我們?nèi)绾巫屆赓M(fèi)ERP的數(shù)據(jù)更加安全呢？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

因免費(fèi)ERP使用不當(dāng)，就可能造成數(shù)據(jù)的泄露和丟失。筆者已經(jīng)接到不少客戶的電話，詢問(wèn)ERP數(shù)據(jù)安全問(wèn)題。為此，筆者專門做了一個(gè)總結(jié)，希望能給大家?guī)?lái)幫助。

一、 來(lái)自網(wǎng)絡(luò)層面的威脅。從網(wǎng)絡(luò)層面來(lái)說(shuō)，ERP數(shù)據(jù)安全所遭受到的威脅主要來(lái)自于兩個(gè)方面。一是外部訪問(wèn)授權(quán)不夠規(guī)范;二是在內(nèi)部網(wǎng)絡(luò)上可能存在竊聽(tīng)。1、外部訪問(wèn)授權(quán)不夠規(guī)范。ERP為了擴(kuò)大使用領(lǐng)域，滿足不斷出差員工的需要，逐漸的向B/S模式發(fā)展。而這個(gè)模式最大的優(yōu)點(diǎn)，就是可以很方便的提供外部的訪問(wèn)。即員工出差在外，也可以通過(guò)瀏覽器很方便的訪問(wèn)到內(nèi)部的免費(fèi)ERP。這雖然給我們的工作帶了很大的便利，拓展了免費(fèi)ERP的使用空間。

但是，勿庸質(zhì)疑，也給我們系統(tǒng)帶來(lái)了很大的安全威脅。一是在企業(yè)外部使用系統(tǒng)，受不到有效的管理。如采購(gòu)員出差在外，若稍有一點(diǎn)私心，就可以跟供應(yīng)商勾結(jié)，把公司近期的采購(gòu)計(jì)劃、其他供應(yīng)商的價(jià)格等等，都可以通過(guò)外部訪問(wèn)免費(fèi)ERP的形式，告訴給供應(yīng)商，使得企業(yè)喪失采購(gòu)的主動(dòng)權(quán)。由于出差在外的員工使用系統(tǒng)受不到有效管理，所以類似的情況時(shí)有發(fā)生。

所以，對(duì)于外部訪問(wèn)，我們一方面要嚴(yán)格管理外部訪問(wèn)的人數(shù)，哪些人具有外部訪問(wèn)的權(quán)限，我們還要有嚴(yán)格的限制;另一方面，遠(yuǎn)程訪問(wèn)的用戶最好能夠單獨(dú)管理，特別是其密碼要不斷的變更，以防止不小心把用戶名與密碼泄露給其他公司的人員。也就是說(shuō)，在員工電腦上，掛著一個(gè)密碼生成器，這個(gè)是與ERP服務(wù)器同步的，一般在十分種左右，服務(wù)器就會(huì)重新生成一個(gè)用戶名與密碼，然后在員工的密碼生成器上，也會(huì)同時(shí)生成用戶名與密碼。因?yàn)閮烧呱傻囊?guī)則是一樣的，所以，員工可以用密碼生成器上的用戶名與密碼登陸免費(fèi)ERP。這樣就可以解決在外面使用免費(fèi)ERP的密碼泄露問(wèn)題。

二、 是在特定的情況下，或許會(huì)給客戶一些遠(yuǎn)程訪問(wèn)的權(quán)限，若這個(gè)權(quán)限設(shè)置不當(dāng)?shù)脑挘瑒t很可能把一些客戶不能訪問(wèn)的信息也提供給他們/?，F(xiàn)在隨著信息化管理在企業(yè)中的地位不斷加強(qiáng)，有些客戶會(huì)主動(dòng)要求他們的供應(yīng)商使用免費(fèi)ERP，并提供網(wǎng)絡(luò)訪問(wèn)的接口，讓他們可以通過(guò)網(wǎng)絡(luò)實(shí)時(shí)的了解他們定單的進(jìn)展。如此企業(yè)不得不給他們提供ERP用戶，讓他們進(jìn)行遠(yuǎn)程的訪問(wèn)。但是，這里就存在一個(gè)安全的威脅，若我們權(quán)限設(shè)置不當(dāng)?shù)脑挘蛻艟涂梢栽L問(wèn)到企業(yè)一些機(jī)密信息，如產(chǎn)品成本等等。所以，如在客戶的強(qiáng)烈要求下，要提供他們免費(fèi)ERP的遠(yuǎn)程訪問(wèn)權(quán)限時(shí)，我們一定要注意，權(quán)限的設(shè)置問(wèn)題。不能夠讓他們?cè)L問(wèn)一些不該訪問(wèn)的數(shù)據(jù)。

三、 用戶名密碼設(shè)置過(guò)于簡(jiǎn)單。我見(jiàn)過(guò)一些用戶，他們密碼設(shè)置太過(guò)與簡(jiǎn)單，這導(dǎo)致其他用戶很方便就可以猜到密碼。這直接的結(jié)果就是，其他用戶若自己沒(méi)有權(quán)限，則可以利用有權(quán)限的用戶進(jìn)行系統(tǒng)訪問(wèn)。因?yàn)橛捎诿艽a簡(jiǎn)單，他們知道其他用戶的訪問(wèn)密碼。如我有一家客戶，在設(shè)置用戶名與密碼的時(shí)候，用戶名就是他們的員工編號(hào)，而密碼呢，都是統(tǒng)一的，如123456。如此的用戶名與密碼，即使權(quán)限設(shè)置的再完美，也是沒(méi)有用的。用戶可以輕而易舉的獲得別人的用戶名與密碼，如此，在自己沒(méi)有權(quán)限的情況下，他們有可以利用其他有權(quán)限的用戶，進(jìn)行系統(tǒng)登陸與訪問(wèn)。如此的話，權(quán)限設(shè)置不等于形同虛設(shè)嗎?所以，在用戶名與密碼設(shè)置的時(shí)候，一定要科學(xué)

這種情況下，用戶名可以根據(jù)他們的員工編號(hào)編寫，但是，密碼設(shè)置的時(shí)候，一定要復(fù)雜一點(diǎn)，不能讓人猜得透;并且，最好采用密碼定期修改策略，讓用戶定期的修改密碼，防止密碼泄露，做到以上三點(diǎn)就可以保證免費(fèi)ERP的數(shù)據(jù)的安全了。