1、第六章訪問控制與審計技術第6章 訪問控制與審計技術訪問控制是在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制，也是信息安全理論基礎的重要組成部分。審計則是對信息系統訪問控制的必要補充，它會對用戶使用何種信息資源、使用的時間，以及如何使用 (執行何種操作) 進行記錄與監控。審計跟蹤是系統活動的流水記錄。第6章 訪問控制與審計技術6.1 訪問控制技術與Windows訪問控制6.2 審計追蹤技術與Windows安全審計功能6.1 訪問控制技術與Windows訪問控制在用戶身份認證 (如果必要) 和授權之后，訪問控制機制將根據預先設定的規則對用戶訪問某項資源 (目標) 進行控制，只有規則允許

2、時才能訪問，違反預定的安全規則的訪問行為將被拒絕。資源可以是信息資源、處理資源、通信資源或者物理資源，訪問方式可以是獲取信息、修改信息或者完成某種功能 (例如可以是讀、寫或者執行等) 。6.1.1 訪問控制的基本概念訪問控制的目的是為了限制訪問主體對訪問客體的訪問權限，從而使計算機系統在合法范圍內使用；它決定用戶能做什么，也決定代表一定用戶身份的進程能做什么。其中主體可以是某個用戶，也可以是用戶啟動的進程和服務。6.1.1 訪問控制的基本概念為達到此目的，訪問控制需要完成以下兩個任務：1) 識別和確認訪問系統的用戶。2) 決定該用戶可以對某一系統資源進行何種類型的訪問。訪問控制一般包括3種類型

3、：自主訪問控制、強制訪問控制和基于角色的訪問控制等。6.1.1 訪問控制的基本概念(1) 自主訪問控制 (DAC，discretionary access control)這是常用的訪問控制方式，它基于對主體或主體所屬的主體組的識別來限制對客體的訪問。自主是指主體能夠自主地 (可能是間接的) 將訪問權或訪問權的某個子集授予其他主體。6.1.1 訪問控制的基本概念簡單來說，就是由擁有資源的用戶自己來決定其他一個或一些主體可以在什么程度上訪問哪些資源。即資源的擁有者對資源的訪問策略具有決策權，這是一種限制比較弱的訪問控制策略。6.1.1 訪問控制的基本概念自主訪問控制是一種比較寬松的訪問控制機制。

4、一個主體的訪問權限具有傳遞性，比如大多數交互系統的工作流程是這樣的：用戶首先登錄，然后啟動某個進程為該用戶做某項工作，這個進程就繼承了該用戶的屬性，包括訪問權限。這種權限的傳遞可能會給系統帶來安全隱患，某個主體通過繼承其他主體的權限而得到了它本身不應具有的訪問權限，就可能破壞系統的安全性。這是自主訪問控制方式的缺點。6.1.1 訪問控制的基本概念(2) 強制訪問控制 (MAC，mandatory access control)這是一種較強硬的控制機制，系統為所有的主體和客體指定安全級別，比如絕密級、機密級、秘密級和無密級等。不同級別標記了不同重要程度和能力的實體，不同級別的主體對不同級別的客體

5、的訪問是在強制的安全策略下實現的。6.1.1 訪問控制的基本概念在強制訪問控制機制中，將安全級別進行排序，如按照從高到低排列，規定高級別可以單向訪問低級別，也可以規定低級別可以單向訪問高級別。6.1.1 訪問控制的基本概念(3) 基于角色的訪問控制 (RBAC，role based access control)在傳統的訪問控制中，主體始終和特定的實體相對應。例如，用戶以固定的用戶名注冊，系統分配一定的權限，該用戶將始終以其用戶名訪問系統，直至銷戶。其間，用戶的權限可以變更，但必須在系統管理員的授權下才能進行。然而，在現實社會中，這樣的訪問控制方式表現出很多弱點，不能滿足實際需求。6.1.1

6、訪問控制的基本概念主要問題在于：1) 同一用戶在不同場合應該以不同的權限訪問系統。而按傳統的做法，變更權限必須經系統管理員授權修改，因此很不方便。2) 當用戶大量增加時，按每用戶一個注冊賬號的方式將使得系統管理變得復雜、工作量急劇增加，也容易出錯。6.1.1 訪問控制的基本概念3) 傳統訪問控制模式不容易實現層次化管理。即按每用戶一個注冊賬號的方式很難實現系統的層次化分權管理，尤其是當同一用戶在不同場合處在不同的權限層次時，系統管理很難實現。除非同一用戶以多個用戶名注冊。6.1.1 訪問控制的基本概念基于角色的訪問控制模式就是為了克服以上問題而提出來的。在基于角色的訪問控制模式中，用戶不是自始

7、至終以同樣的注冊身份和權限訪問系統，而是以一定的角色訪問，不同的角色被賦予不同的訪問權限，系統的訪問控制機制只看到角色，而看不到用戶。用戶在訪問系統前，經過角色認證而充當相應的角色。用戶獲得特定角色后，系統依然可以按照自主訪問控制或強制訪問控制機制控制角色的訪問能力。6.1.1 訪問控制的基本概念1) 角色 (role) 的概念。角色定義為與一個特定活動相關聯的一組動作和責任。系統中的主體擔任角色，完成角色規定的責任，具有角色擁有的權限。一個主體可以同時擔任多個角色，它的權限就是多個角色權限的總和。基于角色的訪問控制就是通過各種角色的不同搭配授權來盡可能實現主體的最小權限 (最小授權指主體在能

8、夠完成所有必需的訪問工作基礎上的最小權限) 。6.1.1 訪問控制的基本概念例如，在一個銀行系統中，可以定義出納員、分行管理者、系統管理員、顧客、審計員等角色。其中，擔任系統管理員的用戶具有維護系統文件的責任和權限，無論這個用戶具體是誰。系統管理員可能是由某個出納員兼任，他就具有兩種角色。但是出于責任分離的考慮，需要對一些權利集中的角色組合進行限制，比如規定分行管理者和審計員不能由同一個用戶擔任等。6.1.1 訪問控制的基本概念基于角色的訪問控制可以看作是基于組的自主訪問控制的一種變體，一個角色對應一個組。2) 基于角色的訪問控制。就是通過定義角色的權限，為系統中的主體分配角色來實現訪問控制的

9、。用戶先經認證后獲得一定角色，該角色被分派了一定的權限，用戶以特定角色訪問系統資源，訪問控制機制檢查角色的權限，并決定是否允許訪問。6.1.1 訪問控制的基本概念3) 基于角色訪問控制方法的特點。基于角色訪問控制的方法有如下特點： 提供了3種授權管理的控制途徑，即：改變客體的訪問權限，即修改客體可以由哪些角色訪問以及具體的訪問方式；改變角色的訪問權限；改變主體所擔任的角色。6.1.1 訪問控制的基本概念 系統中所有角色的關系結構可以是層次化的，便于管理。角色的定義是從現實出發，所以可以用面向對象的方法來實現，運用類和繼承等概念表示角色之間的層次關系非常自然而且實用。 具有較好的提供最小權利的能

10、力，從而提高了安全性。由于對主體的授權是通過角色定義，因此，調整角色的權限粒度可以做到更有針對性，不容易出現多余權限。6.1.1 訪問控制的基本概念 具有責任分離的能力。定義角色的人不一定是擔任角色的人，這樣，不同角色的訪問權限可以相互制約，因而具有更高的安全性。6.1.2 Windows XP的訪問控制這里，我們來了解Windows XP操作系統的訪問控制實現機制。6.1.2 Windows XP的訪問控制(1) Windows的安全模型Windows采用的是微內核 (microkernel) 結構和模塊化的系統設計。有的模塊運行在底層的內核模式上，有的模塊則運行在受內核保護的用戶模式上。W

11、indows的安全子系統置于核心 (kernel) 層。6.1.2 Windows XP的訪問控制Windows的安全模型由以下幾個關鍵部分構成，這幾部分在訪問控制的不同階段發揮了各自的作用。1) 登錄過程 (logon process，LP)。接受本地用戶或者遠程用戶的登錄請求，處理用戶信息，為用戶做一些初始化工作。6.1.2 Windows XP的訪問控制2) 本地安全授權機構 (local security authority，LSA)。根據安全賬號管理器中的數據處理本地或者遠程用戶的登錄信息，并控制審計和日志。這是整個安全子系統的核心。3) 安全賬號管理器 (security acco

12、unt manager，SAM)。維護賬號的安全性管理數據庫 (SAM數據庫，又稱目錄數據庫) 。4) 安全引用監視器 (security reference monitor，SRM)。檢查存取合法性，防止非法存取和修改。6.1.2 Windows XP的訪問控制(2) Windows的安全概念在Windows中，有關安全的概念主要有以下幾個：1) 安全標識 (security ideniifier，SID) 。安全標識和賬號唯一對應，在賬號創建時創建，賬號刪除時刪除，而且永不再用。安全標識與對應的用戶和組的賬號信息一起存儲在SAM數據庫里。6.1.2 Windows XP的訪問控制2) 訪問

13、令牌 (access token) 。當用戶登錄時，本地安全授權機構為用戶創建一個訪問令牌，包括用戶名、所在組、安全標識等信息。以后，用戶的所有程序都將擁有訪問令牌的拷貝。3) 主體。用戶登錄到系統之后，本地安全授權機構為用戶構造一個訪問令牌，這個令牌與該用戶所有的操作相聯系，用戶進行的操作和訪問令牌一起構成一個主體。6.1.2 Windows XP的訪問控制4) 對象、資源、共享資源。對象的實質是封裝了數據和處理過程的一系列信息集合體；資源是用于網絡環境的對象；共享資源是在網絡上共享的對象。5) 安全描述符 (security descript) 。Windows系統為共享資源創建的安全描述

14、符包含了該對象的一組安全屬性，分為4個部分：6.1.2 Windows XP的訪問控制 所有者安全標識 (owner security ID) ，擁有該對象的用戶或者用戶組的SID； 組安全標識 (group security ID) ； 自主訪問控制表 (discretionary access control list，DAC) ，該對象的訪問控制表，由對象的所有者控制；6.1.2 Windows XP的訪問控制 系統訪問控制表 (system access control list，ACL) ，定義操作系統將產生何種類型的審計信息，由系統的安全管理員控制。其中，安全描述符中的每一個訪問控

15、制表 (ACL) 都由訪問控制項 (access control entries，ACEs) 組成，用來描述用戶或者組對象的訪問或審計權限。ACEs有3種類型：訪問允許(Access Allowed)、訪問禁止(Access Denied)和系統審記(System Audit)。前兩種用于自主訪問控制；后一種用于記錄安全日志。6.1.2 Windows XP的訪問控制(3) Windows的訪問控制過程當一個賬號被創建時，Windows為它分配一個SID，并與其他賬號信息一起存入SAM數據庫。6.1.2 Windows XP的訪問控制每次用戶登錄時，登錄主機 (通常為工作站) 的系統首先把用戶

16、輸入的用戶名、口令和用戶希望登錄的服務器域信息送給安全賬號管理器，安全賬號管理器將這些信息與SAM數據庫中的信息進行比較，如果匹配，服務器發給工作站允許訪問的信息，并返回用戶的安全標識和用戶所在組的安全標識，工作站系統為用戶生成一個進程。服務器還要記錄用戶賬號的權限、主目錄位置、工作站參數等信息。6.1.2 Windows XP的訪問控制然后，本地安全授權機構為用戶創建訪問令牌，包括用戶名、所在組、安全標識等信息。此后，用戶每新建一個進程，都將訪問令牌復制作為該進程的訪問令牌。6.1.2 Windows XP的訪問控制當用戶或者用戶生成的進程要訪問某個對象時，安全引用監視器將用戶/進程的訪問令

17、牌中的SID與對象安全描述符中的自主訪問控制表進行比較，從而決定用戶是否有權訪問對象。在這個過程中應該注意SID對應賬號的整個有效期，而訪問令牌只對應某一次賬號登錄。6.1.2 Windows XP的訪問控制Windows系統中共享對象的訪問權限是由對象所有者決定。如果用戶想共享某個對象，他首先要為對象選擇唯一的名字，然后為其他的用戶和組分配訪問權限。然后，系統會以此為共享對象創建安全描述符。一個沒有訪問控制表的對象可以被任何用戶以任何方式訪問。共享資源的訪問權限共有4種，即完全控制 (fullcontrol) 、拒絕訪問 (noAccess) 、讀 (read) 和更改 (change) 。

18、實訓與思考本節“實訓與思考”的目的是：(1) 熟悉訪問控制技術的基本概念，了解訪問控制技術的工作原理和基本內容。(2) 通過學習配置安全的Windows操作系統，來加深理解訪問控制技術，掌握Windows的訪問控制功能。6.2 審計追蹤技術與Windows安全審計功能審計會對用戶使用何種信息資源、使用的時間，以及如何使用 (執行何種操作) 進行記錄與監控。審計和監控是實現系統安全的最后一道防線，它能夠再現原有的進程和問題，這對于責任追查和數據恢復是非常必要的。6.2 審計追蹤技術與Windows安全審計功能審計跟蹤記錄按事件自始至終順序檢查、審查和檢驗每個事件的環境及活動。審計跟蹤通過書面方式

19、提供應負責任人員的活動證據以支持訪問控制職能的實現。審計跟蹤記錄系統活動和用戶活動。系統活動包括操作系統和應用程序進程的活動；用戶活動包括用戶在操作系統中和應用程序中的活動。6.2 審計追蹤技術與Windows安全審計功能通過借助適當的工具和規程，審計跟蹤可以發現違反安全策略的活動、影響運行效率的問題以及程序中的錯誤。審計跟蹤不但有助于幫助系統管理員確保系統及其資源免遭非法授權用戶的侵害，同時還能提供對數據恢復的幫助。6.2.1 審計內容審計跟蹤可以實現多種安全相關目標，包括個人職能、事件重建、入侵檢測和故障分析。1) 個人職能。審計跟蹤是管理人員用來維護個人職能的技術手段。一般來說，如果用戶

20、知道他們的行為活動被記錄在審計日志中，相應的人員需要為自己的行為負責，他們就不太會違反安全策略和繞過安全控制措施。6.2.1 審計內容例如，審計跟蹤可以保存改動前和改動后的記錄，以確定是哪個操作者在什么時候做了哪些實際的改動，這可以幫助管理層確定錯誤到底是由用戶、操作系統、應用軟件還是由其他因素造成的。允許用戶訪問特定資源意味著用戶要通過訪問控制和授權實現他們的訪問，被授權的訪問有可能會被濫用，導致敏感信息的擴散，當無法阻止用戶通過其合法身份訪問資源時，審計跟蹤就能發揮作用：審計跟蹤可以用于檢測他們的活動。6.2.1 審計內容2) 事件重建。在發生故障后，審計跟蹤可以用于重建事件和數據恢復。通

21、過審查系統活動的審計跟蹤可以比較容易地評估故障損失，確定故障發生的時間、原因和過程。通過對審計跟蹤的分析就可以重建系統和協助恢復數據文件；同時，還有可能避免下次發生此類故障的情況。6.2.1 審計內容3) 入侵檢測。審計跟蹤記錄可以用來協助入侵檢測工作。如果將審計的每一筆記錄都進行上下文分析，就可以實時發現或是過后預防入侵活動。實時入侵檢測可以及時發現非法授權者對系統的非法訪問，也可以探測到病毒擴散和網絡攻擊。4) 故障分析。審計跟蹤可以用于實時監控。6.2.2 安全審計的目標安全審計提供的功能服務于直接和間接兩個方面的安全目標：直接目標包括跟蹤和監測系統中的異常事件，間接目標是監視系統中其他

22、安全機制的運行情況和可信度。6.2.2 安全審計的目標所有審計的前提是有一個支配審計過程的規則集。規則的確切形式和內容隨審計過程具體內容的改變而改變。在商業與管理審計中，規則集包括對確保商業目標的實現有重要意義的管理控制、過程和慣例。這些商業目標包括資源的合理使用、利率最大化、費用最小化、符合相應的法律法規和適當的風險控制。在計算機安全審計的特殊情況下，規則集通常以安全策略的形式明確表述。6.2.2 安全審計的目標從抽象意義上講，傳統的金融和管理審計與計算機安全審計的過程是完全相同的，但它們各自關注的問題有很大不同。計算機安全審計是通過一定的策略，利用記錄和分析歷史操作事件來發現系統的漏洞并改

23、進系統的性能和安全。6.2.2 安全審計的目標計算機安全審計需要達到的目的包括：對潛在的攻擊者起到震懾和警告的作用；對于已經發生的系統破壞行為提供有效的追究責任的證據；為系統管理員提供有價值的系統使用日志，幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞。6.2.3 安全審計系統審計是通過對所關心的事件進行記錄和分析來實現的，因此審計系統包括審計發生器、日志記錄器、日志分析器和報告機制等幾部分。6.2.3 安全審計系統(1) 日志的內容在理想的情況下，日志應該記錄每一個可能的事件，以便分析發生的所有事件，并恢復任何時刻進行的歷史情況。然而，這樣做顯然是不現實的，因為要記錄每一個數據包、每一條

24、命令和每一次存取操作，需要的存儲量將遠遠大于業務系統，并且將嚴重影響系統的性能。因此，日志的內容應該是有選擇的。6.2.3 安全審計系統一般情況下，日志記錄的內容應該滿足以下原則：1) 任何必要的事件，以檢測已知的攻擊模式。2) 任何必要的事件，以檢測異常的攻擊模式。3) 關于記錄系統連續可靠工作的信息。6.2.3 安全審計系統在這些原則的指導下，日志系統可根據安全要求的強度選擇記錄下列事件的部分或全部：1) 審計功能的啟動和關閉。2) 使用身份鑒別機制。3) 將客體引入主體的地址空間。4) 刪除客體。6.2.3 安全審計系統5) 管理員、安全員、審計員和一般操作人員的操作。6) 其他專門定義

25、的可審計事件。通常，對于一個事件，日志應包括事件發生的日期和時間、引發事件的用戶 (地址) 、事件和源和目的的位置、事件類型、事件成敗等。6.2.3 安全審計系統(2) 安全審計的記錄機制日志的記錄可能由操作系統完成，也可以由應用系統或其他專用記錄系統完成，但是，大部分情況都可通過系統調用Syslog來記錄日志，也可以用SNMP記錄。6.2.3 安全審計系統Syslog由Syslog守護程序、Syslog規則集及Syslog系統調用3部分組成。記錄日志時，系統調用Syslog將日志素材發送給Syslog守護程序，Syslog守護程序監聽Syslog調用或Syslog端口 (UDP 514) 的

26、消息，然后根據Syslog規則集對收到的日志素材進行處理。如果日志是記錄在其他計算機上，則Syslog守護程序將日志轉發到相應的日志服務器上。6.2.3 安全審計系統(3) 安全審計分析通過對日志進行分析，從中發現相關事件信息及其規律是安全審計的根本目的。其主要內容包括：1) 潛在侵害分析。日志分析應能用一些規則去監控審計事件，并根據規則發現潛在的入侵。這種規則可以是由已定義的可審計事件的子集所指示的潛在安全攻擊的積累或組合，或者其他規則。6.2.3 安全審計系統2) 基于異常檢測的輪廓。日志分析應確定用戶正常行為的輪廓，當日志中的事件違反正常訪問行為的輪廓，或超出正常輪廓一定的門限時，能指出

27、將要發生的威脅。3) 簡單攻擊探測。日志分析應對重大威脅事件的特征有明確的描述，當這些攻擊現象出現時，能及時指出。4) 復雜攻擊探測。要求高的日志分析系統還應能檢測到多步入侵序列，當攻擊序列出現時，能預測其發生的步驟。6.2.3 安全審計系統(4) 審計事件查閱由于審計系統是追蹤、恢復的直接依據，甚至是司法依據，因此其自身的安全性十分重要。審計系統的安全主要是查閱和存儲的安全。6.2.3 安全審計系統審計事件的查閱應該受到嚴格限制，不能篡改日志。通常通過以下不同的層次來保證查閱的安全：1) 審計查閱。審計系統以可理解的方式為授權用戶提供查閱日志和分析結果的功能。2) 有限審計查閱。審計系統只提

28、供對內容的讀權限，拒絕具有讀以外權限的用戶訪問審計系統。3) 可選審計查閱。在有限審計查閱的基礎上限制查閱的范圍。6.2.3 安全審計系統(5) 審計事件存儲審計事件的存儲也有安全要求，具體有如下幾種情況：1) 受保護的審計蹤跡存儲。即要求存儲系統對日志事件具有保護功能，防止未授權的修改和刪除，并具有檢測修改刪除的能力。6.2.3 安全審計系統2) 審計數據的可用性保證。在審計存儲系統遭受意外時，能防止或檢測審計記錄的修改，在存儲介質存滿或存儲失敗時，能確保記錄不被破壞。3) 防止審計數據丟失。在審計蹤跡超過預定的門限或記滿時，應采取相應的措施防止數據丟失。這種措施可以是忽略可審計事件、只允許

29、記錄有特殊權限的事件、覆蓋以前記錄、停止工作等。實訓與思考本節“實訓與思考”的目的是：(1) 熟悉安全審計技術的基本概念和基本內容。(2) 通過深入了解和應用Windows操作系統的審計追蹤功能，來加深理解安全審計技術，掌握Windows的安全審計功能。（第14講）考場作文開拓文路能力分解層次(網友來稿)江蘇省鎮江中學 陳乃香說明：本系列稿共24講，20XX年1月6日開始在資源上連載【要義解說】文章主旨確立以后，就應該恰當地分解層次，使幾個層次構成一個有機的整體，形成一篇完整的文章。如何分解層次主要取決于表現主旨的需要。【策略解讀】一般說來，記人敘事的文章常按時間順序分解層次，寫景狀物的文章常

30、按時間順序、空間順序分解層次；說明文根據說明對象的特點，可按時間順序、空間順序或邏輯順序分解層次；議論文主要根據“提出問題分析問題解決問題”順序來分解層次。當然，分解層次不是一層不變的固定模式，而應該富于變化。文章的層次，也常常有些外在的形式：1小標題式。即圍繞話題把一篇文章劃分為幾個相對獨立的部分，再給它們加上一個簡潔、恰當的小標題。如世界改變了模樣四個小標題：壽命變“長”了、世界變“小”了、勞動變“輕”了、文明變“綠”了。 2序號式。序號式作文與小標題作文有相同的特點。序號可以是“一、二、三”，可以是“A、B、C”，也可以是“甲、乙、丙”從全文看，序號式干凈、明快；但從題目上看，卻看不出文

31、章內容，只是標明了層次與部分。有時序號式作文，也適用于敘述性文章，為故事情節的展開，提供了明晰的層次。 3總分式。如高考佳作人生也是一張答卷。開頭：“人生就是一張答卷。它上面有選擇題、填空題、判斷題和問答題，但它又不同于一般的答卷。一般的答卷用手來書寫，人生的答卷卻要用行動來書寫。”主體部分每段首句分別為：選擇題是對人生進行正確的取舍，填空題是充實自己的人生，判斷題是表明自己的人生態度，問答題是考驗自己解決問題的能力。這份“試卷”設計得合理而且實在，每個人的人生都是不同的，這就意味著這份人生試卷的“答案是豐富多彩的”。分解層次，應追求作文美學的三個價值取向：一要勻稱美。什么材料在前，什么材料在

32、后，要合理安排；什么材料詳寫，什么材料略寫，要通盤考慮。自然段是構成文章的基本單位，恰當劃分自然段，自然就成為分解層次的基本要求。該分段處就分段，不要老是開頭、正文、結尾“三段式”，這種老套的層次顯得呆板。二要波瀾美。文章內容應該有張有弛，有起有伏，如波如瀾。只有這樣才能使文章起伏錯落，一波三折，吸引讀者。三要圓合美。文章的開頭與結尾要遙相照應，把開頭描寫的事物或提出的問題，在結尾處用各種方式加以深化或回答，給人首尾圓合的感覺。【例文解剖】 話題：忙忙，不亦樂乎 忙，是人生中一個個步驟，每個人所忙的事務不同，但是不能是碌碌無為地白忙，要忙就忙得精彩，忙得不亦樂乎。 忙是問號。忙看似簡單，但其中

33、卻大有學問。忙是人生中不可缺少的一部分，但是怎么才能忙出精彩，忙得不亦樂乎，卻并不簡單。人生如同一張地圖，我們一直在自己的地圖上行走，時不時我們眼前就出現一個十字路口，我們該向哪兒，面對那縱軸橫軸相交的十字路口，我們該怎樣選擇?不急，靜下心來分析一下，選擇適合自己的坐標軸才是最重要的。忙就是如此，選擇自己該忙的才能忙得有意義。忙是問號，這個問號一直提醒我們要忙得有意義，忙得不亦樂乎。 忙是省略號。四季在有規律地進行著冷暖交替，大自然就一直按照這樣的規律不停地忙，人們亦如此。為自己找一個目標，為目標而不停地忙，讓這種忙一直忙下去。當目標已達成，那么再找一個目標，繼續這樣忙，就像省略號一樣，毫無休止地忙下去，翻開歷史的長卷，我們看到牛頓在忙著他的實驗；愛迪生在忙著思考；徐霞客在忙著記載游玩；李時珍在忙著編寫本草綱目。再看那位以筆為刀槍的充滿著朝氣與力量的文學泰斗魯迅，他正忙著用他獨有的刀和槍在不停地奮斗。忙是省略號，確定了一個目標那么就一直忙下去吧!這樣的忙一定會忙出生命靈動的色彩。 忙是驚嘆號。世界上的