采購電子化進程中的安全策略

1、75COOPERATIVEECONOMYSSCIENCE合作經濟與科技2006.7x技術創新采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化

2、進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子

3、化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略采購電子化進程中的安全策略回文崇樞陳波當前，采購“三化”建設取得了顯著的成績，各采購

4、機構的采購網絡平臺也先后建立，為推行電子化采購奠定了堅實的技術基礎。但是，由于采購機構執行任務的特殊性及電子化采購網絡平臺自身的缺陷，使得采購電子化進程中面臨著各種安全問題。下面僅就這些安全問題及具體對策談談筆者的看法。一、采購電子化過程中存在的安全隱患采購改革起步晚，編制體制還在不斷完善，電子化采購也是近來提出的話題，管理思想、規章制度、管理技術、人才建設等都存在著一些不足，導致電子化采購在運行中存在很多安全隱患。l、管理思想上的問題

5、。一是缺乏系統的管理思想。隨著采購工作的規范化、信息化運行，采購機構為信息安全做了大量的工作，制定了一些安全管理制度，但基本上還是靜態的、局部的、少數人負責的、突擊式的、事后糾正式的傳統管理方式，而不是建立在風險評估基礎上的動態的持續改進管理的方法。結果不能從根本上避免、降低各類風險，也不能降低采購電子化中由信息安全故障引起的綜合效益損失。二是缺乏信息安全意識和信息安全方針。部分采購機構領導對電子化進程中信息資產所面臨的威脅認識不足，或

6、者只局限于IT方面的安全，沒有形成一個合理的電子化采購方針來指導組織信息安全管理工作。表現為缺乏完整的信息安全管理制度，缺乏對網絡工作人員進行必要的安全法律法規和防范安全風險的教育與培訓，對現有的安全制度不能完全實施等。三是重視安全技術，輕視安全管理。目前，各級采購機構正處于信息化建設的關鍵時期，為此，各級都配備先進的計算機、網絡等技術，用以提高采購效率及服務水平。但是，相應的管理措施不到位，如系統的運行、維護、開發等崗位不清，職責不分

7、，存在一人身兼數職的情況，造成安全隱患。2、規章制度上的問題。網上采購作為采購信息化建設的產物，對傳統的采購模式已經構成挑戰。對于這樣的新生事物相關的法律、制度至今還很不完善即便在最近頒布實施的一些采購法規中提及的也很少。關于哪些方面信息應當公布、如何公布網上采購程序的合法性如何界定，電子采購合同法律效力的確定，采購電子化的應急管理等，都是相關部門必須面對的問題。應盡快以法律方式來認可和保護電子簽章，建立采購信息公開規定，以實現采購信息

8、的開放性與安全性之間的平衡。通過各項配套法律的完善，使在建立一整套行之有效的措施的同時，落實各項安全保障制度。3、管理技術上的問題。電子化采購所依托的是路由器、交換機、工作站、網絡服務器，以及各類支持軟件，其安全性能、技術標準等對信息系統的安全有著重要影響。電子化管理技術上的缺陷來自三個方面：一是硬件缺陷。由于采購事業經費較少的原因，部分采購機構計算機配置較低，一些先進的安全硬件，如現代化的采購網絡中心還沒有建立。二是軟件缺陷。采購信息

9、平臺正處于研發、試用階段，很多軟件技術還不成熟，如確認客戶身份真實性的技術、保證數據傳輸安全的技術等。三是先進的測試技術應用不夠，如網絡反病毒、網絡入侵檢測、網絡安全掃描等技術。4、采購人才的問題。電子化采購專業人才的缺乏是當前采購電子化進程中安全隱患的重要原因。系統安全管理人員是復合型人才，電子化采購的發展需要大批既熟悉物資采購業務，又精通計算機網絡技術，具有豐富網絡工程建設經驗的工程技術人員、管理人員。由于電子化采購事業剛剛起步，現

10、有采購工作人員長期從事的都是傳統采購工作，所以在一時間內難以適應新的采購方式的要求。二、采購電子化進程中的安全策略采購電子化改變了傳統采購業務的處理方式，優化了采購過程，提高了采購效率，降低了采購成本，使采購真正達到了公開、公平、公正。實施采購電子化，將推動整個“采購管理信息化”的建設和發展，并將促使采購經濟效益的整體提高。但是，這些優越性要通過良好的采購網絡運行平臺才能實現，因此，必須通過有效方式營造一個安全可靠的電子化采購網絡環境。

11、l、更新觀念，強化管理，深化科學的電子化采購管理理念。樹立系統管理思想。在考察、分析和解決電子化采購安全管理問題時要著眼于整個電子化采購安全系統，要以合作的精神從整個電子化采購事業全局出發，把一組具有特定目的、相互聯系、相互制約的安全因素組合起來，根據輕重緩急，予以通盤考慮，逐次解決。影響電子化安全的因素是多方面的、復雜的，同時又是相互聯系、相互制約的，一個安全隱患的存在通常會影響到整個電子化采購系統的有效運行。要確實樹立系統管理思想還

12、需把電子化安全隱患當做動態的、發展的、持續的，把握其發展規律。加強內部管理。安全的最高境界不是產品，也不是服務，而是管理。要想保證網絡的安全，在做好邊界防護的同時，更要做好內部網絡的管理。網絡的內部安全管理策略包括：確定安全管理等級和安全管理范圍；嚴格控制人員進出入機房；監督工作人員操作過程，理順信息安全工作與其他工作的區別。確定安全管理原則。采購機構網絡中心的安全管理要本著多人負責、任期有限、職責分離的原則，將下列每組內的兩項信息處理

13、工作分開：計算機操作與計算機編程；機密資料的接收和傳送；安全管理和系統管理；應用程序和系統程序的編制；訪問證件的管理與其他工作；計算機操作與信息系統使用媒介的保管。2、建章立制，力促規范，加快電子化采購法規建設。安全的基石是社會法律、法規與手段，缺少法律、法規支持的安全是沒有保障、不能持久的。采購電子化是對傳統采購的一個突破，對采購工作人員的工作習慣和思維方式產生了一定的沖擊，法規支持的缺位，不利于統一規范用戶和采購機構的思想認識，不利

14、于規范采購環節的當事各方。借鑒《電子簽名法》、《電子商務示范法》，建立符合采購實際的電子簽名方法、電子合同保護方法。要實現真正意義上的電子化采購，76COOPERATIVEECONOMYSSCIENCE合作經濟與科技2006.7x財會審計財務風險類別探討回文袁敏何英財務風險指是由于多種因素的作用而使資本價值形態轉化存在不確定性。它是一把雙刃劍，既可能給企業帶來預期收益，又可能給企業帶來意外損失。風險的大小和收益的多少是成正比關系的，高風

15、險往往伴隨著高收益。一、財務風險的來源財務風險既來自于外部環境，也來自于企業自身。任何企業都與社會各方面有著千絲萬縷的聯系，企業的生存和發展必然要受到客觀環境的影響，機會來源于環境。環境因素具有強制性、不確定性和不可控性的特點。環境風險具有硬約束作用。雖然如此，但是企業對環境變化又是可以跟蹤預測的，其變化規律也是能夠掌握的。二、財務風險因不同的角度可以進行完全不同的分類（一）一般地按企業的籌資活動、投資經營活動、資金回收和收益分配這四項

16、財務活動分，相應地分為籌資風險、投資風險、資金回收風險和收益分配風險。l、籌資風險主要是因借入資金而增加喪失償債能力的可能。在市場經濟條件下，籌資活動是一個企業生產經營活動的起點，管理措施失當會使籌集資金的使用效益具有很大的不確定性。對于借入資金而言，企業在取得財務杠桿利益時，實行負債經營而借入資金，從而給企業帶來喪失償債能力的可能和收益的不確定性。它是財務風險的啟動點。2、投資風險是由于不確定因素致使無法取得期望投資報酬的可能性。在財

17、務上要正確處理企業投資經營過程中的資金運動和正確處理資金運動過程的經濟關系，投資項目如不都能產生預期收益，將會引起企業盈利能力和償債能力降低的不確定。它是財務風險發生的主導。3、資金回收風險，即在產品銷售出去后，由于其貨幣資金收回的時間和金額的不確定性而產生的風險。它是財務風險的表現。4、收益分配風險，即由于收益取得和分配而對資本價值和今后生產經營活動產生影響的可能性。收益分配包括留存收益和分配股息兩方面留存收益是擴大規模來源，分配股息

18、是股東財產擴大的要求，二者既相互聯系又相互矛盾。它卻是財務風險的最終釋放。（二）隨著企業財務劃分為出資者財務和經營者財務，企業的財務風險也劃分為出資者財務風險和經營者財務風險。出資者財務包括及時籌集資金、合理安排資本投向、確定收益分配策略等，其目標是實現資本最大限度的增值，出資者財務風險就是企業出資者面臨的資本投資風險、資本減值風險和資本經營財務風險。它是企業最基本的財務風險，出資者所面臨的風險是一種靜態風險，且主要是一種由制度引發、受

19、制度影響的風險。而經營者財務風險具有復雜性、動態性、復合性的特征。出資者財務是由提供資本者對其出資及其應用狀況進行的管理，其目的就是要約束經營者的財務行為，以保證資本的安全和增值。出資者財務風險主要包括資本投資風險、資本減值風險和資本經營財務風險。l、資本投資項目選擇風險。出資者從多個投資項目中選擇一個最佳的進行投資，會由于知識能力有限，對電子合同、電子簽名是關鍵的一環，但從地方政府及企業的運行來看，這一環容易出現簽名無效或者采購當事人

20、拒不承認采購合同的合法性等問題，為采購行為增添了不明朗的前景，頒布簽名及電子合同保護方法極為重要。制定安全管理制度。信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性，制訂相應的管理制度或采用相應的規范。具體工作包括：根據工作重要程度，確定系統安全等級；根據安全等級，確定安全管理的范圍；制訂相應的機房出入管理制度；制訂嚴格的操作規程；制訂完備的系統維護制度；制定應急等級轉換規定以及應急管理措施等。此外還包括電子化采購中的人員培

21、訓制度、專業電子化采購人員選擇辦法等。3、依托硬件，開發軟件，突出電子化采購安全技術的作用。先進的安全技術是信息安全的根本保障，用戶對自身面臨的威脅進行風險評估，決定其需要的安全服務種類，選擇相對應的安全機制，然后集成先進的安全技術，形成全方位的安全系統。（l）研發統一威脅安全管理技術。把采購機構能夠實現的硬件、軟件和網絡技術組合在一起，形成具有專門用途的安全設備，使之構成一個標準的統一管理平臺。其基本功能主要包括網絡防火墻、網絡入侵檢

22、測、網絡入侵防御和網關防病毒，此外還應具有安全管理、采購日志、采購安全策略管理、服務質量、負載均衡等功能。（2）完善和發展招投標中的安全技術和方法。一是網上招標管理系統的安全，包括招投標各方身份的真實性技術、標書下載的授權控制技術、投標書上傳中的機密性和完整性問題、投標行為的不可否認性問題；二是保證網上招投標采購安全性的方法，如為招投標各方發放數字證書，并結合以數字證書為核心的加密、數字簽名等安全技術保障網上招標采購系統中的身份認證、授

23、權控制、信息機密性、完整性和不可否認性，可以采取的技術有加密技術、數字簽名等。4、依托院校，加強培訓，推進電子化采購人才培養。電子化采購人才的來源有：一是在校學員和引進的人才，二是現有的采購隊伍。筆者以為，采購電子化應當主要依靠現有的采購隊伍，因為他們具有豐富的采購工作經驗、扎實的解決采購實際問題的能力，只要通過一定的崗位培訓、院校培訓，短時間內就可滿足電子化采購的需要。電子化采購不同于傳統采購，因而對采購人員的培訓要適當調整培訓目標和

24、培訓內容。（l）完善培訓目標。承擔培訓任務的院校、部門應當把提高參訓人員解決網絡故障、計算機故障、病毒入侵及熟練掌握電子化采購操作的能力作為培訓的最高目標。此外，還應包括提高參訓人員的網絡安全意識、更新參訓人員的網絡管理理念。（2）充實培訓內容。要結合當前電子化建設中面臨的新情況、新問題，大力推進案例教育、專題教育、情景教育，將參訓人員融入實際的不安全情景中，教育其如何分析、發現、解決不安全的因素。要充實法規、制度等內容，提高參訓人員的