《某公司三方物流业务信息化解决方案fqiy.docx》由会员分享,可在线阅读,更多相关《某公司三方物流业务信息化解决方案fqiy.docx(68页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、江苏宝胜物流有限公司三方物流业务信息化解决方案2016.6681、物流行业简介51.1、物流业的兴起51.2、物流业存在的问题与解决52、系统设计52.1整体设计原则52.1.1权威性52.1.2及时性62.1.3可靠和安全性62.1.4先进性62.1.5系统性能62.1.6易管理性62.1.7技术的先进性和成熟性72.2系统网络架构图72.3系统逻辑架构图82.4平台UI设计92.4.1整体风格92.4.2系统主色调92.4.3导航页102.4.4门户网站首页设计103、 业务功能设计实现103.1电脑端系统平台(PC端)103.1.1系统管理103.1.2车辆调度模块123.1.3统计模块
2、143.1.4财务管理模块143.1.4.1日报表143.1.4.2业务管理153.1.5安全管理153.1.5.1运输车辆合同管理153.1.5.2货物运输保险管理163.1.5.3过程控制163.1.6 日常维护模块163.1.6.1通知通告163.1.6.2工作计划管理173.1.6.3车辆管理173.1.6.4驾驶员管理183.1.6.5合同管理183.1.6.6项目管理193.2移动端193.2.1通知公告203.2.2信息推送213.2.3车源发布223.2.4货源发布223.2.5货单跟踪233.2.6竞价模块233.2.7抢单模块243.2.8在线支付253.2.9指定接收26
3、3.2.10个人设置263.2.11非业务功能性需求263.2.11移动端技术架构264、安全设计与实现274.1建立应用安全管理保障体系274.1.1 安全技术体系284.1.2 管理体系284.1.3 人才教育体系284.2应用网络安全策略及安全规范284.3信息安全防御系统294.3.1总体描述294.3.2防火墙304.3.3入侵检测304.3.4漏洞扫描314.3.5病毒防治324.3.6安全审计324.3.7Web信息防篡改系统334.4应用级安全保密措施344.5用户级安全保密措施364.5.1用户管理规范364.5.2用户分类和管理范围364.5.3管理原则364.5.4管理员
4、用户管理364.5.5一般用户管理375、安全设计与实现375.1建立应用安全管理保障体系375.1.1安全技术体系375.1.2管理体系375.1.3人才教育体系385.2应用网络安全策略及安全规范385.3信息安全防御系统395.3.1总体描述395.3.2防火墙395.3.3入侵检测405.3.4漏洞扫描415.3.5病毒防治415.3.6安全审计425.3.7 Web信息防篡改系统425.4应用级安全保密措施445.5用户级安全保密措施455.5.1用户管理规范455.5.2用户分类和管理范围455.5.3管理原则465.5.4管理员用户管理465.5.5一般用户管理466、可靠性设计
5、与实现476.1硬件可靠性设计准则486.2软件可靠性设计准则507、项目实施507.1项目实施计划507.2项目组织结构517.2.1本章概述517.2.2项目组织结构图517.2.3各分组的职责描述527.3项目组成员职责分工描述547.3.1项目经理547.3.2高级软件工程师547.3.3项目实施工程师547.3.4系统工程师557.3.5测试工程师557.3.6文档管理员551、物流行业简介1.1、物流业的兴起随着世界经济一体化的发展趋势,各国政府、企业和经济界人士正在把他们的注意力从传统的制造业正逐步转向了流通领域。当人们从第一利润源泉(原材料、设施等资源的节约)和第二利润源泉(劳
6、动力资源的节约)中已越来越难以榨取利润的时候,却发现了在物资的流通过程中存在大量的获取利润的机会,或者叫作降低成本的空间,即第三利润源泉。1.2、物流业存在的问题与解决技术水平和信息应用水平不高;管理体制,机制和政策法规尚不完善;物流系统效率低,成本高;物流企业规模小,人才缺乏,整体竞争力不强;时效性要求高;信息需实时传递。由此,物流的需求市场对物流系统便提出了五大目标,即服务、及时、节约、规模和库存优化。如果我们以这些目标来评价原先的物流系统,人们很容易感到传统的物流方式存在着许多问题,必须对物流赋予全新的概念。而这一概念是人们现在关注的现代综合物流的概念。现代物流是指经信息技术整合的,实现
7、物质实体从最初供应者向最终需求者移动的物理过程。2、系统设计2.1整体设计原则在门户平台的建设实施过程中,我们将以客户需求为中心,技术服务为纽带,以高质量、高标准的目标进行规划和实施,并严格遵循以下的设计原则和宗旨:2.1.1权威性作为江苏宝胜物流有限公司的门户平台,应有别于其它商业性、事业性系统,其发布的信息需经过严格的审查程序,确保信息是可靠的、准确的。要保证系统信息为用户实用信息,加强信息审核和管理。系统要具备严格的安全措施,防止黑客攻击和防止页面篡改,以体现江苏宝胜物流有限公司信息的权威性和严肃性。2.1.2及时性系统中信息要求及时更新,能在第一时间想买卖双方提供最准确的交易和供求信息
8、,方便用户可以及时更正自己的市场策略,保障双方用户的权益。信息的及时更新也可以保证江苏宝胜物流有限公司对市场信息的及时掌握,能更好的控制市场走向,制定相对应的措施,是物流经济健康稳定的发展。2.1.3可靠和安全性 确保7x24小时不间断服务。系统通过提供用户身份认证、密码校验、角色控制等多种手段保证系统具有良好的安全性,防止非法用户对系统的入侵。2.1.4先进性首先,为满足系统功能和性能上的要求,必须采用一些先进的技术作为保证;其次,本着高定位、高起点的指导思想,也将采用先进软件技术,来保证系统强大的生命力。2.1.5系统性能整个系统将通过网络技术、主机设备和软件技术的综合运用,使系统具备较高
9、的性能,以支持大规模的用户访问。2.1.6易管理性只有管理好系统,才能更好地利用系统提供的功能和服务。系统应该具有较强的易管理性,以保障日常的系统运行和降低运行维护成本。2.1.7技术的先进性和成熟性采用先进的设计思想和设计方法,坚持一切从实际出发,一切为用户着想的原则,系统的建立以用户的需求作为设计的出发点和归宿,求得先进性和实用性相统一。网站系统必须采用成熟的可重用模块、中间件构件等,实现应用系统的易扩充、易使用、易维护与高可靠性。2.2系统网络架构图整个平台支持外部客户、内部用户通过PC电脑、智能手机、外设访问访问,通过外网防火墙隔离保证平台安全性,同时在web服务器和应用服务器之间设置
10、内网防火墙保证内部核心业务系统的安全。 访问终端外部用户可以通过PC电脑、智能手机访问统一门户系统,内网用户可直接通过内网访问内部系统,内部用户需要外网访问内部系统,可采用联通专线保证访问的安全性。 应用服务器应用服务器是承载“港务集团信息化平台”的核心服务器,所有的信息交互,逻辑处理,业务管理,系统配置,操作日志稽核都在此服务器中完成。应用服务器支持横向集群扩充,以方便平台用户数增加、性能提升。 数据库服务器存储应用数据,包括各种业务数据、影像资料、系统日志等等。根据系统规模可考虑增加磁盘阵列保证存储稳定、可靠性。 扫描、读卡设备条码扫描、读卡等外部设备通过内网跟应用服务器交互保证系统安全性
11、,当然若外设需要外部部署,可采取联通专线方式接入来保证系统的安全。 接口服务器主要是平台对外接口的扩充,一方面通过接口服务器保证平台安全不被外网入侵,另一方面由接口服务器分担部分运算压力,保证平台稳定运行2.3系统逻辑架构图整个平台由系统层、平台层、应用层、终端层四层组成: 终端层平台支持PC电脑、智能手机访问、车载等外设交互。PC电脑包括普通客户的电脑访问门户网站、内部人员电脑访问办公系统及业务系统,外设包括车载GPS监控、条码扫描器等等各种外部设备与平台交互数据 系统层应用层包括各种港口物流集团内部各种业务应用系统,包括、办公自动化系统、物流协作系统、货代系统、仓储系统、配送系统等等。同时
12、整个系统由统一门户按权限分别展示给外部客户、内部用户。 平台层整个业务平台基于J2EE基础架构平台之上,平台提供页面组件、流程引擎、门户引擎、报表引擎、设备模块、第三方类库等基础平台应用服务,为应用层各种业务系统提供服务支持。 系统层系统层是指基础软件系统,包括操作系统、应用服务器、数据库服务器等基础服务,为平台层提供基础服务支持。 安全体系负责整个平台从终端到后台所有交互的数据安全,以及平台级别的安全认证2.4平台UI设计2.4.1整体风格平台的整体风格:为让用户更好的使用门户平台,我们在设计时将采用图文版页面,在平面设计上,采用互联网上常见平台形式和风格,布局清晰明了、干净简洁,表现形式独
13、具创意,基本视觉要求整体色彩平稳过渡,运用色彩对比突出重点,适量运用简洁精致的图片和动态元素以吸引用户注意力,以体现江苏宝胜物流有限公司独特性和实用性。所有页面具有统一的风格,不同栏目的页面文字风格统一,用不同的色彩和图案加以区别,在构思上重点突出门户平台的特点,以获得较佳的浏览效率。内容结构:精简、流畅、合理网站气质:稳重大方、个性独特、专业性强表达方式:信息量大、布局合理、图文并茂2.4.2系统主色调以蓝色为主色调,代表物流行业的特殊性,结合相对比的红色,有对比而使整个网站更有活力。局部的图片的颜色在整个网站中也起到突出和强调的作用。2.4.3导航页网站导航页是访问者进入系统的第一级通道,
14、是网站基本形象的集中表现页,设计上的设想是结构划分清晰、色彩和协一致、重点突出显示系统平台对交易区的分类和展示。采用有创意的动画设计,融入地方特色和发展动向,增强访问者对网站的认知度和记忆点。2.4.4门户网站首页设计首页将具有以下特色:n 颜色:以蓝色为主;n 重点突出:突出显示交易分类和促销、热点供求信息等;n 操作简便:力求方便;n 旗帜鲜明:简洁明了的显示出商务平台上的热点供求信息和供求分类信息;n 内容明晰:适合大多数人的操作习惯,分类清楚、简明扼要;n 和谐流畅:色彩过渡平稳和谐,以色块对比突出重点,适量运用简洁精致的图片(亮点以flash为主)和动态元素,力求在最短时间内吸引访问
15、者的注意力;n 富有创意:以恰当鲜活的设计完美地表达系统的内涵特质。所有页面风格统一,不同栏目的页面文字风格相似统一而又各具特色,以不同的色系和图案加以区别。在构思上注重突出实用性,提高页面响应速度,以获得较高的浏览效率。3、 业务功能设计实现3.1电脑端系统管理平台(PC管理端)3.1.1系统管理3.1.1.1人员管理对三方物流业务的参与人员进行维护,同时可以对参与人员按组织结构进行管理。对人员信息进行管理,比如人员账号的新建、账号的修改、停用、重置密码等。用户列表管理,按不同层级查看用户:可以进行人员信息的批量导入:3.1.1.2角色管理系统可以划分不同的角色,将不同的人员进行角色分组,通
16、过这些角色的分组很好的管理这些人员。角色划分为:系统管理员,部门管理员,普通用户。3.1.1.3权限管理系统可以对江苏宝胜物流有限公司的工作人员按照职位,以及每个人所拥有的权限进行管理,公司对于信息的保密非常关键。可以进行菜单、按钮、数据的权限控制,提供人员的权限分配、查询。系统管理员:平台运营维护,全部权限部门管理员:部门内信息发布、互动交流、网上服务的所有权限普通用户:网站平台查看、客户端下载使用。3.1.1.4数据管理平台中基础数据可以进行数据导入导出操作,譬如人员信息,知识共享等。3.1.1.5版本管理提供手工填写版本及描述信息的功能,可发送推送通知,客户端可收到关于此版本的更新通知。
17、3.1.2车辆调度模块3.1.2.1用户权限管理江苏宝胜物流有限公司内的企业依据所属企业的性质类型(运输公司、货代企业、船代企业、其他企业等类型),设定角色;依据角色类型,进行平台各个权限、模块、功能点的授权管理;平台的用户,基于所在的企业、组织,分配相应的角色和权限。3.1.2.2订单管理管理平台货运供求信息,为货代、货主合理安排进度。客户通过系统模块实时发布、传递货物发运信息,并在系统中自动反馈我方对发运信息的处理状态,包括计划接收、调度车辆信息、装运卸实时状况、回单确认、票据接收及账务处理状况、从对方的角度提供应付账款的统计分析和预警功能。变更、增减货物数量、重量、外包装尺寸、送货地点,
18、增减其他非标费用等等。项目经理接收客户货物发运信息,整合发运信息,形成运输计划,并通过系统发布。通过透明的货源供求信息发布,为运输企业提供货源,降低空箱率,提升场站堆场利用率;提供船期、集装箱信息为货代、货主合理安排作业进度。3.1.2.3调度协作管理3.1.2.3.1配送管理江苏宝胜物流有限公司物流信息系统的配送调度员,基于前面模块里面产出的货物配送信息和运输线路信息,通过时间、线路、运输量等指标的匹配,进行最优的、双方用户都可以接受的人工调度,并通过电话沟通的方式进行人工派单,并在和驾驶员沟通完毕的情况下进行录入单证的工作。3.1.2.3.2货物跟踪江苏宝胜物流有限公司物流信息系统通过与车
19、辆安装的GPS硬件进行对接,实时获取货物运输的途中地理位置信息,使企业能够及时掌握到货物的动态信息,提前做好各种处理与准备。3.1.2.3.3配载评估物流服务联盟内企业对本次配送调度、货物运输过程中的服务进行评估,该评估结果会反应在物流服务联盟管理的诚信管理模块,最终影响企业的诚信等级和优惠力度。3.1.2.3.4回单管理三方物流业务的参与者分别对回单进行确认,抢单等操作。系统中能计算出回单最迟应回收日期,到期前提醒、逾期警示,在系统中上传回单扫描件或者照片,回单及时率的统计、分析。3.1.3统计模块项目经理按日期、项目、分公司对业务毛利润、净利润、账期、客户满意度进行统计分析。分公司经理和公
20、司高管过日报、月报、季报、年报表,总体了解三方物流运行情况。随时按日期、项目、分公司进行明细查询,系统提供利润、账款、费用的审批、统计、分析功能。3.1.4财务管理模块财务管理是物流企业公司日常管理的重点,也是企业内部管控的核心。系统提供应收账款、应付账款的提醒、预警及逾期利息的计算,按日、月、年日期,按项目,按分公司等条件统计分析毛利率、净利润。3.1.4.1日报表统计最近的财务和运输状况的统计报表。财务管理需包括客户运输信息的管理、运输车辆费用的管理、运输配送费用管理、结算管理及相应财务报表。各物流分公司每天准时、准确登记业务台账和现金日记账,在次日9点前将日报表(含现金日记账)系统发送至
21、分公司经理,以便了解市场部总体运营情况。3.1.4.2业务管理财务产生相应的业务活动,主要包含以下几种:1业务开票和成本入账公司财务每月25日为本月账期截止日,各物流分公司在20日前根据序时进度和市场部总体安排确定开票计划和对应成本入账金额,报市场部统筹,在25日前开票、入账。2资金回笼各物流分公司每月5号前按各项目付款条件确定本月的资金回笼计划,分公司经理汇总后报物流公司分管副总经理、总经理备案。3运费支付签定长期运输合作协议的物流公司和车主,开据运输发票附回单和合同复印件到市场部财务入账,并按合同约定的付款条件付款。流程:市场部财务入账市场部申请分管副总经理审核总经理批准财务转账。4付款条
22、件的考核市场部基本付款条件为,承运货物的次月开票,开票后60天内付现汇。5应收账款的考核应收账款按各项目合同约定的账期100%回笼,超出账期30天后产生的逾期运费,项目部承担逾期运费的利息。3.1.5 日常管理模块3.1.5.1通知通告通知公告列表界面,显示最新的通知公告,具有通知公告管理权限的用户,可以对相应公告进行编辑 通知公告新增/修改界面3.1.5.2工作计划管理各物流分公司必须按照承运合同的约定,及时、准确地完成托运方当日下达的运输计划,对未能完成的计划在日报中应作为异常情况说明,提供最迟发货期限;并与委托方或者收货人协商一致。展示工作计划列表,并可对工作计划进行增删改查操作。可根据
23、日期和时间进行查询。3.1.5.3车辆管理展示车辆借还信息,并对其进行增删改查操作。所有承运车次必须要有承运合同,长期承运车辆需签订框架性合作协议,临时使用车辆需每车次签订运输协议,协议文本按照公司审核的统一文本,如需修改条款的,应报物流公司批准。各物流分公司按项目、月份分类保管承运合同,市场部定期、不定期进行检查合同执行和档案管理情况。3.1.5.4驾驶员管理此项包含驾驶员的个人信息和证件信息。证件信息包括证件类型、证件状态、发证日期、有效日期和下次年审日期。3.1.5.5项目管理展示项目信息,可对其进行申报、报价、修改、删除操作。3.1.6物流专线管理用户可以对常用的专线进行管理,为客户提
24、供快捷物流信息。后台管理用户可以对专线信息进行增加、删除等的操作。3.1.7求职招聘管理用户可以发布一些职务信息。3.1.8车辆交易管理3.2移动端用户通过移动终端上的注册功能成为系统的用户,系统的移动终端上将根据用户设定主还是货主的身份来做UI上的区分,满足不同角色用户的操作习惯,方便用户使用。注册后可以使用以下功能:3.2.1通知公告终端用户可以看到服务端发布的通知公告。通知公告经过二次排版,文字会经过重新整合,图片会经过自动压缩,让处理的通知公告更适合在移动终端上显示,方便用户查阅。通知公告方便用户查阅发布的公司相关公告信息,已读公告和未读公告分开展示,提高用户的时间效率。公告管理为企业
25、发布车源、货源等各种信息提供了简单便捷的渠道。公告发布后,系统以即时发送消息提醒推送通知给相关员工,员工可在服务端或移动手机终端方便地查看公告。指定接收(设定相对固定的接收条件,系统会将符合条件的信息展现给客户) 3.2.2信息推送用户可以像接收手机短信一样,随时接收物流信息。 3.2.3车源发布及时发布车源信息,用户可根据信息进行发布,查找等操作。3.2.4货源发布在手机端发布货源信息,可以和电脑端同步。在电脑端就可以对信息进行相关处理。 3.2.5货单跟踪实时反映货物所到位置,掌握运输轨迹。系统通过与现有的车辆定位监管系统对接,可实时获取车辆的信息,在订单未完成的情况下,发货方可通过该功能
26、查看车辆的当前位置信息,方便客户实时掌握物流的具体位置。 3.2.6竞价模块建立竞价系统可以有效进行成本控制。固定线路、货物、重量的货物运输采用固定价格,价格确定后,执行过程中运输成本只能减少不得增加。不固定运输价格的线路,采用随行就市的原则,参照报价时的运输成本和历史发生价格,结合相同方向、相近地区的运输价格定价。 3.2.7抢单模块用户可根据自身实际需要,进行抢单操作。 3.2.8在线支付在线支付支持多种支付方式,安全快捷。 3.2.9指定接收 用户设定符合自己的条件,系统将用户的设定的条件存入系统,通过系统运算处理后,系统能够精确化的将符合用户的数据展示给用户,帮助用户进行数据库的选择。
27、3.2.10个人设置用户可对自己的个人信息进行维护,包括个人签名、头像等。 3.2.11非业务功能性需求 3.2.11.1手机客户端l 支持手机终端,软件系统兼容Android和iOS版本。l 支持二维码扫描、下载链接进行APP下载。l 手机端具备二次开发,支持原生态开发和跨平台开发,方便后续扩展其他功能。3.2.11.2应用需求l 系统操作简单,易上手,人机交互界面人性化;l 系统能够满足甲方未来的发展需要,系统可支持进行二次项目开发;l 支持平台及应用智能更新。3.2.11移动端技术架构Native App是一种基于智能手机本地操作系统如IOS、Android并使用原生程式编写运行的第三方
28、应用程序。Native App因为位于平台层上方,向下访问和兼容的能力会比较好一些,可以支持在线或离线,消息推送或本地资源访问,摄像拨号功能的调取。因此Native App提供最佳的用户体验,最优质的用户界面,最华丽的交互、针对不同平台提供不同体验、同时可节省带宽成本、可访问本地资源、打开速度也更快。好信移动端完全基于Native App移动应用开发技术,保证用户体验体验的同时,投入大量的人力、物力优化各个版本,解决了不同平台、手机、分辨率带来的应用适配问题及稳定性。另外好信移动端也借鉴了Hybird App技术,形成了自己JS Bridge 框架,通过JS Bridge 框架发布出大量个性化
29、API,便于客户系统个性化扩展及整合。平台由系统层、架构层、组件层、应用层、消息门户组成,其中:系统层负责系统基础环境运行及各种数据的存储;架构层提供各种基础服务功能,同时通过JS Bridge发布各种个性化API;组件层提供了各种应用组件,通过组件能够快形成业务应用;应用层实现即时通讯、流程审批等业务应用,微门户用户整合第三方应用和插件;消息门户是好信客户端核心,通过消息来驱动办公更加高效、快捷。3.3个人业务PC端3.3.1通知公告通知公告方便用户查阅发布的公司相关公告信息,已读公告和未读公告分开展示,提高用户的时间效率。公告管理为企业发布内部新闻、资讯、制度等各种信息提供了简单便捷的渠道
30、。公告发布后,系统以即时发送消息提醒推送通知给相关员工,员工可在PC端方便地查看公告。3.3.2信息推送包括发送信息、查看已发信息、已收信息及删除信息。有新消息时会有桌面提醒。3.3.3车源发布车辆使用信息,便捷的视图,提供车辆详细的占用情况。 3.3.4货源发布用户可以发布货物信息,也可以查询货物信息。3.3.5货单跟踪用户可以查询到实时货物运送的流程,货单跟踪可以清楚的显示货物的运送轨迹。3.3.6竞价模块用户通过竞价系统可以有效地进行成本控制。3.3.7抢单模块抢单模块为用户提供了类似滴滴打车的功能。用户可以快捷的找到合适的运货方进行运货。3.3.8在线支付在线支付支持多种支付方式,安全
31、快捷。3.2.9指定接收 用户设定符合自己的条件,系统将用户的设定的条件存入系统,通过系统运算处理后,系统能够精确化的将符合用户的数据展示给用户,帮助用户进行数据库的选择。3.2.10个人设置用户可对自己的个人信息进行维护,包括个人签名、头像等。3.2.11物流专线管理3.2.12求职招聘管理3.2.13车辆交易管理3.4特殊说明或建议3.4.1关于抢单中推送问题 如果抢单的功能需要基本达到滴滴打车的效果,这个还是有一定难度的,建议目前第一阶段可以用一般的推送,可能用户量较多的情况,推送会有一定的延迟;可以采取刷单页面支持自动刷新的功能来满足用户的需求,刷新时间间隔可让用户自行设定。我们在其他
32、物流系统中也采用过该方式。3.4.2关于支付问题 支付问题其实就是安全问题,该问题一旦出现安全问题就是不可逆的;建议第一阶段先完成单向支付,就是发货的用户实现在终端支付,支付的费用统一到我们系统设定的账号下;给驾驶员的费用,由系统导出后,财务统一汇款。 这样做就很大程度上避免的安全带来的隐患,后续等系统逐步完善了,就可以完成双向支付的功能。3.4.3重视运营,重视数据 软件本身只是提供功能,系统之所以有用户用,很大一部分是因为系统上面有用户需要的数据: 注重培养用户的使用习惯,让用户用起来才是系统建设的目的 数据安全很重要,依据我们系统物流系统建设的经验,当系统较成熟时,会有一些其他系统通过网
33、页抓取的方式窃取系统的数据,在早期建设时,就需要预防这样的窃取数据的行为,目前有效的手段一般是通过访问的监控,然后再过滤拦截处理。4、安全设计与实现4.1建立应用安全管理保障体系为保障江苏宝胜物流有限公司港口物流分公司信息系统的安全,必须建立较为完善的安全保障体系,安全保障体系由安全技术、管理和人才教育三个子体系组成。4.1.1 安全技术体系安全技术体系采用目前较为先进的“保护检测响应恢复”的反馈控制自适应模型来实现。即按照安全策略要求在信息系统的协议层和网络结构层上进行物理和逻辑的安全保护措施配置;利用各种检测设备对信息系统的安全脆弱性和来自系统内外的入侵或攻击行为进行检测;对于已发现的系统
34、脆弱性和入侵、攻击行为,从安全策略到安全服务配置予以调整和完善,以满足安全风险被控制在可接受范围内并逐步降低的控制策略;信息系统在遭遇安全风险致使系统造成局部或全局性破坏时,必须能及时消除风险并启动系统恢复进程。4.1.2 管理体系管理是江苏宝胜物流有限公司港口物流分公司网络系统安全的灵魂。网络信息系统安全和管理体系由法律管理、制度管理和培训管理三部分组成。在国家有关安全部门的指导下成立安全管理机构,设置管理岗位,配备管理人员。该机构遵循国家相关法律法规,制定相应的安全管理制度和选用国家相关的法规政策,制定安全策略并对内部人员(包括管理人员和用户)进行安全教育和管理,指导、监督、考查安全制度的
35、执行。4.1.3 人才教育体系确保江苏宝胜物流有限公司港口物流分公司内部网络系统的规范化建设和安全运行的关键,在于有一支精通信息安全技术体系、熟悉信息安全法律、法规并忠实于国家、忠诚于国家政府安全事业的专业技术队伍,以及具有强烈的信息安全意识和熟练操作技巧的业务用户群体。因此,有计划,有步骤的开展关于网络化信息安全的,包括管理和技术两大类内容的多层次、多形式的,常规性和应急性相结合的各类人员的培训和再学习,是关系到江苏宝胜物流有限公司港口物流分公司信息系统健康持续发展的战略性任务。4.2应用网络安全策略及安全规范信息系统的安全策略,首先信息系统和电子商务媒体的区别最主要是在网络安全上,加强网络
36、信息安全是非常重要的,构建信息系统的安全策略,把保护国家涉密信息的安全性放在第一位是很重要的,但是我们首先要划分好不同的安全域,对不同的安全域采取不同的安全机制,这样不至于使得安全成为妨碍我们信息系统网上办公的发展的因素。信息系统的安全结构,我们把它分为四个层次,第一个层次是核心决策层,这个是涉密的存储,它的网络安全是Internet,加密数据库安全标签、安全隧道、安全网关。第二是业务处理层,办公事务,安全域是Internet,安全设施是防火墙,代理服务器,访问授权,动态保护防病毒等等。第三个层次是信息交换层,不同部门之间的协作,它的网络安全域应该是Extranet,通常安全设施,加密传输,交
37、换共享和互操作。第四个层次是公众服务层,是面向公众的社会,它的网络安全域,是Internet,对它的安全设施是完事性的保护,可用性的保护,只要在可靠性方面做些考虑就够了。业务需求网络安全域安全设施一层核心决策层Intranet加密数据库、安全标签安全隧道、安全网关二层业务处理层Intranet防火墙、代理服务器访问授权、动态防护防病毒三层信息交换层Extranet加密传输、交换、共享互操作四层公众服务层Internet完整性保护、可用性保护为制定统一的安全标准,规范江苏宝胜物流有限公司港口物流分公司网络系统安全建设,应制定江苏宝胜物流有限公司应用网络安全规范,作为江苏宝胜物流有限公司港口物流分
38、公司网络安全建设的纲领性文件。逐步形成江苏宝胜物流有限公司港口物流分公司网络安全保障体系,确保整个网络系统在安全风险控制之中,并符合国家有关的法律法规和安全标准的要求。4.3信息安全防御系统4.3.1总体描述信息安全防御系统由防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防治系统、Web信息防篡改系统等组成,是一个安全网络系统的基础组成部分,在统一安全策略的指导下,保障系统的整体安全。4.3.2防火墙防火墙是用一个或一组网络设备,在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务
39、以及内部的人员可以访问哪些资源。所有往来的信息都必须经过防火墙,只有被授权的数据才能够通过。防火墙应纳入网络信任域进行可信管理。目前防火墙的控制技术大概可分为:包过滤型、包检验型以及应用层网关型。这三种技术分别在安全性或效率上有其特点。包过滤型:包过滤型的控制方式会检查所有进出防火墙的包标头内容,如对来源及目地IP、使用协议、TCP或UDP的端口等信息进行控制管理。包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连接作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。 包检验型:包检验型的控制机制是通过一个检验模组对包中的各个层次做检验。包检验型可谓
40、是包过滤型的加强版,目的是增加包过滤型的安全性,增加控制连接的能力。但由于包检验的主要检查对象仍是个别的包,不同的包检验方式可能会产生极大的差异。其检查的层面越广将会越安全,但其相对效率也越低。 应用层网关型:应用层网关型的防火墙采用将连接动作拦截,由一个特殊的代理程序来处理两端间连接的方式,并分析其连接内容是否符合应用协议的标准。这种方式的控制机制可以从头到尾有效地控制整个连接的行为,而不会被客户端或服务器端欺骗,在管理上也不会像包过滤型那么复杂。但必须针对每一种应用写一个专用的代理程序,或用一个一般用途的代理程序来处理大部分连接。这种方式是最安全的方式,但也是效率最低的一种方式。4.3.3
41、入侵检测入侵检测系统一般采用安全监测控制器和探测器两级的分布式结构,探测器配置在网络的敏感部位进行信息的采集,而安全监测控制器则对所收集到的信息进行分析处理,判断网络是否遭到入侵攻击。入侵检测系统的主要功能包括:u 监视、分析用户及系统活动。u 系统结构和安全漏洞的审计。u 识别网络入侵攻击的活动模式并提出告警。u 异常行为模式的统计分析。u 重要系统和数据文件的完整性评估。u 操作系统的审计跟踪管理与违反安全策略行为的识别。对所采集到的有关系统、网络、数据及用户活动的状态和行为等特征信息,可通过以下三种技术方法进行分析:u 模式匹配:将采集到的信息与已知的网络入侵和系统误用模式进行匹配,从而
42、发现违背安全策略的行为。该方法只需要收集与模式相关的特征信息集合,便可显著减少系统负荷,并且技术已相当成熟,检测准确率和效率都较高,但需要不断对模式信息进行更新。u 统计分析:对系统对象(用户、文件、目录和设备等)创建若干特征属性,并通过对这些属性值的观测,将属性值的显著偏离界定为网络入侵事件的发生。该方法能检测未知的和复杂的入侵活动,但误报、漏报率较高,且无法适应用户正常行为模式的突然改变。u 完整性分析:重点检测特定文件或对象是否被更改(包括文件和目录的内容和属性),这种方法对于被更改或特洛伊化应用程序的检测方面特别有效,缺点是一般以批处理方式实现,不能用于实时响应。4.3.4漏洞扫描漏洞
43、检测系统负责定期或不定期地调用网络安全性分析、操作系统安全性分析软件对整个内部系统进行安全扫描和检测,及时发现网络新的安全漏洞并予以补救。(1)网络安全性监测网络的安全性分析重点对网络中的关键系统部件进行实践性的扫描分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险并提出建议的补救措施。(2)操作系统安全性监测操作系统安全性分析需要以管理员的身份从系统内部对操作系统进行全面的扫描分析和定期继承性检测分析,发现并报告系统的弱点/漏洞/不安全的系统配置,不明的系统修改和黑客攻击迹象,评估操作系统的安全风险,建议补救措施和安全策略。4.3.5病毒防治病毒防治系统部分专门负责对各类计算机病毒的检
44、测与杀灭,其主要功能包括:u 系统病毒预防:预防系统自身常驻系统内存,优先获得系统的控制权,监视和检测系统中的计算机病毒,并阻止病毒进入系统和对系统进行破坏。预防手段包括加密可执行程序、系统引导区保护、系统监控与读写控制。u 病毒诊断:根据计算机病毒的特征来判断病毒的种类。为实现有效的病毒诊断,必须对病毒特征信息进行定期更新,并提高系统预测新病毒种类的能力。u 病毒杀灭:对计算机资源进行分析和检测,并对发现的病毒予以杀灭处理,恢复原文件。u 网络病毒检测:对网络上常见的应用的信息流进行检测,防止计算机病毒通过网络途径传播。4.3.6安全审计安全审计负责对内部网各类系统的全部活动的过程轨迹进行记
45、录,以便为事后的安全审计追踪、系统安全漏洞分析提供原始证据。安全审计功能是很多其他安全技术的基础,是网络系统中一个不可缺少的部分。(1)安全审计事件自动响应安全审计系统对目标系统中发生的各类安全违例事件(包括实时报警的生成、违例进程的终止、中断服务、用户帐号的失效等)进行实时的响应。其中安全审计事件的数量直接关系到审计数据的容量和审计分析的工作量,因此安全审计事件应由管理员根据安全管理策略的需要灵活设置。(2)安全审计数据生成对安全审计事件所产生的审计数据来源主要包括:对于敏感数据项(如口令等)的访问、目标对象的删除、访问权限或能力的授予和废除、主体或目标的安全属性的改变以及标识定义和用户授权认证功能的使用等方面。(3)安全审计数据存储由于安全审计数据的有效性直接影响到系统审计分析和入侵检测的有效性,因此必须对审计数据采取必要的保护措施防止其被篡改或破坏,并对安全审计数据的使用进行严格的访问控制。安全审计数据存储保护机制应使审计信息不受审计存储空间耗尽、审计存储故障、各种非法攻击和其他非预期事件的影响。(4)安全审计分析对安全审计数据进行分析和处理,一般需要结合入侵检测机制进行,也可作为对安全违例事件的自动响应,可实现对网络可疑行为的检测与识别。4.3.