强制访问控制的优缺点
3100604017
信息安全1001
段惠文
自主访问控制(DAC)是一个接入控制服务,它执行基于系统实体身份和它们的到系统资源的接入授权。这包括在文件,文件夹和共享资源中设置许可。
强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制(MAC)的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记,从而系统可以防止特洛伊木马的攻击。
强制访问控制一般与自主访问控制结合使用,并且实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制性访问限制检查后,才能访问某个客体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击,由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。
强制访问策略将每个用户及文件赋于一个访问级别,如,最高秘密级(Top Secret),秘密级(Secret),机密级(Confidential)及无级别级(Unclassified)。其级别为T>S>C>U,系统根据主体和客体的敏感标记来决定访问模式。访问模式包括:
下读(read down):用户级别大于文件级别的读操作;
上写(Write up):用户级别小于文件级别的写操作;
下写(Write down):用户级别等于文件级别的写操作;
上读(read up):用户级别小于文件级别的读操作;
依据Bell-Lapadula安全模型所制定的原则是利用不上读/不下写来保证数据的保密性。即不允许低信任级别的用户读高敏感度的信息,也不允许高敏感度的信息写入低敏感度区域,禁止信息从高级别流向低级别。强制访问控制通过这种梯度安全标签实现信息的单向流通。
依据Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性。在实际应用中,完整性保护主要是为了避免应用程序修改某些重要的系统程序或系统数据库。
MAC通常用于多级安全军事系统。
强制访问控制对专用的或简单的系统是有效的,但对通用、大型系统并不那么有效。一般强制访问控制采用以下几种方法:
(1)限制访问控制。
一个持洛伊木马可以攻破任何形式的自主访问控制,由于自主控制方式允许用户程序来修改他拥有文件的存取控制表,因而为非法者带来可乘
之机。MAC可以不提供这一方便,在这类系统中,用户要修改存取控制
表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输
入的信息,而不是靠另一个程序提供的信息来修改存取控制信息。
(2)过程控制
在通常的计算机系统中,只要系统允许用户自己编程,就没办法杜绝特洛伊木马。但可以对其过程采取某些措施,这种方法称为过程控制。例如,警告用户不要运行系统目录以外的任何程序。提醒用户注意,如果偶然调用一个其它目录的文件时,不要做任何动作,等等。需要说明的一点是,这些限制取决于用户本身执行与否。(3)系统限制
要对系统的功能实施一些限制。比如,限制共享文件,但共享文件是计算机系统的优点,所以是不可能加以完全限制的。再者,就是限制用户编程。
不过这种做法只适用于某些专用系统。在大型的,通用系统中,编程能力是不可能去除的。
访问控制 在计算机系统中,认证、访问控制和审计共同建立了保护系统安全的基础。认证是用户进入系统的第一道防线,访问控制是鉴别用户的合法身份后,控制用户对数据信息的访问。访问控制是在身份认证的基础上,依据授权对提出请求的资源访问请求加以控制。访问控制是一种安全手段,既能够控制用户和其他系统和资源进行通信和交互,也能保证系统和资源未经授权的访问,并为成功认证的用户授权不同的访问等级。 访问控制包含的范围很广,它涵盖了几种不同的机制,因为访问控制是防范计算机系统和资源被未授权访问的第一道防线,具有重要地位。提示用户输入用户名和密码才能使用该计算机的过程是基本的访问控制形式。一旦用户登录之后需要访问文件时,文件应该有一个包含能够访问它的用户和组的列表。不在这个表上的用户,访问将会遭到拒绝。用户的访问权限主要基于其身份和访问等级,访问控制给予组织控制、限制、监控以及保护资源的可用性、完整性和机密性的能力。 访问控制模型是一种从访问控制的角度出发,描述安全系统并建立安全模型的方法。主要描述了主体访问客体的一种框架,通过访问控制技术和安全机制来实现模型的规则和目标。可信计算机系统评估准则(TCSEC)提出了访问控制在计算机安全系统中的重要作用,TCSEC要达到的一个主要目标就是阻止非授权用户对敏感信息的访问。访问控制在准则中被分为两类:自主访问控制(Discretionary
Access Control,DAC)和强制访问控制(Mandatory Access Control,MAC)。近几年基于角色的访问控制(Role-based Access Control,RBAC)技术正得到广泛的研究与应用。 访问控制模型分类 自主访问控制 自主访问控制(DAC),又称任意访问控制,是根据自主访问控制策略建立的一种模型。允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。某些用户还可以自主地把自己拥有的客体的访问权限授予其他用户。在实现上,首先要对用户的身份进行鉴别,然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客体的资源,主题控制权限的通常由特权用户或特权用户(管理员)组实现。
浅论绩效考核中的强制分布法 强制分布法是根据正态分布原理,即俗称的“中间大、两头小”的分布规律,先确定好各等级在被评价员工总数所占的比例,然后按照每个员工绩效的优劣程度,强制列入其中的一定等级,再根据员工所在的不同等级进行赏罚。在国内外优秀企业里,执行强制分布法最有效的是美国的GE公司。GE前任首席执行官杰克韦尔奇凭借该规律,绘制出了著名的“活力曲线”。按照业绩以及潜力,将员工分成ABC三类,三类的比例为:A是优秀的占20%;B是不可或缺的占70%;C是垫底的占10%。对A类这20%的员工,韦尔奇采用的是“奖励奖励再奖励”的方法,提高工资、股票期权以及职务晋升。对于B类员工,也根据情况,确认其贡献,并提高工资。但是,对于C类员工,不仅没有奖励,还要从企业中淘汰出去。 集团从今年起将部门考核和员工考核分开由两个职能部门执行,体现了对员工考核的重视。通过聘请咨询公司,进行大量的调查研究,重新构建了集团的组织架构,并对各岗位设置详细的考核指标,解决了以前部分员工不知道怎样评价工作成绩和改进工作的疑惑。特别是对员工考核结果实施强制分布法,在员工中引起了较大的反响。通过一个季度的考核实施,却出现了大部分低绩效员工意见多、部分基层管理者自评低分、一些部门领导觉得考核难度较大的现象。是什么原因导致出现上述情况呢?我个人认为有以下3点: 1、集团在今年全面引入员工的绩效考核体系对员工的表现进行管理,由于公司的管理层以及人力资源部门对于绩效考核体系的运用还不够熟练,公司上下还没有形成正确的绩效管理习惯,管理者对于员工工作计划的制定,以及员工绩效考核指标的设定存在着一定的偏差,这样就导致了绩效考核的结果往往不能够较为准确的体现出员工的工作业绩表现。 2、在集团去年年底的竞聘中,大量的生产骨干和基层管理者被提拔到管理者或更高一级的管理岗位上。部分管理者资历较浅,对绩效管理工作的理解还不深入,对绩效考核技巧的掌握也还不成熟,不能对被考核人形成有效的把控,对下属放水的状况经常出现,从而无法对于被考核人形成有效指导和评价管理。另外,国人往往很“爱面子”、“重感情”,当管理者必须给自己的部下分出一个三六九等时,感情的因素可能会使大多数管理者感到为难,有的只好给自己评个低分来凑比例。 3、对于一些人数比较少的部门,因为人数太少(大多三四个人),工作量较大,考核标准定性多而定量少,月度内难以区分孰优孰劣,则可能出现“轮流坐庄”的现象。 要解决上述问题,可以从以下几方面着手: 1、营造以绩效为导向的企业文化 首先,集团要在内部营造出一种以绩效为导向的文化氛围。这种以绩效为导向的文化会影响到企业当中每个员工的行为,使员工个人的行为最终与企业的战略方向相一致。建立这种以绩效为导向的文化还能够牵引员工不断提高绩效、追求进步,最大限度发挥自己的潜能。在这种不断追求卓越的氛围中,强制分布法的推
绩效考核是否能强制分布 阿里巴巴上市是今年非常引人瞩目的一件事情,随着阿里巴巴的上市,员工队伍的快速扩张引发企业文化的稀释,成为阿里巴巴集团不得不面对的一个问题。“阿里巴巴的员工成倍增长不会稀释公司的企业文化。” 阿里巴巴集团资深副总裁邓康认为。这主要得益于阿里巴巴已形成的考核制度。在阿里巴巴,员工通过考核被分成三种:一、有业绩,但价值观不符合的,被称为“野狗”;二、事事老好人,但没有业绩的,被称为“小白兔”;三、有业绩,也有团队精神的,被称为“猎犬”。 在绩效考核中能否采用“强制分布”一直是业界争议不断的话题。中国人力资源开发网企业绩效管理现状调查显示,在被调查的企业中有54.90%的企业并没有在年底绩效考核中采用强制分布,也就是说有超过一半被调查企业并没有在绩效考核中采用强制分布。总体来说,只有45.10%的被调查企业在年底绩效考核中采用了强制分布,而这些企业的执行情况来看,其中33%的企业认为效果并不是很理想,只有12.10%采用了强制分布的被调查企业反映效果不错。 这一调查结果让人们普遍认为,在现阶段国内企业在考核时如果盲目采用强制分布并不一定能得到理想的效果,在此本人谈谈个人推进时的一些经验和感受。 本人就职于国内一家龙头乳品企业,曾负责事业部全员绩效管理标准化项目推进工作,对绩效管理工作感受较深。我公司采取的主要是KPI绩效管理模式,对主管级以下所有岗位全部实行了强制分布(硬性分布)。 我公司的绩效等级分布模型为优秀(A)、良好(B)、称职(C)、基本称职(D)、不称职(E)五个等级。优秀(A)代表员工对本岗位关键业绩指标的完成情况远远超出了上级期望目标;良好(B)代表员工对本岗位关键业绩指标顺利完成,且个别指标的完成超出了上级期望目标;称职(C)代表员工基本能完成本岗位关键业绩指标,各项指标的完成情况符合上级期望目标;基本称职(D)代表员工勉强能完成本岗位关键业绩指标,但个别关键指标完成情况与上级期望存在一定差距,需改进;不称职(E)代表员工对本岗位的关键业绩指标大部分无法完成或距离上级期望较大,影响部门整体绩效。分布比例为A(5%):B(20%):C(50%): D(20%):E(5%)。具体强制分布比例的依据主要是考虑公司员工数量、
浅谈强制访问控制(MAC) 【摘要】访问控制:安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。访问控制是为了限制访问主体(或成为发起者,是一个主动的实体:如用户、进程、服务等),对访问客体(需要保护的资源的)访问权限。从而使计算机系统在合法范围内合用访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。 访问控制分类:1)传统访问控制:自主访问控制DAC,强制访问控制MAC;2)新型访问控制:基于角色的访问控制RBAC,基于任务的访问控制TBAC……。本文主要谈论传统访问控制中的强制访问控制MAC。 【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型 引言 随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,给用户造成严重损失。 访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。 访问控制,作为提供信息安全保障的主要手段,及最为突出的安全机制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。其中,强制访问控制就在次方面有很重要的作用。 访问控制从实现的基本理念来分有以下两种: 1)强制访问控制(Mandatory access control) 2)自主访问控制(Discretionary access control) 本文主要谈论强制访问控制控制,包括其定义、原理及其分类。 一、强制访问控制
正确应用强制分布法 当越来越多的中国企业热衷于学习通用电气公司(GE)的成功经验,引入了强制分布考核法,却发现不但没有产生期待的功效,反而给企业管理带来了更多的问题。难道强制分布考核法不适合运用于中国企业?答案当然是否定的,应用强制分布考核法的效果好坏与否关键在于是否能够正确使用它。 不少人认为强制分布考核法的使用会在企业里带来恶性竞争,从而破坏团队精神,这给众多重视和谐团队的企业对使用强制分布法产生了怀疑。笔者认为这与企业是否正确应用此法有关:如果错误地使用强制分布法,确实会破坏团队精神;如果正确地应用它,强制分布法不但不会破坏团队精神,反而会促进团队合作。 下面,我们通过把错误做法与正确做法进行对比来介绍强制分布法的应用。 一、错误做法 假设某公司的考核与薪酬制度里有类似下面的两个规定: 1、考核后将部门员工分成A、B、C、D四类(即优秀、良好、中等和差四类),四类的分布比例是固定的。例如:不论部门业绩如何,部门内可以被评为A类的员工总是20%、B类总是为30%、C类总是30%、D类总是20%。 2、员工的绩效工资与个体绩效工资系数直接挂钩,即:员工绩效工资=标准绩效工资*个体绩效工资系数。
其中,标准绩效工资是指员工恰好完成工作目标时对应的绩效工资;个体绩效工资系数是指员工因其工作目标完成情况的不同,他获得的绩效工资应或高于或低于或等于其标准绩效工资,个体绩效工资系数及时用于调节这种关系的一个数值,例如:A类对应的标准绩效工资系数为1.4、B类为1.2、C类为1.0、D类为0.8。 在这种制度设计中,你发扬团队精神帮助人,被帮助的人将取得比没有你帮助时更好的成绩,而由于能成为A类或B类员工的比例是固定的,这将直接威胁到你能否被评为A类或B类员工。当然,你发扬团队精神可能会使部门取得更好的业绩,但由于员工的绩效工资是与个体绩效工资系数直接挂钩的,并不根据部门业绩的好坏而变动,你并不会从中受益。在这样一种环境下,发扬团队精神只会让当事人落入尴尬的境地,强制分布法自然会破坏团队精神。 二、正确做法 如果企业采用正确做法,强制分布法则不会破坏团队精神。为此笔者假设某公司的考核与薪酬制度里有类似下面的三个形式,并对此逐步分析和比较,论证企业通过巧妙的制度安排,强制分别法能有效地促进团队合作。 假设形式一:考核后将部门员工分成A、B、C、D四类,四类的比例与部门整体绩效紧密关联。 实现这种“紧密关联”有以下两种方法,比例固定法和非比例固定法。 1、比例固定法:指在部门绩效一定的情况下,员工分成A、B、
绩效考核结果的运用中,绩效结果的排序是最常遇到的问题。 在排序上,通常存在两种方式, 一是非强制分布,即根据绩效考核出来的分数直接进行员工排序,确定赏罚名单; 二是强制分布法,即考核结果的运用并不完全依据绩效考核得分进行,而是按照正态分布的规律,先确定好各等级在被评价员工总数所占的比例,然后按照每个员工绩效的优劣程度,强制列入其中的一定等级,再根据员工所在的不同等级进行赏罚。 在国内外优秀企业里,执行强制分布法最有效的应该是美国的GE公司。GE前任首席执行官杰克韦尔奇凭借该规律,绘制出了著名的“活力曲线”。 按照业绩以及潜力,将员工分成ABC三类,三类的比例为:A类20%;B类70%;C 类10%。 对A类这20%的员工,韦尔奇采用的是“奖励奖励再奖励”的方法,提高工资、股票期权以及职务晋升。 对于B类员工,也根据情况,确认其贡献,并提高工资。 但是,对于C类员工,不仅没有奖励,还要从企业中淘汰出去。 在实际工作中,两种分布方法都有使用的实例,但各有其优缺点。非强制分布法能够直接体现考核人对被考核人的评价的结果,有利于员工绩效的促进和反馈,但在绩效考核人不够强势和公平的情况下,也容易出现绩效结果集中偏高的问题,不利于高绩效员工的激励和公司总体薪酬成本的控制。强制分布法恰恰相反,强制分布的要求,有利于控制公司的总体薪酬成本,但往往也会被员工理解为公司强制把员工分为三六九等,而遭到抵制。那么究竟应该在什么情况下采用强制分布法呢?应该说,在合理的绩效管理体系下,如果每个考核人都能够公正公平合理的评价被考核人的绩效,考核结果都能够直观正确的反映被考核人的表现,强制分布法其实是完全没有必要采用的。
网上银行系统强制性访问控制要求及实现方法https://www.doczj.com/doc/db6844352.html, 2012-11-07 14:32来源:中国电子银行网字号:小| 大导语:《网上银行系统信息安全通用规范》是金融机构开展网上银行系统建设的规范性依据,同样是行业主管部门、评估检测机构进行检查、检测及认证的标准化依据。因此,深入理解规范要求,对各方加强信息安全建设有着重要的意义,本文主要介绍了《规范》中的强制访问控制概念及实现方法。 由中国人民银行组织编制的金融行业标准《网上银行系统信息安全通用规范》(JR/T 0068-2012)(以下简称《网银规范》)于2012年5月终于发布了正式版本。同之前的版本比较,变化较为明显。比如《网银规范》在主机安全和应用安全方面新增加了对强制访问控制的要求,笔者及团队在协助银行进行自检的过程中就碰到了行方对该项要求的一些疑惑。本文将介绍强制访问控制的一些概念及实现方法。先引用一下《网银规范》的要求项: “6.1.4.3 主机安全增强要求: c) 应对重要信息资源设置敏感标记。 d) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 6.1.4.4 应用安全增强要求: e) 应具有对重要信息资源设置敏感标记的功能。 f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。” 《网银规范》对主机、应用的强制访问控制要求为增强要求。按照规范,增强要求为该标准下发之日起的三年内应达到的安全要求。其实在《信息安全技术-信息系统安全等级保护基本要求》(GB/T22239-2008)三级信息系统的主机安全要求及应用安全要求中就有了对重要信息资源设置敏感标记,依据安全策略严格控制用户对有敏感标记重要信息资源操作的要求。 访问控制是信息安全防范和保护的主要策略,用于保证信息资源不被非法使用和访问。访问控制是软件安全模型最重要的组件之一,可分为自主访问控制和强制访问控制两大类访问控制措施。 在自主访问控制下,用户可以对其创建的文件、数据表等进行访问,并可自主地将访问权授予其他用户。此类操作系统在TCSEC中约等同于C2级或以上。在强制访问控制下,系统对需要保护的信息资源进行统一的强制性控制,按照预先设定的规则控制用户、进程等主体对信息资源的访问行为。此类操作系统在TCSEC中约等同于B1级或以上。
强制分布法如何运用更有效? 强制分布是指在绩效考核的过程中,先确定好绩效考核评价的等级和各个级别的比例分配,然后按照每个员工绩效的优劣程度,强制列入其中的某等级,再根据员工所在的等级进行绩效的奖励或是惩罚。以国内某上市公司为例,将绩效等级分布为优秀(A)、良好(B)、称职(C)、基本称职(D)、不称职(E)五个等级,分布比例为A(5%):B(20%):C(50%):D(20%):E(5%),同时,按照一定的规则奖励A和B级,淘汰E级。 应该说,绩效考核的强制分布有其显著的优势: 1)传递压力,创造竞争机制。 2)鉴别员工,便于人才的激励、使用、培养、储备与淘汰。 3)让各级管理人员重视下属的绩效管理,避免绩效考核中的随意性。 4)便于将考核结果运用到薪酬费用控制。 5)为判断“不能胜任工作”的员工提供依据。 但是,强制分布由于考核结果的惩罚性和过程监控的缺乏性,经常导致在实行的过程中给企业管理带来一系列问题: 1)破坏部门之间和部门内部的气氛,造成恶性竞争; 2)很难保证部门间的公平性。比如,甲部门的C类员工有可能实际上绩效优于乙部门的A类员工,如果还是按照统一的标准将各部门划分ABCDE等级, 就很有可能引起实际上的不公平现象; 3)在人数较少的部门,强制分布会成为管理的难题; 4)由于打分的片面性和主观性,成为打分人无奈和被打分人指责的矛盾所在; 5)经常是开始高调实行,最后变成走过场的“轮流坐庄”,而人力管理部门也束手无策; 客观说,绩效考核的强制分布有着它激励竞争性的一面,当然,也有着它影响内部团结的另一面。因此,如何在企业中对绩效考核强制分布进行权变使用,符合企业的实际情况,同时,绩效考核的配套措施是否完善完整,消除其不利因素,起到正面激励作用,是一个值得深入探讨的话题。 笔者给某电力公司做绩效考核项目,为其设计了绩效考核的强制分布,则注重于强制分布前期的准备和铺垫,以及后期的配套措施的完善与跟进,为最后一个环节绩效的强制分布创造了一个良好的环境,取得较好的效果。以下就具体的绩效考核强制分布运用过程进行说明。
浅谈访问控制策略 身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。 在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。 其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA 系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。 访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
如何有效使用“强制正态分布法”? “强制正态分布法”大多为企业在评估绩效结果时所采用。该方法就是按事物的“两头小、中间大”的正态分布规律,先确定好各等级在被评价员工总数所占的比例,然后按照每个员工绩效的优劣程度,强制列入其中的一定等级。GE前任首席执行官杰克·韦尔奇凭借该规律,绘制出了著名的“活力曲线”。按照业绩以及潜力,将员工分成ABC三类,三类的比例为: A类:20%;B类:70%;C类:10% 。 对A类这20%的员工,韦尔奇采用的是“奖励奖励再奖励”的方法,提高工资、股票期权以及职务晋升。A类员工所得到的奖励,可以达到B类的两至三倍;对于B类员工,也根据情况,确认其贡献,并提高工资。但是,对于C类员工,不仅没有奖励,还要从企业中淘汰出去。综观“强制分布法”,具有如下优点:一、等级清晰、操作简便 等级划分清晰,不同的等级赋予不同的含义,区别显着;并且,只需要确定各层级比例,简单计算即可得出结果。 二、刺激性强 “强制分布法”常常与员工的奖惩联系在一起。对绩效“优秀”的重奖,绩效“较差”的重罚,强烈的正负激励同时运用,给人以强烈刺激。
三、强制区分 由于必须在员工中按比例区分出等级,会有效避免评估中过严或过松等一边倒的现象。 随着杰克·韦尔奇和他的GE成功,“强制分布法”得到了国内外越来越多企业的青睐。许多大企业纷纷采用此方法,按照不同的绩效等级,对员工进行奖惩。在实践中,一些企业也如GE一样取得了成效,但同时,也有为数不少的企业,尝到了失败的苦涩。 珠三角有一家音响器材厂,老板禀性敦厚,原本生意不错。为了使公司管理走向正规,开始了轰轰烈烈的考核。他们采用“强制分布法”,将考核结果分为四级,分别是:优异10%;优秀10%;一般75%;较差5% 。对考核“优异”的员工,工资上调20%;考核“优秀”的员工,工资上调5%;对考核“一般”的员工,不长工资,根据当月效益,给予一定的奖金(优异和优秀的员工也可同样获得);对考核“较差”的员工,无任何奖励,并且限期改善绩效,否则只能淘汰。没有想到,考核开始了,该老板的烦恼也开始了。该老板遇到的问题有如下几个:一、团队合力问题 排在“优异”的毕竟只有10%,排名“优秀”的员工对此颇有微词。有的甚至距“优异”只差个小数点,但最后得到的奖励却相距甚远。并且,绩效“一般”的员工更不平衡,奖励都让你们拿了,工作也由你们干好了。大家开始出工不出力。排名“优异”的员工受到排挤,情绪也开始消沉起来。 二、分数的公正性问题 有的部门,整体员工素质与绩效都很不错,部门内评价“一般”的,也许到部门
绩效考核中的“强制分布法” 实施绩效考核的组织都把绩效考核结果当作调整薪酬和晋升决策的依据,所以绩效考核结果的合理分布就显得比较重要。很多组织都希望绩效考核结果要满足正态分布,或者说要合理拉开距离。然而在实际考核中,结果往往令人失望,要不就是密集分布在高位区,要不就是集中在中间地带,即形成考核中常见的“趋中效应”。于是,强制分布法就成为很多组织为实现绩效考核结果合理分布的常用办法。 考核结果的修正和调整 强制分布法的核心思想,就是通过对考核结果进行修正和调整,来实现考核结果满足预先设定的等级分布。 这种方法对于某些考核者来讲是一个不太容易被接受的方法,因为自己给出的考核结果要按照比例进行修正,而不是其最初的考核结果,在他们看来,经过强制分布后的考核结果是失真的。对于另外一些考核者来讲,觉得对下属按照等级进行分类是比较困难的事情,尤其是当他知道处于等级较低者将可能由此降低薪酬或者被降级甚至被淘汰时。对于掌管较少下属的管理者来讲,实施强制分布法尤为困难。有些主管在被要求按照强制分布法实施绩效考核时抱怨说:“我只有两个下属,考核结果要实现人力资源部所要求的正态分布确实令我感到困难。” 被考核者同样对强制分布法的合理性表示怀疑。对于某一次考核,绩效考核结果落在任意等级区域中都是可能出现的,如果出于满足所谓的合理分布而改变某些被考核者的考核结果,这样的处理显然是有失考核客观性和公正性。 所以,不管是考核者还是被考核者,强制分布法并没有因为广泛使用而得到广泛的接受。很多人对于这样的制度都表示无奈,希望有更科学的办法来替代强制分布法。 严格意义上来讲,强制分布法不是一种考核方法,而是一种考核结果调整的办法,可以适用于任何考核方法得出的考核结果。也就是说,只有当考核结果本身分布不合理时才会需要通过强制分布法来进行调整和修正。所以,从逻辑上看,保证考核结果合理分布是避免使用强制分布法的唯一出路。 针对“不称职”考核的纠正措施 影响考核结果分布是否合理的要素很多,包括考核工具是否得当、考核者是否客观进行考核、考核信息是否准确等。在实际的考核中,考核者的主观因素是决定考核结果是否合理分布的决定性要素。很多组织在实施绩效考核时,同样的考核办法对于不同的考核者会出现完全不同的考核结果分布,尤其是对于那些主要通过上级管理者主观评价进行考核的职位而言,考核结果的分布基本上取决于考核者能否客观进行考核。 考核者不能客观进行考核的原因之一,在于管理者把绩效考核工作与管理分离。有些管理者表示日常管理中对某些下属工作非常不满意,会通过一些措施(私下谈话、警告、加强业务培训)来解决这些问题。但是,到需要进行绩效考核时,管理者会有意或无意地淡忘过去那些令人不愉快的小插曲,甚至解释说下属那些不满意的地方已经得到改正,不
强制分布 一、强制分布的定义 强制正态分布法也称为“强制分布法”、“硬性分配法”,该方法是根据正态分布原理,即俗称的“中间大、两头小”的分布规律,预先确定评价等级以及各等级在总数中所占的百分比,然后按照被考核者绩效的优劣程度将其列入其中某一等级。 例如要求考核者将10%的人评定为最高分那一级;20%的人评定为次高分那一级;40%的人评为居中的那一级;再将20%的人评为次低分那一级;最后将10%的人评为最低分那一级。如下图所示。 二、强制分布的优缺点 (一)优点: 1、等级清晰、操作简便。等级划分清晰,不同的等级赋予不同的含义,区别显著;并且,只需要确定各层级比例,简单计算即可得出结果。 2、刺激性强。“强制分布法”常常与员工的奖惩联系在一起。对绩效“优秀”的重奖,绩效“较差”的重罚,强烈的正负激励同时运用,给人以强烈刺激。 3、强制区分。由于必须在员工中按比例区分出等级,会有效避免评估中过严或过松等一边倒的现象。 (二)缺点: 1、如果员工的业绩水平事实上不遵从所设定分布样式,那么按照考评者的设想对员工进行硬性区别容易引起员工不满。 2、只能把员工分为有限有几种类别,难以具体比较员工差别,也不能在诊断工作问题时提供准确可靠的信息
三、强制分布的适用性 强制分布法适用于被考核人员较多的情况,操作起来比较简便。由于遵从正态分布规律,可以在一定程度上减少由于考核人的主观性所产生的误差。此外,该方法也有利于管理控制,尤其是在引入员工淘汰机制的企业中,具有强制激励和鞭策功能。 强制正态分布法的应用应注意选择适用的组织 (该组织应达到一定的人数规模) , 否则有悖于“竞争范围必须足够大”这一竞争的必要条件, 其负面效应将大于正面效应。竞争是有条件和规律的, 在人数不够多的组织内实行强制正态分布法极易引起过度竞争。 四、强制分布应用中可能出现的问题 (一)强制分布可能使得部门内人与人之间都成为竞争对手,易出现内耗,破坏部门员工之间的团结。 (二)可能导致一些道德问题,有的员工采取不良的手段阻止别人取得较好的业绩,互挖墙脚、互设陷阱, 这样的行为有悖道德的原则。 五、针对强制分布应用中问题的解决思路 解决思路一:(来自:强制正态分布发的应用条件——刘西林)附件附上 (一)针对以上情况,在应用强制正态分布法时可以按部门整体绩效先对部门进行等级排列, 然后以部门等级为依据分别确定各自员工的等级分布,做到有区有别。举例来说, GE 有同样人数( 假设100人)的两个部门, 甲部门整体绩效考核为优异, 乙部门为一般, 则甲部门员工分布可确定为: A 类30 人( 20%×人数× 1.5) , 其余 70 人为 B类员工;乙部门员工分布可确定为: A类 12 人( 20%×人数× 0.6),C 类 12 人:10%×人数× 1.2, 其余 76 人为 B 类员工。这个方法不仅可以避免“绝对强制”所产生的负面效果, 更可以提高团队士气,达到长久的团队激励效果。 (二)强制正态分布法所依靠的绩效考核标准应该是公正、客观、可信的。一定的标准确定以后,绩效管理者再通过 PDCA 方法,就是通过四个阶段:P( plan)计划(设立目标和标准);D( do)执行(绩效管理对象根据目标和计划工作进行考核);C( check)检查(绩效管理者对绩效管理对象执行过程的控制和辅导);A( action) 行动( 考核、总结、回报、螺旋上升) , 对考核标准的度进行不断完善,最后就会得到公正、客观、可信的考核标准。 (三)强制正态分布法的应用还要注意“强”中有“柔”。任何管理工具都有其适用性, 在借鉴他人经验取长补短时, 一定要考虑到中国特有的文化, 因地制宜, 不能死搬硬套, 强制正态分布法也不能例外。 解决思路二:(来自https://www.doczj.com/doc/db6844352.html,/forum.php)
访问控制方式总结 授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程,通常是以访问控制的形式实现的。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么以及做到什么程度。访问控制依据特定的安全策略和执行机制以及架构模型保证对客体的所有访问都是被认可的,以保证资源的安全性和有效性。 访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准(Trusted Computer System Evaluation Criteria,TCSEC,即橘皮书),已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计,需要满足以下的要求:计算机系统必须设置一种定义清晰明确的安全授权策略;对每个客体设置一个访问标签,以标示其安全级别;主体访问客体前,必须经过严格的身份认证;审计信息必须独立保存,以使与安全相关的动作能够追踪到责任人。从上面可以看出来,访问控制常常与授权、身份鉴别和认证、审计相关联。 设计访问控制系统时,首先要考虑三个基本元素:访问控制策略、访问控制模型以及访问控制机制。其中,访问控制策略是定义如何管理访问控制,在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行,访问控制机制有很多种,各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名,组名以及用户所属的角色等,或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问,访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境,提供一个概念性的框架结构。 目前人们提出的访问控制方式包括:自主性访问控制、强访问控制、基于角色的访问控制等
绩效考核中强制分步法的运用 撰写人:文案部
绩效考核中强制分步法的运用在排序上,通常存在两种方式, 一是非强制分布,即根据绩效考核出来的分数直接进行员工排序,确定赏罚名单; 二是强制分布法,即考核结果的运用并不完全依据绩效考核得分进行,而是按照正态分布的规律,先确定好各等级在被评价员工总数所占的比例,然后按照每个员工绩效的优劣程度,强制列入其中的一定等级,再根据员工所在的不同等级进行赏罚。 在国内外优秀企业里,执行强制分布法最有效的应该是美国的GE公司。GE 前任首席执行官杰克韦尔奇凭借该规律,绘制出了著名的“活力曲线”。 按照业绩以及潜力,将员工分成ABC三类,三类的比例为:A类20%;B 类70%;C类10%。 对A类这20%的员工,韦尔奇采用的是“奖励奖励再奖励”的方法,提高工资、股票期权以及职务晋升。 对于B类员工,也根据情况,确认其贡献,并提高工资。 但是,对于C类员工,不仅没有奖励,还要从企业中淘汰出去。 在实际工作中,两种分布方法都有使用的实例,但各有其优缺点。非强制分布法能够直接体现考核人对被考核人的评价的结果,有利于员工绩效的促进和反馈,但在绩效考核人不够强势和公平的情况下,也容易出现绩效结果集中偏高的问题,不利于高绩效员工的激励和公司总体薪酬成本的控制。强制分布法恰恰相反,强制分布的要求,有利于控制公司的总体薪酬成本,但往往也会被员工理解为公司强制把员工分为三六九等,而遭到抵制。那么究竟应该在什么情况下
采用强制分布法呢?应该说,在合理的绩效管理体系下,如果每个考核人都能够公正公平合理的评价被考核人的绩效,考核结果都能够直观正确的反映被考核人的表现,强制分布法其实是完全没有必要采用的。 然而在实际的工作中,绩效考核执行往往会遇到各种各样的问题,导致考核结果的偏差。主要有以下四个方面: 1.考核人对绩效体系的运用还不够熟练。这种现象通常存在于刚刚引进绩效管理的企业,大家还没有形成正确的绩效管理习惯,计划和考核指标设定都存在偏差,导致绩效考核结果不能有效体现员工业绩。 2.考核人不够强势,难以对被考核人形成有效指导。绩效考核要求考核人对被考核人作出正确客观的评价。当考核人不够强势时,对下属放水的状况将经常出现。 3.不同考核人间存在相互比较,笼络下属的现象。不同部门的考核人之间往往会相互比较。如果客观进行评价,万一把自身部门分数打低了,还要落下属埋怨。由于放水的风险要小于不放水的风险,在“囚徒困境”的作用下,部门经理在绩效考核中进行放水的可能性是相当高的。 4.不同考核人的个性不同。考核人的个性往往也对结果产生影响。有的人严谨,有的人宽松,往往对待下属的方式也会体现在绩效考核的结果上,导致绩效考核结果出现偏差。正是由于上述的原因,在绩效考核的实际工作中,往往会出现绩效结果不够准确、总体偏高、分布过于集中等一系列问题,同员工的实际绩效表现会存在一定差距。保护了绩效差的员工,也就打击了绩效好的员工。 正是为了解决上述问题,很多企业在绩效考核的实践中,才会引进了强制分布法。而强制分布法的适用范围,也恰恰是上述问题的对应面。
召,DARPA等开展了LSM(Linux Security Module)[1]的研发。LSM是一种灵活的通用访问控制框架,用户可以根据安全需求来选择安全模块,加载到Linux内核中,从而提高其安全访问控制机制的易用性。 1 LSM框架研究 LSM的设计思想是在内核对象数据结构中放置透明安全域(opaque security field)作为其安全属性,并在内核源代码中放置钩子(hook)函数,由hook函数来完成对内核对象的访问的判断,基本原理如图1所示。在LSM框架下,用户进程执行系统调用时,将通过原有的内核接口逻辑依次执行功能性错误检查、传统的DAC检查,并在访问内核对象之前,通过hook函数调用具体的访问控制策略实现模块来决定该访问是否合法。 图1 LSM的基本原理 LSM实现了一个通用的访问控制框架[2],为安全模块的开发提供了统一的标准接口,并对内核作了以下2处重要修改[3]:(1)为内核数据结构添加透明安全域;(2)在内核代码中的关键访问点插入安全钩子函数。 1.1 透明安全域 任何安全模型要控制主体对客体的访问,首先必须对主和客体进行安全标识。LSM 作为一个通用的访问控制框架,基金项目:国家“973”计划基金资助项目“信息与网络安全体系结构研究”(G1999035801) 作者简介:刘威鹏(1980-),男,博士研究生,主研方向:可信计算,安全操作系统;胡俊、吕辉军、刘毅,博士研究生 收稿日期:2007-05-09 E-mail:wpliu@https://www.doczj.com/doc/db6844352.html, —160—
不能为内核对象指定特定的安全标签,而需要指定一个能够适应安全模型变化的标签。因此,LSM框架通过在内核对象的数据结构中添加透明安全域来实现框架本身的通用性。LSM在内核中9个与访问控制相关的内核对象数据结构中添加了透明安全域,例如:inode(文件)、Linux_bprm(可执行程序)、super_block(文件系统)等。透明安全域本身是一个空指针类型(void*),该域的具体结构由安全模块定义,通过该域能将安全信息与内核对象关联。 1.2 安全钩子函数 LSM提供了2类hook函数:(1)用于分配、释放和管理内核对象的透明安全域;(2)用于控制对内核对象的访问。对这2类hook函数的调用均是通过全局表security_ops(即指向security_opertations的指针)中的函数指针来实现的,在security_operations结构体中定义了150多个函数指针,这些指针分为6类,分别与进程、文件系统、可执行程序、进程间通信、网络以及系统操作有关,安全开发者通过对其中的hook函数进行具体实现来满足实际的安全需求。 2 可执行程序的强制访问控制的设计和实现 2.1 问题分析 在Linux系统中的/bin, /sbin等目录中存在很多与系统管理相关的可执行程序,由于它们涉及到许多重要的操作,例如,通过执行grub能够更改系统的启动,通过insmod, rmmod 能够添加和删除模块,因此系统提供了一套自主访问控制机制来对这些可执行程序进行保护。每个可执行程序根据其所属的“owner-group-other ”3个层次各自分为“读(r)-写(w)-执行(x)”3个操作项,系统提供了chmod的命令,允许可执行程序的拥有者能够修改操作项,还提供了chown命令允许拥有者改变对象的拥有权。在上述目录中,绝大部分可执行程序在“其他”位上都设置为“x”标志,意味着这些程序对于系统中任何用户都是可执行的,而在实际的应用环境中,系统的普通用户只能够执行完成基本任务的一系列可执行程序,而不应有其他特权操作。为方便系统的管理,还设置了root用户,该用户具有特权,能够执行任何可执行程序并对其执行其他操作。这种对于可执行程序的保护机制的安全性建立在root用户不会被冒充并熟悉系统各项管理等假设的基础之上,因此,由root用户全权负责系统的管理在一定程度上能够方便系统的管理,并易于使用。而在实际中,一旦超级用户被攻破或超级用户进程被非法控制,会给系统带来很大的安全威胁和隐患。 2.2 安全策略和设计方案 对于高安全等级的操作系统,强制访问控制是必须的。为了防止用户对可执行程序的滥用,避免不必要的权限扩大给系统带来的安全威胁和安全隐患,需要对用户能够运行的可执行程序进行强制访问控制限制。该强制性是系统安全管理员通过授权管理工具,根据系统的实际安全需求和威胁进行配置的,即使是系统的超级用户或可执行程序的拥有者也无法改变。 在原型系统中,用户分2级:0级为管理员用户,1级为普通用户;可执行程序也分为2级:0级为特权可执行程序,1级为普通可执行程序。此外,每个用户具有一个访问控制号(ACL_NUM),每个可执行程序具有一个访问控制字符串(ACL_STRING)。可执行程序强制访问控制策略为:0级用户可以执行0级和1级的可执行程序,1级用户不能执行0级可执行程序,只能执行在全局资源访问控制链表中级别为1,并且该用户的ACL_NUM和链表中可执行程序ACL_STRING相匹配的可执行程序。 为便于可执行程序管理,在系统中维护了3个可执行程序控制白表:(1)系统最小授权可执行程序白表,定义了每个用户在系统中能够执行的最小的操作集合;(2)用户组最小授权可执行程序白表,在系统中,每个用户隶属于一个用户组,用户组中的每一个用户都继承用户组最小授权可执行程序白表;(3)用户配置可执行程序白表。在通过授权管理工具成功添加一个新用户后,该用户能够继承系统最小授权可执行程序白表和该用户所隶属的用户组授权最小可执行程序白表,而通过授权管理工具,能够对于用户配置可执行程序白表进行添加、删除以及修改操作,也能够对用户组授权最小可执行程序链表进行修改。以上3个白表最终合成用户可执行程序白表。在Linux安全模块初始化时,系统的链表初始化函数读取用户可执行程序白表文件,在系统内存中构造出全局资源访问控制链表,用于程序访问控制的最终判定使用。2.3 关键数据结构和主要钩子函数 作为验证,在Linux2.6.11内核上实现了可执行程序的强制访问控制系统原型,以下是关键数据结构: //系统核安全状态数据结构 struct Sos_core_sec_state_type { struct list_head * fs_list; void * user_sec_data; }; 上述结构是系统安全中枢,记录了系统安全信息。fs_list 为指向文件系统安全状态数据结构队列的指针,在系统中维护一个文件系统安全数据状态结构链表,从而提供对多个不同类型文件系统的支持。user_sec_data是指向用户安全状态数据结构的指针,这时的系统核安全状态数据结构和一个用户安全状态数据结构相对应。其中,list_head结构体是Linux 内核源代码中定义的双向链表,该结构体本身不存取任何信息,只是提供给其他结构作为双向链表的接口。 //文件系统安全状态数据结构 struct Sos_fs_sec_state_type { struct list_head * file_attr_listhead; }; 上述结构是添加在内核超级块(super_block)数据结构上的透明安全域,记录了某个文件系统的安全信息,其中file_attr_listhead为指向资源(文件或目录)访问控制链表的指针,该队列形成整个文件系统的访问控制信息列表。 //索引节点安全状态数据结构 struct Sos_inode_sec_state_type { unsigned int inode_mac_level; char acl[16]; }; 上述结构是添加在内核索引节点(inode)数据结构上的透明安全域,记录了某个索引节点的安全信息。其中,inode_mac_level是某个索引节点的访问控制安全级别,即强制访问控制中客体的安全标记,用于判断用户能否访问可执行程序。acl[16]是一个字符串数组,其中存储了一个128 b 的二进制数,用于维护索引节点的访问控制信息。 //系统用户安全数据结构 struct Sos_user_sec_data_type { int user_level; int user_acl_no; }; 上述结构主要记录用户安全信息。其中,user_level为用户的安全级别,即主体的安全标记,用于判断用户能否访问 —161—
依据,所以绩效考核结果的合理分布就显得比较重要。很多组织都希望绩效考核结果要满足正态分布,或者说要合理拉开距离。然而在实际考核中,结果往往令人失望,要不就是密集分布在高位区,要不就是集中在中间地带,即形成考核中常见的“趋中效应”。于是,强制分布法就成为很多组织为实现绩效考核结果合理分布的常用办法。 考核结果的修正和调整 强制分布法的核心思想,就是通过对考核结果进行修正和调整,来实现考核结果满足预先设定的等级分布。 这种方法对于某些考核者来讲是一个不太容易被接受的方法,因为自己给出的考核结果要按照比例进行修正,而不是其最初的考核结果,在他们看来,经过强制分布后的考核结果是失真的。对于另外一 其是当他知道处于等级较低者将可能由此降低薪酬或者被降级甚至 难。有些主管在被要求按照强制分布法实施绩效考核时抱怨说:“我 我感到困难。”
被考核者同样对强制分布法的合理性表示怀疑。对于某一次考核,绩效考核结果落在任意等级区域中都是可能出现的,如果出于满足所谓的合理分布而改变某些被考核者的考核结果,这样的处理显然是有失考核客观性和公正性。 所以,不管是考核者还是被考核者,强制分布法并没有因为广泛使用而得到广泛的接受。很多人对于这样的制度都表示无奈,希望有更科学的办法来替代强制分布法。 严格意义上来讲,强制分布法不是一种考核方法,而是一种考核结果调整的办法,可以适用于任何考核方法得出的考核结果。也就是说,只有当考核结果本身分布不合理时才会需要通过强制分布法来进行调整和修正。所以,从逻辑上看,保证考核结果合理分布是避免使用强制分布法的唯一出路。 针对“不称职”考核的纠正措施 影响考核结果分布是否合理的要素很多,包括考核工具是否得当、考核者是否客观进行考核、考核信息是否准确等。在实际的考核中,考核者的主观因素是决定考核结果是否合理分布的决定性要素。很多组织在实施绩效考核时,同样的考核办法对于不同的考核者会出现完全不同的考核结果分布,尤其是对于那些主要通过上级管理者主观评