如何保证ERP系统的数据安全？

因此，ERP系统使用不当，就可能造成数据的泄露和丢失。笔者已经接到不少客户的电话，询问ERP数据 安全问题。为此，笔者专门做了一个总结，希望能给大家带来帮助。 一、 来自网络层面的威胁。 从网络层面来说，ERP数据安全所遭受到的威胁主要来自于两个方面。一是外部访问授权不够规范;二是在内部网络上可能存在窃听。 1、 外部访问授权不够规范。 ERP为了扩大使用领域，满足不断出差员工的需要，逐渐的向B/S模式发展。而这个模式最大的优点，就是可以很方便的提供外部的访问。即员工出差在外，也可以通过浏览器很方便的访问到内部的ERP系统。这虽然给我们的工作带了很大的便利，拓展了ERP系统的使用空间。但是，勿庸质疑，也给我们系统带来了很大的安全威胁。 一是在企业外部使用系统，受不到有效的管理。如采购员出差在外，若稍有一点私心，就可以跟供应商勾结，把公司近期的采购计划、其他供应商的价格等等，都可以通过外部访问ERP系统的形式，告诉给供应商，使得企业丧失采购的主动权。由于出差在外的员工使用系统受不到有效管理，所以类似的情况时有发生。所以，对于外部访问，我们一方面要严格管理外部访问的人数，哪些人具有外部访问的权限，我们还要有严格的限制;另一方面，远程访问的用户最好能够单独管理，特别是其密码要不断的变更，以防止不小心把用户名与密码泄露给其他公司的人员。也就是说，在员工电脑上，挂着一个密码生成器，这个是与ERP服务器同步的，一般在十分种左右，服务器就会重新生成一个用户名与密码，然后在员工的密码生成器上，也会同时生成用户名与密码。因为两者生成的规则是一样的，所以，员工可以用密码生成器上的用户名与密码登陆ERP系统。这样就可以解决在外面使用ERP系统的密码泄露问题。 二是在特定的情况下，或许会给客户一些远程访问的权限，若这个权限设置不当的话，则很可能把一些客户不能访问的信息也提供给他们/。现在随着信息化管理在企业中的地位不断加强，有些客户会主动要求他们的供应商使用ERP系统，并提供网络访问的接口，让他们可以通过网络实时的了解他们定单的进展。如此企业不得不给他们提供ERP用户，让他们进行远程的访问。但是，这里就存在一个安全的威胁，若我们权限设置不当 的话，客户就可以访问到企业一些机密信息，如产品成本等等。所以，如在客户的强烈要求下，要提供他们ERP系统的远程访问权限时，我们一定要注意，权限的设置问题。不能够让他们访问一些不该访问的数据。我的建议是，遇到这种情况时，要对这个用户访问的数据进行监测，看看其访问了哪些数据，有没有存在非法访问的情形。若有的话，要及时进行调整。现在很多ERP系统都已经有了针对用户的访问记录功能。利用这个功能，可以有效的管理用户的访问权限。 2、 内部网络上可能存在窃听。 从网络层面上考虑，除了这个外部访问管理不当存在数据泄露的危险外，还有一个很大的安全漏洞就是网络窃听的问题。现在大部分的ERP系统，其服务器端与客户端数据的传输，都是通过明文传输的。用户只需要在网络上安装一个监听软件，就可以全面的了解用户访问的内容，跳过客户端的权限设置，从而达到网络数据窃听的目的。 虽然网络窃听可能在技术上要求比较高，但是，现在随着黑客工具在网络上的泛滥，所以，要完成这项窃听的工作，难度也不是很大。我相信，只需要对随便一个员工进行半个小时的培训，其就可以掌握这门手艺，从而完成对ERP数据窃听的工作。 所以，与其到数据泄露了，再来追查责任，还不如在刚开始的时候，就防范与未然，解决数据泄露的漏洞。 为了解决数据在网络传输过程中的窃听问题，最好的方法，就是要求在ERP数据在传输过程中，是加密过的，是通过密文传输，而不是明文传输。如此，员工及时窃听到数据，也是乱码，没有多少的实际价值。 所以，我们若有这方面的担心，则最好在ERP系统选择的时候，就要有这方面的考虑。要求ERP供应商提供的系统，在数据访问的是时候，在网络上传输是加密过的数据，而不是简单的明文传输。这个技术，现在已经比较成熟。只是以前很多ERP供应商没有注意到这个问题，所以，没有把这个技术跟ERP系统结合起来。故，我们若是要选择ERP数据在网络传输过程中，实现加密技术，那我们ERP系统的选择范围余地可能会小许多。 但是，若企业现在已经在使用ERP系统了，而现在用的这套系统，不提供网络数据传输的加密功能。那我们又该如何来保障数据在网络传输过程中的安全问题呢我们可以利用专门的加密技术，实现在网络传输过程中，数据的加密功能。如微软提供了一种IP安全策略。利用这种技术，可以实现客户端与服务器之间的密文传输。当然除了微软的IP安全策略以外，还有其他的一些网络传输加密方法，用户可以根据自己的需要，进行选择使用。 二、 来自ERP系统的威胁。 如果ERP系统本身管理不当，也会存在数据泄露的危险。从ERP系统的角度出发，主要的安全威胁就是权限配置不当所造成的。 一是价格权限配置不当。我记得我以前使用的神州数码的易飞ERP系统，有专门的价格管理权限。可以在用户或者表的级别上，设置价格是否可以更改及是否可以查询。我们可以把一些不需要访问到价格的用户，在用户级别上设置为价格不可见。就可以一劳永逸的解决问题。但是，有些ERP系统没有提供类似的功能，他们只能够一张张表去设定价格的访问权限。难免会有漏网之鱼，可能只设置了在窗口中不能访问价格，但是，他们在导出报表时，可能就有价格了，等等。而且，价格对于企业来说，基本上都是敏感数据。所以，我们在EPR中设置权限时，要从价格开始。 二是报表方面导出设置不当。报表上面汇集了很多重要的信息，而且，报表可以随便导出来的话，则信息将会无隐私。所以，在报表的导出权限上，我们要进行特殊的限制。不能让每个用户都可以随便的导出报表。一般可以让用户只能够查看报表，而无法导出报表，这是原则。如果用户真的有导出报表的需求，那就要申请。特别是对一些敏感数据的报表，如客户信息、产品价格等等，一般都可以把报表导出功能屏蔽掉。只有当需要的时候，再由管理员导出。 三是用户名密码设置过于简单。我见过一些用户，他们密码设置太过与简单，这导致其他用户很方便就可以猜到密码。这直接的结果就是，其他用户若自己没有权限，则可以利用有权限的用户进行系统访问。因为由于密码简单，他们知道其他用户的访问密码。如我有一家客户，在设置用户名与密码的时候，用户名就是他们的员工编号，而密码呢，都是统一的，如123456。如此的用户名与密码，即使权限设置的再完美，也是没有用的。用户可以轻而易举的获得别人的用户名与密码，如此，在自己没有权限的情况下，他们有可以利用其他有权限的用户，进行系统登陆与访问。如此的话，权限设置不等于形同虚设吗所以，在用户名与密码设置的时候，一定要科学。用户名可以根据他们的员工编号编写，但是，密码设置的时候，一定要复杂一点，不能让人猜得透;并且，最好采用密码定期修改策略，让用户定期的修改密码，防止密码泄露。文章出处

所谓ERP是英文EnterpriseResourcePlanning(企业资源计划)的简写。

是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。ERP系统集中信息技术与先进的管理思想於一身，成为现代企业的运行模式，反映时代对企业合理调配资源，最大化地创造社会财富的要求，成为企业在信息时代生存、发展的基石。

GartnerGroup提出ERP具备的功能标准应包括四个方面:

1超越MRPⅡ范围的集成功能

包括质量管理;试验室管理;流程作业管理;配方管理;产品数据管理;维护管理;管制报告和仓库管理。

2支持混合方式的制造环境

包括既可支持离散又可支持流程的制造环境;按照面向对象的业务模型组合业务过程的能力和国际范围内的应用。

3支持能动的监控能力,提高业务绩效

包括在整个企业内采用控制和工程方法;模拟功能;决策支持和用于生产及分析的图形能力。

4支持开放的客户机/服务器计算环境

包括客户机/服务器体系结构;图形用户界面(GUI);计算机辅助设计工程(CASE),面向对象技术;使用SQL对关系数据库查询;内部集成

的工程系统、商业系统、数据采集和外部集成(EDI)。

ERP是对MRPⅡ的超越,从本质上看,ERP仍然是以MRPⅡ为核心,但在功能和技术上却超越了传统的MRPⅡ,它是以顾客驱动的、基于时

间的、面向整个供应链管理的企业资源计划。

进一步地，我们可以从管理思想、软件产品、管理系统三个层次给出它的定义：

1．是由美国著名的计算机技术咨询和评估集团GarterGroupInc提出的一整套企业管理系统体系标准，其实质是在MRPII（ResourcesPlanning,“制造资源计划”）基础上进一步发展而成的面向供应链（SupplyChain）的管理思想；

2．是综合应用了客户机/服务器体系、关系数据库结构、面向对象技术、图形用户界面、第四代语言（4GL）、网络通讯等信息产业成果，以ERP管理思想为灵魂的软件产品；

3．是整合了企业管理理念、业务流程、基础数据、人力物力、计算机硬件和软件于一体的企业资源管理系统。

它是从MRP(物料资源计划)发展而来的新一代集成化管理信息系统，它扩展了MRP的功能，其核心思想是供应链管理，它跳出了传统企业边界，从供应链范围去优化企业的资源，是基于网络经济时代的新一代信息系统。它对于改善企业业务流程、提高企业核心竞争力的作用是显而易见的。ERP是在20世纪80年代初开始出现的。从90年代开始，以SAP、Oracle为代表的国际著名ERP产品进入中国，并迅速扩展。接着，国内也相继出现了一些早期ERP产品，例如开思ERP、利玛ERP、和佳ERP及博科ERP等。

ERP系统的特点及核心内容包括有：

企业内部管理所需的业务应用系统，主要是指财务、物流、人力资源等核心模块。

物流管理系统采用了制造业的MRP管理思想；FMIS有效地实现了预算管理、业务评估、管理会计、ABC成本归集方法等现代基本财务管理方法；人力资源管理系统在组织机构设计、岗位管理、薪酬体系以及人力资源开发等方面同样集成了先进的理念。

ERP系统是一个在全公司范围内应用的、高度集成的系统。数据在各业务系统之间高度共享，所有源数据只需在某一个系统中输入一次，保证了数据的一致性。

对公司内部业务流程和管理过程进行了优化，主要的业务流程实现了自动化。

采用了计算机最新的主流技术和体系结构：B/S、INTERNET体系结构，WINDOWS界面。在能通信的地方都可以方便地接入到系统中来。

集成性、先进性、统一性、完整性、开放性。

具体来讲，ERP与企业资源的关系、ERP的作用以及与信息技术的发展的关系等可以表述如下：

1企业资源与ERP

厂房、生产线、加工设备、检测设备、运输工具等都是企业的硬件资源，人力、管理、信誉、融资能力、组织结构、员工的劳动热情等就是企业的软件资源。企业运行发展中，这些资源相互作用，形成企业进行生产活动、完成客户订单、创造社会财富、实现企业价值的基础，反映企业在竞争发展中的地位。

ERP系统的管理对象便是上述各种资源及生产要素，通过ERP的使用，使企业的生产过程能及时、高质地完成客户的订单，最大程度地发挥这些资源的作用，并根据客户订单及生产状况做出调整资源的决策。

2调整运用企业资源

企业发展的重要标志便是合理调整和运用上述的资源，在没有ERP这样的现代化管理工具时，企业资源状况及调整方向不清楚，要做调整安排是相当困难的，调整过程会相当漫长，企业的组织结构只能是金字塔形的，部门间的协作交流相对较弱，资源的运行难於比较把握，并做出调整。信息技术的发展，特别是针对企业资源进行管理而设计的ERP系统正是针对这些问题设计的，成功推行的结果必使企业能更好地运用资源。

3信息技术对资源管理作用的阶段发展过程

计算机技术特别是数据库技术的发展为企业建立管理信息系统，甚至对改变管理思想起著不可估量的作用，管理思想的发展与信息技术的发展是互成因果的环路。而实践证明信息技术已在企业的管理层面扮演越来越重要的角色。

信息技术最初在管理上的运用，也是十分简单的，主要是记录一些数据，方便查询和汇总，而现在发展到建立在全球Internet基础上的跨国家,跨企业的运行体系，初略可分作如下阶段:

AMIS系统阶段(ManagementInformationSystem)

企业的信息管理系统主要是记录大量原始数据、支持查询、汇总等方面的工作。

BMRP阶段(MaterialRequirePlanning)

企业的信息管理系统对产品构成进行管理，借助计算机的运算能力及系统对客户订单、在库物料、产品构成的管理能力，实现依据客户订单，按照产品结构清单展开并计算物料需求计划。实现减少库存，优化库存的管理目标。

CMRPⅡ阶段(ManufactureResourcePlanning)

在MRP管理系统的基础上,系统增加了对企业生产中心、加工工时、生产能力等方面的管理，以实现计算机进行生产排程的功能，同时也将财务的功能囊括进来，在企业中形成以计算机为核心的闭环管理系统，这种管理系统已能动态监察到产、供、销的全部生产过程。

DERP阶段(EnterpriseResourcePlanning)

进入ERP阶段后，以计算机为核心的企业级的管理系统更为成熟，系统增加了包括财务预测、生产能力、调整资源调度等方面的功能。配合企业实现JIT管理全面、质量管理和生产资源调度管理及辅助决策的功能。成为企业进行生产管理及决策的平台工具。

E电子商务时代的ERP

Internet技术的成熟为企业信息管理系统增加与客户或供应商实现信息共享和直接的数据交换的能力，从而强化了企业间的联系，形成共同发展的生存链，体现企业为达到生存竞争的供应链管理思想。ERP系统相应实现这方面的功能，使决策者及业务部门实现跨企业的联合作战。

由此可见，ERP的应用的确可以有效地促进现有企业管理的现代化、科学化，适应竞争日益激烈的市场要求，它的导入，已经成为大势所趋。

F:无产阶级时代的ERP

将整个国家纳入统筹的ERP，将形成一门新的社会主义计划经济学。

如果是做ERP服务器的话，推荐用双路四核的，这样比较有扩展性

如果以后客户端数量增加了或者数据库文件越跑越大，对性能要求增加，双路服务器的扩展性优势就出来了

你可以看看国产品牌正睿的这款最新SNB-E架构的双路四核服务器

标配一颗至强E5-2609四核处理器(2

4GHz/6

4GT/10M缓存)，英特尔C602服务器芯片组主板，8GDDR3REGECC1333MHz内存，SATA3500G大容量服务器硬盘，双千兆网卡，性能可以说是非常不错

如果以后随着业务量的增长，觉得性能不够用了，还可以扩展到两颗处理器，达成8颗处理核心，最大支持256GBDDR3REGECC高速容错校验内存

产品型号：I2TS2-4638产品类型：双路四核塔式服务器处理器：XeonE5-2609内存：8GDDR3REGECC硬盘：SATA3500G机构：塔式