EPRt件系統(tǒng)使用的安全風(fēng)險(xiǎn)及防范企業(yè)信息化建設(shè)的腳步越來越快，伴隨著快節(jié)奏的信息化之路所產(chǎn)生的安全風(fēng)險(xiǎn)也越來越多。 沒有安全風(fēng)險(xiǎn)意識(shí)對(duì)ERP系統(tǒng)是極其危險(xiǎn)的， 風(fēng)險(xiǎn)發(fā)生所導(dǎo)致的后果一般不可逆的且沒辦法補(bǔ)救。只有提前做好風(fēng)險(xiǎn)防范才能有效抑制風(fēng)險(xiǎn)的發(fā)生，從而避免不必要的損失。 本文結(jié)合計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的最新發(fā)展分析了當(dāng)前ER瞰件系統(tǒng)使用中面臨的人為因素和客觀因素導(dǎo)致的風(fēng)險(xiǎn)，并提出了具體防范建議。希望本文的研究有助于企業(yè)加強(qiáng)ER啾件系統(tǒng)使用的安全性，從而幫助企業(yè)有效發(fā)揮使用 ERP次件系統(tǒng)的作用。一、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)及 ER啾件發(fā)展現(xiàn)狀ERPMEnterpriseResourcePlanning的縮寫（企業(yè)資源計(jì)劃），20世紀(jì)90年代隨著計(jì)算機(jī)技術(shù)發(fā)展以及在企業(yè)管理中的應(yīng)用而提出的概念，它是以計(jì)算機(jī)技術(shù)和管理科學(xué)為基礎(chǔ)而最新發(fā)展而來的。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展進(jìn)步，管理對(duì)數(shù)據(jù)準(zhǔn)確性及時(shí)性的要求不斷提高， ERP系統(tǒng)也在不斷發(fā)展整合，由最早的庫存管理，銷售管理發(fā)展到如今囊括財(cái)務(wù)管理、生產(chǎn)管理、庫存管理、客戶管理、供應(yīng)鏈管理、銷售管理、質(zhì)量管理等業(yè)務(wù)相關(guān)內(nèi)容的管理。當(dāng)前，隨著電子商務(wù)的發(fā)展，互聯(lián)網(wǎng)的發(fā)展，ERP的框架分化為C/S結(jié)構(gòu)（客戶端/服務(wù)器模式）和B/S（瀏覽器/服務(wù)器模式）結(jié)構(gòu)。管理模式的不同和框架的不同所面臨的風(fēng)險(xiǎn)也各有不同，防范方法也差異很大。本文從通用角度探討風(fēng)險(xiǎn)及防范方法，不針對(duì)個(gè)例去研究。二、人為因素導(dǎo)致ERP軟件系統(tǒng)的風(fēng)險(xiǎn)（一）手工錄入差錯(cuò)風(fēng)險(xiǎn)手工錄入原始數(shù)據(jù)的時(shí)候，沒有嚴(yán)格執(zhí)行審核機(jī)制，錄入錯(cuò)誤導(dǎo)致后面一系列的計(jì)算和分析都是建立的錯(cuò)誤的數(shù)據(jù)之上的。由于原始數(shù)據(jù)多是手寫，錄入員對(duì)數(shù)據(jù)的辨識(shí)存在主觀因。錄入過程中也是手工錄入，也存在重復(fù)錄入和遺漏內(nèi)容等主觀因素，這些都會(huì)導(dǎo)致錄入錯(cuò)誤。例如數(shù)字‘ 3’和‘ 8’的書寫不規(guī)范就容易混淆，還有日期格式的不同比如5.9.2013有的人認(rèn)為是 5月9日，有的人認(rèn)為是 9月5日，這樣就造成認(rèn)識(shí)上的誤差導(dǎo)致數(shù)據(jù)錄入錯(cuò)誤。（二）數(shù)據(jù)篡改風(fēng)險(xiǎn)出于某種目的，不按著正常軟件操作流程進(jìn)行數(shù)據(jù)更正，直接進(jìn)入原始表更改數(shù)據(jù)導(dǎo)致表之間的關(guān)聯(lián)關(guān)系失效。這樣導(dǎo)致整個(gè)ERP的數(shù)據(jù)計(jì)算和分析都是錯(cuò)誤的，更嚴(yán)重的有可能導(dǎo)致表格之間校驗(yàn)失敗整個(gè)數(shù)據(jù)庫無法使用。 目前ERP作為企業(yè)經(jīng)營分析的主要數(shù)據(jù)依據(jù)，一些管理者或使用者出于個(gè)人目的篡改原始數(shù)據(jù)又不想留下更改痕跡（正常數(shù)據(jù)更正程序都會(huì)記錄數(shù)據(jù)更改過程），以達(dá)到影響數(shù)據(jù)分析結(jié)果目。例如，某日用百貨公司向ERP系統(tǒng)供應(yīng)商反映客戶儲(chǔ)值卡無交易記錄，但余額變少的情況，系統(tǒng)供應(yīng)商在認(rèn)真核查所有ERP系統(tǒng)后發(fā)現(xiàn)無操作誤差，最后在核查數(shù)據(jù)庫事務(wù)日志的時(shí)候發(fā)現(xiàn)有人用系統(tǒng)管理員登錄數(shù)據(jù)庫直接修改儲(chǔ)值卡余額，最后根據(jù) IP鎖定某操作人員通過盜取數(shù)據(jù)庫管理員密碼篡改數(shù)據(jù)為自己謀利側(cè)行為。（三）病毒導(dǎo)致ERP系統(tǒng)的安全風(fēng)險(xiǎn)移動(dòng)存儲(chǔ)設(shè)備、不安全的網(wǎng)絡(luò)訪問及惡意的網(wǎng)絡(luò)攻擊導(dǎo)致病毒對(duì)ERP系統(tǒng)的數(shù)據(jù)安全造成風(fēng)險(xiǎn)。 互聯(lián)網(wǎng)普及帶來的后果之一就是病毒傳播越來越快、越來越廣泛。病毒伴隨著計(jì)算機(jī)系統(tǒng)的發(fā)展，也由最初的以惡作劇為目的發(fā)展到當(dāng)前以破壞軟硬件系統(tǒng)及盜取用戶信息資料和資金為目的。 由最初少數(shù)技術(shù)能力強(qiáng)的個(gè)人制作發(fā)展到當(dāng)前的團(tuán)隊(duì)批量制作， 病毒導(dǎo)致的危害性變得更深更大。ERP系統(tǒng)上保存的客戶、供應(yīng)商資料及內(nèi)部數(shù)據(jù)資料都有可能成為新型病毒攻擊的目標(biāo)。例如，頗具爭議的‘灰鴿子病毒’。2007年國內(nèi)很多不太懂電腦的人通過使用‘灰鴿子病毒’盜取他人網(wǎng)銀密碼、游戲賬號(hào)密碼、充值網(wǎng)站密碼為自己謀利而違法落網(wǎng)的案例，‘灰鴿子病毒’名義上是遠(yuǎn)程控制軟件，同時(shí)又具有好多病毒特征（可配置服務(wù)器端，監(jiān)視記錄鍵盤，截取屏幕，免殺功能等等），這樣的工具被不法人員所利用就成為了盜竊工具。三、客觀因素導(dǎo)致ERP軟件系統(tǒng)的風(fēng)險(xiǎn)（一）網(wǎng)絡(luò)不穩(wěn)定導(dǎo)致數(shù)據(jù)存儲(chǔ)不完全帶來的安全風(fēng)險(xiǎn)隨著連鎖企業(yè)及集團(tuán)企業(yè)對(duì)ERP系統(tǒng)數(shù)據(jù)的及時(shí)性要求日益提高，現(xiàn)在大多數(shù)ERP系統(tǒng)都支持互聯(lián)網(wǎng)訪問或者專線數(shù)據(jù)傳輸，網(wǎng)絡(luò)的質(zhì)量直接決定著ERP系統(tǒng)的數(shù)據(jù)的完整性。同時(shí)由于多運(yùn)營商的不同接入方式導(dǎo)致網(wǎng)絡(luò)的實(shí)際傳輸和標(biāo)稱相差懸殊，致使ERP系統(tǒng)運(yùn)行速度慢甚至產(chǎn)生網(wǎng)絡(luò)連接錯(cuò)誤。由于網(wǎng)絡(luò)不穩(wěn)定導(dǎo)致的數(shù)據(jù)存儲(chǔ)不完全帶來的安全風(fēng)險(xiǎn)，局域網(wǎng)老化，互聯(lián)網(wǎng)擁堵，VPNg入速度等等方面原因?qū)е聰?shù)據(jù)錯(cuò)誤， 最終都導(dǎo)致ERP系統(tǒng)完整性的安全風(fēng)險(xiǎn)。（二）服務(wù)器硬件損壞導(dǎo)致數(shù)據(jù)存儲(chǔ)丟失帶來的安全風(fēng)險(xiǎn)由于企業(yè)對(duì)ERP系統(tǒng)重要性的認(rèn)識(shí)不足及投資限制問題， 一般企業(yè)都是單服務(wù)器運(yùn)轉(zhuǎn)，很少有企業(yè)能做到雙機(jī)熱備。單服務(wù)器運(yùn)行導(dǎo)致數(shù)據(jù)存儲(chǔ)危險(xiǎn)性加大，機(jī)房的溫度控制，是否配備長效的UPS（不間斷電源）等因素都對(duì)服務(wù)器存儲(chǔ)數(shù)據(jù)至關(guān)重要。同時(shí)地震、火災(zāi)、水災(zāi)、偷盜等不可抗因素對(duì)現(xiàn)代化機(jī)房的威脅也不可忽視的，服務(wù)器都集中存放在機(jī)房，機(jī)房的安全隱患導(dǎo)致了ERP系統(tǒng)的安全風(fēng)險(xiǎn)。四、ER啾件系統(tǒng)安全風(fēng)險(xiǎn)的防范方法（一）人為因素導(dǎo)致風(fēng)險(xiǎn)的防范方法通過加強(qiáng)人員管理、提高風(fēng)險(xiǎn)意識(shí)，修補(bǔ)漏洞以達(dá)到防范人為因素造成的安全風(fēng)險(xiǎn)。具體可以從三個(gè)方面入手。1.建立審計(jì)校驗(yàn)機(jī)制可有效防范數(shù)據(jù)錄入錯(cuò)誤風(fēng)險(xiǎn)。手工錄入錯(cuò)誤可以通過提高錄入員自我檢查、設(shè)置必要的審計(jì)人員來避免，也可以通過在ERP系統(tǒng)里設(shè)置原始數(shù)據(jù)錄入的合理校驗(yàn)機(jī)制來防范風(fēng)險(xiǎn)，適當(dāng)延長原始數(shù)據(jù)保存周期及錄入登記手續(xù)，做到隨時(shí)可以追溯數(shù)據(jù)來源，規(guī)范手工單據(jù)書寫標(biāo)準(zhǔn)（可以參考財(cái)務(wù)數(shù)據(jù)的書寫標(biāo)準(zhǔn)）、統(tǒng)一編碼（ERP系統(tǒng)從建立之初就建立一整套編碼體系，在系統(tǒng)運(yùn)行過程中要嚴(yán)格執(zhí)行編碼標(biāo)準(zhǔn)，防止重碼、誤碼對(duì)ERP系統(tǒng)的數(shù)據(jù)統(tǒng)計(jì)產(chǎn)生的風(fēng)險(xiǎn)）、統(tǒng)一格式（對(duì)于日期等容易產(chǎn)生差錯(cuò)的格式性數(shù)據(jù)，統(tǒng)一規(guī)范格式，比如日期格式Y(jié)YYY-MM-DD4年2位月2位日前面提到日期表述應(yīng)該是2013-05-09）,以達(dá)到避免手工錄入給ERP系統(tǒng)帶來的安全風(fēng)險(xiǎn)。2.加強(qiáng)內(nèi)部控制合理分配權(quán)限可有效防范數(shù)據(jù)篡改風(fēng)險(xiǎn)。針對(duì)不正常修改表格，可以嚴(yán)格管控?cái)?shù)據(jù)庫管理員、 ERP系統(tǒng)管理員權(quán)限，對(duì)于數(shù)據(jù)庫密碼要設(shè)置足夠強(qiáng)度并且定期修改，以防范密碼盜取。明晰各管理員的權(quán)責(zé)，讓數(shù)據(jù)管理員不參與營運(yùn)管理，有效避免數(shù)據(jù)管理員參與篡改數(shù)據(jù)的風(fēng)險(xiǎn)。規(guī)范各崗位使用ERP系統(tǒng)安全意識(shí)，操作人員離開座位時(shí)，必須退出ERP系統(tǒng)或者鎖定ERP系統(tǒng)，防范他人盜用用戶名修改數(shù)據(jù)。在 ERP服務(wù)器端設(shè)置數(shù)據(jù)校驗(yàn)功能對(duì)于沒有按正常修改的數(shù)據(jù)提出異常警報(bào)，并保存數(shù)據(jù)庫更改記錄。3.對(duì)于病毒所帶來的風(fēng)險(xiǎn)可以通過以下方法封堵。使用上網(wǎng)行為管理的設(shè)備分別針對(duì)不同使用人員給予不同上網(wǎng)權(quán)限，過濾不安全網(wǎng)站，封閉US端口、不得隨意使用移動(dòng)存儲(chǔ)設(shè)備，通過域來管理用戶，普通用戶只分配操作權(quán)限不具有安裝卸載軟件和更改系統(tǒng)設(shè)置權(quán)限， 安裝正版殺毒軟件并及時(shí)更新病毒庫， 及時(shí)更新系統(tǒng)安全補(bǔ)丁， 設(shè)置網(wǎng)絡(luò)防火墻隔離互聯(lián)網(wǎng)和局域網(wǎng)， 對(duì)操作人員培訓(xùn)上網(wǎng)常識(shí)，不要點(diǎn)擊不確定安全的文件，建立殺毒服務(wù)器，監(jiān)視整個(gè)網(wǎng)絡(luò)防毒殺毒情況，通過這些手段來防范病毒對(duì)ERP系統(tǒng)造成的安全風(fēng)險(xiǎn)。（二）客觀因素導(dǎo)致安全風(fēng)險(xiǎn)的防范方法客觀因素導(dǎo)致的安全風(fēng)險(xiǎn)可以通過優(yōu)化網(wǎng)絡(luò)運(yùn)行環(huán)境，多做備份來防范風(fēng)險(xiǎn)。.對(duì)于web發(fā)布的ERP建議及時(shí)更新服務(wù)器安全補(bǔ)丁， 封閉不使用的端口，提高管理員密碼強(qiáng)度，強(qiáng)制定期更換用戶密碼，來保護(hù)服務(wù)器的安全。定期檢查網(wǎng)絡(luò)運(yùn)行環(huán)境，防止局域網(wǎng)產(chǎn)生鏈路、回路；檢查服務(wù)器端口承壓。對(duì)于中國南電信北聯(lián)通的情況，建議VPN?（務(wù)器使用多運(yùn)營商寬帶混合接入， 以保障不同用戶撥入時(shí)都能有穩(wěn)定的網(wǎng)絡(luò)環(huán)境。同時(shí)協(xié)調(diào)ER啾件系統(tǒng)開發(fā)商做好數(shù)據(jù)的網(wǎng)絡(luò)校驗(yàn)以達(dá)到防范風(fēng)險(xiǎn)目的。.防范ERP服務(wù)器硬件的風(fēng)險(xiǎn)，選用優(yōu)質(zhì)服務(wù)器，同時(shí)硬盤采取RAID磁盤陣列（RAID1或者RAID5都是廉價(jià)解決方案，也可以考慮RAID0+1模式），資金充足可以使用雙服務(wù)器熱備份，同時(shí)數(shù)據(jù)庫設(shè)置每天自動(dòng)備份，如果條件允許最好采取異地保存數(shù)據(jù)，以避免水災(zāi)火災(zāi)地震等不可抗因素對(duì) ERP系統(tǒng)數(shù)據(jù)的風(fēng)險(xiǎn)，控制機(jī)房溫度做好通風(fēng)去靜電措施， 配備長效UPSB止意外斷電造成服務(wù)器硬件損壞，建立不可抗因素應(yīng)對(duì)方案，能在發(fā)生不可抗因素對(duì)機(jī)房災(zāi)難性毀滅后及時(shí)有效的恢復(fù) ERP系統(tǒng)。五、結(jié)束語提高風(fēng)險(xiǎn)意識(shí)，加強(qiáng)風(fēng)險(xiǎn)管理，總結(jié)經(jīng)驗(yàn)教訓(xùn)，對(duì)于 ERP系統(tǒng)的長效穩(wěn)定運(yùn)行提供了有利保障。