Archive for 2005年12月27日


  崩溃型攻击
  
  死亡之ping (ping of death)
  
  概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
  
  防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
  
  泪滴(teardrop)
  
  概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
  
  防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
  
  UDP洪水(UDP flood)
  
  概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
  
  防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
  
  SYN洪水(SYN flood)
  
  概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
  
  防御:在防火墙上过滤来自同一主机的后续连接。
  
  未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
  
  Land攻击
  
  概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
  
  防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域)

  Smurf攻击
  
  概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
  
  防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
  
  Fraggle攻击
  
  概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP
  
  防御:在防火墙上过滤掉UDP应答消息
  
  电子邮件炸弹
  
  概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
  
  防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
  
  畸形消息攻击
  
  概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
  
  防御:打最新的服务补丁。

  
  利用型攻击
  
  利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:
  
  口令猜测
  
  概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。
  
  防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
  
  特洛伊木马
  
  概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
  
  最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
  
  防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
  
  缓冲区溢出
  
  概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
  
  防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。

  
  信息收集型攻击
  
  信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务

  扫描技术
  
  地址扫描
  
  概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
  
  防御:在防火墙上过滤掉ICMP应答消息。
  
  端口扫描
  
  概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
  
  防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
  
  反响映射
  
  概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
  
  防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答?.
  
  慢速扫描
  
  概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
  
  防御:通过引诱服务来对慢速扫描进行侦测。
  
  体系结构探测
  
  概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
  
  防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。

  利用信息服务
  
  DNS域转换
  
  概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
  
  防御:在防火墙处过滤掉域转换请求。
  
  Finger服务
  
  概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
  
  防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
  
  LDAP服务
  
  概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
  
  防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。

  
  假消息攻击
  
  用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
  
  DNS高速缓存污染
  
  概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
  
  防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
  
  伪造电子邮件
  
  概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
  
  防御:使用PGP等安全工具并安装电子邮件证书。

    一个稳定的团队是企业取得不断前进的重要保障,但是如果员工尤其核心员工的大量流失,不仅可能造成客户资源流失,人心浮动,而且还可能造成企业核心机密的流失,跟企业带来惨重损失,因此对于来讲,除了需要淘汰的员工外,企业要确保员工的相对稳定,采取一定措施降低企业员工的流失。

  那么企业该采取什么措施来降低企业员工的流失呢?

  一、严把进人关。

  笔者在招聘员工时会经常发现,许多应聘着在简历中,往往发现许多人在短时期内跳槽频频,而询问原因时,往往不能自圆其说,这说明他们往往难以对企业建立忠诚度,缺乏对自己职业生涯的规划,企业稍微不能满足他们要求,都可能成为他们离职的原因,所以对于此类应聘着,笔者往往不予录取。

  二、明确用人标准。

  企业在招聘员工时,一定要结合企业的用人需求,不可不结合实际的盲目的提高用人标准,因为企业招聘相应职位的岗位,只会给予这些岗位相应的待遇和级别,而这些人进入企业后,如果发现实际情况不是自己想象的,就会感到上当受骗,从而一走了之。笔者的一位朋友朱某看到一个企业的招聘区域经理的广告,便欣然前往,结果顺利便应聘成功,但是一上任却发现所谓的区域经理就是自己管自己,并没有下属,问企业后得到的答复是――我的区域经理就是这样啊。朱某这才明白其实企业招聘的只是业务员,而不是招区域经理,于是一怒之下朱某向企业提交了辞职书。

  三、端正用人态度。

  现在许多企业为了招揽人才,往往会在开始许诺高薪待遇,等人到了企业后在慢慢降待遇或承诺的东西不予兑现。许多企业和老板往往把这视为自己的用人高招,但是企业这样往往潜伏着巨大的风险,因为这些员工一旦识破企业的真实意图,往往会出现大批的员工流失。

  小邓到某企业应聘总经理助理,企业许诺月薪三千,然后到年底再给十五万年薪,可是到了年底,老板却拍着小邓的肩膀说“小邓啊,今年公司效益不好,年薪的事等明年再说吧”。小邓只得在大呼上当之余离开了该企业。

  四、放弃投机心理。

  对于许多企业来讲所处的行业会出现明显的淡旺季,许多企业的做法时旺季时大量招兵买马,到了淡季就大量裁员,认为反正中国多的是人,到时老子还害怕找不到两条腿的人吗?

  某食品企业为了扩大规模,快速建立网络,提升销量,就从另外一家企业挖了一大批营销人员,这部分人到了企业后,果然不负众望,企业的目的迅速达到了。但是到了淡季后,老板一算帐,如果再养这么多人,可能就赚不到钱了,于是老板就把他们叫过来讲从现在起大家放假,等到旺季时大家在过来上班。老板自以为自己很聪明,谁知却搬石头砸了自己,这批业务人员都迅速办理了辞职手续,就在老板正在为自己暗暗高兴之余,意想不到的事情却发生了,不仅这批业务人员离开了企业,企业中的原员工害怕将来老板给自己也来这么一手,于是也开始离开企业,更糟的是,这些业务人员离开企业后,很快便加入其竞品企业,许多经销商也随离开的业务人员开始倒戈。

  五、分析员工需求并尽可能满足

  做为一个社会人,就会有各种各样的需求,作为企业来讲,一定要经常对员工的需求进行分析,只要员工的需求没有违法违纪、没有违背企业宗旨和精神、原则就尽可能去满足。应该讲企业只要能够满足员工的需求,员工是很少去离职的。比如企业有许多员工到了谈婚论嫁的年龄,自然就会产生要找另一半的需求,尤其对于企业的营销人员来讲,天天在外奔波,没有太多的时间和精力去谈对象,这时企业就可以经常举办一些有营销人员和后勤等人员的舞会、文体活动等,增加他们之间的接触和了解机会,甚至如果有合适的,企业领导也可以出面撮合等。试想如果一个人他的另一半是在这个企业找到的,两个人有同在一家企业,员工岂有不感激之理,怎能不对企业增加忠诚度,热情去工作呢?

  六、帮助员工做职业生涯规划和建立人才培养机制

  笔者发现许多企业的员工对自己的发展和前途往往感到非常迷茫,不知自己的明天该如何去规划,方向在那里。于是就会产生其他企业的世界可能更精彩,从而萌生去意。

  如果企业能够帮助员工去做自己的人生尤其职业生涯规划,使员工知道自己的优势的在那里,企业会给他们提供什么样的发展空间,个人该如何通过努力实现自己的人生抱负,然后结合每个人的特点通过一定的途径去培养,使员工找到自己的定位和明确将来努力的方向。试问如果企业能帮员工做到这一点,还会有那些员工决定离开呢?

  七、待遇留人,既要马儿跑,又要马吃草

  对于现在企业的员工来讲,待遇是一种很现实的东西,企业幻想既想让员工买命干活,却又不想付出合理薪水待遇的话,恐怕是难以实现的。

  不过企业也不能为了留住员工,向员工付出高于行业待遇太多的待遇,但是企业在制定员工的薪酬福利时,一定要结合行业的情况,如果自己的薪酬福利没有竞争力,就会出现有能力的员工向其它企业流失的情况。最终使企业出现“低薪低能”的不利局面,高素质、高能力的员工不仅留不住而且高素质、高能力的人才又引不进,从而使企业的人力结构无法得到提升,无法跟上企业的发展步伐。

  八、感情留人,人都有感情

  员工作为人,而人又是感情动物,尤其在中国这个人情味很浓的国家里。企业在对员工的感情投入上,在企业创造一种让员工有家的感觉的环境往往会收到事半功倍的效果。

  比如员工家里出现困难时,企业伸出援手;老板和企业高层主动找员工谈心沟通,会让员工有受到重视的感觉;员工结婚或家里出现老人病重、去世的情况时,老板或企业高层亲自到场祝贺或哀悼;员工的家属没有工作时,企业帮助员工给家属安排力所能及的工作等。都会让员工感激涕零,而企业实际上并没有多付出什么,而收获的往往是员工的心和忠诚。

  某企业在感情留人方面做的更绝,每当春节的时候,员工的家里就会收到企业的一封信,内容除了祝贺新春之外,就是感谢员工长辈对员工的培养和家属对员工工作的支持。结果导致如果那个员工要辞职,首先家里人会极力劝说或痛骂。

  九、培训和学习,为员工增加一份福利

  其实对于企业的大多数员工来讲,除了待遇之外,自己能否在这个企业得到进步和成长,是否有学习的机会也是他们所关注的,尤其对于企业的新员工和准备干些事业的员工来讲。

  这就需要企业员工的培训和学习放到一定高度去对待,同时从某种程度来讲,员工的成长和进步也就意味着企业的成长和进步。企业何不一次投资,受益终生呢?如果在这个企业能够学习进步和成长,有何必朝三暮四呢?

  十、不要在企业亏损时拿员工待遇说事

  企业在经营时难免会有时出现经营不善的局面,但是企业一旦出现亏损,压缩成本、降低费用是无可厚非的。但是许多企业在企业亏损时,首先把降低员工的待遇放在了重要位置,结果是员工待遇降了,也节省了一定费用,不过等企业开始盈利时,员工也流失的差不多了。

  2003年下半年和2004年上半年,由于原材料大幅度涨价,导致方便面行业出现行业性的亏损,某企业开始大幅度降低员工待遇,待遇一降许多员工纷纷辞职,后来行业情况一转暖,企业开始盈利,但是企业却出现了人才严重短缺,企业的扩张步伐受到了严重障碍。

  十一、事业留人,让员工成为企业的主人翁

  对于不同的员工来讲,需求是多方面的。对于层次较高的员工来讲(一般指企业的中高级管理人员),能否满足他们实现自身价值的需求,对稳定他们至关重要。

  现在许多企业的老板为了留住人才,都会进行大胆授权,给人才创造施展才能和价值的环境,同时针对中高级管理人员和核心员工进行配股,让他们成为企业的股东,使他们把自己的命运与企业的命运紧密联系在一起,从而使他们稳定下来。

  河南的某企业使每个企业员工都拥有企业的股份,结果不仅该企业的人员流失非常少,而且企业的员工都把企业当作了自己的企业,积极降能节耗,为企业的发展出谋划策,使企业的发展速度和盈利能力让其它企业羡慕不一。

  十二、建立企业员工尤其具有一定影响力的核心员工流失预警机制

  企业内员工和个别核心员工的一定流失在现在的市场经济条件下,是非常正常的,但是如果一旦出现大量流失则会给企业带来沉重打击。这就需要企业的人力资源部门设立员工流失预警机制,设定员工流失的安全系数。

  企业的人力资源部门日常就要对企业的人力资源状况进行动态分析和管理,一旦发现员工流失出现超过安全系数、可能和出现员工大量流失的迹象,要马上做出判断,通报企业高层以采取应对之策。

  在许多企业还出现一种状况,那就是核心员工的流失往往会出现会带走一批员工或陆续从企业带走一些员工,这是企业需要引进高度重视的。就像TCI的万明坚,一个人离开却带走了大批员工等。

  十三、建立公平竞争,能者上、庸者下的用人机制和环境

  在许多企业许多员工的离职原因往往是对企业的用人机制和环境不满,自己有能力但是得不到晋升,庸者身据高位但无人能动,帮派主义、小团队主义盛行。尤其对于家族企业更甚。

  如果这种恶习不除,将很难使有能力的员工安心工作,他们的流失也就只是时间问题。

  所以企业如何建立公平竞争,能者上、庸者下的用人机制和环境对于稳定有能力、有抱负的员工来讲是至关重要的。

  十四、运用法律

  企业要与企业员工尤其核心员工签订劳动合同,通过合同对双方形成有机约束,从而降低员工的流失和便于控制。

  另外某企业的做法也值得很多企业借鉴,该企业对于离开企业的持股员工并不要求其一定退股,员工离开后不影响其股份,同时一样参与分红。这在一定程度上对这些员工形成约束。因为他们知道离开企业后做出对企业不利的事情对自己没有好处反而有坏处。

  总之企业要想稳定企业的员工队伍,降低人员流失,就要明白员工流失的责任并非全在员工本身,而企业也要多方位反思来根据企业自身的情况采取有效措施降低员工的非正常流失。

  办公室是一个充满原则、纪律,讲求策略的场合,更是一个充满利益冲突的是非之所。既如此,办公室里谈个人私事是否妥当呢?前程无忧曾进行的网上调查显示,尽管九成以上的人认为“办公室里隐私不宜说”,但是她/他们又同时承认有在办公室里谈论涉及私人感情、家庭关系、同事喜恶和上下级关系等隐私性内容的行为。

  隐私本身是一个相对而言的概念,事实上在工作环境下,绝对只谈论公事也是一件不可能的事,同一件事情在一个环境中是无伤大雅的小事,换一个环境则可能非常敏感,所以在“吐露心声”之前,请预想一下自己的言论会否为自己赢得同情或带来危害,保护自己立于安全地带。最重要的是,把握好同事间和平、互助、有距离关系的尺度,以宽容、平和的心态对待别人的隐私,为自己减少惹来不必要危险与烦恼的可能。

  建议以下内容应在办公室里拒绝谈论:

    1.自己或同事的工资收入;

    2.在同事面前表现出和上司超越一般上下级的关系,甚至炫耀和上司及其家人的私交;

  3.私底下对同事谈论自己的过去和隐秘思想。除非你已经离开了这家公司;

  4.谈论别人的隐私甚至是上司的隐私。无论是在公司内外,谈论别人的私生活都是极其不礼貌的,轻者给人留下口无遮拦、办事不慎重的印象,重则影响个人职业的口碑。

  而以下一些私人话题可能会为你争取到友谊,至少不会制造麻烦:

  1.健身、美容、消费、旅行之类的个人喜好;

  2.教育、理财或投资;

    3.自己的爱情或夫妻关系,前提是只向个别关系密切、有兴趣倾听的人倾诉。

    人力资源是最宝贵的资源,是起决定作用的资源。人力资源工作的优劣直接影响企业的生存与发展。人力资源总监肩负着为公司实现战略目标,为员工创造丰盛人生的伟大使命。十全十美的人力资源总监,应该做好下列十项工作

    一、人力资源战略规划

    人力资源战略规划是人力资源工作的起点,是人事行动指南和工作纲领。在制订人力资源战略之前,一定要做好详尽的人力资源现状调查分析。在战略选择方面,主要有领先型、跟随型和差异型。领先型是指在招、育、用、留人方面都要做到行业或企业界的领先水平。跟随型是指选定一个目标企业,所有的人力资源管理工作都参照目标企业的方法来进行。差异型主要是指选择与竞争对手不同的策略,以达到出奇制胜且与竞争对手难以比较。新建公司的中小企业适合选用差异性战略,除行业内优秀的名品牌企业以外,大多数企业适合采用跟随性战略,以达到提高效率、降低成本、减少风险的效果。人力资源总监要依据公司的人力资源战略,设计出实用、扁平、简单的组织架构,编写清晰明确的岗位职责、职务权限和激励机制。

    二、招聘与配置:

    招聘是人力资源管理的开端。在招聘方面,人力资源总监要依据所有岗位先内部招聘、再社会招聘、最后猎头招聘的原则,为员工提供更多的晋升机会。在人员配置方面,要组织相关部门共同制订出合理的人员编制,并鼓励员工在集团范围内适当的轮岗及合理的流动,但必须坚持一个原则,没有培养出接班人的岗位不允许晋升或调换岗位。也就是说,想升职或换岗的人员,必须先培养接班人。在招聘渠道方面,要合理选用内部招聘、人才中介、现场招聘、网络招聘、校园招聘、员工引荐、广告招聘、猎头服务等。选择招聘渠道的原则,以岗位等级和工作区域为核心,兼顾实用、快速、经济的原则。在人才选拔方面,采用面试、笔试、人才测评和集体面试相结合的方法,确保不会看错人、不会看走眼。新招职员最好组织参加初试、人才测评和面试;新招经理级以上干部还必须三位以上录用管委会成员面试,半数以上评委同意才可通过。在人才录用方面,重学历更重能力,重资历更重业绩。严格执行人才录用回避制度和入职体检不合格否决制度。

    三、培训与发展

    培训工作是企业基业长青的动力源,是员工成长的充电器。卓有成效的培训工作是企业与员工共同发展的重要保障。人力资源总监要建立实用完善的培训体系、编制专项培训预算、制定具体的培训目标,全面推进培训工作。在培训内容上分四个部分实施:包括文化与战略、职业技能、专业技能和管理技能。在培训时间上,力争做到全年人均脱产学习时间累计达到十二天,即保证月均有一天的学习时间。在培训层次上分为四类:包括高管培训、中层培训、职员培训和工人培训。在培训性质上分为入职培训、在职培训和晋升培训。在培训渠道上分为岗位实习、业余自学、课堂培训、外派培训、与大学合作MBA培训、参观考察、企业交流、外请讲师、入职引导人、师傅带徒弟等等。在员工发展方面,制定行政和技术两条发展线路。行政方面可按工人、职员、主任、经理、总监、总经理、总裁的线路发展;技术方面可按工人、技工、技术员、助师、工程师、高工、总工的线路发展。两条线路可交叉并行,同等级别的管理人员和专业技术人员,享受同等的福利待遇。人力资源部要通过人才测评、个人培训需求调查、公司对岗位的要求等三个方面来帮助员工制订职业生涯规划、组织相关培训,保障员工与企业共同发展。

    四、绩效与激励

    绩效管理是人力资源管理的生命线。员工能为公司创造价值,能够为公司带来绩效,员工就是资源、是资本、是财富。不管是直接创造价值,还是间接创造价值,只要能创造价值,员工的报酬就是投资,否则就是成本或者是浪费。激励机制是人力资源管理的加油站。通过有效的激励机制,能够开发员工的潜能,提高组织的绩效。否则,干多干少一个样,干好干坏一个样,干与不干一个样,或者绩效考核激励机制不能够做到客观公正,企业必将难以生存发展。必须通过卓有成效的绩效管理,做到能者上、庸者让、无能者下,甚至是绩效提升速度跟不上企业发展速度的,也要根据强制排序、末位淘汰的原则进行末位淘汰。只有这样企业才能基业长青、稳步发展。人力资源部要加大绩效管理和激励的力度,坚持定量评价与定性评价相结合,结果评价与行为评价相结合,个人评价与上级评价相结合,季度评价与年度评价相结合,个人收入与公司效益相结合,强化结果导向,注重行为控制。逐步加大绩效工资的比例,综合考虑短、中、长期的激励。

    五、薪酬福利

    薪酬福利是留住人的金手铐。薪酬福利坚持对外具有竞争性,对内具有公平性的原则,充分发挥薪酬福利的保障性、竞争性和激励性的作用。薪酬标准制定的四项基本原则:以岗位为核心,以资质为基础,以市场为导向,以绩效为依据。公司将以岗位为核心,建立岗位评价体系,给各个岗位进行客观公正的评价,制定合理的工资标准,在同工同酬的前提下,保持一定的灵活性。岗位相同,不同资历和能力的人则工资不同。相同的岗位,在不同的阶段和人才市场薪酬水平的变化时工资也不一样。相同的岗位、相同的资历,在同一个效益的公司,因个人的绩效不同,获得报酬也会不一样。在福利方面,公司会逐步完善集体福利和个性福利。集团福利如食宿、交通、有薪假期等;个性福利如给予学习机会,住房贷款、疾病补助等。人力资源部在现有福利的基础上,将逐步完善下列五项员工福利:温馨家庭(如住房贷款)、幸福生活(如旅游休假)、亲情无限(如探亲慰问)、健康人生(如体检保险)、个人成长(如参观学习)等。人力资源总监应根据市场情况和企业效益合理调整员工的工资,但工资的增长速度不得高于企业利润的增长速度,也不得高于企业规模的增长速度。也就是说,要想快速提高工资,必须共同努力将企业做强做大,提高企业的盈利能力。

    六、员工关系

    建立和谐的劳资关系,是企业高速稳健的基础。员工与企业的关系以劳动合同为依据,以工作为内容、以报酬为结果。人力资源部通过一系列的方式和手段,旨在创建一种源于工作而又高于工作的和谐的劳资关系。创建员工以企业为家的归属感。建立畅通无阻、无界限的沟通关系,不断提高员工的满意度,提高企业的凝聚力和向心力。员工关系专员要深入了解每一个员工的工作和生活情况,想员工所想,急员工所急,及时解决员工工作和生活中的问题。包括工作关系、工作压力、岗位能力、培训需求、生活问题、家庭问题、心理问题、个人成长等。员工关系专员要成为广大员工的良师益友,成为员工生活上的朋友、工作上的帮手,真正为员工排忧解难。通过员工关系管理,让每一位员工都能工作开心、生活愉快,享受健康快乐的丰盛人生。

    七、企业文化

    企业文化是企业的灵魂,是企业的精神支柱。不管有没有写出来,任何一个企业都有其自己的文化。企业文化是一个企业员工的行为准则和工作习惯。主要包括企业宗旨、目标、使命、愿景、价值观、做人做事标准、企业歌曲、企业标志、企业形象等,以及在人、财、物等方面的基本要求等。企业文化通过一定的载体展现出来,如规章制度、标语口号、丰富多彩的文体活动等。通过思想变为制度、通过制度变为程序、通过程序变为行动、通过行动变成习惯,通过习惯变成文化。优秀的公司都有特色鲜明的企业文化。如每天开早会、每周写总结与计划、每月集体升旗仪式、每季度绩效考核奖惩兑现、每年初召开誓师大会、每年底召开总结表彰大会等。

    八、HR信息化推进

    信息化是企业发展的高速公路。企业只有通过信息化,才能资源共享,高效快捷的开展工作。人力资源信息化,主要是指通过人力资源管理系统来管理人力资源工作,跨越时空界限,让员工与企业紧密的结合在一起。信息更畅通、沟通更方便。主要包括网上发布招聘信息、网上填写和投递简历、在线进行人才测评、可通过视频系统进行面试和录用。人力资源管理绝大多数工作都是可以在网上完成的。员工随时可查询到自己的相关信息,如工资条、培训记录、休假记录等,也可即时修改变化的信息,如联系电话、学历、婚姻状况、通讯地址等。管理者可通过HR系统即时查询下属的有关人事情况,如周工作总结与计划、绩效计划与考核结果、员工各类信息及相关统计等。将人力资源管理工作通过HR系统与网站、邮箱、手机联系在一起,就是人力资源信息化的高级阶段,如收到邮件就有短信提醒、生日可收到公司定制的祝福短信,工资到帐会收到短信提醒、社会保险会有短信对帐等。员工也可通过登录HR系统,了解到公司发布的各类信息,如会议通过、奖惩公告、文件制度等。更重要的是通过HR信息化来促进人力资源管理工作的简便高效,实现即时查询各类信息的查询功能;实现邮件、短信、BBS、QQ等沟通功能;实现网上绩效管理、网上培训、网上审核文件、网上报销等办公信息化功能。

    九、优化工作环境

    工作环境包括员工生活的硬环境和软环境。硬环境主要有办公场所、办公设备、就餐环境、住宿条件、休闲场所、购物环境、交通环境、地理位置等。软环境主要是指人际关系、工作压力、学习氛围、沟通形式等。硬环境改造难度大,但可通过软环境来补充。软环境虽然不用支付多少经济成本,但改造起来难度大,需要用时间和精力来改善。人力资源总监应尽力改善员工的工作和生活环境,让员工工作的开心、生活的舒心。改善员工工作生活环境的工作包括:如硬件方面有办公室、宿舍、食堂装修改选,宿舍装200卡电话、安装电视,创建花园厂区、办公室增加绿色植物、购买接送大巴车、修建鱼池喷泉等,软件方面有建立企业网站、开通企业邮箱、召开员工座谈会、建立员工接待日制度、设立员工进步信箱、组织员工体检、购买HR系统、开通宽带上网和无线上网等。

    十、员工满意度

    员工满意度是以人为本的综合体现。实施员工满意度工程,员工满意度能得到了稳步提高,公司的人力资源管理工作会有根本的改变。人力资源部以满意度调查结果为导向,逐步改善人力资源管理工作,逐项提高员工满意度。通过对有关人力资源管理方面的若干问题的调查,能全面反映了员工在人力资源管理方面的需求,为人力资源的管理工作提供了依据。只有通过提高员工满意度来加强人力资源管理,才是真正的以人为本。美涂士集团总裁周炜健说,经营企业就是经营员工和客户。经营员工就是要努力提高员工的满意度。员工的满意度决定着企业的发展速度。人的问题,是企业最大的问题,所有问题的解决都是从解决人的问题开始的。万科董事长王石说,善待客户从善待为客户服务的员工做起。先有员工的满意度,才有客户的满意度。

    优秀的人力资源总监,应推动企业坚持“以人为本”的核心价值观为导向,以雇主品牌吸引人,以创造机会培养人,以激励机制用好人,以事业发展留住人。坚持员工与企业共同成长,逐步提高员工的满意度,打造最佳雇主品牌,把人力资源建设成企业的核心竞争能力,保障企业高速稳健发展。