安全區(qū)域)，為保證提供一定級別的安全保護所必須遵守的一系列條例、規(guī)則?！卑踩呗栽敿氁?guī)定了ERP系統(tǒng)允許的各種安全活動和違規(guī)行為的懲罰措施，穩(wěn)妥可行、細致周密的安全策略規(guī)劃是成功建設安全防護設施的前提和基礎。

 “安全策略體系是指安全策略的建立、執(zhí)行、審核、修訂等;安全技術體系包括身份認證和授權、訪問控制、數(shù)據(jù)的冗余備份、系統(tǒng)的監(jiān)控、審計等;安全運作體系包括人員的組織建設、技術人員的工作內(nèi)容和工作考核等?！?/span>

  企業(yè)建設保障ERP系統(tǒng)安全的技術體系、運作體系應當與企業(yè)的安全目標和安全策略相一致。企業(yè)ERP系統(tǒng)的安全體系建設，包括企業(yè)內(nèi)部局域網(wǎng)的安全建設，與合作企業(yè)、分支機構(gòu)聯(lián)網(wǎng)的安全建設等。企業(yè)既要加強ERP系統(tǒng)的安全性，又不能以降低系統(tǒng)性能為代價。

3.安全防護體系的設計原則。

   在工作流程上，“事前”，建立高安全的ERP系統(tǒng)，選擇高安全應用服務協(xié)議，及時了解信息技術上、人員管理上的動態(tài)變化，修補系統(tǒng)漏洞，避免被惡意利用;。“事中”，針對各種不同的安全威脅，綜合安全防火墻、入侵防護系統(tǒng)、系統(tǒng)自身的網(wǎng)絡安全設置、數(shù)據(jù)庫權限、操作規(guī)范、操作人員管理等多種手段進行防護;“事后”，實現(xiàn)保存系統(tǒng)工作日志，科學的備份策略，和事故應急預案等多策并舉。具體設計原則主要有：

  （1）在設計和規(guī)劃ERP系統(tǒng)的安全防護設施之前，應當對信息安全技術的發(fā)展趨勢和黑客攻擊技術的最新變化，以及ERP技術的進展和可能面臨的風險隱患有充分的了解，并提高相關的安全意識。

  （2）企業(yè)應當了解所要實施的ERP系統(tǒng)的技術特點和實施的實際情況(包括系統(tǒng)構(gòu)架、業(yè)務流程、功能環(huán)節(jié)及運行狀況等)，了解相關安全需求，基于系統(tǒng)工程理論對ERP系統(tǒng)的具體操作人員、硬件設備、軟件平臺、數(shù)據(jù)傳輸及存儲、網(wǎng)絡環(huán)境以及運行流程等環(huán)節(jié)進行定性和定量的綜合分析，確認要重點防護的環(huán)節(jié)、面臨的安全風險威脅，找出薄弱環(huán)節(jié)、縮小漏洞范圍，由此制定安全目標和安全策略，做好事故應急預案和代價限度。

  （3）ERP系統(tǒng)的安全防護設施是一個整體性、綜合性的系統(tǒng)工程，不是某個安全技術措施單獨能夠防護的，任何一個微小的漏洞都會導致系統(tǒng)整體崩潰。在建設安全防護設施時應該將現(xiàn)有各種安全組件、管控措施有機地組合起來，優(yōu)化配置，部署于ERP系統(tǒng)的正確的位置，協(xié)同配合，共同防護，由此全面、全方位地提高安全防護水準，提高了防護效率、效果，超越任何單一安全組件單打獨斗式極低的防護效果。

 （4）由于ERP系統(tǒng)面臨的安全威脅是不斷變化的，因此安全設施的建設應當根據(jù)安全目標、安全策略有序地組織起來，構(gòu)建立體布局、流程化、動態(tài)化的安全防護體系。建設技術手段與管理體系的并重、進行流程控制的安全防護體系。

   從技術層面上提高物理層、鏈路層、網(wǎng)絡層、應用層等方面的安全防護技術手段，在管理體系上，制定嚴格的管理制度，建立科學的、嚴密的崗位分工與組織，并進行經(jīng)常性的維護、檢查。

 （5）企業(yè)建設的安全防護體系應當有相應的、健全的評價規(guī)范和準則，可以進行定性定量的風險評估，可以匯總出整個ERP系統(tǒng)安全防護體系的整體結(jié)構(gòu)和所采用的安全工具與措施，確定安全防護體系的建設是否實現(xiàn)了安全目標與安全策略。

 （6）在設計規(guī)劃安全防護設施時，應當使其適應企業(yè)目前業(yè)務活動特點、業(yè)務人員水平和滿足ERP系統(tǒng)正常運行的要求，而且由于信息技術的發(fā)展，安全防護設施的建設也是一個循序漸進、不斷完善的過程，因此，安全防護設施的建設要實現(xiàn)可用性、可靠性、可擴充性、完整性、機密性和可伸縮性間的全面結(jié)合。

    項目經(jīng)理勝任力免費測評PMQ上線啦！快來測測你排多少名吧~

    http://www.vanceur.cn/pmqhd/index.html