淺議零售信息系統(tǒng)的安全管理

史嚴(yán)梅

（山東經(jīng)貿(mào)職業(yè)學(xué)院，山東 濰坊 261011）

1 零售信息系統(tǒng)概述

零售企業(yè)的信息化從簡單的基于條碼技術(shù)的POS（Point of Sale）應(yīng)用，到財(cái)務(wù)記賬軟件的使用，再到ERP（Enterprise Resource Planning,企業(yè)資源計(jì)劃系統(tǒng)）等領(lǐng)域的研究及不斷推廣，信息系統(tǒng)已經(jīng)逐步取代了傳統(tǒng)零售企業(yè)中大量存在的的手工制單和紙質(zhì)化交易結(jié)算方式，促進(jìn)了零售企業(yè)不斷做大、做強(qiáng)。

了解零售管理信息系統(tǒng)，先了解一下什么是管理信息系統(tǒng)（Management Information System,簡稱MIS）。管理信息系統(tǒng)是一個(gè)以人為主導(dǎo)，利用計(jì)算機(jī)硬件、軟件、網(wǎng)絡(luò)通信設(shè)備以及其他辦公設(shè)備，進(jìn)行信息的收集、傳輸、加工、儲(chǔ)存、更新和維護(hù)，以企業(yè)戰(zhàn)略競優(yōu)、提高效益和效率為目的，支持企業(yè)的高層決策、中層控制、基層運(yùn)作的集成化的人機(jī)系統(tǒng)。

零售企業(yè)信息系統(tǒng)是管理信息系統(tǒng)的一個(gè)重要組成部分，是面向零售行業(yè)的專業(yè)軟件系統(tǒng)，根據(jù)零售企業(yè)業(yè)務(wù)需要和特點(diǎn)，零售企業(yè)信息系統(tǒng)一般包括采購管理系統(tǒng)（PMS）、配送管理系統(tǒng)（DMS）營運(yùn)管理系統(tǒng)（SOS）、財(cái)務(wù)和結(jié)算（APS）、顧客關(guān)系管理系統(tǒng)（CRM）等主系統(tǒng)以及基礎(chǔ)的系統(tǒng)配置系統(tǒng)。

2 零售企業(yè)信息系統(tǒng)的不安全因素

2.1 零售企業(yè)信息系統(tǒng)本身的脆弱性

零售信息系統(tǒng)的安全需求有：

保密性：防止信息泄露，例如信息系統(tǒng)中的的供應(yīng)商信息、合同信息、銷售額等信息泄露。

安全性：數(shù)據(jù)物理信息不被復(fù)制或泄露。完整性：通過技術(shù)手段安全機(jī)制保障數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)的完整性。可靠性和可用性：能夠?yàn)楦鞴芾韺犹峁?zhǔn)確可靠的詳細(xì)分析數(shù)據(jù)。

信息時(shí)效性：信息的時(shí)效是指從信息源發(fā)送信息，經(jīng)過接收、加工、傳遞和利用的時(shí)間間隔和效率，時(shí)間間隔越短，信息的時(shí)效性越強(qiáng)，時(shí)間越長，數(shù)據(jù)的價(jià)值可能越來越少，但是又不能不留下以往的數(shù)據(jù)，所以為了保證系統(tǒng)速度和穩(wěn)定，防止系統(tǒng)數(shù)據(jù)量過大，一般對(duì)歷史數(shù)據(jù)要進(jìn)行備份和轉(zhuǎn)移。

零售信息系統(tǒng)脆弱性的具體表現(xiàn)：

1）信息的易損壞性。數(shù)據(jù)的存儲(chǔ)密度高，往往在一塊磁盤或者一個(gè)磁盤陣列上可以存儲(chǔ)大量的信息數(shù)據(jù)，容易被有意或者無意損壞，造成大量信息的丟失或者損壞。

2）數(shù)據(jù)的可訪問性。一臺(tái)遠(yuǎn)程終端用戶有足夠的權(quán)限可以訪問到系統(tǒng)中的所有數(shù)據(jù)，并可以不留痕跡的將其進(jìn)行拷貝、刪除或者破壞。

3）信息的聚生性。少量分離的信息往往價(jià)值不大，但是將大量信息進(jìn)行分析、加工、比對(duì)，就會(huì)顯示出他的重要性。信息系統(tǒng)的根本特點(diǎn)之一，就是將大量信息收集在一起，進(jìn)行自動(dòng)、高效的處理，進(jìn)而產(chǎn)生有價(jià)值的結(jié)果，提供給企業(yè)的各級(jí)決策者，促使他們做出對(duì)企業(yè)更有利的決策。可以說，零售企業(yè)信息系統(tǒng)的這種聚生性特點(diǎn)導(dǎo)致了其被竊取的可能性大大增加。

4）通信網(wǎng)絡(luò)脆弱性。信息系統(tǒng)是建立在局域網(wǎng)中的，電腦間的遠(yuǎn)程通信都是利用電話線路、專用電纜、微波信道等媒介完成，因此，數(shù)據(jù)在傳輸過程中易被搭線竊聽或者破壞。

2.2 信息系統(tǒng)容易受到威脅和攻擊

計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒包括了對(duì)信息系統(tǒng)實(shí)體和信息兩個(gè)方面的威脅和攻擊，一般影響信息系統(tǒng)安全的因素可以歸納為兩類：

一是自然因素，主要指水、電、火、靜電、有害氣體、液體、地震、雷電、強(qiáng)磁場和電磁脈沖等危害。這些危害有的會(huì)損害系統(tǒng)設(shè)備，有的則會(huì)破壞數(shù)據(jù)甚至毀掉整個(gè)系統(tǒng)和所有數(shù)據(jù)。

二是人為因素，分為無意損壞和有意破壞兩種。無意損壞，指安全管理水平低，人員技術(shù)素質(zhì)差，操作失誤或者錯(cuò)誤造成的事故。有意破壞是指有目的的擾亂或破壞計(jì)算機(jī)信息系統(tǒng)，竊取信息，利用計(jì)算機(jī)信息系統(tǒng)進(jìn)行盜竊、詐騙等違法犯罪活動(dòng)，危及企業(yè)信息安全。

3 零售信息系統(tǒng)安全管理

分析完零售信息系統(tǒng)的不安全因素，我們知道，確保零售信息系統(tǒng)安全，平穩(wěn)運(yùn)行應(yīng)該從哪些方面入手。首先建立一套完整的安全管理體系，進(jìn)行信息安全機(jī)制及職能設(shè)計(jì)，建立高效、職能分工明確的行政管理和業(yè)務(wù)組織體系，建立信息安全標(biāo)準(zhǔn)和評(píng)估體系。目前常用的信息安全解決方案有防止非法入侵和泄密的解決方案，數(shù)據(jù)安全存儲(chǔ)的解決方案和必不可少的防病毒解決方案等。具體的技術(shù)措施可以細(xì)分為兩類：實(shí)體安全管理和業(yè)務(wù)信息系統(tǒng)安全管理。

3.1 實(shí)體安全工作包括人員管理、資產(chǎn)安全（機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)備）等

3.1.1 建立健全規(guī)章制度，形成高素質(zhì)人員隊(duì)伍，確保人力保障

建立各項(xiàng)規(guī)章制度，如機(jī)房管理制度，數(shù)據(jù)備份制度等，據(jù)統(tǒng)計(jì)90%以上的管理安全問題來自終端，提高各部門人員的安全意識(shí)非常重要，加強(qiáng)培訓(xùn)與安全教育，強(qiáng)化安全意識(shí)和法制觀念，提升職業(yè)道德，掌握安全技術(shù)，確保安全措施，責(zé)任到人。

形成一支自覺、遵紀(jì)守法的高素質(zhì)隊(duì)伍，是零售業(yè)信息安全工作的又一重要環(huán)節(jié)。企業(yè)要在員工思想、職業(yè)道德、經(jīng)營管理、規(guī)章制度、教育培訓(xùn)等方面，做大量艱苦細(xì)致的工作，強(qiáng)化信息系統(tǒng)的安全管理，加強(qiáng)思想教育，嚴(yán)格防范對(duì)系統(tǒng)的非法侵入，把危害降到最低。

3.1.2 建立標(biāo)準(zhǔn)的計(jì)算機(jī)機(jī)房，保障機(jī)房安全

計(jì)算機(jī)機(jī)房作為網(wǎng)絡(luò)的核心設(shè)備所在地，在建設(shè)和裝修時(shí)要嚴(yán)格按照機(jī)房標(biāo)準(zhǔn)設(shè)計(jì)、裝修，做到專線、雙路供電，防雷防火防水，重要的設(shè)備如中心交換機(jī)、UPS、服務(wù)器等要做好相應(yīng)備份。

3.1.3 做好服務(wù)器配置，保證服務(wù)器的安全

服務(wù)器是信息管理系統(tǒng)的核心組成部分，是數(shù)據(jù)庫管理的心臟。負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)的處理和存儲(chǔ)，網(wǎng)絡(luò)的安全首先要保證服務(wù)器的安全。有條件的用戶可以使用雙機(jī)熱備方案，一臺(tái)服務(wù)器出現(xiàn)故障時(shí)，能保證信息系統(tǒng)的正常運(yùn)行。

3.1.4 規(guī)劃好網(wǎng)絡(luò)，確保網(wǎng)絡(luò)安全

當(dāng)前，接入信息系統(tǒng)的終端眾多，人員水平層次不齊，為網(wǎng)絡(luò)的安全帶來了很大的隱患，所以局域網(wǎng)的安全監(jiān)控與管理成了信息負(fù)責(zé)人必須關(guān)心的問題。通過制定統(tǒng)一的安全策略，限制移動(dòng)電腦和移動(dòng)存儲(chǔ)設(shè)備隨意接入內(nèi)網(wǎng)，杜絕內(nèi)網(wǎng)電腦通過撥號(hào)、雙網(wǎng)卡等方式非法外聯(lián)，有效保證了內(nèi)網(wǎng)與外網(wǎng)的隔離度，提高內(nèi)網(wǎng)的安全性；通過網(wǎng)絡(luò)流量控制模塊，實(shí)施監(jiān)控網(wǎng)絡(luò)終端流量，對(duì)異常網(wǎng)絡(luò)行為進(jìn)行自動(dòng)預(yù)警或阻斷；全面利用網(wǎng)絡(luò)內(nèi)統(tǒng)一的殺毒軟件和防火墻，進(jìn)行系統(tǒng)漏洞檢測，補(bǔ)丁分發(fā)，軟件升級(jí)；完善權(quán)限分配管理，不同的管理員擁有不同的管理權(quán)限，權(quán)限互不干涉。

3.2 業(yè)務(wù)信息系統(tǒng)的安全管理

3.2.1 系統(tǒng)技術(shù)架構(gòu)

采用三層技術(shù)架構(gòu)的零售信息系統(tǒng)，用戶只能通過邏輯層來訪問數(shù)據(jù)層，減少了入口點(diǎn)，可以屏蔽很多危險(xiǎn)的直接訪問，較二層架構(gòu)（傳統(tǒng)的客戶/服務(wù)器結(jié)構(gòu)，盡管目前占統(tǒng)治地位的結(jié)構(gòu)）有著比較明顯的安全優(yōu)勢。

3.2.2 系統(tǒng)儲(chǔ)值卡的安全管理

零售信息系統(tǒng)的特點(diǎn)在于數(shù)據(jù)處理量大，處理業(yè)務(wù)復(fù)雜重復(fù)，如何保證儲(chǔ)值卡的安全是管理者最關(guān)心的問題。具體的措施有：通過在形成卡介質(zhì)內(nèi)容時(shí)讓其包含4-6位隨機(jī)數(shù)，隨機(jī)數(shù)保有在卡數(shù)據(jù)庫中，沒有規(guī)律，可以有效防止批量制作假卡；通過卡余額加密為校驗(yàn)碼和卡余額平衡，防止人工不經(jīng)過系統(tǒng)直接在數(shù)據(jù)庫中進(jìn)行卡余額修改或系統(tǒng)故障；制作卡片時(shí)，除印制卡號(hào)外，另外印制系統(tǒng)根據(jù)卡號(hào)加密生成識(shí)別碼，提高復(fù)制卡的成本，有效防止復(fù)制卡及假卡；系統(tǒng)提供對(duì)IC卡的讀寫密碼管理，控制卡的使用過程，避免卡復(fù)制。

3.3 零售信息系統(tǒng)的安全部署

優(yōu)秀的零售管理系統(tǒng)，能夠根據(jù)零售企業(yè)的規(guī)模、管理需求等方式，進(jìn)行針對(duì)性的部署，目前信息系統(tǒng)一般均支持分布式、集中式、分布式與集中式混合部署的方式。如果企業(yè)的門店數(shù)目較多，規(guī)模較小，一般采用集中式部署方式，服務(wù)器數(shù)據(jù)集中管理可以實(shí)現(xiàn)信息系統(tǒng)的免安裝，集中維護(hù)，從而簡化系統(tǒng)建設(shè)，降低維護(hù)成本，增加系統(tǒng)安全性。

總之，信息系統(tǒng)沒有絕對(duì)的安全，只有通過落實(shí)各項(xiàng)管理制度，通過系統(tǒng)管理，制定合理的安全策略，采取有效的綜合性防范措施，才能切實(shí)保障管理信息系統(tǒng)的安全、穩(wěn)定、正常運(yùn)行，保障各項(xiàng)業(yè)務(wù)正常開展，體現(xiàn)信息系統(tǒng)帶來的便捷高效的服務(wù),規(guī)范企業(yè)工作流程，提高管理水平，為企業(yè)決策提供數(shù)據(jù)參考，從而為企業(yè)帶來巨大的經(jīng)濟(jì)效益。

［1］雷鳴.管理信息系統(tǒng)開發(fā)與管理[M].經(jīng)濟(jì)科學(xué)出版社，2012.

［2］呂林濤.網(wǎng)絡(luò)信息安全技術(shù)概論[M].2 版.科學(xué)出版社，2010.