《信息系统安全技术-整体安全解决方案V22.pptx》由会员分享,可在线阅读,更多相关《信息系统安全技术-整体安全解决方案V22.pptx(60页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息系统安全技术信息系统安全技术 -整体网络安全解决方案整体网络安全解决方案何长龙何长龙 高级工程师高级工程师产品、服务质量保证体系产品、服务质量保证体系安全知识培训安全知识培训安全知识培训安全知识培训网络设备组件的加固与维护网络设备组件的加固与维护网络设备组件的加固与维护网络设备组件的加固与维护日常检测日常检测日常检测日常检测漏洞漏洞漏洞漏洞/异常攻击事故报告异常攻击事故报告异常攻击事故报告异常攻击事故报告应急事故恢复应急事故恢复应急事故恢复应急事故恢复安全中心安全中心安全中心安全中心风险分析、风险分析、风险分析、风险分析、制定制定制定制定/实施实施实施实施/维护安全策略维护安全策略维护安全
2、策略维护安全策略利用企业的资源最大限度地满足客户的需求!利用企业的资源最大限度地满足客户的需求!利用企业的资源最大限度地满足客户的需求!利用企业的资源最大限度地满足客户的需求!基于角色的培训基于角色的培训基于角色的培训基于角色的培训安全动态知识长期培训安全动态知识长期培训安全动态知识长期培训安全动态知识长期培训主机保护产品主机保护产品主机保护产品主机保护产品组件加固服务组件加固服务组件加固服务组件加固服务 网络入侵检测产品网络入侵检测产品网络入侵检测产品网络入侵检测产品漏洞扫描产品漏洞扫描产品漏洞扫描产品漏洞扫描产品应急服务小组应急服务小组应急服务小组应急服务小组攻防实验室攻防实验室攻防实验室
3、攻防实验室安全分析工程师安全分析工程师安全分析工程师安全分析工程师安全知识数据库维护安全知识数据库维护安全知识数据库维护安全知识数据库维护网络安全与信息安全网络安全与信息安全网络安全与信息安全网络安全与信息安全 安全的定义安全的定义 远离危险的状态或特性,为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。安全不是技术安全不是技术安全不是技术安全不是技术,安全是一个过程。安全是一个过程。安全是一个过程。安全是一个过程。网络安全网络安全网络的组成方式、拓扑结构和网络应用 信息安全信息安全信息的来源、去向,内容的真实无误及保证信息的完整性,信息不会被非法泄露扩散保证信息的保密性 网络信息安全的
4、基本要求网络信息安全的基本要求数据的保密性、数据的完整性、数据的可用性、数据的可控性 网络信息安全技术体系网络信息安全技术体系身份认证技术身份认证技术密码技术密码技术访问控制技术访问控制技术防病毒技术防病毒技术防火墙技术防火墙技术漏洞扫描技术漏洞扫描技术入侵检测技术入侵检测技术审计技术审计技术INTERNET案例一:网络拓扑分析应用案例一:SVPN典型应用服务子网服务子网服务子网服务子网代理服务器代理服务器邮件服务器邮件服务器内部子网内部子网管理中心网络管理中心网络管理中心网络管理中心网络DNS服务器服务器路由器路由器路由器路由器分支子网分支子网分支子网分支子网2 2路由器路由器路由器路由器代
5、理服务器代理服务器代理服务器代理服务器分支子网分支子网分支子网分支子网1 1路由器路由器路由器路由器网络现状分析 内部子网采用私有地址,通过代理服务器访问内部子网采用私有地址,通过代理服务器访问INTERNET 服务子网对外提供服务子网对外提供WWW服务和电子邮件服务服务和电子邮件服务 服务子网和内部子网与服务子网和内部子网与INTERNET之间无之间无任何保护措任何保护措 施施,无网络安全管理手段无网络安全管理手段 中心子网与分支子网通过中心子网与分支子网通过INTERNET网络连接并有重要信网络连接并有重要信息传递息传递应用案例一:SVPN典型应用安全需求分析 内部与外部的隔离内部与外部的
6、隔离 实现对子网之间通信的加密传输实现对子网之间通信的加密传输 用网关设备代替代理服务器用网关设备代替代理服务器 外部能访问内部指定区域提供的服务外部能访问内部指定区域提供的服务 能够对内部网络与外部网络之间的通信进行审计能够对内部网络与外部网络之间的通信进行审计 其它安全要求其它安全要求应用案例一:SVPN典型应用INTERNET案例一:网络安全设计服务子网服务子网服务子网服务子网代理服务器代理服务器邮件服务器邮件服务器内部子网内部子网管理中心网络管理中心网络管理中心网络管理中心网络DNS服务器服务器路由器路由器路由器路由器分支子网分支子网分支子网分支子网2 2路由器路由器路由器路由器代理服
7、务器代理服务器代理服务器代理服务器分支子网分支子网分支子网分支子网1 1路由器路由器路由器路由器NEsec300 FW2035968?告警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电 源CAMANSG1SG2SG3应用案例一:SVPN典型应用实现的主要功能 子网之间的通信加密子网之间的通信加密 各子网与外部网络的访问控制各子网与外部网络的访问控制 实现网络地址转换(实现网络地址转换(NAT)其它其它 管理中心对各子网安全进行统一管
8、理管理中心对各子网安全进行统一管理应用案例一:SVPN典型应用安全策略实施 安全策略制定安全策略制定 安全策略实现安全策略实现 安全策略修改安全策略修改 其它其它 安全策略检验安全策略检验应用案例一:SVPN典型应用DDNE-MAIL省管理中心网络省管理中心网络路由器路由器路由器路由器路由器路由器某寻呼台信息网络DNS县网络中心县网络中心县网络中心县网络中心其它其它应用案例二:防火墙典型应用网络现状分析及需求 内部所有网络采用私有地址,自成体系内部所有网络采用私有地址,自成体系 省和县通过省和县通过DDN专线进行网络通信专线进行网络通信 使用防火墙的使用防火墙的NAT功能使所有用户能访问功能使
9、所有用户能访问INTERNET,并进行访问控制,并进行访问控制 通过通过ADSL接入接入INTERNET 能对外提供能对外提供INTERNET服务服务应用案例二:防火墙典型应用DDNE-MAIL管理中心网络路由器路由器路由器路由器路由器路由器其它其它NEsec300 FW2035968?告告警警内网接口内网接口外网接口外网接口电电 源源INTERNET防火墙防火墙ADSL县网络中心县网络中心县网络中心县网络中心省管理中心网络省管理中心网络应用案例二:防火墙典型应用主要实现的功能 提供访问控制提供访问控制 提供网络地址转换(提供网络地址转换(NAT)内部所有用户都能)内部所有用户都能够访问够访问
10、INTERNET 其它其它应用案例二:防火墙典型应用内部核心子网INTERNET分支机构1分支机构2电子政务网络拓扑概述电子政务网络拓扑概述应用案例三:综合应用领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1电子政务网络拓扑详细分析电子政务网络拓扑详细分析应用案例三:综合应用领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感信息电子政务网络风险及需求分析电子政务网络风险及需求分析分支机构工作分支机构工作人员正试图在人员正试图在领导
11、层子网安领导层子网安装木马装木马分支机构工作分支机构工作人员正试图越人员正试图越权访问业务子权访问业务子网安装木马网安装木马非内部人员正试图篡改公共网络服务器的数据应用案例三:综合应用领导层子网业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源INTERNETNEsec300 FW2035968?告警内网接口外网接口电源防火墙防火墙FW1防火墙防火墙FW2防火墙防火墙FW3安全认证服务器安全认证服务器安全管理器安全管理器安全网关安
12、全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器交换机交换机电子政务网络内网基础网络平台安全电子政务网络内网基础网络平台安全应用案例三:综合应用NEsec300 FW2035968?告警内网接口外网接口电源分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安
13、全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器内网核心网络与各级子网间的安全设计内网核心网络与各级子网间的安全设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路
14、由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器网络漏洞扫描器网络漏洞扫描器内网网络漏洞扫描系统设计内网网络漏洞扫描系统设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认
15、证服务器安全认证服务器网络入侵检测探头网络入侵检测探头网络入侵策略管理网络入侵策略管理器器内网网络入侵检测系统设计内网网络入侵检测系统设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器防火墙防火墙FW物理隔离器(K1)E-MAIL服务器应用服务器数据库服务器电子政务外网基础平台安全设计电子政务外网基础平台安全设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器防火墙防火墙FW物理隔离器(K1)E-MAIL服务器应用服务器数据库服务器网络漏洞扫描器网络
16、漏洞扫描器外网网络漏洞扫描系统设计外网网络漏洞扫描系统设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器物理隔离器(K1)E-MAIL服务器应用服务器数据库服务器网络漏洞扫描器网络漏洞扫描器网络入侵检测探头网络入侵检测探头网络入侵策略管理器网络入侵策略管理器防火墙防火墙FW外网网络入侵检测系统设计外网网络入侵检测系统设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器物理隔离器(K2)E-MAIL服务器应用服务器数据库服务器防火墙防火墙FW物理隔离器
17、(K1)办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)政府系统办公政府系统办公业务资源网业务资源网(简称(简称“专网专网”)Web网站监网站监测测&自动修自动修复系统复系统 外网外网WEB服务器安全设计服务器安全设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器物理隔离器(K2)E-MAIL服务器应用服务器数据库服务器防火墙防火墙FW物理隔离器(K1)办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)政府系统办公业政府系统办公业务资源网(简称务资源网(简称“专网专网”)内网、外网和专网的隔离系统设
18、计内网、外网和专网的隔离系统设计典型整体解决方案的应用案例应用案例一:成都市某机关单位应用案例二:北京市某机关单位应用案例三:国家某部委全国信息网络系统应用案例四:电子政务安全应用平台 相对性相对性 综合性:涉及管理及技术多个层面综合性:涉及管理及技术多个层面 网络安全产品的单一性网络安全产品的单一性 动态性:技术跟进和维护支持的重要性动态性:技术跟进和维护支持的重要性 管理难度大管理难度大 黑盒性黑盒性网络安全特点网络安全特点P2DRP2DR:动态安全模型:动态安全模型 信息安全产品的平台化战略信息安全产品的平台化战略围绕围绕COECOE所提供的关键业务的风险分析所提供的关键业务的风险分析形
19、成对各种风险的适度控制机制形成对各种风险的适度控制机制把各安全控制的功能模块融合在一个统一把各安全控制的功能模块融合在一个统一的管理、监控和响应的平台中的管理、监控和响应的平台中信息安全平台化战略是信息安全平台化战略是COECOE的重要组成部的重要组成部分分 对网络安全现状作出正确判断对网络安全现状作出正确判断 较为准确地估计特定网络用户的风险较为准确地估计特定网络用户的风险 建立相应的控制风险的机制建立相应的控制风险的机制,并把这些并把这些 机制容为一体形成防护体系机制容为一体形成防护体系 最大限度地提高系统的可用性最大限度地提高系统的可用性,并把网并把网 络带来的风险减低到可接受程度络带来
20、的风险减低到可接受程度网络信息安全目标网络信息安全目标动态网络安全防护策略动态网络安全防护策略网络安全策略网络安全策略业务需求业务需求威胁及风险分析威胁及风险分析国家国家,行业行业,安全相关安全相关的法律法规的法律法规业务系统安全策略业务系统安全策略个人安全策略个人安全策略安全技术标准化策略安全技术标准化策略管理策略管理策略风险评估与安全登记划分风险评估与安全登记划分计算机系统与网络安全策略计算机系统与网络安全策略物理安全与环境保护策略物理安全与环境保护策略管理安全规范管理安全规范教育与培训策略教育与培训策略标识标识,认证策略认证策略信息保密与完整性策略信息保密与完整性策略授权与访问控制策略授
21、权与访问控制策略抗抵赖策略抗抵赖策略安全审计策略安全审计策略入侵监测策略入侵监测策略病毒防范策略病毒防范策略响应与恢复策略响应与恢复策略容错与备份容错与备份用户角色用户角色,级别级别用户账号及认证方式用户账号及认证方式防火墙访问控制链表防火墙访问控制链表.局部可执行安全策略局部可执行安全策略全局自动安全策略全局自动安全策略组织安全策略组织安全策略谢谢!谢谢!演讲完毕,谢谢观看!附录资料:不需要的可以自行删除企业信息化概述企业信息化概述 一、什么是企业信息化?企业数据信息的收集、处理、传输计算机化、网络化。企业经营、管理、生产信息化。l企业办公自动化(OA)l企业管理信息化系统(指MIS/MRP
22、II/ERP/CRM/SCM等中的某个或部分系统);l企业的主要产品实现CAD,CAE,CAPP/CAM;l建立企业Intranet 或网站,开展电子商务(EC);l发展DSS(Decision Support System),ESS(Executive Support System),ES(Expert System)ERP的四大核心思想的四大核心思想 1.以业务流程重组以业务流程重组(BPR)为先导为先导 传统商务环境下,企业多按职能部门进行具体传统商务环境下,企业多按职能部门进行具体业务的运作与考核。按专业职能分别执行任务,业务的运作与考核。按专业职能分别执行任务,各自处理信息,阻隔了各
23、部门间的信息交流与共各自处理信息,阻隔了各部门间的信息交流与共享,也降低了具体业务在企业内部的运行效率。享,也降低了具体业务在企业内部的运行效率。ERP要求企业将采购、生产、销售、财务、决策要求企业将采购、生产、销售、财务、决策等不同部门的工作进行有效整合,依物流、资金等不同部门的工作进行有效整合,依物流、资金流设计具体业务流程,及时汇总整理每日营运资流设计具体业务流程,及时汇总整理每日营运资料,实时跟踪生产过程,处理生产中的动态信息,料,实时跟踪生产过程,处理生产中的动态信息,从而实现从而实现 JIT管理,全面质量控制,变管理,全面质量控制,变“结果管结果管理理”为为“过程管理过程管理”。实
24、施。实施ERP首先要进行业务首先要进行业务流程重组。流程重组。ERP的四大核心思想的四大核心思想 2以供应链管理以供应链管理(SCM)为重点为重点 ERP系统在系统在MRPII的基础上扩展了管理范围,的基础上扩展了管理范围,它把客户需求和企业内部的制造活动以及供应商它把客户需求和企业内部的制造活动以及供应商的制造资源整合在一起,形成一个完整的供应链,的制造资源整合在一起,形成一个完整的供应链,并对供应链上的所有环节进行有效管理。供应链并对供应链上的所有环节进行有效管理。供应链跨越了部门与企业,形成了以产品或服务为核心跨越了部门与企业,形成了以产品或服务为核心的业务流程。包括原材料供应商、产品制
25、造商、的业务流程。包括原材料供应商、产品制造商、分销商与零售商和最终用户。分销商与零售商和最终用户。SCM从市场竞争从市场竞争出发,实现了上下游企业资源与业务的重组,大出发,实现了上下游企业资源与业务的重组,大大改善了社会经济活动中物流与信息流运转的效大改善了社会经济活动中物流与信息流运转的效率和效果,消除了中间冗余的环节,减少了浪费,率和效果,消除了中间冗余的环节,减少了浪费,避免了延误。避免了延误。ERP的四大核心思想的四大核心思想 3以客户关系管理以客户关系管理(CRM)为中心为中心 市场的激烈竞争使企业关注的焦点逐渐由关市场的激烈竞争使企业关注的焦点逐渐由关注产品转移到关注客户上来。尤
26、其是在营销、注产品转移到关注客户上来。尤其是在营销、客户服务等与客户直接打交道的前台领域。客客户服务等与客户直接打交道的前台领域。客户关系管理帮助企业最大限度地利用以客户为户关系管理帮助企业最大限度地利用以客户为中心的资源,并将这些资源集中应用于现有客中心的资源,并将这些资源集中应用于现有客户和潜在客户身上。其目标是通过缩短销售周户和潜在客户身上。其目标是通过缩短销售周期和降低销售成本,通过寻求扩展业务所需的期和降低销售成本,通过寻求扩展业务所需的新市场和新渠道,并通过增进客户价值、客户新市场和新渠道,并通过增进客户价值、客户满意度、盈利能力以及客户的忠诚度等方面来满意度、盈利能力以及客户的忠
27、诚度等方面来改善企业的管理改善企业的管理。ERP的四大核心思想的四大核心思想 4全面整合企业内外资源全面整合企业内外资源 ERP将围绕帮助企业实现管理模式的调将围绕帮助企业实现管理模式的调整以及为企业提供电子商务解决方案服务。整以及为企业提供电子商务解决方案服务。它支持企业的动态联盟、以团队为核心的它支持企业的动态联盟、以团队为核心的扁平化组织结构方式和协同工作方式,通扁平化组织结构方式和协同工作方式,通过计算机网络将企业、用户、供应商及其过计算机网络将企业、用户、供应商及其他商贸活动涉及的职能机构集成起来,实他商贸活动涉及的职能机构集成起来,实现信息流、物流和资金流的有效流转和优现信息流、物
28、流和资金流的有效流转和优化。化。ERP应用效果的国际评判标准应用效果的国际评判标准 被称为被称为“MRP”之父的之父的Oliver Wilt开设开设了一家国际权威的企业资源计划评审了一家国际权威的企业资源计划评审机构,他把实施效果按照应用水平定机构,他把实施效果按照应用水平定为四个级别,从优秀开始,分别为为四个级别,从优秀开始,分别为A、B、C、D,每一级都有明确的标准,每一级都有明确的标准。A级企业的标准级企业的标准 全公司上下必须都在有效地运用全公司上下必须都在有效地运用ERP系统,从系统,从销售管理、客户服务到生产制造和库存管理,销售管理、客户服务到生产制造和库存管理,从车间作业到物资采
29、购以及计划预算等等。经从车间作业到物资采购以及计划预算等等。经过一定的数据积累,企业的高层管理人员可以过一定的数据积累,企业的高层管理人员可以通过通过ERP系统中的决策支持系统,全面地了解系统中的决策支持系统,全面地了解和掌握企业的经营状况,准确地分析和制订企和掌握企业的经营状况,准确地分析和制订企业的发展方向,有效地控制和降低企业的运作业的发展方向,有效地控制和降低企业的运作成本。同时,企业的中层管理者可以通过成本。同时,企业的中层管理者可以通过ERP系统安排好相应的采购计划、生产计划、销售系统安排好相应的采购计划、生产计划、销售计划和资金计划。并且,企业的基层管理队伍计划和资金计划。并且,
30、企业的基层管理队伍可以通过可以通过ERP系统操作下达日常的工作指令。系统操作下达日常的工作指令。B级企业的标准级企业的标准 在在ERP系统的选型、实施和应用过程系统的选型、实施和应用过程中,都能得到企业的高层管理人员的中,都能得到企业的高层管理人员的支持,但在决策支持方面,支持,但在决策支持方面,ERP系统系统没有提供足够的帮助,而仅限于中层没有提供足够的帮助,而仅限于中层管理者和基层管理队伍的使用。管理者和基层管理队伍的使用。C级企业的标准级企业的标准 一般都以多部门局部应用为主,一般都以多部门局部应用为主,ERP系统主要系统主要作为客户销售订单录入、制造作业单管理、作为客户销售订单录入、制
31、造作业单管理、采购计划编制、财务凭证录入和财务报表产生采购计划编制、财务凭证录入和财务报表产生的工具。以库存管理为主,企业的每个或多个的工具。以库存管理为主,企业的每个或多个部门都在独立地运用部门都在独立地运用ERP系统,业务部门和财系统,业务部门和财务部门没有完全集成。如果企业在定位上是一务部门没有完全集成。如果企业在定位上是一个集成的系统,只是在实施中没有达到集成的个集成的系统,只是在实施中没有达到集成的效果,企业可以通过一定的业务流程重组效果,企业可以通过一定的业务流程重组(BPR)来帮助进行有效的来帮助进行有效的ERP系统实施。如果系统实施。如果企业选择的并不是一个集成的系统,无论如何
32、企业选择的并不是一个集成的系统,无论如何调整和实施也不能达到更高标准。调整和实施也不能达到更高标准。D级企业的标准级企业的标准 ERP应用往往是单一部门的,例如,财应用往往是单一部门的,例如,财务部门在用,其他部门由于数据不准确,务部门在用,其他部门由于数据不准确,或者对系统缺乏全面深人的了解而搁置或者对系统缺乏全面深人的了解而搁置不用。不用。企业信息化的一般模式企业信息化的一般模式 1前台:建立电子商务应用平台前台:建立电子商务应用平台 (1)建立基础电子商务平台。内容包括企业的建立基础电子商务平台。内容包括企业的主页、企业产品的广告宣传、企业形象的宣传、主页、企业产品的广告宣传、企业形象的
33、宣传、企业服务内容的介绍,以及其他如电子邮件等企业服务内容的介绍,以及其他如电子邮件等功能。功能。(2)建立电子商务应用模式。不同企业具有不建立电子商务应用模式。不同企业具有不同的电子商务应用模式。可包括卖方解决方案,同的电子商务应用模式。可包括卖方解决方案,买方解决方案和第三方交易平台,即以中介形买方解决方案和第三方交易平台,即以中介形式在网上将供应商和采购商联系在一起,通过式在网上将供应商和采购商联系在一起,通过向客户提供会员服务收取月租费或按交易记录向客户提供会员服务收取月租费或按交易记录收取交易费。收取交易费。企业信息化的一般模式企业信息化的一般模式 2后台:建立以后台:建立以ERP为
34、核心的集成系统为核心的集成系统 一个真正信息化的企业,企业内外所一个真正信息化的企业,企业内外所有的工作都应在统一的信息化平台上完成。有的工作都应在统一的信息化平台上完成。这些内容包括企业资源计划、计算机集成这些内容包括企业资源计划、计算机集成制造、供应链管理、客户关系管理、电子制造、供应链管理、客户关系管理、电子商务、办公自动化等等。商务、办公自动化等等。企业实施信息化的风险企业实施信息化的风险 根据美国史坦迪公司的调查数据,企业根据美国史坦迪公司的调查数据,企业信息化的成功率为信息化的成功率为26。不成功的因素。不成功的因素包括:包括:“撤项撤项”、“降低项目目标降低项目目标”、“资金超出
35、预算资金超出预算(平均超平均超178)”、“项项目周期无限拖长目周期无限拖长(平均超平均超230)”。由于。由于国内后两项通常不判定为失败,因此按国内后两项通常不判定为失败,因此按国内标准美国信息化的成功率为国内标准美国信息化的成功率为60左左右。因此,企业实施信息化工程存在着右。因此,企业实施信息化工程存在着较大风险。较大风险。企业实施信息化的风险企业实施信息化的风险 1财务风险财务风险 信息化项目投资少则上百万,多则数信息化项目投资少则上百万,多则数千万,包括千万,包括ERP软件费、网络硬件费、软件费、网络硬件费、实施服务费实施服务费(费用比大致为费用比大致为1:2:3)。如。如果企业信息
36、化实施失败,会带来较大财果企业信息化实施失败,会带来较大财务损失。务损失。企业实施信息化的风险企业实施信息化的风险 2实施风险实施风险 实施风险包括实施风险包括ERP软件选型、实施服软件选型、实施服务商选择、实施进度控制、实施成本控务商选择、实施进度控制、实施成本控制等方面。上述企业信息化实施工作不制等方面。上述企业信息化实施工作不当,轻则增加成本、延长进程,重则导当,轻则增加成本、延长进程,重则导致企业信息化实施失败。致企业信息化实施失败。企业实施信息化的风险企业实施信息化的风险 3业务风险业务风险 业务风险包括业务量增加、业务流程业务风险包括业务量增加、业务流程混乱、业务数据混乱、业务处理
37、错误等混乱、业务数据混乱、业务处理错误等方面。业务风险常发生在新系统上线初方面。业务风险常发生在新系统上线初期,不仅影响企业业务工作的开展,导期,不仅影响企业业务工作的开展,导致企业业务损失,而且会增加企业信息致企业业务损失,而且会增加企业信息化实施工作的成本和进程。化实施工作的成本和进程。企业实施信息化的风险企业实施信息化的风险 4管理风险管理风险 管理风险包括组织结构不合理、管理管理风险包括组织结构不合理、管理思想混乱、管理职能虚化、员工凝聚力思想混乱、管理职能虚化、员工凝聚力下降等方面。管理风险存在于企业信息下降等方面。管理风险存在于企业信息化实施工作的全过程,轻则增加成本、化实施工作的
38、全过程,轻则增加成本、延长进程,重则导致企业信息化实施失延长进程,重则导致企业信息化实施失败。败。企业实施信息化的风险企业实施信息化的风险 5环境风险环境风险 环境风险包括系统安全风险、关联方环境风险包括系统安全风险、关联方业务合作风险等。企业信息化不仅是对业务合作风险等。企业信息化不仅是对企业内部的一场革命,而且会影响到外企业内部的一场革命,而且会影响到外部与企业业务相关的方方面面。从某种部与企业业务相关的方方面面。从某种意义上讲,一个企业的信息化与社会信意义上讲,一个企业的信息化与社会信息化相互相成。息化相互相成。企业实施信息化的若干经验企业实施信息化的若干经验 1清晰准确的项目目标清晰准
39、确的项目目标 企业要结合自身内外部的实际情况和企业要结合自身内外部的实际情况和企业的发展战略制定出清晰准确的项目企业的发展战略制定出清晰准确的项目目标。对于计算机应用基础薄弱的中小目标。对于计算机应用基础薄弱的中小企业必须坚持效益优先,不能盲目追求企业必须坚持效益优先,不能盲目追求“高大全高大全”。企业实施信息化不能简单。企业实施信息化不能简单地把地把ERP理解为现有业务流程的电子化。理解为现有业务流程的电子化。信息化首先是一场管理变革,借助外脑信息化首先是一场管理变革,借助外脑如专业咨询机构参与项目目标的评估与如专业咨询机构参与项目目标的评估与制定。制定。企业实施信息化的若干经验企业实施信息
40、化的若干经验 2强有力的项目团队强有力的项目团队 企业信息化绝对不能单纯依靠企业信息化绝对不能单纯依靠IT部门,部门,应成立项目领导小组、项目实施小组和应成立项目领导小组、项目实施小组和项目关键用户三级项目组织。尤其是项项目关键用户三级项目组织。尤其是项目实施小组成员应业务经验丰富、目实施小组成员应业务经验丰富、IT素素质高、富有创新思维,并赋予其部门业质高、富有创新思维,并赋予其部门业务与流程改造的权利。要注意三级项目务与流程改造的权利。要注意三级项目组织之间的工作联结。对项目的实施应组织之间的工作联结。对项目的实施应实行规范的项目管理与业绩考核制度。实行规范的项目管理与业绩考核制度。企业实
41、施信息化的若干经验企业实施信息化的若干经验 3变革管理体制变革管理体制 要按照整体流程最优的原则,结合企业要按照整体流程最优的原则,结合企业的实际情况,对企业的组织结构、业务的实际情况,对企业的组织结构、业务流程、管理模式进行改造。流程、管理模式进行改造。企业实施信息化的若干经验企业实施信息化的若干经验 4实行项目监理制度实行项目监理制度 项目监理作为建设方授权的代表,对项目监理作为建设方授权的代表,对项目实施发挥监督、控制、协调和建议项目实施发挥监督、控制、协调和建议作用,确保项目实施质量、进度和成本作用,确保项目实施质量、进度和成本三个方面的控制目标。建设方通过引入三个方面的控制目标。建设
42、方通过引入项目监理,监督和指导承建方与建设方项目监理,监督和指导承建方与建设方密切配合并确保项目业务需求的完整性,密切配合并确保项目业务需求的完整性,整体解决方案的先进性、合理性和实用整体解决方案的先进性、合理性和实用性。项目监理在项目实施过程中,同时性。项目监理在项目实施过程中,同时扮演参谋和顾问角色。扮演参谋和顾问角色。企业实施信息化的若干经验企业实施信息化的若干经验 4实施企业信息化要循序渐进实施企业信息化要循序渐进 实施企业信息化是一项系统工程,涉及实施企业信息化是一项系统工程,涉及资金、技术、管理、人员、环境等各个资金、技术、管理、人员、环境等各个方。要实现企业基础管理的规范化,尤方。要实现企业基础管理的规范化,尤其是基础数据的规范。要不断提高各级其是基础数据的规范。要不断提高各级管理人员和全体员工的管理人员和全体员工的IT素质。要注意素质。要注意流程和机构改造对项目实施的影响。企流程和机构改造对项目实施的影响。企业信息化要遵循全面规划、分步实施的业信息化要遵循全面规划、分步实施的原则。原则。