你公司使用的ERP安全吗？这两类对系统安全造成威胁

一、来自网络的威胁

随着ERP系统的普及和涉及的范围越来越广，ERP系统的数据安全也越来越被重视，很多关系到企业生命的机密信息都被存储在ERP系统中。因此，若ERP系统使用不当，就可能造成数据的泄露和丢失

1、外部访问授权不够规范

ERP为了扩大使用领域，有可能要满足员工不断出差的需要，逐渐的向B/S模式发展。而这个模式最大的优点，就是可以很方便的提供外部的访问。即员工出差在外，也可以通过浏览器很方便的访问到内部的ERP系统。这虽然给我们的工作带了很大的便利，拓展了ERP系统的使用空间，但是，毋庸置疑，也给我们系统带来了很大的安全威胁。

一是在企业外部使用系统，受不到有效的管理。如采购员出差在外，若稍有一点私心，就可以跟供应商勾结，把公司近期的采购计划、其他供应商的价格等等，都可以通过外部访问ERP系统的形式，告诉给供应商，使得企业丧失采购的主动权，由于出差在外的员工使用系统受不到有效管理，所以类似的情况时有发生。

2、内部网络上可能存在窃听

从网络层面上考虑，除了这个外部访问管理不当存在数据泄露的危险外，还有一个很大的安全漏洞就是网络窃听的问题。现在大部分的ERP系统，其服务器端与客户端数据的传输，都是通过明文传输的，用户只需要在网络上安装一个监听软件，就可以全面的了解用户访问的内容，跳过客户端的权限设置，从而达到网络数据窃听的目的。

虽然网络窃听可能在技术上要求比较高，但是，现在随着黑客工具在网络上的泛滥，所以，要完成这项窃听的工作，难度也不是很大。我相信，只需要对随便一个员工进行培训，其就可以掌握这门手艺，从而完成对ERP数据窃听的工作。

所以，与其到数据泄露了，再来追查责任，还不如在刚开始的时候，就防范与未然，解决数据泄露的漏洞。

二、来自ERP系统的威胁

如果ERP系统本身管理不当，也会存在数据泄露的危险。从ERP系统的角度出发，主要的安全威胁就是权限配置不当所造成的。

价格权限配置不当

我们可以把一些不需要访问到价格的用户，在用户级别上设置为价格不可见，就可以解决问题。但是，有些ERP系统没有提供类似的功能，他们只能够一张张表去设定价格的访问权限，这难免会有漏网之鱼，可能只设置了在窗口中不能访问价格，但是，他们在导出报表时，可能就有价格了，等等。而且，价格对于企业来说，基本上都是敏感数据，所以，我们在EPR中设置权限时，要从价格开始。

报表方面导出设置不当

报表上面汇集了很多重要的信息，如果报表可以随便导出来的话，则信息将会毫无隐私，所以，在报表的导出权限上，我们要进行特殊的限制，不能让每个用户都可以随便的导出报表，一般可以让用户只能够查看报表，而无法导出报表，这是原则。如果用户真的有导出报表的需求，那就要申请，特别是对一些敏感数据的报表，涉及到如客户信息、产品价格等等，一般都应把报表导出功能屏蔽掉，只有当需要的时候，再由管理员导出。

用户名密码设置过于简单

我见过一些用户，他们密码设置太过与简单，这导致其他用户很方便就可以猜到密码，这直接的结果就是，其他用户若自己没有权限，则可以利用有权限的用户进行系统访问。因为由于密码简单，他们知道或猜到其他用户的访问密码。

如有一些客户，在设置用户名与密码的时候，用户名就是他们的员工编号，而密码呢，都是统一的，如123456，如此的用户名与密码，即使权限设置的再完美，也是没有用的。用户可以轻而易举的获得别人的用户名与密码，这样一来，在自己没有权限的情况下，他们有可以利用其他有权限的用户，进行系统登陆与访问。

集团总部

地址：东莞市南城区丰创意谷3A栋403室

网站：www.moqiehome.com

深圳分部

地址：深圳市龙华区大浪街道同胜社区上横朗第四工业区3号103室

网站：www.moqietime.com

江苏分部

地址：苏州市昆山开发区柏庐南路999号吉田国际广场2号2304室