4 月 12 日消息，中国裁判文书网披露了一份华为员工利用公司系统 Bug 越权访问机密数据的案件。

华为员工易某因工作需要，利用公司系统 Bug拥有登录华为企业资源计划 （ERP）系统的权限，查看工作范围内相关数据信息。

2010 年 12 月，易某从华为公司线缆物控部调任后，未按华为公司的要求将 ERP 账户线缆类编码物料价格的查询权限清理，至 2017 年底，易某违反规定多次通过越权查询、借用同事账号登录的方式在 ERP 系统内获取线缆物料的价格信息。

2017 年以后，易某发现 ERP 系统中的 POL 采购小程序存在漏洞，能通过特定操作绕过权限控制查看系统数据，便以此方式获取线缆物料的价格信息。易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司（华为技术有限公司的供应商），从而帮助金信诺公司在华为公司的招标项目中提高中标率。

在 2016 年 12 月 27 日至 2018 年 2 月 28 日期间，多次通过公司邮箱将华为多个供应商共 1183 个（剔除重复部分共 918 个）线缆类编码物料的采购价格发送给金信诺公司。其在 2012 年至 2017 年 6 月 30 日期间，收受金信诺公司购物卡共计 7000 元、篮球鞋 5 双（价值共计人民币 16437．6 元）。

案发后，华为公司出具谅解书，表示对易某侵害华为公司的行为予以谅解。

据悉，法院一审裁定，易某犯非法获取计算机信息系统数据罪，判处有期徒刑一年，并处罚金人民币二万元；并向易某追缴违法所得共计人民币 23437．6 元，依法予以没收，上缴国库。

易某提起上诉，请求撤销原审判决，并依法改判为免于刑事处罚。法院二审裁定，易某非法获取计算机信息系统数据，违法所得超过人民币 5000 元，属于情节严重，已经构成非法获取计算机信息系统数据罪。原审判决认定事实清楚，证据确实充分，定罪准确，量刑适当，审判程序合法，驳回上诉，维持原判。

什么是ERP

ERP（Enterprise resource planning，企业资源计划）是整合了企业管理理念、业务流程、基础数据、人力物力、计算机硬件和软件的企业资源管理系统，主要由“物流”“财流”“信息流”“人流”构成。

根据2003年信息产业部颁布的《企业信息化技术规范》，ERP系统主要包括库存、采购、营销、BOM、车间任务管理、工艺、MRP、成本、人力资源、质量管理、经营决策、总账、自动分录、应收应付、固定资产等功能模块。

物联网时代的工业4．0浪潮下，传统的ERP行业已经逐渐退出历史舞台，取而代之的是云ERP。

云ERP有分为公有化部署和私有化部署。所谓公有化部署，就是将ERP软件部署在类似阿里云、华为云这样的公有云厂商服务器上，按年交年费给ERP厂商。私有化部署则是将ERP软件部署在客户自己的服务器上，国内代表有金蝶和用友。传统ERP的销售是一次性的，而公有化部署的云ERP将彻底变成一项续费业务。

云ERP具有灵活敏捷、实施周期短、运维成本低、升级方便、安全性高等特点，可以通过对内部数据和外部数据的挖掘、分析和洞察，以产生ERP所不具备的链接能力、预测能力。

ERP是宝箱也是弱点

对企业而言，ERP是一个充满价值的数据宝箱，也是一个致命的弱点。

ERP系统涵盖了公司的知识产权以及员工和客户的个人身份信息，也是黑客攻击的重点对象。无论企业的ERP系统是在本地还是在云端，都很容易受到攻击

ERP安全性通常缺乏技术漏洞测试和渗透测试。典型的 ERP 环境经常容易成为被攻击的标靶，其中包括网络主机、Web 组件、数据库、胖客户端和移动应用程序。

对于此弱点，企业能做的就是在安全技术方面仔细审查ERP环境，例如日志记录和警报、多因素身份查验、数据丢失防护和云访问安全代理，以确保只有有业务需求的用户才能访问ERP环境。

使用常识和一致性监督是两个关键的，只有定期且不间断地进行ERP安全测试，团队定期审查安全运营中心审计报告，并查看最新漏洞和渗透测试报告的副本，才能确保数据宝箱不被暴露在可预防的弱点之下。