Kaiyun 开云Kaiyun 开云Kaiyun 开云在如今电子商务逐渐形成的买方市场中,以市场为导向、以需求为中心的电子商务模式将成为发展趋势,这要求电子商务企业更注意对市场的反应及对产品、客户的管理,而针对电子商务的特点及对企业的影响制定相应的对策是保证电子商务顺利实施的关键。基于此,本文以A电子公司为例对电子商务问题进行具体的案例探讨。
我国的电子商务始于1997年,在经历了10多年的信息化建设之后,中国电子商务进入了稳定的发展时期,如今随着新经济时代的高速发展和电子商务环境的改善,已经有越来越多的企业进入到电子商务领域。近年来企业日益重视电子商务对业务经营及管理的影响,电子商务的实施对策也成为了社会热点。在电子商务发展初期,企业片面地认为电子商务即是信息化、网络化建设,但随着电子商务发展的深入,企业界认识到电子商务并不等同于简单的营销网络化,电子商务这种新兴的商务模式并不等同于传统的商务模式,其对企业经营管理的各个方面都有较大的影响。本文以A电子公司为例,对电子商务在企业的具体运用问题进行研究。
A公司成立于2003年,是一家专业从事计算机应用软件,网络通讯产品开发、应用、销售以及专业提供网站建设等一系列电信增值业务的高科技公司,隶属于XX有限公司,先后与中国电信、华硕、技嘉科技、微星、软铸国际股份有限公司等结成战略联盟伙伴。A公司主要经营的产品有网络交换机、路由器等通信设备。除了专业销售网络通讯产品设备外,公司还提供各行业专业需求的IT和内部通讯解决方案等各项服务。
A公司作为一家生产网络通讯产品为主的企业,面临着极大的竞争和困难。行业内竞争激烈,成本战、价格战、技术战使得许多企业不堪重负,激烈的竞争使得消费者的选择范围极大,功能相似的替代品为企业的产品带来了难以估计的潜在竞争力量。在如此激烈的竞争环境下,竞争对手们纷纷开展电子商务,以拓宽市场面,节省交易成本,而这又间接导致了电子商务领域的竞争,于是以客户为中心,市场为向导的经营思想成为了电子商务市场的潮流主导。而要实现以客户为中心,必然需要加强对客户资源的管理,加快对市场变化的反应速度,增强对市场信息的搜集和分析能力,以保持竞争力。这就要求企业必须整合内外部的信息资源,建立高速有效的集成信息系统,以满足企业经营管理的需要。公司的电子商务策略核心部分是客户管理和信息集成,对于企业的经营目标来说,客户管理和服务是重中之重,因此,实施电子商务必须要明确其本质。一切商务活动的本质是服务,服务一般以无形的方式,在客户与职员、有形产品或服务系统之间发生,可以解决客户问题、满足客户需要的一种或一系列服务。对企业来说致力于使客户满意并继续购买公司产品或服务的一系列活动统称为客户服务。客户服务是展示企业文化和企业形象的最直接通道,是企业文化的重要组成部分。顾客满意对企业至关重要。良好的产品或者服务,最大限度地使顾客满意,成为企业在激烈竞争中独占市场、赢得优势、取得胜利的法宝。只有让顾客满意,他们才可能持续购买,成为忠诚顾客,企业才能永远生存。所以,顾客满意是企业战胜竞争对手的最好手段,是企业取得长期成功的必要条件。经济的全球化使得企业之间的界限越来越模糊。现代企业所面临的市场竞争无论在广度还是深度上都在进一步扩大,竞争者已不仅仅包括行业内部已有的或潜在的竞争对手。在利益机制驱动下,许多提供替代产品或服务的竞争者、供应商和客户也加入了竞争者的链条中来。竞争的观念逐渐由以利润为导向发展到以客户为导向、保持持续竞争力为导向。
传统经营模式是以产品为竞争基础。企业关系更多的是企业内部运作效率和产品质量的提高,以此提高企业的竞争力。随着全球经济一体化和竞争的加剧,产品同质化的趋势越来越明显,产品的价格和质量的差别不再是企业活力的主要手段。企业认识到满足客户的个性化需求的重要性,甚至能超越客户的需要和期望。以客户为中心、倾听客户呼声和需求、对不断变化的客户期望迅速做出反应的能力成为企业成功的关键。因此,企业的生产运作开始转到完全围绕以“客户”为中心进行,从而满足客户的个性化需求。
以客户服务为中心就是以市场为导向,以满足客户需求为中心,以经济和社会效益最大化为目标,通过提供高价值的服务使客户满意和愉悦,从而求得企业长期可持续性发展。以客户服务为中心强调的是不断满足客户的需求,更注重无形产品即服务和质量,企业的核心业务流程在于服务环节,企业获利要来自于高品质的服务所带来的附加值。现代顾客需要的是个性化的服务,网络为顾客提供了全天候、即时、互动等全新概念的工具:这些性质迎合了现代顾客个性化的需求特征,所以,越来越多的公司将网络顾客服务整合到公司的经营计划之中,而以客户为中心的电子商务经营模式又决定了企业的一切:经营模式、营销模式、竞争策略。企业必须对自身的经营模式进行调整,对业务流程进行重组,并且对信息系统的数据整合提出了新的要求。
业务流程重组概念的是哈默等人对影响当今企业发展的“3C”要素——顾客(Customer)、竞争(Competition)和变化(Change)作了深入分析后提出的。他们认为,“3C”已成为影响企业生存和发展的三股重要力量,要适应这种趋势,实施业务流程重组是根本的出路。近年来电子商务的发展,“3C”要素对企业发展的影响越来越显著,实施业务流程重组也就越来越必要了。
随着市场供求关系的变化,顾客的选择权和决定权越来越大,而且,客户需求的个性化和多样化的要求也在不断提高,真正成了主宰市场变化的主导力量。电子商务的发展将使顾客的地位变得更加重要,因为网络使顾客的选择突破了时空的限制,全球化市场浓缩在眼前的计算机屏幕;传统的费时费力的购买决策也变得十分简单,顾客只要动动鼠标即可作出决定;顾客的忠诚度也变得不堪一击,因为顾客选择不同的商家只需要切换一下屏幕而已。A公司目前的最大问题就是顾客的忠诚度不高,顾客的投诉仅处理77.27%,顾客对公司的产品和服务均不满意,严重的妨碍了企业的形象建立和品牌战略实施。
全球经济一体化的发展使得国际、国内市场的界限变得越来越模糊,国际竞争国内化、国内市场国际化将成为企业生存环境变化的一个新的特征。它突破了地域的限制,竞争的范围骤然扩大;竞争的形式变得越来越多样化,因为传统的以降价作为主要手段的竞争方式已显得越来越难以奏效,代之而起的将是时间(Time)、质量(Quality)、成本(Cost)和服务(Service)等共同组成的新的竞争要素组合。A公司一旦实施电子商务,面临的将不仅仅是重庆地区的同行业竞争,更需要面对西门子、IBM等大企业的竞争,电子商务在带来广阔的市场环境同时也带来了更激烈的竞争。
在经济全球化、信息网络化的今天,“变化”已成为这个时代的重要特征。“Change is Changing”充分说明了当今世界“惟一不变的准则是一切都在变”的道理。网络技术的发展加快了这种变化的速度,市场环境的变化、客户需求的变化、竞争者的变化、科学技术的变化等等都是每时每刻发生着,而且,每一细小的变化都可迅速扩散至世界每一个角落。“变化”的时代要求企业成为“变化的企业”,视“变化”为机遇,视“变化”为动力,视“变化”为企业生命力的源泉。市场与技术能力的不断变化要求A公司在实施电子商务后要能跟上行业的变化,在新技术的创新和客户需求发现等方面需要提高企业自身能力,以避免被行业的变化淘汰。
虽然A公司目前实施了部门信息化系统,但是整体来看还无法完全满足电子商务的需要,面对电子商务的大数据量处理要求及信息共享等特点,需要对企业的软硬件进行升级,其升级费用会相应增加企业成本。
我国现代化水平与发达国家有较大差距,各种电子支付系统还在发展完善过程之中,电子结算方式在个人消费领域还不普遍,有待推广和改进。据不完全统计,目前在我国居民当中流通的各种形式的信用卡和借记卡大约有1亿多张,人均0.1张,与发达国家有几十倍的差距,各个商业银行的银行卡不能互通互联,也影响信用卡的普及和直接网上支付。目前电子商务的支付环节,用的是土洋结合的办法,信用卡、借记卡、储蓄卡、邮局汇款和货到付现等多种支付方式混合使用。网上安全认证体系不统一且易受黑客攻击。如果不能实现在线支付、快速配送和安全认证,电子商务不仅不能降低成本,反而会增加交易成本,体现不了“无须远行,无须久等”的优势。另外,我国有关电子商务的法律法规尚是空白,也影响电子商务的推广。可以说,发展电子商务,网络是核心,法律规范是基础。
电子商务的交易达成之后,如何快捷、准确、安全地将货物交付到消费者手中,是业界人士和消费者关切的问题。目前在配送方面,很多是邮局递送,速度慢,费用高,也不安全。
电子商务使企业管理过程中各组织之间的信息交流更加方便,现代信息技术和企业内部网络的使用使得横向信息交流和越级信息交流成为可能,借助于企业内部网,业务人员可以快速便捷地进行沟通,企业的最高领导可以随时直接了解下情,基层管理人员可以直接与最高领导对话;借助于计算机的监督,管理者的控制范围不断扩大,控制程度下降,管理者可以管理更多的下属,中间管理人员的地位不断下降,使得企业的管理逐渐扁平化。对此,A公司提出以下对策:
1)建立企业内部新的管理流程,借助IT技术实现办公自动化,减少文件、信息流通环节,以提高企业办公效率。
2)运用信息技术对管理信息系统进行监控,为相应的管理人员授权,规范企业内部信息交流、管理范围和行为规范。
4)以信息为中心进行科学的管理,利用信息技术完成经营数据收集,开发业务信息资源、整理、分析、消化、创造以及沟通、传播、分配信息等工作,为企业的经营管理提供决策支持,增强企业经营效率,使企业能真正的通过对业务的分析做出正确的决策,强化电子商务应用的信息集成优势,提升企业的经营效率。
电子商务系统主要通过管理员和技术支持人员进行维护和管理,由于电子商务的特性,需要为不同地区、不同客户提供24小时的服务,因此网站的维护和管理十分重要,如何保证电子商务网站为客户提供稳定高效的服务取决于企业对电子商务的管理。从管理员的角度来看,其流程主要为:管理员登录后台;发布公告、添加产品;查看、管理预定信息;退出管理平台。
管理员流程主要是针对电子商务网站的访问及客户信息、产品信息的展示等环节设置的,管理员通过身份验证,对产品、订单、用户信息、网站等进行维护和管理。
为适应电子商务管理模式扁平化的变化,A公司将减少业务处理的中间环节,对各管理人员配置相应的访问权限和管理范围,对业务人员进行培训,使其能有效的运用电子商务系统。信息技术人员需要进行新系统的技术培训,公司决定请系统开发商派遣技术人员进行为期3个月的系统实施和维护培训。减少事务型人员,削减中间管理人员和管理步骤,使公司的人员配置能使用电子商务的需求。
从以上的分析可以看出,信息系统的集成对于电子商务来说是极其重要的,电子商务的很多应用都是建立在完善的信息系统的基础上的,尤其是各系统之间的信息共享,更是需要企业认真的解决,以此来适应变化快速的市场信息,使企业能在市场上占到优势地位。在A公司内部现有实施的信息系统中,SAP的实施为企业实现内部控制,对生产流程进行优化等带来了优势,CRM为销售与客户关系管理建立了标准。这几个系统却是相对独立的,这为企业的进一步发展带来弊端。公司若开展电子商务,将使产品拥有更广阔的市场空间,在市场规模不大的情况下,这种弊端还不明显,一旦企业规模扩大,就会大大降低工作效率。比如:销售人员在销售过程中发现客户需要某种型号的产品,于是通过CRM查询库存,发现产品存量不足,由于系统间没有信息共享机制,只能通过人工联系生产部门,要求生产部门进行生产。而生产部门在接到请求后,需要手动输入SAP系统才能完成生产准备。这个过程在业务量不大,生产任务轻松的时候还可以做到较迅速的市场反应,一旦企业规模扩大,业务繁忙,将会大大降低企业效率,为企业带来不可估量的影响。电子商务作为近年来的经济热点,其重要作用不必赘述。在现阶段,电子商务的竞争主要依赖于市场的竞争,买方市场的压力迫使未来的电子商务模式必将转变为以买方市场为导向,以需求为中心,以竞标为手段,依托互联网和快捷的物流布局,向全球化高速发展的方式。
这种发展趋势就要求企业必须将内部系统进行集成,减少信息沟通成本,做到快速反应市场,保证企业竞争优势。在这些内因和外因的作用下,A公司提出将客户关系管理(CRM)、企业资源管理(ERP)与电子商务进行集成。在提到整合的时候,大家往往都期望无缝的实时的联接,对于这一需求,也要根据企业的管理需要来确定,不一定是接得越多就越好。例如,潜在客户信息对于销售来说非常重要,需要集中管理,而且销售经理要查看业务员是否按照规定定期拜访了这些可能的客户,但是至少在成单之前,这都是纯属营销范围的业务,需要用CRM进行管理,对于生产计划、物流配送不构成影响,也就是说,ERP系统中只保存交易客户信息就是足够的了。从这样的例子中我们看到,ERP和CRM的整合应当从管理需求,从企业实践出发,并非接得越多就越好,而是要达到有用的信息有效的传递。
对于一些主流的传统CRM、ERP系统来说,它们本身就具备了开放式的平台,其接口完全可以成为灵活的,可配置的工具,可以通过实施来实现,并且可以针对每个企业的具体需求进行调配和测试。如Turbo CRM的接口标准公布以来,已经在几家客户的实施实践中具备了与国内主流ERP厂商实现整合的条件,并将继续扩展其开放式的接口平台,与业内厂商一起推动企业信息化建设不断发展。而对于一些非传统型的ERP、CRM厂商来说,则需要其他一些整合方法。通常采用的有提供中间件、数据同步复制、二次开发、统一标准和统一使用等。通过对这些方法的分析,最好的整合方法只有两种。一是CRM和ERP两个系统出自同一个软件厂商,两者已经高度集成了。二是提供标准的中间件,方便系统升级维护,保护企业的有效。
考虑到系统的可扩展性和开放性,A公司将实施中间件的集成方式,以适应公司内部不同品牌的系统,同时也为今后企业的系统扩展或者是业务扩展提供了基础,方便不同模式的系统之间的信息通信和交流。在确立了应用中间件集成方式之后,需要考虑的是采用什么信息技术去实现。根据电子商务对策的原则之一——先进性和可操作性,A公司选用Web service架构,通过J2EE平台运用JMS进行异步通信,该方案可以使公司在今后得以方便地增减系统,并且在相当长的时期内保持技术上的先进性。异步通信技术对系统的扩展和可操作性提供了保证。
传统的营销主要是通过广告和人员推销进行促销,企业通过铺天盖地的广告对消费者进行狂轰滥炸,把产品信息强制地“推”给消费者,不管消费者需不需要,更不管消费者的内心感受;推销人员也根本不考虑推销对象是否需要或愿意接受,利用推销技巧强行说服和感化消费者;在电子商务的今天,消费者拥有了更多的选择和自主权,不再是营销活动的被动接受者,二是主动参与者。这需要企业采用从消费者的体验和需求出发,采取“拉”的策略吸引消费者。为此,A公司采用以下营销策略:
1)展示产品的具体性能,列出具体的性能参数,为消费者提供使用产品后的反馈平台,在方便消费者互相交流的同时,建立产品的口碑;
2)设计合理的网络广告,采用横幅、水印、多媒体动画等方式的广告宣传企业和产品信息,尽量避免消费者反感的跳出式、移动、按钮等方式的广告;
3)设计合理的调查问卷,定期或不定期对企业用户进行邮件等方式的营销调查,收集企业产品在客户中的口碑,发现产品及产品配套服务的不足之处,同时也可以采用在线问卷的方式对浏览客户进行营销调查;
4)有效的利用网络营销价格上的优势,实施有针对性的价格策略。比如采用顾客对价格不够敏感且在同类产品中具有价格竞争优势的产品进行低价、折扣价格以招揽“人气”,抢占市场等;
5)与新闻媒体建立良好的关系,与新闻媒介、商业网络社区、公共论坛等进行合作,扩大企业和产品的宣传面;
6)产品的页面上附有订单信息,包括产品价格、库存、已订货量等信息,顾客可以全面地对产品信息进行全面、综合的分析,再决定是否下订单,方便了客户的选择,从而赢得目标客户的信赖;告知顾客准确的收货时间,给顾客充分的自由选择权;对库存进行监督,保证库存量维持在能够满足即时需要的水平上;对顾客的订单实施跟踪,避免由于订单丢失或者被营销人员忽略造成的延误顾客的收货时间等;
1)购置硬件防火墙,设置多层式系统防火墙;在内部网与外部网之间设置防火墙,实现内外网的隔离与访问控制;安装网管软件,对网络设备、硬件的日常维护提供支持;
2)对管理员、用户进行严格的身份认证;控制不同用户的访问权限,包括对信息资源的读、写、执行等;
4)对业务数据、财务数据定期进行备份,主要采用磁盘镜像技术和数据库回复技术;
a.严格网络管理人员的选拔,选拔责任心强、讲原则、守纪律、了解市场的网络人员到关键岗位上;
b.落实工作责任制,要求网络人员严格遵守企业的网络营销安全制度,对违反网络交易安全规定的行为坚决打击;
c.将信息按重要程度划分为三级:绝密级,包括公司的经营状况报告、订/出货价格、公司的发展规划等,此密级只限于公司高层人员掌握;机密级,包括公司日常管理情况、会议通知等,此密级只限于中层以上的人员使用;秘密级,包括公司简介、新产品介绍、订货方式等,此密级仅供消费者浏览,设立保护程序。
d.建立网络交易系统日志机制,用于记录系统运行的全过程。其内容包括此操作日期、操作方式、登录次数、运行时间、交易内容等,以方便管理人员对系统的运行监督、维护分析、故障恢复,对防止案件的发生或在发生案件侦破提供监督数据。
电子商务经过10多年的发展进入了新的发展阶段,新的商务环境引发了企业经营模式的深刻变革,激烈的竞争使得客户日益成为了电子商务企业获得利润和竞争优势的重要资源,企业对市场的快速反应和对客户关系的管理是现代电子商务企业的竞争力体现。在电子商务的实际应用中,电子商务对企业在管理模式、业务流程、营销对策、信息系统等方面有很大的影响。本论文通过分析A公司的电子商务实践,期望能给其它企业提供一些有益的借鉴。
[1]黄爱玲,中金升,胡卉.基于电子商务的企业管理模式的探讨.华东经济管理[J].2002,2.
[2]王欣.企业建立与电子商务整合系统的必要性.管理信息系统[J].2000,4.
[3]刘军等编著.电子商务系统的规划与设计[M].人民邮电出版社.2001,4.
[4]杨路明,巫宁等编著.客户关系管理理论语实务[M].电子工业出版社.2004,3.
[5]刘承水等.客户关系管理与电子商务.华北电力大学学报[N].2002,2.
[7]王智.发展我国中小企业电子商务刍议.现代商业[J].2007,(21).
现在Internet上随处可见网上商城、网上书店等电子商务网站,让消费者足不出户就可购买到想到的商品,不仅方便了消费者,也让拥有电子商务网站的企业能及时向广大客户推销产品、构建企业形象、赢得利润。电子商务系统与传统的面对面的营销方式相比,具有不可比拟的优势,如销售成本与物流大大降低、信息传输及时等。
为适应电子商务发展的要求,建设一个网上书店系统,实现在网上销售书籍不仅体现书籍销售的多样化方式,而且能满足大量网络客户的需求。
网上书店以书籍目录及客户订单为基础。客户从Internet上使用IE浏览器登录,注册浏览查询并提交订单,网站按订单要求从后台反馈书籍订单的状态呈现给客户,客户根据订单状态获得订单的状态,客户也可通过留言等方式对书籍进行评价或质疑。
网上书店系统基于ramework实现,后台数据库使用SQL Server。
随着信息技术的快速发展,现代社会都是利用快速高效率的Internet来传播大量信息资源。人们通过IE浏览信息已经成为必不可少的获取信息的重要手段,同时随着销售模式多元化、客户需求多样化都必然促进了电子商务这一网络营销事务的发展。所谓电子商务就是指利用简单、快捷、低成本的电子通讯方式,买卖双方不出面也可以进行各种商贸活动,电子商务的发展最重要的途径就是建立在Internet技术上,利用多媒体技术和网络通信技术,在网络环境下开展的商务活动。电子商务有着传统销售模式所无可比拟的优点,它创造了一种全新的销售模式,打破了传统销售模式在时间、空间上的限制,采用了先进的销售手段和销售方法,大大提高了经济效率和资源利用率,使商务活动上了一个新台阶。
电子商务作为新的销售模式,其手段也在日渐规范、完善和科技化,针对电子商务的这种特点,提出建立网上书店这一构想正是适应市场发展需求的集中体现,网上书店以客户在线实时查询并提交购书订单的方式达到购书的目的事实已经证明是可行的。基于Internet的网络书店作为出版社一种全新的销售手段,越来越受到人们的关注。因此许多出版社也正是通过IE浏览或其它方式在网络进行书籍的宣传、销售。
随着信息以N次方的速度不断的增长,网上书店也变的极其重要。目前,在中国,网络营销已成为社会生活中重要的一部分,各种网上书店种类繁多,譬如当当网、卓越网等规模大,人数多,影响广,宠大的网络消费群体正在孕育一个巨大而有潜力的市场。
网上书店系统的目的是为了满足消费者只要通过互联网就可以足不出户的购买自己喜欢的书籍,改变传统商业交易,在互联网上进行交易,实现网上购买书籍。为了实现上述目的,我对网上书店系统有了深一步的了解,从而满足客户的要求,让他们可以随时找到自己想要购买的书籍。
本论文讨论了基于.NET的网络书店系统的设计思想及其实现方法。出版社使用该系统可以进行网上发布书目、销售书本、调查读者需求等;客户使用该系统在浏览器中观看出版社发布的书目、在网上订购书籍、查询书目、阅读信息、交流评价等。
使用网上书店系统的用户主要有三种:一是客户,可以浏览网上书店中的书籍信息、进行网上购书;二是网站的管理者,可以对网上书店中的书籍信息进行管理、处理客户的订单。三是出版社,主要对书籍进行配送。
系统要求用户提供帐号/密码,通过验证后才能进入系统主页,以此追踪用户身份。
系统管理员可以管理客户资料,而客户则不能访问管理员模块所提供的功能(发布书目、查看客户订单等)。
首页是客户打开网站的第一个页面,一般在这个页面中呈现的信息量最大,且需充分展现网站的亮点,以吸引客户、留住客户。首页中要展现的信息有:最近新书、特价书籍、 新注册用户、登录界面、各种书籍分类、广告条等
提供客户网上自助注册功能,填写注册表单并提交后,就能成为网上书店的用户,注册成功并登录后就可以进行网上购书了。
已登录的用户可以将需要购买的书籍放入购物车,可将已放入购物车中的书籍生成一张订单并作确认。
供网站管理员对网上书店中的书籍进行管理,可增加、修改、删除书籍的分类信息。
供网站管理员增加、修改、删除网上书店中书籍的基本资料信息,主要是文本信息。
供网站管理员管理客户提交的订单,客户“已确认”的订单可修改状态为“正在配货”,“正在配货”的订单可修改状态为“缺货”或“已发货”。
网上书店系统是采用采用三层体系结构将应用程序划分为三个逻辑层面,分别是表现层、业务层、数据层。
是用户与应用程序进行交互的端点。WIN32或者基于浏览器的图形用户界面(GUI)应用构成。在该层用户可以查看、输入和处理数据。从用户的角度来看,用户服务层就是整个应用。在3-层或著N-层体系结构中,用户服务层只能够执行与用户接口相关的任务,例如简单的数据格式化和验证,并依赖商务服务层来执行事务处理,应用服务规则以及检索数据。在本系统中,用户服务层由ASP.NETWeb Form 构成,它可以让消费用户游览和搜索书籍,向他们的购物增加书籍,并且下订单及一些网络“冲浪”功能,例BBS、Email等。
也称为中间层或者应用服务层,它负责封闭事务处理、商务规则、数据访问及其他的核心应用逻辑。商务服务层可以有效的作为前台用户服务层和后台数据服务和数据存储之间的桥梁。在网络书店系统中,商务服务层将由在Windows组件服务(COM+)中执行的事务处理和非事务处理.NET服务组件构成。商务服务层也会包含提供商务处理的ASP.NETWeb Service,例如下订单等,这些Web Service可以被商务客户和贸易伙伴操作的远程应用使用。
数据层包括数据操作和数据逻辑层,主要功能是将数据操作封装到类,一般通过数据封装类来操作数据,系统采用SQL Server数据库系统支撑,用SQL Server 2000数据库中设计出数据库表,用于存放数据。
数据服务(数据访问)层,该层负责检索和操作在一个或者多个数据存储中存储数据。通过将数据访问和操作分离到独立逻辑层中,就可以将商务服务层从附属存储的细节中抽象出去。数据服务层通常可以实现为编译组件或者存储过程,触发器和视图这样的特定于数据源的接口。在该网络书店系统中,数据服务层将实现为一组封装了SQL数据访问数据库中的数据。数据存储通常不会将其当作3层体系结构中的一部分,但是在系统的逻辑体系结构中还应该包含数据存储本身。它将会负责数据存储、检索、数据一致性以及事务处理的参与。
字段:用户编号,密码,用户名,邮箱,性别,地址,邮编,电线. 用户订单表
字段:用户编号,订购日期,书籍编号,订购数量,总金额,送货方式,付款方式,订单状态。
实现网上书店客户信息的注册、及身份验证。由于目前网上商城普遍采用的方式为送货上门或者邮寄,因此需要收集与客户相关的联系方式、通信地址等信息
点击注册按钮进入用户注册界面,针对用户信息表操作,填写各字段内容,完成后按确认键,相应信息存入用户信息表。
输入用户名和密码,点击确认键后,系统与用户信息表中的用户编号及密码进行核对。数据一致则通过验证,允许用户进入个人管理页面,否则提示错误信息,返回初始界面。
用户登录后,点击用户资料修改按钮,进入个人信息修改界面,显示并编辑用户信息表各字段内容。完成后按确认键,相应信息存入用户信息表;随时按放弃键作废此次修改并返回初始界面。
用于维护每一个进入网上书店的客户对应的购物车。即将客户所选购的书籍商品信息记录到对应的购物车中,以便于进行结账处理
点击购买按钮后,将测试请求发至后台,并显示订单表申请页面。输入书籍购买数量后系统自动检测书籍数量,如满足条件则提示用户填写邮购地址及邮购快递方式,填写完毕后提示用户进入费用支付界面,支付成功后,订单提交成功等待管理员审核并配送状态,等书籍配送结束发货成功后本次订单结束。
输入管理员名称和密码,按确认键后与系统管理员表中的数据进行比较,数据一致则通过验证,管理员可进入网站各管理系统进行操作;数据不一致则提示错误信息,返回网站初始页面。
该模块实现书籍书目信息的分类显示也是提供书籍信息依据书名及作者信息快速搜索的功能。此外,在用户选择了对应书目信息后,还可以显示出有关该书籍的详细信息,以便于客户了解所购商品。针对书籍目录数据表进行增删改操作,具体包括以下操作:
点击删除按钮,提示是否删除,如按确认键则删除当前书籍记录,如按放弃键则返回浏览界面。
根据客户购物车中的信息,以及客户所选择的送货方式和付款方式,连同客户对应的个人信息生成订单,以便于后续进行送货处理。
因网站涉及方面较多,本文的系统实现部分以重点实现用户注册,书籍信息发布和订单过程为主。下面是系统关键部分的数据结构、界面及代码。
ASP.NET是一个已编译的,基于.NET的环境,它可以使用任何与NET框架兼容的语言来创建WEB应用程序。是一种优秀的电子商务开发程序语言,因为其编辑简便、功能全面的特点,被广泛应用于电子商务网站的编辑制作、企业管理系统的开发等项目中。尤其是在电子商务网站的建设中,
ASP.NET扮演着动态网页缔造者的重要角色。2. C#语言C#的核心是面向对象程序设计(OOP),所以它具备OOP的显著特点:封装(它绑定代码及其操作的数据,不受外界干涉与误用影响)、多态性(指一个接口,多个方法)和继承(一个对象获得另一个对象的属性的过程)。C#不仅是C语言的继承而且兼容了JAVA的优点。是一种优秀的面向对象的语言。特别是它与NET平台的紧急结合。对代码进行可管理,且垃圾回收处理。对程序的异常处理,也相当好。因此本系统采用C#进行系统设计是符合当前网络时代的语言潮流的。3. WEB 控件设计技术本系统设计与运行是在NET框架上的
平台上的。它包含了HTML服务器控件,WEB服务器控件,验证控件,数据控件等。
在这个界面中,有下拉框(dropdownlist),文本框(textbox),按钮(button)与显示框(label).这些控件可以在VS.NET平台中直接拉到界面,不单省时间,而且十分方便快捷。提高开发程序速度。
4. 用户自定义控件设计技术由于在系统上很多网页都需要用到很多共同的内容,如网页的页头和滚动广告栏,页尾等,在
上,用户可以很轻松、方便的创建自定义WEB控件,这样大大减少了代码的重复性。下面将举用户登录控件为例,如图所示。
现在这个用户定义的控件只需要.在所存放的页头上要加以下代码便可和其他WEB控件一样实用:
平台,还提供可扩展的基础结构。这些配置结构为每一个惟一的URL资源设计一组配置设置,然后缓存结果配置设置,以提供以后应用程序对资源的请求使用。在这个系统中我们经常要使用数据库连接字符串,每次书写很不方便而且难维护,我把这个配置设在WEB.Config文件中,在程序中调用即可。本系统的数据库连接部分配置如下:
通过本次实践,基于.NET的网络书店系统即初步实现,证实网上书店建设的主体构思是可行的,技术实现也并不复杂,重点把握网站设计实现和后期维护运行的稳定。本文的主要目的,只是提出一个网络销售网站的设计思路,系统实现则基于主要功能做了一个易于实现的原型,真正实用化和商业化的网络上书店销售系统需要在调研、分析设计多次测试修改而实现,在算法和细节上还有许多工作要做。
随着信息技术在电力企业的应用和发展,信息与数据安全起着越来越重要的作用,如果没有信息与数据的安全,企业运营就会陷入停滞、中断或者是瘫开云体育 开云官网痪状态。从这个角度说,信息和数据是企业的营运基础和保障,信息与数据安全关系到企业的办公、生产和经营能否正常开展。正因为如此,信息与数据的安全才日益引起管理者的高度重视。电力信息系统的数据安全管理是指为使其数据不被人为因素或系统故障所破坏和影响而实施的管理活动和措施。本文结合工作实际探讨供电公司信息系统的数据安全机制研究。
随着IT技术的发展和电力企业机制改革的深化,电力信息化近几年发展迅速。越来越多的信息系统在电力企业应用,如生产MIS、营销MIS、办公自动化、电子档案管理、调度自动化、负控管理、企业资源计划管理等系统,这些系统覆盖到电力企业生产、经营、办公的各个方面,极大地提高了电网运营数字化和企业管理自动化水平。电力企业对各类信息系统的依赖程度越深,信息系统的数据安全问题就越重要。一旦信息系统数据丢失或遭到损坏,电力企业的日常工作都将无法正常进行。信息系统数据安全问题已受到电力企业管理者的高度重视。
电力信息系统在其生存周期中处于不同的状态,即输入、传输、存储、处理和输出。信息在其生存周期中也存在着不同的状态,即生成、注入、分配、更换和销毁等特殊状态。不同的信息数据因其安全敏感度不同,对安全程度的需求也不同,而同一个信息系统在不同的生存状态中,对于安全程度的需求也不相同。尽管系统生存周期的数据安全需求不同,数据库系统的安全需求却都可以归纳为完整性、保密性和可用性三个方面。
数据库系统的完整性主要包括物理完整性和逻辑完整性。物理完整性是指保证数据库的数据不受物理故障(如硬件故障或掉电等)的影响,并在遇到灾难性毁坏时重建和恢复数据库。逻辑完整性是指对数据库逻辑结构的保护,包括数据语义与操作完整性,前者主要指数据存取在逻辑上满足完整性约束,后者主要指在并发事务中保证数据的逻辑一致性。
数据库的保密性是指不允许未经授权的用户存取数据。一般要求对用户的身份进行标识与鉴别,并采取相应的存取控制策略以保证用户仅能访问授权数据,同一组数据的不同用户可以被赋予不同的存取权限。同时,还应能够对用户的访问操作进行跟踪和审计。此外,还应该防止用户通过推理方式从经过授权的已知数据获取未经授权的数据,造成信息泄露。
数据库的可用性是指不应拒绝授权用户对数据库的正常操作,同时保证系统的运行效率并提供用户友好的人机交互。
一般而言,数据库的保密性和可用性是一对矛盾,对这一矛盾的分析与解决构成了数据库系统安全的主要目标。
由于数据库用户的安全等级是不同的,因此分配的权限也是不一样的,数据库系统必须建立严格的用户认证机制。身份的标识和鉴别是DBMS对访问者授权的前提,并且通过审计机制使DBMS保留追究用户行为责任的能力。功能完善的标识与鉴别机制也是访问控制机制有效实施的基础,特别是在一个开放的多用户系统的网络环境中,识别与鉴别用户是构筑DBMS安全防线的第一个重要环节。
近年来标识与鉴别技术发展迅速,一些实体认证的新技术在数据库系统集成中得到应用。目前,常用的方法有通行字认证、数字证书认证、智能卡认证和个人特征识别等。
数据加密作为一项基本技术是所有通信安全的基石,是保证信息机密性的重要方法,是数据安全技术的核心。数据加密过程由形形的加密算法来具体实施,他以很小的代价提供很大的安全保护,通过密码算法对数据进行加、解密变换,以实现信息的真实传递。目前,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
1、数据传输加密技术。目的是对传输中的数据流加密,常用的方法有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。
2、数据存储加密技术。目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。
3、数据完整性鉴别技术。目的是对介入信息传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
4、密钥管理技术。为数据使用方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的存取介质有磁卡、磁带、磁盘、开云体育 kaiyun.com 官网入口半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
近年来,基于角色(简称RBAC)的存取控制得到了广泛的关注,RBAC在主体和权限之间开云体育 开云官网增加一个中间桥梁-角色。通过角色进行用户授权,大大简化了授权管理。具有强大的可操作性和管理性。
RBAC核心模型包含了五个基本的静态集合:用户集(users)、角色集(roles)、对象集(objects)、操作集(operators)、会话集(sessions)。用户集包含了数据库中可以操作的用户,是主动的实体;对象集是被动的实体;操作集是定义在对象上的一组操作;对象上的一组操作构成了一个特权;角色是RBAC模型的核心,通过用户分配(UA)和特权分配(PA)使用户和特权关联起来。
视图是关系数据库系统提供给用户以多种角度观察数据库中数据的重要手段。视图是从一个或几个基本表(或视图)中导出的表,它与基本表不同,是一个虚表。数据库中只存放视图的定义,而不存放视图对应的数据,这些数据依然存放在原来的基本表中。所以,基本表中的数据发生变化,从视图中查询出的数据也就随之改变了。从这个意义上讲,视图就象一个窗口,透过它可以看到数据库中自己感兴趣的数据及其变化。通过定义视图,可以使用户只看到指定表中的某些行和某些列,也可以将多个表中的列组合起来,使得这些列看起来就象一个简单的数据库表,另外也可以通过定义视图,只提供用户所需的数据,而不是所有的信息。
利用视图机制可以构造安全的模型。这样用户访问的就不是具体的表,数据库系统也不必要给具体的表授权,而只需要给某个用户授予访问某些视图的权限,从而起到保护数据库表的作用。授权和视图机制在某种程度上能给数据库应用系统提供一定的安全保障。
数据库审计是指监视和记录用户对数据库所施加的各种操作的机制。审计功能自动记录用户对数据库的所有操作,并且存入审计日志。事后可以利用这些信息重现导致数据库现有状况的一系列事件,提供分析攻击者线索的依据。
审计的策略库一般由两个方面因素构成,即数据库本身可选的审计规则和管理员设计的触发策略机制。这些审计规则或策略机制一旦被触发,则将引起相关的表操作。这些表可能是数据库自定义的,也可能是管理员另外定义的,最终这些审计的操作都将被记录在特定的表中以备查证。一般地,将审计跟踪和数据库日志记录结合起来,会达到更好的安全审计效果。
数据库系统总是避免不了故障的发生。安全的数据库系统必须能在系统发生故障后利用已有的数据备份,恢复数据库到原来的状态,并保持数据的完整性和一致性。数据库系统所采用的备份与恢复技术,对系统的安全性与可靠性起着重要作用,也对系统的运行效率有着重大影响。
(1)冷备份。冷备份是在没有终端用户访问数据库的情况下关闭数据库并将其备份,又称为“脱机备份”。
(2)热备份。热备份是指当数据库正在运行时进行的备份,又称为“联机备份”。因为数据备份需要一段时间,而且备份大容量的数据库还需要较长的时间,那么在此期间发生的数据更新就有可能使备份的数据不能保持完整性,这个问题的解决依赖于数据库日志文件。在备份时,日志文件将需要进行数据更新的指令“堆起来”,并不进行真正的物理更新,因此数据库能被完整的备份。备份结束后,系统再按照被日志文件“堆起来”的指令对数据库进行真正的物理更新。可见,被备份的数据保持了备份开始时刻前的数据一致性状态。
在系统发生故障后,把数据库恢复到原来的某种一致性状态的技术称为“恢复”,数据库恢复技术一般有三种策略,即基于备份的恢复、基于运行时日志的恢复和基于镜像数据库的恢复。
数据库的备份和恢复是一个完善的数据库系统必不可少的一部分,目前这种技术已经广泛应用于数据库产品中。据预测,以“数据”为核心的计算将逐渐取代以“应用”为核心的计算。在一些大型的分布式数据库应用中,多备份恢复和基于数据中心的异地容灾备份恢复等技术正得到越来越多的应用。
以下结合本人在供电公司工作实际,谈一下银电联网实时收费系统数据库安全的技术保障实现。
供电企业传统的收费模式在流通环节、工作实效上存在着很大的弊端。随着电力企业体制改革的不断深化及国家电网公司“一强三优” 战略目标的提出,供电企业迫切需要寻求一种新的收费服务模式,方便客户,提高服务质量。为实现上述目的,供电公司在现有电力营销管理信息系统的基础上组织开发了银电联网实时收费系统,充分利用银行网点多、分布广的优势,实现银行代收电费的电子化网络业务。该系统是将现代计算机技术、网络通信技术以及网络数据库技术有机结合起来,按照方便居民客户交费和有利于电费回收管理的原则,以先进成熟的计算机和通信技术为依托,以整体设计思想为支撑,完成供电公司和银行联网通道的建设,以及银电联网实时收费系统的研制开发,并落实安全措施,保障数据安全,实现客户电费信息的动态、实时、稳定交互,实现供电区域内所有用电客户能够方便、简单、快捷地在各大主要银行的任意一个储蓄网点缴纳或查询电费。
011 欠费查询――用户不存在 当银行此客户进行批量划拨时系统冻结该客户避免重复交易
021 前台缴费――用户不存在 当发票年月为“000000”时表示预存业务。当客户有欠费时不允许预存。
1 返回码 Fhm C(3) 营业区编号供银行分帐使用,电费年月中前6位为电费年月,后两位为随机抄表日
9 欠费年月 Qfny C(6) 绿色部分为循环体,有几个月的欠费就循环几次.
1 银行代码 Yhdm C(2) 电费年月为“000000”实际抄表日为”00”表示预存电费.有欠费不允许预存电费
1 返回码 Fhm C(3) 现在把缴费与打印分离,故只返回缴费是否成功.
事实上,仅有技术上的安全措施是不够的。再完善的安全技术手段,如果缺少完备的管理制度,数据的安全性都将大打折扣。数据安全除了技术上的措施外,还应包括完善的安全管理制度。在实际工作中实行了这样一套行之有效的安全管理制度,其主要内容包括:
3、数据库运行管理制度,要求系统管理员每日对系统相关的审计记录进行检查,以发现系统运行中的异常情况;
4、定期对系统进行升级和打补丁,以防止黑客利用系统安全漏洞对网络或服务器进行攻击;
5、定期下载病毒库并为每台客户机进行分发,以保持系统能够对最新的威胁做出及时响应;
6、对企业核心数据资产进行定期备份,要求对备份数据进行异地存放,以防止火灾、地震等造成不可挽回的损失。
2.程万军,《多级安全数据库管理系统设计与实现》,沈阳,东北大学,2003。
网络安全问题近年来得到了企业界的广泛关注,企业对自身信息资产的保护意识大为增强。但由于许多大型企业在信息系统建设之初没有系统考虑安全问题,使已形成的不安全的网络架构长期运转。
网络安全整体需求分析与设计是在大中企业网络安全建设的核心,而不是简单购买安全产品,填补所谓的“IT黑洞”。本文介绍了网络安全建设整体规划设计与实现,充分分析了大中型企业网络面临的风险和安全需求,并设计了安全建设整体规划方案。最终目标是形成网络信息安全体系框架,该框架围绕安全方针为核心,形成管理体系、技术体系、保障体系、运维体系。本文为企业集团提供了整体安全解决方案,解决了企业所面临的安全问题,满足了企业的安全需求,有效提高了企业的核心竞争力。
网络安全问题近年来得到了企业界的广泛关注,企业对自身信息资产的保护意识大为增强。但由于许多大型企业在信息系统建设之初没有系统考虑安全问题,使已形成的不安全的网络架构长期运转。同时,大型企业网络环境复杂、节点众多、地理位置分散、应用复杂等特点的存在还导致了安全系统在分析、设计和实施上的困难。基于以上诸多原因,使企业网络安全建设,特别是大中型企业网络安全建设仍然成为目前网络安全行业实施的难点。本文介绍大中型企业的网络安全建设。
威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件,主要有两个特点,一威胁总是针对具体的信息资产,比如企业信息网络中的机密及敏感信息、信息网络中的网络资源、信息网络中的关键应用等;二威胁总是在利用信息资产的弱点时,才会造成风险,针对企业信息网络,威胁可利用的弱点的各类缺陷;威胁从形式上划分为威胁来源和威胁手段,信息安全所面临的威胁来自很多方面,针对企业信息网络,其面临的安全威胁有非人为威胁和人为的威胁。
敌对国家:由政府主导,有很好的组织和充足的财力; 利用国外的服务引擎来收集来自被认为是敌对国的信息;
黑客:攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个人,从而达到自己的特定目标,这些人员可能在系统外部,也可能在系统内部,其对网络的攻击带有很强的预谋性,往往对系统的正常运行造成很大的破坏,或者造成机密信息的外泄;
/计算机:使用暴力或威胁使用暴力以迫使政府或社会同意其条件的或团伙,这些组织或团体会采用收买内部员工的方式,利用社交工程渗透到企业信息网络,造成涉密信息外泄。
内部员工:内部员工包括一些怀有危害局域网络或系统想法的气愤、不满的员工,或者是一些技术爱好者,希望尝试一些技术,这些员工由于掌握了企业信息网络的一些资源,所以攻击成功的可能性很高,并且对系统的破坏也很可观。此外内部员工的误操作行为也会给企业信息网络造成威胁,误操作行为有可能导致信息网络的正常运行被中断,或者重要数据丢失,或者不慎将机密信息带出企业信息网络,造成泄密。
企业信息系统的骨干网同互联网直接相连,网络暴露在互联网之下,任何扫描、攻击、入侵都会直接影响到企业信息系统的运行。
中国电信的SDH网络为企业信息系统建立了网络的基础设备,但是也要看到,中国电信通过SDH网络能够访问、控制、入侵企业信息系统,在信息安全上中国电信的SDH网络是不被信任的,骨干网必须大大加强防护。
企业信息系统在安全管理方面的脆弱性主要表现在缺乏针对性的安全策略、安全技术规范、安全事件应急计划,管理制度不完善,安全管理和运行维护组织不健全,对规章、制度落实的检查不够等。
未来的互联网服务会包括网上业务交易等内容,所以先在必须掌握它的风险,整个服务则必须建立起安全的网上交易控制机制,确保交易信息的秘密性、完整性和交易行为的不可否认性。具体包括:
由于错误地实现访问控制,使攻击者对网上系统的访问未能检测到,从而造成对信息完整性、保密性、或可用性的潜在危害。
攻击者通过执行命令、发送数据、或执行其他操作使系统资源对用户失效,资源可能是带宽、处理器时间、内部存储器、数据存储器等。
当截获了有效用户的标识和鉴别数据后,未授权用户在将来使用这些鉴别数据,访问系统提供的功能。
授权用户、信息系统、攻击者下载和执行恶意代码,产生异常的进程,破坏系统资产的完整性、可用性、或保密性。
消息的接收者(或发送者)为避免对接收(或发送)的信息负责而否认接收(或发送)过数据。
合法用户滥用授权不正当地收集、修改或发送敏感的或对系统安全关键的数据。
由于互联网的完全开放性,往往使组织对互联网的访问遇到极大的安全风险,针对企业网络系统,对互联网访问的安全风险主要包括:
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。 对于现代企业物理层的安全策略与解决方案主要考虑以下两个方面:
第一个方面,对主机房及重要信息存储来说:首先要保证重要地点的安全防范工作,如:非工莫入;出入记录;录像监控;门磁、窗磁、红外报警等。以上非工莫入、出入记录可以采用目前先进的IC卡技术、指纹技术、虹膜技术、开云体育 kaiyun.com 官网入口面纹技术等来实现,可以做到实时记录,方便查询等优点。另外,在机房内外安装摄像机实时记录机房内外的各种情况,便于今后查询。门磁、窗磁、红外报警等作为安全技术防范的辅助手段加以使用,可以获得优异的效果,可以通过门窗、通道放置磁性、红外报警装置,当报警装置被触动后,激发摄像机定位,以便实时记录并触发警报;也可以当报警装置被触动后,激发摄像机定位,启动实时记录并触发警报。
第二个方面,对主机房及重要信息存储等重要部门来说:一旦电源发生故障,就会造成信息的丢失,正常工作无法进行,给不法分子造成可乘之机。
网络层的安全需求是信息系统安全的基础安全设施之一,我们可以通过网络环境的分析、网络层风险评估和网络层策略确定网络层的安全需求。
网络层的安全是企业信息网安全的核心和灵魂,我们需要考虑以下的安全策略与解决方案。
(1)网络设备和服务器的身份认证:为了保证企业内部网络中重要的网络设备(路由、交换等)、服务器和其它设备的有序管理,我们可以采用基于第三方认证的集中式的身份认证。
(2)对内部网络不同的安全区域有不同的安全需求,做不同的安全访问控制措施(通过使用路由交换的ACL或者划分VLan做访问控制的地方尽量去使用原有网络安全设备去做访问控制,对于分支机构不同的安全区域主要是指应用服务核心层和网络接入层之间,要考虑使用防火墙的机制来完成访问控制)
(4)对于重要服务器,网络交换、路由设备的系统日志采取集中的基于行为的审计从根本上防止别人对重要的系统及设备进行攻击。
(5)建立网络安全主动防御机制,采用基于网络的入侵检测系统对企业重要网段和重要应用服务器的安全提供主动性的安全保证措施。
(6)采取脆弱性扫描软件和安全评估服务主动的发现企业信息网中存在的安全隐患,便于先于入侵者发现安全问题,解决安全问题。
利用安全扫描技术实现主机的弱点分析,同时还能实现对其他设备的弱点分析。
在企业网络应用系统中,财务服务器、业务服务器以及办公自动化服务器的传输可能面对如下安全问题。
由于网上的通信双方互不见面,必须在相互通信时(交换敏感信息时)确认对方的真实身份。
在网上开展业务的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证发生纠纷时有所对证。
机房人员管理制度、机房UPS管理制度、机房安全管理制度、网络管理及服务制度、网络管理及服务制度、网络保密管理制度、防病毒开云体育 开云官网管理制度、信息资源管理制度、计算机设备维护管理制度、数据备份管理制度、应急响应预案制度、操作系统及数据库安全管理制度、审计规范制度、公司主页发布信息制度、上互联网规定制度、违法罪案件报案制度等制度。
行数据通讯时,必须确保数据的秘密性和完整性,防止数据在传输通讯过程中被窃听和篡改,采用在IP层建立虚拟专用网机制来实现对通讯数据的加密。
业务应用数据的保密性,可通过网点应用和主机端应用的对称加密方法实现;
业务应用数据的完整性,对业务交易数据包中,增加包含交易信息的数字邮戳,在数字邮戳后附加数字邮戳的MD5校验;
对业务的访问应该有较好的审计措施,能够实现对重要服务器访问过程的记录,在发现安全故障后能够及时报警并采取相应的安全措施。
应建立交易双方的认证机制,采用数字签名保证交易的不可抵赖性和交易数据的完整性;
建立严密的防病毒系统,对所有代理服务器进行病毒监测,尤其要保护众多的邮件服务器;建立病毒监测系统,监控病毒的传播。
机密数据主要是指敏感经营数据和经济信息,出于办公自动化的需要,这些数据也被放到了企业内部网络上,尽管这些数据并不适合企业的网络管理员看到。如果这些数据不通过独立于操作系统以外的保护机制进行保护以外,这些数据的机密性将受到挑战。
安全审计系统是根据跟踪检测、协议还原技术开发的功能强大的安全审计系统为网上信息的监测和审查提供完备的解决方案。它能以旁路、透明的方式实时高速的对进出内部网络的电子邮件和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而为防止内部网络敏感信息的泄漏以及非法信息的传播,它能完整的记录各种信息的起始地址和使用者,为调查取证提供第一手的资料。
通常安全审计系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为,需要经过下列四个过程。
数据过滤/协议还原:根据预定义的设置,进行必要的数据过滤及缩略,从而提高检测、分析的效率。同时对数据进行协议还原,提取用户关心的内容数据。开云体育 kaiyun.com 官网入口
数据分析/审计/报警:根据定义的安全策略,进行审计/分析。一旦检测到违反安全策略的行为或者事件,进行报警。
网上业务应具有安全审计功能,并妥善存储系统的关键软件(如网络操作系统、数据库管理系统、网络监控系统)的日志文件、审计记录。
网上交易信息在互联网上传输时,必须采取相应的密码技术对其中的客户信息、交易指令及其他敏感信息进行可靠的加密处理。所采取的密码算法必须经过国家密码管理部门的认可。
网上业务应与和其他业务系统在技术上隔离,禁止通过网上业务系统直接访问任何内部业务系统。
网上业务必须能正确识别和鉴别网上客户的身份及其授权,禁止仿冒客户身份或工作人员身份。
应主动关注网上业务系统中运行的各操作系统补丁发布情况,并及时升级修补。
需要建立全行信息安全管理组织架构,专门负责信息系统的安全管理和监督。
安全管理部门结合企业信息系统的实际情况,制订合理的安全策略,对信息资源进行安全分级,划分不同安全等级的安全域,进行不同等级的保护。
制订并执行各种安全制度和应急恢复方案,保证信息系统的安全运行。这些包括:密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等。
安全工作,三分技术,七分管理,所以服务商在项目实施过程中,要协助企业建立完善一整套安全管理制度,这些制度包括但不限于:密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等:
(1)要充分理解公安部、国家局等国家监控部门的信息安全的要求,参照国内外的相关规范标准,制订这些管理制度。
(2)要考虑到目前国内的管理水平,制订与目前阶段管理水平相适应的管理制度,以保证管理制度的可执行性。
(3)在技术方案部署的基础上,要充分利用技术手段,以保证管理制度的有效性与高效率。
根据领导、各级中层领导、应用使用者对信息安全工作的指导和建议:建立全面有效高效的安全体系和安全管理机制。
以总体安全策略为主,建立物理环境安全策略和网络环境安全策略,大大加强应用环境安全,在此基础上重点完成安全管理制度和组织架构,核心建立应用安全策略。
机房人员管理制度、机房UPS管理制度、机房安全管理制度、网络管理及服务制度、网络管理及服务制度、网络保密管理制度、防病毒管理制度、信息资源管理制度、计算机设备维护管理制度、数据备份管理制度、应急响应预案制度、操作系统及数据库安全管理制度、审计规范制度、公司主页发布信息制度、上互联网规定制度、违法罪案件报案制度。
信息安全体系中,信息安全方针是整个信息安全体系的核心,该方针指导着信息安全体系的策略和方向。通过对信息安全方针的分解能够分化出技术策略、管理策略、运维策略和保障策略,这些策略形成策略体系。这些安全策略指导着对应体系的建设,技术体系、管理体系、运维体系和保障体系。而整个安全体系是要取决于整个信息安全的社会环境。
要对信息系统进行全面均衡的保护,要提高整个信息系统的安全最低点的安全性能,保证各个层面防护的均衡。
要综合考虑安全目标与效率、投入之间的均衡关系,确定合适的平衡点,不能为了追求安全而牺牲效率,或投入过大。
在技术、设备选型方面必须遵循一系列的业界标准,充分考虑不同设备技术之间的兼容一致性。
在安全产品选型时,考虑不同厂商安全产品功能互补的特点,在进行多层防护时,将选用不同厂商的安全产品。
要将信息系统按照合理的原则划分为不同安全等级,分区域分等级进行安全防护。
安全防范体系的建设不是一个一劳永逸的工作,而是一个长期不断完善的过程,所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。
技术方案的部署不可能一步到位,所以要在一个全面规划的基础上,根据实际情况,在不影响正常生产的前提下,分步实施。
设计技术方案时,要尽量利用企业现有的设备与软件,避免浪费,这些设备包括安全设备、网络设备等。
企业信息网络的安全体系从横向看,主要包含安全组织、安全管理和安全技术三个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。
其次,为了使网络安全体系更有针对性,在网络安全体系的构建中还必须考虑网络安全本身的特点:动态性、相对性和整体性。
动态性:网络安全的动态性指的是网络中存在的各种安全风险处于不断的变化之中,从内因看,网络本身就在变化和发展之中,网络中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因看,各种软硬件系统的安全漏洞不断的被发现、各种网络攻击手段在不断在发展,这些都可能使得今天还处于相对安全状态的网络在明天就出现了新的安全风险。
相对性:网络安全的相对性指的是网络安全的目标实现总是相对的,由于成本以及实际业务需求的约束,任何的网络安全解决方案都不可能解决网络中所有的网络安全问题,百分之百安全的网络系统是不存在的,不管网络安全管理和安全技术实施有多么完善,网络安全问题总会在某个情况下发生。网络安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全体系中的重要环节。
整体性:网络安全的整体性指的是网络安全是一个整体的目标,正如木桶的装水容量取决于最短的木块一样,一个网络系统的安全水平也取决于防御最薄弱的环节。因此,均衡应该是网络安全体系的一个重要原则,这包括体系中安全管理和安全技术实施、体系中各个安全环节、各个保护对象的防御措施等方面的均衡,以实现整体的网络安全目标。
根据企业安全体系设计要素的描述,参考企业信息网络安全体系需要考虑的各个要素,设计出企业信息网络安全体系如下图所示:
安全体系的深度防御战略模型将防御体系分为管理、技术和运维三个要素,网络安全管理就是通过一系列的策略、制度和机制来协调这三者之间的关系,明确技术实施和安全操作中相关人员的安全职责,从而达到对安全风险的及时发现和有效控制,提高安全问题发生时的反应速度和恢复能力,增强网络的整体安全保障能力。因此,网络安全管理体系首先要解决“人”的问题,建立完善的安全组织结构,其次是解决“人”和“技术”之间的关系,建立层次化的网络安全策略,包括纲领性策略、安全制度、安全指南和操作流程,最后是解决“人”与“操作”的问题,通过各种安全机制来提高网络的安全保障能力。
安全领导小组:由企业领导组成,负责对企业网络安全体系建设进行统一的规划和设计,负责对企业选择的安全产品进行选型,对安全技术进行考证,在安全体系建设进行关键阶段与安全实施小组举行会议,检查项目的进展,并对项目中的一些关键问题和争议进行决策;
主要从技术的角度领导整个服务现场实施的工作,负责与客户相关人员沟通协调
安全实施小组:由企业网络工程师、厂家项目工程师组成,负责企业网络安全的建设,同时将项目实施过程中的技术文挡进行归类,提供给安全系统运营小组作为参考依据;
安全运营小组:在企业网络安全项目建设完毕后,由安全实施小组的部分成员,加上售后服务工程师,组成安全运营小组,该小组负责维护总体网络安全系统,对系统运行期间出现的问题给予及时的响应和反馈,确保企业网络安全系统的长期稳定运行;
组织间的合作:按照企业网络安全集成项目的不同阶段,各个小组对自己负责的范围进行工作,并在项目实施的关键阶段,通过例会的方式进行信息的沟通。
一个有效的安全体系,首先考虑的因素是“人”,如何提高“人”的自身素养,提高“人”的安全意识,是企业安全系统的有力保障,安全体系建设我们将首先确定在企业网络的日常管理和运营维护中,具体的岗位分工、培训教育、安全考核三个部分进行考虑。
该体系主要包括安全规章制度、安全操作指南和设备操作流程等三个大的方面,具体内容如下:
强调各种管理制度,约束“人”的行为,明确哪些是允许的行为,哪些是应该注意的行为,哪些是严格禁止的行为,特别是使用涉及国家机密信息的工作人员,要提出严格的规章制度来进行约束,主要包括以下方面的内容
为实现企业最终的安全目标,发挥出安全设备的最大效果,在安全厂家的支持下,针对不同的安全产品,制定响应的技术操作指南,供企业安全管理人员进行参考,并处理一些紧急事件,主要包括以下方面的内容:
为约束网络管理员、系统管理员、安全管理员的行为标准,提出明确的技术要求和操作标准,主要包括以下方面的内容
企业信息网络网络安全建设应当依据对系统当前面临的主要威胁的深刻分析,实施有针对性的安全技术体系。安全技术体系的总体性要求如下:
综合性:依据对安全威胁的广泛识别,采用综合的解决方案,建立完整的防范体系;
在选择产品时需要保证符合相应的国际、国内标准,尤其是国内相关的安全标准。如国内的安全等级标准、GB/T18336、GB17859、漏洞标准,安全标准以及国际的CVE、ISO13335、ISO15408、ISO17799等标准。
产品在使用上应具有友好的用户界面,并且可以进行相应的客户化工作,使用户在管理、使用、维护上尽量简单、直观。
建立全行的安全运维管理中心,集中监控安全系统的运行情况,集中处理各种安全事件;统一制订安全系统升级策略,并及时对安全系统进行升级,以保证安全体系的防护能力;
通过在防火墙上设置安全策略增加对服务器的保护,必要时还可以启用防火墙的NAT功能隐藏内部网络拓扑结构,使用日志来对非法访问进行监控,使用防火墙形成动态、自适应的安全防护平台。
由于各种应用服务器等公开服务器属于对外提供公开服务的主机系统,因此对这些公开服务器的保护也是十分必要的;利用防火墙系统的DMZ,将公开服务器连接在防火墙的DMZ区上。
对于内部核心业务网部分,在实施策略时,可以配置防火墙系统工作在透明模式下,并设置只允许核心内部网访问外界有限分配资源,而不允许外界网络访问核心内部网信息资源或只允许访问有限资源;也可以在防火墙上配置NAT策略,能够更好地隐藏内部网络地址结构等信息,从而更好地保护核心内部网的系统安全。
大部分防火墙可以方便的扩展IPSEC VPN、各种VPN加速卡模块,能满足各种网络需求。在VPN方面:
网络防病毒系统应基于策略集中管理的方式,使得移动、分布式的企业级病毒防护不再困难,而且应提供病毒定义的实时自动更新功能,所有操作都应对终端用户透明,不需用户的干预,使用户在不知不觉中将病毒拒之门外。从结构组成上分为:网关级防病毒(部署在网络入口处,对病毒、蠕虫和垃圾邮件进行有效过滤);服务器防病毒(服务器作为网络的核心,为资源共享和信息交换提供了便利条件,但同时也给病毒的传播和扩散以可乘之机。所以应重点加强对服务器进行保护,安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力);桌面级防病毒(在客户端安装,将病毒在本地清除而不至于扩散到其他主机或服务器);病毒管理中心(实现防病毒软件的集中管理和分发、病毒库分发、病毒事件集中审计等);这样,由单机防毒到网络防毒,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
采用SAN构架部署存储备份系统;安装并通过专门的管理模块进行统一管理;采用磁盘阵保数据安全,对于重要数据备份到磁带机上做永久保留;为服务器上不同的服务安装相应的备份模块(SQL Server、Oracle、Domino);对于某些个人主机重要资料,通过安装单机模块,予以保护。
在安装TMCM 代理程序时,需要输入TMCM 的通讯密钥文件,密钥的下载地址:
对所有客户机做配置策略时,需要点中防毒墙网络版服务器,扫描选项中分别有手动扫描、实时扫描和预设扫描。可根据实际需要对其进行相应的配置。
客户机通过开始运行输入\\防毒墙服务器的IP,打开防毒墙服务器共享文件,找到OfficeScan客户端安装程序ofcscan\AutoPcc.exe。双击安装程序,以启动OfficeScan 客户端安装程序。
1. 康弗瑞(Convery,S.)(美) 著,王迎春、谢琳、江魁 译,《网络安全体系结构》,人民邮电出版社。
2. 吴亚非、李新友、禄凯主编 ,《信息安全风险评估》,清华大学出版社。
3. 思科网络技术学院 著,李涤非、欧岩亮、秦华 译,《思科网络技术学院教程网络安全基础》,人民邮电出版社。
