如何保護企業的資產
現代企業經營環境瞬息萬變,即時且正確的資訊是企業決勝的關鍵,這也是企業寶貴的資產。所以企業的e化除了資訊的整合外,當然要考慮到如何保護這企業的無形資產,不被外來或內在的惡意入侵者破壞或無意的資訊洩漏造成企業的損失。
企業的資訊收集涵蓋所有的層面及所有的人員,且企業業務區域也可能跨越多個地理區域,並需透過網路系統的即時資訊整合,雖然提供企業運作的極大便利,卻也造成資訊安全的極大隱憂;企業e化的過程中,除了追求作業的便利性外,也一定要建立嚴謹的安全控管機制,所以如何要有作業的便利性,卻能保證資訊的安全,這是企業建置e化系統過程中非常重要的課題。
企業資訊安全的防範對象可分為外部的惡意侵入者、內部的機密偷窺者及無知的資訊洩漏者,我們就其防範對策來說明:
網路資訊傳輸之保密
資訊由資料庫到使用者端之間透過內部或外部網路傳輸,資料需要經過加密傳輸以免網路封包被截取造成資訊外洩。
網域及資料庫的登入認證
企業資訊系統的使用人員可能透過網路登入系統,如何驗證是否為合法的使用者就非常重要;網路及應用系統資料庫的密碼驗證邏輯必須嚴密,及定時或不定時系統自動要求重新更改密碼;或是可以與企業的LDAP server或 AD server認證達到單一帳號管理的功能,既可統一控管使用者帳號,又可以避免造成使用者維護多組帳號的困擾;更嚴謹的作法甚至可以整合實體憑證做線上的驗證,達到防止密碼被盜用的風險。
應用系統的作業授權
企業根據每一員工其職位分工,必須授權其對應相關的資訊系統功能以利操作,但在現代企業員工多職能要求及彈性組織,工作角色需能彈性切換,所以企業資訊應用系統功能也要能彈性的調整,甚至要能細分到相同作業的資料項目欄位可以依作業者的工作角色動態區分權限,在傳統的資訊系統這些可能都需要個別客製程式對應;但這種費時費力又無彈性的作法是無法滿足企業要求的,所以現代的e化系統必須能夠提供使用者彈性自訂權限的功能。
資料庫資料的加密
前述鉅細靡遺的防範所有可能的資訊漏洞,但是因為內部資料庫的維護及備份需求,系統管理者必須有足夠的資料庫權限方可作業,卻也可能開啟了洩密的後門;為了讓資訊管理人員避嫌或是避免好奇的偷窺機密資料,系統可以提供資料庫資料加密的機制,其加解密權限由業務主管保管與系統密碼分開,僅有業務權限許可的人員才可以即時加解密看到資訊,而資料庫的維護人員無法看到業務資訊僅可做系統備援等相關作業。
新一代的ERP企業資源規劃系統,不僅有ERP技術在企業資料處理運算鉅細靡遺的能力,還能與異質系統整合,更需要能彈性支援開放式硬體平台的架構,最後也最重要的就是能嚴密捍衛企業的資訊保全。ERP在維護企業重要資產的必備條件包括:
- 資料庫能符合現代企業資訊安全要求,彈性定義密碼之有效期限、長度及編碼程式。
- 資料庫與用戶端之資料傳輸,使用SSL加密安全機制,保障網路傳輸安全。
- 整合PKI認證,驗證遠端登入使用者,避免使用者密碼被盜用。
- 支援LDAP認證機制,配合企業入口網站 (EIP) 使用單一密碼登入機制 (Single Sign On)。
- 資料庫重要資料加密,避免企業機密外洩之風險。
- 依個人、群組、部門及公司等,細分資料處理及程式作業權限。
