EPRt件系統使用的安全風險及防范企業信息化建設的腳步越來越快，伴隨著快節奏的信息化之路所產生的安全風險也越來越多。 沒有安全風險意識對ERP系統是極其危險的， 風險發生所導致的后果一般不可逆的且沒辦法補救。只有提前做好風險防范才能有效抑制風險的發生，從而避免不必要的損失。 本文結合計算機技術及網絡技術的最新發展分析了當前ER瞰件系統使用中面臨的人為因素和客觀因素導致的風險，并提出了具體防范建議。希望本文的研究有助于企業加強ER啾件系統使用的安全性，從而幫助企業有效發揮使用 ERP次件系統的作用。一、計算機、網絡技術及 ER啾件發展現狀ERPMEnterpriseResourcePlanning的縮寫（企業資源計劃），20世紀90年代隨著計算機技術發展以及在企業管理中的應用而提出的概念，它是以計算機技術和管理科學為基礎而最新發展而來的。隨著計算機技術、網絡技術的不斷發展進步，管理對數據準確性及時性的要求不斷提高， ERP系統也在不斷發展整合，由最早的庫存管理，銷售管理發展到如今囊括財務管理、生產管理、庫存管理、客戶管理、供應鏈管理、銷售管理、質量管理等業務相關內容的管理。當前，隨著電子商務的發展，互聯網的發展，ERP的框架分化為C/S結構（客戶端/服務器模式）和B/S（瀏覽器/服務器模式）結構。管理模式的不同和框架的不同所面臨的風險也各有不同，防范方法也差異很大。本文從通用角度探討風險及防范方法，不針對個例去研究。二、人為因素導致ERP軟件系統的風險（一）手工錄入差錯風險手工錄入原始數據的時候，沒有嚴格執行審核機制，錄入錯誤導致后面一系列的計算和分析都是建立的錯誤的數據之上的。由于原始數據多是手寫，錄入員對數據的辨識存在主觀因。錄入過程中也是手工錄入，也存在重復錄入和遺漏內容等主觀因素，這些都會導致錄入錯誤。例如數字‘ 3’和‘ 8’的書寫不規范就容易混淆，還有日期格式的不同比如5.9.2013有的人認為是 5月9日，有的人認為是 9月5日，這樣就造成認識上的誤差導致數據錄入錯誤。（二）數據篡改風險出于某種目的，不按著正常軟件操作流程進行數據更正，直接進入原始表更改數據導致表之間的關聯關系失效。這樣導致整個ERP的數據計算和分析都是錯誤的，更嚴重的有可能導致表格之間校驗失敗整個數據庫無法使用。 目前ERP作為企業經營分析的主要數據依據，一些管理者或使用者出于個人目的篡改原始數據又不想留下更改痕跡（正常數據更正程序都會記錄數據更改過程），以達到影響數據分析結果目。例如，某日用百貨公司向ERP系統供應商反映客戶儲值卡無交易記錄，但余額變少的情況，系統供應商在認真核查所有ERP系統后發現無操作誤差，最后在核查數據庫事務日志的時候發現有人用系統管理員登錄數據庫直接修改儲值卡余額，最后根據 IP鎖定某操作人員通過盜取數據庫管理員密碼篡改數據為自己謀利側行為。（三）病毒導致ERP系統的安全風險移動存儲設備、不安全的網絡訪問及惡意的網絡攻擊導致病毒對ERP系統的數據安全造成風險。 互聯網普及帶來的后果之一就是病毒傳播越來越快、越來越廣泛。病毒伴隨著計算機系統的發展，也由最初的以惡作劇為目的發展到當前以破壞軟硬件系統及盜取用戶信息資料和資金為目的。 由最初少數技術能力強的個人制作發展到當前的團隊批量制作， 病毒導致的危害性變得更深更大。ERP系統上保存的客戶、供應商資料及內部數據資料都有可能成為新型病毒攻擊的目標。例如，頗具爭議的‘灰鴿子病毒’。2007年國內很多不太懂電腦的人通過使用‘灰鴿子病毒’盜取他人網銀密碼、游戲賬號密碼、充值網站密碼為自己謀利而違法落網的案例，‘灰鴿子病毒’名義上是遠程控制軟件，同時又具有好多病毒特征（可配置服務器端，監視記錄鍵盤，截取屏幕，免殺功能等等），這樣的工具被不法人員所利用就成為了盜竊工具。三、客觀因素導致ERP軟件系統的風險（一）網絡不穩定導致數據存儲不完全帶來的安全風險隨著連鎖企業及集團企業對ERP系統數據的及時性要求日益提高，現在大多數ERP系統都支持互聯網訪問或者專線數據傳輸，網絡的質量直接決定著ERP系統的數據的完整性。同時由于多運營商的不同接入方式導致網絡的實際傳輸和標稱相差懸殊，致使ERP系統運行速度慢甚至產生網絡連接錯誤。由于網絡不穩定導致的數據存儲不完全帶來的安全風險，局域網老化，互聯網擁堵，VPNg入速度等等方面原因導致數據錯誤， 最終都導致ERP系統完整性的安全風險。（二）服務器硬件損壞導致數據存儲丟失帶來的安全風險由于企業對ERP系統重要性的認識不足及投資限制問題， 一般企業都是單服務器運轉，很少有企業能做到雙機熱備。單服務器運行導致數據存儲危險性加大，機房的溫度控制，是否配備長效的UPS（不間斷電源）等因素都對服務器存儲數據至關重要。同時地震、火災、水災、偷盜等不可抗因素對現代化機房的威脅也不可忽視的，服務器都集中存放在機房，機房的安全隱患導致了ERP系統的安全風險。四、ER啾件系統安全風險的防范方法（一）人為因素導致風險的防范方法通過加強人員管理、提高風險意識，修補漏洞以達到防范人為因素造成的安全風險。具體可以從三個方面入手。1.建立審計校驗機制可有效防范數據錄入錯誤風險。手工錄入錯誤可以通過提高錄入員自我檢查、設置必要的審計人員來避免，也可以通過在ERP系統里設置原始數據錄入的合理校驗機制來防范風險，適當延長原始數據保存周期及錄入登記手續，做到隨時可以追溯數據來源，規范手工單據書寫標準（可以參考財務數據的書寫標準）、統一編碼（ERP系統從建立之初就建立一整套編碼體系，在系統運行過程中要嚴格執行編碼標準，防止重碼、誤碼對ERP系統的數據統計產生的風險）、統一格式（對于日期等容易產生差錯的格式性數據，統一規范格式，比如日期格式YYYY-MM-DD4年2位月2位日前面提到日期表述應該是2013-05-09）,以達到避免手工錄入給ERP系統帶來的安全風險。2.加強內部控制合理分配權限可有效防范數據篡改風險。針對不正常修改表格，可以嚴格管控數據庫管理員、 ERP系統管理員權限，對于數據庫密碼要設置足夠強度并且定期修改，以防范密碼盜取。明晰各管理員的權責，讓數據管理員不參與營運管理，有效避免數據管理員參與篡改數據的風險。規范各崗位使用ERP系統安全意識，操作人員離開座位時，必須退出ERP系統或者鎖定ERP系統，防范他人盜用用戶名修改數據。在 ERP服務器端設置數據校驗功能對于沒有按正常修改的數據提出異常警報，并保存數據庫更改記錄。3.對于病毒所帶來的風險可以通過以下方法封堵。使用上網行為管理的設備分別針對不同使用人員給予不同上網權限，過濾不安全網站，封閉US端口、不得隨意使用移動存儲設備，通過域來管理用戶，普通用戶只分配操作權限不具有安裝卸載軟件和更改系統設置權限， 安裝正版殺毒軟件并及時更新病毒庫， 及時更新系統安全補丁， 設置網絡防火墻隔離互聯網和局域網， 對操作人員培訓上網常識，不要點擊不確定安全的文件，建立殺毒服務器，監視整個網絡防毒殺毒情況，通過這些手段來防范病毒對ERP系統造成的安全風險。（二）客觀因素導致安全風險的防范方法客觀因素導致的安全風險可以通過優化網絡運行環境，多做備份來防范風險。.對于web發布的ERP建議及時更新服務器安全補丁， 封閉不使用的端口，提高管理員密碼強度，強制定期更換用戶密碼，來保護服務器的安全。定期檢查網絡運行環境，防止局域網產生鏈路、回路；檢查服務器端口承壓。對于中國南電信北聯通的情況，建議VPN?（務器使用多運營商寬帶混合接入， 以保障不同用戶撥入時都能有穩定的網絡環境。同時協調ER啾件系統開發商做好數據的網絡校驗以達到防范風險目的。.防范ERP服務器硬件的風險，選用優質服務器，同時硬盤采取RAID磁盤陣列（RAID1或者RAID5都是廉價解決方案，也可以考慮RAID0+1模式），資金充足可以使用雙服務器熱備份，同時數據庫設置每天自動備份，如果條件允許最好采取異地保存數據，以避免水災火災地震等不可抗因素對 ERP系統數據的風險，控制機房溫度做好通風去靜電措施， 配備長效UPSB止意外斷電造成服務器硬件損壞，建立不可抗因素應對方案，能在發生不可抗因素對機房災難性毀滅后及時有效的恢復 ERP系統。五、結束語提高風險意識，加強風險管理，總結經驗教訓，對于 ERP系統的長效穩定運行提供了有利保障。