壹佰网|ERP100 - 企业信息化知识门户

 找回密码
 注册
查看: 10547|回复: 42

话题讨论:如何保证核心业务数据安全保护?

  [复制链接]
回帖奖励 2300 点努力值 回复本帖可获得 20 点努力值奖励! 每人限 1 次
发表于 2012/10/29 09:49:50 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。如果您注册时有任何问题请联系客服QQ: 83569622  。

您需要 登录 才可以下载或查看,没有帐号?注册

x
目前公司的核心业务数据已经成为公司的宝贵资产,是公司赖以运营的核心资产;这些核心业务数据对于每个公司的定义都不太一样,这些核心业务数据包括:POS的交易数据,ERP的生产制造和财务数据,人力资源管理系统中的薪酬数据等等;

特别是互联网电商等企业的核心业务系统,其数据更是关乎企业的生存;邀请大家就如下问题谈一下自己的看法:
1.公司核心数据库的量级别?
2.如何保证这些数据库的安全?备份和恢复措施都是如何作的?
3.下一步的提升计划都有那些?

注意:
1.大家也可以提出目前在核心业务数据安全方面遇到的一些问题,壹佰网将联系行业专家为大家作解答;
2.因本话题涉及敏感信息,所以请大家忽略关键的信息;
3.因话题全面禁止灌水,字数小于20个字以内的回帖将会被删除;

管理员提醒:

1、本帖旨在交流讨论,发帖人已设置回复奖励,回复即可奖励20努力值,希望大家踊跃参与。
2、本帖在本月结束后将选择回答得较好的三位会员,分别奖励“凤凰涅槃”勋章一枚: medal19.jpg
3、根据会员的回复情况,针对精彩回答,会有相应的加分措施。 一起来讨论吧!

参考帖子:
数据防泄密方案-构建制造业坚固后防
http://bbs.erp100.com/forum.php?mod=viewthread&tid=256332&fromuid=8


icon_logo.jpg 该贴已经同步到 纵横四海的微博

本帖被以下淘专辑推荐:

发表于 2012/10/29 10:23:42 | 显示全部楼层

回帖奖励 +20 点努力值

我觉得对于特别需要保密的数据,比如某些行业的配方,可以在单独的系统中体现,通过一些接口或者变通的方式实现和ERP系统的接口集成。对于一般的数据,比如供应商、客户、价格等信息,可以通过ERP系统中权限的控制来实现具有相关权限的人员方可查询,修改或新建。
 楼主| 发表于 2012/10/29 10:32:51 | 显示全部楼层
我来说一下最近一个项目的案例吧:
公司需要給员工发福利,福利是公司的福利卡,员工得到的是一个:密码;员工利用该密码到指定网站上进行充值消费;

在这个项目中最大的问题就是:数据安全问题(密码泄露);因为该系统需要在ERP中去实现,所以对于我们最大的安全问题不是技术问题,而是密码泄露问题;

通过对开发成本和流程的考虑,采用的方案是:
HR部门获得密码后,将密码直接上传并批量分发給每个员工;员工登录ERP账号后获取密码;密码在数据库中加密存放(采用数据库加密算法),该加密算法全公司就开发人员一人知道;但开发人员因为没有产品环境的密码,所以数据将是安全的;

这个项目难度不大,但通过简单的措施,保证了数据的安全,大家可以借鉴;

简单的项目大家可以看看oracle数据库的dbms_crypto 这个函数包;
发表于 2012/10/29 10:37:55 | 显示全部楼层

回帖奖励 +20 点努力值

对于核心数据的管控,个人观点,归口越小越好,一定要严格控制权限的设置,涉及到对敏感数据的权限分配,一定要经过严格的审核后才能授权。
数据备份方面,数据量不是特别大的数据库每天至少做一次本地全备份,条件允许的话再做一次异地全备份。
正在有计划的上存储,陆续的把数据库文件都转移到存储上,再使用存储去备份数据。值得注意的地方是长存储前一定要做好充分的测试,存储设置得不好可能会影响系统运行的速度。

点评

邀请你的更多朋友参与进来吧;  发表于 2012/10/29 10:40
发表于 2012/10/29 13:29:12 | 显示全部楼层

回帖奖励 +20 点努力值

数据安全是个头痛问题,客户又要访问方便,又要数据安全,又要费用低廉,真一个难办的事情!

点评

是否可以把你的问题給展开说一下呢?  发表于 2012/10/29 13:30
发表于 2012/10/29 16:44:49 | 显示全部楼层

回帖奖励 +20 点努力值

很多企业安全问题不解决,不敢用ERP,怕税务和内部的人把他的企业都给搞关门了。
数据的安全分为针对税所的安全和针对内部人员的安全
税所的咱就不讨论了,太敏感,说一说内部人员的安全。
对系统管理员的数据安全
     要求:
1、数据库流出打不开,目前国内的ERP如果数据库流出又装了同样的软件是可以轻松的打开里面的所有数据的。(程序增加加密连接,绑定客户的服务器,数据据流出到其它地方,安装了同样的软件也打不开。当然现在还有一种更好的办法就是数据库加密码,不在企业的环境数据不能打开也不能还原,类拟于文档加密,不过这个费用比较高,大概一台服务器在3万元左右。
2、 管理员对业务的授权要二重授权,目前是系统管理员有所有人员的权限设置,他要搞一点小动作是没用任何痕迹的。所以要求系统管理员,可以设置权限,但系统不生效是,要另外一个业务权限管理员进来审核后才能生效。简单说系统管理员是权限增加的操作者、业务权限管理员是审核者(财务总监或部门经理),有一个人来监控。涉及到那个部门的模块的权限就由那个部门的主管来充当业务权限管理员来审核。

3、管理员不能有业务的权限,只能是帐套备份、加用户、增加业务的权限
   

2、对操作人员的数据安全


对操作人员的数据安全

1、字段、数据、功能授权,只能看到自己的数据
2、密码自动定时更改,有条件有动态密码卡
3、客户端用远程接入操作不流痕迹
4、帐套授权,不同的人设置只允许看相在的帐套
5、打印次数控制,审核后才允许打印,且控制打印次数
6、导出控制
7、金额权限控制
8、角色权限控制
9、不允许使用U盘
10、安装上网行为管理软件,监控QQ、邮件、文件等信息
11、ERP单据要记录修改人、修改时间、打印人、打印时间、审核人、审核时间,权限再大的人也不敢改别人的单据,全部要保修原始的记录,目前国内通用ERP这一块处理得不是很好。
发表于 2012/10/29 16:50:38 | 显示全部楼层
要想实体的数据安全就是服务都放在外面,全部用远程接入,这样客户端也不需要安装任何软件,这样就是宽带接入的费用较高
发表于 2012/10/30 09:46:09 | 显示全部楼层

回帖奖励 +20 点努力值

首先应该确认需要保密的数据范围,例如,客户信息,供应商信息,工艺,配方,人事资料,工资等。

确认后,可以指定人员来维护,例如市场部做客户的维护,IE做工艺的维护,工资员做工资核算维护等。

需要相关信息时需要,对应的人员审批。将正式环境的数据库做权限限制、报表权限等。

经济条件 好的,可以考虑对个人电脑做全方位的安全方面的措施。
发表于 2012/10/30 09:54:51 | 显示全部楼层

回帖奖励 +20 点努力值

对于数据安全无非采用以下两种方式:
1.人防
  采用制度规范控制
  如:通过奖惩制度、法律制度等控制在严格操作范围内
      当然也包括监督、防范机制
2.技防
  采用信息等其他技术手段控制
  如:数据库密码、服务器密码等
发表于 2012/10/30 10:05:01 | 显示全部楼层

回帖奖励 +20 点努力值

楼主分析的到位,企业核心数据,是企业赖以生存的命脉。
就ERP系统而言,两大核心:计划和财务。如何进行准确的计划并确保企业各环节有序衔接运转?就需要这些核心基础数据准确、实时、安全、有效等。对于任何操纵数据库的人员,都必须是公司经过严格审核的有责任心、安全度高的员工。有了这些核心数据,计划这块才能下达准确的采购订单、才能制定合适的生产计划、才能排程合适的交货日期等等。也只有这些数据的准确,财务才能赖以生存的进行各项资金流的控制。
因此,核心数据对于公司而言,其级别应该是最高的,需要严格以待,重点呵护。
怎样做才能让这些数据安全、可靠、实施呢?个人认为,两大方面:
1、软硬件方面:
一定要做好安全、严格的备份,尤其对于安全度要求极高的企业,在使用ERP等系统中,采取严格的如双服务器、双硬盘备份等等。采取主备系统同步实时更新,做到数据实时备份,而且一旦哪台服务器故障,能通过安全的防护系统马上启动另一台服务器。严格做到核心数据的实时、安全、准确、有效等等。
2、人员方面:
需要公司管理层通过不断的宣传、要求、制度等,不断强化和灌输员工对核心数据的谨慎对待。
见过军队的数据录入,一般都是两个人,一个是操作员,一个是监督员。监督员拿着事先拟好的操作步骤和数据内容,实施监督操作员的每步操作,确保数据的完全一致。当然,一般企业可能没有必要做到这点。但是安全、谨慎意识还是要具备的。
发表于 2012/10/30 10:06:27 | 显示全部楼层
对于灾难以预防为主、补救为辅;重在预防
1.预防
  1.1 制定预防措施;如:日巡检、周巡检、月巡检、日备份等预防手段的制度措施
  1.2 制定预防措施的奖惩制度;
2.补救
  2.1 制定灾难恢复优先级;如:一般问题、严重问题等
  2.2 制定灾难恢复措施;如:一般问题如何处理、谁去处理、什么时间处理完毕等
  2.3 制定灾难恢复奖惩措施
  2.4 对于出现的问题;进行备案登记;形成知识库

点评

你这明显是DBA的工作嘛,呵呵  发表于 2012/10/30 16:42
发表于 2012/10/30 10:49:15 | 显示全部楼层

回帖奖励 +20 点努力值

个人认为不同类型的企业对数据的权重也不一样,生产型企业更关注他们的客户资源及生产工艺的数据保密,在中国普遍生产较落后的生产型企业中人事的资料对于他们来说几乎是无关紧要,这类企业在客户及生产工艺数据保密上比较看重。而贸易型企业及电商行业则侧重对会员数据及销售数据的分析与应用且对数据的保密性要求甚高,对销售数据的深入可以发现病根在哪里,方向决策是否有误,如何做改进,市场趋势导向等,对会员的深入营销发掘。
总的来说在数据方面不管是生产型企业还是贸易型企业除了做好数据的保密,查看权限的管控外还要做好数据的价值挖掘,如果没深入的挖掘并应用它那也只会是一堆数据垃圾。
童鞋们数据时代就要开始进入高潮期啦~!!还有很大空间等着你们去探索呢!
发表于 2012/10/30 16:44:34 | 显示全部楼层

回帖奖励 +20 点努力值

数据安全问题,我和很多客户都讨论过。。
数据安全问题首先要区分,硬件安全、数据库、软件三个方面来。
硬件方面我不想提和数据库方面不想提,各家都与各家的解决方案。。
关于软件方面:我举一个例子吧,一张报价单 销售人员可以看到产品组成、价格、数量,财务人员可以看到产品组成、价格、数量,技术人员只能看到产品组成,仓库人员只能看到产品组成及数量,销售经理可以看到更好的价格。。
数据安全问题我认为最重要的就是不能让1个人掌握所有的核心机密。。
通过权限控制到表单、表身、以及表的每个字段
发表于 2012/10/30 16:53:16 | 显示全部楼层

回帖奖励 +20 点努力值

1.公司核心数据库的量级别?
==ERP是首先的平台,不过我们OA,DRP,CRM,SCM,HR,因为企业的多元化发展,行业不同,数据集成,或是做是BI都是问题,统一规划,分步执行
我们现在最大的项目是:订单中心,整理ERP,同时还在推:质保卡验证系统,防伪验证。

2.如何保证这些数据库的安全?备份和恢复措施都是如何作的
==数据库,我们是做的双机,同时移动硬盘,还有异地的灾备,定期的备份
另外在于权限方面也做了严格的划分,一是使用U盘加密登录,二是手机的动态登录,三是验证码。

3.大家也可以提出目前在核心业务数据安全方面遇到的一些问题.
==一些人为的问题,人治的问题,

四海太忙,晚点有空好好写写,到时再补!

点评

好的噢,知道你很忙的  发表于 2012/10/30 16:58
发表于 2012/10/30 17:05:59 | 显示全部楼层

回帖奖励 +20 点努力值

1、数据保密重点在防止内部人员泄秘方面。对于普通员工可以通过加强安全意识,以及设定密码强度和定期更新等低成本办法;对于数据库管理员、甲方维护人员等,则很难防止其故意泄密。
2、外部人员恶意泄密:对于乙方实施人员,只能在合同里禁止,别无他法;其他人员,只能通过网络安全等技术手段了。
但是,安全和方便是矛盾体,需要找到合适的平衡点。
发表于 2012/10/30 20:43:52 | 显示全部楼层
本帖最后由 gh9971 于 2012/10/30 20:49 编辑

(PS:四海,BOB,非常抱歉,敬请理解,这一两年太忙,第二个孩子出生,家里,生活,身体,加上台湾几大城市的项目,以及亚太地区等9大IT项目同时启动并行,人员的安排,90后的问题,分布式管理,软体组的安排,集团的沟通,导致很少回家,这里说声对不起。尽量将我的版主取消,对不住大家,时间太少。等以后有空,一定回来更多的分享。现在比较注重意家,孩子,身体。)

关于数据,现在的企业信息化,都比较OK,数据是最重要,我们常在ERP中说,十二分数据,没数据无结果,无报表,无分析,我们最近上了IBM的BI的Cognos都是依托在强大,正数的数据之上。

现在的企业,BOSS们要求拿数据说话,财务数据,销售数据,生产数据...............

对于数据的安全来说,应该是根据行业,企业的规模,企业的要求来规划,定制,如银行,工商,税务,国家性各不同,最近比较火的是:电商,三大家京东,国美,苏宁大战,想

想,这三家的IT里肯定很有意思,不过安全性也做得好,呵呵,题外话了。

具体到行业,可能要请本行业的专业人员来说说,这里带过,就说我熟悉的吧,不同的行业侧重点不同

1、塑胶:制造业,涉及到配方。
2、7-11:大家都知道,POS系统,这里面的财务
3、五金:主要是BOM表,加工工序。
4、酒店:内外价格,客人的信息
5、光学:配方,专业技术保密,文档的加密
6、房地产:同行的信息,自身的成本。
不同公司不同工厂我们做法是各对各,对自己的BOSS,然后汇总董事长最想看了财务三大报表,其他基本略过,
如房地产的数据给此公司的BOSS,酒店的数据给此公司的BOSS,这些BOSS对自己旗下的数据负责,最后总的数据才汇报到董事长

同时各公司的IT针对本公司本行业进行数据的安全等管理,大的前提按全球IT部规划统筹,小的由各自公司的IT主管自行规划,总部IT只抽取共性的数据,关键的数据备份

A:数据量过大,建议一式三份,同时异地灾备,定期检查,数据库后台每天自动备份,以及磁带机,或BAT自动处理。同时定期检查,我们现在的数据都是以TB计算
如有的数据,生产,或是财务,要求三年,或是五年等定期清理,建立好保存数据的环境。

比较重要的ERP,一是APS,MRP,BOM,财务的成本分析等,这些数据太重要,特别对于制造业。
二是OA中的数据,文档的存放,流程的梳理,每天的LOG,
三是CRM,客户资料,这些不多说,客户是上帝
四我们走渠道,制造,不走终端,但因为B2B,B2C,O2O的发展,我们也在尝试去抓住最后的消费者,做一定的地区,年龄,爱好等分析,这就涉及到:渠道的客户,客户的终费者,即我们现在做了防伪系统。
五最大是:订单中心,依托这样的一个order center的平台,将客户,生产,渠道类似于SCM供应链的东西连接在一起,通过IT的技术手段,这里面的数据分流,机器人等数据
六最后全部汇总到BI中,形成REPORT,而且这些数据产生过程中,有不同部门进行校对,稽核,排查,最后确认数据的准备性,董事长特看重这一点。
如果会数据建模,或是精算师,数据敏感,EXCEL特别好的人,在我们这里特受欢迎,呵呵。


B:数据的安全
一是硬件:这个不多说,主要是硬件,服务器,备份的设备。
二是软件:是指备份软件,以及应用软件:ERP,OA,CRM,POS,HR.....
应用软件中主要是从模块,表单,栏位,细分化,量化,同时从用户名,密码,加密上去做好相关工作。权限的管控,申请的严格控制,流程
三是人治:制度,奖惩,人性化,自觉,企业文化,保密协议,同行工作等

很有意思很矛盾的是:软件就是软件,最终需要人来操作,公司最核心的人,如CIO,IT经理一定知道这些数据,或是数据的重要性,操作对应软件的同事一定知道自己所负责的

这块,在于企业就很矛看,一要员工使用,二是保护数据安全,所以这里度,这里的伸张有驰要如何做,延伸点,先尽量从IT技术上来做,我们还有文档的加密,U盘的锁定,ID的识别等,二是人为。只能是说尽量做到OK,但无绝对。

C:下一步是数据的整合,高效性,准备性!也在摸索,探求中,你会发展企业不断的发展,需求不断的变化,对于数据对于IT的要求特高,加油中!

以后闲时,将这一两年的IT项目,问题,解决方法都分享上来,因为分享而快乐!

点评

讲的非常不错,希望以后能多多赐教  发表于 2013/1/2 15:44
谁未谋面,但你是我尊敬的一个人;  发表于 2012/10/30 20:55
发表于 2012/10/30 21:25:39 | 显示全部楼层

回帖奖励 +20 点努力值

1.公司核心数据库的量级别?
  公司目前核心数据量很少,达不到所谓业界标准的级别。
2.如何保证这些数据库的安全?备份和恢复措施都是如何作的?
  目前我的做法很简单:数据库的数据存储在一台存储设备上,并备份到另外一台存储上。因为公司要求不高,每天晚上十二点自动备份,每周做一次恢复测试。
3.下一步的提升计划都有那些?
  按公司实际运营发展而做,而非技术性提升。
发表于 2012/10/31 08:57:24 | 显示全部楼层
1.公司核心数据库的量级别?
crm数据,公司定为是高级!!

2.如何保证这些数据库的安全?备份和恢复措施都是如何作的?
密码,口令是必须的,防火墙等安全工具
3.下一步的提升计划都有那些?
加强核心人员及相关人员的安全意识,及加进劳动合同。
关注市场上的新的有效安全工具产品。


发表于 2012/10/31 14:18:18 | 显示全部楼层

回帖奖励 +20 点努力值


1.公司核心数据库的量级别?
一直在乙方, 客户的量级TB 以上的占 大多数 !!

2.如何保证这些数据库的安全?备份和恢复措施都是如何作的?
技术层面
1 保证系统能够稳定,有效率地运行(主备模式,RAC,高可用性)
2 系统容灾备份(每日系统备份,定期清理,容灾处理策略)
3 网络安全(内网安全,SVN登录等)
4 数据加密(服务器数据加密,系统接口安全)
5 接入安全(用户口令认证,接入设备如USB设备管控等)
管理层面
1 规划和定义本企业核心机密数据
2 权限控制和审批机制控制(可以人工结合系统实现)
3 信息屏蔽(如东一区看不到东二区的订单等)

3.下一步的提升计划都有那些?
PC硬盘 加密
禁用USB设备
安全培训计划
保密协议

评分

参与人数 1努力值 +20 收起 理由
纵横四海 + 20 很给力!

查看全部评分

发表于 2012/10/31 16:01:04 | 显示全部楼层

回帖奖励 +20 点努力值

核心业务系统数据安全这个题目有点大,我认为主要分为一下3个环节:
1)业务系统自身安全,包括数据备份(业务连续性保证),系统自身稳定性等。
2)被动防泄密,例如入侵,硬盘摘走,偷盗发生后,数据是否外泄。
3)主动防泄密,让合法使用人员接触了核心业务数据后,如何让他们不泄密。例如系统内有个报表,这个人用QQ截图后发给别人。或者是用户数据泄漏。
一般1)和3)发生问题的风险很高,很多好的系统都已经做了防扩散处理。
最近做了不少ERP,PDM,内容管理等系统的数据安全,特别是防止主动泄密的项目,防止核心数据扩散等,颇有心得,感兴趣的朋友,可以发邮件给我,shenxinda_sz#163.com(#换成@),或者QQ:503727708,欢迎交流。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|壹佰网 ERP100 ( 京ICP备12025635号 京ICP证120590号 )  

Copyright © 2005-2012 北京海之大网络技术有限责任公司 服务器托管由互联互通
手机:13911575376
网站技术点击发送消息给对方83569622   广告&合作 点击发送消息给对方27675401   点击发送消息给对方634043306   咨询及人才点击发送消息给对方138011526

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表