¿A qué amenazas se enfrenta la seguridad de los datos de los sistemas ERP?

Desde el nivel de red, las amenazas a la seguridad de los datos de ERP provienen principalmente de dos aspectos. En primer lugar, la autorización de acceso externo no está estandarizada; en segundo lugar, puede haber escuchas en la red interna.

1. La autorización de acceso externo no está estandarizada.

Para ampliar el campo de aplicación y satisfacer las necesidades de los empleados que viajan con frecuencia por negocios, el ERP se está convirtiendo gradualmente en un modelo B/S. La mayor ventaja de este modelo es que puede proporcionar fácilmente acceso externo. Incluso cuando los empleados están en viajes de negocios, pueden acceder fácilmente al sistema ERP interno a través de un navegador. Aunque esto aporta una gran comodidad a nuestro trabajo, también amplía el espacio de uso del sistema ERP. Sin embargo, no cabe duda de que también trae grandes amenazas a la seguridad de nuestros sistemas.

En primer lugar, el uso del sistema fuera de la empresa no se puede gestionar de forma eficaz. Si el comprador está en un viaje de negocios y es un poco egoísta, puede confabularse con el proveedor, acceder al sistema ERP desde el exterior y decirle al proveedor el plan de compras reciente de la empresa y los precios de otros proveedores, de modo que la empresa pierda. la iniciativa en las compras. A menudo se producen situaciones similares porque los empleados que están en viajes de negocios no pueden gestionar eficazmente el uso del sistema. Por lo tanto, para el acceso externo, por un lado, el número de accesos externos debe administrarse estrictamente y quién tiene derecho al acceso externo también debe restringirse estrictamente; por otro lado, es mejor administrar los usuarios de acceso remoto individualmente, especialmente los cambiantes; contraseñas con frecuencia para evitar que los nombres de usuario y las contraseñas se filtren inadvertidamente a personas de otras empresas. En otras palabras, se cuelga un generador de contraseñas en la computadora del empleado y se sincroniza con el servidor ERP. Generalmente hay alrededor de diez tipos. El servidor regenerará un nombre de usuario y una contraseña y luego generará tanto el nombre de usuario como la contraseña en el generador de contraseñas del empleado. Debido a que las reglas generadas por ambos son las mismas, los empleados pueden iniciar sesión en el sistema ERP utilizando el nombre de usuario y la contraseña en el generador de contraseñas. Esto puede resolver el problema de la fuga de contraseñas cuando se utiliza el sistema ERP en el exterior.

En segundo lugar, en algunos casos, a los clientes se les pueden conceder algunos derechos de acceso remoto. Si este permiso no se establece correctamente, es probable que se le proporcione al cliente cierta información a la que no pueda acceder. Hoy en día, a medida que la gestión de la información juega un papel cada vez más importante en las empresas, algunos clientes exigirán activamente a sus proveedores que utilicen sistemas ERP y proporcionen interfaces de acceso a la red para comprender el progreso de sus pedidos en tiempo real a través de la red. Por lo tanto, las empresas deben proporcionarles usuarios de ERP para acceso remoto. Sin embargo, aquí existe una amenaza a la seguridad. Si nuestros permisos se configuran incorrectamente, los clientes pueden acceder a parte de la información confidencial de la empresa, como los costos de los productos, etc. Por lo tanto, ante la fuerte petición de los clientes, cuando queremos proporcionarles permisos de acceso remoto al sistema ERP, debemos prestar atención a la configuración de permisos. No puede darles acceso a datos a los que no deberían tener acceso. Mi sugerencia es que cuando esto suceda, monitorees los datos a los que accede este usuario para ver a qué datos ha accedido y si hay un acceso ilegal. Si es así, haga los ajustes oportunos. Muchos sistemas ERP ahora tienen funciones de registro de acceso de usuarios. Con esta función, los derechos de acceso de los usuarios se pueden gestionar de forma eficaz.

2. Puede haber escuchas en la intranet.

Considerando desde el nivel de red, además del riesgo de fuga de datos causado por una gestión inadecuada del acceso externo, también existe una gran vulnerabilidad de seguridad, que es el problema de las escuchas ilegales en la red. La mayoría de los sistemas ERP actuales transfieren datos entre el servidor y el cliente a través de texto claro. Los usuarios solo necesitan instalar un software de monitoreo en la red para comprender completamente el contenido al que accede el usuario y omitir la configuración de permisos del cliente, logrando así el propósito de interceptar los datos de la red.

Aunque las escuchas ilegales en la red pueden requerir altos requisitos técnicos, con la proliferación de herramientas de piratería en Internet, no es muy difícil completar este trabajo de escuchas ilegales. Creo que cualquier empleado sólo necesita media hora de formación para dominar esta habilidad y completar la tarea de espiar los datos del ERP.

Por lo tanto, en lugar de buscar responsabilidad después de una filtración de datos, es mejor prevenir y resolver las vulnerabilidades de filtración de datos en primer lugar.

Para resolver el problema de las escuchas ilegales de datos durante la transmisión de la red, la mejor manera es exigir que los datos de ERP se cifren durante la transmisión y se transmitan mediante texto cifrado en lugar de texto sin formato. De esta manera, los empleados pueden escuchar a escondidas los datos de manera oportuna, que además son confusos y tienen poco valor práctico.

Así que si esto nos preocupa, será mejor que lo tengamos en cuenta a la hora de elegir un sistema ERP. Los sistemas proporcionados por los proveedores de ERP requieren que los datos cifrados se transmitan a través de la red durante el acceso a los datos, en lugar de una simple transmisión de texto claro. Esta tecnología está ahora relativamente madura. Es solo que muchos proveedores de ERP no prestaron atención a este problema antes, por lo que no combinaron esta tecnología con el sistema ERP. Por lo tanto, si queremos seleccionar datos de ERP durante la transmisión de la red e implementar tecnología de cifrado, el alcance de nuestro sistema ERP puede ser mucho menor.

Sin embargo, si la empresa ya utiliza un sistema ERP y el sistema actual no proporciona la función de cifrado para la transmisión de datos de la red. Entonces, ¿cómo podemos garantizar la seguridad de los datos durante la transmisión de la red? Podemos utilizar tecnología de cifrado especial para cifrar datos durante la transmisión de red. Por ejemplo, Microsoft proporciona una política de seguridad de IP. Con esta tecnología, se puede lograr la transmisión de texto cifrado entre el cliente y el servidor. Por supuesto, además de la política de seguridad de IP de Microsoft, existen otros métodos de cifrado de transmisión de red que los usuarios pueden elegir utilizar según sus propias necesidades.

En segundo lugar, las amenazas del sistema ERP

Si el sistema ERP en sí no se gestiona adecuadamente, también existe el riesgo de fuga de datos. Desde la perspectiva del sistema ERP, la principal amenaza a la seguridad es causada por una configuración incorrecta de permisos.

Primero, los permisos de precios están configurados incorrectamente. Recuerdo que utilicé el sistema ERP EasyFly de Digital China, que tenía autoridad especial para la gestión de precios. Puede establecer si los precios se pueden cambiar y consultar a nivel de usuario o de tabla. Podemos hacer que algunos usuarios sean invisibles a nivel de usuario que no necesitan acceder a los precios. Podrás solucionar el problema de una vez por todas. Algunos sistemas ERP no proporcionan funciones similares y solo pueden establecer los derechos de acceso a precios uno por uno. Inevitablemente habrá peces que se escapen de la red. Puede que solo fijen el precio y no puedan acceder a él en la ventana, pero puede que tengan el precio cuando exporten el informe, etc. Además, los precios son básicamente datos sensibles para las empresas. Entonces, cuando configuramos permisos en EPR, tenemos que comenzar con el precio.

En segundo lugar, la configuración de exportación de informes no es adecuada. Se recopila mucha información importante en el informe. Si el informe se puede exportar a voluntad, no habrá privacidad para esta información. Por lo tanto, debemos imponer restricciones especiales a los permisos de exportación de informes. No se puede permitir que cada usuario exporte informes a voluntad. Normalmente, los usuarios sólo pueden ver informes, no exportarlos. Este es un principio. Si los usuarios realmente necesitan exportar informes, deberían solicitarlo. Especialmente para algunos informes de datos confidenciales, como información de clientes, precios de productos, etc. , la función de exportación de informes suele estar bloqueada. Los administradores pueden exportarlo solo si es necesario.

En tercer lugar, la configuración del nombre de usuario y la contraseña es demasiado simple. Me he encontrado con algunos usuarios cuyas configuraciones de contraseña son demasiado simples, lo que facilita que otros usuarios adivinen la contraseña. El resultado directo es que otros usuarios pueden acceder al sistema utilizando usuarios autorizados si no tienen permiso. Como la contraseña es sencilla, conocen las contraseñas de acceso de otros usuarios. Si tengo un cliente, al configurar el nombre de usuario y la contraseña, el nombre de usuario es su número de empleado y la contraseña está unificada, como por ejemplo 123456. Dicho nombre de usuario y contraseña son inútiles incluso si los permisos están configurados perfectamente. Los usuarios pueden obtener fácilmente los nombres de usuario y contraseñas de otras personas y utilizar otros usuarios autorizados para iniciar sesión y acceder al sistema sin sus propios permisos. En este caso, ¿la configuración de permisos no es solo de nombre? Por lo tanto, debes ser científico al configurar tu nombre de usuario y contraseña. El nombre de usuario se puede escribir de acuerdo con su propio número de empleado, pero la contraseña debe ser complicada para que sea difícil de adivinar y es mejor adoptar una estrategia de cambio regular de contraseñas para que los usuarios puedan cambiar sus contraseñas con regularidad para evitarlo; fugas de contraseña.