第一篇:基于網(wǎng)絡(luò)的企業(yè)資源邊界厘定研究論文
摘要:如今企業(yè)面臨著日趨激烈的外部市場環(huán)境,速度是決定企業(yè)成敗的關(guān)鍵因素,企業(yè)通過建立企業(yè)網(wǎng)絡(luò)來提升滿足客戶需求的速度,然而對于網(wǎng)絡(luò)的企業(yè)資源邊界的厘定又成為建立企業(yè)網(wǎng)絡(luò)所要面臨的新問題,通過對企業(yè)邊界的三個性質(zhì)即:動態(tài)性、模糊性、滲透性三個方面的理解,運用網(wǎng)絡(luò)的企業(yè)與市場模型對網(wǎng)絡(luò)的企業(yè)資源邊界的厘定進行了討論。
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò);企業(yè)邊界;市場模型關(guān)于企業(yè)網(wǎng)絡(luò)概念的定義
管理學意義上的企業(yè)網(wǎng)絡(luò)無非是指企業(yè)的利益相關(guān)者集合。而企業(yè)的利益相關(guān)者是組織外部環(huán)境和內(nèi)部環(huán)境中與組織決策和行動有影響的任何相關(guān)者。利益相關(guān)者可能是客戶內(nèi)部的(如雇員),也可能是客戶外部的(如供應(yīng)商或壓力群體)。而本文所討論的企業(yè)網(wǎng)絡(luò)的概念有必要提出來對此予以區(qū)分,在本文所討論的企業(yè)網(wǎng)絡(luò)特指兩個或兩個以上的獨立的經(jīng)濟實體成員之間構(gòu)成的社會、技術(shù)及交換關(guān)系的總和。具體的組織形式有以下四個;
(1)戰(zhàn)略聯(lián)盟。是指由兩個或兩個以上有共同戰(zhàn)略利益和對等經(jīng)營實力的企業(yè)。為達到擁有市場、共同使用資源等戰(zhàn)略目標,通過各種協(xié)議、契約而結(jié)成的優(yōu)勢互補或優(yōu)勢相長、風險共擔、生產(chǎn)要素水平式雙向或多向流動的一種松散的合作模式。
(2)虛擬企業(yè)。是指聯(lián)合多個企業(yè)的才干和能力共同創(chuàng)造某項產(chǎn)品和服務(wù)的過程,就像波音公司在生產(chǎn)777客機時,不僅包括了它的下級承包商,而且也結(jié)合了聯(lián)合航空公司和日本航空公司的才干和經(jīng)驗。
(3)動態(tài)團隊協(xié)作。是指通過在公司內(nèi)部或公司之間進行資源重組來把握和傳遞具體的市場機遇。
(4)知識聯(lián)網(wǎng)。是指通過不斷變化的、互利的方式聯(lián)合各個企業(yè)的知識、經(jīng)驗、技巧和能力。網(wǎng)絡(luò)的企業(yè)邊界的滲透性、模糊性與動態(tài)性
在傳統(tǒng)企業(yè)中,適應(yīng)靜態(tài)環(huán)境的要求,企業(yè)的邊界是明確而固定的;而在動態(tài)環(huán)境中,企業(yè)的邊界不可避免地隨著企業(yè)環(huán)境的變化而變化。而網(wǎng)絡(luò)企業(yè)間的邊界明顯呈現(xiàn)出相互滲透和模糊化的趨勢。
從具體企業(yè)的成長過程來看,當一個企業(yè)剛剛成立之時。規(guī)模不是很大,幾乎所有決策都由企業(yè)的最高層決定,與其他企業(yè)的聯(lián)系幾乎沒有。在傳統(tǒng)的觀點中,價值鏈條上的每個企業(yè)或環(huán)節(jié)都被看作是彼此獨立與分割的單位,他們之間更多的是爭斗而非合作。這導(dǎo)致了價值鏈上的企業(yè)處于相互廝殺的競爭環(huán)境中。企業(yè)為了各自的利益,相互爭斗,鏈條上的每個環(huán)節(jié)之間的邊界確定而牢固,導(dǎo)致的結(jié)果是:信息分享十分艱難,財務(wù)、測量和報酬系統(tǒng)彼此分割,企業(yè)的資源利用率低下。在關(guān)于價值鏈的新觀點中,企業(yè)合作代替了競爭。企業(yè)認識到他們有一個共同的目標——贏得顧客,而達到目標的最好方法是彼此合作。計算機化的信息連結(jié),充分體現(xiàn)了價值鏈各環(huán)節(jié)問的合作與協(xié)調(diào)。這就決定了企業(yè)的邊界具有相當?shù)膭討B(tài)性和模糊性,市場和企業(yè)不是相互對立的,而是相互聯(lián)結(jié),相互滲透的,這種相互聯(lián)結(jié)和相互滲透最終導(dǎo)致了企業(yè)間復(fù)雜易變的網(wǎng)絡(luò)結(jié)構(gòu)和豐富多樣的制度安排也就是說企業(yè)組織與市場之間并不存在明確的邊界,其邊界又是動態(tài)的。網(wǎng)絡(luò)的企業(yè)與市場模型
下面通過網(wǎng)絡(luò)的企業(yè)與市場模型來探討網(wǎng)絡(luò)的企業(yè)邊界的厘定問題。此模型又三部分組成,第一部分為市場。第二部分為各個企業(yè),這里的企業(yè)是指各種價值相關(guān)的企業(yè),它們可以通過自身的力量滿足市場也可以通過一體化過程來滿足市場,此模型中只舉例了A、B、C三個企業(yè)第三部分為存在于企業(yè)和市場之間的各種經(jīng)濟與非經(jīng)濟關(guān)系。如企業(yè)與政府的關(guān)系。企業(yè)必須處理好這些關(guān)系才能在競爭中取得優(yōu)勢。在模型一中,每個企業(yè)作為獨立的個體與市場相接觸。這僅僅適合于市場規(guī)模狹小,消費者需求單一的情況下,企業(yè)通過處理好作用于市場與企業(yè)之間的各種經(jīng)濟與非經(jīng)濟關(guān)系后通過自身單獨的力量就可以滿足市場與消費者。在模型二中,A、B、C三個企業(yè)形成了企業(yè)網(wǎng)絡(luò),不管他們是通過聯(lián)盟的形式還是虛擬企業(yè)或者是一體化,總之是通過某種利益關(guān)系使某種資源共享而緊密的聯(lián)系在一起。
通過建立企業(yè)網(wǎng)絡(luò)來面對市場,使網(wǎng)絡(luò)的企業(yè)整合資源資源達成1+1>2的效果,但其中又會出現(xiàn)機會主義和搭便車現(xiàn)象,這就存在著網(wǎng)絡(luò)的企業(yè)邊界的如何厘定問題。不管是科斯通過交易費用對企業(yè)邊界的厘定還是威廉姆森通過資產(chǎn)專用性對企業(yè)邊界的厘定等。他們都是對單個企業(yè)與市場邊界的問題做出的探討。而對于網(wǎng)絡(luò)的企業(yè)邊界問題-存在一個企業(yè),市場。和政府的博弈問題。
(1)企業(yè)之間、市場的博弈。如圖所示三個企業(yè)A、B、C。假設(shè)三個企業(yè)在價值鏈上是相關(guān)關(guān)系,A企業(yè)可以作為B、c企業(yè)的供應(yīng)者,而B、c作為競爭性的兩家企業(yè)。在A、B、C三個企業(yè)之間形成網(wǎng)絡(luò)關(guān)系,為防止搭便車和機會主義現(xiàn)象。三者進行博弈。三個獨立的個體如果他們之間形成網(wǎng)絡(luò)后所得到的利益達不到一個平衡點。那么就會出現(xiàn)違約,機會主義等現(xiàn)象。關(guān)于這個平衡點有兩層意義,第一層意義是形成企業(yè)網(wǎng)絡(luò)的管理費用和整個網(wǎng)絡(luò)與市場的交易費用之間的平衡;第二層意義是單個企業(yè)得到的利益和形成企業(yè)網(wǎng)絡(luò)之后得到的利益的平衡。
(2)企業(yè)與政府之間的博弈。政府參與企業(yè)的活動可以有兩種不同的態(tài)度,一種是積極的支持,一種是不積極的支持;企業(yè)參與政府的活動也有兩種不同的態(tài)度,一種是積極介人活動,另一種是消極甚至活動。政府和企業(yè)之間如何進行最優(yōu)決策,這又涉及到政府和企業(yè)之間的博弈。
因此,通過對網(wǎng)絡(luò)企業(yè)的動態(tài)性、模糊性、滲透性的探討,并運用網(wǎng)絡(luò)的企業(yè)與市場模型進行分析,對網(wǎng)絡(luò)的企業(yè)邊界的厘定進行了探討。在日趨激烈的外部市場環(huán)境下。企業(yè)為爭強競爭力與它建立互利業(yè)務(wù)關(guān)系的利益關(guān)系方(顧客、員工、供應(yīng)商、分銷商、零售商、競爭者等)結(jié)成了網(wǎng)絡(luò)。企業(yè)的邊界隨之而發(fā)生了變化呈現(xiàn)出動態(tài)性,模糊性以及相互滲透性。對網(wǎng)絡(luò)的企業(yè)邊界的厘定也出現(xiàn)了一些新的變化。必須通過各方面的思考。綜合企業(yè)、市場、和政府各方的利益和意見。把握好網(wǎng)絡(luò)企業(yè)邊界的動態(tài)性、模糊性、滲透性,使企業(yè)更具競爭力。
第二篇:典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
典型中小企業(yè)網(wǎng)絡(luò)邊界安全解決方案
意見征詢稿
Hillstone Networks Inc.2010年9月29日
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
目錄 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析..................................................................................................................6 典型中小企業(yè)網(wǎng)絡(luò)安全威脅..................................................................................................................8 典型中小企業(yè)網(wǎng)絡(luò)安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要進行有效的訪問控制..........................................................................................................10 深度應(yīng)用識別的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要實現(xiàn)實名制管理....................................................................................................................11 需要實現(xiàn)全面URL過濾.............................................................................................................12 需要實現(xiàn)IPSEC VPN..................................................................................................................12 需要實現(xiàn)集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6
安全技術(shù)選擇..............................................................................................................................................................13 技術(shù)選型的思路和要點........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可認證性........................................................................................................................13 再次保障鏈路暢通性....................................................................................................................14 最后是穩(wěn)定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制與審計......................................................................................................16 基于深度應(yīng)用識別的訪問控制.................................................................................................17 深度內(nèi)容安全(UTMPlus?)......................................................................................................17 高性能病毒過濾.............................................................................................................................18 靈活高效的帶寬管理功能..........................................................................................................19 強大的URL地址過濾庫.............................................................................................................21 高性能的應(yīng)用層管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 選擇山石安全網(wǎng)關(guān)的原因....................................................................................................................14 3.2.10 高可靠的冗余備份能力...............................................................................................................22 4 系統(tǒng)部署說明..............................................................................................................................................................23 4.1 4.2 安全網(wǎng)關(guān)部署設(shè)計..................................................................................................................................24 安全網(wǎng)關(guān)部署說明..................................................................................................................................25 / 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5
部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置訪問控制策略........................................................................................................................30 配置帶寬控制策略........................................................................................................................31 上網(wǎng)行為日志管理........................................................................................................................33 實現(xiàn)URL過濾................................................................................................................................35 實現(xiàn)網(wǎng)絡(luò)病毒過濾........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 實現(xiàn)安全移動辦公........................................................................................................................38 方案建設(shè)效果..............................................................................................................................................................38 / 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 前言
1.1 方案目的
本方案的設(shè)計對象為國內(nèi)中小企業(yè),方案中定義的中小型企業(yè)為:人員規(guī)模在2千人左右,在全國各地有分支機構(gòu),有一定的信息化建設(shè)基礎(chǔ),信息網(wǎng)絡(luò)覆蓋了總部和各個分支機構(gòu),業(yè)務(wù)系統(tǒng)有支撐企業(yè)運營的ERP系統(tǒng),支撐企業(yè)員工處理日常事務(wù)的OA系統(tǒng),和對外進行宣傳的企業(yè)網(wǎng)站;業(yè)務(wù)集中在總部,各個分支機構(gòu)可遠程訪問業(yè)務(wù)系統(tǒng)完成相關(guān)的業(yè)務(wù)操作。
根據(jù)當前國內(nèi)企業(yè)的發(fā)展趨勢,中小企業(yè)呈現(xiàn)出快速增長的勢頭,計算機系統(tǒng)為企業(yè)的管理、運營、維護、辦公等提供了高效的運行條件,為企業(yè)經(jīng)營決策提供了有力支撐,為企業(yè)的對外宣傳發(fā)揮了重要的作用,因此企業(yè)對信息化建設(shè)的依賴也越來越強,但同時由于計算機網(wǎng)絡(luò)所普遍面臨的安全威脅,又給企業(yè)的信息化帶來嚴重的制約,互聯(lián)網(wǎng)上的黑客攻擊、蠕蟲病毒傳播、非法滲透等,嚴重威脅著企業(yè)信息系統(tǒng)的正常運行;內(nèi)網(wǎng)的非法破壞、非法授權(quán)訪問、員工故意泄密等事件,也是的企業(yè)的正常運營秩序受到威脅,如何做到既高效又安全,是大多數(shù)中小企業(yè)信息化關(guān)注的重點。
而作為信息安全體系建設(shè),涉及到各個層面的要素,從管理的角度,涉及到組織、制度、流程、監(jiān)督等,從技術(shù)的角度,設(shè)計到物理層、網(wǎng)絡(luò)層、主機層、應(yīng)用層和運維層,本方案的重點是網(wǎng)絡(luò)層的安全建設(shè),即通過加強對基礎(chǔ)網(wǎng)絡(luò)的安全控制和監(jiān)控手段,來提升基礎(chǔ)網(wǎng)絡(luò)的安全性,從而為上層應(yīng)用提供安全的運行環(huán)境,保障中小企業(yè)計算機網(wǎng)絡(luò)的安全性。
1.2 方案概述
本方案涉及的典型中小型企業(yè)的網(wǎng)絡(luò)架構(gòu)為:兩級結(jié)構(gòu),縱向上劃分為總部與分支機構(gòu),總部/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫,分支機構(gòu)只有終端,業(yè)務(wù)訪問則是通過專線鏈路直接訪問到總部;總部及分支機構(gòu)均有互聯(lián)網(wǎng)出口,提供給員工進行上網(wǎng)訪問,同時總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。典型中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)可表示如下:
典型中小型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖
為保障中小企業(yè)網(wǎng)絡(luò)層面的安全防護能力,本方案結(jié)合山石網(wǎng)科集成化安全平臺,在對中小企業(yè)信息網(wǎng)絡(luò)安全域劃分的基礎(chǔ)上,從邊界安全防護的角度,實現(xiàn)以下的安全建設(shè)效果:
? 實現(xiàn)有效的訪問控制:對員工訪問互聯(lián)網(wǎng),以及員工訪問業(yè)務(wù)系統(tǒng)的行為進行有效控制,杜絕非法訪問,禁止非授權(quán)訪問,保障訪問的合法性和合規(guī)性; ? 實現(xiàn)有效的集中安全管理:中小型企業(yè)的管理特點為總部高度集中模式,通過網(wǎng)關(guān)的集中管理系統(tǒng),中小企業(yè)能夠集中監(jiān)控總部及各個分支機構(gòu)員工的網(wǎng)絡(luò)訪問行為,做到可視化的安全。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
? 保障安全健康上網(wǎng):對員工的上網(wǎng)行為進行有效監(jiān)控,禁止員工在上班時間使用P2P、網(wǎng)游、網(wǎng)絡(luò)視頻等過度占用帶寬的應(yīng)用,提高員工辦公效率;對員工訪問的網(wǎng)站進行實時監(jiān)控,限制員工訪問不健康或不安全的網(wǎng)站,從而造成病毒的傳播等;
? ? 保護網(wǎng)站安全:對企業(yè)網(wǎng)站進行有效保護,防范來自互聯(lián)網(wǎng)上黑客的故意滲透和破壞行為; 保護關(guān)鍵業(yè)務(wù)安全性:對重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器實施保護,防范病毒和內(nèi)部的非授權(quán)訪問;
? 實現(xiàn)實名制的安全監(jiān)控:中小型企業(yè)的特點是,主機IP地址不固定,但全公司有統(tǒng)一的用戶管理措施,通常通過AD域的方式來實現(xiàn),因此對于訪問控制和行為審計,可實現(xiàn)基于身份的監(jiān)控,實現(xiàn)所謂的實名制管理;
? 實現(xiàn)總部與分支機構(gòu)的可靠遠程傳輸:典型中小型企業(yè)的鏈路使用模式為,專線支撐重要的業(yè)務(wù)類訪問,互聯(lián)網(wǎng)鏈路平時作為員工上網(wǎng)使用,當專線鏈路故障可作為備份鏈路,為此通過總部與分支機構(gòu)部署網(wǎng)關(guān)的IPSEC VPN功能,可在利用備份鏈路進行遠程通訊中,保障數(shù)據(jù)傳輸?shù)陌踩裕?/p>
? 對移動辦公的安全保障:利用安全網(wǎng)關(guān)的SSL VPN功能,提供給移動辦公人員進行遠程安全傳輸保護,確保數(shù)據(jù)的傳輸安全性; 安全需求分析
2.1 典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析
中小企業(yè)的典型架構(gòu)為兩級部署,從縱向上劃分為總部及分支機構(gòu),總部集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫,分支機構(gòu)只有終端,業(yè)務(wù)訪問則是通過專線鏈路直接訪問到總部;總部及分支/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
機構(gòu)均有互聯(lián)網(wǎng)出口,提供給員工進行上網(wǎng)訪問,同時總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。
雙鏈路給中小企業(yè)應(yīng)用訪問帶來的好處是,業(yè)務(wù)訪問走專線,可保障業(yè)務(wù)的高可靠性;上網(wǎng)走互聯(lián)網(wǎng)鏈路,增加靈活性,即各個分支機構(gòu)可根據(jù)自己的人員規(guī)模,采用合理的價格租用電信寬帶;從網(wǎng)絡(luò)設(shè)計上,中小企業(yè)各個節(jié)點的結(jié)構(gòu)比較簡單,為典型的星形結(jié)構(gòu)設(shè)計,總部因用戶量和服務(wù)器數(shù)量較高,因此核心往往采用三層交換機,通過VLAN來劃分不同的子網(wǎng),并在子網(wǎng)內(nèi)部署終端及各類應(yīng)用服務(wù)器,有些中小型企業(yè)在VLAN的基礎(chǔ)上還配置了ACL,對不同VLAN間的訪問實行控制;各分支機構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)則相對簡單,通過堆疊二層交換連接到不同終端。具體的組網(wǎng)結(jié)構(gòu)可參考下圖:
典型中小企業(yè)組網(wǎng)結(jié)構(gòu)示意圖 / 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
2.2 典型中小企業(yè)網(wǎng)絡(luò)安全威脅
在沒有采取有效的安全防護措施,典型的中小型企業(yè)由于分布廣,并且架構(gòu)在TCP/IP網(wǎng)絡(luò)上,由于主機、網(wǎng)絡(luò)、通信協(xié)議等存在的先天性安全弱點,使得中小型企業(yè)往往面臨很多的安全威脅,其中典型的網(wǎng)絡(luò)安全威脅包括: 【非法和越權(quán)的訪問】
中小型企業(yè)信息網(wǎng)絡(luò)內(nèi)承載了與生產(chǎn)經(jīng)營息息相關(guān)的ERP、OA和網(wǎng)站系統(tǒng),在缺乏訪問控制的前提下很容易受到非法和越權(quán)的訪問;雖然大多數(shù)軟件都實現(xiàn)了身份認證和授權(quán)訪問的功能,但是這種控制只體現(xiàn)在應(yīng)用層,如果遠程通過網(wǎng)絡(luò)層的嗅探或攻擊工具(因為在網(wǎng)絡(luò)層應(yīng)用服務(wù)器與任何一臺企業(yè)網(wǎng)內(nèi)的終端都是相通的),有可能會獲得上層的身份和口令信息,從而對業(yè)務(wù)系統(tǒng)進行非法及越權(quán)訪問,破壞業(yè)務(wù)的正常運行,或非法獲得企業(yè)的商業(yè)秘密,造成泄露; 【惡意代碼傳播】
大多數(shù)的中小企業(yè),都在終端上安裝了防病毒軟件,以有效杜絕病毒在網(wǎng)絡(luò)中的傳播,但是隨著蠕蟲、木馬等網(wǎng)絡(luò)型病毒的出現(xiàn),單純依靠終端層面的查殺病毒顯現(xiàn)出明顯的不足,這種類型病毒的典型特征是,在網(wǎng)絡(luò)中能夠進行大量的掃描,當發(fā)現(xiàn)有弱點的主機后快速進行自我復(fù)制,并通過網(wǎng)絡(luò)傳播過去,這就使得一旦網(wǎng)絡(luò)中某個節(jié)點(可能是臺主機,也可能是服務(wù)器)被感染病毒,該病毒能夠在網(wǎng)絡(luò)中傳遞大量的掃描和嗅探性質(zhì)的數(shù)據(jù)包,對網(wǎng)絡(luò)有限的帶寬資源造成損害。【防范ARP欺騙】
大多數(shù)的中小企業(yè)都遭受過此類攻擊行為,這種行為的典型特點是利用了網(wǎng)絡(luò)的先天性缺陷,即兩臺主機需要通訊時,必須先相互廣播ARP地址,在相互交換IP地址和ARP地址后方可通訊,特別是中小企業(yè)都需要通過邊界的網(wǎng)關(guān)設(shè)備,實現(xiàn)分支機構(gòu)和總部的互訪;ARP欺騙就是某臺主機偽裝成網(wǎng)關(guān),發(fā)布虛假的ARP信息,讓內(nèi)網(wǎng)的主機誤認為該主機就是網(wǎng)關(guān),從而把跨越網(wǎng)段的訪問/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
數(shù)據(jù)包(比如分支機構(gòu)人員訪問互聯(lián)網(wǎng)或總部的業(yè)務(wù)系統(tǒng))都傳遞給該主機,輕微的造成無法正常訪問網(wǎng)絡(luò),嚴重的則將會引起泄密; 【惡意訪問】
對于中小型企業(yè)網(wǎng)而言,各個分支機構(gòu)的廣域網(wǎng)鏈路帶寬是有限的,因此必須有計劃地分配帶寬資源,保障關(guān)鍵業(yè)務(wù)的進行,這就要求無論針對專線所轉(zhuǎn)發(fā)的訪問,還是互聯(lián)網(wǎng)出口鏈路轉(zhuǎn)發(fā)的訪問,都要求對那些過度占用帶寬的行為加以限制,避免因某幾臺終端過度搶占帶寬資源而影響他人對網(wǎng)絡(luò)的使用。
這種惡意訪問行為包括:過度使用P2P進行大文件下載,長時間訪問網(wǎng)游,長時間訪問視頻網(wǎng)站,訪問惡意網(wǎng)站而引發(fā)病毒傳播,直接攻擊網(wǎng)絡(luò)等行為。【身份與行為的脫節(jié)】
常見的訪問控制措施,還是QOS措施,其控制依據(jù)都是IP地址,而眾所周知IP地址是很容易偽造的,即使大多數(shù)的防火墻都支持IP+MAC地址綁定,MAC地址也是能被偽造的,這樣一方面造成策略的制定非常麻煩,因為中小型企業(yè)內(nèi)員工的身份是分級的,每個員工因崗位不同需要訪問的目標是不同的,需要提供的帶寬保障也是不同的,這就需要在了解每個人的IP地址后來制定策略;另一方面容易形成控制缺陷,即低級別員工偽裝成高級別員工的地址,從而可占用更多的資源。
身份與行為的脫節(jié)的影響還在于日志記錄上,由于日志的依據(jù)也是根據(jù)IP地址,這樣對發(fā)生違規(guī)事件后的追查造成極大的障礙,甚至無法追查。【拒絕服務(wù)攻擊】
大多數(shù)中小型企業(yè)都建有自己的網(wǎng)站,進行對外宣傳,是企業(yè)對外的窗口,但是由于該平臺面向互聯(lián)網(wǎng)開放,很容易受到黑客的攻擊,其中最典型的就是拒絕服務(wù)攻擊,該行為也利用了現(xiàn)有TCP/IP網(wǎng)絡(luò)傳輸協(xié)議的先天性缺陷,大量發(fā)送請求連接的信息,而不發(fā)送確認信息,使得遭受攻擊/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 的主機或網(wǎng)絡(luò)設(shè)備長時間處于等待狀態(tài),導(dǎo)致緩存被占滿,而無法響應(yīng)正常的訪問請求,表現(xiàn)為就是拒絕服務(wù)。這種攻擊常常針對企業(yè)的網(wǎng)站,使得網(wǎng)站無法被正常訪問,破壞企業(yè)形象; 【不安全的遠程訪問】
對于中小型企業(yè),利用互聯(lián)網(wǎng)平臺,作為專線的備份鏈路,實現(xiàn)分支機構(gòu)與總部的連接,是很一種提高系統(tǒng)可靠性,并充分利用現(xiàn)有網(wǎng)絡(luò)資源的極好辦法;另外遠程移動辦公的人員也需要通過互聯(lián)網(wǎng)來訪問企業(yè)網(wǎng)的信息平臺,進行相關(guān)的業(yè)務(wù)處理;而互聯(lián)網(wǎng)的開放性使得此類訪問往往面臨很多的安全威脅,最為典型的就是攻擊者嗅探數(shù)據(jù)包,或篡改數(shù)據(jù)包,破壞正常的業(yè)務(wù)訪問,或者泄露企業(yè)的商業(yè)秘密,使企業(yè)遭受到嚴重的損失。【缺乏集中監(jiān)控措施】
典型中小型企業(yè)的特點是,集中管理,分布監(jiān)控,但是在安全方面目前尚缺乏集中的監(jiān)控手段,對于各分支機構(gòu)員工的上網(wǎng)行為,訪問業(yè)務(wù)的行為,以及總部重要資源的受訪問狀態(tài),都沒有集中的監(jiān)控和管理手段,一旦發(fā)生安全事件,將很難快速進行察覺,也很難有效做出反應(yīng),事后也很難取證,使得企業(yè)的安全管理無法真正落地。
2.3 典型中小企業(yè)網(wǎng)絡(luò)安全需求
針對中小企業(yè)在安全建設(shè)及運維管理中所暴露出的問題,山石網(wǎng)科認為,應(yīng)當進行有針對性的設(shè)計和建設(shè),最大化降低威脅,并實現(xiàn)有效的管理。
2.3.1 需要進行有效的訪問控制
網(wǎng)絡(luò)安全建設(shè)的首要因素就是訪問控制,控制的核心是訪問行為,應(yīng)實現(xiàn)對非許可訪問的杜絕,限制員工對網(wǎng)絡(luò)資源的使用方式。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
中小企業(yè)的業(yè)務(wù)多樣化,必然造成訪問行為的多樣化,因此如何有效鑒別正常的訪問,和非法的訪問是非常必要的,特別是針對中小企業(yè)員工對互聯(lián)網(wǎng)的訪問行為,應(yīng)當采取有效的控制措施,杜絕過度占用帶寬的訪問行為,保障正常的業(yè)務(wù)和上網(wǎng)訪問。
對于中小企業(yè)重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫資源,應(yīng)當有效鑒別出合法的業(yè)務(wù)訪問,和可能的攻擊訪問行為,并分別采取必要的安全控制手段,保障關(guān)鍵的業(yè)務(wù)訪問。
2.3.2 深度應(yīng)用識別的需求
引入的安全控制系統(tǒng),應(yīng)當能夠支持深度應(yīng)用識別功能,特別是對使用動態(tài)端口的P2P和IM應(yīng)用,能夠做到精準鑒別,并以此為基礎(chǔ)實現(xiàn)基于應(yīng)用的訪問控制和QOS,提升控制和限制的精度和力度。
對于分支機構(gòu)外來用戶,在利用分支機構(gòu)互聯(lián)網(wǎng)出口進行訪問時,基于身份識別做到差異化的控制,提升系統(tǒng)總體的維護效率。
2.3.3 需要有效防范病毒
在訪問控制的技術(shù)上,需要在網(wǎng)絡(luò)邊界進行病毒過濾,防范病毒的傳播;在互聯(lián)網(wǎng)出口上要能夠有效檢測出掛馬網(wǎng)站,對訪問此類網(wǎng)站而造成的病毒下發(fā),能夠快速檢測并響應(yīng);同時也能夠防范來自其他節(jié)點的病毒傳播。
2.3.4 需要實現(xiàn)實名制管理
應(yīng)對依托IP地址進行控制,QOS和日志的缺陷,應(yīng)實現(xiàn)基于用戶身份的訪問控制、QOS、日志記錄,應(yīng)能夠與中小企業(yè)現(xiàn)有的安全準入系統(tǒng)整合起來,當員工接入辦公網(wǎng)并對互聯(lián)網(wǎng)訪問時,/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
先進行準入驗證,驗證通過后將驗證信息PUSH給網(wǎng)關(guān),網(wǎng)關(guān)拿到此信息,在用戶發(fā)出上網(wǎng)請求時,根據(jù)IP地址來索引相關(guān)的認證信息,確定其角色,最后再根據(jù)角色來執(zhí)行訪問控制和帶寬管理。
在日志記錄中,也能夠根據(jù)確定的身份來記錄,使得日志可以方便地追溯到具體的員工。
2.3.5 需要實現(xiàn)全面URL過濾
應(yīng)引入專業(yè)性的URL地址庫,并能夠分類和及時更新,保障各個分支機構(gòu)在執(zhí)行URL過濾策略是,能夠保持一致和同步。
2.3.6 需要實現(xiàn)IPSEC VPN 利用中小企業(yè)現(xiàn)有的互聯(lián)網(wǎng)出口,作為專線的備份鏈路,在不增加鏈路投資的前提下,使分支機構(gòu)和總公司的通信得到更高的可靠性保障。
但是由于互聯(lián)網(wǎng)平臺的開放性,如果將原本在專線上運行的ERP、OA、視頻會議等應(yīng)用切換到互聯(lián)網(wǎng)鏈路上時,容易遭到竊聽和篡改的風險,為此需要設(shè)備提供IPSEC VPN功能,對傳輸數(shù)據(jù)進行加密和完整性保護,保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>
2.3.7 需要實現(xiàn)集中化的管理
集中化的管理首先要求日志信息的集中分析,各個分支機構(gòu)既能夠在本地查看詳細的訪問日志,總部也能夠統(tǒng)一查看各個分支機構(gòu)的訪問日志,從而實現(xiàn)總部對分支機構(gòu)的有效監(jiān)管。
總部能夠統(tǒng)一對各個分支機構(gòu)的安全設(shè)備進行全局性配置管理,各個分支機構(gòu)也能夠在不違背全局性策略的前提下,配置符合本節(jié)點特點的個性化策略。
由于各個廠商的技術(shù)壁壘,不同產(chǎn)品的功能差異,因此要實現(xiàn)集中化管理的前提就是統(tǒng)一品牌,/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
統(tǒng)一設(shè)備,而從投資保護和便于維護的角度,中小企業(yè)應(yīng)當選擇具有多種功能的安全網(wǎng)關(guān)設(shè)備。安全技術(shù)選擇
3.1 技術(shù)選型的思路和要點
現(xiàn)有的安全設(shè)備無法解決當前切實的安全問題,也無法進一步擴展以適應(yīng)當前管理的需要,因此必須進行改造,統(tǒng)一引入新的設(shè)備,來更好地滿足運行維護的要求,在引入新設(shè)備的時候,必須遵循下屬的原則和思路。
3.1.1 首要保障可管理性
網(wǎng)絡(luò)安全設(shè)備應(yīng)當能夠被集中監(jiān)控,由于安全網(wǎng)關(guān)部署在中小企業(yè)辦公網(wǎng)的重要出口上,詳細記錄了各節(jié)點的上網(wǎng)訪問行為,因此對全網(wǎng)監(jiān)控有著非常重要的意義,因此系統(tǒng)必須能夠被統(tǒng)一管理起來,實現(xiàn)日志行為,特別是各種防護手段形成的記錄進行集中的記錄與分析。
此外,策略也需要分級集中下發(fā),總部能夠統(tǒng)一下發(fā)集中性的策略,各分支機構(gòu)可根據(jù)自身的特點,在不違背全局性策略的前提下,進行靈活定制。
3.1.2 其次提供可認證性
設(shè)備必須能夠?qū)崿F(xiàn)基于身份和角色的管理,設(shè)備無論在進行訪問控制,還是在QOS,還是在日志記錄過程中,依據(jù)必須是真實的訪問者身份,做到精細化管理,可追溯性記錄。
對于中小企業(yè)而言,設(shè)備必須能夠與中小企業(yè)的AD域管理整合,通過AD域來鑒別用戶的身份和角色信息,并根據(jù)角色執(zhí)行訪問控制和QOS,根據(jù)身份來記錄上網(wǎng)行為日志。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
3.1.3 再次保障鏈路暢通性
對于多出口鏈路的分支機構(gòu),引入的安全設(shè)備應(yīng)當支持多鏈路負載均衡,正常狀態(tài)下設(shè)備能夠根據(jù)出口鏈路的繁忙狀態(tài)自動分配負載,使得兩條鏈路都能夠得到充分利用;在某條鏈路異常的狀態(tài)下,能夠自動切換負載,保障員工的正常上網(wǎng)。
目前中小企業(yè)利用互聯(lián)網(wǎng)的主要應(yīng)用就是上網(wǎng)瀏覽,因此系統(tǒng)應(yīng)提供強大的URL地址過濾功能,對員工訪問非法網(wǎng)站能夠做到有效封堵,這就要求設(shè)備應(yīng)提供強大的URL地址庫,并能夠自動升級,降低管理難度,提高控制精度。
中小企業(yè)的鏈路是有限的,因此應(yīng)有效封堵P2P、IM等過度占用帶寬的業(yè)務(wù)訪問,保障鏈路的有效性。
3.1.4 最后是穩(wěn)定性
選擇的產(chǎn)品必須可靠穩(wěn)定,選擇產(chǎn)品形成的方案應(yīng)盡量避免單點故障,傳統(tǒng)的網(wǎng)絡(luò)安全方案總是需要一堆的產(chǎn)品去解決不同的問題,但這些產(chǎn)品接入到網(wǎng)絡(luò)中,任何一臺設(shè)備故障都會造成全網(wǎng)通信的故障,因此采取集成化的安全產(chǎn)品應(yīng)當是必然選擇。
另外,安全產(chǎn)品必須有多種穩(wěn)定性的考慮,既要有整機穩(wěn)定性措施,也要有接口穩(wěn)定性措施,還要有系統(tǒng)穩(wěn)定性措施,產(chǎn)品能夠充分應(yīng)對各種突發(fā)的情況,并保持系統(tǒng)整體工作的穩(wěn)定性。
3.2 選擇山石安全網(wǎng)關(guān)的原因
基于中小企業(yè)的產(chǎn)品選型原則,方案建議采用的山石網(wǎng)科安全網(wǎng)關(guān),在多核Plus G2硬件架構(gòu)的基礎(chǔ)上,采用全并行架構(gòu),實現(xiàn)更高的執(zhí)行效率。并綜合實現(xiàn)了多個安全功能,完全能夠滿足中小企業(yè)安全產(chǎn)品的選型要求。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
山石網(wǎng)科安全網(wǎng)關(guān)在技術(shù)上具有如下的安全技術(shù)優(yōu)勢,包括:
3.2.1 安全可靠的集中化管理
山石網(wǎng)科安全管理中心采用了一種全新的方法來實現(xiàn)設(shè)備安全管理,通過提供集中的端到端生命周期管理來實現(xiàn)精細的設(shè)備配置、網(wǎng)絡(luò)設(shè)置、VPN配置和安全策略控制。山石網(wǎng)科安全管理中心可以清楚地分配角色和職責,從而使設(shè)備技術(shù)人員、網(wǎng)絡(luò)管理員和安全管理員通過相互協(xié)作來提高網(wǎng)絡(luò)管理效率,減少開銷并降低運營成本。
利用山石網(wǎng)科安全管理中心,可以為特定用戶分配適當?shù)墓芾斫尤霗?quán)限(從只讀到全面的編輯權(quán)限)來完成多種工作。可以允許或限制用戶接入信息,從而使用戶可以作出與他們的角色相適應(yīng)的決策。
山石網(wǎng)科安全管理中心的一個關(guān)鍵設(shè)計理念是降低安全設(shè)備管理的復(fù)雜性,同時保證足夠的靈活性來滿足每個用戶的不同需求。為了實現(xiàn)這一目標,山石網(wǎng)科安全管理中心提供了一個綜合管理界面以便從一個集中位置上控制所有設(shè)備參數(shù)。管理員只需要點擊幾下鼠標就可以配置設(shè)備、創(chuàng)建安全策略或管理軟件升級。同時,只要是能夠通過山石網(wǎng)科安全管理中心進行配置的設(shè)備都可以通過CLI接入。
山石網(wǎng)科安全管理中心還帶有一種高性能日志存儲機制,使IT部門可以收集并監(jiān)控關(guān)鍵方面的詳細信息,如網(wǎng)絡(luò)流量、設(shè)備狀態(tài)和安全事件等。利用內(nèi)置的報告功能,管理員還可以迅速生成報告來進行調(diào)查研究或查看是否符合要求。
山石網(wǎng)科安全管理中心采用了一種3層的體系結(jié)構(gòu),該結(jié)構(gòu)通過一條基于TCP的安全通信信道-安全服務(wù)器協(xié)議(SSP)相連接。SSP可以通過AES加密和SHA1認證來提供受到有效保護的端到端的安全通信功能。利用經(jīng)過認證的加密TCP通信鏈路,就不需要在不同分層之間建立VPN隧/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 道,從而大大提高了性能和靈活性。
山石網(wǎng)科安全管理中心提供統(tǒng)一管理功能,在一個統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報告功能,同時還使網(wǎng)絡(luò)管理中心的所有工作人員可以協(xié)同工作。山石網(wǎng)科網(wǎng)絡(luò)公司的集中管理方法使用戶可以在安全性和接入便利性之間達成平衡,對于安全網(wǎng)關(guān)這類安全設(shè)備的大規(guī)模部署非常重要。
3.2.2 基于角色的安全控制與審計
針對傳統(tǒng)基于IP的訪問控制和資源控制缺陷,山石網(wǎng)科采用RBNS(基于身份和角色的管理)技術(shù)讓網(wǎng)絡(luò)配置更加直觀和精細化,不同基于角色的管理模式主要包含基于“人”的訪問控制、基于“人”的網(wǎng)絡(luò)資源(服務(wù))的分配、基于”人“的日志審計三大方面。基于角色的管理模式可以通過對訪問者身份審核和確認,確定訪問者的訪問權(quán)限,分配相應(yīng)的網(wǎng)絡(luò)資源。在技術(shù)上可避免IP盜用或者PC終端被盜用引發(fā)的數(shù)據(jù)泄露等問題。
另外,在采用了RBNS技術(shù)后,使得審計記錄可以直接反追溯到真實的訪問者,更便于安全事件的定位。
在本方案中,利用山石網(wǎng)科安全網(wǎng)關(guān)的身份認證功能,可結(jié)合AD域認證等技術(shù),提供集成化的認證+控制+深度檢測+行為審計的解決方案,當訪問者需跨網(wǎng)關(guān)訪問時,網(wǎng)關(guān)會根據(jù)確認的訪問者身份,自動調(diào)用郵件系統(tǒng)內(nèi)的郵件組信息,確定訪問者角色,隨后根據(jù)角色執(zhí)行訪問控制,限制其訪問范圍,然后再對訪問數(shù)據(jù)包進行深度檢測,根據(jù)角色執(zhí)行差異化的QOS,并在發(fā)現(xiàn)非法的訪問,或者存在可疑行為的訪問時,記錄到日志提供給系統(tǒng)員進行事后的深度分析。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
3.2.3 基于深度應(yīng)用識別的訪問控制
中小型企業(yè)的主要業(yè)務(wù)應(yīng)用系統(tǒng)都建立在HTTP/HTTPS等應(yīng)用層協(xié)議之上,新的安全威脅也隨之嵌入到應(yīng)用之中,而傳統(tǒng)基于狀態(tài)檢測的防火墻只能依據(jù)端口或協(xié)議去設(shè)置安全策略,根本無法識別應(yīng)用,更談不上安全防護。
Hillstone山石網(wǎng)科新一代防火墻可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制,而不依賴于端口或協(xié)議,即使加密過的數(shù)據(jù)流也能應(yīng)付自如。
StoneOS?識別的應(yīng)用多達幾百種,而且跟隨著應(yīng)用的發(fā)展每天都在增加;其中包括P2P、IM(即時通訊)、游戲、辦公軟件以及基于SIP、H.323、HTTP等協(xié)議的應(yīng)用。同時,應(yīng)用特征庫通過網(wǎng)絡(luò)服務(wù)可以實時更新,無須等待新版本軟件發(fā)布。
3.2.4 深度內(nèi)容安全(UTMPlus?)
山石網(wǎng)科安全網(wǎng)關(guān)可選UTMPlus?軟件包提供病毒過濾,入侵防御,內(nèi)容過濾,上網(wǎng)行為管理和應(yīng)用流量整形等功能,可以防范病毒,間諜軟件,蠕蟲,木馬等網(wǎng)絡(luò)的攻擊。關(guān)鍵字過濾和基于超過2000萬域名的Web頁面分類數(shù)據(jù)庫可以幫助管理員輕松設(shè)置工作時間禁止訪問的網(wǎng)頁,提高工作效率和控制對不良網(wǎng)站的訪問。病毒庫,攻擊庫,URL庫可以通過網(wǎng)絡(luò)服務(wù)實時下載,確保對新爆發(fā)的病毒、攻擊、新的URL做到及時響應(yīng)。
由于中小企業(yè)包含了多個分支機構(gòu),一旦因某個節(jié)點遭到惡意代碼的傳播,病毒將會很快在企業(yè)的網(wǎng)絡(luò)內(nèi)傳播,造成全網(wǎng)故障。在使用了山石網(wǎng)科安全網(wǎng)關(guān)后,并在全網(wǎng)各個節(jié)點的邊界部署后,將在邏輯上形成不同的隔離區(qū),一旦某個節(jié)點遭遇到病毒攻擊/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
后,不會影響到其他節(jié)點。并且山石支持硬件病毒過濾技術(shù),在邊界進行病毒查殺的時候,對性能不會造成過多影響。
3.2.5 高性能病毒過濾
對于中小企業(yè)而言,在邊界進行病毒的過濾與查殺,是有效防范蠕蟲、木馬等網(wǎng)絡(luò)型病毒的有效工具,但是傳統(tǒng)病毒過濾技術(shù)由于需要在應(yīng)用層解析數(shù)據(jù)包,因此效率很低,導(dǎo)致開啟病毒過濾后對全網(wǎng)的通信速度形成很大影響。
山石安全網(wǎng)關(guān)在多核的技術(shù)上,對病毒過濾采取了全新的流掃描技術(shù),也就是所謂的邊檢測邊傳輸技術(shù),從而大大提升了病毒檢測與過濾的效率。
? 流掃描策略
傳統(tǒng)的病毒過濾掃描是基于文件的。這種方法是基于主機的病毒過濾解決方案實現(xiàn)的,并且舊一代病毒過濾解決方案也繼承這一方法。使用這種方法,首先需要下載整個文件,然后開始掃描,最后再將文件發(fā)送出去。從發(fā)送者發(fā)送出文件到接收者完成文件接收,會經(jīng)歷長時間延遲。對于大文件,用戶應(yīng)用程序可能出現(xiàn)超時。
文件接受掃描文件發(fā)送延遲
山石網(wǎng)科掃描引擎是基于流的,病毒過濾掃描引擎在數(shù)據(jù)包流到達時進行檢查,如果沒有檢查到病毒,則發(fā)送數(shù)據(jù)包流。由此,用戶將看到明顯的延遲改善,并且他們的應(yīng)用程序也將更快響應(yīng)。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
文件接收掃描文件發(fā)送延遲
流掃描技術(shù)僅需要緩存有限數(shù)量的數(shù)據(jù)包。它也不像文件掃描那樣受文件大小的限制。低資源利用率也意味著更多文件流的同時掃描。出于對高性能、低延遲、高可升級性的首要考慮,流掃描技術(shù)適合網(wǎng)關(guān)病毒過濾解決方案。
? 基于策略的病毒過濾功能
山石網(wǎng)科病毒過濾功能與策略引擎完全集成。管理員能夠完全控制以下各方面:哪些域的流量需要進行病毒過濾掃描,哪些用戶或者用戶組進行掃描,以及哪些服務(wù)器和應(yīng)用被保護。
3.2.6 靈活高效的帶寬管理功能
山石網(wǎng)科產(chǎn)品提供專有的智能應(yīng)用識別(Intelligent Application Identification)功能,稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進行分類,甚至包括對加密的P2P應(yīng)用(Bit Torrent、迅雷、Emule、Edonkey等)和即時消息流量進行分類。山石網(wǎng)科QoS首先根據(jù)流量的應(yīng)用類型對流量進行識別和標記。然后,根據(jù)應(yīng)用識別和標記結(jié)果對流量帶寬進行控制并且區(qū)分優(yōu)先級。一個典型應(yīng)用實例是:用戶可以為關(guān)鍵網(wǎng)頁瀏覽設(shè)置高優(yōu)先級保證它們的帶寬使用;對于P2P下載流量,用戶可以為它們設(shè)置最低優(yōu)先級并且限制它們的最大帶寬使用量。
將山石網(wǎng)科的角色鑒別以及IP QoS結(jié)合使用,用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級。山石網(wǎng)科設(shè)備最多可支持20,000個不同IP地址及用戶角色的流量優(yōu)先級區(qū)分和帶寬/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
控制(入方向和出方向),這就相當于系統(tǒng)中可容納最多40,000的QoS隊列。
結(jié)合應(yīng)用QoS,山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個用戶控制應(yīng)用流量并對該用戶的應(yīng)用流量區(qū)分優(yōu)先級。例如,對于同一個IP地址產(chǎn)生的不同流量,用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級。在IP QoS里面使用應(yīng)用QoS,甚至可以對每個IP地址進行流量控制的同時,還能夠?qū)υ揑P地址內(nèi)部應(yīng)用類型的流量進行有效管控。
除了高峰時間,用戶經(jīng)常會發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。山石網(wǎng)科的彈性QoS功能(FlexQoS)能夠?qū)崟r探測網(wǎng)絡(luò)的出入帶寬利用率,進而動態(tài)調(diào)整特定用戶的帶寬。彈性QoS(FlexQoS)既能為用戶充分利用帶寬資源提供極大的靈活性,又能保證高峰時段的網(wǎng)絡(luò)使用性能。
總之,通過采取山石網(wǎng)科產(chǎn)品所集成的帶寬管理功能,可以在用戶網(wǎng)絡(luò)中做到關(guān)鍵應(yīng)用優(yōu)先,領(lǐng)導(dǎo)信息流量優(yōu)先,非業(yè)務(wù)應(yīng)用限速或禁用,VoIP、視頻應(yīng)用保證時延低、無抖動、音質(zhì)清晰、圖片清楚,這些有效管理帶寬資源和區(qū)分網(wǎng)絡(luò)應(yīng)用的效果都能給用戶帶來更高效、更靈活、更合理的帶寬應(yīng)用,使得昂貴的帶寬能獲取最高的效益和高附加值應(yīng)用。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
3.2.7 強大的URL地址過濾庫
山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習慣量身定制了一套完整的URL地址庫,具有超過2000萬條域名的分類Web頁面庫,并實時保持同步更新,當中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動、不安全的網(wǎng)站時,系統(tǒng)會根據(jù)不同的策略,進行報警、日志、阻斷等動作,實現(xiàn)健康上網(wǎng);
全面的URL地址庫也改變了現(xiàn)在各個分支機構(gòu)自行手動配置URL地址的局限性,當時設(shè)備被部署到網(wǎng)絡(luò)中后,各個設(shè)備均采用統(tǒng)一標準的過濾地址庫,在進行URL訪問日志中也可以保持日志內(nèi)容的一致性。
3.2.8 高性能的應(yīng)用層管控能力
安全和速度始終是兩個對立面的事物。追求更高的網(wǎng)絡(luò)安全是需要以犧牲網(wǎng)絡(luò)通訊速度為代價的,而追求更高的網(wǎng)絡(luò)通訊速度則需要降低網(wǎng)絡(luò)安全標準。在目前依賴于網(wǎng)絡(luò)應(yīng)用的時代,能夠做到應(yīng)用層的安全檢測以及安全防護功能是所有安全廠商的目標。由于應(yīng)用層的檢測需要進行深度的數(shù)據(jù)包解析,而使用傳統(tǒng)網(wǎng)絡(luò)平臺所帶來的網(wǎng)絡(luò)延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺去實現(xiàn)。
山石網(wǎng)科安全網(wǎng)關(guān)具有豐富的應(yīng)用層管控能力,包括URL地址過濾功能、網(wǎng)頁內(nèi)容關(guān)鍵字過濾功能、網(wǎng)頁敏感文件過濾功能、網(wǎng)頁控件過濾功能、協(xié)議命令控制功能等,能夠通過簡單的配置來實現(xiàn)敏感的URL地址、敏感關(guān)鍵字以及敏感文件等內(nèi)容過濾,防止?jié)撛诘陌踩L險。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
此外,山石網(wǎng)科安全網(wǎng)關(guān)均采用多核系統(tǒng)架構(gòu),在性能上具有很高的處理能力,能夠?qū)崿F(xiàn)大并發(fā)處理。
3.2.9 高效IPSEC VPN 所有的山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備都支持對IPSec的硬件加速。每一個CPU核都有一個內(nèi)嵌的IPSec處理引擎,這保證了在CPU核數(shù)增加時,IPSec的性能得到相應(yīng)提高,不會成為瓶頸。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備的IPSec吞吐率最高可以達到8Gbps,達到和防火墻一樣的性能和設(shè)備極限。
山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備支持標準IPSec協(xié)議,能夠保障與第三方VPN進行通訊,建立隧道并實現(xiàn)安全的數(shù)據(jù)傳輸。
3.2.10 高可靠的冗余備份能力
山石網(wǎng)科安全網(wǎng)關(guān)能夠支持設(shè)備級別的HA解決方案,如A-P和A-A架構(gòu)。山石網(wǎng)科的HA解決方案能夠為網(wǎng)絡(luò)層提供會話級別的狀態(tài)同步機制,保證在設(shè)備切換過程中數(shù)據(jù)傳輸?shù)倪B續(xù)性及網(wǎng)絡(luò)的持久暢通,甚至在設(shè)備進行主備切換的時候都不會中斷會話,為企業(yè)提供真正意義的網(wǎng)絡(luò)冗余/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
解決方案。山石網(wǎng)科安全甚至還能夠提供VPN傳輸?shù)臓顟B(tài)同步,并包括SA狀態(tài)的同步。系統(tǒng)部署說明
對于中小企業(yè),在設(shè)計邊界安全防護時,首要進行的就是安全區(qū)域的劃分,劃分安全域是信息安全建設(shè)常采用的方法,其好處在與可以將原本比較龐大的網(wǎng)絡(luò)劃分為多個單元,根據(jù)不同單元的資產(chǎn)特點、支撐業(yè)務(wù)類型分別進行安全防護系統(tǒng)的設(shè)計,保障了安全建設(shè)的針對性和差異性。
安全域的定義是同一安全域內(nèi)的系統(tǒng)有相同安全保護需求、并相互信任。但以此作為安全區(qū)域劃分原則,可操作性不強,在實際劃分過程中有很多困難。在本方案中,建議按照資產(chǎn)重要性以及支撐的業(yè)務(wù)類型,縱向上可劃分為總部及分支機構(gòu)域,從資產(chǎn)角度可根據(jù)業(yè)務(wù)類型的不同,將總部/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
信息網(wǎng)絡(luò)劃分為ERP域、OA域、網(wǎng)站域、終端域和運維域等,而分支機構(gòu)的域相對簡單,由于只有終端,因此不再細分。
4.1 安全網(wǎng)關(guān)部署設(shè)計
劃分安全域后,可在所有安全域的邊界,特別是重要的業(yè)務(wù)系統(tǒng)安全域的邊界配置安全網(wǎng)關(guān)即可,配置后形成的邊界安全部署方案可參考下圖:
部署要點: ? 通過總部配置的山石網(wǎng)科安全管理中心,集中監(jiān)管各個分支機構(gòu)邊界部署的山石網(wǎng)科安全網(wǎng)關(guān),對日志進行集中管理;同時各個分支機構(gòu)本地也部署管理終端,在本地對網(wǎng)關(guān)進行監(jiān)管; / 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
? 縱向鏈路的出口分別部署安全網(wǎng)關(guān),實現(xiàn)對中小企業(yè)網(wǎng)的縱向隔離,對分支機構(gòu)的上訪行為進行嚴格控制,杜絕非法或非授權(quán)的訪問;
? 安全網(wǎng)關(guān)啟用源地址轉(zhuǎn)換策略,在終端上網(wǎng)過程中進行轉(zhuǎn)換,保障內(nèi)網(wǎng)用戶上網(wǎng)的要求,同時啟用相應(yīng)的日志,對上網(wǎng)行為進行有效記錄;
? 安全網(wǎng)關(guān)在分支機構(gòu)上網(wǎng)出口的鏈路上,運用深度應(yīng)用識別技術(shù),有效鑒別出哪些是合法的HTTP應(yīng)用,哪些是過度占用帶寬的P2P和IM應(yīng)用,對P2P和IM通過嚴格的帶寬限制功能能進行及限制,并對HTTP執(zhí)行保障帶寬策略,保障員工正常上網(wǎng)行為;
? 安全網(wǎng)關(guān)與中小企業(yè)的AD域認證整合,在確認訪問者身份的基礎(chǔ)上,進行實名制的訪問控制,QOS控制,以及上網(wǎng)行為審計;
? 安全網(wǎng)關(guān)內(nèi)置全面的URL地址庫,用以對員工的訪問目標地址進行分類,對于非法網(wǎng)站進行封堵,且URL地址庫能夠自動升級,保障了該功能的持續(xù)性和完整性;
? 安全網(wǎng)關(guān)運用IPSEC VPN技術(shù),實現(xiàn)與總部的加密傳輸,作為現(xiàn)有專線的備份鏈路,在不增加投資的前提下提升系統(tǒng)的可靠性。
? 安全網(wǎng)關(guān)運用SSL VPN技術(shù),對移動辦公用戶配發(fā)USB KEY,當其需要遠程訪問企業(yè)網(wǎng)時,利用USB KEY與總部互聯(lián)網(wǎng)出口的安全網(wǎng)關(guān)建立VPN加密隧道,從而實現(xiàn)了安全可靠的遠程訪問。
4.2 安全網(wǎng)關(guān)部署說明
4.2.1 部署集中安全管理中心
通過在總部部署山石網(wǎng)科安全管理中心,然后對分布在各個分支機構(gòu)邊界的安全網(wǎng)關(guān)進行配置,/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
使網(wǎng)關(guān)接受管理中心的集中管理來實現(xiàn),并執(zhí)行如下的集中監(jiān)管。
設(shè)備管理
設(shè)備管理包括域管理和設(shè)備組管理,域和設(shè)備組都是用來組織被管理設(shè)備的邏輯組,域包含設(shè)備組。通過域的使用,可以實現(xiàn)設(shè)備的區(qū)域化管理;而通過設(shè)備組的使用,可以進一步將域中的設(shè)備進行細化分組管理。一臺設(shè)備可以同時屬于多個域或者設(shè)備組。只有超級管理員可以執(zhí)行域的操作以及添加設(shè)備和徹底刪除設(shè)備,普通管理員可以執(zhí)行設(shè)備組的操作,將設(shè)備從設(shè)備組中刪除。
設(shè)備基本信息監(jiān)管
顯示設(shè)備的基本信息,例如設(shè)備主機名稱、設(shè)備序列號、管理IP、設(shè)備運行時間、接口狀態(tài)以及AV相關(guān)信息等。
通過客戶端可查看的設(shè)備屬性信息包括:設(shè)備基本信息以及設(shè)備實時統(tǒng)計信息,包括實時資源使用狀態(tài)、會話數(shù)、總流量、VPN隧道數(shù)、攻擊數(shù)以及病毒數(shù)。系統(tǒng)通過曲線圖顯示以上實時信息,使用戶能夠直觀的了解當前設(shè)備的各種狀態(tài)。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
日志瀏覽
山石網(wǎng)科安全管理中心接收設(shè)備發(fā)送的多種日志信息,經(jīng)過系統(tǒng)處理后,用戶可通過客戶端進行多維度、多條件的瀏覽。山石網(wǎng)科安全管理中心支持通過以下種類進行日志瀏覽:
●系統(tǒng)日志 ●配置日志 ●會話日志 ●地址轉(zhuǎn)換日志 ●上網(wǎng)日志
流量監(jiān)控
山石網(wǎng)科安全管理中心可以實時監(jiān)控以下對象的流量,并在客戶端通過餅狀圖或者柱狀圖直觀顯示:
●設(shè)備接口(TOP 10)/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
●指定接口TOP 10 IP,進而可以查看指定IP的TOP 10應(yīng)用的流量 ●指定接口TOP 10應(yīng)用,進而可以查看指定應(yīng)用的TOP 10 IP的流量
柱狀圖可分別按照上行流量、下行流量或者總流量進行排序;餅狀圖可分別根據(jù)上行流量、下行流量或者總流量顯示不同的百分比。
攻擊監(jiān)控
山石網(wǎng)科安全管理中心可以實時監(jiān)控以下對象的攻擊情況,并在客戶端通過餅狀圖或者柱狀圖直觀顯示:
●設(shè)備接口遭受攻擊(TOP 10)
●指定接口發(fā)起攻擊TOP 10 IP,進而可以查看指定IP發(fā)起的TOP 10攻擊類型 ●指定接口TOP 10攻擊類型,進而可以查看發(fā)起指定攻擊類型的TOP 10 IP
VPN監(jiān)控
山石網(wǎng)科安全管理中心可以實時監(jiān)控被管理設(shè)備的IPSec VPN和SCVPN隧道流量,并在客戶端通過餅狀圖或者柱狀圖直觀顯示。/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
4.2.2 基于角色的管理配置
對于中小企業(yè)辦公網(wǎng)而言,終端使用者的身份不盡相同,因此其訪問權(quán)限,對資源的要求等也不盡相同,實現(xiàn)差異化的訪問控制與資源保障。對此可通過山石網(wǎng)科安全網(wǎng)關(guān)的RBNS(基于身份和角色的管理)策略來實現(xiàn)。RBNS包含三個部分:用戶身份的認證、用戶角色的確定、基于角色控制和服務(wù)。
? ? 在訪問控制部分,通過RBNS實現(xiàn)了基于用戶角色的訪問控制,使得控制更加精準; 在QOS部分,通過RBNS實現(xiàn)了基于角色的帶寬控制,使得資源分配更加貼近中小企業(yè)辦公網(wǎng)的管理模式; ? 在會話限制部分,通過RBNS實現(xiàn)了基于角色的并發(fā)限制,對于重要用戶放寬并發(fā)連接的數(shù)量,對于非重要用戶則壓縮并發(fā)連接的數(shù)量; ? ? 在上網(wǎng)行為管理部分,通過RBNS實現(xiàn)了基于角色的上網(wǎng)行為管理;
在審計部分,通過RBNS實現(xiàn)實名制審計,使審計記錄能夠便捷地追溯到現(xiàn)實的人員。
在整合了AD域以及郵件系統(tǒng)后的實名制管理與控制方案后,在員工上網(wǎng)訪問過程中實現(xiàn)精細化的管理,大大降低了單純依靠IP地址帶來的安全隱患,也降低了配置策略的難度,還提升了日志的可追溯性; / 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
整合后實名制監(jiān)管過程示意圖
4.2.3 配置訪問控制策略
山石網(wǎng)科多核安全網(wǎng)關(guān)可提供廣泛的應(yīng)用層監(jiān)控、統(tǒng)計和控制過濾功能。該功能能夠?qū)TP、HTTP、P2P應(yīng)用、IM以及VoIP語音數(shù)據(jù)等應(yīng)用進行識別,并根據(jù)安全策略配置規(guī)則,保證應(yīng)用的正常通信或?qū)ζ溥M行指定的操作,如監(jiān)控、流量統(tǒng)計、流量控制和阻斷等。StoneOS利用分片重組及傳輸層代理技術(shù),使設(shè)備能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境,即使在完整的應(yīng)用層數(shù)據(jù)被分片傳送且分片出現(xiàn)失序、亂序的情況下,也能有效的獲取應(yīng)用層信息,從而保證安全策略的有效實施。
山石網(wǎng)科安全網(wǎng)關(guān),作用在中小企業(yè)的互聯(lián)網(wǎng)出口鏈路上,通過訪問控制策略,針對訪問數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的應(yīng)用訪問類型,進行控制,包括: / 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
? 限制不被許可的訪問類型:比如在只允許進行網(wǎng)頁瀏覽、電子郵件、文件傳輸,此時當終端用戶進行其他訪問(比如P2P),即使在網(wǎng)絡(luò)層同樣使用TCP 80口進行訪問數(shù)據(jù)包的傳送,但經(jīng)過山石網(wǎng)科安全網(wǎng)關(guān)的深度應(yīng)用識別后,分析出真實的應(yīng)用后,對P2P和IM等過度占用帶寬的行為進行限制;
? 限制不被許可的訪問地址:山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習慣量身定制了一套完整的URL地址庫,具有超過2000萬條域名的分類Web頁面庫,并實時保持同步更新,當中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動、不安全的網(wǎng)站時,系統(tǒng)會根據(jù)不同的策略,進行報警、日志、阻斷等動作,實現(xiàn)健康上網(wǎng);
? 基于身份的訪問控制:傳統(tǒng)訪問控制的基礎(chǔ)是IP地址,但是由于IP地址的可修改性,使得控制的精度大打折扣,特別是根據(jù)不同IP地址配置不同強度的訪問控制規(guī)則時,通過修改IP地址可以獲得較寬松的訪問限制,及時采用了IP+MAC綁定,但修改MAC也不是難事。山石網(wǎng)科安全網(wǎng)關(guān)支持與第三方認證的結(jié)合,可實現(xiàn)基于“實名制”下的訪問控制,將大大提升了訪問控制的精度。
4.2.4 配置帶寬控制策略
針對外網(wǎng)的互聯(lián)網(wǎng)出口鏈路,承載了員工上網(wǎng)的訪問,因此必須應(yīng)采取帶寬控制,來針對不同訪問的重要級別,提供差異化的帶寬資源。(可以實現(xiàn)基于角色的QOS)? 基于角色的流量管理
基于山石網(wǎng)科的多核 Plus G2安全架構(gòu),StoneOS? Qos將Hillstone 山石網(wǎng)科的行為控制以及IP QoS結(jié)合使用,用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級。山石網(wǎng)科設(shè)備最多可支持20,000個不同角色的流量優(yōu)先級區(qū)分和帶寬控制(入方向和出方向),這就相當于系統(tǒng)
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
中可容納多于40,000的QoS隊列。結(jié)合應(yīng)用QoS,山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個用戶控制應(yīng)用流量并對該用戶的應(yīng)用流量區(qū)分優(yōu)先級。例如,對于同一個角色產(chǎn)生的不同流量,用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級。
? 對應(yīng)用控制流量和區(qū)分優(yōu)先級
山石網(wǎng)科提供專有的智能應(yīng)用識別(Intelligent Application Identification)功能,簡稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進行分類,甚至包括對加密的P2P應(yīng)用(Bit Torrent、迅雷、Emule、Edonkey等)和即時消息流量進行分類;Hillstone 山石網(wǎng)科還支持用戶自定義的流量,并對自定義流量進行分類;同時山石網(wǎng)科可以結(jié)合強大的policy對流量進行分類。山石網(wǎng)科 QoS首先根據(jù)流量的應(yīng)用類型對流量進行識別和標記。然后,根據(jù)應(yīng)用識別和標記結(jié)果對流量帶寬進行控制并且區(qū)分優(yōu)先級。一個典型應(yīng)用實例是:用戶可以為關(guān)鍵的ERP和OA流量設(shè)置高優(yōu)先級保證它們的帶寬使用;對于網(wǎng)頁瀏覽和P2P下載流量,用戶可以為它們設(shè)置最低優(yōu)先級并且限制它們的最大帶寬使用量。網(wǎng)吧用戶可以用這種方法控制娛樂流量并對娛樂流量區(qū)分優(yōu)先級。
? 帶寬利用率最大化
除了高峰時間,用戶經(jīng)常會發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。Hillstone 山石網(wǎng)科的彈性QoS功能(FlexQoS)能夠?qū)崟r探測網(wǎng)絡(luò)的出入帶寬的利用率,進而動態(tài)調(diào)整特定用戶的帶寬。彈性QoS(FlexQoS)既能為用戶充分利用帶寬資源提供極大的靈活性,又能保證高峰時段的網(wǎng)絡(luò)使用性能。彈性QoS還允許用戶進行更加精細的控制,允許某一類的網(wǎng)絡(luò)使用者享有彈性QoS,另外一類不享有彈性QoS。以此功能用戶可以為網(wǎng)絡(luò)使用者提供差分服務(wù)。
? 實時流量監(jiān)控和統(tǒng)計
山石網(wǎng)科 QoS解決方案提供各種靈活報告和監(jiān)控方法,幫助用戶查看網(wǎng)絡(luò)狀況。用戶可以輕松查看接口帶寬使用情況、不同應(yīng)用帶寬使用情況以及不同IP地址的帶寬使用情況。山石網(wǎng)科設(shè)備
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
提供帶寬使用情況的歷史記錄,為將來分析提供方便。同時用戶還可以自己定制想要的統(tǒng)計數(shù)據(jù)。
4.2.5 上網(wǎng)行為日志管理
通過山石網(wǎng)科安全網(wǎng)關(guān),在實現(xiàn)分支機構(gòu)員工上網(wǎng)訪問控制和QOS控制的基礎(chǔ)上,對行為進行全面記錄,來控制威脅的上網(wǎng)行為,并結(jié)合基于角色的管理技術(shù),實現(xiàn)“實名制”審計,在本方案中將配置執(zhí)行如下的安全策略:
? 網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則
網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則,是根據(jù)名稱、優(yōu)先級、用戶、時間表、網(wǎng)絡(luò)行為以及控制動作構(gòu)成上網(wǎng)行為管理策略規(guī)則的基本元素。通過WebUI配置上網(wǎng)行為管理策略規(guī)則,需要進行下列基本元素的配置:
? ? 策略規(guī)則名稱 – 上網(wǎng)行為管理策略規(guī)則的名稱。
優(yōu)先級-上網(wǎng)行為管理策略規(guī)則的優(yōu)先級。當有多條匹配策略規(guī)則的時候,優(yōu)先級高的策略規(guī)則會被優(yōu)先使用。? 用戶 – 上網(wǎng)行為管理策略規(guī)則的用戶,即發(fā)起網(wǎng)絡(luò)行為的主體,比如某個用戶、用戶組、角色、IP地址等。? 時間表 – 上網(wǎng)行為管理策略規(guī)則的生效時間,可以針對不同用戶控制其在特定時間段內(nèi)的網(wǎng)絡(luò)行為。? 網(wǎng)絡(luò)行為 – 具體的網(wǎng)絡(luò)應(yīng)用行為,比如MSN聊天、網(wǎng)頁訪問、郵件發(fā)送、論壇發(fā)帖等。? 控制動作 – 針對用戶的網(wǎng)絡(luò)行為所采取的控制動作,比如允許、拒絕某網(wǎng)絡(luò)行為或者對該行為或者內(nèi)容進行日志記錄等。
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
? 網(wǎng)頁內(nèi)容控制策略規(guī)則
網(wǎng)頁內(nèi)容控制策略規(guī)則包括URL過濾策略規(guī)則和關(guān)鍵字過濾策略規(guī)則。網(wǎng)頁內(nèi)容控制策略規(guī)則能夠?qū)τ脩粼L問的網(wǎng)頁進行控制。URL過濾策略規(guī)則可以基于系統(tǒng)預(yù)定義的URL類別和用戶自定義的URL類別,對用戶所訪問的網(wǎng)頁進行過濾。關(guān)鍵字過濾策略規(guī)則可以基于用戶自定義的關(guān)鍵字類別,對用戶所訪問的網(wǎng)頁進行過濾,同時,能夠通過SSL代理功能對用戶所訪問的含有某特定關(guān)鍵字的HTTPS加密網(wǎng)頁進行過濾。
? 外發(fā)信息控制策略規(guī)則
外發(fā)信息控制策略規(guī)則包括Email控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則,能夠?qū)τ脩舻耐獍l(fā)信息進行控制。Email控制策略規(guī)則能夠?qū)νㄟ^SMTP協(xié)議發(fā)送的郵件和Webmail外發(fā)郵件進行控制,可以根據(jù)郵件的收件人、發(fā)件人、內(nèi)容關(guān)鍵字、附件名稱和附件大小對郵件的發(fā)送進行限制。同時,能夠通過SSL代理功能控制Gmail加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠?qū)νㄟ^HTTP Post方法上傳的含有某關(guān)鍵字的內(nèi)容進行控制,如阻斷內(nèi)網(wǎng)用戶在論壇發(fā)布含有指定關(guān)鍵字的帖子。
? 例外設(shè)置
對于特殊情況下不需要上網(wǎng)行為管理策略規(guī)則進行控制的對象,可以通過例外設(shè)置實現(xiàn)。例外設(shè)置包括免監(jiān)督用戶、黑白名單和Bypass域名。
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
分級日志管理模式示意圖
4.2.6 實現(xiàn)URL過濾
山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習慣量身定制了強大的URL地址庫,包含數(shù)千萬條域名的分類web頁面庫,并能夠?qū)崟r同步更新,該地址庫將被配置在所有分支機構(gòu)出口的山石安全網(wǎng)關(guān)上,對員工訪問的目標站點進行檢查,保障健康上網(wǎng)。
山石網(wǎng)科提供的URL過濾功能包含以下組成部分: ? ? ? 黑名單:包含不可以訪問的URL。不同平臺黑名單包含的最大URL條數(shù)不同。白名單:包含允許訪問URL。不同平臺白名單包含的最大URL條數(shù)不同。
關(guān)鍵字列表:如果URL中包含有關(guān)鍵字列表中的關(guān)鍵字,則PC不可以訪問該URL。不同平臺關(guān)鍵字列表包含的關(guān)鍵字條目數(shù)不同。
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
? ? 不受限IP:不受URL過濾配置影響,可以訪問任何網(wǎng)站。
只允許用域名訪問:如果開啟該功能,用戶只可以通過域名訪問Internet,IP地址類型的URL將被拒絕訪問。
? 只允許訪問白名單里的URL:如果開啟該功能,用戶只可以訪問白名單中的URL,其它地址都會被拒絕。
4.2.7 實現(xiàn)網(wǎng)絡(luò)病毒過濾
隨著病毒技術(shù)的發(fā)展,網(wǎng)絡(luò)型病毒(比如蠕蟲、木馬等)已經(jīng)被廣泛應(yīng)用了,這種病毒的特點是沒有宿主就可以傳播,在網(wǎng)絡(luò)中快速掃描,只要發(fā)現(xiàn)網(wǎng)絡(luò)有許可的行為,就能夠快速傳播,其危害除了對目標主機造成破壞,在傳播過程中也產(chǎn)生大量的訪問,對網(wǎng)絡(luò)流量造成影響,對此傳統(tǒng)在主機上進行病毒查殺是不足的,對此問題就產(chǎn)生了病毒過濾網(wǎng)關(guān),該系統(tǒng)類似于防火墻,采用“空中抓毒“技術(shù),工作在網(wǎng)絡(luò)的關(guān)鍵節(jié)點,對經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包進行過濾,在判斷為是病毒的時候進行阻斷,防止病毒利用網(wǎng)絡(luò)進行傳播。
這里建議中小企業(yè)可利用安全網(wǎng)關(guān)的病毒過濾技術(shù),對各個安全域在實行訪問控制的同時,進行有效的病毒過濾,杜絕某個安全域內(nèi)(比如終端區(qū)域)的主機感染了病毒,該病毒無法穿越病毒過濾網(wǎng)關(guān),從而無法在全企業(yè)網(wǎng)蔓延,造成更大的破壞。
山石網(wǎng)科的病毒過濾能夠有效解析出上十萬種病毒,能夠偵測病毒、木馬、蠕蟲、間諜軟件和其他惡意軟件。基于多核Plus? G2架構(gòu)的設(shè)計提供了病毒過濾需要的高處理能力,其提供的應(yīng)用處理擴展模塊進一步的提高了病毒過濾的處理能力和總計處理能力,全并行流檢測引擎則使用較少的系統(tǒng)資源,并且在并行掃描會話和最大可掃描文件
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
方面提供高升級性。
病毒過濾系統(tǒng)同樣也大大提升了服務(wù)器的安全性,在當前訪問控制的基礎(chǔ)上,進一步保障了關(guān)鍵業(yè)務(wù)的安全性。
4.2.8 部署IPSEC VPN 山石網(wǎng)科安全網(wǎng)關(guān)支持的IPSec VPN技術(shù),作用于中小企業(yè),可實現(xiàn)總部與分支機構(gòu)之間通過互聯(lián)網(wǎng)的縱向互聯(lián),并作為現(xiàn)有專線的備份鏈路,在不增加額外投資的基礎(chǔ)上,提升了系統(tǒng)總體的安全效率。(當然需要總部的互聯(lián)網(wǎng)出口也部署有標準IPSEC VPN系統(tǒng))
在通過互聯(lián)網(wǎng)實現(xiàn)縱向互聯(lián)的過程中,通過IPSEC VPN技術(shù),將實現(xiàn)如下的保護: ? ? 機密性保護:在傳輸過程中對數(shù)據(jù)進行加密,從而防范了被篡改的風險;
完整性保護:在傳輸過程中,通過HASH算法,對文件進行摘要處理,當?shù)竭_接收端時再次進行HASH,并與發(fā)送端HASH后形成的摘要進行批對,如果完全相同則證明數(shù)據(jù)沒有
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
被篡改,從而保障了傳輸過程的完整性; ? ? 抗抵賴:IPSEC VPN運用了數(shù)字簽名技術(shù),采用對稱密鑰算法防范傳輸數(shù)據(jù)被抵賴的風險; 抗重放:IPSEC VPN運用系列號,一旦某個數(shù)據(jù)包被處理,序列號自動加一,防范攻擊者在收取到數(shù)據(jù)包,以自己的身份重新發(fā)送的風險; 山石網(wǎng)科安全網(wǎng)關(guān)IPSec VPN支持的主要技術(shù)包括: ? 標準的技術(shù)使Hillstone IPSec VPN能和國際VPN廠商互通,只要對端采用標準IPSEC協(xié)議,即可實現(xiàn)互聯(lián)互通; ? ? 全面的加密算法支持,包括AES256、Diffie-Hellman Group 5;
支持靜態(tài)IP對端、動態(tài)IP對端、撥號VPN對端,可以很好地使用各個分支機構(gòu)實際的網(wǎng)絡(luò)環(huán)境; ? 支持VPN上的應(yīng)用控制,在隧道內(nèi)針對中小企業(yè),提供更完善的訪問控制。
4.2.9 實現(xiàn)安全移動辦公
山石網(wǎng)科安全網(wǎng)關(guān)支持的SSL VPN技術(shù),針對移動辦公人員,在不需要配置任何客戶端的情況下,實現(xiàn)安全可靠的接入。通過USB KEY的方式,配發(fā)證書,移動辦公人員必須在提交KEY證書后,安全網(wǎng)關(guān)方可允許其通過互聯(lián)網(wǎng)接入到企業(yè)網(wǎng)內(nèi),實現(xiàn)安全快捷的訪問。方案建設(shè)效果
本方案利用山石網(wǎng)科安全網(wǎng)關(guān),作用于中小企業(yè)各個分支機構(gòu)的互聯(lián)網(wǎng)出口,對員工上網(wǎng)行為進行有效控制和記錄,對比現(xiàn)有的安全手段,將在如下層面提升安全性:
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
總體部署效果示意圖
【實現(xiàn)集中監(jiān)控】
在采取了統(tǒng)一品牌的山石網(wǎng)科安全網(wǎng)關(guān)后,通過部署在總部的安全管理中心,實現(xiàn)對分布在各個分支機構(gòu)互聯(lián)網(wǎng)出口的安全設(shè)備的集中管理,重點對日志進行集中的收集和分析,確保在發(fā)生安全事件后能夠快速傳遞到總部,以便采取必要的保障措施。【實現(xiàn)有效訪問控制】
通過嚴格的訪問控制,限制了內(nèi)、外部用戶對企業(yè)各種資源的訪問,限制員工對ERP和OA的訪問,限制互聯(lián)網(wǎng)用戶對企業(yè)網(wǎng)站的訪問,由于這些人員只能通過許可的方式,因此大大降低了重要信息資產(chǎn)的暴露程度,提升了系統(tǒng)的安全性; 【有效保護關(guān)鍵資產(chǎn)】
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
對于中小企業(yè)而言,關(guān)鍵的信息資產(chǎn)就是各類應(yīng)用服務(wù)器,和數(shù)據(jù)庫,由于本方案采取安全域劃分的方式,將這些關(guān)鍵資產(chǎn)集中起來進行有效防護,因此大大提升了系統(tǒng)的總體安全性; 【有效防范攻擊】
山石安全網(wǎng)關(guān)支持超過3,000種的攻擊檢測和防御,支持攻擊特征庫離線在線更新,定期自動更新多種方式。
山石安全網(wǎng)關(guān)內(nèi)置的入侵防御系統(tǒng)重點實現(xiàn)了對重要服務(wù)器的保護,當其他主機訪問業(yè)務(wù)系統(tǒng)時,發(fā)起對服務(wù)器的訪問,山石入侵防御系統(tǒng)會在線分析這些數(shù)據(jù)包,并從中剝離出哪些是正常訪問的數(shù)據(jù)包,哪些是存在攻擊行為的數(shù)據(jù)包,在此基礎(chǔ)上對攻擊包采取有效的封堵行為,從而保障了安全可靠的訪問,進一步保護了易程公司關(guān)鍵的應(yīng)用服務(wù)器。
【有效過濾病毒】
與防范攻擊的作用類似,科山石安全網(wǎng)關(guān)內(nèi)置的過濾網(wǎng)關(guān)部署在重要的安全域邊界,當重要的服務(wù)器接受訪問時,病毒過濾網(wǎng)關(guān)深入分析數(shù)據(jù)包,檢測出是否攜帶病毒,或者數(shù)據(jù)包本身就是由一些惡意病毒(比如木馬、蠕蟲等)引發(fā)的,并采取有效的查殺,或者將數(shù)據(jù)包直接丟棄。
【基于角色的控制與資源保障】
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
中小企業(yè)的上網(wǎng)人員是多個層面多種角色的,因角色不同,在訪問控制和資源保障部分,需要有不同的策略與力度。山石安全網(wǎng)關(guān)能夠與第三方身份認證有效整合,在控制(比如訪問控制、日志審計)和資源保障(比如QOS)方面能夠根據(jù)用戶身份以及對應(yīng)的角色來進行配置,解決了傳統(tǒng)以IP地址為依據(jù)時,IP地址容易被偽造的問題; 【上網(wǎng)行為實名制審查】
國家相關(guān)監(jiān)管部門要求提供上網(wǎng)的機構(gòu),應(yīng)當對上網(wǎng)人員的行為進行記錄,以備在員工進行違規(guī)訪問(比如發(fā)布發(fā)動言論,訪問非法網(wǎng)站)時,能夠進行追溯。而目前中小企業(yè)員工均通過NAT來上網(wǎng),這樣單純在互聯(lián)網(wǎng)上無法準確定位訪問者,即使有些分支機構(gòu)采取了NAT和上網(wǎng)行為管理設(shè)備,但這些設(shè)備對行為之記錄到IP地址,很難對應(yīng)到具體的人員。
對此山石安全網(wǎng)關(guān)能夠在身份識別和角色確定的基礎(chǔ)上,對上網(wǎng)人員的行為(訪問了什么地址、進行了什么操作、訪問的時間、訪問產(chǎn)生的流量等)進行有效記錄,從而做到實名制審計。【有效封堵P2P和IM】
P2P和IM的特點是,運用動態(tài)端口進行訪問,對此傳統(tǒng)訪問控制的基礎(chǔ)是地址、協(xié)議和端口,這種控制方法根本無法從根本上封堵P2P和IM。
山石安全網(wǎng)關(guān)支持的深度應(yīng)用識別,通過協(xié)議分析能夠有效鑒別出真實的應(yīng)用,再此基礎(chǔ)上進行控制,方可實現(xiàn)對P2P和IM等通過動態(tài)端口的應(yīng)用。【更全面的URL過濾】
目前中小企業(yè)的URL過濾庫采用手工方式維護,這種方式無論從實效性、全面性上都存在明顯不足,山石網(wǎng)科安全網(wǎng)關(guān)內(nèi)置了一套完整的URL地址庫,具有超過2000萬條域名的分類Web頁面庫,并實時保持同步更新,當中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動、不安全的網(wǎng)站時,系統(tǒng)會根據(jù)不同的策略,進行報警、日志、阻斷等動作,實現(xiàn)健康上網(wǎng)。
/ 42
典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 【對專線形成補充】
目前中小企業(yè)各個分支機構(gòu)與總公司之間,通過專線實現(xiàn)縱向鏈接,并支撐縱向的業(yè)務(wù)訪問,而總公司和各個分支機構(gòu)都有互聯(lián)網(wǎng)的通道,該通道也可作為專線的備份鏈路,并且從節(jié)約投資的角度,甚至可以用互聯(lián)網(wǎng)通道取代專線,降低系統(tǒng)總體成本。
山石安全網(wǎng)關(guān)支持的IPSEC VPN技術(shù),可以在互聯(lián)網(wǎng)通道上提供安全保護,數(shù)據(jù)傳輸過程中采用加密、完整性校驗措施,保障了數(shù)據(jù)的安全性。【實現(xiàn)安全移動辦公】
通過SSL VPN解決了遠程辦公的安全隱患,使移動人員能夠安全、可靠地訪問企業(yè)網(wǎng)資源。
/ 42
第三篇:網(wǎng)絡(luò)安全策略研究論文
計算機網(wǎng)絡(luò)是一個開放和自由的網(wǎng)絡(luò),它在大大增強了網(wǎng)絡(luò)信息服務(wù)靈活性的同時,也給黑客攻擊和入侵敞開了方便之門。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速度并擴大了其傳播范圍,而且各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法層出不窮。這些黑客把先進的計算機網(wǎng)絡(luò)技術(shù),當成一種新式犯罪工具和手段,不僅影響了網(wǎng)絡(luò)穩(wěn)定運行和用戶的正常使用,造成重大經(jīng)濟損失,而且會威脅到國家安全。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個國家的政治、經(jīng)濟、軍事和人民生活的重大關(guān)鍵問題。近年來,網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性開始成為世界各國共同關(guān)注的焦點。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)安全的幾點策略。
一、常見的幾種網(wǎng)絡(luò)入侵方法
由于計算機網(wǎng)絡(luò)的設(shè)計初衷是資源共享、分散控制、分組交換,這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網(wǎng)絡(luò),并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時,計算機網(wǎng)絡(luò)還有著自然社會中所不具有的隱蔽性:無法有效識別網(wǎng)絡(luò)用戶的真實身份;由于互聯(lián)網(wǎng)上信息以二進制數(shù)碼,即數(shù)字化的形式存在,所以操作者能比較容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計算機網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計上的缺陷和漏洞,從而導(dǎo)致各種被攻擊的潛在危險層出不窮,這使網(wǎng)絡(luò)安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴峻的挑戰(zhàn),黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法:
1.通過偽裝發(fā)動攻擊
利用軟件偽造Ip包,把自己偽裝成被信任主機的地址,與目標主機進行會話,一旦攻擊者冒充成功,就可以在目標主機并不知曉的情況下成功實施欺騙或入侵;或者,通過偽造Ip地址、路由條目、DNS解析地址,使受攻擊服務(wù)器無法辨別這些請求或無法正常響應(yīng)這些請求,從而造成緩沖區(qū)阻塞或死機;或者,通過將局域網(wǎng)中的某臺機器Ip地址設(shè)置為網(wǎng)關(guān)地址,導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。
2.利用開放端口漏洞發(fā)動攻擊
利用操作系統(tǒng)中某些服務(wù)開放的端口發(fā)動緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計不當或缺乏限制,因而造成地址空間錯誤的一種漏洞。利用軟件系統(tǒng)中對某種特定類型的報文或請求沒有處理,導(dǎo)致軟件遇到這種類型的報文時運行出現(xiàn)異常,從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。
3.通過木馬程序進行入侵或發(fā)動攻擊
木馬是一種基于遠程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點,一旦被成功植入到目標主機中,計算機就成為黑客控制的傀儡主機,黑客成了超級用戶。木馬程序可以被用來收集系統(tǒng)中的重要信息,如口令、賬號、密碼等。此外,黑客可以遠程控制傀儡主機對別的主機發(fā)動攻擊,如DDoS攻擊就是大量傀儡主機接到攻擊命令后,同時向被攻擊目標發(fā)送大量的服務(wù)請求數(shù)據(jù)包。
4.嗅探器和掃描攻擊
嗅探器是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來非法獲得用戶名、口令等重要信息,它對網(wǎng)絡(luò)安全的威脅來自其被動性和非干擾性,使得網(wǎng)絡(luò)嗅探具有很強的隱蔽性,往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描,是指針對系統(tǒng)漏洞,對系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在,掃描手段往往會被惡意使用和隱蔽使用,探測他人主機的有用信息,作為實施下一步攻擊的前奏。
為了應(yīng)對不斷更新的網(wǎng)絡(luò)攻擊手段,網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動防護到主動檢測的發(fā)展過程。主要的網(wǎng)絡(luò)安全技術(shù)包括:防火墻、VpN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VpN屬早期的被動防護技術(shù),入侵檢測、入侵防
御和漏洞掃描屬主動檢測技術(shù),這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。
二、網(wǎng)絡(luò)的安全策略分析
早期的網(wǎng)絡(luò)防護技術(shù)的出發(fā)點是首先劃分出明確的網(wǎng)絡(luò)邊界,然后通過在網(wǎng)絡(luò)邊界處對流經(jīng)的信息利用各種控制方法進行檢查,只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界,從而達到阻止對網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護技術(shù)包括:
1.防火墻
防火墻是一種隔離控制技術(shù),通過預(yù)定義的安全策略,對內(nèi)外網(wǎng)通信強制實施訪問控制,常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過,依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯,檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目標地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過;狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制,將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待,構(gòu)成連接狀態(tài)表,通過規(guī)則表與狀態(tài)表的共同配合,對表中的各個連接狀態(tài)因素加以識別,與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比,它具有更好的靈活性和安全性;應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實現(xiàn),它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò),其目的在于隱蔽被保護網(wǎng)絡(luò)的具體細節(jié),保護其中的主機及其數(shù)據(jù)。
2.VpN
VpN(Virtual private Network)即虛擬專用網(wǎng)絡(luò),它是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全,VpN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復(fù)制。VpN技術(shù)可以在不同的傳輸協(xié)議層實現(xiàn),如在應(yīng)用層有SSL協(xié)議,它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序,提供對等的身份認證和應(yīng)用數(shù)據(jù)的加密;在會話層有Socks協(xié)議,在該協(xié)議中,客戶程序通過Socks客戶端的1080端口透過防火墻發(fā)起連接,建立到Socks服務(wù)器的VpN隧道;在網(wǎng)絡(luò)層有IpSec協(xié)議,它是一種由IETF設(shè)計的端到端的確保Ip層通信安全的機制,對Ip包進行的IpSec處理有AH(Authentication Header)和ESp(Encapsulating Security payload)兩種方式。
3.防毒墻
防毒墻是指位于網(wǎng)絡(luò)入口處,用于對網(wǎng)絡(luò)傳輸中的病毒進行過濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進行分析,但它對從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的,因為它無法識別合法數(shù)據(jù)包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進行查毒工作,阻止網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴散。此外,管理人員能夠定義分組的安全策略,以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的Ip/MAC地址,以及TCp/UDp端口和協(xié)議。
三、網(wǎng)絡(luò)檢測技術(shù)分析
人們意識到僅僅依靠防護技術(shù)是無法擋住所有攻擊,于是以檢測為主要標志的安全技術(shù)應(yīng)運而生。這類技術(shù)的基本思想是通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探,以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。主要的網(wǎng)絡(luò)安全檢測技術(shù)有:
1.入侵檢測
入侵檢測系統(tǒng)(Intrusion Detection System,IDS)是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),包括檢測外界非法入侵者的惡意攻擊或試探,以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。作為防火墻的有效補充,入侵檢測技術(shù)能夠幫助系統(tǒng)對付已知和未知網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
2.入侵防御
入侵防御系統(tǒng)(Intrusion prevention System,IpS)則是一種主動的、積極的入侵防范、阻止系統(tǒng)。IpS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù),IpS的檢測功能類似于IDS,防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備,它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊,它的阻斷攻擊能力非常有限;而IpS部署在網(wǎng)絡(luò)的進出口處,當它檢測到攻擊企圖后,會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認為IpS就是防火墻加上入侵檢測系統(tǒng),但并不是說IpS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品,它在基于TCp/Ip協(xié)議的過濾方面表現(xiàn)出色,同時具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計、VpN等功能。
3.漏洞掃描
漏洞掃描技術(shù)是一項重要的主動防范安全技術(shù),它主要通過以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù),將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描,如測試弱勢口令等,若模擬攻擊成功,則表明目標主機系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng),它是故意讓人攻擊的目標,引誘黑客前來攻擊。通過對蜜罐系統(tǒng)記錄的攻擊行為進行分析,來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。
四、結(jié)語
盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用,但在一個巨大、開放、動態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產(chǎn)品的檢測數(shù)據(jù)庫,系統(tǒng)廠商在疲于奔命的修補產(chǎn)品漏洞,而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計算機病毒,防火墻只能對非法訪問通信進行過濾,而入侵檢測系統(tǒng)只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設(shè)施中,安全問題的炸彈隨時都有爆炸的可能。用戶必須針對每種安全威脅部署相應(yīng)的防御手段,這樣使信息安全工作的復(fù)雜度和風險性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問題,網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品。
參考文獻:
[1]周碧英:淺析計算機網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008,24(3):18~19
[2]潘號良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊, 2008,(3):74~75
[3]劉愛國李志梅談:電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場現(xiàn)代化,2007,(499):76~77
[4]孫曉南:防火墻技術(shù)與網(wǎng)絡(luò)安全[J].科技信息,2008,(3): 199~120
[5]趙立志林偉:淺析網(wǎng)絡(luò)安全技術(shù)[J].民營科技,2008,(3):193
第四篇:安徽大學企業(yè)資源規(guī)劃論文
專業(yè):
年級:
姓名:
學號:
企業(yè)資源規(guī)劃ERP在中國企業(yè)應(yīng)用
引 言
近幾年,眾多國內(nèi)管理軟件廠商爭相將目光從大型企業(yè)投向中小企業(yè)信息化,許多國際著名軟件巨頭也紛紛在國內(nèi)尋找合作伙伴來“分食”這塊蛋糕??我國的中小企業(yè)發(fā)展十分迅速,其IT應(yīng)用 市場也日漸成熟,許多中小企業(yè)對運用ERP手段來提升企業(yè)管理水平表現(xiàn)出十分渴望的心情。
中小企業(yè)相對于大型企業(yè)而言,具有自己獨特的優(yōu)勢條件:一是中小企業(yè)ERP實施難度相對較低,容易獲得成功,業(yè)務(wù)流程與組織架構(gòu)相對簡單,ERP軟件開發(fā)相對容易實現(xiàn);二是中小企業(yè)的ERP實施周期也相對較短,見效快,在實施ERP過程中通過管理咨詢收效也比較明顯。正確地實施ERP可幫助中小企業(yè)規(guī)劃管理模式、強化管理規(guī)范與制度、實現(xiàn)對經(jīng)營過程地及時監(jiān)控,為企業(yè)的擴張打下基礎(chǔ)。中小企業(yè)實施ERP能夠確保與大型企業(yè)競爭中地高效、靈活優(yōu)勢,在快速求變地信息社會商務(wù)生態(tài)環(huán)境中,充分發(fā)揮“快魚”的優(yōu)勢。
一.ERP是什么?
ERP是Enterprise Resource Planning(企業(yè)資源計劃)的簡稱,是上個世紀90年代美國一家IT公司根據(jù)當時計算機信息、IT技術(shù)發(fā)展及企業(yè)對供應(yīng)鏈管理的需求,預(yù)測在今后信息時代企業(yè)管理信息系統(tǒng)的發(fā)展趨勢和即將發(fā)生變革,而提出了這個概念。ERP是針對物資資源管理(物流)、人力資源管理(人流)、財務(wù)資源管理(財流)、信息資源管理(信息流)集成一體化的企業(yè)管理軟件。它將包含客戶/服務(wù)架構(gòu),使用圖形用戶接口,應(yīng)用開放系統(tǒng)制作。除了已有的標準功能,它還包括其它特性,如品質(zhì)、過程運作管理、以及調(diào)整報告等。
企業(yè)資源計劃(enterprise resource planning,ERP),它利用計算機技術(shù),把企業(yè)的物流、人流、資金流、信息流統(tǒng)一起來進行管理,把客戶需要和企業(yè)內(nèi)部的生產(chǎn)經(jīng)營活動以及供應(yīng)商的資源整合在一起,為企業(yè)決策層提供解決企業(yè)產(chǎn)品成本問題、提高作業(yè)效率、及資金的運營情況一系列動作問題,使之成為能完全按用戶需求進行經(jīng)營管理的一種全新的行之有效的管理方法。它是一個以管理會計為核心的信息系統(tǒng),識別和規(guī)劃企業(yè)資源,從而獲取客戶訂單,完成加工和交付,最后得到客戶付款。是綜合客戶機和服務(wù)體系系統(tǒng)、關(guān)系數(shù)據(jù)庫結(jié)構(gòu)、面向?qū)ο蠹夹g(shù)、圖形用戶界面、第四代語言、網(wǎng)絡(luò)通訊等信息產(chǎn)業(yè)成果,以ERP為管理思想的軟件產(chǎn)品。
換言之,ERP將企業(yè)內(nèi)部所有資源整合在一起,對采購、生產(chǎn)、成本、庫存、分銷、運輸、財務(wù)、人力資源進行規(guī)劃,從而達到最佳資源組合,取得最佳效益。
企業(yè)資源規(guī)劃 ERP(Enterprise Resource Planning)的合理運用已經(jīng)改變了企業(yè)運作的面貌。ERP通過運用最佳業(yè)務(wù)制度規(guī)范business practice以及集成企業(yè)關(guān)鍵業(yè)務(wù)流程business processes來發(fā)問和提高企業(yè)利潤,市場需求反應(yīng)速度和企業(yè)。
二. ERP綜述
2.1 概念
ERP(Enterprise Resources Planning“企業(yè)資源計劃”),可以從管理思想、軟件產(chǎn)品、管理系統(tǒng)三個層次給出它的定義:
一是由美國著名的計算機技術(shù)咨詢和評估集團Garter Group Inc.提出了一整套企業(yè)管理系統(tǒng)體系標準,其實質(zhì)是在MRPII(Manufacturing Resources Planning,“制造資源計劃”)基礎(chǔ)上進一步發(fā)展而成的面向供應(yīng)鏈(Supply Chain)的管理思想;
二是綜合應(yīng)用了客戶機/服務(wù)器體系、關(guān)系數(shù)據(jù)庫結(jié)構(gòu)、面向?qū)ο蠹夹g(shù)、圖形用戶界面、第四代語言(4GL)、網(wǎng)絡(luò)通訊等信息產(chǎn)業(yè)成果,以ERP 管理思想為靈魂的軟件產(chǎn)品;
三是整合了企業(yè)管理理念、業(yè)務(wù)流程、基礎(chǔ)數(shù)據(jù)、人力物力、計算機硬件和軟件于一體的企業(yè)資源管理系統(tǒng)。
ERP 的概念層次可如圖2.1 所示。
圖2.1 ERP 的概念層次
所以,對應(yīng)于管理界、信息界、企業(yè)界不同的表述要求,“ERP”分別有著它特定的內(nèi)涵和外延,相應(yīng)采用“ERP 管理思想”、“ERP 軟件”、“ERP 系統(tǒng)”的表述方式。
2.2 ERP在我國中小企業(yè)管理的發(fā)展趨勢
現(xiàn)階段中國中小企業(yè)管理以建立競爭優(yōu)勢,提高企業(yè)競爭力為核心。要提高企業(yè)的競爭力就必須整合企業(yè)經(jīng)營,全面加強企業(yè)管理。越來越多的優(yōu)秀企業(yè)舍得在管理系統(tǒng)上投資的舉動,足以說明了這一趨勢。在市場競爭日益激烈,用戶需求不斷趨向多樣化,企業(yè)間關(guān)聯(lián)程度越來越密切的今天,要求企業(yè)行動必須快捷、靈敏,在管理的思想觀念、方式方法上不斷創(chuàng)新。人力己經(jīng)很難完全達到這些要求,必須借助當代IT的最新成果。實施ERP是我國企業(yè)優(yōu)化和加強企業(yè)運營和管理的必然趨勢,因為ERP體現(xiàn)了以市場為核心的現(xiàn)代企業(yè)管理思想,它必將成為現(xiàn)代中國企業(yè)管理的基石。
實施ERP能給企業(yè)帶來幾大收益:第一,加快內(nèi)部信息的傳輸、處理速度和工作效率;第二,能為企業(yè)帶來更多的客戶和商業(yè)機會;第三,使企業(yè)對市場變化更加敏感,縮短決策時間,便于企業(yè)發(fā)展規(guī)劃,并規(guī)避企業(yè)風險等。對于中國中小企業(yè)來說,要在管理問題還不是很嚴重的情況下引進 ERP要比出現(xiàn)嚴重管理障礙時引入更容易。企業(yè)可以采取總體規(guī)劃,效益驅(qū)動,重點突破,分步實施的原則來逐步實施自己的ERP。
當前,我國中小企業(yè)要實施ERP,最重要的是解決他們的認識問題。管理是有成本的,ERP只是管理成本的一部分,不能簡單地說投資ERP需要多少錢,關(guān)鍵是要看它后期的投資回報。比如海爾,每年交易額是七十個億,使用ERP系統(tǒng)后成本降低了4%—6%,一降就是幾千萬,投資很快便得到了回報。更何況ERP帶給企業(yè)的收益不只是降低成本,重要的是企業(yè)已有的管理模式得到了完善和更新。
總之,成功實施了ERP,就為全面的企業(yè)管理信息化打下了牢固的基礎(chǔ),接下來的電子交易、供應(yīng)鏈管理、客戶關(guān)系管理、決策支持系統(tǒng)、知識管理系統(tǒng)、商業(yè)智能分析等大量的管理系統(tǒng)工具都可以更快速的部署,并且很快取得實效,真正使信息系統(tǒng)成為企業(yè)管理的主系統(tǒng),使每一個決策更具有科學性,使每一個新的戰(zhàn)略得到更快速的落實,ERP系統(tǒng)是中小企業(yè)信息化的基礎(chǔ)與核心,沒有它就無法使中小企業(yè)真正走上電子商務(wù)的軌道。
三.ERP在我國中小企業(yè)管理的發(fā)展趨勢
現(xiàn)階段中國中小企業(yè)管理以建立競爭優(yōu)勢,提高企業(yè)競爭力為核心。要提高企業(yè)的競爭力就必須整合企業(yè)經(jīng)營,全面加強企業(yè)管理。越來越多的優(yōu)秀企業(yè)舍得在管理系統(tǒng)上投資的舉動,足以說明了這一趨勢。在市場競爭日益激烈,用戶需求不斷趨向多樣化,企業(yè)間關(guān)聯(lián)程度越來越密切的今天,要求企業(yè)行動必須快捷、靈敏,在管理的思想觀念、方式方法上不斷創(chuàng)新。
四、實施ERP系統(tǒng)管理的意義
1、加快內(nèi)部信息的傳輸、處理速度和工作效率;
2、能為企業(yè)帶來更多的客戶和商業(yè)機會;
3、使企業(yè)對市場變化更加敏感,縮短決策時間,便于企業(yè)發(fā)展規(guī)劃,并規(guī)避企業(yè)風險等。
當前,我國中小企業(yè)要實施ERP,最重要的是解決他們的認識問題。管理是有成本的,ERP只是管理成本的一部分,不能簡單地說投資ERP需要多少錢,關(guān)鍵是要看它后期的投資回報。比如海爾,每年交易額是七十個億,使用ERP系統(tǒng)后成本降低了4%—6%,一降就是幾千萬,投資很快便得到了回報。更何況ERP帶給企業(yè)的收益不只是降低成本,重要的是企業(yè)已有的管理模式得到了完善和更新。
五. 企業(yè)應(yīng)用ERP失敗案例
(一)、三露聯(lián)想“婚變”
北京市三露廠在1998年3月20日與聯(lián)想集成簽訂了ERP實施合同。合同中聯(lián)想集成承諾6個月內(nèi)完成實施,如不能按規(guī)定時間交工,違約金按千分之五來賠償。合作的雙方,一方是化妝品行業(yè)的著名企業(yè),一方是國內(nèi)IT業(yè)領(lǐng)頭羊的直屬子公司。這場本應(yīng)美滿的“婚姻”,因為Intentia軟件產(chǎn)品漢化不徹底,造成了一些表單無法正確生成等問題出現(xiàn)了“婚變”。后雖經(jīng)再次的實施、修改和漢化,包括軟件產(chǎn)品提供商Intentia公司也派人來三露廠解決了一些技術(shù)問題。但是由于漢化、報表生成等關(guān)鍵問題仍舊無法徹底解決,最終導(dǎo)致項目的失敗。
(二)、哈藥“城門失火”
2000年,哈爾濱醫(yī)藥集團決定上ERP項目,參與軟件爭奪的兩個主要對手是Oracle與利瑪。一開始,兩家在ERP軟件上打得難解難分,一年之后,Oracle擊敗利瑪,哈藥決定選擇Oracle的ERP軟件。然而事情發(fā)展極具戲劇性的是,盡管軟件選型已經(jīng)確定,但是為了爭奪哈藥實施ERP項目的“另一半”,2001年10月,利瑪聯(lián)手哈爾濱凱納擊敗哈爾濱本地的一家公司華旭,成為哈藥ERP項目實施服務(wù)的“總包頭”。
但是,始料不及的是,到了2002年3月份,哈藥ERP實施出現(xiàn)了更加戲劇性的變化。利瑪在哈藥ERP項目的實施團隊全部離職。城門失火,殃及池魚,整個哈藥項目也被迫終止。
六.企業(yè)應(yīng)用ERP成功案例介紹
凌進電子有限公司ERP系統(tǒng)案例分析 6.1公司背景介紹
凌進電子有限公司成立于1993年,是一家集模具制造、注塑成型、絲印、移印、無塵噴涂、超聲焊接、激光雕刻到電子產(chǎn)品組裝等配套工藝于一體的綜合性企業(yè),在制造通訊產(chǎn)品、家電產(chǎn)品及IT產(chǎn)品外殼精密注塑及噴涂方面更是擁有相當專業(yè)的水準。
6.2 ERP實施前狀況
作為一個大型制造企業(yè),在導(dǎo)入神州數(shù)碼ERP系統(tǒng)之前,凌進電子擁有和同等規(guī)模廠商相同的困惑,制造流程復(fù)雜,生產(chǎn)經(jīng)營計劃不準確;盲目采購,導(dǎo)致庫存積壓過大;資金占用過多;財務(wù)預(yù)算不嚴謹,財務(wù)報告不準確;成本管理方法不科學,難以科學地反映、分析和控制企業(yè)的生產(chǎn)經(jīng)營管理水平和經(jīng)濟效益;各種信息失真,不集成,企業(yè)決策及日常工作缺乏科學的依據(jù)。
6.3公司實施ERP系統(tǒng) 2005年,公司決心建立企業(yè)集成信息系統(tǒng),引進ERP加強企業(yè)資源管理。為此,公司成立了信息化領(lǐng)導(dǎo)小組,同時建立ERP系統(tǒng)組和各部門的ERP實施組為體系的實施體系,不僅提供組織上的保障,而且添置了硬件設(shè)備,準備了專門的培訓課室,提供了硬件的保證。第一階段是培訓階段。這個階段用了2個月時間,進行了進銷存和生產(chǎn)模塊培訓,確定了編碼原則和BOM分階原則確定,建立了基本資料。同時,組織對內(nèi)部各關(guān)鍵用戶進行熟練操作培訓和強化教育。
第二階段是流程討論和模擬階段。從2005年12月開始,考察了5家客戶,重點了解其庫存管理、報表打印、物料編碼以及單據(jù)流程等方面的實施情況。通過初步實施,實現(xiàn)了對物流數(shù)據(jù)的集中管控,流程通暢,各種數(shù)據(jù)趨于一致,具備了二次開發(fā)的能力。
第三階段進入了功能集成開發(fā)和應(yīng)用完善階段,用了一個月的時間考察流程管理和控制程序,提出了分量損耗等很多問題,并據(jù)此制定出階段性目標。第四階段系統(tǒng)實現(xiàn)順利上線。通過整體演示,系統(tǒng)運行情況得到了專家組的一致肯定,進銷存、生產(chǎn)、計劃等模塊全面上線。第五階段主要側(cè)重于二次開發(fā),涉及BOM分量損耗,BOM審核,及業(yè)務(wù)開單等,二次開發(fā)程序做到了與原有系統(tǒng)的無縫銜接,實現(xiàn)了順利運行。
期間,領(lǐng)導(dǎo)的支持和重視促使ERP系統(tǒng)組、實施組成員按照要求密切配合,持續(xù)推進。公司領(lǐng)導(dǎo)在項目啟動伊始,在全公司范圍內(nèi)強調(diào)實施ERP系統(tǒng)對企業(yè)發(fā)展的重要性,迅速統(tǒng)一了思想、統(tǒng)一了意志。同時,基于對ERP實施可能遇到的問題的清醒認識和深入分析,統(tǒng)籌協(xié)調(diào)各方資源,認真對待、嚴格執(zhí)行。通過把ERP的推行工作列入到部門的每月計劃,確保項目的順利實施。
在項目組長、公司領(lǐng)導(dǎo)的親自推動下,系統(tǒng)組以系統(tǒng)工程的方法,制訂了詳細、周密的項目實施進度計劃。在整個實施過程中,嚴格按照計劃控制、檢查進度,遇到困難,系統(tǒng)組、實施組努力協(xié)調(diào),尋求解決方案,最大程度減少了不良因素對項目可能造成的影響。在系統(tǒng)的嚴格控制和努力協(xié)調(diào)下,各部門得以明確目標,統(tǒng)一思想,保證了凌進電子的ERP項目按計劃成功上線。
6.4實施ERP取得的效益
通過ERP的實施,凌進公司各部門實現(xiàn)了數(shù)據(jù)集成、信息共享,庫存帳務(wù)及時準確,物流、財務(wù)流緊密集成,計劃自動運算,降低了成本。更重要的是實現(xiàn)了業(yè)務(wù)流程的規(guī)范化,操作者必須按系統(tǒng)既定的流程嚴格進行,各環(huán)節(jié)的過程和結(jié)果可以控制和預(yù)測,問題能夠及時分析和反饋,為凌進電子有效應(yīng)對市場挑戰(zhàn)提供了強大支撐。
作為服務(wù)于通訊行業(yè)的制造企業(yè),市場對凌進電子生產(chǎn)提出了很高的要求,即“短、平、快”,通過導(dǎo)入神州數(shù)碼的易飛ERP系統(tǒng),凌進電子各方面管理都發(fā)生了突飛猛進的變化:以前拿一個訂單可以超領(lǐng)10次,現(xiàn)在初步實現(xiàn)了產(chǎn)品訂單的單據(jù)化管理,完全杜絕了超領(lǐng)的現(xiàn)象。以前盲目采購,重復(fù)下單,不該采購的物料也采購進來了,上了ERP之后,物料消耗明顯下降,初步實現(xiàn)了全公司的物料管控,以前生產(chǎn)一個手機最長需要兩年的時間,現(xiàn)在只要3個月就可以搞定。
上了ERP系統(tǒng)之后,公司庫存的準確率從30%提升到98%左右,很多不按計劃的生產(chǎn)得到了有效控制,可追溯性大大增強了,不僅可以倒查庫存,還可以深入查詢產(chǎn)品、生產(chǎn)等報表的相關(guān)數(shù)據(jù)。生產(chǎn)管理全過程通過ERP實現(xiàn)監(jiān)控,同一套產(chǎn)品使用同一種編碼,實現(xiàn)了數(shù)據(jù)共享,公司信息的流通率和透明度都有了很大提高。
由此,凌進電子從一個依賴手工作業(yè)的企業(yè)成為了一個運行高效的信息化企業(yè),通過數(shù)據(jù)的精確化管理和流程的標準化,實現(xiàn)了信息集成,大幅提高了企業(yè)的工作效率,在一定意義上幫助企業(yè)實現(xiàn)了綠色運營。
6.5 案例分析
凌進電子有限公司ERP能夠成功實施的原因在于:
(1)成立ERP項目實施機
公司為了建立企業(yè)集成信息系統(tǒng),引進ERP加強企業(yè)資源管理,成立了信息化領(lǐng)導(dǎo)小組,同時建立了ERP系統(tǒng)組和各部門的ERP實施組的實施體系,不僅提供組織上的保障,而且添置了硬件設(shè)備,準備了專門的培訓課室,提供了硬件的保證。(2)公司ERP的實施得到了領(lǐng)導(dǎo)的支持和重視。
企業(yè)領(lǐng)導(dǎo)特別是一把手,始終如
一、全面的支持是 ERP 成功實施的關(guān)鍵因素。凌進電子有限公司領(lǐng)導(dǎo)的支持和重視促使ERP系統(tǒng)組、實施組成員按照要求密切配合,持續(xù)推進,迅速統(tǒng)一了思想、統(tǒng)一了意志。同時,ERP的實施具有了資金和組織上的保證,遇到問題也能夠迅速得以解決,保證了工程實施的落實。
(3)在ERP系統(tǒng)實施的過程中逐步建立起一支自己的實施和維護隊伍,為后續(xù)企業(yè)的ERP實施以及現(xiàn)有系統(tǒng)的維護打下堅實的基礎(chǔ)。
(4)公司分階段、分內(nèi)容、分人員、分管理層次進行員工培訓,提高全員對實施ERP項目根本意義的認識、積極性和主動參與意識,提高和增強全員的信心和熱情,使所有員工都能盡快地進入角色。
七.ERP在我國中小企業(yè)實施中面臨的問題
北京市三露廠和哈爾濱醫(yī)藥集團就是兩個比較典型的例子。為什么會出現(xiàn)這種問題?中小型民營企業(yè)在應(yīng)用ERP過程中面臨的問題主要表現(xiàn)在以下三個方面:
1、企業(yè)使用的盲目性
企業(yè)對ERP認識模糊,混淆了“ERP軟件”與“ERP系統(tǒng)”的概念。他們認為,只要投入一定的資金購置計算機硬件和某種ERP軟件,就能解決企業(yè)這樣那樣的問題。或者就是企業(yè)為追趕潮流,把錢花在外部包裝上。沒有堅實的基礎(chǔ),只是盲目樂觀,企業(yè)注定隱患叢生。這樣的結(jié)果,往往是企業(yè)的投資遠大于獲得的增益,軟件與公司實際不相符,系統(tǒng)無法正常有效的運轉(zhuǎn),不僅使得系統(tǒng)喪失了它本身的價值,也使得企業(yè)背上了沉重的包袱。
2、市場上相關(guān)產(chǎn)品眾多
這也使企業(yè)面臨一個選擇的問題。企業(yè)往往需要綜合考慮成本,便利,安全以及是否符合企業(yè)實際等等因素。這一方面不僅使得一部分企業(yè)對此“談虎色變”,對ERP的使用呈觀望態(tài)度,也造成一批準備使用和已經(jīng)使用的企業(yè)的不便。、不同生產(chǎn)(經(jīng)營)業(yè)務(wù)流程之間的差異 不同管理方式之間的差異遠不是“人機界面?zhèn)€性化定制”所能解決的問題,要求處理方案的變化也是可能的。不同行業(yè)之間的差異。傳統(tǒng)的方法是不同行業(yè)用不同版本,但由于核心功能就有差別,傳統(tǒng)開發(fā)方法往往程序改動很大,無異于寫兩套軟件。所以選擇了與自身生產(chǎn)(經(jīng)營)業(yè)務(wù)流程不相符的ERP系統(tǒng)也是企業(yè)引進ERP系統(tǒng)后實施失敗的原因之一。
八. 我國中小企業(yè)實施ERP的環(huán)境條件分析
中小企業(yè)成功實施ERP的條件可以分為兩大類 :外部環(huán)境條件和企業(yè)內(nèi)部環(huán)境條件。前者指企業(yè)所處的社會環(huán)境和實施ERP所需的外部資源環(huán)境(軟件供應(yīng)商和咨詢服務(wù)提供商)。后者指的是實施ERP的企業(yè)內(nèi)部對項目實施結(jié)果產(chǎn)生影響和決定作用的因素。
8.1 社會環(huán)境條件分析
社會環(huán)境條件的第一層含義是指我國中小企業(yè)所處的宏觀經(jīng)濟環(huán)境。其最大特點是社會主義市場經(jīng)濟體制尚不完善,市場對資源的配置還處于初級階段,同時與市場經(jīng)濟相適應(yīng)的各項法律法規(guī)尚不健全,企業(yè)與企業(yè)之間存在著很多的無序競爭、不正當競爭。第二層含義是指實施ERP的中小企業(yè)所處的行業(yè)環(huán)境。實施企業(yè)所處行業(yè)的供應(yīng)鏈結(jié)構(gòu)和規(guī)范程度會在很大程度上影響企業(yè)ERP項目實施的效果。供應(yīng)鏈上游供應(yīng)商的可靠程度,供應(yīng)鏈下游需求信息的可靠程度和及時反饋程度,都會影響實施企業(yè)對ERP的運行效果。目前,我國各行各業(yè)的社會化協(xié)作分工體系和供應(yīng)鏈結(jié)構(gòu)還存在很多不合理的地方,因此,企業(yè)在考慮引入 ERP之前,需要對所在行業(yè)的特點進行分析研究,考慮相應(yīng)的對策。否則,即使企業(yè)內(nèi)部的管理基礎(chǔ)很好,也不能充分發(fā)揮ERP應(yīng)有的威力。
8.2 外部資源條件分析
首先,來自軟件公司的風險。目前,我國市場上的ERP產(chǎn)品主要有兩大類:國外軟件廠商開發(fā)的ERP產(chǎn)品和國內(nèi)軟件廠商開發(fā)的ERP產(chǎn)品。由于國外ERP產(chǎn)品在一些發(fā)達國家已經(jīng)經(jīng)歷了一個較長的開發(fā)和應(yīng)用階段,因而在理念、模式和技術(shù)上有其先進性和成熟性,但國外廠商往往不了解中國企業(yè)的實際情況,本地化不夠,同時系統(tǒng)對企業(yè)內(nèi)部基礎(chǔ)管理和基礎(chǔ)數(shù)據(jù)要求很高,實施難度大。國內(nèi)ERP軟件供應(yīng)商憑借著對中國國情的了解,能提供更加本地化的服務(wù),價格上也相對便宜。但是在技術(shù)、經(jīng)驗和應(yīng)用實踐上與國外軟件公司相比還存在著一定的差距。另外,目前我國的ERP供應(yīng)市場也表現(xiàn)得不成熟。個別軟件供應(yīng)商為了單純追求利潤,根本不考慮其產(chǎn)品是否適合企業(yè)的實際情況都拼命推銷給用戶,這種不負責任的做法,極有可能給用戶帶來實施困難、效果不佳、甚至后續(xù)實施工作無法開展等風險。還有個別軟件公司為了搶占市場,常常會過分滿足企業(yè)提出的不合理要求,從而出現(xiàn)“穿新鞋走老路”的
現(xiàn)象,沒有起到優(yōu)化流程,管理模式創(chuàng)新的目的。
其次,來自項目實施咨詢服務(wù)公司的風險。目前,我國的管理咨詢機構(gòu)尚不健全,水平也參差不齊。咨詢公司缺少理論水平和實踐經(jīng)驗都豐富的人員,由于沒有深厚的管理知識和背景,他們在項目實施過程中常常會趨向于回避管理上的變革甚至業(yè)務(wù)流程的優(yōu)化、重組。另外,咨詢公司的人員流動性也很大,缺乏合格的項目經(jīng)理。還有不少咨詢公司的信譽度較差,只要合同一簽,就急于脫手和交工,縮小項目服務(wù)范圍尤其是涉及企業(yè)管理變革方面的內(nèi)容。
最后,企業(yè)與外部源的合作風險。合作風險是指實施ERP的企業(yè)與軟件供應(yīng)商、咨詢服務(wù)提供商在ERP系統(tǒng)實施期間以及以后的支持期間三方合作方面所產(chǎn)生的風險。從實施企業(yè)的角度來看,合作風險可歸屬于企業(yè)的選擇風險,即軟件選擇風險和實施咨詢公司選擇風險,以及合作時企業(yè)認識上的錯位風險。
8.3 企業(yè)內(nèi)部環(huán)境因素分析
內(nèi)部環(huán)境因素主要指實施 ERP的中小企業(yè)內(nèi)部對項目實施結(jié)果起影響和決定作用的內(nèi)容,主要包括企業(yè)管理水平、企業(yè)信息化基礎(chǔ)、企業(yè)資金支持能力、企業(yè)技術(shù)支持能力、領(lǐng)導(dǎo)重視程度、項目前期籌備情況等幾項。
(1)中小企業(yè)當前管理水平
中小企業(yè)引進ERP系統(tǒng)的根本原因是它所包含的先進管理理念和管理手段,但其在項目實施過程中如果忽略其中的管理因素而僅僅將它看作軟件必然會失敗。伴隨著ERP系統(tǒng)的實施,企業(yè)業(yè)務(wù)流程需要整合優(yōu)化,去除多余和無效的工作環(huán)節(jié),從而確保企業(yè)有一個科學、規(guī)范的業(yè)務(wù)流程和管理基礎(chǔ),并在此基礎(chǔ)上對企業(yè)組織結(jié)構(gòu)進行相應(yīng)的調(diào)整,實現(xiàn)扁平化管理,以適應(yīng)ERP所貫徹的管理參考模型的要求。因此業(yè)務(wù)流程變革是ERP系統(tǒng)實施過程中不可缺少的環(huán)節(jié),而變革的內(nèi)容取決于企業(yè)當前的管理水平和管理模式與ERP系統(tǒng)管理基準之間的差距,如果差距過大,則實施難度也很大。因此根據(jù)企業(yè)當前真實的管理水平,采取合理的措施,選擇合適的ERP產(chǎn)品,中小企業(yè)當前管理水平可以從以下幾個方面加衡量:資金周轉(zhuǎn)率;新產(chǎn)品設(shè)計周期;基礎(chǔ)數(shù)據(jù)管理;人均勞動生產(chǎn)率;人均利潤率;自動化水平;企業(yè)組織結(jié)構(gòu)穩(wěn)定性;企業(yè)發(fā)展速度。
(2)中小企業(yè)信息化基礎(chǔ)
信息化對中小企業(yè)ERP實施的重要性不言而喻。企業(yè)信息化基礎(chǔ)如何,可以從企業(yè)信息化過程中軟、硬件方面的資金投入和使用情況,以及具體使用信息化系統(tǒng)的人員所具備的素質(zhì)等角度來反映當前企業(yè)信息化的真實水平。中小企業(yè)當前信息化基礎(chǔ)可以從以下幾個方面加衡量:企業(yè)中人的因素,包括員工信息化的認可程度、操作熟練程度;現(xiàn)有信息化軟件使用情況,包括所用產(chǎn)品類別和數(shù)量、應(yīng)用范圍;信息化硬件投資情況,包括硬件數(shù)量、投資額、聯(lián)網(wǎng)程度、年均運行維護費用。
(3)中小企業(yè)資金支持能力
中小企業(yè)引進ERP系統(tǒng)通常需要大量的資金投入,這些投入不僅包括初期的一次性投入,而且還包括運營過程中的人員培訓費用、系統(tǒng)維護費用和系統(tǒng)升級費用,這些都要求企業(yè)在ERP項目資金投入方面有一定的保障。如果項目資金支持不力,或企業(yè)對此沒有充分認識,那么項目在實施過程中就會產(chǎn)生問題,甚至會因為后期資金投入的不足而引起整個項目的失敗,使得前期的投入不能很好地發(fā)揮作用。
中小企業(yè)資金支持能力可以從以下幾個方面加衡量:企業(yè)盈利能力;有無完善的資金使用規(guī)劃;有無項目預(yù)算;ERP項目初期實施費用(價格與初期維護費用)與年盈利的比率。
(4)中小企業(yè)技術(shù)支持能力
項目實施過程中需要企業(yè)內(nèi)部人員為項目提供支持,這些工作主要包括項目規(guī)劃和實施建議、項目目標及需求調(diào)查、新系統(tǒng)功能描述和要求、系統(tǒng)配置、必要的二次開發(fā)、系統(tǒng)維護和系統(tǒng)升級工作。因此企業(yè)內(nèi)部技術(shù)人員的素質(zhì)以及他們對項目內(nèi)容的理解和掌握程度,影響著系統(tǒng)實施的效果。企業(yè)技術(shù)支持能力可以從以下幾個方面加衡量:企業(yè) ERP項目組成員的構(gòu)成情況(后面將詳細討論ERP項目的組織結(jié)構(gòu)),按照專業(yè)、學歷及工齡劃分;接受培訓程度,包括ERP原理、ERP產(chǎn)品和實施流程及規(guī)范的培訓情況;人員數(shù)量、相關(guān)經(jīng)驗等方面考慮。
(5)中小企業(yè)領(lǐng)導(dǎo)重視程度
ERP項目是一把手工程,企業(yè)最高領(lǐng)導(dǎo)層的參與和支持是ERP項目成功的關(guān)鍵。這種參與過程不能簡單地理解為審批和簽字,不能只是口頭上的支持,形式上的參與,而是需要企業(yè)領(lǐng)導(dǎo)真正意識到ERP的重要性,能夠在根本上推動和促進項目的實施進程。企業(yè)領(lǐng)導(dǎo)重視程度可以從以下幾個方面加衡量:項目負責人是否為企業(yè)最高決策者;項目實施小組的重要級別;企業(yè)有無CIO設(shè)置;企業(yè)領(lǐng)導(dǎo)參與項目會議的頻率;企業(yè)領(lǐng)導(dǎo)支持工作的力度即解決具體問題的數(shù)量,是否把 ERP項目放置到僅次于企業(yè)正常生產(chǎn)經(jīng)營之后的第二重要位置。
(6)項目前期籌備情況 良好的開始是實施成功的一半,ERP實施的前期籌備工作是關(guān)系到是否能夠取得預(yù)期效益的非常重要的一步。在前期籌備期我們需要弄清如下問題:企業(yè)領(lǐng)導(dǎo)決策引進ERP系統(tǒng)的原因是什么?對項目的期望是什么?對實施過程中的困難是否了解并做好了心理準備?對于產(chǎn)品選型是否科學而無偏愛?對 ERP產(chǎn)品的功能和效果方面了解程度?
項目前期籌備情況可以從以下幾個方面加衡量:企業(yè)需求是否明確;實施目標是否明確且一致;是否對項目資金要求和實施的難度有所認識;是否有具體的系統(tǒng)規(guī)劃和實施計劃草案;是否對所選擇的ERP產(chǎn)品有足夠的了解;對企業(yè)現(xiàn)有管理模式的優(yōu)缺點是否有充分的認識。中小企業(yè)可以在實施ERP系統(tǒng)之前,按照自己的實際情況,對這些內(nèi)部環(huán)境因素的衡量指標打分評估,判斷出自己企業(yè)的ERP實施能力如何。
如何提高ERP應(yīng)用的成功率在我國企業(yè)實施ERP的對策和建議
通過對我國一些實施ERP系統(tǒng)的中小型企業(yè)的深入分析,我認為要想成功實施ERP,企業(yè)應(yīng)該注意以下問題:
(1)ERP軟件的本地化問題(2)必須滿足用戶的個性化需求
(3)ERP實施成功的關(guān)鍵在于企業(yè)領(lǐng)導(dǎo)的支持和參與(4)企業(yè)ERP系統(tǒng)的建設(shè)必須與企業(yè)的技術(shù)改造和企業(yè)機制的轉(zhuǎn)換相結(jié)合(5)正確地、實事求是地選擇好企業(yè)管理信息化的突破口(6)ERP的教育和培訓必須放在重要位置(7)從基礎(chǔ)工作抓起
(8)強化項目管理在實施ERP系統(tǒng)中具有重要作用(9)扶植和發(fā)展國產(chǎn)ERP商品化軟件產(chǎn)業(yè)是當務(wù)之急
九、總結(jié)
作為中國信息化建設(shè)的熱點和重點,中小企業(yè)信息化在政府的推動、中小企業(yè)自身對信息化的需求和供應(yīng)商市場競爭的多方作用下,呈現(xiàn)出迅速發(fā)展的態(tài)勢。上馬ERP,開展信息化,提升企業(yè)的核心競爭力,已成為許多企業(yè)的共識。但是,一個不可否認的事實是,很多企業(yè)的ERP 應(yīng)用失敗了。只有認真研究和總結(jié)我國企業(yè)實施ERP的經(jīng)驗和教訓,從中找出企業(yè)信息化應(yīng)該重點解決的主要問題,才能讓更多企業(yè)在信息化建設(shè)中少走彎路。
第五篇:大學物理網(wǎng)絡(luò)試題庫研究論文
1獨立學院大學物理教學現(xiàn)狀
大學物理是獨立學院工科專業(yè)一門非常重要的公共必修基礎(chǔ)課,目的是為學生學習專業(yè)課程打下堅實基礎(chǔ)。學習大學物理不僅有利于提高學生發(fā)現(xiàn)問題、分析問題、解決問題的能力。而且在鍛煉學生的思維能力,培養(yǎng)學生樹立科學的世界觀和創(chuàng)新意識等方面,具有其他課程不能替代的重要作用。然而,大學物理理論知識抽象難懂,又受到課時、儀器等因素的影響制約,很多學生對學習大學物理失去了興趣。相比之下,獨立學院的學生基礎(chǔ)差底子薄,更是對物理不感興趣,甚至放棄。但是,獨立學院主要培養(yǎng)創(chuàng)新型和應(yīng)用性本科人才[1-2],這就要求教師在教學過程中不僅要向?qū)W生傳授知識,更要注重培養(yǎng)學生運用知識的能力和實踐創(chuàng)新能力。目前,從生源看,獨立學院絕大多數(shù)學生自主學習能力較差、理論基礎(chǔ)薄弱;從課程設(shè)置看,許多獨立學院的大學物理課程基本上是照搬母體理工科大學物理課程的設(shè)置,存在著理論性偏強而應(yīng)用性不夠、深度難度偏大而實踐課時偏少等問題。這種精英教育模式,與獨立學院應(yīng)用型人才培養(yǎng)模式相距甚遠[3]。因此,獨立學院要體現(xiàn)專業(yè)型、應(yīng)用型、創(chuàng)新型的教育,大學物理教學模式改革勢在必行[4]。
2獨立學院建立大學物理網(wǎng)絡(luò)試題庫的必要性
以同濟大學浙江學院為例,不少學生對學習大學物理不感興趣,他們普遍認為大學物理難懂、難學,學習抓不住重點,最終導(dǎo)致專業(yè)課程學習難度增大。這一問題引起了高校教育教學工作者的重視。針對上述狀況,如何讓學生認識到網(wǎng)絡(luò)環(huán)境下大學物理自主學習的必要性與可行性,并讓學生充分利用“大學物理網(wǎng)絡(luò)試題庫”中的資源高效地開展大學物理自主學習,提高自身大學物理學習的質(zhì)量和效率,便成為一個值得研究的重要課題。本文結(jié)合教學工作實際,主要從發(fā)展網(wǎng)絡(luò)教學平臺、建立網(wǎng)絡(luò)試題庫以及如何利用網(wǎng)絡(luò)教與學三個方面系統(tǒng)分析了如何激發(fā)學生對大學物理的學習興趣,有效開展大學物理教學,以及如何提高學生的自主學習能力,并充分利用“大學物理網(wǎng)絡(luò)試題庫”找到與自己專業(yè)相關(guān)的知識模塊,及時加強鞏固、反饋給任課教師。希望本文對于提高獨立學院大學物理教學質(zhì)量,培養(yǎng)學生自主學習能力具有一定的借鑒意義。
2.1課堂教學方式的改革與創(chuàng)新,網(wǎng)絡(luò)教學平臺的發(fā)展
隨著現(xiàn)代信息化技術(shù)的發(fā)展,大學物理教學也呈現(xiàn)了現(xiàn)代化的教學技術(shù)手段,例如多媒體教學、網(wǎng)絡(luò)教學等。大學物理理論知識相對枯燥難懂,而網(wǎng)絡(luò)、多媒體技術(shù)以其特有的圖片、音樂和動畫給學生帶來較強的感官刺激,如今,將多媒體應(yīng)用到大學物理教學已經(jīng)起到活躍物理教學的作用。而隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,大量信息資源生動形象地展現(xiàn)在教師和學生的眼前,如何利用這些資源為教學和學生自主學習服務(wù),是目前研究的重點。為此,全國各所高校都積極主動的建立網(wǎng)絡(luò)教學平臺,以實現(xiàn)數(shù)字化校園,國內(nèi)的校園數(shù)字化建設(shè)近年來更是迅猛發(fā)展。同濟大學浙江學院也積極推進數(shù)字化校園建設(shè),針對大學物理教學,已經(jīng)建立了“大學物理教學網(wǎng)”這樣的數(shù)字化教學平臺,為教師和學生提供了學習、答疑、討論以及作業(yè)處理等教學過程的支持工具。網(wǎng)絡(luò)平臺就像一個紐帶,將教師和學生緊密聯(lián)系在一起。
2.2在網(wǎng)絡(luò)平臺建立大學物理試題庫
國內(nèi)的一些高校已經(jīng)開始在網(wǎng)絡(luò)教學平臺建立起“大學物理網(wǎng)絡(luò)試題庫”,甚至有的學校已經(jīng)建成并投入使用。這樣的一個題庫不僅涵蓋了大學物理的所有知識點,而且分模塊分層次設(shè)置題型。學生能夠根據(jù)自身情況選擇不同模塊、不同的知識點進行學習以及檢測,并能及時將測試結(jié)果反饋給任課教師,同時教師也可以根據(jù)反饋結(jié)果有所側(cè)重的進行知識點講解,分層次解答。從而實現(xiàn)“學”促進“教”,同時“教”又有方向性、目的性的指導(dǎo)“學”的教學相長模式。其次,現(xiàn)代化電子設(shè)備例如智能手機、平板電腦等,可以實現(xiàn)隨時隨地從題庫中獲取資源,做到隨時可夯實基礎(chǔ),吸引學生的注意力,提高學生學習大學物理的興趣。一個開放的、高效的、安全的智能化網(wǎng)絡(luò)教學平臺,使得大學物理各種教學資源能夠?qū)崿F(xiàn)統(tǒng)一的管理和合理的利用。而“大學物理網(wǎng)絡(luò)試題庫”就是一種現(xiàn)代網(wǎng)絡(luò)技術(shù)與傳統(tǒng)教學相結(jié)合的全新教學手段。具體來說,工科大學物理理論覆蓋面廣,內(nèi)容復(fù)雜,涵蓋了力、熱、光、電、磁等諸多內(nèi)容。然而對于獨立學院的學生來說,遺忘周期短,整理和貫穿前后知識的能力較薄弱,學習過程就顯得困難重重[5]。而獨立學院的辦學層次介于普通高校和專科(高職)中間位置,應(yīng)面向市場,合理定位,最終把人才培養(yǎng)目標確定為應(yīng)用型人才和創(chuàng)新型人才。因此,可根據(jù)不同專業(yè)學生的后續(xù)專業(yè)課程而有所側(cè)重。比如,建筑專業(yè)和土木專業(yè)對力學部分內(nèi)容要求較高,而電氣和通信專業(yè)的學生就應(yīng)該重點學電磁學以及導(dǎo)體等部分內(nèi)容。針對獨立學院建立的“大學物理網(wǎng)絡(luò)試題庫”要做到難易層次化,知識點模塊化以及目標清晰化。要做到每一章內(nèi)容都有夯實基礎(chǔ)部分,主要以物理概念、定律、定理為主的一些填空和選擇型題目。可以讓學生輕松自如地在手機上完成,并達到概念、定律、定理清晰化;每一章也要設(shè)置提高部分內(nèi)容,也以選擇填空為主,學生可根據(jù)自身情況,及周圍環(huán)境靈活選擇。其次,建立力、熱、光、電、磁等知識點模塊,可供不同專業(yè)學生根據(jù)本專業(yè)后續(xù)課程的需求側(cè)重學習及提高。再次,建立成套期中期末測驗試題,以基礎(chǔ)題和低難度題為主,可供學生選擇自測。對于同濟大學浙江學院的大學物理教學來說,上學期的課程沒有期中考試,這樣學習周期長,學生負擔較重,教師也不能及時知道學生的學習情況,處在模糊教學的狀態(tài)。如果大學物理試題庫建成并投入使用,就可以選擇一套中期試題,讓學生在規(guī)定的時間內(nèi)完成,教師也可及時得到反饋,從而得到學生的學習情況。當然,基礎(chǔ)試題也可以作為平時作業(yè)布置給學生,對于時刻離不開手機的學生來說,不妨讓學生通過手機來完成作業(yè)。
2.3恰當處理網(wǎng)絡(luò)“教”與“學”的關(guān)系
在知識爆炸式增長的時代,計算機網(wǎng)絡(luò)中的信息資源具有海量性、生動形象性、開放性、交互性等特點。計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展也為教師與學生開展網(wǎng)絡(luò)教學和自主學習創(chuàng)造了良好的物質(zhì)條件,更為教師教學提供了另一種途徑,可以實現(xiàn)遠程授課、答疑甚至在線探討。在網(wǎng)絡(luò)環(huán)境下自主學習更有利于學生轉(zhuǎn)變傳統(tǒng)的學習觀念,激發(fā)學習熱情,提高自主學習的質(zhì)量和效率。雖然網(wǎng)絡(luò)提供了方便、快捷地獲取知識的途徑,提供了大量形象的圖片和生動的錄像,也能快速得到復(fù)雜運算的結(jié)果,但也讓很多學生養(yǎng)成只識圖不看文字、不動筆計算,作業(yè)直接從網(wǎng)上下載答案等毛病,導(dǎo)致了學生思想僵化,想象力匱乏。這種現(xiàn)象也成為網(wǎng)絡(luò)“教”與“學”急需要解決的問題之一[6]。這就要求當代高校教師不僅具有較高的網(wǎng)絡(luò)技能,還要認真研究教學的思路與方法,除擁有過硬的專業(yè)能力外,還需注重物理學中的人文主義精神培養(yǎng)。比如,講些物理學家的小故事、小插曲可以吸引學生,激發(fā)學生興趣。挖掘物理學的文化內(nèi)涵,也能培養(yǎng)學生的科學能力、創(chuàng)造能力,提高科學鑒賞力。對意志、性格、品德等非智力因素的培養(yǎng)也非常有益。借助物理學史的框架去講授大學物理正與素質(zhì)教育觀和現(xiàn)代大學物理的教學目標相一致[7]。這樣才能在應(yīng)用先進的授課手段過程中,避免產(chǎn)生思想僵化、想象力匱乏等問題。
3總結(jié)
獨立學院以培養(yǎng)應(yīng)用型人才為目標,所以在工科大學物理教學中可以摒棄精英式教學方式,根據(jù)不同專業(yè)的后續(xù)課程有所側(cè)重的教與學。而“大學物理試題庫”提供了這種可能性,不同專業(yè)的學生可根據(jù)自己的需求,有針對性的學習提高。而每一種教學媒體的使用都具有兩面性,或者受制于,或者服務(wù)于相應(yīng)的教學思想。教學工作者只能不斷改進傳統(tǒng)的思想觀念,去適應(yīng)更加現(xiàn)代的教育理念,才能充分發(fā)揮網(wǎng)絡(luò)及多媒體的優(yōu)越性。獨立學院工科“大學物理”的教學也要不斷地研究和探索,在這個過程中“大學物理網(wǎng)絡(luò)試題庫”也會被不斷的改進和完善。
點擊咨詢 