1.网络经济的理论内涵
从20世纪90年代初期,巨大的信息量,低成本、高效率的信息流动等等,这些都使人类社会的生产和生活方式开始发生变化,新形式和新特点的经济活动在社会中涌现,人们把这种经济状况称为网络经济。网络经济最初是指网络产业经济,包括电信、电力、交通(公路、铁路、航空)等基础设施行业。由于这些行业共同具有“网络”式的结构特征和由此引发的经济特征,所以被称为“网络经济”。关于“网络经济”的定义,不同的经济学者有不同的看法。本文采用的是我国经济学家乌家培给网络经济所下的定义。他认为“:网络经济就是通过网络进行的经济活动”他还指出“对网络经济可以从不同层面去认识它。从经济形态这一层面来看,网络经济就是有别于游牧经济、农业经济、工业经济的信息经济或知识经济,由于所说的是数字网络,所以它又是数字经济。“”从产业发展的中观层面来看,网络经济就是与电子商务紧密相连的网络产业,既包括网络贸易又包括网络银行、网络企业、以及其他商务性网络活动,还包括网络基础设施、网络设备和产品以及网络服务的建设、生产和提供等经济活动。“”从企业营销、居民消费或投资的微观层面来看,网络经济则是一个网络大市场或大型的虚拟市场。”
2.网络经济的理论特征
网络经济阶段表现出更多的、新的特征。这些特征包括(:1)开放互连性。网络经济的出现,使各种经贸往来都是双向互动。(2)效率高效性。信息技术令任何信息都可以转化为数字形式以接近光速的速度进行传输。(3)经济资源全球共享化。世界互联网络的快速发展,网络经济使市场空间加大,不仅局限于某个市场领域,甚至超越国界,深入到世界的每一个角落进行交流和相互依存。(4)经济活动虚拟化。经济活动打破传统的物理市场,在物理市场进行交易的同时也在虚拟市场也进行交易活动。虚拟商场、虚拟银行等纷纷涌现更加大了经济活动的虚拟化。
二、网络经济环境对现代企业生存的影响分析
1.企业组织结构网络化
网络经济的出现,使企业可以将员工、经销商和客户联系起来,共同构成一个相关的网络系统。网络让企业基层员工也可以听到董事长的安排,可以从任何地方立即得到很多信息,信息可及时地传播到各处。同时,随着网络经济的发展,企业的另外一个转型就是企业组织结构的虚拟化和组织决策分散化。网络经济时代的到来,改变了企业生产经营方面,主要表现为:缩短企业生产周期,交易成本的降低,扩大市场范围。
2.企业产品消费个性化
网络经济时代市场竞争的突破传统的规模生产,个性化需求出现在网络经济时代。在整个市场交易中,市场消费由被动接受转型为私人订制,消费者的需求成为市场的主导,这是网络经济时代企业扭转的一个必然趋势。当然,发展科技同样重要,但是发展科技的前提就是要满足消费者定制需求,这样才会占有市场。
3.企业竞争合作常态化
社会上各个产业因为网络经济而发生改变,它不仅是新兴产业的孕育基地,更是传统产业转型的空间。随着互联网应用的全员化,企业的商业活动逐渐由线下转为线上,企业间的竞争方式也发生了改变。首先是企业间竞争范围扩大化。网络经济环境使企业间价值创造能力出现融合现象,同行业同领域间的竞争已不在于此。其次是企业竞争要素上的改变。企业的竞争在成本和质量等要素同等的前提下,拼的就是时间和技术,网络经济的发展在销售渠道上产生了多元化,同时也及时更新产品在市场上的销售业绩,因此时间竞争变得越来越重要。
三、小结
1.1给具体的党建工作方式带来不利影响
从当前我国大部分的企业党建工作开展的方式来看,对于各种所需的文件资料还是靠纸质打印为主,对于信心公告的发放还是以人工为主,这会造成很大的人力资源浪费,并且效率也不是很高,在网络化的影响下,可以使资料的查阅、信息的传达以及会议的召开等以自动、远程的方式进行,极大的节省了时间投入,因而需要企业予以重视。另外,网络时代的到来也在侧面要求企业对传统的、单一的、枯燥的党建方式开展进行全面的创新优化,这样才是和时代的发展规律和潮流特点相一致的。
1.2对企业党建工作的理念产生变化
网络时代背景下,企业的党建工作理念会有很大的变化,从过去一教育者为主导的模式转变为党建双方同为主体的新的模式。传统的党建工作特点是党的组织和领导者处于一种主动的地位,对于党建活动的开展是由上级领导来决定的,对于普通的非党员性质的企业员工来说是处于被动的地位,仅仅只是接受者,很少有主动的发言权,更不用说是决定权了。但是,在网络化的背景下,借助于新的传播媒体,网络自身的优势特点可以充分的发挥,这也就决定了网络参与主体是平等的、互动的,对于企业的党建工作来讲就要根据这一规律和趋势,改变旧的模式,充分的尊重普通员工的主体,两者形成“双主体”的模式,确保双方平等的地位,对员工进行人文性关怀,让员工切实感受到自身的主体地位。
2网络时代背景下对企业党建工作开展带来的新的机遇
2.1极大的丰富了企业党建工作的资源和内容构成
从传统党建工作所呈现出的特点来看,也就是单一性、枯燥性、滞后性等,究其产生原因,就是党建管理者在开展工作时所掌握的资料信息并不充足,很多的信息了解较为滞后,这就使得党建工作不能满足基层党员的现实发展需求,也就不能进行形式多样的活动开展。在网络时代背景下,企业可以借助多种新媒体设备及时的、全面的获取大量的网络资源,并借鉴其他企业的优秀方式,来不断的丰富自身的工作形式,而且对于企业员工来说,还可以在网络技术的应用下加强相互之间的交流沟通,不再受到时间和空间上的限制,能够在交流中发现自身不足及时修正,从而可以为企业的党建工作开展的顺利进行做好事前准备。
2.2为党建工作的交流搭建新的平台
从网络化下的党建工作开展来看,在传统的企业党建工作中,党建工作的管理者在实质上是处于一种优势的地位,有一定的权威性,而企业员工则是被动弱势的地位,这对党建工作的实效性提高是不利的,新的党建工作的开展在改变了旧的工作方式和理念基础上,改变了双方的地位,使企业上下形成一种积极和谐的氛围。企业党建工作者可以利用网络媒体的优势,建立具有时代特点的、符合员工实际的工作交流平台,可以以一种平等亲和的身份与员工进行更为人性化的交流沟通,了解员工的实际状况,把握员工的思想动态,像网络论坛就是一个很好的例子,这样可以充分把握员工的心声,使党建工作的实效性得到加强,同时也可以起到很好的监督监管作用。
2.3为企业党建工作的开展提供了新的阵地
网络时代化的发展使得人们的生活方式和生活观念有了很大的改变,逐渐成为了实际生活中不可缺失的一部分,它的资源丰富性的特点在为企业党建工作提供便利的同时也给其他消极的腐朽思想的传播提供了可乘之机,不利于党建工作的顺利稳定进行,因此,企业党建管理者需要把企业最先进的最具有代表性的内容及时的进行传播,把它网络化作为新的工作阵地,引导企业员工积极树立正确科学的意识,形成正确的“三观”,从而增强企业的凝聚力。
3在网络时代背景下如何加强企业党建工作
3.1重视对企业基层党建工作队伍的塑造
企业要在网络时代下取得更好的党建效果,首要的前提就是有一支专门的党建队伍,这个队伍要具有素质高、管理经验丰富且熟练网络技术的特点,可以最大程度的发挥网络优势。在此基础上,对网络所带来的挑战和基于机遇予以正视,并把握特点,然后深化对马列主义、思想以及中国特色社会主义理论体系的理解,不断的塑造自己,提高政治素质。
3.2创新党建工作的方式
首先,要建立全面系统的党建知识信息库。这是进一步拓展党建工作方式的重要前提,不仅需要包括最先进的党建理论,还要有以往丰富的工作经验的结语信息。其次,建立新的信息交流传播工具。网络时代的一个最为显著的特点就是,信息传播的速度十分快速,可以利用这一特点,建立新的交流工作和方式,像微信群、博客论坛等新的网络交流平台,企业员工可以在这一平台下畅所欲言,发表自己的看法,这对于党建工作的效率和质量提高是非常有用的。
3.3建立健全党建工作的运行体制
网络时代背景下,对于企业的党建工作开展以及管理监督有了新的要求和标准,需要企业党建工作管理者不断的进行工作体制的创新,以适应发展要求。一方面,要对党建工作的相关制度进行完善强化,提高执行效果,重视监督的作用,对存在的不良现象进行及时的改正;另一方面,作为企业党建工作网络化开展的主体的员工角度来说,需要企业采取行之有效的措施对其自身的网络素质进行规范,提高对网络信息的辨别能力和自控能力,必要时还需要组建一支专门的监督监管队伍,形成一个多层次的信息反馈体制,保证党建工作的顺利开展。
4结语
关键词:中小企业;网络营销;
随着互联网技术的发展,我国网络营销也越来越普及,企业的生存竞争空间正逐步从传统市场转向网络市场,营销方式也从传统的市场营销转向网络营销。据调查资料显示,我国网络市场营销规模2003年18亿元,2004年31亿元,2005年54亿元,2006年已经突破75亿元,表明我国网络营销已进入高速发展阶段。网络营销作为一种独特的营销模式目前受到社会的广泛关注,它是建立在互联网基础之上、借助互联网特性实现企业营销目标的一种营销手段,是企业整体营销战略的重要组成部分,其实质是把互联网作为销售工具及销售手段而进行的一种营销活动。中小企业开展网络营销,能充分发挥自己在价格、产量和机制等方面的优势,树立企业良好形象,提升客户服务水平,增强中小企业的竞争力。
一、中小企业开展网络营销存在的问题
目前,我国网络营销正进入快速、健康发展的时期。但我国中小企业开展网络营销仍存在着许多发展瓶颈与障碍,主要表现在以下方面:
1、企业观念问题。有些中小企业对开展网络营销的认识不深,没有充分意识到在知识经济时代抢占网络信息对赢得企业未来竞争优势的重要性,更没有把网络营销作为企业发展的一种战略。有些中小企业对网络营销的认识过于简单,只是把网站和网络营销看成一个孤立的市场推广手段,并没有真正地将网络营销与企业的整个经营过程结合起来。据统计,美国大概有60%的企业利用互联网销售自己的产品,而在我国这个比例仅仅只是5%,可见我国与先进国家相比还存在着较大的差距。
2、信用与安全问题。开展网络营销一个最关键的问题就是信誉问题,没有实际交往的双方如何取得彼此的信任是困扰网络营销的一大难题。中小企业普遍存在规模小、实力较弱,因此,抗风险能力差,成长性不强,信用程度往往很低。一定程度上造成了企业融资难,对外交往难的问题,严重影响了网络营销的效果。另外,网络的安全性问题也是开展网络营销的一大阻碍,是中小企业与消费者共同担心的问题。由于互联网的开放性,使得网络交易面临着种种风险,网上交易安全性。
3、人才问题。人才是企业经营管理中最重要的因素之一。在网络营销过程中,中小企业需要既懂网络技术,又懂营销管理的高素质复合型人才。多数中小企业因为资金、制度、管理等方面的原因,难以吸引和留住网络营销人才。有的企业技术人员不懂营销方面的知识,过分强调技术,忽视用户的需要,导致系统使用状况不良。
4、物流配送问题。多数情况下,交易双方无法在网络上实现实物的转移,只能依赖于网下的物流配送体系。但多数中小企业缺乏配套的物流配送中心或信息服务中心。同时,我国物流业的不发达和滞后的社会物流配送体系也导致运输费用过高,除支付商品价格外,还需支付运费;运输时间过长等,很大程度上影响了网络营销的快速、便捷、低价优势的发挥,使得一些中小企业不愿意在网络营销上进行更大的尝试活动。
5、企业管理问题。许多中小企业管理水平落后,管理基础薄弱,信息化水平偏低,影响了网络营销的顺利进行。开展网络营销,要求中小企业必须以先进技术为支撑,对传统营销的组织形式、管理模式、经营方式和营销观念等方面进行根本性变革,围绕核心业务开展流程重组,重新设计和优化企业业务流程,从而使技术与企业的管理和运营有机结合起来。
二、中小企业开展网络营销策略分析
中小企业要在激烈的营销竞争中获得成功,必须充分利用网络营销的特点,结合自身发展状况和企业的内外部资源、条件等因素,不断探索适用自身特点的营销策略。
1、树立正确的营销观念。中小企业的管理者需要学习和了解网络营销的知识,形成科学的网络意识,树立借助国际互联网改善经营、开发新产品、开拓新市场、提高企业竞争力的网络营销观念。中小企业要对传统经营管理模式进行改造,重新设计和优化企业业务流程,建立科学的公司治理结构和强化内部控制制度。将金字塔形管理系统扁平化、网络化,重建企业内部的数字化基础,形成适应开展网络营销的管理体制和企业文化,从企业发展战略高度上充分认识到抢占网络信息市场的必要性和紧迫性,抓住有利时机开展网络营销。2、做好网络营销市场定位。网络销售和单向营销模式不同,它是双向的营销方式。中小企业要根据网络营销特点广泛进行网络调研,以科学的方法,系统地、有目的地收集、整理、分析和研究与市场相关的信息,特别是涉及客户的需求、购买动机和购买行为等方面的信息,准确进行自己的网络市场定位,从而合理、有效地提出解决问题方案,体现出自己的特色和满足客户的特定需要,这样才能对客户有吸引力,从而提高网络营销的效果。
3、加强营销网站内涵建设。在互联网上设立网站是企业进行网络营销的基础。企业要想成功地开展网络营销,就要精心策划网站和做好网站维护工作。网站的设计要科学合理和简单实用,内容要经常更新,建立一个数据库系统,及时了解市场的需求动向等。也可利用专业化的网络营销平台,如阿里巴巴、慧聪网等,通过与平台供应商的合作,节约网络营销运行成本,获得更为先进和专业性的服务。
重视客户关系管理,建立一套网络销售和客户服务系统,借助互联网固有的交互功能,利用电子公告栏或电子邮件等手段提供在线售后服务或与客户做双向沟通和交流,提高客户的忠诚度,把客户融入整个营销过程中,鼓励客户参与产品决策,为顾客提供定制化的产品和服务,及时了解消费者对企业产品的评价,充分掌握客户的需求状况。
4、加强网络促销活动。重视网站的推广工作,促使消费者浏览企业的网站。推广的方法很多,可以利用传统媒体,例如报纸、电视、各种公司宣传品、名片、广告衫和产品包装等宣传网址;也可利用Internet的资源推广网站,将网络广告发送到Internet上经常被网民访问的地方,如搜索引擎、服务网点、行业网站、讨论组和电子信箱等。
重视网络促销。网络促销的出发点是利用网络特征实现与顾客沟通,这种沟通方式不是传统营销中“推”的方式而是“拉”的方式,即“软”营销,这一特色是发掘潜在顾客的最佳途径。目前,网络广告是较为普遍和受欢迎的促销方式。
5、优化营销渠道体系。网络将企业和消费者连在一起,给企业提供了一种全新的销售渠道。企业在应用过程中应不断完善这种渠道,以吸引更多的消费者。有条件的中小企业可考虑自己建设以订单信息流为中心,全国供应链资源网络和计算机信息网络为支撑的多样化、直接分销为主导的现代物流体系。实力较弱的中小企业可以选择有关第三方物流企业来实现物流配送的社会化。
6、加大对网络营销人才的培养和管理。人才缺乏是中小企业开展网络营销的一个瓶颈。因此,中小企业应当重视培养网络营销方面的人才,利用各种途径、手段,培养和提高员工的业务能力和服务效率,组建一批素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,为企业网络营销的发展提供人才保障。同时,企业还要建立科学的公司治理结构和强化内部控制制度,形成适应开展网络营销的管理体制和企业文化。
总之,网络营销是企业未来营销的发展方向。中小企业完全可以借助网络营销突破资源限制,拓展生存和发展空间,实现企业的可持续发展。
参考文献:
[1]曹海娟.我国中小企业开展网络营销存在的问题及对策[J].市场论坛,2005.
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
(一)降低成本。网络环境下,信息更加透明、传播速度更快,使得企业间、企业与顾客之间的沟通效率更高,企业可以很方便地搜集了解消费者的购买趋向和意愿,开展针对性名牌营销,降低企业对外交易成本;另外相比传统广告,网络环境下广告形式更加多样,费用更加低廉;同时借助网络实现的内部信息化管理又使得采购、生产、财务、销售等部门实现无缝的连接,从而对采购量及采购时间间隔的掌握更加精确,大大降低采购及库存成本;通过网络实现无店面销售,则省去了店面的租赁费用和营业员的薪资,大幅度地降低了企业的经营成本。
(二)促进新市场的开发。在经济全球化的今天,名牌企业间的竞争日趋激烈,如何能快人一步地掌握信息,从而进行新市场谋划已成为企业决胜的关键。而网络环境下,利用网络的发散性特点可以对市场信息进行多路径收集,如直接在网上设置调查表来了解消费者的需求偏好、通过网页统计软件的方式了解消费者的购买行为特征、通过建立互动平台来搜集消费者购后评价,再对这些数据进行分析处理,进而确立新市场的发展方向和变化趋势,帮助企业成功定位新市场。接下来的新市场开发推广可采取两种形式:一是通过各大门户网站、,视频网站、微博宣传和介绍名牌产品信息;二是通过网上商城提供商品信息,开展产品样品提供及试用活动,以各大网上商城原本强大的信誉为支撑打开新市场的大门。
二、网络环境下的企业名牌策略
(一)网上名牌并购策略。互联网所特有的全球性和快速性使得越来越多的企业通过并购来扩大市场份额、减少市场进入成本。这种并购实际就是品牌的并购,网络名牌并购形式主要有两种:一是网上名牌之间的并购,即直接并购其他网上企业从而把对方的市场份额收入自己的囊中;二是网上名牌对现实名牌的并购,由此实现传统业务和网络业务的互补和融合以及网上名牌向传统市场的延伸。如美国在线收购时代华纳,使得原公司的业务范围从电子商务拓展到媒体和娱乐,并试图向传媒巨头转型。在运用并购策略时,企业首先要明确并购目的,制定出潜在的和必须达到的并购目标,然后再制定并购战术并选择合适的时机采取并购行动,同时还应当根据实际反应作出适当的调整,在并购完成后对并购目标进行合理的整合。
(二)网上名牌上市策略。上市策略是指网上名牌通过自身良好信誉和发展前景作为支撑争取到股票上市的机会,从而获得企业后续发展的大量资金。例如,长江实业集团董事长李嘉诚借不断兴起的网潮之势和他个人的名人效应,策划创建公司上市,上市当天认购股额超出预想四倍以上。这种策略可以为网上名牌的长期发展打好坚实的资金基础,更能使网上名牌的知名度再上一层台阶,同时分散经营风险获得更多的生存机会。要想正确有效地开展上市策略,有几点需要企业注意:一是经营者必须最大限度利用各项信息,让投资者对购买发行公司的股票感兴趣从而进行购买决定;二是对股票进行一定的让利,使购买者有利可图,同时让证券商也能获得一定的利益;三是借助社会媒体对发行公司进行宣传报道,让更多的公众了解网上名牌。
(三)网上名牌授权策略。名牌是企业的无形资产,企业花费很长时间,耗费人力物力进而积累形成的,自然希望从中获取大量的利益回报,名牌的重复利用不仅不会使其价值降低,反而会因为提升了名牌的曝光率而使价值不断得到提升。名牌授权策略可追溯到美国迪士尼的创立之初,它曾以300美元的价格把米老鼠形象授权给一家家具制造商,而时至今日迪士尼在全球已经拥有4,000多家品牌授权企业,其授权产品范围从几块钱的文具到2万美元一块的手表,可谓应有尽有。使用这种策略需要注意的地方是,在企业选择授权对象的时候,必须要非常详尽的了解准备授权的对方企业的声誉、生产能力、服务品质、员工素质等多方面因素,务必在候选企业中优中择优,并在授权后对目标企业的生产经营过程,服务活动等进行适当的监管,避免由于授权企业的不当行为损害原有品牌的声誉和名牌效应。
(四)网上名牌延伸策略。在网上成功地创建了一个名牌之后,将名牌效应渗透到相关的产品、服务中去,也就是所谓的网上名牌延伸。该策略可以让消费者快速识别新的延伸产品和服务,产生认同和忠诚,降低促销和广告费用,更加有效地打入市场。例如,Yahoo成名后速把Yahoo这一品牌应用到一系列的产品和服务上面,如日本雅虎、中国雅虎、雅虎杂志等。网上品牌延伸策略的不足之处是,它可能会使该企业原有品牌个性淡化,甚至损害原本品牌的声誉和名牌效应。因此,企业在运用该策略时要注意两点:一是网上平台和其要延伸的品牌应该有一定的匹配;二是延伸的品牌质量一定要得到保证,能够获得消费者的认同,把握进入市场的时机。
三、网络环境下企业名牌的维护
(一)域名的保护。网络环境中具有专有性特征的网络域名作为一个能起到识别作用的标志,又常常被人们通俗地称为“网上商标”。对于商家而言,一个好的域名不仅能很大程度上节省网络推广费用,而且还有很强的传播效应,能够为企业创造持续的商业价值。与此同时,对于驰名商标的域名抢注而造成的商标淡化问题对于商标权人的品牌策略来讲也是一种巨大的损失。因此,从企业建设角度来看,做好域名保护非常重要。例如,大家所熟知的海尔公司,伴随其海外市场的扩张以及电子商务的发展,海尔集团在1997年就在国际上注册了域名。为了进一步保护他们的网上商标不被侵犯,海尔还注册了大量的相关域名,防止其他人通过注册海尔的相关域名来混淆消费者的视听。
1企业财务管理面临的机遇
1.1网络计算
在财务管理过程中,互联网为进行网络计算提供了核心动力,这一核心动力的发展在一定程度上使得财务管理由桌面走向网络,在财务管理空间、时间和效率三个方面,同样体现了财务由桌面到网络的改变,主要表现为,在空间方面,使得财务管理从企业总部走向企业全部,从企业内部走向企业外部;在时间方面,使得会计核算从事后核算逐渐转变为实时核算,同时使财务管理从静态逐渐走向动态;财务管理在时间、空间方面的转变,进而在一定程度上带动财务工作介质、工作方式的改变。从本质上说,无论是空间发生改变,还是时间发生改变,都大大提高了财务管理的质量和能力,同时使得财务管理水平也大大提高。
1.2协同业务
在电子商务中,网络财务作为其中的重要组成部分,进一步促进了财务与业务之间的协同。企业在财务与业务之间进行协同,一方面包括企业内部各部分之间的协同,另一方面包括供应链节点之间的协同,以及与社会部门之间的协同。对于企业来说,内部协同业务通常情况下主要包括对企业全程业务的协同。
1.3远程处理
企业通过网络进行财务处理,其功能主要包括远程报表、远程报账、远程查账、远程审计等,在一定程度上强化了主管单位的财务监控职责。
1.4集中式在线管理
网络财务作为企业财务管理的一种模式,这种管理模式是集中式财务管理的理想模式,利用网络财务系统,对所有的分支机构,集团企业可以实现集中记账、集中资金调配等。另外,企业主管和财务主管根据动态的会计信息,可以及时地做出准确的反应,组织部署经营活动,同时做出相应的财务安排。
1.5低成本、移动式办公
首先,网络财务改变了会计介质,同时出现了各种电子单据。在网络财务的环境中,提供财务信息的方式已经由传统的纸质页面数据、磁盘数据逐渐向网络页面数据转变。其次,改变了财会的工作方式,在经过授权的情况下,财务人员可以实现家庭办公,借助信息终端公司职员可以办理相应的业务,利用终端主管人员可以对数据进行查询。使得移动式办公成本大大降低。
2传统企业财务管理面临新的挑战
2.1财务管理面临新内容
①加快了传播、处理和反馈信息的速度;②进一步提高了积累知识、更新知识的速度;③大大缩短了产品的寿命周期;④国际资本流动随着“媒体空间”的扩展以及“网上银行”的兴起,以及使用“电子货币”等进一步加快,在瞬间内可以完成资本的决策;⑤在无形资产方面,投入的速度快,而且变化大。
2.2影响传统会计的功能
在网络财务环境下,企业作为全球网络供应链中的一个节点,通常情况下只在网上组织开展相应的业务,对于传统的财务计价、财务控制、结算方式等可以在一定程度上进行创新。
2.3影响财务信息管理
在电子商务时代,企业在经营过程中,已经超越了时空的界限,对于原来只有跨国公司、大型企业才具有的优势和资源等,在电子商务时代普通企业同样可以拥有。在客户、供应商、合作伙伴日趋复杂的情况下,如何做出快速的反应成为一个新的课题。
2.4影响财务的国际化
随着全球经济一体化进程的不断推进,我国企业要进行国际化经营,开发国际市场。在开展国际竞争的过程中,需要强调财务的国际化。在这种情况下,需要打破传统的会计制度,进而在一定程度上与国际会计准则接轨,进一步解决财务的国际化问题。
2.5安全问题带来新的风险
安全问题在一定程度上增加了网络财务的风险,其风险主要包括:计算机系统本身固有的风险、网络系统的资源风险等,在传递过程中,这些因素将会对信息的真实性、完整性和可靠性构成不同程度的影响。
3我国企业采取的对策
3.1更新观念
在网络经济环境下,企业经营者及财务主管需要更新观念,进一步对网络财务进行管理:
3.1.1以人为本的理财观念企业在经营过程中,对于人的发展与管理观需要给予高度重视,这是现代企业管理的主流,同时也是满足知识经济时代的基本要求。对于企业来说,自身的每一项财务活动通常情况下都是由人发起、操作和管理的,在这种情况下,人的知识、智慧,以及努力的程度都会对成效产生不同程度的影响。
3.1.2风险理财观念在当今社会,风险无处不在,企业在经营过程中面临的风险,因网络经济的发展进一步加剧。在这种情况下,财务管理人员需要树立风险意识,对环境变化产生的不确定性因素需要善于捕捉,同时进行科学的预测,进而在一定程度上有预见性地采取防范措施,进一步规避风险造成的损失。
3.1.3信息理财的观念从信息入手,对信息进行全面、准确的分析和利用,同时善于捕捉有利于企业发展的各种信息,制定科学合理的财务决策,并组织开展筹资、投资活动。
3.1.4重视知识、智力资源观念
随着知识经济时代的到来,知识作为一种生产要素,将会成为推动经济增长的动力源泉。在经济发展中,智力等无形资产的重要性正在迅速提升,企业在对网络财务进行管理时,需要知识化、智力化管理。
3.2重新修正财务管理目标
企业在经营过程中,股东财富最大化这是传统财务管理的目标。在工业经济时代,传统的财务管理目标能够适应时代的发展需要。但是,在网络经济环境下,无形资产的重要性日益凸显,社会对于创造无形资产的人才等智力资源给予了高度重视,在这种情况下,企业的财务管理目标一方面需要追求股东利益,另一方面需要追求其他相关利益主体的利益,以及社会利益。
3.3拓展财务管理内容
3.3.1无形资产成为企业投资决策的关键在企业总资产中,无形资产所占的比重以及所起的作用,逐渐受到人们的认可和关注,并将成为主要资产,在一定程度上决定着企业未来收益及市场价值。
3.3.2风险管理成为企业财务管理的重要内容破产的风险在知识经济时代,对于企业来说这是随时面临的。在这种情况下,企业财务管理人员需要对投资、融资过程中的所有风险因素进行准确地预测和评估。对于风险管理理论和方法,需要财务管理人员给予高度的重视。
3.4推出基于Web平台的网络财务软件
购物车(0)
