(2)企業(yè)應(yīng)當(dāng)了解所要實(shí)施的ERP系統(tǒng)的技術(shù)特點(diǎn)和實(shí)施的實(shí)際情況(包括系統(tǒng)構(gòu)架、業(yè)務(wù)流程、功能環(huán)節(jié)及運(yùn)行狀況等)，了解相關(guān)安全需求，基于系統(tǒng)工程理論對(duì)ERP系統(tǒng)的具體操作人員、硬件設(shè)備、軟件平臺(tái)、數(shù)據(jù)傳輸及存儲(chǔ)、網(wǎng)絡(luò)環(huán)境以及運(yùn)行流程等環(huán)節(jié)進(jìn)行定性和定量的綜合分析，確認(rèn)要重點(diǎn)防護(hù)的環(huán)節(jié)、面臨的安全風(fēng)險(xiǎn)威脅，找出薄弱環(huán)節(jié)、縮小漏洞范圍，由此制定安全目標(biāo)和安全策略，做好事故應(yīng)急預(yù)案和代價(jià)限度。

(3)ERP系統(tǒng)的安全防護(hù)設(shè)施是一個(gè)整體性、綜合性的系統(tǒng)工程，不是某個(gè)安全技術(shù)措施單獨(dú)能夠防護(hù)的，任何一個(gè)微小的漏洞都會(huì)導(dǎo)致系統(tǒng)整體崩潰。在建設(shè)安全防護(hù)設(shè)施時(shí)應(yīng)該將現(xiàn)有各種安全組件、管控措施有機(jī)地組合起來(lái)，優(yōu)化配置，部署于ERP系統(tǒng)的正確的位置，協(xié)同配合，共同防護(hù)，由此全面、全方位地提高安全防護(hù)水準(zhǔn)，提高了防護(hù)效率、效果，超越任何單一安全組件單打獨(dú)斗式極低的防護(hù)效果。

(4)在設(shè)計(jì)規(guī)劃安全防護(hù)設(shè)施時(shí)，應(yīng)當(dāng)使其適應(yīng)企業(yè)目前業(yè)務(wù)活動(dòng)特點(diǎn)、業(yè)務(wù)人員水平和滿足ERP系統(tǒng)正常運(yùn)行的要求，而且由于信息技術(shù)的發(fā)展，安全防護(hù)設(shè)施的建設(shè)也是一個(gè)循序漸進(jìn)、不斷完善的過(guò)程，因此，安全防護(hù)設(shè)施的建設(shè)要實(shí)現(xiàn)可用性、可靠性、可擴(kuò)充性、完整性、機(jī)密性和可伸縮性間的全面結(jié)合。

(5)由于ERP系統(tǒng)面臨的安全威脅是不斷變化的，因此安全設(shè)施的建設(shè)應(yīng)當(dāng)根據(jù)安全目標(biāo)、安全策略有序地組織起來(lái)，構(gòu)建立體布局、流程化、動(dòng)態(tài)化的安全防護(hù)體系。建設(shè)技術(shù)手段與管理體系的并重、進(jìn)行流程控制的安全防護(hù)體系。

從技術(shù)層面上提高物理層、鏈路層、網(wǎng)絡(luò)層、應(yīng)用層等方面的安全防護(hù)技術(shù)手段，在管理體系上，制定嚴(yán)格的管理制度，建立科學(xué)的、嚴(yán)密的崗位分工與組織，并進(jìn)行經(jīng)常性的維護(hù)、檢查。

(6)企業(yè)建設(shè)的安全防護(hù)體系應(yīng)當(dāng)有相應(yīng)的、健全的評(píng)價(jià)規(guī)范和準(zhǔn)則，可以進(jìn)行定性定量的風(fēng)險(xiǎn)評(píng)估，可以匯總出整個(gè)ERP系統(tǒng)安全防護(hù)體系的整體結(jié)構(gòu)和所采用的安全工具與措施，確定安全防護(hù)體系的建設(shè)是否實(shí)現(xiàn)了安全目標(biāo)與安全策略。

三、安全防護(hù)體系建設(shè)的措施

1.重視基礎(chǔ)設(shè)施建設(shè)，合理設(shè)置信息安全架構(gòu)。

應(yīng)依據(jù)ERP系統(tǒng)的特點(diǎn)和確定的安全目標(biāo)、安全策略以建設(shè)一個(gè)合理的、完善的安全架構(gòu)體系，根據(jù)系統(tǒng)的功能特點(diǎn)和面l臨的安全風(fēng)險(xiǎn)，合理地劃分安全區(qū)域，統(tǒng)一規(guī)劃安全設(shè)施、網(wǎng)絡(luò)設(shè)施、共享的信息資源范圍等，增強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控。

根據(jù)職能和部門(mén)、內(nèi)網(wǎng)和外網(wǎng)的不同，對(duì)網(wǎng)絡(luò)、系統(tǒng)平臺(tái)之間進(jìn)行合理、有效的區(qū)域隔離和訪問(wèn)控制，實(shí)現(xiàn)“應(yīng)用分區(qū)、安全分級(jí)、網(wǎng)絡(luò)分層”，對(duì)核心設(shè)備、核心環(huán)節(jié)的安全進(jìn)行重點(diǎn)防護(hù)，從而實(shí)現(xiàn)ERP系統(tǒng)的安全目標(biāo)、規(guī)避和控制安全風(fēng)險(xiǎn)。

根據(jù)安全的等級(jí)，網(wǎng)絡(luò)環(huán)境和具體模塊功能的不同，ERP系統(tǒng)的安全防護(hù)區(qū)域可以具體劃分為：網(wǎng)絡(luò)核心區(qū)、服務(wù)器接人區(qū)、辦公網(wǎng)接入?yún)^(qū)、網(wǎng)絡(luò)安全監(jiān)控管理區(qū)、廣域網(wǎng)接人區(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，區(qū)域間使用安全技術(shù)設(shè)備加以隔離。

對(duì)用戶(hù)的工作域及用戶(hù)名稱(chēng)和權(quán)限，應(yīng)按職能和部門(mén)的不同進(jìn)行規(guī)范，統(tǒng)一設(shè)置，加以區(qū)別。

2.加強(qiáng)系統(tǒng)平臺(tái)安全防護(hù)措施，保證網(wǎng)絡(luò)和設(shè)備的安全。

根據(jù)安全目標(biāo)和安全體系構(gòu)架的要求，根據(jù)最新技術(shù)進(jìn)展，對(duì)ERP系統(tǒng)平臺(tái)進(jìn)行二次開(kāi)發(fā)和系統(tǒng)補(bǔ)丁升級(jí)，增加相關(guān)的實(shí)時(shí)監(jiān)測(cè)、控制功能，及時(shí)進(jìn)行漏洞、木馬病毒、對(duì)外重要接口的安全掃描和修補(bǔ)工作，由此完善軟件、硬件的安全功能。同時(shí)，統(tǒng)一規(guī)劃并加強(qiáng)以下幾方面的安全控制：身份認(rèn)證、操作權(quán)限管理、訪問(wèn)控制、信息保密及完整、系統(tǒng)實(shí)時(shí)監(jiān)控及日志記錄，對(duì)于所開(kāi)放的權(quán)限和系統(tǒng)服務(wù)按照滿足生產(chǎn)操作所需的最小程度嚴(yán)格限定，從源頭上預(yù)防安全風(fēng)險(xiǎn)，保證網(wǎng)絡(luò)和設(shè)備的安全、完整、準(zhǔn)確。對(duì)于二次開(kāi)發(fā)的軟件、硬件必須經(jīng)過(guò)安全檢測(cè)才可投入運(yùn)行。

對(duì)于外網(wǎng)遠(yuǎn)程訪問(wèn)ERP系統(tǒng)內(nèi)數(shù)據(jù)庫(kù)，一般采用虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)，通過(guò)安全加密通道連接傳輸，增強(qiáng)保密和認(rèn)證作用，防止重要數(shù)據(jù)在傳輸線路上被截取。

3.設(shè)立防火墻和入侵檢測(cè)系統(tǒng)，加強(qiáng)訪問(wèn)控制和對(duì)木馬病毒、惡意攻擊等的防范。

ERP系統(tǒng)服務(wù)器所用的防火墻采用軟硬件結(jié)合的方式，軟件防火墻一般只起到數(shù)據(jù)包過(guò)濾、系統(tǒng)運(yùn)行監(jiān)控以及服務(wù)器工作狀態(tài)監(jiān)控等，硬件防火墻將軟件防火墻集成在硬件設(shè)備內(nèi)，通過(guò)專(zhuān)門(mén)的安全控制芯片與軟件協(xié)調(diào)