由于ERP系統的復雜性，以及企業在建設維護ERP系統時受到的技術條件、人員素質等各種條件的限制，導致ERP系統存在多種安全風險。要加強ERP系統的安全風險防范工作，就需要正確識別ERP系統運行管理中存在的安全風險和成因。一般來說，ERP系統的安全風險主要有以下幾個方面：

1.不可抗外力災害的安全威脅。由于自然災害、意外事故等不確定的客觀原因造成如系統硬件的損壞、網絡中斷及數據丟失等的威脅。

2.管理疏忽導致的事故的安全威脅。由于企業管理不規范、不嚴謹，相關人員監管不力，用戶身份認證及權限管理不嚴，操作人員誤操作以及業務不熟練等主觀原因造成的事故威脅。

3.系統缺陷導致事故的安全威脅。由于受構建企業ERP系統平臺時的技術條件、網絡產品、通信協議等方面限制，在硬件設備質量不過關、操作系統平臺安全漏洞、服務器配置有誤、系統設計缺陷、網絡協議漏洞、缺乏有效監控手段等方面的安全隱患造成的事故威脅;

4.惡意攻擊的安全威脅。企業內部員工或外界黑客和其他入侵者為了獲得不當利益、竊取商業秘密、獵奇心理等惡意破壞行為造成的事故威脅。

5.其他因素造成的安全威脅。如系統故障、病毒和其他惡意軟件的傳播攻擊、缺乏安全備份機制、數據基礎資料不準確、系統維護力量投入不足等造成事故的威脅。其中，管理與技術方面的缺陷和黑客病毒的攻擊是威脅ERP系統安全的的主要風險。

二、安全防護體系建設的安全策略

1.安全防護體系建設的設計目標。

由于目前信息技術發展的局限性，絕對安全是不存在的，最多只能通過實施一定預防措施，把風險威脅降低到一定程度，實現風險威脅可控、可以挽回損失。

因此，ERP系統規劃和實施的首要目標是建立ERP系統的安全保障體系，以保護企業的信息資產的安全，建設技術和管理上的安全防護措施，提供用戶身份認證、操作授權、網絡安全檢測和病毒攻擊的防范等安全功能，以保護ERP系統中的硬件、軟件及數據的安全穩定、完整有效和機密性，預防因惡意或偶然的原因使系統或數據信息遭到破壞、篡改和泄漏從而最終造成企業的嚴重經濟損失。

“ERP系統安全項目要保護的資源包括ERP系統的軟硬件資源和數據資源。硬件資源主要包括數據庫服務器、應用服務器和客戶端計算機，以及傳輸網絡;軟件資源包括服務器上的操作系統、數據庫管理系統DBMs、應用服務器軟件以及客戶端計算機上的應用瀏覽器等。數據信息資源是ERP系統的最寶貴財富。”

2.安全防護體系建設的設計思路。

要構建一個完善的、高效的企業ERP系統安全體系結構，必須先制定一整套安全策略規劃。安全策略是實施企業信息與網絡安全體系的基礎。

企業ERP系統要建設一個安全高效的安全防護體系，必須先制定有針對性的安全策略。ERP系統的“安全策略，是指在一個特定的環境里(安全區域)，為保證提供一定級別的安全保護所必須遵守的一系列條例、規則。”

安全策略詳細規定了ERP系統允許的各種安全活動和違規行為的懲罰措施，穩妥可行、細致周密的安全策略規劃是成功建設安全防護設施的前提和基礎。

“安全策略體系是指安全策略的建立、執行、審核、修訂等;安全技術體系包括身份認證和授權、訪問控制、數據的冗余備份、系統的監控、審計等;安全運作體系包括人員的組織建設、技術人員的工作內容和工作考核等。”

企業建設保障ERP系統安全的技術體系、運作體系應當與企業的安全目標和安全策略相一致。

企業ERP系統的安全體系建設，包括企業內部局域網的安全建設，與合作企業、分支機構聯網的安全建設等。企業既要加強ERP系統的安全性，又不能以降低系統性能為代價。

3.安全防護體系的設計原則。

在工作流程上，“事前”，建立高安全的ERP系統，選擇高安全應用服務協議，及時了解信息技術上、人員管理上的動態變化，修補系統漏洞，避免被惡意利用;。“事中”，針對各種不同的安全威脅，綜合安全防火墻、入侵防護系統、系統自身的網絡安全設置、數據庫權限、操作規范、操作人員管理等多種手段進行防護;“事后”，實現保存系統工作日志，科學的備份策略，和事故應急預案等多策并舉。具體設計原則主要有：

(1)在設計和規劃ERP系統的安全防護設施之前，應當對信息安全技術的發展趨勢和黑客攻擊技術的最新變化，以及ERP技術的進展和可能面臨的風險隱患有充分的了解，并提高相關的安全意識。