术业有专攻十篇

术业有专攻篇1

我对哈药不了解，但我知道中国试水直销的药业已经有好多家，如海王药业、天士力、三九、白云山等许多,但是可惜是做得好的不多,也可以讲没有一家，为什么？

现在中国市场做得好的企业除美商外，完美、李锦记、新时代、天狮等都不是药业和保健品公司，而是当时41家拿牌专业直销企业(当时叫传销)，这就不难看出，主要原因是:术业有专攻。这点不服气不行，为什么有许多企业做不大，就是太相信目前在市场当红的职业经理人，不知其功力，只是听说很有名，互联网时代包装几个人是容易的，但企业是亏不起的，成功的企业一定是一群自己人当企业主管，而且这些人都是直销行家。

说实在的，我在外企做了几年职业经理人年收入10万美元，我都觉得没法干了，主要是与市场的系统领导比，是他们许多人的一个月的收入，但是，国企又有几个给总监级10万美元年薪的呢？这是多年矛盾，企业不可能给一个空降的职业经理人超出他们企业子弟兵很高的年薪的。这样你不难发现优秀人材的大都在第一线战斗，而不是在职业经理人的位置上去“混”，虽然直销业有的职业经理人不算，但是这些人许多企业都请不起。

药业企业要做好直销，最重的是按照直销企业的规矩来，与传统的业务要做彻底的切割，重新打造成直销队伍，公司的办公场所分开是最理想的，不要为了省钱在一起办公。要注意，你企业中本来就有许多不支持你们开直销公司的观念落后者，他们不会支持新项目还会拆台，许多优秀的人才是被老板的家人和下属“气”走的。

企业不要搞平衡，直销业的主管没有白天黑夜，没有周末，他们得到的是应得，不要用传统思维去思考，直销人都是拚命三郎，否则他们也做不好直销职业经理人。

术业有专攻篇2

早期的长续航

说到联想手机的超长续航产品，就不得不提到P系列的鼻祖产品乐Phone P70。早在2011年，联想乐Phone P70以超长续航的特点杀出了智能手机的超长待机之路，在当年乐Phone P70的2000mAh超大电池容量让现如今的许多智能手机都会汗颜几分，加上联想独创的第一代“智恒”节电技术，让乐Phone P70实现了529小时之久的理论待机时长，这项超长续航特点也使得P系列的特点更加明显，也注定了P系列就是为智能手机超长续航而生的。除了早期的乐Phone P70给我们留下了长续航的深刻影响，后来的乐Phone P700也延续了这份精髓，首先是乐Phone P700内置2500mAh锂聚合物电池为硬件提供了绝佳的保证，加上乐Phone P700搭载了第二代“智恒”节电技术，包含多种智能节电模式可选，甚至还可以自定义省电模式，关于“智恒”的内在机制，大致就是手机在进行多任务工作时，将后台暂时不使用的APP对CPU的占用和电量功能降到最低值，尤其是当手机处在低电量时，可以给我们带来更持久的使用时长，同时，当手机处于室外、阳光下、夜晚等不同环境中，“智恒”节电技术可以智能控制屏幕亮度以及按键的背光开关，从而实现一个智能化的节能目的，这就是早期的长续航之路。

中期的长续航

随着智能手机硬件不断的革新，屏幕、摄像头、处理器等硬件配置的升级，使得功耗不得不被迫增加，一天一充也便成为了大多数智能手机的代名词，可是电池的容量处于安全的考虑，仍然处于不乐观的瓶颈状态。不过联想P系列并没有因此而停止对于大容量电池的运用，在经历了前几代的超长续航机型的研发后，联想在乐Phone P770上运用了3500mAh的大容量电池，同时将“智恒”节电技术升级到了第三代，打破了智能手机大容量电池的魔咒，使超长续航P系列有了一个质的飞跃，乐Phone P770这一代产品上的待机时长在联网的情况下达到了644小时的理论值，连续通话时长提升到了1749小时，这也验证了联想对“智恒”节电技术的执着坚定。最引以为傲的是在乐Phone P770上加入了OTG反向充电功能，也就是通过乐Phone P770可以为其它手机充电，这个时期的超长续航可畏是一省到底。

长续航之路让联想看到了如今智能手机用户的刚需，除了超长的续航，快速充电也是一项提升待机时长的方式，所以在第四代“智恒”节电技术上，联想为旗下的产品加入了快速充电功能，当然电池容量的提升并没有因此止步，在联想P70上我们看到了容量高达4000mAh的大容量电池，500mAh的容量提升看上去并不多，但是为了避免容量提升带来的安全隐患，背后付出的努力是巨大的。在联想P70上，待机时长提升到了1100小时，通话时长达到了2245小时，上网、媒体、游戏等应用的连续使用时长都上升到了新的高度，同时15分钟的快速充电功能也在联想P70上得到了运用。

如今的长续航

在第四代“智恒”节电技术上，我们看到了快充和4000mAh的电池容量，似乎已经无法想象下一代“智恒”节电技术会是什么样子的。但是联想依然给我们带来了惊喜，新一代的联想P1带来了翻天覆地的大改变，同时第五代“智恒Plus”蓄能节电体系问世，软硬件的配合更加极致。灵智、智屏、极智Pro使得联想P1实现了“超长待机，三天三夜不断电”的用户保障，灵智是指联想P1的5000mAh高密度锂聚合物电池，这是一块由一流厂商提供的高品质电池，安全隐患无须担心；智屏则代表的是联想P1的智能显示技术，通过独特的AD屏幕算法从而降低功耗，这块5.5英寸的全高清屏幕较传统5.5英寸全高清屏幕功耗降低了25%；极智Pro则是说硬件方面的省电模式，独特的硬件省电开关可以实现一键省电，告别传统的选择模式，可谓是1秒省电，同时在超级省电模式下独家支持Wi-Fi/数据连接，同时还可以加入3项自定义APP（如微博、微信、QQ等），告别省电模式的失联状态。除了第五代“智恒Plus”蓄能节电体系和硬件之间的无缝配合，联想P1还支持3倍速Rocket快充，通过内置的MCU充电管理芯片，最高可以实现24W的充电功率，是市面上独家支持5V、7V、9V、12V四电压智能切换的快充组合，而且无需特殊数据线的支持，全面兼容通用，依然支持OTF反向充电输出。在第五代“智恒Plus”蓄能节电体系和Rocket快充的加持下，联想P1使得P系列的产品在超长续航之路上越走越好，当然联想P1这一代产品并不只有待机这1个特点，指纹解锁、7模19频、金属机身……都是时下主流的搭配组合。

术业有专攻篇3

一、指导思想

农业专家人才服务基层助力脱贫攻坚行动，通过组织农业专家人才深入基层，围绕技术指导、技能培训、政策咨询、信息、成果转化、试点示范等内容，实行经常性精准精细服务，切实提高专家人才对贫困户产业发展的支撑力和贡献率，满足农业生产、农村发展、贫困户生活中的人才和技术需求，真正让“人才受锻炼、贫困户得实惠、扶贫产业快发展”。

二、参加对象

从农业系统选派基层社会发展急需、具有较强专业优势的人才到乡（镇）村（屯）等基层一线，开展多种形式的助力脱贫攻坚服务活动，尤其要向贫困村进行倾斜。

三、职责任务

成立组织，组建专家技术服务团队。以大力发展现代农业助力脱贫攻坚为主线，主动深入扶贫产业项目现场，通过办班培训、上门指导、技术服务、科技推广等形式，及时为贫困户、合作社负责人、基层农技人员、种养殖大户解决农业方面的技术难题。

责任单位：农业技术推广总站、农村新能源技术推广站、园艺特产服务站、水稻新技术推广办公室、农民科技教育中心、动物疫病预防控制中心、畜牧工作总站、兽药饲料技术服务中心、农业机械化技术推广站、粮油检验监测站、农村经济管理总站、水产技术推广站。

四、推进实施

人才助力脱贫攻坚服务活动分二个阶段进行。

第一阶段：2020年5月12日至2020年5月25日专家技术服务队成员深入乡镇村屯等基层一线开展服务活动，帮助脱贫攻坚一线解决实际问题和困难，并将活动相关图文资料整理归档。

第二阶段：2020年6月1日至2020年10月25日进行第二阶段服务活动。

五、组织领导

术业有专攻篇4

关键词：网络；VPN；金融；信息；安全

在现代金融行业里，计算机网络有着广泛全面的应用，现代金融管理正朝着电子化、信息化、网络安全化的方向在发展，尤其是网络信息安全化发展的VPN技术在现代金融行业管理中起着越来越重要的作用。

一、现代金融网络系统典型架构及其安全现状

就金融业目前的大部分网络应用而言，典型的省内网络结构一般是由一个总部（省级网络中心）和若干个地市分支机构、以及数量不等的合作伙伴和移动远程（拨号）用户所组成。除远程用户外，其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心，为金融机构中心服务所在地，同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样，包括远程拨号、专线、Internet等。

从省级和地市金融机构的互联方式来看，可以分为以下三种模式：（1）移动用户和远程机构用户通过拨号访问网络，拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式；（2）各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接；（3）合作伙伴（客户、供应商）局域网通过专线或公共网络与总部局域网连接。

由于各类金融机构网络系统均有其特定的发展历史，其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中，主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。

就网络信息系统安全而言，目前金融机构的安全防范机制仍然是脆弱的，一般金融机构仅利用了一些常规的安全防护措施，这些措施包括利用操作系统、数据库系统自身的安全设施；购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中，也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的，也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件，这些软件通常仅具备一些基本的安全功能，而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性，如考虑不周很容易留下安全漏洞。此外，金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障，Internet服务提供商（ISP）采取的安全手段都是为了保护他们自身和他们核心服务的可靠性，而不是保护他们的客户不被攻击，他们对于你的安全问题的反应可能是提供建议，也可能是尽力帮助，或者只是关闭你的连接直到你恢复正常。因此，总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别，有的甚至对于一些常规的攻击手段也无法抵御，这些都是金融管理信息系统亟待解决的安全问题。

二、现代金融网络面临的威胁及安全需求

目前金融系统存在的网络安全威胁，就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类，而实施安全攻击的人员则可能是外部人员，也可能是机构内部人员。

针对信息的攻击是最常见的攻击行为，信息攻击是针对处于传输和存储形态的信息进行的，其攻击地点既可以在局域网内，也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性，攻击者可以不动声色地窃取并利用信息，而无虑被发现；犯罪者也可以在积聚足够的信息后骤起发难，进行敲诈勒索。此类案件见诸报端层出不穷，而未公开案例与之相比更是数以倍数。

利用系统（包括操作系统、支撑软件及应用系统）固有的或系统配置及管理过程中的安全漏洞，穿透或绕过安全设施的防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台，为了照顾使用的方便性而忽略了安全性，导致许多安全漏洞的产生，如果再考虑到某些软件供应商出于政治或经济的目的，可能在系统中预留“后门”，因此必须采用有效的技术手段加以预防。

针对使用者的攻击是一种看似困难却普遍存在的攻击途径，攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点，通过种种手段窃取系统权限，通过合法程序来达到非法目的，并可在事后嫁祸他人或毁灭证据，导致此类攻击难以取证。

针对资源的攻击是以各种手段耗尽系统某一资源，使之丧失继续提供服务的能力，因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击，即攻击者利用其所控制的成百上千个系统同时发起攻击，迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构，尤其是Internet以及TCP/IP协议的固有缺陷，因此在网络的基础设施没有得到大的改进前，难以彻底解决。

金融的安全需求安全包括五个基本要素：机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题，即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有：传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。

必须指出：网络信息系统是由人参与的信息环境，建立良好的安全组织和管理是首要的安全需求，也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。

三、网络安全基本技术与VPN技术

解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护，抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。

密码技术是实现网络安全的最有效的技术之一，实际上，数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下，数据加密是保证信息机密性的唯一方法。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法，这使得它能以较小的代价提供很强的安全保护，在现代金融的网络安全的应用上起着非常关键的作用。

虚拟专用网络（VPN：VirtualPrivateNetwork）技术就是在网络层通过数据包封装技术和密码技术，使数据包在公共网络中通过“加密管道”传播，从而在公共网络中建立起安全的“专用”网络。利用VPN技术，金融机构只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相安全的传递信息；另外，金融机构还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全的连接进入金融机构网络中，进行各类网络结算和汇兑。

综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术，并通过适当的密钥管理机制，在公共的网络基础设施上建立安全的虚拟专用网络系统，可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统，采用VPN技术可以在不影响现行业务系统正常运行的前提下，极大地提高系统的安全性能，是一种较为理想的基础解决方案。

当今VPN技术中对数据包的加解密一般应用在网络层（对于TCP/IP网络，发生在IP层），从而既克服了传统的链（线）路加密技术对通讯方式、传输介质、传输协议依赖性高，适应性差，无统一标准等缺陷，又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题，使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势，成为目前和今后金融安全网络发展的一个必然趋势。

从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络（VPDN）。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网；虚拟专用拨号网络是使用电话拨号（PPP拨号）上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议应该具备以下条件：保证数据的真实性，通讯主机必须是经过授权的，要有抵抗地址假冒（IPSpoofing）的能力。保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。保证通道的机密性，提供强有力的加密手段，必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。

针对现行的金融机构的网络信息安全，VPN具有以下优点：（1）降低成本。不必租用长途专线建设专网，不必大量的网络维护人员和设备投资；（2）容易扩展。网络路由设备配置简单，无需增加太多的设备，省时省钱；（3）完全控制主动权。VPN上的设施和服务完全掌握在金融机构自己的手中。比方说，金融机构可以把拨号访问交给网络服务商（NSP）去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

综上所述，VPN技术使金融行业各部门的内部信息可以跨越公共网络进行传输，如同在各金融机构各部门之间架起众多的“虚拟专用”的网络连接线，同时，VPN为每个用户定义出各自相应的网络空间，根据使用者的身份和权限，直接将他们引导到应该接触的信息环境中去，针对目前金融管理的信息安全存在的隐患，VPN技术可以弥补这些缺点。VPN作为广域网的一种新形式，确实为金融行业在新世纪提供了一个系统实用的技术平台。总之，VPN技术拥有很吸引人的优点，随着VPN技术发展的不断完善，在未来的金融管理信息安全领域里，将会起着至关重要的作用。

参考文献：

1．戴相龙，桂世镛．中国金融改革与发展．北京：中国金融出版社，2000．

术业有专攻篇5

【 关键词 】 高级隐遁技术；高级持续性攻击；检测方法

China’s Situation of Protection Techniques against Special Network Attacks

Xu Jin-wei

（The Chinese PLA Zongcan a Research Institute Beijing 100091）

【 Abstract 】 By the end of 2013，the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit， the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks， as an inspiration to the colleagues？and units in the information security industry.

【 Keywords 】 advanced evasion techniques； advanced persistent threat； detection methods

1 引言

2010年发生的“震网”病毒对伊朗布什尔核电站离心机的攻击和2013年的“斯诺登”事件，标志着信息安全进入了一个全新的时代：新型攻击者（国家组织的专业团队），采用全新的方式（APT[注1]）攻击国家的重要基础设施。

APT攻击因其采用了各种组合隐遁技术，具有极强的隐蔽攻击能力，传统的依赖攻击特征库比对模式的IDS/IPS无法检测到它的存在，APT攻击得手后并不马上进行破坏的特性更是难以发觉。它甚至能在重要基础网络中自由进出长时间潜伏进行侦察活动，一旦时机成熟即可通过在正常网络通道中构筑的隐蔽通道盗取机密资料或进行目标破坏活动，APT的出现给网络安全带来了极大危害。目前在西方先进国家，APT攻击已经成为国家网络安全防御战略的重要环节。例如，美国国防部的High Level网络作战原则中，明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。

从资料中得知，国外有些著名的信息安全厂商和研究机构，例如美国电信公司Verizon Business的ICSA实验室，芬兰的Stonesoft公司几年前就开展了高级隐遁技术的研究；2013年美国的网络安全公司FireEye（FEYE）受到市场追捧，因为FireEye能够解决两大真正的安全难题――能够阻止那种许多公司此前无法阻止的网络攻击，即所谓的“零天（Zeroday）”攻击和“高级持续性威胁（APT）”。零天攻击是指利用软件厂商还未发现的软件漏洞来发动网络攻击，也就是说，黑客在发现漏洞的当天就发动攻击，而不会有延迟到后几天再发动攻击，软件厂商甚至都来不及修复这些漏洞。高级持续性威胁则是由那些想进入特殊网络的黑客所发动的一系列攻击。FireEye的安全应用整合了硬件和软件功能，可实时通过在一个保护区来运行可疑代码或打开可疑电子邮件的方式来查看这些可疑代码或可疑电子邮件的行为，进而发现黑客的攻击行为。

APT攻击的方式和危害后果引起了我国信息安全管理机构和信息安全专业检测及应急支援队伍的高度重视。国家发改委在关于组织实施2013年信息安全专项通知中的 “信息安全产品产业化”项目中，首次明确指明“高级可持续威胁（APT）安全监测产品”是支持重点产品之一。我国的众多信息安全厂商到底有没有掌握检测和防护APT的技术手段？2013年底，带着这个疑问专门走访了几家对此有研究和技术积累的公司，听取了他们近年来在研究防护APT攻击方面所取得的成果介绍，并与技术人员进行了技术交流。

2 高级隐遁技术（AET[注2]）

根据IMB X-force小组针对2011年典型攻击情况的采样分析调查，如图1所示可以看出，有许多的攻击是未知（Unknown）原因的攻击。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明确提出了利用先进技术逃避网络安全设备检查的事件越来越多。同时，NSS Lab最新的IPS测试标准《NSS Labs ips group 渗透测试工具t methodology v6.2》，已经把layered evasion（也就是AET）作为必须的测试项。

结合近年情况，各国基础网络和重要信息系统所面临的最新和最大的信息安全问题，即APT攻击，我们相信高级隐遁技术有可能已经在APT中被黑客广泛采用。

目前，各企事业单位为了应对网络外部攻击威胁，均在网络边界部署了入侵检测系统（简称IDS）和入侵防御系统（简称IPS），这些措施确实有效地保护了企业内部网络的安全。黑客们为了试图逃避IPS这类系统的检测，使用了大量的逃避技术。近年来，国外信息安全机构发现了一套新型逃避技术，即将以前的逃避技术进行各种新的组合，以增加IPS对入侵检测的难度。这些新型逃避技术，我们称之为高级隐遁技术（AET）。AET可利用协议的弱点以及网络通信的随意性，从而使逃避技术的数量呈指数级增长，这些技术的出现对信息安全而言无疑是个新的挑战。

使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理：包含AET攻击代码的非常规IP数据流首先躲避过IDS/IPS的检测，悄悄渗透到企业网中；之后，这些数据流被用规范方式重新组装成包并被发送至目标终端上。以上过程看似正常，但这样的IP包经目标终端翻译后，则会形成一个可攻击终端系统的漏洞利用程序，从而给企业的信息资源造成大规模破坏，只留下少量或根本不会留下任何审计数据痕迹，这类攻击就是所谓的隐遁攻击。

2.1 常见的高级隐遁技术攻击方法

常见的高级隐遁技术攻击方法有字符串混淆、加密和隧道、碎片技术和协议的违规。这些仅列举了TCP协议某层的几种隐遁攻击的技术，实际上高级隐遁技术千变万化，种类叠加后更是天文数字。

2.2 高级隐遁技术的测试

为了研究AET的特点，研发AET检测、防护工具，国内有必要搭建自己的高级隐遁监测审计平台来对现有的网络安全设备进行测试和分析，并根据检测结果来改进或重新部署现有网络中的网络安全设备。

国内某信息安全公司最近研制成功一款专门针对高级隐遁技术测试的工具CNGate-TES。CNGate-TES有针对CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各种组合、叠加隐遁模拟的测试工具，从IP、TCP、NetBios、SMB、MSRPC、HTTP等各层都有自己相应的隐遁技术。各个层之间的隐遁可以互相叠加组合，同一层内的隐遁技术也可以互相叠加组合。

测试的目的是检验网络中的IDS/IPS是否具备检测和防护AET的能力。

CNGate-TES测试环境部署如图2所示。

3 下一代威胁与 APT

下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式（未知漏洞利用、已知漏洞变形、特种木马等），组合各种其他手段（社会工程、钓鱼、供应链植入等），有针对性地对目标发起的攻击。这种攻击模式能有效穿透大多数公司的内网防御体系，攻击者成功控制了内网主机之后，再进行内部渗透或收集信息。

对信息系统的下一代威胁和特征有几点。

0DAY漏洞威胁：0DAY漏洞由于系统还未修补，而大多数用户、厂商也不知道漏洞的存在，因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞，但由于补丁修复不普遍（如第三方软件），通过变形绕过现有基于签名的检测体系而发起攻击的案例。

多态病毒木马威胁：已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马，而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马，他们可以绕过现有基于签名的检测体系发起攻击。

混合性威胁：攻击者混合多种路径、手段和目标来发起攻击，如果防御体系中存在着一个薄弱点就会被攻破，而现有安全防御体系之间缺乏关联而是独立防御，即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。

定向攻击威胁：攻击者发起针对具体目标的攻击，大多数情况下是从邮件、IM、SNS发起，因为这些系统账户背后标记的都是一个真实固定的人，而定向到人与他周边的关系，是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起，并和多种渗透手段组合起来，就是一种APT攻击，不过定向攻击也有大范围发起的，这种情况下攻击者出于成本和曝光风险考虑，攻击者往往使用已知的安全漏洞来大规模发起，用于撒网和捞鱼（攻击一大片潜在受害者，再从成功攻击中查找有价值目标或作为APT攻击的渗透路径点）。

高级持续性威胁： APT是以上各种手段（甚至包括传统间谍等非IT技术手段）的组合，是威胁中最可怕的威胁。APT是由黑客团队精心策划，为了达成即定的目标，长期持续的攻击行为。攻击者一旦攻入系统，会长期持续的控制、窃取系统信息，关键时也可能大范围破坏系统，会给受害者带来重大的损失（但受害者可能浑然不知）。APT攻击，其实是一种网络情报、间谍和军事行为。很多时候，APT都具有国家和有政治目的组织的背景，但为了商业、知识产权和经济目的的APT攻击，也不少见。

3.1 APT攻击过程和技术手段

APT攻击可以分为大的三个环节，每个环节具体的工作内容，如图3所示。

在攻击前奏环节，攻击者主要是做入侵前的准备工作。主要是收集信息：了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息，用于指导制定入侵方案，开发特定的攻击工具。在收集信息时，攻击者可以利用多种方式来收集信息，主要有网络公开信息收集、钓鱼收集、人肉搜集、嗅探、扫描等，信息收集是贯穿全攻击生命周期的，攻击者在攻击计划中每获得一个新的控制点，就能掌握更多的信息，指导后续的攻击。

技术准备：根据获取的信息，攻击者做相应的技术准备，主要有入侵路径设计并选定初始目标，寻找漏洞和可利用代码及木马（漏洞、利用代码和木马，我们统称为攻击负载），选择控制服务器和跳板。

周边渗透准备：入侵实际攻击目标可信的外部用户主机、外部用户的各种系统账户、外部服务器、外部基础设施等。

在入侵实施环节，攻击者针对实际的攻击目标，展开攻击；主要内容有攻击者利用常规的手段，将恶意代码植入到系统中；常见的做法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标，利用缺陷入侵、漏洞入侵、通过社会工程入侵、通过供应链植入等。

SHELLCODE执行：大多数情况攻击者利用漏洞触发成功后，攻击者可以在漏洞触发的应用母体内执行一段特定的代码（由于这段代码在受信应用空间内执行，很难被检测），实现提权并植入木马。

木马植入：木马植入方式有远程下载植入、绑定文档植入、绑定程序植入、激活后门和冬眠木马。

渗透提权：攻击者控制了内网某个用户的一台主机控制权之后，还需要在内部继续进行渗透和提权，最终逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上，到此攻击者已经成功完成了入侵。

在后续攻击环节，攻击者窃取大量的信息资产或进行破坏，同时还在内部进行深度的渗透以保证发现后难以全部清除，主要环节有价值信息收集、传送与控制、等待与破坏；一些破坏性木马，不需要传送和控制，就可以进行长期潜伏和等待，并按照事先确定的逻辑条件，触发破坏流程，如震网，探测到是伊朗核电站的离心机环境，就触发了修改离心机转速的破坏活动，导致1000台离心机瘫痪。

深度渗透：攻击者为了长期控制，保证被受害者发现后还能复活，攻击者会渗透周边的一些机器，然后植入木马。

痕迹抹除：为了避免被发现，攻击者需要做很多痕迹抹除的工作，主要是销毁一些日志，躲避一些常规的检测手段等。

3.2 APT检测方法

随着APT攻击被各国重视以来，一些国际安全厂商逐步提出了一些新的检测技术并用于产品中，并且取得了良好的效果，这些检测技术主要有两种。

虚拟执行分析检测：通过在虚拟机上执行检测对抗，基于运行行为来判定攻击。这种检测技术原理和主动防御类似，但由于不影响用户使用，可以采用更深更强的防绕过技术和在虚拟机下层进行检测。另外，可疑可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。

内容无签名算法检测：针对内容深度分析发现可疑特征，再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究，并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本，降低虚拟执行分析检测的性能压力，同时虚拟执行分析检测容易被对抗，而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。

国内某公司总结了近年来对APT攻击特点的研究和检测实践，提出了建立新一代安全检测体系的设想。

3.2.1基于攻击生命周期的纵深检测体系

从攻击者发起的攻击生命周期角度，可以建立一个纵深检测体系，覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过，也可以在后续的点进行补充，让攻击者很难整体逃逸检测。

信息收集环节的检测：攻击者在这个环节，会进行扫描、钓鱼邮件等类型的刺探活动，这些刺探活动的信息传递到受害者网络环境中，因此可以去识别这类的行为来发现攻击准备。

入侵实施环节的检测：攻击者在这个环节，会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中，因此可以去识别这类的行为和载体来发现攻击发起。

木马植入环节：攻击者在这个环节，会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。

控制窃取与渗透环节：攻击者在这个环节，会收集敏感信息，传递敏感信息出去，与控制服务器通讯，在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。

3.2.2基于信息来源的多覆盖检测

从攻击者可能采用的攻击路径的角度，可以建立一个覆盖广泛的检测体系，覆盖攻击者攻击的主要路径。这样避免存在很大的空区让攻击者绕过，同时增加信息的来源度进行检测。

从攻击载体角度覆盖：攻击者发起攻击的内容载体主要包括：数据文件、可执行文件、URL、HTML、数据报文等，主要发起来源的载体包括邮件、HTTP流量和下载、IM通讯、FTP下载、P2P通讯。

双向流量覆盖：攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节，则包含了双向的流量。对内部到外部的流量的检测，可以发现入侵成功信息和潜在可疑已被入侵的主机等信息。

从攻击类型角度覆盖：覆盖主要的可以到达企业内容的攻击类型，包括但不限于基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、进行信息收集的恶意程序的窃取、扫描、嗅探等。

从信息来源角度覆盖：主要覆盖网络流来收集流量，但是考虑到加密流量、移动介质带入的攻击等方式，还需要补充客户端检测机制。同时为了发现更多的可疑点，针对主机的日志挖掘，也是一个非常重要的信息补充。

3.2.3基于攻击载体的多维度检测

针对每个具体攻击载体点的检测，则需要考虑多维度的深度检测机制，保证攻击者难以逃过检测。

基于签名的检测：采用传统的签名技术，可以快速识别一些已知的威胁。

基于深度内容的检测：通过对深度内容的分析，发现可能会导致危害的内容，或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术，让攻击者很难逃逸，但是又可以有效筛选样本，降低后续其他深度分析的工作量。

基于虚拟行为的检测：通过在沙箱中，虚拟执行漏洞触发、木马执行、行为判定的检测技术，可以分析和判定相关威胁。

基于事件关联的检测：可以从网络和主机异常行为事件角度，通过分析异常事件与发现的可疑内容事件的时间关联，辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。

基于全局数据分析的检测：通过全局收集攻击样本并分析，可以获得攻击者全局资源的信息，如攻击者控制服务器、协议特征、攻击发起方式，这些信息又可以用于对攻击者的检测。

对抗处理与检测：另外需要考虑的就是，攻击者可以采用的对抗手段有哪些，被动的对抗手段（条件触发）可以通过哪些模拟环境手段仿真，主动的对抗手段（环境检测）可以通过哪些方式检测其对抗行为。

综上所述，新一代的威胁检测思想，就是由时间线（攻击的生命周期）、内容线（信息来源覆盖）、深度线（多维度检测），构成一个立体的网状检测体系，攻击者可能会饶过一个点或一个面的检测，但想全面地逃避掉检测，则非常困难。只有逐步实现了以上的检测体系，才是一个最终完备的可以应对下一代威胁（包括APT）的新一代安全检测体系。

4 结束语

结合目前我国防护特种网络攻击技术现状，针对AET和APT的防护提出三点建议。

一是国家信息安全主管部门应将高级隐遁攻击和APT技术研究列入年度信息安全专项，引导国内信息安全厂商重点开展针对高级隐遁攻击和高级持续性威胁的防御技术研发，推动我国具有自主知识产权的新一代IDS和IPS产品产业化。

二是有条件的网络安全设备厂商应建设网络攻防实验室，搭建仿真实验环境，对网络IDS/IPS进行高级隐遁技术和APT的攻防测试，收集此类攻击的案例，积累检测和防御此类攻击的方法和经验。

三是在业界成立“防御特种网络攻击”学术联盟，定期开展学术交流并尝试制定特网攻击应急响应的防护技术要求和检测标准。

[注1] APT（Advanced Persistent Threat）直译为高级持续性威胁。这种威胁的特点：一是具有极强的隐蔽能力和很强的针对性；二是一种长期而复杂的威胁方式。它通常使用特种攻击技术（包括高级隐遁技术）对目标进行长期的、不定期的探测（攻击）。

[注2] AET（Advanced Evasion Techniques），有的文章译为高级逃避技术、高级逃逸技术，笔者认为译为高级隐遁技术比较贴切，即说明采用这种技术的攻击不留痕迹，又可躲避IDS、IPS的检测和阻拦。

参考文献

[1] 关于防御高级逃逸技术攻击的专题报告.

[2] Mark Boltz、Mika Jalava、Jack Walsh（ICSA实验室）Stonesoft公司.高级逃逸技术-避开入侵防御技术的新方法和新组合 .

[3] 恶意代码综合监控系统技术白皮书.国都兴业信息审计系统技术（北京）有限公司.

[4] 杜跃进.从RSA2012看中国的网络安全差距.2012信息安全高级论坛.

[5] 张帅.APT攻击那些事.金山网络企业安全事业部.

[6] 徐金伟，徐圣凡.我国信息安全产业现状调研报告.2012.5.

[7] 徐金伟.我国专业公司网络流量监控技术现状. 2012.6.

[8] 北京科能腾达信息技术股份有限公司.CNGate-TES测试手册.

[9] 南京翰海源信息技术有限公司.星云2技术白皮书V1.0.

术业有专攻篇6

关键词：水电站；梯级调度网络；管理

1运行管理的安全原则

（1）制定并不断完善公司专用的安全策略。为了保护网络安全，最重要的事情就是编写安全策略，描述要保护的对象，保护的理由，以及如何保护它们。安全策略的内容最好具有可读性，同时，注意哪些是保密的，哪些是可以公开的。此外，应严格执行。最后，必须随时保持更新。

（2）安全防范应基于技术、动机和机会3个方面考虑，以减少攻击者的成功率。从技术上讲，系统应同时需要相当高的通用技术和专用技术，从而避免不同级别的人员滥用系统。攻击者的动机方面，应消除攻击者的满足程度，使其感到受挫。每次攻击失败时，安全系统让攻击者移动到网络系统的其它地方，使攻击者工作很辛苦。

（3）应尽可能少地向攻击者提供可攻击的机会。首先关闭不用或不常用的服务，需要时再打开。第二，访问控制权限的管理应合理。第三，系统应能自我监视，掌握违反策略的活动。第四，一旦发现问题，如果有补救措施，应立刻采用。第五，如果被保护的服务器不提供某种服务，如ftp，那么，应封锁ftp请求。

（4）安全只能通过自己进行严格的测试，才能达到较高的安全程度。因为每个人都可能犯错误，只有通过完善的安全测试，才能找到安全系统的不足。要做到主动防御和被动防御相结合，应能提前知道自己被攻击。如果知道自己被攻击，其实已经赢了一半。安全系统不但防御攻击者，同时防御他们的攻击。因为攻击者经常失败后就换个地方，再次实行新的攻击，因此，不但防御攻击的源地址，同时防御主机周围灵活选择的范围。

（5）战时和训练相结合，也就是说，主动防御必须严格测试，并不断改进。同时，安全软件的选择应基于应用的重要性和产品的更新周期，保证安全系统应能跟上新技术的发展。应经常维护、定期测试和检查防御系统的每一个部件，避免安全系统的能力退化。

（6）在企业内部，应让每一为员工都深刻理解安全是大家的事，不是口号，而是警告，安全和业务可能有冲突，最好能够得到领导和业务人员的理解和支持。安全管理过程中，对人员的信任应合理、明智，不能盲目信任。在企业的安全防御系统中，除了采用常规的防御方案，应尽可能采用一些适合行业特点的新方案，对攻击者而言，也就多了一层堡垒。要有运行规范，包括管理制度、审计评估、网络安全规划、工程管理、安全监督和灾难恢复。

2运行管理的组织结构

为实现整个梯级调度的网络安全，需要各种保证网络安全的手段。网络安全功能的实现，必须从安全管理功能和管理员的职责上结合。企业的调度中心的信息部门应成立安全系统运行小组管理整个安全系统的运行，负责完成全企业的安全系统总体运行方案的编制，负责安全管理中心的建设，制订全企业范围的安全管理规范，对相关人员进行基本培训，指导各电站（厂）完成其安全系统的运行。应有专人负责网络安全，成立网络安全管理组，其成员包括领导、系统管理员、网络工程师以及网络安全专家等组成。

3运行管理的培训支持

3.1建立安全教育培训体系

为企业建立信息安全教育培训的制度，包括安全教育政策制订、安全教育计划制订和安全教育实施支持方案。此外，文档包括《企业信息安全组织管理》、《企业信息安全人员岗位指南》和《企业信息安全教育培训体系》。

3.2提供教育培训课程

（1）安全基础培训。

对象：企业全部与网络安全相关的人员。

容：系统安全、网络安全及增强安全意识的重要性、主要网络安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施和商用安全产品分类等。

目标：增强系统管理员的安全意识，基本了解安全的实际要领，能够分辩出系统中存在的安全问题。

（2）unix/windows系统安全管理培训。

对象：公司安全相关的系统管理员。

内容：掌握unix/windows系统的安全策略，常见的攻击手段分析，各种流行安全工具的使用，在实验环境中实际编译、配置和使用各种安全工具。

目标：能够独立配置安全系统，独立维护unix/windows系统安全。在没有防火墙的情况下，使unix/windows系统得到有效的保护。

（3）防火墙、入侵检测、安全扫描、防病毒和加密等技术方面的培训课程。

对象：企业的安全运行和管理人员。

内容：安全软件和设备的基本概念和原理、作用与重要性、局限性、分类、安全设备安全策略、设计、自身的安全与日常维护、安全设备代表产品的演示和上机。

目标：了解internet防火墙的基本概念，基本原理和基本的设计方法。能够对安全设备作日常维护。能够根据系统需求，做出相应的安全设备设计。能够对现有安全产品有一定的了解。

要求：具有基本unix/windows， tcp/ip的知识，了解网络设计常识。

（4）安全开发培训课程。

对象：应用系统设计开发中与安全相关的人员。

内容：tcp/ip协议和传统socket编程、ipspoofing的详细剖析、stackoverflow的详细剖析、其他流行进攻方法ip sniff： sniff， deny of service，connection killing， ip hijacking等的解释、并配有实验。

目标：使系统管理员掌握黑客进攻的手段、原理和方法；并能在实际工作中保护系统的安全性。

3.3安全人员考核

协助企业建立信息安全人员考核体系，包括制订信息安全人员考核标准和建立安全相关人员定期的评估和考核制度。此外，文档包括《企业信息安全人员考核体系》。

4运行管理的技术服务

可选择一家正规的、专业的、技术实力较强的公司，长期面向企业提供安全运行的技术服务，具体来说包括：（1）在it行业，网络安全具有自己的特点，即黑客攻击随时可能进入，新病毒每天都在产生，也就是说，没有绝对安全，安全是一个不断完善的过程。（2）水电站的控制较复杂且系统很多，地域较广，而安全涉及到的产品也很多，集成商将它们实施后，必须有一个安全小组来负责安全的运行。（3）安全的运行也需要经验和规范，专业服务公司可以协助公司保证网络安全系统的成功运行。（4）企业的信息系统的建设过程中，新系统不断加入，需要对安全重新进行评估和漏洞扫描，找出问题，并及时给以解决。（5）安全的培训和宣传工作也很重要，工作量也是相当大的，最好有比较固定的人员和机构负责安全的培训。（6）安全产品包括软件和硬件，当产品升级时，公司最好及时升级，尤其是病毒防御。

企业所选择的专业安全服务公司的服务程序是：首先，从安全系统的实施开始介入，监督系统的可管理、可运行，保证系统可以从系统实施平滑到系统的运行。其次，安全相关的新技术和新产品的跟踪，并定期向企业报告，协助企业采用新技术和新产品。再次，完善企业的安全运行规范和制度，制定出一套适合企业的简洁的、实用的安全规范和制度，避免纸上谈兵。安全涉及的软硬件产品的技术支持，保证安全系统7x24运行。全产品升级过程中的方案设计、测试和技术支持。最后，整个安全系统运行过程中的风险管理，以及避免/降低和解决风险措施的制定。负责安全系统相关的培训工作，有计划、有目的地提高企业的安全意识和安全水平。

参考文献

[1]国家电力监管委员会.电网二次系统安全防护规定[s]，2005. 2. 1

术业有专攻篇7

安全专家将DDoS攻击称为攻击中的核武器，实现大面积的网络瘫痪，正是DDoS攻击的效果。而目前，DDoS攻击已然成为一个庞大的产业，只要有钱，甚至一个普通人都可以借助这些灰色产业的力量进行DDoS攻击。

DDoS，攻击中的战斗机

卡巴斯基实验室联合B2B International的调查显示，大多数企业认为收入和信誉受损是DDoS攻击可能造成的最具破坏性的后果。

随着安全意识的提高，多数企业对DDoS攻击的危害性的认识也逐步提高。但是很少有企业会量化DDoS攻击到底会造成多少伤害。来自卡巴斯基的调查分析显示，一个单个的DDoS攻击将对企业造成至少40万美元的伤害。

该统计数据来自27个国家和地区的3900名受访者，其中17%是员工数量在5000～50000人之间的大企业，12%的受访者是员工数量在1500～5000人之间的中型企业。另有25%的受访者的企业员工数量在250～1500人之间，剩下部分是企业员工数小于250人的小型企业。DDoS攻击造成61%的公司无法访问其关键业务信息，38%公司无法访问其关键业务，33%的受害者因此有商业合同或者合同上的损失。

遭遇攻击后，65%的公司会向IT安全专家咨询，49%的公司会支付资金来修改他们的IT基础设施，46%的受害者不得不咨询律师服务，还有41%的公司会投资保险业务。

而以上披露的仅仅是表层伤害，对于关键业务的破坏带来的严重后果以及声誉的损失有时候是不能够简单量化计算的。

不仅如此，来自不同领域的企业对于DDoS攻击的后果不同。例如，工业、电信以及电子商务和公共事业及能源企业更倾向于将信誉损失排在失去业务机会之前。而建筑和工程行业则更关注部署备份系统的成本，其原因可能是大型企业在使用这类系统时可能会面临较高的预算。

百度总裁张亚勤认为，网络安全领域正呈现出明显的全球化、物联化，以及非标准化的趋势。9月17日，在百度云加速3.0全球会现场，进行了一场迄今为止史上最大流量的DDoS攻防演练，成功抵御了峰值超过1Tbps的超高流量攻击。据了解，这次演练采用全SYN Flood流量型攻击，同时混合50万QPS的CC攻击。整个演练过程中模拟了多种专业手段，包括流量攻击与应用层攻击，从强度上也模拟攻击流量不断攀升、波动、区域流量变动、巨大流量突袭等各种形式。

从安全威胁本质来说，传统企业与互联网企业其实并没有不同，他们面对的安全威胁依旧是病毒、木马、SQL注入、缓冲区溢出、DDoS，最主要的区别在于业务特性的不同而造成的不同性质的安全问题。

对于传统企业来说，他们更多遇到的是Flood类型的DDoS，也就是以大流量的攻击为主，主要危害是滥用了企业带宽和服务器资源，造成内部办公和业务无法正常开展；而互联网企业一般都有较大的带宽、较多的分布式IDC和CDN，因此大流量攻击效果不是特别明显，所以主要的DDoS攻击是类似CC这样的应用层攻击，针对网站及后台数据库进行攻击，造成网站无法正常提供服务，互联网企业又是特别依赖网站，因此这种攻击带来的危害特别大。

在处理这些安全问题时，传统企业和互联网企业相同的部分在于他们都会采用一些专业的安全设备来进行防护，可以解决大多数常规安全威胁；不同的部分在于互联网企业的定制化需求更多，很多是一般通用的安全设备无法解决的，需要二次开发或自主研发一部分产品才能完全满足要求。

目前，防御DDoS攻击最有效的方法是在现有网络出口处部署DDoS防御设备，在攻击流量威胁到用户网络之前将其阻隔在外。

日益泛滥的DDoS攻击不仅给最终用户带来了巨大的损失，而且对网络的稳定运行也造成了严重威胁。

2014年11月28日，CSDN遭受到50Gbps的DDoS攻击，一度服务中断，短暂恢复后再次瘫痪；2014年12月10日，运营商DNS网络DDoS攻击事件爆发，从12月10日凌晨开始，现网监控到攻击流量突增的情况，到当日11点开始，攻击开始活跃，多个省份不断出现网页访问缓慢，甚至无法打开等情况；2014年12月20日～21日，部署在阿里云上的一家知名游戏公司遭遇了全球互联网史上最大的一次DDoS攻击，攻击持续了14个小时，攻击峰值流量达到每秒453.8G。

为确保网络的正常使用，以及业务顺利开展，近年来，运营商愈加重视DDoS防御设备的采购及部署。继中国电信集团对DDoS设备进行集采后，中国移动集团也于2014年底启动了2015年全年中国移动所有DDoS设备供应商的集中采购。

在互联网快速发展的今天，数十G甚至上百G的流量攻击愈来愈频繁，迪普科技大容量异常流量清洗设备的出现帮助运营商从容面对海量的流量攻击事件。通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速、深度数据包检测技术和先进的“指纹防护”等技术手段，深入识别隐藏在背景流量中的攻击报文，实现精确的流量识别和清洗，保证网络的安全畅通。

迪普科技凭借异常流量清洗设备采用大型框式设备、分布式架构，能够提供单块业务板40G处理能力、整机400G以上的清洗能力等优势特性，成为仅有的两家入围厂商之一。在实际使用过程中，异常流量清洗设备一般部署在汇聚层或核心层，因此除了单纯的防护能力以外，组网能力的高低决定了设备应用能力。迪普科技设备支持策略路由、MPLS VPN、MPLS LSP、GRE VPN、二层透传等各种回注方式，尤其在城域网当中，采用MPLS回注方式可避免在核心设备上进行频繁配置操作，保证网络性能，降低操作风险。

信息安全动起来

信息安全是一个动态的概念，也是一个广泛而复杂的课题，不可能做到一劳永逸，一般的企业依靠自身的技术力量无法根本解决，同时，各个行业对信息安全有不同的需求，必须进行具体的分析才能制定出适合自身要求的总体信息安全规划方案，专业安全咨询服务因此应运而生。它可以为用户提供专业的技术支持，如风险分析、策略优化、应急处理、渗透性测试等，目的是充分发挥安全产品的效能，确保业务的安全运营。

一方面，静态的安全产品不能解决所有的问题，静态安全产品的防护以及业务系统，都要面临实时动态更新的安全威胁与安全攻击。动态的安全服务已经成为信息安全工作的核心要素，通过定期的安全服务为静态安全产品策略细化、攻击特征的更新、业务系统的定期安全评估检查与规划，更好地为安全防护策略，安全解决方案提供依据。

另一方面，专业的安全服务可以更好地为用户创造价值。

在发达国家，专业安全咨询服务占信息安全行业市场的50%以上，但目前在我国的信息安全领域，安全服务市场还占不到整体行业的10%。2014年12月，IDC了2014年上半年中国网络安全市场分析报告，统计出2014年上半年中国IT安全硬件市场规模接近30亿元，并预计全年可达70亿元，据此估算，专业安全服务市场大有可为。遗憾的是，国内很多信息安全企业并未将安全服务业务作为重点，而是仍专注在传统的安全硬件与软件。

由此可见，信息安全问题不是一个独立的产品问题或技术问题，而是一个综合性问题。迪普科技一直以来倡导“应用即网络”理念也就是这个意思，所谓“应用”也涵盖了安全的内容。安全与网络是一体化的，没有安全就没有网络，没有网络也没有安全。在此基础上，再结合管理、制度、服务、运维等各方面，才能比较全面解决安全问题。

迪普科技安全产品部部长李瑞指出：“随着云计算、移动互联网技术对企业的一步步‘侵蚀’，企业的安全边界被彻底打破。面对如今复杂的安全形势，传统的安全解决方案早已过时，安全产品和解决方案需要具有下一代网络的性能和丰富特性、有面向下一代安全威胁的集成抵御能力、面向下一代云计算平台的虚拟化能力，同时需要具有基于专业安全咨询服务的下一代安全架构设计能力。”

联网进入云计算和大数据时代，服务器虚拟化和数据集中部署显著地改变了传统网络应用模式。飞速增长的数据和业务不仅使网络架构变得非常复杂，同时也面临网络安全、应用体验、业务持续可用等巨大挑战。

由于云计算应用的用户信息资源的高度集中，存在的风险以及带来的安全事件后果也较传统应用高出很多。与传统信息系统和网络环境相比，在以虚拟化技术为基础构建的公有云、私有云或混合云的信息系统中，增加了虚拟化平台、虚拟化管理平台、虚拟网络、虚拟机等系统和设备，这意味着，更多的攻击面和被攻击目标，复杂的云环境管理也将有更多几率造成由于管理配置不当而产生的安全问题。

传统网络安全的解决方案在云环境中的部署和实施受到了很大的限制，以物理硬件为主的安全防护产品不能够提供可随被保护计算资源同步弹性扩展的按需安全服务能力。面对云计算环境中众多颠覆传统安全思维的问题和挑战，安全厂商也纷纷给出了相应的解决方案和产品，迪普科技也不例外。

面向下一代云安全，迪普科技推出了全新安全技术理念DP xDefense，由此带来了云时代信息安全的新特征。

安全产品不再成为性能瓶颈。通过安全与网络深度融合，迪普科技支持虚机感知、大二层组网、MPLS VPN组网、IPv6等网络特性，实现网络与安全在管理、虚拟化、部署等方面的无缝融合，提供与网络融合的L2-7服务。另外，由于在IPv6中IPSec作为必备协议，迪普科技在保证了端到端通信安全性的同时，也加大了对防火墙、入侵检测与防御等安全防护技术的要求，因此下一代网络需要真正实现与安全和应用的紧耦合。

传统网络以连通性为核心构建，而新网络面向应用的智能与弹性承载，下一代安全威胁已由传统的病毒木马、系统漏洞、缓存溢出、SQL注入、XSS、0Day等转变为虚机安全、移动安全、APT攻击、大流量DDoS等。迪普科技通过基于虚拟环境的全新检测机制、APP-ID专业安全特征库、多业务板卡混合部署、L2-7业务流定义等特性，可有效针对下一代安全威胁进行实时、有效的防御。

针对不同的业务系统，迪普科技通过虚拟安全设备（VSA）可提供自定义的安全资源，无需部署独立的各类物理安全设备，在组网、管理、建设、灵活性、成本等方面都具有巨大的优势，满足业务灵活部署，以及虚机感知、资源池化和自动编排的要求，同时还具备云数据中心核心要求的架构简单、智能可靠及性能可扩展。将专业安全咨询产品化，提供安全评估类服务、总体规划设计类服务、安全运维类服务以及安全培训类服务，形成了一整套动态安全服务体系。

无独有偶，国内安全厂商以太信御网络科技有限公司（以下简称“以太信御”）近日推出了SecurityLink系列解决方案，而这一方案的核心是以BowlineBox硬件盒子的方式整合业务系统保护、ERP安全保护等安全组件，解决用户核心业务系统的数据安全。在以太信御看来，CEO、CFO、CIO的眼里企业是经营、企业是业务，把企业内外组织连接在一起的，是资金流、物流、信息流。BowlineBox通过应用创新，让业务实践与安全实践无缝集成。

第三平台时代到来

“棱镜门”事件的爆发震惊全球，也引发了人们对国外网络及安全产品的担忧。上海社科院信息研究所信息安全研究中心主任惠志斌表示，在大数据和云环境下，国家关键信息基础设施和重要数据资源高度积聚，面临系统漏洞、攻击渗透、人为泄露所带来的巨大风险，并且网络数据生成和传播更加智能实时，网络信息内容面临失察失控的风险，这关乎整个社会经济的健康发展乃至国家的安全稳定。他建议“国家应着重加强网络信息安全技术、产品和服务的战略规划和产业扶持，实现国内安全产业的跨越式发展”。

从IDC的《中国防火墙和统一威胁管理市场格局》报告可以看出，中国的IT开支正在以两位数的速度增长，全面超越日本，也成为仅次于美国的世界第二大IT支出市场，且增速远高于美国等发达国家成熟市场。但从信息安全投资比例的角度分析，中国信息安全投资占整体IT支出的比例仅为1%，而对比美国以及日本等发达国家的成熟市场差距较大。然而随着用户对信息安全需求的不断增加，以及政府的政策法规的驱动，中国信息安全市场未来潜力巨大、前景乐观。根据该报告显示，凭借在下一代威胁防护能力、L2-7层虚拟化、产品超高性能、下一代网络融合能力、创新研发能力等方面的优势，本土安全厂商迪普科技已位列领导者象限。

纵观中国整体信息安全的投资，其中安全硬件设备占比超过了一半份额，而防火墙硬件市场和统一威胁管理硬件市场总和占整个安全硬件市场的 65%，并且防火墙和统一威胁管理市场均保持快速增长。预计到2019 年，整体防火墙和统一威胁管理市场的复合增长率为 20%。

以移动设备和应用为核心，以云服务、移动宽带网络、大数据分析、社会化技术为依托的 IT 市场第三平台时代已经到来，引领未来的发展。

网络安全市场正呈现出以下特点：

・ 信息安全行业一直是政策重点扶持的行业，政策也一直是推动信息安全产业发展的第一动力。政府主导的自主可控战略将进一步促进防火墙以及统一威胁管理市场的增长。

术业有专攻篇8

关键词：网络攻防；课程建设；实践教学

中图分类号：G642 文献标识码：A

文章编号：1672-5913 (2007) 24-0049-03

1引言

“网络攻防技术”课程是我院近两年新开设的网络与安全方向工程硕士的一门专业选修课，是一门具有一定难度的课程，其特点是：

1) 涉及知识多，需要学生具有较好的专业知识基础；

2) 内容广泛，作为一门选修课，要想在32学时中把网络攻防技术全部学完、学好十分困难；

3) 实验难做，实验环境的建立需要投入较多的时间和精力，并且还要考虑并避免实验中对周围环境可能产生的影响。选修该课程的学生一般都对该课程有着浓厚的兴趣，但要在有限的学时和现有条件设备下达到较好的学习效果，还需要任课教师在教学内容和方法上进行研究和实践。几年来，笔者在这门课程的教学中，做了一些研究和实践，下面就该课程的建设谈谈个人的看法和体会。

2明确教学目的

只有明确了教学目的，才能“有的放矢”。本课程以黑客攻击步骤为线索向学生介绍黑客攻击各阶段常用的攻击方法、技术和工具，以及相应的防御方法和技术，并通过实践环节加强学生对相关技术和方法的理解，使学生较为全面地了解一般攻击步骤，理解常见的攻击技术，并掌握主要的安全防范技术，从而增强安全防范意识，为今后从事相关工作打下基础。教学目标在整个课程的教和学中起着指引作用，一切教学活动都应围绕教学目的来开展。

3根据教学目的设计编排教学内容

优化课程体系和改革教学内容是实现人才培养目标的基础。本课程依据我院“面向国际、面向企业、面向社会”的人才培养目标和要求，本着“厚基础、宽口径、强能力、高素质、广适应”的原则，制定了该课程的教学内容和教学计划。在制定教学计划过程中一方面注重该课程和其它课程的联系，另一方面也要努力避免不必要的重复和脱节现象。在教学内容方面，本着先进性与基础性相统一，深入性与广泛性相结合的原则，力求理论适中、实例丰富、系统性强，体现科学性、系统性、完整性，同时注意“与时俱进”，根据网络安全技术的新发展，将新知识、新理论和新技术不断充实到教学内容中，以适应学生综合素质的提高、创新思维和创新能力的培养。

目前网络安全类的很多课程存在内容陈旧、与其它课程内容重复较多，没有体现当今迅速发展的网络安全等诸多问题，不能满足信息时代新形势下网络信息安全专业学生的需要。鉴于以上不足，我们根据《网络攻防技术》课程自身的综合性和实践性强的特点，及其教学性质、教学目的和课时少等教学特点，对其教学内容进行设置。

首先，选修本课程的学生，应该已经学习过计算机网络、操作系统以及一门高级程序设计语言，因为黑客攻击会涉及到这些课程的很多知识，尤其是计算机网络方面的知识。如果没有这些基础，很多知识理解起来就会有一定困难。因此，没有学过这些课程的学生，如果想选修该课程，应首先对这些课程进行补课学习。

其次，由于典型的黑客攻击并不是一个简单的、一步到位的过程，很多时候，黑客需要综合使用多种技术，才能逐渐绕过目标系统的多层保护。“知己知彼，百战不殆”。因此，网络攻防技术应以黑客实施攻击的各阶段为线索进行介绍，这样学生能较清晰地认识黑客攻击的本质，学习效果也会更好。

该课程的主要内容设置情况如下：

第一章绪论部分，首先对目前互联网安全状况进行分析，介绍一些主要的安全术语、网络安全的基本需求，以及黑客与黑客文化，并融入思想道德和互联网法律法规教育，让学生树立这样的思想，即“黑客不光具有高超的技术和出众的能力，还要具有共享和正义的精神，真正的黑客不会随便破坏他人的系统，不会做违背社会道德和国家法律的事情”。

第二部分向学生简要介绍网络攻防中所涉及的基础知识，主要包括：计算机网络知识的简介，如TCP/IP协议、UDP、ARP、ICMP、DNS、服务与端口号等；典型系统漏洞与防范，如Windows和Linux系统的安全漏洞与安全机制。为了避免不同课程内容的重复，同时兼顾知识的系统性和整体性，这里把重点放在对容易被黑客利用的脆弱性的分析上，以便为下面的学习做好铺垫。

第三部分是本课程的重点，介绍黑客攻击技术及相应的防范对策。主要包括：攻击分类、攻击步骤、各步骤所使用的黑客技术原理和实例(如：扫描技术，网络监听与sniffer技术，密码攻击，电子欺骗攻击，拒绝服务攻击，缓冲溢出攻击，Web攻击，木马和后门技术，病毒技术等)，以及相应的防御策略，常见黑客工具和攻击发展趋势介绍等。对于较简单的、容易理解的攻击技术，点到为止，如密码攻击、社会工程学；对于重要的攻击技术和防范方法，要详细分析并通过实验来加深学生对该技术的认识和思考。

第四部分向学生介绍几种主要的安全技术，如密码学技术、防火墙技术、防病毒技术、入侵检测技术，重点放在这几种技术的工作原理，以及对能够解决和不能解决的安全问题分析上。另外，简要介绍几种新出现的安全技术和未来网络安全技术的发展趋势等。

第五部分是综合案例研究，需要教师平时注意收集这方面的案例，同时鼓励学生结合自己工作实际上讲台介绍自己身边的案例，通过案例研究让学生自己得出相应的结论，比如，对于某种入侵如何做到防患于未然，发生了入侵又该如何应对等等。

4采取形式多样的教学方法和手段，激发学生的积极性

“网络攻防技术”课程是一门综合性、实践性都很强的课程，在课堂上需要教师发挥以学生为主体的引导作用。通过“讲课+课堂演示+课堂讨论+实验”四个环节，采用多样的课堂形式和案例，激发学生的学习兴趣和自主学习的积极性，提高学生综合应用知识的能力。课堂演示在虚拟机构成的网络环境下进行，这样一方面减少了演示实验可能对教师机产生的破坏，另一方面也方便了教师操作演示，节约了有限的课堂时间和硬件资源。另外，建立课程的FTP站点，把教学大纲、课件、实验、习题及答案、学习资料等教学相关的材料分门别类挂在FTP上，帮助同学们课余自学；并把教师的E-mail地址公布给学生，方便师生间的交流。同时，建议学生相应地采用“听课+课下查资料+交流+实践”的方法进行学习。这种多元化的教学形式，有效提高了教学效率和学习效果。

对于本课程的主要内容，每次课给大家留几个课堂讨论的主题(基础好的学生也可自己选择题目)，作为作业由学生在课下准备，要求每人准备10分钟左右的发言。作业采取课堂发言和提交报告的形式进行检查，通过课后收集资料和课堂讨论，进一步加深学生对攻击的认识和了解，使其掌握相应的攻击防范技术和方法。

恰当的考核目标和考核形式，不仅可以科学地检测教学效果，更能够有效地引导学生完成各个学习环节中的任务。为了充分调动学生参与课程的积极性，采用闭卷考试与实验、作业相结合的形式对其学习效果进行考核，即最后考试成绩 = 笔试(40%)+ 实验(30%)+ 作业(30%)。其中，笔试部分主要考查学生对基本概念和知识的理解；实验部分包括实验结果演示和说明、以及实验报告；作业以调研报告的形式布置下去，资料收集情况和课堂发言情况各占15%。这种考核方式不仅较全面地考查了学生利用所学知识解决实际问题的能力，而且能够激发学生学习的积极性和创新精神。

5做好实践环节的设计

网络信息安全是一个整体概念，并且在实际生活中专业技术人员经常需要解决综合性问题，因此需要培养学生综合的应用技能。传统教学的实验内容通常比较单一，不同实验之间相对独立，缺少综合性实验。因此，在本课程的学习中，除了针对典型攻击或防御技术，设计一些小实验让学生课下自己亲自动手实验外，在课程全部内容学习完成后，还给学生布置一个网络攻防综合实验，通过这些实验加深学生对知识的理解和认识。这里应当注意的是，在课堂以外，应弱化教师的主导地位，强化学生的主体作用，教师可以平等的姿态，以参与者的身份同学生一起参加这些实践活动，共同探讨问题的解决方案。

为了防止实验可能给周围环境带来的影响和破坏，学生可以在由虚拟机搭建的局域网环境中进行实验。通过模拟攻击过程，让学生进一步了解该种攻击的工作原理，并探索针对该攻击的有效防御措施。学生可以自由选择自己熟悉或感兴趣的某种攻击，利用现有的攻击软件，对虚拟机搭建的局域网中的一台主机进行入侵，观察被攻击主机的异常情况，并进行记录；通过观察主机对攻击的反应，研究该攻击的工作原理，并针对该攻击设计防御体系；部署防御体系，再次对该主机进行攻击，验证其防御体系是否可靠。

在实验中，学生自由组合成2~3人的小组，分工协作，共同完成该实验，从而培养学生的合作与团队精神；同时各个小组完成实验后向大家介绍实验情况，并提交实验报告，报告中要求写明实验人员的分工情况。

为了不妨碍大家的积极性和创新性，对于该实验的具体内容，对学生并不作硬性要求，只要是涉及网络上攻和防两方面的实验均可。在这次综合实验中，有个小组模拟了木马的安装过程，并提出了对该种木马的检测、清除和防范方法；另有3名学生没有使用虚拟局域网，而是结合自己实际工作，通过扫描工具对自己单位的网站进行扫描，发现了单位网页上存在的SQL注入漏洞问题，并进行了修补，排除了该漏洞给本单位可能带来的隐患。后来这几名同学庆幸地告诉我，多亏选修了这门课程，让他们利用所学知识帮他们单位网站排除了一大隐患。通过综合实验，每个小组都有很大收获，并谈了自己的心得体会。

6重视教材的选择和建设

好的教材有利于学生课后自学和知识深化。目前，由于一直没有找到一本适用的教材，所以授课内容主要来自两本书的综合和提炼：一本是Ed Skoudis编写的《反击黑客》，由机械工业出版社出版，这本书把黑客攻击划分为五个阶段，并按这五个阶段对黑客常用的技术及相应的防范方法进行介绍；另一本书是卿斯汉和蒋建春编著的《网络攻防技术原理与实战》，由科学出版社出版，该书将攻击分为七个阶段，按阶段罗列出了黑客所使用的各种技术或方法。另外，在演示实验上主要参考了另外两本书的内容，即陈三堰、沈阳编著的《网络攻防技术与实践》，由科学出版社出版；邓吉、柳靖编著的《黑客攻防实战详解》，由电子工业出版社出版。将这些书推荐给学生，由学生课下自由选择和学习。

鉴于目前缺少针对专业教学编著的《网络攻防技术》教材，而且现有的很多网络攻防方面的书籍都把重点放在了黑客攻击技术和手法上，“防”的方面涉及较少，也不详细，因此有必要针对该专业的实际情况和教学目标编写一本适合网络信息安全专业的《网络攻防技术》教材。教材的编写应面向就业和社会需求，在传授知识和方法的同时，注重对学生实际应用能力和创新能力的激励和培养。

7结束语

“网络攻防技术”课程围绕黑客行为、动机和入侵手段，研究了相应的防范对策和技术，重点在于培养学生认识黑客行为和增强安全防范的能力。课程中所涉及的内容发展很快，教师应当紧跟计算机网络技术发展的步伐，并根据社会发展的需要不断更新自己的教学内容。此外，在教授理论和方法的同时，还应重视学生实际应用能力的培养。

课程建设是高等学校教学基本建设，是提高教学质量的中心环节。搞好课程建设是深入开展教育教学改革的需要，是提高教学质量的根本保证。因此，我们还要加大力度进行课程的教学改革和创新，力求培养出更多具有较强动手能力和创新精神的社会实用性人才。

Research and Practice on the Course Construction of “Technology of Network Attack and Defense”

Abstract: Based on the characteristics of the course of network attack and defense technology, this paper research and practice on teaching contents, teaching methods, practice aspects and teaching materials construction according to teaching goals, and gave some opinions and experience.

Keywords: network attack and defense, course construction

参考文献

[1] 张然等. 网络信息安全专业人才培养模式探讨[J]. 信息技术，2007，(24).

[2] 郑莉. 课程建设解决方案探讨[J]. 计算机教育，2007，(6).

作者简介：

张然，女，博士，讲师，主要研究方向为计算机网络与网络安全

E-mail：

术业有专攻篇9

工作室先后被授予全国机械冶金建材系统“创新工作室”、黑龙江省“工人先锋号”、黑龙江省“高技能人才创新工作室”；哈尔滨市“高技能人才创新工作室”等称号。

合理的组织管理、完善的制度措施为工作室有效运行奠下了坚实的基础保证

创新工作室在哈电工会的统一要求下，在组织管理方面：成立了由专业条线管理人员组成的管理小组，设立了专门的活动场所及培训设备，制定了详细的管理规范、工作流程以及奖惩制度，保证了高技能人才创新工作室有效、高效的运行；在运行模式方面：采取个人或工作组立项、不同专业组自由组合立项、跨部门多学科立项的方式，通过与工艺、设计等专业的专家联合，有效的提升了工作室整体的理论水平，为攻关和创新提供了有力后盾；在梯队建设方面：根据不同时期需求广泛吸收优秀人才参与项目研讨，提高了后备人才队伍整体素质，5个专业组由最初的12名成员扩展为目前的38名；在培养考核方面：配合培训体系建设，建立各种专业培训与考核培训班20多个，培训人次2000余人次，完成了“名师带高徒”考核、全工种考核题库编制、一专多能人才培养、岗位晋级考试、主副操重新评聘、技术派遣人员转正考核等工作，搭建了复合型人才培养平台；在评价体系方面：制订了标准严格规范的评审流程，从创新程度、推广应用、解决问题、价值效益四个方面保证了项目评审的准确、公正、公平、公开；在效能推广方面：依托质量诊断专家组制定20多项典型质量保证措施，编制全过程成果和项目应用推广书及时应用到相关产品生产环节，制作攻关成果展示模型及获奖成果宣传板，使客人更直接感官工作成果的效果； 在资金投入方面：公司工会和分厂定期对办公环境、设备设施、培训硬件进行更新，有效地保障了工作室的工作需求。

通过合理的组织管理、完善的制度措施使工作室在职工心目中和企业发展中树立了极高的威望。

攻坚克难效果显著，科技创新硕果累累

工作室成立以来，围绕产品加工、电站装置装配、关键工序难点重点、缩短生产工期等工作先后攻克了产品装配关、工件加工关、设备瓶颈关、项目周期关。完成攻关立项200余项，重点攻关立项20余项，为哈电攻克了大量的生产难题。其中“巨型一体式球阀的加工”攻关任务，通过8项创新成果节约加工成本近200万余元，稳固了公司在球阀制造领域的领先地位；“大型潮汐能电站导水机构加工”攻关通过5项创新成果节约加工成本近120万余元，使哈电潮汐能电站制造加工技术处于国内领先水平；开发的“同步加工创新技术”解决了多个关联工件相互形位公差难以同时保证的问题，避免了加工积累误差对产品质量的影响；通过“冲击转轮数控加工刀杆改进”创新技术以及“合理选用加工方案及刀具降低转轮粗加工成本”节约生产加工成本15万余元；通过装配钳工与镗铣金工跨专业合作完成了“桐子林座环加工攻关”任务，使加工与装配组合完美的结合在一起，解决了现场超大型工件铣削装配两重生产难题；卧车小组技师勇于创新，将立车加工技术改用在卧车加工，通过分析卧车加工难点并借鉴立车的加工经验，顺利完成了楚卡斯水轮机底托精车任务，与工艺部专家联合成立了攻关团队，解决处理了23项困扰生产的实际难题，为全年生产任务的完成做出了极大的贡献。

高技能人才创新工作室在技术攻关过程中，积极进行创新开发，完成了多项技术成果创新，获得市级以上技术创新成果6项。由工作室牵头成立QC质量攻关小组15个，解决了15项质量疑难问题，一项成果获部级质量管理一等奖，两项二等奖，有五项成果获公司级奖励，其中研究开发出巨型球阀主密封件的加工技术，是国内外首例成功应用于球阀主密封件加工质量保障控制技术，它打破了世界范围沿用的点焊加工方式，成功地实现了在加工中既控制主密封件质量的闭环检验方法同时实现了巨型球阀主密封生产现场加工质量“零”缺陷的目标；通过加工技术创新，完成了冲击式水轮机转轮全数控加工，保证水斗的型线和尺寸公差及其水力性能,在国内开创了大型冲击式水轮机转轮水斗的斗型由铸造成型向精密加工转变的先河；通过充分研讨完成了大型水电站超重、超长轴类由卧车改为立车加工技术，在保证生产周期的同时实现了设备资源利用最大化，加工成本最小化的目的；研究开发出的巨型工件整体吊运技术，可以大幅减少设备辅助时间，为今后百吨工件的吊运奠定了坚实的基础；技师们发挥聪明才智研发创新的“大型立车用风动砂带机”、“大型镗床用风动打磨抛光工具”、“ 水电机组专用拔销器”、“可调节高度和长度的C型夹”四项成果获国家技术专利，大型可调铝镗头、重型立车89°切削刀具等自主研发的产品成功地应用到相关的项目工作中，实现了企业降本增效的目标，创造经济效益1000多万元，推动企业技术进步，增强核心竞争力。

工作室的创新成果《冲击式水轮机转轮全数控加工》获全国“创新杯”优秀成果奖；《巨型球阀主密封质量控制》获全国机械工业优秀质量管理一等奖；《巨型一体式球阀加工技术》以及《大型潮汐能电站导水机构加工技术》获“中国机械工业科学技术奖”二等奖同时获海峡两岸职工创新成果金奖；《大型水电站超重、超长轴类由卧车改为立车加工创新技术》和《大型水电站主密封创新技术》获“中国机械工业科学技术奖”三等奖；《大型球阀活门整体加工轴孔工艺攻关》获黑龙江省机械工业技术协会“科学技术一等奖”；《葛洲坝转轮叶片加工整体吊运技术》获哈尔滨市创新一等奖。

人才培养平台突出

工作室十分重视人才培养工作，建立了岗位技能图书馆，每年根据需求对图书及时进行更新，为了使加工实际经验共享，设立了工作室开放日，对日常工作中操作者遇到的生产疑难问题随机进行解答；针对切削过程正确使用加工参数，降低刀片损耗费用，建立了刀片使用档案、刀具适用加工参数图册，先进工具、刀具推广及展览样本；根据实际操作经验，编写了钻孔、攻丝、铰孔、以及密封槽加工操作规范流程，根据类别编写了“关键工序、部位、岗位，评审工件加工标准作业指导卡”工艺流程规范五份；建立的分厂、工段两级质量问题诊断专家组，新技术成果、新工具、新刀具展台，使攻关立项更加精细化、信息更加准确化、培养更加实用化、成果更加应用化。

术业有专攻篇10

根据Gartner的调查，信息安全攻击有75％都是发生在Web应用层而非网络层面上。同时，数据也显示，2/3的Web站点都相当脆弱，易受攻击。可以说，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证web业务本身的安全，才给了黑客可乘之机。

企业Web业务现状堪忧

Web业务平台的不安全性主要是由Web平台的特点，即开放性所致，企业需要利用Web业务平台为用户提供服务就必须接受这个特点。也就是说只要访问可以顺利通过企业的防火墙，Web业务就毫无保留地呈现在用户面前，因此，只有加强Web业务服务器自身的安全，才是真正的Web业务安全解决之道。

常见的Web攻击与威胁

根据世界上最知名的web安全与数据库安全研究组织OWASP提供的报告，目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击，如图所示。

目前解决Web安全的主流思路存在不足。针对Web威胁的迅猛发展，幻想硬件、操作系统、服务、应用程序提供商提供没有漏洞的系统，显然是不现实的，因此需要在网络边界和服务器前增加安全控制设备，或者在服务器系统上部署软件来防御各种攻击。

针对SQL注入攻击和跨站脚本攻击，在传统的安全产业界，主要的识别和防御方法有基于特征的关键字匹配技术和基于异常检测技术。基于特征的关键字匹配技术是目前的主流方法，一些主流的IPS产品都采用这种检测技术，但由于其技术局限性和机械性，使得这类IPS产品会形成漏报和误报。而应用于像Web-firewall这类产品中的基于异常检测技术，能够发现一些异常，但其缺陷也显而易见，比如需要一定的学习期才能投入使用，而且一旦业务模型发生变化，就需要重新学习，更为重要的是，异常未必就是攻击。