第一篇：談下一代防火墻安全特征及發(fā)展趨勢(shì)

談下一代防火墻安全特征及發(fā)展趨勢(shì)

[摘要]隨著越來(lái)越重要的信息應(yīng)用以互聯(lián)網(wǎng)作為運(yùn)行基礎(chǔ)，用戶(hù)面臨的威脅形形色色，各類(lèi)網(wǎng)絡(luò)安全問(wèn)題日益突出。尤其是黑客、計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)安全的危害，使得人們不得不重視防火墻技術(shù)。防火墻是一種行之有效的網(wǎng)絡(luò)安全機(jī)制，是在網(wǎng)絡(luò)的內(nèi)部與外部之間實(shí)施安全防范的系統(tǒng)安全。只有了解了現(xiàn)有防火墻的安全特征，才能完善安全防范手段，實(shí)現(xiàn)下一代防火墻的安全使用。根據(jù)互聯(lián)網(wǎng)目前的系統(tǒng)管理現(xiàn)狀，本文就針對(duì)下一代防火墻的安全特征進(jìn)行分析，探討其未來(lái)發(fā)展趨勢(shì)。

[關(guān)鍵詞]下一代防火墻；安全特征；發(fā)展趨勢(shì)

中圖分類(lèi)號(hào)：TM215 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2017）12-0311-01

前言：在信息化潮流的引導(dǎo)下，互聯(lián)網(wǎng)的飛速發(fā)展給人們的生活帶來(lái)便捷，人們對(duì)互聯(lián)網(wǎng)的依賴(lài)程度加大。但是，近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅越來(lái)越多的人為攻擊事件，數(shù)量劇烈上升趨勢(shì)。人們的利益受到威脅，對(duì)互聯(lián)網(wǎng)的放火墻安全性能產(chǎn)生不信任。所以，下一代防火墻的安全性值得我們探究和思考，爭(zhēng)取解決下一代互聯(lián)網(wǎng)的安全威脅。

1.研究防火墻安全特征

1.1 互聯(lián)網(wǎng)面對(duì)的安全威脅

自莫里斯蠕蟲(chóng)病毒出現(xiàn)以來(lái)，病毒的數(shù)量呈爆炸式增長(zhǎng)，安全漏洞數(shù)量增長(zhǎng)較快，系統(tǒng)或軟件的嚴(yán)重級(jí)別漏洞增多。同時(shí)，黑客等網(wǎng)絡(luò)不法分子通過(guò)網(wǎng)絡(luò)技術(shù)，攻破用戶(hù)防火墻，帶來(lái)安全威脅。對(duì)于銀行系統(tǒng)、商業(yè)系統(tǒng)、政府和軍事領(lǐng)域而言，這些比較敏感的系統(tǒng)和部門(mén)對(duì)公共通信網(wǎng)絡(luò)中存儲(chǔ)與傳輸?shù)臄?shù)據(jù)安全問(wèn)題尤為關(guān)注。目前，最常見(jiàn)的安全問(wèn)題是網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷、計(jì)算機(jī)病毒、身份信息竊取、網(wǎng)絡(luò)釣魚(yú)詐騙及分布式拒絕服務(wù)。其中計(jì)算機(jī)病毒并不獨(dú)立存在，而是寄生在其他程序之中，所以，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。身份信息的竊取也是值得我們注意的。隨著互聯(lián)網(wǎng)金融的發(fā)展，人們的身份信息與銀行資產(chǎn)很容易被黑客侵入，個(gè)人和企業(yè)的信息輕而易舉被竊取，造成巨大損失。以上種種安全問(wèn)題都需要下一代防火墻提高安全特性。

1.2 目前防火墻的安全技術(shù)標(biāo)準(zhǔn)

在2005、2006年，防火墻標(biāo)準(zhǔn)進(jìn)行了重新編制，只針對(duì)包過(guò)濾和應(yīng)用級(jí)防火墻技術(shù)，其中代理服務(wù)器要求和并列到應(yīng)用級(jí)防火墻技術(shù)中進(jìn)行描述。先后形成了《GB/T20010―2005信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則》。GB/T20281―2006標(biāo)準(zhǔn)則吸收了原來(lái)國(guó)家標(biāo)準(zhǔn)的所有重要內(nèi)容。該標(biāo)準(zhǔn)將防火墻通用技術(shù)要求分為功能、性能、安全和保證四大?。其中，功能要求是對(duì)防火墻產(chǎn)品應(yīng)具備的安全功能提出具體的要求，包括包過(guò)濾、應(yīng)用代理、內(nèi)容過(guò)濾、安全審計(jì)和安全管理等；安全要求是對(duì)防火墻自身安全和防護(hù)能力提出具體的要求；保證要求則針對(duì)防火墻開(kāi)發(fā)者和防火墻自身提出具體的要求。性能要求是對(duì)防火墻產(chǎn)品應(yīng)達(dá)到的性能指標(biāo)做出規(guī)定。同時(shí)，將防火墻產(chǎn)品進(jìn)行安全等級(jí)劃分。安全等級(jí)分為三個(gè)級(jí)別，逐級(jí)提高，功能強(qiáng)弱、安全強(qiáng)度和保證要求的高低是等級(jí)劃分的具體依據(jù)，功能、安全為該標(biāo)準(zhǔn)的安全功能要求內(nèi)容。這是我國(guó)信息安全標(biāo)準(zhǔn)中第一次將性能值進(jìn)行量化的標(biāo)準(zhǔn)。

1.3 采用防火墻系統(tǒng)的必要性

隨著越來(lái)越多重要的信息應(yīng)用以互聯(lián)網(wǎng)作為運(yùn)行基礎(chǔ)，信息安全問(wèn)題已經(jīng)成為威脅民生、社會(huì)、甚至國(guó)家安全的重要問(wèn)題。從計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的角度來(lái)看，防火墻是指強(qiáng)加于兩個(gè)網(wǎng)絡(luò)之間邊界處，以保護(hù)內(nèi)部網(wǎng)絡(luò)免遭外部網(wǎng)絡(luò)威脅的系統(tǒng)或者系統(tǒng)組合。防火墻技術(shù)作為保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的最常用技術(shù)之一，當(dāng)前全球約有三分之一的計(jì)算機(jī)是處于防火墻的保護(hù)之下。防火墻在不危機(jī)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)和其他資源的前提下，允許本地用戶(hù)使用外部網(wǎng)絡(luò)資源，并將外部未授權(quán)的用戶(hù)屏蔽在內(nèi)部網(wǎng)絡(luò)之外，從而解決了因連接外部網(wǎng)絡(luò)所帶來(lái)的安全問(wèn)題。

2.分析下一代防火墻的發(fā)展趨勢(shì)

2.1 防火墻發(fā)展的新技術(shù)趨勢(shì)

就目前國(guó)內(nèi)形勢(shì)而言，下一代防火墻發(fā)展的新技術(shù)趨勢(shì)有四方面。隨著運(yùn)行商、金融、大型企業(yè)的數(shù)據(jù)中心等用戶(hù)對(duì)安全的關(guān)注，對(duì)防火墻高吞吐量、高性能連接處理能力的要求越來(lái)越迫切。傳統(tǒng)的硬件構(gòu)架已經(jīng)無(wú)法滿(mǎn)足用戶(hù)的需求，因此多核處理，ASIC加速芯片處理等技術(shù)紛紛登場(chǎng)，高性能成為新的技術(shù)趨勢(shì)。雖然IPv6在目前推廣和普及的力度較大，但新的安全問(wèn)題也逐漸產(chǎn)生。在純IPv6網(wǎng)絡(luò)中，IPv6端與端的IPSec以及最終拜托NAT的發(fā)展構(gòu)架對(duì)防火墻產(chǎn)品的沖擊影響較大，但在IPv4/6共存階段，針對(duì)不同過(guò)渡協(xié)議混雜的背景，防火墻產(chǎn)品還是有著技術(shù)發(fā)展和實(shí)現(xiàn)的需求，所以使防火墻適用于IPv4/6也是重要技術(shù)趨勢(shì)之一?；诜阑饓τ脩?hù)的配置策略，應(yīng)用深層控制技術(shù)開(kāi)始越來(lái)越多的被提及。同時(shí)，隨著云時(shí)代的到來(lái)，各類(lèi)云服務(wù)逐漸進(jìn)入普通大眾的生活。防火墻的安全性能也伴隨著云技術(shù)的發(fā)展開(kāi)發(fā)出云服務(wù)虛擬化技術(shù)。

2.2 下一代互聯(lián)網(wǎng)高性能防火墻標(biāo)準(zhǔn)

據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2013年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，對(duì)原有《GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》進(jìn)行修訂，由于下一代互聯(lián)網(wǎng)的特性是防火墻功能屬性，所以維持原有標(biāo)準(zhǔn)名稱(chēng)。該標(biāo)準(zhǔn)與GB/T20281-2006的主要差異是增加了高性能防火墻的描述，增加了防火墻的功能分類(lèi)，加強(qiáng)了防火墻的應(yīng)用層控制能力，增加了下一代互聯(lián)網(wǎng)協(xié)議支持能力的要求，級(jí)別統(tǒng)一劃分為基本級(jí)和增強(qiáng)級(jí)。該標(biāo)準(zhǔn)安全功能主要對(duì)產(chǎn)品實(shí)現(xiàn)的功能進(jìn)行了要求。主要包括網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運(yùn)維管理三部分，其中網(wǎng)絡(luò)層控制主要包括包過(guò)濾、NAT、狀態(tài)檢測(cè)、策略路由等方面。這些安全功能新標(biāo)準(zhǔn)要求將大大提高下一代防火墻的安全特性。在環(huán)境適應(yīng)性要求方面，該標(biāo)準(zhǔn)對(duì)下一代防火墻產(chǎn)品的部署模式及下一代互聯(lián)網(wǎng)環(huán)境的適應(yīng)性支持進(jìn)行了要求。同時(shí)，該標(biāo)準(zhǔn)的性能要求對(duì)下一代防火墻的吞吐量、延遲、最大并發(fā)連接數(shù)、最大連接速率和最大事務(wù)等性能指標(biāo)進(jìn)行了要求。

2.3 網(wǎng)絡(luò)安全的實(shí)現(xiàn)

網(wǎng)絡(luò)安全的實(shí)現(xiàn)是多方面的。訪問(wèn)控制是網(wǎng)絡(luò)安全防御和保護(hù)的主要策略。進(jìn)行訪問(wèn)控制的目的是保護(hù)網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)?？刂朴脩?hù)可以訪問(wèn)網(wǎng)絡(luò)資源的范圍，為網(wǎng)絡(luò)訪問(wèn)提供限制，只允許訪問(wèn)權(quán)限的用戶(hù)訪問(wèn)網(wǎng)絡(luò)資源。且隨著當(dāng)前通信技術(shù)的快速發(fā)展，用戶(hù)對(duì)信息的安全處理、安全存儲(chǔ)、安全傳輸?shù)男枰苍絹?lái)越迫切，并受到了廣泛關(guān)注。信息在網(wǎng)絡(luò)傳輸?shù)陌踩{是由于TPC/IP協(xié)議所固有的，因此數(shù)據(jù)加密技術(shù)成為實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的必然選擇。病毒防護(hù)主要包括計(jì)算機(jī)病毒的預(yù)防、檢測(cè)與清除。最理想的防止病毒攻擊的方法就是預(yù)防，在第一時(shí)間內(nèi)阻止病毒進(jìn)入系統(tǒng)。攻擊防御對(duì)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的傳輸行為進(jìn)行實(shí)時(shí)監(jiān)視，在惡意行為被發(fā)動(dòng)時(shí)及時(shí)進(jìn)行阻止，攻擊防御可以針對(duì)特征分析及分析做出判斷。同時(shí)，網(wǎng)絡(luò)安全建設(shè)“三分技術(shù)，七分管理”。因此，除了運(yùn)用各種安全技術(shù)之外，還要建立一系列安全管理制度。使下一代防火墻真正的起到安全作用。

結(jié)語(yǔ)

總而言之，事物的發(fā)展過(guò)程是曲折的，前途是光明的。隨著人類(lèi)在經(jīng)濟(jì)、工業(yè)、軍事領(lǐng)域方面越來(lái)越多地依賴(lài)信息化管理和處理，由于信息網(wǎng)絡(luò)在設(shè)計(jì)上對(duì)安全問(wèn)題的忽視，以及爆發(fā)性應(yīng)用背后存在的使用和管理上的脫節(jié)，使互聯(lián)網(wǎng)中信息的安全性逐漸受到嚴(yán)重威脅，實(shí)用和安全矛盾逐漸顯現(xiàn)。而下一代防火墻的安全特性隨著互聯(lián)網(wǎng)的發(fā)展是不斷改進(jìn)，進(jìn)行高性能技術(shù)的研究，已有所成果。所以，關(guān)于下一代防火墻的安全特性我們要抱有積極的態(tài)度。

參考文獻(xiàn)

[1] 吳秀梅.防火墻技術(shù)及應(yīng)用教程[M].北京：清華大學(xué)出版社.2010.[2] 黎連業(yè)，張維.防火墻及其應(yīng)用技術(shù).清華大學(xué)，2004.

第二篇：下一代防火墻NGFW技術(shù)探討

下一代防火墻NGFW技術(shù)探討

摘 要：NGFW（下一代防火墻）自從2009年得到Gartner的“正名”開(kāi)始，便迅速成為邊界安全技術(shù)范疇最為炙手可熱的話題。國(guó)內(nèi)外廠商更是借勢(shì)紛紛發(fā)布各自的NGFW產(chǎn)品，但時(shí)至今日，所謂NGFW的業(yè)界標(biāo)準(zhǔn)卻依然沒(méi)有形成統(tǒng)一。因此，在當(dāng)前表現(xiàn)較為混亂的防火墻市場(chǎng)環(huán)境下，廣大用戶(hù)在面對(duì)形形色色的NGFW產(chǎn)品時(shí)，更需要關(guān)注的是本質(zhì)，而非表象。

關(guān)鍵詞：NGFW；標(biāo)準(zhǔn)；本質(zhì)NGFW概念

2009年，Gartner《定義下一代防火墻》首次對(duì)NGFW這一概念進(jìn)行了釋義，其關(guān)鍵內(nèi)容如下：

（1）標(biāo)準(zhǔn)的第一代防火墻能力：包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、狀態(tài)性協(xié)議檢測(cè)、VPN等等。

（2）集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)入侵檢測(cè)：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動(dòng)效果應(yīng)當(dāng)大于這兩部分效果的總和。

（3）應(yīng)用意識(shí)和全棧可見(jiàn)性：識(shí)別應(yīng)用和在應(yīng)用層上執(zhí)行獨(dú)立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。

（4）額外的防火墻智能：防火墻收集外來(lái)信息來(lái)做出更好地阻止決定或建立優(yōu)化的阻止規(guī)則庫(kù)。

首先對(duì)Gartner的觀點(diǎn)做個(gè)簡(jiǎn)單解讀。包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、狀態(tài)性協(xié)議檢測(cè)、VPN等安全功能傳統(tǒng)防火墻都能滿(mǎn)足；“集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)入侵檢測(cè)”則指出NGFW需要集成IPS功能，在IPS與防火墻之間能夠建立起自動(dòng)化的聯(lián)動(dòng)機(jī)制，使IPS引擎檢測(cè)到源自某個(gè)IP地址的攻擊行為后，能夠自動(dòng)由防火墻引擎采用最簡(jiǎn)單的方式直接對(duì)其進(jìn)行阻斷；“應(yīng)用意識(shí)和全?？梢?jiàn)性”更加關(guān)注應(yīng)用層控制；“額外的防火墻智能”表達(dá)了NGFW應(yīng)該能夠通過(guò)獲取外部信息，來(lái)幫助其作出更加合理與有效的安全策略。

通常情況下，傳統(tǒng)防火墻定性為面向網(wǎng)絡(luò)層安全，而NGFW則是更加關(guān)注應(yīng)用層安全。通過(guò)對(duì)Gartner的NGFW定義進(jìn)行解讀后不難發(fā)現(xiàn)，其似乎更像是對(duì)當(dāng)時(shí)防火墻技術(shù)發(fā)展的一個(gè)階段性總結(jié)。NGFW發(fā)展現(xiàn)狀

在國(guó)外安全市場(chǎng)中，PaloAlto被認(rèn)為是最先將NGFW概念應(yīng)用于產(chǎn)品的安全廠商，其通過(guò)“App-ID”、“User-ID”和“Content-ID”來(lái)詮釋NGFW產(chǎn)品對(duì)于“應(yīng)用”、“用戶(hù)”和“內(nèi)容”三個(gè)方面的安全控制與可視化管理，成為了業(yè)界NGFW產(chǎn)品特性描述的經(jīng)典。

反觀我們身處其中的國(guó)內(nèi)市場(chǎng)，NGFW產(chǎn)品的情況卻顯得有些復(fù)雜。從2011年開(kāi)始，國(guó)內(nèi)廠商陸續(xù)發(fā)布各自的下一代防火墻產(chǎn)品。有些廠商此前并無(wú)防火墻技術(shù)積累與市場(chǎng)基礎(chǔ)，但為了滿(mǎn)足自身發(fā)展需要，實(shí)現(xiàn)業(yè)務(wù)的快速擴(kuò)張，便開(kāi)始向防火墻市場(chǎng)進(jìn)軍，作為“新人”往往需要用些心思來(lái)體現(xiàn)自己的與眾不同。因此，在市場(chǎng)策略方面，將NGFW作為市場(chǎng)切入點(diǎn)或許是這類(lèi)廠商再合適不過(guò)的選擇。除此以外，該類(lèi)產(chǎn)品雖然擁有NGFW對(duì)“用戶(hù)”、“應(yīng)用”和“內(nèi)容”進(jìn)行控制的相似功能，但由于底層缺乏一套強(qiáng)大的安全系統(tǒng)架構(gòu)支撐，對(duì)于一款NGFW產(chǎn)品而言在專(zhuān)業(yè)性方面明顯不足，從“里”到“外”更像是在傳統(tǒng)上網(wǎng)行為管理產(chǎn)品基礎(chǔ)上進(jìn)行的一個(gè)簡(jiǎn)單修改。也就是說(shuō)，該類(lèi)廠商所謂的NGFW產(chǎn)品實(shí)質(zhì)上只是“優(yōu)化后的ACM+WAF”，僅此而已！NGFW發(fā)展方向

從Gartner定義下一代防火墻到現(xiàn)在已有五年時(shí)間，隨著關(guān)于NGFW的各種討論持續(xù)升溫并且越發(fā)深入，使NGFW產(chǎn)品正在向著理性方向發(fā)展。真正的NGFW應(yīng)該具有如下幾個(gè)必要特征。

3.1 更精準(zhǔn)的應(yīng)用管控能力

下一代防火墻的應(yīng)用識(shí)別引擎不僅需要識(shí)別出底層的承載協(xié)議（例如標(biāo)準(zhǔn)的HTTP協(xié)議），還能進(jìn)一步區(qū)分出上層的精確應(yīng)用協(xié)議類(lèi)型。除此以外，相比以往的安全網(wǎng)關(guān)類(lèi)產(chǎn)品，下一代防火墻更應(yīng)該關(guān)注應(yīng)用的識(shí)別率，而非特征庫(kù)的規(guī)模。下一代防火墻對(duì)于主流網(wǎng)絡(luò)應(yīng)用的識(shí)別率應(yīng)至少達(dá)到90%以上，而對(duì)于加密應(yīng)用的識(shí)別率則需要達(dá)到更高標(biāo)準(zhǔn)，尤其是對(duì)帶寬資源占用較大的各種P2P加密流量，只有這樣，才能使我們的網(wǎng)絡(luò)帶寬資源真正得到有效控制。

3.2 更加關(guān)注未知威脅的識(shí)別與防御

下一代防火墻需要以深度、精細(xì)、高效的流量安全檢測(cè)技術(shù)為基礎(chǔ)，提供入侵防御、病毒防御、僵尸網(wǎng)絡(luò)阻斷、WEB安全防護(hù)、數(shù)據(jù)防泄漏等更為全面的應(yīng)用層威脅防御能力，才能有效阻止已知的各類(lèi)安全威脅。

面對(duì)未知威脅，下一代防火墻當(dāng)然也需要提供相應(yīng)防御方案。沙箱技術(shù)目前被認(rèn)為是確定未知威脅最為有效的技術(shù)手段，而下一代防火墻借助沙箱技術(shù)能夠?yàn)榉烙粗{提供一套更為有效的解決方案。

3.3 全棧高性能安全處理

高性能尤其是應(yīng)用層高性能也是下一代防火墻必須要逾越的一道障礙。隨著硬件技術(shù)的飛速發(fā)展，多核硬件架構(gòu)逐漸在安全產(chǎn)品中得到廣泛應(yīng)用，主要包括X86多核與MIPS多核兩個(gè)陣營(yíng)。就多核技術(shù)的當(dāng)前現(xiàn)狀與發(fā)展趨勢(shì)看來(lái)，X86多核技術(shù)能夠?yàn)橄乱淮阑饓ν黄菩阅芷款i提供更加有力的硬件支撐。

3.4 由內(nèi)而外的風(fēng)險(xiǎn)可視化設(shè)計(jì)

隨著安全網(wǎng)關(guān)類(lèi)產(chǎn)品與技術(shù)的不斷發(fā)展，在業(yè)務(wù)層面，不僅使網(wǎng)關(guān)類(lèi)產(chǎn)品獲得了更全面的安全防護(hù)功能與更強(qiáng)大的數(shù)據(jù)處理能力，而管理層面的各種特性也正在成為越來(lái)越多廠商的眾矢之的。其中，通過(guò)對(duì)轉(zhuǎn)發(fā)的業(yè)務(wù)數(shù)據(jù)、檢測(cè)的安全威脅等網(wǎng)絡(luò)流量信息進(jìn)行監(jiān)控、統(tǒng)計(jì)和分析，并從用戶(hù)、應(yīng)用、內(nèi)容等多維度將網(wǎng)絡(luò)應(yīng)用及安全狀態(tài)為管理員提供全面的可視化圖表展現(xiàn)，從而使通過(guò)網(wǎng)絡(luò)傳播的安全風(fēng)險(xiǎn)得到有效掌控，這些，已經(jīng)成為網(wǎng)關(guān)產(chǎn)品的一個(gè)基礎(chǔ)特性。而作為下一代防火墻產(chǎn)品，除了關(guān)注通過(guò)網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)以外，還可以在事先對(duì)源自設(shè)備內(nèi)部的各種安全風(fēng)險(xiǎn)信息進(jìn)行有效識(shí)別。

第三篇：IT行業(yè)特征與發(fā)展趨勢(shì)

洞悉產(chǎn)業(yè)特征，引領(lǐng)行業(yè)未來(lái)

時(shí)光飛逝，轉(zhuǎn)眼間，聯(lián)欣已經(jīng)走過(guò)了13個(gè)年頭。我們05年開(kāi)始快訂通業(yè)務(wù)，7年磨一劍，現(xiàn)在已經(jīng)成為一家名副其實(shí)的信息技術(shù)企業(yè)。信息行業(yè)發(fā)展之快可以說(shuō)是前無(wú)古人，有著以下區(qū)別于傳統(tǒng)行業(yè)的幾大特點(diǎn)：

一、固定成本高，可變成本低，造成生產(chǎn)規(guī)模經(jīng)濟(jì)效應(yīng)比傳統(tǒng)行業(yè)更加顯著。

何為生產(chǎn)規(guī)模經(jīng)濟(jì)效應(yīng)？即隨著生產(chǎn)商生產(chǎn)規(guī)模的擴(kuò)大，產(chǎn)品的平均成本將隨之略微下降的現(xiàn)象。

何為固有成本和可變成本？以計(jì)算機(jī)硬件制造業(yè)為例，建設(shè)一家生產(chǎn)計(jì)算機(jī)芯片的工廠，總投資需20億美元以上（這就是固有成本），而在建成后的生產(chǎn)過(guò)程中，可變成本（生產(chǎn)芯片用的原材料即為可變成本）卻不到總成本的30%，即計(jì)算機(jī)芯片生產(chǎn)中70%以上是固定成本。

由此可見(jiàn)，信息行業(yè)隨著產(chǎn)品銷(xiāo)售量增大，實(shí)際的生產(chǎn)成本急速降低，與傳統(tǒng)行業(yè)生產(chǎn)正本與銷(xiāo)售量基本成正比或稍有減少的現(xiàn)象形成明顯對(duì)比。給我們聯(lián)欣的啟示就是：進(jìn)一步重視銷(xiāo)售，擴(kuò)大銷(xiāo)售量也是降低生產(chǎn)研發(fā)成本的一種方法！

二、研發(fā)成本高，生產(chǎn)成本相對(duì)低，技術(shù)更新快，行業(yè)外延和滲透性高，造成創(chuàng)新與風(fēng)險(xiǎn)并存。

新世紀(jì)以來(lái)，隨著全球信息產(chǎn)業(yè)競(jìng)爭(zhēng)的加劇，信息技術(shù)企業(yè)研發(fā)投資規(guī)模迅速擴(kuò)大，研究開(kāi)發(fā)投資占銷(xiāo)售額比重明顯提高。一般的信息技術(shù)企業(yè)研究開(kāi)發(fā)投資占銷(xiāo)售額比重都在5%以上，處于發(fā)展前沿的信息技術(shù)企業(yè)研究開(kāi)發(fā)投資占銷(xiāo)售額的比重甚至高達(dá)15%至20%。2000年美國(guó)網(wǎng)絡(luò)設(shè)備制造商Cisco公司研發(fā)投資27億美元，2001年美國(guó)微電子器件制造商英特爾公司研發(fā)投資超過(guò)40億美元。

信息技術(shù)水平每3年提高一倍，信息技術(shù)專(zhuān)利每年新增超過(guò)30萬(wàn)項(xiàng)，科研資料的有效壽命平均只有5年。以科技研發(fā)為先導(dǎo)、具有高創(chuàng)新性和擁有高更新頻率已經(jīng)成為世界電子信息產(chǎn)業(yè)發(fā)展的重要特征。此外，電子信息產(chǎn)業(yè)的滲透性高，不但涉及制造業(yè)，而且衍生到服務(wù)業(yè)，其產(chǎn)品的形式也日趨多樣化，極大地改變了人們的生活，對(duì)教育、醫(yī)療保健、旅游及文化娛樂(lè)等都產(chǎn)生了深刻影響。因此，技術(shù)創(chuàng)新的空間也大大擴(kuò)展。但是，由于信息技術(shù)產(chǎn)業(yè)化過(guò)程投入大、成功率不高，也使電子信息產(chǎn)業(yè)呈現(xiàn)相對(duì)較高的風(fēng)險(xiǎn)。

正所謂技術(shù)創(chuàng)新是信息產(chǎn)業(yè)發(fā)展的核心驅(qū)動(dòng)力，機(jī)會(huì)向來(lái)與風(fēng)險(xiǎn)并存，給我們聯(lián)欣的啟示就是：要拓展創(chuàng)新面，在風(fēng)險(xiǎn)中看到機(jī)會(huì)，在盡量減少不確定因素，降低風(fēng)險(xiǎn)的同時(shí)，把握機(jī)會(huì)，敢為人先，勇于創(chuàng)新！時(shí)刻牢記，不要成為第二個(gè)諾基亞！（昔日的手機(jī)巨頭，因?yàn)槠浔Ｊ氐淖藨B(tài)，如今已經(jīng)開(kāi)始被蘋(píng)果和異軍突起的HTC邊緣化）

三、用戶(hù)成本鎖定明顯，造成巨大的更新轉(zhuǎn)移成本。何為用戶(hù)成本鎖定？即用戶(hù)一旦使用上某種電子信息產(chǎn)品之后，如果要更新原有的產(chǎn)品，就會(huì)遇到巨大的更新轉(zhuǎn)移成本。

與傳統(tǒng)工業(yè)品通常具有獨(dú)立性不同，電子信息產(chǎn)品大多數(shù)處于一個(gè)系統(tǒng)中，單件產(chǎn)品難以發(fā)揮作用，只有與其他配套的產(chǎn)品相互配合，才能產(chǎn)生效用，所以，用戶(hù)一旦選定某種系統(tǒng)中的一件產(chǎn)品，就不得不采用與之相適應(yīng)的配套硬件和軟件。另外，用戶(hù)本身還存在與外界數(shù)據(jù)交換的需求，這種交換往往要求采用同一種格式，否則就會(huì)造成很大的信息交換障礙。這種狀況使得更新信息系統(tǒng)轉(zhuǎn)移成本巨大，頻繁更換供應(yīng)商幾乎不可能。一旦用戶(hù)使用上該產(chǎn)品，用戶(hù)就會(huì)“越陷越深”，直至被牢牢鎖定。鎖定程度的大小與轉(zhuǎn)移成本相關(guān)，成本越大，鎖定程度越高。

這種現(xiàn)象使不兼容的新產(chǎn)品即使性能優(yōu)良、價(jià)格便宜也難以得到推廣和使用，有利于供應(yīng)商獲得長(zhǎng)期的高額利潤(rùn)。給我們聯(lián)欣的啟示就是：做好產(chǎn)品的前提下，目光放遠(yuǎn)，哪怕即使要稍微犧牲一點(diǎn)眼前的利潤(rùn)（比如，PDA終端的價(jià)格適度下調(diào)），也要牢牢抓住客戶(hù)，因?yàn)橛辛丝蛻?hù)就有了未來(lái)?。ň拖瘳F(xiàn)在的騰訊，做什么，成什么?。?/p>

四、對(duì)標(biāo)準(zhǔn)的高度依賴(lài)，造成標(biāo)準(zhǔn)制定者必定引領(lǐng)市場(chǎng)。

由于電子信息產(chǎn)品通常是在系統(tǒng)中發(fā)揮作用。產(chǎn)品供應(yīng)商雖然可以通過(guò)成本鎖定用戶(hù)，但是畢竟一家廠商難以提供所有的配套部件，要使多家廠商發(fā)揮各自技術(shù)優(yōu)勢(shì)生產(chǎn)的產(chǎn)品能夠協(xié)調(diào)運(yùn)行，必須依賴(lài)于一個(gè)統(tǒng)一的接口標(biāo)準(zhǔn)，因而對(duì)標(biāo)準(zhǔn)的控制和介入程度實(shí)質(zhì)上標(biāo)志著技術(shù)和生產(chǎn)的競(jìng)爭(zhēng)力。如果一個(gè)國(guó)家或一家企業(yè)能夠有效控制技術(shù)標(biāo)準(zhǔn)，并且有足夠的生產(chǎn)實(shí)力，就具備了其他國(guó)家或企業(yè)難以超越的競(jìng)爭(zhēng)優(yōu)勢(shì)，不僅能夠?qū)a(chǎn)品線延伸至多種信息產(chǎn)品，進(jìn)行“縱向競(jìng)爭(zhēng)”，還可以利用手中的專(zhuān)利和專(zhuān)有技術(shù)來(lái)限制競(jìng)爭(zhēng)者生產(chǎn)兼容產(chǎn)品，或者阻撓競(jìng)爭(zhēng)者建立聯(lián)盟，進(jìn)行“橫向競(jìng)爭(zhēng)”，以確保自己在市場(chǎng)中的份額。

由此可見(jiàn)，誰(shuí)控制了標(biāo)準(zhǔn)，誰(shuí)就會(huì)在激烈的市場(chǎng)競(jìng)爭(zhēng)中取得主動(dòng)。也就是管理學(xué)中經(jīng)常提到的“一流企業(yè)定標(biāo)準(zhǔn)，二流企業(yè)做品牌，三流企業(yè)賣(mài)技術(shù)，四流企業(yè)賣(mài)產(chǎn)品”。給我們聯(lián)欣的提示就是：我們聯(lián)欣現(xiàn)在的訂貨會(huì)基本處于領(lǐng)先地位，但是不明顯，我們一定要與肖邦科技、捷慧達(dá)等同行拉大差距，將他們遠(yuǎn)遠(yuǎn)甩在身后，更大程度地掌控訂貨會(huì)市場(chǎng)，由我們聯(lián)欣來(lái)制定未來(lái)訂貨會(huì)的標(biāo)準(zhǔn)！道路艱難，所以我們更要居安思危，為自己提出更高的目標(biāo)，并努力奮斗，讓聯(lián)欣更上一層樓，盡早實(shí)現(xiàn)上市目標(biāo)！

最后獻(xiàn)打油詩(shī)一首與聯(lián)欣人共勉！（最后一句雙關(guān)，一、諧音表心志，二、隱晦剖真理）

聯(lián)眾人之志

欣繁榮尤在加領(lǐng)導(dǎo)心上

油崛于股市

第四篇：談理論發(fā)展趨勢(shì)論文

一、激勵(lì)客體和對(duì)象趨向集中于對(duì)企業(yè)經(jīng)營(yíng)者的激勵(lì)

在以往的激勵(lì)工作乃至當(dāng)前的改革中，凡涉及激勵(lì)，往往著眼于對(duì)一般職工的獎(jiǎng)懲和精神激勵(lì)，而對(duì)于企業(yè)的高層管理人員——企業(yè)經(jīng)營(yíng)者來(lái)說(shuō)則缺乏理論探討和實(shí)踐。其實(shí)，對(duì)于普通員工的激勵(lì)，相對(duì)來(lái)說(shuō)是較為容易而次要的。由于勞動(dòng)分工和生產(chǎn)專(zhuān)業(yè)化的存在和深化，每一職工的操作和工作越來(lái)越單

一、明晰和有形，確定性的工作表現(xiàn)為工作方法、方式、工業(yè)流程的標(biāo)準(zhǔn)化。這種細(xì)致的分工意味著可以比較容易地確定一系列準(zhǔn)確、精密和具體的涵蓋其工作數(shù)量、工作質(zhì)量和工作速度等方面的考核指標(biāo)體系，并以此為基礎(chǔ)，確定對(duì)職工的獎(jiǎng)懲方式和獎(jiǎng)懲程度，合理地分配組織激勵(lì)資源。而相對(duì)來(lái)說(shuō)，企業(yè)高層經(jīng)營(yíng)管理人員其工作主要是決策、計(jì)劃和人力資源開(kāi)發(fā)，其經(jīng)營(yíng)管理工作的直接成果主要是主意、指令、宗旨、目標(biāo)、規(guī)范、制度，是軟性的、無(wú)形的，同時(shí)其努力程度、能力、風(fēng)險(xiǎn)態(tài)度、投資傾向和決策正確性等內(nèi)涉及變量和滯后顯示變量囿于信息、時(shí)間和空間的限制很難及時(shí)準(zhǔn)確地用簡(jiǎn)單的考核指標(biāo)來(lái)衡量。其次，企業(yè)經(jīng)營(yíng)者的間接勞動(dòng)成果（即企業(yè)表現(xiàn)）具有非常復(fù)雜的背景和歸因。其可察變量（如資本利潤(rùn)率、企業(yè)成長(zhǎng)和增長(zhǎng)速度、全員勞動(dòng)生產(chǎn)量、產(chǎn)值、成本、技術(shù)進(jìn)步和生產(chǎn)率）其特性或根源往往不是一維而是多維的，企業(yè)經(jīng)營(yíng)管理工作量是個(gè)復(fù)雜動(dòng)態(tài)的系統(tǒng)，其可察因素往往是多維因素非線性作用的結(jié)果。這時(shí)偏倚、強(qiáng)調(diào)某一因素和特性會(huì)產(chǎn)生不適當(dāng)?shù)拇碳ぷ饔茫虼似胶飧鞣矫娴囊蛩?，進(jìn)行恰到好處的激勵(lì)決定著激勵(lì)機(jī)制的制定、激勵(lì)資源的合理導(dǎo)向和配置。再次，企業(yè)經(jīng)營(yíng)者的勞動(dòng)成果——企業(yè)表現(xiàn)，非但隱含著異常復(fù)雜的背景（如努力程度、能力、風(fēng)險(xiǎn)態(tài)度）而且還受到不少非經(jīng)營(yíng)者所能控制因素的影響（如在計(jì)劃經(jīng)濟(jì)和市場(chǎng)經(jīng)濟(jì)的混合體制下由于企業(yè)目標(biāo)多元化和行政指令的干涉而導(dǎo)致的激勵(lì)不準(zhǔn)確、不規(guī)范、不公平和證券市場(chǎng)投機(jī)行為等）。因此，對(duì)于企業(yè)經(jīng)營(yíng)者的激勵(lì)和誘導(dǎo)日益成為現(xiàn)代激勵(lì)理論的研究重點(diǎn)。

二、對(duì)企業(yè)經(jīng)營(yíng)者進(jìn)行有效的激勵(lì)和約束

已有的激勵(lì)理論主要是從心理學(xué)和組織行為學(xué)的角度來(lái)展開(kāi)研究的，激勵(lì)被認(rèn)為是通過(guò)高水平的努力實(shí)現(xiàn)組織的意愿，而這種努力以能夠滿(mǎn)足個(gè)體某些需要和動(dòng)機(jī)為條件。因此，流行的管理激勵(lì)理論可以分為兩類(lèi)。一類(lèi)是以人的心理需求和動(dòng)機(jī)為主要研究對(duì)象的激勵(lì)理論，這包括默里的需求理論、麥克萊蘭的成就激勵(lì)理論、馬斯洛的需求層次論、阿德佛的ERG理論、弗雷德里克·赫茨伯格的雙因素理論。另一類(lèi)是以人的心理過(guò)程和行為過(guò)程相互作用的動(dòng)態(tài)系統(tǒng)為研究對(duì)象的激勵(lì)過(guò)程理論。這種理論以系統(tǒng)和動(dòng)態(tài)的目光來(lái)看待激勵(lì)，這主要包括弗魯姆、波特和勞勒的期望理論、亞當(dāng)斯的公平理論、邁克爾·羅斯的歸因理論和軌跡控制理論、斯金納的強(qiáng)化理論。激勵(lì)過(guò)程理論體系較之于激勵(lì)內(nèi)容理論體系從系統(tǒng)性和動(dòng)態(tài)性的角度來(lái)說(shuō)是一種巨大的進(jìn)步，但從根本上來(lái)說(shuō)仍以對(duì)人的心理特征和以此為基礎(chǔ)的行為特征為出發(fā)點(diǎn)。而人的心理需求難以加以觀察、評(píng)估和衡量，屬于內(nèi)涉變量；同時(shí)心理特征必然因人、因時(shí)、因事而異，并處于動(dòng)態(tài)變化之中，各種激勵(lì)方法實(shí)施的可重復(fù)性差，由此而難以把握；再次隨著人們對(duì)于激勵(lì)條件的適應(yīng)性，任何激勵(lì)因素都會(huì)變成保健因素，致使管理組織激勵(lì)資源的稀缺性和激勵(lì)因素（如工資、獎(jiǎng)金）的剛性之間存在著嚴(yán)重的沖突，使得管理激勵(lì)難以持久。因此，激勵(lì)往往被認(rèn)為是屬于管理藝術(shù)和領(lǐng)導(dǎo)藝術(shù)的范疇，是一種令人敬而遠(yuǎn)之、望而生畏的工作。激勵(lì)，尤其是對(duì)企業(yè)經(jīng)營(yíng)者的激勵(lì)一直是世界性的難題，以往的激勵(lì)理論和實(shí)踐中所存在的種種問(wèn)題就是最好的說(shuō)明。但激勵(lì)是現(xiàn)代企業(yè)經(jīng)營(yíng)管理工作的一項(xiàng)職能，并依附于其他職能（如決策、計(jì)劃、人力資源開(kāi)發(fā)、指揮、控制）及其衍生的目標(biāo)，激勵(lì)歸根結(jié)底是在對(duì)其他職能履行狀況的評(píng)價(jià)的基礎(chǔ)上促進(jìn)其他職能更好地開(kāi)展的職能。因此，激勵(lì)工作的真正科學(xué)性在于以企業(yè)經(jīng)營(yíng)管理工作的性質(zhì)和規(guī)律為依據(jù)，設(shè)置合理的激勵(lì)機(jī)制和約束機(jī)制，對(duì)企業(yè)經(jīng)營(yíng)者進(jìn)行有效的激勵(lì)和約束。

事物的性質(zhì)和規(guī)律是指事物本身所具有的、區(qū)別于其他事物的特征和聯(lián)系。管理工作的性質(zhì)和規(guī)律是指管理工作本身所具有的、區(qū)別于一般勞動(dòng)和其他工作的根本屬性和內(nèi)在聯(lián)系。目前，已經(jīng)探索和歸納出企業(yè)經(jīng)營(yíng)管理工作的9種特性，即權(quán)力性、知識(shí)性、成果無(wú)形性、效果的間接性、效益的滯后性、隨機(jī)性、創(chuàng)新性、信息不對(duì)稱(chēng)性和二重性。企業(yè)經(jīng)營(yíng)者只有遵循其管理工作的性質(zhì)和規(guī)律才能做好企業(yè)經(jīng)營(yíng)管理工作。

同時(shí)，對(duì)企業(yè)經(jīng)營(yíng)管理工作性質(zhì)和規(guī)律的研究，也給我們提供了解決激勵(lì)和約束問(wèn)題的方法論。我們可以從企業(yè)經(jīng)營(yíng)管理工作的性質(zhì)和規(guī)律出發(fā)，設(shè)計(jì)對(duì)企業(yè)經(jīng)營(yíng)者的激勵(lì)和約束機(jī)制。如根據(jù)企業(yè)經(jīng)營(yíng)管理工作

效益的滯后性，即企業(yè)經(jīng)營(yíng)管理工作主要是決策、計(jì)劃和人力資源開(kāi)發(fā)，與一般勞動(dòng)和技術(shù)工作相比，管理工作的時(shí)效更強(qiáng)，其效益具有滯后性，企業(yè)管理工作的成果與失誤可能經(jīng)過(guò)若干年后才能顯示出來(lái)，企業(yè)當(dāng)前的效益可能得益于當(dāng)前管理決策的正確，也可能是以犧牲今后的長(zhǎng)遠(yuǎn)效益為代價(jià)的。我們可以設(shè)計(jì)出年薪制、遠(yuǎn)期收入制、股票購(gòu)買(mǎi)權(quán)、長(zhǎng)期雇傭制、資產(chǎn)連帶制、決策責(zé)任制等激勵(lì)約束機(jī)制。又如企業(yè)經(jīng)營(yíng)管理工作具有權(quán)力性，管理就是通過(guò)其他人來(lái)完成工作，是籌劃、組織和控制一個(gè)組織或群體的工作。凡是直接生產(chǎn)具有社會(huì)結(jié)合過(guò)程的形態(tài)，而不是表現(xiàn)為獨(dú)立生產(chǎn)者獨(dú)立勞動(dòng)的地方，都必然會(huì)產(chǎn)生監(jiān)督勞動(dòng)和指揮勞動(dòng)，管理工作具有權(quán)力性，即指揮別人的權(quán)和強(qiáng)迫別人服從的力。管理要通過(guò)各種職能機(jī)構(gòu)和人員的職、權(quán)、責(zé)活動(dòng)來(lái)進(jìn)行，管理機(jī)構(gòu)和管理人員，無(wú)論職位高低、責(zé)任輕重，都擁有一定的權(quán)力。人們除了擁有對(duì)企業(yè)的控制權(quán)力以外，還不同程度地對(duì)企業(yè)資產(chǎn)享有剩余索取權(quán)（包括股權(quán)、債權(quán)、紅利、獎(jiǎng)金、薪金），合理地?fù)碛袡?quán)力是做好管理工作的有效激勵(lì)因素。因此，又可以設(shè)計(jì)出團(tuán)隊(duì)生產(chǎn)、民主管理、參與式管理、工作擴(kuò)大化、工作豐富化、股份合作制、管理激勵(lì)和產(chǎn)權(quán)激勵(lì)的適度結(jié)合等多種方法方式。

三、從激勵(lì)方法、方式的研究過(guò)渡到對(duì)經(jīng)濟(jì)機(jī)制的設(shè)計(jì)和研究

打開(kāi)企業(yè)“黑箱”并加以抽象，企業(yè)作為有機(jī)聯(lián)系的自組織系統(tǒng)主要包含和充斥兩種主要的關(guān)系——人與物之間的關(guān)系和人與人之間的關(guān)系。人處于管理系統(tǒng)中的核心位置，通過(guò)四通八達(dá)的信息網(wǎng)絡(luò)與物（包括生產(chǎn)資料、生產(chǎn)設(shè)備、資金、運(yùn)輸工具等）和其他人相聯(lián)系。一方面，在人與物形成的對(duì)立統(tǒng)一中，人與物之間主要存在著知識(shí)的信息不對(duì)稱(chēng)。由于真正的生產(chǎn)力是作為死的勞動(dòng)的物的因素和作為活的勞動(dòng)的人的因素相結(jié)合的產(chǎn)物，而且生產(chǎn)力的大小即物的因素在生產(chǎn)力中所起的作用取決于人的能力的發(fā)揮，因此，激勵(lì)就必須使人的積極性、主動(dòng)性和首創(chuàng)性得到充分的發(fā)揮，不斷努力學(xué)習(xí)和創(chuàng)新，使人減少對(duì)物的知識(shí)的不對(duì)稱(chēng)，最大限度地使自己的認(rèn)識(shí)與客觀物質(zhì)世界相一致。另一方面，在人的組織系統(tǒng)中也存在著信息不對(duì)稱(chēng)。在企業(yè)經(jīng)營(yíng)管理中，企業(yè)經(jīng)營(yíng)管理工作者處于信息交匯中心，與企業(yè)外部管理層，如企業(yè)資產(chǎn)所有者或上級(jí)主管部門(mén)相比，企業(yè)經(jīng)營(yíng)者（即代理人）掌握的信息多或具有信息優(yōu)勢(shì)，而委托者掌握信息少，或處于信息劣勢(shì)，同時(shí)企業(yè)內(nèi)部各個(gè)階層之間也存在著這種信息不對(duì)稱(chēng)。信息不對(duì)稱(chēng)包括動(dòng)機(jī)不對(duì)稱(chēng)和知識(shí)不對(duì)稱(chēng)，從理論上講，知識(shí)不對(duì)稱(chēng)是可以解決的，而動(dòng)機(jī)不對(duì)稱(chēng)則難以克服。信息不對(duì)稱(chēng)又必然導(dǎo)致逆選擇行為和敗德行為。由于企業(yè)及其組織內(nèi)部充斥著四通八達(dá)的、縱橫交錯(cuò)的信息流和信息網(wǎng)絡(luò)，同時(shí)又伴隨著不可避免的信息不對(duì)稱(chēng)，因而傳統(tǒng)的僅限于局部的、具體的、微觀的激勵(lì)方法、方式只能對(duì)有限時(shí)間和空間的信息，予以疏導(dǎo)和規(guī)整，在一定程度上激發(fā)企業(yè)人員的工作積極性和主動(dòng)性而不能從根本上解決對(duì)企業(yè)人員尤其是對(duì)企業(yè)經(jīng)營(yíng)者的激勵(lì)問(wèn)題。也正是在這種意義上，激勵(lì)成為管理學(xué)、組織行為學(xué)、信息經(jīng)濟(jì)學(xué)和制度經(jīng)濟(jì)學(xué)的前沿研究領(lǐng)域。

解決問(wèn)題的關(guān)鍵途徑在于經(jīng)濟(jì)機(jī)制的設(shè)計(jì)理論。以系統(tǒng)、健全、完整和適宜的經(jīng)濟(jì)機(jī)制自動(dòng)有效的整合和規(guī)范企業(yè)的信息通道，減少信息不對(duì)稱(chēng)，提高企業(yè)人員的工作積極性，以盡量少的成本和組織資源來(lái)更好地完成組織功能和實(shí)現(xiàn)資源帕累托最優(yōu)配置，經(jīng)濟(jì)機(jī)制和制度的設(shè)計(jì)主要包括三個(gè)方面，一個(gè)方面是市場(chǎng)機(jī)制的設(shè)置，包括產(chǎn)品市場(chǎng)、要素市場(chǎng)和資本市場(chǎng)的制度設(shè)置，但由于現(xiàn)實(shí)中的三種市場(chǎng)皆為不完全信息市場(chǎng)，因此就給政府宏觀調(diào)控機(jī)制和企業(yè)內(nèi)部經(jīng)濟(jì)機(jī)制的設(shè)計(jì)留下創(chuàng)新的空間。作為行為主體的政府，其運(yùn)作機(jī)制的設(shè)置主要目標(biāo)是，規(guī)范和調(diào)節(jié)市場(chǎng)秩序，兼顧市場(chǎng)效率和公平，為企業(yè)創(chuàng)造公平、透明的市場(chǎng)環(huán)境，使市場(chǎng)信號(hào)能真實(shí)地反映企業(yè)的利潤(rùn)指標(biāo)和經(jīng)營(yíng)績(jī)效，使企業(yè)有參與市場(chǎng)競(jìng)爭(zhēng)、創(chuàng)造佳績(jī)的積極性和主動(dòng)性。而對(duì)企業(yè)制度的設(shè)計(jì)則主要是建立和完善規(guī)范的公司制下的內(nèi)部治理結(jié)構(gòu)和組織結(jié)構(gòu)，尤其是新老三會(huì)的合理制衡體系，規(guī)范企業(yè)經(jīng)營(yíng)行為，以減少信息不對(duì)稱(chēng)和責(zé)任不對(duì)等所導(dǎo)致的經(jīng)營(yíng)者的機(jī)會(huì)主義行為，進(jìn)而使經(jīng)營(yíng)者和所有者之間、各級(jí)管理者之間激勵(lì)趨于相容，同時(shí)構(gòu)建和完善產(chǎn)權(quán)激勵(lì)機(jī)制和管理激勵(lì)機(jī)制。

第五篇：淺談分布式防火墻技術(shù)的應(yīng)用與發(fā)展趨勢(shì)

淺談分布式防火墻技術(shù)的應(yīng)用與發(fā)展趨勢(shì)

傳統(tǒng)的防火墻分為包過(guò)濾型和代理型，他們都有各自的缺點(diǎn)與局限性。隨著計(jì)算機(jī)安全技術(shù)的發(fā)展和用戶(hù)對(duì)防火墻功能要求的提高，目前出現(xiàn)一種新型防火墻，那就是“分布式防火墻”，英文名為“Distributed Firewalls”。它是在目前傳統(tǒng)的邊界式防火墻基礎(chǔ)上開(kāi)發(fā)的。但目前主要是以軟件形式出現(xiàn)的，也有一些國(guó)際著名網(wǎng)絡(luò)設(shè)備開(kāi)發(fā)商開(kāi)發(fā)生產(chǎn)了：集成分布式防火墻技術(shù)的硬件分布式防火墻，做成嵌入式防火墻PCI卡或PCMCIA卡的形式，但負(fù)責(zé)集中管理的還是一個(gè)服務(wù)器軟件。因?yàn)槭菍⒎植际椒阑饓夹g(shù)集成在硬件上，所以通常稱(chēng)之為“嵌入式防火墻”，其實(shí)其核心技術(shù)就是“分布式防火墻”技術(shù)。

1．分布式防火墻的產(chǎn)生

1．1 傳統(tǒng)防火墻的缺陷

傳統(tǒng)防火墻根據(jù)所采用的技術(shù)，可以分為包過(guò)濾型和代理型。下面重點(diǎn)介紹包過(guò)濾型防火墻和應(yīng)用網(wǎng)關(guān)防火墻的原理及其缺點(diǎn)。

包過(guò)濾防火墻的工作原理：包過(guò)濾技術(shù)包括兩種基本類(lèi)型：無(wú)狀態(tài)檢查的包過(guò)濾和有狀態(tài)檢查的包過(guò)濾，其區(qū)別在于后者通過(guò)記住防火墻的所有通信狀態(tài)，并根據(jù)狀態(tài)信息來(lái)過(guò)濾整個(gè)通信流，而不僅僅是包。包過(guò)濾是在IP層實(shí)現(xiàn)的，因此，它可以只用路由器完成。包過(guò)濾根據(jù)包的源IP地址、目的IP地址、源端口、目的端口及包傳遞方向等報(bào)頭信息來(lái)判斷是否允許包通過(guò)。過(guò)濾用戶(hù)定義的內(nèi)容，如IP地址。其工作原理是系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無(wú)關(guān)，包過(guò)濾器的應(yīng)用非常廣泛，因?yàn)镃PU用來(lái)處理包過(guò)濾的時(shí)間可以忽略不計(jì)。而且這種防護(hù)措施透明，合法用戶(hù)在進(jìn)出網(wǎng)絡(luò)時(shí)，根本感覺(jué)不到它的存在，使用起來(lái)很方便。這樣系統(tǒng)就具有很好的傳輸性能，易擴(kuò)展。但是這種防火墻不太安全，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無(wú)感知――也就是說(shuō)，它們不理解通信的內(nèi)容，不能在用戶(hù)級(jí)別上進(jìn)行過(guò)濾，即不能識(shí)別不同的用戶(hù)和防止IP地址的盜用。如果攻擊者把自己主機(jī)的IP地址設(shè)成一個(gè)合法主機(jī)的IP地址，就可以很輕易地通過(guò)包過(guò)濾器，這樣更容易被黑客攻破?；谶@種工作機(jī)制，包過(guò)濾防火墻有以下缺陷：

（1）特洛伊木馬使包過(guò)濾器失效；

（2）第0個(gè)分段中便過(guò)濾TCP；

（3）只能訪問(wèn)部分?jǐn)?shù)據(jù)包的頭信息；

（4）不能保存來(lái)自于通信和應(yīng)用的狀態(tài)信息；

（5）處理信息的能力有限。

（6）允許1024以上的端口通過(guò)； 應(yīng)用網(wǎng)關(guān)防火墻也存在著許多缺陷：

（1）不能為UDP、RPC等協(xié)議族提供代理；

（2）可提供的服務(wù)數(shù)和伸縮性也有限；

（3）不能被設(shè)置為網(wǎng)絡(luò)透明工作；

（4）容易消除阻斷的URL；

（5）無(wú)法保護(hù)操作系統(tǒng)；

（6）管理復(fù)雜，影響系統(tǒng)的整體性能等。

基于上述原因，一種新型的防火墻技術(shù)，分布式防火墻（Distributed Firewalls）技術(shù)產(chǎn)生了。它可以很好地解決邊界防火墻以上的不足，它通過(guò)把防火墻的安全防護(hù)系統(tǒng)延伸到網(wǎng)絡(luò)中各臺(tái)主機(jī)，一方面有效地保證了用戶(hù)的投資不會(huì)很高，另一方面給網(wǎng)絡(luò)帶來(lái)全面的安全防護(hù)。

1．2 分布式防火墻定義

1．廣義分布式防火墻

防火墻是一道介于開(kāi)放的、不安全的公共網(wǎng)與信息、資源匯集的內(nèi)部網(wǎng)之間的屏障，由一個(gè)或一組系統(tǒng)組成。

圖

（二）其工作原理由圖所示。

廣義分布式防火墻是一種全新的防火墻體系結(jié)構(gòu)，包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理三部分：

（1）網(wǎng)絡(luò)防火墻（Network Firewall）：用于內(nèi)部網(wǎng)與外部網(wǎng)之間(即傳統(tǒng)的邊界防火墻)和內(nèi)部網(wǎng)與子網(wǎng)之間的防護(hù)產(chǎn)品，后者區(qū)別于前者的一個(gè)特征是需要支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議。

（2）主機(jī)防火墻（Host Firewall）：有純軟件和硬件兩種產(chǎn)品，是用于對(duì)網(wǎng)絡(luò)的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。它是作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。它達(dá)到了應(yīng)用層的安全防護(hù)，比起網(wǎng)絡(luò)層更加徹底。

（3）中心管理（Central Management）：這是一個(gè)防火墻服務(wù)器管理軟件，負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總。這是新的防火墻的管理功能，也是以前傳統(tǒng)邊界防火墻所不具有的。

2．分布式防火墻的特點(diǎn)

綜合起來(lái)分布式防火墻技術(shù)具有以下幾個(gè)主要特點(diǎn)：

1．保護(hù)全面性

分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為“不友好的”。它們對(duì)個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。對(duì)于Web服務(wù)器來(lái)說(shuō)，分布式防火墻進(jìn)行配置后能夠阻止一些非必要的協(xié)議，如HTTP 和 HTTPS之外的協(xié)議通過(guò)，從而阻止了非法入侵的發(fā)生，同時(shí)還具有入侵檢測(cè)及防護(hù)功能。

2．主機(jī)駐留性

分布式防火墻是一種主機(jī)駐留式的安全系統(tǒng)。主機(jī)防火墻對(duì)分布式防火墻體系結(jié)構(gòu)的突出貢獻(xiàn)是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個(gè)網(wǎng)絡(luò)末端。

3．嵌入操作系統(tǒng)內(nèi)核

主要是針對(duì)目前的純軟件式分布式防火墻。操作系統(tǒng)自身存在許多安全漏洞，運(yùn)行在其上的應(yīng)用軟件無(wú)一不受到威脅。分布式主機(jī)防火墻也運(yùn)行在主機(jī)上，所以其運(yùn)行機(jī)制是主機(jī)防火墻的關(guān)鍵技術(shù)之一。為自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機(jī)防火墻的安全監(jiān)測(cè)核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)。為實(shí)現(xiàn)這樣的運(yùn)行機(jī)制，除防火墻廠商自身的開(kāi)發(fā)技術(shù)外，與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件，因?yàn)檫@需要一些操作系統(tǒng)不公開(kāi)內(nèi)部技術(shù)接口。

4．類(lèi)似個(gè)人防火墻

針對(duì)桌面應(yīng)用的狹義分布式防火墻與個(gè)人防火墻有相似之處，如都對(duì)應(yīng)個(gè)人系統(tǒng)，但兩者的差別又是本質(zhì)的。首先，它們的管理方式不同，個(gè)人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，目標(biāo)是防止外部攻擊;而針對(duì)桌面應(yīng)用的狹義防火墻的安全策略是由管理員統(tǒng)一設(shè)置，除了對(duì)該桌面系統(tǒng)起到保護(hù)作用外，還對(duì)該桌面系統(tǒng)的對(duì)外訪問(wèn)加以控制，并且這種安全機(jī)制是使用者不能改動(dòng)的。其次，個(gè)人防火墻面向個(gè)人用戶(hù)，而針對(duì)桌面應(yīng)用的狹義防火墻面向的是企業(yè)級(jí)用戶(hù)，是企業(yè)級(jí)安全解決方案的組成部分。

5．適用于服務(wù)器托管

不同的托管用戶(hù)都有不同數(shù)量的服務(wù)器在數(shù)據(jù)中心托管，服務(wù)器上也有不同的應(yīng)用。對(duì)于安裝了中心管理系統(tǒng)的管理終端，數(shù)據(jù)中心安全服務(wù)部門(mén)的技術(shù)人員可以對(duì)所有在數(shù)據(jù)中心委托安全服務(wù)的服務(wù)器的安全狀況進(jìn)行監(jiān)控，并提供有關(guān)的安全日志記錄。3．分布式防火墻的優(yōu)點(diǎn)

綜合起來(lái)這種新的防火墻技術(shù)具有以下幾個(gè)主要優(yōu)點(diǎn)：

1．分布式體系結(jié)構(gòu)保護(hù)內(nèi)網(wǎng)安全

分布式的系統(tǒng)構(gòu)架能夠滿(mǎn)足不同形態(tài)和規(guī)模的網(wǎng)絡(luò)，能夠適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)和規(guī)模的變化，系統(tǒng)的靈活性得到充分的體現(xiàn)。[5]分布式的安全思路是在保證每個(gè)節(jié)點(diǎn)安全的前提上，達(dá)到整個(gè)網(wǎng)絡(luò)的安全，某個(gè)節(jié)點(diǎn)的脆弱環(huán)節(jié)不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的安全遭到破壞。因此，創(chuàng)新的分布式的體系架構(gòu)對(duì)于內(nèi)網(wǎng)和移動(dòng)辦公的防黑和防木馬、防病毒都起到很好的防護(hù)作用。

2．集中管理

獨(dú)特的集中管理方式，對(duì)所有節(jié)點(diǎn)的管理可以通過(guò)統(tǒng)一的安全策略管理服務(wù)器來(lái)完成。中央策略管理服務(wù)器是一個(gè)集成的管理環(huán)境，負(fù)責(zé)給各個(gè)節(jié)點(diǎn)分發(fā)安全策略，記錄客戶(hù)端的工作狀態(tài)，記錄客戶(hù)端強(qiáng)制復(fù)制的日志，記錄服務(wù)器日志，并可以生成，指派，掃描和檢查所有的客戶(hù)端安全策略。通過(guò)集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，真正做到多主機(jī)統(tǒng)一管理，最終用戶(hù)“零”負(fù)擔(dān)。同時(shí)，通過(guò)不同的集中管理控制策略的制定，還可以對(duì)最終用戶(hù)的上網(wǎng)行為進(jìn)行控制。

3．中央控制策略動(dòng)態(tài)更新

管理員在管理服務(wù)器更新安全策略之后，會(huì)在很短的時(shí)間內(nèi)動(dòng)態(tài)分發(fā)到各個(gè)客戶(hù)端節(jié)點(diǎn)，只要客戶(hù)端的機(jī)器空閑，客戶(hù)端就會(huì)自動(dòng)從統(tǒng)一策略服務(wù)器更新策略，用戶(hù)也可以手動(dòng)啟動(dòng)安全策略更新程序?？蛻?hù)端將會(huì)自動(dòng)加載這些新的安全策略。安全策略在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中是以加密的形式完成的，不會(huì)被黑客竊聽(tīng)安全策略的具體內(nèi)容。同時(shí)客戶(hù)端所自行采用的安全策略只能比統(tǒng)一分發(fā)的中央控制策略的安全級(jí)別更高，不可以低于統(tǒng)一分發(fā)的中央控制策略的安全級(jí)別。

4．系統(tǒng)擴(kuò)展性增強(qiáng)

分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無(wú)限擴(kuò)充的能力。因?yàn)榉植际椒阑饓Ψ植荚谡麄€(gè)企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，所以它具有無(wú)限制的擴(kuò)展能力。隨著網(wǎng)絡(luò)的增長(zhǎng)，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布，因此它們的高性能可以持續(xù)保持住。而不會(huì)像邊界式防火墻一樣隨著網(wǎng)絡(luò)規(guī)模的增大而不堪重負(fù)。

4．分布式防火墻的主要功能

綜合起來(lái)分布式防火墻技術(shù)具有以下幾個(gè)主要功能：

1．控制網(wǎng)絡(luò)連接（包過(guò)濾、基于狀態(tài)的過(guò)濾）

2．應(yīng)用訪問(wèn)控制

3．網(wǎng)絡(luò)狀態(tài)監(jiān)控

4．入侵檢測(cè)

5．防御黑客攻擊

6．腳本過(guò)濾（對(duì)常見(jiàn)的各種腳本，如JavaScript、VBScript等ActiveX腳本進(jìn)行分析檢查）

7．日志管理

8．客戶(hù)端定制的安全策略

9．對(duì)安全策略、日志和數(shù)據(jù)庫(kù)的備份

10．統(tǒng)一的安全策略管理服務(wù)器 5．分布式防火墻技術(shù)的發(fā)展

隨著分布式防火墻技術(shù)的不斷發(fā)展，未來(lái)分布式防火墻技術(shù)將主要向兩個(gè)方向發(fā)展：分布式主動(dòng)型防火墻技術(shù)和分布式智能型防火墻技術(shù)。

1．分布式主動(dòng)型防火墻

隨著分布式防火墻技術(shù)的不斷發(fā)展，未來(lái)分布式防火墻技術(shù)將向分布式主動(dòng)型防火墻技術(shù)發(fā)展。不是被動(dòng)地防止攻擊，而是將內(nèi)部的攻擊拒絕在攻擊者處。有效防止來(lái)自?xún)?nèi)部的拒絕服務(wù)攻擊，使服務(wù)器能正常提供服務(wù)，從而克服分布式防火墻在防止拒絕服務(wù)攻擊上的不足。

2．分布式智能型防火墻

分布式智能型防火墻是未來(lái)分布式防火墻發(fā)展的另一個(gè)方向。它具有以下幾個(gè)特點(diǎn)：

（1）透明流量分擔(dān)技術(shù)

保證了防火墻能夠加大帶寬，同時(shí)又起到雙機(jī)設(shè)備的作用，顯著提高防火墻的可用性。其巨大的吞吐能力，保證了客戶(hù)網(wǎng)絡(luò)巨大數(shù)據(jù)流的來(lái)往，并且不會(huì)影響網(wǎng)絡(luò)速度和性能。

（2）內(nèi)核集成IPS模塊

分布式智能型防火墻將IPS作為一個(gè)模塊集成到里面，直接在主干上直接監(jiān)測(cè)并且阻斷供給，更高效更安全。并且，如果單獨(dú)放置IPS，那么這些DOS攻擊以及防掃描的工作就被提到了應(yīng)用空間去完成，顯然沒(méi)有集成之后的IPS直接在防火墻的內(nèi)核處理的效率和穩(wěn)定性高。

（3）預(yù)置防IP欺騙策略

智能型分布式防火墻的“防黒客”功能，能夠?qū)P欺騙，碎片攻擊，源路由攻擊，DOS攻擊等各種黑客攻擊進(jìn)行有效的抵抗和防御。

結(jié)論：

縱觀防火墻技術(shù)的發(fā)展歷史，分布式防火墻技術(shù)無(wú)疑是一座里程碑。它不但彌補(bǔ)了傳統(tǒng)邊界式防火墻的不足，而且把防火墻的安全防護(hù)系統(tǒng)延伸到網(wǎng)絡(luò)中各臺(tái)主機(jī)，一方面有效地保證了用戶(hù)的投資不會(huì)很高，另一方面給網(wǎng)絡(luò)帶來(lái)全面的安全防護(hù)。分布式防火墻分布在整個(gè)企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，具有無(wú)限制的擴(kuò)展能力，隨著網(wǎng)絡(luò)的增長(zhǎng)，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布，進(jìn)而持續(xù)保持高性能。然而當(dāng)前黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對(duì)分布式防火墻技術(shù)提出了更高的要求。分布式防火墻技術(shù)只有不斷向主動(dòng)型和智能型等方向發(fā)展，才能滿(mǎn)足人們對(duì)防火墻技術(shù)日益增長(zhǎng)的需求。