news 2026/7/4 20:39:05

ERP 安全与控制

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
ERP 安全与控制

所有企业资源规划(ERP)系统都存在漏洞,因为这类系统在开箱即用的状态下,并未启用监管机构、管理层及内部审计人员要求的控制功能。

识别并设计最优的 ERP 控制措施、制定高效的测试方法、修复 ERP 控制缺陷,均需要多年的经验积累。要始终紧跟 ERP 安全控制的前沿并非易事。与其持续培训内部员工、占用他们的时间执行 ERP 风险评估,不如与经验丰富的专业团队合作 —— 他们每日深耕于此领域。这能让你的员工有精力专注于更高价值的项目。

心怀不满的员工要在系统中实施特定类型欺诈,需满足哪些条件?

系统中仍存在有效用户账户(处于活跃、未锁定状态)。

该用户拥有在生产环境中执行特定程序的权限。

该用户知晓自己具备实施欺诈的特定权限。

该用户需找到规避检测的方法,最常见的是执行多笔金额极小的财务操作。

若上述控制措施均妥善部署,要同时满足所有欺诈条件极为困难。即便其中一项控制失效,其他控制措施仍能发挥作用。在这种情况下,所有控制措施同时失效的概率极低。

但某些关键漏洞(例如针对已知配置错误的公开漏洞利用程序10KBLAZE),可使任何人绕过身份验证(无需用户凭证即可访问)、权限验证(无权限即可执行操作),并篡改日志(操作不留痕迹)。

若存在单个漏洞,心怀不满的员工要实施同类欺诈,又需满足哪些条件?

用户需能访问谷歌下载漏洞利用程序。

用户需能访问谷歌了解 SAP 主数据表。

用户需按照漏洞利用程序文档中的步骤操作。

即便上述所有传统控制措施均正常运行,欺诈行为仍可能发生。这些漏洞能够绕过所有 “传统 IT 一般控制措施”—— 因为这类控制主要防范以“传统方式” 实施的恶意行为。一旦恶意行为通过其他方式执行,这些控制措施便会被绕过。

读到这里,有人可能会问:“这种情况实际发生的概率有多大?”

2016 年和 2018 年,企业频频收到警示,提醒其警惕针对 ERP 系统的恶意网络活动。2019 年 5 月,随着 10KBLAZE 漏洞利用程序的公开,各组织需警惕这一针对 SAP 已知配置错误的新型威胁。尽管这些配置错误此前已被发现,潜在攻击的影响程度始终极高,但公开漏洞利用程序的出现,大幅提高了攻击发生的概率。

最后值得一提的是,IDC 近期针对 430 位 IT 决策者开展的调查显示,64% 的受访者表示,其 ERP 系统在过去 24 个月内曾遭遇入侵。

读到这里,你或许会思考:如何与管理层启动跨部门的内部讨论?以下关键问题可助你开启新的对话:

  1. 针对每个关键业务应用系统,IT 一般控制措施(ITGC)的范围是如何定义的?

  2. 网络安全控制是否被纳入 ITGC 的定义范围?例如:漏洞管理、日志配置与管理、配置基线、系统间网络接口等。

  3. 针对关键业务应用系统的内外部威胁,是否已妥善建立持续监控机制?

  4. 已部署哪些工具来监控特定财务系统?

  5. 关键业务应用系统的安全补丁多久审核并部署一次?

  6. 针对财务报告相关关键业务应用中使用的定制代码,已建立哪些网络安全控制措施?

  7. 关键网络安全控制措施如何映射到《萨班斯 - 奥克斯利法案》(SOX)之外的其他法规要求?例如 NERC-CIP(北美电力可靠性公司关键基础设施保护标准)、PCI(支付卡行业数据安全标准)、GDPR(通用数据保护条例)等。

  8. 外部审计师、内部审计师及管理层应如何评估和测试上述控制措施,以确保数据安全?

本文转载自 雪兽软件
更多精彩推荐请访问 雪兽软件官网

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/1 23:07:23

文旅大数据分析:景点评论地址提取的免开发方案

文旅大数据分析:景点评论地址提取的免开发方案 为什么需要地址提取工具? 文旅局分析师经常面临一个棘手问题:海量的游客评论中包含大量非结构化地址信息,比如"景区东门往北200米那家小吃店"、"靠近地铁站的网红打卡…

作者头像 李华
网站建设 2026/6/30 11:22:40

1小时快速搭建基于CIVITAI模型的演示原型

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 创建一个极简AI演示框架,集成CIVITAI镜像站的3个热门模型(如文本生成、图像生成、风格转换)。要求:1. 单文件Python脚本实现 2. 命令…

作者头像 李华
网站建设 2026/7/1 7:32:49

OmniSharp:在VS Code中打造专业级C开发体验

OmniSharp:在VS Code中打造专业级C#开发体验 【免费下载链接】vscode-csharp 项目地址: https://gitcode.com/gh_mirrors/om/omnisharp-vscode 开篇:为什么选择OmniSharp? 在当今多语言开发环境中,C#开发者常常面临一个关…

作者头像 李华
网站建设 2026/7/1 9:45:01

WeKWS语音唤醒技术实战指南:从入门到部署的全流程解析

WeKWS语音唤醒技术实战指南:从入门到部署的全流程解析 【免费下载链接】wekws 项目地址: https://gitcode.com/gh_mirrors/we/wekws 在智能语音交互日益普及的今天,关键词唤醒技术已成为众多智能设备的核心功能。WeKWS作为一款专为嵌入式设备和移…

作者头像 李华
网站建设 2026/7/4 19:15:11

AI助力Fiddler手机抓包:智能分析与自动化测试

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 开发一个基于Fiddler的AI辅助抓包工具,能够自动识别和分类手机应用流量,检测异常请求,并生成可视化报告。支持以下功能:1. 自动识别…

作者头像 李华
网站建设 2026/7/1 8:25:11

1小时搞定城市道路规划原型:创业者的秘密武器

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 开发一个最小可行产品(MVP)级别的城市道路规划工具,核心功能:1. 导入OpenStreetMap数据 2. AI建议优化方案 3. 关键指标对比(通行时间、建设成本等) 4. 一键…

作者头像 李华