云erp常見挑戰(zhàn)

　　在企業(yè)服務(wù)市場中，云ERP始終是一類較為熱門的產(chǎn)品，無論是SAP的S/4 HANA還是Oracle的ERP Cloud，亦或用友的U8 Cloud與金蝶的K/3 Cloud也總是人們所熱議的對象?？墒撬坪踉谠艵RP逐漸成熟與推廣開的今日，安全這個老問題卻依然存在。

　　根據(jù)非營利組織Cloud Security Alliance(CSA)的一項研究，企業(yè)在進(jìn)行ERP系統(tǒng)遷移時依然會遇到許多挑戰(zhàn)，特別是在安全方面。

　　CSA在報告中寫到，云ERP系統(tǒng)的確可以為企業(yè)帶來便利，而且鑒于其中所具有的的各種業(yè)務(wù)技術(shù)，它們的總擁有成本也低于那些本地的ERP系統(tǒng)。2017年，那些同時銷售云ERP與本地ERP產(chǎn)品的公司表示他們云服務(wù)方面的收入呈現(xiàn)出了兩位數(shù)的增長。相比之下，雖然本地軟件的收入也在增加，但增速較為緩慢。

　　另一方面，CSA也明確指出，由于ERP系統(tǒng)本身的特性，在云中進(jìn)行ERP系統(tǒng)保護(hù)是一個比較刺手的問題。CSA認(rèn)為ERP是一個“關(guān)鍵業(yè)務(wù)性的應(yīng)用程序”，并將它定義為一個支持日常業(yè)務(wù)運行的軟件。ERP通常會與企業(yè)的整個業(yè)務(wù)系統(tǒng)相集成，并允許所有類型的員工進(jìn)行訪問，而最為關(guān)鍵的是，ERP中會包含那些重要與敏感的企業(yè)核心數(shù)據(jù)及信息。

　　CSA研究部主任，也是報告主要作者之一的John Yeoh說道，“ERP中集成了你所有核心的業(yè)務(wù)流程，因此它將影響你整個業(yè)務(wù)的運作方式。所以我們有必要談一談在進(jìn)行ERP或相類似系統(tǒng)的云遷移時，你業(yè)務(wù)會受到的那些影響”。

　　在報告中，CSA警告到，“鑒于其功能的特征，ERP系統(tǒng)存在極高的網(wǎng)絡(luò)安全漏洞風(fēng)險”。對此，CSA列出了一系列企業(yè)需要在云ERP系統(tǒng)中解決的問題，并給予了一些建議。

　　數(shù)據(jù)應(yīng)該在哪?

　　數(shù)據(jù)冗余，或數(shù)據(jù)的實際位置是所有種類云服務(wù)中長期存在的問題，因為數(shù)據(jù)可以存儲在任何地方的數(shù)據(jù)中心中，而且還需要符合當(dāng)?shù)氐姆珊蜅l例。一項相關(guān)的法律就是歐盟發(fā)布的“一般數(shù)據(jù)保護(hù)條例”，該條例將于5月實施，屆時它將限制歐洲公司數(shù)據(jù)的存儲位置。

　　報告中寫到，“ERP應(yīng)用最重要的資產(chǎn)就是其中所擁有的數(shù)據(jù)”。大多數(shù)的供應(yīng)商會讓企業(yè)去進(jìn)行數(shù)據(jù)中心的選擇，因此他們可以對數(shù)據(jù)所在位置進(jìn)行控制。報告建議到，在企業(yè)進(jìn)行軟件選型時，必須去進(jìn)行充足的法律與合規(guī)性咨詢以便做出合適的選擇，并同時需要確認(rèn)供應(yīng)商對于合規(guī)性做出的承諾。

　　誰可以獲得訪問授權(quán)?

　　在進(jìn)行ERP系統(tǒng)選型時，企業(yè)還需要考慮他們將如何進(jìn)行用戶訪問授權(quán)，并能夠去確認(rèn)訪問者的身份。這需要身份管理、授權(quán)系統(tǒng)、單點登錄等功能。

　　Yeoh表示，企業(yè)可以做出不同的選擇。比如身份管理，企業(yè)可以去使用他們ERP供應(yīng)商自己的產(chǎn)品，也可以去部署第三方供應(yīng)商的產(chǎn)品。但是為了找出一套最佳方案，他們應(yīng)該對自身組織進(jìn)行定制化的評估，并確認(rèn)需要進(jìn)行系統(tǒng)訪問的用戶人數(shù)。

　　而在報告中，CSA還指出，用戶活動和訪問監(jiān)控也很重要，因為這可以幫助企業(yè)揭示出“用戶正在做的事情并檢測出那些惡意和異常的用戶行為”。

　　誰將對安全進(jìn)行負(fù)責(zé)?

　　Yeoh表示，在云ERP供應(yīng)商與企業(yè)關(guān)系中，確定哪一方進(jìn)行安全措施負(fù)責(zé)“永遠(yuǎn)是一項挑戰(zhàn)”。他舉出了“云控制矩陣”(Cloud Controls Matrix)的例子，這是一個安全保障綱要，它不僅幫助企業(yè)去確認(rèn)自己需要的安全程度，而且它還可以幫助企業(yè)和云供應(yīng)商明確各自的責(zé)任。

　　例如，補丁應(yīng)該是供應(yīng)商的工作，他們需要確保自己的產(chǎn)品和服務(wù)“沒有漏洞”。但企業(yè)需要清楚何時供應(yīng)商可以完成補丁的制作以便不至于面臨服務(wù)停滯的情況，而且企業(yè)還必須確保他們的供應(yīng)商首先去進(jìn)行這項工作。

　　CSA的報告繼續(xù)補充到，在進(jìn)行云ERP選型時，企業(yè)還應(yīng)該對供應(yīng)商進(jìn)行盡職調(diào)查。他們需要確定供應(yīng)商符合哪些網(wǎng)絡(luò)安全協(xié)議與標(biāo)準(zhǔn)，比如由國際標(biāo)準(zhǔn)化組織和國際電工委員會共同發(fā)布的ISO / IEC 27000系列標(biāo)準(zhǔn)。企業(yè)應(yīng)該對供應(yīng)商進(jìn)行全面的調(diào)研，然后進(jìn)行風(fēng)險管理評估以權(quán)衡云遷移過程中的風(fēng)險與收益。

　　購買現(xiàn)成的SaaS ERP產(chǎn)品還是自己進(jìn)行“DIY”?

　　作為一種云產(chǎn)品，企業(yè)既可以通過互聯(lián)網(wǎng)去購買那些現(xiàn)成的云ERP產(chǎn)品，即SaaS ERP，又可以通過AWS或微軟Azure的IaaS架構(gòu)去構(gòu)建自己的云ERP。

　　但是，CSA的報告警告到，這種兩種模式各有自己的一些問題，而企業(yè)也需要去進(jìn)行相應(yīng)的處理。例如，SaaS ERP可能更容易遭受到網(wǎng)絡(luò)攻擊的威脅，因為它們完全運行在網(wǎng)絡(luò)之中，并且人們可以通過不同地方的瀏覽器對它們進(jìn)行訪問。而對于那些構(gòu)建于IaaS中的ERP，雖然IaaS供應(yīng)商可以對操作系統(tǒng)與企業(yè)數(shù)據(jù)庫進(jìn)行保護(hù)，但企業(yè)需要像管理本地部署軟件一樣去維護(hù)自身系統(tǒng)的安全。

發(fā)布：2021-05-18 13:42 編輯：泛普軟件 · hujian [打印此頁] [關(guān)閉]

相關(guān)文章：