第一篇：基于網(wǎng)絡(luò)的企業(yè)資源邊界厘定研究論文

摘要：如今企業(yè)面臨著日趨激烈的外部市場(chǎng)環(huán)境，速度是決定企業(yè)成敗的關(guān)鍵因素，企業(yè)通過(guò)建立企業(yè)網(wǎng)絡(luò)來(lái)提升滿足客戶需求的速度，然而對(duì)于網(wǎng)絡(luò)的企業(yè)資源邊界的厘定又成為建立企業(yè)網(wǎng)絡(luò)所要面臨的新問(wèn)題，通過(guò)對(duì)企業(yè)邊界的三個(gè)性質(zhì)即：動(dòng)態(tài)性、模糊性、滲透性三個(gè)方面的理解，運(yùn)用網(wǎng)絡(luò)的企業(yè)與市場(chǎng)模型對(duì)網(wǎng)絡(luò)的企業(yè)資源邊界的厘定進(jìn)行了討論。

關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)；企業(yè)邊界；市場(chǎng)模型關(guān)于企業(yè)網(wǎng)絡(luò)概念的定義

管理學(xué)意義上的企業(yè)網(wǎng)絡(luò)無(wú)非是指企業(yè)的利益相關(guān)者集合。而企業(yè)的利益相關(guān)者是組織外部環(huán)境和內(nèi)部環(huán)境中與組織決策和行動(dòng)有影響的任何相關(guān)者。利益相關(guān)者可能是客戶內(nèi)部的(如雇員)，也可能是客戶外部的(如供應(yīng)商或壓力群體)。而本文所討論的企業(yè)網(wǎng)絡(luò)的概念有必要提出來(lái)對(duì)此予以區(qū)分，在本文所討論的企業(yè)網(wǎng)絡(luò)特指兩個(gè)或兩個(gè)以上的獨(dú)立的經(jīng)濟(jì)實(shí)體成員之間構(gòu)成的社會(huì)、技術(shù)及交換關(guān)系的總和。具體的組織形式有以下四個(gè)；

(1)戰(zhàn)略聯(lián)盟。是指由兩個(gè)或兩個(gè)以上有共同戰(zhàn)略利益和對(duì)等經(jīng)營(yíng)實(shí)力的企業(yè)。為達(dá)到擁有市場(chǎng)、共同使用資源等戰(zhàn)略目標(biāo)，通過(guò)各種協(xié)議、契約而結(jié)成的優(yōu)勢(shì)互補(bǔ)或優(yōu)勢(shì)相長(zhǎng)、風(fēng)險(xiǎn)共擔(dān)、生產(chǎn)要素水平式雙向或多向流動(dòng)的一種松散的合作模式。

(2)虛擬企業(yè)。是指聯(lián)合多個(gè)企業(yè)的才干和能力共同創(chuàng)造某項(xiàng)產(chǎn)品和服務(wù)的過(guò)程，就像波音公司在生產(chǎn)777客機(jī)時(shí)，不僅包括了它的下級(jí)承包商，而且也結(jié)合了聯(lián)合航空公司和日本航空公司的才干和經(jīng)驗(yàn)。

(3)動(dòng)態(tài)團(tuán)隊(duì)協(xié)作。是指通過(guò)在公司內(nèi)部或公司之間進(jìn)行資源重組來(lái)把握和傳遞具體的市場(chǎng)機(jī)遇。

(4)知識(shí)聯(lián)網(wǎng)。是指通過(guò)不斷變化的、互利的方式聯(lián)合各個(gè)企業(yè)的知識(shí)、經(jīng)驗(yàn)、技巧和能力。網(wǎng)絡(luò)的企業(yè)邊界的滲透性、模糊性與動(dòng)態(tài)性

在傳統(tǒng)企業(yè)中，適應(yīng)靜態(tài)環(huán)境的要求，企業(yè)的邊界是明確而固定的；而在動(dòng)態(tài)環(huán)境中，企業(yè)的邊界不可避免地隨著企業(yè)環(huán)境的變化而變化。而網(wǎng)絡(luò)企業(yè)間的邊界明顯呈現(xiàn)出相互滲透和模糊化的趨勢(shì)。

從具體企業(yè)的成長(zhǎng)過(guò)程來(lái)看，當(dāng)一個(gè)企業(yè)剛剛成立之時(shí)。規(guī)模不是很大，幾乎所有決策都由企業(yè)的最高層決定，與其他企業(yè)的聯(lián)系幾乎沒(méi)有。在傳統(tǒng)的觀點(diǎn)中，價(jià)值鏈條上的每個(gè)企業(yè)或環(huán)節(jié)都被看作是彼此獨(dú)立與分割的單位，他們之間更多的是爭(zhēng)斗而非合作。這導(dǎo)致了價(jià)值鏈上的企業(yè)處于相互廝殺的競(jìng)爭(zhēng)環(huán)境中。企業(yè)為了各自的利益，相互爭(zhēng)斗，鏈條上的每個(gè)環(huán)節(jié)之間的邊界確定而牢固，導(dǎo)致的結(jié)果是：信息分享十分艱難，財(cái)務(wù)、測(cè)量和報(bào)酬系統(tǒng)彼此分割，企業(yè)的資源利用率低下。在關(guān)于價(jià)值鏈的新觀點(diǎn)中，企業(yè)合作代替了競(jìng)爭(zhēng)。企業(yè)認(rèn)識(shí)到他們有一個(gè)共同的目標(biāo)——贏得顧客，而達(dá)到目標(biāo)的最好方法是彼此合作。計(jì)算機(jī)化的信息連結(jié)，充分體現(xiàn)了價(jià)值鏈各環(huán)節(jié)問(wèn)的合作與協(xié)調(diào)。這就決定了企業(yè)的邊界具有相當(dāng)?shù)膭?dòng)態(tài)性和模糊性，市場(chǎng)和企業(yè)不是相互對(duì)立的，而是相互聯(lián)結(jié)，相互滲透的，這種相互聯(lián)結(jié)和相互滲透最終導(dǎo)致了企業(yè)間復(fù)雜易變的網(wǎng)絡(luò)結(jié)構(gòu)和豐富多樣的制度安排也就是說(shuō)企業(yè)組織與市場(chǎng)之間并不存在明確的邊界，其邊界又是動(dòng)態(tài)的。網(wǎng)絡(luò)的企業(yè)與市場(chǎng)模型

下面通過(guò)網(wǎng)絡(luò)的企業(yè)與市場(chǎng)模型來(lái)探討網(wǎng)絡(luò)的企業(yè)邊界的厘定問(wèn)題。此模型又三部分組成，第一部分為市場(chǎng)。第二部分為各個(gè)企業(yè)，這里的企業(yè)是指各種價(jià)值相關(guān)的企業(yè)，它們可以通過(guò)自身的力量滿足市場(chǎng)也可以通過(guò)一體化過(guò)程來(lái)滿足市場(chǎng)，此模型中只舉例了A、B、C三個(gè)企業(yè)第三部分為存在于企業(yè)和市場(chǎng)之間的各種經(jīng)濟(jì)與非經(jīng)濟(jì)關(guān)系。如企業(yè)與政府的關(guān)系。企業(yè)必須處理好這些關(guān)系才能在競(jìng)爭(zhēng)中取得優(yōu)勢(shì)。在模型一中，每個(gè)企業(yè)作為獨(dú)立的個(gè)體與市場(chǎng)相接觸。這僅僅適合于市場(chǎng)規(guī)模狹小，消費(fèi)者需求單一的情況下，企業(yè)通過(guò)處理好作用于市場(chǎng)與企業(yè)之間的各種經(jīng)濟(jì)與非經(jīng)濟(jì)關(guān)系后通過(guò)自身單獨(dú)的力量就可以滿足市場(chǎng)與消費(fèi)者。在模型二中，A、B、C三個(gè)企業(yè)形成了企業(yè)網(wǎng)絡(luò)，不管他們是通過(guò)聯(lián)盟的形式還是虛擬企業(yè)或者是一體化，總之是通過(guò)某種利益關(guān)系使某種資源共享而緊密的聯(lián)系在一起。

通過(guò)建立企業(yè)網(wǎng)絡(luò)來(lái)面對(duì)市場(chǎng)，使網(wǎng)絡(luò)的企業(yè)整合資源資源達(dá)成1+1>2的效果，但其中又會(huì)出現(xiàn)機(jī)會(huì)主義和搭便車現(xiàn)象，這就存在著網(wǎng)絡(luò)的企業(yè)邊界的如何厘定問(wèn)題。不管是科斯通過(guò)交易費(fèi)用對(duì)企業(yè)邊界的厘定還是威廉姆森通過(guò)資產(chǎn)專用性對(duì)企業(yè)邊界的厘定等。他們都是對(duì)單個(gè)企業(yè)與市場(chǎng)邊界的問(wèn)題做出的探討。而對(duì)于網(wǎng)絡(luò)的企業(yè)邊界問(wèn)題-存在一個(gè)企業(yè)，市場(chǎng)。和政府的博弈問(wèn)題。

(1)企業(yè)之間、市場(chǎng)的博弈。如圖所示三個(gè)企業(yè)A、B、C。假設(shè)三個(gè)企業(yè)在價(jià)值鏈上是相關(guān)關(guān)系，A企業(yè)可以作為B、c企業(yè)的供應(yīng)者，而B(niǎo)、c作為競(jìng)爭(zhēng)性的兩家企業(yè)。在A、B、C三個(gè)企業(yè)之間形成網(wǎng)絡(luò)關(guān)系，為防止搭便車和機(jī)會(huì)主義現(xiàn)象。三者進(jìn)行博弈。三個(gè)獨(dú)立的個(gè)體如果他們之間形成網(wǎng)絡(luò)后所得到的利益達(dá)不到一個(gè)平衡點(diǎn)。那么就會(huì)出現(xiàn)違約，機(jī)會(huì)主義等現(xiàn)象。關(guān)于這個(gè)平衡點(diǎn)有兩層意義，第一層意義是形成企業(yè)網(wǎng)絡(luò)的管理費(fèi)用和整個(gè)網(wǎng)絡(luò)與市場(chǎng)的交易費(fèi)用之間的平衡；第二層意義是單個(gè)企業(yè)得到的利益和形成企業(yè)網(wǎng)絡(luò)之后得到的利益的平衡。

(2)企業(yè)與政府之間的博弈。政府參與企業(yè)的活動(dòng)可以有兩種不同的態(tài)度，一種是積極的支持，一種是不積極的支持；企業(yè)參與政府的活動(dòng)也有兩種不同的態(tài)度，一種是積極介人活動(dòng)，另一種是消極甚至活動(dòng)。政府和企業(yè)之間如何進(jìn)行最優(yōu)決策，這又涉及到政府和企業(yè)之間的博弈。

因此，通過(guò)對(duì)網(wǎng)絡(luò)企業(yè)的動(dòng)態(tài)性、模糊性、滲透性的探討，并運(yùn)用網(wǎng)絡(luò)的企業(yè)與市場(chǎng)模型進(jìn)行分析，對(duì)網(wǎng)絡(luò)的企業(yè)邊界的厘定進(jìn)行了探討。在日趨激烈的外部市場(chǎng)環(huán)境下。企業(yè)為爭(zhēng)強(qiáng)競(jìng)爭(zhēng)力與它建立互利業(yè)務(wù)關(guān)系的利益關(guān)系方(顧客、員工、供應(yīng)商、分銷商、零售商、競(jìng)爭(zhēng)者等)結(jié)成了網(wǎng)絡(luò)。企業(yè)的邊界隨之而發(fā)生了變化呈現(xiàn)出動(dòng)態(tài)性，模糊性以及相互滲透性。對(duì)網(wǎng)絡(luò)的企業(yè)邊界的厘定也出現(xiàn)了一些新的變化。必須通過(guò)各方面的思考。綜合企業(yè)、市場(chǎng)、和政府各方的利益和意見(jiàn)。把握好網(wǎng)絡(luò)企業(yè)邊界的動(dòng)態(tài)性、模糊性、滲透性，使企業(yè)更具競(jìng)爭(zhēng)力。

第二篇：典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

典型中小企業(yè)網(wǎng)絡(luò)邊界安全解決方案

意見(jiàn)征詢稿

Hillstone Networks Inc.2010年9月29日

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

目錄 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析..................................................................................................................6 典型中小企業(yè)網(wǎng)絡(luò)安全威脅..................................................................................................................8 典型中小企業(yè)網(wǎng)絡(luò)安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要進(jìn)行有效的訪問(wèn)控制..........................................................................................................10 深度應(yīng)用識(shí)別的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要實(shí)現(xiàn)實(shí)名制管理....................................................................................................................11 需要實(shí)現(xiàn)全面URL過(guò)濾.............................................................................................................12 需要實(shí)現(xiàn)IPSEC VPN..................................................................................................................12 需要實(shí)現(xiàn)集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6

安全技術(shù)選擇..............................................................................................................................................................13 技術(shù)選型的思路和要點(diǎn)........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可認(rèn)證性........................................................................................................................13 再次保障鏈路暢通性....................................................................................................................14 最后是穩(wěn)定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制與審計(jì)......................................................................................................16 基于深度應(yīng)用識(shí)別的訪問(wèn)控制.................................................................................................17 深度內(nèi)容安全(UTMPlus?)......................................................................................................17 高性能病毒過(guò)濾.............................................................................................................................18 靈活高效的帶寬管理功能..........................................................................................................19 強(qiáng)大的URL地址過(guò)濾庫(kù).............................................................................................................21 高性能的應(yīng)用層管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 選擇山石安全網(wǎng)關(guān)的原因....................................................................................................................14 3.2.10 高可靠的冗余備份能力...............................................................................................................22 4 系統(tǒng)部署說(shuō)明..............................................................................................................................................................23 4.1 4.2 安全網(wǎng)關(guān)部署設(shè)計(jì)..................................................................................................................................24 安全網(wǎng)關(guān)部署說(shuō)明..................................................................................................................................25 / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5

部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置訪問(wèn)控制策略........................................................................................................................30 配置帶寬控制策略........................................................................................................................31 上網(wǎng)行為日志管理........................................................................................................................33 實(shí)現(xiàn)URL過(guò)濾................................................................................................................................35 實(shí)現(xiàn)網(wǎng)絡(luò)病毒過(guò)濾........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 實(shí)現(xiàn)安全移動(dòng)辦公........................................................................................................................38 方案建設(shè)效果..............................................................................................................................................................38 / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 前言

1.1 方案目的

本方案的設(shè)計(jì)對(duì)象為國(guó)內(nèi)中小企業(yè)，方案中定義的中小型企業(yè)為：人員規(guī)模在2千人左右，在全國(guó)各地有分支機(jī)構(gòu)，有一定的信息化建設(shè)基礎(chǔ)，信息網(wǎng)絡(luò)覆蓋了總部和各個(gè)分支機(jī)構(gòu)，業(yè)務(wù)系統(tǒng)有支撐企業(yè)運(yùn)營(yíng)的ERP系統(tǒng)，支撐企業(yè)員工處理日常事務(wù)的OA系統(tǒng)，和對(duì)外進(jìn)行宣傳的企業(yè)網(wǎng)站；業(yè)務(wù)集中在總部，各個(gè)分支機(jī)構(gòu)可遠(yuǎn)程訪問(wèn)業(yè)務(wù)系統(tǒng)完成相關(guān)的業(yè)務(wù)操作。

根據(jù)當(dāng)前國(guó)內(nèi)企業(yè)的發(fā)展趨勢(shì)，中小企業(yè)呈現(xiàn)出快速增長(zhǎng)的勢(shì)頭，計(jì)算機(jī)系統(tǒng)為企業(yè)的管理、運(yùn)營(yíng)、維護(hù)、辦公等提供了高效的運(yùn)行條件，為企業(yè)經(jīng)營(yíng)決策提供了有力支撐，為企業(yè)的對(duì)外宣傳發(fā)揮了重要的作用，因此企業(yè)對(duì)信息化建設(shè)的依賴也越來(lái)越強(qiáng)，但同時(shí)由于計(jì)算機(jī)網(wǎng)絡(luò)所普遍面臨的安全威脅，又給企業(yè)的信息化帶來(lái)嚴(yán)重的制約，互聯(lián)網(wǎng)上的黑客攻擊、蠕蟲(chóng)病毒傳播、非法滲透等，嚴(yán)重威脅著企業(yè)信息系統(tǒng)的正常運(yùn)行；內(nèi)網(wǎng)的非法破壞、非法授權(quán)訪問(wèn)、員工故意泄密等事件，也是的企業(yè)的正常運(yùn)營(yíng)秩序受到威脅，如何做到既高效又安全，是大多數(shù)中小企業(yè)信息化關(guān)注的重點(diǎn)。

而作為信息安全體系建設(shè)，涉及到各個(gè)層面的要素，從管理的角度，涉及到組織、制度、流程、監(jiān)督等，從技術(shù)的角度，設(shè)計(jì)到物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和運(yùn)維層，本方案的重點(diǎn)是網(wǎng)絡(luò)層的安全建設(shè)，即通過(guò)加強(qiáng)對(duì)基礎(chǔ)網(wǎng)絡(luò)的安全控制和監(jiān)控手段，來(lái)提升基礎(chǔ)網(wǎng)絡(luò)的安全性，從而為上層應(yīng)用提供安全的運(yùn)行環(huán)境，保障中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

1.2 方案概述

本方案涉及的典型中小型企業(yè)的網(wǎng)絡(luò)架構(gòu)為：兩級(jí)結(jié)構(gòu)，縱向上劃分為總部與分支機(jī)構(gòu)，總部/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫(kù)，分支機(jī)構(gòu)只有終端，業(yè)務(wù)訪問(wèn)則是通過(guò)專線鏈路直接訪問(wèn)到總部；總部及分支機(jī)構(gòu)均有互聯(lián)網(wǎng)出口，提供給員工進(jìn)行上網(wǎng)訪問(wèn)，同時(shí)總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。典型中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)可表示如下：

典型中小型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖

為保障中小企業(yè)網(wǎng)絡(luò)層面的安全防護(hù)能力，本方案結(jié)合山石網(wǎng)科集成化安全平臺(tái)，在對(duì)中小企業(yè)信息網(wǎng)絡(luò)安全域劃分的基礎(chǔ)上，從邊界安全防護(hù)的角度，實(shí)現(xiàn)以下的安全建設(shè)效果：

? 實(shí)現(xiàn)有效的訪問(wèn)控制：對(duì)員工訪問(wèn)互聯(lián)網(wǎng)，以及員工訪問(wèn)業(yè)務(wù)系統(tǒng)的行為進(jìn)行有效控制，杜絕非法訪問(wèn)，禁止非授權(quán)訪問(wèn)，保障訪問(wèn)的合法性和合規(guī)性； ? 實(shí)現(xiàn)有效的集中安全管理：中小型企業(yè)的管理特點(diǎn)為總部高度集中模式，通過(guò)網(wǎng)關(guān)的集中管理系統(tǒng)，中小企業(yè)能夠集中監(jiān)控總部及各個(gè)分支機(jī)構(gòu)員工的網(wǎng)絡(luò)訪問(wèn)行為，做到可視化的安全。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? 保障安全健康上網(wǎng)：對(duì)員工的上網(wǎng)行為進(jìn)行有效監(jiān)控，禁止員工在上班時(shí)間使用P2P、網(wǎng)游、網(wǎng)絡(luò)視頻等過(guò)度占用帶寬的應(yīng)用，提高員工辦公效率；對(duì)員工訪問(wèn)的網(wǎng)站進(jìn)行實(shí)時(shí)監(jiān)控，限制員工訪問(wèn)不健康或不安全的網(wǎng)站，從而造成病毒的傳播等；

? ? 保護(hù)網(wǎng)站安全：對(duì)企業(yè)網(wǎng)站進(jìn)行有效保護(hù)，防范來(lái)自互聯(lián)網(wǎng)上黑客的故意滲透和破壞行為； 保護(hù)關(guān)鍵業(yè)務(wù)安全性：對(duì)重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器實(shí)施保護(hù)，防范病毒和內(nèi)部的非授權(quán)訪問(wèn)；

? 實(shí)現(xiàn)實(shí)名制的安全監(jiān)控：中小型企業(yè)的特點(diǎn)是，主機(jī)IP地址不固定，但全公司有統(tǒng)一的用戶管理措施，通常通過(guò)AD域的方式來(lái)實(shí)現(xiàn)，因此對(duì)于訪問(wèn)控制和行為審計(jì)，可實(shí)現(xiàn)基于身份的監(jiān)控，實(shí)現(xiàn)所謂的實(shí)名制管理；

? 實(shí)現(xiàn)總部與分支機(jī)構(gòu)的可靠遠(yuǎn)程傳輸：典型中小型企業(yè)的鏈路使用模式為，專線支撐重要的業(yè)務(wù)類訪問(wèn)，互聯(lián)網(wǎng)鏈路平時(shí)作為員工上網(wǎng)使用，當(dāng)專線鏈路故障可作為備份鏈路，為此通過(guò)總部與分支機(jī)構(gòu)部署網(wǎng)關(guān)的IPSEC VPN功能，可在利用備份鏈路進(jìn)行遠(yuǎn)程通訊中，保障數(shù)據(jù)傳輸?shù)陌踩裕?/p>

? 對(duì)移動(dòng)辦公的安全保障：利用安全網(wǎng)關(guān)的SSL VPN功能，提供給移動(dòng)辦公人員進(jìn)行遠(yuǎn)程安全傳輸保護(hù)，確保數(shù)據(jù)的傳輸安全性； 安全需求分析

2.1 典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析

中小企業(yè)的典型架構(gòu)為兩級(jí)部署，從縱向上劃分為總部及分支機(jī)構(gòu)，總部集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫(kù)，分支機(jī)構(gòu)只有終端，業(yè)務(wù)訪問(wèn)則是通過(guò)專線鏈路直接訪問(wèn)到總部；總部及分支/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

機(jī)構(gòu)均有互聯(lián)網(wǎng)出口，提供給員工進(jìn)行上網(wǎng)訪問(wèn)，同時(shí)總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。

雙鏈路給中小企業(yè)應(yīng)用訪問(wèn)帶來(lái)的好處是，業(yè)務(wù)訪問(wèn)走專線，可保障業(yè)務(wù)的高可靠性；上網(wǎng)走互聯(lián)網(wǎng)鏈路，增加靈活性，即各個(gè)分支機(jī)構(gòu)可根據(jù)自己的人員規(guī)模，采用合理的價(jià)格租用電信寬帶；從網(wǎng)絡(luò)設(shè)計(jì)上，中小企業(yè)各個(gè)節(jié)點(diǎn)的結(jié)構(gòu)比較簡(jiǎn)單，為典型的星形結(jié)構(gòu)設(shè)計(jì)，總部因用戶量和服務(wù)器數(shù)量較高，因此核心往往采用三層交換機(jī)，通過(guò)VLAN來(lái)劃分不同的子網(wǎng)，并在子網(wǎng)內(nèi)部署終端及各類應(yīng)用服務(wù)器，有些中小型企業(yè)在VLAN的基礎(chǔ)上還配置了ACL，對(duì)不同VLAN間的訪問(wèn)實(shí)行控制；各分支機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)則相對(duì)簡(jiǎn)單，通過(guò)堆疊二層交換連接到不同終端。具體的組網(wǎng)結(jié)構(gòu)可參考下圖：

典型中小企業(yè)組網(wǎng)結(jié)構(gòu)示意圖 / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

2.2 典型中小企業(yè)網(wǎng)絡(luò)安全威脅

在沒(méi)有采取有效的安全防護(hù)措施，典型的中小型企業(yè)由于分布廣，并且架構(gòu)在TCP/IP網(wǎng)絡(luò)上，由于主機(jī)、網(wǎng)絡(luò)、通信協(xié)議等存在的先天性安全弱點(diǎn)，使得中小型企業(yè)往往面臨很多的安全威脅，其中典型的網(wǎng)絡(luò)安全威脅包括： 【非法和越權(quán)的訪問(wèn)】

中小型企業(yè)信息網(wǎng)絡(luò)內(nèi)承載了與生產(chǎn)經(jīng)營(yíng)息息相關(guān)的ERP、OA和網(wǎng)站系統(tǒng)，在缺乏訪問(wèn)控制的前提下很容易受到非法和越權(quán)的訪問(wèn)；雖然大多數(shù)軟件都實(shí)現(xiàn)了身份認(rèn)證和授權(quán)訪問(wèn)的功能，但是這種控制只體現(xiàn)在應(yīng)用層，如果遠(yuǎn)程通過(guò)網(wǎng)絡(luò)層的嗅探或攻擊工具（因?yàn)樵诰W(wǎng)絡(luò)層應(yīng)用服務(wù)器與任何一臺(tái)企業(yè)網(wǎng)內(nèi)的終端都是相通的），有可能會(huì)獲得上層的身份和口令信息，從而對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行非法及越權(quán)訪問(wèn)，破壞業(yè)務(wù)的正常運(yùn)行，或非法獲得企業(yè)的商業(yè)秘密，造成泄露； 【惡意代碼傳播】

大多數(shù)的中小企業(yè)，都在終端上安裝了防病毒軟件，以有效杜絕病毒在網(wǎng)絡(luò)中的傳播，但是隨著蠕蟲(chóng)、木馬等網(wǎng)絡(luò)型病毒的出現(xiàn)，單純依靠終端層面的查殺病毒顯現(xiàn)出明顯的不足，這種類型病毒的典型特征是，在網(wǎng)絡(luò)中能夠進(jìn)行大量的掃描，當(dāng)發(fā)現(xiàn)有弱點(diǎn)的主機(jī)后快速進(jìn)行自我復(fù)制，并通過(guò)網(wǎng)絡(luò)傳播過(guò)去，這就使得一旦網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)（可能是臺(tái)主機(jī)，也可能是服務(wù)器）被感染病毒，該病毒能夠在網(wǎng)絡(luò)中傳遞大量的掃描和嗅探性質(zhì)的數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)有限的帶寬資源造成損害?！痉婪禔RP欺騙】

大多數(shù)的中小企業(yè)都遭受過(guò)此類攻擊行為，這種行為的典型特點(diǎn)是利用了網(wǎng)絡(luò)的先天性缺陷，即兩臺(tái)主機(jī)需要通訊時(shí)，必須先相互廣播ARP地址，在相互交換IP地址和ARP地址后方可通訊，特別是中小企業(yè)都需要通過(guò)邊界的網(wǎng)關(guān)設(shè)備，實(shí)現(xiàn)分支機(jī)構(gòu)和總部的互訪；ARP欺騙就是某臺(tái)主機(jī)偽裝成網(wǎng)關(guān)，發(fā)布虛假的ARP信息，讓內(nèi)網(wǎng)的主機(jī)誤認(rèn)為該主機(jī)就是網(wǎng)關(guān)，從而把跨越網(wǎng)段的訪問(wèn)/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

數(shù)據(jù)包（比如分支機(jī)構(gòu)人員訪問(wèn)互聯(lián)網(wǎng)或總部的業(yè)務(wù)系統(tǒng)）都傳遞給該主機(jī)，輕微的造成無(wú)法正常訪問(wèn)網(wǎng)絡(luò)，嚴(yán)重的則將會(huì)引起泄密； 【惡意訪問(wèn)】

對(duì)于中小型企業(yè)網(wǎng)而言，各個(gè)分支機(jī)構(gòu)的廣域網(wǎng)鏈路帶寬是有限的，因此必須有計(jì)劃地分配帶寬資源，保障關(guān)鍵業(yè)務(wù)的進(jìn)行，這就要求無(wú)論針對(duì)專線所轉(zhuǎn)發(fā)的訪問(wèn)，還是互聯(lián)網(wǎng)出口鏈路轉(zhuǎn)發(fā)的訪問(wèn)，都要求對(duì)那些過(guò)度占用帶寬的行為加以限制，避免因某幾臺(tái)終端過(guò)度搶占帶寬資源而影響他人對(duì)網(wǎng)絡(luò)的使用。

這種惡意訪問(wèn)行為包括：過(guò)度使用P2P進(jìn)行大文件下載，長(zhǎng)時(shí)間訪問(wèn)網(wǎng)游，長(zhǎng)時(shí)間訪問(wèn)視頻網(wǎng)站，訪問(wèn)惡意網(wǎng)站而引發(fā)病毒傳播，直接攻擊網(wǎng)絡(luò)等行為?！旧矸菖c行為的脫節(jié)】

常見(jiàn)的訪問(wèn)控制措施，還是QOS措施，其控制依據(jù)都是IP地址，而眾所周知IP地址是很容易偽造的，即使大多數(shù)的防火墻都支持IP+MAC地址綁定，MAC地址也是能被偽造的，這樣一方面造成策略的制定非常麻煩，因?yàn)橹行⌒推髽I(yè)內(nèi)員工的身份是分級(jí)的，每個(gè)員工因崗位不同需要訪問(wèn)的目標(biāo)是不同的，需要提供的帶寬保障也是不同的，這就需要在了解每個(gè)人的IP地址后來(lái)制定策略；另一方面容易形成控制缺陷，即低級(jí)別員工偽裝成高級(jí)別員工的地址，從而可占用更多的資源。

身份與行為的脫節(jié)的影響還在于日志記錄上，由于日志的依據(jù)也是根據(jù)IP地址，這樣對(duì)發(fā)生違規(guī)事件后的追查造成極大的障礙，甚至無(wú)法追查?！揪芙^服務(wù)攻擊】

大多數(shù)中小型企業(yè)都建有自己的網(wǎng)站，進(jìn)行對(duì)外宣傳，是企業(yè)對(duì)外的窗口，但是由于該平臺(tái)面向互聯(lián)網(wǎng)開(kāi)放，很容易受到黑客的攻擊，其中最典型的就是拒絕服務(wù)攻擊，該行為也利用了現(xiàn)有TCP/IP網(wǎng)絡(luò)傳輸協(xié)議的先天性缺陷，大量發(fā)送請(qǐng)求連接的信息，而不發(fā)送確認(rèn)信息，使得遭受攻擊/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 的主機(jī)或網(wǎng)絡(luò)設(shè)備長(zhǎng)時(shí)間處于等待狀態(tài)，導(dǎo)致緩存被占滿，而無(wú)法響應(yīng)正常的訪問(wèn)請(qǐng)求，表現(xiàn)為就是拒絕服務(wù)。這種攻擊常常針對(duì)企業(yè)的網(wǎng)站，使得網(wǎng)站無(wú)法被正常訪問(wèn)，破壞企業(yè)形象； 【不安全的遠(yuǎn)程訪問(wèn)】

對(duì)于中小型企業(yè)，利用互聯(lián)網(wǎng)平臺(tái)，作為專線的備份鏈路，實(shí)現(xiàn)分支機(jī)構(gòu)與總部的連接，是很一種提高系統(tǒng)可靠性，并充分利用現(xiàn)有網(wǎng)絡(luò)資源的極好辦法；另外遠(yuǎn)程移動(dòng)辦公的人員也需要通過(guò)互聯(lián)網(wǎng)來(lái)訪問(wèn)企業(yè)網(wǎng)的信息平臺(tái)，進(jìn)行相關(guān)的業(yè)務(wù)處理；而互聯(lián)網(wǎng)的開(kāi)放性使得此類訪問(wèn)往往面臨很多的安全威脅，最為典型的就是攻擊者嗅探數(shù)據(jù)包，或篡改數(shù)據(jù)包，破壞正常的業(yè)務(wù)訪問(wèn)，或者泄露企業(yè)的商業(yè)秘密，使企業(yè)遭受到嚴(yán)重的損失?！救狈斜O(jiān)控措施】

典型中小型企業(yè)的特點(diǎn)是，集中管理，分布監(jiān)控，但是在安全方面目前尚缺乏集中的監(jiān)控手段，對(duì)于各分支機(jī)構(gòu)員工的上網(wǎng)行為，訪問(wèn)業(yè)務(wù)的行為，以及總部重要資源的受訪問(wèn)狀態(tài)，都沒(méi)有集中的監(jiān)控和管理手段，一旦發(fā)生安全事件，將很難快速進(jìn)行察覺(jué)，也很難有效做出反應(yīng)，事后也很難取證，使得企業(yè)的安全管理無(wú)法真正落地。

2.3 典型中小企業(yè)網(wǎng)絡(luò)安全需求

針對(duì)中小企業(yè)在安全建設(shè)及運(yùn)維管理中所暴露出的問(wèn)題，山石網(wǎng)科認(rèn)為，應(yīng)當(dāng)進(jìn)行有針對(duì)性的設(shè)計(jì)和建設(shè)，最大化降低威脅，并實(shí)現(xiàn)有效的管理。

2.3.1 需要進(jìn)行有效的訪問(wèn)控制

網(wǎng)絡(luò)安全建設(shè)的首要因素就是訪問(wèn)控制，控制的核心是訪問(wèn)行為，應(yīng)實(shí)現(xiàn)對(duì)非許可訪問(wèn)的杜絕，限制員工對(duì)網(wǎng)絡(luò)資源的使用方式。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

中小企業(yè)的業(yè)務(wù)多樣化，必然造成訪問(wèn)行為的多樣化，因此如何有效鑒別正常的訪問(wèn)，和非法的訪問(wèn)是非常必要的，特別是針對(duì)中小企業(yè)員工對(duì)互聯(lián)網(wǎng)的訪問(wèn)行為，應(yīng)當(dāng)采取有效的控制措施，杜絕過(guò)度占用帶寬的訪問(wèn)行為，保障正常的業(yè)務(wù)和上網(wǎng)訪問(wèn)。

對(duì)于中小企業(yè)重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)資源，應(yīng)當(dāng)有效鑒別出合法的業(yè)務(wù)訪問(wèn)，和可能的攻擊訪問(wèn)行為，并分別采取必要的安全控制手段，保障關(guān)鍵的業(yè)務(wù)訪問(wèn)。

2.3.2 深度應(yīng)用識(shí)別的需求

引入的安全控制系統(tǒng)，應(yīng)當(dāng)能夠支持深度應(yīng)用識(shí)別功能，特別是對(duì)使用動(dòng)態(tài)端口的P2P和IM應(yīng)用，能夠做到精準(zhǔn)鑒別，并以此為基礎(chǔ)實(shí)現(xiàn)基于應(yīng)用的訪問(wèn)控制和QOS，提升控制和限制的精度和力度。

對(duì)于分支機(jī)構(gòu)外來(lái)用戶，在利用分支機(jī)構(gòu)互聯(lián)網(wǎng)出口進(jìn)行訪問(wèn)時(shí)，基于身份識(shí)別做到差異化的控制，提升系統(tǒng)總體的維護(hù)效率。

2.3.3 需要有效防范病毒

在訪問(wèn)控制的技術(shù)上，需要在網(wǎng)絡(luò)邊界進(jìn)行病毒過(guò)濾，防范病毒的傳播；在互聯(lián)網(wǎng)出口上要能夠有效檢測(cè)出掛馬網(wǎng)站，對(duì)訪問(wèn)此類網(wǎng)站而造成的病毒下發(fā)，能夠快速檢測(cè)并響應(yīng)；同時(shí)也能夠防范來(lái)自其他節(jié)點(diǎn)的病毒傳播。

2.3.4 需要實(shí)現(xiàn)實(shí)名制管理

應(yīng)對(duì)依托IP地址進(jìn)行控制，QOS和日志的缺陷，應(yīng)實(shí)現(xiàn)基于用戶身份的訪問(wèn)控制、QOS、日志記錄，應(yīng)能夠與中小企業(yè)現(xiàn)有的安全準(zhǔn)入系統(tǒng)整合起來(lái)，當(dāng)員工接入辦公網(wǎng)并對(duì)互聯(lián)網(wǎng)訪問(wèn)時(shí)，/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

先進(jìn)行準(zhǔn)入驗(yàn)證，驗(yàn)證通過(guò)后將驗(yàn)證信息PUSH給網(wǎng)關(guān)，網(wǎng)關(guān)拿到此信息，在用戶發(fā)出上網(wǎng)請(qǐng)求時(shí)，根據(jù)IP地址來(lái)索引相關(guān)的認(rèn)證信息，確定其角色，最后再根據(jù)角色來(lái)執(zhí)行訪問(wèn)控制和帶寬管理。

在日志記錄中，也能夠根據(jù)確定的身份來(lái)記錄，使得日志可以方便地追溯到具體的員工。

2.3.5 需要實(shí)現(xiàn)全面URL過(guò)濾

應(yīng)引入專業(yè)性的URL地址庫(kù)，并能夠分類和及時(shí)更新，保障各個(gè)分支機(jī)構(gòu)在執(zhí)行URL過(guò)濾策略是，能夠保持一致和同步。

2.3.6 需要實(shí)現(xiàn)IPSEC VPN 利用中小企業(yè)現(xiàn)有的互聯(lián)網(wǎng)出口，作為專線的備份鏈路，在不增加鏈路投資的前提下，使分支機(jī)構(gòu)和總公司的通信得到更高的可靠性保障。

但是由于互聯(lián)網(wǎng)平臺(tái)的開(kāi)放性，如果將原本在專線上運(yùn)行的ERP、OA、視頻會(huì)議等應(yīng)用切換到互聯(lián)網(wǎng)鏈路上時(shí)，容易遭到竊聽(tīng)和篡改的風(fēng)險(xiǎn)，為此需要設(shè)備提供IPSEC VPN功能，對(duì)傳輸數(shù)據(jù)進(jìn)行加密和完整性保護(hù)，保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>

2.3.7 需要實(shí)現(xiàn)集中化的管理

集中化的管理首先要求日志信息的集中分析，各個(gè)分支機(jī)構(gòu)既能夠在本地查看詳細(xì)的訪問(wèn)日志，總部也能夠統(tǒng)一查看各個(gè)分支機(jī)構(gòu)的訪問(wèn)日志，從而實(shí)現(xiàn)總部對(duì)分支機(jī)構(gòu)的有效監(jiān)管。

總部能夠統(tǒng)一對(duì)各個(gè)分支機(jī)構(gòu)的安全設(shè)備進(jìn)行全局性配置管理，各個(gè)分支機(jī)構(gòu)也能夠在不違背全局性策略的前提下，配置符合本節(jié)點(diǎn)特點(diǎn)的個(gè)性化策略。

由于各個(gè)廠商的技術(shù)壁壘，不同產(chǎn)品的功能差異，因此要實(shí)現(xiàn)集中化管理的前提就是統(tǒng)一品牌，/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

統(tǒng)一設(shè)備，而從投資保護(hù)和便于維護(hù)的角度，中小企業(yè)應(yīng)當(dāng)選擇具有多種功能的安全網(wǎng)關(guān)設(shè)備。安全技術(shù)選擇

3.1 技術(shù)選型的思路和要點(diǎn)

現(xiàn)有的安全設(shè)備無(wú)法解決當(dāng)前切實(shí)的安全問(wèn)題，也無(wú)法進(jìn)一步擴(kuò)展以適應(yīng)當(dāng)前管理的需要，因此必須進(jìn)行改造，統(tǒng)一引入新的設(shè)備，來(lái)更好地滿足運(yùn)行維護(hù)的要求，在引入新設(shè)備的時(shí)候，必須遵循下屬的原則和思路。

3.1.1 首要保障可管理性

網(wǎng)絡(luò)安全設(shè)備應(yīng)當(dāng)能夠被集中監(jiān)控，由于安全網(wǎng)關(guān)部署在中小企業(yè)辦公網(wǎng)的重要出口上，詳細(xì)記錄了各節(jié)點(diǎn)的上網(wǎng)訪問(wèn)行為，因此對(duì)全網(wǎng)監(jiān)控有著非常重要的意義，因此系統(tǒng)必須能夠被統(tǒng)一管理起來(lái)，實(shí)現(xiàn)日志行為，特別是各種防護(hù)手段形成的記錄進(jìn)行集中的記錄與分析。

此外，策略也需要分級(jí)集中下發(fā)，總部能夠統(tǒng)一下發(fā)集中性的策略，各分支機(jī)構(gòu)可根據(jù)自身的特點(diǎn)，在不違背全局性策略的前提下，進(jìn)行靈活定制。

3.1.2 其次提供可認(rèn)證性

設(shè)備必須能夠?qū)崿F(xiàn)基于身份和角色的管理，設(shè)備無(wú)論在進(jìn)行訪問(wèn)控制，還是在QOS，還是在日志記錄過(guò)程中，依據(jù)必須是真實(shí)的訪問(wèn)者身份，做到精細(xì)化管理，可追溯性記錄。

對(duì)于中小企業(yè)而言，設(shè)備必須能夠與中小企業(yè)的AD域管理整合，通過(guò)AD域來(lái)鑒別用戶的身份和角色信息，并根據(jù)角色執(zhí)行訪問(wèn)控制和QOS，根據(jù)身份來(lái)記錄上網(wǎng)行為日志。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

3.1.3 再次保障鏈路暢通性

對(duì)于多出口鏈路的分支機(jī)構(gòu)，引入的安全設(shè)備應(yīng)當(dāng)支持多鏈路負(fù)載均衡，正常狀態(tài)下設(shè)備能夠根據(jù)出口鏈路的繁忙狀態(tài)自動(dòng)分配負(fù)載，使得兩條鏈路都能夠得到充分利用；在某條鏈路異常的狀態(tài)下，能夠自動(dòng)切換負(fù)載，保障員工的正常上網(wǎng)。

目前中小企業(yè)利用互聯(lián)網(wǎng)的主要應(yīng)用就是上網(wǎng)瀏覽，因此系統(tǒng)應(yīng)提供強(qiáng)大的URL地址過(guò)濾功能，對(duì)員工訪問(wèn)非法網(wǎng)站能夠做到有效封堵，這就要求設(shè)備應(yīng)提供強(qiáng)大的URL地址庫(kù)，并能夠自動(dòng)升級(jí)，降低管理難度，提高控制精度。

中小企業(yè)的鏈路是有限的，因此應(yīng)有效封堵P2P、IM等過(guò)度占用帶寬的業(yè)務(wù)訪問(wèn)，保障鏈路的有效性。

3.1.4 最后是穩(wěn)定性

選擇的產(chǎn)品必須可靠穩(wěn)定，選擇產(chǎn)品形成的方案應(yīng)盡量避免單點(diǎn)故障，傳統(tǒng)的網(wǎng)絡(luò)安全方案總是需要一堆的產(chǎn)品去解決不同的問(wèn)題，但這些產(chǎn)品接入到網(wǎng)絡(luò)中，任何一臺(tái)設(shè)備故障都會(huì)造成全網(wǎng)通信的故障，因此采取集成化的安全產(chǎn)品應(yīng)當(dāng)是必然選擇。

另外，安全產(chǎn)品必須有多種穩(wěn)定性的考慮，既要有整機(jī)穩(wěn)定性措施，也要有接口穩(wěn)定性措施，還要有系統(tǒng)穩(wěn)定性措施，產(chǎn)品能夠充分應(yīng)對(duì)各種突發(fā)的情況，并保持系統(tǒng)整體工作的穩(wěn)定性。

3.2 選擇山石安全網(wǎng)關(guān)的原因

基于中小企業(yè)的產(chǎn)品選型原則，方案建議采用的山石網(wǎng)科安全網(wǎng)關(guān)，在多核Plus G2硬件架構(gòu)的基礎(chǔ)上，采用全并行架構(gòu)，實(shí)現(xiàn)更高的執(zhí)行效率。并綜合實(shí)現(xiàn)了多個(gè)安全功能，完全能夠滿足中小企業(yè)安全產(chǎn)品的選型要求。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

山石網(wǎng)科安全網(wǎng)關(guān)在技術(shù)上具有如下的安全技術(shù)優(yōu)勢(shì)，包括：

3.2.1 安全可靠的集中化管理

山石網(wǎng)科安全管理中心采用了一種全新的方法來(lái)實(shí)現(xiàn)設(shè)備安全管理，通過(guò)提供集中的端到端生命周期管理來(lái)實(shí)現(xiàn)精細(xì)的設(shè)備配置、網(wǎng)絡(luò)設(shè)置、VPN配置和安全策略控制。山石網(wǎng)科安全管理中心可以清楚地分配角色和職責(zé)，從而使設(shè)備技術(shù)人員、網(wǎng)絡(luò)管理員和安全管理員通過(guò)相互協(xié)作來(lái)提高網(wǎng)絡(luò)管理效率，減少開(kāi)銷并降低運(yùn)營(yíng)成本。

利用山石網(wǎng)科安全管理中心，可以為特定用戶分配適當(dāng)?shù)墓芾斫尤霗?quán)限（從只讀到全面的編輯權(quán)限）來(lái)完成多種工作。可以允許或限制用戶接入信息，從而使用戶可以作出與他們的角色相適應(yīng)的決策。

山石網(wǎng)科安全管理中心的一個(gè)關(guān)鍵設(shè)計(jì)理念是降低安全設(shè)備管理的復(fù)雜性，同時(shí)保證足夠的靈活性來(lái)滿足每個(gè)用戶的不同需求。為了實(shí)現(xiàn)這一目標(biāo)，山石網(wǎng)科安全管理中心提供了一個(gè)綜合管理界面以便從一個(gè)集中位置上控制所有設(shè)備參數(shù)。管理員只需要點(diǎn)擊幾下鼠標(biāo)就可以配置設(shè)備、創(chuàng)建安全策略或管理軟件升級(jí)。同時(shí)，只要是能夠通過(guò)山石網(wǎng)科安全管理中心進(jìn)行配置的設(shè)備都可以通過(guò)CLI接入。

山石網(wǎng)科安全管理中心還帶有一種高性能日志存儲(chǔ)機(jī)制，使IT部門(mén)可以收集并監(jiān)控關(guān)鍵方面的詳細(xì)信息，如網(wǎng)絡(luò)流量、設(shè)備狀態(tài)和安全事件等。利用內(nèi)置的報(bào)告功能，管理員還可以迅速生成報(bào)告來(lái)進(jìn)行調(diào)查研究或查看是否符合要求。

山石網(wǎng)科安全管理中心采用了一種3層的體系結(jié)構(gòu)，該結(jié)構(gòu)通過(guò)一條基于TCP的安全通信信道－安全服務(wù)器協(xié)議（SSP）相連接。SSP可以通過(guò)AES加密和SHA1認(rèn)證來(lái)提供受到有效保護(hù)的端到端的安全通信功能。利用經(jīng)過(guò)認(rèn)證的加密TCP通信鏈路，就不需要在不同分層之間建立VPN隧/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 道，從而大大提高了性能和靈活性。

山石網(wǎng)科安全管理中心提供統(tǒng)一管理功能，在一個(gè)統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報(bào)告功能，同時(shí)還使網(wǎng)絡(luò)管理中心的所有工作人員可以協(xié)同工作。山石網(wǎng)科網(wǎng)絡(luò)公司的集中管理方法使用戶可以在安全性和接入便利性之間達(dá)成平衡，對(duì)于安全網(wǎng)關(guān)這類安全設(shè)備的大規(guī)模部署非常重要。

3.2.2 基于角色的安全控制與審計(jì)

針對(duì)傳統(tǒng)基于IP的訪問(wèn)控制和資源控制缺陷，山石網(wǎng)科采用RBNS（基于身份和角色的管理）技術(shù)讓網(wǎng)絡(luò)配置更加直觀和精細(xì)化，不同基于角色的管理模式主要包含基于“人”的訪問(wèn)控制、基于“人”的網(wǎng)絡(luò)資源(服務(wù))的分配、基于”人“的日志審計(jì)三大方面?；诮巧墓芾砟Ｊ娇梢酝ㄟ^(guò)對(duì)訪問(wèn)者身份審核和確認(rèn)，確定訪問(wèn)者的訪問(wèn)權(quán)限，分配相應(yīng)的網(wǎng)絡(luò)資源。在技術(shù)上可避免IP盜用或者PC終端被盜用引發(fā)的數(shù)據(jù)泄露等問(wèn)題。

另外，在采用了RBNS技術(shù)后，使得審計(jì)記錄可以直接反追溯到真實(shí)的訪問(wèn)者，更便于安全事件的定位。

在本方案中，利用山石網(wǎng)科安全網(wǎng)關(guān)的身份認(rèn)證功能，可結(jié)合AD域認(rèn)證等技術(shù)，提供集成化的認(rèn)證+控制+深度檢測(cè)+行為審計(jì)的解決方案，當(dāng)訪問(wèn)者需跨網(wǎng)關(guān)訪問(wèn)時(shí)，網(wǎng)關(guān)會(huì)根據(jù)確認(rèn)的訪問(wèn)者身份，自動(dòng)調(diào)用郵件系統(tǒng)內(nèi)的郵件組信息，確定訪問(wèn)者角色，隨后根據(jù)角色執(zhí)行訪問(wèn)控制，限制其訪問(wèn)范圍，然后再對(duì)訪問(wèn)數(shù)據(jù)包進(jìn)行深度檢測(cè)，根據(jù)角色執(zhí)行差異化的QOS，并在發(fā)現(xiàn)非法的訪問(wèn)，或者存在可疑行為的訪問(wèn)時(shí)，記錄到日志提供給系統(tǒng)員進(jìn)行事后的深度分析。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

3.2.3 基于深度應(yīng)用識(shí)別的訪問(wèn)控制

中小型企業(yè)的主要業(yè)務(wù)應(yīng)用系統(tǒng)都建立在HTTP/HTTPS等應(yīng)用層協(xié)議之上，新的安全威脅也隨之嵌入到應(yīng)用之中，而傳統(tǒng)基于狀態(tài)檢測(cè)的防火墻只能依據(jù)端口或協(xié)議去設(shè)置安全策略，根本無(wú)法識(shí)別應(yīng)用，更談不上安全防護(hù)。

Hillstone山石網(wǎng)科新一代防火墻可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不依賴于端口或協(xié)議，即使加密過(guò)的數(shù)據(jù)流也能應(yīng)付自如。

StoneOS?識(shí)別的應(yīng)用多達(dá)幾百種，而且跟隨著應(yīng)用的發(fā)展每天都在增加；其中包括P2P、IM(即時(shí)通訊)、游戲、辦公軟件以及基于SIP、H.323、HTTP等協(xié)議的應(yīng)用。同時(shí)，應(yīng)用特征庫(kù)通過(guò)網(wǎng)絡(luò)服務(wù)可以實(shí)時(shí)更新，無(wú)須等待新版本軟件發(fā)布。

3.2.4 深度內(nèi)容安全(UTMPlus?)

山石網(wǎng)科安全網(wǎng)關(guān)可選UTMPlus?軟件包提供病毒過(guò)濾，入侵防御，內(nèi)容過(guò)濾，上網(wǎng)行為管理和應(yīng)用流量整形等功能，可以防范病毒，間諜軟件，蠕蟲(chóng)，木馬等網(wǎng)絡(luò)的攻擊。關(guān)鍵字過(guò)濾和基于超過(guò)2000萬(wàn)域名的Web頁(yè)面分類數(shù)據(jù)庫(kù)可以幫助管理員輕松設(shè)置工作時(shí)間禁止訪問(wèn)的網(wǎng)頁(yè)，提高工作效率和控制對(duì)不良網(wǎng)站的訪問(wèn)。病毒庫(kù)，攻擊庫(kù)，URL庫(kù)可以通過(guò)網(wǎng)絡(luò)服務(wù)實(shí)時(shí)下載，確保對(duì)新爆發(fā)的病毒、攻擊、新的URL做到及時(shí)響應(yīng)。

由于中小企業(yè)包含了多個(gè)分支機(jī)構(gòu)，一旦因某個(gè)節(jié)點(diǎn)遭到惡意代碼的傳播，病毒將會(huì)很快在企業(yè)的網(wǎng)絡(luò)內(nèi)傳播，造成全網(wǎng)故障。在使用了山石網(wǎng)科安全網(wǎng)關(guān)后，并在全網(wǎng)各個(gè)節(jié)點(diǎn)的邊界部署后，將在邏輯上形成不同的隔離區(qū)，一旦某個(gè)節(jié)點(diǎn)遭遇到病毒攻擊/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

后，不會(huì)影響到其他節(jié)點(diǎn)。并且山石支持硬件病毒過(guò)濾技術(shù)，在邊界進(jìn)行病毒查殺的時(shí)候，對(duì)性能不會(huì)造成過(guò)多影響。

3.2.5 高性能病毒過(guò)濾

對(duì)于中小企業(yè)而言，在邊界進(jìn)行病毒的過(guò)濾與查殺，是有效防范蠕蟲(chóng)、木馬等網(wǎng)絡(luò)型病毒的有效工具，但是傳統(tǒng)病毒過(guò)濾技術(shù)由于需要在應(yīng)用層解析數(shù)據(jù)包，因此效率很低，導(dǎo)致開(kāi)啟病毒過(guò)濾后對(duì)全網(wǎng)的通信速度形成很大影響。

山石安全網(wǎng)關(guān)在多核的技術(shù)上，對(duì)病毒過(guò)濾采取了全新的流掃描技術(shù)，也就是所謂的邊檢測(cè)邊傳輸技術(shù)，從而大大提升了病毒檢測(cè)與過(guò)濾的效率。

? 流掃描策略

傳統(tǒng)的病毒過(guò)濾掃描是基于文件的。這種方法是基于主機(jī)的病毒過(guò)濾解決方案實(shí)現(xiàn)的，并且舊一代病毒過(guò)濾解決方案也繼承這一方法。使用這種方法，首先需要下載整個(gè)文件，然后開(kāi)始掃描，最后再將文件發(fā)送出去。從發(fā)送者發(fā)送出文件到接收者完成文件接收，會(huì)經(jīng)歷長(zhǎng)時(shí)間延遲。對(duì)于大文件，用戶應(yīng)用程序可能出現(xiàn)超時(shí)。

文件接受掃描文件發(fā)送延遲

山石網(wǎng)科掃描引擎是基于流的，病毒過(guò)濾掃描引擎在數(shù)據(jù)包流到達(dá)時(shí)進(jìn)行檢查，如果沒(méi)有檢查到病毒，則發(fā)送數(shù)據(jù)包流。由此，用戶將看到明顯的延遲改善，并且他們的應(yīng)用程序也將更快響應(yīng)。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

文件接收掃描文件發(fā)送延遲

流掃描技術(shù)僅需要緩存有限數(shù)量的數(shù)據(jù)包。它也不像文件掃描那樣受文件大小的限制。低資源利用率也意味著更多文件流的同時(shí)掃描。出于對(duì)高性能、低延遲、高可升級(jí)性的首要考慮，流掃描技術(shù)適合網(wǎng)關(guān)病毒過(guò)濾解決方案。

? 基于策略的病毒過(guò)濾功能

山石網(wǎng)科病毒過(guò)濾功能與策略引擎完全集成。管理員能夠完全控制以下各方面：哪些域的流量需要進(jìn)行病毒過(guò)濾掃描，哪些用戶或者用戶組進(jìn)行掃描，以及哪些服務(wù)器和應(yīng)用被保護(hù)。

3.2.6 靈活高效的帶寬管理功能

山石網(wǎng)科產(chǎn)品提供專有的智能應(yīng)用識(shí)別(Intelligent Application Identification)功能，稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進(jìn)行分類，甚至包括對(duì)加密的P2P應(yīng)用（Bit Torrent、迅雷、Emule、Edonkey等）和即時(shí)消息流量進(jìn)行分類。山石網(wǎng)科QoS首先根據(jù)流量的應(yīng)用類型對(duì)流量進(jìn)行識(shí)別和標(biāo)記。然后，根據(jù)應(yīng)用識(shí)別和標(biāo)記結(jié)果對(duì)流量帶寬進(jìn)行控制并且區(qū)分優(yōu)先級(jí)。一個(gè)典型應(yīng)用實(shí)例是：用戶可以為關(guān)鍵網(wǎng)頁(yè)瀏覽設(shè)置高優(yōu)先級(jí)保證它們的帶寬使用；對(duì)于P2P下載流量，用戶可以為它們?cè)O(shè)置最低優(yōu)先級(jí)并且限制它們的最大帶寬使用量。

將山石網(wǎng)科的角色鑒別以及IP QoS結(jié)合使用，用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量?jī)?yōu)先級(jí)。山石網(wǎng)科設(shè)備最多可支持20,000個(gè)不同IP地址及用戶角色的流量?jī)?yōu)先級(jí)區(qū)分和帶寬/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

控制（入方向和出方向），這就相當(dāng)于系統(tǒng)中可容納最多40,000的QoS隊(duì)列。

結(jié)合應(yīng)用QoS，山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個(gè)用戶控制應(yīng)用流量并對(duì)該用戶的應(yīng)用流量區(qū)分優(yōu)先級(jí)。例如，對(duì)于同一個(gè)IP地址產(chǎn)生的不同流量，用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級(jí)。在IP QoS里面使用應(yīng)用QoS，甚至可以對(duì)每個(gè)IP地址進(jìn)行流量控制的同時(shí)，還能夠?qū)υ揑P地址內(nèi)部應(yīng)用類型的流量進(jìn)行有效管控。

除了高峰時(shí)間，用戶經(jīng)常會(huì)發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒(méi)有被充分利用。山石網(wǎng)科的彈性QoS功能（FlexQoS）能夠?qū)崟r(shí)探測(cè)網(wǎng)絡(luò)的出入帶寬利用率，進(jìn)而動(dòng)態(tài)調(diào)整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時(shí)段的網(wǎng)絡(luò)使用性能。

總之，通過(guò)采取山石網(wǎng)科產(chǎn)品所集成的帶寬管理功能，可以在用戶網(wǎng)絡(luò)中做到關(guān)鍵應(yīng)用優(yōu)先，領(lǐng)導(dǎo)信息流量?jī)?yōu)先，非業(yè)務(wù)應(yīng)用限速或禁用，VoIP、視頻應(yīng)用保證時(shí)延低、無(wú)抖動(dòng)、音質(zhì)清晰、圖片清楚，這些有效管理帶寬資源和區(qū)分網(wǎng)絡(luò)應(yīng)用的效果都能給用戶帶來(lái)更高效、更靈活、更合理的帶寬應(yīng)用，使得昂貴的帶寬能獲取最高的效益和高附加值應(yīng)用。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

3.2.7 強(qiáng)大的URL地址過(guò)濾庫(kù)

山石網(wǎng)科結(jié)合中國(guó)地區(qū)內(nèi)容訪問(wèn)的政策、法規(guī)和習(xí)慣量身定制了一套完整的URL地址庫(kù)，具有超過(guò)2000萬(wàn)條域名的分類Web頁(yè)面庫(kù)，并實(shí)時(shí)保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問(wèn)了不健康、反動(dòng)、不安全的網(wǎng)站時(shí)，系統(tǒng)會(huì)根據(jù)不同的策略，進(jìn)行報(bào)警、日志、阻斷等動(dòng)作，實(shí)現(xiàn)健康上網(wǎng)；

全面的URL地址庫(kù)也改變了現(xiàn)在各個(gè)分支機(jī)構(gòu)自行手動(dòng)配置URL地址的局限性，當(dāng)時(shí)設(shè)備被部署到網(wǎng)絡(luò)中后，各個(gè)設(shè)備均采用統(tǒng)一標(biāo)準(zhǔn)的過(guò)濾地址庫(kù)，在進(jìn)行URL訪問(wèn)日志中也可以保持日志內(nèi)容的一致性。

3.2.8 高性能的應(yīng)用層管控能力

安全和速度始終是兩個(gè)對(duì)立面的事物。追求更高的網(wǎng)絡(luò)安全是需要以犧牲網(wǎng)絡(luò)通訊速度為代價(jià)的，而追求更高的網(wǎng)絡(luò)通訊速度則需要降低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。在目前依賴于網(wǎng)絡(luò)應(yīng)用的時(shí)代，能夠做到應(yīng)用層的安全檢測(cè)以及安全防護(hù)功能是所有安全廠商的目標(biāo)。由于應(yīng)用層的檢測(cè)需要進(jìn)行深度的數(shù)據(jù)包解析，而使用傳統(tǒng)網(wǎng)絡(luò)平臺(tái)所帶來(lái)的網(wǎng)絡(luò)延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺(tái)去實(shí)現(xiàn)。

山石網(wǎng)科安全網(wǎng)關(guān)具有豐富的應(yīng)用層管控能力，包括URL地址過(guò)濾功能、網(wǎng)頁(yè)內(nèi)容關(guān)鍵字過(guò)濾功能、網(wǎng)頁(yè)敏感文件過(guò)濾功能、網(wǎng)頁(yè)控件過(guò)濾功能、協(xié)議命令控制功能等，能夠通過(guò)簡(jiǎn)單的配置來(lái)實(shí)現(xiàn)敏感的URL地址、敏感關(guān)鍵字以及敏感文件等內(nèi)容過(guò)濾，防止?jié)撛诘陌踩L(fēng)險(xiǎn)。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

此外，山石網(wǎng)科安全網(wǎng)關(guān)均采用多核系統(tǒng)架構(gòu)，在性能上具有很高的處理能力，能夠?qū)崿F(xiàn)大并發(fā)處理。

3.2.9 高效IPSEC VPN 所有的山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備都支持對(duì)IPSec的硬件加速。每一個(gè)CPU核都有一個(gè)內(nèi)嵌的IPSec處理引擎，這保證了在CPU核數(shù)增加時(shí)，IPSec的性能得到相應(yīng)提高，不會(huì)成為瓶頸。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備的IPSec吞吐率最高可以達(dá)到8Gbps，達(dá)到和防火墻一樣的性能和設(shè)備極限。

山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備支持標(biāo)準(zhǔn)IPSec協(xié)議，能夠保障與第三方VPN進(jìn)行通訊，建立隧道并實(shí)現(xiàn)安全的數(shù)據(jù)傳輸。

3.2.10 高可靠的冗余備份能力

山石網(wǎng)科安全網(wǎng)關(guān)能夠支持設(shè)備級(jí)別的HA解決方案，如A-P和A-A架構(gòu)。山石網(wǎng)科的HA解決方案能夠?yàn)榫W(wǎng)絡(luò)層提供會(huì)話級(jí)別的狀態(tài)同步機(jī)制，保證在設(shè)備切換過(guò)程中數(shù)據(jù)傳輸?shù)倪B續(xù)性及網(wǎng)絡(luò)的持久暢通，甚至在設(shè)備進(jìn)行主備切換的時(shí)候都不會(huì)中斷會(huì)話，為企業(yè)提供真正意義的網(wǎng)絡(luò)冗余/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

解決方案。山石網(wǎng)科安全甚至還能夠提供VPN傳輸?shù)臓顟B(tài)同步，并包括SA狀態(tài)的同步。系統(tǒng)部署說(shuō)明

對(duì)于中小企業(yè)，在設(shè)計(jì)邊界安全防護(hù)時(shí)，首要進(jìn)行的就是安全區(qū)域的劃分，劃分安全域是信息安全建設(shè)常采用的方法，其好處在與可以將原本比較龐大的網(wǎng)絡(luò)劃分為多個(gè)單元，根據(jù)不同單元的資產(chǎn)特點(diǎn)、支撐業(yè)務(wù)類型分別進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)，保障了安全建設(shè)的針對(duì)性和差異性。

安全域的定義是同一安全域內(nèi)的系統(tǒng)有相同安全保護(hù)需求、并相互信任。但以此作為安全區(qū)域劃分原則，可操作性不強(qiáng)，在實(shí)際劃分過(guò)程中有很多困難。在本方案中，建議按照資產(chǎn)重要性以及支撐的業(yè)務(wù)類型，縱向上可劃分為總部及分支機(jī)構(gòu)域，從資產(chǎn)角度可根據(jù)業(yè)務(wù)類型的不同，將總部/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

信息網(wǎng)絡(luò)劃分為ERP域、OA域、網(wǎng)站域、終端域和運(yùn)維域等，而分支機(jī)構(gòu)的域相對(duì)簡(jiǎn)單，由于只有終端，因此不再細(xì)分。

4.1 安全網(wǎng)關(guān)部署設(shè)計(jì)

劃分安全域后，可在所有安全域的邊界，特別是重要的業(yè)務(wù)系統(tǒng)安全域的邊界配置安全網(wǎng)關(guān)即可，配置后形成的邊界安全部署方案可參考下圖：

部署要點(diǎn)： ? 通過(guò)總部配置的山石網(wǎng)科安全管理中心，集中監(jiān)管各個(gè)分支機(jī)構(gòu)邊界部署的山石網(wǎng)科安全網(wǎng)關(guān)，對(duì)日志進(jìn)行集中管理；同時(shí)各個(gè)分支機(jī)構(gòu)本地也部署管理終端，在本地對(duì)網(wǎng)關(guān)進(jìn)行監(jiān)管； / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? 縱向鏈路的出口分別部署安全網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)中小企業(yè)網(wǎng)的縱向隔離，對(duì)分支機(jī)構(gòu)的上訪行為進(jìn)行嚴(yán)格控制，杜絕非法或非授權(quán)的訪問(wèn)；

? 安全網(wǎng)關(guān)啟用源地址轉(zhuǎn)換策略，在終端上網(wǎng)過(guò)程中進(jìn)行轉(zhuǎn)換，保障內(nèi)網(wǎng)用戶上網(wǎng)的要求，同時(shí)啟用相應(yīng)的日志，對(duì)上網(wǎng)行為進(jìn)行有效記錄；

? 安全網(wǎng)關(guān)在分支機(jī)構(gòu)上網(wǎng)出口的鏈路上，運(yùn)用深度應(yīng)用識(shí)別技術(shù)，有效鑒別出哪些是合法的HTTP應(yīng)用，哪些是過(guò)度占用帶寬的P2P和IM應(yīng)用，對(duì)P2P和IM通過(guò)嚴(yán)格的帶寬限制功能能進(jìn)行及限制，并對(duì)HTTP執(zhí)行保障帶寬策略，保障員工正常上網(wǎng)行為；

? 安全網(wǎng)關(guān)與中小企業(yè)的AD域認(rèn)證整合，在確認(rèn)訪問(wèn)者身份的基礎(chǔ)上，進(jìn)行實(shí)名制的訪問(wèn)控制，QOS控制，以及上網(wǎng)行為審計(jì)；

? 安全網(wǎng)關(guān)內(nèi)置全面的URL地址庫(kù)，用以對(duì)員工的訪問(wèn)目標(biāo)地址進(jìn)行分類，對(duì)于非法網(wǎng)站進(jìn)行封堵，且URL地址庫(kù)能夠自動(dòng)升級(jí)，保障了該功能的持續(xù)性和完整性；

? 安全網(wǎng)關(guān)運(yùn)用IPSEC VPN技術(shù)，實(shí)現(xiàn)與總部的加密傳輸，作為現(xiàn)有專線的備份鏈路，在不增加投資的前提下提升系統(tǒng)的可靠性。

? 安全網(wǎng)關(guān)運(yùn)用SSL VPN技術(shù)，對(duì)移動(dòng)辦公用戶配發(fā)USB KEY，當(dāng)其需要遠(yuǎn)程訪問(wèn)企業(yè)網(wǎng)時(shí)，利用USB KEY與總部互聯(lián)網(wǎng)出口的安全網(wǎng)關(guān)建立VPN加密隧道，從而實(shí)現(xiàn)了安全可靠的遠(yuǎn)程訪問(wèn)。

4.2 安全網(wǎng)關(guān)部署說(shuō)明

4.2.1 部署集中安全管理中心

通過(guò)在總部部署山石網(wǎng)科安全管理中心，然后對(duì)分布在各個(gè)分支機(jī)構(gòu)邊界的安全網(wǎng)關(guān)進(jìn)行配置，/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

使網(wǎng)關(guān)接受管理中心的集中管理來(lái)實(shí)現(xiàn)，并執(zhí)行如下的集中監(jiān)管。

設(shè)備管理

設(shè)備管理包括域管理和設(shè)備組管理，域和設(shè)備組都是用來(lái)組織被管理設(shè)備的邏輯組，域包含設(shè)備組。通過(guò)域的使用，可以實(shí)現(xiàn)設(shè)備的區(qū)域化管理；而通過(guò)設(shè)備組的使用，可以進(jìn)一步將域中的設(shè)備進(jìn)行細(xì)化分組管理。一臺(tái)設(shè)備可以同時(shí)屬于多個(gè)域或者設(shè)備組。只有超級(jí)管理員可以執(zhí)行域的操作以及添加設(shè)備和徹底刪除設(shè)備，普通管理員可以執(zhí)行設(shè)備組的操作，將設(shè)備從設(shè)備組中刪除。

設(shè)備基本信息監(jiān)管

顯示設(shè)備的基本信息，例如設(shè)備主機(jī)名稱、設(shè)備序列號(hào)、管理IP、設(shè)備運(yùn)行時(shí)間、接口狀態(tài)以及AV相關(guān)信息等。

通過(guò)客戶端可查看的設(shè)備屬性信息包括：設(shè)備基本信息以及設(shè)備實(shí)時(shí)統(tǒng)計(jì)信息，包括實(shí)時(shí)資源使用狀態(tài)、會(huì)話數(shù)、總流量、VPN隧道數(shù)、攻擊數(shù)以及病毒數(shù)。系統(tǒng)通過(guò)曲線圖顯示以上實(shí)時(shí)信息，使用戶能夠直觀的了解當(dāng)前設(shè)備的各種狀態(tài)。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

日志瀏覽

山石網(wǎng)科安全管理中心接收設(shè)備發(fā)送的多種日志信息，經(jīng)過(guò)系統(tǒng)處理后，用戶可通過(guò)客戶端進(jìn)行多維度、多條件的瀏覽。山石網(wǎng)科安全管理中心支持通過(guò)以下種類進(jìn)行日志瀏覽：

●系統(tǒng)日志 ●配置日志 ●會(huì)話日志 ●地址轉(zhuǎn)換日志 ●上網(wǎng)日志

流量監(jiān)控

山石網(wǎng)科安全管理中心可以實(shí)時(shí)監(jiān)控以下對(duì)象的流量，并在客戶端通過(guò)餅狀圖或者柱狀圖直觀顯示：

●設(shè)備接口（TOP 10）/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

●指定接口TOP 10 IP，進(jìn)而可以查看指定IP的TOP 10應(yīng)用的流量 ●指定接口TOP 10應(yīng)用，進(jìn)而可以查看指定應(yīng)用的TOP 10 IP的流量

柱狀圖可分別按照上行流量、下行流量或者總流量進(jìn)行排序；餅狀圖可分別根據(jù)上行流量、下行流量或者總流量顯示不同的百分比。

攻擊監(jiān)控

山石網(wǎng)科安全管理中心可以實(shí)時(shí)監(jiān)控以下對(duì)象的攻擊情況，并在客戶端通過(guò)餅狀圖或者柱狀圖直觀顯示：

●設(shè)備接口遭受攻擊（TOP 10）

●指定接口發(fā)起攻擊TOP 10 IP，進(jìn)而可以查看指定IP發(fā)起的TOP 10攻擊類型 ●指定接口TOP 10攻擊類型，進(jìn)而可以查看發(fā)起指定攻擊類型的TOP 10 IP

VPN監(jiān)控

山石網(wǎng)科安全管理中心可以實(shí)時(shí)監(jiān)控被管理設(shè)備的IPSec VPN和SCVPN隧道流量，并在客戶端通過(guò)餅狀圖或者柱狀圖直觀顯示。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

4.2.2 基于角色的管理配置

對(duì)于中小企業(yè)辦公網(wǎng)而言，終端使用者的身份不盡相同，因此其訪問(wèn)權(quán)限，對(duì)資源的要求等也不盡相同，實(shí)現(xiàn)差異化的訪問(wèn)控制與資源保障。對(duì)此可通過(guò)山石網(wǎng)科安全網(wǎng)關(guān)的RBNS（基于身份和角色的管理）策略來(lái)實(shí)現(xiàn)。RBNS包含三個(gè)部分：用戶身份的認(rèn)證、用戶角色的確定、基于角色控制和服務(wù)。

? ? 在訪問(wèn)控制部分，通過(guò)RBNS實(shí)現(xiàn)了基于用戶角色的訪問(wèn)控制，使得控制更加精準(zhǔn)； 在QOS部分，通過(guò)RBNS實(shí)現(xiàn)了基于角色的帶寬控制，使得資源分配更加貼近中小企業(yè)辦公網(wǎng)的管理模式； ? 在會(huì)話限制部分，通過(guò)RBNS實(shí)現(xiàn)了基于角色的并發(fā)限制，對(duì)于重要用戶放寬并發(fā)連接的數(shù)量，對(duì)于非重要用戶則壓縮并發(fā)連接的數(shù)量； ? ? 在上網(wǎng)行為管理部分，通過(guò)RBNS實(shí)現(xiàn)了基于角色的上網(wǎng)行為管理；

在審計(jì)部分，通過(guò)RBNS實(shí)現(xiàn)實(shí)名制審計(jì)，使審計(jì)記錄能夠便捷地追溯到現(xiàn)實(shí)的人員。

在整合了AD域以及郵件系統(tǒng)后的實(shí)名制管理與控制方案后，在員工上網(wǎng)訪問(wèn)過(guò)程中實(shí)現(xiàn)精細(xì)化的管理，大大降低了單純依靠IP地址帶來(lái)的安全隱患，也降低了配置策略的難度，還提升了日志的可追溯性； / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

整合后實(shí)名制監(jiān)管過(guò)程示意圖

4.2.3 配置訪問(wèn)控制策略

山石網(wǎng)科多核安全網(wǎng)關(guān)可提供廣泛的應(yīng)用層監(jiān)控、統(tǒng)計(jì)和控制過(guò)濾功能。該功能能夠?qū)TP、HTTP、P2P應(yīng)用、IM以及VoIP語(yǔ)音數(shù)據(jù)等應(yīng)用進(jìn)行識(shí)別，并根據(jù)安全策略配置規(guī)則，保證應(yīng)用的正常通信或?qū)ζ溥M(jìn)行指定的操作，如監(jiān)控、流量統(tǒng)計(jì)、流量控制和阻斷等。StoneOS利用分片重組及傳輸層代理技術(shù)，使設(shè)備能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，即使在完整的應(yīng)用層數(shù)據(jù)被分片傳送且分片出現(xiàn)失序、亂序的情況下，也能有效的獲取應(yīng)用層信息，從而保證安全策略的有效實(shí)施。

山石網(wǎng)科安全網(wǎng)關(guān)，作用在中小企業(yè)的互聯(lián)網(wǎng)出口鏈路上，通過(guò)訪問(wèn)控制策略，針對(duì)訪問(wèn)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的應(yīng)用訪問(wèn)類型，進(jìn)行控制，包括： / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? 限制不被許可的訪問(wèn)類型：比如在只允許進(jìn)行網(wǎng)頁(yè)瀏覽、電子郵件、文件傳輸，此時(shí)當(dāng)終端用戶進(jìn)行其他訪問(wèn)（比如P2P），即使在網(wǎng)絡(luò)層同樣使用TCP 80口進(jìn)行訪問(wèn)數(shù)據(jù)包的傳送，但經(jīng)過(guò)山石網(wǎng)科安全網(wǎng)關(guān)的深度應(yīng)用識(shí)別后，分析出真實(shí)的應(yīng)用后，對(duì)P2P和IM等過(guò)度占用帶寬的行為進(jìn)行限制；

? 限制不被許可的訪問(wèn)地址：山石網(wǎng)科結(jié)合中國(guó)地區(qū)內(nèi)容訪問(wèn)的政策、法規(guī)和習(xí)慣量身定制了一套完整的URL地址庫(kù)，具有超過(guò)2000萬(wàn)條域名的分類Web頁(yè)面庫(kù)，并實(shí)時(shí)保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問(wèn)了不健康、反動(dòng)、不安全的網(wǎng)站時(shí)，系統(tǒng)會(huì)根據(jù)不同的策略，進(jìn)行報(bào)警、日志、阻斷等動(dòng)作，實(shí)現(xiàn)健康上網(wǎng)；

? 基于身份的訪問(wèn)控制：傳統(tǒng)訪問(wèn)控制的基礎(chǔ)是IP地址，但是由于IP地址的可修改性，使得控制的精度大打折扣，特別是根據(jù)不同IP地址配置不同強(qiáng)度的訪問(wèn)控制規(guī)則時(shí)，通過(guò)修改IP地址可以獲得較寬松的訪問(wèn)限制，及時(shí)采用了IP+MAC綁定，但修改MAC也不是難事。山石網(wǎng)科安全網(wǎng)關(guān)支持與第三方認(rèn)證的結(jié)合，可實(shí)現(xiàn)基于“實(shí)名制”下的訪問(wèn)控制，將大大提升了訪問(wèn)控制的精度。

4.2.4 配置帶寬控制策略

針對(duì)外網(wǎng)的互聯(lián)網(wǎng)出口鏈路，承載了員工上網(wǎng)的訪問(wèn)，因此必須應(yīng)采取帶寬控制，來(lái)針對(duì)不同訪問(wèn)的重要級(jí)別，提供差異化的帶寬資源。(可以實(shí)現(xiàn)基于角色的QOS)? 基于角色的流量管理

基于山石網(wǎng)科的多核 Plus G2安全架構(gòu)，StoneOS? Qos將Hillstone 山石網(wǎng)科的行為控制以及IP QoS結(jié)合使用，用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量?jī)?yōu)先級(jí)。山石網(wǎng)科設(shè)備最多可支持20,000個(gè)不同角色的流量?jī)?yōu)先級(jí)區(qū)分和帶寬控制（入方向和出方向），這就相當(dāng)于系統(tǒng)

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

中可容納多于40,000的QoS隊(duì)列。結(jié)合應(yīng)用QoS，山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個(gè)用戶控制應(yīng)用流量并對(duì)該用戶的應(yīng)用流量區(qū)分優(yōu)先級(jí)。例如，對(duì)于同一個(gè)角色產(chǎn)生的不同流量，用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級(jí)。

? 對(duì)應(yīng)用控制流量和區(qū)分優(yōu)先級(jí)

山石網(wǎng)科提供專有的智能應(yīng)用識(shí)別（Intelligent Application Identification）功能，簡(jiǎn)稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進(jìn)行分類，甚至包括對(duì)加密的P2P應(yīng)用（Bit Torrent、迅雷、Emule、Edonkey等）和即時(shí)消息流量進(jìn)行分類；Hillstone 山石網(wǎng)科還支持用戶自定義的流量，并對(duì)自定義流量進(jìn)行分類；同時(shí)山石網(wǎng)科可以結(jié)合強(qiáng)大的policy對(duì)流量進(jìn)行分類。山石網(wǎng)科 QoS首先根據(jù)流量的應(yīng)用類型對(duì)流量進(jìn)行識(shí)別和標(biāo)記。然后，根據(jù)應(yīng)用識(shí)別和標(biāo)記結(jié)果對(duì)流量帶寬進(jìn)行控制并且區(qū)分優(yōu)先級(jí)。一個(gè)典型應(yīng)用實(shí)例是：用戶可以為關(guān)鍵的ERP和OA流量設(shè)置高優(yōu)先級(jí)保證它們的帶寬使用；對(duì)于網(wǎng)頁(yè)瀏覽和P2P下載流量，用戶可以為它們?cè)O(shè)置最低優(yōu)先級(jí)并且限制它們的最大帶寬使用量。網(wǎng)吧用戶可以用這種方法控制娛樂(lè)流量并對(duì)娛樂(lè)流量區(qū)分優(yōu)先級(jí)。

? 帶寬利用率最大化

除了高峰時(shí)間，用戶經(jīng)常會(huì)發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒(méi)有被充分利用。Hillstone 山石網(wǎng)科的彈性QoS功能（FlexQoS）能夠?qū)崟r(shí)探測(cè)網(wǎng)絡(luò)的出入帶寬的利用率，進(jìn)而動(dòng)態(tài)調(diào)整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時(shí)段的網(wǎng)絡(luò)使用性能。彈性QoS還允許用戶進(jìn)行更加精細(xì)的控制，允許某一類的網(wǎng)絡(luò)使用者享有彈性QoS，另外一類不享有彈性QoS。以此功能用戶可以為網(wǎng)絡(luò)使用者提供差分服務(wù)。

? 實(shí)時(shí)流量監(jiān)控和統(tǒng)計(jì)

山石網(wǎng)科 QoS解決方案提供各種靈活報(bào)告和監(jiān)控方法，幫助用戶查看網(wǎng)絡(luò)狀況。用戶可以輕松查看接口帶寬使用情況、不同應(yīng)用帶寬使用情況以及不同IP地址的帶寬使用情況。山石網(wǎng)科設(shè)備

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

提供帶寬使用情況的歷史記錄，為將來(lái)分析提供方便。同時(shí)用戶還可以自己定制想要的統(tǒng)計(jì)數(shù)據(jù)。

4.2.5 上網(wǎng)行為日志管理

通過(guò)山石網(wǎng)科安全網(wǎng)關(guān)，在實(shí)現(xiàn)分支機(jī)構(gòu)員工上網(wǎng)訪問(wèn)控制和QOS控制的基礎(chǔ)上，對(duì)行為進(jìn)行全面記錄，來(lái)控制威脅的上網(wǎng)行為，并結(jié)合基于角色的管理技術(shù)，實(shí)現(xiàn)“實(shí)名制”審計(jì)，在本方案中將配置執(zhí)行如下的安全策略：

? 網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則

網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則，是根據(jù)名稱、優(yōu)先級(jí)、用戶、時(shí)間表、網(wǎng)絡(luò)行為以及控制動(dòng)作構(gòu)成上網(wǎng)行為管理策略規(guī)則的基本元素。通過(guò)WebUI配置上網(wǎng)行為管理策略規(guī)則，需要進(jìn)行下列基本元素的配置：

? ? 策略規(guī)則名稱 – 上網(wǎng)行為管理策略規(guī)則的名稱。

優(yōu)先級(jí)-上網(wǎng)行為管理策略規(guī)則的優(yōu)先級(jí)。當(dāng)有多條匹配策略規(guī)則的時(shí)候，優(yōu)先級(jí)高的策略規(guī)則會(huì)被優(yōu)先使用。? 用戶 – 上網(wǎng)行為管理策略規(guī)則的用戶，即發(fā)起網(wǎng)絡(luò)行為的主體，比如某個(gè)用戶、用戶組、角色、IP地址等。? 時(shí)間表 – 上網(wǎng)行為管理策略規(guī)則的生效時(shí)間，可以針對(duì)不同用戶控制其在特定時(shí)間段內(nèi)的網(wǎng)絡(luò)行為。? 網(wǎng)絡(luò)行為 – 具體的網(wǎng)絡(luò)應(yīng)用行為，比如MSN聊天、網(wǎng)頁(yè)訪問(wèn)、郵件發(fā)送、論壇發(fā)帖等。? 控制動(dòng)作 – 針對(duì)用戶的網(wǎng)絡(luò)行為所采取的控制動(dòng)作，比如允許、拒絕某網(wǎng)絡(luò)行為或者對(duì)該行為或者內(nèi)容進(jìn)行日志記錄等。

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? 網(wǎng)頁(yè)內(nèi)容控制策略規(guī)則

網(wǎng)頁(yè)內(nèi)容控制策略規(guī)則包括URL過(guò)濾策略規(guī)則和關(guān)鍵字過(guò)濾策略規(guī)則。網(wǎng)頁(yè)內(nèi)容控制策略規(guī)則能夠?qū)τ脩粼L問(wèn)的網(wǎng)頁(yè)進(jìn)行控制。URL過(guò)濾策略規(guī)則可以基于系統(tǒng)預(yù)定義的URL類別和用戶自定義的URL類別，對(duì)用戶所訪問(wèn)的網(wǎng)頁(yè)進(jìn)行過(guò)濾。關(guān)鍵字過(guò)濾策略規(guī)則可以基于用戶自定義的關(guān)鍵字類別，對(duì)用戶所訪問(wèn)的網(wǎng)頁(yè)進(jìn)行過(guò)濾，同時(shí)，能夠通過(guò)SSL代理功能對(duì)用戶所訪問(wèn)的含有某特定關(guān)鍵字的HTTPS加密網(wǎng)頁(yè)進(jìn)行過(guò)濾。

? 外發(fā)信息控制策略規(guī)則

外發(fā)信息控制策略規(guī)則包括Email控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則，能夠?qū)τ脩舻耐獍l(fā)信息進(jìn)行控制。Email控制策略規(guī)則能夠?qū)νㄟ^(guò)SMTP協(xié)議發(fā)送的郵件和Webmail外發(fā)郵件進(jìn)行控制，可以根據(jù)郵件的收件人、發(fā)件人、內(nèi)容關(guān)鍵字、附件名稱和附件大小對(duì)郵件的發(fā)送進(jìn)行限制。同時(shí)，能夠通過(guò)SSL代理功能控制Gmail加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠?qū)νㄟ^(guò)HTTP Post方法上傳的含有某關(guān)鍵字的內(nèi)容進(jìn)行控制，如阻斷內(nèi)網(wǎng)用戶在論壇發(fā)布含有指定關(guān)鍵字的帖子。

? 例外設(shè)置

對(duì)于特殊情況下不需要上網(wǎng)行為管理策略規(guī)則進(jìn)行控制的對(duì)象，可以通過(guò)例外設(shè)置實(shí)現(xiàn)。例外設(shè)置包括免監(jiān)督用戶、黑白名單和Bypass域名。

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

分級(jí)日志管理模式示意圖

4.2.6 實(shí)現(xiàn)URL過(guò)濾

山石網(wǎng)科結(jié)合中國(guó)地區(qū)內(nèi)容訪問(wèn)的政策、法規(guī)和習(xí)慣量身定制了強(qiáng)大的URL地址庫(kù)，包含數(shù)千萬(wàn)條域名的分類web頁(yè)面庫(kù)，并能夠?qū)崟r(shí)同步更新，該地址庫(kù)將被配置在所有分支機(jī)構(gòu)出口的山石安全網(wǎng)關(guān)上，對(duì)員工訪問(wèn)的目標(biāo)站點(diǎn)進(jìn)行檢查，保障健康上網(wǎng)。

山石網(wǎng)科提供的URL過(guò)濾功能包含以下組成部分： ? ? ? 黑名單：包含不可以訪問(wèn)的URL。不同平臺(tái)黑名單包含的最大URL條數(shù)不同。白名單：包含允許訪問(wèn)URL。不同平臺(tái)白名單包含的最大URL條數(shù)不同。

關(guān)鍵字列表：如果URL中包含有關(guān)鍵字列表中的關(guān)鍵字，則PC不可以訪問(wèn)該URL。不同平臺(tái)關(guān)鍵字列表包含的關(guān)鍵字條目數(shù)不同。

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? ? 不受限IP：不受URL過(guò)濾配置影響，可以訪問(wèn)任何網(wǎng)站。

只允許用域名訪問(wèn)：如果開(kāi)啟該功能，用戶只可以通過(guò)域名訪問(wèn)Internet，IP地址類型的URL將被拒絕訪問(wèn)。

? 只允許訪問(wèn)白名單里的URL：如果開(kāi)啟該功能，用戶只可以訪問(wèn)白名單中的URL，其它地址都會(huì)被拒絕。

4.2.7 實(shí)現(xiàn)網(wǎng)絡(luò)病毒過(guò)濾

隨著病毒技術(shù)的發(fā)展，網(wǎng)絡(luò)型病毒（比如蠕蟲(chóng)、木馬等）已經(jīng)被廣泛應(yīng)用了，這種病毒的特點(diǎn)是沒(méi)有宿主就可以傳播，在網(wǎng)絡(luò)中快速掃描，只要發(fā)現(xiàn)網(wǎng)絡(luò)有許可的行為，就能夠快速傳播，其危害除了對(duì)目標(biāo)主機(jī)造成破壞，在傳播過(guò)程中也產(chǎn)生大量的訪問(wèn)，對(duì)網(wǎng)絡(luò)流量造成影響，對(duì)此傳統(tǒng)在主機(jī)上進(jìn)行病毒查殺是不足的，對(duì)此問(wèn)題就產(chǎn)生了病毒過(guò)濾網(wǎng)關(guān)，該系統(tǒng)類似于防火墻，采用“空中抓毒“技術(shù)，工作在網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)，對(duì)經(jīng)過(guò)網(wǎng)關(guān)的數(shù)據(jù)包進(jìn)行過(guò)濾，在判斷為是病毒的時(shí)候進(jìn)行阻斷，防止病毒利用網(wǎng)絡(luò)進(jìn)行傳播。

這里建議中小企業(yè)可利用安全網(wǎng)關(guān)的病毒過(guò)濾技術(shù)，對(duì)各個(gè)安全域在實(shí)行訪問(wèn)控制的同時(shí)，進(jìn)行有效的病毒過(guò)濾，杜絕某個(gè)安全域內(nèi)（比如終端區(qū)域）的主機(jī)感染了病毒，該病毒無(wú)法穿越病毒過(guò)濾網(wǎng)關(guān)，從而無(wú)法在全企業(yè)網(wǎng)蔓延，造成更大的破壞。

山石網(wǎng)科的病毒過(guò)濾能夠有效解析出上十萬(wàn)種病毒，能夠偵測(cè)病毒、木馬、蠕蟲(chóng)、間諜軟件和其他惡意軟件。基于多核Plus? G2架構(gòu)的設(shè)計(jì)提供了病毒過(guò)濾需要的高處理能力，其提供的應(yīng)用處理擴(kuò)展模塊進(jìn)一步的提高了病毒過(guò)濾的處理能力和總計(jì)處理能力，全并行流檢測(cè)引擎則使用較少的系統(tǒng)資源，并且在并行掃描會(huì)話和最大可掃描文件

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

方面提供高升級(jí)性。

病毒過(guò)濾系統(tǒng)同樣也大大提升了服務(wù)器的安全性，在當(dāng)前訪問(wèn)控制的基礎(chǔ)上，進(jìn)一步保障了關(guān)鍵業(yè)務(wù)的安全性。

4.2.8 部署IPSEC VPN 山石網(wǎng)科安全網(wǎng)關(guān)支持的IPSec VPN技術(shù)，作用于中小企業(yè)，可實(shí)現(xiàn)總部與分支機(jī)構(gòu)之間通過(guò)互聯(lián)網(wǎng)的縱向互聯(lián)，并作為現(xiàn)有專線的備份鏈路，在不增加額外投資的基礎(chǔ)上，提升了系統(tǒng)總體的安全效率。（當(dāng)然需要總部的互聯(lián)網(wǎng)出口也部署有標(biāo)準(zhǔn)IPSEC VPN系統(tǒng)）

在通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)縱向互聯(lián)的過(guò)程中，通過(guò)IPSEC VPN技術(shù)，將實(shí)現(xiàn)如下的保護(hù)： ? ? 機(jī)密性保護(hù)：在傳輸過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密，從而防范了被篡改的風(fēng)險(xiǎn)；

完整性保護(hù)：在傳輸過(guò)程中，通過(guò)HASH算法，對(duì)文件進(jìn)行摘要處理，當(dāng)?shù)竭_(dá)接收端時(shí)再次進(jìn)行HASH，并與發(fā)送端HASH后形成的摘要進(jìn)行批對(duì)，如果完全相同則證明數(shù)據(jù)沒(méi)有

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

被篡改，從而保障了傳輸過(guò)程的完整性； ? ? 抗抵賴：IPSEC VPN運(yùn)用了數(shù)字簽名技術(shù)，采用對(duì)稱密鑰算法防范傳輸數(shù)據(jù)被抵賴的風(fēng)險(xiǎn)； 抗重放：IPSEC VPN運(yùn)用系列號(hào)，一旦某個(gè)數(shù)據(jù)包被處理，序列號(hào)自動(dòng)加一，防范攻擊者在收取到數(shù)據(jù)包，以自己的身份重新發(fā)送的風(fēng)險(xiǎn)； 山石網(wǎng)科安全網(wǎng)關(guān)IPSec VPN支持的主要技術(shù)包括： ? 標(biāo)準(zhǔn)的技術(shù)使Hillstone IPSec VPN能和國(guó)際VPN廠商互通，只要對(duì)端采用標(biāo)準(zhǔn)IPSEC協(xié)議，即可實(shí)現(xiàn)互聯(lián)互通； ? ? 全面的加密算法支持，包括AES256、Diffie-Hellman Group 5；

支持靜態(tài)IP對(duì)端、動(dòng)態(tài)IP對(duì)端、撥號(hào)VPN對(duì)端，可以很好地使用各個(gè)分支機(jī)構(gòu)實(shí)際的網(wǎng)絡(luò)環(huán)境； ? 支持VPN上的應(yīng)用控制，在隧道內(nèi)針對(duì)中小企業(yè)，提供更完善的訪問(wèn)控制。

4.2.9 實(shí)現(xiàn)安全移動(dòng)辦公

山石網(wǎng)科安全網(wǎng)關(guān)支持的SSL VPN技術(shù)，針對(duì)移動(dòng)辦公人員，在不需要配置任何客戶端的情況下，實(shí)現(xiàn)安全可靠的接入。通過(guò)USB KEY的方式，配發(fā)證書(shū)，移動(dòng)辦公人員必須在提交KEY證書(shū)后，安全網(wǎng)關(guān)方可允許其通過(guò)互聯(lián)網(wǎng)接入到企業(yè)網(wǎng)內(nèi)，實(shí)現(xiàn)安全快捷的訪問(wèn)。方案建設(shè)效果

本方案利用山石網(wǎng)科安全網(wǎng)關(guān)，作用于中小企業(yè)各個(gè)分支機(jī)構(gòu)的互聯(lián)網(wǎng)出口，對(duì)員工上網(wǎng)行為進(jìn)行有效控制和記錄，對(duì)比現(xiàn)有的安全手段，將在如下層面提升安全性：

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

總體部署效果示意圖

【實(shí)現(xiàn)集中監(jiān)控】

在采取了統(tǒng)一品牌的山石網(wǎng)科安全網(wǎng)關(guān)后，通過(guò)部署在總部的安全管理中心，實(shí)現(xiàn)對(duì)分布在各個(gè)分支機(jī)構(gòu)互聯(lián)網(wǎng)出口的安全設(shè)備的集中管理，重點(diǎn)對(duì)日志進(jìn)行集中的收集和分析，確保在發(fā)生安全事件后能夠快速傳遞到總部，以便采取必要的保障措施?！緦?shí)現(xiàn)有效訪問(wèn)控制】

通過(guò)嚴(yán)格的訪問(wèn)控制，限制了內(nèi)、外部用戶對(duì)企業(yè)各種資源的訪問(wèn)，限制員工對(duì)ERP和OA的訪問(wèn)，限制互聯(lián)網(wǎng)用戶對(duì)企業(yè)網(wǎng)站的訪問(wèn)，由于這些人員只能通過(guò)許可的方式，因此大大降低了重要信息資產(chǎn)的暴露程度，提升了系統(tǒng)的安全性； 【有效保護(hù)關(guān)鍵資產(chǎn)】

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

對(duì)于中小企業(yè)而言，關(guān)鍵的信息資產(chǎn)就是各類應(yīng)用服務(wù)器，和數(shù)據(jù)庫(kù)，由于本方案采取安全域劃分的方式，將這些關(guān)鍵資產(chǎn)集中起來(lái)進(jìn)行有效防護(hù)，因此大大提升了系統(tǒng)的總體安全性； 【有效防范攻擊】

山石安全網(wǎng)關(guān)支持超過(guò)3,000種的攻擊檢測(cè)和防御，支持攻擊特征庫(kù)離線在線更新，定期自動(dòng)更新多種方式。

山石安全網(wǎng)關(guān)內(nèi)置的入侵防御系統(tǒng)重點(diǎn)實(shí)現(xiàn)了對(duì)重要服務(wù)器的保護(hù)，當(dāng)其他主機(jī)訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)，發(fā)起對(duì)服務(wù)器的訪問(wèn)，山石入侵防御系統(tǒng)會(huì)在線分析這些數(shù)據(jù)包，并從中剝離出哪些是正常訪問(wèn)的數(shù)據(jù)包，哪些是存在攻擊行為的數(shù)據(jù)包，在此基礎(chǔ)上對(duì)攻擊包采取有效的封堵行為，從而保障了安全可靠的訪問(wèn)，進(jìn)一步保護(hù)了易程公司關(guān)鍵的應(yīng)用服務(wù)器。

【有效過(guò)濾病毒】

與防范攻擊的作用類似，科山石安全網(wǎng)關(guān)內(nèi)置的過(guò)濾網(wǎng)關(guān)部署在重要的安全域邊界，當(dāng)重要的服務(wù)器接受訪問(wèn)時(shí)，病毒過(guò)濾網(wǎng)關(guān)深入分析數(shù)據(jù)包，檢測(cè)出是否攜帶病毒，或者數(shù)據(jù)包本身就是由一些惡意病毒（比如木馬、蠕蟲(chóng)等）引發(fā)的，并采取有效的查殺，或者將數(shù)據(jù)包直接丟棄。

【基于角色的控制與資源保障】

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

中小企業(yè)的上網(wǎng)人員是多個(gè)層面多種角色的，因角色不同，在訪問(wèn)控制和資源保障部分，需要有不同的策略與力度。山石安全網(wǎng)關(guān)能夠與第三方身份認(rèn)證有效整合，在控制（比如訪問(wèn)控制、日志審計(jì)）和資源保障（比如QOS）方面能夠根據(jù)用戶身份以及對(duì)應(yīng)的角色來(lái)進(jìn)行配置，解決了傳統(tǒng)以IP地址為依據(jù)時(shí)，IP地址容易被偽造的問(wèn)題； 【上網(wǎng)行為實(shí)名制審查】

國(guó)家相關(guān)監(jiān)管部門(mén)要求提供上網(wǎng)的機(jī)構(gòu)，應(yīng)當(dāng)對(duì)上網(wǎng)人員的行為進(jìn)行記錄，以備在員工進(jìn)行違規(guī)訪問(wèn)（比如發(fā)布發(fā)動(dòng)言論，訪問(wèn)非法網(wǎng)站）時(shí)，能夠進(jìn)行追溯。而目前中小企業(yè)員工均通過(guò)NAT來(lái)上網(wǎng)，這樣單純?cè)诨ヂ?lián)網(wǎng)上無(wú)法準(zhǔn)確定位訪問(wèn)者，即使有些分支機(jī)構(gòu)采取了NAT和上網(wǎng)行為管理設(shè)備，但這些設(shè)備對(duì)行為之記錄到IP地址，很難對(duì)應(yīng)到具體的人員。

對(duì)此山石安全網(wǎng)關(guān)能夠在身份識(shí)別和角色確定的基礎(chǔ)上，對(duì)上網(wǎng)人員的行為（訪問(wèn)了什么地址、進(jìn)行了什么操作、訪問(wèn)的時(shí)間、訪問(wèn)產(chǎn)生的流量等）進(jìn)行有效記錄，從而做到實(shí)名制審計(jì)。【有效封堵P2P和IM】

P2P和IM的特點(diǎn)是，運(yùn)用動(dòng)態(tài)端口進(jìn)行訪問(wèn)，對(duì)此傳統(tǒng)訪問(wèn)控制的基礎(chǔ)是地址、協(xié)議和端口，這種控制方法根本無(wú)法從根本上封堵P2P和IM。

山石安全網(wǎng)關(guān)支持的深度應(yīng)用識(shí)別，通過(guò)協(xié)議分析能夠有效鑒別出真實(shí)的應(yīng)用，再此基礎(chǔ)上進(jìn)行控制，方可實(shí)現(xiàn)對(duì)P2P和IM等通過(guò)動(dòng)態(tài)端口的應(yīng)用?！靖娴腢RL過(guò)濾】

目前中小企業(yè)的URL過(guò)濾庫(kù)采用手工方式維護(hù)，這種方式無(wú)論從實(shí)效性、全面性上都存在明顯不足，山石網(wǎng)科安全網(wǎng)關(guān)內(nèi)置了一套完整的URL地址庫(kù)，具有超過(guò)2000萬(wàn)條域名的分類Web頁(yè)面庫(kù)，并實(shí)時(shí)保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問(wèn)了不健康、反動(dòng)、不安全的網(wǎng)站時(shí)，系統(tǒng)會(huì)根據(jù)不同的策略，進(jìn)行報(bào)警、日志、阻斷等動(dòng)作，實(shí)現(xiàn)健康上網(wǎng)。

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 【對(duì)專線形成補(bǔ)充】

目前中小企業(yè)各個(gè)分支機(jī)構(gòu)與總公司之間，通過(guò)專線實(shí)現(xiàn)縱向鏈接，并支撐縱向的業(yè)務(wù)訪問(wèn)，而總公司和各個(gè)分支機(jī)構(gòu)都有互聯(lián)網(wǎng)的通道，該通道也可作為專線的備份鏈路，并且從節(jié)約投資的角度，甚至可以用互聯(lián)網(wǎng)通道取代專線，降低系統(tǒng)總體成本。

山石安全網(wǎng)關(guān)支持的IPSEC VPN技術(shù)，可以在互聯(lián)網(wǎng)通道上提供安全保護(hù)，數(shù)據(jù)傳輸過(guò)程中采用加密、完整性校驗(yàn)措施，保障了數(shù)據(jù)的安全性?！緦?shí)現(xiàn)安全移動(dòng)辦公】

通過(guò)SSL VPN解決了遠(yuǎn)程辦公的安全隱患，使移動(dòng)人員能夠安全、可靠地訪問(wèn)企業(yè)網(wǎng)資源。

/ 42

第三篇：網(wǎng)絡(luò)安全策略研究論文

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開(kāi)放和自由的網(wǎng)絡(luò)，它在大大增強(qiáng)了網(wǎng)絡(luò)信息服務(wù)靈活性的同時(shí)，也給黑客攻擊和入侵敞開(kāi)了方便之門(mén)。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速度并擴(kuò)大了其傳播范圍，而且各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法層出不窮。這些黑客把先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，當(dāng)成一種新式犯罪工具和手段，不僅影響了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶的正常使用，造成重大經(jīng)濟(jì)損失，而且會(huì)威脅到國(guó)家安全。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個(gè)國(guó)家的政治、經(jīng)濟(jì)、軍事和人民生活的重大關(guān)鍵問(wèn)題。近年來(lái)，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性開(kāi)始成為世界各國(guó)共同關(guān)注的焦點(diǎn)。文章分析了幾種常見(jiàn)的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)安全的幾點(diǎn)策略。

一、常見(jiàn)的幾種網(wǎng)絡(luò)入侵方法

由于計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)初衷是資源共享、分散控制、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無(wú)邊界的特征。這種開(kāi)放性使黑客可以輕而易舉地進(jìn)入各級(jí)網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)還有著自然社會(huì)中所不具有的隱蔽性：無(wú)法有效識(shí)別網(wǎng)絡(luò)用戶的真實(shí)身份；由于互聯(lián)網(wǎng)上信息以二進(jìn)制數(shù)碼，即數(shù)字化的形式存在，所以操作者能比較容易地在數(shù)據(jù)傳播過(guò)程中改變信息內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計(jì)上的缺陷和漏洞，從而導(dǎo)致各種被攻擊的潛在危險(xiǎn)層出不窮，這使網(wǎng)絡(luò)安全問(wèn)題與傳統(tǒng)的各種安全問(wèn)題相比面臨著更加嚴(yán)峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法：

1.通過(guò)偽裝發(fā)動(dòng)攻擊

利用軟件偽造Ip包，把自己偽裝成被信任主機(jī)的地址，與目標(biāo)主機(jī)進(jìn)行會(huì)話，一旦攻擊者冒充成功，就可以在目標(biāo)主機(jī)并不知曉的情況下成功實(shí)施欺騙或入侵；或者，通過(guò)偽造Ip地址、路由條目、DNS解析地址，使受攻擊服務(wù)器無(wú)法辨別這些請(qǐng)求或無(wú)法正常響應(yīng)這些請(qǐng)求，從而造成緩沖區(qū)阻塞或死機(jī)；或者，通過(guò)將局域網(wǎng)中的某臺(tái)機(jī)器Ip地址設(shè)置為網(wǎng)關(guān)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無(wú)法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。

2.利用開(kāi)放端口漏洞發(fā)動(dòng)攻擊

利用操作系統(tǒng)中某些服務(wù)開(kāi)放的端口發(fā)動(dòng)緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計(jì)不當(dāng)或缺乏限制，因而造成地址空間錯(cuò)誤的一種漏洞。利用軟件系統(tǒng)中對(duì)某種特定類型的報(bào)文或請(qǐng)求沒(méi)有處理，導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。

3.通過(guò)木馬程序進(jìn)行入侵或發(fā)動(dòng)攻擊

木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)，一旦被成功植入到目標(biāo)主機(jī)中，計(jì)算機(jī)就成為黑客控制的傀儡主機(jī)，黑客成了超級(jí)用戶。木馬程序可以被用來(lái)收集系統(tǒng)中的重要信息，如口令、賬號(hào)、密碼等。此外，黑客可以遠(yuǎn)程控制傀儡主機(jī)對(duì)別的主機(jī)發(fā)動(dòng)攻擊，如DDoS攻擊就是大量傀儡主機(jī)接到攻擊命令后，同時(shí)向被攻擊目標(biāo)發(fā)送大量的服務(wù)請(qǐng)求數(shù)據(jù)包。

4.嗅探器和掃描攻擊

嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過(guò)被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)通信、分析數(shù)據(jù)來(lái)非法獲得用戶名、口令等重要信息，它對(duì)網(wǎng)絡(luò)安全的威脅來(lái)自其被動(dòng)性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描，是指針對(duì)系統(tǒng)漏洞，對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會(huì)被惡意使用和隱蔽使用，探測(cè)他人主機(jī)的有用信息，作為實(shí)施下一步攻擊的前奏。

為了應(yīng)對(duì)不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動(dòng)防護(hù)到主動(dòng)檢測(cè)的發(fā)展過(guò)程。主要的網(wǎng)絡(luò)安全技術(shù)包括：防火墻、VpN、防毒墻、入侵檢測(cè)、入侵防御、漏洞掃描。其中防病毒、防火墻和VpN屬早期的被動(dòng)防護(hù)技術(shù)，入侵檢測(cè)、入侵防

御和漏洞掃描屬主動(dòng)檢測(cè)技術(shù)，這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。

二、網(wǎng)絡(luò)的安全策略分析

早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過(guò)在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以通過(guò)網(wǎng)絡(luò)邊界，從而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括：

1.防火墻

防火墻是一種隔離控制技術(shù)，通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制，常用的防火墻技術(shù)有包過(guò)濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過(guò)；狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，與傳統(tǒng)包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn)，它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來(lái)連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。

2.VpN

VpN（Virtual private Network）即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VpN技術(shù)采用了鑒別、訪問(wèn)控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。VpN技術(shù)可以在不同的傳輸協(xié)議層實(shí)現(xiàn)，如在應(yīng)用層有SSL協(xié)議，它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密；在會(huì)話層有Socks協(xié)議，在該協(xié)議中，客戶程序通過(guò)Socks客戶端的1080端口透過(guò)防火墻發(fā)起連接，建立到Socks服務(wù)器的VpN隧道；在網(wǎng)絡(luò)層有IpSec協(xié)議，它是一種由IETF設(shè)計(jì)的端到端的確保Ip層通信安全的機(jī)制，對(duì)Ip包進(jìn)行的IpSec處理有AH（Authentication Header）和ESp（Encapsulating Security payload）兩種方式。

3.防毒墻

防毒墻是指位于網(wǎng)絡(luò)入口處，用于對(duì)網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過(guò)濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析，但它對(duì)從允許連接的電腦上發(fā)送過(guò)來(lái)的病毒數(shù)據(jù)流卻是無(wú)能為力的，因?yàn)樗鼰o(wú)法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作，阻止網(wǎng)絡(luò)蠕蟲(chóng)(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴(kuò)散。此外，管理人員能夠定義分組的安全策略，以過(guò)濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的Ip/MAC地址，以及TCp/UDp端口和協(xié)議。

三、網(wǎng)絡(luò)檢測(cè)技術(shù)分析

人們意識(shí)到僅僅依靠防護(hù)技術(shù)是無(wú)法擋住所有攻擊，于是以檢測(cè)為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生。這類技術(shù)的基本思想是通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。主要的網(wǎng)絡(luò)安全檢測(cè)技術(shù)有：

1.入侵檢測(cè)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System,IDS）是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。作為防火墻的有效補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.入侵防御

入侵防御系統(tǒng)（Intrusion prevention System,IpS）則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)。IpS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IpS的檢測(cè)功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IpS部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷?？梢哉J(rèn)為IpS就是防火墻加上入侵檢測(cè)系統(tǒng)，但并不是說(shuō)IpS可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比較粗的訪問(wèn)控制產(chǎn)品，它在基于TCp/Ip協(xié)議的過(guò)濾方面表現(xiàn)出色，同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)、VpN等功能。

3.漏洞掃描

漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)，它主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來(lái)攻擊。通過(guò)對(duì)蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析，來(lái)發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。

四、結(jié)語(yǔ)

盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用，但在一個(gè)巨大、開(kāi)放、動(dòng)態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級(jí)產(chǎn)品的檢測(cè)數(shù)據(jù)庫(kù)，系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒，防火墻只能對(duì)非法訪問(wèn)通信進(jìn)行過(guò)濾，而入侵檢測(cè)系統(tǒng)只能被用來(lái)識(shí)別特定的惡意攻擊行為。在一個(gè)沒(méi)有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中，安全問(wèn)題的炸彈隨時(shí)都有爆炸的可能。用戶必須針對(duì)每種安全威脅部署相應(yīng)的防御手段，這樣使信息安全工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品。

參考文獻(xiàn):

[1]周碧英:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008,24(3):18～19

[2]潘號(hào)良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊, 2008,(3):74～75

[3]劉愛(ài)國(guó)李志梅談:電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場(chǎng)現(xiàn)代化,2007,(499):76～77

[4]孫曉南:防火墻技術(shù)與網(wǎng)絡(luò)安全[J].科技信息,2008,(3): 199～120

[5]趙立志林偉:淺析網(wǎng)絡(luò)安全技術(shù)[J].民營(yíng)科技,2008,(3):193

第四篇：安徽大學(xué)企業(yè)資源規(guī)劃論文

專業(yè)：

年級(jí)：

姓名：

學(xué)號(hào)：

企業(yè)資源規(guī)劃ERP在中國(guó)企業(yè)應(yīng)用

引 言

近幾年，眾多國(guó)內(nèi)管理軟件廠商爭(zhēng)相將目光從大型企業(yè)投向中小企業(yè)信息化，許多國(guó)際著名軟件巨頭也紛紛在國(guó)內(nèi)尋找合作伙伴來(lái)“分食”這塊蛋糕??我國(guó)的中小企業(yè)發(fā)展十分迅速，其IT應(yīng)用 市場(chǎng)也日漸成熟，許多中小企業(yè)對(duì)運(yùn)用ERP手段來(lái)提升企業(yè)管理水平表現(xiàn)出十分渴望的心情。

中小企業(yè)相對(duì)于大型企業(yè)而言，具有自己獨(dú)特的優(yōu)勢(shì)條件：一是中小企業(yè)ERP實(shí)施難度相對(duì)較低，容易獲得成功，業(yè)務(wù)流程與組織架構(gòu)相對(duì)簡(jiǎn)單，ERP軟件開(kāi)發(fā)相對(duì)容易實(shí)現(xiàn)；二是中小企業(yè)的ERP實(shí)施周期也相對(duì)較短，見(jiàn)效快，在實(shí)施ERP過(guò)程中通過(guò)管理咨詢收效也比較明顯。正確地實(shí)施ERP可幫助中小企業(yè)規(guī)劃管理模式、強(qiáng)化管理規(guī)范與制度、實(shí)現(xiàn)對(duì)經(jīng)營(yíng)過(guò)程地及時(shí)監(jiān)控，為企業(yè)的擴(kuò)張打下基礎(chǔ)。中小企業(yè)實(shí)施ERP能夠確保與大型企業(yè)競(jìng)爭(zhēng)中地高效、靈活優(yōu)勢(shì)，在快速求變地信息社會(huì)商務(wù)生態(tài)環(huán)境中，充分發(fā)揮“快魚(yú)”的優(yōu)勢(shì)。

一．ERP是什么？

ERP是Enterprise Resource Planning（企業(yè)資源計(jì)劃）的簡(jiǎn)稱，是上個(gè)世紀(jì)90年代美國(guó)一家IT公司根據(jù)當(dāng)時(shí)計(jì)算機(jī)信息、IT技術(shù)發(fā)展及企業(yè)對(duì)供應(yīng)鏈管理的需求，預(yù)測(cè)在今后信息時(shí)代企業(yè)管理信息系統(tǒng)的發(fā)展趨勢(shì)和即將發(fā)生變革，而提出了這個(gè)概念。ERP是針對(duì)物資資源管理（物流）、人力資源管理（人流）、財(cái)務(wù)資源管理（財(cái)流）、信息資源管理（信息流）集成一體化的企業(yè)管理軟件。它將包含客戶/服務(wù)架構(gòu)，使用圖形用戶接口，應(yīng)用開(kāi)放系統(tǒng)制作。除了已有的標(biāo)準(zhǔn)功能，它還包括其它特性，如品質(zhì)、過(guò)程運(yùn)作管理、以及調(diào)整報(bào)告等。

企業(yè)資源計(jì)劃(enterprise resource planning，ERP),它利用計(jì)算機(jī)技術(shù)，把企業(yè)的物流、人流、資金流、信息流統(tǒng)一起來(lái)進(jìn)行管理，把客戶需要和企業(yè)內(nèi)部的生產(chǎn)經(jīng)營(yíng)活動(dòng)以及供應(yīng)商的資源整合在一起，為企業(yè)決策層提供解決企業(yè)產(chǎn)品成本問(wèn)題、提高作業(yè)效率、及資金的運(yùn)營(yíng)情況一系列動(dòng)作問(wèn)題，使之成為能完全按用戶需求進(jìn)行經(jīng)營(yíng)管理的一種全新的行之有效的管理方法。它是一個(gè)以管理會(huì)計(jì)為核心的信息系統(tǒng)，識(shí)別和規(guī)劃企業(yè)資源，從而獲取客戶訂單，完成加工和交付，最后得到客戶付款。是綜合客戶機(jī)和服務(wù)體系系統(tǒng)、關(guān)系數(shù)據(jù)庫(kù)結(jié)構(gòu)、面向?qū)ο蠹夹g(shù)、圖形用戶界面、第四代語(yǔ)言、網(wǎng)絡(luò)通訊等信息產(chǎn)業(yè)成果，以ERP為管理思想的軟件產(chǎn)品。

換言之，ERP將企業(yè)內(nèi)部所有資源整合在一起，對(duì)采購(gòu)、生產(chǎn)、成本、庫(kù)存、分銷、運(yùn)輸、財(cái)務(wù)、人力資源進(jìn)行規(guī)劃，從而達(dá)到最佳資源組合，取得最佳效益。

企業(yè)資源規(guī)劃 ERP(Enterprise Resource Planning)的合理運(yùn)用已經(jīng)改變了企業(yè)運(yùn)作的面貌。ERP通過(guò)運(yùn)用最佳業(yè)務(wù)制度規(guī)范business practice以及集成企業(yè)關(guān)鍵業(yè)務(wù)流程business processes來(lái)發(fā)問(wèn)和提高企業(yè)利潤(rùn)，市場(chǎng)需求反應(yīng)速度和企業(yè)。

二． ERP綜述

2.1 概念

ERP（Enterprise Resources Planning“企業(yè)資源計(jì)劃”），可以從管理思想、軟件產(chǎn)品、管理系統(tǒng)三個(gè)層次給出它的定義：

一是由美國(guó)著名的計(jì)算機(jī)技術(shù)咨詢和評(píng)估集團(tuán)Garter Group Inc.提出了一整套企業(yè)管理系統(tǒng)體系標(biāo)準(zhǔn)，其實(shí)質(zhì)是在MRPII（Manufacturing Resources Planning，“制造資源計(jì)劃”）基礎(chǔ)上進(jìn)一步發(fā)展而成的面向供應(yīng)鏈（Supply Chain）的管理思想；

二是綜合應(yīng)用了客戶機(jī)/服務(wù)器體系、關(guān)系數(shù)據(jù)庫(kù)結(jié)構(gòu)、面向?qū)ο蠹夹g(shù)、圖形用戶界面、第四代語(yǔ)言（4GL）、網(wǎng)絡(luò)通訊等信息產(chǎn)業(yè)成果，以ERP 管理思想為靈魂的軟件產(chǎn)品；

三是整合了企業(yè)管理理念、業(yè)務(wù)流程、基礎(chǔ)數(shù)據(jù)、人力物力、計(jì)算機(jī)硬件和軟件于一體的企業(yè)資源管理系統(tǒng)。

ERP 的概念層次可如圖2.1 所示。

圖2.1 ERP 的概念層次

所以，對(duì)應(yīng)于管理界、信息界、企業(yè)界不同的表述要求，“ERP”分別有著它特定的內(nèi)涵和外延，相應(yīng)采用“ERP 管理思想”、“ERP 軟件”、“ERP 系統(tǒng)”的表述方式。

2.2 ERP在我國(guó)中小企業(yè)管理的發(fā)展趨勢(shì)

現(xiàn)階段中國(guó)中小企業(yè)管理以建立競(jìng)爭(zhēng)優(yōu)勢(shì)，提高企業(yè)競(jìng)爭(zhēng)力為核心。要提高企業(yè)的競(jìng)爭(zhēng)力就必須整合企業(yè)經(jīng)營(yíng)，全面加強(qiáng)企業(yè)管理。越來(lái)越多的優(yōu)秀企業(yè)舍得在管理系統(tǒng)上投資的舉動(dòng)，足以說(shuō)明了這一趨勢(shì)。在市場(chǎng)競(jìng)爭(zhēng)日益激烈，用戶需求不斷趨向多樣化，企業(yè)間關(guān)聯(lián)程度越來(lái)越密切的今天，要求企業(yè)行動(dòng)必須快捷、靈敏，在管理的思想觀念、方式方法上不斷創(chuàng)新。人力己經(jīng)很難完全達(dá)到這些要求，必須借助當(dāng)代IT的最新成果。實(shí)施ERP是我國(guó)企業(yè)優(yōu)化和加強(qiáng)企業(yè)運(yùn)營(yíng)和管理的必然趨勢(shì)，因?yàn)镋RP體現(xiàn)了以市場(chǎng)為核心的現(xiàn)代企業(yè)管理思想，它必將成為現(xiàn)代中國(guó)企業(yè)管理的基石。

實(shí)施ERP能給企業(yè)帶來(lái)幾大收益：第一，加快內(nèi)部信息的傳輸、處理速度和工作效率；第二，能為企業(yè)帶來(lái)更多的客戶和商業(yè)機(jī)會(huì)；第三，使企業(yè)對(duì)市場(chǎng)變化更加敏感，縮短決策時(shí)間，便于企業(yè)發(fā)展規(guī)劃，并規(guī)避企業(yè)風(fēng)險(xiǎn)等。對(duì)于中國(guó)中小企業(yè)來(lái)說(shuō)，要在管理問(wèn)題還不是很嚴(yán)重的情況下引進(jìn) ERP要比出現(xiàn)嚴(yán)重管理障礙時(shí)引入更容易。企業(yè)可以采取總體規(guī)劃，效益驅(qū)動(dòng)，重點(diǎn)突破，分步實(shí)施的原則來(lái)逐步實(shí)施自己的ERP。

當(dāng)前，我國(guó)中小企業(yè)要實(shí)施ERP，最重要的是解決他們的認(rèn)識(shí)問(wèn)題。管理是有成本的，ERP只是管理成本的一部分，不能簡(jiǎn)單地說(shuō)投資ERP需要多少錢(qián)，關(guān)鍵是要看它后期的投資回報(bào)。比如海爾，每年交易額是七十個(gè)億，使用ERP系統(tǒng)后成本降低了4%—6%，一降就是幾千萬(wàn)，投資很快便得到了回報(bào)。更何況ERP帶給企業(yè)的收益不只是降低成本，重要的是企業(yè)已有的管理模式得到了完善和更新。

總之，成功實(shí)施了ERP，就為全面的企業(yè)管理信息化打下了牢固的基礎(chǔ)，接下來(lái)的電子交易、供應(yīng)鏈管理、客戶關(guān)系管理、決策支持系統(tǒng)、知識(shí)管理系統(tǒng)、商業(yè)智能分析等大量的管理系統(tǒng)工具都可以更快速的部署，并且很快取得實(shí)效，真正使信息系統(tǒng)成為企業(yè)管理的主系統(tǒng)，使每一個(gè)決策更具有科學(xué)性，使每一個(gè)新的戰(zhàn)略得到更快速的落實(shí)，ERP系統(tǒng)是中小企業(yè)信息化的基礎(chǔ)與核心，沒(méi)有它就無(wú)法使中小企業(yè)真正走上電子商務(wù)的軌道。

三.ERP在我國(guó)中小企業(yè)管理的發(fā)展趨勢(shì)

現(xiàn)階段中國(guó)中小企業(yè)管理以建立競(jìng)爭(zhēng)優(yōu)勢(shì)，提高企業(yè)競(jìng)爭(zhēng)力為核心。要提高企業(yè)的競(jìng)爭(zhēng)力就必須整合企業(yè)經(jīng)營(yíng)，全面加強(qiáng)企業(yè)管理。越來(lái)越多的優(yōu)秀企業(yè)舍得在管理系統(tǒng)上投資的舉動(dòng)，足以說(shuō)明了這一趨勢(shì)。在市場(chǎng)競(jìng)爭(zhēng)日益激烈，用戶需求不斷趨向多樣化，企業(yè)間關(guān)聯(lián)程度越來(lái)越密切的今天，要求企業(yè)行動(dòng)必須快捷、靈敏，在管理的思想觀念、方式方法上不斷創(chuàng)新。

四、實(shí)施ERP系統(tǒng)管理的意義

1、加快內(nèi)部信息的傳輸、處理速度和工作效率；

2、能為企業(yè)帶來(lái)更多的客戶和商業(yè)機(jī)會(huì)；

3、使企業(yè)對(duì)市場(chǎng)變化更加敏感，縮短決策時(shí)間，便于企業(yè)發(fā)展規(guī)劃，并規(guī)避企業(yè)風(fēng)險(xiǎn)等。

當(dāng)前，我國(guó)中小企業(yè)要實(shí)施ERP，最重要的是解決他們的認(rèn)識(shí)問(wèn)題。管理是有成本的，ERP只是管理成本的一部分，不能簡(jiǎn)單地說(shuō)投資ERP需要多少錢(qián)，關(guān)鍵是要看它后期的投資回報(bào)。比如海爾，每年交易額是七十個(gè)億，使用ERP系統(tǒng)后成本降低了4%—6%，一降就是幾千萬(wàn)，投資很快便得到了回報(bào)。更何況ERP帶給企業(yè)的收益不只是降低成本，重要的是企業(yè)已有的管理模式得到了完善和更新。

五． 企業(yè)應(yīng)用ERP失敗案例

（一）、三露聯(lián)想“婚變”

北京市三露廠在1998年3月20日與聯(lián)想集成簽訂了ERP實(shí)施合同。合同中聯(lián)想集成承諾6個(gè)月內(nèi)完成實(shí)施，如不能按規(guī)定時(shí)間交工，違約金按千分之五來(lái)賠償。合作的雙方，一方是化妝品行業(yè)的著名企業(yè)，一方是國(guó)內(nèi)IT業(yè)領(lǐng)頭羊的直屬子公司。這場(chǎng)本應(yīng)美滿的“婚姻”，因?yàn)镮ntentia軟件產(chǎn)品漢化不徹底，造成了一些表單無(wú)法正確生成等問(wèn)題出現(xiàn)了“婚變”。后雖經(jīng)再次的實(shí)施、修改和漢化，包括軟件產(chǎn)品提供商Intentia公司也派人來(lái)三露廠解決了一些技術(shù)問(wèn)題。但是由于漢化、報(bào)表生成等關(guān)鍵問(wèn)題仍舊無(wú)法徹底解決，最終導(dǎo)致項(xiàng)目的失敗。

（二）、哈藥“城門(mén)失火”

2000年，哈爾濱醫(yī)藥集團(tuán)決定上ERP項(xiàng)目，參與軟件爭(zhēng)奪的兩個(gè)主要對(duì)手是Oracle與利瑪。一開(kāi)始，兩家在ERP軟件上打得難解難分，一年之后，Oracle擊敗利瑪，哈藥決定選擇Oracle的ERP軟件。然而事情發(fā)展極具戲劇性的是，盡管軟件選型已經(jīng)確定，但是為了爭(zhēng)奪哈藥實(shí)施ERP項(xiàng)目的“另一半”，2001年10月，利瑪聯(lián)手哈爾濱凱納擊敗哈爾濱本地的一家公司華旭，成為哈藥ERP項(xiàng)目實(shí)施服務(wù)的“總包頭”。

但是，始料不及的是，到了2002年3月份，哈藥ERP實(shí)施出現(xiàn)了更加戲劇性的變化。利瑪在哈藥ERP項(xiàng)目的實(shí)施團(tuán)隊(duì)全部離職。城門(mén)失火，殃及池魚(yú)，整個(gè)哈藥項(xiàng)目也被迫終止。

六．企業(yè)應(yīng)用ERP成功案例介紹

凌進(jìn)電子有限公司ERP系統(tǒng)案例分析 6.1公司背景介紹

凌進(jìn)電子有限公司成立于1993年，是一家集模具制造、注塑成型、絲印、移印、無(wú)塵噴涂、超聲焊接、激光雕刻到電子產(chǎn)品組裝等配套工藝于一體的綜合性企業(yè)，在制造通訊產(chǎn)品、家電產(chǎn)品及IT產(chǎn)品外殼精密注塑及噴涂方面更是擁有相當(dāng)專業(yè)的水準(zhǔn)。

6.2 ERP實(shí)施前狀況

作為一個(gè)大型制造企業(yè)，在導(dǎo)入神州數(shù)碼ERP系統(tǒng)之前，凌進(jìn)電子擁有和同等規(guī)模廠商相同的困惑，制造流程復(fù)雜，生產(chǎn)經(jīng)營(yíng)計(jì)劃不準(zhǔn)確；盲目采購(gòu)，導(dǎo)致庫(kù)存積壓過(guò)大；資金占用過(guò)多;財(cái)務(wù)預(yù)算不嚴(yán)謹(jǐn)，財(cái)務(wù)報(bào)告不準(zhǔn)確；成本管理方法不科學(xué)，難以科學(xué)地反映、分析和控制企業(yè)的生產(chǎn)經(jīng)營(yíng)管理水平和經(jīng)濟(jì)效益；各種信息失真，不集成，企業(yè)決策及日常工作缺乏科學(xué)的依據(jù)。

6.3公司實(shí)施ERP系統(tǒng) 2005年，公司決心建立企業(yè)集成信息系統(tǒng)，引進(jìn)ERP加強(qiáng)企業(yè)資源管理。為此，公司成立了信息化領(lǐng)導(dǎo)小組，同時(shí)建立ERP系統(tǒng)組和各部門(mén)的ERP實(shí)施組為體系的實(shí)施體系，不僅提供組織上的保障，而且添置了硬件設(shè)備，準(zhǔn)備了專門(mén)的培訓(xùn)課室，提供了硬件的保證。第一階段是培訓(xùn)階段。這個(gè)階段用了2個(gè)月時(shí)間，進(jìn)行了進(jìn)銷存和生產(chǎn)模塊培訓(xùn)，確定了編碼原則和BOM分階原則確定，建立了基本資料。同時(shí)，組織對(duì)內(nèi)部各關(guān)鍵用戶進(jìn)行熟練操作培訓(xùn)和強(qiáng)化教育。

第二階段是流程討論和模擬階段。從2005年12月開(kāi)始，考察了5家客戶，重點(diǎn)了解其庫(kù)存管理、報(bào)表打印、物料編碼以及單據(jù)流程等方面的實(shí)施情況。通過(guò)初步實(shí)施，實(shí)現(xiàn)了對(duì)物流數(shù)據(jù)的集中管控，流程通暢，各種數(shù)據(jù)趨于一致，具備了二次開(kāi)發(fā)的能力。

第三階段進(jìn)入了功能集成開(kāi)發(fā)和應(yīng)用完善階段，用了一個(gè)月的時(shí)間考察流程管理和控制程序，提出了分量損耗等很多問(wèn)題，并據(jù)此制定出階段性目標(biāo)。第四階段系統(tǒng)實(shí)現(xiàn)順利上線。通過(guò)整體演示，系統(tǒng)運(yùn)行情況得到了專家組的一致肯定，進(jìn)銷存、生產(chǎn)、計(jì)劃等模塊全面上線。第五階段主要側(cè)重于二次開(kāi)發(fā)，涉及BOM分量損耗，BOM審核，及業(yè)務(wù)開(kāi)單等，二次開(kāi)發(fā)程序做到了與原有系統(tǒng)的無(wú)縫銜接，實(shí)現(xiàn)了順利運(yùn)行。

期間，領(lǐng)導(dǎo)的支持和重視促使ERP系統(tǒng)組、實(shí)施組成員按照要求密切配合，持續(xù)推進(jìn)。公司領(lǐng)導(dǎo)在項(xiàng)目啟動(dòng)伊始，在全公司范圍內(nèi)強(qiáng)調(diào)實(shí)施ERP系統(tǒng)對(duì)企業(yè)發(fā)展的重要性，迅速統(tǒng)一了思想、統(tǒng)一了意志。同時(shí)，基于對(duì)ERP實(shí)施可能遇到的問(wèn)題的清醒認(rèn)識(shí)和深入分析，統(tǒng)籌協(xié)調(diào)各方資源，認(rèn)真對(duì)待、嚴(yán)格執(zhí)行。通過(guò)把ERP的推行工作列入到部門(mén)的每月計(jì)劃，確保項(xiàng)目的順利實(shí)施。

在項(xiàng)目組長(zhǎng)、公司領(lǐng)導(dǎo)的親自推動(dòng)下，系統(tǒng)組以系統(tǒng)工程的方法，制訂了詳細(xì)、周密的項(xiàng)目實(shí)施進(jìn)度計(jì)劃。在整個(gè)實(shí)施過(guò)程中，嚴(yán)格按照計(jì)劃控制、檢查進(jìn)度，遇到困難，系統(tǒng)組、實(shí)施組努力協(xié)調(diào)，尋求解決方案，最大程度減少了不良因素對(duì)項(xiàng)目可能造成的影響。在系統(tǒng)的嚴(yán)格控制和努力協(xié)調(diào)下，各部門(mén)得以明確目標(biāo)，統(tǒng)一思想，保證了凌進(jìn)電子的ERP項(xiàng)目按計(jì)劃成功上線。

6.4實(shí)施ERP取得的效益

通過(guò)ERP的實(shí)施，凌進(jìn)公司各部門(mén)實(shí)現(xiàn)了數(shù)據(jù)集成、信息共享，庫(kù)存帳務(wù)及時(shí)準(zhǔn)確，物流、財(cái)務(wù)流緊密集成，計(jì)劃自動(dòng)運(yùn)算，降低了成本。更重要的是實(shí)現(xiàn)了業(yè)務(wù)流程的規(guī)范化，操作者必須按系統(tǒng)既定的流程嚴(yán)格進(jìn)行，各環(huán)節(jié)的過(guò)程和結(jié)果可以控制和預(yù)測(cè)，問(wèn)題能夠及時(shí)分析和反饋，為凌進(jìn)電子有效應(yīng)對(duì)市場(chǎng)挑戰(zhàn)提供了強(qiáng)大支撐。

作為服務(wù)于通訊行業(yè)的制造企業(yè)，市場(chǎng)對(duì)凌進(jìn)電子生產(chǎn)提出了很高的要求，即“短、平、快”，通過(guò)導(dǎo)入神州數(shù)碼的易飛ERP系統(tǒng)，凌進(jìn)電子各方面管理都發(fā)生了突飛猛進(jìn)的變化：以前拿一個(gè)訂單可以超領(lǐng)10次，現(xiàn)在初步實(shí)現(xiàn)了產(chǎn)品訂單的單據(jù)化管理，完全杜絕了超領(lǐng)的現(xiàn)象。以前盲目采購(gòu)，重復(fù)下單，不該采購(gòu)的物料也采購(gòu)進(jìn)來(lái)了，上了ERP之后，物料消耗明顯下降，初步實(shí)現(xiàn)了全公司的物料管控，以前生產(chǎn)一個(gè)手機(jī)最長(zhǎng)需要兩年的時(shí)間，現(xiàn)在只要3個(gè)月就可以搞定。

上了ERP系統(tǒng)之后，公司庫(kù)存的準(zhǔn)確率從30%提升到98%左右，很多不按計(jì)劃的生產(chǎn)得到了有效控制，可追溯性大大增強(qiáng)了，不僅可以倒查庫(kù)存，還可以深入查詢產(chǎn)品、生產(chǎn)等報(bào)表的相關(guān)數(shù)據(jù)。生產(chǎn)管理全過(guò)程通過(guò)ERP實(shí)現(xiàn)監(jiān)控，同一套產(chǎn)品使用同一種編碼，實(shí)現(xiàn)了數(shù)據(jù)共享，公司信息的流通率和透明度都有了很大提高。

由此，凌進(jìn)電子從一個(gè)依賴手工作業(yè)的企業(yè)成為了一個(gè)運(yùn)行高效的信息化企業(yè)，通過(guò)數(shù)據(jù)的精確化管理和流程的標(biāo)準(zhǔn)化，實(shí)現(xiàn)了信息集成，大幅提高了企業(yè)的工作效率，在一定意義上幫助企業(yè)實(shí)現(xiàn)了綠色運(yùn)營(yíng)。

6.5 案例分析

凌進(jìn)電子有限公司ERP能夠成功實(shí)施的原因在于：

（1）成立ERP項(xiàng)目實(shí)施機(jī)

公司為了建立企業(yè)集成信息系統(tǒng)，引進(jìn)ERP加強(qiáng)企業(yè)資源管理，成立了信息化領(lǐng)導(dǎo)小組，同時(shí)建立了ERP系統(tǒng)組和各部門(mén)的ERP實(shí)施組的實(shí)施體系，不僅提供組織上的保障，而且添置了硬件設(shè)備，準(zhǔn)備了專門(mén)的培訓(xùn)課室，提供了硬件的保證。（2）公司ERP的實(shí)施得到了領(lǐng)導(dǎo)的支持和重視。

企業(yè)領(lǐng)導(dǎo)特別是一把手，始終如

一、全面的支持是 ERP 成功實(shí)施的關(guān)鍵因素。凌進(jìn)電子有限公司領(lǐng)導(dǎo)的支持和重視促使ERP系統(tǒng)組、實(shí)施組成員按照要求密切配合，持續(xù)推進(jìn)，迅速統(tǒng)一了思想、統(tǒng)一了意志。同時(shí)，ERP的實(shí)施具有了資金和組織上的保證，遇到問(wèn)題也能夠迅速得以解決，保證了工程實(shí)施的落實(shí)。

（3）在ERP系統(tǒng)實(shí)施的過(guò)程中逐步建立起一支自己的實(shí)施和維護(hù)隊(duì)伍，為后續(xù)企業(yè)的ERP實(shí)施以及現(xiàn)有系統(tǒng)的維護(hù)打下堅(jiān)實(shí)的基礎(chǔ)。

（4）公司分階段、分內(nèi)容、分人員、分管理層次進(jìn)行員工培訓(xùn)，提高全員對(duì)實(shí)施ERP項(xiàng)目根本意義的認(rèn)識(shí)、積極性和主動(dòng)參與意識(shí)，提高和增強(qiáng)全員的信心和熱情，使所有員工都能盡快地進(jìn)入角色。

七.ERP在我國(guó)中小企業(yè)實(shí)施中面臨的問(wèn)題

北京市三露廠和哈爾濱醫(yī)藥集團(tuán)就是兩個(gè)比較典型的例子。為什么會(huì)出現(xiàn)這種問(wèn)題？中小型民營(yíng)企業(yè)在應(yīng)用ERP過(guò)程中面臨的問(wèn)題主要表現(xiàn)在以下三個(gè)方面:

1、企業(yè)使用的盲目性

企業(yè)對(duì)ERP認(rèn)識(shí)模糊，混淆了“ERP軟件”與“ERP系統(tǒng)”的概念。他們認(rèn)為，只要投入一定的資金購(gòu)置計(jì)算機(jī)硬件和某種ERP軟件，就能解決企業(yè)這樣那樣的問(wèn)題?；蛘呔褪瞧髽I(yè)為追趕潮流，把錢(qián)花在外部包裝上。沒(méi)有堅(jiān)實(shí)的基礎(chǔ)，只是盲目樂(lè)觀，企業(yè)注定隱患叢生。這樣的結(jié)果，往往是企業(yè)的投資遠(yuǎn)大于獲得的增益，軟件與公司實(shí)際不相符，系統(tǒng)無(wú)法正常有效的運(yùn)轉(zhuǎn)，不僅使得系統(tǒng)喪失了它本身的價(jià)值，也使得企業(yè)背上了沉重的包袱。

2、市場(chǎng)上相關(guān)產(chǎn)品眾多

這也使企業(yè)面臨一個(gè)選擇的問(wèn)題。企業(yè)往往需要綜合考慮成本，便利，安全以及是否符合企業(yè)實(shí)際等等因素。這一方面不僅使得一部分企業(yè)對(duì)此“談虎色變”，對(duì)ERP的使用呈觀望態(tài)度，也造成一批準(zhǔn)備使用和已經(jīng)使用的企業(yè)的不便。、不同生產(chǎn)（經(jīng)營(yíng)）業(yè)務(wù)流程之間的差異 不同管理方式之間的差異遠(yuǎn)不是“人機(jī)界面?zhèn)€性化定制”所能解決的問(wèn)題，要求處理方案的變化也是可能的。不同行業(yè)之間的差異。傳統(tǒng)的方法是不同行業(yè)用不同版本，但由于核心功能就有差別，傳統(tǒng)開(kāi)發(fā)方法往往程序改動(dòng)很大，無(wú)異于寫(xiě)兩套軟件。所以選擇了與自身生產(chǎn)（經(jīng)營(yíng)）業(yè)務(wù)流程不相符的ERP系統(tǒng)也是企業(yè)引進(jìn)ERP系統(tǒng)后實(shí)施失敗的原因之一。

八． 我國(guó)中小企業(yè)實(shí)施ERP的環(huán)境條件分析

中小企業(yè)成功實(shí)施ERP的條件可以分為兩大類 ：外部環(huán)境條件和企業(yè)內(nèi)部環(huán)境條件。前者指企業(yè)所處的社會(huì)環(huán)境和實(shí)施ERP所需的外部資源環(huán)境（軟件供應(yīng)商和咨詢服務(wù)提供商）。后者指的是實(shí)施ERP的企業(yè)內(nèi)部對(duì)項(xiàng)目實(shí)施結(jié)果產(chǎn)生影響和決定作用的因素。

8.1 社會(huì)環(huán)境條件分析

社會(huì)環(huán)境條件的第一層含義是指我國(guó)中小企業(yè)所處的宏觀經(jīng)濟(jì)環(huán)境。其最大特點(diǎn)是社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制尚不完善，市場(chǎng)對(duì)資源的配置還處于初級(jí)階段，同時(shí)與市場(chǎng)經(jīng)濟(jì)相適應(yīng)的各項(xiàng)法律法規(guī)尚不健全，企業(yè)與企業(yè)之間存在著很多的無(wú)序競(jìng)爭(zhēng)、不正當(dāng)競(jìng)爭(zhēng)。第二層含義是指實(shí)施ERP的中小企業(yè)所處的行業(yè)環(huán)境。實(shí)施企業(yè)所處行業(yè)的供應(yīng)鏈結(jié)構(gòu)和規(guī)范程度會(huì)在很大程度上影響企業(yè)ERP項(xiàng)目實(shí)施的效果。供應(yīng)鏈上游供應(yīng)商的可靠程度，供應(yīng)鏈下游需求信息的可靠程度和及時(shí)反饋程度，都會(huì)影響實(shí)施企業(yè)對(duì)ERP的運(yùn)行效果。目前，我國(guó)各行各業(yè)的社會(huì)化協(xié)作分工體系和供應(yīng)鏈結(jié)構(gòu)還存在很多不合理的地方，因此，企業(yè)在考慮引入 ERP之前，需要對(duì)所在行業(yè)的特點(diǎn)進(jìn)行分析研究，考慮相應(yīng)的對(duì)策。否則，即使企業(yè)內(nèi)部的管理基礎(chǔ)很好，也不能充分發(fā)揮ERP應(yīng)有的威力。

8.2 外部資源條件分析

首先，來(lái)自軟件公司的風(fēng)險(xiǎn)。目前，我國(guó)市場(chǎng)上的ERP產(chǎn)品主要有兩大類：國(guó)外軟件廠商開(kāi)發(fā)的ERP產(chǎn)品和國(guó)內(nèi)軟件廠商開(kāi)發(fā)的ERP產(chǎn)品。由于國(guó)外ERP產(chǎn)品在一些發(fā)達(dá)國(guó)家已經(jīng)經(jīng)歷了一個(gè)較長(zhǎng)的開(kāi)發(fā)和應(yīng)用階段，因而在理念、模式和技術(shù)上有其先進(jìn)性和成熟性，但國(guó)外廠商往往不了解中國(guó)企業(yè)的實(shí)際情況，本地化不夠，同時(shí)系統(tǒng)對(duì)企業(yè)內(nèi)部基礎(chǔ)管理和基礎(chǔ)數(shù)據(jù)要求很高，實(shí)施難度大。國(guó)內(nèi)ERP軟件供應(yīng)商憑借著對(duì)中國(guó)國(guó)情的了解，能提供更加本地化的服務(wù)，價(jià)格上也相對(duì)便宜。但是在技術(shù)、經(jīng)驗(yàn)和應(yīng)用實(shí)踐上與國(guó)外軟件公司相比還存在著一定的差距。另外，目前我國(guó)的ERP供應(yīng)市場(chǎng)也表現(xiàn)得不成熟。個(gè)別軟件供應(yīng)商為了單純追求利潤(rùn)，根本不考慮其產(chǎn)品是否適合企業(yè)的實(shí)際情況都拼命推銷給用戶，這種不負(fù)責(zé)任的做法，極有可能給用戶帶來(lái)實(shí)施困難、效果不佳、甚至后續(xù)實(shí)施工作無(wú)法開(kāi)展等風(fēng)險(xiǎn)。還有個(gè)別軟件公司為了搶占市場(chǎng)，常常會(huì)過(guò)分滿足企業(yè)提出的不合理要求，從而出現(xiàn)“穿新鞋走老路”的

現(xiàn)象，沒(méi)有起到優(yōu)化流程，管理模式創(chuàng)新的目的。

其次，來(lái)自項(xiàng)目實(shí)施咨詢服務(wù)公司的風(fēng)險(xiǎn)。目前，我國(guó)的管理咨詢機(jī)構(gòu)尚不健全，水平也參差不齊。咨詢公司缺少理論水平和實(shí)踐經(jīng)驗(yàn)都豐富的人員，由于沒(méi)有深厚的管理知識(shí)和背景，他們?cè)陧?xiàng)目實(shí)施過(guò)程中常常會(huì)趨向于回避管理上的變革甚至業(yè)務(wù)流程的優(yōu)化、重組。另外，咨詢公司的人員流動(dòng)性也很大，缺乏合格的項(xiàng)目經(jīng)理。還有不少咨詢公司的信譽(yù)度較差，只要合同一簽，就急于脫手和交工，縮小項(xiàng)目服務(wù)范圍尤其是涉及企業(yè)管理變革方面的內(nèi)容。

最后，企業(yè)與外部源的合作風(fēng)險(xiǎn)。合作風(fēng)險(xiǎn)是指實(shí)施ERP的企業(yè)與軟件供應(yīng)商、咨詢服務(wù)提供商在ERP系統(tǒng)實(shí)施期間以及以后的支持期間三方合作方面所產(chǎn)生的風(fēng)險(xiǎn)。從實(shí)施企業(yè)的角度來(lái)看，合作風(fēng)險(xiǎn)可歸屬于企業(yè)的選擇風(fēng)險(xiǎn)，即軟件選擇風(fēng)險(xiǎn)和實(shí)施咨詢公司選擇風(fēng)險(xiǎn)，以及合作時(shí)企業(yè)認(rèn)識(shí)上的錯(cuò)位風(fēng)險(xiǎn)。

8.3 企業(yè)內(nèi)部環(huán)境因素分析

內(nèi)部環(huán)境因素主要指實(shí)施 ERP的中小企業(yè)內(nèi)部對(duì)項(xiàng)目實(shí)施結(jié)果起影響和決定作用的內(nèi)容，主要包括企業(yè)管理水平、企業(yè)信息化基礎(chǔ)、企業(yè)資金支持能力、企業(yè)技術(shù)支持能力、領(lǐng)導(dǎo)重視程度、項(xiàng)目前期籌備情況等幾項(xiàng)。

（1）中小企業(yè)當(dāng)前管理水平

中小企業(yè)引進(jìn)ERP系統(tǒng)的根本原因是它所包含的先進(jìn)管理理念和管理手段，但其在項(xiàng)目實(shí)施過(guò)程中如果忽略其中的管理因素而僅僅將它看作軟件必然會(huì)失敗。伴隨著ERP系統(tǒng)的實(shí)施，企業(yè)業(yè)務(wù)流程需要整合優(yōu)化，去除多余和無(wú)效的工作環(huán)節(jié)，從而確保企業(yè)有一個(gè)科學(xué)、規(guī)范的業(yè)務(wù)流程和管理基礎(chǔ)，并在此基礎(chǔ)上對(duì)企業(yè)組織結(jié)構(gòu)進(jìn)行相應(yīng)的調(diào)整，實(shí)現(xiàn)扁平化管理，以適應(yīng)ERP所貫徹的管理參考模型的要求。因此業(yè)務(wù)流程變革是ERP系統(tǒng)實(shí)施過(guò)程中不可缺少的環(huán)節(jié)，而變革的內(nèi)容取決于企業(yè)當(dāng)前的管理水平和管理模式與ERP系統(tǒng)管理基準(zhǔn)之間的差距，如果差距過(guò)大，則實(shí)施難度也很大。因此根據(jù)企業(yè)當(dāng)前真實(shí)的管理水平，采取合理的措施，選擇合適的ERP產(chǎn)品，中小企業(yè)當(dāng)前管理水平可以從以下幾個(gè)方面加衡量：資金周轉(zhuǎn)率；新產(chǎn)品設(shè)計(jì)周期；基礎(chǔ)數(shù)據(jù)管理；人均勞動(dòng)生產(chǎn)率；人均利潤(rùn)率；自動(dòng)化水平；企業(yè)組織結(jié)構(gòu)穩(wěn)定性；企業(yè)發(fā)展速度。

（2）中小企業(yè)信息化基礎(chǔ)

信息化對(duì)中小企業(yè)ERP實(shí)施的重要性不言而喻。企業(yè)信息化基礎(chǔ)如何，可以從企業(yè)信息化過(guò)程中軟、硬件方面的資金投入和使用情況，以及具體使用信息化系統(tǒng)的人員所具備的素質(zhì)等角度來(lái)反映當(dāng)前企業(yè)信息化的真實(shí)水平。中小企業(yè)當(dāng)前信息化基礎(chǔ)可以從以下幾個(gè)方面加衡量：企業(yè)中人的因素，包括員工信息化的認(rèn)可程度、操作熟練程度；現(xiàn)有信息化軟件使用情況，包括所用產(chǎn)品類別和數(shù)量、應(yīng)用范圍；信息化硬件投資情況，包括硬件數(shù)量、投資額、聯(lián)網(wǎng)程度、年均運(yùn)行維護(hù)費(fèi)用。

（3）中小企業(yè)資金支持能力

中小企業(yè)引進(jìn)ERP系統(tǒng)通常需要大量的資金投入，這些投入不僅包括初期的一次性投入，而且還包括運(yùn)營(yíng)過(guò)程中的人員培訓(xùn)費(fèi)用、系統(tǒng)維護(hù)費(fèi)用和系統(tǒng)升級(jí)費(fèi)用，這些都要求企業(yè)在ERP項(xiàng)目資金投入方面有一定的保障。如果項(xiàng)目資金支持不力，或企業(yè)對(duì)此沒(méi)有充分認(rèn)識(shí)，那么項(xiàng)目在實(shí)施過(guò)程中就會(huì)產(chǎn)生問(wèn)題，甚至?xí)驗(yàn)楹笃谫Y金投入的不足而引起整個(gè)項(xiàng)目的失敗，使得前期的投入不能很好地發(fā)揮作用。

中小企業(yè)資金支持能力可以從以下幾個(gè)方面加衡量：企業(yè)盈利能力；有無(wú)完善的資金使用規(guī)劃；有無(wú)項(xiàng)目預(yù)算；ERP項(xiàng)目初期實(shí)施費(fèi)用(價(jià)格與初期維護(hù)費(fèi)用)與年盈利的比率。

（4）中小企業(yè)技術(shù)支持能力

項(xiàng)目實(shí)施過(guò)程中需要企業(yè)內(nèi)部人員為項(xiàng)目提供支持，這些工作主要包括項(xiàng)目規(guī)劃和實(shí)施建議、項(xiàng)目目標(biāo)及需求調(diào)查、新系統(tǒng)功能描述和要求、系統(tǒng)配置、必要的二次開(kāi)發(fā)、系統(tǒng)維護(hù)和系統(tǒng)升級(jí)工作。因此企業(yè)內(nèi)部技術(shù)人員的素質(zhì)以及他們對(duì)項(xiàng)目?jī)?nèi)容的理解和掌握程度，影響著系統(tǒng)實(shí)施的效果。企業(yè)技術(shù)支持能力可以從以下幾個(gè)方面加衡量：企業(yè) ERP項(xiàng)目組成員的構(gòu)成情況(后面將詳細(xì)討論ERP項(xiàng)目的組織結(jié)構(gòu))，按照專業(yè)、學(xué)歷及工齡劃分；接受培訓(xùn)程度，包括ERP原理、ERP產(chǎn)品和實(shí)施流程及規(guī)范的培訓(xùn)情況；人員數(shù)量、相關(guān)經(jīng)驗(yàn)等方面考慮。

（5）中小企業(yè)領(lǐng)導(dǎo)重視程度

ERP項(xiàng)目是一把手工程，企業(yè)最高領(lǐng)導(dǎo)層的參與和支持是ERP項(xiàng)目成功的關(guān)鍵。這種參與過(guò)程不能簡(jiǎn)單地理解為審批和簽字，不能只是口頭上的支持，形式上的參與，而是需要企業(yè)領(lǐng)導(dǎo)真正意識(shí)到ERP的重要性，能夠在根本上推動(dòng)和促進(jìn)項(xiàng)目的實(shí)施進(jìn)程。企業(yè)領(lǐng)導(dǎo)重視程度可以從以下幾個(gè)方面加衡量：項(xiàng)目負(fù)責(zé)人是否為企業(yè)最高決策者；項(xiàng)目實(shí)施小組的重要級(jí)別；企業(yè)有無(wú)CIO設(shè)置；企業(yè)領(lǐng)導(dǎo)參與項(xiàng)目會(huì)議的頻率；企業(yè)領(lǐng)導(dǎo)支持工作的力度即解決具體問(wèn)題的數(shù)量，是否把 ERP項(xiàng)目放置到僅次于企業(yè)正常生產(chǎn)經(jīng)營(yíng)之后的第二重要位置。

（6）項(xiàng)目前期籌備情況 良好的開(kāi)始是實(shí)施成功的一半，ERP實(shí)施的前期籌備工作是關(guān)系到是否能夠取得預(yù)期效益的非常重要的一步。在前期籌備期我們需要弄清如下問(wèn)題：企業(yè)領(lǐng)導(dǎo)決策引進(jìn)ERP系統(tǒng)的原因是什么？對(duì)項(xiàng)目的期望是什么？對(duì)實(shí)施過(guò)程中的困難是否了解并做好了心理準(zhǔn)備？對(duì)于產(chǎn)品選型是否科學(xué)而無(wú)偏愛(ài)？對(duì) ERP產(chǎn)品的功能和效果方面了解程度？

項(xiàng)目前期籌備情況可以從以下幾個(gè)方面加衡量：企業(yè)需求是否明確；實(shí)施目標(biāo)是否明確且一致；是否對(duì)項(xiàng)目資金要求和實(shí)施的難度有所認(rèn)識(shí)；是否有具體的系統(tǒng)規(guī)劃和實(shí)施計(jì)劃草案；是否對(duì)所選擇的ERP產(chǎn)品有足夠的了解；對(duì)企業(yè)現(xiàn)有管理模式的優(yōu)缺點(diǎn)是否有充分的認(rèn)識(shí)。中小企業(yè)可以在實(shí)施ERP系統(tǒng)之前，按照自己的實(shí)際情況，對(duì)這些內(nèi)部環(huán)境因素的衡量指標(biāo)打分評(píng)估，判斷出自己企業(yè)的ERP實(shí)施能力如何。

如何提高ERP應(yīng)用的成功率在我國(guó)企業(yè)實(shí)施ERP的對(duì)策和建議

通過(guò)對(duì)我國(guó)一些實(shí)施ERP系統(tǒng)的中小型企業(yè)的深入分析,我認(rèn)為要想成功實(shí)施ERP,企業(yè)應(yīng)該注意以下問(wèn)題：

（1）ERP軟件的本地化問(wèn)題(2)必須滿足用戶的個(gè)性化需求

（3）ERP實(shí)施成功的關(guān)鍵在于企業(yè)領(lǐng)導(dǎo)的支持和參與（4）企業(yè)ERP系統(tǒng)的建設(shè)必須與企業(yè)的技術(shù)改造和企業(yè)機(jī)制的轉(zhuǎn)換相結(jié)合（5）正確地、實(shí)事求是地選擇好企業(yè)管理信息化的突破口（6）ERP的教育和培訓(xùn)必須放在重要位置（7）從基礎(chǔ)工作抓起

（8）強(qiáng)化項(xiàng)目管理在實(shí)施ERP系統(tǒng)中具有重要作用（9）扶植和發(fā)展國(guó)產(chǎn)ERP商品化軟件產(chǎn)業(yè)是當(dāng)務(wù)之急

九、總結(jié)

作為中國(guó)信息化建設(shè)的熱點(diǎn)和重點(diǎn),中小企業(yè)信息化在政府的推動(dòng)、中小企業(yè)自身對(duì)信息化的需求和供應(yīng)商市場(chǎng)競(jìng)爭(zhēng)的多方作用下,呈現(xiàn)出迅速發(fā)展的態(tài)勢(shì)。上馬ERP,開(kāi)展信息化,提升企業(yè)的核心競(jìng)爭(zhēng)力,已成為許多企業(yè)的共識(shí)。但是,一個(gè)不可否認(rèn)的事實(shí)是,很多企業(yè)的ERP 應(yīng)用失敗了。只有認(rèn)真研究和總結(jié)我國(guó)企業(yè)實(shí)施ERP的經(jīng)驗(yàn)和教訓(xùn),從中找出企業(yè)信息化應(yīng)該重點(diǎn)解決的主要問(wèn)題,才能讓更多企業(yè)在信息化建設(shè)中少走彎路。

第五篇：大學(xué)物理網(wǎng)絡(luò)試題庫(kù)研究論文

1獨(dú)立學(xué)院大學(xué)物理教學(xué)現(xiàn)狀

大學(xué)物理是獨(dú)立學(xué)院工科專業(yè)一門(mén)非常重要的公共必修基礎(chǔ)課，目的是為學(xué)生學(xué)習(xí)專業(yè)課程打下堅(jiān)實(shí)基礎(chǔ)。學(xué)習(xí)大學(xué)物理不僅有利于提高學(xué)生發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、解決問(wèn)題的能力。而且在鍛煉學(xué)生的思維能力，培養(yǎng)學(xué)生樹(shù)立科學(xué)的世界觀和創(chuàng)新意識(shí)等方面，具有其他課程不能替代的重要作用。然而，大學(xué)物理理論知識(shí)抽象難懂，又受到課時(shí)、儀器等因素的影響制約，很多學(xué)生對(duì)學(xué)習(xí)大學(xué)物理失去了興趣。相比之下，獨(dú)立學(xué)院的學(xué)生基礎(chǔ)差底子薄，更是對(duì)物理不感興趣，甚至放棄。但是，獨(dú)立學(xué)院主要培養(yǎng)創(chuàng)新型和應(yīng)用性本科人才[1-2]，這就要求教師在教學(xué)過(guò)程中不僅要向?qū)W生傳授知識(shí)，更要注重培養(yǎng)學(xué)生運(yùn)用知識(shí)的能力和實(shí)踐創(chuàng)新能力。目前，從生源看，獨(dú)立學(xué)院絕大多數(shù)學(xué)生自主學(xué)習(xí)能力較差、理論基礎(chǔ)薄弱；從課程設(shè)置看，許多獨(dú)立學(xué)院的大學(xué)物理課程基本上是照搬母體理工科大學(xué)物理課程的設(shè)置，存在著理論性偏強(qiáng)而應(yīng)用性不夠、深度難度偏大而實(shí)踐課時(shí)偏少等問(wèn)題。這種精英教育模式，與獨(dú)立學(xué)院應(yīng)用型人才培養(yǎng)模式相距甚遠(yuǎn)[3]。因此，獨(dú)立學(xué)院要體現(xiàn)專業(yè)型、應(yīng)用型、創(chuàng)新型的教育，大學(xué)物理教學(xué)模式改革勢(shì)在必行[4]。

2獨(dú)立學(xué)院建立大學(xué)物理網(wǎng)絡(luò)試題庫(kù)的必要性

以同濟(jì)大學(xué)浙江學(xué)院為例，不少學(xué)生對(duì)學(xué)習(xí)大學(xué)物理不感興趣，他們普遍認(rèn)為大學(xué)物理難懂、難學(xué)，學(xué)習(xí)抓不住重點(diǎn)，最終導(dǎo)致專業(yè)課程學(xué)習(xí)難度增大。這一問(wèn)題引起了高校教育教學(xué)工作者的重視。針對(duì)上述狀況，如何讓學(xué)生認(rèn)識(shí)到網(wǎng)絡(luò)環(huán)境下大學(xué)物理自主學(xué)習(xí)的必要性與可行性，并讓學(xué)生充分利用“大學(xué)物理網(wǎng)絡(luò)試題庫(kù)”中的資源高效地開(kāi)展大學(xué)物理自主學(xué)習(xí)，提高自身大學(xué)物理學(xué)習(xí)的質(zhì)量和效率，便成為一個(gè)值得研究的重要課題。本文結(jié)合教學(xué)工作實(shí)際，主要從發(fā)展網(wǎng)絡(luò)教學(xué)平臺(tái)、建立網(wǎng)絡(luò)試題庫(kù)以及如何利用網(wǎng)絡(luò)教與學(xué)三個(gè)方面系統(tǒng)分析了如何激發(fā)學(xué)生對(duì)大學(xué)物理的學(xué)習(xí)興趣，有效開(kāi)展大學(xué)物理教學(xué)，以及如何提高學(xué)生的自主學(xué)習(xí)能力，并充分利用“大學(xué)物理網(wǎng)絡(luò)試題庫(kù)”找到與自己專業(yè)相關(guān)的知識(shí)模塊，及時(shí)加強(qiáng)鞏固、反饋給任課教師。希望本文對(duì)于提高獨(dú)立學(xué)院大學(xué)物理教學(xué)質(zhì)量，培養(yǎng)學(xué)生自主學(xué)習(xí)能力具有一定的借鑒意義。

2.1課堂教學(xué)方式的改革與創(chuàng)新，網(wǎng)絡(luò)教學(xué)平臺(tái)的發(fā)展

隨著現(xiàn)代信息化技術(shù)的發(fā)展，大學(xué)物理教學(xué)也呈現(xiàn)了現(xiàn)代化的教學(xué)技術(shù)手段，例如多媒體教學(xué)、網(wǎng)絡(luò)教學(xué)等。大學(xué)物理理論知識(shí)相對(duì)枯燥難懂，而網(wǎng)絡(luò)、多媒體技術(shù)以其特有的圖片、音樂(lè)和動(dòng)畫(huà)給學(xué)生帶來(lái)較強(qiáng)的感官刺激，如今，將多媒體應(yīng)用到大學(xué)物理教學(xué)已經(jīng)起到活躍物理教學(xué)的作用。而隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，大量信息資源生動(dòng)形象地展現(xiàn)在教師和學(xué)生的眼前，如何利用這些資源為教學(xué)和學(xué)生自主學(xué)習(xí)服務(wù)，是目前研究的重點(diǎn)。為此，全國(guó)各所高校都積極主動(dòng)的建立網(wǎng)絡(luò)教學(xué)平臺(tái)，以實(shí)現(xiàn)數(shù)字化校園，國(guó)內(nèi)的校園數(shù)字化建設(shè)近年來(lái)更是迅猛發(fā)展。同濟(jì)大學(xué)浙江學(xué)院也積極推進(jìn)數(shù)字化校園建設(shè)，針對(duì)大學(xué)物理教學(xué)，已經(jīng)建立了“大學(xué)物理教學(xué)網(wǎng)”這樣的數(shù)字化教學(xué)平臺(tái)，為教師和學(xué)生提供了學(xué)習(xí)、答疑、討論以及作業(yè)處理等教學(xué)過(guò)程的支持工具。網(wǎng)絡(luò)平臺(tái)就像一個(gè)紐帶，將教師和學(xué)生緊密聯(lián)系在一起。

2.2在網(wǎng)絡(luò)平臺(tái)建立大學(xué)物理試題庫(kù)

國(guó)內(nèi)的一些高校已經(jīng)開(kāi)始在網(wǎng)絡(luò)教學(xué)平臺(tái)建立起“大學(xué)物理網(wǎng)絡(luò)試題庫(kù)”，甚至有的學(xué)校已經(jīng)建成并投入使用。這樣的一個(gè)題庫(kù)不僅涵蓋了大學(xué)物理的所有知識(shí)點(diǎn)，而且分模塊分層次設(shè)置題型。學(xué)生能夠根據(jù)自身情況選擇不同模塊、不同的知識(shí)點(diǎn)進(jìn)行學(xué)習(xí)以及檢測(cè)，并能及時(shí)將測(cè)試結(jié)果反饋給任課教師，同時(shí)教師也可以根據(jù)反饋結(jié)果有所側(cè)重的進(jìn)行知識(shí)點(diǎn)講解，分層次解答。從而實(shí)現(xiàn)“學(xué)”促進(jìn)“教”，同時(shí)“教”又有方向性、目的性的指導(dǎo)“學(xué)”的教學(xué)相長(zhǎng)模式。其次，現(xiàn)代化電子設(shè)備例如智能手機(jī)、平板電腦等，可以實(shí)現(xiàn)隨時(shí)隨地從題庫(kù)中獲取資源，做到隨時(shí)可夯實(shí)基礎(chǔ)，吸引學(xué)生的注意力，提高學(xué)生學(xué)習(xí)大學(xué)物理的興趣。一個(gè)開(kāi)放的、高效的、安全的智能化網(wǎng)絡(luò)教學(xué)平臺(tái)，使得大學(xué)物理各種教學(xué)資源能夠?qū)崿F(xiàn)統(tǒng)一的管理和合理的利用。而“大學(xué)物理網(wǎng)絡(luò)試題庫(kù)”就是一種現(xiàn)代網(wǎng)絡(luò)技術(shù)與傳統(tǒng)教學(xué)相結(jié)合的全新教學(xué)手段。具體來(lái)說(shuō)，工科大學(xué)物理理論覆蓋面廣，內(nèi)容復(fù)雜，涵蓋了力、熱、光、電、磁等諸多內(nèi)容。然而對(duì)于獨(dú)立學(xué)院的學(xué)生來(lái)說(shuō)，遺忘周期短，整理和貫穿前后知識(shí)的能力較薄弱，學(xué)習(xí)過(guò)程就顯得困難重重[5]。而獨(dú)立學(xué)院的辦學(xué)層次介于普通高校和?？?高職)中間位置，應(yīng)面向市場(chǎng)，合理定位，最終把人才培養(yǎng)目標(biāo)確定為應(yīng)用型人才和創(chuàng)新型人才。因此，可根據(jù)不同專業(yè)學(xué)生的后續(xù)專業(yè)課程而有所側(cè)重。比如，建筑專業(yè)和土木專業(yè)對(duì)力學(xué)部分內(nèi)容要求較高，而電氣和通信專業(yè)的學(xué)生就應(yīng)該重點(diǎn)學(xué)電磁學(xué)以及導(dǎo)體等部分內(nèi)容。針對(duì)獨(dú)立學(xué)院建立的“大學(xué)物理網(wǎng)絡(luò)試題庫(kù)”要做到難易層次化，知識(shí)點(diǎn)模塊化以及目標(biāo)清晰化。要做到每一章內(nèi)容都有夯實(shí)基礎(chǔ)部分，主要以物理概念、定律、定理為主的一些填空和選擇型題目?？梢宰寣W(xué)生輕松自如地在手機(jī)上完成，并達(dá)到概念、定律、定理清晰化；每一章也要設(shè)置提高部分內(nèi)容，也以選擇填空為主，學(xué)生可根據(jù)自身情況，及周圍環(huán)境靈活選擇。其次，建立力、熱、光、電、磁等知識(shí)點(diǎn)模塊，可供不同專業(yè)學(xué)生根據(jù)本專業(yè)后續(xù)課程的需求側(cè)重學(xué)習(xí)及提高。再次，建立成套期中期末測(cè)驗(yàn)試題，以基礎(chǔ)題和低難度題為主，可供學(xué)生選擇自測(cè)。對(duì)于同濟(jì)大學(xué)浙江學(xué)院的大學(xué)物理教學(xué)來(lái)說(shuō)，上學(xué)期的課程沒(méi)有期中考試，這樣學(xué)習(xí)周期長(zhǎng)，學(xué)生負(fù)擔(dān)較重，教師也不能及時(shí)知道學(xué)生的學(xué)習(xí)情況，處在模糊教學(xué)的狀態(tài)。如果大學(xué)物理試題庫(kù)建成并投入使用，就可以選擇一套中期試題，讓學(xué)生在規(guī)定的時(shí)間內(nèi)完成，教師也可及時(shí)得到反饋，從而得到學(xué)生的學(xué)習(xí)情況。當(dāng)然，基礎(chǔ)試題也可以作為平時(shí)作業(yè)布置給學(xué)生，對(duì)于時(shí)刻離不開(kāi)手機(jī)的學(xué)生來(lái)說(shuō)，不妨讓學(xué)生通過(guò)手機(jī)來(lái)完成作業(yè)。

2.3恰當(dāng)處理網(wǎng)絡(luò)“教”與“學(xué)”的關(guān)系

在知識(shí)爆炸式增長(zhǎng)的時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)中的信息資源具有海量性、生動(dòng)形象性、開(kāi)放性、交互性等特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展也為教師與學(xué)生開(kāi)展網(wǎng)絡(luò)教學(xué)和自主學(xué)習(xí)創(chuàng)造了良好的物質(zhì)條件，更為教師教學(xué)提供了另一種途徑，可以實(shí)現(xiàn)遠(yuǎn)程授課、答疑甚至在線探討。在網(wǎng)絡(luò)環(huán)境下自主學(xué)習(xí)更有利于學(xué)生轉(zhuǎn)變傳統(tǒng)的學(xué)習(xí)觀念，激發(fā)學(xué)習(xí)熱情，提高自主學(xué)習(xí)的質(zhì)量和效率。雖然網(wǎng)絡(luò)提供了方便、快捷地獲取知識(shí)的途徑，提供了大量形象的圖片和生動(dòng)的錄像，也能快速得到復(fù)雜運(yùn)算的結(jié)果，但也讓很多學(xué)生養(yǎng)成只識(shí)圖不看文字、不動(dòng)筆計(jì)算，作業(yè)直接從網(wǎng)上下載答案等毛病，導(dǎo)致了學(xué)生思想僵化，想象力匱乏。這種現(xiàn)象也成為網(wǎng)絡(luò)“教”與“學(xué)”急需要解決的問(wèn)題之一[6]。這就要求當(dāng)代高校教師不僅具有較高的網(wǎng)絡(luò)技能，還要認(rèn)真研究教學(xué)的思路與方法，除擁有過(guò)硬的專業(yè)能力外，還需注重物理學(xué)中的人文主義精神培養(yǎng)。比如，講些物理學(xué)家的小故事、小插曲可以吸引學(xué)生，激發(fā)學(xué)生興趣。挖掘物理學(xué)的文化內(nèi)涵，也能培養(yǎng)學(xué)生的科學(xué)能力、創(chuàng)造能力，提高科學(xué)鑒賞力。對(duì)意志、性格、品德等非智力因素的培養(yǎng)也非常有益。借助物理學(xué)史的框架去講授大學(xué)物理正與素質(zhì)教育觀和現(xiàn)代大學(xué)物理的教學(xué)目標(biāo)相一致[7]。這樣才能在應(yīng)用先進(jìn)的授課手段過(guò)程中，避免產(chǎn)生思想僵化、想象力匱乏等問(wèn)題。

3總結(jié)

獨(dú)立學(xué)院以培養(yǎng)應(yīng)用型人才為目標(biāo)，所以在工科大學(xué)物理教學(xué)中可以摒棄精英式教學(xué)方式，根據(jù)不同專業(yè)的后續(xù)課程有所側(cè)重的教與學(xué)。而“大學(xué)物理試題庫(kù)”提供了這種可能性，不同專業(yè)的學(xué)生可根據(jù)自己的需求，有針對(duì)性的學(xué)習(xí)提高。而每一種教學(xué)媒體的使用都具有兩面性，或者受制于，或者服務(wù)于相應(yīng)的教學(xué)思想。教學(xué)工作者只能不斷改進(jìn)傳統(tǒng)的思想觀念，去適應(yīng)更加現(xiàn)代的教育理念，才能充分發(fā)揮網(wǎng)絡(luò)及多媒體的優(yōu)越性。獨(dú)立學(xué)院工科“大學(xué)物理”的教學(xué)也要不斷地研究和探索，在這個(gè)過(guò)程中“大學(xué)物理網(wǎng)絡(luò)試題庫(kù)”也會(huì)被不斷的改進(jìn)和完善。