时间:2023-09-14 17:44:07
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全体系建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:电力信息网络;安全防护;策略
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01
The Network Security System Construction and Improvement for Power System
Shen Fanyun
(Inner Mongolia Electric Power(Group)Co.,Ltd.Erdos Electric Power Bureau,Erdos017000,China)
Abstract:With the power industry's continuous development of information technology,information security is facing increasingly serious challenges.Adapt to the new situation,the article from the power dispatch and power system development point of view of market needs,analysis of the electric power information network of the major categories and characteristics,focusing on the technical and management aspects of power system described the establishment of information network protection systems and strategies.
Keywords:Power Information Network;Security;Strategy
一、电力信息网络的主要分类和特点
电力系统中网络应用的分类有许多种,根据业务类型、实时等级、安全等级等因素可分为生产数据传输和管理信息传送两大类,其它应用还包括音频传输和对外服务等。不同的应用系统对安全有不同的要求:如生产控制类基于TCP/IP的数据服务业务实时性较强,遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要可靠,还要保密;管理信息类业务突发性强、速率较高、实时性不强,但对保密性要求又较高。无论对于何种应用,都要求电力信息网络的防护措施能按各类业务的具体要求保证其安全运行。
二、电力调度系统对网络安全防护体系的要求
近年来,特别是随着电力市场化进程的加快,电力调度自动化的内涵也有了较大的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、遥测、电力市场技术支持和调度生产管理系统等。电力信息网络是支持调度自动化系统的重要技术平台,实时性要求秒级或微秒级。其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密和隔离处理。因此,要保障调度自动化的安全运行,就需要信息网络从应用系统的各个层面出发,按照其不同的安全要求,制定相应的防护策略,形成一整套完善的防护体系。
三、电力系统网络安全体系
(一)安全系统建设。安全系统的建设,是根据网络应用的安全需求,建立包括网络防火墙、入侵检测、漏洞扫描、安全审计、拨号网络安全、安全电子邮件和敏感数据保护、计算机防病毒、流量监控等在内的安全系统。安全系统建设中最重要环节的是整体系统规划。
(二)安全管理建设。在信息系统安全上,安全不仅仅是技术问题,更是一个管理的问题。因此,信息安全保障体系建设的下一个阶段就是安全管理建设。安全管理建设与安全策略建设密不可分,管理是在策略的指导下进行的,而管理经验和运行?管理之间的互动则为策略的制定提供依据。为此,有必要建立集中式、全方位、动态的安全管理中心。其目标在于:将与整体安全有关的各项安全技术和产品捏合在一个规范的、整体的、集中的安全平台上的同时,使技术因素、策略因素以及人员的因素能够更加紧密地结合在一起,从而提高用户在安全领域的各种分散投资的最终整体安全效益。
(三)安全策略建设。关于安全策略建设,尤其是安全策略的电子化和自动化管理,正在进行一个全方位的、动态的、持续的过程,遵循均衡、动态和立体性的原则,安全系统建设是基础,在恰当有效的安全策略的指导下,实施集中式、全方位、动态的安全管理是实现信息系统整体安全的有效保障。
四、对安全体系建设和完善的几点思路
信息系统安全保障体系的建设是一个全方位的、动态的、持续的过程,要完善已有的安全保障体系,满足企业网上应用系统安全需求,提出有效的安全解决方案,应从如下几个方面进行深入和细致的工作。
(一)对电力企业网络结构模型的分析。企业的网络结构模型可分为两层,一层是企业互联网络,一层是企业内部网络。所产生的安全需求也不同,那么相应的安全解决方案就不一样。
无论是公司本部或是下属企业,其内部网络的结构大同小异。均具有一个中心网络,提供公共应用服务,同时行使网络管理权利。各局域网也具有自己的服务器,或Web或应用服务器。这些局域都是直接连接到中心网络,共享公共应用服务,同时也提供自己的信息给其他单位共享。
(二)对网络层风险的分析。1.网络风险来源:(1)网络中心连通Internet之后,企业网可能遭受到来自Internet恶意攻击;(2)在Internet上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染企业网内部的服务器、主机;更有一些黑客程序也将通过这种方式进入企业网;(3)企业网内部连接的用户很多,很难保证没有用户会攻击企业的服务器。事实上,来自于内部的攻击,其成功的可能性要远远大于来自于Internet的攻击,而且内部攻击的目标主要是获取企业的机密信息,其损失要远远高于系统破坏。
2.回避风险措施。基于以上风险,在上述两层网络结构中,网络层安全主要解决企业网络互联时和在网络通讯层安全问题,需要解决的问题有:(1)企业网络进出口控制(即IP过滤);(2)企业网络和链路层数据加密;(3)安全检测和报警、防杀病毒。
重点在于企业网络本身内部的安全,如果解决了各个企业网的安全,那么企业互联扫安全只需解决链路层的通讯加密。
五、结束语
电力是关系到国计民生的基础产业,有很强的信息保密与安全需求。由于自身业务的需要,实现内部网络的互通,以及内部网络与Internet的互通,要求建立一个权限清晰、服务完善、安全到位的网络。由于不可避免地与外网相连,就必须时刻防备来自外部的黑客、病毒的威胁。为了维护电力信息安全,确保信息网络系统稳定可靠,网络安全体系建设极为重要。
参考文献:
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
[5] 白雪祺,张锐锋. 浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
关键词:企业;网络安全防护;网络管理
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 16-0000-02
The Construction of Enterprise Computer Network Security Protection System
Zhang Xu
(Xi'an Xianyang International Airport Co.,Ltd.,Xianyang 712035,China)
Abstract:With the development of network technology and the falling cost of network products,computer network has been in daily operation of enterprises play an increasingly important role.From e-commerce to e-mail, to the most basic file sharing,network communication,a good network system to improve efficiency,strengthen internal cooperation and communication between enterprise and outside to deal with customer demands have played a key role;However,a problem can not be ignored because of the vulnerability of the network itself,resulting in the existence of network security issues.This article illustrates the importance of enterprise network security,analysis of network threats facing enterprises,from the technical architecture and network management proposed appropriate network security policies.
Keywords:Enterprise;Network security protection;Network management
一、企业网络安全的重要性
在信息社会中,信息具有和能源、物源同等的价值,在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题,对于企业更是如此。例如:在竞争激烈的市场经济驱动下,每个企业对于原料配额、生产技术、经营决策等信息,在特定的地点和业务范围内都具有保密的要求,一旦这些机密被泄漏,不仅会给企业,甚至也会给国家造成严重的经济损失。
二、企业网络安全风险分析
网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性应用,企业网络安全也不例外。企业网络安全的本质是保证在安全期内,网络上流动或者静态存放的信息不被非法用户访问,而合法授权用户可以正常访问。企业网络安全的目标是保障信息资产的机密性、完整性和可用性。通过对企业网络现状分析,并与资产的机密性、完整性和可用性的要求比较,我们总结出企业主要面临的安全威胁和问题主要体现在以下几个方面。
(一)网络物理安全风险分析
地震、水灾、火灾等环境事故会造成整个系统毁灭;电源故障会导致设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅。
(二)网络边界安全风险分析
网络的边界是指两个不同安全级别的网络的接入处。对于骨干网来说,网络边界主要存在于Internet和出口外部网络的连接处,内部网络中办公系统和业务系统之间以及内部网络之间也存在不同安全级别子网的安全边界。如果没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。
(三)应用服务系统安全风险分析
目前使用的操作系统主要包括Windows、UNIX操作系统,应用系统主要通过外购、自行开发的系统,这些系统可能存在着“Back-Door”或安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。
(四)网络内部安全风险分析
网络安全攻击事件70%是来自内部网络;通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径使病毒程序潜入内部网络;而网络是病毒传播的最好、最快的途径之一;内网客户端一旦感染病毒就很容易对整个网络造成危害;所以内网客户端的病毒防护和补丁管理等是网络安全管理的重点。
(五)网络管理的安全风险分析
在网络安全中,安全策略和管理扮演着极其重要的角色,如果没有制定有效的安全策略,没有进行严格的安全管理制度来控制整个网络的运行,那么这个网络就很可能处在一种混乱的状态。再者就是安全管理意识不强。企业管理层重视程度不够,认为花钱就能解决问题,盲目追求先进,甚至打算一步到位。
三、企业计算机网络安全体系的建构
企业中计算机网络安全防护体系的构建应该依据以下步骤:应用分析划分适当的安全域风险分析以《计算机信息系统安全等级划分准则》为依据,确定相应的安全等级以安全保护(PDRR)模型为指导,以保护信息的安全为目标,以计算机安全技术、加密技术和安全管理等为方法进行分层保护构建整体的安全保护保障体系。
(一)应用分析
应用分析,应该包括二个方面,一是用途分析;二是对信息网络上的信息资产进行分析。不同的应用,信息资产也是不同的,存在的安全问题也肯定是不同的。试想一个单纯的接人互联网的信息网络(如网吧)与政府的办公网络的安全问题会一样吗?实际上,在同一个信息网络上,流动的信息也是不一样的,它们安全性的要求当然也是不同的。
(二)风险分析
在进行了应用分析的基础上,应该对某一用途,或某一级别或类别的信息,或某一安全域进行风险分析。这种分析可用一个二维的表格来实现。首先确定某一信息类别,或一个安全域,以可能发生的风险为X轴,对应于每一个风险,应该有3个参数填入到表格中,一个是该风险发生的概率,另一个是该类信息对该风险的容忍程度,再一个是该风险可能发生的频率。事件发生的概率,目前可能很难给出量化值,可以给出一个等级标准,如不易发生,易发生和极易发生,而容忍度也只能给出等级,如无所谓、可以容忍,不能容忍和绝对不能容忍等。实际上我们在风险分析时,可以将风险列得更细些,更全面些。对一个与互联网没有物理联结的内部网络来说,通过互联网发生的人侵,发生的病毒灾害应该是不易发生的是小概率事件,而对于一个网站来说,这二者且是极易发生的事件。
(三)确定安全等级
在对信息分级和分类基础上,应该依据《计算机信息系统安全等级划分准则》(国标17859)确定相应的安全保护等级。《准则》给出了五个等级标准,每个标准等级都相应的要求。笔者认为不一定完全的套用某一个级别,可以根据风险分析的结果,与准则中的要求进行一定的对应,确定准则中的某一个级别,或以一个级别为基础,在某些方面可做加强,而在另一些方面可以相对减弱。再次强调,保护应该是信息分级为基础,对于不同级别的信息保护强度是不一样,不同等级信息,最好在不同的安全域中加以保护。这样不需要保护的信息就可以不加保护,而需要加强保护的信息,就可以采取相对强度较高的保护措施。但这种保护,必须兼顾到应用,不能因为保护而造成系统的应用障碍不过为了安全牺牲掉一些应用的方便性也是必要的。
(四)分层保护问题
确定了安全级别之后,在风险分析的基础上,应该以计算机安全保护(PDRR)模型为指导,以《计算机信息系统安全等级划分准则》的依据,以计算机技术、计算机安全保护技术、保密技术和安全管理等为保护手段,以信息的机密性、完整性、可控性、可审计性、可用性和不可否认性等为安全为保护目标,分层分析和制定保护措施。所谓分层保护,就是要把所列出的那些较为容易发生,且又不能容忍的风险,分解到各个层面上,然后利用计算机技术、计算机安全保护技术、加密技术和安全管理手段尽量的按一定的强度加以保护,以规避相应的风险。如信息抵赖的风险,应该发生在用户层面,可以用对用户的身份认证技术来解决这样的风险。火灾、水灾都应该在物理层面上加以保护。许多风险可能是对应于多个层面,那就应该在多个层面上加以保护,如信息泄露,在所有的层面上都会发生,那就应该在所有的层面加以保护。
(五)构建完整的保障体系
对信息网络进行了分层次的安全保护,好像我们的任务就已经完成了,实际上则不然。信息网络是一个整体,对它的保护也应该是一个整体。首先,在进行分层保护的策略制定以后,首先应该在整体上进行评估,特别是结合部安全是还存在着问题。如,通过数据库可以获得系统的超级用户权限。其次,我们是以不同的信息资产或不同的安全域来进行分层保护的,而不是整个网络。此时我们应该对不同的信息资产或不同的安全域的分层保护方案进行比较和综合并进行适当的调整,考虑信息网络整体的保护方案。第三是应该选择适当的安全产品或安全技术。在安全产品的选择上即要考虑产品本身的先进性,还应该考虑安全产品本身的成熟性,对一些非常重要的信息网络,不要第一个去吃螃蟹。最后还应该考虑对网络中的安全产品实现统一的动态管理和联动,使之能成为一个动态的防范体系,成为一个有机的整体。动态管理应该考虑,安全策略发生错误和失效的修改,以及对安全产品失效的对策,应该有预案。联动,就是使所有使用的安全产品,在发生安全事件时,能够成为一个防范的整体。整体的安全体系的建立,还应该对安全的措施成本进行核算,国外的信息网络在安全方面的投人可达到系统建设费用的15%-30%,这个费用标准我们可以用来参考。核算措施成本后,还应该对成本效益进行评估,对于保护费用与效益在同一数量级上的花费,则应该考虑是否有必要进行这样的保护。
四、结束语
技术与管理相结合,是构建计算机网络信息系统安全保密体系应该把握的核心原则。为了增强计算机网络信息系统和计算机网络信息系统网络的综合安全保密能力,重点应该在健全组织体系、管理体系、服务体系和制度(技术标准及规范)体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、计算机网络信息系统内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。
参考文献:
【关键词】企业数字档案馆;安全体系;网络管理
企业档案馆的安全保障体系建设主要通过两方面途径实现。一是按照信息安全等级保护的要求,采用相应安全保障技术方法,配备必要的软硬件设施。二是建立健全数字档案馆安全管理制度,并严格遵照实施。
数字档案馆的安全体系主要包括网络平台安全、信息系统安全和档案数据安全三大方面。档案数据安全是要保证数字档案信息的可靠、可用、不泄密、不被非法更改等。系统及其网络平台安全是要保持系统软硬件的稳定性、可靠性、可控性。
一、安全技术防范措施
数字档案馆的安全技术防范措施包括:档案实体安全措施、网络安全措施、系统安全措施、应用安全措施和数据安全措施。
1.档案实体安全措施。档案实体以各种载体形式存在,并存放于档案库房。为了使档案实体达到档案安全管理的“八防”,除了采取传统的档案实体安全保管措施之外,还需利用以下现代技术手段,提高管理的有效性、智能化。(1)自动温湿度控制系统:由中央控制服务器集中自动控制档案库房的空调、除湿机、空气清新机等终端设备,为档案的存放保管提供适宜的温湿度条件。(2)视频监控系统:数字档案馆的重要出入口安装视频监控设备,重点部位(如保密库房、机房)安装红外报警、摄像联动监控,实现对所辖区域的安全监控。(3)自动消防报警及灭火系统:建设档案库房自动消防报警及灭火系统,提高档案实体对应火灾的自动高效防范能力。
2.网络安全措施。(1)防火墙:网络安全是数字档案馆整个安全体系的根基,必须放在首要位置考虑。从安全考虑,必须在整个企业局域网总入口处加载硬件防火墙,确保企业局域网的安全。企业档案馆根据实际应用,可以在防火墙上加载对应用服务的访问控制,如对档案门户网站只开放80端口服务,允许所有地址的访问;而对于综合档案信息系统,限制外网地址的访问,指定专网地址的访问。(2)入侵检测系统:为防范外网的恶意攻击和数据窃取,在企业局域网关键地点部署入侵检测系统,及时发现网络攻击事件并予以防护、向管理员发出告警。(3)网络防病毒系统:建立企业网络病毒防护系统,保证企业企业局域网免受网络病毒的侵害。
3.系统安全措施。系统平台安全管理一方面可以利用操作系统自身安全机制进行合理的配置,另一方面可以通过采用一些系统平台管理软件来实现。(1)操作系统的安全措施:操作系统的安全访问控制一方面可以通过用户账号、密码、用户组方式登录到服务器上,在服务器允许的权限内对资源进行访问、操作。另一方面可以基于TCP/IP协议,通过对文件权限的限制和对IP的选择,对登录用户的认证保护。(2)补丁程序:采用最新版本的操作系统,并及时安装补丁程序。(3)服务过滤:关闭系统上的一些不需要的服务。(4)对网络以及各个子系统管理员权限进行严格划分:严格控制操作系统用户授权,并控制每个用户的对应目录的操作权限,非必要情况下不以系统管理员的用户登录。(5)计算机口令设置:对口令的设置进行有效的管理,限制口令复杂度和有效期限。(6)安装系统加固程序:安装系统安全防范产品提升系统的安全性。如系统防病毒软件、系统漏洞检测及弥补软件、系统补丁检测和自动升级软件、系统木马检测软件等等。
4.应用安全措施。(1)权限控制:在系统中将用户分类,对各类用户的权限进行明确的设定,并进行严格的控制。系统设计时,可采用定义角色的方法,来为每一类具有相同权限的人员定义一个角色,来方便控制人员的权限。(2)日志管理:系统通过记录用户操作日志来加强系统的安全性,以便管理员可以对恶意破坏数据过程进行审计。提供登录日志、操作日志和数据访问日志三类日志。
* 用户登录日志:记录用户成功登录(退出)档案系统的事件。用户登录指用户由档案系统外成功登录进档案系统。
* 用户操作日志:记录用户在档案系统中所进行的一些重要操作事件。例如:全宗管理、部门管理、档案类型管理等。
* 数据访问日志:记录用户对档案数据本身的访问。例如,对档案数据条目的删除。对电子文件的浏览、下载等。
5.数据安全措施。(1)数据传输安全控制:综合档案管理系统需提供对电子原文的加密处理,电子文件先经过系统提供的加密功能加密,以加密状态传输;客户端利用时,采用系统专用原文浏览器,浏览器内部提供对文件解密功能,如果在传输过程中信息被截获,截获的信息如果不在我们专用原文浏览器中阅读,打开后是乱码状态,保证了电子档案在网络中传输的安全性。(2)数据接口安全控制:综合档案管理系统对提供的数据接口和WEBService服务进行安全控制:综合档案管理系统对外部系统提供相关的接口和服务,保证没有权限的人不能获取对应的服务,或者不信任的系统不能访问对应的接口。(3)电子文档防篡改:采用软件生成电子原文校验码可以及时获得被篡改文件的名字,方便快捷的找到被篡改的电子文件。对电子文件进行锁定操作(主要针对大量的office word、excel文件),用户进行篡改后,原文件内容不会彻底消失,会以批注的形式存在,方便于恢复文件内容。(4)电子文件防扩散:电子文件的防扩散功能可以为文档资料的安全防护以及非法传播提供安全保障。当档案管理系统为利用者赋了原文下载权限后,用户在下载原文时系统将下载到利用者本地的文件进行数据加密转换,转换后的电子文件必须用系统提供的阅读工具来读取,转换后的文件完全保持原文的版式,特有格式文件具有防篡改的功能。(5)数据备份和容灾恢复机制:采用主流备份存储设备和专业备份软件,为重要档案信息资源制定存储备份策略,自动/手动、本地/异地、全备份/增量备份、备份时间等。为了应对天灾等突发事情,需建立相应的预警预案,并制定相应的容灾恢复机制。
二、安全管理保障措施
在建设数字档案馆安全防护体系时,仅有安全技术防护而无严格的安全管理保障体系相配合是难以保障系统运行安全的。安全管理保障体系包括安全管理组织、安全标准体系、安全规章制度建设、安全服务体系、安全管理手段。
1.安全管理组织。建立完整的安全管理组织体系,具体负责安全保障体系建立的规范、组织实施、运维管理等工作。
2.安全标准体系。安全标准规范体系是支撑数字档案馆安全保障体系建设的需要手段,是系统互联互通、业务协调、信息共享所必须遵守的技术准则。
3.安全规章制度。数字档案馆涉及面广、情况复杂,管理的制度化程度极大地影响着整个平台的安全,数字档案馆的建设、运行、维护、管理都要严格按制度执行。安全规章制度主要有:网络、机房、服务器管理规范,数字档案信息安全存储管理规范,个人PC和客户端的安全操作规范和数字档案应用系统的安全操作规范。
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
1 信息环境下的企业管理路径
1.1 完善管理信息化建设体制
企业要加快管理信息系统建设,规范信息化标准体系,提高管理的信息化水平。首先,企业要成立信息化管理部门,负责企业信息化建设项目的全面推进,并且结合企业信息环境和管理需求制定信息化工作管理制度、专项经费管理制度、信息化工作考核制度等,保障信息系统建设制度化开展。其次,明确管理信息系统建设重点,如生产指挥调度管理系统、资金管理系统、会计核算系统、移动办公系统、物资采购管理系统等,提高企业对各项经营活动的管控能力。最后,建立信息化标准体系,包括技术支撑、基础建设、安全保障、业务应用等方面的标准,从而确保企业管理信息系统建设项目的质量。
1.2 建设企业ERP系统
企业要结合经营管理实际情况,引入ERP系统,从供应链管理层面推动物流、资金流与信息流的有机整合,提高企业集成化、信息化管理水平,提升企业供应链运作效率。在ERP系统的支持下,企业要实现财务业务一体化管理,完善财务管理系统功能,促使业务产生的信息实时传递到财务部门进行处理,同时也将财务信息、财务报告及时提供给企业管理层进行查阅,并将其作为企业经营决策的可靠依据。
1.3 优化人力资源信息化管理
在信息环境下,为进一步提升企业的管理水平,应当在现有的基础上,对人力资源信息化管理进行优化。首先,企业应当建立起一个相对完善的且包含绩效考核、员工培训、人才能力管理的信息化系统,并通过对相关流程的梳理,促进企业管理规范化和标准化,从而全面提升企业的人力资源管理效率。其次,企业可将一些重要的项目作为契机,实现人力资源与企业管理要求的对接,遵循现代企业管理的思维方式,开展相关的人力资源信息化管理工作,如员工绩效考核、领导干部测评等,借助项目成果,提升企业人力资源的整体管理水平,由此能够推动企业在信息环境下的稳定、持续发展。
1.4 加强信息化建设中的风险管理
企业在建设信息化的过程中不可避免地会面临各种风险,为此,企业应当采取有效的方法和措施加强风险管理。企业应当建立相对完善的风险防范机制,在该机制建立的过程中,要对管理信息系统开发中的所有风险予以充分考虑,针对风险因素进行有效的管理。实践证明,大多数风险都可以通过相应的方法进行防控,其前提是需要对风险进行准确的识别,但必须指出的是,风险本身具有不确定性和随机性的特点,并且有些风险是很难进行预防和控制的,因此,企业在开发管理信息系统时,必须制订出一套能够应对突发意外事件的方案,从而在意外发生时,能够进行解决,避免造成损失。
2 保障企业信息安全的体系构建
在信息环境下,信息安全是企业开展管理信息化建设面临的重大问题之一,直接关系到企业管理信息化水平的提升。为此,企业要结合管理实际需求,构建起信息安全保障体系,具体实施措施如下。
2.1 加强网络安全管理
企业在加强网络安全管理的过程中,可采取如下技术措施。
2.1.1 对远程接入进行严格控制近年来,虚拟专用网络技术(VPN)获得了快速发展,由此大幅度降低了远程接入给企业带来的风险,与此同时,移动办公的出现,在一定程度上促进了远程接入的发展,为确保远程接入的安全性,企业可以应用USB KEY身份认证或是动态口令等方式,对远程接入进行安全控制。
2.1.2 IPSec企业内网中存在一些非受控终端,这些终端的存在给黑客提供了访问企业网络的路径,为确保网络信息的安全性,企业可以应用IPSec,由此能够对内部终端进行管理和控制。
2.1.3 入侵检测这是防火墙的一项补充技术,能够对网络传输进行实时监控,当检测到可疑的数据信息传输后,会自行发出报警。通过入侵检测,可以使企业对来自外部的恶意攻击进行有效的防范。
2.1.4 确保无线网络安全大部分企业的办公区域内都有无线网络覆盖,其在给企业和用户带来便利的同时,也给信息安全带来了一定的隐患。为确保无线网络安全,企业应当采用比较安全的协议,如WPA或WPA2等,也可借助EAP协议对无线网络进行访问控制。
2.2 加强访问控制
在信息环境下,企业可以通过加强访问控制,来确保网络信息安全,具体可采取如下技术措施。
2.2.1 密码策略相关研究结果表明,密码的强度等级越高,破解所需的时间越长,正因如此,使得提高企业用户的密码强度等级成为访问控制最为有效的手段之一,为此,企业应当制定合理可行的密码策略,并借助相关的技术措施确保策略的执行。
2.2.2 权限管理企业应当对身份管理平台进行完善,以此为依托对员工的权限进行管理,并实行企业内部网络应用单点登录的策略。
2.2.3 构建公匙系统该系统是访问控制的核心,通过它能够有效提高无线网络访问授权、VPN接入的安全水平。
2.3 加强信息安全监控与审计
企业在加强信息安全的监控与审计方面,可以采取如下技术措施。
2.3.1 扫描病毒这是一种较为有效的网络信息安全监控手段,通过防病毒软件系统,可以对病毒进行自动扫描,并针对操作系统存在的漏洞,自动进行相关“补丁”的更新,由此大幅度提升了桌面终端的安全性。这种技术措施需要将客户端安装在企业用户的终端设备上,当终端与企业内网进行连接时,病毒扫描软件便会启动,并对将要接入的终端设备进行评估,通过之后,才能与企业内网连接。
2.3.2 防控体系针对网络黑客的恶意攻击,企业应当构建相应的防控体系,该体系可由以下几个部分组成:能够实时更新的防病毒软件、可以过滤掉不安全信息、邮件及非法网页的网关、入侵检测系统等。
2.3.3 记录与审计企业应当配置日志审计系统,借助该系统对信息安全事件进行收集,进而生成审计记录,据此对安全事件进行分析,并采取有效的措施加以解决处理。
2.4 加强员工信息安全培训
在信息环境下,企业网络信息安全需要凭借全体员工来维护,为此,企业应当加强对员工信息安全方面的培训,借此来增强他们的信息安全意识。为使培训效果最大化,必须保证培训工作的实效性,首先,要做好网络管理人员的技术技能培训工作,可将培训的重点放在网络设备的安装与调试以及软件的配置上。其次,应加大对企业领导层的培训,通过培训使领导层认识到提高网络信息安全的重要性和安全管理体系建设的必要性,以便获得他们的支持,使信息安全管理工作的开展更加顺利。最后,应当加大对网络客户端上用户的培训,培训的重点为实际操作,并在培训完毕后,制定相关的管理制度,要求用户严格执行,从而确保网络信息的安全。
3 结 论
在信息环境下,企业要积极推动管理信息化建设,将其渗透到物流管理、人力资源管理、财务管理等多个管理领域,从而不断提高企业管理效率。与此同时,企业也要认清管理信息化建设带来的信息安全问题,针对信息安全管理的薄弱环节制定有效的管理措施,做好员工信息安全培训工作,保障企业管理信息系统建设的顺利实施,不断提高企业信息化管理水平。
各种依赖于计算机网络的应
用系统逐渐增多,整个企业的运转越来越离不开这些应用系统,大量敏感或的数据要用桌面终端准备进行浏览或存储,信息技术应用需要一个端到端(服务器-客户端)的整体安全环境。桌面终端的安全管理是其中最薄弱的环节,管理也最为复杂,往往成为信息外泄的源头。
由此可见,在越来越复杂和多变的信息安全形势下,加强桌面安全管理至关重要并且十分急迫。桌面安全管理系统可以实现病毒防护系统和补丁分发系统以及更高级的安全策略,保证客户端计算机防病毒系统和补丁的及时更新,大幅提高客户端计算机和网络系统的安全水平,有效解决安全策略落实不到位的问题。
桌面安全管理架构
桌面安全管理系统是某大型企业信息安全体系建设的重要组成部分。其桌面安全管理系统包括SAV赛门铁克病毒防护系统、SMS微软补丁分发系统及SEP端点准入系统。通过整体系统的实施,建立“三位一体”的桌面安全管理系统:通过赛门铁克病毒防护系统和微软补丁分发系统,实现防病毒和系统安全漏洞及时修补功能; 通过端点准入系统的实施,实现终端统一的安全策略,加强终端安全性; 强制赛门铁克病毒防护系统和微软补丁分发系统部署到位; 通过主动防御功能,防范网络中常见的攻击行为; 对终端的行为进行日常的安全检查,从而提高全体员工的安全意识。
病毒防护系统
全网病毒防护系统整体架构完全覆盖所有联网的终端,通过在网络中构建层级架构,合理地将各级防病毒管理组件平行汇总,建立各级综合的防病毒运维管理区。
总部防病毒服务器负责所有区域网络中心防病毒产品升级、防护策略制定、病毒定义文件升级等工作。
区域网络中心防病毒服务器从总部防病毒服务器接收防病毒产品升级、防护策略、病毒定义文件等信息,应用到本地服务器; 负责对所管辖区域的防病毒产品升级、防护策略制定、报警管理、病毒统计报表生成等工作。
各单位防病毒服务器从上级服务器继承防病毒产品升级、防护策略、病毒定义文件等信息,并分发给所辖客户端,保证终端用户的及时更新; 同时,可以根据本单位的具体情况,制定特定的策略。这样,可以保证防病毒系统软件和病毒特征码的同步更新,最大限度地提高桌面系统的安全性。
通过建立总部区域中心各企事业单位的病毒定义文件升级系统,实现了逐级升级病毒定义文件,最新病毒定义文件在两小时内分发到各单位。总部建立专门的技术支持队伍为各单位提供防病毒技术支持。
补丁分发系统
补丁分发系统服务器提供树状的层次化体系架构以满足企业的组织和管理需求。同时,层次结构的合理实施有利于优化系统资源和网络资源的使用。
根据规划,补丁分发服务器体系架构共分为三个层次,体系架构中各层次补丁分发服务器的主要作用如下:
补丁分发中心站点服务器
位于总部。作为整个树状拓扑结构的根节点,中心站点服务器负责从微软网站获得补丁,将其制作成数据包,并复制到体系架构中的其他所有补丁分发服务器。
同时,中心站点服务器还通过其报表功能收集下属所有单位补丁分发统计数据。
从中心站点上可以监控整个架构中所有补丁分发服务器的系统健康状况,并调整其配置和功能。
中心站点服务器本身不管理任何客户端。
一级分公司的主站点服务器
每个一级分公司安装一台主站点服务器,以管理所有下属的客户端。
主站点服务器负责从中心站点接受最新的补丁,并播发至其管理的客户端。主站点服务器还能通过管理控制台查看其所补丁播发统计数据。
主站点服务器在收集资产信息的同时,还将信息汇报至中心站点服务器。
二级分公司的辅助站点服务器(可选)
部分二级分公司可根据需要安装辅助站点服务器。辅助站点的添加与删除可以根据需求动态调整,而不必影响客户端的配置。
辅助站点服务器的主要作用是减轻主站点的系统负担及广域网之间的网络负载。
负载站点本身不具备管理功能。
端点准入控制系统
端点准入控制系统通过在不同的网络层次设置控制点,在端点连接到企业网络之前,对其安全状态进行强制审计,强制应用统一的安全策略。对不符合安全标准的端点强制拒绝接入,并对不合规端点进行修整,确保只有完全符合统一安全策略的端点才能接入网络,将蠕虫、病毒、木马等混合安全威胁屏蔽在网络之外,以降低网络所面临的安全风险,从而确保接入端点完全符合统一安全策略要求,确保企业网络安全、稳定地运行。
总部部署端点准入控制系统一级站点,各地区公司部署二级站点,如果地区公司规模庞大,网络结构复杂,可以部署三级站点以满足需求。
一级站点制定部分安全策略并下发到所有二级站点、三级站点。二级站点、三级站点可以根据自身需要制定符合自身需要的安全策略。
二级站点、三级站点把收集的客户端事件日志保留在本地服务器中,在本地站点完成安全事件分析。下级站点将本地生成的安全态势分析报告上传到一级站点服务器,一级站点可以有选择地获取部分日志内容,根据特定的要求进行日志分析。
1加强安全管理,助力企业转型
在国际信息安全环境日趋恶劣,国家全面倡导信息安全的大环境下,为了确保信息安全工作的可持续性开展及业务信息系统的稳定运行,依据集团总部《关于建立集团公司网络与信息安全组织保障体系的通知》、鄂通信局发[2013]127号《关于进一步落实基础电信企业网络与信息安全责任考核及有关工作的意见》等相关文件精神,同时参考《GA/T708-2007信息安全技术-信息系统安全等级保护体系框架》、《GB/T22239-2008信息安全技术-信息系统安全等级保护基本要求》《GB/T20269-2006信息安全技术-信息系统安全管理要求》、《GB/T0984-2007信息安全技术-信息安全风险评估规范》等国家标准,制定了《信息安全管理办法》、《信息安全策略》、《安全保障框架》及《安全保障基线规范》规范等,率先在企业内建立并实施该体系,全面倡导企业向信息安全生产经营转型,同时积极引导合作伙伴树立信息安全意识,规范自身的生产及合作行为,明确安全风险责任、细化管理要求,立足自身,兼顾第三方,共同打造信息安全的绿色长城,确保企业长足健康发展。通过该安全管理体系的实施,从中全面深入地挖掘现有安全体系的不足之处,并针对现有业务系统中的各类安全隐患制定了有效的整改方案并予以实施、预警,确保了移动互联网业务的可持续性发展及业务信息系统的稳定运行。首先,组织完成企业的自有业务信息系统和合作业务信息系统的安全等级划分工作,将平台安全管理工作落实到具体的责任人,并签署责任状,从而树立全员安全责任意识,实现人人参与安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技术对业务信息系统进行安全扫描、安全审计,并应用HIVE、Waka、PIG、Mahout等工具对海量日志、数据进行分析和审核,发现相关漏洞与脆弱点,并针对自有及合作业务信息系统编写了整改建议和系统层面的加固方案。通过持续对自有及合作信息系统的检查,共发现自有业务信息系统存在各类安全漏洞攻击39处,合作业务信息系统存在各类安全漏洞14处,目前这些漏洞已经全部整改与加固完毕,消除了安全隐患。其次,以信息安全管理为导向,组建了由电信营运商、合作伙伴、专业公司三方共同构成的一支业务信息系统安全管理团队,通过从合作业务管理规范的建立到合作伙伴安全技能培训,从信息安全制度宣贯到系统安全处罚办法的落实执行,从系统安全的定期评估到系统漏洞的及时加固等一系列举措,最终创建一套业务信息系统全新的安全管理模型,提高业务信息系统运行质量和服务能力,提升创新业务品牌形象。从安全管理模型启用至今,未发生一起信息安全事故,这样强化了合作伙伴的信息安全概念,督促合作伙伴在发展业务的同时也重点关注信息安全问题,极大地降低了由于合作系统的信息安全漏洞导致的中病毒或木马、假冒网站、账号或密码被盗、个人信息泄露等客户信息安全事件的发生概率,此类原因造成创新业务投诉比率和往年相比降低了15%,改变了用户对创新业务的固有印象,建立了良好的创新业务服务品牌形象。此模型具备良好的可复制性,可指导通信领域运营企业开展信息安全工作。在全国率先打造这套移动互联网业务安全管理体系,包含一系列业务系统信息安全管理办法、信息安全策略、安全保障框架、安全保障基线规范等相关业务系统管理制度及规范,业务系统安全管理体系的先进性和时效性在通信行业内名列前茅,同时通过近两年的安全理论研究和安全评估加固实践,针对当前企业业务平台系统在信息安全监管中面临的一些问题,对当前主流关联分析技术进行研究的基础上,提出了一种新的安全事件关联分析技术。该技术涉及到多源数据预处理、报警聚合、关联分析、大数据分析和安全状况态势评估等相关技术。此技术运用到电信行业的信息安全监管上,就能够对监控设备收集的日志及安全设备产生的告警进行关联分析和挖掘,从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,通过对此类信息的统计、浓缩、总结、关联和分类,抽象出利于进行判断和比较的特征库,并智能地学习和维护其特征库,从而在提高安全事件报警准确率的情况下保证极高的识别效率。同时该安全管理体系成功应用到与百度公司合作开发的爱奇艺视频业务系统、与腾讯科技公司联合开发的微信平台、与奇虎科技公司共同开发的安全卫士手机应用系统,得到部分在美国纳斯达克上市的中国互联网精英公司的高度认可和赞许,并表示今后与电信运营商共同开发产品都依照此安全管理规范和体系,确保产品的各项安全性能指标。
2创新点
为顺应移动互联网时代,运营商从基础通信运营向流量运营转型的新趋势,湖北移动确定了“业务转型,安全先行”的发展思路,坚持“以安全保发展、以发展促安全”。在已有的网络与信息安全管理办法的基础上,积极开展适应移动互联网时代安全管理体系建设,不断推进科学的安全管理方法,做到六“注重”六“突出”,即:(1)注重整体规划,突出体系建设,促进职责高效履行。制定下发安全标准化管理与评价体系建设计划,内容涵盖安全工作方针目标、安全目标、各方职责、安全管理体系和模式、安全设施和机房环境保护设施标准、安全文明操作保证金、安全考核与奖惩、过程的主要控制措施、应急准备和响应等方面。严格按计划有序开展体系建设工作;严格按体系文件要求开展业务或系统试运行工作;加强保证与监督体系的建设。(2)注重文化建设,突出信息安全特色,促进习惯养成。以人为本,加强企业安全文化建设,促使安全文化落地,提高员工安全与风险防范意识。(3)注重教育培训,突出行业特色,达到安全管理效果。通过多种渠道、形式多样的安全教育和培训方式,组织各单位安全管理人员开展安全教育和培训工作:一是安排专家和行业资深人士进行专题讲座;二是在专题培训的基础上,做好网络与信息安全专项工作如何开展的培训。(4)注重设备管理,突出针对特色,实现安全管理精细化。首先,网络设备较多,加强网络安全管理提高设备安全可靠性是首要任务,为此各维护单位对每台设备均建立了安全技术台帐,台帐包括运行记录、检查保养记录和定期检验记录。其次,组织精干力量先后两次对所有设备、流程、机房进行全面的安全评估工作。第三,使隐患排查整改形成机制。(5)注重安全投入,突出专用特色,合理使用安全生产费用。认真落实安全管理费用投入长效机制,加大安全费用的管理,做到专款专用,确保安全生产费用规范化、合理化和足额投入。并加强安全生产保证金的管理,建立安全生产保证金并实行年底考核的机制,有效促进了安全管理工作。(6)注重应急预案,突出超前特色,安全管理赢在主动。在安全管理中,把预防工作落到实处,建立健全了应急处置机构,将应急处置工作进一步制度化,规范化,形成了完整的安全事故预防体系。同时,开展形式多样、符合实际的应急演练。
3结语
全新的移动互联网业务安全管理体系具备创新性、可复制性,对此领域企业具备示范和指导意义。目前已经被省公司相关专业部门采纳,计划结合信安部工作在全国范围内进行推广,同时在移动互联网行业领域,成为行业巨头制定与电信运营商合作开发产品的管理规范。此安全管理体系在企业应用范围涵盖的业务生产中,带来了巨大经济效益和社会效益,通过持续对自有及合作信息系统的检查,共发现自有业务信息系统存在各类安全漏洞攻击67处,合作业务信息系统存在各类安全漏洞30处,成功处理异常安全入侵26次,避免了平台业务收入的损失。
作者:彭敏 廖振松 单位:湖北移动政企分公司湖北移动网管中心
2017年个人的技术工作总结【1】 一、 企业技术创新战略与规划的实施情况
根据公司制定的打造节水技术集成系统应用推广商,成为节水行业技术领先者的技术创新战略目标,编制了公司20xx年年度技术创新发展规划,明确了工作目标,制定了详细的实施计划、责任人、考核到位。通过一年的努力年度科技创新计划完成率达80%以上。其中完成了新产品开发4个、专利申请8个、企业标准备案4个,同时承担了一项国家星火计划重大项目,承担了一项自治区重点技术创新项目,培养技术人才10人、技术工人30名。
二、 企业技术创新体系建设
修订完善了技术创新管理制度、研发投入核算体系制度、研发人员 绩效考核奖励制度、知识产权保护制度和产学研合作机制,以企业技术中心为支撑,构建以企业为主体、市场为导向、产学研相结合的技术创新体系。分别与与自治区水科院土肥研究所、自治区农科院及新疆农业大学签订了产学研合作协议,聘请自治区水科院、农科院及新疆农业大学的专家作为技术顾问。在技术引进方面与以色列耐特菲姆公司、美国约翰迪尔灌溉技术公司进行技术交流与合作,在装备引进方面与意大利AIT公司、德国克劳斯玛菲公司进行技术交流与合作洽谈。公司广泛开展各种产学研学术交流与技术合作、构建技术联盟,打造节水工程技术中心研发平台,共同开发农业节水灌溉新产品、新技术、新材料。
公司多次组织技术人员进行培训和学习,聘请行业专家进行讲解。为了稳定技术队伍,进一步调动广大科技人员的积极性、创造性,使技术人员的报酬逐步与市场劳动力价格接轨,公司自20xx年以来先后出台了一系列激励措施,目前已经形成了一套新的人才激励机制,有力地推动了企业各项科技活动的开展,促进了企业经济效益的提高。
企业技术创新基础设施建设。技术中心拥有专业的检测设备,实验室有转矩流变仪、耐液压试验机、电子万能试验机、落锤冲击试验机等仪器
设备符合产业科技创新需求
三、 企业技术创新活动开展情况
1、新产品研发方面
20xx年企业研究开发新产品有4项。研发投入资金260.61万元。其中给水用高抗冲改性聚氯乙烯(PVC-M)管材的开发,产品已在伊犁河南岸国家土地整理项目给水工程10000亩、精河县大河沿子镇中低产田改造项目4000亩、哈密巴里坤荒山绿化灌溉工程5000亩中得到应用,用户使用情况良好。
2、知识产权及成果转化方面
公司借助专利事务所的力量,及时完成了8项实用新型专利的申报,有《内镶片状迷宫式滴灌带》实用新型专利、《喷滴灌用低密度聚乙烯管材》实用专利新型、《聚乙烯(PE)输水软管》实用新型专利、《一种双层迷宫式滴灌带》实用新型专利、《UPVC地下通信用蜂窝式直埋管》实用新型专利、《大棚滴灌系统》实用新型专利、《地下滴灌系统》实用新型专利、《自动化灌溉系统》实用新型专利。同时为确保公司注册商标在主要领域获得保护,积极完成了西部节水牌商标的复审;为使公司产品逐步由屯河牌商标向西部节水牌商标过度,重新设计了产品合格证及PE产品外包装,目前已投入使用。
制定了企业标准。通过技术人员走进市场、调研市场,咨询起草标准的协会专家和行业内的知名专家形成了企业标准4项,《环保型给水用硬聚氯乙烯(PVC-U)管材》、《塑料节水灌溉器材 非复用型内镶式滴灌带》、《地埋式滴灌带、管》、《防鼠型滴灌带》等。
3、项目情况
20xx年承担了国家星火计划重大项目《高效节能滴灌技术集成应用和产业化示范》的分课题《节能管网、抗堵塞内镶贴片式滴灌带产品产业化》;及新疆维吾尔自治区重点技术创新项目《小流量节水滴灌带产品开发及示范推广》。与自治区生产力促进中心签订了协助完成国家级高新技术企业
申报的合作协议,制定了详细的工作推进计划,按照计划完成了专利申报和成果转化项目资料的编制。在争取国家政策性资金方面。先后申报了20xx年国家重点产业振兴和技术改造项目、国家工业转型升级技术改造重点项目、国家两化深度融合示范企业项目、自治区重点技术创新项目、自治区技术改造专项资金项目、自治区战略性新兴产业重点培育企业和重点项目、昌吉州新型工业化重点及技改项目、昌吉州科技计划、昌吉市科技计划等项目。
4、公司资质办理与管理。
为配合公司营销业务开展,先后完成了国家灌溉工程AAA信用施工企业及政府放心、用户满意十佳优秀施工企业、昌吉国家现代节水材料高新技术产业化基地龙头企业等荣誉;完成了公司节水产品认证年度监督审核及滴灌带增项认证、获得了节水产品认证证书。还通过了PVC及PE给水管材卫生许可批件现场及资料审核,并获得了证书。
四、技术创新信息化建设。
企业加大了对新产品开发与应用的同时,也非常重视技术中心的信息交流和建设工作,保证技术中心的信息建设与公司的信息化建设同步进行,建立了一个完善的企业信息交流系统。完善了企业信息交流平台。完善了企业网站。企业网站已不再是单纯的传递信息平台,而是可以提出意见,互相交流的场所。不断更新和完善《西部节水行业资讯》,让员工更好的掌握行业信息动态。及时向政府有关部门,了解各类产品检测信息。密切关注塑料管材产业和相关行业动态,积极参加各类行业交流会,了解塑料管材最前沿科技。
公司在生产过程混料系统采用了自动化的控制,自动计量装置的精确称量,减少了配方材料的误差,提高了混料的质量。为企业降低成本,提高产品一次合格率起到了关键的作用。
2017年个人的技术工作总结【2】 20xx年,在局党委的正确领导下,在市局网络技术中心指导下,认真贯彻落实面向发展、面向经营指导思想,紧紧围绕经营发展这一中心,加快科技兴邮步伐,抓管理、抓服务、抓创新,确保网络的安全畅通,为全局邮政发展提供了有力的技术保障。
在前几年,各个生产系统都经过了整合、数据的大集中,为以后的生产作业打下了良好的基础。在这大好的前提下,我们团结奋进,全面完成了年初上级制订的重点系统的维护工作。
1、20xx年全年设备维护中心完成了孙楼、刘王楼、欢口、师寨、史小桥、向阳路等支局设备与台席的搬迁、改造、回迁工作;在刘王楼、孙楼、史小桥支局网点搬迁工作中,适逢夏季7、8月份,我局工作人员不叫苦不叫累,积极做好台席设备的安装调试,并协调电信局和监控公司单位做好了线路接入、监控安装的工作;在全体人员的共同努力下,保证了网点业务不中断、新网点当日回迁次日营业的要求。
2、20xx全年设备维护中心完成了支局营业厅多媒体电视机的安装调试工作,完成了支局五小家庭计算机的安装配置工作,完成了支局电子化营业台席袋牌打印机的安装调试工作,完成了支局电子化营业台席终端的更换调试工作,完成了县局及支局生产用机的远程安全套件的安装和监控工作,完成了丰县内部网邮箱的数据双向备份及服务器的更新更换工作。
3、配合做好了苏邮惠民系统上线及打印机安装工作。作为我局11年重点工程,整个工程项目工期紧、工作量大,我中心积极做好了技术支撑及设备安装调试工作,为整个系统工程的限期上线,超额上线,完美的完成任务打下了坚实的基础。
4、加强电源供给设备的维护。汇接点机房、支局网点UPS不间断每月进行正常放电一次,并定期进行检测保养,以延长其
寿命。雷雨多发季节即将来临,我中心对支局单位的避雷设备进行了严格的检测及维修,保证避雷设备的稳定运行;备用发电机定期清理、更换机油,随时待用,确保停电网点能够及时供电。保证网点正常营业。
5、积极推进邮政金融计算机安全运行年竞赛,为保证我局金融业务在全年内安全、高效、稳定运行,保证我局在全区乃至在全省的金融安全运行竞赛中名列前茅,设备维护中心人员积极主动对我局金融单位设备进行全面的安全检查及设备检修,保证设备在良好的环境下运行,结合金融计算机安全运行年竞赛的的要求,对竞赛考核的重点加大力度。争取在11年储蓄系统安全运行年竞赛活动中取得更好的成绩。
20xx年工作思路:继续紧密在以局党委领导班子周围,积极做好业务支撑与技术支撑工作,保证保质保量的完成上级下达的目标任务,为实现预定目标打上完美的句号。
一、认清形式,转变观念,增强做好邮政技术工作的紧迫感和责任感。首先要做好日常维护工作,提高网络运行质量。努力运用科学的发展观,思考并解决网络运行维护工作为经营发展服务支撑问题,努力打造适应邮政各项业务发展的计算机网络平台。随着邮政信息化水平的提高,对维护工作水平提出更高的要求:要求维护人员更大的责任心,是维护工作上一台阶。
二、突出重点,强化管理。1、加强网络线路的维护。协同电信局定期对汇接点机房、支局网点线路进行检测保养,确保线路的畅通。在雷雨季节来临之前,对支局的避雷设施进行仔细的检查,以保障设备的安全,免遭雷击。汇接点机房核心设备路由器、交换机等硬件有备份,确保不出现重大线路故障。2、加强电源供给设备的维护。汇接点机房、支局网点UPS不间断每月进行正常放电一次,并定期进行检测保养,以延长其寿命。备用发电机定期清理、更换机油,随时待用。3、加强重要系统的维护,特别加大对ATM机维护和管理。
三、积极推进邮政金融计算机安全运行年竞赛,为保证我局金融业务在全年内安全、高效、稳定运行,保证我局在全区乃至在全省的金融安全运行竞赛中名列前茅,设备维护中心人员积极主动对我局金融单位设备进行全面的安全检查及设备检修,保证设备在良好的环境下运行,结合金融计算机安全运行年竞赛的的要求,对竞赛考核的重点加大力度。争取在11年储蓄系统安全运行年竞赛活动中取得更好的成绩。
三、加强技术培训。目前生产系统越来越多,设备也各式各样,给维护也带来一定难度,特别是数据库的应用开发,路由器、交换机的配置,ATM机、邮资机、激光打印机、传真机等设备的维修,我们将加强这方面的学习,也希望局内能计划安排这方面的技术培训。另一方面要加强对支局小维护员的培训和管理,有奖有罚,最终能够做好设备的保养及简单的维护工作,来减少设备的故障率及设备的维修费用。
四、加强网络安全意识,做好网络安全防范工作。定期对办公系统进行升级、打补丁,并在机房安装网络管理软件,监控所有在线微机的运行情况,建立网络防火墙,屏蔽恶意网站,做好网络安全防范工作。
五、加强管理、强化责任,落实相关规章制度,确保邮政设备和邮政综合计算机网管理运行维护工作达标。依照《邮政设备和邮政综合计算机网管理运行维护指标体系》细化项目,分解内容,根据指标体系条目,逐条对照,逐条落实。
六、进一步完善办公自动化系统。办公多元化,信息迅速化,数据集中化,管理方便化,更一步提高工作效率。
关键词:服装网络营销 现状 策略
随着信息技术的普及和网络化技术的飞速发展,人们已经对Internet越来越熟悉,它覆盖了世界的各个角落,在发达国家和地区已经成为现代人们生活方式中的重要组成部分。可以说,网络市场作为以虚拟空间为媒介的交易方式,是交易方式上的又一次革命。对于服装销售而言,网络同时也成为一种全新的服装销售渠道。服装网络营销是指服装企业或服装营销者借助现代通讯技术手段以互联网为媒体,通过网络将潜在交换变为现实交换的服装营销活动。近几年来,网上服装销售量增长迅速,在整个服装销售中所占比例越来越高。与传统的服装销售模式相比较,网上服装销售拥有许多不可比拟的优越性,但同时又面临着各种障碍。
一、服装网络营销现状
(一)国外研究现状
在一些发达国家,品牌服装上网已经成为趋势。在美国,网络营销己成为服装销售不可忽视的模式。据美国在线统计,早在2000年,已经有80%的服装企业不同程度地实行了网络营销,网络营销己成为服装销售不可忽视的模式。美国2000年1-9月网上商品销售额的调查结果中,服装排名第一。据Jupiter Communications估计,2006年美国服装网上销售额占总销售额的6%,网络营销对服装企业的重要性已被广泛认可。各大服装零售商都争相发掘网络这一新领域来维持和巩固已有顾客资源,增加市场份额。互联网除了作为一个获取市场份额的有利工具之外,还将更好地巩固已有的服装品牌、增强客户关系。网络营销从广义上看已是网络环境下服装企业持续性发展不可或缺的营销模式。
(二)国内研究现状
网络营销在我国起步较晚,直到 1996 年才有企业开始进行尝试。截至2000年3月底,我国从事消费类网络营销的网站数量为 1100余家。2000年中国内地网络购物总交易额6290万美元,较1999年增长了250%。尽管一般网民对网络交易的安全性有疑虑,但还是有高达90%的网友打算尝试网上购物活动。2003年,由国家信息化测评中心和互联网周刊共同举行“中国企业信息化500强”调查活动。在此次调查中,雅戈尔、美特斯・邦威、杉杉、好孩子、溢达纺织、永通染织、鹿王羊绒、海澜集团、雪驰集团、法派集团、白马集团等11家中国服装协会会员入选。到 2005 年,我国网上购物大军已达 2000万,占全体网民的 20%,其中半数为网上购物常客。由于购物网民的巨大数量,半年内购物累计金额达到 100 亿人民币。随着网民购买服装、生活家居用品比率(15%)的逐渐升高,B2C市场开始逐渐从以书刊、影像制品及电脑数码产品为主,向一个多样化的消费者市场发展。同时,由于 C2C市场的迅速发展,网上支付的比例迅速攀升。但是,从产业生命周期看,目前中国消费类电子商务仅处于市场的导入期。虽然增长速度很快,但基数很小,还没有形成规模。
二、服装网络营销的优势
(一)购物的便利性
网络营销的市场是广域的、跨时空的。对于消费者而言,网络企业比比皆是,消费者通过搜索引擎、E-mail、RSS、Web2.0等网络工具查找欲购买的服装相关信息,甄别信息,最终确定购买,付款,完成交换。而传统的服装销售一般都有实体店面,正是由于这种限制,消费者想要购买到称心的产品必须要花掉大量的体力和脑力。在生活方式多元化、工作节奏快捷的旋律下,不需要出门就可以购买到称心的服装大大刺激了消费者的购买欲望,使购物更加便利,也大大节约了资源,提高了服装企业的销售效率。
(二)降低成本
服装网络市场不仅可以及时传达最新流行款式,更好地适应市场变化,而且可以省去从生产商到零售商的投资、店铺租赁和购买、店面装修、经营中的管理费用以及广告费用等。采用网络销售,企业的成本支出将会大大减少,相应的人力物力也大幅度减少,服装网上市场的初始投资也只包括建设服装企业网站和产品图片制作等费用。在虚拟的网络市场运行中绕开了层层经销商,省去了销售过程中的大量费用,所以网络市场中的商品自然低于市价,可以让商家和消费者都得到实惠。
(三)提供更多促销手段
在实体市场中,受时间、空间以及人为因素的限制,在同一个服装商店同时举办多个促销活动几乎是不可能的,而在虚拟服装商店可以看到多个促销活动同时进行。消费者可以根据自己的需求来选择需要的销售方案。
三、我国服装网络营销存在的问题
(一)消费者认识不足
目前,我国18-35岁之间的服装消费者中,对服装网络营销持肯定态度的较多。他们选择网购服装的原因大都是因为网购的方便性,也有很多消费者是因为价格便宜,而且款式众多,能够更好满足自己的需求。然而,在众多的服装消费者中,仍然有不少人不会通过网络购买服装或对网购服装持观望态度,原因大部分出于对网络安全的担心以及无法感知服装。另外,传统的服装消费模式在部分消费者的脑海中已根深蒂固,很难在短时间内改变他们的消费方式。
(二)缺乏相关的法律法规
服装网络营销给品牌服装企业带来了美好的发展前景,对品牌的推广和提升也起到了重要的推动作用。但是,存在着一些网店冒充高级品牌进行假冒伪劣产品销售的现象。由于当前服装品牌的法律保护、网络销售的相应法律、法规不健全等因素,导致网络市场不安全,这对服装品牌未来的成长和发展是极为不利的,反面影响是巨大的,也是不可估量的。
(三)安全问题
安全问题是在服装网络营销中最担心的问题。网上购物,消费者的个人信息很有可能被盗取,电子银行账号里的钱就有可能被不法分子通过破解密码盗取,个人资料就有可能被出租或出售给其他机构,消费者很可能面对无数的垃圾邮件和骚扰电话。这严重侵害了消费者的个人隐私,在支付上也存在安全隐患。目前,我国银行网络选用的通信平台不统一,不利于各银行间跨行互联和中央银行金融监管,以及宏观调控政策实施。
(四)售后服务问题
售后服务问题主要体现在消费者退货和换货不方便,购买的服装不能及时收到等方面。 许多消费者不愿意在网上购买服装主要是因为担心购买的服装不合适,而退货或者换货会带来更多麻烦。
四、解决我国服装网络营销问题的对策
(一)改变消费者的消费意识
服装网络营销要坚持诚信为本的原则,服装品牌网店在组织货源、货物发送等环节要严格把好质量关,不能让假冒伪劣、残次品流向消费者。经营者要经常和消费者保持联系,加强彼此的交流,通过电话、短信、邮件以及淘宝旺旺等聊天工具进行跟踪服务。比如询问客户是否在规定时间内收到货物,消费者对所买服装是否满意,消费者还有哪些需求未得到满足等。让消费者感受到销售商家对其的重视,改变消费者的消费意识,提高消费者重复购买的频率。
(二)加强法律法规建设
针对假货现象,相关部门应出台一些法律法规来规范服装品牌的网络销售行为,严厉打击假冒伪劣品牌,维护消费者的合法权益。同时,一些网络销售平台如淘宝、拍拍、卓越等也要实行自我监督。
(三)加强安全技术措施
要想使服装网络营销得以顺利发展,就应该制定一个标准,研究一套切实可行的安全技术。电子签名和认证是在网络上使用较普遍的方法;针对网络系统安全,可以通过装防火墙、杀毒软件等来防止病毒的入侵,在使用过程中注意不随便接收陌生人的邮件、信息等。另外,要建立安全可靠的付款系统。要确保网络消费中的安全,主要指现金交易的安全,这部分技术在国外已经实现,国内有的企业已经开始开通银行网上支付,许多支持网络交易安全的支付方式已经在网上使用并取得较好的效果,网络在线支付体系建设也受到相关部门的重视。
(四)建立完善的销售和售后服务体制
利用网络优势,为顾客建立一个友好简单的操作界面,提供在线的交流平台,指导顾客选购。及时推出新商品的推荐和各种优惠活动,推出便利的付款和退换货服务,如国外一些企业会附送出预先印好的退货邮寄封套,以便顾客邮寄。利用强大的数据库详细记录顾客的各种资料及反馈信息,以此为依据进一步完善自己的销售和售后服务体制。
五、结语
有着巨大优势的网络营销渠道是服装营销渠道发展的必然趋势,是符合新的生产力发展需要的营销渠道模式。随着互联网的发展,各项技术和服务措施的完善,以及电子信用支付体系逐步成熟及社会化配送系统的完善,加上各个部门的通力合作,网上服装销售模式将日趋成熟,服装网络营销必然会成为信息社会重要的销售模式,并将促进服装工业的进一步发展。
参考文献:
[1]郭莲莲. 服装网络营销分析[J]. 新西部, 2010(16).
[2]夏晓红. 浅析我国服装业实施网络营销的现状及对策建议[J]. 四川师范大学学报, 2005(5).
