云erp常見挑戰(zhàn)

　　在企業(yè)服務市場中，云ERP始終是一類較為熱門的產(chǎn)品，無論是SAP的S/4 HANA還是Oracle的ERP Cloud，亦或用友的U8 Cloud與金蝶的K/3 Cloud也總是人們所熱議的對象?？墒撬坪踉谠艵RP逐漸成熟與推廣開的今日，安全這個老問題卻依然存在。

　　根據(jù)非營利組織Cloud Security Alliance(CSA)的一項研究，企業(yè)在進行ERP系統(tǒng)遷移時依然會遇到許多挑戰(zhàn)，特別是在安全方面。

　　CSA在報告中寫到，云ERP系統(tǒng)的確可以為企業(yè)帶來便利，而且鑒于其中所具有的的各種業(yè)務技術，它們的總擁有成本也低于那些本地的ERP系統(tǒng)。2017年，那些同時銷售云ERP與本地ERP產(chǎn)品的公司表示他們云服務方面的收入呈現(xiàn)出了兩位數(shù)的增長。相比之下，雖然本地軟件的收入也在增加，但增速較為緩慢。

　　另一方面，CSA也明確指出，由于ERP系統(tǒng)本身的特性，在云中進行ERP系統(tǒng)保護是一個比較刺手的問題。CSA認為ERP是一個“關鍵業(yè)務性的應用程序”，并將它定義為一個支持日常業(yè)務運行的軟件。ERP通常會與企業(yè)的整個業(yè)務系統(tǒng)相集成，并允許所有類型的員工進行訪問，而最為關鍵的是，ERP中會包含那些重要與敏感的企業(yè)核心數(shù)據(jù)及信息。

　　CSA研究部主任，也是報告主要作者之一的John Yeoh說道，“ERP中集成了你所有核心的業(yè)務流程，因此它將影響你整個業(yè)務的運作方式。所以我們有必要談一談在進行ERP或相類似系統(tǒng)的云遷移時，你業(yè)務會受到的那些影響”。

　　在報告中，CSA警告到，“鑒于其功能的特征，ERP系統(tǒng)存在極高的網(wǎng)絡安全漏洞風險”。對此，CSA列出了一系列企業(yè)需要在云ERP系統(tǒng)中解決的問題，并給予了一些建議。

　　數(shù)據(jù)應該在哪?

　　數(shù)據(jù)冗余，或數(shù)據(jù)的實際位置是所有種類云服務中長期存在的問題，因為數(shù)據(jù)可以存儲在任何地方的數(shù)據(jù)中心中，而且還需要符合當?shù)氐姆珊蜅l例。一項相關的法律就是歐盟發(fā)布的“一般數(shù)據(jù)保護條例”，該條例將于5月實施，屆時它將限制歐洲公司數(shù)據(jù)的存儲位置。

　　報告中寫到，“ERP應用最重要的資產(chǎn)就是其中所擁有的數(shù)據(jù)”。大多數(shù)的供應商會讓企業(yè)去進行數(shù)據(jù)中心的選擇，因此他們可以對數(shù)據(jù)所在位置進行控制。報告建議到，在企業(yè)進行軟件選型時，必須去進行充足的法律與合規(guī)性咨詢以便做出合適的選擇，并同時需要確認供應商對于合規(guī)性做出的承諾。

　　誰可以獲得訪問授權?

　　在進行ERP系統(tǒng)選型時，企業(yè)還需要考慮他們將如何進行用戶訪問授權，并能夠去確認訪問者的身份。這需要身份管理、授權系統(tǒng)、單點登錄等功能。

　　Yeoh表示，企業(yè)可以做出不同的選擇。比如身份管理，企業(yè)可以去使用他們ERP供應商自己的產(chǎn)品，也可以去部署第三方供應商的產(chǎn)品。但是為了找出一套最佳方案，他們應該對自身組織進行定制化的評估，并確認需要進行系統(tǒng)訪問的用戶人數(shù)。

　　而在報告中，CSA還指出，用戶活動和訪問監(jiān)控也很重要，因為這可以幫助企業(yè)揭示出“用戶正在做的事情并檢測出那些惡意和異常的用戶行為”。

　　誰將對安全進行負責?

　　Yeoh表示，在云ERP供應商與企業(yè)關系中，確定哪一方進行安全措施負責“永遠是一項挑戰(zhàn)”。他舉出了“云控制矩陣”(Cloud Controls Matrix)的例子，這是一個安全保障綱要，它不僅幫助企業(yè)去確認自己需要的安全程度，而且它還可以幫助企業(yè)和云供應商明確各自的責任。

　　例如，補丁應該是供應商的工作，他們需要確保自己的產(chǎn)品和服務“沒有漏洞”。但企業(yè)需要清楚何時供應商可以完成補丁的制作以便不至于面臨服務停滯的情況，而且企業(yè)還必須確保他們的供應商首先去進行這項工作。

　　CSA的報告繼續(xù)補充到，在進行云ERP選型時，企業(yè)還應該對供應商進行盡職調查。他們需要確定供應商符合哪些網(wǎng)絡安全協(xié)議與標準，比如由國際標準化組織和國際電工委員會共同發(fā)布的ISO / IEC 27000系列標準。企業(yè)應該對供應商進行全面的調研，然后進行風險管理評估以權衡云遷移過程中的風險與收益。

　　購買現(xiàn)成的SaaS ERP產(chǎn)品還是自己進行“DIY”?

　　作為一種云產(chǎn)品，企業(yè)既可以通過互聯(lián)網(wǎng)去購買那些現(xiàn)成的云ERP產(chǎn)品，即SaaS ERP，又可以通過AWS或微軟Azure的IaaS架構去構建自己的云ERP。

　　但是，CSA的報告警告到，這種兩種模式各有自己的一些問題，而企業(yè)也需要去進行相應的處理。例如，SaaS ERP可能更容易遭受到網(wǎng)絡攻擊的威脅，因為它們完全運行在網(wǎng)絡之中，并且人們可以通過不同地方的瀏覽器對它們進行訪問。而對于那些構建于IaaS中的ERP，雖然IaaS供應商可以對操作系統(tǒng)與企業(yè)數(shù)據(jù)庫進行保護，但企業(yè)需要像管理本地部署軟件一樣去維護自身系統(tǒng)的安全。

發(fā)布：2021-05-18 13:42 編輯：泛普軟件 · hujian [打印此頁] [關閉]