在工作过程中,我经常能和来自全球各地的首席信息安全官(chief information security officers ,CISO)交流,他们所在的企业面对着不同的信息安全环境,关心的安全问题也不尽相同。但总体上来说,他们在信息安全防护上的困扰集中在以下四个问题:
1、云应用安全
如今,越来越多的企业都开始将企业应用迁移到云端,并更多的使用包括公共邮箱服务、公有云盘、公共社交软件在内的公有云应用来处理工作。这些云应用往往不在企业安全防护系统的覆盖范围之内,随时都可能因为网络攻击导致机密数据泄露。如何管理这些应用并降低风险已经成为CISO最为关注的问题之一。
2、高级可持续性威胁(APT攻击)
在所有的安全威胁之中,企业最担心的无疑是APT攻击。这不仅是因为APT攻击常常瞄准信用卡信息等敏感的商业信息和个人数据,具备极强的破坏力。还因为APT攻击往往针对特定的目标而定制,隐蔽性高、潜伏周期长,极难被企业的安全防护系统所及时拦截。
3、项目管理
长久以来,数据日志、报告、项目管理一直是IT管理员的关键性工作,这一工作还会随着大数据、物联网的发展变的更加重要,因为企业迫切需要从海量的数据中找出哪些数据是异常的,哪些数据是APT等网络攻击入侵的迹象。研究公司 MarketandMakets 的研究指出,网络安全信息和项目管理(SIEM)市场将从2014年的24.7亿美元增长到2019年的45.4亿美元。
对于CISO们来说,掌握过多但脱节的攻击信息甚至是有害无益的。企业应该学会如何从海量的网络数据之中高效、精准的寻找真正的安全威胁信息,因为这是企业对威胁进行拦截的必要前提。
4、合规
安全规范是企业保护数字资产的重要依托,但确保IT流程符合安全规范却是企业IT部门的巨大负担。这首先是因为安全规范往往内容繁复,以PCI标准为例,实现合规化需要进行包括防火墙、加密、反病毒、授权、登陆和监控、系统测试在内的十二个步骤。此外,由于商业流程不断增加新的复杂性,合规化标准在不断迭代,这让合规化变得异常困难。
问题解决的关键:建立完善的信息安全架构
仔细分析之后可以发现,要解决这四个问题,关键在于对信息安全结构进行重构。企业需要搭建一个可以融合安全硬件、软件且在不同网络分段能够进行沟通的架构,应对来自云到IoT的不同平面的威胁与攻击的无缝与全面的防御。
云计算是企业网络的延伸,需要被特别关注。企业应该部署一个覆盖整个网络的安全检测和管理策略,以洞悉网络中数据的流动,而无论是私有化部署还是公共云,传统IT架构还是云架构,有线还是无线接入。
为了有效的应对APT攻击,企业的安全部署需要超越传统的防火墙边界,甚至超越传统的多层防御措施。一个有效的APT防御框架最好在防火墙的内部进行有效的隔离,其可以限制恶意程序从网络之间流窜。当防火墙与实时、智能的威胁检测方案(如沙盒和终端安全解决方案)结合时,APT攻击就可以被及时的检测并隔离。
检测APT攻击的另一个方法是通过优秀的全网流量捕捉日志机制——内外结合——分析日志来实现。因此,一个能够迅速对威胁进行预警,跨设备、用户、内容和数据,并且洞察网络流量的安全模式将会非常实用。
此外,这样的安全架构可用于单一的合作政策,通过记录每一次进程而不是多次进程来优化记录过程。这样,记录进程分析就变得更加简单,可以帮助企业洞悉网络流量的规律,并发现真正的威胁。
在合规方面,大多数 CISO 们遵循了某一种特定的方法(例如PCI , ISO27001/2 , NIST网络安全架构)来减少网络风险。理想的安全架构应该允许所有部署中的防火墙提供更完善的合规性状态,以及安全成熟度评估,这有助于帮助 CISO 发现网络安全的薄弱所在,并且采取相应的措施来进行弥补。
对于 CISO 来说,知道什么用户在什么时候连接到企业网络,是理解企业安全态势的关键。一个完善的安全架构会帮助IT人员管理全部网络资产,设定安全目标,然后审核所有节点上的安全政策。
完善的安全架构在一定程度上有助于解决 CISO 们的第五个苦恼——保护他们的信息安全投资。这一安全架构是与网络基础元素结合发展的,本质上是不会过时的。单独的网络组件可随着网络安全威胁的推移而改变,但是安全架构所打下的坚固基础将依然发挥重要作用,并且在未来多年里保护您的网络。
如何设计主管的绩效指标
设计前先确定依据 为什么要设置某一考核指标来考核这个部门或者这个岗位?这个问题是在做绩效计划时,给被考核对象分配责任指标、目标会遇到的首要问题。 要顺利地解决这个问题,就必须清楚地知道指标设计的依据。 任何指标必须要有出处,无水之源的指标那就是无效的,如某刚成立的零售企业看到业界标杆企业在考核单店坪效(每坪的面积可以产出中国营业额),就“照葫芦画瓢”地考核该指标,导致考核成绩越来越好,公司门店越开越少,市场占有率迅速下降。 殊不知,因为不同企业的发展阶段、管理基础、业务流程等方面存在差异,所以导致业绩好坏的关键成功因素自然也就不同,对应的考核指标也应有所差别。 事实上,考核指标有固定的来源: 其一,考核指标来源于公司指标目标的分解。 也就是说,岗位指标目标来源于部门主管的指标目标;部门主管的指标目标来源于部门的指标目标;部门的指标目标来源于公司的指标目标。 其二,公司的指标目标源于公司的战略、公司的年度经营计划和公司的年度预算。 如公司销售额指标的目标值就是来源于公司的年度收入预算,公司的重点工作完成率的目标值就来源于公司的年度经营计划中的重点工作等。 其三,部门及岗位的指标目标除了来源于公司指标目标,还取决于部门与岗位的年度工作计划、部门与岗位的工作职责、作业流程等。 任何一个企业的考核指标设计的依据,都离不开以上三方面,也就是说考核指标设计不应该脱离企业战略、年度经营计划、年度预算、职责、流程。 要让考核对象清楚指标的目的 任何人都不喜欢被考核,即使勉强接受了一些考核指标,如果不给公司管理层一个信服的理由,在接下来实施考核的日子里,该指标很有可能被找到攻破的弱点,从而让管理层动摇。 某企业管理委员会成员汇聚一堂,讨论各一级业务部门的考核指标,每个业务部门的负责人都设置了7-8个指标。 有位副总看着自己的考核指标烦了:“考这么多指标,那我得花中国时间在内部的沟通协调上,哪还有时间去开展业务、拜访重要客户呢?” 事实上,每个指标都很重要,比如该企业各部门的这7-8个指标分别归属于平衡计分卡四个层面的指标――“财务、客户、内部运营、学习与成长”,这中间既有结果指标,又有过程指标;既有财务指标,又有管理指标。 这位副总之所以会这么抱怨,主要是因为设计考核指标时,没有告诉他这些指标对于他下属部门、下属岗位业绩考核的目的与意义,他作为经营副总,是非常有必要接受并且分解这些指标到对应的责任部门及岗位上的。 每个考核指标都要有目标值 指标就像钟表的指针,每个刻度就是指针对应的目标值,只有指针,没有刻度的钟表是没有办法去衡量时间的;同样,只有指标,没有目标的考核也没法衡量业绩。 比如每季度考核某生产车间主任的“人员流失率”指标,如果仅有这个流失率的指标,而没有“百分之几”的目标值,那么这样的考核计划就没有执行的价值。 在目标的设置上,通常要符合SMART原则,即明确性原则(Specific):目标应清晰明确;可量化原则(Measurable):目标要可以量化;可达性原则(Attainable):制定目标时应具有挑战性,同时应具有可完成的现实性,避免反复调整目标;关联性原则(Relevant):目标要能经得起纵向的分解,从公司到部门再到个人:时限性原则(Time-Based):目标要有时间的限制,月度、季度、年度,分别要达到什么样的目标都应明确。 对于初次推行绩效考核的企业,很多时候常困惑于各项考核内容没有历史数据支撑,自然也就没有办法设置对应的目标值。 因此,建立考核指标后,需要按照考核指标的计算公式收集数据、试运行一段时间方能评估出考核指标的目标值。 指标要有清晰的命名 某企业生产部门总是不能按时完成销售部门提交的要货需求计划,于是销售计划部门提出要考核生产部门的要货计划完成率。 这个指标提出后,很多管理者都不能理解为什么要考这个指标,如何计算? 后来,人力资源部把这个指标分成两个维度来描述:客户订单批次按时完成率、要货数量按时完成率,结果大家轻而易举地就接受了,因为这两个指标其实就是反映了要货计划的两个维度:一个是订单的批次、一个是订单的数量,假设工厂每个月接10个订单,各订单要货数量有多有少,有大单有小单、有重要客户的单与非重要客户的单,所以考核数量与考核批次不可偏废。 指标的命名还可以根据考核方式来定。 有些指标可以正着考,也可以逆着考,比如反映成品质量的指标,可以是成品检验合格率,也可以是成品检验的不良率,要看实际质量管理的业务流程以及相应的统计报表,如果生产车间只有不良产品的检验记录,没有相应的合格率计算的报表,那么考核成品检验的不良率更方便。 由此可见,有效的指标命名必须清楚地知道企业内部各项业务的流程以及相关的报表,才能结合企业实际情况设置企业内部大家都易于理解的指标。 计算公式要有准确的定义和数据支撑 很多时候,企业内部人员因为部门不同,个人从业背景、专业不同,对不同的名词的理解会有差异。 这在绩效考核上必须予以高度重视,并对每一个考核指标的计算公式给予准确的定义。 例如,对销售部门考核“销售额目标完成率”这一指标,考核指标公式为“实际完成的销售额/目标销售额×100%”,如果在这个公式里,没有对销售额的准确定义,那么恐怕后果就不堪设想了:销售部门可能会简单地理解这个销售额就是销售过程的订单金额,物流部可能会认为这个销售额是发货额,财务部则可能会认为这个销售应该扣掉税金的净销售收入……如此一来,大家每次的指标统计结果就会口径不一。 只有当指标的计算公式有了准确的定义,才能够根据指标计算公式去构建相应的报表体系,并将报表中的数据收集、统计交给相应的责任部门、责任岗位:一旦报表体系成熟后,就可以通过流程将其固化、E化,指标也就可以顺利地借助信息管理系统取数。 而搭建信息化平台的源头就是对企业经营管理的各项指标的计算公式有准确的定义。 例如,某从事服装“研一产一销”的企业,为了严格控制成品的周转效率,提出了考核成品周转率这一指标,其计算公式为:销售成本÷(期初库存余额+期末库存余额)/2,其中,库存金额采用出厂价核算,该公司已经导入了“进销存的管理软件”,在此之前,公司内部已经有一套完善的“内部结算价、出厂价、零售价”的价格管理体系,每一件产品出厂时,都有明确的价格表单,所以,当考核指标“成品周转率”时,该公司就轻而易举地做到了定期从进销存软件系统取数。 要考虑是否设定上下限 指标的权重往往凸显了该指标对于被考核对象的重要性。 权重越大,说明该指标的重要程度越高。 当某个指标因为重要程度较高,势必就会占据大部分的权重,从而导致其他考核指标的权重减少。 比如,某公司考核销售代表的指标有四个,其中销售额的指标就占了80%,其他指标权重总和仅占20%,主要指标就是应收账款回收,如此一来,被考核人就会忽视其他指标,只会绞尽脑汁提升销售额,因为这个指标权重太大了。 这样的考核权重有可能造成销售代表拉长、拉大应收账款,并以此为条件向客户销售更多的产品,这本身其实是一种以压货且牺牲公司资金周转效率为代价的不良销售,潜在坏账风险巨大。 所以,有些指标必须设置考核得分的上限,其作用就是封顶。 否则遇到不可控因素时,指标实际得分会变得十分不可控,比如某重工企业碰上国家四万亿投资政策,家电企业碰上家电下乡政策,从而造成销售额数十甚至是上百倍的增长,如果这些公司的销售代表的销售额指标不设置上限,那么最后销售代表的考核得分将会是标准分的几十倍、上百倍。 设置指标上限还有一个作用就是分段激励。 对于一些重要的业绩指标,如某销售总监的“新大客户开发数量”指标设置达到目标值80%时,该项指标得分计满分或者“对应标准分值×1.1”;超过100%,该项指标得分按“对应标准分值×1.3”核算。 如此以来,既起到了分段激励的作用,又对该指标最高得分进行了上限封顶。 指标的下限也必须看单个指标权重,如果某些指标很重要,而权重又不能太抬高时,则可以通过设置指标下限,并将该指标作为否决性质的指标加以强调。 比如,某公司在考核销售代表业绩时,有四个考核指标,其中销售额指标占比为30%,考虑到该指标重要性很高,于是将该指标作为否决指标,实际销售额低于目标销售额80%时,则总体考核得分“计零”或者按照“得分×0.5”来折算。 通过设置指标的下限与否决性质与否,可以保证指标的重要性
如何做好供应商的管理?
温馨提示:采纳请给最佳。 字多不代表有效。 还是听我的吧。 又要打字了,要采纳啊。 1、供应商业务往来台账要做好。 2、供应商应付已付款台账要做好。 3、供应商的供货周期、价格、检验合格率和使用部门的意见要统计好。 4、依据以上拟订供应商评定标准并执行供应商评价。 5、做好月度付款计划。 6、优秀供应商应做好战略合作协议。
如何提高网站权重?
网站权重对于网站在搜索引擎排名起挺关键的作用,而对于一些权重高的网站,其用户信任度会更高一些,往往权重越高的网站,其流量也相应越高。 但如何提高网站权重呢?相信这类文章也有不少seo高手写过,在下也就总结加上自己经验,给大家分享一下。 一、网站架构:网站架构就好像高楼的地基,只要地基弄得坚定,才可以让高楼稳固。 而网站架构做得好,采用吸引到蜘蛛的降临。 所以其网站的Title里面要详细说明网站的主要内容,告知用户网站能为用户提供什么的,Description就要明确说明你网站是应用什么方面的。 也只要明确说明,才能让蜘蛛有效对你网站进行归类,将你网站纳入你期待的关键词的页面中去。 二、网站安全:网站安全对一个网站的权重是具有很高的影响的。 之前自己有一个PR为4的网站,就是因为有安全漏洞,结果被黑,被挂上马,没过几天PR就降为3.而且现在网站被黑,还可能会被挂上黑链这些,严重影响优化。 不单受到降权,甚至被K。 三、网站内容:网站必须要定期更新里面内容,因为只要定期更新才会让蜘蛛定期到你网站,而当蜘蛛来得也频繁,你网站权重也相应提高不少。 必须要更新的是一些原创或者伪原创文章,知识单纯转载和抄袭是不会让网站有好的权重的。 对于一些新手可以先从简单的伪原创做起,先学会一个文章架构,添加自己的语言,提高自己的水平,很快就能凭着自己写原创的文章了!其实就算一些大站,像搜狐,网易这些,也充斥很多伪原创,同一件事,内容基本一致,不同就是后面一些看法而已。 四、优质外链:优质的外链能够吸引蜘蛛到你网站,从而加重你网站的权重。 所以可以去一些名站里面做一些友情链接,签名链接这些。 五、网站域名:像com,cn,org等等这些域名会相对获得更高的权重,所以最好采取一些常用的域名。 以上几点是个人建站以来的一些经验,希望对大家有帮助。
发表评论