資安

点击查看第一章点击查看第三章 2DIGITAL DEVICES sectionA DEVICES BASICS WHAT’S InSIde all these digital devices that we use? Whether you’re oper- ating your […]

网络空间安全技术丛书点击查看第二章点击查看第三章Linux系统安全：纵深防御、安全扫描与入侵检测 胥峰　著 第1章 Linux系统安全概述 著名网站技术调查公司W3Techs（官方网站：https://w3techs.com ）于2018年11月17日发布的调查报告中指出，Linux在网站服务器操作系统中使用比例高达37.2%。除了被广泛使用在网站平台上以外，Linux也常常被作为FTP服务器、电子邮件服务器、域名解析服务器和大数据分析服务器等而部署在互联网上。Linux作为互联网基础设施的一个重要组成部分，保障其安全的重要性不言而喻。虽然Linux是一款被大量部署的优秀的开源操作系统，但是这并不意味着不需要关注其安全性。在互联网上，有许许多多针对Linux系统的攻击。例如，中国国家计算机病毒应急处理中心（官方网站：http://www.cverc.org.cn ）在《病毒预报 第七百六十九期》中指出：“通过对互联网的监测，发现了一款旨在感染Linux设备的加密货币挖矿恶意程序Linux.BtcMine.174。该恶意程序在不经过设备所有者同意的情况下使用CPU或GPU资源来进行隐蔽的加密货币挖掘操作。”如果缺乏严密细致的防御措施、积极主动的安全扫描、行之有效的入侵检测系统、切实到位的安全管理制度和流程保障，那么Linux系统很容易被黑客入侵或利用，而保障业务和数据安全也将成为一句空话。本章概览性地介绍信息安全和系统安全的概念、常见的威胁分析模型和保障安全的主要原则。对于从全局上把握Linux系统安全来说，这些知识是不可或缺的，它们是构建完整Linux系统安全体系的指南，引导着本书后续章节内容。 1.1　什么是安全 1500多年前，由从梵文译成汉文的《百喻经·愿为王剃须喻》中讲述了亲信救王的故事。故事中写道：“昔者有王，有一亲信，于军阵中，殁命救王，使得安全。”这里的安全指的就是“平安、不受威胁”。同样，笔者认为，安全是指一种状态，在这种状态下，某种对象或者对象的某种属性是不受威胁的。例如，《中华人民共和国国家安全法》第二条对国家安全的定义是：“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力。”《中华人民共和国网络安全法》第五条中指出，网络安全的目的之一就是“保护关键信息基础设施免受攻击、侵入、干扰和破坏”，也就是保护关键信息基础设施不受威胁。 1.1.1　什么是信息安全 对于什么是信息安全（Information Security），不同的组织和个人可能有不同的定义。ISO/IEC、美国国家安全系统委员会和国际信息系统审计协会对信息安全的定义是被大部分信息安全从业人员所认可并支持的。《ISO/IEC 27001:2005 信息安全管理体系规范与使用指南》中对信息安全的定义是：“保护信息的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及其他属性，如真实性、可确认性、不可否认性和可靠性。”美国国家安全系统委员会（Committee on National Security Systems，CNSS）在《Committee on

点击查看第一章点击查看第三章 第2章 Linux网络防火墙 网络防火墙（Network Firewall）是一种网络安全系统，它监控并依据预定义的规则控制进入和外发的网络流量。对于服务器系统来说，按照纵深防御的原则，使用网络防火墙进行防护是除了保障物理安全之外必须实施的控制措施。在诸多相关信息安全规范和指南中也特别强调网络控制的实践。例如，在《ISO/IEC 27001:2005 信息安全管理体系规范与使用指南》的“A.10.6.1网络控制的控制措施”中指出，应确保网络充分的管理和控制，以防范威胁、保护使用网络的系统和应用维护安全，包括传输的信息。本章将介绍网络防火墙的基本原理，并讲解利用iptables、Cisco防火墙、TCP Wrappers和DenyHosts构筑网络防护措施的技术。接下来介绍在公有云上实施网络安全控制的措施以及使用堡垒机进一步加强网络安全的实践。随后介绍分布式拒绝服务攻击（Distributed Denial of Service，DDoS）的防护措施。在本章的最后部分将介绍局域网中ARP欺骗攻击的模型和防御方案。 2.1　网络防火墙概述 在国际标准化组织（International Organization for Standardization，ISO）的开放系统互联参考模型（Open System Interconnection Reference Model）中，网络互联模型分为7层，如表2-1所示。

点击查看第一章点击查看第二章 第3章 虚拟专用网络 虚拟专用网络（Virtual Private Network，VPN）架设在公共共享的互联网基础设施上，在非受信任的网络上建立私有的和安全的连接，把分布在不同地域的信息基础设施、办公场所、用户或者商业伙伴互联起来。虚拟专用网络使用加密技术为通信提供安全保护，以对抗对通信内容的窃听和主动的攻击。虚拟专用网络在今天被广泛地使用到远程互联中。在虚拟专用网络技术出现之前，不同办公场所互联组建专用私有网络时，企业往往需要投入较大的成本用于租赁专用线路。虚拟专用网络的出发点是建立虚拟的专用链路，在互联网上进行传输并使用加密技术进行通信安全防护。虚拟专用网络的使用场景如下。 安全互联：把多个分布在不同地域的服务器或者网络安全地连接起来。 指定网络流量路由：把多个点之间的网络流量通过虚拟专用网络的隧道进行连接后，可以使用动态路由等优化内部网络通信。 匿名访问：通过虚拟专用网络通道，可以隐藏客户端的来源IP地址，在某些场景下可以起到保护用户的作用。 本章将首先概要描述目前使用比较多的各种虚拟专用网络构建技术、方案和原理，然后重点讲解使用OpenVPN构建企业级虚拟专用网络的最佳方案，深入研究其中的核心配置参数，最后对OpenVPN的排错思路和方法进行指导。 3.1　常见虚拟专用网络构建技术 目前我们在实践中，经常遇到的虚拟专用网络构建技术，大致上分以下3类： 点到点的隧道协议（Point-to-Point Tunneling Protocol，PPTP）虚拟专用网络 互联网协议安全（Internet Protocol Security，IPSec）虚拟专用网络 安全接口层/安全传输层协议（Secure Sockets

作者：阿里云运维工程师首选要有一台云服务器，开始部署开发环境，还没有购买的同学，请移至阿里云官网购买（记得领取代金券礼包，希望对你有所帮助！） 准备工作 安装目录我们创建如下路径/usr/develop，然后在develop目录下面创建java,tomcat和mysql三个目录即可。 配置JDK 理解wget命令wget命令是一个从网络上下载文件的自由工具，它支持http协议，https协议和ftp协议。因此我们可以通过wget命令来下载JDK。wget的格式：wget 要下载的url。下载的目录为当前执行wget命令的目录。 一.安装 JDK 1.首先查看一下系统是32位的还是64位的执行： uname -m 2.去Oracle官网下载对应版本的JDKJDK下载地址：https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html3.下载完后上传到云服务器，然后解压tar -zxvf jdk-8u181-linux-x64.tar.gz4.将解压后的文件夹剪切到usr/local/jdk1.8 目录下 mv jdk1.8.0_181 /usr/local/jdk1.8/ 5.配置环境变量 vim

点击查看第一章点击查看第三章 第2章 卓越设备管理与运维体系制造业的本质是对各类资源（智力、物力、人力、财力）进行融合及处理，改变原有资源的呈现形式或状态，从而实现资源增值的过程。而设备是制造企业的核心资产，因此，设备资产的绩效水平是度量一个制造系统的重要维度之一。 全生命周期管理的本质目标是实现设备一生效益的最大化。以设备全生命周期管理为内容，做好基础信息的精细管理。设备的基础信息要规范、完整和清晰，要反映设备管理全过程的痕迹。通过信息的贯通，支持全生命周期的分析与决策，最终实现设备一生效益最大化的目标。 精益设备运维管理的本质目标是实现运行效益最大化。设备管理精益化工作的宗旨是设备运行综合效能最大化。以生产制造为中心、不断提高产品质量为根本、原辅材料高效利用为准绳、运行费用合理控制为基础、持续稳定提高设备运行效率为导向，采取综合技术经济管理措施，系统化推进设备管理精益化的各项工作，实现设备运行综合效能最大化。 TPM是精益管理在设备专业的具体要求，能不断提升设备综合效率。通过“全员、全系统”的推进及管理的改善，最终实现“全效率”的目标。全效率在TPM系统中主要是指设备的OEE指标。该指标表征了设备在开动率、性能率、优质率三个不同维度的综合要求。 卓越管理具有更多的外延和内涵。卓越设备管理表明设备管理领域的一个最重要的变化，即目标和绩效、设备全生命周期管理和设备精益运维的系统整合，旨在引导组织追求“卓越绩效”。卓越不仅要体现设备管理在某一个环节的优秀，如运维和保障，而且要体现从优秀走向卓越，以追求“组织的效率最大化和全系统的价值最大化”为目标。 目前，越来越多的管理者开始关注业务卓越化管理，欧洲品质管理基金会给组织提供了一个用于自我业务评价和改进的工具，即EFQM（European Foundation for Quality Management）业务卓越模型，简称EFQM模型。本章的编写思路可参见图2-1。首先介绍了通用的EFQM模型，并将设备管理的需求融合到EFQM模型中，形成设备卓越管理与运维模型。其次以信息化为支撑，提出了设备卓越管理与运维体系建设的体系化、人性化、数字化、智能化“四化”目标。结合当前信息技术的最新发展和智能制造环境下的信息化环境，给出了信息化系统架构和核心业务流程。最后，在信息化架构的基础上给出了“三×三”应用模型。 2.1　通用EFQM模型概述 通用EFQM模型包含8个主导概念，即结果导向、以顾客为中心、领导力与坚守目标、基于过程和事实的管理、人员开发和参与、持续学习/改进和创新、发展合作伙伴关系、企业社会责任，如图2-2所示。第一，结果取决于兼顾并满足所有相关受益者的需要（受益者包括员工、顾客、供应商、社会以及企业的投资人）。第二，以顾客为中心，顾客是产品和服务的最终裁判者。使顾客忠诚，留住顾客以及获得市场份额都是通过清楚地识别顾客目前和潜在的需要来达到最优化的。第三，组织中的领导力行为创造了清晰一致的组织目标，也创造了使组织及其员工取得优秀成绩的环境。第四，当组织内部的所有活动被理解并系统地加以管理时，当有关现行运营和有计划的改进等决策是通过使用包括受益者意见在内的可靠信息做出时，组织运行就越有效。 第五，组织中员工的潜能是通过价值分享、相互信任和授权的文化氛围、鼓励员工参与得以充分释放的。第六，当组织在持续学习、改进和创新的文化氛围中进行管理和分享信息时，其绩效最优。第七，组织与其合作伙伴有互惠关系，彼此之间相互信任时，其工作最有效。第八，对于一个注重社会责任的企业，其组织及其员工的长期利益会得到最好保护。RADAR理念是EFQM模型的核心要求。EFQM卓越模型的RADAR理念框架如图2-3所示，它共有四个方面的要求。结果：应有正面的趋势稳定的表现，目标要恰当且被实现或超越。并将结果与其他方案进行比较，确定结果与方案的相关性。结果的范围应当覆盖全部相关领域。方案：采用一系列协调的方法去实现目前和将来需要的结果。对于一个方案，要问：具体的结构内容是什么？为什么这么做？一个好的方案应该包含被很好地定义和开发的流程。应充分关注干系人的需求，应与战略和其他流程协调。展开：用一个系统的途径去下达这个方案，并彻底执行。评估和重审：在分析和监督已取得的成效和持续学习的基础上来评价这个方案的效果及方案被展开的程度。根据确认的结果来计划、实施方案。在评估方案结果和方案执行程度两方面，组织应有定期的测量和学习活动，并用所得结果来修改计划和执行改善方案。 2.2　适用于设备管理的EFQM模型 EFQM模型中的八个主导概念与智能制造环境下的设备管理要求高度一致，因此，将卓越管理模型应用于智能制造环境下的设备管理是非常合适的。针对设备管理业务给出的卓越模型如图2-4所示。 卓越设备管理体系遵从智能制造战略，是支撑智能制造的重要一环，在智能制造的整体框架下进行建设：抓住团队、技术、数据和备件四大资源，落实全生命周期资产管理、精益运维过程管理、精美现场作业管理三个层次的过程执行，最终体现卓越绩效指标的管理结果。1.抓住四大资源1）团队：解决当前维护队伍人才不足、维修手段落后与先进智能化设备之间的矛盾。因此，用好设备维护专业团队是设备管理的基础出发点。团队资源还包括与企业运维关系密切的外部资源，如专家资源、厂家资源和合作伙伴等。2）技术：设备本身的技术特性、故障特征、设计指标等专业信息始终是设备运维管理的基础资源。3）数据：数据应当是一种新的资源，数据的分析与利用是智能制造环境下的重要使能手段。4）备件：做好备件资源的经济规划，确保备件的高可用性、低库存成本和高周转率。2.落实三个层次的过程执行1）全生命周期资产管理：贯穿设备规划、设备前期、设备验收到设备变动、设备报废的全过程资产变动管理。2）精益运维过程管理：基于设备技术要求，以工单为形式，支撑设备运维作业的全过程。3）精美现场作业管理：智能制造环境下强调现场作业的落地与人机和谐。3.体现卓越绩效指标的管理结果1）人员成长绩效：设备管理体系的运行需要支撑团队的进步和人员水平的提升。2）效能提升绩效：设备管理体系的运行需要体现设备综合效率的提升。3）节支降耗绩效：设备管理体系的运行需要体现出成本的节约、能耗的降低、经济效益的显著提升。 2.3　卓越设备模型与信息化融合 基于“IE+IT”的理论，信息化系统要以卓越设备模型为指导，面向智能制造的现实需求，利用信息化手段为企业提供设备管理的最佳实践和指导，挖掘企业设备管理的潜力，力求在现代企业内打造四个目标，即体系化、数字化、人性化和智能化。通过这四个目标，构建卓越设备资产管理与运维体系，促进先进的管理思想落地，如图2-5所示。

点击查看第一章点击查看第二章 第3章 运维资源信息化管理要实现高效运维，首先要实现资源的高效管理。借助信息化手段，可以将运维资源中的技术、员工、备件、数据进行有效整合，为高效运维奠定良好的基础。本章的结构如图3-1所示。 3.1　管理需求 基于精益管理思想，工厂在生产管理过程中，会通过各种方式来减少生产浪费。在保证客户需求和产品质量的基础上，如何减少人、机、料和资金的无效投入，提高相关资源的产出效率就成为生产管理者的关键需求。与此类似，在设备运维过程中，如何在保证设备综合运行效率的基础上，减少人、工具、料和资金的无效投入，降低运维成本也成为设备管理者的关键需求。 人力资源。设备运维管理中的人力资源不仅包括设备运维人员，还包括设备使用人员、备件管理人员以及设备规划设计人员。对于人力资源，首先要关注人员的素质和能力建设，以个人提升促进组织提升。其次是管理体系，即团队以什么方式推动事情的运转、依托什么样的流程等，固化人在考虑问题和做事情时系统化的思维和方式。 备件资源。如果将维修人员比作大厨，备件就相当于粮食和蔬菜。俗话讲：巧妇难为无米之炊。如果缺少合适的备件，是无法保证设备运维的。众多企业维持着居高不下的备件库存，备件资源占用了大量的资金，这也是一个巨大的浪费。 技术资源。运维过程中的技术包括两个方面：一是与解决实际问题有关的知识（即know-how），如设备原理、维修方法、维修策略等；二是为了解决这些实际问题而使用的设备、工具等硬件方面的知识。 – 数据资源。随着时代的进步和信息化发展，数据也逐渐成为新的战略资源。设备运维管理也是如此，即如何将设备本体产生的数据、与设备生产相关的数据、设备运维过程数据进行有效采集、记录、处理和分析，使之成为建设智慧化运维、实现预知维修的关键。 将资源有效整合、进行合理调配和高效利用是企业设备管理的关键，而资源众多、整合困难成为管理难点。对于以上四种资源，信息化建设的业务需求包括以下几个方面。 技术资源管理方面，需要信息化系统提供结构化的技术数据管理和电子文档管理，方便信息的快速查询检索；维修策略和维修标准的数字化，数字化标准可以让系统自动生成维修计划，并便于现场作业人员参考和量化执行；建立统一的故障代码体系，构建设备的故障体系树，以方便问题诊断和故障分析。 人力资源管理方面，需要信息化系统提供对于矩阵化组织的管理，实现专业化和综合化的岗位管理。提供在线学习平台和知识库平台来支持员工技能的提升，支持历史经验的快速检索。 备件资源管理方面，需要信息化系统提供实时透明的备件库存管理、合理库存动态分析模型与自动库存预警；对备件申领耗用情况进行记录和统计，并对关键备件的使用寿命进行跟踪。 数据资源管理方面，需要信息化系统提供基于工业大数据的数据采集、整合、归档、分析和应用能力，实现设备全生命周期的数据管理，为提升管理水平提供数据化支撑。 卓越设备资产管理与运维管理体系紧抓人员、技术、备件和数据四大资源，在全生命周期数据资源管理的基础上，构建设备技术管理平台，并支持多技能、专业化人员成长和备件精细化经济管理两个闭环，如图3-2所示。 3.2　设备技术管理 3.2.1　设备台账管理 完整、准确和账实一致的设备台账是设备技术管理的基础。由于企业经营层面的信息化起步较早，多数设备台账来源于固定资产管理平台，如固定资产管理系统，少数企业目前仍靠手工进行维护。因此，首先需要理清资产与设备之间的关系。设备管理业务贯穿于企业运营层与设备运维层，企业运营层主要针对公司级业务，以“资产”为对象；设备运维层主要针对工厂级业务，以“设备”为对象。1.设备与资产之间的关系对于资产密集型企业，其大量的设备和价值不菲的资产是企业管理中的重要内容。由于资产设备兼具财务与后勤双重属性，对同一台资产设备，往往会由财务的资产管理部门总管其财务价值方面的属性，同时由后勤的设备运维部门管理其使用与维修方面的信息。由于资产管理部门从价值角度的管理要求和重点与后勤运维部门从运行维护角度的管理方式有很大的不同，如管理的“颗粒度”，财务部门往往对生产设备进行打包处理（如一条制丝是一个固定资产），而设备运维部门则往往要求进行单台管理（如制丝线的单个设备），因此很容易造成同一台设备的价值管理与实物管理不对称。虽然这种存在是合理的，但正是由于这种合理性，造成了设备管理部门与财务部门长期的信息断层与割裂，在一定程度上导致了两大部门之间的部门壁垒，形成了“两条腿走路”的情形，长期以来，部门之间信息不畅，最终导致资产设备的“账、卡、物”的严重不一致与脱节。随着企业资产设备管理水平的不断提高，打破部门壁垒、加强部门之间信息的沟通与共享已成为企业管理者的共识。EAM2系统正是基于此目标，将资产管理部门对于资产的管理与设备运维部门的设备管理整合在同一个信息平台之上，并提供有效的技术手段将设备台账与资产卡片相关联，做到既兼顾两个部门的管理标准与要求，又充分保持信息之间的沟通与关联，使实物的一台资产设备真正对应在系统的台账与卡片上，保持管理的一致性。2.设备台账管理的目标设备台账管理的目标为明确各类设备资产的资产处理方式（包括设备资产发生价值变化时的处理方式、明确设备分类和资产目录的对应方式、建立设备台账与资产卡片（资产台账）的对应关系），实现设备异动与资产价值变更的同步处理，实现资产的账、卡、物一致管理。3.设备与资产的典型对应关系设备与资产的关系相对比较复杂，这也是设备管理专业需要认真对待的一大难题，如图3-3所示。设备与资产的典型对应关系有一对一、多对一、一对多、一对无，具体对应关系说明如表3-1所示。 3.2.2　机型结构管理

在很多的IT系统架构图里，运维体系和安全体系都像两个门神一样矗立在两厢。 本文内容来自2019杭州云栖大会的以下两个分会场的收看和解读： 《大规模云计算基础设施智能运维》 《云安全峰会》 云安全峰会 《云安全峰会》的第一名演讲嘉宾是阿里云智能安全事业部总经理肖力，演讲的题目叫《破边界，超未来》。随着企业的数字化转型逐步深入，上云成为其中的关键路径。上云的同时，将获得三个方面的安全能力： 基础设施的云化、随着各种新算力的普惠，安全能力也能够做到弹性可扩展，并解决安全硬件的可信问题。 核心技术的互联网化、分布式架构将打破单机的能力限制，基于云端的在线能力和大数据处理能力可以更好的提供安全服务。 应用数据智能化、利用全网统一的威胁数据，可以做到统一的安全策略快速下发，自动化的闭环响应、智能主动防御。 具体来说，阿里云将提供6个方面的云原生安全能力： 全方位网络安全隔离管控、阿里云防火墙支持东西南北向的网络流量管控，并支持动态拓扑生成、业务流量可见、微分段隔离、阿里云防火墙是只需一键即可开启的SaaS防火墙。 全网实时情报驱动自动化响应、基于阿里云全网统一的0day漏洞捕获、疫苗制作、全局防护可实现自动化的0day漏洞主动防御。 基于云的统一身份认证、提供统一用户目录、统一身份认证、统一访问授权、统一资源管理、统一行为审计。 默认底层硬件安全与可信环境、结合Intel SGX提供可信加密执行环境。 全链路数据加密、可提供数据的加密存储、加密传输、加密计算、脱敏、分类、授权、访问控制、容灾恢复、日志审计、双因素认证的全链路安全防护。支持用户自带密钥的管理、支持控制台操作审计。 DevSecOps实现上线即安全、阿里从2005年就开始构建安全开发流程SDL，从应用的设计与开发、集成、部署、运营全流程实现安全可控。今天，阿里云所有云产品在上线时都要遵循产品安全生命周期流程（SPLC）。 为了让阿里云安全能力能够让更多的人所了解，阿里云在这次云栖大会发布了《阿里云安全白皮书4.0》。为了让用户更好的构建云上安全体系，阿里云在本次云栖大会上还发布了《阿里云企业上云安全指引》作为云上安全最佳实践供用户参考。 第二个Session是有关混合云安全，演讲的题目叫做《云原生能力·混合云安全》，阿里云为混合云用户可以提供的方案包括： 阿里云·自动化编排（SOAR），通过云安全中的自动化编排能力实现零业务影响的自动化漏洞修复闭环，利用阿里云网络服务的API和服务器快照克隆功能实现不停机漏洞修复和流量切换。

首先，我们来看下，通常在支付形态的API接口中，使用都是Https协议+RSA证书体系，来完成整个交易的安全，那么这个notifyUrl必然也是这个协议和安全体系之下的。 其次，notifyUrl通常情况下由商户或用户提供，并且在支付接口的传入。那么问题来了，回调接口对于提供接口的一方是不可控制的，这些回调的接口的质量参差不齐，来源请求非常多，各自还需要做相互不影响，并发量跟正向支付请求同等量可能还要超过。 接下来我们来考虑如何设计一个回调请求notiflyUrl的中间件，来方便支付场景中非常重要的一环。 整个系统分为核心处理和商户回调请求业务管控。 核心处理：代理接收层：主要使用同步EDAS RPC通讯框架，业务系统通过将需要回调的请求发送过来。再通过深度业务路由决策，分发到同步请求处理层或异步请求处理层。同步请求处理层：处理即时回调的场景，如：扫码、网银等。异步请求处理层：处理批量回调的场景，如：代扣、代发、充值等补偿重试处理层：上面两类请求在指定重试范围内，通知失败，进入补偿重试。 业务管控：回调商户黑白名单、URL管控、证书管控、路由计算、控台重发等。 整体架构图如下：总结：为了保证性能和优先URL通知到达，采用了先请求URL，再落库的方式（前提业务能自主补偿）。通过同步和异步两层设计，异步中再采用队列分散型设计，再通过精准的路由策略计算，达到商户或更细粒度的业务操作维度的通知相互不影响。发送者上面需要考虑Https协议支持，标准TLS1.0～1.2或更高，加密通讯算法上也需要更多支撑，JDK安全限制需要考虑。外网出口再采用两类方式，一类专线管控类，通过正向代理统一出口（适合银行类通知），一类直接外网请求。

经典原版书库点击查看第二章点击查看第三章计算机组成与体系结构：性能设计（英文版·原书第10版）Computer Organization and Architecture: Designing for Performance，Tenth Edition [美] 威廉·斯托林斯（William Stallings） 著 CHAPTER 1 Basic Concepts and Computer EvolutionLearning OBJectivesAfter