持續性702
ERP是EnterpriseResourcePlanning(企業資源計劃)的簡稱,是指建立在信息技術基礎上,以系統化的管理思想,為企業決策層及員工提供決策運行手段的管理平臺。從狹義來說,它是從MRP(物料需求計劃)發展而來的新一代集成化管理信息系統,它擴展了MRP的功能,其核心思想是供應鏈管理。從廣義來說,它跳出了傳統企業邊界,從供應鏈範圍去優化企業的資源。ERP系統集信息技術與先進管理思想於一身,成為現代企業的運行模式,反映時代對企業合理調配資源,最大化地創造社會財富的要求,成為企業在信息時代生存、發展的基石。它對於改善企業業務流程、提高企業核心競爭力具有顯著作用。國內典型的代表有用友、金蝶等。
ERP的選擇
實際上從客觀來說無法評判具體哪個ERP系統更安全,同時,也並不是所謂更安全的,就適合自己的企業使用,其必然有對應的匹配資源的要求,同時其面向的企業規模也會不同。
從選擇ERP系統和供應商,參考如下幾點建議:
- 結合自身企業所處的行業,選擇匹配自身的系統。如果是較單一或相近的行業,如房地產、零售、電力、鋼鐵等,那麼選擇與自身匹配的行業軟件或許更合適,因為行業軟件更貼合行業的特徵,更利於產生協同效應;如果是集團,甚至有不同行業,那麼選擇綜合性或通用性的系統更合適。
結合自身企業的規模,選擇適合自身的產品系列。一般來說,常見的ERP系統廠商其旗下產品,都會按企業規模研發不同的產品系列,以金蝶為例:
在傳統ERP產品中根據企業的規模劃分為EAS、K/3、KIS系列等;在雲產品中根據企業規模劃分為蒼穹、星空、精鬥雲等。而這些產品中幾乎都有財務、供應鏈、人力、生產等各種領域模塊,但每種產品的側重點、功能複雜度都各不相同。如果是中小規模的企業,可以考慮星空、K/3;如果是集團性企業,可以考慮EAS、蒼穹;如果是小微企業,則考慮精鬥雲、KIS等。
其他廠商的系統,也存在類似的劃分,就不一一展開闡述。
結合自身的管理所需,選擇匹配的功能模塊。上線一套ERP系統,並不是一蹴而就,企業需要根據管理迫切點並適當考慮較長遠規劃相匹配的功能模塊,並有序遞進。
結合自身具備的內部資源,選擇合適的實施能力、服務能力的廠商。ERP系統是相對較複雜的,那怕功能相對簡單的適合小微企業,也有其專業性,所以說,選擇實施能力、服務能力強的廠商,是建議考慮的。ERP軟件,三分功能,四分實施、三分服務。一套系統研發出來,雖然一般會內置大量的參數供選擇配置,但其功能就相對固定了;而能不能發揮這套系統的價值,關鍵在於實施階段,實施團隊能不能設計規劃出匹配企業的藍圖,並在企業實施落地,這是非常重要的;而當系統上線後,隨著人員的更替,內部知識傳遞又不充分,以及隨著使用的不斷深入需要做個性化的功能定製,就需要後續的良好服務來保障系統的平穩運行和滿足個性化功能定製的開發實施。
結合自身的預期投入,選擇合適的廠商。這點很好理解,有多大力,使多大勁,得多大果。
以上,粗略描述了系統及其廠家的選擇。歸根到底,適合自己的,才是最好的。
ERP的安全
前面,講到無法評判哪個ERP系統更安全,但可以嘗試從ERP項目的整體上進行解答。由於ERP系統的複雜性,以及企業在建設維護ERP系統時受到的技術條件、人員素質等各種條件的限制,導致ERP系統存在多種安全風險。要加強ERP系統的安全風險防範工作,就需要正確識別ERP系統運行管理中存在的安全風險和成因。一般來說,ERP系統的安全風險主要有以下幾個方面:
不可抗外力災害的安全威脅。由於自然災害、意外事故等不確定的客觀原因造成如系統硬件的損壞、網絡中斷及數據丟失等的威脅。
在這點上,因其不可抗力,我們是無法完全防範的。那麼備份就是我們不二的選擇,從備份的準備程度上分為熱備、溫備、冷備;從介質上又可以分為在同介質備份、異介質備份;同時,企業可以根據數據量的大小,選擇備份的頻次,一般每天備份一次是必須的,有些數據量大的企業,頻次就更多。
管理疏忽導致的事故的安全威脅。由於企業管理不規範、不嚴謹,相關人員監管不力,用戶身份認證及權限管理不嚴,操作人員誤操作以及業務不熟練等主觀原因造成的事故威脅。
在這點上,就完全是企業自身的原因了,也是目前最容易產生的安全問題。第一,需要從上到下建立起一套規範嚴謹的管理制度、身份認證權限授權機制、獎懲機制,並加強宣貫,加強各級用戶對制度的認知和執行落地。第二,企業內部還需結合項目藍圖,制定一套操作性強可讀性強的各業務流程操作手冊,包含但不限於業務流程、操作說明、例外說明、檢查糾偏等方面內容。第三,建議定期和不定期的培訓機制,以防人員流動和加強用戶操作熟練程度。
系統缺陷導致事故的安全威脅。由於受構建企業ERP系統平臺時的技術條件、網絡產品、通信協議等方面限制,在硬件設備質量不過關、操作系統平臺安全漏洞、服務器配置有誤、系統設計缺陷、網絡協議漏洞、缺乏有效監控手段等方面的安全隱患造成的事故威脅。
在這點上,ERP系統承載層面,那麼可以參考ERP軟件廠商提供的建議,選擇恰當的操作系統、數據庫、硬件設備並進行合理的配置,並通過內部的專業人員、第三方IT外包,幫助企業在這些方面儘可能規避風險。對於ERP系統自身層面,前面講到三分服務,在這裡就是一個體現,比如及時合理的安裝補丁,一方面修復原有產品的BUG,一方面提供新的功能等等。
惡意攻擊的安全威脅。企業內部員工或外界黑客和其他入侵者為了獲得不當利益、竊取商業秘密、獵奇心理等惡意破壞行為造成的事故威脅。
在這點上,當有人主動攻擊、惡意破壞,實際上是難以完全防範的。但我們也可以做出一些防範措施。在外部上,安裝殺毒軟件、安裝防火牆硬件和軟件,建立外部和內部的隔離機制,以及安裝操作系統補丁,對操作系統、硬件設備設置合理的參數等方面予以防範;在內部上,在前面說到的身份認證、權限授權(批量反審、刪除、修改、直接操作數據庫等)等機制上完善外,加上內網共享限制、外部介質備份限制、郵件外發(含其他可外發文檔的各種軟件)限制等,禁止安裝不明軟件,予以防範。
結語
要確保ERP系統的安全,離不開企業自身的意識,以及相關制度措施的落地和執行。合理配置、定期備份、合理授權。願所有上線ERP系統的企業,其ERP數據安全!!!
以上,僅起拋磚引玉的作用,歡迎大家一起討論。
就先說這些,想了解更多軟件乾貨,可關注【軟件微課】。
