ERP安全的部署和实现（经验之谈）

　　来自于维基的解释说：ERP是企业资源规划的英文缩写，是基于计算机的资源管理系统，包括对有形资产、资金、材料、人力资源的企业管理软件。广义上的ERP涵盖了很多内容，CRM、人力资源管理，财务管理、生产制造管理等等很多内容。不管是ERP、CRM、SRM或者是其他一些类似的商业应用管理软件，都涉及到安全问题，因为他们存储了非常重要的业务数据，这些应用如果存在漏洞的话，都会对企业造成重大的经济损失。

一、ERP是安全的吗？

关于ERP的安全，一直以来都缺少足够的关注。在我接触的客户中，通常他们会对ERP安全持有三个态度:

1、第一个观点：ERP的业务应用程序都在内部网络里，因此是可信的。持有这种观点的人绝大多数是业务层面的高管，而非IT部门的主管。实际情况是，除非你还在大型机时代，不然的话你一定需要和别人互联。分支办事处、客户和供应商，以及银行、银联都会在你的网络里有接口，而且很多员工的办公电脑都可以连接到互联网，这就又多了一个高风险的互联网通道。我们在google上输入inrul:sap，就可以看到很多使用sap的内部页面。再比如图1，我们在一个shado的搜索引擎上，输入erp，可以轻易的搜索到很多国家的erp服务器，包括他们的ip，中间件，开发语言等信息。

图1 利用搜索引擎得到的ERP服务器信息

2、第二个观点：ERP是开发商的问题。持有这种观点的人认为，ERP的安全问题，开发商应该在设计之初就充分考虑到，并且确保了安全，持有这种观点的人一般都是对安全不太了解的IT主管。从技术的角度来说，开发商应该对他程序的错误和架构负责。但是，默认/不安全的配置、人为因素、补丁管理、策略和过程则是用户自己的问题。换句话说，即使代码是百分百安全的，在实施部署、日常运维中，你还是有很多机会可以犯错。

3、第三个观点：业务应用是内部的，而且非常具体，黑客不可能了解结构和用途。持有这种观点的人一般认为，系统都在公司内部运行，而且使用的平台也不是windows这种黑客所熟知的，因此他是封闭、隐藏的世界，因此可以高枕无忧。

真的可以高枕无忧吗？

第一，越热门的产品越容易被黑客研究，从而招致更多的攻击，因为一旦攻击得手，其可复制性很大，可以获得更多战果。大家熟知的windows就是在这种攻防对抗中慢慢健壮起来的。国内现在的ERP市场，几个大型厂商的占用率非常高，这就提供了研究攻击的土壤。

其二，ERP在过去几年的发展中，我们可以清楚的看到，企业发展壮大之后，不可避免的具有地域扩张的需要。所以它越来越依赖于互联网运行，即使现在没有，将来也会有，等到那个时候再来考虑安全问题，已经积重难返了，整改的代价会非常高。

第三，不管是供应商还是用户，对安全的防御能力还停留在3-5年前的水平，买个防火墙，装个杀毒软件。他们不知道攻击早已经从2-4层转移到应用层攻击上了。

那么，ERP的主要安全问题是什么呢？根本原因有三个，第一就是ERP具有复杂的结构，系统越复杂，安全问题越难处理。也就是安全界常说的complexity kills security ，复杂性杀死安全。第二，安全层次覆盖网络、应用等各个层面。第三，管理员担心打补丁，会造成系统出问题，所以绝大多数ERP系统里都存在着很多漏洞。所以，从erp的安全生命周期来上来说，想要保证整体安全，要从两个方面来考虑，开发安全，实施部署的安全。

图2 ERP安全生命周期框架
 

二、开发安全

图3 开发安全框架

这个图，实际上是针对程序员来说的，开发的安全。中间是最重要的数据。开发安全分两块，一个是代码漏洞，一个是前端漏洞。所谓前端漏洞，就是整个erp的前台，与用户交互的地方。

标签分类：