作为企业核心数据资产的ERP系统数据,一般存储于各种主机、数据库之中。而服务器、数据库对于一个特殊人群—IT人员来讲,可以说是大门洞开,基本没有任何安全防范。正是面对以上安全隐患,泰然神州提出了一种对数据库、服务器等的安全管控解决方案。
现状
ERP数据是企业核心的信息资产,数据的丢失、泄露会为企业的业务带来巨大损失。对于掌握公民信息的企业,信息的泄露甚至要承担一定的法律责任。对于公众型企业,数据安全事件会严重影响企业形象。
世界权威的调查报告显示内部IT人员正在成为企业数据威胁的第一要素。在对400位IT人员的调查后,其中大多数人来自于大型企业。报告显示,在受访者中,67%的人承认,他们访问与工作内容不相关的机密信息。在谈到,公司内部哪个部门最容易去窥探时,54%的人表示是IT部门,由于该部门有着公司内部多计算机系统给的权利与责任。
根据调查显示,除了出于好奇的内部窥探,一些机密数据也可能泄漏给竞争对手。在接受调查的高级IT人士中,35%的人认为,高度敏感的机密信息会被转移到企业的竞争对手手中。除此以外,37%的人认为,突破口是心怀不满的前雇员,其次28%的人认为是人为操作失误。在该名单上,外部突破和黑客入侵只占到10%的比例。
IT人员是系统的“特殊”使用团队,一般具有系统的高级权限,对IT人员的安全管控及行为审计日渐成为数据安全的的必备部分,尤其是目前很多企业为了降低IT成本,采用外包的方式,由企业外部人员管理网络及服务器设备,由外部维护人员产生的信息安全泄露已经逐渐呈上升的趋势。
IT运维人员一般通过远程方式进行IT管理,如命令行方式(Telnet、SSH)和图形化方式(RDP、VNC)对数据中心的服务器进行管理,这些方式虽然方便、灵活,但接入点多,存在重大安全隐患,并难于进行安全管控。
需求分析
ERP数据安全控制的需求
对于高度敏感的ERP数据进行安全管控,防止未经过授权的人访问、操作ERP数据;对授权人员的访问行为进行细粒度授权,如拷贝、删除、打印等行为;对敏感行为进行授权、报警、阻断等,如大批量查询、删除等;
可审计的需求
对所有的数据操作行为可回溯、可审计;
法规遵循的需求
对于准备进行资本运作的企业特别是海外上市的中国企业,首先需要遵循的是塞班斯法案。其下属企业单位也必须投资相关技术,为企业整体法规遵从提供技术实现的保障。塞班斯法案要求在美国的上市公司涉及产生财务交易的所有作业流程都必须做到透明可见,并且这些流程必须详细记录到能够追查交易源头的程度。由于IT系统和财务报告的紧密关联性,因此需要加强对IT控制以达到SOX法案的合规要求。此外SOX法案第404条款还要求,企业必须建立一个基础设施以确保所有的记录和数据不会被毁坏、丢失、未经授权的变更和错误的使用。所以,SOX法案在合规方面要求企业必须对信息系统的活动进行记录,同时对所有信息系统的日志进行有效地管理以实现内部控制的目的。
随着“中国版萨班斯法案”——《企业内部控制基本规范》的问世和09年率先在国内上市公司的施行,国内的企业和组织也面临着加强对内部进行监控,提供审计人员相关审核依据的要求。其中第一章第五条明确指出要对信息技术进行控制,以确保财务数据的真实性;第四章第五十三条也提出“企业应当完整收集、妥善保存控制措施实施过程中的相关记录或者资料,确保控制措施实施过程的可验证性”。
ERP数据安全特征分析
厂商或第三方服务商代维
由于ERP系统具有专业性、复杂性等特点,一般企业用户均将系统的运维和服务交由ERP厂商或者专业服务商负责。外部的运维人员在对系统进行维护的过程中,基本没有任何的安全措施防范数据泄漏问题。对出现的运维事故或者泄密事件,无法定位清楚事故责任和泄密主体。
结构化数据类型
ERP数据一般为存储在数据库中的结构化数据,数据容易辨析和采用技术手段获取,极易造成批量数据的泄露。因此对数据库的安全防护至关重要,而ERP系统的数据库由于各种原因成为最薄弱的安全环节,如弱口令、同账号甚至使用初始口令的问题。
解决方案
ERP系统涵盖了应用企业最关键和最敏感的信息资源,从中可以找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。正因如此,凸显出建立信息安全管理机制、保护ERP的安全迫在眉睫。然而目前很多企业在ERP项目建设的时候,没有建立数据安全机制,忽略ERP系统信息安全的问题。无论是ERP系统的产品供应商,还是实施服务商、第三方咨询机构,都对ERP系统功能过多关注,而对ERP信息安全问题轻描淡写,甚至视而不见。 泰然神州针对ERP数据安全最为薄弱的运维安全环节,基于“身份可识别,访问经授权,过程可控制,事后可审计”的设计思路,推出了Zendeep(神电)ERP数据运维安全管理解决方案,彻底消除ERP数据泄露的重大安全隐患。
Zendeep(神电)运维安全管理系统就像是ERP系统和管理维护人员之间的一个“操控平台”,IT人员只能通过该平台对ERP系统包括数据库、主机进行操作,是统一的操作维护入口。
身份认证
平台具有身份认证系统,保证只有经过授权的内部或第三方运维人员登录系统;
访问授权
同时平台具有授权功能,对什么人在什么时间、通过什么网络、访问什么系统都可以做细粒度的安全控制;
事中控制
它可以对敏感行为进行事中控制,如对数据库导出、复制、删除等行为进行阻断。
事后审计
系统具有非常强大的审计功能,就像一台“操作录像机”,可以实时地、完整地记录用户的操作,并提供方便灵活的操作回放或查询检索的手段。可以对基于Telnet、FTP、SSH、RDP、VNC等协议的访问操作进行过程的抓取,从而可以录像方式对所有运维人员的所有操作进行记录,并具备强大的搜索功能,可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取——从而达到真正意义上的审计与风险控制。
方案特点
统一操控平台,安全状况尽在掌握
出入口的统一有利于操作审计工作的进行,通过最简单有效的集中化管理、帐号及密码的统一管理、访问权限策略的集中配置、操作命令防火墙策略的集中配置及用户操作行为的集中审计,为统一审计提供根本保障,使企业IT运维的安全状况尽在掌握中。
数据不落地,安全更有保障
数据全部于操控平台端运行,不传输到操作人员本地电脑。
审计第三方人员
随着将越来越多的将非核心业务外包给ERP厂商或者其他专业代维公司,如参与系统建设的各IT服务厂商,公司的固定合作伙伴,在适当的环境和因素下,都有可能有意或无意接触到企业内部敏感数据,发生安全事件,造成安全事故。本系统可以有效地监控设备厂商和代维人员的操作行为,并进行严格的审计。
统一管理平台,工作复杂度大幅度降低
运维审计管理平台作为企业运维的唯一操作入口,对操作进行集中管理,对身份、账号、访问、权限、审计进行控制,不需要调整网络、不需要更改交换机/路由器配置、不需要安装任何代理程序。使运维管理工作的复杂程度大幅度降低。普通操作用户只需一次登录平台,键入一次密码,随后对于相关设备的访问不再需要相应账户密码。如此,对于各类设备能在一个操作界面内完成工作,无需用户在各系统间切换,免去了多次输入用户名和口令的繁琐。
支持云计算模式
现在越来越多的ERP系统托管于云端,甚至直接使用SaaS模式的ERP系统。对于核心的ERP数据部署于云端,是否能保障数据的安全是企业关注的问题。通过Zendeep运维安全平台,能让运维服务商对工程师进行细粒度的授权和安全管控,企业也能通过该平台监控到并审计服务商的运维行为。
支持智能设备运维
Zendeep运维安全平台,支持IT运维人员通过智能设备如ipad的运维行为,极大的提升了运维人员的工作灵活性和效率。
方案价值
安全
通过Zendeep运维安全平台,构建4A(账号、验证、授权、审计)框架的ERP系统数据安全方案,防范重大安全隐患,做到“事前防范、事中控制、事后审计”。
合规
全面满足萨班斯法案和国内内控规范的要求。按照中国监管当局制定的实施时间表,境内外同时上市的公司需于2011年1月1日起首先实施配套指引,而实施范围会于2012年1月1日起扩大至在上海证券交易所和深圳证券交易所主板上市的公司。对于还未实施相关内部控制措施的企业而言,时间十分紧迫。采用泰然神州运维安全审计方案,能在较短时间内完成内控体系建设,通过加强IT内控,优化财务流程和财务应用系统等,满足监管机构和外部审计师的要求。
效率
通过运维安全平台系统的实施,可以统一管理IT资产设备、账号、运维工具,能够使运维管理工作的复杂程度大幅度降低,提升IT工作效率。
后记
随着ERP系统在国内企业的普遍应用,ERP的安全问题日益暴露出来,除了以上提到的安全重大隐患之外,还有物理安全、运行安全等系列安全问题。根本方法是要建立健全的ERP信息安全管理制度,建立全方位ERP数据安全防护管理体系,采用相应的策略与技术,通过制度和手段的结合,达到最佳的信息安全管理效果。
建立ERP安全评估机制
这是信息安全管理体系的第一步。利用安全评估模型,预见、发现系统中每一环节所产生的(或潜在的)风险条件,为ERP系统持续安全运行减少风险隐患。
建立ERP安全防护策略与制度
通过确定关键信息、岗位配置、工作人员的权限,明确企业ERP信息的使用范围和处理方式。保护计算机设备、设施,防止病毒、黑客等入侵、篡改和破坏,监督管理员、应用人员在安全管理制度和安全规范下严格执行安全操作和管理。
做好ERP安全防护技术的实施
主要是服务器安全控制、登录安全控制、数据库安全控制三大项的实施。这是对信息安全防护策略
度执行情况的监控手段,是维护信息安全管理体系的保障。
做好ERP安全防护效果分析总结与评估
通过对信息安全管理效果持续不断的分析和评估,可以不断发现新的安全漏洞和隐患,完善信息安全防护策略和制度。只要以科学严谨的态度对待信息安全问题,建立切实有效的ERP信息安全管理体系,就会将企业ERP系统安全风险降至最小,取得最佳实施效果。
上一个:企业O2O的核心难点-供应链管理