淪陷的互聯網:安全投入不足1%
http://www.chuangyejia.com/index.php?m=content&c=index&a=show&catid=26&id=5754
2011年的歲末,一場不斷升級的密碼洩露事件,讓2011年的互聯網「永不寂寞」。從12月21日到12月29日,短短幾天,絕大部分知名網站全部淪陷,無一倖免。CSDN、多玩、178遊戲、17173、天涯、噹噹、京東、卓越……
這是黑客引起的、網站領導的網民更改密碼「運動」,讓全體網民又有了一次自嘲式的狂歡。
用戶信息在互聯網上快速傳遞,好事者更是更改了他人的用戶密碼,讓一些人永遠無法再取回自己的賬號,有的老網民甚至被抹去了互聯網的最初記憶。
這一次,互聯網企業的安全短板暴露無遺。互聯網公司中有3人來專職負責網站安全的規模都是一種奢侈,5人以上算是豪華配製,10人的安全團隊只有3家。
一份來自知名券商的報告顯示,目前,國內互聯網公司的安全支出僅佔IT支出的1%,而目前,歐美國家的安全支出佔到整個IT支出的8%~10%。
面對大規模的用戶信息洩露,企業責無旁貸。但「脆弱」的它們根本無法抵抗「黑客」來襲,甚至是無意識的「繳械投降」。
問責,問責。在這樣的風口浪尖,它們幾乎都選擇沉默,無一企業坦承自己的安全支出明細。內部,各大互聯網公司開始了「自查、自究」風暴,希望能夠在2012年來臨時,獲得那張通往安全的船票。
集體淪陷
本次黑客公佈了約有1億個用戶賬號及密碼相關信息
2011年12月21日,金山毒霸產品經理韓正奇在一個網絡安全相關的QQ群內下載了一份CSDN用戶賬號密碼文件。同時,他把QQ群內要用迅雷專用工具下載的鏈接,轉換成迅雷快傳的下載鏈接,發到一個朋友圈內的QQ群。
僅僅幾分鐘,韓正奇傳的文件就在專業安全網站「烏云」(wooyun.org)上出現了截圖。迅雷不及掩耳,一份包含了600萬用戶信息的CSDN用戶庫在互聯網上迅速流傳。
無論是黑客之間出於「互相炫耀」的心理,還是傳說某個商業組織的背後推動,許多原本被裝在「安全盒子」裡、處於隱秘地方的用戶數據庫一一被暴曬在陽光下。
2011年12月23日,多玩、夢幻西遊通過木馬洩露。此後,7K7K、178遊戲、人人、貓撲、世紀佳緣等等,全國各大知名網站幾乎全部淪陷。
2011年12月25日,天涯被爆其4000萬用戶數據洩露,這佔到其總體6000萬用戶的60%。
同月26日,噹噹、京東、凡客等一線電商被推上了風口浪尖。它們爆出用戶信息洩露,這其中包括真實姓名、電話號碼和收貨地址。
同月29日,中國工商銀行、交通銀行、民生銀行被爆出客戶信息洩露。就連,通往全球的廣東省出入境也有444萬用戶信息疑被洩露。
「每個互聯網公司的用戶和密碼都有洩露,只是規模大小。」採訪中,一位在安全行業多年的工程師告訴記者,大網站、大公司在安全這件事上也不可信。
在密碼門事件期間,中國黑客教父goodwell接受媒體採訪時稱,本次黑客公佈了約有1億個用戶賬號及密碼相關信息,預計「地下黑客」已經掌握了更多的互聯網用戶賬號信息。
在使用「密碼洩露查詢工具」後,不少網民在微博上坦露心聲,自己不止一家網站的用戶名與密碼洩露。出於方便易記,許多網民將用戶名與密碼統一起來,或者互相關聯。有的使用郵箱進行互相關聯。
一位不願意透露名字的CSDN用戶更是苦不堪言,她的CSDN賬戶信息被洩露,通過一連串關聯,搜狐、Gmai、網易、雅虎等郵箱全部無法登錄。這些 郵箱是她登錄論壇、SNS、支付寶,以及各種購物網站的方式,「綁定」了她所有的互聯網生活。由於各個郵箱之間錯綜複雜的關聯,她無法通過密碼取回的方式 來取回這些郵箱。於是,「一門攻破,全城皆失」。
危險,並不止於此。智能手機闖入生活,手機開始逐步成為大眾互聯網生活的主要載體。 「手機上的信息洩露將會更嚴重,除了洩露用戶名和密碼,還可以洩露位置。」云計算安全廠商星云融創CEO馬傑告訴記者。
目前,PC上的操作系統比較集中(win90%、MAC接近10%、linux是0.1%)。由於操作系統的「獨霸天下」,殺毒軟件也會比較完善。但是,手機操作系統種類較多,各種APP應用紛繁雜陳。由於安全軟件的不完善,許多黑客就盯上了這一有利時機。
「目前,手機上的安全問題並沒有全面爆發,但是一旦上網資費大幅下降,手機用戶可以『隨時在線』,那麼手機黑客產業鏈也會迅速成熟。」馬傑告訴記者, 現在智能手機的CPU統一到ARM架構上,芯片有高通、聯發科等廠商,操作系統是iOS、Andriod、Windows,它們都在快速融合,這給黑客節 省了「逐個攻破」的成本。
「手機扣費、扣流量都是SP時代玩的花樣,智能手機還會帶來更多的『黑客』玩法,如查詢用戶常去的區域、GPS跟蹤、手機購物等等。」星云融創營銷總監孫大偉告訴記者。
「我們會生活在一個透明、沒有隱私的世界裡。」就像電影《楚門的世界》裡那樣,我們都生活在他人的「監視」之下,只要別人有這樣的想法。
企業問責
提供互聯網服務的公司無論免費,還是付費,在法律上都有責任保護用戶信息
此次暴露出來的CSDN、天涯等網站的用戶信息都採用「明文密碼」的方式編寫。黑客可以輕而易舉地攻擊網站,拿到用戶數據,而「明文密碼」根本用不著破解,用戶名和密碼可以直接讀取出來。
「明文方式是極不負責任的做法,企業應該對用戶負全責。。」知名IT律師趙佔領認為,如果企業對密碼進行加密,並設有防火牆,在黑客進行攻擊時給予了「抵抗」。如果做到了這些,才算盡到了基本的責任。
不僅如此,「這些企業沒有採取有效的補救措施。」趙佔領說,修改密碼、取回賬戶的措施還是用戶自己來做的。
本報記者採訪了10多位密碼被洩露的用戶,有的「改密碼改到手軟」;有的凍結了網銀,以及一切有過網上交易的銀行卡、信用卡;有的「處變不驚」,逢人便說:「改密碼有何用,改了還會洩露」;有的更是擲出豪言,「哥我不改了,裸奔就裸奔吧」。
據記者瞭解,洩露的網站主要通過站內信、公告、郵箱等方式來通知用戶。但公告通知的範圍有限,活躍用戶會看到公告,但是不活躍的用戶,甚至連自己的用戶名與密碼都忘記了。
對於已經是「公開庫」的CSDN與天涯來說,由於用戶名與密碼已經洩露,會使得許多郵箱無故被盜,往郵箱裡發郵件,真正的收件人是黑客,或者好事者。
CSDN總裁蔣濤坦承,洩露之後,補救工作不容易。信息洩露後,他立刻找到網易、QQ、263、新浪等郵件服務商進行郵箱通知,爭取讓真正的用戶能夠收到修改密碼的通知。
馬傑告訴記者,機器無法識別登錄的用戶是被盜用戶,還是黑客。雖然可以通過訪問行為的對比,來判斷這個用戶是不是之前那個用戶,以此來追蹤可疑的行為,但操作起來費時費力、可行性不大。
在法律上,網站的密碼是被黑客竊取,雖然企業不必擔負刑事責任,但也需要擔負民事責任,或者受到行政處罰。」趙佔領指出,用戶只需要證明自己的用戶名與密碼被盜,並且還是網站的過錯,就能夠進行民事訴訟,即便密碼洩露沒有造成經濟損失。
但有的用戶覺得自己使用的是「免費」產品,從道德上,沒有理由將這些網站對簿公堂。有的網站甚至在「註冊協議」中更是借用「免費」的旗號,將一些基本的法律義務推脫乾淨。
「免費也是一種『服務合同』關係,QQ、MSN是『授權使用』的關係,在法律上都存在合約。」趙佔領指出,提供互聯網服務的公司無論免費,還是付費,在法律上都有責任保護用戶信息。
但現實是,絕大多數網民都自認倒霉,無意維權。「用戶往往損失了幾十元,但如果要維權,則需要花費幾百元,甚至上千元的成本。」趙佔領說,這其中還不包括時間成本。
目前,歐美、日本對個人隱私的立法比較完備。無論是「被動」,還是「主動」,一旦網站洩漏了用戶信息,網站將面臨重額的經濟處罰。
2011年4月,索尼PS3有7700萬用戶信息遭竊,後來索尼正式道歉並對用戶做出補償。有預計稱,索尼將賠償245億美元。
2004年,日本雅虎約有460萬用戶的個人信息外漏,日本雅虎向每位用戶「賠償」6美元的購物券,這才息事寧人。
「安全廠商應該加強對員工的管理。」馬傑告訴記者,一般,安全公司與員工簽訂合約時都有個協議,保證在任職期間,不從事任何有違反公眾安全的事情,不從事黑客的行為。
安全支出不足1%
「國內公司在安全上的投入的確比較少。」一位在國內知名互聯網公司負責安全的技術總監坦承。
從論壇、BBS到SNS、電商,各個網站對安全的IT支出都很少。在給本報的書面回覆中,天涯相關負責人透露,天涯的安全支出是100萬。京東、噹噹、多玩、CSDN等公司都對自己的安全支出諱莫如深。
據一家券商TMT研究部門的調研數據,目前中國互聯網公司的信息安全支出,在整體IT支出中的比例不到1%,歐美的比例是8%~10%。而國內,對安全性要求比較高的金融行業,其安全支出在整個IT支出中佔到10%。
互聯網行業的安全投入「囊中羞澀」,甚至無法跟上業務的發展步伐。據一位行業人士透露,目前大型B2C購物網站每年的安全投入不過幾百萬,有的甚至只有幾十萬。但實際上,這些公司每年的安全運維投入需要達到千萬元級別,小一點的網站也需要幾百萬。
一位互聯網安全工程師告訴記者:「大多數互聯網網站通過外部的掃瞄工具就可以發現有明顯的漏洞。」他戲謔道,百度這樣的網站都被「黑」過,其他網站自然是慘不忍睹。
來自360的報告也印證了這一點。360網站安全檢測平台的分析顯示,「國內83%以上的網站存在各種安全漏洞,大部分網站基礎防護能力薄弱;國內中小型網站普遍沒有專職的安全工程師維護,光靠服務器配置防火牆和入侵檢測設備,無法有效防禦黑客的入侵。」
「目前,只有騰訊、阿里、百度有10位專職安全工程師,安全防護能力較強。其他的互聯網上市公司也只有3位~5位專職工程師,有的甚至沒有。」前文所述的互聯網工程師告訴記者,在互聯網企業有5位安全工程師,都算是豪華陣容,相當奢侈。
具體來看,「目前,國內只有幾家網站有中高級別的專業安全防護能力、只有瀏覽量在前100的網站有自己專業的初級安全、運維人員,前1000的網站有安全產品或服務的採購,大部分網站都沒有專業的安全團隊。」這位互聯網安全工程師說道。
「不少網站有著僥倖心理。」一位安全企業技術總監告訴記者,IT技術人才基本集中在IT圈,IT圈覺得自己不去攻擊別的行業就不錯了,根本沒想過自己會被攻擊。
出於這樣自信的「潛意識」,在規模快速擴張的直接驅動下,網站往往將IT支出放在系統擴容上,在電商類網站尤其如此。在IT支出的硬件、軟件、服務/人員三項中,目前,絕大部分支出還集中於硬件,其他兩項支出比較少,有的甚至比例更低。
從另一方面來看,建立自己的安全運維團隊,需要很大的投入,這也讓互聯網公司望而卻步。馬傑告訴記者,企業級的安全防護設備價格高,一台設備一般需要 幾十萬,甚至幾百萬。並且,這些網站需要閒置出90%的資源,才能保證峰值時能夠訪問正常。為此投入的金錢就像個「無底洞」。此外,維護的費用支出也相當 高,這其中主要人力成本,一般一位工程師年薪需要十幾萬元到二十萬元不等,一個網站至少需要3位專業安全工程師。
「互聯網公司對自身的安全內部結構認識有缺陷。」馬傑認為,安全最基本的原則應該是假設網站被黑,黑客侵入進來,那麼如何控制受損的範圍。網站也應知 道,哪一個區域不能放明文,而應該放到與網站服務器之外,進行物理隔離。但實際上,不少網站做安全並沒有從「這個假設」出發。
「現在,很多網站的運維工程師也做著一部分初級安全維護的事情,但遠遠不夠。」馬傑認為,安全與運維並不相同。安全是動態的,面對的不是正常的訪問、 攻擊、資料的竊取等活動。而運維的目的是保證服務器能夠被正常訪問。許多互聯網公司將運維人員當作安全人員來使用,孰不知,安全需要專業團隊。
IT支出「薄如蟬翼」,使得網站的安全性大打折扣,這才讓用戶信息的大規模洩漏成為可能。
「這一次互聯網公司可以僥倖逃過,未來則不一定。」趙佔領告訴記者,目前,工業和信息化部正在起草個人信息保護條例,未來從法律、法規上來保護用戶的權利。事發之後,政府還可以進行行政處罰。
2011年12月28日,工業和信息化部發佈通告稱,用戶信息洩露事件嚴重侵害了互聯網用戶的合法權益,危害互聯網安全。工信部對竊取和洩露用戶信息的行為表示強烈譴責。同時,要求各互聯網站要開展全面的安全自查。
關於廣告投入 答 江邊垂釣兄 問 黑貓
http://blog.sina.com.cn/s/blog_81c5f7c301011waa.html您的問題:
剛好最近也在思考自由現金流的問題,請教:
1、廣告費支出,算不算是未來「維持」企業的競爭力,而必須的支出?
2、如果算,那麼,你能分清楚那些廣告費是「維持」企業競爭力的支出,哪些是「提升」企業競爭力的支出嗎。
————————————————————————————————————————————————
我的回答:
1.算。
這個問題我是這樣看的:雖然實際上僅僅為了維持競爭力,只需要多個領域中總體投入的效果能達到就行(假如在科研,銷售渠道等)不是必須要廣告。
光說影響銷售的主要因素,一般來講:
B2C需要大量廣告投入。
C2C靠口碑。(直銷有這種傾向,淘寶開店也是)
B2B靠產品質量和功效。(假如是生產工業零件或是工程機械的企業,客戶只關心你產品的質量和是否能夠提高生產效率。——即不看廣告看療效。)
但是總體上來講:在這個充滿了各式各樣商品的時代,無論最終是靠口碑還是質量和功效,你還是需要讓消費者找到你。
雖然好酒不怕巷子深,但是在巷子口上掛個廣告,無疑可以提高銷量。(銷量,市場佔有率。是競爭力的一個表現)
所以歸根結底廣告還是很重要的。
2.這個問題十分複雜。
一般來講企業高管自己也說不太清.不過還是有辦法的。
但凡 廣告的主要目的是為了提高品牌知名度。——即品牌價值。
1)論品牌的效果:
對於煙酒等產品十分重要。相同的質量,品牌強勢的一邊可以賣出好幾倍的價格來。 (品牌>質量)
對於鋼材,煤炭,水泥等行業。我只能說:一分貨,一分價錢了。(一分價錢一分貨) (質量>品牌)
產品同質化,標準化的行業。繼續價格戰。 (價格>品牌)
奢侈品。看的就是品牌。價格越貴越有人買(當然也要有質量做基礎) (品牌>價格)
................
不同的產品,廣告的效果大不同
2)論廣告的投放方式
廣告投放的時候需要考慮投放方式,即不同媒體的成本,和受眾。
簡單地說:
大眾消費品:適合電視廣告。
體育運動產品:適合戶外廣告。
汽車:適合路邊廣告。
日常生活用品:電視劇軟廣告。(家庭主婦不但負責採買日用品,也愛看連續劇)
時尚品:時尚雜誌。
...................................
正確的投放方式可以事半功倍
3)論廣告的主旨。這個最重要。
凡是廣告總是要宣揚一個主旨,一種企業理念。即企業形象,產品形象的塑造。
看看成功案例:
腦白金:年輕態,健康品。
王老吉:怕上火就喝王老吉。
不要小看這一點。廣藥經營王老吉幾十年都沒起色,加多寶就靠這一句廣告,幾年就做到家喻戶曉了。(雖然廣告費也沒少花,但是如果選錯了主旨,就事倍功半了)
看看失敗的案例:
某乳製品企業(我就不說是誰了)。廣告的內容是:窗明几淨的加工車間,帶著白色手套和口罩的工作人員,站在巨大的現代化的不鏽鋼容器和機械設備前。牛奶正從無鏽鋼容器中通過一條條的管道緩緩流出,灌裝到一個個玻璃瓶中。。。。。
看出問題來了嗎?
消費者看過以後首先覺得:
這多麼像一家化學品工廠啊。天知道你們在那間密不透風的車間中,往牛奶裡添加了什麼不可告人的東西!
而企業的高管想要展現的是:他們的車間是多麼的現代化,多麼嚴密的質量把關,有多麼一絲不苟的工作精神。
但是消費者對這個完全不感興趣。他們關心的是你的原料是否健康,是不是純天然。
他們想看到的是:藍藍的天空,青青的草地,美麗的奶牛在悠閒地吃草。
所以不能把握消費者需求的廣告,勢必悲劇!
當然你還是可以看到一些啤酒企業繼續宣傳他們的車間。。。。。。。
一些白酒企業繼續宣傳他們的窖泥。。。。消費者根本就不關心你的窖泥。
請客吃飯,喝高檔白酒,要的是排場,要的是夠面子!關窖泥啥事?
國酒茅台,人民大會堂專用!足以~
------------------------------
至於:那些廣告費是「維持」企業競爭力的支出,哪些是「提升」企業競爭力的支出。
這個確切是多少,誰也不知道,企業的高管自己也不清楚。但是能估計。
不過正如看病說不清吃多少藥能好。
這個問題,只能按療程吃藥,直到恢復健康。
公司的高管進行持續的投入,直到能夠維持競爭地位。(到此為止都可以看做是維持品牌,所必須的)
如何估計呢?
一般認為在沒有出現巨大技術革新,產業結構變化,較大價格變化,較大質量變化的情況下。
恰好保持市場佔有率,所需要的廣告費就是必須的。即:在此基礎上為了提高市場佔有率所需要的部分就是非必需的。
所以通過市場佔有率可以大概的判斷。
如果沒有大的變革的話可以假設廣告的效率不變。即廣告費用/銷售收入 的比值不變。
(廣義的來講就是 銷售成本/銷售收入 不變)
也可以用競爭對手的數據來推算。
這樣用歷史數據就可以大概的判斷。即維持現有市場佔有率大概需要多少廣告投入。
(不過 有時成本減小,收入不變是由於市場開拓已經成功。)
實際上來講:
報表上的東西必須和實際相吻合。就如同年報上銷售收入很高,調研的時候卻發現它的產品根本就賣不出去。這樣是不行的。
廣告是:不看報表,看銷售情況的 (實際銷售情況——即療效)
一雙襪子的10倍增值之旅啟示錄:中國研發投入強度去年創新高
http://www.yicai.com/news/2012/10/2187249.html一款普通的針織襪出口價格僅0.25美元,而增加幾項專利技術的襪子售價卻能達到10倍。嚴寒的外貿「冬天」,一些企業正在通過研發投入和專利搶佔有利地位。
這也可以從一組數據獲得佐證。國家統計局、科技部、財政部昨日發佈數據稱,2011年我國共投入研究與試驗發展(R&D)經費8687億元,比上年增長23%;經費投入與GDP之比為1.84%,高於上年的1.76%。而我國的研發重鎮主要是江蘇、廣東、浙江、上海等地,它們的經費投入強度均達到或超過全國水平。
研發投入帶來高利潤
據國家統計局社會科技和文化產業統計司副司長賈楠介紹,R&D投入力度和強度是國際通用的反映一國科技投入規模和水平的重要指標。2006年以來,我國R&D經費投入增速一直保持在20%以上,投入強度從2006年的1.39%持續提高到2011年的1.84%。
這樣逐漸走高的數據也與我國近年的專利成就相印證,2009年,國內發明專利授權量首次超過國外在華發明專利授權量;2011年底,我國已擁有國內發明專利35.1萬件,首次超過了國外在華發明專利擁有量。
華為公司日前給《第一財經日報》發來的一份數據就顯示,其每年堅持在研發領域的投入不低於當年銷售收入的10%,2011年的研發投入為237億元人民幣;超過44%的員工專注在研發領域(62000多人)。2011年,華為的PCT申請量居於全球第三。同行業的中興通訊在這方面的成績也毫不遜色。
如果說科技公司的研發是應有之義,那麼一些輕工業產品也在增加技術含量則是可喜的變化,本報記者近日在佔據我國襪業產量65%的浙江大唐鎮採訪時注意到,即便是普通的襪子也都在追求更多的功能,進而攫取更高的利潤。作為龍頭企業的浙江襪業有限公司總經理趙文均說,其生產的襪子最貴的一雙出廠價達200元,除了原料上佳之外,其增值的部分就靠功能和技術。
大唐鎮宣傳委員宋健珍稱,有家原本做襪業的企業增加了手套業務,但並不是傳統的手套,而被稱為「i手套」——觸屏專用手套,因為伴隨蘋果手機等觸摸式電子產品的流行,戴著普通手套無法令觸屏產品感應,尤其是冬天不便。該公司的研發團隊就研發出拇指、食指和中指指尖部分加入傳導材料製成的觸屏感應型手套,可讓人們在戴著手套保暖的同時順暢地操作觸屏類電子設備。
提升研發投入的效率
研發投入換來專利,繼而帶來巨額利潤。這也是西方一些成功企業的商業邏輯,不過我國目前的研發投入總額相比國外還有差距,投入的產出比以及研發效率亦有不小提升的空間。
此前,中國歐盟商會就發佈《創新迷途:中國的專利政策與實踐如何阻礙了創新的腳步》報告,稱儘管中國專利數量增長迅速,但質量並未得到相應發展,高質量專利佔比偏低。雖然其結論有所偏頗,但同樣可資提醒:投入的數量提升,也應該伴隨著投入的質量提高。
在國內,無論是研發投入還是專利數量主要還是和自己人比,只有走出國門到海外,其實力才會得到更加確鑿的檢驗。一家美國律所的合夥人湯姆·歐文(Tom Irving)從事醫藥領域的知識產權服務三十年,他曾告訴本報,一些中國生物醫藥企業研發水平相當高,他們律所也幫不少中國企業代理海外申請專利,成功率也頗高。他認為中國在科技創新領域的實力已有較大的進步,中國企業在研發上的投入也並不少,尤其是它們在中醫藥領域的研發,非常有助於在國際上拓展市場。
去年,各類企業經費支出為6579.3億元,比上年增長26.9%。它們已經成為我國創新的主體,如果說企業的研發投入主要是基於利潤,那麼國家財政在科技方面的投入則是立足於多重效應。2011年,國家財政科學技術支出4902.6億元,比上年增長19.2%;財政科學技術支出佔當年國家財政支出的比重為4.49%。其中,當然會有一部分被用於獎勵技術創新、專利申請等。這在相當程度上起到了槓桿作用,刺激企業投入更多的資源進行研發。
上述報告曾提到,一些中國企業、官員和學者為了達到專利申請量的指標,以獲得財政支持和業績評估,提出了一些低質量的專利申請,以至於有聲音傳出,乾脆取消這種獎勵,或許可以降低造假的可能。不過,專注於知識產權業務的美國飛瀚律所管理合夥人林藝思說,其實對科技創新的獎勵補貼還是有必要的,因為它確實可以一定程度上鼓勵企業創新,哪怕有些瑕疵。(記者繆琦對本文亦有貢獻)