持续性702
ERP是EnterpriseResourcePlanning(企业资源计划)的简称,是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台。从狭义来说,它是从MRP(物料需求计划)发展而来的新一代集成化管理信息系统,它扩展了MRP的功能,其核心思想是供应链管理。从广义来说,它跳出了传统企业边界,从供应链范围去优化企业的资源。ERP系统集信息技术与先进管理思想于一身,成为现代企业的运行模式,反映时代对企业合理调配资源,最大化地创造社会财富的要求,成为企业在信息时代生存、发展的基石。它对于改善企业业务流程、提高企业核心竞争力具有显著作用。国内典型的代表有用友、金蝶等。
ERP的选择
实际上从客观来说无法评判具体哪个ERP系统更安全,同时,也并不是所谓更安全的,就适合自己的企业使用,其必然有对应的匹配资源的要求,同时其面向的企业规模也会不同。
从选择ERP系统和供应商,参考如下几点建议:
- 结合自身企业所处的行业,选择匹配自身的系统。如果是较单一或相近的行业,如房地产、零售、电力、钢铁等,那么选择与自身匹配的行业软件或许更合适,因为行业软件更贴合行业的特征,更利于产生协同效应;如果是集团,甚至有不同行业,那么选择综合性或通用性的系统更合适。
结合自身企业的规模,选择适合自身的产品系列。一般来说,常见的ERP系统厂商其旗下产品,都会按企业规模研发不同的产品系列,以金蝶为例:
在传统ERP产品中根据企业的规模划分为EAS、K/3、KIS系列等;在云产品中根据企业规模划分为苍穹、星空、精斗云等。而这些产品中几乎都有财务、供应链、人力、生产等各种领域模块,但每种产品的侧重点、功能复杂度都各不相同。如果是中小规模的企业,可以考虑星空、K/3;如果是集团性企业,可以考虑EAS、苍穹;如果是小微企业,则考虑精斗云、KIS等。
其他厂商的系统,也存在类似的划分,就不一一展开阐述。
结合自身的管理所需,选择匹配的功能模块。上线一套ERP系统,并不是一蹴而就,企业需要根据管理迫切点并适当考虑较长远规划相匹配的功能模块,并有序递进。
结合自身具备的内部资源,选择合适的实施能力、服务能力的厂商。ERP系统是相对较复杂的,那怕功能相对简单的适合小微企业,也有其专业性,所以说,选择实施能力、服务能力强的厂商,是建议考虑的。ERP软件,三分功能,四分实施、三分服务。一套系统研发出来,虽然一般会内置大量的参数供选择配置,但其功能就相对固定了;而能不能发挥这套系统的价值,关键在于实施阶段,实施团队能不能设计规划出匹配企业的蓝图,并在企业实施落地,这是非常重要的;而当系统上线后,随着人员的更替,内部知识传递又不充分,以及随着使用的不断深入需要做个性化的功能定制,就需要后续的良好服务来保障系统的平稳运行和满足个性化功能定制的开发实施。
结合自身的预期投入,选择合适的厂商。这点很好理解,有多大力,使多大劲,得多大果。
以上,粗略描述了系统及其厂家的选择。归根到底,适合自己的,才是最好的。
ERP的安全
前面,讲到无法评判哪个ERP系统更安全,但可以尝试从ERP项目的整体上进行解答。由于ERP系统的复杂性,以及企业在建设维护ERP系统时受到的技术条件、人员素质等各种条件的限制,导致ERP系统存在多种安全风险。要加强ERP系统的安全风险防范工作,就需要正确识别ERP系统运行管理中存在的安全风险和成因。一般来说,ERP系统的安全风险主要有以下几个方面:
不可抗外力灾害的安全威胁。由于自然灾害、意外事故等不确定的客观原因造成如系统硬件的损坏、网络中断及数据丢失等的威胁。
在这点上,因其不可抗力,我们是无法完全防范的。那么备份就是我们不二的选择,从备份的准备程度上分为热备、温备、冷备;从介质上又可以分为在同介质备份、异介质备份;同时,企业可以根据数据量的大小,选择备份的频次,一般每天备份一次是必须的,有些数据量大的企业,频次就更多。
管理疏忽导致的事故的安全威胁。由于企业管理不规范、不严谨,相关人员监管不力,用户身份认证及权限管理不严,操作人员误操作以及业务不熟练等主观原因造成的事故威胁。
在这点上,就完全是企业自身的原因了,也是目前最容易产生的安全问题。第一,需要从上到下建立起一套规范严谨的管理制度、身份认证权限授权机制、奖惩机制,并加强宣贯,加强各级用户对制度的认知和执行落地。第二,企业内部还需结合项目蓝图,制定一套操作性强可读性强的各业务流程操作手册,包含但不限于业务流程、操作说明、例外说明、检查纠偏等方面内容。第三,建议定期和不定期的培训机制,以防人员流动和加强用户操作熟练程度。
系统缺陷导致事故的安全威胁。由于受构建企业ERP系统平台时的技术条件、网络产品、通信协议等方面限制,在硬件设备质量不过关、操作系统平台安全漏洞、服务器配置有误、系统设计缺陷、网络协议漏洞、缺乏有效监控手段等方面的安全隐患造成的事故威胁。
在这点上,ERP系统承载层面,那么可以参考ERP软件厂商提供的建议,选择恰当的操作系统、数据库、硬件设备并进行合理的配置,并通过内部的专业人员、第三方IT外包,帮助企业在这些方面尽可能规避风险。对于ERP系统自身层面,前面讲到三分服务,在这里就是一个体现,比如及时合理的安装补丁,一方面修复原有产品的BUG,一方面提供新的功能等等。
恶意攻击的安全威胁。企业内部员工或外界黑客和其他入侵者为了获得不当利益、窃取商业秘密、猎奇心理等恶意破坏行为造成的事故威胁。
在这点上,当有人主动攻击、恶意破坏,实际上是难以完全防范的。但我们也可以做出一些防范措施。在外部上,安装杀毒软件、安装防火墙硬件和软件,建立外部和内部的隔离机制,以及安装操作系统补丁,对操作系统、硬件设备设置合理的参数等方面予以防范;在内部上,在前面说到的身份认证、权限授权(批量反审、删除、修改、直接操作数据库等)等机制上完善外,加上内网共享限制、外部介质备份限制、邮件外发(含其他可外发文档的各种软件)限制等,禁止安装不明软件,予以防范。
结语
要确保ERP系统的安全,离不开企业自身的意识,以及相关制度措施的落地和执行。合理配置、定期备份、合理授权。愿所有上线ERP系统的企业,其ERP数据安全!!!
以上,仅起抛砖引玉的作用,欢迎大家一起讨论。
就先说这些,想了解更多软件干货,可关注【软件微课】。
