作為企業核心數據資產的ERP系統數據,一般存儲于各種主機�、數據庫之中�����。而服務器��、數據庫對于一個特殊人群—IT人員來講,可以說是大門洞開���,基本沒有任何安全防范。正是面對以上安全隱患�,泰然神州提出了一種對數據庫�����、服務器等的安全管控解決方案。
現狀
ERP數據是企業核心的信息資產�����,數據的丟失����、泄露會為企業的業務帶來巨大損失。對于掌握公民信息的企業�����,信息的泄露甚至要承擔一定的法律責任�����。對于公眾型企業��,數據安全事件會嚴重影響企業形象。
世界權威的調查報告顯示內部IT人員正在成為企業數據威脅的第一要素����。在對400位IT人員的調查后,其中大多數人來自于大型企業。報告顯示,在受訪者中��,67%的人承認�,他們訪問與工作內容不相關的機密信息。在談到,公司內部哪個部門最容易去窺探時����,54%的人表示是IT部門��,由于該部門有著公司內部多計算機系統給的權利與責任�。
根據調查顯示����,除了出于好奇的內部窺探,一些機密數據也可能泄漏給競爭對手��。在接受調查的高級IT人士中��,35%的人認為���,高度敏感的機密信息會被轉移到企業的競爭對手手中�����。除此以外,37%的人認為��,突破口是心懷不滿的前雇員�����,其次28%的人認為是人為操作失誤���。在該名單上���,外部突破和黑客入侵只占到10%的比例���。
IT人員是系統的“特殊”使用團隊,一般具有系統的高級權限,對IT人員的安全管控及行為審計日漸成為數據安全的的必備部分�,尤其是目前很多企業為了降低IT成本�,采用外包的方式��,由企業外部人員管理網絡及服務器設備��,由外部維護人員產生的信息安全泄露已經逐漸呈上升的趨勢。
IT運維人員一般通過遠程方式進行IT管理,如命令行方式(Telnet�����、SSH)和圖形化方式(RDP�、VNC)對數據中心的服務器進行管理,這些方式雖然方便、靈活,但接入點多�����,存在重大安全隱患���,并難于進行安全管控�。
需求分析
ERP數據安全控制的需求
對于高度敏感的ERP數據進行安全管控,防止未經過授權的人訪問�、操作ERP數據�����;對授權人員的訪問行為進行細粒度授權,如拷貝���、刪除、打印等行為�����;對敏感行為進行授權���、報警��、阻斷等,如大批量查詢��、刪除等�����;
可審計的需求
對所有的數據操作行為可回溯��、可審計;
法規遵循的需求
對于準備進行資本運作的企業特別是海外上市的中國企業���,首先需要遵循的是塞班斯法案�。其下屬企業單位也必須投資相關技術����,為企業整體法規遵從提供技術實現的保障。塞班斯法案要求在美國的上市公司涉及產生財務交易的所有作業流程都必須做到透明可見�����,并且這些流程必須詳細記錄到能夠追查交易源頭的程度����。由于IT系統和財務報告的緊密關聯性,因此需要加強對IT控制以達到SOX法案的合規要求��。此外SOX法案第404條款還要求�,企業必須建立一個基礎設施以確保所有的記錄和數據不會被毀壞、丟失、未經授權的變更和錯誤的使用。所以���,SOX法案在合規方面要求企業必須對信息系統的活動進行記錄,同時對所有信息系統的日志進行有效地管理以實現內部控制的目的。
隨著“中國版薩班斯法案”——《企業內部控制基本規范》的問世和09年率先在國內上市公司的施行����,國內的企業和組織也面臨著加強對內部進行監控,提供審計人員相關審核依據的要求����。其中第一章第五條明確指出要對信息技術進行控制���,以確保財務數據的真實性����;第四章第五十三條也提出“企業應當完整收集�、妥善保存控制措施實施過程中的相關記錄或者資料,確?����?刂拼胧嵤┻^程的可驗證性”�。
ERP數據安全特征分析
廠商或第三方服務商代維
由于ERP系統具有專業性、復雜性等特點�����,一般企業用戶均將系統的運維和服務交由ERP廠商或者專業服務商負責���。外部的運維人員在對系統進行維護的過程中�,基本沒有任何的安全措施防范數據泄漏問題。對出現的運維事故或者泄密事件�����,無法定位清楚事故責任和泄密主體���。
結構化數據類型
ERP數據一般為存儲在數據庫中的結構化數據��,數據容易辨析和采用技術手段獲取�,極易造成批量數據的泄露���。因此對數據庫的安全防護至關重要��,而ERP系統的數據庫由于各種原因成為最薄弱的安全環節,如弱口令、同賬號甚至使用初始口令的問題����。
解決方案
ERP系統涵蓋了應用企業最關鍵和最敏感的信息資源,從中可以找出一個企業的組織架構、管理理念����、客戶資源���、人力資源組成��、企業產能、銷售渠道、合作伙伴、競爭對手等方方面面的信息���。正因如此,凸顯出建立信息安全管理機制�����、保護ERP的安全迫在眉睫。然而目前很多企業在ERP項目建設的時候,沒有建立數據安全機制�����,忽略ERP系統信息安全的問題��。無論是ERP系統的產品供應商�,還是實施服務商�����、第三方咨詢機構��,都對ERP系統功能過多關注���,而對ERP信息安全問題輕描淡寫�����,甚至視而不見�。 泰然神州針對ERP數據安全最為薄弱的運維安全環節����,基于“身份可識別,訪問經授權��,過程可控制����,事后可審計”的設計思路,推出了Zendeep(神電)ERP數據運維安全管理解決方案����,徹底消除ERP數據泄露的重大安全隱患���。
Zendeep(神電)運維安全管理系統就像是ERP系統和管理維護人員之間的一個“操控平臺”���,IT人員只能通過該平臺對ERP系統包括數據庫�、主機進行操作�����,是統一的操作維護入口����。
身份認證
平臺具有身份認證系統�����,保證只有經過授權的內部或第三方運維人員登錄系統;
訪問授權
同時平臺具有授權功能���,對什么人在什么時間、通過什么網絡�����、訪問什么系統都可以做細粒度的安全控制���;
事中控制
它可以對敏感行為進行事中控制��,如對數據庫導出����、復制�、刪除等行為進行阻斷。
事后審計
系統具有非常強大的審計功能���,就像一臺“操作錄像機”,可以實時地�����、完整地記錄用戶的操作,并提供方便靈活的操作回放或查詢檢索的手段�?���?梢詫赥elnet���、FTP�����、SSH、RDP�、VNC等協議的訪問操作進行過程的抓取����,從而可以錄像方式對所有運維人員的所有操作進行記錄��,并具備強大的搜索功能�����,可對特定時段、特定事件�����、特定用戶等邏輯要素進行搜索與提取——從而達到真正意義上的審計與風險控制��。
方案特點
統一操控平臺�����,安全狀況盡在掌握
出入口的統一有利于操作審計工作的進行,通過最簡單有效的集中化管理�����、帳號及密碼的統一管理�����、訪問權限策略的集中配置���、操作命令防火墻策略的集中配置及用戶操作行為的集中審計,為統一審計提供根本保障,使企業IT運維的安全狀況盡在掌握中。
數據不落地�,安全更有保障
數據全部于操控平臺端運行�,不傳輸到操作人員本地電腦���。
審計第三方人員
隨著將越來越多的將非核心業務外包給ERP廠商或者其他專業代維公司��,如參與系統建設的各IT服務廠商�����,公司的固定合作伙伴,在適當的環境和因素下,都有可能有意或無意接觸到企業內部敏感數據�,發生安全事件�,造成安全事故���。本系統可以有效地監控設備廠商和代維人員的操作行為,并進行嚴格的審計����。
統一管理平臺,工作復雜度大幅度降低
運維審計管理平臺作為企業運維的唯一操作入口,對操作進行集中管理,對身份�、賬號��、訪問、權限、審計進行控制���,不需要調整網絡、不需要更改交換機/路由器配置、不需要安裝任何代理程序。使運維管理工作的復雜程度大幅度降低��。普通操作用戶只需一次登錄平臺�,鍵入一次密碼,隨后對于相關設備的訪問不再需要相應賬戶密碼��。如此,對于各類設備能在一個操作界面內完成工作,無需用戶在各系統間切換,免去了多次輸入用戶名和口令的繁瑣�。
支持云計算模式
現在越來越多的ERP系統托管于云端�,甚至直接使用SaaS模式的ERP系統�����。對于核心的ERP數據部署于云端,是否能保障數據的安全是企業關注的問題�����。通過Zendeep運維安全平臺��,能讓運維服務商對工程師進行細粒度的授權和安全管控����,企業也能通過該平臺監控到并審計服務商的運維行為��。
支持智能設備運維
Zendeep運維安全平臺�����,支持IT運維人員通過智能設備如ipad的運維行為,極大的提升了運維人員的工作靈活性和效率。
方案價值
安全
通過Zendeep運維安全平臺����,構建4A(賬號����、驗證�、授權、審計)框架的ERP系統數據安全方案�,防范重大安全隱患�,做到“事前防范��、事中控制�����、事后審計”。
合規
全面滿足薩班斯法案和國內內控規范的要求�����。按照中國監管當局制定的實施時間表���,境內外同時上市的公司需于2011年1月1日起首先實施配套指引����,而實施范圍會于2012年1月1日起擴大至在上海證券交易所和深圳證券交易所主板上市的公司����。對于還未實施相關內部控制措施的企業而言,時間十分緊迫���。采用泰然神州運維安全審計方案,能在較短時間內完成內控體系建設����,通過加強IT內控�����,優化財務流程和財務應用系統等,滿足監管機構和外部審計師的要求����。
效率
通過運維安全平臺系統的實施�����,可以統一管理IT資產設備、賬號��、運維工具����,能夠使運維管理工作的復雜程度大幅度降低,提升IT工作效率�。
后記
隨著ERP系統在國內企業的普遍應用�,ERP的安全問題日益暴露出來����,除了以上提到的安全重大隱患之外,還有物理安全��、運行安全等系列安全問題����。根本方法是要建立健全的ERP信息安全管理制度,建立全方位ERP數據安全防護管理體系�����,采用相應的策略與技術�����,通過制度和手段的結合����,達到最佳的信息安全管理效果�����。
建立ERP安全評估機制
這是信息安全管理體系的第一步���。利用安全評估模型�����,預見�����、發現系統中每一環節所產生的(或潛在的)風險條件����,為ERP系統持續安全運行減少風險隱患�。
建立ERP安全防護策略與制度
通過確定關鍵信息、崗位配置、工作人員的權限�����,明確企業ERP信息的使用范圍和處理方式�。保護計算機設備、設施����,防止病毒�、黑客等入侵�、篡改和破壞,監督管理員��、應用人員在安全管理制度和安全規范下嚴格執行安全操作和管理�。
做好ERP安全防護技術的實施
主要是服務器安全控制、登錄安全控制�����、數據庫安全控制三大項的實施���。這是對信息安全防護策略
度執行情況的監控手段��,是維護信息安全管理體系的保障����。
做好ERP安全防護效果分析總結與評估
通過對信息安全管理效果持續不斷的分析和評估�,可以不斷發現新的安全漏洞和隱患�,完善信息安全防護策略和制度。只要以科學嚴謹的態度對待信息安全問題�,建立切實有效的ERP信息安全管理體系�,就會將企業ERP系統安全風險降至最小���,取得最佳實施效果。
