创新等级(共9篇)
创新等级 篇1
1 信息安全等级保护是国家制度性工作
信息安全等级保护是我国信息安全保障的基本制度,是网络空间安全保障体系的重要支撑,是应对强敌APT的有效措施。
美国国防部早在二十世纪八十年代就推行“安全等级划分准则”。2003 年,美国发布《保护网络空间国家战略》,提出按重要程度不同分五级保护,并通过了《联邦信息安全管理法案》(FISMA),要求NIST制定分类分级标准。2005 年变成强制性标准(FIPS200),要求联邦机构无条件执行。2013 年2 月12 日,奥巴马发布了《增强关键基础设施网络安全》行政令,按此令NIST于2014 年2 月12 日提出了《美国增强关键基础设施网络安全框架》,按风险程度不同分为四个等级,实行识别、保护、监测、响应、恢复全过程的风险管理。
我国等级保护工作有序推进。1994 年,国务院发布《中华人民共和国计算机信息系统安全保护条例》(国务院令第147 号),为我国信息系统实行等级保护提供法律依据。依据国务院147 号令制定发布了强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999),为等级划分和保护奠定了技术基础。依据国务院147 号令制定发布了强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999),为等级划分和保护奠定了技术基础。国家有关部委多次联合发文,明确了等级保护的原则、基本内容、工作流程和方法、实施要求和计划等。目前国家各部门都按信息系统定级备案、整改建设和测评进行推进,国家重点工程的验收要求必须通过信息安全等级保护的测评。2015 年6 月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。现将《中华人民共和国网络安全法(草案)》在中国人大网公布,向社会公开征求意见。其中,第十七条,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改……
保障网络运行安全,必须落实网络运营者第一责任人的责任。据此,草案将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。
2 科学定级、全面建设
2.1 定级
准确划分定级系统,从保护信息和计算两维资源出发,根据在国家安全、经济建设、社会生活中的重要程度,以及系统遭受破坏后的危害程度等因素确定等级。经各大单位、行业提出,专家评审,主管部门备案。
定级系统的特征:业务处理流程的完整性,软硬件设备相对的独立性,安全管理责权的统一性,多级互联隔离性。
2.2 建设步骤
(1)制定安全方案。按照《信息安全等级保护管理办法》、《计算机信息系统安全保护等级划分准则》(GB17859-1999),参照《信息系统等级保护安全设计技术要求》(GB25070-2010)。
(2)开展安全建设。参照《信息安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》等技术标准,从技术和管理两个方面进行安全建设。
(3)开展等级测评工作。选择等级测评机构;制定测评方案;开展测评工作;出具测评报告;专家评审。
(4)整改工作进一步完善。
3 主动应对、积极防御
3.1 设计原则
从技术和管理两个方面进行安全设计,做到:
(1)可信:针对计算资源(软硬件)构建保护环境,以可信计算基(TCB)为基础,层层扩充,对计算资源进行保护。
(2)可控:针对信息资源(数据及应用)构建业务流程控制链,以访问控制为核心,实行主体(用户)按策略规则访问客体(信息资源)。
(3)可管:保证资源安全必须实行科学管理,强调最小权限管理,尤其是高等级系统实行三权分离管理体制,不许设超级用户。
3.2 结构框架
安全管理中心支持下的计算环境、区域边界、通信网络三重防护结构框架,类同于美国“曼哈顿”计划。
3.2.1 计算环境
(1)典型应用子系统:安全保护环境为应用系统(如安全OA系统等)提供安全支撑服务。通过实施三级安全要求的业务应用系统,使用安全保护环境所提供的安全机制,为应用提供符合要求的安全功能支持和安全服务。
(2)节点子系统:节点子系统通过在操作系统核心层、系统层设置了一个严密牢固的防护层,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性安全,从而为典型应用子系统的正常运行和免遭恶意破坏提供支撑和保障
3.2.2 区域边界
区域边界子系统:区域边界子系统通过对进入和流出安全保护环境的信息流进行安全检查,确保不会有违背系统安全策略的信息流经过边界,是信息系统的第二道安全屏障。
3.2.3 通信网络
通信网络子系统:通信网络子系统通过对通信数据包的保密性和完整性进行保护,确保其在传输过程中不会被非授权窃听和篡改,使得数据在传输过程中的安全得到保障,是信息系统的外层安全屏障。
3.2.4 管理中心
(1)安全管理子系统:安全管理子系统是信息系统的控制中枢,主要实施标记管理、授权管理及策略管理等。安全管理子系统通过制定相应的系统安全策略,并且强制节点子系统、区域边界子系统、通信网络子系统及节点子系统执行,从而实现了对整个信息系统的集中管理,为信息系统的安全提供了有力保障。
(2)审计子系统:审计子系统是系统的监督中枢,安全审计员通过制定审计策略,强制节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统执行,从而实现对整个信息系统的行为审计,确保用户无法抵赖违背系统安全策略的行为,同时为应急处理提供依据。
(3)系统管理子系统:系统管理子系统负责对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和维护,包括用户身份管理、资源管理、应急处理等,为信息系统的安全提供基础保障。
3.3 安全防护特点
(1)整体防御、分区隔离
加强定级对象信息系统整体防护,建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构,实施多层隔离和保护,以防止某薄弱环节影响整体安全,在可信计算技术支持下做到:病毒染不了、木马注不上、黑客进不来,有效净化网络环境。
(2)积极防护、内外兼防
重点做好操作人员使用的终端防护,把住攻击发起的源头关,严格执行强制访问控制,有效防止非法操作。
(3)自身防御,主动免疫
可信环境内保护资源主动免疫,使非法攻击者进不去,进去后拿不到,拿到后看不懂,想篡改也改不了,想赖也赖不掉,避免网络封堵的被动局面。
(4)纵深防御、技管并重
加强技术平台支持下的安全策略管理,实现管理人性化和与业务流程有关的管理。对系统资源、人员授权、审计追踪进行全面管理。实现人、技术、管理的纵深防御。具有预警、应急处理能力。
4 做好新型计算环境下信息安全等级保护工作
云计算、物联网、工业控制、移动互联网、大数据等,都是通过网络以服务的方式提供给用户的计算模式,组成了新的计算环境和信息系统,都可以用等级保护制度进行安全防护体系建设。
下面以云计算为例,构建等级保护技术框架。
信息系统云是指其信息处理流程在云计算中心完成。因此云计算中心负有安全保障责任,也有信息系统用户的行为安全责任(宾馆模式)。
云计算中心可以同时运行多个不同安全级别的信息系统。云计算中心安全级别不低于承运最高等级信息系统的级别。
云中心一般由用户网络接入、访问应用边界、计算环境和管理平台组成(如图2 所示),可形成虚拟应用、虚拟计算节点以及虚拟(逻辑)计算环境,由此构建可信计算安全主体结构。
可信计算是指:计算处理结果与预期的相一致,中间过程可控制管理、可度量验证,实现主动免疫计算。
在安全管理中心支撑下的可信计算环境、可信边界、可信通信网络三重防护架构。
可信云计算环境,从基础设施可信根出发,度量基础设施、计算平台,验证虚拟计算资源可信,支持应用服务的可信,确保计算环境可信。由用户确定主体/客体关系,制定访问控制策略,确保控制流程可信。
可信云计算应用边界,就是验证用户请求和连接的计算资源可信。
可信云计算通信网络,就是保证用户与云中心通信的安全可信。
可信云计算安全管理,系统管理保证资源可信(中心)、安全管理负责授权和策略(用户)、审计管理负责追踪和应急处理(双方)。
创新等级 篇2
台风的危害
台风是一种破坏力很强的灾害性天气系统,但有时也能起到消除干旱的有益作用。其危害性主要有三个方面,大风,热带气旋达台风级别的中心附近最大风力为12级以上。暴雨,台风是带来暴雨的天气系统之一,在台风经过的地区,可能产生150~300mm降雨,少数台风能直接或间接产生1000mm以上的特大暴雨,如1975年第3号热带气旋登陆后倒槽在河南南部产生的特大暴雨,打破了部分地区的.降雨记录。
风暴潮,一般台风能使沿岸海水产生增水,江苏省沿海最大增水可达3m。9608和9711号台风增水,使江苏省沿江沿海出现超历史的高潮位。台风过境时常常带来狂风暴雨天气,引起海面巨浪,严重威胁航海安全。台风登陆后带来的风暴增水可能摧毁庄稼、各种建筑设施等,造成人民生命、财产的巨大损失。
创新等级 篇3
1.从新颖程度而言, 创造了一种本企业 (组织) 前所未有的服务, 开始生产本企业以前从未生产过的服务产品 (如星巴克2002年在其连锁店推出高速无线上网服务, 使顾客在畅饮咖啡的同时还可进行网上冲浪。梦幻娱乐场推出一种由电脑控制的宾馆行李运送系统, 在服务员的帮助下, 客人只需在行李上标明自己的房间号, 行李即可与客人同时到达指定房间, 免去了客人带着繁重行李爬楼梯的烦恼) 。
2.对某个流程 (某一服务环节) 进行改进, 提高了服务质量, 降低了服务成本 (如银行对前来办理业务的客户免费提供理财咨询服务、客户引导服务、VIP客户服务, 撤掉柜台前的栏杆, 安置自动叫号机、增设沙发、报纸等物品以消除顾客排队时的烦躁和焦虑等等, 都可看做是该种性质的服务创新) 。
3.对企业 (组织) 已有的某项服务产品进行生产流程或服务内容上的部分变更, 同样达到了提高服务质量、降低服务成本的目的 (如银行为信用卡客户提供免费短息提醒服务;快递公司增加上门接货、货到收款服务;旅游公司在原有产品基础上推出探险游、生态游、文学游和艺术游等旅游新产品等均符合该种性质的创新) 。
4.创造一种前所未有的服务产品或者开发出新型的服务媒介 (如移动公司的飞信业务, 飞机上提供保健按摩设备, 旅游公司开发指纹识别扫描设备、饭店配备顾客自助点菜系统等等) 。
5.上述改进或变更能够使消费者切实体验到服务价值的提升, 增加消费者心理感受和服务满意度。
满足上述条件的服务创新产品或服务创新活动, 本研究均界定为企业服务创新。总之, 一种新的服务产品或创新后的服务流程较为明显的表现是服务人员改变以往的生产或工作方式, 顾客也有可能改变以往的服务接受方式, 从技术角度则表现为该服务产品采用了更为先进的技术或高科技媒介, 该技术或高科技媒介的引入使得原有服务产品生产效率更高、质量更优、客户更加满意, 同时要求员工持续学习, 率先掌握新技术, 熟练使用新媒介, 以帮助顾客更好地接受该项新服务。
本文拟从服务创新所需资源获取的难易程度、创新的新颖程度和创新对技术的依赖程度三个维度提出服务创新等级划分标准、划分方法等规律性认识, 构造“服务创新等级三维结构图”, 确定“服务创新等级划分标准”。以帮助企业合理界定自己的服务创新等级, 区分阻碍成功进行服务创新的关键因素, 明晰服务创新逻辑, 帮助企业提升自身服务创新水平。
一、企业服务创新等级划分的三维结构模型
Bilderbeek、Hertog、Marklund、Miles (1998) 提出的服务创新四维度模型只是告诉创新者在进行创新时, 要根据自身条件和创新实力, 在全面考虑周围环境的基础上, 才可选取适当的创新维度进行创新[1], 至于如何选取适当的维度作者并未详细论述。Booz, Allen and Hamilton (1982) 根据创新成果对市场和企业的新颖程度将创新分成六个层级[2]。但该研究对创新层级的划分主要针对有形产品的创新, 对无形服务的创新不是很适合。实际中决定服务型企业创新层次的主要因素可分为创新所需资源获取的难易程度、创新的新颖程度以及创新对技术的依赖程度三个方面。
(一) 创新所需资源获取的难易程度
企业进行服务创新必须投入一定的资源, 具体包括创新周期、必要的人力资源、技术资源、资金资源、设备资源, 甚至要成立专门的创新管理组织, 借助创新管理组织研究顾客需求, 挖掘市场空缺, 扑捉创新思维来源, 收集顾客反馈意见, 评估创新回报, 制定并实施具体的创新战略。但是, 企业在具体创新过程中, 有些资源是企业自身所固有的, 有些资源则需要从外部获取。
对于自有资源获取相对容易, 而获取外部资源则受多种条件限制。企业根据所面临外部环境的不同, 可以对自己获取外部资源的难易程度做定量评估, 具体可从以下方面入手。 (1) 是否拥有专业创新团队或创新网络, 该团队创新能力如何, 能否通过创新团队或创新网络整合企业内、外部创新资源; (2) 企业高层是否愿意成立专项创新基金, 长期支持企业服务创新; (3) 对于企业外部出现的新型服务产品, 是否可以通过加盟或购买许可证、经营特权的方式获得新技术或新服务诀窍, 是否善于进行市场整合, 获取市场交易资源; (4) 能否通过供应链整合从一流供应商那里获得新的产品或服务, 该产品需求增加能否带来新的创新增值机会, 有无长期合作创新的经历或愿望, 是否达成了一种长期开发或购买协议, 且该协议可以保证企业拥有可靠的服务创新创意来源; (5) 是否有一套完善的控制和激励机制, 可以使自主开发及与外部协作创新的成本始终保持最低, 且协作创新成本低于自主创新; (6) 创新的外部环境是否优越, 企业所在地是否有专门的服务创新孵化器或创新服务平台。
(二) 创新的新颖程度
有学者根据创新新颖程度将服务创新分为渐进性、半突破性和突破性创新三个层次[3,4]。考虑到服务创新概念上的众多不一致, 本文根据服务创新新颖程度对服务创新做如下限定:与本企业 (公司或组织) 所能提供的服务产品相比较而言, 是一项比较新的服务产品。或者说这种服务产品市场上已有别的企业正在生产供应, 但本公司尚没有或不愿提供这种服务产品, 通过一定的改进可以将其他公司的这种服务产品引入到本公司来进行更优质的生产和销售, 那么这种服务产品对该公司而言同样可以认定是一种新的服务。
本文探讨的服务创新具有公司 (组织) 层面上的含义。这种新的服务产品在新颖程度上有如下方面的区别: (1) 对某个流程 (某一服务环节) 进行改进, 提高了服务质量, 降低了服务成本 (如公交公司增设自愿维持秩序岗位, 引导乘客排队乘车) ; (2) 对公司 (组织) 已有的某项服务进行生产流程上的部分变更, 同样达到了提高服务质量、降低服务成本的目的 (如医院药房和划价合署办公) ; (3) 从整体上而言, 创造了一种本公司 (组织) 前所未有的服务 (如理发馆定制专业设备, 在客人接受理发服务期间为其免费提供上网、影视欣赏服务) ; (4) 创造一种前所未有的服务产品或者开发出新型的服务媒介 (如移动公司的飞信业务, 飞机上提供保健按摩设备、铁路公司引入动车服务等等) ; (5) 上述改进或变更能够使消费者切实体验到服务价值的提升, 增加消费者心理感受, 提升顾客满意程度。
满足上述条件的服务创新产品或服务创新活动, 本研究均界定为服务创新, 且创新程度均有所不同, 可做较为清晰的等级划分。
(三) 创新对技术的依赖程度
服务型企业采用新技术的目的不是为了推动技术进步而是为了开发新的服务产品或改进现有产品[5], Barras (1986) 认为服务业的创新是对信息技术吸收和应用的结果[6]。现代信息通讯技术 (ICT) 、计算机网络技术、计算机辅助设计 (CAD) 等各种高新技术的推广应用使得制造业和服务业相互渗透, 界限愈来愈不明显, 无形服务与有形产品结合愈加紧密, 服务创新几乎一刻也离不开现代技术的支持。可以说现代服务业是依托现代信息技术发展起来的知识和技术相对密集的产业, 服务创新主要是对信息、科技、知识等要素一体化综合应用的结果。当然, 并不是所有的服务创新都离不开技术的支持, 较为低级的服务创新对技术依赖程度偏低, 甚至没有什么技术含量, 而只是服务方式、服务流程的一种改进。对技术依赖程度的评判主要从服务从业人员知识水平要求、创新对现代信息通讯技术和计算机网络技术的依赖等方面加以判断。
根据上面的分析, 本文分别以创新资源获取难易程度、创新新颖程度、对技术的依赖程度为坐标轴, 构造出企业服务创新等级划分的三维结构模型, 具体见图1。
图1是由OX1、OX2和OX3三条坐标轴组成的一个三维空间。其中, OX1和OX2轴构成创新资源获取难易程度平面, OX1和OX3轴构成创新新颖程度平面, OX2和OX3轴构成服务创新对技术的依赖程度平面。如图中各轴箭头方向所示, 靠近原点O表示对技术的依赖程度和新颖度低, 创新所需资源获取容易;远离原点O表示对技术的依赖程度和创新新颖度高, 所需资源获取难度大, 离原点越远, 依赖度和新颖度越高, 资源越难以获取。图中A、B、C、D和E五点分别表示创新的五个等级, A点所示创新等级最低, E点等级最高。
二、企业服务创新等级划分标准的界定
图1只是给出了服务创新等级划分的初步轮廓, 具体到各级创新具备哪些特征、产品特点如何、从哪里寻找创新机会、创新机理是什么、如何划分创新等级等, 还须有一定的标准。确定服务创新等级划分标准, 还需对不同等级的服务创新创意来源、创新形式、创新流程、产品表现、对消费者要求等有一定的了解。根据上述条件, 绘出企业服务创新等级划分参考标准框架图, 结合图1中A、B、C、D、E五点所对应创新等级, 图2给出了企业服务创新等级划分标准的大致框架。由图2可知企业服务创新面临如下两种情况:一是企业原来提供某种服务产品, 通过一定程度的创新可以使该服务产品更加完善, 服务质量更高, 更好地满足顾客需求;二是企业原来不提供某种服务产品, 但是通过模仿引进或自主创新可以生产供应该产品。
(一) 一 (初) 级服务创新对应图1中A点
初级服务创新可看作是最低层次的创新, 是对企业已有服务产品的微小改进, 消除原产品瑕疵, 使该产品更加完美。初级创新投入很少, 风险很小甚至没有风险, 创新难度、新颖程度很低, 资源获取极其容易。例如某银行率先在工作人员中推行“微笑化表情接待、亲情化语言沟通、规范化服务行为、统一化工作着装、清洁化服务环境”的“五化”活动旨在提高银行服务质量, 提升客户满意, 营造“亲情金融服务体系”的创新活动就可以看作是初级层次的服务创新。类似地, 对前来办理业务的客户免费提供理财咨询服务、客户引导服务、撤掉柜台上的栏杆等都可看作是初级层次的创新。几乎所有的组织都可以实现这一层级的创新, 因为该级创新对技术水平要求不高, 技术含量低, 风险小, 而且外在创新效果十分明显。
(二) 二 (次低) 级服务创新对应图1中B点
较初级创新而言, 二级创新变化较多, 企业原本不提供某种服务产品, 在模仿引进的基础上, 结合本企业实际对引进产品进行适度创新, 使该产品较原产品功能更完善、服务质量更优, 消费者满意度更高。该级创新难度、新颖度较低, 资源获取容易, 一般无需借助专业设备即可完成。例如为解决中小乡镇企业因缺少有效抵押资产而难以贷款, 某银行模仿其他金融机构推出“权证抵押贷款、小额标准抵押贷款”等循环周期产品, 凭借贷款人手中的土地承包经营权证、林权证、矿产资源开采权证等有效证件就可以申请一定额度的贷款。又如, 为了在竞争中占据有利位置, 网络公司不断改变已有产品的外观界面, 免费增加新的功能, 免费为客户提供产品升级服务。
(三) 三 (中) 级服务创新对应图1中C点
中级创新主要是针对市场上尚未满足的需求而开发的产品, 创新难度适中, 新颖程度偏高, 资源获取相对容易。开发该产品一般需要提供专门的设备或设施, 需要一定的人力和时间投入, 有一定的技术含量。消费者有时可以免费使用该产品, 但更多的是付费消费。例如银行信用卡及时雨短信提醒服务、阿里巴巴的支付宝服务、耐克公司提供在线产品定制服务、强生公司推出“强生宝宝中心”免费向年轻父母普及育儿知识的在线服务等等类似的服务创新。上述服务创新充分结合信息时代的社会特征, 通过企业信息化建设而进行的服务理念创新, 其投入并不多, 主要是揉合了信息技术、网络技术知识, 借用了消费者 (含潜在消费者) 自有资源和社会公众资源, 达到了向所有消费者宣传其超值服务理念、塑造企业品牌形象的目的。
(四) 四 (高) 级服务创新对应图1中D点
高级服务创新所面临的风险和投入都比较高, 但成功后的回报也很高。在进行这一层次的创新之前, 经理们需要评估市场预期容量和面临的风险, 估算创新成本和回报, 投入必要的人力和物力资源, 创新难度、新颖程度高, 资源依赖性大, 有时还需借助一定的设备或设施, 配备专业技术人员。例如:2010年雅戈尔在全国十余省会城市同步推出“量身定制”服务, 实现了个性化服务与现代工业技术的完美结合, 雅戈尔这一创新在当时国内同行中是绝无仅有的, 这一服务系统只需把顾客量体数据输入几秒钟, 便可自动生成符合定制者体形的样板, 同步割出纸样, 每份定单处理不超2分钟。为此, 雅戈尔从发达国家引进专业设备, 购买了世界领先的量体工具和推版软件, 培训了大批专业技术人员。另外, 工行、建行等推出的3G版手机银行业务、数字电视银行, 宁波国际物流公司倡导的以政府、企业和金融机构紧密联动为特征的“第四方物流市场”等服务创新都属于这一层级的创新。该级创新最为突出的是满足了市场潜在需求, 资源和技术依赖程度高。
(五) 五 (特) 级服务创新对应图1中E点
特级创新是创新的最高层次, 是企业完成的能够改变人们生活的创新。如果把四级创新看作创新的升级改造、渐进性创新, 则五级创新是革命性变革、突破性创新。创新难度、新颖程度最高, 资源依赖性极强。20世纪出现的许多新产品如蒸汽机车、无线电、电视、个人计算机、互联网、磁悬浮列车及动车可以看作是这一层级的创新成果, 只是这些创新成果更多地被应用到服务业中大大提升了服务业服务水平而已。而医院应用单细胞SNP芯片技术帮助染色体异常的夫妇生育健康宝宝的服务创新;移动公司将手机打造成主人的钱包、票务经纪人、代办人、银行、购物伙伴乃至家庭管理远程遥控器;超市或宾馆为消费者提供帮助消费者判断自己所购食物安全状况, 确保消费者吃出健康的智能软件或无线电传感器智能诊断服务等等所有这些都属这一层级的创新。
结合图1和图2可以看出决定企业服务创新等级的因素, 除创新所需资源获取的难易程度、创新的新颖程度, 以及创新对技术的依赖程度三方面以外, 创新风险和创新成果消费条件也不可忽视。因此, 在三维基础上可以将服务创新等级划分标准分为三维标准和辅助标准两个方面, 表1给出了服务创新等级划分的具体参考标准。
三、结语
进行企业服务创新等级划分的研究, 目的在于帮助企业合理评价自己的服务创新水平, 确定阻碍创新能力提升的关键因素, 消除创新障碍, 提升自主创新能力。同时, 进行服务创新等级的分析, 对于丰富服务创新研究方法也是一种有益的探索, 也有助于企业尤其是制造型向服务型转变的企业有效地建立、提高和应用服务创新能力, 成功向服务型企业转型, 增强企业核心竞争力。
本文的贡献在于构建了企业服务创新等级划分的三维结构模型和创新等级划分参考标准框架图, 结合具体案例探讨了服务创新等级划分的具体参考标准。未来的研究还应进一步探索服务创新等级划分标准的其他相关因素及各因素与企业服务创新能力提升的关系, 如何借助创新等级划分帮助企业合理开发创新资源, 如何进行创新等级划分的量化测评。
参考文献
[1]Rob Bilderbeek, Pim Den Hertog, Goran Mark-lund, Ian Miles.Service innovation:Knowledgeintensive business service as Co-producers ofinnovation, the result of SI4S synthesis paper 3, 1998.
[2]Booz, Allen and Hamilton.New poducts man-agement for the 1980s[M].New Yorlk:Booz, Allen&Hamilton, 1982.
[3]Heany, D.Degree of Product Innovation[J].Journal of business strategy, 1983, 3 (4) :3-14.
[4]托尼.达维拉.创新之道[M].刘勃, 译.北京:中国人民大学出版社, 2007.
[5]Christiane Hipp., Hariof Grupp.Innovation inthe service sector:The demand for service-specific innovation measurement concepts andtypologies[J].Research Policy, 2005, 34 (3) :517-535.
创新等级 篇4
一级考试:计算机基础及MS Office应用、计算机基础及WPS Office应用、计算机基础及Photoshop应用,一共三个科目。
二级考试:语言程序设计类(C、C++、Java、Visual Basic、Web)、数据库程序设计类(Visual FoxPro、Access、MySQL)、办公软件高级应用(MS Office 高级应用)共九个科目。
三级考试:网络技术、数据库技术、软件测试技术、信息安全技术、嵌入式系统开发技术共五个科目。
四级考试:网络工程师、数据库工程师、软件测试工程师、信息安全工程师与嵌入式系统开发工程师五个考核项目。
二、考试等级和要求
此项考试根据各工作岗位使用计算机的不同要求,目前暂定四个等级。
一级分为DOS版和Windows版,考核应试者计算机基本知识和使用微机系统的初步能力。
二级考核应试者软、硬件基础知识和使用一种高级计算机程序设计语言(QBASIC、FORTRAN、Pascal、C、FoxBASE)编制程序、上机调试的能力。
三级分A、B类。三级A类考核计算机应用基础知识和计算机硬件系统开发的初步能力;三级B类考核计算机应用基础知识和计算机软件系统开发的初步能力。
四级考核计算机应用项目或应用系统的分析和设计的必备能力。
此外,教育部考试中心在北京、福建、河北面向当地省市(系统)干部、管理人员开考一级B类考试。一级B类考试水平与一级相当,考试内容更符合机关干部、企事业单位管理人员的需要,采用无纸化考试形式。考试合格者获得一级合格证书,证书上注明“B类”字样。
三、考试方式
创新等级 篇5
1. 宗教
在通篇小说中, 简一直在苦苦追求道德责任与显示愉悦的恰当平衡。她与三个主要宗教人物打过交道:海伦·彭斯和圣约翰·里佛斯。每一个都代表一种被简最终抛弃的宗教典型, 因为简逐步形成了她自己关于信仰原则及其实际价值方面.
勃洛克赫斯特校长这个人物反映出夏洛蒂.勃郎特所观察到的, 在19世纪福音派新教会运动时期存在的危险和虚伪.当勃洛克赫斯特校长声称要清除学生们身上的傲气时, 他实际上是在利用福音派新教会的花言巧语来蛊惑他们.为了将简的同学自然弯曲的头发弄直, 他强迫学生将头发简短, 他的这些让学生们屈从于各种艰辛和羞辱的方法根本就是非基督教的.当然, 勃洛克赫斯特的那些清规戒律也很难令人信服, 他伪善地利用罗伍德学校学生们的费用来维持自己奢华家庭的行径, 表现出勃朗特对福音派新教会运动的戒心.另一方面, 海伦.彭斯的那种顺从.忍让的基督教方式使简觉得过于消极而无法采用, 尽管她也为此喜欢并羡慕海伦。
许多章节以后, 圣约翰.里佛斯为简带来的是又一种基督教的行为方式。他是一个野心勃勃, 洋洋自得。个人英雄主义想法极强的基督徒。圣·约翰极力劝说简为了道义上的责任牺牲自己的情感需要, 为简设计出了一种违背自己意愿的生活方式。
尽管简最终拒绝了所有这三种宗教方式, 但她并没有放弃道德, 精神以及对基督上帝的信仰·她的婚礼被打断时, 她祈祷上帝来寻求安慰 (第26章) 。当她饥寒交迫地挣扎在荒野之中时, 她寄希望于上帝是她能够继续生存下去 (第28章) 。她强烈反对罗彻斯特的风流行为, 所以在教会和政府仍然认为他同其他女人已婚关系的情况下, 她拒绝考虑同罗彻斯特生活在一起。尽管如此, 简也很难毅然决然地离开她刚刚寻获的爱情, 她寄希望于上帝来帮她认为不道德的生活 (第27章) 。
简最后还是找到了适合自己的中间道路, 她的精神理解力不象勃洛克赫斯特那样充满仇恨和暴虐, 也不祥海伦和圣.约翰的宗教信仰那样要求人们逃避现实.对于简来讲, 宗教能帮助人们抑制自己过度的情感表现, 激励人们努力付出并得到回报.这些回报包括自身知识的丰富和对上帝的绝对欣赖.
2. 社会等级
《简·爱》对维多利亚时代英国严格的社会等级是持批判态度的, 勃朗特对家庭女教师复杂的社会地位所做的探讨, 恐怕是小说对这一主题最重要的分析.与<呼啸山庄>中的希刺克厉夫一样, 简也是一个阶级地位不明确的人物, 由此还引起她与周围人物的紧张关系。简的举止, 老练的风度和所受的教育属于贵族阶层, 因为, 维多利亚时代的家庭女教师要辅导孩子们做到既懂礼貌又有学问, 人们期待她们具有贵族的“修养”。但是, 作为领取薪水的雇工, 主人钔又或多或少地把她们当作仆人。于是, 简在桑菲尔德庄园始终处于既无权又无钱的状况。当简觉察到自己对罗彻斯特也是犹豫不决, 因为她已感到, 如果他”屈尊”地娶了她, 简对他总会有一种负债感。简对这一问题的苦恼在第17章中表现得最为强烈, 似乎就是勃朗特对维多利亚时代阶级的批判。
简自己在小说的某些地方对阶级歧视问题做了大声疾呼。例如第23章, 她责问罗彻斯特时说道:“你以为我贫穷、底贱、不美、矮小, 就没有灵魂, 没有感情吗?你想错了!我和你一样有灵魂有感情!如果上帝赐给我美貌和财富, 我也会让你对我难舍难分, 就像我现在对你难分难舍一样。”然而, 值得注意的一个问题是, <简爱>这本书中始终没有提及任何社会划分的倾向.就是因为她不可思义地从她叔叔那里获得了一笔遗产, 简最终才能以对等的身份嫁给罗彻斯特。
3. 两性等级关系
简为了获得平等.战胜压迫一直在奋争。除阶级等级之外, 简还要同家长式的统治势力——那些持有歧视女性的观点, 并以此来对待女性的人做斗争.有三个主要的男性人物威胁到她的平等和尊严的追求;勃洛克赫斯特校长, 罗彻斯特·和里佛斯。三个人或多或少都有些看不起女人, 每个人都试图让简处于服从的地位, 让她不能表达自己的思想和感情.在追求独立和自我认知的过程中, 简必须逃离勃洛克赫斯特, 拒绝里佛斯, 回到罗彻斯特身边, 而且必须是在确认她能够以平等的身份与他结婚之后.这最后一个条件是简在沼屋那个地方和那些亲属共同度过了一段时光, 证明自己能够发挥作用以后才得到实现的.这时, 简的爱不单单倚赖于罗彻斯特, 而且, 她在经济上已经也能够独立了。另外, 在小说结尾时, 罗彻斯特已经失明, 只有靠简做他的“拐棍”了。简在地12章中阐述了在她那个时期看来较激进的女权主义哲学:
女人通常被认为是安分守己的, 可是女人的感觉完全和男人一样。她们需要运用她们的才能, 需要有一个努力的场地, 就象她的兄弟们一样;受到过严厉的限制或置身于近似绝对的死寂, 它们同样会感受到痛苦。然而她们的享有更多特权的同胞却认为, 她们的活动只应当局限于做做布丁和织织袜子, 弹弹钢琴和绣绣袋子, 这种态度未免心地狭窄.如果仅因为她们希望多做些事情或多学点东西, 超越了习俗对女性的限制, 便去非难或嘲笑她们, 那也是十足的轻率。简的言辞与作者勃朗特的个人经历相吻合, 也与维多利亚时期妇女的普遍问题相关联。像不安分、踱步。感觉“死寂”和“过于严厉的限制”这些形象化的描写都是用来描述书中“被囚禁”这一主题的范例。除了要摆脱肉体上被囚禁的事例外, 简还必须挣脱被扭曲的宗教羁绊 (一圣.约翰.里佛斯为代表) ——不论来自社会方方面面的其他羁绊。
补洛克赫斯特·罗彻斯特和圣·约翰、里佛斯还以家长式的统治威胁着简, 简通过这段话对这一统治进行了抗争。简还把这种被统治的感觉延伸到与其境遇相同的其他女性, 这段话就形成了勃朗特女权主义的宣言.通过她的描述可以看出, “千百万人在默默地反抗他们的厄运”中的“厄运”是“被注定了的”, 勃朗特抨击了那令人窒息的维多利亚时期特有的两性角色观念。这段
话剧《立秋》对传统文化的拷问与反思
王馨蔓
(苏州大学06级戏剧戏曲学江苏苏州215000)
【摘要】山西话剧院演出的《立秋》反映着晋商的衰落, 在主人公马洪翰对自己灵魂的拷问中渗透着对中国传统文化的反思。其多角度地反映社会与历史, 反映当时晋商的家庭, 大可放射到中国与整个世界的空间, 小可聚焦于山西丰德票号的后院;短可见20世纪初某年立秋的一天, 长可放眼于整个中国的商业票号历史和民族商业发展的现在。空间的延展性与时间上的跨越性, 使得这部剧的文化意义更为直接而深远。
【关键词】《立秋》传统文化反思晋商
姚玉瑄与卫中创作的晋商主题历史话剧《立秋》是一部辉煌的剧作, 一如曾经辉煌的晋商文化, 密密绵绵地传达着丰厚的寓意和对社会、历史、人生的深思, 沉甸甸地凝聚着一层悲哀的浓雾, 用一种足以穿透玻璃的针尖之力拷问与反思着中国传统文化。舞台上活跃着的《立秋》由山西话剧院搬演后, 带着中国晋商的历史特点完成了对中国传统文化的融合、拷问、反思。
一、晋商与中国传统文化的融合
晋商从明初兴起至清末渐衰, 兴盛达500年之久, 在中国商业发展的历史长河中实在是一个奇迹。而晋商的绵延得益于它将中国的传统文化与商业文化进行了融合, 这是晋商最为成功之处, 随着历史的发展, 融合中的弊端渐渐显现之时恰也是晋商失败之处。
中国传统文化是一个含义丰富、意义多重的范畴, 其中入世意义最大的莫过于儒家文化, 儒与商的结合成了一种自然趋势。儒家思想的代表“仁义礼智信”构成了晋商文化的思想理论基础, 明代蒲州 (永济) 商人王文显说“利以义制, 名以清修, 各守其业。苍天可鉴, 照此办理, 子孙必代代昌盛, 身安而家裕”1。晋商在与中国传统文化相融合的过程中具有了文化的灵魂与商业的机制, 软与硬、阴与阳、隐与显、质与形, 完善并充实了中国传统文化的内涵。
儒贾相通、商而优则仕、弃仕而为商的观念在晋商中已经深入人心。《立秋》从头至尾都回荡着几句震耳发聩的声音:“天地生人, 有一人应有一人之业;人生在世, 生一日当尽一日之勤。勤奋、敬业、谨慎、诚信。”2这句摘引自张正明《杨氏家谱》的警语不仅仅是一个民国时期山西丰德票号的运营标语, 凝聚更多的是中华民族对人生的认识, 对人的价值与意义的真知, 对家族、事业的发展之灼见。这种精神的引导与支撑似乎更胜于对物质实体的经营, 历史使得儒家思想与晋商文化的结合突出地具有了对人格进行培养的特点, 而且在这种人格培养中添加的商业因素对传文化统思想来说更具有改革性的特点。孔子说:“君子喻于义, 小人喻于利。”3这里的“‘君子’‘小人’, 乃是以修养的程度分。”4而且“子罕言利”5, “不义而富且贵, 于我如浮云”6。孔子推崇的修养是不言、罕言利, 商家的职业又决定须言且多言利, 儒、商之别是在对人格共同打造的“和”中消融的, 商家以儒之义治利, 给自己自足的农业社会注入了新鲜的血液, 灵活地掌握了将传统文化的规则要求与现实生活相结合的原则, 这是晋商繁荣昌盛的一条捷径。
话利用“被锁起来”的阴喻明确地阐述了维多利亚时期的妻子们所遭受的磨难。当伯莎·梅森由于感情被忽视和抑制使她变得疯狂和狂暴时, 她就被描述成近乎野兽一样, 这也可被视为当时女性被囚禁的状况的象征, 说明当时女性底于男性, 女权底于男权的现实, 而勃朗特以她的小说深刻地揭露了当时的不平等现象同时对男权的特利而给予了深刻的批评和抨击.
综述:作为小说中的主要人物和故事的讲述者, 简单是一个聪明, 正直, 长相平平的女孩, 不得不与压迫, 不平等和磨难进行抗争。她虽然遇到了一个又一个威胁到自己自主性懂得人, 但她每次都成功地把握住自己的命运, 坚持了正义的法则, 保持了做人的
马洪翰说:“儒商兼融, 人才辈出的晋商辉煌!”文菲的父亲文郁波“当初到票号学徒, 规矩多着呢:首先人要周正, 个头不高不矮。进门就要试鞋试帽, 鞋是铁鞋, 脚大的穿不进去, 脚小的提不起来。帽子也是铁的, 脑袋大的戴不上, 脑袋小的扣进去了。”可以说这是一种规矩、法则、要求, 合不合理明眼人可以当即立辨。在陈旧面前, 马洪翰的见识就要进步很多:“猪脑袋大, 羊蹄子小, 咱要吗?咱不是招女婿, 是招学徒, 只要能干, 管他头脚大小呢!”留下来的不只是文郁波, 还有丰德票号历史上光亮的一笔, 在儒家文化被统治者利用并愈来愈桎梏人们思想的趋势中, 晋商文化的不断革故鼎新是促使其不断进步的原因。
丰德的家庭秩序分工展示着传统文化的阴阳和谐有序, “女正位乎内, 男正位乎外”7——男主外、女主内, 而这种家庭秩序是中国古代直至近代一直延续而用的分工模式, 具有社会典型意义。对于社会来说, 由小家的和谐可以构建大国安宁, 而国之安宁是保证家之和谐的大环境;对于家庭来说, 个人的安详可以组成家庭的和睦, 整个家庭的和顺是对个人幸福的帮衬。家国相通, 晋商男子长年在外, 奔波于全国乃至国外, 为着家资的积累、生意的扩展、事业的兴盛而操劳。女子大门不出, 使漂泊于外的男子们心有所属、意有所归、安心做事、踏实不虚。女人有希望, 带着更强的责任感守卫着家庭的后院, 管理着这个体系运转很关键的一环。崇高的票号诚信不只是体现在男人的身上, 他们“纤毫必偿, 诚信为本”。女性在其中就如同大地与土壤, 淳厚温善, 不抱不怨, 尽心尽力, 老太太拐杖上挂的钥匙不仅是保障大后方的经济防线, 更是整个家庭与生意的基础。在晋商的家族文化中因为有了财富的纽带, 给传统的家庭模式增加了与社会接触的几率, 具有了经济色彩, 这无疑使得《立秋》与现代经济社会拉近了距离。
如果说在最初中国传统文化与晋商结合时是具有进步意义与改革意义的话, 到马洪翰改变选学徒的方法时, 也不过仅仅是细节上的变动与进步。事物生灭的规律必然是产生、发展、兴盛、衰亡的。到晋商发展到晚期时, 对中国传统文化的吸纳已经尽显僵化, 此时晋商的末路既是商人们的悲哀, 也是晋商文化的悲哀。
马洪翰是坚实而主动的守卫者, 大院里面是凄楚而被动的困守者。在“丰德票号”的牌匾前, 马洪翰:“即使我马洪翰粉身碎骨, 只要有一线生机, 我也不会放弃为丰德护碑守门。”守
尊严和品德。她非常重视理智和情感的满足, 她所坚决主张的男女平等的和社会地位平等是对维多利亚时期歧视妇女和穷人的一个挑战。
摘要:简一直在苦苦追寻道德责任与现实愉悦的恰当平衡, 精神上的义务与对自己身体的关爱平衡;<简>对维多利亚时代英国严格的社会等级是持批判态度的, 并在小说中的某些地方对阶级歧视问题做了大声疾呼;简为了获取平等.尊重和自主, 他同与压治女权的男权始终做着斗争, 并最终获取了胜利。
关键词:宗教,社会等级,两性等级
参考文献
[1]常耀信主编《美国文学选读》南开大学出版社, 1991年
[2]何树、苏友芬主编<美国文学导读》世界图书出版公司, 2005年
创新等级 篇6
云计算的核心是按需服务, 以服务的方式通过互联网交付给用户[1], 为防止系统被来网络用户的恶意攻击, 系统必须提供相应的安全措施来保障虚拟机的安全可信。入侵检测是保障安全的常见方式[2], 通过监控网络或系统来发现恶意行为或与安全策略相违背的行为, 且能产生相应的日志文件。传统的网络入侵检测系统[3]把被保护的系统看成一个整体, 利用预置的规则, 对收集的数据且未经过滤的所有数据包进行检测和分析, 这种不加区分的检测方式不但带来了巨大的开销, 而且效率比较低。在云计算中, 针对虚拟机隔离、多租户化等服务特征, 入侵检测系统面临进一步的需求, 如保障虚拟机安全的情况下, 提供多防御等级的差分服务, 提升系统效率。
为了提升系统的检测效率, 本文利用双滑动窗口评估模型对用户长期使用虚拟机的历史行为做直接分析, 有效地将虚拟机分配到不同的安全等级域。然后, 通过分域规则链机制来实现虚拟机防御等级的动态配置。最后, 通过仿真实验表明, 提出的多等级的防御机制具有较低的漏报率。
1 相关工作
如今大量的商业和开源的入侵检测系统被广泛应用来保护主机或网络环境。像知名的F-Secure Linux Security[3]、Snort[4]等入侵检测系统。这些系统主要分为两类:基于主机的入侵检测系统能够有效地观察到主机的系统状态, 但是容易遭到恶意攻击或者被屏蔽;基于网络的入侵检测系统能有效地抵制网络攻击, 但是对主机内的状态一无所知, 容易让攻击者逃脱。在对传统的IDS系统改进方面, Garfinkel等[5]中提出一种能够观察到被监控系统的内部状态、同时与被监控系统隔离的入侵检测架构, 他们通过修改VMware Workstation实现了原型系统Livewire。类似的, Jansen等人[6]提出在安全主机域配置入侵检测系统, 通过对客户机的用户命令所获取的信息和内核内存所获取的信息比较来进行入侵分析。然而这种通过在线监控系统内部状态、截获内核信息实现的入侵检测系统, 设计过于复杂, 且兼容性差。
文献[7]提出了一个多等级云入侵检测系统HA-CIDS, 通过不断监视和分析系统事件, 计算其风险性, 依据计算结果选择最适当的策略应对检测到的攻击。此外, 在检测过程中采用了多种分析器, 检测全面, 灵活性高, 但是计算事件风险仅仅考虑了硬件指标和事件所产生的结果, 忽略了对使用者的可信性和服务安全需求的考虑。
针对虚拟机的安全需求和服务的多样性, Lin等提出了一个面向虚拟机服务入侵检测系统[8], 为不同的虚拟机提供不同的入侵检测策略, 但是仅考虑了操作系统和应用服务层面的不同, 忽略了对用户需求和用户可信性的考虑。Roschke等提出了一个基于云架构的入侵检测系统[9], 在应用层、平台层、系统层部署不同的IDS, 通过IDS Management的远程调用管理各个层的IDS, 增加了入侵检测系统配置的灵活性, 然而这种仅仅考虑服务类型的配置方式一定程度上制约了入侵检测系统的效率。
本文的出发点不仅仅局限于应用服务或操作系统, 而是基于用户的可信性, 利用双滑动窗口评估模型对用户使用虚拟机的历史行为做直接分析, 有效地将虚拟机分配到不同的安全等级域。最后通过分域规则链机制来实现虚拟机防御等级的动态配置, 该机制没有复杂的数据结构, 实现简单, 效率高。
2 多安全等级的虚拟机入侵检测框架
首先介绍本文工作所依赖的IDS框架。其设计思路主要如下: (1) 为了使入侵检测系统既能很好抵御针对虚拟机本身的攻击, 又能跟踪虚拟机的运行时变化, 将入侵检测系统部署在VMM之上的某一个特权虚拟机中 (称为入侵检测虚拟机, ID-VM) , 利用虚拟机系统具有良好的隔离性, 可以将入侵检测系统和同一VMM上各个虚拟机相分离, 那么即使攻击者攻破其中的某些虚拟机, 也不会影响IDVM机的正常运行; (2) 入侵检测系统能动态的从VMM中获取当前虚拟机部署和状态信息, 监控系统中各个虚拟机状态的变化, 进而判断是否有异常或攻击的行为发生; (3) 入侵检测系统能够有效地根据用户的需求和可信度动态配置虚拟机的防御等级。框架的体系结构如图1所示。其中, 授权验证管理中心是一个认证、授权和审计模块。Pub_Store存储个人信息, 系统日志, 用户和系统的交互信息。Pri_Datebase存储用户的私密信息。以上所有用户数据都是独立存储的并且经过加密处理。
在虚拟机管理器 (VMM) 中保存有一张映射表, 如图1所示, 该映射表中包括虚拟机号 (vm ID) 、用户 (IP) 和用户异常等级 (Risk Level) 等信息, 用户的异常等级是根据用户的行为动态变化, 其值是综合评估存储在Pub_Store中的用户行为记录所获得的。利用VMM对虚拟机的单向可见性, 允许入侵检测系统观察被监控虚拟机的状态, 能有效指导入侵检测系统的配置和检测过程, 实现更细颗粒的入侵检测。运行在VMM上的客户虚拟机 (VM) 称为域单元, 多个具有相同异常等级的虚拟机组成一个域, 同一个域中配置相同入侵防御等级。本文重点介绍根据用户的异常等级, 为不同的虚拟机提供不同级别的IDS保护。
3 用户的异常等级评估策略
网络入侵检测系统中, 越高的防护等级需要的模式规则越多, 需要使用的资源越多, 导致分配给客户的资源减少。然而, 低防护等级又不能很好地保证系统的安全, 所以需要在虚拟机的防护等级和资源利用率上找到平衡。综合考虑用户的可信度是有效的解决方式之一, 对于无异常行为的用户可以适当降低虚拟机防护等级以达到节约资源的目的。本文设计了基于用户行为证据的滑动窗口评估模型UBAMSW (User Behavior Assessment Model Based on Sliding Window) 来评估用户的异常等级, 通过考察中终端用户的直接行为证据, 用量化的可测量的行为证据来解决不确定的、模糊的用户可信评估问题, 具有良好的应用性和合理性。
首先给出行为异常等级 (abn) 的设置标准。异常等级的设置是根据用户在系统中的行为来决定的, 其行为对系统的危险性越高, 对应的异常等级越大。异常等级越高, 表明用户可信度就越低, 需要配置入侵检测防护等级越高。例如, 管理员在非工作时间登录系统, 就可能对系统造成致命的威胁, 入侵检测防护等级应调整为高等级。由产业界、学术界和政府开展的ENISA项目[10]列出了若干云计算信息安全利益和关键的安全风险。结合该项目的评估结果, 本文设置异常等级的评价标准如表1所示。
3.1 基本概念
林闯教授等提出了基于用户行为的信任评估、预测与控制架构[11], 在信任评估机制中, 采用了基于滑动窗口评估模型对用户的行为进行可信性评估, 但他只是从宏观的角度分析了该评估方法的有效性, 没有建立可量化的信任证据与信任等级之间的对应关系, 且缺乏对计算规模的控制。本节借鉴林闯教授的研究成果提出了一种基于用户行为证据的滑动窗口评估方法, 对用户长期访问虚拟机的行为记录进行统计分析, 量化用户行为, 使得行为证据与信任等级建立对应关系。此外, 模型中采用了小窗口 (Wsmall) 和大窗口 (Wbig) 相结合的方式对评估过程进行控制, 用Wsmall控制初始化滑动窗口, 用Wbig控制扩展性的滑动窗口, 不仅保障了评估的规模性, 也很好地控制了计算规模, 双滑动窗口评估模型如图2所示, 其中, 对用户异常等级评估考察以下参数:
●有效评价时间跨距Eff_Time, 代表有效记录的作用时间。某个用户访问记录时间离现在时间小于Eff_Time时, 该记录为有效记录, 否则成为过期记录。
●用户行为记录时间timei, 显示不同时间的行为对评估的贡献不同, 行为时间离当前时间越近, 在评估中的贡献越大。
●参与评估的最少记录数min, 用户实际访问虚拟机的记录数小于min时, 按min次计算, 目的是防止信任欺骗。
●保存的最大记录数max, 即窗口所能保存得最大记录数。当用户访问记录大于max次时, 离现在最远的行为记录将被新记录替换出去, 目的是保证评估的时效性和计算规模性。
●窗口内用户行为实际记录数n, 用于评估窗口内实际的用户异常等级。
定义1 用户的行为记录, 用户行为记录定义为User Log=<abn, time, flag>, 其中, abn为用户行为异常等级, time为用户实际访问时间, flag为记录类型标志。
小窗口Wsmall的大小为min, 大窗口Wbig的大小为max。窗口内的记录类型有三种, 用flag进行标志: (1) flag=stranger, 标识陌生用户的记录类型, 用于记录初始化或对过期记录的标识; (2) flag=normal, 标记用户实际的行为记录; (3) flag=punish, 标记窗口内受过惩罚的记录。窗口内的有效评估记录是flag被标记为normal或publish, 因为这两类的行为记录与用户行为直接相关。
3.2 用户异常等级评估过程
在窗口初始化时, 由于不能确定用户的可信度, 采用陌生用户的信任策略, 小窗口内的记录标志flag设置为stranger, 异常等级设置为最高 (abn1=…=abnmin=Max Level) , 记录时间timei设置为系统当前时间 (time1=…=timemin=current Time) 。随着用户真实访问记录的到来, 陌生记录逐渐被挤出窗口, 用户实际使用记录逐渐移入窗口。在运行时, 对窗口的滑动和更新的处理如下:
1) 窗口内过期记录的更新
如果用户长时间不访问系统时, 当timenew-timei>Eff_time, 一些有效记录逐渐成为过期记录, 为保证评估的有效性和时效性, 过期记录异常等级abn被替换为高异常等级的陌生记录值Max Level。有以下三种基本替换策略:
(1) 随机时间替换策略, 把替换的记录插入到两窗口内随机时间位置上;
(2) 最近时间替换策略, 把替换记录放到离当前时间最近的位置—窗口最右端;
(3) 最远时间记录替换策略, 把替换记录放到离当前时间最远的位置—窗口最左端。
本文默认的替换策略是最远时间替换策略, 使得过期记录不会长时间影响最终用户异常等级的评估结果, 提升评估的有效性, 具体的替换步骤为:设置记录标志flag为stranger, 行为异常等级设置陌生记录的异常等级, 记录时间timei等于最左端的记录时间, 最后按时间对记录排序, 即替换的记录被插入到窗口最左端。
2) 窗口内惩罚记录的更新
若用户使用虚拟机的某次行为被IDS检测为异常 (发动了某些恶意攻击) , 则将窗口内的若干条 (设为K条) 较低的异常等级记录设置为最大异常等级, 以此来对不信任行为进行惩罚。K的计算主要考虑一下两方面因素:一是以往用户异常等级Risk Level, 异常等级越低, 表示用户原来的可信度越高, 异常行为可能对系统造成的威胁越大, 惩罚力度越大, 所以Risk Level与K成反比;二是根据实际用户安全需求和应用背景需求, 安全需求越高, 惩罚力度也越大, 用惩罚因子α表示, α与K成正比, 实际应用中惩罚的力度应该介于小窗口和大窗口之间, α (min, max) 。K的计算如式 (1) 。其中, Max Level是系统设置的最大异常等级, Risk Level是用户当前异常等级, S为窗口内标记为normal的记录个数。
式 (1) 表明过期记录、已经设置为punish的记录和stranger的记录不参与惩罚, 惩罚对象仅仅是被标记为normal的行为记录, 因为标记为normal的行为记录一般异常值比较低, 通过对这些记录的惩罚, 能使得最后评估的用户异常等级快速升高, 达到惩罚的目的。另外, 为了让用户长时间受惩罚的影响, 保持比较低的信任度, 在符合条件的所有记录中, 选取时间最近的K条记录, 即最右端K条记录设置异常等级abn为最高, 同时标记flag为punish。
3) 用户异常等级的计算
首先, 计算有效时间段内n条有效记录的异常等级Nabn, 用式 (2) 计算。基本思路是离当前时间越近的异常行为、异常值越大的行为记录在用户异常等级评估中占的权重越大。异常等级的波动用历史异常的标准方差Di表示。β为有效时间段内行为异常时间和总使用时间的比例系数, β∈ (0, 1) 。
其次, 计算两窗口内所有记录的行为异常评估。计算小窗口Wsmall内所有min条记录的异常等级Minabn, 如式 (3) :
计算大窗口Wbig内的所有max条记录的异常等级Maxabn的计算方式类似, 如式 (4) :
最后, 为防止恶意用户用少数可信交往取得高信任值的欺骗行为, 用户异常等级评估的基本思想是取最大值法, 根据有效记录n的取值, 选取Nabn、Minabn和Minabn中最大的评估值, 计算方法如式 (5) 所示:
按照式 (5) 计算有3个好处: (1) 当用户使用系统次数较少时, 基于较少的行为记录评估不能很好地反应用户的真实异常等级, 而选取较大的评估值能有效地防止恶意用户的欺骗行为; (2) 当用户使用系统次数到达一定规模时, 评估结果选取「Nabn?能很好反映用户的真实异常等级水平; (3) 用户有效记录非常大时, 如果通过所有的有效记录来评估用户的异常等级, 一方面带来了较大的计算规模;另一方面, 让一些离当前时间比较久远的有效记录参与评估, 使得评估结果的时效性较差, 而选择「Maxabn?作为用户异常等级的评估结果, 即通过选择窗口内max条有效记录对用户异常等级评估, 很好地控制了计算的规模, 且通过窗口的滑动, 选择的有效记录都是离当前时间比较近的, 保证了评估结果的时效性, 更能反映当前用户的真实异常水平。
云计算系统中用户的异常等级决定了他的防御标准, 并且用户的异常等级会根据用户异常行为动态调整。当系统第一次给用户分配虚拟机时, 此时没有任何用户数据作为参考, 应给用户配置最高防护标准, 随后根据用户的异常行为来制定IDS的防护策略;已经存在的用户根据个人使用的历史行为记录配置IDS的防护策略。配置IDS检测策略应该与现实生活的信任关系相符合—“久见人心”对于一般用户的IDS的防护策略等级不应该下降很快, 而对于恶意用户的防御等级应该快速上升。
3.3 实现策略
本文考虑入侵检测系统的实现采用协议分析技术[5]。协议分析可以有效地应对欺骗性攻击, 对TCP、UDP、ARP、ICMP等协议相关的已知或未知的攻击非常有效。为实现对虚拟机防御等级的动态配置, 基于用户异常值构造了一个动态规则链表DRLT (Dynamic Rules Link Table) , 该链表的每个节点都是一个域的头节点, 该节点包含一个域标志vm ID (虚拟机的ID号) 和一个用户节点, 该用户节点包括使用该虚拟机成员标志member ID (客户IP) 和一个指针Rule List。其中Rule List指向一组链表, 每一个链表包括一组属于同一个协议的规则集, 相同异常等级用户配置相同规则集。
规则定义参照snort规则格式, 描述为一个五元组R={Rid, Ratt, Rdef, Rres, Rmes}其中, Rid为该规则的系统唯一标志号;Ratt为该规则适用的网络数据包的攻击类型 (如TCP, UDP, IC-MP等) ;Rdef是该条规则的具体内容, 包含规则关键字和关键字值;Rres是该条规则的报警方式;Rmes是该条规则的响应消息信息。分域规则集合Rv={Rv1, Rv2, …, Rvn}, RVi代表一个子集合, 其中的元素是配置给第Vi个虚拟机域具有相同防御等级的客户集合Mi规则集{R}。用户异常等级集合S={S1, S2, …, Sn}, 其中, Si=<ip, Risk Level>, ip为用户的网络地址, Risk Level为用户的异常等级, Risk Level是由滑动窗口的行为评估模型计算所得。域等级L={0, 1, …, 8};其中L为域等级, 不同的域等级对应不同的防御等级。
基于上述, DRLT的构造和更新过程如图3所示。
该算法的关键在于规则链DRLT不断根据用户的异常等级变化, 动态配置虚拟机的防御策略。在检测到一个用户异常等级发生变化, 通过规则库指针的指向调整检测策略, 策略调整花费代价小、效率高。本文与一般的多等级的入侵检测系统不同, 他们一般只考虑操作系统或服务来部署相应的检测策略[8,9], 本文还综合考虑用户的异常行为, 利用滑动窗口评估模型有效地把用户分为不同安全等级的域, 通过分域动态规则链机制实现了入侵检测系统防御等级的动态配置, 而不是仅仅对虚拟机层面的配置[12]。通过仿真实验表明, 本文提出的多防御等级的网络入侵检测还具有良好的可靠性和效率。
4 实验和分析
测试所用的测试工具包括模拟工具和开源的网络入侵检测工具, 以及用于比较系统的性能的工具, 如表2所示。
利用Net Logo[13]建立了一个仿真平台, Net Logo是用于模拟自然和社会现象的编程语言和建模平台, 该平台可以模拟大规模虚拟机与用户的交互过程。利用开源的网络入侵软件snort[7]模拟网络的入侵检测, 版本为2.9, 包括了9000多条协议规则, 针对不同的操作系统都做了优化, 配置了高等级、中等级和低等级防御规则库。测试平台采用Inter Core 2 Duo 3.0GHz Cpu, 内存为4GB。Tcpreplay是一款数据包发送工具, 在本系统的测试中主要用来发送数据包, 从而模拟真实的网络环境, 采tcpdump软件进行网络捕获数据分析。
在仿真平台中, 用户分为诚信用户、异常用户、随机用户3种类型。诚信用户指交互过程中一直按正常步骤操作, 无任何异常行为;恶意用户指交互过程中的行为表现一直是异常的;随机用户交互过程中行为表现时而异常时而反之, 行为表现是随机的。实验中大窗口和小窗口大小都是可以配置的, 可以根据实际的安全需求和应用背景来配置, 本实验中设定小窗口min为10, 大窗口max为30, 为了让用户记录最大参与评估过程, 有效时间Eff_Time取最大窗口的大小30天。其它仿真参数设定如表3所示。
实验一 评估模型的有效性分析
为了模拟真实环境的场景, 主要考察对随机用户的异常评估, 比较无窗口模型和有滑动窗口模型评估的异常等级变化。结果如图4所示, 两模型整体趋势和真实异常等级变化一致, 但是在前五次访问中, 无窗口模型的异常评估值偏小, 不能有效防止用户用较少的高可信行为获取较高的信任, 而在滑动窗口模型中, 前期通过小窗口的控制, 评估所得到异常等级没有快速下降, 而是以陌生的异常等级8平滑下降, 有效防止用户的信任的欺骗。
对评估模型应对可信行为和恶意行为的反应能力进行分析。从图5可知, 异常用户在高异常值情况下, 突然用户很长一段间行为表现可信 (在30次以后, 异常值一直设置为2) , 异常值是缓慢下降的, 最后异常值收敛到给定的值, 进一步说明了本文提出的评估模型能有效防止了信任的欺骗, 体现了“日久见人心”的原则。评估模型也能有效地应对恶意行为。图中诚信用户在55次访问时被检测到恶意行为, 由于评估模型中加入了有效的惩罚机制, 使得评估异常值快速上升。
实验二评估准确率对比
为验证本节提出的UBAMSW模型评估准确率和抵抗欺骗攻击的能力, 选取了两种比较有代表性的信任评估模型与之对比:Eigen Trust[14], MAA[15]。从数据规模和应用场景来说, Eigen Trust和MAA信任评估模型与UBAMSW评估模型有若干相似之处, 例如, 适合大数据规模、对对象行为的评估、考虑软件指标、考虑了历史行为记录对评估的影响等。为了便于对比, 实验还仿真了无信任模型系统。
初始状况下所有的用户均为诚信用户。假设诚信和恶意用户均100%处于积极状态, 诚信用户以100%比例提供可信文件, MMA模型中, 恶意用户以40%比例提供可信文件, 并且以100%的比例提供虚假推荐信息。为了方便对比, UBAMSW中也采用该参数, 文件个数为1 000个, 在各用户中随机分布。同时, 假设能对系统中的所有文件成功定位, 系统中每一个文件都至少被一个诚信用户拥有。
本次实验仿真了100个查询周期, 用户通过与虚拟机的交互下载在他用户手中的所需文件。成功的交互使得该用户拥有该文件, 否则不会增加该用户拥有的文件。准确率即整个系统中成功交互次数在所有交互次数中所占的比例。不同模型的评估准确率随恶意评价比例增大的变化情况如图6所示。
可以看出, 当系统没有恶意用户时, 四种模型的评估准确度都很高。随着系统中恶意用户的比例增加, 无信任模型系统的预测准确率下降快, 当恶意用户比例增加到50%, 其准确率只有60%左右。Eigen Trust模型缺乏对恶意用户的惩罚, 其成功交易率下降幅度也比较大。MMA模型考虑了直接信任、朋友节点的推荐信任、邻居节点的推荐信任、对恶意推荐的惩罚机制等因素, 在系统中恶意用户达到50%时, 仍可达到大约80%的准确率, 但它的计算还是主要依据服务评价结果进行分析的, 忽略了对历史行为的直接分析, 评估容易受共谋欺骗, 使得评估结果的可靠性受到了限制。UBAMSW模型依据直接用户的行为证据, 通过对窗口大小、记录滑动条件、不信记录和过期信任记录在窗口中的位置确定以及窗口内记录的更新和替换来保证用户行行为评估的可靠性, 能较好地评估出用户真实的可信水平, 从而能优先从可信的用户那里下载文件, 减少交互次数, 能较好地抵抗欺骗攻击。
实验三计算量的对比
对本文的UBAMSW模型、Eigen Trust和MAA的计算开销进行实验分析。如图7所示, 三个评估模型都随着用户的规模增大而计算开销上升, 而UBAMSW模型和MMA模型与Eigen Trust模型的信任计算开销差异很大。Eigen Trust模型在较小的用户规模下, 信任计算开销较小。随着用户规模增加, 计算开销明显增大, 表明该模型的可扩展性不好。MMA相比Eigen Trust计算代价较小, 通过利用迭代的计算方式, 减少了评估计算量, 但是较多考虑了与周边节点的信任推荐, 与周边节点数据量交互比较大, 在虚拟机环境下, 容易引起VMM过载问题。从开销来讲, 虽然UBAMSW模型比MMA模型稍差, 但通过进一步实验发现, 通过有效的大窗口和小窗口的控制, 能进一步控制计算规模, 取得较好的时空权衡。
通过以上实验可以看出, UBAMSW模型通过考察终端用户的直接行为证据, 用量化的可测量的行为证据来解决不确定的、模糊的用户可信评估问题, 相比与其他依据行为所产生的结果或评价结果的评估模型, 在虚拟化环境下, UBAMSW模型具有良好的应用性和合理性。
实验四 在实验中, 为了与Snort入侵检测系统做区分, 把加入UBAMSW模型的入侵检测系统称为面向虚拟机的网络入侵检测系统NIDSVM (Network-based IDS for Virtual Machine) 。不同防御等级事件处理效率, 处理效率越高, 单位时间能处理的数据包越多, 处理延迟越小, 检测效率越高, 事件处理效率用平均吞吐量度量。在实验中, 根据用户的异常等级, NIDSVM模拟配置了三个防御等级库, NIDSVM针对虚拟机VM1部署Windows下高等级规则库, 对VM2部署了Linux下中等级规则库, 对VM3部署了Windows下低等级规则库, 且实验中采用了三台客户机分别不停向三个虚拟机发送数据包, 进而NIDSVM一直检测来至三个虚拟机的数据包, 平均吞吐量 (进行了20次测试) 如图8所示。
从图8中可以看出, 部署越高防御措施NIDSVM检测数据包的速率越慢。在第30小时的时候, NIDSVM检测来自VM3的数据包的检测速率急速下降, 降至和VM1一样。由于客户机中部署的Hgod软件对VM3发动了Dos攻击, 使得保存在VMM的用户异常等级急速上升, 进而NIDSVM对VM3的防御措施调整为高防御等级。
以上实验已经说明采用基于异常等级的分域链机制能有效提升系统的处理能力。入侵检测系统的另一个重要性能指标就是检测的准确性, 用检测率表示, 计算公式为:正确报警的数量/入侵攻击的次数。如果检测系统对部分针对系统的入侵行为不能识别、报警, 即发生了漏报行为, 漏报行为的多少用漏报率表示, 计算公式为:不能报警的数量/入侵攻击的数量。漏报行为将给系统带来许多潜在的威胁, 所以漏报率的高低直接影响系统的安全性。本实验用软件Tcpreplay重放测试数据集, 观察在不同的发包速率下, 系统的检测率和漏报率如图9所示。
从图9中可以看出, 随着数据包的发送速率的不断提高, 到达50 000 pps时, NIDSVM的检测性能会有所下降, 出现少的漏报行为, 总的趋势与Snort的检测能力的变化一致, 但当数据处理的速度要求更高时, NIDSVM的性能优与Snort本身的处理能力, 因为在高负载的情况下 (虚拟化环境可能经常数据量都非常大) , 在高负载的情况下, 针对可信用户的过高防御等级, 过多的规则匹配产生了处理时延。
5 结语
针对虚拟机服务的多样性和用户多样性特性, 提出了一种基于滑动窗口的用户异常等级评估模型, 有效地将用户所在的虚拟机划分为不同的等级的安全域, 为给虚拟机提供不同等级的防御策略打下基础。最后, 通过规则链机制实现虚拟机安全等级的动态配置, 相比于传统的网络入侵系统, 系统具有良好的灵活性和扩展性, 且检测系统的性能也得到了提高。目前用户异常行为评价标准比较简单, 需引入更多的参数细化评价标准;另外, 有必要将之放置到真实的云环境中进行验证。
摘要:云计算环境下, 开放的运行环境使其面临重大的安全挑战, 传统的入侵检测系统已经不能完全适合云计算等新型计算网络环境。鉴于终端用户的可信性对虚拟机可信性的影响, 利用动态的行为可信性机制和社会信任的思想, 提出一种基于用户异常等级的虚拟机防御等级动态配置策略。首先, 利用滑动窗口行为评估机制评估用户行为, 然后根据评估结果将用户所在的虚拟机划分为不同安全等级域, 最后, 通过分域规则链机制实现虚拟机安全等级的动态配置, 有效提高入侵检测系统的效率。模拟实验表明, 提出的多等级的防御机制具有良好的可靠性。
管窥孔子等级观 篇7
等级划分的观念的出现并不是一蹴而就的, 它的出现经历了复杂而漫长的过程。正如《吕氏春秋·恃君览》所载:“昔太古常无君矣, 其民聚生群处, 知母不知父, 无亲戚兄弟夫妇男女之别, 无上下长幼之道。”《列子·汤问》也讲:“……长幼侪居。不君不臣;男女杂游, 不媒不聘。”这种无别无分, 聚生群处的状况缘何而起呢?之后又是如何衍生和发展出“分”“别”的呢?皆因当时生产力水平低下, 人类受天灾和野兽威胁严重, 时常要与饥饿、死亡做斗争, 为了生存必须集结在一起, 所以在人类的早期他们结成了“群”的状态, 即原始人群通常的状况。他们过着共同生产生活, 共同分配、消费, 单一而原始。人类在原始群居时期, 起初是杂乱性交状态, 即“男女杂游, 不媒不聘”“民知其母不知其父”的混乱状况。后来随着生产力的不断发展进步, 不同年龄、不同性别才有更为明确的区别与分工, 血缘家庭的新形式才出现了。血缘家庭是人类“第一个‘社会组织形式’”恩格斯说:“这是家庭的第一个阶段。”这个阶段还终于排除了祖孙之间及父母子女之间的乱婚杂交关系, 这种分别的产生无疑是人类历史上的一大进步。私有财产的不断积累和贫富分化的加剧促使父系家庭取代母系成为主宰。为了维护父权家长的权威, 家庭内部甚至由家庭衍生而来的家族都逐渐遵循男女之别, 长幼之别, 尊卑之别。于是, 就有了族长族众, 家长家庭成员, 妻妾, 子女, 家内奴隶等之分。由家庭分化出多个家庭共同组成的家族, 其内部也有按血缘亲疏区分的大宗、小宗之分。家族与家族之间因强弱之别通过相互征伐兼并而产生征服者与被征服者之分。种种的分化逐步发展完善就形成了后来先秦三代的宗法制、礼乐制等等, 用来维护社会有序和稳定局面。整个发展过程正如郭沫若所说:“人类从渔猎中发现牧畜, 这是人类克服自然的第一步, 也是男性克服女性的第一步。在渔猎时代, 家庭生活以女性为中心……男子在渔猎中发现牧畜……更分明了禾黍种植。由是男子产业便愈见固定下来了。男子的产业固定便是女人的家庭生产成为附庸……女子成为附庸已是奴隶制的开始。更因为产业发达的结果, 私有财产确定下来, 在同族中便发生出贫富的悬殊, 在异族中也生出抢夺交易的频繁事件……族内的贫人, 族外的俘虏, 自然而然地便逐渐地沦为奴隶。”从这段话中不难看出等级划分发展与演化的端倪与线索。
2 孔子典型的维护等级的言行
2.1 对礼的强调包含维护等级秩——礼别异
在文明程度极高的中国古代社会里, 人们讲求等级划分的观念根深蒂固, 十分强烈, 并且自成体系, 非常完备。尊卑、贵贱、长幼、亲疏是政治活动和社会生活中至关重要的社会关系。而“礼”的主要功用正是区分、规范、并维护这些庞杂繁复却不容僭越的社会关系。对此, 《礼记·曲礼上》记载:“夫礼者, 所以定亲疏, 决嫌疑, 别异同, 明是非也。”“礼”的这一功能亦被概括为“别异”、“辨异”。《荀子·乐论》曰:“礼别异”;《礼记·乐记》曰:“礼辨异”。由“礼”所“辨”、“别”的, 就是人与人之间的尊卑、贵贱、长幼、亲疏这些社会关系的种种差异, 把这些差异作为区分标尺, 来确认社会成员或阶层、团体的身份地位和所处的等级关系链条的具体位置。一言以蔽之, “礼”就是用来排列等级的, 并由此来维持整个社会有机体秩序, 使其有条不紊的正常运行。“礼, 经国家、定社稷、序民人、利后世者也。”在记载孔子生平最可信的《论语》一书中, 提到“礼”字就达七十多次。对于个人来说, “立于礼。”“不学礼, 无以立。”“不知礼, 无以立也。”把“礼”作为人们安身立命的必须。对于治理整个国家来说礼的作用也举足轻重, “能以礼让为国乎?何有?不能以礼让为国, 如礼何?”主张“君使臣以礼, 臣事君以忠”。反复强调“好礼, 则民莫敢不敬, ”“上好礼, 则民易使。”可见孔子对“礼”的重视程度与极力推崇。如此竭尽全力的推崇“礼”, 孔子对违“礼”现象是自然而然的深恶痛绝。
2.2 对违反等级制度的反击
(1) 堕三都。《左传·定公十二年》载:“是年夏, 孔子言於定公曰:‘臣闻家不藏甲, 大夫无百雉之城。今三家过制, 请损之。’使仲由为季氏宰, 堕三都, 收其甲兵。孟氏不肯堕成, 围之, 不克。”鲁定公十二年孔子参政, 他为增强公室力量, 抑制三桓扩张, 以“家不藏甲, 邑无百雉之城”为依据, 制定“堕三都”的规划。由于孔子利用了三桓内部矛盾, 季孙氏、叔孙氏最终各自毁掉了费邑与后邑。但孟孙氏反对堕成邑。定公围之不克, 孔子堕三都计划受阻。
(2) 反对铸刑鼎。《左传·昭公二十九年》记:“晋赵较、苟寅帅师城汝滨, 遂赋晋人一鼓铁, 铸刑鼎, 著范宣子所为刑书焉。”为此还遭到了孔子的批评:“晋其亡乎?失其度矣。夫晋国守唐叔之所受法度, 以经纬其民, 卿大夫以序守之。民是以能尊其贵, 贵是以能守其业, 贵不愈, 所谓度也。文公是以作执秩之官, 为被庐之法, 以为盟主。今弃是度也, 而为刑鼎。民在鼎矣, 何以尊贵?贵何业之守?贵贱无序, 何以为国?且夫宣子之刑, 夷之冤也, 晋国之乱制也。若之何以为法?”曾是孔子赞赏的对象之一, 他极力反对铸刑书、刑鼎之类问题, 孔子坚决与他站在了同一战壕, 究其根本原因也只有一个, 就是对由旧有的“礼”规定下来的一套等级秩序的维护。
(3) 反对名器僭越。《左传·成公二年》载:“新筑人仲叔于奚救孙桓子桓子是以免。既, 卫人赏之以邑, 辞。请曲县、繁缨以朝, 许之。仲尼闻之曰:“惜也, 不如多与之邑。唯器与名, 不可以假人, 之所司也。名以出信, 信以守器, 器以藏礼, 礼以行义, 义以生利, 利以平民, 政之大节也。若以假人, 与人政也。政亡, 则国家从之, 弗可止也已。”“名”“器”是名号与车服仪制, 是区分等级的标志, 孔子之所以力争“名”与“器”不可以随便赐给不够资格拥有它的人, 其实就是反对僭越等级的违礼行为, 坚决要求“正名”。《论语·子路第十三》:“名不正, 则言不顺;言不顺, 则事不成;事不成, 则礼乐不兴;礼乐不兴, 则刑罚不中;刑罚不中, 则民无所错手足。故君子名之必可言也, 言之必可行也。君子于其言, 无所苟而已矣。”
2.3 剖析本质原因
(1) 孔子身处当时历史背景——大动荡。孔子身处乱世, 大变革大动荡是当时主要的时代特征。政治、经济、文化等社会方方面面都出现剧烈动荡。春秋时期, 礼崩乐坏, 王室衰微, 诸侯并起。平王东迁后周王室势力江河日下, 要依仗诸侯国才得以勉强苟延残喘。《左传·隐公六年》载:“我周之东迁, 晋郑焉依。”《国语·周语下》:“自我厉、宣、幽、平而贪天祸, 至于今未弥。”天下有道, 则礼乐征伐自天子出;天下无道, 则礼乐征伐自诸侯出。”周王室迅速衰落, 其可控制的地盘大大缩水, 王室收入减少, 甚至沦落到低声下气向诸侯乞讨的地步, 这时, 这些“非礼”的行为遭到《左传》等书作者的多次批判, 然而此时周天子连自己祖宗制定的礼制已经置之脑后, 无暇顾及了。等级尊卑贵贱的完全乱套。《左传·成公十三年》:“国之大事, 在祀与戎”这样关系国家命脉的征伐、祭祀等头等大事却被下级越俎代庖, 充分证明了周天子已经大权旁落, 风光不再的时代背景。
(2) 根本上是对血缘性的维护。《论语·八佾》云:“子曰:周监于二代, 郁郁乎文哉, 吾从周”。极力维护“周礼”与其所规定的旧有等级秩序, 他希望参与政治, 治理国家, 说服国君们“从周”, 事实上是在维护三代宗法制国家的血缘性。李泽厚指出:“所谓‘周礼’, 其特征确是将以祭神 (祖先) 为核心的原始礼仪, 加以改造制作, 予以系统化、扩展化, 成为一整套宗法制的习惯统治法规 (“仪制”) 。以血缘父家长制为基础 (亲亲) 的等级制度是这套法规的骨脊, 分封、世袭、井田、宗法等政治经济体制则是它的延伸扩展。”孔子与许许多多生逢乱世的有志之士一样, 希望提出一套治理世道的有效方法, 使世道从“无道”重归“有道”。希望能讲前代曾经盛行一时的周礼加以合理“损益”用到当时他所处的时代环境中, 利用周礼所定, 由血缘亲疏规定地位身份, 使每个人各得其所, 在层次分明的权力与义务的金字塔中安守本分, 不得僭越, 认为这样就能使动荡不安的社会重回稳定, 秩序井然。所以孔子等级观念的原始血缘性情结浓厚, 如记载其言行最可信的文献《论语》就十分强调血缘的重要性并极力维护由此而确定的等级关系。“君子不驰其亲”“仁者人也, 亲亲为大”具体体现如多次提到的“孝”、“悌”就是父子、兄弟之间地位尊卑高下的维护, 被作为约束人们行为的规范, 是维持社会秩序的一种巨大力量。并有父子而推及扩展到君臣, 即由“亲亲”推广至“尊尊”, 由对父母尽孝推及到忠君爱国的更高层次, 由“小家”推及到“国家”的高度。认为“其为人也孝悌, 而好犯上者, 鲜矣。”就是最具说服力的证明, 从纯粹的血缘推及泛血缘的关系, 使之在整个国家治理中发挥至关重要的作用。以求达到“父父, 子子, 君君, 臣臣”的理想的有序境界。
2.4 孔子等级观的利弊需辩证对待
(1) 积极方面:是在社会动荡不安, 人民处境水深火热的情况下, 为了稳定社会秩序, 使天下重归太平盛世, 救民于水火而提出的, 孔子作为知识分子中佼佼者的代表人物, 体现他忧国忧民的社会责任感。他的治国理念充满对下层人民关爱之情, 讲求“仁”“德”治国, 这都是值得肯定的。讲你人与人之间有别、有分的等级划分理念也是值得肯定的, 避免绝对平均绝对平等的错误倾向, 对维护社会秩序, 使之有序运行是有一定的积极意义的。
(2) 消极方面:但是, 不可否认的是, 在礼坏乐崩的社会大变革的转型时期, 当时社会正从血缘宗法制向地缘封建制转变, 新兴阶级不断壮大和崛起, 那个时代需要的是新型的适应社会转型的一套治国之策, 旧制度消亡、新制度建立的时期迫切需要的是更加符合当时时代特征的学说作为统治者治理国家的坚实的理论保障与为政指南。孔子显然站在了落后的一方, 极力维护已然大权旁落的旧贵族们, 并希望通过恢复已经不适应时代需求的周礼来挽救危局, “克己复礼”显然与礼坏乐崩的时代特征不符, 导致孔子在春秋战国乱世的政治舞台上找不到自己的位置, 失意而终。
摘要:孔子身处礼坏乐崩、社会动荡变革的春秋战国时代, 作为站在思想文化战线前沿的思想家和政治家, 为了挽救危局, 使社会重回“有道”, 提出克己复礼学说, 并极力维护礼制规定之下严格的等级制度划分, 而孔子等级观念背后隐藏着的是对周礼血缘性的维护, 并由亲亲推及尊尊, 由家及国, 由此约束和规范人们的行为, 使其安守本分, 不要僭越等级, 以达到维持社会秩序稳定的目的。这是值得我们深刻挖掘的课题, 对深入客观认识和评价孔子等级观念都有积极意义和价值。
城市道路等级选择研究 篇8
道路等级与道路功能总是相互影响的:道路功能是通过道路等级来体现, 道路等级则决定着道路功能能否正常实现, 对于城市交通系统的高效运行有着重要的作用;脱离道路功能分析的路网等级结构无法满足实际需求, 合理的功能结构需要合理的等级结构来支撑。在实际工程中, 常常对快速路和主干路在道路功能定位及等级选择的认识方面存在较大差异, 直接影响到城市交通的运行效率。
1 城市快速路与主干路功能定位及设计标准分析
快速路和主干路构成城市交通的主骨架, 二者在道路两侧适建用地性质及规模、出入口控制条件、道路主要服务对象等方面有很大不同, 其功能及规划设计标准分为以下两种类型。
1.1 快速路
快速路是大城市道路交通的主动脉, 主要服务于城市中组团间或跨区域间的中长距离快速交通及过境交通, 具有很强的通过性交通特性, 还具有交通容量大、行车速度快等特征。快速路交通的最主要特点是连续流, 单车道通行能力一般可达到1 500pcu/h以上, 进出交通一般以匝道相连, 主线中央设有分隔带, 车辆行驶速度为60~80km/h, 车道宽度为3.50~3.75m。需对周边开口施行出入口控制管理, 沿线建筑物进出口也应加以控制。
1.2 主干路
主干路是道路系统的骨架, 它联系城市用地组团和各区域内部的交通, 以交通功能为主。主干路一般为双向6~8车道, 相向行驶的机动车道间应设置中央分隔带或分隔栏, 交通流为间断流, 设计车速为40~60km/h, 车道宽度为3.25~3.50 m;对两侧的地块开放出入口, 但不宜设置吸引大量车流、人流的公共建筑物进出口。
2 道路等级选择影响因素分析
道路等级确定要从城市总体规划和道路交通系统规划出发, 并考虑道路交通同沿线用地、城市景观环境、市政基础设施等的关系, 其主要依据是道路的交通流特性、道路两侧用地性质及主要的服务对象等。
2.1 交通流特性
快速路与主干路在道路交通流特性上有很大不同。城市快速路行车速度可达60~80km/h, 以快速机动交通为主, 流量大, 交通流为连续流。主干路的设计车速为40~60km/h, 以机动车和公交车流为主, 交通流为间断流, 需考虑非机动车和行人能够穿越, 并满足不同出行距离对行驶速度的要求。
2.2 道路两侧用地性质
城市道路的性质和功能决定了道路两侧土地的开发利用模式, 而道路两侧土地利用模式在一定程度上影响了用地的道路功能和等级结构。由于城市规模和土地使用性质的不同, 对城市道路功能也有不同要求。为满足不同的出行目的和方式, 作为交通主要承载设施的城市路网不仅应层次分明, 而且要功能清晰, 与道路沿线用地性质相匹配, 充分发挥道路的功能。
2.3 主要服务对象
快速路主要为机动车特别是大运量客运车辆提供直达服务;主干道为机动车和公交客流服务, 还需考虑非机动车和行人能够通行和穿越。基于道路等级和实际通行的交通特征, 可通过车速管理, 进一步确定车道宽度、设置信号灯和出入口间距及公交车站点等。不同的服务对象, 对出行距离及速度要求存在不同, 也决定了要采用不同的交通方式。
3 西江大道道路等级选择
3.1 工程概况
西江大道是重庆市九龙坡西彭组团与江津区滨江新城间联系的主通道, 全长5.6km, 是江津区进入主城的主要通道之一 (见图1) 。道路建成后将大大缩短江津与重庆主城的时空距离, 加强江津区与主城、西彭组团的交通联系。
目前, 对于西江大道应规划为城市快速路还是主干路在认识上还存在差异, 《江津区城市总体规划》中将西江大道定位为城市快速路, 而《重庆市主城区干道网调整》中将没有将其定位为主干路, 而是将西铜路定位为主干路, 认识上的差异将直接影响道路功能的发挥及沿线道路开口等相关控制要求。因此, 需从区域路网结构出发, 结合沿线用地布局, 分析西江大道的道路功能, 以确定其等级。
3.2 功能定位分析
3.2.1 交通流特性
根据江津区滨江新城的发展规划, 滨江新城将成为江津区新的城市增长极及发展空间的主要拓展区, 并承接江津区在主城区的主要职能。西江大道位于滨江新城核心区范围内, 沿线两侧用地主要为居住用地, 因此, 南北向联系紧密, 需考虑行人和非机动车的穿越, 其交通应以生活性为主, 且公交客流需求大。西铜路两侧为工业用地, 其交通流以机动车为主, 其中货车的比例较大。
3.2.2 道路两侧的用地性质
从用地布局上来看, 西江大道两侧主要为居住用地 (见图2) , 因此, 需要道路有较多的开口, 考虑到机动车交通的进出, 为沿线居民提供便捷服务。西彭组团是以发展高新技术产业为核心, 铝材精深加工为重点的工业园区, 沿线两侧的工业用地占绝对比例, 道路开口间距可适当加大。
3.2.3 主要服务对象
从服务对象来看, 西江大道不仅要承担与西彭组团的过境交通, 还要服务于沿线居住用地的客流, 具有双重功能;西铜路周边为工业园区, 以服务园区的交通性货运为主。
通过对以上各方面的分析, 将西江大道定位为主干路比较合理, 且应以交通性为主, 需要对沿线道路开口予以控制。同时, 结合区域路网对片区道路结构进行优化, 形成的路网结构如图3所示。
3.3 沿线道路开口建议
西江大道定位为交通性主干路后 (见图4) , 对沿线道路开口应进行控制, 以确保道路功能的发挥, 并为沿线居民提供高质量的交通服务, 提高路网的整体运行效率。
相关道路开口建议为:与快速路相交 (津马路) , 并采用全互通立交, 与主干路采用简易立交或信号控制进口道展宽交叉口, 与次干路相交采用信号控制进口道展宽交叉口方式, 不与支路相交, 如遇到特殊情况可采用右进、右出的形式。
4 结语
在城市交通规划中对城市道路功能的分析, 应从区域路网整体出发, 综合考虑沿线用地、交通流要求及服务对象等多方面因素, 因地制宜地选择道路等级, 与所在区域共同形成等级合理、功能明确的路网结构, 满足交通运行效率与沿线交通服务的双重要求。
摘要:城市道路中的快速路和主干路构成了城市交通的主骨架, 二者在功能特性及技术标准等方面有很大不同, 选择合理的道路等级对道路功能的发挥具有重要意义。以重庆市江津区西江大道为例, 在比较快速路和主干路功能特征及设计标准的基础上, 从道路交通流特性、沿线用地性质、主要服务对象三方面分析影响道路等级选择的因素, 最终确定其道路等级, 并对沿线的开口提出控制建议。
关键词:城市道路,道路功能,道路等级
参考文献
[1]樊大可.我国大城市道路网等级结构优化研究[D].西安:长安大学, 2005.
[2]杨晓光.城市道路功能定位[J].道路交通管理, 2008 (8) :44-45.
[3]西江大道道路等级选择及沿线道路开口建议研究[R].重庆:重庆市城市交通规划研究所, 2010.
[4]郝朝静, 刘灿齐, 原二普.城市次干道自由流车速分析[J].交通科技与经济, 2013, 15 (1) :73-75.
创新等级 篇9
三个试验段的基本情况是: (1) 南通 (启东南、北段) :启东北桩号为K120+100~K 1 2 0+6 0 0, 启东南桩号为K 1 6 3+4 0 0~K 1 6 3+9 0 0。 (2) 盐城 (亭湖段) 桩号为K151+749~K152+749。 (3) 连云港 (赣榆段) 桩号为K27+900~K28+900。
江苏沿海地区拥有丰富的自然资源和历史人文积淀, 连云港是新亚欧大陆桥的东桥头堡, 是全国最重要的国际港口之一;盐城拥有全国最为丰富的海滩滩涂资源, 建设有江苏省唯一的国家级自然保护区;南通在历史上就有北上海之称, 据江海之会、扼南北之喉, 具有江海共生的独特自然和人文风貌。此外, 江苏沿海地区还具有与山区、平原、丘陵等地区截然不同的地形地貌和地质条件, 正是基于以上考虑, 江苏临海高等级公路的景观设计确立了“亲水绿廊”的设计目标, 提出了“虽由人做, 宛若天开”的设计要求, 形成了安全、生态、多元的设计原则, 这为临海高等级公路景观设计的模式探索提供了重要的经验资料。
经过多轮的设计评审, 2012年3月初, 我司提交正式版施工图和工程量清单。2012年3月, 设计代表配合业主进行招投标的工作;2013年4月进入施工配合阶段工作, 设计代表配合设计交底, 开展现场设计配合服务工作。
注:自上而下分别表示普通段、低填及换土段、湿地水域段、房屋段、临城区段。
1 滨海高等级公路景观设计思路——路基环境分类设计
由于本次设计的滨海路线较长, 沿线的地理地质条件和环境特征都具有较大差异, 因此, 应采取差异性的分类设计思路。结合路基形式、地域环境特征, 全线土地环境类型可以分为以下五类。一是普通段, 全线高填方或周边环境为农田、平原等景观类型比较简单的区域。二是低填及换土段, 是指全线低填方及进行换土段落。三是指湿地水域段, 是指沿线有大片的湿地、水塘、河道、取土坑的段落。四是房屋段, 是指沿线密集分布村落的路段。五是临城区段, 这是指沿线靠近城区的段落和车流量较大的平交口等段落。
具体而言, 对于普通段路线, 可以采用灌木、小乔木、大乔木三层式绿色廊道式种植方式, 形成具有层次感的绿化布局, 引起视觉上的递进效果。低填及换土段, 在景观处理上可结合边坡放缓、边沟外移来营造缓坡草地景观, 这种舒缓的地形处理有利于缓解司乘人员的视觉疲劳感。对于湿地水域段, 主要考虑营造开敞的湿地景观为主, 这有利于体现滨海地区的自然风貌, 形成地域性的公路景观特色。房屋段路线采用密林式种植手法, 不仅起到遮挡建筑物的作用, 同时也能够实现隔尘降噪的功能。在临城区段, 可结合沿线用地性质, 体现城市现代化气息, 景观设计以丰富的景观效果, 多样的植物群落和多变的季相色彩营造道路景观空间和景观视线。 (如图1)
2 景观设计与土壤治理相结合的设计模式
滨海高等级公路沿线的景观设计, 除了达到美化沿线环境的效果外, 还可以起到改善滨海盐渍土土质的作用。为此, 在本次设计中, 通过进行苗木品种的选择, 并结合土方处理和地形改造等方法, 对滨海高等级公路的盐渍土土壤进行了有效的改良。 (见表1)
在苗木选择方面, 对于土壤含盐量低于3%的轻盐土区, 可以选择中山杉、高杆女贞、合欢、垂柳、海棠、红叶石楠、迎春等苗木。对于土壤含盐量在3%~6%之间的中盐土区, 可以选择墨西哥落羽杉、白蜡、湿地松、海滨木槿、夹竹桃、芦苇等植被种类。对于6%以上含盐量的高盐土区, 可以选择刺槐、香花槐、海桐、香根草、狼尾草等苗木类型。
在地形改善方面, 针对不同含盐量的设计路段, 分别采用换土、开挖排盐沟、边坡放缓等措施, 不仅达到景观绿化效果, 同时还实现了对盐渍土的有效改良 (见表2) 。
3 结语
滨海高等级公路的景观设计有着多种可参照模式, 结合本次江苏临海高等级公路的景观设计实践来看, 滨海高等级公路景观设计模式应遵循以下几条原则。一是安全性原则, 也即景观设计不能影响公路的正常运行和司乘人员的驾驶行为。二是景观设计与生态保护相结合的原则, 景观设计的同时应考虑对沿线生态环境的影响, 同时绿化和地形改造应有利于滨海公路沿线的土壤改良。三是自然景观与人文景观相结合的原则, 应考虑将滨海地区的海滨风光、湿地景观、渔港文化等纳入道路景观设计中来。四是可实施性原则, 也即所选路段及设计方案具备近期绿化实施条件。总之而言, 滨海高等级公路景观设计应在遵循景观设计共性要求的同时, 创造性地设计反映滨海特点的个性景观, 提炼出道路景观设计的创新模式。
参考文献
[1]王志泰, 林永明, 杨赞华, 等.凯雷公路景观地域性特色设计[J].公路, 2010 (7) :189-193.
[2]林万明.高速公路的空间环境与景观设计[J].中国园林, 2003 (3) :65-68.
[3]中华人民共和国建设部[S].城市道路绿化规划与设计规范, 1998.
[4]中华人民共和国建设部[S].城市绿化工程施工及验收规范, 1998.