第柒章 權限控管安全性

ERP與資訊安全

       ERP與資料庫系統連結，藏有企業最敏感的經營管理資訊，其貫穿企業價值鏈所有活動，任何設定、登打、處理、結算都互相連動，故有關資訊安全、作業保全的管制，當然是企業負責人最關心的議題。

       參與ERP系統導入過程的每一個人，都要在安全作業上扮演必要的角色，例如：稽核、風險管理、設計人員、開發人員、模組所有人與資通訊作業人員等。

7.1 資訊安全

資訊安全的重要性

       資訊安全的重要性已是全民共識、勿庸置疑的議題，尤其ERP系統是企業所有單位 (機密) 資料與作業程序的運作核心，一旦發生安全的威脅，則牽一髮而動全身，造成山崩效應，後果將難以想像與預估。

       一個運算功能再強、使用方法如何便利、效能有多麼好的軟體系統，如果缺乏足夠的安全性設計，而發生如企業機密資料外洩、低階人員未經授權可隨意讀取或修改高階資料、甚至冒用他人帳號簽入系統等情況，則一切為導入ERP系統所作的努力均成為泡影、功虧一簣。

7.1.1 CIA三角與資訊安全服務 (CIA Triad and Security Services)

資訊安全核心

       資訊安全內容包羅萬象，以核心原則論之，資訊安全專家們長期以來，將保密性、完整性、可用性 (confidentiality, integrity, and availability) 三個概念視為保護資訊資料、資訊與計算服務的三大基礎目的，即通稱的資訊安全CIA三角 (CIA Triad，圖7-1)，美國聯邦政府的官方標準FIPS 199號 (2004年) 中，也作了相同的主張。

       更早在1991年，國際電信聯盟 (International Telecommunication Union, ITU) 下設國際電報電話諮詢委員會 (International Telegraph and Telephone Consultative Committee, CCITT) 所制訂的X.800建議書中，已經定義了驗證性、存取控制、資料保密性、資料完整性與不容否認性 (authentication, access control, data confidentiality, data integrity, and non-repudiation) 等五大類資訊安全服務。³⁴

       因近年來資訊安全相關議題受到極大關注，除了經典的CIA模式與X.800五大類服務資訊安全之外，還有真實性 (authenticity) 與可歸責性 (accountability) 也常被強調。其實，這許許多多的安全需求考量彼此之間並無互斥性，反而有一些重疊的地方；例如，在美國聯邦標準FIP PUB 199³⁵中，就將真實性歸類在完整性之中。

       當然，資訊安全議題與技術方案包羅萬象，但在深入交叉檢視這些安全服務的定義後，我們可以發現「授權」 (authorization) 是確保資訊作業安全非常核心的先提要件，也定義在許多的資訊安全概念或服務中 (詳如表7-1整理)。

授權管理

       由此可知，「授權」是維護資訊作業安全非常重要的核心，因為使用者一旦獲得授權，他就是合法的使用者，也就是內部使用者 (insider)，基本上是受信賴的 (trusted)，可以遊走系統而不被拒絕。

       因此，由內部使用者所發動的攻擊通常很難預防、偵測與發現；所以，授權管理的確不得輕忽，也是整體資訊管理作業安全的基礎之一。此外，前述可歸責性 (accountability) 也值得我們特別提醒ERP系統的使用者。

       所謂可歸責性指當資訊管理作業的資料或系統，無論因故意或非故意的動機或行為而造成資料的錯誤、破壞、遺失等，或於系統故障失去功能時，我們能夠明確找出唯一的故障起源，或可追究至唯一該負最終責任的人³⁶，而這也與「授權」密切相關 (圖7-2)。

       資訊安全關切的議題包羅萬象，除去許多屬於作業系統安全 (operating system security) 與網路安全 (network security) 範疇的資訊技術外，由前面的詳細說明可知，「權限管控」或稱「授權管理」是資訊管理作業安全的首要議題，在此我們站在ERP系統維護者與日常使用者的立場，專注關心ERP系統作業中的「權限管控」，並以MF2000為例再做深入的說明。

7.1.2 最低授權原則 (the principle of least privilege)

專家論點

       關於保護資訊、系統與帳號管理的原則，重要的電腦科學家、麻省理工學院教授Jerry Saltzer³⁷早於其1975年的經典論文中，即提出「每一支程式與每一位系統授權的使用者，應在使用最少量必要權利的情況下來完成工作。」("Every program and every privileged user of the system should operate using the least amount of privilege necessary to complete the job.")

       在1983年美國國防部提出的「可信賴電腦系統評測標準」(TCSEC，俗稱橘皮書) 中，也有類似的概念，此項原則在設計有資訊安全考量的電腦軟體時相當重要，至今不變。

權限管控的重要性

       ERP系統因為牽涉到交易型態控管、跨部門資訊分享、集團資料交換與全球運籌管理，層次控管選項 (系統權限設定) 深入且功能相牽連，如果權限風險做得不到位，則其影響會超乎想像。ERP系統授權風險可源於使用者存取權限過大，亦即某使用者被授予了在他完成工作時完全使用不到或不需要的權限。

       例如，原本應單獨屬於會計主管的會計主檔維護權限同時也被授予他人，不當的授權使得外部人變成了內部人 (「存取控制」資安服務失靈)，會計資料可能會被不當的異動/竄改，造成相關作業錯誤 (破壞了資料完整性)，影響了財務報表與成本結算的正確性。

       然而錯誤或舞弊事件發生時，無法及時找出問題所在加以解決，於發生後調查時，也難以釐清責任 (失去了可歸責性)，讓企業曝露在極高的風險當中。這一切皆歸因在ERP系統導入階段的系統設定權限當時，即未能遵循最低授權原則，而致使系統使用後患無窮。

ERP應用層安全考量

       在網路時代，ERP系統所牽涉到的安全問題可以從三個面相來討論，分屬於網路層、表現層與應用層 (network, presentation, and application layers) 三種類別。但就ERP系統用戶而言，我們聚焦在應用層 (即使用者直接操作的應用程式，如ERP系統各模組) 的安全考量上。

       在應用層，ERP專家致力於保護商業資料與商業流程，而ERP系統業者在設計時，也會基於全盤安全設計的考量，選擇搭配所使用的資料庫管理系統 (Database Management System, DBMS) 本身即有的安全功能。

       荷蘭資訊安全專家Van de Riet針對ERP系統的安全歸納了以下重點，作為本節的結束：³⁸

1. 必須有安全政策與系統管理者。

2. 使用者身分驗證機制；

3. 分權管理，特定事只能由特定人員或職務執行。

4. 存取資源必須經過授權。

5. 使用時間的限制條件。

6. 日誌與可追蹤性。

7. 資料庫安全。

7.1.3 ERP系統安全問題的重要性與顧慮

ERP系統安全重要性

       本節延續前面的介紹，我們整理了ERP系統安全的重要性，應有以下三點認知：

1. ERP系統包含了最多的商務功能，使得ERP系統的安全管控變得複雜。

2. ERP系統執行極為複雜，使用了成千上百的表格與選擇方案。

3. ERP系統的整合性若高，則對某一模組的變動，可能引發另一個模組難以預期的錯誤風險。

ERP系統運作五大安全問題

       至於ERP系統運作時，企業必須考慮下列五大安全問題：

1. 對於存取控制、使用者背景檔案與使用者服務開通的管理不理想。

2. 未能偵測到異常交易的執行。

3. 資料缺乏保密性與完整性。

4. 當機問題的處置。

5. 職責分離之必要與稽核ERP系統：(1)交易起始 (籌獲或出售)、(2)交易授權、(3)交易紀錄、(4)資產保管、(5)固定資產調節與負債、(6)稽核ERP系統設計。

       由於ERP系統牽涉到多樣且複雜的交易型態控管、跨部門跨公司間資訊分享、集團企業間資料交換與分享、全球運籌智慧管理等，各項作業之間互相關聯牽扯，與一般單一功能的資訊管理工具運作難以相提並論，其安全問題也相對變得複雜。以授權管控為例，就必須從導入開始就要做對做好，這也是拉長防禦縱深原理的實踐。

7.1.4 ERP系統的安全防禦授權管理

以角色為基礎的存取控制

       資料庫管理系統通常預設使用者已經被電腦系統驗證過合法身分，所以，資料庫管理系統將重心放在資料庫中個別部分的存取控制防護機制上，存取控制權的限制範圍可含括到整個資料庫、個別的表單、表單中個別的行、列或欄位等。

       此外，在資料庫或ERP系統的使用者中，個別的使用者所被授權存取的程式、資料或流程不盡相同，必須要根據個別的職務身分來指定不同項目的授權組合 (屬於自己的授權套案)，此種模式由美國國家標準局提出，稱為「以角色為基礎的存取控制」(Role-based access control, RBAC) 模式。

       MF2000的權限管理設計，採用結合資料庫管理系統與個別職務身分授權組合的方式，符合資訊安全防護之洋蔥式防禦模型 (圖7-3)，拉長保護資料的防禦縱深，確保用戶的利益。³⁹

       應用層軟體的安全防禦縱深模式可舉例說明如下⁴⁰。假設有一財務長在家中或出差在外，須要透過網路遠端簽入回公司的系統來更改某一客戶的資料。他必須以手邊的電腦透過網際網路與公司建立安全的連線 (VPN)，方能進入公司的ERP系統。

       隨著公司規模的成長，ERP系統的導入是勢在必行的，因為公司營運資訊的e化，能讓公司營運的資訊更加透明化，為企業營運者的決策帶來更多的資訊利基，進而提升企業整體競爭力。

       然而，資訊e化同時也伴隨著資訊安全的保密風險，沒有良好的資安管理，不僅會讓企業日常作業的內稽內控無法有效落實，更嚴重還可能造成公司機密外洩，甚至發生違法的事件。

權限掌控的漏洞危機

       根據2011年美國Ponemon Institute與HP合作的研究報告結果指出，在全球超過5,000多位企業IT及資安管理的訪問對象中，有15% 的受訪者認為公司對資料取得的權限掌控不佳，也有將近11% 的受訪者認為取得資料的權限實際上無法被有效辨識。

       雖然這樣的研究結果看似比重不高，然而一旦因為權限掌控的漏洞而危害到公司營運資訊的保密性與精確性時，將造成公司無法抹滅的創傷與損失。有鑑於此，為了有效降低資安洩漏的風險，EPR系統是否具備正確且嚴謹的權限管控是不可或缺的評估項目。

       除此之外，同份報告中亦指出，有23% 的受測者表示他們擁有一些不屬於他們工作職責範圍內的權限，其中有三分之一的原因是因為個人的權限並未因應他們的職務異動而正確地被調整。

       這樣的問題則反映了另一個ERP系統權限管理落實的隱憂：即便有嚴謹的權限控管機制，但若未能及時地配合公司人員的職務異動或權責重劃做適當地調整，則會導致權限管理規劃與落實大打折扣 (RBAC原理)。

彈性落實正確的權限控管

       因此，在評估EPR系統的過程中，除了要釐清系統是否能夠滿足正確且嚴謹的權限控管需求外，仍需了解這樣的權限控管機制是否能靈活地因應公司內部的人事職務異動，而做出適當地對應調整。

       例如當人員進行部門輪調或職務調整時，系統能否藉由所屬部門的變更或甚至以權限群組的方式做調整，來快速完成該職員所應授予權限的重新劃分，以求彈性地落實正確的權限控管機制。

企業所遭遇的資安攻擊

       此外，企業資料檔案被竄改與竊取的問題相當嚴重。美國聯邦政府與許多專業機構最近共同完成的「2014年網路犯罪調查報告」《2014 US State of Cybercrime Survey》⁴¹，訪問了超過500位的企業執行長、資安專家與公私部門人員，受訪的對象中，無論是資訊人員或非資訊人員都認為他們所受到的攻擊，與以下這些資安機制類別極為相關：

1. 以職能角色為基礎的身分驗證 (role-base authentication)。

2. 存取控制 (access control)。

3. 權限管理 (right management)。

4. 客戶資料遭竄改或竊取 (customer records compromised or stolen)。

5. 未經授權的存取使用資料、系統與網路 (unauthorized access/use of data, systems, and networks)。

       無論是財務金融業、電通資訊業、政府公部門、醫療健康業或保險業的受訪者，均認為以上五種是與攻擊最相關的資安機制類別。由這些類別可以知道，如果能把權限管控做好，對降低這些資安傷害將會有很大的幫助。

7.2 範例：MF2000的權限控管機制設計

企業的資訊資產

       企業運作的核心在提高管理績效、創造穩定利潤，進而實現永續經營的終極目標。如何達到以上目標，管理者很自然地會習慣將資源聚焦在生產與行銷事務上，在導入ERP及執行資訊管理作業後，也大都會集中心力在管理這些與經營直接相關的活動，卻忽略了資訊安全與管理作業安全的潛在風險。

       如前節所述，資訊安全的範疇不單單是防禦駭客對電腦設備的攻擊而已；實際上，所謂企業的資訊資產 (information assets) 即包括了企業所擁有的硬體設備、軟體程式、資料與資通網路資源；資訊安全即在妥善保護這四項資產，維持其正常的運作。所以說，資訊安全永遠是商業性的決策 (business decision)，而非技術面的考慮。

MF2000把關企業資訊安全

       ERP是伴隨企業成長的重要工具，強固永續經營基礎的利器，當然不可忽略ERP本身結構與操作程序的安全考量和機制設計。本節僅以MF2000 ERP中的系統登錄、訂單管理與庫儲管理等工具為例，非常簡約地說明MF2000如何在ERP系統中落實「以角色為基礎的存取控制」與洋蔥式縱深防禦模型，來爲企業的資訊安全與作業安全把關。

       我們將權限管理的範疇概略分為「系統登入權限」、「使用者權限管理」、「資訊查閱權限」、「作業執行權限」與「基本作業執行權限管理」等五個層次來說明防禦縱深。聯合資訊MF2000在權限管理方面尚有許多的功能設計，我們必須強調，因囿於篇幅無法在此一一詳述。

7.2.1 系統登入權限管理授權管理

身分驗證機制

       第一層防禦是指使用者登入系統的身分驗證 (authentication) 機制，採取使用者登錄控管，以雙重登錄通行碼驗證把關。基於內稽內控的考量，管制合法使用者才能進入系統，並保存進入系統後的作業歷史記錄以資查證；因此，人員登入系統之通行碼控管是不可或缺的關卡，尤其是人資或財務相關人員的帳號控管更攸關公司重要營運機密的維護，一定要杜絕外洩的可能性。

       除了系統上的通行碼控管與加密功能外，ERP系統廠商也應更周全地為客戶的資訊機密安全把關，提供資料庫資料加密功能，如此才能更嚴謹地杜絕有心人士直接進入資料庫竊取機密資訊。

7.2.2 使用者權限管理

合法使用者的權限管理

       第二層防禦著重在對既有合法使用者的權限管理機制。鑑於公司員工 (ERP系統使用者) 分佈在各部門、各階層及各廠區，有不同的職務權責與隸屬關係，時常發生調動或調整職務，以及新進或離職的情況。

       如果沒有一套有效的使用者權限管理機制，萬一高階或重要帳號被盜用或誤用，將對系統安全與企業運作產生重大威脅，一旦出事也無法釐清責任歸屬或不能有效進行災後復原與重建。

       爲此，MF2000採用「以角色為基礎的存取控制」概念，提供以功能群組而非個人為對象的使用者權限管理機制，只要設定好個別人員與群組之間的隸屬關係，則使用者安全管理作業就變得很簡單有效。

       圖7-4顯示，MF2000以簡潔的操作畫面、下拉式選單與滑鼠遊標，將「訂單管理」的使用權限授與代號為"USER"的群組中每一位成員，權限管理作業 (授與或收回) 便捷、快速又安全。

7.2.3 資訊查閱權限管理

控管資訊查閱

       第三層防禦在控管資訊查閱的權限，目的是為了避免人員逾權查閱資訊或異動單證的風險。無論是在平時作業時的資訊控管，例如庫管人員不可看到貨原物料的成本/單價，或基於個資保密的考量，員工身分證字號或密碼以星字編碼顯示；又或是在歷史單證查閱權限之控管，例如不同業務部門人員不能跨部門查閱客戶訂單。

       而ERP系統的資訊查閱權限管理可大致分為三大主要評估項目：

1. 單證開啟/異動權限 (單證開啟異動過濾條件、單證權限控管 ─ 權限編號)

        基於內稽內控與流程之控管，各種單證必須依照不同的狀況與條件進行開啟及異動的權限控管。舉例來說，採購單一旦經過權責主管的簽核，就不應再開放給一般人員開啟及異動；倘若不然，就有可能發生送交廠商的採購單內容與主管簽核結果是不一致的現象，因而違反了內稽內控原則。

2. 欄位查看/異動權限 (欄位RDW權限控管，BY個人/群組)

        為了因應不同企業間對於人員可否異動或查閱欄位內容的權限有不同的管理規範，資料運用權限的彈性控管機制是評估ERP系統時相當重要的項目。例如，在系統上是否能因企業規範之需要，設定不同人員在維護商品基本資料內容時，是否顯示商品平均成本、商品牌價等重要資訊，以求更正確且嚴謹的資訊查閱權限管制。

3. 紀錄查詢權限 (過濾條件設定 ─ 人員、單位、物控、狀況、單證權限控管 ─ 權限編號)

        查閱歷史紀錄的權限控管機制對於ERP系統也是非常重要的評估要點。即便是同企業各部門之間都可能有不同的權責規範，例如採購單位的不同小組不能查閱其它小組的詢價紀錄，但採購單位的主管則需要權限查看負責部門內的所有詢議比價過程並進行分析，ERP須能在系統上因應各階人員所負職責進行適當的權限控管。

7.2.4 作業執行權限管理

權限管理細緻化

       第四層防禦為第三層的進階運用。在實務上，企業運作細膩又繁複，ERP系統當然也必須一樣。在第三層，我們以群組方式整體授權相關使用者某特定工具程式的權限。但MF2000中每一個工具都包含了眾多的個別功能程式，用以進行相關作業，以「庫儲管理」為例，就有14支功能程式來完成作業。

       然而，各細項作業的承辦人或負責人並不一定相同，也就是說使用者與個別程式之間的權限對應關係必須再做更細緻的規範，才能使安全控管更加強固。圖7-5顯示，MF2000可將「庫儲管理」中的每一支功能程式，對群組USER成員進行個別單支程式 (圖中的物件基本資料登錄) 授權，將權限管理細緻化，資訊安全又多一層保障。

7.2.5 基本作業執行權限管理

作業安全控管

       第五層防禦在結合資訊安全控管與管理作業安全控管的權限。針對人員是否授權執行單證之處理與核定作業，在系統上有效地進行權責劃分的管控，例如一般業務人員只能將客戶訂單拋轉請購單或生產通知；若人員被授予採購或開立生產計劃的權責，則可執行拋轉請採購單或生產計劃之作業。此類權限控管的評估項目又可分成兩大項目：

作業執行權限

1. 作業執行權限 (作業執行權限控管、作業執行合法性檢核)

        實務上，即便隸屬於公司同一個部門的職員，每位人員的作業內容及被賦予的權責不盡相同；因此，如何在系統上有效且適當地進行作業執行授權，是評估一個ERP系統的規範結構與公司現行規章是否相符的重要指標。舉例來說，同屬財會部門的兩位員工可能各自負責開立銷項發票與應收立帳，因此在系統上的作業執行權限也需依各自的權責區分開來。

單證簽核權限

2. 單證簽核權限 (系統核定額度控管、電子簽核流程、預算管制、客戶授信額度控管、逾期帳款管制)

        因應各種內稽內控及公司政策的規範，系統上的單證簽核流程必須要符合公司所需的控管機制，譬如不同交易金額的採購單須經由不同層級的主管簽核，又像是客戶交易的授信額度控管或逾期帳款管制也是企業間不可或缺的控管原則。因此在評估ERP系統對於企業內部的適用性時，也應將系統單證簽核的控管機制列為重點的評估項目。

       圖7-6顯示，MF2000即使對「訂單管理」程式使用權限已進行了第四層的防禦設定，還可以再進一步針對細部的「訂單確認」作業設定其核准權限，將資訊安全控管與管理作業安全控管予以結合，權限安全管理工作可輕鬆地一氣呵成。

       資訊安全風險是企業風險的一部分，必須有效予以控管。綜合上述評估項目，企業決策者在採購ERP系統的過程中，系統權限控管的完整性、嚴謹度及後續維護便捷性都是很重要的評估標的，唯有正確且彈性地將公司權限控管機制落實於ERP系統中，才能有效且永續地防範及杜絕資訊安全缺失的情事發生，不致減損ERP所能提供的管理效益。

落實資訊安全管理以確保企業永續經營

       現代化企業做好資訊安全管理的目的，在確保企業能永續經營。ERP系統的建制所費不貲，當公司上自經營者下至基層員工，無不投入相當的努力來導入ERP系統的同時，千萬不要忽略資訊安全的重要性。

       對ERP系統權限管控方面的工作，從專案伊始到系統上線都要關注且謹慎看待其中的風險，由系統設定到權限管理機制的建立與執行，都要以「計劃、執行、檢視、行動」(PDCA循環) 的精神持續查核與改進；否則若成為資安防護的最弱鏈結，ERP系統其他模組功能導入再順利，也算不上是一個成功的ERP專案，終會因此而功虧一簣。

       MF2000提供完善的權限管控方法，必能協助用戶做好資安防護及發揮ERP系統的最大效用。

³⁴P. J. Denning, "Fault tolerant operating systems", ACM Computing Surveys, 8(4): pp.359–389, (December 1976).

³⁵FIPS 199 (Federal Information Processing Standard Publication 199, Standards for Security Categorization of Federal
    Information and Information Systems)；標準全文可參考 http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final

³⁶"The security goal that generates the requirement for actions of an entity to be traced uniquely to that entity." – William
     Stallings and Lawrie Brown, Computer security-principle and practice.

³⁷Jerry H. Saltzer, Mike D. Schroeder (September 1975). "The protection of information in computer systems", Proceedings of
    the IEEE 63(9).

³⁸van de Riet, R. Janssen, W., de Gruijter, P., Security moving from database systems to ERP systems, Proceedings of
    Database and Expert Systems Applications, 1998.

³⁹洋蔥模式的防禦縱深 (The onion model of defense in depth) 概念與「以角色為基礎的存取控制」(Role-based access control,
    RBAC)。

⁴⁰Michael G. Solomon and Mike Chapple, Information Security Illuminated, Jones and Bartlett, ISBN- 13: 9780763726775,
    2005.

⁴¹美國聯邦政府安全相關主管單位連續第12年完成的網路犯罪調查報告，http://www.pwc.com/en_US/us/increasing-it-
    effectiveness/publications/assets/2014-us-state-of-cybercrime.pdf