CC BY
101
Секция «Информационно-экономические системы»
УДК 004.056
А. И. Дмитренко Научный руководитель - Т. Г. Долгова Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ЕЯР-СИСТЕМ
Рассмотрена информационная безопасность ERP-систем, ее использование и значение для бизнеса, банков, компаний и других организаций. Данная система позволяет предприятию работать более эффективно, так же в этой программе разработана система безопасности, проблемы, которой рассматриваются в этой статье.
ERP (Enterprise Resource Planning) - системы представляют собой набор интегрированных приложений, которые позволяют создать единую среду для автоматизации планирования, учета, контроля и анализа всех основных бизнес-операций в масштабе предприятия. Вся информация хранится в единой базе данных, откуда она может быть в любое время получена по запросу [1].
Большинство компаний привлекает в ERP-системах то, что существует возможность замены сложных, разобщённых и устаревших приложений единой, надежной системой.
В основе ERP-систем лежит принцип создания единого хранилища данных, содержащего всю корпоративную бизнес-информацию и обеспечивающего одновременный доступ к ней любого необходимого количества сотрудников предприятия, наделённых соответствующими полномочиями.
ERP-системы содержат конфиденциальные данные, многие из этих данных являются конфиденциальной информацией и их раскрытие может принести предприятию значительные убытки. Поэтому проблемы информационной безопасности особенно актуальны для ERP-систем.
Хранение данных осуществляется в базе данных (уровень БД), их обработка - на сервере приложений (уровень приложений), непосредственное взаимодействие с пользователем происходит через программу «Клиент» с графическим интерфейсом (уровень представления). В роли такой клиентской программы в последнее время часто используется веб-браузер.
Обеспечение той или иной степени защищенности информации возможно на каждом из этих уровней, вопрос лишь в требованиях, предъявляемых к конечной системе.
Способ обеспечения информационной безопасности сетевой инфраструктуры состоит в следующем, многие современные ERP-системы, например SAP NetWeaver или Oracle e-Business Suite, применяют веб-стандарты для построения взаимодействия своих компонентов. В этом случае для защиты трафика можно использовать протокол HTTPS. Дополнитель-
но к шифрованию трафика HTTPS также может обеспечивать аутентификацию пользователя на основе цифровых сертификатов [2].
Одним из важнейших компонентов ERP-системы можно считать базу данных. Для защиты БД ERP-системы можно разместить на том же физическом сервере, на котором работает и сервер приложений.
Последняя линия защиты информации - это непосредственно рабочее место пользователя, то есть клиентский компьютер. Статистика говорит, что большинство преступлений в сфере IT совершается самими сотрудниками фирмы, а не внешними злоумышленниками.
Потенциальные каналы утечки информации на рабочем компьютере пользователя ERP. Прежде всего, чтобы пользователь мог хоть что-то сделать, необходимо войти сначала в операционную систему, а затем и в саму ERP. Затем, если наш предполагаемый злоумышленник нашел информацию, которую он хочет украсть, ему необходимо куда-то переписать полученные данные. Следовательно, необходимо позаботиться о защите устройств ввода/ вывода [2].
Для защиты устройств ввода/вывода существуют различные дополнительные программные средства, устанавливаемые непосредственно на клиентский компьютер. К числу таких программных средств относится, например, «Страж-НТ».
Никакие самые совершенные средства сами по себе не обеспечат безопасности. Роли и обязанности персонала в отношении защиты информации являются ключом к успеху в любой программе обеспечения безопасности. Четкое определение этих ролей и обязанностей необходимо и должно быть закреплено на этапе внедрения ERP-системы.
Библиографические ссылки
1. ERP. URL: http://ru.wikipedia.org/wiki/ERP.
2. Безопасность ERP-систем. URL: http://www.citforum.ru/
© Дмитренко А. И., Долгова Т. Г., 2011
