对过度包装的看法和建议(6篇)

来源：整理 2024-03-10

对过度包装的看法和建议篇1

【关键词】工程造价纠纷；司法鉴定；造价管理

1案例简介

南京某餐饮管理有限公司（以下简称“发包人”）发包“某餐厅装饰工程”，给江苏某装饰有限公司（以下简称“承包人”）。发包人与承包人签订了《某餐厅装饰工程施工合同》。该合同约定：“由承包人包工包料，合同价款暂定为138.30万元，采用固定价格结算。指定承发包双方代表负责合同履行，无监理。”

合同签订当天，承发包双方又签订补充协议。在该补充协议中约定：“1.合同附件施工图纸的封顶总造价为162.7万元，按此造价的85%暂订合同价款，订立合同10日内核实工程量，按核定后价格支付预付款。2.承包人按合同附件图纸请设计师交底施工。如果按图施工预算有缺漏项目的情况由承包人承担；如果有增减项目或材料价格的降低的情况须得到双方认可，相应增减造价。3.材料要求：发包人认同主材、饰面主材并封小样，方可施工；如承包人变换主材，需经设计师和发包人同意。4.承包人须根据发包人意图装饰合同图纸中没有的阁楼、楼梯，不增加总造价。5.承包人交履约保证金5万元给发包人，工程验收合格十五日内返还承包人。6.本合同项目的单价按预算的子目录测算，工程量按实结算，承发包双方逐项进行审核确认。若有漏项发包人不认可。如有费用增减，双方均要认可。”

合同约定，订立合同当日为开工日。承包人进场施工，没有按补充协议第1条核实预算与合同图纸工程量，也没有议定新的合同价格。工程主体大部按合同图纸完成，对照合同图纸，变化有三：一增项如图纸范围内和图纸范围外增加区域部分；二减项；三合同图纸范围内材料价格调整。承发包双方没有办理竣工交接手续，餐厅开始营业使用。餐厅营业不到一年时间，由于经营理念、选址、广告策划、客源等诸多因素，餐厅停业。

2主要焦点与评析

承发包双方就该工程结算价款谈判多次，主张不一致。双方都没有专业的注册造价工程师来结算该工程价款，而且从合同谈判到施工结束也没有造价工程师的参与，这可能导致对合同的理解分歧和施工期管理的混乱，以及结算工程价款谈判得不到专业工程师的对口支持。发包人认为工程价款已超付，理由是有减项和材料价格的调低，但没有提出工程结算价款的具体金额；承包人提出结算价款为224万元，并请求返还履约保证金五万元。双方差距很大，久谈不决，遂诉至法院。

焦点之一：发包人要求驳回承包人的请求，认为结算金额最多就是封顶造价162.7万元，而承包人不同意。

依据《建设工程价款结算暂行办法》第六条第三款有关“合同价款在合同中约定后，任何一方不得擅自改变”的规定，发包人认为：考虑到合同图纸内的减项和部分材料价格调低，以及优惠15%的因素，工期拖延一月和防水工程质量不合格等因素，估计与增项大致相抵，总之不会超过封顶总造价。那么发包人的理由和要求能否成立吗？

对焦点之一的评析：发包人提出工程结算价款为暂定合同价138.30万元，加上增减项，工期罚款，减去防水工程价款，得到的工程总造价不应超过162.7万元；这是没有法律依据的。

关于发包人要求减去防水工程价款，援引《最高人民法院关于审理建设工程施工合同纠纷案件适用法律问题的解释》第十三条规定：“建设工程未经竣工验收，发包人擅自使用后，又以使用部分质量不符合约定为由主张权利的，不予支持”。

关于工期罚款主张，对照合同工期是延后一月。承包人认为扩大工程范围和增加工程量以及等待设计方案和业主审定材料等诸多因素导致工期延长，而且发包人拿不出节点验收文件，没有证据表明工期延迟责任完全在承包人，因此双方在管理上都有责任。

本工程结算方式为固定总价加上增减项，这也是法院认定的。至于合同价是162.7万元还是138.3万元？补充协议第1，2，6条约定：应在订立合同10日内重新核定合同价款以及相应价款修订细则。但是该工作没有履行。138.3万元是暂定合同价，162.7万元是合同图纸封顶价格，这需要法院认定。

焦点之二：承包人要求工程结算价款224万元，并返还履约保证金5万元，发包人不认可此结算金额。

承包人按补充协议第6条约定，现场测量工程量；单价套用合同预算书，预算书中没有相同项目的，承包人自行组价；并考虑材料的替换，加上签证，计算得到总造价224万元。承包人结算要求明确，按实结算，思路清晰，依据充分理应得到发包人的认可。发包人提出异议：承包人结算书中大部分签证没有业主的签字；部分主材调换成高档次的也没有得到业主同意；属于奉送部分的楼梯、木雕等违背了补充协议第4，5条。那么这些异议形成了焦点三。

对焦点之二的评析：承包人主张按补充协议第6条约定：工程量按实结算，采用合同预算书中的固定单价，得到总造价224万元。这也是没有道理的。

补充协议第6条是对第1，2条的进一步说明，而非结算条款，与固定价格合同不矛盾。承包人的结算依据没找对，所以224万元的总造价得不到认可。

焦点之三：承发包双方对该工程的增减项目的确认和计量计价意见不能统一，互为反方。

这是因为双方从目前利益出发，又无专业造价工程师对口协助，忘记了当初签订合同的真实意思，以致于各执一词，诉至法院，发包人申请对该工程造价进行司法鉴定。法院从合同原意考虑，该合同是个固定总价合同。鉴定委托书要求我们：对花卉餐厅装修工程中增、减项目的工程造价进行鉴定。

发包人提出如下主张：

（1）合同图纸中部分项目在施工中已变更，且现场无该项目，应视为减项；

（2）认可合同图纸外的地下室为增项，但地下室里的阁楼装饰为奉送项目；

（3）从合同图纸装饰楼层到门厅至户外的楼梯区域装饰也属奉送项目；

（4）合同图纸内的增项以及调换材料档次等项目应有业主签字，否则难接受。

承包人提出意见：

（1）合同图纸中有的项目而合同预算中无该项目报价，这不能作为结算的减项，理由是报价时已讲明不做如玻璃帆形包间只是设计师的概念图没有施工图；合同图纸和报价中都有的项目，现场没有，也不能全算减项，理由是有的项目变更为别的项目，也有的是做好了被整体移走，甚至看不出痕迹，如加工好的不固定的石材柜子等；

（2）合同图纸以外的所有项目都应视为增项；

（3）该花卉餐厅装修工程是讲求个性、美观、功能效果的项目，从谈判到施工过程中变化很多，本着友好信任的态度赶工程进度，很多变更项目凭着业主和设计师的意见就实施了，这些都拿不出业主签证，尤其是甲控乙供的墙地砖、金箔等需要按实计价；

（4）增减项目的确认应以现场实物与合同预算书子目对照计算，否则难以接受。

对焦点之三的评析：这正是法院的委托项“对花卉餐厅装修工程中增、减项目的工程造价进行鉴定”。我们研究了该项目的特点结合《司法鉴定程序通则》和《建设工程价款结算暂行办法》的要求，对于花卉餐厅装饰工程增减项目的确认和计量计价应遵循如下原则：

（1）独立、客观、公正、实事求是的原则。

（2）从约、合法、讲求证据的原则。

本鉴定范围为增减项目的造价，主要依据是双方确认的增减项目签证，但情况是有双方确认的签证很少，或者对于增加项目和提高主材档次的签证没得到业主的确认，仅有一张减项签证。装饰工程的复杂和施工过程中管理跟不上造成施工资料严重缺失，相关佐证的资料也很少。这就要求我们鉴定人员到现场勘察取证，逐条耐心细致地工作，多次书面沟通，按照合法、合理、合规，对照施工技术验收规范和报价习惯来甄别增减项。对于没有得到业主确认的增减项，从有利于业主使用来判断；对于无法从现场痕迹来判断的减项，遵循谨慎原则，提请法官进一步质证；对于甲控乙供和提高档次的材料调价事项，遵循取信的商家供货凭证结合与之装饰标准相适应的市场价判断调整。我们认为该工程是包施工图的固定价格合同，也从当时装饰施工图设计深度和常规以及特定概念图如上述玻璃帆形包间是否能够施工和报价，来判断增减项，但缺乏当时设计交底资料和谈判过程文件佐证，凡此结论列入报告说明项。

3造价管理建议

从以上案例可以看到：该项目属于社会投资，没有请监理，承发包方都没有专业造价工程师，对于工程的质量、进度、造价控制全凭老总个人的感觉和双方的信任，以致管理过程中造价资料严重缺失，结算扯皮产生纠纷。承发包双方应重视和加强过程履约管理，以及阶段性索赔，切实提高项目管理水平，并有专人负责管理合同资料，做到及时、有效、清楚无误。承发包双方只有通过扎实有效的项目管理来解决上述问题，才能有效保护己方的合法权益。鉴定机构认为造价管理制度不可缺失，提出如下建议：

（1）社会投资项目也要做好项目调查论证工作，最好请专业咨询机构来做，避免调研不充分导致项目的失败。

对过度包装的看法和建议篇2

论文摘要：机电设备安装工程有工期短，专业性强、工程量大等特点，监理工作的好坏直接关系到机电建设工程的投入产出及工程质量。文章就目前机电设备安装工程监理的任务及必要性展开探讨，提出项目业主应对机电设备安装工程实行监理目标控制的建议和要点。

一、加强机电设备工程全程监理的意义

项目业主经常在机电设备工程实施前期咨询(如生产工艺选择、成本预测、生产设备的选型、招标书审查、招标、评标、定标及合同谈判等)所聘请的专业技术人员或专家，在工程实施后期则采用自行管理的工程管理模式。这种管理模式经常造成前靠设计商，后靠设备生产商，整个过程都依靠合同另一方的后果。专家提咨询意见供参考，接不接纳看项目业主，最后还是看设计商。项目业主后期采用的自行管理模式，配备的技术人员重专业技术而轻工程管理，在合同执行过程中重视单体质量，重视局部质量，轻总体配合，轻目标与目标之间的协调，最后造成所有目标都只能靠设备承包商自身来保证。可见，无论是采用专家咨询方法还是采用自行管理模式都无法控制机电设备工程的建设目标。要控制工程的建设目标，就必须引入工程监理。工程监理就是对目标进行控制，监理工程师的任务是通过定期检查，把计划目标与实际值进行比较，发现偏差就采取控制措施，通过对各方面的科学调整，确保工程目标始终处于最优状态。从机电设备工程管理各阶段的任务可以看到，无论是工程的实施前期还是实施后期，都存在工程目标的管理，而且各个目标都是相互制约的，对目标的控制应采取跟踪检查，定期取样，定期与计划目标进行比较的监理手段。因此，机电设备工程引入全过程监理是必要的。

二、机电设备安装工程全程监理的主要任务

2.1全程监理设计标书。工艺选择和设备选型是一个集专业技术、成本经济、环境技术、信息管理技术于一体的综合管理过程，对机电设备工程建设的投资目标、工期目标、最终质量目标影响最大。设计商作为工艺设备选型方案的承包商，与项目业主存在合同关系，作为合同的承包方有其自身利益所在，因此对设计商的整个设计过程、设计结果都应根据设定的投资、工期、质量目标对设计方案选用的可行性(事前)，设计的合理性(事中)及方案执行的有效性(事后)进行控制，以保证各目标在设计过程中受控。

2.2组织论证。工程招标书是实现工艺选择、延续设备选型的关键阶段，其编写的质量关系到各投标商能否尽其所能提供技术先进可靠、费用合理、工期合适、运行费用相对较低的产品的关键环节。因此，项目业主必须对设计商提供的方案组织有关技术人员或专家对其进行审查论证。对招标书编写单位的选择、编写过程所采用信息资料及其搜集渠道的控制、标书的最终审查等是关系到工程的招投标、评标、定标、合同谈判以及最终授予合同的成败过程。

2.3设备制造监理。设备设计与制造是机电设备工程实施阶段的实质性执行过程，对设备承包商控制的依据包括设备承包合同、现行技术标准、规范等。设备承包合同中的技术规格书只能作为较详细的设备设计任务书，合同中包括的图纸也只是总体工艺、设备总图、总布局等，真正体现设备质量还是设备的详细设计。对设备详细设计过程的控制牵涉到工艺材料选择、加工工艺选择、各系统的匹配程度复核、结构合理性复核、电气及控制设计适用性、可靠性复核、工艺设备间接口复核以及信息交流等各环节的控制。

2.4现场安装调试阶段是建设工程完成建设期的最后阶段，具有工期紧、各方面协调关系复杂等特点。设备的安装质量是保证设备调试能否正常运行的关键。按安装施工技术、厂内拼装资料制定并执行的安装调试施工工艺设计进行安装调试，以保证其质量与工期目标的实现。对设备的调整、现场开箱、就位、预调试、设备接口处理、参数检验、及时审查有关整改方案等安装过程，对设备运行过程有关参数记录、调整情况记录等调试过程进行控制，以保证设备的安装调试全过程处于受控状态。

三、机电设备安装监理的目标控制内容

机电设备安装工程监理的三大目标工作原则为:以工程质量控制为前提和基础，对工程质量、进度、投资进行施工全过程和全面的动态控制;要以预防控制为前提和基础，加强对工程三大目标的过程控制。在三大目标控制中，要把质量控制和进度、投资控制紧密结合起来。监理工程师将采用事前、过程、结果及信息反馈的动态控制方法，对工程建设目标实施全过程控制。

3.1质量控制。机电设备安装工程质量控制的目标是实现设计及合同规定的质量标准和水平，监理的主要职责是采取有效措施对工程质量严格检查、监督和控制，以保证质量目标的实现。①承包商的监督、管理。质量控制是监理工程师在施工阶段一项最经常最繁重的工作，必须对承包商的各个施工阶段严格做到事前审批、事中监督、事后把关。将从以下几点严格把关，对承包商进行监督、管理，以保证机电设备安装工程项目“达标投产，建精品工程”的要求:审查开工条件;审查承包商组织机构和工作人员;根据招投标文件和合同有关规定审查承包商选定的分包商;对承包商的施工组织设计与施工技术措施设计以及全面质量管理保证体系等进行严格审查;对承包商的施工机具、设备等进行检查;组织有关单位对设计图纸、制造厂家提供的设备、安装说明书和技术标准等向承包商进行交底。②建立机电设备工程监理部的质量监控体系，审查承包商的质量保证体系，形成完善的质量管理体系，即建立质量检验工作制度;制定质量检验工作程序;严格把好事前技术报告审批关;审核承包商提交的施工组织设计和施工技术措施设计;审查承包商的《质量保证手册》，审核承包商提交的反映工程质量动态的统计资料或图表;审核设计变更和图纸修改文件;审核有关工程质量事故处理报告;审核有关应用新材料、新技术的技术鉴定报告等;进行现场跟踪检查。

3.2进度控制。监理工程师对进度控制主要职责是采取有效的监理措施协助业主对工程进度进行动态控制。安装单位应根据合同规定的内容和工期，编制安装总进度计划及安装进度网络图报监理部审批。经批准的安装进度计划及网络图，作为控制工程进度的依据。施工进度控制的主要任务:工程开工，对承包商的施工总进度进行细致严格审批;组织或参加各种会议对进度进行协调对按合同规定应由业主提供的施工条件进行落实，必要时向业主提出建议;对承包人提出的合理的工期索赔进行客观公正的处理。

3.3投资控制。施工阶段监理工程师对工程投资控制主要工作内容包括:协助业主编制投资控制目标和分年度投资计划;审查承包商提交的资金流计划;按照合同规定进行现场计量和签认;严格审核承包商的月计量报告，签发工程款支付凭证，建立支付台账，及时与工程量报价单和批准的资金流计划进行对比，发现偏差立即分析原因并报告业主;严格审查并确定新增项目和变更项目的单价，当业主有要求时，报业主批准;根据业主授权确定并严格控制工程变更的费用;尽可能向业主提供节约投资的设计、施工等优化方案;制定避免或减少费用索赔措施;受理索赔申请，按照合同文件进行索赔调查和评价，确定进度延期赔偿或应支付给承包商的赶工费用供业主审批。认真做好“材料差价”和“费用补差”的审核工作;编制工程完工后的最终计量支付报告;协助业主编制竣工决算报告。

3.4合同管理。施工阶段监理工程师对工程承包合同管理的主要内容包括:全面管理工程承包合同，对合同条款负责解释;对承包商选择的分包单位资格及分包项目进行审查提议;协助业主与设计单位签订设计文件和施工图供应协议;受理索赔申请，进行索赔调查和评价;协助业主进行有争议的谈判;依据业主授权处理合同变更事宜，当发生重大工程变更时，报业主批准后实施。

3.5信息管理。按国家有关规定做好信息资料归档保存工作，收集工程资料和监理档案并按有关档案管理或业主的要求进行整编，待工程竣工验收前或监理服务期结束退场前移交给业主;建立例会制度，整理好会议纪要;建立完善的各项报告制度，规范各种报告或报表格式为项目监理提供技术、管理方面的信息。

3.6安全生产。审批承包商的专职安全管理人员的资格，检查、督促承包商建立安全工作保障体系，制订各项规章制度，完善安全防范措施。定期召开安全例会，检查总结安全工作，参加重大安全事故调查，并协助业主审查有关单位提出的事故报告;开展安全宣传教育，加强现场各类人员的安全意识。

3.7设备管理。机电设备的质量控制是安装质量控制的前提。因此，机电设备到货验收是一项很重要的工作。参加验收的监理工程师要严格按合同规定的数量质量进行验收，质量不合格的设备决不能入库。因此，监理工程师要有高度的责任心和良好的职业道德，有丰富的实践经验，才能担此重任，为保证设备安装质量控制打下坚实的基础。

四、做好设备安装监理工作要点

4.1深刻领会设计文件

作为监理，受业主委托对工程进行监督管理，要完满的完成监理合同中业主授权委托的任务，监理工程师必须深刻领会设计文件、图纸的设计意图，这是监理预先控制的一项重要工作。只有熟悉图纸，了解工程特点、工程关键部位的安装方法、施工要求，掌握对重要材料、构配件和设备的要求，才能督促安装单位按图保质保量施工。

4.2高度重视图纸会审

工程质量主要取决于设计质量、材料设备的质量和施工质量。所以图纸会审是保证工程质量的重要环节。安装工程监理工程师除应熟悉和掌握国家规范、强制性规定外，还应熟悉地方法规和规范。要想能指出施工图的不规范之处，就要求监理工程师对设计、施工过程中的强制性规定非常熟悉。由于审图时，是各专业分开审查，不易综合考虑，所以在施工前的最后一关———图纸交底、会审，一定要把问题发现，请设计部门修改。必要时请原审图部门重新审核。安装工程图纸会审时，常见有以下几个问题，安装监理工程师一定要注意。一是与土建施工图不统一，在图纸会审时，由于专业分工，监理工程师常常只是熟悉各自的专业施工图，忽略了水电安装与土建施工图的比照，从而给以后施工过程中留下隐患。这其中比较重要的有以下几个问题:给排水、消防、空调工程中立管的位置是否影响门、窗的安装和使用功能;水平管的坡度是否受到层高、门洞大梁的限制;消防喷淋头、烟感在公共部位的位置是否合理;生活水管与消防水管的标高是否合理，是否会发生管子打架的现象;电缆桥架的走向是否合理，平行;地下室出墙洞的预留位置是否合理等。二是设计图纸的不规范，有些安装工程的图纸可能不是原创，而是经其他图纸修改来的，在更改过程中忽略了强制性规定。同样，如上诉工程，由于设计与土建脱节，空调管线布置不当，导致冷凝水的排放立管在走道的门边，影响美观，更无法施工。同时，泻水排向一头，而不是两头向中间排，由于大梁的限制，导致冷凝水管的泻水坡度无法达到规范要求。另外，由于圈梁很高，致使空调管道从走廊进入两边办公室时，不得不降低高度(同时走廊内还聚集了强、弱电桥架、吊顶龙骨等)这样又影响了走廊的吊顶高度，致使采光和装潢效果受到影响。三是设计图纸中的不尽人性之处，建筑物最终是让人来使用的，但在结构设计方面，设计师更多的是考虑安全第一，而照顾使用上的人性化是有限的。因此在安装施工过程中，应尽量的满足用户的使用方便、行为习惯、地方特点等要求。比如插座的分配，电话和电视插孔的位置应根据房间的形式、大小，在一般常规情况下作出合理布置，而不是仅仅考虑施工方便，随意布置。

4.3施工过程中加强巡查、平行检查

实际工作中，由于安装工程的特殊性，一个单位工程中，安装监理人员的工作量要比土建监理少很多，而且还有时段性。因此，往往是一个安装监理工程师同时监理几个单位工程，在现场巡查的时间相对较少，这就容易造成对工程情况了解不及时，不详细的后果，事前控制的工作做不到位。因此，安装监理工程师要经常到现场多看，多了解工程的进展、计划，对重点部位、重点工序、重要材料进场等严格把关，并要求施工单位加强对工人的技术交底，及时发现问题，解决问题，减少不必要的浪费、返工，确保工程质量符合要求。

参考文献

对过度包装的看法和建议篇3

关键词：IE漏洞黑客攻击防火墙技术

1.引言

IE漏洞一般是程序员编程时的疏忽或者考虑不周导致的，还有就是该功能有一定用处（对部分使用者很有用），但是却被黑客利用，也算是漏洞。漏洞的形成有两方面，一方面因为软件、系统分成若干板块，分工编写。问题就出在分工编写这个环节：世界上没有思维一样的人，所以难免会出现种种问题，且不说“几不管”的中间地带，就是在软件汇总时，为了测试方便，程序员总会留有后门，在测试以后再进行修补，这些后门，如果一旦疏忽（或是为某种目的故意留下），或是没有被发现，软件后自然而然就成了漏洞。另一方面就是网络协议。网络协议有TCP、UDP、ICMP、IGMP等。其实，它们本来的用途是好的，但却被一些人用于不法的活动。例如，ICMP本来是用于寻找网络相关信息，后来却被用于网络嗅探和攻击；TCP本来是用于网络传输，后来却被用于泄漏用户信息。对于漏洞的补救方法包括本身补救和借助补救两种方法。

2.IE经典漏洞故障分析与实战解决方案

2.1发送错误报告IE关闭。

针对不同情况，可分别用以下方法关闭IE发送错误报告功能。

2.1.1对IE5.x用户，执行“控制面板添加或删除程序”，在列表中选择“InternetExplorerErrorReporting”选项，然后单击“更改/删除”按钮，将其从系统中删除。

2.1.2对Windows9x/Me/NT/2000下的IE6.0用户，则可打开“注册表编辑器”，找到［HKEY_LOCAL_MACHINE＼Software＼Microsoft＼InternetExplorer＼Main］，在右侧窗格创建名为IEWatsonEnabled的DWORD双字节值，并将其赋值为0。

2.1.3对WindowsXP的IE6.0用户，执行“控制面板系统”，切换到“高级”选项卡，单击“错误报告”按钮，选中“禁用错误报告”选项，并选中“但在发生严重错误时通知我”，最后单击“确定”按钮。

2.2IE发生内部错误，窗口被关闭。

2.2.1关闭过多的IE窗口。如果在运行需占大量内存的程序，建议IE窗口打开数不要超过5个。

2.2.2降低IE安全级别。执行“工具Internet选项”菜单，选择“安全”选项卡，单击“默认级别”按钮，拖动滑块降低默认的安全级别。

2.2.3将IE升级到最新版本。IE6.0SP1可使用以IE为核心的浏览器，如MyIE2。它占用系统资源相对要少，而且当浏览器发生故障关闭时，下次启动它，会有“是否打开上次发生错误时的页面”的提示，尽可能地帮你挽回损失。

2.3出现运行错误。

2.3.1启动IE，执行“工具Internet选项”菜单，选择“高级”选项卡，选中“禁止脚本调试”复选框，最后单击“确定”按钮即可。

2.3.2将IE浏览器升级到最新版本。

2.4IE窗口始终最小化的问题。

2.4.1打开“注册表编辑器”，找到［HKEY_CURRENT_USER＼Software＼Microsoft＼InternetExplorer＼Desktop＼OldWorkAreas］，然后选中窗口右侧的“OldWorkAreaRects”，将其删除。

2.4.2同样在“注册表编辑器”中找到［HKEY_CURRENT_USER＼Software＼Microsoft＼InternetExplorer＼Main］，选择窗口右侧的“Window_Placement”，将其删除。

2.4.3退出“注册表编辑器”，重启电脑，然后打开IE，将其窗口最大化，并单击“往下还原”按钮将窗口还原，接着再次单击“最大化”按钮，最后关闭IE窗口。以后重新打开IE时，窗口就正常了。

3.黑客攻击主要方法

3.1IP伪装技术。

保留IP地址不能在Internet上路由，因此使用保留IP地址的系统无法到达Internet。但通过建立一个IP伪装服务器（一台Linux服务器）可解决这一问题。具有IP伪装功能时，当数据包离开用户计算机时，包含有它自身的IP地址作为“源地址”，在数据包经过Linux服务器发送到外部世界时，会经过一个转换。数据包的源地址改变成服务器的IP地址，而经过转换的数据包可以在Internet中完整路由。服务器同时记录哪个源地址的数据包发送到Internet上的哪个目标IP地址。当数据包发送到Internet上之后，它能够到达其目标地址并获得其响应。从用户角度看，他有一个能够完整路由的Internet连接。安全性由转换表来保证，服务器保存有哪个用户计算机与哪个外部Internet主机通讯的记录。如果某个黑客希望获得对用户计算机的访问，几乎是不可能的。外部世界看到的惟一的IP地址是服务器的地址，其它所有的地址都被隐藏。即使有黑客向服务器发送数据包，服务器也无法知道应该将这个数据包发送到哪个用户计算机。为了将内部网络连接到外部世界，需要在IP伪装服务器上有两个网络接口。一个接口用于连接到内部网络，而另一个接口用来将服务器（并通过IP伪装将内部网络）连接到外部世界。因为这种服务器具有多个接口，所以经常被称为“多宿主”服务器。可以为连接到内部网络的网卡赋予一个保留IP地址。例如：＃/sbin/ifconfigeth1inet192.168.1.1netmask255.255.255.0，这里，假定连接内部网络的网络接口为eth1，并且内部网络中的用户计算机数小于253。如果需要超过253个用户计算机，则可以增加网络掩码位数，还可建立第二台IP伪装计算机，并将内部网络划分为两个子网。

将用户计算机的IP地址配置为192.168.1.2到192.168.1.254，并将所有用户计算机的网关设置为192.168.1.1、网络掩码为255.255.255.0，就可以从每台用户计算机ping内部网关了（192.168.1.1）。这时，所有的用户计算机能够互相通信，并能够与IP转换服务器通信，但目前还不能从客户计算机上到达外部世界，这需要在IP转换服务器上定义一个过滤规则。键入如下命令即可。/sbin/ipchains-Aforward-jMASQ-s192.168.1.0/24-d0.0.0.0/0/sbin/ipchains-PforwardDENY第一条命令对其目标地址不是192.168.1.0网络的IP数据包打开了IP伪装服务。它将转发最初来自192.168.1.0网络的、经过伪装的IP数据包，并转发到另一个网络接口所连接的网络的默认路由器。第二条命令将默认的转发策略设置为拒绝所有非内部网络的数据包。这时，用户就可以从内部网计算机上浏览并与Internet通讯，就像直接连接到Internet一样可将上述命令放在/etc/rc.d/rc.local文件中，这样，在服务器开机时，就能自动启动IP伪装功能。

3.2利用IP地址欺骗突破防火墙。

黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包装得看起来像内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内，则它就把该分组按内部通信对待并让其通过。

通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的，而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN具体分三个步骤。

主机A产生它的ISN，传送给主机B，请求建立连接；B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A；A再将B传送来ISN及应答信息ACK返回给B。至此，正常情况，主机A与B的TCP连接就建立起来了。

B――SYNA

BSYN+ACK――A

B――ACKA

假设C企图攻击A，因为A和B是相互信任的，如果C已经知道了被A信任的B，那么就要相办法使得B的网络功能瘫痪，防止别的东西干扰自己的攻击。在这里普遍使用的是SYNflood，攻击者向被攻击主机发送许多TCP―SYN包。当B的网络功能暂时瘫痪，现在C必须想方设法确定A当前的ISN。首先连向25端口，因为SMTP是没有安全校验机制的，与前面类似，不过这次需要记录A的ISN，以及C到A的大致的RTT（roundtriptime）。这个步骤要重复多次以便求出RTT的平均值，C向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B。A向B回送SYN+ACK数据段，B已经无法响应，B的TCP层只是简单地丢弃A的回送数据段。这个时候C需要暂停一小会儿，让A有足够时间发送SYN+ACK，因为C看不到这个包。然后C再次伪装成B向A发送ACK，此时发送的数据段带有Z预测的A的ISN+1。如果预测准确，连接建立，数据传送开始。问题在于即使连接建立，A仍然会向B发送数据，而不是C，C仍然无法看到A发往B的数据段，C必须蒙着头按照协议标准假冒B向A发送命令，于是攻击完成。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，C只有从头再来。随着不断地纠正预测的ISN，攻击者最终会与目标主机建立一个会晤。通过这种方式，攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录，那么就可以完全控制整个网络。

C(B)――SYNA

BSYN+ACK――A

C(B)――ACKA

C(B)――PSHA

IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，攻击最困难的地方在于预测A的ISN。攻击难度比较大，但成功的可能性也很大。C必须精确地预见可能从A发往B的信息，以及A期待来自B的什么应答信息，这要求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须通过写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。

3.3防范伪装成可信IP地址的攻击。

攻击者通过改变自己的IP地址来伪装成内部网用户或可信的外部网用户，以合法用户身份登录那些只以IP地址作为验证的主机；或者发送特定的报文以干扰正常的网络数据传输；或者伪造可接收的路由报文（如发送ICMP报文）来更改路由信息，来非法窃取信息。

防范方法有以下几种。

3.3.1当每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前，先对来自外部的IP数据包进行检验，如果该IP包的IP源地址是其要进入的局域网内的IP地址，该IP包就被网关或路由器拒绝，不允许进入该局域网。虽然这种方法能够很好地解决问题，但是考虑到一些以太网卡接收它们自己发出的数据包，并且在实际应用中局域网与局域网之间也常常需要有相互的信任关系以共享资源，因此这种方案不具备较好的实际价值。

3.3.2另外一种防御这种攻击的较为理想的方法是当IP数据包出局域网时检验其IP源地址。即每一个连接局域网的网关或路由器在决定是否允许本局域网内部的IP数据包发出局域网之前，先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址，该IP包就被网关或路由器拒绝，不允许该包离开局域网。因此建议每一个ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。如果每一个网关路由器都做到了这一点，IP源地址欺骗将基本上无法奏效。

4.结语

本文阐述了IE浏览器的漏洞的形成和解决漏洞的办法，并且介绍了防范黑客对IE浏览器攻击的技巧。

参考文献：

［1］V.V.PReetham.INTERNET安全与防火墙.清华大学出版社.

［2］ErikSchetinaKenGreen.INTERNET安全权威指南.中国电力出版社.

［3］梅珊，王滕宇，冯晓聪.黑客帝国INTERNET安全防范实例.中国电力出版社.

［4］李思齐.文洋.防火之道――INTEERNET安全构建与应用.北京航天航空大学出版社.

［5］李明柱.时忆杰.安全防范技巧与实例.北京航天航空大学出版社.

［6］周仲义.网络安全与黑客攻击.贵州科学技术出版社.

［7］SeanConvery.网络安全体系结构.人民邮电出版社.

［8］CharlieKaufman.RadiaPerlman.MikeSpeciner.网络安全――公众世界中的通信秘密.电子工业出版社.

对过度包装的看法和建议篇4

关键词：精装修；工程；管理

1精装修精细化管理内涵

很多人对于精装修的管理，都反映在：总分包，各分包的协调；精装修专业的控制，精细化管理这两个方便上，其中，何谓精装修的精细化管理？

第一，设计精细化（业主方设计深度去到施工图程度），第二，材料设备精细化（具体的材料要求有明确的规定及数值要求），第三，工程管理的精细化（人到位、资质到位、管理体系的建立），第四，后期管理及交楼的精细化（物管人员的专业程度达到，交楼给小业主的资料管理完善，有自己的系统），第五，ISO的建立。

但对于大多数精装修管理方，上述要求都做到的基本很少，可以实现其中二到三个项目的已经很不错了，所以关于精装修能否可以实现精细化管理，还是要看本企业的管理架构是否完善。

2精装修管理的特点

2.1全专业性

精装修覆盖土建、水电、园林及外墙等所有建筑专业。

2.2全过程性

精装修工程管理覆盖全工程施工周期，包括土建（设计深化，前期移交）、精装修施工期、移交小业主阶段（维修期），而且精装修专业是唯一一个要直接面对小业主的专业。

2.3档次差别性

目前市场上的精装修档次差别大，有几百块一平方到上万一平方的都有，而且根据建筑功能，分一般住宅、高挡住宅、公寓装修、别墅装修等。

3精装修管理过程的划分及管理要点

根据精装修管理的两大难点，精装修管理过程一般分为：土建移交阶段、精装修施工阶段、验收移交物管或小业主阶段。如果站在业主方管理的考虑，我认为有以下一些要点和要求。

3.1土建移交阶段管理要点

三线移交的监督，包括其它专业的放线（如电梯、幕墙、铝合金等要同步，不仅限于土建）

移交区域除了大堂及室内，对应的如设备房，楼梯间，地下及负一楼最好能同步，以避免最后竣工时间的延误

涉及到各分包的招标要确认要提早。如户内门及大门，如不提早确认，待土建退场后需要再二次修改，会早成对后续的返场时间工程管理工作造成很大影响。

临水临点垂直运输及工人宿舍办公室等，需要业主协调的要提早安排。

施工通道及临时货物的中转，原则上由精装修单位统筹，但需要考虑土建退场及园林交叉施工的可能，提早准备通道。

进场前，可能因为装修单位要设置临时洗手间等文明施工设备，要求土建机电单位等先进行部分设备施工。

考虑到永久电及永久水和临水临电的替换，要安排有利的临水电布局，不对将来的切换造成影响。（临水一般设置外立面，如漏水不会对室内造成影响。临电一般设置在管井，可以提早安装管井门进行保护）。

交接前，应安全本项目的所有供货商和材料商进行交底会，让业主监理及装修单位明确本项目所使用的材料、工艺要求及供货时间有初步印象。

对于总包的整改，要建立要求，如不能及时整改及整改不合格，马上安排后续单位进行替换施工，保证不影响工期。

其它单项的交接，尽量不要有无施工责任单位的过渡性移交，尽量有上序工序的责任单位对下序责任单位的单项移交，避免不必要的责任扯皮。

3.2精装修管理阶段

建立检查评分制度，考核各施工单位项目经理能力及监理的专业水平。

对所有进场材料（没开始报建的要填写材料进场计划）要建立台帐，方便随时核实及整理。

精装修的合同对于节点支付粮单可能没有详细划分，要和装修单位明确详细节点，达成共识，也方便监理确认节点目标。

质量监控体系，应该是监理检查发现及要求整改，监理为主责单位，业主负责监督，并且要定期联系设计到现场进行图纸复核，及联系各政府监督部门来施工现场进行相应的规定检查（如质监站、节能检测等）。

主材（如木饰面和石头等）在生产过程中可以检查其质量生产的，要在生产前进行工艺抽检，如木装的油漆施工，石料的开版选择等。

精装修的施工期内，要对一些主要的工序，如卫生间隐蔽，天花隐蔽、铝合金试水等重要工序，业主要联合监理进行现场验收，并且验收后马上签名确认，对其它配合单位如果没有及时配合，要给予严肃处理。

因为精装修施工期也是整个项目施工期的最高峰，所以必须明确所有参建单位的竣工资料填写及名称等要求，由监理统筹，进行培训学习，保证精装修完工与竣工验收顺利接换。

精装修的精细化管理，前提是管理人员首先要到位，第二个就是人员的经验及素质满足本项目要求，然后对项目内的每一户建立分户档案，档案包括由交接开始的资料，包括所有隐蔽验收及关键工序的验收文件，以对将来回出现的质量问题进行可追溯性研究。

精装修大面积施工前，必须要求做工艺板房及样板房，所谓的工艺板房，就是为了给后续的施工工艺进行指导性的施工的板房，一般要求除会污染的材料不安装外，如木饰面，石头、设备面版等材料外，其它工序都要完工，但可以是半成品，如天花可以施工完毕，但不要求做乳胶漆。样板房是指最后装修移交的成品展示。一般要求工艺板房为施工单位进场后2个月内完成，样板房为进场后3～4个月（视材料供货期影响）。

关于成品保护问题，产品保护除保证本单位的成品不受其它单位破坏外，还要考虑到不影响其它单位的正常施工及后续交叉作业的影响。所以成品保护必须是要本单位及其它相关单位互相讨论后，以文件的形式确认下发安装，也要求相关单位对此作法认可，将来出来破坏问题可以按约定处理。

关于现场的偷盗管理，第一，现场必须进行封闭式管理，如在架空层的上一层设置大门，有精装修保管，下班时间关闭，电梯上班开启，下班关闭，且尽量保证工人出入通道只有一条（保证有救生通道）。第二，所有参建单位约定防偷窃协议，如每家单位偷窃后建立由业主监理确认工程量的台帐，如发现其中有偷窃的责任单位后，由责任单位全部埋单。

由于精装修单位进场后，参加单位过多，必须建立应急机制，在现场发生的安全质量事故必须可以马上组织目标地处理，且由装修单位带头定期进行消防演练。

3.3精装修竣工移交阶段

精装修完工前，经监理验收后，才可以进行开荒工作。开荒工作为各分包自我清理、精装修牵头的建筑开荒、物业或专业公司的清洁开荒，业主正式收楼后的局部清洁。

按照相关要求，所有户外必须张贴分户验收表，表格上必须有相关单位的责任人联系方式。

精装修移交给物管前，必须由监理统筹，对相关物管人员进行各设备及功能设置的交底使用培训，在培训没有完成或者没有确保有上岗人员操作前，所有设备设施必须有精装修单位人员管理。

物管是将来可以协调工程问题90%以上的协调者，所以精装修的项目经理及下面的维修主管要与物管增加沟通渠道，尽量让物管知道施工维修的流程及工序，让维修工作更加合理和及时。

4协调各分包技巧

精装修工程管理一般的沟通渠道可以分为：工程例会专题例会等会议、现场的日常巡查、各种检查评比活动、与各总分包项目经理的当面沟通、与各职能部门（包括设计、预算政府部门的沟通等。

4.1工程例会制度

工程例会是每个人展示自己工程管理能力及协调能力的平台，但由是一个充满利益斗争及解决问题的战场，我认为组织好一个工程例会是一个项目管理者是基本技能，组织工程例会主要为：

控制好开会时间开会讨论问题，一般工程例会控制适宜在1～2个小时内，时间太长会造成与会人员的疲劳及对组织者效率的质疑。技术问题原则上不能在工程例会上讨论，因为很多参与人员会不清楚其中的技术原理，而且讨论后，没有经过其它部门的确认，也不可以马上实施，工程例会就是讨论在工程实施过程中需要协调的管理问题。

如两个单位的协调问题，没有经过第一次沟通就直接在管理例会上提出，组织者应当给与批评，像日常的管理巡查发现的一般问题，不申报监理就是会上提出的也要给予批评。提出的协调问题经总分包多次讨论没有结果的，但作为业主代表可以当场拍扳确认的，可以马上在会上明确，并且作为会议纪要内容，会后可以要求施工马上执行，需要设计讨论在实施的，要确认好完成时间，推进的责任人等，确保在下次工程例会上有所进展。

关于计划有延误的情况，如果在会上明确了责任单位，且责任单位没有任何补救建议，应该在会议纪要里注明，作为以后追究其延误工期的记录之一，且通报各参建单位，作自己相应的计划调整。

4.2做好各方协调工作

关于协调问题涉及到各方冲突的协调办法，如几个单位要协调搭脚手架共同使用的费用分摊问题，先了解产生的总费用及施工时间，单方面了解各分包单位的可以承受的费用上限。与监理及了解合同总价及了解图纸上的工程量情况。开专题的协调会，确定各单位的费用，使用要求及完成时间，做会议记录，如在此过程中还是存在因利益问题不能达成一致，就需要对有抗拒的单位进行解说希望工程能如期推进，如还不能再解决，应该把所协调的所有结果及处理程序上报上一级领导，约见对方公司老总等继续协调。

4.3突发时间及安全事故的处理

关于处理突发时间及安全事故，应第一时间通知主责单位进行救援，业主方应马上通知上一级领导。马上察看现场，避免二次事故发生及组织监理排查安全隐患，并且把事故现场拍照取证。要求各责任方先各自汇报事故情况及发生原因，与监理了解事故发生源，确认事故发生原因，最后开总结会，确认最后事故处理意见，有必要上报领导及上级部门。

4.4各专业的协调

关于对各专业的协调，如发生不是本专业的协调，可以用以下处理办法：

询问相关专业的同事、监理和施工单位，如给出统一的意见方案，申报技术部门后执行。

如有大的异议，在费用不高的情况下，可以先施行样板，样板后，待技术部确认后给予执行。

费用高及样板不可行的情况，组织图纸专题讨论，邀请各相关单位人员，有初步结果后，下发指令执行。

4.5与监理的监督和配合要求

对于监理业主方必须要求：

监管他们的日常巡场工作。

要求他们牵头组织一些技术和沟通的专题协调会（由确定时间、主题，结果必须由监理得出，并且要求做会议记录）。

要适当树立他们的威信（如业主巡场应该邀请他们参加，要罚款施工先要求监理主动，尊重他们对施工粮单的意见等）。

质量体系要求他们建立，业主监督实行。

当他们提出对工程有建议的时候，不论对错应当先给予鼓励，再评判他的可行性。

对于一些有责任心有能力的监理同事，要建立总监给予重用，避免流失。

5结束语

以上是我对于精装修工程管理的一些心得，主要是工程管理操作方便，如有争议，请各位同行指教。

参考文献：

[1]孙启东.商业项目精装修工程管理要点[J].科技与企业，2012.8.

对过度包装的看法和建议篇5

（南瑞集团公司/国网电力科学研究院，江苏南京210003）

摘要：针对企事业内部网络中存在的非法主机接入网络产生的安全问题，设计了一种基于ARP协议的非法主机接入监测系统。在该系统中，通过底层驱动阻断操作系统ARP的收发，构造具有签名的私有ARP实现主机接入的监视及非法接入主机的识别和网络通信阻断。实验结果表明，该系统可以感知并识别非法接入的设备，阻断非法设备的通信，并可识别非法构造的ARP主机。通过该系统可以快速、及时发现非法接入设备，降低非法设备的存活时间。

关键词：ARP；主机接入；监测系统；非法主机阻断

中图分类号：TN702?34文献标识码：A文章编号：1004?373X（2015）16?0133?05

收稿日期：2015?03?14

基金项目：国家电网公司科技项目：网络与信息系统智能化监控技术研究及应用（524606130029）

0引言

随着网络的日益普及，各企事业单位也都建立了自己的内部网络，如何及时感知接入网络的设备，并阻断非法接入设备通信，保护内部网络的信息安全成为网络管理面临的亟待解决的问题。目前在这方面已有许多较为成熟的研究[1?4]：通过IP与MAC地址对绑定，接入主机的IP及MAC地址与绑定列表中的对比判断接入主机的合法性[1?3]；通过监视是否收到新接入主机的请求判断其合法性[4]。这些方法存在以下不足：

（1）非法主机通过修改其IP，MAC等信息冒充合法主机接入网络；

（2）非法主机在合法主机上通过旁路侦听技术获取信息，并在非法主机上构造信息伪装成合法主机与监视通信；

（3）非法主机接入后会存活一段时间导致病毒等传播。本文在研究ARP协议原理的基础上对ARP协议进行了扩展，设计了一种基于ARP协议的非法主机接入监测系统，通过该系统可以快速、及时识别接入的设备并阻断非法接入的设备。

1ARP协议简介

1.1ARP协议工作原理

ARP（AddressResolutionProtocol）全称为地址解析协议，其基本功能就是实现设备IP地址和MAC地址的转换，通过在ARP缓存列表中查找IP及MAC地址的对应关系，确定目标设备IP对应的MAC地址，以便双方可以进行通信[5]。当主机接入网络后会主动发送ARP广播，并接收其他主机的ARP响应。其工作原理如下：

每台主机都会有一个ARP缓存区，其中存放着表示IP及MAC地址对应关系的ARP列表。当两台主机A和B要进行通信时，主机A首先会检查自己的ARP缓存列表中是否存在主机B的IP，MAC地址对，如果存在，则与主机B的IP对应的MAC地址进行通信；如果不存在，那么主机A就会在本地网段内发送ARP请求包，目的是查询主机B的MAC地址，请求包中包括源主机A的IP地址和MAC地址、目的主机B的IP地址和MAC地址。本网段内的其他主机收到主机A的ARP请求包后会判断请求包中的目的IP是否与自己的IP相同，如果不同则忽略该请求包；当主机B收到请求包后发现目的IP与自己的IP相同，那么主机B就会根据请求包的信息更新自己的ARP缓存列表，并向主机A发送ARP应答包说明自己就是A要查询的主机。主机A收到主机B的应答包后会将得到的IP，MAC地址对添加到自己的ARP列表中，如果A一直未收到ARP应答包，则表示ARP查询失败[6]。

1.2ARP报文格式

ARP的数据包是封装在以太网数据包中进行传输的，以太网帧格式如图1所示，ARP数据报文格式如图2所示（单位：B）。

由图1可以看出以太网帧长度最小为6+6+2+46+4=64B，由图2可以看出ARP报文长度固定为6+6+2+28=42B，要发送ARP数据包还需要填充18B才能达到以太网帧长度的要求。

2NDIS协议驱动概述

监测系统需要从底层驱动实现对操作系统自身ARP的阻断，并构造私有ARP进行信息收发，需要网络接口标准（NetworkDriverInterfaceSpecification，NDIS）的支持。NDIS为网络驱动抽象了网络硬件，屏蔽了底层物理硬件的不同，制定了底层物理硬件与协议驱动层的通信接口规范，使底层任何型号的物理网卡都能与上层的协议驱动程序进行通信。NDIS支持微端口（Mini?port）、中间层驱动（Intermediate）和协议驱动（Procotol）等3种类型的驱动，如图3所示。其中，NDIS体系的最高层为协议驱动，它接收底层物理网卡或中间驱动的消息并为应用层提供服务[7]；中间层位于微端口驱动和协议驱动之间，它可以提供多种服务，可以对通过链路层、网络层的网络数据包进行截获、过滤[8]。由中间层所处NDIS体系层次位置可知，它必须与下层微端口及上层协议驱动进行通信，它是通过两个函数集来实现的：微端口驱动（MiniPortXxx）入口点，用来传送上层协议层的协议驱动请求；协议驱动（ProtocolXxx）入口点，用来传送下层微端口的驱动请求。微端口为物理网卡与上层驱动程序提供通信接口，负责上次数据包的收发。

3系统总体结构和框架

监测系统采用C/S+B/S架构，在局域网内的每台主机上安装监视程序，该程序实现阻断操作系统自身ARP、构造私有ARP、监视主机接入功能，当有非法主机接入时上报给服务端，管理员通过Web浏览器可以查看主机接入、离线状态，非法主机接入告警等信息。系统总体结构设计如图4所示。

客户端主要包括主机接入监测模块、非法接入阻断模块、非法信息上报模块及日志模块；服务端主要包括主机状态管理模块、告警模块、展现模块及日志模块。具体框架如图5所示。

4基于ARP协议的非法主机监测系统的设计

客户端通过底层驱动实现对操作系统自身ARP的阻断，并构造具有签名的私有ARP，实现主机接入监测并通过判断收到的是否为合法的私有ARP判断主机的合法性，并将非法主机信息上报给服务端；服务端接收客户端信息，如果一定时间内未收到客户端信息说明该客户端处于离线，同时对收到的非法主机进行判断生产告警信息。远程用户可以通过Web浏览器查看主机接入状态及非法主机告警信息。

4.1驱动开发

客户端需要通过底层驱动对操作系统自身ARP的阻断并构造私有ARP，这些都是发送和接收以太网数据帧，需要驱动支持。

NDIS的中间驱动层位于微端口驱动与协议驱动中间，因此可以在微端口驱动与协议驱动之间插入自己的驱动程序，自己的驱动程序可以实现网络数据包的截获、转发等功能。这样，当下层的微端口驱动程序接收到网卡传输的数据后会通过Miniport接口发送到导出的Protocol接口上，NDIS中间层驱动程序对从微端口接收的数据进行处理，当NDIS中间层驱动处理完数据后，再把处理后的数据通过导出的Miniport接口发送到接口Protocol上，这样就完成了一个截获数据包的过程[9]。

当上层协议驱动要发送数据时，首先会通过中间层接口将数据发送到中间层，然后中间层使用Mini?portSend和MiniportSendPackets两个函数对接收的数据进行转发，在转发时可以在这两个函数中设置过滤规则以过滤无关的数据，NDIS可以过滤任何网络协议[10]。本文只需要过滤ARP协议，中间层如果发现是ARP协议则进行阻断不转发，其他协议放行，同时构造私有ARP数据包发送出去。当有网络数据包到达网卡时，微端口驱动会调用NdisMindicateReceive通知中间层，然后NDIS会调用中间层的函数PtReceive/PtReceivePacket来接收和处理数据包，如果发现是ARP数据包则判断是否是合法的私有ARP，如果是合法私有ARP说明是合法主机，否则是非法主机。

4.2私有ARP的构造

如第1.2节所述，以太网数据帧最小长度为64B，而ARP固定长度为42B，去除4B的CRC还剩余18B需要填充。构造的私有ARP就是通过对这18B进行填充来实现的，填充内容为私有内容，同时需要签名机制实现“完整性检查机认证”，以防非法用户在合法主机上通过旁路侦听技术捕获合法主机的ARP通信技术，从而构造非法的私有ARP伪造成合法主机接入网络。

4.3客户端处理流程

步骤1：通过第4.1节所述实现阻断操作系统自身ARP的收发，判断收的数据包是否为ARP数据包，如果不是则丢弃，如果是ARP数据包，则进行阻断；步骤2：Agent构造私有ARP，原有ARP数据报文的格式不变，在此基础上增加最长为18B的私有标记，因为原有ARP协议数据包长度固定位42B，而以太网的最小帧长度为64B，还有18B的空余可供填充。在构造私有ARP时需要对私有标记进行完整性检查及认证，防止非法设备获取私有标记进而伪造成合法设备接入网络。

步骤3：将构造的私有ARP数据包进行广播，接收其他设备的ARP请求及应答。如果收到其他设备的ARP请求，则对该ARP进行解析，取出私有标记，使用一定的加密算法及局域网内所有主机的共享密钥对私有标记进行合法性和完整性检查。如果检查通过，说明是安装Agent的合法设备，则可以进行通信；如果检查不通过，说明是非法设备，则Agent向非法设备发送一个ARP应答报文，该ARP数据包的发送端IP为非法设备IP，发送端MAC地址为一个伪造的、不存在的MAC地址的数据包，以阻断非法设备与其通信，并将该非法设备上报给服务端。阻断并构造ARP及判断非法设备的具体流程如图6所示。

4.4服务端处理流程

步骤1：客户端与服务端一直保持通信，当一定时间内服务端未收到客户端的消息，则认为客户端已经处于离线状态。

步骤2：服务端在其库表中查找客户端的IP，如果没有找到，说明该客户端是安装Agent的合法设备，因为没有安装Agent的设备是不能与服务端通信的；如果在库表中找到了，说明此设备IP或者曾经与服务端通信过或者作为非法设备上报过；如果其状态为非法，那么此时将其状态修改为合法、在线，如果其状态为合法，则需要查看其是否在线；如果不在线说明是合法设备离线后现在重新接入，将状态标记为在线。具体处理流程如图7所示。

4.5告警处理流程

服务端收到客户端上报的非法设备的信息后，在服务端库表中查找该非法IP，如果未找到，说明此非法IP是首次使用，产生告警；如果找到了，则查看此IP在数据库表中的状态是否合法。如果是合法，说明此前该IP作为合法设备使用，但是当前有非法设备使用该IP，因此需要将其状态修改为非法，同时产生告警；如果查找的IP状态为非法，要查看是否已有其他客户端上报过该IP。如果没有其他设备上报过该IP而该IP状态时非法，说明此前该IP非法使用过，则产生次告警；如果已有其他客户端上报过该IP则不需要再次产生告警。具体处理流程如图8所示。

5实验结果

通过安装修改过的ARP驱动监测网络中非法设备。本实验所处环境中有主机100多台，将字符串为“NARIMONITOR”作为构造ARP的私有标记，经过处理后其在ARP数据包中的表现为“05919CA23243AA3BF4333EB561414D39”。

分别做2组实验：第1组实验中，只有主机A安装监测程序，其余主机都未安装；第2组实验中除了主机A安装监测程序外，主机B（10.144.100.57）和主机C（10.144.100.117）也安装了监测程序。

（1）第1组实验。如图9所示，只有主机A安装了驱动程序，因此合法的主机设备只有A，而其他设备都是非法设备，并且主机A与其他非法设备通信中断。

如图10所示，通过对其他设备的抓包可以发现ARP填充部分与构造的私有ARP填充部分不一致。

（2）第2组实验。第2组实验中有3台主机安装了监测程序，其余主机未安装。如图11所示，安装了监测程序的主机A，B，C为合法设备，而其他未安装监测程序的主机为非法设备。

如图13所示，即使其他设备（10.144.100.129）对ARP数据包进行了填充，但是填充的信息经过处理后不能与设定的字符串相符，也作为非法设备。

如图12，通过对合法设备抓包可以发现合法设备的ARP数据包中填充部分与设定的字符串相符。

如图13所示，即使其他设备（10.144.100.129）对ARP数据包进行了填充，但是填充的信息经过处理后不能与设定的字符串相符，也作为非法设备。

6结语

如何快速发现主机接入，并及时阻断非法主机的通信是网络管理的一个重要内容。本文以NDIS驱动为基础，开发中间层驱动实现对操作系统自身ARP阻断、构造私有ARP、识别非法主机，当主机接入网络之时即可发现该主机，同时对其合法性进行判断，对非法主机阻断与其他设备的通信，降低非法主机存活时长。本文通过ARP欺骗实现对非法接入主机的阻断，后续还可通过驱动层直接阻断非法接入主机的通信。

参考文献

[1]吴少华，方勇，胡勇，等.基于ARP协议的非法入网检测与阻止技术研究[J].微计算机信息，2007（18）：27?28.

[2]刘贵松，晏华，章毅.基于ARP协议的局域网访问控制[J].电子科技大学学报，2005，34（2）：240?243.

[3]郭幽燕，杜晔，王杨，等.基于ARP协议的内网访问控制系统[J].计算机工程与科学，2010，32（1）：21?24.

[4]周晴伦，石恒，高明.一种非法主机接入内部网络监视系统的设计与实现[J].桂林电子科技大学学报，2011，31（4）：300?303.

[5]胡清桂.确认机制对ARP协议的改进[J].华中师范大学学报：自然科学版，2011，45（3）：380?385.

[6]宋建，王文蔚，赵玉国，等.利用ARP协议进行网络管理[J].微计算机应用，2007，28（12）：1270?1273.

[7]杨智军，马骏骁，田地，等.基于NDIS的IP安全协议的研究与实现[J].计算机工程，2007，33（22）：166?168.

[8]韩玲艳，夏靖波，李健勇.基于NDIS中间层驱动程序的网络嗅探神器[J].现代电子技术，2007，30（21）：73?75.

[9]何映，覃以威，李丹.基于Windows内核态个人防火墙的设计与实现[J].现代电子技术，2012，35（6）：49?51.

[10]CHENShin?Shung，CHENYuwei，KUOTzong?Yih.DefencedesignforARPspoofingbasedonNDISintermediatedriver[C]//InternationalConferenceonSecurityscienceandTech?nology.HongKong：ASME，2012：111?121.

作者简介：韩少聪（1983—），男，山东潍坊人，中级工程师，硕士研究生。研究方向为计算机通信、电力信息。

陈玉慧，女，高级工程师，研究生。主要研究领域为计算机通信、电力信息、电力自动化。

对过度包装的看法和建议篇6

关键词:装备制造业;制约因素;竞争力;评述

中图分类号:F4

文献标识码:A

文章编号:1672-3198(2010)16-0038-02

0引言

装备制造业作为里昂惕夫的产业关联理论的典型代表,与其他产业在技术和经济上存在广泛而深入的联系,其作为制造业的核心是国民经济链条中的关键一环。面对经济增长方式的转变和产业升级的需要,对装备制造业的研究对产业竞争力的提高和国民经济体系的发展都十分重要,因而引起了学术界的广泛关注。目前国内关于装备制造业的研究成果较为丰富,本文拟在对装备制造业概念和分类进行界定的基础上,从装备制造业制约因素和竞争力评价两个角度对国内关于装备制造业的研究成果进行总结,并对今后的研究提出一些建议。

1装备制造业概念及分类的界定

目前,世界其他国家包括国际组织并没有明确提出“装备制造业”这个概念。“装备制造业”可以说是中国独有,装备制造业又称装备工业,主要是指资本品制造业及相关的零部件制造业,是为满足国民经济各部门发展和国防建设提供各种技术装备的各制造工业的总称。

对于装备制造业的分类标准,国际上尚未形成统一认识。国内理论研究和实务应用中的分类方法主要有三种,即:8分类法、7分类法和6分类法。8分类法将中国装备制造业划分为:金属制品业、通用设备制造业、专用设备制造业、交通运输设备制造业、电气机械及器材制造业、电子及通信设备制造业、仪器仪表及文化办公用品制造业、武器装备制造业;7分类法不包括前述8类中的武器装备制造业;6分类法不包括前述8类中的金属制品业和武器装备制造业。

2中国装备制造业制约因素研究

2.1主要研究成果总结

目前国内关于装备制造业制约因素的研究成果较为丰富,主要包括创新能力、产业集群、产业结构、资金、政府作用等。

(1)创新能力。

对装备制造业创新能力的研究主要包括技术创新、管理创新、制度创新、原始创新等,但以技术创新的研究最多、成果最为丰富。

张米尔、江诗松(2004)分别从技术层面、组织层面、制度层面分析了装备制造业结构升级的支持条件,提出要通过技术创新、组织创新、制度创新的有效互动推动装备制造业结构升级。技术创新对装备制造业的制约已经达成共识,如丁耀民(2008)认为中国制造水平与国际先进水平相比存在明显差距的根本问题是技术创新;商潇丹(2007)认为影响装备制造业技术创新能力的主要因素是创新投入水平、创新产出实现效益水平和创新环境。夏美霞(2004)根据目前中国装备制造业的现状,提出了强调了标准化、信息化和技术中心的创新企业管理模式。杨华峰、申斌(2007)在研究中归纳出装备制造业原始创新的定义,并以定性与定量相结合的方式,建立了装备制造业原始创新能力评价指标体系。

(2)产业集群。

对装备制造业产业集群的研究主要是从集群重要性、集群程度、集群方式进行分析,近些年的研究中也出现了“产业网络层”、“集群耦合”等新的研究视角。

装备制造业自身门类多、技术构成复杂、与其他产业的关联度大的特点客观上要求企业间开展紧密的配套协作,这就决定了产业集聚程度对装备制造业发展的重要性(张米尔、江诗松2004)。张威(2002)通过构建产业集聚的衡量指标体系,对装备制造业的产业集聚进行了定量分析,揭示了集聚的现状、特点及影响因素。张青山、徐伟(2004)则提出我国装备制造业企业集群要坚持以市场为主导,形成具有高、新、强等特征的企业集群方式。李凯、李世杰(2004)在研究中构建起装备制造业集群网络结构框架,并试图探究装备制造业集群要素结网、链接的深层次原因和装备制造产业集聚的特点,他们还借鉴系统耦合的思想,研究装备制造业集群的耦合机理和影响集群要素耦合度的因素。

(3)产业结构。

对装备制造业的产业结构主要是从宏观的行业结构和微观的企业结构两个层面展开。刘平(2004)认为,能否发挥带动效应强和增长潜力大的行业的带动作用,以及能否建立适合装备制造业发展的企业结构是制约产业竞争力提升的重要因素。在宏观的行业结构和微观的企业结构两个层面中,后者得到了更多学者的重视,目前比较一致的看法是建立龙头企业,形成一批拥有著名品牌和自主知识产权、主业突出、核心能力强,并具有较强国际竞争力的大企业、大集团是优化企业组织结构、提升装备制造业竞争力的重要途径(潘智勇、朱怀意2004)。

(4)资金。

作为资本密集型产业的装备制造业对资金有着很大的需求。对装备制造业资金的研究主要集中在资金来源和资金运用方向两个角度。就资金来源问题而言,吸引和利用外资是装备制造业发展的强大推动力(张威2002),刘勇、雷平(2010)通过分析中国装备制造业在利用外资中的正面和负面影响,发现利用外资的正面效果更为明显,对装备制造业企业、生产能力的发展和人才的培养都起到了很大作用。在资金的运用方向上,徐建平、夏国平(2008)通过将中国的装备制造业与一些工业发达国家进行比较,认为研究开发经费投入强度、技术水平等指标体现了企业的核心竞争力和持续发展能力,在研发经费上的投入制约着装备制造业竞争力的提高。

(5)政府作用。

政府的宏观调控能力使其对装备制造业发展的外部环境有十分重要的影响,对政府干预作用的争议主要存在于政府作用对不同环节的影响。目前比较一致的看法是,在企业经营活动层面,减少政府干预有助于建立统一、开放、竞争、有序的市场,而在宏观层面,政府运用合理手段,加强宏观调控则更有助于竞争力的提升(程竹生2004)。对政府采购的探讨是对政府作用研究的一个重要角度,政府消费作为社会最终消费的两大组成部分之一,其数额巨大并具有一定的导向作用,因而成为政府进行宏观调控、促进装备制造业发展的重要手段之一(史丹2001)。

2.2评述

从国内已有的研究成果来看,对装备制造业发展制约因素的研究已经取得了大量成果,对创新能力、产业结构、产业集群、资金和政府作用的研究已经具备一定深度,不少学者也开始将一些新的因素如标准化程度、信息化水平、与服务业融合程度等引入装备制造业的研究,使研究思路不断得到拓展。但也明显地存在一些问题:第一,对不同因素制约作用的主次关系尚未形成定论,但研究中普遍对创新能力、产业结构、产业集群这三个认可程度较高的制约因素给予了很大倾斜,而对资金、政府作用等因素的重视程度不够,导致相关研究成果的缺乏。第二,目前对各个制约因素的研究常常是独立展开的,对不同制约因素的深度结合研究相对缺乏,从而降低了研究成果的全面性。

3中国装备制造业竞争力评价研究

3.1主要研究成果总结

国内关于装备制造业竞争力的研究主要是以定性研究和定量研究相结合的方式展开。

(1)定性研究。

定性研究借鉴了管理学上的SWOT分析思想,从优势、劣势、机遇、挑战四个角度系统地揭示了装备制造业自身实力和发展前景。如程竹生(2004)在研究中指出,中国装备制造业的优势体现在中国作为一个具有较完整的装备制造业体系的发展中大国的事实。耿立民(2006)认为,我国装备制造业面临的主要障碍体现在装备制造业大而不强、没有摆脱技术引进型模仿创新的模式、企业发展内在动力严重不足、没有形成强大的产业链四个方面。叶猛、罗晓光(2002)则对加入WTO后中国装备制造业面临的机遇和挑战进行了分析。

(2)定量研究。

定量研究方式主要采用指标评价法,包括简单指标法和综合指标法。

简单指标法如崔万田(2005)分别使用工业经济总量指标、经济效益指标、劳动效率指标对中国装备制造业三大基地进行了比较分析,这种方法可以反应某一方面的竞争力,但缺乏全面性。综合指标法则克服了单一指标法片面性的缺陷,主要包括主成份分析法、聚类分析法和算术平均数法。曾昭宁等(2008)采用19项主要经济指标,运用主成分分析法得到了全国30个省、市、区装备制造业的国内市场竞争力的综合得分和排名;孙伟(2003)选取工业增加值、资产合计等八项主要经济指标在全国所占比重作为指标值,对中国29个省区的装备制造业进行了聚类分析。李相银、韩建安(2004)选取市场影响力、工业增长力等四个指标,运用算术平均数法求出装备制造业的区域产业竞争力的数值进行了比较。

3.2评述

定性研究解决了部分因素难以量化以及数量分析方法的不确定性的问题,而定量研究则弥补了定性研究分析宽泛化和可操作性差的缺陷。但从现有的研究可以看出,定性研究的结论相对笼统,而定量研究在指标选择上仍然存在争议,尚未形成规范统一的研究模型。

4总结性评述及建议

本文从装备制造业制约因素和竞争力评价两个角度对国内关于装备制造业的研究成果进行了总结和评述,从中可以看出,关于装备制造业制约因素的研究已经取得了大量成果,在创新能力、产业结构、产业集群等因素的研究上已经具备一定深度,但在研究侧重点的差别性与均衡性上还有待进一步协调。在竞争力评价上,定性研究和定性研究相结合的方式使整体的研究成果显得十分全面,但定性研究和定量研究也分别面临深度有限和难以规范统一的问题。

在装备制造业研究中,还有一些问题需要进一步探讨:怎样科学合理地定义装备制造业?制约装备制造业发展的因素有哪些,各个因素之间是否有主次之分,不同制约因素之间是否存在相关性?怎样进一步完善定性研究的分析方法?如何合理地选取评价装备制造业竞争力的指标?不同定量分析方法之间是否存在相悖或重合?怎样综合不同的评价方法的构建最优评价体系?等等。

参考文献