史严梅

（山东经贸职业学院，山东 潍坊 261011）

1 零售信息系统概述

零售企业的信息化从简单的基于条码技术的POS（Point of Sale）应用，到财务记账软件的使用，再到ERP（Enterprise Resource Planning,企业资源计划系统）等领域的研究及不断推广，信息系统已经逐步取代了传统零售企业中大量存在的的手工制单和纸质化交易结算方式，促进了零售企业不断做大、做强。

了解零售管理信息系统，先了解一下什么是管理信息系统（Management Information System,简称MIS）。管理信息系统是一个以人为主导，利用计算机硬件、软件、网络通信设备以及其他办公设备，进行信息的收集、传输、加工、储存、更新和维护，以企业战略竞优、提高效益和效率为目的，支持企业的高层决策、中层控制、基层运作的集成化的人机系统。

零售企业信息系统是管理信息系统的一个重要组成部分，是面向零售行业的专业软件系统，根据零售企业业务需要和特点，零售企业信息系统一般包括采购管理系统（PMS）、配送管理系统（DMS）营运管理系统（SOS）、财务和结算（APS）、顾客关系管理系统（CRM）等主系统以及基础的系统配置系统。

2 零售企业信息系统的不安全因素

2.1 零售企业信息系统本身的脆弱性

零售信息系统的安全需求有：

保密性：防止信息泄露，例如信息系统中的的供应商信息、合同信息、销售额等信息泄露。

安全性：数据物理信息不被复制或泄露。完整性：通过技术手段安全机制保障数据库系统数据的完整性。可靠性和可用性：能够为各管理层提供准确可靠的详细分析数据。

信息时效性：信息的时效是指从信息源发送信息，经过接收、加工、传递和利用的时间间隔和效率，时间间隔越短，信息的时效性越强，时间越长，数据的价值可能越来越少，但是又不能不留下以往的数据，所以为了保证系统速度和稳定，防止系统数据量过大，一般对历史数据要进行备份和转移。

零售信息系统脆弱性的具体表现：

1）信息的易损坏性。数据的存储密度高，往往在一块磁盘或者一个磁盘阵列上可以存储大量的信息数据，容易被有意或者无意损坏，造成大量信息的丢失或者损坏。

2）数据的可访问性。一台远程终端用户有足够的权限可以访问到系统中的所有数据，并可以不留痕迹的将其进行拷贝、删除或者破坏。

3）信息的聚生性。少量分离的信息往往价值不大，但是将大量信息进行分析、加工、比对，就会显示出他的重要性。信息系统的根本特点之一，就是将大量信息收集在一起，进行自动、高效的处理，进而产生有价值的结果，提供给企业的各级决策者，促使他们做出对企业更有利的决策。可以说，零售企业信息系统的这种聚生性特点导致了其被窃取的可能性大大增加。

4）通信网络脆弱性。信息系统是建立在局域网中的，电脑间的远程通信都是利用电话线路、专用电缆、微波信道等媒介完成，因此，数据在传输过程中易被搭线窃听或者破坏。

2.2 信息系统容易受到威胁和攻击

计算机犯罪和计算机病毒包括了对信息系统实体和信息两个方面的威胁和攻击，一般影响信息系统安全的因素可以归纳为两类：

一是自然因素，主要指水、电、火、静电、有害气体、液体、地震、雷电、强磁场和电磁脉冲等危害。这些危害有的会损害系统设备，有的则会破坏数据甚至毁掉整个系统和所有数据。

二是人为因素，分为无意损坏和有意破坏两种。无意损坏，指安全管理水平低，人员技术素质差，操作失误或者错误造成的事故。有意破坏是指有目的的扰乱或破坏计算机信息系统，窃取信息，利用计算机信息系统进行盗窃、诈骗等违法犯罪活动，危及企业信息安全。

3 零售信息系统安全管理

分析完零售信息系统的不安全因素，我们知道，确保零售信息系统安全，平稳运行应该从哪些方面入手。首先建立一套完整的安全管理体系，进行信息安全机制及职能设计，建立高效、职能分工明确的行政管理和业务组织体系，建立信息安全标准和评估体系。目前常用的信息安全解决方案有防止非法入侵和泄密的解决方案，数据安全存储的解决方案和必不可少的防病毒解决方案等。具体的技术措施可以细分为两类：实体安全管理和业务信息系统安全管理。

3.1 实体安全工作包括人员管理、资产安全（机房、服务器、网络设备）等

3.1.1 建立健全规章制度，形成高素质人员队伍，确保人力保障

建立各项规章制度，如机房管理制度，数据备份制度等，据统计90%以上的管理安全问题来自终端，提高各部门人员的安全意识非常重要，加强培训与安全教育，强化安全意识和法制观念，提升职业道德，掌握安全技术，确保安全措施，责任到人。

形成一支自觉、遵纪守法的高素质队伍，是零售业信息安全工作的又一重要环节。企业要在员工思想、职业道德、经营管理、规章制度、教育培训等方面，做大量艰苦细致的工作，强化信息系统的安全管理，加强思想教育，严格防范对系统的非法侵入，把危害降到最低。

3.1.2 建立标准的计算机机房，保障机房安全

计算机机房作为网络的核心设备所在地，在建设和装修时要严格按照机房标准设计、装修，做到专线、双路供电，防雷防火防水，重要的设备如中心交换机、UPS、服务器等要做好相应备份。

3.1.3 做好服务器配置，保证服务器的安全

服务器是信息管理系统的核心组成部分，是数据库管理的心脏。负责业务数据的处理和存储，网络的安全首先要保证服务器的安全。有条件的用户可以使用双机热备方案，一台服务器出现故障时，能保证信息系统的正常运行。

3.1.4 规划好网络，确保网络安全

当前，接入信息系统的终端众多，人员水平层次不齐，为网络的安全带来了很大的隐患，所以局域网的安全监控与管理成了信息负责人必须关心的问题。通过制定统一的安全策略，限制移动电脑和移动存储设备随意接入内网，杜绝内网电脑通过拨号、双网卡等方式非法外联，有效保证了内网与外网的隔离度，提高内网的安全性；通过网络流量控制模块，实施监控网络终端流量，对异常网络行为进行自动预警或阻断；全面利用网络内统一的杀毒软件和防火墙，进行系统漏洞检测，补丁分发，软件升级；完善权限分配管理，不同的管理员拥有不同的管理权限，权限互不干涉。

3.2 业务信息系统的安全管理

3.2.1 系统技术架构

采用三层技术架构的零售信息系统，用户只能通过逻辑层来访问数据层，减少了入口点，可以屏蔽很多危险的直接访问，较二层架构（传统的客户/服务器结构，尽管目前占统治地位的结构）有着比较明显的安全优势。

3.2.2 系统储值卡的安全管理

零售信息系统的特点在于数据处理量大，处理业务复杂重复，如何保证储值卡的安全是管理者最关心的问题。具体的措施有：通过在形成卡介质内容时让其包含4-6位随机数，随机数保有在卡数据库中，没有规律，可以有效防止批量制作假卡；通过卡余额加密为校验码和卡余额平衡，防止人工不经过系统直接在数据库中进行卡余额修改或系统故障；制作卡片时，除印制卡号外，另外印制系统根据卡号加密生成识别码，提高复制卡的成本，有效防止复制卡及假卡；系统提供对IC卡的读写密码管理，控制卡的使用过程，避免卡复制。

3.3 零售信息系统的安全部署

优秀的零售管理系统，能够根据零售企业的规模、管理需求等方式，进行针对性的部署，目前信息系统一般均支持分布式、集中式、分布式与集中式混合部署的方式。如果企业的门店数目较多，规模较小，一般采用集中式部署方式，服务器数据集中管理可以实现信息系统的免安装，集中维护，从而简化系统建设，降低维护成本，增加系统安全性。

总之，信息系统没有绝对的安全，只有通过落实各项管理制度，通过系统管理，制定合理的安全策略，采取有效的综合性防范措施，才能切实保障管理信息系统的安全、稳定、正常运行，保障各项业务正常开展，体现信息系统带来的便捷高效的服务,规范企业工作流程，提高管理水平，为企业决策提供数据参考，从而为企业带来巨大的经济效益。

［1］雷鸣.管理信息系统开发与管理[M].经济科学出版社，2012.

［2］吕林涛.网络信息安全技术概论[M].2 版.科学出版社，2010.