呂斌

摘要：企業(yè)信息系統(tǒng)安全是企業(yè)的正常運行的保障。因此，企業(yè)應加強信息系統(tǒng)安全的建設。重點是確保企業(yè)信息始終處于 安全狀態(tài)。本文主要介紹了鋼鐵企業(yè)信息系統(tǒng)的設計以及信息安全風險管理措施。

關鍵詞：鋼鐵企業(yè)；信息安全；風險管理

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-3178（2018）06-0316-01

前言

企業(yè)信息系統(tǒng)的實現(xiàn)不僅要考慮業(yè)務處理，還要保證系統(tǒng)的安

全性要求，因此選擇三層架構模式實現(xiàn)。既保證基本的事務處理要 求又保證了聯(lián)機分析處理的要求，同時信息安全的維護成本大大降 低。

1 鋼鐵企業(yè)信息系統(tǒng)

1.1系統(tǒng)功能結構設計

采購管理：包括采購單、采購單查詢、退貨單、退貨單查詢四

個子模塊。采購單是企業(yè)將采購的鋼材進行登記入庫，采購單查詢 對所有的采購單據(jù)按不同的方式進行查詢。退貨單是將客戶退貨的 鋼材進行登記，退貨單查詢是對所有的退貨單據(jù)按不同方式進行查 詢。

庫存管理：包括其他入庫單、其他入庫單查詢、其他出庫單、 其他出庫單查詢、鋼材庫存控制調撥單、調撥單詳細查詢子模塊。 主要負責除采購之外的入庫登記、入庫單據(jù)的查詢、除銷售之外的 出庫登記、出庫單據(jù)的查詢，同時提供鋼材庫存上下限的報警及查 詢。調撥單依據(jù)庫存情況，對鋼材存儲進行流轉。

銷售管理：包括銷售訂單、銷售訂單詳細查詢、銷售單、銷售 單詳細查詢、銷售退貨單、銷售退貨單查詢子模塊。主要負責客戶 預訂鋼材的登記，訂單的綜合查詢、明細查詢。如果預訂單審核成 功，銷售單模塊可根據(jù)預訂單期限自動生成銷售單據(jù)，同時可進行 鋼材銷售的登記和查詢。銷售退貨單實現(xiàn)了鋼材退貨的登記和查詢。

配送管理：包括審核發(fā)貨、發(fā)貨單查詢模塊。主要負責鋼材出 庫審核、發(fā)放管理，同時可根據(jù)運輸車輛，生成發(fā)貨清單。

財務管理：包括往來賬務、現(xiàn)金銀行、費用控制、報表管理、 會計基礎數(shù)據(jù)模塊。主要負責應收賬款、應付賬款的查詢和管理， 銀行進賬、出賬的查詢和管理，其他費用、其他收入的查詢和管理， 損益表、資產(chǎn)負債表、預收款單據(jù)、記賬憑證的登記和管理，會計 科目的維護。

合同管理：包括采購合同、銷售合同模塊，主要負責合同的維 護和查詢。

統(tǒng)計分析：包括賬款統(tǒng)計、現(xiàn)金銀行統(tǒng)計模塊。主要負責應收 賬款、應付賬款的統(tǒng)計分析和查詢功能，以及銀行進出賬的統(tǒng)計分 析和查詢功能。

基礎數(shù)據(jù)：主要負責鋼材基礎數(shù)據(jù)管理，客戶、客商、部門、 職工、倉庫、現(xiàn)金銀行、車輛檔案管理，以及結算方式、銷售方式、 運輸方式、發(fā)票類型、鋼種信息、業(yè)務類型、材質、產(chǎn)地等信息的 管理。

系統(tǒng)維護：包括連接設置、權限管理、密碼設置等模塊。主要 負責應用服務器配置管理，權限的分組設置、用戶的權限設置功能 可根據(jù)員工的職責進行分組，獲取不同功能模塊的權限。

1.2數(shù)據(jù)庫設計

數(shù)據(jù)庫是信息管理系統(tǒng)的重要基礎。數(shù)據(jù)庫設計的好壞直接影

響信息管理系統(tǒng)的開發(fā)以及整個系統(tǒng)的健壯性和運行性能。為了讓 數(shù)據(jù)庫系統(tǒng)能滿足客戶人性化的要求，數(shù)據(jù)庫的設計必須遵循需求 分析、概念結構設計、邏輯結構設計和物理結構設計四個階段。

鋼材管理系統(tǒng)數(shù)據(jù)庫，嚴格地遵循數(shù)據(jù)庫設計過程，同時使用 ERwin 數(shù)據(jù)建模工具輔助設計。由于 ERwin 本身嚴格定義了 IDEF1X 方法論，支持關系數(shù)據(jù)庫Logic/Physical 模型的建立，并可實施正 向工程和逆向工程，大大提高了數(shù)據(jù)庫開發(fā)的效率。用戶的需求可 能會在某一時刻發(fā)生變化，對于需求變化的問題有時候是不可避免 的，那么借助于 ERwin可以幫助開發(fā)人員更好地維護數(shù)據(jù)庫。

1.3界面設計

友好的人機接口，可幫助用戶更好地體驗應用軟件所帶來的各

項功能。企業(yè)鋼材管理系統(tǒng)的主界面采用菜單和業(yè)務流程按鈕相結 合的方法進行設計。流程圖按鈕對初步接觸信息管理系統(tǒng)的用戶來 說意義重大，他們通過核心流程圖，可以較容易地理解數(shù)據(jù)的來源 和去向，更好的掌握系統(tǒng)的使用方法，提高工作效率。用戶經(jīng)過身份驗證進入系統(tǒng)主界面，依據(jù)用戶所在分組權限，動態(tài)控制可操作 的菜單和按鈕。

2 鋼鐵企業(yè)信息安全風險管理方案

2.1準備階段

信息安全風險管理實施的準備階段主要包括管理開端的建立、

風險評估以及制定行動方案三個步驟。第一，在管理開端的建立中， 首先要獲得企業(yè)管理部門與業(yè)務部門的支持，并且建立完善的管理 質素，明確參與到管理過程中的工作人員的職責；第二，在風險評 估步驟中，首先，確定風險評估對象的范圍，其次，確定評估小組 的成員，并且制定評估方案；最后，對評估小組成員進行與評估方 案有關的培訓。在這些準備工作結束后，評估人員就可以開始通過 訪談或調查的形式來確定公司信息資源的具體情況，明確用戶對信 息安全的需求。再通過對風險進行識別與分析，發(fā)現(xiàn)企業(yè)信息系統(tǒng) 中存在的風險。第三，在制定行動方案的步驟中，需要完成保護方 案的制定以及確定風險處理方式兩部分工作。通常情況下，保護方 案就是需要企業(yè)長期持續(xù)執(zhí)行，能夠幫助企業(yè)保證自身信息安全的 方案，但不足以滿足企業(yè)在短期內提高信息安全性的需求。因此， 企業(yè)必須對所有控制措施制定相應的處理方式，在短期內解決企業(yè) 最需要解決的問題。

2.2部署與執(zhí)行階段

行動的部署與執(zhí)行階段主要有計劃的部署與安全培訓兩方面工

作組成。第一，行動計劃部署。在這個過程中，安全風險管理計劃 中的所有措施都必須被執(zhí)行，需要對具體行動方案進行必要的理解 并執(zhí)行。首先，要與企業(yè)中的員工進行事先溝通，防止在實施中遇 到反對或抵觸的情緒。其次，確保被安排到行動計劃的員工能夠把 握這些工作的優(yōu)先級。此外，必須制定行動執(zhí)行保障制度，為計劃 執(zhí)行準備足夠的資源，以保證計劃順利執(zhí)行。第二，安全培訓工作 的實施。在企業(yè)內部，從事安全風險管理工作的員工有時會將普通 工作人員視為技術人員，顯然這種想法是有問題的，并不是企業(yè)內 的所有員工都了解信息安全風險管理。所以，我們必須了解企業(yè)中 大部分員工知識利用信息系統(tǒng)完成自己的工作任務，信息安全的保 護是需要專業(yè)的信息安全人員進行的。所以，企業(yè)必須組織安全培 訓，通過培訓提高員工安全意識，保證他們在信息系統(tǒng)遇到危險時 能夠采取一些有效的行動，對系統(tǒng)進行適當?shù)谋Ｗo。

2.3風險監(jiān)督檢查階段

在信息安全風險管理團隊中，必須組建風險監(jiān)督小組，在風險

管理的整個過程中對其進行監(jiān)督與檢查，小組應由小組負責人與檢 查人員組成。實施風險監(jiān)督檢查的目的就是為了掌握企業(yè)信息安全 的實際狀態(tài)，并且收集信息安全環(huán)境變更信息，方便對未來的風險 進行預測。風險監(jiān)督小組在獲得這些信息后，必須及時向風險管理 團隊反饋，確保他們能夠掌握企業(yè)最近的信息安全狀態(tài)。

2.4風險改進階段

在這一階段，我們必須做好以下工作：制定詳細的風險改進措

施。風險管理團隊需要根據(jù)企業(yè)的信息安全狀態(tài)制定詳細的風險改 進措施。通過對監(jiān)督檢查過程中發(fā)現(xiàn)的問題進行分析，可以找出導 致問題產(chǎn)生的原因，制定相應的改進措施并限期完成，檢查人員則 要負責對具體的實施情況進行檢查。在改進過程中，需要注意的是， 改進措施必須獲得最高管理者的批準，特別是關系到整個企業(yè)或大 多數(shù)部門的改進措施。風險監(jiān)督小組必須隨時跟蹤糾正措施實施情 況，驗證改進措施的執(zhí)行是否符合標準。

結束語

既要保證鋼鐵企業(yè)發(fā)展相對規(guī)范化和完善性的信息安全管理體

系，又要規(guī)避安全管理風險，有效解決鋼鐵企業(yè)信息管理問題，全 面提升鋼鐵企業(yè)信息安全管理，使鋼鐵企業(yè)信息安全性和穩(wěn)定性系 統(tǒng)得以保證，鋼鐵信息系統(tǒng)可靠性和高效性運行得以實現(xiàn)。

參考文獻

[1]黎俊文，喬曉青.基于云計算實現(xiàn)企業(yè)信息系統(tǒng)的安全防護[J].保密科學技術，2017（10）.