精华内容
下载资源
问答
  • 微信企业转账实例之理论介绍

    千次阅读 2016-08-24 13:11:16
    最近在搞公司的电商项目时,客户要求加上一个微信转账的功能。由于项目中并没有对应的插件,没法,...企业转账:提供企业向用户付款的功能,支持企业通过API接口付款至目标用户(企业可根据APPID+OpenID锁定目标用户

    最近在搞公司的电商项目时,客户要求加上一个微信转账的功能。由于项目中并没有对应的插件,没法,只有现学现用。我先去微信商户平台官网上读取各种文档,最终做了一个demo。最后集成到了公司的项目中,大功告成。下面,我就一步一步的带大家来了解这个微信转账功能并公布自己的demo源码。

    企业转账:提供企业向用户付款的功能,支持企业通过API接口付款至目标用户(企业可根据APPID+OpenID锁定目标用户)。针对已实名认证的用户,微信支付可提供校验真实姓名一致性的可选功能。付款资金将进入目标用户的零钱(微信-我-钱包-零钱)。微信支付将做零钱入账消息通知,零钱收支明细会展示相应记录。

    API接口:https://api.mch.weixin.qq.com/mmpaymkttransfers/promotion/transfers

    cert证书:需要下载证书 证书使用

    请求参数:

    字段名 变量名 必填 示例值 类型 描述
    公众账号appid mch_appid wx8888888888888888 String 微信分配的公众账号ID(企业号corpid即为此appId)
    商户号 mchid 1900000109 String(32) 微信支付分配的商户号
    设备号 device_info 013467007045764 String(32) 微信支付分配的终端设备号
    随机字符串 nonce_str 5K8264ILTKCH16CQ2502SI8ZNMTM67VS String(32) 随机字符串,不长于32位
    签名 sign C380BEC2BFD727A4B6845133519F3AD6 String(32) 签名,详见签名算法
    商户订单号 partner_trade_no 10000098201411111234567890 String 商户订单号,需保持唯一性
    用户openid openid oxTWIuGaIt6gTKsQRLau2M0yL16E String 商户appid下,某用户的openid
    校验用户姓名选项 check_name OPTION_CHECK String NO_CHECK:不校验真实姓名
    FORCE_CHECK:强校验真实姓名(未实名认证的用户会校验失败,无法转账)
    OPTION_CHECK:针对已实名认证的用户才校验真实姓名(未实名认证用户不校验,可以转账成功)
    收款用户姓名 re_user_name 可选 马花花 String 收款用户真实姓名。
    如果check_name设置为FORCE_CHECK或OPTION_CHECK,则必填用户真实姓名
    金额 amount 10099 int 企业付款金额,单位为分
    企业付款描述信息 desc 理赔 String 企业付款操作说明信息。必填。
    Ip地址 spbill_create_ip 192.168.0.1 String(32) 调用接口的机器Ip地址

    返回参数:

    字段名 变量名 必填 示例值 类型 描述
    返回状态码 return_code SUCCESS String(16) SUCCESS/FAIL
    此字段是通信标识,非交易标识,交易是否成功需要查看result_code来判断
    返回信息 return_msg 签名失败 String(128) 返回信息,如非空,为错误原因
    签名失败
    参数格式校验错误

    以下字段在return_code为SUCCESS的时候有返回

    字段名 变量名 必填 示例值 类型 描述
    商户appid mch_appid wx8888888888888888 String 微信分配的公众账号ID(企业号corpid即为此appId)
    商户号 mchid 1900000109 String(32) 微信支付分配的商户号
    设备号 device_info 013467007045764 String(32) 微信支付分配的终端设备号,
    随机字符串 nonce_str 5K8264ILTKCH16CQ2502SI8ZNMTM67VS String(32) 随机字符串,不长于32位
    业务结果 result_code SUCCESS String(16) SUCCESS/FAIL
    错误代码 err_code SYSTEMERROR String(32) 错误码信息
    错误代码描述 err_code_des 系统错误 String(128) 结果信息描述

    以下字段在return_code 和result_code都为SUCCESS的时候有返回


    错误代码:转账失败的时候会返回错误代码,我们可以根据这些代码判断具体出错的内容

    错误代码 描述 原因 解决方案
    NOAUTH 没有权限 没有授权请求此api 请联系微信支付开通api权限
    AMOUNT_LIMIT 付款金额不能小于最低限额 付款金额不能小于最低限额 每次付款金额必须大于1元
    PARAM_ERROR 参数错误 参数缺失,或参数格式出错,参数不合法等 请查看err_code_des,修改设置错误的参数
    OPENID_ERROR Openid错误 Openid格式错误或者不属于商家公众账号 请核对商户自身公众号appid和用户在此公众号下的openid。
    NOTENOUGH 余额不足 帐号余额不足 请用户充值或更换支付卡后再支付
    SYSTEMERROR 系统繁忙,请稍后再试。 系统错误,请重试 使用原单号以及原请求参数重试
    NAME_MISMATCH 姓名校验出错 请求参数里填写了需要检验姓名,但是输入了错误的姓名 填写正确的用户姓名
    SIGN_ERROR 签名错误 没有按照文档要求进行签名
    1. 签名前没有按照要求进行排序。
    2. 没有使用商户平台设置的密钥进行签名
    3. 参数有空格或者进行了encode后进行签名。
    XML_ERROR Post内容出错 Post请求数据不是合法的xml格式内容 修改post的内容
    FATAL_ERROR 两次请求参数不一致 两次请求商户单号一样,但是参数不一致 如果想重试前一次的请求,请用原参数重试,如果重新发送,请更换单号。
    CA_ERROR 证书出错 请求没带证书或者带上了错误的证书
    1. 到商户平台下载证书
    2. 请求的时候带上该证书 

    OK,理论知识其实并没有多少。简单点来说就是我们向指定的API地址post数据,再根据返回的数据进行下一步的判断。

    下面的文章会在本文理论的基础上进行具体的代码实现。

    展开全文
  • 什么是TRIZ理论

    千次阅读 2018-05-30 05:10:35
     技术进化工具是TRIZ理论核心内容之一,它表明技术处于进化过程中并且有规律可循,可预测。技术进化规律包括S曲线和八大进化法则。其中八大进化法则包括 完备性法则、能量传递法则、协调性法则、提高理想度 法则、...
        

    1 概述

        创新是发展的动力,是世界发展的潮流。创新在国 家的发展中起着非常重要的作用。传统创新方法易于掌 握、易于传播、易于普及,能产生一些创新设想,但命 中率低,速度慢,难以解决复杂的技术问题。创新能力 都来自于人的潜能,并可以通过学习和训练来激发和提 升。创新是有规律可循的,这些规律潜藏于解决各种工 程技术问题的过程中,通过长期实践中的观察、总结, 可以发现这些规律。在这些理论方法中,TRIZ理论体现出其独有的优势,TRIZ的作用在各种实践中发挥得越来 越明显。TRIZ可以帮助我们进行系统创新,深入了解问 题并获得解决方案,简化系统以及克服心理惯性。

    2 TRIZ的发展

        TRIZ即发明问题解决理论,它是一套技术创新理论和方法,是一套解决各类工程技术问题的工具。它的核心在于提供一种有规律可循的非常客观的创新方法。它系统总结了人类以往在发明和创新方面的想法,从中提炼出一系列有效的法则,用以指导人们系统、高效地解 决未来的问题。TRIZ创新方法源于前苏联,由一位伟大 的工程师兼发明家阿奇舒勒和他的同事们创立的,他们 分析归纳总结全世界250多万份高水平专利成果后,在1946年总结出一套理论。根据创新程度的不同,将这些专利技术解决方法分为5个“创新等级”。

        TRIZ自创立以来,经历了三个发展阶段:第一个阶段为创立阶段。这个时期主要创新和完善了TRIZ体系,并在苏联少量应用。但因为苏联封锁这个理论,外界很少有人知道。这个时期形成的主要理论有40个发明原理、发明问题解决算法(ARIZ)、最终理想解、科学效应库、物-场模型、标准解和进化法则等;第二个阶段为传播阶段。苏联解体后,大量的科学家移民到了美国、欧洲、亚洲,创办了一系列的公司,开发基于TRIZ理论的软件系统,并为一些公司提供咨询服务。这时,其他国家的工程师们才开始了解这个理论。少量公司在这个时候开始引入TRIZ理论,如1995年开始的宝洁公司和1998年开始的三星公司;第三个阶段为应用阶段。从2005年开始更多世界知名大公司开始引入TRIZ理论,并开始在内部推广,如通用电气公司、西门子公司、飞利浦公司、因特尔公司等。中国的企业,特别是一些国有大型企业也开始利用TRIZ来培训员工,解决难题。

        经过几十年的发展,TRIZ已进入成熟期,TRIZ理论已经被全世界接受、应用。西方发欧国家在TRIZ领域的理论、技术和应用研究都处于世界领先水平。我国引入TRIZ理论比较晚,但最近几年其理论受到了学术界的重视和政 府的高度关注,现正被越来越深入地推广和应用。

    3 TRIZ理论思维方法

        TRIZ理论创新思维方法有多屏幕法、STC算子法、RTC算子法、金鱼法、小矮人法等。

        多屏幕法从两个维度进行发散思维:(1)从构成层面发散,考虑了当前系统、超系统及其子系统;(2)从时间层面发散,将其分为过去、现在和将来三 种状态。即按时间与构成两种不同的维度对现有问题的技术系统进行全面思考与分析,从而找到解决的思路。

        STC算子法即尺寸Size-时间Time-成本Cost分析法,它从三个不同维度对技术系统进行从零到无穷大的发散思维。RTC算子法即将STC中的尺寸换成资源 (Resource)。

         金鱼法求解问题,首先将问题分解成现实部分和不 现实部分,利用系统资源,找出可以将幻想变成现实的 条件。它是一个反复迭代分解的过程。它的反复迭代区分现实和幻想两部分,并集中求解幻想部分的问题,其中幻想部分方案求解可以结合多屏幕法获得可利用资源。金鱼法还有一个思路是针对问题产生的思路,将这些思路区分为现实方案和不现实方案,而后集中对不现实方案进行求解,从而获得解决方案。

        小矮人法是将系统功能、部件用不同的小矮人来替代,通过对小矮人群的重组、位置改变等实现创新的解 决方案。

        TRIZ中技术系统的理想化水平与有用功能之和成正比,与有害功能之和成反比。理想度可以对创新思维方案、技术系统解决方案进行评价,最后选择理想度高的 方案进行实施。要提高创新思维方案和技术系统解决方案的理想度可以增加有用功能或减少有害功能,也可对方案各个层面进行各层次分析,进而获得理想解。

    4 TRIZ解决问题的方法

        TRIZ理论具有很强的实践性,可广泛地应用于各个领域,它可以扩展人的创新性思维,从而寻求解决问题的办法,为不同行业的技术创新问题提供启发和参 考建议。用TRIZ解决问题,首先要把问题转换为问题的 模型,然后从TRIZ解决问题的工具中找到解决问题的模型。TRIZ理论在解决技术问题时主要用技术进化工具、 矛盾矩阵工具、物-场分析工具和科学效应库工具。

    4.1 技术进化工具

        技术进化工具是TRIZ理论核心内容之一,它表明技术处于进化过程中并且有规律可循,可预测。技术进化规律包括S曲线和八大进化法则。其中八大进化法则包括 完备性法则、能量传递法则、协调性法则、提高理想度 法则、动态性进化法则、子系统不均衡进化法则、向微 观级进化法则、向超系统跃迁法则。S曲线:技术系统进 化过程分为婴儿期、成长期、成熟期、衰退期,提高理 想度法则贯穿技术系统的全生命周期。对于待解决技术 系统,根据S形进化曲线原理分析技术系统所处阶段,而 后依次用八大进化法则,最后获得建议方案,并结合实 际技术系统,建立解决方案。技术进化工具应用过程体 现了技术系统由量变到质变,技术进化工具有时只需根 据实际情况应用一个或者几个即可建立解决方案。

    4.2 矛盾矩阵工具

        TRIZ研究的冲突是技术冲突和物理冲突。技术冲突 是指一个系统在某方面得到改善的同时,另一方面被削 弱。运用矛盾矩阵中的标准参数找到对应的发明原理可 以解决技术冲突。物理冲突是因为追求对立的结果而引 发的。对此,物理矛盾一般是通过分离的方法,获得两 个相反的解决方案。分离的方法很多,有空间分离、时 间分离、系统级别分离、条件分离、范围分离等。 TRIZ有助于我们思考方案,寻找和创建能够满足既 定需要的系统。在这过程中,我们遇到的一切物理矛盾 都可以从40个发明原理中找到答案。发明原理构成了一 个简单的清单,从中可以得到基于不同情形和时间的解 决方案,帮助我们创建所需要的系统。

    4.3 物场分析

        阿奇舒勒创建了一套精准的体系归纳系统中存在的问题,并提出相应的解决方案称为物场分析。物场分析原理认为,功能都由两种物质和一种场这三元素组成。 它用三角形模式来解读每个问题的功能,在此模型中下 面两个元素代表两种物质,用S表示;上面一个元素表 示场,用F表示。场表示物质之间相互作用。复杂的系 统经过分解,可运用多个组合三角形模型表示。 一种物质作用于另一种物质便可以提供某种功能。功能可能有利,也可能有害;可能是完美的,也可能有不足之处。物场模型聚焦于功能分析,把功能做正确,在解决问题时提升系统理想度。通过三角形功能建模,能以图示的方式表明功能形成过程中存在的问题。

    4.4 科学效应库工具

        效应指应用本领域,特别是其他领域的有关定律,解决设计中的问题。效应是特定条件下,在技术系统中实施自然规律的结果,是场与物质之间的互动结果。效应也能看作是一种功能,它是物质、场或两种的组合, 将输入作用转变为所需的输出作用。通过选择不同的效应、物质参数,可以控制效应的转换效果。

        科学效应库是将物理效应、化学效应、生物效应和几何效应等集合起来组成一个知识库。利用科学效应库 有利于突破设计人员只是对其专业知识熟悉的局限性, 发散思维从其他领域找问题的解。科学效应库解决问题 的流程为:第一,分析待解决的问题,确定解决此问题 能实现的功能;第二,根据功能确定与此功能相对应的 代码;第三,确定与功能代码相应的科学效应和现象; 第四,查找优选出来的每个科学效应和现象的详细解 释,并应用于此问题的求解,形成解决方案。

    4.5 ARIZ算法

        ARIZ是一个分步解决问题的过程,每个步骤都有 相适应的工具。ARIZ由五个步骤构成,分别是:定义 问题;揭示系统矛盾;分析系统矛盾并形成“最小问 题”;猎取资源;发展概念性解决方案。从流程上看 ARIZ的工作内容主要表现在了解问题和寻找资源方面, 只是到了最后一步才转到问题的解决方案上来。但在实 践中,使用者随时都可以发现解决问题的想法,尤其在 了解问题阶段,这些想法可以用来解决问题。 ARIZ适用于解决比较复杂的问题,它能够帮助我们 一步一步找到解决方案。这种方法涵盖问题的面很广, 步骤多,比较有效,但是过程较长,不是一种快速解决 问题的方法。ARIZ的作用主要体现在了解问题的性质, 并找到最好的资源,解决遇到的问题。ARIZ是TRIZ解决 问题的主导程序,是一种非常强大和精准的方法,能指 引人们有序地工作,找到最佳的解决问题的方法。

    5 结语

        本文介绍了TRIZ理论发展及其理论体系,并对其解决问题的方法进行研究,为后续TRIZ理论在各领域的应用提供了参考。遇到问题时,可以用TRIZ理论去寻找具体的解决方案,TRIZ能使我们在遇到复杂问题时保持清 晰的思路。随着遇到的问题越来越多,TRIZ理论方法也 在不断完善与发展,它需要不断与新技术、新理论进行 结合才能够适应现代的需求。随着研究的深入,TRIZ还 可应用于经济管理等非技术领域。


    参考文献  略

    展开全文
  • 数据标准是企业信息化建设的重要内容,是充分体现业务价值的重要手段,堪称企业连接业务与数据的纽带,但越来越多的企业意识到,数据标准不仅难以梳理,并且很难在信息系统中落地,那么企业应如何建立数据标准体系?

            数据标准是企业信息化建设的重要内容,是充分体现业务价值的重要手段,堪称企业连接业务与数据的纽带,但越来越多的企业意识到,数据标准不仅难以梳理,并且很难在信息系统中落地,那么企业应如何建立数据标准体系?

               

            依据多年的数据标准实践经验谈谈数据标准从理念到落地实施的一些看法。

            数据标准作为数据治理的基础,是一项长期、复杂的任务,要求企业必须依据企业自身条件,探索符合企业本身的特色路线,从而制定出可持续发展的规划和切实可行的实施路径,企业在数据标准化之前需要明确其指导思想,整个数据标准化过程应该紧密围绕这些指导思想,分阶段落地实施数据标准相关工作,循序渐进,能否把指导思想与实施路径相结合,是企业数据标准成功与否的关键。

                                        

    一、指导思想

            数据标准是增强企业各部门对业务统一理解的手段,是企业在开发应用系统时对数据进行定义的依据。

            为适应企业业务和技术上的发展要求,数据标准的制定应遵循“急行先用、循序渐进”的原则,这要求企业依据自身业务特点,优先制定能解决普遍、急需问题的数据标准,逐步完善规划标准的框架体系。同时,以上述原则为指导,通过相应的执行作为支撑,将思想意念和实践行动统一起来,打通业务与技术之间的壁垒,形成合力,真正做到知行合一的管理模式。

            作为企业共同遵守的准则和依据,数据标准化过程应该是面向企业级的、更大规模的、跨系统的,并且是严谨的与规范的,这些特点的集成也恰恰是数据标准存在的意义。

    二、实施方针

            企业数据标准体系的建设,不仅需要上述思想指导,还必须配合相应的实施方针。

            企业数据标准体系的建设是一个逐步完善的长久历程,在整个实施过程中需要数标管理工具作为支撑,需要强有力的组织机构和制度流程去推进,需要持续的驱动力去完善,建立明确的目标,并依据指导思想采用合适的实施方法。多措并举,最终实现数据标准化的目的。  

                 

    1、修桥补路---以元数据为基础,不断完善

            数据标准化是面向企业顶端的,是伴随企业体系化建设的长久之路。数标体系完善的过程,是通过各种手段,方式,渠道建立数据标准体系的过程,在此过程中企业应以元数据管理为基础,推动数据标准在各应用系统中的执行,逐步形成常态化的、闭环的标准体系应用机制,从整体上提升企业的数据质量及数据管理水平,为实现企业数据流的畅通和全系统信息资源的共享奠定基础。

              

             某资产管理公司数据治理项目,就以元数据标准为基础,通过系统化管理,在系统上线前通过平台核对数标映射元数据落地情况,形成了数标落地系统的闭环管理,逐步建立起了完善的标准体系,大大促进了企业内部的数据共享,提升了系统实施效率及数据质量。

    2、落地有声---持续执行是关键

            数据标准的成功与否取决于企业能否将其长期、持续、有力地落实。数据标准落地的关键点就在于“执行”,经过执行的标准才具有生命力,有效执行才能体现数据标准对业务、技术、流程的借鉴和指导意义。企业可以从三方面推进数据标准的有效执行:第一,借助数据标准管理工具来支撑数据标准的落地实施,为数据管理工作提供技术支持;第二,各岗位遵循标准制度流程,各司其职,问责明确,为各数据专项领域工作的落实提供保障;第三,将数据标准与系统建设密切配合,并重点关注对企业具有战略性意义的系统,确保数据标准的贯彻执行。

                                          

            国内某政策性银行,抓住系统建设的关键时机,将标准制定与落地同步开展,结合数标管理工具,大力推动了数据标准在核心系统和外围系统的落地工作,同时严格执行标准化制度流程,经过长期持续实践,统一了业务和技术的数据字典,实现了速度与标准并重,确保了数据标准的实用性,并最终奠定了数据大集中的坚实基础。

    3、驱动前行---需求驱动,业务导向

            任何一套方法论,一套健全的体系规范,都需要一种持续的驱动力,数据标准的实施应以系统的建设需求为驱动,以企业的具体业务为导向。核心的驱动力,应该包括事物驱动和人为驱动两种,事物驱动包括前瞻性管理、外部法规要求、应用系统建设、数据应用、标准复审、标准落地完善的需要等;与事物驱动不同,人为驱动要求数据标准各参与者职能明确,业务和技术分开,在业务上,要让最懂业务的人去做业务定义的事,让他们成为所属数据标准的归口部门;在技术上,让技术人员去做具体的业务实现,各司其职,各尽其能,逐步构建成熟、健全的标准化体系规范。

             

            国内某商业银行,以需求为驱动,业务为导向,以IT配套建设为支撑,为了推进数标的全行级应用,新建系统在需求阶段就通过平台引用数标,开发人员参考数标规范开发,项目实现了从需求发起到需求关闭的审批过程控制,整个管控流程职责明确,债务明晰,以需求管理推动了数标体系的建设。

    4、树旗立标---确立数据标准的重要地位

            企业需要树立起一面数据标准的旗帜,旨在确立数据标准的权威,象征其在整个IT系统中的重要地位。在架构设计上,需要建立起企业数据架构的顶级视图,外围系统建设要以此为标杆和参考;在组织结构上,需要成立专门的数据标准管理组织机构,并使其成为数据标准制定、管理、规范及常态化运营的主要推动者;在企业氛围上,企业需要营造数据标准文化氛围,建立起企业对数据标准管理的共识,加强数据标准的传导和培训,促进数据标准思想的传播。三方面共同发力,推动标准的有效执行,使其发挥出更大的业务价值。

                  

            综上,合理的执行规划,有效的部门配合,良好的企业氛围,是做好数据标准化落地的关键所在。当下,是传统企业转型的关键时期,向互联网、向DT时代演进是必然趋势。一个利用数据价值驱动业务创新、有效提升数据管理水平的时代已经到来了。推进企业数据规范化、标准化建设,提升数据质量,挖掘数据价值的最大化才是企业IT建设调整的终极目标。



    展开全文
  • 企业安全是什么 CSO 企业安全包括哪些事情 企业安全涵盖7大领域 建议 互联网行业安全工作总结 互联网企业和传统企业在安全建设中的区别 总体上 传统企业和互联网企业在安全建设需求上的差异 安全建设 不同...

    前言:

    高效读书,一张逻辑图带你读懂、读薄书中重点。

    注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。

    目录

     理论篇思维导图​

    安全大环境与背景

    切入“企业安全”的视角

    企业安全是什么

    CSO

    企业安全包括哪些事情

    企业安全涵盖7大领域

    建议

    互联网行业安全工作总结

    互联网企业和传统企业在安全建设中的区别

    总体上

    传统企业和互联网企业在安全建设需求上的差异

    安全建设

    不同规模企业的安全管理

    创业型公司

    大中型企业

    大型互联网企业

    生态级企业vs平台级企业安全建设的需求

    差别的表象

    差别的成因

    平台级公司的"止步”点

    生态级公司的竞技场

    云环境下的安全变迁

    资源形式的变迁

    云环境下安全问题

    安全的组织

    创业型企业一定需要CSO吗

    招聘方的诉求

    不同阶段的需求

    创业型企业的挑战

    如何建立一支安全团队

    极客团队

    创业型企业

    不同的能力类型

    大型企业

    超大型企业

    甲方安全建设方法论

    从零开始

    CSO上任之初要做些什么

    不同阶段的安全建设重点

    战后重建

    进阶

    优化期

    对外开放

    如何推动安全策略

    公司层面

    战术层面

    安全需要向业务妥协吗

    业界百态

    安全的本质

    妥协的原则

    选择在不同的维度做防御

    技术实现维度场景

    "—题多解”的场景

    跨时间轴的场景

    风险和影响的平衡

    修复成本的折中

    需要自己发明安全机制吗

    安全机制的含义

    企业安全建设中的需求

    取舍点

    如何看代SDL

    攻防驱动修改

    SDL落地率低的原因

    因地制宜的SDL实践

    SDL在互联网企业的发展

    STRIDE威胁建模

    STRIDE是微软开发的用于威胁建模的工具,或者是说一套方法论

    关于ISO27001

    重建对安全标准的认知

    最实用的参考

    广泛的兼容性

    局限性

    流程与“反流程”

    人的问题

    机器的问题

    业务持续性管理

    关于应急响应

    安全建设的“马斯洛需求”层次

    TCO和ROI

    业界的模糊地带

    关于大数据安全

    解决方案的争议


    理论篇思维导图

    安全大环境与背景

    切入“企业安全”的视角

    企业安全是什么

    从广义的信息安全或 狭义的网络安全出发,根据企业自身所处的产业地位、IT总投入能力、商业模式和业务需求 为目标,而建立的安全解决方案以及为保证方案实践的有效性而进行的一系列系统化、工程 化的日常安全活动的集合

    CSO

    CSO不会只停留在微观对抗上,而是会关注系统性建设更多一点。至于跟董事会 建立沟通桥梁,虽然也重要,不过关注的人就更少了

    企业安全包括哪些事情

    企业安全涵盖7大领域

    1. 网络安全:基础、狭义但核心的部分,以计算机和网络为主体的网络安全,主要聚焦在纯技术层面
    2. 平台和业务安全:属于特定领域的安全,不算广义安全
    3. 广义的信息安全:以IT为核心,包括广义上的"Information"载体:除了计算 机数据库以外,还有包括纸质文档、机要,市场战略规划等经营管理信息、客户隐私、内 部邮件、会议内容、运营数据、第三方的权益信息等,但凡你想得到的都在其中,加上泛 u Technology n的大安全体系。
    4. IT风险管理、IT审计&内控
    5. 业务持续性管理:BCM ( Business Continuity Management)不属于以上任何范畴, 但又跟每一块都有交集
    6. 安全品牌营销、渠道维护:CSO有时候要做一些务虚的事情,例如为品牌的安全形象出席一些市场宣介,现在SRC的活动基本也属于这一类
    7. CXO们的其他需求

    建议

    对于互联网公司,建议做1 、2、5

    对于传统行业,建议做1、3、4、5

    互联网行业安全工作总结

    • 信息安全管理(设计流程、整体策略等),这部分工作约占总量的10%,比较整体, 跨度大,但工作量不多
    • 基础架构与网络安全:IDC、生产网络的各种链路和设备、服务器、大量的服务端程 序和中间件,数据库等,偏运维侧,跟漏洞扫描、打补丁、ACL、安全配置、网络 和主机入侵检测等这些事情相关性比较大,约占不到30%的工作量。
    • 应用与交付安全:对各BG、事业部、业务线自研的产品进行应用层面的安全评估, 代码审计,渗透测试,代码框架的安全功能,应用层的防火墙,应用层的入侵检测 等,属于有点“繁琐”的工程,“撇不掉、理还乱”,大部分甲方团队都没有足够的 人力去应付产品线交付的数量庞大的代码,没有能力去实践完整的SDL,这部分是 当下比较有挑战的安全业务,整体比重大于30%,还在持续增长中。
    • 业务安全:上面提到7大领域的2,包括账号安全、交易风控、征信、反价格爬虫、反作弊、 反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控(内容信息安全)、防游戏外 挂、打击黑色产业链、安全情报等,是在“吃饱饭”之后“思淫欲”的进阶需求, 在基础安全问题解决之后,越来越受到重视的领域。整体约占30%左右的工作量, 有的甚至大过50%,这里也已经纷纷岀现乙方的创业型公司试图解决这些痛点。

    互联网企业和传统企业在安全建设中的区别

    总体上

    传统企业偏重管理

    互联网企业偏重技术

    传统企业和互联网企业在安全建设需求上的差异

    传统企业安全问题的特征

     IT资产相对固定

    业务变更不频繁

    网络边界比较固定

    IDC规模不会很大,甚至没有

    使用基于传统的资产威胁脆弱性的风险管理方法论加上购买和部署商业安全产品 (解决方案)通常可以搞定

    大型互联网企业需要应对问题

    海量IDC和海量数据

    完全的分布式架构

    应对业务的频繁发布和变更

    架构层面需要关注:高性能、高可用性、(水平)扩展性、TCO

    安全建设

    传统企业的安全建设

    在边界部署硬件防火墙、IPS/IDS、 WAF、商业扫描器、堡垒机,在服务器上安装防病毒软件,集成各种设备、终端的安全日志建设SOC”当然购买的安全硬件设备可能远不止这些。在管理手段上比较重视ISMS (信息安全管理体系)的建设,重视制度流程、重视审计,有些行业也必须做等级保护以及满足 大量的合规性需求。

    互联网企业的安全建设

    办公网络

    互联网行业的大部分安全建设都围绕生产网络,而办公网络的安全通常只占整体的较小比重

    生产网络

    安全解决方案基本上都是以攻防为驱动的,怕被黑、怕拖 库、怕被劫持就是安全建设的最直接的驱动力,互联网公司基本不太会考虑等保、合规这种形而上的需求,只从最实际的角度出发,这一点是比传统企业更务实的地方

    大型互联网安全建设

    从量变到质变

    对于超过一定规模的大型互联网公司,其IT建设开始进入自己发明轮子的时代,安全解决方案开始局部或进入全部自研的时代

    安全建设的方法论

    自研或对开源软件进行二次开发+无限水平扩展的软件架构+构建于普通中低端硬件之上(PC服务器甚至是白牌)+大数据机器学习的方式,是目前大型互联网公司用来应对业务持续性增长的主流安全解决方案

    安全进入大数据时代则是肯定的

    不同规模企业的安全管理

    创业型公司

    保障最基本的部分,追求最高性价比,不求大而全

    基本的补丁管理要做

    漏洞管理要做

     L3 ~ L7的基本的访问控制

    没有弱密码,管好密码

    账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位

    办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了

    流程什么的就没必要去搞了,有什么需求,口头约束一下

    找两篇用到的开发语言的安全编程规范给程序员看看,安全专家们说的SDL就不要去追求了,那个东西没有一堆安全“准”专家玩不起来

    系统加固什么的,网上找两篇文章对一下,确保没有root直接跑进程,chmod 777,管理后台弱密码对外这种低级错误

    使用云平台提供的安全能力,包括各种抗DDoS、WAF、HIDS等

    使用市场中第三方安全厂商提供的安全能力

    大中型企业

     L2 ~ L7中的每一层拥有完整的安全设计

    对所有的服务器、PC终端、移动设备,具有统一集中的状态感知、安全检测及防护能力

    应用层面细粒度控制

    全流量入侵检测能力

    无死角1天漏洞发现能力

    在安全等级较高的区域建立纵深防御和一定的0天发现能力

    初具规模的安全专职团队

    对应用交付有自主的评估和修补能力

    从IT服务层面建立必要的流程、业务持续性以及风控应急措施

    对业务安全形成自己的风控及安全管理方法论

    将难以自己实现的部分外包

    大型互联网企业

    生态级企业vs平台级企业安全建设的需求

    差别的表象

    主要差别表现在是否大量地进入自己造轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源匸具的实现

    差别的成因

    技术驱动在底层还是在应用层驱动业务表象上

    第二个因素是钱,钱也分为两个方面:I )成本;2) ROI

    第三个因素是人。安全团队的人员数量也只是一个很表面的数字,安全团队的构成才 是实力,能囤到大牛的安全团队和由初级工程师组成的安全团队显然是不一样的

    平台级公司的"止步”点

    可能也会自己定制一个WAF,或者搞搞日志的大数据分析。但比如涉及DPI、全流量入侵检测、SDN、内核级别的安全机制,基本上都不 会介入,对于一个规模不是特别大的平台级公司的甲方安全团队而言,这些门槛还是有点高

    生态级公司的竞技场

    主要工作还是在入侵检测、 WAF、扫描器、抗DDoS、日志分析等领域,而在SDL环节上可能也会自己研发些工具

    云环境下的安全变迁

    资源形式的变迁

    云环境下安全问题

    安全的组织

    创业型企业一定需要CSO吗

    招聘方的诉求

    CSO,在这个语境下用来指代招聘方想找拥有全局安全管理经验的人,甚至最好是资深的从业者,他能带一支哪怕是几个人的安全团队,并能把安全相关的事全部揽过去

    不同阶段的需求

    创业型企业的挑战

    如何建立一支安全团队

    极客团队

    如果你在一个小型极客型团队,例如Youtube被Google收购前只有17个人,在这样 的公司里你自己就是安全团队,俗称“ one man army”。此时一切头衔皆浮云,需要的只是 一个全栈工程师

    创业型企业

    对于绝大多数创业型企业而言,就像之前所说的,CSO不一定需要,你拉两个小伙伴 
    一起去干活就行了

    不同的能力类型

    长期发展潜力

    第一类是酷爱攻防的人,对绕过与阻断有着天生的兴趣

    第二类就是可能不是很热爱安全,但是CS基础极好的程序员,这一类人放哪里都是牛人

    大型企业

    对于比较大型的平台级公司而言,安全团队会有些规模,不只是需要工程师,还需要有经验的Leader,必须要有在运维安全、PC端、Web应用安全以及移动端App安全能独当 一面的人,如果业务安全尚有空白地带的话,还需要筹建业务安全团队

    超大型企业

    业务特点

    业务线比较长,研发团队规模通常也比较庞大,整个基础架构也构建于类似云计算的底层架构之上

    人员要求

    有应用安全的人是不够的,安全的领头人必须自己对企业安全理解够深

    Leader这一级必须对系统性的方法论有足够的了解

    实际上当你进入一个平台级公司开始,安全建设早已不是一项纯技术的工作,而技术管理上的系统性思路会影响整个安全团队的投入产出比

    甲方安全建设方法论

    从零开始

    CSO上任之初要做些什么

    三张表

    第一张表:组织结构图,这些是开展业务的基础,扫视一下 组织结构中每一块安全工作的干系人

    第二张表:每一个线上产品(服务)和交付团队(包括其主要负责人)的映射。这张图 实际就是缩水版的问题响应流程,是日常安全问题的窗口,漏洞管理流程主要通过这些渠道去推动,一个安全团队的Leader通常需要对应于一个或若干产品的安全改进

    第三张表:准确地说应该是第三类,包括全网拓扑、各系统的逻辑架构图、物理部署 图、各系统间的调用关系、服务治理结构、数据流关系等

    历史遗留问题

    只能灰度处理,逐步建立入侵检测手段,尝试发现异常行为,然后以类似灰度滚动升级的方式去做一轮线上系统的后门排查

    初期三件事

    第一件是事前的安全基线,不可能永远做事后的救火队长,所以一定要从源头尽可能保证你到位后新上线的系统是安全的

    第二件是建立事中的监控的能力,各种多维度的入侵检测,做到有针对性的、及时的救火

    第三件是做好事后的应急响应能力,让应急的时间成本更短,溯源和根因分析的能力更强

    一边熟悉业务,一边当救火队长,一边筹建团队基本就是上任后的主要工作了。如果团队筹建得快,这个阶段2 ~ 3个月就可以结束了

    不同阶段的安全建设重点

    战后重建

    主要做生产网络和办公网络的网络安全的基础部分

    进阶

    要向更广的方向拓展

    优化期

    会感到开源工具不足以支撑业务规模,进入自研工具时代

    对外开放

    安全能力对外开放,成为乙方,不是所有的甲方安全团队都会经历这个阶段

    如何推动安全策略

    公司层面

    推动安全策略必须是在组织中自上而下的,先跟高层达成一致,形成共同语言, 对安全建设要付岀的成本和收益形成基本认知,这个成本不只是安全团队的人力成本和所用的IDC资源,还包括安全建设的管理成本

    战术层面

    从现在开始不要再用“你们”这个词,而改用“我们”,自此之后便会驱动你换位思考,感同身受,真正成为助力业务的伙伴

    安全策略的推动还依赖于安全建设的有效性

    安全需要向业务妥协吗

    业界百态

    甲方安全团队

    认为安全压倒一切,且心口一致

    对安全行业涉猎不深,还停留在原始的执念阶段

    业务怎么样与我无关,只要不出安全问题,业务死了都无所谓

    口头唱安全重要,但心里还是会妥协

    安全的本质

    安全的本质其实是风险管理,没有绝对的安全

    妥协的原则

    既然安全建设的本质是以一定的成本追求最大的安全防护效果,那一定是会有所妥协的

    妥协并非退让,而是大局观

    妥协不应该发生在工程师层面,而是应该在Leader和安全负责人这个层面

    选择在不同的维度做防御

    技术实现维度场景

    在纵深防御的概念中,企业安全架构是层层设防,层层过滤的

    "—题多解”的场景

    跨时间轴的场景

    风险和影响的平衡

    修复成本的折中

    需要自己发明安全机制吗

    安全机制的含义

    安全机制包括:常见的对称和非对称加密算法,操作系统自带的RBAC基于角色的访问控制,自带的防火墙Netfilter, Android的基 于appid隔离的机制,kernel支持的DEP (数据段执行保护),以及各种ASLR (地址空间随 机映射),各种安全函数、服务器软件的安全选项,这些都属于已经存在的安全机制

    企业安全建设中的需求

    绝大多数场景都不需要去发明安全机制

    取舍点

    要判断这是单个问题还是属于一类问题

    如何看代SDL

    攻防驱动修改

    多数甲方安全团队所做的工作实际上处于这个维度。通过对已知的攻击手段,例如 SQL注入,XSS等建立事前的安全编码标准,并在发布前做代码审计、渗透测试和提出漏洞修补方案

    针对性比较强,直入主题,见效快

    SDL落地率低的原因

    Devθps的交付模式

    互联网频繁的迭代和发布,不同于传统的软件开发过程

    历史问题

    99%的甲方安全团队的工作都是以救火方式开始,SDL从来都不是安全建设第一个会想到的事情

    业务模式

    对于以Web产品为主的安全建设,第一是事后修补的成本比较低,屡试不爽;第二是部分产品的生命周期不长

    SDL的门槛

    第一点是安全专家少,很多安全工作者懂攻防但未必懂开发,懂漏洞但未必懂设计,所以现实往往是很多安全团队能指导研发部门修复漏洞,但可能没意识到其实缺少指导安全设计的积累

    第二点是工具支持少,静态代码扫描、动态Fuzz等

    因地制宜的SDL实践

    重度的场景

    公司内研发的偏底层的大型软件,迭代周期较长,对架构设计要求比较全面

    对于较大软件的“大版本”,包括每个产品初始版本,还比如标杆产品的1.0到2.0类似这种里程碑式的版本发布

    轻度的场景

    对于架构简单、开发周期短、交付时间要求比较紧的情况

    SDL在互联网企业的发展

    目前SDL在大部分不太差钱的互联网企业属于形式上都有,但落地的部分会比较粗糙

    STRIDE威胁建模

    STRIDE是微软开发的用于威胁建模的工具,或者是说一套方法论

    关于ISO27001

    重建对安全标准的认知

    这里可以指代所有的安全标准和安全理论

    最实用的参考

    ITIL(BS15000∕IS020000)——绝大多数互联网公司的运维流程都是以ITIL为骨架建 立的,甚至连内部的运维管理平台,监控系统上都能一眼看出ITIL的特征

    SDL——研发侧的安全管理

    IS027001——企业安全管理领域的基础性安全标准

    广泛的兼容性

    学习攻防技术和学习少数几个国际标准一点都不冲突

    局限性

    方法论的作用是解决企业整体安全从30分走向50分的问题

    流程与“反流程”

    人的问题

    在传统安全领域一直是强调流程的,但是互联网行业有一点反流程

    作为安全负责人,必须周期性地审视安全和IT治理的流程是不是太冗余了,是否可以精简一下,或者在公司业务扩张、新建业务线的时候考虑一下原有的流程是否适用于新的领域

    机器的问题

    流程是用来解决人容易犯错的问题,而不是用来解决机器犯错的问题

    业务持续性管理

    业务持续性管理(BCM)是一个较高层次的管理机制,通常对应到公司层面,它使企业 认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标在于提 高企业的风险防范能力,有效地响应非计划的业务破坏并降低不良影响

    关于应急响应

    应急响应有一个PDCERF模型

    步骤

    紧急事件检测、调查

    初始响应

    事件分级

    安全建设的“马斯洛需求”层次

    TCO和ROI

    业界的模糊地带

    关于大数据安全

    大数据安全的分类

    关于现今流行的以Hadoop为生态的离线数据处理大数据架构和以Storm为生态的流式计算大数据架构

    以海量样本+机器学习的方法去处理安全检测问题

    由于要处理的数据量比较大,传统的单机设备处理不了,所以需要用Hadoop 之类的技术解决数据处理中的数据规模和实时性要求这两个性能问题,但本质还是传统BI 的建模方法,解决的也是一个传统问题

    传统场景和大型互联网场景

    解决方案的争议

    在当下的安全产业,新概念层出不穷,但有很多属于旧酒装新瓶,换汤不换药,概念
    变了,实操层面扩展或者优化了一点,但本质没变

    以上内容均为博主原创手码梳理。码字不易,但只要能提高,都是值得的。如果您觉得,这篇文章对您的基础知识学习、巩固、提高有帮助,欢迎点赞、分享、收藏,谢谢。 --天天water 

    展开全文
  • 第三讲管理理论的产生与发展 管理活动形成了一套比较完整的理论,经历了一段漫长的历史过程 管理活动=》管理思想=》管理理论=》管理活动 管理理论概述: 1.管理活动是管理思想的根基,管理思想来自管理活动中...
  • 什么是企业数据?

    千次阅读 2021-05-07 23:53:44
    本文隶属于专栏《100个问题搞定大数据理论体系》,该专栏为笔者原创,引用请注明来源,不足和错误之处请在评论区帮忙指出,谢谢! 本专栏目录结构和文献引用请见100个问题搞定大数据理论体系 解答 企业数据指的是...
  • 什么是4P-4C--4R营销理论?

    千次阅读 2014-07-15 08:19:47
    企业的营销工作是一门艺术也是一门科学,先进的营销理念将提出企业的市场业绩。从营销组合策略的角度讲,市场营销理念经理4P-4C-4R三个阶段。    一、经典的4P理论   4P(产品、价格、渠道、促销)营销策略自20...
  • 从木桶理论看自身职业生涯规划

    万次阅读 2017-04-24 12:29:35
    职业生涯规划,相信很多人都做过木桶原理是由美国管理学家彼得提出的,又称短板理论,木桶短板管理理论,所谓“木桶理论”也即“木桶定律”,其核心内容为:一只木桶盛水的多少,并不取决于桶壁上最高的那块木块,而...
  •  大数据是一个体量特别大、数据类别特别多的数据集,并且这样的数据集无法用传统软件工具对其内容进行抓取、管理和处理。大数据首先是数据体量(Volumes)大,一般在10TB规模左右,但在实际应用中,...
  • 波特“钻石”模型理论的基本内容

    万次阅读 2006-01-31 21:49:00
    波特“钻石”模型理论的基本内容早在20世纪90年代初,著名产业竞争力研究专家、美国哈佛大学工商管理学院迈克尔·波特(Michael. E. Porter)教授经过对许多国家的产业的国际竞争力研究后,以产业结构“五力竞争”...
  • 耗散理论

    千次阅读 2018-07-29 16:05:17
    摘要:耗散结构理论是研究开放系统在远离平衡状态的非线性区从混沌而有序转化、将系统引向自我完善的机理和规律的理论。对我们在经营管理实践中,深入、透彻地认识和分析企业,掌握其内在发展规律具有现实的指导意义...
  • ■ 在企业网站中,后端MySQL数据库中只有一台时,会有以下问题 单点故障,服务不可用 无法处理大量的并发数据请求 数据丢失一大灾难 1.2 案例概述-2 ■ 更高级解决方案 通过主从复制的方式来同步数据,再通过...
  • 数仓理论

    千次阅读 2019-02-28 19:45:23
    ...其实数据仓库本身并不“生产”任何数据,同时自身也不需要“消费”任何的数据,数据来源于外部,并且开放给外部应用,这也是为什么叫“仓库”,而不叫“工厂”的原因。因此数据仓库的基本架...
  • 常见的各种人提出的理论

    千次阅读 2012-11-19 09:38:19
    Z理论( Theory Z)是由美国日裔学者威廉·大内(一译乌契,William Ouchi)在1981年出版的《Z理论》一书中提出来的,其研究的内容为人与企业、人与工作的关系。  威廉·大内是美国斯坦福大学的企业管理硕士,...
  • TOC瓶颈管理理论/约束理论

    万次阅读 2012-02-29 10:45:50
     约束理论(制约法) 指约束管理/ 约束理论 (theory of constraints ,TOC)。... 简单的讲,约束理论是关于企业应作哪些变化以及如何最好地实现这些变化的理论。具体一些,约束理论是这样一套管理原则
  • 长尾理论 推荐系统长尾理论

    千次阅读 2013-05-30 09:55:51
    1、什么是长尾理论?    百科名片   长尾理论示意图 长尾理论(The Long Tail)是网络时代兴起的一种新理论,由美国人克里斯·安德森提出。长尾理论认为,由于成本和效率的因素,当商品储存...
  • 随着移动网络、云计算、物联网等新兴技术迅猛发展,全球数据呈爆炸式增长,标志着我们迎来又一伟大时代——大数据时代,它的到来在不知不觉中改变着人们的生活方式和思维方式,而它对企业产生的影响也更为深远。...
  • MBTI人格理论

    千次阅读 2014-02-15 14:17:09
    MBTI人格理论 MBTI人格理论(迈尔斯类型指标,Myers Briggs Type ...1 MBTI的来源2 MBTI的内容3 MBTI人格理论的指标 3.1 EI 外向 — 内向3.2 SN感觉 — 直觉3.3 TF思考—情感3.4 JP判断—知觉 4 M
  • 区块链理论基础

    千次阅读 2018-09-14 15:11:13
    区块链理论基础(1) 中国区块链技术和应用发展白皮书(2016)的通读杂记 原文地址:https://pan.baidu.com/s/1bkM1cFx7yAPrA_Aw5sC6sQ 摘要 讲区块链在全世界受到的重视引入,国内的金融、互联网企业等...
  • 长尾理论

    千次阅读 2012-01-30 12:27:48
    对于想从长尾需求中获利的媒体、娱乐产品生产商以及在线零售商和内容整合商,作者的建议包括:不要从根本上改变对热门产品的资源分配或产品组合战略;当生产针对长尾的缝隙产品时,应尽可能降低成本;在拓展网上渠道...
  • 企业的盈利能力决定了企业能否在市场上生存和发展下去。评价企业盈利能力的比率有很多,其中最重要的有三种:销售利润率(ROS)、资产收益率(ROA)和净资产收益率(ROE)。 这三种比率都使用的是企业的年度净利润。 1. ...
  • 委托代理理论

    千次阅读 2007-04-15 14:29:00
    一,现代企业理论的框架 在阿罗一德布鲁世界里,厂商被看成是一个"黑匣子",它吸收各种要素投入,并在预算约束下采取利润最大化行为.这种"人格化"的厂商观过于简单,它忽略了企业内部的信息不对称和激励问题,无法解释现代...
  • 长尾理论及其启示

    千次阅读 2017-04-12 19:55:14
    安德森认为,只要存储和流通的渠道足够大,需求不旺或销售不佳的产品共同占据的市场份额就可以和那些数量不多的热卖品所占据的市场份额相匹敌甚至更大,这就是长尾理论。 “长尾”至今尚无正式定义
  • 领域驱动实践总结二:架构分析与代码设计 领域驱动设计DDD是一种设计思想,它可以同时...微服务拆分困境产生的根本原因:不知道业务或者微服务的边界到底在什么地方。 DDD 核心思想:通过领域驱动设计方法定义领域...
  •  《 Activiti7.0进阶第一篇-工作流程引擎基本理论概述 》     工作流的基本理论概述 先看一个并不复杂的报销单审批流程图: 该报销单流程图的组成主要分为两部分: 1)、人物:报销单提交者、小组长、...
  • Pareto(帕雷托)理论

    万次阅读 多人点赞 2018-01-07 14:29:46
    由于最近看到了一篇社交网络中的论文提高了Pareto相关知识,所以整理了下网上关于Pareto相关理论的讲解,供大家参考: 维弗雷多·帕雷托 (Villefredo Pareto) 在1987年提出:社会财富的80%是掌握在20%的人手中,...
  • 测试理论面试题

    千次阅读 2019-11-06 09:13:26
    1 说一下你们的测试流程 没有做过项目的直接介绍下v模型...2.项目经理出测试方案(要使用什么样的测试方法、测试策略)安排测试计划(测试人员、资源、进度的安排,测试的范围和完成的目标); 3.测试人员编写和...
  • 新浪微博研究系列文章由新浪微博商务部和SocialBeta共同推出,旨在帮助广大企业对新浪微博有更好的了解,工欲善其事,必先利其器,相信对你的企业在利用微博的时候有一点的启发。 在新浪中的众多企业开设的官方...
  • 企业架构创建的方法论,亦即企业架构框架,由于其具备标准化的特性,将被作为本章内容的重点。当然,即便企业架构框架具有其标准性的一面,也并不意味着每个企业都要削足适履,摒弃自己的真实需求和特色而强行照搬...
  • 软考是什么? 软考是指计算机技术与软件专业技术资格(水平)考试。考试分为 5 个专业类别,并在各专业类别中分设了高、中、初级专业资格考试,囊括了共 28 个资格的考核。 初级资格和中级资格主要考基础知识和...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 122,733
精华内容 49,093
关键字:

企业理论的内容是什么