有关企业运行毕业论文

相关范文：浅析B2C电子商务企业物流[摘要] 本文从分析B2C企业的发展现状入手，指出低效的物流体系是当今B2C企业发展的最大瓶颈，并深入分析了B2C企业物流存在的各种问题，在此基础上提出了三种物流模式。[关键词] B2C电子商务物流模式连锁经营第三方物流一、前言B2C电子商务是以Internet为主要服务手段实现公众消费和提供服务，并辅之以电子化的付款方式，因此B2C电子商务实质上是一种电子化的零售。根据CNNIC（中国互联网络信息中心）《第19次中国互联网络发展状况统计报告》，截至2007年1月23日我国上网用户总人数为13700万人，如此庞大的网上消费群体应该使B2C企业获得充足的发展空间，但事实上B2C企业的日子并不好过，除了少数几家如卓越、当当等略有节余外，其余大多处于入不敷出的境况。早在数年前，电子商务刚刚起步时，专家们就指出制约电子商务的发展有三大瓶颈：网络安全、网上支付和物流配送，对于前两项，现在的科学技术、管理和实践都已证实，这些问题都构不成瓶颈，而物流配送的瓶颈问题却没有明显的改观。现代物流在中国飞速发展，理论研究日新月异，但相应的市场化、实践化却未能跟上理论研究的步伐。时至今日，对于B2C电子商务企业来说，物流水平的桎梏已成为B2C电子商务企业发展的最大障碍。二、B2C电子商务企业物流存在的主要问题我国B2C电子商务活动中，通过网站实现商流活动后，主要的问题在于没有一个有效的社会物流配送系统对实物的转移提供低成本的、适时的、适量的转移服务。1.物流本身发展的滞后和电子商务的发展相比，即使是发达国家的物流，其发展速度也难以和电子商务的发展速度并驾齐驱。在我国，物流更是处于经济领域的落后部分，一个先进的电子商务和一个落后的物流，在我国尤其形成一个非常鲜明的对比，而电子商务在今后更加迅猛的发展，会使两者之间拉开更大的差距。表面上看是我国物流服务的问题，其背后的原因则是我国为物流服务运行的平台不能满足发展的需要。第一，配送本成本过高。高昂的配送成本最终转嫁到消费者身上，使电子商务成了一种奢侈的消费方式而远离大众；第二，响应时间慢，不能及时送货。电子商务的优势之一就在于方便快捷，但实际情况却是用户费尽周折网上订购以后就进入了漫长的等待，使电子商务的跨时域优势丧失殆尽；第三，服务区域及服务商品有限。现有的配送体系基本局限在各大城市，对中小城市及广大农村显得力不从心，交易的商品也仅限于图书、音像制品之类的小件物品。电子商务的特点加大了物流服务的难度从电子商务的特点来看，电子商务促使事物处理信息化，企业经营网络化，销售范围无限化，消费需求个性化、分散化，企业生产柔性化，这就要求相应的电子商务物流时效迫切化，物流服务定制化。信息化、自动化、网络化、智能化、柔性化是电子商务时代物流的新要求。单从物流配送的角度来看，商品定购的随机性和分散性往往会导致配送的批量小、配送的频率高，这给配送路线规划、配送日程调度、配送车辆的合理利用带来更大的难题，容易造成物流成本的加大和物流服务水平的降低；而且商品的在途损坏、丢失等一般难以避免，对于无店铺经营的B2C企业来说售后服务尤其是退货问题，以及由此带来的额外费用往往阻碍了其自身的发展。电子商务企业在认识上和实践上的误区第一，B2C电子商务企业以革命者和领先者自居，认为传统企业将遭受电子商务的无情淘汰，因而忽略甚至否定了传统企业的优势和特点，尤其对传统企业的分销模式不屑一顾，拒绝与传统企业进行物流上的合作与整合，使自身的物流瓶颈日益突出；第二，B2C电子商务企业往往追求“大而全”的模式，而事实上并不是所有的商品都可以运行在电子商务平台上，网络最大的特征在于信息交互，使用复杂、价值较高、科技含量高、专业性强的产品适合在网上销售，日常生活用品，人们很熟悉，传统的销售网络又十分丰富，显然不适合在网上销售。“大而全”的模式增加了物流配送的难度，使物流分散难以形成规模；第三，B2C电子商务企业未能充分认识到物流配送问题关系到网上商店的服务水平，往往也是消费者最敏感的因素，是建立企业品牌的重要途径。在国外，B2C企业往往与联帮快递和UPS等大型快递公司存在合作关系，由于网上商店所销售的产品大多小巧精致，最适合通过快递的方式运输，所以也得到了广大顾客的认同。国内B2C企业主要则是通过邮递这种方式，但事实上并不十分理想。由于受以前邮购商品留下的不良影响，顾客对这种运送方式仍有戒心。目前最佳的方式是直接利用商家现有的传统销售网络进行运送，使顾客能够放心地购买。但是，这并不是所有的商家都能办到的，也不符合网上购物的特点，只能是一种暂时的替代行为。三、B2C企业物流模式设计目前，我国B2C电子商务企业的物流体系水平不一，经营模式也各不相同。在对比发达国家B2C电子商务的物流配送体系基础上，归纳起来，适合我国企业开展B2C电子商务活动的物流模式主要有以下几种：1.自建物流模式物流服务是企业核心竞争力所在，从我国企业的具体情况来看，不少企业在全国范围内经营多年，都已建立起自己的分销渠道，企业自身拥有良好的物流网络与相当现代化的物流技术和管理经验。随着网络经济的发展，这些企业在经营电子商务时可通过不断整合自身资源，吸收外界资源，搞好自身物流网络建设，形成适合自我的物流配送体系。B2C企业在构建自己的物流体系时，可以适当考虑与仓储公司和第三方物流公司合作，并在物流的各个环节上整合各合作伙伴的资源，形成优质高效的供应链。对于自身物流体系较为完善的企业，还可利用自己的物流网络承担其他企业和商家的物流配业务，从而减少资源的闲置与浪费，达成网络配送规模效应，实现低成本、高效率的配送。2.连锁经营模式此种模式依托传统连锁业分布广阔的商业网络，直接开展销售配送和销售服务，连锁经营店可为网上虚拟商场提供实际支持，连锁经营正在多个行业健康快速的发展，形成了以大型龙头连锁企业为骨干，中小连锁服务网点为补充，超市、便利店、专卖店、货仓式商场等多种业态发展的网络化流通格局。连锁经营的这种店面开到家门的特点，正是B2C企业与之良好合作的基础，人们通过B2C企业的网上平台订购商品，来到附近的连锁店取货或由连锁店送货上门，即可十分便利省时地完成购物过程，享受完整快捷的销售服务。B2C企业通过连锁企业的网络资源，使自身的物流缩短了距离，降低了频率，从而实现了货物的低成本配送。而连锁企业与B2C企业合作，可以为其带来大量的优质顾客，并且几乎不花费任何成本，品牌的知名度也能同时得以提升。3.第三方物流模式现今网上购物的方式大体是EMS及普通邮寄，其次是同城快递。这些邮政和快递公司进行物流的操作，一般是为了送货而送货，不能为顾客提供附加服务，网络公司也不能在货到后第一时间与顾客取得联系，并且普遍费用较高。而真正意义上的物流是指商品流通过程中的实物流动，包括运输、装卸、储存、信息管理等环节。物流作为一个产业，理所当然应由一个专门从事的公司代为进行，即第三方物流。第三方物流的优势是很明显的，能使B2C企业集中有限的资源培养自己的核心竞争力，能够最大限度地减少库存甚至实现零库存，同时又能有效地保障供给，能够利用第三方物流企业的专业优势和规模优势，提高各环节的利用率实现费用节省，使企业能从分离费用结构中受益，因此第三方物流成为21世纪国际物流发展的主流，也符合社会分工逐步细化的大趋势。对于B2C企业来说，一般只是为各种产品提供一种营销平台，在我国B2C企业的规模较小，经济实力也有限。如果自建物流奖金缺口太大，同时B2C企业面对的消费市场一般量少且分散，采用自行配送往往成本很高，企业难于承担。目前B2C企业采取的送货方式一般有三种：邮寄、EMS、第三方物流。邮局送货安全可行，但速度慢、信息反馈滞后、无附加服务，而第三方物流则有效地解决了这些弊端。四、结语电子商务物流是物流领域内的新一轮革命，而电子商务在我国的蓬勃发展已十分明显受制于低效率的物流体系，低效的物流体系已成为电子商务企业发展的最大障碍，而B2C企业所受影响最大。B2C企业只有不断注重学习和借鉴物流领域内的最新成果，结合自己企业的实际情况，才能在电子商务实施过程中摸索出适合本企业的物流模式，在此基础上才能真正突破物流瓶颈，获得高速的可持续性的发展。仅供参考，请自借鉴希望对您有帮助

我 ，们代做的。。

大势所趋 从总体上看，中国电子商务应该说还处在一个初级阶段。企业是电子商务的主体，企业特别是中小企业对电子商务应用能力目前还相对比较薄弱。所以，怎么样引导我们中国的企业，特别是中小企业电子商务的发展，确确实实是政府和全社会都应该关注和支持的一件事情。商务部信息化司司长王新培对记者表示：“利用电子商务、网络营销手段招商引资开拓贸易是近几年来各个政府大力开展的活动，这也是信息化发展的必然趋势。” 中国信息协会副会长高新民对记者说：“信息化要真正对整个全社会，特别是国民经济起到作用的话，要靠电子商务。” 清华大学姜学平教授认为，对中小企业来讲，像把移动通信技术和互联网技术结合起来，这种技术的结合会给展开网络营销奠定很好的基础。姜指出，随着电子商务和网络营销的发展，完全没有必要局限在互联网上，移动通信现在有了很大的发展，惟一的出路就是向数字业务靠，向互联网靠。现在移动通信的用户超过3亿，2001年推出的短信业务，当年是200亿条，到2003年这个业务已经超过了2200亿条，短信市场到2003年已经达到了200亿元，而且这里面有40％是商业广告的宣传，这充分说明了市场的前景。姜认为，以往中国很多中小企业有一个特点，就是只有销售没有营销，但在当前环境下，没有营销的销售就是蒙眼飞行。如果我们通过网络环境展开营销活动的话，我们发现这个营销活动有可能为中小企业提供很好的平台和契机，有可能使中小企业在很大的程度上借助网络环境起飞和发展。 四大制约因素 北大研究生院吕本富教授认为，四个方面的问题制约网络营销的发展：第一个问题是网络营销过程是电子商务的机制问题，就是它的运行机制；第二个是电子商务运行的环境；第三个是电子商务的技术问题；第四个是政府的作用。他认为这四个问题缺一不可。 如何引导企业运用现代信息技术，改造提供传统产业的生产、经营和市场营销模式，推动企业信息化和电子商务的发展，是紧迫和艰巨的任务。特别是中小企业，面对信息化时代，如何去适应、融入，如何在竞争中谋取一席之地，使自身得到生存和发展，也是十分紧迫而又现实的问题。对于中小企业开展电子商务来说，应用能力还十分薄弱、主客观环境仍受制约，难度还是相当大的，很需要政府和社会各界的引导和支持，很需要有一个公共服务平台为他们开展电子商务提供支持和服务。 国家信息化测评中心副主任胡建生告诉记者：“电子商务应该是未来中小企业竞争力的生命线。有相当一部分的中小企业要有竞争力，就要开展电子商务，不能忽视中小企业，中小企业想做好工作相当困难，但没有电子商务将更加困难。我们的统计是中国电子商务增长率是非常高的，有相当多的企业在重视电子商务的应用，而且增长很快。 不只是营销 专家普遍认为，从长远的营销费用说的话，没有一种传统媒体可以和网络营销比较，此外，网络营销的优势在于它可以从全方位展开服务。 清华大学姜学平教授指出，现在谈到的网络营销绝对不只是网络销售。在采访中他告诉记者：“实际上我们国家在网络营销方面做得非常不错，做得最好的包括福建、浙江、广东这些地方，营销可以恰到好处的避免销售中出现的各种问题，更适合中国企业的发展。我认为，在中国展开网络营销，现在没有任何瓶颈，没有任何障碍，完全可以展开，但销售却完全可以通过传统方式做。网络营销的概念更能体现网络的优势。营销是更有竞争力的。目前有一个误区，大家关注的都是销售，但如果只关注销售的话，在中国很难有很大的市场，但是网络营销完全不同。” 姜阐述了网络营销对企业发展为何如此重要：首先，网络营销是传统的营销活动在网络新媒体下面的延续和发展的过程。现在网络环境变了，媒体变了，工具也变了，传统的营销形式一定要发展，如果在网络媒体上延续下去的话，网络的营销活动，它的营销功能的整合性和反应资料的完整性是没有一种市场营销媒体可以比较的。其次，从反应经营理念的时时性和动态性讲，也是任何的传统媒体没有办法比较的；第三，可以通过网络引导企业经营理念的传播和市场的消费趋势；第四，通过网络可以双向互动的跟市场和客户沟通，可以把传统被动的营销变成主动式的营销；第五，满足客户个性化的需求，定制等等，也是传统媒体没有办法做到的。网站宣传的内容和品牌是永久的，但是网站反应的信息又是动态的。 网络营销正悄悄向我们走来2006-07-24 14:13 来源：e营销 [评论] [大 中 小] 文章首先说明网络营销及其优势，对网络营销作了界定，再从五个方面说明了其优势，然后结合实际情况说明网络营销所面临的问题及应采取的对策。 网络营销及其优势 所谓网络营销,是指将企业、供应商、客户和合作伙伴以及其他商业和贸易所需的环节用Internet技术连接,利用Internet系统,方便、快速地提供商品的宣传、销售及服务等各种商务活动的营销方式和手段。 随着网络营销的使用,客户直接得到产品和服务而无须通过中间人,这种取消中间人并在客户和厂商之间提供直接联系的过程被称为无中介。客户通过Internet漫游厂商的Web站点,访问更直接,范围更广阔,并且等待的时间与电话访问、直接访问厂商相比更短。 与传统营销相比,网络营销有自己明显的特征。首先,它是以客户为中心的电子化销售和服务。通过网络直接向客户提供更加便宜的产品和使顾客享受更加方便、快捷的服务,进而吸引大量的消费者上网购物,使各种商业组织机构由此能够扩大客户基数、降低交易成本,并可以节省大量的销售时间。商家还可以通过网络对某些个人或群体的个别需求提供特别的个人化、个性化,甚至是一对一营销服务,充分满足现代社会个人化、个性化的需求。 其次,Internet的全球性和即时互动性为企业、供应商和客户提供了一条相互沟通的新渠道。它不仅能使全球的消费者及时了解企业的产品和服务,还可以使企业迅速查询有关的市场需求信息、新产品信息,了解市场的需求状况,增进企业与客户之间的关系。网络营销将打破企业以往作跨国贸易的时空限制,充分利用互联网所形成的全球信息网络空间,面对全球的客户开展全球范围的营销活动。这对于跨国营销、直销的企业来说,无疑是提供了一个新的营销渠道。但是,与此同时企业所面临的将是无国界、无差异的全球性更加激烈的竞争。 再次,WWW（WorldWideWeb）引人入胜的图形界面和多媒体特性,使企业可以充分地展示自己的形象、产品及服务,充分地利用网络进行广告宣传,全方位、立体化地展示企业和产品信息,也将使信息接收者的接受度大幅提高。企业通过Internet开展网络营销将使销售业务、客户支持和服务、服务跟踪调查、新产品设计、产品地域扩展、后勤支持等方面取得较大的进展。 第四,进入市场的“门槛”较低。企业借助于互联网从事网络营销活动,使企业获取信息的成本更为低廉,对于中小企业来说,更可以起到降低经营成本的作用,提高企业的竞争力。任何企业都有同样的机会充分享受Internet信息传播快、信息量大、传播范围广的优势,在互联网上展示自己和自己的产品。 最后,可以更好地进行企业内部控制,更加充分地利用有限的资源,缩短商业循环周期,减少商业环节,减少交易时间,能减少90%的商务文件的纸张费用,实现无纸化办公,降低经营成本,提高工作效率和营运效益,提高用户的服务质量。 面临的主要问题及对策 我国开展网络营销当前所面临的主要问题,有以下几个方面。 一是对开展网络营销的重要意义认识不足。在我国,计算机网络的普及和应用还远远不够,无论是一般的消费者,还是企业的领导人,普遍存在着电脑意识有余而网络意识不足的问题,对如何开展网络营销,如何利用网络从事商务活动更缺乏认识。网络营销要成为我国企业进行营销活动的一种方式,为我国经济的发展和贸易的扩大创造巨大的效益,还需要有一个奋斗过程。但是,我们应该看到,尽快开展网络营销,对我们来讲是一个缩短与世界发达国家在技术上、在经营思想与理念以及经营管理上的差距的一个十分难得的机会,开展网络营销活动的潜力和利益都是巨大的。随着关税壁垒的逐渐瓦解,企业将面临越来越严峻的竞争局面,竞争对手来自全球,企业必须尽快掌握自己竞争对手所掌握的各种管理方法和营销手段,其中包括网络营销。 二是基础设施建设的滞后和垄断经营造成Internet的普及率低且费用高,与此同时,开展网络营销对企业、对消费者在使用技术上又有较高的要求,这些都抑制了网络营销的发展。但是,随着电脑价格的不断下调和电话的普及,Internet费用的下降,计算机智能水平的不断提高,出现了“傻瓜化”趋势和迹象,这些又为开展网络营销提供了越来越成熟的条件。当网络营销的成本远远低于一般商务活动的成本,而且网络营销工作的开展更加简便、及时、轻松有趣时,网络营销的使用范围将会迅速地扩大。 三是企业的组织结构没有完成为开展网络营销所必须的调整。网络化营销要求企业组织结构更加合理、责任分工更加明确。但是,我国目前绝大部分企业并未认真考虑如何针对信息社会网络发展的情况来自觉调整自身的组织结构,这也很不利于网络营销活动的开展。尽管存在各式各样的问题,但是我们应该看到,在我国无论是繁华的都市,还是偏远的地区开展网络营销的空间都是巨大的。现在都市中人们的生活节奏和工作节奏都在不断加快,网络营销的开展和推广有利于人们更方便、更快捷地满足自己的消费需求和工作需要,提高生活质量和工作效率;而在交通不便、信息不灵的偏远地区和农村,人们可选择的商品很少,遥远的地理空间加大了购物的困难和商品信息的沟通,市场远未充分开发。如果借助于网络开拓我国最大的市场———偏远地区市场及广大的农村市场,那么无疑是一种投资少,见效快的方式。针对这种情况,要积极开展网络营销,我们应采取相应的对策。第一,加强宣传教育和必要的培训,使大家充分认识网络商务活动的优势,提高对网络营销的认知、认可和接受的程度,转变和更新不适应现代信息化社会竞争的思想观念、工作方式和消费习惯。同时,企业应及时地向客户传授知识,培训客户如何适应网络营销,使客户感到在网上利用各种各样多媒体工具的方便和快捷,消除其神秘感。第二,加强基础设施建设,加大在网络建设方面的投入,尽快在有条件的地区设立电子商店,借助网络手段把市场的触角伸向社会的各个角落。我们应该认识到,与其盲目地在建设高档次、超豪华的大商场上下功夫,投入巨额资金,不如把有限的资金投入到网络的建设上和网络营销的推广和使用上。因此,政府有关方面要加强统一规划,在全国各地尽快建设一批网上消费品、网上农用品商店,多设销售终端,大力开拓市场。 第三,加强企业内部、外部网络建设,利用公司内部网实现信息共享,加快企业的现代化建设,促进企业管理思想和管理水平的大幅度提高,充分享受网络化商务处理所带来的巨大投资回报。对于企业可以先从电子邮件、EDI等开始,逐步简化并理顺公司内外的联系,随着网络应用的普及,建立自己的网页,将公众和用户需要的信息输入网站。在此基础上,逐步实现公司内部工作流程和业务流程的自动化,然后,与Internet连在一起,使得与商业伙伴、供应商、分销商进行网络上的合作成为可能,实现公司之间工作流程和业务流程的自动化。最后,当每个人都适应了在Internet上工作,顾客和用户在网上查看公司的网页,选择商品,从事网上营销就变成了现实。实际上,许多公司,如美国的通用汽车公司已认识到使位于底特律的总部和它在北美的8500个分销商之间建立通信和信息分配流水线化的必要性。通用汽车公司正在开发和使用可扩展销售系统,以提供迅速、准确的销售和资金服务,极大地改进客户服务,节省商业时间,降低销售费用,增加分销商的利润。以前由总部发出的产品价格、新产品的性能及优点介绍,产品的升级和故障诊断服务,是靠信函、磁带（盘）、CD-ROM送到分销商手中,这往往使分销商在收到信息资料的同时,就已经过时了,而利用实时信息交换和通信销售自动化就可以很好地解决这一问题。实践证明,网络营销可以更好地解决企业的所谓“3C”问题,即Content（信息管理）、Collabo ration（合作）及Commerce（商务业务）。 第四,借鉴西方国家网络发展的经验,面对Internet带来的机遇和挑战,政府应制定相应的加快网络建设的规划和措施,在政策上给予开展网络营销的企业更优惠的政策和必要的倾斜。美国政府针对互联网的三项新政策,旨在促进网上贸易的发展,保持美国在高科技领域的领先地位。克林顿的“网络新政”认为Internet是未来经济的重要特征,由网上贸易带动的需求猛增,并引导大规模的基础设施建设,由此产生的高工资、高技术将会刺激经济繁荣,带动经济高涨,创造更多的就业机会,解决就业问题。我们可以看到“克林顿经济学”中最核心的东西,就是数字化网络与两高一低（高增长、高就业、低通胀）为特征的“新经济”之间的内在联系。它把“新经济”与发展信息网络之间的关系表现得淋漓尽致,具有鲜明的信息时代的特征。 网络营销的出现,使传统的经营模式和经营理念发生了巨大的变化。网络营销以及信息经济学所体现的直接生产方式,从微观经济学的角度讲,有助于拉近厂商与顾客的关系;从宏观经济学角度讲,有助于熨平周期性的波动。网络营销将创造全新的商业需求、机会、规则和巨大的效益,将市场的空间形态、时间形态和电子虚拟形态结合起来,将物质流、货币流和信息流汇集成开放的、良性循环的环路,使经营者以市场为纽带,在市场上发挥最佳的作用,得到最大的效益。市场上有两种商业行为方式:一种是“拉”的形式,即客户的需求导致厂商发展某种技术;一种是“推”的形式,即厂商把自己的技术和产品推向市场和客户。网络营销具有上述“双向性”的市场行为,这决定了它的发展趋势将是不可阻挡的,发展前景也将会大大超过我们的想象。可以肯定,开展网络营销将带给我们一个经济更加繁荣的时代。

信息安全论文 学号： 信息安全论文 企业信息系统运行与操作安全解决方案 姓 名： 学 校： 班 级： 作业时间： 2 010 年 5 月 共 10 页 第1页 信息安全论文 学号： 摘要 本文阐述了企业的信息系统运行与操作中的管理制度的建设， 以及在运行维护过程中所遇到的 各类信息安全问题，以及所采取的对策。总结了解决企业信息系统安全问题的需采取管理手段和 技术手段相结合的综合解决方案。 引言 信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护，不因偶然和恶意的原因 而遭到破坏、更改和泄漏，信息系统连续正常运行。 信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险，其安全威胁无时 无处不在。对于大型企业信息系统的安全问题而言，不可能试图单凭利用一些集成了信息安全技 术的安全产品来解决，而必须考虑技术、管理和制度的因素，全方位地、综合解决系统安全问题， 建立企业的信息系统安全保障体系。从技术上看，任何新建立的系统都不可能是尽善尽美的，都可能存在着只有在实际运行中才能发现的缺陷。另外，随着企业内部与外部环境的变化，系统也会暴露出不足之处或不 相适应之处，这是在系统运行过程中始终存在的必须要予以解决的问题。从管理上看， 就是对信息系统的 运行进行控制，记录其运行状态，进行必要的修改与补充，以便使信息系统真正符合管理决策的需要，为管理 决策服务。 信息系统的运行管理工作应该由一个专门的信息管理机构负责， 在一套完整的操作规范与管理规范 的约束下，靠全体管理与使用信息系统的人员共同来完成。运行管理的目标是使信息系统在一个预期的时间内 能正常地发挥其应有的作用，产生其应有的效益。 一、企业信息系统运行与维护安全管理制度企业实现管理信息化后，企业的业务流程、工作方法、各职能部门之间以及企业与外部环境之间的相互关 系都发生了一定的变化，企业原有的一套管理制度，例如内部控制制度已不在适应新环境下的管理需求，因此 需要制定一系列新的管理制度。 1.各类机房安全运行管理制度 各类机房安全运行管理制度 共 10 页 第2页 信息安全论文 学号： 设立机房主要有两个目的，一是给计算机设备创造一个良好的运行环境，保护计算机设备；二是防止各种 非法人员进入机房，保护机房内的设备、机内的程序和数据的安全。机房安全运行是通过制定与贯彻执行机房 管理制度来实施的。机房管理的主要内容包括： （1）有权进入机房人员的资格审查。 一般说来， 系统管理员、操作员、录入员、审核员、维护人员以及 其他系统管理员批准的有关人员可进入机房，系统维护员不能单独入机房； （2）机房内的各种环境要求。比如机房的卫生要求，防水要求； （3）机房内的各种环境设备的管理要求； （4）机房中禁止的活动或行为，例如，严禁吸烟、喝水等； （5）设备和材料进出机房的管理要求，等等。 2．信息系统的其他管理制度 ．信息系统的运行制度，还表现为软件、数据、信息等其他要素必须处于监控之中。其他管理制度包括如下： （1）必须有重要的系统软件、应用软件管理制度； （2）必须有数据管理制度，如重要输入数据的审核、输出数据备份保管等制度； （3）必须有权限管理制度，做到密码专管专用，定期更改并在失控后立即报告； （4）必须有网络通信安全管理制度； （5）必须有病毒的防治管理制度，及时检查、清除计算机病毒，并备有检测、清除的记录； （6）必须有人员调离的安全管理制度。 人员调离的 同时马上收回钥匙、移交工作、更换口令、取消账号， 并向被调离的工作人员申明其保密义务，人员的录用调入必须经过人事组织技术部门的考核和接受相应的安全 教育。 企业信息系统运行文档与记录管理制度 二、企业信息系统运行文档与记录管理制度 企业信息系统运 1、企业信息系统运行文档管理 、管理信息系统的文档 是系统开发过程的记录， 是系统维护人员的指南，是开发人员与用户交流的工具。 规范的文档意味着系统是工程化、规范化开发的，意味着信息系统的质量有了程序上的保障。文档的欠缺、文 档的随意性和文档的不规范，极有可能导致原来的系统开发人员流动后，系统难以维护、难以升级，变成一个 没有扩展性、没有生命力的系统。所以为了建立一个良好的管理信息系统，不仅要充分利用各种现代化信息技 术和正确的系统开发方法，同时还要做好文档的管理工作。 系统文档不是一次性形成的，它是在系统开发、设计、实施、维护过程中不断地按阶段依次推进编写、修 改、完善与积累而形成的。信息系统开发过程中的主要文档有：系统开发立项报告、可行性研究报告、系统开 共 10 页 第3页 信息安全论文 学号： 发计划书、系统分析说明书、系统设计说明书、程序设计报告、系统测试计划与测试报告、系统使用与维护手 册、系统评价报告、系统开发月报与系统开发总结报告等。 文档的重要性决定了文档管理的重要性，文档管理是有序地、规范地开发与运行信息系统所必须做好的重 要工作。目前我国信息系统的文档内容与要求基本上已有了较统一的规定。根据不同的性质，可将文档分为技 术文档、管理文档及记录文档等若干类。 系统文档是相对稳定的，随着系统的运行及情况的变化，它们会有局部的修改与补充，当变化较大时，系 统文档将以新的版本提出。 系统文档的管理工作主要有： 1．文档管理的制度化、标准化 （1）文档标准与格式规范的制定； （2）明确文档的制定、修改和审核的权限； （3）制定文档资料管理制度。例如文档的收存、保管与借用手续的办理等。 2．维护文档的一致性 信息系统开发建设过程是一个不断变化的动态过程，一旦需要对某一文档进行修改，要及时、准确地修改 与之相关的文档；否则将会引起系统开发工作的混乱。而这一过程又必须有相应的制度来保证。 3．维护文档的可追踪性 为保持文档的一致性与可追踪性， 所有文档都要收全， 集中统一保管。 2、企业信息系统日常记录管理。 、企业信息系统日常记录管理。信息系统的日常运行管理是为了保证系统能长期有效地正常运转而进行的活动，具体有系统运行情况的记录、 系统运行的日常维护及系统的适应性维护等工作。 1．系统运行情况的记录 从每天工作站点计算机的打开、应用系统的进入、功能项的选择与执行，到下班前的数据备份、存档、关 机等，按严格要求来说都要就系统软硬件及数据等的运作情况作记录。 运行情况有正常、 不正常与无法运行 等，后两种情况应将所见的现象、发生的时间及可能的原因作尽量详细的记录。为了避免记录工作流于形式， 通常的做法是在系统中设置自动记录功能。另一方面，作为一种责任与制度，一些重要的运行情况及所遇到的 问题，例如多人共用或涉及敏感信息的计算机及功能项的使用等仍应作书面记录。 系统运行情况的记录应事先制定尽可能详尽的规章制度，具体工作主要由使用人员完成。系统运行情况无 论是自动记录还是由人工记录，都应作为基本的系统文档作长期保管，以备系统维护时参考。 2．系统运行的日常维护 共 10 页 第4页 信息安全论文 学号： 系统的维护包括硬件维护与软件维护两部分。软件维护主要包括正确性维护、适应性维护、完善性维护三 种。正确性维护是指诊断和修正错误的过程；适应性维护是指当企业的外部环境、业务流程发生变化时，为了 与之适应而进行的系统修改活动；完善性维护是指为了满足用户在功能或改进已有功能的需求而进行的系统修 改活动。软件维护还可分为操作性维护与程序维护两种。操作性维护主要是利用软件的各种自定义功能来修改 软件，以适应企业变化；操作性维护实质上是一种适应性维护。程序维护主要是指需要修改程序的各项维护工 作。 维护是系统整个生命周期中，最重要、最费时的工作，其应贯穿于系统的整个生命周期，不断重复出现， 直至系统过时和报废为止。现有统计资料表明：软件系统生命周期各部分的工作量中，软件维护的工作量一般 占 70％以上，因此，各单位应加强维护工作的管理，以保证软件的故障及时得到排除，软件及时满足企业管理 工作的需要。加强维护管理是系统安全、有效、正常运行的保证之一。 在硬件维护工作中，较大的维护工作一般是由销售厂家进行的。使用单位一般只进行一些小的维护工作， 一般通过程序命令或各种软件工具即可满足要求。使用单位一般可不配备专职的硬件维护员。硬件维护员可由 软件维护员担任，即通常所说的系统维护员。 对于使用商品化软件的单位，程序维护工作是由销售厂家负责，单位负责操作维护。单位可不配备专职维 护员，而由指定的系统操作员兼任。 对于自行开发软件的单位一般应配备专职的系统维护员，系统维护员负责系统的硬件设备和软件的维护工 作，及时排除故障，确保系统诉正常运行，负责日常的各类代码、标准摘要、数据及源程序的改正性维护、适 应性维护工作，有时还负责完善性的维护。 在数据或信息方面，须日常加以维护的有备份、存档、整理及初始化等。大部分的日常维护应该由专门的 软件来处理，但处理功能的选择与控制一般还是由使用人员或专业人员来完成。 为安全考虑， 每天操作完毕 后，都要对更动过的或新增加的数据作备份。一般讲，工作站点上的或独享的数据由使用人员备份，服务器上 的或多项功能共享的数据由专业人员备份。除正本数据外，至少要求有两个以上的备份，并以单双方式轮流制 作，以防刚被损坏的正本数据冲掉上次的备份。数据正本与备份应分别存于不同的磁盘上或其他存储介质上。 数据存档或归档是当工作数据积累到一定数量或经过一定时间间隔后转入档案数据库的处理，作为档案存储的 数据成为历史数据。为防万一，档案数据也应有两份以上。数据的整理是关于数据文件或数据表的索引、记录 顺序的调整等，数据整理可使数据的查询与引用更为快捷与方便，对数据的完整性与正确性也很有好处。在系 统正常运行后数据的初始化主要是指以月度或年度为时间企业的数据文件或数据表的切换与结转数等的预置。 维护的管理工作主要是通过制定维护管理制度和组织实施来实现的。 维护管理制度主要包括以下内容： 系 统维护的任务、 维护工作的承担人员、软件维护的内容、硬件维护的内容、系统维护的操作权限、软件修改的 手续。共 10 页 第5页 信息安全论文 学号： 3．系统的适应性维护 企业是社会环境的子系统，企业为适应环境，为求生存与发展，也必然要作相应的变革。作为支持企业实 现战略目标的企业信息系统自然地也要作不断的改进与提高。从技术角度看，一个信息系统不可避免地会存在 一些缺陷与错误，它们会在运行过程中逐渐暴露出来，为使系统能始终正常运行，所暴露出的问题必须及时地 予以解决。为适应环境的变化及克服本身存在的不足对系统作调整、修改与扩充即为系统的适应性维护。 实践已证明系统维护与系统运行始终并存， 系统维护所付出的代价往往要超过系统开发的代价， 系统维护 的好坏将 显著地影响系统的运行质量、系统的适应性及系统的生命期。我国许多企业的信息系统开发好后，不 能很好地投入运行或难以维持运行，在很大程度上就是重开发轻维护所造成的。 系统的适应性维护是一项长期的有计划的工作， 并以系统运行情况记录与日常维护记录为基础， 其内容有： （1）系统发展规划的研究、制定与调整； （2）系统缺陷的记录、分析与解决方案的设计； （3）系统结构的调整、更新与扩充； （4）系统功能的增设、修改； （5）系统数据结构的调整与扩充； （6）各工作站点应用系统的功能重组； （7）系统硬件的维修、更新与添置； （8）系统维护的记录及维护手册的修订等。 信息系统的维护不仅为系统的正常运行所必须．也是使系统始终能适应系统环境，支持并推动企业战略目 标实现的重要保证。系统适应性维护应由企业信息管理机构领导负责，指定专人落实。为强调该项工作的重要 性，在工作条件的配备上及工作业绩的评定上与系统的开发同等看待。 三、系统的安全监控管理 系统的安全监控管理现代信息系统是以计算机和网络为基础的共享资源，随着计算机和网络技术的加速普及，以开放性和共享 性为特征的网络技术给信息系统所带来的安全性问题就日益突出起来。 企业信息系统是企业投入了大量的人力与财力资源建立起来的， 系统的各种软硬件设备是企业的重要资产。 信息系统所处理和存储的信息是企业的重要资源，它们既有日常业务处理信息、技术信息，也有涉及企业高层 的计划、决策信息，其中有相当部分信息是企业极为重要的并有保密要求的，这些信息几乎反映了企业所有方 面的过去、现在与未来。如果信息系统软硬件的损坏或信息的泄漏就会给企业带来不可估量的经济损失，甚至 危及企业的生存与发展。 因此信息系统的安全与保密 是一项必不可少的、极其重要的信息系统管理工作。 一方面是信息安全与保密的重要性，另一方面，信息系统普及和应用使得信息系统深入到企业管理的不同 层面，互联网技术在企业信息化建设中的应用又使得企业与外界的信息交往日益广泛与频繁。近年来世界范围共 10 页 第6页 信息安全论文 学号： 内的计算机犯罪、计算机病毒泛滥等问题，使信息系统安全上的脆弱性表现得越来越明显。所以信息系统安全 的问题显得越发重要。 信息系统的安全与保密是两个不同的概念，信息系统的安全是为防止有意或无意的破坏系统软硬件及信息 资源行为的发生，避免企业遭受损失所采取的措施；信息系统的保密是为防止有意窃取信息资源行为的发生， 使企业免受损失而采取的措施。 1．影响信息系统安全性的因素 信息系统的安全性问题主要由以下几方面原因所造成： （1）自然现象或电源不正常引起的软硬件损坏与数据破坏了，例如地震、火灾、存储系统、数据通信等； （2）操作失误导致的数据破坏； （3）病毒侵扰导致的软件与数据的破坏； （4）人为对系统软硬件及数据所作的破坏。 2．维护措施 为了维护信息系统的安全性与保密性，我们应该重点地采取措施，做好以下工作： （1）依照国家法规及企业的具体情况，制定严密的信息系统安全与保密制度，作深入的宣传与教育，提高 每一位涉及信息系统的人员的安全与保密意识。 （2）制定信息系统损害恢复规程，明确在信息系统遇到自然的或人为的破坏而遭受损害时应采取的各种恢 复方案与具体步骤。 （3）配备齐全的安全设备，如稳压电源、电源保护装置、空调器等。 （4）设置切实可靠的系统访问控制机制，包括系统功能的选用与数据读写的权限、用户身份的确认等。 （5）完整地制作系统软件和应用软件的备份，并结合系统的日常运行管理与系统维护，做好数据的备份及 备份的保管工作。 （6）敏感数据尽可能以隔离方式存放，由专人保管。 上述措施必须完整地严格地贯彻，尤其是人的安全保密意识，必须强调自觉、认真的参与，承担各自的责 任。只有这样才可能从根本上解决信息系统的安全保密问题。 四、企业信息安全事故报告与处置管理 安全事故就是能导致资产丢失与损害的任何事件，为把安全事故的损害降到最低的程度，追踪并从事件中吸取 教训，组织应明确有关事故、故障和薄弱点的部门，并根据安全事故与故障的反应过程建立一个报告、反应、 评价和惩戒的机制。 1、控制目标－报告安全事故和脆弱性 、控制目标－共 10 页 第7页 信息安全论文 学号： 目标：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施 应该准备好正常的事件报告和分类程序，这类程序用来报告可能对机构的财产安全造成影响的不同种类的 事件和弱点，所有的员工、合同方和第三方用户都应该知晓这套报告程序。他们需要尽可能快地将信息安全事 件和弱点报告给指定的联系方。控制措施－安全事故报告， 组织应明确信息安全事故报告的方式、报告的内容、 报告的受理部门，即安全事件应在被发现之后尽快由适当的受理途径进行通报。 应当尽可能快速地通过适当管理渠道报告安全事故。组织的普通员工通常是安全事件的最早发现者，如果 安全事件能及时发现并报告相应的主管部门，做出及时的处理，能使组织的经济损失及声誉损失降到最低。 为及时发现安全事件，组织应建立正式的报告程序，分别对安全事故的报告做出明确规定。应当让所有员工和 第三方的签约人都了解报告程序并鼓励他们在安全事件发生的第一时间就尽快报告。还应当建立起事故反应机 制，以便在接到事故报告时，有关部门能及时采取的措施。 应当建立适当的反馈机制，确保在处理完事故之后，使员工能够知道所报告事故的处理结果。同时可以用 这些事故来提高用户的安全意识，使他们了解发生了什么情况、对这种情况怎样做出反应并且将来如何避免这 些事故。针对不同的类型的安全事件，做出相应的应急计划，规定事件处理步骤，基于以下因素区分操作的优 先次序：①保护人员的生命与安全②保护敏感资料③保护重要的数据资源④防止系统被破坏将信息系统遭受的 损失降至最低对非法入侵进行司法取证系统恢复运行。 控制措施－安全弱点报告，应当要求信息服务的使用者记下并报告任何观察到的或可疑的有关系统或服务方面 的安全弱点或受到的威胁。应当要求信息服务的用户注意并报告任何观察到或者预测到的系统或者服务中存在 的弱点、或者是受到的威胁。用户应当尽快向管理层或者服务供应商报告此类事件。应当告知用户，一旦发现 安全弱点，就会及时报告，而不要试图去证实弱点存在，因为测试系统缺陷的行为可能会被安全管理人员或安 全监控设施看作是对系统的攻击。 2、控制目标－信息安全事故管理和改进 、控制目标－ 目标：确保使用持续有效的方法管理信息安全事故 一旦信息安全事件和弱点报告上来，应该立即明确责任，按照规程进行有效处理。应该应用一个连续性的 改进过程对信息安全事故进行响应、监视、评估和总体管理。如果需要证据的话，则应该搜集证据以满足法律 的要求。 职责和程序： 应建立管理职责和程序，以快速、有效和有序的响应信息安全事故， 除了对信息安全事件和弱点进行报告外， 还应该利用系统的监视、报警和发现脆弱性的功能来检测信息安全事故。在建立信息安全事故管理目标时，要 与管理层达成一致意见，应该确保负责信息安全事故的管理人员理解在组织中处理信息安全事故时，事故处理 优先权的规则。 控制措施－从事故中吸取教训， 应当有相应的机制来量化并监测信息安全事故的类型、大小和造成的损失。 共 10 页 第8页 信息安全论文 学号： 安全事件发生后，安全主管 部门应对事故的类型、严重程度、发生的原因、性质、频率、产生的损失、责任人 进行调查确认，形成事故或故障评价资料。已发生的信息安全事件可以作为信息安 全教育与培训的案例，以便 组织内相关的人员从事故中学习，以避免再次出现；如果安全事件再次发生，能够更迅速有效地进行处理。 控制措施－收集证据 当安全事故发生后需要对个人或组织采取法律行动（无论是民事诉讼还是刑事诉讼）时，都应当以符合法 律规定的形式收集、保留并提交证据。当组织需要实施惩戒行动时，应该制定和遵循组织内部收集和提交证据 的规范程序。证据规则包括： 证据的可用性：证据能被法律部门采纳，可在法庭上出示； 证据的有效性：证据的质量和完整性。 为了确保证据的可用性，组织应该保证自己的信息系统在采集证据过程中，符合有关标准和规范的要求。 为保证证据的有效性，组织应当采取必要的控制措施来保证证据的质量和完整性控制要求，在从证据被发现到 存储和处理的整个过程中，都应当建立较强的审计轨迹。 任何司法取证工作都只允许在原始证据材料的拷贝上进行，以确保所有证据材料的完整性都得到了妥善保 护。证据材料的拷贝应该在可信赖人员的监督下进行，什么时候在什么地方进行的拷贝，谁进行的拷贝，使用 了什么工具和程序进行的拷贝，这些都应该记录在日志中。 五、企业信息系统操作安全管理 1、 操作权限： 、 操作权限：为了企业信息系统正常运行，参照公安部的有关规定和要求，根据企业的实际情况制定系统操作权限管理 制度。如： (1). 网络服务器、备份服务器，网络设备、备份设备必须由专人专管不得随意使用。所有设备必须设置 不同权限的密码。系统管理员、操作员、数据库管理员、数据库操作员严格区分。明确权限范围，不得 越权操作。 ⑵ . 系统操作权限管理和管理人员岗位工作职责制度 应明确各计算机岗位职责、权限,严禁串岗、替岗。 ⑶. 每个管理员和不同管理权限岗位的工作人员不对外泄密码，因密码外泄造成网络遭受损失的，将按 我中心有关制度严肃处理。 ⑷ . 每个管理人员必须定期变更设备密码，严禁设置弱密码，密码一经设置和更改，管理人员必须负责 做好密码备份，并报分管副主任和网络管理科备份。 2、操作规范 、可根据企业的实际情况制定系统操作权限管理制度。如：共 10 页 第9页 信息安全论文 学号： 系统使用管理 ⑴ .保证信息系统的安全可靠运行，必须对系统的操作使用做出严格的控制⑼ ⑵ .在信息系统投入运行前，由信息主管根据单位主管的要求确定本系统的合法有权使 用、人员及其 操作权限，并报单位主管审核批准后地系统内授权其使用权，运行中需按同样手续办理。 ⑶ .对各使用人员明确划分使用操作权限，形成适当的分工牵制，健全内部控制制度。 ⑷ .为每个操作人员都设置不同操作密码，谢绝无并人员用机器做其他工作。 ⑸ .设立“计算机使用登记簿”，任何人均须登记方可用机。 ⑹ .任何人员不得直接打开数据库文件进行操作， 不允许随意增删改数据、 原程序和数据库文件 结构。 ⑺ .操作人员不允许进行系统性操作。 ⑻ .操作人员应按规定范围内对系统进行操作，负责数据的输入、运算、记帐和打印有关帐表。 ⑼ .档案管理员负责应对存档数据、软盘、帐表和文档资料进行统一复制、核对和保管。 ⑽ ．系统管理员应做好日常检查监督工作，发现不规范应及时制 止，并采取措施避免同样情况 再次 发生。 用户上机操作规程 用户上机操作规程 (1).上机人员必须是会计有权使用人员，经过培训合格并经财务主管正式认可后，才能上机操作。 (2).操作人员上机操作前后，应进行上机操作登记，填写真实姓名、上机时间、操作内容，供系 统管理 员检查核实。 (3).操作人员上机前应做好各项准备工作，尽量减少占用机器时间，提高工作效率。 (4).操作人员的操作密码应注意保密，不能随意泄露，密码要不定期变更。 (5).操作人员必须严格按操作权限操作，不得越权或擅自上机操作。 (6).操作人员应严格按照凭证输入数据，不得擅自修改凭证数据。 (7).每次上机工作完毕后都要作好工作备份，以防意外事故。 (8).在系统运行过程中， 操作人员如要离开工作现场， 必须在离开前退出系统， 以防止其他人越 权操作。 总结：信息系统安全管理必须综合考虑各方面的安全问题，全面分析整个系统，并对系统中各子系统 的交界面给予特别的强调，在系统寿命周期的早期阶段应用系统安全管理，会得到最大的效益。系统安 全管理主要在给定条件下，最大程度地减少事件损失，并且尽可能地减少因安全问题对运行中系统进行 的修改。系统安全管理通过制定并实施系统安全程序计划进行记录，交流和完成管理部门确定的任务， 以达到预定的安全目标。 共 10 页 第 10 页