网络攻防实战研究_网络攻防实战案例

【实战演练】Packet Tracer玩转CCNA实验20-构建企业内部网络综合案例（上）

CCNA网络部分的知识点已经全部讲完了，最后我们通过一个典型的企业总部与分支机构构建内部网络的综合案例，对前面学过的知识点进行回顾与总结。

1.1技术需求

通过对企业内部的了解，及其对企业网络功能要求的了解。我们对其企业网在技术方面做出了如下的分析：

1）主网络首先接入互联网，达到百兆随后到终端，信息管理中心选取三层交换机设备，终端选取二层交换机设备接入主网络。

2）在该网络中，私有IP地址与公网IP地址的转换可以通过网络地址转换技术完成。

3）建立文件传输协议服务器、Web服务器、电子邮件服务器等。

4）划分局域网，给不同的部门分配不同的局域网，控制广播风暴。

5）配置DHCP，使在同一个局域网中的主机可以自动获得IP地址。

6）在网络安全方面，配置访问控制列表对数据包进行控制。

1.2设计需求

为了满足XXX企业对企业网络的要求，设计出来的网络必须具备以下几个条件：

1）既能覆盖企业本地又能实现与外界通信的计算机企业网络，并且该网络不但能实现本地与本地、本地与外界的合理通信与资源共享，而且还得实现外界用户有条件地对企业内部服务器进行资源访问。

2）一个稳健、安全、快速的网络必须要选用先进的网络设备，和行之有效的网络技术。比如，网络核心层的交换机就可以选用CISCO系列的交换机；要保证企业网络的安全与稳定则必须在企业内网与外网之间搭设一道防火墙；要实现网络的负载均衡则需要使用到HSRP技术、实现链路冗余则需要用到RSTP技术等等。

3）企业网络的管理最好是以部门为单位，那么就必须给企业的网络划分VLAN；而企业要求员工在企业外部通过Internet网络来以企业内部员工的身份访问企业内部网络则必须用到IPSec-VPN技术。

4）电脑自动获取IP地址，则需架设DHCP服务器。

5）提供无线上网功能，则必须得有无线路由设备。

6）公司员工文件服务的贡献与相互传送，则需在企业内部架设FTP文件传输服务器（为了安全，FTP服务器需架设在防火墙的DMZ区）。

7）信息发布到Internet网络，并让外界用户进行访问，则需架设Web服务器（为了安全，Web服务器需架设在防火墙的DMZ区）。

8）公司网络需具备域名解析需求，还得架设DNS域名解析服务器。

9）网络数据的快速传递，需要购进100M、1000M、10000M网线若干。

10）设备选择上必须在技术上具有领先性，通俗性，且必须便于管理，维护。要具备未来良好的延展性，可升级性。

根据上述的需求，我们设计的拓扑如下：

动手之前，最好弄个表格，最好IP地址与VLAN规划。做到哪里想到哪里敲到哪里肯定是不行的。

由于综合案例贴近实际生产，需求点过多，因此不可能做到哪里配到哪里，我们按照各个需求与网络分层，逐个需求各个击破。

3.1.1配置VTP

配置核心交换机与接入交换机。Core-SW配置VTP，并且配置VLAN。接入交换机上行链路需要配置为Trunk模式，Core交换机互联链路需要配置为Trunk模式。

Core-SW1：

Core-SW2：

JT-SW1~SW4：

3.1.2配置VLAN

配置Server区为内部Server，不能被外网访问，只能内网访问。DMZ区部署可以对外提供访问的Server，IT、CW、XZ分别为IT部、财务部、行政部员工办公网络

Core-SW1：

查看VLAN同步情况。

JT-SW1：

3.1.3配置生成树

Core-SW1：

Core-SW2：

JT-SW1~4:

3.1.4配置接入交换机VLAN

JT-SW1：

JT-SW2：

JT-SW3：

JT-SW4：

3.1.5配置核心交换机虚接口SVI

Core-SW1：

Core-SW2：

3.1.6配置核心交换机HSRP高可用

Core-SW1：

Core-SW2:

检测配置

检查HSRP的Acitve与Standby自动切换。

在Core-SW1的fa0/2关闭端口，再show standby brief查看切换情况。

自动切换生效，重新把fa0/2开启回去。

3.1.7配置核心交换机DHCP Relay

这个内容超纲，之前是没有讲过的，主要是为了使用DHCP服务器为终端自动分发地址。但是DHCP服务器默认只能为与其同网段的终端通信与分配IP地址。所以要在路由器/三层交换机上面，配置DHCP Relay，才能使每个网段，规定跨网段去哪个IP地址的DHCP服务器申请自动分配IP地址。另外按照规划， DHCP服务器的IP地址是10.1.5.20 。

Core-SW1：

Core-SW2：

3.1.8配置服务器

3.1.8.1配置DHCP服务器

DHCP服务器主要作用在于给接入网络的终端自动分配IP地址。

新建DHCP服务器，选“Service”，将除DHCP、NTP以外的其他功能关闭。

设置DHCP配置，将需要DHCP的网段都加入到里面。

为DHCP服务器配置静态IP地址。

打开其中一台PC，如JT-IT1，IP配置选择DHCP，然后在cmd窗口输入ipconfig查看是否已经能够自动获取IP地址。

3.1.8.2配置WEB服务器

除HTTP与NTP，其他服务关闭。

注意WEB服务器接入交换机的端口，按照上面的vlan划分，是在fa0/11，划入vlan16。

配置固定IP。

检查配置

打开其中一台PC，如JT-IT1，打开Web Browser。

输入10.1.6.10，进行测试，是否能够正常返回页面。

3.1.8.3配置DNS服务器

新建DNS服务器，选“Service”，将除DNS、NTP以外的其他功能关闭。

配置静态IP地址。

在之前配置的DNS服务器（10.1.5.10）上面增加WEB服务器的域名解析记录。

再次选择刚才的PC，JT-IT1，打开Web Browser，然后通过域名 访问10.1.6.10网站。正常打开网站证明DNS解析生效。

3.1.8.4配置FTP服务器

配置FTP服务器，除FTP与NTP，其他服务关闭。FTP服务器接入JT-SW1的fa0/12端口。

FTP服务器配置固定IP地址。

检查配置：

JT-IT1电脑，点击FTP进行访问。用户名cisco，密码cisco。

3.1.8.5配置EMAIL服务器

EMAIL服务器，除EMAIL与NTP服务保留，其余关闭。（set按钮记得要按，否则域名不生效）添加EMAIL账户。

Email服务器配置固定IP地址。

DNS添加域名解析记录。（注意区分哪条是A记录，哪2条是CNAME记录）

选择2台PC进行测试，选用JT-IT1、JT-XZ1，分别配置各自的EMAIL账户，点击SAVE保存。

点击Compose尝试发件。

点击Receiver进行查收。

3.1.9配置无线WIFI

增加无线路由器

笔记本关机。

将有线网卡拖动移除，然后拖动无线网卡安装，然后按电源键重新开机。

配置无线网络SSID与密码，接入无线网络。

有信号就已经连接上。

至此，集团总部内网二层网络与三层VLAN终结配置完毕，并且内网终端已经能够有线与无线接入公司网络，已经实现DHCP自动获取IP地址，发邮件，访问公司WEB与FTP服务。

下一篇我们继续实现公司三层路由、出口访问公网、公网访问DMZ区WEB服务器，分支机构与VPN等需求的配置。

网络攻防到底要学啥

网络攻防学习的内容：

1.首先学习windows基础,比如电脑系统安装,故障排除等等。然后多看《计算机网络五版》《黑客就这么几招》。

2.进入深度学习，选择语言学习，比如Python，java，c，c++等高级语言，但是英语不好的，像我先学会儿易语言，了解编程，编程思维。然后学习英语，至少单词会了。然后学习其他语言。

3.学习数据库结构,数据库配置,服务器相关配置,以及网络配置,为了更好了解目标,也为了防御。

4.可以开始学习渗透了,服务器渗透等。5.学习社会工程学。危则变，变则通，通则久。网络攻防是一场此消彼长的动态平衡较量，当前国际网络安全局势日趋复杂与严峻，合规驱动的正向网络安全防护思维已经不足以满足各行各业的新生安全需求，逆向思维的“攻防实战演习”便成为企业精准评估自身潜在脆弱性、验证安全防护是否健全的方案。

【网警提醒】基础网络攻防之webshell攻击

什么是webshell？有什么危害？

webshell 就是一种可以在web服务器上执行的后台脚本或者命令执行环境。

黑客通过入侵网站上传webshell后获得服务器的执行操作权限，比如执行系统命令、窃取用户数据、删除web页面、修改主页等，其危害不言而喻。

Webshell攻击的特点有哪些？

1

持续远程访问

入侵者可以利用 webshell 从而达到长期控制网站服务器的目的。若攻击者自行修复了漏洞，以确保没有其他人会利用该漏洞，攻击者可以低调的随时控制服务器。一些流行的 webshell 使用密码验证和其他技术来确保只有上传 webshell 的攻击者才能访问它。

2

权限提升

在服务器没有配置错误的情况下， webshell 将在web服务器的用户权限下运行，该用户权限是有限的。通过使用 webshell ，攻击者可以尝试通过利用系统上的本地漏洞来执行权限提升，常见的有查找敏感配置文件、通过内核漏洞提权、利用低权限用户目录下可被Root权限用户调用的脚本提权、任务计划等。

3

极强的隐蔽性

有些恶意网页脚本可以嵌套在正常网页中运行，且不容易被查杀。webshell还可以穿越服务器防火墙，由于与被控制的服务器或远程主机交互的数据都是通过80端口传递，因此不会被防火墙拦截，在没有记录流量的情况下， webshell 使用post包发送，也不会被记录在系统日志中，只会在web日志中记录一些数据提交的记录。

获取webshell的常见方法

1

直接上传获得webshell

因过滤上传文件不严，导致用户可以直接上传 webshell 到网站任意可写目录中，从而拿到网站的管理员控制权限。

2

添加修改上传类型

现在很多脚本程序上传模块不是只允许上传合法文件类型，大多数的系统是允许添加上传类型。

3

利用后台管理功能写入webshell

进入后台后还可以通过修改相关文件来写入webshell。

4

利用后台数据库备份及恢复获得

主要是利用后台对access数据库的“备份数据库”或“恢复数据库”功能，“备份的数据库路径”等变量没有过滤导致可以把任意文件后缀改为asp，从而得到webshell。

5

php+mysql系统

后台需要有mysql数据查询功能，入侵者就可以利用它执行SELECT ... in TO OUTFILE查询输出php文件，因为所有的数据是存放在mysql里的，所以我们可以通过正常手段把我们的WebShell代码插入mysql在利用SELECT ... in TO OUTFILE语句导出shell。

webshell网站后门的清除方法

后门的文件可以直接删除，找到后门文件，直接删除即可；

不能直接删除后门文件，只能删除文件内容中的木马代码进行清除。

1、文件名为index.asp 、index.php，这类为自动生成SEO类型文件，可以直接删除，如要彻底清除后门，需找生成此文件的源文件。

2、文件内容只有一行，或很少量的代码，此类被称为“一句话后门”。

3、文件内容中存在password或UserPass关键字。

4、另外一些在上传组件目录或上传目录的文件可以直接删除。如eWebEditor、Editor、FCKeditor、webeditor、UploadFiles、uploads等。

1、网站自身文件被插入恶意代码

2、网站配置文件

这类插入网站自身代码中的后门清除方法：

首先备份此文件以备改错可恢复，查找到后门代码的位置，一般通过查找“eval、execute、request、ExecuteGlobal”关键字进行定位。把确定为后门的代码删除后保存文件。访问网站看是否报错,以确认有没有改错。

网站如何防御webshell攻击？

从根本上解决动态网页脚本的安全问题，要做到防注入、防暴库、防COOKIES欺骗、防跨站攻击等等，务必配置好服务器FSO权限。

1、建议用户通过ftp来上传、维护网页，尽量不安装上传程序。

2、对上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

3、程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载程序，要对数据库名称和存放路径进行修改，数据库名称要有一定复杂性。

5、尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再上传。

8、时常备份数据库等重要文件。

9、日常多维护，并注意空间中是否有来历不明的asp文件。

10、尽量关闭网站搜索功能，利用外部搜索工具，以防爆出数据。

11、利用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。

网络攻防：攻击机（Ubuntu）和靶机（win2000server）的搭建

【目标】：要使【实际主机】、【攻击机】、【靶机】三方互相ping通

一、搭建靶机

点击下一步-完成

二、配置虚拟机win2000server的网络

实际主机：属性-启用

当虚拟机鼠标在虚拟机中出不来时，可以按Ctrl+alt键释放

三、查看靶机IP

登陆账号：Administrator密码：mima1234

硬件向导选“否”

打开“运行”--键入cmd

得到靶机IP地址为：192.168.67.129

四、从实体主机ping一下靶机

所以，【实体主机-靶机】互通

五、搭建攻击机（Linux-Ubuntu）安装方法同上，以下列举不同的地方

六、开启攻击机（Ubuntu）

Login:root

password:toor

回车：

输入：root@bt:~#startx(进入Ubuntu的图形化界面)

点一下如下图所示的图案：打开terminal

输入：root@bt:~#ifconfig(查看Ubuntu的IP地址)

得到Ubuntu的IP地址为：192.168.67.128

七、在攻击机上检查【攻击机-实体主机】和【攻击机-靶机】是否能ping通

查看实体主机IP地址：+R--cmd

C:\Users\aceripconfig(查看ip地址)

得到实体主机的IP地址为：10.201.212.16

打开Ubuntu的terminal，尝试【攻击机-实体主机】ping

                                          尝试【攻击机-靶机】ping

计算机网络攻防技术的主要应用有哪些

什么是计算机网络：

指将地理位置不同的具有独立功能的多台计算机及其外部设备，通过通信线路连接起来，在网络操作系统，网络管理及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统。

计算机网络的功能主要有：

通信 数据通信是计算机网络最基本的功能。它用来快速传送计算机与终端、计算机与计算机之间的各种信息，包括文字信件、新闻消息、咨询信息、图片资料、报纸版面等。利用这一特点，可实现将分散在各个地区的单位或部门用计算机网络联系起来，进行统一的调配、控制和管理。 资源共享 “资源”指的是网络中所有的、硬件和数据资源。“共享”指的是网络中的用户都能够部分或全部地享受这些资源。

应用实例：电脑及系统、服务器、通信设备、传输介质。

信息化管理4大问题如何解决？

文|周璐珊（知本咨询咨询顾问）

《关于开展对标世界一流管理提升行动的通知》（以下简称《通知》）中，在信息化管理方面，提出要“加强信息细化管理，提升系统集成能力”。

对标国际一流实践，解决企业以往在信息化管理过程存在的诸多问题。具体来看：

首先，是要解决信息化管理缺乏统筹规划的问题。《通知》指出，要“结合‘十四五’网络安全和信息化规划制定和落实，以企业数字化智能化升级转型为主线，进一步强化顶层设计和统筹规划，充分发挥信息化驱动引领作用”。

其次，是要解决信息化与业务“两张皮”的问题。《通知》指出，要“促进业务与信息化的深度融合，推进信息系统的平台化、专业化和规模化，实现业务流程再造，为企业生产经营管理和产业转型升级注入新动力”。

第三，是要解决信息系统互联互通不够的问题。《通知》指出，要“打通信息‘孤岛’，统一基础数据标准，实现企业内部业务数据互联互通，促进以数字化为支撑的管理变革”。

最后，是要解决信息安全隐患的问题。《通知》指出，要“加强网络安全管理体系建设，落实安全责任，完善技术手段，加强应急响应保障，确保不发生重大网络安全事件”。

二、信息化规划

信息化规划，一方面要坚持战略引领。企业信息化建设工作的开展是一个涉及各个层级、各个领域、各个业务板块的，综合性、系统性、复杂性工程。

需要纳入到企业的总体发展战略制定过程中，进行统一研判、集中部署。

例如：中国海油在2020年工作会议上提出的“1534”总体发展思路，包括一个目标，建设中国特色国际一流能源公司；五个战略，创新驱动、国际化发展、绿色低碳、市场引领、人才兴企；三个作用，中国海油要争做推进“卡脖子”技术攻关的先锋队，争做油气上产的主力军，争做国民经济持续 健康 发展的“稳定器”“压舱石”；四个跨越，要实现从常规油气到非常规油气的跨越，从传统能源到新能源的跨越，从海上到陆地的跨越，从传统模式到数字化的跨越。

中国海油“1534”总体发展思路，即将数字化转型，纳入到集团总体发展战略之中，作为四个跨越之一，支撑中国特色国际一流能源公司建设目标的实现。

另一方面，要坚持需求为导向、问题为导向。

以中国大唐的数字化、信息化战略为例。

在认识到全球能源产业格局正在重塑，清洁化发展趋势不断加速，能源供需结构与供需模式不断转变，以及我国能源行业深化“四个革命、一个合作”能源安全战略，加速推进能源结构调整和产业优化升级的产业背景下，中国大唐提出了打造“数字大唐”，建设世界一流能源的企业的发展愿景。

提出了集团管控能力、运营生产能力和创新发展能力三大提升方向，从定位、管控、运营、能力和架构，五个方面开展数字化、信息化建设，均与大唐集团的运营与业务管理提升需求紧密结合。

如典型：在新运营环节，强调开展一体化智慧运营，形成运营流程端到端集成、企业外部广泛互联（生态圈）、数字驱动的智慧运营能力（智慧建设、智慧电厂等），适应新能源时代运营要求。

图|打造“数字大唐”，建设世界一流能源企业发展思路

当然，我们说在具备了完善的顶层设计的同时，合理有效的统筹安排，清晰的规划路径，也是坐实企业信息化规划，发挥信息化驱动引领作用的必要保障。

来看一个华能集团的案例，分阶段落实完善数字化、信息化规划建设。

第一阶段，在2021年3月底以前，是华能信息化建设、数字化转型战略的战略规划与夯实基础阶段。

在战略+层面，出台了《数字化转型总体规划》的同时，在数据基础层面，华能构建了企业数据治理体系，统一了数据结构与数据编码，从而形成了共性元数据与根数据。

而在运营层面，则实现所有风电、光伏数据对智慧能源数据平台的接入，并完成了瑞金智慧电厂示范项目的建设工作。

第二阶段，预计为2021-2022年，是华能信息化建设、数字化转型战略的重点突破与引领示范阶段。

华能将以纳入了风电、光伏数据的智慧能源数据平台为基础，完成对水电、火电、核电等数据的接入，从而形成统一的智慧能源数据平台。

在运营层面形成全流程、全业务的元数据管理和全生命周期的数据治理服务能力。同时，完成主要产业和企业重点业务的数字化转型。

第三阶段，为2023年，是华能信息化建设、数字化转型战略的巩固提高和全面转型阶段。

华能将实现全面的数字化转型，同时也将其作为国企改革三年行动重要成果。

将数据资源作为驱动发展的新动力，通过数据共享、数据服务，打通上下游产业链，从而形成多产业链、多系统集成的智能化生产、管理、决策体系和生态。

三、信息化与业务的融合

信息化与业务的融合发展，从政策层面可以追溯到2013年的工信部《信息化与工业化深度融合专项行动计划（2013-2018年）》，其后，在政策的持续推动与企业的积极行动之下，我国信息化与业务的融合发展进入快车道。

从融合实施进程来看，2013-2018年，可以说是我国信息化与业务融合发展的业务级融合阶段。

在企业内部，主要是在部门层面，业务层面开展融合工作，即通过信息技术，改造传统生产、经营、管理和服务等活动，在局部实现信息化、数字化改造。

这一阶段往往采用“百人计算机拥有量”、“信息系统覆盖率”等数据指标作为关键表征性指标。

当前，我国信息化与业务的融合发展，已经进入企业级融合阶段。

主要是通过对企业业务的集成化改造，对原有生产、经营、管理和服务模式进行跨业务领域、跨管理环节的整体优化。

这一阶段的关键表征性指标，除了原有的“信息系统覆盖率”等指标外，还应加入如“数字化研发设计工具普及率”、“关键工序数字化控制覆盖率”等与生产经营联系更加紧密的数据指标。

以中国兵器装备集团为例，进入企业级融合阶段，其信息化、数字化建设与业务的深入融合，主要成两个方面展开，一方面是通过信息化、数字化建设提升自主创新能力；另一方面是通过信息化、数字化改造实现制造产业智能化升级。

在提升自主创新能力方面，中国兵器装备集团依托包括国家级企业技术中心、国家重点实验室、工程研究中心、协同创新中心在内的21家高水平创新平台，开展数字化研发、设计、仿真、试验和验证工作，实现国内领先，有力支撑了集团的重点研发体系建立，研发周期平均缩短30%。

特别是在 汽车 产业领域，通过“六国九地”的全球数字化协同研发平台，中国兵器装备集团建立了多学科综合数字化建模仿真系统，填补了国内设计空白。

在实现制造产业智能化升级方面，中国兵器装备集团在集团信息化规划基础上，制定了《智能制造专项规划》，以智能化车间、智能化产品、智能化模式、智能化管理和智能化服务，五个智能化为抓手，全面推进智能制造，逐步实现柔性化生产和个性化定制，从而快速响应市场需求变化。

同时，中国兵器装备集团积极推进工信部国家级两化融合试点工作，75%的企业达到综合集成水平，在 汽车 、医药等领域建成了5个国家级智能车间示范项目，采用数字孪生技术，实现数字化工厂的虚实制造结合，产品生产周期缩短25%以上，制造成本降低10%以上。

但在立足于实际需求，通过信息化与业务的深度融合，解决和提升企业生产、经营、管理和服务等方面的问题与能力的同时，更要深入挖掘数据资源潜力，将信息与数据资源转变产品与服务，为企业、用户和 社会 创造更多价值。

国家电网在信息与数据资源的产品与服务开发方面，为我们做出了表率。

国家电网党组书记、董事长辛保安指出，“电力大数据是一座‘富矿’，有巨大的价值挖掘潜力”。

当前，国家电网正积极推动平台业务、数据产品业务的发展。

第一是开展能源电商业务。

国家电网打造了目前国内最大的能源电商平台，在2B方面，通过整合能源产业链上的上下游资源，推动能源产业链各环节物资的电商化采购；在2C方面，依托智能缴费服务，不断拓展平台功能，为客户提供综合城市生活服务，截止2020年底，注册用户超过2.7亿。

第二是开展智能车联网业务。

围绕电动 汽车 充电服务，国家电网与普天新能源、特来电、星星充电等17家充电运营商联合，建成了全球覆盖范围最广、接入设备最多、技术水平最高的智慧车联网平台。

目前平台接入充电桩103万个，为480万辆电动 汽车 的绿色出行提供便捷智能的充、换电服务，实现“车-桩-网”间高效协同，助理我国电动 汽车 产业的高速发展。

第三是开展电力大数据征信业务。

国家电网利用企业用电数据，积极开展信贷反欺诈、授信辅助、贷后预警等方面的数据分析与应用服务，目前国家电网下属17家省级公司和国网电商公司与金融机构签署战略合作协议，促成了935家中、小微企业，33.8亿元的融资。

第四是开展助力政府精准施策的政务服务业务。

例如：在协助环保监测方面，国家电网开发了智慧环保电力大数据产品，在线监测污染源企业的排污情况；在协助复工复产方面，疫情期间，国家电网开发了“企业复工电力指数”，及时准确反映各行业复工复产情况，为各级政府科学决策提供数据支持。

四、信息互通支撑管理变革

在业务层面，通过信息化、数字化建设，改造传统经营模式，拓展数据产品、服务价值的同时，在管理层面，信息化、数字化建设也是推动现代企业制度改革的重要途径和方法。

以上文提到的中国兵装集团为例，在通过信息化、数字化建设提升自主创新能力、实现制造产业智能化升级的同时，也通过信息化、数字化技术的应用推动了集团的现代企业制度改革。

首先，中国兵器装备集团依托运营监控和大数据分析，提升优化集团的战略管控体系，将财务、人力、资产、审计、党建、“三重一大”等战略管控主要工作内容全部实现信息化，同时全面推进管理会计工具全行业信息化应用，业财一体化100%覆盖，显著降低两金占用，集团供应链管理实现集中率95%，采购降本28.88亿。

第二，中国兵器装备集团建立了动态的竞争情报分析、监测、评估体系，形成“大安全体系”，包括14个一级指标、57个二级指标， 科技 大数据近2万条专利、数百个核心技术以及智能制造核心能力指标， 汽车 大数据研、产、供、销等1300个指标全部实现实时监控和智能分析，从而有效支撑产品、业务、管理和组织的创新；

第三，中国兵器装备集团完善了数据治理体系，统一数据资产标准，打通数据产业链，力争实现数据资产的保值增值。

第四，中国兵器装备集团形成了数字化监管体系，增强集团治理能力，建设数字化总部，实现精准管控、精准决策、精准运营。

另一个打通数据“孤岛”，实现信息互联互通，推动企业管理变革的典型案例是南网电网。南方电网党组书记、董事长孟振平在署名文章《以数字化转型催生高质量发展新动能新优势》中提出，要“打造数字企业，融入国家治理体系和治理能力现代化”。

孟振平指出：将数字技术融入企业管理全过程，是当今世界一流企业的共同发展趋势，更是电网企业融入国家治理体系和治理能力现代化的必由之路。

南方电网大力建设数字企业，推动数字化运营与决策，实现管理化繁为简，提升管控力、决策力、组织力和协同力，让企业治理发挥在国家治理体系中的应有作用。

具体来看，南方电网首先是以数据驱动业务发展。

一方面，南方电网已经建设完成了覆盖企业运营管理全业务流程的一体化数字业务平台，以数据驱动公司的业务流程再造和组织结构优化，促进跨层级、跨系统、跨部门、跨业务的高效协作，进一步优化提升资源配置效率；另一方面，南方电网广泛应用人工智能技术，以技术赋能经营管理，提升管理效率，机器人流程自动化（RPA）提升财务工作效率80%以上，计量物资集约化管理降低库存52%。

其次，南方电网以数字化实现精益管理。

南方电网建设了企业运营管控平台，形成横向互联、纵向贯通的企业“驾驶舱”。

同时，以数字技术实现管理工作的量化评价，形成精益化管理，实现战略运营、业务运行、产业链运转等各类生产经营活动的实时监控、动态分析和风险管控，在提升洞察能力与集团管控水平额同时，也全面支撑了公司的运营风险管控和科学决策。

最后，南方电网以资产作为治理纽带，推动资产数据化与数据资产化。

在资产数据化方面，南方电网深化资产的全生命周期运营管理和数字化协作应用，促进资产管理各个环节的有序运转和高效协同，提升资产使用效率和管理效益；在数据资产化方面，南方电网建立健全了数据资产管理体系和管理平台，提升企业整体的数据治理能力和数据价值创造能力。

五、信息安全

2019年4月，新版《中央企业负责人经营业绩考核办法》施行，将网络安全纳入到了央企负责人的考核指标体系之中，再次凸显了信息安全、数据安全的重要性。

同样，本次对标世界一流管理提升行动中，也将解决信息安全隐患，作为企业信息管理能力提升的重要工作任务之一。

信息安全体系建设，首先要从管理理念、管理思路入手，坚持信息、数据价值开发与保护并重，国家电网在这方面进行了有益实践。

国家电网长期积累的电力数据，既是企业的战略资源和核心生产要素，也是能够直接反映经济运行、 社会 民生、产业运转、用户信用等情况的重要敏感信息。

因此，国家电网在挖掘信息、数据“富矿”价值，开发信息、数据产品的过程中，始终将安全合规作为前提和底线，确保数据安全，保护用户隐私，坚决防止发生敏感数据和个人信息的泄露，以及由于网络安全引发的大电网安全事故。

具体来看，国家电网在信息安全方面，坚持人防与技防并重，持续强化互联网大区、管理信息大区和生产控制大区三道防线建设，构建全场景的网络安全防护体系。

同时，积极开展攻防实战，将网络实战攻防固定化、常态化，在“护网2020”网络攻防演习中，国家电网夺得了全国防守方第一名的优秀成绩。

第二，总书记关于网络安全的重要讲话指出，“网络安全是整体的而不是割裂的，是动态的而不是静态的，是开放的而不是封闭的，是相对的而不是绝对的，是共同的而不是孤立的”，所以企业信息安全、数据安全与网络安全建设，要全盘考虑，统筹规划，从信息流的各个环节入手，全面提升安全保障水平。

典型如华润集团的信息安全保障工作，从开展伊始，就明确了集团统一筹划、各业务单元协同落地的工作原则。

考虑到集团下属各个业务单元间信息安全保障能力的现实差距，华润在相关技术领域制定了统一的安全技术标准与规范，以及一体化的安全运营管理机制，贯穿集团总部到下属各个业务单元。

同时，华润积极开展网络与信息安全工作信息化、数字化与智能化建设，研发三大作战指挥平台，慧脑SCP安全作战指挥云平台、慧眼SSP安全态势感知云平台和慧联STP安全协同平台，以及MarvelNet网络智能运维平台、Rango系统漏洞智能修复平台、Tota护网实战事件管理平台等，一系列平台级工具软件，将安全管理体系、技术体系、运营体系融为一体，使相关管理流程、机制固化到了管理系统中，融合联动了各类异构防护设备（G01、K01、WAF等）、监测设备（D01、网络流量安全感知等）与网络设备，实现了基于资产的威胁自动分析、IP自动封堵、事件自动提单、跨领域人员高效协同研判与处置、辅助作战指令下达、全局态势洞察等多项功能，实现全集团安全上下一体，全局风险与威胁可视、可管、可控。

第三，在企业网络信息安全体系建设过程中，技术只是工具，管理才是主线，只有建立了完善的网络信息安全应对策略、组织与流程，才能使各类网络信息安全技术发挥出应有的作用，从而全面保障企业的信息安全。

平安集团智慧经营副总裁、首席增长官张君毅在2020年5月第二届移动互联网安全峰会上的发言，提到：平安认为，以数据为中心的安全保护，七分靠管理，三分靠技术，有效管理是数据安全有效保护的前提。平安集团的信息与数据安全体系建设，一直践行着这一理念。

一是平安建立了一体化的信息与数据安全保护组织体系。

从决策层到管理层，以及控制层和执行层，都有专人负责信息安全事件的响应和审批，通过闭环管理，规避企业内部对外数据传递过程中的系统化风险。

二是平安制定了严格的信息与数据安全管理制度流程。

将制度建在流程上，将流程建在系统上，形成了规范化的流程制度体系，使信息与数据安全的控制理念，贯穿于整个经营生产流程之中。

三是平安搭建了一个可控、可查、可见的一体化数据安全运营中心。

通过不断地对标差距、搭建体系，形成完善的信息与数据安全能力矩阵，保证平台信息与数据安全体系的健全运行和安全合规。

六、信息化对标分析总结

在信息化规划部分，通过对中国海油、中国大唐和华能集团的信息化战略与规划案例分析，可以深刻的认识到，信息化规划，一方面要坚持战略引领；另一方面，要坚持需求为导向、问题为导向。

同时，合理有效的统筹安排，清晰的规划路径，也是坐实企业信息化规划，发挥信息化驱动引领作用的必要保障。

在信息化与业务的融合部分，通过对中国兵器装备集团与国家电网的案例分析，可以看到信息化与业务融合，一方面是要立足于实际需求，通过信息化与业务的深度融合，解决和提升企业生产、经营、管理和服务等方面的问题与能力；另一方面是要更加深入的挖掘数据资源潜力，将信息与数据资源转变产品与服务，为企业、用户和 社会 创造更多价值。

在信息互通支撑管理变革部分，通过对南方电网和中国兵器装备集团的管理变革案例，突出了信息化、数字化建设对现代企业制度改革的重要推动作用。

在信息安全部分，通过对国家电网、华润集团和平安集团的信息与数据安全体系建设，强调了信息与数据价值开发和保护并重的信息安全管理理念；信息与数据安全体系建设要全盘考虑，统筹规划，从信息流的各个环节入手，全面提升安全保障水平；同时，在企业网络信息安全体系建设过程中，技术只是工具，管理才是主线，只有建立了完善的网络信息安全应对策略、组织与流程，才能使各类网络信息安全技术发挥出应有的作用，从而全面保障企业的信息安全。

编辑丨叶子