信息系统安全等级与标准概述

第10章

信息系统安全等级与标准

10.1国际安全评价标准概述

10.2中国信息安全等级保护准则

习

题

安全需求与安全代价，总是安全问题上相互对立的统一体。对于信息技术、信息系统和信息产品的安全等级进行评价，将会使生产者和用户在这两个方面容易找到一个科学的折中。因此，建立完善的信息技术安全的测评标准与认证体系，规范信息技术产品和系统的安全特性，是实现信息安全保障的一种有效措施。它有助于建立起科学的安全产品生产体系、服务体系。

10.1国际安全评价标准概述

10.1.1DoD5200.28-M和TCSEC10.1.2欧共体信息技术安全评价准则ITSEC10.1.3加拿大可信计算机产品安全评价准则CTCPEC10.1.4美国信息技术安全评价联邦准则FC10.1.5国际通用准则CC第一个有关信息技术安全的标准是美国国防部于1985年提出的可信计算机系统评价准则TCSEC，又称桔皮书。以后，许多国家和国际组织也相继提出了新的安全评价准则。图10.1所示为国际主要信息技术安全测评标准的发展及其联系。加拿大可信计算机产品评价准则CTCOEC（1989年）美国国防部可信计算机评价准则TCSEC（1983年）美国联邦准则FC（1992年）国际通用准则（CC）（1996年）

CC成为国际标准ISO15408（1999年）

欧洲信息技术安全性评价准则ITSEC（1991年）美国国防部DoD5200.28-M（1979年6月）GB17859-1999

（1999年）

图10.1国际主要信息技术安全测评标准的发展及其联系

在信息安全等级标准中，一个非常重要的概念是可信计算基（TrustedComputerBase，TCB）。TCB是计算机系统内保护装置的总体，包括硬件、固件和软件。它们根据安全策略来处理主体（系统管理员、安全管理员、用户、进程）对客体（进程、文件、记录、设备等）的访问。TCB还具有抗篡改的性能和易于分析与测试的结构。10.1.1DoD5200.28-M和TCSEC

1.DoD5200.28-M世界上最早的计算机系统安全标准应当是美国国防部1979年6月25日发布的军标DoD5200.28-M。它为计算机系统定义了4种不同的运行模式。（1）受控的安全模式：系统用户对系统的机密材料的访问控制没有在操作系统中实现，安全的实现可以通过空子用户对机器的操作权等管理措施实现。（2）自主安全模式：计算机系统和外围设备可以在指定用户或用户群的控制下工作，该类用户了解并可自主地设置机密材料的类型与安全级别。（3）多级安全模式：系统允许不同级别和类型的机密资料并存和并发处理，并且有选择地许可不同的用户对存储数据进行访问。用户与数据的隔离控制由操作系统和相关系统软件实现。（4）强安全模式：所有系统部件依照最高级别类型得到保护，所有系统用户必须有一个安全策略；系统的控制操作对用户透明，由系统实现对机密材料的并发控制。

2.TCSECTCSEC是计算机系统安全评价的第一个正式标准，于1970年由美国国防科学技术委员会提出，于1985年12月由美国国防部公布。TCSEC把计算机系统的安全分为4等7级：（1）D等（含1级）D1级系统：最低级。只为文件和用户提供安全保护。

（2）C等（含2级）C1级系统：可信任计算基TCB（TrustedComputingBase）通过用户和数据分开来达到安全目的，使所有的用户都以同样的灵敏度处理数据（可认为所有文档有相同机密性）C2级系统：在C1基础上，通过登录、安全事件和资源隔离增强可调的审慎控制。在连接到网上时，用户分别对自己的行为负责。（3）B等（含3级）B级具有强强制性保保护功能能。强制制性意味味着在没没有与安安全等级相连连的情况况下，系系统就不不会让用用户寸取取对象。。（a）B1级系统：：·对每每个对象象都进行行灵敏度度标记，，导入非非标记对对象前要先标记记它们；；·用灵灵敏度标标记作为为强制访访问控制制的基础础；·灵敏敏度标记记必须准准确地表表示其所所联系的的对象的的安全级别；·系统统必须使使用用户户口令或或身份认认证来决决定用户户的安全访问级级别；·系统统必须通通过审计计来记录录未授权权访问的的企图。。（b）B2级系统：：·必须须符合B1级系统的的所有要要求；·系统统管理员员必须使使用一个个明确的的、文档档化的安安全策略模式作作为系统统可信任任运算基基础体制制；可信信任运算算基础体体制能够支支持独立立的操作作者和管管理员；；·只有有用户能能够在可可信任通通信路径径中进行行初始化化通信；；·所有有与用户户相关的的网络连连接的改改变必须须通知所所有的用户。（c）B3级系统具具有很强强的监视视委托管管理访问问能力和和抗干扰能力力。要求求：·必须须符合B2系统所有有安全需需求；·必须须设有安安全管理理员；·除控控制个别别对象的的访问外外，必须须产生一一个可读读的安全列表；；每个被被命名的的对象提提供对该该对象没没有访问问的用户户列表说明明；·系统统验证每每一个用用户身份份，并会会发送一一个取消消访问的审计跟跟踪消息息；·设计计者必须须正确区区分可信信任路径径和其他他路径；；·可信信任的通通信基础础体制为为每一个个被命名名的对象象建立安全审计计跟踪；；·可信任任的运算算基础体体制支持持独立的的安全管管理。（4）A等（只含含1级））——最最高安全全级别A1级与B3级相似，，对系统统的结构构和策略略不作特特别要求求，而系统的的设计者者必须按按照一个个正式的的设计规规范进行行系统分分析；分析析后必须须用核对对技术确确保系统统符合设设计规范范。A1系统必须满满足：·系统统管理员员必须接接收到开开发者提提供的安安全策略略正式模模型；·所有有的安装装操作都都必须由由系统管管理员进进行；·系统统管理员员进行的的每一步步安装操操作必须须有正式式的文档档。TCSEC的初衷主主要是针针对集中中式计算算的分时时多用户户操作系统。后后来又针针对网络络（分布布式）和和数据库库管理系系统（C/S结构）补补充了一一些附加加说明和和解释，，典型的的有可信信计算机机网络系统统说明（（NCSC-TG-005）和可信数数据库管管理系统统解释等。10.1.2欧欧共体体信息技技术安全全评价准准则ITSECITSEC是欧共体体于1991年年发布的的，它是是欧洲多多国安全全评价方法的的综合产产物，应应用领域域为军队队、政府府和商业业。该标标准将安全全的概念念分为功功能和评评估两部部分。1.功功能准则则分为10级：F1~F10：：·F1~F5对应TCSEC的D~A；；·F6~F10对应数据据和程序序的完整整性，系系统的可可用性，，数据通信的的完整性性、保密密性。2.评评估准则则分为6级级，分别别是测试试、配置置控制和和可控的的分配、、详细设计和编编码、详详细的脆脆弱性分分析、设设计于源源代码明明显对应应以及设计计与源代代码在形形式上的的一致。。10.1.3加拿大可可信计算算机产品品安全评评价准则则CTCPECCTCPEC是加拿大大于1993年年发布的的。它综综合了TCSEC和ITSEC两个准则则的优点点，专门门针对政政府需求求设计。。它将安安全分为功能能性需求求和保证证性需求求两部分分。功能能性需求求分为4大类：·机密密性；·可用用性；·完整整性；·可控控性。每一种安安全需求求又分为为一些小小类（分分级条数数0~5），以以表示安全全性上的的差别。。10.1.4美美国信信息技术术安全评评价联邦邦准则FCFC也是吸收收了TCSEC和ITSEC两个准则则的优点点于1993年年发布的。它它引入了了“保护护轮廓（（PP）””的概念。。每个轮轮廓都包包括功能、开开发保证证和评价价三部分分，在美美国政府府、民间间和商业业上应用很很广。10.1.5国际通用用准则CC1993年6月月，欧、、美、加加等有关关6国，，将各自自独立的的准则集合成一一系列单单一的、、能被广广泛接受受的IT安全准则则——通通用准则CC，将CC提交给ISO，，并于1996年年颁布了了1.0版。1999年12月ISO正式将CC2.0（（1998年颁布））作为国国际标准准——ISO15408发布。CC的主要思思想和框框架都取取自ITSEC和FC，并突出了了“保护护轮廓”的的概念。。它将评评估过程程分为安安全保证证和安全全功能两两部分。安全全保证要要求为7个评估估保证级级别：EAL1：功能测试试EAL2：结构测试试EAL3：系统测试试和检查查EAL4：系统设计计、测试试和复查查EAL5：半形式化化设计和和测试EAL6：半形式化化验证的的设计和和测试EAL7：集成化验验证的设设计和测测试表10.1为CC、TCSEC、ITSEC标准之间间的对应应关系。。CCTCSECITSEC—D—EAL1—E1EAL2C1E2EAL3C2E3EAL4B1E4EAL5B2E5EAL6B3E6EAL7AE7表10.1CC、TCSEC、ITSEC标准之间间的对应应关系CC目前已经经发布了了如下的的版本：：·1996年年6月发发布CC第1版；；·1998年年5月发发布CC第2版；；·1999年年10月月发布CC第2.1版，并并成为ISO标准。10.2中国信息息安全等等级保护护准则10.2.1第一级：：用户自自主保护护级10.2.2第二级：：系统审审计保护护级10.2.3第三级：：安全标标记保护护级10.2.4第四级：：结构化化保护级级10.2.5第五级：：访问验验证保护护级习题中国已经经发布实实施《计计算机信信息系统统安全保保护等级级划分准则》GB17859-1999。。这是一部部强制性性国家标标准，也也是一种技术法法规。它它是在参参考了DoD5200.28-STD和NCSC-TC-005的基础上上，从自自主访问问控制、、强制访访问控制制、标记记、身份鉴别、、客体重重用、审审计、数数据完整整性、隐隐蔽信道道分析、、可信路径径和可恢恢复等10个方方面将计计算机信信息系统统安全保保护等级划分分为5个个级别的的安全保保护能力力：第一级：：用户自自主保护护级；第二级：：系统审审计保护护级；第三级：：安全标标记保护护级；第四级：：结构化化保护级级；第五级：：访问验验证保护护级。计算机信信息系统统的安全全保护能能力随着着安全保保护等级级的增高而增强强。在信息安安全等级级标准中中，各等等级之间间的差异异在于TCB的构造不同同以及其其所具有有的安全全保护能能力的不不同。下下面介绍绍各等级的的基本内内容。10.2.1第第一级级：用户户自主保保护级本级的可可信计算算基通过过隔离用用户与数数据，使使用户具具备自主安全保保护的能能力。它它具有多多种形式式的控制制能力，，对用户户实施访问问控制，，即为用用户提供供可行的的手段，，保护用用户和用用户组信息息，避免免其他用用户对数数据的非非法读写写与破坏坏。（1）自自主访问问控制：：可信计算算基定义义系统中中的用户户和命名名用户对对命名客客体的访问，并并允许命命名用户户以自己己的身份份和（或或）用户户组的身身份指定并并控制对对客体的的访问；；阻止非非授权用用户读取取敏感信信息。（2）身身份鉴别别：从用户的的角度看看，可信信计算基基的责任任就是进进行身份份鉴别。。在系统初初始化时时，首先先要求用用户标识识自己的的身份，，并使用用保护机制制（例如如：口令令）来鉴鉴别用户户的身份份，阻止止非授权权用户访问问用户身身份鉴别别数据。。（3）数数据完整整性：可可信计算算基通过过自主完完整性策策略，阻阻止非授权权用户修修改或破破坏敏感感信息。。10.2.2第第二级级：系统统审计保保护级这一级除除具备第第一级所所有的安安全功能能外，要要求创建建和维护访问的的审计跟跟踪记录录，使所所有用户户对自己己的合法法性行为为负责。具具体保护护能力如如下。（1）自自主访问问控制：：可信计计算基定定义实施施的访问问控制的粒度是是单个用用户。没没有存取取权的用用户只允允许由授授权用户户指定对客客体的访访问权。。（2）身身份鉴别别比用户户自主保保护级增增加两点点：·通过过为用户户提供惟惟一标识识，可信信计算基基使用户户对自己己的行为负负责。·具备备将身份份标识与与该用户户所有可可审计行行为相关关联的能能力。（3）客客体重用用：在可信计计算基的的空闲存存储客体体空间中中，对客客体初始始指定、、分配或再再分配一一个主体体之前，，撤销该该客体所所含信息息的所有有授权。当当主体获获得对一一个已被被释放的的客体的的访问权权时，当当前主体不不能获得得原主体体活动所所产生的的任何信信息。（4）审审计：在可信计计算基能能创建和和维护受受保护客客体的访访问审计计跟踪记录，并并能阻止止非授权权的用户户对它访访问或破破坏。可信计算算基能记记录下述述事件：：使用身身份鉴别别机制；；将客体引入用用户地址址空间（（例如：：打开文文件、程程序初始始化）；；删除客体体；由操操作员、、系统管管理员或或（和））系统安安全管理理员实施的的动作，，以及其其他与系系统安全全有关的的事件。。对于每每一事件，，其审计计记录包包括：事事件的日日期和时时间、用用户、事事件类型、、事件是是否成功功。对于于身份鉴鉴别事件件，审计计记录包包含请求的的来源（（例如：：终端标标识符））；对于于客体引引入用户户地址空间间的事件件及客体体删除事事件，审审计记录录包含客客体名。。对不能由由可信计计算基独独立分辨辨的审计计事件，，审计机机制提供供审计记录录接口，，可由授授权主体体调用。。这些审审计记录录区别于于计算机信信息系统统可信计计算基独独立分辨辨的审计计记录。。（5）数数据完整整性：可可信计算算基通过过自主完完整性策策略，阻止非授授权用户户修改或或破坏敏敏感信息息。10.2.3第第三级级：安全全标记保保护级本级的可可信计算算基具有有系统审审计保护护级的所所有功能能。此外，还需需以访问问对象的的安全级级别限制制访问者者的访问问权限，，实现对访访问对象象的强制制访问。。为此需需要提供供有关安安全策略略模型、数数据标记记以及主主体对客客体强制制访问控控制的非非形式化化描述，具具有准确确地标记记输出信信息的能能力，消消除测试试发现的的任何错误误。（1）自自主访问问控制：：同系统统审计保保护级。。（2）强强制访问问控制：：可信计算算基对所所有主体体及其控控制的客客体（例例如：进进程、文件、段段、设备备）实施施强制访访问控制制。通过过敏感标标记为这这些主体及及客体指指定安全全等级。。安全等等级用二二维组表表示：第第一维是等等级分类类（如秘秘密、机机密、绝绝密等）），第二二维是范范畴（如适适用范畴畴）。它它们是实实施强制制访问控控制的依依据。可可信计算基基支持两两种或两两种以上上成分组组成的安安全级。。可信计计算基控制制的所有有主体对对客体等等级分类类的访问问：·仅当当主体安安全级中中的等级级分类高高于或等等于客体体安全级级中的等级级分类，，且主体体安全级级中的非非等级类类别包含含了客体体安全级中中的全部部非等级级类别，，主体才才能读客客体；·仅当当主体安安全级中中的等级级分类低低于或等等于客体体安全级级中的等级级分类，，且主体体安全级级中的非非等级类类别包含含了客体体安全级中中的全部部非等级级类别，，主体才才能写一一个客体体。可信计算算基使用用身份和和鉴别数数据，鉴鉴别用户户的身份份，并保证用户户创建的的可信计计算基外外部主体体的安全全级和授授权受该该用户的安安全级和和授权的的控制。。（3）敏敏感标记记：敏感标记记是实施施强制访访问的基基础。可可信计算算基应明明确规定需要标标记的客客体（例例如：进进程、文文件、段段、设备备），明明确定义标标记的粒粒度（如如文件级级、字段段级等）），并必必须使其其主要数据据结构具具有相关关的敏感感标记。。为了输输入未加加安全标标记的数据据，可信信计算基基向授权权用户要要求并接接受这些些数据的的安全级别别，且可可由计算算机信息息系统可可信计算算基审计计。（4）身身份鉴别别；可信计算算基初始始执行时时，首先先要求用用户标识识自己的的身份，，而且，可可信计算算基维护护用户身身份识别别数据并并确定用用户访问问权及授权权数据。。其他同同系统审审计保护护级。（5）客客体重用用；在统可信信计算基基的空闲闲存储客客体空间间中，对对客体初初始指定、分配配或再分分配一个个主体之之前，撤撤销客体体所含信信息的所所有授权。。当主体体获得对对一个已已被释放放的客体体的访问问权时，，前主体不不能获得得原主体体活动所所产生的的任何信信息。（6）审审计可信计计算基基能创创建和和维护护受保保护客客体的的访问问审计计跟踪踪记录，并并能阻阻止非非授权权的用用户对对它访访问或或保护护。可可信计计算基基能记录录下述述事件件：使使用身身份鉴鉴别机机制；；将客客体引引入用用户地地址空间间（例例如：：打开开文件件、程程序初初始化化）；；删除除客体体；由由操作员员、系系统管管理员员或（（和））系统统安全全管理理员实实施的的动作作，以及其其他与与系统统安全全有关关的事事件。。对于于每一一事件件，其其审计计记录包包括：：事件件的日日期和和时间间、用用户、、事件件类型型、事事件是是否成功功。对对于身身份鉴鉴别的的事件件，审审计记记录包包含请请求的的来源源（例如如：终终端标标识符符）对对于客客体引引入用用户地地址空空间的的事件件及客体体删除除事件件，审审计记记录包包含客客体名名及客客体的的安全全级别别。此外，，可信信计算算基具具有审审计更更改可可读输输出记记号的的能力力。对不能能由可可信计计算基基独立立分辨辨的审审计事事件，，审计计机制制提供供审计记记录接接口，，可由由授权权主体体调用用。这这些审审计记记录区区别于于可信计计算基基独立立分辨辨的审审计记记录。。（7））数据据完整整性可信计计算基基通过过自主主和强强制完完整性性策略略，阻阻止非非授权权用户修改改或破破坏敏敏感信信息。。在网网络环环境中中，使使用完完整性性敏感感标记来来确保保信息息在传传送中中未受受损。。10.2.4第第四四级：：结构构化保保护级级本级的的计算算机信信息系系统可可信计计算基基建立立于一一个明明确定定义的形式式化安安全策策略模模型之之上，，将它它要求求第三三级系系统中中的自自主和强强制访访问控控制扩扩展到到所以以主体体与客客体。。此外外，还还要考考虑隐蔽蔽信道道。本本级的的可信信计算算基必必须结结构化化为关关键保保护元元素和非非关键键保护护元素素；可可信计计算基基的接接口也也必须须明确确定义义，使其设设计与与实现现能经经受更更充分分的测测试和和更完完整的的复审审；加加强了鉴鉴别机机制；；支持持系统统管理理员和和操作作员的的职能能；提提供可可信设施施管理理；增增强了了配置置管理理控制制。系系统具具有相相当的的抗渗渗透能力力。安全标标记保保护级级相比比，起起主要要特征征有：：（1））可信信计算算基基基于一一个明明确定定义的的形式式化安安全保保护策略。。（2））将第第三级级实施施的（（自主主或强强制））访问问控制制扩展展到所有主主体和和客体体。即即在自自主访访问控控制方方面，，可信信计算算基应应维护由由外部部主体体能够够直接接或间间接访访问的的所有有资源源（例例如：：主体、、存储储客体体和输输入输输出资资源））实施施强制制访问问控制制，为为这些主主体及及客体体指定定敏感感标记记，这这些标标记是是等级级分类类和非非等级类类别的的组合合，他他们是是实施施强制制访问问控制制的依依据。。（3））审计计方面面：·计计算机机信息息系统统可信信计算算基能能记录录下述述事件件：使使用身身份鉴别别机制制；将将客体体引入入用户户地址址空间间（例例如：：打开开文件件、程序初初始化化）；；删除除客体体；由由操作作员、、系统统管理理员或或（和和）系统安安全管管理员员实施施的动动作，，以及及其他他与系系统安安全有有关的的事件。。对于于每一一事件件，其其审计计记录录包括括：事事件的的日期期和时时间、用用户、、事件件类型型、事事件是是否成成功。。对于于身份份鉴别别事件件，审计记记录包包含请请求的的来源源（例例如：：终端端标识识符））；对对于客客体引入入用户户地址址空间间的事事件及及客体体删除除事件件，审审计记记录包包含客体体名及及客体体的安安全级级别。。此外外，计计算机机信息息系统统可信信计算基基具有有审计计更改改可读读输出出记号号的能能力。。·对对不能能由计计算机机信息息系统统可信信计算算基独独立分分辨的的审计计事件，，审计计机制制提供供审计计记录录接口口，可可由授授权主主体调调用这这些审计计记录录区别别于计计算机机信息息系统统可信信计算算基独独立分分辨的的审计记记录。。·计计算机机信息息系统统可信信计算算基能能够审审计利利用隐隐蔽存存储信信道时可可能被被使用用的事事件。。（4））数据据完整整性：：计算机机信息息系统统可信信计算算基通通过自自主和和强制制完整整性策策略，，阻止非非授权权用户户修改改或破破坏敏敏感信信息。。在网网络环环境中中，使使用完整整性敏敏感标标记来来确保保信息息在传传送中中未受受损。。（5））隐蔽蔽信道道分析析：系统开开发者者应彻彻底搜搜索隐隐蔽存存储信信道，，并根根据实实际测测量或工程程估算算确定定每一一个被被标识识信道道的最最大带带宽。。（6））可信信路径径：对用户户的初初始登登录和和鉴别别，计计算机机信息息系统统可信信计算算基在它与与用户户之间间提供供可信信通信信路径径。该该路径径上的的通信信只能能由该用用户初初始化化。10.2.5第第五五级：：访问问验证证保护护级本级的的可信信计算算基满满足引引用监监视器器需求求。访访问监监控器器仲裁主体体对客客体的的全部部访问问。访访问监监控器器本身身是抗抗篡改改的；；必须足足够小小，能能够分分析和和测试试。为了满满足访访问监监控器器需求求，可可信计计算基基在其其构造造时，，排除那些些对实实施安安全策策略来来说并并非必必要的的代码码；在在设计计和现现实时，，从系系统工工程角角度将将其复复杂性性降低低到最最小程程度。。支持持安全提提供系系统恢恢复机机制管管理员员职能能；扩扩充审审计机机制，，当发发生与安安全相相关的的事件件时发发出信信号；；提供供系统统恢复复机制制。系系统具有有很高高的抗抗渗透透能力力。与第四四级相相比，，主要要区别别有：：（1））可信信计算算基的的构造造方面面：本级具具有访访问监监控器器。访访问监监控器器是监监视主主体和和客体体之间授权权关系系的部部件，，仲裁裁主体体对客客体的的全部部访问问。访访问监监控器必必须是是抗篡篡改的的，并并且是是可分分析和和测试试的。。（2））在自自主访访问控控制方方面：：由于有有访问问监控控器，，所以以访问问控制制能为为每个个客体体指定定用户和用用户组组，并并规定定他们们对客客体的的访问问模式式。没没有存存储权权的用户户只允允许由由授权权用户户指定定对客客体的的访问问权。。（3））在审审计方方面可信计计算基基包含含能够够监控控可审审计安安全事事件发发生与与积累累的机制，，当超超过阈阈值时时，能能够立立即向向安全全管理理员发发出警警报。。并且，，如果果这些些与安安全相相关的的事件件继续续发生生或积积累，，系统统应以最最小的的代价价终止止它们们。（4））可信信恢复复：提供过过程和和机制制，保保证计计算机机信息息系统统失效效或中中断后后，可以以进进行行不不损损害害任任何何安安全全保保护护性性能能的的恢恢复复。。9、静夜四四无邻，，荒居旧旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中中黄叶叶树，，灯下下白头头人。。。03:49:0703:49:0703:4912/29/20223:49:07AM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2203:49:0703:49Dec-2229-Dec-2212、故人江海海别，几度度隔山川。。。03:49:0703:49:0703:49Thursday,December29,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2203:49:0703:49:07December29,202214、他乡乡生白白发，，旧国国见青青山。。。29十十二二月20223:49:07上上午03:49:0712月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月223:49上午午12月-2203:49December29,202216、行动出出成果，，工作出出财富。。。2022/12/293:49:0703:49:0729December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。3:49:07上上午午3:49上上午午03:49:0712月月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。