Archive for 2005年10月21日


郎咸平复旦演讲纪录

  我再来复旦因为复旦是复旦,我的那个国有企业大讨论就是从复旦开始的。
    
  今天我来,还有一个原因,是我要改变你们的一辈子,改变你们对事物的看法。
    
  我小时候很笨,大学毕业了考沃顿商学院,托福只考了550,GRE只考了1630,为什么他们会收我这个笨蛋呢?因为我当时报的那个商业经济系才开办一年,那年全世界招生10个,可就只报了7个。(全场笑)
    
  我一辈子不觉得我聪明,但是我很用功,我两年半就拿到了博士学位。
    
  我觉得我们这个民族一个很大的缺点就是不读书,引进现代制度时,不知道欧美历史。第一个股份制在哪一年建立的?你们知道吗?我告诉你们,是在西元10世纪的时候,那时候欧洲处于中世纪的神权时代,神父们集中了57%的地产,但是,神父是不能结婚生子的,所以,他们不得不引入职业经理人来帮他们在管理和生产。所以说管理权与所有权分开是不得已的。你们知道有限责任是如何起源的吗?那也起源于神权时代,债权人不还债务人钱了,于是吵架了,不得不到神父那里去审判。因为教堂是保护上帝的殿堂,所以为了保持上帝殿堂的安静,所以规定了债权人如果还不了债的时候,就不用还了。然而现在,有限责任却变成了保护上帝的罪人的制度!
    
  一个不知道检讨和怀疑的民族是没希望的。
    
  (之后又讲了会计和律师的起源,都是产生于中世纪欧洲,都有比较荒谬的背景。这里从略)
    
  任何一个现代制度的起源都是荒谬的。开始的原因是对上帝的崇敬。股份制,有限责任制都是起源于对上帝的崇敬和畏惧。股份有限公司在诞生3,4百年以后,腐败了。因为教会垄断了所有的财富。他们开始花天酒地,甚至没时间来接管普通老百姓来捐献的土地了。于是他们发行了赎罪券(让老百姓把土地卖了,直接拿钱来换赎罪券)。后来他们又觉得拿赎罪券过来也太麻烦了,于是建立了一些接口来收集,这就是连锁店的由来。宗教革命是如何来的呢?加尔文有一次去向教皇汇报工作,看到教皇正在床上做龌龊的事情,他很愤怒,拿起教皇的权杖,扔在地上摔碎,说了句名言:我让你永远受地狱之火的煎熬。于是他开始了宗教革命,他宣称,赎罪的价格弹性为0.于是欧洲的老百姓开始把目标由下一世放在了今生。城堡的产生,国家的产生,都是源于此,贵族要保护农民,就收保护费,那就是税收的起源。然而城堡里面的贵族的吃喝玩乐又开始了,贵族们的亲戚就看不惯了,因此产生了贵族革命,产生了上议院,这就是一种对税的分赃。但是由于有了上议院,国王要用钱就必须首先经过上议院,他觉得太麻烦了,于是想出来建立国营股份有限公司,从海关直接到皇宫,那就是臭名昭著的东印度公司。现在国王也开始花天酒地了,老百姓们不爽了,他们爱开Party,有一次大概喝多了,于是有人说我们去和国王分赃吧!于是成立了下议院。这就是政党(Party)的诞生。
    
  欧洲的战争使得欧洲的国家民穷财尽。国王又想法子怎么样搜刮钱财。于是,第一张债券就诞生了。但是显然国王没钱还债券的嘛,于是发的债券都是打白条的。随着债券越发越多,那么在国王这里的存量(Stock)也越来越多。怎么办呢?有人又替国王想了个办法,不如我们设立一个Market吧,这个市场就是Stock Market,用来专门出售国王的白条。那么怎么会有傻瓜来买呢?有人又替国王想了个办法,就是以未来的现金流作为购买这些白条的收益,那么这些未来的现金流又在哪里呢?在中国,在印度,在南非。这就是股市的来源。欧洲这样搞是不行的阿,这样就是一群傻瓜骗第二群傻瓜,第二群傻瓜骗第三群傻瓜,所以欧洲在17,18世纪经历了三次大的金融危机。我看我们国家现在的金融危机和那时候的很像那时候的金融危机阿。
    
  没有良心的股票市场永远是没希望的。那时候欧洲的内幕交易,坐庄,用银行钱炒股比比皆是,这种垃圾东西在欧洲已经衰弱了,却被中国引进了。
    
  在欧洲这么一个危机时刻,亚当·斯密出来了,他写了一本书叫做《国富论》,他说政府要建立一个法律体系,以市场化为主导等等。你们是看不懂《国富论》的,因为你们根本不知道他在说什么,只有听了我今天的演讲,你们才看得懂。因为你们都是精英主义的代表,我们都是精英主义的可怜虫。我在美国时,90年我的论文排在当年美国引用率第一,我很得意阿,觉得自己是一个精英了。有一次曼哈顿南区法院邀请我去当陪审团,我很高兴啊,因为我是精英。去了以后,才看到其他11个陪审团成员,原来是11只.,6只黑.,5只波多黎各.(郎的原话)。我觉得自己很丢脸啊,怎么和这些.坐在一起。后来法官过来询问我是干什么的,我说,我是精英。(全场大笑)那你出去。法官说,郎先生,像你这种人,讲个股份制就会激动地要死,说难听点,你就是偏执狂,神经病一个。而其他的人,他们都是普通人,她们的价值观是社会哺育的,他们有着普遍价值观(Common View)。他们只凭直觉来判断,是社会意见的缩影。在普通法系国家,英美的股票市场好,而在大陆法国家,法德中等国家,股市就差。银广夏的案子,在大陆法中就没有先例,不能判。而在普通法系国家,觉得你有罪你就是有罪(只要违反公共意见,就判你有罪,公序良俗)。
    
  欧洲的三次金融危机,能够化解的原因是因为他们是普通法。普通法系的监管才能真正创造财富。我一直很纳闷怎么英国的股市没有监管,却有如此好的表现。我又去查资料了,原来在1533年,250个伦敦商人,买了3艘船,雇了200个海员,向北去找中国。但是这需要很大的Trust阿。我喜欢把Trust翻译成信托责任。他们在挪威遇到风暴,船沉了两艘,后来就到了北极,200个海员滑雪橇2000公里,遇到了欧洲传说中的恐怖大王埃文。他们用钢笔,墨水换恐怖大王的貂皮等,回来了以后,这个有信托责任的船长,下次出海时就拿到最高的奖金。(最高的市盈率)。从此,在英国人的血液中,信托责任就从此留下了。
    
  中国没有信托责任,国企老总没有信托责任,今天的产权改革,可以打两个比方。第一个是家很脏,请了个保姆来打扫,打扫完了以后,保姆就变成家的主人了。还有一个例子,家很脏,但家值100万,现在保姆来打扫,打扫完了,保姆说,你就给我200元的你家的所有权吧,但是,家的价值却是由保姆定的,保姆说,值2000块吧,这样,十个月后,整个家也就归保姆了。你们说合理不合理?(下面齐声:不合理!)
    
  中国股市在这种体制下,没得救!
    
  还有人混充学经济的,说只有私有化,自己的东西才珍惜。那是人类最原始的兽性阿!
    
  我给企业家上课,问他们韦尔奇厉害还是你厉害,没有人敢说自己比韦尔奇厉害。但是韦尔奇在GE干了20年,创造了这么多的财富,退休时才拿走1亿美元。但是我们现在的老总,公司才GE的十几万分之一,但是一拿就是几个亿,十几亿,还不罢手!
    
  有信托责任心的人,才能真正的富裕。(全场鼓掌)
    
  (下面讲了美国的股市的故事,略了,主要是讲美国是如何从一个混乱的国家步入一个法制化的国家。)
    
  美国的股市好,所以,才能藏富于民,才能吸引退休基金,保险基金,中小投资者把养命钱投入。因为他们由真正的信托责任。而现在,中国根本没有信托责任,所以你现在入市,就是摧毁当前的财富。你把保险金入市,就是摧毁未来的财富……

  “科教兴国”和“高科技导向”等等已成为大家耳熟能详的口号,但是我国发展高科技是不成功的。根据《国际竞争力报告》分析,影响我国高新技术产业发展有五个方面,研究与开发财力不足、科技人力资源效率低下、科技管理水平低下、科技基础设施水平低下、人力和财力资源利
用效率不高。这就是我国研发的状况。
  这种状况让人非常担心,不能不给我们以警惕。
  高科技发展不成功
  根据2000年瑞士洛桑国际管理开发研究院发表的2000年度《国际竞争力分析报告》,我国科技人力资源总量排世界前列。我们可以来看这么一组数据:1998年以来,我国研究与开发人员数量连续两年居世界第一位,而同期美国、日本、法国、德国研究与开发人员数量分别是中国的58%、57%、28%、19%;在年龄结构上,我国专业技术队伍趋于年轻化。根据1997年统计,35岁以下的专业技术人员占50.5%,50岁以下的占86.7%;在教育程度上,我国1998年以来专业技术人员受教育的程度大幅度提高,基本与发达国家接近。
  这些都是可喜的现象,说明我国的科研人员数目与年轻化趋势显著提高。在《国际竞争力分析报告》中,科技竞争力是其八项指标中的第七项。而根据这份报告,我国科技竞争力排名继1999年大幅度下降12位之后,在2000年度报告中的排名又下滑了3位,位列第28位;我国2000年国际竞争力总体排名也比1999年下降2位,位列第31位。
  根据瑞士管理学院的统计,我国科技研究开发效率低下。按每万人产出专利(包括国际专利与国内专利)的件数,我们作个比较:中国每万人产出专利为10.8件,而美国为1714.4件,日本为1737件,德国为1534件,法国为1504.9件,都超过中国150倍以上;英国为984.8件,韩国为554件,是中国的50倍以上;就拿印度来比,人家为446件,也超过中国40倍。
  我们的研究人员数量是世界之冠,但我们的产出、我们的科技竞争力,却排在世界第28位。这第28位是一个什么样的概念呢?是基本没有创造力的国家。
  科研思维:“中餐馆”敌不过“麦当劳”
  我国高科技企业有下列五大特点:首先是研发人员工资最高,流动性最大。根据《高新技术企业状况与研发管理调查报告》的结果,52.6%的企业人才流失率在3%以下,而37.7%企业人才流失率在3至10%之间。表面上看我国高新科技人才流失率是远低于西方国家(西方大约是10%左右)。但这个现象完全不值得乐观,因为低人才流失率说明了现有人才的二级市场是几乎不存在的。而其不存在的原因为高新产品不是市场主流产品,而是属于配套或边缘产品,因此二级市场小。另外,人员流失大部分属于拔尖的科研人员的系统工程师。如此一来,反而造成各企业严重人才荒。
  其次,研发人员层次很高,但研发效率很低,科研产品很少。调研结果显示,被调研的企业在技术发展方面,以博士为专业技术带头人有30%,硕士为专业技术带头人有45%,以本科生为专业技术带头人有24%。由此可见,我国企业高新技术专业带头人的学历结构与国外发达国家相当。而70%公司的研发队伍九成以上的科研人员都是本科以上学历。但是每万人的专利产出却居于世界末位。
  另外,科研产品问题很多,维护服务压力很大。这与我国高新科技企业重创新、不重测试有关。我国64.9%的企业注重技术创新,高科技企业中,64%对于测试的投入都维持在5%至30%的水平,21.9%的企业在5%以下,只有14%的企业在30%以上,这与西方40%的水平相比是显然不足的。而且我国企业的测试质量还是比较差的。在国内所谓的测试大部分是由研发人员进行测试,而国外所谓的测试是由独立专业的测试人员进行测试。这是东西方基本上的不同。
  同时,企业在研发方面投资大收益小。大部分企业在研发上的投入总体上是比较大的,有52.2%的被调查单位的研发投入占到了主营收入的3至10%,达到世界先进国家标准。有近30%的企业研发投入更高。但问题是高投入并未能带来高科研产品。
  最后造成的是“老板给员工打工”,高新科技企业过分依赖研发人员,总是担心他们跑掉,想方设法笼络,没有认识到决策和管理的关键作用。这个问题的严重性只有23.1%的企业有认识。这个比例是远远不够的。
  中国新成立的高科技企业和倒闭的企业都很多,一批批“先烈”倒下去了,一批批后来者站起来。在国内,这是高新科技企业的一个普遍现象。如果这种现象不断重复的话,可能3年后现在的企业又要倒下去一大批。我们不希望看到这种现象,我们需要的是持续的竞争力。
  但是我们的高新企业最缺少的就是持续竞争力。调研结果显示,64.9%的企业重视技术创新,而只有35.1%重视技术积累。这是非常危险的信号。另外,只有15%的企业了解到管理控制才是企业保持持续竞争的关键。其他所谓技术人才(27.1%)和市场需求(43.2%)竟然占了绝大多数。人才和技术只能替产品创造竞争力,但竞争力不是高新科技成功的关键。只有持续竞争力才是关键。
  我们不妨提一个形象一点的问题:为什么美国有“麦当劳”,而中国只能有中国餐馆?“麦当劳”的味道并不如中国餐馆的好,但它各分店的味道都是一样的,这就是它成功的地方。而你到中国餐馆,你可能会觉得,这个大厨的手艺不错,炒的菜就是和别人的不一样。因为这个大厨的手艺是无法复制的。
  问题恰恰出在这里——西方的高新科技企业是利用“麦当劳”这样的工序研发,而国内公司的研发却类似中国餐馆的经营模式。这样,中国餐馆(高新企业)永远达不到如同“麦当劳”(微软)的全球性企业规模。
  制度建设是关键
  那我们应如何将中餐馆一样的研发理念转换成西方麦当劳式的研发理念呢?
  首先要改变的就是企业纪律化的思维。我去过许多企业,发现许多企业的员工无论是听讲座,还是座谈,都会有人出出进进,上厕所,打手机,大口喝水,这种情况在西方企业很难看到。有些企业的老总,在开会时总会有这样那样的事打扰,签个字,接个电话。这种见惯不怪的现象,实际上都是企业无秩序的一种表现。
  虽然说老总在开会时签个字不致使企业受到什么影响,但我认为如果企业规定好了开会不许做其它的事,那么老总就应该做到,因为这已不再是简单的纪律问题,而是思维的问题。一旦出现破例,企业老总的思维就陷入了不讲程序、不规则的传统思维中。所以,要想使高新技术企业做到讲方法、讲程序、讲纪律,企业老总最需要培训。遗憾的是,许多老总并没有意识到这一点。
  而且根据观察,在深圳许多高新技术企业虽然也有文档记录,但是文档的操作性都很差。这是为什么?还是个纪律问题,大家都在随心所欲,认为少一点、漏一点没关系。我想强调,一个没有纪律的团队根本是无法发展成微软的。
  此外我们应将纪律的思维转换成工序。我们还是以中国餐馆为例。它可以借鉴"麦当劳"的工序。比如,我们可以把大厨经典炒菜过程分解,设计成20道工序:第一道工序(A)切葱花,按规定好的标准切;第二道工序切肉丝(B),也老老实实按要求切……下一道工序(C)倒酱油,别凭感觉,须用设计好的勺子倒满一勺;再下一道工序(D)调好一定的温度炒菜,规定炒6下就6下,不要多也不要少……每道工序严格按规定做,千万不要创新。这样炒出的菜肯定难吃。可能是大厨1/10的水平。但为什么要这样呢?这有什么好处?——这样可以积累手艺!比如,炒出的菜端上桌,客人吃了说太咸,回头你可以告诉C,你可以把勺子换个小一点的,如此反复,不断累积、不断改进,甚至可以输入电脑,形成电脑程式。这样到最后,你可能达到大厨80%的手艺。但这就够了。做到这一点,你还怕跑了大厨吗?你甚至可以像“麦当劳”在世界各地开分店。
  “麦当劳”就是这样累积手艺的,它的分店开到世界各地,谁都可以去做它的薯条。“微软”也一样,从WINDOWS95到2000,其产品也就相当于“麦当劳”的汉堡。然而,正是这一简单的思路,创造出西方辉煌的科技文明。
  但在中国呢,企业流动最大的往往就是“大拿级”的关键人物,一个人走了就带走了一切。这就是标准的中餐馆式的经营思维。我所谓的工序思维就是用制度取代大拿,也就是前例所谓20道工序炒菜取代大厨。
  传统文化不养高科技
  我们的一些根深蒂固的传统文化思维也对高科技发展有着重大影响,我将东西方的文化思维与其对高科技的影响做一解说:
  “失败是成功之母”,我们认为这是理所当然的。而在西方理念中,就不这么看,失败必然是决策或管理失误,是要负责任的。我们由于受到这种东方文化的影响,在我国许多高新技术企业中,有32.6%的企业管理者认为高新技术产品研发成功与失败是可以理解的。而企业研发人员高新技术产品研发失败是自然规律。在这种思想的影响下,许多高新技术企业的产品研发活动中,企业管理者放弃或淡化了对高新技术产品研发目标的控制与管理,因此只有23.1%的企业认为控制与管理是重要的。企业研发人员追求自身能力的体现,谁都不关心和对高新技术产品研发成功与失败负责,甚至认为高新技术产品的研发成功是建立在无数次失败的基础上。
  我们崇尚“杀鸡不用牛刀”、“以少胜多”、“四两拔千斤”。为什么呢?我认为我国传统文化最重视“悲剧英雄”。我们的文学戏剧里所歌颂的往往是以少胜多的事例,例如赤壁之战、淝水之战、杨家将、文天祥、史可法、岳飞等等。但我们历史上绝对不缺乏以多胜少、以众胜寡的事例。例如汉武帝时的卫青、霍去病,当这些大将军出征匈奴时,他们必定采用以众胜寡的策略,经常以20万大军吃掉匈奴2万之众。而且武器也是最先进的。当时的汉军使用的弓叫“钢弓”,这种弓涂上了一层黑漆后,变得更加坚硬,且能比一般弓多射出100公尺,成了当时塞外之战的决胜利器。可是我们有多少人知道这个事例呢?知道的人不多。
  也因为我们的传统文化不重视“以多胜少”、“千斤拔四两”。在研发中,则形成了喜欢少花钱多办事的思维,多花钱就代表没水平,这是我们的思维。但西方理念崇尚遵守规律,如活动遵守规律,过程受控制。由于受到这种东方文化的影响,我国许多高新技术企业在新产品研发中,追求最少付出,寄希望于小概率事件。例如许多企业宣传和奖励有那些条件不具备(如资金、设备或环境),储备不充分(如备有技术积累和经验),过程超常规(不按程序和规范进行),但获得成功的项目和个人。这些项目风险很大,成功率很低。这种宣传和奖励的导向,将引导企业进入风险领域。这些小概率的项目的成功是建立在大概率的项目失败的基础上。这也正是我国许多高新技术企业短命的最主要原因之一。根据调研结果显示,有17.4%的企业研发投入仅占主营收入3%以下,这基本上就是属于小概率的项目。
  在我们的潜意识里,什么叫水平呢?就是做出来的事没有错误,对工作的要求也是这样的。我们为什么有这种追求完美的思维呢?我想可能与我们从小到大一到考试就追求100分的绝对完美心态有着直接关系。在这种意识支配下,加强错误的测试与验证过程就被视为一种资源浪费;而在西方理念中,完成的工作必定有错误,而且,高科技含量越大,错误也就越多,这不是无水平的问题。所以,他们认为,加强错误的测试与验证是成功的必然保证。他们为什么有这种接受错误的思维呢?我想很可能与西方考试制度不同所致,基本上西方是以曲线打分,只要你在全班前30%,我就是A,虽然你考试犯了很多错误,但你仍然相对上是最好的。因此西方人勇于接受错误的思维远远的高于东方人。但表现在科研上就形成了西方重测试改正错误而东方人不重视测试。这个心态能在此次调研中被充分体现。有85.9%的企业测试支出占研发总费用比率是远远低于西方的40%水平。
  我们的工作一般要求“内行领导内行”,高新科技企业尤其如此。我们的研发人员多透着这么一股味道:说我不行,怀疑我,你自己来,老子不干了。所以,我们的研发机构一般提拔什么样的领导呢?就是要提拔研发组中最好的研发人员当组长,否则,镇不住下属。根据调研结果显示,76%的公司是从技术部门的技术尖子中提拔,而只有24%的公司从管理部门的管理人员中提拔。但在美国,科研人员拿不了MBA的话就别想当“组长”。西方研发机构中,往往是学管理的“外行领导内行”。“内行领导内行”有什么错呢?比如评价研发人员工作,我没水平,怎么评价人家呢?所以要找一个最有水平的人来当“组长”,他才可以给下属“打分”,这里便有我们文化中的“精英”主义。但这一观念不利于企业研发的发展。再看西方的“外行领导内行”。当研发人员发明出一种产品的时侯,他自己须证明自己的产品是好的,而不是由领导来评估。因此,他就写很好的报告,做出很好的模型,他还要对产品进行一遍一遍的测试,拿出数据,来告诉这位“外行”领导我的产品有多好。这位“外行”领导用什么眼光来评价你的产品呢——他是个普通消费者,这个“普通消费者”说好了,你的产品才OK。
  由于受到东方文化的影响,我国许多高新技术企业在新产品研发管理中,追求个人的能力和作用。例如我们经常听到政府和企业奖励有“特殊贡献的专家”,但很少听到奖励有“特殊贡献的团队”。在这种思想指导下,必然导致“宁当鸡头、不当凤尾”,更不要说当“鸡身和鸡尾”。这也正是我国高新技术企业长不大的主要原因之一。
  在我们的心底,我们是相信奇迹,崇拜奇迹的。根据调研结果国内有54.6%的企业倾向于期望某个研发人员突然间能创造出一个非常好的产品,然后能赚大钱。可在西方却不然,他们只相信规律,不相信奇迹。他们不会倚重于个人的创造能力,而更多的依靠制度的运作。
  东方文化崇尚精神目标。如“追求第一”、“不鸣则以,一鸣惊人”、“愚公移山”,“铁棒磨成针”。而西方文化崇尚现实目标。如“相对优势”、“阶段目标”、“综合指标”。由于受到这种东方文化的影响,我国许多企业在高新技术产品开发过程中,追求技术是否先进,水平是否领先,没有进度和时间观念,甚至把追求“国内首创”、“填补国内空白”、甚至“填补世界空白”作为产品的研发目标,把 “愚公移山”和“铁棒磨成针”作为新产品的研发的座右铭。因此,许多高新技术企业产品的研发进度不断延期,经费不断追加,状态不断更改屡见不鲜。这种现象已成为我国企业技术产品研发失败的主要原因之一。
  以下是虚拟主机的操作系统和服务器软件:
  OS:Win2k Advancd Server
  ftp server:Serv-u 6.0.2
  www server: IIS
  mail server: WebEasyMail 3.5.3.1 企业版
  防火墙:天网防火墙个人版
  杀毒软件:McAfee VirusScan Enterprise 8.0.i版
  远程管理软件:Terminal Services终端服务
  下面我来说一下从安装系统、安装服务器应用程序、安全设置和优化的过程。
 
  1.硬盘分区和安装系统
  关于分区我强烈建议大家选择NTFS文件格式,不仅NTFS文件系统可以给我们带来很高的安全性,而且对于做WEB服务的虚拟主机来说磁盘配额很最要.还有文件和文件夹的压缩都给我们这些系统管理员提供了很高便利性。
  在分区之前和大家说一下,一定要合理的设置分区。合理的分区不仅可以给我们带来工作的方便,还可以提高系统的安全和稳定性。我的硬盘一共分了5个区(120G)。
  C盘用来装操作系统的文件。D盘用来存储各个WEB站点的文件。E盘用来保存IIS日志文件、Internet临时文件夹和页面文件。F盘用来装应用程序。就是说所有的应用程序都安装在F盘里。G盘用来保存备份文件和一些常用的工具。大家可以根据自己的情况合理的设置分区,而不必一一对应。下面就是安装系统了,在安装系统的时候组件的选择一定要仅仅安装自己需要的组件,而一些用不到的组件我们不要安装。那些用不到的组件会给我们带来一些意想不到的“惊喜”。在安装IIS的时候把FrontPage2000服务器扩展、Ineternet服务管理器(HTML)、NNTP Server、SMTP Server、文件传输协议(FTP)服务器的复选框去掉。以保证这些用不到的服务不会给我们带来安全隐患。
  把Internet临时文件夹移动到非系统分区中,如我的设置是E盘: Internet Explorer-右击-属性-Ineternet临时文件-设置-移动文件夹,选择相应的分区。把虚拟内存页面文件移动到到非系统分区中,,如我的设置是E盘:我的电脑-右击-属性-高级选项卡-性能选项-更改,设置初始大小和最大值,重启计算机。注意:以上两项操作都必需重启后生效。
 
  2.为用户提供正常的服务。
  在D盘里面为各个WEB站点建立相应的文件夹,以保证各个站点的文件存储在相应的文件夹中。在IIS里面建立相应的WEB站点、设置和相应的主机头、主目录、端口、IP地址。对应的在Serv-u里面建立相应的用户,以指向各自的WEB文件夹中,以便日后维护上传、下载的需要。在WebEasyMail里面设置相应的各个域的邮件用户、和容量等。关于服务器软件的安装问题,请您自己参考相应的文章。
 
  3.服务的配置
  在Windows里面有很多服务,这些服务都是为了不同的需求而提供的。在这里我们要根据自己的环境来配置服务,禁用那些不要的服务.老生常谈的一句话:"最少的服务+最小权限=最大的安全".
  禁用那些用不到的服务:Alerter、ClipBook、Computer Browser、 Distributed File System、Indexing Service、Internet Connection Sharing、Messenger、NetMeeting Remote Desktop Sharing、Print Spooler、Remote Registry Service、Smart Card、Task Scheduler、TCP/IP NetBIOS Helper Service、Telnet、Windows Time、Workstation.关于为什么禁用Workstation服务我会在下面说到。
 
  4.端口的配置
  下面我来说一下怎样关闭常见的危险端口和一些无用的共享,如:默认共享。
  在本地连接-属性中,把"Microsoft网络的文件和打印机共享"卸载掉。在选定的组件中之留下TCP/IP协议和Microsoft网络客户端.大家可能会说为什么要留Microsoft网络客户端,根据前几天的调试,如果不装它的话,重新启动IIS的时候会提示“服务不能启动,无法验证的服务”。选中TCP/IP协议-属性-高级-WINS-禁用TCP/IP上的Netbios选项。
  把HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlGraphicsDriversDCI,Timeout双字节值改为0 。建议大家设为0.这个键值对玩游戏有用,做虚拟主机我们用不到。
  把HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa项下的数值restrictanonymous,由0改为1。
  在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters项下新建双字节值AutoShareServer值为0。
  在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters项下新建双字节值SMBDeviceEnabled值为0。
  在防火墙中添加IP规则,允许21、25、80、110。禁止135端口。最后启动禁止所有别的端口的通过。
  我们也可以通过系统自带的本地安全策略和TCP/IP筛选来设置相应打开和关闭的端口。
 
  5.IIS和权限设置
  为了使IIS运行的更稳定和安全我们需要修改它,如:删除一些不用的映射、日志的设置等。
  下面是我的IIS的设置情况:
  Internet信息服务-计算机名称-属性-WWW服务(编辑)-主目录-配置-应用程序映射,删除下面的应用程序映射:.htr、.idc、.printer、.cer、.shtm、.stm 、.cdx 。只保留.asp和.asa映射。对一般的应用比如运行ASP,已经够用了。多出那些无用的安全映射会给系统带来不必要的麻烦。
  在进程选项卡的脚本文件高速缓存中把放入高速缓存的最多ASP文件数设成300,以改善ASP文件的执行效率。在应用程序调试选项卡中选中"发送文本错误消息给客户"以防止通过错误消息来取得系统、网络、数据库的信息。
  在Internet信息服务-计算机名称-属性-WWW服务(编辑)-服务选项卡选中HTTP压缩的压缩静态文件,提高执行效率。在一个非系统分区中建立日志文件夹,来保存各个站点的日志。如我设置的分区是E,在分区中建立IISlog目录,用它来保存各个站点的日志文件,而不用系统默认的路径。把各个站点的日志指向IISlog文件夹中。
  设置如下:Internet服务管理器-Web站点-属性-Web站点选项卡-活动日志格式-属性-日志文件目录,把日志指向IISlog文件夹中。以便于以后我们查看日志的方便。为了保证系统的安全和各个站点FSO,在本地用户和组中为各个站点用户创建相应的用户,设置相应的密码,并把所属的默认组User删去,加入到guests组中。在各个Web站点的属性-目录安全性-匿名访问和验证控制-编辑-匿名访问使用帐号的对话框中选中自己站点相对应的用户帐户.我们在D盘各个站点文件夹的属性-安全选项卡去掉父系继承来的权限,把这个文件夹的访问权限设成redblood(这个用户是我改名后的管理员,我会在后面提到的)完全控制(FC)、SYSTEM(FC)、和Web站点对应用户的修改、读取及运行、列出文件夹目录、读取、写入权限。这样当其中的一个WEB站点被上传ASP木马,就不会危害其它的站点,因为他只有这个Web站点的权限而没有其它站点权限。
  把各个分区的权限设成只有redblood和system完全控制.但是要注意一点,如果你的页面文件通过设置而放到其它的分区中,比如我放到了E盘中,你除了给这个分区redblood、system的完全控制权限外还必须给这个分区everyone的读权限,否则重启的时候会报错!
  在C:Program FilesCommon Files文件夹属性对话框安全选项卡中,取消"允许将来自父系的可继承权限传播给该对象",访问权限设成redblood、system完全控制,everyone读取及运行、列出文件夹目录、读取。因为ASP连接数据库的时候会用到这个目录。然后把WINNT目录也按照同样的方法来设置成和Common Files文件夹同样的权限。
  我们还要特殊设置一个目录那就是C:WINNTTemp,这个目录的访问权限是everyone修改、读取及运行、列出文件夹目录、读取、写入。
  把如下文件设置成只有redblood完全控制权限,取消父系继承来的权限。这些文件有:C:winntsytem32文件夹和C:winntsytem32dllcache文件夹的net.exe、net1.exe、netstat、netsh、cacls、cmd.exe、ftp.exe、tftp.exe、at.exe、format.com、xcopy.exe.
  把装应用程序的目录我这里是f:soft目录的访问权限设成redblood、system完全控制和everyone读取、读取和运行、列出文件夹目录的权限。禁用一些不安全的组件,如:Scripting.FileSystemObject、WScript.Shell、Shell.Application组件。
  Scripting.FileSystemObject组件:
  我们可以修改对应项在注册表里面的名称和值:
  HKEY_CLASSES_ROOTScripting.FileSystemObject
  HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值
  WScript.Shell组件:  
  HKEY_CLASSES_ROOTWScript.Shell
  HKEY_CLASSES_ROOTWScript.Shell.1
  HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值
  HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值
  Shell.Application组件:
  HKEY_CLASSES_ROOTShell.Application
  HKEY_CLASSES_ROOTShell.Application.1
  HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
  HKEY_CLASSES_ROOTShell.Application.1CLSID项目的值
  因为在前里我们已经单独的设置相应的Web站点,所以不必修改Scripting.FileSystemObject(fso)组件。
  在这里我直接注销下面两个组件:
  regsvr32 /u C:WINNTSystem32wshom.ocx对应于WScript.Shell组件。
  regsvr32/u C:WINNTSystem32shell32.dll对应于Shell.Application组件。
  禁止guests组的用户调用它:
  cacls C:WINNTsystem32scrrun.dll /e /d guests
  cacls C:WINNTsystem32shell32.dll /e /d guests
  前面在服务设置的时候我把Workstation服务禁用了,因为ASP木马运行候可以通过它来列出系统的用户和进程。所以为了安全考虑我们禁用它。
 
  6.修改注册表提高系统安全和性能
  下面我使用注册表和组策略一起来设置系统。
  开始-运行-gpeidt.msc打开组策略,计算机配置-Windows配置-安全设置-帐户策略-密码策略.
  下面是我的策略设置:
  密码策略
  密码必须符合复杂性要求:启用
  密码长度最小值:8个字符
  密码最长存留期:30天
  密码最短存留期:3天
  强制密码历史:5个记住的密码
  帐户锁定策略设置
  复位帐户锁定计数器:20分钟之后
  帐户销定时间:20分钟
  帐户锁定阀值:5次无效登录
  计算机配置-Windows配置-安全设置-本地策略,审核策略设置:
  审核策略更改:成功、失败
  审核登录事件:成功、失败
  审核对象访问:失败
  审核过程追踪:无审核
  审核目录服务访问:无审核
  审核特权使用:失败
  审核系统事件:失败
  审核帐户登录事件:成功、失败
  审核帐户管理:成功、失败
  计算机配置-Windows配置-安全设置-本地策略-用户权限指派
  更改系统时间:administrators
  关闭系统:administrators
  管理审核和安全日志:administrators
  计算机配置-Windows配置-安全设置-本地策略-安全选项
  登录屏幕上不要显示上次登录的用户名:已启用
  对匿名连接的额个限制:不允许枚举 SAM 帐号和共享
  故障恢复控制台:允许对所以驱动器和文件夹进行软盘复制和访问:已启用
  在关机时清理虚拟内存页面交换文件:已启用
  重命名来宾帐户:命名成administrator。
  重命名系统管理员帐户:redblood
  在本地用户和组中把来宾用户和系统管理员的描述互换一下,这样可以起一个迷惑的作用。算是一个很无聊的小把戏吧。我们再添加一个系统管理员帐户,这样可以防止如果忘记了口令可以及时的恢复系统,如果骇客进入系统改了密码,我们可以很快的取得系统的控制权。大家一定要给系统管理员设置一个强壮的密码,最少也得8位以上,由大小字母+数字组成。
  通过修改系统注册表的自启动项目把一些无用的启动项删除掉,以下是常见的各启动项:
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce
  以上这几个启动项是木马出现很频繁的地方,大家以后维护的时候多注意一些。
 
  7.FTP服务器配置
  FTP服务器除了对所在的文件夹设置权限之外,还可以修改一下Banner,这种方法可以迷惑一些骇客,让他在表面上认为我们的FTP的服务器不是Serv-u,下面我说一下设置的方法:
  右键单击托盘区的Serv-u图标,启动管理员-本地服务器-域-设置-常规-消息选项卡的服务器响应消息下,将服务器ID文本设为:"Welcome Wu-Ftpd V2.6.2 for SCO Unix." 在HELP命令回复下设置成:"Direct comments or bugs to admin@xxx.com. 我们在给FTP服务器启动的时候设上密码。这样启动Serv-u的时候就会让我们输入密码。
 
  8.远程控制配置
  这里我选用Win系统自带的远程控制软件终端服务,选择远程管理模式。为远程登录启动日志记录:
  开始-程序-管理工具-终端服务配置-连接-rdp/tcp-右键-属性-权限-添加administrators组-高级-审核-添加everyone组,选择审核的项目为登录和注销。
 
  9.防火墙、杀毒软件和补丁
  天网防火墙和McAfee都有设置启动密码的功能,我们都设成相应的密码。这个可以保证别人不会更改我们的密码。最后就是打补丁,我们一定要及时的升级自己的系统,以防那些恶意的骇客利用系统的漏洞攻击我们。接着我们把防火墙和杀毒软件都升级到最新的版本,以减少那些恶意的网络攻击和病毒攻击。
 
  总结:网络服务器的维护工作看着简单,但是每一个步骤都关系着整个系统的安危,整个服务器的安装、配置和维护都是一个系统工程,我们必须用心去对待它,及时的查看日志,常给系统打补丁,升级防火墙和杀毒软件的病毒库,每个动作都是一些基本的工作,但是我们必须重视它,因为他直接关系到我们系统的安全和稳定性。我们要做一个勤快的管理员,做一个用心的管理员。