供应链网络安全管理办法篇1
网络产品和服务安全审查办法
(试行)
第一条为提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。
第二条关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。
第三条坚持企业承诺与社会监督相结合,第三方评价与政府持续监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其供应链进行网络安全审查。
第四条网络安全审点审查网络产品和服务的安全性、可控性,主要包括:
(一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;
(二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;
(三)产品和服务提供者利用提品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;
(五)其他可能危害国家安全的风险。
第五条国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
网络安全审查办公室具体组织实施网络安全审查。
第六条网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
第七条国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。
第八条网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等,按程序确定审查对象,组织第三方机构、专家委员会对网络产品和服务进行网络安全审查,并或在一定范围内通报审查结果。
第九条金融、电信、能源、交通等重点行业和领域主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
第十条公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。
第十一条承担网络安全审查的第三方机构,应当坚持客观、公正、公平的原则,按照国家有关规定,参照有关标准,重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价,并对评价结果负责。
第十二条网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。
第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。
第十三条网络安全审查办公室不定期网络产品和服务安全评估报告。
第十四条网络产品和服务提供者认为第三方机构等相关单位和人员有失客观公正,或未能对审查工作中获悉的信息承担安全保密义务的,可以向网络安全审查办公室或者有关部门举报。
供应链网络安全管理办法篇2
关键词气象局通讯网络;系统设计与规划;设计原则;建设目标教师
随着计算机信息技术和气象现代业务的快速发展,对气象通讯网络的可靠性提出了越来越高的要求。保证各项业务每天24h的稳定运行、使通讯网络具有高可靠性和最大限度的避免单点故障,已经成为研究的课题。代网
目前,从枣庄气象通讯网络的实际情况看,市局到县局还没有建设网络设备的热备和冗余链路,出现故障后只能通过手动拨号作为备份,同时2m的带宽也很难适应以后发展的需要;网络核心虽然采用稳定可靠的H3C设备,并有冷备方案,但在理论上仍存在核心故障和冷备不及时的可能;县级只有2层的网络设备,不能满足建设市到县视频会议系统的要求。这就需要从整个网络的结构设计、设备选型和日常维护等方面进行网络的高可靠性设计和改造。为更好地满足气象现代业务快速发展的要求和提供更好的通讯网络保障能力,枣庄市气象局设计和规划了较先进的立体式、全方位综合气象通讯网络系统。其设计完成与规划构建,全面提高了枣庄市气象局通讯网络保障能力。
1设计原则
结合枣庄市气象系统的业务特点和发展要求,在进行气象通讯网络设计时应遵循以下原则:一是实用性原则。以满足当前需求为基础,在节省投资的同时,充分考虑发展的需要来确定系统规模。按照模块化、层次化的原则,使网络系统具有较好的伸缩性,可以根据网络建设的不同阶段灵活配置和扩展。二是安全性原则。充分重视网络安全工作,在已有安全系统的基础上进一步提高网络的整体安全性。三是先进性原则。网络系统结构设计、系统配置、系统管理方式等方面应采用先进的同时又是成熟、实用的技术。四是可靠性原则。骨干网络能有效地避免单点故障,在设备的选择和关键设备互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面保证网络能在最短时间内修复。五是高可用性原则。通讯网络应具有较高的可靠性和可用性,关键设备、线路能做到实时备份和故障自动切换,网络系统具有较好的容错功能,骨干网络没有单故障点,以确保各种业务的正常运行。六是规范性原则。所采用的技术和设备应符合国际标准、国家标准和业界标准,为系统的扩展升级、与其他系统的互联提供良好的基础。七是开放性和标准化原则。使用开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。八是可管理性原则。规划后的网络系统应易于管理,易于维护,在设备、安全性、数据流量、性能等方面能很好地监视和控制、远程管理和诊断故障[1-4]。
2建设目标
一是建设并升级市局到县局6m主用链路,保留现在2m的SDH作为备用链路。二是通过网络可靠冗余性设计,实现核心交换机和市局到县局骨干网络的冗余热备。当任何一个核心交换出现故障后,另一个核心将自动备份;市局到县局主链路或设备故障,所有流量自动切换到2m的SDH备用链路;当备用链路或设备故障,流量自动切换到主用链路。以此实现网络平台的高可靠性。三是利用设备自身安全设置、分层分区访问控制,与防火墙、桌面安全管理系统配合实现网络平台的高安全性。四是利用路由协议和VRRp技术实现业务流量分流,使用2mSDH备用链路承载视频会议,主链路承载业务数据、办公和上网等流量;利用QoS技术实现针对不同应用提供不同的服务质量,使网络对气象业务数据、办公、视频会议、语音、全景监控等业务提供良好支持,实现网络平台的高可用性。五是利用集中网络管理系统实现全网设备统一管理,通过网络管理系统和其他网络软件实现全网流量和设备的高可见性管理,实现网络平台较好的可管理性。
3系统设计与规划内容
系统的设计与规划内容主要包含骨干网络、路由协议、可靠冗余性、视频会议系统、网络安全性等方面。
3.1骨干网络
枣庄市气象局通讯网络由1个市气象局中心节点和5个县局分节点构成,业务流向以省局?圮市局?圮县局这样的纵向流为主。根据业务走向,最适合的网络模型是星型组网。即以市气象局为中心,5个县气象局通过广域网链路接入市气象局,从而构成1个从县局到市局的2级双星型组网架构。
3.2路由协议
根据气象通讯网络的结构选择合适的路由协议,能够实现优化的网络路径选择,同时具有路径均衡功能,在网络结构发生变化时数据能够通过其他路径迂回,以保证网络的畅通。因此,选择适当的路由协议非常重要。枣庄市气象局通讯网络在构建中,使用与省气象网络相同的oSpF路由协议,避免了由于大量的静态路由设置造成的管理复杂和可能出现的路由环路问题,可为以后统一规划和互联提供基础,使得网络在以后的扩展中具有更多的选择空间。
3.3可靠冗余性
枣庄市气象局通讯网络设计首先从网络结构上保证了高可靠性和高冗余性。一是骨干网络采用双星形冗余架构设计,通过动态路由协议、不间断路由等技术实现广域传输的可靠性。二是局域网络设备采用双线路连入核心网络设备,核心网络设备配合动态路由协议、VRRp等技术实现局域网络的可靠性。
3.4视频会议系统
视频会议是通过传输实时的视频和语音来进行信息交流,因此对传输网络的要求较高,除了需要保证足够的可用带宽外,还要求传输线路稳定、无拥塞、网络延迟小。利用市到县2m的SDH备用链路承载视频会议可以有效利用备用链路的独立带宽,避免备用链路闲置浪费。备用链路在正常情况下没有其他数据传输,其他流量也不会对视频流造成任何影响,没有带宽争用的问题,2m带宽也完全可以满足视频会议的要求,这样就为视频会议的传输提供了很好的保障。为实现上述目标,需要为视频会议系统划分单独的子网,并利用区县路由器和市局2m的SDH线路汇聚路由器上单独的以太口连接。在市县路由器上合理配置静态路由和VRRp可以实现视频会议流量由备用链路传输。
3.5网络安全性
3.5.1网络设备安全。网络设备除了应该满足电磁安全、环境、安全规定等相关标准外,还应对路由器和交换机进行安全加固,关闭无用服务,以保证网络设备的健壮性。关闭路由器上的不必要的服务,如Finger、Bootp、DHCp等;远程登录采用SSH加密方式,而不用telnet明文方式;网络管理协议采用Snmpv3保护miB数据在网络设备和管理工作站之间的安全传送。配置oSpF路由协议的mD5认证,防止恶意的假路由更新。配置远程登录或Console超时选项,增加访问的安全性,通过aCL来控制访问的来源。
3.5.2访问控制。通过在市局汇聚路由器上设置aCL,禁止县局子网之间的横向访问;在核心交换机上设置aCL,隔离县局子网和市局子网之间的通讯,使所有子网只能访问市局服务器子网、省局,并在许可的情况下访问互联网;市局和省网各区域之间的互访应该严格受控,但在市到省主备2条线路中间部署防火墙的投资较大。可以通过在核心交换机上配置访问控制列表来实现市到省的单向访问控制,使省局只能访问市局许可的终端,市局可以访问省局开放的服务器和其他资源,确保省市互联的安全性。
3.5.3核心交换安全。网络核心完成整个网络的路由处理,流量交换及数据转发,这部分的安全处理比较简单,重点是设备安全。由于这部分实际上是整个网络的流量交换中心,可以在核心交换设备上通过端口镜像功能将符合一定条件的流量镜像到网管服务器,配合抓包软件和协议分析系统完成网络流量分析,发现安全隐患,改善网络规划。
3.5.4服务器安全。服务器子网用于放置服务器,当前包括各种业务应用系统、软件视频会议、内部邮件系统、DnS、naS、区域站服务器、数据库服务器、病毒服务器、网管服务器等,用户对该区域的访问应该严格受控,但根据气象业务和网络系统的实际情况看,该子网主要对全市内部提供服务,为节省投资,暂无必要在服务器交换机和核心交换机之间设置防火墙,主要是关注服务器的系统安全。必要的情况下配置磁盘阵列柜保证数据存储安全。
3.5.5aRp欺骗攻击防御。通过对aRp欺骗攻击原理的剖析发现,如果要防御该类型的攻击,最理想的办法是在接入层对aRp报文进行内容有效性检查,对于没有通过检查的报文进行丢弃处理。因此,可在市(县)局局域网的接入层交换机S3600系列上使用aRp入侵检测功能,可以有效防御aRp欺骗攻击。当前市局的办公子网和业务子网采用的是H3CS3600交换机,已经使用了这项功能,并取得了很好的效果。
3.5.6业务上网保护。市局业务主要集中在大平面中,可以为业务平面提供单独上网的计算机,禁止业务子网直接接入互联网,市局观测子网也可以采用同样的办法,以解决互联网对重要的业务系统的影响。县局上网需严格控制上网计算机的数量,并做好病毒等有害内容的防护,市局可以通过桌面安全管理系统进行及时有效的管理,以保障上网终端的安全,从而保障网络系统的安全稳定运行。由于每个终端子网之间禁止通讯,某个子网出现问题不会影响到其他子网。
4结语
在计算机信息技术快速发展的今天,通讯网络已经成为气象现代业务不可缺少的重要组成部分,在视频会商、远程培训、气象共享平台展示、突发灾害性应急指挥和公共事件联动服务等多方面发挥着重要的作用。枣庄市级气象局通讯网络系统设计与规划的成功在今后实际业务和气象保障中发挥着越来越大的作用,为枣庄气象事业的业务发展奠定了良好的基础。
5参考文献
[1]谢希人.计算机网络[m].北京:电子工业出版社,2002:109.
[2]张公忠.局域网技术与组网工程[m].北京:经济科学出版社,2007.
供应链网络安全管理办法篇3
关键词:网络安全防范办公自动化系统
0引言办公自动化系统(简称oaS)是20世纪70年代中期在发达家迅速发展起来的一门综合性技术。我国的办公自动化起步较晚,始于80年代末,经过20多的发展,从最初提供面向单机的辅助办公产品,到今天可提供面向应用的大型协同办公产品。oaS的基本原理就是在传统办公业务中采用intemet/intranet技术,使集团内部人员能方便快捷地共享信息、高效地协同工作,实现迅速、全方位的信息采集、信息处理。因此,办公自动化系统在带给我们方便的同时,另一方面也带来了来自外部网络的种种安全威胁。
一、办公自动化系统存在的安全隐患计算机网络犯罪是一种高技术型犯罪,由于其犯罪的隐蔽性,对办公自动化系统安全构成了很大的威胁。在国际上,计算机犯罪案件正在以几何级数增长。目前,办公自动化系统的安全隐患主要存在以下几个方面:假冒内网的ip地址登录内网窃取信息;软件系统自身的问题:利用网络传输协议或操作系统的漏洞攻击网络;获得网络的超级管理员权限,窃取信息或破坏系统;在传输链路上截取信息,或者进人系统进行物理破坏;病毒破坏,计算机病毒是一种人为制造的,在计算机运行中对计算机信息或者系统起破坏作用的程序。它通常隐蔽在其它程序或者文件中,按照病毒设计者设定的条件引发,从而对系统或信息起到破坏作用;黑客人侵;防范技术落后,网络安全管理不力,管理人员混乱,权限混乱等等。
二、办公自动化系统安全的防范措施针对目前系统安全中存在的上述问题,我们必须做好如下几类主要的防范措施。
1)加强对系统管理员的管理、教育和监督。对目前的大多数办公自动化系统来说,网络管理员的权限太大是一个不可忽视的不安全因素。据不完全统计,80%的计算机网络犯罪来自内部集团。因此一方面要对机房工作人员,进行安全教育,提高工作人员的保密观念和责任心,加强业务方面的培训,防止工作人员由于疏忽大意给犯罪分子留下可乘之机;另一方面,对机房工作人员的遴选、思想教育以及日常监督要做到位,并采取一定的手段来制约或者削弱网络管理员的权限也是很有必要的,预防工作人员有意犯罪。
2)安装和启用网络防火墙。网络防火墙是计算机与外界不安全因素的第一道屏障,能起到实时监控网路中的数据流,保护本地计算机不被病毒或者黑客人侵的作用。
3)设置系统访问控制。系统访问控制是保证系统安全最重要的切实有效的策略之一。访问控制策略包括人网访问控制、操作权限控制等几个方面的策略。在人网访问控制策略方面,系统管理员必须对用户账户的使用和用户访问系统的时间和方式进行有效控制和或者在一定程度上的限制。用户账户只有系统管理员才能建立,用户口令是用户访问系统的通行证。在用户登录时多次输入不正确口令的情况下,系统应该按照非法用户入口口令的次数给出警告信息,当最终用户名和口令通过验证之后,系统仍需进一步检查用户账户的默认权限。在操作权限策略方面,要针对用户和用户组赋予一定的操作权限。系统管理员要能通过设置,指定用户和用户组所能访问的系统内部资源、在服务器上所能进行的操作类型。系统管理员必须根据访问权限将用户分为特殊用户、普通用户和审计用户等等级。
4)对系统中的重要数据进行加密。加密就是运用网络中的加密系统,将原始数据信息(明文)按照某种特定的算法变换成与明文完全不同的数据信息(密文)。目前较常用的数据加密技术主要分为数据传输加密和数据存储加密两大类。数据传输加密就是在传输过程中对数据流进行加密,一般有链路加密、节点加密和端到端加密三种方式。链路加密由于使用的密钥较少,对用户来说比较容易实现。端到端加密对用户是可见的,比较灵活,一般在链路加密中对各节点安全状况不放心时也可使用端到端加密。数据存储加密主要是对系统数据库中存储的数据本身进行加密,这种加密方式的关键是选择一个好的加密算法。这样,经过加密的数据即使不幸被泄露或者丢失,数据泄密的可能性相对减小了很多。
5)加强邮件安全管理。电子邮件以其快捷、方便等特点成为了广大网络用户的首选网络通讯方式。这也给网络安全带来了极大的安全隐患。大量垃圾邮件、邮件病毒、邮件泄密等等的无处不在。面对电子邮件存在各种安全隐患,我们要采取如下的一些防范措施:a.加强防范:很多用户经常会忽略使用电邮的一些基本安全常识,例如,不要随便开启来自未知寄件者的附件;不要点选不熟悉来源的内容;注意封锁陌生人的实时信息等。尽量在集团内职员中普及这些常识。b.对邮件进行加密:越来越多的人通过电邮进行重要的商务活动、发送机密信息,为保证邮件的真实性以及安全性(不被其他人截取和偷阅),我们对重要的邮件必须采取先进的加密算法进行加密。c.反垃圾邮件和反病毒保护:垃圾邮件经常会与病毒有关,垃圾邮件中的链接经常会指向包含恶意软件的网站,病毒也经常会通过电子邮件进行传播。具体的反垃圾邮件和反病毒保护措施有:使用反病毒软件、只使用提供自动病毒保护功能的电子邮箱、只打开来源可信的电子邮件、在打开邮件附件之前用反病毒软件进行扫描等等。
6)保护传输线路的安全。采取相应的保护措施保护好传输线路,远离各种辐射源,可以减少由于电磁干扰引起的数据错误;网络连接设备如Hub等应放置在易于监视的地方,以免被外连;对线路的连接状况进行定期检查,以避免外连或破坏等行为。
7)建立完备的工作日志。系统管理员要对所有合法登录用户的操作情况进行跟踪记录,对非法用户的登录次数、时间、ip地址等信息能够自动记录,以便监控系统使用状态,针对恶意行为能及时采取相应的行之有效的措施。
供应链网络安全管理办法篇4
为了解决网站目前存在的网络环境的安全与稳定问题,需要通过对网络结构和应用系统的统一优化调整:
1.实现多条网络链路的负载均衡,提高网络链路的可靠性,减少网络故障对网站服务的影响;
2.通过升级网络安全设备,增加网络安全设备功能,提供对应用服务攻击的防护,阻止病毒、p2p应用对网络的破坏;
3.通过规划内部互联子网,提高网络设备效率,部署静态文件缓存,对静态文件集中存储、归档,根据动态程序进行分类,部署应用程序集群,部署数据库集群;
4.通过应用负载均衡器提升网站应用系统的服务能力,对关键应用服务数据进行统一备份和管理,保障网络数据更加安全可靠。
通过以上种种策略的部署与实施,从而达到整个网站负载均衡,高效稳定的对外服务,降低运营风险的目标。具体实现措施为:
一、实现基于链路的网络负载均衡
为了解决大型网站与多家运营商连接,提高各个运营商最终用户访问网站的速度,尤其是解决中国电信和中国联通(前中国网通)的不同用户群访问网站的连接速度,需要增加链路负载均衡器实现如下功能:
1.能同时接入2条中国电信链路,定义其中一条链路为主链路,另一条为辅链路。两条链路能同时提供网络互联,链路上分配的ip地址能够一一对应进行静态映射(Staticnat),在任何一条链路出现故障中断的情况时,链路负载均衡器能够即时检测,并且动态转移故障链路连接到能正常连接的链路。两条链路同时正常工作时,链路上的使用带宽能够根据连接数和流量动态调整,实现网络流量的负载均衡。
2.能接入中国联通、中国教育网链路,且链路上的ip地址能够与中国电信主链路进行一一对应的静态映射,通过配置中国联通和中国教育网ip段,根据来源来判断优先选择的链路为中国联通或中国教育网。在中国联通或中国教育网链路发生故障时,能够根据链路状态转移到中国电信链路。
3.能通过私有ip地址连接长城宽带本地接入商,通过静态路由的方式与长城宽带互联,链路上的私有ip能与中国电信主链路进行对应的静态映射,判断来源ip为长城宽带用户时,优先选择长城宽带链路。因长城宽带连接ip为私有ip,在链路发生故障时,能通过更改配置转移长城宽带连接到中国电信链路。
4.对中国联通、中国教育网和长城宽带私有地址以外的其他ip地址,通过链路负载均衡器对外部互联网周期性地进行路由路径检测,建立动态就近性路由表,能根据公网路由变动及时调整就动态近性表。
5.从网站办公网段内访问外网时,能根据目的ip地址,通过动态nat选择不同的链路,解决内部用户访问外网的连接互通。
6.在使用内部DnS服务器进行域名解析时,链路负载均衡器能够根据DnS请求的源地址,匹配静态映射或就近性路由表中的对应ip地址,返回DnS请求数据,不同运营商得到的均为最佳链路上所对应的ip地址。
二、升级网络安全设备,提升网络安全等级
从2008年开始,网络攻击的主要行为从以前的网络端口攻击和网络连接攻击变为根据不同网络应用服务而进行的应用级的入侵,如内容篡改、SQL注入和木马植入等,即网络攻击逐渐由oSi3-4层攻击转为oSi4-7层攻击。因此,原来的防火墙产品已经不能满足现在网络应用的需求,需要对防火墙升级,扩展其功能以防御应用级的入侵,通过以下方式来实现:
1.升级防火墙硬件,提高防火墙吞吐率,加大同时会话数,调整防火墙对网络连接攻击的参数以适应大流量的攻击,对防火墙策略进行整理,根据不同的应用服务和连接类型设置对应的防火墙端口策略。
2.增加防火墙入侵防御(ipS)功能,对网络应用的连接行为和数据包根据策略库中的特征进行对比,阻止针对网络应用的入侵行为,如:SQL注入、web应用服务溢出漏洞、Url溢出漏洞和木马植入等。防火墙入侵防御特征库能够每天升级,更新网络应用攻击特征以适应不断变化的网络应用攻击。
3.增加防火墙防病毒功能,对经过防火墙的邮件内容进行检测,阻止含有病毒的邮件数据传输,对下载的压缩文件和可执行文件进行检查判断,阻止病毒传播到办公区,对office文档进行扫描,防止宏病毒感染,提供aRp检查保护,避免内网用户因aRp病毒导致整个网络发生aRp劫持。
4.增加网络应用监控和流量管理,对内部办公区p2p下载行为进行限制,防止p2p下载程序占用过多的网络会话数,影响防火墙和其他设备的稳定,保障网站的正常对外。
三、规划内部数据子网,分离不同的网络应用数据,提高网络利用率
根据网站内不同网络应用,分别划分内部办公子网、内网数据交换子网、内网应用服务子网和网络存储子网,功能和特点分别如下:
1.内部办公子网的办公电脑使用maC和ip地址对应绑定到网络设备端口上,避免内部办公电脑因木马或病毒造成aRp欺骗和aRp网关劫持,内部办公子网的用户使用p2p下载软件时,p2p下载软件发送的UDp数据包不会转发到其他子网,避免对其他子网性能的影响,并且内部办公子网的用户需要经过防火墙才能访问其他子网,有效地保证了网站服务器不会被跳板攻击。
2.内部数据交换子网的主要作用是提供服务器和集群之间的数据交换,使用静态路由转发数据到内部办公子网,同时也是内部服务器连接外网进行系统更新和时间同步的连接。内部数据交换子网对网络要求质量较高,因此使用多台全千兆交换机组成交换机集群,每台交换机使用链路聚合连接到核心交换机。
3.内网应用服务子网的主要作用是提供应用负载均衡器和服务器集群中的服务器之间的连接,以及应用服务器在集群之间的数据请求和数据交换。
4.网络存储子网是应用服务集群和数据库服务集群与网络存储进行数据交换的子网,与其他子网完全物理隔离,避免其他子网的广播包对网络存储子网服务器、网络设备和存储设备的干扰,采用2台高性能千兆交换机为网络存储提供了高效稳定安全的网络传输。
四、基于oSi4-7层网络应用服务做应用负载均衡,保障网络应用高效可靠
随着网站的发展壮大,网站内容需要提供的同时连接数越来越大,单台应用服务器已经无法承受巨大的访问量,需要多台应用服务器同时提供服务,因此通过增加应用负载均衡器,实现多台应用服务器同时在线运行,确保网站应用的高效稳定,满足以下功能:
1.多台服务器同时高并发地提供对外服务,在服务器繁忙或出现故障时,能及时切换连接请求到其他可用服务器,切换过程中连接的会话状态不会丢失。
2.网站发展过程中服务器是不断增加,运行同一网络服务的服务器性能存在差异,导致服务器所能承受的连接数不同,同一应用所在的服务器组可以由不同配置的服务器组成,应用负载均衡器能根据服务器的性能按照一定的规则分配网络连接,平衡服务器的压力,发挥服务器的有效性能。
3.负载均衡器能根据网络应用层(oSi第7层)的不同请求类型,将连接请求分配到特定的服务器。这些类型包括:域名、请求路径、网络协议、网络端口甚至是文件后缀名。
4.能够对应用服务器提供完整的健康检查,判断服务器操作系统运行状态、应用服务状态以及应用服务响应速度等,根据这些指标,动态地对服务组中的连接请求进行分配,确保网站用户的连接请求。
5.能提供对应用服务后端的数据库服务的负载均衡,保障前端应用程序服务器高效稳定地连接数据库。
供应链网络安全管理办法篇5
【关键词】opC系统集成网络规划
随着互联网技术的飞速房展,“大数据”、“物联网”成了时下的火热名词,而在能源控制系统领域,各能源控制系统集成则是实现“物联网”、“大数据”的基础。同时对于能源运行保障单位而言,系统集成则将对系统优化运行起到决定性作用。例如,目前国内大部分工业园区、楼宇物业等单位,作为能源生产侧的锅炉房监控系统、制冷监控系统与能源消耗侧的楼宇监控系统是分离开来的,这样的部署在消耗了人力的同时,又使每个独立的控制系统成为了信息孤岛,若将锅炉房监控系统、制冷监控系统与楼宇监控系统进行集成,则可实现能源从生产到输配再到消耗的全链条式管理与调控,若在此基础上植入能源消耗模型,则可实现更为智能化的调节与控制。
1opC技术的应用
系统集成的基本操作是采集各子系统的数据,系统间进行数据通信成为最先需要解决的问题。能源控制系统大多采用过程控制,集成系统所采集的数据需具备实时性,这样系统集成才具有指导生产与调控的意义。由于各能源子系统的建设时间、建设单位等不尽相同,所以系统集成需要统一集成系统与各子系统之间的通讯协议。这其中应用较广也是技术较为成熟的是opC通讯协议。opC全称oLeforprocessControl,即用于过程控制的oLe技术,它是一个工业标准,有opC基金会管理该标准,该基金会会员已超过200家,涵盖了世界上主流的自动控制系统、仪器仪表及过程控制公司。opC技术是作为连接监控软件与现场控制设备的桥梁而诞生的。监控系统软件opC客户端,现场控制设备作为opC服务器,使得控制软件与现场设备直接通信,不再拘泥于死板的接口程序中,使得一套控系统的开放性与灵活性大大的提高。但是随着自动控制系统建设的规范性、合理性逐渐增强,目前大多数自控系统的软硬件都属于一家单位建设居多,所以opC技术作为软件与硬件“翻译”的角色正在淡化。
与此同时,opC技术规范定义的是opC服务器程序和客户机程序进行通讯的接口或通讯的方法。
opC服务器一般由设备供应商或者由独立的软件供应商提供,符合opC技术规范。
opC服务器数据的使用者(客户端)引用访问接口去开发opC自动化接口的客户应用程序。
由此可见,在系统集成中,集成系统可开发opC客户端集成数据,各子系统可配置opC服务器提供数据。
2网络规划
目前自控系统一般分为现场设备层、过程控制层和企业管理层,而系统集成则是在企业管理层上实现的,也就是说在各子系统配置opC服务器后,各子系统需要组建网络来实现系统间通信。
集成系统是一套依托于网络进行能源系统信息和相关办公信息集成的信息管理系统,具有较高的数据安全和稳定要求。现场将通过光纤网络联接相关子系统进行数据传递。同时各子系统之间不能进行通讯。
集成系统是以B/S结构方式向用户通过oa办公网络进行服务提供。同时,还可能利用公共网络向移动端或者外部网络提供数据支持,因此,在核心出涵盖服务器集群,以及办公网络和公共网络的对接。
建成一个具有高可靠性和安全性的能源网络,提供面向特定人员的www服务、Ftp服务、数据库服务等,实现数据的共享。
3网络链路敷设
为了确保网络的安全性与可靠性,建议采用混合链接法。示例如图2所示。
通过将光纤内每个芯链接独立子站的交换机,利用开始的两芯与结束的两芯形成两个环路,使得网络中核心交换机与每个子站交换机都是直连,同时两个环网保障网络安全性。提高了数据交换效率,降低了网络节点个数同时提高网络的安全性,当出现断点时,可以利用环形网络逐级交换数据,确保光纤在有1个断点时可以继续保障系统的运行。
4网络拓扑
网络宜采用树形结构,树形拓扑的可折叠性非常适用于构建网络主干。由于树形拓扑具有非常好的可扩展性,并可通过更换网络设备使网络性能迅速得以升级。同时环网中的冗余链接,由网络设备“生成树”进行协商设定断口,当线路出行故障时,自动链接汇聚间的交换机确保网络正常。
核心网络链接服务器集群、汇聚交换机以及路由器,在本网络中只允许进行数据传递,禁止实现应用传送,确保网络的安全性。
数据采集子站的功效是m行网络隔离和数据的汇聚确保本系统的网络和各子自控系统的安全。该设备可以是服务器也可以是网络设备来进行代替。
所有网络设备,必须支持管理功能,支持生成树协议、VLan划分。核心交换机必须是三层交换机。
5网络逻辑设计
根据需求,本网络中,只允许各数据采集子站与数据服务器进行通信,不允许各子系统之间通讯,也不允许直接进行应用访问,因此需要以下涉及。
5.1VLan划分
每一个子系统系统涉及单独的VLan,分别设置子系统的VLan,确保每个子系统不在同一个局域网中,同时,设置管理VLan,便于网络管理员对于网络运行情况的监控。
5.2ip划分
本系统中主要是进行数据采集,并不会有大量终端设备接入,因此C类网址既可以满足需求,但是由于个子自控系统经常默认以C类网址进行自控网内的标识,因此,建议采用自私又B类网址进行ip规划。子网则以172.16.0.0/24进行划分,既可以保证接入机器数又可以保证子网数量。
5.3访问控制列表(aCL)
核心交换机承担个子网网关的作用,在设置相应的路由同时,要进行访问列表控制,只允许服务器集群的VLan子网访问各个数据采集子网,禁止相关子网的访问链接。
6结语
本文对opC技术进行了简要介绍,探讨了基于opC客户端与opC服务器技术进行能源工业控制系统集成的基本技术。同时还对系统集成后的网络进行了规划建议。可以看出基于opC技术进行系统集成后,对网络进行合理规划,是未来解决信息孤岛,实现大数据分析的主流趋势。
参考文献
[1]黄维通.VisualC++面向对象与可视化程序设计[m].北京:清华大学出版社,1997.
[2]潘爱民.Com原理与应用[m].北京:清华大学出版社,1999(11).
[3]尤国华.网络规划与设计[m].北京:清华大学出版社,2016.
供应链网络安全管理办法篇6
一、网络管理中发现的问题
大港石化公司的网络资源包括路由器、交换机、防火墙等网络设备。应用系统包括meS系统、eRp系统、oa系统、邮箱系统等,各应用系统包含了大量的企业内部信息。由于网络信息规模比较大,在近些年的网络管理中发现了一些问题,不利于网络的平稳运行。
大港石化公司的网络分为内网和外网两个部分,不仅仅需要防止病毒的入侵,而且还要防止非法外联的入侵以保证内网信息的安全,这样对于网络安全的防护任务是比较大的。常见的网络安全问题有:一是杀毒软件安装不符合要求导致病毒、木马的感染入侵;二是操作系统存在漏洞,没有及时打上补丁;三是电脑黑客的攻击;四是操作使用人员水平有限,安装简易的盗版系统,存在弱口令。
大港石化公司采用的是静态ip地址分派的方式。网络信息化的日益发达和各种办公系统的上线使日常的办公越来越离不开电脑网络,导致新增大量的ip地址。ip地址的紧张导致ip地址出现冲突,严重影响了办公的效率。由于ip地址的不记名制,出现电脑感染病毒、网络审计等不能进行有效的定位追踪。
二、现行网络精细化管理的方法
第一,采用三层网络结构。大港石化公司网络采取核心层——汇聚层——接入层三层网络结构,将复杂的网络分成三个层次。采用双机冗余热备的核心层交换机和上层高速网络进行交换,利用汇聚层交换机以减轻核心交换机的负荷压力,最后通过接入层交换机向公司网络提供数据服务。
第二,内网和外网链路分开。大港石化公司内网和外网分走不同的链路。中石油内部各种办公软件的使用需要内网提供数据,需要外联internet网络则需要外网提供数据。外网链路出现意外不影响内网使用,而且内网采用了双链路,保障了正常办公不受影响。
第三,办公网和生产网的隔离。采用网闸技术,将办公网和生产网进行物理隔离,可以有效防止办公网对生产网发动攻击的可能性,保障了生产网络的安全,确保生产安全平稳运行。
第四,采用VLan技术。VLan即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。利用VLan技术,可以将不同子网中的用户进行逻辑分段处理,把不同地点、不同网络、不同用户组合在一起,置于同一个广播域中形成一个虚拟的网络环境。
第五,采用Vpn技术。Vpn即虚拟专用网络,是利用隧道技术和加密技术在公用网络中建立一个临时的、安全的连接。通过Vpn技术,用户不需要装备专用的设备就可以安全地对企业内部专用网络进行远程访问。
第六,桌面安全管理系统的使用。2011年5月,中石油桌面安全管理系统正式上线。系统采用了赛门铁克公司的Sep11杀毒软件、enforce6100准入设备和北信源公司的VRV内网安全管理及补丁分发系统。
公司内部所有入网电脑必须按照中石油总部要求部署赛门铁克公司终端安全防护软件Sep11(Symantecendpointprotection11),杀毒软件病毒库可以自动更新,有效的抵御病毒、木马、蠕虫和间谍软件。同时在网络出口处部署赛门铁克公司网络准入控制设备enforcer6100,没有安装Sep11杀毒软件的电脑不能通过enforcer6100准入要求,不能对公司网络进行访问。通过准入控制的方式可以防止员工和外来访客接入公司网络带来的安全隐患。公司网络管理员登录策略管理服务器(Symantecendpointprotectionmanager)对客户端制定策略并定期输出风险报告,对公司网络进行管理。
图1Symantec策略管理服务器主页面
公司内所有入网电脑注册了北信源终端安全管理产品VRVeDp(enterprisedeskplanning),通过实名制的注册建立起网络资源信息管理库。公司网络管理员通过web方式登录管理平台对整个系统进行应用策略配置,管理网络。大港石化公司还采用了Beta网络管理系统,可以通过ip地址追踪定位到终端电脑上层交换机的具体端口。在实名制管理信息库的基础上,网络管理员配合Beta系统对ip资源进行分配管理。
北信源VRV管理平台上可以进行内部网络连接阻断。一旦发现终端电脑感染病毒,可以第一时间追踪到具体使用人及其所在的办公区域。网络管理员通过VRV管理平台对其电脑进行关闭,同时利用Beta系统查找到其所在的交换机端口并关闭,避免病毒的进一步扩散。
北信源VRV系统具有查找系统漏洞并自动分发补丁的功能,有效的避免了病毒、木马利用系统漏洞对电脑进行入侵,保证了网络的安全。
网络管理员在北信源VRV管理平台上可以将静态ip同maC地址绑定,用户不能私自更改ip地址,有效地避免了ip地址冲突。
第七,规范的管理。在每个车间选派一名信息员,协助公司网络管理员进行管理,并定期对信息员进行网络知识培训,提升公司整体管理水平。所有电脑按规定使用正版操作系统,拒绝弱口令等安全措施,保证公司网络安全。
第八,物理安全。大港石化公司投入建设了一座绿色节能环保机房。机房在节能的同时有效避免了水、火、地震等自然灾害。机房采用了门禁技术,避免非技术人员对机房设备的损坏,从基本上保证了公司网络安全。
供应链网络安全管理办法篇7
关键词:微机监测;铁路信号;设备安全
abstract:withtherapiddevelopmentofrailwaytransportation,allpartsofthecountryanewhigh-speedrailrailway.Speedisimproved,thesafetyproblemcannotbeignored.toensurethesafetyoftrainoperationprocess,signalinformationrequirestherailwaythroughoutthecorrect.Consolethroughsignalequipmentwillbeoperatinginstructionstotrain,soastoensuretheoveralloperationoftherailway.inthispaper,networksecurityprotectionofrailwaysignalcomputerdetectionsystemtoconductacomprehensiveanalysis.
Keywords:railwaysignalmicrocomputermonitoring;equipmentsafety;
中图分类号:F530.3文献标识码:a文章编号:
1微机监测系统网络安全防护现状
目前的微机监测系统一般都是三层次的网络结构,既由车站、领工区(车间)、电务段三级构成的计算机网络,电务段和领工区的管理人员可以通过微机监测网直接看到所辖各站信号设备和战场运作状况。目前网络遭受病毒侵袭的主要途径有:生产已经网络化,网络上任何一点感染病毒后,如不及时处理,容易全网蔓延;随着移动存储设备越来越广泛的使用,病毒通过移动设备感染的机率大大增加。一机多用,如某台终端机既用于调看生产监控,又兼作办公机;其他遭受恶意攻击等非正常感染病毒。
现阶段微机监测系统采取的网络安全防护措施包括以下几个方面。
1)要求把站机、终端机上的i/0接口,如光驱、欤驱、USB插口等用标签加封,并在主板BioS里修改相应项屏蔽设备端口,杜绝在站机、终端机上进行与业务无关的作业。
2)微机检测安全服务器,站机、终端机,安装有mCaFee网络版防毒软件或瑞星单机版杀毒软件,但没有建立专用的防病毒服务器,病毒库的更新不及时,单机版的软件只有维护人员到站上才能更新。
3)清理非法接入局域网的计算机,查清有无一机多用甚至多网的可能,并对非法接人的计算机进行屏蔽。
2现有系统存在的安全问题及改进的主要参考原则
设计新的网络安全防护系统,应确保运行数据的完整性、可用性、可控性、可审查性。安全系统的改进可参考以下几个原则。
1)体系化设计原则。通过分析网络系统的层次关系.提出科学的安全体系和安全构架,从中分析出存在的各种安全风险,充分利用现有投资,并合理运用当今主流的安全防护技术和手段,最大限度地解决网络中可能存在的安全问题。
2)全局性、均衡性、综合性设计原则。从网络整体建设角度出发,提供一个具有相当高度,可扩展性强的安全防护解决方案,应均衡考虑各种安全措施的效果,提供具有最优性价比的网络安全防护解决方案。
3)可行性、可靠性、可审查性原则。可行性是设计网络安全防护方案的根本,它将直接影响到网络通信平台的畅通,可靠性是安全系统和网络通信平台正常运行的保证,可审查性是对出现的安全问题提供依据与手段。
4)分步实施原则。分级管理,分步实施。
3系统改进可采取的的主要措施
维护管理方面我们可以做好以下几点改进。
1)微机监测增设防病毒服务器,定期升级服务器病毒库,将病毒入侵机率降至最低。安装防火墙,对连接网络中的计算机进行统一管理,确保网络安全。
2)科学处理补丁和病毒之间的矛盾。安装补丁时,应经过慎重的论证测试,可行在开发系统上进行测试,确保安全的前提下,再进行补丁安装,因为有些补丁可能与现行的操作系统发生冲突,进而影响整个系统的稳定性。
3)在生产网上组建Vpn,创建一个安全的私有链接。
同时,为保证系统的安全管理,避免人为的安全威胁,应根据运行工作的重要程度划分系统的安全等级,根据确定的安全等级确定该系统的管理范围和安全措施。对机房实行安全分区控制,根据工作人员权限限定其工作区域。机房的出入管理可以采取先进的证件识别或安装自动识别登记系统,采用磁卡,身份证等手段对工作人员进行识别、登记、管理。根据职责分离和多人负责的原则,确定工作系统人员的操作范围和管理,制定严格的操作规程。针对工作调动或离职人员要及时调整相应授权。
4可采用的网络安全新技术
建立完善的微机监测系统网络安全防护系统,需要现有网络安全防护系统的基础上,充分考虑防火墙、入侵检测/防护、漏洞扫描、防病毒系统等安全机制。由于网络技术的不断飞速发展,传统的防护技术已经不能适应复杂多变的新型网络环境,必须采用安全有效的网络安全新技术才能防患于未然,提高整个微机监测网络的安全性。可采用的新型网络安全技术包括以下几种。
1)链路负载均衡技术。链路负载均衡技术是建立在多链路网络结构上的一种网络流量管理技术。它针对不同链路的网络流量,通信质量以及访问路径的长短等诸多因素,对访问产生的径路流量所使用的链路进行调度和选择。可最大限度的扩展和利用链路的带宽,当某一链路发生故障中断时,可以自动将其访问流量分配给其它尚在工作的链路,避免ipS链路上的单点故障。
2)ipS入侵防御系统。网络入侵防御系统作为一种在线部署的产品,提供主动的,实时的防护,其设计目的旨在准确检测网络异常流量,自动应对各类攻击性的流量,不将攻击流量放进内部网络。
3)上网行为管理系统。上网行为管理系统能够提供全面的互联网控制管理,并能实现基于用户和各种网络协议的带宽控制管理。实时监控整个网络使用情况。
4)网络带宽管理系统。对整个网络状况进行细致管理,提高网络使用效率,实现对关键人员使用网络的保障,对关键应用性能的保护,对非关键应用性能的控制。可根据业务需求和应用自身需求进行带宽分配。
5)防毒墙。传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统,随着网络病毒的日益严重和各种网络威胁的侵害,需要将病毒在通过服务器后企业内部网关之前予以过滤,防毒墙就满足了这一需求。防毒墙是集成了强大的网络杀毒机制,网络层状态包过滤,敏感信息的加密传输,和详尽灵活的日志审计等多种安全技术于一身的硬件平台。在毁灭性病毒和蠕虫病毒进入网络前进行全面扫描,适用于各种复杂的网络拓扑环境。
5结束语
通过本文的分析,可以看出,我国铁路信号微机监测系统的应用得到了初步的效果,但是随着我国铁路系统的继续发展,网络安全是我们不得不考虑的问题,而且随着网络安全问题的越来越多,对我国铁路信号微机监测系统的安全性要求就越高,因此,在未来的发展过程中,我们需要进一步提升铁路信号微机监测系统的安全等级,只有这样才能促进我国铁路信号系统的安全,提升我国铁路信号系统的继续发展。
参考文献
[1]刘琦.铁路信号安全维护及监控系统设计思路及应用[J].安防科技,2011,03.
供应链网络安全管理办法篇8
一、网络经济下财务管理的创新
当前,全球经济网络化、数字化逐步形成,给企业参与市场竞争带来新的机遇与挑战,财务管理必须顺应潮流,充分利用互联网资源,从管理目标、管理模式和工作方式等多方面进行创新。
(一)网络经济下的财务管理目标
企业财务管理目标总是与经济发展紧密相连的,随着网络经济的到来,客户目标、业务流程发生了巨大变化,具有共享性和可转移性的知识资本将占主导地位。原来以追求企业自身利益和财富最大化为目标者,必须转向以“知识最大化”的综合管理为目标。其原因在于,知识最大化目标可以减少非企业股东当事人对企业经营目标的抵触行为,防止企业不顾经营者、债权人及广大职工的利益去追求“股东权益最大化”;知识资源的共享性和可转移性的特点使知识最大化的目标能兼顾企业内外利益,维护生活质量,达到企业目标与社会目标的统一,从而实现有形物质资本和无形知识资本在网络经济下的有机结合。
(二)网络经济下的财务管理模式
在互联网环境下,任何物理距离都将变成鼠标距离,财务管理的能力必须延伸到全球任何一个结点。财务管理模式只有从过去的局部、分散管理向远程处理和集中式管理转变,才能实时监控财务状况以回避高速度运营产生的巨大风险。企业集团利用互联网,可以对所有的分支机构实行数据的远程处理、远程报表、远程报账、远程查账、远程审计等远距离财务监控,也可以掌握和监控远程库存、销售点经营等业务情况。这种管理模式的创新,使得企业集团在互联网上通过web页登录,即可轻松地实现集中式管理,对所有分支机构进行集中记账,集中资金调配,从而提高企业竞争力。
(三)网络经济下的财务工作方式
互联网技术改变了财务人员的工作方式,传统的固定办公室要转变为互联网上的虚拟办公室,使财务工作方式实现网上办公、移动办公。这样,财务管理者可以在离开办公室的情况下也能正常办公,无论身在何处都可以实时查询到全集团的资金信息和分支机构财务状况,在线监督客户及供应商的资金往来情况,实时监督往来款项余额。企业集团内外以及与银行、税务、保险、海关等社会资源之间的业务往来,均在互联网上进行,将会大大加快各种报表的处理速度,这也是工作方式创新的根本目的。
(四)网络经济下的财务管理软件
过去国内各财务软件功能独立,数据不能共享,企业在人、财、物和产、供、销管理中难以实现一体化。运用web数据库开发技术,研制基于互联网的财务及企业管理软件,可实现远程报表、远程查账、网上支付、网上信息查询等,支持网上银行提供网上询价、网上采购等多种服务。这样,企业的财务管理和业务管理将在web的层次上协同运作,统筹资金与存货的力度将会空前加大。
二、适应网络经济要求,进行财务管理变革与创新
在网络经济全球化的客观要求下,企业发展的当务之急是进行财务管理变革与创新,在此,提出以下几点见解。
(一)全面更新企业理财观念
网络经济的发展将使财务管理目标转向知识最大化,创造企业财富的核心要素由物质资本转向知识资本,企业理财观念必须转变。首先,要认识知识资本,即了解知识资本的来源、特征、构成要素和特殊的表现形式。其次,要承认知识资本,即认可知识资本是企业总资本的一部分,搞清知识资本与企业市场价值和企业发展的密切关系,以及知识资本应分享的企业财富。最后,要重视和利用知识资本。企业既要为知识创造及其商品化提供相应的经营资产,又要充分利用知识资本使企业保持持续的利润增长。可以说,转变企业理财观念是实现网络经济下财务管理目标的根本保证。
(二)加强网络技术培训
有针对性地对财务人员进行网络技术培训,可以提高财务人员的适应能力和创新能力,适应网络经济发展的要求,实现财务管理变革与创新。因为,首先财务人员已具有坚实的经济和财会基础,如果再一些现代网络技术,将网络与经济、财会有机地结合,则面对知识快速更新和经济、活动的网络化、数字化,就能够从经济、社会、、技术等多角度进行并制订相应的理财策略。其次,通过技术培训可使财务人员不断吸取新的知识,开发企业信息,并根据变化的理财环境,对企业的运行状况和不断扩大的业务范围进行评估和风险分析。
(三)对进行业务流程重组
下,数字化介质替代传统的纸介质,将打破传统企业中以单向物流运作的格局,实现以物流为依据、信息流为核心、资金流为主体的全新运作方式。这就要求企业必须对现有业务流程进行重组,将工作重心放在价值链上。首先,企业要从行业价值链(原材料供应商一产品一制造商一销售商)进行分析,以了解企业在行业价值链中的位置,判断企业是否有必要沿价值链向前或向后延伸,以实现企业管理目标。其次,对企业内部价值链(定单—产品设计—生产制造—销售—售后服务)进行分析,以判断如何降低成本,优化企业流程。第三,从竞争对手价值链分析入手,通过与竞争对手的相应指标进行比较,找出与竞争对手的差异和自己的成本态势,从而提高整体竞争力。
(四)建立财务风险预测模型
随着互联网在商业中的广泛,作为数据管理的机往往成为逃避内部控制的工具;商业交易的无地域化和无纸化,使得国际间资本流动加大,资本决策可在瞬间完成。总之,由于网络经济的非线性、突变性和爆炸性等特点,建立新的财务风险预测模型势在必行。该模型应该由监测范围与定性分析、预警指标选择、相应阀值和发生概率的确定等多方面的组成,并能对企业经济运行过程中的敏感性指标,(如保本点、收入安全线、最大负债极限等)予以反映。这样,将风险管理变为主动的、有预见性的风险管理,就能系统地辨认可能出现的财务风险。
(五)采用集中式财务管理模式
在网络环境下,全球经济一体化,财务管理在空间上、时间上和效率上都发生了改变,使得集中式管理成为可能。所谓集中式财务管理是利用网络技术和信息集成,将财务与业务、与供应链集成起来,追求整体效率和效益的提高,实现缩短生产前置时间,提高产品质量和服务质量、提声企业的整体柔性、减少库存等战略性好处,使企业具有低能耗、低物耗、高效益、高应变能力,实现企业物流、资金流和信息流的高度统一以及财务的实时管理,以适应柔性生产、组织扁平化和产品个性化的市场要求。这种财务管理模式与传统财务管理模式的主要不同点在于它利用现代网络技术,将业务管理融合进财务管理中,实行从源头管理,通过远程处理、在线管理,实行对财务的动态管理,真正实现财务的事前计划、事中控制和事后反馈,实现对业务的全过程管理。这种管理模式有三个基本的特点:一是集中式管理,它不仅对集团财务方面进行管理,而且对库存、生产、销售等业务方面进行管理,不仅管集团内部,而且与整个供应链管理相集合;二是直接管理,通过网络技术减少了传统财务管理中的许多中间环节,高层领导能直接对底层员工进行管理;三是实时管理,整个供应链通过网络联系在一起后,总部的财务主管可根据动态信息,及时作出财务安排,并通过网络传达下去,实现财务的在线管理。
(六)创建企业财务管理信息系统和安全保障体系
以数字化技术为先导的网络经济,其经济活动可以通过互联网在线进行,如:在线订货、在线资金调度、异地转账、在线证券投资、在线外汇买卖等。因而产生的会计信息都是动态的,更具有不可捉摸性;同时,市场需求信息的公开化,形成了多层次、立体化的信息格局。创建基于互联网的企业财务信息系统,综合运用计算机网络的超文本、超媒体技术,使信息更形象、直观、全面,实现信息理财。此外还应建立网络信息安全保障体系,从手段上,制定相关的政策,以法制来强化网络安全;从管理上,建立信息安全管理机构和切实可行的网络管理规章制度,加强信息安全意识的和培训等;从技术上,在企业内部网和互联网之间要加一道防火墙,防止黑客和病毒,保护企业内部网,以保证网络信息安全。
「
[1]王治安,赵德武。论知识经济与财务管理创新,当代会计前沿探索[m].财政经济出版社,2001.7.
[2]马红红,任存梅。浅谈网络财务[m].《山西财经大学学报》2001第3期。
供应链网络安全管理办法篇9
(1.中国人民武装警察部队山东总队训练基地,山东济南250000;2.武汉大学计算机学院,湖北武汉430072)
【摘 要】研究物联网技术在农业生产有机蔬菜生产与供应链质量安全管控中的应用,以传感网、视频分析、标签技术为基础,开发生产过程日志与档案系统,供应链质量安全追踪溯源系统和信息系统,在有机蔬菜基地布置无线传感网和监控网,利用组合RFiD、条码和二维码实现有机蔬菜溯源,提供多样化的信息方式便于消费者查询。
关键词农产品;质量追溯;物联网;无线传感网;视频分析
基金项目:本文部分得到武汉市科技局科技攻关项目(2013010602010217)、湖北省科技支撑计划项目(2014Baa153)的支持。
作者简介:孙奕敏(1976.12.26—),女,硕士,中国人民武装警察部队山东总队训练基地,讲师。
王玙璠(1991.12.14—),女,武汉大学,硕士研究生。
艾浩军(1972.10.08—),男,武汉大学,副教授。
0 引言
我国拥有数十亿人口,属于农业大国,农产品历来是政府关注的重要问题。近年来,农产品质量安全问题受到了前所未有的高度重视。2007年8月17日,中华人民共和国国务院办公厅宣布成立国务院产品质量和农产品安全领导小组。各个省市配合中央政府的工作,分别成立了省、市产品质量和农产品安全领导小组。2007年初,上海市产品质量和农产品安全领导小组12J出台一系列政府监督、控制政策。2007年10月,该小组启动“上海市产品质量和农产品安全专项整治”,在产品和农产品生产、加工、流通和消费所有节点宣传活动的内容。
农产品质量安全问题不仅关系到公众的身体健康,而且对农业发展、农民增收、农业贸易和农业现代化建设具有重大影响,成为新时期我国农产品生产和供给急需解决的一个重要课题。要达到提高农产品优质生产和消费安全目标,就要解决和实现对农产品“从生产到餐桌”的全程质量监控,治本之策是要建立完善的农产品质量安全体系。
近年来,农产品农药残留、兽药残留和其他有毒有害物质超标造成的餐桌污染和引发的中毒事件时有发生。解决“餐桌污染”问题,除了保护农业产地环境和完善农产品市场准入外,建立农产品质量安全信息系统,加快农产品质量安全信息的有效传播,是解决“餐桌污染”信息不对称问题的重要途径之一。
1 农产品质量管控的要点
为确保有机农业产品满足有机农产品的标准,保障食品安全必须从以下两个方面着手。
1.1 过程管控
为了保证食用农副产品质量安全信息平台提供消费者查询信息的可靠性,对于加入平台的企业要求使用专门的生产管理系统,采集农产品生产全过程数据。对农产品产前的水、气、土等环境检测数据记录,产中生产过程控制、饲料/肥料的使用、农药/兽药等的使用,产后对产品的药物/重金属残留等记录。实现对农产品供应链的全过程监控和管理。
1.2 供应链溯源
供应链的每个成员都应当能够追溯产品生产者以及产品成分、包装、来源等特征,也应当能够向前追踪产品成分、包装和产品的的每一项活动。要设计一个具有对整个价值链可追溯性的供应链,企业必须创建流程和基础架构来收集、集成、分析和传递关于产品来源和特征的可靠信息,贯穿于整个供应链的各个阶段(从农场到餐桌)。它将企业的技术解决方案整合起来,使物理供应链(商品的运动轨迹)和信息供应链(数据的收集、存储、组织、分析和访问控制)能够相互集成。有了这样的供应链可视性,企业就能保护和推广品牌、主动地吸引其他客户并降低安全事故的影响。
2 系统技术体系
物联网的农业生产基地现场管理与质量追溯系统涉及的技术体系包括以无线传感网为基础的环境检测技术,以视频内容分析为基础的视频摘要自动生成技术,以RFiD、二维码标签为基础的产品溯源技术。
2.1 基于无线传感网的环境监测技术
通过无线网络,利用短程通信与远程通信技术相结合,采用Zigbee组网,Zigbee到ip通过传感网关接入到场区信息网,将传感器采集的环境数据,包括温度、湿度、敏感气体、菊酯类农药浓度等信息收集起来,形成无线传感网络,实现对有机会蔬菜基地的监测。有机蔬菜生产场地和加工车间的传感网如图1所示。
2.2 视频监控日志与摘要的自动生成技术
在有机蔬菜生产场地内的关键监控点部署摄像头,实现虚实结合可视化操作,采集视频证据数据,利用视频内容分析技术,分割感兴趣目标,提取视频特征,提取典型的视频事件,通过高级语义进行表达,自动生成事件的视频摘要和视频日志,将人从海量的视频数据中解放出来,提高视频监控的可用性,提高检索效率,降低存贮成本,同时便于日后查找和产品溯源。
2.3 组合RFiD、条码和二维码的产品溯源技术
通过RFiD、条码和二维码的组合识别码提供的信息,RFiD具有容量大、寿命长、自动识别等特点可用于大行包装的标示,用于记录生产产地、生产单位、生产过程、农药化肥使用情况等信息,如图2所示。而条码和二维码成本低,能记录同一类商品的信息,可广泛应用于单个商品的标识,如图3所示。同时二维码可便于手机进行查询。当产品发生安全性等事故时,通过追溯信息系统可迅速回溯过程及查明原因所在,正确而迅速地回收产品,防止产品事故的再发生,也可确认业者的责任,从而有效促进对生产和流通过程的重视,保障农产品质量安全。
3 系统建设内容
3.1 系统基本结构
根据目前国内的实际情况,提出建设物联网有机农业的思路,系统建设内容主要包括建设基础信息网、生产过程日志与档案系统、有机农产品标签跟踪系统、有机产品销售系统和系统管理平台。智慧农业系统的结构可以采用物联网应用的一般结构,如图4所示。
3.2 建设基础信息网
3.2.1 场区信息网
场区信息网既要承载场区内的生态环境信息、视频信息和一般办公用途信息。同时还能接入互联网,实现内网与互联网(外网)的互联互通,这对场区的信息网建设提出了新的要求。一方面,办公楼要接入电信运营商宽带,另一方面,各基地要通过无线接入点(wi-Fiap)将信息传递到办公楼,实现信息互通。
需要考虑场区内各功能区的地理位置分布,在场区内部署局域网,各区之间通过网线连接,形成无线局域网,无线局域网采用ieee802.11n标准,标准速度达到150mbps。按此方式组网的场区信息网,主干道的无线网络理论速度是300mbps,实际运行可以达到150mbps的速度,能满足场区信息化的要求。如图5所示。
3.2.2 无线传感网
场区无线传感网要承载场区内的种植基地、养殖基地和沼气池的生态环境信息,包括温度、湿度、照度和敏感气体浓度等,将这些信息通过无线自组网络传递到ZigBee网关,采用ieee802.15.4标准,再由Lan局域网传送到控制台服务器进行分析,实现传感网与互联网的互联互通。
场区内无线网络部署方案如图6所示。
在种植基地和养殖基地内都布置了大量传感器,这些传感器采用自组织的方式形成无线传感网进行信息传递与发送,最后通过一个无线传感网关搜集所有的传感节点信息,再将这些信息统一发送到控制台服务器进行处理。这种无中心的分布式控制网络,不需要类似基站或者访问服务点这样的中心控制设备,即不需要利用现有的网络基础设施同样能提供一种通信支撑环境。在任何时间、任何地点不需要现有的信息基础网络设施的支持,快速构建起一个移动通信网络。
3.2.3 无线视频监控网
视频监控的目的有两个,一是对生产过程监管,二是生产过程的展示。为保证设备的兼容性,所有摄像头均内置编码设备,即采用网络摄像机,并且尽量选用支持以太网供电(poe)的设备。
组网方式见图7:
在场区的种植基地、养殖基地和沼气池的重要监控点布置摄像设备,通过无线网络将实况录像发送至控制台服务器,服务器对这些视频数据进行处理和分析后,再通过光纤接入的大宽带上传至互联网,提供在线展现,让人们在家也能实时观看场区内的情况。
3.3 生产过程日志与档案系统
服务器对视频数据进行的处理和分析包括对冗余信息的剔除、将有用的信息保存。由于场区内视频信息量非常大,只靠人工处理这些信息变得不可能,因此可以引进计算机视觉的技术,通过有效的算法对智能处理这些视频,提取出人们感兴趣的视频摘要,对每天的生产情况提取视频日志,这样建成的日常视频档案可以有效地对场区进行科学地管理。
无线传感网与无线视频监控网并不是独立的,它们应当相互依存,将某个监测点的生态环境信息和视频监控信息应该绑定在一起,做到“虚实结合”,当查询产区内某一点的信息时,相关的环境与视频信息就都能同时显示出来,使得有机农产品的生产全过程可视化。
将无线传感网和视频监控网采集到的信息结合统一起来,构成生产过程日志与档案,构建管理这些信息的系统,可以作为后续质量安全管控的有力支持。
3.4 有机产品标签跟踪系统
蔬菜供应链和大多数农产品供应链一样,也包括生产、加工、仓储、运输和销售等几个环节,提交有机蔬菜供应链效率的关键也是如何协调几个环节及如何提高每个环节的效率。如图8所示。
从蔬菜供应链整体可以看到,通过使用RFiD和条码、二维码的组合标签技术,能够方便地把整个供应链中各个环节的信息读入公共数据库,各个环节也可以便捷地增加相应环节的数据。消费者和相关主管部门也可以通过通信网络和终端进行查询与追溯。根据现有商业模式的使用习惯和使用成本,可以整箱使用RFiD标签,内部小盒装使用条码或者二维码。
标签上要记录的信息包括:
(1)生产阶段的信息,包括品号、产地、电话、化肥明细、种植时间等。
(2)加工阶段的信息:小盒贴上条码,大盒贴上RFiD标签,二维条码直接保存了产地、收割时间等重要信息,也能透过二维码访问中心数据库。
(3)仓储阶段记录的信息,包括入库时间、入库区位、货架货位和出库时间等。
(4)运输阶段的信息:gps+RFiD标签,包括上车时间、途中温度状况、路线信息、下车时间等。
这些信息分别记录在RFiD、条码和二维码标签上,根据这三种标签各自不同的特点和功能,采用不同的方式来标识包装,记录了有机农产品生产过程和供应链全程的信息,能够有效进行质量管理,既节约了成本又能在出现问题时方便消费者追踪溯源。二维条码包装过程和记录的信息如图9所示。
通过RFiD、条码和二维码的组合识别码提供的生产产地、生产单位、生产过程、农药化肥使用情况等信息,当产品发生安全性等事故时,通过有机蔬菜标签跟踪系统可迅速回溯过程及查明原因所在,正确而迅速地回收产品,防止产品事故的再发生,也可确认相关的责任,从而有效促进对生产和流通过程的重视,保障农产品质量安全。
3.5 有机产品销售系统
记录销售阶段的信息,包括进入店面时间、销售时间、总量统计、过期数量等。该系统软件还需要与超市的营业网点的进销存系统对接。
最终消费用户可以使用自助式信息查询机,查询到小包蔬菜的所有信息。如图10所示。
该系统的成功投入使用可以促进有机蔬菜的透明化跟踪,提高销售量,让消费者“买的放心,吃的安心”。这样物联网不仅应用在农业生产与运输,也能应用于有机农产品的销售等服务当中,对物联网产业链的发展也起到积极地推动作用。
3.6 系统管理平台
可以通过局域网综合管理场区视频,查询生态环境信息,有机农产品跟踪信息。建立互联网网站,按照农产品的生产流程设计一个循环农业的体验平台,在互联网上展示农产品的生产全过程。为有机农业的发展提供了绝好的契机,不论是生产、运输还是销售全程供应链都实现可视化、透明化监控,有利于规范我国农产品生产和贸易行为,指导农产品生产并引导消费,保障农产品的有效供给和消费安全,增强我国农产品在国内外市场上的竞争力,实现农业增效、农民增收和农业可持续发展。
信息系统需要公开农产品生产过程信息和供应链管控信息,以保证食品安全,它提供多途径的便民查询,如通过12316便民平台,拨打热线电话查询;手机短信查询;通过手机拍摄二维码图片,再上传到网上查询;甚至利用卖场的直接读取设备,如触摸屏等查询该农产品的生产和供应链信息,对生产经营者形成有效的社会监督。
4 小结
要达到提高农产品优质生产和消费安全目标,就要解决和实现对农产品“从田头到餐桌”的全程质量监控,治本之策是要建立完善的农产品质量安全体系。通过信息化的手段,对农产品质量安全进行“数字化”管理,在生产过程中,可通过物联网进行环境监控,除可覆盖农业大棚,还可在畜牧养殖、水产养殖、生产环境监测、仓储环境监测等场景进行应用。通过多种传感器实现信息的收集与传递,农牧业生产各环节都可以控制,并且食品可以溯源。智慧农业通过过程管控和供应链溯源,从而有效保证食品质量安全,让人们吃的放心,吃的健康,吃的新鲜,完成从田间迅速到餐桌的快捷过程,通过物联网我们可以实现这一远景目标。
参考文献
[1]白红武,胡肄农,王立方,陆昌华.基于GiS的生猪及产品物流与追溯平台构件化设计[J].江苏农业学报,2008(5).
[2]侯春生,夏宁.RFiD技术在中国农产品质量安全溯源体系中的应用研究[J].中国农学通报,2010(3).
[3]张欣露,王成,吴勇,乔晓军,侯瑞锋,王开义.集成传感器电子标签在农产品溯源体系中的应用[J].农业机械学报,2009(1).
[4]黄海龙,蒋平安,张霞,武红旗,李永,刘洪蓬.基于web的农产品追溯系统的设计与开发[J].新疆农业科学,2010(9).
[5]彭剑,陈光仪.可追溯农产品供应链系统建模研究[J].农机化研究,2010(10).
[6]韩威威,郑业鲁,李泽,黄红星.农产品安全追溯信息系统设计与实现[J].广东农业科学,2010(10).
供应链网络安全管理办法篇10
当前,全球经济网络化、数字化逐步形成,给企业参与市场竞争带来新的机遇与挑战,财务管理必须顺应潮流,充分利用互联网资源,从管理目标、管理模式和工作方式等多方面进行创新。
1.1网络经济下的财务管理目标企业财务管理目标总是与经济发展紧密相连的,随着网络经济的到来,客户目标、业务流程发生了巨大变化,具有共享性和可转移性的知识资本将占主导地位。原来以追求企业自身利益和财富最大化为目标者,必须转向以“知识最大化”的综合管理为目标。其原因在于,知识最大化目标可以减少非企业股东当事人对企业经营目标的抵触行为,防止企业不顾经营者、债权人及广大职工的利益去追求“股东权益最大化”;知识资源的共享性和可转移性的特点使知识最大化的目标能兼顾企业内外利益,维护社会生活质量,达到企业目标与社会目标的统一,从而实现有形物质资本和无形知识资本在网络经济下的有机结合。
1.2网络经济下的财务管理模式在互联网环境下,任何物理距离都将变成鼠标距离,财务管理的能力必须延伸到全球任何一个结点。财务管理模式只有从过去的局部、分散管理向远程处理和集中式管理转变,才能实时监控财务状况以回避高速度运营产生的巨大风险。企业集团利用互联网,可以对所有的分支机构实行数据的远程处理、远程报表、远程报账、远程查账、远程审计等远距离财务监控,也可以掌握和监控远程库存、销售点经营等业务情况。这种管理模式的创新,使得企业集团在互联网上通过web页登录,即可轻松地实现集中式管理,对所有分支机构进行集中记账,集中资金调配,从而提高企业竞争力。
1.3网络经济下的财务工作方式互联网技术改变了财务人员的工作方式,传统的固定办公室要转变为互联网上的虚拟办公室,使财务工作方式实现网上办公、移动办公。这样,财务管理者可以在离开办公室的情况下也能正常办公,无论身在何处都可以实时查询到全集团的资金信息和分支机构财务状况,在线监督客户及供应商的资金往来情况,实时监督往来款项余额。企业集团内外以及与银行、税务、保险、海关等社会资源之间的业务往来,均在互联网上进行,将会大大加快各种报表的处理速度,这也是工作方式创新的根本目的。
1.4网络经济下的财务管理软件过去国内各财务软件功能独立,数据不能共享,企业在人、财、物和产、供、销管理中难以实现一体化。运用web数据库开发技术,研制基于互联网的财务及企业管理应用软件,可实现远程报表、远程查账、网上支付、网上信息查询等,支持网上银行提供网上询价、网上采购等多种服务。这样,企业的财务管理和业务管理将在web的层次上协同运作,统筹资金与存货的力度将会空前加大。
2现代环境下财务管理的创新分析
在网络经济全球化的客观要求下,企业发展的当务之急是进行财务管理变革与创新,在此,提出以下几点见解。
2.1全面更新企业理财观念网络经济的发展将使财务管理目标转向知识最大化,创造企业财富的核心要素由物质资本转向知识资本,企业理财观念必须转变。首先,要认识知识资本,即了解知识资本的来源、特征、构成要素和特殊的表现形式。其次,要承认知识资本,即认可知识资本是企业总资本的一部分,搞清知识资本与企业市场价值和企业发展的密切关系,以及知识资本应分享的企业财富。
2.2加强网络技术培训有针对性地对财务人员进行网络技术培训,可以提高财务人员的适应能力和创新能力,适应网络经济发展的要求,实现财务管理变革与创新。因为,首先财务人员已具有坚实的经济和财会理论基础,如果再学习一些现代网络技术,将网络与经济、财会有机地结合,则面对知识快速更新和经济、金融活动的网络化、数字化,就能够从经济、社会、法律、技术等多角度进行分析并制订相应的理财策略。其次,通过技术培训可使财务人员不断吸取新的知识,开发企业信息,并根据变化的理财环境,对企业的运行状况和不断扩大的业务范围进行评估和风险分析。
2.3对企业进行业务流程重组网络经济下,数字化介质替代传统的纸介质,将打破传统企业中以单向物流运作的格局,实现以物流为依据、信息流为核心、资金流为主体的全新运作方式。这就要求企业必须对现有业务流程进行重组,将工作重心放在价值链分析上。企业要从行业价值链(原材料供应商一产品一制造商一销售商)进行分析,以了解企业在行业价值链中的位置,判断企业是否有必要沿价值链向前或向后延伸,以实现企业管理目标。
2.4建立财务风险预测模型随着互联网在商业中的广泛应用,作为数据管理的计算机往往成为逃避内部控制的工具;商业交易的无地域化和无纸化,使得国际间资本流动加大,资本决策可在瞬间完成。总之,由于网络经济的非线性、突变性和爆炸性等特点,建立新的财务风险预测模型势在必行。该模型应该由监测范围与定性分析、预警指标选择、相应阀值和发生概率的确定等多方面的内容组成,并能对企业经济运行过程中的敏感性指标,(如保本点、收入安全线、最大负债极限等)予以反映。这样,将风险管理变为主动的、有预见性的风险管理,就能系统地辨认可能出现的财务风险。