做为IT开发人员，什么时候考项目管理合适？

如何成为优秀的IT项目经理

项目经理必须通过项目成员的共同努力来完成项目目标，必须具有沟通和领导能力。项目经理作为项目小组的核心，必须对项目从开始到结束每个过程负责，对于项目进展期间所有的活动进行管理，协调项目小组成员之间、外部客户、供应商以及其他相关利益团体的关系。他必须掌握一定的管理技能：激励和领导能力、沟通和协调艺术、决策能力，以及掌握时间、把握预算和技术的技巧等。此外，由于有的项目团队的人员处于流动状态，项目经理必须具有不断整合项目团队，并且能够发挥项目成员的作用。还要做到知人善任，发挥每个成员的优势。在项目进展过程中，环境不断变化，项目活动也可能会发生变化，项目经理应该具有适应变革的能力，根据变化调整、改变领导方式。

项目经理必须具有良好的技术背景。虽然不一定要精通该项目所需求的技术，但应该具备基础的识别和判断能力。他要明白项目的关键技术是什么，以及该技术在项目进展过程中的作用。如果项目经理对技术知之甚少，那么他就很难和技术专家进行有效的沟通、合作，也很难做出正确的决策。作为一个软包装企业的项目经理，必须掌握软包装基本的知识，这样他在领导项目小组时，就不会因为技术方面的问题做出错误的判断和决策。

项目经理必须能够熟练运用工作分解结构工具。所谓的工作分解结构是一种用于项目活动列表，活动序列和具体预算的初始计划表。项目经理应该尽可能地详细描述所有的活动，并对所需活动建立逻辑框架图，找出活动的重点，工作结构分解合理与否还直接影响、决定了项目活动的时间预测和成本估算。

对于项目活动的进度计划非常复杂，一般采用关键路径法（即CPM技术）对项目进行分析，确定项目的关键路径。项目经理必须能够根据具体的项目要求，找出关键路径，这是任何项目经理必须具备的最基本的素质。在确定关键路径的同时，必须充分重视非关键路径。由于随着时间的推进，与项目相关的一些因素往往要发生变化，非关键路径有可能变成关键路径，进而影响整个项目的进展。项目经理必须洞察环境因素的变化，随时根据具体情况做出可行的调整，杜绝非关键路径转化成关键路径，以保证整个项目进展顺利，并且保证不超过预算。简单的项目可以人工完成关键路径分析，对于复杂的大型项目必须应用项目分析程序借助大型计算机来完成。

项目经理必须在项目开始前就能较为准确预测项目所需要的时间，并且在项目进展的过程能够较好地把握项目时间。对时间的预测主要采用两种方法：单点时间预测和多点时间预测。多点时间预测相比单点预测要准确合理。在项目进展过程中，项目经理通常采用时间——费用均衡模型来缩短关键路径的时间，也就是增加费用换取时间的方法。一般的情况下，缩短关键路径上成本最低的活动。如果项目有两个以上的关键路径，通常是缩短成本最低的关键路径。对时间的把握还体现在对松弛时间的运用上。项目经理必须科学合理地运用松弛时间，松弛时间的合理运用是项目能够按时完工的重要因素。优秀的项目经理知道什么情况下运用松弛时间，什么情况下不能用。

项目经理除了对项目所需时间最为关心外，对项目的成本也是非常关心的。通过以往绩效的分析和项目评估可以确定成本标准，并据此制定项目预算。在项目进展过程中，成本会计系统检测实际成本的状况，并与预算相比。并将结果告诉项目经理。如果实际成本和预算有偏差，项目经理必须采取措施进行控制。项目经理必须在规定的时间内以最小的费用来完成项目，也就是项目尽量不超过预算。虽然，大多数项目都超过预算，但是优秀的项目经理都把预算作为项目进展费用的最终目标。上文已经提到了时间——费用均衡模型，它除了控制项目的时间进展外，还是控制费用的工具。

项目经理应具有良好的道德素质。

在项目进展过程中，经常有一些项目经理伪造记录、漠视成员的安全、允许不合格活动等，并有意压低成本或者隐藏项目信息以期项目能够通过验收。故项目经理在项目进展过程中要遵守独立、公正的职业道德，遵守相关的法律、法规，在保证社会利益的前提下，尽力寻求项目相关各方利益的均衡。在项目小组中，项目经理的行为准则还影响到其他成员，进而影响到整个项目小组。所以项目经理应该担负起维护道德标准的使命。在软包装行业中，由于国家相关的环保规定相对较少，如果项目经理为了获得额外利益而有意采用危害人民身体健康的包装材料，那就是违反了职业道德，不是一名合格的项目经理。

此外，项目经理必须有风险管理能力。在项目的开始阶段和结束阶段，风险发生的可能性一般比较大。项目经理应该具有识别风险的能力，尽可能多的在开始阶段发现风险，采用定性和定量的方法分析、评估风险，确定风险发生的概率和可能会造成的后果，以尽可能地规避风险发生。在包装新产品的研发过程时，市场上找不到原先一直使用的胶粘剂，项目经理必须对采用其他胶粘剂造成的风险进行评估、分析，做出决定，这就要求项目经理具有较高的风险管理能力。

项目经理还必须熟悉质量管理、合同管理、会计方法、销售、市场战略，必须知道项目怎么管理一个项目才能使其盈利，一个不能盈利的项目没有现实意义。

做到以上的要求，就已经是个及格的项目经理了，但是要成为优秀的项目经理，还需要注意更多的东西，以下几点非常重要。

一、管理新手的重要性

一个项目组除了主管，全是新手！其实能有几个项目主管会如此幸运，项目组成员全都身经百战经验丰富。很多人认为，新手加入在短时间内对项目毫无益处，不仅帮不上忙，还需要别人来传帮带。笔者认为恰好相反：新人的加入是将会给整个项目组带来一些新鲜的想法，挖掘和引导这种的想法对新人的培训和很快的上手工作是非常关键的。公司花了钱招来的新人往往经过了人事部门的过滤，都具备了一些基本知识，主管可以先给他们分配一些具体的工作，调动他们的积极性非常关键。

在培训新人时就应该注意：

1、项目内容培训，让他尽快了解项目组的工作内容，项目的方向、目的，用到的知识、技能；

2、给他在项目组中的角色做个定位，明确他的职责，并提供必要的支持；

3、告诉他项目组管理方面须注意的问题，让他尽快融入到项目组里来；

4、尽量与目前项目组的工作结合起来培训，如让他尽快熟悉项目已经完成的工作，告诉他以后的计划，以及他马上要做的工作等等；

5、保持良好的沟通，了解他的进展，根据实际情况调整培训计划。

二、管理文档的重要性

让项目主管最痛苦的事情莫过于：当一个重要成员半途离开项目组时，才发现他根本就没有留下任何可用的文档。天下没有不散的宴席，项目组的成员也是在动态调整中，文档就是成员之间交接的重要工具。很多主管很容易陷入"重技术实现，轻文档"的误区。他们总是认为项目实施时间紧迫，为了节省时间，可以在项目收尾阶段突击写文档。要是项目周期稍长，到了最后，成员还会记得清清楚楚每个实现细节吗？没有文档的项目铁定是一个失败的项目。

从过程控制的角度看，项目的实施质量控制，最重要的就是文档的管理控制。通过文档来显示表明每个基线，每个成员的工作量和完成质量，达到项目的风险最小化。

三、管理平台的重要性

建议使用微软PROJECT2000作为核心的项目管理软件，并根据项目的需求，以现有的计算机网络系统（Network）为基础，建立了内部的Internet项目管理平台。

根据使用者的反馈信息，效果如下：

1、使用PROJECT2000建立项目计划信息共享门户，使技术人员、主管随时看到与自己相关的任务信息，并通过建立状态报告，达到了解技术人员各自工作完成情况；

2、利用研发内部网站、电子公告板等共享信息系统，提供有效的信息沟通途径；

3、根据项目计划，建立动态提醒机制；

4、建立项目数据管理系统（Data）：对与项目有关的数据和与数据有关的过程，进行有效地管理；

5、电子文档管理系统（Document），对图纸、文件、资料等文档，采用集中管理的方式，进行有序地组织，实现充分的共享和重复使用，实现了通过IE浏览器访问项目文档功能；

6、建立数据记录体现变更控制记录，项目文档记录。

冰封三尺，非一日之寒。通过以上的各种条目，我们可以清楚的知道，要成为优秀的项目经理，需要经过很多的磨练，需要经验与汗水的累加。 ;

#云原生背景#

云计算是信息技术发展和服务模式创新的集中体现，是信息化发展的重要变革和必然趋势。随着“新基建”加速布局，以及企业数字化转型的逐步深入，如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能，成为企业数字业务应用创新的原动力，云原生进入快速发展阶段，就像集装箱加速贸易全球化进程一样，云原生技术正在助力云计算普及和企业数字化转型。

云原生计算基金会（CNCF）对云原生的定义是：云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可d性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。

#云安全时代市场发展#

云安全几乎是伴随着云计算市场而发展起来的，云基础设施投资的快速增长，无疑为云安全发展提供土壤。根据 IDC 数据，2020 年全球云安全支出占云 IT 支出比例仅为 11%，说明目前云安全支出远远不够，假设这一比例提升至 5%，那么2020 年全球云安全市场空间可达 532 亿美元，2023 年可达 1089 亿美元。

海外云安全市场：技术创新与兼并整合活跃。整体来看，海外云安全市场正处于快速发展阶段，技术创新活跃，兼并整合频繁。一方面，云安全技术创新活跃，并呈现融合发展趋势。例如，综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合，提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面，新兴的云安全企业快速发展，同时，传统安全供应商也通过自研+兼并的方式加强云安全布局。

国内云安全市场：市场空间广阔，尚处于技术追随阶段。市场规模上，根据中国信通院数据，2019 年我国云计算整体市场规模达 13345亿元，增速 386%。预计 2020-2022 年仍将处于快速增长阶段，到 2023 年市场规模将超过 37542 亿元。中性假设下，安全投入占云计算市场规模的 3%-5%，那么 2023 年中国云安全市场规模有望达到 1126 亿-1877 亿元。技术发展上，中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛，对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展，云原生技术的应用越来越广泛，我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。

#云上安全呈原生化发展趋势#

云原生技术逐渐成为云计算市场新趋势，所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术，正在影响各行各业的 IT 基础设施、平台和应用系统，也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用，其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。

从各种各样的安全风险中可以一窥云原生技术的安全态势，云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中，安全是必须要考虑的重要因素。

#云原生安全的定义#

国内外各组织、企业对云原生安全理念的解释略有差异，结合我国产业现状与痛点，云原生与云计算安全相似，云原生安全也包含两层含义：“面向云原生环境的安全”和“具有云原生特征的安全”。

面向云原生环境的安全，其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制，不一定具备云原生的特性（比如容器化、可编排），它们可以是传统模式部署的，甚至是硬件设备，但其作用是保护日益普及的云原生环境。

具有云原生特征的安全，是指具有云原生的d性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新，通过容器化、资源编排和微服务重构了传统的开发运营体系，加速业务上线和变更的速度，因而，云原生系统的种种优良特性同样会给安全厂商带来很大的启发，重构安全产品、平台，改变其交付、更新模式。

#云原生安全理念构建#

为缓解传统安全防护建设中存在的痛点，促进云计算成为更加安全可信的信息基础设施，助力云客户更加安全的使用云计算，云原生安全理念兴起，国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。

Gartner提倡以云原生思维建设云安全体系

基于云原生思维，Gartner提出的云安全体系覆盖八方面。其中，基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供，其它六部分，包括持续的云安全态势管理，全方位的可视化、日志、审计和评估，工作负载安全，应用、PaaS 和 API 安全，扩展的数据保护，云威胁检测，客户需基于安全产品实现。

Forrester评估公有云平台原生安全能力

Forrester认为公有云平台原生安全（Public cloud platform native security, PCPNS）应从三大类、37 个方面去衡量。从已提供的产品和功能，以及未来战略规划可以看出，一是考察云服务商自身的安全能力和建设情况，如数据中心安全、内部人员等，二是云平台具备的基础安全功能，如帮助和文档、授权和认证等，三是为用户提供的原生安全产品，如容器安全、数据安全等。

安全狗以4项工作防护体系建设云原生安全

（1）结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作，对于云原生环境中的各种组成部分，均可贯彻落实“安全左移”的原则，进行安全基线配置，防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言，其重点是应用安全问题。

（2）围绕云原生应用的生命周期来进行DevSecOps建设，以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”，在项目构建时注重“镜像安全”，在项目部署时注重“容器准入”，在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。

（3）围绕攻击前、中、后的安全实施准则进行构建，可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。

（4）改造并综合运用现有云安全技术，不应将“云原生安全”视为一个独立的命题，为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。

#云原生安全新型风险#

云原生架构的安全风险包含云原生基础设施自身的安全风险，以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于：容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。

#云原生安全问题梳理#

问题1：容器安全问题

在云原生应用和服务平台的构建过程中，容器技术凭借高d性、敏捷的特性，成为云原生应用场景下的重要技术支撑，因而容器安全也是云原生安全的重要基石。

（1）容器镜像不安全

Sysdig的报告中提到，在用户的生产环境中，会将公开的镜像仓库作为软件源，如最大的容器镜像仓库Docker Hub。一方面，很多开源软件会在Docker Hub上发布容器镜像。另一方面，开发者通常会直接下载公开仓库中的容器镜像，或者基于这些基础镜像定制自己的镜像，整个过程非常方便、高效。然而，Docker Hub上的镜像安全并不理想，有大量的官方镜像存在高危漏洞，如果使用了这些带高危漏洞的镜像，就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点：

1不安全的第三方组件

在实际的容器化应用开发过程当中，很少从零开始构建镜像，而是在基础镜像之上增加自己的程序和代码，然后统一打包最终的业务镜像并上线运行，这导致许多开发者根本不知道基础镜像中包含多少组件，以及包含哪些组件，包含的组件越多，可能存在的漏洞就越多。

2恶意镜像

公共镜像仓库中可能存在第三方上传的恶意镜像，如果使用了这些恶意镜像来创建容器后，将会影响容器和应用程序的安全

3敏感信息泄露

为了开发和调试的方便，开发者将敏感信息存在配置文件中，例如数据库密码、证书和密钥等内容，在构建镜像时，这些敏感信息跟随配置文件一并打包进镜像，从而造成敏感信息泄露

（2）容器生命周期的时间短

云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。在容器环境下，一部分容器是以docker的命令启动和管理的，还有大量的容器是通过Kubernetes容器编排系统启动和管理，带来了容器在构建、部署、运行，快速敏捷的特点，大量容器生命周期短于1小时，这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化，容器的全生命周期防护存在很大变数。对防守者而言，需要采用传统异常检测和行为分析相结合的方式，来适应短容器生命周期的场景。

传统的异常检测采用WAF、IDS等设备，其规则库已经很完善，通过这种检测方法能够直观的展示出存在的威胁，在容器环境下，这种方法仍然适用。

传统的异常检测能够快速、精确地发现已知威胁，但大多数未知威胁是无法通过规则库匹配到的，因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说，一段生产运营时间内的业务模式是相对固定的，这意味着，业务行为是可以预测的，无论启动多少个容器，容器内部的行为总是相似的。通过机器学习、采集进程行为，自动构建出合理的基线，利用这些基线对容器内的未知威胁进行检测。

（3）容器运行时安全

容器技术带来便利的同时，往往会忽略容器运行时的安全加固，由于容器的生命周期短、轻量级的特性，传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护，显示费时费力且消耗资源，但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点：

1不安全的容器应用

与传统的Web安全类似，容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞，容器在对外提供服务的同时，就有可能被攻击者利用，从而导致容器被入侵

2容器DDOS攻击

默认情况下，docker并不会对容器的资源使用进行限制，默认情况下可以无限使用CPU、内存、硬盘资源，造成不同层面的DDOS攻击

（4）容器微隔离

在容器环境中，与传统网络相比，容器的生命周期变得短了很多，其变化频率也快很多。容器之间有着复杂的访问关系，尤其是当容器数量达到一定规模以后，这种访问关系带来的东西向流量，将会变得异常的庞大和复杂。因此，在容器环境中，网络的隔离需求已经不仅仅是物理网络的隔离，而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。

问题2：云原生等保合规问题

等级保护20中，针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求，但是由于编写周期很长，编写时主流还是虚拟化场景，而没有考虑到容器化、微服务、无服务等云原生场景，等级保护20中的所有标准不能完全保证适用于目前云原生环境；

通过安全狗在云安全领域的经验和具体实践，对于云计算安全扩展要求中访问控制的控制点，需要检测主机账号安全，设置不同账号对不同容器的访问权限，保证容器在构建、部署、运行时访问控制策略随其迁移；

对于入侵防范制的控制点，需要可视化管理，绘制业务拓扑图，对主机入侵进行全方位的防范，控制业务流量访问，检测恶意代码感染及蔓延的情况；

镜像和快照保护的控制的，需要对镜像和快照进行保护，保障容器镜像的完整性、可用性和保密性，防止敏感信息泄露。

问题3：宿主机安全

容器与宿主机共享 *** 作系统内核，因此宿主机的配置对容器运行的安全有着重要的影响，比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险，端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统，提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能，各个功能之间进行联动，建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统，对主机进行全方位的安全防护，协助用户及时定位已经失陷的主机，响应已知、未知威胁风险，避免内部大面积主机安全事件的发生。

问题4：编排系统问题

编排系统支撑着诸多云原生应用，如无服务、服务网格等，这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限，进而对容器网络进行渗透横移，造成巨大损失。

Kubernetes架构设计的复杂性，启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件，因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制，进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略，合理使用这些机制可以有效实现Kubernetes的安全加固。

问题5：软件供应链安全问题

通常一个项目中会使用大量的开源软件，根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件，这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解，导致当开源软件中存在0day或Nday漏洞，我们根本无法获悉。

开源软件漏洞无法根治，容器自身的安全问题可能会给开发阶段带的各个过程带来风险，我们能做的是根据SDL原则，从开发阶段就开始对软件安全性进行合理的评估和控制，来提升整个供应链的质量。

问题6：安全运营成本问题

虽然容器的生命周期很短，但是包罗万象。对容器的全生命周期防护时，会对容器构建、部署、运行时进行异常检测和安全防护，随之而来的就是高成本的投入，对成千上万容器中的进程行为进程检测和分析，会消耗宿主机处理器和内存资源，日志传输会占用网络带宽，行为检测会消耗计算资源，当环境中容器数量巨大时，对应的安全运营成本就会急剧增加。

问题7：如何提升安全防护效果

关于安全运营成本问题中，我们了解到容器安全运营成本较高，我们该如何降低安全运营成本的同时，提升安全防护效果呢？这就引入一个业界比较流行的词“安全左移”，将软件生命周期从左到右展开，即开发、测试、集成、部署、运行，安全左移的含义就是将安全防护从传统运营转向开发侧，开发侧主要设计开发软件、软件供应链安全和镜像安全。

因此，想要降低云原生场景下的安全运营成本，提升运营效率，那么首先就要进行“安全左移”，也就是从运营安全转向开发安全，主要考虑开发安全、软件供应链安全、镜像安全和配置核查：

开发安全

需要团队关注代码漏洞，比如使用进行代码审计，找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。

供应链安全

可以使用代码检查工具进行持续性的安全评估。

镜像安全

使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估，对存在风险的镜像进行及时更新。

配置核查

核查包括暴露面、宿主机加固、资产管理等，来提升攻击者利用漏洞的难度。

问题8：安全配置和密钥凭证管理问题

安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互，为了简便，很多开发者将访问凭证、密钥文件直接存放在代码中，或者将一些线上资源的访问凭证设置为弱口令，导致攻击者很容易获得访问敏感数据的权限。

#云原生安全未来展望#

从日益新增的新型攻击威胁来看，云原生的安全将成为今后网络安全防护的关键。伴随着ATT&CK的不断积累和相关技术的日益完善，ATT&CK也已增加了容器矩阵的内容。ATT&CK是对抗战术、技术和常识（Adversarial Tactics, Techniques, and Common Knowledge）的缩写，是一个攻击行为知识库和威胁建模模型，它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。

云原生安全的备受关注，使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATT&CK让我们从行为的视角来看待攻击者和防御措施，让相对抽象的容器攻击技术和工具变得有迹可循。结合ATT&CK框架进行模拟红蓝对抗，评估企业目前的安全能力，对提升企业安全防护能力是很好的参考。

每个人的情况都不一样。有人建议越早越好，有人建议去工作地点复试。这个完整的个人决定推荐10年项目经理的考试感悟。

硕士毕业，一年半的国企，然后去了外企，开始了项目经理的生活。在开始之前，这个过程中也没有经过专业的程序教育。工厂内项目、亚太地区、全球部分项目、项目间部门也很多：生产、维修、财务、人事、安全、质量。从项目输出和结果来看，项目进行得很好。

我个人认为做项目是一个人的本能

为什么这么说，孩子一出生就有这种本能，饿了就哭，看妈妈哭得更厉害，这就是找资源。学生时代，每次考试、大考试前，有时不做详细的复习计划，是时间、资源的有效分配，考试结束后总结。这就是结束项目或阶段，总结经验教训。结婚、更多项目、请帖、酒席、旅行中哪个不是小项目。村长“老张”连几个大字都不知道，家家有丧事都找他。他的整个过程井井有条。

那么，有必要进行系统的学习项目管理吗？我想分享几点。然后你们自己做出判断。

1系统学习项目管理提高我的基线，使我更接近极限

引用最近吴军的《格局》中提到的一点，成功最普遍的方法论是掌握事情的界限或局限性。以下线是基本线，也可以称为基线。每个人的极限都不同。这个基线在一定程度上决定了我们能达到的高度。如果没有系统学习项目管理，我的基线再过十年就会变成这样。

2项目管理与数学、物理学不同，并非所有问题都有完全正确的答案

考试PMP给人印象最深的是，其中25个主题没有打分。在学习过程中，老师、学员之间的相互作用，从不同角度看这个问题，以后会遇到类似的问题。可以从多维角度考虑问题。虽然不是100%正确，但我们继续学习，探索，从共享到优秀，不是吗？如果没有系统的学习，我会一直停留在固有的思维方式上。

3我是实用主义者PMP证书市面上含金量比较高

你的价值不是由你决定的，而是由你在社会上协商的能力决定的。需要找工作的时候不要再看机会，平时多看看外面，至少知道行情怎么样。

今天突然想到了这个东西，还是简单写写吧。这篇肯定是非常简单非常简单的那种，以后会不会继续更新，这个就随缘吧（一贯作风）。如果有些写的不对还请指正。

同样，为了厘清思路，本文依然会划分为几个部分：

基线校正是什么？

为什么需要基线校正？

基线校正的适用场合和一般使用方式

基线校正Baseline Correction，从字面理解就是对基线进行校正。这里有两个方面，首先，基线是什么？如何确定基线？另外一个方面是，为什么要校正以及如何校正。

我们先默认是需要进行基线校正的，关于为什么需要，这个背后的原因会在第二部分进一步说明。所以，既然是一种校正，那么，这也就说明了，一定是存在偏差的，校正的目的就是为了减少偏差。

那么，什么是基线？简单来说，基线就是基础线，是一个一般意义上大部分时候会出现的情况，也就是常态。在脑电中就是刺激前/event的一段时间。

基线校正这个环节一般都是出现在预处理的分段之后的。在分段时要划分event/刺激，一般分段并不是从刺激开始的时候才开始的，而是在刺激出现前后各划分一段时间，这样，以刺激出现为0点，刺激前时间为负值，刺激后时间为正值。例如，分段为[-1 2]代表刺激为0点，在刺激前取1s和刺激后取2s共3s。

综上所述，简单来说，基线校正就是一般在预处理的分段之后使用的一种减少偏差的方法。

基线校正是为了减少偏差，但是为什么会出现偏差呢？原因就是不稳定。

在实际的数据中，会发现数据会飘。大概就是下面这样：表示一个ERP的实验数据，红色是每个分段，虽然每个分段中的波形是差不多的（就当成差不多吧），但是它们并不是在同一个水平面上，也可以理解为相对值一样，但是绝对值不同。如果不进行校正，直接平均会影响结果。

所以说，ERP中的基线校正实际上也可以看成是一种线性平移。

常见的基线校正就是在预处理分段后的时候。关于这部分的解释：“Baseline correction is a linear operation because we are just computing the average of the points from the baseline period (which is a linear operation) and subtracting this average from each point in the waveform (which is also a linear operation) This means that you can perform baseline correction before or after any other linear process and get exactly the same result However, artifact rejection is a nonlinear process, so you may not get the same result by performing baseline correction before versus after artifact rejection This will depend on the nature of the artifact rejection algorithm If the algorithm uses a simple voltage threshold, then you really need to perform baseline correction prior to artifact rejection However, the moving average peak-to-peak and step function algorithms are not influenced by baseline correction, so you can apply these algorithms either before or after baseline correction This does not mean that these artifact rejection algorithms are linear; it just means that they do not take the baseline voltage into account”（by >

H3C交换机安全配置基线H3C交换机安全配置基线（Version 10）2012年12月1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)71 账号管理 (3)711 运维账号共享管理 (3)712 删除与工作无关账号 (3)72 口令管理 (4)721 静态口令加密 (4)722 静态口令运维管理 (4)73 认证管理 (5)731 RADIUS认证（可选） (5)74 日志审计 (6)741 RADIUS记账（可选） (6)742 启用信息中心 (6)743 远程日志功能 (7)744 日志记录时间准确性 (7)75 协议安全 (7)751 BPDU防护 (8)752 根防护 (8)753 VRRP认证 (8)76 网络管理 (9)761 SNMP协议版本 (9)762 修改SNMP默认密码 (9)763 SNMP通信安全（可选） (10)77 设备管理 (10)771 交换机带内管理方式 (10)772 交换机带内管理通信 (11)773 交换机带内管理超时 (11)774 交换机带内管理验证 (12)775 交换机带内管理用户级别 (12)776 交换机带外管理超时 (13)777 交换机带外管理验证 (13)78 端口安全 (13)781 使能端口安全 (13)782 端口MAC地址数 (14)783 交换机VLAN划分 (14)79 其它 (15)791 交换机登录BANNER管理 (15)792 交换机空闲端口管理 (15)793 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)

附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。本文档旨在对信息系统的安全配置审计、加固 *** 作起到指导性作用。本文档主要起草人：靖小伟、杨志贤、张志伟、滕征岑、裴志宏、刘磊、叶铭、王勇、吴强。2 适用范围本文档适用于中国石油使用的H3C系列交换机，明确了H3C系列交换机在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。3 缩略语TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议SNMP Simple Network Management Protocol 简单网络管理协议ARP Address Resolution Protocol 地址解析协议VLAN Virtual LAN 虚拟局域网STP Spanning Tree Protocol 生成树协议RSTP Rapid Spanning Tree Protocol 快速生成树协议MSTP Multiple Spanning Tree Protocol 多生成树协议BPDU Bridge Protocol Data Unit 桥接协议数据单元VRRP Virtual Router Redundancy Protocol 虚拟路由器冗余协议NTP Network Time Protocol 网络时间协议AAA Authentication，Authorization，Accounting 认证，授权，记账GCC General Computer Controls 信息系统总体控制SBL Security Base Line 安全基线4 安全基线要求项命名规则安全基线要求项是安全基线的最小单位，每一个安全基线要求项对应一个基本的可执行

的安全规范明细，安全基线要求项命名规则为“安全基线–一级分类–二级分类–类型编号–明细编号”，如SBL-Switch-H3C-01-01，代表“安全基线–交换机– H3C –账号类–运维账号共享管理“。5 文档使用说明1> 随着信息技术发展，路由器与交换机在功能上逐渐融合，具有共同点，部分路由器上配有交换板卡，可以实现服务器与终端计算机接入；部分交换机配有路由引擎，可以实现路由功能。虽然两者具有一定共同点，但从路由器与交换机在生产环境中的应用定位出发，本系列文档分为路由器安全基线（侧重于路由协议等）和交换机安全基线（侧重于局域网交换与端口安全等）。2> H3C交换机可以通过命令行、Web、NMS等多种方式管理，本文档中涉及的 *** 作，均在命令行下完成。3> 命令行中需要用户定义的名称与数值，文档中均以<>标出，用户根据需要自行定义。例如local-user ，表示创建账号名称为name1的本地用户，password cipher < password1>，表示本地用户name1的密码为passowrd1。4> 由于各信息系统对于H3C系列交换机的要求不尽相同，因此对于第7章安全配置要求中的安全基线要求项，各信息系统根据实际情况选择性进行配置，并填写附录A《安全基线配置项应用统计表》。5> 在第7章安全配置要求中，部分安全基线要求项提供了阈值，如“交换机带内管理设置登录超时，超时时间不宜设置过长，参考值为5分钟。”，此阈值为参考值，通过借鉴GCC、中国石油企标、国内外大型企业信息安全最佳实践等资料得出。各信息系统如因业务需求无法应用此阈值，在附录A《安全基线配置项应用统计表》的备注项进行说明。6 注意事项由于H3C系列交换机普遍应用于重要生产环境，对于本文档中安全基线要求项，实施前需要在测试环境进行验证后应用。在应用安全基线配置项的过程中，如遇到技术性问题，填写附录B《安全基线配置项应用问题记录表》。在应用安全基线配置前需要备份交换机的配置文件，以便出现故障时进行

回退。7 安全配置要求71 账号管理711 运维账号共享管理安全基线编号SBL-Switch- H3C-01-01安全基线名称运维账号共享安全基线要求项安全基线要求按照用户分配账号，避免不同用户间共享运维账号检测 *** 作参考[Switch]dis current | i local-user安全判定依据1）网络管理员列出交换机运维人员名单；2）查看dis current | i local-user结果：local-userlocal-userlocal-user3）对比命令显示结果与运维人员账号名单，如果运维人员之间不存在共享运维账号，表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低712 删除与工作无关账号安全基线编号SBL- Switch- H3C-01-02安全基线名称账号整改安全基线要求项安全基线要求删除与工作无关的账号，提高系统账号安全检测 *** 作参考[Switch]dis current | i local-user安全判定依据1）网络管理员列出交换机运维人员的账号名单；2）查看dis current | i local-user结果：local-userlocal-userlocal-user3）对比显示结果与账号名单，如果发现与运维无关的账号，表明不符合安全要求。备注无关账号主要指测试账号、共享账号、长期不用账号（半年以上）等。基线配置项重要度高中低 *** 作风险评估高中低72 口令管理721 静态口令加密安全基线编号SBL- Switch- H3C-02-01安全基线名称静态口令加密安全基线要求项安全基线要求1）配置本地用户口令使用“cipher”关键字2）配置super口令使用“cipher”关键字检测 *** 作参考1）[Switch]dis current | b local-user2）[Switch]dis current | i super password

安全判定依据如果显示“cipher”关键字，如：1）local-userpassword cipher <密文password>2）super password level cipher <密文password> 表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低722 静态口令运维管理安全基线编号SBL- Switch- H3C-02-02安全基线名称静态口令运维管理安全基线要求项安全基线要求1）采用静态口令认证技术的设备，口令最小长度不少于8个字符2）采用静态口令认证技术的设备，口令生存期最长为90天基线配置项重要度高中低73 认证管理731 RADIUS认证（可选）安全基线编号SBL- Switch- H3C-03-01安全基线名称RADIUS认证安全基线要求项安全基线要求配置RADIUS认证，确认远程用户身份，判断访问者是否为合法的网络用户检测 *** 作参考1）[Switch]dis current | b radius scheme 2）[Switch]dis current | b domain3）[Switch]dis current | b user-interface vty安全判定依据如果显示类似：1）配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2）配置域domainauthentication login radius-scheme local 3）配置本地用户user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低74 日志审计741 RADIUS记账（可选）

安全基线编号SBL- Switch- H3C-04-01安全基线名称RADIUS记账安全基线要求项安全基线要求与记账服务器配合，设备配置日志功能：1）对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址；2）对用户设备 *** 作进行记录，如账号创建、删除和权限修改，口令修改等，记录需要包含用户账号， *** 作时间， *** 作内容以及 *** 作结果。检测 *** 作参考1）[Switch]dis current | b radius scheme2）[Switch]dis current | b domain安全判定依据如果显示类似：1）配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2）配置域domainaccounting login radius-scheme local 表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低742 启用信息中心安全基线编号SBL- Switch- H3C-04-02安全基线名称信息中心启用安全基线要求项安全基线要求启用信息中心，记录与设备相关的事件检测 *** 作参考[Switch]dis info-center安全判定依据如果显示类似：Information Center: enabled 表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低743 远程日志功能安全基线编号SBL- Switch- H3C-04-03安全基线名称远程日志功能安全基线要求项安全基线要求配置远程日志功能，使设备日志能通过远程日志功能传输到日志服务器检测 *** 作参考[Switch]dis current | i info-center loghost安全判定依据如果显示类似：info-center loghost 表明符合安全要求。

￥

5

百度文库VIP限时优惠现在开通,立享6亿+VIP内容

立即获取

H3C交换机安全配置基线

H3C交换机安全配置基线

H3C交换机安全配置基线（Version 10）

2012年12月

1 引言 (1)

2 适用范围 (1)

3 缩略语 (1)

4 安全基线要求项命名规则 (2)

5 文档使用说明 (2)

6 注意事项 (3)

7 安全配置要求 (3)

以上就是关于如何成为优秀的IT项目经理全部的内容，包括:如何成为优秀的IT项目经理、在IT项目建设中，如何保证数据库安全性、做为IT开发人员，什么时候考项目管理合适等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！