软件系统设计中，到底是先设计出数据库中的表，还是先设计好数据流图啊

应该是先画数据流图，然后再设计数据库的，即使你采用的不是瀑布模型，也应该是这样的，而且你说的数据流图中有输出输入，你可以先写上，然后根据数据流图设计数据库，最后回来再调整数据流图，这是一个迭代的过程，现在流行的敏捷开发模式或者其他开发模式都是通过不断的迭代来降低软件开发的风险的

#云原生背景#

云计算是信息技术发展和服务模式创新的集中体现，是信息化发展的重要变革和必然趋势。随着“新基建”加速布局，以及企业数字化转型的逐步深入，如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能，成为企业数字业务应用创新的原动力，云原生进入快速发展阶段，就像集装箱加速贸易全球化进程一样，云原生技术正在助力云计算普及和企业数字化转型。

云原生计算基金会（CNCF）对云原生的定义是：云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可d性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。

#云安全时代市场发展#

云安全几乎是伴随着云计算市场而发展起来的，云基础设施投资的快速增长，无疑为云安全发展提供土壤。根据 IDC 数据，2020 年全球云安全支出占云 IT 支出比例仅为 11%，说明目前云安全支出远远不够，假设这一比例提升至 5%，那么2020 年全球云安全市场空间可达 532 亿美元，2023 年可达 1089 亿美元。

海外云安全市场：技术创新与兼并整合活跃。整体来看，海外云安全市场正处于快速发展阶段，技术创新活跃，兼并整合频繁。一方面，云安全技术创新活跃，并呈现融合发展趋势。例如，综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合，提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面，新兴的云安全企业快速发展，同时，传统安全供应商也通过自研+兼并的方式加强云安全布局。

国内云安全市场：市场空间广阔，尚处于技术追随阶段。市场规模上，根据中国信通院数据，2019 年我国云计算整体市场规模达 13345亿元，增速 386%。预计 2020-2022 年仍将处于快速增长阶段，到 2023 年市场规模将超过 37542 亿元。中性假设下，安全投入占云计算市场规模的 3%-5%，那么 2023 年中国云安全市场规模有望达到 1126 亿-1877 亿元。技术发展上，中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛，对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展，云原生技术的应用越来越广泛，我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。

#云上安全呈原生化发展趋势#

云原生技术逐渐成为云计算市场新趋势，所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术，正在影响各行各业的 IT 基础设施、平台和应用系统，也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用，其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。

从各种各样的安全风险中可以一窥云原生技术的安全态势，云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中，安全是必须要考虑的重要因素。

#云原生安全的定义#

国内外各组织、企业对云原生安全理念的解释略有差异，结合我国产业现状与痛点，云原生与云计算安全相似，云原生安全也包含两层含义：“面向云原生环境的安全”和“具有云原生特征的安全”。

面向云原生环境的安全，其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制，不一定具备云原生的特性（比如容器化、可编排），它们可以是传统模式部署的，甚至是硬件设备，但其作用是保护日益普及的云原生环境。

具有云原生特征的安全，是指具有云原生的d性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新，通过容器化、资源编排和微服务重构了传统的开发运营体系，加速业务上线和变更的速度，因而，云原生系统的种种优良特性同样会给安全厂商带来很大的启发，重构安全产品、平台，改变其交付、更新模式。

#云原生安全理念构建#

为缓解传统安全防护建设中存在的痛点，促进云计算成为更加安全可信的信息基础设施，助力云客户更加安全的使用云计算，云原生安全理念兴起，国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。

Gartner提倡以云原生思维建设云安全体系

基于云原生思维，Gartner提出的云安全体系覆盖八方面。其中，基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供，其它六部分，包括持续的云安全态势管理，全方位的可视化、日志、审计和评估，工作负载安全，应用、PaaS 和 API 安全，扩展的数据保护，云威胁检测，客户需基于安全产品实现。

Forrester评估公有云平台原生安全能力

Forrester认为公有云平台原生安全（Public cloud platform native security, PCPNS）应从三大类、37 个方面去衡量。从已提供的产品和功能，以及未来战略规划可以看出，一是考察云服务商自身的安全能力和建设情况，如数据中心安全、内部人员等，二是云平台具备的基础安全功能，如帮助和文档、授权和认证等，三是为用户提供的原生安全产品，如容器安全、数据安全等。

安全狗以4项工作防护体系建设云原生安全

（1）结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作，对于云原生环境中的各种组成部分，均可贯彻落实“安全左移”的原则，进行安全基线配置，防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言，其重点是应用安全问题。

（2）围绕云原生应用的生命周期来进行DevSecOps建设，以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”，在项目构建时注重“镜像安全”，在项目部署时注重“容器准入”，在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。

（3）围绕攻击前、中、后的安全实施准则进行构建，可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。

（4）改造并综合运用现有云安全技术，不应将“云原生安全”视为一个独立的命题，为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。

#云原生安全新型风险#

云原生架构的安全风险包含云原生基础设施自身的安全风险，以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于：容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。

#云原生安全问题梳理#

问题1：容器安全问题

在云原生应用和服务平台的构建过程中，容器技术凭借高d性、敏捷的特性，成为云原生应用场景下的重要技术支撑，因而容器安全也是云原生安全的重要基石。

（1）容器镜像不安全

Sysdig的报告中提到，在用户的生产环境中，会将公开的镜像仓库作为软件源，如最大的容器镜像仓库Docker Hub。一方面，很多开源软件会在Docker Hub上发布容器镜像。另一方面，开发者通常会直接下载公开仓库中的容器镜像，或者基于这些基础镜像定制自己的镜像，整个过程非常方便、高效。然而，Docker Hub上的镜像安全并不理想，有大量的官方镜像存在高危漏洞，如果使用了这些带高危漏洞的镜像，就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点：

1不安全的第三方组件

在实际的容器化应用开发过程当中，很少从零开始构建镜像，而是在基础镜像之上增加自己的程序和代码，然后统一打包最终的业务镜像并上线运行，这导致许多开发者根本不知道基础镜像中包含多少组件，以及包含哪些组件，包含的组件越多，可能存在的漏洞就越多。

2恶意镜像

公共镜像仓库中可能存在第三方上传的恶意镜像，如果使用了这些恶意镜像来创建容器后，将会影响容器和应用程序的安全

3敏感信息泄露

为了开发和调试的方便，开发者将敏感信息存在配置文件中，例如数据库密码、证书和密钥等内容，在构建镜像时，这些敏感信息跟随配置文件一并打包进镜像，从而造成敏感信息泄露

（2）容器生命周期的时间短

云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。在容器环境下，一部分容器是以docker的命令启动和管理的，还有大量的容器是通过Kubernetes容器编排系统启动和管理，带来了容器在构建、部署、运行，快速敏捷的特点，大量容器生命周期短于1小时，这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化，容器的全生命周期防护存在很大变数。对防守者而言，需要采用传统异常检测和行为分析相结合的方式，来适应短容器生命周期的场景。

传统的异常检测采用WAF、IDS等设备，其规则库已经很完善，通过这种检测方法能够直观的展示出存在的威胁，在容器环境下，这种方法仍然适用。

传统的异常检测能够快速、精确地发现已知威胁，但大多数未知威胁是无法通过规则库匹配到的，因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说，一段生产运营时间内的业务模式是相对固定的，这意味着，业务行为是可以预测的，无论启动多少个容器，容器内部的行为总是相似的。通过机器学习、采集进程行为，自动构建出合理的基线，利用这些基线对容器内的未知威胁进行检测。

（3）容器运行时安全

容器技术带来便利的同时，往往会忽略容器运行时的安全加固，由于容器的生命周期短、轻量级的特性，传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护，显示费时费力且消耗资源，但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点：

1不安全的容器应用

与传统的Web安全类似，容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞，容器在对外提供服务的同时，就有可能被攻击者利用，从而导致容器被入侵

2容器DDOS攻击

默认情况下，docker并不会对容器的资源使用进行限制，默认情况下可以无限使用CPU、内存、硬盘资源，造成不同层面的DDOS攻击

（4）容器微隔离

在容器环境中，与传统网络相比，容器的生命周期变得短了很多，其变化频率也快很多。容器之间有着复杂的访问关系，尤其是当容器数量达到一定规模以后，这种访问关系带来的东西向流量，将会变得异常的庞大和复杂。因此，在容器环境中，网络的隔离需求已经不仅仅是物理网络的隔离，而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。

问题2：云原生等保合规问题

等级保护20中，针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求，但是由于编写周期很长，编写时主流还是虚拟化场景，而没有考虑到容器化、微服务、无服务等云原生场景，等级保护20中的所有标准不能完全保证适用于目前云原生环境；

通过安全狗在云安全领域的经验和具体实践，对于云计算安全扩展要求中访问控制的控制点，需要检测主机账号安全，设置不同账号对不同容器的访问权限，保证容器在构建、部署、运行时访问控制策略随其迁移；

对于入侵防范制的控制点，需要可视化管理，绘制业务拓扑图，对主机入侵进行全方位的防范，控制业务流量访问，检测恶意代码感染及蔓延的情况；

镜像和快照保护的控制的，需要对镜像和快照进行保护，保障容器镜像的完整性、可用性和保密性，防止敏感信息泄露。

问题3：宿主机安全

容器与宿主机共享 *** 作系统内核，因此宿主机的配置对容器运行的安全有着重要的影响，比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险，端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统，提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能，各个功能之间进行联动，建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统，对主机进行全方位的安全防护，协助用户及时定位已经失陷的主机，响应已知、未知威胁风险，避免内部大面积主机安全事件的发生。

问题4：编排系统问题

编排系统支撑着诸多云原生应用，如无服务、服务网格等，这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限，进而对容器网络进行渗透横移，造成巨大损失。

Kubernetes架构设计的复杂性，启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件，因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制，进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略，合理使用这些机制可以有效实现Kubernetes的安全加固。

问题5：软件供应链安全问题

通常一个项目中会使用大量的开源软件，根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件，这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解，导致当开源软件中存在0day或Nday漏洞，我们根本无法获悉。

开源软件漏洞无法根治，容器自身的安全问题可能会给开发阶段带的各个过程带来风险，我们能做的是根据SDL原则，从开发阶段就开始对软件安全性进行合理的评估和控制，来提升整个供应链的质量。

问题6：安全运营成本问题

虽然容器的生命周期很短，但是包罗万象。对容器的全生命周期防护时，会对容器构建、部署、运行时进行异常检测和安全防护，随之而来的就是高成本的投入，对成千上万容器中的进程行为进程检测和分析，会消耗宿主机处理器和内存资源，日志传输会占用网络带宽，行为检测会消耗计算资源，当环境中容器数量巨大时，对应的安全运营成本就会急剧增加。

问题7：如何提升安全防护效果

关于安全运营成本问题中，我们了解到容器安全运营成本较高，我们该如何降低安全运营成本的同时，提升安全防护效果呢？这就引入一个业界比较流行的词“安全左移”，将软件生命周期从左到右展开，即开发、测试、集成、部署、运行，安全左移的含义就是将安全防护从传统运营转向开发侧，开发侧主要设计开发软件、软件供应链安全和镜像安全。

因此，想要降低云原生场景下的安全运营成本，提升运营效率，那么首先就要进行“安全左移”，也就是从运营安全转向开发安全，主要考虑开发安全、软件供应链安全、镜像安全和配置核查：

开发安全

需要团队关注代码漏洞，比如使用进行代码审计，找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。

供应链安全

可以使用代码检查工具进行持续性的安全评估。

镜像安全

使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估，对存在风险的镜像进行及时更新。

配置核查

核查包括暴露面、宿主机加固、资产管理等，来提升攻击者利用漏洞的难度。

问题8：安全配置和密钥凭证管理问题

安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互，为了简便，很多开发者将访问凭证、密钥文件直接存放在代码中，或者将一些线上资源的访问凭证设置为弱口令，导致攻击者很容易获得访问敏感数据的权限。

#云原生安全未来展望#

从日益新增的新型攻击威胁来看，云原生的安全将成为今后网络安全防护的关键。伴随着ATT&CK的不断积累和相关技术的日益完善，ATT&CK也已增加了容器矩阵的内容。ATT&CK是对抗战术、技术和常识（Adversarial Tactics, Techniques, and Common Knowledge）的缩写，是一个攻击行为知识库和威胁建模模型，它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。

云原生安全的备受关注，使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATT&CK让我们从行为的视角来看待攻击者和防御措施，让相对抽象的容器攻击技术和工具变得有迹可循。结合ATT&CK框架进行模拟红蓝对抗，评估企业目前的安全能力，对提升企业安全防护能力是很好的参考。

经过二十年的经济发展，中国的经济形态正逐渐由稀缺经济向过剩经济过度，但这种过剩是底层次的过剩，产品的技术差别很小，同质化现象很严重，企业的习惯营销思维仍是以产品的推销为主，一次又一次地祭起“价格战”的大旗，结果是消费者逐渐麻木，并开始怀疑产品的品质，同时又严重削弱了企业的资本积累、科研开发及后续发展的能力。21世纪，对于任何企业而言，有两个方面最为重要，一是企业品牌，二是顾客的满意度，但顾客的满意和忠诚不是通过简单的削价可以换来，也不是通过折扣、积分等暂时的经济利益可以买来的，要靠数据库和顾客关系管理（CRM）系统，从与顾客的交流互动中更好地了解顾客需求来实现。

数据库营销作为本世纪90年代一种方兴未艾的营销形式，包含了关系营销的观念，着重于给顾客提供全方位的持续的服务，从而和市场建立长期稳定的关系；同时和现代信息技术、网络技术相结合，利用计算机信息管理系统（MIS）来充分的建设和利用客户数据库，而且，强大而完善的数据库是未来网络营销和电子商务的基础。

1未来的顾客服务模式与CRM的运用

顾客服务模式的变化

忠诚、持久而稳定的顾客群成为企业最宝贵的资源，国外，93%的公司首席执行官认为"顾客资源"是企业成功和更具有竞争力的最重要的因素。企业营销的关键是争取和留住顾客，满足消费者个性化地需求，和顾客建立互相信任的稳定的双向沟通的互动关系。传统的只是单向被动的适应消费者的营销方式已经落在时代变化的后面，这种慢一拍的市场跟进不仅不能享受到高额利润，在这个快速变化的社会往往对企业而言还可能是致命的。现代的企业各个部门将被高度整合起来，以顾客为中心工作，追求顾客的终身价值。

顾客关系管理（CRM）呼之欲出

实现顾客的忠诚度，满足顾客随时变化的需求，相应的是企业管理的重心正从内部向外部扩展，从生产制造向顾客关系管理转移：ERP—SCM—CRM……顾客关系管理（ Customer Relationship Management CRM）。据2001年2月27日中国经营报消息，上海罗氏制药公司和康柏合作，投资400万启动大中华地区制药行业真正意义上的客户管理系统（CRM），由Sibel公司提供软件解决方案，上海罗氏希望在3、4年内通过CRM的建设，彻底改变与客户打交道的方式。

CRM作为新一代的顾客资源管理系统，把企业的销售、市场和服务等部门整合起来，有效地把各个渠道传来的客户信息集中在一个数据库里。公司各个部门之间共享这同一个客户数据库，发生在这个客户上的各种接触，无论是他何时索要过公司简介，还是他是否曾经购买过产品都记录在案，每个与这一顾客打交道的部门经手人可以很轻易地查询到这些数据，让这个顾客得到整体的关怀。从中我们也可发现，CRM系统的基础是一个数据完备、功能完善的客户数据库在营销中的整体功能发挥。

2 数据库营销的实际应用

数据库营销，是在企业通过收集和积累消费者大量的信息，经过处理后预测消费者有多大可能去购买某种产品，以及利用这些信息给产品以精确定位，有针对性地制作营销信息达到说服消费者去购买产品地目的。通过数据库的建立和分析，各个部门都对顾客的资料有详细全面的了解，可以给予顾客更加个性化的服务支持和营销设计，使“一对一的顾客关系管理”成为可能。数据库营销是一个“信息双向交流”的体系，它为每一位目标顾客提供了及时作出反馈的机会，并且这种反馈是可测定和度量的。

数据库营销在西方发达国家的企业里已相当普及，在美国，1994年Donnelley Marketing公司的调查显示，56%的零售商和制造商有营销数据库，10%的零售商和制造商正在计划建设营销数据库，85%的零售商和制造商认为在本世纪末，他们将需要一个强大的营销数据库来支持他们的竞争实力。从全球来看，数据库直销作为市场营销的一种形式，正越来越受到企业管理者的青睐，在维系顾客、提高销售额中扮演着越来越重要的作用。

宏观功能——市场预测和实时反应

客户数据库的各种原始数据，可以利用“数据挖掘技术”和“智能分析”在潜在的数据中发现赢利机会。基于顾客年龄、性别、人口统计数据和其它类似因素，对顾客购买某一具体货物可能性作出预测；能够根据数据库中顾客信息特征有针对性的判定营销策略，促销手段，提高营销效率，帮助公司决定制造适销的产品以及使产品制定合适的价格；可以以所有可能的方式研究数据，按地区、国家、顾客大小、产品、销售人员、甚至按邮编，从而比较出不同市场销售业绩，找出数字背后的原因，挖掘出市场潜力。企业产品质量上或者功能的反馈信息首先通过市场、销售、服务等一线人员从面对面的顾客口中得知，把有关的信息整理好以后，输入数据库，定期对市场上的顾客信息进行分析，提出报告，帮助产品在工艺或功能上的改善和完美，产品开发部门作出前瞻性的研究和开发；管理人员可以根据市场上的实时信息随时调整生产和原料的采购，或者调整生产产品的品种，最大限度的减少库存，做到“适时性生产”（JIT）。

微观功能——分析每位顾客的赢利率

事实上，对于一个企业来说，真正给企业带来丰厚利润的顾客只占所有顾客中的20%，他们是企业的最佳顾客，赢利率是最高的，对这些顾客，企业应该提供特别的服务、折扣或奖励，并要保持足够的警惕，因为竞争对手也是瞄准这些顾客发动竞争攻击的。然而绝大多数的企业的顾客战略只是获取顾客，很少花精力去辨别和保护他们的最佳顾客，同时去除不良顾客；他们也很少花精力考虑到竞争者手中去策反顾客，增加产品和服务，来提高赢利率。利用企业数据库中的详细资料我们能够深入到信息的微观程度，加强顾客区分的统计技术，计算每位顾客的赢利率，然后去抢夺竞争者的最佳顾客，保护好自己的最佳顾客，培养自己极具潜力的顾客，驱逐自己最差的顾客。通用电气公司的消费者数据库能显示每个顾客的各种详细资料，保存了每次的交易记录。他们可以根据消费者购买公司家用电器的历史，来判断谁对公司和新式录象机感兴趣，能确认谁是公司的大买主，并给他们送上价值30美圆的小礼物，以换取他们对公司产生下一次的购买。

数据库营销是CRM的基础

CRM系统主要包括销售自动化（Sales Force Automation, SFA）、营销管理、客户服务和支持、客户呼叫中心、网络功能几个模块。它的实质是充分发挥市场、销售、服务三大部门的作用，并且使三个部门能充分共享顾客信息，打破各部门之间的信息堡垒的封锁，从而使各个部门以一个企业的整体形象出现在顾客面前。在企业前端CRM系统背后，其实就是一个功能强大的顾客服务数据库，存储了顾客的各种资料及交易行为，并能利用各种数学分析模型对这些数据进行深层次挖掘，对顾客的价值和赢利率进行分析。可见，在实施CRM过程中，将企业原有的顾客历史数据整理有序化，输入数据库，搭建好一个完整的数据库是基础（关系见图）。

3 网络时代CRM中的数据库营销

营销数据库和CRM把企业、经销商和维修站连成一体

在传统的企业结构中，要真正和顾客建立起持续、友好的个性化联系并不容易。原因很简单——技术上无法达到，观念上无法想像。比如说售后维修有时间地点的限制，难于提供24小时的即时服务；或者某个顾客的购买喜好只为单个销售人员所知，到了其他推广或售后服务人员那里就可能无法获得最适意的选择；一些基本顾客信息在不同部门的处理中需要不断重复，甚至发生数据丢失。更重要的是，销售人员往往仅从完成销售定额的角度出发，在销售过程中缺乏和后台支持人员的沟通，让顾客在购买之后才发现服务和产品性能并不象当初销售人员的描述那样，因而有上当受骗之感。这些常见的“企业病”都是由于企业的运作流程没有按照“以顾客为中心”的宗旨去设计实施，而是各部门从各部门自身的利益出发，多头出击的结果，在短期内即使可以赢得定单，却损害了与顾客的长期合作关系，最后仍然要由企业花费大量的时间和金钱来修补。

企业和经销商、特约维修站之间的联系，是一个“一荣俱荣，一损俱损”的共同体，这三者之间的维系的途径是什么呢？笔者觉得恰恰是顾客服务系统CRM，系统的前台是CRM，后台就是营销数据库。上海通用公司在2000年安装了由IBM公司提供的CRM系统，它把企业的客户服务部、经销商和特约维修站联成一体，当一位顾客反映所购的轿车有问题投诉到公司的客户服务部门时，工作人员马上能根据顾客的名字从数据库中调出相关资料，其购买的是什么型号、购买时间、所售的零售商、曾有的维修记录、当时由谁负责、判断出顾客反映问题的所属的质量类型，从而马上通过系统通知离顾客最近的维修站，同时进行跟踪记录，何时解决问题，顾客的满意度等，大大加快了对顾客投诉的响应时间，同时，能够节省大量的人力资源，把他们从日常数据采集转化为能够增殖的顾客服务。

假如没有这个系统，企业和各维修站、经销商是隔离的，同样一位顾客的投诉，不可能马上对问题的处理迅捷和有条理，公司的顾客顾客服务中心可能还要打电话、发传真了解在经销商、维修站里有关顾客的信息，如果资料不是很切确，还要反复的核对，期间的麻烦和效率可想而知。

基于Internet的数据库营销和CRM

如果想领导这个数字时代，就必须充分了解因特网，这样才能准确预测网络生活方式对你的产业意味着什么（见比尔·盖茨著《未来时速》）。现在许多企业所建立的网站，并没有站在电子商务的高度，仅仅当作自己企业的电子宣传栏，网上预订的产品也只是目录式的，没有产品直观的多媒体介绍。应该说还没有领会网络在商业中的本质价值，不理解网络所扮演的销售角色，最终使企业的网站变成孤岛。

将网站和公司的客户数据库连接起来，网站可以通过对顾客网页浏览的顺序、停留的时间长短为这位顾客建立个人档案，识别出具有相似浏览习惯的顾客。同时，电子商务前端的客户关系管理应该和企业的内部管理系统（ERP、SCM等）连接起来，不管客户从哪个渠道进来，都可以跟后台的企业管理系统连接起来。网站的一切工作都应围绕着顾客需求这一中心，要符合顾客的浏览习惯，充分考虑到顾客在网上可能碰到的困难时需要的帮助和技术支持；开展网上自助服务，顾客根据自己的意愿，随时随地的上网查询，自行解决自己遇到的问题，以帮助降低成本。可以为他（她）定制在线购物经验、定制广告、促销活动和直接提供销售报盘，辨别出具体的顾客偏好，以便提供改进的个人服务，海尔公司推出了“网上定制”，顾客进入海尔网站的主页面后，就可以清楚看到定制冰箱和定制电脑，以定制冰箱为例，消费者可以自己设计冰箱的外观色彩和内件配置，从而最大限度满足了顾客的个性化需求。从2000年8月海尔推出“定制冰箱”一个月时间，就从网上接到了多达100万台的要货订单。

4提高企业顾客信息能力的非技术因素

在设计数据库之前，首先让一组营销人员来明确公司的业务需要，所设计的数据库要包含哪些功能，简单的说，就是数据库能帮助营销人员去做什么。然后让一组管理信息系统的专业人员去实现相应的运作条件。在具体的开发实施中，这组营销人员和MIS专业人员共同协作（Team Approach），互相支持，使数据库开发顺利进行。 所设计的数据库应能够回答有关现有顾客或准顾客的特征和行为的特定问题（或查询）；能够在特定标准、营销事件(Marketing Events)或姓名评分模型(Name Scoring Models)的基础上挑选将来促销的对象姓名；能够跟踪促销结果并对反馈者和非反馈者进行顾客轮廓分析（Profiling）。

大多数公司建立营销数据库作为一种独立的应用，并首要的把他当作一种分析和促销的工具，但一个完全一体化的数据库系统完全将公司的业务、决策支持和营销系统，合并成一个单一的一体化的数据库应用形式，数据库营销是一个系统性的有创造力的整合的营销体系。

顾客竞争其实就是信息竞争，筹建营销数据库和CRM系统，根本的目的是为了提高企业的顾客信息能力，顾客信息能力的本质是企业的判断能力，即能够根据已有的事实判断那些未知因素将会具有怎样的价值，对企业未来的发展会产生怎样的影响。顾客信息能力已经是企业赖以生存的核心能力，它能贯彻到市场、销售、服务等各职能领域。

但是很多企业走入一个误区，在提高企业的信息能力上将近80%的资源投资在顾客数据库和网络系统建设上，忽视了企业信息能力除了技术以外，还有更重要的非技术因素，包括人才、文化观念、组织结构、领导艺术和战略观念。

41人才队伍

公司须组织一支均衡的信息队伍，其中包括：具有扎实业务 *** 作经验的人才；敏捷、富于创造性，最少受行业传统束缚的人才；来自IT并熟悉本行业务的人才；来自本行业并熟悉技术应用的人才；具有新环境销售潜力的人才；具有熟练的数学和统计才能的人才；在与客户交流环境中能熟练应用信息的人才。

42企业文化

营销数据库的实施虽然在形式上表现为一些软件包的组合、调试、安装、测试和运行，但是蕴藏于信息管理的核心的是一种新型的理念。实施CRM需要销售人员、市场推广人员、维修服务人员等等的全方位参与，如果不能得到他们的信赖和支持，再好的系统设计也不能发挥效力。公司要创造一种学习和创新的信息文化，努力使业务和信息技术部门之间的信息文化相互适应，评估人们在工作中对信息重要性的认识以及应用信息的能力。美国一家企业的经理对此有深刻的发现：“如果你留心观察一下周围那些在本行业中出类拔萃的企业，你就会发现他们在企业文化方面与众不同。”

43组织结构

留心观察一下，就会发现在现有的组织结构中，企业并不是单一的公司组织，而是由许多半自治部门组成。就象美国一家业务领先的银行经理指出：“每一个业务部门都有自己的技术支持，因此我们像六个竞争者在相互竞争。”在这种情况下，企业的每个业务部门之间没有分享顾客信息，形成了部门之间的信息壁垒，使得各部门无法协同工作，从共同的信息中获取更大的力量。企业必须建立明确的信息共享奖励机制，在部门之间经常举行群策会议，建立跨部门的联合小组专门从事信息开发，为各部门信息共享和建模作出明确预算，改变原有组织结构，根据信息价值创造规律创建信息流。

44领导艺术

企业要高度重视那些推动改革、创新和新的处事方式的人，这是企业改变行业惯例的开始。辨别企业中守旧的***员，对他们进行教育或进行更换，在每个管理层中寻找具有信息远见并勇于进行信息改革的人，从而在各项业务中加入信息指导。应该说，企业的高级管理层对企业信息转型的支持是企业提高信息能力的关键。

45战略观念

信息在传统上归入技术的范畴，在实施中也没有完全当作一种战略资产，围绕企业信息开发的大量资源很大程度上被用于信息管理而不是价值创造。随着企业意识到顾客信息的真正价值，企业的注意力从“管理信息”向“顾客信息”演化。制定顾客信息战略，对信息收集进行详细的规划，并开始系统化的信息收集工作，同时，筹建数据库，对收集到的信息整理存储，对已知信息的百分比进行评估并设法提高该比例，讨论其潜在的价值。利用数据库能准确统计出公司顾客数目，计算出各顾客贡献的利润，辨别哪些是公司顶级顾客等。

5 结束语

目前在我国，传统的营销方式仍占据着相当的地位，数据库营销只是对传统营销方式的补充和改变。但从长期看，数据库营销必将随着企业管理水平、尤其是营销管理水平的提升而得到创新使用。现在一些具有领先观念的企业如上海罗氏、通用汽车、广东美的已经建设了CRM系统。

随着经济的日益发展和信息技术对传统产业的改造，消费者的个性化需求的满足成为了可能，中国加入WTO以后，企业将面临更加严峻的形势，如何在这场强敌环饲的角力中胜出，需要全方位的提升企业的竞争力——特别是企业的客户信息能力，作为企业经营战略中非常重要的营销体制也必须吸收西方先进的营销理念和手段，革除传统营销模式的弊端，数据库营销是先进的营销理念和现代信息技术的结晶，必然是企业未来的选择。但中国企业首先要从客户数据库建设和营销做起，打好基础，革新观念，最终走向CRM。

以上就是关于软件系统设计中，到底是先设计出数据库中的表，还是先设计好数据流图啊全部的内容，包括:软件系统设计中，到底是先设计出数据库中的表，还是先设计好数据流图啊、在IT项目建设中，如何保证数据库安全性、谁知道营销网站数据库管理方面的知识啊．谢谢等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！