• 观点
    2014年影响企业移动化战略几大趋势 毫无疑问,移动化正改变着企业。如今,企业移动化发展大多运用案例中心来提高生产力,企业为忙碌的员工配备移动设备,从而保证其工作效率;企业也为客户提供多项选择,从而提高收益,例如,提供定位和在线状态服务等新特性。 这种破旧立新的商业模式转变也给企业带来一定混乱。许多企业争相制定移动化战略,但其不切实际的期望,不够具体的目标以及组织惰性使得移动化战略执行效果不佳。企业必须尽快适应移动技术变革,否则将落后于适应力强的竞争对手。 Gartner认为,2014年最能影响企业移动化战略的趋势有以下几点: 1)身份设别和访问权限管理(IAM) 企业必须有能力进行用户认证和把关特定企业资源访问权限。就IAM而言,有三点需要注意:单点登录、自适应访问控制以及用户隐私。移动设备的小尺寸不便于设置安全性高的密码,而且用户希望登陆后即能获取所需资源来开展工作。自适应访问控制涉及附加上下文信息,例如用户定位,行为模式等,这有助于提高身份认证安全性,同时减少移动应用使用风险。定位数据确实能加强认证可靠性,但也使得人们对隐私安全的忧虑与时俱增。 2)安全和风险 手机用户常访问可能存于设备或私人/公开云端的敏感应用及数据。如今存在许多跨平台安全控制手段,如认证、加密、设备清理以及反恶意软件安装等。不过,由于这些方法安全程度各不相同,且应用于不同的操作系统类型和版本,因此安全管理服务提供商很难对所有类型设备提供统一解决方案。云端安全是整个移动战略的一部分,所以对它的评估也是必要的。 3)移动应用开发 用户体验(UX)几乎已成为所有移动化项目成功与否的关键。大多数开发商或多或少都知道用户体验对B2C应用而言十分重要,然而,其对B2E应用而言却并非如此。一些企业应用过时且设计不佳,通常来讲,员工们若是可以选择,是不会使用这些应用的。特别是一些在IT行业工作的员工,他们可以使用比企业应用操作更便捷的消费性应用。除此之外,“影子 IT”问题的存在几不可察,也可能导致安全性风险的上升。   4)内容及协作 移动设备正改变着人们交流,合作、内容创建和社交软件使用方式。IT行业常面临以下三种情况: 解决在办公场所使用iPad的问题——移动应用不同于电脑应用,尤其是iPad这样更多用于阅览输出而非编辑输入的移动设备。 解决Dropbox的问题——许多员工使用消费性的文件同步应用来保证自己所有设备上的文件更新,比如Dropbox,这就可能使企业信息面临被泄露的风险。 手机与社交软件的关系——多数知识型员工可从频繁使用手机中获益,即参与到企业的社交网络中来。   5)IT基础设施建设 用户对无线网络覆盖率的需求正推动着IT行业对无线网络基础设施的建设。用户们也希望无线局域网(WLAN)能像有线局域网一样快速、稳定地运行。由于企业日益依赖WLAN进行重要通讯,因而网络设计,网络管理以及问题诊断等面临的挑战也越来越复杂。然而,WLAN的设计初衷并不是用于提供关键性服务,且WLAN还存在很多问题,例如性能低下、覆盖率低以及缺乏对个人设备服务的考虑。企业还须处理BYOD战略涉及网站间通讯基础设施建设的诸多要求,这可能需要增加网络容量,进行带宽管理,区分BYOD及企业设备,增加IP语音服务及扩展移动网络接入点。 6)BYOD管理 自引进PC以来,BYOD很大程度上推动了客户端计算发展。高德纳咨询公司数据显示,接受其调查的CIO中有38%都将在2016年停止向其员工提供个人设备。但是,IT行业正不可逆转地向着BYOD趋势发展,这意味着要不断满足员工们在使用个人设备中的各种需求。BYOD的发展加剧了信息安全性,设备管理,工作空间交付带来的挑战,而终端安全控制,移动应用管理工具,工作空间交付机制又无法兼顾种类繁多的手机平台。因此,IT从业者、管理者们应与用户共同努力,积极制定策略,进行实践并预测未来人们对BYOD的需求。   【文章来源:人称T客】  
    观点
    2014年05月19日
  • 观点
    脉脉:有成为移动版Linkedin的潜能,但爆点还在寻觅中 过去15年,中国互联网公司几乎copy了国外所有成功的商业模式,先后产生了一大批成绩卓越的明星企业。但有一家公司,在中国一直没能copy成功,就是职业社交网站Linkedin。为什么Linkedin在中国难以复制?以及中国是否需要自己的Linkedin?   前半问,业界有很多说法,比如国情不同、习惯差异、时机不到、产品形态单一、团队浮躁等等。但无论如何解释,都难以否定中国用户需要自己的Linkedin,这将是职场生活作为一种特殊场景愈发高频、垂直的必然结果。不管找工作、找创业搭档、找生意伙伴甚至结交志趣相投的职场人,都需要一个特定的产品来承载,尤其当移动互联网应用普及之后,符合职场商务人士线上社交的条件已经完全成熟。   本文介绍的脉脉团队,就一直在这方面发力,专注打造适合中国人的职场社交体验。   脉脉,是林凡团队的第三个产品   脉脉创始人林凡2012年从大街网出来创业,他说,之前搜狗和大街网的工作经验让他有了做出脉脉的可能性:搜狗的算法加上大街网的社交思维,让APP可以帮助用户管理和发掘出自己的人脉。脉脉就是这个思路下的第三个产品。   第一个产品是头像淘淘。可以在手机上接入你的微博、人人网等,将好友的头像导入到手机,自动添加到通讯录上,让每一个好友“有头像更精彩”。   第二个产品是觅觅,可以通过算法帮你找到靠谱的小伙伴,可以一起愉快地玩耍。   林凡在总结这个两个产品时,觉得第一个太轻,第二虽有社交但用户之间没有建立联系,比较分散,都不太成熟。所以第三个产品,脉脉,可以导入用户的通讯录和微博中的好友,通过算法匹配出你的一度人脉和二度人脉。   我认为脉脉最大的亮点,是在你注册之初就已经有了很多可供使用的数据内容。甚至有点“吓一跳”的感觉,所有隐藏的人际关系都被拎出来了,一上来就能看到。   脉脉的产品逻辑   现在的脉脉,经过半年的发展,20多次迭代,其内在逻辑已经相对清晰,就是将你在不同社交网络(比如通讯录、微博)的行为数据通过计算挖掘,呈现出对你最有价值的真实的人脉关系链。你可以在一度人脉的引荐下认识二度人脉的朋友,也可以通过一度人脉的分享发现二度人脉以内的招聘和求职信息。这对于在职场社交中并不善于陌生“拜访”的中国用户,非常关键。   那么脉脉的逻辑是依靠什么来完成?   第一,清晰的关系链找到靠谱的朋友。在脉脉设计的添加好友过程中,你除了可以知道对方的情况,还可清晰地了解到与你的关系链。   第二,精准的算法找到帮你的朋友。目前脉脉30万用户中,约10-20%是HR,林凡透露脉脉中的数据量远不是表面看到的八卦新闻和个人动态,更多海量的数据是HR与应聘者的对话。如果你想在脉脉上找到解决问题的人,可以通过人脉推荐、公司、学校、职位等不同维度进行查找。   第三,“移动”的特性有助于社交。脉脉是基于移动互联网,在移动互联网上,由于人们对方寸之间的安全感高于PC端,所以加为好友的概率也远高于PC端。   需要迈过去的几步   从去年10月末,我已经用脉脉快半年的时间,然而脉脉这款产品给我的感觉仍不是像林凡描述的那么清晰,我很难一句话完整表述出来。   我问林凡,你如何理解职场社交?他说,   职场社交有很多种需求,最直观的就是找工作、经营人脉,除此以外,还有泡八卦、读资讯,甚至还有一部分低频的IM需求。所以我们可能真的有点剑走偏锋,我们什么都做,再把每一种需求归纳好,让用户逐渐转起来。当然我可能见过100个产品经理,都说你们做的太复杂了,你们应该用一个点切入……   林凡坦承现在的脉脉没有找到一个好的切入点或者产品运营的爆点,一些需求不大的人,很难愿意立刻上手。脉脉的运营杨泽也认为,目前的脉脉以认识人这个口号来宣传,比较泛,不够聚焦,今后脉脉会在其传播力度上作进一步的完善,让用户更愿意使用以及分享。从解决需求角度来说,缺乏一个好的切入点,可能是脉脉要迈过去的第一步。   第二步,从圈子来说,也缺乏爆发性的增长点。脉脉半年达到30万用户,日增长几千,对比今年刚推出的秘密还有距离。和秘密最早流行于投资人,脉脉现在主要定位于互联网人群。林凡想在今年将互联网的圈子占领好,他认为工具类的产品要靠渠道来获得爆发性的增长,而社交类的产品要靠口碑,而脉脉目前爆发点好像不是太明显。   在采访中,林凡也问及脉脉中匿名八卦的意见,同时谈到之后会将每天点击最高的八卦消息赏金5000元(貌似比较土豪,完稿时已经推出),以此做成国内非著名的安全、有价值的匿名爆料平台,这种重赏之下必有勇夫的方法没准还真能成为其爆发式增长的一个可能性,试问宇宙中谁没有一个小八卦的心理。   晨兴创投A轮投资脉脉几百万美元,如果脉脉果真能够迈过这两步,成为一款拥有用户完整的职场信息、帮助用户更快更精准地找到人、有着UGC式的精彩八卦内容的职场社交APP的话……Linkedin目前可是近200亿美元的市值哦。   【文章来源:虎嗅网】
    观点
    2014年05月19日
  • 观点
    私有云SaaS大卖,鸡肋还是蛋糕? 来自深圳的知名SaaS厂商工作家网络近日宣布,公司与湖北省中创新产业发展有限公司达成合作协议。工作家将为其部署标准化的iWorker私有云产品。   这是近一个月来,工作家网络签署的第三份类似合同。不难看出,即使在互联网大行其道的今天。想要突出个性化、更在意数据保密、习惯用一锥子买卖满足信息化需求的企业,依然广泛存在。   在线使用,按需付费,不用安装并且升级方便,SaaS的先进性显而易见。但现实中经常遇到的情况是:出得起钱的往往是规模企业,规模企业有自己的使用和消费习惯,以及更高的安全要求,标准的公有云产品不能完全适用。这让一心奔着Salesforce去、渴望走互联网产品化路线的SaaS公司们非常困扰。   面对这种项目性质的私有云商机,广开门路的工作家网络又是如何处理的呢?创始人蔡军表示:iWorker目前没有这方面的困扰。一是iWorker的功能相对全面,客户通过公有云试用之后,发现基本的需求都能满足。之所以最终选择私有云方式,无非是想要数据更加私密,再者就是更个性一点。比如很多老板想要个自己公司LOGO的APP,很体面。第二,iWorker有一个扩展性极强的应用平台,支持私有云和公有云的混合模式。APP同步分发部署,同步升级,主要功能和用户界面还能支持自定义。我们把这样个性化的需求用相对较低的成本来实现。这是我们的优势。   笔者追问:到底哪种模式更适合中国SaaS公司发展?蔡总答道:这个问题就像讨论是买房还是租房谁更好一样,没有标准答案。私有云和公有云混合模式,在中国目前的阶段,是符合市场诉求的。但公有云SaaS服务还是我们的核心,也是未来潜力最大的业务,是正餐,我们目前绝大部分付费用户还是来自于公有云。   【文章来源:雷锋网】  
    观点
    2014年05月19日
  • 观点
    HR Data Analytics – Case Use by HR Organziations 作者:William Chin 授权发布 The Chapman Consulting Group just completed their Spring HR leaders meeting in Beijing on May 15. This time Lenovo hosted the session at their Beijing headquarter office. The topic for this round is centered around Managing Global HR in the age of ‘Big Data’ What companies are doing to optimise talent and HR systems in parallel with the advent of global and regional Centres of Excellence; The increased use of data and analytics as another tool of Global HR management; and The effect this is having on the type of HR Leader progressing within the profession.  This theme is consistent with their #1 trending HR focus areas for 2014. I have captured key points from the meeting below.     Lenovo – Shared Services Lenovo, the world’s leader in the PC industry, had just implemented a global HR system, making the switch by eliminating several disparate systems into a global solution. While they have done all the requisite change management requirements with organisation stakeholders, they are seeing that people still like to do things the “old way.” How true! People hate to change. While Lenovo made a clear stand that all everyone need to adopt and utilise the new system they do have a VIP process for their top key executives. The VIP allows for telephone hotline and/or email communication to a HR professional for assistance. However, everyone else is expected to utilise the new self-service model. The benefit of going global with their new HR system is now they have the ability to manage their workforce under one roof. Previously, HR was unable to access “real time” data and instead, was managing people with spreadsheets.   Pfizer – Improving Retention Employee retention is a huge risk in the pharmaseutical industry in China. Industry average is around 25-30% turn-over each year. Pfizer is the global largest pharmaceutical player and is also the largest in China. Even Pfizer is not immune to the high turnover rate. In fact, competitor companies target their employees, because they are the largest. To combat turnover and improve retention they turned to “big data” to better understand drivers of turnover – they created an employee profile of turn-over drivers. The profile Pfizer developed is employee specific with a “risk score.” Pfizer partnered with a consulting company to develop the analysis tool combining existing employee data and against employees who left the company. By looking at former employee profiles they then were able to map those to existing employee enabling Pfizer to see trending issues that may cause turnover. Seeing this information ahead of time allows HR to partner with BU leads to take proactive actionable steps. Some examples of high risk dimension include: employees where are a rehire (they have already left once), short-time with a manager (have not developed a strong bonding with the direct manager), and long tenure in a role (it’s time to refresh with a new focus). I was thinking these are all indicators of high risk turnover by itself. So, why do you need to do a study? The genius is that employee turnover is multi-dimension. Not one thing by itself are drivers of turn-over but, by combining all the various turnover drivers and employee profile, you begin to see a multifaceted profile of their employees – HR and BU can then take multiple tracks to drive retention.   Qualcomm* – Use a Data Analytics Qualcomm has a dedicated data analytics team. That team started in 2008 and was a small group who was responsible for generating large HR data but, on spreadsheet format. Over the years, Analytics Team went on to focus on benchmarking to creating data visualisation and now focusing on predictive modelling for the company. Qualcomm human resources has the ability to pull up dashboard data an a click of a button. This is information is globally accurate and with the ability to do drill downs by organisation, business function, geography and employee types etc. This enables Qualcomm HR, at all levels – HRVP to HR specialist, to have the same data points, at any time. The analytics team also conducts research projects analysing the success of a merger and acquisitions project. The team created a social network analysis / model indicating the strength on network and social ties. In a M&A, one would typically want to see the newly acquired company integrate into the overall company. The faster employees integrate the greater the success outcome. Creating such a model allows Qualcomm to analyse and visualise social interactions to gain insight on who were the “bridge builders,” those who were the best at helping with integrating after a merger.   Doosan – Don’t Over Do It With Data Doosan is a Korean-based conglomerate. The HRVP reminded us that sometimes over use of data can be detrimental to business decision. Instead of using judgement, managers often ask project analysts or HR for more data to help with their decision making. With the data provided, business will ask for more next level data, to back up the high-level data. Analyze the data, analyse more data, then the data paralyses you. By the time the data is complete that the information is out of date and decision window is closed. How often have we faced this before? The presenter was so right on with this point. In HR, we also have metrics and data to measure our performance. The roundtable participants all have HR KPI scores they manage to. One hotelier HR said that after a HR systems implementation that their HR satisfaction scores dropped. I thought that after any large project implementation that one would expect a drop (remember that people hate changes). Instead of managing to the dropped score HR should be managing to improving the score and maybe, that scoring criteria will be different from the prior standard but, the processes and systems have changed. Doosan further explains that in a business downturn, for example, HR is expected to manage employee reductions. So, what happens if HR is successful with meeting the employee reduction targets and morale KPIs are on track yet, the business continues to decline. Doosan HR further suggests that we use experience and judgement to help the business. Data is only one part of the story.   This wraps the summary of key points by each presenter. The Chapman Consulting Group always does a good job with brining together a group of HR leaders from various industries for sharing and networking.   作者声明: *I am employed by Qualcomm. However, the information contained within is the opinion of the author and not that of my employer. All company and/or product names may be trade names, trademarks and/or registered trademarks of the respective owners with which they are associated. Furthermore, this blog post does not represent an endorsement of their products and services and I have woven my own experience in this post. This is for informational purposes only. There is no representations as to the accuracy or completeness of any information.
    观点
    2014年05月17日
  • 观点
    在线教育的未来就是内容化与APP化 尽管在线教育的概念在国内被炒得热火朝天,但大多数创业者却更像是在“做公益”,离真正的商业化尚遥远。梳理国内在线教育格局,大致呈现出以下几大特点:   K12教育大潮来袭 从年龄段分层来看,K12教育一直是在线教育中的痛点,这是因为盛行功利主义教育观的国内,k12年龄段尽管存在巨大的刚需,但这种需求却是建立在国内应试教育的基础之上的,这导致真正能够玩转k12的,必须是跟体制有密切关系的创业者,否则系统化、跟踪量化极难。 但这块难啃的骨头显然已经被众多机构盯上。去年,相继有多家公司切入K12教育领域。   2013年7月,百度发布在线教育产品“百度教育”;阿里紧接着发布了“淘宝同学”;欢聚时代(YY)更早一步将这一教育平台搭建完成;而占据半壁客户端入口的奇虎360在线教育搜索也应声出炉。此外,新东方对K12领域的创新也从不止步,已经开始启动一个基于PC、移动和线下课堂多空间互动的平台,2014年大范围布局互动学习平台,并且优先尝试幼教产品。   2014年3月,K12教育机构“学大教育”发布了个性化智能辅导产品“e学大”,据悉,学大教育正将其内部的教学资源与教务管理体系逐步SoLoMo化,让电脑和投影仪逐步取代讲台上老师,面授辅导也逐步通过电脑端或移动端工具实现互动。   标准化产品成红海 从模式来看,目前在线教育主要可分为大规模开放网络课程(MOOC)模式,水平课程平台模式、网校模式、软件模式等几大类。从目前情况来看,前两者需要大量资源,更适合体制内玩,后两者才是在线教育创业者们热衷的领域。   从目前各公司切入在线教育的产品来看,标准化的内容显然是最方便运作的。这也意味着,单词类、题库类产品的运营远比语法学习上线要容易得多。但由此带来的一大问题是,大量单词类、卡片类在线教育产品扎堆,形成红海市场,而受限于国内的付费意识,它们更多以免费形态出现,商业化探索陷入困境。   在线教育app化 一种极端的想象是,未来所有在线课程都需要配套的通用或专用的交互工具。专用的工具需要配合课程专门开发,使得在线课程成为一种App。   这将意味着,在线教育绝不是生硬地在网络上放视频,相反,“课程研发”将成为多学科交叉活动,每门课背后也都要有一个制作团队:教师做教学设计,编导设计视觉和桥段,程序员编写配套软件,演员出镜讲课……   孙志岗这样阐述:选择题只是通用交互工具的一种。不同课程往往还需要不同的工具。编程课需要在线编程环境,典型如Codecademy;Linux课需要虚拟机,如编程公园;人文课需要peerreview(作业互改),如Coursera;英语课需要口语评分,如有道学堂;吉他课需要乐谱同步,如Soundslice。而这也将催生一大波新型创业公司,例如,专门为各科教师提供全套课程开发服务的公司;精于用人工智能技术提高各种课程自动化处理能力的公司;善于利用Kinect、LeapMotion、脑波检测仪等新型传感器提升交互能力的公司等。   巨大的想象空间仍在等待创业者们发掘和创造。   文章来源: 网易科技    
    观点
    2014年05月16日
  • 观点
    内聘网:先社交再招聘还是先招聘再社交 从去年开始,互联网招聘似乎就成了新的热门创业领域。在之前的报道中,就有垂直于互联网行业的拉勾网、以内部推荐形式做招聘的内推网、侧重于招聘方和求职者双向沟通的哪上班、甚至是细分到技术求职领域的快简历,还有老牌招聘企业智联招聘在去年为顺应趋势所推出的智联卓聘,主要定位于招聘行业的中高端市场,模式和猎聘网比较相似。   内聘网则是一家刚刚上线两个月的招聘网站,同上面这些公司相似,内聘网所服务的范围也是垂直于互联网行业:在企业方,主要针对创业型的小微企业;而在求职方,则侧重于有1—3年工作经验的职场新人。内聘网的工作模式有点像猎头,通过对双方需求和条件的分析,把相对合适的人推荐到相应合适的职位,从而完成招聘过程。上个星期,猎聘网 CEO 肖恒向快鲤鱼记者确认,内聘网已经获得了一笔百万人民币级别的天使投资。   做信息平台还是服务平台? 这是肖恒在给内聘网定位时所提出的一个问题。招聘行业属于服务行业,但在肖恒看来,当下做招聘的公司更像是在做信息平台:吸引招聘方和应聘者入驻,形成庞大的供需信息。而内聘网在这个过程中扮演的角色有点类似于一个信息筛选者:为求职者挑选出相对合适的职位,再推荐给对方 HR。   在网页上线之前,内聘网主要是通过微信的服务号来完成这个过程。根据肖恒的介绍,内聘网的微信服务号运营近一年时间,目前有将近4万名关注者。前段时间内聘网推出了自己的收费方式:面向企业收费的299元招聘套餐,包含一次微信号推送和20人联系方式的查看权限。当企业方发出招聘需求后,内聘网就可以根据真实的需求和偏好(而非常见的“官方要求”)来寻找自己平台上符合要求的求职者推荐给用人公司,公司可以根据简历情况决定是否查看对方联系方式。这样做的好处是对用人方和求职者来说都相对高效,因为前期的信息筛选都已经由内聘网完成,这也就成了内聘网在宣传时的卖点:“24小时极速推荐”。   目前内聘网的信息筛选还主要依靠人工完成,肖恒正在计划将这件过程变得尽量标准化:在求职者提交简历之前,需要在线进行一个个人测试,而内聘网则借此了解求职者的简历、需求等个性化信息;在另一方面,企业在发布职位时也需要对职位进行相应的具体描述,再通过双方的“标类”需求进行后台匹配。   先社交再招聘还是先招聘再社交? 肖恒在回国前曾在日本创办过一个专做人才派遣的公司,2009年因为经济危机而回到北京。在创办内聘网之前,肖恒做的是一个名为“职来职趣”的网站。虽然也是垂直在互联网行业,但这是一个职业社交网站,肖恒之前的想法是能够汇聚互联网圈的业内人士,来让彼此拓展人脉,再在此基础上进行别的功能拓展,比如招聘。   但肖恒很快发现这个思路走不通。他后来这样总结职来职趣失败的原因:“在国内做圈子,更多地还是做人性,而单纯依靠一个线上的社交网站,很难形成彼此互惠互利的关系”。   肖恒就从职业社交的方向收了回来,改做垂直招聘。在他看来,对职场人士来说,求职才是刚需,但如何从刚需中享受到更好的服务,就成了内聘网的机会。据肖恒介绍,内聘网上线以来,已经有500多家公司在上面发布职位需求。   招聘的下一步是什么呢?针对企业和求职者双方所做的长期服务:对企业方的人才解决方案和对求职者的职业成长培训,这也是内聘网目前把服务人群定位在初创型公司和职场新人的原因。而再往后看,肖恒依旧看好职业社交的发展,不过是建立在社交的基础上,他认为,把招聘做扎实了之后,基于招聘的社交会成为许多人的选择。 【文章来源:it桔子】  
    观点
    2014年05月15日
  • 观点
    阿里巴巴云舒:云弹性计算的安全问题 摘要:云计算涉及的服务繁多,弹性计算服务、文件存储服务、关系数据库服务、Key/Value数据库服务等不胜枚举。本文将简要阐述弹性计算服务的安全问题,因为弹性计算是应用最为普遍的云服务,也是安全风险最高的云服务。     云计算带来的新风险 在云计算之前的时代,传统IDC机房就面临着许多安全风险。这些问题毫无遗漏地传递到了云计算时代,不仅如此,云计算独有的运作模式还带来了更多新的问题。   云内部的攻击 安全域被打破。在对外提供云计算业务之前,互联网公司使用独立的IDC机房,由边界防火墙隔离成内外两块。防火墙内部属于可信区域,自己独占,外部属于不可信区域,所有的攻击者都在这里。安全人员只需要对这一道隔离墙加高、加厚即可保障安全,也可以在这道墙后面建立更多的墙形成纵深防御。   但在开始提供云计算业务之后,这种简洁的内外隔离安全方案已行不通了。通过购买云服务器,攻击者已深入网络提供商的腹地,穿越了边界防火墙。另一方面,云计算内部的资源不再是由某一家企业独享,而是几万、几十万甚至更多互相不认识的企业所共有,当然也包含一些怀有恶意的用户。显然按照传统的方式划分安全域做隔离已行不通了,安全域被打破。   新的攻击方式。传统IDC时代,攻击者处于边界防火墙外部,与企业服务器、路由器之间只有IP协议可达,也就是说攻击者所能发起的攻击只能位于三层之上。但对于云计算来说,情况发生了变化。在一个大二层网络里面,攻击者所控制的云服务器与云服务提供商的路由器二层相连,攻击者可以在更低的层面对这些设备发动攻击,如基于ARP协议的攻击,常见的ARP欺骗攻击,甚至更底层的以太网头部的伪造攻击。   关于以太网头部的伪造攻击,我曾遇到一次。攻击者发送的数据包非常小,只包含以太网头部共14个字节,源和目的物理地址都是伪造的,上层协议类型为2个字节的随机数据,并基于常见的IP协议或者ARP协议,对交换机造成一些不良影响。   虚拟层穿透。云计算时代,一台宿主机上可能运行着10台虚拟机,这些虚拟机可能属于10个不同的用户。从某种意义上说,这台物理机的功能与传统IDC时代的交换机相当,它就是一台交换机,承担着这10台虚拟机的所有流量交换。入侵了一台宿主机,其危害性与入侵了传统时代的一台交换机相当。但与交换机相比,是这台宿主机更容易被入侵还是交换机更容易被入侵呢?显然是宿主机更容易入侵。   首先,攻击者的VM直接运行在这台宿主机的内存里,只使用一个虚拟层隔离。一旦攻击者掌握了可以穿透虚拟层的漏洞,就可以毫不费力地完成入侵,常见的虚拟化层软件(如Xen、KVM)都能找到类似的安全漏洞。   其次,交换机的系统比较简单,开放的服务非常有限。而宿主机则是一台标准的Linux服务器,运行着标准的Linux操作系统和各种标准的服务,可被攻击者使用的通道也多得多。     大规模效应  传统攻击风险扩大。为了方便地让VM故障漂移以及其他原因,云计算网络一般都会基于大二层架构,甚至是跨越机房、跨越城市的大二层架构。一个VLAN不再是传统时代的200来台服务器,数量会多达几百台、几千台。在大二层网络内部,二层数据交换依赖交换机的CAM表寻址。当MAC地址达到一定规模后,甚至可能导致CAM表被撑爆。类似的,ARP欺骗、以太网端口欺骗、ARP风暴、NBNS风暴等二层内部的攻击手法,危害性都远远超过了它们在传统时代的影响。    攻击频率急剧增大。由于用户的多样性及规模巨大,遭受的攻击频率也急剧增大。以阿里云现在的规模,平均每天遭受约300起DDoS攻击,其中50%攻击流量超过5GBit/s。针对Web的攻击及密码破解攻击更是以亿计算。这种频度的攻击,给安全运维带来了巨大挑战。   安全的责任走向广义 随着更多的云用户入驻,云内部署的应用也更是五花八门。安全部门需要负责的领域也逐渐扩大,从开始的保护企业内部安全,逐渐走向更上层的业务风险。    云计算资源的滥用。云计算资源滥用主要包括两方面。一是恶意欠费,因为云计算的许多业务属于后付费业务,恶意用户可能使用虚假信息注册,不停地更换信息使用资源,导致云服务提供商产生资损。作为安全部门,要对这种行为进行控制。二是许多攻击者也会租用云服务器,进行垃圾邮件发送、攻击扫描、欺诈钓鱼之类的活动。安全部门要能准确、实时地发现这种情况,并通过技术手段拦截。    不良信息处理。不良信息主要是指云服务器用户提供一些色情、赌博之类的服务,云服务提供商需要能及时识别并制止,防止带来业务风险。   技术挑战 要解决上述这些风险,基于传统的防御思路,需要在网络中部署访问控制策略,实施流量监控系统等。但对于云来说,实施这些东西会遇到巨大的挑战。   失控的云 传统时代,所有的流量都会通过交换机进行。通过NetFlow、SNMP、ACL等手段可以做到足够完善的流量监控和访问控制策略。但在云时代,不跨越宿主机的VM之间的流量在宿主机的内存中直接交换完毕,网络部门、安全部门无法查看和控制这些流量。   为了解决云服务器被入侵的问题,安全部门需要在服务器上部署各种安全产品。但不幸的是在云时代,这些服务器的所有权并不归属于云提供商,安全部门同样没有权限对这些机器进行操作。在云时代,安全部门只能隔靴搔痒地来解决安全问题。   业务多样化带来防御复杂性 传统IDC时代,安全部门联合网络部门划分一个一个的安全域,DNS服务器归DNS区域,Web服务器归Web区域,数据库服务器归数据库区域,一切都井井有条。但在云时代,数以十万计的用户在几十万的云服务器上运行着各种各样的服务。他们的PV、QPS和响应时间要求各不相同。   而安全方案又不可能有放之四海皆准的万能药。以DDoS防御为例,CC攻击最常见的防御方案为客户端meta跳转、302跳转甚至验证码。对于普通的以PC为主要客户的网站来说,这么做没有任何问题。但对于以手机App为主要客户的网站来说,这么做就是灭顶之灾。由于手机App访问的是Web API接口,一般不会解析这种客户端跳转,更不用说填写验证码了,这将导致业务完全不可用。业务的这种复杂性,给安全防御带来不小的挑战。   隐私与监控的平衡 担心隐私和数据安全是目前上云的最大阻力,但为了解决云计算资源滥用、个性化安全策略等问题,又需要做流量监控,可能引起用户的担忧。作为云计算安全的设计者,需要小心把握两者的平衡。   阿里云的解决方案 分布式虚拟交换机 在阿里云,安全部门是作为公司成立的第一批员工加入的,初期占公司总员工总数的10%以上。从一开始,我们就考虑了安全性的问题,设计了一台分布式的虚拟交换机,提供Web API,应对上述的各种挑战和风险。分布式虚拟交换机部署在每一台宿主机里,与控制中心实时通信,主要提供了以下两大功能。    自动迁移的安全组策略。在云时代,不同的用户共用同一段IP地址,所以基于IP地址已难以区分业务了。因此,我们使用用户ID来做区分,基于用户ID来实现安全域,实施安全策略。当用户的VM出现故障迁移到其他宿主机时,这个VM的安全策略会自动迁移过去。    动态绑定过滤。我们借鉴思科的DAI技术,实现了对数据包的动态检查。在VM发出的数据包出虚拟网卡之前做一次过滤,剔除伪造的报文,如伪造源IP地址的报文和伪造源MAC地址的报文。靠近源端过滤,可以有效减轻恶意流量对网络造成的影响。   宏观分析统计 鉴于隐私的考虑,我们不对应用层数据做监控,而是通过对五元组之类的数据做宏观统计,发现恶意用户对云主机的滥用。图1是一个典型的端口扫描之后做密码扫描的例子。凌晨1点到9点之间,云VM在对外做端口扫描,因为许多主机不存活,导致出流量远大于进流量,而且具备非常典型的攻击特征,它只尝试访问大量IP地址的22、1433、3389端口。在上午10点半左右,进的流量开始大起来,而且目的端口不变,目的IP是前面IP地址的子集。这说明,攻击者已提取了开放服务的主机,在进行密码扫描了。使用这种方式,我们避免了侵犯隐私,又能实现对恶意行为的侦测。 图1 典型的端口扫描之后做密码扫描的例子   基于数据分析的个性化安全 基于数据分析的个性化安全,与监控恶意行为类似。我们统计并绘制每个云服务器的BPS、PPS、QPS时间曲线图,掌握最终用户的访问规律。根据User-Agent、源IP地址归属分析移动App和PC的访问分布。基于这些统计数据,我们定制每个云VM的WAF防御策略、DDoS防御触发阈值和清洗阈值。   其次,由于前文描述过的大规模的原因,我们的云盾系统每天可以捕获大量的恶意IP地址,包括Web攻击行为、DDoS攻击行为、密码破解行为、恶意注册行为等。我们的安全系统将这些IP地址作为统一的资源库提供,与所有的安全产品进行联动,在攻击者对某个VM进行攻击之前就完成了防御。   总结 我认为,云安全不会是由云服务提供商一家来做的,一定是通过SDN之类的方式,将网络开放出来由众多的安全服务厂商提供自己的产品,为形形色色的用户提供个性化、定制化的产品和服务。云计算在安全方面确实面临着许多困难,但云终究是未来,这是不可阻挡的趋势。   作者魏兴国,阿里巴巴集团安全部高级专家。有10年网络安全从业经验,先后就职于绿盟、雅虎,2008年进入阿里巴巴集团,现在负责云计算业务的安全架构。      
    观点
    2014年05月15日
  • 观点
    Dropbox企业服务度过失意一周 Dropbox的企业用户已经达到了400万,并且仍在不断为企业用户提供新的协作工具的消息。可即便这样,最近发生的若干事件可能还是要为Dropbox的企业级服务蒙上一些阴影。   我们在上周,也报道过《云存储曝安全漏洞,Dropbox暂停链接分享》,企业协作解决方案提供商Intralinks无意中发现Dropbox处理URL方式可能会泄漏一些用户私人信息或雇主的文件。在Dropbox里,当用户分享文档时会生成一个链接,而如果接收方在查看这个文档时又点击了文档内部包含的链接,那么第三方将可能获取文档的最初来源,进而读取到文档的内容。Intralinks甚至已经发现通过这种方式可以获取包括税收记录、银行备案信息在内的多种敏感数据。   问题被披露出来后,Dropbox立即取消了一些问题链接的访问权限,并且在官方博客中向受到影响的用户表示歉意。   除了自身服务的安全性出现了问题外,Dropbox竞争对手的表现也让其昔日的光环略显失色。经过接近两年时间的努力,企业级云服务提供商Box最终赢得了通用电气的青睐。通用电气超过30万的雇员接下来将使用Box的云服务来进行工作文件的存储和分享。虽然Box目前仅有20多万的企业级客户,但赢得通用电气的订单不但可以提升其云服务的竞争力,也为接下来的扩张增加了筹码。   相对于有着2.75亿个人用户、400万企业用户的Dropbox来说,Box的2500万注册用户在体量上和其还有很大的差距。不过看上去后者正在变得越来越大。   虽然经历了一系列波折,但Dropbox并没有停下来。在最近一段时间里,Dropbox还是针对其企业级业务做出了多项更新。它不但向所有用户开放了全新的Dropbox企业版、推出文档协作工具Project Harmony,还将Dropbox Partner Network推广到了更多的国家和地区。   Recode今天的消息也显示,著名的流媒体音乐服务商Spotify接下来会成为Dropbox的企业级客户,所以Dropbox在经历了失意的一周后也许会赢回一些局面,不过想吸引一家通用电气那样级别的客户就不是件容易事了 【文章来源:pingwest】
    观点
    2014年05月15日
  • 观点
    腾讯:2014年中国网络招聘行业现状分析 【研究结论】 1. 在线招聘行业整体规模发展迅速,但思维模式依然较为传统; 2. 社交媒体招聘、猎头招聘和垂直领域招聘,在分食传统在线招聘市场; 3. 面对庞大的求职需求人群和需求更加精细化的企业用户,招聘网站需要尽快从广告型向服务型转型; 4. 在校教育公司可能是这个市场的潜在竞争者。   如何把有限的工作岗位尽可能的推送到更广泛的求职者面前,尽量通过互联网实现招聘双方的信息透明和对等,是留给在线招聘行业的一道长期课题。接下来,我们将一同看一看,中国在线招聘市场到底发展如何。   一· 中国网络招聘市场规模 根据前程无忧的统计数据显示,2014年3月,全国网上发布职位数逾320万个,同比上涨31%。北上广深四大一线城市网上发布职位数超过150万个,几乎占据全国人才招聘市场五成的比例。越来越多的企业逐渐抛弃旧有的招聘渠道,转而投身在线招聘渠道。     相比于在线视频、旅游、电商和房地产等领域,招聘行业的规模仍然较小,按照艾瑞咨询此前的统计,到2015年整个网络招聘市场规模大概在50亿元左右。     二· 网络招聘阵营   1. 传统网络招聘公司:前程无忧、智联招聘 经过10多年发展,前程无忧和智联招聘的平台规模效应显现,广告收入和付费用户都在不断增长。智联招聘近日发布的招股说明书显示,截至2013年12月31日,注册用户总数达到7410万,数据库总拥有大约5440万份完整简历。     智联招聘提供的服务包括:在线招聘(分类的招聘职位、显示广告、简历使用权服务和其它在线服务)、校园招聘(选择大学、组织招聘活动、收集和管理简历、指导面试和测评)、在线和线下测评服务、其它与人力资源相关服务(猎头服务)。     相比新的网络招聘公司,传统招聘公司的优势在于,随着时间积累,留存用户越来越多,通过规模化效应获得广告收入和付费收入。     前程无忧2014第一季度总营收达到4.372亿元人民币,智联招聘2013年下半年的总营收5亿元。     2. 新型招聘公司:猎聘网、拉勾网 (1)猎聘网目前有注册用户1100万,猎头10万(70%通过认证,采用分级管理模式),预计今年20万家企业使用,目前11个分公司,每年营收超过3倍增长。猎聘网定位中高端人才,主要有三种用户:猎头、人才和企业。目前营收主要来源于B(企业方)、C(求职者)两方面,针对H(猎头),猎聘网是免费的。猎聘网今年拿到C轮7000万美金融资。     (2)拉勾网是垂直于IT行业的招聘网站,模仿国外的Dice.com。前程无忧、智联招聘和国外Monster的模式类似。Dice.com在国外正在不断侵蚀Monster在IT领域市场份额。拉勾网拿到贝塔斯曼A轮500万投资。     (3)智联卓聘是智联招聘2013年11月推出的独立网站,以电商模式来做中高端招聘,把“评价、信用、交易信息等”展示到招聘平台中,形成 “3D简历”让求职者和猎头双方提高彼此沟通和判断的效率。智联卓聘推出半年以来,已有25000个猎头入驻,当前职位量9万。“3D候选人”已达 到100万,未来还会引入企业端入驻。     3. 职业和商务社交网站:Linkedln领英、大街网、天际、人和、优士、若邻 (1)数据显示,大街网2013年11月日均覆盖人数为92.6万,月度覆盖人数为1565.4万。除涉及基础平台、招聘之外,大街网还推出了人脉、圈子、技能等商务社交功能。大街网正在整体向移动化转型,推出基于微信系统架构、去除部分中介化、把招聘游戏化的产品。基于熟人关系介绍,调动员工的积极性,转发招聘模板到朋友圈,靠公司内部员工推荐人才。     (2)作为全球最大的职业社交网站,Linkedln在中国有约400万用户,定位于高端市场。LinkedIn中国由LinkedIn联手国内两家投资公司红杉中国和宽带产业基金共同成立。     B2C和B2B的模式结合。B2C业务为用户提供职业身份、工作机会和商业机会;B2B业务提供招聘、市场、销售的整套解决方案。     Linkedln领英推出本土化的产品和功能,比如跟微信深度的集成,微信的账号和Linkedln的账号进行深度绑定,Linkedln领英的名片在微信上,用户可以保存、分享自己的领英名片。     4. 分类信息网站:赶集网、58同城 (1)分类信息网站赶集网年初将重心转移到招聘,称目标是两年内实现15亿营收,超越前程无忧。在赶集网的收入排名中,招聘、房产与分类服务占据前三,招聘类收入已经超过房产广告,赶集网瞄准的正是中基层人群,主要以鲜花店、餐饮店等微型企业或个人为主,招聘信息则主要是保安、销售、前台等。     赶集网去年在招聘上的收入增速是180%,前程无忧的增速在10-15%,2013年全年有10.9亿人次通过赶集找工作,日均300万人。     (2)58同城和赶集类似,都是定位中低端人才招聘。在此之前,保安、服务员、小工这样的工作显然不是在线招聘的主流,因为他们的受众互联网化的程度并不高。但是移动互联网却改变了这样一种局面,越来越多的中低收入者开始接触到网络,从互联网获取免费的高价值服务的意识逐渐增强,而赶集、58这样的跨界者也开始努力地将这些人从边缘拉入在线招聘的市场当中,并根据现实情况对在线招聘本身的做出修正。     5. 潜在竞争者:在线教育公司  在线教育未来会影响到整个在线招聘行业,企业可能加强和在线教育培训机构的合作,找到一个能够源源不断培养出人才的平台,而且企业内部的每个部分都能够进行划分,与不同类型的在线教育平台合作。     同时,作为一个正在兴起的“热概念”,在线教育公司也需要不断扩展关联业务来让自己的故事更丰满。而在线招聘正是一个强相关的领域。     三· 盈利模式 1.传统模式:以流量换广告,并从大基数用户中争取小比例付费用户。企业客户购买的服务包括:基于平台上发布招聘职位和展示广告,以及在数据库总下载完整简历的数量。     2.猎聘网模式:营收主要来源于B(企业方)、C(求职者)两方面。针对H(猎头),猎聘网是免费的。收入主要来自企业的付费和增值业务收入。     针对B(企业方)的收费模式,有职位发布、简历下载、雇主品牌(广告),根据服务内容、周期(月度、季度、半年、一年)组合推出了不同的套餐。     针对C(求职者),猎聘网推出了增值服务收费,比如简历置顶、群发简历、可以主动电话、私信联系猎头、HR等,有月度、季度、半年度、年度等4钟套餐。     3.分类信息网站:在线招聘业务的盈利延续了网站传统的模式,包括企业会员费、置顶和竞价排名等。     四· 行业挑战 1.传统招聘网站人口红利逐渐消失,很多依然在用“广告”模式做招聘做,服务意识较差。在美国,最早最大的招聘网站Monster股价从最高点跌去90%,收入和LinkedIn差不多,市值相差了30倍(Monster是6亿美金,LinkedIn是180亿美金)。     2.信息依然不对称,简历得不到反馈,企业难以找到想要的人才。海量的简历数据库既是优势也是负担,由于缺乏好的数据挖掘技术支持,简历的精准筛选和实时更新都存在问题。     3.披着互联网外衣的传统思维依然占据主流,尽管在线招聘网站和更新兴的猎头网站和社交招聘平台,都已互联网模式自居,但除了利用互联网作为简历投放和对接的平台,在整个行业的信息处理和沟通中,依然更依赖于“人”的参与。尽管有包括利用微博关系链的纯技术类招聘产品出现,但并未得到太多的认可——整个行业的思维依然较为传统,需要找到能让用户求职需求和企业用工需求迅速匹配的更好方式。     4.智联招聘等传统网站的营收增长依赖于全国性的销售和客户服务网络的支持,需要维持庞大的销售和客户服务团队。这样的企业架构虽然有利于线下业务拓展,但相比于互联网更擅长的轻模式,这样的规模依然显得较为沉重。     自:腾讯科技    
    观点
    2014年05月14日
  • 观点
    蜻蜓互动CEO陈思宇:扭曲的教育O2O? 文| 蜻蜓互动CEO陈思宇 伴随互联网及移动互联网的迅猛发展,时下的在线教育市场热闹非凡,除了BAT,YY教育10亿高调宣布进入在线教育,连传统企业也华丽转身:新东方成立专门的移动互联网独立运营团队开发基于英语教育的APP,学大则高调宣布自己的e学大O2O在线教育系统。表面一片繁荣之余,并未看到真正的突破,也没见一家极具影响力的在线教育公司或平台出现,症结在于对互联网教育的一厢情愿,对教育O2O认知的扭曲和实践。     互联网、移动互联网能改变什么? 互联网,特别是移动互联,人和人、人和产品、人和服务的连接无处不在,互联网的本质是“连接”,未来终将有企业会从人和教育服务的连接里壮大。微信把人和人连接起来,提供生活服务;余额宝把人和存款产品连接起来,提供存款服务;滴滴打车把人和的士司机连接起来,提供打车服务。通过连接人,把传统的服务以更便捷、更透明、更高效的方式提供给用户,但没有改变产品和服务本身的形态。     而在线教育,只是教育服务的一种,一种一出现就注定是要经历漫长变革过程的教育新方式。它和通常意义线上线下O2O的结合,不是一回事。教育,自互联网产生以来,首先开始的是产品本身的改造。希望通过互联网低成本、音视频的数字化传播、更快速便捷的特性来改变教育,而忽略了教育一些特性是互联网技术本身无法突破的。这些特性包括面对面教学的体验、应试教育的背景、K12教育的学习强制力、在线教育使用习惯等问题。每一个问题都有带有深厚的惯性和压力,通过互联网解决基本是难解甚至无解。     现在人们硬要解,要把传统教育的产品服务形态改变,甚至把互联网教育,在线教育,传统和互联网结合的O2O混在一锅炒,似乎热闹,但终究炒不出个所以然来。     互联网颠覆的其他行业是如何突破的? 阿里巴巴重构了信用体系,支付体系,评价体系,重构人们购物的形式,但从未尝试改变产品本身,甚至买卖双方的关系都不触碰。支付宝冲击金融系统掀起了轩然大波,余额宝几个月内横扫国内货币基金市场,可是存款拿利息的产品服务形态并没有改变,只是互联网换了个玩法。因此,这种人与产品、服务的连接是互联网产生以前任何一种连接、任何一种通讯的方式都无法比拟,尤其是移动互联网的“随时在线”。     但在教育领域,首先考虑的是互联网的特性可以改变产品形态,比如教育个性化、互动化、教学优质资源在线化等,但却碰到传统教育使用习惯等一系列巨大鸿沟。于是互联网企业想尽各种解决方案:被动学习解决方案是翻转课堂,学习娱乐化,往主动学习的方向进行变革;使用习惯的改变尝试通过短视频、个性化数字化题库、免费模式培养新习惯;传统教学以老师为中心,解决方案是加强互动和反馈,中心向学生为主题转移等等。这里的每件事都无比沉重,似乎是以互联创新企业的理想来解决孔夫子留下的千年难题。     于是你不难看到在线教育和传统教育大打口水战,各说各的。在线教育说颠覆,要颠覆传统教学方式,传统教育说在线教育取代不了面授教育,反击理由都不难想象且极其充分。孩子们面对应试体制已经精疲力尽了,有限的课外时间里,传统辅导机构和在线教育展开孩子课外时间的抢夺大战。大战中,在线教育始终无法有效突破。     在线教育对教育O2O的曲解? 互联网发展越来越快,对传统行业的冲击和渗透以更大的规模、更深的影响、更快的速度进行,渗透的方式越来越表现在O2O线上和线下的融合,从生活服务向金融、房产更大的领域,成功地将线上的用户和线下的产品和服务连接起来,发挥得淋漓尽致。但教育对O2O的理解,却就是改造产品服务本身。看以下这个教育O2O的实例:     在教育互联网化这股浪潮的冲击下,学大教育正在花大力气做在线教育。任鑫的表述:“我们觉得在线教育的发展将是以O2O为主的,就是线上线下融合的方式。 O2O就是我们讲的E学大的理念,就是通过ASPG的辅导平台,加上我们线下的辅导体系,形成了线上线下的融合。线下的老师会针对线上的内容,让整个线下的过程变的越来越有针对性,越来越个性化”。     可以看出学大理解的O2O模式是用线上的方式把线下的传统产品服务改造,然后就实现了线下线上的O2O。不过本人不认同这种方式。我们看看互联网、移动互联网O2O的时候,是从改变产品服务形态作为终极目标?原来产品不好用,用互联网改造出一个新产品? 如果是这样,阿里巴巴、大众点评、途牛,甚至亚马逊都不会出现在我们的视野里。     教育O2O突破在那里? 既然移动互联的关键在连接,那么先把连接的事情做好。将人和人、人和教育服务连接起来,提供、提升各类教育服务及体验,其他的事情交还给传统行业做,尤其是你面对的是教育行业这么复杂的系统工程。阿里巴巴就是把买家和卖家的连接做好,大众点评就是把用餐者和餐馆的连接的事情做好,滴滴打车就是把打车人和司机的连接做好。这些都做好了,再谈改变行业深度的事。况且做好这件事情本已不易,阿里巴巴为做好连接好用户这事儿一干就是十五年。     一个更简单的例子可以更明了:在线旅游让你简便、快捷、订机票出游,但在线旅游没有改变你上机场、安检、起飞降落这些事儿,更没有把活生生的人拆成0和1,直接输送到旅游目的地。而在线教育似乎正在做这件事,勇气可嘉,但突破注定遥遥无期,根本于此。    
    观点
    2014年05月14日