一、ERP系统的脆弱性与面临的威胁

脆弱性是指信息系统的薄弱环节，威胁是利用这种脆弱性的可能性。威胁有两种：主动威胁（利用信息系统舞弊或破坏）与被动威胁（系统故障或自然灾害）。利用计算机信息系统舞弊非常严重而普遍，统计表明，在信息化程度比较高的发达国家，由于计算机舞弊和贪污给企业造成的损失在很大程度上超过了由于行贿、入室行窃等形成的损失的总和。我国计算机犯罪也屡屡发生，但在大多数情况下，企业所发现的计算机舞弊很少通报新闻媒体，生怕导致其内部控制缺陷的公开披露。

（一）信息系统面临的主动威胁

对信息系统的成功攻击需要接近信息系统的硬件、软件或敏感数据。因此三类人最有可能将威胁引入信息系统：

1.信息系统员工

信息系统员工是指企业内部由CIO（首席信息官）领导的队伍，包括系统维护员、程序员、操作员、信息系统管理员和数据控制员。他们的职能是支撑企业业务处理信息系统的正常运转。系统维护员经常安装硬件和软件、维修硬件和修改软件上的错误。有些情况下，系统维护人员就可能运用这种权力非法浏览并修改数据和程序文档。系统程序员经常编写程序来修改和扩展系统的性能。这种修改虽然在严格的控制下进行，但总有可能对存在的程序做不良修改，或者编写不良的新程序。网络操作员可以秘密地监控所有的网络通信（包括用户的输入口令），以及存取系统里的任何文档。系统管理员处于被充分信赖的地位，通常有权接近安全秘密、文档和程序等，如系统账户管理员有能力编造虚假会计科目，或者泄露现有会计科目的密码。数据控制员负责把数据手工或自动输入计算机，他们可以欺诈性地操纵所输入的数据。

2.用户

在信息系统高度自动化的情况下，用户可利用远程终端或触摸屏等直接使用信息系统内的一些敏感数据，并有可能向企业的竞争者披露而获利，还有可能攻击该系统。

3.信息系统的攻击者

信息系统的攻击者是指那些未经正当授权就使用设备、电子数据或文档的人。他们通过搭线密听、借道、模仿等非法欺诈手段，进入计算机信息系统，窃取机密或进行破坏。这些人纯属主动的、恶意的破坏者。黑客是把攻击信息系统当作乐趣和挑战的人，他们为了显示自己的“才华”，往往擅自闯入系统禁区，修改数据或干扰计算机站点，对信息系统造成破坏。

（二）信息系统面临主动威胁的类型

针对信息系统进行舞弊犯罪的类型大致有以下几种：

1.输入操作

通过输入操作来舞弊是计算机舞弊中采用最多的方法，因为这种方法要求最少的技术技能。一个不太懂计算机系统的人，也可以通过改变输入内容达到犯罪的目的。美国的一名女性通过篡改输入文件，在十年间不仅每月盗窃200美元，而且给自己发放双份工资。某仓储部门的管理员用自己的私人账户购买了一批货物，随后成功截取了有关输入文件，并给自己降低价格。

2.程序修改

通过修改程序来作案可能是计算机舞弊中使用最少的方法，因为它需要掌握编程技术的人才能做得到。在美国，一名程序员通过给计算机编程来忽略自己账户上的透支额，当计算机出现故障不得不手工处理这些记录时，他的行为才被发现。一家经纪人公司的数据处理经理多年来盗窃金额达81000美元，其做法就是修改未被授权修改的程序。

3.文档变更

在某些情况下，舞弊者可能避开正常程序，利用其他软件（如EXCEL）伪造数据文件并输入到数据库里替代正常数据文件。这种情况一旦发生，后果是灾难性的。美国华尔街某公司的一名雇员通过把一部分公司收入转到其个人账户上，非法盗窃了278000美元。事后，检察官承认，如果被告不如实坦白认罪，起诉是不会有证据的。

4.数据窃取

重要数据的窃取是当今商务领域的一个严重问题。在许多高度竞争的行业中，对竞争对手的定量和定性的信息挖掘从未停止过。大不列颠百科全书曾指控其上晚班的电脑操作员，据说他从公司最具价值的客户名单中复制了近300万个名字，并将其卖给一个电子邮件广告直销商。该公司称被盗的名单价值300万美元。我国天津也曾有一男子从网上盗卖天津市私企老板的私人电话号码牟利。

5.恶意破坏

恶意破坏对于任何信息系统都将是致命的威胁。在某些情况下，舞弊者会通过恶意破坏引起混乱，借以掩盖其舞弊行为。如某罪犯篡改了会计数据，然后试图通过破坏电脑硬盘或其他载体来加以掩饰。某信用卡公司数据中心的负责人出于对最高管理层的不满，洗去了总值数百万元应收账款的电脑资料。

（三）信息系统面临的被动威胁

系统面临的被动威胁是指自然的、客观的、非人为的导致系统故障的事件，包括网络中断、磁盘受损、供电中断、硬件损毁等，这类事件一旦发生，企业可能蒙受无法承受的损失。

二、构建ERP系统的安全系统

实行安全控制措施和突发事件预案可以对信息系统的威胁进行控制和减少损失。安全控制措施主要用于发现和防止威胁，突发事件预案主要用于补救威胁造成的后果。一种被广泛接受的理论认为：一是某些主动威胁不可能被完全阻止，因为过度地保证信息系统的安全性可能会丧失信息系统的实用性，也即安全控制是有限度的；二是如果组织内没有一个总体诚实和谐的人文环境，再好的安全系统也不会有价值。

（一）信息系统安全防范的组织机构

信息系统的安全防范体系若想有效，必须由一位首席信息官（CIO）以外的高管来管理，这个人称为首席安全官（CSO），CSO与CIO处于同一领导层。调查发现，我国企业在信息化过程中均设立了首席信息官（CIO）这一职务，负责整个企业信息化的发展与建设，负责信息系统（ERP）的正常运转，他直接领导的队伍便是网管中心，这支队伍是ERP系统得以正常运行的支撑体系。可遗憾的是ERP的安全也由CIO来负责，也由网管中心来保障，这就十分不科学了。通过上述分析可知，对信息系统构成直接威胁的人主要来自企业内部，来自网管中心的技术人员。如果再由CIO来负责系统的安全事宜，出于自身的考虑，可能会大事化小，小事化了，从而牺牲企业的利益。所以，信息化比较发达的国家的企业已将保障信息系统的正常运行和信息系统的安全防范两个职能分离，设立与CIO平级甚至更有特权的首席安全官（CSO），并构建一个CSO领导下的独立的信息系统安全防范职能部门。

（二）构建良好的人文环境

企业内良好的人文环境是保证系统安全的基础。建立一个良好的人文控制环境依赖于下列要素：

1.管理风格

构造安全系统的第一个也是最重要的活动是制造高昂的士气和有利于系统安全的良好氛围。不断的安全教育可以使员工对于安全问题取得共识，员工间良好的沟通可以减少问题的发生。有关安全的事务都应严肃对待，任何破坏行为都应立即予以惩罚。对此，管理层人员应该做出榜样。

2.组织结构

企业实施信息化以后，一定要建立新的清晰的权责关系，保证不相容职责的分离。不然系统分析员和程序员可能被召集到一起去设计、编写和实施一个应收账款模块；而一个会计师可能被要求对一个会计模块进行修改。对于这样的活动，需要一条清晰的组织结构链来表明活动决策权的归属。一般常采用组织结构图、政策手册、员工手册、岗位职责说明等形式将每一个职位上的权力和责任以及必须回避的作业规定清楚。

3.董事会及下属委员会

企业董事会需要任命一个审计委员会，审计委员会要遴选一位内部审计师来担任首席安全官（CSO），该审计师应该具有良好的计算机安全背景。不论发生什么情况，CSO都要不受干扰地定期向审计委员会汇报信息系统的安全状况。

4.管理控制活动

实施对所有计算机和信息系统资源的使用和责任划分的控制十分重要。应该对所需购置的硬件、软件、日常运营费用做好预算，然后将这三方面实际费用与预算费用进行比较，对出现的重大差异要做深入地分析研究。预算控制在企业信息化进程中尤为重要，因为企业经常在信息技术方面超支或将资金花在无关紧要的事情上。雇员经常要求为他们提供那些实际上并不十分需要的计算机软、硬件及其服务。必须清楚，购买最新款的个人计算机或最新版的应用软件，有时只能给人以情感上的满足，却不能给企业带来任何利润。

5.内部审计职能

必须经常审核计算机安全系统，然后根据企业的要求进行改进。对安全方针及程序的一致性和有效性都要测试，恶客的逮捕和法办往往成为信息安全系统良好运作的证明。内部审计还要会同信息系统运行管理部门，使用假想事件定期对信息系统进行挑战性测试。

6.人事政策

职责分离、适当监督、岗位轮换、强制休假及双重检查都是很好的人事政策实践。正确执行聘用和解聘的人事政策非常重要，用人要筛选，解聘要谨慎。

（三）对主动威胁的防范

预防主动威胁的主要办法是用连续层面（多道关卡）来控制进入（接触）敏感源。如果所有设备、资料和数据等都管理得井井有条，现在考虑的重点就可以集中在减少或避免未经授权的人对敏感设备和资料的接触上（即物理隔离），使别有用心的人没有作案机会。

分层进入控制的基本原理在于建立多层次的控制来隔离潜在犯罪者和其觊觎的目标，具体分为站点进入控制、系统进入控制和文档进入控制。

1.站点进入控制

站点进入控制的目标是从物理上将未经授权的个体与计算机资源隔离开来。物理隔离特别适用于硬件、数据登记领域、数据库和连接线。常用的方法有：出入存放计算机或敏感数据的房间要进行身份认证；门要上锁，最好是智能锁；数据库和服务器所在地周围安装监视器，并有人连续监控接近者。一切输出设备尽可能隐蔽保管，通过密码才能使用，高度敏感的信息输出最好使用有盖子的打印机。

2.系统进入控制

系统进入控制是一种用来阻止未被授权的使用者进入系统软件的导向型控制，目的是通过用户名、密码、IP地址和硬件配置等手段来鉴别使用者。每一个内部使用者都可以从以下9个级别上分配到相应的用户名和密码：个人电脑或工作站级别、网络级别、主机级别、文档服务器级别、文档目录级别、程序级别、文档数据或数据库级别、记录级别和数据领域级别。这些级别联合起来提供了一个连续层面的保护，基本上可将窃密者与敏感数据隔离。

上述各种措施可以保证信息系统的使用者的身份验证结果和输入交易的时间被自动地记录到主文档和有关数据库文件中，从而可以对所有的个人业务进行审核。

密码应由一个密码管理系统谨慎控制。密码管理系统最初将密码分配给用户，并定期重新分配密码，最好不让用户自己更新密码，因为用户自己选择的密码通常很容易被破解。理想的密码应由大写、小写字母和特殊字符、数字等组成。例如：用一个特殊字符把两个毫无关联的英文单词或它们的一部分连在一起组成密码，是一种既简单又安全的密码编制方法，如FUCK&DART。

另一个系统进入安全防范措施是符号——口令系统。使用者进入系统首先输入用户的验证号码，系统用一个符号来响应，然后使用者可以有几秒钟时间输入与该符号相匹配的口令，如果正确，使用者便可进一步操作。这种安全防范系统要求符号——口令的配对不能使用两次。用户会定时收到将要使用的符号——口令对照表。

有关部门应将正在进行中的人事变动和雇员解聘情况立即通报系统安全部门，涉及变动或解聘的人员的账户号码或有关密码应该立即被注销，智能锁也应该重新设置开启信息。

有些硬件设备如指纹识别仪、虹膜识别仪等也可以和软件联合起来识别进入系统的人。

3.文档进入控制

文档进入控制阻止对数据和程序文档的未经授权的访问。最基本的文档进入控制是针对访问（看）和改变（修改）文档建立一套授权模式和控制程序。没有书面批准的情况下，任何人（包括系统维护员）均不得实施程序的修改；有书面授权的情况下，也只能在原程序的副本上进行正确的授权改动。特别重要的程序都应该保存在加锁的文档中，这就意味着这些程序只可以运行，但不能看，更不能改。

软件也可以像电子信息一样使用数字签名技术来保证它的可靠性，通过对数字签名的查证既可以准确地辨别软件的来源，又可以校验软件是否被修改过。例如，M公司购买了一个用于分析应收账款账户情况的软件，为了保护自己，M公司可以要求该软件加上软件供应商的数字签名。而且，如果M公司还不信任该软件供应商的公共密钥，还可以进一步要求软件供应商出具某权威机构对其公共密钥提供的数字证书。

（四）对被动威胁的防范

对被动威胁的防范包括预防和修复两个方面，这里我们只讨论预防问题。对信息系统的被动威胁，我们常采用容错机制。

1.容错系统

如果系统的某一部分出现故障，一个冗余部分立即接替该部分，使得系统继续运行而不致中断或只是短暂中断，这样的系统称为容错系统。具体来说，容错系统的内容包括：①网络通过双重交互路径来建立容错机制。②存储采用双机热备建立容错机制，即数据库的载体——磁盘机可以采用双机运行，当即存储两份。③电力供应采用不间断电源（UPS）建立容错机制。

2.文件备份

一个对数据文件进行集中备份的机制非常必要，尤其是实时系统，对于不允许丢失或丢失便无法弥补的重要数据，间隔几分钟就要进行一次备份。

备份有三种类型：全部备份、增量备份和差异备份。全部备份是备份指定磁盘中的所有文件。在许多情况下，在整个营业过程中持续不断地备份整个磁盘或计算机系统是不现实的。因此，许多系统在两次完全备份之间只进行增量备份或者差异备份，即只备份那些改动过的文件。这样处理既节省了时间，又节省了数据载体的成本。

文件备份不同于文件存档，备份只是用于系统出现意外时的数据恢复。所以备份使用的存储载体不需要长时间的可靠性。

三、构建ERP的偶然事件防范预案

灾难风险管理是在灾难事件发生时，尽可能保证信息系统仍能正常工作，包括灾难预防和偶然事件防范预案两个方面。

（一）偶然事件预防

预防灾难的发生是灾难风险管理的首要一步。根据历史资料研究显示，下面三类灾难发生的比例为：自然灾害30%，蓄意破坏45%，人为错误25%。经验表明，执行良好的安全政策与计划可以预防许多由于蓄意破坏或误操作引起的灾难。信息系统设备和数据存储设备集中安放在难以被暴风雨、地震、洪水侵袭的建筑物中，可以减少许多因自然灾害导致的灾难。

（二）偶然事件防范预案

偶然事件防范预案在企业中必须被高度贯彻执行。该预案必须作为信息系统安全计划的一个重要组成部分，在董事会和最高管理层讨论通过。偶然事件防范预案主要包括以下四个方面：

1.评估企业的关键需要

所有负有关键使命的信息系统资源都要通过鉴定和确认，其中包括硬件、软件、电力、建筑物、关键数据和相关人力。

2.恢复优先级列表

恢复计划即使再完美，要想在短时间内把一切都从灾难中恢复过来也不太可能。因此，必须根据轻重缓急，对需要恢复的资源评估优先级并列成表，在表中列出各资源在信息系统中所负的关键使命以及必须在什么时间内被恢复才行。

3.恢复的策略与过程

一份完整的恢复策略与过程非常关键。计划中必须包含非常详细的规定，这样在遭受灾难之后，组织马上可以知道应该做什么、由谁去做、怎么做，应该在多长时间内完成。灾难发生时，所有的计算机操作员、数据记录员马上组成紧急响应小组，由一名紧急运营负责人带领，马上到事先指定的地点，成立紧急运营中心，指导整个恢复计划。还要考虑在什么情况下将灾难进行公布，应由谁来公布，向哪些对象公布。

4.替换过程规划

偶然事件防范预案中最为重要的一环是在主计算机系统被摧毁或者不能使用以后，启用后备系统。可能的后备系统有冷站点、热站点和飞启站点。冷站点中只有计算机配置图，没有真正的机器设备；热站点既有配置图也有机器设备；飞启站点不但有配置图、实在的机器，而且已安装了适当的软件并留有每天更新的数据备份。它们完成恢复的时间分别为几天、几小时、几分钟甚至几秒钟。究竟采用哪种后备系统应根据企业的成本利润水平来选择，现实中只有极少数企业才建得起昂贵的飞启站点。■

责任编辑 李斐然