ERP和CRMD在如何保護(hù)老化軟件方面的安全最佳實(shí)踐

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

ERP促進(jìn)了組織內(nèi)部、重要供應(yīng)商和客戶之間業(yè)務(wù)功能的信息流動(dòng)，在些基本上CRM系統(tǒng)簡(jiǎn)化和當(dāng)前及未來(lái)客戶之間的互動(dòng)，管理營(yíng)銷(xiāo)活動(dòng)，建立客戶關(guān)系，提高客戶滿意度。ERP（企業(yè)資源規(guī)劃）和CRM

（客戶關(guān)系管理）對(duì)于企業(yè)的日常動(dòng)作是至關(guān)重要的兩個(gè)程序。

Gartner公司最近一項(xiàng)關(guān)于企業(yè)IT預(yù)算支出計(jì)劃的調(diào)查顯示，2013年應(yīng)用軟件投資計(jì)劃中位列前三的分別為CRM、ERP和辦公室/個(gè)人高效工具。 盡管公司常在ERP和CRM系統(tǒng)上進(jìn)行投資，但其實(shí)企業(yè)已經(jīng)有

許多存在多年的應(yīng)用程序?qū)嵗?。這是因?yàn)閰⑴c采購(gòu)和部署系統(tǒng)的工作人員離職后，帶走了如何管理和維護(hù)這些系統(tǒng)的知識(shí)，所以現(xiàn)在這些應(yīng)用程序只能獨(dú)自運(yùn)行。

修補(bǔ)老化的關(guān)鍵應(yīng)用程序是非常困難的，因?yàn)樵S多傳統(tǒng)的CRM和免費(fèi)ERP都沒(méi)有打補(bǔ)丁，而且非常脆弱。但是由于它們處理和存儲(chǔ)了重要機(jī)密的數(shù)據(jù)，所以必須注意其安全性。在過(guò)去，原本的安全控制可

能就夠了，但是處于當(dāng)今多設(shè)備、Internet連接并充滿威脅的環(huán)境中，它們可能就難以應(yīng)對(duì)了。

本文中，我們將回顧ERP和CRM系統(tǒng)應(yīng)用程序安全的最佳實(shí)踐，不僅專注于這些應(yīng)用程序本身，還關(guān)注對(duì)安全性至關(guān)重要的其它IT組件。

為了確保ERP和CRM應(yīng)用程序的安全，必須在網(wǎng)絡(luò)層、表示層以及最重要也最受黑客偏愛(ài)的攻擊對(duì)象應(yīng)用層實(shí)施控制。

未打補(bǔ)丁的ERP和CRM系統(tǒng)都特別脆弱，因?yàn)樗麄兲貏e容易成為自動(dòng)掃描器和攻擊工具的目標(biāo)。盡管不是每一個(gè)新漏洞都會(huì)有風(fēng)險(xiǎn)，但是真正遇到威脅時(shí)，你就 必須努力修補(bǔ)舊系統(tǒng)。但是，知道漏洞何時(shí)

對(duì)特定的應(yīng)用程序有風(fēng)險(xiǎn)非常有用，因?yàn)檫@就可以優(yōu)先升級(jí)補(bǔ)丁、防火墻和改變?nèi)肭謾z測(cè)系統(tǒng)。測(cè)試漏洞和補(bǔ)丁影響的一 個(gè)方法是在一個(gè)虛擬測(cè)試環(huán)境中復(fù)制一個(gè)生產(chǎn)系統(tǒng)，然后使用滲透測(cè)試框架，用

適當(dāng)方法來(lái)試圖感染用于測(cè)試的應(yīng)用程序。如果測(cè)試的應(yīng)用程序失敗或被感染了，顯 然這個(gè)生產(chǎn)中的應(yīng)用程序需要安裝補(bǔ)丁來(lái)防御類似的攻擊。

雖然補(bǔ)丁在舊系統(tǒng)上觸發(fā)的問(wèn)題并不少見(jiàn)，但是調(diào)查顯示只有一小部分管理員因?yàn)槲礈y(cè)試補(bǔ)丁而遭受系統(tǒng)故障。當(dāng)然，可能你有一個(gè)傳統(tǒng)或老化的基礎(chǔ)設(shè)施已經(jīng)被破 壞或出故障了，就是因?yàn)檫^(guò)去打補(bǔ)丁

的緣故，如果一個(gè)系統(tǒng)是處理關(guān)鍵任務(wù)的，那么強(qiáng)烈建議在安裝新的補(bǔ)丁之前進(jìn)行補(bǔ)丁測(cè)試。

當(dāng)修補(bǔ)的整體風(fēng)險(xiǎn)太高時(shí)，虛擬補(bǔ)丁可以通過(guò)控制受影響應(yīng)用程序的輸入或輸出來(lái)消除一些漏洞。不同于傳統(tǒng)的補(bǔ)丁程序，虛擬補(bǔ)丁不需要昂貴的停機(jī)時(shí)間，因?yàn)橐?個(gè)應(yīng)用程序可以不觸碰到應(yīng)用程序本

身而打上補(bǔ)丁，它相關(guān)的庫(kù)或操作系統(tǒng)可以一直運(yùn)行。有時(shí)虛擬補(bǔ)丁是支持供應(yīng)商不再支持的應(yīng)用程序老版本的唯一方法。最簡(jiǎn) 單的虛擬補(bǔ)丁方法是升級(jí)入侵防御系統(tǒng)過(guò)濾器的配置來(lái)阻擋試圖利用該漏

洞的攻擊。在虛擬補(bǔ)丁修復(fù)該漏洞的過(guò)程中，一定要記錄下這些變化。

對(duì)于基于Windows的ERP和CRM應(yīng)用程序，管理員應(yīng)該考慮部署微軟的加強(qiáng)版緩解體驗(yàn)工具包（EMET）v4.0，這是一個(gè)對(duì)于老版Windows 應(yīng)用程序和操作系統(tǒng)軟件非常有價(jià)值的緩解技術(shù)。它是免費(fèi)的，并且

通過(guò)應(yīng)用最新安全技術(shù)來(lái)保護(hù)應(yīng)用程序，使黑客更難利用已知攻擊向量，例如緩沖區(qū)溢出和內(nèi)存 損壞。

為了支持后期的瀏覽器和移動(dòng)時(shí)代的自定義應(yīng)用程序，原先用來(lái)訪問(wèn)ERP和CRM應(yīng)用程序的圖形用戶界面(GUI)可能已經(jīng)被拋棄了，但是確保任意和這個(gè)系統(tǒng)交互的瀏覽器和應(yīng)用程序能使用是至關(guān)重要的。

第三方應(yīng)用程序應(yīng)該經(jīng)常進(jìn)行測(cè)試，來(lái)確保他們不會(huì)通過(guò)意想不到的渠道或進(jìn)程泄露數(shù)據(jù)。使用Citrix Systems公司服務(wù)器給桌面用戶提供的GUI，或使用8.1的開(kāi)始屏幕鎖定功能為桌面和移動(dòng)設(shè)備用戶

來(lái)創(chuàng)建一個(gè)資訊站環(huán)境，可以降低用戶相關(guān)威脅的可 能性。

如果維護(hù)現(xiàn)有的ERP和CRM系統(tǒng)變得太困難，昂貴或耗時(shí)，那么是時(shí)候轉(zhuǎn)移到基于云的服務(wù)了，這是對(duì)于移動(dòng)設(shè)備更自然，更安全的服務(wù)。集成的 ERP/CRM軟件和利用一個(gè)集中式的安全數(shù)據(jù)庫(kù)托管解決方

案都是可行的。例如，Compiere，一個(gè)基于云、開(kāi)源的免費(fèi)ERP和CRM系統(tǒng)。

對(duì)企業(yè)來(lái)說(shuō)，無(wú)論運(yùn)行ERP還是CRM，或者其它軟件，都必須采取主動(dòng)或者是被動(dòng)的安排保護(hù)措施，確保新軟件或者是舊軟件的程序安全。如果想要實(shí)現(xiàn)競(jìng)爭(zhēng)的優(yōu)化，信息與知識(shí)的共享是不可少的。