時間:2022-05-02 00:07:46
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇軟件安全論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】軟件 安全漏洞 檢測技術
信息技術快速發展,尤其Internet的廣泛應用,在如今大數據時代,軟件是計算機技術一種,在其軟件開發過程中,計算機軟件存在一定漏洞,要保障計算機軟件的安全性,必須提高計算機軟件的檢測技術,提升計算機軟件性能,是提高計算機網絡安全的有效途徑。
1 計算機軟件安全漏洞目前的狀況
計算機軟件在開發的時候有的就存在一定漏洞,當時可能沒有技術解決軟件漏洞問題,但在軟件使用的過程中,會出現一系列問題,必須加強軟件安全漏洞的檢測技術,檢測軟件是否合格,不合格的軟件必須加強軟件補丁,促使軟件達到合格標準,經過測試后,才能投入市場使用。還有的軟件開發時候沒有任何漏洞,但隨著時間的推移,軟件會出現一定漏洞,軟件必須是在使用的過程中,逐步進行軟件完善,提升軟件性能,讓其達標,減少軟件的漏洞,出現漏洞以后要及時修復,提高軟件的生命周期,在一個友好的界面下,充分發揮軟件的功能,讓其在使用過程中,起到一定的作用,提升性能,減少漏洞。軟件在使用的過程中,根據技術的發展與變化,計算機軟件的漏洞必須技術檢測,延長軟件的生命周期,提高軟件性能,滿足其需要。
2 計算機軟件安全漏洞檢測技術解讀
2.1 靜態程序解析
靜態程序解析是軟件安全常用的檢測技術,這種檢測技術是通過程序代碼,通過利用機器語言、匯編語言等進行編譯,利用反代碼形式,對檢測出來的軟件漏洞,及時進行修復,提高軟件性能,在實際應用過程中,涉及到程序設計中的語言、函數、數組、過程、集合、文件等。利用軟件技術解決軟件漏洞問題,靜態程序解析對程序設計起到保護作用,檢測軟件漏洞,提升計算機軟件性能,這是一種常用的計算機軟件安全漏洞檢測技術,通過該技術對軟件漏洞進行合理檢測,提高軟件性能,延長軟件的生命周期。
2.2 利用邏輯公式對程序性質進行表達
根據程序的性質,對計算機軟件漏洞進行檢測,判斷其中的應用能力,邏輯公式能對計算機軟件的性能進行檢測,檢測其的合法性,是否存在軟件漏洞,有的軟件漏洞是需要升級與更新軟件就可以解決的,有的是出現軟件錯誤,必須合理采用措施,解決軟件漏洞問題。其中的公理化方法的邏輯是完整的體系,其中的每個公式都是由單個程序語句和其前后置斷言共同構成,具體理論當中只有一條賦值公理,形式演算系統以一階謂詞邏輯為基礎,各自為順序、分支以及循環指令增加了相應的演算法則。公理化方法已經被證明具有較強的可靠性和完整性,但匹配的形式演算系統存在半可判定的情況。程序的正確性涉及程序設計人員利用邏輯公式對程序對應的功能規約展開描述,另外一個問題就是要為循環體確定循環不變式。邏輯公式的應用提高了邏輯判斷能力,在利用語句進行科學判斷,檢測計算機軟件是否存在漏洞,根據邏輯公式的判斷能力,檢測軟件是否存在漏洞,如果存在漏洞,對其合理的進行修補,解決軟件漏洞問題,提升軟件性能,完善軟件功能。
2.3 測試庫技術
測試庫技術是計算機軟件檢測中常用技術,對解決計算機軟件漏洞起到幫助作用。測試庫技術是檢測計算機軟件中的核心部件,判斷計算機軟件是否存在漏洞。利用測試庫技術只能對動態內存操作函數導致的錯誤進行判定。而且其主要對運行過程中輸入數據進行監控,發現其中的弱點。這種檢測并不是從整體上進行判定。這也表明檢測過程只是驗證 BUG 是否被發現,但是無法證實BUG的存在。使用這項技術對于普通應用程序而言,并不會存在任何兼容問題。使用測試庫技術的主要優勢不存在誤報。從性能上對這個技術展開分析,其性能消耗較大,從其工作原理很容易能推導出這個結論。利用測試庫技術檢測計算機軟件是否存在漏洞,是所有檢測技術中最科學的,也是最準確的,但其測試有一定難度,對計算機軟件本身也是一種傷害,提高計算機軟件性能,必須合理的利用軟件的檢測技術,科學的選擇檢測技術,有目的的進行檢測軟件是否存在漏洞,科學的解決軟件漏洞問題,提高軟件性能。
2.4 源碼改編
利用軟件漏洞檢測技術,檢測出計算機軟件存在一定漏洞,沒有合理方法進行漏洞修復,就有必要根據軟件漏洞的階段,去修改程序的源代碼,這種源碼改編技術,是徹底解決計算機軟件漏洞的最根本方法,該檢測技術對人員的要求很高,能利用其它技術檢測出軟件漏洞,能利用源碼改編技術進行修改,這是計算機軟件檢測技術的高級階段,是計算機軟件發展到一定程度的需要,也是社會發展對計算機軟件技術提出的新要求。
總之,計算機軟件技術存在一定漏洞,要解決計算機軟件漏洞,必須利用軟件檢測技術,及時檢測,發現問題要及時解決,但在計算機軟件發展的過程中,計算機軟件肯定存在一定問題,必須科學的合理解決計算機軟件的安全問題,提高對軟件安全認識,增加計算機軟件的應用性,符合現代計算機軟件技術發展需要。
參考文獻
[1]許躍穎.計算機軟件中安全漏洞檢測技術及其應用[J].電子制作,2016(02).
[2]顏漢權.基于模糊測試的軟件漏洞檢測方法[J].求知導刊,2015(11).
[3]高妍.計算機軟件安全漏洞檢測技術與應用[J].計算機光盤軟件與應用,2014(04).
[4]陳斯,盧華.計算機軟件中安全漏洞檢測技術及其應用[J].電子技術與軟件工程,2016(11).
[5]王垌堯.計算機軟件安全漏洞檢測技術與應用[J].黑龍江科技信息,2016(09).
作者簡介
劉璇(1975-),女,遼寧省沈陽市人。大學本科學歷、碩士學位。現為遼寧現代服務職業技術學院副教授。研究方向為計算機應用。
關鍵詞:無線射頻識別系統,安全,標簽
0 引言
RFID是近年來的一項熱門技術,現在它廣泛應用于物流、交通、商業、管理等各個領域。。RFID系統由標簽、閱讀器(Reader)、應用軟件和現有的互聯網的基礎上組成[1]。
在RFID系統里,RFID標簽通過讀寫器把標簽數據讀取出來,傳送給RFID應用軟件進行相應的數據處理,然后再通過互聯網在各個應用環節“交流”信息,從而實現商品信息的流通,如圖1所示。
圖1 RFID系統結構圖
RFID的應用越來越廣泛,它像計算機網絡一樣也存在著安全隱患,如果不能很好地解決RFID系統的安全問題,隨著應用擴展,未來遍布全球各地的RFID系統安全可能會像現在的網絡安全難題
一樣考驗人們的智慧。隨著RFID芯片的功能越來越復雜,它們受到攻擊的危險也越高。這些安全問題將會嚴重阻礙RFID系統的應用推廣。
因此,在RFID技術大規模應用之前有必要提前解決預計出現的安全及隱私問題或者把這種危害降低到相對低點。
1 存在的安全隱患
RFID系統和其他信息系統一樣存在許多安全隱患,這些隱患無疑威脅著RFID系統的正常運行,并且不同于其他信息系統的安全問題。根據上邊的RFID系統結構圖,我們把系統存在的安全問題分為三類:標簽集安全、軟件級安全和網絡級安全,下面分別分析這三種安全隱患。
1.1 標簽級安全
目前RFID處于初級起步階段,標簽級安全主要集中在以下三個方面:
(1)對電子標簽信息的盜讀和篡改[2]
RFID標簽和條碼不同,體積小,容量小,通過天線就可以與外界交互信息,因此射頻識別系統很容易受到攻擊。RFID標簽擁有惟一的ID,一旦攻擊者獲得ID,也就獲得了目標對象的數據信息。未被保護的標簽易遭受來自未授權方的監聽,未授權的讀寫器在沒有訪問控制協議下可隨時訪問其附近的標簽從而獲得機密數據。
在篡改電子標簽內數據方面,存在非法者改寫或是重置標簽內容的威脅。破壞者也可以通過破壞一組標簽的有效工作性能,從而可能使整個供應鏈陷入癱瘓狀態,因此存在標簽數據被篡改的危險。
(2)讀寫器受到干擾或其他攻擊
由于RFID的開放式環境,非法用戶通過發射干擾信號來影響讀寫器讀取信號,或用其他方式釋放攻擊信號直接攻擊讀寫器,使讀寫器無法接收正常的標簽數據。
(3)對環境的適應性
由于零售業和物流業的RFID應用環境比較復雜,因此需要RFID具有較強的適應性,包括能夠在存在非惡意的信號干擾、金屬干擾、潮濕以及一定程度的遮擋等。
1.2 軟件級安全
數據進入后端系統之后,則屬于傳統應用軟件安全的范疇。在這一領域具有比較強的安全基礎,有很多手段來保證這一范疇的安全。。
1.3 網絡級安全
RFID系統中標簽數據進入系統軟件,然后再經由現有的Internet網絡傳輸。在的Internet網絡也存在很多安全隱患,這是Internet安全的問題。
2 主要技術對策及分析
RFID系統存在三個不同層面上的安全隱患:標簽、軟件、網絡。盡管與計算機和網絡的安全問題類似,但實際上RFID的安全問題要嚴峻得多。RFID技術本身就包含了比計算機和網絡中更多更容易泄密的不安全節點。對于網絡和軟件安全方面我們已經耳熏目染,這里只討論RFID系統特有的安全問題即標簽級安全的對策。
RFID芯片本身就存在一些需要我們解決的安全難題。由于RFID芯片很小,內存和存儲容量也同樣小,這就限制了它能夠容納的數字和加密密鑰的長度,從而使它很難實施進行強大加密所需要的公共密鑰交換等事情[3]。
標簽級安全對策主要有以下幾種:
(1) 只讀標簽
這種方式消除了數據被篡改和刪除的風險,但仍然具有被非法閱讀的風險。
(2 ) 限制標簽和讀寫器之間的通信距離
采用不同的工作頻率、天線設計、標簽技術和讀寫器技術可以限制兩者之間的通信距離,降低非法接近和閱讀標簽的風險,但是這仍然不能解決數據傳輸的風險還以損害可部署性為代價。
(3) 實現專有的通信協議
在高度安全敏感和互操作性不高的情況下,實現專有通信協議是有效的。它涉及到實現一套非公有的通信協議和加解密方案。基于完善的通信協議和編碼方案,可實現較高等級的安全。但是,這樣便喪失了與采用工業標準的系統之間的RFID數據共享能力[4]。
(4) 屏蔽
可以使用法拉第網來屏蔽標簽,使其喪失了RF特征。。在不需要閱讀和通信的時候,這也是一個主要的保護手段,特別是包含有金融價值和敏感數據的標簽的場合,可以在需要通信的時候解除屏蔽。(5) 使用銷毀指令(KillCommand)
如果標簽支持Kill指令,當標簽接收到讀寫器發送的Kill命令便會將自己銷毀,無法被再次激活,以后它將對讀寫器的任何指令都無法反應。特別是在零售場合,消費者可以在購買產品后執行Kill命令使標簽失效,從而消除了消費者在隱私方面的顧慮。但是使用這種方式影響到商品的反向跟蹤,比如退貨、維修和售后服務等。因為標簽卷標已經無效,相應的信息系統將不能再識別該標簽的數據。
(6) 使用休眠指令(Sleep)
當支持休眠命令的標簽接收到讀寫器傳來的休眠(Sleep)指令,標簽即進入休眠狀態,不會響應任何讀寫器的操作;當標簽收到讀寫器的喚醒(WakeUp)命令才會恢復正常。
(7) 物理損壞
物理損壞是指使用物理手段徹底銷毀標簽,并且不必像殺死命令一樣擔心標簽是否失效,但是對一些嵌入的、難以接觸的標簽則難以做到。
(8) 認證和加密
可使用各種認證和加密手段來確保標簽和讀寫器之間的數據安全[5]。讀寫器操作標簽時必須同時發送密碼,標簽驗證密碼成功才響應讀寫器,之前,標簽的數據一直處于鎖定狀態。更嚴格的還可能同時包括認證和加密方案。
(9) 選擇性鎖定[6]
這種方法使用一個特殊的稱為鎖定者(Blocker)的RFID標簽來模擬無窮的標簽的一個子集。這一方法可以把阻止非授權的讀寫器讀取某個標簽的子集。
選擇性鎖定克服或者平衡了以上各種方法的缺點,也消除了加密和認證方案帶來的高成本性,這一方法在安全性和成本之間取得了較好的平衡。需要的時候,Blocker標簽可以防止其他讀寫器讀取和跟蹤其附近的標簽,而在不需要的時候,則可以取消這種阻止,使標簽得以重新生效。
以上這些方法各有自己的特色和不足,沒有任何一個單一的手段可以徹底保證RFID應用的安全,所以必須針對不同應用靈活選擇和組合采用綜合性的解決方案,考慮成本和收益之間的關系。
3 結束語
RFID安全問題是個系統問題, 關注的焦點不應該只局限在RFID產品本身上,RFID系統的安全, 不僅僅是RFID標簽本身的安全技術, 關鍵是應用系統上的安全方案和管理制度。RFID系統安全會在應用過程中逐步改善,而隨著安全問題的逐步完善它的應用會越來越廣泛。
參考文獻:
[1]甘勇,鄭富娥,吉星.RFID中間件關鍵技術研究[J].電子技術應用,2007,33(9):130-132.
[2]蔣文娟.RFID存在的隱私問題及應用建議[J],計算機安全2005(10):21-22
[3]楊志和.基于中間件和RFID技術的物流管理系統的應用研究[D]:碩士學位論文.廣西:廣西大學.2006:30-45
[4]周永彬,馮登國.RFID安全協議的設計與分析[J].計算機學報,2006,4:7-8
[5]李曉東.射頻識別技術中的隱私安全問題及策略[J].微電子學與計算機.2005:137-140
[6]RFIDPrivacyWorkshop,IEEESECURITY&PRIVACY,MARCH/APRIL2004,p48-50
論文摘要: 走進新世紀,科學技術發展日新月異,人們迎來一個知識爆炸的信息時代,信息數據的傳輸速度更快更便捷,信息數據傳輸量也隨之增加,傳輸過程更易出現安全隱患。因此,信息數據安全與加密愈加重要,也越來越多的得到人們的重視。首先介紹信息數據安全與加密的必要外部條件,即計算機安全和通信安全,在此基礎上,系統闡述信息數據的安全與加密技術,主要包括:存儲加密技術和傳輸加密技術;密鑰管理加密技術和確認加密技術;消息摘要和完整性鑒別技術。
當前形勢下,人們進行信息數據的傳遞與交流主要面臨著兩個方面的信息安全影響:人為因素和非人為因素。其中人為因素是指:黑客、病毒、木馬、電子欺騙等;非人為因素是指:不可抗力的自然災害如火災、電磁波干擾、或者是計算機硬件故障、部件損壞等。在諸多因素的制約下,如果不對信息數據進行必要的加密處理,我們傳遞的信息數據就可能泄露,被不法分子獲得,損害我們自身以及他人的根本利益,甚至造成國家安全危害。因此,信息數據的安全和加密在當前形勢下對人們的生活來說是必不可少的,通過信息數據加密,信息數據有了安全保障,人們不必再顧忌信息數據的泄露,能夠放心地在網絡上完成便捷的信息數據傳遞與交流。
1 信息數據安全與加密的必要外部條件
1.1 計算機安全。每一個計算機網絡用戶都首先把自己的信息數據存儲在計算機之中,然后,才進行相互之間的信息數據傳遞與交流,有效地保障其信息數據的安全必須以保證計算機的安全為前提,計算機安全主要有兩個方面包括:計算機的硬件安全與計算機軟件安全。1)計算機硬件安全技術。保持計算機正常的運轉,定期檢查是否出現硬件故障,并及時維修處理,在易損器件出現安全問題之前提前更換,保證計算機通電線路安全,提供備用供電系統,實時保持線路暢通。2)計算機軟件安全技術。首先,必須有安全可靠的操作系統。作為計算機工作的平臺,操作系統必須具有訪問控制、安全內核等安全功能,能夠隨時為計算機新加入軟件進行檢測,如提供windows安全警報等等。其次,計算機殺毒軟件,每一臺計算機要正常的上網與其他用戶交流信息,都必須實時防護計算機病毒的危害,一款好的殺毒軟件可以有效地保護計算機不受病毒的侵害。
1.2 通信安全。通信安全是信息數據的傳輸的基本條件,當傳輸信息數據的通信線路存在安全隱患時,信息數據就不可能安全的傳遞到指定地點。盡管隨著科學技術的逐步改進,計算機通信網絡得到了進一步完善和改進,但是,信息數據仍舊要求有一個安全的通信環境。主要通過以下技術實現。1)信息加密技術。這是保障信息安全的最基本、最重要、最核心的技術措施。我們一般通過各種各樣的加密算法來進行具體的信息數據加密,保護信息數據的安全通信。2)信息確認技術。為有效防止信息被非法偽造、篡改和假冒,我們限定信息的共享范圍,就是信息確認技術。通過該技術,發信者無法抵賴自己發出的消息;合法的接收者可以驗證他收到的消息是否真實;除合法發信者外,別人無法偽造消息。3)訪問控制技術。該技術只允許用戶對基本信息庫的訪問,禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。與此同時,系統管理員能夠利用這一技術實時觀察用戶在網絡中的活動,有效的防止黑客的入侵。
2 信息數據的安全與加密技術
隨著計算機網絡化程度逐步提高,人們對信息數據傳遞與交流提出了更高的安全要求,信息數據的安全與加密技術應運而生。然而,傳統的安全理念認為網絡內部是完全可信任,只有網外不可信任,導致了在信息數據安全主要以防火墻、入侵檢測為主,忽視了信息數據加密在網絡內部的重要性。以下介紹信息數據的安全與加密技術。
2.1 存儲加密技術和傳輸加密技術。存儲加密技術分為密文存儲和存取控制兩種,其主要目的是防止在信息數據存儲過程中信息數據泄露。密文存儲主要通過加密算法轉換、加密模塊、附加密碼加密等方法實現;存取控制則通過審查和限制用戶資格、權限,辨別用戶的合法性,預防合法用戶越權存取信息數據以及非法用戶存取信息數據。
傳輸加密技術分為線路加密和端-端加密兩種,其主要目的是對傳輸中的信息數據流進行加密。線路加密主要通過對各線路采用不同的加密密鑰進行線路加密,不考慮信源與信宿的信息安全保護。端-端加密是信息由發送者端自動加密,并進入tcp/ip信息數據包,然后作為不可閱讀和不可識別的信息數據穿過互聯網,這些信息一旦到達目的地,將被自動重組、解密,成為可讀信息數據。
2.2 密鑰管理加密技術和確認加密技術。密鑰管理加密技術是為了信息數據使用的方便,信息數據加密在許多場合集中表現為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配、保存、更換與銷毀等各環節上的保密措施。網絡信息確認加密技術通過嚴格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息確認方案應該能使:合法的接收者能夠驗證他收到的消息是否真實;發信者無法抵賴自己發出的消息;除合法發信者外,別人無法偽造消息;發生爭執時可由第三人仲裁。按照其具體目的,信息確認系統可分為消息確認、身份確認和數字簽名。數字簽名是由于公開密鑰和私有密鑰之間存在的數學關系,使用其中一個密鑰加密的信息數據只能用另一個密鑰解開。發送者用自己的私有密鑰加密信息數據傳給接收者,接收者用發送者的公鑰解開信息數據后,就可確定消息來自誰。這就保證了發送者對所發信息不能抵賴。
2.3 消息摘要和完整性鑒別技術。消息摘要是一個惟一對應一個消息或文本的值,由一個單向hash加密函數對消息作用而產生。信息發送者使用自己的私有密鑰加密摘要,也叫做消息的數字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發送者,當消息在途中被改變時,接收者通過對比分析消息新產生的摘要與原摘要的不同,就能夠發現消息是否中途被改變。所以說,消息摘要保證了消息的完整性。
完整性鑒別技術一般包括口令、密鑰、身份(介入信息傳輸、存取、處理的人員的身份)、信息數據等項的鑒別。通常情況下,為達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對信息數據的安全保護。
3 結束語
綜上所述,信息數據的安全與加密技術,是保障當前形勢下我們安全傳遞與交流信息的基本技術,對信息安全至關重要。希望通過本文的研究,能夠拋磚引玉,引起國內外專家的重視,投入更多的精力以及更多的財力、物力來研究信息數據安全與加密技術,以便更好的保障每一個網絡使用者的信息安全。
參考文獻:
[1]曾莉紅,基于網絡的信息包裝與信息數據加密[j].包裝工程,2007(08).
[2]華碩升級光盤加密技術[j].消費電子商訊,2009(11).
[關鍵詞]會計電算化 問題 對策
本論文是通過對我國會計電算化的一些弊端,近而提出了會計電算化在觀念、理論研究、人才、軟件以及內部控制制度等方面存在的問題,并對這些問題進行分析,從而提出如何提高會計電算化在應用中的相應對策。
一、我國會計電算化存在的主要問題
1.對會計電算化認識的不到位
長期以來,我國傳統會計以手工記賬、算賬為主,從古至今已習慣于這種工作方式。而在會計電算化中,計算機呈主要因素,會計人員呈次要因素。同時,外部環境形成了“工作的達標、檢查都是以機型的好壞作為評價標準”的風氣。因此,各單位不斷地更新提高計算機系統檔次,卻缺乏對財會人員的業務培訓。
2.會計電算化專業人才的嚴重缺乏
會計電算化的專業內容,是會計專業和計算機專業的一個交叉學科,偏重于會計,實踐操作又離不開計算機和網絡,因此這就要求會計電算化專業人員一方面加強會計理論的學習,另外一個方面還要從會計軟件和相應專業軟件入手,加強計算機的操作水平練習。所以在實踐當中我們總是會遇到要么重理論,要么片操作,導致了部分會計電算化人員專業技能“瘸腿”,不夠全面,具體表現問題如下:
(1)會計人員知識不全面。很多資歷深的傳統會計人員對會計業務很熟悉,對于計算機知識卻了解有限,而年青人恰恰相反。
(2)計算機培訓教材的老化。計算機技術發展十分迅速。軟件操作系統也有很大變化。而現在的教材大多都是幾年前的,所介紹的知識實用性不強,經過這樣培訓并通過考試的人員實際操作能力差,并不能很好的適用于實踐。
(3)在工作中,各單位缺乏對會計人員的再培訓及定期考核,不能讓其與社會的快速變化接軌。
3.會計軟件存在的缺陷
會計軟件的好壞是會計電算化工作的基礎。財務上有些數據是企業的機密,很大程度上關系著企業的命運,但當前大部分軟件的系統都沒有認真研究過數據的保密問題。可想而知,系統一旦癱瘓或受病毒干擾,恢復起來相對比較困難,要恢復原數據就更是問題。
4.企業內部控制制度尚不健全
很多企業的計算機系統管理和維護工作由受過計算機培訓的主管會計人員兼任,這些人員有直接修改數據的機會,使財務數據的安全性受到了很大威脅。
二、提高我國電算化發展對策
1.更新對會計電算化的觀念
目前很多企業還沒有充分認識到會計電算化的重要性。許多管理者片面認為會計電算化只是會計核算工具的改變,看不到對企業管理的深刻影響。所以,我們必須清醒地認識到電算化不僅改變了會計核算方式、數據處理程序和方法,而且也提高了會計信息質量,改變了會計內部控制與審計的方法和技術,是整個會計理論研究與會計實務的一次根本性變革。
2.加強對復合型電算化人才的培養
為實現會計電算化人的素質的提高是關鍵,不斷改革人才教育培養制度,多方面、高層次培養會計電算化人才。首先,在各高校,及時調整專業設置及培養方向,使畢業生成為既懂計算機知識,又懂會計企業經營管理的復合型人才,重點掌握會計電算化應用軟、硬件的開發、改進、維護等問題;其次,對在崗會計人員進行培訓和進修,使他們能較系統的了解與掌握會計電算化的基本原理和操作方法。最后,對于系統維護人員,系統的維護對于會計電算化工作的進程有較大影響,因此在人員使用上,應盡量聘用專業的計算機網絡系統管理人員,利用他們的實踐經驗就會獲得較好的效果。
3.加大軟件開發力度
隨著計算機通訊技術的發展和計算機網絡的形成,以及信息高速公路的建成,會計信息在國民經濟中的重要性將進一步發揮出來。要加大軟件的開發力度,只有開發出較完善的通用財務軟件,才能滿足市場的需要。另外,現行會計軟件雖然已從核算型向管理型過度,但總體上講,模塊內容、功能不強,不能適應財務管理的需要。因此要逐步提高會計軟件功能,增強具有管理的模塊,結合網絡開發更加高效、安全實用的會計軟件。
4.加強會計信息系統的安全性和保密性
財務數據是企業的絕對秘密,關系著企業的生存與發展。會計信息系統的安全控制是通過計算機程序防止數據泄密、更改或破壞,主要包括:實體安全控制、硬件安全控制、內部控制、軟件安全控制、網絡安全控制、病毒的防范與控制和加強審計監督等。
三、提高自身系統功能的網絡技術
改善和提高會計軟件網絡功能,真正充分發揮會計電算化的技術優點,結合網絡為財務管理提供更多服務,我們可以提高會計軟件功能,增加具有網絡管理的模塊,設計比較分析、因素分析、差額分析、圖表分析、網絡互助等財務分析模塊,資金需求供給預測模塊等等。
隨著我國會計電算化進一步發展與完善,最終會與國際接軌。而互聯網將延伸至財務及企業管理軟件的管理范疇,網絡技術又幫助企業實現財務與業務協同,彼此共享,實現遠程得報表、報賬、查賬、審計等工作處理,實現動態進行會計核算的在線財務管理,使移動管理最終成為現實。
參考文獻:
[1]高臘生,田細菊.財務管理模式的局限性及其創新[J].財會通訊, 2005, (5): 82-83
[2]吳介軍,龔福和.正確處理財務管理中的幾個關系[J].財會月刊(綜合), 2005, (8): 13-14
[3]杜強.我國會計電算化存在的問題與對策[J].中國商界(下半月), 2010,(03)
關鍵詞:網絡信息;系統漏洞;危害; 防范
引言
信息系統平臺的出現給我們提供了很大的方便的,但同時也帶來了許多的網絡安全威脅問題,這些問題一直在困擾著我們。其中最主要的問題是系統漏洞。本文以如何保證系統平臺信息的安全特方面進行分析,側重分析漏洞的特點及危害,并且提出了信息系統平臺安全的具體策略。
1.信息系統平臺漏洞的常見形式
1.1操作系統的安全漏洞
操作系統的安全漏洞涵蓋很多,首先是快速用戶轉換漏洞,視窗系統XP快速用戶轉換功能存在漏洞,這就會導致信息的泄漏。其次是UPnP服務漏洞,UPnp眼下算是比較先進的技術,已包含在視窗系統XP中,黑客利用這類漏洞能取得其他PC的完全控制權,或發動DOS攻擊。如果他知道某一PC的IP地址,就能通過互連網控制該PC。還有建立網絡連接時,WinXP遠程桌面會把用戶名以明文形式發送到連接他的客戶端。發送的用戶名能是遠端主機的用戶名,也可能是客戶端常用的用戶名,網絡上的嗅探程式可能會捕捉到這些賬戶信息。
1.2數據庫的安全漏洞
作為一種大型的系統軟件,數據庫系統中也存在著各種各樣的安全漏洞,其中危害性較大的有緩沖區溢出、堆溢出和 SQL 注入等。SQL注入攻擊是發生于應用程序之數據庫層的安全漏洞。細致說來,它是一種網頁程式碼的寫作漏洞,此漏洞可允許一般使用者在網頁上可供使用者輸入內容的欄位,如討論區、搜索框等當中,輸入SQL指令碼,并允許其執行,這意味著,一般使用者即可篡改資料庫中的資料。未受過良好安全訓練的網頁應用程式開發人員,可能留下該漏洞,并受到黑客利用。SQL Injection在近年有日趨嚴重的趨勢,因為有許多加殼(Packing)和變形技術,可讓系統誤以為接收的是正當訊息,而允許其執行。2007年,SQL Injection被開放Web軟件安全計劃(Open Web Application Security Project)選定為10大Web安全漏洞的第2位,然而SQL Injection的攻擊仍舊方興未艾;2008年,許多SQL Injection攻擊搭配Google搜索引擎尋找落點,并利用自動攻擊工具進行大規模攻擊,造成全球超過60萬個網站受害。
1.3TCP/IP協議的安全漏洞
絕大多數運行Internet的硬件設備并不會因為TCP/IP協議中的這個漏洞而易受攻擊,但會導致“IP欺騙”,入侵者可以利用該漏洞進入一個站點并接管它的IP地址。一旦如此,入侵者便可以這個地址的名義散發信息。然后,入侵者便能夠將目標轉向其它站點,致使網站設備“崩潰、停機或出現不可預知的行為”。這種攻擊手段類似于“拒絕服務(denial of service)”攻擊:入侵者并不真正進入一個站點,而是通過電子郵件或網絡流量轟炸來阻塞對該站點的訪問。更糟糕的是,入侵者能夠隱藏他的真實位置。CERT同時還提供了對這種入侵的防范辦法:重新配置網站的路由器或防火墻并在路由路上安裝過濾設備,以防止“IP欺騙”攻擊。
2.信息系統平臺漏洞的危害
針對漏洞的攻擊越來越多,利用漏洞的病毒、木馬技術進行網絡盜竊和詐騙的網絡犯罪活動呈快速上升趨勢。當信息系統平臺用戶操作不當時,會產生漏洞,從而遭到木馬的攻擊。漏洞會迫使平臺用戶的信息泄漏,就會導致用戶權限更改,造成不可預計的損失。由系統層擴展到應用層,由服務端擴展到客戶端,由少數操作系統擴展到所有操作系統。由此造成的危害也越來越大,尤其是用戶不易察覺的隱性攻擊所造成的損失是無法衡量的。
3.信息系統平臺漏洞的防范
3.1加強信息系統平臺用戶的防范能力
信息系統平臺用戶應該在符合國家有關信息與信息系統安全的法律和法規和滿足用戶及應用環境對信息系統提出的安全性要求的基礎上,加強防范能力。平臺用戶應該增加自己的防范意識,在操作信息系統時不要隨意進一些網站或者接受陌生人的郵件等,最重要的就是要保護好自己的IP,讓黑客沒有可乘之機。信息系統平臺用戶應該保證數據庫的完整性、保密性。另外,為了防止攻擊者借助某種手段直接進入系統訪問數據而造成數據泄漏,還可對數據庫進行加密,針對這些威脅采取的安全措施有存取管理技術、加密技術和防火墻技術等。
3.2健全網絡運輸環境的監管機制
計算機信息傳輸技術在辦公自動化中的應用,計算機技術的蓬勃發展,給辦公環境帶來了一場深刻的革命,信息系統平臺在傳輸信息的過程中應該本著“計算機信息系統,不得與公網、國際互聯網直接或間接的連接”,如要相連,“必須采取物理隔離的保密防范措施”。無數信息泄漏的例子告誡我們,想要信息不被泄漏,那么健全網絡運輸環境的監管機制勢在必行。
(三)提高軟件開發應用的科技水平
想要維護信息系統平臺安全,那么提高軟件開發應用的科技水平也是重要方面。軟件(Software)簡單的說就是那些在計算機中能看的著,但摸不著的東西,概念性的說軟件也稱為“軟設備”,廣義地說軟件是指系統中的程序以及開發、使用程序所需要的所有文檔的集合。軟件分為系統軟件和應用軟件。軟件并不只是包括可以在計算機上運行的程序,與這些程序相關的文件一般也被認為是軟件的一部分。軟件被應用于世界的各個領域,對人們的生活和工作都產生了深遠的影響。要提高我國的軟件開發行業的發展水平,首當其沖要解決軟件開發隊伍的問題,其次是要學習借鑒國外完善的測試軟件機制,包括豐富的軟件測試經驗,強大的開發工以及優秀的測試管理水平。
4.結束語
如今,我們生活在信息時代,信息系統平臺的出現給我們提供了很大的方便的,但同時也帶來了許多的網絡安全威脅問題。漏洞是系統平臺中最重要的因素,它是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。
信息系統的不夠完善給不法分子帶來了可趁之機,本文對過以信息系統平臺的安全為視角淺析“漏洞”的危害及防范,,發現并具體的分析了各類漏洞的特點,從而可以有效的防范信息平臺的泄漏,對以后系統維護具有參考意義。
參考文獻:
[論文提要] 近年來計算機網絡獲得了飛速的發展,網絡安全問題也隨之成為人們關注的焦點。本文分析了影響網絡安全的主要因素,重點闡述了幾種常用的網絡信息安全技術。
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。
隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有聯結形式多樣性、互連性等特征,加上安全機制的缺乏和防護意識不強,致使網絡易受黑客、惡意軟件和其他不軌行為的攻擊,所以網絡信息的安全和保密是一個至關重要的問題。
一、威脅網絡安全的主要因素
影響計算機網絡安全的因素有很多,威脅網絡安全則主要來自人為的無意失誤、人為的惡意功擊和網絡軟件系統的漏洞以及“后門”三個方面的因素,歸納起來如下:
1.應用系統和軟件安全漏洞。WEB服務器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包并不十分了解,多數人不是新編程序,而是對程序加以適當的修改,這樣一來,很多CGI程序就難免具有相同安全漏洞。且每個操作系統或網絡軟件的出現都不可能是完美無缺,因此始終處于一個危險的境地,一旦連接入網,就有可能成為功擊對象。
2.安全策略。安全配置不當造成安全漏洞,例如:防火墻軟件的配置不正確,那么它根本不起作用。許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用。網絡入侵的目的主要是取得使用系統的存儲權限、寫權限以及訪問其他存儲內容的權限,或者是作為進一步進入其他系統的跳板,或者惡意破壞這個系統,使其毀壞而喪失服務能力。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。
3.后門和木馬程序。在計算機系統中,后門是指軟、硬件制作者為了進行非授權訪問而在程序中故意設置的訪問口令,但也由于后門的存大,對處于網絡中的計算機系統構成潛在的嚴重威脅。木馬是一類特殊的后門程序,是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點;如果一臺電腦被安裝了木馬服務器程序,那么黑客就可以使用木馬控制器程序進入這臺電腦,通過命令服務器程序達到控制電腦目的。
4.病毒。目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。它具有病毒的一些共性,如:傳播性、隱蔽性、破壞性和潛伏性等等,同時具有自己的一些特征,如:不利用文件寄生(有的只存在于內存中),對網絡造成拒絕服務以及和黑客技術相結合等。
5.黑客。黑客通常是程序設計人員,他們掌握著有關操作系統和編程語言的高級知識,并利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
二、常用的網絡安全技術
1.殺毒軟件技術。殺毒軟件是我們計算機中最為常見的軟件,也是用得最為普通的安全技術方案,因為這種技術實現起來最為簡單,但我們都知道殺毒軟件的主要功能就是殺毒,功能比較有限,不能完全滿足網絡安全的需要。這種方式對于個人用戶或小企業基本能滿足需要,但如果個人或企業有電子商務方面的需求,就不能完全滿足了,值得欣慰的是隨著殺毒軟件技術的不斷發展,現在的主流殺毒軟件同時對預防木馬及其它的一些黑客程序的入侵有不錯的效果。還有的殺毒軟件開發商同時提供了軟件防火墻,具有了一定防火墻功能,在一定程度上能起到硬件防火墻的功效,如:360、金山防火墻和Norton防火墻等。 轉貼于
2.防火墻技術。防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。防火墻如果從實現方式上來分,又分為硬件防火墻和軟件防火墻兩類,我們通常意義上講的硬防火墻為硬件防火墻,它是通過硬件和軟件的結合來達到隔離內外部網絡的目的,價格較貴,但效果較好,一般小型企業和個人很難實現;軟件防火墻它是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他一系列措施,例如:對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力,要保證企業內部網的安全,還需通過對內部網絡的有效控制和來實現。
3.數據加密技術。與防火墻配合使用的安全技術還有文件加密與數字簽名技術,它是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部竊取,偵聽或破壞所采用的主要技術手段之一。按作用不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。
數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止欺騙,這對信息處理系統的安全起到極其重要的作用。
4.入侵檢測技術。網絡入侵檢測技術也叫網絡實時監控技術,它通過硬件或軟件對網絡上的數據流進行實時檢查,并與系統中的入侵特征數據庫等比較,一旦發現有被攻擊的跡象,立刻根據用戶所定義的動作做出反應,如切斷網絡連接,或通知防火墻系統對訪問控制策略進行調整,將入侵的數據包過濾掉等。因此入侵檢測是對防火墻有益的補充。可在不影響網絡性能的情況下對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,大大提高了網絡的安全性。
5.網絡安全掃描技術。網絡安全掃描技術是檢測遠程或本地系統安全脆弱性的一種安全技術,通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。利用安全掃描技術,可以對局域網絡、Web站點、主機操作系統、系統服務以及防火墻系統的安全漏洞進行服務,檢測在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序、防火墻系統是否存在安全漏洞和配置錯誤。
網絡安全與網絡的發展戚戚相關,關系著IN-TERNET的進一步發展和普及。網絡安全不能僅依靠殺毒軟件、防火墻和漏洞檢測等硬件設備的防護,還應注重樹立人的計算機安全意識,才可能更好地進行防護,才能真正享受到網絡帶來的巨大便利。
[參考文獻]
[1]顧巧論.計算機網絡安全[M].北京:清華大學出版社,2008.
[2]李軍義.計算機網絡技術與應用[M].北京:北方大學出版社,2006.
【論文摘要】 會計電算化是運用計算機進行會計數據處理,以計算機及數據傳輸和通訊設備作為數據處理系統的核心,完成從原始數據的搜集、記錄、分類、登記、計算、匯總、報告等一系列會計工作。會計從手工處理到電算化處理,不僅是會計數據處理方法的變化,更是影響了企業傳統的內部控制制度,使企業在內部控制上發生了根本性的變化。
一、會計信息系統內部控制
為了保護國家和企業的資金安全,確保會計信息及其他相關數據的可靠,確保國家和企業的各項方針政策的貫徹與執行,提高經濟效益所采取的一切制度、方法措施和管理程序,都屬于會計內部控制的范圍。任何一家企業、事業單位或其他經濟組織,不論其規模大小、業務性質,也不論其采取何種會計工作組織程序和信息處理方式,在其會計業務處理系統中,都會不同程度、不同方面地存在著一定的系統內部控制問題。
二、電算化會計信息系統對內部控制的影響
1、內部控制形式的變化。手工記賬中的一些內部控制措施在電算化后不需要存在。如編制科目匯總表、憑證匯總表,試算平衡的檢查、總賬和明細賬的核對。在電算化環境下,人是執行控制的主體,但更多的內部控制方法是通過會計軟件來實現。因此,信息系統的內部控制也由人工控制轉為人工和程序去共同控制。電算化系統許多應用程序中包含了內部控制功能,這些程序化的內部控制的有效性取決于應用程序,如程序發生錯誤或不起作用,由于人們的依賴性以及程序運動的重復性,使得控制失效不被及時發現,從而使系統發生錯誤或違規行為的可能性大。
2、存儲介質的改變。在手工會計環境下,企業的經濟業務發生均記錄于紙張之上,并按會計數據處理的不同過程分為原始憑證、記賬憑證、會計賬簿和會計報表。這些紙質原件的數據若被修改,很容易找出修改的線索和痕跡,這是傳統紙質原件的一個優點。但在電算化系統下,原來紙質的會計數據會被直接記錄到磁盤或光盤上,非常容易被刪除或篡改,由于在技術上對電子數據非法修改可做到不留跡象,這就難以辨別哪一筆是業務記錄的原始數據。另外,電磁介質容易受損壞,所以會計信息還存在丟失或毀壞的危險。
3、內部控制的內容變化。計算機技術的引入,給會計工作增加了新的工作內容,同時也增加了新的控制措施,如計算機硬件及軟件分析、編程、維護人員與計算機操作人員內部控制,以及計算機機內及磁盤內會計信息安全保護、計算機病毒防治、計算機操作管理、系統管理員和系統維護人員的崗位責任制度等。
4、財務網絡化帶來的新問題。隨著計算機技術和網絡通訊技術的發展,會計信息系統網絡化漸漸普及。網絡的廣泛應用在很大程度上彌補了單機電算化系統的不足,使電算化會計系統的內部控制更加完善,同時也帶來了新問題。目前財務軟件的網絡功能主要包括遠程報賬、遠程報表、遠程審計、網上支付、網上催賬、網上報稅、網上采購、網上銷售、網上銀行等,實現這些功能就必須有相應的控制,從而加大了會計系統安全控制的難度。
三、完善電算化會計信息系統環境下的內部控制
堅持明確分工、相互獨立、互相牽制、相互制約的安全管理原則,建立并不斷完善人工與機器相結合的控制機制,使會計電算化運行的每一個過程都處于嚴密控制之中是我們完善會計電算化內部控制的基本思路。
1、系統維護控制。系統維護包括軟件修改、代碼結構修改和計算機硬件與通訊設備的維修等,涉及到系統功能的調整、擴充和完善。對財務系統進行維護必須經過周密計劃和嚴格記錄,維護過程的每一環節都應設置必要的控制,維護的原因和性質必須有書面形式的報告,經批準后才能實施修改。軟件修改尤為重要,系統操作員不能參與軟件的修改,所有與系統維護有關的記錄都應打印后存檔。操作環境包括系統操作過程以及系統的維護。操作過程控制主要通過制訂一套完整而嚴格的操作規定來實現。操作規程應明確職責,操作程序和注意事項,并形成一套電算化系統文件。如規定交接班手續和登記運行日志,規定數據備份及機器的使用規范,規定軟盤專用以防病毒感染。
2、信息安全控制。電算化會計信息系統的安全控制,是指采用各種方法保護數據和計算機程序,以防止數據泄密、被更改或破壞,主要包括實體安全控制、數據安全控制、網絡安全控制等。
(1)實體安全控制。實行電算化以后,設立計算機房的主要目的是給計算機設備創造一個良好的運行環境,保護機器設備;防止各種非法人員進入機房,保護機內程序和數據的安全。具體措施包括:對進入機房內的人員進行嚴格審查;保證機房設備安全的措施,如機房防火規定等;保證計算機正常運行措施,如機房防潮、防磁及恒溫等方面的規定等;會計數據和會計軟件安全保密的措施,如數據備份規定及不準在計算機上玩電腦游戲等規定;修改會計核算軟件的審批和監督制度。
(2)數據安全控制。計算機會計系統有關的資料應及時存檔,企業應建立起完善的檔案制度,加強檔案管理。一個合理完善的檔案管理制度一般有合格的檔案管理人員、完善的資料借用和歸還手續、完善的標簽和索引方法、安全可靠的檔案保管設備等。除此之外,還應定期對所有檔案進行備份并保管好這些備份。為防止檔案被破壞,企業應制訂出檔案被破壞的事件發生時的應急措施和恢復手段,企業使用的會計軟件也應具有強制備份的功能和一旦系統崩潰及時恢復到最近狀態的功能。
(3)網絡安全控制。公司應對網絡安全進行控制,設置網絡安全性指標,包括數據保密、訪問控制、身份識別等。一是用戶權限設置,應從業務范圍出發,將整個網絡系統分級管理,設置系統管理員、數據錄入員、數據管理員和專職會計員等崗位,層層負責,對各種數據的讀、寫、修改權限進行嚴格限制,把各項業務的授權、執行、記錄以及資產保管把等職能授予不同崗位的用戶,并賦予不同的操作權限,拒絕其他用戶的訪問。二是密碼設置,用戶應按照自己的用戶身份和密碼進入系統,對密碼進行分組管理,對存儲在網絡上的重要數據進行有效加密,在網絡中傳播數據前對相關數據進行加密,接收到數據后再進行相應的解密處理,并定期更新加密密碼。另因網絡病毒日益猖獗,防范病毒也是安全控制的重點。對不需要本地硬盤和軟盤的工作站,盡量采用無盤工作。
3、電算化會計信息系統的人員職能控制。人員控制是電算化系統管理的根本,會計電算化人才的缺乏是制約我國會計信息化工作發展的關鍵環節。為此,首先要通過各種培訓提高會計人員的計算機業務水平和職業道德水準、增強遵守各項法規的自覺性,實行考核合格才準上崗的制度。其次要通過各類院校培養既懂會計又掌握一定計算機知識及技能的專業人才充實到會計隊伍中。再次,會計人員不僅要具備財會知識和計算機知識,同時還要掌握一定的管理知識。最后,業務主管應當熟悉整個會計電算化處理業務,以便對系統會計工作流程進行監控和指導。
4、信息系統的內部審計。內部審計是單位或企業內部控制系統的重要組成部分,也是強化內部會計監督的制度安排。電算化會計信息系統的運作往往是“人機”對話的特殊形態,對網絡環境下的會計信息審核必須運用更復雜的查核技術,只有精通計算機網絡知識、熟悉審計財務程序的人員才能勝任此項工作,這給內部審計加大了難度。內部審計制度是保障內部控制的重要手段之一,通過內部審計可以了解現有的一些內部控制措施是否能滿足為內部會計系統提供準確、可靠的信息,以及這些控制措施能否有效地運作以達到預期的目的。在電算化系統運行過程中,審計人員對會計業務處理等工作進行評價和檢驗,有利于檢測財務軟件的可靠性,發現存在的問題、提出解決問題的建議,有利于提高會計核算質量和管理水平。
在電算化條件下,關鍵的會計信息處理和業務核算工作已由會計電算化軟件集中代替,會計工作的執行主體演變為人與電算化軟件兩個因素,且電算化軟件是主要的執行因素。這種變化使得會計電算化系統中的內部控制實施主體也演變為人與軟件兩個因素,且電算化軟件導致的系統問題風險將成為會計系統中內部控制的主要風險。完善有效的計算機系統及管理制度是電算化會計信息系統安全之本,提高會計電算化人員素質,規范和完善電算化會計信息系統操作和管理章程,重視內部審計,增強數據安全意識,是當前強化電算化會計信息系統內部控制的關鍵問題。
【參考文獻】
證券電子商務的概念
證券電子商務是證券行業以互聯網絡為媒介為客戶提供的一種全新商業服務,它是一種信息無償、交易有償的網絡服務。其基本內容包括:1.證券電子商務能為企業及投資者提供投資理財的全方位服務;2.證券電子商務所需條件是互聯網絡的普及、貨幣電子化和解決網絡安全問題(微觀、宏觀)等。證券電子商務比其它行業電子商務少了電子商務三大要素之一的物流,因此證券電子商務能夠更快更好地實現;3.證券電子商務能夠為投資者提供國際經濟分析、政府政策分析、企業經營管理分析、證券板論文塊分析、證券靜態動態分析等方面的服務;4.證券電子商務能夠以每日國內外經濟信息、證券行情、證券買賣、投資咨詢、服務對象的輔助決策分析及提供特別專題報告等方式來為投資者服務;同時也提供外匯、期貨等方面的輔助服務方式。
特點與典型模式
證券電子商務就是運用最先進的信息與網絡技術對證券公司原有業務體系中的各類資源及業務流程進行重組,使用戶與內部工作人員通過互聯網或電話語音就可開展業務與提供服務。其特點主要表現為:
1、虛擬性:所有的交易與服務均通過WEB或電話呼叫中心自動進行,不許借助店面或工作人員的幫助;由于是虛擬的,服務可以跨越時間與空間的限制。
2、個性化:所有服務可精確的按照每個用戶的需要進行。服務方式可以是主動服務,也可是被動服務。
3、成本低:由于服務的虛擬性,對原有事務性工作的場地及人工不再有要求,加上技術進步對信息處理效率的極大改進,因而有效降低了證券公司的基礎運營成本。
4、優質服務更為重要:由于硬件不再重要,網絡的競爭只能依靠軟性的服務。并且網絡跨越時空的能力會將這種優勢服務的能力無限制放大。強者恒強的馬太效應在網絡經濟模式下更是一條不變的規律。
5、創新是競爭的要素:由于網絡縮小了時空的概念,因此任何一種新的業務思想或技術很快能被對手效仿,為始終保持領先,企業只有依靠不斷的創新才能保證競爭的優勢,否則會很快被競爭對手超越。
6、技術是核心資源:在證券電子商務中,技術構成了服務與業務的基礎平臺。因此技術不僅僅是一種手段,還是核心的資源。技術的創新便可意味著服務與業務的創新。
證券電子商務的典型模式主要有以下幾種:
1,E——Trade模式:完全以WEB方式提供純虛擬的投資與服務,其特點就是用盡可能低的折扣吸引對價格在意而對服務要求不高的自助投資者。價格是這些公司的主要競爭模式。這方面的典型代表有E——Trade,Ameritrade等。
2,Schwab模式:同時以店面,電話,WEB向投資者提供服務,客戶可自己選擇需要的服務模式。注重通過技術手段創新服務模式,提高服務質量。希望通過技術手段有效降低成本,進而降低服務價格,不會以犧牲服務為代價。通過有效利用技術來降低成本,改進服務,提供創新的業務模式是這些公司的主要經營特色。這方面的典型代表有Schwab,TDWaterhouse等。
3,MerrillLynch模式:美林證券是美國乃至全球的著名品牌。由于有龐大的客戶托管資產作為后盾,美林對于90年代興起的網上經紀浪潮反應遲鈍,遲至99年六月一日才其在線交易系統。
問題和應對策略
1、證券投資主體不合理。我國目前證券投資不是以投資基金和投資經紀為主,而是民眾廣泛介入,從資源優化配置角度出發,這是不可取的。隨著我國證券市場的規范,證券投資的主要操作者應該是基金管理者、證券經紀人、投資銀行管理者等,證券營業部的計算機系統和網絡也將有較大的改變。隨著證券投資主體的進一步多元化,證券電子商務前景將更加明朗。
2、證券電子商務成本問題。從投資者角度來看,證券電子商務有兩方面成本:計算機成本和通訊成本。對于目前我國國民的消費狀況,要付出5000元以上的計算機購置費和電話初裝費、月租費、通話費,以及網絡運行費等等將是一筆不小的支出。從證券商角度來看,證券電子商務有三方面成本:網絡設備成本、通訊成本和人力成本。但是對于證券商來說,發展電子商務并不增加太多的投入,與現在的交易方式來比有增有減。因為互聯網在線交易多了,證券營業部的數量、經營面積、計算機LAN工作站數量、證券營業部工作人員數量都將減少,服務器容量和性能將要增加和提高,通訊帶寬、穩定性等方面要有大的提高,普通工作人員減少,高層次的投資咨詢顧問人員將增加。
3、證券電子商務的網絡問題。證券電子商務有三方面的網絡問題:互聯網的安全、網絡穩定可靠性、網絡速度。互聯網的安全不僅是證券電子商務所關心的,它更是整個國家的安全問題,特別是象金融證券業這類國家支柱產業的互聯網絡,更要嚴格使用國產關鍵技術,以確保安全性。所幸的是,最近中科院的計算機網絡安全關鍵技術與產品開發獲重要進展,該項目包括:實用非否認協議、智能卡軟件安全規范、智能卡安全集成平臺、Internet安全集成系統、Internet網絡安全監視器、防火墻系列產品、計算機網絡安全產品評測、″黑客″入侵防范軟件、安全引擎工具包、網絡安全教育等。網絡穩定可靠性和網絡速度問題有賴于我國電信網絡和有線電視網絡技術的提高,我國證券交易多次發生過交易筆數太大導致證券交易所和證券商計算機及通信系統阻塞事件。
1、加強超前技術防范
網絡信息竊取和犯罪者中多數是精通計算機技術的專業人士,他們能夠洞悉計算機網絡的漏洞,從而利用高技術手段突破網絡系統的防護壁壘。實現其盜竊和犯罪目的。因此技術防范應是計算機信息系統最根本的安全防范措施.在操作系統軟件方面。也許在未來若干年內,國內不大可能出現能夠編制一流操作系統平臺的超一流軟件人才群體和企業組織。但也必須通過別的軟件安全產品來解決安全問題。政府應當增加軟件技術防范的必要投入,確保政府信息網絡萬無一失。在短時間內難以徹底解決好軟件技術防范的情況下,將網絡信息實行物理隔離是完全可行的。比如從發展的趨勢看,每個縣可建立一個政府門戶網站,縣以下的一級政府和政府部門則不宜再建網站,可將其信息主頁放在縣一級政府網站上。這樣縣一級政府網站就構成一個安全系統,有專業人員進行安全管理和維護。外部信息進到這個安全系統,必須經過安全檢查,再連接到本系統的各個局域網。
本系統內的各個局域網不能單獨和外界的網絡連接,這樣本級政府的網絡安全就有了保障。
2、加快網絡法制建設和增強執法力度
電子政務工作內容和工作流程及國家核心任務,其安全關系到國家、國家的安全和公眾利益,所以電子政務安全實施保障,必須以國家法規形式將其固化,形成全國共同遵守的規約,成為電子政務實施和運行的行為準則,成為電子政務國際交往的重要依據,為司法和執法者提供法律依據,對違法犯罪者形成重大威懾.對于破壞國家秘密的犯罪。國家法律已制定有專門條文。《刑法》在“危害國家安全罪”、“防礙社會管理秩序罪”、“瀆職罪”和“軍人違反職責罪”中規定了九種危害國家秘密犯罪的罪名,其中最重的是“間諜罪”和“為境外的機構、組織、人員竊取、刺探、收買、非法提供國家秘密或者情報罪”,最高刑期為死刑。這說明國家從立法上對國家秘密的保護是有力的。關鍵是要嚴格執法。不要因為這樣的犯罪活動是產生在計算機網絡中和使用了新的犯罪工具而使執法受阻。
從全球角度看,現在的問題是網絡犯罪是高技術犯罪,普遍存在懲罰不力的情況。如在美國,有的網絡犯罪分子不僅不受到應有懲罰,相反還得到國家情報機構的重用。我們對此絕不能“如法炮制”。美國電子政務擁有自己完整的一套高技術平臺。它可以利用“壞人”來打擊它的“國家敵人”,而我們卻不能。
3、依法正確劃分保密信息和確定密級
依法正確劃分保密信息和確定密級是作好保密工作的前提。政府的保密信息主要有工作秘密和國家秘密。工作秘密是機關、單位內部不能向外公開的事項。
國家秘密是關系到國家的安全和利益,在一定時間內只限于一定范圍的人員知悉的事項。級別層次越低的政府部門。工作秘密的比重越大,級別層次越高的政府部門。國家秘密的比重越大。各級政府部門應按照《保密法》和《保密法實施細則》等法律、法規和有關電子政務規章的規定,確定保密與非保密信息和劃分保密信息的密級。然后按照保密制度的規定,不該上網的信息絕不上網,在信息輸入關上解決保密問題。這是一項政治性、專業性和法治性很強的工作。必須由有關部門的高水平官員和文員來具體操作。
4、設“專官”負責網絡系統的安全工作
在我國政府部門中,在技術上實際控制網絡的人都是低級職員。許多政府官員都是網絡技術盲和網絡法制盲,甚至有的領導至今還沒有掌握計算機的基本操作也不過問網絡問題。因此無權的人掌握網上大權。有權的人無力行使政府的網上權力,這是目前電子政務建設的一大安全隱患。所以建議,政府可否從編制上考慮設置一個官職,類似于現代企業組織中的“首席知識官”、“首席技術官”或“技術執行官”之類的工作職能。這個“官”應該對政府的網上信息有巨大的影響和處置力,真正是由“官”來行使“網上政府”大權。或者是縣級以上政府部門都成立信息安全小組。組長應由該級政府的正職領導擔任。
5、發達國家經驗借鑒
(1)美國的電子政務
美國于1994年制定了《政府資訊科技服務的遠景》計劃,從而推動了電子化政府的建設。
在具體實施過程中。美國在推動跨部門的資源共享、實現無紙化辦公的同時。把電子化政府的應用領域主要集中在六個方面:
1)建立全國性、整合性的電子福利支付系統;2)發展全國整合性的網絡接入和信息內容服務;3)發展全國性的執法以及公共安全咨詢網絡,保證執法體系的快速反應;4)共跨各級政府的納稅申報及交稅處理系統;5)建立國際貿易資料系統;6)推動整個政府部門電子郵件系統。
(2)加拿大的電子政務
加拿大發展信息高速公路的目的是要建立高品質、低成本的信息網絡。使每一個加拿大公民皆能公平享有就業、教育、投資、娛樂、醫療保健及社會福利信息的機會,并使加拿大成為全球信息高速公路的主要使用者及服務提供者。以促進加拿大經濟、社會及文化建設方面的發展。
政府已經推動的應用項目包括:1)電子化的公共招投標系統;2) 推動單一的商業注冊登記號碼;3) 運用電子資料交換與擴大推動電子商務進行政府采購、支付和稅費的征收;4) 實行以電子布告欄及國際互聯網絡傳送政府的電子文件。
(3)英國的電子政務
1995年,英國議會科學技術辦公室提出了《電子化政府》的研究報告。1996年英國政府出版了“直接政府”綠皮書,從而把英國的電子化政府推向新的階段。
在推動電子政務的發展中,英國遵循七條基本原則:1、多選擇性、政府通過電子傳輸為公眾提供服務,為民眾提供接受服務的多種選擇渠道。2、注重信任、一方面政府在收集與公眾自身或商業有關的信息時,必須遵守資料保護的法律及相關程序。以確保信息收集的正當性、信息內容的正確性與準確性;另一方面,要盡量維護信息安全,并保護公眾的相關權利。3、在建立政府部門之間互聯互通的同時,要建立電子化單一窗口提供24小時的快速服務,并為民眾提供獲取信息的便利;4、注重效率,就是政府要通過信息技術增加行政效率對公眾迅速做出回應
4) 實現資源共享,通過電子信息手段。提供政府部門與機構間的資源共享。減少政府支出簡化行政系統。
5) 公共信息,除了部分受到法律限制不能公開的資料如國家安全、商業機密或個人隱私等外,其他政府信息,都要公開。以便讓社會查詢
7) 保障信息安全,政府要采取相關的安全機制,保證政務信息的安全。
(4)法國的電子政務
從1998年起,法國政府開始重視信息化的發展,并制定了一系列相應的,劃。主要采取了以下一些措施。
1、行政管理部門提供的各種窗口服務。必須進入網絡,將政府信息對外開放;2、為了使農村及偏僻地區使用互聯網,國家和地方政府增設一些公共網點,幫助信息產品進入家庭;3、增加網上教育的內容,鼓勵學校等機構更多地應用網絡; 4、推動網絡政府的國際合作,提高政府在國際社會中的競爭力等。
(5)日本的電子政務
日本政府于2001年初制訂了“電子日本戰略”準備在五年內把日本建成世界最先進的IT即信息技術國家。為此日本成立了由首相和所有內閣大臣及部分民間人士參加的IT戰略委員會負責“電子日本”計劃的實施。
總結上面四個例子,我們不難看出,我國電子政務的漏洞百出。如果我們能夠成功運用并且實施,一定會促進政府的職能轉變,也可以促進我國電子政務建設水平的提高。更能使我國在電子政務方面有個新的飛躍及突破。
(6)經驗、評價及借鑒
在管理方面,中國需要成立國家級部門協調小組,知道全盤的政府信息化戰略,包括統一的政府信息標準,加強信息基礎建設的鼓勵政策、人員培訓標準、政府信息集成的標準等。電子政務的全民化;在加強對政府部門的信息化技能培訓時;需要知道面向全社會的公眾網絡技能培訓計劃;保障公民的數字平等權利。另外要加強政府網站的服務信息,政務行政透明化得以體現。要改變以技術為中心的思想,確立以服務、公民為中心的觀念。起作用是一是公民能夠方便地和政府進行互動并獲得服務;二是提高政府效能;三是提高政府響應公民的能力。
“電子政府”作為政府改革的重要方向。高度重視實現高效電子政府,并把通過加大使用互聯網和計算機資源來提供政府服務作為政府改革五大目標之一。高度重視電子政府安全體系建設。首先是通過頒布各項法律法規和各種文件,如聯邦信息管理安全法、電子簽名法、國家信息基礎設施保護法、計算機安全法、電子通信隱私法、計算機欺騙和濫用法等多部法律,從法律上保護信息安全和隱私。
美國聯邦政府還規定,任何聯邦政府的信息系統在沒有通過隱私保護的評估和將評估報告送交美國聯邦政府首席信息官之前均不得開始采集公眾信息和投入使用。其次是建立完備的安全體系機構。從人員安全、物理安全、信息技術解決方案、安全管理規定等層面進行安全防范。美國電子政府采取的主要措施包括用戶身份認證和審查、存取控制、存取管理、防抵賴、收據保留、完整性、隱私和加密、服務可用性、信息可用性、審計和記錄等,使用的主要技術包括虛擬專用網、公開密鑰基礎實施、入侵檢測和數字簽名等。再次是從資金上予以保證。如布什政府曾撥款1億美元專款用于開發數字簽名技術以確保電子政府網上通信的安全。
二、總結
現在我國電子政務正處在發展時期,但是由于電子政務涉及內容很廣泛,技術更新也快。加之我們的水平限制和時間緊迫,所以在發展和建設期間難免會碰到很多疑惑與困難。但我們還是要與時俱進,虛心請教,耐心學習,精心設計才可以轉變政府職能。也可以促進信息產業的發展,還可以整合政務信息資源,創造市場需求,對進一步拉動國內信息產業,尤其是軟件產業和政府經濟發展具有重要的現實意義。本文對我國電子政務的發展進行描述。也研究當前電子政務當前出現的問題并提出對策,另外還借鑒了電子政務發達國家的一些寶貴經驗。
通過這次論文寫作,另我受益匪淺,看到了中國政府經濟的弊端,也看到我國電子政務建設的誤區。
也很多心得可以提供參考如下:
①統一領導、組織保障;②統籌規劃、標準規范;
③基礎先行、保障安全;④階段推進、重點突出;
論文摘要:企業流程重組是個焦點話題,它涉及到企業人員、技術、組織結構、經營過程、文化建設等各方面的重新構建,在實現企業重構的過程中,信息技術是其有力的手段。針對我國施工行業普遍存在的問題,施工企業流程重組和信息化顯得十分迫切和必要,但在具體實踐中,還必須針對可能出現的風險做出相應的分析和有效的規避。
流程重組是一種新的管理思想,它于1990年由美國的Michael Hammer提出,隨后便迅速發展并被廣泛實施。上世紀90年代中期,此種管理思想首次引入我國學術界,后隨國內ERP應用的熱潮而進入各類企業的視野。流程重組本質在于據新技術條件信息處理的特點和事物發生的自然過程去尋找解決問題的途徑,其中,信息技術作為流程重組的出發點和終極目標的體現者,決定了流程重組的核心便是信息技術的應用。
一、企業流程重組與信息化
流程即為了完成某一目標或任務而實施的一系列跨越時空的邏輯相關的活動,業務流程即一組共同為顧客創造價值且又相互關聯的活動。業務流程重組即通常意義上的企業流程重組,其簡稱為BPR,指的是對企業現有業務流程加以根本性再思考,以將其徹底改變并設計出新的業務流程,最終使企業在業績上取得顯著提高。
企業信息化即通過對信息技術的應用,開發和使用企業信息資源,以提高企業管理水平、經營水平、開發能力的過程。就發展程度而言,它包括三個層面,一則以計算機技術實現對企業產品生產制造過程的自動控制;二則以計算機系統實現企業內部管理系統化;三則借助于互聯網開展電子商務。企業信息化目的在于提高企業經濟效益和市場競爭力,其要求企業以企業流程重組為基礎,在一定廣度和深度上利用計算機技術、網絡技術、數據庫技術等信息技術,實現對企業生產經營活動中所有信息的控制和集成化管理,使企業內部外信息達到共享和有效利用。
由定義即可得出,企業成功實施流程重組須從軟硬兩種因素入手,一則革新企業組織結構框架、管理體系、業務流程等硬性條件,二則改變企業組織文化、領導行為、溝通方式等軟性因素。但實現這兩方面的變革,很大程度上取決于企業對信息技術的恰當運用,也就是說,正確高效的流程是發揮信息技術效用的有效途徑,企業流程重組是信息技術得以應用的前提和基礎,信息技術則是企業實施業務流程重構的有力手段,企業信息化將大幅度改善業務流程績效。
二、施工企業流程重組
1. 施工企業業務流程存在的問題
據職能分類,施工企業業務部門包括工程部、物資部、經營部、財務部、施工隊等,在企業正常運轉過程中,各個部門在項目經理統一領導下各司其職。但實際的經營狀況卻是,施工企業現有業務存在較多重復無效的業務流程,各部門對工作目標缺乏了解,各職能部門間多以一對一的方式溝通,工作狀況完全分離,不能實現整個系統的全局最優,特別是物資、經營、財務部門脫離生產實際,物資部不以工程生產實際消耗來訂單發料,經營部不嚴格計算工程量和控制施工用料,財務部不據實際情況發放工程款和貨款。
此外,由于現代建設項目大多規模龐大,項目牽涉的單位、人員、文件自然較多,信息量隨之增加且形式多樣,這使信息溝通在施工企業業務流程中占據重要地位。在工程項目實施過程中,施工項目前期策劃、設計、實施、運行等各階段均產生大量信息,且信息以報表、報告、信件、圖紙、規范、聯系函、技術文件、會議紀要等不同形式存在,業主、承包商、供應商、專業分包商、設計單位、政府主管部門等項目參與方對相關信息表現出不同范圍、側重點的需求,項目施工中的常見問題多數因信息交流不暢所致。
2. 施工企業流程重組的必要性
我國施工企業遭遇的發展瓶頸使施工企業進行流程重組顯得十分必要。除了上述施工企業自身存在的問題外,從資源角度講,我國施工企業任務資源普遍不足,不容樂觀的現狀導致施工行業一直處于高度競爭狀況;從競標角度講,不乏施工企業為求中標而不惜一再降低價格,試圖低價中標,造成企業不可控成本大大上升,受理了工程結果反而虧損。
在企業產品、成本、資源等均被削弱的困境下,要提高自身競爭力,施工企業不得不對現有業務流程進行徹底性改造,尤其在生產和運作管理方面,必須以顧客為導向,通過準時、靈活、高效、低耗地位顧客提供合格產品和服務,為企業獲取好的效益和持續性競爭能力。顯然,只有打破職能分割、減少管理層次、加強團隊組織和并行工作、完善信息系統建設,才能實現企業的現代管理模式,合理利用信息技術,促成以流程為中心、以顧客為導向、以市場為基礎的良性競爭格局,也才能為施工企業及整個行業帶來實質性變化。
3. 施工企業新型業務流程
施工組織設計是施工企業流程重組的核心環節,其關聯到施工方案、施工計劃、施工預算等項目的編制,并對工程項目進展狀況帶來直接影響。該環節主要由施工企業工程部門負責,因而工程部門管理系統化成為施工企業流程重組的重點內容。完善工程管理系統,必須增加數據庫服務器,對工程投標、工程管理、工
程質量、工程進度、工程成本、工程分包、工程安全等實施信息化管理,將相關部門數據庫中的數據集中控制,在實現數據共享的基礎上,減少數據冗余度、確保數據安全性和可靠性。
同時,施工企業還應利用ERP系統將企業內部所有部門系統化,除建立工程管理系統外,人事管理系統、財務管理系統、物資采購管理系統、物資倉儲管理系統、固定資產管理系統等也都要隨之構建,以此促進施工企業業務流程自動化和集成化,既優化配置資源,又實現了信息集成的現代企業管理思想和方法。施工企業經過如此流程重組后,以前一對一的溝通方式轉變為現在的多對多交流,各部門實時掌握整個項目動態,且相互協調工作、提高流程運作效率,物資部、財務部、經營部便可有的放矢地間接參與到工程項目進展中,這不僅增強了施工企業的信息化,也真正實踐了企業以顧客為中心的理念。
三、施工企業實現信息化的風險分析
1. 主要風險
企業流程重組本身就是信息化項目,它與企業運行方式、人員組織管理、組織協調合作、新技術的應用和融合等密切相關,依據信息化內容,企業在流程重組過程中不免遇到人力資源、時間進度、軟件技術等各方面風險。
(1)管理風險
流程重組首先屬于管理范疇,信息和管理技術的發展共同推動著企業信息化的變革,并為企業經營管理理念帶來質的飛躍。企業信息化如果不能先從管理入手,具體實踐中勢必出現以舊有管理模式引導信息化實施的局面,其結果只能是實現計算機的普及,而不能使企業產生本質的變革,但若對管理進行革新,其風險性也就必然存在。
(2)組織風險
企業流程重組是個復雜的信息化建設過程,其涉及范圍廣、部門多、要求知識綜合性強。進行信息化建設,既要囊括企業各個職能部門,又要把客戶、供應商、運輸商、分銷中心等涵蓋其中,建立一個內外互動的企業信息化系統。這一綜合性項目涉及到現場施工人員、職能部門專業人員、各個部門經理等,其組織難度大、細節多,組織風險也較復雜。
(3)技術風險
信息技術是企業流程重組的推動力。根據流程重組的總體規劃,設計企業信息化的硬件和網絡實施方案,選擇相應的信息化系統軟件、系統集成商和咨詢商。這要求企業充分考慮系統軟件種類和價格、軟件安全性評估、軟件兼容性、系統使用方便性等,每個環節都對技術提出較高要求,也都存在一定的技術風險,尤其是信息的安全性、唯一性、集成性和共享性,更是所有關鍵技術中的最難點。
(4)人員風險
施工企業實施流程重組和信息化建設,必須先建立一支屬于企業自身的信息化隊伍,這支隊伍須具備懂業務、懂管理、懂網絡技術的復合性人才,此類人才需要企業去培養并留得住。同時,系統軟件開發質量不穩定、通用性較差、維護和版本更新困難等一系列現實問題,也對企業提出巨大的人力、財力要求。企業要實現信息化建設,其必須付出一定的人員成本,并承擔相應的人員風險。
(5)時間風險
系統軟件開發需要較長的時間周期,信息化的實施更是一個長期不斷的過程,時間對企業及其經營者而言,是一個較大的考驗。軟件開發的過程影響著開發成本和信息化系統的實施,如果系統需要二次開發和維護,短則幾天,長則半個月、一個月,企業便須承受更大的時間成本和時間風險。
2. 風險規避
(1)慎重選擇軟件系統
目前,ERP是企業實施信息化的主要手段。ERP并非一個單純的軟件系統,根據企業的規模大小、業務活動、經營戰略、發展目標、管理文化、員工水平等,企業應恰當選取相應的國內或國外的ERP廠商,慎重考慮ERP軟件的功能、價格、升級以及售后服務等各種事項。
(2)妥善進行系統規劃
企業流程重組和信息化屬于復雜的系統工程,在開始之前,企業應做好完整的系統規劃。據實際情況,先進行可行性分析,確定階段性目標,然后結合企業本身承受能力及管理中存在的問題和主要矛盾,本著“總體規劃、分步實施、先易后難、持續優化”的原則,循序漸進地推進企業流程重組和信息化工作。
(3)變革企業組織結構
企業業務流程重組由規劃轉變為現實的過程中,管理信息系統起著重要的催化作用,只有將良好的企業管理與流程重組有效配合,才能為信息化建設掃除各種障礙。在對企業組織結構實施網絡化組織的重新設計時,應考慮到解決企業管理上的混亂狀態,特別要在人員變動、權力分配、部門調整等問題上有所作為。
(4)合理控制進度和質量
明確可行的階段性實施計劃是企業流程重組和信息化順利開展的基礎,而對每一階段計劃執行情況進行必要的檢查和監督,則是為了實現對信息化進度和質量的有效控制。系統實施前先明晰各階段的目標和期望,某個階段完成后及時作出評價和修正,系統上線后對各個流程一一實驗,使整個系統達到企業預定目標。
四、結語
隨著計算機技術的飛速發展,全球化和網絡化已成為世界經濟發展中不可抗拒的潮流,信息技術展現出的巨大作用并不是促使傳統工作更有效率,其真正能力在于使企業打破了傳統的工作規則、創造出嶄新的工作方式,而這恰恰是企業流程重組的核心所在。在傳統勞動分工原則下,施工企業的業務流程被分割成一個個獨立的環節,流程重組和信息化建設根據新技術條件下信息處理的特點,為施工企業再造出一套管理思路和方法,很大程度上滿足了企業發展所需,同時從質量成本、產出周期、流通效率等多方面提高了業務流程績效。
參考文獻:
[1]王玉榮. 流程管理. 北京:機械出版社,2004.
[2]甘利人. 企業信息化建設與管理. 北京:北京大學出版社,2001.
信息化和全球化使社會對兼備計算機專業知識和外語能力的復合型人才的需求不斷增加,建設現代化武警也對培養面向未來的高素質復合型警官提出了要求。戰斗在武警部隊工作一線的信息安全保密人員,必須熟練掌握信息安全專業英語,以便能夠方便地獲取第一手資料,保質保量地完成任務。這引發了實際工作需要與專業外語教學之間的矛盾,因此,必須以需求為牽引,整合教學資源,抓好教改創新,針對教學薄弱環節穩步推進專業外語的教學改革。
一、正視短板,主動作為
專業英語是培養大學本科三年級學生科技英文文獻閱讀、翻譯與寫作能力的課程。開課時學生一般都通過了CET-4考試,具備一定英語聽說讀寫的能力。在通用英語基礎上,進一步增強具有鮮明專業特色的科技英語運用能力,是學習本課程的重要教學目標。
長期以來,專業外語課程未得到重視,教學方法簡單,常常以冗長的課文翻譯作為課堂主要或唯一的教學手段,學生學習興趣不濃,收獲有限,教學效果與教學目標存在較大差距。因此亟需探索適合專業外語教學的新模式。
為了充分發揮專業英語課程在通用英語、專業學習以及實際應用中的銜接作用,使學生真正掌握專業英語知識和運用能力。電子技術系機要指揮教研室主動作為,在"信息研究與安全"專業120名學員中實施了專業英語教學改革的嘗試。初步教改實踐證明,只要目標明確、銳意進取、措施得當、持之以恒、穩步推進,一定能彌補不足,取得豐碩的成果。
二、明確目標,穩扎穩打
針對專業外語教學中存在的問題,我們將專外教改的目標設定為:采用主動式教學、任務式教學、浸入式教學相結合的方法,摸索出一套高效、合理和新穎的專業英語教學模式,使學員除了在英語聽、說、讀、寫基本能力之外,翻譯、搜索、撰寫科技文獻等方面的能力也得到全面提高。并在此基礎上逐步向武警部隊推廣,促進廣大官兵英語應用水平的提高。
為達到教改目標,我們制訂了完善的計劃,開展了專外教學調研活動,圍繞提高學員聽、說、讀、寫、譯等方面能力設計了多項教學活動。在教學內容方面,我們加強了"信息安全"教學內容的份量,增加的主題包括:計算機硬件及安全、操作系統及軟件安全、網絡安全、惡意代碼、數據安全、密碼學基礎、信息隱藏等。在教學形式方面,我們探索了主動式、任務式和浸入式多種外語教學模式的融合,采用這些理念先進、形式靈活的教學方式,使專外授課變得生動活潑、引人入勝,取得了事半功倍的效果。
三、取長補短,大膽嘗試
(一)建設開放式網絡教學平臺支持主動式、交互式教學
建構主義理論強調教學要以"學"為中心,充分發揮學生學習的自主性,教師在整個學習過程中主要起組織者、指導者的作用。為了督促學生的自主學習,必須利用計算機網絡為其提供方便、豐富和靈活的學習環境和學習內容。
在專外教改中,我們收集、整理了信息安全領域科技英語多媒體資源(包括各種科技新聞、論文、與部隊新型裝備相關的視音頻、與部隊生活和高新技術相關的電影等),面向部隊官兵、本科學員、研究生三種不同水平,將聽、讀、譯、寫等素材組織成難度適中、精疏適當的教學資料,并初步建成了基于網絡的開放式教學資源平臺。
為提高學生自學的靈活性和主動性,我們將該教學平臺的主體內容下發給學生。其中包括與專業英語教材配套的多媒體課件、科技英語演講視頻、科技新聞閱讀材料、應用文體撰寫參考資料等內容。學生可隨時訪問該平臺,并根據教師設定的相關任務或個人興趣選擇材料進行學習。開放式、網絡化互動教學環境為學員提供了良好的學習環境,達到了激發學員學習興趣和主動性的目的。
(二)設置多樣化教學環節推動合作式、任務式教學
合作式教學是指按照個性特點、能力差異及興趣愛好等標準把學生混合編成若干合作學習小組,小組成員通過彼此協作,相互指導,共同努力達到預期的學習目標。我們的專外教改將這種合作學習與特定的教學任務相結合,擴展了單一的課堂講授方式,引入英語科技知識講座、分組英語討論、辯論、在專業英語教師指導下的英語角等學習交流手段,將相關教學任務分配給學員學習小組共同完成,有效地調動了學員的積極性。
我們在三個區隊的專外教改中分別開展了經典電影橋段角色扮演、英語演講、英語辯論等活動。共計51名學生選擇了英語演講任務,每人利用5-10分鐘介紹自己感興趣的IT名人或技術。這一活動擴展了學員的知識面,使大家了解了圖靈、高德納、喬布斯、比爾蓋茨、馬云等名人的軼事以及Internet、Angrybirds、NIVADA等技術和產品,提高了學員收集資料、制作PPT、撰寫演講稿以及口語表達的能力;55名學員選擇了經典電影橋段角色扮演任務,該任務由2-4名小組成員合作完成,他們分別從《音樂之聲》、《肖申克的救贖》、《教父》、《蝙蝠俠》、《冰河世紀》等經典影片中選出精彩片段進行模仿加工,在團隊協作、合作學習、角色扮演等方面得到了鍛煉。課程過半之后,三個區隊精心準備,分別針對互聯網與人類的關系展開了精彩的英語辯論活動,展示了學員在英語思維、口語表達方面的進步。
(三)采用全英語授課促進集中式、浸入式教學
浸入式教學是通過第二語言教授學科專業知識來學習語言。教師用第二語言教授第二語言和學科知識,學生"沉浸"在二語環境中。為了在專業外語短短的30個學時中使學員獲得更好的學習效果,本次專業英語教改由具有深厚專業知識基礎、豐富教學經驗和一定英語運用能力的教師擔任教學任務,嘗試全程英語教學,使學員能夠在有限的時間內,通過集中式、浸入式教學快速提升專業外語實際應用能力。
在浸入式教學探索中,我們主要堅持了以下兩個原則:一是聽說領先原則。所謂聽說領先原則是指浸入式教學中,學生完全浸入在語言中,聽說機會多,教學每節課浸入語言的量及豐富程度多于傳統教學,學生有大量口語表達機會。二是活動性原則。活動性原則就是指教學中,結合教學內容設計活動,為學生提供最自然、最豐富、最積極的語言環境,學生通過積極參與活動達到理解、記憶、掌握和運用語言的目的。
浸入式教學對教師的要求很高。教師要不斷接受新的知識信息,掌握有效的學習策略與方法,要在專業知識、計算機技術、教學方法等方面不斷提高水平。教師不僅要進行教材與教學內容的研究,同時也要進行教育心理學的研究,才能勝任。因此,參與教改的老師們通過集體備課、聽課、講座、討論和觀摩等多種形式進行了理論和實踐方面的交流,改進了教學方法,提高了教學水平。
四、持之以恒,繼往開來
在專外教改前后調查問卷的對比分析中,我們發現學員一致認為本次教學內容豐富、形式靈活,效果很好。可見,專外教改激發了學員學習英語的興趣和熱情,更重要的是使學員掌握了正確的學習方法,這為學員今后能夠實際運用英語打下了良好的基礎。
