第一篇:社会实践经验交流培训讲稿
实践经验心得交流(讲稿)
一、认识社会实践
什么是社会实践?
社会实践活动是青年学生按照学校培养目标的要求,利用节假日等课余时间参与社会政治、经济、文化生活的教育活动。
1、它是一种教育活动,是高等教育的一个有机组成部分。社会实践活动通过使学生参与社会生活,可以使学生丰富对国情的感性认识,加深对社会、对人民群众的了解,;可以使学生在接触实际的过程中巩固和深化课堂知识,锻炼和增强解决实际问题的能力。
2、是以学生亲身参与社会生活为主的特殊教育形式。离开了学生对社会生活的亲身参与,就无所谓“实践”,也无从达到社会实践活动的教育目的。社会实践活动的这个特点,决定了我们在开展社会实践活动中,必须充分调动学生的积极性,必须使学生实际地参与到社会的政治、经济、文化生活中去,而不是社会生活的旁观者。
3、在课余时间进行的特殊教育活动,是教育实践环节的必要补充。社会实践活动的教育内容、方法、途径也不同于教学计划内的实习,具有特殊的教育作用
社会实践宗旨受教育 长才干 做贡献
我的理解:
我们为什么要去社会实践?
为了认识三农,为了了解三农,为了一颗爱农的心,为了坚定为农服务的信念,为了将来更好地为农服务,不负解民生之多艰,育天下之英才的校训。
我们去农村能做些什么?
如果你认为我们下去做不了什么,你可以想我们下去能收获什么;如果你认为我们下去可以做点什么,你应该马上着手做些力所能及的事情;如果你认为我们下去暂时做不了什么,你应当考虑将来能做些什么。我不是一颗金子,放在哪里都能够发光,但我愿做一颗土豆,放在哪里都能够发芽。
二、我们应该怎样做
1、团队建设
组织结构及人员分工:
队长:统筹整个项目活动的组织管理,团队建设,代表团队与外部组织洽谈,抓好实践各项工作,确保活动安全、顺利、成功的开展。
副队长:协助队长作好项目活动组织,团队建设、作好项目活动中与其他各方面的沟通协调。
调研组:调研方案的策划,问卷的起草与制订,活动中总结等各种资料收集整理。
支教组:拟定支教计划,组织开展支教活动。
宣传组:拟定宣传计划,负责项目活动过程中的海报、摄影、新闻采编,宣传等文字工作,负责小队博客建设与管理,负责联系媒体做好实践宣传工作。
外联组:策划外联计划,带领小组寻去企业赞助,负责联系当地政府,协调实践活动开展,做好各项活动前期准备。
后勤组:负责队员衣食住行,队伍财务收支状况做清晰记录。
文体组:负责大家晨练、锻炼身体,带动大家积极性,并能够带动孩子们参与到体育活动中。策划组织文化活动及村民联欢活动。
纪律安全组:负责项目活动实施过程中的安全问题,包括队员的人身安全和财产安全。
团队文化
使队内思想统一,帮助一个团队更具凝聚力和战斗力。可以是一个队名、一个口号、一首队歌、一条团队准则。。。
队内培训
调研培训、支教培训、宣传培训、安全纪律培训、后勤培训、文体培训。。。。直接目的:让队员更熟悉实践过程的每一项内容,便于实践活动更顺利开展;
根本目的:巩固团队文化、加强对内交流、磨合队员感情、增强团队凝聚力
有一个好的团队,才会有一次好的实践
2、几点要求
思想上要求:
(1)集体思想要统一
社会实践活动之前应召开团队动员会,通过动员会让队员们对实践内容和形式、时间和地点、仪式和步骤更具体把握。要重申和强调实践活动的纪律要求、管理体制、安全事项等内容。
(2)个人认识要到位
出发前要听一听大家对实践活动的想法和建议,讨论实践活动各个具体环节。如果还有个别成员对活动存在异议,要做深入细致的思想工作。
正视困难
(1)物质条件较差
(2)生活环境改变
(3)生活方式改变
(4)人际关系发生改变
(5)社交困难
要了解社情民俗
对实践地的风土人情、风俗习惯的了解是增进与实践地群众感情交流的基础。要多方面搜集该地区的民风、民俗等资料,进行学习。
社交礼仪
(1)尊重对方。到一个部门或一位居民家中访问,不管门是否开着都不应直闯进去。
(2)注意仪表,穿着要整齐,仪表端庄。与陌生人见面,不要穿拖鞋、背心,调研访谈不要漫不经心,更不能在人面前脱鞋子。
(3)主动打招呼,长幼有序。实践地遇到年龄较长的人要主动打招呼问好。与年长者交谈要洗耳恭听,注意礼貌。人家请你吃饭,就座前要谦让,尊者居上。
(4)不要乱插话。访问、座谈等调研活动中,除了启发对方发言外,尽量少说话,更不能在别人讲话时乱插话,以免喧宾夺主。
(5)注意时间、地点、对象,措辞准确、提问得当。
注意事项
1、重申行为规范。作为一名大学生,无论什么条件和环境下都应严格遵守大学生行为规范,言行要与身份相符。
2、强化集体观念。集体活动要强调步调一致,防止各行其是,个人一定要服从集体,集体所制定的纪律或制度,队员必须无条件遵守。
3、严格时间观念。集体活动得以保证的关键,特别是活动实施过程中涉及到诸多集结时间、分散时间、联络时间、作息时间等,应该人人清楚、人人遵守,才会是活动效率高、成果大。
4、安全防范措施。安全第一,要根据当地的民情和自然环境提出具体的要求和防范措施。
5、遵守当地的规章习惯。不损害实践地人民物质利益,不伤害实践地人民感情。作为一项重要纪律来遵守,这才是赢得群众支持,顺利开展活动的保证。
三、期望
几点体会:过程比结果更重要,团队比个人更重要;任何成功都是争取来的;要有所得,就必须认真对待
共勉:七天的实践活动虽然过去了,但七天来带给小队每个人的记忆都是美好和难忘的。我们一起经历了策划的焦头烂额,培训的欢歌笑语,外联的地狱天堂,调研的酸甜苦辣,总结的回味无穷;我们收获了奉献为农的快乐,收获了同舟共济的感动,收获了坚若磐石的友谊。凡此种种都是我们可以用一生去珍藏的回忆,也必然会为我们将来学习生活带来积极的影响。
希望你们比我做得更好!
第二篇:安全行车经验交流讲稿
安全行车、文明驾驶“五注意”
——宏通公司驾驶员交流材料(孙钦华)
各位领导、司机师傅:你们好!
我很荣幸代表宏通公司参加本次安全行车交流会,我叫孙钦华,我汇报的题目是“安全行车、文明驾驶五注意”,作为一名公交车司机,最根本的是保证行车安全,只要一上车,就要全神贯注遵章守法来驾驶车辆,保证乘客人身安全,严格杜绝开快车,开英雄车,我的做法是:
一、要有责任心。在行车过程中,公交车经过的线路,都是人、车混杂的路段,部分路段车多路窄,需要时刻保持警惕。司机的注意力要高度集中,始终要有十分把握七分开,留下三分防意外的安全意识,强化岗位责任心,严格要求自己,不违规操作、不疲劳驾驶、才是保证安全行车最关键的前提。
二、要爱护车辆,减少油料消耗和车辆磨损,车况好也能相应的减少了因机械故障导致的事故和不必要的麻烦了。搞好车辆的日常维护检查,做好车辆的三检工作,车辆到达终点站,要利用休息时间对车辆进行检查,看看有没有漏水漏油的现象,有问题要及时上报维修、杜绝病车上路,三、行车中转向灯的正确使用很重要,转向灯除了基本的提示转弯、并线功能以外,有时也是驾驶员之间交流的信号。正确合理的运用转向灯可以让我们在路上更加自如,同时也能减少不必要的误会。雾雨雪天气及冰雪路面行车时,保持安全车速,不要超车,避免急刹车。城区行驶要看清来往的行人和车辆,跟前车保持一定的安全行车距离,要注意避让行人。车辆进站要提前减速,要慢慢的进。作为无人售票公交车司机,更要加倍小心,车未停稳,千万不能开门上下乘客,等乘客坐稳扶好,才可以关好车门起步行车。
四、要做好服务工作,照顾好六种人,是我们首要职责,要微笑服务、保持车厢卫生,耐心回答乘客提出的问题,做到不越站、不甩客、零投诉。另外要防范乘客携带易燃、易爆、危险物品乘车,发现时应及时制止乘车。保证自己和乘客的生命财产安全。
五、要懂法。只有你懂法的情况下,你才知道哪些是违法的,哪些是不应该做的。不要让交警同志告诉你这样和那样是违法的,到那个时候就迟了。我举几个我们经常会碰到的小例子:(1)在一个十字路口,不分主次干道和大小车型的情况下,两辆车都是直行,在路口相会时,那辆车优先通行?是遵循右方无来车的车辆优先通行。(2)十字路口两辆车相对行驶,一辆车向左转弯,一辆车向右转弯,同时往一条道上转弯时,应该是右转弯让左转弯车辆。总之尽量做到不违章。也就是尽量不要冒险,大家都知道,违章与危险并存。
最后祝大家身体健康,工作顺利。谢谢!
第三篇:社会实践经验交流计划
“激扬青春风采,实践服务社会”
-----社会实践经验交流大会
社会实践是大学生思想教育工作的重要环节和有效途径。是大学生通向社会与未来的一扇大门,使学生了解社会发展自我和培养自我的大舞台。
在我院团委的关心和帮助下,在学院各兄弟系的大力支持下,由学联社会实践部牵头,数学系社会实践部与经济管理系社会实践部承办,与全院各系社会实践部共同举办昌吉学院第一届“激扬青春风采,实践服务社会”的社会实践经验交流大会。
本次活动旨在更好的学习、借鉴“社会实践先进个人”的成功经验,促进大学生“射入社会,勤于实践”优良传统的传播,增进对社会的了解和把握社会发展对人才的需求,同时加强大学生相互学习、交流经验、增进友谊,提高大学生的综合素质和适应社会的能力,树立学生服务社会的责任感。
本次活动可使使大家对社会实践方面有更详尽和深刻的认识,同时也可给我们一个启示,大学生活是丰富多采的,我们要认真规划自己的学习生活多参加有意义的社会实践活动,提高个人能力,为走向社会打下坚实的基础。■ 活动主题:
“激扬青春风采,实践服务社会”------社会实践经验交流大会 ■活动时间:
2008年12月13日
■ 活动地点:
1224阶梯教室<新校区>
■ 活动安排:
一、前期工作安排
1.确定时间地点,提前与电教科做好联系。
2.联系院各系社会实践部,确定主持人及各系的社会实践先进代表。
3.做好本次活动的前期宣传工作。
4.人员安排:
倒水:数学系社会实践部
节目负责:数学系经济管理系
游戏负责: 数学系经济管理系 座位安排:数学系
会场纪律:数学系经济管理系 活动记录:数学系社会实践部 DV拍摄:经济管理系
二、活动流程
1.13日下午7:00布置会场
2.7:40各系先进代表到场,7:50所有参加本次活动的人员到场。3.8:00大会正式开始,主持人介绍到场来宾,宣布本次活动正式开始 4.首先由昌吉学院学联社会实践部部长致开幕词 5.开场节目
6.各系老生“社会实践先进个人”发言 7.观看DV展
8.各系08新生的“社会实践先进个人”发言,并规划自己的大学生活的社会实践活动
9.互动:社会实践小知识问答.10.游戏、节目
11.“合作交开友谊之花”众人签名 12.所有嘉宾和先进代表上台合影 13.主持人宣布本次活动圆满结束
三、活动亮点
“合作浇开友谊之花”众人签名
四、后期安排
1.欢送嘉宾,其他人员按顺序离场 2.整理会场
3.作好本次活动的总结 4.作好图片资料的整理 ■注意事项: 1.各系分工明确到位
2.手机自觉关机或调成静音
3.严格遵守活动纪律,统一行动,听从安排 4.自觉维护会场纪律5.提前与电教科作好联系 【主办单位】
昌吉学院学联社会实践部 【承办单位】
数学系团总支学生会社会实践部 经济管理系团总支学生会社会实践部
数学系社会实践部2008.11.30
昌吉学院数学系社会实践部 社会实践经验交流大会
活动计划
数学系社会实践部 二○○八年十一月
第四篇:培训讲稿
[培训讲稿]谈谈小学语文教学的实效性
新课改,让语文教学充满激情与活力;新课改,让语文教学更精彩;新课改,让语文教学在简单朴实中呈现生动与实效。在激情似火,硕果累累的季节里,2007年县小学语文优质课赛课活动奉献了精彩,呈献了朴实,激起了思潮。反思56堂语文课堂教学,透析语文课堂的实效性特征,顿悟深远,如何使小学语文课堂教学体现实效性呢?
一、解读“实效性”
教学实效性就是在教学活动中,教师采用各种方式和手段,用最少的时间、最小的精力投入,取得尽可能多的教学效果,实现特定的教学目标而组织实施的活动。教育部课程改革专家组核心成员余文森教授在中国教育资源服务平台“课堂教学论坛”上,就“课堂教学的有效性”与广大中小学教师进行了在线研讨。从专业角度说,课堂教学的实效主要指课堂教学整体的效果,课堂教学的实效性是指通过课堂教学使学生获得进步或发展。这也是衡量教学实效性的唯一指标。”
由此我想,我们老师在对待语文有效性课堂的评价上,要审视以下几个方面:老师眼中是否关注每一位学生的发展;老师如何引导学生学习;老师的教学技巧、方法是否对学生的发展有利;学生在课堂上是否在主动学习;学生对基础知识是否得到扎实训练,是否得到落实;学生通过老师的“教”能力是否有所提高;学生的情感价值观是否得到提升。
为此,实效的课堂教学是兼顾知识的传授、情感的交流、智慧的培养和个性塑造的过程。实效的课堂教学是全面地关照学生成长与发展的乐园,让学生在这样一种精神氛围之中接受文化的洗礼和熏染。实效的课堂教学重视教学过程的探索性,重视教学中的师生的交往与对话。实效的课堂不是机械的生产一些整齐划一的脑袋,他培养的学生是鲜活的,富有创造力的人才。
二、当前小学语文教学的理想
(一)、新课程小学语文的理想课堂
崔峦在全国第六次阅读教学研讨会上报告上对当前改革的建议是:删繁就简,削枝剪叶。提倡简简单单教语文,全心全意为学生,扎扎实实求发展。真、纯(语文味,语文课)、实(朴实真实 扎实 充实)、活(针对文本体裁,活用教材)。以及简明的教学目标,简约的教学内容、简化的教学环节、简便的教学方法。
追求“真实,朴实,扎实的课堂教学境界”,倡导“简简单单教语文,本本分分 为学生,扎扎实实求发展”的教学风尚,深入推进基础教育课程改革,深入进行新课程小学语文课堂教学研究,提高新课程小学语文课堂教学质量是我们追求的目标。
新课程标准指出,语文教学是大语文活动,应突出语文实践能力和综合能力的功能,所以,我觉得语文教学应实现四个“走向”:一是走向生活,语文教学如果远离了学生鲜活的生活世界,就无法走进学生的内心世界。二是走向实践,语文只有运用于学生的实践中,融合到学生的血液里,才能真正成为学生永恒的精神财富;三是走向综合。课堂所获得的各项语文能力、语文知识,只有在综合实践中整合起来,并加以积淀,才能成为一种综合素养;四是走向智慧,语文教学就是要让学生学得聪明一点、灵气一点。
(二)、做有理想的教师
1、转变思想
要做到“一心一意”,“一心”指爱心(情感);“一意”指创意(科学地教、灵活地教、创意地教、反思地教)。因为一位专家曾说过“一个好老师等于一门好的学科课程,并将影响学生终身。”
2、转变观念
应试教育的要害在于“教死书、死教书、教书死”,素质教育的灵魂在于“教活书、活教书、教书活”。
教活书:充满活力的教材。教材的活力首先体现于开拓了“无字书”领域,把大千世界、百态人生引入语文教学范畴。
其次,把现行统编教材的“有字书”加以扩展,以古典和当代诗文精品充实语文教学内容。品诗品文品有字书之美味,悟情悟理悟无字书之文章,此之谓“教活书”。
活教书:充满活力的教法。死教书的典型招法是注入式。注入式的特点是教师照本宣科,学生照抄照背;其要害是视教师为圣人,视学生为容器,彻底抹杀了学生在学习过程中的主观能动性。“注入式”的对立面是“开导式”:品德,由教师诱导自修;知识,由教师引导自学;疑难,由教师开导自悟。教师变“圣人”为“导师”,学生变“容器”为“主人”。
“要给学生一碗水,教师必须有一桶水”——此言固然不错,但究其底里,仍未摆脱“注入式’教学法的樊篱。
“教师拥有活泉水,学生才能有无穷水。”——此言才是“开导式”教学法的真谛。“活泉水”是什么?就是开导学生“会读书” “乐读书’的金钥匙。以“导”代“灌”,此之谓“活教书”。
教书活:充满活力的人才。“活书”与“活教”,势必收到“教活”的成效:造就知识鲜活、头脑灵活、观念新活充满活力的创造型人才。、学习与提高
叶圣陶说:“惟有老师善于读书,深有所得,才能教好书。”苏霍姆林斯基甚至这样说:“一个语文教师每年不读五六本书,几年以后,他就不好当老师了。”
著名学者、历史学家陈寅恪先生在讲隋唐史时的开场白是这样的:“前人讲过的,我不讲;近人讲过的,我不讲;我自己讲过的,我不讲。现在只讲未曾有人讲过的。”
三、语文课堂是实现实效高效的前提
课堂教学是达成教育目标的主要渠道,是学生求知、求真的主阵地。因此就要求课堂具有实效高效性。那么什么样的课富有实效性?怎样的教学是有效教学?如何在语文课堂上留下鲜明的形象,留下鲜活的语言,留下至诚的情感,留下至真的感悟?
(一)、浅谈名师眼中的好课观
1、贾志敏:好课“活力说”
上海市特级教师贾志敏20世纪80年代初,贾老师以他形象生动、机敏睿智、充满亲和力的语言,一举成为上海教育界的一颗明星。他曾说过:舞台表演是一门艺术,课堂教学也是一门艺术。两者间有相通之处,也有不同的地方。前者重在结果,后者重在过程;前者讲究的是美,后者讲究的是真;前者观看的是“台上一分钟”,后者观看的是“台下十年功”。他的好课标准:“得法于课内,得益于课外”、“向40分钟要质量”
一堂好课就像艺术珍品,让人津津乐道,回味无穷。怎样的课才算好课?
贾老师提出,好的课,要体现三个教学原则:
A、要以学生为本。时间是学生的,空间是学生的,是学生在学习语言,因此,学生理应是学习的主体。老师是为学生服务的,是配角,充分让学生进行听、说、读、写的语言活动,千万不能互换角色,本末倒置。B、要以训练为主。语言是一种技能。要掌握它,必须通过无数次的训练,要让学生听得清楚,说得明白,读得正确,写得流畅。本事是训练出来的,绝非“讲”出来的。
C、要以鼓励为主。毋庸讳言,我们的母语是众多语言中不易学,不易掌握的语种之一。课堂上学生出现差错,产生困难是十分正常的。不去挖苦、讽刺,要多给学生以鼓励与帮助。鼓励学生不仅是种手段,也是一个教师思想的具体体现。
教学要环环相套,丝丝入扣,行云流水,滴水不漏,反之,课堂上松松垮垮,东拉西扯,哗众取宠,华而不实,是算不上一堂好课的。
好的课,从感觉上来说,可用“累”与“不累”来区别:
如若听课者始终被精彩的课堂教学活动所吸引,精神专注、积极投入,没有丝毫“累”的感觉,那么,无疑,这是一堂好课。反之,听者焦虑不安,惋惜不已,时而抬腕看表,时而交头接耳,等待着下课钟声响起,那么,这样的课是不能列入好课之列的。
2、孙双金:好课“登山论”
上好课有如登山,这就是“登山理论”。
登山的过程是体力得到锻炼,眼界得到开阔,心情得到陶冶,人格得到升华的过程;上课的过程是智力得到开发,能力得到培养,情感得到陶冶,人格得到提升的过程。上山是体力锻炼,上课是脑力锻炼,但两者道理相通。从登山中可以得到诸多启迪。
其一,攀登什么山?是登小山,还是登高山?我想大多数人会选择巍峨的泰山、险峻的黄山。课堂上登什么山呢?我认为要登“三座大山”:一座是知识的高山,因为知识是基础,知识就是力量;一座是思维的高山,因为思维是能力的核心,是创新的关键,没有思维难度的课绝不是一节好课;一座是情感的高山,课堂上要让学生感受什么是真正的真、善、美,让学生的情感经受洗涤,得到净化。
其二,路径由谁选择?可由导游带领,可由登山者自己寻找从达到上山,大道的石阶早有前人铺好,两旁人文景观集中,走得顺畅,看得舒服。从小道虽然崎岖,虽然艰辛,但可以体验历险的快乐、获得征服的快感。
学习的路径由谁选择?是老师包办代替,还是让学生自主确定?学习的路径绝非是“自古华山一条路,”,“条条大路通罗马”。放手让学生去思考、去选择、去尝试、去探索。碰壁又何妨?摔倒又怎样?学生就是在摔倒、碰壁中找到正确的路径。
其三,怎么上山?可由自己走着上,可由别人抬着上,也可以坐着缆车上。坐着缆车上也能到山顶,但看不到沿途的风光,享受不到登山的快乐。别人抬着上无需自己用力,可肢体没有得到锻炼,身心没有得到发展。自己走着上,边走边看,既动脑筋又动脚,享受登山的快乐。上课呢?教师告诉学生,学生也能掌握知识,但“纸上得来终觉浅,绝知此事要躬行。”自己主动探索尝试解决问题,建构知识结构,能力体系、情感价值才会终身难忘。上出好课像登山,是因为学习者是登山的主人,是因为学习者经历了发展的过程,是因为学习者体悟了学习的快乐。
3、王崧舟:好课“三味观”
第一味是“语文味”。一堂好的语文课,首先得有“语文味”。语文味越浓,课就越好。语文课的最大问题,不是怎么教的问题,而是教什么的问题。语文课的最大悲哀是语文本体的淡化和失落。说句不太中听的话,不少语文课总是喜欢“红杏出墙”“为人作嫁”。那么,什么是“语文味”?“语文味”就是守住语文本体的一亩三分地。语文的本体是什么?显然不是语言文字所承载的内容,即“写的什么”。而是用什么样的语言形式来承载这些内容,即“怎么写的”。语文要学的就是“这个”。语文味所指的就是“这个味”。具体来说,语文味表现在“动情诵读、静心默读”的“读味”。“圈点批注、摘抄书作”的“写味”,“品词品句、咬文嚼字”的“品味”。
古人说:“读之而喜,拍案叫绝,起舞旋走;读之而悲,涔涔泪落,脉脉欲诉。斯时不知古人为我,我为古人,但觉神入文,文入心,永不失也。”于永正也谈到:“翻来覆去地诵读,默想,小到一个字,一个词,一个句子,大到篇章结构,文章立意,当读出了自己的惊喜,才算走进语文课堂。”
如何在课堂上体现对读的指导呢?必须要体现出朗读要求的层次性,因为我们指导必须根据不同年段的不同要求,有针对性地进行。低段的读有三个层次:一是读准,要求达到朱熹说的那样“读得字字响亮,不可误一字,不可少一字,不可多一字,不可倒一字”;二是读通;三是读懂。中高段的读也有三个层次:一是读通;二是读懂;三是品读(诵读),就是要求读出思想,读出情感,读出形象,读出韵味。
第二味是“人情味”。一堂好的语文课,必须得有“人情味”。这里的“人情味”有着三层意味:一是指语文课要有情趣,枯燥乏味、机械刻板的语文课注定不受学生的欢迎,不受学生欢迎的课能称为好课吗?二是指语文课要注重情感熏陶、价值引领,否则,语文课就会犯上“丧魂落魄症”,沦为“空心课”;三是指语文课要以人为本,充满人文关怀,对学生要尊重其人格、理解其要求、赏识其个性、激励其潜能,真正为学生的幸福人生奠基。因为语文是生活的浓缩,语文是情感的记录,语文是心灵的历史。生活的魅力有多么巨大,语文的魅力就有多么巨大!心灵和情感的魅力有多么巨大,语文的魅力就有多么巨大!
第三味是“书卷味”。一堂好的语文课,最好还能有点“书卷味”。有的语文课,初看时满目繁花、流光溢彩,但细细体会,则味同嚼蜡,整个感觉就是缺乏内涵、缺乏品位。有“书卷味”的语文课,初听时可能不觉得怎样,但往往越嚼越有味道。有“书卷味”的语文课,充满浓浓的文化气息,内含丰厚的文化底蕴;有“书卷味”的语文课,儒雅、从容、含蓄、纯正;有“书卷味”的语文课,常常灵气勃发、灵光闪现,或在教学设计上别出心裁、或在文本感悟上独具慧眼、或在课堂操作上另辟蹊径。总之,有“书卷味”的语文课是大有嚼头的语文课。课堂上有了“书卷味”,学生也会因此受用无穷,在老师的潜移默化,感染下,也会喜欢“书卷味”,因为,小学是对学生进行学习语言,语言积累的最佳时期,课堂上注重诵读积累,可以终身受用。正如郭沫若先生所说:“儿时背下的书,像一个大冰山入了肚子,随着年龄增大,它会慢慢融化,一融化,可就是财富了。”清朝学者陆世仪在《论小学生》一书中说道:“凡有记性,有悟性。自十五以前,物欲未染,知识未开,则多记性少悟性。自十五以后,知识既开,物欲渐染,则多悟性,少记性。故人凡有所当读之书,皆当自十五以前使之熟读。”作为语文老师,我们就要不断的引导和推荐书目让学生诵读记忆。
(二)、富有实效性教学的基本特征(1)追求学生的发展
课前与课后学生是不是有了变化,发生了怎样的变化?
因为有效的课堂就能引发多方面的变化:知识、能力、情感、心向的变化。同时要挖掘人文内涵运用到教学中,将语言学习与人文性渗透不着痕迹地融合。为此我要问:有多少老师、多少堂可去关注工具性与人文性的统一呢?
《礼记'学记》——善歌者,使人继其声;善教者,使人继其志。善于唱歌者,能使人沈醉在歌声中流连不忘,善于教学的人,能使人继承他的志向而努力不懈。(2)追求教学的高效
课堂教学效益的高低,反映在两个方面—— 一是学生得益多少;二是学生受益面的大小。因此,一堂课对授课班级的学生来说是否有意义,对多少学生有意义,对这些学生有多少意义,是对评价课堂教学高低的基本依据,其次还要确保课堂没有局外人,没有边缘化的学生。
高效的语文课,肯定要有语言实践,也就一定要有语言积累。一节课,学生该记住的知识就要他记住,会认的字,会写的字要求背诵的篇章、段落都应在课堂内完成,让学生在课堂内感受成功感。
(3)追求预设与生成的和谐
叶澜教授在针对课堂教学过程的复杂性,强调师生活动中的能动性,教育终极目标的学生成长观的基础上提出了“动态生成性”。
课堂因生命而美丽,教学因生成而精彩。新课程非常关注和提倡课堂的动态生成,动态生成的课堂,必定是一个真实的课堂,是学生思维开放的课堂,更是闪动着学生灵性的课堂。这就要求教师要有随机应变的能力,更要求教师在随机应变中尊重学生的主体地位。这就要求我们在备课时,要充分的预设目标、预设环节、预设能力、预设手段,更要预设课堂可能呈现的生长点的应对措施。因为一堂充满“生成”活力的课离不开恰到好处的预设。预设是生成学习的起点,怎样去实现预设与生成的“统一”和“转化”?
选择预设,灵活生成。课前的多维预设为教学活动的展开,设计 了多种“通道”,这为教学方案的动态生成提供了广阔的空间。
整合预设,机智生成。在实施教学的过程中,教师应直面真实的教学,根据师生交往互动的具体进程来整合课前的各种预设。这时,教师的思维更多地表现为整合性。
放弃预设,创造生成。当学生自主选定的学习目标与教师的课前 预设发生偏差时,我建议果断地放弃了预设,以满足学生探究的欲望,定会收到了意想不到的效果。
课堂做到了预设与生成的和谐,展现在我们面前的课堂将是:学生充分自主,真情投入;教师悉心聆听,倾情奔涌;师生在宽松和谐、互动合作、情趣横生的空间里展开心灵的对话。在对话中生成,在生成中引导,在引导中感悟。此时自己突有所感,忽有所悟,这便有了创造。
(4)追求孩子的终身幸福
为孩子的发展而教;为孩子的一生幸福而教;为若干家庭的希望不致破灭而教;当然也是为教师自己的生命之树长绿、生命之花常灿烂而教。
四、实现实效性高效的途径
1、潜心文本:“三读”,做作者、编者的知音
不深入钻研教材,是教学无效、微效的关键症结,阅读教学中的诸多偏差与失误都缘于此。在课改背景下,语文课程强调开放,强调教学资源的开发与利用,但课本必是教学的首要凭借,文本仍为教学之本。无论我们的教学观念如何更新,深入钻研教材谁说不是永恒的主题!因此,走进文本,潜心会文,与作者、编者心心相印,是备课的基础性工作与首要任务。
“三读”,即把课文读准、读熟、读懂。这是备课的基础性工作。《语文课程标准》把“正确、流利、有感情地朗读课文”列为阅读教学第一学段目标第二,第二、三、四学段之首,足见其重要。“三读”,与课标中的“正确、流利、有感情”依次对应,读懂了才能做到读得有感情。要求学生做到的,教师必须首先做到。
阅读教学过程,是“调距”与“还原”的过程。学生与课文内容总存在一定距离,必须引导学生逐步缩小直至没有距离,效果才会好,称之“调距”;在此过程中,同时引导学生将课文中所写的人、叙的事、绘的景、状的物,通过文字、语言再现,可歌处激情似火,可泣时肝肠欲裂,谓之“还原”。“调距”与“还原”,唯一的办法,读书。教师在接触一篇课文时,要反复诵读,读得准确无误,读得琅琅上口,读懂文章内容,加上体验、感悟,潜心会文,读出情感,形成自己对课文独到的认识。仅此,潜心文本“三读”中的“读懂”,只做到了读懂了文章,读懂了作者,达到了与作者心灵相通:明白了课文写了什么,为什么写,怎样写的,为什么这样写而不那样写。进而还应与编者心灵对话:为什么选编这篇课文,在单元教材中所处的地位作用,在落实学段目标乃至《语文课程标准》所要求培育的语文素养应担负的任务。如今教参众多,网络畅达,为信息的获取提供了极大的方便。但,如只是草草拿来,抄写备查,不潜心读文,实是舍本逐末。所以建议,钻研教材,首先要抛开这些教辅材料,自读自悟,有了真切感悟,再借助资料,增删修补,取其精华,吸收创新。
2、处理教材:“三定”,为高效学习导航
一篇课文,在内容上,字词句段篇,在手段上,听读说写书,都可以作为提高学生语文素养的凭借。如何从众多的信息中提取出核心信息,实现教学的最优化?就自然面临处理教材的问题。处理教材,必须做到“三定”。
一曰“定标”:确定教学目标。目标要科学、简明。《礼记·中庸》有言“事预则立,不预则废”。一篇课文或一堂课的教学,必须切实解决一两个真正需要解决的问题,切忌蜻蜓点水。“面面俱到,等于不到”。要勇于放弃,因为暂时的放弃,是为了长远的取得,古语说战场上“与其伤敌十人,不如毙其一个”,作为语文教师,要有“弱水三千,只取一瓢饮”的气魄。当目标精了,重点准了,教学效率自然就提高了。
确定教学目标的依据,是课程标准,是学段要求,而它直观地体现在教材编者精心设计的课文后面的“思考·练习”中。据此,目标就易做到准确、简明,就能避免教学中面面俱到的普遍现象,有效克服常见的承载太多使命而把课文教“肿”了的突出弊端。准确、简明的教学目标,要实现“三维”的整合,做到在语文知识获得、语文能力形成的过程中掌握规律方法,形成正确的情感态度价值观;要突出语文学科阅读教学的个性。
二曰“定点”:确定落实目标的凭借点、支撑点。支点确定要准确、精当。在训练学生读正确、流利的基础上,重点在哪儿训练读得有感情;应在哪几个“点”引导理解、感悟;着重在什么地方组织学生探究;着力在哪儿让学生深入对话,活性生成;哪些语言应让学生积累或者运用……都应了然于胸。每个“点”必须为达“标”服务。科学定点,是防止教学面面俱到、把课文教“肿”,实现高效教学的又一有效措施。
三曰“定法”:选择确定教学方法。方法要科学、管用。学字、解词、懂句、读段、学篇,可用哪些方法,采取哪种手段,哪种方法、手段最能调动学生学习积极性,效果最佳……这些都是“定法”的内容。科学的教法,适时地点拨揭示,持之以恒地潜移默化,学生语文能力的提高自在其中了。
总之,只有教师多角度读懂教材,语文课堂教学才会进入这样的境界:“以最主要的问题和最简洁的线条拉动最丰富的语言材料,以最轻松的方式让学生或得最沉重的收获,以最接近学生的起点带领他们走向最遥远的终点!”
3、精选策略:“常”中求“变”,创新演绎精彩
“常”,常式,基本模式;“变”,常式的变式,模式的活化,继承中的创新。“常”中求“变”,目的在于充分激发学生的学习兴趣,营造高效教学的“心理场”;“常”中求“变”的前提,遵循学科教学的基本规律、基本方法。比如,阅读教学应遵循“双向心理过程”,即理解须经历“语言——思想——语言”两个来回;阅读教学中的识字应随文,应在文中晓义;第二、三学段阅读课堂教学的基本模式:“初读整体把握课文——精读重点段落语句——拓展深化综合提高”或“自读自悟:读通、读懂——交流点拨:深化、提高——读背说写:积累、运用”……在遵循的基础上根据学生实际活化,张显自己的教学个性,教学中就会因创新而演绎精彩。
如果说“潜心文本”是实现作者、编者、教师“三心”相通,那么,“处理教材”和“精选策略”则是致力于架设作者、编者、教师、学生“四心”相通的桥梁。四心相融,何愁教学效率不高?“全面提高学生的语文素养”何愁不成?
“三读”、“三定”和“常中求变”,旨在朴朴实实、平平淡淡与删繁就简中追求有效教学基础上的高效。摈弃形式主义与繁文缛节,简简单单教语文,札札实实求发展,是近来语文界的共识。简洁,是教学的大气度、大智慧,是所有“高手”的共同特点——教学目标简明,教学内容简约,教学环节简化,教学方法简便,教学媒介简单,教学用语简要……为学生留下语言、留下形象、留下真情、留下感悟提供广阔空间,为教学的从容推进给予充分的时间。
【名师名言】
“课堂上,教师要封住自己的嘴,让自己少说一点,留出时间和空间给学生。”
——叶澜
一堂好的语文课,存在三种境界:人在课中,课在人中,这是第一种佳境;人如其课,课如其人,这是第二种佳境;人即是课,课即是人,这是第三种佳境。境界越高,课的痕迹越淡,终无痕迹。因此,课的至高境界乃是无课。
——王菘舟
学会有选择地放弃,追求深刻的简单。简单就是快乐,简单就是幸福!
简单意味着要在课堂上需要我们放弃一切与学生的学习无关的东西。有所为,有所不为,不必将每一句话每一个句子都讲透彻,留下点余地和空间反而更美!
——薛法根
第五篇:培训讲稿
广义的信息安全
是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法闭幕式辨识、控制保障商务的连续性最大限度地减少业务的损失从而最大限度地获取投资和商务的回报。信息安全的涵义主要体现在以下三个方面:
安全性
确保信息只给合法授权用户使用,而限制其他人访问。信息不泄露给非授权访问的用户、实体或被非法利用。安全性按性质又可以分为传输安全性和存储安全性。前者是对传输中的数据信息的保密后者是指在存储数据时的数据保密。完整性
保护信息和处理方法的准确和完善。通俗地说就是保证计算机信息数据不会受外界事件的干扰而被改变或丢失。数据完整性的破坏有很多因素具体的可以包括蓄意破坏、无意破坏、软硬件失效、自然灾害等。无论是哪种形式的破坏最好的应对方法就是数据备份。可用性
确保授权人需要时可以获取信息和相应的资产。各种对网络的破坏,身份否认拒绝以及延迟使用都破坏了信息的可用性。
软件安全就是使软件在受到恶意攻击的情形下依然能够继续正确运行的工程化软件思想。译者认为需要从如下的四个方面来理解这个定义。
首先,软件安全是计算机安全的一个分支。现代社会中,我们生活所需的一切似乎都离不开计算机系统,我们的电力、供水、交通、通讯、金融等等,都依赖于计算机系统的安全运行。但是,计算机系统并不安全,它潜伏着严重的不安全性、脆弱性和危险性。如何保障计算机系统的安全就成为我们这个时代的一个根本问题,计算机安全这门学科也因此应运而生,并成为近二十年来最热门的学科之一。计算机安全的研究范畴包括硬件安全、软件安全、数据安全、运行安全和网络安全。
随着科技的进步,社会的发展,计算机软件控制已经大量使用在我们生活中的基础设施工程中。例如:电力、水力、化工、交通等。所以这些关系到我们生活的关键基础设施安全性已经取决于那些计算机软件的安全。
下面让我们看几个生活中的案例:
丰田线控缺陷门:首先了解线控技术,你可能听说过线控飞行,这是线控驾驶的前奏。1979年美国空军接受了新型F-16战斗机,这是第一个采用线控技术的战斗机。过去,控制杆或操纵杆通过直接的机械水压传动来发动飞机。现在则是通过一个电脑数据输入装置。飞行员移动手杆,手杆向电脑输送信号,由电脑决定需要做什么,然后用最有效的方法运转。过去10年以来,电传线控技术已经被汽车公司所采用。现在当你踩上油门的时候,不再通过拉线打开节气门,而是给引擎控制电脑输入信息,实现对节气门打开或关闭的电子控制。
电传线控汽车更多为了方便和成本。汽车生产商可能省去了一些功能,因为引擎控制电脑可以控制一系列功能,比如巡航控制。但是这种方便和成本节约可能伴随更大的代价:机器中的幽灵。丰田公司将问题归咎于脚垫、油门踏板和刹车装置。但是一些客户坚称,同时政府相关部门官员也在暗示,是软件缺陷造成了节气门在油门踏板没有碰触的情况下打开。软件缺陷是机器中的幽灵,它正是问题所在。幽灵是无法证实其存在或不存在的。软件缺陷也同样。从现在起,丰田事故可能会被归咎于幽灵般的软件缺陷。诉讼将带来上亿美元的赔偿,即使对丰田公司来说也并不轻松。同样有理由相信国会或者联邦安全部门,将出台新的更加严厉的法规。我们都有电脑,它有时会突然锁定或丢失一些文件,却无从发现原因。我们都有现代装置——洗衣机、烘干机和炉子,他们有时比旧式的机械计时的机器更容易出问题。汽车生产商应该学到的教训是,有些事可以做并不代表应该做。
节气门是控制空气进入发动机的一道可控阀门,气体进入进气管后会和汽油混合成可燃混合气,从而燃烧做功。它上接空气滤清器,下接发动机缸体,被称为是汽车发动机的咽喉。节气门有传统拉线式和电子节气门两种,传统发动机节气门操纵机构是通过拉索(软钢丝)或者拉杆,一端连接油门踏板,另一端连接节气门连动板而工作。电子节气门主要通过节气门位置传感器,来根据发动机所需能量,控制节气门的开启角度,从而调节进气量的大小。
据法新社17日报道,美国航空管理局(FAA)16日下令波音公司修复波音777飞机中存在的软件故障问题。该故障可能导致飞机冲出跑道。
据报道,该故障使飞机自动驾驶仪功能受影响,导致低速起飞,可能会引发飞机冲出跑道末端。FAA表示有818架飞机将会受此令影响。仅今年一月份该软件故障已导致两架飞机中断起飞。FAA还表示自1995年以来已有9起起飞故障报告事例。
由于所配用的微软TradElect软件出现故障,近日伦敦证交所被迫停摆一天,这款TradElect软件基于Windows Server2003操作系统。不过伦敦证交所否认停摆事件与TradElect软件有关,并拒绝就事件起因作详细解释。但根据伦敦证交所内部人士透露,停摆事件与TradElect软件故障脱不开关系。
停摆事件之后,伦敦证交所的原CEO Clara Furse辞去了CEO职务,虽然她并没有对外说明离职的原因,但正是此人将微软TradElect软件引入伦敦证交所,而且根据证交所内部人士透露,此次TradElect故障造成的停牌事故直接导致了Clara Furse的去职。
伦敦证交所使用的TradElect软件运行在Windows Server2003操作系统环境下,由惠普ProLiant运行。TradElect使用C#/.NET语言编写而成,负责制作这款程序的是微软和Accenture公司。程序需要依托微软的SQL Server2000运行。该程序的主要责任是负责以小于10ms的延迟速度实时显示股票信息。
不过在实际的使用过程中,这款软件的实际延迟却很高,远没有达到小于10ms时延的要求。而伦敦证交所的竞争对手如Chi-X等公司使用的MarketPrizm软件的表现却优于TradElect,另外,这款软件的运行环境是Linux。
像伦敦证交所这样草率选择后台支持软件的情况是很少见的,而企业级软件出现如此重大故障且闹得满城风雨的情况则更是鲜见。
2009年7月14日,中国直播卫星有限公司证实,鑫诺三号通信卫星13日21时50分左右出现故障,中国部分区域有线电视用户出现黑屏与错误信息。据了解,部分电视台节目内容传输受到影响。
据公开信息显示,鑫诺三号通信卫星承担中央电视台部分内容、广东卫视、广西卫视、14日上午10:30分左右,鑫诺三号通信卫星的故障被修复,部分省区中断的电视节2009年2月9日10时59分,中星6B卫星曾发生故障,导致在该卫星上传输的中央深圳卫视、吉林卫视、黑龙江卫视等节目的传输任务。
目恢复正常。针对故障原因,专家分析称,故障可能出现在软件上。
电视台、中国教育电视台以及23个省的卫视等150套电视节目全部中断,卫星故障时间共47分钟。
7.美国计算机紧急事件响应小组协调中心
(Computer Emergency Response Team/Coordination Center, CERT/CC)
CERT/CC是一个由联邦政府提供资金的机构,成立于1998年,位于匹兹堡的卡内基梅隆大学内。它的主要职能是对软件中的安全漏洞提供咨询,对病毒和蠕虫的爆发提供警报,向计算机用户提供保证计算机系统安全的技巧以及在处理计算机安全事故的行动中进行协调。
CERT/CC服务的内容: ■ 安全事件响应
■ 安全事件分析和软件安全缺陷研究 ■ 漏洞知识库开发
■ 信息发布:缺陷、公告、总结、统计、补丁、工具
■ 教育与培训:CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 ■ 指导其它CSIRT(也称IRT、CERT)组织建设
13.安全漏洞
是指受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。漏洞是硬件软件或使用策略上的缺陷,他们会使计算机遭受病毒和黑客攻击。
14.Microsoft Bob 下一代界面。BOB是微软首次尝试开发互动性更强更自然的用户界面。有趣的是,Bob项目是由盖茨的老婆梅林达负责管理的。
Microsoft Bob的推出主要是为了满足初级计算机用户的需求,虽然有着很好的创意,但是过于简单,只是讲解如何使用计算机,但却高达100美元,结果在没有市场的情况下被淘汰了。
98,99年左右玩电脑的朋友们肯定接触过一个联想《幸福之家》软件,这款图形化的系统可以让家庭用户迅速入门(这个产品一直做到04年),但它的前身就要追溯到微软在IT业界臭名昭著的产品:Microsoft Bob.这个Windows 3.1~95时代的产品,已经无法在微软官方网站中找到任何记载。MS显然不愿再提起这段伤心往事。虽然Bob的Demo只存在于Win95第一版的CD中,当年我在Win95OSR2的CD中找到了一些Bob风格的软件的Demo,而且视为珍宝。
尽管Bob被微软千方百计的抹煞,还是有很多元素在后续产品中发扬光大。比如Office助手,还有XP搜索的时候那只小狗,似曾相识否?
20.Morris病毒
Morris是康奈尔大学计算机科学系的一年级的博士研究生。通过在哈佛大学的本科学习和其他工作,他已经积累了相当的计算机技术和使用经验。当进入康奈尔大学时,他获得了一个计算机科学系的计算机帐号。使用这个帐号,他可以直接使用康奈尔大学的计算机。Morris忙于和高年级的研究生讨论各种计算机安全问题和他攻入网络中的能力。
同年10月,Morris开始编写后来被称为Internet“蠕虫”或“病毒”的计算机程序。这个程序的目的是利用Morris发现的安全缺陷,来说明当时计算机网络安全措施的不足。他所选择的策略是释放一个蠕虫到计算机网络中去。Morris设计的程序在注入一台联入全国性的计算机网络中计算机后将在网络中蔓延。Morris将蠕虫释放到Internet上,分布在全国的大学、政府机构和军用计算机都连接到了这个网络上。这个网络上的计算机之间可以通信、传输信息。
Morris试图使得Internet蠕虫在网络上广泛传播并且不引起注意。假设蠕虫占用很少的计算机操作时间,将不影响计算机的正常使用。Morris编写的蠕虫难以发现和读取,因此其他编程人员不能轻易的终止蠕虫的运行。Morris而且想保证在已有一个蠕虫的计算机上将不再拷贝。在一台计算机上又多个蠕虫的拷贝会使蠕虫易于发现,并且将降低计算机的性能,最终导致计算机的崩溃。因此Morris设计的蠕虫询问每台计算机是否已经有了一个蠕虫的拷贝。如果计算机的回答是no,蠕虫将被拷贝到计算机;如果回答是yes,蠕虫将不拷贝到计算机上。然而Morris担心其他程序员可以通过编写他们自己的程序,对于这个问题错误的回答为yes,从而终止蠕虫的运行。为了绕过这种保护,Morris使得蠕虫在收到7次yes的响应后复制自己。后来证明,Morris低估了计算机询问这个问题的次数,他的1:7的比率导致了比他预想的要多的拷贝被复制到了计算机上。蠕虫还设计为计算机关闭后终止运行,典型情况是每周关闭一到两次。这样做防止了蠕虫在一台计算机上的积聚,Morris正确估计了在感染的比率。
(1)通过SEND MAIL中的漏洞或bug,这是一个在计算机上传送和接受电子邮件的程序;(2)通过“finger守护程序”的漏洞,这是一个允许获得另外一台计算机的用户的有限信息的程序;(3)通过信任主机功能组件,信任主机使得在一台计算机上具有一定特权的用户不用口令就可以在另外一台计算机上获得等价的特权;(4)通过猜测口令的程序。通过快速尝试多种字母,希望猜中授权用户的口令,这样进入后就可以获得和授权用户一样的活动权限。
Morris在麻省理工学院的计算机上释放了他的蠕虫。选择麻省理工大学是为了掩盖是来自康奈尔大学的Morris是事实。很快,Morris发现蠕虫复制和计算机被重新感染的速度比他预期的要快的多。最终,分布在全国的计算机要么崩溃,要么患上“精神紧张症”。当Morris认识到发生了什么后,他和他在哈佛的朋友商量对策。最后,他在哈佛向网络发了一个匿名信息,指导程序员如何终止蠕虫的运行、防止重新感染。然而,由于网络路由的阻塞,这个信息并没有产生应有的作用。不计其数的计算机被影响,包括最主要的大学、军事站点、医学研究机构等的计算机等。每台计算机处理蠕虫的费用估计从200到53000美元不等。
Morris的罪行被发现了,紧接着是陪审团的审判,他触犯了18 U.S.C.Section 1030(a)(5)(A)。他被缓刑三年、400小时的社区服务和10050美元的罚金以及他的监管费。
22.SQL注入技术 强制产生错误
对数据库类型、版本等信息进行识别是此类型攻击的动机所在。它的目的是收集数据库的类型、结构等信息为其他类型的攻击做准备,可谓是攻击的一个预备步骤。利用应用程序服务器返回的默认错误信息而取得漏洞信息。
采用非主流通道技术
除HTTP响应外,能通过通道获取数据,然而,通道大都依赖与数据库支持的功能而存在,所以这项技术不完全适用于所有的数据库平台。SQL注入的非主流通道主要有E-mail、DNS以及数据库连接,基本思想为:先对SQL查询打包,然后借助非主流通道将信息反馈至攻击者。
使用特殊的字符
不同的SQL数据库有许多不同是特殊字符和变量,通过某些配置不安全或过滤不细致的应用系统能够取得某些有用的信息,从而对进一步攻击提供方向。
使用条件语句
此方式具体可分为基于内容、基于时间、基于错误三种形式。一般在经过常规访问后加上条件语句,根据信息反馈来判定被攻击的目标。
利用存储过程
通过某些标准存储过程,数据库厂商对数据库的功能进行扩展的同时,系统也可与进行交互。部分存储过程可以让用户自行定义。通过其他类型的攻击收集到数据库的类型、结构等信息后,便能够建构执行存储过程的命令。这种攻击类型往往能达到远程命令执行、特权扩张、拒绝服务的目的。
避开输入过滤技术
虽然对于通常的编码都可利用某些过滤技术进行SQL注入防范,但是鉴于此种情况下也有许多方法避开过滤,一般可达到此目的的技术手段包括SQL注释和动态查询的使用,利用截断,URL编码与空字节的使用,大小写变种的使用以及嵌套剥离后的表达式等等。借助于此些手段,输入构思后的查询可以避开输入过滤,从而攻击者能获得想要的查询结果。
推断技术
能够明确数据库模式、提取数据以及识别可注入参数。此种方式的攻击通过网站对用户输入的反馈信息,对可注入参数、数据库模式推断,这种攻击构造的查询执行后获得的答案只有真、假两种。基于推断的注入方式主要分为时间测定注入与盲注入两种。前者是在注入语句里加入语句诸如“waitfor 100”,按照此查询结果出现的时间对注入能否成功和数据值范围的推导进行判定;后者主要是“and l=l”、“and l=2”两种经典注入方法。这些方式均是对一些间接关联且能取得回应的问题进行提问,进而通过响应信息推断出想要信息,然后进行攻击。
23.跨站脚本攻击(也称为XSS)
指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。
27.Gary McGraw博士
Gary McGraw全球公认的软件安全权威,Cigital公司的CTO,董事会成员,掌管Fortify软件公司的技术顾问团,同时担任RavenWhite公司的高级顾问。Gary在网络安全方面著有多本著作,其中的6本长居畅销书排行榜前列。
在本书中全面、详细地介绍了这种方法。本书的副标题“使安全成为必需的组成部分”点出了实施软件安全的工程化方法的总纲,即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分。支持这个总纲的三根支柱是应用风险管理、软件安全的接触点和知识。风险管理是一种战略性方法,即将追踪和减轻风险作为一种贯穿整个生命周期的指导方针。接触点,即在软件开发生命周期中保障软件安全的一套最优方法,是一种战术性方法。Gary McGraw博士总结出了七个接触点,即代码审核、体系结构风险分析、渗透测试、基于风险的安全测试、滥用案例、安全需求和安全操作。无论你采用什么样的软件开发方法学,你都可以将这些接触点应用到你的开发生命周期中,而不需要完全改变你的软件开发生命周期。这些接触点从“黑帽子”(攻击和破解)和“白帽子”(防御和保护)两个方面综合地考察软件开发中可能出现的问题,结合了它们的开发生命周期就成为“安全的”开发生命周期。“安全的”开发生命周期能够在每一个开发阶段上尽可能地避免和消除漏洞,同时又保留了你熟悉的工作方式。软件安全的第三根支柱是知识,包括收集、压缩和共享能用于为软件安全方法提供坚实基础的安全知识。由于软件安全是一门新的学科,及时总结知识,并用知识来教育所有相关的人员,对确保软件安全是至关重要的。在整个开发生命周期中综合应用这些方法,就能从设计、编码和测试等各个层面上消除软件中的安全弱点,从制度上、方法上最大限度地保障软件安全。
27.微软的SDL 微软SDL(Security Development Lifecycle)流程,是一种专注于软件开发安全保障的流程,为了实现保证最终的用户安全,在软件开发各阶段中引入安全和隐私问题。其中主要由以下7部分组成:
安全培训(training):推广安全编程意识
需求分析(requirements):寻找安全嵌入的最优方式
系统设计(design): 威胁建模设计
实现(implementation):安全开发
验证(verification):黑/白盒测试
发布(release):最后检查确认
响应(response):应急响应,bug跟踪解决
总结, 通过上面的介绍,我们发现微软SDL是将设计、代码和文档等与安全相关漏洞减到最少,在软件开发的生命周期中尽可能的早地发现解决相关漏洞建立的流程框架;值得我们学习的地方是,我们可以借鉴微软SDL的流程框架建立符合公司自己的。
以下微软SDL流程框架图:
微软SDL官方地址: http://www.xiexiebang.com/security/sdl/default.aspx
目前多数公司在安全方面都面临者诸多问题,如:
安全意识不足
缺少安全设计
缺少安全编程规范
频繁的迭代更新版本
压缩项目周期
。。等,当然还有更多,在此就不在列举
所以借鉴微软SDL流程框架,本文作者构建符合自己公司的SDL流程框架:
安全测试(通过黑/白盒测试,发现公司系统潜在的漏洞,构建漏洞库)安全培训(通过对常见漏洞,尤其是对用户及公司造成危害性大的漏洞培训形成解决方案措施)需求分析评估(确切的来讲,这个层次应属于信息安全范围,针对各层次进行安全信息识别和漏洞评估,制定相关安全目标等内容)系统设计(威胁模型建立,进行架构分析,分解各应用程序,识别风险,识别漏洞等)编码实现(进行相关代码评审,漏洞扫描检查)发布(上线审核机制,安全监控(日志,网站,服务器等),Bug管理,故障事件管理等)
通过上面大家可以发现微软SDL的“响应”环节去掉了,其实响应我个人理解将其融入以上6个环节中更有效,因为每个环节都需要应对;其中将安全测试和安全培训提至最前面,因为目前国内公司对安全其实了解甚少且比较偏面,所以最好的解决方法就是将问题摆出来,然后寻求解决之道!
可重复的流程,通过这些流程可靠地实现可测量的安全性提升。因此,软件供应商必须转为采用一种更严格的、更加关注安全性的软件开发流程。这种流程旨在尽量减少设计、编码和文档编写过程中存在的漏洞,并在开发生命周期中尽可能早地检测到并消除这些漏洞。用于处理来自 Internet 的输入、控制可能被攻击的关键系统或处理个人身份信息的企业和消费者软件最需要实施这种流程。
如前所述,工程师教育已超出本文的讨论范围。但是必须认识到教育计划对 SDL 的成功实施至关重要。计算机科学和相关专业的大学应届毕业生一般缺乏必要的培训,不能立即加入工作队伍从事安全软件的设计、开发或测试工作。即使是学了安全课程的人员,他们可能对加密算法或访问控制模型接触较多,但是对缓冲区溢出或规范化缺陷可能了解不多。一般情况下,行业内的软件设计者、工程师和测试人员也缺乏适当的安全技术知识。
在这些情况下,准备开发安全软件的组织必须负责对其工程人员进行适当教育。根据组织的规模和可用的资源,应付这种挑战的方法可能会有所不同。拥有大批工程人员的组织可建立一个内部计划对其工程师进行在职安全培训,而小型组织则可能需要依赖外部培训。在 Microsoft,所有从事软件开发的人员必须参加一年一次的“安全进修课程”培训。
项目风险管理是指通过风险识别、风险分析和风险评价去认识项目的风险,并以此为基础合理地使用各种风险应对措施、管理方法技术和手段,对项目的风险实行有效的控制,妥善的处理风险事件造成的不利后果,以最少的成本保证项目总体目标实现的管理工作。风险管理与项目管理的关系
通过界定项目范围,可以明确项目的范围,将项目的任务细分为更具体、更便于管理的部分,避免遗漏而产生风险。在项目进行过程中,各种变更是不可避免的,变更会带来某些新的不确定性,风险管理可以通过对风险的识别、分析来评价这些不确定性,从而向项目范围管理提出任务。