ERP是数据宝箱，技术漏洞测试和渗透测试成ERP安全重点

作者 | 贺子昱（邮箱：[email protected]）

编辑 | 罗松

**

无论企业的企业资源规划（ERP）系统是在本地还是在云端，都很容易受到攻击，因此需要采取一定的措施对其加以保护，以下是一些建议。

对企业而言，ERP是一个充满价值的数据宝箱，也面临着黑客攻击的威胁。因此企业IT及信息安全团队需要了解ERP安全问题并提出最佳方案。

ERP系统涵盖了公司的知识产权以及员工和客户的个人身份信息，要确保这些数据的安全绝非易事。

ERP安全问题

典型的 ERP 环境经常容易成为被攻击的标靶，其中包括网络主机、Web 组件、数据库、胖客户端和移动应用程序。这些复杂性使IT和信息安全专业人员始终绷紧神经。

与企业ERP系统相关的计算机和软件易受到常见安全漏洞的攻击，如果置之不理，就可能会带来严重的挑战。无论ERP系统是在本地还是在云端，都需要检查以下安全问题：

缺少操作系统、应用程序和数据库级别的软件补丁，这些补丁可以促进远程控制、防止恶意软件感染或拒绝服务攻击；

系统认证机制缺陷；

输入过滤的缺少导致结构化查询语言（SQL）的注入；

用户管理不善或权限升级漏洞会导致访问控制的差异；

数据备份弱点使系统易受到勒索软件感染；

和整个网络的可见性差，限制了安全事件管理和响应。

这些安全漏洞将会影响各行各业，无论其规模大小。

ERP问题

企业ERP系统通常由内部或外部审查团队负责管理，但这还不足以确保ERP系统的安全。与其他管控审查类信息风险的方法一样，ERP安全性通常缺乏技术漏洞测试和渗透测试。这种疏忽可能导致核心IT控制试图避免的安全事件，企业的整体事件响应和业务连续性计划中没有特别包含ERP系统也是十分常见的。

企业高管应该明白ERP安全是一项关键任务，而不仅仅是一项以IT为中心的职能。作为跨职能团队的一部分，其中包括 IT、安全、运营、财务和法律等部门，管理者应当创建度量标准并做出有关ERP安全的决策。

IT和信息安全团队始终都应肩负起保证ERP安全的职责。作为ERP安全最佳实践者，IT专业人员必须在安全技术方面仔细审查ERP环境，例如日志记录和警报、多因素身份验证、数据丢失防护和云访问安全代理。同样的规则也适用于正在进行的安全测试。

至少，IT 或信息安全团队的专业技术人员应使用Qualys、Nessus、Acunetix和Netsparker等网络漏洞扫描程序，同时专用的ERP测试工具（如 ERPScan）也十分有帮助，技术人员还需要在自动扫描的过程中确保渗透测试和手动分析。IT 和信息安全团队还可以考虑使用Scuba等工具进行数据库漏洞扫描，利用Veracode 等工具进行源代码分析，网络架构分析和防火墙配置分析，以确保只有有业务需求的用户才能访问ERP环境。

企业IT安全团队需要定期且不间断地进行ERP安全测试，至少每年一次。若使用第三方云系统，则无法对ERP系统进行该频率的监督和测试。在这种情况下，团队应定期审查安全运营中心审计报告，并查看最新漏洞和渗透测试报告的副本。 管理者可通过副本否认执行摘要就可获取足够的信息。

使用常识和一致性监督是两个关键的、但经常在确保核心ERP安全中被忽视。企业高管不可以将企业最重要的数据库暴露在一个可预防的弱点之下。无论他们做出任何决定，都要仔细考虑并确保所有的选择都有理可寻。

数字时氪（微信ID：digital36kr）