今天小编在这给大家整理了如何最大限度地提升员工的竞争力(共含10篇),我们一起来看看吧!同时,但愿您也能像本文投稿人“中条同学又忘了”一样,积极向本站投稿分享好文章。
随着竞争的加剧,技术的飞速发展和外部环境的动荡变化,人力资源管理越来越成为一项重要的战略活动,很多企业的核心竞争力越来越与其内部员工的个人能力密切相关,尤其是对于那些高科技企业来说更是如此。如何通过人力资源的开发,提高企业的竞争力?传统的培训已经不能满足变化的需要,美国的ronald l. jacobs博士提出了一个新的培训概念――“结构化的在职培训”(structured on-the-job training)来解决这个难题。
在企业当中,绝大多数的员工都是从他们自己的实际工作安排中来学习新东西的。这种过程并不是员工本身主动来进行的,同时其效率也是非常低的。在职培训是一个有效的解决该问题的方法,它能把正式的课堂学习和实际工作中的实践学习有效的结合在一起。
现在,学习新的知识和技能已经成为大部分人工作中的内容,这也是他们面临的一个巨大的挑战。通常设计者设计的培训项目都是为了更容易的让员工学习,很少带有强迫的性质。但是,培训不仅仅是对员工个人有益,企业也希望从员工的培训中获益。事实上,培训可以保证员工能有效的完成企业要求的工作。因此,培训的主要内容就是提高员工的竞争力和专业知识。
通常只有专家们才了解并应用专业性的知识。专家都是在各自的领域内最能干的人之一,随着经济全球化步伐的的推进,顾客对柔性制造和弹性服务的需求越来越多,企业也需要应用大量的高新技术,以此来提升快速响应顾客需求的能力,这一切都使得专家在当今的企业中变得越来越重要,而专业知识也获得比以前更多的重视。
一般来说,企业员工在适应新的工作方式的过程中,新的工作也就自然而然地对他们的能力提出新的要求。很明显的一个例子是,客户服务代表在工作当中经常会发生这样的改变,只要顾客的需要发生了变化。再比如,当企业部属了一个新的存货管理系统后,与原来的旧的系统相联系的大部分知识和技能都不再发挥作用了,员工必须再次学习。
培训是提升员工竞争力的主要方式,企业只有通过培训才能保证员工达到预期的能力水平。从这个意义上来说,培训已经和员工的竞争能力紧密联系起来。提升员工能力的最好的途径就是通过结构化的培训。
结构化的在职培训(s-ojt)是指有计划地培养员工工作能力的一个过程,由资深员工在工作现场或者与工作现场相似的环境中,对新员工进行针对性的培训。这个定义说明了结构化的在职培训的四点特征:第一,结构化的在职培训按照事先规划好的流程进行,并能够有效地实现培训目标;第二,培训的目标是的,即传授完成特定工作任务的能力;第三,结构化的在职培训强调采用一对一的培训方式;第四,结构化的在职培训要求培训要在工作现场或者与工作现场相似的环境中进行。
结构化的在职培训与非结构化的在职培训的不同之处在于,如何利用事先规划好的培训流程。系统化地实施培训计划可以确保培训的效率和最终的结果,也能够把培训的手段与最终目的区分开来。结构化的在职培训是有效改善公司的业绩的途径之一,因为它可以将员工能力提升到适当的水平。拥有这些能力的员工可以提高生产率、按时完成项目、降低缺陷率,或者顺利实现其他重大的工作成果。这些成果都对公司至关重要,因而我们也必须从这一角度出发,判断结构化的在职培训是否有效。
结构化的在职培训由六个步骤组成。各个步骤之间相互影响,而且在整个的培训过程中,某些步骤甚至是重复进行的。
1 确定是否使用结构化的在职培训形式
结构化的在职培训的实施方法很多。但是问题在于:在什么样的情况下才需要采用结构化在职培训?
对于任何一个给定的具体的培训需求而言,结构化的在职培训是否适用,取决于若干个选择条件包括:工作的性质、工作环境的限制、以及受训个体的差别。企业在实践中,应该制定一个员工学习任务的清单,并与上述因素联系起来,也就是说把清单上的每一项任务与各个选择项相对照,来判断结构化在职培训是否适用于这一培训任务。
第一个选择条件指工作性质,其中涉及四个因素:紧迫性、重复性、工作难度和工作犯错的后果。
(1) 工作的紧迫性:管理层通常认为工作的紧迫性是决定培训形式的最重要的因素。或许有的时候,最好的培训方法就是让整个团队都停止工作,坐在一起接受培训。但有的时候,由于人员配置或者时间安排的原因,使员工无法离开工作岗位聚集在一起,这时候,结构化的在职培训就是非常适用的。
(2) 工作的重复性:有些工作任务一年当中也就一两次,比如设备的保养;而有些工作每天都要重复很多次。如果工作是经常性的,那么结构化的在职培训可能更适用一些。
(3) 工作的难度:结构化的在职培训更适用于难度很大的工作,因为员工能从中获取更为具体的更有用的信息。
(4) 工作犯错的后果:结构化的在职培训更适用于操作难度不高,但一旦出错可能会造成严重后果的工作。
第二个选择条件指工作环境的限制。为避免使培训成为管理层和企业员工的负担,需要一定的灵活性和创造性。有两个因素必须加以考虑:培训地点和工作的干扰因素。适合进行结构化的在职培训的场所包括:办公室、零售店、生产车间的培训点、会议室、计算机机房、装配线,甚至商业航班的客舱。干扰因素则包括环境噪音、与安全有关的风险、环境中周围其他人的活动、制定的工作时间表,甚至还包括旁观的人等等。如果这些干扰因素很突出,培训的效果将会大打折扣。
第三个重要的因素是受训者的个体差异。人与人之间有很多相似的地方,但也有诸多不同之处,这些都可能会影响培训项目的成功。所以,在培训实施之前需要了解受训者存在的差别是否会影响到培训的效果。
2 分析需要学习的任务
一旦确定工作任务适合通过结构化的在职培训进行学习,你就应该对手中掌握的信息加以分析,得出培训的内容和目标。工作分析的目的是弄清楚完成某项任务具体需要哪些行为,同时还要揭示出这些行为之间的关系。比如,对于程序化的任务来说,工作分析可以帮助你决定第一步做什么,第二步做什么等等。当我们把上面的行为联系起来看,我们会发现结构化的在职培训的内容包括了工作流程、决策、解决问题、检查、观念以及原则等。
在分析工作行为的过程中,必需的知识、技能和态度都可以确定下来,此外还可以确定完成工作所需要的资源,包括专门的工具、设备以及数据。
工作分析完成之后,你就可以利用这些信息来准备结构化的在职培训模块。这通常包括三项基本工作:明确培训目标、组织好涉及学习目的的工作行为、制定在培训中将要用到的绩效考核方案。
培训的目标是指在结构化的在职培训结束后,公司期望受训者所能达到的工作行为标准,体现的是受训员工的绩效成果。工作行为的组织意味着要通过与工作实际完成情况完全不同的方式再现工作进程。绩效考核评估的是受训者的实际操作的能力,而不仅仅是获得的知识。
3 选择优秀的培训师
只有当经验丰富、知识全面的员工担任培训师的时候,结构化的在职培训才体现出显著的成效。每位结构化的在职培训师需要具备以下品质:
(1) 具有足够的能力。足够的工作能力意味着这名员工的能力经过验证,可以胜任工作并取得企业期望的工作成果,甚至超出期望值。
(2) 接受过专门的培训和教育。担任培训师的员工必须接受过专门的培训和教育计划。这类培训的内容可能涉及公司新的能力拓展的领域。
(3) 愿意与人分享。从性格上来说,培训师必须乐于与他人分享自己的经验和能力。
(4) 能受到同事的尊敬。许多培训师都因为能力超群、领导有方或者极善于解决难题,从而获得其他员工的尊重。
(5) 善于与人沟通。好的培训师都有高超的沟通技巧,能在日常交流中向别的员工清楚详尽地表达复杂的理念。
(6) 关心公司。培训师必须有热心去帮助公司提高业绩,比如能够参与到不懈的改进行动中,遵守安全工作条例,以及通过自身的努力行动帮助公司实现目标。
选定培训师之后,他们首先要接受目标明确的培训和指导项目,使他们获得开展结构化的在职培训计划的知识与技能。许多公司最终不得不完全自主地制定培训计划,因为培训公司制定的培训计划往往缺乏足够的深度,未必适用,并且与公司其他结构化的在职培训行动不相匹配。
4 准备结构化的在职培训模块
企业应该把培训的内容以及其他重要信息整合到培训模块当中去。培训模块包含实施培训所必需的所有信息。像学校课表一样,培训模块阐明了培训的内容,描述了培训的具体实施事项。
结构化的在职培训模块一般包括以下基本内容:
(1) 基本说明。让受训者知道他在培训中学到什么样的知识,这些知识有什么用处,并向他们说明培训的重要性。
(2) 培训目标。告诉受训者,他在培训结束之后可以学到什么、能做什么。
(3) 接受培训需要的条件。指的是受训人在开始接受培训之前必须具备的知识、技能以及学习态度。
(4) 培训内容。培训模块必须将培训内容全部告诉受训者。根据工作性质的不同,培训内容的表达方式多种多样。比如,对于程序化的工作、问题解决、检查、决策之类的任务来说,培训指南手册的用处极大;如果涉及概念或原理,则需要以条理分明的结构化的文件来加以说明。
5 培训项目的实施
培训师要按照培训需要调整个人的授课风格。比如,有些经验丰富的培训师就知道根据不同受训人的需求,打破原有的课程顺序,重新调整。有的培训师则对培训的三个流程:讲解、响应和反馈应用得得心应手,将其和谐的融为一体。培训不再是刻板的讲解,而就像在两个人之间展开的社交活动,既轻松又不失目的性。
培训师要善于利用其高超的沟通技巧。从培训一开始,就要与受训人保持眼神的交流,讲解力求清晰,并利用肢体语言传达积极的信息。所有的培训师都应该在他们自己先前所接受的培训和指导项目中掌握这些技巧。
与受训人进行深入的探讨如何改进自我也是非常重要的,这有助于培训师了解受训人是否愿意改变。
6 培训过程的评估与修正
结构化的在职培训过程中,最后一步是针对培训流程和组织架构提出问题。企业通常所用的评估方法是:对每一个问题都制定出期望的绩效标准,然后将实际结果与标准进行比较。通过这种方式,整个系统及各个部分的价值就一目了然了。
这种提问式的评估应该由那些懂得如何评估的员工建立一个团队来操作,或者在外部顾问的协助下进行。主要涉及以下方面的内容:
(1) 培训的成果:结构化的在职培训的目标是否已达到?对公司业绩的影响如何?对培训的效率、效果有何影响?培训效果是否符合受训人发展的需要?是否有哪些出乎意料的效果?
(2) 培训的过程:培训耗费了多长时间?所需资源是否容易获得?培训师是否准备充分?培训师是否正确使用了培训模块?受训人是否喜欢培训内容和方法?
(3) 培训的评价:结构化的在职培训是否适用于员工所担当的工作任务?培训模块是否准确、完整、清晰?员工所处的环境是否适合进行结构化的在职培训?选拔出来的培训师是否是最合适的资深员工?之前他们是否接受了充分的训练和指导?
(4) 组织结构的支持:管理层是否为结构化的在职培训提供了足够的资源来支持?培训是否给生产和服务的正常运行带来了不利的影响?资深员工能否抽出时间去培训他人?企业文化与结构化的在职培训是否相互配合?有没有注意到妨碍结构化的在职培训实施的外部问题?
如果结构化的在职培训没能达到预期的效果,就要对培训系统的各个组成部分的状况进行彻底调查,确定原因并解决存在的问题。例如,如果原因在于培训的不一致性,就可以采取像看板生产一样的办法,用以提醒培训师按照培训模块中指定的顺序,讲解相应的课程。
处在全球化进程中的公司都清楚,拥有专业技能高的员工是一笔非常宝贵的财富,也是企业前进的一个重要的动力。然而,若不能根据企业的需要提升员工的竞争力,美丽的愿望是很难实现的。
激励,不一定是非金钱不可,很多时候,非物质激励更能有金钱激励所达不到的效果,不加工资,怎样最大限度激励员工?
认可。当员工完成了某项工作时,最需要得到的是上司对其工作的肯定。上司的认可就是对其工作成绩的最大肯定。在实践中,认可是最易被经理人忽视的激励方法,大多数的经理人并没有对员工的成绩给予足够认可,因为他们也没得到来自上一级的足够认可。因此,要做到这一点并不是很自然的事情,需要重新构建企业的管理文化。 经理主管人员的认可是一个秘密武器,但认可的时效性最为关键。如果用得太多,价值将会减少,如果只在某些特殊场合和少有的成就时使用,价值就会增加。上面已经谈到了普通的认可及其在员工身上所产生的积极影响。但是,如果认可是来自于更高一层的主管或经理时,对员工的激励作用会上升几个等级。采用的方法可以诸如发一封邮件给员工,或是经理打一个私人电话祝贺员工取得的成绩或在公众面前跟他握手并表达对他/她的赏识。
给予一对一的指导。指导意味着员工的发展,而主管人员花费的仅仅是时间。但这一花费的时间传递给员工的信息却是你非常在乎他们!而且,对于员工来说,并不在乎上级能教给他多少工作技巧,而在乎你究竟有多关注他。无论何时,重点的是肯定的反馈,在公众面前的指导更是如此。在公共场合要认可并鼓励员工,这对附近看得见、听得清所发生的事的其他人来说会起到一个自然的激励作用。
职业生涯。员工都希望了解自己的潜力是什么,他们将有哪些成长的机会。在激励员工的重要因素中,员工的职业生涯问题经常被遗忘。其实,在组织内部为员工设计职业生涯可以起到非常明显的激励效应。如是否重视从内部提升?尽管特殊的环境会要求企业从外部寻找有才干的人,但如果内部出现职缺时总是最先想到内部员工,将会给每一名员工发出积极的信息:在公司里的确有更长远的职业发展。
工作头衔。员工感觉自己在公司里是否被注重是工作态度和员工士气的关键因素。组织在使用各种工作头衔时,要有创意一些。可以考虑让员工提出建议,让他们接受这些头衔并融入其中。最基本地讲,这是在成就一种荣誉感,荣誉产生积极的态度,而积极的态度则是成功的关键。
称赞。这是认可员工的一种形式。国内企业的管理人员大都吝于称赞员工做得如何,有部分管理人员则将此归咎于缺乏必要的技巧。其实,称赞员工并不复杂,根本无需考虑时间与地点的问题,随处随时都可以称赞员工。如在会议上或公司主持的社会性集会上、午宴上或办公室里,在轮班结束或轮班前、轮班之中的任何可能之时都可以给予一句话的称赞,就可达成意想不到的激励效果。当面的赞扬会取得更好的效果,关键在于及时性。当有理由来表扬一个人时,不要因为任何原因推迟!要记住,反应快捷等于有效,当成绩在员工们头脑中还很新奇的时候表扬员工会起到非常奇特的效果。最有效的做法就是起身,走出去告诉公司内部的所有员工:这是多么好的一次表现或为其销售额称赞他们……不要让时间悄悄流逝,而要抓住任何一个立即传达的赞扬能带来积极影响的机会。
领导角色。给员工领导角色以酬劳其表现,不仅可以有效地激励员工,还有助于识别未来的备选人才。让员工主持短的会议;通过组织培训会议发挥员工的力量及技能,并让其中的一名员工领导这个培训;当某位员工参加外面的研究会或考察后指派其担任培训会议的领导,让他简短地对其他员工说明与研究会相关的内容及重点等都是不错的方式,还可考虑让员工领导一个方案小组来改善内部程序。
团队精神。加强员工的团队精神有一个非常有效的办法,就关于“团队” 这个论题不定期地让员工交流一些想法,如提交一个涉及团队的感悟,将员工提交的每一个感悟都挂在办公室显眼的位置,这样就可创造一个以团队为导向的氛围。此外,也可照一张全体员工的合影,把照片放大并悬挂在很显眼的位置。这会让员工产生自豪感,大多数人都喜欢把自己视为团队的一部分。此外,在工作中,尽量设定以团队驱动力为导向的目标。人们为了一个共同目标而奋斗肯定能增强团队精神,因为他们必须去依靠别人,也要准备好让别人依靠。 良好的工作环境。在雇主们看来,激励员工的因素中“工作条件”的重要性仅居第九位(或者说仅次于最后一位)。事实如此吗?其实不然!在员工看来,工作环境是排在第二位的,员工非常在意他们在哪儿工作。这是影响员工满意度的一个重要因素。从门面装饰上来看,办公室是否看起来不错?墙上有画、植物和颜色鲜亮的油漆吗?这些通常属于能使人们感觉到环境不错的因素。员工的工作场所有足够的空间吗?会不会像挤在一个“沙丁罐头”中工作?工作设备如何?桌子的尺寸是否合适,椅子坐着舒适吗?员工拥有最大化成就所需的各种办公设备吗?温度调节是否合适?
培训。对员工来说,有可能培训过多吗?这种情况不可能存在。在实践中,不少管理人员认为“我的员工已经培训过了”或“我的员工很不错……他们仅仅需要一点点的培训,
”这种观念其实是错误的。对员工而言,培训永远没有结束的时候。给员工提供培训本身就是最好的激励方式,这种培训并不一定是花钱由外部提供的,可以由经理人员讲授或是内部员工交流式培训。参加外部培训是员工最为喜欢的一项奖励。利用外部培训作为团队内一两个人的竞赛奖励可起到非常明显的激励效果。但一定要对外部培训的参加者建立一个结构性的计划,让其在返回时为其他员工在研讨会上做一个简要的介绍。这样就可使每个人都可以极小的代价获得知识与经验。
团队集会。不定期的办公室聚会可以增强凝聚力,同时反过来也有助于增强团队精神,而这样做最终会对工作环境产生影响,营造一个积极向上的工作氛围。如中秋节前夕的晚会、元旦前的野餐、重阳节的爬山、三八前的出游、员工的生日聚餐等,这些都可以成功地将员工聚到一起度过快乐的时光。这些美好的回忆会让员工感受到团队的温馨。
特殊着装日。这种方式更多地运用于那些商场、超市等天天都须穿工作服上班的领域。对这些要求每天穿工作服的雇员来说,有一天能穿非正式装上班成为一个普遍的奢望。利用假日或节日创造以颜色为主题的非正式服装日,足以让这些雇员欢欣鼓舞。这可以增加非正式日获得的效果:为每一位员工确定假期前的非正式日,让他享受假期的前几天。运动会、较大节日的前几天是确定非正式日的绝好机会,可以让员工穿上适当的颜色、纽扣以及标志性穿着。员工的生日也可以作为特殊着装日。自然而幽雅的特殊着装日会产生许多效果或以惊讶、自豪为基础的激励作用。
额外的责任。在组织中肯定会有一些员工希望能承担一些额外的责任。作为经理人要能识别出那些人并在有可能的情况下使责任与其能力与愿望相匹配。这对那些希望承担额外责任的员工来说是一个最大的激励。
休假。实行争取休假时间的竞赛。为争取15分钟或者半个小时的休息,员工会像争取现金的奖励一样努力工作。在许多情况下,当员工面临选择现金和休假奖励时,他们都会选择休假。如果一个业绩目标是由团队或所有员工来完成时,最适合的奖励就是休假。
主题竞赛。组织内部的主题竞赛不仅可以促进员工绩效的上升,更重要的是,这种方法有助于保持一种积极向上的环境,对减少员工的人事变动率效果非常明显。一般来说,可将假期、周年纪念日、运动会以及文化作为一些竞赛的主题。运动无疑给各种不同的竞赛提供了最大的机会,文化也可以用来创造一些主题竞赛。
重点管理。如果可能的话,可在组织内部展开一个关于重点管理技巧的研讨会,这样做并不会影响工作时间。一般来说,研讨的重点是组织内所有的人都在关注的问题,任何时间都是召开这种研讨会的最好时机。这种研讨会让员工从中学到很多东西,会让他感觉到呆在组织内是有意义的,也是能得到成长的。上述15种方法可在不同场合下综合运用,要记住的是,每一种方法的使用都必须考虑其频率,不宜过多地使用同一种方法激励员工。 实施激励过程中应注意的问题
建立合理有效的激励制度,是企业管理的重要问题之一。国内企业,虽然近年来越来越重视管理激励,并尝试着进行了激励机制改革,也取得了一定的成效,但在对激励的认识上还存在着一些误区。
1、激励就是奖励
激励,从完整意义上说,应包括激发和约束2层含义。奖励和惩罚是2种最基本的激励措施,是对立统一的。而很多企业简单地认为激励就是奖励,因此在设计激励机制时,往往只片面地考虑正面的奖励措施,而轻视或不考虑约束和惩罚措施。有些虽然也制定了一些约束和惩罚措施,但碍于各种原因,没有坚决地执行而流于形式,结果难以达到预期目的。
2、同样的激励可以适用于任何人
许多企业在实施激励措施时,并没有对员工的需求进行认真的分析,“一刀切”地对所有人采用同样的激励手段,结果适得其反。在管理实践中,如何对企业中个人实施有效的激励,首先是以对人的认识为基础的。通过对不同类型人的分析,找到他们的激励因素,有针对性地进行激励,激励措施最有效。其次要注意控制激励的成本,必须分析激励的支出收益比,追求最大限度的利益。
3、只要建立起激励制度就能达到激励效果
一些企业发现,在建立起激励制度后,员工不但没有受到激励,努力水平反而下降了。这是什么原因呢?其实,一套科学有效的激励机制不是孤立的,应当与企业的一系列相关体制相配合才能发挥作用。其中,评估体系是激励的基础。有了准确的评估才能有针对地进行激励,我们须反对平均主义、“一刀切”,否则,激励会产生负面效应。
4、激励的公平性
研究表明,激励的公平与否,对员工也是一个强有力的激励因素。
1.提出要求
当对方在整个辩论中已受到了辩论的影响,此时提出合理的要求,对方容易接受,也易为法庭认可,以促成双方和解结案。
2.提出问题
以提出问题为结尾,进一步深化自己的辩论主题,让审判人员去甄别和思考。
3.概括主题
用简洁明了的语气将自己辩论的全部内容概括成几句话,易加深审判人员对自方辩论观点的印象。
当然,在法庭辩论最后阶段,如发现对方纠缠不休、死不认账等情况,律师作为一方辩者还应掌握善于拒绝无味辩论的技巧。所谓拒绝无味的辩论,一是不重复说;二是当对方抓住一些无碍案件处理的枝节问题不放时,则应采取“对这个问题不予辩论”或“发言到此结束”的办法。这种近似于沉默不辩,不仅在一定时机和法庭上有着巨大的震动力,而且在辩论技巧上嘎然而止,干脆有力,听上去似乎退了一步,实质上却是进了两步。
庭审辩论技巧,不仅是一门口才辩论艺术,更是律师参与诉讼活动的基本技能之一。人们在诉讼活动中期望能请到一位高明的律师作为自己的代理人,律师的辩论技巧应成为其高明之处的一个重要表现。
每日名言
一个有信念者所开发出的力量,大于99个只有兴趣者。
每日自励
再长的路,一步步也能走完,再短的路,不迈开双脚也无法到达。
朋友给我讲过这样一个故事。
他祖父小的时候,很聪明,也很有毅力,学业有成,正欲大展宏图之际,曾祖将他叫了去,拿出一个古匣。对他说,孩子,我有一件心事,终生未了。因为我得到它们的时候,一生的日子已经过了一半,剩下的时间,不够我把它做完了。做学问,就要从年轻的时候着手,我要是交给你一件半成品,不如让你从头开始
原委是这样。早年间,江南有一家富豪,酷爱藏书。他家有两册古时传下的医书,集无数医家心血之大成,为杏林一绝。富豪视若珍宝,秘不传人,藏在书楼里,难得一见。后来,富豪出门遇险,一位壮士从强盗手里救了他的性命,富豪感恩不尽,欲以斗载的金银相谢。壮士说,财宝再多,再贵重,也是有价的。我救了你,你的命无价。富豪说,莫非壮士还要取了我的命去?壮士大笑说,我不是要你的命,是想用你的医书,救普天下人的性命。富豪想了半天,说,我可以将医书借给你三天,但是三日后的正午,你必得完璧归赵。说罢,命人从嵯峨的木制书楼里,将饱含檀香气味的医书,捧了出来。
壮士得了书后,快马加鞭急如星火地赶回家,请来乡下的诸位学子,连夜赶抄医书。书是孤本,时间又那样紧迫,萤萤灯火下,抄书人目眦尽裂,总算在规定时间之内,依样画葫芦地描了下来。壮士把医书还了富豪,长出一口气,心想从此以后,便可以用这深锁在豪门的医学宝典,造福于天下黎民了。
谁知,抄好的医书拿给医家一看,才知竟是不能用的。医家以人的性命为本,亟须严谨稳当。这种在匆忙之中由外行人抄下的医方,讹脱衍倒之处甚多,且错得离奇,漏得古怪,寻不出规律,谁敢用它在病人身上做试验呢?
壮士造福百姓之心不死,急急赶回富豪家。想晓以大义,再请富豪将医书出借一回,这一次,请行家高手来抄,定可以精当了。当他的马冷汗涔涔到达目的地时,迎接他的是冲天火光。富豪家因遭雷击燃起天火,藏书楼内所有的典籍已化为灰烬。
从此这两册抄录的医书,就像鸡肋,一代代流传了下来。没有人敢用上面的方剂,也没有人舍得丢弃它。书的纸张黄脆了,布面断裂了,后人就又精心地誊抄一遍。因为字句的文理不通,每一个抄写的人都依照自己的理解,将它订正改动一番,闹得愈加面目全非,几成天书。
曾祖的话说到这里,目光炯炯地看着祖父。
祖父说,您手里拿的就是这两册书吗?
曾祖说,正是。
祖父说,您是要我把它们勘出来?
曾祖说,我希望你能穷毕生的精力,让它死而复生。但你只说对了一半,不是它们,是它。工程浩大,你这一辈子,是无法同时改正两本书的。现在,你就从中挑一本吧。留下的那本,只有留待我们的后代子孙,再来辨析正误了。
祖父看着两本一模一样的宝蓝色布面古籍,费了斟酌。就像在两个陌生的美女之中,挑选自己终身的伴侣,一时不知所措。
随意吧。它们难度相同,济世救人的功用也是一样的。曾祖父催促。
祖父随手点了上面的那一部书。他知道从这一刻,这一个动作,就把自己的一生,同一方未知的领域,同一个事业,同一种缘分,紧紧地粘在一起。
好吧。曾祖把祖父选定的甲册交到他手里,把乙册收了起来,不让祖父再翻。怕祖父三心二意,最终一事无成。
祖父没有辜负曾祖的期望,皓首穷经,用了整整半个世纪的时间,将甲书所有的错漏之处更正一新。册页上临摹不清的药材图谱,他亲自到深山老林一一核查。无法判定成分正误的方剂,他采集百草熬药炼成汤,以身试药,几次昏厥在地。为了一句不知出处的引言,他查阅无数典籍……那册医书就像是一盘古老石磨的轴心,天文地理古今中外,凡是书中涉及的知识,祖父都用全部心血一一验证,直至确凿无疑。祖父的一生围绕着这册古医书旋转,从翩翩少年一直变作鬓发如雪。
按说祖父读了这许多医书,该能成为一代良医。但是,不。祖父的博学只为那一册医书服务,凡是验证正确的方剂,祖父就不再对它们有丝毫留恋,弃而转向新的领域探索。他只对未知事物和纠正谬误有兴趣,一生穷困艰窘,竟不曾用他验证过的神方,医治过病人,获得过收益。到了祖父垂垂老矣的时候,他终于将那册古书中的几百处谬误,全部订正完了。祖父把眼睛从书上移开,目光苍茫,好像第一次发现自己已走到生命的尽头。
人们欢呼雀跃,毕竟从此这本伟大的济世良方,可以造福无数百姓了。
但敬佩之情只持续了极短的.一段时间。远方出土了一座古墓,里面埋藏了许多保存完好的古简,其中正有甲书的原件。人们迫不及待地将祖父校勘过的甲书和原件相比较,结果是那样令人震惊。
祖父校勘过的甲书,同古简完全吻合。
也就是说,祖父凭借自己惊人的智慧和毅力,以广博的学识和缜密的思维,加之异乎寻常的直觉,像盲人摸象一般地黑暗中摸索,将甲书在漫长流传过程中产生的所有错误,全改正过来了。
祖父用毕生的精力,创造了一项奇迹。
但这个奇迹,又在瞬忽之间,烟消灰灭,毫无价值。古书已经出土,正本清源,祖父的一切努力,都化为劳而无功的泡沫。人们只记得古书,没有人再忆起祖父和他苦苦寻觅的一生。
讲到这里,朋友久久地沉默着。
古墓里出土了乙医书的真书吗?我问。
没有。朋友答。
我深深地叹息说,如果你的祖父在当初选择的一那瞬间,挑选了乙书,结果就完全不一样啊。
朋友说,我在祖父最后的时光,也问过他这个问题。祖父说,对我来讲,甲书乙书是一样的。我用一生的时间,说明了一个道理,人只要全力以赴地钻研某个问题,就有可能最大限度地逼近它的真实。
祖父在上天给予的两个谜语之中,随手挑选了一个。他证明了人的努力,可以将千古之谜猜透。
这已经足够。
每日文摘 三思而后行
有事斩然是一个人良好生存心态的具体体现,断然处事的风格,源自一个人良好的心态和气质;有利于人们始终保持富有激情和乐观向上的生存心态。人生在世,总要遇到许多亟待处理的事情,如简单从事,事情非办砸不可;如优柔寡断,没有主见,那又非误事不可。
三思而后行
人们常说,有四种抉择是无可奈何的:饥不择食,寒不择衣,慌不择路,贫不择妻。饥不择食常用来形容急于解决问题,顾不得有所选择。人处在困境中时,往往是最没有主意的,也是其意志最薄弱的时候,只要对自己摆脱困境有帮助的事都会毫不犹豫地去做。犹如一个溺水的人,那怕碰上一根稻草,也会当作有很大的希望。结果,常常会陷入更大的困境。因此,人在抉择之时,须从容决策,不可乱中出错。人还要未雨绸缪,不让自己落入很艰难的处境后再寻求摆脱的方法。当然,谁也不敢说自己不会遇上这样的境况,但是有一点,自己却可以做到的,那就是越是处于这样的境地.越要保持高度的沉着冷静,三思后行。这当然是很难了。
人间有很多道理看上去颇为矛盾,比如一会告诉你“三思后行”,一会又告诉你“果敢善断”。你就迷糊了,到底听谁的呢?我是想好了再决定,还是快点决定好?到底想多长时间算是“三思”了,过了哪个时间段就算是“当断不断”呢?
其实中国人既不是关注“三思后行”,也不是关注“当断即断”,中国人关注的是“火候”。就像泡茶一样,茶泡得好不好,对于一般人来说,就是要求水和茶叶是否为上品。但是对于高手来说,茶好不好在于掌握时机和火候。处事斩然,最重要的也是掌握这个火候,整个中国文化中最核心的精华“中庸”也是个火候问题。
“三思而后行”告诉你“有事斩然”不是莽撞,不是胡乱下决定。那么“有事斩然”是什么呢?请看下面。
切忌优柔寡断
现实生活中机遇和挑战并存,人们会遇到许多必须立即做出决断的人生岔路。当机立断就能赢得主动权,否则就会延误战机。失去机会就会被既成事实牵着鼻子走。所以古人说,“当断不断,反受其乱”。韩非子更把君主的优柔寡断当作亡国的征兆,他说:“缓心而无成,柔茹而寡断,好恶无决.而无所定立者,可亡也。”这并非危言耸听,任何负有领导和指挥职责的人.如果遇事优柔寡断.那将会造成种种不堪设想的后果。而捕捉机遇又是一种特别的能耐,这种果毅的精神并非人人都有。所以,努力地培养自己果敢坚毅的品性,是生存的一个必要条件。
长平战役结束后,秦国围困赵国都城邯郸。魏安安厘王派大将晋鄙将军援救赵国,但魏王与晋鄙都畏惧秦军,所以魏军驻扎在魏赵接壤的荡阴,不敢前进。魏王又派客将军辛垣衍秘密潜入邯郸城,通过平原君对赵王说:“秦国之所以加紧围攻邯郸的原因,是因为先前它与齐王互相争强逞威称帝,后来齐王去掉帝号。因为齐国不称帝,所以秦国也取消了帝号。如今,齐国日渐衰弱,只有秦国能在诸侯之中称雄争霸。可见,秦国不是为了贪图邯郸之地,其真正目的是想要称帝。如果赵国真能派谴使者尊崇秦昭王为帝,秦国肯定会很高兴,这样秦兵就会自解邯郸之围。”平原君一直很犹豫,没有作出决定。
这个时候,鲁仲连恰巧到赵国游历。正碰上秦军围攻邯郸,他听说魏国想要让赵国尊崇秦王为帝,就去见平原君说:“事情现在怎样了?”平原君回答说:“我赵胜现在还敢谈战事?赵国的百万大军战败于长平,秦军现在又深入赵国,围困邯郸,没有什么办法可以使他们离去。魏王派客将军辛垣衍叫赵国尊秦为帝,现在辛将军就在邯郸,我还能说什么呢?”鲁仲连说:“刚开始我一直以为您是诸侯国中圣明的贵公子,今天我才知道您并不贤明。魏国来的那位叫辛垣衍的客人在哪里?请让我为您当面去斥责他,让他回到魏国去。”平原君说:“那我就把他叫来跟先生您见见面吧!”平原君于是就去见辛垣衍,说:“齐国有位叫鲁仲连的先生,他现在正在这里,我把他介绍给您,让他来跟你见见面。”辛垣衍说:“我已听说过鲁仲连先生,他是齐国的高尚贤明之士。而我辛垣衍,魏王的臣子,此次出使是担负有重要职责的,我不想见鲁仲连先生。”平原君说:“我已经把你在这里的消息告诉他了。”辛垣衍不得已,答应去见鲁仲连。
结果鲁仲连不但驳倒了辛垣衍,也说服了平原君。使他拿定了主意抵抗。秦军也是欺软怕硬,见此状便不敢贸然进军;刚后来便撤回秦国去了。
平原君身系一国之重,在面对强大的泰国对周邻的兼并之中,瞻前顾后,不敢决断。赵国君臣当国家安危之时,患得患失,看不清方向,拿不准方寸,几乎铸成大错。全赖鲁仲连一言以兴邦。一个人在人生中,无时无处不处于选择之中,每一次选择,都会给你带来或大或小的变化和未知的结果,人的悲喜祸福,除去天命因素,正是这种选择的结果。所以面临选择,切不可优柔寡断,犹豫不决,那比事情本身更糟!
激励就是创设满足(员工)各种需要的条件,激发(员工)的动机使之产生实现组织目标的持定行为的过程,对人的激励是管理的关键,以下提供人力资源管理的八项激励描述。
1、情感激励
管理者与员工不再是单纯的命令发布者和命令实施者。管理者和员工有了除工作命令意外的其他沟通,这种沟通主要情感上的沟通,比如管理者会了解员工对工作的一些真实想法,或员工在生活上和个人发展上的一些其他需求。在这个阶段员工还没有就工作中的问题与管理者进行决策沟通,但它为决策沟通打下了基础。良好的合作精神就是情感激励的目的。
2、有效激励
就是激发人的内在潜力,使人感到“劳有所得、功有所获”,从而增加自觉努力工作的责任感。因此,能否建立、健全激励机制,能否有效地激励每一个员工,将直接关系到企业的发展。人力资源管理者采取的有效激励途径有:
3、目标激励
提供切实可行的奋斗目标,可以起到鼓舞和激励的作用,所谓目标激励,就是把大、中、小和远、中、近的目标结合起来,使人在工作中每时每刻都把自己的行动与这些目标联系起来。目标激励包括设置目标、实施目标和检查目标。
4、奖励激励
这是常见的一种方法。奖励要物质与精神相结合。方式要不断创新,新颖刺激和变化刺激的作用是比较大的,重复多次的刺激,作用就会减退,刺激也会减少。
5、支持激励
提案制度支持激励就是作为一个人力资源管理者,要善于支持员工的创造性建议,把员工蕴藏的聪明才智挖掘出来,
支持激励包括:尊重下级的人格、尊严首创精神,爱护下级的积极性和创造性;信任下级,放手让下级排忧解难,增加下级的安全感和信任感;当工作遇到差错时,承担自己应该承担的责任,创造一定的条件,使下级能胜任工作。
6、关怀激励
了解是关怀的前提。作为一个管理者,对下属员工要做到“八个了解”,即了解员工的姓名、籍贯、出身、家庭、经历、特长、个性、表现;“八个有数”,即对员工的工作情况、身体状况、学习情况、经济状况、家庭成员、住房状况、兴趣爱好和社会交往有数。
7、榜样激励
通过具有典型性的人物和事例,营造典型示范效应,让员工明白提倡或反对什么思想、作风和行为,鼓励员工学先进、帮后进。要善于及时发现典型、总结典型、运用典型。
8、团队激励
通过给予团队荣誉,培养集体意识,从而产生自豪感和荣誉感,形成一种自觉维护团队荣誉的力量。形成互利共生,互惠成长,想办法给人利益点、安全感以获取人缘。各种管理和激励制度,要有利于团队意识的形成,从而形成个性与共性的“三马车”(企业、部门和个人)合力作用。
9、数据激励
用数据显示成绩和贡献,能更有可比性和说服力地激励员工的进取心。对能够定量显示的各种指标,都要尽可能地进行定量考核,并定期公布考核结果,这样可使员工明确差距,迎头赶上。
人力资源管理者还应具备:诚实守信,重视名声。讲究领导风格和艺术,企业管理者的人格魅力和领导风格也是缓解员工情绪、调动员工积极性、激励员工努力工作的重要方面。追求身体、心灵健康,以便有条件为企业奉献心智才力。将时间看成生命工程,分秒必争,以提升时间和工作效益。
网申技巧:放大你的“卖点”
网申中有几栏是用来给对方留下深入印象的,也是决定对方是否给你面试机会的要害。如何写好这几小部分的内容非常主要,请从以下几个方面着手。
1、成绩。以你的骄人事迹去感动未来的雇主。突出你的技能和成绩,强化支撑标题。集中对能力进行细节描写,运用数字、百分比或时间等量化手段加以强化。强调动作,预防应用人称代词如“我”,“我们”等。
2、能力。对各方面能力加以演绎和汇总,舍短取长,以你无可争议的工作能力和群体魅力驯服未来的雇主。用词应简略明确,观点赫然,引人入胜。
3、工作经历。应当包含你所有的工作历史,无论是有偿的还是无偿的,全职的还是兼职的。在保障真实性的条件下,尽量裁减与丰富你的工作经历,但用词必须简洁。不要只针对工作自身,事迹和成果更为主要。
4、技能。列出所有与求职无关的技能。你将有机会向雇主展现你的学历和工作经历以外的禀赋与才华。回想以往取得的成绩,对自己从中取得的领会与教训加以总结、演绎。你的抉择标准只有一个,即这一项是否给你的求职带来赞助。
5、褒奖。简历中的大小部分内容是经历和成绩的主观记录,而荣誉和褒奖将赋予它们实切真实的客观性。这是一个令雇主留神到你已获确定的成绩的机会。强调此奖项是你资格的主要证明,突出此褒奖与你所求职务的相关性。
6、职业生活。着重强调你在相关行业中所取得的特别专业技能和取得的成绩。在提及你的技能与成绩时应越具体越好。此栏专门针对一些具体职业,需阐明你所在的具体行业。
网申技巧:动人心魄的“收场白”
求职成功最基础的就是要对自己有一个客观全面的了解,而后再根据自身的情况筹备好所需材料,个别包含求职信和简历。求职信是简历的“收场白”。这个收场白的功效是激发他人有兴趣浏览下文——简历。为了使公司了解你申请的是哪个职位,并对你有更多的印象,发简历的时候,都应当写一封求职信并同时收回。发任何简历都应当写求职信,这是被非常多求职者疏忽的原则。
网申技巧:最大限度地掠夺眼球
——网上求职时主要精力应当放在拥有人才数据库的招聘网站上,要把你的简历放到他们的数据库中。因为用人公司会来这些网站浏览或要人。总的来说,应当让用人公司带着明确的目标来找你,这要胜过自己向大批公司无目标的发放群体简历。
——在申请同一公司的不同职位时,最好能发两封不同的电子简历,因为有些求职网站的数据库软件能主动过滤掉第二封信件,省得造成冗余。
——在你发送电子简历时要错过高峰期,上网高峰个别在半夜至午夜,这段时间传递速度十分慢,而且还会涌现毛病信息,因而,要择机而动。
交换机不是被设计用来作安全设备的,其功能仍是以提高网络性能为主,如果要将交换机纳入安全机制的一部分,前提是首先要对交换机进行正确的配置,其次交换机的制造商要对交换机软件的基础标准有着全面理解并彻底实现了这些标准。
如果对网络安全有着严格的要求,还是不要使用共享的交换机,应该使用专门的交换机来保证网络安全。如果一定要在不可信的网络和可信的用户之间共享一个交换机,那么带来的只能是安全上的灾难。
VLAN的确使得将网络业务进行隔离成为可能,这些业务共享同一交换机甚至共享一组交换机。但是交换机的设计者们在把这种隔离功能加入到产品之中时,优先考虑的并不是安全问题。VLAN的工作原理是限制和过滤广播业务流量,不幸的是,VLAN是依靠软件和配置机制而不是通过硬件来完成这一任务的。
最近几年,一些防火墙已经成为VLAN设备,这意味着可以制定基于包标签的规则来使一个数据包转到特定的VLAN。然而,作为VLAN设备的防火墙也为网页寄存站点增加了很多灵活的规则,这样防火墙所依赖的这些标签在设计时就不是以安全为准则了。交换机之外的设备也可以生成标签,这些标签可以被轻易地附加在数据包上用来欺骗防火墙。
VLAN的工作原理究竟是怎样的?VLAN又有着什么样的安全性上的优点呢?如果决定使用VLAN作为安全体系的一部分,怎样才能最大限度地避免VLAN的弱点呢?
分区功能
“交换机”一词最早被用来描述这样一种设备,这种设备将网络业务在被称之为“端口”的网络接口间进行交换。就在不久以前,局域网的交换机被称作“桥接器”。现在,即使是与交换机相关的IEEE标准中也不可避免地用到“桥接器”这一术语。
桥接器用来连接同一局域网上不同的段,这里的局域网指的是不需要路由的本地网络。桥接器软件通过检测收到数据包中所含的MAC地址来获悉哪个端口联接到哪个网络设备。最初,桥接器将所有收到的数据包发送到每个端口,经过一段时间以后,桥接器通过建立生成树和表的方法获悉如何将数据包发送到正确的网络接口。这些生成树和表将MAC地址映射到端口的工作,是通过一些选择正确网络接口和避免回路的算法来完成的。通过将数据包发送到正确的网络接口,桥接器减少了网络业务流量。可以将桥接器看作是连接两条不同道路的高速公路,在高速公路上只通过两条道路间必要的交通流量。
尽管桥接器从整体上减少了网络业务流量,使得网络可以更加高效地运行。桥接器仍然需要对所有端口进行广播数据包的发送。在任何局域网中,广播的含义是:一个消息广播发送给局域网内所有系统。ARP(地址解析协议)包就是广播信息的一个例子。
随着端口数目和附加管理软件数目的增多,桥接器设备的功能变得越来越强。一种新的功能出现了:桥接器具有了分区功能,可被分成多个虚拟桥。当通过这种方式进行分区时,广播信息将被限制在与虚拟桥和对应的VLAN的那些端口上,而不是被发送到所有的端口。
将广播限制在一个VLAN中并不能够阻止一个VLAN中的系统访问与之连接在同一桥接器而属于不同VLAN的系统。但要记住,ARP广播被用来获得与特定IP对应的MAC地址,而没有MAC地址,即使在同一网络中的机器也不能相互通信。
Cisco网站上描述了在两种情况下,数据包可以在连接于同一交换机的VLAN中传送。在第一种情况下,系统在同一VLAN中建立了TCP/IP连接,然后交换机被重新设置,使得一个交换机的端口属于另一个VLAN。通信仍将继续,因为通信双方在自己的ARP缓冲区中都有对方的MAC地址,这样桥接器知道目的MAC地址指向哪个端口,
在第二种情况下,某人希望手动配制VLAN,为要访问的系统建立静态ARP项。这要求他知道目标系统的MAC地址,也许需要在物理上直接访问目标系统。
这两种情况中所描述的问题能够通过使用交换机软件来得到改善,这些软件的功能是消除数据包在传送时所需要的信息。在Cisco的高端交换机中,将每个VLAN所存在的生成树进行分离。其他的交换机要么具有类似的特点,要么能被设置成可以对各个VLAN里的成员的桥接信息进行过滤。
链路聚合
多个交换机可以通过配制机制和在交换机间交换数据包的标签来共享同一VLAN。你可以设置一个交换机,使得其中一个端口成为链路,在链路上可以为任何VLAN传送数据包。当数据包在交换机之间传递时,每个数据包被加上基于802.1Q协议的标签,802.1Q协议是为在桥接器间传送数据包而设立的IEEE标准。接收交换机消除数据包的标签,并将数据包发送到正确的端口,或在数据包是广播包的情况下发送到正确的VLAN。
这些四字节长的802.1Q被附加在以太网数据包头中,紧跟在源地址后。前两个字节包含81 00,是802.1Q标签协议类型。后两个字节包含一个可能的优先级,一个标志和12比特的VID(VLAN Identifier)。VID的取值在0到4095之间,而0和4095都作为保留值。VID的默认值为1,这个值同时也是为VLAN配置的交换机的未指定端口的默认值。
根据Cisco交换机的默认配置,链路聚合是推荐的配置。如果一个端口发现另一个交换机也连在这个端口上,此端口可以对链路聚合进行协商。默认的链路端口属于VLAN1,这个VLAN被称作该端口的本地VLAN。管理员能够将链路端口指定给任何VLAN。
可以通过设置链路端口来防止这种VLAN间数据包的传送,将链路端口的本地VLAN设置成不同于其他任何VLAN的VID。记住链路端口的默认本地VLAN是VID 1。可以选择将链路端口的本地VLAN设置为1001,或者任何交换机允许的且不被其他任何VLAN所使用的值。
防火墙和VLAN
知道了交换机如何共享VLAN信息之后,就可以更准确地评价支持VLAN的防火墙。支持VLAN的防火墙从支持VLAN的交换机那里获得头部带有802.1Q标签的数据包,这些标签将被防火墙展开,然后用来进行安全规则的检测。尽管到目前为止,我们只讨论了以太网的情况,802.1Q标签同样适用于其他类型的网络,比如ATM 和FDDI。
802.1Q标签并不能提供身份验证,它们只不过是交换机用来标志从特定VLAN来的特定数据包的一种方式。如同许多年来人们伪造IP源地址一样,VLAN标签同样可以被伪造。最新的Linux操作系统带有对工作于VLAN交换机模式的支持,可以生成本地系统管理员可以选择的任意VLAN标签。
安全使用802.1Q标签的关键在于设计这样一种网络:交换机链路连接到防火墙接口,而基于VLAN标签的安全检测将在防火墙接口进行。如果有其他的线路能够到达防火墙的接口,伪造VLAN标签的可能性就会增大。交换机本身必须被正确配置,进行链路聚合的链路端口要进行特殊配置,然后加入到非默认VID中。
在任何关于交换机的讨论中,保护对交换机设备的管理权限这一结论是永远不变的。交换机和其他网络设备一样可以从三种途径进行管理:Telnet、HTTP和SNMP。关掉不使用的管理途径,在所使用的管理途径上也要加上访问控制。因为当攻击者来自网络外部时,防火墙可以控制他对交换机的访问;当攻击者来自网络内部或者攻击者获得了访问内部系统的权限而发起攻击时,防火墙对此将无能为力。
【相关文章】
提高传输效率 三层交换及VLAN设置
Cisco IOS多个VLAN中继协议实现安全漏洞
交换机也需要网络安全:交换机上的安全功能
交换机不是被设计用来作安全设备的,其功能仍是以提高网络性能为主,如果要将交换机纳入安全机制的一部分,前提是首先要对交换机进行正确的配置,其次交换机的制造商要对交换机软件的基础标准有着全面理解并彻底实现了这些标准。
如果对网络安全有着严格的要求,还是不要使用共享的交换机,应该使用专门的交换机来保证网络安全。如果一定要在不可信的网络和可信的用户之间共享一个交换机,那么带来的只能是安全上的灾难。
VLAN的确使得将网络业务进行隔离成为可能,这些业务共享同一交换机甚至共享一组交换机。但是交换机的设计者们在把这种隔离功能加入到产品之中时,优先考虑的并不是安全问题。VLAN的工作原理是限制和过滤广播业务流量,不幸的是,VLAN是依靠软件和配置机制而不是通过硬件来完成这一任务的。
最近几年,一些防火墙已经成为VLAN设备,这意味着可以制定基于包标签的规则来使一个数据包转到特定的VLAN。然而,作为VLAN设备的防火墙也为网页寄存站点增加了很多灵活的规则,这样防火墙所依赖的这些标签在设计时就不是以安全为准则了。交换机之外的设备也可以生成标签,这些标签可以被轻易地附加在数据包上用来欺骗防火墙。
VLAN的工作原理究竟是怎样的?VLAN又有着什么样的安全性上的优点呢?如果决定使用VLAN作为安全体系的一部分,怎样才能最大限度地避免VLAN的弱点呢?
分区功能
“交换机”一词最早被用来描述这样一种设备,这种设备将网络业务在被称之为“端口”的网络接口间进行交换。就在不久以前,局域网的交换机被称作“桥接器”。现在,即使是与交换机相关的IEEE标准中也不可避免地用到“桥接器”这一术语。
桥接器用来连接同一局域网上不同的段,这里的局域网指的是不需要路由的本地网络。桥接器软件通过检测收到数据包中所含的MAC地址来获悉哪个端口联接到哪个网络设备。最初,桥接器将所有收到的数据包发送到每个端口,经过一段时间以后,桥接器通过建立生成树和表的方法获悉如何将数据包发送到正确的网络接口。这些生成树和表将MAC地址映射到端口的工作,是通过一些选择正确网络接口和避免回路的算法来完成的。通过将数据包发送到正确的网络接口,桥接器减少了网络业务流量。可以将桥接器看作是连接两条不同道路的高速公路,在高速公路上只通过两条道路间必要的交通流量。
尽管桥接器从整体上减少了网络业务流量,使得网络可以更加高效地运行。桥接器仍然需要对所有端口进行广播数据包的发送。在任何局域网中,广播的含义是:一个消息广播发送给局域网内所有系统。ARP(地址解析协议)包就是广播信息的一个例子。
随着端口数目和附加管理软件数目的增多,桥接器设备的功能变得越来越强。一种新的功能出现了:桥接器具有了分区功能,可被分成多个虚拟桥。当通过这种方式进行分区时,广播信息将被限制在与虚拟桥和对应的VLAN的那些端口上,而不是被发送到所有的端口。
将广播限制在一个VLAN中并不能够阻止一个VLAN中的系统访问与之连接在同一桥接器而属于不同VLAN的系统。但要记住,ARP广播被用来获得与特定IP对应的MAC地址,而没有MAC地址,即使在同一网络中的机器也不能相互通信。
Cisco网站上描述了在两种情况下,数据包可以在连接于同一交换机的VLAN中传送,
在第一种情况下,系统在同一VLAN中建立了TCP/IP连接,然后交换机被重新设置,使得一个交换机的端口属于另一个VLAN。通信仍将继续,因为通信双方在自己的ARP缓冲区中都有对方的MAC地址,这样桥接器知道目的MAC地址指向哪个端口。在第二种情况下,某人希望手动配制VLAN,为要访问的系统建立静态ARP项。这要求他知道目标系统的MAC地址,也许需要在物理上直接访问目标系统。
这两种情况中所描述的问题能够通过使用交换机软件来得到改善,这些软件的功能是消除数据包在传送时所需要的信息。在Cisco的高端交换机中,将每个VLAN所存在的生成树进行分离。其他的交换机要么具有类似的特点,要么能被设置成可以对各个VLAN里的成员的桥接信息进行过滤。
链路聚合
多个交换机可以通过配制机制和在交换机间交换数据包的标签来共享同一VLAN。你可以设置一个交换机,使得其中一个端口成为链路,在链路上可以为任何VLAN传送数据包。当数据包在交换机之间传递时,每个数据包被加上基于802.1Q协议的标签,802.1Q协议是为在桥接器间传送数据包而设立的IEEE标准。接收交换机消除数据包的标签,并将数据包发送到正确的端口,或在数据包是广播包的情况下发送到正确的VLAN。
这些四字节长的802.1Q被附加在以太网数据包头中,紧跟在源地址后。前两个字节包含81 00,是802.1Q标签协议类型。后两个字节包含一个可能的优先级,一个标志和12比特的VID(VLAN Identifier)。VID的取值在0到4095之间,而0和4095都作为保留值。VID的默认值为1,这个值同时也是为VLAN配置的交换机的未指定端口的默认值。
根据Cisco交换机的默认配置,链路聚合是推荐的配置。如果一个端口发现另一个交换机也连在这个端口上,此端口可以对链路聚合进行协商。默认的链路端口属于VLAN1,这个VLAN被称作该端口的本地VLAN。管理员能够将链路端口指定给任何VLAN。
可以通过设置链路端口来防止这种VLAN间数据包的传送,将链路端口的本地VLAN设置成不同于其他任何VLAN的VID。记住链路端口的默认本地VLAN是VID 1。可以选择将链路端口的本地VLAN设置为1001,或者任何交换机允许的且不被其他任何VLAN所使用的值。
防火墙和VLAN
知道了交换机如何共享VLAN信息之后,就可以更准确地评价支持VLAN的防火墙。支持VLAN的防火墙从支持VLAN的交换机那里获得头部带有802.1Q标签的数据包,这些标签将被防火墙展开,然后用来进行安全规则的检测。尽管到目前为止,我们只讨论了以太网的情况,802.1Q标签同样适用于其他类型的网络,比如ATM 和FDDI。
802.1Q标签并不能提供身份验证,它们只不过是交换机用来标志从特定VLAN来的特定数据包的一种方式。如同许多年来人们伪造IP源地址一样,VLAN标签同样可以被伪造。最新的Linux操作系统带有对工作于VLAN交换机模式的支持,可以生成本地系统管理员可以选择的任意VLAN标签。
安全使用802.1Q标签的关键在于设计这样一种网络:交换机链路连接到防火墙接口,而基于VLAN标签的安全检测将在防火墙接口进行。如果有其他的线路能够到达防火墙的接口,伪造VLAN标签的可能性就会增大。交换机本身必须被正确配置,进行链路聚合的链路端口要进行特殊配置,然后加入到非默认VID中。
在任何关于交换机的讨论中,保护对交换机设备的管理权限这一结论是永远不变的。交换机和其他网络设备一样可以从三种途径进行管理:Telnet、HTTP和SNMP。关掉不使用的管理途径,在所使用的管理途径上也要加上访问控制。因为当攻击者来自网络外部时,防火墙可以控制他对交换机的访问;当攻击者来自网络内部或者攻击者获得了访问内部系统的权限而发起攻击时,防火墙对此将无能为力。
★ 员工个人提升计划
★ 提升员工范围范文
