时间:2023-04-08 11:47:17
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇企业网络论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
随着互联网技术的发展,我国网络营销也越来越普及,企业的生存竞争空间正逐步从传统市场转向网络市场,营销方式也从传统的市场营销转向网络营销。据调查资料显示,我国网络市场营销规模2003年18亿元,2004年31亿元,2005年54亿元,2006年已经突破75亿元,表明我国网络营销已进入高速发展阶段。网络营销作为一种独特的营销模式目前受到社会的广泛关注,它是建立在互联网基础之上、借助互联网特性实现企业营销目标的一种营销手段,是企业整体营销战略的重要组成部分,其实质是把互联网作为销售工具及销售手段而进行的一种营销活动。中小企业开展网络营销,能充分发挥自己在价格、产量和机制等方面的优势,树立企业良好形象,提升客户服务水平,增强中小企业的竞争力。
一、中小企业开展网络营销存在的问题
目前,我国网络营销正进入快速、健康发展的时期。但我国中小企业开展网络营销仍存在着许多发展瓶颈与障碍,主要表现在以下方面:
1、企业观念问题。有些中小企业对开展网络营销的认识不深,没有充分意识到在知识经济时代抢占网络信息对赢得企业未来竞争优势的重要性,更没有把网络营销作为企业发展的一种战略。有些中小企业对网络营销的认识过于简单,只是把网站和网络营销看成一个孤立的市场推广手段,并没有真正地将网络营销与企业的整个经营过程结合起来。据统计,美国大概有60%的企业利用互联网销售自己的产品,而在我国这个比例仅仅只是5%,可见我国与先进国家相比还存在着较大的差距。
2、信用与安全问题。开展网络营销一个最关键的问题就是信誉问题,没有实际交往的双方如何取得彼此的信任是困扰网络营销的一大难题。中小企业普遍存在规模小、实力较弱,因此,抗风险能力差,成长性不强,信用程度往往很低。一定程度上造成了企业融资难,对外交往难的问题,严重影响了网络营销的效果。另外,网络的安全性问题也是开展网络营销的一大阻碍,是中小企业与消费者共同担心的问题。由于互联网的开放性,使得网络交易面临着种种风险,网上交易安全性。
3、人才问题。人才是企业经营管理中最重要的因素之一。在网络营销过程中,中小企业需要既懂网络技术,又懂营销管理的高素质复合型人才。多数中小企业因为资金、制度、管理等方面的原因,难以吸引和留住网络营销人才。有的企业技术人员不懂营销方面的知识,过分强调技术,忽视用户的需要,导致系统使用状况不良。
4、物流配送问题。多数情况下,交易双方无法在网络上实现实物的转移,只能依赖于网下的物流配送体系。但多数中小企业缺乏配套的物流配送中心或信息服务中心。同时,我国物流业的不发达和滞后的社会物流配送体系也导致运输费用过高,除支付商品价格外,还需支付运费;运输时间过长等,很大程度上影响了网络营销的快速、便捷、低价优势的发挥,使得一些中小企业不愿意在网络营销上进行更大的尝试活动。
5、企业管理问题。许多中小企业管理水平落后,管理基础薄弱,信息化水平偏低,影响了网络营销的顺利进行。开展网络营销,要求中小企业必须以先进技术为支撑,对传统营销的组织形式、管理模式、经营方式和营销观念等方面进行根本性变革,围绕核心业务开展流程重组,重新设计和优化企业业务流程,从而使技术与企业的管理和运营有机结合起来。超级秘书网
二、中小企业开展网络营销策略分析
中小企业要在激烈的营销竞争中获得成功,必须充分利用网络营销的特点,结合自身发展状况和企业的内外部资源、条件等因素,不断探索适用自身特点的营销策略。
1、树立正确的营销观念。中小企业的管理者需要学习和了解网络营销的知识,形成科学的网络意识,树立借助国际互联网改善经营、开发新产品、开拓新市场、提高企业竞争力的网络营销观念。中小企业要对传统经营管理模式进行改造,重新设计和优化企业业务流程,建立科学的公司治理结构和强化内部控制制度。将金字塔形管理系统扁平化、网络化,重建企业内部的数字化基础,形成适应开展网络营销的管理体制和企业文化,从企业发展战略高度上充分认识到抢占网络信息市场的必要性和紧迫性,抓住有利时机开展网络营销。
2、做好网络营销市场定位。网络销售和单向营销模式不同,它是双向的营销方式。中小企业要根据网络营销特点广泛进行网络调研,以科学的方法,系统地、有目的地收集、整理、分析和研究与市场相关的信息,特别是涉及客户的需求、购买动机和购买行为等方面的信息,准确进行自己的网络市场定位,从而合理、有效地提出解决问题方案,体现出自己的特色和满足客户的特定需要,这样才能对客户有吸引力,从而提高网络营销的效果。
3、加强营销网站内涵建设。在互联网上设立网站是企业进行网络营销的基础。企业要想成功地开展网络营销,就要精心策划网站和做好网站维护工作。网站的设计要科学合理和简单实用,内容要经常更新,建立一个数据库系统,及时了解市场的需求动向等。也可利用专业化的网络营销平台,如阿里巴巴、慧聪网等,通过与平台供应商的合作,节约网络营销运行成本,获得更为先进和专业性的服务。
重视客户关系管理,建立一套网络销售和客户服务系统,借助互联网固有的交互功能,利用电子公告栏或电子邮件等手段提供在线售后服务或与客户做双向沟通和交流,提高客户的忠诚度,把客户融入整个营销过程中,鼓励客户参与产品决策,为顾客提供定制化的产品和服务,及时了解消费者对企业产品的评价,充分掌握客户的需求状况。
4、加强网络促销活动。重视网站的推广工作,促使消费者浏览企业的网站。推广的方法很多,可以利用传统媒体,例如报纸、电视、各种公司宣传品、名片、广告衫和产品包装等宣传网址;也可利用Internet的资源推广网站,将网络广告发送到Internet上经常被网民访问的地方,如搜索引擎、服务网点、行业网站、讨论组和电子信箱等。
重视网络促销。网络促销的出发点是利用网络特征实现与顾客沟通,这种沟通方式不是传统营销中“推”的方式而是“拉”的方式,即“软”营销,这一特色是发掘潜在顾客的最佳途径。目前,网络广告是较为普遍和受欢迎的促销方式。
5、优化营销渠道体系。网络将企业和消费者连在一起,给企业提供了一种全新的销售渠道。企业在应用过程中应不断完善这种渠道,以吸引更多的消费者。有条件的中小企业可考虑自己建设以订单信息流为中心,全国供应链资源网络和计算机信息网络为支撑的多样化、直接分销为主导的现代物流体系。实力较弱的中小企业可以选择有关第三方物流企业来实现物流配送的社会化。
6、加大对网络营销人才的培养和管理。人才缺乏是中小企业开展网络营销的一个瓶颈。因此,中小企业应当重视培养网络营销方面的人才,利用各种途径、手段,培养和提高员工的业务能力和服务效率,组建一批素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,为企业网络营销的发展提供人才保障。同时,企业还要建立科学的公司治理结构和强化内部控制制度,形成适应开展网络营销的管理体制和企业文化。
总之,网络营销是企业未来营销的发展方向。中小企业完全可以借助网络营销突破资源限制,拓展生存和发展空间,实现企业的可持续发展。
参考文献:
随着互联网技术的发展,我国网络营销也越来越普及,企业的生存竞争空间正逐步从传统市场转向网络市场,营销方式也从传统的市场营销转向网络营销。据调查资料显示,我国网络市场营销规模2003年18亿元,2004年31亿元,2005年54亿元,2006年已经突破75亿元,表明我国网络营销已进入高速发展阶段。网络营销作为一种独特的营销模式目前受到社会的广泛关注,它是建立在互联网基础之上、借助互联网特性实现企业营销目标的一种营销手段,是企业整体营销战略的重要组成部分,其实质是把互联网作为销售工具及销售手段而进行的一种营销活动。中小企业开展网络营销,能充分发挥自己在价格、产量和机制等方面的优势,树立企业良好形象,提升客户服务水平,增强中小企业的竞争力。
一、中小企业开展网络营销存在的问题
目前,我国网络营销正进入快速、健康发展的时期。但我国中小企业开展网络营销仍存在着许多发展瓶颈与障碍,主要表现在以下方面:
1、企业观念问题。有些中小企业对开展网络营销的认识不深,没有充分意识到在知识经济时代抢占网络信息对赢得企业未来竞争优势的重要性,更没有把网络营销作为企业发展的一种战略。有些中小企业对网络营销的认识过于简单,只是把网站和网络营销看成一个孤立的市场推广手段,并没有真正地将网络营销与企业的整个经营过程结合起来。据统计,美国大概有60%的企业利用互联网销售自己的产品,而在我国这个比例仅仅只是5%,可见我国与先进国家相比还存在着较大的差距。
2、信用与安全问题。开展网络营销一个最关键的问题就是信誉问题,没有实际交往的双方如何取得彼此的信任是困扰网络营销的一大难题。中小企业普遍存在规模小、实力较弱,因此,抗风险能力差,成长性不强,信用程度往往很低。一定程度上造成了企业融资难,对外交往难的问题,严重影响了网络营销的效果。另外,网络的安全性问题也是开展网络营销的一大阻碍,是中小企业与消费者共同担心的问题。由于互联网的开放性,使得网络交易面临着种种风险,网上交易安全性。
3、人才问题。人才是企业经营管理中最重要的因素之一。在网络营销过程中,中小企业需要既懂网络技术,又懂营销管理的高素质复合型人才。多数中小企业因为资金、制度、管理等方面的原因,难以吸引和留住网络营销人才。有的企业技术人员不懂营销方面的知识,过分强调技术,忽视用户的需要,导致系统使用状况不良。
4、物流配送问题。多数情况下,交易双方无法在网络上实现实物的转移,只能依赖于网下的物流配送体系。但多数中小企业缺乏配套的物流配送中心或信息服务中心。同时,我国物流业的不发达和滞后的社会物流配送体系也导致运输费用过高,除支付商品价格外,还需支付运费;运输时间过长等,很大程度上影响了网络营销的快速、便捷、低价优势的发挥,使得一些中小企业不愿意在网络营销上进行更大的尝试活动。
5、企业管理问题。许多中小企业管理水平落后,管理基础薄弱,信息化水平偏低,影响了网络营销的顺利进行。开展网络营销,要求中小企业必须以先进技术为支撑,对传统营销的组织形式、管理模式、经营方式和营销观念等方面进行根本性变革,围绕核心业务开展流程重组,重新设计和优化企业业务流程,从而使技术与企业的管理和运营有机结合起来。
二、中小企业开展网络营销策略分析
中小企业要在激烈的营销竞争中获得成功,必须充分利用网络营销的特点,结合自身发展状况和企业的内外部资源、条件等因素,不断探索适用自身特点的营销策略。
1、树立正确的营销观念。中小企业的管理者需要学习和了解网络营销的知识,形成科学的网络意识,树立借助国际互联网改善经营、开发新产品、开拓新市场、提高企业竞争力的网络营销观念。中小企业要对传统经营管理模式进行改造,重新设计和优化企业业务流程,建立科学的公司治理结构和强化内部控制制度。将金字塔形管理系统扁平化、网络化,重建企业内部的数字化基础,形成适应开展网络营销的管理体制和企业文化,从企业发展战略高度上充分认识到抢占网络信息市场的必要性和紧迫性,抓住有利时机开展网络营销。2、做好网络营销市场定位。网络销售和单向营销模式不同,它是双向的营销方式。中小企业要根据网络营销特点广泛进行网络调研,以科学的方法,系统地、有目的地收集、整理、分析和研究与市场相关的信息,特别是涉及客户的需求、购买动机和购买行为等方面的信息,准确进行自己的网络市场定位,从而合理、有效地提出解决问题方案,体现出自己的特色和满足客户的特定需要,这样才能对客户有吸引力,从而提高网络营销的效果。
3、加强营销网站内涵建设。在互联网上设立网站是企业进行网络营销的基础。企业要想成功地开展网络营销,就要精心策划网站和做好网站维护工作。网站的设计要科学合理和简单实用,内容要经常更新,建立一个数据库系统,及时了解市场的需求动向等。也可利用专业化的网络营销平台,如阿里巴巴、慧聪网等,通过与平台供应商的合作,节约网络营销运行成本,获得更为先进和专业性的服务。
重视客户关系管理,建立一套网络销售和客户服务系统,借助互联网固有的交互功能,利用电子公告栏或电子邮件等手段提供在线售后服务或与客户做双向沟通和交流,提高客户的忠诚度,把客户融入整个营销过程中,鼓励客户参与产品决策,为顾客提供定制化的产品和服务,及时了解消费者对企业产品的评价,充分掌握客户的需求状况。
4、加强网络促销活动。重视网站的推广工作,促使消费者浏览企业的网站。推广的方法很多,可以利用传统媒体,例如报纸、电视、各种公司宣传品、名片、广告衫和产品包装等宣传网址;也可利用Internet的资源推广网站,将网络广告发送到Internet上经常被网民访问的地方,如搜索引擎、服务网点、行业网站、讨论组和电子信箱等。
重视网络促销。网络促销的出发点是利用网络特征实现与顾客沟通,这种沟通方式不是传统营销中“推”的方式而是“拉”的方式,即“软”营销,这一特色是发掘潜在顾客的最佳途径。目前,网络广告是较为普遍和受欢迎的促销方式。
5、优化营销渠道体系。网络将企业和消费者连在一起,给企业提供了一种全新的销售渠道。企业在应用过程中应不断完善这种渠道,以吸引更多的消费者。有条件的中小企业可考虑自己建设以订单信息流为中心,全国供应链资源网络和计算机信息网络为支撑的多样化、直接分销为主导的现代物流体系。实力较弱的中小企业可以选择有关第三方物流企业来实现物流配送的社会化。
6、加大对网络营销人才的培养和管理。人才缺乏是中小企业开展网络营销的一个瓶颈。因此,中小企业应当重视培养网络营销方面的人才,利用各种途径、手段,培养和提高员工的业务能力和服务效率,组建一批素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,为企业网络营销的发展提供人才保障。同时,企业还要建立科学的公司治理结构和强化内部控制制度,形成适应开展网络营销的管理体制和企业文化。
总之,网络营销是企业未来营销的发展方向。中小企业完全可以借助网络营销突破资源限制,拓展生存和发展空间,实现企业的可持续发展。
参考文献:
2网络信息安全方案实施
通过对化工企业网络信息安全现状的分析与研究,我们制定如下企业信息安全策略。庆阳石化的计算机网络主干采用千兆以太网络光纤技术,实现数据中心核心交换机与管控中心、中央控制室、生活区汇聚层交换机间的高带宽连接;厂区各区域接入层交换机与汇聚层交换机间采用千兆以太网光纤实现高速连接;接入层采用千兆以太网双绞线技术,实现千兆到桌面。各业务服务器全部采用千兆以太网络光纤或双绞线技术,实现与核心交换机的1000M连接。同时为保护办公网络及本地内网间数据安全,需设置区域网络隔离控制及公网访问安全控制。
2.1防火墙的实施方案
从网络整体安全性出发,运用2台CISCOpix535的防火墙,其中一台主要对业务网和企业内网进行隔离,另一台则对Internet和企业内网之间进行隔离,其中DNS、邮件等则是针对外服务器连接在防火墙的DMZ区以及内网与外网之间进行隔离。
2.2网络安全漏洞管理方案
当前企业网络中的服务器主要有WWW,邮件,域以及存储等,除此之外,其中还有十分重要的数据库服务器。对管理工作人员而言,他们无法确切了解服务器系统及整个网络安全缺陷或漏洞,更没有办法对其进行解决。因此,必须依靠漏洞扫描的方法对其进行定期的扫描、分析以及评估等,对于过程中存在的部分问题及漏洞及时向安全系统发送报告,使其及时对安全漏洞进行风险评估,从而在第一时间内进行解决,增强企业网络的安全性。
2.3防病毒方案
当前企业主要运用的是Symantec防病毒软件,主要是对网络内的服务器及内部的计算机设备进行全面性病毒防护。同时,在网络中心设置病毒防护管理中心,使局域网内的全部计算机处在一个防病毒的区域之中。此外,还可以运用防病毒管理域的服务器针对整个领域进行病毒防范,制定统一的反病毒策略,设置场扫描任务调度系统,使其进行自动检查与病毒防范。
2.4访问控制管理
必须实行有效的用户口令及访问限制制度,一次来确保网络的安全性,致使唯独合法用户进行合法资源的访问设置。与此同时,还需要在内网的系统管理过程中严格管理全部设备口令(口令之中最好有大写字母,字符以及数字等),切记不可在不同的系统上采用统一性的口令,否则将会出现严重的故障问题。实施有效的用户口令和访问控制,确保只有合法用户才能访问系统资源。
3企业网络信息安全管理
3.1完善网络信息安全管理机制
在当前企业网络运营过程中,必须确保其信息安全管理的规范化。只有将企业网络与信息管理的安全性纳入生产管理体系,才能使企业网络得以正常运行。此外,还必须加强建设网络和信息安全保证体系中的安全决策指挥、安全管理技术、安全管理制度以及安全教育培训等多个系统,并实施行企业行政正职负责制,进一步明确各个部门的责任等。
3.2建立人员安全的管理制度
必须了解企业内部人员录取、岗位分配、考核以及培训等管理内容,提高工作人员的信息安全意识,才能确保企业内部信息安全体系的有效进行,为企业未来的发展奠定基础。
3.3建立系统运维管理制度
明确环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、事件处置、应急预案等管理内容。
不同的专家、学者对于网络营销从不同的角度给出了不同的定义,笔者认为,在企业界中对此应加以分析、界定,否则在企业确定市场目标、供需关系、竞争形态、营销手段、客户关系以及企业组织结构时都将出现偏差。
笔者认为,我国学者张润彤对于网络营销的界定更为得当,张教授指出,从广义角度讲,凡是以互联网为主要手段进行的、为达到一定营销目标的营销活动,都可称之为网络营销。
从狭义角度,网络营销是企业整体营销战略的一个组成部分,是建立在互联网基础之上、借助于互联网特性来实现一定营销目标的一种营销手段。
根据实际调研,大部分的石化企业,对于网络营销的认识基本是与广义网络营销的概念相符,不少企业的领导认为,在企业的网站上展示了自己的企业形象、提供了相关的信息等就是网络营销,这是极为不恰当的。而笔者认为,开展网络营销活动,不能将其与企业传统的营销活动割裂开来,它是企业整体营销战略的一个组成部分,是企业在原有营销战略基础上的营销活动的进一步拓展。
二、石化企业在网络营销手段方面的问题及对策
网络营销职能的实现需要通过一种或多种网络营销手段,当前,常用的网络营销方法主要有以下几种:搜索引擎注册与排名、交换链接、病毒性营销、网络广告、会员制营销、网络商店、信息、邮件列表、许可E-mail营销、个性化营销等。
我国的石化企业在网络营销手段的具体应用方面,从形式上讲,可以说基本都已采用,但是仍有不足。
1.搜索引擎注册与排名。搜索引擎注册与排名是最经典、也是最常用的网络营销方法之一,是人们发现新网站的基本方法。在我国,石化企业大多属于国有大型企业,加之历史原因,可以说相互之间是“互相认知”的,这也就意味着在本行业内,获得理想的搜索引擎注册与排名后,至多是互相在网络上查找对方网站方便些,其他的作用则较少。
而石化企业的业务范围广、全球化程度高的特点在搜索引擎注册与排名方面恰恰是当前石化企业忽视的问题,在国外的著名搜索引擎中获得理想的排名有利用拓展企业的知名度、更好的展现企业形象以及增加商机。
2.交换链接。交换链接又称互惠链接,即分别在自己的网站上放置对方网站的logo或网站名称并设置对方网站的链接,使得用户可以从合作网站中发现自己的网站,达到互相推广的目的。
在石化企业的实际运作中,交换链接虽然在每一个网站上面都存在,但是应注意当前大部分的交换链接对象的选择上,基本是与上级单位、友好关系单位的链接,而缺乏具有一定互补优势的网站之间的合作,而这类网站恰恰更能拓展本企业的业务。.病毒性营销。病毒性营销是通过用户的口碑宣传网络,使信息像病毒一样传播和扩散,利用快速复制的方式传向众多受众。
笔者认为,在网络营销的具体手段中,病毒性营销是当前石化企业与其他企业相比,运用最不成功的手段,例如医药产品,可以在一些门户网站的论坛中广泛宣传其疗效。而石化企业,因其产品的独有特点在病毒性营销方面运作较难。笔者认为,可以采用传统营销结合网络营销的做法,利用网络的时效性和经济性,引导“病毒”的传播,最终实现企业的营销目标。
4.网络广告。网络广告是大部分企业都在利用,但又不甚重视的一种网络营销手段。很多企业界的人士认为,网络广告的点击率并不能代表其效果,且效果难以评估;点击后交易行为并不一定伴随发生;网络广告受众毕竟较其他媒体受众少等等。
笔者认为,其他广告我们看后就一定会购买?其他传统广告的效果就能完全准确评估?石化企业的电子商务是B2B电子商务,它的广告就算是采用传统媒体,可真正的潜在客户(也即“真正”的受众)与网络广告受众会相差多少?
真正要让网络广告发挥应有的作用还是应该在网络广告内容本身,以及网络广告的策略上多做文章。
5.会员制营销。会员制营销已经被证实为电子商务网站的有效营销手段,国外许多网络零售型网站都实施了会员制计划,几乎已经覆盖了所有行业,国内的会员制营销还处在发展初期,时代珠峰公司、西单电子商务公司网络商场都采用了这种营销思想。
笔者认为,在B2B的企业电子商务中,同样可以借用会员制营销的理念并加以变革,将其作为构建石化企业供应链的一种手段,增加供应链成员企业间的联系,增强相互间的伙伴关系。
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
2.网络营销策略
2.1产品策略产品策略是以产品为基础,通过向目标市场提供企业的有形产品和无形产品来满足顾客的需求和欲望达来到企业的营销策略。产品策略可以从产品的种类、包装、特点、品牌等方面入手,通过对产品不同因素的组合运用来营造出不同的效果。第一,产品的定位策略。首先要明确产品是否适合通过互联网销售的方式来销售。要考虑产品信息是否能通过互联网进行有效传播,是否有明确的标准和统一的质量,产品的特点是否适合互联网的主体使用者,顾客能否及时的收到产品,在互联网上销售产品是否比在其他领域销售成本更低等。第二,产品的特点化策略。由于网络营销使用群体的特征,使其更注重产品的特点和个性化。网络技术使信息传播速度更快、效率更高、更具互动性,企业可以利用这些优势使营销活动突出产品的个性化特点,满足不同消费者的需求,例如可以提供定制服务。第三,产品的品牌策略。品牌指的是产品或服务的象征,其包含产、产品名誉、企业文化与企业的经营管理。品牌是消费者对某一公司或某一产品持有包括质量、性能、外观、好感、信任、忠诚等的期望值的具现。互联网品牌与普通意义的品牌有所不同。互联网品牌与传统品牌相比有更大的包含范围。网络品牌的创建不仅需要企业完善其自身的产品,还需要企业对其网络网页、域名等虚拟因素花费很大精力。舒适的浏览环境与产品企业形象相符的网页风格、完善的顾客交流平台、良好的声誉体现等网络因素都会对产品的营销产生巨大影响。第四,产品的开发策略。网络的发展使企业、消费者可以不受时间、地点的限制进行交流。在产品的研发升级中,企业可以利用从网络收集的信息来确定新产品的形象、性能、价格。及时地利用顾客反馈意见,完善公司产品和服务,可以更好的适应市场的发展潮流,提高新产品的研发效率,降低新产品的研发成本,这样可及时推出适应市场的新产品,在众多竞争者中抢占先机。
2.2产品的价格策略产品的定价过低会降低产品的利润,并受到竞争对手的打压,偏高的定价又会使顾客流向公司的竞争对手。因此,产品定价对网络营销有很大影响。网络的互动性提高了公司和顾客的交流效率,让公司能更准确的认知顾客对产品价格的接受标准,避免了违背市场需求的定价。同时,信息的快速传播和透明化也使各个竞争对手之间的竞争更加剧烈。第一,低价价格策略。互联网上销售与实地销售相比能明显降低成本。网上销售通过使用网页代替实体陈列,物流配送代替顾客自取和自行配送,网络广告代替传统媒体广告等方式等极大的降低了产品成本,与通过传统渠道进行经营相比拥有更大竞争力。然而这种定价策略只适合部分商品,贵金属、奢侈品等不适合以成本定价的商品不宜使用低价定价策略。第二,定制价格策略。企业完善自身的生产工艺,拥有低成本定制生产产品的能力后使用的一种定价策略。通过将产品划分为不同级别。不同级别的产品可以通过增加减少或替换产品部件来实现个性化和价格差异化,进而满足消费者的不同需求。这种定价方式让消费者自己承受了价格成本,又提高了消费者的满意度。第三,折扣价格策略。折扣价格策略采用了差别定价法,企业通过顾客的付款方式、取货时间、交易地点、交易时间等不同,给予顾客不同程度的折扣。目前商家普遍采取折扣价格策略进行营销。这种定价方法可以让消费者看到产品的降价空间,这种方式可以提高顾客的满意度。通常的折扣定价策略有数量折扣、期限折扣、季节折扣等。数量折扣是指以顾客购买产品的数量来提高折扣力度,期限折扣是指以顾客决定交易的时间长短来提供不同的折扣力度,季节折扣是购买非应季非流行的产品时提供的折扣。第四,拍卖价格策略。拍卖价格策略是指使用拍卖的方式对产品进行定价。商家进行拍卖的前提是有足够的竞拍者,过少的竞拍者会使商品远离其本身的价值。繁多的网络使用者给网络拍卖提供了良好的平台,消费者通过网络拍卖可用符合心理预期的价格买到其想要的产品,而商家也会获得更高的利润。拍卖定价策略的缺点是需要前期优秀的策划和宣传,同时部分商品并不适合通过拍卖的方式进行销售。如今拍卖已经成为各个网购宣传点之一,虽然拍卖的形式已经确定,它只能作为一个价格促销的方法,并不能作为主要的商品定价策略,但是随着网络的发展和网络购物的成熟,拍卖一定会展现自身的独特魅力。第五,免费价格策略。免费价格策略是指商家通过将产品或服务以不收费用的方式提供给顾客。免费价格策略并不意味着顾客可以完全免费的获得产品。商家可以通过关联产品和免费产品附带的广告等获取利润。这种方法在方便顾客的同时也实现了企业的目的,是双方的共赢。免费价格策略中的产品一般具有无实体化,使用期限具体化的特点,例如购物网站上的电子书,商家可以将它免费提供给顾客作为赠品或礼品;其次,各种具有实用功能的软件,商家规定顾客可以免费使用规定的次数或期限,超过规定的次数或期限时顾客将不再能免费使用,但可以通过充值或点击链接等方式续费;再次,使用功能可分割的产品,将产品的一部分功能免费提供消费者使用,而另一部分的功能需要消费者付费进行解锁。
2.3产品的广告策略
2.3.1网络广告策略。网络广告是在广告投放平台网站上投放广告横幅、文本链接、多媒体的一种营销方法。是在互联网刊登或广告,通过网络传递到互联网用户的一种高科技广告运作方式。网络广告具有广泛性、开阔性、及时性、可控性,快速的投递和效果反馈使其广受各种规模企业的好评,是如今最主要也最具时代特点的广告投放方式。
2.3.2网络广告存在的价值第一,宣传品牌。网络广告和传统广告相同,一个重要的作用就是品牌推广,网络广告的传播范围更广,顾客接收信息的效率更高,即便顾客并没有点击链接产生购买的行为,但是广告已经在顾客心里留下了印象,塑造了企业、产品、品牌的形象,对以后顾客的购买行为有引导作用。第二,宣传网站。网络广告可以为网站带来点击。虽然这并不是网络广告的主要目的,但客观上点击量已经使网站本身产生了一定价值。关键字搜索,电子邮件等常见网络广告对网站都有明显的推广作用。第三,扩大销售。消费者从网络广告中获得的信息,已经成为影响消费者购买商品的重要因素。当网络广告与传统广告等营销手段同时进行时会产生相辅相成的效果。网络广告不一定会使顾客产生直接购买行为,但广告会在消费者以后购买此类产品时对其产生强烈的诱导。同时网络广告对商品的促销作用不仅体现在网络销售,对产品的实体销售也有积极影响。第四,在线调研。网络广告拥有多种在线调研作用。网络广告可以研究消费者行为,可以推广调查问卷,可对网站流量和经营状况进行测试,可以测试各种形式和风格的网络广告的效果。通过调查点击广告的顾客,可以迅速的掌握目标顾客的反馈信息,使市场调研的过程更便捷结果更准确。第五,信息。网络广告可以通过互联网向顾客产品或公司的信息。网络广告不需要把所有篇幅局限于想要进行销售促进的产品,也可以作为一个受众广、传播快的平台。通过这个平台公司可以有选择性的信息,得到更多目标客户、竞争对手、媒体的注意。
2.4营销中网路广告的投放方法
2.4.1投放网页广告。网页广告分为横幅、纵幅、链接、弹出广告。横幅广告在网页的最上方或中心位置,一般横幅广告占网页比例很大,同时还可以使用更多的插件来获得更绚丽的效果,能迅速的吸引顾客的注意力。但横幅广告妨碍消费者对网页的浏览,容易引起消费者的反感。纵幅广告视觉效果和横幅广告相比差距很大,然而由于其不甚影响阅读观感,会在潜移默化地影响消费者。链接广告最不影响消费者,引起的注意也更少,相反的是但当消费者点击链接进入宣传网页时,得到效果完全超过前两种广告方式。弹出广告由于带有很大的强迫性,如果广告没有相当的吸引力不会受到消费者的欢迎。
2.4.2投放赞助广告。赞助广告分为内容赞助、节日赞助、节目赞助。公司可以对某些网络媒体进行赞助,从而获得更好的广告效果。赞助广告一般比普通广告更加醒目,保留时间也更长。内容赞助就是赞助网站推出某些内容;节日赞助是在节日或有大型活动的时候赞助网站;节目赞助是赞助一个视频节目,在节目播放同时也达到了企业的宣传目的。
2.4.3投放搜索引擎广告。搜索引擎随着网络的发展逐渐成为大众访问网络的重要接入点。搜索引擎广告分两种,一种是利用搜索引擎的关键字搜索,当用户搜索有输入广告中的关键字时,将广告列入搜索结果。由于用户想搜索的内容与广告相关,这种广告方式十分容易引起消费者注意,效果很好。另一种是利用搜索引擎网页页面的排序,当用户产生搜索行为时网页最上方会受到用户更多的关注,用户的注意力会根据链接的排序逐渐减弱。因此用户搜索特定关键词时网页前几排链接位置具有巨大的广告价值。
2.4.4投放游戏广告。指以游戏为载体,在游戏开始、结束、过场或地图画面中插入广告。由于游戏是一个完全新设的世界,插入广告受到的限制更少,手段更丰富,广告会拥有更多的形式和表现手法。
2.4.5投放电邮件广告。指通过各种途径获取大量目标顾客的邮箱地址,利用网络技术向这些邮箱发送大量的广告。这种打扰顾客的广告方式不仅不受顾客喜欢,也不符合道德要求和部分地区的法律,这种方式并不可取,效果差且影响公司形象。
传统会计对会计信息的处理和反馈较为滞后,且财务报表标准单一,针对性不强,难以满足企业日常分析决策的要求。网络会计可以更好地帮助企业提高管理的效率和科学性。首先,网络会计下,会计信息能够在数据中心实现共享,有一定权限的管理者和财务人员可以随时随地对企业财务数据进行分析整合和提取,随时了解企业的收支和资金周转状况,使得企业能在激烈的市场竞争中及时做出有效的战略决策。其次,网络会计下,企业的信息系统可以根据企业自身的状况和信息使用者的需求进行调整,无论是财务信息系统还是客户关系管理系统,企业都可以根据实际情况对信息的生成和整合方式进行调整,以更好地服务于企业的经营管理。最后,在网络会计下,所有信息不仅能及时准确地记录,还能通过网络平台进行加工和信息处理,从企业内外部提取出对经营管理最有价值的信息,协助企业做好事前预测决策、事中监督控制和事后分析考核,管理的科学性和效率得到大幅提高。
(二)系统安全性不足
网络会计在给企业管理带来大巨大便捷的同时,也暗藏着严重的安全隐患。网络作为一把双刃剑,其信息风险一直引人重视。一方面是企业外部的安全问题,主要表现在信息的保密性,系统运行速度以及抵御恶意攻击的能力。网络会计下,企业的经营决策、资金收付以及供应商信息等一系列企业的保密信息,一旦出现数据丢失或是黑客的恶意攻击和病毒感染,将造成难以挽回的损失。另一方面是企业内部的安全问题。企业的无纸化和信息化意味着企业的大量内部控制都是由计算机系统制定和运行,可以极大限制人为因素的干扰,可靠性较高。然而一旦出现人为更改系统程序或未经授权截取企业信息,非法删除和修改信息且不留痕迹,就会发生舞弊甚至系统瘫痪现象,企业将会面临巨大的安全威胁。
(三)会计人员适应性不足
新的会计信息系统对于传统的会计人员来说,是一个难以掌控的新兴事物。网络会计要求企业会计财务人员不但具有较高的财会知识,也要掌握基本的系统排障和维护技能以及一定的电子交易法规知识。然而,这种高素质的复合型人才在我国并不多见,我国的基层财会人员的专业素养并不高,年龄较大,受过高等教育的人员占比很少,不仅如此,目前许多企业的财会人员的英文水平和计算机水平也有待提高。企业员工视野较为狭窄,面对先进的网络会计系统根本无法下手,更难说利用网络会计进行信息提取和数据分析决策了,网络会计的诸多功能在企业中难以利用和普及。
二、完善网络会计的基本思路
(一)加强内部控制,限制人工干预
企业要想充分发挥网络会计的优势,就要先通过内部控制的加强,为其运行做好保障,避免内部人员的违规操作和系统资源的外泄,将网络信息的安全隐患降至最低。完善网络会计的内部控制,第一步就是要制定好企业的职责规范和操作流程,例如完整的决策审批程序,科学的计算机维护保管方式以及电子表格的自动控制系统等,以保证整体合规性和安全性。第二步就是要做好授权,只有一定职责权限的人员才能够进入相应的信息模块,访问信息系统必须经过严格的密码和指纹核对,并且每次访问必须留下姓名、时间、访问内容的信息,对于系统信息的更改必须经过严格的审批和公示。第三是要对于信息的录入进行严格的系统核对检验,并对录入数据进行汇总上报,经由上级部门审核后方能录入,以保证数据的真实性和逻辑的正确性。最后,为了避免不适当的人工干预和人为绕过系统自动控制的情况发生,企业有必要做好访问的职责分离以及重要信息访问的特殊限制,并定期更换密码,限制登录次数等,并追踪每次登录失败的原因。
(二)注重软硬件开发,维护系统安全
在网络会计环境下,企业的整体网络运行系统都需要建立好多层次的综合性安全防范体系,通过访问限制和防火墙等方式,避免人员的非法操作并有效抵御病毒及非法入侵,防止企业会计信息的恶意窃取和删除破坏。软件方面,企业应当聘用可靠的专业人员对企业的系统进行定期的升级和维护,加强信息加密等信息维护措施。同时对于非法登录用户和超额错误登录用户进行追查和终端自动锁定,立即记录和冻结此账户并立刻报警。为了避免重要信息的丢失,企业还有必要单独存档或对重要信息使用纸质文档保存。硬件方面,企业应当在自身条件允许的情况下,及时更换过时的硬件系统,以满足新型软件的需求。同时企业应当加强计算机和机房的保管,做好防盗、防火、防尘等措施,减少其物理损坏,并通过电磁屏蔽减少电磁辐射的干扰。企业还应当对重要机房采用指纹核对和电子锁等方式进入,并在专人把守的情况下凭证件进入。
(三)加快财会人才培养
网络会计的操作和信息传递最终需要靠会计人员来完成,只有高素质的财务人员才能充分发挥网络会计的诸多优势,并改善其内在的缺陷。因此加快企业财会人才的培养、增强企业员工的适应能力,是企业提高竞争力的必要条件。首先,企业需要引进和培养专业素养高,综合实力强的高级管理人员,不仅要精通会计财务知识、懂得企业战略经营管理,还要兼具一定的计算机操作水平,以帮助企业在网络会计下做好制度建设和信息决策。其次,企业需要更新基层财务人员的知识结构,引进新人才并加强内部培训,一方面培养其财会业务水平,熟悉网络会计系统的相关会计原理;另一方面提高其计算机的操作和维护能力,能够从容应对简单的运行故障并加快其系统的操作速度。
一、我国中小企业网络营销的现状
近年来,我国企业纷纷触网,上网中小企业数量也大幅度增加,网络营销已获得初步应用。同时,在中小企业网络营销的进一步发展过程中既存在着不少障碍,也有营销环境趋于成熟等难得的机遇。具体说来,主要有以下几个方面:
1.上网中小企业数量大幅度增加
据CNNIC的统计,拥有域名和独立站点的数量大幅度上升。从1997年10月的.com域名由2131个到2003年1月的133796个。在不到7年的时间里,企业域名数量增长了近64倍,相对数量也从占域名的52.41%到78.3%。中国“企业上网工程”大大促进了中小企业的上网速度,通过各种电子商务平台上网的中小企业的数量迅猛增加。
2.网络营销已获得初步应用,但整体水平比较低
各种网络调研、网络广告、网络分销、网络服务等网络营销活动,已不同程度地进入到中小企业的生产经营中。大部分企业处于信息阶段,一部分企业开始通过网站接受订单,处理顾客意见,进行市场调研等,少数企业进入到了电子商务阶段。由于绝大多数企业只把竞争焦点定位于实体市场,没有意识到抢占网络虚拟市场的重要性。很多企业跟风上网,为赶时髦,上网目的不明确。中小企业网站拥有率低,网站内容简单,网站内容的更新频率低,网站的应用水平不高,网站的推广力度不够,网站的知名度不高,网站浏览量远不及商业网站。在营销策略上,很多的企业只把厂名、产品名、地址、电话置于网上,而开展网络调研、网络分销、网络产品开发和网络服务者寥寥无几。大型企业网站总体质量明显由于中小企业。
3.中小企业投入到IT上的力度小,投入结构不合理
中小企业在IT业上投入的力度远小于大企业。据统计,大企业每年用在汀上的开支在1990年还只占企业总开支的10%左右,到2000年这个数字已经达到50%:与此同时,大部分中小企业在IT方面的开支还不到其经营收入的15%。在从投入结构上看,中小企业存在“重建设轻维护更新”、“重硬件轻软件”、“重技术轻管理”等倾向和误区。据有关调查数据显示,我国中小企业在硬件投资上占到了总投资的51%,维护和软件投资加起来不过35%,而与国外发达国家的硬件14%,软件和维护的63%相比,形成巨大的反差。
4.管理体制不顺也是中小企业开展网络营销的现实
由于许多的企业对网络营销还没有充分的认识,不少企业对网络营销由哪个部门来管很困惑,是技术部门、营销部门还是信息中心?组织结构和管理体制没有理顺,仍是旧管理体制和管理模式,网站的信息很难得到及时反馈,信息系统建设无法起到应有的作用,造成企业的信息化就变成了“旧瓶装新酒”,穿新鞋,走老路。
二、我国中小企业开展网络营销的有利因素分析
网络营销利用了网络手段与技术,面向特殊的网上市场环境,可以使从生产者到消费者的价值交换更便利,更充分,更有效率。这对中小企业特别有利,具体说来,主要表现在以下几个方面:
1.在营销手段上有利于与大企业开展同步竞争。
因特网作为全球性的分布式网络构架,其重要特点就是成本低廉。其次,比起印刷和电视这样的媒介,借助因特网进行信息传播不仅效率高,而且成本极其低廉。第三,网络上品质线索的缺少,使得因特网上最小的、刚起步的公司看上去也能像是一个巨大的跨国公司。因此,信息技术的发展,特别是互联网的发展,使中小企业能够很快地建立一个网上竞争平台。企业无论大小,都可以通过其网站使世界各个角落的买家了解其产品,只要产品具有竞争力,就可以在全球范围内找到买主。因而在营销手段上,中小企业可以与大企业进行平等的同步竞争。
2.在市场进入条件上的机会均等
因特网是一个开放式的大市场,网络营销消除了企业竞争的无形壁垒。主要体现在降低中小企业和新兴企业进入市场的初始成本上。中小企业无须庞大的商业体系,无须巨大的广告费用,无须众多的销售人员,就可以加入到全球国际大市场中参与市场竞争,接触这个市场中广大的客户。这样使得中小企业可以从以前被大企业垄断的市场份额中分取一杯羹。网上的客户关心的不是企业的大小,而是该企业给他们提供的产品或服务的价值。如果该企业有绝对的优势,无论企业大小,客户都会选择其产品或服务。
3.是中小企业实现全程营销的理想方式
全过程营销的实现是企业满足消费者需求,实现理想销售的必由之路。尤其是服务成为当今企业留住顾客和吸引顾客的最重要的手段,但要真正做好服务则须付出高昂的成本。这使得原本资金和资源相形见拙的中小企业无力承担。因此,对中小企业而言,要达到这一目标很难。但在网络环境中,即使是中小企业也可以通过BBS、E-Talking、E-MAIL等方式,以极低成本在营销的全过程中对消费者进行即时的搜索,与他们进行在线或离线交流。消费者有机会对产品或企业进行探讨发表意见和建议,企业就可以从市场调查到产品设计和定价、产品制作到销售及售后服务全过程都可以获得有意义的反馈,并做出实时的调整。
4.网络营销能充分发挥中小企业自身的优势
从总体上看,中小企业具有很多的优势,比如政企关系明确、优胜劣汰机制明显,由于规模比较小,对客户的凝聚力和对客户的关注力要比大企业强,以客户为中心的思想比较突出,在内部沟通和运作上都比较透明,决策机制灵活,没有大企业那么多官僚气息,对市场需求变化反应快,市场适应能力强,创新机制好,创新效率高等等。网络营销则更能把这种优势进一步发挥,首先,网络营销能扬长避短,为顾客提供长期的个性化的服务,增强中小企业的竞争力。其次,网络营销能充分发挥中小企业在价格、产量和机制等方面的优势:再次,网络营销是企业树立企业形象,提升客户服务水平的良好手段,使得中小企业也可以达到同样的效果。最后一点,网络营销是中小企业最好的交互的市场调研与顾客服务平台。
三、制约中小企业网络营销的因素分析
1.中小企业规模小、势力弱,在网络营销的资金投入方面难以同大企业抗衡
我国有中小企业15万家左右,而有70%以上销售收入在500—10000万元之间,单位利润、资产大大偏低,而且大多数是从事以劳动密集型为主的产业。因此,中小企业相比大企业没有资金投入优势。
2.很多的中小企业发展能力不容乐观,死亡率高
由于自身实力较弱,抗风险能力差,我国很多中小企业成长性不强,使得它们很多终日为基本的生存而奋斗,无力顾及网络营销的发展和投入,延缓了新技术和新营销手段的应用,从而差距进一步加大。
3.资金和信用程度不高,影响网络营销活动的顺利开展
网络营销一个最关键的问题就是信誉问题,没有实际交往的双方如何取得彼此的信任是困扰网络营销的一大难题。由于中小企业占有的社会资源有限,受经营观念、经营范围、经营者个人素质等因素的影响,信用程度往往很低,因而一定程度上也造成了企业融资难,对外交往难的问题,严重制约企业的发展,影响网络营销的可信度。网络营销与企业的信息化程度密切相关,而一套信息化系统的创建、维护和调整都需要大量资金,主要依赖内部有限的融资是远远不够的。但由于中小企业生存率低、资信度差、抵押资产少、信贷风险大,融资渠道少,融资难度大,这些都影响企业网络营销资金的投入。
4.缺乏既懂技术又懂营销的人才
网络营销是充分利用现代化信息技术进行营销活动的过程。当今世界,技术发展日新月异,企业信息化是现代化企业发展的必然趋势,也是企业参与市场竞争的基础平台。要保证信息化体系的有效运转。企业需要有自己的技术和管理人才。除了一些新兴的科技型中小企业外,大部分中小企业的信息化水平都不高,也缺乏信息技术人才,尤其是既懂技术又懂营销的复合型人才更少。人才缺乏是我国中小企业实施与应用网络营销面临的又一大障碍。
5.中小企业的管理水平普遍不高,难以实现真正的网络营销
网络营销不仅涉及大量的投入和技术上的变革,而且还涉及到企业的业务与管理流程、组织结构、管理制度等一系列问题。许多中小企业管理方法陈旧,管理思想落后,个别还停留在家族式管理状态,管理制度、管理思想和组织结构与信息化的要求不相适应。管理基础薄弱,影响了中小企业网络营销的顺利进行,不少企业上网了,并没有收到理想效果。
此外,缺乏现代化管理观念,体制僵化,没有意识到网络营销对企业发展的重要性,也影响了中小企业网络营销的发展。网络基础设施的规模和网络设备终端设备的普及程度不高,网民上网成本仍很高,消费者的消费观念仍没有很大的改观,缺乏信任的消费文化,物流配送等外部环境也是目前网络营销发展的巨大障碍。
四、结论和建议
网络营销的实施需要政府、企业和社会共同构筑一个完善的政策、技术和管理支撑平台。这是关系到中小企业真正实施网络营销的关键所在。
(1)就外部环境而言,目前还存在包括网络基础设施、网络营销应用系统还不符合中小企业的个性需求、法律环境、物流配送、付费机制、消费文化、购物观念等很多方面的障碍,这需要政府、企业和社会共同努力才能得到克服和解决。政府积极支持,在资金、措施和政策上向中小企业适度倾斜,各级政府、企业和科研院所共同合作开发适合中小企业开展网络营销的技术支撑平台,另外,建设合乎市场发展规范的信任的消费文化也成为当务之急。
(2)就企业本身而言,中小企业应该着重于企业信息化方面的核心竞争能力的培养,以最小的代价加入市场分工和协作网络,利用国际网络中的诸如资金、先进技术、优秀人才、良好的组织和管理模式以及灵活的机制等资源潜能,提高我国中小企业的市场竞争力,带动企业的向前发展。
(3)目前的网络营销应用系统还不符合中小企业的个性需求、实施过程也过于繁杂,系统工程建设质量缺乏保障。因此,网络营销的应用系统应根据中小企业面广量多,不同行业的运行方式表现各异的特点,开发相应的系统以满足中小企业开展网络营销的要求。
参考文献
1.屈云波、靳丽敏:《网络营销》,企业管理出版社,1999年版。
2.WardHandson,PrinciplesOfInternetMarketing,South——WesternCollegePublishing,2000.
2企业网络安全所面临的威胁
企业网络安全所面临的威胁除了技术方面的因素外,还有一部分是管理不善引起的。企业网络安全面临的威胁主要来自以下两个方面。
2.1缺乏专门的管理人员和相关的管理制度
俗话说“三分技术,七分管理”,管理是企业信息化中重要的组成部分。企业信息化过程中缺乏专门的管理人员和完善的管理制度,都可能引起企业网络安全的风险,给企业网络造成安全事故。由于大部分企业没有专门的网络安全管理人员,相关的网络管理制度也不完善,实际运行过程中没有严格要求按照企业的网络安全管理制度执行。以至于部分企业选用了最先进的网络安全设备,但是其管理员账号一直使用默认的账号,密码使用简单的容易被猜中的密码,甚至就是默认的密码。由于没有按照企业信息化安全管理制度中密码管理的相关条款进行操作,给系统留下巨大的安全隐患,导致安全事故发生。
2.2技术因素导致的主要安全威胁
企业网络应用是架构在现有的网络信息技术基础之上,对技术的依赖程度非常高,因此不可避免的会有网络信息技术的缺陷引发相关的安全问题,主要表现在以下几个方面。
2.2.1计算机病毒
计算机病毒是一组具有特殊的破坏功能的程序代码或指令。它可以潜伏在计算机的程序或存储介质中,当条件满足时就会被激活。企业网络中的计算机一旦感染病毒,会迅速通过网络在企业内部传播,可能导致整个企业网络瘫痪或者数据严重丢失。
2.2.2软件系统漏洞
软件的安全漏洞会被一些别有用心的用户利用,使软件执行一些被精心设计的恶意代码。一旦软件中的安全漏洞被利用,就可能引起机密数据泄露或系统控制权被获取,从而引发安全事故。
3企业网络安全的防护措施
3.1配备良好的管理制度和专门的管理人员
企业信息化管理部门要建立完整的企业信息安全防护制度,结合企业自身的信息系统建设和应用的进程,统筹规划,分步实施。做好安全风险的评估、建立信息安全防护体系、根据信息安全策略制定管理制度、提高安全管理水平。企业内部的用户行为约束必须通过严格的管理制度进行规范。同时建立安全事件应急响应机制。配备专门的网络安全管理员,负责企业网络的系统安全事务。及时根据企业网络的动向,建立以预防为主,事后补救为辅的安全策略。细化安全管理员工作细则,如日常操作系统维护、漏洞检测及修补、应用系统的安全补丁、病毒防治等工作,并建立工作日志。并对系统记录文件进行存档管理。良好的日志和存档管理,可以为预测攻击,定位攻击,以及遭受攻击后追查攻击者提供有力的支持。
3.2防病毒技术
就目前企业网络安全的情况来看,网络安全管理员主要是做好网络防病毒的工作,主流的技术有分布式杀毒技术、数字免疫系统技术、主动内核技术等几种。企业需要根据自身的实际情况,灵活选用,确保杀毒机制的有效运行。
3.3系统漏洞修补
现代软件规模越来越大,功能越来越多,其中隐藏的系统漏洞也可能越来越多。不仅仅是应用软件本身的漏洞,还有可能来自操作系统,数据库系统等底层的系统软件的漏洞引发的系列问题。因此解决系统漏洞的根本途径是不断地更新的系统的补丁。既可以购买专业的第三方补丁修补系统,也可以使用软件厂商自己提供的系统补丁升级工具。确保操作系统,数据系统等底层的系统软件是最新的,管理员还要及时关注应用系统厂商提供的升级补丁的信息,确保发现漏洞的第一时间更新补丁,将系统漏洞的危害降到最低。
