ERP系统的安全策略探究王钱静[摘要]本文以石化企业为例，从系统安全框架设计、系统权限安全设计、系统数据安全设计等方面探究了企业现阶段ERP系统安全的应用现状。[关键词]ERP；SAP；安全策略；权限设计doi：10.3969/j.issn.1673-0194.2016.05.030[]F270.7[]A[]1673-0194（2016）05-0057-01为保障ERP系统的稳定安全运行，给企业关键用户一个安全的数据交换平台，我们必须采取有力的措施来保证安全。1ERP的定义和企业环境（1）什么是ERP？ERP是企业资源计划的英文缩写，系统主要包括：生产计划、物料需求计划、能力计划、采购计划、销售执行计划、利润计划、财务预算和人力资源计划等，而且这些计划功能与价值控制功能已完全集成到整个供应链系统中。（2）ERP可应用的企业环境。以中石化为例，作为一个大型国有企业，拥有众多分公司，对于集团来说需要及时掌握各个分公司的经营情况。如何将分布在各子公司的生产经营数据有效地采集、过滤、加工、分析，如何在企业中建立起一个合理高效的信息流，使它们在企业运营中充分发挥积极作用，是增强企业竞争力的关键。2ERP的安全框架设计2.1技术体系之网络相关安全技术（1）防病毒技术。依照总部要求，统一部署防病毒系统管理系统（控制台），用于内部的防病毒软件的分发、管理、配置、安装和升级管理，总部收集企业内的病毒报警事件。（2）VPN技术。VPN有很多的加密手段，这都可以根据企业需求进行选择。目前国际上比较流行的VPN加密协议主要有IPSEC、MPLS、SSL等。①IPSEC协议：IPSEC是一种由IETF设计的端到端的确保基于IP通信的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。它是目前最流行的VPN加密方式。②MPLS协议：MPLS协议正如上文所说主要由电信提供，一般企业自己搭建MPLS协议开销比较大，很难承担。MPLSVPN的安全性是相当高的，而企业自身的维护难度是非常低的。③SSL协议：SSL协议是目前网络中常见的一种加密协议，例如通过SSL连接远程桌面，通过建立SSL网站提高页面访问的安全性等。所以我们也可以把SSL协议应用到VPN上。SSLVPN也是比较新颖的技术，同样安全性很高。（3）ERP服务器安全防护技术。实施ERP企业都有各自独立的局域网，网络中都有自己的核心交换机。多数企业配置了独立的ERP生产服务器。运行UNIX操作系统、ORACLE数据库和SAP系统。服务器通常采用千兆连接，连接介质为光纤或双绞线，接入服务器区交换机存在二层和三层配置。2.2管理体系之ERP系统应用权限安全设计现在以九江分公司在实施ERP时做的权限分配为例具体阐述上述机制。建立一个角色到其成为关键用户分为以下几步。（1）根据客户需求及其实际工作情况要求，提交事务代码。事务代码是最终关键用户操作的最根本元素，从一般意义而言，可以把这些事务代码看成是应用软件系统中的菜单栏下的具体工具菜单。而事务代码都是根据具体的流程以及关键用户操作时工作需求制定的。（2）事务代码提交后，建立通用角色。所谓通用角色即给予某一特定职位的权限参数文件的组合。从技术上讲，可以将通用角色看作是多个简单角色的集合，它包含了某一集团用户共用的事务代码，建立通用角色的目的在于为以后建立本地角色提供事务代码的共同载体。（3）通用角色的测试过程。完成通用角色的设定后，需要权限设置人员对所设定内容进行测试，其中在测试内容时将用户和各个通用角色以一一映射的方式进行操作，进入一个通用角色然后检查其中的事务代码能否在测试环境中打开。（4）通用角色测试通过之后，就可以开始建立本地角色。本地角色其实区分使用同一通用角色下的最终用户的不同权限，也就是A和B都具有使用某一订单的事务代码，但工作要求只能由A创建，而B仅能查看而无权创建，这就需要对该事务代码下的某一权限对象进行不同的赋值来加以区分。此时，当设定了本地角色时，同时就规范了使用者的责任设计位置。3ERP数据安全设计ERP系统上线之初即按照数据重要程度、数据处理方式对不同的备份对象进行分类，对不同类别的备份对象制定了不同的备份策略。备份策略包括：备份对象、数据重要程度、备份要求、备份方法、备份频率、保存时限等，并根据备份策略制订备份...