，其安全职能是其他软件安全职能的根基，缺乏这个安全的根基，构筑在其上的应用系统以及安全系统的安全性是得不到根本保障的，因此，操作系统也与系统硬件一样是ERP系统的安全基础之一。 　　数据库作为信息的聚集体，是ERP系统的核心部件，从中可以寻找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息，风险防范至关重要。 　　由于数据库的安全在很大程度上依赖于数据库管理系统，而数据库管理系统在操作系统下都是以文件形式进行管理的，因此，入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用操作系统工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户是难以察觉的。 　　长期以来，我们在构建ERP系统时，尽管在规划阶段也会考虑安全问题，但基本上不考虑操作系统和数据库管理系统的安全，对其只是进行性能上的选择，这使得ERP的信息安全体系在基础上就先天不足。 　　对系统软件产生的风险，可从以下方面进行防范： 　　第一，仍需国家组织力量攻关，从操作系统的内核编程技术人手，以密码技术为核心，构建具有中国特色的、拥