(2)企業應當了解所要實施的ERP系統的技術特點和實施的實際情況(包括系統構架、業務流程、功能環節及運行狀況等)，了解相關安全需求，基于系統工程理論對ERP系統的具體操作人員、硬件設備、軟件平臺、數據傳輸及存儲、網絡環境以及運行流程等環節進行定性和定量的綜合分析，確認要重點防護的環節、面臨的安全風險威脅，找出薄弱環節、縮小漏洞范圍，由此制定安全目標和安全策略，做好事故應急預案和代價限度。

(3)ERP系統的安全防護設施是一個整體性、綜合性的系統工程，不是某個安全技術措施單獨能夠防護的，任何一個微小的漏洞都會導致系統整體崩潰。在建設安全防護設施時應該將現有各種安全組件、管控措施有機地組合起來，優化配置，部署于ERP系統的正確的位置，協同配合，共同防護，由此全面、全方位地提高安全防護水準，提高了防護效率、效果，超越任何單一安全組件單打獨斗式極低的防護效果。

(4)在設計規劃安全防護設施時，應當使其適應企業目前業務活動特點、業務人員水平和滿足ERP系統正常運行的要求，而且由于信息技術的發展，安全防護設施的建設也是一個循序漸進、不斷完善的過程，因此，安全防護設施的建設要實現可用性、可靠性、可擴充性、完整性、機密性和可伸縮性間的全面結合。

(5)由于ERP系統面臨的安全威脅是不斷變化的，因此安全設施的建設應當根據安全目標、安全策略有序地組織起來，構建立體布局、流程化、動態化的安全防護體系。建設技術手段與管理體系的并重、進行流程控制的安全防護體系。

從技術層面上提高物理層、鏈路層、網絡層、應用層等方面的安全防護技術手段，在管理體系上，制定嚴格的管理制度，建立科學的、嚴密的崗位分工與組織，并進行經常性的維護、檢查。

(6)企業建設的安全防護體系應當有相應的、健全的評價規范和準則，可以進行定性定量的風險評估，可以匯總出整個ERP系統安全防護體系的整體結構和所采用的安全工具與措施，確定安全防護體系的建設是否實現了安全目標與安全策略。

三、安全防護體系建設的措施

1.重視基礎設施建設，合理設置信息安全架構。

應依據ERP系統的特點和確定的安全目標、安全策略以建設一個合理的、完善的安全架構體系，根據系統的功能特點和面l臨的安全風險，合理地劃分安全區域，統一規劃安全設施、網絡設施、共享的信息資源范圍等，增強對網絡的監控。

根據職能和部門、內網和外網的不同，對網絡、系統平臺之間進行合理、有效的區域隔離和訪問控制，實現“應用分區、安全分級、網絡分層”，對核心設備、核心環節的安全進行重點防護，從而實現ERP系統的安全目標、規避和控制安全風險。

根據安全的等級，網絡環境和具體模塊功能的不同，ERP系統的安全防護區域可以具體劃分為：網絡核心區、服務器接人區、辦公網接入區、網絡安全監控管理區、廣域網接人區、外聯網接入區，區域間使用安全技術設備加以隔離。

對用戶的工作域及用戶名稱和權限，應按職能和部門的不同進行規范，統一設置，加以區別。

2.加強系統平臺安全防護措施，保證網絡和設備的安全。

根據安全目標和安全體系構架的要求，根據最新技術進展，對ERP系統平臺進行二次開發和系統補丁升級，增加相關的實時監測、控制功能，及時進行漏洞、木馬病毒、對外重要接口的安全掃描和修補工作，由此完善軟件、硬件的安全功能。同時，統一規劃并加強以下幾方面的安全控制：身份認證、操作權限管理、訪問控制、信息保密及完整、系統實時監控及日志記錄，對于所開放的權限和系統服務按照滿足生產操作所需的最小程度嚴格限定，從源頭上預防安全風險，保證網絡和設備的安全、完整、準確。對于二次開發的軟件、硬件必須經過安全檢測才可投入運行。

對于外網遠程訪問ERP系統內數據庫，一般采用虛擬專用網(VPN)技術，通過安全加密通道連接傳輸，增強保密和認證作用，防止重要數據在傳輸線路上被截取。

3.設立防火墻和入侵檢測系統，加強訪問控制和對木馬病毒、惡意攻擊等的防范。

ERP系統服務器所用的防火墻采用軟硬件結合的方式，軟件防火墻一般只起到數據包過濾、系統運行監控以及服務器工作狀態監控等，硬件防火墻將軟件防火墻集成在硬件設備內，通過專門的安全控制芯片與軟件協調