新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

　　[摘 要] 價值鏈信息技術(shù)平臺是價值鏈管理的基礎(chǔ)。作為價值鏈管理的支撐系統(tǒng),價值鏈信息技術(shù)平臺必須作為一個整體設(shè)計,這要求整個價值鏈設(shè)計一體化的安全保證體系。本文首先分析了價值鏈信息技術(shù)平臺面臨的風(fēng)險,在此基礎(chǔ)上提出從技術(shù)、管理、組織3個方面構(gòu)建價值鏈信息技術(shù)平臺的安全保證體系。
　　[關(guān)鍵詞] 價值鏈管理;信息技術(shù)平臺;控制
　　[中圖分類號]F270.7[文獻(xiàn)標(biāo)識碼]A[文章編號]1673-0194(2008)10-0051-04
　　
　　一、 引 言
　　
　　信息技術(shù)平臺是實現(xiàn)價值鏈管理的物質(zhì)基礎(chǔ)和基本條件。這個平臺既包括由計算機(jī)網(wǎng)絡(luò)硬件設(shè)備及構(gòu)成體系構(gòu)建的硬件設(shè)施,也包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、數(shù)據(jù)倉庫、應(yīng)用系統(tǒng)等軟件系統(tǒng),還包括企業(yè)間協(xié)調(diào)機(jī)制、信息和過程集成機(jī)制、標(biāo)準(zhǔn)體系等軟機(jī)制。信息技術(shù)平臺的安全有效關(guān)系到價值鏈管理能否順利開展,正如安永零售業(yè)與消費(fèi)產(chǎn)品行業(yè)經(jīng)理Jay Mcintosh所說:“隨著零售業(yè)和消費(fèi)產(chǎn)品行業(yè)內(nèi)的公司通過供應(yīng)鏈技術(shù)與客戶或供應(yīng)商進(jìn)行交互,整個運(yùn)營變得越來越依賴技術(shù)和接口。如果出現(xiàn)任何技術(shù)問題、數(shù)據(jù)完整性問題等,就會對他們的運(yùn)營造成很大影響”。作為價值鏈管理的支撐系統(tǒng),價值鏈信息技術(shù)平臺必須作為一個整體來設(shè)計,它的安全保證體系也必須統(tǒng)籌考慮:各企業(yè)的安全目標(biāo)應(yīng)該一致,要采用統(tǒng)一的風(fēng)險判別和安全控制標(biāo)準(zhǔn),構(gòu)建相互兼容、協(xié)調(diào)一致的控制體系。
　　價值鏈信息技術(shù)平臺安全保證體系的構(gòu)建應(yīng)該按照一定的步驟進(jìn)行,構(gòu)建流程如圖1所示。
　　
　　1)確定安全目標(biāo)。明確整個價值鏈信息技術(shù)平臺的安全需求,確定整個平臺控制應(yīng)該達(dá)到的目標(biāo)。
　　2)分析安全風(fēng)險。在明確安全需求的基礎(chǔ)上,分析整個價值鏈信息技術(shù)平臺的安全脆弱性,獲取關(guān)于信息技術(shù)平臺的安全薄弱環(huán)節(jié)、面臨的安全風(fēng)險等方面的詳細(xì)信息。
　　3)制定安全方針。針對信息技術(shù)平臺的安全風(fēng)險,考慮信息技術(shù)平臺的安全目標(biāo),確定信息技術(shù)平臺安全防范的方針、策略、指導(dǎo)思想和遵循的原則。
　　4)構(gòu)建控制體系。在安全方針的指導(dǎo)下,構(gòu)建切實可行的信息技術(shù)平臺控制體系。
　　
　　二、 價值鏈信息技術(shù)平臺風(fēng)險分析
　　
　　價值鏈信息技術(shù)平臺是一個復(fù)雜的系統(tǒng),本文將其投入運(yùn)行后所面臨的風(fēng)險歸為以下幾方面:
　　1. 信息技術(shù)平臺面臨的安全風(fēng)險
　　信息技術(shù)平臺的安全風(fēng)險來源于內(nèi)、外兩個方面。其中信息技術(shù)平臺及其組件的脆弱性是安全風(fēng)險產(chǎn)生的內(nèi)因;威脅、攻擊、舞弊以及系統(tǒng)應(yīng)用、管理等方面的問題是產(chǎn)生安全風(fēng)險的外因。
　　(1)信息技術(shù)平臺組件固有的脆弱性和缺陷
　　信息技術(shù)平臺的組件在設(shè)計、制造和組裝中,由于人為和自然的原因,可能留下各種隱患。這些脆弱性和缺陷會制約價值鏈作用的發(fā)揮,如采用的網(wǎng)絡(luò)協(xié)議本身的缺欠,網(wǎng)絡(luò)傳輸速度,服務(wù)器等硬件設(shè)施的穩(wěn)定性和運(yùn)行速度,軟件設(shè)計中的缺陷,鏈中不同企業(yè)信息技術(shù)平臺的兼容與接口等產(chǎn)生的信息技術(shù)平臺的安全風(fēng)險,無時不在考驗和威脅著價值鏈的正常運(yùn)轉(zhuǎn)。
　　(2)來自信息技術(shù)平臺內(nèi)外的威脅、攻擊、舞弊產(chǎn)生的風(fēng)險
　　對信息技術(shù)平臺的威脅、攻擊、舞弊產(chǎn)生的風(fēng)險表現(xiàn)在對信息技術(shù)平臺的硬件設(shè)施、軟件系統(tǒng)和數(shù)據(jù)的破壞。其中針對硬件設(shè)施的破壞主要來自于毀壞硬件設(shè)施,掩蓋舞弊、非法操作硬件設(shè)備、盜竊硬件來獲得對方企業(yè)的重要信息、硬件設(shè)施中非法插入硬件裝置竊取其他企業(yè)的重要信息、破壞平臺的傳輸系統(tǒng)等方面;針對軟件和數(shù)據(jù)的破壞主要來自于軟件系統(tǒng)中插入非法程序、毀壞軟件、篡改輸入、非法操作系統(tǒng)、篡改輸出、數(shù)據(jù)傳輸泄露、數(shù)據(jù)存儲泄露、廢載體信息泄露等。
　　2. 信息技術(shù)平臺的應(yīng)用、管理風(fēng)險
　　在戰(zhàn)略規(guī)劃上,價值鏈上的每個企業(yè)都會有自己的信息技術(shù)平臺規(guī)劃,因此要構(gòu)建一個統(tǒng)一的價值鏈信息技術(shù)平臺不只是一般意義上的信息化建設(shè),也不只是簡單的計算機(jī)硬件、軟件和互聯(lián)網(wǎng)系統(tǒng)的建設(shè),它是一個系統(tǒng)工程,無論采取什么方案都會面臨許多問題,存在巨大風(fēng)險。在信息技術(shù)平臺的應(yīng)用和管理上存在的風(fēng)險包括:
　　(1)信息技術(shù)平臺薄弱環(huán)節(jié)帶來的整體風(fēng)險
　　價值鏈上企業(yè)的信息技術(shù)應(yīng)用水平、應(yīng)用能力參差不齊。那些水平較低、又沒有充足資金支持的企業(yè),常常是價值鏈管理的薄弱環(huán)節(jié),不僅可能使整個價值鏈信息技術(shù)平臺面臨風(fēng)險,而且也使整個價值鏈信息技術(shù)平臺抵御風(fēng)險的能力減弱。
　　(2)平臺應(yīng)用和信息傳遞方面的問題
　　如果價值鏈的規(guī)模很大,結(jié)構(gòu)就會很復(fù)雜,發(fā)生信息錯誤的機(jī)會也隨之增多,即數(shù)據(jù)完整性就較難保證。例如,如果一個銷售員對銷售訂單輸入不完整,就會造成對用戶需求的錯誤理解,不知不覺中會夸大或縮小市場需求。如果再填制新的訂單進(jìn)行調(diào)整,會使后續(xù)的供應(yīng)商無法清楚知道真實的市場需求,因而無法合理地安排生產(chǎn),容易出現(xiàn)供應(yīng)過?；蚨倘薄＿@種對市場的不確定性極易傳染給價值鏈上的所有成員,并且這種傳遞會趨于膨脹化。于是一個環(huán)節(jié)的不規(guī)范行為,帶來了整個價值鏈的信息風(fēng)險。
　　(3)其他管理因素
　　由于價值鏈上的各企業(yè)都有自身的利益需求和價值追求,它們決策時不可能完全從價值鏈的整體利益出發(fā)。在這種情況下,如果企業(yè)間沒有建立起有效的協(xié)調(diào)機(jī)制、信息和過程集成機(jī)制、制約機(jī)制、價值鏈風(fēng)險防范標(biāo)準(zhǔn)體系等平臺軟環(huán)境,那么價值鏈信息技術(shù)平臺的正常運(yùn)轉(zhuǎn)不僅成了一句空話,而且可能給鏈上企業(yè)帶來信息外泄、資財損失、業(yè)務(wù)不能正常開展等額外風(fēng)險。
　　
　　三、 價值鏈信息技術(shù)平臺的控制方案
　　針對價值鏈信息技術(shù)平臺的風(fēng)險,考慮價值鏈和企業(yè)自身情況,價值鏈信息技術(shù)平臺控制方案的構(gòu)建可以從組織控制、管理控制和技術(shù)控制3個方面考慮。
　　1. 組織控制體系
　　組織控制體系是指通過組織機(jī)構(gòu)設(shè)置、崗位職責(zé)的劃分等構(gòu)建起來的信息技術(shù)平臺組織保障體系。除了應(yīng)強(qiáng)調(diào)樹立全員安全意識、構(gòu)建安全管理制度、提高員工的道德水平和建立完善的法律法規(guī)以外,還應(yīng)該設(shè)置專門的信息技術(shù)平臺安全管理機(jī)構(gòu),配備專門人員負(fù)責(zé)信息技術(shù)平臺的安全管理。
　　(1)設(shè)置信息技術(shù)平臺安全管理機(jī)構(gòu)
　　信息技術(shù)平臺安全管理機(jī)構(gòu)的大小、性質(zhì)和定位取決于價值鏈和鏈中企業(yè)的情況,可以設(shè)在信息技術(shù)部門,也可以設(shè)在風(fēng)險管理部門,或設(shè)獨立部門。該機(jī)構(gòu)專門負(fù)責(zé)與信息安全有關(guān)的規(guī)劃、建設(shè)、投資、人事、安全政策、資源利用和事故處理等方面的決策、實施和管理。一般來說,信息技術(shù)平臺安全管理機(jī)構(gòu)應(yīng)該設(shè)置管理監(jiān)督委員會、信息安全管理組、計算機(jī)或數(shù)據(jù)安全組、網(wǎng)絡(luò)管理員、信息技術(shù)平臺管理員、業(yè)務(wù)部門信息化主管、業(yè)務(wù)處理操作員、信息技術(shù)平臺檔案保管員和風(fēng)險督導(dǎo)員等崗位,分別負(fù)責(zé)信息技術(shù)平臺各層次和各項業(yè)務(wù)的管理工作。
　　(2)強(qiáng)化人員風(fēng)險意識,加強(qiáng)人員管理
　　除了設(shè)置專門的組織機(jī)構(gòu)外,要實現(xiàn)控制目標(biāo)還依賴于員工的安全風(fēng)險意識、思想道德水平、企業(yè)文化、完善的員工管理和評價體系等。管理者高屋建瓴的能力對減少信息技術(shù)平臺的安全風(fēng)險也是至關(guān)重要的。
　　2. 管理控制體系
　　信息技術(shù)平臺管理控制體系由管理控制標(biāo)準(zhǔn)和管理控制活動兩部分組成。其中管理控制標(biāo)準(zhǔn)是對保證信息技術(shù)平臺正常運(yùn)行所必須的各種法律、法規(guī)、制度、規(guī)定的總稱。它既包括國家發(fā)布實行的有關(guān)法律法規(guī),也包括企業(yè)自己制定的規(guī)章制度。管理控制活動是對管理控制標(biāo)準(zhǔn)的制定、培訓(xùn)、執(zhí)行、監(jiān)管和評價活動的總稱。
　　管理控制體系是價值鏈信息技術(shù)平臺控制的靈魂,是技術(shù)控制體系能夠發(fā)揮效能的基礎(chǔ)。
　　
　　(1)國家的相關(guān)法律、法規(guī)
　　信息技術(shù)平臺的管理制度和規(guī)范都要建立在國家相關(guān)法律、法規(guī)基礎(chǔ)上,不得與國家法律、法規(guī)相違背。由于我國信息化起步較晚,有關(guān)信息化安全的立法還處于建立、發(fā)展階段,尚沒有形成一個完善的法律、法規(guī)體系。目前與信息化安全相關(guān)的法律、法規(guī)大致可分為3個層次:《中華人民共和國憲法》、《中華人民共和國國家安全法》、《中華人民共和國刑法》等對個人、組織的有關(guān)信息活動涉及國家安全的權(quán)利、義務(wù)進(jìn)行規(guī)范的法律;《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等直接約束計算機(jī)安全和互聯(lián)網(wǎng)安全的法規(guī);《電子出版物管理暫行規(guī)定》、《商用密碼管理條例》、《計算機(jī)病毒防治管理辦法》、《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》等對信息內(nèi)容、信息產(chǎn)品安全標(biāo)準(zhǔn)的規(guī)定。
　　(2)加強(qiáng)對信息技術(shù)平臺構(gòu)建的管理
　　站在使用者的角度,信息技術(shù)平臺風(fēng)險控制的技術(shù)防范主要體現(xiàn)在硬件設(shè)施和軟件系統(tǒng)的選擇、配置、安裝和測試上。比如構(gòu)建硬件系統(tǒng)時應(yīng)該盡量采用我國自主開發(fā)研制的信息安全技術(shù)和設(shè)備,必須采用境外信息安全產(chǎn)品時,該產(chǎn)品也必須通過國家信息安全測評機(jī)構(gòu)的認(rèn)可,嚴(yán)禁采購和使用未經(jīng)國家信息安全測評機(jī)構(gòu)認(rèn)可的其他信息安全產(chǎn)品,嚴(yán)禁直接采用境外密碼設(shè)備,嚴(yán)禁使用未經(jīng)國家密碼管理部門批準(zhǔn)和未通過國家信息安全質(zhì)量認(rèn)證的國內(nèi)密碼設(shè)備;所有硬件設(shè)備都必須是經(jīng)過測評認(rèn)證的合格產(chǎn)品;信息技術(shù)平臺中的安全設(shè)備應(yīng)進(jìn)行試運(yùn)行,試運(yùn)行通過后,才能投入正式運(yùn)行。
　　構(gòu)建軟件系統(tǒng)時,除了關(guān)注功能外,還要關(guān)注軟件的安全性能,詳細(xì)了解、檢查、檢測應(yīng)用軟件的控制功能。
　　(3)加強(qiáng)對信息技術(shù)平臺使用和維護(hù)的管理
　　對硬件設(shè)施的管理應(yīng)該做到:建立設(shè)備經(jīng)常性檢查和定期維護(hù)保養(yǎng)制度;對機(jī)器設(shè)備的運(yùn)行情況及維修情況進(jìn)行記錄;建立必要的應(yīng)急計劃和損害補(bǔ)救措施,并制定措施以保證發(fā)生故障時系統(tǒng)能及時得到恢復(fù);建立健全設(shè)備管理制度;對外來設(shè)備、材料等進(jìn)行管理;對設(shè)備的操作流程以及操作人員進(jìn)行管理等。
　　對軟件系統(tǒng)和數(shù)據(jù)的管理應(yīng)該做到:按照事先編制的規(guī)范化的系統(tǒng)維護(hù)流程和操作流程進(jìn)行軟件的操作;對機(jī)內(nèi)運(yùn)行的應(yīng)用軟件進(jìn)行加密處理;建立軟件修改的審批制度、監(jiān)督制度和登記制度;建立操作日志及分權(quán)管理制度等。
　　除了加強(qiáng)軟硬件管理外,還要建立災(zāi)難預(yù)警和恢復(fù)機(jī)制。事先制訂災(zāi)難預(yù)警應(yīng)對方案和災(zāi)難恢復(fù)策略,對災(zāi)難預(yù)警后的反應(yīng)做出規(guī)定,對企業(yè)信息技術(shù)平臺受到災(zāi)難性打擊或破壞后的恢復(fù)進(jìn)行詳細(xì)計劃,以便將災(zāi)難帶來的損失盡可能地減少到最小。
　　(4)加強(qiáng)信息資產(chǎn)的管理
　　信息資產(chǎn)包括硬件設(shè)備、運(yùn)行的軟件和檔案,應(yīng)該對其進(jìn)行分類管理。
　　(5)實施信息技術(shù)平臺審計
　　信息技術(shù)平臺的構(gòu)建需要投入大量資金,這些資產(chǎn)的使用效率、有效性、效益性如何只有經(jīng)過使用才能體現(xiàn)出來,對信息技術(shù)平臺的效率、有效性等進(jìn)行評價也是控制的一種方法和手段,因此實施信息技術(shù)平臺審計是信息技術(shù)平臺管理不可缺少的手段。
　　3. 技術(shù)控制體系
　　技術(shù)控制體系是建立保障信息技術(shù)平臺安全,防范信息技術(shù)平臺風(fēng)險的技術(shù)控制系統(tǒng)。由于不同類別資產(chǎn)面臨的風(fēng)險不同,因此要按照信息技術(shù)平臺資產(chǎn)的類別,設(shè)計和采取不同的控制策略和措施。
　　(1)物理與環(huán)境安全控制
　　價值鏈信息技術(shù)平臺是一個網(wǎng)絡(luò)化系統(tǒng)。因此物理與環(huán)境安全控制體系除了從物理設(shè)施的選購、使用和維護(hù)幾個方面構(gòu)建外,還應(yīng)該制定協(xié)議和網(wǎng)絡(luò)安全策略。
　　在物理設(shè)施中加入安全保護(hù)設(shè)備,保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊,驗證用戶的身份和使用權(quán)限,防止用戶越權(quán)操作和使用設(shè)備,抑制和防止電磁泄漏以確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境,按照正確的操作流程使用硬件設(shè)備等都是物理與環(huán)境控制的重要手段與內(nèi)容。
　　網(wǎng)絡(luò)化系統(tǒng)中協(xié)議和網(wǎng)絡(luò)安全是非常重要的,它是網(wǎng)絡(luò)上信息傳輸安全的基礎(chǔ)。因此要制定協(xié)議和網(wǎng)絡(luò)安全策略,利用加密機(jī)制、訪問控制策略、安全認(rèn)證機(jī)制等手段保證網(wǎng)絡(luò)傳輸與訪問的安全。
　　(2)軟件系統(tǒng)安全控制
　　價值鏈管理的軟件系統(tǒng)一般包括操作系統(tǒng)(包括網(wǎng)絡(luò)操作系統(tǒng)和單用戶操作系統(tǒng))、工具軟件(包括數(shù)據(jù)庫管理系統(tǒng),編譯器和程序設(shè)計語言,Excel等電子表格處理軟件,Web 服務(wù)、發(fā)布和瀏覽軟件,信息采集、FTP、Telnet等軟件)、應(yīng)用系統(tǒng)軟件三大部分。
　　操作系統(tǒng)處于信息系統(tǒng)軟件平臺的最底層,因此它的安全是整個軟件平臺安全的基礎(chǔ),其安全脆弱性和安全漏洞會導(dǎo)致整個信息系統(tǒng)平臺的安全脆弱性。操作系統(tǒng)自身具備一定的錯誤處理、文件保護(hù)、安全保護(hù)的控制措施,這些措施用戶無法修改。
　　工具軟件介于操作系統(tǒng)和應(yīng)用軟件之間,是應(yīng)用系統(tǒng)開發(fā)所用的軟件,它的安全風(fēng)險同樣威脅著處于其上層的應(yīng)用系統(tǒng)。
　　應(yīng)用系統(tǒng)處于最上層,是完成具體業(yè)務(wù)處理的軟件,由于各種業(yè)務(wù)處理對安全的需求程度不同,因此應(yīng)用軟件自身提供的控制措施也有很大區(qū)別。為了減少應(yīng)用系統(tǒng)的安全隱患和漏洞,應(yīng)該對應(yīng)用系統(tǒng)的開發(fā)與運(yùn)行實施管理。比如規(guī)范開發(fā)過程;軟件測試時除了測試功能和軟件應(yīng)有的控制外,還要重點檢查和測試軟件的漏洞和是否具有非法程序塊;軟件開發(fā)過程要編制和保存完整的文檔資料;對機(jī)內(nèi)運(yùn)行的系統(tǒng)進(jìn)行加密處理;指定專人保管軟件和數(shù)據(jù)文件的備份件,并實行嚴(yán)格的登記、監(jiān)督制度。
　　(3)數(shù)據(jù)的管理
　　數(shù)據(jù)是企業(yè)的重要資源,這些數(shù)據(jù)都以記錄的形式存儲在系統(tǒng)的數(shù)據(jù)庫中,因此,數(shù)據(jù)管理的重點是數(shù)據(jù)庫的管理控制,其主要目的是防止系統(tǒng)內(nèi)外人員對數(shù)據(jù)庫的非法訪問,以及系統(tǒng)故障、誤操作或人為破壞造成數(shù)據(jù)庫毀損。為此,應(yīng)采取訪問控制、建立數(shù)據(jù)備份和恢復(fù)制度等措施。
　　此外,信息技術(shù)平臺檔案資料的管理也是至關(guān)重要的。
　　
　　主要參考文獻(xiàn)
　　[1] 王海林. 企業(yè)價值鏈信息技術(shù)平臺及硬件結(jié)構(gòu)解決方案研究[J]. 中國管理信息化,2005(10):30.
　　[2] 程虹. 供應(yīng)鏈管理平臺:最佳實現(xiàn)方式[M]. 北京:機(jī)械工業(yè)出版社,2003.
　　[3] Gerhard Plenert. The eManager:Value Chain Management in an eCommerce World[M]. Dublin:Blackhall Publishing,2001:1-20.