第一篇:充电防忽悠白皮书
外教:在京者多为“黑户”近日,“黑外教”再次被媒体披露:很多学校和培训机构聘请外教不通过教委审批,甚至一些没有聘请资格的单位也私自聘请外教。北京市教委每年接到送审的外教资料仅200份左右,而实际在北京从事外教工作的人数远不止这个数,也就是说,在京外教多为“黑户”。学习英语,跟随语音纯正、知识含量丰富的外教老师能够获得更快的进步。ABC外语培训学校认为,一个优秀的外教老师应通过合法的途径引进,具有经国家考核过的正规证书,才能保证得了外教的水平、合法性和培训机构的教学质量。那什么样的外国人能胜任“外教”这一职务呢?1.深厚的英语功底。作为一名合格的外教,首先应具备深厚的英语功底——英文过硬,且以英语为第一母语。现在一些外教虽然英语说得流利,但并非来自英语国家,只要学员水平高点儿,就不难听出他们的口音。这样的外教对于英语学习者来说是很不利的,因为口音一旦形成就很难纠正。而且,不标准的发音习惯也会严重影响听力水平的提高。2.其次,工作经验也十分重要。外教应在海外从事过教师工作。因为作为外教来讲,他与普通外国人最大的差异在于——外教不是以交流为目的,而是以引导、帮助和纠正进行教学为目的。如果外教没有教学经验,往往会对知识的讲解不到位,不透彻,上课也就是领着学员读读单词、课文,测试一下学过的词汇记没记住,这样的课程学习很难帮助学员真正提高英语口语。3.最后,一个合格的外教,应能将理论和实践结合进行分析和讲解,而不只是照本宣科。也就是既讲授知识,又能运用知识进行实景分析,组织学员进行Roleplay,在模拟练习中指导学员应用,帮助学员记忆。4.商务英语对外教要求更高。商务英语最注重的就是语言的应用性,没有深厚的英文基础无法教授表达较为正式和复杂的商务英语。所以,商务英语教师应具有较高学历,比如硕士或博士。5.商务英语外教应有海外工作经历。这样就可以在授课中指导学员,将知识做实际分析,因为商务英语最关键的就是应用性,更需人性化的授课。MBA:好课程的四要素读MBA现在虽然很热,但就业市场的行情却有下滑的趋势。越来越重要的一个情况是,以后人们将会更关心你在哪儿读的MBA,而不是你是否读了MBA,所以,选择一个好的MBA就非常重要。“要选择有名望的、声誉非常好的学院去选读MBA课程,他们要有很好的师资队伍,以及相对比较长的历史。”去年带EMBA学员来中国进行“国际企业家中国实践课”的芝加哥大学商学院副院长库瑟这样说。那么,什么是好的MBA课程?库瑟认为:第一,一个好的MBA课程首先是能够向“定义世界商业规则的教师学习”。应有一整套的知识结构,包括不同领域的知识,比如金融、运营、策略、管理、运作等,此外还应使学生学到如何根据情况进行分析,使用何种分析工具。第二,要有新的思维方式。“简单地了解商业世界中的事件与数据,远远不够,知识几乎在学习时就已过时,好的MBA,可以使你掌握分析思维、解决问题及制定决策的能力”。第三,能增强沟通能力。比如去说服,去激励,组成团队合作的氛围,然后共同达成一个目标。第四,能建立起一个非常有效、有用的关系网。“这种强大的关系网对你今后的职业生涯是非常有帮助的。”防“忽悠”做加法目前,虽然各大商学院都不约而同地反对考生参加面试辅导班,刻意准备复试,但各种各样的面试辅导班材料和宣传单还是送到了从考场出来的考生手里。一些诸如《2005年MBA入学考试面试宝典》的小册子里,不仅包含了北大光华、清华经管学院的面试花絮集锦,还有中英文MBA面试题集锦等,更有一些面试辅导班在各大院校的校园打出宣传横幅。对此,有关专家认为,面试是为了考查考生的综合素质,从本质上讲,面试辅导不可能在短时间内让考生的综合素质、发展潜能等有快速提高,只能给考生创造一个在群体里面谈论问题的条件,这对于演练答题的熟练程度有帮助,但是千万不要被面试辅导班的套路所左右。可以说,考生参加辅导班对面试本身意义不大,要不要参参加,考生可根据个人实际情况决定。(来源:华夏时报)
第二篇:装修防忽悠经验总结
【防忽悠】+第一套房子的经验(有照片)目前流行的装修模式有三种。
第一种:“包轻工”,自己买装修材料,委托装饰公司施工。需要网友对装修工程、所需材料、建材市场非常熟悉,而且时间充足。第二种:“包工包料”,将所有工作委托家装公司。适合于无时间精力、对装修材料和工程不了解的人。
第三种:“包轻工辅料”。自备部分主材,如地砖、涂料、洁具等,装饰公司负责施工及辅助材料的采购,如水泥、石灰等。介于前两种之间。
装修过程中,注意以下几点:
1、找对设计师:
设计师是如今装修几乎都会遇到的人。选择设计师,首先可以看设计师近几年的作品,参考专业水平;其次通过与设计师的交流感受个人品质。设计师起着网友与装饰公司、施工队伍对接的纽带作用,要在业务上、职业操守上都要完美。
我家:我装修第一套房子的时候,是位女设计师,她很容易明白我的想法,沟通起来很顺畅。
2、签订正式合同、保修合同、签订合同需咬文嚼字:
通过量房,设计师会出更为详细的施工图,并根据整体装饰方案确定报价。报价单一般以居室空间为单位,包括此空间内所需要的材料、数量、单价、合价和工艺做法。如果必要还应该附有材料使用详细清单、工程进度表等,以及对装修报价中不详尽的部分加以补充说明。
通常报价单还有附件,主要有原始户型图、装修户型图、水电施工图、开关插座布置图、吊顶设计图等。
当对于报价单无异议后,就进入签订施工合同阶段。目前北京地区装饰公司使用的施工合同是《北京市家庭居室装饰装修工程施工合同》,网友在签订时,需要注意以下几点:公司名称和合同上的名称是否相同、合同是否盖的装饰公司总部的合同专用章、合同附件是否齐备等。在某些家居市场,还需要有市场的第三方认证。
工程竣工验收与主材安装、定制产品安装的顺序因为网友选择装修方式不同而不一样,如果消费者选择由装修公司来安装主材产品,那么验收则在最后。竣工后,由巡检人员按照工程验收表格逐一对施工项目进行检查,消费者要全程参与,决定工程是否验收合格;验收后,施工负责人要与客户签订施工保修合同。
按照家庭装修的国家规定,基础工程保修2年,防渗漏工程保修5年。保修合同一般是在装修合同的最后一页,填写时看清楚保修日期;并且保修合同要加盖装修公司的合同章。
签订合同需咬文嚼字:合同陷阱是在合同中通过增项、漏项、虚报价格避实就虚、逃避责任。
网友签订合同时,应注意以下几点:
第一,报价单上的单位,应要求按照实际面积或尺寸来计算,比如衣柜、鞋柜等尽量少以“项”为单位;
第二,注意是否有漏项,必须在合同上写清楚所有主材,包括规格、品牌和数量;
第三,最好多学一点装修常识,了解室内装修的各项工程施工工艺标准。
我家:我装修第一套房子的时候,是通过团购会,送的免费监理,这样我非常踏实,每一个结点,团购会的监理都会到家里检测。我和装修公司签订的合同当中注明增项不能超过合同总价款的10%,超出部分我不给钱,嘻嘻嘻。
3、盯好施工阶段:
签完施工合同,经过现场交底,便开始整体施工过程。家庭装修一般经历前期、中期和后期三个阶段。前期主要是辅材进场、隐蔽工程和基础装饰工程;中期则是瓷砖铺贴、吊顶及木制品工程、地面找平等木工、瓦工、油工等工程;后期则是现场安装主材、竣工的环节。在家庭装修的整个过程中,现场交底是最为关键的一步。一般由客户、设计师、工程监督、工长和主要的技术工人参与,在交底时应全部到达施工现场,由设计师向施工负责人、工程管理人员详细讲解设计方案和施工工艺要求,以及需注意的地方,并由工程监督协调办好各种手续。
我家:我装修第一套房子的时候,装修过程中总有人在,是因为要拍照,不是为了盯着工人,因为我找的装修公司还是很棒的。
4、防止忽悠,谨防低价、免费诱饵:
第一次装修的网友,一定要谨防服务陷阱,谨防商家以低价、免费等承诺为诱惑,在装修服务中提供劣质产品、增项等。首先要注意套餐式服务的陷阱,一般是装修公司指定施工细项、合作产品品牌,消费
者没有选择空间,材质质量参差不齐,所以在接受之前,应详细了解套餐内材料的品质和数量;
其次,很多装修公司给客户初期报价很低以吸引客户,但开工后以种种理由大量增项,所以消费者要选择品牌公司、口碑好的公司来签订装修事宜,并在合同中与装修公司约定好,将增项带来的价格浮动控制在一定范围内;第三,要认真考虑“免费出效果图”等承诺。我家:我装修第一套房子的时候,是轻工辅料,主材都是在团购会买的,这样质量我能把关。
第三篇:电脑维修防忽悠(亲身经历总结经验)
电脑维修防忽悠(亲身经历总结经验)
各位童鞋大家好!由于本人天生正义感十足,且具备刻苦钻牛角尖精神。因此对于自己人生第一次电脑维修经历做一总结。目的很简单,为了让大家了解电脑维修市场目前的乱局和不诚信商人的欺诈手段,防止自己以后上当受骗(无论你是第一次修电脑还是修了N次)。特此讲经验作为分享,希望大家多献计献策,批评指正。
我人生第一个本本是Sony,购买于2010年5月,(TC和日本闹僵那是后话),以下猪脚都是它。当时我是卖Sony电脑的,因此对于电脑本身有一定了解。但是众所周知,Sony和其他日本品牌的电脑有一通病,或者说日本电子产品都存在一个貌似优势的问题---制造和设计过分追求精巧,但是比较娇气,后期维修和保养费用及成本很高。几个我的搞电脑配件的朋友都这样反映。这里有个事说下,有一个在中国的日本高管找我一个哥们买Toshiba的原装硬盘,他的日本Toshiba本只用了2年,理由是不放心硬盘安定性,怕出问题重要资料丢失。日本人连自己生产的东西都不放心,由此可见一斑。
话归正题,我的Sony本到现在用了不到三年。前一段时间可能是中了病毒,结果到了一个超市的电脑维修点(因为问题不大,又离家里很近)重装了一个win7旗舰版盗版。一切搞定后,当时想自己重新清洁一下电脑(也是第一次自己清洁),老板就免费送我一小袋导热硅脂。
*注意事项1*:天下没有免费的午餐,不管对方出于好心还是不安好心,在自己无法判断送的东西质量的情况下,你可以接受对方提供的任何附送品,但不要轻易使用。(否则悲剧就像我一样发生)
回家后我自己就把送的导热硅脂用上了,结果发现电脑发热的厉害,当时还没在意,以为是系统问题。
结果悲剧发生,用到第6天。电脑出现竖条花屏,然后黑屏。
去朋友那里检测后说是显卡出问题了。要我更换,我这种显卡ATI HD 5XXX需要400到500元。
后来我自己找了个维修点说修好也就200到300元。*注意事项2*:“朋友”虽然是朋友,但是也要注意了。“朋友”做朋友生意也是蛮好做的。被“朋友”骗的事网上抱怨的人多了,而且出问题你还不好和对方撕破脸皮。
前几天,被女朋友催着去修电脑,不要和她抢电脑用了。找到一家在小巷子里的电脑维修点,他们的维修中心在某数码港。
*注意事项3*:对于我来说商场里的和临街铺面的电脑维修没有差别,这个行业现在就没有什么正规企业,有所谓的某某品牌专修更黑你懂的,市场经济自负盈亏,别轻易指望什么“123*5”,关键还是要看人。
对方经理姓王有说有笑,结果看了一下电脑,说是不是第一次送修(是个小心谨慎的人,怕修过的机器你懂的),接了一下显示器,说初步确定是显卡问题。我说需不需要打开机器后盖查看下主板确认下问题。
*注意事项4*:送修前最好能确认你电脑的问题所在,心里有个底,有初步了解,可以避免对方漫天要价,同时也可以在一开始确定对方是不是懂行,瞎搞直接走人。
他就含含糊糊说不需要(这时候他就开始准备要价了,因为对方不知道你懂不懂行,现场确定问题后价格就不好注水了,所以他不会轻易开盖),说修显卡要动主板啦,给你讲一些可能引发故障的原因啦,主要是让你觉得他很专业靠谱。然后他说修下的比较麻烦(废话不麻烦还让你修,心里千万别理他,让他开价)要280元,还说是网上报的最低价。
*此处省略*最后双方定了260元,3个月保修(保修很重要一定别忘记,一般3个月)修的话要2-3天。然后我把机器的电源和硬盘拆走(非常重要的细节你懂的,内存条把原装的留下,自己配的带走)。
这里说下我当时的心得和犯的错误,心得是:一定要问对方修好多少钱,修不好怎么说,如果需要重新换件怎么说,总之尽可能都要问到,千万不要不好意思、懒得说或者疏忽大意,当然自己要注意表达的方式,一本正经会让对方感到亚历山大而拒绝给你修(觉得你麻烦),装傻懂不懂。
我把这些问题一一问过去,对方说了,修好怎么样,修不好不收钱是我们技术不行(得到确认了),要换件当然比较贵,我说可以的我会考虑,我追加一句,“换件一定要通知我”,这句话在事情发展的最后产生了举足轻重的作用。(无论你送修什么,一定要记住要说这句话并且让对方确认)他说好的,我们修好就通知你。
现在谈下犯得错误:
1.但是留下本本却没有将自己配的希捷内存取走,对方说留下需要检测,我也没反对(实际上我已经拆下来了,并且知道肯定没问题,索性给他的时候当着他的面仔细的拿在手里看了一眼序列号,你懂的,算是意外的补救措施)
2.没有问对方的维修中心地址和联系人电话,当对方说我们如何如何吹牛时,就坡下驴问下。(你要知道自己本本可能会到哪里)
3.没留对方负责人电话(当时认为维修收据上有,没必要)
4.没有仔细看维修收据的内容(大失误,还好,对方认账,不过惊出一身冷汗,这是你作为消费者保护自己的重要证据,首先送修日期写的不清楚,对方模仿像改动过的笔记;其次笔记本品牌和型号一定要他写清楚和确认,尤其是型号一项具体是本本的型号还是主板编号;再次一般收据上都有些维修条款,各家不一,一定要看清楚,不懂就问,我回到家才看到有一条中途放弃修理还要交80手工费!;最后,对方的签名要让他签全名,必要时可以让他出示工作牌,名片甚至身份证,非常重要,对方经理姓王,签名却签的姓万)
5.没有要求自己打电话询问情况的权利,只是听他说修好就打电话告诉你。(这样会让对方觉得自己想如何就如何,有充足的时间把你机器大卸八块偷梁换柱,反正修好才通知你,你也不要打电话来,谁知道什么时候修好呢?亲,等着吧)
回到主线,对方王经理说快的话,转天中午就能修好。维修第一天,果然中午给我电话说,给显卡重新支球(意思可能是重新焊接了下),屏幕点亮了,后来又黑了。我当时正有事在忙,没在意,说你们尽量修一下,他说好的。
维修第二天,我早上打电话过去问下怎么样了(现在想想当时必须要催他,不能等他电话),他说帮我问下,我说你下午要给我回个电话(有时一定要让甚至强迫对方在指定时间给你回复)。结果他说显卡支球又弄了一次,结果也是亮了又黑了。
这个时候我心里就觉得有点不太对劲了。但是也没太在意,因为一开始也是相信别人才去送修的,姑且相信他,看他有什么花招。
结果到了维修第三天,正好是周末,对方中午来电话了,说试了几次都失败了,说你要是想不修了可以拿走,分文不收,是我们没能力(一开始谈的效果在这里出现了)。如果你要继续修我们现在就帮你换新的显卡。
*注意事项5*:当你无法判断修理情况下,千万不要相信别人说的如何如何,甚至别人说什么你就答应什么,要亲自到实地查过,看看到底如何,这一环节是价格注水的重要环节。
我当时的回答是,我要看看我的电脑修理的如何,麻烦告诉我一下我电脑现在在哪个维修中心,联系人是谁?(算是临时补救)。并且再次强调“换件的话,一定要我同意才行,我现在要考虑下”。对方一下就愣住了,然后就是很不情愿告诉我在那里维修的,联系人是谁,我说我现在开车亲自过去一下。对方说我带你去,你能不能接我(龟儿子,老子用的着你吗?!)结果到了某数码港,二楼D223一个凹进去的店面。找到了维修点,当时有个小伙子姓黄,我说我取机器来了,是一台Sony本。他说已经修好了,大出我的意料之外。我有些觉得不可思议。不是修了两次没修好,要换整个显卡吗?现在想想怎么突然就修好了,这也太快了。不过当时就光是顾着高兴,没想这么多,结果发现硬盘盖和内存盖不在,姓黄的伙计说在王经理那(够防人的,怕拿着机器跑了,如此可笑而且小家子气,能做什么?我要想跑还要那个盖子干什么,多了去了),我就让他给姓王的打电话,这个时候有位女士也在像是在修手机,还问我修的情况如何,我说还行修好了,她跟我说她的iphone在这家店换壳子,结果手机坏了。我当时也没在意,现在想起来,只能证明一点,巧合不会只发生一次。
等了一会,姓王的本人来了说我们已经把显卡已经装好了,我们工程师当时以为你要换如何如何所以先按上了,要收我500块钱。当时我没有把前前后后他所说的话和内容都想一遍,以来没有时间,二来有些生气影响了自己的判断。但我再次强调了“我从来没跟你说我要换新卡,我一开始就说明白了,换件一定要通知我,我同意才能换”,你们所谓的现在已经换了如何如何(实际上有可能就是修好了,冒充换件),那是你们自己沟通的问题,你有征求过我的意见吗。这个责任完全在于你们。
就这么一说,对方楞了一下马上就说自己有失误地方,没弄好。这个时候还有个人过来貌似打圆场和稀泥,说老板责任在你们,你不经过人家同意就换件,人家心里肯定不好受,干脆赔礼道歉,补偿补偿。我当时正眼看都没看那杂碎,懒得理他。(谁知道他们是不是一伙的,千万不要受这种人影响)。最后我就不说话了。看他们怎么说,那姓王的最后又说你想怎么样吧。(搞得我在勒索他一样,后来仔细想想他说的话,这分明就是一骗子局被拆穿了,耍流氓的出老底话)我说责任在你们,你们说怎么样吧!
最后我给他290,外加半年保修。这回保修单我是仔细看过的,此事到此为止。虽然说跟我原来和他谈的价格相差不大,但是仔细算算刨去时间、人力、财力成本、外加心理成本,我个人付出的实际成本却高的多。这次经历也是存在巧合,对方没料到我会去现场看,我认为最后能比较低的代价修好电脑也有侥幸的成分在里面。(切再不可抱这种心理办事)
这些修电脑的所谓专业人员,完全是在坐地涨价,就算修好了也不交给你,这也算是他们的行内营销策略---注水。而作为被修电脑的人只能任由宰割,或者全靠自己。试问一个人一生能修几次电脑?每个人都必需要掌握电脑技术来捍卫自己的正当权利吗?值得吗?
很多有同样经历的朋友们,遇到类似情况只能认倒霉。心里总想,“我电脑还他妈总修吗?就算撒点钱给这些无良龟儿子了。”但是恰恰是这种心理才让这些低素质的稍微掌握点技术的人得逞,能骗一个算一个。
因此请大家总结经验,举一反三,修个小小的电脑不算什么,修家电,汽车,修房子,治病呢?我写这篇文章给看到帖子的朋友们提个醒,只要你认真仔细冷静的从自己的实际利益出发,抱着以诚待人和不损人利己的心态去寻求正当的有偿服务。那些龟孙子们只能对你另眼相看,不敢骗你。你懂的!
爱钻牛角尖的正义男 2013年3月31日
第四篇:白皮书
怎样才能构建“橄榄型”的收入分配结构? 制度上:完善以按劳分配为主体、多种分配方式并存的经济制度。
要初次分配注重效率和公平、再分配更加注重效率和公平。要建立职工工资正常上涨机制和支付保障机制。要使得工资在初次分配中占有适当比例、居民收入在国民收入中占有适当比例。要建立健全社会保障体制。促进居民的社会保险、医疗保险和养老保险。
要完善税制,建立更加合理的个人所得税征收体制,促进社会公平
国家要加大对民生事业的投入,要提供给居民基本的生活必需
参考资料:政治书高一第一册:经济生活
如何扩大内需?
劳动力报酬过低、社会保障制度不完善和贫富差距过大是中国消费低迷原因,其中最主要的原因就是劳动力的报酬过低。
一是加快建设保障性安居工程。加大对廉租住房建设支持力度,加快棚户区改造,实施游牧民定居工程,扩大农村危房改造试点。二是加快农村基础设施建设。加大农村沼气、饮水安全工程和农村公路建设力度,完善农村电网,加快南水北调等重大水利工程建设和病险水库除险加固,加强大型灌区节水改造。加大扶贫开发力度。三是加快铁路、公路和机场等重大基础设施建设。重点建设一批客运专线、煤运通道项目和西部干线铁路,完善高速公路网,安排中西部干线机场和支线机场建设,加快城市电网改造。四是加快医疗卫生、文化教育事业发展。加强基层医疗卫生服务体系建设,加快中西部农村初中校舍改造,推进中西部地区特殊教育学校和乡镇综合文化站建设。五是加强生态环境建设。加快城镇污水、垃圾处理设施建设和重点流域水污染防治,加强重点防护林和天然林资源保护工程建设,支持重点节能减排工程建设。六是加快自主创新和结构调整。支持高技术产业化建设和产业技术进步,支持服务业发展。七是加快地震灾区灾后重建各项工作。八是提高城乡居民收入。提高明年粮食最低收购价格,提高农资综合直补、良种补贴、农机具补贴等标准,增加农民收入。提高低收入群体等社保对象待遇水平,增加城市和农村低保补助,继续提高企业退休人员基本养老金水平和优抚对象生活补助标准。九是在全国所有地区、所有行业全面实施增值税转型改革,鼓励企业技术改造,减轻企业负担1200亿元。十是加大金融对经济增长的支持力度。取消对商业银行的信贷规模限制,合理扩大信贷规模,加大对重点工程、“三农”、中小企业和技术改造、兼并重组的信贷支持,有针对性地培育和巩固消费信贷增长点。
第五篇:WebGuard网页防篡改技术白皮书-V15
WebGuard4.0网页防篡改保护系统
技术白皮书
2010年4月
WebGuard4.0技术白皮书
目 录
第1章 第2章 第3章 前 言.......................................................3 系统简介.....................................................4 系统组成及特点................................................6
3.1 系统组成.......................................................6 3.2 系统功能特点....................................................7 3.3 主要技术功能....................................................8 第4章 主要技术实现.................................................10
4.1 实现原理......................................................10 4.2 核心优势描述...................................................11 1.基于内核驱动保护技术...........................................11 2.动态网页脚本保护...............................................12 3.连续篡改攻击保护...............................................12 4.全方位兼容的安全自动增量发布....................................12 5.服务器安全运行可靠性管理........................................13 6.部署实施操作简单...............................................13 7.不影响原有网络结构.............................................13 8.安全传输......................................................13 9.支持多虚拟目录.................................................14 10.支持多终端...................................................14 11.支持日志导出查询.............................................14 第5章
部署结构....................................................15
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
第1章 前 言
WebGuard网页防篡改保护系统(以下简称WebGuard)是北京智恒联盟科技有限公司(以下简称:智恒联盟)精心研发专门针对网站篡改攻击的一款防护产品,WebGuard的主要功能是通过微软文件底层驱动技术对Web 站点目录提供全方位的保护,防止黑客、病毒等对目录中的网页、电子文档、图片等任何类型的文件进行非法篡改和破坏。WebGuard保护网站安全运行,维护政府和企业形象,保障互联网业务的正常运营,彻底解决了网站的非法修改的问题,是高效、安全、易用的新一代的网页防篡改系统。智恒联盟全力打造业界最易用的安全软件产品!
本手册适合的对象:《WebGuard技术白皮书》适用于希望了解本产品技术特性和使用的相关人员。本手册共五章,第一章 前言,第二章 系统简介,第三章 系统组成及特点,第四章 主要技术实现,第五章 部署结构。
公司联系方式:用户可以通过如下的联系方式详细了解该产品: 销售热线:010-51626148 邮箱:sales@zhihengit.com 支持服务: support@zhihengit.com 传真:010-51727638 24 小时支持电话:(010)*** 联系人:杨先生 公司网址:http://www.xiexiebang.com
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
第2章 系统简介
近几年我国信息化发展迅猛,各行各业根据自身需要大都进行了网站建设,用于信息发布、网上电子商务、网上办公、信息查询等等,网站在实际应用中发挥着重要作用。尤其是我国电子政务、电子商务的大力开展,网站建设得到了空前发展。然而不幸的是,黑客强烈的表现欲望,国内外非法组织的不法企图,商业竞争对手的恶意攻击,不满情绪离职员工的发泄等等都将导致网页被“变脸”。网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、阅读人群多;复制容易,事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。此外,攻击工具简单且向智能化趋势发展,据不完全统计,我国98%以上的站点都受到过不同程度的黑客攻击,攻击形式繁多,网站的安全防范日益成为大家关注的焦点,尤其是政府、金融类网站最易成为攻击目标。
WebGuard 4.0网页防篡改保护系统由北京智恒联盟科技有限公司根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全,防止黑客非法篡改网页,保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展,第三代网页防篡改技术较之以前的技术有几个特点,响应恢复速度快、判断准确、部署灵活等特点,集成度较高,不依赖于原有web系统架构、部署也不影响网站整体结构。经过广大用户实践表明,WebGuard 已经成为信息化建设中网站安全建设最佳解决方案。
WebGuard 适用领域:政府门户、电子商务、金融证券、企业门户、教育高校等各行各业网站;
网页防篡改技术的发展经过几年的发展已经进入了第三代技术,多因子检测时代,较前两代技术,第三代技术在安全性以及效率方面更为可靠。
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
图2-1技术发展路线图
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
第3章 系统组成及特点
3.1 系统组成
WebGuard系统包含三个部分:监控客户端、管理中心服务器和管理客户端,各部分功能如下:
1.监控客户端(Monitor Client)安装在Web站点服务器上,根据服务器数量购买客户端数量,主要用于监控站点状态,执行管理中心所配置的策略; 2.管理中心服务器(Center Server)建议部署在独立pc服务器上,若所管理的web服务器数量较少,也可以同时部署在管理客户端;主要用于用户管理,策略下发,日志监控,以及管理各代理客户端;
3.管理控制台(Console)部署在网管员任意一台计算机,可以由单台pc机替代,主要用于登录管理中心服务器进行配置管理WebGuard 中心服务器;
图3-1 系统结构示意图
各组件之间通信采取完全加密传输,包括数据传输,用户认证等,确保通信的保密性;
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
3.2 系统功能特点
所有的Web网站都需要进行页面内容的保护,防止非授权人员随意篡改内容,对于一些更新快、容量大、权威性的网站就更需如此。
外部网站因需要被公众访问而暴露于因特网上,因此最容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段,但现代操作系统和业务应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,黑客入侵和篡改页面的事件时有发生。WebGuard 通过服务器文件访问底层驱动技术,对保护的对象(静态网页、动态执行脚本、文件夹)实时监测其属性,一旦发现更改立刻阻断非法篡改操作,阻止网页文件被修改,并实时通知管理客户端,如果发生文件篡改现象,系统也会自动从可信端进行恢复,彻底地保证了网页内容不被篡改。
该系统对于各类网站的安全,特别保证我国电子政务网站和企业门户网站内容的完整性及对外形象,有着重要意义。尤其是我国即将迎来60周年国庆、世博会等全球瞩目期间,各行各业的网站遭受黑客攻击的几率大大增加,在中美黑客大战期间,我国政府企业的网站由于缺乏有力保护,政府网站就遭受上千起篡改,严重损害了政府的公众形象;各类金融机构积极开展网上业务,如遭受篡改,不仅仅是形象受损信誉度降低,还会带来巨大的经济损失;尤其是在国家发生一些重大事件的时候,常常有网站遭受篡改并且发布虚假消息,带来严重的社会影响。因此,网页防篡改系统已经成为各行各业门户必备的一项有效安全措施。
WebGuard系统具备多项核心技术,简单归纳如下:
技术先进,采用第三代防篡改技术,安全、稳定、可靠; 采取先进的多重防护技术,杜绝篡改; 完全基于内核级事件触发机制,对服务器资源占用极少,效率远高于同类产品; 汲取广大网管员建议,操作及其简便,大大提高工作人员效率; 对服务器安全性能实时监控,确保服务器安全稳定运行;
对Web服务运行状态进行安全监控,保证Web服务不受异常事件干扰; 不限制网站发布服务器类型,实现高可用性和高扩展性;
支持所有主流操作系统,与Web发布服务类型无关,与CMS系统无缝结合; 支持保护Web服务器配置文件,杜绝网站指向遭到修改;
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
3.3 主要技术功能
1)第三代内核驱动防篡改技术
基于内核驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本; 内核级事件触发技术,大大减少系统额外开支; 完全防护技术,支持大规模连续篡改攻击防护; 系统后台自动运行,支持断线状态下阻止篡改;
内核出站校验技术完全杜绝被篡改内容被外界浏览;
支持单独文件、文件夹及多级文件夹目录内容篡改保护;
2)Web站点安全运行保障
保护Web服务器的相关重要配置文件不被篡改; 服务器性能监控阀值报警,预知攻击发生; 服务器系统服务运行状态监控,可提供服务异常响应,终止、重启等联动操作; 服务器进程黑白名单许可控制,防止挂马攻击或后门程序运行; 支持服务器多种远程管理功能,紧急情况下便于管理,如远程接管、远程唤醒、远程关机、远程用户注销等;
支持监测服务器当前系统防火墙,防病毒的使用情况和版本,提高监测服务器的综合防护能力;
3)部署结构灵活
支持多站点、跨平台分布式部署,统一集中管理功能; 支持大规模虚拟机、双机热备网站系统部署架构;
支持服务器冗余及负载均衡分布部署,支持web服务端、发布端一对多,多对多等各类灵活网站架构;
4)安全可靠增量发布
支持网页文件自动上传功能和增量发布,无需人工干涉;
支持异地文件快速同步功能和断点续传功能,极大的增加网站可维护性; 支持网页自动同步新增、修改、删除、下载等功能;
5)日志事件报警
自动检测文件攻击记录,并实时记入日志,支持导出excel报表;
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
支持服务运行状态记录,并实时记入日志,支持导出excel报表; 支持多种告警方式,日志告警、邮件告警或定制其他告警方式; 自身操作审计日志记录,详细记录操作管理员的操作管理行为;
6)操作管理安全、方便
支持多用户分权管理功能,方便操作; 系统C/S结构,确保高可靠性;
支持多个策略管理,策略设置支持即时生效,无需重启; 数据传输采用加密传输,安全可靠;
支持网页格式类型分类,便于分类管理;
系统全中文界面,操作、配置方便,网络管理人员仅需十分钟即可熟练完成系统初始配置,大大提高工作效率;
7)网站动态自适应攻击防护
支持SQL注入攻击防护; 支持跨站脚本攻击防护;
支持对系统文件的访问防护;
支持特殊字符构成的URL利用防护; 支持对危险系统路径的访问防护; 支持构造危险的Cookie攻击防护; 各类攻击的变种防护; 支持自定义检测库;
规则库支持在线升级功能;
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
第4章 主要技术实现
4.1 实现原理
我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中,通过事件触发方式进行自动监测,对文件夹的所有文件内容(包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测,若发现变更,实时阻断篡改行为。通过非协议方式,纯内核安全出站校验方式检查出站内容的完整性可靠性,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高水准。
图4-2内核防护技术原理图
图4-2发布同步原理图
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
快速同步通道处理,主要用于网站内容更新及修复网页文件用途,在多服务器负载均衡应用时快速同步通道技术将显得尤为重要,确保网站的内容最迅速的更新至外网web服务器上。同步过程当中主要应用到文件加密传输技术、完整性交验、文件检索、快速传输技术等多项重要技术。
图4-3 校验实现原理图
当发生网页遭受到意外恶意破坏时,系统将自动启用文件安全性校验模块,主要对比网页文件指纹ID,将包含文件内容、大小、创建修改时间、作者、关键词、所属权限等等。如校验发现文件属性发生变化,则从可信备份端进行实时恢复,确保文件的真实可靠性。
4.2 核心优势描述 1.基于内核驱动保护技术
内核事件触发保护机制,确保系统资源不被浪费,不同于其他防篡改软件的Web事件触发机制,WebGuard的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术,与操作系统紧密结合的。这样做完全杜绝了普通Web内嵌防篡改软件可能发生的计算校验占用系统资源过多,校验值计算不正确,篡改后无法恢复等一系列风险。
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
2.动态网页脚本保护
目前的网站越来越多地使用动态技术(例如:ASP、JSP、PHP)来输出网页。动态网页由网页脚本和内容组成:网页脚本以文件形式存在于Web 服务器上;网页内容则取自于数据库。
一般来说,数据库处在内部网中,没有外部地址,而且可以只接受来自内部指定地址的访问,因此一般不会受到攻击。而存在于Web 服务器上的动态网页脚本则与静态网页一样,容易受到攻击。
采用文件驱动级技术的系统,可以直接从Web 服务器上得到动态网页脚本,不受变化的内容影响,因而能够像静态网页一样保护动态网页脚本。
3.连续篡改攻击保护
对于大规模连续的篡改,WebGuard防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为,提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用,极大的降低了应用程序的处理负担,有效的提高了应有工作效率。
而普通的Web内嵌事件触发型防篡改软件在发生大规模连续篡改时,需要每次通过应用层插件计算校验匹配,由于不能阻止篡改发生,这些软件需要不停的重复恢复原始网页内容,极大的占用系统资源和网络资源,并可能造成显示错误页给访问用户。
4.全方位兼容的安全自动增量发布
WebGuard集成了页面自动发布功能。该服务器采用先进的算法将可信备份路径下的网页内容快速发布到相应文件夹,减少人工干预,并且支持传统的FTP、网络共享等,本系统支持高速上传功能,同样也支持网页备份到指定文件夹的功能,方便维护人员对网站进行日常维护。
WebGuard可以无缝的和所有内容管理系统相结合并且不需要做任何修改,大大方便与用户管理和部署。
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
5.服务器安全运行可靠性管理
WebGuard系统可以监控服务器当前的运行状态,监视其cpu、内存、网络流量等性能。通过设置的阀值及时向用户提供报警信息,使用户能够及时响应意外事件,并通过设置进程的黑白名单来保障服务器被植入后门木马等程序。提供管理人员远程维护管理等功能。包括:
1)保护web服务器自身配置; 2)服务器cpu使用阀值报警; 3)服务器内存使用阀值报警;
4)监控服务运行状态,并提供应用服务发生异常后的停止,重启等联动操作; 5)服务器进程黑白名单设置,实现防止后门木马程序的运行;
6)支持服务器多种远程管理功能,远程接管、远程唤醒、远程关机、远程用户注销等;
7)可以实时监测服务器当前服务、进程、系统日志; 8)可以服务器当前系统防火墙,防病毒的使用情况和版本。
6.部署实施操作简单
具备基本windows操作系统使用人员,仅需要10分钟时间,即可按照使用说明书部署完整套网页防篡改保护系统,部署完毕后,进行简单配置即可运行;若在系统组建之间有防火墙或其他访问控制设备,建议与网管人员配合在防火墙上配置相应规则,实现安全通信,可以自由设定相应的端口,避免在Web服务器上开启其他端口。
7.不影响原有网络结构
该系统的架构采用C/S 方式,安全可靠,Center Server端和Console端可以安装在任意指定的系统上,管理告警客户端本地无存储数据,日志只在需要时进行导出excel 进行查询,可大大降低了用户投资;
8.安全传输
合法网页的安全传输是系统安全的一个重要环节,WebGuard使用了高安全强度的Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
工业标准的128位加密技术,保证了信息传输过程中完整性和私密性,且用户登录认证且采用加密传输,防止传输过程中用户信息泄露。
9.支持多虚拟目录
WebGuard能够自动、实时监控多个子文件夹内容,各子文件夹包含多个网站可同时进行监测,网页文件支持数以万计,且对系统性能没有任何影响。
10.支持多终端
WebGuard支持同服务器端程序对多个web被监控服务器端网站进行维护,用户可以在任意时刻任意进行扩展,只需要购买相应的Monitor端License即可。
11.支持日志导出查询
系统支持对网站维护工作的查询与审计功能。为了便于用户及时了解管理员及操作员所做的日常维护工作。WebGuard除了对篡改记录进行记录外,还记录了操作日志,方便用户导出查询和统计。包括:
1.对受保护网页文件和目录进行添加、删除、修改的日志; 2.监控策略的开启和关闭的日志; 3.管理员的登录日志;
4.对监控策略进行更改的日志;
5.对管理员进行增加,删除和属性修改的操作日志; 6.对功能配置参数的修改日志。
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
第5章 部署结构
WebGuard 部署方式较为灵活,监控代理客户端(Monitor Client),管理中心服务器(Center Server)和管理客户端(Console)三部分,可以部署在三个不同的系统上,也可以部署在同一台系统上,用户根据需要灵活进行设计,以下介绍三种典型部署结构:
第一种部署方式见图“网页防篡改保护系统典型部署示意图-1”:这种部署为常见部署方式,常见于政府网站和大型企事业单位,WEB服务器位于内部网中,在防火墙DMZ区(非军事化区),第一步:在DMZ区任意一台服务器(可以是防病毒服务器或者防火墙管理服务器)安装管理中心服务器(Center Server,IP地址为:172.16.1.100)部分,并设定外部管理连接端口(默认为5366);第二步:将监控端(Monitor Client)安装于多个WEB服务器(172.16.1.X)上,并制定管理中心服务器地址(如172.16.1.100),并设定管理端口(默认为5367);第三步,在内部管理区域,任意pc安装管理客户端(Console)部分;
若要保证通信,还需要在防火墙上配置管理中心服务器(Center Server,IP地址为:172.16.1.100)端口(默认为5366),需将端口镜像到WEB外部。
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
第二种部署方式见图“网页防篡改保护系统典型部署示意图-2”,这类部署主要突出了该系统部署的灵活性,将Center Server部分也同时部署在WEB站点上,在没有额外可用服务器的情况下,节省了服务器资源,保护了用户投资。但我们建议此时需要及时修改初始维护密码,并保持器一定的复杂度。
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
第三种部署方式见图“网页防篡改保护系统典型部署示意图-3”也常见于政府网站和大型企事业单位,WEB服务器位于IDC托管中心的防火墙DMZ区(非军事化区),第一步:在DMZ区数据库服务器(也可以是防病毒服务器或者防火墙管理服务器)安装管理中心服务器(Center Server,IP地址为:172.16.1.100)部分,并设定外部管理连接端口(默认为5366);第二步:将监控端(Monitor Client)安装于多个WEB服务器(172.16.1.X)上,并制定管理中心服务器地址(如172.16.1.100),并设定管理端口(默认为5367);第三步,在内网管理区域,任意pc安装管理客户端(Console)部分;
若要保证通信,还需要在防火墙上配置管理中心服务器(Center Server,IP地址为:172.16.1.100)端口(默认为5366)镜像到外部,便于Console登陆管理。(因WEB站点为了外部Internet访问,已经做IP地址转换,无需做额外配置)。
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
WebGuard4.0技术白皮书
注:若将Center Server部分安装在内网时,则需要首先将管理中心Center Server端口(默认为5366)也需要镜像到外网部分,IP地址也需要做相应地址转换(NAT);然后在 IDC托管中心的防火墙上将监控端(Monitor Client)的端口5367及IP地址镜像到外部,并指定远程管理的外部NAT转换后的地址。该部署比较复杂,需要网管员积极配合。
Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18
点击咨询 