关于ERP系统运维中的安全管理.docx

关于ERP系统运维中的安全管理2014-04-21任焕萍随着信息化建设的快速发展，信息系统面临的安全威胁越来越多。对企业而言，以ERP为核心的信息化管理系统，在企业经营和发展中的作用越来越重要， ERP作为企业资源计划管理系统，涉及企业人、财、物、销、生产、成本和设备管理等诸多业务，企业的核心业务、流程和管控都要在ERP系统中处理完成，因此，ERP系统的安全性就尤为重要。那么，如何做好ERP系统的安全工作呢？其实，信息系统的安全与其他行业的安全方面有很多共通之处，安全管理的思路、体系、方法都是相同的，信息化安全管理要借鉴,借鉴传统行业的安全管理模式，学习其他行业、单位安全工作的经验，不断提升，才能做好ERP运维安全工作。通常安全事故隐患发生的原因，主要分为三类，包括：人的不安全行为，物的不安全状态，管理上的缺陷。针对这三类，预防安全隐患、做好安全工作需要从认识、技术和管理三方面为抓手，如果本质安全和防范措施无力或失效，事故的发生是必然的。信息化系统也不例外。因此，信息系统的安全要从源头抓，从安全认识和安全管理入手。具体主要从以下几个方面开展：一、增强安全意识要增强ERP运维人员安全意识，增加对运维工作的危机感。在ERP实施和运维中，对于系统环境有严格的分类管理要求,系统环境一般分为开发环境、测试环境、培训环境、生产环境，正式的运行系统就叫生产系统，信息化系统的安全就像煤炭生产的安全一样也很重要，ERP运维安全重点是生产系统的安全。生产系统的业务数据所有权属于企业，只有客户才能有权限访问生产系统。运维工作的安全红线是“决不能以操作业务为代价来做运维”，红线碰不得，事故出不得。现在一般企业都做了很多信息化系统，信息系统的安全问题日益凸显，信息系统的运维人员很多还不能很清晰地明确自身的角色定位，存在很多安全隐患。系统运维人员是技术支持者，不管有任何理由都不能有操作权限，也不能以客户的权限操作系统，更不能泄露客户数据和业务。要把握好尺度，严格规范和执行关于系统访问权限和数据安全保密的要求，明确哪些是运维人员能做的，哪些是不能做的，杜绝超越权限范畴越权访问。总之，要通过加强安全的培训、宣贯和督查，强化安全意识，在潜移默化中树立新的安全价值理念，把运维安全意识贯穿到每个人，贯穿到工作的每个环节，引导每个人从“要我安全”向“我要安全、我会安全”转变。二、加强安全体系化管理没有事故发生不等于足够安全。侥幸心理要不得，有个别人认为我做了多次违章操作，都没有发生事故，就不会发生，殊不知表面的风平浪静不等于真正的安全。更有一些人，当发生事故时，认为是一时疏忽，是偶然，却不知偶然中存在着必然。1941年美国的海因里希统计了55万件机械事故之后，得出一个重要数据结论，即当一个企业有300个隐患或违章，必然要发生29起轻伤或故障，在这29起轻伤事故或故障当中，有一起重伤、死亡或重大事故。对于不同的生产过程，不同类型的事故，上述比例关系不一定完全相同，但这个统计规律说明，在进行同一项活动中，无数个隐患或违章，必然导致意外故障的发生，而无数个意外故障，必然导致重大事故的发生。可见，及时做好防御工作才能保证信息安全。在ERP系统包括其他套装软件系统的安全方面，借鉴传统行业成熟的安全管理经验，实现安全管理的制度化、规范化、标准化、专业化，是预防和管控安全风险的关键。制度化是要建立管控体系，建立变更管理、需求管理、事件管理、问题处理的流程制度。规范化是要实现规范管理，我们在ERP运维中要形成三线支持运维体系，一线作为热线支持，解决基本问题，要求支持人员完全熟练掌握支持手册，能辨识问题类别,对于无法处理的问题和不能快速处理（比如5分钟内不能解决）的问题，要转给二线运维人员；二线责任是根据业务场景，定位问题，分析问题原因，直接解决问题，对于需要经过配置和开发等改变系统后才能解决的问题，要提交到三线支持；三线支持要按照项目管理的方法论和规范要求解决，特别是要经过严格的测试和发布流程，确保生产系统稳定运行。复杂的疑难问题、产品问题，提交产品厂商和专家解决。每一级需要规定内容范围、问题处理和级间交互衔接的规范化要求。标准化是指运维人员的日常操作，要有明确的操作动作标准，比如：不能同时打开系统的多个窗口，特殊情况下进入生产系统跟踪问题不能同时打开测试系统，离开座位时要关闭所有系统界面窗口，一人不能同时拥有多个单位的系统权限，顾问间权限不能互相提供，不能将密码泄露他人等。专业化是针对运维人员，要提升自身技术水平和业务能力，从专业化角度提供更高质量的服务。建立安全责任体系，按照制度制定者、管理者、执行者、检查者分类管理各类人员，各负其责，协调配合，做好安全管理和落实。按照操作隐患、权限隐患、数据隐患、系统隐患四类分类建立和管理隐患源，定期检查，排除安全隐患，设定隐患整改办法。制订管理细则，形成安全管理责任体系，明确属地责任、监管责任，确定每类人员所负的安全职责。管理者主要负责安全管理和计划安排，组员要贯彻执行，另外设立检查组定期巡检，对于执行、检查中发现的问题要积极整改，同时要提交制度制定者，在实践中不断完善安全管理制度和预控体系。三、安全第一原则大家都知道安全第一，但为什么还是不时有安全事故发生？说到底是一落实在行动上，就忽视安全，或者不愿受约束，在信息化领域，特别是个别技术人员，认为技术水平高，自己为客户直接处理，比客户解决更快速便捷。以安全第一为原则，要落实在具体措施中，包括:要处理好安全与效率的关系：平衡好运维工作中的安全与效率，不能为了一味追求效率忽视安全，比如不按照规范走个捷径，而一旦发生安全事故，那需要花费几倍乃至百倍的力量去处理，有时甚至是推翻重新做，反而是大大降低了效率。有些操作或问题，技术人员觉得很复杂，代替用户做比教他快多了，殊不知这样不仅违规，而且一次代替不能永远代替，以后每当遇到这类问题，都要反复，而如果教用户掌握了，以后使用就顺利了。不论源头：严格按照安全规范和要求执行，无论问题产生的背景和原因是什么，更不能继续他人做过的不当处理方式。比如有些问题是实施阶段造成的或者实施过程是这么做的，如果有错就要改正，前面做的方式方法不对，要及时调整修正，避免影响扩大。不计代价：如果发生安全事故，可能损失和代价难以估算，甚至不可弥补。要把安全当做头等大事来抓。一票否决：一旦发生安全事故，就是大问题，造成的损失不可避免，再讲其他的辛苦、讲成绩都没有意义。把安全纳入考核体系。不存侥幸心理：就像开车要遵守交通规则一样，系统运维也要遵守安全管理要求，照章办事，坚决杜绝习惯性违章。有的人觉得我多次这样做了，都没有出过事，不会有事、不会万一。但事故往往就是在不规范、违章操作中发生。信息系统发生的数据泄露事件，大多数都是因为不遵守安全规则导致的。四、安全常态化ERP运维安全管理要学习煤矿安全管理经验，采取常态化、闭环式管理方式，做好计划、执行、检查、整改，持续改进。一些煤矿生产单位安全检查每周或每旬一次，安监局每月一次安全夜查，对于ERP运维安全也要设置安全检查组，各业务支持组要设定专人进行安全管理，按照逐层上报方式，对安全工作有计划安排，层层把关。业务支持组每月检查，安全检查组定期抽查，每两个月一次巡查，对照隐患源清单逐项检查，特别是隐蔽性危险源隐患，确保无违规权限、违章操作。检查发现的问题，要限期整改，宣贯总结，使安全管理落实到位。同时，要定期开展安全培训工作，组织安全经验讨论会，与业内先进单位交流，做好阶段性安全总结，不断提升安全管理意识和水平。要把这些工作常态化，不能一抓就紧，不抓就放。总之，“安全第一，预防为主”是信息安全的基本方针。随着IT技术和应用的快速发展，随着信息化应用系统的普及，信息安全的重要性日益突显，过去对于信息化系统工作重建设轻运维，现在越来越多的企业和单位认识到了运维的重要性，特别是应用系统运维中的信息安全和数据安全，更是摆在重要位置。对于ERP这样的大型应用