作為企業(yè)核心數(shù)據(jù)資產(chǎn)的ERP系統(tǒng)數(shù)據(jù),一般存儲(chǔ)于各種主機(jī)、數(shù)據(jù)庫(kù)之中。而服務(wù)器、數(shù)據(jù)庫(kù)對(duì)于一個(gè)特殊人群—IT人員來講,可以說是大門洞開,基本沒有任何安全防范。正是面對(duì)以上安全隱患,泰然神州提出了一種對(duì)數(shù)據(jù)庫(kù)、服務(wù)器等的安全管控解決方案。
現(xiàn)狀
ERP數(shù)據(jù)是企業(yè)核心的信息資產(chǎn),數(shù)據(jù)的丟失、泄露會(huì)為企業(yè)的業(yè)務(wù)帶來巨大損失。對(duì)于掌握公民信息的企業(yè),信息的泄露甚至要承擔(dān)一定的法律責(zé)任。對(duì)于公眾型企業(yè),數(shù)據(jù)安全事件會(huì)嚴(yán)重影響企業(yè)形象。
世界權(quán)威的調(diào)查報(bào)告顯示內(nèi)部IT人員正在成為企業(yè)數(shù)據(jù)威脅的第一要素。在對(duì)400位IT人員的調(diào)查后,其中大多數(shù)人來自于大型企業(yè)。報(bào)告顯示,在受訪者中,67%的人承認(rèn),他們?cè)L問與工作內(nèi)容不相關(guān)的機(jī)密信息。在談到,公司內(nèi)部哪個(gè)部門最容易去窺探時(shí),54%的人表示是IT部門,由于該部門有著公司內(nèi)部多計(jì)算機(jī)系統(tǒng)給的權(quán)利與責(zé)任。
根據(jù)調(diào)查顯示,除了出于好奇的內(nèi)部窺探,一些機(jī)密數(shù)據(jù)也可能泄漏給競(jìng)爭(zhēng)對(duì)手。在接受調(diào)查的高級(jí)IT人士中,35%的人認(rèn)為,高度敏感的機(jī)密信息會(huì)被轉(zhuǎn)移到企業(yè)的競(jìng)爭(zhēng)對(duì)手手中。除此以外,37%的人認(rèn)為,突破口是心懷不滿的前雇員,其次28%的人認(rèn)為是人為操作失誤。在該名單上,外部突破和黑客入侵只占到10%的比例。
IT人員是系統(tǒng)的“特殊”使用團(tuán)隊(duì),一般具有系統(tǒng)的高級(jí)權(quán)限,對(duì)IT人員的安全管控及行為審計(jì)日漸成為數(shù)據(jù)安全的的必備部分,尤其是目前很多企業(yè)為了降低IT成本,采用外包的方式,由企業(yè)外部人員管理網(wǎng)絡(luò)及服務(wù)器設(shè)備,由外部維護(hù)人員產(chǎn)生的信息安全泄露已經(jīng)逐漸呈上升的趨勢(shì)。
IT運(yùn)維人員一般通過遠(yuǎn)程方式進(jìn)行IT管理,如命令行方式(Telnet、SSH)和圖形化方式(RDP、VNC)對(duì)數(shù)據(jù)中心的服務(wù)器進(jìn)行管理,這些方式雖然方便、靈活,但接入點(diǎn)多,存在重大安全隱患,并難于進(jìn)行安全管控。
需求分析
ERP數(shù)據(jù)安全控制的需求
對(duì)于高度敏感的ERP數(shù)據(jù)進(jìn)行安全管控,防止未經(jīng)過授權(quán)的人訪問、操作ERP數(shù)據(jù);對(duì)授權(quán)人員的訪問行為進(jìn)行細(xì)粒度授權(quán),如拷貝、刪除、打印等行為;對(duì)敏感行為進(jìn)行授權(quán)、報(bào)警、阻斷等,如大批量查詢、刪除等;
可審計(jì)的需求
對(duì)所有的數(shù)據(jù)操作行為可回溯、可審計(jì);
法規(guī)遵循的需求
對(duì)于準(zhǔn)備進(jìn)行資本運(yùn)作的企業(yè)特別是海外上市的中國(guó)企業(yè),首先需要遵循的是塞班斯法案。其下屬企業(yè)單位也必須投資相關(guān)技術(shù),為企業(yè)整體法規(guī)遵從提供技術(shù)實(shí)現(xiàn)的保障。塞班斯法案要求在美國(guó)的上市公司涉及產(chǎn)生財(cái)務(wù)交易的所有作業(yè)流程都必須做到透明可見,并且這些流程必須詳細(xì)記錄到能夠追查交易源頭的程度。由于IT系統(tǒng)和財(cái)務(wù)報(bào)告的緊密關(guān)聯(lián)性,因此需要加強(qiáng)對(duì)IT控制以達(dá)到SOX法案的合規(guī)要求。此外SOX法案第404條款還要求,企業(yè)必須建立一個(gè)基礎(chǔ)設(shè)施以確保所有的記錄和數(shù)據(jù)不會(huì)被毀壞、丟失、未經(jīng)授權(quán)的變更和錯(cuò)誤的使用。所以,SOX法案在合規(guī)方面要求企業(yè)必須對(duì)信息系統(tǒng)的活動(dòng)進(jìn)行記錄,同時(shí)對(duì)所有信息系統(tǒng)的日志進(jìn)行有效地管理以實(shí)現(xiàn)內(nèi)部控制的目的。
隨著“中國(guó)版薩班斯法案”——《企業(yè)內(nèi)部控制基本規(guī)范》的問世和09年率先在國(guó)內(nèi)上市公司的施行,國(guó)內(nèi)的企業(yè)和組織也面臨著加強(qiáng)對(duì)內(nèi)部進(jìn)行監(jiān)控,提供審計(jì)人員相關(guān)審核依據(jù)的要求。其中第一章第五條明確指出要對(duì)信息技術(shù)進(jìn)行控制,以確保財(cái)務(wù)數(shù)據(jù)的真實(shí)性;第四章第五十三條也提出“企業(yè)應(yīng)當(dāng)完整收集、妥善保存控制措施實(shí)施過程中的相關(guān)記錄或者資料,確保控制措施實(shí)施過程的可驗(yàn)證性”。
ERP數(shù)據(jù)安全特征分析
廠商或第三方服務(wù)商代維
由于ERP系統(tǒng)具有專業(yè)性、復(fù)雜性等特點(diǎn),一般企業(yè)用戶均將系統(tǒng)的運(yùn)維和服務(wù)交由ERP廠商或者專業(yè)服務(wù)商負(fù)責(zé)。外部的運(yùn)維人員在對(duì)系統(tǒng)進(jìn)行維護(hù)的過程中,基本沒有任何的安全措施防范數(shù)據(jù)泄漏問題。對(duì)出現(xiàn)的運(yùn)維事故或者泄密事件,無法定位清楚事故責(zé)任和泄密主體。
結(jié)構(gòu)化數(shù)據(jù)類型
ERP數(shù)據(jù)一般為存儲(chǔ)在數(shù)據(jù)庫(kù)中的結(jié)構(gòu)化數(shù)據(jù),數(shù)據(jù)容易辨析和采用技術(shù)手段獲取,極易造成批量數(shù)據(jù)的泄露。因此對(duì)數(shù)據(jù)庫(kù)的安全防護(hù)至關(guān)重要,而ERP系統(tǒng)的數(shù)據(jù)庫(kù)由于各種原因成為最薄弱的安全環(huán)節(jié),如弱口令、同賬號(hào)甚至使用初始口令的問題。
解決方案
ERP系統(tǒng)涵蓋了應(yīng)用企業(yè)最關(guān)鍵和最敏感的信息資源,從中可以找出一個(gè)企業(yè)的組織架構(gòu)、管理理念、客戶資源、人力資源組成、企業(yè)產(chǎn)能、銷售渠道、合作伙伴、競(jìng)爭(zhēng)對(duì)手等方方面面的信息。正因如此,凸顯出建立信息安全管理機(jī)制、保護(hù)ERP的安全迫在眉睫。然而目前很多企業(yè)在ERP項(xiàng)目建設(shè)的時(shí)候,沒有建立數(shù)據(jù)安全機(jī)制,忽略ERP系統(tǒng)信息安全的問題。無論是ERP系統(tǒng)的產(chǎn)品供應(yīng)商,還是實(shí)施服務(wù)商、第三方咨詢機(jī)構(gòu),都對(duì)ERP系統(tǒng)功能過多關(guān)注,而對(duì)ERP信息安全問題輕描淡寫,甚至視而不見。 泰然神州針對(duì)ERP數(shù)據(jù)安全最為薄弱的運(yùn)維安全環(huán)節(jié),基于“身份可識(shí)別,訪問經(jīng)授權(quán),過程可控制,事后可審計(jì)”的設(shè)計(jì)思路,推出了Zendeep(神電)ERP數(shù)據(jù)運(yùn)維安全管理解決方案,徹底消除ERP數(shù)據(jù)泄露的重大安全隱患。
Zendeep(神電)運(yùn)維安全管理系統(tǒng)就像是ERP系統(tǒng)和管理維護(hù)人員之間的一個(gè)“操控平臺(tái)”,IT人員只能通過該平臺(tái)對(duì)ERP系統(tǒng)包括數(shù)據(jù)庫(kù)、主機(jī)進(jìn)行操作,是統(tǒng)一的操作維護(hù)入口。
身份認(rèn)證
平臺(tái)具有身份認(rèn)證系統(tǒng),保證只有經(jīng)過授權(quán)的內(nèi)部或第三方運(yùn)維人員登錄系統(tǒng);
訪問授權(quán)
同時(shí)平臺(tái)具有授權(quán)功能,對(duì)什么人在什么時(shí)間、通過什么網(wǎng)絡(luò)、訪問什么系統(tǒng)都可以做細(xì)粒度的安全控制;
事中控制
它可以對(duì)敏感行為進(jìn)行事中控制,如對(duì)數(shù)據(jù)庫(kù)導(dǎo)出、復(fù)制、刪除等行為進(jìn)行阻斷。
事后審計(jì)
系統(tǒng)具有非常強(qiáng)大的審計(jì)功能,就像一臺(tái)“操作錄像機(jī)”,可以實(shí)時(shí)地、完整地記錄用戶的操作,并提供方便靈活的操作回放或查詢檢索的手段。可以對(duì)基于Telnet、FTP、SSH、RDP、VNC等協(xié)議的訪問操作進(jìn)行過程的抓取,從而可以錄像方式對(duì)所有運(yùn)維人員的所有操作進(jìn)行記錄,并具備強(qiáng)大的搜索功能,可對(duì)特定時(shí)段、特定事件、特定用戶等邏輯要素進(jìn)行搜索與提取——從而達(dá)到真正意義上的審計(jì)與風(fēng)險(xiǎn)控制。
方案特點(diǎn)
統(tǒng)一操控平臺(tái),安全狀況盡在掌握
出入口的統(tǒng)一有利于操作審計(jì)工作的進(jìn)行,通過最簡(jiǎn)單有效的集中化管理、帳號(hào)及密碼的統(tǒng)一管理、訪問權(quán)限策略的集中配置、操作命令防火墻策略的集中配置及用戶操作行為的集中審計(jì),為統(tǒng)一審計(jì)提供根本保障,使企業(yè)IT運(yùn)維的安全狀況盡在掌握中。
數(shù)據(jù)不落地,安全更有保障
數(shù)據(jù)全部于操控平臺(tái)端運(yùn)行,不傳輸?shù)讲僮魅藛T本地電腦。
審計(jì)第三方人員
隨著將越來越多的將非核心業(yè)務(wù)外包給ERP廠商或者其他專業(yè)代維公司,如參與系統(tǒng)建設(shè)的各IT服務(wù)廠商,公司的固定合作伙伴,在適當(dāng)?shù)沫h(huán)境和因素下,都有可能有意或無意接觸到企業(yè)內(nèi)部敏感數(shù)據(jù),發(fā)生安全事件,造成安全事故。本系統(tǒng)可以有效地監(jiān)控設(shè)備廠商和代維人員的操作行為,并進(jìn)行嚴(yán)格的審計(jì)。
統(tǒng)一管理平臺(tái),工作復(fù)雜度大幅度降低
運(yùn)維審計(jì)管理平臺(tái)作為企業(yè)運(yùn)維的唯一操作入口,對(duì)操作進(jìn)行集中管理,對(duì)身份、賬號(hào)、訪問、權(quán)限、審計(jì)進(jìn)行控制,不需要調(diào)整網(wǎng)絡(luò)、不需要更改交換機(jī)/路由器配置、不需要安裝任何代理程序。使運(yùn)維管理工作的復(fù)雜程度大幅度降低。普通操作用戶只需一次登錄平臺(tái),鍵入一次密碼,隨后對(duì)于相關(guān)設(shè)備的訪問不再需要相應(yīng)賬戶密碼。如此,對(duì)于各類設(shè)備能在一個(gè)操作界面內(nèi)完成工作,無需用戶在各系統(tǒng)間切換,免去了多次輸入用戶名和口令的繁瑣。
支持云計(jì)算模式
現(xiàn)在越來越多的ERP系統(tǒng)托管于云端,甚至直接使用SaaS模式的ERP系統(tǒng)。對(duì)于核心的ERP數(shù)據(jù)部署于云端,是否能保障數(shù)據(jù)的安全是企業(yè)關(guān)注的問題。通過Zendeep運(yùn)維安全平臺(tái),能讓運(yùn)維服務(wù)商對(duì)工程師進(jìn)行細(xì)粒度的授權(quán)和安全管控,企業(yè)也能通過該平臺(tái)監(jiān)控到并審計(jì)服務(wù)商的運(yùn)維行為。
支持智能設(shè)備運(yùn)維
Zendeep運(yùn)維安全平臺(tái),支持IT運(yùn)維人員通過智能設(shè)備如ipad的運(yùn)維行為,極大的提升了運(yùn)維人員的工作靈活性和效率。
方案價(jià)值
安全
通過Zendeep運(yùn)維安全平臺(tái),構(gòu)建4A(賬號(hào)、驗(yàn)證、授權(quán)、審計(jì))框架的ERP系統(tǒng)數(shù)據(jù)安全方案,防范重大安全隱患,做到“事前防范、事中控制、事后審計(jì)”。
合規(guī)
全面滿足薩班斯法案和國(guó)內(nèi)內(nèi)控規(guī)范的要求。按照中國(guó)監(jiān)管當(dāng)局制定的實(shí)施時(shí)間表,境內(nèi)外同時(shí)上市的公司需于2011年1月1日起首先實(shí)施配套指引,而實(shí)施范圍會(huì)于2012年1月1日起擴(kuò)大至在上海證券交易所和深圳證券交易所主板上市的公司。對(duì)于還未實(shí)施相關(guān)內(nèi)部控制措施的企業(yè)而言,時(shí)間十分緊迫。采用泰然神州運(yùn)維安全審計(jì)方案,能在較短時(shí)間內(nèi)完成內(nèi)控體系建設(shè),通過加強(qiáng)IT內(nèi)控,優(yōu)化財(cái)務(wù)流程和財(cái)務(wù)應(yīng)用系統(tǒng)等,滿足監(jiān)管機(jī)構(gòu)和外部審計(jì)師的要求。
效率
通過運(yùn)維安全平臺(tái)系統(tǒng)的實(shí)施,可以統(tǒng)一管理IT資產(chǎn)設(shè)備、賬號(hào)、運(yùn)維工具,能夠使運(yùn)維管理工作的復(fù)雜程度大幅度降低,提升IT工作效率。
后記
隨著ERP系統(tǒng)在國(guó)內(nèi)企業(yè)的普遍應(yīng)用,ERP的安全問題日益暴露出來,除了以上提到的安全重大隱患之外,還有物理安全、運(yùn)行安全等系列安全問題。根本方法是要建立健全的ERP信息安全管理制度,建立全方位ERP數(shù)據(jù)安全防護(hù)管理體系,采用相應(yīng)的策略與技術(shù),通過制度和手段的結(jié)合,達(dá)到最佳的信息安全管理效果。
建立ERP安全評(píng)估機(jī)制
這是信息安全管理體系的第一步。利用安全評(píng)估模型,預(yù)見、發(fā)現(xiàn)系統(tǒng)中每一環(huán)節(jié)所產(chǎn)生的(或潛在的)風(fēng)險(xiǎn)條件,為ERP系統(tǒng)持續(xù)安全運(yùn)行減少風(fēng)險(xiǎn)隱患。
建立ERP安全防護(hù)策略與制度
通過確定關(guān)鍵信息、崗位配置、工作人員的權(quán)限,明確企業(yè)ERP信息的使用范圍和處理方式。保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施,防止病毒、黑客等入侵、篡改和破壞,監(jiān)督管理員、應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理。
做好ERP安全防護(hù)技術(shù)的實(shí)施
主要是服務(wù)器安全控制、登錄安全控制、數(shù)據(jù)庫(kù)安全控制三大項(xiàng)的實(shí)施。這是對(duì)信息安全防護(hù)策略
度執(zhí)行情況的監(jiān)控手段,是維護(hù)信息安全管理體系的保障。
做好ERP安全防護(hù)效果分析總結(jié)與評(píng)估
通過對(duì)信息安全管理效果持續(xù)不斷的分析和評(píng)估,可以不斷發(fā)現(xiàn)新的安全漏洞和隱患,完善信息安全防護(hù)策略和制度。只要以科學(xué)嚴(yán)謹(jǐn)?shù)膽B(tài)度對(duì)待信息安全問題,建立切實(shí)有效的ERP信息安全管理體系,就會(huì)將企業(yè)ERP系統(tǒng)安全風(fēng)險(xiǎn)降至最小,取得最佳實(shí)施效果。
關(guān)注
微信
關(guān)注博聶科官方微信
