供应链信息安全管理范文

时间:2023-12-29 17:50:57

导语:如何才能写好一篇供应链信息安全管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

供应链信息安全管理

篇1

现代供应链中无论是企业内部的生产、销售订单、合作企业的生产进度,还是企业间的资金转帐、招投标信息,都是需要高度保密的敏感信息,这些信息的准确性、机密性将直接影响到供应链企业的生产和经营决策[2]。在供应链中,由于信息在节点企业间共享,对信息安全提出了新的要求:(1)信息安全不再是某个企业个体的事情,而是整条供应链所有节点企业共同面临的问题,任何一家企业由于自身原因导致的信息安全事故,将可能危害整条供应链的利益。供应链信息安全保障工作要远比单个企业复杂。(2)供应链上下游企业形成“委托—”关系,具有优势的方往往倾向于增加信息不对称,来获得额外的利益。(3)由于供应链企业间共享的信息具有较高的商业价值,有些企业为了自身利益,可能会将共享的信息泄露给供应链外企业。如何既保证节点企业间的信息共享,又防止企业泄露信息、身份欺诈等有害行为的发生是供应链信息安全需要研究的问题。

2供应链信息安全现状与问题

目前,我国企业在供应链管理的实践中,对供应链信息安全或者重视不够或者束手无策,存在一些较为突出的问题。

(1)信息安全意识淡薄目前我国很多供应链节点企业没有意识到信息是重要资产,没有把信息安全管理工作作为日常工作的重点。据北京谷安天下公司开展的《2011年度中国企业员工信息安全意识调查》活动结果显示,受访者的工作胸卡保管、个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、尾随、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑桌面安全等相关安全意识相对较差。

(2)信息安全管理无章可循、有章不循现象普遍供应链信息安全工作缺乏统一的依据和准则,节点企业的安全制度互相间存在内容交叉甚至矛盾,边界定义不明确,安全职责模糊不清,部门责任和岗位责任制得不到真正落实,执行监督机制薄弱。许多企业对移动存储设备的使用无严格规定,员工可以随意使用移动存储设备对文件进行存储备份,企业信息逐步成为个人资产,随着人员流动而广泛传播。员工工作时间上网畅通无阻,无限制地使用QQ、MSN等传送、接收文件,容易导致机密泄露和病毒、木马、黑客的攻击。掌握大量机密信息的特权员工,例如数据库管理员、网络管理员、营销主管和技术研发人员容易将掌握的机密信息出售给企业的竞争对手。

(3)缺乏信息安全技术与管理人才信息化建设中存在重硬件,轻软件和管理的现象,对信息人才的培养与引进关注不够。为了节约人力成本,往往一个信息安全管理员既要负责系统的配置,又要负责系统安全管理,管理权限过于集中,一旦出现管理员的权限失控或离职等情况,极易导致重要信息泄露。

(4)缺乏统一的信息安全战略规划和防范机制许多企业的信息安全措施随意性很强,缺少严格的科学论证,采取的是“贴膏药”式的安全策略,从而引起软硬件安全设备(系统)间防护功能的重叠和弱化,导致管理难度加大,重复投资现象普遍[6]。有些企业经常出现“先业务,后安全”的现象[7],安全管理严重滞后于业务的发展。安全事件发生后才去解决,信息安全人员变成“救火员”,安全建设经常是“亡羊补牢”。

(5)供应链企业之间信息的共享与交流存在安全问题供应链各节点企业在合作过程中一再强调依靠信息共享实现双赢,但又都是独立的利益个体,一旦企业之间发生利益冲突,则容易出现的主要问题有:①合作伙伴的逆向选择风险[8]。由于信息不对称,各节点企业形成的“委托—”关系往往导致了一种逆向选择的风险。委托方往往比方处于更不利的位置,企业往往通过阻碍信息共享,增加供应链中信息的不对称,从合作伙伴那里获得更大利益。②供应链节点企业的败德行为。当前我国企业与供应链(网络信息犯罪)相关法律法规不健全的法制环境下,节点企业会利用信息优势而采取一些违背供应链整体利益或者其它成员企业利益的措施。企业会主动或有意将供应链内共享的信息泄露给没用参与共享的企业来获得额外利益。企业成员间还存在欺诈行为,如不法企业利用身份欺骗,以某企业成员的名义,欺骗其他企业成员[9]。诸如此类败德行为如不加控制会降低供应链的服务水准,导致供应链其余节点企业、顾客的不满和利益流失。

3供应链信息安全体系框架

供应链信息安全系统中的各个安全组件或要素只有整合成为一个整体协同作用时,才能有效保证整体安全管控的目标得以实现。然而,对于我国大多数供应链企业说,信息安全存在上述诸多问题,主要原因是在信息安全建设之初,没有根据供应链整体业务发展的需要确立合理的信息安全需求,导致供应链信息安全架构不合理。供应链信息安全框架旨在为供应链及其节点企业提供一个全面的、自上而下的、结合了国际国内相关安全标准的安全模172型[1]。供应链信息安全框架由企业信息安全治理、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系五个模块构成。安全治理作为架构的核心内容,是安全管理模块的服务对象,同时,它们也是信息安全策略制定的基础和依据,还是基础安全服务和架构模块中的各个子系统提供选择和建设的依据。基础安全服务和架构模块是信息安全建设技术需求和功能的实现者,是信息安全建设的重要支柱。中间的安全管理模块则通过一系列控制措施,确保基础安全服务功能的实现,最终实现安全治理的要求,满足供应链系统的信息安全需求。供应链信息技术标准体系为供应链和第三方信息安全服务与认证机构提供了标准保障和依据,有利于形成健康法制的第三方信息安全服务市场环境。第三方信息安全服务与认证机构可弥补供应链企业信息安全技术和经验的不足,提供安全托管及信息安全认证服务。

4供应链信息安全体系框架的应用

供应链信息安全框架参考了众多企业所积累的经验,吸取了供应链信息安全领域的最新理论研究成果。在具体运用中可结合信息安全相关方法论、模型及标准,从企业需求出发,参照供应链信息安全管理框架,通过评估和风险分析等方法,定义供应链及其节点企业安全需求,再根据安全需求定义信息安全建设的内容和方向,如图2所示。图2供应链信息安全体系框架应用。

5结论

篇2

1.1卷烟企业安全管理现状

在一个企业中,安全管理是支撑企业的核心,特别是对于生产企业而言,安全责任重于泰山。随着信息化的不断发展,企业的信息化建设和应用水平的不断提高,类似办公OA系统、ERP和EMS等办公系统的建设在不断完善,被广泛采用。信息化是企业提高管理效率、提高核心竞争力的有力手段,但在卷烟行业中,部分企业在信息化和安全管理的融合过程中做得不够完善,对信息化的重要性和信息化带来的高效率等方面认识不足,因此,加快卷烟生产企业信息化的建设工作势在必行。

1.2原因分析

造成卷烟生产企业管理现状的原因是多方面的:①意识淡薄。没有充分认识到信息化给卷烟生产安全管理带来的革命性变化,忽视了信息化建设。②资金缺乏。卷烟企业没有足够的资金支持信息化建设,造成信息化建设滞后。③技术匮乏。这是制约卷烟生产企业信息化建设的主要原因,缺乏必要的技术支持必然会造成信息化建设滞后。具体而言,还有以下几个方面的原因。

1.2.1安全管理人员队伍素质偏低

在进行信息化建设过程中,必然需要具备专业知识的人才。在大多数卷烟生产企业中,相关专业的人员素质较低,在信息化的应用和建设方面存在一定的障碍和劣势,进一步制约了卷烟企业的发展。

1.2.2安全信息系统投入风险较大

信息安全系统的建设是一项复杂、长期的工作,需要长时间的设计和调试。在企业中进行大量的资金投入是建成信息系统的必要基础,但由于其具有的不确定性和回报周期较长等特点,在资金投入时,必然会影响到管理层的决策。

1.2.3安全信息系统建成模式单一

在我国当前的信息安全信息化建设中,模式单一是其弊端,原因是可借鉴的经验和先例较少,且在现行的信息建设平台中,大部分采用了相同的工作方式和运行原理,缺乏新意,创新程度较低,进一步制约了信息安全的发展。

2卷烟企业安全管理信息化建设的意义

加强卷烟生产企业安全管理信息化建设有重要的意义和作用,是实现卷烟企业长久发展、提高效率的重要保证。在信息化高速发展的今天,信息化对于任何一个企业而言都具有重要的意义,是实现现代化的重要手段。卷烟企业实现信息化后将大大提高企业的生产效率。

2.1是现代烟草农业发展的客观要求

在当今社会中,信息已成为一种重要资源,成为推动社会发展和进步的重要支柱。信息化的发展必然会推动现代烟草业的发展,使卷烟生产更具系统化和专业化,从而提高卷烟的生产效率。在现代卷烟生产中,卷烟行业具有的分散性、时变性和经验性等都是制约卷烟行业进一步发展的因素,而信息化是解决卷烟行业中存在问题的有力武器,信息化会渗透到卷烟生产行业的各个环节和领域,改造传统的卷烟生产,从而带动现代烟草行业的进一步发展。

2.2是现代烟草物流发展的必然选择

我国烟民人群庞大,但因其分散程度较高,因此,必须有效发展烟草物流。烟草行业要想打造现代烟草农业,必然要进一步推动烟草物流业的发展。信息化提高了烟草物流的时效性和连续性,降低了烟草物流的成本,使物流的可操作性得到了进一步提高。信息化可在物流的分拣、配送和综合管理等方面发挥重要的作用,使烟草产业的供应链更加优化,进一步提高供应链的准确性、时效性。

2.3可有效加强烟草行业安全生产管理

信息化可对卷烟生产的各个环节进行监督管理,使卷烟行业监管更具效率,提高了卷烟的生产效率。卷烟质量是卷烟生产企业的重中之重,信息化安全信息管理的建设可有效提高检测水平和质量,及时发现并整改生产环节中存在的问题和缺陷,提高了卷烟行业的安全性,从而确保了卷烟生产的质量。

3卷烟企业信息化建设的措施和建议

3.1提高思想认识

信息化的首要前提是提高思想认识,只有更多的人认识到信息化的重要性和必要性,才会促使更多的资源流入这方面。要提高单位领导的意识,在现代企业的竞争中,谁能掌握第一手资料,便能掌握先机,从而获得更多机会,信息的充足程度决定了企业的发展程度;要提高单位职工的认识,企业的发展与每一个员工息息相关,因此,身为企业的一份子,要将企业的利益放在首位,理解信息化对企业的重要性。

3.2开展人才培训

信息化建设是一个复杂的专业领域,需要有大量的专业人才参与其中,才可有效建立和完善。因此,加大人才的培养力度是加快企业信息化的重要步骤之一。要建立完整的信息处理平台,就要要求各部门协同配合、共同工作。只有各部门团结一致,才能更快地建立完整的信息处理平台。

4结束语

篇3

 

1、企业网络信息安全管理的现状分析

 

1.1、钢铁企业信息化的必要性分析

 

随着我国经济的发展和科技的进步,信息化已在越来越多的企业中被得到应用,而钢铁企业作为我国的经济支柱之一,在近年来也逐渐实现了钢铁企业的信息化建设。在钢铁企业中实施信息化建设,一方面是可以将钢铁企业的发展空间扩大,提高企业本身的在市场的竞争力,使其在如今竞争激励的市场中占有一席之地,对钢铁企业实施信息化建设是企业发展的需要;另一方面,由于钢铁企业的业务,其所涉及到数据、文档和图纸等的数量都是比较多的,想要将这些数据、文档和图纸储存起来是一件不容易的事,操作起来比较复杂,而通过信息化技术的支持则可以大大的简化了这个储存操作的过程,便于人员进行操作,使钢铁企业的运行效率得到大大的提高,对钢铁企业实施信息化建设是企业管理的需要。除此之外,随着生产链全球化和供应链全球化的日益紧密,钢铁企业作为我国的经济支柱之一,要求其利用信息化管理加强对钢铁生产建设的指导的迫切性已是越来越突出。因此,对钢铁企业实施信息化建设是非常有必要的,它不仅仅是钢铁企业本身发展的需要,也是钢铁企业管理的需要,同时也还是生产链全球化和供应链全球化对钢铁企业生产的要求所在。

 

1.2、当前存在的问题

 

上述信息化优势证明我国电力企业近年来关于网络信息化建设取得了一些成果,给行业信息化建设打下了良好的基础,但在网络信息安全管理方面仍普遍存在较多问题。

 

(1)信息化机构建设不健全

 

钢铁企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。

 

(2)企业管理阻碍信息化发展

 

有些钢铁企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。

 

(3)内部监管不足,相关法规不够完善

 

内部网络安全监管对信息安全管理起着至关重要的作用。很多信息安全案件发生的根本原因都是缺乏有效的网络安全监管,即使许多信息安全管理者认识到了加强内部监管的重要性,但实施起来依然阻力重重。很多具体的危害信息安全的行为并没有在现行的信息安全法律、法规中做出明确的界定。

 

(4)身份认证缺陷

 

电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。

 

(5)软件系统安全风险较大

 

软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windowsXP系统的服务支持,大量使用windowsXP系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。

 

(6)管理人员意识不足

 

很多钢铁企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。

 

2、完善企业网络信息安全方案的具体实施

 

2.1、防火墙部署

 

防火墙是建立在内部专有网络和外部公有网络之间的。所有来自公网的传输信息或从内网发出的信息都必须穿过防火墙。网络访问的安全一方面我们要配置防火墙禁止对内访问,以防止互联网上黑客的非法入侵;另一方面对允许对内访问的合法用户设立安全访问区域。防火墙是在系统内部和外部之间的隔离层,可保护内部系统不被外部系统攻击。

 

通过配置安全访问控制策略,可确保与外界可靠、安全连接。防火墙的功能是对访问用户进行过滤,通过防火墙的设置,对内网、公网、DMZ区进行划分,并实施安全策略,防止外部用户或内部用户彼此之间的恶性攻击。同时防火墙支持VPN功能,对经常出差的领导、员工支持远程私有网络,用户通过公网可以象访问本地内部局域网一样任意进行访问。此外,防火墙还可以收集和记录关于系统和网络使用的多种信息,为流量监控和入侵检测提供可靠的数据支持。

 

2.2、防病毒系统

 

计算机网络安全建设中其中最为关键的一个部分即是加强对防病毒系统的建设,这就需要在实际工作中,通过科学合理对防病毒系统进行装置,从而实现对病毒的集中管理,利用中心控制室来对局域网的计算机和服务器进行有效的监视,从而加强病毒的防范。而对于进入到计算机系统内的病毒则需要做出及时的影响,预以及时清除。

 

2.3、流量监控系统

 

什么是流量监控?众所周知,网络通信是通过数据包来完成的,所有信息都包含在网络通信数据包中。两台计算机通过网络“沟通”,是借助发送与接收数据包来完成的。所谓流量监控,实际上就是针对这些网络通信数据包进行管理与控制,同时进行优化与限制。流量监控的目的是允许并保证有用数据包的高效传输,禁止或限制非法数据包传输,一保一限是流量监控的本质。在P2P技术广泛应用的今天,企业部署流量监控是非常有必要的。

 

2.4、合理的配置策略

 

通过将企业网络划分为虚拟网络VLAN网段,这样不仅可以有效的增加网络连接的灵活性,而且可以对网络上的广播进行有效的控制,减少没必要的广播,从而有效的释放带宽,不信有效的提高网络利用率,而且使网络的安全性和保密性能得到有效的提升,确保了网络安全管理的实现。

 

2.5、安全管理制度

 

目前我国还没有制订统一的网络安全管理规范,所以在当前网络安全不断受到威胁的情况下,需要我们首先在设计上对安全功能进行完善,其次还要加强网络安全管理制度的建立,并确保各种安全措施得以落实。对于企业中安全等级要求较高的系统,则需要由专人进行管理,实行严格的出入管理,利用不同手段对出入人员进行识别和登记管理,从而确保企业网络信息的安全性。

 

总之,在计算机技术、信息技术和网络技术的发展下,企业在生产活动中都建立了属于自己的局域网和企业办公平台,从而使企业在生产和经营过程中的数据传输速度加快,而且业务系统及管理系统以网络分支的情况下分布开来,这对于企业管理效率的提升起到了积极的作用。网络技术在企业中的应用,有效的改变了企业的生产方式,推动了企业的快速发展,但其也带来了一定的隐患,如果不能及时对网络的安全进行有效的防范,则会给企业带来严重的经济损失。

 

作者:施雅芳 来源:城市建设理论研究 2014年35期

篇4

 

1 信息环境下的企业管理路径

 

1.1 完善管理信息化建设体制

 

企业要加快管理信息系统建设,规范信息化标准体系,提高管理的信息化水平。首先,企业要成立信息化管理部门,负责企业信息化建设项目的全面推进,并且结合企业信息环境和管理需求制定信息化工作管理制度、专项经费管理制度、信息化工作考核制度等,保障信息系统建设制度化开展。其次,明确管理信息系统建设重点,如生产指挥调度管理系统、资金管理系统、会计核算系统、移动办公系统、物资采购管理系统等,提高企业对各项经营活动的管控能力。最后,建立信息化标准体系,包括技术支撑、基础建设、安全保障、业务应用等方面的标准,从而确保企业管理信息系统建设项目的质量。

 

1.2 建设企业ERP系统

 

企业要结合经营管理实际情况,引入ERP系统,从供应链管理层面推动物流、资金流与信息流的有机整合,提高企业集成化、信息化管理水平,提升企业供应链运作效率。在ERP系统的支持下,企业要实现财务业务一体化管理,完善财务管理系统功能,促使业务产生的信息实时传递到财务部门进行处理,同时也将财务信息、财务报告及时提供给企业管理层进行查阅,并将其作为企业经营决策的可靠依据。

 

1.3 优化人力资源信息化管理

 

在信息环境下,为进一步提升企业的管理水平,应当在现有的基础上,对人力资源信息化管理进行优化。首先,企业应当建立起一个相对完善的且包含绩效考核、员工培训、人才能力管理的信息化系统,并通过对相关流程的梳理,促进企业管理规范化和标准化,从而全面提升企业的人力资源管理效率。其次,企业可将一些重要的项目作为契机,实现人力资源与企业管理要求的对接,遵循现代企业管理的思维方式,开展相关的人力资源信息化管理工作,如员工绩效考核、领导干部测评等,借助项目成果,提升企业人力资源的整体管理水平,由此能够推动企业在信息环境下的稳定、持续发展。

 

1.4 加强信息化建设中的风险管理

 

企业在建设信息化的过程中不可避免地会面临各种风险,为此,企业应当采取有效的方法和措施加强风险管理。企业应当建立相对完善的风险防范机制,在该机制建立的过程中,要对管理信息系统开发中的所有风险予以充分考虑,针对风险因素进行有效的管理。实践证明,大多数风险都可以通过相应的方法进行防控,其前提是需要对风险进行准确的识别,但必须指出的是,风险本身具有不确定性和随机性的特点,并且有些风险是很难进行预防和控制的,因此,企业在开发管理信息系统时,必须制订出一套能够应对突发意外事件的方案,从而在意外发生时,能够进行解决,避免造成损失。

 

2 保障企业信息安全的体系构建

 

在信息环境下,信息安全是企业开展管理信息化建设面临的重大问题之一,直接关系到企业管理信息化水平的提升。为此,企业要结合管理实际需求,构建起信息安全保障体系,具体实施措施如下。

 

2.1 加强网络安全管理

 

企业在加强网络安全管理的过程中,可采取如下技术措施。

 

2.1.1 对远程接入进行严格控制近年来,虚拟专用网络技术(VPN)获得了快速发展,由此大幅度降低了远程接入给企业带来的风险,与此同时,移动办公的出现,在一定程度上促进了远程接入的发展,为确保远程接入的安全性,企业可以应用USB KEY身份认证或是动态口令等方式,对远程接入进行安全控制。

 

2.1.2 IPSec企业内网中存在一些非受控终端,这些终端的存在给黑客提供了访问企业网络的路径,为确保网络信息的安全性,企业可以应用IPSec,由此能够对内部终端进行管理和控制。

 

2.1.3 入侵检测这是防火墙的一项补充技术,能够对网络传输进行实时监控,当检测到可疑的数据信息传输后,会自行发出报警。通过入侵检测,可以使企业对来自外部的恶意攻击进行有效的防范。

 

2.1.4 确保无线网络安全大部分企业的办公区域内都有无线网络覆盖,其在给企业和用户带来便利的同时,也给信息安全带来了一定的隐患。为确保无线网络安全,企业应当采用比较安全的协议,如WPA或WPA2等,也可借助EAP协议对无线网络进行访问控制。

 

2.2 加强访问控制

 

在信息环境下,企业可以通过加强访问控制,来确保网络信息安全,具体可采取如下技术措施。

 

2.2.1 密码策略相关研究结果表明,密码的强度等级越高,破解所需的时间越长,正因如此,使得提高企业用户的密码强度等级成为访问控制最为有效的手段之一,为此,企业应当制定合理可行的密码策略,并借助相关的技术措施确保策略的执行。

 

2.2.2 权限管理企业应当对身份管理平台进行完善,以此为依托对员工的权限进行管理,并实行企业内部网络应用单点登录的策略。

 

2.2.3 构建公匙系统该系统是访问控制的核心,通过它能够有效提高无线网络访问授权、VPN接入的安全水平。

 

2.3 加强信息安全监控与审计

 

企业在加强信息安全的监控与审计方面,可以采取如下技术措施。

 

2.3.1 扫描病毒这是一种较为有效的网络信息安全监控手段,通过防病毒软件系统,可以对病毒进行自动扫描,并针对操作系统存在的漏洞,自动进行相关“补丁”的更新,由此大幅度提升了桌面终端的安全性。这种技术措施需要将客户端安装在企业用户的终端设备上,当终端与企业内网进行连接时,病毒扫描软件便会启动,并对将要接入的终端设备进行评估,通过之后,才能与企业内网连接。

 

2.3.2 防控体系针对网络黑客的恶意攻击,企业应当构建相应的防控体系,该体系可由以下几个部分组成:能够实时更新的防病毒软件、可以过滤掉不安全信息、邮件及非法网页的网关、入侵检测系统等。

 

2.3.3 记录与审计企业应当配置日志审计系统,借助该系统对信息安全事件进行收集,进而生成审计记录,据此对安全事件进行分析,并采取有效的措施加以解决处理。

 

2.4 加强员工信息安全培训

 

在信息环境下,企业网络信息安全需要凭借全体员工来维护,为此,企业应当加强对员工信息安全方面的培训,借此来增强他们的信息安全意识。为使培训效果最大化,必须保证培训工作的实效性,首先,要做好网络管理人员的技术技能培训工作,可将培训的重点放在网络设备的安装与调试以及软件的配置上。其次,应加大对企业领导层的培训,通过培训使领导层认识到提高网络信息安全的重要性和安全管理体系建设的必要性,以便获得他们的支持,使信息安全管理工作的开展更加顺利。最后,应当加大对网络客户端上用户的培训,培训的重点为实际操作,并在培训完毕后,制定相关的管理制度,要求用户严格执行,从而确保网络信息的安全。

 

3 结 论

 

在信息环境下,企业要积极推动管理信息化建设,将其渗透到物流管理、人力资源管理、财务管理等多个管理领域,从而不断提高企业管理效率。与此同时,企业也要认清管理信息化建设带来的信息安全问题,针对信息安全管理的薄弱环节制定有效的管理措施,做好员工信息安全培训工作,保障企业管理信息系统建设的顺利实施,不断提高企业信息化管理水平。

篇5

1.1网络层面。在SaaS模式下云服务供应商大都通过因特网向用户提供应用软件服务。而在因特网环境下,蠕虫、恶意代码、黑客攻击等安全问题无处不在,攻击者利用病毒、攻击脚本等各类手段截获网络传输过程中的重要用户数据,甚至进一步入侵服务器获取权限或破坏数据。

1.2应用层面。在SaaS模式下,对于电子政务系统的建设,政府多是只进行投资建设,而搭建架构及运维均外包给服务供应商。如果没有建立完善的身份鉴别和访问控制措施,恶意的,有时候甚至是善意的云服务供应商行为可能会越权或滥用权限获取客户的数据及应用。

1.3数据层面。在SaaS模式下,系统的数据安全可靠性完全依赖于软件服务供应商,而自身对数据的控制能力相对较弱。如果安全措施不完善,服务器管理员或数据库管理员极有可能直接对数据库中存储的用户敏感数据进行查询、复制等操作,从而导致信息丢失或泄露。VerizonBusiness最新的数据泄漏调查报告显示,在所有信息泄露事件中,48%事件是由于内部员工滥用权限所致。

1.4管理层面。“三分技术七分管理”,可见管理在信息安全管理体系的重要性。服务供应商的管理制度不完善可能会造成员工安全意识薄弱,人员分配上没有明确的制度和规则从而导致,人员管理混乱,责任不明确,一旦出现安全事故无法及时补救,事后追溯时,又无法找到主要责任人。

2基于SaaS的电子政务系统的安全策略

2.1网络层面。为了防止在因特网环境下的蠕虫、恶意代码及攻击行为对客户端计算机和服务端计算机的入侵,客户端和服务端都应采取有效的防恶意代码及入侵防护等安全措施,并提供必要的网络审计类措施进行安全事件回溯,服务端除了常使用的网络防火墙、IDS、IPS设备外,还可通过部署虚拟蜜罐系统加强对重要业务系统的防护。

2.2应用层面。应用层面包括身份鉴别、访问控制、安全审计等方面。身份鉴别是安全防御体系中的最基本组成部分,也是防止非授权访问的最主要手段。换而言之,身份鉴别是访问控制和安全审计的前提。为了加强鉴别措施,SaaS云服务提供商除了采用传统的“用户名+口令”的鉴别方式之外,还应该添加两种以上组合鉴别方式,例如动态口令、智能卡的令牌认证、指纹、虹膜等的用户身份鉴别方式。访问控制方面,SaaS服务供应商应严格限制不同访问者的访问权限,对敏感数据进行隔离。同时SaaS服务供应商应该对安全日志作定期的分析并生成报表,确保在发生安全事件时,有据可查。

2.3数据层面。在SaaS模式下服务端存放用户数据隶属于多个租户,而传统的信息系统中,用户数据往往存储在各自服务器数据库中。因此SaaS云服务提供商应当在采用有效的隔离措施及访问控制措施来确保同一系统不同租户间的数据保密性,防止由于应用程序的漏洞造成用户数据泄漏或破坏。同时,云服务供应商应具有完善的灾备措施和系统恢复能力,以便在发生数据泄漏或破坏时,进行及时恢复。对于SaaS模式的电子政务系统,由于其对因特网的依赖性较大,所有数据的传输大都通过互联网,极有可能被恶意用户监听截获。因此一旦涉及到核心数据、敏感数据的传输与存储,就应当采用加密方式,如通过SSL通道或VPN隧道等途径。同时在存储过程中也应采取加密技术,可大大降低云服务提供商窃取用户重要信息的可能性。

2.4管理层面。信息安全的核心实际上是管理,安全技术只是实现管理的一种手段[4]。管理层面上,应确保能够接触客户信息或业务数据的各类人员具备履行其信息安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查,在人员调动或离职时履行安全程序,对于违反信息安全规定的人员进行处罚。此外,应制定应急响应计划及事件处理计划,并定期演练,确保在紧急情况下重要信息资源的可用性。加强对安全事件的预防、检测、分析、控制,并对已发生的事件进行跟踪、记录并向相关人员报告。并应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。

3结束语

篇6

【关键词】 互联网 集成定制 信息系统 两化融合

一、引言

随着信息化和工业化的不断融合,个性化需求与规模化制造之间的矛盾正在通过互联网管理信息系统进行不断调和。尤其是制式装备的规模化、低成本生产与个性化的需求正在通过互联网信息系统扩大信息收集范围来进行规模化定制。如制式服装的生产,就经历了以下几个阶段。

在第一阶段,工厂按照计划生产制式装备,根本不了解装备主体的需求,更不用说个性化需求。如90年代前的军装、警服的配给。基层单位按照大致需求领取制式服装,再由着装人员进行挑选和试穿,排在后边的人员往往不能领取到合适的服装,而只能借助于腰带等附件来固定和美化。这种方式的特点是生产规模化提高,成本较低,但浪费极大,且不能满足个性化需求。

在第二阶段,基层单位通过一定的计算机管理或手工管理,采集成员的个性化需求后交给上级单位指定的生产单位进行定制。满足个性化需求,但由于管理范围偏小,且管理程序复杂,不能实现规模化制造。因此,单价或单套的价格以及业务的管理费用都不低。

基于互联网的大规模集成定制阶段,是通过互联网来收集更大范围内的制式装备的个性化需求,并通过对需求信息进行归类形成大规模需求订单,从而满足大规模低成本制造的同时,还能较好满足个性化需求。如警员对警服的需求除公安部、司法部的统一规定外,还有腰围、腿围、袖长、裤长、领围等方面的个性化需求。这种管理的复杂性将大大提升,必须要借助于先进的信息系统和管理思想来实现。

二、基于互联网的制式服装大规模集成定制系统及其关键因素

大规模集成定制系统(Large-scale Integrated Manufacturing Information System,简称为LIMIS)是20世纪90年代以来逐渐发展、演变,并成为制式装备的主流范式。是指在具有创新精神的组织和管理内,利用先进的信息技术,通过智能和柔性管理手段,集成供应链上业务管理体系、生产制造工艺、柔性物流、智能识别以及标准化配置等资源和要素,以大规模、低成本、高速度的生产,为体系内个体进行定制的管理及服务模式。涉及到关键技术主要有大规模集成定制的标准,同一体系内的个体信息采集,信息分类及统一的定制和分发步骤,历史数据管理与装备计划生成,以及信息安全管理(见图1)。

1、大规模集成定制的标准。按照标准经济学说理论,制式装备产品与配发标准与大规模集成定制系统发展之间可能存在双向关系,即标准的颁布和实施会促进制式产品大规模集成定制系统发展,从而带来经济和社会效益增进;而大规模集成定制的发展也可能进一步推动国家相应制式产品和配发标准化体系的发展。

制式装备产品和配发标准首先需要将制式产品的组件、工艺等分为可标准化和个性化两个部分,如制式服装的组成部分需要固定,号型需要在可大规模制造的号型范围内,从而在将定制范围扩大的情况下实现单品数量规模化,甚至每件衣服的个性化标识如名牌和编号的规范化表示也有助于规模化集成定制。

2、体系内个体信息采集与信息综合。由于制式服装的个性化和规模化集成定制之间存在矛盾,因此需要将个体信息采集范围扩大,为便于个体信息采集的有效组织,最好将范围固定在某个纵向系统内。如司法、公安系统的制式服装信息采集。范围扩大后需要有便利的制式服装采集方式,一般采用基于互联网的中央数据库管理,通过互联网或金盾安全网络体系,体系内个体可以方便的利用互联网进行联网申报或修改自己的个性化数据,在范围扩大时,相同个性化需求可通过中央数据库进行归类,从而实现规模化集成定制。

3、历史数据管理与装备计划生成。按照制式服装配发标准和历史数据管理,对规定时点前的制式服装信息进行分类,并生成当期装备生产计划。主要考虑制式服装发放周期、发放历史、新增人员、服装信息修改等因素,通过数据遍历,并按标准对比进行数据抽象后对数据进行分析,并生成制式服装装备生产计划明细,在明细的基础上按照需要生成各类统计报表。

4、信息安全管理。大规模集成定制系统信息安全管理是系统正常运行的生命线。首先,系统的安全,尤其是基于互联网的信息系统安全是当前计算机及互联网技术的关键课题之一,安全稳定也是其标准配置;其次,大规模集成定制涉及到某些重要体系内的个体信息,这些信息都是相当重要且需要保密,信息安全管理就成为整个体系的重中之重;再次,个性化需求与集中统一管理的需求决定了其安全管理的复杂性,系统使用主体的多样性和功能需求也是信息安全管理面临的难题。

三、基于互联网的制式服装大规模定制系统构建与应用实现

1、基于互联网的制式服装数据设计与实现。制式服装大规模集成定制涉及到的对象包括:人员、服装、着装单位、厂商、仓库等。人员信息的数据结构包括:姓名、性别、出生日期、证件号码、入职时间、职称(警衔、军衔)等基本信息外,还要包含其帽子、上衣、裤子、套装、鞋、衬衣、雨衣等各类服装着装号型,证件号码最好是身份证号,能唯一区别数据记录的号码,入职时间可以通过计算作为是否应该发放某服装的依据;服装数据包括服装发放标准和着装档案,服装标准主要是制式服装配发类型、发放周期等,而着装档案是结合人员类别、职称、着装号型等信息形成的服装档案,制作服装生产计划之前的某个时点的服装信息作为本次计划的基本信息,不能在计划生成期间进行修改,按照人员着装信息和着装标准生成每个成员的着装档案,并生成服装生产和发放计划;其他对象和数据流的数据结构按照需求进行设计。

2、制式服装计划管理逻辑设计与实现。制式服装计划生成来源于当年的发放规划和制式服装人员着装档案,而人员着装档案则来源于人员基本信息和制式服装着装标准。所以制式服装计划管理逻辑设计主要涉及到人员基本信息、制式服装着装标准和本次发放规划三个实体,这三个实体相互作用形成制式服装的每次计划生成。首先,人员基本信息中身份证号、警号等关键字信息及其各类服装基本信息如鞋号、帽号、上衣号型等依据其人员类别和各类别人员制式服装配备种类生成其人员着装档案;其次,通过更新的人员着装档案按照当年配备制式服务规划生成制式服装计划并管理。

3、制式服装信息传递和机制设计与实现。制式服装装备单位主要是国家公检法和司法、军队等高等级管理单位,其信息传递和机制设计首先要满足保密的需要,同时,也要满足个性化所依赖的互联网信息采集和传递需要。其信息传递和机制设计中要考虑个体到本级组织,再到上级组织的需求。尤其是信息传递后的审核机制要与其相适应。

4、制式服装规模化集成定制的界面设计与实现。规模化集成定制系统既有基于互联网的信息交互界面需求,也有大数据表格化管理的需求,甚至还有基于数据库的后台处理逻辑和前台动作与结果的展现。基于互联网的信息交互对于现有的互联网技术处理和实现已经是最基本的了,关键就在于技术框架的选择和技术人员的掌握熟悉程度;另外,大数据表格化管理也是最新互联网技术发展的重要体现,结合大中型数据库和网页的分页显示技术可以解决这类问题;而前后台衔接,尤其是制式服装大规模集成定制信息系统的逻辑关系复杂,涉及到的业务关系较多,前后台的编程、信息的展示需要良好的配合,并在运行要快速的显示结果,通过互联网编程和数据库编程相结合,也可以很好地实现。

5、基于互联网的制式服装大规模定制系统安全实现。制式服装装备单位主要是国家公检法和司法、军队等高等级管理单位,其信息传递和机制设计首先要满足保密的需要,同时,也要满足个性化所依赖的互联网信息采集和传递需要。在高等级管理系统中,可以通过最高管理机构来构建信息加密、传递和解密所需要的安全证书方式。可以通过非对称加密方式确定公私钥,然后在服务器或审核系统中保留本单位、下属单位及个人的公钥,将私钥发放给各应用单位及个人,建立通用安全的加密算法进行加解密,确保各类各级信息传递、处理的安全性。

四、基于互联网的制式服装大规模集成定制系统发展对策与建议

1、积极推进制式服装大规模集成定制信息系统开发和应用。基于互联网的制式服装大规模集成定制信息系统的开发和应用不仅仅是业务的信息化,而是管理模式的变革;也不仅仅是个性化和规模化的结合,降低成本等,而是制式服装管理业务流程重组,是真正的变革。

制式服装大规模集成定制信息系统可以应用在警服、军装和行业制服等领域,司法、公安、法院、检查院、军队等领域通过应用制式服装大规模集成定制信息系统可以提高服装管理和服务的效率,降低服装管理费用、服装制作费用,同时,还可以以该信息系统为线索,重新组织服装管理业务流程,为其他制式装备提供参考。

2、制定制式服装大规模集成定制信息系统标准和规范。公安部对制式服装和总后勤部队军装的配发及制式服装管理都有完整的标准,而对该标准利用信息系统进行管理也容易实现,但信息系统标准的不统一也会影响各警服、军装管理领域对信息系统的推广。制式服装大规模集成定制信息系统标准和规范的制定应该由相关领域各管理部门牵头,服装软件开发公司参与,组建权威的信息系统标准制定领导小组,在多方面调研后进行制定。

五、结论

大规模集成定制信息系统在工业化的基础上通过信息化来满足个性化定制需求,同时不降低工业化制造的效率,不增加生产成本,因此,在制式服装、电器、家具定制等方面有广泛的应用。其系统构建的关键是业务流程规范化和标准化的问题,同时信息安全性也是非常重要的。因此,在推广大规模集成定制信息系统时,要做好制式服装、装备等领域管理业务流程重组,并制定好制式服装、装备配备标准和信息处理标准。

(注:基金项目:陕西省教育厅人文社科2013项目(2013JK0116)支持。)

【参考文献】

[1] 唐光海:电子商务下的大规模集成定制系统(ISMC)[J].中国科技信息,2006(3).

篇7

一是智能工业领域。重点支持工业生产过程控制、生产环境检测、制造供应链跟踪、产品全生命周期检测等物联网系统,形成综合管理监测平台,促进经济效益提升、安全生产和节能减排。二是智能农业领域。重点支持农业生产精细化管理、生产养殖环境监控、农产品质量安全管理与产品溯源等物联网系统,形成重点农产品质量管理平台,保障农产品安全。三是智能环保领域。重点支持城市大气环境实时监测、重点流域和湖泊水质监测、工业污染源排放实时监控等物联网系统,形成重点地区和行业的实时监控和预警平台,改善环境质量。四是智能物流领域。重点支持覆盖库存监控、配送管理、安全追溯全流程的物联网系统,形成跨区域、行业、部门的物流公共服务平台,提高物流效率,保障物流的安全和可控。五是智能交通领域。重点支持交通状态感知与交换、交通诱导与智能化管控、车辆定位与调度、车辆远程监测与服务等物联网系统,形成城市交通实时监控和管理平台,提升交通管理水平。六是智能安防领域。重点支持社会治安监控、危险化学品运输监控等物联网系统,形成重点区域和行业的监控和管理平台,提升公共安全管理的信息化水平。

在关键技术研发和产业化项目方面,专项资金重点支持物联网信息感知、传输、处理等方面的关键技术研发和产业化。主要包括读写智能终端技术研发及产业化、多功能智能传感器技术研发及产业化、低功耗射频SoC芯片和产品技术研发及产业化、实时图像识别技术和应用系统的技术研发。

根据相关数据显示,2012年我国物联网产业市场规模达到3650亿元,比上年增长38.6%,预计到2015年,一批物联网核心技术将实现突破,初步形成物联网产业体系。另有业内专家预测,2015年我国物联网产业将超5000亿元,到2022年,物联网技术将推动全球企业的利润总和增长21%。

篇8

电子商务的组成

在电子商务的运作过程中涉及到企业或个人的消费者、网上的商业机构、ca认证中心、物流配送体系和银行。它们通过internet网络连接在一起。

电子商务中的安全

internet是一个开放的公网,基于internet的电子商务给商家、企业和个人带来了新的机会,同时也给别有用心者留下了广阔的“施展”空间。在新型的交易环境下,安全是一切交易行为的基础,所谓安全,是指安全策略、安全标准、安全制度及安全流程的结合。

我们认为“安全=管理+技术”,安全是一整套体系,单点的安全防范技术都不能很好的解决问题。有效管理和采用完善的技术手段相结合组成了安全的体系,该体系安全程度的高低取决于体系中最薄弱的环节。我们常用的安全防范技术有防火墙技术、ca认证技术、数据加密技术和帐号口令技术。

1.防火墙技术

对于外部恶意攻击,针对“黑客”入侵,采用防火墙(fire wall)技术来防护。要使防火墙技术有效,所有接收和发送到internet的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许被授权的通讯业务通过,并且防火墙本身也必须能够免渗透,即系统自身对入侵是免疫的。

(1)数据包过滤技术

路由器是网络内外通讯的必须端口,因此,我们连接时采用包过滤路由器。它是一个检查通过它的数据包的路由器,限定外部用户的数据包。其原理是监视并过滤网络上流入流出的ip包,拒绝发送可疑的包。其实现方式是运用ip地址和端口号来进行限定处理。

(2)应用网关技术

建立在网络应用层上的协议过滤、转发功能,它特定的网关应用服务协议指定数据过滤逻辑,并可根据按应用服务协议指定数据过滤逻辑进行过滤的同时,对数据包分析的结果及采用的措施做登录和统计形成报告。

(3)服务技术

服务器是设置在internet防火墙网关的专用应用级编码。这种服务器由网络管理员决定允许或拒绝某一特定的应用程序或特定功能。服务器像一个内部网络与外界之间的边界检查点。两边应用可以通过服务器相互通信,服务器检查并确认这一通信是否授权通过。

2.ca(certificate authority)认证技术

为了保证秘密的信息不能被人非法获得,同时保证信息传输过程不能被篡改,交易的不可否认性、身份识别、网站不受非法攻击,通常还要采用ca认证和信息加密技术。常用的包括set协议和pki认证体系。

(1)set:安全电子交易(secure electronic transaction)

set协议是由visa和mastercard两大信用卡公司于1997年5月联合推出的规范。set主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。set中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

(2)pki:公共密钥基础结构(pubic key infrastructure)

pki(pubic key infrastructure)是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证:数据加密,数字签名、不可否认、身份鉴别、密钥管理以及交叉认证等。pki可通过一个基于认证的框架处理所有的数据加密和数据签名工作。pki必须具有认证机构(ca)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成份。

(3)ssl:安全套接层(secure socket layer)

ssl协议是由网景(netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。ssl是对计算机之间整个会话进行加密的协议。在ssl中,采用了公开密钥和私有密钥两种加密方法。set协议比ssl协议复杂,因为前者不仅加密两个端点间的单个会话,它还可以加密和认定三方间的多个信息。

三、电子商务业务模型及解决方案

1.商业机构对消费者的电子商务(b2c)

商业机构对消费者(business-to-customer)的电子商务,指的是企业与消费者之间进行的电子商务活动。这类电子商务主要是借助于国际互联网所开展的在线式销售活动。最近几年随着国际互联网络的发展,这类电子商务的发展异军突起。例如,在国际互联网上目前已出现许多大型超级市场,所出售的产品一应俱全,从食品、饮料到电脑、汽车等,几乎包括了所有的消费品。

开展商业机构对消费者的电子商务,障碍最少,应用潜力巨大。就目前发展看,这类电子商务仍将持续发展,是推动其他类型电子商务活动的主要动力之一。

商业机构对消费者(b2c)电子商务解决方案的基本组成部分为: (1)动态的html页面; (2)储存会员(客户)的信息,用其来进行会员认证及提供其他管理工具;

(3)实现“购物篮”功能; (4)服务器和管理的安全性; (5)客户信息安全管理; (6)管理和处理定单,应用商务规则来与客户完成交易; (7)进行其它产品和服务的宣传,并对该过程加以控制; (8)支持直销功能; (9)提供cross-selling销售和up-selling的机制和规则;

(10)方便储存数据(分类、定单、库存、日志等等)并且能够实现动态的访问;

(11)商品、交易以及商务系统的管理;

(12)价格促销的工具;

(13)分析流量和购买数据,获得商务智能和建立客户行为模型。

2.商业机构之间的电子商务(b2b)

商业机构对商业机构(business-to-business)的电子商务指的是企业与企业之间进行的电子商务活动。例如,工商企业利用计算机网络向它的供应商进行采购,或利用计算机网络进行付款等。这一类电子商务已经存在多年。特别是企业通过私营或增值计算机网络(value-added network,van)采用edi(电子数据交换)方式所进行的商务活动。

商业机构对商业机构的电子商务从未来的发展看仍将是电子商务的主流。商业机构之间的交易和商业机构之间的商业合作是商业活动的主要方面,企业目前面临的激烈竞争,也需要电子商务来改善竞争条件,建立竞争优势。企业在寻求自身发展的同时,不得不逐渐改善电子商务的运用环境。

供应链集成,也叫作价值链集成,利用了internet的低成本来实现供应商,生产商和发行商之间的更紧密的结合。许多关于建立网站,处理定单和接入原系统的基本要求和操作都可以包括在直销和销售方案中,而在供应链方案中产生了一些新的要求,如确认过的登入,为关键用户生成用户类,根据用户协议采取定价和支付的形式。

商业机构之间的电子商务解决方案的核心平台非常相似于商业机构对消费者解决方案。在商业机构之间的电子商务解决方案中,商家在向商家销售,而不是向个人销售。

商业机构之间的电子商务解决方案的基本组成部分为:

(1)动态的html页面;

(2)储存一个会员(客户)的信息,用来进行会员认证以及提供管理工具;

(3)实现”购物篮”功能;

(4)服务器和管理的安全性;

(5)客户信息安全;

(6)管理和处理定单;

(7)进行其它产品和服务的宣传,并对该过程加以控制;

(8)支持直销功能;

(9)提供cross-selling销售和up-selling的机制和规则;

(10)方便储存数据(分类、定单、库存、日志等等)并且能够实现动态的访问;

(11)商品、交易以及商务系统的管理;

(12)价格促销的工具。

3.企业采购 商家希望利用intranet和internet的杠杆作用使现有的业务进行的更加有效。这种商业模型的核心就是商务解决方案,它使得购买低成本的大量商品的过程更加容易,并且保证了一项业务的维持,修复和操作(mro)。

企业采购解决方案的基本组成部分

(1)企业采购解决方案设计成一个商业组织的成本结构,而供应链集成解决方案是在向着商品的直接贸易和生产方向努力;

(2)企业采购解决方案一般来说设计成一个基于intranet的解决方案,而供应链集成解决方案可以包含基于intranet的组件,但是大部分应用程序或者是基于internet的或者是基于extranet的;

(3)申请人能够在浏览器上被标准化;

(4)诸如象activex控件和dhtml的技术能够被用来实现图形化和功能化的传输丰富的web应用程序;

(5)集成采购到公司现有的安全和邮件的基本结构中,这样有助于消除额外的管理费用和加速routing/basic工作流;

(6)各种规模的公司无论大小和地点如何,都能交流购买定单信息,进行交易支付和传送产品;

(7)购买定单的输出形式可以多样化,这样参与的商家就可以选择一种与他们现有系统可以协同工作的共同形式;

(8)企业采购应用程序可以在一个站点内支持多个供货商;

(9)对企业的供货商的结构进行合理化,来获得更大的折扣率。

4.技术方案

根据用户的不同需要可以选择不同的主机平台和开发技术。

(1)技术方案1 操作系统:windows nt 4.0(service pack 4) 数据库平台:ms sql server 7.o web服务器:ms internet information server 4.0 web site server 3.0 开发技术:asp、dhtml、com组件技术等 (2)技术方案二 操作系统:sun solaris 数据库平台:oracle 8.0

篇9

关键词:ERP系统;内控制度;构建

中图分类号:F270.7文献标识码:A文章编号:1007-9599 (2012) 05-0000-02

一、相关概念

ERP的意思是企业资源计划,即是指将物流管理,资金流管理和信息流管理结合信息管理理念,这种管理思想强调管理的系统性它能将企业内部的信息系统和供应链以及客户关系的管理有机的结合起来,而企业的相关交易信息也建立在此基础之上,ERP有其得天独厚的优势。其中EPR系统的核心特点是集成化和标准化。

实践证明,企业的控制环境在采用了ERP系统后,企业所有部门的工作能够形成了一条完整高效的信息链,ERP能够通过分析企业拥有的各种资源为经营决策提供有效、全面的信息资源;同时,ERP系统还能够实现对企业内部不同部门、不同职务的跨界管理,有效地提高了决策的准确性,帮助管理者将企业的内部资源进行了统一管理同时也为企业内部不同部门的资源共享带来一定的便利。

二、ERP对企业内部门管理控制的积极影响

(一)对控制范围和对象的影响

传统的内部控制对象以人为主,但随着IT技术应用的深入,ERP系统在帮助会计工作提高效率的同时,也带来新的管理问题:ERP系统的建立是由不同信息资源有机耦合的,所以,它的建立必然在操作上存在一定的的复杂性,这种缺点使得企业经营管理方面以及信息共享方面的内控范围不断扩大化,内控范围具体来说有企业中系统权限的控制和企业内部网络系统安全的控制,以及企业系统维护人员、系统管理员等的岗位责任制度,计算机操作管理、计算机病毒防治等。

(二)ERP对企业内控制度要素的影响

首先,不可否认的是ERP系统的实施给企业的控制环境形成了积极的影响,这种影响主要体现在:ERP使企业内部的组织和管理机构由以往的立体化、繁乱化变的扁平化,并且有了一定的流程可循,减少了企业内部管理层和组织机构的控制层次,使企业控制效率向更高、更全的方向发展,同时也使企业控制责任分工更加明确。

其次,ERP系统对企业的风险评价也有着积极得影响,种影响主要体现ERP能够给企业带来一种新的风险评估和对未知风险有效分析的手段和理念,ERP帮助企业能够及时且准确地分析和辨认可能会发生的对企业发展过程中风险并在第一时间做出处理反应。

再次,ERP的实施给控制活动也带来了积极的影响,这一影响主要表现在ERP系统增强了控制手段的灵活性、效率化和多样性。此外,ERP系统的应用能够使企业的管理摆脱人员上的和资源方面的对内控体系的限制,并能够在企业内部环境中形成一种新的控制理念,即是企业内控体系可以依靠信息技术对企业规划发展进行合理的分析和设计,而不再是依赖过多繁杂的检查与审批,核准人员可以精简,复杂的控制程序也可以优化,从而使得企业能够高效地达到目前既定的控制目标。

三、ERP给企业内控制度的不利影响

(一)业务流程的不利影响

在传统的业务流程中,会计账簿体系是企业实现控制的唯一方式,主要是根据“凭证-账簿-报表”这一的循环方式来设计的。但当ERP系统在企业管理中实施应用之后,由于无论在业务流程亦或是手工方式上,于传统控制方式相比,差异都很巨大,因而导致企业相关操作人员无法较快较好地适应这种新的控制方式,从而给企业内部控制带来了不稳定因素,即不利影响。其次,ERP系统使企业的业务流程被改变,这使得企业管理架的构趋向于扁平化,其中,内控由程序执行,自动化程度高,因而ERP有可能导致控制风险。另外,ERP中强调的流程化管理使得企业部门之间的联系有了进一步的加强,但是,如果企业中某个部门的管理在有可能的决策失误上导致某个管理环节出现了问题,这种疏忽错误将有可能直接的影响到企业其他部门和企业其他流程的准确有效运作。

(二)对信息安全控制的不利影响

目前ERP软件在信息安全的设计理念和设计方法上的不足是未考虑到企业内部系统权限间的相互制约问题。例如,在ERP软件中,一般会存在一个不同于一般用户的超级用户,这种超级用户可以独立修改ERP用户的使用权限,更可以重置其他用户的使用密码,更有甚者还可以调整ERP体系中其他用户的人数,即随意删减用户,以上对于ERP软件可以说是一种致命的危害,因为ERP软件作为一种能够涉及企业综合管理的软件,它使得一部分超级用户能够有机会掌握企业中大量的管理及技术上的机密文件和信息,一旦超级用户不可靠将会给企业在经营上带来不可估量的损失。由于现今的网络环境既具有其开放性又具有很大的不稳定性,所以ERP系统更应改针对这一特点加强网络环境上的安全维护和风险管理。在现今的开放的互联网网络环境中,企业的会计信息极有可能因遭受病毒或黑客的侵入而泄露企业的商业机密,以上风险已引起了企业的广泛关注,所以,ERP系统可能在企业中划分出外网与内网,尽可能的减少网络系统带来的不利影响。

(三)对人员管理的不利影响

在企业中有必要具备一些了解企业内控监管环境的同时又熟悉EPR系统控制操作的技术人员,在现实中的ERP系统实施管理中,大多数的信息安全部门,特别是ERP控制和监管部门,经常面临人才缺乏的窘境。其中原因主要有,控制和监管部门在企业中时常被忽略。以上原因导致ERP系统内的必要的控制位点人员设置不足或者这些人员不符合ERP业务流程的需要;企业内某些用户权限过大但是这类用户的职责却并没有完全分离的结果。下面以企业的供应商对企业付款为例详细介绍这一点的不足:第一,如果某一个财务人员能更新供应商的信息同时还能输入发票,那么如果这个财务人员创建一了个虚有的供应商,并手工输入发票的内容,那么在ERP自动化流程中这笔款项很有可能未被察觉就被轻易地支付出去了。所以在ERP系统中维护供应商信息的权限与输入发票的权限是不应该相容的,在这方面工作中应分配不同的企业员工来完成。

四、ERP系统下内控制度构建的优化

(一)业务流程的再造

业务流程再造时的设计与实施过程中设计者通过分析企业现有的管理模式企业的对业务流程进行改进式的再造过程中,以价值链为依据对流程进行集成,消除其中不合理的部分;在这一过程中企业应该根据现有的风险控制原则利用企业风险评估手段和相应技术分析对企业中关键的业务流程重新审核并分析其不足的方面,通过以上手段确定企业是否能够达到良好的控制并有效地达到既定的目标。在企业流程再造的过程中,遵循权责划分的思想,将适当的平衡点和监测点创新地增加于整个再造流程中,以保证敏感性的业务交易得到高效的完成;在企业业务流程再造过程中建设相应的组织结构可以实现同时对会计信息以及常规业务的双重控制。作为一个信息系统,ERP是为企业的经营目标服务的。因此,ERP的实施就要求有关方面对业务流程进行重新设计,而后,再造的流程将成为企业内各个组织必须遵循的共同标准。

(二)信息安全风险评估与控制

信息安全风险的概念是在信息化的网络建设中,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节使得在建设过程中相关的各类应用系统和基础网络、数据和信息泄露导致的不同程度的网络安全风险。面对现今种类繁多且频繁的网络安全问题,企业应该运行特殊的管理软件,同时将网络的监控以及信息系统事故的分析有机的结合起来,这样是企业能够更准确地了解网络信息系统,在未经授权的情况下访问或攻击信息的防备措施也要得到有效的完善。在信息安全技术的操作上可以采用特定的网络内容过滤技术防止网络上恶意内容的入侵,也可以通过监测网络的扫描器有效的监测入侵问题,防火墙系统对网络提高安全性也是一种必不可少的手段。

(三)ERP对企业岗位的建全作用

企业通过ERP建立有效的岗位责任制度首先必须要明确企业中每个员工的工作内容和职责范围,这样的工作便于企业更迅速高效的内控。岗位设置可以根据企业中发展的实际情况来做具体的划分与设置,如:可以更具发展需要将企业的岗位分为基本的职能岗位以及ERP系统相关的岗位;基本职能岗位包括出纳、审计、销售、财务、生产、物流、库存、采购等;ERP系统相关的岗位包括管理、操作、系统维护、计算机技术员等。企业在发展战略上可以根据自身所设岗位的需要和内部制度的具体要求,企业可以在保证数据的安全性的前提下对不同上的设置采用交叉设置的方法,这种方法的优越性是能够保证企业各岗位间的联系又相对独立,同时企业部门间能够相互制约。企业分析识别其他用户与网络上访问其自身敏感区域的权限可以通过职责分离分析辅助实现,现今所使用的许多ERP系统的职责分离工具能够在对ERP角色和用户权限分析方面实现自动化管理,这种优势能够帮助企业提高管理效率。

综上所述,ERP系统正被广泛运用于现代化的企业日常经营管理中,同时,作为信息时展的高科技产物也需要不断地创新和完善。它在带给我们高效率管理工作的同时,也不可避免地给造成一些未知的风险,但这些风险是可以通过主观能动性进行规避的。因此,企业在运用ERP技术时应该首先主动了解探求ERP可能带来的风险,有效的分析和解决ERP应用中可能会产生的管理问题,让ERP系统更新发展,同时更好的服务于各种企业中。

参考文献:

[1]中华人民共和国财政部.内部会计控制规范――基本规范,2001,6

[2]王纹,孙健.SAP财务管理大全[M].北京:清华大学出版社,2005

篇10

关键词:物流信息化;物流信息系统;物流管理

一、物流信息化的意义

(一)物流信息资源的整合与共享

物流信息化首先要对物流活动中的各类信息资源进行整合,并在全社会范围内对这些信息资源进行共享。信息共享将超越企业内部不同职能部门的边界、企业的边界,使得供应链上所有的参与者,都能够根据充分的信息来进行合理的分工和市场定位,进行规范化的运作。

(二)流资源的整合

在信息技术不发达的情况下,物流的很多技术手段是停留在设施能力和设施水平的提高上。随着信息技术的发达,特别是供应链形成以后,更重要的不是单一的设施水平的提高,而是通过信息技术可以把资源整合到一起,来提高整体的运作效率,也就是说,信息处理的能力和信息管理的能力决定了整个供应链对市场的反应能力,决定了对顾客提供高效率高水平服务的能力。

(三)多重价值的实现

1.体现在企业经营管理的需要。与普通的制造类企业不同,物流企业的业务承接是以市场为导向的,体现出很强的非计划性。在项目接单后,又体现出极强的计划性,即整个项目必须遵循作业规范,一丝不苟地按规范执行,信息管理能力最直接地体现着一个现代物流企业的项目实施水平。任何一个物流企业随着业务的发展,一方面信息流涉及的领域和地域不断扩大,而另一方面在日常经营管理中对信息及时性和准确性的要求却越来越高。信息化建设是解决企业落后的信息管理手段与日益增加的信息需求之间矛盾的唯一途径。

2.体现在物流企业的经营需要。激烈的竞争环境,使得越来越多的物流企业在发展壮大的同时,也逐渐开始注重服务和客户关系管理。客户关系管理的要素就是以信息化为手段,实现客户需求信息获取、支持、反馈和交易的电子化;实现售后服务的自动化和长期化,从而保证长期而稳定的客户资源和利润空间。现代物流企业要适应新的竞争环境,向客户提供及时快速的仓储、配送等专业服务和实时的货物跟踪服务等个性化信息咨询服务,增强企业的竞争力,必须建立完善的客户关系管理体系。

3.体现在物流企业物流合理化、物流效率的提高。物流信息化使物流企业接受订货和发出订货更为省力,减轻了劳动强度,减少并防止发货、配送出现差错;使库存适量化,提高了资金利用率;缩短了从接受订货到发货的时间,提高订单处理的精度,提高搬运作业效率和运输效率;使物流合理化———物流一体化系统成为可能,而物流一体化系统给企业带来巨大效益。

二 企业物流信息化现状

(一)企业物流信息化程度太低

改革开放以来,我国经济快速发展,但总体运行质量不高,其中一个最关键的原因就是我国物流活动的运行效率太低。我国物流成本占GDP的比例和发达国家相比,一直占据高位。美国、日本等发达国家大约在10%左右,而我国已接近20%,约是发达国家的两倍。究其原因,物流信息化建设缓慢,物流信息沟通不畅首当其冲。据调查,在现存的物流企业中,以中小企业居多,它们规模小、资金少,由于本身没有足够的资金来发展物流信息技术,再加上少数企业管理者对物流信息化建设的意识相对薄弱,这就直接导致企业物流信息化建设的滞后,制约了物流业的健康发展。

(二)基本的物流信息技术运用滞后

随着通信网络技术的快速发展给物流信息技术提供的良好平台,基本的物流信息技术已经比较成熟,且运用较为广泛。比如条码技术,在美国、日本和欧洲等发达国家,条码技术在物流活动中的运用率已基本达到100%,但在我国,相关数据显示,只有大约25%的企业储运单元和货运单元有条码标志。另外,由于开发成本较高,且很多企业本身的信息基础较差,导致RFID(射频技术)、EDI(电子数据交换)、GIS(地理信息系统)、GPS(全球定位系统)等先进技术在物流活动中的应用十分有限。

(三)专业化物流信息技术人才欠缺

专业的物流信息化技术人才是企业的核心资源,也是制约企业物流信息化建设成败的关键。当前,许多物流企业是由传统的仓储和运输企业转型而来,其员工的思想认识、学历以及知识结构都还停留在传统物流发展的阶段,这离现代物流对专业化物流信息技术人才的要求还有相当的距离。因此,企业物流信息化建设急需培养一批既懂物流管理又掌握较高信息技术的复合型人才。

三 推进企业物流信息化建设的措施

物流企业不但要把货物送到用户手中,而且还包括生产企业及时进货入库等。物流企业既是生产企业的仓库,又是用户的实物供应者。要求物流体系必须采用信息化运作方式,实现信息和数据的即时传递,货物的自动识别、分拣和跟踪,以及生产、仓储、运输等各环节的协调。随着物流业地位的提高,它在国民经济中将发挥越来越重要的作用,成为一个国家经济竞争力的表现,物流活动对于一个企业而言也变得越来越重要,这使得物流信息化问题变得十分迫切。物流必须尽快实现信息化,提高自己的效率以适应电子商务的高速发展,否则就成为制约电子商务发展的瓶颈。

(一)健全体制,转变观念,为企业物流信息化建设提供良好平台

企业物流信息化实施的成功与否与企业的管理体制、管理流程、资金投入等很多因素有关,其中体制和观念是最主要的因素。在一定程度上,企业管理者对企业信息化实施的成功与否起着决定性的作用。因此,管理者不仅要在财、物上给予大力支持,更要完善相应的制度来促进信息化工作的进展。其次,企业管理者观念转变也很重要。信息化必然带来流程的标准化,企业管理者应改变传统的管理观念,将标准化带来的短期损害降到最低,否则,标准化就有可能损害企业的核心竞争力,信息化管理就会进入“死胡同”。

(二)加强网络安全管理,保障企业物流信息系统安全、稳定运行

通信网络技术的快速发展促进了物流信息技术的不断进步,但网络技术发展日新月异,在利用网络飞速发展带来巨大好处的同时,加强网络安全管理,保障企业物流信息安全、稳定运行已迫在眉睫。在 进行信息化建设前,企业应有明确的规划,确保物流软件系统的规划安全性和运行安全性。一方面,应从战略上考虑企业物流信息化建设进程,不仅要考虑物流软件系统的实用性,而且还应注重其前瞻性和可扩展性,给将来物流业务的发展预留空间;另一方面,物流信息化运行过程中本身应有强大的安全防范措施。除从用户鉴权的角度保证使用者具有合法的身份和权限外,还需采用防火墙和VPN等技术,以保证数据安全[3]。

(三)加大对员工进行信息技术的培训力度,为企业物流信息化实施提供人才保障

物流信息化的顺利实施是在物流实践活动中,不断地发现、解决并处理问题,逐步进行优化而渐进的过程,在这一过程中,强有力的信息技术人才是企业物流信息化顺利实施的重要保障,但相关人才的培养需要一定时间。因此,短时间内就保证物流信息系统非常完善,不是一件容易的事情。由于企业物流作业网点多,为保证每个信息环节都畅通,一线操作人员应时刻保证规范操作,这样才能促使信息化管理平稳接入。标准化的信息化引入必然需要改变员工传统的作业方式,所以,企业员工对信息化的了解和自身网络技术操作业务素质的提高对物流信息化的成功实施意义重大,只有严格按照规范操作才能保证日常工作的平稳运行。要保证物流信息系统的平稳运行,就必须加大对员工信息技术培训的力度,使之成为专业化的一线操作人员。

(四)以市场需求为导向,建立健全与企业自身相适应的物流信息化系统

企业的物流信息化要以物流业务需求为前提,不仅考虑企业内部的物流体系,还要考虑与整个供应链的衔接,要改变“大而全”的传统思想。不少企业一进行信息化建设就什么都想上,既不切合自身实际,也不注重市场需求,往往引发一系列问题,看似非常强大的物流信息系统无法正常运转,不仅浪费了大量资金,而且建设物流信息化的初衷也难以实现。判断物流信息系统的好坏,最主要的指标就是应用效果。有的系统可能非常适合这个企业,但放在另一个企业身上却完全行不通。只有企业使用量身订制且符合其物流业务流程的信息化系统,才能真正实现物流信息化,提高效率,降低成本,增加收益。在此基础上,还应根据实际操作中出现的问题对物流信息化系统进行改进,物流信息化才能完全发挥作用,更好地为企业物流活动服务。

四 结语

物流信息化随着企业的发展而发展,而物流信息化水平的提高又反过来促进企业的发展,形成一个良性循环,从而推动企业不断向前发展。总之,企业进行物流信息化建设,利用先进的信息技术手段,可以及时而准确地掌握各种信息,调动自己的可用资源,构筑起一体化的信息网络,为客户提供优质的服务,从而在激烈的市场竞争中取得胜利。

参考文献:

[1] 石军刚 企业物流信息化建设的紧迫性及途径分析[J] 中国商贸 2010,(9)