ERP | 软件资讯

ERP数据安全所遭受到的威胁原因分析（二）：来自企业资源规划系统的威胁，价格权限分配不当，报告导出设置不正确，用户名和密码设置太简单

SEP技术支持 | 2020/4/20 11:12:12

推荐使用：免费企业ERP管理软件(免费下载，像Excel一样极速上手，可灵活自定义的企业管理软件)

二、来自企业资源规划系统的威胁

如果企业资源规划系统本身管理不当，也有数据泄露的风险。从ERP系统的角度来看，主要的安全威胁是权限配置不当造成的。

首先，价格权限分配不当。我记得我曾经在易飞，使用神州数码的ERP系统，它有特殊的价格管理权限。您可以设置是否可以在用户或表级别更改和查询价格。我们可以让一些不需要访问价格的用户在用户层面上看不见。我们可以一劳永逸地解决这个问题。然而，一些企业资源规划系统不提供类似的功能，它们只能一个一个地设定价格权限。难免会有漏网之鱼。它只能设置窗口中无法访问的价格。但是，在导出报告等时，他们可能有价格。此外，价格基本上是企业的敏感数据。因此，当我们在EPR中设置权限时，我们应该从价格开始。

第二是报告的导出设置不正确。报告中收集了大量重要信息，如果报告可以随意导出，这些信息将没有隐私可言。因此，我们必须对报告的出口实施特殊限制权限。您不能允许每个用户随意导出报告。通常，用户只能查看报告，但不能导出报告。这是原则。如果用户真的需要导出报告，那么申请。特别是对于一些敏感的数据报告，如客户信息、产品价格等。报告导出功能通常会被阻止。只有在需要时，管理员才能将其导出。

第三，用户名和密码设置太简单。我遇到过一些密码设置过于简单的用户，这使得其他用户很容易猜出密码。直接结果是，如果其他用户没有权限，他们可以使用权限用户来访问系统。因为密码很简单，他们知道其他用户的访问密码。如果我有客户，在设置用户名和密码时，用户名是他们的员工号，而密码是统一的，如123456。这样的用户名和密码，即使权限设置完美，也是无用的。用户可以很容易地获得其他人的用户名和密码，因此如果他们没有权限，他们可以使用其他用户权限登录和访问系统。在这种情况下，权限设置不等于没用吗？因此，在设置用户名和密码时，我们必须科学。用户名可以根据他们的员工编号来写，但是当设置密码时，它必须更加复杂并且不能被完全猜到。此外，最好采用定期修改密码的策略，以便用户可以定期修改密码，防止密码泄露。

635

上一篇：ERP数据安全所遭受到的威胁原因分析（一）：来自网络层面的威胁，外部访问授权不够标准化，内部网络可能有窃听下一篇：企业为什么需要erp系统？