基于大数据的互联网化存量经营(完整资料)

基于大数据的互联网化存量经营(完整资料）(可以直接使用，可编辑优秀版资料，欢迎下载）

基于大数据的互联网化存量经营基于大数据的互联网化存量经营(完整资料）(可以直接使用，可编辑优秀版资料，欢迎下载）随着移动技术的升级和移动终端价格的不断下降，多数市场的移动用户渗透率超过了１００％，移动市场的发展重点也从增量发展模式进入存量发展模式。在存量模式的情况下,减少用户流失、延长用户在网的生命周期、提升用户价值、发掘用户的非通信价值,成为运营商新型存量经营的重中之重.运营商要建立“以客户价值和体验为中心”的经营模式，依托大数据挖掘存量用户价值，延伸用户非通信价值，进行互联网化经营。１移动增量市场经营出现拐点数据来自2０13年德国电信分析报告中国移动增量市场的饱和点将在2015年前后出现。中国移动市场经历了十几年的迅猛增长期,如今已经进入平稳增长，预计２０15年全国移动渗透率超过100％，增长率在6%左右。从韩国经验看，移动通信用户渗透率超过１00％以后，净增用户将快速下降。按照目前的中国移动业务发展速度，在201５年前后中国新增移动通信市场空间将出现拐点。中国4Ｇ网络建设和规模商用将弱化中国联通3G优势，显著减少潜在用户的转入。在3G商用以后长达5年的制式红利将随着4Ｇ的商用终结,对流量应用存在偏好的用户将在WCDMA网络以外寻找可能的服务替代提供者，这也将进一步压缩增量市场的空间.中国联通目前的成本比重不能支撑进一步通过高额优惠和补贴开拓新增用户市场.从资本市场的资产盈利能力看,中国联通目前的成本包袱最重，以这样的姿态进入4G时代后,难以再通过进一步的高额终端补贴和产品优惠策略与中国移动、中国电信争夺增量市场。市场饱和将使运营商对纯新增市场的争夺转为对既有存量市场的争夺。上海移动市场是一个高度发达的市场，渗透率已经达到13５%,上海移动电话市场饱和导致新增市场空间越来越小,三家运营商的用户新增主要来自对竞争对手存量用户的抢夺，类似现象将成为全国性的普遍趋势.新增用户价值贡献下降，发展规模趋稳,继续维持高速业务增长难度较大。从3G商用以来的情况看,新增用户总体数量目前稳定在每月净增400万户的水平,但新增用户AＲPU下降明显,造成移动业务总体收入的增长没有出现可持续的上升态势。单纯依靠新增，已经无力维持上海联通继续保持较大的增幅。移动通信全行业面临来自增量市场的经营压力日益加大。上海联通也面临市场饱和带来的巨大风险，内外的变化和挑战促使上海联通的经营思路和模式转型势在必行。２增量经营向新型存量经营转变势在必行释放存量用户的通信外价值，主要依靠大数据能力变现和现有电信级能力的开放。从增量经营体系向新型存量经营体系转变，是运营商现实的选择.而现实选择中的三大问题将引导我们进行有效的思考和实践。问题之一：为什么要进行存量经营？已有存量用户的通信价值尚有巨大可开发空间。随着中国经济的发展，社会购买力的逐年增长和通信消费单价的逐年下跌形成了显著的剪刀差效应，从消费能力看，存量用户具有进一步的通信消费潜能。按国际通行标准，通信消费占人均国民收入的合理比重为3%,预计两年后中国人均国民收入将达到8000美元／年，通信消费合理水平为120元/月,相当于目前全国移动用户ＡRＰU的2～3倍。长期以来中国运营商缺少对用户潜在价值和社会传播价值的二次开发,在客户既有价值、客户潜在价值、客户传播价值的发掘、管理、释放中，同国际发达市场的通行客户价值评价标准存在较大的差距.国际运营商对存量用户的潜在价值和社交价值的二次开发已经形成常态。把握存量经营的价值规律，尽早实现存量用户潜在消费能力的释放，不仅可以实现收入倍增，而且可以带来良好的社会品牌传播效益，助推经营局面的进一步优化。国际运营商的存量经营实践和教训已经表明，有效的存量经营能够应对市场变化带来的风险。日本KDDI在２01１年的时候也面临上海联通类似的市场环境，通过强化存量管理职能、加大丰富全量用户的维系资源投入、加强大数据分析与流量经营能力的建设,取得了显著的成绩。通过创新的存量经营,KＤDI成功面对４G挑战,保持了收入和利润的有效增长.T—Moｂｉle美国公司本来有着良好的客户基础，从20０6年开始,由于3G业务的启动，其战略方向过多地向新增市场倾斜，而忽视了对存量用户的保护，导致用户满意度下降、流失率高企,最终付出了惨痛的代价。问题之二:依托什么进行存量经营?存量经营面向十多倍于新增用户的价值个体,面对存量用户的精准营销和个性服务是实现存量经营资源合理配置的根本要求.以大数据为依托开展存量经营，实现上海联通内部运营从“粗放型”向“精细化"发展,通过提升三个方面能力进行驱动转型:提升大数据收集和分析能力;不断满足客户的个性化需求能力；提升资源利用率、提升资源投入的适时性和渠道投放的准确性。互联网富ID化导致了手机号码的价值萎缩，来自价值链上下游的竞争要求运营商通过大数据,重新建立以手机号码为核心的生态圈,夺回主导权.OTT对用户的争夺，使在原有电信生态圈中至关重要的手机号码在新的移动互联网生态圈中被非主流化。通过大数据采集和识别机制，将所有的用户互联网ID重新实现对手机号码的映射整合,实现“以我为主"，是运营商向上下游争取更多价值生存空间的必然选择.释放存量用户的通信外价值，主要依靠大数据能力变现和现有电信级能力的开放。运营商需要转变经营模式，从关注用户规模的增长转向关注用户价值的提升。而提升用户价值的核心，在于将用户行为数据、网络数据、业务数据等货币化；不同运营商的网络已经高度同质化,运营商只有通过对用户行为、服务质量等各类海量数据的分析,推出各类个性化的业务和基于通信上下游的业务，才能获得差异化竞争能力。以大数据为依托开展存量经营，需要实现对内运营优化和对外价值变现.存量经营的庞大用户基数,必须通过大数据确定资源配置的方向，实现内部经营效率的最优化;围绕大数据,充分发挥大数据的价值，是建立以运营商为主的移动互联网生态圈的捷径；大数据作为运营商的资源,具有突出的可交换外延价值,且这种价值与存量经营用户规模和活跃度正相关。问题之三：采用什么模式做好存量经营?基于传统电信业务的经营模式已经没有出路。随着OTT蓬勃发展，用户传统通信业务使用意愿下滑趋势已不可避免。这种替代不仅对短信、彩信等增值业务形成替代效应,而且大量分流了语音业务。中国移动连续8个季度出现MOU同比下滑，语音时代的拐点已经显现.“第三、第四波收入（纯数据连接和数字化服务)”价值的挖掘,代表着运营商在未来可持续发展中的出路，互联网化的经营模式契合未来收入结构的变化趋势。运营商的互联网化与运营商的第四波收入紧密结合。从全球视野来看,数字化服务市场已经处于萌芽期，获取第四波收入先机对于未来中国联通的发展至关重要。尽早通过第三波收入转型,实现业务模式的互联网化转轨，也为第四波收入的获得提供了先决条件.全球电信网络新型数字化服务业务，包括数字内容、聚合平台、信息安全、数字医疗、数字环保、物联网、移动支付、移动商务８项新收入来源。市场预计其规模在２０16年将达到75亿美元，年复合增长率达37％。从国际趋势看，未来互联网化流量经营的价值提升潜力巨大.通过行业对标,中国联通等国内运营商在全球范围内的第三波收入转型中仍处于初级阶段,具有较大提升空间.互联网化的经营模式，为从提供管道向提供内容服务的转变,从而获取异质性收入创造了可能。在移动互联网时代,运营商已经不可能凭一己之力，来提供所有服务，也不可能在“围墙花园”内满足用户不断延伸和变化的需求，运营商需要搭建聚合平台来实现范围经济，这要求新的互联网化的商业理念,即从提供管道转向提供管道和内容聚合的一体式服务。以互联网化的流量经营带动存量经营,中国联通具有先发优势。中国联通3G用户的数据收入占比,在２013年跨越了50%的里程碑（含上网卡）,领先中国移动15个百分点.经过5年来的市场培育，中国联通已在移动数据业务先锋消费群体和意见领袖中普及了“上网快,就选沃"的先行者形象。在此基础上，进一步激发存量用户的移动数据业务使用量,形成相对于主品牌的错位移动数据品牌优势，将大大有助于存量3G用户在4G时代的保有和价值开发。3存量经营的实现路径依托大数据的互联网化存量经营体系，就是用互联网的思维、文化、精神、模式来运营上海联通的存量用户和市场。这里面重要的工具就是大数据，通过大数据的分析来做存量.互联网提供给我们无限的存量保留和增值空间。在互联网领域里,用户消费的不仅仅是电信市场提供的通信产品,还有很多在实体社会上消费的内容，包括可以购物、支付、旅游、娱乐、社交、政府服务等.这些领域给存量经营提供了很大的空间，只要我们很好地把握用户的消费行为、知道用户的需求，就可以为用户提升价值,甚至为用户创造新的价值，这就使聚焦存量用户和市场,使用大数据分析工具和互联网化的思维来运营,变得非常具有现实意义。存量经营的主题核心转变为“存量的用户和市场”；价值来源转变成对内使“存量用户和市场”使用“更多的成熟通信产品和创新型产品"，对外“存量用户和市场的非通信价值的变现”；存量用户和市场的大量消费行为数据,将在大数据分析工具的挖掘下，逐步把对内(精准高效运营）和对外价值（依托大数据对外合作）显现出来;而“存量经营的运作思路”则要向“互联网化思维”转变，使其产品、经营策划、渠道、互联网开放合作能力、组织流程和人员配置互联网化.存量经营体系的实现模式基于上海联通的运营实践,存量经营有三种基本实现模式：第一种，提升单用户使用量，激活用户的传统通信价值;通过延长用户的生命周期，增加通信量,使用大数据的挖掘分析手段充分释放潜在传统通信需求。第二种，以流量经营为抓手，提升用户的新业务价值;增强存量用户对数据业务的黏性固化,管道经营转向内容经营，流量经营后向收费，通过大数据手段来研究用户互联网行为，寻找流量业务使用的开关。第三种,以规模庞大的存量用户为资源创造通信外价值；基于在网用户开展互联网化的价值经营和资源交换，实现大数据分析能力和结果的直接变现，以及对外开放电信级能力（计费、精准营销、质量保证等)。存量经营体系的实现路径基于上面的三种实现模式，结合现有的联通生产经营系统,可从三个方面来实现存量经营。关注目标:指标体系再定义，以广义的互联网业务为核心,关注过程目标，特别是用户体验反馈.经营能力:产品体系再设计、营销体系再构造、渠道体系再优化，构建互联网化的运营模式。承载能力：支撑体系再完善，组织架构相适应,拥有适应互联网化的支撑体系.在实际工作中，上海联通聚焦6项工作来构建依托大数据的互联网化存量经营体系。指标体系再定义:建立以数据及数字化服务收入为核心的存量经营指标体系；从关注经营结果指标过渡到经营过程指标，从关注通话收入指标过渡到关注用户互联网行为指标,从关注服务提供指标过渡到关注服务感知指标;建立完善的用户互联网行为分析体系,是洞察用户互联网潜在需求、迎合移动互联网发展趋势的必然选择.从关注用户用了多少，到关注用了什么和怎么用的，更能帮助运营商摈弃甲方心态,理解并制定适应移动互联网趋势的智能管道政策.产品体系再设计:重新打造迎合第三、第四波收入趋势的产品体系；结合用户需求的大数据精准解构,推动流量型产品的进一步丰富,后向收费在产品、内容、大数据及能力开放三个方向加以体现，建立大数据变现产品和能力开放体系。营销体系的重构造：创新营销举措，实现电信业务的互联网化经营；建立面向全业务、全用户的流量经营策划体系，全面深入地统一内容运营,面向垂直领域，从“电信服务"向“ICT应用服务”转变；结合自身优势，确定互联网教育、互联网健康、互联网金融服务、互联网企业信息安全等领域作为重点发展领域，深度介入互联网生态圈。渠道体系再优化:借助广阔的互联网载体，实现运营推广的互联网化；善于打造全渠道的互联网化销售体系，加大对合作渠道的扶持力度，探索新型联盟渠道互联网合作模式,实现线上线下渠道的集成,向用户提供一致的多渠道体验，丰富电商和互联网线上两类在线渠道体系。支撑体系再完善：遵循平台化体系策略，拓展产品聚合、能力开放、大数据智能营销和智能管道四方面能力;聚焦精准的大数据营销能力、开放的业务平台能力、智能的大网管道能力、灵活的IＴ平台能力。组织架构相适应:实现存量经营职能的独立化、互联网化运作；实现管运职能分离、发展与存量经营职能分离，建立互联网化的存量专属经营团队,建立符合互联网化架构的激励和运营机制。4依托大数据的互联网化存量经营体系实践上海联通从２013年下半年开始构建新的存量经营体系，去年年底体系正式建成。今年第一季度，上海联通新增各类数据叠加包用户５９万户，同比增长了19０％,比去年第四季度增长70％左右；累计公众存量用户的保有率同比提升１．4个百分点，累计后付费用户续约率同比提升1６个百分点，续约后用户的ARPU明显提升；手机用户的数据业务收入占比同比提升5。６个百分点，用户的户均流量同比提升３6％。上海联通还成功实现大数据变现的第一个非通信收入的商业项目，通过依托大数据精细化流量的相关业务营销，平台营销成功率较先前提升了7。５个百分点,用户对增值业务类产品和营销的满意度提升近10个百分点。在取得客观经济效益的同时,通过大数据的运用,流量经营的内部管理效能也得到了长足发展,并在业界形成了一定的标杆效应，品牌影响力不断提升.结语：上海联通“基于大数据的互联网化存量经营”的运营实践刚刚开始,还需要在实践中不断发现、探索、提升.希望通过这种探索，在传统电信行业中寻找到一种新的发展方向、新的经营模式:第一，把存量和增量经营适当分离;第二，把存量经营与大数据、互联网进行结合。管道只是一种手段，管道背后连接的是人和物，价值聚焦在连接的对象上,而不仅仅是连接的手段上.上海联通正在进行的“基于大数据的互联网化存量经营”就是真正关注和了解用户，持续挖掘和提升存量用户的价值。基于PKI技术的数据加密解密解决方案目录TOC\o”1—3”\h\z\uHYPERLINK\l”_Toc421185873”1背景-1—HYPERLINK\l”_Toc421185874”1.1应用背景-1—1.2PKI理论—1—HYPERLINK\l”_Toc421185876"1.2。1公钥基础设施PKI-1—1.2。2对称加密算法—2-HYPERLINK\l”_Toc421185878”1。2.3哈希算法-2-_Toc421185880”2产品概述—4—3.1产品功能架构-5-HYPERLINK\l”_Toc421185883”3。2产品功能组件-6—HYPERLINK\l”_Toc421185884”3.2。1密钥管理中心(KMC)-6-HYPERLINK\l”_Toc421185885”签发中心（CA)-8—_Toc421185887"3.2。4存储发布系统（CRL）-16—HYPERLINK\l”_Toc421185888”3.2。5在线证书状态查询系统(OCSP）—17—_Toc421185890”3。2。7数据加密/解密、签名/验签中间件-19-3.3。1部署灵活、操作简单—19-_Toc421185894”3。3。3广泛的平台兼容性-20-_Toc421185896"支持国密算法—21-HYPERLINK\l”_Toc421185897”3。3.6支持LDAP发布证书-21—支持自定义证书模板-22—HYPERLINK\l”_Toc421185900"3。3。9支持管理员三员分立-22—4.1数据传输安全要求-23—4.2数据传输安全方案—23-HYPERLINK\l”_Toc421185907"用户身份鉴别—23—HYPERLINK\l”_Toc421185908”4。2。2数据加密传输—23—HYPERLINK\l”_Toc421185909"5某即时通信平台数据加密传输方案实现-25-5.1需求总体描述-25—HYPERLINK\l”_Toc421185911"5。2方案总体描述-26-5.3方案接口描述-27-证书申请接口—28-5.3。4数据加密接口—28—5。3。5数据解密接口—28—5。4方案具体业务流程—28-HYPERLINK\l”_Toc421185919”5.4。1P2P在线和离线消息-29-在线消息—30—_Toc421185922"6产品规格—32-7。2首创集团-35—基本原理是将原文用对称密钥加密传输，而将对称密钥用收方公钥加密发送给对方.收方收到电子信封,用自己的私钥解密信封，取出对称密钥解密得原文。其详细过程如下：（1）发方A将原文信息进行哈希运算，得一哈希值即数字摘要MD.（2）发方A用自己的私钥PVA，采用非对称算法，对数字摘要MD进行加密，即得数字签名DS。（3)发方A用对称算法的对称密钥SK对原文信息、数字签名SD及发方A证书的公钥PBA采用对称算法加密，得加密信息E。（4）发方用收方B的公钥PBB，采用非对称算法对对称密钥SK加密,形成数字信封DE，就好像将对称密钥SK装到了一个用收方公钥加密的信封里.（5）发方A将加密信息E和数字信封DE一起发送给收方B。（6）收方B接受到数字信封DE后，首先用自己的私钥PVB解密数字信封,取出对称密钥SK。(7）收方B用对称密钥SK通过对称算法解密加密信息E，还原出原文信息、数字签名SD及发方A证书的公钥PBA。（8）收方B验证数字签名,先用发方A的公钥解密数字签名得数字摘要MD。（9)收方B同时将原文信息用同样的哈希运算，求得一个新的数字摘要MD’。（10）将两个数字摘要MD和MD'进行比较，验证原文是否被修改。如果二者相等,说明数据没有被篡改，是保密传输的,签名是真实的；否则拒绝。这样就做到了敏感信息在数字签名的传输中不被篡改,未经认证和授权的人看不见原数据，起到了在数字签名传输中对敏感数据的保密作用。某即时通信平台数据加密传输方案实现需求总体描述某即时通信平台为第三方平台用户提供P2P、P2S、S2P的在线消息和离线消息传输转发服务，消息传输采用TCP/HTTP协议和JSON格式，需要对消息体进行安全封装，在客户端进行SDK调用，实现数据传输的自动加密和解密，确保数据传输的安全。图5—1某即时通信平台消息传输转发服务方案总体描述通过ETCA数字证书认证系统和数据安全中间件构建某即时通信平台数据安全传输基础设施。通过ETCA数字证书认证系统为某即时通信平台提供用户和服务器的密钥产生、证书签发与管理.通过数据安全中间件为客户端和服务器提供数据传输的加密、解密、签名、验签服务。方案总体流程如下:图5-2数据安全传输总体流程方案接口描述根据业务需求，数据安全中间件提供以下主要接口。证书检测接口检测终端上是否已存储当前用户的证书和私钥。证书申请接口向ETCA数字证书认证系统提交用户证书申请信息，获取返回的证书下载凭证（授权码）.证书下载接口通过用户ID和证书下载凭证（授权码）到ETCA数字证书认证系统下载当前用户的证书和私钥并在用户终端上安全存储。数据加密接口根据接收方用户ID从ETCA数字证书认证系统自动获取接收方用户的证书,并对发送数据进行数字信封加密。数据解密接口使用当前用户终端上安全存储的私钥对接收到的数据进行数字信封解密。根据业务的拓展需求,可进一步提供证书更新、吊销等证书管理接口、数据签名接口、数据签证接口等。方案具体业务流程针对某即时通信平台的业务应用场景，数据安全中间件提供服务的具体流程如下。P2P在线和离线消息P2P在线离线流程1发送方用对称密钥加密数据2发送方用接收方公钥加密对称密钥3接收方用私钥解密加密后的对称密钥4接收方用解密后的对称密钥解密密文1发送方用对称密钥加密数据2发送方用接收方公钥加密对称密钥3服务端保存加密数据4接收方用私钥解密加密后的对称密钥5接收方用解密后的对称密钥解密密文模型P2S在线消息P2S在线离线流程1发送方用对称密钥加密数据2发送方用服务器公钥加密对称密钥3服务器用私钥解密加密后的对称密钥4服务器用解密后的对称密钥解密密文无模型S2P在线和离线消息S2P在线离线流程1服务器用对称密钥加密数据2服务器用接收方公钥加密对称密钥3接收方用私钥解密加密后的对称密钥4接收方用解密后的对称密钥解密密文1服务器用对称密钥加密数据2服务器用接收方公钥加密对称密钥3服务端保存加密数据4接收方用私钥解密加密后的对称密钥5接收方用解密后的对称密钥解密密文模型产品规格功能模块实现能力KMC密钥管理中心密钥生成密钥分发密钥更新密钥恢复密钥归档密钥销毁证书签发系统CA证书签发证书更新证书冻结证书解冻证书吊销证书恢复证书管理系统RA证书/证书撤销列表申请证书/证书撤销列表审核证书/证书撤销列表生成证书/证书撤销列表签发证书/证书撤销列表存储证书/证书撤销列表发布证书/证书撤销列表注销证书/CRL存储发布系统证书发布证书存储证书撤销列表发布证书撤销列表存储系统管理安全策略设定组织机构、用户同步用户管理（新增、删除、修改、密码重置、密级）组织机构管理(新增、修改、删除组织机构节点）管理员账户管理用户登录策略用户邮箱容量管理日志记录、审计用户日志记录、审计邮件发送日志记录、审计管理员操作日志记录、审计数据安全中间件数据加密、数据解密数据签名、数据验签数字证书申请、下载、更新、吊销等管理案例介绍黑龙江移动中国移动通信集团黑龙江有限公司（以下简称黑龙江移动公司）隶属于中国移动通信集团公司,是中国移动有限公司在黑龙江设立的全资子公司,已经建设了大量业务支撑系统服务于移动网络用户，为了系统的安全运行,黑龙江移动公司已经将所有业务支撑系统的访问入口集中在4A系统中,并进行操作行为审计。但用户登录认证4A系统依然使用传统的用户名密码方式，安全隐患很大，需要采用安全的身份认证方式进行改造。为了满足4A系统安全、准确识别用户身份的需求，黑龙江移动公司采用时代亿信CA认证产品，构建企业数字证书认证系统，集中对全省业务系统用户签发数字证书并作为身份认证的唯一凭证。通过与4A系统的深度集成，在4A系统的用户管理功能模块中直接管理用户证书的申请、下载、制作、更新、作废等操作,方便了管理员的日常管理，同时，深度集成又继承了4A系统的分级管理体系,省公司、地市公司都具有分级管理员，便于日常证书的管理维护操作。黑龙江移动CA认证系统技术架构如下图所示：首创集团北京首都创业集团有限公司（以下简称“首创集团”)是北京市国资委所属的特大型国有集团公司。自1995年重组以来，首创集团已构建起以水务为核心的技术设施产业、以城市住宅开发建设为核心的房地产业和以投行并购业务为核心的金融服务业等三大核心主业，并逐步发展成为战略定位明确、发展思路清晰、主营业务突出、品牌知名度较高、综合实力较强的城市综合投资控股公司,是北京市乃至全国具有一定影响力和带动力的大型企业集团公司。首创集团的信息化工作进行的比较早，OA系统、HR系统、财务系统等信息应用系统逐步上线推动了首创集团信息化的建设，提升了首创集团各项业务的办理效率，促进了首创集团的发展。但简单的用户名/口令登录方式，多系统频繁登录操作也给首创集团带来了网络安全隐患，暴露了效率提升的瓶颈。为此2005年首创集团引入时代亿信ETCA数字证书系统为首创集团建设统一身份认证中心，为全集团各应用系统提供安全身份验证。系统上线后,运行稳定，提高了用户工作效率,提高了首创集团网络环境的安全程度。北京人民广播电台北京人民广播电台(以下简称北京电台）是拥有独立发射机构的国有广播电台。该台成立于1949年2月2日，全台辖有9个专业广播、17个职能部门以及全资国有的北京广播公司,旗下员工总计1300余人。2003年11月8日,北京电台成为了全国省级电台中首家通过ISO9001质量管理体系认证的电台。该体系的引入，促使了北京电台在频率定位、节目研发、节目生产、质量监控、售后服务、市场监测、人事、财务、设备管理等方面，建立起较为完善的规章制度，同时促使相关工作运行有序、高效；该体系的引入，培养了北京电台员工严谨细致的工作作风，严格的过程控制管理，使各项工作实现高质量、高品位,确保北京电台在媒体发展与竞争中自我完善、创新进取。同时北京电台在信息化建设方面取得的成就同样斐然：是业内较早引入电子签章系统、CA系统的电台之一，是在广播领域较早开展信息化基础建设以提高工作效率的电台之一。北京电台有许多工作需要进行电子签章以促进工作流程快速进行，但如何对电子签章进行安全身份认证是存在的一个问题。为此,北京电台采购了时代亿信ETCA数字证书系统为电子签章业务提供安全身份认证服务，保证了北京电台签章工作安全、高效、有序的进行.产品自上线以来，性能稳定，为北京电台信息安全提供了极大的支持。基于数据库安全审计的研究来源:CIO时代网WillieＳuｔtoｎ是十九世纪二十年代闻名一时的银行大盗,当他被问为什么抢劫银行时曾说过一句经典的话：“因为那是放钱的地方”.在当今世界，所谓的“钱”就是信息，而一个公司最有价值的资产就存放在其数据库中。因此,如果WilliｅＳuｔｔoｎ是一个黑客的话，他一定会把目标瞄准数据库,因为那就是公司存放“钱"的地方。数据库显然存放着最真实和最有价值的那部分资产：可能是知识产权(如可口可乐的配方),也可能是价格和交易数据或者客户信息.这些重要数据,一旦被人非法窃取篡改将带来难以想象的严重后果。下面是近年发生在我国的一起典型通过非法篡改数据库牟利的案例。张某于２０00年进入某电信运营商分公司工作,担任该公司综合市场部计费及维护员。张某作为公司计费营帐系统的管理员,拥有该系统的工号和密码,可以直接进入该系统进行查询、调研和数据统计等工作。该计费营帐系统与充值卡数据系统分属于不同的系统，但共用同一数据库.按照该分公司对计费及维护员职责的规定，张某无权对公司计费营帐系统内的充值卡数据进行新生成或修改。200４年期间,张某在办公室的电脑上用自己掌握的密码，进入了该分公司的充值卡数据系统，通过运行数据库的操作语言修改了数据库中的充值卡数据,将已充值使用过的每张面值为50元的70０0张充值卡修改为未使用的状态。其后,把充值卡的卡号、密码等数据按面值七折的价格出售给他人,获利20万余元,造成该公司经济损失达2９。25万元。目前，国内类似上述数据库的重要数据被内部员工非法篡改牟利问题已日益增多，数据库信息安全面临严峻挑战，并已引起各单位高度重视,成为迫切需要解决的问题。其重要陛，不言而喻.１威胁与风险并存由于单位数据库系统用户众多,涉及数据库管理员、内部员工及合作方人员等，因此网络管理更加复杂，单位数据库面临的主要安全威胁与风险总结如下：1．1数据库账户和权限的滥用表现一：缺少针对数据库管理员监控机制。数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便，窃取、篡改、毁坏重要业务数据，对单位数据库安全的打击将是巨大的。国内某著名网络游戏厂商高管王某非法修改游戏服务器数据牟利就是一个很典型的例子，王某利用职务便利,非法修改网游数据库服务器的游戏装备数据,然后通过网站私下交易出售给其他玩家，非法获利2０0余万，给单位造成难以挽回的重大经济损失.表现二：合法用户权限滥用。数据库系统的操作管理采用分权管理形式，包括多个账号，如普通账号、用于数据库日常维护的临时账号；如果上述账号权限被内部人员或合作方人员用来窃取、恶意损毁数据库的重要业务数据，在短时间内管理者极难察觉发现数据被篡改或删除，事后也难以追查取证，造成难以弥补的损失。１．2数据库自身日志审计的缺陷表现一:难以实时监测发现问题.数据库系统自身的14志审计功能可以记录各种数据库系统修改、权限使用等日志信息,并不能帮助管理者及时发现定位问题；同时由于不能实时监测报警，因此在数据库异常安全事件发生时，无法第一时间报告给管理者，导致管理者不能及时采取有效措施。表现二:影响数据库服务器运行与性能。数据库６1身日志审计也会t与用了大量的硬盘空问，降低数据库服务的性能，甚至可能影响正常应用的顺利进行，同时面对成千上万条日志记录，很少有数据库管理员为了寻找几条有用的项目,去查看数千的审计日志条目,因此如何筛选出有用信息也是客观存在的问题.2安全需求紧迫根据对单位数据库系统的威胁与风险分析,单位的数据库安全需求主要集中在以下方面:一是,全面监测数据库超级账户、临时账户等重要账户的数据库操作。二是，实时监测数据库操作行为,发现非法违规操作能及时告警响应。三是，详细记录数据库操作信息，并提供丰富的审计信息查询方式和报表,方便安全事件定位分析，事后追查取证。同时根据美国国防部TCSEＣ/ＴDＩ标准中关于安全策略的要求，数据库审计是数据库系统达到c2级以上安全级别必不可少的一项。因此需要单位网络中部署专业的数据库安全审计系统，可有效监控数据库访问行为,准确掌握数据库系统的安全状态，及时发现违反数据库安全策略的事件并实时告警、记录，同时进行安全事件定位分析,事后追查取证，保障单位数据库安全。３数据库安全审计系统介绍数据库安全审计系统是通过对网络数据的采集、分析、识别，实时监控网络中数据库的所有访问操作,发现各种违规数据库操作行为，及时报警响应操作还原，实现数据库安全事件的准确跟踪定位，保障数据库系统安全。数据库安全审计系统模型包括两个部分：一是审计数据采集器,用于采集审计数据，并存储为审计日志；二是审计数据分析器，负责分析审计数据采集器发送的数据；审计数据字典则是数据库审计规则库.数据库安全审计系统首先收集来自用户的事件,当用户进行数据库访问操作时,采集器根据审计数据字典，判断其数据库访问行为是否为审计事件，当数据库访问事件满足审汁报警记录条件时，分析器则向管理人员发送报警信息并把用户对数据库的所有操作自动记录下来，存放在审计日志中。审计日志记录的内容一般包括：用户名称，操作时问，操作类型(如修改、查询、删除），操作所涉及到相关数据（如表、视图等)等。利用这些信息,可以进一步找出非法存取修改数据库的人员及其修改时问和修改内容等.同时管理人员也可以通过手工查询分析审计信息，并形成数据库审计报告.审计报告通常包括用户名称、时问、具体数据库操作（包括采用什么命令}方问哪些数据库表、字段)等。当发现新数据库访问具有潜在危害性，而审计数据字典未制定的对应审计规则，管理人员可以在审计数据字典中更新审计规则。在安全审汁模型中，数据库审计日志信息起着非常关键的作用,它记录了各种类型的数据库访问事件，为管理人员提供了事后审汁的依据,同时帮助管理人员实时掌握数据库操作事件的动态。４基本标准评价是否能够很好地帮助管理者完成对数据库访问行为的监测是数据库安全审计系统的基本标准。一个完善的数据库安全审计系统应该从几个方面评价：一是，具有全面丰富的数据库审计类型。二是,具有细粒度的数据库操作内容审计.三是,能准确及时的违规操作告警响应。四是，可以全面详细的审计信息，丰富可定制的报表分析系统。五是，自身的安全性高,不易遭受攻击.由此可见，能通过网络数据的采集、分析、识别，实时监控网络中数据库的所有访问操作,同时支持自定义内容关键字库，实现数据库操作的内容监测识别，发现各种违规数据库操作行为，并及时报警响应、全过程操作还原,从而实现安全事件的准确全程跟踪定位和全面保障数据库系统安全的数据库安全审计系统,才是一款合适的产品。５数据库安全审计特性分析5．１全面的审计类型系统应覆盖ORAＬＣE、SQLSERVER、MYSQL、DＢ２、Sybａse、Ｉnfｏmix等主流数据库系统。５.2灵活的审计策略系统应支持基于内容关键字、IP地址、用户／用户组、时间、数据库类型、数据库操作类型、数据库表名、字段名等多种组合数据库审计策略，从而全面监测发现各种非法操作及合法用户的违规操作。5．3数据库操作信息还原系统应实时审计用户对数据库系统所有操作（如：插入、删除、更新、用户自定义操作等),并完全还原ＳQL操作命令包括源ＩP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表和字段名等，实现安全事件准确全程跟踪定位，为事后追查取证提供有力支持。5.4多种业务运维操作审计系统需要支持对TELＮEＴ．FTP等操作的命令级审计和全过程记录。５.4。１审计信息管理5.４。1。１系统需支持数据库审计事件信息的备份、恢复、清除、归并等功能；日志信息应能保存到SQＬＳerｖｅr、Oｒaｃle等大型数据库中.5．４．1。2系统需提供详细的综合分析报表、自定义等多种类型报表模板,支持生成：日、周、月、季度、年度综合报表.报表应支持ＭSＷord、Hｔml、JPG等格式导出.5．４。2丰富的管理能力５。4.2．1为不影响数据库系统自身运行与性能,系统需采用旁路监听部署模式。5.4．2．2系统需支持多种响应方式,包括发送邮件、安全中心显示、日志数据库记录、打印机输出、运行用户自定义命令、TCPKilｌeｒ等方式及时报警响应。5。4.3高可靠的自身安全性系统需具有安全、可