Witamy arrow Bezpieczeństwo
Bezpieczeństwo danych Drukuj
Bezpieczeństwo danych w systemach ERP typu „klient-serwer” ma kluczowe znaczenie z uwagi na powszechność takich narzędzi w wielu przedsiębiorstwach i instytucjach. Przedsiębiorstwa często gromadzą w bazach danych strategiczne dane takie jak: kontrakty, relacje z klientami, wynagrodzenia, itp. Nieodpowiednie zabezpieczenie tych danych mogłoby narazić przedsiębiorcę na nieodwracalne straty prowadzące nawet do ogłoszenia upadłości.

Systemy informatyczne ERP

Architektura ERP Systemy ERP (ang. Enterprise Resource Planning) to zaawansowane narzędzia informatyczne typu „klient-serwer” wspomagające zarządzanie zasobami przedsiębiorstwa poprzez gromadzenie danych w centralnej bazie danych i umożliwiające przetwarzanie tych danych za pośrednictwem aplikacji klienckich. W systemach ERP mogą być odzwierciedlone wszystkie lub część procesów zarządzania – w efekcie czego uzyskuje się optymalizację wykorzystania zasobów przedsiębiorstwa oraz zachodzących w nim procesów. Najczęściej systemy ERP wspomagają takie obszary przedsiębiorstwa jak: produkcja, magazyn, serwis, relacje z klientami (CRM), wyposażenie i środki trwałe, sprzedaż, księgowość, kadry i płace, finanse. Za realizację procesów z każdego z takich obszarów zarządzania odpowiada tzw. moduł systemu, czyli logicznie wydzielony zakres funkcjonalności. Modułowość jest wielką zaletą systemów ERP gdyż każdy moduł może funkcjonować niezależnie jak i ściśle współpracować z pozostałymi modułami. Istnieje możliwość integrowania nowych modułów często ściśle dedykowanych pod zapotrzebowanie klienta co czyni system ERP narzędziem nieograniczonym funkcjonalnie.
Architektura systemu ERP typu „klient-serwer” opiera się na trzech podstawowych elementach:
  • baza danych – fizyczny plik bazy danych w którym gromadzone są dane.
  • serwer bazy danych – oprogramowanie zarządzające bazą danych i umożliwiające wymianę danych pomiędzy aplikacjami klienckimi a bazą danych; zainstalowane z reguły na dedykowanym do tego celu profesjonalnym komputerze zwanym serwerem.
  • aplikacja kliencka – oprogramowanie instalowane po stronie stacji klienckich umożliwiające pracę w systemie ERP (dostęp do danych, przetwarzanie danych).   
Każdy z tych elementów ma zasadniczy wpływ na bezpieczeństwo danych systemu ERP. 

Bezpieczeństwo pliku bazy danych

Bezpieczeństwo bazy danych Plik bazy danych jest jądrem całego systemu ERP bowiem to w nim fizycznie gromadzone są wszystkie dane przedsiębiorstwa. Zachowanie procedur bezpieczeństwa w tym miejscu systemu powinno być przedmiotem szczególnej uwagi.
Każda baza danych jest zabezpieczona hasłem zdefiniowanym przez administratora systemu. Aby dane były bezpieczne hasło dostępu poza administratorem powinna znać bardzo ograniczona i zaufana grupa osób. Hasło powinno być silne tzn. charakteryzować się następującymi cechami:
  • ma co najmniej 7 znaków długości,
  • nie zawiera nazw własnych np. nazwy użytkownika, imienia, nazwiska, nazwy firmy,
  • nie zawiera całego wyrazu występującego w słowniku,
  • różni się znacznie od poprzednich haseł, hasła układające się w jeden spójny ciąg (np. GFakfr@_1, GFakfr@_2, GFakfr@_3, itd) nie są silnymi hasłami,
  • zawiera: wielkie litery, małe litery, cyfry, symbole znajdujące się na klawiaturze takie jak: @, #,$ itp.
Hasło może spełniać większość kryteriów dotyczących silnego hasła i pozostać dość słabym hasłem. Na przykład hasło Wiwat3Król!!! jest stosunkowo słabym hasłem, choć spełnia większość kryteriów silnego hasła. KWl!3!w!tai jest silnym hasłem, ponieważ wyraz słownikowy przeplata się z symbolami, liczbami i innymi literami.   
Bardzo ważne jest aby hasła używanego do jednej bazy danych nie używać do innych dostępów oraz odpowiednio je zabezpieczyć np. zaszyfrować.
Każdy administrator IT doskonale wie, że w każdym środowisku w którym mamy do czynienia z danymi niezbędne jest wykonywanie kopii bezpieczeństwa bazy danych (ang. backup), które służą do odtworzenia oryginalnych danych w przypadku ich utraty lub uszkodzenia. Standardem jest, że profesionalne systemy baz danych posiadają wbudowane mechanizmy wykonywania kopii bezpieczeństwa zwane systemami backupu. Systemy backupu umożliwiają ustawienie dowolnych interwałów czasowych wykonywania kopii bezpieczeństwa w których automatycznie tworzone są kopie bazy danych na zewnętrznych nośnikach, np. taśmach magnetycznych, płytach CD/DVD lub zewnętrznych dyskach twardych. Istnieją specjalistyczne systemy, pozwalające na zdalne wykonywanie kopii bezpieczeństwa, np. przez sieć lokalną lub Internet (kopia bezpieczeństwa online); chronione w ten sposób dane umieszczane są na dyskach serwerów w odległych centrach archiwizacji. Taka technika pozwala skutecznie chronić dane przed większością zdarzeń losowych takich jak: kradzieże sprzętu, pożary, powodzie.
Strategiczne informacje zapisywane w bazie danych takie jak: hasła użytkowników, wartości kontraktów, wynagrodzenia itp. powinny być szyfrowane. Specjalne algorytmy szyfrujące konwertują dane przy zapisie z postaci jawnej (np. progpol) do postaci zaszyfrowanej (np. 6g12fd3gb) i odwrotnie gdy trzeba dane odczytać. Rozróżnia się algorytmy szyfrujące ograniczone oraz z kluczem. Algorytm ograniczony zapewnia bezpieczeństwo informacji tylko wtedy, gdy nie jest znana postać algorytmu (znajomość algorytmu pozwala odszyfrować informację). Algorytmy te są popularne w zastosowaniach, gdzie wysoki poziom bezpieczeństwa nie jest wymagany. Algorytm z kluczem to taki, w którym do zaszyfrowania oraz odszyfrowania wiadomości wykorzystywane są klucze. W przeciwieństwie do algorytmów ograniczonych, bezpieczeństwo wiadomości oparte jest na kluczu. W przypadku wielu algorytmów klucz szyfrujący jest inny niż klucz deszyfrujący.
W celu zwiększenia bezpieczeństwa pliku bazy danych przed hakerskimi atakami z zewnątrz stosuje się fizyczne odseparowanie pliku bazy danych od serwera bazy danych. Na stacji, która jest osiągalna z Internetu zainstalowane jest jedynie specjalne oprogramowanie pośredniczące w wymianie danych tzw. system DBfC (ang. DataBase for Client). Baza danych natomiast wraz z systemem zarządzania bazą danych jest zainstalowana na innej, wewnętrznej (lokalnej) stacji, która z poziomu Internetu jest nieosiągalna. System DBfC w takim przypadku spełnia szereg ważnych zadań do których należą m.in.: komunikacja aplikacji klienckich z serwerem bazy danych, zabezpieczenie bezpośredniego dostępu do bazy danych z poziomu Internetu, kompresja danych wymienianych z aplikacjami klienckimi, szyfrowanie SSL (ang. Secure Socket Layer) danych wymienianych z aplikacjami klienckimi.  

Bezpieczeństwo serwera

Cóż po dobrze zabezpieczonym pliku bazy danych gdy na szwank będzie narażony serwer bazy danych ??? Mimo, że posiadamy kopie bezpieczeństwa pliku bazy danych to ewentualna awaria lub kradzież serwera może doprowadzić do przestoju funkcjonowania całego przedsiębiorstwa co może doprowadzić do kolosalnych strat finansowych i prestiżowych. Dlatego też mając na względzie bezpieczeństwo bazy danych systemu ERP zachowywanie zasad bezpieczeństwa podczas eksploatacji serwera bazy danych jest również bardzo istotne.
Kluczowym elementem zachowania bezpieczeństwa jest fizyczne zabezpieczenie serwera. Do tego celu służy specjalne dozorowane 24h pomieszczenie zwane potocznie serwerownią do którego ma dostęp administrator IT oraz akredytowane osoby. Dozór często jest realizowany w postaci monitoringu za pomocą dedykowanych do tego celu kamer przemysłowych.
Niezawodne działanie systemu ERP wymaga stabilnego łącza internetowego. Aby takowe zapewnić należy uwzględnić odpowiednie zabezpieczenie dostępu do Internetu. W tym przypadku zaleca się mieć wykupiony dostęp do Internetu od kilku niezależnych dostawców. Nominalnie korzysta się z dostępu od dostawcy głównego a w przypadku awarii automatycznie przechodzi się na łącze rezerwowe innego dostawcy.
Bardzo ważną kwestią jest zabezpieczenie energetyczne na wypadek przerwy w dostawie energii elektrycznej. W tym przypadku zastosowanie mają zasilacze awaryjne UPS (ang. Uninterruptible Power Supply). UPS wyposażony jest w akumulator, i w przypadku przerwy lub zakłóceń dostawy energii elektrycznej z sieci energetycznej urządzenie przełącza się na pracę z akumulatora. Czas podtrzymania napięcia wynosi od kilku minut do kilkudziesięciu godzin i zależy m.in. od obciążenia zasilacza oraz pojemności akumulatora. Serwerownie świadczące usługę kolokacji na skalę przemysłową wyposaża się w agregaty prądotwórcze stanowiące samodzielne źródło prądu.
Innym czynnikiem decydującym o bezpieczeństwie danych jest zabezpieczenie przeciwpożarowe budynku w którym znajduje się serwer. Najczęściej są to systemy alarmów przeciwpożarowych. Najczęściej oparte są one o optyczne czujki dymu, czujki ognia oraz przyciski ręcznego powiadamiania. W dużych obiektach często posiadają połączenie ze strażą pożarną oraz współdziałają z innymi systemami ochrony p.poż. - automatycznymi systemami gaśniczymi (zraszacze wodne, systemy gaszenia gazem), systemy nawiewowe i oddymiania, awaryjne oświetlenie, dźwiękowy system ostrzegania itp.
Wszystkie wyszczególnione systemy bezpieczeństwa serwera można zrealizować w ramach własnych struktur przedsiębiorstwa lub wykupić usługę kolokacji serwera w profesjonalnym parku serwerowym. Na rynku dostępnych jest wielu dostawców oferujących usługi kolokacji serwera spełniających wszystkie normy bezpieczeństwa.

Bezpieczeństwo aplikacji klienckiej

Bezpieczeństwo aplikacji Nieodpowiednie zarządzanie aplikacjami klienckimi stanowi najbardziej powszechne zagrożenie wycieku danych przedsiębiorstwa na zewnątrz do niepowołanych osób.
Kluczową zasadą zachowania bezpieczeństwa w tym przypadku jest racjonalne gospodarowanie loginem i hasłem dostępu do systemu. Przy doborze hasła należy kierować się podobnymi regułami jak przy ustalaniu hasła do bazy danych – hasło musi być silne. Należy wystrzegać się przekazywania własnego hasła innym pracownikom oraz zapisywania hasła w notesie czy w plikach.
W celu zabezpieczenia przed przechwytami danych transmitowanymi w sieci Internet realizuje się szyfrowane połączenia SSL (ang. Secure Socket Layer) pomiędzy aplikacjami klienckimi a serwerem. Transmitowane dane są zaszyfrowane w wyniku czego zapewniona jest poufność i integralność transmisji danych, a także uwierzytelnienie serwera.

Wnioski

Aby zapewnić pełne bezpieczeństwo danych trzeba spełnić oraz przestrzegać szereg przedstawionych procedur w każdej z trzech warstw systemu ERP: bazy danych, serwera oraz aplikacji klienckiej. Kierując się przedstawionymi wytycznymi mamy niemalże stu procentową pewność, że dane przedsiębiorstwa zgromadzone w centralnej bazie danych systemu ERP są w pełni bezpieczne.