Информационная безопасность ERP-систем

В ERP-системе, как в центральной информационной системе предприятия, сосредоточено большое количество информации, необходимой для повседневной деятельности сотрудников. Тут и финансовая информация, и данные о клиентах, и кадровые данные и т. д. Очевидно, что многие из этих данных являются конфиденциальной информацией и их раскрытие может принести предприятию значительные убытки. Поэтому проблемы информационной безопасности особенно актуальны для ERP-систем. Рассуждая об информационной безопасности в ERP, можно начать с определения целей, которых мы хотим достичь в своей системе. Итак, цели и задачи информационной безопасности: Как и какими средствами можно решать перечисленные задачи? Начнем с рассмотрения архитектуры типовой ERP-системы. Современная ERP-система имеет трехзвенную клиент-серверную архитектуру (схема 1). Три уровня такой системы — это: Хранение данных осуществляется в базе данных (уровень БД), их обработка — на сервере приложений (уровень приложений) и, наконец, непосредственное взаимодействие с пользователем происходит через программу "Клиент" с графическим интерфейсом (уровень представления). В роли такой клиентской программы в последнее время часто используется веб-браузер. Обеспечение той или иной степени защищенности информации возможно на каждом из этих уровней, вопрос лишь в требованиях, предъявляемых к конечной системе. В статье мы познакомимся с существующими механизмами защиты информации на вышеуказанных уровнях ERP, а какие из них использовать — зависит от специфики конкретного проекта. Связующей средой для компонентов, находящихся на различных архитектурных уровнях ERP, является сетевая инфраструктура. В итоге, рассуждая об информационной безопасности, условно можно выделить следующие основные аспекты: Такие уровни в совокупности собственно и составляют ERP как систему, и поэтому здесь можно вести речь о системной безопасности дополнительно к прикладной безопасности. Вопросы прикладной безопасности также будут рассмотрены далее. Системная безопасность ERP Начнем с рассмотрения способов обеспечения информационной безопасности сетевой инфраструктуры. Многие современные ERP-системы, например SAP NetWeaver или Oracle e-Business Suite, применяют веб-стандарты для построения взаимодействия своих компонентов. В этом случае для защиты трафика можно использовать протокол HTTPS. Дополнительно к шифрованию трафика HTTPS также может обеспечивать аутентификацию пользователя на основе цифровых сертификатов. SAP NetWeaver и Oracle e-Business Suite позволяют привязывать сертификат к учетной записи пользователя ERP-системы. Таким образом, аутентификация пользователей в ERP может быть построена на основе уже имеющейся на предприятии инфраструктуры PKI. Когда речь заходит о криптографии, сразу встает вопрос о том, какие именно криптографические алгоритмы следует использовать. Для многих предприятий этот вопрос решается однозначно — в соответствии с юридическими требованиями необходимо применять криптоалгоритмы ГОСТ и, следовательно, российские сертифицированные криптографические средства защиты. Для использования HTTPS на основе западных криптоалгоритмов (DES, RSA и т. д.), как правило, достаточно встроенных средств операционной системы. Так, в MS Windows уже имеется встроенная поддержка HTTPS на основе DES, RSA и других западных алгоритмов. С российской криптографией сложнее. Неудивительно, что в штатную поставку многих ERP-систем не входят российские сертифицированные средства защиты информации, поскольку большая часть таких систем создается зарубежными компаниями — SAP, Oracle и другими. Если в ERP-системах зарубежного производства требуется российская криптография, то необходимо дополнительное программное обеспечение. На отечественном рынке представлено несколько подобных решений. Например, решения компании ЛИССИ (схема 2): На платформе SAP NetWeaver помимо HTTPS для защиты трафика и аутентификации пользователей также может быть предусмотрен протокол Secure Network Communication SNC. На российском рынке представлено решение LISSI-SNC, обеспечивающее аутентификацию пользователей по ГОСТ Р 34.10-2001, а также шифрование и контроль целостности трафика в соответствии с ГОСТ 28147-89. Допустим, сеть у нас надежно защищена, теперь неплохо бы разобраться с источниками данных, которые по этой сети передаются. Одним из важнейших компонентов ERP-системы можно считать базу данных. Как ее защитить? БД для ERP-системы можно разместить на том же физическом сервере, на котором работает и сервер приложений, но, как правило, для БД выделяются один ил