(2)企業(yè)應(yīng)當(dāng)了解所要實施的ERP系統(tǒng)的技術(shù)特點和實施的實際情況(包括系統(tǒng)構(gòu)架、業(yè)務(wù)流程、功能環(huán)節(jié)及運行狀況等)，了解相關(guān)安全需求，基于系統(tǒng)工程理論對ERP系統(tǒng)的具體操作人員、硬件設(shè)備、軟件平臺、數(shù)據(jù)傳輸及存儲、網(wǎng)絡(luò)環(huán)境以及運行流程等環(huán)節(jié)進(jìn)行定性和定量的綜合分析，確認(rèn)要重點防護的環(huán)節(jié)、面臨的安全風(fēng)險威脅，找出薄弱環(huán)節(jié)、縮小漏洞范圍，由此制定安全目標(biāo)和安全策略，做好事故應(yīng)急預(yù)案和代價限度。

(3)ERP系統(tǒng)的安全防護設(shè)施是一個整體性、綜合性的系統(tǒng)工程，不是某個安全技術(shù)措施單獨能夠防護的，任何一個微小的漏洞都會導(dǎo)致系統(tǒng)整體崩潰。在建設(shè)安全防護設(shè)施時應(yīng)該將現(xiàn)有各種安全組件、管控措施有機地組合起來，優(yōu)化配置，部署于ERP系統(tǒng)的正確的位置，協(xié)同配合，共同防護，由此全面、全方位地提高安全防護水準(zhǔn)，提高了防護效率、效果，超越任何單一安全組件單打獨斗式極低的防護效果。

(4)在設(shè)計規(guī)劃安全防護設(shè)施時，應(yīng)當(dāng)使其適應(yīng)企業(yè)目前業(yè)務(wù)活動特點、業(yè)務(wù)人員水平和滿足ERP系統(tǒng)正常運行的要求，而且由于信息技術(shù)的發(fā)展，安全防護設(shè)施的建設(shè)也是一個循序漸進(jìn)、不斷完善的過程，因此，安全防護設(shè)施的建設(shè)要實現(xiàn)可用性、可靠性、可擴充性、完整性、機密性和可伸縮性間的全面結(jié)合。

(5)由于ERP系統(tǒng)面臨的安全威脅是不斷變化的，因此安全設(shè)施的建設(shè)應(yīng)當(dāng)根據(jù)安全目標(biāo)、安全策略有序地組織起來，構(gòu)建立體布局、流程化、動態(tài)化的安全防護體系。建設(shè)技術(shù)手段與管理體系的并重、進(jìn)行流程控制的安全防護體系。

從技術(shù)層面上提高物理層、鏈路層、網(wǎng)絡(luò)層、應(yīng)用層等方面的安全防護技術(shù)手段，在管理體系上，制定嚴(yán)格的管理制度，建立科學(xué)的、嚴(yán)密的崗位分工與組織，并進(jìn)行經(jīng)常性的維護、檢查。

(6)企業(yè)建設(shè)的安全防護體系應(yīng)當(dāng)有相應(yīng)的、健全的評價規(guī)范和準(zhǔn)則，可以進(jìn)行定性定量的風(fēng)險評估，可以匯總出整個ERP系統(tǒng)安全防護體系的整體結(jié)構(gòu)和所采用的安全工具與措施，確定安全防護體系的建設(shè)是否實現(xiàn)了安全目標(biāo)與安全策略。

三、安全防護體系建設(shè)的措施

1.重視基礎(chǔ)設(shè)施建設(shè)，合理設(shè)置信息安全架構(gòu)。

應(yīng)依據(jù)ERP系統(tǒng)的特點和確定的安全目標(biāo)、安全策略以建設(shè)一個合理的、完善的安全架構(gòu)體系，根據(jù)系統(tǒng)的功能特點和面l臨的安全風(fēng)險，合理地劃分安全區(qū)域，統(tǒng)一規(guī)劃安全設(shè)施、網(wǎng)絡(luò)設(shè)施、共享的信息資源范圍等，增強對網(wǎng)絡(luò)的監(jiān)控。

根據(jù)職能和部門、內(nèi)網(wǎng)和外網(wǎng)的不同，對網(wǎng)絡(luò)、系統(tǒng)平臺之間進(jìn)行合理、有效的區(qū)域隔離和訪問控制，實現(xiàn)“應(yīng)用分區(qū)、安全分級、網(wǎng)絡(luò)分層”，對核心設(shè)備、核心環(huán)節(jié)的安全進(jìn)行重點防護，從而實現(xiàn)ERP系統(tǒng)的安全目標(biāo)、規(guī)避和控制安全風(fēng)險。

根據(jù)安全的等級，網(wǎng)絡(luò)環(huán)境和具體模塊功能的不同，ERP系統(tǒng)的安全防護區(qū)域可以具體劃分為：網(wǎng)絡(luò)核心區(qū)、服務(wù)器接人區(qū)、辦公網(wǎng)接入?yún)^(qū)、網(wǎng)絡(luò)安全監(jiān)控管理區(qū)、廣域網(wǎng)接人區(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，區(qū)域間使用安全技術(shù)設(shè)備加以隔離。

對用戶的工作域及用戶名稱和權(quán)限，應(yīng)按職能和部門的不同進(jìn)行規(guī)范，統(tǒng)一設(shè)置，加以區(qū)別。

2.加強系統(tǒng)平臺安全防護措施，保證網(wǎng)絡(luò)和設(shè)備的安全。

根據(jù)安全目標(biāo)和安全體系構(gòu)架的要求，根據(jù)最新技術(shù)進(jìn)展，對ERP系統(tǒng)平臺進(jìn)行二次開發(fā)和系統(tǒng)補丁升級，增加相關(guān)的實時監(jiān)測、控制功能，及時進(jìn)行漏洞、木馬病毒、對外重要接口的安全掃描和修補工作，由此完善軟件、硬件的安全功能。同時，統(tǒng)一規(guī)劃并加強以下幾方面的安全控制：身份認(rèn)證、操作權(quán)限管理、訪問控制、信息保密及完整、系統(tǒng)實時監(jiān)控及日志記錄，對于所開放的權(quán)限和系統(tǒng)服務(wù)按照滿足生產(chǎn)操作所需的最小程度嚴(yán)格限定，從源頭上預(yù)防安全風(fēng)險，保證網(wǎng)絡(luò)和設(shè)備的安全、完整、準(zhǔn)確。對于二次開發(fā)的軟件、硬件必須經(jīng)過安全檢測才可投入運行。

對于外網(wǎng)遠(yuǎn)程訪問ERP系統(tǒng)內(nèi)數(shù)據(jù)庫，一般采用虛擬專用網(wǎng)(VPN)技術(shù)，通過安全加密通道連接傳輸，增強保密和認(rèn)證作用，防止重要數(shù)據(jù)在傳輸線路上被截取。

3.設(shè)立防火墻和入侵檢測系統(tǒng)，加強訪問控制和對木馬病毒、惡意攻擊等的防范。

ERP系統(tǒng)服務(wù)器所用的防火墻采用軟硬件結(jié)合的方式，軟件防火墻一般只起到數(shù)據(jù)包過濾、系統(tǒng)運行監(jiān)控以及服務(wù)器工作狀態(tài)監(jiān)控等，硬件防火墻將軟件防火墻集成在硬件設(shè)備內(nèi)，通過專門的安全控制芯片與軟件協(xié)調(diào)