ПРОБЛЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ERP-СИСТЕМ

АННОТАЦИЯ

Обозначена важность использования ERP-систем в работе современного предприятия. Выделены основные функции ERP-систем и категории данных, которые они обрабатывают. Анализируется проблема нарушения информационной безопасности в ERP-системе.

Ключевые слова: ERP-система, архитектура ERP-системы, аспекты информационной безопасности ERP-системы.

Первоначальной целью ERP-систем являлось не столько улучшение производственной деятельности, сколько сокращение усилий, необходимых для поддержания потока информации внутри компании. Первые ERP-системы использовались в основном для консолидации финансовых и операционных данных компании в единую базу данных.

Сегодня каждая растущая компания нуждается в умении правильно управлять своим производством, чтобы конкурировать на рынке. Верным способом улучшить управление целой компанией является автоматизация. Для этого были разработаны ERP-системы.

Система ERP (Enterprise Resource Planning) - это информационная система для планирования и управления ресурсами компании. Его целью является оптимизация внутренних и внешних бизнес-процессов. Такая система объединяет большое количество информации, например, бухгалтерские данные, информацию о персонале, данные о поставках и ресурсах организации.

Этот тип информации является конфиденциальным, и опыт показывает, что число злонамеренных действий, связанных с этой информацией, будет расти, и организация понесет серьезные убытки, если не защитит эти данные. Поэтому необходимо обеспечить системе организации требуемый уровень защиты данных для предотвращения несанкционированного доступа к информации или другого неправомерного использования данных при эксплуатации ERP-системы.

Архитектура ERP-системы состоит из трех взаимосвязанных компонентов:

• Клиент;
• Сервер приложений;
• Сервер базы данных;

Для обеспечения информационной безопасности на достаточно высокой ступени каждый уровень системы должен быть защищен. Как упоминалось ранее, три основных компонента ERP-системы связаны между собой; эта связь обеспечивается с помощью сетевой инфраструктуры. Учитывая основные уровни системы и связи, которые их объединяют, обозначим 4 аспекта информационной безопасности ERP-систем:

• Защита сетевой инфраструктуры;
• Защита информации на уровне "Сервер БД";
• Защита данных на уровне "Сервера приложений";
• Защита данных на уровне "Клиент".

Сетевая инфраструктура защищена протоколом HTTPS, который шифрует трафик и выполняет аутентификацию пользователей на основе цифровых сертификатов, связанных с учетными записями пользователей. Эта аутентификация пользователей основана на инфраструктуре открытых ключей Public Key Infrastructure.

Следующим аспектом является безопасность «Сервера базы данных». Во-первых, сетевой доступ к базам данных системы напрямую ограничен. То есть, сетевая изоляция достигается путем объединения всех серверов баз данных в локальный сегмент сети, доступ к которому имеет только сервер приложений. Сервер базы данных также должен быть физически защищен, что может быть достигнуто путем размещения всего серверного оборудования в отдельном от других серверов помещении с контролем доступа.

«Сервер приложений» управляет множеством процессов, от авторизации пользователей до обработки информации в базе данных. Один из способов защиты этого уровня заключается, например, в назначении ролей пользователям, чтобы они имели определенные права доступа к системе или не имели их вовсе. Надежная защита на уровне «Клиент», особенно на рабочем месте сотрудника, является важной частью защиты системы в целом. Когда сотрудник начинает работу в ERP-системе, он должен сначала сообщить системе свое имя (идентификация). Затем система проверяет подлинность пользователя и определяет, является ли он тем, за кого себя выдает. Для того чтобы система могла это определить, нужно представить что-то для подтверждения личности сотрудника.

Главное помнить, что основными причинами потери данных компании являются рассеянность, небрежность и безответственность сотрудников. Поэтому безопасная авторизация в ERP-системе напрямую зависит от пользователя. Для обеспечения достаточно высокого уровня информационной безопасности ERP-системы требуются дополнительные программные средства, направленные на защиту каждого уровня системы.

Список литературы:

1. Зырянов Ю. Информационная безопасность ERP-систем.URL: http://citforum.ru/gazeta/49/ (дата обращения 15.06.2016)
2. Дмитринко А. И., Долгова Т. Г. Информационная безопасность ERP-систем//Актуальные проблемы авиации и космонавтики. 2011.№ 7.Т1.С. 443
3. Оладько В. С., Белозѐрова А. А. Формализация подхода к выбору веб-браузера//Информационные системы и технологии. 2016. № 3 (95). С. 131–138.