管理信息系统的管理技术与安全.docx

1、管理信息系统的管理技术与安全20112012学年度第一学期管理信息系统课程设计报告题 目 学生姓名班 级学 号指导教师管理信息系统的管理技术与安全李雪琴2008级电子商务一班7022208013郑瑞银二一一年十月目 录一 序言 1二 管理信息系统的定义和内容 22.1定义 22.2内容 2三 管理信息系统的管理技术 43.1客户关系管理（crm） 43. 2供应链管理（scm） 43. 3企业资源计划（erp） 53.4客户关系管理、供应链管理与电子商务 63.41客户关系管理在电子商务下的应用 63.42电子商务下的供应链管理 6四 管理信息系统的安全 84.1计算机安全 84.11防火墙

2、84.2通信安全 94.21数字加密 94.22数字证书 94.23数字字典 104.24 Web技术 104.3数据库安全 10五 总结 12参考文献 13一 序言对人们来说管理信息系统并不陌生，管理信息系统已经渗透到日常工作的许多方面，许多企业的领导已经或正准备投入高额资金，建立大规模的计算机管理信息系统。管理信息系统是对计算机信息技术的管理。利用计算机硬件、软件及其他办公设备进行信息的收集、传递、存贮、加工、维护和使用的系统，以企业战略竞优、提高收益和效率为目的，支持企业高层决策、中层控制和基层操作。对于计算机用户计算机料及计算机的管理技术和他所存在的安全问题是必不可少基础知识。因此本文

3、从系统目标和内容的确立、开发过程所需的信息技术和应注意的安全问题进行分析。关键词：信息 信息技术 管理信息 安全信息管理 安全问题二 管理信息系统的定义和内容2.1定义所谓管理信息系统，是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。它是一门新兴的科学，其主要任务是最大限度的利用现代计算机及网络通讯技术加强企业的信息管理，通过对企业拥有的人力、物力、财力、设备、技术等资源的调查了解，建立正确的数据，加工处理并编制成各种信息资料及时提供给管理人员，以便进行正确的决策，不断提高企业的管理水平和经济效益。目前，企业的计算机网络已成为企业进行技术改造及提高

4、企业管理水平的重要手段。随着我国与世界信息高速公路的接轨，企业通过计算机网络获得信息必将为企业带来巨大的经济效益和社会效益，企业的办公及管理都将朝着高效、快速、无纸化的方向发展。换句话说，MIS系统的最终目的是使管理人员及时了解公司现状，把握将来的发展路径。2.2内容MIS的建设中，系统的最终目标和内容常常难以确定。比如：设备管理系统，设备的种类成千上万，规格型号、归属部门、安装位置等千差万别。MIS要管理的内容、达到的效果及运行后的状态等涉及的内容很多，很难通过调研完全确定所有的内容。事实上，MIS建设和一般工程的根本区别就是不能在开发前完全确立系统的目标和内容，即不可能期望有一个详尽的设计

5、去简单地、方便地组织和控制系统的建设，这是MIS建设的最大特点，也最易引起比较大的问题。常有人希望先有一个详尽的设计，再根据设计实施开发。这要求开发者不仅要在短时间内把原有的工作方式完全掌握，而且要设计出一种新工作方式，实际上是很难做到的。一方面，计算机技术人员掌握的是运用计算机技术的能力，而并非快速学习掌握任何工作方式的能力。短期内计算机技术人员不可能完全掌握原有的工作方式。另一方面，一种新的工作方式的确定必然要经过用户反复的试验，不可能借助任何图表、算法而一次确定，更不可能由计算机自动产生出来。有的系统调查花数周或二三个月的时间整理出大量的表格，看似很有收获，而系统开发的决策者和组织者却并

6、不明确系统开发究竞能有什么效果，引起怎样的变化。在这种情况下就由计算机技术人员展开程序开发，带有很大的盲目性，往往引起系统开发的紊乱或失败。 MIS建设应从实际需要和可能出发，确立适度的开发目标和内容，使企业的决策者和系统的开发者都对系统建设心中有数，以便有效地安排和布署开发工作，并且在开发过程中逐步确立新的工作方式。系统的目标和内容涉及因素很多，而应考虑相应的策略和方法：(1)系统分解。系统建设的规模一般较大，不易掌握和控制，可以将其分解为多个子系统，以降低系统的复杂性。原有方式总是按照工作相关的程度分为多个部门，因此，划分子系统是方便的，关键是要制定描述子系统间联系的约束规范，以此保证各子

7、系统最终能形成一个统一的系统。(2)全面评估。对于各子系统，全面评估系统开发的目的、内容、效果、条件相运行后的维护扩展等因素，这些因素关系到系统建设的成败，应从实际需要和可能出发，要从大局着眼进行认真的分析。盲目求大求全就会导致图虚名而招实祸，达不到预期的效果。(3)逐步迫近。在满足系统约束规范的基础上，用快速原形法开发各子系统。这样就不必首先进行详尽的需求分析，以完全掌握原有的方式，而是通过试运行把用户的需求不断吸收进去，让系统直接逼近开发目标。这样做有许多益处：可以降低开发者掌握原有系统的难度；可以更准确地了解用户的需求、确立新的工作模式；开发过程中，用户已经接受了新的系统。 三 管理信息

8、系统的管理技术3.1客户关系管理（crm）客户关系管理(Customer Relationship Management, CRM)是一个不断加强与顾客交流，不断了解顾客需求，并不断对产品及服务进行改进和提高以满足顾客的需求的连续的过程。其内含是企业利用信息技术（IT）和互联网技术实现对客户的整合营销，是以客户为核心的企业营销的技术实现和管理实现。客户关系管理注重的是与客户的交流，企业的经营是以客户为中心，而不是传统的以产品或以市场为中心。为方便与客户的沟通，客户关系管理可以为客户提供多种交流的渠道。客户关系管理源于（CRM）市场营销理论；从解决方案的角度考察，客户关系管理（CRM），是将市场

9、营销的科学管理理念通过信息技术的手段集成在软件上面，得以在全球大规模的普及和应用。 市场营销作为一门独立的经济学科已有将近百年的历史。近几十年来，市场营销的理论和方法极大地推动了西方国家工商业的发展，深刻地影响着企业的经营观念以及人们的生活方式。近年来，信息技术的长足发展为市场营销管理理念的普及和应用开辟了广阔的空间。我们看到，信息技术正在迅猛地扩张其功能，正在用从前科幻小说描写过的方式进行思维推理。在有些方面，信息技术的智能正在取代人类的智能。 在CRM中客户是企业的一项重要资产 在传统的管理理念以及现行的财务制度中,只有厂房、设备、现金、股票、债券等是资产。随着科技的发展，开始把技术、人才

10、视为企业的资产。对技术以及人才加以百般重视。然而，这种划分资产的理念，是一种闭环式的，而不是开放式的。无论是传统的固定资产和流动资产论，还是新出现的人才和技术资产论，都是企业能够得以实现价值的部分条件，而不是完全条件，其缺少的部分就是产品实现其价值的最后阶段，同时也是最重要的阶段，在这个阶段的主导者就是客户。 在以产品为中心的商业模式向以客户为中心的商业模式转变的情况下， 众多的企业开始将客户视为其重要的资产,不断的采取多种方式对企业的客户实施关怀，以提高客户对本企业的满意程度和忠诚度。我们看到,世界上越来越多的企业在提出这样的理念，例如：“想客户所想”，“客户就是上帝”，“客户的利益至高无上

11、”“客户永远是对的”等等。3. 2供应链管理（scm）供应链，其实就是由供应商、制造商、仓库、配送中心和渠道商等构 成的物流网络。同一企业可能构成这个网络的不同组成节点，但更多的情况下是由不同的企业构成这个网络中的不同节点。比如，在某个供应链中，同一企业可能既在制造商、仓库节点，又在配送中心节点等占有位置。在分工愈细，专业要求愈高的供应链中，不同节点基本上由不同的企业组成。在供应链各成员单位间流动的原材料、在制品库存和产成品等就构成了供应链上的货物流。供应链管理（Supply chain management，SCM）是一种集成的管理思想和方法，它执行供应链中从供应商到最终用户的物流的计划和控

12、制等职能。从单一的企业角度来看，是指企业通过改善上、下游供应链关系，整合和优化供应链中的信息流、物流、资金流，以获得企业的竞争优势 。供应链管理的特点：供应链管理是一种集成的管理思想和方法，它强调企业之间的合作，通过合作完成从供应商到最终用户的物流计划、控制和资源配置等职能，并能够从整体上降低组织成本、提高业务管理水平和经营效率，达到价值增值的目的。其本质是优化业务流程，提高企业核心竞争力。(1)供应快速反应。它涉及企业及时地满足客户需求的能力，无延迟地满足客户需求的水平，即实现从订货期到交货期的时间最短。(2)供应成本最低。它是指实现供应链活动的总成本最低，运输、仓储、库存、制造等各方面活动

13、均以供应链整体最优为原则，而不是某方面或供应链中个别成员的成本最低。(3)供应质量全面保证。供应链上所有成员共同努力，承诺在整个供应链活动过程中随时随地保障产品的零缺陷。(4)供应柔性好。实现整个供应链系统对外界突发变化的迅速适应能力，而且能对系统自身出现的危机和问题很快地加以辨别、排除和恢复，以保证系统的正常运行。3. 3企业资源计划（erp）企业资源计划 enterprise resource planning (ERP) 在MRP II 的基础上，通过反馈的物流和反馈的信息流、资金流，把客户需要和企业内部的生产经营活动以及供应商的资源整合在一起，体现完全按用户需要进行经营管理的一种全新的

14、管理方法。ERP管理系统的扩充点与主要特点如下：(1) ERP更加面向市场、面向经营、面向销售，能够对市场快速响应；它将供应链管理功能包含了进来，强调了供应商、制造商与分销商间的新的伙伴关系；并且支持企业后勤管理。(2) ERP更强调企业流程与工作流，通过工作流实现企业的人员、财务、制造与分销间的集成，支持企业过程重组。(3) ERP纳入了产品数据管理PDM功能，增加了对设计数据与过程的管理，并进一步加强了生产管理系统与CAD、CAM系统的集成。(4) ERP更多地强调财务，具有较完善的企业财务管理体系，这使价值管理概念得以实施，资金流与物流、信息流更加有机地结合。(5) ERP较多地考虑人的

15、因素作为资源在生产经营规划中的作用，也考虑了人的培训成本等。(6) 在生产制造计划中，ERP支持MRP与JIT混合管理模式，也支持多种生产方式(离散制造、连续流程制造等)的管理模式。(7) ERP采用了最新的计算机技术，如客户/服务器分布式结构、面向对象技术、基于WEB技术的电子数据交换EDI、多数据库集成、数据仓库、图形用户界面、第四代语言及辅助工具等等。3.4客户关系管理、供应链管理与电子商务电子商务（Electronic Commerce），它是一种借助于计算机技术，通过电子交易手段在全世界范围内进行并完成的各种商务活动、交易活动、金融活动和相关的综合服务活动。3.41客户关系管理在电子

16、商务下的应用电子商务下的客户关系管理（eCRM）的主要内容包括三个方面：销售力量自动化（SFA）、营销自动化（MA）和客户服务（Customer Service）。这三个方面是影响商业流通的重要因素，对eCRM项目的成功起着至关重要的作用。 （1）销售力量自动化SFA（Sales Force Automation） 所谓销售力量自动化就是说要把销售人员以及销售管理人员每天所从事的各种销售活动尽可能“信息化”、“标准化”，以及实现销售力量分配的“合理化”，其主要目的是打破目前普遍存在于企业的“销售单干”现象，通过对客户信息、后台作业信息的高度共享以及销售流程的规范化，提高企业整体的销售业绩。（2

17、） 营销自动化MA（Marketing Automation） 传统的数据库营销是静态的，经常需要好几个月的时间才能对一次市场营销战役的结果做出一个分析统计表格，许多重要的商机经常在此期间失去。网络时代，借助先进的网络与通讯技术，通过展开eCRM来帮助企业进行营销管理，企业可以实现全面的营销管理自动化。一方面，通过对以往客户交易的相关记录的分析，可以了解客户对企业已有产品和服务的接受与喜好程度，从而帮助企业进行产品的改进与新产品的开发，使企业在产品设计之初就比竞争对手对市场需求有较好的把握;另一方面，通过对客户交易记录的分析，可以进行客户细分，对不同客户开展分组管理，并可根据已有客户的个性特点

18、发掘潜在客户。从更广的范围上来说，根据获得的这些信息，企业可以策划有效的营销战略，比如为不同客户提供个性化的营销需求信息，根据顾客喜好以电子邮件或新闻组的方式与之进行联系，实施有针对性的促销活动，并可对各种渠道(包括传统营销、电话营销、网上营销等)所接触的客户进行记录、分类和辨识，提供对潜在客户的管理，通过浏览由在线数据分析产生的图表报告，评估每项活动的有效性及回报等。更进一步，就可以通过跟踪和评估各种市场活动的成效，及时调整和改进相应的营销方针，实现以最小的营销投入获得最大营销收益的目的。（3）客户服务CS（Customer Service） 所谓客户服务是企业为提高客户满意度(产品和服务满

19、足客户期望的程度)而进行的一系列的活动。客户服务可以帮助客户解决在购买活动中所遇到的一系列问题，但传统的服务往往将负担加在客户的身上，让客户自己去直接解决问题或到某一地点咨询并且一点一点地收集信息，电子商务的应用提高了客户服务的自动化程度。但在电子商务发展的初期，并没有对客户服务提出很高的要求，所以第一代客户服务的内涵相对来说是比较简单的。目前，随着电子商务应用的深人，电子商务商家必须迅速地对客户的各种不相同的且不断增加的要求做出反应，因而也对客户服务提出了更高的要求。对电子商务时代的企业来说，为了提高客户的忠诚度，对客户的服务应渗透到交易前、交易中、交易后的各个阶段中，换句话来讲，也就是要将

20、客户服务贯穿于产品的整个生命周期。3.42电子商务下的供应链管理电子商务的应用促进了供应链的发展，也弥补了传统供应链的不足。从基础设施的角度看，传统的供应链管理是一般建立在私有专用网络上，需要投入大量资金，只有一些大型的企业才有能力进行自己的供应链建设，并且这种供应链缺乏柔性。而电子商务使供应链可以共享全球化网络，使中小型企业以较低的成本加入到全球化供应链中。电子商务与供应链管理结合的有利影响有：（1）有利于开拓新客户和新业务企业实施基于电子商务平台的供应链管理,不仅可以提高整个供应链的效率，实现企业的业务重组，而且保留了现有客户。由于可以提供更多的功能、业务，这必然也会吸引新的客户加入供应链

21、,同时也带来一些新业务。（2）有利于分享信息现代电子商务除了利用Internet和Web实现对消费者或客户的销售，更是综合所有商业网络中企业的信息来共同实现差别化的服务。（3）通过供应链管理，把与电子商务的商业活动有关的信息流、资金流、物流进行有效的集成和控制，把正确的产品交付给正确的客户，以最低的成本实现最大的经济效益。四 管理信息系统的安全管理信息系统是以计算机和数据通信网络为基础的应用管理系统，它往往是一个开放 式的互联网络系统，因此，不采取安全保密措施，与网络系统连接的任何终端用户 都可以方便地进入或者访问网络中的资源。从目前的情况看，管理信息系统已广泛应用于 金融、贸易、商业、企业等

22、各个部门，给经济管理及人际交往都带来极大的方便，同时也为那些不法之徒利用计算机信息系统进行各种犯罪提供了可能。特别是银行、金融业，更是不法分子利用计算机信息系统进行经济犯罪的主要目标。据不完全统计，目前全世界每 年因利用计算机系统进行犯罪而造成的经济损失高达数千亿美元，而且还在呈上升趋势。 在我国虽然利用管理和决策信息系统从事经济活动起步较晚，但各种计算机犯罪活动也已经频频出现。这样不仅直接影响了信息系统的普及应用，而且已危及到国际社会经济活动的正常运作。因此，做好管理信息系统的安全保障工作，对促进社会经济的发展和提高社会信息化水平具有深远的现实意义和重要的战略意义。4.1计算机安全4.11防

23、火墙防火墙过滤技术包括静态分组过滤(packetfiltering)、状态检测(stateful inspection)、网络地址转换(networkaddresstranslation，NAT)和应用代理过滤(applicatiOnproxyfiltering)等。分组过滤用于检查在安全的内联网和不安全的外联网之间传输的数据包的某些头字段，过滤非法数据，从而避免多种类型的攻击。状态检测通过检测数据包是否是正在进行合法对话的发送方和接收方之间的数据的一部分，进一步加强安全检测。在分组过滤和状态检测的基础上，网络地址转换可以更进一步地加强安全防护。NAT通过隐藏企业内部主机的IP地址，防止防火墙

24、外部的嗅探器程序探知和攻击内部计算机系统。应用代理过滤用于检查应用程序内容的分组数据包。外部数据进入内部目的计算机之前，先经过代理服务器进行检查，通过后再传给内部目的计算机。不管是外部向内部发送信息，还是内部向外部发送信息，都必须先经过中间的应用代理服务器。要建立一个好的防火墙，零售系统管理员必须制定详细合理的过滤规则。需要确定哪些人、哪些应用或哪些地址可以得到允许，或必须拒绝。防火墙可以阻止外部的非法侵入，但不能做到完全避免。4.12侵入侦测系统 侵入侦测系统(intrusion detection system)在网络最容易受到攻击的地方实施不间断的实时监控，防止可能的入侵。扫描程序用于查

25、找可疑或不正常的行为，一旦发现会发出警报进行提醒。IETF 将一个入侵检测系统分为四个组件:事件产生器(Event Generators );事件分析器(Event Analyzers );响应单元(Response Units)和事件数据库(Event Data Bases )。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。

26、 根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID ( Intrusion Detection ):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(Promise Mode ),对所有本网段内的数据

27、包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。 对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(C Signature-Based ),另一种基于异常情况(Abnormally-Based )。4.13防病毒软件 每一台计算机都应该安装防病毒软件，检查计算机系统和驱动器是否存在病毒，一旦发现病毒会加以清除。但是，防病毒软件通常只对已知病毒有效，因此，防病毒软件必须不断更新病毒代码数据库，确保发现最新的病毒。4.2通信安全4.21数字加密加密和公钥基础设施，可以通过一组秘密的数字代码(被称为加密密钥

28、)对信息进行加密，使传输的数据以混乱无意义的字符形式进行传输。要阅读加密信息，必须用与加密密钥匹配的密钥进行解密。加密的方法有很多种，但公钥加密越来越得到了普遍使用。采用了两把不同的密钥：一把是公钥：另一把是私钥。数据经过公钥加密后，只有经过私钥解密才能够阅读。公钥公布在公钥列表中，私钥要妥善秘密地保存。加密技术可以用于解决消息完整性和认证问题。消息完整性(message integrity)是指保证传输的消息未经复制和修改到达正确目的地的能力。数字签名和数字证书可以用于认证过程。数字签名是附加在传输消息上的一串数字代码，用来验证消息来源和内容。通过数字签名，可以验证消息的发送方(认证)以及消

29、息是否被修改过(消息完整性)。4.22数字证书数字证书是用来建立用户身份和电子资产的数据文件。数字证书系统通过一个具有公信力的第三方认证授权机构(certificate authority)来验证用户的身份。CA认证机构首先收集数字证书用户的个人身份信息，然后储存到CA服务器中，生成一份加密的数字证书，其中包括用户的身份信息和公钥。CA认证机构可以通过因特网公布用户的公钥。当用户把加密消息发送给接收方时，接收方可以使用CA公布的发送方公钥来解密附加的数字证书，验证发送方的身份。接收方也可以用同样的方式回复发送方。这种使用公钥密码系统和数字证书认证的架构，被称为公钥基础设施(publickeyi

30、nfrastructure，PKl)，已经成为最主要的安全认证方式。4.23数字字典数据字典（DD）由于数据流程图只是对数据处理及彼此之间的联系进行说明，未对数据的详细内容及加工过程进行说明，而这正是数据字典所要表达的。它能将数据流程图中全部数据流及其组成部分的数据元素、数据存储、数据加工等描述清楚，便于后序工作系统设计的进行。这里仅列出数据流的例子以做代表。数据流的DD表如下：数据流系统名；物资管理编号：条目名：物资库存清册别名：来源：物资管理数据流结构：库存清册=序号+物资项简要说明：清册打出后报供应处有关科室修改记录编写日期审核日期。4.24 Web技术在Web上对数据进行加密的两种主要

31、方法是安全套接字层(secure socket layer，SSL)协议和安全超文本传输协议(secure hypertext transferprotocol，SHTTP)。SSL和随后的传输层安全(transport layer security，TLS)协议用于在因特网上传输安全信息。SSL和TLS指定一种在应用程序协议(如http、telnet、FTP)和TCPIP之间提供数据安全性分层的机制，它为TCPIP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL和TLS之间的主要差别在于加密算法不同。S-HTTP是Web上的另一种数据加密协议，但仅限于Web文件的加密，而

32、SSL和TLS是对客户机和服务器之间传递的所有数据进行加密4.3数据库安全基于数据库的安全策略信息数据是企业中非常重要的资源，因此保证数据库的安全可靠、正确有效是非常重要的问题。一般的数据库管理系统（DBMS）都有提供了一定的数据保护功能。数据库保护也称为数据控制，主要包括数据的安全性、完整性、并发控制和数据库的恢复等。数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。由于数据库系统中存放着大量的数据，且为许多用户所共享，因此安全性问题是必须首先要解决的。一般计算机系统中的安全措施是按照“用户标识和鉴别”、“DBMS存取控制”、“操作系统（OS）级安全控制”、“（数据库）DB密码存储”来一级一级设置的。那么我们结合前面所述的通信安全，通过用户权限来浅析管理信息系统的存储安全问题。可以看出页面或软件是具体的应用程序，位于数据库结构的最顶端，直接面向着广