黑盾网络行为审计系统

黑盾网络行为审计系统黑盾网络行为审计系列产品HD-SMS每点260元HD-SMSE每点320元黑盾网络行为审计系统功能特点HD-SMS内网安全管理系统基于C/S的安全管理架构，产品操作界面友好HD-SMS内网安全管理系统从安全性的角度出发，采用C/S的管理架构，整个系统为三层架构，管理控制方便灵活，并且客户端与服务器，服务器与控制台之间加密传输，保证管理员权限和管理通道的合法性；操作界面基于Windows的管理界面，易于操作，界面友好。服务器安装方便、易于维护HD-SMS内网安全管理系统安装过程十分简单，只需将产品安装完毕即可，不需要复杂的调试，易于管理员的日后安装、维护。分权管理完善的分级与分权管理机制，实现系统管理的“分散不分立、集中不集权”；具有强大的网络管理功能HD-SMS内网安全管理系统内嵌强大的网络管理功能，在支持公有可网管SNMP协议的交换机网络环境中，可以自动学习出内网的物理拓扑图，检测交换机的流量，对交换机的物理端口进行打开、关闭、设置阀值的操作；对故障机器进行物理定位，使管理员对于内网中的机器分布一“图”打尽。网络与主机的完美结合HD-SMS内网安全管理系统开拓思路，使得网络管理功能、桌面管理功能互相配合，既关注了桌面管理，又注重局域网的整体性能，实现网络与主机的完美结合。强大的补丁更新功能系统能够支持对Windows所有的产品家族进行补丁检测和补丁下载与安装工作。拓宽了补丁管理的应用范围。支持补丁测试功能，在大规模部署补丁之前可以在小范围内测试，防止错误的补丁对全网造成的破坏与冲击。支持补丁的分级部署与同步功能，下级补丁服务器可以从上游服务器、公司网站或者微软升级网站下载补丁文件。支持补丁分发的负载均衡，不同主机可以从不同FTP服务器下载补丁文件。灵活的网络连接和流量控制监控终端主机网络流量，当超过设置的阀值后，系统自动断网直到网络流量降低到设定阀值以下后，系统自动恢复网络连接。全面软件分发功能全面软件分发，支持exe、msi和脚本文件、文档的分发功能。移动设备安全注册系统可以对移动存储介质进行注册等级、访问控制和磁盘加密等。未注册的移动存储介质无法在内网使用，注册过的移动存储介质脱离内网环境后也无法使用。对注册过的移动存储介质，还可以限定其读写权限、使用次数、使用时间、秘密等级等。共享监控全面监控检测终端主机的共享文件夹建立情况，依据策略要求进行全部共享文件夹的建立。全面审计系统提供了全面的审计功能，包括文件审计，共享访问审计、打印审计、主机帐户审计、主机系统日志审计、注册表审计、设备变更审计等。大大扩展了审计的范围。移动探针、非法内联功能HD-SMS内网安全管理系统的阻断非法内联功能既能够阻断非法机器的接入，又可以使管理员根据自己的实际需求，定义已存在机器的合法性，保证所有机器的网络访问都在掌控之中。系统可以为每个物理网段通过自动选举的方式产生一个移动探针，该探针负责实时发现本网段接入的计算机，对未注册的计算机执行接入阻断。当该移动探针所在的计算机关机后，其他计算机可以重新选举产生新的移动探针。动态选举方式与管理员手动指定的方式相比，能够保证探针的始终在线和正常工作。出色的进程控制HD-SMS内网安全管理系统能够强制控制客户端所运行的进程，对于被禁止使用的进程，采用文件追踪MD5值技术，即使客户端自己修改了进程的名称，依然会被禁止使用，保证了进程的强制控制。上网痕迹检查HD-SMS内网安全管理系统可以统计上网情况，统计当前上网的网站比例，判断终端计算机在一天的工作时间内的用机情况。系统非法外联自检测功能HD-SMS内网安全管理系统可以自动检测系统是否有能力去internet，无论客户端通过任何方式连接到互联网，客户端程序会自动进行检测，一旦发现有能力系统自动采取断网处理.故障定位HD-SMS内网安全管理系统通过设备连接路径，定位故障主机的物理位置,及时形象的通知管理员故障主机的位置.防病毒软件监控HD-SMS内网安全管理系统能够监控主机防病毒软件的安装和运行情况，被管理的计算机必须安装指定的防病毒程序，不安装或者安装不运行,不允许连接内网。高效运行、低资源消耗HD-SMS内网安全管理系统对于所要承载运行服务的硬件设备的配置要求很低，而且在系统正常运行时，不会影响客户端机器的正常操作，不会降低局域网数据传递速度。产品升级灵活、方便HD-SMS内网安全管理系统对于新版本的升级十分灵活、方便，只要客户端上线就可以自动升级自己的客户端软件，使产品升级、更新变得简单，避免不必要的重复操作，易于产品的维护。功能详细介绍目 录TOC\o"1-2"\h\z\u第一部分、系统介绍 3第二部分、主要功能： 5一、终端加固 5二、终端监控 7三、安全服务 11四、安全网管 14五、内网审计 17六、资产管理 21七、系统报表功能 23八、系统响应方式 24TOC\h\z\c"图表"图表1补丁列表管理 6图表2防病毒软件种类 7图表3防病毒策略管理 7图表4主机防火墙规则配置 8图表5外设监控管理 8图表6移动存储介质管理 9图表7移动存储介质范围控制配置 9图表8上网行为监控管理 10图表9地址绑定管理 10图表10打印监控管理 11图表11网络连接管理 11图表12进程监控管理 11图表13上网行为监控规则配置 12图表14预警平台管理 12图表15软件分发管理 13图表16消息提示管理 14图表17远程计算机桌面监控 14图表18远程控制进程管理 15图表19拓扑发现配置 16图表20拓扑显示配置及查看管理 16图表21拓扑自动更新管理 16图表22网络接入认证管理 17图表23网络设备流量监控配置 17图表24接入控制管理 17图表25文件审计管理 18图表26文件审计预警平台 19图表27打印监控管理 19图表28共享监控管理 19图表29地址绑定管理 21图表30资产管理 22图表31软件信息列表 22图表32硬件信息列表 23图表33打印及外导报表管理 24图表34标准报表模板 24图表35阻断告警 26图表36短信告警管理 26

第一部分、系统介绍HD-SMS（黑盾）内网安全管理系统融合了终端加固、终端监控、系统设备管理、通信管理、补丁管理、网络综合管理、远程维护管理、安全审计等技术手段。对涉密信息、重要业务数据、技术专利等敏感信息所能产生的泄密途径进行有效的控制，充分做到预先防范泄密事件的发生和及时管理控制企业内部网络中的各种资源禁止泄密事件发生，将安全风险最小化。“百密终有一疏”一旦泄密事件发生，安全审计系统将提供详尽的审计信息，为安全管理部门提供有效的、不可抵赖的依据，及时准确的定位问题的重点，将损失控制在最小范围。HD-SMS（黑盾）内网安全管理系统服务器端是基于Java语言开发的C/S架构程序。HD-SMS（黑盾）内网安全管理系统着重于内网的综合安全管理与控制、对内网综合行为的安全审计以及智能的网络管理。HD-SMS（黑盾）内网安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事件，提高整个信息安全系统的有效性和可管理性。以主动的安全管理和安全控制的方式，将内部网络的安全隐患以技术的手段进行有效的控制，全面保护网络、系统、应用和数据。通过对每一个网络用户行为的监视和记录，将网络的安全隐患可视化，提供实时监控，并形成完整的日志，为审计提供依据，从而大大提高内部专用网络的安全性，真正保障每一个网络用户都在授权的范围内合法地使用网络和数据。终端监控 终端加固终端维护 资产管理 接入控制 网络管理第二部分、主要功能：一、终端加固1.1补丁管理补丁自动更新：补丁文件的更新能够同内部专用互联网补丁服务器、微软网站和其他补丁源自同步更新，补丁下载采用增量、断点续传下载方式。图表SEQ图表\*ARABIC1补丁列表管理补丁迁移：补丁库可以增量的方式导出到任何存储介质之上，例如制作成补丁光盘、补丁忧盘和补丁硬盘等。补丁审批和测试：补丁更新后，新增补丁不是直接分发到客户端计算机上，而是需要管理员进行审批，审批补丁过程就是测试过程，补丁经过检测、测试后管理员可以给补丁设置为“安装”，补丁开始分发。补丁分发：补丁分发采用自动/手工分发两种策略。自动分发不需要管理员指定分发目标计算机，自动分发的补丁是补丁库中通过审批的补丁；手动分发需要管理员指定分发目标计算机，同时不限制补丁类型和审批状态。补丁分发可以进行带宽控制，限制分发补丁时占有的网络带宽资源。补丁更新统计：补丁分发后，可以按计算机统计补丁更新情况，或者按照某个、某类补丁统计主机信息。1.2反病毒软件监控安装监控：监控终端计算机是否安装了反病毒软件。启动动监控：监控终端计算机是否启动了反病毒软件。更新监控：监控终端计算机是否更新了反病毒软件。监控策略：当终端计算机上的反病毒软件出现了没安装、没启动、没更新的情况后，可以提醒终端计算机使用者安装、启动、更新反病毒软件；在提醒被无视的情况下，可以对终端计算机的网络访问权限进行限制。图表SEQ图表\*ARABIC2防病毒软件种类图表SEQ图表\*ARABIC3防病毒策略管理1．3主机防火墙通过控制台制订的主机防火墙策略可以控制客户端个人防火墙的统一策略，如果客户端通信数据包违反主机防火墙规则，就进行端口阻断。如果内网主机大面积感染病毒后，可以通过主机防火墙统一策略设置及时将计算机病毒端口进行关闭。这样防止病毒通过技术手段进行恶意的破坏。图表SEQ图表\*ARABIC4主机防火墙规则配置二、终端监控2．1外设、硬件设备控制通过制订策略禁止对某种设备使用，禁用行为将会作用在操作系统驱动层，客户强行启用设备的尝试将无法生效。另外控制台客户端消息将实时显示警报信息，实时提醒管理人员有违规事件发生。在制订并下发设备控制策略后，客户端程序对于新增加的各种外接设备都将采取禁止的动作，只有通过控制台重新制订策略才可应用设备。同时也将在客户端消息框中发出警报。系统可控制的设备包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备、蓝牙设备等。图表SEQ图表\*ARABIC5外设监控管理2．2USB存储设备管理移动存储介质注册管理：对内部可以使用的移动存储介质进行注册管理，未注册移动设备禁止使用。移动存储介质加密管理：对内部可以使用的移动存储介质进行透明加密。移动存储介质访问控制：可限定对移动存储介质的访问行为，包括只读、读写、禁止、授权时间范围和使用次数等。移动存储介质范围控制：可限定移动存储介质的使用范围，包括全局、部门和单机等。图表SEQ图表\*ARABIC6移动存储介质管理图表SEQ图表\*ARABIC7移动存储介质范围控制配置2．3系统行为监控局域网文件共享监控:对终端计算机的共享文件夹进行控制，可以把系统共享和用户共享区别对待，可以根据策略打开或关闭这些共享文件夹；系统帐户变化监控：对本地帐户与组进行管理（添加/删除/修改），对其变化进行审计。网络带宽等资源使用监控：监控终端计算机的带宽占用情况，并且可以对终端带宽进行限制。带宽设置采用每秒钟单位流量统计，限制带宽最高上限，同时可以对并发连接数进行控制，并发连接数控制可以有效地管理BT等点对点下载软件的控制。图表SEQ图表\*ARABIC8上网行为监控管理2．4终端IP（网络参数）配置管理对受控终端进行IP地址、子网掩码、DNS、网关地址、主机名称的绑定管理，防止用户随意更改网络配置，防范Arp病毒的攻击，增加网络环境的健壮性。图表SEQ图表\*ARABIC9地址绑定管理2．5打印控制通过控制台制订策略控制用户对打印机的使用。可以避免网内用户通过打印的途径达到机密信息外泄的目的。打印机控制策略控制细腻度可以把本地打印机、网络打印机、本地打印机共享。图表SEQ图表\*ARABIC10打印监控管理2．6拨号访问的控制允许或阻断用户通过拨号访问Internet，从拨号连接的手段上控制内网计算机连接Internet。图表SEQ图表\*ARABIC11网络连接管理2．7进程管理与控制检测客户端上运行的进程状态，并对受控终端上运行的进程进行强制控制，允许或禁止某些进程的启动。方便网络管理人员从专业人员的角度对应用者提供安全建议。图表SEQ图表\*ARABIC12进程监控管理2．8网络访问控制通过制订策略控制计算机对网络进行访问，允许或阻断客户端对某些网络地址、Http等协议的访问。在网络访问控制上，策略还可以细化到针对特定的协议、特定的网络端口以及在特定的时间段允许或是阻断网络连接。（同2.3）图表SEQ图表\*ARABIC13上网行为监控规则配置三、安全服务3．1预警平台为了方便网络管理员对内网情况的统计，预警平台把所有报警和收集信息统一进行显示和集中管理。预警内容包括报警信息分类、报警事件源、报警客户端IP、主机名、Mac地址等信息。图表SEQ图表\*ARABIC14预警平台管理3．2软件分发软件分发功能提供了由服务器端向指定客户端分发可执行的软件、任意格式的文件和文件目录类安装程序。文件目录类安装程序例如微软的OFFICE安装包。软件分发可以在线进行软件安装，也支持离线策略，例如:客户端计算机不在线或未开机的情况下，分发的软件将在客户端计算机下次在线或下次启动的时候，进行分发。分发支持断点续传功能。图表SEQ图表\*ARABIC15软件分发管理3.3客户端消息提示为了增加管理的便捷性，对客户端集体或单个的发送管理员消息，客户端可以通过对话框和管理员进行对话，及时提醒应用者目前存在的问题和发应问题解决结果，方便管理员对内网问题的及时解决。图表SEQ图表\*ARABIC16消息提示管理3.4远程计算机桌面监控如果计算机系统存在安全问题或是非法操作，为了及时准确的获得当前计算机的情况并将情况准确再现，网络管理人员可以通过桌面快照查看当时计算机的操作状态，同时可以控制鼠标与键盘的使用。图表SEQ图表\*ARABIC17远程计算机桌面监控3.5远程控制计算机远程管理主要是为了方便网络管理人员在远程对计算机进行关机、重启或是锁定的具体操作。使管理人员在第一时间控制非法的计算机或是非法的操作。3.6远程控制进程和服务远程控制进程和服务功能主要是为了方便网络管理人员在远程对计算机进行进程和服务查看和控制的具体操作。使管理人员在第一时间控制非法的进程或是非法的服务。图表SEQ图表\*ARABIC18远程控制进程管理3.7远程网络连接和流量查看网络连接和终端流量监控功能方便网络管理人员对计算机的网络连接和终端流量进行查看。方便管理员对网络连接和终端流量信息的收集。四、安全网管4.1网络探测引擎准确探测网络信息网络探测器自动探测网络中的支持SNMP协议的网络设备，读取网络设备的信息库。为了保证探测器读取信息的准确性，网络探测器是严格遵循标准的SNMP协议进行开发。原因有两个方面：首先，由于SNMP协议作为成熟的网络管理协议已经被全世界所认可。其次，对于目前厂家协议开发的规范性上都在逐渐地向标准靠拢，具有很强的通用性。以上两方面决定了网络探测器在读取信息的准确性上有着坚实的技术保障。图表SEQ图表\*ARABIC19拓扑发现配置4.2自动绘制网络拓扑图网络探测器自动探测网络中的SNMP设备，读取信息库，利用自有的技术对数据信息进行智能分析，最终将网络拓扑图在控制台显示出来。并可根据网络的实际情况，手动调整交换机的连接端口，保证网络拓朴图的准确性。图表SEQ图表\*ARABIC20拓扑显示配置及查看管理图表SEQ图表\*ARABIC21拓扑自动更新管理4.3非法计算机的接入阻断自定义非法计算机，对非法计算机或未安装客户端的计算机进行非法接入阻断，以防止外来计算机随意接入内部网络，防止外界的恶意攻击对内部网络形成安全隐患。图表SEQ图表\*ARABIC22网络接入认证管理4.4SNMP设备的统计与管理 可以方便地查看SNMP设备的配置信息，如System、Interface、IP地址、ARP表和流量等综合信息，便于管理人员对网络状态进行综合分析。4.5网络设备流量的报警和拓扑图颜色变化显示以交换机端口之间连接线的颜色变化进行流量信息的直观显示，并可以设置端口流量阀值，当端口流量超过阀值时自动报警，帮助系统管理员监视、分析网络性能。图表SEQ图表\*ARABIC23网络设备流量监控配置4.6非法接入设备网络状态的检测与统计提供未知（未登记）IP地址、MAC地址列表，自动发现有未知受控终端接入的交换机端口，方便系统管理员发现非法入侵者。图表SEQ图表\*ARABIC24接入控制管理4．7交换机的管理与控制通过控制台可以实现交换机端口的打开或关闭的控制，增加网络管理的灵活性。4．8网络资产的统计可以收集交换机设备品牌和交换机内核版本信息，同时在拓扑图中列表显示出终端设备的名称、IP地址、MAC地址等信息。五、内网审计内网审计功能具有在线和离线功能，当客户端计算机不在线或者没有启动的情况下，所有审计日志离线存储在本地计算机，并且是加密存储；当客户端计算机可以跟服务器端连接的时候，所有审计日志将定时或定量的发给服务器端的数据库中。所有审计功能不但起到记录客户端系统行为、个人行为，设备信息、文件操作等被动监视的能力，同时可以采用主动控制的能力，在危险行为发生的时候，及时对危险行为进行管理和阻拦，控制程度也可以根据管理员所下发的策略定义，可以采用“高、中、低”三级的策略。审计记录的信息和报警都将发送到预警平台，进行用户自定义显示。5．1外设监控对所有输入输出设备监控，禁止和允许使用制定外接设备，并进行记录所有外接设备的信息。5．2文件审计实时监控本地文件的创建、删除、修改、复制、改名等操作。图表SEQ图表\*ARABIC25文件审计管理图表SEQ图表\*ARABIC26文件审计预警平台5．3打印审计对本地打印机、共享打印机和网络打印机德操作行为进行监控功能，监控打印行为的操作员、打印文档的名称和打印时间。图表SEQ图表\*ARABIC27打印监控管理5．4共享审计对系统共享文件夹和用户共享文件夹的建立审计，可以对共享文件进行打开和关闭操作，并且可以根据策略自动清除。图表SEQ图表\*ARABIC28共享监控管理5．5进程审计对进程信息和运行状态的远程实时管理，基于黑名单的自动控制功能，对进程的运行时间审计监控。5．6系统日志审计对操作系统日志的自动收集、记录。5．7非法外联检测控制自动检测客户端访问互联网的能力，如果有访问能力则进行断网处理。5．8非法拨号检测控制禁止使用model、ADSL、无线CDMA等拨号事件，同时对拨号操作进行审计记录。5．9多网卡检测控制检测系统多网卡设置，可以通过策略进行不允许进行多网卡安装，同时把审计记录。5．10IP/MAC地址绑定对客户端的IP地址、主机名、网关、掩码绑定，对IP地址、主机名、网关、掩码地址的修改操作进行审计，一旦发现修改行为就将向服务器报警。图表SEQ图表\*ARABIC29地址绑定管理5．11 系统账户审计对本地帐户与组进行管理（添加/删除/修改），对其变化进行审计。5．12进程审计客户端计算机运行的进程都将被审计记录，同时接受管理。5．13互联网访问审计对客户端访问互联网操作行为进行审计记录。5．14带宽审计对客户端的带宽使用情况，进行审计、并可以设置带宽策略。5．15网络连接审计监控周期性审计代理主机的网络连接信息。5．16 移动存储设备审计对移动设备的使用进行审计，并且审计对移动设备文件拷贝。六、资产管理6．1硬件资产自动收集自动收集客户端的硬件资产信息，例如CPU型号、内存容量、硬盘型号、主板信息、显卡信息、主板外设接口信息、USB、红外、蓝牙、串口、并口等终端计算机的所有硬件信息和品牌信息。图表SEQ图表\*ARABIC30资产管理6．2软件资产自动收集自动收集客户端的软件资产信息。图表SEQ图表\*ARABIC31软件信息列表6．3硬件资产统计查询自定义查询内容，对客户端的硬件配置情况进行统计查询，统计后的信息由报表功能进行报表操作。图表SEQ图表\*ARABIC32硬件信息列表6．4软件资产统计查询自定义查询内容，对客户端的软件安装情况进行统计查询。6．5软件资产、硬件资产检索根据检索条件对软件资产和硬件资产进行在线检索6．6资产变更管理对客户端的软件、硬件资产变化进行报警，报警信息包含客户端的信息和改变的软件资产和硬件资产的信息。6．7资产统计报表对资产进行统计报表生成与打印，可以导出为Doc、Pdf、Excel、Xml等文件格式。图表SEQ图表\*ARABIC33打印及外导报表管理七、系统报表功能7．1标准模板对报警信息、资产信息、日志信息、策略信息等管理信息的统计和查询的方式，系统提供一套已经编写清晰的报表模板。管理员通过报表模板进行自动报表生成。图表SEQ图表\*ARABIC34标准报表模板7．2个性化报表模板系统不但提供标准的报表模板，同时允许管理员根据自己的需要进行模板设定，模板不限数量，管理员可以设置很多种模板。7．2事件查询与统计对安全事件进行查询与统计，生成DOC、HTML、PDF、EXCEL、XML等格式。7．3自动报表生成管理标准报表模板和自定义模板都可以根据时间定时进行报表的定制和生成，支持日、周、月报表生成。7．4报表导出管理可以将生成的报表进行导出，生成DOC、HTML、PDF、XML等格式，并进行打印处理。打印及外导报表管理八、系统响应方式8.1实时告警通过预警平台实时显示客户端的违规行为。8.2事件日志通过事件报表查询，定义查询条件对事件进行查询。8.3邮件告警对违规事件通过邮件通告管理员。8.4阻断连接对违规事件，采用阻断方式进行紧急处理。图表SEQ图表\*ARABIC35阻断告警8.5短信告警对违规事件，采用短信方式通知管理员(需用户有短信平台)。图表SEQ图表\*ARABIC36短信告警管理

利润点平移

主业利润持续降低，几乎成为企业的普遍现象，特别是面临原材料成本攀升的中国企业。这既可以归结为产品同质化竞争加剧，价格战成为竞争常态，也可以解释为受产品生命周期的影响，甚至还可以从经济学的经典理论中找到根据——任何产品的利润都会倾向于平均利润以下。那么，在产品本身的创新空间受限的情况下，如何寻找新的利润增长点呢？利润点平移是一种有效的解决方案。它是指在主业利润率很低的情况下，企业将利润增长点向主业外平移的一种方法。但它与多元化不同，区别在于：新的利润增长点依然是以原来的主业为核心或为依附的。比如报纸，最初主要是靠报纸的销售创造利润，但随着竞争的加剧，卖报的收入连印刷成本都难以挽回，更别提产生利润了。于是利润点就平移到了广告收入，但广告收入是完全建立在报纸的销售量上的，算不上多元化。有时它和一体化类似，但也有很大的不同。比如利润点在纵向上的平移，就并没有涉及到产业链上下有时它和一体化类似，但也有很大的不同。比如利润点在纵向上的平移，就并没有涉及到产业链上下游中的核心业务。日本钢铁制造商参股而不是控股铁矿企业，目的不是为了进入铁矿开采领域，而是为了对冲铁矿石的价格波动，保持钢铁制造的利润。有时它和一体化类似，但仍然有很大的不同。一方面，利润点在横向上的平移常常并没有涉及到价值链上下游中的核心业务。日本钢铁制造商无论是参股还是控股铁矿企业，目的都不是为了进入铁矿开采领域，而是为了对冲铁矿石的价格波动，保持钢铁制造的利润。另一方面，利润点平移会更注重纵向上的扩展，通过主业核心能力相关的关联业务寻找新的利润机会，这时候就更没有一体化的特征了，如我们后面将要谈到的柯达公司的案例，其从相机业务向胶卷业务的转移和从胶卷向数码相机的转移，都是纵向上拓展在互补品和替代品上的利润来源，就明显与一体化区分开来了。既然利润点平移是一个解决主业利润稀薄的有力手段，那么是否有系统的思路进行规划和执行呢？第一步：寻找内部的平移机会；第二步：价值链上的纵横平移；第三步：建立全新的交易模式。寻找内部的平移机会传统的企业都是依靠制造利润来立身的。但这种传统的利润创造模式也越来越面临巨大的挑战。对于这样的企业而言，利润点平移的第一步可以在企业内部寻找。一些一直承担辅助作用的职能部门，都是可以创造新利润的源泉，如服务、研发、物流、采购、财务、营销等部门。而企业要做的，是通过某种方式使这些部门产生利润——一个重要的措施就是将这些成本中心变成真正的利润中心。1.从产品利润到服务利润提升服务部门的能力、向服务转型是很多大型制造商很惯常的选择。IBM从硬件制造商向服务转型，包括收购普华永道咨询公司和壮士断臂般地卖掉其赖于立身的PC业务，都是利润点象服务平移后的一个极端的表现。通常，制造商都可以通过各种方便，提升服务能力，特别是开发对顾客而言非常重要的服务项目，从而在物理产品这外创造服务利润。ABB公司虽然在向油/气钻机提供钻井管道的业务上处于全球领导地位，但在管道本身的质量和制造技术上，并不能真正领先于竞争对手。但服务于客户的过程中，ABB发现“当井打好后，管道必须立即完成连接并嵌入到管道井中”是钻井项目流程中的一个关键控制点，而“管道是否能及时到达钻进现场”是客户面对的最大风险之一。但管道准时到达钻井现场的最大问题并不在于产品的制造和运输环节，而是钻井地所在国的通关问题。依托于多年来在一百多个国家的业务经验，ABB通过熟悉各国的通关手续，得以在很大程度上控制和缩短通关时间，使其在提供管道的速度和及时性的控制上形成了独特竞争优势。同时，这一能力也成为ABB产品之外一个新的利润来源，因为，客户非常乐意为此付费。同样，本土企业在这方面也颇多心得，比如精伦电子和威灵电机。当国内公用电话终端市场进入衰退期时，一些中小企业在产品价格下降和客户采购量减少的双重压力下逐步退出市场。作为龙头企业的精伦电子在充分分析市场和顾客需求后，敏锐地意识到以质量竞争和价格竞争的产品时代已经过去，市场的重点也从新增量向保有量转变，顾客对服务的需求日益增加。为此，精伦电子确定了向从产品制造商向服务供应商转变的发展思路，并从内到外进行调整。在内部，精伦电子依托售后服务部门成立独立的利润中心——服务中心，与制造中心、研发中心、销售中心并列为公司的四大中心，在内部进行服务定价和结算；在外部，扩展对电信运营商的服务功能，将其从以前辅助产品销售的功能提升到独立的服务业务，包括为客户提供终端产品维护和系统平台的维护升级等支持，并且从以前的免费项目变为收费项目。同时，针对运营商对产品采购价格的敏通过将一部分利润来源从产品销售平移到对存量产品的维护上，精伦电子在局部上实现从产品模式向服务模式的转型。威灵电机是从美的集团独立出来的电机制造商，为空调、冰箱等家电产品提供配套。残酷的价格战侵蚀了美的、科龙等整机制造商利润的同时，也冲击着价值链前端的配套企业。威灵虽然是同类配套企业中的佼佼者，但面对客户成本控制的需求也备感压力。在合作中，威灵发现每当客户推出一种新款产品，都需要配套企业尽快提供配件，因为新产品能否及时投放市场，能否赶上旺季需求在相当大的程度上影响着盈利水平。同时，一般新品利润率比较高，所以，客户此时对电机的供应价格往往不太敏感，并乐于用较高的利润激励供应商更快供货。更重要的是，一旦新品畅销，威灵的利润额将相当丰厚。为了回应客户的需求，威灵通过改革项目管理，加强同客户的沟通方式和信息共享，努力缩短供货时间，从而在单纯低成本追求之外找到了客户的更重要的需求——快速反应能力（包括设计和制造）。2.从产品利润到技术利润研发部门通常是企业烧钱比较大的地方，特别是高科技公司。但很多先知先觉的企业，都在探索将研发机构从成本中心向利润中心转型，至少能创造部分利润来祢补费用。往往这种转变的懵懂状态就是企业非有意地将一些闲置不用的技术或非核心技术转让给其他机构。这种技术转让收入其实在很多公司的财务报表中都能看到，只是更多的是间或性的，不能形成稳定的收入。而利润点的平移就是要求有一个长期、稳定的收益。在很多企业，其制造部门除生产自主品牌的产品外，也承接其他企业的代工业务一样。这在IT、纺织品业非常常见。其实，对于研发机构，同样存在类似的技术OEM情况，即所谓的技术外包——研发机构在为本企业服务的同时，也为其他机构提供技术服务。比如，一些知名的汽车制造商，他们的汽车设计部门有时也会为其他制造商提供设计服务，甚至将一些设计好的车型卖给后者。更高级的方式就是将技术变成专利、将专利变成标准，以此重建一个更为强大的赚钱机器。专利和标准的使用权都是一个强大、持续、稳定的利润来源。高通这种极端的情况自不用说，仅就中国优盘的发明者朗科，虽然在规模和销售额上并不出彩，但在频频将专利大棒砸向SONY等跨国IT公司，包括2006年初远赴美国起诉PNY公司、瞄准苹果iPod产品等，都显示出其与华旗等同业制造商在利润模式上的不同设计。3.从产业利润向财务利润一些现金充裕或现金流巨大的公司，都会将多余或暂时不用的资金用于投资，比如投资债券、委托理财、同业拆借等，从而获取财务收入。在欧美市场，由于金融投资产品丰富以及相关政策的宽松，企业有更多的选择。对于规模更大的企业，甚至会在原有财务机构的基础上建立独立的财务公司。如国内的石化、电力、钢铁等大型国营企业就是如此。通过对资金统一管理和提供金融服务，在资金管理和运用上创造不同于原来产业的利润。也许，某一天，随着利润转移的不断深化，这些企业会发现来自产业利润的比例已降低到主导地位之下了。而企业的财务利润最终会上升为金融利润，即企业会成立自己的金融机构，财务公司就是一种准金融机构。实际上，全球众多制造商，特别是大型设备制造商，都通过为客户提供金融服务获取金融利润。当顾客在设备采购时面临资金压力时，通过向其提供贷款服务，制造商除扩大了销售量外，在产品利润之外就获得了相应的利息收入。而且，随着竞争的加剧和产品价格的走低，金融服务所创造的利润在制造商的利润池中所占的比例越来越大、越来越丰厚。例如，全球各大汽车集团旗下均有汽车金融公司，多数公司开展车贷经营业务所获得的利润能够占到整个汽车集团利润的1/3，甚至已超过制造汽车所获得的利润，成为汽车集团最主要的利润来源。以通用汽车金融服务公司（GMAC）为例，其是全世界规模最大、最为成功的金融机构之一。在2001年，GMAC共向全球800多万用户提供了汽车信贷服务，净收入达到了18亿美元，利润占通用汽车公司利润总额的36%。同样的，福特汽车信贷公司（FMCC）2000年总资产达到1890亿美元，净收入达17.86亿美元，占福特汽车集团总利润的36％。相对于有形的产品，无形的产品也可以依靠金融服务来拓展市场，增加新的利润。达内科技是一家由加拿大留学归国人员创办的IT培训企业。基于强大的师资力量和有竞争力的高端培训课程，为了在鱼龙混杂的培训业中脱颖而出，2005年底，达内科技推出了“零首付、低压金、就业后分期付款”的TPET培训计划。由于受国内法律的限制，非金融企业不能提供金融服务。达内科技通过和金融机构合作，在“产品利润”也开始收获“金融利润”。除了以上较明确的方式，还有一些隐蔽的方式。如大型零售商在中国的利润模式，其长期侵占供应商货款的行为，在一定程度上表明其一部分利润来源是脱离了零售业务的，是资金的时间价值创造的。4.从产品利润到营销利润利用企业的营销体系赚钱是一个非常容易实现的道路。具体的，这个道路中有三个常见的方法：1)渠道共享“渠道为王”是近年来常听到的口号。确实，强大的渠道网络就是企业资产负债表外一份举足轻重的资产。而将渠道向其他厂商甚至竞争对手开放，是实现营销利润的一个有力手段。比如若干年前，TCL向飞利浦开放其彩电渠道，波导向西门子开放手机渠道等。只是，大多数渠道合作并没有直接收取现金，而是一种战略合作，但渠道利润必然在其他利润中得到体现。2)知识共享众多企业都建立了自己的企业大学。除了提供内训外，也向外提供培训服务。除了传播企业文化和企业价值观间接取得传播利益外，还直接取得真金白银的培训收入。其中做得比较好的，本土企业有海尔大学，外企有惠普商学院。他们都是通过将营销在内的知识对外共享，从而创造了营销利润。3)对外服务简而言之就是提供外包服务。比如，一些企业将自己强大的营销部门整合成一个营销策划公司，在对内提供支持的同时，也将这种专业服务提供给第三方。5.从产品利润到辅助业务利润我们这里指的辅助业务是企业制造业务的直接支持业务，包括采购、物流、仓储等环节。这些环节创造利润，一方面是直接赚钱，比如很多大流通的企业建立自己专业的物流公司，或者将自己规模庞大的仓储配送中心向市场开放，另一方面是通过节省间接创收。前一种通过将成本中心改成利润中心实现从产品利润向采购利润、物流利润和仓储利润的转移，容易看到，后一种则相对比较隐蔽，因为很多时候我们习惯于将这部分平移的利润仍然归结于产品上。比如，在一个产品零售价格不断降低的市场，某个企业的价格优势来源于那里呢？制造环节的效率是一部分，但实际上更多的利润是由采购、物流和仓储这些环节创造的。如浙江嘉善的晋亿螺丝是全球最大的螺丝制造企业，其生产量占全世界四万种螺丝的一半。立足于大规模采购下物流和仓储效率的持续改善，晋亿螺丝实现了超级库存下的低成本控制。在制造业利润不断稀薄的今天，晋亿螺丝的一部分利润实际上已从制造转向了我们上面谈到的几种辅助业务上。

价值链上的纵横平移以主业为核心，在价值链的水平和纵向寻找利润平移的机会，从而在前、后、左、右四个方向上创造新的利润来源。1.价值链的水平平移价值链的水平平衡是指向上、下游领域延伸在主业上的竞争力，从而创造新的利润来源。但要注意这不是单纯的一体化，而是仍然立足于原主业，将原来的资源和能力向前后两个方向延伸。典型向下游利润点平移的例子发生在汽车配件业。汽配生产商有力的作法就是推进汽车模块化设计，即通过提供越来越功能化、越来越整体化的零部件更多地渗透到汽车整车设计和制造领域中去。这样，他们在帮助顾客在新车设计和制造上大幅缩短周期的同时，也让自己更深地介入到顾客的业务中——“他们从未进入整车制造业务，但他们越来越象在制造整车。”另外，为更好的感受利润点水平平移与一体化的异同，我们可以看看下面这个例子。众所周知，家电制造商多年备受国美、苏宁等渠道霸主的压制，这才有格力和国美交恶，自建渠道的事件。2005年，TCL的“幸福树电器连锁”就是向下游分销领域的利润点平移。这一战略举措不但引起康佳、创维、长虹等家电品牌的关注，而且，些与TCL不具品牌和产品冲突的企业甚至有意与TCL合作，期望借助幸福树扩大在城镇压和乡村市场的销售份额。在这个案例上，我们可以多少体会到利润点在横向上的平移是多么类似于一体化。或者说，TCL的幸福树工程就是一种典型的前向一体化战略。但如果从利润点平移的角度来看，TCL战略重点是为了实现了从制造利润向商业利润的转移，而并不是简单地赚取分销商原来的利润。总之，两者不可绝然分开，但也不可简单等同。相应的，向上游进行后向一体化是很多注重原材料供应的企业经常采用的方法，如西方、日本的钢铁制造商都通过在南美、澳洲等铁矿藏丰富的地区收购、参股当地的矿业企业，以达到控制资源、影响原材料定价等多方面的战略目标。但是利润点在价值链上的向上平移并不同于一体化有股权或资本上的投入，而是更多借助于规模效应、管理能力实现在材料采购上的成本节省，从而变向地创造利润。前部分所提的晋亿螺丝实际上就是一个案例。2.价值链的纵向平移价值链的纵向平移是指以主业为依托，但将利润点向补充品、消耗品和替代品转移。柯达公司经历过两次利润点的平移。早期，柯达将传统相机的专利向其他厂家开放而专注于胶卷业务，是其第一次纵向的利润点平移。这种方式在鼓励更多的厂商生产和销售相机的同时，将自己的利润点定位于重复消费次数多、利润率更高的胶卷业务。由于专利的开放，其他制造商可以以非常低的成本制造相机，从而使更多的消费者能够购买相机，最终推动胶卷使用量的大量增加。这是一次非常成功的利润平移，是柯达在战略上的成功设计。而近年来，随时数码技术的兴起，柯达也从传统影像业务向数码业务转型。虽然传统胶卷仍然是柯达最重要的利润来源，但其利润点正快速转向数码相机业务和数码影像的冲印业务。对强有力替代品的关注，是利润点平移中的一个无庸置疑的方向。同样的例子也出现在汽车制造业和打印机制造业。汽车配件的暴利是人所共知的。“如果把刚买的新车拆散了卖配件，很多车都可以卖出两辆车的价钱来。”这是业内人士的现身说法。在消费者抱怨配件价格太高的同时，我们可以看到汽车业在过去几十年中出现的利润平移，即从整车销售利润向售后零部件利润的转移，甚至出现了“整车亏损配件补”的情况。这种情况显然也顺应消费者更关注整车销售价格的购买习惯。打印机本身，特别是喷墨打印机，实际上并不是赚钱的业务。但打印机制造商能够生存和发展的原因在于其依靠特殊的产品标准使得用户不得不采购配套的墨盒，从而在耗材上实现利润的扭转。为了保证在耗材上的利润，一方面，包括惠普在内的打印机制造商在墨盒中嵌入智能芯片，连加灌墨水都必须是原厂的；另一方面，不断向生产通用打印耗材的制造商提出诉讼。但不管怎么说，这种利润点平移的方式是成功，至少从赚钱的角度上是如此。制造商甚至可以通过不良的手段增加自己本已非常丰厚的利润。如2002年国内轰动的“爱普生事件”中，爱普生喷墨盒在显示墨尽时，其墨盒余墨量最高竟高达79%。最后，我们还可以创造一种互补品。在主业中加入一种互补型服务，通过后者实现一部分或大部分利润。比如，美国的电影业在发展过程中曾出现过一种盈利模式，即提供咖啡厅式非常舒适的环境，通过提供饮料等饮食服务创造一部分利润。这时，饮食服务作为创造出来的一种互补品，在利润池中非常有意义。在国内，渔家坊也是这样一个成功的案例。2005年，北京掀起了吃烤鱼的热潮。烤鱼店在遍地开花后，迅速进入四处关门期。从2005年2月到6月，北京大概开了280多家烤鱼店，但到8月时，就只剩下不到70家。同样跟风起家的渔家坊在开业头三个月还能勉强维持盈利，但随着天气的转暖，吃烤鱼的人越来越少，也陷入入不敷出的境地。寝食难安的总经理王荣际偶然间找到了灵感。有一天，他路过三星MP3的体验中心，看到一个时尚的小伙子边吃零食边体验三星的MP3，非常陶醉。也许，美食加音乐是很多人的向往吧。于是，渔家坊专门在店中开辟一个区域建立数码体验中心，让顾客在等烤鱼和吃烤鱼的过程中体验最