erp系统安全与实施效果问题研究

分类号密级UDC编号10486武汉大学工程硕士专业学位论文ERP系统安全与实施效果问题研究研究生姓名指导教师姓名、职称工程领域名称软件工程研究方向电子政务二O一一年五月二十五日ERPSYSTEMSAFETYANDIMPLEMENTATIONEFFECTRESEARCHBY25MAY2011郑重声明本人的学位论文是在导师的指导下独立撰写并完成的，学位论文没有剽窃、抄袭、造假等违反学术道德、学术规范和侵权行为，否则，本人愿意承担由此而产生的法律责任和法律后果，特此郑重声明。学位论文作者（签名）二O一一年五月二十五日摘要企业管理随着信息化的发展发生了巨大的变革，ERP的实施极大的提升了企业管理的效率，但是ERP在实施过程中仍然存在很多安全方面的问题，并且这些问题将可能成为企业生存的严重隐患。本文将主要分析ERP实施过程中的各种可能存在的安全问题，并且要找出相应对策解决这些问题。本文首先分析国内外ERP在企业中实施的现状，并且找出存在实施过程中的各种问题。然后从系统安全的角度出发，结合考虑ERP实施的安全问题，ERP实施的自身安全即ERP的系统安全是确保ERP安全实施的基础。接着从网络安全层面上考虑ERP实施安全的问题，也就是研究ERP的外部保障。主要是涉及网络信息安全的几个关键技术以及网络信息的管理。最后从企业内部管理的层面上考虑ERP安全实施的问题，也就是通过研究ERP的人为管理因素来研究ERP安全实施的问题。本文在充分的分析了以上三类ERP安全问题的基础上，针对这三大问题，并分别对其提出了解决对策。通过研究，我们得出的结论是在实施ERP的过程中企业应该根据自身情况，量体裁衣，把握关键，发现并及时解决ERP实施中的安全问题。关键字ERP、安全实施、系统安全、网络安全、企业管理ABSTRACTENTERPRISEMANAGEMENTWITHTHEDEVELOPMENTOFINFORMATIONTECHNOLOGYHASUNDERGONETREMENDOUSTRANSFORMATION,ERPIMPLEMENTATIONGREATLYIMPROVEDTHEEFFICIENCYOFBUSINESSMANAGEMENT,BUTTHEERPIMPLEMENTATIONPROCESSISSTILLINALOTOFSECURITYPROBLEMS,ANDTHESEISSUESWILLLIKELYBECOMETHESURVIVALOFSERIOUSRISKTHISARTICLEANALYZESTHEERPIMPLEMENTATIONPROCESSINAVARIETYOFPOSSIBLESECURITYPROBLEMSANDTOFINDCOUNTERMEASURESTOSOLVETHESEPROBLEMSTHISPAPERANALYZESTHEDOMESTICANDFOREIGNENTERPRISESINTHEIMPLEMENTATIONOFERPINTHECURRENTSITUATIONANDIDENTIFYEXISTINGPROBLEMSINTHEIMPLEMENTATIONPROCESSANDFROMTHESYSTEMSECURITYPOINTOFVIEW,TAKINGINTOACCOUNTTHESAFETYOFERPIMPLEMENTATION,ERPIMPLEMENTATIONERPSYSTEMOFITSOWNSECURITYTHATSECURITYISTOENSURESAFEIMPLEMENTATIONOFTHEERPFOUNDATIONTHENCONSIDERTHELEVELOFNETWORKSECURITYFROMTHEERPIMPLEMENTATIONOFSAFETY,THATIS,THEEXTERNALSECURITYOFERPMAINLYRELATEDTOSEVERALKEYNETWORKINFORMATIONSECURITYANDNETWORKMANAGEMENTOFINFORMATIONTECHNOLOGYFINALLY,THELEVELOFINTERNALMANAGEMENTTOCONSIDERTHEIMPLEMENTATIONOFERPSECURITYISSUES,WHICHISMANAGEDBYSTUDYINGTHEHUMANFACTORSOFERPTOSTUDYTHEIMPLEMENTATIONOFERPSECURITYISSUESINTHISPAPER,AFULLANALYSISOFTHEABOVETHREETYPESOFERPBASEDONTHESECURITYISSUESFORTHESETHREEISSUESANDEACHOFITSPROPOSEDCOUNTERMEASURESTHROUGHRESEARCH,WECONCLUDEDTHATTHEPROCESSOFIMPLEMENTATIONOFERPBUSINESSCASESHOULDBEBASEDONTHEIROWN,TAILORED,GRASPTHEKEY,FINDANDSOLVESECURITYPROBLEMSINERPIMPLEMENTATIONKEYWORDSERP,SECURITYIMPLEMENTATION,SYSTEMSECURITY,NETWORKSECURITY,ENTERPRISEMANAGEMENT目录摘要IABSTRACTII第一章绪论111本文选题的背景和意义1111选题的背景1112选题的意义112国内外研究综述3121ERP实施的国内现状3122ERP实施的国外现状5123ERP实施中存在的安全问题613主要研究内容及章节安排7131主要研究内容714本文章节安排8第二章EPR系统安全问题及对策921ERP的发展历程9211ERP的概念9212ERP的发展历程922ERP系统的研究12221ERP实施过程的级别12222ERP实施的递进步骤1423ERP实施过程中存在的系统安全问题16231ERP系统存在的安全问题16232ERP系统的特别安全要求1724系统安全问题的对策17241基于角色的访问控制技术17242基于LDAP的用户认证和访问控制22243数据安全机制23第三章ERP系统的网络安全问题及对策2531ERP实施中存在的网络安全问题研究25311企业互联网络26312企业内部网络26313ERP网络安全问题分析2832网络安全问题的对策30321网络层安全需求31322公共应用的安全需要32323办公系统应用的安全需要32324具体应用系统的安全需要3333网络安全的几个重要技术33331基于防火墙的ERP网络安全技术33332基于VPN技术的ERP网络安全35第四章ERP实施的管理安全研究与对策3841ERP实施过程中存在的管理问题38411管理理论概述38412信息化环境下的企业管理41413ERP实施的管理问题4342ERP实施过程中对管理者的要求45421管理者自身的要求45422管理者对人力资源的管理46423企业规章制度的制定4743ERP实施过程中对员工的要求47431对员工的职业道德的要求48432对员工的技术的要求4944ERP实施过程中对合作伙伴的要求50441信息时代的企业合作关系50442ERP安全实施对合作伙伴的要求50第五章总结与展望5251总结5252展望52参考文献54致谢57第一章绪论11本文选题的背景和意义111选题的背景企业管理随着信息化的发展发生了巨大的变革，ERP的实施极大的提升了企业管理的效率，但是ERP在实施过程中仍然存在很多安全方面的问题，并且这些问题将可能成为企业生存的严重隐患。首先是系统部署安全的问题。如果系统部能通持久安全运行，在重要阶段崩溃，将会丢失系统里面的信息，而这些信息的丢失很多是不能在还原的，所以其造成的灾难无无法估量的。其次就是网络安全的问题。激烈的市场竞争导致一些非法竞争手段的出现，这些手段主要是通过网络窃取企业内部的资源，ERP系统保存着企业的所有信息，所以成为了网络攻击的主要目标之一。因为系统越是庞大，漏洞就会越多，可攻击的地方也越多，所以ERP软件的不断集成导致了外围安全层被黑客破解的风险加大。此外，一系列安全问题是由于高层的不合理使用或者员工自身素质不足引起的，这就涉及ERP实施的安全管理；ERP实施过程的潜在风险指的是系统内部员工滥用职权为谋求利益窃取信息而造成的损失。所以，不光要防范外界采用何种技术对系统的入侵，更要科学的管理系统，以避免那些潜在风险所带来的损失。希望通过研究ERP实施的安全问题，能获得一些合理措施，以解决上述问题，让ERP在企业中发挥其强大功能，使得企业在信息时代发展越来越迅速。112选题的意义ERP实施的安全问题关乎企业的生存问题，因此对此问题的研究，将有重大意义。第一，有利于保护商业隐私和技术专利等企业信息的安全。网络本身是一个自由、开发的环境，现在ERP大多处于网络下，在使得企业管理更方便的同时，也使企业隐私泄露风险加大了。互联网的安全性主要分为认证和隐私权两个类型。认证是用来证明某人身份以确认他是否能进入系统，它是一种功能，而隐私权是指通过路由器来传送的消息，用户并不知道消息是由哪些路由传送的，但是有些人可以通过对关键点的跟踪或扫描从而窃取用户信息。所以说互联网安全性并不好，显然存在用户信息被窃取的可能性。在日益激烈的商业竞争下，在利益的驱使下，某些商家往往会采取非法的竞争手段。于是网络环境下的企业ERP系统成为了竞争对手攻击的主要目标之一。竞争对手可能利用黑客手段非法获取企业隐私数据，这些隐私数据可能是商业机密，也可能是企业的技术专利等，可能对企业的发展至关重要。由于互联网本身就是一个开放的世界，没有国界，各国在网络上各种法律规范问题及管辖权问题必然需要得到协调，而在国内，信息技术是一种新兴的技术，还未有健全的相关法律法规和职能部门，所以企业必须靠自己去保护自身的信息安全。通过从宏观上分析ERP系统部署存在的安全问题，可以指导企业ERP系统的部署，企业通过相应安全措施，可以保护隐私数据的安全，从而提高企业的竞争力。第二，充分发挥信息化带来的好处，让企业放心的使用ERP因为ERP的实施确实能给企业带来很大便利，所有的企业几乎都想利用这个信息化带来的便利。但是，调查显示，很多企业通过实施ERP系统后并没有得到满意的效果，分析后得到三个原因企业的数据在ERP系统上不安全ERP系统有时候在关键的时刻瘫痪对ERP的管理混乱这些问题的存在导致很多企业管理者对ERP系统不能完全信任甚至很失望，花巨资建立的ERP往往没有得到应用而成为摆设。本文就是针对ERP存在的这些问题进行详细分析，并得出了一下具体对策，可以使管理者从此不必为这些问题伤脑筋，让企业放心的使用ERP系统，感受信息化带来的好处。第三，通过发挥ERP对企业管理的作用，能提高企业管理效率。ERP对企业管理的巨大作用在被它合理利用后能充分显示，他可以使企业的管理效率大幅度提高。在美国的生产与库存控制协会数据统计显示中，每使用一个ERP可为企业带来的经济效益为库存减少了3050，制造成本降低了12，管理人员减少了10，减少了5090的加班，生产效率平均提高了2540，延期交货减少了80，采购提前期缩短了50。这些数字对使用ERP的企业意味着成本降低了利润却显著增加了，与此同时，这些效益也带动着社会的效益，为社会带来巨大的财富。12国内外研究综述121ERP实施的国内现状随着我国的经济快速发展及信息化建设的逐步深入，社会的各个领域都渗透了信息技术。与此同时，物流领域也随着信息技术的进步发生了深刻的变化。越来越多的企业开始意识到，要想提高自身的核心竞争力，必须利用信息技术来提升制造技术、管理技术。因此，ERP作为一套高效的信息系统，能为企业提供快速、及时、准确、全面的信息，对企业的发展有重大意义，被越来越广泛的使用。早期的ERP应用，主要是从国外引进ERP。沈阳第一机床厂在1981年从德国引进了我国第一套MRPII软件，开始了此后我国20多年ERP市场的风雨路程。但是我国的商业环境并不适应引进的这些ERP产品，造成ERP应用失败多成功少，而由于传统的ERP客户成本高、实施周期长等原因，使得很多企业特别是中小企业很多亲近ERP。随着国产ERP产品在近年来的渐渐发展与成熟和快速形成的厂商服务能力，并且信息化应用水平和企业的管理基础不断提高，ERP系统在企业中成功应用的例子越来越多，产生了明显的效益。在2004年的计世咨询（CCWRESEARCH）研究表明中，我国的通用型管理软件增长率为32，市场规模达到227亿元；同时，ERP的增长率为29，市场规模达到119亿元。表明ERP已经在我国的管理软件市场上成为了主力军，取代了财务软件。应用ERP提升竞争力是企业面对国际竞争的共识，企业不断信息化，应用ERP的人才越来越多，ERP标准也逐渐形成，国内ERP将达到一个全新的发展时期，与此同时，ERP市场增长的主导力量将包括中小企业。赛迪顾问在2004年对中小企业（年销售额活资产介于500万和5亿之间）IT采购进行了调研，调研范围几乎遍及了全国，有效样本覆盖了六大主要行业（能源、制造、流通、媒体、建筑、医药）。结果表明已经使用或正在选用ERP软件的中小企业占总数的314，将在一年内会采购ERP软件的企业有167，有375的企业将会在3年之内考虑采购ERP，表示将会三年之后考虑采购ERP或者自主研发ERP的企业仅占144。另外，此调研还表明，在影响采购和ERP选型的因素中，中小企业最为关注的ERP软件的三大因素可用性、价格和售后服务；它们分别占761、705、683的关注比例，其次关注的是品牌、应用案例及咨询实施能力等其他因素。同2003年比，价格和厂商品牌分别下降了137和102个关注程度百分点，分别排在了关注因素的第二和第四。ERP的提供商目前正是“百花齐放”的态势。原来只有国外的SAP、ORACLE品牌，现在国内已用友、金思维和南北这些品牌。ERP提供商的扩张也推动着ERP的发展。在中国ERP软件市场尚未成熟前，国外的ERP厂商（如SAP、ORACLE）为了开拓中国ERP市场，最早通过树立一些样本用户在高端行业市场，并且联合咨询合作伙伴。当时，高端市场的竞争对手较少，用户需求相对简单。现在，中国的高端ERP市场已经发展接近成熟，竞争越来越激烈，用户需求变得复杂了更加重视投资的回报率了。在高端市场越来越难做的形式下，巨大的中小企业数量被精明的国外厂商看到了潜在的需求，国外厂商的投资欲望点燃了。SAP在2003年率先推出中国市场上的中小企业市场战略。然而，中国的中小企业需求是多样化和个性化的，造成SAP在中小企业市场上很难适应，只有深入了解中小企业的现状，才能从产品技术、服务体系等方面去迎合、满足它们的需求。由于SAP是从高端切入中国市场，造成中小企业用户的零基础，导致SAP从理解它们的用户需求上存在偏差，从而导致中小企业对ERP产品的适应性存在疑虑。正是这钟疑虑减缓了SAP在中小企业市场上的进军步伐，深刻理解用户需求、慢慢积累用户经验成为SAP的中小企业市场上的必经之路。中低端ERP市场在竞争布局上和高端ERP市场的差异正是由于中小企业用户对ERP产品需求的个性化和多样化造成的。国内的厂商在中小企业市场上具有一定的优势，以知名品牌用友的发展为例，从1998年开始进军中小企业ERP市场开始到2004年推出了ERP8企业应用套件V860，通过六年的发展，用友如今形成了一个庞大的服务运营体系，41家分公司遍布全国、60家客户服务中心，授权培训中心150家，授权代理单位500多家。用友利用其品牌的感召力，正在整合U8的渠道资源，希望打造出中国最大的管理软件产业链，希望吸引更多的硬件和软件厂商、咨询公司、培训机构、ISV、SI等加入此产业链。122ERP实施的国外现状MRPII/ERP在欧美等发达国家的应用已经比较普及，尤其是大中型企业，很多已经应用MRPII/ERP系统管理很多年，80的全球500强企业据称都购买了ERP软件，目前正朝供应链技术全球化和企业后勤系统敏捷化发展。国外ERP的特点全面集成性、功能灵活性、技术稳定性、系统开发性较强，保留了让企业不断发展和改变的空间；它的实施企业重视售后服务，规范了问题响应等方面的解决方法，支持软件升级维护，对企业信息系统的更新有利；此外，对于选用软件产品的企业来讲，其软件开发公司发展越稳健这个合作伙伴越理想，而软件厂商的咨询合作伙伴越多越利于企业找到理想的管理咨询伙伴。国外的ERP软件公司在具体实施时，步骤严密、实施周期长，每个阶段和过程都有详细的文档和可交付的成果。但是项目在实际中，因为企业发展快、实施顾问水平不一、实施经费有限、培训不到位等因素，项目并不能按照ERP规定的实施方法做，某些项目的实施落空就是因为高昂的实施成本。123ERP实施中存在的安全问题可以说ERP管理软件其实就是被一个实体企业虚拟映射的软件，它保存的信息既有敏感的客户信息，也有专利配方等企业所有信息。ERP软件可以反映出企业方方面面的信息，如企业的组织架构、客户资源、合作伙伴、销售渠道等等。然而越来越多的ERP项目开发商以及ERP市场的逐步成熟，加剧了ERP市场的竞争。因此，ERP的开发商们希望通过构建新功能，比如WEB服务架构，希望提高ERP的使用价值，但是开发商往往只想到ERP性能的优化，并没有考虑其安全系数。至于实用ERP的企业方面，他们往往也是只关注到其性能和价格，把安全完全依赖于企业网络诸如防火墙、VPNS等外围防御，ERP的安全措施通常通过内部控制如限制用户特权和行为。由于ERP项目总数耗资巨大，在构建ERP系统时，很多企业通常最后来做控制设计与实现，而且项目的进度总是落后，为了降低开支或者赶进度，往往只是“凑合”着做系统内部控制。一些企业认为内部控制其实反而增加了员工的额外负担，导致他们的工作效率下降，并不愿意为系统内部控制投入太多。这就是系统内部控制薄弱的重要原因。在激烈的市场竞争下，存在很多不正当的竞争，由于ERP管理软件保存着对企业发展至关重要的所有信息，有些企业为了达到自己的利益，就可能采用非法的手段（如黑客手段）来获得竞争对手的内部信息。由于ERP是一个管理软件，在抵御外来入侵方面相对薄弱，如今有各种各样的黑客攻击方法，如词典攻击（用来攻击脆弱的密码）、利用缓冲区溢出入侵、利用社会工程学使得用户泄露身份等等，最可怕的要算那些用授权用户的身份进入系统的黑客，因为他们凭借“合法”身份获得任意他们想要的信息。由此可知，这些安全问题还未引起足够的重视，我们需要对ERP实施的安全问题做进一步的加强研究。13主要研究内容及章节安排131主要研究内容本文主要分析ERP实施过程中的各种可能存在的安全问题，并且要找出相应对策解决这些问题，主要研究的内容如下（1）分析国内外ERP在企业中实施的现状，并且找出存在实施过程中的各种问题。特别对ERP实施中的安全问题进行了研究。（2）从系统安全的角度出发，结合考虑ERP实施的安全问题。ERP实施的自身安全即ERP的系统安全是确保ERP安全实施的基础，它包括几方面因素如ERP实施前的准备工作、实施的过程和几个组成ERP系统的部分等。（3）从网络安全层面上考虑ERP实施安全的问题。因为网络环境自由开放的特点，使得处在网络环境的ERP系统有了安全隐患，属于ERP的外部安全问题。这些问题主要是涉及网络信息安全的几个关键技术以及网络信息的管理。该部分是研究ERP的外部保障。（4）从企业内部管理的层面上考虑ERP安全实施的问题。随着时代的发展，管理方式也需要发展改进。对于一个企业，企业管理者、企业合作伙伴和企业员工是ERP系统实施过程中的重要三个参与者。该部分主要通过研究ERP的人为管理因素来研究ERP安全实施的问题。14本文章节安排根据研究内容，本文分为如下五章第一章，绪论。选题的研究的背景和意义。第二章，ERP系统安全问题及对策。主要研究分析ERP系统在自身上存在的安全问题以及这些问题解决对策。第三章，ERP系统的网络安全问题及对策。主要研究分析ERP系统的在网络方面存在的安全问题以及目前主要的防范措施。第四章，提升ERP实施效果的对策。主要研究分析ERP系统安全实施中的人为因素。第五章，总结和展望。对本文研究的概括和总结说明。第二章EPR系统安全问题及对策21ERP的发展历程211ERP的概念美国加特纳集团公司GARTNERGROUPINC在20世纪90年代首先提出ERPENTERPRISERESOURCEPLANNING，即企业资源计划。基于世界先进的企业管理思想，ERP利用信息技术实现了整个企业的一体化管理。它是一种企业管理信息系统，能提供跨部门、跨地区、甚至跨公司的整合实时信息。为了达到效率化经营的目标，ERP整合了企业内部所有的经营活动，包括管理会计、财务会计、生产管理和计划、物料销售、分销和管理等主要的功能模块。ERP将客户需求、供应商资源以及企业内部制造活动整合在一起，实现了一个完整的企业供应链。它的三个核心思想是一、管理整个资源供应链进的思想；二、精益生产和同步工程的思想；三、事先和事后计划与控制的思想。目前，ERP系统运行集成化，软件能跨越多个部门运作，合理化了业务流程使得各级业务部门得到重新构建，动态化了绩效监控使得管理中存在的问题能够得到即时反馈，这些标志着ERP已经应用成功。212ERP的发展历程ERP主要经过了四个发展历程阶段，依次是（1）MRP（MATERIALREQUIREPLANNING）时段式阶段。这种企业信息管理系统在20世纪60年代，能主要的记录大量原始数据，也能支持数据查询、汇总等相关工作，还能根据相关资料数据算出商品需求的准确数量和时间，但是它并不完善，主要缺陷在于它没有考虑到生产企业的生产能力和采购能力等条件的约束。所以，计算出的商品需求和日期很可能因为这些约束而没有能力生产。并且，它还缺乏实时对计划进行调整的功能。（2）MRP闭环式阶段闭环式MRP是在70年代为了解决时段式MRP存在的问题而发展起来的。一般MRP的正常运行需要一个可行的主生产计划。它要反映合同订单和市场需求，还必须要满足企业生产力的约束条件。所以，我们必须要制定资源需求计划，还要制定能力需求计划（CRP），平衡各个工作中心的能力。必须在能力与资源都满足负荷需求时才能开执行计划。如果要保证计划成功实现就必须控制计划，加工的优先级用派工单来控制，采购的优先级用采购单来控制。这样，把能力需求的计划、执行和控制计划形成一个环形回路，构成一个完整的生产计划与控制系统，所以称为闭环MRP。具体的逻辑流程图如下图11闭环式MRP流程图（3）MRP阶段可以说是闭环MRP的出现使得关于生产活动的各种子系统有了统一。然而在企业管理中，生产管理仅仅是一方面，它涉及的仅仅是物流，而资金流与物流密切相关。由于在很多企业中财会人员对此另行管理，就出现了数据的重复存贮与录入甚至数据不一致性的问题。在八十年代，人们针对这个问题，采用各个子系统包括把生产、财务、工程技术、销售、采购等集成为一个一体化的系统，叫做制造资源计划系统（MANUFACTURINGRESOURCEPLANNING，MRPII），MRPII是为了区别物流需求计划（MRP）。具体流程图如下图12MRPII的流程图（4）MRP系统阶段90年代后，市场竞争越来越激烈，进一步扩大企业竞争的空间与范围。怎样合理有效的利用和管理资源的思想逐渐产生，企业资源计划ERP（ENTERPRISERESOURCEPLANNING），就随之产生了。它在MRPII的基础上扩大了管理范围，有了新的机构。22ERP系统的研究通常在实际的工作中，一个ERP系统的项目从开始到完成要经历很多个阶段。从项目实施的过程级别来分，可以将ERP的实施分为三个阶段初级阶段、过程阶段以及高级阶段。而如果按照它实施的步骤来划分阶段，可以划分为7个阶段项目前期工作、软件选型、实施准备、系统安装调试、测试（软件原型）阶段、用户化阶段、验收。221ERP实施过程的级别（1）初级阶段在ERP实施的初始阶段要确定所要买的ERP系统模块、要实施的模块，即要定义ERP系统的输出、输入和实施范围。由于实施的过程是个黑箱，有些ERP模块里的东西不能被确定，所以ERP实施的初级阶段是一个没有详细定义的无序过程，不可预测到系统的实施进度、ERP功能、预算和ERP实施的质量，通常当遇到不能解决的问题时会放弃原有的计划以至于二次开发和编程。由于ERP选型、实施周期、项目管理和组织以及软件公司和咨询公司的支持的能力成熟度都不高，导致ERP实施在初级阶段时是比较混乱的，但是前期工作做的不充分会导致后续工作难以进行。1、企业在实施前准备工作不到位对ERP项目工作的影响。初始级的企业在ERP选型时对ERP系统并没有充分的理解，虽然他们也成立了项目小组，但是在对ERP的需求不明确、不知道怎么去考察软件和软件商和不知道ERP能为企业做什么的情况下就购买了ERP，将导致ERP只被少数的管理人认可，没有被所有管理人员认知和理解整个系统，ERP系统安装后可能企业并没有足够的实施人员和后续资金。2、ERP软件质量问题对ERP项目工作的影响。由于某些小型的ERP软件公司在管理监控整个项目时欠缺，质量考核和内部管理机制尚未成熟，对ERP软件实施的生命周期不能完全驾驭，其ERP软件产品质量上难免出现问题。在ERP项目实施遇到困难时，ERP公司往往选择的是二次开发，手工管理整个项目，陷入系统编程和测试上，最终可能导致ERP项目失控。3、企业项目组织不力对ERP项目工作的影响。如果在企业中没有稳定的ERP实施、维护环境，仅仅由几个能力强的人决定项目的成熟能力，一旦不能按期完成任务，就换企业领导人，充满浓厚的主观性和个人主义性，即使项目偶尔取得成功，也往往是在经历了黑暗和胆战心惊的摸索后侥幸取得的。而如果不能留在公司的实施主力，或者频繁变动工作人员，初始级别的ERP项目很可能就接近了瘫痪的状态。（2）过程阶段在实施过程中建立起定量化的质量管理，连续计量所有项目重要活动的工作量和质量，在ERP已定义级的基础上，ERP实施的可管理级的工作可预期到整个项目的高质量。ERP的实施硬性规定了项目经理对项目的介入以及高层经理对项目具体层次和时间的介入，以达到ERP项目的高质量。此外，小组间的协调工作和例会制度都被经行了定量化，受到可管理级的ERP高度重视；实施小组跨部门工作也有了计量，这些计量包括管理部门派到信息部门的人数及工作量以及信息部门派到管理部门的人数及工作量；最后，由高级经理进行审核、批准对项目偏离计划的情况的书面评价和记录。培训是可管理级的定量和保质的核心工作，各级项目人员培训的内容、进度和时间在整个项目的始末都有定义，培训质量通过每次培训后的考核来评估，由具备认证培训资格的老师来培训，需求定义、计算机基础、数据库、开发工具、编码、系统测试、软件操作手册编写和管理制度、软件维护等都属于培训的内容。（3）高级阶段ERP实施的最高级属于ERP实施的优化级，合理预期企业过程中的管理变革、合理控制变革过程并且获得预期的变革效果都是通过引进管理咨询、ERP系统不断优化整个企业过程和业务流程重组实现的。企业资金优厚、管理基础较强、实施队伍训练有素并且在市场上能找到成熟的咨询厂商和ERP名牌产品才能实施ERP优化级。企业实施优化级时需要预期财务、人力资源、生产等关键领域在实施ERP时可能会发生的变革，为了改造企业自身管理缺陷，可用西方管理模式预先判断变革的阻力，积极主动发现企业管理的长处和短处。与此同时，企业分析管理变革的成本与收益、辨别管理咨询方案和重组业务流程的有效性，有利于对ERP实施过程的稳妥控制。处于最高级的公司能不断的优化企业信息系统的应用，能持续改进优化可能的过程变更。识别可能的变革、对变革后的影响进行评估管理、批准变革并实施变革都是过程中的变革优化工作，目标的确定、问题来源的分析、改进效果的测量都是属于持续改进的范围。深入了解国内外ERP软件的性能是进行实施优化级前提。细致分析ERP系统的计划模式、组织模式、领导模式和控制模式，对企业引入ERP系统后引起的变革进行预期，用企业的管理制度确认ERP中的模式，都将纳入企业的日常工作之事。222ERP实施的递进步骤（1）项目前期工作。主要包括培训。培训的对象是企业领导层和今后的ERP项目组人员，主要内容是ERP原理和管理思想。企业诊断。企业现行管理的业务流程可能存在问题，需要企业的领导层和今后的ERP项目组人员运营ERP思想对问题进行评议和诊断，并寻找解决方案。确定需求分析和目标。在企业决定应用ERP系统前，需要对企业进行理智分析企业当前最需要解决的问题是什么ERP能解决这些问题吗企业是否真的需要应用ERP系统企业的财力和人力能支持ERP的实施吗ERP的投资的回报率是否可观等等问题都需要在前期进行分析解决。（2）软件选型。ERP选型需要根据企业的需求从多角度进行，需要弄清ERP软件的管理思想和功能，以及它们能够满足企业的需求，还要考虑ERP的这些流程和功能能否被用户化和本地化。（3）实施准备。这个阶段主要是准备和设置数据和各种参数，有这样几项工作项目的组织。领导小组、项目实施小组以及业务组是组成项目组织的三部分。领导小组负责合理调配人力资源，项目实施小组负责ERP项目的实施工作，业务组必须有固定的人员，协同实施小组负责将ERP实施贯彻到基层，并处理业务中的问题。准备数据。一些数据在ERP系统运行前没有被明确规定，需要人工做大量分析和研究工作，并将其录入系统。（4）安装调试系统。企业可以在实施准备的基础上将ERP系统安装到企业中了，并开始对系统进行调试。（5）软件原型的测试（计算机模拟）。ERP系统是信息集成的系统，为了了各个数据、功能以及流程间的集成关系能被企业管理者、ERP实施者等理解，各个部门的人员都应同时参与全系统的测试，共同找出不足的方面和解决方案，这样既有利于用户化也利于二次开发。（6）用户化阶段。关键工作是模拟运行。选择一种代表产品，在掌握ERP软件功能的基础上，将产品的各种数据录入系统，组织项目小组对企业日常工作中所遇到的问题进行实战性模拟，并提出解决方案。一般在机房集中进行模拟。工作准则与规程的制定。项目小组在实施过程中针对出现的问题会提出一些相应解决方案，在这个过程中需要初步制定这些解决方案与它们对应的工作准成和规程，并不断完善。（7）验收阶段。企业的领导在完成用户化阶段后需要对其进行审批和验收，通过后ERP系统才能进如现场运行，这是为了ERP的实施质量有保证。23ERP实施过程中存在的系统安全问题ERP，是ENTERPRISERESOURCESPLANNING的缩写，即企业资源计划，ERP系统在深度和广度上对企业资源进行开发利用，将企业的管理理念、基础数据、人力物力、业务流程和计算机软件硬件整合于一体，为科学决策提供及时准确且全面的信息。企业的兴衰成败很大程度上决定于企业的账目、采购销售、生产计划、资金使用、客户等方面的信息，如果这些信息一旦被篡改或者被窃取都将给企业带来严重的后果。因此整个系统正常运行的基础是为系统设定系统权限及访问的安全控制，系统的安全是保证企业信息的安全，所以系统安全问题是最需要解决的问题。231ERP系统存在的安全问题威胁ERP系统安全的主要有以下几个方面假扮有效用户身份的未经授权用户进行身份欺骗；攻击者非法的篡改及破坏数据；让应用程序瘫痪的拒绝服务攻击行为；敏感信息或数据泄露，被发布到公众可访问的地方；用户非法使某项特权提升。现有的ERP系统安全都是围绕两种方式实现的访问存取和授权技术，主要通过增加SSL的安全通道以及存取控制表技术和口令验证技术实现的；密码技术，通过对信息的加密，对身边进行鉴别等实现。访问存取和授权技术被攻击的可能性比较大，而密码技术有被攻破的可能性，这两种安全技术主要存在以下安全隐患或问题一、企业的成本会随着终端用户的增多而增多，因为终端用户的增多会迅速增加服务器认证终端身份的负荷。二、计算机世界的权限与现实行政管理的权限不匹配，在行政管理中级别最低的人员可能因为他有让系统正常运行的职责而在计算机化世界中级别最高，由此可能导致信息的管理不对称。三、单独的实体公正很难利用到廉价的公共网络，从而又增加了企业运营成本。232ERP系统的特别安全要求在“气球原则”中，最薄弱的地方正是气球通常破裂的地方，信息系统的安全问题也符合这一原则。因此要求系统安全要全面覆盖，还要协调系统的各个环节的安全，首要解决系统安全的问题，努力完善信息系统的安全。ERP系统能正常运行的前提是ERP的安全服务被整体的、综合的运用。与此同时，与ERP技术问题同等重要的是管理问题，系统的安全问题不能单单依靠安全技术手段，适当调整网上业务流程、完整记录业务的处理过程、完善信息系统的运行的管理规范等都是除安全技术外的安全管理措施。24系统安全问题的对策241基于角色的访问控制技术联系用户与权限的桥梁是基于角色的访问控制（RBAC）的角色。角色与用户之间、角色与权限之间的关系间接把用户与权限联系在一起了，以实现系统的用户访问控制，使网络的管理变得清晰简单。企业或组织内部业务中的某个职务都可用角色来表示，这个职务是指处理日常工作中某些事物的权利。用户组通常被当做许多访问控制系统的访问控制单元，但是用户组和角色是有区别的，用户组是用户的集合，不能当做权限来对待，而角色是一个中介，把用户和权限联系起来，它既为权限的集合，也是用户的集合。目前，正广泛研究基于角色（RBAC）的访问控制，美国标准与技术局的FERRAIOLO等人和GEORGEMASON大学的SANDHU等人在九十年代分别提出了NISTRBAC模型和RBAC96模型。RBAC的原理就是先对进行访问是数据对象的权限赋予给一个角色，再把这个角色赋予给相应的用户，这个角色所具备的权限可以用来在用户登录系统时判断其可访问的资源以及能进行的操作。下图是RBAC的基本模型结构图图21RBAC的基本模型结构说明（1）下面对RBAC模型对ERP系统适合的一些形式化描述A数据集。用D表示所有共享数据的有限集合的数据集，D表示数据子集。B功能对象。F是指能实际操作数据集D的功能模块，F表示功能对象的全集。C授权属性。它是在系统开发和运行的过程中可以进行不同设置、被功能对象F所具备且对数据集D的操作行为，用A表示，A则表示授权属性的全集。数据属性可定义多个级别以便对不同层次上的权限进行设置。D操作。用OP表示，是F2A的子集，子集记作O。F,AOP表示F完全拥有A。E访问权限。它是D2OP的子集，记为P。D,OP表示允许对D进行操作的O中的各项操作。F角色。它指的是一个任务或组织中的岗位或工作，用R表示，R表示它的全集。G权限配置。它是R与P之间的二元关系，若一个权限配置集合RPRP，则R,PRP表示R拥有一个P。H用户。它可以作为一个主体独立访问系统中的数据，记作U，全集用U表示。I角色指派。它是U和R之间的一个二元关系，若角色指派关系的集合用URUR表示，则U,RUR表示U被指派了一个R。J角色继承。它是用来描述访问权限在角色之间的传递。R1，R2R，用R1R2表示R2继承R1，表示若R1,PRP，则R2,PRP。K用户权限集。它指的是U和P之间的一个二元关系。若一个用户权限集用UPUP表示，则U,PUP表示U拥有一个P。保护用户权限集UP的正确性是管理访问权限的目的。L约束。它是访问权限的限定条件，限定每个权限管理过程中的步骤。（2）用户、角色、权限及它们的关系用户、权限、角色是RBAC模型中的三个基本元素，RBAC有效控制的实现的关键部分是三个元素之间的关系和它们所延伸的意义，而实现的前提则是分析它们的基本构成。用户是一个主体，它可以独立访问计算机系统内的资源或数据，本文用USERS表示用户集合。一般情况下，用户指的是被授权使用计算机的人，每个系统的工作都有用户的参与。用户的相应权限在用户赋予某种或某几种角色时所分配。角色是就是集合了一个或多个用户在系统或组织内的可执行的操作。用ROLES表示一个角色的集合。形成访问控制策略的基础是角色，角色可以是企业内的职能也可以是职称头衔，与授权有关。RBAC不像DAC与MAC一样是通过主体与客体直接发生联系的，而是通过角色这个中介来沟通主体和客体的。用户与特定的角色相关联，而角色与特定的访问权相关联。角色的生成和取消在实际工作中是根据需要动态进行的，这样用户在登录系统的时候可以根据自己的需要激活自己拥有的角色，从而提高了系统的安全。“用户角色”与“角色权限”的对应关系都是多对多的，用户所拥有的角色有可能会发生变化，而角色所拥有的权限是比较固定的，相比用户和权限，角色相对比较稳定。“用户角色”间的关系在RBAC中可以预先被定义，把预先定义的角色赋予给用户并明确其责任和授权，这样可以使安全策略加强。将角色赋予给用户的工作相对于巴权限赋予给用户的工作是更容易的。角色在功能上可以分为特权管理角色和普通的角色，定义角色可以根据系统的继承机制，角色之间有时候有冲突关系。（3）RBAC的层次通常在一个用户多的组织里，存在通用的权限。将层次关系加入到角色之间，实现了“角色继承”。层次关系不仅能避免重复管理相同权限，同时也反映了企业或单位的组织结构。（4）RBAC的约束为避免用户可能获得冲突的权限，RBAC约束力引入了“职责分离”的概念，在具体实现的时可分为静态分离（SSD）和动态分离（DSD）。SSD是通过定义一下规则来规定某些可能冲突的角色不能被用户同时担当；而DSD是在角色激活的时候对角色进行检查，如果用户同时拥有两个可能冲突的角色，那么这两个角色不能同时被激活。职责分离是RBAC“最小权限原则”的体现。RBAC约束还包括限定角色可分配的最大用户数、约束对话建立的时间等等。（5）权限权限是对授权的描述，它表示可以对计算机系统内的资源或数据进行访问的许可。权限集合用PERMISSION表示，可分为两种数据访问的控制和对象访问的控制。数据访问控制用控制对象，谓词二元组表示。如果不加以控制数据的访问，将容易发生数据泄密事件，是不能保证系统的安全性。所以按不同等级加密保护对象可访问的数据的必要的。对象访问控制用（控制对象，访问类型）二元组表示。控制对象代表系统中需要进行访问控制的资源。访问类型可分为读取、修改、删除等类型，是控制访问相应受控的对象。控制对象，访问类型，谓词是权限的最终组合形式，它是一组对操作对象或数据的操作的集合。不同的操作对象拥有不同的操作，如对数据库操作可分为增、删、改、查，对用户的操作可以是创建、修改和删除用户。（6）用户委派。它是指用户U与角色R之间的二元关系，用（U,R）来表示U被委派了一个R。242基于LDAP的用户认证和访问控制目录服务领域中最流行的是轻量级目录访问协议，即LDAP，是LIGHTWEIGHTDIRECTORYACCESSPROTOCOL的缩写。LDAP不仅对访问目录资源有一套标准的定义，同时也定义了目录资源的结构。LDAP的优点可以分为以下几点一、他既是一个灵活的目录系统又是一个访问协议，与平台无关；二、简单快捷的处理连接的建立，因为LDAP是基于TCP/LP协议的；三、对目录服务器的访问更为简单，因为LDAP采用简单编码，使编码和解码效率大大提高；四、易于配置和管理，响应时间更低；五、因为LDAP具有可扩展机制，所以可以根据终端客户的需求来修改其协议，对于RBAC，系统的安全性可以通过创建ACL来管理终端而实现。ERP系统在INTERNET环境中主要支持一下功能（1）支持对大用户群体。可扩展性是支持大用户群体的基本要求。LDAP目录资源的突出特点的易扩展，所以可以通过将几个LDAP的目录资源组合在一起而形成一棵目录树，由于树结构具有层次性，所以便于用户进行管理。（2）用户身份确认的管理。通过唯一的ID和密码，用户身份可以得到确认。LDAP增强了用户使用的安全性，用户认证手段和安全功能更为丰富，而且能管理除姓名等文本信息以外的多元化用户信息，如图像、语音等多媒体信息，LDAP支持多种类型的数据格式。（3）静态保留用户信息。后台数据库中静态保留用户信息有利于方便管理，由于LDAP能随时添加新的数据元素，所以它在用户信息方面也拥有可扩展性。（4）对分组功能的管理。将用户进行分组，在用户请求时只发他所关心的其他用户信息，这样有利于提高服务器和用户的效率。LDAP可在子目录树上、项目或者属性上灵活的控制这些资源是否能被用户进行访问。因此，将LDAP的特性和优点应用到ERP系统上，在任何计算机平台上，LDAP目录的访问将很容易被获得并且LDAP的客户端程序数目不断增加；而且LDAP的支持很容易在定制应用程序时加上，这样整个系统的安全性提高了，同时降低了浏览器与服务器之间的身份验证负载量，系统管理员的维护工作也直接降低了，整个企业的ERP运作效率便大大提高了。此外，用户身份认证和实现目录服务等功能的关键步骤是注册和登录。用户资料的存储是分布的，是根据用户在注册时所选择的服务器产生的。由于各个服务器和客户端的通信状况并不一样，选择离客户端比较近的服务器注册能使客户端得到良好的服务器端服务。而由于可用的服务器和IP随时在发生变化，所以需要一个动态的服务器列表。为了保持当前所有的服务器列表需要专门设置一个根服务器进程。当客户端首次注册时，便从根服务器获取列表，然后测试用户的网络状况，然后从列表中找出最快的服务器推荐使用。243数据安全机制ERP应用系统中应该有健全的数据建立和数据访问的安全机制，以防信息或数据被用户非法访问、破坏或篡改以及信息被泄露等。同时需要对数据进行备份或者有数据恢复的机制，以对抗发生不可抗拒的事件而导致数据的丢失情况。如下是对数据安全的策略（1）审计追踪。因为没有完美无缺的系统安全措施，某些非法分子总是想方设法逃避控制来盗窃、破坏数据，所以，审计检查相关对敏感数据的重要处理情况是一种安全策略。审计追踪就是指设置系统相应的日志记录，为以便日后查证记录下对数据的更新、删除和修改操作。操作人员的名称、登录时间、所使用的IP地址和密码、操作的内容等都是日志记录的内容。通过日志的记录可以在发现系统里的数据受到破坏时追究到相关人员的责任，还可便于在判断密码被盗时及时修改密码或重新分配权限以确保系统的安全。（2）对数据进行加密。用密码形式将数据存储在磁盘上，这样那些非法分子利用自己编程不通过DBMS来窃取数据时看到的就是一些无法辨认的二进制数字。当用户需要提取数据时，必须提供密码钥匙，通过系统译码得到数据。现在不少数据库都提供数据加密功能，用户可以选择对数据的存储方式，加密或者不加密。（3）对视图进行保护。对于无权存取数据的用户来讲，视图可以将要保密的数据隐藏起来，这样对数据的安全保护又增强了。（4）数据的备份与恢复。将数据用备份软件系统结合磁带机进行备份是在短时间内能够恢复系统的最可靠方法。与此同时，数据的备份与恢复可以保存历史数据，是将来分析和决策的重要依据。一旦如硬盘损坏、火灾等不可抗拒的事件发生时，通过备份恢复系统可以恢复数据。第三章ERP系统的网络安全问题及对策国际与国内在对计算机安全定义相似，都是指通过采用安全保护措施使计算机的硬件、软件及数据在各种环境下不受到破坏，使系统能够安全的正常运行。所以，网络安全包括各种网络物理线路连接的安全、网络的系统