批处理读取指定文件名称到

• 如果箭头函数的代码块部分多于一条语句，就要使用大括号将它们括起来，并且使用return关键字返回

• const foo = (a, b) => {
     a+b;
  }
  foo(1, 2) // undefined
  
  const foo1 = (a, b) => {
     return a+b;
  }
  foo1(1, 2) // 3

  如果箭头函数只有一行语句，可以省略大括号，并且省略return关键字。

• const foo = (a, b) => a+b // 等价于const foo = (a, b) => { return a+b }
  foo(1, 2) // 3

  这里的foo = (a, b) => a+b相当于foo = (a, b) => { return a+b }

• 上面的用法可以用来简化回调函数，看下面的例子：

• // 正常函数写法
  [1,2,3].map(function (x) {
    return x * x;
  });
  
  // 箭头函数写法
  [1,2,3].map(x => x * x);

   

npm config list

Vue.cmd 没有在npm 配置目录里 怎么办？
npm config get prefix

在系统变量中新建变量NPM，变量值为之前复制的路径信息，一般是C:\Users\xxx\AppData\Roaming\npm
再在系统变量中找到path，添加%NPM%。一直点击保存。

npm install -g cnpm –registry=https://registry.npm.taobao.org
npm i npm -g npm i @vue/cli -g

cnpm i @vue/cli -g

cnpm install  vue

1.下载https://codeload.github.com/vuejs-templates/webpack-simple/zip/master到本地

C:\Users\Administrator\.vue-templates

2.更名为webpack放到以下路径下，（.vue-templates是自己定义的文件夹）

template

meta.json

README.md

3.cmd中建项目后边加 –offline即可建成功

vue init webpack  （目录） –offline

现在 用 Vue create 创建

通信对物联网来说十分常用且关键，无论是近距离无线传输技术还是移动通信技术，都影响着物联网的发展。而在通信中，通信协议尤其重要，是指双方实体完成通信或服务所必须遵循的规则和约定。那么物联网都有哪些通信协议呢?

我们将物联网协议分为两大类，一类是传输协议，一类是通信协议。传输协议一般负责子网内设备间的组网及通信，之前我们已经为大家做了一次的科普，文章《物联网常见的无线传输协议类型》有详细介绍。通信协议则主要是运行在传统互联网TCP/IP协议之上的设备通讯协议，负责设备通过互联网进行数据交换及通信。

物联网的通信环境有Ethernet， Wi-Fi， RFID， NFC(近距离无线通信)， Zigbee， 6LoWPAN(IPV6低速无线版本)，Bluetooth， GSM， GPRS， GPS， 3G， 4G等网络，而每一种通信应用协议都有一定适用范围。AMQP、JMS、REST/HTTP都是工作在以太网，COAP协议是专门为资源受限设备开发的协议，而DDS和MQTT的兼容性则强很多。

互联网时代，TCP/IP协议已经一统江湖，现在的物联网的通信架构也是构建在传统互联网基础架构之上。在当前的互联网通信协议中，HTTP协议由于开发成本低，开放程度高，几乎占据大半江山，所以很多厂商在构建物联网系统时也基于http协议进行开发。包括google主导的physic web项目，都是期望在传统web技术基础上构建物联网协议标准。

HTTP协议是典型的CS通讯模式，由客户端主动发起连接，向服务器请求XML或JSON数据。该协议最早是为了适用web浏览器的上网浏览场景和设计的，目前在PC、手机、pad等终端上都应用广泛，但并不适用于物联网场景。在物联网场景中其有三大弊端：

1. 由于必须由设备主动向服务器发送数据，难以主动向设备推送数据。对于单单的数据采集等场景还勉强适用，但是对于频繁的操控场景，只能推过设备定期主动拉取的的方式，实现成本和实时性都大打折扣。

2. 安全性不高。web的不安全都是妇孺皆知，HTTP是明文协议，在很多要求高安全性的物联网场景，如果不做很多安全准备工作(如采用https等)，后果不堪设想。

3. 不同于用户交互终端如pc、手机，物联网场景中的设备多样化，对于运算和存储资源都十分受限的设备，http协议实现、XML/JSON数据格式的解析，都是不可能的任务。

REST/HTTP(松耦合服务调用)

REST (Representational State Transfer)，表征状态转换，是基于HTTP协议开发的一种通信风格，目前还不是标准。

适用范围：REST/HTTP主要为了简化互联网中的系统架构，快速实现客户端和服务器之间交互的松耦合，降低了客户端和服务器之间的交互延迟。因此适合在物联网的应用层面，通过REST开放物联网中资源，实现服务被其他应用所调用。

特点：

1. REST 指的是一组架构约束条件和原则。满足这些约束条件和原则的应用程序或设计就是RESTful

2.客户端和服务器之间的交互在请求之间是无状态的

3. 在服务器端，应用程序状态和功能可以分为各种资源，它向客户端公开。资源的例子有：应用程序对象、数据库记录、算法等等。每个资源都使用 URI (Universal Resource Identifier) 得到一个惟一的地址。所有资源都共享统一的界面，以便在客户端和服务器之间传输状态

4.使用的是标准的 HTTP 方法，比如 GET、PUT、POST 和 DELETE

点评： REST/HTTP其实是互联网中服务调用API封装风格，物联网中数据采集到物联网应用系统中，在物联网应用系统中，可以通过开放REST API的方式，把数据服务开放出去，被互联网中其他应用所调用。

CoAP协议

CoAP (Constrained Application Protocol)，受限应用协议，应用于无线传感网中协议。

适用范围：CoAP是简化了HTTP协议的RESTful API，CoAP是6LowPAN协议栈中的应用层协议，它适用于在资源受限的通信的IP网络。

特点：

报头压缩：CoAP包含一个紧凑的二进制报头和扩展报头。它只有短短的4B的基本报头，基本报头后面跟扩展选项。一个典型的请求报头为10～20B。

方法和URIs：为了实现客户端访问服务器上的资源，CoAP支持GET、PUT、POST和DELETE等方法。CoAP还支持URIs，这是Web架构的主要特点。

传输层使用UDP协议：CoAP协议是建立在UDP协议之上，以减少开销和支持组播功能。它也支持一个简单的停止和等待的可靠性传输机制。

支持异步通信：HTTP对M2M(Machine-to-Machine)通信不适用，这是由于事务总是由客户端发起。而CoAP协议支持异步通信，这对M2M通信应用来说是常见的休眠/唤醒机制。

支持资源发现：为了自主的发现和使用资源，它支持内置的资源发现格式，用于发现设备上的资源列表，或者用于设备向服务目录公告自己的资源。它支持RFC5785中的格式，在CoRE中用/.well—known/core的路径表示资源描述。

支持缓存：CoAP协议支持资源描述的缓存以优化其性能。

协议主要实现：

1. libcoap(C语言实现)

2.Californium(java语言实现)

点评：CoAP和6LowPan，这分别是应用层协议和网络适配层协议，其目标是解决设备直接连接到IP网络，也就是IP技术应用到设备之间、互联网与设备之间的通信需求。因为IPV6技术带来巨大寻址空间，不光解决了未来巨量设备和资源的标识问题，互联网上应用可以直接访问支持IPV6的设备，而不需要额外的网关。

MQTT协议(低带宽)

MQTT (Message Queuing Telemetry Transport )，消息队列遥测传输，由IBM开发的即时通讯协议，相比来说比较适合物联网场景的通讯协议。MQTT协议采用发布/订阅模式，所有的物联网终端都通过TCP连接到云端，云端通过主题的方式管理各个设备关注的通讯内容，负责将设备与设备之间消息的转发。

MQTT在协议设计时就考虑到不同设备的计算性能的差异，所以所有的协议都是采用二进制格式编解码，并且编解码格式都非常易于开发和实现。最小的数据包只有2个字节，对于低功耗低速网络也有很好的适应性。有非常完善的QOS机制，根据业务场景可以选择最多一次、至少一次、刚好一次三种消息送达模式。运行在TCP协议之上，同时支持TLS(TCP+SSL)协议，并且由于所有数据通信都经过云端，安全性得到了较好地保障。

适用范围：在低带宽、不可靠的网络下提供基于云平台的远程设备的数据传输和监控。

特点：

1.使用基于代理的发布/订阅消息模式，提供一对多的消息发布

2.使用 TCP/IP 提供网络连接

3.小型传输，开销很小(固定长度的头部是 2 字节)，协议交换最小化，以降低网络流量

4.支持QoS，有三种消息发布服务质量：“至多一次”， “至少一次”， “只有一次”

协议主要实现和应用：

1.已经有PHP，JAVA，Python，C，C#等多个语言版本的协议框架

2.IBM Bluemix 的一个重要部分是其 IoT Foundation 服务，这是一项基于云的 MQTT 实例

3.移动应用程序也早就开始使用MQTT，如 Facebook Messenger 和com等

点评：MQTT协议一般适用于设备数据采集到端(Device-》Server，Device-》Gateway)，集中星型网络架构(hub-and-spoke)，不适用设备与设备之间通信，设备控制能力弱，另外实时性较差，一般都在秒级。

DDS协议(高可靠性、实时)

DDS(Data Distribution Service for Real-Time Systems)，面向实时系统的数据分布服务，这是大名鼎鼎的OMG组织提出的协议，其权威性应该能证明该协议的未来应用前景。

适用范围：分布式高可靠性、实时传输设备数据通信。目前DDS已经广泛应用于国防、民航、工业控制等领域。

特点：

1.以数据为中心

2.使用无代理的发布/订阅消息模式，点对点、点对多、多对多

3.提供多大21种QoS服务质量策略

协议主要实现：

1.OpenDDS 是一个开源的 C++ 实现

2.OpenSplice DDS

点评：DDS很好地支持设备之间的数据分发和设备控制，设备和云端的数据传输，同时DDS的数据分发的实时效率非常高，能做到秒级内同时分发百万条消息到众多设备。DDS在服务质量(QoS)上提供非常多的保障途径，这也是它适用于国防军事、工业控制这些高可靠性、可安全性应用领域的原因。但这些应用都工作在有线网络下，在无线网络，特别是资源受限的情况下，没有见到过实施案例。

AMQP协议(互操作性)

AMQP(Advanced Message Queuing Protocol)，先进消息队列协议，这是OASIS组织提出的，该组织曾提出OSLC(Open Source Lifecyle)标准，用于业务系统例如PLM，ERP，MES等进行数据交换。

适用范围：最早应用于金融系统之间的交易消息传递，在物联网应用中，主要适用于移动手持设备与后台数据中心的通信和分析。

特点：

1.Wire级的协议，它描述了在网络上传输的数据的格式，以字节为流

2.面向消息、队列、路由(包括点对点和发布/订阅)、可靠性、安全

协议实现：

1.Erlang中的实现有 RabbitMQ

2.AMQP的开源实现，用C语言编写OpenAMQ

3.Apache Qpid

4.stormMQ

XMPP协议(即时通信)

XMPP(Extensible Messaging and Presence Protocol)可扩展通讯和表示协议，XMPP的前身是Jabber，一个开源形式组织产生的网络即时通信协议。XMPP目前被IETF国际标准组织完成了标准化工作。

适用范围：即时通信的应用程序，还能用在网络管理、内容供稿、协同工具、档案共享、游戏、远端系统监控等。

特点：

1.客户机/服务器通信模式

2.分布式网络

3.简单的客户端，将大多数工作放在服务器端进行

4.标准通用标记语言的子集XML的数据格式

点评：XMPP是基于XML的协议，由于其开放性和易用性，在互联网及时通讯应用中运用广泛。相对HTTP，XMPP在通讯的业务流程上是更适合物联网系统的，开发者不用花太多心思去解决设备通讯时的业务通讯流程，相对开发成本会更低。但是HTTP协议中的安全性以及计算资源消耗的硬伤并没有得到本质的解决。

JMS (Java Message Service)

JMS (Java Message Service)，JAVA消息服务，这是JAVA平台中著名的消息队列协议。

Java消息服务(Java Message Service)应用程序接口，是一个Java平台中关于面向消息中间件(MOM)的API，用于在两个应用程序之间，或分布式系统中发送消息，进行异步通信。Java消息服务是一个与具体平台无关的API，绝大多数MOM提供商都对JMS提供支持。

JMS是一种与厂商无关的 API，用来访问消息收发系统消息，它类似于JDBC(Java Database Connectivity)。这里，JDBC 是可以用来访问许多不同关系数据库的 API，而 JMS 则提供同样与厂商无关的访问方法，以访问消息收发服务。许多厂商都支持 JMS，包括 IBM 的 MQSeries、BEA的 Weblogic JMS service和 Progress 的 SonicMQ。 JMS 能够通过消息收发服务(有时称为消息中介程序或路由器)从一个 JMS 客户机向另一个 JMS客户机发送消息。消息是 JMS 中的一种类型对象，由两部分组成：报头和消息主体。报头由路由信息以及有关该消息的元数据组成。消息主体则携带着应用程序的数据或有效负载。根据有效负载的类型来划分，可以将消息分为几种类型，它们分别携带：简单文本(TextMessage)、可序列化的对象 (ObjectMessage)、属性集合 (MapMessage)、字节流 (BytesMessage)、原始值流 (StreamMessage)，还有无有效负载的消息 (Message)。

物联网协议对比

协议应用的侧重方向

MQTT、 DDS、 AMQP、XMPP、 JMS、 REST、 CoAP这几种协议都已被广泛应用，并且每种协议都有至少10种以上的代码实现，都宣称支持实时的发布/订阅的物联网协议，但是在具体物联网系统架构设计时，需考虑实际场景的通信需求，选择合适的协议。

以智能家居为例，说明下这些协议侧重应用方向。智能家居中智能灯光控制，可以使用XMPP协议控制灯的开关;智能家居的电力供给，发电厂的发动机组的监控可以使用DDS协议;当电力输送到千家万户时，电力线的巡查和维护，可以使用MQTT协议;家里的所有电器的电量消耗，可以使用AMQP协议，传输到云端或家庭网关中进行分析;最后用户想把自家的能耗查询服务公布到互联网上，那么可以使用REST/HTTP来开放API服务。

首先，看看我的设备，如下图：

ESP8266模块：

USB-TTL：

它两直接如何连接可以看我之前写的文章。

将他们进行正确连接，然后连接到电脑上，如图：

打开调试助手，我的助手如图，大家可以自行网上下载：

打开后的页面：

连接成功后，先要验证一下是否正常连接，下发命令：AT，观察是否返回OK，如图：

说明WIFI模块与USB-TTL连接正确，但现在想和手机中的手机助手相互连接还是不可以的，因为ESP8266是需要AT命令控制的，一次需要下发AT进行激活相关功能，我写的简单命令如下：

AT+RST                                  //  重启模块
AT+CWMODE=3                  //  选择WIFI应用模式 3：表示AP+Station混合模式，2：AP模式，1：Station模式
AT+CIPMUX=1                     //  启动多连接，0：单路连接模式，1：多路连接模式
AT+CIPSERVER=1,8080   //   配置为服务器，1,：表示开启server模式；8080是我们自己设置的端口号，便于监听
AT+CIOBAUD=9600           //   设置波特率，这边我设置的是9600，是为了便于后期单片机使用，该模块默认波特率为115200

将这些命令通过串口下发给WIFI模块，就可以实现手机与WIFI模块连接了，如图：

与手机的连接图（注意：手机一定要连接到WIFI模块的WIFI上，才可以使用手机调试助手连接）：

WIFI连接如图：

手机上的调试助手图标如图：

端口激活：

tcp client客户端连接：

成功后，手机给WIFI发了一个信息，如图：

PC端通过串口助手显示的结果，如图：

这个是手机给WIFI模块发送数据，其实我们想用手机接受数据：PC通过串口发给WIFI模块数据，再传到手机端，这个过程如何实现呢？

其实也比较简单，我需要在PC端的串口助手里先下发一个命令，如下：

AT+CIPSEND=?                       //  发送数据   测试命令  相应OK，则说明发送数据功能正常

AT+CIPSEND=0,10                 //  因为之前设置的是多路连接，因此这边需要写成这样的格式，如下图解释：

命令下发完后，就可以输入想要发送的数据了，如图：

手机端接受到的信息，如图：

可见手机和WIFI模块可以正常相互通信了，接下来的博客，我想学习完成一个：让单片机采集数据然后上传给手机进行显示，学习是无止境的，

https://github.com/aui/tmodjs

PHP使用正则表达式提取字符串中尖括号<>、小括号()、中括号[]、大括号{}中的字符示例,需要的朋友可以参考下

$str="你好<我>(爱)[北京]{天安门}";
echo f1($str); //返回你好
echo f2($str); //返回我
echo f3($str); //返回爱
echo f4($str); //返回北京
echo f5($str); //返回天安门
function f1($str)
{
$result = array();
preg_match_all("/^(.*)(?:<)/i",$str, $result);
return $result[1][0];
}
 
function f2($str)
{
$result = array();
preg_match_all("/(?:<)(.*)(?:>)/i",$str, $result);
return $result[1][0];
}
function f3($str)
{
$result = array();
preg_match_all("/(?:\()(.*)(?:\))/i",$str, $result);
return $result[1][0];
}
function f4($str)
{
$result = array();
preg_match_all("/(?:\[)(.*)(?:\])/i",$str, $result);
return $result[1][0];
}
function f5($str)
{
$result = array();
preg_match_all("/(?:\{)(.*)(?:\})/i",$str, $result);
return $result[1][0];
}

1. postman介绍与安装

2. http请求与http响应

3. 发送第一个api请求

4. postman的常见断言

5. postman的鉴权

6. restful API

7. postman的变量

8. collection

9. 从命令行运行postman脚本及生成测试报告

1. 东王
2. 西兆通
3. 十里铺 金马小区附近
4. 南村 白佛 南王
5. 二十里铺
6. 东王 金马小区附近
7. 西兆通
8. 十里铺
9. 南村 白佛 南王 金马小区附近
10. 二十里铺

振头集 每逢二、七 现在搬到槐安路与时光街交叉口西边了
东五里集 每逢二、七
于底集 每逢三、八
东王集 每逢一、六
尖岭集 每逢二、七
南王集 每逢四、九
塔中集 每逢三、八
白佛村集 每逢四、九
二十里铺集 每逢五、十
赵陵铺集 每逢五、十
西三庄集 每逢四、九天山海世界往南走，一直走到头，就是集市，时间是阴历逢五、十
金马小区附近的市场在槐安路与国际大道交叉口 时间是阴历的3、6、9都有 位于长兴街中段，大学北墙那一带，时间是阴历逢五逢十
集市的时间都是阴历集市的地址：走到村里就知道了各个城中村应该都有集，每五天一个集。
石家庄的几个大的集市：
石家庄西南方向的有：五里庄、西岗头都是逢2、7的集，永壁逢1、6的集，铜冶逢4、9的集，

石家庄的早市，夜市，集市：
红旗大街与新石北路交叉口处由早市！
红旗大街与新石中路交叉口处有夜市！（是师大西校区附近）
建设南大街有早市！
东购处边福星搁前边有夜市！

石家庄市周边县城乡镇赶集时间：
西三庄 农历逢四、九为集
赵陵铺 农历逢五、十为集
振头 农历逢二、七为集
于底 农历逢三、八为集
大西帐 农历逢二、七为集
小西帐 农历逢五、十为集
==================================================================

石家庄市区
西三庄  农历逢四、九为集       庙会为正月二十三至二十六
赵陵铺  农历逢五、十为集
振头    农历逢二、七为集
于底    农历逢三、八为集

束鹿县
旧城     辛集镇东北18.9公里   农历双日为集
新城    辛集镇东南10公里     农历逢五、十集    庙会：农历三月十五至十九日
位伯     辛集镇北13．8公里    农历逢五、十集
南智丘   辛集镇南17．4公里    农历三、八集
张古庄  辛集镇东北18公里     农历一、六集  庙会：农历十一月五日至十一日
范家庄   辛集镇东北9．4公里   农历二、七集
新垒头   辛集镇北7．4公里
和睦井   辛集镇东11．1公里  农历一、六集  庙会：农历四月初八至十二日
木丘      辛集镇西南9公里    农历二、七集
孟家庄    辛集镇东南23．8公里    农历四、九集
中里厢   辛集镇东北22．5公里    农历四、九集
王口     辛集镇南偏东27．9公里 农历逢五、十集  庙会：农历七月十五至十九日
杜林     辛集镇东北21公里    农历二、七集
王山口   辛集镇北22．8公里   农历三、八集
小章     辛集镇北23．4公里   农历逢五、十集
西王封   辛集镇东北15公里   庙会：农历正月初六至二十一日

晋县
晋县城关  石家庄市东50公里  农历二、七、四、九集   庙会：九日初九至十月初四日
总十庄    县城南21公里   农历四、九集
小樵      县城东9．5公里   农历一、六集
周头      县城南14公里   农历逢五、十集
槐树      县城北6公里   农历二、七集
东里庄    县城东南12公里   农历一、六集
东卓宿    县城东北9．5公里   农历三、八集
营里      县城东南27公里   农历逢五、十集
马于       县城东南10公里   有集
周家庄    县城东4公里   有集
侯城      县城东北9．5公里   有集
赵魏      县城西南4公里  唐宰相魏征故里
相邱      县城北偏东6公里   北齐宰相魏收卒葬地
管洽      县城北IO公里   有集
田村      县城东北14公里   有集
祁底      县城北9公里   有集
大尚村    县城南25公里   有集
平乡      县城东南23公里   有集
南捏盘    县城东南8．5公里   有集

深泽县
深泽城关   石家庄市东北76公里   农历二、七集
庙会：四月二十七至五月初二日、农历九月二十七至十月初二日
铁杆      县城东南15公里   农历三、八集   庙会：农历九月二十八至十月初三日
西固罗    县城北偏东10公里   农历三、八集
西河      县城东南6公里   农历一、六集
北赵八    县城西4公里   农历四、九集
宋家庄     县城北偏东7．5公里   抗日战争时期宋家庄战斗发生地

无极县
无极城关    石家庄市东北54公里 农历一、六集
庙会：农历四月十一至十六日、五月十六至二十一日、十月十一至十六日
郭庄      县城西北10公里   农历三、八集   庙会：农历十一月初八至十三日
北苏       县城西14公里   农历逢五、十集   庙会：农历四月二十五至三十日
张段固     县城西南5．5公里   农历逢五、十集
大陈      县城东北9公里   农历一、六集
南流       县城东北11．5公里   农历三、八集
中郝庄     县城西南16公里   农历三、八集
高头      县城西南10．5公里   农历二、七集
七汲      县城东6公里   农历四、九集
谈下      县城西南15公里   农历四，九集
东汉      县城东8公里   农历二、七集   庙会时间：清明节
东丈      县城西北11公里   农历二、七集
东河流    县城东南5．5公里   农历四、九集
西两河    县城南8．5公里   农历三、八集

藁城县
藁城城关    石家庄市东35公里 农历一、六、四、九集
庙会：农历四月二十八至五月初一日、五月十五至十九日、九月十四至十九日
丘头      县城西南15公里   有集
赵庄      县城西北20公里   农历一、六集   庙会：农历十月十一至十六日
南孟     县城北偏西25公里 农历二、七集   庙会：农历四月十七至二十一日
贾市庄    县城东南25公里   农历三、八集
梅花     县城南20公里   农历二、七集
南董     县城西北10公里   农历三、八集   庙会：农历十日二十三至二十八日
岗上     县城西13．5公里   农历一、六集
丽阳     县城西南12．5公里 农历逢五、十集
小果庄   县城西北28．5公里   农历逢五、十集   庙会：农历十月初三至十八日
耿村     县城东偏南13公里 农历一、六集
倪家庄    县城东南10公里   农历逢五、十集    唐 倪若水故里
尚书庄   县城西偏北3公里    明 张子麟故里
马庄     县城西南13公里   有集
小常安   县城东南10．5公里 有集
黄庄     县城西北18公里   有集   庙会：农历七月初七至十二日
张村     县城东10．5公里   有集
角中     县城东南7．5公里   有集
故献     县城西9公里   有集
贤庄     县城西北13公里   有集
九门     县城西北12公里   有集
只都     县城西北20公里   有集
前西关   县城北35公里   有集
大慈邑   县城西北24公里   有集

赵县
赵县城关  石家庄市东南45公里   农历一、六、四、九集
庙会：农历二月十六至二十一日、四月二十六日至五月初一日、九月初六至十一日
沙河店   县城南10公里   农历逢五、十集
范庄     县城东20公里   农历逢五、十集
韩村     县城东北7．5公里   农历三、八集   庙会：农历十月二十四至三十日
大石桥   县城南2．5公里   农历二、七集   庙会：农历二月初一至五日
各子     县城东北15公里   农历一、六集
大夫庄   县城东25公里   农历三、八集
杨家郭   县城东南8公里   农历三、八集
新寨店   县城西北9公里   农历一、六集
西封斯   县城西南15公里   农历一、六集
杨扈     县城东南18公里   农历二、七集
双庙      县城北10公里   农历三、八集
沟岸     县城西偏北15公里 农历三、八集
四德     县城东北15公里   农历逢五十集

使用的电脑都是win10系统，想装个专业的扫描工具(类似于Appscan、AWVS这类的)，死活绕不过win10的权限控制，明明我是超级管理员…..所以就百度了一下，找到了这种另类的扫描方式，仅适用于SQL注入。

Burpsuite，这是一个可用于攻击Web应用程序的集成平台。SQLmap，这是一个较为著名的自动化SQL注入神器。两个安装包均可在官网下载，由于BurpSuite需要java环境，sqlmap需要Python环境(这里我就想吐槽了，为什么sqlmap没有扫描功能，明明是Python写的，爬虫强悍的一门语言…可能是我没找到sqlmap的扫描功能，哪位大佬知道可在留言区指导一下)、所以使用之前需配置好环境变量等，具体做法可百度。

1、记录Proxy的log，选择log路径

2、关掉拦截

3、设置浏览器代理、保持与Burpsuite一致

4、对网站发请求（直接点说，就是到处点，点，点….╮(╯▽╰)╭）

5、使用sqlmap对log进行测试

python sqlmap.py -l D:\log\log1.txt –batch

_____PS:加batch是为能自动选择Yes

6、扫描的结果会出现在C:\Users\紫川\.sqlmap\output下（这是我的电脑路径，通用的是C:\Users\Administrator\.sqlmap\output\）

扫描结果如下：

由于扫的是自家的网站，还是部分，所以没扫出注入点。如果有可能的注入点，Place一栏中是GET或者POST。

PS：个人觉得这个技能有点鸡肋，还是正经看看网络协议，看看数据库可能会好一些吧。因为不可描述的原因，国内安全测试的资料太少，也没几个人愿意教(也可能是我还没遇到吧…╮(╯▽╰)╭)

https://gitee.com/mirrors/safenet-mysql/

1. 信息系统安全和安全体系

   1. 信息安全需求分析

      1. 可能面临的安全威胁

         1. 物理安全风险
         2. 数据安全风险
         3. 网络安全风险
         4. 业务中断风险

      2. 可能存在的安全问题

         1. 信息网络系统建设规划上的不完善
         2. 技术与设计上的不完善
         3. 网络互联方面的风险
         4. 安全管理方面的问题

   2. 信息安全的体系架构

      1. 信息安全的总体架构

         1. 

      2. 如何构建信息安全的技术体系

         1. 物理安全

         2. 系统平台安全

            1. 加强主机操作系统、数据库系统的账户与口令管理
            2. 要建立操作系统、数据库和应用系统的相关应用和端口的对应关系，关闭主机系统上与应用服务无关的端口
            3. 企业应用系统对不间断运行的要求较高，如果采用打补丁的方式进行加固，风险大，工作量大，即便是表面看起来很普通的补丁也可能造成整个系统瘫痪.
               1. 打补丁的最佳时机是在应用系统上线投产前的安装调试阶段
               2. ；应用上线后，尽量不要采用打补丁加固的方法，如果确实要打补丁，事先要经过严格的测试并做好数据备份和回退措施。
            4. 如果系统平台中存在较大安全漏洞而无法打补丁加固时，可利用安全保护措施的互补性，在网络边界处采取合适安全保护措施，并加强对主机系统的审计与管理，以弥补该问题遗留的安全隐患。
            5. 对于企业外公司开发的应用系统，如需要开发公司工程师远程登入查找故障，应贯彻最小授权原则，开放的账户只能给予满足要求的最少权限，并对远程登入时间、操作完成时间、操作事项进行记录，及时关闭开放的用户；有条件的，可打开系统平台自带的审计工具，或配备第三方的监控、审计和身份认证工具

         3. 网络安全。

            1. 计算机网络边界的保护强度与其内部网中的数据、应用的重要程度紧密相关，网络安全等级应根据结点的网络规模、数据重要性和应用重要性进行划分并动态调整。
            2. 可以根据不同数据和应用的安全等级，以及相互之间的访问关系，将内部网络划分为不同的区域，建立以防火墙为核心的边界防护体系。
            3. 项目规划阶段就要考虑防火墙、漏洞扫描、入侵检测和防病毒等各安全产品之间的互相协作关系，以实现动态防护。

         4. 应用安全

            1. 建立统一的密码基础设施，保证在此统一的基础上实现各项安全技术
            2. 实施合适的安全技术，如身份鉴别、访问控制、审计、数据保密性与完整性保护、备份与恢复等
            3. 根据企业应用系统的特点，抽象出应用系统的基本模式，然后建立相应的安全模型，并统一设计同类应用系统的安全功能的实现方法
            4. 根据应用系统模式及其传输的业务数据的重要性，为应用系统划分安全等级，针对不同安全等级的应用系统实施不同强度的安全保护功能。

      3. 如何构建企业信息安全的管理体系

         1. 加强全过程安全管理。

            1. ①在信息网的规划阶段就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力和财力，由于无论管理工作还是技术建设工作都不可能一步到位，因此要根据企业状况实事求是地确定信息网的安全总体目标和阶段目标，分阶段实施，降低投资风险。
               ②在工程建设阶段，建设管理单位要将安全需求的汇总和安全性能、功能的测试列入工程建设各个阶段工作的重要内容，要加强对开发（实施）人员、开发过程中的资料（尤其是涉及各种加密算法的资料)、版本控制的管理，要加强对开发环境、用户和路由设置、关键代码的检查。
               ③在运行维护阶段，要注意以下事项：
               1. 建立有效的安全管理组织架构，明确职责，理顺流程，实施高效的管理。领导重视是做好信息安全工作的关键，人员落实是做好信息安全工作的保障。
               2. 制订完善的安全管理制度，加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。
               3. 要建立应急预案体系，保证业务不间断运行，如主机应急预案、业务应急预案、网络应急预案、灾备系统等。
               4. 信息中心要加强对物理场所的安全管理，包括机房人员出入管理、营业场所出入管理、机房物理安全管理、消防安全管理等。
               5. 加强安全技术和管理培训。针对已发生的犯罪大多是内部人员或内外勾结犯罪的情况，要加强对内部人员的管理（包括技术人员和营业人员）和教育，让相关人员知法懂法。
               6. 加强执行力度和违规行为的处罚力度。根据以往教训，往往是有章不循而且连续儿个环节都没有遵守规章制度，才让犯罪分子有机可乘。

            2. 建立动态的闭环管理流程。

               1. ，通过安全评估和检测工具(如漏洞扫描、入侵检测等）及时了解信息网存在的安全问题和安全隐患，据此制订安全建设规划和安全加固方案，综合应用各种安全防护产品（如防火墙、防病毒、身份认证、审计等手段)，将系统调整到相对安全的状态。
                  1. • 对于一个企业而言，由于安全策略是信息安全体系的核心，因此制订明确、有效的安全策略是非常重要的。企业安全组织要根据这个策略制订详细的流程、规章制度、标准和安全建设规划、方案，保证这一系列策略规范在整个企业范围内贯彻实施，从而保护企业的投资和信息资源安全。
                     • 要制订完善的、符合企业实际的信息安全策略，就必须先对企业信息网的安全状况进行评估。安全评估是指对信息资产的安全技术和管理现状进行评估，让企业对自身面临的安全威胁和问题有全面的了解，从而制订有针对性的安全策. 略来指导信息安全的建设和管理工作。

2. 信息系统安全风险评估
   信息系统主要存在两方面的安全风险：一是系统存在着脆弱性，就是我们常说的技
   术上的漏洞，可以被利用的漏洞；二是人为或自然的威胁，导致一些信息安全事件发生
   的可能性及其造成的影响，特别是负面影响

   1. 风险评估的意义和作用

      1. 风险评估是信息系统安全的基础性工作，它是观察过程中的一个持续的工作。
      2. 风险评估是分级防护和突出重点的具体体现。
      3. 加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。

   2. 信息安风险评估的基本要素

      信息安全风险评估的基本要素包括前面所说的资产、威胁、脆弱性、风险。其中，资产是指通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等

      1. 确认最关键的资产。
      2. 明确保护的资产、资产的位置，以及资产的重要性是安
         全风险分析的关键。
      3. 基于对关键资产的确认，系统管理员、操作者、安全专家对网络脆弱性进行
         评估，进行风险的识别。采取合适的方法、手段对信息资产的风险进行识别，这些方法、手段包括调查研究、理论分析、会议座谈、工具分析、历史情况分析、雇请工程师进行模拟渗透式攻击等方法，以便尽可能地暴露信息与网络系统的风险点。
      4. 风险的度量
         1. 对于能够量化的应尽可能地量化，对于不能量化的应进行形式化分析。

   3. 风险评估的途径

      1. 基线评估
         1. 组织可以根据以下资源来选择安全基线：
            ( 1 ) 国际标准和国家标准，例如BS 7799-1、ISO 13335-4；
            ( 2 ) 行业标准或推荐标准，例如，德国联邦安全局IT 基线保护手册；
            ( 3 ) 来自其他有类似商务目标和规模的组织的惯例。
            当然，如果环境和商务目标较为典型，组织也可以自行建立基线。
      2. 详细评估
         1. 详细评估的优点在于：
            ( 1 )组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；
            ( 2 ) 详细评估的结果可用来管理安全变化。
      3. 组合评估
         1. 基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估;详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。实践当中，组织多是采用二者结合的组合评估方式。

3. 信息安全策略

   1. 威胁分析和风险分析

      1. 。造成信息资产的风险的主要因素有三个：脆弱性、威胁和资产的危险程度（也就是重要性）
      2. 
      3. ( 1 ) 部分重要资产， 包括信息、系统、程序、人员、设备或工具等， 它们均不存
         在脆弱性和威胁；
         ( 2 ) 部分非重要资产，包括系统、程序，人员、设备或工具等，它们均没有已知
         威胁;
         ( 3 ) 威胁环境，不属于重要资产且不具有脆弱性；
         ( 4 ) 部分重要资产，具有已知脆弱性，但是不具有威胁；
         ( 5 ) 部分重要资产，具有已知脆弱性和威胁，这是最敏感的区域，也就是我们进
         行风险评估的重点；
         ( 6 ) 部分非重要资产，具有已知脆弱性和威胁；
         ( 7 ) 部分重要资产， 无已知脆弱性， 但是受到特定的威胁。

   2. 制订安全策略

      1. 组织的安全策略的主要内容应包括：
         • 组织拥有并且需要保护的信息资产；
         • 组织实施信息安全的组织架构、角色定义和人员责任；
         • 组织对内部和外部用户正确使用资源的期望方式；
         • 组织对信息资产的防护方针；
         • 组织针对安全事件的响应机制。
      2. 该安全策略通常来说，至少应具备以下几个特性：机密性、完整性、可用性、可确认性、保障性和可实施性。

   3. 制订详细计划实施安全策略

      1. 安全策略实施的整个过程将涉及目标组织各个层次上的多方面人员，包括高级管理层、关键业务部门、I T 部门、用户代表等。其中，获得高层管理层的支持与认可是安全策略得以顺利贯彻落实的关键。
         信息安全策略实施计划至少应该包含以下步骤：
         • 进行现场勘查，了解每个员工的信息系统的环境现状；
         • 与相关人员进行访谈，深入全面了解组织的业务需求，以及相应的安全需求；
         • 通过文档审査，了解组织当前的策略制订及部署情况；
         • 从最高层次到最低层次分级制订安全策略；
         通过与相关人员讨论，或者召开讨论会议等形式来完善每项安全策略；
         • 通过培训等多种途径，让组织的员工、顾客等获知并理解与其工作有关的安全策略；
         • 试实行安全策略时，既可以在整个组织范围内也可以在特定的部门内进行，其中包括购买必需的软硬件设备、雇用必需的员工以及安装和测试软硬件设备等;
         • 搜集、分析反馈意见，修订和调整安全策略；
         • 由管理层批复，发布正式版《安全策略实施指南》，其内容涵盖各种技术标准、规范和手册、关键的操作程序和管理方针、与信息安全相关的具体的管理制度等；
         根据《安全策略实施指南》，对组织的员工、顾客等进行安全策略方面的培训；
         • 长期执行并维护安全策略。

4. 密码技术

   1. 单钥密码体制

      1. DES (DataEncryption Standard,数据加密标准）算法。
      2. 其典型实例包括美国开发的DES、瑞士开发的IDEA ( 国际数据加密算法)，以及最近颁布的AES ( 高级加密标准）等

   2. 双钥密码体制

      1. 双钥密码体制的加密和解密采用不同密钥。发方利用收方的公开密钥加密密文，收方使用与公开密钥对应的秘密密钥解密密文。

   3. 混合密码体制

      1. 混合密码体制融合了对称密码体制和公钥密码体制的优点，如将RSA与DES结合构成的混合加密方法称为R S A数字信封

5. 访问控制

   1. 访问控制技术

      1. 强制法

         1. ，每个用户具有一个安全级，针对每个资源也有相应的安全系数，
            安全级集合是一个偏序集：也可以采用分类的方法，每个用户不仅有一个安全级，而且在同一级中还要受类别的控制。一般原则是用户有权读取其安全级以下的所有资源，也有权向其安全级以上的资源写入数据。

      2. 随意法

         1. 用访问矩阵指定每一个用户对每个资源的访问模式（读、写、
            执行等权限）。随意法灵活，但它不能控制信息流向。

      3. 角色判定法

         1. 是以用户访问某特定资源时的角色来决定其权限，具体办法是：
            为每一个资源对象建立一张访问控制列表，表明其对各种角色赋予的权限；也给每个用户赋予一个或几个预定的角色，这种方法具有前两种的特点和优点，而且更加安全和方便。

   2. 身份认证技术

      1. 基于令牌的身份验证
         1. 验证令牌为一次性口令机制，口令仅使用一次，在同一台主机上，用户不同时间所用的口令是不同的
      2. Kerberos
         1. Kerberos是一种由第三方进行的，基于保密密钥的身份认证算法。Kerberos作为被信赖的第三方分别与网络上的每一个主体（Server或Client) 共同持有一个保密密钥

   3. 网络安全访问控制

      1. 入网访问控制

         1. 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网

      2. 网络权限控制

         1. 。我们可以根据访问权限将用户分为以下几类：特殊用户（即系统管理员）;一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。

      3. 目录级安全控制

         1. 。对目录和文件的访问权限一般有8 种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限

      4. 属性安全控制

         1. 属性往往能控制以下几个方面的权限：向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享等。

      5. 服务器安全控制

6. 用户标识与认证

   1. PKI概述

      1. 公钥基础设施PKI (Public Key Infrastructure),是一种遵循既定标准的密钥管理平台，它能为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系
      2. 所有的P K I都应该具有以下两个基本操作。
         ( 1 ) 发放证书：将公开密钥与个人、组织或其他实体，以及类似于许可证或凭据的信息捆绑在一起。
         ( 2 ) 确认证书：判断一个证书是否可以被正确使用。

   2. 基于 X.509 的 PKI

      1. 认证机关CA:

         1. C A 是这样一个可信的机构，它对任何一个主体的公钥（即证书）进行公证，证明主体的身份，以及主体与公钥的匹配关系，并保证该公钥的可靠性、合法性和可用性

      2. 证书库

         1. 证书库是证书的集中存放地，它与网上“ 白页” 类似，是网上的一种公共
            信息库，用户可以从此处获得其他用户的证书和公钥。X.509 P K I建议采用支持LDAP’ 协议的目录系统构造证书库，用户或相关的应用通过LD A P来访问证书库。

      3. 密钥备份及恢复系统

         1. 如果用户丢失了用于脱密数据的密钥，则密文数据将无法被脱密，造成数据丢失

      4. 证书作废处理系统

         1. 证书作废处理系统是P K I的一个重要组件。同日常生活中的各种证件一样，证书在C A为其签署的有效期以内也可能需要作废。

      5. 客户端应用接口系统

         1. ：X.509PKI要求客户端应用接口系统，为各种应用提供跨平
            台、安全、一致、可信的与P K I交互的方式，同时要屏蔽密钥管理的细节。
      6. 以上各部分集成为一个系统，由相应的权威机构监督和管理，就是人们通常所说的“ 认证中心”、“ 证书服务中心” 或“ C A 中心” 等

   3. X. 509证书介绍

      1. X. 5 0 9身份证书
         1. 通常所说的“ 数字证书”、“ C A证书”、“ 数字标识” 多指的是X. 509身份证书
      2. X. 5 0 9凭据证书
         1. 凭据证书包括以下内容。
            ( 1 ) 凭据证书匹配规则。
            ( 2 )凭据证书内容，包括颁发者、算法标识符、证书序列号、证书有效期、属性列表和扩展域等。

   4. PKI证书的作用

      1. P K I证书可提供下列4 种重要的安全保证。
         ( 1 ) 机密性（Confidentiality)。文件可以用密钥加解密，以达到机密性。
         ( 2 ) 完整性（Integrity)。文件接收者通过数字签名核对可确保此文件的完整性。
         ( 3 ) 不可否认性（Non-repudiation)。因只有文件发送者知道自己的私有密钥，而
         且文件具有发送者的数字签名，使其无法否认发送的事实。
         ( 4 ) 鉴别（Authentication)。文件接收者可确认此文件的发送者身份。
      2. P K I技术是利用公钥理论和技术，以及传统加密技术建立的提供信息安全服务的基础设施，P K I系统中使用的主要加密算法为：DES, Triple DES, RSA等；主要签名算法为：MD5, SIIA 等。

   5. PMI 与PKI

      1. PMI ( Privilege Management Infrastructure) 即授权管理基础设施或特权管理基础设施，是属性证书、属性权威、属性证书库等部件的集合体。
      2. PM I的层次结构与P K I的层次结构类似，也是基于树状结构的。一般来说，其结构可分为三级：SOA中心、A A 中心、A A 代理点。
      3. 权限管理设施（PMI) 是一个通过颁发属性证书来提供灵活的权限管理的基
         础设施，它的建立独立于PKI，同时二者又存在着联系，P K I是P M I的基础，而PMI则是P K I的扩展及补充。

7. 安全审计与入侵检测

   1. 安全审计概述

      1. 安全审计，
         1. 相关的模型和指南包括：
            美国信息系统审计和控制协会的COBIT，德国的I T 基本安全保护手册，ISO 17799,以及美国审计总署的自动信息系统安全审计手册
      2. 包括内审和外审；
      3. 风险分析；
      4. 能力成熟模型；
         1. 最著名的是
            SSE-CMM系统安全工程能力成熟模型，其思想来源于卡内基梅隆的软件工程能力成熟模型（SW-CMM)
      5. 安全评测
         1. 安全测评更多地从安全技术、功能、机制角度来进行安全_ 量。
            早期的有美国国防部的橘皮书TCSEC，但它比较适用于对计算机，特别是操作系统进行安全度量，它对操作系统从C 1到A 1的等级划分到现在仍有着相当的影响力。

   2. 电子数据安全审计

      1. 审计技术
         1. 了解系统技术
            1. 审计人员通过查阅各种文件，如程序表、控制流程等来审计。
         2. 验证处理技术
            1. 事务选择
            2. 测试数据
            3. 并行仿真
         3. 验证处理结果技术
            1. 这种技术是指审计人员把重点放在数据上，而不是对数
               据的处理上
      2. 审计范围
         1. 在计算机系统中，审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
      3. 审计跟踪
         1. 通常审计跟踪与日志恢复可结合起来使用，但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作
      4. 审计流程
         1. 电子数据安全审计工作的流程是：收集来自核内和核外的事件，根据相应的审计条件，判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中

   3. 安全审计与入侵检测系统

      1. 

8. 信息系统安全的组织管理

   1. 设计原则与安全策略

      1. 设计原则

         1. 领导负责制原则
         2. 综合防范原则
         3. 动态管理原则
         4. 适度投资原则
         5. 以人为本原则
         6. 最小特权原则

      2. 安全策略

   2. 安全设计

      1. 实物管理
      2. 网络管理
      3. 主机与系统管理
      4. 应用与数据管理

   3. 安全工程的实施

   4. 安全工程的监理

   5. 安全教育

   6. 安全管理制度

   7. 信息安全管理的国际标准

9. 信息系统安全工程

   1. 信息系统安全工程概述

      1. 系统工程
      2. ISSE过程
      3. ISSE过程与其他过程的关系

   2. 基于能力成熟度模型（SSE-CMM) 的方法

   3. SSE-CMM 体系结构

   4. SSE-CMM的过程能力水平

   5. SSE-CMM 的应用

   6. SSE-CMM的应用前景

   7. ISSE方法概述

   8. ISSE体系结构

1. 信息系统项目整体绩效评估原则

   1. 绩效评估概述

      1. 绩效评估的类型

         1. 岗位绩效评估

            1. 岗位绩效评估，主要是针对企业员工岗位工作的绩效进行评估，它是人力资源管理的重要内容

         2. 企业绩效评估

            1. 企业绩效评估，主要是企业的母公司、上级主管机构，或是企业董事会对企业经营管理层绩效的考核

         3. 项目绩效评估

            1. 项目绩效评估，有两种情况，一种是业主（甲方）对项目的承包方（乙方）进行的考核和评价；
            2. 另一种是由第三方（一般是工程咨询中介机构）对项目本身的投资建设，以及投产以后的效益情况进行预测、分析和评价

      2. 项目绩效评估的作用

         1. 项目跟踪评价

            1. 项目跟踪评价也称“中间评价” 或“实施过程评价”，是指从项目开工以后到项目竣工验收之前对任何一个时点所进行的评价，应由独立机构进行，侧重于项目整体绩效的评价

         2. 项目实施效果评价

            1. 项目实施效果评价，即常说的项目后评价
            2. 。评价主要针对项目整体层次和决策管理层次的问题，主要目
               的是检查确定项目效益，总结经验教训，为新项目的宏观导向、政策和管理反馈信息；同时，也为完善已建项目，调整在建项目和指导待建项目服务。

         3. 项目效益监督评价

            1. 项目效益监督评价，是指在项目后评价报告完成一定时间之后所进行的评价

   2. 项目绩效评估的基本内容

      1. 项目目标评价

         1. 项目前评估采用的是预测值,项目后评价则对已发生的财务现金流量和经济流量采用实际值，并按统计学原理加以处理，对后评价时点以后的流量做出新的预测。
         2. 当财务现金流量来自财务报表时，对应收而未实际收到的债权和非货币资金都不可计为现金流入，只有当实际收到时才作为现金流入；同理，应付而实际未付的债务资金不能计为现金流出，只有当实际支付时才作为现金流出。必要时，要对实际财务数
         3. 实际发生的财务会计数据都含有物价通货膨胀的因素，而通常采用的赢利能力指标是不含通货膨胀因素的。因此，对项目后评价采用的财务数据要剔除物价上涨的因素，以实现前后数据的一致性和可比性。

      2. 项目影响评价

         1. 经济影响评价

            1. 项目的经济影响评价主要分析评价项目对所在地区、所属行
               业和国家所产生的经济方面的影响

         2. 环境影响评价

            1. 项目的环境影响评价一般包括项目的污染控制、地区环境质量、自然资源利用和保护、区域生态平衡和环境管理等几个方面

         3. 社会影响评价

            1. 项目运行后，能否与有关单位做到互联互通，能否做到资源共享等。

      3. 项目持续性评价

         1. 持续性评价一般可作为项目影响评价的一部分，影响因素一般包括：政府的政策，管理、组织和对外关系，财务因素，技术因素，社会文化因素，环境和生态因素，外部因素等。

   3. 项目绩效评估的原则

      1. 公正性原则
      2. 客观性原则
      3. 独立性原则
      4. 可信性原则
      5. 参与性原则
      6. 透明性原则
      7. 实用性原则
      8. 反馈性原则
      9. 合法性原则
      10. 时效性原则

2. 整体绩效评估方法

   1. 信息系统项目绩效评估概述

      1. 项目绩效评估方法

      2. 项目绩效评估的概念

         1. ，一般可分为三
            种类型，即定性评价方法、
         2. 定量评价方法
         3. 定性定量相结合评价方法

   2. 项目经济效益评价方法

      1. 几个有关的概念

         1. 资金的时间价值
         2. 利息和利率
         3. 折现与折现率
         4. 现值

      2. 投资回收期法

         1. 静态投资回收期
         2. 动态投资回收期法。
         3. 现值法
            1. )费用现值。
            2. 净现值、净现值率。
            3. 内部收益率法。

   3. 项目效率评价法

      1. 投资收益率

         1. 投资收益率是指项目在正常生产年份的净收益与投资总额的比值
         2. 
         3. R— 投资收益率；
            NB— 正常生产年份或者年平均净收益，根据不同的分析目的， 可以是利润，
            可以是利润税金总额，也可以是年净现金流入等；
            I—投资总额
         4. 
         5. 

      2. 效益-费用比

         1. 效益-费用比（B-C比）=净效益（现值或年值) /净费用（现值或年值）

   4. 综合指标方法

      1. 多指标综合法的概念

      2. 多指标综合法评价模型

         1. 
         2. 式中：Z P 综合评价分值；
            P i 第i个指标的评价分值；
            Wi 第i个类别指标的权重值；
            n—评价指标的个数。

      3. 多指标综合法四要素

         1. 四个构成要素：指标体系的建立、指标的标准值的选取、指标的权
            重的确定和指标值无量纲处理。

3. 财务绩效评估

   1. 财务绩效评估概述

      1. 财务绩效评估是从企业的角度对信息系统项目的绩效进行经济分析，评估项目的赢利能力和借款偿还能力，以及抗风险能力

   2. 财务绩效评估的特点

      1. 动态性
      2. 预测性
      3. 全过程性
      4. 可比性

   3. 财务绩效评估的基础数据表

      1. 现金流量表

         1. 销售收入
         2. 资产回收
         3. 固定资产投资
         4. 经营成本
         5. 销售税金及附加

      2. 损益表

      3. 借款偿还表

         1. (1 )等额利息法
         2. ( 2 )等额本金法：每期还相等的本金和相应的利息。
            ( 3 )等额摊还法：每期偿还的本利额相等。
            (4) 一次性偿付法：最后一期偿还本利。
            ( 5 )任意法：期中任意偿还本利，到期末全部还清

      4. 资产负债表

   4. 财务分析

      1. 财务羸利性分析

         1. 财务内部收益率（IRR)。

         2. 投资回收期

            1. 
            2. 判据：当Tp<Tc时，应认为项目在财务上是可以考虑接受的；其中TC为基准回收期

         3. 财务净现值（NPV)和净现值率（NPVR).

            1. 

         4. 投资利润率。

            1. 其计算公式为：
               投资利润率= (年利润总额或年均利润总额/总投资）xlOO%
               式中：
               年利润总额=年产品销售收入-年总成本-年销售税金-年技术转让费-
               年资源税-年营业外净支出
               总投资=固定资产投资（不包括生产期更新改造投资）+建设期利息+流动资金

         5. 投资利税率。

            1. 其计算公式为
               投资利税率= (年利税总额或平均利税总额/总投资）xlOO%
               其中：年利税总额=年产品销售收入-年总成本-年技术转让费-年营业外净支出

      2. 清偿能力分析

         1. 借款偿还期。

            1. 
            2. 

         2. 资产负债比率

            1. 资产负债比率=负债总额/资产总额
            2. 资产负债比率反映企业总体偿债能力。这一比率越低，则偿债能力越强。

         3. 流动比率。

            1. 流动比率反映企业在短期内偿还债务的能力。该比率越高，则偿还短期负债的能力越强
            2. 流动比率=流动资产总额/流动负债总额

         4. 速动比率。

            1. 速动比率反映企业在很短时间内偿还短期负债的能力。
            2. 速动比率=速动资产总额/流动负债总额
               式中：速动资产总额二流动资产-存货。

      3. 不确定性分析

         1. 盈亏平衡分析。

            1. 盈亏平衡点（BEP)通常根据正常生产年份的产品产量和销售量、变动成本、固定成本、产品价格和销售税金等数据的计算，用生产能力利用率或产量表示，其计算公式分别为
            2. 
            3. 如果项目有技术转让费、营业外净支出及资源税等，均应从分母中扣除。BEP值越小，表明项目适应市场变化的能力越大，抗风险能力越强。

         2. 敏感性分析。

            1. 技术
               1. 先进的技术是保证信息系统项目顺利运行的前提
            2. 资金
               1. 投资于信息系统项目的资金包括先期开发资金和后期维护所需资金
            3. 管理
               1. 。信息系统项目建成后，后期的运作是包括产、供、销、资金支付等所有方面的系统工程

   5. 主要评估参数的确定和选取

      1. 确定项目经济寿命期

         1. 项目建成投产后，主要生产设备的物理磨损因素
            1. 存在于物理寿命期，可根
               据目前政府已颁布的固定资产折旧条例和规定加以确定。
         2. 主要设备的无形损耗因素
            1. 存在于设备的经济寿命期，要从实际工作中考虑
               资产无形损耗因素对项目经济寿命期的影响。
         3. 产品市场寿命期
            1. 产品市场寿命期又称为产品的市场需求期，当市场对于项目生产的产品没有需求时，项目不得不停止生产而投产经营其他市场需求较多的产品。