Kaiyun中国:库存管理技巧十篇
1收入不入账、多收少记或少付多记的查账技巧。通常发生于财会制度不健全的单位,特别是开票与收款同属于一人最易出现此种现象。作案人大都是那些直接经手管理财物的人员。例如采购员、出纳员、仓库保管人员以及收款员等。这些作案成员有的是开票时,提高单价从中吃回扣或报销后占有,有的是内外勾结一票两开进行贪污,有的是收款后只给交款人开收据不记账,情况比较复杂。针对这种作案手段,一般应从以下几个方面组织调查:一是应将所有已使用过的发票和收据的存根联都收集起来,检查号码是否连续,有无缺号、缺页以及作废的发票和收据的正联以及入账联是否粘在存根联上,然后对发票和收据存根联的合计数同入账数进行核对,看是否符合。二是对收款人员和交款人保存的单据相互核对,挤出差额,追去向。三是笔数、金额相核对,挤差额追去向。四是从人与人之间,收集人证与其他资料相核对。五是账实核对,然后进行综合分析,实事求是地加以判断。
2虚报冒领费用开支的查账技巧。这类案件大都发生在直接经手管理财物的人员中,作案手段多种多样。对这种违纪,主要舞弊手段是伪造、盗用、涂改或重报购货发票和费用单据。伪造单据常见于利用白条发票或收据,主要有:虚报冒领职工旅差费、临时工工资以及长期支取已死亡职工的退休金等。对此应从以下几个方面组织调查:一是要组织审查可疑凭证的来源,看所报销的票据是单位还是个人出具的,有没有收款人的手印或印章。二是要注意审查支出的流向和支出形式是不是人为的从中作弊。三是带着从账目中审查的疑点,找领款人或领款单位进行核对,去获取有无虚报冒领的依据。四是对已获取的证据进行技术鉴定,如笔迹、手印、印章等。
3对开假单据报销的查账技巧。这种作案手段大都是直接经管财物的产、供、销人员或金融管理人员,他们在作案时开假单据的形式很多,而且比较复杂,但分析起来不外两种,即合法与非法。一种是经税务机关登记的有税契的合法形式的发票;另一种是未经有关部门允许而印制的非法发票和白条。对使用这种作案手段进行贪污的案件查法:一是组织查账人员认真细致地审查发票的来源,重点应审查票据的出处、样式、规格和发票本身记载的品名、数量、单价、金额等。要注意查对发票的出处与购货渠道和内容是否一致,发票本身反映的内容与购货的渠道是否一致,发票上反映出的内容与购货单位所需要的产品、原材料是否相符,发票的首尾内容是否相一致,是何人书写等等。通过审查,从中发现疑点,进行追查。二是发票与入库的实物相对照,从中发现有无实物入库。三是对发票进行科学的笔迹鉴定,以证实是否伪造。
4隐瞒收入,搞“小金库”的查账技巧。这种手段是近年来才有的,而且较为普遍。这种情况往往是公私交融,以公家名义达到营私之目的。有些“小金库”名义上是为集体,而实际上是为隐形私利服务。“小金库”的存在,给贪污受贿违纪活动大开了方便之门。对这类案件,往往是难查,不好认定,时常以不正之风为借口,以退代罚。对这种案件的查法:一是审查支出单位的账目与收入单位的账目相对照、挤差额,看是否入账。二是审查单位设立的账薄与科目是否合法。三是支出账与库存账对照,看是否存在差额,有差额的是否入账。四是收货单位的支出账与发货单位的收入账相对照,看有无差额,以便从中发现账外资金。五是查销售物品或门类繁多的各种扣款、罚没款、集体存款利息以及合理的回扣是否入账。六是查“小金库”是否建账和有记载,账薄与库存相对照,看使用渠道是否合理。七是查“小金库”与账外资金的实际支配权,看是否个人支配,以及是否存入银行个人从中贪污利息。
5“对大头小尾”查账的技巧。这种手段的作案成员多是各类开票人员和业务员,他们相互勾结进行作案。所谓的“大头小尾”,也就是存根联、记账联上边的数字小,而收款联上的数字大。在做法上将正联撕下另写或隔开套写。对这种作案手段,在查法上:一是派人持开票方的底联与业务单位的报销联相核对;二是票据与实物相核对;三是发动知情人揭发。
6重复报销查账的技巧。重复报销,是指一张单据报销两次或者正副联各入账报销一次,把已经挂失和作废的单据又私自报销,把前个年度已入账的单据抽出在下个年度报销。这类作案成员一般是直接从事财务工作的财会人员或管财物的人员。他们钻管理混乱或制度不健全的漏洞,寻机作案。对采取这种手段进行贪污的,在组织查账时应注意从以下几个方面入手:一是要审查入账的票据凭证是正联还是副联,一般副联是不能作为记账凭据的。二是要审查票据的发生时间,看是否是当年当月发生,发现跨年度票据,尤其是原因不明的要当做重点进行追查。三是账据核对,查验是否重复报销。
7虚设账户从中侵吞公款的查账技巧。虚设账户从中侵吞公款的情况,一般发生在应收、应付货款等往来结算账户上。如事先将一笔赊销的货款业务记入一个虚设的应收销货款账户上,而不以客户真实名称开立账户,该货款收到后,即将该笔货款侵吞入私囊,然后再采用坏账方法注销该账户。其查账技巧是:一方面清查应收销货款账户上处理坏账损失的手续是否完备真实;另一方面可通过其他途径进行追查,弄清情况。
8利用账目混乱浑水摸鱼的查账技巧。利用账目混乱浑水摸鱼的情况,通常发生在会计制度不健全和机构不健全,财务工作无人负责的单位。其查账技巧首先要清理账目,通过账证、账账和账表的相互核对,清理所有账目,然后采取内查外调来搞清是属于会计业务处理上的问题,还是属于违法违纪舞弊的问题。
9利用漏账、错账,截留中饱私囊的查账技巧。在往来结算中发生漏账、错账或者原始凭证的计算上发生错误的情况下,因长期无人过问,一直挂在账上,财会人员便可能乘机截留中饱私囊。一般采用的手法是:将收到的其他现金款项不如实入账,而直接冲销该账户;或者将该账户转入其他应收款账目上所虚拟的暂付款账目后,再开具现金支票,落入私囊,并用以冲平该项虚拟的暂付款账户。其查账技巧是:前者可通过现金收入凭证与该账户进行核对验证;后者可通过仔细审查其他应收款账目上的暂付账户,即能查清。
金蝶KIS软件综合技能是指操作人员已掌握初级会计信息化理论知识,能较熟练地操作工业核算账套的总账、报表模块,在此基础上能部分运用供应链模块,能与他人交流会计信息化实践经验。从现实来看,企业会计信息化软件的运用已普及,但是具体到个人,能熟练掌握会计信息化综合技能的少之又少。如何提高财会人员金蝶KIS综合技能,是会计信息化教师及培训人员应思考的问题。本文就金蝶KIS软件常见的制约综合技能提升的几个主要技术问题作一分析。
(一)模块和科目选择的因素。金蝶KIS共有11个模块,一般中小企业选择总账、报表模块基本上够用。但从综合技能来看,缺少供应链模块的应用,操作人员本身的技能就是不完整的。对于已有一定会计信息化理论知识的操作人员来说,选择总账、报表模块时,对于如何设计科目,不是很清楚;选择总账、报表和部分供应链模块时,对于工业企业的核算账套的科目如何设置得更好也理不清。
(二)技巧因素。如工资模块的工资大数据的录入特别繁琐。工业企业的规模较大,人员较多,部门较多,人事部门做好工资基础数据后交由财务部门,操作人员录入工资数据是比较头痛的事,不懂得录入的技巧。
(三)总账制造费用的归集与生产管理费用分摊的关系理不清。总账制造费用是归集各车间的制造费用明细,生产管理费用分摊单是分配制造费用进生产成本,而费用分摊界面的制造费用项目与总账制造费用项目不一致,操作人员如何分摊、如何结转制造费用方面理不清。
(四)产品入库单价不知道如何确认、计算。产品入库的单价是必须要录入的。生产部操作人员根据生产任务单生成领料单,关联生成产品入库单,存货出库核算前,必须录入入库单价,但入库单的单价如何计算,很多会计信息化教材、参考书没有说明,操作人员不得要领。
(五)存货核算不能生成凭证时,不知道总账如何补救。业务凭证的生成,是通过存货核算模块的“生成凭证”功能实现的,生成凭证前必须对凭证管理模板进行修改和审核,业务系统的凭证生成后,可在总账凭证管理查询到。假如生成凭证失败,总账如何补救,很多操作人员不明白。
(六)总账与供应链模块相结合的模拟实战资料较少。现如今,会计信息化教材及许多的培训资料在设计工业核算账套资料时过于简单,很多都使用诸如“该企业生产A、B产品”,“领用E、F、G材料”等,整个企业没有生产工艺介绍,是纯思维的理论空想题目,很多操作人员无法操作工业企业真账,综合技能难以得到提高。
以上仅仅选择了部分有代表性的技术问题,本文针对以上主要技术问题提出如下的解决对策。
1.对模块的选择,企业根据实际情况有模块的选择权,选择模块有如下几种配合:一是总账+报表模块;二是总账+报表+固定资产+工资等模块;三是总账+报表+固定资产+工资+应收应付+采购+销售+存货模块;四是全套模块(含生产管理)。
(1)采用总账+报表模块时的科目设计方法。由于生产型企业存在物料采购、生产领料,但本身不使用业务系统,所以引入新会计准则科目后,科目设置要重新考虑。如代码1403原材料可下设1403.01、1403.02等二级科目,并设置数量金额辅助核算,单位组、缺省单位要设置好;1405库存商品,可挂核算项目产品型号、数量金额辅助核算;应收、预收账款挂核算项目客户,应付、预付账款挂核算项目供应商;1601固定资产可下设二级科目1601.01房屋建筑物、1601.02机械设备等;录入存货初始数据、应收、应付初始数据时,可直接在科目初始数据界面录入。
(2)采用总账+固定资产+报表+业务系统的科目设计方法。进入基础设置核算项目物料,先设置好上级组如原材料、成品,然后再录入物料名称、计量组、物料属性(外购)、计价方法。录入成品明细时,物料属性必须是自制(或组装件),这是产品形成BOM的前提条件;固定资产模块初始化前要进行类别、折旧方法的设置;期初原材料及库存商品是通过存货初始数据界面录入的,并传递到总账;期初应收、预收、应付、预付是通过应收、应付初始数据界面录入的,并传递到总账。这点与总账+报表模块的科目设置有很大的区别。
能明确不同的模块,使用不同的科目设计方法,是一项综合性工作,能提升操作人员的综合技能。
(二)工资模块的工资数据录入有技巧。培训教材里没有举例说明工资如何引出、引入。从Excel工资表引入到工资模块是有一定技巧的。假设工资类别管理已设置为全体员工,人事部列出30人的基本工资、奖金、津贴、住房公积金、医疗保险、养老保险等项目,并已做好了Excel工资表,模板引入技巧如下:
1.引出工资模板。打开工资录入界面,先按基本工资、奖金、津贴、住房公积金、医疗保险金、养老保险等项目排列好,左上角任务栏有“引出”字样,点击引出,并建立文件名“工资”,便形成一个标准的Excel工资模板,可以保存在桌面。然后操作人员将人事部门的Excel工资按明细项目金额分别复制到模板对应的项目里,如人事部基本工资一列金额复制到工资模板基本工资一列里,其他依样复制。
2.工资模板金额的引入。进入工资录入界面引入在源文件界面点击EXCEL文件(*XLS)选择文件名“工资.XLS”选择表名“工资数据”(在引入数据“源文件界面”最右下角),且保证同职员代码相对应,并选择职员代码。在下一行选择职员姓名字段:职员代码,在数据关系表界面源文件字段选择“基本工资”目标文件字段选择“基本工资”点击执行引入提示引入数据成功。然后重复,在数据关系表界面源文件字段选择“奖金”目标文件字段选择“奖金”点击执行引入提示引入数据成功。这样可以分别把津贴、住房公积金、医疗保险金、养老金等引入到工资录入界面。使用引入功能可大大节省时间。工资大数据录入的技巧是提升综合技巧的代表项目之一。
1.明确总账制造费用是按部门归集的,费用分摊单表头数总合计等于总账中制造费用合计。生产管理模块中的费用分摊单表头的前三行,如直接人工合计、折旧费用合计、水电费用合计、辅助材料合计、制造费用合计、其他费用合计等,与总账制造费用明细科目不一一对应,费用分摊单表头前三行项目的总合计数,与总账中的制造费用合计数必须相等。费用分摊单的产品入库单,成本栏目有直接人工合计、折旧费用合计、水电费用合计、辅助材料合计、制造费用合计、其他费用合计等与表头栏目对应,分摊方式可选择按产品数量(也可选择别的方法),点击任务栏分摊,产品栏内的成本项目会按产品数量比例自动生成产品制造费用应分摊金额。
2.费用分摊单的缺陷。金蝶KIS在费用分摊单的设计上没有完全考虑会计处理的做法。首先,分摊单表头的项目与制造费用明细项目不是一一对应的,仍需手工整理;其次,在存货核算凭证模板里,找到费用分摊单的标准模板,修改贷方科目,这里贷方科目是按总账中的制造费用二级明细科目修改的,在记账凭证模板里,核算项目是部门,但生成凭证时只默认唯一的一个部门,如生产部;第三,生成凭证后,借记“生产成本――制造费用”科目,贷记“制造费用――工资――生产部”、“制造费用――折旧――生产部”、“制造费用――水电费――生产部”等科目,都是结转生产部的数据,假若制造费用还有成品部、运管部,这些都没法生成,必须手工自行在存货核算凭证模板中修改,按成本会计要求,结转后的制造费用各部门明细余额为0。
3.费用分摊单是难点,也是总账与业务模块账务结合最紧密的一块,费用分摊单通过凭证生成功能,将凭证传到总账,然后修改凭证模板中的制造费用。这项技能掌握后,金蝶KIS全模块账务处理将一气呵成。
(四)手工计算生产入库的单价,自动计算存货出库核算单价。这项技能与成本会计关系最密切。在存货出库核算前必须做如下处理:生产管理产品入库单序时簿产品入库点击产品名称单击修改把计算好的产品入库单价填写在单价栏内点击存货出库核算。
1.产品入库单价的计算。产品生产成本含直接材料、直接人工、制造费用三个明细,按完工产品、在产品产量比例分配生产成本,直接材料按100%分配,直接人工、制造费用假设均按50%完工率计算,最后计算出完工后的产品单价、入库金额,这时的完工产品单价便是产品入库单价。如粉磨公司 P.C32.5水泥生产成本是113.22万元,其中直接材料90万元、人工2.97万元,制造费用20.25万元,水泥在产品1 000吨、完工品4 000吨。在产品完工率为50%,则经过计算完工品4 000吨的入库成本是92.64万元,完工入库单价是231.6元/吨。将入库单价231.6输入到产品入库单价空格内,完成。
2.出库单价的自动计算。出库核算是根据产品预设的加权平均法进行计算,库存商品有期初库存、本期入库数据,出库时会自动按加权平均法计算。
3.出入库凭证生成,在存货核算生成凭证点击产品入库生成凭证,借记“库存商品”科目、贷记“生产成本”科目;在存货核算生成凭证点击销售出库(赊销)生成凭证,借记“主营业务成本”科目、贷记“库存商品”科目。
4.总账凭证与业务核算凭证管理对应,在总账凭证管理界面查询相关的产品入库、销售出库凭证,业务系统里可在产品入库序时簿查询到产品入库单,在存货核算里销售成本明细表可查到产品成本。总账数据与业务数据对应。产品入库、出库也是难点,是会计信息化综合技能与成本会计技能的高度结合部。
(五)存货核算不能生成凭证时,总账补救。业务系统是经过生成凭证将数据传到总账系统的。如果存货核算生成凭证失败,总账将不会有数据,这时存货核算与总账对账将产生差异,报表数将不真实。存货核算模块不能生成凭证的原因,如,从单据上取不到相应的核算项目;与总账当前期间不对应,不能保存凭证;取不到对应的科目等等。
补救办法是在总账手工新增凭证。如产品入库标准模块,产品入库单显示应收数量12 000吨,实收10 500吨,单价230元/吨,金额是241.5万元。因取不到相应的核算项目,生成不了凭证,这时在总账就要补做一笔分录:
该凭证参与总账的汇总,以确保总账与业务系统对应。学会补救,这也是综合技能之一。
(六)模拟企业总账、报表和部分业务模块核算资料进行综合训练。目前,工业企业总账与供应链模块相结合的核算资料很少,即使有,也是一大版的分录,操作时没有提示,没有图示说明,枯燥无味。现以工业企业粉磨有限公司为例,阐述实施综合训练的内容。
新建账套,初始设置完成后,结束初始化,启用财务系统、业务系统。账务处理重点练习以下内容:
1.总账部分,现金、银行类账务处理,具体来说是水电费、差旅费、低值品、收付利息、招待费、办公费、燃油费用等,按凭证类别归到管理费用、制造费用、销售费用、财务费用等支出。
3.生产模块,生产任务单、生产领料、产品入库、入库单价录入、费用分摊单的设置。
5.应收、应付模块,付材料款、收货款、冲销期初应收款、冲销期初应付款等。
6.存货核算,生成凭证,如采购发票并确认应付账款、产品入库凭证、销售出库凭证、生产领料凭证、销售收入凭证(赊销)、费用分摊凭证等。多做些业务模块的训练,对技能提高很有好处。S
龚中华,初级会计电算化应用教程(金蝶KIS专业版第4版)[M].北京:人民邮电出版社,2011。
就我这几年的教学过程中发现,因为家庭观念和社会舆论的作用,学习好的一般都去上普通高中,只有考不上普通高中的学生才会来中职,这样在学生的基础上就落下一大截,还有学生的学习动力和学习兴趣都存在这很大的差异。我们要搞好教学工作首先要转变学生的思想,让他们爱学习,好学习。数据库对学生来说是一个难度比较大的一门课程,那么我们首先要激发学生学习的欲望,给他们展示数据库的神奇功能,举例让学生发现没有数据库的系统就是一个死的系统,数据库给系统带来了生命。比如各个门户网站,他们每天要有大量的信息更新,想要让用户浏览这些大量的信息,就必须用数据库来存储大量的动态信息。由于网络现在越发向开放的交互的方向发展,所以网络已经转变成一个交流的平台,这些大量的交流信息只能用数据库来存储。我们的银行如果没有数据库管理系统的存在,那么大的信息量根本没办法管理,再比如我们的通信系统如果没有数据库技术的存在,我们能随时查阅我们的用户信息吗?所以,数据库作为一个存储数据的仓库,它已经在现在的计算机领域发挥着越来越重要的作用。因此,对计算机专业的学生而言,学好数据库势在必行。
在教学过程中,教师要考虑参加三职生高考的学生和就业的学生,他们的教学重点应该有所不同。教师应当根据课程的教学特点合理安排教学内容,确定好理论教学和实际操作训练的比例。参加高考的学生就要做好应试教学,理论教学是重重之重,同时就业学生也不能松懈理论教学,理论是实际操作的基础,在强调实际操作培训的同时,不能忽视理论教学的重要性。在做好理论教学之后,教师应该安排相关的实际操作内容给学生以巩固刚刚学习的专业理论知识。实际操作的部分也应该分层设计,首先应该有一个基础操作的设计,为的是让学生趁热打铁,在学习完当节课的相关理论知识之后,迅速将所学的理论知识运用到实际操作当中去以巩固课堂的学习内容。当学生通过实际操作对课堂理论知识有一定的理解和记忆之后,教师应当安排一些进阶操作的内容对学生进行拓展练习,一方面可以提高学生思维敏捷能力,进一步的加强理论知识的理解和记忆,另一方面也拓展了学生的思维宽度以及思维创新能力。在这过程中,教师就可以在基础理论知识之上,添加一些与社会接轨的新的操作技术和技巧。
一年两度的广博会是各地美容公司经营品牌更新换代的好时机。浙江某公司的吴总也不例外,这次又兴冲冲地接到了自己心仪已久的一个大品牌。可10多万的货加上几十箱的配赠品从厂家发来后却犯难了,库管员报称仓库已满,新货品无处安置。待他亲自下仓库检查时,方才大吃一惊,偌大的100多平米仓库居然被塞得满满的,果真很难上架。于是只好下令彻底清库,想把一些长期积压的货品好好整理一下,给新品牌挪出位置。
这次彻底的盘存把吴总的心凉了个彻底。库存表显示:已过期和临近过期的货品逾7万元;各种原因开封破损返仓的货品近1万元;还有价值几万元因长期积压已失去价值的货品,乱七八糟加起来超过10万元。这些原来用真金白银买回来的“宝贝”,历经日积月累,不经意间都变成了一大堆无用的垃圾。心痛还不说,这堆东西的废弃处理更是一个麻烦事:膏霜类的产品过期了,送也送不出去;那些破损返库的货品,不是过了厂家的退货期就是连厂家也不知在哪里了;早期的一些炒作类的内调口服产品临近过期,更不敢乱赠乱扔,怕吃出毛病担当不起。结果又花几百元顾了个车,一股脑送到了专门的垃圾处理厂,才让这些宝贝寿终正寝了。
其实,上面这个例子对于美容品商来说并不陌生,或多或少都曾发生或正在经历,甚至无法避免。都说美容品的利润空间较大,但去年的一份调查资料显示,业内近六成的公司处于勉强持平或亏损状态。其中的原因除了市场竞争因素外,还有两大成本居高不下,一个是人力资源成本,另一个就是货品的物流和损耗成本,它直接制约着公司的盈利水平。它们就像从娘胎里带出来的痼疾,拖着后腿吸着营养,又割之不去。在送走“垃圾”后,吴总的一句感慨很能代表众多商的现状和心声:搞了这么多年,小钱在赚,但大多养活了公司一班人;大钱也有,但都在仓库的货里面;大钱小钱,一下就可能不值钱!
这是一个很严峻问题。作为商来说,现金流就是赖以生存的血脉,一旦停滞变成一堆贬值迅速的货品,企业就会危在旦夕。那些总把仓库的货品当作利润计算的方法是非常错误的,因为一旦积压库存就是烫手的山芋,在找不到接手人的时候,商只有两种结果,一是忍短痛降低利润率尽快抛货,另一种是受长痛看着它们一天天变质。
如何解决或者缓解这样的问题,需要从根本入手,这就是大大降低前文所说的两大成本,提高现金流。降低的过程其实是一个优化的过程,把无效浮夸的公司行为变得有效实用。比如针对上述吴总的案例,可以采取以下优化举措。
商的生命力就是销售力,销售力带动现金流,而优秀的人才创造好的销售力,同时销售力的提升也降低了人力资源的成本。实现人力资源的优化,除了尽可能多招纳一些优秀人才以外,对现有人员还可从两方面入手:
我们不可能保证公司里的每个销售人员都是天才,但是我们可以让他们通过不断的培训和学习尽可能地接近天才。什么是天才?就是把复杂的事情简单化,简单的事情标准化,把标准化的行为固定成流程,流程化就能方便重复运作,重复可以达到熟练,熟能生巧,巧就是延伸,不断的延伸造就个性化,个性化实现创造力,创造力成就天才。把这些天才的销售方法克隆成流程,规范成全体销售人员的执行标准,然后不断地完善和补充,直至团队行为的统一,这就是销售行为的优化。比如,制作公司内部的《销售手册》,为销售人员提供标准的拜访语、销售语术、行销技巧、成功经验的学习模版等,这些都有助于销售力的提升。
美容是技术服务行业,很多时候商对终端的服务力直接导致了不良库存的产生。比如美导技术和产品培训不够或者有偏差,对美容院的货品销售就会产生巨大影响。余世维在讲企业执行力的时候说过一个怪圈现象,很符合美容行业的技术服务现状:厂家的技术总监对产品掌握得100分,她把技术和产品知识培训给厂家美导时变成了90分,厂家美导培训给商的技术总监就变成了80分,商的技术总监再给品牌美导时只有70分,品牌美导给美容院店长时还有60分,到其他美容师那里只剩50分,能力差的有40分就不错了。满分变成了40分,这就是我们常说的:“一个产品卖不好,往往并不是产品不好,而是培训教育有偏差。”不及格的技术和产品知识带来的销售停滞和顾客问题,就会产生一系列的多米诺骨牌效应。如美容院不良库存的产生、频繁地向商退换货、无止尽的索要各种支持补偿等,最后的结果就是不良库存向商仓库的转移,而厂家却不会当商的“冤大头”,“赚钱”变成了“赚货”。所以,商应学习“柔婷”和“诚美”制作统一的《教育培训手册》、《技术服务手册》、《答疑解惑百问》等,以规范技术服务行为,最大限度地减少偏差。
优化的思想还要融入到对库存货品的管理中。根据“二八法则”的原理,我们所经营的产品线%属于畅销品,它们创造了80%的业绩和利润,但我们通常却花费了80%的精力在那些只能创造20%业绩的滞销品上,而这些滞销品却占据了至少一半以上的库存,也让我们担当了巨大的经营风险,久而久之商们辛苦赚来的现金就变成这些积压的产品。货品优化就是以市场需求为导向,可以把经营产品分为四大类:
(1) 畅销足备货品――对那20%不愁卖的主力品种,保证足够的库存量,避免断货。
(2) 平销少备货品――对季节性产品、销量变化不稳定的产品,设置预警线,宁可少量多批,谨防压货。
(3) 滞销定量货品――对于那些销量不畅的品种,保持警觉,要求美容院现款现货且不退换,实行按需进货。
(4) 停销货品――对销量过低的品种,实行“一刀切”,坚持零库存,控制可能的风险。
库存货品的优化和人力资源的优化是双向调节的。库存的优化使销售行为和培训教育变得简单而熟练,因为100个品种每样卖1个和1个品种卖100个相比,即使效果一样,前者也远没有后者容易。人力资源的优化既实现了“好卖的多卖”,又合理地调整了库存结构。所以,优化就是让美容品的商能够象“戴尔”一样,以先进的销售管理模式实现库存的最小化和现金流的最大化。
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[id]取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.
[2]陈明奇《2007年上半年网络安全状况分析》信息网络安全2007年第10期
S着计算机的迅速发展,AutoCAD的使用越来越广泛。对于电气工程专业来说,利用CAD绘制电气图更加重要。而电气图是电气工程图的简称。电气工程图是按照“电气制图的一般规则”的统一规范来作图的,采用标准图形和文字符号表示的实际电气工程的安装、接线、功能、原理及供配电关系等的简图[1]。而电气制图是电气施工的主要依据,因此掌握绘图技巧与方法熟练的应用CAD软件正确的绘制电气图是十分必要的。
电力系统概略图是用于概略表示系统等的概貌,并能表示出各主要功能件之间和(或)各主要部件之间的主要关系。可作为进一步设计工作的依据,编制更详细的简图。概略图是有关操作、培训和维修不可缺少的重要电气工程图。通过阅读概略图,能帮助人们了解整个电气工程的规模及电气工程量的大小,概略了解整个系统的基本组成、相互关系和主要特征[2]。某电力系统概略图如图1所示。
首先设置单位,格式-单位-毫米;第二步设置绘图区域,格式-图形界限-297*210;并命令行输入on将图形界限打开;第三步是设置图层,根据绘图需要合理的设置图层能使得绘图更加清晰,并利用管理图线的开关的功能控制管理图层,方便绘图与修改。这里图层0默认,绘制图形;图层1红色虚线默认线宽作为辅助线层。
利用绘图命令与编辑命令先将幅面为A4的边框画出来,在这里主要应用到的绘图命令是直线与矩形,编辑命令是偏移、修剪。对应的将标题栏内文字注好。
巧妙应用辅助线定位元件位置,使得整张图布局协调。首先分析各个元件的位置,简单的画出几条定位线,然后再CAD软件上打开到辅助线层,在该层中绘制定位线,以便在最后打印的时候可以将灯关掉,该定位线就不被打印出来了。定位线的绘制,利用绘图命令中的构造线以及利用打断命令将矩形打断成直线。捕捉中点,根据图纸中分为几大块绘制出来。
一张电气图中会有很多重复的图形比如双绕组变压器、三绕组变压器等,如果每个都绘制一遍的话,费时又费力,这里利用图块的功能,将元件创建成块,建立个元件库,那么应用的时候可以很方便的去插入。使用图块可以分为绘制图形-创建图块-插入图块三个步骤来做。
观察图形,将重复使用的元件绘制成块,在这里举几个例子。如图2所示,图2(a)为双绕组变压器,图2(b)三绕组变压器,图2(c)自耦变压器。
将绘制好的图形创建成块,在命令行中输入“W”创建外部块,创建外部块是因为我们的图形需要应用在其他图形中,而内部图块只能应用到当前文件中,因此选择创建外部块。在这里需要注意基点的选择,由于创建时基点的选择与插入时的关系重大,因此需要重视。基点最好选择在绘制的图形附近或一个角点上。将创建的所以外部块放到一个文件夹中取名元件库。这样元件库就建立好了。
绘制好定位线,并将所需要的元件插入到指定的位置后就需要利用直线命令将各个元件连接到一起。在这里需要注意:a.将元件连接在一起的线需要横平竖直,不允许斜线、短线、压线;b.整张图中的汉字高度不小于3.5mm,字母与数字高度不小于2.5mm,并保证整张图中高度一致;c.不要忘记节点的绘制。绘制好后的局部图如图3所示。
(2)根据绘图需要合理的设置图层能使得绘图更加清晰,并利用管理图线的开关的功能控制管理图层方便绘图与修改。
(3)建立元件库,利用图块的功能,将所用到的元件创建成外部块建立元件库,方便应用。
(4)绘图步骤:绘图设置单位图层等-绘制标题栏边框-绘制定位线-创建元件库-连线-保存图形。
药品仓储与养护技术课程目标要求学生通过学习能掌握药品仓储业务流程及相关法规,能规范办理药品进、出库等仓储业务,熟悉岗位工作职能要求与操作程序和注意事项,具备从事各类药品储存保管与养护的工作技能。在药品仓储与养护技术课堂教学中,如何调动学生积极性,把枯燥乏味难记的内容变为通俗易懂易记,使学生掌握实用的知识和技能,培养出适应药品仓储工作岗位需求的实用型人才。在此本人结合多年授课经验,粗谈药品仓储与养护技术的一些课堂教学技巧。
案例视频是激发学生兴趣的动力之一。运用多媒体技术播放相关案例的视频,通过情景画面,以情激趣,激发学生的好奇心,增强求知欲,使学生产生学习兴趣。比如:在学习首营品种审核时,为了让学生重视这个内容的学习,利用多媒体技术链接了《今日说法》播出的1例假药的案例视频,学生看完案例后,明白了片中女孩因爱美心切,购买并服用该假药而不幸身亡,是因为批发站进货时没有按规定进行首营品种的审核,购进了假药,深刻理解了首营品种审核的意义和重要性,提高了学习兴趣。在学习药库防火消火方法时,通过在线观看消防安全知识讲座和一些重大火灾视频,引导学生重视有关内容的学习。
经验表明:教到不如看到,看到不如做到。指导学生进行角色扮演,活学活用,使理论和实践结合。比如:在学习首营品种审核时,指导学生分别扮演采购员、采购部负责人、质管部质管员、主管领导,教师扮演提供药品的厂方销售人员,要求每位学生依据参考书制作《首营品种审批表》,并认真根据相关内容进行填写,把需要向厂方索取的相关资料的名称写在表末附注里。上网查询、核对资料的真实性,进行一次首营品种的审核。首营品种审核程序虽然简单,但如果不亲自扮演角色进行首营品种审核,印象不深刻,对收集的相关资料也不熟悉。学生通过角色扮演,体验了“教、学、做一体”的教学模式,更好、更快地掌握了首营品种审核程序的操作技能。
利用多媒体给学生展示图片,图文并茂,既生动又形象,学生可以形成清晰的直观印象,使其认知渠道多元化。比如,在学习药库分类时,展示写有不同要求的药库照片,如常温库:温度要求控制在1℃~30℃,阴凉库:温度要求在10℃~20℃,冷库:温度要求在2℃~10℃。在学习色标管理时,展示用不同颜色标志的药库照片,如用黄色写的待验区、退货区,用绿色写的合格品区、发货区,用红色写的不合格品区,并结合红黄绿交通信号灯解释色标管理,以加深学生理解。展示药库分区平面图,使学生能把各类温度要求的药库和五大区色标管理结合起来。展示先进的自动化仓储设备照片,学生一目了然。
巧设学习问题,组织学生讨论,集体或个别回答教师的提问,这样能提高学生的学习兴趣,提高学生分析和解决问题的能力,拓宽思路。指导学生上网查询一些书本上没有的资料,然后做成幻灯片上台展示并进行评比,可以活跃课堂气氛。比如,学习药品性质变化时可以提问,升华一定是物理变化吗?碘加热变成碘蒸气,NH4Cl加热变成NH3和HCl分别属于什么变化?学习药库分类时可以提问,按GSP要求药库的分类特点、管理要求和管理方法分别是什么?与普通商品仓库有何区别?学习首营品种审核时可以提问,什么是首营品种、首营企业?审核首营品种的程序和采购员向厂方索取的相关资料有哪些?收集的资料哪些是审核企业的合法性?哪些是审核药品合法性和质量的可靠性?从经营企业首次购进的新品种需做首营品种审核吗?
将繁杂的内容转化成简单的内容来记,教师必须引导学生找出关键词,列出提纲,化繁为简,在理解的基础上准确记忆。比如,药品储存管理工作的职责是“一个管理,三个研究,二个做到”;药品仓储与养护的作用是“供求、防伪、保质”;科学养护做好库房防霉、尘、虫、鸟、鼠、潮、污染等工作是“七防”;出库原则是“四个先出一个按”;进口药品验收的注意点是“两证一章”;药品堆垛的要求之一是不同批号、不同效期、不同包装分开堆垛的“三个不同”;按药品性质分类储存的方法是“八个分开”;药品养护检查的内容是:(1)温湿度,(2)贮存条件,(3)分类存放,(4)六距,(5)倒置现象,(6)外观性状,(7)包装,(8)贮运动态”;有效期药品的保管方法是:(1)温湿度,(2)贮存条件,(3)远近专垛,(4)月报制度,(5)近期先出,(6)过期不用”;特殊药品的保管方法是“三个专两个双”等。
除每次课都有小结提问外,每单元学完后用一次课的时间进行小结以巩固所学知识,布置思考题,并给出一定时间让学生消化吸收,然后提问,小结和思考的内容要突出重点,避免“眉毛胡子一把抓”。比如学习各种剂型药品的养护方法后总结出以下问题:原料药按成分的分类有哪些?阿司匹林(片)、维生素C(片)、磺胺嘧啶片、葡萄糖(注射液)、盐酸四环素的稳定性及保管方法分别是什么?片剂(内服片)的种类有哪些?如何解释?片剂常见的质量变异现象有哪些?如何解释?空胶囊的主要原料是什么?散剂、糖浆剂保管养护的关键是什么?影响散剂、片剂、胶囊剂、乳剂质量最主要的外界因素分别是什么?胶囊剂、注射剂、油剂、栓剂常见的质量变异现象有哪些?胶囊剂的保管养护以什么为主?注射剂的质量要求有哪些?注射剂发生变质的重要标志是什么?注射剂中需要考虑防冻的是哪类药品?注射剂发生冻结后对药品质量有哪些影响?粉针剂的主要保管方法是什么?糖浆剂、含乙醇制剂的防冻与其浓度有何关系?胶囊剂、糖浆剂、栓剂保管养护的温度分别是多少?
综合归纳包括整章归纳、单元归纳和全书归纳,把所学知识汇总归纳,融会贯通,化散为整。把零散的内容或者容易混淆的内容综合归纳到一起进行比较、区别,能快速记忆,避免“张冠李戴”。比如指导学生归纳以下问题:药品进、出库有哪些工作?分哪3个阶段?各项记录保存多久?储存、堆垛、养护、出库、运输等5个环节的原则分别是什么?购进、验收、退货、复核等不同记录的保存时间分别为多久?库存和零售药品尚有多少就开始填催销表?首营品种、进口药品以及中药材验收的注意事项分别是什么?“三个不同、三不倒置、五不靠、六距、五大区、质量三性、三三四制、四个先出一个按”等分别是什么?3类药库的温度、湿度、最合适湿度分别是多少?糖浆剂和含乙醇制剂需要防冻的浓度分别是多少?
随着计算机辅助设计技术的迅猛提高,以及一些先进的计算机绘图软件的出现,计算机绘图的优势在实践中得到充分展示。而Coreldraw软件是加拿大Corel公司开发的图形软件,它是在WINDOWS系统下操作,能建立和编辑一些专业质量的图表和演示图片,可以使用文本、图像、色彩设计和图表,从其他程序装入数据或卸出数据到其他程序等,并具有一些高级修改技巧和产生特殊效果的功能,只要具有基本的软件知识和软件应用经验的制图人员可直接使用,即便是非专业制图人员,经短时间培训便可应用。在此新形势下,本文结合CorelDraw图形软件重要的处理功能在工程绘图中遇到的问题作探讨,并总结实用的制图经验与技巧。
Coreldraw图形软件的特点是图形处理功能极强,定位精确,而且使用灵活,可以利用其内嵌的AUTOLISP语言编制用户自己的图形处理命令或图表编辑命令,使图上一些繁杂的标注工作、制表工作轻而易举地得以完成。下面分别介绍Coreldraw图形处理的几个主要功能:
Coreldraw图形软件是一种矢量图形设计软件,功能强大,使用方便,显示美观。Coreldraw8.0软件有一些非常好的功能,可简化设计。
1.自定义状态栏功能。Coreldraw的操作屏幕窗口与AutoCAD等大多数绘图软件一样,工作界面上都具有标题栏、菜单栏、“标准”工具栏、“属性”工具栏、工具箱、滚动条、状态栏和绘图窗口,还有标尺、页计数器、调色板等,如用户还可以保存和加载自定义的“调色板”,供特定的项目或绘图类型使用。
2.制作符号库。可以在Coreldraw中制作所需的符号库,方便以后的调用。在Coreldraw中,建立一个对象,然后根据这个对象,使用轮廓笔功能,建立一个封闭的路径,再将设计好的符号添加到“符号框”中,方便以后作用。利用Coreldraw的强大编辑功能,可以做出各种类型的符号。
3.“形状”工具功能。当直线和曲线不符合要求时,“形状”工具提供了强大的编辑修改功能Coreldraw图形对象都有结点,当用“形状”工具选择图形对象时结点就变大,编辑可以通过、增加或删除结点,改变结点的类型,分开和连接结点,以及操纵控制曲线形状的控制点,以达到修改和编辑图形的目的。
由Coreldraw生成的文字、表格可以任意修改和编辑其大小、旋转、间距、对齐、字的前后调位、重新组合等,并且由常用、office软件生成的文字表格可以通过Coreldraw的“编辑/插入新物体”功能将文字表格插入到Coreldraw的指定位置并编辑修改。
1.导入功能。当插图文件是位图文件时就无法取消组合,对于从Word、WPS等文档中复制而来的简单的位图文件,宜采用缩放调整原图大小在Coreldraw中照样重新绘制的方法;对于复制而来的繁杂的位图文件,则根据实际情况进行编辑。当插图文件是图元文件时,可将插图取消组合,转换为图形对象。
2.导出功能。Coreldraw软件提供了完善的输入输出功能,并具有卓越的打印功能,能处理多种文件格式,可直接用于文件输出成ps格式。因此将文件导出成ps文件,导入Coreldraw图层,和Coreldraw软件编辑图、文字组版混排,Coreldraw绘图软件能以矢量格式图形、位图格式图形、RTF格式、文本格式、HTML格式等导出,用于发排。
3.用“图框裁剪”功能。裁剪图幅图框裁剪功能(PowerClip)允许用户把一个图形对象塞进另一个图框中。先确定裁切范围并用矩形工具绘出裁切框,删去填充色。PowerClip裁切后默认图形中心是原对象中心,如果裁切框不居中,就要对原图的中心位置进行调整。调整方法是另外再绘一个大的辅助图框,大到两个图框中心重叠后还能包围原图为止,然后用中心对齐方法将两个图框中心重叠。接着同时选中原图和辅助图框,单击“效果”菜单的“图框精确裁剪”,选中“放置在容器中”,出现一个黑色箭头,用黑色箭头在裁切框上单击,框外的图形被裁去。这种方法最大缺陷是裁切后的图不能再进行编辑,最大优点是裁切后丝毫不影响对象属性。
笔者在运用CorelDraw8.0绘图的实践中,总结了不少编图经验和技巧,希望能为其他的CorelDraw用户提供有益的帮助。CorelDraw提供了许多功能强大的工具,帮助制图人员排列和组织绘图中的对象,从诸如复制、组合、分隔、合并对象等简单操作,控制任何绘图中对象的垂直顺序,对齐或分布对象从而获得所需要的精确排列,使用“对象管理器”的高级功能来协助组织和管理整个图集,极大地拓展了制图人员的创造力。
对象产生的变化会自动同时反映到“绘图窗口”和“对象管理器”中。拖放编辑可在“对象管理器”内部或者“对象管理器”与“绘图窗口”之间进行。制图人员可以使用“绘图窗口”、“对象管理器”或将二者组合起来进行文档的编辑。可以采用“拖放”方式在同一页面的图层内部和图层之间排序对象;可以通过“拖放”应用图形、文本和颜色样式;可以“拖放”方式编辑对象的轮廓色和填充色;可以通过“拖放”创建和编辑PowerClip对象;还可以“拖放”进行群组或取消群组;可采用“拖放”方式编辑对象的数据信息。
Coreldraw与AutoCAD一样,在绘制图形时,可以对不同的图形对象分别设置在不同的图层,以方便绘制图形。但Coreldraw通过“物件管理员”泊坞窗的操作可以对不同图层更方便容易地改变图层属性。
使用Corel脚本文件当选择了多个对象生成复杂的图形时,往往需要重复一系列的操作,此时可应用CorelScript应用程序,生成一个脚本文件,直接运行即可。如境界线色带的制作,可将境界线选择、轮廓图应用、分隔和合并处理、交互式透明设置保存为一个脚本文件,当需要对一条境界线造色带时,直接运行色带脚本。
其他格式的图形文件输入到Coreldraw程序中不能太复杂,否则输入到Coreldraw中有的图形会莫名奇妙地变形而少一些线条或转换速度过慢,并且也不能直接转换3DMSX认可的文件格式。所以要将源图形的轮廓线尽量设置为细线,并取消闭合图形的任何填充。而要转换成与3DMSX所兼容的文件格式,可先将图形导出到AutoCAD中,再在AutoCAD中转换成3DMSX能认可的文件格式。
Coreldraw在编辑和排版上还有很多技巧,例如图例框中的图例和文字排版需要用到对齐功能、均匀分布功能,多窗口编辑功能可以在多幅不同图形之间进行对象的移动、拷贝等工作,这些都需要在实际操作中不断摸索和应用。
总而言之, Coreldraw软件的图文编辑功能非常强大,操作简便、图形效果好。它能够进行精确的图纸设置、辅助线设置;能够进行精确的定位,绘制精确的制图线条,进行任何直线、曲线的变形;能够进行完美的数据标注;能够对图线进行任意线型的设置。但也有一些不足之处,应充分重视Coreldraw软件基础图形库建设,符号库中提供最基本的图形符号需自行设计和制作,并将每组信息存入符号库以供调用,因此基础图形库的建立与编辑是一个系统而复杂的工作。这需要制图工作者在实践中不断积累经验,才能绘制出更加美观的图形。
新世纪,信息素质受到国内外的广泛重视。联合国教科文组织(UNESCO)将信息素质教育的普及作为其职责的重要组成部分,致力于培养用户在职业生涯和个人生活中评价、选择、利用信息的技巧和能力。国际图书馆协会和学会联合会(IFLA)在最新公布的《国际图联战略计划2006-2009年》中提出:要大力推进阅读、信息素质和终身学习,并将作为融入信息社会的关键。同样,党中央、国务院根据《国家中长期科学和技术发展规划纲要(2006-2020年)》,制定并实施《全民科学素质行动计划纲要(2006-2010-2020年)》,要求,至2020年,公民科学素质在整体上有大幅度的提高。国家发展改革委员会高技术司公布的《“十一五”信息化专项规划研究:我国信息化的总体走向》预测信息技术、信息资源的广泛应用将日益受到社会广泛重视,公民的信息素质将普遍提高。
信息时代对信息素质如此关注,必然对信息素质教育的内容与形式提出更高要求。在线信息素质教育平台将传统知识体系与现代信息技术有机结合,在融合中发展创新能力,提高大学生信息素质。利用网络平台开展在线信息素质教育,可实现个性化、交互式教学,充分发挥大学生的创造性和自主性,满足社会发展对信息化人才的需求。
大学图书馆建立的在线信息素质教育平台,以大学图书馆拥有和存取的各种信息资源为基础,整合大学图书馆的各种信息服务,将学校重点学科的科研资源、精品课程的教学资源集合到一起,针对大学图书馆各类用户提供不同层次的服务。该平台主要建构于大学图书馆的网络服务平台之上,在图书馆网站提供人口链接。平台设置的目的不是将用户培养成图书馆专家,而是让其有效地利用各种信息资源和信息服务,提高信息意识和信息能力,成为能自由运用信息的人。在线信息素质教育是大学图书馆教育职能的回归和体现,可以彰显图书馆的核心价值。
笔者设计的在线信息素质教育平台(以下简称平台)主要包括五大部分:首先是平台的建构基础,即网络,可通过大学图书馆网站提供平台的入口链接;其次是底层的资源数据库,其中包含了课程资源、标准资源、免费学术资源、信息技能培训资源等4种资源类型。技术支持主要采用J2EE技术,设置了前言、选择信息源、检索技巧、获取信息、信息评价和检索规划等6个功能模块,根据用户权限,提供分层次的教学内容。用户层是平台的界面层,用户通过用户名和密码进行身份验证,进入功能模块学习,同时还包括用户个人信息管理和个性化定制等功能。图1为在线信息素质教育平台总体构架:
大学图书馆开展在线信息素质教育,主要目标群体为学生、教师,也可以用于馆员信息素质的培养。总而言之,该平台的用户群体应该包括学生、教师、馆员、科研人员、校外用户等不同层次。
平台主要提供信息素质通识教育,如本科生文献检索课,同时利用FAQ等形式提供信息检索的基础知识和图书馆服务和利用方面的教育;针对本科生以接受专业基础教育为主的学习状态,提供相关课件和教参资料的下载等。
考虑到研究生已经涉足较深的专业领域,且需要综合的学科指南和信息素养,平台从学习和科研相结合的角度安排教育内容,提供著名的检索数据库如SCI、EI,评价工具JCR及三大检索工具的使用技巧,如何进行开题查新、科技论文的撰写及投稿指南等内容。同时平台链接学科馆员的参考咨询服务和综合性的培训讲座,使研究生用户能够接受更专业的学科导航服务。
针对教师用户,平台提供教研支持。教师主要是利用平台接受教学工作的在线培训,如学习利用统一标准制作课件,保持风格统一,这也便于课件资源的整合共享;接受远程教学系统的使用培训,借鉴优秀课程的教学示范,从而改进教学方式,改善教学效果等。
科研人员属于教师和研究生相交的用户群体,既可以作为一个单独的用户层次进行教学,也可以在教师和研究生教育中提供链接,进行深度的科研能力培养。对于该层次的用户,平台主要从资源查找、获取及研究动态通告等方面开展。既要教会科研人员从何处检索到所需资源,更要告知其如何获得该资源,还可以提供科技查新、代查代检等图书馆服务的链接。对于网络上免费的学术资源,还应该提供链接及服务,其主要目的是全面提高科研人员的信息能力。
图书馆员既是平台的建立者,又是平台的使用者。馆员可以利用平台接受职业道德培养、图情基础知识学习、图书馆各类资源使用、计算机操作技能培训、各类应用系统培训、拓展及综合知识等方面的教育,维护平台及图书馆的正常运作。
对于校外用户,平台主要提供基本的信息素质教育,进行信息意识、信息道德等基础教育,对图书馆各项服务进行介绍等。
在线信息素质教育平台的功能模块由前言声明、选择信息源、检索技巧、获取信息、评价信息、检索计划等6大功能模块组成。其中,选择信息源、检索技巧、获取信息、评价信息为核心模块。在具体模块中,又配有测验、小结等形式以增强教育效果。图2为在线信息信息素质教育平台功能模块构成:
该模块主要是对平台基本情况进行介绍,包括信息素质教育概况、平台模块浏览和使用技巧举例等。该模块还提醒用户树立综合使用的观念,善于利用平台的辅助工具,实现辅助学习的效果。
选择信息源模块主要从资源分布方面,介绍不同信息的获取来源,尤其侧重网络信息资源的分布。该模块以信息的来源作为分类标准,在每一类的介绍中,以列举重要站点的方式,提供更为细致的说明。同时,该模块可提供案例分析和在线测试,便于用户自查。在线测试根据学生不同的学习情况,依据相关标准规定,将题目分为简单、一般、复杂三个层次,并于其后附有详细解答以及相关知识介绍。最后以总结的形式,概括本部分内容的学习要点。
通过该模块学习,用户可以了解各类型信息源并可根据需要进行选择,掌握图书馆信息源的特性、类型与作用,了解网络信息源的特点,鉴别互联网与图书馆电子资源等。
该模块给用户一个体验不同的检索工具、选择恰当的关键词、制定合适的检索策略,进行信息检索的机会。主要提供图书馆数据库、搜索引擎、学科信息门户和网络导航等4种用户常用检索工具的介绍。在“试用”中,用户可以利用平台提供的两个实时参照浏览器窗口,进行不同检索工具的使用对比。该模块还介绍利用布尔逻辑语言进行检索式选择,检索策略制定的步骤和方法,提供在线测试,并通过“注意事项”等方式,对检索策略进行总结。
利用该模块,用户可以了解如何根据不同的检索要求,选择合适的检索工具及恰当的检索词,并进行有效地组配;灵活地变换检索策略,以获得相对满意的检索结果;学会主题词检索和关键词检索的方法;学会在网上查找信息;鉴别从搜索引擎获得的信息。
该模块的重点是全文获取,即用户如何通过掌握的文献线索,获取文章全文。首先介绍文献的著录格式和相关标准等知识,便于用户准确识别文献类型和出版信息;其次,教会用户掌握信息资源的查找方法,获知这些文献在图书馆或其它地方是否有收藏,在网络上是否存在,以及如何找到所需文献;此外还介绍馆际互借与文献传递服务,帮助用户获得自己无法取得的文献。
通过该模块的学习,用户可以学会辨别要查找的文献类型,知道在何处可以找到需要的文献,如何查找图书馆的纸本文献及电子资源,如何查找网络资源等。
该模块侧重用户评价选择信息资源方面的培训,使用户学习如何评价信息、正确利用信息以及进行有效信息交流。该模块提供对不同类型资源的评价步骤,如如何评价图书资源、网络资源,如何进行网址分析等,同时还附有在线测试。
学习该模块,用户可了解到信息评价的一般标准;利用这些标准对查找到的信息资源进行评价;学会合理使用图书馆的信息资源、正确引用有参考价值的信息、避免侵犯知识产权。
该模块是对前五个模块学习的归纳总结。通过网络检索到合适的信息资源,就必须运用检索技巧,制定合适的检索策略。当然,网络并不是获取信息资源的唯一途径,用户要根据所需信息资源的类型,利用信息资源评价知识,选择值得信任的站点和信息,最终实现提高个人信息素质的目的。
在线信息素质教育平台主要是利用J2EE技术,通过J2EE的应用服务器(WebLogic Server),将用户的请求进行分析,再利用JDBS到资源数据库中调用需要的资源。
J2EE是一整套技术的总称,包括建立应用系统的各个方面,J2EE使用多层的分布式应用模型,分别为客户层、Web层、业务层(EJB层)及企业信息系统层(EIS),其支撑平台由一整套服务(Services)、应用程序接口(API)和协议构成。这一整套技术的层次划分与笔者设计在线信息素质教育平台的构建层次非常吻合,可以实现用户与平台良好交互。
平台用户无需专门的客户应用程序,只需安装浏览器即可。平台用户在向服务器端发出请求时,首先是调用JSP页面,由于不同的用户请求的页面不同,可以由WebLogic Server的配置文件来指定。然后,由服务器端的Servlet引擎负责解释执行,调用相应的EJB,通过WebLogic Server最后访问到平台资源库。最后,由Servlet引擎将结果返回给JSP网页,通过HTTP协议将最后结果以HTML的形式返回给用户,以JavaAp-plet方式加载到HTML页面上,通过现有的IE浏览器解释运行即可。在设计后台数据库时,系统采用SQL Server 2000数据库管理软件,通过JDBC访问数据库。硬件平台采用的是DELL服务器,通过WebLogic配置文件将编写好的JSP、Servlets以及各种EJB部署到服务器上,使其与数据库相连。具体实现流程如图3所示。
4.2.1JSP技术与Servlet引擎JSP是一种动态网页生成技术,用以帮助Web开发人员创建动态网页。JSP页面由HTML代码和嵌入其中的Java代码组成,最终代码以Servlet形式存在并执行。Servlet是一种动态加载的模块,JSP在执行以前先被编译成字节码,字节码由Servlet引擎所管理的Java虚拟机解释执行,所有的JSP文件都转变为Servlet来运行。JSP技术与Servlet引擎协调配合,将用户请求的分析和结果以HTML页面返回给客户端的浏览器。
4.2.2JDBC技术JDBC以统一方式对各种各样的数据库进行存取,不需要客户端数据库驱动程序,而是使用网络上的中间服务器,为开发人员隐藏了不同数据库的不同特性。另外,由于JDBC建立在Java基础上,因此还提供了数据库存取的平立性。
信息资源是平台最重要的组成部分,是提供各项教育服务的基础。大学图书馆在线信息素质教育资源,以图书馆馆藏资源、免费存取资源、重点学科的科研资源、精品课程的教学资源和图书馆各种服务为基础,其构成可以从资源的类型和资源的格式两方面进行划分。
5.1.1课程资源课程资源主要是指平台提供的一系列培训课程,包括文献检索课程、专题讲座课程、学科专业教学课程、国家精品课程、在线教学课程等内容。平台主要提供各种课程的简介、教学大纲、课件下载、作业测试、教学网站链接、电子教科书等,方便用户进行相关课程的学习,同时也为教师提供可资参考的教学方式和教学资源。
5.1.2标准资源平台还提供信息素质教育相关标准和规范。有课程设计标准,如教育部颁布的《关于在高等学校开设文献检索与利用课的意见》;信息资源评价标准,如评价网络资源的标准,包括作者、主办者、日期、网站内容是否被引用等方面;信息素质能力标准,如美国的《高等教育信息素养能力标准》、我国的《北京地区高校信息素质能力指标体系》等标准体系;以及知识产权等法规政策等内容。
5.1.3免费学术资源平台提供的资源大多是在网络上可以免费获取及使用的。免费学术资源包括开放存取资源、全文数据库资源、学术搜索引擎、学科信息门户等类型。其中OA期刊、学科库资源、机构库资源均属于开放存取资源,可以链接专门从事OA资源注册及收集的组织和学会。同时,学科信息门户中存在大量免费学术资源,如CALIS的重点学科导航库,这对提高用户的信息素质,拓展知识面将大有裨益。平台可以依附图书馆员的信息组织能力,提供免费资源网络导航、免费参考网站、免费检索工具等内容,拓宽用户获得免费信息资源的途径。
5.1.4信息技能培训资源信息技能培训资源主要包括信息查找、获取、评价等相关能力和技巧的培训,包括各类型数据库培训资源、文献传递方法、信息检索技巧、信息评价标准、图书馆服务指南等内容。平台将数据库商提供的培训课件和检索指南、馆际互借和文献传递的方法及规范、图书馆的各项服务及利用指南提供给用户,不仅拓宽资源获取的途径,还方便用户到馆获得直接、便捷的服务。
论文摘要:网络上的动态网站以asp为多数,我们学校的网站也是asp的。笔者作为学校网站的制作和维护人员,与asp攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就asp网站设计常见安全漏洞及其防范进行一些探讨。本文结合 asp 动态网站开发经验,对asp 程序设计存在的信息安全隐患进行分析,讨论了asp 程序常见的安全漏洞,从程序设计角度对 web信息安全及防范提供了参考。
2007年1月至6月期间,半年时间内,cncert/cc接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从cncert/cc掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(ddos)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
微软推出的iis+asp的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、bbs、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从 asp 程序设计角度对 web 信息安全及防范进行分析讨论。
bak 文件。攻击原理:在有些编辑asp程序的工具中,当创建或者修改一个asp文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以bak为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在asp的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2 对asp页面进行加密。为有效地防止asp源代码泄露,可以对asp页面进行加密。我们曾采用两种方法对asp页面进行加密。一是使用组件技术将编程逻辑封装入 dll之中;二是使用微软的script encoder对asp页面进行加密。
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览web,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的 url 路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
sql 注入。sql注入是从正常的/>
论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
在文件上传之前,加入文件类型判断模块,进行过滤,防止asp、asa、cer等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在iis+asp网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
由于access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载 。由于access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高asp+access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用odbc数据源。在asp程序设计中,如果有条件,应尽量使用odb开云网站c数据源,不要把数据库名写在程序中,否则,数据库名将随asp源代码的失密而一同失密。
使用密码加密。经过md5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
由于asp它本身是服务器提供的一项服务功能,所以这种asp脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
我们可以利用一些ftp客户端软件(例如cuteftp,flashfxp)提供的文件对比功能,通过对比ftp的中的web文件和本地的备份文件,发现是否多出可疑文件。
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木。