第一篇:基于网络的企业资源边界厘定研究论文
摘要:如今企业面临着日趋激烈的外部市场环境,速度是决定企业成败的关键因素,企业通过建立企业网络来提升满足客户需求的速度,然而对于网络的企业资源边界的厘定又成为建立企业网络所要面临的新问题,通过对企业边界的三个性质即:动态性、模糊性、渗透性三个方面的理解,运用网络的企业与市场模型对网络的企业资源边界的厘定进行了讨论。
关键词:企业网络;企业边界;市场模型关于企业网络概念的定义
管理学意义上的企业网络无非是指企业的利益相关者集合。而企业的利益相关者是组织外部环境和内部环境中与组织决策和行动有影响的任何相关者。利益相关者可能是客户内部的(如雇员),也可能是客户外部的(如供应商或压力群体)。而本文所讨论的企业网络的概念有必要提出来对此予以区分,在本文所讨论的企业网络特指两个或两个以上的独立的经济实体成员之间构成的社会、技术及交换关系的总和。具体的组织形式有以下四个;
(1)战略联盟。是指由两个或两个以上有共同战略利益和对等经营实力的企业。为达到拥有市场、共同使用资源等战略目标,通过各种协议、契约而结成的优势互补或优势相长、风险共担、生产要素水平式双向或多向流动的一种松散的合作模式。
(2)虚拟企业。是指联合多个企业的才干和能力共同创造某项产品和服务的过程,就像波音公司在生产777客机时,不仅包括了它的下级承包商,而且也结合了联合航空公司和日本航空公司的才干和经验。
(3)动态团队协作。是指通过在公司内部或公司之间进行资源重组来把握和传递具体的市场机遇。
(4)知识联网。是指通过不断变化的、互利的方式联合各个企业的知识、经验、技巧和能力。网络的企业边界的渗透性、模糊性与动态性
在传统企业中,适应静态环境的要求,企业的边界是明确而固定的;而在动态环境中,企业的边界不可避免地随着企业环境的变化而变化。而网络企业间的边界明显呈现出相互渗透和模糊化的趋势。
从具体企业的成长过程来看,当一个企业刚刚成立之时。规模不是很大,几乎所有决策都由企业的最高层决定,与其他企业的联系几乎没有。在传统的观点中,价值链条上的每个企业或环节都被看作是彼此独立与分割的单位,他们之间更多的是争斗而非合作。这导致了价值链上的企业处于相互厮杀的竞争环境中。企业为了各自的利益,相互争斗,链条上的每个环节之间的边界确定而牢固,导致的结果是:信息分享十分艰难,财务、测量和报酬系统彼此分割,企业的资源利用率低下。在关于价值链的新观点中,企业合作代替了竞争。企业认识到他们有一个共同的目标——赢得顾客,而达到目标的最好方法是彼此合作。计算机化的信息连结,充分体现了价值链各环节问的合作与协调。这就决定了企业的边界具有相当的动态性和模糊性,市场和企业不是相互对立的,而是相互联结,相互渗透的,这种相互联结和相互渗透最终导致了企业间复杂易变的网络结构和丰富多样的制度安排也就是说企业组织与市场之间并不存在明确的边界,其边界又是动态的。网络的企业与市场模型
下面通过网络的企业与市场模型来探讨网络的企业边界的厘定问题。此模型又三部分组成,第一部分为市场。第二部分为各个企业,这里的企业是指各种价值相关的企业,它们可以通过自身的力量满足市场也可以通过一体化过程来满足市场,此模型中只举例了A、B、C三个企业第三部分为存在于企业和市场之间的各种经济与非经济关系。如企业与政府的关系。企业必须处理好这些关系才能在竞争中取得优势。在模型一中,每个企业作为独立的个体与市场相接触。这仅仅适合于市场规模狭小,消费者需求单一的情况下,企业通过处理好作用于市场与企业之间的各种经济与非经济关系后通过自身单独的力量就可以满足市场与消费者。在模型二中,A、B、C三个企业形成了企业网络,不管他们是通过联盟的形式还是虚拟企业或者是一体化,总之是通过某种利益关系使某种资源共享而紧密的联系在一起。
通过建立企业网络来面对市场,使网络的企业整合资源资源达成1+1>2的效果,但其中又会出现机会主义和搭便车现象,这就存在着网络的企业边界的如何厘定问题。不管是科斯通过交易费用对企业边界的厘定还是威廉姆森通过资产专用性对企业边界的厘定等。他们都是对单个企业与市场边界的问题做出的探讨。而对于网络的企业边界问题-存在一个企业,市场。和政府的博弈问题。
(1)企业之间、市场的博弈。如图所示三个企业A、B、C。假设三个企业在价值链上是相关关系,A企业可以作为B、c企业的供应者,而B、c作为竞争性的两家企业。在A、B、C三个企业之间形成网络关系,为防止搭便车和机会主义现象。三者进行博弈。三个独立的个体如果他们之间形成网络后所得到的利益达不到一个平衡点。那么就会出现违约,机会主义等现象。关于这个平衡点有两层意义,第一层意义是形成企业网络的管理费用和整个网络与市场的交易费用之间的平衡;第二层意义是单个企业得到的利益和形成企业网络之后得到的利益的平衡。
(2)企业与政府之间的博弈。政府参与企业的活动可以有两种不同的态度,一种是积极的支持,一种是不积极的支持;企业参与政府的活动也有两种不同的态度,一种是积极介人活动,另一种是消极甚至活动。政府和企业之间如何进行最优决策,这又涉及到政府和企业之间的博弈。
因此,通过对网络企业的动态性、模糊性、渗透性的探讨,并运用网络的企业与市场模型进行分析,对网络的企业边界的厘定进行了探讨。在日趋激烈的外部市场环境下。企业为争强竞争力与它建立互利业务关系的利益关系方(顾客、员工、供应商、分销商、零售商、竞争者等)结成了网络。企业的边界随之而发生了变化呈现出动态性,模糊性以及相互渗透性。对网络的企业边界的厘定也出现了一些新的变化。必须通过各方面的思考。综合企业、市场、和政府各方的利益和意见。把握好网络企业边界的动态性、模糊性、渗透性,使企业更具竞争力。
第二篇:典型企业网络边界安全解决方案
典型中小企业网络边界安全解决方案
意见征询稿
Hillstone Networks Inc.2010年9月29日
典型中小型企业网络边界安全解决方案
目录 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企业网络现状分析..................................................................................................................6 典型中小企业网络安全威胁..................................................................................................................8 典型中小企业网络安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要进行有效的访问控制..........................................................................................................10 深度应用识别的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要实现实名制管理....................................................................................................................11 需要实现全面URL过滤.............................................................................................................12 需要实现IPSEC VPN..................................................................................................................12 需要实现集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6
安全技术选择..............................................................................................................................................................13 技术选型的思路和要点........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可认证性........................................................................................................................13 再次保障链路畅通性....................................................................................................................14 最后是稳定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制与审计......................................................................................................16 基于深度应用识别的访问控制.................................................................................................17 深度内容安全(UTMPlus®)......................................................................................................17 高性能病毒过滤.............................................................................................................................18 灵活高效的带宽管理功能..........................................................................................................19 强大的URL地址过滤库.............................................................................................................21 高性能的应用层管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 选择山石安全网关的原因....................................................................................................................14 3.2.10 高可靠的冗余备份能力...............................................................................................................22 4 系统部署说明..............................................................................................................................................................23 4.1 4.2 安全网关部署设计..................................................................................................................................24 安全网关部署说明..................................................................................................................................25 / 42
典型中小型企业网络边界安全解决方案
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5
部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置访问控制策略........................................................................................................................30 配置带宽控制策略........................................................................................................................31 上网行为日志管理........................................................................................................................33 实现URL过滤................................................................................................................................35 实现网络病毒过滤........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 实现安全移动办公........................................................................................................................38 方案建设效果..............................................................................................................................................................38 / 42
典型中小型企业网络边界安全解决方案 前言
1.1 方案目的
本方案的设计对象为国内中小企业,方案中定义的中小型企业为:人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业网站;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
根据当前国内企业的发展趋势,中小企业呈现出快速增长的势头,计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件,为企业经营决策提供了有力支撑,为企业的对外宣传发挥了重要的作用,因此企业对信息化建设的依赖也越来越强,但同时由于计算机网络所普遍面临的安全威胁,又给企业的信息化带来严重的制约,互联网上的黑客攻击、蠕虫病毒传播、非法渗透等,严重威胁着企业信息系统的正常运行;内网的非法破坏、非法授权访问、员工故意泄密等事件,也是的企业的正常运营秩序受到威胁,如何做到既高效又安全,是大多数中小企业信息化关注的重点。
而作为信息安全体系建设,涉及到各个层面的要素,从管理的角度,涉及到组织、制度、流程、监督等,从技术的角度,设计到物理层、网络层、主机层、应用层和运维层,本方案的重点是网络层的安全建设,即通过加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境,保障中小企业计算机网络的安全性。
1.2 方案概述
本方案涉及的典型中小型企业的网络架构为:两级结构,纵向上划分为总部与分支机构,总部/ 42
典型中小型企业网络边界安全解决方案
集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下:
典型中小型企业网络结构示意图
为保障中小企业网络层面的安全防护能力,本方案结合山石网科集成化安全平台,在对中小企业信息网络安全域划分的基础上,从边界安全防护的角度,实现以下的安全建设效果:
实现有效的访问控制:对员工访问互联网,以及员工访问业务系统的行为进行有效控制,杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性; 实现有效的集中安全管理:中小型企业的管理特点为总部高度集中模式,通过网关的集中管理系统,中小企业能够集中监控总部及各个分支机构员工的网络访问行为,做到可视化的安全。/ 42
典型中小型企业网络边界安全解决方案
保障安全健康上网:对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的网站进行实时监控,限制员工访问不健康或不安全的网站,从而造成病毒的传播等;
保护网站安全:对企业网站进行有效保护,防范来自互联网上黑客的故意渗透和破坏行为; 保护关键业务安全性:对重要的应用服务器和数据库服务器实施保护,防范病毒和内部的非授权访问;
实现实名制的安全监控:中小型企业的特点是,主机IP地址不固定,但全公司有统一的用户管理措施,通常通过AD域的方式来实现,因此对于访问控制和行为审计,可实现基于身份的监控,实现所谓的实名制管理;
实现总部与分支机构的可靠远程传输:典型中小型企业的链路使用模式为,专线支撑重要的业务类访问,互联网链路平时作为员工上网使用,当专线链路故障可作为备份链路,为此通过总部与分支机构部署网关的IPSEC VPN功能,可在利用备份链路进行远程通讯中,保障数据传输的安全性;
对移动办公的安全保障:利用安全网关的SSL VPN功能,提供给移动办公人员进行远程安全传输保护,确保数据的传输安全性; 安全需求分析
2.1 典型中小企业网络现状分析
中小企业的典型架构为两级部署,从纵向上划分为总部及分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支/ 42
典型中小型企业网络边界安全解决方案
机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。
双链路给中小企业应用访问带来的好处是,业务访问走专线,可保障业务的高可靠性;上网走互联网链路,增加灵活性,即各个分支机构可根据自己的人员规模,采用合理的价格租用电信宽带;从网络设计上,中小企业各个节点的结构比较简单,为典型的星形结构设计,总部因用户量和服务器数量较高,因此核心往往采用三层交换机,通过VLAN来划分不同的子网,并在子网内部署终端及各类应用服务器,有些中小型企业在VLAN的基础上还配置了ACL,对不同VLAN间的访问实行控制;各分支机构的网络结构则相对简单,通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图:
典型中小企业组网结构示意图 / 42
典型中小型企业网络边界安全解决方案
2.2 典型中小企业网络安全威胁
在没有采取有效的安全防护措施,典型的中小型企业由于分布广,并且架构在TCP/IP网络上,由于主机、网络、通信协议等存在的先天性安全弱点,使得中小型企业往往面临很多的安全威胁,其中典型的网络安全威胁包括: 【非法和越权的访问】
中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统,在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能,但是这种控制只体现在应用层,如果远程通过网络层的嗅探或攻击工具(因为在网络层应用服务器与任何一台企业网内的终端都是相通的),有可能会获得上层的身份和口令信息,从而对业务系统进行非法及越权访问,破坏业务的正常运行,或非法获得企业的商业秘密,造成泄露; 【恶意代码传播】
大多数的中小企业,都在终端上安装了防病毒软件,以有效杜绝病毒在网络中的传播,但是随着蠕虫、木马等网络型病毒的出现,单纯依靠终端层面的查杀病毒显现出明显的不足,这种类型病毒的典型特征是,在网络中能够进行大量的扫描,当发现有弱点的主机后快速进行自我复制,并通过网络传播过去,这就使得一旦网络中某个节点(可能是台主机,也可能是服务器)被感染病毒,该病毒能够在网络中传递大量的扫描和嗅探性质的数据包,对网络有限的带宽资源造成损害。【防范ARP欺骗】
大多数的中小企业都遭受过此类攻击行为,这种行为的典型特点是利用了网络的先天性缺陷,即两台主机需要通讯时,必须先相互广播ARP地址,在相互交换IP地址和ARP地址后方可通讯,特别是中小企业都需要通过边界的网关设备,实现分支机构和总部的互访;ARP欺骗就是某台主机伪装成网关,发布虚假的ARP信息,让内网的主机误认为该主机就是网关,从而把跨越网段的访问/ 42
典型中小型企业网络边界安全解决方案
数据包(比如分支机构人员访问互联网或总部的业务系统)都传递给该主机,轻微的造成无法正常访问网络,严重的则将会引起泄密; 【恶意访问】
对于中小型企业网而言,各个分支机构的广域网链路带宽是有限的,因此必须有计划地分配带宽资源,保障关键业务的进行,这就要求无论针对专线所转发的访问,还是互联网出口链路转发的访问,都要求对那些过度占用带宽的行为加以限制,避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。
这种恶意访问行为包括:过度使用P2P进行大文件下载,长时间访问网游,长时间访问视频网站,访问恶意网站而引发病毒传播,直接攻击网络等行为。【身份与行为的脱节】
常见的访问控制措施,还是QOS措施,其控制依据都是IP地址,而众所周知IP地址是很容易伪造的,即使大多数的防火墙都支持IP+MAC地址绑定,MAC地址也是能被伪造的,这样一方面造成策略的制定非常麻烦,因为中小型企业内员工的身份是分级的,每个员工因岗位不同需要访问的目标是不同的,需要提供的带宽保障也是不同的,这就需要在了解每个人的IP地址后来制定策略;另一方面容易形成控制缺陷,即低级别员工伪装成高级别员工的地址,从而可占用更多的资源。
身份与行为的脱节的影响还在于日志记录上,由于日志的依据也是根据IP地址,这样对发生违规事件后的追查造成极大的障碍,甚至无法追查。【拒绝服务攻击】
大多数中小型企业都建有自己的网站,进行对外宣传,是企业对外的窗口,但是由于该平台面向互联网开放,很容易受到黑客的攻击,其中最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击/ 42
典型中小型企业网络边界安全解决方案 的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。这种攻击常常针对企业的网站,使得网站无法被正常访问,破坏企业形象; 【不安全的远程访问】
对于中小型企业,利用互联网平台,作为专线的备份链路,实现分支机构与总部的连接,是很一种提高系统可靠性,并充分利用现有网络资源的极好办法;另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台,进行相关的业务处理;而互联网的开放性使得此类访问往往面临很多的安全威胁,最为典型的就是攻击者嗅探数据包,或篡改数据包,破坏正常的业务访问,或者泄露企业的商业秘密,使企业遭受到严重的损失。【缺乏集中监控措施】
典型中小型企业的特点是,集中管理,分布监控,但是在安全方面目前尚缺乏集中的监控手段,对于各分支机构员工的上网行为,访问业务的行为,以及总部重要资源的受访问状态,都没有集中的监控和管理手段,一旦发生安全事件,将很难快速进行察觉,也很难有效做出反应,事后也很难取证,使得企业的安全管理无法真正落地。
2.3 典型中小企业网络安全需求
针对中小企业在安全建设及运维管理中所暴露出的问题,山石网科认为,应当进行有针对性的设计和建设,最大化降低威胁,并实现有效的管理。
2.3.1 需要进行有效的访问控制
网络安全建设的首要因素就是访问控制,控制的核心是访问行为,应实现对非许可访问的杜绝,限制员工对网络资源的使用方式。/ 42
典型中小型企业网络边界安全解决方案
中小企业的业务多样化,必然造成访问行为的多样化,因此如何有效鉴别正常的访问,和非法的访问是非常必要的,特别是针对中小企业员工对互联网的访问行为,应当采取有效的控制措施,杜绝过度占用带宽的访问行为,保障正常的业务和上网访问。
对于中小企业重要的应用服务器和数据库资源,应当有效鉴别出合法的业务访问,和可能的攻击访问行为,并分别采取必要的安全控制手段,保障关键的业务访问。
2.3.2 深度应用识别的需求
引入的安全控制系统,应当能够支持深度应用识别功能,特别是对使用动态端口的P2P和IM应用,能够做到精准鉴别,并以此为基础实现基于应用的访问控制和QOS,提升控制和限制的精度和力度。
对于分支机构外来用户,在利用分支机构互联网出口进行访问时,基于身份识别做到差异化的控制,提升系统总体的维护效率。
2.3.3 需要有效防范病毒
在访问控制的技术上,需要在网络边界进行病毒过滤,防范病毒的传播;在互联网出口上要能够有效检测出挂马网站,对访问此类网站而造成的病毒下发,能够快速检测并响应;同时也能够防范来自其他节点的病毒传播。
2.3.4 需要实现实名制管理
应对依托IP地址进行控制,QOS和日志的缺陷,应实现基于用户身份的访问控制、QOS、日志记录,应能够与中小企业现有的安全准入系统整合起来,当员工接入办公网并对互联网访问时,/ 42
典型中小型企业网络边界安全解决方案
先进行准入验证,验证通过后将验证信息PUSH给网关,网关拿到此信息,在用户发出上网请求时,根据IP地址来索引相关的认证信息,确定其角色,最后再根据角色来执行访问控制和带宽管理。
在日志记录中,也能够根据确定的身份来记录,使得日志可以方便地追溯到具体的员工。
2.3.5 需要实现全面URL过滤
应引入专业性的URL地址库,并能够分类和及时更新,保障各个分支机构在执行URL过滤策略是,能够保持一致和同步。
2.3.6 需要实现IPSEC VPN 利用中小企业现有的互联网出口,作为专线的备份链路,在不增加链路投资的前提下,使分支机构和总公司的通信得到更高的可靠性保障。
但是由于互联网平台的开放性,如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时,容易遭到窃听和篡改的风险,为此需要设备提供IPSEC VPN功能,对传输数据进行加密和完整性保护,保障数据传输的安全性。
2.3.7 需要实现集中化的管理
集中化的管理首先要求日志信息的集中分析,各个分支机构既能够在本地查看详细的访问日志,总部也能够统一查看各个分支机构的访问日志,从而实现总部对分支机构的有效监管。
总部能够统一对各个分支机构的安全设备进行全局性配置管理,各个分支机构也能够在不违背全局性策略的前提下,配置符合本节点特点的个性化策略。
由于各个厂商的技术壁垒,不同产品的功能差异,因此要实现集中化管理的前提就是统一品牌,/ 42
典型中小型企业网络边界安全解决方案
统一设备,而从投资保护和便于维护的角度,中小企业应当选择具有多种功能的安全网关设备。安全技术选择
3.1 技术选型的思路和要点
现有的安全设备无法解决当前切实的安全问题,也无法进一步扩展以适应当前管理的需要,因此必须进行改造,统一引入新的设备,来更好地满足运行维护的要求,在引入新设备的时候,必须遵循下属的原则和思路。
3.1.1 首要保障可管理性
网络安全设备应当能够被集中监控,由于安全网关部署在中小企业办公网的重要出口上,详细记录了各节点的上网访问行为,因此对全网监控有着非常重要的意义,因此系统必须能够被统一管理起来,实现日志行为,特别是各种防护手段形成的记录进行集中的记录与分析。
此外,策略也需要分级集中下发,总部能够统一下发集中性的策略,各分支机构可根据自身的特点,在不违背全局性策略的前提下,进行灵活定制。
3.1.2 其次提供可认证性
设备必须能够实现基于身份和角色的管理,设备无论在进行访问控制,还是在QOS,还是在日志记录过程中,依据必须是真实的访问者身份,做到精细化管理,可追溯性记录。
对于中小企业而言,设备必须能够与中小企业的AD域管理整合,通过AD域来鉴别用户的身份和角色信息,并根据角色执行访问控制和QOS,根据身份来记录上网行为日志。/ 42
典型中小型企业网络边界安全解决方案
3.1.3 再次保障链路畅通性
对于多出口链路的分支机构,引入的安全设备应当支持多链路负载均衡,正常状态下设备能够根据出口链路的繁忙状态自动分配负载,使得两条链路都能够得到充分利用;在某条链路异常的状态下,能够自动切换负载,保障员工的正常上网。
目前中小企业利用互联网的主要应用就是上网浏览,因此系统应提供强大的URL地址过滤功能,对员工访问非法网站能够做到有效封堵,这就要求设备应提供强大的URL地址库,并能够自动升级,降低管理难度,提高控制精度。
中小企业的链路是有限的,因此应有效封堵P2P、IM等过度占用带宽的业务访问,保障链路的有效性。
3.1.4 最后是稳定性
选择的产品必须可靠稳定,选择产品形成的方案应尽量避免单点故障,传统的网络安全方案总是需要一堆的产品去解决不同的问题,但这些产品接入到网络中,任何一台设备故障都会造成全网通信的故障,因此采取集成化的安全产品应当是必然选择。
另外,安全产品必须有多种稳定性的考虑,既要有整机稳定性措施,也要有接口稳定性措施,还要有系统稳定性措施,产品能够充分应对各种突发的情况,并保持系统整体工作的稳定性。
3.2 选择山石安全网关的原因
基于中小企业的产品选型原则,方案建议采用的山石网科安全网关,在多核Plus G2硬件架构的基础上,采用全并行架构,实现更高的执行效率。并综合实现了多个安全功能,完全能够满足中小企业安全产品的选型要求。/ 42
典型中小型企业网络边界安全解决方案
山石网科安全网关在技术上具有如下的安全技术优势,包括:
3.2.1 安全可靠的集中化管理
山石网科安全管理中心采用了一种全新的方法来实现设备安全管理,通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责,从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率,减少开销并降低运营成本。
利用山石网科安全管理中心,可以为特定用户分配适当的管理接入权限(从只读到全面的编辑权限)来完成多种工作。可以允许或限制用户接入信息,从而使用户可以作出与他们的角色相适应的决策。
山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性,同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标,山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时,只要是能够通过山石网科安全管理中心进行配置的设备都可以通过CLI接入。
山石网科安全管理中心还带有一种高性能日志存储机制,使IT部门可以收集并监控关键方面的详细信息,如网络流量、设备状态和安全事件等。利用内置的报告功能,管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。
山石网科安全管理中心采用了一种3层的体系结构,该结构通过一条基于TCP的安全通信信道-安全服务器协议(SSP)相连接。SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP通信链路,就不需要在不同分层之间建立VPN隧/ 42
典型中小型企业网络边界安全解决方案 道,从而大大提高了性能和灵活性。
山石网科安全管理中心提供统一管理功能,在一个统一界面中集成了配置、日志记录、监控和报告功能,同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡,对于安全网关这类安全设备的大规模部署非常重要。
3.2.2 基于角色的安全控制与审计
针对传统基于IP的访问控制和资源控制缺陷,山石网科采用RBNS(基于身份和角色的管理)技术让网络配置更加直观和精细化,不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。
另外,在采用了RBNS技术后,使得审计记录可以直接反追溯到真实的访问者,更便于安全事件的定位。
在本方案中,利用山石网科安全网关的身份认证功能,可结合AD域认证等技术,提供集成化的认证+控制+深度检测+行为审计的解决方案,当访问者需跨网关访问时,网关会根据确认的访问者身份,自动调用邮件系统内的邮件组信息,确定访问者角色,随后根据角色执行访问控制,限制其访问范围,然后再对访问数据包进行深度检测,根据角色执行差异化的QOS,并在发现非法的访问,或者存在可疑行为的访问时,记录到日志提供给系统员进行事后的深度分析。/ 42
典型中小型企业网络边界安全解决方案
3.2.3 基于深度应用识别的访问控制
中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上,新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。
Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。
StoneOS®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。
3.2.4 深度内容安全(UTMPlus®)
山石网科安全网关可选UTMPlus®软件包提供病毒过滤,入侵防御,内容过滤,上网行为管理和应用流量整形等功能,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库,攻击库,URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的URL做到及时响应。
由于中小企业包含了多个分支机构,一旦因某个节点遭到恶意代码的传播,病毒将会很快在企业的网络内传播,造成全网故障。在使用了山石网科安全网关后,并在全网各个节点的边界部署后,将在逻辑上形成不同的隔离区,一旦某个节点遭遇到病毒攻击/ 42
典型中小型企业网络边界安全解决方案
后,不会影响到其他节点。并且山石支持硬件病毒过滤技术,在边界进行病毒查杀的时候,对性能不会造成过多影响。
3.2.5 高性能病毒过滤
对于中小企业而言,在边界进行病毒的过滤与查杀,是有效防范蠕虫、木马等网络型病毒的有效工具,但是传统病毒过滤技术由于需要在应用层解析数据包,因此效率很低,导致开启病毒过滤后对全网的通信速度形成很大影响。
山石安全网关在多核的技术上,对病毒过滤采取了全新的流扫描技术,也就是所谓的边检测边传输技术,从而大大提升了病毒检测与过滤的效率。
流扫描策略
传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的,并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法,首先需要下载整个文件,然后开始扫描,最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收,会经历长时间延迟。对于大文件,用户应用程序可能出现超时。
文件接受扫描文件发送延迟
山石网科扫描引擎是基于流的,病毒过滤扫描引擎在数据包流到达时进行检查,如果没有检查到病毒,则发送数据包流。由此,用户将看到明显的延迟改善,并且他们的应用程序也将更快响应。/ 42
典型中小型企业网络边界安全解决方案
文件接收扫描文件发送延迟
流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑,流扫描技术适合网关病毒过滤解决方案。
基于策略的病毒过滤功能
山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面:哪些域的流量需要进行病毒过滤扫描,哪些用户或者用户组进行扫描,以及哪些服务器和应用被保护。
3.2.6 灵活高效的带宽管理功能
山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能,称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类。山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键网页浏览设置高优先级保证它们的带宽使用;对于P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。
将山石网科的角色鉴别以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽/ 42
典型中小型企业网络边界安全解决方案
控制(入方向和出方向),这就相当于系统中可容纳最多40,000的QoS队列。
结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个IP地址产生的不同流量,用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS,甚至可以对每个IP地址进行流量控制的同时,还能够对该IP地址内部应用类型的流量进行有效管控。
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。
总之,通过采取山石网科产品所集成的带宽管理功能,可以在用户网络中做到关键应用优先,领导信息流量优先,非业务应用限速或禁用,VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚,这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用,使得昂贵的带宽能获取最高的效益和高附加值应用。/ 42
典型中小型企业网络边界安全解决方案
3.2.7 强大的URL地址过滤库
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
全面的URL地址库也改变了现在各个分支机构自行手动配置URL地址的局限性,当时设备被部署到网络中后,各个设备均采用统一标准的过滤地址库,在进行URL访问日志中也可以保持日志内容的一致性。
3.2.8 高性能的应用层管控能力
安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。
山石网科安全网关具有丰富的应用层管控能力,包括URL地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等,能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤,防止潜在的安全风险。/ 42
典型中小型企业网络边界安全解决方案
此外,山石网科安全网关均采用多核系统架构,在性能上具有很高的处理能力,能够实现大并发处理。
3.2.9 高效IPSEC VPN 所有的山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎,这保证了在CPU核数增加时,IPSec的性能得到相应提高,不会成为瓶颈。山石网科安全网关设备的IPSec吞吐率最高可以达到8Gbps,达到和防火墙一样的性能和设备极限。
山石网科安全网关设备支持标准IPSec协议,能够保障与第三方VPN进行通讯,建立隧道并实现安全的数据传输。
3.2.10 高可靠的冗余备份能力
山石网科安全网关能够支持设备级别的HA解决方案,如A-P和A-A架构。山石网科的HA解决方案能够为网络层提供会话级别的状态同步机制,保证在设备切换过程中数据传输的连续性及网络的持久畅通,甚至在设备进行主备切换的时候都不会中断会话,为企业提供真正意义的网络冗余/ 42
典型中小型企业网络边界安全解决方案
解决方案。山石网科安全甚至还能够提供VPN传输的状态同步,并包括SA状态的同步。系统部署说明
对于中小企业,在设计边界安全防护时,首要进行的就是安全区域的划分,划分安全域是信息安全建设常采用的方法,其好处在与可以将原本比较庞大的网络划分为多个单元,根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计,保障了安全建设的针对性和差异性。
安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则,可操作性不强,在实际划分过程中有很多困难。在本方案中,建议按照资产重要性以及支撑的业务类型,纵向上可划分为总部及分支机构域,从资产角度可根据业务类型的不同,将总部/ 42
典型中小型企业网络边界安全解决方案
信息网络划分为ERP域、OA域、网站域、终端域和运维域等,而分支机构的域相对简单,由于只有终端,因此不再细分。
4.1 安全网关部署设计
划分安全域后,可在所有安全域的边界,特别是重要的业务系统安全域的边界配置安全网关即可,配置后形成的边界安全部署方案可参考下图:
部署要点: 通过总部配置的山石网科安全管理中心,集中监管各个分支机构边界部署的山石网科安全网关,对日志进行集中管理;同时各个分支机构本地也部署管理终端,在本地对网关进行监管; / 42
典型中小型企业网络边界安全解决方案
纵向链路的出口分别部署安全网关,实现对中小企业网的纵向隔离,对分支机构的上访行为进行严格控制,杜绝非法或非授权的访问;
安全网关启用源地址转换策略,在终端上网过程中进行转换,保障内网用户上网的要求,同时启用相应的日志,对上网行为进行有效记录;
安全网关在分支机构上网出口的链路上,运用深度应用识别技术,有效鉴别出哪些是合法的HTTP应用,哪些是过度占用带宽的P2P和IM应用,对P2P和IM通过严格的带宽限制功能能进行及限制,并对HTTP执行保障带宽策略,保障员工正常上网行为;
安全网关与中小企业的AD域认证整合,在确认访问者身份的基础上,进行实名制的访问控制,QOS控制,以及上网行为审计;
安全网关内置全面的URL地址库,用以对员工的访问目标地址进行分类,对于非法网站进行封堵,且URL地址库能够自动升级,保障了该功能的持续性和完整性;
安全网关运用IPSEC VPN技术,实现与总部的加密传输,作为现有专线的备份链路,在不增加投资的前提下提升系统的可靠性。
安全网关运用SSL VPN技术,对移动办公用户配发USB KEY,当其需要远程访问企业网时,利用USB KEY与总部互联网出口的安全网关建立VPN加密隧道,从而实现了安全可靠的远程访问。
4.2 安全网关部署说明
4.2.1 部署集中安全管理中心
通过在总部部署山石网科安全管理中心,然后对分布在各个分支机构边界的安全网关进行配置,/ 42
典型中小型企业网络边界安全解决方案
使网关接受管理中心的集中管理来实现,并执行如下的集中监管。
设备管理
设备管理包括域管理和设备组管理,域和设备组都是用来组织被管理设备的逻辑组,域包含设备组。通过域的使用,可以实现设备的区域化管理;而通过设备组的使用,可以进一步将域中的设备进行细化分组管理。一台设备可以同时属于多个域或者设备组。只有超级管理员可以执行域的操作以及添加设备和彻底删除设备,普通管理员可以执行设备组的操作,将设备从设备组中删除。
设备基本信息监管
显示设备的基本信息,例如设备主机名称、设备序列号、管理IP、设备运行时间、接口状态以及AV相关信息等。
通过客户端可查看的设备属性信息包括:设备基本信息以及设备实时统计信息,包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。系统通过曲线图显示以上实时信息,使用户能够直观的了解当前设备的各种状态。/ 42
典型中小型企业网络边界安全解决方案
日志浏览
山石网科安全管理中心接收设备发送的多种日志信息,经过系统处理后,用户可通过客户端进行多维度、多条件的浏览。山石网科安全管理中心支持通过以下种类进行日志浏览:
●系统日志 ●配置日志 ●会话日志 ●地址转换日志 ●上网日志
流量监控
山石网科安全管理中心可以实时监控以下对象的流量,并在客户端通过饼状图或者柱状图直观显示:
●设备接口(TOP 10)/ 42
典型中小型企业网络边界安全解决方案
●指定接口TOP 10 IP,进而可以查看指定IP的TOP 10应用的流量 ●指定接口TOP 10应用,进而可以查看指定应用的TOP 10 IP的流量
柱状图可分别按照上行流量、下行流量或者总流量进行排序;饼状图可分别根据上行流量、下行流量或者总流量显示不同的百分比。
攻击监控
山石网科安全管理中心可以实时监控以下对象的攻击情况,并在客户端通过饼状图或者柱状图直观显示:
●设备接口遭受攻击(TOP 10)
●指定接口发起攻击TOP 10 IP,进而可以查看指定IP发起的TOP 10攻击类型 ●指定接口TOP 10攻击类型,进而可以查看发起指定攻击类型的TOP 10 IP
VPN监控
山石网科安全管理中心可以实时监控被管理设备的IPSec VPN和SCVPN隧道流量,并在客户端通过饼状图或者柱状图直观显示。/ 42
典型中小型企业网络边界安全解决方案
4.2.2 基于角色的管理配置
对于中小企业办公网而言,终端使用者的身份不尽相同,因此其访问权限,对资源的要求等也不尽相同,实现差异化的访问控制与资源保障。对此可通过山石网科安全网关的RBNS(基于身份和角色的管理)策略来实现。RBNS包含三个部分:用户身份的认证、用户角色的确定、基于角色控制和服务。
在访问控制部分,通过RBNS实现了基于用户角色的访问控制,使得控制更加精准; 在QOS部分,通过RBNS实现了基于角色的带宽控制,使得资源分配更加贴近中小企业办公网的管理模式; 在会话限制部分,通过RBNS实现了基于角色的并发限制,对于重要用户放宽并发连接的数量,对于非重要用户则压缩并发连接的数量; 在上网行为管理部分,通过RBNS实现了基于角色的上网行为管理;
在审计部分,通过RBNS实现实名制审计,使审计记录能够便捷地追溯到现实的人员。
在整合了AD域以及邮件系统后的实名制管理与控制方案后,在员工上网访问过程中实现精细化的管理,大大降低了单纯依靠IP地址带来的安全隐患,也降低了配置策略的难度,还提升了日志的可追溯性; / 42
典型中小型企业网络边界安全解决方案
整合后实名制监管过程示意图
4.2.3 配置访问控制策略
山石网科多核安全网关可提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别,并根据安全策略配置规则,保证应用的正常通信或对其进行指定的操作,如监控、流量统计、流量控制和阻断等。StoneOS利用分片重组及传输层代理技术,使设备能够适应复杂的网络环境,即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下,也能有效的获取应用层信息,从而保证安全策略的有效实施。
山石网科安全网关,作用在中小企业的互联网出口链路上,通过访问控制策略,针对访问数据包,根据数据包的应用访问类型,进行控制,包括: / 42
典型中小型企业网络边界安全解决方案
限制不被许可的访问类型:比如在只允许进行网页浏览、电子邮件、文件传输,此时当终端用户进行其他访问(比如P2P),即使在网络层同样使用TCP 80口进行访问数据包的传送,但经过山石网科安全网关的深度应用识别后,分析出真实的应用后,对P2P和IM等过度占用带宽的行为进行限制;
限制不被许可的访问地址:山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
基于身份的访问控制:传统访问控制的基础是IP地址,但是由于IP地址的可修改性,使得控制的精度大打折扣,特别是根据不同IP地址配置不同强度的访问控制规则时,通过修改IP地址可以获得较宽松的访问限制,及时采用了IP+MAC绑定,但修改MAC也不是难事。山石网科安全网关支持与第三方认证的结合,可实现基于“实名制”下的访问控制,将大大提升了访问控制的精度。
4.2.4 配置带宽控制策略
针对外网的互联网出口链路,承载了员工上网的访问,因此必须应采取带宽控制,来针对不同访问的重要级别,提供差异化的带宽资源。(可以实现基于角色的QOS) 基于角色的流量管理
基于山石网科的多核 Plus G2安全架构,StoneOS® Qos将Hillstone 山石网科的行为控制以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽控制(入方向和出方向),这就相当于系统
/ 42
典型中小型企业网络边界安全解决方案
中可容纳多于40,000的QoS队列。结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个角色产生的不同流量,用户可以基于应用分类结果指定流量的优先级。
对应用控制流量和区分优先级
山石网科提供专有的智能应用识别(Intelligent Application Identification)功能,简称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类;Hillstone 山石网科还支持用户自定义的流量,并对自定义流量进行分类;同时山石网科可以结合强大的policy对流量进行分类。山石网科 QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用;对于网页浏览和P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。
带宽利用率最大化
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。Hillstone 山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽的利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。弹性QoS还允许用户进行更加精细的控制,允许某一类的网络使用者享有弹性QoS,另外一类不享有弹性QoS。以此功能用户可以为网络使用者提供差分服务。
实时流量监控和统计
山石网科 QoS解决方案提供各种灵活报告和监控方法,帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。山石网科设备
/ 42
典型中小型企业网络边界安全解决方案
提供带宽使用情况的历史记录,为将来分析提供方便。同时用户还可以自己定制想要的统计数据。
4.2.5 上网行为日志管理
通过山石网科安全网关,在实现分支机构员工上网访问控制和QOS控制的基础上,对行为进行全面记录,来控制威胁的上网行为,并结合基于角色的管理技术,实现“实名制”审计,在本方案中将配置执行如下的安全策略:
网络应用控制策略规则
网络应用控制策略规则,是根据名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:
策略规则名称 – 上网行为管理策略规则的名称。
优先级-上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 用户 – 上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 时间表 – 上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的网络行为。 网络行为 – 具体的网络应用行为,比如MSN聊天、网页访问、邮件发送、论坛发帖等。 控制动作 – 针对用户的网络行为所采取的控制动作,比如允许、拒绝某网络行为或者对该行为或者内容进行日志记录等。
/ 42
典型中小型企业网络边界安全解决方案
网页内容控制策略规则
网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别,对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。
外发信息控制策略规则
外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则,能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制,可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时,能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容进行控制,如阻断内网用户在论坛发布含有指定关键字的帖子。
例外设置
对于特殊情况下不需要上网行为管理策略规则进行控制的对象,可以通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。
/ 42
典型中小型企业网络边界安全解决方案
分级日志管理模式示意图
4.2.6 实现URL过滤
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了强大的URL地址库,包含数千万条域名的分类web页面库,并能够实时同步更新,该地址库将被配置在所有分支机构出口的山石安全网关上,对员工访问的目标站点进行检查,保障健康上网。
山石网科提供的URL过滤功能包含以下组成部分: 黑名单:包含不可以访问的URL。不同平台黑名单包含的最大URL条数不同。白名单:包含允许访问URL。不同平台白名单包含的最大URL条数不同。
关键字列表:如果URL中包含有关键字列表中的关键字,则PC不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。
/ 42
典型中小型企业网络边界安全解决方案
不受限IP:不受URL过滤配置影响,可以访问任何网站。
只允许用域名访问:如果开启该功能,用户只可以通过域名访问Internet,IP地址类型的URL将被拒绝访问。
只允许访问白名单里的URL:如果开启该功能,用户只可以访问白名单中的URL,其它地址都会被拒绝。
4.2.7 实现网络病毒过滤
随着病毒技术的发展,网络型病毒(比如蠕虫、木马等)已经被广泛应用了,这种病毒的特点是没有宿主就可以传播,在网络中快速扫描,只要发现网络有许可的行为,就能够快速传播,其危害除了对目标主机造成破坏,在传播过程中也产生大量的访问,对网络流量造成影响,对此传统在主机上进行病毒查杀是不足的,对此问题就产生了病毒过滤网关,该系统类似于防火墙,采用“空中抓毒“技术,工作在网络的关键节点,对经过网关的数据包进行过滤,在判断为是病毒的时候进行阻断,防止病毒利用网络进行传播。
这里建议中小企业可利用安全网关的病毒过滤技术,对各个安全域在实行访问控制的同时,进行有效的病毒过滤,杜绝某个安全域内(比如终端区域)的主机感染了病毒,该病毒无法穿越病毒过滤网关,从而无法在全企业网蔓延,造成更大的破坏。
山石网科的病毒过滤能够有效解析出上十万种病毒,能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。基于多核Plus® G2架构的设计提供了病毒过滤需要的高处理能力,其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力,全并行流检测引擎则使用较少的系统资源,并且在并行扫描会话和最大可扫描文件
/ 42
典型中小型企业网络边界安全解决方案
方面提供高升级性。
病毒过滤系统同样也大大提升了服务器的安全性,在当前访问控制的基础上,进一步保障了关键业务的安全性。
4.2.8 部署IPSEC VPN 山石网科安全网关支持的IPSec VPN技术,作用于中小企业,可实现总部与分支机构之间通过互联网的纵向互联,并作为现有专线的备份链路,在不增加额外投资的基础上,提升了系统总体的安全效率。(当然需要总部的互联网出口也部署有标准IPSEC VPN系统)
在通过互联网实现纵向互联的过程中,通过IPSEC VPN技术,将实现如下的保护: 机密性保护:在传输过程中对数据进行加密,从而防范了被篡改的风险;
完整性保护:在传输过程中,通过HASH算法,对文件进行摘要处理,当到达接收端时再次进行HASH,并与发送端HASH后形成的摘要进行批对,如果完全相同则证明数据没有
/ 42
典型中小型企业网络边界安全解决方案
被篡改,从而保障了传输过程的完整性; 抗抵赖:IPSEC VPN运用了数字签名技术,采用对称密钥算法防范传输数据被抵赖的风险; 抗重放:IPSEC VPN运用系列号,一旦某个数据包被处理,序列号自动加一,防范攻击者在收取到数据包,以自己的身份重新发送的风险; 山石网科安全网关IPSec VPN支持的主要技术包括: 标准的技术使Hillstone IPSec VPN能和国际VPN厂商互通,只要对端采用标准IPSEC协议,即可实现互联互通; 全面的加密算法支持,包括AES256、Diffie-Hellman Group 5;
支持静态IP对端、动态IP对端、拨号VPN对端,可以很好地使用各个分支机构实际的网络环境; 支持VPN上的应用控制,在隧道内针对中小企业,提供更完善的访问控制。
4.2.9 实现安全移动办公
山石网科安全网关支持的SSL VPN技术,针对移动办公人员,在不需要配置任何客户端的情况下,实现安全可靠的接入。通过USB KEY的方式,配发证书,移动办公人员必须在提交KEY证书后,安全网关方可允许其通过互联网接入到企业网内,实现安全快捷的访问。方案建设效果
本方案利用山石网科安全网关,作用于中小企业各个分支机构的互联网出口,对员工上网行为进行有效控制和记录,对比现有的安全手段,将在如下层面提升安全性:
/ 42
典型中小型企业网络边界安全解决方案
总体部署效果示意图
【实现集中监控】
在采取了统一品牌的山石网科安全网关后,通过部署在总部的安全管理中心,实现对分布在各个分支机构互联网出口的安全设备的集中管理,重点对日志进行集中的收集和分析,确保在发生安全事件后能够快速传递到总部,以便采取必要的保障措施。【实现有效访问控制】
通过严格的访问控制,限制了内、外部用户对企业各种资源的访问,限制员工对ERP和OA的访问,限制互联网用户对企业网站的访问,由于这些人员只能通过许可的方式,因此大大降低了重要信息资产的暴露程度,提升了系统的安全性; 【有效保护关键资产】
/ 42
典型中小型企业网络边界安全解决方案
对于中小企业而言,关键的信息资产就是各类应用服务器,和数据库,由于本方案采取安全域划分的方式,将这些关键资产集中起来进行有效防护,因此大大提升了系统的总体安全性; 【有效防范攻击】
山石安全网关支持超过3,000种的攻击检测和防御,支持攻击特征库离线在线更新,定期自动更新多种方式。
山石安全网关内置的入侵防御系统重点实现了对重要服务器的保护,当其他主机访问业务系统时,发起对服务器的访问,山石入侵防御系统会在线分析这些数据包,并从中剥离出哪些是正常访问的数据包,哪些是存在攻击行为的数据包,在此基础上对攻击包采取有效的封堵行为,从而保障了安全可靠的访问,进一步保护了易程公司关键的应用服务器。
【有效过滤病毒】
与防范攻击的作用类似,科山石安全网关内置的过滤网关部署在重要的安全域边界,当重要的服务器接受访问时,病毒过滤网关深入分析数据包,检测出是否携带病毒,或者数据包本身就是由一些恶意病毒(比如木马、蠕虫等)引发的,并采取有效的查杀,或者将数据包直接丢弃。
【基于角色的控制与资源保障】
/ 42
典型中小型企业网络边界安全解决方案
中小企业的上网人员是多个层面多种角色的,因角色不同,在访问控制和资源保障部分,需要有不同的策略与力度。山石安全网关能够与第三方身份认证有效整合,在控制(比如访问控制、日志审计)和资源保障(比如QOS)方面能够根据用户身份以及对应的角色来进行配置,解决了传统以IP地址为依据时,IP地址容易被伪造的问题; 【上网行为实名制审查】
国家相关监管部门要求提供上网的机构,应当对上网人员的行为进行记录,以备在员工进行违规访问(比如发布发动言论,访问非法网站)时,能够进行追溯。而目前中小企业员工均通过NAT来上网,这样单纯在互联网上无法准确定位访问者,即使有些分支机构采取了NAT和上网行为管理设备,但这些设备对行为之记录到IP地址,很难对应到具体的人员。
对此山石安全网关能够在身份识别和角色确定的基础上,对上网人员的行为(访问了什么地址、进行了什么操作、访问的时间、访问产生的流量等)进行有效记录,从而做到实名制审计。【有效封堵P2P和IM】
P2P和IM的特点是,运用动态端口进行访问,对此传统访问控制的基础是地址、协议和端口,这种控制方法根本无法从根本上封堵P2P和IM。
山石安全网关支持的深度应用识别,通过协议分析能够有效鉴别出真实的应用,再此基础上进行控制,方可实现对P2P和IM等通过动态端口的应用。【更全面的URL过滤】
目前中小企业的URL过滤库采用手工方式维护,这种方式无论从实效性、全面性上都存在明显不足,山石网科安全网关内置了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网。
/ 42
典型中小型企业网络边界安全解决方案 【对专线形成补充】
目前中小企业各个分支机构与总公司之间,通过专线实现纵向链接,并支撑纵向的业务访问,而总公司和各个分支机构都有互联网的通道,该通道也可作为专线的备份链路,并且从节约投资的角度,甚至可以用互联网通道取代专线,降低系统总体成本。
山石安全网关支持的IPSEC VPN技术,可以在互联网通道上提供安全保护,数据传输过程中采用加密、完整性校验措施,保障了数据的安全性。【实现安全移动办公】
通过SSL VPN解决了远程办公的安全隐患,使移动人员能够安全、可靠地访问企业网资源。
/ 42
第三篇:网络安全策略研究论文
计算机网络是一个开放和自由的网络,它在大大增强了网络信息服务灵活性的同时,也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围,而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术,当成一种新式犯罪工具和手段,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来,网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。
一、常见的几种网络入侵方法
由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:
1.通过伪装发动攻击
利用软件伪造Ip包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造Ip地址、路由条目、DNS解析地址,使受攻击服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器Ip地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。
2.利用开放端口漏洞发动攻击
利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。
3.通过木马程序进行入侵或发动攻击
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。木马程序可以被用来收集系统中的重要信息,如口令、账号、密码等。此外,黑客可以远程控制傀儡主机对别的主机发动攻击,如DDoS攻击就是大量傀儡主机接到攻击命令后,同时向被攻击目标发送大量的服务请求数据包。
4.嗅探器和扫描攻击
嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,作为实施下一步攻击的前奏。
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VpN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VpN属早期的被动防护技术,入侵检测、入侵防
御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
二、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.VpN
VpN(Virtual private Network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VpN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VpN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VpN隧道;在网络层有IpSec协议,它是一种由IETF设计的端到端的确保Ip层通信安全的机制,对Ip包进行的IpSec处理有AH(Authentication Header)和ESp(Encapsulating Security payload)两种方式。
3.防毒墙
防毒墙是指位于网络入口处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的Ip/MAC地址,以及TCp/UDp端口和协议。
三、网络检测技术分析
人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有:
1.入侵检测
入侵检测系统(Intrusion Detection System,IDS)是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵防御
入侵防御系统(Intrusion prevention System,IpS)则是一种主动的、积极的入侵防范、阻止系统。IpS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术,IpS的检测功能类似于IDS,防御功能类似于防火墙。IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而IpS部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IpS就是防火墙加上入侵检测系统,但并不是说IpS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCp/Ip协议的过滤方面表现出色,同时具备网络地址转换、服务代理、流量统计、VpN等功能。
3.漏洞扫描
漏洞扫描技术是一项重要的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。
四、结语
尽管传统的安全技术在保障网络安全方面发挥了重要作用,但在一个巨大、开放、动态和复杂的互联网中技术都存在着各种各样的局限性。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能。用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。为了有效地解决日益突出的网络安全问题,网络安全研究人员和网络安全企业也不断推出新的网络安全技术和安全产品。
参考文献:
[1]周碧英:浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18~19
[2]潘号良:面向基础设施的网络安全措施探讨[J].软件导刊, 2008,(3):74~75
[3]刘爱国李志梅谈:电子商务中的网络安全管理[J].商场现代化,2007,(499):76~77
[4]孙晓南:防火墙技术与网络安全[J].科技信息,2008,(3): 199~120
[5]赵立志林伟:浅析网络安全技术[J].民营科技,2008,(3):193
第四篇:安徽大学企业资源规划论文
专业:
年级:
姓名:
学号:
企业资源规划ERP在中国企业应用
引 言
近几年,众多国内管理软件厂商争相将目光从大型企业投向中小企业信息化,许多国际著名软件巨头也纷纷在国内寻找合作伙伴来“分食”这块蛋糕„„我国的中小企业发展十分迅速,其IT应用 市场也日渐成熟,许多中小企业对运用ERP手段来提升企业管理水平表现出十分渴望的心情。
中小企业相对于大型企业而言,具有自己独特的优势条件:一是中小企业ERP实施难度相对较低,容易获得成功,业务流程与组织架构相对简单,ERP软件开发相对容易实现;二是中小企业的ERP实施周期也相对较短,见效快,在实施ERP过程中通过管理咨询收效也比较明显。正确地实施ERP可帮助中小企业规划管理模式、强化管理规范与制度、实现对经营过程地及时监控,为企业的扩张打下基础。中小企业实施ERP能够确保与大型企业竞争中地高效、灵活优势,在快速求变地信息社会商务生态环境中,充分发挥“快鱼”的优势。
一.ERP是什么?
ERP是Enterprise Resource Planning(企业资源计划)的简称,是上个世纪90年代美国一家IT公司根据当时计算机信息、IT技术发展及企业对供应链管理的需求,预测在今后信息时代企业管理信息系统的发展趋势和即将发生变革,而提出了这个概念。ERP是针对物资资源管理(物流)、人力资源管理(人流)、财务资源管理(财流)、信息资源管理(信息流)集成一体化的企业管理软件。它将包含客户/服务架构,使用图形用户接口,应用开放系统制作。除了已有的标准功能,它还包括其它特性,如品质、过程运作管理、以及调整报告等。
企业资源计划(enterprise resource planning,ERP),它利用计算机技术,把企业的物流、人流、资金流、信息流统一起来进行管理,把客户需要和企业内部的生产经营活动以及供应商的资源整合在一起,为企业决策层提供解决企业产品成本问题、提高作业效率、及资金的运营情况一系列动作问题,使之成为能完全按用户需求进行经营管理的一种全新的行之有效的管理方法。它是一个以管理会计为核心的信息系统,识别和规划企业资源,从而获取客户订单,完成加工和交付,最后得到客户付款。是综合客户机和服务体系系统、关系数据库结构、面向对象技术、图形用户界面、第四代语言、网络通讯等信息产业成果,以ERP为管理思想的软件产品。
换言之,ERP将企业内部所有资源整合在一起,对采购、生产、成本、库存、分销、运输、财务、人力资源进行规划,从而达到最佳资源组合,取得最佳效益。
企业资源规划 ERP(Enterprise Resource Planning)的合理运用已经改变了企业运作的面貌。ERP通过运用最佳业务制度规范business practice以及集成企业关键业务流程business processes来发问和提高企业利润,市场需求反应速度和企业。
二. ERP综述
2.1 概念
ERP(Enterprise Resources Planning“企业资源计划”),可以从管理思想、软件产品、管理系统三个层次给出它的定义:
一是由美国著名的计算机技术咨询和评估集团Garter Group Inc.提出了一整套企业管理系统体系标准,其实质是在MRPII(Manufacturing Resources Planning,“制造资源计划”)基础上进一步发展而成的面向供应链(Supply Chain)的管理思想;
二是综合应用了客户机/服务器体系、关系数据库结构、面向对象技术、图形用户界面、第四代语言(4GL)、网络通讯等信息产业成果,以ERP 管理思想为灵魂的软件产品;
三是整合了企业管理理念、业务流程、基础数据、人力物力、计算机硬件和软件于一体的企业资源管理系统。
ERP 的概念层次可如图2.1 所示。
图2.1 ERP 的概念层次
所以,对应于管理界、信息界、企业界不同的表述要求,“ERP”分别有着它特定的内涵和外延,相应采用“ERP 管理思想”、“ERP 软件”、“ERP 系统”的表述方式。
2.2 ERP在我国中小企业管理的发展趋势
现阶段中国中小企业管理以建立竞争优势,提高企业竞争力为核心。要提高企业的竞争力就必须整合企业经营,全面加强企业管理。越来越多的优秀企业舍得在管理系统上投资的举动,足以说明了这一趋势。在市场竞争日益激烈,用户需求不断趋向多样化,企业间关联程度越来越密切的今天,要求企业行动必须快捷、灵敏,在管理的思想观念、方式方法上不断创新。人力己经很难完全达到这些要求,必须借助当代IT的最新成果。实施ERP是我国企业优化和加强企业运营和管理的必然趋势,因为ERP体现了以市场为核心的现代企业管理思想,它必将成为现代中国企业管理的基石。
实施ERP能给企业带来几大收益:第一,加快内部信息的传输、处理速度和工作效率;第二,能为企业带来更多的客户和商业机会;第三,使企业对市场变化更加敏感,缩短决策时间,便于企业发展规划,并规避企业风险等。对于中国中小企业来说,要在管理问题还不是很严重的情况下引进 ERP要比出现严重管理障碍时引入更容易。企业可以采取总体规划,效益驱动,重点突破,分步实施的原则来逐步实施自己的ERP。
当前,我国中小企业要实施ERP,最重要的是解决他们的认识问题。管理是有成本的,ERP只是管理成本的一部分,不能简单地说投资ERP需要多少钱,关键是要看它后期的投资回报。比如海尔,每年交易额是七十个亿,使用ERP系统后成本降低了4%—6%,一降就是几千万,投资很快便得到了回报。更何况ERP带给企业的收益不只是降低成本,重要的是企业已有的管理模式得到了完善和更新。
总之,成功实施了ERP,就为全面的企业管理信息化打下了牢固的基础,接下来的电子交易、供应链管理、客户关系管理、决策支持系统、知识管理系统、商业智能分析等大量的管理系统工具都可以更快速的部署,并且很快取得实效,真正使信息系统成为企业管理的主系统,使每一个决策更具有科学性,使每一个新的战略得到更快速的落实,ERP系统是中小企业信息化的基础与核心,没有它就无法使中小企业真正走上电子商务的轨道。
三.ERP在我国中小企业管理的发展趋势
现阶段中国中小企业管理以建立竞争优势,提高企业竞争力为核心。要提高企业的竞争力就必须整合企业经营,全面加强企业管理。越来越多的优秀企业舍得在管理系统上投资的举动,足以说明了这一趋势。在市场竞争日益激烈,用户需求不断趋向多样化,企业间关联程度越来越密切的今天,要求企业行动必须快捷、灵敏,在管理的思想观念、方式方法上不断创新。
四、实施ERP系统管理的意义
1、加快内部信息的传输、处理速度和工作效率;
2、能为企业带来更多的客户和商业机会;
3、使企业对市场变化更加敏感,缩短决策时间,便于企业发展规划,并规避企业风险等。
当前,我国中小企业要实施ERP,最重要的是解决他们的认识问题。管理是有成本的,ERP只是管理成本的一部分,不能简单地说投资ERP需要多少钱,关键是要看它后期的投资回报。比如海尔,每年交易额是七十个亿,使用ERP系统后成本降低了4%—6%,一降就是几千万,投资很快便得到了回报。更何况ERP带给企业的收益不只是降低成本,重要的是企业已有的管理模式得到了完善和更新。
五. 企业应用ERP失败案例
(一)、三露联想“婚变”
北京市三露厂在1998年3月20日与联想集成签订了ERP实施合同。合同中联想集成承诺6个月内完成实施,如不能按规定时间交工,违约金按千分之五来赔偿。合作的双方,一方是化妆品行业的著名企业,一方是国内IT业领头羊的直属子公司。这场本应美满的“婚姻”,因为Intentia软件产品汉化不彻底,造成了一些表单无法正确生成等问题出现了“婚变”。后虽经再次的实施、修改和汉化,包括软件产品提供商Intentia公司也派人来三露厂解决了一些技术问题。但是由于汉化、报表生成等关键问题仍旧无法彻底解决,最终导致项目的失败。
(二)、哈药“城门失火”
2000年,哈尔滨医药集团决定上ERP项目,参与软件争夺的两个主要对手是Oracle与利玛。一开始,两家在ERP软件上打得难解难分,一年之后,Oracle击败利玛,哈药决定选择Oracle的ERP软件。然而事情发展极具戏剧性的是,尽管软件选型已经确定,但是为了争夺哈药实施ERP项目的“另一半”,2001年10月,利玛联手哈尔滨凯纳击败哈尔滨本地的一家公司华旭,成为哈药ERP项目实施服务的“总包头”。
但是,始料不及的是,到了2002年3月份,哈药ERP实施出现了更加戏剧性的变化。利玛在哈药ERP项目的实施团队全部离职。城门失火,殃及池鱼,整个哈药项目也被迫终止。
六.企业应用ERP成功案例介绍
凌进电子有限公司ERP系统案例分析 6.1公司背景介绍
凌进电子有限公司成立于1993年,是一家集模具制造、注塑成型、丝印、移印、无尘喷涂、超声焊接、激光雕刻到电子产品组装等配套工艺于一体的综合性企业,在制造通讯产品、家电产品及IT产品外壳精密注塑及喷涂方面更是拥有相当专业的水准。
6.2 ERP实施前状况
作为一个大型制造企业,在导入神州数码ERP系统之前,凌进电子拥有和同等规模厂商相同的困惑,制造流程复杂,生产经营计划不准确;盲目采购,导致库存积压过大;资金占用过多;财务预算不严谨,财务报告不准确;成本管理方法不科学,难以科学地反映、分析和控制企业的生产经营管理水平和经济效益;各种信息失真,不集成,企业决策及日常工作缺乏科学的依据。
6.3公司实施ERP系统 2005年,公司决心建立企业集成信息系统,引进ERP加强企业资源管理。为此,公司成立了信息化领导小组,同时建立ERP系统组和各部门的ERP实施组为体系的实施体系,不仅提供组织上的保障,而且添置了硬件设备,准备了专门的培训课室,提供了硬件的保证。第一阶段是培训阶段。这个阶段用了2个月时间,进行了进销存和生产模块培训,确定了编码原则和BOM分阶原则确定,建立了基本资料。同时,组织对内部各关键用户进行熟练操作培训和强化教育。
第二阶段是流程讨论和模拟阶段。从2005年12月开始,考察了5家客户,重点了解其库存管理、报表打印、物料编码以及单据流程等方面的实施情况。通过初步实施,实现了对物流数据的集中管控,流程通畅,各种数据趋于一致,具备了二次开发的能力。
第三阶段进入了功能集成开发和应用完善阶段,用了一个月的时间考察流程管理和控制程序,提出了分量损耗等很多问题,并据此制定出阶段性目标。第四阶段系统实现顺利上线。通过整体演示,系统运行情况得到了专家组的一致肯定,进销存、生产、计划等模块全面上线。第五阶段主要侧重于二次开发,涉及BOM分量损耗,BOM审核,及业务开单等,二次开发程序做到了与原有系统的无缝衔接,实现了顺利运行。
期间,领导的支持和重视促使ERP系统组、实施组成员按照要求密切配合,持续推进。公司领导在项目启动伊始,在全公司范围内强调实施ERP系统对企业发展的重要性,迅速统一了思想、统一了意志。同时,基于对ERP实施可能遇到的问题的清醒认识和深入分析,统筹协调各方资源,认真对待、严格执行。通过把ERP的推行工作列入到部门的每月计划,确保项目的顺利实施。
在项目组长、公司领导的亲自推动下,系统组以系统工程的方法,制订了详细、周密的项目实施进度计划。在整个实施过程中,严格按照计划控制、检查进度,遇到困难,系统组、实施组努力协调,寻求解决方案,最大程度减少了不良因素对项目可能造成的影响。在系统的严格控制和努力协调下,各部门得以明确目标,统一思想,保证了凌进电子的ERP项目按计划成功上线。
6.4实施ERP取得的效益
通过ERP的实施,凌进公司各部门实现了数据集成、信息共享,库存帐务及时准确,物流、财务流紧密集成,计划自动运算,降低了成本。更重要的是实现了业务流程的规范化,操作者必须按系统既定的流程严格进行,各环节的过程和结果可以控制和预测,问题能够及时分析和反馈,为凌进电子有效应对市场挑战提供了强大支撑。
作为服务于通讯行业的制造企业,市场对凌进电子生产提出了很高的要求,即“短、平、快”,通过导入神州数码的易飞ERP系统,凌进电子各方面管理都发生了突飞猛进的变化:以前拿一个订单可以超领10次,现在初步实现了产品订单的单据化管理,完全杜绝了超领的现象。以前盲目采购,重复下单,不该采购的物料也采购进来了,上了ERP之后,物料消耗明显下降,初步实现了全公司的物料管控,以前生产一个手机最长需要两年的时间,现在只要3个月就可以搞定。
上了ERP系统之后,公司库存的准确率从30%提升到98%左右,很多不按计划的生产得到了有效控制,可追溯性大大增强了,不仅可以倒查库存,还可以深入查询产品、生产等报表的相关数据。生产管理全过程通过ERP实现监控,同一套产品使用同一种编码,实现了数据共享,公司信息的流通率和透明度都有了很大提高。
由此,凌进电子从一个依赖手工作业的企业成为了一个运行高效的信息化企业,通过数据的精确化管理和流程的标准化,实现了信息集成,大幅提高了企业的工作效率,在一定意义上帮助企业实现了绿色运营。
6.5 案例分析
凌进电子有限公司ERP能够成功实施的原因在于:
(1)成立ERP项目实施机
公司为了建立企业集成信息系统,引进ERP加强企业资源管理,成立了信息化领导小组,同时建立了ERP系统组和各部门的ERP实施组的实施体系,不仅提供组织上的保障,而且添置了硬件设备,准备了专门的培训课室,提供了硬件的保证。(2)公司ERP的实施得到了领导的支持和重视。
企业领导特别是一把手,始终如
一、全面的支持是 ERP 成功实施的关键因素。凌进电子有限公司领导的支持和重视促使ERP系统组、实施组成员按照要求密切配合,持续推进,迅速统一了思想、统一了意志。同时,ERP的实施具有了资金和组织上的保证,遇到问题也能够迅速得以解决,保证了工程实施的落实。
(3)在ERP系统实施的过程中逐步建立起一支自己的实施和维护队伍,为后续企业的ERP实施以及现有系统的维护打下坚实的基础。
(4)公司分阶段、分内容、分人员、分管理层次进行员工培训,提高全员对实施ERP项目根本意义的认识、积极性和主动参与意识,提高和增强全员的信心和热情,使所有员工都能尽快地进入角色。
七.ERP在我国中小企业实施中面临的问题
北京市三露厂和哈尔滨医药集团就是两个比较典型的例子。为什么会出现这种问题?中小型民营企业在应用ERP过程中面临的问题主要表现在以下三个方面:
1、企业使用的盲目性
企业对ERP认识模糊,混淆了“ERP软件”与“ERP系统”的概念。他们认为,只要投入一定的资金购置计算机硬件和某种ERP软件,就能解决企业这样那样的问题。或者就是企业为追赶潮流,把钱花在外部包装上。没有坚实的基础,只是盲目乐观,企业注定隐患丛生。这样的结果,往往是企业的投资远大于获得的增益,软件与公司实际不相符,系统无法正常有效的运转,不仅使得系统丧失了它本身的价值,也使得企业背上了沉重的包袱。
2、市场上相关产品众多
这也使企业面临一个选择的问题。企业往往需要综合考虑成本,便利,安全以及是否符合企业实际等等因素。这一方面不仅使得一部分企业对此“谈虎色变”,对ERP的使用呈观望态度,也造成一批准备使用和已经使用的企业的不便。、不同生产(经营)业务流程之间的差异 不同管理方式之间的差异远不是“人机界面个性化定制”所能解决的问题,要求处理方案的变化也是可能的。不同行业之间的差异。传统的方法是不同行业用不同版本,但由于核心功能就有差别,传统开发方法往往程序改动很大,无异于写两套软件。所以选择了与自身生产(经营)业务流程不相符的ERP系统也是企业引进ERP系统后实施失败的原因之一。
八. 我国中小企业实施ERP的环境条件分析
中小企业成功实施ERP的条件可以分为两大类 :外部环境条件和企业内部环境条件。前者指企业所处的社会环境和实施ERP所需的外部资源环境(软件供应商和咨询服务提供商)。后者指的是实施ERP的企业内部对项目实施结果产生影响和决定作用的因素。
8.1 社会环境条件分析
社会环境条件的第一层含义是指我国中小企业所处的宏观经济环境。其最大特点是社会主义市场经济体制尚不完善,市场对资源的配置还处于初级阶段,同时与市场经济相适应的各项法律法规尚不健全,企业与企业之间存在着很多的无序竞争、不正当竞争。第二层含义是指实施ERP的中小企业所处的行业环境。实施企业所处行业的供应链结构和规范程度会在很大程度上影响企业ERP项目实施的效果。供应链上游供应商的可靠程度,供应链下游需求信息的可靠程度和及时反馈程度,都会影响实施企业对ERP的运行效果。目前,我国各行各业的社会化协作分工体系和供应链结构还存在很多不合理的地方,因此,企业在考虑引入 ERP之前,需要对所在行业的特点进行分析研究,考虑相应的对策。否则,即使企业内部的管理基础很好,也不能充分发挥ERP应有的威力。
8.2 外部资源条件分析
首先,来自软件公司的风险。目前,我国市场上的ERP产品主要有两大类:国外软件厂商开发的ERP产品和国内软件厂商开发的ERP产品。由于国外ERP产品在一些发达国家已经经历了一个较长的开发和应用阶段,因而在理念、模式和技术上有其先进性和成熟性,但国外厂商往往不了解中国企业的实际情况,本地化不够,同时系统对企业内部基础管理和基础数据要求很高,实施难度大。国内ERP软件供应商凭借着对中国国情的了解,能提供更加本地化的服务,价格上也相对便宜。但是在技术、经验和应用实践上与国外软件公司相比还存在着一定的差距。另外,目前我国的ERP供应市场也表现得不成熟。个别软件供应商为了单纯追求利润,根本不考虑其产品是否适合企业的实际情况都拼命推销给用户,这种不负责任的做法,极有可能给用户带来实施困难、效果不佳、甚至后续实施工作无法开展等风险。还有个别软件公司为了抢占市场,常常会过分满足企业提出的不合理要求,从而出现“穿新鞋走老路”的
现象,没有起到优化流程,管理模式创新的目的。
其次,来自项目实施咨询服务公司的风险。目前,我国的管理咨询机构尚不健全,水平也参差不齐。咨询公司缺少理论水平和实践经验都丰富的人员,由于没有深厚的管理知识和背景,他们在项目实施过程中常常会趋向于回避管理上的变革甚至业务流程的优化、重组。另外,咨询公司的人员流动性也很大,缺乏合格的项目经理。还有不少咨询公司的信誉度较差,只要合同一签,就急于脱手和交工,缩小项目服务范围尤其是涉及企业管理变革方面的内容。
最后,企业与外部源的合作风险。合作风险是指实施ERP的企业与软件供应商、咨询服务提供商在ERP系统实施期间以及以后的支持期间三方合作方面所产生的风险。从实施企业的角度来看,合作风险可归属于企业的选择风险,即软件选择风险和实施咨询公司选择风险,以及合作时企业认识上的错位风险。
8.3 企业内部环境因素分析
内部环境因素主要指实施 ERP的中小企业内部对项目实施结果起影响和决定作用的内容,主要包括企业管理水平、企业信息化基础、企业资金支持能力、企业技术支持能力、领导重视程度、项目前期筹备情况等几项。
(1)中小企业当前管理水平
中小企业引进ERP系统的根本原因是它所包含的先进管理理念和管理手段,但其在项目实施过程中如果忽略其中的管理因素而仅仅将它看作软件必然会失败。伴随着ERP系统的实施,企业业务流程需要整合优化,去除多余和无效的工作环节,从而确保企业有一个科学、规范的业务流程和管理基础,并在此基础上对企业组织结构进行相应的调整,实现扁平化管理,以适应ERP所贯彻的管理参考模型的要求。因此业务流程变革是ERP系统实施过程中不可缺少的环节,而变革的内容取决于企业当前的管理水平和管理模式与ERP系统管理基准之间的差距,如果差距过大,则实施难度也很大。因此根据企业当前真实的管理水平,采取合理的措施,选择合适的ERP产品,中小企业当前管理水平可以从以下几个方面加衡量:资金周转率;新产品设计周期;基础数据管理;人均劳动生产率;人均利润率;自动化水平;企业组织结构稳定性;企业发展速度。
(2)中小企业信息化基础
信息化对中小企业ERP实施的重要性不言而喻。企业信息化基础如何,可以从企业信息化过程中软、硬件方面的资金投入和使用情况,以及具体使用信息化系统的人员所具备的素质等角度来反映当前企业信息化的真实水平。中小企业当前信息化基础可以从以下几个方面加衡量:企业中人的因素,包括员工信息化的认可程度、操作熟练程度;现有信息化软件使用情况,包括所用产品类别和数量、应用范围;信息化硬件投资情况,包括硬件数量、投资额、联网程度、年均运行维护费用。
(3)中小企业资金支持能力
中小企业引进ERP系统通常需要大量的资金投入,这些投入不仅包括初期的一次性投入,而且还包括运营过程中的人员培训费用、系统维护费用和系统升级费用,这些都要求企业在ERP项目资金投入方面有一定的保障。如果项目资金支持不力,或企业对此没有充分认识,那么项目在实施过程中就会产生问题,甚至会因为后期资金投入的不足而引起整个项目的失败,使得前期的投入不能很好地发挥作用。
中小企业资金支持能力可以从以下几个方面加衡量:企业盈利能力;有无完善的资金使用规划;有无项目预算;ERP项目初期实施费用(价格与初期维护费用)与年盈利的比率。
(4)中小企业技术支持能力
项目实施过程中需要企业内部人员为项目提供支持,这些工作主要包括项目规划和实施建议、项目目标及需求调查、新系统功能描述和要求、系统配置、必要的二次开发、系统维护和系统升级工作。因此企业内部技术人员的素质以及他们对项目内容的理解和掌握程度,影响着系统实施的效果。企业技术支持能力可以从以下几个方面加衡量:企业 ERP项目组成员的构成情况(后面将详细讨论ERP项目的组织结构),按照专业、学历及工龄划分;接受培训程度,包括ERP原理、ERP产品和实施流程及规范的培训情况;人员数量、相关经验等方面考虑。
(5)中小企业领导重视程度
ERP项目是一把手工程,企业最高领导层的参与和支持是ERP项目成功的关键。这种参与过程不能简单地理解为审批和签字,不能只是口头上的支持,形式上的参与,而是需要企业领导真正意识到ERP的重要性,能够在根本上推动和促进项目的实施进程。企业领导重视程度可以从以下几个方面加衡量:项目负责人是否为企业最高决策者;项目实施小组的重要级别;企业有无CIO设置;企业领导参与项目会议的频率;企业领导支持工作的力度即解决具体问题的数量,是否把 ERP项目放置到仅次于企业正常生产经营之后的第二重要位置。
(6)项目前期筹备情况 良好的开始是实施成功的一半,ERP实施的前期筹备工作是关系到是否能够取得预期效益的非常重要的一步。在前期筹备期我们需要弄清如下问题:企业领导决策引进ERP系统的原因是什么?对项目的期望是什么?对实施过程中的困难是否了解并做好了心理准备?对于产品选型是否科学而无偏爱?对 ERP产品的功能和效果方面了解程度?
项目前期筹备情况可以从以下几个方面加衡量:企业需求是否明确;实施目标是否明确且一致;是否对项目资金要求和实施的难度有所认识;是否有具体的系统规划和实施计划草案;是否对所选择的ERP产品有足够的了解;对企业现有管理模式的优缺点是否有充分的认识。中小企业可以在实施ERP系统之前,按照自己的实际情况,对这些内部环境因素的衡量指标打分评估,判断出自己企业的ERP实施能力如何。
如何提高ERP应用的成功率在我国企业实施ERP的对策和建议
通过对我国一些实施ERP系统的中小型企业的深入分析,我认为要想成功实施ERP,企业应该注意以下问题:
(1)ERP软件的本地化问题(2)必须满足用户的个性化需求
(3)ERP实施成功的关键在于企业领导的支持和参与(4)企业ERP系统的建设必须与企业的技术改造和企业机制的转换相结合(5)正确地、实事求是地选择好企业管理信息化的突破口(6)ERP的教育和培训必须放在重要位置(7)从基础工作抓起
(8)强化项目管理在实施ERP系统中具有重要作用(9)扶植和发展国产ERP商品化软件产业是当务之急
九、总结
作为中国信息化建设的热点和重点,中小企业信息化在政府的推动、中小企业自身对信息化的需求和供应商市场竞争的多方作用下,呈现出迅速发展的态势。上马ERP,开展信息化,提升企业的核心竞争力,已成为许多企业的共识。但是,一个不可否认的事实是,很多企业的ERP 应用失败了。只有认真研究和总结我国企业实施ERP的经验和教训,从中找出企业信息化应该重点解决的主要问题,才能让更多企业在信息化建设中少走弯路。
第五篇:大学物理网络试题库研究论文
1独立学院大学物理教学现状
大学物理是独立学院工科专业一门非常重要的公共必修基础课,目的是为学生学习专业课程打下坚实基础。学习大学物理不仅有利于提高学生发现问题、分析问题、解决问题的能力。而且在锻炼学生的思维能力,培养学生树立科学的世界观和创新意识等方面,具有其他课程不能替代的重要作用。然而,大学物理理论知识抽象难懂,又受到课时、仪器等因素的影响制约,很多学生对学习大学物理失去了兴趣。相比之下,独立学院的学生基础差底子薄,更是对物理不感兴趣,甚至放弃。但是,独立学院主要培养创新型和应用性本科人才[1-2],这就要求教师在教学过程中不仅要向学生传授知识,更要注重培养学生运用知识的能力和实践创新能力。目前,从生源看,独立学院绝大多数学生自主学习能力较差、理论基础薄弱;从课程设置看,许多独立学院的大学物理课程基本上是照搬母体理工科大学物理课程的设置,存在着理论性偏强而应用性不够、深度难度偏大而实践课时偏少等问题。这种精英教育模式,与独立学院应用型人才培养模式相距甚远[3]。因此,独立学院要体现专业型、应用型、创新型的教育,大学物理教学模式改革势在必行[4]。
2独立学院建立大学物理网络试题库的必要性
以同济大学浙江学院为例,不少学生对学习大学物理不感兴趣,他们普遍认为大学物理难懂、难学,学习抓不住重点,最终导致专业课程学习难度增大。这一问题引起了高校教育教学工作者的重视。针对上述状况,如何让学生认识到网络环境下大学物理自主学习的必要性与可行性,并让学生充分利用“大学物理网络试题库”中的资源高效地开展大学物理自主学习,提高自身大学物理学习的质量和效率,便成为一个值得研究的重要课题。本文结合教学工作实际,主要从发展网络教学平台、建立网络试题库以及如何利用网络教与学三个方面系统分析了如何激发学生对大学物理的学习兴趣,有效开展大学物理教学,以及如何提高学生的自主学习能力,并充分利用“大学物理网络试题库”找到与自己专业相关的知识模块,及时加强巩固、反馈给任课教师。希望本文对于提高独立学院大学物理教学质量,培养学生自主学习能力具有一定的借鉴意义。
2.1课堂教学方式的改革与创新,网络教学平台的发展
随着现代信息化技术的发展,大学物理教学也呈现了现代化的教学技术手段,例如多媒体教学、网络教学等。大学物理理论知识相对枯燥难懂,而网络、多媒体技术以其特有的图片、音乐和动画给学生带来较强的感官刺激,如今,将多媒体应用到大学物理教学已经起到活跃物理教学的作用。而随着计算机网络技术的迅猛发展,大量信息资源生动形象地展现在教师和学生的眼前,如何利用这些资源为教学和学生自主学习服务,是目前研究的重点。为此,全国各所高校都积极主动的建立网络教学平台,以实现数字化校园,国内的校园数字化建设近年来更是迅猛发展。同济大学浙江学院也积极推进数字化校园建设,针对大学物理教学,已经建立了“大学物理教学网”这样的数字化教学平台,为教师和学生提供了学习、答疑、讨论以及作业处理等教学过程的支持工具。网络平台就像一个纽带,将教师和学生紧密联系在一起。
2.2在网络平台建立大学物理试题库
国内的一些高校已经开始在网络教学平台建立起“大学物理网络试题库”,甚至有的学校已经建成并投入使用。这样的一个题库不仅涵盖了大学物理的所有知识点,而且分模块分层次设置题型。学生能够根据自身情况选择不同模块、不同的知识点进行学习以及检测,并能及时将测试结果反馈给任课教师,同时教师也可以根据反馈结果有所侧重的进行知识点讲解,分层次解答。从而实现“学”促进“教”,同时“教”又有方向性、目的性的指导“学”的教学相长模式。其次,现代化电子设备例如智能手机、平板电脑等,可以实现随时随地从题库中获取资源,做到随时可夯实基础,吸引学生的注意力,提高学生学习大学物理的兴趣。一个开放的、高效的、安全的智能化网络教学平台,使得大学物理各种教学资源能够实现统一的管理和合理的利用。而“大学物理网络试题库”就是一种现代网络技术与传统教学相结合的全新教学手段。具体来说,工科大学物理理论覆盖面广,内容复杂,涵盖了力、热、光、电、磁等诸多内容。然而对于独立学院的学生来说,遗忘周期短,整理和贯穿前后知识的能力较薄弱,学习过程就显得困难重重[5]。而独立学院的办学层次介于普通高校和专科(高职)中间位置,应面向市场,合理定位,最终把人才培养目标确定为应用型人才和创新型人才。因此,可根据不同专业学生的后续专业课程而有所侧重。比如,建筑专业和土木专业对力学部分内容要求较高,而电气和通信专业的学生就应该重点学电磁学以及导体等部分内容。针对独立学院建立的“大学物理网络试题库”要做到难易层次化,知识点模块化以及目标清晰化。要做到每一章内容都有夯实基础部分,主要以物理概念、定律、定理为主的一些填空和选择型题目。可以让学生轻松自如地在手机上完成,并达到概念、定律、定理清晰化;每一章也要设置提高部分内容,也以选择填空为主,学生可根据自身情况,及周围环境灵活选择。其次,建立力、热、光、电、磁等知识点模块,可供不同专业学生根据本专业后续课程的需求侧重学习及提高。再次,建立成套期中期末测验试题,以基础题和低难度题为主,可供学生选择自测。对于同济大学浙江学院的大学物理教学来说,上学期的课程没有期中考试,这样学习周期长,学生负担较重,教师也不能及时知道学生的学习情况,处在模糊教学的状态。如果大学物理试题库建成并投入使用,就可以选择一套中期试题,让学生在规定的时间内完成,教师也可及时得到反馈,从而得到学生的学习情况。当然,基础试题也可以作为平时作业布置给学生,对于时刻离不开手机的学生来说,不妨让学生通过手机来完成作业。
2.3恰当处理网络“教”与“学”的关系
在知识爆炸式增长的时代,计算机网络中的信息资源具有海量性、生动形象性、开放性、交互性等特点。计算机网络技术的迅猛发展也为教师与学生开展网络教学和自主学习创造了良好的物质条件,更为教师教学提供了另一种途径,可以实现远程授课、答疑甚至在线探讨。在网络环境下自主学习更有利于学生转变传统的学习观念,激发学习热情,提高自主学习的质量和效率。虽然网络提供了方便、快捷地获取知识的途径,提供了大量形象的图片和生动的录像,也能快速得到复杂运算的结果,但也让很多学生养成只识图不看文字、不动笔计算,作业直接从网上下载答案等毛病,导致了学生思想僵化,想象力匮乏。这种现象也成为网络“教”与“学”急需要解决的问题之一[6]。这就要求当代高校教师不仅具有较高的网络技能,还要认真研究教学的思路与方法,除拥有过硬的专业能力外,还需注重物理学中的人文主义精神培养。比如,讲些物理学家的小故事、小插曲可以吸引学生,激发学生兴趣。挖掘物理学的文化内涵,也能培养学生的科学能力、创造能力,提高科学鉴赏力。对意志、性格、品德等非智力因素的培养也非常有益。借助物理学史的框架去讲授大学物理正与素质教育观和现代大学物理的教学目标相一致[7]。这样才能在应用先进的授课手段过程中,避免产生思想僵化、想象力匮乏等问题。
3总结
独立学院以培养应用型人才为目标,所以在工科大学物理教学中可以摒弃精英式教学方式,根据不同专业的后续课程有所侧重的教与学。而“大学物理试题库”提供了这种可能性,不同专业的学生可根据自己的需求,有针对性的学习提高。而每一种教学媒体的使用都具有两面性,或者受制于,或者服务于相应的教学思想。教学工作者只能不断改进传统的思想观念,去适应更加现代的教育理念,才能充分发挥网络及多媒体的优越性。独立学院工科“大学物理”的教学也要不断地研究和探索,在这个过程中“大学物理网络试题库”也会被不断的改进和完善。
点击咨询 