作為企業(yè)核心數(shù)據(jù)資產(chǎn)的ERP系統(tǒng)數(shù)據(jù),一般存儲于各種主機、數(shù)據(jù)庫之中。而服務器、數(shù)據(jù)庫對于一個特殊人群—IT人員來講,可以說是大門洞開,基本沒有任何安全防范。正是面對以上安全隱患,泰然神州提出了一種對數(shù)據(jù)庫、服務器等的安全管控解決方案。
現(xiàn)狀
ERP數(shù)據(jù)是企業(yè)核心的信息資產(chǎn),數(shù)據(jù)的丟失、泄露會為企業(yè)的業(yè)務帶來巨大損失。對于掌握公民信息的企業(yè),信息的泄露甚至要承擔一定的法律責任。對于公眾型企業(yè),數(shù)據(jù)安全事件會嚴重影響企業(yè)形象。
世界權威的調(diào)查報告顯示內(nèi)部IT人員正在成為企業(yè)數(shù)據(jù)威脅的第一要素。在對400位IT人員的調(diào)查后,其中大多數(shù)人來自于大型企業(yè)。報告顯示,在受訪者中,67%的人承認,他們訪問與工作內(nèi)容不相關的機密信息。在談到,公司內(nèi)部哪個部門最容易去窺探時,54%的人表示是IT部門,由于該部門有著公司內(nèi)部多計算機系統(tǒng)給的權利與責任。
根據(jù)調(diào)查顯示,除了出于好奇的內(nèi)部窺探,一些機密數(shù)據(jù)也可能泄漏給競爭對手。在接受調(diào)查的高級IT人士中,35%的人認為,高度敏感的機密信息會被轉(zhuǎn)移到企業(yè)的競爭對手手中。除此以外,37%的人認為,突破口是心懷不滿的前雇員,其次28%的人認為是人為操作失誤。在該名單上,外部突破和黑客入侵只占到10%的比例。
IT人員是系統(tǒng)的“特殊”使用團隊,一般具有系統(tǒng)的高級權限,對IT人員的安全管控及行為審計日漸成為數(shù)據(jù)安全的的必備部分,尤其是目前很多企業(yè)為了降低IT成本,采用外包的方式,由企業(yè)外部人員管理網(wǎng)絡及服務器設備,由外部維護人員產(chǎn)生的信息安全泄露已經(jīng)逐漸呈上升的趨勢。
IT運維人員一般通過遠程方式進行IT管理,如命令行方式(Telnet、SSH)和圖形化方式(RDP、VNC)對數(shù)據(jù)中心的服務器進行管理,這些方式雖然方便、靈活,但接入點多,存在重大安全隱患,并難于進行安全管控。
需求分析
ERP數(shù)據(jù)安全控制的需求
對于高度敏感的ERP數(shù)據(jù)進行安全管控,防止未經(jīng)過授權的人訪問、操作ERP數(shù)據(jù);對授權人員的訪問行為進行細粒度授權,如拷貝、刪除、打印等行為;對敏感行為進行授權、報警、阻斷等,如大批量查詢、刪除等;
可審計的需求
對所有的數(shù)據(jù)操作行為可回溯、可審計;
法規(guī)遵循的需求
對于準備進行資本運作的企業(yè)特別是海外上市的中國企業(yè),首先需要遵循的是塞班斯法案。其下屬企業(yè)單位也必須投資相關技術,為企業(yè)整體法規(guī)遵從提供技術實現(xiàn)的保障。塞班斯法案要求在美國的上市公司涉及產(chǎn)生財務交易的所有作業(yè)流程都必須做到透明可見,并且這些流程必須詳細記錄到能夠追查交易源頭的程度。由于IT系統(tǒng)和財務報告的緊密關聯(lián)性,因此需要加強對IT控制以達到SOX法案的合規(guī)要求。此外SOX法案第404條款還要求,企業(yè)必須建立一個基礎設施以確保所有的記錄和數(shù)據(jù)不會被毀壞、丟失、未經(jīng)授權的變更和錯誤的使用。所以,SOX法案在合規(guī)方面要求企業(yè)必須對信息系統(tǒng)的活動進行記錄,同時對所有信息系統(tǒng)的日志進行有效地管理以實現(xiàn)內(nèi)部控制的目的。
隨著“中國版薩班斯法案”——《企業(yè)內(nèi)部控制基本規(guī)范》的問世和09年率先在國內(nèi)上市公司的施行,國內(nèi)的企業(yè)和組織也面臨著加強對內(nèi)部進行監(jiān)控,提供審計人員相關審核依據(jù)的要求。其中第一章第五條明確指出要對信息技術進行控制,以確保財務數(shù)據(jù)的真實性;第四章第五十三條也提出“企業(yè)應當完整收集、妥善保存控制措施實施過程中的相關記錄或者資料,確保控制措施實施過程的可驗證性”。
ERP數(shù)據(jù)安全特征分析
廠商或第三方服務商代維
由于ERP系統(tǒng)具有專業(yè)性、復雜性等特點,一般企業(yè)用戶均將系統(tǒng)的運維和服務交由ERP廠商或者專業(yè)服務商負責。外部的運維人員在對系統(tǒng)進行維護的過程中,基本沒有任何的安全措施防范數(shù)據(jù)泄漏問題。對出現(xiàn)的運維事故或者泄密事件,無法定位清楚事故責任和泄密主體。
結構化數(shù)據(jù)類型
ERP數(shù)據(jù)一般為存儲在數(shù)據(jù)庫中的結構化數(shù)據(jù),數(shù)據(jù)容易辨析和采用技術手段獲取,極易造成批量數(shù)據(jù)的泄露。因此對數(shù)據(jù)庫的安全防護至關重要,而ERP系統(tǒng)的數(shù)據(jù)庫由于各種原因成為最薄弱的安全環(huán)節(jié),如弱口令、同賬號甚至使用初始口令的問題。
解決方案
ERP系統(tǒng)涵蓋了應用企業(yè)最關鍵和最敏感的信息資源,從中可以找出一個企業(yè)的組織架構、管理理念、客戶資源、人力資源組成、企業(yè)產(chǎn)能、銷售渠道、合作伙伴、競爭對手等方方面面的信息。正因如此,凸顯出建立信息安全管理機制、保護ERP的安全迫在眉睫。然而目前很多企業(yè)在ERP項目建設的時候,沒有建立數(shù)據(jù)安全機制,忽略ERP系統(tǒng)信息安全的問題。無論是ERP系統(tǒng)的產(chǎn)品供應商,還是實施服務商、第三方咨詢機構,都對ERP系統(tǒng)功能過多關注,而對ERP信息安全問題輕描淡寫,甚至視而不見。 泰然神州針對ERP數(shù)據(jù)安全最為薄弱的運維安全環(huán)節(jié),基于“身份可識別,訪問經(jīng)授權,過程可控制,事后可審計”的設計思路,推出了Zendeep(神電)ERP數(shù)據(jù)運維安全管理解決方案,徹底消除ERP數(shù)據(jù)泄露的重大安全隱患。
Zendeep(神電)運維安全管理系統(tǒng)就像是ERP系統(tǒng)和管理維護人員之間的一個“操控平臺”,IT人員只能通過該平臺對ERP系統(tǒng)包括數(shù)據(jù)庫、主機進行操作,是統(tǒng)一的操作維護入口。
身份認證
平臺具有身份認證系統(tǒng),保證只有經(jīng)過授權的內(nèi)部或第三方運維人員登錄系統(tǒng);
訪問授權
同時平臺具有授權功能,對什么人在什么時間、通過什么網(wǎng)絡、訪問什么系統(tǒng)都可以做細粒度的安全控制;
事中控制
它可以對敏感行為進行事中控制,如對數(shù)據(jù)庫導出、復制、刪除等行為進行阻斷。
事后審計
系統(tǒng)具有非常強大的審計功能,就像一臺“操作錄像機”,可以實時地、完整地記錄用戶的操作,并提供方便靈活的操作回放或查詢檢索的手段。可以對基于Telnet、FTP、SSH、RDP、VNC等協(xié)議的訪問操作進行過程的抓取,從而可以錄像方式對所有運維人員的所有操作進行記錄,并具備強大的搜索功能,可對特定時段、特定事件、特定用戶等邏輯要素進行搜索與提取——從而達到真正意義上的審計與風險控制。
方案特點
統(tǒng)一操控平臺,安全狀況盡在掌握
出入口的統(tǒng)一有利于操作審計工作的進行,通過最簡單有效的集中化管理、帳號及密碼的統(tǒng)一管理、訪問權限策略的集中配置、操作命令防火墻策略的集中配置及用戶操作行為的集中審計,為統(tǒng)一審計提供根本保障,使企業(yè)IT運維的安全狀況盡在掌握中。
數(shù)據(jù)不落地,安全更有保障
數(shù)據(jù)全部于操控平臺端運行,不傳輸?shù)讲僮魅藛T本地電腦。
審計第三方人員
隨著將越來越多的將非核心業(yè)務外包給ERP廠商或者其他專業(yè)代維公司,如參與系統(tǒng)建設的各IT服務廠商,公司的固定合作伙伴,在適當?shù)沫h(huán)境和因素下,都有可能有意或無意接觸到企業(yè)內(nèi)部敏感數(shù)據(jù),發(fā)生安全事件,造成安全事故。本系統(tǒng)可以有效地監(jiān)控設備廠商和代維人員的操作行為,并進行嚴格的審計。
統(tǒng)一管理平臺,工作復雜度大幅度降低
運維審計管理平臺作為企業(yè)運維的唯一操作入口,對操作進行集中管理,對身份、賬號、訪問、權限、審計進行控制,不需要調(diào)整網(wǎng)絡、不需要更改交換機/路由器配置、不需要安裝任何代理程序。使運維管理工作的復雜程度大幅度降低。普通操作用戶只需一次登錄平臺,鍵入一次密碼,隨后對于相關設備的訪問不再需要相應賬戶密碼。如此,對于各類設備能在一個操作界面內(nèi)完成工作,無需用戶在各系統(tǒng)間切換,免去了多次輸入用戶名和口令的繁瑣。
支持云計算模式
現(xiàn)在越來越多的ERP系統(tǒng)托管于云端,甚至直接使用SaaS模式的ERP系統(tǒng)。對于核心的ERP數(shù)據(jù)部署于云端,是否能保障數(shù)據(jù)的安全是企業(yè)關注的問題。通過Zendeep運維安全平臺,能讓運維服務商對工程師進行細粒度的授權和安全管控,企業(yè)也能通過該平臺監(jiān)控到并審計服務商的運維行為。
支持智能設備運維
Zendeep運維安全平臺,支持IT運維人員通過智能設備如ipad的運維行為,極大的提升了運維人員的工作靈活性和效率。
方案價值
安全
通過Zendeep運維安全平臺,構建4A(賬號、驗證、授權、審計)框架的ERP系統(tǒng)數(shù)據(jù)安全方案,防范重大安全隱患,做到“事前防范、事中控制、事后審計”。
合規(guī)
全面滿足薩班斯法案和國內(nèi)內(nèi)控規(guī)范的要求。按照中國監(jiān)管當局制定的實施時間表,境內(nèi)外同時上市的公司需于2011年1月1日起首先實施配套指引,而實施范圍會于2012年1月1日起擴大至在上海證券交易所和深圳證券交易所主板上市的公司。對于還未實施相關內(nèi)部控制措施的企業(yè)而言,時間十分緊迫。采用泰然神州運維安全審計方案,能在較短時間內(nèi)完成內(nèi)控體系建設,通過加強IT內(nèi)控,優(yōu)化財務流程和財務應用系統(tǒng)等,滿足監(jiān)管機構和外部審計師的要求。
效率
通過運維安全平臺系統(tǒng)的實施,可以統(tǒng)一管理IT資產(chǎn)設備、賬號、運維工具,能夠使運維管理工作的復雜程度大幅度降低,提升IT工作效率。
后記
隨著ERP系統(tǒng)在國內(nèi)企業(yè)的普遍應用,ERP的安全問題日益暴露出來,除了以上提到的安全重大隱患之外,還有物理安全、運行安全等系列安全問題。根本方法是要建立健全的ERP信息安全管理制度,建立全方位ERP數(shù)據(jù)安全防護管理體系,采用相應的策略與技術,通過制度和手段的結合,達到最佳的信息安全管理效果。
建立ERP安全評估機制
這是信息安全管理體系的第一步。利用安全評估模型,預見、發(fā)現(xiàn)系統(tǒng)中每一環(huán)節(jié)所產(chǎn)生的(或潛在的)風險條件,為ERP系統(tǒng)持續(xù)安全運行減少風險隱患。
建立ERP安全防護策略與制度
通過確定關鍵信息、崗位配置、工作人員的權限,明確企業(yè)ERP信息的使用范圍和處理方式。保護計算機設備、設施,防止病毒、黑客等入侵、篡改和破壞,監(jiān)督管理員、應用人員在安全管理制度和安全規(guī)范下嚴格執(zhí)行安全操作和管理。
做好ERP安全防護技術的實施
主要是服務器安全控制、登錄安全控制、數(shù)據(jù)庫安全控制三大項的實施。這是對信息安全防護策略
度執(zhí)行情況的監(jiān)控手段,是維護信息安全管理體系的保障。
做好ERP安全防護效果分析總結與評估
通過對信息安全管理效果持續(xù)不斷的分析和評估,可以不斷發(fā)現(xiàn)新的安全漏洞和隱患,完善信息安全防護策略和制度。只要以科學嚴謹?shù)膽B(tài)度對待信息安全問題,建立切實有效的ERP信息安全管理體系,就會將企業(yè)ERP系統(tǒng)安全風險降至最小,取得最佳實施效果。
關注
微信
關注博聶科官方微信
