淺議零售信息系統(tǒng)的安全管理

史嚴梅

（山東經(jīng)貿(mào)職業(yè)學(xué)院，山東 濰坊 261011）

1 零售信息系統(tǒng)概述

零售企業(yè)的信息化從簡單的基于條碼技術(shù)的POS（Point of Sale）應(yīng)用，到財務(wù)記賬軟件的使用，再到ERP（Enterprise Resource Planning,企業(yè)資源計劃系統(tǒng)）等領(lǐng)域的研究及不斷推廣，信息系統(tǒng)已經(jīng)逐步取代了傳統(tǒng)零售企業(yè)中大量存在的的手工制單和紙質(zhì)化交易結(jié)算方式，促進了零售企業(yè)不斷做大、做強。

了解零售管理信息系統(tǒng)，先了解一下什么是管理信息系統(tǒng)（Management Information System,簡稱MIS）。管理信息系統(tǒng)是一個以人為主導(dǎo)，利用計算機硬件、軟件、網(wǎng)絡(luò)通信設(shè)備以及其他辦公設(shè)備，進行信息的收集、傳輸、加工、儲存、更新和維護，以企業(yè)戰(zhàn)略競優(yōu)、提高效益和效率為目的，支持企業(yè)的高層決策、中層控制、基層運作的集成化的人機系統(tǒng)。

零售企業(yè)信息系統(tǒng)是管理信息系統(tǒng)的一個重要組成部分，是面向零售行業(yè)的專業(yè)軟件系統(tǒng)，根據(jù)零售企業(yè)業(yè)務(wù)需要和特點，零售企業(yè)信息系統(tǒng)一般包括采購管理系統(tǒng)（PMS）、配送管理系統(tǒng)（DMS）營運管理系統(tǒng)（SOS）、財務(wù)和結(jié)算（APS）、顧客關(guān)系管理系統(tǒng)（CRM）等主系統(tǒng)以及基礎(chǔ)的系統(tǒng)配置系統(tǒng)。

2 零售企業(yè)信息系統(tǒng)的不安全因素

2.1 零售企業(yè)信息系統(tǒng)本身的脆弱性

零售信息系統(tǒng)的安全需求有：

保密性：防止信息泄露，例如信息系統(tǒng)中的的供應(yīng)商信息、合同信息、銷售額等信息泄露。

安全性：數(shù)據(jù)物理信息不被復(fù)制或泄露。完整性：通過技術(shù)手段安全機制保障數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)的完整性。可靠性和可用性：能夠為各管理層提供準確可靠的詳細分析數(shù)據(jù)。

信息時效性：信息的時效是指從信息源發(fā)送信息，經(jīng)過接收、加工、傳遞和利用的時間間隔和效率，時間間隔越短，信息的時效性越強，時間越長，數(shù)據(jù)的價值可能越來越少，但是又不能不留下以往的數(shù)據(jù)，所以為了保證系統(tǒng)速度和穩(wěn)定，防止系統(tǒng)數(shù)據(jù)量過大，一般對歷史數(shù)據(jù)要進行備份和轉(zhuǎn)移。

零售信息系統(tǒng)脆弱性的具體表現(xiàn)：

1）信息的易損壞性。數(shù)據(jù)的存儲密度高，往往在一塊磁盤或者一個磁盤陣列上可以存儲大量的信息數(shù)據(jù)，容易被有意或者無意損壞，造成大量信息的丟失或者損壞。

2）數(shù)據(jù)的可訪問性。一臺遠程終端用戶有足夠的權(quán)限可以訪問到系統(tǒng)中的所有數(shù)據(jù)，并可以不留痕跡的將其進行拷貝、刪除或者破壞。

3）信息的聚生性。少量分離的信息往往價值不大，但是將大量信息進行分析、加工、比對，就會顯示出他的重要性。信息系統(tǒng)的根本特點之一，就是將大量信息收集在一起，進行自動、高效的處理，進而產(chǎn)生有價值的結(jié)果，提供給企業(yè)的各級決策者，促使他們做出對企業(yè)更有利的決策。可以說，零售企業(yè)信息系統(tǒng)的這種聚生性特點導(dǎo)致了其被竊取的可能性大大增加。

4）通信網(wǎng)絡(luò)脆弱性。信息系統(tǒng)是建立在局域網(wǎng)中的，電腦間的遠程通信都是利用電話線路、專用電纜、微波信道等媒介完成，因此，數(shù)據(jù)在傳輸過程中易被搭線竊聽或者破壞。

2.2 信息系統(tǒng)容易受到威脅和攻擊

計算機犯罪和計算機病毒包括了對信息系統(tǒng)實體和信息兩個方面的威脅和攻擊，一般影響信息系統(tǒng)安全的因素可以歸納為兩類：

一是自然因素，主要指水、電、火、靜電、有害氣體、液體、地震、雷電、強磁場和電磁脈沖等危害。這些危害有的會損害系統(tǒng)設(shè)備，有的則會破壞數(shù)據(jù)甚至毀掉整個系統(tǒng)和所有數(shù)據(jù)。

二是人為因素，分為無意損壞和有意破壞兩種。無意損壞，指安全管理水平低，人員技術(shù)素質(zhì)差，操作失誤或者錯誤造成的事故。有意破壞是指有目的的擾亂或破壞計算機信息系統(tǒng)，竊取信息，利用計算機信息系統(tǒng)進行盜竊、詐騙等違法犯罪活動，危及企業(yè)信息安全。

3 零售信息系統(tǒng)安全管理

分析完零售信息系統(tǒng)的不安全因素，我們知道，確保零售信息系統(tǒng)安全，平穩(wěn)運行應(yīng)該從哪些方面入手。首先建立一套完整的安全管理體系，進行信息安全機制及職能設(shè)計，建立高效、職能分工明確的行政管理和業(yè)務(wù)組織體系，建立信息安全標準和評估體系。目前常用的信息安全解決方案有防止非法入侵和泄密的解決方案，數(shù)據(jù)安全存儲的解決方案和必不可少的防病毒解決方案等。具體的技術(shù)措施可以細分為兩類：實體安全管理和業(yè)務(wù)信息系統(tǒng)安全管理。

3.1 實體安全工作包括人員管理、資產(chǎn)安全（機房、服務(wù)器、網(wǎng)絡(luò)設(shè)備）等

3.1.1 建立健全規(guī)章制度，形成高素質(zhì)人員隊伍，確保人力保障

建立各項規(guī)章制度，如機房管理制度，數(shù)據(jù)備份制度等，據(jù)統(tǒng)計90%以上的管理安全問題來自終端，提高各部門人員的安全意識非常重要，加強培訓(xùn)與安全教育，強化安全意識和法制觀念，提升職業(yè)道德，掌握安全技術(shù)，確保安全措施，責(zé)任到人。

形成一支自覺、遵紀守法的高素質(zhì)隊伍，是零售業(yè)信息安全工作的又一重要環(huán)節(jié)。企業(yè)要在員工思想、職業(yè)道德、經(jīng)營管理、規(guī)章制度、教育培訓(xùn)等方面，做大量艱苦細致的工作，強化信息系統(tǒng)的安全管理，加強思想教育，嚴格防范對系統(tǒng)的非法侵入，把危害降到最低。

3.1.2 建立標準的計算機機房，保障機房安全

計算機機房作為網(wǎng)絡(luò)的核心設(shè)備所在地，在建設(shè)和裝修時要嚴格按照機房標準設(shè)計、裝修，做到專線、雙路供電，防雷防火防水，重要的設(shè)備如中心交換機、UPS、服務(wù)器等要做好相應(yīng)備份。

3.1.3 做好服務(wù)器配置，保證服務(wù)器的安全

服務(wù)器是信息管理系統(tǒng)的核心組成部分，是數(shù)據(jù)庫管理的心臟。負責(zé)業(yè)務(wù)數(shù)據(jù)的處理和存儲，網(wǎng)絡(luò)的安全首先要保證服務(wù)器的安全。有條件的用戶可以使用雙機熱備方案，一臺服務(wù)器出現(xiàn)故障時，能保證信息系統(tǒng)的正常運行。

3.1.4 規(guī)劃好網(wǎng)絡(luò)，確保網(wǎng)絡(luò)安全

當(dāng)前，接入信息系統(tǒng)的終端眾多，人員水平層次不齊，為網(wǎng)絡(luò)的安全帶來了很大的隱患，所以局域網(wǎng)的安全監(jiān)控與管理成了信息負責(zé)人必須關(guān)心的問題。通過制定統(tǒng)一的安全策略，限制移動電腦和移動存儲設(shè)備隨意接入內(nèi)網(wǎng)，杜絕內(nèi)網(wǎng)電腦通過撥號、雙網(wǎng)卡等方式非法外聯(lián)，有效保證了內(nèi)網(wǎng)與外網(wǎng)的隔離度，提高內(nèi)網(wǎng)的安全性；通過網(wǎng)絡(luò)流量控制模塊，實施監(jiān)控網(wǎng)絡(luò)終端流量，對異常網(wǎng)絡(luò)行為進行自動預(yù)警或阻斷；全面利用網(wǎng)絡(luò)內(nèi)統(tǒng)一的殺毒軟件和防火墻，進行系統(tǒng)漏洞檢測，補丁分發(fā)，軟件升級；完善權(quán)限分配管理，不同的管理員擁有不同的管理權(quán)限，權(quán)限互不干涉。

3.2 業(yè)務(wù)信息系統(tǒng)的安全管理

3.2.1 系統(tǒng)技術(shù)架構(gòu)

采用三層技術(shù)架構(gòu)的零售信息系統(tǒng)，用戶只能通過邏輯層來訪問數(shù)據(jù)層，減少了入口點，可以屏蔽很多危險的直接訪問，較二層架構(gòu)（傳統(tǒng)的客戶/服務(wù)器結(jié)構(gòu)，盡管目前占統(tǒng)治地位的結(jié)構(gòu)）有著比較明顯的安全優(yōu)勢。

3.2.2 系統(tǒng)儲值卡的安全管理

零售信息系統(tǒng)的特點在于數(shù)據(jù)處理量大，處理業(yè)務(wù)復(fù)雜重復(fù)，如何保證儲值卡的安全是管理者最關(guān)心的問題。具體的措施有：通過在形成卡介質(zhì)內(nèi)容時讓其包含4-6位隨機數(shù)，隨機數(shù)保有在卡數(shù)據(jù)庫中，沒有規(guī)律，可以有效防止批量制作假卡；通過卡余額加密為校驗碼和卡余額平衡，防止人工不經(jīng)過系統(tǒng)直接在數(shù)據(jù)庫中進行卡余額修改或系統(tǒng)故障；制作卡片時，除印制卡號外，另外印制系統(tǒng)根據(jù)卡號加密生成識別碼，提高復(fù)制卡的成本，有效防止復(fù)制卡及假卡；系統(tǒng)提供對IC卡的讀寫密碼管理，控制卡的使用過程，避免卡復(fù)制。

3.3 零售信息系統(tǒng)的安全部署

優(yōu)秀的零售管理系統(tǒng)，能夠根據(jù)零售企業(yè)的規(guī)模、管理需求等方式，進行針對性的部署，目前信息系統(tǒng)一般均支持分布式、集中式、分布式與集中式混合部署的方式。如果企業(yè)的門店數(shù)目較多，規(guī)模較小，一般采用集中式部署方式，服務(wù)器數(shù)據(jù)集中管理可以實現(xiàn)信息系統(tǒng)的免安裝，集中維護，從而簡化系統(tǒng)建設(shè)，降低維護成本，增加系統(tǒng)安全性。

總之，信息系統(tǒng)沒有絕對的安全，只有通過落實各項管理制度，通過系統(tǒng)管理，制定合理的安全策略，采取有效的綜合性防范措施，才能切實保障管理信息系統(tǒng)的安全、穩(wěn)定、正常運行，保障各項業(yè)務(wù)正常開展，體現(xiàn)信息系統(tǒng)帶來的便捷高效的服務(wù),規(guī)范企業(yè)工作流程，提高管理水平，為企業(yè)決策提供數(shù)據(jù)參考，從而為企業(yè)帶來巨大的經(jīng)濟效益。

［1］雷鳴.管理信息系統(tǒng)開發(fā)與管理[M].經(jīng)濟科學(xué)出版社，2012.

［2］呂林濤.網(wǎng)絡(luò)信息安全技術(shù)概論[M].2 版.科學(xué)出版社，2010.