ERP和CRMD在如何保護(hù)老化軟件方面的安全最佳實踐

申請免費試用、咨詢電話：400-8352-114

ERP促進(jìn)了組織內(nèi)部、重要供應(yīng)商和客戶之間業(yè)務(wù)功能的信息流動，在些基本上CRM系統(tǒng)簡化和當(dāng)前及未來客戶之間的互動，管理營銷活動，建立客戶關(guān)系，提高客戶滿意度。ERP（企業(yè)資源規(guī)劃）和CRM

（客戶關(guān)系管理）對于企業(yè)的日常動作是至關(guān)重要的兩個程序。

Gartner公司最近一項關(guān)于企業(yè)IT預(yù)算支出計劃的調(diào)查顯示，2013年應(yīng)用軟件投資計劃中位列前三的分別為CRM、ERP和辦公室/個人高效工具。 盡管公司常在ERP和CRM系統(tǒng)上進(jìn)行投資，但其實企業(yè)已經(jīng)有

許多存在多年的應(yīng)用程序?qū)嵗?。這是因為參與采購和部署系統(tǒng)的工作人員離職后，帶走了如何管理和維護(hù)這些系統(tǒng)的知識，所以現(xiàn)在這些應(yīng)用程序只能獨自運(yùn)行。

修補(bǔ)老化的關(guān)鍵應(yīng)用程序是非常困難的，因為許多傳統(tǒng)的CRM和免費ERP都沒有打補(bǔ)丁，而且非常脆弱。但是由于它們處理和存儲了重要機(jī)密的數(shù)據(jù)，所以必須注意其安全性。在過去，原本的安全控制可

能就夠了，但是處于當(dāng)今多設(shè)備、Internet連接并充滿威脅的環(huán)境中，它們可能就難以應(yīng)對了。

本文中，我們將回顧ERP和CRM系統(tǒng)應(yīng)用程序安全的最佳實踐，不僅專注于這些應(yīng)用程序本身，還關(guān)注對安全性至關(guān)重要的其它IT組件。

為了確保ERP和CRM應(yīng)用程序的安全，必須在網(wǎng)絡(luò)層、表示層以及最重要也最受黑客偏愛的攻擊對象應(yīng)用層實施控制。

未打補(bǔ)丁的ERP和CRM系統(tǒng)都特別脆弱，因為他們特別容易成為自動掃描器和攻擊工具的目標(biāo)。盡管不是每一個新漏洞都會有風(fēng)險，但是真正遇到威脅時，你就 必須努力修補(bǔ)舊系統(tǒng)。但是，知道漏洞何時

對特定的應(yīng)用程序有風(fēng)險非常有用，因為這就可以優(yōu)先升級補(bǔ)丁、防火墻和改變?nèi)肭謾z測系統(tǒng)。測試漏洞和補(bǔ)丁影響的一 個方法是在一個虛擬測試環(huán)境中復(fù)制一個生產(chǎn)系統(tǒng)，然后使用滲透測試框架，用

適當(dāng)方法來試圖感染用于測試的應(yīng)用程序。如果測試的應(yīng)用程序失敗或被感染了，顯 然這個生產(chǎn)中的應(yīng)用程序需要安裝補(bǔ)丁來防御類似的攻擊。

雖然補(bǔ)丁在舊系統(tǒng)上觸發(fā)的問題并不少見，但是調(diào)查顯示只有一小部分管理員因為未測試補(bǔ)丁而遭受系統(tǒng)故障。當(dāng)然，可能你有一個傳統(tǒng)或老化的基礎(chǔ)設(shè)施已經(jīng)被破 壞或出故障了，就是因為過去打補(bǔ)丁

的緣故，如果一個系統(tǒng)是處理關(guān)鍵任務(wù)的，那么強(qiáng)烈建議在安裝新的補(bǔ)丁之前進(jìn)行補(bǔ)丁測試。

當(dāng)修補(bǔ)的整體風(fēng)險太高時，虛擬補(bǔ)丁可以通過控制受影響應(yīng)用程序的輸入或輸出來消除一些漏洞。不同于傳統(tǒng)的補(bǔ)丁程序，虛擬補(bǔ)丁不需要昂貴的停機(jī)時間，因為一 個應(yīng)用程序可以不觸碰到應(yīng)用程序本

身而打上補(bǔ)丁，它相關(guān)的庫或操作系統(tǒng)可以一直運(yùn)行。有時虛擬補(bǔ)丁是支持供應(yīng)商不再支持的應(yīng)用程序老版本的唯一方法。最簡 單的虛擬補(bǔ)丁方法是升級入侵防御系統(tǒng)過濾器的配置來阻擋試圖利用該漏

洞的攻擊。在虛擬補(bǔ)丁修復(fù)該漏洞的過程中，一定要記錄下這些變化。

對于基于Windows的ERP和CRM應(yīng)用程序，管理員應(yīng)該考慮部署微軟的加強(qiáng)版緩解體驗工具包（EMET）v4.0，這是一個對于老版Windows 應(yīng)用程序和操作系統(tǒng)軟件非常有價值的緩解技術(shù)。它是免費的，并且

通過應(yīng)用最新安全技術(shù)來保護(hù)應(yīng)用程序，使黑客更難利用已知攻擊向量，例如緩沖區(qū)溢出和內(nèi)存 損壞。

為了支持后期的瀏覽器和移動時代的自定義應(yīng)用程序，原先用來訪問ERP和CRM應(yīng)用程序的圖形用戶界面(GUI)可能已經(jīng)被拋棄了，但是確保任意和這個系統(tǒng)交互的瀏覽器和應(yīng)用程序能使用是至關(guān)重要的。

第三方應(yīng)用程序應(yīng)該經(jīng)常進(jìn)行測試，來確保他們不會通過意想不到的渠道或進(jìn)程泄露數(shù)據(jù)。使用Citrix Systems公司服務(wù)器給桌面用戶提供的GUI，或使用8.1的開始屏幕鎖定功能為桌面和移動設(shè)備用戶

來創(chuàng)建一個資訊站環(huán)境，可以降低用戶相關(guān)威脅的可 能性。

如果維護(hù)現(xiàn)有的ERP和CRM系統(tǒng)變得太困難，昂貴或耗時，那么是時候轉(zhuǎn)移到基于云的服務(wù)了，這是對于移動設(shè)備更自然，更安全的服務(wù)。集成的 ERP/CRM軟件和利用一個集中式的安全數(shù)據(jù)庫托管解決方

案都是可行的。例如，Compiere，一個基于云、開源的免費ERP和CRM系統(tǒng)。

對企業(yè)來說，無論運(yùn)行ERP還是CRM，或者其它軟件，都必須采取主動或者是被動的安排保護(hù)措施，確保新軟件或者是舊軟件的程序安全。如果想要實現(xiàn)競爭的優(yōu)化，信息與知識的共享是不可少的。