買賣與供求是構成這個世界交易和金融體系的基礎,而在人口發展、買賣規模不斷發展的情況下,供求關系也變得越來越復雜。而在供應中,由于牽涉的物品和人員越來越多,供應鏈也成了現代供求關系中重要的一環。
而隨著信息化的介入,供應鏈也面臨著信息化的挑戰,其中以來自信息安全方面的挑戰尤為嚴峻。
市場的高速發展 我國的供應鏈管理進入EPR時代
當今我國市場規模的不斷發展,企業競爭已經從單一企業間的競爭朝著企業供應鏈之間的競爭發展、企業僅靠自身資源已經無法有效地參與市場競爭,還必須把經營過程中的有關各方納入一個緊密的供應鏈中,才能有效地安排企業的產、供、銷活動,滿足企業利用全社會一切市場資源快速高效地進行生產經營的需求,以進一步提高效率和在市場上獲得競爭優勢、針對這一需求,企業紛紛引進ERP系統,構建企業信息化平臺、當前ERP系統是指針對物資資源管理、人力資源管理、財務資源管理、信息資源管理集成一體化的企業管理軟件、ERP系統實現了對整個企業供應鏈的管理、適應了企業在知識經濟時代市場競爭的需要、鑒于ERP系統的巨大優勢、目前絕大多數大型企業均實現了ERP系統的部署實施、然而,由于互聯網上存在大量的網絡攻擊、木馬、蠕蟲等網絡安全威脅。而ERP系統的正常運行依賴于大量的網絡傳輸、數據處理和消息交互這就阻礙了ERP系統的應用與實施、因此,研究ERP系統所面對的安全威脅并采取相應措施進行規避是一項非常重要的課題。
安全問題的產生是一個非常復雜的問題,包含了多種因素的相互作用、總結起來,企業ERP系統所面臨的信息安全威脅主要包括來自以下幾個方面的內容。
(一)ERP網絡應用的威脅
來自網絡層面的威脅主要來自遠程訪問企業內部系統所造成的信息泄漏隱患、隨著企業規模的不斷擴展,對外的銷售和物流網絡也隨之擴大。出差的業務員和某些客戶經常需要在異地遠程訪問企業網絡資源、為此,ERP專門提供了a/s的訪問模式,使得異地用戶能夠使用瀏覽器通過虛擬專用網絡VPN訪問公司內部資源、由于異地訪問行為不受約束,泄密行為時有發生,因此價值較高的商業機密有可能流失,比如企業產品的底價、設計圖紙等等、此外,內部網絡的竊聽行為也給ERP系統的安全使用造成威脅、ERP系統應用時。其服務器端與客戶端數據的傳輸、都是通過明文傳輸的、用戶只需要在網絡上安裝一個監聽軟件、就可以全面的了解用戶訪問的內容。跳過客戶端的權限設置,從而達到網絡數據竊聽的目的。
(二)ERP統應用的威脅
如果ERP系統本身管理不當,也不會存在數據泄露的危險、從ERP系統的角度出發。主要的安全威脅就是權限配置不當所造成的。這類威脅主要在敏感數據缺乏分級管理機制,比如某個報表,只要有查看權限的都能夠看到全部信息,并且能夠導出。這就給敏感數據造成了很大的威脅、此外,很多員工的終端系統密碼設置較為簡單,大多使用生日或者電話,有的其至使用“12345"等簡單數字作為密碼,這類密碼強度不高,容易被破解。
(三)ERP統漏洞的威脅
ERP系統的構建需要大量的軟硬件系統,涉及到網絡傳輸、Web瀏覽以及服務總線等多方面的技術,這些技術的實現需要大量的軟件,軟件不可能避免存在一些已知或者未知的漏洞、黑客能夠利用這些漏洞獲取ERP服務器的權限,從而擾亂系統的正常運行,并竊取重要的商業機密。
保障EPR信息安全的一般措施
ERP系統的安全最重要,為了保障ERP系統在應用中的信息安全,針對上述三類威脅,具體來說有以下幾種方法進行應對。
(一)網絡傳輸安全保障ERP系統的傳輸安全可以從兩方面進行強化
(二)信息應用安全保障
深入防護 數據安全還需從本源入手
盡管一般的ERP防護措施已經能應對企業大多數的信息安全問題了,但隨著企業信息化的深入和國家信息安全問題的擴散,更多意想不到的威脅也會襲來,同時對于企業的“內鬼”一般的防護措施是無法有效地控制的。
所以想要深入的防護,數據安全還需更本源、更具針對性。而對于信息和數據的安全防護來說,直接作用于數據本身的安全技術,防護的效果往往最好。而為了要同時應對企業多樣的防護需求和安全環境,采用多模加密技術或成了唯一的選擇。
多模加密技術采用對稱算法和非對稱算法相結合的技術,在確保了數據本源防護質量的同時,其多模的特性能讓用戶自主地選擇加密模式,從而能更靈活地應對各種加密需求和安全環境。
時代的發展,使得許多供應環節產生大量的信息和數據,人為的處理已經跟不上時代了,所以,信息化供應鏈管理是企業發展的大勢。但是信息化也伴隨著許多風險,敏感數據和機密數據的安全問題就是其中之一,為了更有效地保護這些數據,采用靈活且具有針對性地加密軟件進行防護是最正確而選擇!
京公網安備 11010502049343號