作為企業(yè)核心數(shù)據(jù)資產(chǎn)的ERP系統(tǒng)數(shù)據(jù),一般存儲于各種主機(jī)、數(shù)據(jù)庫之中。而服務(wù)器、數(shù)據(jù)庫對于一個特殊人群—IT人員來講,可以說是大門洞開,基本沒有任何安全防范。正是面對以上安全隱患,泰然神州提出了一種對數(shù)據(jù)庫、服務(wù)器等的安全管控解決方案。
現(xiàn)狀
ERP數(shù)據(jù)是企業(yè)核心的信息資產(chǎn),數(shù)據(jù)的丟失、泄露會為企業(yè)的業(yè)務(wù)帶來巨大損失。對于掌握公民信息的企業(yè),信息的泄露甚至要承擔(dān)一定的法律責(zé)任。對于公眾型企業(yè),數(shù)據(jù)安全事件會嚴(yán)重影響企業(yè)形象。
世界權(quán)威的調(diào)查報告顯示內(nèi)部IT人員正在成為企業(yè)數(shù)據(jù)威脅的第一要素。在對400位IT人員的調(diào)查后,其中大多數(shù)人來自于大型企業(yè)。報告顯示,在受訪者中,67%的人承認(rèn),他們訪問與工作內(nèi)容不相關(guān)的機(jī)密信息。在談到,公司內(nèi)部哪個部門最容易去窺探時,54%的人表示是IT部門,由于該部門有著公司內(nèi)部多計算機(jī)系統(tǒng)給的權(quán)利與責(zé)任。
根據(jù)調(diào)查顯示,除了出于好奇的內(nèi)部窺探,一些機(jī)密數(shù)據(jù)也可能泄漏給競爭對手。在接受調(diào)查的高級IT人士中,35%的人認(rèn)為,高度敏感的機(jī)密信息會被轉(zhuǎn)移到企業(yè)的競爭對手手中。除此以外,37%的人認(rèn)為,突破口是心懷不滿的前雇員,其次28%的人認(rèn)為是人為操作失誤。在該名單上,外部突破和黑客入侵只占到10%的比例。
IT人員是系統(tǒng)的“特殊”使用團(tuán)隊,一般具有系統(tǒng)的高級權(quán)限,對IT人員的安全管控及行為審計日漸成為數(shù)據(jù)安全的的必備部分,尤其是目前很多企業(yè)為了降低IT成本,采用外包的方式,由企業(yè)外部人員管理網(wǎng)絡(luò)及服務(wù)器設(shè)備,由外部維護(hù)人員產(chǎn)生的信息安全泄露已經(jīng)逐漸呈上升的趨勢。
IT運維人員一般通過遠(yuǎn)程方式進(jìn)行IT管理,如命令行方式(Telnet、SSH)和圖形化方式(RDP、VNC)對數(shù)據(jù)中心的服務(wù)器進(jìn)行管理,這些方式雖然方便、靈活,但接入點多,存在重大安全隱患,并難于進(jìn)行安全管控。
需求分析
ERP數(shù)據(jù)安全控制的需求
對于高度敏感的ERP數(shù)據(jù)進(jìn)行安全管控,防止未經(jīng)過授權(quán)的人訪問、操作ERP數(shù)據(jù);對授權(quán)人員的訪問行為進(jìn)行細(xì)粒度授權(quán),如拷貝、刪除、打印等行為;對敏感行為進(jìn)行授權(quán)、報警、阻斷等,如大批量查詢、刪除等;
可審計的需求
對所有的數(shù)據(jù)操作行為可回溯、可審計;
法規(guī)遵循的需求
對于準(zhǔn)備進(jìn)行資本運作的企業(yè)特別是海外上市的中國企業(yè),首先需要遵循的是塞班斯法案。其下屬企業(yè)單位也必須投資相關(guān)技術(shù),為企業(yè)整體法規(guī)遵從提供技術(shù)實現(xiàn)的保障。塞班斯法案要求在美國的上市公司涉及產(chǎn)生財務(wù)交易的所有作業(yè)流程都必須做到透明可見,并且這些流程必須詳細(xì)記錄到能夠追查交易源頭的程度。由于IT系統(tǒng)和財務(wù)報告的緊密關(guān)聯(lián)性,因此需要加強(qiáng)對IT控制以達(dá)到SOX法案的合規(guī)要求。此外SOX法案第404條款還要求,企業(yè)必須建立一個基礎(chǔ)設(shè)施以確保所有的記錄和數(shù)據(jù)不會被毀壞、丟失、未經(jīng)授權(quán)的變更和錯誤的使用。所以,SOX法案在合規(guī)方面要求企業(yè)必須對信息系統(tǒng)的活動進(jìn)行記錄,同時對所有信息系統(tǒng)的日志進(jìn)行有效地管理以實現(xiàn)內(nèi)部控制的目的。
隨著“中國版薩班斯法案”——《企業(yè)內(nèi)部控制基本規(guī)范》的問世和09年率先在國內(nèi)上市公司的施行,國內(nèi)的企業(yè)和組織也面臨著加強(qiáng)對內(nèi)部進(jìn)行監(jiān)控,提供審計人員相關(guān)審核依據(jù)的要求。其中第一章第五條明確指出要對信息技術(shù)進(jìn)行控制,以確保財務(wù)數(shù)據(jù)的真實性;第四章第五十三條也提出“企業(yè)應(yīng)當(dāng)完整收集、妥善保存控制措施實施過程中的相關(guān)記錄或者資料,確保控制措施實施過程的可驗證性”。
ERP數(shù)據(jù)安全特征分析
廠商或第三方服務(wù)商代維
由于ERP系統(tǒng)具有專業(yè)性、復(fù)雜性等特點,一般企業(yè)用戶均將系統(tǒng)的運維和服務(wù)交由ERP廠商或者專業(yè)服務(wù)商負(fù)責(zé)。外部的運維人員在對系統(tǒng)進(jìn)行維護(hù)的過程中,基本沒有任何的安全措施防范數(shù)據(jù)泄漏問題。對出現(xiàn)的運維事故或者泄密事件,無法定位清楚事故責(zé)任和泄密主體。
結(jié)構(gòu)化數(shù)據(jù)類型
ERP數(shù)據(jù)一般為存儲在數(shù)據(jù)庫中的結(jié)構(gòu)化數(shù)據(jù),數(shù)據(jù)容易辨析和采用技術(shù)手段獲取,極易造成批量數(shù)據(jù)的泄露。因此對數(shù)據(jù)庫的安全防護(hù)至關(guān)重要,而ERP系統(tǒng)的數(shù)據(jù)庫由于各種原因成為最薄弱的安全環(huán)節(jié),如弱口令、同賬號甚至使用初始口令的問題。
解決方案
ERP系統(tǒng)涵蓋了應(yīng)用企業(yè)最關(guān)鍵和最敏感的信息資源,從中可以找出一個企業(yè)的組織架構(gòu)、管理理念、客戶資源、人力資源組成、企業(yè)產(chǎn)能、銷售渠道、合作伙伴、競爭對手等方方面面的信息。正因如此,凸顯出建立信息安全管理機(jī)制、保護(hù)ERP的安全迫在眉睫。然而目前很多企業(yè)在ERP項目建設(shè)的時候,沒有建立數(shù)據(jù)安全機(jī)制,忽略ERP系統(tǒng)信息安全的問題。無論是ERP系統(tǒng)的產(chǎn)品供應(yīng)商,還是實施服務(wù)商、第三方咨詢機(jī)構(gòu),都對ERP系統(tǒng)功能過多關(guān)注,而對ERP信息安全問題輕描淡寫,甚至視而不見。 泰然神州針對ERP數(shù)據(jù)安全最為薄弱的運維安全環(huán)節(jié),基于“身份可識別,訪問經(jīng)授權(quán),過程可控制,事后可審計”的設(shè)計思路,推出了Zendeep(神電)ERP數(shù)據(jù)運維安全管理解決方案,徹底消除ERP數(shù)據(jù)泄露的重大安全隱患。
Zendeep(神電)運維安全管理系統(tǒng)就像是ERP系統(tǒng)和管理維護(hù)人員之間的一個“操控平臺”,IT人員只能通過該平臺對ERP系統(tǒng)包括數(shù)據(jù)庫、主機(jī)進(jìn)行操作,是統(tǒng)一的操作維護(hù)入口。
身份認(rèn)證
平臺具有身份認(rèn)證系統(tǒng),保證只有經(jīng)過授權(quán)的內(nèi)部或第三方運維人員登錄系統(tǒng);
訪問授權(quán)
同時平臺具有授權(quán)功能,對什么人在什么時間、通過什么網(wǎng)絡(luò)、訪問什么系統(tǒng)都可以做細(xì)粒度的安全控制;
事中控制
它可以對敏感行為進(jìn)行事中控制,如對數(shù)據(jù)庫導(dǎo)出、復(fù)制、刪除等行為進(jìn)行阻斷。
事后審計
系統(tǒng)具有非常強(qiáng)大的審計功能,就像一臺“操作錄像機(jī)”,可以實時地、完整地記錄用戶的操作,并提供方便靈活的操作回放或查詢檢索的手段。可以對基于Telnet、FTP、SSH、RDP、VNC等協(xié)議的訪問操作進(jìn)行過程的抓取,從而可以錄像方式對所有運維人員的所有操作進(jìn)行記錄,并具備強(qiáng)大的搜索功能,可對特定時段、特定事件、特定用戶等邏輯要素進(jìn)行搜索與提取——從而達(dá)到真正意義上的審計與風(fēng)險控制。
方案特點
統(tǒng)一操控平臺,安全狀況盡在掌握
出入口的統(tǒng)一有利于操作審計工作的進(jìn)行,通過最簡單有效的集中化管理、帳號及密碼的統(tǒng)一管理、訪問權(quán)限策略的集中配置、操作命令防火墻策略的集中配置及用戶操作行為的集中審計,為統(tǒng)一審計提供根本保障,使企業(yè)IT運維的安全狀況盡在掌握中。
數(shù)據(jù)不落地,安全更有保障
數(shù)據(jù)全部于操控平臺端運行,不傳輸?shù)讲僮魅藛T本地電腦。
審計第三方人員
隨著將越來越多的將非核心業(yè)務(wù)外包給ERP廠商或者其他專業(yè)代維公司,如參與系統(tǒng)建設(shè)的各IT服務(wù)廠商,公司的固定合作伙伴,在適當(dāng)?shù)沫h(huán)境和因素下,都有可能有意或無意接觸到企業(yè)內(nèi)部敏感數(shù)據(jù),發(fā)生安全事件,造成安全事故。本系統(tǒng)可以有效地監(jiān)控設(shè)備廠商和代維人員的操作行為,并進(jìn)行嚴(yán)格的審計。
統(tǒng)一管理平臺,工作復(fù)雜度大幅度降低
運維審計管理平臺作為企業(yè)運維的唯一操作入口,對操作進(jìn)行集中管理,對身份、賬號、訪問、權(quán)限、審計進(jìn)行控制,不需要調(diào)整網(wǎng)絡(luò)、不需要更改交換機(jī)/路由器配置、不需要安裝任何代理程序。使運維管理工作的復(fù)雜程度大幅度降低。普通操作用戶只需一次登錄平臺,鍵入一次密碼,隨后對于相關(guān)設(shè)備的訪問不再需要相應(yīng)賬戶密碼。如此,對于各類設(shè)備能在一個操作界面內(nèi)完成工作,無需用戶在各系統(tǒng)間切換,免去了多次輸入用戶名和口令的繁瑣。
支持云計算模式
現(xiàn)在越來越多的ERP系統(tǒng)托管于云端,甚至直接使用SaaS模式的ERP系統(tǒng)。對于核心的ERP數(shù)據(jù)部署于云端,是否能保障數(shù)據(jù)的安全是企業(yè)關(guān)注的問題。通過Zendeep運維安全平臺,能讓運維服務(wù)商對工程師進(jìn)行細(xì)粒度的授權(quán)和安全管控,企業(yè)也能通過該平臺監(jiān)控到并審計服務(wù)商的運維行為。
支持智能設(shè)備運維
Zendeep運維安全平臺,支持IT運維人員通過智能設(shè)備如ipad的運維行為,極大的提升了運維人員的工作靈活性和效率。
方案價值
安全
通過Zendeep運維安全平臺,構(gòu)建4A(賬號、驗證、授權(quán)、審計)框架的ERP系統(tǒng)數(shù)據(jù)安全方案,防范重大安全隱患,做到“事前防范、事中控制、事后審計”。
合規(guī)
全面滿足薩班斯法案和國內(nèi)內(nèi)控規(guī)范的要求。按照中國監(jiān)管當(dāng)局制定的實施時間表,境內(nèi)外同時上市的公司需于2011年1月1日起首先實施配套指引,而實施范圍會于2012年1月1日起擴(kuò)大至在上海證券交易所和深圳證券交易所主板上市的公司。對于還未實施相關(guān)內(nèi)部控制措施的企業(yè)而言,時間十分緊迫。采用泰然神州運維安全審計方案,能在較短時間內(nèi)完成內(nèi)控體系建設(shè),通過加強(qiáng)IT內(nèi)控,優(yōu)化財務(wù)流程和財務(wù)應(yīng)用系統(tǒng)等,滿足監(jiān)管機(jī)構(gòu)和外部審計師的要求。
效率
通過運維安全平臺系統(tǒng)的實施,可以統(tǒng)一管理IT資產(chǎn)設(shè)備、賬號、運維工具,能夠使運維管理工作的復(fù)雜程度大幅度降低,提升IT工作效率。
后記
隨著ERP系統(tǒng)在國內(nèi)企業(yè)的普遍應(yīng)用,ERP的安全問題日益暴露出來,除了以上提到的安全重大隱患之外,還有物理安全、運行安全等系列安全問題。根本方法是要建立健全的ERP信息安全管理制度,建立全方位ERP數(shù)據(jù)安全防護(hù)管理體系,采用相應(yīng)的策略與技術(shù),通過制度和手段的結(jié)合,達(dá)到最佳的信息安全管理效果。
建立ERP安全評估機(jī)制
這是信息安全管理體系的第一步。利用安全評估模型,預(yù)見、發(fā)現(xiàn)系統(tǒng)中每一環(huán)節(jié)所產(chǎn)生的(或潛在的)風(fēng)險條件,為ERP系統(tǒng)持續(xù)安全運行減少風(fēng)險隱患。
建立ERP安全防護(hù)策略與制度
通過確定關(guān)鍵信息、崗位配置、工作人員的權(quán)限,明確企業(yè)ERP信息的使用范圍和處理方式。保護(hù)計算機(jī)設(shè)備、設(shè)施,防止病毒、黑客等入侵、篡改和破壞,監(jiān)督管理員、應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理。
做好ERP安全防護(hù)技術(shù)的實施
主要是服務(wù)器安全控制、登錄安全控制、數(shù)據(jù)庫安全控制三大項的實施。這是對信息安全防護(hù)策略
度執(zhí)行情況的監(jiān)控手段,是維護(hù)信息安全管理體系的保障。
做好ERP安全防護(hù)效果分析總結(jié)與評估
通過對信息安全管理效果持續(xù)不斷的分析和評估,可以不斷發(fā)現(xiàn)新的安全漏洞和隱患,完善信息安全防護(hù)策略和制度。只要以科學(xué)嚴(yán)謹(jǐn)?shù)膽B(tài)度對待信息安全問題,建立切實有效的ERP信息安全管理體系,就會將企業(yè)ERP系統(tǒng)安全風(fēng)險降至最小,取得最佳實施效果。
關(guān)注
微信
關(guān)注博聶科官方微信
