企業資源規劃(ERP)和客戶關系管理(CRM)是企業內部最重要的兩個應用程序，對于日常運作至關重要。ERP使企業的核心業務流程和資源有一個集成且實時的視圖，例如生產、訂單處理和庫存管理。ERP系統還可以促進組織內部、重要供應商和客戶之間業務功能的信息流動。而為了追求利潤最大化，CRM系統用來簡化和當前及未來客戶之間的互動，管理營銷活動，建立客戶關系，提高客戶滿意度。

Gartner公司最近一項關于企業IT預算支出計劃的調查顯示，2013年應用軟件投資計劃中位列前三的分別為CRM、ERP和辦公室/個人高效工具。盡管公司常在ERP和CRM系統上進行投資，但其實企業已經有許多存在多年的應用程序實例。這是因為參與采購和部署系統的工作人員離職后，帶走了如何管理和維護這些系統的知識，所以現在這些應用程序只能獨自運行。

修補老化的關鍵應用程序是非常困難的，因為許多傳統的CRM和ERP系統都沒有打補丁，而且非常脆弱。但是由于它們處理和存儲了重要機密的數據，所以必須注意其安全性。在過去，原本的安全控制可能就夠了，但是處于當今多設備、Internet連接并充滿威脅的環境中，它們可能就難以應對了。

本文中，我們將回顧ERP和CRM系統應用程序安全的最佳實踐，不僅專注于這些應用程序本身，還關注對安全性至關重要的其它IT組件。

為了確保ERP和CRM應用程序的安全，必須在網絡層、表示層以及最重要也最受黑客偏愛的攻擊對象應用層實施控制。

未打補丁的ERP和CRM系統都特別脆弱，因為他們特別容易成為自動掃描器和攻擊工具的目標。盡管不是每一個新漏洞都會有風險，但是真正遇到威脅時，你就必須努力修補舊系統。但是，知道漏洞何時對特定的應用程序有風險非常有用，因為這就可以優先升級補丁、防火墻和改變入侵檢測系統。測試漏洞和補丁影響的一個方法是在一個虛擬測試環境中復制一個生產系統，然后使用滲透測試框架，用適當方法來試圖感染用于測試的應用程序。如果測試的應用程序失敗或被感染了，顯然這個生產中的應用程序需要安裝補丁來防御類似的攻擊。

雖然補丁在舊系統上觸發的問題并不少見，但是調查顯示只有一小部分管理員因為未測試補丁而遭受系統故障。當然，可能你有一個傳統或老化的基礎設施已經被破壞或出故障了，就是因為過去打補丁的緣故，如果一個系統是處理關鍵任務的，那么強烈建議在安裝新的補丁之前進行補丁測試。

當修補的整體風險太高時，虛擬補丁可以通過控制受影響應用程序的輸入或輸出來消除一些漏洞。不同于傳統的補丁程序，虛擬補丁不需要昂貴的停機時間，因為一個應用程序可以不觸碰到應用程序本身而打上補丁，它相關的庫或操作系統可以一直運行。有時虛擬補丁是支持供應商不再支持的應用程序老版本的唯一方法。最簡單的虛擬補丁方法是升級入侵防御系統過濾器的配置來阻擋試圖利用該漏洞的攻擊。在虛擬補丁修復該漏洞的過程中，一定要記錄下這些變化。

對于基于Windows的ERP和CRM應用程序，管理員應該考慮部署微軟的加強版緩解體驗工具包(EMET)v4.0，這是一個對于老版Windows應用程序和操作系統軟件非常有價值的緩解技術。它是免費的，并且通過應用最新安全技術來保護應用程序，使黑客更難利用已知攻擊向量，例如緩沖區溢出和內存損壞。

為了支持后期的瀏覽器和移動時代的自定義應用程序，原先用來訪問ERP和CRM應用程序的圖形用戶界面(GUI)可能已經被拋棄了，但是確保任意和這個系統交互的瀏覽器和應用程序能使用是至關重要的。第三方應用程序應該經常進行測試，來確保他們不會通過意想不到的渠道或進程泄露數據。使用Citrix Systems公司服務器給桌面用戶提供的GUI，或使用8.1的開始屏幕鎖定功能為桌面和移動設備用戶來創建一個資訊站環境，可以降低用戶相關威脅的可能性。

如果維護現有的ERP和CRM系統變得太困難，昂貴或耗時，那么是時候轉移到基于云的服務了，這是對于移動設備更自然，更安全的服務。集成的ERP/CRM軟件和利用一個集中式的安全數據庫托管解決方案都是可行的。例如，Compiere，一個基于云、開源的ERP軟件和CRM系統。

最后，對企業來說，想要實現競爭優勢，知識和信息共享是必不可少的。然而，符合行業以及公司的規定也是至關重要的。簡而言之，運行易受攻擊的軟件已經不再可行，企業必須采取一切必要的主動或被動措施，來保持他們新舊應用程序的安全。