[[222803]]

在企業(yè)服務(wù)市場(chǎng)中，云ERP始終是一類較為熱門的產(chǎn)品，無(wú)論是SAP的S/4 HANA還是Oracle的ERP Cloud，亦或用友的U8 Cloud與金蝶的K/3 Cloud也總是人們所熱議的對(duì)象。可是似乎在云ERP逐漸成熟與推廣開(kāi)的今日，安全這個(gè)老問(wèn)題卻依然存在。

根據(jù)非營(yíng)利組織Cloud Security Alliance（CSA）的一項(xiàng)研究，企業(yè)在進(jìn)行ERP系統(tǒng)遷移時(shí)依然會(huì)遇到許多挑戰(zhàn)，特別是在安全方面。

CSA在報(bào)告中寫到，云ERP系統(tǒng)的確可以為企業(yè)帶來(lái)便利，而且鑒于其中所具有的的各種業(yè)務(wù)技術(shù)，它們的總擁有成本也低于那些本地的ERP系統(tǒng)。2017年，那些同時(shí)銷售云ERP與本地ERP產(chǎn)品的公司表示他們?cè)品?wù)方面的收入呈現(xiàn)出了兩位數(shù)的增長(zhǎng)。相比之下，雖然本地軟件的收入也在增加，但增速較為緩慢。

另一方面，CSA也明確指出，由于ERP系統(tǒng)本身的特性，在云中進(jìn)行ERP系統(tǒng)保護(hù)是一個(gè)比較刺手的問(wèn)題。CSA認(rèn)為ERP是一個(gè)“關(guān)鍵業(yè)務(wù)性的應(yīng)用程序”，并將它定義為一個(gè)支持日常業(yè)務(wù)運(yùn)行的軟件。ERP通常會(huì)與企業(yè)的整個(gè)業(yè)務(wù)系統(tǒng)相集成，并允許所有類型的員工進(jìn)行訪問(wèn)，而最為關(guān)鍵的是，ERP中會(huì)包含那些重要與敏感的企業(yè)核心數(shù)據(jù)及信息。

CSA研究部主任，也是報(bào)告主要作者之一的John Yeoh說(shuō)道，“ERP中集成了你所有核心的業(yè)務(wù)流程，因此它將影響你整個(gè)業(yè)務(wù)的運(yùn)作方式。所以我們有必要談一談在進(jìn)行ERP或相類似系統(tǒng)的云遷移時(shí)，你業(yè)務(wù)會(huì)受到的那些影響”。

在報(bào)告中，CSA警告到，“鑒于其功能的特征，ERP系統(tǒng)存在極高的網(wǎng)絡(luò)安全漏洞風(fēng)險(xiǎn)”。對(duì)此，CSA列出了一系列企業(yè)需要在云ERP系統(tǒng)中解決的問(wèn)題，并給予了一些建議。

數(shù)據(jù)應(yīng)該在哪？

數(shù)據(jù)冗余，或數(shù)據(jù)的實(shí)際位置是所有種類云服務(wù)中長(zhǎng)期存在的問(wèn)題，因?yàn)閿?shù)據(jù)可以存儲(chǔ)在任何地方的數(shù)據(jù)中心中，而且還需要符合當(dāng)?shù)氐姆珊蜅l例。一項(xiàng)相關(guān)的法律就是歐盟發(fā)布的“一般數(shù)據(jù)保護(hù)條例”，該條例將于5月實(shí)施，屆時(shí)它將限制歐洲公司數(shù)據(jù)的存儲(chǔ)位置。

報(bào)告中寫到，“ERP應(yīng)用最重要的資產(chǎn)就是其中所擁有的數(shù)據(jù)”。大多數(shù)的供應(yīng)商會(huì)讓企業(yè)去進(jìn)行數(shù)據(jù)中心的選擇，因此他們可以對(duì)數(shù)據(jù)所在位置進(jìn)行控制。報(bào)告建議到，在企業(yè)進(jìn)行軟件選型時(shí)，必須去進(jìn)行充足的法律與合規(guī)性咨詢以便做出合適的選擇，并同時(shí)需要確認(rèn)供應(yīng)商對(duì)于合規(guī)性做出的承諾。

誰(shuí)可以獲得訪問(wèn)授權(quán)？

在進(jìn)行ERP系統(tǒng)選型時(shí)，企業(yè)還需要考慮他們將如何進(jìn)行用戶訪問(wèn)授權(quán)，并能夠去確認(rèn)訪問(wèn)者的身份。這需要身份管理、授權(quán)系統(tǒng)、單點(diǎn)登錄等功能。

Yeoh表示，企業(yè)可以做出不同的選擇。比如身份管理，企業(yè)可以去使用他們ERP供應(yīng)商自己的產(chǎn)品，也可以去部署第三方供應(yīng)商的產(chǎn)品。但是為了找出一套最佳方案，他們應(yīng)該對(duì)自身組織進(jìn)行定制化的評(píng)估，并確認(rèn)需要進(jìn)行系統(tǒng)訪問(wèn)的用戶人數(shù)。

而在報(bào)告中，CSA還指出，用戶活動(dòng)和訪問(wèn)監(jiān)控也很重要，因?yàn)檫@可以幫助企業(yè)揭示出“用戶正在做的事情并檢測(cè)出那些惡意和異常的用戶行為”。

誰(shuí)將對(duì)安全進(jìn)行負(fù)責(zé)？

Yeoh表示，在云ERP供應(yīng)商與企業(yè)關(guān)系中，確定哪一方進(jìn)行安全措施負(fù)責(zé)“永遠(yuǎn)是一項(xiàng)挑戰(zhàn)”。他舉出了“云控制矩陣”（Cloud Controls Matrix）的例子，這是一個(gè)安全保障綱要，它不僅幫助企業(yè)去確認(rèn)自己需要的安全程度，而且它還可以幫助企業(yè)和云供應(yīng)商明確各自的責(zé)任。

例如，補(bǔ)丁應(yīng)該是供應(yīng)商的工作，他們需要確保自己的產(chǎn)品和服務(wù)“沒(méi)有漏洞”。但企業(yè)需要清楚何時(shí)供應(yīng)商可以完成補(bǔ)丁的制作以便不至于面臨服務(wù)停滯的情況，而且企業(yè)還必須確保他們的供應(yīng)商首先去進(jìn)行這項(xiàng)工作。

CSA的報(bào)告繼續(xù)補(bǔ)充到，在進(jìn)行云ERP選型時(shí)，企業(yè)還應(yīng)該對(duì)供應(yīng)商進(jìn)行盡職調(diào)查。他們需要確定供應(yīng)商符合哪些網(wǎng)絡(luò)安全協(xié)議與標(biāo)準(zhǔn)，比如由國(guó)際標(biāo)準(zhǔn)化組織和國(guó)際電工委員會(huì)共同發(fā)布的ISO / IEC 27000系列標(biāo)準(zhǔn)。企業(yè)應(yīng)該對(duì)供應(yīng)商進(jìn)行全面的調(diào)研，然后進(jìn)行風(fēng)險(xiǎn)管理評(píng)估以權(quán)衡云遷移過(guò)程中的風(fēng)險(xiǎn)與收益。

購(gòu)買現(xiàn)成的SaaS ERP產(chǎn)品還是自己進(jìn)行“DIY”？

作為一種云產(chǎn)品，企業(yè)既可以通過(guò)互聯(lián)網(wǎng)去購(gòu)買那些現(xiàn)成的云ERP產(chǎn)品，即SaaS ERP，又可以通過(guò)AWS或微軟Azure的IaaS架構(gòu)去構(gòu)建自己的云ERP。

但是，CSA的報(bào)告警告到，這種兩種模式各有自己的一些問(wèn)題，而企業(yè)也需要去進(jìn)行相應(yīng)的處理。例如，SaaS ERP可能更容易遭受到網(wǎng)絡(luò)攻擊的威脅，因?yàn)樗鼈兺耆\(yùn)行在網(wǎng)絡(luò)之中，并且人們可以通過(guò)不同地方的瀏覽器對(duì)它們進(jìn)行訪問(wèn)。而對(duì)于那些構(gòu)建于IaaS中的ERP，雖然IaaS供應(yīng)商可以對(duì)操作系統(tǒng)與企業(yè)數(shù)據(jù)庫(kù)進(jìn)行保護(hù)，但企業(yè)需要像管理本地部署軟件一樣去維護(hù)自身系統(tǒng)的安全。

不過(guò)，企業(yè)仍然可以通過(guò)一些措施來(lái)減輕以上兩種云ERP應(yīng)用模式中的問(wèn)題。比如，使用SaaS ERP產(chǎn)品的公司可以使用云訪問(wèn)安全代理，或CASB（Cloud Access Security Brokers），這是一種可監(jiān)控在線活動(dòng)的網(wǎng)絡(luò)守衛(wèi)產(chǎn)品。而那些通過(guò)IaaS進(jìn)行自身云ERP構(gòu)建的企業(yè)也可以通過(guò)與供應(yīng)商的密切合作以獲得對(duì)安全方面的信息與數(shù)據(jù)適當(dāng)?shù)目梢?jiàn)性，從而確保所有相關(guān)的安全要求都得到遵守。

 【編輯推薦】