厦门SEO网站推广-厦门SEM搜索引擎

1、图莺非美丽,雄鹰立壮志
目标：细节化，分步走
2、广渡天下客
3、做好每一天——>坚持到底就是——>胜利
你做好每一天了吗？
4、求贤多学防

我们不要太乐观，上帝关上一道门，可能顺带也会把窗户钉死；我们不要太悲观，或许上帝根本就没有关上门，门只不过是虚掩的，而我们却没有勇气去撞开。

————题记

社区IT店（以下简称：社区店）很适合服务型的小微公司来经营，在过去几年，社区店如何经营才能持续赚钱一直是我思考的方向。我也在全国拜访了一些比较有名的社区店连锁公司，北京、成都、武汉、郑州的都有，但就我的观察，他们的管理模式和盈利状况不甚理想，有的已经在缩减分店。或许正是这些负面感受让我一直对社区店持谨慎态度。

今天写这篇文章，并不是已经把社区店的经营模式完全想清楚了，之所以写出来，一是这段时间对厦门几十家社区店进行了一番考察，这些观察需要进行一次总结，与其私藏，不如拿出来分享，还可避免自己“瞎子摸象”；二是希望抛砖引玉的作用，引起更多同行对社区店的兴趣和讨论，只有火花四溅的碰撞才能为社区店发展趟出一条光明大道。

必须要说明的是，我不认为社区店的崛起就一定代表电脑城IT店（以下简称：电脑城店）的没落，虽然电脑城店不诚信现象严重（特别是中关村这几年在这一点上备受诟病）、租金偏高、竞争激烈、营销成本较高等缺点，但中国人喜欢扎堆消费的习惯在短期内是不会有根本改变的，而且电脑城也确实具有它得天独厚的优势，比如：货源集中，调货方便、目标客户比较集中、购物环境比较理想等。在我看来，社区店和电脑城店会共存很长一段时间，因为社区店和电脑城店“互为优劣势”，即：电脑城店劣势是社区店的优势，电脑城店优势是社区店的劣势。所以，我倒是建议已经在电脑城店取得成功的商家不妨考虑社区店的建设，从而扩大自己的销售额和延续自己的竞争优势。

这次厦门社区店的考察，心情上喜忧参半。喜的是所调查的社区店，普遍都能盈利，存活时间都在2年以上（貌似社区店存活的时间门槛），最高超过了10年，这就说明社区店确实能生存下去；忧的是收入（指销售总额）和盈利（指净利润）既不高也不稳定，绝大部分每月收入低于10万元，少的只有1～2万元；每月盈利低于1万元，少的更是只有一两千元，如果是夫妻共营店，这个盈利真的还不如打工的收入。

那么，什么原因阻碍了社区店的盈利能力？就我的观察，至少6个方面存在问题。

第一，经营策略问题。

首先体现在核心业务不突出，对于社区店来说，主要包括2点：一是服务能力不出众，形成不了客户口碑，二是产品品类和品牌不独有，价格没优势。如果一个社区店无法在周边客户心智中形成“独特价值定位”，比如：服务做得特别好；如果一个社区店无法让客户一眼就看出性价比最高的业务是什么，竞争优势是什么；如果一个社区店给人感觉好像什么业务都能做，那么，恰恰说明这个社区店在客户眼里是一个不专业、不可信赖的形象。缺乏突出的核心业务，就会“泯然众人”，就只能依靠低价竞争，而“伤敌一千，自残八百”的价格战肯定无法支撑社区店良性发展。

可能很多人会问：“社区店如果只经营一项业务怎么活下去呢？”其实，“突出核心业务”不等于让你“单项业务经营”，核心业务是让你必须拥有自己的“拳头业务”，然后围绕“拳头业务”来构建自己的核心竞争力，从而带动其他业务的销售。

但核心业务如何选择呢？我的建议是电脑普及率较高的地区以“电脑服务”为主，最好还能加盟一个全国性品牌，如：萤火虫；而电脑普及率较低的地区以“品牌电脑销售”为主，最好还能代理一个著名品牌，如：联想。

其次是客户定位太纠结：主做家庭客户吧，价格竞争很惨烈，盈利水平自然也高不了，而且家庭客户短期内的消费潜力有限，必须做大客户规模才能有利可图；主做企业客户吧，业务周期比较长，客户关系很复杂，而且回款难，回款慢，难得遇到一个有钱赚、回款又安全的好客户，可能技术方案设计和技术实施能力又把自己拒之门外。总之，侧重谁都好像有问题，都好像不得劲。对此，我的建议是两种客户都得做，相互取长补短，但需要有针对性的产品和服务，以及不同的销售方法，不能一概而论，同时建议企业客户由老板负责，家庭客户由老板娘负责（还没老板娘的老板，赶快去找一个吧！：））。

第二，业务拓展问题。

社区店经营者的“坐商”思维要破除，这一点从推广方式比较依赖“门头广告”吸引客户也可见端倪，开店的价值，不应该仅仅是坐等客户上门，因为店铺如此众多，而且IT店又不是客户非逛不可的店面，凭什么开个店就一定顾客盈门呢？多数IT店面恰恰相反，是门可罗雀。再进一步说，即便客户上门，有些社区店敢说自己就一定能让客户成交业务吗？我在调查时，就遇到两个初中同学到一个社区店买U盘，要4G但没货，8G又觉得贵了点，我们建议说买8G从性价比上看更划算，她们也听进去了，但犹豫再三，最后还是来了句：“反正也不着急用，等改天去电脑城比较一下再说吧”，说实在的，她们去电脑城浪费的时间和交通费都不止节省的这点钱了，但你真的挡不住消费者在不迫切需求下，有货比三家的消费倾向。更何况不少社区店产品线也不丰富，价格优势也不明显，更没有独有品类和品牌的产品，这如何让客户放心消费呢？

但即便要求社区店老板去做“行商”，一样也会遇到重重阻力。他会觉得自己缺乏市场推广经验和推广资源，不知道从何下手，担心推广投入打了水漂。我觉得，对于原本资金就薄弱的社区店来说，这个担心是对的。如果你不能做好产品配置和店面布局（下面第三点会专门分析），不能提升服务能力和销售能力，就算做了市场推广，恐怕也只是一时的效果甚至毫无效果。对于社区店来说，最为重要的市场营销手段莫过于“客户口碑”了，如果做不到这一点，社区店本质的意义便失去了大半，因为社区店能够覆盖的市场范围是有限的，如何在有限的市场范围内获取最多的客户，最好的武器就是“客户口碑”，这不仅有利于你竞争，还帮助你大大节省了广告费，节省下来的就是白白赚到的。

还有一点就是服务业务拓展困难。这里面有市场环境因素，也有自身能力因素。以厦门为例：因为要打造国际旅游城市，很多制造业都搬到了岛外，因此岛内是城市市场，岛外是农村市场，市场差别很大，虽然同是外来人口，但两者收入水平和消费观念也截然不同，这一点从电脑外包服务上就体现的很明显，岛内客户服务消费意识和能力都比较强，但岛外则完全相反。

但市场的不利因素短期内我们无法改变，长期看则不用杞人忧天，随着人力成本上升，产品销售利润下降，5年内绝大部分地区的免费电脑服务现象肯定都会消失（详看下面IT产业发展3段论）。当下能做的就是先提升我们的服务及其销售能力，这需要通过一些创新手段来促进客户提前消费服务，像萤火虫推出的电脑E保卡就是为此应运而生，我们创新的出发点就是把“无形的服务”转变成“有形的产品”，让客户对服务看得见、摸得着，购买时感到心理有底。同时，电脑E保卡还附带了很多礼品，让客户购买服务时觉得是物超所值。

第三，店面布局问题。

在我调查的社区店当中，绝大部分店面形象都显得比较低端，不精致（注意：精致不等于豪华），产品配置以“电脑配件为主，办公耗材为辅”居多。店面的功能区要么根本没有划分，要么划分得不理想，可能这里面有受限于店面面积的因素（厦门岛内租金较高，社区店面积一般在20～60平方，岛外普遍在40平方以上，最大超过200平方），但更多是社区店本身缺乏规划，不能合理的利用店面。布局的紊乱就会导致产品摆放的杂乱无章，根本不能对客户起到引导消费的作用。甚至，还有不少社区店为了节约住宿费用，把店面“商住两用”，这又大大影响了客户对店面形象的观感，等于向客户暴露自己是没有什么实力的夫妻店。

关于店面布局，我有一组正反案例的图片供大家参考和改进：

（1）糟糕的店面布局（类似杂货店）：摆放杂乱无章，缺乏消费引导

（2）理想的店面布局（类似小超市）：品类划分清晰，消费导向明显

另外，店面选址也要注意，譬如：不能店面一出门就是下坡路或者被东西挡住，这从中国传统风水学角度看也不吉利啊。

第四，管理意识问题。

首先体现在员工管理不当。社区店的业务量因为不饱和或不均衡，会出现“忙时无人可用，把人累死；闲时无事可干，把人闷死”的现象。特别是没事可干、又没客户上门的时候，很多社区店老板和员工只好一起打游戏消磨时光，甚至有些社区店老板还认为这样更有利于留住员工，因为他认为自己“庙小容不下大和尚”，在员工管理上如果不采取放任态度，过于严格会导致员工流失（不过，多数社区店是亲人员工）。

但只要我们深入的想一想，这个现象表面看起来是业务量不饱和，根源却是老板自己内在惰性造成的，因为没有业务正好说明你要带领员工一起去跑业务，怎么可以坐在店里打游戏消磨时光呢？哪怕这时候和员工进行工作上交流也比一起打游戏更有经济效益。要知道店租和人工费每天都要支出，只要一天不能产生收入（除非你打游戏赚钱），那你今天就等于是亏损。从调查中也可以发现，凡是员工管理比较规范的店面，其盈利水平会高出30～50%，所以，从这个角度看，如果社区店盈利水平太低，老板的惰性难逃其咎。

其次体现在缺乏信息化管理。因为大部分社区店都是夫妻店，一般老公主外，老婆主内，他们的理由是：“反正都是老婆在管钱管物，而老婆还需要监督吗”、“我就这么一个小店，东西不多，客户不多，销售也简单，好像没什么可管理的”（但问到他们具体客户数量、库存数量和销售额时，却又往往说不出准确的数字），因此对信息化管理相当漠视。在我调查中，只有不到10%社区店使用了进销存管理，而客户和服务管理则几乎为零。这真是一个莫大的讽刺，我们本身做IT的，经常劝客户要信息化管理，但自身却排斥信息化管理。其实信息化管理的作用不是单纯的“防范管理”，小微公司信息化管理的核心意义是在数据积累上（特别是客户数据、销售数据等），以及业务和服务流程规范上，从而提升客户满意度，提升店面的经营效益。我举个例子：如果社区店使用了萤火虫电脑服务管理系统（IT-SMS），不仅可以方便的管理好客户资料，还能够在客户打电话进来报修服务时，系统自动弹出客户信息，让你能主动叫出这个客户的姓名，并且对客户的详细地址、交通路线和服务记录一目了然，这样，你给客户的服务感受就会大不一样。而且，IT-SMS还可以帮助你有效的避免数据丢失和版权纠纷等各种潜在的风险（详看微软检查软件盗版新闻：http://bbs.s361.com/forum.php?mod=viewthread&tid=8228&extra=page%3D1 和http://bbs.s361.com/forum.php?mod=viewthread&tid=8223&extra=page%3D1）。

社区店很小，管理也不复杂，但也许正是因为缺乏信息化管理的意识和手段才制约了社区店更好的赚钱和扩张。调查中我发现不少社区店为了增加盈利，都曾经开过分店，最多超过5家，但无一逃脱关店的下场，当我问其失败原因时，一致认为是管理原因（另一个原因是没有好店长），明明觉得有业务（说明他选择店址的眼力不错），但就是不赚钱。不过，还想继续开分店的老板也大有人在，所以，想赚钱真的是一种最宝贵的创业精神，国家经济繁荣和社会就业稳定真的离不开这样一群不怕死的草根创业者。

信息化管理的重要性就像空气一样，我们平常没有特别在意它的存在，但你不能忽视它的重要性。

第五，老板娘的问题。

或许有人不信，但我却敢大胆做个断言，社区店盈利与否及盈利水平，老板娘因素占了80%，我从一实一虚两个方面来说明。

先说实的一面，有些社区店老板自己就是第一业务员或第一技术员，凡事必然要亲历亲为，需要经常要往外跑，很少在店里，而守店的任务自然就落到老板娘身上，这时候老板娘的热情和能力（专业能力和销售能力）都将决定这家社区店能不能抓住上门来的商机和电话来的商机，不止如此，优秀的老板娘还要熟悉IT产品，在店面管理和店员管理上也得有一套，这也是店面盈利的重要保障之一。我在调查时，就遇到几个老板娘一边抱着小孩，一边玩着电脑游戏，对我们的到来不冷不热，如果我是客户，显然不会在此消费；如果我是厂商，显然也不会与他们合作。

再说虚的一面，在生活当中，我们经常会看到一个有趣的现象：有的人结婚前做啥啥不成，可娶了老婆以后，像变了个人似的，事业蒸蒸日上，一发冲天；而有的人，结婚前明明事业做得还不错，结婚以后反而每况愈下，一落千丈。同样是给人当老婆，做人的差距咋就这么大呢？且不说其他复杂因素，单从命理学上说，女人是水做的，水代表财，对于男人来说，老婆就是自己的“财源”，所以才有“旺夫”一说，当然，“旺夫”不纯粹是给老公带来好运，还包括作为一个妻子如何“相夫”，比如：帮助老公改造缺点，增强老公自信心；比如：勤俭持家、孝顺父母、教育孩子，让老公无需为家庭操心，可以专心做好事业。

看来，萤火虫很有必要在“小而强老板培训班”之外再开办一个“旺夫老板娘培训班”，帮助社区店老板娘完善为妻之道，提升待客能力，帮助老公多赚钱。

第六，老板个人问题。

真正热爱IT的社区店老板并不多，大部分是不喜欢，也不讨厌的态度。但在和社区店老板谈到行业前景时，鲜少有人怀有希望和信心，原因不外乎挣钱不多（可能还不如一个沙县小吃店），操心事却不少，比如：人员流动太快，市场竞争激烈，毛利润率太低（实际上电脑配件和耗材的销售毛利绝大部分社区店都能保持在30%以上）等等。但如果劝他放弃IT，他又会纠结了，舍不得的原因当然不是因为热爱，而是一下子还找不到既熟悉又容易赚钱的行业。

社区店老板中怀有梦想的不多，大部分是抱着一种过且过的心态经营店面，仅仅把店面当成了养家糊口的谋生手段，而不是实现自己人生梦想的起点和舞台，他忘记了现在伟大的企业过去都是从很小的一个平台上起步的：惠普从一个车库起步、苹果从一个洗衣房起步、星巴克从一间社区店起步、IBM从一杆肉称起步、阿里巴巴从一间漏水的民房起步、联想从一间收发室起步······如果一个创业者失去了对自己事业成长的憧憬，那么他必然也就消极经营（就像前面所说的上班时间和员工玩游戏），但凡白手起家的成功者都源于其超强的创业激情，而一旦缺少创业激情，就不能“无中生有”的创造出各种资源，他的事业天花板就会受到严重抑制，从而也就赚不到什么钱。

谈到梦想，我们可能觉只有那种高不可攀的梦想才是真正的梦想，其实，梦想可大可小，大到改变世界，成为行业翘楚，小到改变家庭，成为社区老大，都是值得尊敬的梦想，毕竟要求每个社区店老板都拥有像乔布斯、马云一样的梦想也不切实际。而要不要拥有一个梦想，我听到最多也最害人的理由是：“我每天被生存压得喘不过气来，而且那么多琐碎的事情等着我去做，哪里还有时间去构筑梦想？”。“鸭梨山大”是事实，没有时间也许也是事实，但这正是我们所有小微公司老板需要面对的挑战，挫折和琐碎总会来不断打磨和打消我们做梦的勇气，而一个失去勇气的创业者，他必然会说我没有时间学习、我没有时间做梦，因为“没有时间”是一个不至于让人感到太尴尬和太丢脸的借口，至少证明“我在忙”，老祖宗不是说“天道酬勤”，我反正都“忙”了（有时候这个“忙”也等于“茫”或者“盲”），就算失败了，我也对得起自己的“良心”了。可是这样的失败，却唯独对不起自己的生命———原本你是可以爬到3000米高峰的，但你却到1000米就放弃了或者爬不动了。

我认为“没有时间”完全是工作低效和不该有的惰性造成的，比如：当我们有了一点空闲时间，往往会浪费在一些毫无价值的事情上面，却没有把时间花在一些关乎企业生存发展、重要但不紧急的事情上面。

正是对行业弊端（其实行行都有弊端）和行业前景的不乐观，让不少社区店老板有了跨行经营或转行的想法，这个心态多少有点像别人的老婆总是更漂亮一样，其实哪个行业赚钱都是不容易的，外行看热闹而已。所以，很多跨行经营的社区店老板并没有做得很理想，更多是亏损，赚到的也仅仅是小钱。有道是“主业不稳，副业不旺”，如果你自己亲自负责的主业都赚不到什么钱，你偶尔照顾一下的副业又能给你带来多少收益呢？毕竟不是人人都是李嘉诚，能有那么高的人格魅力和那么大的平台来吸引人才帮你赚钱。

但转行我不反对，如果这个行业你已经开始讨厌，我反而极力肯定转行的行为，毕竟做一个行业最好是热爱它、喜欢它，最底线也要不讨厌它，如果你已经厌恶了，就别再浪费时间，做痛苦无谓的坚持，应该赶快去寻找新的事业彼岸，而且时光也不饶人，60岁再创业成功的人也是少之又少。但对于还想坚守IT业的伙伴，我想送你一句很提气、很给力的话：“敌人的撤退就是我们的胜利”。因为减少了竞争，也就释放出了更多的业务机会，你要永远相信一点，客户的各种IT需求是不会这么快消失的。另外，必须坚持“不熟不做”的原则，如果你在一个行业沉浸多年，至少熟悉这个行业的游戏规则，多少也会积累了一些客户和产品资源，就算暂时赚不到大钱，但赚些小钱维持下去还是没有任何问题，只要还活着，只要你不放弃变革，总有赚到更多钱的时候。

事有凑巧，就在几天前，这几年名气大振的京东商城在ZOL投放了广告，导致ZOL总部被中关村IT商家围攻（如果我们沦落到要靠围攻对手来拯救自己，未免孩子气了），最后京东商城创始人刘强东不得不在微博上给中关村的IT商家提出转型建议，他的原话是这样的：“其实中关村商户出路很多：1、做维修业务，大量IT产品需要维修。2、上门服务业务，未来所有电器都会联网，大量上门服务需求。3、转行，你连毛利最低的行业都做过了，你去代理服装就是小菜一碟！这些业务都不是电商能做的！没必要死抱着注定没落的中关村老路子走到底！”中关村电脑卖场模式是否注定没落我不知道，但对于广大的中小IT商家来说，如果不能解决自己的商业模式问题，还是局限于搬箱子赚点差价，那肯定是穷途末路了，且不说要面对电商的价格竞争，就是身边同样的竞争者也多如牛毛，你想脱颖而出，只能标新立异，走一条与众不同的道路，这条路或许就是“服务之路”。

3月底，在和用友畅捷通签订全国战略分销协议时，他们老总送了我一本用友企业传记《本土雄心》，我在了解用友公司成长经历的同时，也发现了一个很重要的产业发展规律：在2000年以前，客户只认硬件价值，不认软件价值；在2000～2010年，客户开始承认软件价值，但还不认服务价值；我相信，未来10年，服务价值不仅会被客户承认，而且所占的比重会越来越大。而社区店恰好在经营IT服务方面具有得天独厚的优势：贴近客户，快速响应，而且能够和客户建立终身消费和服务关系。

既然我们选择了创业，就应该坚定的扮演好“问题终结者”的角色，这也是创业者的英雄本色。你得坚信一点，钱总是会跟着你解决问题后扑面而来的。在面对客户问题、行业问题、公司问题时，不同社区店老板也有不同的选择，失败者的做法是抱怨和“鸵鸟式躲避”，成功者的做法是立即行动，着手解决。在我拜访过的社区店老板中，我发现做得比较成功的社区店，其老板都比较自信、开放和善于学习，这在接待我，面对我调查访问时表现的非常明显，他不仅能够与我愉快的交流，而且还懂得反问一些问题，向我来学习取经。

曾经有人问过爱因斯坦：“如果一颗彗星在1小时后将撞向地球，你会怎么办？”他的回答是：“我用55分钟时间来寻找慧星撞向地球的原因，然后用5分钟来解决”。所以，很多答案其实就隐藏在问题当中，只要我们多问几个“为什么”，一切都会豁然开朗。

要想解决阻碍社区店盈利的6大问题，具体的方法肯定需要我们一起实践和总结，下面这3个原则或许可以作为突破社区店盈利瓶颈的指导思想：

1. 第一【早称王】：学会借助外部力量（如：萤火虫IT服务全国连锁品牌、联想电脑品牌等），快速打造社区店的品牌形象和业务定位（突显核心业务，占领客户心智），让客户觉得你在本社区就是当之无愧的NO 1；

2. 第二【广积粮】：因为社区店能覆盖的市场范围是有限的，这也决定其客户容量是有限的，你多做一个，竞争对手就会少掉一个。因此，必须树立“终身客户”的经营理念，通过有效的市场营销方式，特别是客户口碑来占领最大化的客户份额（最好能超过50%）。然后在此基础上，每年审慎的引入1～2个新业务或新产品，实现客户价值最大化；

3. 第三【高筑墙】：通过品牌树立和客户占领，就可以在本社区形成较强的竞争壁垒，这不仅可以挤掉现有的竞争对手，还可以阻碍新竞争者的进入

总之，社区店必须做好扎根社区、长期经营的思想准备，只有在一个社区建立了稳固的根据地，培养出得力的核心骨干和提升了自己的管理能力，做到“进可攻退可守”，那么就可以大胆扩张，多开分店了。而分店也只有开一家活一家，开一家赚一家，那么你的扩张才有实质性的意义。

说一千道一万，无非是想说明一个道理：社区IT店非常值得我们去尝试！也许我们现在还不知道它的准确答案是什么，终点在哪里，但吸引我们的地方就在这里，它就像一次发现之旅，总有惊喜发生，我们可以边学边做，边做边学，如此循环和坚持下去，相信我们一定可以收获丰盛的财富，赢得精彩的人生。

广东省通信管理局局长 古伟中

　　作为20世纪最伟大的科学技术创造之一，互联网已经成为世界各国人民沟通的重要工具。进入21世纪，以互联网为代表的信息化浪潮席卷世界每个角落，渗透到经济、政治、文化和国防等各个领域，对人们的生产、工作、学习、生活等产生了全面而深刻的影响，也使世界经济和人类文明跨入了新的历史阶段。然而，伴随着互联网的飞速发展，网络信息安全

问题日益突出，越来越受到社会各界的高度关注。如何在推动社会信息化进程中加强网络与信息安全管理，维护互联网各方的根本利益和社会和谐稳定，促进经济社会的持续健康发展，成为我们在信息化时代必须认真解决的一个重大问题。

　　迅猛发展互联网世界面临新机遇

　　经过10多年的迅猛发展之后，我国互联网面临新的发展机遇。

　　一是党和国家推进信息化的决心和鲜明政策为我国互联网的发展指明了方向。“十一五”规划全面贯彻党的十六大精神,强调要“坚持以信息化带动工业化，以工业化促进信息化，提高经济社会信息化水平。”在推动信息技术发展和应用、加快社会信息化的过程中，作为信息技术传送和应用的重要载体，互联网必将迎来一个生机勃勃的春天。

　　二是上网人数迅速增长，为互联网发展提供巨大的市场基础。据相关统计，截至2005年底，我国互联网上网用户总人数已经达到1.11亿，上网计算机总数达到4950万台。广东是电信大省，互联网业务发展一直走在全国前列。到2005年底，网站开办者住所在广东且已在信息产业部备案管理系统上注册报备的网站达到11.5万家，占全国备案网站总数的16.6%，全省上网用户1486万，占全国的13.4%，占全省总人口的17.9%。预计“十一五”期间网民数量还会在现有基础上翻一番。用户上网的手段日益丰富，除了传统的互联网拨号、专线及宽带接入方式外，采用GPRS、EDGE、CDMA1X等接入互联网的用户的规模也在迅速增长。移动互联网业务的蓬勃发展体现了时刻在线、人们的生活更多地与互联网捆绑在一起的趋势。

　　三是互联网对我国的政治、经济、生活等各方面产生着深刻而重大的影响。互联网正在成为政府了解民意、宣传政策以及政务公开的重要渠道，例如近年来在备受关注的“两会”期间，人民群众通过信息网络给政府工作提出的大量意见和建议越来越受到重视。互联网应用已深入到社会各行各业，网络提供的服务更加丰富多彩。电子商务、电子政务、电子娱乐、远程医疗和教育、网络即时通信、网络报纸、网络电视以及对传统电话业务具有颠覆性影响的IP电话等新技术、新业务的发展和应用使互联网世界精彩纷呈。

　　四是新的发展模式为互联网产业注入新的活力。新浪、网易、腾讯等大型互联网企业普遍进入盈利期，并成功上市，进一步增强了从业者的信心，从而吸引更多资金投入到互联网产业，使整个产业发展呈现出一派喜人景象。

　　良莠不齐加强管理是当务之急

　　飞速发展的互联网业在给社会和公众创造效益、带来方便的同时，其系统的漏洞和网络的开放性也给国家的经济建设和人们的社会生活带来了负面影响，病毒侵袭、网络欺诈、信息污染、黑客攻击等问题更是给用户了带来困扰和危害。

　　一是网络与信息安全问题日益严重。网络诈骗、黑客攻击及攻击我国政府和政治制度、损害党和国家荣誉与利益、危及国家安全与社会稳定的违法犯罪活动越来越猖獗。据统计，2002年~2005年，我国有关部门接到的网络安全事件报告从1761件猛增到123473件，日均超过338件。更为严重的是，传统的病毒、垃圾邮件还在出没，危害更大的间谍软件、“网络钓鱼”等又不断出现，网络信息安全形势愈加严峻。

　　二是有关互联网管理的法律体系尚未健全。多年来，我国一直在为改善网络信息安全管理水平、提高网络信息安全防御能力进行不懈努力，在法律规范和行政管理等方面出台了一系列法律、法规和规章，但相对于互联网产业的突飞猛进，法律法规建设仍然滞后。即便是现有的一些法律法规也因宣传不足，不能很好地贯彻实施。适应网络技术发展和管理工作的实际需要，加快建立健全相关法律法规体系，为做好网络信息安全工作提供良好的法律环境，仍然任重而道远。

　　三是互联网基础管理工作薄弱。我国互联网的发展与世界各国一样，由于早期网络规模和用户数量不大，对互联网的技术演变估计不足，缺乏前瞻性，导致网络信息安全建设资金投入力度不够，各项基础性管理工作相对较弱。网络信息安全是信息社会健康发展的基本前提，没有网络与信息的安全运行，就没有互联网产业的持续健康发展和社会信息化水平的提高。我们必须进一步提高认识，以科学发展观为指导，认真处理好安全与发展的关，始终把网络与信息安全放在至关重要的位置，坚持积极防御、综合防范的方针，加大管理投入，以强化行政监管和建设技术支撑平台为切入点，建立一个技术先进、管理高效、安全可靠的网络信息安全管理体系，努力做到未雨绸缪、防患于未0然，以管理保安全，以安全促发展。

　　他山之石国外经验值得借鉴

　　在全球信息化大趋势下，各国政府一方面确立总体规划，促进互联网发展，另一方面对网络与信息安全问题日益关注，争相抢占网络信息安全战略制高点。美国率先提出网络信息安全关系国家战略安全，把网络信息安全放在优先发展的位置；俄罗斯把信息安全作为重建大国地位的关键；西欧各国和日本、韩国、印度、新加坡等也都从国家发展战略、安全战略和军事战略的高度奋起直追，加强了安全战略的制定，并围绕创建网络安全、打击网络犯罪、保护数据和资源等课题展开探索。虽然这些国家国情不同，在互联网管理的指导思想上也有所不同，但是它们的经验值得我们借鉴。

　　一是建立健全法律法规，加强政府管理协调。互联网是一种重要资源，在任何国家，政府都是互联网管理的主导者，应该通过加强法律制度建设来规范和引导行业发展。美国是互联网最发达的国家，该国通过《通信庄严法》、《儿童网上保护法》等相关法律，禁止任何人在公共网络上传播黄色或带猥亵内容的信息，“9.11”事件后，又颁布《爱国法》和《国土安全法》，对网络信息实行严密监控。而在英国、法国、德国、日本、韩国、新加坡等国家，涉及互联网管理的法律法规也十分健全，这些法律制度对监控的对象、监控的内容和监控的方式、方法等都作出了明确的规定，为这些国家高水平信息社会的健康发展奠定了坚实基础。

　　二是成立专门机构，防范和打击互联网犯罪。许多国家在明确电信管理部门作为互联网行业主管机构的基础上，开始建立国家级计算机应急响应组织(CERT)，及时处理各类网络安全事件。新加坡政府最近成立了“国家网络威胁监控中心”，以保护其电子网络免受黑客和恐怖分子的威胁。同时，一些国家以立法形式授权警察和安全部门监控各种网站和电子邮件，对危害社会稳定和国家安全、煽动和诱导犯罪、损毁他人名誉、欺诈侵权、黑客攻击、传播色情信息等违法行为加以严惩。比如，德国内政部就抽调专业人员和技术力量成立“信息和通信技术服务中心”，印度警方也调集精英组建网络警察局，系统地跟踪、分析互联网上的可疑情况，严厉打击网络犯罪活动。

　　三是研发应用新技术，为网络信息安全保驾护航。互联网是技术高度发展的产物，维护网络信息安全，也同样需要强大的技术能力作保障。为此，在网络管理上，许多国家尤其是西方国家十分重视新技术的研发和应用。随着数据处理能力的提高，美国已开发出一种名为“食肉猛兽”(Carnivore)的系统，根据需要阅读网上发送的邮件；荷兰以法律的形式要求所有电信公司必须安装“网络警察”监控设备，以便对实施犯罪的互联网用户进行有效追踪；日本通产省则与NEC公司共同开发过滤系统，防堵犯罪、色情与暴力网站。其他不少国家也竞相研发新技术，以遏制不良信息传播，增强网络系统的抗毁能力和灾难恢复能力。

　　四是重视和支持行业自律，促进各项业务规范落实。在政府的支持和影响下，英国互联网行业成立了行业自律组织互联网监看基金会(IWF)，主要任务是培养网络用户对网络的信任度，协助互联网内容提供商控制色情等违法内容，协助执法机构打击网络违法犯罪行为；美国也充分发挥电脑伦理协会、互联网保健基金会等行业组织的作用，制定各式各样的行业准则，规范各种网上行为；日本在总务省的推动下，相继成立了电信服务业提供商协会、网站所有者协会等信息行业协会，促进互联网企业自我约束，在很大程度上弥补了政府管理的缺失。

　　基础管理监管部门责无旁贷

　　促进发展是当前互联网领域最重要、最核心的任务。因此，电信监管部门作为互联网行业主管部门，必须按照“积极发展，加强管理，趋利避害，为我所用”的要求，结合电信业向综合信息服务业转型的新形势，创新管理体制、机制与方法，进一步加强行业基础性管理，营造良好的产业环境，促进互联网产业健康有序发展，努力为构建和谐社会提供安全的网络服务。

　　一要加强市场环境管理，促进互联网产业规范、和谐发展。首先是维护公平竞争，保障网间互联互通。有效的互联互通是产业发展的基本保证。在市场经济环境下，互联网已日趋商业化，但在市场化还没有充分形成的现阶段，政府应该努力探索和建立科学的互联网网间管理模式，加强互联互通监管，促使小网与大网之间保持畅通。其次是制定科学、合理的网间资费结算规则。以科学的理论为支撑，结合互联网商业模式，兼顾互联双方利益与需求，进一步完善互联网网间结算体系，以此推动建立合理有效的合作竞争模式，促进整个行业的繁荣和整体实力的增强。第三是进一步完善市场准入机制。根据不同的业务特性和区域特点，设置合理的准入条件，让更多有实力的企业参与经营，促使互联网产业不断发展壮大。

　　二要加强网络资源管理，促进互联网产业持续、协调发展。网络资源是互联网产业持续、协调发展的基础，而网络资源管理则是互联网管理的重要内容。互联网域名和IP地址都是互联网的基本要素和重要资源。过去，由于缺乏对互联网资源的有效管理，未能掌握互联网最基本的要素信息，使国家对互联网的发展和网络信息安全管理等方面的工作处于被动状态。2004年以来，信息产业部进一步制定了相关管理规章，采取了必要的技术管理手段，加强了对互联网基本要素的技术管理措施，初步建立了全国域名信息数据库、IP地址使用信息数据库和ICP信息数据库。我们应该充分利用这些成果，进一步健全和优化互联网资源申请和分配机制，有效地提高互联网资源的利用率。同时，也应充分发挥这些技术手段优势，进一步提高网络信息安全管理工作的效率。

　　三要加强网络信息管理，促进互联网产业文明、健康发展。加强网络信息管理的目的是要、保障互联网不受威胁、不出事故，确保信息服务和应用合法、安全。为此，电信监管部门应当根据互联网的技术特性，针对入网产品的安全标准、网络运行的安全规范和信息传输的安全管理规则，建立有效的管理制度。在网络管理方面，要积极规划并监督协调网络运营单位合理布局，优化和完善网络结构，加大网络安全建设投入，保障网络安全可靠地运行。在信息安全管理方面，要加强与其他有关部门配合协作，形成有效的应急反应工作机制和完善的安全保障体系，充分发挥基础性作用，并通过资源配置、许可规定、备案年审等多种手段加大管理力度，切实提高互联网企业经营者的安全意识，认真做好网上信息安全防范。

　　多方努力营造和谐健康发展环境

　　加强互联网管理、保障网络信息安全是一项涉及面很广的系统工程，需要各方面的共同努力。我们必须从维护改革发展、稳定大局的政治高度，认真树立和落实社会主义荣辱观，坚持站高一步、多方合作、齐抓共管、分工负责的原则，充分发挥各方面的优势，形成工作合力。通过经济、法律、技术、行政等多种手段，进一步健全管理体制，努力营造一个和谐健康的网络发展环境。

　　一是行业主管部门要切实履行职责，全面提高监管能力。要站在全社会的角度，进一步解放思想、转变观念，牢固树立“监管为民”的思想，坚持以社会利益最大化的原则处理各类矛盾和问题，找准职责定位，积极引导基础运营企业、信息服务和网络接入等增值服务企业全面落实网络信息安全管理责任。把握“三网”相互渗透、相互融合的趋势和特点，加强网络信息安全管理的战略性、前瞻性和跟踪式研究，不断提高驾驭新情况、解决新问题的能力，在促进互联网产业发展、净化网络信息环境中发挥更大的作用。

　　二是相关部门要充分发挥职能，密切合作。当前，有关管理部门的职责分工已基本明确，要达到有效监管的目的，就应根据各自职责分工，各司其职，各负其责，加大科学管理和技术创新力度，加强政府部门、运营企业、重要系统用户和应急组织之间的协作配合，逐步建立主动、开放、有效的网络信息安全保障机制。

　　三是互联网业务经营者要加强自律，文明办网。要强化社会责任意识，严格遵守有关法律法规和规章制度，依法经营，努力营造一个健康和谐、诚实守信、安全可靠、群众满意的网络环境，使其成为人们工作、生活、学习、娱乐的文明场所。

　　四是社会舆论要积极引导，加强监督。通过宣传教育，使广大网民知荣辱、明善恶，不断提高抵制各种不健康、不文明内容和行为的能力，形成遵纪守法、文明上网的良好风气。

国家信息安全工程技术研究中心主任文仲慧日前在接受记者采访时表示，云计算概念和实践的出现有着深刻的技术背景、现实的社会背景、浓厚的商业背景等因素推动，目前云计算的实际应用与推广面临种种挑战，其中安全问题被认为是最大的挑战之一，特别是因云计算自身特点引发的新的信息安全问题不容小觑。

　　文仲慧指出，在传统计算模式下，使用者对数据的存储和计算拥有完全的控制权；而在云计算模式下，使用者的数据与计算以及物理计算单元的管理完全依赖于服务提供商，使用者仅仅保留对虚拟机的控制。因此，从使用者的角度看，保证存储数据和计算结果的安全性、私密性显得尤为重要。

　　“传统的信息安全问题，在云计算中仍然存在，而云计算的特点又提出了新的信息安全问题。”文仲慧称，比如云上数据存储、隔离、冗余、销毁等特点提出了新的数据安全问题，云上分布计算特点提出了新的计算安全问题，云计算快速伸缩特点提出了新的综合安全问题，此外还有云计算安全信任体系(身份认证、访问控制、取证)问题、云计算监管监控(网络行为监管监控、内容监管监控)问题等。

　　文仲慧认为，云计算信息安全是一个新的研究和实践领域，目前至少应在四个方面进行深入研究，一是云计算的特点分析；二是云计算的信息安全风险分析；三是云计算的信息安全模型与框架；四是云计算的关键技术。

　　云计算是一种能便捷、按需、由网络接入到一个可定制的计算资源共享池的模式。它也被看作是继个人计算机变革、互联网变革之后全球IT产业革命中的第三次变革。信息技术咨询公司ID C预计，到2013年，云计算服务开支将占整个IT开支增长幅度的近1/3，云计算市场将在未来几年保持年27%的增长率。（高少华）

　⊙记者 温婷

　　国务院总理温家宝昨日主持召开国务院常务会议，研究部署推进信息化发展、保障信息安全工作。

　　会议讨论通过《关于大力推进信息化发展和切实保障信息安全的若干意见》。

　　确定多项重点工作

　　会议指出，今后一段时期，要以促进资源优化配置为着力点，构建现代信息技术产业体系，全面提高经济社会信息化发展水平；加强统筹协调和顶层设计，健全信息安全保障体系，切实增强信息安全保障能力，维护国家信息安全，促进经济平稳较快发展和社会和谐稳定。

　　会议确定了多项重点工作。这些工作包括实施“宽带中国”工程，加快信息网络宽带化升级，推进城镇光纤到户，实现行政村宽带普遍服务，加快部署下一代互联网，重点研发下一代互联网关键芯片、设备、软件和系统，推动产业化，推进电信网、广电网、互联网三网融合；推动信息化和工业化深度融合，推广节能减排信息技术，引导电子商务健康发展；加快社会领域信息化，继续深化电子政务应用，提高社会管理和城市运行信息化水平，加快推进教育、医疗、就业、社会保障和减灾救灾等民生领域信息化；推进农业农村信息化；健全安全防护和管理，强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任；加快安全能力建设。完善网络与信息安全基础设施，加强信息安全应急等基础性工作，提高风险隐患发现、监测预警和突发事件处置能力。加大信息安全技术研发力度，支持信息安全产业发展。

　　特别强调对信息安全的重视

　　在《意见》确立的重点工作中，包括健全安全防护和管理、以及加快安全能力建设。后者主要包括完善网络与信息安全基础设施，加强信息安全应急等基础性工作，提高风险隐患发现、监测预警和突发事件处置能力。加大信息安全技术研发力度，支持信息安全产业发展等。

　　卫士通总经理助理兼战略合作部总经理钟博在接受本报采访时指出，这意味着信息安全已经上升至国家安全的战略角度，对整个信息安全产业都是很大促进。

　　“一方面，新一代信息技术作为七大战略性新兴产业之一，整个信息化基础设施升级中面临着安全设备及网络设备的替换问题，国产设备及软件服务商面临巨大空间；另一方面，随着工业化与信息化的融合，信息安全漏洞引起的工业生产领域的危险或损失已经成为现实，这为信息安全企业提供了另一个施展的空间。”钟博称。

　　发改委日前启动“2012年下一代互联网信息安全专项”。据悉卫士通等企业已经完成了相关申报答辩。钟博指出，以IPv4向IPv6升级为契机，我国信息基础设施能够摆脱受制于人的被动局面，核心网络设备及安全设备和管理软件等都要求国内厂商能够替代，这是一个事关整个体系更换的巨大市场。

　　值得注意的是，信息安全的重要性已经引起了地方政府的关注。成都8日发布《成都信息安全产业“十二五”规划》，要逐步将成都建设成为“西部第一、国内一流”的信息安全产业发展高地。到2015年成都市信息安全产业规模比2011年增长2.2倍，产业规模突破260亿元，保持年均30%左右的增长速度，占全国信息安全产业规模的比重超过30%。

　　中信证券报告指出，未来三年政府在信息安全上的投入意愿将大幅加强，行业复合年均增长率有望达到35%-40%，并伴随进口替代过程。(上海证券报)

去年年初,一个单位打来电话了解目前市场防火墙产品,并希望能推荐一个可用的产
品。当问及具体安全需求和安全目标时,他们仅仅解释说希望挡住外面的”黑客”。进一步
了解,发现该单位的应用环境既包括对外的Web站点,也包括内部使用的开发网络。更令人
不安的是在其Web服务器上同时存放着一些内部数据。这个单位的问题绝不是一个防火墙
所能解决得了的,而首先需要解决的恐怕是尽快制订并落实安全管理的政策。
今年年初,另一个单位找上门来,希望帮助为其信息系统设计相应的安全防护措施。
当我们问及该客户的信息资产和为每个信息资产制订的安全政策时,发现这些需要保护的
对象从未被系统地分析过。当进一步了解该系统的拓扑结构和应用开发时,情况更令人担
忧——随意对外的拓扑连接未设丝毫防范,未经过任何质量保证措施的关键应用开发也存
有难以预测的风险。所有这些问题都不是简单地设计出防护措施就能使安全问题得到根
本解决的。
安全问题的性质
系统安全包括广义安全概念和狭义安全概念。狭义的安全概念仅仅是对外部威胁的
防范,而广义的安全概念是系统如何保证其资产不受破坏并在给定的时间和资源范围内提
供保证质量的并且确定的服务。在信息系统成为一个组织业务目标实现的核心部分时,狭
义的安全概念虽重要,但需更多地考虑广义的安全概念。在广义的安全概念下,安全问题
涉及到更多的方面,安全问题的性质更为复杂,其主要方面分析如下:
1. 安全不是单一点的问题
在绝大多数信息系统以及信息系统环境中,风险点或威胁点不是单一的,而会存在多
个。这些风险点包括物理安全、逻辑安全和安全管理等三个方面。物理方面的安全性涉
及到关键设施设备的安全和资产存放地点的安全等内容。逻辑安全方面涉及到访问控制
和数据完整性等方面。安全管理包括人员安全管理政策、组织安全管理政策等方面。上
述任何一个方面出问题,都可能引起安全事故。
2. 安全问题是动态的
由于信息技术在不断地变化,信息技术安全问题具有动态性。今天的安全问题到明天
也许不再成为安全问题,而今天无关紧要的问题,明天可能成为严重的安全威胁。例如,线
路劫持和窃听的可能性会随着加密层协议的广泛使用而大大下降,而客户机端由于 BO这
样的程序出现,同样存在安全问题。安全问题的动态性导致不可能存在一劳永逸的解决方
案。
3. 安全不是仅仅由安全产品来解决的问题
安全的多面性使仅仅采用安全产品来防范难以奏效,例如不可能用一个防火墙将所有
的安全问题挡在门外。在现实中,有黑客利用防火墙的隔离性质,持续几个月在防火墙外
试探系统漏洞而未被察觉,并最终攻入系统。在实际的安全策略中,更有效的方法是制定
并严格实施企业的安全政策,采用安全产品只不过是安全政策的一个方面。
4. 安全产品的安全悖论
在采用安全产品时,一个自然的问题会被提出:安全产品本身的安全性是如何保证的
?这个问题可以递归地问下去,这便是安全产品的悖论。安全产品放置点往往是系统结构
的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次
地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的
安全保证。
5. 没有100%的安全性
这是一个残酷但不得不接受的现实。首先由于安全的多面性和动态性,难以找到一个
方法对安全问题实现百分之百的覆盖。其次即使找到这样的方法,一般从资源和成本考虑
也不易接受。业界普遍遵循的概念是所谓的”适度安全准则”,即根据具体情况提出适度的
安全目标并加以实现。
考虑到上述特性,安全问题必须采用系统化的方法来解决。下面具体分析安全问题的
解决空间,为系统安全工程提供一个着眼点。
安全问题解决途径
根据上面的分析,信息技术安全问题需要系统的方法来解决。在构造一个信息系统时
,应采用可靠的系统工程方法,首先对安全需求进行分析并对安全目标加以确定,然后设计
并实现满足安全目标的具体方案。在方案中需要的安全产品(包括应用系统),应当有一定
的措施保证其可信度。产品信任度是在开发过程中确定并通过第三方的认证来证实的。
可靠的工程过程和可信的产品是解决安全问题的必要条件,但不是充分条件。任何系统都
是需要在实际中使用的,使用过程中的有效安全管理才能充分保证安全体系的正常运行。
上述信息技术安全问题的三个方面构成了安全问题的解空间,其示意图如下:
在解空间中,每一个点代表一个解决方案所依据的系统工程能力级别、采用产品的安
全级别和安全管理的力度。一般而言,高级别的工程能力要求、产品要求和严格的安全管
理要求可以保证系统的高安全性,但是高的要求同样需要高的投入,其中包括财力、物力
和人力的投入。因此,安全目标、风险环境和预算是解空间的约束条件。换言之,对于低
风险环境和安全目标无须追求高安全性的保证,以避免无谓的投入。
@@1628200.JPG;图1@@
解空间的三个维在理论上是独立的,可独立地加以考虑,但在实际上往往是相关的。
靠近原点的解适合较低安全要求的环境,反之则适合较高安全要求的环境。以下分别进一
步解释每一维上支持的模型和方法。
工程过程
安全工程过程应是一个包括工程和组织两方面的系统工程过程,不同的组织在实施安
全工程时会反映出不同的工程能力。这个能力本质上是一种总体的过程能力,这些能力反
映在项目规划、工程方法定义等方面。此外,安全工程有自己的侧重面,例如安全需求分
析、安全风险分析、安全确认与验证等。为了将安全工程变为一种有效的工程规范,美国
信息技术安全业界人员提出了基于能力成熟模型的系统安全工程体系(SSE-CMM)。该体系
将系统安全工程能力分为了6个级别(0～5级),并确定了11个安全方面的关键过程域。SS
E-CMM模型是由基于能力成熟模型的系统工程体系(SE-CMM)直接发展而来的,因此继承了
系统安全工程公共的关键过程域。有关SSE-CMM的情况,请参阅本期专题”系统安全工程能
力成熟模型”一文。
产品过程
安全产品/系统的开发本质上也属于系统安全工程范畴,但由于产品或系统侧重于独
立的功能并分别由不同的厂商开发,因此需要独立地加以考虑。安全产品或系统包括三个
方面,第一个方面是产品支持的安全目标,第二个方面是安全产品的功能,第三个方面是安
全产品的信任度(即对安全目标支持和安全产品功能可靠的信任程度)。安全目标的信任
度涉及的是应用问题,安全功能信任度涉及的是安全产品开发生存期管理和质量保证的问
题。为了有效地以工业化方法构造可信的安全产品,国际标准化组织采纳了”信息技术安
全评价公共准则(CC)”作为国际标准(标准编号为ISO/IEC 15408)。该标准包括了安全功
能需求定义、安全保证需求定义、安全目标评测定义和安全产品的7个安全级别标准。有
关CC的详细介绍请参阅本期专题”信息技术安全评价公共准则”一文。
安全管理过程
安全管理是一个仍在继续发展的领域,SSE-CMM中涉及到部分的系统运行安全管理,如
“系统安全态势检测”,但安全管理还应包括更广泛的非工程方面的内容,如风险管理和涉
及安全方面的人员管理等。安全管理的依据是安全政策,因此有效进行安全管理的前提是
制订保证安全目标的政策。安全政策包括物理方面的政策(如关键计算设备的安全政策)
、逻辑方面的政策(如数据访问安全政策)和行政制约方面的安全政策(如人员安全管理政
策)。安全管理的一个重要组成部分是对安全政策实施过程与结果的审计,并根据审计结
论采取必要的行动。目前尚无对安全管理力度的级别定义,但在高密级要求环境下,应采
取比低密级更强的安全管理。
结语
信息技术安全是一个复杂且至关重要的问题,在充分认识到这一点的同时还需认识到
解决这个需要采取科学的、脚踏实地的系统化方法。值得庆幸的是,国家有关部门(如中
国国家信息安全评测认证中心)已着手制订安全工程过程能力和安全产品方面的认证标准
,这些标准既符合国际规范又结合了中国实际,无疑将对规范信息安全领域的活动起到基
础性作用,并将极大地促进中国信息技术安全领域的发展。

网络的飞速发展推动社会的发展，大批用户借助网络极大地提高了工作效率，创造了一些全新的工作方式，尤其是因特网的出现更给用户带来了巨大的方便。但与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示，2005年5月至2006年5月间，有54%的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和钓鱼木马程序的安全事件为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。

目前政府部门、金融部门、企事业单位的业务依赖于信息系统安全运行，信息安全重要性日益凸显。许多企事业单位信息已经成为各企事业单位中的重要资源，也是一种重要的”无形财富”，大、中型企业如何保护信息安全和网络安全，最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响，是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。目前有十五个典型的信息安全问题急需解决。

1 网络共享与恶意代码防控

网络共享方便了不同用户、不同部门、不同单位等之间的信息交换，但是，恶意代码利用信息共享、网络环境扩散等漏洞，影响越来越大。如果对恶意信息交换不加限制，将导致网络的QoS下降，甚至系统瘫痪不可用。

2 信息化建设超速与安全规范不协调

网络安全建设缺乏规范操作，常常采取”亡羊补牢”之策，导致信息安全共享难度递增，也留下安全隐患。

3 信息产品国外引进与安全自主控制

国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。目前, 国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中,但是这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。目前，我们国家的大型网络信息系统许多关键信息产品长期依赖于国外，一旦出现特殊情况，后果就不堪设想。

4 IT产品单一性和大规模攻击问题

信息系统中软硬件产品单一性，如同一版本的操作系统、同一版本的数据库软件等，这样一来攻击者可以通过软件编程，实现攻击过程的自动化，从而常导致大规模网络安全事件的发生，例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。

5 IT产品类型繁多和安全管理滞后矛盾

目前，信息系统部署了众多的IT产品，包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。

6 IT系统复杂性和漏洞管理

多协议、多系统、多应用、多用户组成的网络环境，复杂性高，存在难以避免的安全漏洞。据SecurityFocus公司的漏洞统计数据表明，绝大部分操作系统存在安全漏洞。由于管理、软件工程难度等问题，新的漏洞不断地引入到网络环境中，所有这些漏洞都将可能成为攻击切入点，攻击者可以利用这些漏洞入侵系统，窃取信息。 1998年2月份，黑客利用Solar Sunrise漏洞入侵美国国防部网络，受害的计算机数超过500台，而攻击者只是采用了中等复杂工具。当前安全漏洞时刻威胁着网络信息系统的安全。

为了解决来自漏洞的攻击，一般通过打补丁的方式来增强系统安全。但是，由于系统运行不可间断性及漏洞修补风险不可确定性，即使发现网络系统存在安全漏洞，系统管理员也不敢轻易地安装补丁。特别是，大型的信息系统，漏洞修补是一件极为困难的事。因为漏洞既要做到修补，又要能够保证在线系统正常运行。

7 网络攻击突发性和防范响应滞后

网络攻击者常常掌握主动权，而防守者被动应付。攻击者处于暗处，而攻击目标则处于明处。以漏洞的传播及利用为例，攻击者往往先发现系统中存在的漏洞，然后开发出漏洞攻击工具，最后才是防守者提出漏洞安全对策。

8 口令安全设置和口令易记性难题

在一个网络系统中,每个网络服务或系统都要求不同的认证方式，用户需要记忆多个口令，据估算，用户平均至少需要四个口令，特别是系统管理员，需要记住的口令就更多，例如开机口令、系统进入口令、数据库口令、邮件口令、Telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则，口令设置既要求复杂，而且口令长度要足够长，但是口令复杂则记不住，因此，用户选择口令只好用简单的、重复使用的口令，以便于保管，这样一来攻击者只要猜测到某个用户的口令，就极有可能引发系列口令泄露事件。

9 远程移动办公和内网安全

随着网络普及，移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络，安全程度难以得到保证，如果内部网络直接允许远程访问，则必然带来许多安全问题，而且移动办公人员计算机又存在失窃或被非法使用的可能性。”既要使工作人员能方便地远程访问内部网，又要保证内部网络的安全。”就成了一个许多单位都面临的问题。

10 内外网络隔离安全和数据交换方便性

由于网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统，窃取数据或恶意破坏数据。同时，内部网的用户因为安全意识薄弱，可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全，有的安全专家建议，”内外网及上网计算机实现物理隔离，以求减少来自外网的威胁。”但是，从目前网络应用来说，许多企业或机构都需要从外网采集数据，同时内网的数据也需要发布到外网上。因此，要想完全隔离开内外网并不太现实，网络安全必须既要解决内外网数据交换需求，又要能防止安全事件出现。

11 业务快速发展与安全建设滞后

在信息化建设过程中，由于业务急需要开通，做法常常是”业务优先，安全靠边”，使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是”亡羊补牢”,出了安全事件后才去做。这种情况，在企业中表现得更为突出，市场环境的动态变化，使得业务需要不断地更新，业务变化超过了现有安全保障能力。

12 网络资源健康应用与管理手段提升

复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在一些企业单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、色情网站，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。但是，传统管理手段难以适应虚拟世界，网络资源管理手段必须改进，要求能做到 “可信、可靠、可视、可控”。

13 信息系统用户安全意识差和安全整体提高困难

目前，普遍存在”重产品、轻服务，重技术、轻管理，重业务、轻安全”的思想，”安全就是安装防火墙，安全就是安装杀毒软件”，人员整体信息安全意识不平衡，导致一些安全制度或安全流程流于形式。典型的事例如下:

用户选取弱口令，使得攻击者可以从远程直接控制主机;

用户开放过多网络服务，例如,网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接”ping”内部网主机，允许建立空连接;

用户随意安装有漏洞的软件包；

用户直接利用厂家缺省配置；

用户泄漏网络安全敏感信息，如DNS服务配置信息。

14 安全岗位设置和安全管理策略实施难题

根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是”一肩挑”。这种情况使得安全权限过于集中，一旦管理员的权限被人控制，极易导致安全失控。

　
15 信息安全成本投入和经济效益回报可见性

由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行信息安全建设资金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，不容易让人清楚明白，从而造成企业领导人的误判，进而造成信息安全建设资金投入困难。这样一来，信息安全建设投入往往是”事后”进行，即当安全事件产生影响后，企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划，基本上是 “头痛医头，脚痛医脚”，信息网络工作人员整天疲于奔命工作，成了”救火队员”。

　围绕网络信息系统的控制与反控制、窃密与反窃密、渗透与反渗透，是一场没有硝烟、无时无处不在的战争，事关我国政治安全、经济安全和社会稳定，必须紧跟信息技术发展和形势变化，采取有力措施，维护国家信息安全仍任重道远

　　保密法是保护国家秘密的基本法律，是做好保密工作的基本遵循。2010年4月29日，国家主席胡锦涛签发第28号中华人民共和国主席令，公布了第十一届全国人大常委会第十四次会议修订通过的《中华人民共和国保守国家秘密法》。这是党和国家保密事业发展中的一件大事，是中国特色社会主义法制建设中的一件大事。

　　新保密法的公布和实施，对我国依法“管”密、依法“治”密产生了深远而重大的影响，特别是关于计算机信息系统保密管理的规定，进一步显现了以高科技武装保密工作的迫切要求。

　　在新保密法公布两周年之际，回顾信息安全保密发展进程，一方面可以看到新时期保密工作的进步，切实体会到保密为国家信息安全保驾护航所发挥的重要作用；另一方面，更感形势逼人，任重而道远。

　　信息安全保密形势依然严峻

　　近年来，在党中央、国务院的高度重视和坚强领导下，保密事业发展取得显著成绩，为维护国家安全和利益、保障改革开放和社会主义现代化建设事业顺利进行作出了重要贡献。但也要清醒看到，当前，国际国内形势正在发生新的深刻复杂变化，保密工作形势依然十分严峻，国家秘密安全面临新的挑战。

　　一方面，情报窃密活动呈现出一些新的态势和特点。针对我党政机关和涉密单位的攻击窃密活动明显增多，窃密泄密案件特别是重大窃密泄密案件屡屡发生，窃密与反窃密斗争更加尖锐复杂。

　　另一方面，国家秘密存载和运行方式发生深刻变化，泄密风险隐患不断加大。随着现代网络信息技术的迅猛发展和普遍运用，国家秘密除以声、光、电、磁等已经广泛应用的形式存载外，数字化、网络化存储已成为主要存载形式；国家秘密处理方式由人工为主向以计算机信息系统数据处理转化，传输方式由人工传递为主向通信网络、计算机信息系统等传输方式转化。我们越来越深刻地体会到，国家秘密存储和运行对网络和信息系统的依赖性愈加增强，网络和信息系统已经成为国家秘密存储和运行的主要渠道和基础设施。

　　这些变化，对信息化条件下的保密工作带来前所未有的影响。一是国家秘密管控难度日益增加。管控对象从单一的信息内容扩展到多样化信息存载形式和基础设施；管控范围从保护单元信息安全，扩展到保护系统信息安全。

　　二是泄密渠道不断增多。大量国家秘密可以通过海量存储介质存储、携带、交换，通过网络数据处理、传输、应用，泄密隐患和漏洞可能无处不在。

　　三是系统性风险加大。由于国家秘密对网络和信息系统高度依赖，而网络和信息系统的潜在脆弱性和安全风险始终存在，一旦受到入侵、攻击，将直接破坏整个网络和信息系统，导致国家秘密安全受到严重损害。

　　积极应对信息安全挑战

　　针对近年来信息化发展现状和网络泄密高发态势，2010年4月修订公布的保密法，从法律层面及时作出应对。

　　进一步强化对计算机信息系统的保密管理。规定计算机信息系统按照涉密程度不同，采取不同强度的管理措施；保密技术设施、设备要按国家标准配备，并与涉密信息系统同步规划、建设、运行。

　　对一些多发、易发的行为作出禁止性规定。规定不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络等；网络运营商、服务商有责任配合调查泄密案件，发现泄密案件要及时报告，等等。针对涉密案件查处难的问题，新保密法还改“结果论”为“行为论”，规定不论是否产生泄密实际危害后果，只要发生列举的12种严重违规行为之一，都将依法追究责任。

　　加大了处分监督力度。对不依法给予处分的，赋予保密行政管理部门依法提出纠正建议的职权。这些规定的补充完善，为做好计算机信息系统保密工作，确保信息化条件下国家秘密安全提供了有力的法律保障。

　　两年来，国家保密行政管理部门以贯彻实施新修订的保密法为契机，紧紧围绕涉密信息系统分级保护、非涉密信息系统保密管理、涉密信息系统与非涉密信息系统信息交换技术管控等重点难点问题，严格规范使用行为，着力维护信息化条件下国家秘密安全。

　　一是迅速制定出台一批配套科技法规和技术标准，先后出台了有关信息系统和信息设备的保密管理规定，细化了对党政机关和涉密单位网络建设、使用的保密管理要求；同时，高度重视国家保密标准制定修订工作，出台了一系列国家保密标准，内容涵盖网络系统安全保密、安全保密产品、电磁泄漏发射等，为依法保护国家秘密提供了科学规范和方法。

　　二是进一步强化涉密计算机信息系统管理。按照涉密计算机分级保护要求，在中央和国家机关广泛开展涉密网络测评审批工作，同时大力加强保密技术防护，推动中央和国家机关保密技术防护专用系统配备工作，有效防护计算机存储介质交叉使用。

　　三是有力推进保密技术监管。在国家有关部门大力支持下，全国涉密计算机技术监管水平大幅提高，及时发现并处置涉密计算机违规外联事件。通过这些措施，有效遏制了近年来计算机信息系统泄密高发态势。

　　维护国家信息安全任重道远

　　以新保密法实施为契机，我国在维护国家信息安全方面有了明显进展。但与西方发达国家相比，还存在不小差距。

　　仅以美国为例，近年来美国在维护国家信息安全方面做了大量工作：2003年出台《网络空间安全国家战略》；2008年制定《国家网络安全综合计划》；2010年5月成立国家网络空间办公室，办公室主任由总统任命，直接向总统汇报工作，全权负责国家网络安全事务；2011年5月、7月又连续公布《网络空间国际战略》和《网络空间行动战略》，明确提出加强网络防护、实施军事合作、共建基础设施等7项重大举措，意图为国际网络空间建章立制，强化对国际网络空间的战略管控；2011年10月奥巴马总统签署13587号总统令，对涉密网络和涉密信息管理体制进行改革，成立信息共享与保护指导高级委员会及其办公室，加强部际合作总体协调。此外，2006年、2008年、2010年，美国还组织了3次“网络风暴”演习，演习由其国内有关部门参加向盟国参加拓展，规模不断扩大，以检验美联邦政府及其盟国应对网络事件的准备、响应、协调和恢复机制。

　　不难看出，围绕网络信息系统的控制与反控制、窃密与反窃密、渗透与反渗透，是一场没有硝烟、无时无处不在的战争，加强保密管理，维护信息安全的确是事关我国政治安全、经济安全和社会稳定的一件大事。美国等国家在维护自身信息安全方面所采取的措施，对我国具有借鉴意义，我国必须紧跟信息技术发展和形势变化，采取有力措施，坚决防止重大网络信息安全和失泄密事件的发生，确保国家基础信息网络和重要信息系统安全。

　　今后一个时期，维护国家信息安全工作任重而道远，需要各有关部门和全社会的共同努力。

　　要加强宣传教育。对网络信息安全与保密重要性认识不足，缺乏防范意识和基本技能，是当前导致网络信息安全事件频发的重要原因。要以党政军领导干部、涉密人员和网络管理人员为重点，大力加强保密宣传教育，特别是加强网络安全保密知识培训，不断提高其风险意识、责任意识和保密防范技能。同时，积极推动保密教育进机关、进社区、进企业、进农村、进课堂、进家庭，提高全社会的网络信息安全意识，在全社会牢固树立保守国家秘密人人有责的意识和国家安全观念。

　　要加强法制建设。虽然保密法已修订公布两年多，但配套法律法规仍需进一步健全完善，以切实发挥维护国家信息安全的法律保障作用。要适应信息技术发展趋势，针对新情况新问题，对涉密载体、涉密信息系统、安全保密产品等的保密管理作出具体规定，提高信息安全保密法律法规制度的完整性、系统性和可操作性。同时，抓紧制定修订信息安全条例等相关法规，进一步明确政府部门、企业事业单位和公民个人维护网络信息安全的权利、义务和责任。

　　要加强技术防范。在信息化条件下维护网络信息安全，必须加强科技创新，筑牢物防、技防的高科技屏障。针对我国核心技术及产品受制于人的突出问题，要进一步加大科研投入，提高信息技术自主创新能力，采取有效措施大力扶持和培育民族产业，加快自主可控产品的推广应用。针对我国网络安全保密技术防护薄弱的问题，切实推进涉密信息系统测评审批工作，落实分级保护制度，同时，加大网络安全保密监控设施建设力度，提高对泄密事件的态势感知和监测预警能力。

　　要加强检查查处。各种政策法规和技术防范措施，都必须通过督促检查，确保落实到位。要加大对涉密信息系统、互联网信息涉密情况等的检查力度，强化技术检查手段，认真查找隐患，及时堵塞漏洞，把泄密风险消灭于萌芽之际、化解于无形之中。要严格按照保密法规制度，严肃查处泄密问题，特别是对保密法规定的12种严重违规行为，依法依纪严肃处理，以切实起到重典治乱、以儆效尤的作用。□文/郭政言

picture 上传

Just before processing loop…
Type=60,Port=b2,BiosAddr=7feee122
Current=0.000000,Total=0.000000,MaxVid=1.287500,Rev=0×20
MapAddr=0x0110E122

Into service control…
Stopping…
Exit main while loop!!
Bye Bye!!
C:/service.txt

以前有跟你说过；
在列表显示时，如果副栏目有选择的文章，也显示出来。
就是说，如果一篇文章在主栏目选择（校园新闻），副栏目选择（德育栏目）
我点德育栏目的时候，这篇文章也要显示。
我们需要这样的功能，
请帮我们解决
网上说可以这样做。