前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇集团信息安全方针范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
其中,几件重大的自然灾害和公共安全方面的危机事件不仅给日本造成了很大的损失,而且也震撼了全世界。1995年1月17日发生的阪神大地震尤其严重,这次地震死亡人数达到6400多人,4.4万人受伤,25万栋房屋受到不同程度损坏(数字来源于新华社)。
阪神大地震的教训是,虽然防震抗灾的科学技术越来越发达,但是,地震使电话系统、市政系统等瘫痪,受灾信息的收集和传达等出现问题,这表明了现代文明社会的脆弱性。由于信息不畅通,导致政府对地震的先期处置滞后,大城市的地震危机管理能力不够。
为了吸取这些教训,日本政府对其防灾减灾体系进行了改革,从综合防灾管理转向危机管理体制,并努力向BCM发展。
制定BCP应对地震灾害
日本政府加强了对地震受损情况的预测工作,来进一步增强危机管理能力。2006年3月,日本政府中央防灾会议的专门调查会公布了东京发生内陆直下型大地震受灾情况预测。预测情况为:假如冬季傍晚6点(风速6m/s)、东京湾北部发生地震6.9级时,预计约2800人死亡,其中,占51%的约1400多人因火灾死亡。受伤者预计约75000人,其中,约11000人(约15%)为重伤。为此,很多企业根据预测情况,在原有的防灾计划的基础上,从业务持续发展的角度制定了业务持续计划(BCP),确保在地震时业务的持续运行。
丰田汽车公司建立了名古屋港发生地震后的备份运输路线和应急体系,改变平常的零部件和成品车的物流路线,改为东京和大阪的港口,确保地震等灾后的业务持续发展。
日立成立了负责安全管理和保安工作的风险对策部。这一风险对策部制定了地震对策大纲。在地震对策大纲中,日立对BCP在经营中的重要地位作了如下的叙述:“发生大地震时,不仅会产生设施等物品的损失以及伴随业务停止的利益损失,还有可能产生连锁地将顾客卷入其中的业务停止,进而丧失客户和顾客。”
地震紧急速报系统
今年6月14日,日本北部发生了7.2级强震,并未造成重大人员伤亡和财产损失。很多企业通过 地震紧急速报系统得到预警,在地震波来临前的4~10秒内采取了应急措施,确保了业务不受损失。日本一家著名的电子电器生产公司在地震到来4.5秒前成功地停止了生产线。
地震速报系统是利用地震两个波――P波和S波传递的间隔打一个时间差来进行应急。地震发生时,首先传递开来的是P波,随后是破坏性更大的S波,离震源越远,两个波之间的时间间隔就越长,大概为2~20秒之间。当地面监测点监测到P波后,随即通过卫星或其他线路将地震预警信息发到电台、电视台、企业或一些普通家庭的电视和专用的接收器上。这样,居民和企业可以在破坏性的S波到来之前进行最后的防备。
富士通集团公司的子公司富士通FIP,于2006年1月开始在神奈川县的数据中心安装地震紧急速报系统。根据速报,数据中心马上发出警报,这样不仅可以保护在中心的员工的安全,而且可以保护客户的数据。该公司还把数据中心的客户系统与地震应急速报系统连接在一起。当地震紧急速报传到时,数据中心马上与在其他地区的备份中心连接,备份系统开始进行备份处理。2006年夏天,富士通FIP在所有地区公司都安装了地震应急速报系统,把地震警报信息用宽带传送到员工的电脑上,同时,安装了能够把地震速报信息转换成专用信息设备的信息(如图1)。
此外,日本从2007年10月15日开始,通过现有的因特网线路和电脑,提供“The Last 10Second”(最后10秒钟)的地震紧急速报Web服务。
链接:从综合防灾管理转向BCM
根据日本危机管理学会原田泉理事的研究,在日本,政府的危机管理真正从“业务持续”的视点开展是从2005年开始的。以信息安全领域为例,日本经济产业省信息安全政策室在2005年4月制定了《业务持续计划制定指导方针》。
此外,日本内阁府的中央防灾会议在“用民间和市场的力量提高防灾能力的专门调查会”中设置了企业评价和业务持续工作组,从防灾减灾角度推进政府和企业的业务持续管理。2005年7月,日本政府中央防灾会议修改了国家的《防灾基本规划》,增加业务持续管理的内容。
【关键词】 电力企业;网络安全;安全策略
一、安全风险分析
电力企业计算机网络一般都会将生产控制系统和管理信息系统绝对分隔开来,以避免外来因素对生产系统造成损害,在生产控制系统中常见的风险一般为生产设备和控制系统的故障。管理网络中常见的风险种类比较多,通常可以划分为系统合法用户造成的威胁、系统非法用户造成的威胁、系统组建造成的威胁和物理环境的威胁。比如比较常见的风险有操作系统和数据库存在漏洞、合法用户的操作错误、行为抵赖、身份假冒(滥用授权)、电源中断、通信中断、软硬件故障、计算机病毒(恶意代码)等,上述风险所造成的后果一般为数据丢失或数据错误,使数据可用性大大降低。网络中的线路中断、病毒发作或工作站失效、假冒他人言沦等风险,会使数据完整性和保密性大大降低。鉴于管理网络中风险的种类多、受到攻击的可能性较大,因此生产控制系统和管理系统之间尽量减少物理连接,当需要数据传输时必须利用专用的通信线路和单向传输方式,一般采用防火墙或专用隔离装置(一般称做网闸)。
二、安全需求分析
一般电力企业的安全系统规划主要从安全产品、安全策略、安全的人3方面着手,其中安全策略是安全系统的核心,直接影响安全产品效能的发挥和人员的安全性(包括教育培训和管理制度),定置好的安全策略将成为企业打造网络安全最重要的环节,必须引起发电企业高度重视。安全产品主要为控制和抵御黑客和计算机病毒(包括恶意代码)通过各种形式对网络信息系统发起的恶意攻击和破坏,是抵御外部集团式攻击、确保各业务系统之间不产生消极影响的技术手段和工具,是确保业务和业务数据的完整性和准确性的基本保障,需要兼顾成本和实效。安全的人员是企业经营链中的细胞,既可以成为良性资产又可能成为主要的威胁,也可以使安全稳固又可能非法访问和泄密,需要加强教育和制度约束。
三、安全思想和原则
电力企业信息安全的主要目标一般可以综述为:注重“电力生产”的企业使命,一切为生产经营服务;服从“集约化管理”的企业战略,树立集团平台理念;保证“信息化长效机制和体制”,保证企业生产控制系统不受干扰,保证系统安全事件(计算机病毒、篡改网页、网络攻击等)不发生,保证敏感信息不外露,保障意外事件及时响应与及时恢复,数据不丢失。(1)先进的网络安全技术是网络安全的根本保证。影响网络安全的方面有物理安全、网络隔离技术、加密与认证、网络安全漏洞扫描、网络反病毒、网络入侵检测和最小化原则等多种因素,它们是设计信息安全方案所必须考虑的,是制定信息安全方案的策略和技术实现的基础。要选择相应的安全机制,集成先进的安全技术,形成全方位的安全系统。(2)严格的安全管理是确保安全策略落实的基础。计算机网络使用机构、企业、单位应建立相应的网络管理办法,加强内部管理,建立适合的网络安全管理系统和管理制度,加强培训和用户管理,加强安全审计和跟踪体系,提高人员对整体网络安全意识。(3)严格的法律法规是网络安全保障坚强的后盾。建立健全与网络安全相关的法律法规,加强安全教育和宣传,严肃网络规章制度和纪律,对网络犯罪严惩不贷。
四、安全策略与方法
1.物理安全策略和方法。物理安全的目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信链路的设计,包括建设符合标准的中心机房,提供冗余电力供应和防静电、防火等设施,免受自然灾害、人为破坏和搭线窃听等攻击行为。还要建立完备的机房安全管理制度,防止非法人员进入机房进行偷窃和破坏活动等,并妥善保管备份磁带和文档资料;要建立设备访问控制,其作用是通过维护访问到表以及可审查性,验证用户的身份和权限,防止和控制越权操作。
2.访问控制策略和方法。网络安全的目的是将企业信息资源分层次和等级进行保护,主要是根据业务功能、信息保密级别、安全等级等要求的差异将网络进行编址与分段隔离,由此可以将攻击和入侵造成的威胁分别限制在较小的子网内,提高网络的整体安全水平,目前路由器、虚拟局域网VLAN、防火墙是当前主要的网络分段的主要手段。而访问管理控制是限制系统内资源的分等级和层次使用,是防止非法访问的第一道防线。访问控制主要手段是身份认证,以用户名和密码的验证为主,必要时可将密码技术和安全管理中心结合起来,实现多重防护体系,防止内容非法泄漏,保证应用环境安全、应用区域边界安全和网络通信安全。
3.开放的网络服务策略和方法。Internet安全策略是既利用广泛、快捷的网络信息资源,又保护自己不遭受外部攻击。主要方法是注重接入技术,利用防火墙来构建坚固的大门,同时对Web服务和FTP服务采取积极审查的态度,更要强化内部网络用户的责任感和守约,必要时增加审计手段。
4.电子邮件安全策略和方法。电子邮件策略主要是针对邮件的使用规则、邮件的管理以及保密环境中电子邮件的使用制定的。针对目前利用电子邮件犯罪的事件和垃圾邮件泛滥现象越来越多,迫使防范技术快速发展,电力企业可以在电子邮件安全方案加大投入或委托专业公司进行。
5.网络反病毒策略和方法。每个电力企业为了处理计算机病毒感染事件,都要消耗大量的时间和精力,而且还会造成一些无法挽回的损失,必须制定反计算机病毒的策略。目前反病毒技术已由扫描、检查、杀毒发展到了到实时监控,并且针对特殊的应用服务还出现了相应的防毒系统,如网关型病毒防火墙以及邮件反病毒系统等。
6.加密策略和方法。信息加密的目的是保护网内的数据、文件、密码和控制信息,保护网络会话的完整性。其方法有虚拟私有网、公共密钥体系、密钥管理系统、加密机和身份认证钥匙手段等。
7.攻击和入侵应急处理流程和灾难恢复策略和方法。主要方法是配备必要的安全产品,例如网络扫描器、防火墙、入侵检测系统,进行实时网络监控和分析,及时找到攻击对象采取响应的措施,并利用备份系统和应急预案以备紧急情况下恢复系统。
8.安全服务的策略。再好的安全策略和方法都要通过技术和服务来实现,安全产品和安全服务同样重要,只有把两者很好地结合起来,才能真正贯彻安全策略。
需要注意的是“最小的成本和以能接受的风险获得IT投资的最大效益”。一个“大而全”的安全管理系统是不现实的,只有符合企业信息网络架构和安全防护体系要求的产品,才能真正达到网络的防护,一方面避免有漏洞的产品对系统安全造成更大的危害;另一方面避免造成成本上的浪费。目前承包商可以提供的安全服务主要有:安全需求分析、安全策略制定、系统漏洞审计、系统安全加固、紧急事件响应、网络安全培训。承包商还可以提供对资产管理保护类的产品,主要有实时监控的网管软件、集中式安全管理平台、安全监控和防御产品、内网安全管理、防止内部信息泄漏的安全管理、网络访问行为与通信内容审计等。
目前,计算机网络与信息安全已经被纳入电力企业的安全生产管理体系中,并根据“谁主管、谁负责、联合保护、协调处置”的原则,与电力企业主业一样实行“安全第一、预防为主、管理与技术并重、综合防范”的方针,在建立健全企业内部信息安全组织体系的同时,制定完善的信息安全管理措施,建立从上而下的信息安全培训体系,根据科学的网络安全策略,定期进行风险评估/分析和审计,采用适合的安全产品,确保各项电力应用系统和控制系统能够安全稳定的运行,为电力企业创造新业绩铺路架桥。
[关键词] 电子商务 安全 PKI 公钥
一、引言
随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现金,数字货币,网络移动通信等新业务的兴起,信息安全问题变得越来越重要。在各种网络信息技术的应用中,保障用户的合法访问、保证数据在传输过程中的保密性,以及确认发送者的合法身份是最基本的安全要求。越来越多的组织利用公钥基础设施(PKI)技术为用户提供信息安全服务。在我国,基于PKI技术的安全方案也从金融、电信等少数行业扩展到更多领域,出现在电子政务、电子商务等各类信息化应用中。
二、电子商务安全
电子商务是指各种具有商业活动能力的主体(如企业、个人、政府、银行等)利用网络和先进的数字化传媒技术开展的各项商业贸易活动。电子商务作为一种全新的商务运作模式,在不断发展的同时,也带来种种安全问题。电子商务安全分为两大部分:计算机网络安全和商务交易安全。
计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题, 实施强大的网络安全监控方案, 以保证计算机网络自身的安全性。常用的网络安全技术有防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。
商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。具体包括:如何确定通信中贸易伙伴的真实性,保证身份的可认证性; 如何保证电子单证的机密性,防范电子单证的内容被第三方读取;如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失;如何保证电子单证内容的真实性、准确性和完整性;如何保证存储信息的安全性;如何对数据信息进行审查并将审查的结果进行记录。
三、PKI与电子商务安全
互联网络的开放性和匿名性的特征使电子商务的安全问题变得越来越突出,诸如信息的泄露或篡改,欺骗,抵赖等问题。为了防范用户身份(包括人和设备)的假冒、数据的截取和篡改,以及行为的否认等安全漏洞,互联网急需一种技术或体制来实现对用户身份的认证,建立可信的网络应用环境,并保证互联网上所传输数据的安全。PKI是为适应网络开放状态应运而生的一种技术,以前的信息安全技术(如防火墙、入侵检测。防病毒等)基本上都是解决网络安全某一方面的问题,而PKI则是比较完整的网络安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。
1.什么是PKI
PKI(Public Key Infrastructure)即“公钥基础设施”,是一套利用公钥密码技术为安全通信提供服务的基础平台的技术和规范,PKI规定了该安全基础平台应遵循的标准。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务,包括身份认证和密码管理、机密性、完整性、身份认证和数字签名等。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。用户可利用PKI平台提供的服务进行安全的电子交易,通信和互联网上的各种活动。
2.PKI的组成
一个典型的PKI系统应该包括PKI策略,软硬件系统,认证中心CA、注册机构RA、证书签发系统和PKI应用等基本部分,见图1 PKI的组成框图。
图 PKI的组成框图
(1)PKI策略:是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档,它建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。
(2)软硬件系统是:PKI系统运行所需的所有软件、硬件的集合,主要包括认证服务器、目录服务器、PKI平台等。
(3)认证中心CA:是PKI的信任基础,它负责管理密钥和数字证书的整个生命周期。其作用包括:证书申请、证书审批和发放、规定证书的有效期、证书更新、接收并处理合法身份者的证书查询和撤消申请、产生并管理证书废止列表CRL、将各用户的数字证书归档、产生并管理密钥(包括密钥备份及恢复)、将用户的历史数据归档等。
(4)注朋机构RA:是PKI信任体系的重要组成部分,是用户(可以是个人或团体)和认证中心CA之间的一个接口。主要完成收集用户信息、确认用户身份的功能。这里指的用户,是指将要向认证中心(以)申请数字证书的客户,它可以是个人,也可以是集团、企业等机构。
(5)证书签发系统:负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现有的,也可以是PKI方案中提供的。
(6)PKI应用:包括在Web服务器和浏览器之间的通讯、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟专业网(VPN)等。
(7)应用接口系统(API):一个完整的PKI必须提供良好的应用接口系统,让用户能够方便地使用加密、数字签名等安全服务,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护的成本。
3.基于PKI的电子商务安全体系
电子商务的关键是商务信息电子化,因此,电子商务安全性问题的关键是计算机信息的安全性。如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。PKI体系结构采用证书管理公钥,通过第三方的可信机构,把用户的公钥和用户的其他标识信息(如用户身份识别码、用户名、身份证件号、地址等)捆绑在一起,形成数字证书,以便在Internet上验证用户的身份。PKI是建立在公钥理论基础上的,从公钥理论出发,公钥和私钥配合使用来保证数据传输的机密性;通过哈希函数、数字签名技术及消息认证码等技术来保证数据的完整性;通过数字签名技术来进行认证,且通过数字签名,安全时间戳等技术提供不可否认。因此PKI是比较完整的电子商务安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。
通常电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的Web服务器并寻找卖方。当买方登录服务器时,买卖双方都要在网上验证对方的电子身份证,这被称为双向认证。在双方身份被互相确认以后,建立起安全通道,并进行讨价还价,之后买方向卖方提交订单。订单里有两种信息:一部分是订货信息,包括商品名称和价格;另一部分是提交银行的支付信息,包括金额和支付账号。买方对这两种信息进行双重数字签名,分别用卖方和银行的证书公钥加密上述信息。当卖方收到这些交易信息后,留下订货单信息,而将支付信息转发给银行。卖方只能用自己专有的私钥解开订货单信息并验证签名。同理,银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后,通知起中介作用的电子交易市场、物流中心和买方,并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。
四、结束语
综上所述,PKI技术是解决电子商务安全问题的关键,综合PKI的各种应用,我们可以建立一个可信任和足够安全的网络,能够全面保证电子商务中信息的真实性、完整性、机密性和不可否认性。
参考文献:
[1]宁宇鹏陈昕等:PKI技术[M].北京:机械工业出版,2004年
国家和地方主管部门、制造业企业、咨询服务企业、系统软件供应商、制造业应用软件供应商、电脑与外设供应商、网络产品供应商、渠道与商和软件及系统集成商,是构成制造业信息化价值链的基本要素。
制造业信息化价值链的每个基本要素之间都是相互联系、相互作用、相互影响的。每个环节出问题,都可能导致制造业信息化工程的失败。
图1制造业信息化的价值链
1.国家和地方主管部门是制造业信息化工程的管理者和推动者,其职责是:
1)负责对国家和地方的信息化工作进行宏观引导与管理。
2)负责制定政策,实施项目和计划,以点带面,重点扶持,树立样板,推动信息化应用工程的发展。
3)负责推广先进的信息技术。
4)负责建立和维护公正的市场秩序和竞争机制,保证各个基本要素实现多赢。
2.制造业企业是信息化的最终客户,是主体,其他要素都是为这个客户服务的。
每个制造业企业,都需要根据自己的行业、规模、发展阶段、管理体制,来选择个性化的信息化解决方案。要实施好信息化工程,企业必须注意以下问题:
1)企业领导必须对信息化建立基本的认识,必须认识到,信息化是一个工具,是一种手段,需要为我所用,为企业的发展服务。
2)信息化是首长工程,企业领导必须把它当作一个企业发展的战略任务来抓,必须真抓实干。
3)信息化是一个复杂的系统工程,企业必须把信息化作为一个长期的分阶段实施的大项目来进行科学地管理。在项目实施前,必须对信息化工程这个大项目的实施所要解决的问题、每个阶段的目标、项目的人员组织、成本、考核标准进行计划。在实施过程中,必须进行监控,必须对每一个阶段的实施成果进行评估和分析。信息化工程这一关系到企业生死存亡的项目的成功实施,必须满足项目成功的三个基本条件,即实施周期、实施成本和实施效果。
4)任何一个试图提高效率、降低成本的革新,一开始总是会降低效率、提高成本。企业这个大系统需要一段时间的适应,才能把革新的成果融入企业,信息化工程也不例外。因此,对信息化过程中的困难和问题,制造业企业应有客观、理智的认识,企业领导要敢于冒有准备的风险。
5)信息化工程的关键,是企业能够在咨询服务商或者软件公司的帮助下,弄清自己的需求。信息化软件实际上是企业管理思想和理念的一种载体,如果软件本身所包含的管理思想和理念与制造业企业相冲突,信息化工程是不可能成功的。因此,企业需要有既懂管理,又能够清晰地描述自身企业的管理模式与信息化需求,并能够与咨询公司或软件企业进行交流和配合的管理人才队伍。
6)软件既然是一种工具,就必须有能够熟练使用这种工具的人。因此,企业需要培训一批能够熟练软件的应用人才队伍。
7)随着技术的发展,软件的应用平台日趋复杂。因此,企业需要有熟练掌握计算机硬件、网络和数据库的维护人才,确保系统正常运行。在国外,越来越多的企业将这类工作外包给专业的软件服务和集成商。
8)信息化建设需要消耗相当大的资金,因此,企业要充分考虑资金的获取渠道与方式,做好预算与成本控制,避免信息化工程因为资金问题而中途夭折。
3.咨询服务企业是制造业信息化的枢纽,其职责是:
1)帮助企业进行信息化需求的诊断和分析,制定制造业企业信息化的总体规划。
2)帮助企业进行信息化软件、硬件和系统集成方案的选型、实施与监理。
3)帮助企业进行多层次信息化人才的培训。
4)不断跟踪和研究制造业信息化领域的技术、市场、产品和服务的发展变化趋势,深入企业进行调查研究,为制造业企业推荐最合适的信息化解决方案。
4.制造业软件企业是制造业信息化的工具制造商,其职责是:
1)提供能够满足制造业企业功能需求,能够在企业的计算机和网络平台安全、可靠运行,并能实现与其它应用软件集成的软件产品。
2)软件产品应具备先进性、实用性、可靠性、兼容性、开放性、易学易用性等特性。
3)为制造业提供软件产品的安装、培训与服务。其中服务包含软件实施、软件升级、客户化开发、解决应用中的问题等。
5.软件服务和集成商是制造业信息化的桥梁,其职责是:
1)帮助企业进行信息化软件的客户化开发、培训和系统升级。
2)帮助企业实现不同应用系统的信息集成。
3)帮助企业维护整个信息系统,并解决信息备份、信息安全问题。
6.电脑与外设供应商、网络产品供应商和系统软件供应商组成了制造业信息化的基础的、与具体应用无关的平台。该平台必须保证整个信息化系统运行的可靠性、安全性和兼容性。
7.渠道与商负责帮助产品供应商进行产品的销售、服务与技术支持。大多数硬件与网络供应商和系统软件供应商以分销和渠道销售为主;而制造业应用软件公司则主要采用直销,自主从事产品的销售、服务和技术支持工作。
2.决定制造业信息化工程成败的关键因素
制造业信息化的价值链中的各个环节都是决定信息化工程成败的因素,而其中,政府主管部门、咨询服务体系和制造业软件企业,是最重要的因素。
首先,政府主管部门对于整个价值链的影响是巨大的,政府主管部门制定的政策如何、导向如何,对制造业信息化工程的成功至关重要。
在“九五”期间,国家科技部提出的CAD应用工程,就顺应了当时的企业信息化状况,带动了一大批企业甩掉图板,使用CAD软件,使企业真正尝到了信息化的甜头,激发了企业实现信息技术深化应用的热情。反之,有些地方和行业的主管部门,在推进信息化的过程中,采取了计划经济时代的一些地方保护、行业垄断等做法,规定企业只能用某某产品、某某软件,这就不利于信息技术的推广应用。
第二,在制造业信息化工程实施的过程中,有没有咨询服务企业的参与,参与的程度与方式如何,也是导致信息化成功的关键因素。
许多制造业企业在实施信息化工程时,考虑得比较多的是建网络、买软件和硬件,在购买前看演示时令人眼花缭乱的好功能,到了企业就是用不起来,数据格式不兼容、借口连不上等问题随着而来。有的企业甚至成了“软件展示厅”,买了一大堆软件,但还是一个混合物,没有真正实现“化合”,没有真正集成起来。究其原因,就是没有引进咨询服务企业,进行认真、仔细的需求分析,缺乏有实际指导意义的总体规划和实施及集成方案。
另一方面,咨询服务业在中国还处于起步阶段,还比较缺乏专业性的制造业信息化咨询企业,高校的专家、教授和研究生是从事咨询服务的主要力量。他们的优势是对国内外先进技术和发展趋势进行跟踪研究,但是往往缺乏在企业工作和实施项目的实际经验。
不少制造业软件企业除了为制造业企业提供应用软件之外,实际上也扮演了咨询服务的角色。企业常常要求制造业软件公司为企业制定信息化方案,甚至进行软件与系统集成等。但是,由于制造业软件企业是以卖自己的软件为目的,所以免不了王婆卖瓜,少数软件甚至用一些模糊、错误的概念来误导制造业企业。因此,制造业信息化呼唤专业、独立、中立的咨询服务企业,来真正站在企业的角度,制定合理的制造业信息化解决方案。
武汉市制造业信息化工程技术研究中心于2002年1月成立,它是在制造业信息化工程深化实施的过程中应运而生的,在全国首创了由政府引导、高校和企业投资、市场化运作的新型运作模式。工程中心致力于通过深入的研究,来为不同行业、不同规模、不同体制和不同发展阶段的制造业企业推荐最优化、最佳性能价格比的解决方案,使企业通过实现信息化,真正提升自己的核心竞争力和创新能力、显著降低成本,获得显著的经济和社会效益,避免信息化投资的失误。
第三,制造业应用软件的选型、实施、客户化开发与信息集成,也是制造业信息化工程成功与否的关键环节。
目前,我国的制造业企业没有执行统一的标准。许多企业采用行业标准、甚至是企业标准。连标准化程度最高的产品设计过程,也存在许多不同的要求,例如明细表的书写方式等。在后续的工艺编制环节,则根据企业的产品、行业的特点不同,需求差别更大。有的以装配工艺为主,有的以机加工工艺为主,有的以焊接工艺为主等。企业生成各种清单、报表的方式以及编码方式也是五花八门,各不相同。
企业的管理模式则差别更大,一些传统的大型制造业企业以纵向一体化为主,在整个企业集团建立了严格的分工,建立了内部的供应链,如一汽。而在一些民营经济发达的地区,如浙江、江苏、广东等地,则建立了横向一体化,形成了外部的供应链,如广东南海的铝行材供应链、重庆的摩托车供应链和浙江永康的小五金供应链等。不同的企业生产组织方式、产品特点、营销模式、采购方式不同,形成了不同的管理模式,因此,不可能用一种类型的管理软件来适应所有的企业。对于流程型企业,如石油、化工、钢铁企业,所使用的管理软件与离散型制造业又有根本的区别。
制造业的内部管理环节众多,差别巨大,因此,应用软件的选型、客户化开发和信息集成十分关键。每个应用软件都有不同的市场定位,适合于不同类型、不同规模、不同生产和管理模式的企业。目前,市场上各类应用软件层出不穷,往往会使企业看得眼花缭乱,难以辨别。因此,咨询服务企业的责任重大,它必须帮助企业甄别、选择应用软件,帮助企业确定特殊的开发和客户化需求,以及信息集成的需求。
制造业企业信息系统的技术子系统与管理子系统的信息集成,是制造业信息化的重中之重的问题和瓶颈问题,需要制造业企业、咨询服务企业和应用软件供应商共同研讨,确定合理、优化的信息集成解决方案。
许多应用软件提供了二次开发工具,但是大多数提供的是语言开发工具,需要专业人员进行开发。比较有特色的是开目CAPP和开目BOM软件提供了可视化的配置工具,企业可以自行根据报表汇总的方式、表格格式和生成过程进行配置,配置方法简单实用。
为了实现客户化和信息孤岛问题,许多大企业专门建立了开发队伍,开发了一些自行使用的工具和模块。但是,随着应用系统日趋复杂,系统的维护越来越困难,一种新的趋势是将这种系统二次开发和维护的任务进行外包。这就产生了对专业的软件服务和集成商的市场需求。目前,在美国,已经有大量的面向不同行业的专业软件服务和集成商,而在中国,由于还存在对服务价值的认同等问题,软件服务和集成商的发展还处于初级阶段,其角色目前主要由制造业应用软件供应商来扮演。
第四,信息安全问题,在整个制造业信息化解决方案中的地位日趋重要。
随着企业应用信息技术的深入,产生了大量的电子文档,对这些电子文档如何存储、备份,如何保证安全,是近年来制造业企业碰到的问题。企业在指定信息化解决方案时,也要进行充分考虑。
更为重要的是,许多企业建立了Intranet,怎样在保证Intranet用户能够访问Internet,又能够避免信息被盗,怎样防止网络病毒和黑客袭击,这都是企业在建立信息化解决方案时,必须充分重视的问题。这些问题已经由制造业软件企业和软件和系统集成商提出了解决方案。制造业企业需要在方案选型时,充分考虑和比较各种信息安全方案,选择经济、有效的解决方案。
3.中国制造业企业在实施信息化过程中需要明确的战略理念
1.制造业信息化必须与制造业企业的发展战略紧密结合。
信息化对于制造业企业而言,是一种手段,一种工具,而不是目的。因此,制造业企业不能为了信息化而信息化,而是必须与企业的发展战略与经营目标结合起来,选择合适的解决方案,使得信息技术真正成为帮助企业在激烈的国际化竞争中立与不败之地的有力武器。既不能好高骛远,又不能止步不前。
2.制造业信息化必须与企业管理改革联系起来
由于历史的原因,中国的国有大中型制造业是在计划经济环境下发展起来的,布局很不合理。在进行了体制改革之后,国有制造业企业依然面临着严重的与市场接轨,加快市场反应速度的问题。而中国新兴的乡镇和私营企业,以及广大的中小型制造业企业,是在有中国特色的社会主义市场经济的大潮下,顺应市场需求发展起来的,这些企业具有敏锐的市场眼光,已经通过特色经营和成本优势确立了自身在市场的地位。但是,这些企业在发展到一定阶段以后,也遭遇了技术、管理等问题,企业也迫切需要通过信息化来提升自己的核心竞争力。
因此,实施信息化工程的前提是管理现代化。只有摸清企业的现状和改革的目标,才能制定出改革的方针和行动纲领。对许多企业,更重要的是要分析产品的市场需求状况,确定企业的发展战略,确定产品定位,理顺营销渠道,找到独特的竞争优势和核心竞争力。
制造业信息化是企业推进管理改革的一种手段,是先进管理思想的载体,例如,通过实施CR行业保护和地方保护。某些地方采取购买本地的软件就给予资金扶持,购买外地软件就不给扶持的不平等政策;有些军工行业至今还采用行政方式统一采购,指定品牌等方式。这些,都是与建设社会主义市场经济的方针相背道而驰的,最终的结果也只会破坏市场秩序,影响应用效果。
整个制造业信息化工程是一个供应链、价值链,每个环节都应该是增值的过程。只有价值链的每个要素都能够赢,整个价值链才能够持续发展。因此,中国的制造业软件企业应该把竞争与竞合结合起来,共同维系整个中国制造业软件产业的健康发展,形成多赢的良好局面。
关键词:财务管理信息化 现状 问题对策
一、我国企业财务管理信息化现状
(一)、财务管理信息化的概念
财务管理信息化是指以会计信息系统为基础而进行一系列改造和创新的过程。具体来说,是在以信息技术革命为基本特征的背景下,利用先进的计算机管理技术,对企业的日常运转流程进行重组,对企业的准则规章重新进行设定,将财务人员的潜能发挥到最大限度,开发出利于企业经营管理的各种财务信息;是在互联网的环境下,运用会计电算化和网络财务对企业传统的项目,如核算、分析、控制和监督等进行财务处理,实践出适合自己企业的财务管理模式并开发出多种财务功能;是要求财务管理在信息技术、信息产业、信息技术应用等有关内容的共同进步与发展。其最终目标是对信息资源进行深入的开发和广泛的应用,更好地组织企业财务活动,协调好内部及外部的财务关系,建立起全面的控制信息系统,通过充分利用集成的信息来不断提高生产经营的水平,进而提高企业的竞争力。[1]企业的财务管理信息化是指在企业在财务管理的整个流程都用到现代信息技术,而且保证是充分地利用了,通过建立全方位的财务信息系统,来实现企业财务信息的集合和分类总结,使企业的财务管理水平大大提高,进而促进企业决策水准的提升。财务管理信息系统是一个复杂的系统,它由多个分系统组成,主要包括会计事务处理信息系统、财务管理信息系统、财务决策支持系统、财务经理信息系统以及组织互联信息系统五个组成部分。[2]
(二)、财务管理信息化的作用
1.企业财务管理的信息化过程中,会使财务人员接触到财务管理的新理念,会带动财务管理人员学习、探索财务管理信息化,从而提高他们的财务技能,使他们在日后的财务工作中发挥更大的潜能,为公司创造更多的利润。
2.财务管理的信息化,改变了财务人员手工记账的模式,大大节省了不必要的劳动时间,使得财务管理人员有更多的时间去提升自己,同时减轻了财务人员的工作量,从而提高了员工的工作效率,并激发了他们的工作热情,为企业做出更大的贡献。
3.财务管理的信息化,丰富了财务管理的形式。企业可以通过网络对其经济业务及会计处理进行远程操作,相比以前的实地管理,财务管理的形式更加富于多样性,并节省了大量的人力、物力、财力。
4.财务管理的信息化,缩短了企业各部门之间信息的传递时间。财务部门通过网络财务信息,由于财务管理的信息化,其他部门马上就能看到,大大缩短了传递时间,显著地提高了各部门的工作效率。
5. 财务管理的信息化,不但提高了企业各部门之间信息的传递效率,而且,大大配合了政府部门、税收部门、审计部门的工作,在很大程度上减少了这些部门的工作量,提高了它们的工作效率,有助于推进我国财务管理信息化的整体进程。
6.财务管理的信息化,提升了企业的综合竞争力。通过财务管理信息化,企业可以及时了解各分公司,各部门的财务状况,便于领导者做出正确的决策,进而提高企业的竞争力。
二、我国企业财务管理信息化存在的主要问题
在选择走上财务管理信息化的道路之时,我们就应该做好心理准备,应该清楚地认识到这条陌生的道路上会充满坎坷,我们需要顶住压力勇往直前。在财务管理信息化建设之初,遇到困难是不可避免的,我们应该用积极向上的心态来迎接挑战。我们只有从一开始就总结归纳所遇到的种种问题,才能在财务管理信息化建设的中后期进行得比较顺利。尽早地总结出存在的问题,使我们有足够的时间来想出解决的办法。笔者认为亟待解决的主要问题有:
(一)、企业管理人员的意识淡薄
企业建立财务管理信息化系统,是值得所有人员包括管理人员重视的项目。而现实中,很多领导根本意识不到建设财务管理信息化系统的重要性。就算有些领导意识到,但并不能采取恰当的措施来巩固财务管理信息化的建设。再就是,有些领导组织建成了辅助财务管理信息化建设的网络系统,可后续工作做不到位,导致前功尽弃。[3]
(二)、缺乏财务信息化管理的高端人才
企业拥有各种技能的人才,有财务管理方面的专家,也有计算机方面的专家,但是却很少拥有将二者的才能有效结合起来的复合人才。有些企业的财务人员水平有限,没有适应现代化企业管理需求的理念,更没有财务信息化管理的能力。而这种综合型的人才将会对企业财务管理的有效性和系统性作出巨大贡献,会使企业长期健康地发展,所以说,企业很缺乏既懂信息化管理又有财务管理能力的综合型人才。
(三)、财务管理软件发展滞后
现阶段,我国的财务软件跟不上企业发展的节奏。首先,我国的大部分财务软件只具备做账的功能,而现在的经济环境下,还需要我们的软件有预算,管理等功能。其次,我国大部分企业开发不出适合自己企业的多功能的财务软件。[4]我们只能购买大公司的软件,可是它们根本就不能满足自己公司的需求,这样一来,形同虚设。我国传统的财务软件,遵循的会计准则都已过时,已经不能与国际相接轨。根据市场调查统计,用友财务软件的市场占有率最高,海尔集团目前应用的是金蝶财务软件,这表明适合自己公司需求的财务软件才是最好的。
(四)、系统安全措施不健全
系统的安全对财务信息的时效性至关重要,在很大程度上,系统的安全性制约了财务管理信息化的进程。在一些单位,信息丢失,信息被改动是时常发生的。对付这种状况,大部分单位只知道采取简单的安全防范措施,比如说设立防火墙,下载防毒软件等,但这些措施并不能从根本上杜绝上述情况的发生。[5]另外,网络管理人员的素质偏低,他们不能高效地运用软件进行防范,并且出现安全问题时,他们不能及时有效地解决,亦不能保证把损失降到最低。网络的维护管理需要大量的费用,由于权责不分明,谁都不愿主动管理,以至于没有任何条件来保证安全性。并且由于互联网应用的普及,电子商务日益频繁,网上交易越来越多,信息被窃取的可能性更大。
(五)、会计信息存在问题
随着商业竞争的日益激烈,会计信息逐渐暴露出一些问题。一是信息不集中。一个企业会有很多部门,而每个部门都有各自的信息系统,部门之间由于存在竞争关系,他们会故意截留信息,导致信息不集中,这样的话,企业决策层会很难获得集中的财务信息,更没办法高效地做出决策。二是信息不及时。财务人员没有这种意识,不能及时有效地向管理人员提供有效的信息,导致反映到领导层的信息已经失效,财务管理工作不能及时进行。三是信息不真实。由于财务人员对会计核算工作没有足够的重视,会计信息缺失,财务报表不准确,导致财务管理信息不完整、不准确。[6]四是信息的采集和处理的口径不一致,容易导致对相同的信息不同的部门得到不同的结果。五是监控会计信息质量的力度不够,由于没有现成的处罚措施,导致财务人员轻视其严重性。
三、财务管理信息化的发展对策
企业建设财务管理信息化的过程就是发现问题,并不断解决问题的过程。单单发现问题而不去解决这些问题,结果只能是徒劳。这两者是紧密相连的、不可分割的两部分,只有这两方面都顺利地进行了,我国的企业财务管理信息化才能实现。我们还应该注意找到的对策一定要与发现的问题相对应,做到一对一地解决,这样才能确保万无一失。具体解决措施有:
(一)、提高领导的认识
企业领导的管理理念,在很大程度上,决定着其企业的财务管理信息化的建设方向;企业领导的重视程度,则决定着财务管理信息化的进程。管理理念是企业的一个灵魂,而财务管理信息化体现着现代企业的管理思想,该系统是一个需要多加关注的多系统组合,只有企业的最高层重视并强调这个问题,员工们才能正视并付出努力。因此,我们应提升领导的思想觉悟。首先,政府部门及相关部门可以组织企业经营者进行学习,让他们尽可能多地了解财务管理信息化方面的知识,树立他们以财务管理为核心,勇于创新和实践的理念。其次,组织各级领导学习成功典范的实施策略,并成立小组,定期讨论对财务管理信息化的建设意见,逐步提高他们的认识。最后,企业领导要与财务管理方面的专家经常交流沟通,最终制定出符合该企业的财务管理信息化建设的方针。[7]
(二)、培养财务信息化管理的复合人才
目前,我国大部分企业的财务管理人员基础还很薄弱,不能在财务管理方面独当一面。因此,我们需要加大力度培养财务管理信息化所需要的高端人才。首先,加强对财务人员的培训。企业必须定期对财务部门的人员进行培训,更新他们的理念,组织他们参加相关的软件培训,让他们具备熟练掌握软件功能的能力。这不但有助于提高工作效率,而且能保证软件的安全运作。我们培养的目标是财务人员不但是记账员,还具备分析员、管理员的能力。其次,企业可以采用与高校联合办学的方式,培养更适合自己企业的专业人才。具体来说,企业可以与学校商讨办学时用的教科书问题,即在达到教育部要求的前提下,适当选择教材,使学生更高效地学习。
(三)、积极开发财务软件
软件,是企业实施财务管理信息化的必备条件。拥有统一的软件,有利于企业经营的管理,有利于企业资金的管理,有利于部门之间的沟通。第一,企业要设立专门的部门来开发适用自己企业的财务软件。通过这种方式,企业可以高效地运作,不但减轻了财务人员的工作量,进而大大提高了工作效率,而且较之以前,更加便捷安全了。但这并非易事,这需要管理层高度重视并采取适当的措施来建立这个部门。部门建立起来了,为了能让它运用到实处,还需要一定的制度来维持。第二,政府应建立相关部门来监督企业开发软件的部门。政府应意识到这是未来的一种趋势,即企业自己开发适合自己的软件,这是全球大经济环境下要求我们必须满足的条件。只有这样,我们才能在变幻无常的信息化时代,立于不败之地。企业自己开发的软件,不一定符合相关条例法规的规定,这就需要有这样的部门来进行监督工作。第三,若自己能力有限,开发不出高效的财务管理软件,我们可以加强企业间的合作,集中组织开发适合企业的统一财务管理软件。
(四)、加强控制来保证安全
在建设财务管理信息化系统的过程中,我们要保持其与信息安全的同步性。因为信息安全是贯穿于财务管理信息化系统建设的始终,所以,我们必须得抓好信息安全问题。首先,确保购买的软件是经过检测的,严格符合国家标准的,遵循基本会计准则的,这样可以保证最基本的合法性。其次,在单位内部建立安全责任制。每个人的责任都落实到实处,比如有专门负责处理网络维护费用的,有专门负责进行软件更新的等等,这样可以确保每个人都尽心尽力地维护它。再次,建立安全防御体系。具体来说,登陆系统的人员都要进行身份认证,必要时可以对会计信息进行加密,怕丢失的重要的信息,要对其进行备份;尤其加强对病毒和黑客的防范,在网络终端安装防病毒软件,定期更新升级财务软件,这样可以保证对安全的实时监控。
(五)、提高会计信息质量
会计信息质量关系到投资者决策以及市场经济秩序等重大问题,要完善企业的财务管理信息化建设,必须要达到会计信息质量的系列要求。第一,调整各部门之间的关系,让他们毫无保留地提供自己部门的会计信息,达到信息的集中,这样有助于会计进行集中汇总财务信息,反过来,能促进各部门的进步。第二,集中分散的信息,及时对财务、业务信息进行汇总,汇报,即达到预想的时效性。具体来说,需要及时收集会计信息,及时处理会计信息和及时传递会计信息。第三,提高信息化水平,以保证能提供真实的会计信息。第四,让单位内的各部门都用统一的信息管理软件,采用统一的信息编码标准,提高信息的利用率。第五,完善企业的信息监控制度,对替人做假账而导致会计信息失真的人进行处罚。
四、总结
综上所述,我国企业财务管理信息化过程中存在众多的问题,其中由于网络和信息技术的广泛应用,在企业财务管理信息化的建设之中会不可避免地遇到网络安全方面所带来的种种威胁。但随着我国不断地推进财务管理信息化建设,我国的财务管理信息系统正在逐步地形成,财务管理的理念正在不停地更新,我们必将克服这多样的挑战,突破传统的企业管理模式。
在不断地发现问题和解决问题的过程中,我们会逐渐建立起完善的财务管理信息化体系。虽然,我国的财务管理信息化建设之路还很漫长,但只要每个企业都有针对性地来解决自己存在的问题,并尽自己最大的努力来建设财务管理信息化,笔者相信,在不久的将来,我国的财务管理信息化会最终建成,我们会自信地活跃于世界大市场上,向世人昭示我们的强大。
参考文献:
[1] 翁金莺.现代企业财务管理信息化建设的思考[J].商场现代化,2008(21)
[2] 姚劲梅.关于企业财务管理信息化的思考[J].未知,2011(3)
[3] 解娟.煤炭企业财务管理信息化建设面临的问题及对策[J].会计之友,2010(6)
[4] 陈美英.推进我国国有企业财务管理信息化的思考[J].会计之友,2007(9)
[5] 柳博亮.大型企业信息化建设方向和趋势分析[J].企业信息化及ERP技术应用,2008(4)