CISP0206数据库及应用安全_v30

《CISP0206数据库及应用安全_v30》由会员分享，可在线阅读，更多相关《CISP0206数据库及应用安全_v30（89页珍藏版）》请在装配图网上搜索。

1、数据库及应用安全数据库及应用安全培训机构：中启航国际信息技术（北京）有限公司讲师姓名：秦俊 电话：13301325283版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容课程内容2操作系统与操作系统与数据库安全数据库安全知识体知识体知识域知识域数据库安全数据库安全知识子域知识子域数据库数据库系统概述系统概述数据库数据库安全概述安全概述应用安全应用安全应用安全概述应用安全概述常用互联网服务安常用互联网服务安全全Web应用安全应用安全办公软件使用安全办公软件使用安全应用安全应用安全数据库数据库运行运行安全安全防护防护操作系统安全操作系统安全知识域：数据库安全知识域：数据库安

2、全v知识子域：数据库系统概述 了解数据库基本概念和主要功能 了解构化查询语言SQL的功能 了解数据库管理系统（DBMS）的一般架构3数据库系统基本概念数据库系统基本概念v数据库：长期储存在计算机内的、有组织的、可共享的数据集合vDBMS（DataBase Management System）：一种操纵和管理数据库的大型软件，用于建立、使用和维护数据库，它对数据库进行统一的管理和控制，以保证数据库的安全性和完整性4图书管理员图书管理员图书馆用户请求DBMSDatabase程序程序数据库用户请求数据库系统关系数据库系统关系5关系型数据库系统特点关系型数据库系统特点v数据结构化和共享性 库、表、字段

3、 结构化查询语言（SQL）v数据独立性 物理独立性 逻辑独立性v数据的完整性约束 实体完整性（通过主键约束条件）参照完整性（通过主外键约束条件）用户自定义完整性（通过CHECK子句）v数据由DBMS统一管理和控制 查询引擎、事务控制、数据存储模块/组件6结构化查询语言结构化查询语言SQLSQLvSQL语句格式 基本语句约30条。每条语句都请求DBMS完成一个动作7DELETE FROM salesreps WHERE Sales 20000.00动词动词表名表名子句子句关键字关键字列名列名常数常数表达式表达式结构化查询语言结构化查询语言SQLSQLvSQL语句分类8SQLSQL功能功能操作符操

4、作符数据定义数据定义CREATE，DROP，ALTER数据查询数据查询SELECT数据操纵数据操纵INSERT，UPDATE，DELETE数据控制数据控制GRANT，REVOKE，DENY事务控制事务控制BEGIN，COMMIT，ROLLBACK嵌入式嵌入式/服务器端编程服务器端编程DECLARE,EXPLAIN,OPEN,FETCH,CLOSE,PREPARE,EXECUTE,DESCRIBE知识域：数据库安全知识域：数据库安全v知识子域：数据库安全概述 了解数据库的一般安全需求 了解数据库的常见安全措施：用户标识和鉴别、访问控制、数据加密和安全审计 理解数据库完整性要求，理解DBMS为了实

5、现完整性保护必须提供：定义完整性约束条件的机制、完整性检查的方法和违约处理的机制 理解数据库备份和恢复机制的重要性，了解常见的数据冗余技术和数据库恢复策略9数据库安全数据库安全v保密性 数据泄露v完整性 执行不正确的修改操作（插入、删除、更新等）v可用性 数据库死锁，性能下降或无法访问 10数据库安全需求数据库安全需求v物理数据库完整性v逻辑数据库完整性v数据单元安全性v可审计v访问控制11保密性完整性可用性数据库安全措施数据库安全措施v用户标识与鉴别v授权与访问控制v数据加密v安全审计v12用户标识与鉴别用户标识与鉴别v用户鉴别 操作系统 数据库 第三方v用户管理策略 默认账号管理 账户锁定

6、策略13用户用户口令有效期与宽口令有效期与宽限期管理策略限期管理策略自定义口令策自定义口令策略验证略验证口令历史管理口令历史管理账户锁定策略账户锁定策略策略设置策略设置数据库安全措施数据库安全措施-访问控制访问控制v设置用户对不同的数据对象允许的操作权限 系统权限（数据库实例级或数据库级）模式权限（数据库对象：表、视图等）数据对象权限（数据对象：记录级）14用户权限登记DD合法权限检查授权规则授权规则用户发出用户发出操作请求操作请求定义定义用户权限用户权限DBMS的存取控制子系统福利角色福利角色薪酬角色薪酬角色人事主管人事主管招聘职员招聘职员薪酬职员薪酬职员薪酬权限薪酬权限福利权限福利权限数据

7、库安全措施数据库安全措施-资源控制资源控制vCPU资源v会话资源 每用户Session 连接超时 死锁控制v存储资源 数据存储空间限制 临时存储空间限制15数据库安全措施数据库安全措施-数据加密数据加密v数据加密方式 传输加密 存储加密v数据存储加密层级 OS层加密 DBMS内核层加密 DBMS外层加密16数据库安全措施数据库安全措施-安全审计安全审计v数据库审计日志 数据库审计（也称标准审计）用户级审计：安全审计员设置，用户行为审计 系统级审计：管理员设置，用户授权或系统级权限操作审计 细粒度审计 监视对数据对象的操作17数据库完整性数据库完整性-完整性约束完整性约束v数据库完整性保证：完整

8、性约束v完整性约束条件 实体完整性（PRIMARY KEY定义，唯一、不为空）域完整性（表定义中的CHECK、FOREIGN KEY约束、DEFAULT、NOT NULL定义）参照完整性（FOREIGN KEY定义，关联）用户定义完整性（生成时定义，非空、唯一、布尔）v完整性检查v违约处理机制注：关于实体完整性、参照完整性和用户自定义完整性的概念，请讲师自行举例说明，方便学员理解18数据备份与恢复数据备份与恢复v备份：数据冗余技术 数据转储 日志文件v恢复：从冗余数据中实施数据库恢复 事务故障的恢复（事务处理）系统故障的恢复（事务处理）介质故障的恢复（通过转储数据恢复）19知识域：数据库安全知

9、识域：数据库安全v知识子域：数据库运行安全防护 理解数据库威胁与防护特点 理解数据库事前安全防护、事中安全监控以及事后安全审计的方法20数据库面临安全威胁数据库面临安全威胁v 过度的特权滥用过度的特权滥用v 合法的特权滥用合法的特权滥用v 特权提升特权提升v 平台及数据库漏洞平台及数据库漏洞v SQLSQL注入注入v 不健全的审计不健全的审计v 拒绝服务攻击拒绝服务攻击v 数据库通信协议漏洞数据库通信协议漏洞v 不健全的认证不健全的认证v 数据泄露数据泄露21安全策略权限管理远程攻击不健全的审计不健全的验证 数据泄露平台漏洞数据库漏洞SQL注入拒绝服务攻击特权提升过度的特权滥用合法的特权滥用数

10、据库软件漏洞数据库安全防护数据库安全防护v 层层设防：防护体系建设22DBSQL请求用户标识与鉴别DBMS存取控制数据加密审计追踪各种应用安全边界查询引擎DBMS选件事务引擎数据库安全防护数据库安全防护v检查、监控、审计23数据库安全防护数据库安全防护v事前检测:安全特性检测24知识库检测引擎服务扫描渗透测试安全审计漏洞利用审计报告检测人员策略专家配置检测策略扫描数据库服务外部渗透性测试进行全面的安全审计扫描分析审计结果，设计漏洞利用方式生成一份详细的审计报告制定检测策略从策略库中选择检测策略数据库安全特性检查数据库安全特性检查v安全配置v 补丁v 协议（端口、传输协议）v账号v 用户名及密码

11、v 口令策略v 权限v存储过程v触发器v备份25数据库安全特性检查数据库安全特性检查v数据库最佳实践 数据库安全漏洞 美国国防部、国防信息系统中心等研究机构给出的主流数据库安全配置指南v数据库厂商提供的安全指南 Oracle/Sqlserver/MySQLv数据库安全特性检查工具 美国应用安全公司的App Detective 英国下一代软件公司的NGS SQuirrel26数据库安全防护数据库安全防护v事中运行监控:数据库运行安全监控27数据库安全防护数据库安全防护v事后审计：数据库审计关注的问题 审计对象（对谁进行审计）标准审计（系统级、用户级）细粒度审计（对象级）审计内容（对什么行为进行审

12、计）访问数据库应用程序、位置及用户信息，包括用户操作、操作日期与时间、操作涉及的相关数据、操作是否成功等28知识域：应用安全知识域：应用安全v知识子域：应用安全概述 理解应用安全的概念 了解常见应用安全威胁 了解等级保护规范应用安全防护要点29应用安全基本概念应用安全基本概念v应用安全目标 合法用户能够通过安全策略合法地访问业务资源 非法用户无法访问、篡改任何受保护的资源30技术要求物理安全网络安全主机安全应用安全数据安全应用安全问题应用安全问题v构建在网络、系统安全基础上（参考：网络安全、操作系统安全课程）v安全问题关注 应用软件自身安全（参考：软件安全开发课程）应用系统支撑软件安全 应用协

13、议安全31常见应用安全威胁常见应用安全威胁v网络层面 拒绝服务、电子欺骗、嗅探、v系统层面 Web服务漏洞、配置错误、v应用层面 代码缺陷(SQL注入、XSS）资源管理 v业务层面 钓鱼、流程缺陷32应用安全防护模型应用安全防护模型vOSI通信协议应用安全防护模型 鉴别 访问控制 数据机密性 数据完整性 抗抵赖v等级保护应用安全防护 11个控制点 五级33控制点控制点一级一级二级二级三级三级四级四级身份鉴别身份鉴别安全标记安全标记 访问控制访问控制可信路经可信路经 安全审计安全审计 剩余信息保护剩余信息保护 通信完整性通信完整性通信保密性通信保密性 抗抵赖抗抵赖 软件容错软件容错资源控制资源控

14、制 等级保护应用安全要求等级保护应用安全要求v应用系统的安全就是保护系统的各种应用程序应用程序安全运行。包括基本应用基本应用，如：消息发送、web浏览等；业务应用业务应用，如：电子商务、电子政务等v应用安全具体包括：9 9个控制点个控制点 身份鉴别（S）、访问控制（S）、安全审计（G）、剩余信息保护（S）、通信完整性（S）、通信保密性（S）、抗抵赖（G）、软件容错（A）、资源控制（A）34等级保护应用安全要求等级保护应用安全要求35身份鉴别身份鉴别基本的身份鉴别访问控制访问控制安全策略最小授权原则安全审计安全审计运行情况审计（用户级）审计报表审计报表剩余信息保护剩余信息保护空间释放及信息清除空

15、间释放及信息清除组合鉴别技术组合鉴别技术敏感标记的设置及操作敏感标记的设置及操作审计过程的保护审计过程的保护通信完整性通信完整性校验码技术密码技术密码技术软件容错软件容错自动保护功能自动保护功能资源控制资源控制资源分配限制、资源分配优先级资源分配限制、资源分配优先级最小服务水平的检测及报警最小服务水平的检测及报警数据有效性检验、部分运行保护对用户会话数及 系统最大并发会话数的限制审计记录的保护通信保密性通信保密性初始化验证整个报文及会话过程加密整个报文及会话过程加密敏感信息加密抗抵赖抗抵赖35知识域：应用安全知识域：应用安全v知识子域：Web应用安全 理解Web工作机制及Web应用安全问题产生

16、的原因 了解常见Web服务运行平台的安全配置要点 了解互联网浏览面临的安全威胁及应对方法 了解Web安全防护产品如Web应用防火墙和网页防篡改产品的功能和特点36WebWeb安全问题根源安全问题根源vWEB服务器端安全问题（支撑软件、应用程序）vWeb客户端（浏览器）vWeb协议（Http）37终端用户终端用户应用服务器应用服务器数据库服务器数据库服务器Web应用（IIS、Apache）应用传输协议HTTP应用客户端浏览器（IE、Firefox）WebWeb服务支撑软件安全问题服务支撑软件安全问题vWeb服务支撑软件 软件自身安全漏洞 例：IIS 5.0超长URL拒绝服务漏洞 例：Unicod

17、e解码漏洞 软件配置缺陷 默认账号、口令 不安全的配置 例：IIS配置允许远程写入注：讲师可根据自己经验给学员介绍几个典型漏洞或者演示38WebWeb程序安全问题程序安全问题v输入输出处理v会话控制v文件系统处理v用户访问机制v日志处理v39是人开发的就可能存在安全隐患WEB应用程序是程序员开发的WEBWEB协议安全问题协议安全问题v信息泄漏 明文传输（用户名和口令、向服务器提交的数据）v弱验证 简单的认证v缺乏状态跟踪 无状态的协议 Session存在安全隐患40WebWeb应用协议应用协议-HTTP-HTTPvHTTP(超文本传输协议)一种通信协议 使用超文本标记语言(HTML)将资源从服

18、务器传送到客户端v超文本传输协议特点 请求、响应模式 协议简单，客户端只需传输请求方法和路径 无连接（一个请求一个连接，完成后断开）无状态41HTTPHTTP协议工作过程协议工作过程vHTTP 请求（Requests）一个HTTP请求包含三个部分 方法，URL，协议/版本（Method-URI-Protocol/Version）请求包头(Request headers)实体包（Entity body）vHTTP 响应（Responses）一个HTTP响应也包含三个部分 协议状态代码描叙（Protocol-Status code-Description）响应包头（Response headers

19、）实体包（Entity body）42HTTPHTTP协议工作过程协议工作过程43HTTPHTTP协议工作过程协议工作过程-响应范例响应范例vHTTP响应范例HTTP/1.1 200 OKServer:Microsoft-IIS/6.0Date:Mon,3 Jan 2010 13:13:33 GMTContent-Type:text/HTMLLast-Modified:Mon,11 Jan 2010 13:23:42 GMTContent-Length:112Welcome to CISP.44第一行的响应包头和请求包头很相似。第一行说明协议是使用的HTTP1.1，响应请求已成功(200表示成

20、功)，一切已OK响应包头和请求包头相似，也包含一些有用的信息。响应的实体是HTML那一部分的内容。包头和实体也都是被CRLF序列分离开的WebWeb应用安全解决应用安全解决vWeb支撑软件 安装安全补丁或升级软件 安全配置vWeb应用程序 安全软件开发vWeb客户端 安全补丁或者升级软件 安全浏览vWeb协议 安全协议（Https）45WebWeb支撑软件支撑软件-IIS-IIS安全配置安全配置v身份验证v传输安全v目录安全v日志安全v性能调整46IISIIS安全配置安全配置-身份验证身份验证vWeb访问用户身份设置 启用匿名（默认）匿名身份：iuser_计算机名称 案例：错误的匿名访问 需要

21、身份验证v访问控制 IP地址访问控制47IISIIS安全配置安全配置-传输安全传输安全v使用https保证会话安全 登录验证 重要操作vHttps的优点 使用SSL加密传输信息 端口443，会话过程中包括传输加密、身份认证等48IISIIS安全配置安全配置-目录安全目录安全v主目录设置 Web文件存放在非系统分区v删除不使用的虚拟目录v目录权限控制 不允许远程目录写入 具备修改权限的目录去掉执行权限 具备执行权限的目录尽量不允许修改 注意：IIS的权限是与NTFS权限分开的，讲师可做演示说清楚该概念49主目录及目录安全性主目录及目录安全性50Web文件存放位置（不宜使用默认目录）严格控制权限1

22、、严禁写入！2、慎用目录浏览IISIIS安全配置安全配置-日志安全日志安全v日志记录项尽可能多v日志的路径 非系统盘 足够大的空间 单独的日志分区v日志的访问权限v System可以写入，不可读v Administrator可读不可修改v 其他用户无权限51IISIIS安全配置安全配置-其他设置其他设置v性能 并发连接数设置 带宽限制 CPU限制vWeb站点设置 IP地址/端口 主机头名称 连接控制 日志v文档 错误返回页面定制52WebWeb支撑软件支撑软件-Apache-Apache安全配置安全配置v安装最新版本，最小化安装v传输安全保护v安全配置（httpd.conf）控制Apache运

23、行权限 目录安全 限制Apache访问其他目录无关的内容 关闭目录浏览 其他设置 控制连接最大请求数 定制错误返回页面 53注：讲师请准备一个apache的配置文件Httpd.conf做实例给学员简单讲解如何进行安全设置。互联网浏览面临的安全风险互联网浏览面临的安全风险v网页挂马及恶意脚本v网络欺诈及钓鱼v隐私泄露v54互联网浏览安全风险互联网浏览安全风险-网页挂马网页挂马55v将木马伪装为页面元素v利用脚本运行的漏洞v伪装为缺失的组件v通过脚本运行调用某些COM组件v利用软件漏洞 例如：在渲染页面内容的过程中利用格式溢出释放或下载木马互联网浏览安全风险互联网浏览安全风险-网页欺诈网页欺诈/钓

24、鱼钓鱼56网页欺诈网页欺诈/钓鱼案例钓鱼案例57互联网浏览安全风险互联网浏览安全风险-隐私泄露隐私泄露v诱骗注册 用户名/密码 邮箱 密码问题、答案v免费赠送 电话 地址 姓名v58互联网浏览安全防护互联网浏览安全防护-安全意识安全意识v良好的安全意识v浏览器安全防护 安全的浏览器 网站访问防护 脚本执行控制 Cookie控制 59浏览器安全防护浏览器安全防护-安全浏览器安全浏览器v使用安全的浏览器 应用在浏览器中使用已经成为趋势 安全应在浏览器中解决60浏览器安全防护浏览器安全防护-网站访问防护网站访问防护v避免访问不安全网站v根据网站安全级别设置防护 IE：浏览级别 Firefox：行为阻

25、止和行为控制 61浏览器安全防护浏览器安全防护-脚本运行控制脚本运行控制v不可控的脚本是安全的巨大威胁 限制脚本运行 限制插件自动运行 限制控件的自动运行 62浏览器安全防护浏览器安全防护-cookie-cookie安全安全v什么是Cookie 弥补http缺陷的的机制，用于存储信息的一段文本 存储用户登录信息v威胁 泄漏用户敏感数据或隐私63浏览器安全防护浏览器安全防护-cookie-cookie安全安全v设置IE 设置隐私保护级别 退出时删除cookie Firefox 不记录cookie 其他64浏览器安全防护浏览器安全防护-隐私保护隐私保护v隐私保护 IE 不自动保存浏览历史 不自动保

26、存用户名/密码 Firefox 隐私浏览窗口 其他65互联网浏览安全防护互联网浏览安全防护-安全意识安全意识v心态（小心驶得万年船）了解隐私的重要性 尊重他人私密 达到保护个人私密v意识（任何东西都是有价值的）能知道什么是需要保护的 能知道需要保护的东西的价值v操作（我为什么要给你，你为什么需要）能不提供的就不提供 不是必须的信息虚假提供66WEBWEB安全防护产品安全防护产品-应用防火墙应用防火墙vWeb应用防火墙 Web Application Firewall，WAF，也称Web防火墙 是指通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一类产品，用以解决We

27、b应用层出现的安全问题v主要常见功能 拦截审计HTTP数据流 Web应用访问控制 Web应用加固67网页防篡改产品网页防篡改产品v功能 监控Web服务器上的页面文件，防止被篡改v原理 备份文件对比 摘要文件对比 删改操作触发 系统底层过滤68知识域：应用安全知识域：应用安全v知识子域：常用互联网服务安全 了解电子邮件应用的安全缺陷和防御措施 了解FTP应用安全缺陷和防御措施 了解远程管理的安全问题及防御措施 了解域名应用的安全问题及防御措施69电子邮件应用电子邮件应用v应用协议 SMTP：简单邮件传输协议，用于邮件发送及中转 POP3:邮局协议，用于邮件接收v电子邮件协议的特点 协议简单，客户

28、端请求命令 请求、响应模式70TCP连接HELLOMAILRCPTDATAQUIT25邮件服务器客户机SMTPSMTP协议工作过程协议工作过程71电子邮件电子邮件协议协议安全问题安全问题v信息泄露 用户账号/口令 用户邮件内容v用户身份验证不足 垃圾邮件 社会工程学72电子邮件电子邮件应用应用安全问题安全问题v邮件服务器 拒绝服务：大量的邮件浪费服务器的资源 垃圾邮件：浪费服务器资源，导致服务器被加入拒绝名单v邮件客户端 邮件病毒 客户端漏洞 信息泄露73v安全协议 PGP（Pretty Good Privacy）S/MIME（Secure Multipurpose Internet Mail

29、 Extension）v安全策略配置 确保服务器软件版本最新 关闭开放式转发 反向域名验证 身份验证 电子邮件电子邮件安全应用安全应用-服务器端服务器端74电子邮件安全应用电子邮件安全应用-邮件客户端邮件客户端v邮件病毒/客户端漏洞 客户端设置以txt方式阅读邮件 使用较安全的邮件客户端v信息泄露 PGP应用 良好的使用习惯 邮件标题 邮件正文 附件命名75文件传输应用文件传输应用v文件传输协议 FTP:File Transfer Protocol，即文件传输协议，用于Internet上的控制文件的双向传输v文件传输协议工作机制76FTPFTP协议协议安全问题安全问题v信息泄露 用户账号/口令

30、 用户传输数据vFTP账号 在FTP标准PR85中，FTP服务器允许无限次输入密码。常规的FTP服务器没有密码锁定机制，也没有设置客户端连接数限制77FTPFTP应用安全措施应用安全措施v信息泄露 采用其他技术对会话进行加密（VPN）v用户账号管理 FTP账号与系统账号分离 账号安全策略 限制最大连接数 限制连接发起地址78远程管理安全远程管理安全v远程管理 信息泄露：例如Telnet明文传输信息 可被用于口令破解v解决措施 使用加密的远程管理如SSH、远程终端等 设置账号安全策略对抗口令破解79域名系统安全域名系统安全v域名系统工作机制 分布式数据库系统 弱认证v安全问题 拒绝服务 DNS欺

31、骗.80知识域：应用安全知识域：应用安全81v知识子域：办公软件使用安全 了解使用文字处理程序的安全防护要点 了解使用即时通信软件的安全防护要点办公软件办公软件安全问题安全问题82v病毒传播载体 宏病毒v信息泄露 文档详细信息MS OFFICEMS OFFICE使用安全使用安全v使用最新的软件版本与补丁v使用最新版本软件提供的新安全功能v转换成PDF文档再发布83即时通讯安全威胁即时通讯安全威胁v信息泄露 即时通讯软件服务器端/终端漏洞 传输环境信息泄露v恶意代码传播 传输恶意代码文件 传播恶意代码链接v欺骗 认证不足导致欺骗84“熟人”间的信任，使得即时通信中的安全威胁更易于被利用即时通讯应

32、用安全案例即时通讯应用安全案例85即时通讯应用安全防护即时通讯应用安全防护v隐私信息的防护 避免透露敏感信息 公共场合慎用自动登录功能 离开时退出登录v所有链接、文件都是危险的“好友”发送的链接确认后再访问“好友”发送的文件谨慎打开86课程总结课程总结87v 数据库安全数据库安全基础概念数据库运行安全防护v 应用安全Web应用安全电子邮件等应用安全问题及解决措施v 终端用户安全谢谢，请提问题！谢谢，请提问题！9、静夜四无邻，荒居旧业贫。22.7.2922.7.29Friday,July 29,202210、雨中黄叶树，灯下白头人。9:25:439:25:439:257/29/2022 9:25

33、:43 AM11、以我独沈久，愧君相见频。22.7.299:25:439:25Jul-2229-Jul-2212、故人江海别，几度隔山川。9:25:439:25:439:25Friday,July 29,202213、乍见翻疑梦，相悲各问年。22.7.2922.7.299:25:439:25:43July 29,202214、他乡生白发，旧国见青山。2022年7月29日星期五上午9时25分43秒9:25:4322.7.2915、比不了得就不比，得不到的就不要。2022年7月上午9时25分22.7.299:25July 29,202216、行动出成果，工作出财富。2022年7月29日星期五9时2

34、5分43秒9:25:4329 July 202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。上午9时25分43秒上午9时25分9:25:4322.7.299、没有失败，只有暂时停止成功！。22.7.2922.7.29Friday,July 29,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。9:25:439:25:439:257/29/2022 9:25:43 AM11、成功就是日复一日那一点点小小努力的积累。22.7.299:25:439:25Jul-2229-Jul-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。9:25:4

35、39:25:439:25Friday,July 29,202213、不知香积寺，数里入云峰。22.7.2922.7.299:25:439:25:43July 29,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月29日星期五上午9时25分43秒9:25:4322.7.2915、楚塞三湘接，荆门九派通。2022年7月上午9时25分22.7.299:25July 29,202216、少年十五二十时，步行夺得胡马骑。2022年7月29日星期五9时25分43秒9:25:4329 July 202217、空山新雨后，天气晚来秋。上午9时25分43秒上午9时25分9:25:43

36、22.7.299、杨柳散和风，青山澹吾虑。22.7.2922.7.29Friday,July 29,202210、阅读一切好书如同和过去最杰出的人谈话。9:25:439:25:439:257/29/2022 9:25:43 AM11、越是没有本领的就越加自命不凡。22.7.299:25:439:25Jul-2229-Jul-2212、越是无能的人，越喜欢挑剔别人的错儿。9:25:439:25:439:25Friday,July 29,202213、知人者智，自知者明。胜人者有力，自胜者强。22.7.2922.7.299:25:439:25:43July 29,202214、意志坚强的人能把世界

37、放在手中像泥块一样任意揉捏。2022年7月29日星期五上午9时25分43秒9:25:4322.7.2915、最具挑战性的挑战莫过于提升自我。2022年7月上午9时25分22.7.299:25July 29,202216、业余生活要有意义，不要越轨。2022年7月29日星期五9时25分43秒9:25:4329 July 202217、一个人即使已登上顶峰，也仍要自强不息。上午9时25分43秒上午9时25分9:25:4322.7.29MOMODA POWERPOINTLorem ipsum dolor sit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis amet,consectetur adipiscing elit.Fusce id urna blanditut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉