一、概述
网络空间测绘的概念由白帽汇率先提出。在很长一段时间内,国内对于这个行业都不太关注。最近2年,尤其是去年,该行业得到了快速发展,各大网络安全公司都开始布局。
虽然行业已经发展了几年,但在行业标准、资质品类等方面,一直处于不成熟的阶段。例如: 至今厂商的相关产品在申请销售许可证时都是向漏洞扫描器去挂靠的;由于是新兴行业,一些非常基础的概念大家仍未能达成共识,在理解上产生了一些非常明显的“偏差”。 所以如果能得到更多关注,行业也一定能得到更加规范的发展。当然,我们也一直希望能为行业进步,贡献一份绵薄之力。
近期,中国网络安全年会中发布了一份关于“网络空间搜索引擎技术调研”()的报告。报告中对比、分析了几个知名的网络空间测绘平台,可见网络空间测绘这个网络安全细分领域的技术,已经赢得了来自有关权威部门的关注和认可,这对我们这些一直坚持在技术一线的团队和公司来说,绝对是一件非常值得开心的事情。对于其中的一些说法和数据,我们认为存在一些问题,也有一些小小的建议和想法。在此,我们就“抛砖引玉”,和大家一起探讨一下。
图1
上图中,根据文章链接内容3(),作者尝试说明ZoomEye的用户手册中提到了协议来源于NMAP-Services的描述。点进页面后却发现并没有任何内容提到这一点,且连Nmap字样都看不到。我们姑且认为是网站进行了改版,无法看到之前的信息,那么我们思考一个问题,我们可以宣称参考了某个规范,它可以解读为:a)我们实现了里面的部分协议;b)我们实现了里面的所有协议;官方未必有这个意思,而文章中显然采信了第二种假设。于是我们做了一个很小的随机抽样测试,随机选择了NMAP-Services中的50个协议进行确认,ZoomEye只实现了其中的11种,这个证伪的过程是比较简单的(具体测试方法,如果相关单位有兴趣,可以联系我们)。从另一个角度,如果以后各网络空间测绘引擎在各自官网都写上:我们的“协议参考了Nmap以及Wireshark”,这个领域对比是不是就简单了?
文章参考链接的4(),是名称为《2018年工业控制网络安全态势白皮书》的文章。调研报告中说Fofa的协议列表来源于此,但事实上引用的来源文章里面非但没有提及Fofa。而且来源明确说了信息是“东北大学谛听网络安全团队根据‘谛听’网络空间工控设备搜索引擎收集的各类安全数据”。此类情况出现在一篇严谨的学术论文里面,可能不太合适。退一万步说,2018年的分析肯定不能与现在的另外几家去比较。很简单的逻辑:仅工业控制协议,Fofa从2018年起都增加了十个以上。
基于上述分析,我们认为数据的参考是不可取的。如果由各平台自行报送,并由权威部门进行汇总整理,以及做验证确认,数据价值才会更高,并且不会有失偏颇和公平。因为参考了不一定实现了,实现了不一定准确了,准确了不一定全网数据采集全面了。对比就是为了区分不同平台的优劣势,大家选择发力方向不同,结果自然不同。
2、对比的核心维度概念模糊,存在不一致性
图2
其中这一张图比较有代表性。首先介绍一下在网络空间测绘领域比较重要的几个基本数据的统计维度:
1)网络资产数:
通俗一点就是数据记录条数,技术上说就是用什么作为存储的key值。不同的平台实现的机制并不一致,例如:Shodan是按照ip:port存储,Fofa和ZoomEye是按照host:port存储,360的Quake平台是根据ip:port:date存储。因为Shodan选择的是只针对IP层面进行分析,所以他们直接放弃了主机域名的分析。一个IP可以对应任意多个域名,所以说Shodan做针对某个企业的互联网暴露面梳理效果比较差。其他平台都采用了网站域名的方式,数据量差别比较大,目前Fofa的主机域名数暂时来说还是有一些优势的。基于host:port的方式会存储两个数据存储:一个叫热数据,比如昨天发现了1.1.1.1:80,今天又发现了,在你热数据中会发生覆盖,只会有一条最新的;另一个叫冷数据或者叫历史数据,大家按名字理解就好。Quake平台稍微特殊,由于加入了date作为key,会导致一个IP的同一个端口,可以查询出来多条数据。
2)独立IP数:
基于上面的说法,大家就知道,记录数不代表IP数,一个IP开了多个端口,就对应多条记录。大家通常对IP比较容易理解,所以Fofa在搜索的时候会明确告知聚合后的IP总数有多少。在Shodan直接查询一个端口,例如:port:80,以此搜索出来的统计数据就是准确的IP个数,其他平台大家可以自行分析方法。在硬件(物联网或者 服务器 )领域,IP和硬件是一一对应的,但在软件应用领域,一个IP可以承载任意多个应用,这也就是我们俗称的攻击点。
3)指纹规则数:
一条指纹规则简单来说就是能够用于识别某一类设备或者软件的查询语句。这是Fofa最先提出的,早期各平台都内嵌了一些简单的设备识别库,并未提供html等大文本的关键字检索,所以用户无法自定义规则和保存。Fofa一开始的设计理念就是用户更懂场景,所以放开了这种方法,让用户来自定义识别的语法,然后可以保存下来方便后续使用。最初我们叫应用规则库,后来慢慢叫法各异,有叫指纹库的、有叫规则集的,还有叫软硬件识别库的。一条指纹可以对应任意多条设备。目前论指纹规则库,Fofa在数量上还是有一点点优势的。
4)特定规则集匹配的网络资产数:
如上所述,一个规则查询的结果其实就是匹配的网络资产数,所有指纹规则库匹配的网络资产数基本就是全库了。
图3
如果上面说的还是难以理解,现在通过上图这个简单的示例来说明:我们尝试搜索互联网中开放的Apache网站服务器数量,我们可以在Fofa中检索app=”APACHE-Web-Server”,这时返回的11682万代表了互联网中存在的所有使用了这个服务器的资产数,其中网站和协议是可以有重合的,分别对应7446万和4235万,因为一个80端口在协议中是存在的,但是它可能会绑定多个域名。独立IP只有2918万,是因为一个IP的apache服务器可以绑定到多个端口。
回到图2来看,就是一个非常有意思的结果了:Shodan对应4亿,ZoomEye对应11亿,Fofa对应27万。我们相信每一条数据作者都是经过思考和挑选的,只是没能梳理清楚,到底是全网的网络资产数、独立IP数、指纹规则库的数量、抑或特定规则集匹配的网络资产数,甚至是可能没有分清是热数据还是包含了历史数据?如果不在一个维度来对比,也就没有太大的参考价值了。
另外,值得强调的是,哪怕是在一个维度进行对比,单纯的对比数据也存在很大的误导性,比如Shodan只拿出一个月的数据作为热数据,老的数据并未展示(没覆盖的也不显示),而ZoomEye则是把历史数据都展示出来,所以实际上很难统计出一个公允的结果。在对比时,我们要考虑一定时间内数据的获取能力(注意必须要考虑一定时间内),要考虑数据的深入性和准确性(比如协议或者规则)。如果没有这些,就必然出现各大平台玩起了刷数据的游戏,乐此不疲。如果Shodan隐藏实力,我们向它学习还是有意义的。
3、数据抽样测试参考标准存在差异,直接影响了结果
这里必须帮ZoomEye说一句话:如果作为互联网使用量最大的HTTP协议一轮扫描需要超过一年时间,基本上这个平台就废了,ZoomEye不至于这么不济。Shodan的周期稍微有些偏差,ZoomEye和Fofa的时间则是存在很大的问题。这几个协议是互联网使用最多的,数量大变化快,能够很好的用于实战体系中,所以各家都比较重视,不会存在不抓取的情况。
在图中出现了“-”说明没有扫描数据,而Shodan和Censys有,我们大胆地推测拿出来的对比测试的IP是以Shodan或者Censys为主的(这⼀点只是推测)。由于网络变化太快,一个IP端口上线后快速下线,所以哪怕在一天一次这种极速轮询过程中,一定会出现一些IP刚好只被一个平台抓到,在其他平台都没有抓取到。举个反例,比如24.232.7.242这个IP,大家到各平台搜索一下,你会发现这个IP对应的23端口只存在于Fofa平台,这仅仅能证明那一天刚好被Fofa抓到了,其他平台到它那去的时候23端口已经关闭,但由此一定证明不了Shodan或者Censys的扫描频率是“-”。
实际运营过程中,大家会把不同的端口进行分组,一个端口可以存在不同的扫描集群中,比如一个大端口(覆盖大量IP的端口)可能同时并行的存在不同的端口组策略中,并行地进行扫描。又由于大网的端口扫描一定是随机IP的,也一定存在网络抖动的,所以依靠一次完成95%的数据相似度根本就不可能。大家会进行不断的轮询扫描,尽可能覆盖最新上线的资产。那种尝试用Nmap实现端口扫描和协议识别的网络空间测绘技术, 暂时打一个问号,宣称即快又全又准的,内网可以,全网扫描很难。
1)协议分类和设备分类是否为同一个概念?
2)Domain>
Shodan是第一个开拓者,大家或多或少会受其影响,站在老师傅的肩膀上前行。今天老师傅还是老师傅,无论是从基础的投入、数据的严谨性,还是历史存量数据的积累和功能的丰富程度等等,国内的平台暂时都还难以与其并行。不过,我们当然也存在弯道超车的可能,我们也看到了很多机会,只是在当下,任何一家公司单方面宣布是世界第一,还是欠妥。一个让我们值得深思的问题:论实战化的能力,如果真的需要对攻对防,我们这些储备真的够吗?
我们要关注各种数据的对比,根据我们这些年对网络空间测绘的理解,网络空间测绘的技术对比维度,应该聚焦于实战,应当包含如下一些点:
1. 资产总量(历史存续数据、域名数据等)
2. 支持的端口和协议
3. 搜索和展示字段数
4. 数据更新速度(每周、每月)
5. 数据准确度(协议、规则等)
6. 协议解析深入度
7. 产品规则数
8. 活跃用户规模
为了满足实战化,以及持续性的常态实战化。我们呼吁相关部门能够针对网络空间测绘这一个细分领域给予指导,出台相关的技术标准和规范。标准化一些概念和名称,规范化搜索关键字和语法,统一化数据的存储格式,归一化资产的分类和分层。进而制定出对应的技术评判标准,最终引导行业步入健康有序的发展,为国家创造更多更好的技术输出。
"福娃"的英语怎么说?
Friendlies Five Elements-gold, wood, water, fire, metal附文:兰大博士质疑“福娃”国际译名众所周知,北京2008年奥运会吉祥物是“福娃”,国际译名是“Friendlies”。 不知道谁发明了“Friendlies”这个《金山词霸》里没有的单词。 斗胆猜测其创作流程应该是:名词“Friend”(朋友)——形容词“Friendly”(友好的)——名词化——复数化——复数名词“Friendlies”(福娃)。 关键是“Friendlies”跟福娃极不谐音,倒是跟形容词“Friendless”(没有朋友的)发音相同,这样可能会误导刚学外语的小朋友们。 比如,找来几个5—10岁的小朋友来认这个单词,你猜他们会怎么认?他们会拆开来一个一个认:“Friendlies=Friend+Lies=朋友+撒谎”。 天啦!这岂不是让世界人民怀疑我们中国人外语水平有问题么?所谓“名不正,则言不顺;言不顺,则事不达”。 “福娃”这个汉语名字大家都非常喜欢,正好符合其吉祥物的身份。 但是“Friendlies”作为“福娃”的国际译法许多人不敢苟同,一方面在形式上,如果拆开必定会产生不良歧义;一方面在发音上,“Friendlies”真正在国际上交流时,由于与福娃并不谐音,倒是跟“Friendless”(没有朋友的)发音相同。 所以这样就给“福娃”带来不该有的负面阴影,为其走向世界并被全世界小朋友接纳造成阻碍。 福娃作为2008的吉祥物面向的是全世界,而且主要是全世界的少年儿童,所以应该尽可能消除人为过失造成的不良的国际影响。 为此,有人呼吁有关部门重新审视“Friendlies”是否适合作为“福娃”国际译名。 现介绍兰州大学一名博士研究生推荐的三个国际译法:
营改增后物业管理企业代收代缴水电费能开专用发票吗
近日,海口很多小区业主反映,之前他们到小区物业处缴纳水电费都是有发票的,5月1日营改增之后却总是拿不到发票,只能拿到收据,不知道咋回事?记者从海南省和海口市两级物业管理协会了解到,目前物业开不了发票是事实,因为之前是由地税部门免费给物业企业开具代收水电费发票,营改增之后,物业企业原本免税的代收水电费业务需要缴纳增值税,免费发票再也拿不到了。 现在,物业企业面临着这样一个两难选择:如果业主坚持向物业企业要发票,物业必须承担10%的增值税,但很多物业企业根本承担不起;如果不给业主发票,那么物业企业将涉嫌逃税漏税而面临税务部门的处罚。 >>>>营改增后小区业主拿不到水电费发票 22日,记者从省、海口市两级物业协会了解到,目前我省95%的小区都实行这样的水电供应体制:水电公司抄表到小区总表,小区物业到供水供电公司购买水电后,平价转销业主并代收水电费,最后代缴给供水供电公司。 然而,5月1日营改增后,“物业代收水电费”这一模式已然无法继续实行。 据省物业协会负责人介绍,之前地税部门免费为物业企业提供代收水电费发票,以解决现行体制发票缺陷。 但根据国税部门规定,“营改增”制度实施后,由于水电供应公司坚持不签订委托物业公司代收代缴水电费协议,供水供电企业开给物业企业发票,增值税费为3%,物业企业收取业主的水费电费开给业主的发票是以13%缴纳增值税,中间10%的税差将由物业公司承担。 该负责人表示,针对目前海南大多数的物业企业而言,代收水电费的收入几乎是物业服务收入的150%,如果将代收水电费的收入算入物业营业收入,造成物业企业营业年收入达到500万元以上,则营业收入增值税将由3%上升到6%。 “这种负担,物业企业根本无法承担,最终的结果就是物业企业亏损,撤出小区。 ”该负责人说,为了解决这一问题,省、市物业协会多方奔走,紧急向国税、水电主管部门呼吁协调解决。 然而,税务部门、协会和企业虽然召开了四次协调会,但至今没有结果。 >>>>水电部门:问题的症结在抄表到户 22日,海口威立雅水务有限公司张副总经理告诉记者,物业协会反映的问题,归根到底就是抄表到户的问题。 张副总说,目前海口仅有3万住户是抄表到户,其他大部分小区的业主都是抄表到物业。 物业在向小区业主收取水费时,是在水务公司水价的基础上加上小区的损耗;营改增之后,多出了10%的增值税差,物业企业无力承担,如果转移到小区业主的身上,业主肯定也不同意。 “如果实行抄表到户,这种问题肯定就不存在了。 ”张副总说,然而,海口目前大部分小区供水设备老化,加上没有水表出户,根本无法落实抄表到户。 如果全部抄表到户,需要一大笔费用,这个费用也是一家企业无法承担的。 “供水公司为何不与物业企业签订委托代收协议?”对于记者的提问,张副总称,供水公司是和物业公司签订的供水协议,合同的双方是供水公司和物业,按照合同法,供水公司只能将发票开给合同的另一方(即物业),而不是业主。 其次,供水公司无法按照物业收取小区业主的水费价格去开发票。 张副总表示,他们已给相关部门提出建议,在真正落实全部抄表到户之前,制定一个过渡的政策,不要让物业企业缴纳增值税,减轻物业企业负担。 海口市供电局相关负责人表示,供电部门和水务公司的情况差不多,想要解决当前物业企业面临的问题,就要落实全部抄表到户。 但是,因为产权、供电设备等问题,实现全部抄表到户还需要时间。 >>>>国税部门:暂不征收增值税需要满足四条件 据了解,针对物业协会反映的情况,省国税局近日作出书面答复称,根据《中华人民共和国增值税暂行条例》及其实施细则、《海南省国家税务局关于物业管理公司销售水、电增值税有关问题的公告》等有关规定,物业企业收取水电费的行为,可以有以下两种情况区分对待: 一是物业管理公司销售水、电行为。 供水、供电公司统一将水、电销售给物业管理公司,统一向物业管理公司结算收取水、电费,并向物业管理公司开具货物销售发票。 再由物业管理公司向小区住户销售水、电并收取价款的行为,属于物业管理公司销售水、电行为。 物业管理公司发生上述销售水、电行为的,应向当地主管国税机关领取货物销售发票开具给用户,并按销售货物计算缴纳增值税。 二是物业管理公司代收水、电行为。 物业管理公司受供水、供电公司委托代收水、电费,同时具备以下条件的,暂不征收增值税:持有相关代收协议;物业公司不垫付资金;代收水、电费时,供水、供电公司将开具给用户的货物销售发票转交给用户物业管理公司;按销货方实际收取的销售额和增值税额与客户结算货款,并另外收取手续费(手续费部分按照经纪代理服务计算缴纳增值税)。 昨日,记者到省国税部门核实,相关负责人表示,情况确如答复里所说,出现目前这种情况需要其他相关部门共同协商解决。
规模经济是怎样形成的?企业并不是越大越好的原因?
1995年,我国注册登记的企业集团达2万多家,在企业集团发展中,规模化已成为重要的发展趋势。 1991年,国务院曾批转了国家计委、国家体改委和国务院生产办公室《关于选择一批大型企业集团进行试点的请示》,确定了首批55家大型企业集团进行试点。 1997年,国务院又批转了国家计委、国家经贸委、国家体改委《关于深化大型企业集团试点工作意见的通知》,并对120家国家级企业集团进行了试点,发展大型企业集团的试点工作进入了新的发展阶段。 国家有关部门为进一步推动和规范规模化企业集团的发展,相继出台了一系列的配套政策,如对运作规范的大型企业集团在国家计划中实行了单列;批准建立企业集团财务公司;建立母子公司体制,以及对部分企业集团进行了国有资产授权经营的试点,集团的投资权限有所扩大;还有一批企业集团获得了外事审批权和自营产品进出口权,以及少部分企业集团实行由集团公司统一纳税等。 这些政策措施的出台和贯彻落实,对推动政企分开,转换企业经营机制,落实企业自主权,促进企业组织结构调整,推动生产要素合理流动,强化集团功能建设,以及规范政府对企业集团的管理都具有重要的意义,为试点的大型企业集团的运营创造了良好的外部环境条件,标志着我国企业集团已走向发展规模经济的轨道。 我国企业集团在发展规模经济中呈现出一些特点,主要包括:(1)发挥政府的行政力量和市场机制的双重作用,并逐渐转向市场机制发挥主导推动作用。 在体制转轨的初期,企业集团规模扩张以行政划转为主要形式,并往往局限于条条或块块的范围,而随着我国市场经济体制框架的基本形成,市场机制对资源配置发挥着基础性的作用,因而市场机制对企业集团发展规模经济起着主导的调节作用,主要标志是:竞争机制发挥着推动企业集团扩大规模的杠杆作用,企业集团规模扩张又是以企业的自愿和市场的需求为前提,通过优势企业集团对劣势企业的兼并、收购、控股、参股等途径来进行。 而这时政府的作用只是弥补市场调节的缺陷,诸如制定产业政策,制定竞争规则,防止企业集团达到规模经济而形成垄断,以免窒息经济运行的活力。 (2)企业集团发展规模经济实现由纵向到横向的转变。 由于我国企业长期处于“大而全”、“小而全”的组织结构状况,经济规模狭小,组建集团的初期,应当较多地以优势企业为依托,名优产品为龙头,带动同行业及相关的企业发展经营范围较单一的企业集团进而实现规模扩张,发展规模经济。 现在更多的企业集团由纵向向横向发展,由过去专一的企业集团发展到规模庞大的综合性企业集团,形成了多元性的规模经济。 目前,我国企业集团在规模化发展方面取得了重大突破,形成了一批大型企业集团,其中有许多经验值得总结。 (一)在经济体制转轨时期,各级政府普遍重视抓大型企业集团,这是发展规模经济,实现规模效益的重要组织保证。 实施集团的规模化发展战略,有利于培育起一大批具有竞争实力的大型企业集团,成为国民经济的骨干力量,并有能力与国外大公司、大集团相抗衡,确保国家产业安全。 如1998年组建了石油、石化、宝钢3个特大型集团公司。 这3家大型集团公司在组织领导体制方面,由国家经贸委负责,实行总经理负责制,总经理为法定代表人,总经理、副总经理和总会计师职务由国务院管理。 国务院还向集团公司及有关成员企业派出稽察特派员,对其资本运营和盈亏状况实施监督。 同时,地方政府也普遍重视抓少数大型企业集团,推动其发展规模经济。 (二)从发展战略高度实行统筹规划,明确重点,以推动企业集团上规模,上档次,不断增强市场竞争力。 目前许多地方、部门重视对企业集团的统筹规划及明确发展重点,避免企业集团的盲目发展,以推动企业集团实现规模化、集约化,形成独具的竞争优势。 如上海市发展企业集团,做到统筹规划,将14个工业局改组为7个控股公司,形成了少数几家大企业集团。 山东省在1996年底已形成1600多家企业集团,但全省统筹考虑,最终还是确定着重抓8家省级大型企业集团,并根据需求变化的特点不断进行调整。 在每一个行业抓住了少数具有规模经济的大型企业集团,就抓住了国民经济的骨干力量,也就抓住了国民经济的命脉,就有能力应付我国加入世贸组织所面临的各种挑战。 (三)理顺集团产权关系,建立和完善母子公司体制,为发展规模经济型企业集团创造了体制条件。 我国许多企业集团特别是大型企业集团,根据建立现代企业制度的要求来理顺产权关系,推进公司制改造,构建与现代市场经济相适应的运行机制。 如在国家120家试点企业集团中,建立母子公司体制框架的有92家,占其总数的76.7%,从而在集团内部集团公司(核心企业)与全资企业、控股企业之间形成了以资本为联结纽带的母子公司关系,以及建立起相应的法人治理结构。 其中集团公司是战略规则、资本运营、技术创新等重大经营活动的决策中心;全资企业、控股企业是在集团公司统一管理、统一规划、统一指导下的独立核算的利润中心;全资企业、控股企业的下属生产单位是成本中心。 随着改革的深化,许多集团公司改造成为国有独资公司,有的开始改组成为国家授权投资的机构,也有部分集团公司实现了投资主体的多元化;全资企业、控股企业逐渐改建为集团公司的全资子公司、控股子公司或分公司。 母公司将生产经营功能向子公司转移,调动了子公司的积极性,同时又有利于母公司集中精力加强经营管理,发挥整体规划、投资决策、财务控制、协调分配关系和重要人事管理的功能。 (四)制定政策扶持大型企业集团的发展,是推动企业集团发展规模经济的重要保证。 国家为减轻企业集团负担,由国家计委会同财政部已将第一批试点企业集团的140亿元“拨改贷”资金本息余额转为国家资本金。 从1995-1997年,国家计划中安排试点企业集团的基本建设资金2000亿元(其中含有开发银行软贷款、银行贷款额度和利用外资),体现了国家金融政策对试点企业集团的倾斜。 国家开发银行还实行对口对集团公司提供软贷款,对增强集团公司投资功能,理顺集团母子公司关系起到了重要的作用。 二、企业集团发展规模经济面临的问题 (一)认识不到位,或有偏颇,是企业集团发展规模经济的思想障碍。 主要表现为两个方面:(1)我国各地都形成了多形式、多种类型、多种所有制结构的企业集团,但有些主管部门乃至企业集团的管理者,对企业集团能盈利就知足,而对企业集团走向规模化,乃至培育成国家级、世界级的市场竞争主体缺乏足够的认识。 由此导致各地抓企业集团仍存在着一个数量偏多的问题,化的不强,强的不优。 (2)对企业集团合理规模的科学界定缺乏研究,如有的地方认为企业集团资产应在1亿元以上,销售收入在20亿元以上;也有的地方认为在规模上不应追求大。 对集团规模经济缺乏严格意义上的科学理解,容易导致不是集团规模过小,就是规模过大,不利于资源的高效合理配置。 (二)企业集团组织形式不规模,未形成母子公司体制,制约着企业集团发展规模经济。 当前许多企业集团仍然停留在生产经营的联合上,往往以人才、技术、信息等生产要素方面的合作或供产销一条龙等作为企业集团内部联系的纽带。 实际上这是一种松散的联合,一旦某些环节出现摩擦或矛盾,很容易引发连带效应。 与此同时,这种关系在某种程度上助长集团成员的懒惰思想,会过多地依赖集团其他企业来销售中间产品,以及产生有利则联,无利则散的经营观念。 从根本上说,这是由于缺乏约束和激励机制所致。 企业集团的规模越大,这种无资本联结纽带,缺乏约束和激励机制的企业集团就越难以维系。 目前也有许多企业集团的建立虽然也由大型骨干企业为核心来组建,但集团内部仍未形成多层次的组织结构,主要表现为紧密层企业较少,或根本无紧密层企业,亦即没有真正建立起以资产为联结纽带的核心层、紧密层和半紧密层等多层次的集团组织体制。 缺乏母子公司体制,企业集团就难以向大型化、规模经济的方向发展。 (三)过分强调企业集团的多角经营,轻视发展规模化的专业型企业集团。 企业集团发展多角经营是一种重要的经营方式,它具有规避经营风险的作用。 但多角经营应是有条件的,当企业集团经营规模较大,市场覆盖率较高,且具有较强的市场竞争力,那么有雄厚经济实力,以及具有开拓其他行业的技术、管理能力等,进行多角经营也是可行的。 但就目前我国企业及企业集团的状况看,不宜过早或无限度地发展多角经营。 这可以从企业集中度和规模化状况得以印证。 近几年来,我国企业集中度不断提高,但与发达国家相比仍有很大的差距。 以汽车工业为例,世界10个最大汽车公司集中了全世界产量的80%,美国产量最大的3家公司集中了全国80%以上的汽车产量,而我国居前3位的汽车产量所占比重还不足50%。 目前世界汽车生产企业的年批量生产的最小有效规模,整车为40万辆。 而中国目前的整车厂达120多家,超过了美、欧、日厂家的总和,居世界第一,但1995年产量超过10万辆汽车的企业只有5家,这5家汽车制造企业生产集中度为57.3%;即使目前最大的三家汽车企业集团一汽、东风、上汽,其各自的年产量都不足20万辆,集中度仍然没有提高。 我国的机械工业、电子工业、石化工业、钢铁工业、煤炭工业等规模经济明显的行业莫不如此。 行业集中度低,表明企业集团规模不大,甚至达不到规模经济的要求。 在这种情况下,不能有效地集中人力、物力、财力促使企业集团在生产方面上规模,提高集中度,提高劳动生产率,降低产品成本,而去搞多角经营,分散投资,就难免使生产经营的方方面面都确立不起优势。 尤其是企业进入所不熟悉的行业搞多元化经营,由于缺乏竞争优势反而会加大风险,甚至还会把原有的优势丢掉,降低市场竞争力。 (四)核心企业规模有限,投资功能不强,制约着企业集团发展规模经济。 企业集团发展规模经济,在很大程度上取决于核心企业的经济实力。 核心企业规模过小,尤其缺乏投资功能,就难以带动其他层次集团成员的发展。 核心企业一般承担管理、规划及关键产品的生产,若关键产品生产能力和创新能力上不去,整个产品生产就难以上规模;同时,核心企业无力投资,特别是不能向紧密层或半紧密层投资,难以实行控股或参股,就不能有效地控制这些企业按照核心企业的规划发展规模经济。 以汽车为例,目前开发一款新型汽车的费用至少为1.5亿美元,而由于我国汽车集团核心企业的实力不强,导致几乎没有一家汽车集团核心企业能够单独负担起开发新车的费用。 很显然,核心企业无力扩大投资,影响着整个集团规模的扩张;同时企业集团缺乏规模优势,又直接影响开发创新能力的提高。 (五)现行经济管理体制方面存在的问题,阻碍着企业集团发展规模经济。 由于企业隶属于不同的地区或部门,因而牵扯到人员管理、税收渠道、地方财政收入、主管部门管理费的提取、利润分成等诸多利益关系的调整,导致各种关系难以协调。 本来适宜于组建更大规模的企业集团,却搞不起来,各地或企业之间各行其是,存在着同行业或同类型企业集团的过度繁衍,导致企业集团之间的过度竞争,谁都难以实现低成本扩张的局面,很难有效地发挥规模经济。 企业集团要有一个大的发展,要求集团自身尤其是集团公司具有建立在新机制基础之上的自我发展能力,同时有良好的外部发展环境和规范的体制条件。 综观我国现阶段的改革现状,这两个方面的体制条件都不够完备。 当然,不同类型的企业集团在发展规模经济中遇到的困难或问题,在性质和程度上是不同的。 一些包袱较重的老企业面临的问题往往是活力不足或缺乏发展后劲;一些转机建制较好、资产质量较高的企业力求发展,但更多地受到来自外部环境的制约或摩擦。 体制条件不完备和企业集团发展规模经济陷入矛盾和冲突之中,这是我国企业集团发展规模经济步履维艰的重要原因。 三、推动企业集团发展规模经济的对策 (一)树立正确的企业集团规模经济发展现。 不能树立正确的企业集团规模经济发展观,就不可能推动企业集团规模经济的快速健康发展。 企业集团达不到合理规模,就难以产生以n倍的投入获取大于n倍的产出,就不会产生规模效益。 企业集团规模过小,难以降低单位产品成本,产品就不会形成价格竞争优势。 要实现不断降低单位产品成本的目标,在技术条件不变的情况下,只有靠追加生产要素的投入,使批量生产能力不断提高,从而使单位产品的成本不断降低,亦即形成规模经济,才能最终确立产品的价格优势。 而且随着市场竞争的日益激烈,使技术垄断周期日趋缩短,从而使平均利润率也呈现下降的趋势。 在此种状态下,企业只能靠形成规模经济,为薄利多销创造必要条件,不断扩大市场占有率,以获得更多的利润。 未来的国际竞争、国与国之间的竞争,在很大程度上还是大公司、大企业集团之间的竞争,哪个国家拥有形成规模经济的大公司、大企业集团多,这个国家的经济实力就强;反之亦然。 总之,必须对拥有规模经济的市场竞争主体的市场存在价值和生存与发展的必要性有一个清醒的认识,这也是判断是否对市场竞争主体发展规模经济进行扶持的理论依据。 当然也必须看到,并非企业集团的组织规模越大,规模经济效益就越好;相反,由于生产要素投入过大,超过一定限度,就会出现平均成本上升,规模不经济的状况。 发展企业集团,规模过小不行,但也并不是越大越好。 企业集团的经济规模,不由人们的主观愿望所决定,而是各种生产要素(生产资料、资金、劳动力等)在集团内集中程度所产生的规模效益的要求所决定的。 确立企业集团的合理经济规模固然要考虑市场的容量、市场发展前景及现有企业生产能力等多种因素,但从培育企业集团的市场竞争优势而言,应以生产要素的优化组合为前提,根据不同类型产业生产力的要求、集团核心企业的经济技术实力和管理水平来确定,重要的应以实现规模经济为原则。 现实地考察,达到规模经济的要求,如汽车的批量生产能力至少要达到40万辆,电冰箱为100万台,原油加工装置应在500万吨以上,乙烯装置为30万吨以上,钢铁为1000万吨,火电机组为30万千瓦以上,煤炭采面年产量达100万吨以上,等等。 由此可见,实现我国企业集团发展规模经济还面临着艰巨的任务。 (二)推动企业集团向大型化发展,以至实现规模经济,重要的在于促使集团核心企业增强实力。 核心企业和其他集团成员单位保持相对独立的经济实体。 独立的法人地位及各自独立承担财产责任,说明企业集团并不具有法人资格。 但作为特殊的市场竞争主体,集团内部实行统一规划、统一组织、统一协调、统一管理、统一对外的管理体制,尤其核心企业的经济地位和特有的组织管理功能,能代表企业集团在其内部制定企业集团的长远发展规划,明确集团的发展方向;制定投资政策和调控资金的投向、数量、结构和期限;审批、控制某些下属单位的财务预决算,检查和评价下属组织的生产经营状况,调控集团内的分配关系,并以企业集团的名义行使权利,承担相应的责任特别是形成集团的投资中心。 这就要求核心企业必须扩大规模,不仅具有对紧密层企业和半紧密层企业控股或参股的能力,而且具有向外扩张的能力,尤其是通过兼并、收购、托管等来实现目前的低成本扩张。 这实际上是利用社会存量资产进行重组来增强核心企业实力。 因为利用社会存量资产重组较内部扩张不仅能大大缩短建设时间和投产时间,迅速形成巨大生产能力,而且能使核心企业迅速进入市场并占领市场,及时满足市场需求,提高企业竞争力。 随着市场经济体制的不断完善,政企分开,产权关系进一步明晰,国家可授权集团公司(核心企业)经营国有资产,授权的范围可扩大到集团外部,亦即不仅是集团内部的国有资产,而且与其相关的外部的国有资产都可授权其经营,以在更大范围更高层次上提高资源的配置效率,获取规模效益。 (三)控制企业集团数量,扩大企业集团的单体规模。 企业集团数量和规模一般呈负相关关系,即一个区域企业集团数量越多,企业集团的平均规模就越小。 由于我国企业集团核心企业之间很少交叉持股,因而企业集团数量和规模就呈现出较强的负相关特征。 因此,控制我国企业集团数量就更具特别重要的意义。 一般来说,企业集团规模应呈倒金字塔型,即大型企业集团要多,小型企业集团要少,而我国企业集团却恰恰相反。 我国控制企业集团数量盲目增长应主要采取经济手段,辅之以法律的、行政的手段。 一方面要限制企业集团的盲目形成,采取提高企业集团进入壁垒的办法,对达不到一定规模的企业集团限制其产生;同时对已过度竞争的行业要限制企业集团的繁衍,应鼓励现有企业、企业集团之间的再联合,以实现集团规模再扩张。 目前尤其须指出的是,国家应从宏观上抓紧生产力布局规划工作,引导各地区按要素禀赋特征和比较优势,发展本地区支柱企业集团,防止地区间集团结构雷同现象发生,实现企业集团发展方向与国家产业主攻方向的衔接。 另一方面,对现有的企业集团要在全国范围内进行优化调整,要支持具有较大优势的集团公司对行业内其他集团公司进行控股、参股,或支持集团公司之间相互持股或合并,以减少雷同企业集团的数量,从而扩大企业集团的规模。 对不适应集团化经营的企业集团,特别是在那些规模经济特征不明显的行业,该摘牌的要坚决地摘。 (四)调整企业集团结构,促进专业型企业集团的规模扩张。 目前我国企业集团规模普遍较小,至今仍没有世界级大集团,但盲目追求规模扩张尤其是拼凑规模的多元化发展问题却很严重。 在发展中片面追求庞大的规模,不加选择或过度地把几乎无内在联系的企业吸纳到集团中,战线拉得过长,加大了摩擦成本,导致管理的失控,因而难以获得真正意义上的规模经济效益。 从我国目前企业集团的现状看,不能靠通过把什么类型的企业都往集团中硬塞来扩大经济规模,也不能靠涉足众多产业的多元化经营来扩大集团规模,而要调整企业集团的结构,要把集团从过度地从事综合性生产经营中解脱出来,要突出专业性的企业集团,从而集中人力、物力和财力,把企业集团的专业性生产经营规模搞上去,否则还是因搞了综合性生产经营而分散了投资,削弱了企业的竞争力。 在推动专业性企业集团发展过程中,应引导集团成员走配套生产的规模经济之路。 配套生产达到了规模经济,就能够提供成本低廉及富有创新力的配套产品,最终产品也就会具有强大的市场竞争力。 (五)推进企业集团建立以母子公司体制为基础的运作机制。 当前应按照现代企业制度的要求,积极推进企业集团的公司制改建。 这里也要强调防止搞行政性公司的形式主义的翻版。 公司制改制的取向应是实现投资主体多元化,这有利于形成混合经济,促进多种经济成分共同发展;也有利于集团以资本为纽带,进行跨地区、跨部门、跨所有制的联合发展。 集团公司制改建的重点是母公司的改制,建立母子公司管理体制。 母公司对其成员企业以产权为依据进行管理,主要体现在重大项目投资决策权、主要经营者的任免权和资产收益分配权。 条件具备的企业集团,也可由控股经营公司向纯控股公司转化,精简母公司职能机构,将生产经营功能向子公司转移,充分调动每个成员企业的积极性,同时将母公司精力集中于战略规划管理,发挥投资决策、扩大融资、市场开拓和协调、研究与开发、财务监控和重要人事管理的功能,形成强有力的战略决策中心、投融资中心、技术开发中心、人才培训中心、销售服务网络等。 通过建立规范的母子公司体制,培育出一种能驾驭规模庞大的企业集团的管理体制,以提高集团管理素质,提高控制能力,从而发挥出组织成本低的优势,同时又有效地克服摩擦成本的攀升。 (六)加强宏观调控,努力扶持企业集团形成规模经济。 1.贯彻国家产业发展战略,在规模经济特征明显的产业引导企业集团大力发展规模经济,以形成产业发展的支柱力量。 推动产业间的协调发展及不断升级,需要将产业政策细化,明确不同时期的产业主攻方向,促进重点产业的优先发展。 对每个产业的企业集团,不可能都予以扶持以形成规模经济,而应有选择地实行重点扶持。 在扶持的方法上要从企业集团总量规模、生产批量和产品结构的合理性、管理和技术的先进性、资源利用的高效性以及国际竞争力等方面来考虑作为选择和扶持的标准。 通过重点扶持,组建形成大型企业集团,并吸引其他相同的企业加入到集团中来,按专业化分工协作的要求进行生产,实现横向成系列,纵向一条龙;以形成规模经济,形成少数在国内外市场具有较强竞争力的大型企业集团,彻底结束我国目前企业投资分散、乱上项目、重复建设、小批量、小生产、低效益、过度竞争的落后混乱局面。 实现重点扶持,需实行倾斜政策相配套。 政策扶持主要体现在资源分配和利益调整时,通过政策倾斜来推动企业集团形成规模经济。 根据我国的经济教训,借鉴发达国家的成功经验,强化政府的宏观调控功能,实行政策倾斜的办法,是在各产业中扶持少数几家大企业集团,使之尽快形成具有最佳规模经济生产能力的市场竞争主体。 如在汽车产业,可考虑重点扶持2--3家大型汽车企业集团。 要利用经济政策如财政税收政策、金融政策等使重点扶持的企业集团的资源优先得到保证,贷款予以优惠,企业财产权优先得以落实,经济利益优先实现,还包括要允许这样的企业集团成立财务公司,成为集团的融资中心、投资中心、结算中心等,形成新的投融资机制,理顺集团内的资产关系,真正发挥集团公司的主导作用,提高集团公司对成员企业的控制力,使企业集团形成协调运作的体系。 2.不断改善对企业集团的宏观管理。 在市场经济条件下,政府对企业集团的干预是必要的,包括必要的指导、协调、监督和服务。 政府对企业集团应以间接管理为主,主要通过制定社会经济发展规划和产业政策,引导和扶持企业集团健康发展;培育各种要素市场,鼓励资产存量的优化配置,促进生产要素合理流动;防止垄断,制定竞争规则等。 政府对大型企业集团国有资产的管理,应按照政府社会经济管理职能与国有资产所有者职能分开、国有资产监管职能与经营职能分开的原则,不断完善对企业集团的国有资产管理。 国有资产监管机构经国有资产管理部门授权,依据《公司法》、〈〈国有企业财产监督管理条例》对规模化企业集团实施监管,监督和考核国有资产的运营效果和保值增值情况。 特别是授权企业集团经营国有资产后,必须明确国有资产运营责任,要对授权经营国有资本的企业集团建立国有股权经营责任体系、国有资产经营考核奖惩体系、国有控股企业财务监控体系。
发表评论