版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
序言随着科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息安全已经成为国家安全的重要组成部分。近年来,在党中央、国务院的领导下,我国信息安全保障工作取得了明显成效,建设了一批信息安全基础设施,加强了互联网信息内容安全管理,为维护国家安全与社会稳定、保障和促进信息化健康发展发挥了重要作用。
但是,我国信息安全保障工作仍存在一些亟待解决的问题:网络与信息系统的防护水平不高,应急处理能力不强;信息安全管理和技术人才缺乏,关键技术整体上还比较落后,产业缺乏核心竞争力;信息安全法律法规和标准不完善;全社会的信息安全意识不强,信息安全管理薄弱等。与此同时,网上有害信息传播、病毒入侵和网络攻击日趋严重,网络泄密事件屡有发生,网络犯罪呈快速上升趋势,境内外敌对势力针对广播电视卫星、有线电视和地面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖獗,严重危害公众利益和国家安全,影响了我国信息化建设的健康发展。随着我国信息化进程的逐步推进,特别是互联网的广泛应用,信息安全还将面临更多新的挑战。信息安全技术与实施目录物理实体安全与防护2密码技术与应用4信息安全概述31网络攻击与防范33数字身份认证35目录入侵检测技术与应用7操作系统安全防范9防火墙技术与应用36计算机病毒与防范38无线网络安全与防范310第1章信息安全概述本章内容
信息安全介绍1.1黑客的概念及黑客文化1.2针对信息安全的攻击1.3网络安全体系1.4信息安全的三个层次1.5引导案例:2009年1月,法国海军内部计算机系统的一台计算机受病毒入侵,迅速扩散到整个网络,一度不能启动,海军全部战斗机也因无法“下载飞行指令”而停飞两天。仅仅是法国海军内部计算机系统的时钟停摆,法国的国家安全就出现了一个偌大的黑洞。设想,若一个国家某一系统或领域的计算机网络系统出现问题或瘫痪,这种损失和危害将是不可想象的,而类似的事件不胜枚举。目前,美国政府掌握着信息领域的核心技术,操作系统、数据库、网络交换机的核心技术基本掌握在美国企业的手中。微软操作系统、思科交换机的交换软件甚至打印机软件中嵌入美国中央情报局的后门软件已经不是秘密,美国在信息技术研发和信息产品的制造过程中就事先做好了日后对全球进行信息制裁的准备。1.1信息安全介绍随着全球互联网的迅猛发展,越来越多的人亲身体会到了信息化给人们带来的实实在在的便利与实惠,然后任何事情都有两面性,信息化在给经济带来实惠的同时,也产生了新的威胁。目前“信息战”已经是现代战争克敌制胜的法宝,例如科索沃战争、海湾战争。尤其是美国“9.11事件”给世界各国的信息安全问题再次敲响了警钟,因为恐怖组织摧毁的不仅仅是世贸大厦,随之消失的还有众多公司的数据。自2003年元旦以来,蠕虫病毒“冲击波”对全球范围内的互联网发起了不同程度的攻击,制造了一场规模空前的互联网“网瘫”灾难事件。迄今为止,许多组织、单位、实体仍然没有完全走出“冲击波”和“震荡波”的阴影,而2007年的“熊猫烧香”又给互联网用户留下了深刻印象。计算机攻击事件正以每年64%的速度增加。另据统计,全球约20秒钟就有一次计算机入侵事件发生,Internet上的网络防火墙约1/4被突破,约有70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。信息安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科。由于目前信息的网络化,信息安全主要表现在网络安全上,所以目前将网络安全与信息安全等同起来(不加严格区分)。实际上,叫信息安全比较全面、科学。信息安全问题已引起了各国政府的高度重视,建立了专门的机构,并出台了相关标准与法规。1.1.1信息安全的概念信息安全的概念是随着计算机化、网络化、信息化的逐步发展提出来的。当前对信息安全的说法比较多,计算机安全、计算机信息系统安全、网络安全、信息安全的叫法同时并存(事实上有区别,各自的侧重点不同)。ISO对计算机系统安全的定义为:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。计算机网络安全的概念:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。建立网络安全保护措施的目的:确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。针对信息安全,目前没有公认的定义。美国国家安全电信和信息系统安全委员会(NSTISSC)对信息安全做如下定义:信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。信息安全涉及个人权益、企业生存、金融风险防范、社会稳定和国家安全,它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全、国家信息安全的总和。1.1.2信息安全的内容网络信息安全的内容物理安全1防静电防盗防雷击防火防电磁泄漏2用户身份认证访问控制加密安全管理逻辑安全操作系统安全3联网安全4访问控制服务通信安全服务1.物理安全物理安全是指用来保护计算机网络中的传输介质、网络设备、机房设施安全的各种装置与管理手段。包括:防盗、防火、防静电、防雷击和防电磁泄露等。物理上的安全威胁主要涉及对计算机或人员的访问。策略和多,如将计算机系统和关键设备布置在一个安全的环境中,销毁不再使用的敏感文档,保持密码和身份认证部件的安全性,锁住便携式设备等。物理安全更多的是依赖于行政的干预手段并结合相关技术。如果没有基础的物理保护,物理安全是不可能实现的。2.网络安全计算机网络的逻辑安全主要通过用户身份认证、访问控制、加密、安全管理等方法来实现。(1)用户身份认证。身份证明是所有安全系统不可或缺的一个组件。它是区别授权用户和入侵者的唯一方法。为了实现对信息资源的保护,并知道何人试图获取网络资源的访问权,任何网络资源拥有者都必须对用户进行身份认证。(2)访问控制。访问控制是制约拥护连接特定网络、计算机与应用程序,获取特定类型数据流量的能力。访问控制系统一般针对网络资源进行安全控制区域划分,实施区域防御的策略。在区域的物理边界或逻辑边界使用一个许可或拒绝访问的集中控制点。(3)加密。即使访问控制和身份验证系统完全有效,在数据信息通过网络传送时,企业仍然可能面临被窃听的风险。事实上,低成本和连接的简单性已使Internet成为企业内和企业间通信的一个极为诱人的媒介。同时,无线网络的广泛使用也在进一步加大网络数据被窃听的风险。加密技术用于针对窃听提供保护,它通过信息只能被具有解密数据所需密钥的人员读取来提供信息的安全保护。它与第三方是否通过Internet截取数据包无关,因为数据即使在网络上被第三方截取,它也无法获取信息的本义。这种方法可在整个企业网络中使用,包括在企业内部(内部网)、企业之间(外部网)或通过公共Internet在虚拟专用网(VPN)中传送私人数据。加密技术主要包括对称式和非对称式两种,都有许多不同的密钥算法来实现。(4)安全管理。安全系统应当允许由授权人进行监视和控制。使用验证的任何系统都需要某种集中授权来验证这些身份,而无论它是UNIX主机、WindowsNT域控制器还是NovellDirectorySerrvices(NDS)服务器上的/etc/passwd文件。由于能查看历史记录,如突破防火墙的多次失败尝试,安全系统可以为那些负责保护信息资源的人员提供宝贵的信息。一些更新的安全规范,如IPSEC,需要包含策略规则数据库。要使系统正确运行,就必须管理所有这些要素。但是,管理控制台本身也是安全系统的另一个潜在故障点。因此,必须确保这些系统在物理上得到安全保护,请确保对管理控制台的任何登录进行验证。3.操作系统安全。计算机操作系统担负着庞大的资源管理,频繁的输入输出控制以及不可间断的用户与操作系统之间的通信任务。由于操作系统具有一权独大的特点,所有针对计算机和网络的入侵及非法访问都是以攫取操作系统的最高权限作为入侵的目的。因此,操作系统安全的内容就是采用各种技术手段和采用合理的安全策略,降低系统的脆弱性。与过去相比,如今的操作系统性能更先进、功能更丰富,因而对使用者来说更便利,但是也增加了安全漏洞。要减少操作系统的安全漏洞,需要对操作系统予以合理配置、管理和监控。做到这点的秘诀在于集中、自动管理机构(企业)内部的操作系统安全,而不是分散、人工管理每台计算机。实际上,如果不集中管理操作系统安全,相应的成本和风险就会非常高。目前所知道的安全入侵事件,一半以上缘于操作系统根本没有合理配置,或者没有经常核查及监控。操作系统都是以默认安全设置类配置的,因而极容易受到攻击。那些人工更改了服务器安全配置的用户,把技术支持部门的资源都过多地消耗于帮助用户处理口令查询上,而不是处理更重要的网络问题。考虑到这些弊端,许多管理员任由服务器操作系统以默认状态运行。这样一来,服务器可以马上投入运行,但却大大增大了安全风险。现有技术可以减轻管理负担。要加强机构(企业)网络内操作系统的安全,需要做到以下三方面:首先对网络上的服务器进行配置应该在一个地方进行,大多数用户大概需要数十种不同的配置。然后,这些配置文件的一个镜像或一组镜像在软件的帮助下可以通过网络下载。软件能够自动管理下载过程,不需要为每台服务器手工下载。此外,即使有些重要的配置文件,也不应该让本地管理员对每台服务器分别配置,最好的办法就是一次性全部设定。一旦网络配置完毕,管理员就要核实安全策略的执行情况,定义用户访问权限,确保所有配置正确无误。管理员可以在网络上运行(或远程运行)代理程序,不断监控每台服务器。代理程序不会干扰正常操作。其次,帐户需要加以集中管理,以控制对网络的访问,并且确保用户拥有合理访问机构资源的权限。策略、规则和决策应在一个地方进行,而不是在每台计算机上进行,然后为用户系统配置合理的身份和许可权。身份生命周期管理程序可以自动管理这一过程,减少手工过程带来的麻烦。最后,操作系统应该配置成能够轻松、高效地监控网络活动,可以显示谁在进行连接,谁断开了连接,以及发现来自操作系统的潜在安全事件。1.1.3网络安全策略安全策略是针对网络和系统的安全需要,做出允许什么、禁止什么的规定,通常可以使用数学方式来表达策略,将其表示为允许(安全的)或不允许(不安全的)的状态列表。为达到这个目的,可假设任何给定的策略能对安全状态和非安全状态做出公理化描述。实践中,策略极少会如此精确,网络使用文本语言描述什么是用户或系统允许做的事情。这种描述的内在歧义性导致某些状态既不能归于“允许”一类,也不能归于“不允许”一类,因此制定安全策略时,需要注意此类问题。因此安全策略是指在一个特定的环境里,为提供一定级别的安全保护所必须遵守的规则。1.物理安全策略目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、认为破坏、搭线攻击,验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种盗窃、破坏活动的发生。抑止和防止电磁泄露,即Tempest技术,是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是传导发射的保护,主要采取对电源线和信息线加装性能良好的滤波器,减少传输阻抗和导线间的交叉耦合;另一类是对辐射的防护。2.访问控制策略访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和访问,它是维护网络安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,可以说访问控制是保证网络安全的核心策略之一。(1)入网访问控制。为网络访问提供了第一层访问控制,它是用来控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许在哪个工作站入网。用户的入网访问控制可分为3个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的默认限制检查。只要3道关卡中有任何一关未过,该用户便不能进入该网络。(2)网络权限控制。是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。用户组可以访问哪些目录、子目录、文件和其他资源,指定用户对这些文件、目录、设备执行哪些操作。根据访问可以将用户分为特殊用户(系统管理员)、一般用户,审计用户(负责网络的安全控制与资源使用情况的审计)3类。用户对网络资源的访问权限可以用一个访问控制表来描述。(3)网络服务器安全控制。网络服务器的安全控制包括:可以设置口令锁定服务器控制台,防止非法用户修改、删除重要信息或破坏数据;可以设置服务登录时间限制、非法访问者检测和关闭的时间间隔。(4)网络检测和锁定控制。对非法的网络访问,服务器应以图形、文字或声音等形式报警。3.信息加密策略。见P5。信息加密的目的:保护网内的数据、文件、口令和控制信息,保护网上传输的数据。常用的方法:有链路加密、端点加密和节点加密。链路加密:保护网络节点之间的链路信息安全;端-端加密:对源端用户到目的端用户的数据提供保护;节点加密:对源节点到目的节点之间的传输链路提供保护。4.网络安全管理策略。除了采用上述技术措施外,加强网络的安全管理、制定有效的规章制度,对于确保网络的安全、可靠运行,将起到十分有效的作用。包括:确定安全管理等级和范围;制定有关管理章程和制度;制定网络系统的维护制度和应急措施等。见P5。1.1.4信息安全的要素虽然网络安全同单个计算机安全在目标上并没有本质区别,但是由于网络环境的复杂性,网络安全比单个计算机安全要复杂得多。P5。第一,网络资源的共享范围更加宽泛,难以控制。第二,网络支持多种操作系统,安全管理和控制更为困难。第三,网络的扩大使网络的边界和网络用户群变的不确定,比单机困难的多。第四,单机用户可以从自己的计算机中直接获取敏感数据。第五,由于网络路由选择的不固定性,很难确保网络信息在一条安全通道上传输。保证计算机网络的安全,就是要保护网络信息在存储和传输过程中的可用性、机密性、完整性、可控性和不可抵赖性。P5。(1)可用性。是指得到授权的实体在需要时可以得到所需要的网络资源和服务。(2)机密性。机密性是指网络中的信息不被非授权实体(包括用户和进程等)获取与使用。这些信息不仅指国家机密,也包括企业和社会团体的商业秘密和工作秘密,还包括个人的秘密(如银行账号)和个人隐私(如邮件、浏览习惯)等。网络在人们生活中的广泛使用,使人们对网络机密性的要求提高。用于保障网络机密性的主要技术是密码技术。在网络的不同层次上有不同的机制来保障机密性。在物理层上,主要是采取电磁屏蔽技术、干扰及跳频技术来防止电磁辐射造成的信息外泄:在网络层、传输层及应用层主要采用加密、路由控制、访问控制、审计等方法来保证信息的机密性。(3)完整性。完整性是指网络信息的真实可信性,即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏,保证授权用户得到的信息是真实的。只有具有修改权限的实体才能修改信息,如果信息被未经授权的实体修改了或在传输过程中出现了错误,信息的使用者应能够通过一定的方式判断出信息是否真实可靠。(4)可控性。是控制授权范围内的信息流向和行为方式的特性,如对信息的访问、传播及内容具有控制能力。首先,系统要能够控制谁能够访问系统或网络上的数据,以及如何访问,即是否可以修改数据还是只能读取数据。这要通过采用访问控制等授权方法来实现。其次,即使拥有合法的授权,系统仍需要对网络上的用户进行验证。通过握手协议和口令进行身份验证,以确保他确实是所声称的那个人。最后,系统还要将用户的所有网络活动记录在案,包括网络中计算机的使用时间、敏感操作和违法操作等,为系统进行事故原因查询、定位,事故发生前的预测、报警,以及为事故发生后的实时处理提供详细、可靠的依据或支持。审计对用户的正常操作也有记载,可以实现统计、计费等功能,而且有些诸如修改数据的“正常”操作恰恰是攻击系统的非法操作,同样需要加以警惕。(5)不可抵赖性。也称为不可否认性。是指通信的双方在通信过程中,对于自己所发送或接收的消息不可抵赖。即发送者不能抵赖他发送过消息和消息内容,而接收者也不能抵赖其接收到消息的事实和内容。1.2黑客的概念及黑客文化1.2.1黑客的概念及起源(P6-7)1.黑客(hacker):对技术的局限性有充分认识,具有操作系统和编程语言方面的高级知识,热衷编程,查找漏洞,表现自我。他们不断追求更深的知识,并公开他们的发现,与其他人分享;主观上没有破坏数据的企图。“黑帽子黑客”,“白帽子黑客”,“灰帽子黑客”。现在“黑客”一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者。2.骇客(cracker):以破坏系统为目标。是hacker的一个分支,发展到现在,也有“黑帽子黑客”3.红客(honker):中国的一些黑客自称“红客”honker。例如中国红客基地。美国警方:把所有涉及到"利用"、"借助"、"通过"或"阻挠"计算机的犯罪行为都定为hacking。4.怎样才算一名黑客:1.2.2黑客文化(P8)1.黑客行为(1)不随便进行攻击行为。(2)公开自己的作品。(3)帮助其他黑客。(4)义务地做一些力所能及的事情。2.黑客精神(1)自由共享精神。(2)探索与创新精神(3)合作精神3.黑客准则(P8)(1)不恶意破坏任何系统。(2)不修改任何系统文件。(3)不轻易地将要黑的或黑过的站点告诉别人,不炫耀自己的技术。(4)不入侵或破坏政府机关的主机等。(5)做真正的黑客,努力钻研技术,研究各种漏洞。1.2.3如何成为一名黑客(P9)1.黑客必备的基本技能(1)精通程序设计。(2)熟练掌握各种操作系统。(3)熟悉互联网与网络编程。2.如何学习黑客技术(1)浓厚的兴趣。(2)切忌浮躁,耐的住寂寞(3)多动手实践(4)尝试多次失败1.3针对信息安全的攻击(P10)在正常情况下,有一个信息流从一个信源(例如一个文件或主存储器的一个区域)流到一个目的地(例如另一个文件或一个用户)时,它的信息流动是这样的:当产生攻击时,有以下4种情况:上述4种情况又可以按照攻击的主动性来分为两类:主动攻击和被动攻击。
1.3.1被动攻击(P10)本质上是在传输中的窃听或监视,其目的是从传输中获得信息。类被动攻击:析出消息内容和通信量分析。1.3.2主动攻击(P11)攻击的第二种类型进一步划分为四类:伪装、重放、篡改消息和拒绝服务。主动攻击表现了与被动攻击相反的特点。
1.4.1网络安全体系的概念(P11)
网络安全防范是一项复杂的系统工程,是安全策略、多种技术、管理方法和人们安全素质的综合。韦氏字典对“体系”一词的定义:(1)各个组成部分的搭配和排列,建筑物上承载重力或外力部分的构造。(2)建造的艺术或科学建造的方法、风格。(3)计算机或计算机系统各部分组织与集成的方式。所谓网络安全防范体系,就是关于网络安全防范系统的最高层概念抽象,它由各种网络安全防范单元组成,各组成单元按照一定的规则关系能够有机集成起来,共同实现网络安全目标。1.4.2网络安全体系的用途(P12)主要意义(P12)。1.4网络安全体系(P11)1.4.3网络安全体系的组成(P12)网络安全体系由组织体系、技术体系、管理体系组成。组织体系:由若干工人或工作组构成。技术体系:从技术角度考察安全,通过综合集成方式而形成的技术集合。例如,网络系统中(P12)管理体系:是根据具体网络的环境而采取的管理方法和措施的集合。五方面内容:(P12)。1.4.4网络安全体系模型发展状况(P12)1.PDRR模型。(P12)美国国防部提出的动态网络安全策略模型,是Protection、Detection、Recovery、Response的缩写。如图1-4。2.ISS的动态信息安全模型。(P13)美国国际互联网安全系统公司(ISS)的自适应网络安全模型P2DR,是ISS提供的安全解决方案的动态信息安全基本理论依据。其中安全策略描述系统的安全需求,以及如何组织各种安全机制实现系统的安全需求。如图1-5。1.5信息安全的三个层次(P13)1.5.1安全立法。(P13)我国从1994年起,已针对信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售5方面制定并发布了《中华人民共和国计算机信息系统安全保护条例》。1.5.2安全管理。(P14)三分技术,七分管理1.5.3安全技术措施。(P14)主机安全技术;身份认证技术;访问控制技术;密码技术;防火墙技术;网络入侵检测技术;安全审计技术;安全管理技术;系统漏洞检测技术作业P15演讲完毕,谢谢观看!附录资料:不需要的可以自行删除企业信息化概述一、什么是企业信息化?企业数据信息的收集、处理、传输计算机化、网络化。企业经营、管理、生产信息化。企业办公自动化(OA)企业管理信息化系统(指MIS/MRPII/ERP/CRM/SCM等中的某个或部分系统);企业的主要产品实现CAD,CAE,CAPP/CAM;建立企业Intranet或网站,开展电子商务(EC);发展DSS(DecisionSupportSystem),ESS(ExecutiveSupportSystem),ES(ExpertSystem)ERP的四大核心思想
1.以业务流程重组(BPR)为先导传统商务环境下,企业多按职能部门进行具体业务的运作与考核。按专业职能分别执行任务,各自处理信息,阻隔了各部门间的信息交流与共享,也降低了具体业务在企业内部的运行效率。ERP要求企业将采购、生产、销售、财务、决策等不同部门的工作进行有效整合,依物流、资金流设计具体业务流程,及时汇总整理每日营运资料,实时跟踪生产过程,处理生产中的动态信息,从而实现JIT管理,全面质量控制,变“结果管理”为“过程管理”。实施ERP首先要进行业务流程重组。ERP的四大核心思想2.以供应链管理(SCM)为重点ERP系统在MRPII的基础上扩展了管理范围,它把客户需求和企业内部的制造活动以及供应商的制造资源整合在一起,形成一个完整的供应链,并对供应链上的所有环节进行有效管理。供应链跨越了部门与企业,形成了以产品或服务为核心的业务流程。包括原材料供应商、产品制造商、分销商与零售商和最终用户。SCM从市场竞争出发,实现了上下游企业资源与业务的重组,大大改善了社会经济活动中物流与信息流运转的效率和效果,消除了中间冗余的环节,减少了浪费,避免了延误。ERP的四大核心思想
3.以客户关系管理(CRM)为中心市场的激烈竞争使企业关注的焦点逐渐由关注产品转移到关注客户上来。尤其是在营销、客户服务等与客户直接打交道的前台领域。客户关系管理帮助企业最大限度地利用以客户为中心的资源,并将这些资源集中应用于现有客户和潜在客户身上。其目标是通过缩短销售周期和降低销售成本,通过寻求扩展业务所需的新市场和新渠道,并通过增进客户价值、客户满意度、盈利能力以及客户的忠诚度等方面来改善企业的管理。ERP的四大核心思想
4.全面整合企业内外资源ERP将围绕帮助企业实现管理模式的调整以及为企业提供电子商务解决方案服务。它支持企业的动态联盟、以团队为核心的扁平化组织结构方式和协同工作方式,通过计算机网络将企业、用户、供应商及其他商贸活动涉及的职能机构集成起来,实现信息流、物流和资金流的有效流转和优化。ERP应用效果的国际评判标准
被称为“MRP”之父的OliverWilt开设了一家国际权威的企业资源计划评审机构,他把实施效果按照应用水平定为四个级别,从优秀开始,分别为A、B、C、D,每一级都有明确的标准。
A级企业的标准
全公司上下必须都在有效地运用ERP系统,从销售管理、客户服务到生产制造和库存管理,从车间作业到物资采购以及计划预算等等。经过一定的数据积累,企业的高层管理人员可以通过ERP系统中的决策支持系统,全面地了解和掌握企业的经营状况,准确地分析和制订企业的发展方向,有效地控制和降低企业的运作成本。同时,企业的中层管理者可以通过ERP系统安排好相应的采购计划、生产计划、销售计划和资金计划。并且,企业的基层管理队伍可以通过ERP系统操作下达日常的工作指令。
B级企业的标准
在ERP系统的选型、实施和应用过程中,都能得到企业的高层管理人员的支持,但在决策支持方面,ERP系统没有提供足够的帮助,而仅限于中层管理者和基层管理队伍的使用。
C级企业的标准
一般都以多部门局部应用为主,ERP系统主要作为客户/销售订单录入、制造/作业单管理、采购计划编制、财务凭证录入和财务报表产生的工具。以库存管理为主,企业的每个或多个部门都在独立地运用ERP系统,业务部门和财务部门没有完全集成。如果企业在定位上是一个集成的系统,只是在实施中没有达到集成的效果,企业可以通过一定的业务流程重组(BPR)来帮助进行有效的ERP系统实施。如果企业选择的并不是一个集成的系统,无论如何调整和实施也不能达到更高标准。D级企业的标准ERP应用往往是单一部门的,例如,财务部门在用,其他部门由于数据不准确,或者对系统缺乏全面深人的了解而搁置不用。企业信息化的一般模式
1.前台:建立电子商务应用平台(1)建立基础电子商务平台。内容包括企业的主页、企业产品的广告宣传、企业形象的宣传、企业服务内容的介绍,以及其他如电子邮件等功能。
(2)建立电子商务应用模式。不同企业具有不同的电子商务应用模式。可包括卖方解决方案,买方解决方案和第三方交易平台,即以中介形式在网上将供应商和采购商联系在一起,通过向客户提供会员服务收取月租费或按交易记录收取交易费。企业信息化的一般模式
2.后台:建立以ERP为核心的集成系统一个真正信息化的企业,企业内外所有的工作都应在统一的信息化平台上完成。这些内容包括企业资源计划、计算机集成制造、供应链管理、客户关系管理、电子商务、办公自动化等等。企业实施信息化的风险
根据美国史坦迪公司的调查数据,企业信息化的成功率为26%。不成功的因素包括:“撤项”、“降低项目目标”、“资金超出预算(平均超178%)”、“项目周期无限拖长(平均超230%)”。由于国内后两项通常不判定为失败,因此按国内标准美国信息化的成功率为60%左右。因此,企业实施信息化工程存在着较大风险。企业实施信息化的风险1.财务
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 家长会课件app教学课件
- 2024年轨道交通装备用涂料项目综合评估报告
- 2019粤教版 高中美术 选择性必修5 工艺《第一单元 历史悠久的传统手工艺》大单元整体教学设计2020课标
- 餐饮解除合同通知书范本
- 背靠背合同条约
- 保险合同中关于补偿的条款
- 山西省2024八年级物理上册第六章质量与密度第3节测量液体和固体的密度课件新版新人教版
- 青光眼的治疗及护理
- 江苏省淮安市马坝高级中学2024-2025学年高一上学期期中考试数学试题(含答案)
- 第五单元 圆 单元测试(含答案)2024-2025学年六年级上册数学人教版
- 演讲比赛评分表和计分表
- 2024年中国纺织品原材料市场调查研究报告
- Unit5HouseworkPartA(课件)闽教版英语六年级上册
- 人教版PEP四年级英语上册Unit-1-My-classroom课件
- 思想政治教学工作计划6篇
- 新能源汽车、锂电池、光伏等重点产品国际认证指南报告
- 2024年高考英语一模试题分类汇编:概要写作(上海专用)(解析版)
- 《师说》教学课件 2024-2025学年统编版高中语文必修上册
- 院内突发心跳呼吸骤停、昏迷、跌倒事件应急预案及程序
- 非暴力沟通课件
- 2024至2030年中国建筑工程检测行业发展监测及投资战略规划报告
评论
0/150
提交评论