前言:我们精心挑选了数篇优质计算机网络分析论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
1.1网络信息安全定义
不同的用户对网络信息安全的定义有所不同,作为普通用户,我们希望自己的个人信息不被窃取;在国家层面上,信息安全就是杜绝一切需要保密的信息外泄。
1.2网络信息安全模型
根据TCP/IP协议,网络安全体系应保证物理层的比特流传输的安全;保证介质的访问和链路传输的安全的链路安全;保证被授权客户使用服务的网络层安全;保证客户资料和操作系统访问控制安全的会话层安全;利用多种技术增强计算机应用软件安全的应用平台安全和为用户服务的应用系统安全。如图所示:图1 体系层次模型1.3网络信息安全的脆弱性网络信息安全的脆弱性如下:1)由于程序员设计程序时考虑不全面或者故意设置的后门;2)厂家设置参数时由于疏忽大意而产生的错误设置;3)TCP/IP协议为了注重开放性而产生的不可避免的安全缺陷;4)用户在使用过程中,由于疏忽而导致数据输入错误而产生的安全缺陷;5)由于意外而出现的运行错误;6)Internet自身的安全缺陷。
2网络信息安全的主要技术
2.1防火墙技术
简单实用、不需要修改原有的网络应用系统下能达到一定安全要求的防火墙是网络安全的主要技术之一,它既能过滤流出的IP包,同时也能屏蔽外部危险的IP,从而保护内部的网络。防火墙最大的特点是可以过滤所有由外到内和由内到外的数据,只有符合要求的数据包才能被防火墙放行,不符合的数据包都被防火墙屏蔽,并且防火墙自身具有防侵入的功能。但需要说明的,防火墙的安装的前提是公司或者企业对于内外网络连接中需要数据保护功能,而对于公司或者企业内网则需要用其他方式来实现,因为防火墙由于需要过滤内外数据,而使网络信息传输速度变慢。对于用户来说,常使用非常方便和实用的防止电脑中的信息被侵袭的个人防火墙技术,个人防火墙能有效的监控及管理系统,防止病毒、流氓软件等通过Internet进入自己的电脑或者自己电脑中的信息在无意中向外扩散。
2.2数据加密技术
在信息时代,信息既能帮助大家,也能威胁大家,甚至造成破坏,比如存在竞争的公司和企业间,信息的泄露造成的损失会很大,所以就需要一种强有力的技术对数据进行保护,防止信息数据被盗或者被篡改,而且对数据进行加密或者解密的操作比较简单,便于掌握。数据加密技术通过加密和解密的操作限制除合法使用者以外的人获取信息数据,对信息进行保护。利用一个密匙进行加密和解密的对称加密技术和利用配对的“公匙”和“私匙”进行加密和解密的非对称加密技术是目前最常用的加密技术。
2.3访问控制技术
我们知道,在网络中,登录时通常是中身份验证的方法,但是,进入网络后用户能做什么?权限有哪些?这些是访问控制技术需要解决的问题。访问控制技术既能阻止无权限的用户访问资源,对资源进行保护;也能设置机制允许被授权者访问限定资源。作为信息安全保障机制核心内容的访问控制能有效的对资源进行保护,它是信息安全保护中最基础的机制也是最重要的安全机制。
2.4虚拟专用网技术
目前,既是最新也是最成功的解决信息安全的技术之一就是虚拟专用网技术,这种技术在数据传输中进行加密和认证,使用起来成本既低于传统的专线方式又安全性较高。虚拟专用网应用范围很广,我们通常在家里用的拨号上网以及在办公室办公时用的内网都属于虚拟专用网,由于VPN比较复杂,安全性增强,通过加密和认证使VPN有效保护了信息资源。
2.5安全隔离技术
我们知道,由于计算机技术的不断发展、创新,现在新型的网络攻击应运而生,这就需要开发高安全性的防新型网络攻击的技术,而安全隔离技术是把危险的信息资源隔离在外面同时保证内网的安全。
2.6身份认证技术
在我们登录QQ、微信、百度文库、淘宝及需要注册成会员的页面都需要用户名和密码,只有输入正确的用户名和密码,我们才能进入页面,有的地方或者页面需要语音、虹膜等生物特征认证才能进入等,这种需要认证才能进入的技术就是身份认证技术,它的本质是通过只有被认证方自己知道的信息来使认证方认证被认证方的身份。身份认证技术有两种:密码认证和生物特征认证。密码认证方式主要是通过用户名和密码来实现的,认证方发放给有权限的用户口令,用户输入用户名和密码后,认证方通过后台核对被认证方的口令是否正确,如果正确,用户就可以进入登录页面使用某些功能。认证方式方便可行,但是它的安全性主要取决于用户设置的密码的长度、复杂度和用户对密码的保密程度,这就容易遭到猜测软件的攻击,只要攻击方获取了用户的密码,用户的信息和资源就泄露了,最好的解决方法就是用户将自己的口令加密。生物特征认证相对于密码认证要安全的多,它是计算机利用人生理和行为特征上的唯一性进行身份认证,就像现在很多企业和公司进行考勤形式一般都是采用指纹、虹膜、视网膜等进行电子考勤。有一些单位在保密权限上录入声音、步态等特征进行身份识别,这种利用人生理和行为特征的唯一性进行考勤的优点是不会产生遗忘密码的情况并且防伪性很高,安全性很高。
3常见的网络攻击方法以及防范策略
3.1网络攻击概念简述
我们知道程序员在书写程序时由于疏忽或者处于某种原因自留后门,这些都会产生漏洞,网络攻击者就通过这些漏洞进行网络攻击。那么,哪些属于网络攻击呢?众所周知,Internet是个开放性的网络环境,网络攻击者通常通过漏洞进入用户的计算机中盗取用户的个人信息、银行密码、用户进入系统的权限或者破坏数据等造成系统不能正常发挥功能;互联网在传输信息数据时依据的是TCP/IP协议,而这些协议在数据信息传输过程中保护功能不足,容易遭到入侵者攻击;我们的电子邮件信息不如传统的信件那样有邮票、邮戳、信封等保护措施,我们有时无法判断我们邮件是否真实、是否存在被篡改、是否误投、是否伪造等,这就使我们在传输重要邮件时容易别攻击,产生泄密事件,并且,一些计算机病毒也通常通过邮件传播,使我们的电脑遭到攻击,丢失重要信息数据。攻击者常常通过隐藏自己的IP信息来寻找要攻击的主机并设法获取账号和密码,进入主机后获取控制权盗取用户的个人资料和网络资源以及特权,达到自己的攻击目的。
3.2网络攻击常用方法及预防策略
1)利用型攻击:主要是攻击者企图进入你的计算机并对你的计算机进行控制。这种攻击类型的防御侧策略如下:(a)设置多种符号组成的比较复杂的口令用来阻止攻击者进行口令猜测,同时,如果你的服务有锁定功能,要进行锁定。(b)一旦发现程序可疑,一定不要下载、不要执行并安装木马防火墙进行隔离木马。(c)要定时更新系统,防止缓冲区溢出。2)信息收集型攻击:主要是攻击者为了进一步攻击而进行收集信息的攻击行为,它主要包括扫描技术、利用信息资源服务以及系统体系架构进行刺探三种攻击方式。对于这三种行为的防御策略分别如下:(a)对于扫描技术的防御主要是通过防火墙技术阻隔扫描企图和过滤Icmp应答。(b)对于利用信息服务的防御主要是通过防火墙过滤请求或者过滤掉地址并阻断刺探内部信息的LDAP并做相应的记录。(c)对于体系结构探测的防御是去掉或修改计算机运行过程中出现的各种banner,对用于识别的端口进行阻断从而达到扰乱攻击者的攻击计划。3)假消息攻击:主要是攻击者利用不正确的信息实施的攻击方法,它通常有两种攻击方式,分别是通过DNS服务器进行攻击和利用伪造邮件进行攻击。针对这两种攻击方法采取的策略分别如下:(a)对于DNS服务器进行攻击的防御策略是利用防火墙过滤入站的DNS更新,阻断DNS污染。(b)对于伪造邮件进行攻击的防御策略是使用安全工具和电子邮件证书进行隔离带木马病毒的电子邮件,并且对于不认识的垃圾电子邮件一概不点开,从而防止木马病毒的入侵。4)网页攻击:在我们浏览网页时会被网页内嵌套的代码程序强行改变我们的默认网页并修改我们的注册表等信息,破坏计算机中的数据信息甚至格式化我们的电脑硬盘。它通常有两种攻击方式,分别是以破坏系统为目的的攻击windows系统和强行修改我们的IE浏览器。下面对我们使用计算机过程中常出现的网页攻击方式及应对策略进行分析:(a)强行修改我们的默认首页对应策略:由于修改默认网页需要修改注册表,我们只要把我们的注册表修改过来就可以了。(b)格式化硬盘对应策略:这是一种很恶意的网页攻击,一般操作在后台,我们很难发现,这就要求我们要及时升级微软的安全补丁来及时修补系统的漏洞,阻隔攻击者的攻击。(c)网页炸弹应对策略:网页炸弹其实就是一个死循环,我们平时在浏览网站时,一定不要轻易进入不了解的网站和不要轻易打开陌生人发来的邮件附件。(d)文件被非法读取 此攻击通过代码调用脚本来读取文件或者利用IE漏洞非法读取本地文件。应对策略:通过提高我们浏览器的安全级别和禁用JavascriP来阻隔攻击者的攻击。
3.3计算机病毒
为了便于大家自己的电脑是否中病毒,下面把电脑中病毒的主要症状描述如下:1)电脑的运行速度明显变慢。2)电脑的存储容量突然变小。3)开机明显变得特别慢。4)电脑中的文件大小突然变大。5)电脑经常无缘无故的死机。6)电脑的屏幕异常显示。7)键盘输入时出现异常。8)文件突然不能读取并复制不了、打开不了。9)文件的日期等属性突然发生改变了。10)电脑的时间显示时倒转运行。11)不断要求用户重复输入密码。12)运行过程中系统突然重启。当我们发现电脑中病毒了,我们应采取什么措施进行清理病毒呢?首先,我们要养成安装可靠杀毒软件并定时更新的习惯。其次,我们要定时清理我们的电脑,清除碎片。再次,我们要养成健康的用电脑方式和方法,尽量少双击鼠标,多用鼠标点击右键打开文件。
3.4网络攻击的应对策略
信息安全的内涵随着信息技术的不断发展而得到了扩展,从原始的保密性逐渐增加了完整性、可控性及可用性等,最终形成的集攻击、防范、检测与控制、管理、评估等与一体的理论体系。传统的信息安全技术将注意力都集中在计算机系统本身的安全方面,针对单机系统环境而进行设置,不能够对计算机网络环境安全进行良好的描述,也缺乏有效应对动态安全问题的措施。随着计算机网络的不断发展与推广,互联网逐渐具备了动态变化性,而传统的静态安全模式已经不能够满足其安全要求了。在这种背景之下,信息安全体系结构的出现更好地满足了计算机网络的安全需求,因此得到了迅速的发展与推广。信息安全体系结构的思路为:通过不同安全防护因素的相互结合实现比单一防护更加有效的综合型防护屏障,这种安全防护体系结构能够更好地降低黑客对计算机网络的入侵与破坏,确保计算机网络安全。
计算机网络的信息安全体系结构的主要作用就是为信息保障、数据传递奠定坚实的基础。随着计算机网络所面临的风险与压力的不断增大,为了能够更好地确保信息安全,必须注重计算机网信息安全体系结构完整性、实用性的提高。在科技的不断发展与进步的基础之上,提出了计算机网络信息安全体系结构——WPDRRC结构,不同的字母代表不同的环节,主要包括warnin(g预警)、protect(保护)、detectio(n检测)、respons(e响应)、restor(e恢复)、counterattac(k反击)六个方面,各个环节之间由于时间关系而具有动态反馈的关系。在计算机网络的信息安全体系结构中,预警模块、保护模块与检测模块都是以预防性为主的,通过保护与检测行为对黑客入侵计算机进行较为有效的制止。当前,虽然计算机网络信息安全技术已经比较先进,但是由于计算机网络所具有的开放性,其安全性依旧是面临一定威胁的。因此,在计算机网络的信息安全体系结构中,响应模块、恢复模块与反击模块主要的作用是解决实质性的工作,对已经出现的各种安全问题进行有效地解决,确保计算机网络信息安全。
1.1warnin(g预警)整个计算机网络的信息安全体系结构中,预警模块是最为根本的所在,主要的作用是对计算机网络的信息安全进行诊断,该诊断具有预防性。同时,预警结构通过研究计算机网络的性能,提出具有科学性与合理性的评估报告。
1.2protect(保护)保护结构主要的作用是对计算机的信息安全系统提供保护,确保计算机网络在使用过程中的安全性,有效地封锁、控制外界对计算机网络的入侵及攻击行为。保护结构能够对计算机网络进行安全设置,实现对计算机网络的检查与保护,其检查与保护工作的重点内容就是网络总存在的各种可能被攻击的点或者是存在的漏洞,通过这些方式为信息数据在计算机网络中的安全、通畅应用提供条件。
1.3detectio(n检测)计算机网络的信息安全体系结构中的检查结构主要的作用是对计算机受到的各种攻击行为进行及时、准确的发觉。在整个信息安全体系结构中,检测结构具有隐蔽性,主要的目的是防止黑客发现并恶意修改信息安全体系结构中的检测模块,确保检测模块能够持续为计算机网络提供保护,同时还能够促进检测模块自身保护能力的提高。检测模块一般情况下需要与保护模块进行配合应用,从而促进计算机网络保护能力与检测能力的提高。
1.4respons(e响应)当计算机网络信息安全体系结构中出现入侵行为之后,需要及时通过冻结措施对计算机网络进行冻结,从而防止黑客的入侵行为进一个侵入到计算机网络中。同时,要通过相应的响应模块对入侵进行响应。例如,计算机网络信息安全体系结构中可以通过阻断响应系统技术实现对入侵及时、准确的响应,杜绝黑客对计算机网络更加深入的入侵行为。
1.5restor(e恢复)计算机网络信息安全体系结构中的恢复模块主要的作用是在计算机网络遭受到黑客的攻击与入侵之后,对已经损坏的信息数据等进行及时的恢复。在对其进行恢复的过程中,主要的原理为事先对计算机网络中的信息文件与数据资源进行备份工作,当其受到攻击与入侵之后通过自动恢复功能对其进行修复。
1.6counterattac(k反击)计算机网络信息安全体系结构中的反击模块具有较高的性能,主要的作用为通过标记跟踪功能对黑客的入侵与攻击进行跟踪与标记,之后对其进行反击。反击模块首先针对黑客的入侵行为进行跟踪与标记,在此基础上利用侦查系统对黑客入侵的方式、途径及黑客的地址等进行解析,保留黑客对计算机网络进行入侵的证据。与此同时,反击模块会采用一定的反击措施,对黑客的再次攻击进行有效的防范。
2计算机网络信息安全体系结构的防护分析
当前,在对计算机网络信息安全体系结构进行防护的过程中,较为常用的就是WPDRRC结构,其主要的流程包括攻击前防护、攻击中防护与攻击后防护三个方面。
2.1信息安全体系结构被攻击前防护工作在整个的计算机网络中,不同的文件有着不同的使用频率,而那些使用频率越高的文件就越容易受到黑客的攻击。因此,信息安全体系结构的被攻击前防护工作的主要内容就是对这些比较容易受到黑客攻击的文件进行保护,主要的保护方式包括防火墙、网络访问控制等。通过WPDRRC结构对其中存在的威胁因素进行明确,有针对性地进行解决措施的完善。
2.2信息安全体系结构被攻击中防护工作当计算机网络受到攻击之后,信息安全体系结构的主要防护工作为阻止正在进行中的攻击行为。WPDRRC结构能够通过对计算机网络系统文件的综合分析对正在进行中的攻击行为进行风险,同时能够对计算机网络中各个细节存在的变动进行感知,最终对黑客的攻击行为进行有效的制止。
2.3信息安全体系结构被攻击后防护工作当计算机网络受到攻击之后,信息安全体系结构主要的防护工作内容为对计算机网络中出现的破坏进行修复,为计算机网络的政策运行提供基础。同时,恢复到对计算机网络信息安全的保护中。
3计算机网络信息安全体系结构中加入人为因素
IT领域中都是以技术人员为主体来对产业雏形进行构建的,因此在IT领域中往往存在着及其重视技术的现象,主要的表现为以功能单纯而追求纵向性能的产品为代表,产品的覆盖范围限制在技术体系部分,缺乏对组织体系、管理体系等其他重要组成部分的重视。因此,只有在计算机网络信息安全体系结构中加入人为因素才具有现实意义。在计算机网络信息安全体系结构的构建过程中,应该注重以组织体系为本,以技术体系为支撑,以管理系统为保证,实现三者之间的均衡,从而真正发挥计算机网络信息安全体系结构的重要作用。
4总结
要进行一项统计工作,首先,必须进行统计设计。我们已经把这一工作分配给了统计部门局域网内部相应的计算机来完成。其次,要进行资料的收集整理。在我们上面建立的统计体系中,由上级部门设计好统计调查表单,下级部门如实填写好后,通过逐层上报的方法传送给对应网站。最后,通过DEC进行数据处理。这是一种最常用的统计资料的收集和整理办法,它与传统的统计报表制度有许多类似之处。实际上,随着互联网技术的迅速发展,统计资料的收集方式越来越朝着多元化的方向发展。以下四种应用比较广泛的网上统计调查方法是作为对上述方法的补充手段:1、电子邮件法;2、随机IP地址调查法;3、直接站点调查法;4、网络视迅会议法。
二、网络统计信息的安全问题
我们所讲的统计信息安全,一是指统计信息网络系统的硬件、软件及其系统的数据得到保护,不因偶然的或者恶意的原则而遭到破坏、更改、泄露,系统能够连续、可靠、正常地运行,网络服务不会中断;二是保证各统计部门的数据及个人资料、商业秘密在网络上传输的保密性、安全性;三是保证网
本文由/整理页顺利及网上内容不被随意更改。网络时代的统计信息具有保密性和完整性的特点,保密性是指统计信息及统计数据不泄露给非授权用户及实体,或供其利用。
网络统计信息安全面临的主要威胁有:
1、系统的不安全因素
在系统不安全因素中,主要考虑以下几个问题:一是网络统计软件的自身安全与否直接关系统计信息安全。系统软件的安全功能较少或不全,以及系统设计时的疏忽或考虑不周而留下的“破绽”,都将会给危害信息安全的人和事留下许多隐患。二是病毒对于网络的威胁和黑客对于网络的破坏和侵入。病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,还能在网络上“繁殖”。三是操作系统的体系结构会造成其本身的不安全,这也是计算机系统不安全的根本原因之一。
2、传输线路的不安全因素
尽管在同轴电缆、微波或卫星通讯中要窃听其中指定一路的信息是很困难的,但从安全角度来说,没有绝对安全的通讯线路,同时,无论采用何种传输线路,当线路的通信质量不好时,将直接影响联网效果,严重时甚至导致网络中断,破坏通信数据的完整性。为确保通信质量和网络效果
本文由/整理,防止窃听,就必须要有合格的传输线路。
3、用户的不安全因素
大多数系统是以用户为中心的。一个合法的用户在系统内可以执行各种操作。用户随意进入不明网站和下载不明的程序,会使运行系统遭到破坏。应由用户来管理自己的登陆密码,但不能读取用户的密码。用户必须对自己密码的安全性、保密性负责。一个不安全的密码事实上是不能起到保密作用的。
网络安全是一个集技术、管理、法规等的综合作用为一体的、长期的、需要常年实施的、复杂的系统工程。为了保障统计信息网络的安全,应从以下几方面采取相应的防护措施:
a从技术的角度出发采取相应的措施
一是身份识别。身份识别是安全系统应具备的最基本的功能,是验证通信双方的有效手段。用户向其系统请求服务时,要出示自己的身份证明,例如输入USER和PASSWORD,而系统应具备查验用户身份证明的能力,能够识别合法用户。也可采用人体特征(如指纹)识别、智能卡识别等方法。二是设立防火墙是位于内部网络(可信赖的)和外部网络(不可信赖的)之间的屏障,它按系统管理员预先定义好的规则来控制数据包的进出。三是信息加密。通过对信息的重新组合,使得只有收发双方才能解码和还原信息。传统加密系统是以密钥为基础的,分为对称和不对称加密两种,随着技术的进步,加密正逐步被集成到系统和网络中。四是存取权限控制。其基本任务是防止非法用户进入系统并防止合法用户对系统资源的非法使用。
b存效防
本文由/整理范病毒
对计算机病毒和黑客的防范是计算机安全的重要方面。关于计算机病毒,我们应该建立起两个观念:第一,计算机感染了病毒并不十分可怕,严重的是并不知道机器已感染了病毒。计算机病毒的主要危害就是传染性和破坏性,但病毒受其隐蔽性的限制,平时只是传染,破坏活动很小,只有满足病毒发作条件时才会呈现出强大的破坏力,而且破坏活动往往是瞬间完成,想人为中断都不可能。第二,应根据计算机病毒的共同特征来检测病毒。由于计算机病毒只可能藏身于硬盘的引导区、文件区和内存之中,我们可以针对病毒的这些特征采取利用备份的系统信息检测引导区中的病毒、利用文档文件检测文件中的病毒、设置内存驻留程序监控病毒等措施,有效地遏制计算机病毒的传染和破坏,保障统计数据的安全。
影响计算机网络安全的威胁具有以下这些特征:第一,突发性。计算机网络在运行的过程中,遭受的破坏,没有任何的预示,具有突发性,而且这种破坏有较强的传播和扩散性。计算机网络安全受到影响后,会对计算机群体、个体等进行攻击,使得整个计算机网络出现连环性破坏。计算机网络在运行的过程中具有共享性,以及互联性,所以其在计算机网络受到破坏后,会产生较大的破坏。第二,破坏性。计算机网络受到恶意的攻击,会使得整个计算机网络系统出现瘫痪、破坏等,使得计算机网络无法正常的运行和工作。当计算机网络受到病毒攻击后,一旦这些病毒在计算机网络中得到激活,就会迅速的将整个计算机网络系统感染,造成计算机中的信息、数据等丢失、泄露等,产生较大的破坏,严重的影响到计算机用户信息的安全,甚至影响到国家的安全。第三,隐蔽性。计算机网络受到的攻击、破坏具有潜伏性,其很隐蔽的潜伏在计算机中。计算机网络受到攻击,是因为计算机使用者在日常的使用中,对于计算机的安全保护,疏于防范,造成网络病毒潜伏在计算机网络系统中,一旦对计算机网络系统进行攻击的条件满足后,就会对计算机、计算机网络进行攻击。当前在计算机网络安全中,存在的安全隐患主要有:①口令入侵。计算机网络运行的过程中,存在的口令入侵安全隐患,主要是一些非法入侵者,使用计算机网络中的一些合法的用户口令、账号等进行计算机网络的登陆,并对计算机网络进行攻击破坏。计算机网络安全的口令入侵安全隐患,在非法入侵者将计算机网络使用者的用户口令、密码破解之后,就会利用合法用户的账号进行登录,然后进入网络中进行攻击。②网址欺骗技术。在计算机网络用户使用计算机网络的过程中,其通过方位网页、Web站点等,在计算机网络用户通过网络访问各个网站的过程中,往往忽视网络的安全性问题,正是因为计算机网络的合法用户在使用的过程中,没有关注到安全问题,为黑客留下了破坏的机会。黑客利用用户访问的网站、网页等,将其信息篡改,将计算机网络使用者访问的URL篡改为黑客所使用的计算机的服务器,在计算机网络用户再次登陆这些网站、网页的同时,就会出现计算机网络安全漏洞,而黑客就会利用这些安全漏洞,对合法用户的计算机网络系统进行攻击。③电邮攻击。在计算机网络实际运行中,产生这些安全隐患的影响因素有很多,例如计算机网络的软件技术、硬件技术不完善;计算机网络系统的安全配置建立不完善;计算机网络安全制度不健全等等,这些都会对计算机网络的安全使用产生危害,为此需要加强计算网络安全的防范。
2模糊层次分析法特征及其在计算机网络安全评价中的实施步骤
2.1模糊层次分析法特征
模糊综合评价法是把传统层次分析与模糊数学各方面优势考虑其中的综合型评价方法。层次分析法重视人的思想判断在科学决策中的作用,把人的主观判断数字化,从而有助于人们对复杂的、难以精确定量的问题实施量化分析。首先我们采用模糊数构造判断矩阵替代单纯的1-9标度法解决相对应的量化问题,其次,采用模糊综合评价法的模糊数对不同因素的重要性实施准确的定位于判断。
2.2模糊层次分析法步骤
网络安全是一门设计计算机技术、网络技术、通信技术、信息安全技术等多种学科的综合技术。计算机网络是现代科技化的重要信息平台,网络安全评价是在保障网络系统安全性能的基础上,实施的相关网络技术、网络安全管理工作,并把操作环境、人员心理等各个方面考虑其中,满足安全上网的环境氛围。随着计算机技术、网络技术的快速发展,网络应用已经牵涉多个领域,人们对网络的依赖度也日益加深,网络安全成为重要的问题。采用模拟层次分析法对计算机网络安全进行评价,模拟层次分析法实际使用步骤如下:2.2.1创建层次结构模型模糊层次分析法首先要从问题的性质及达到的总目标进行分析,把问题划分为多个组成因素,并根据各个因素之间的相互关系把不同层次聚集组合,创建多层次结构模型。2.2.2构建模糊判断矩阵因计算机网络安全评价组各个专家根据1-9标度说明,采用两两比较法,逐层对各个因素进行分析,并对上个层次某因素的重要性展开判断,随之把判断时间采用三角模糊数表示出现,从而创建模糊判断矩阵。2.2.3层次单排序去模糊化是为把模糊判断矩阵转换为非模糊化判断矩阵,随之在非模糊状态下使用模糊层次分析法。去模糊化之后对矩阵对应的最大根λmax的特征向量进行判断,对同一层次相对应的因素对上层某因素的重要性进行排序权值。2.2.4一致性检验为确保评价思维判断的一致性,必须对(Aa)λ实施一致性检验。一致性指标CI及比率CR采用以下公式算出:CI=(λmax-n)(/n-1);CR=CI/RI,在上述公式中,n表示判断矩阵阶数,RI表示一致性指标。2.2.5层次总排序进行层次总排序是对最底层各个方案的目标层进行权重。经过权重计算,使用自上而下的办法,把层次单排序的结果逐层进行合成。
3模糊层次分析法在计算机网络安全评价中的具体应用
使用模糊层分析法对计算机网络安全展开评价,我们必须以全面科学、可比性等原则创建有价值的安全评价体系。实际进行抽象量化时,使用三分法把计算机网络安全评价内的模糊数定义成aij=(Dij,Eij,Fij),其中Dij<Eij<Fij,Dij,Eij,Fij[1/9,1],[1,9]这些符号分别代表aij的下界、中界、上界。把计算机网络安全中多个因素考虑其中,把它划分为目标层、准则层和决策层三个等级目,其中准则层可以划分为两个级别,一级模块采用物理安全(C1)、逻辑安全(C2)、安全管理(C3)等因素组成,二级模块则划分为一级因子细化后的子因子。依照传统的AHP1-9标度法,根据各个因素之间的相互对比标度因素的重要度,标度法中把因素分别设为A、B,标度1代表A与B相同的重要性,标度3代表A比B稍微重要一点,标度5代表A比B明显重要,标度7则表示A比B强烈重要,标度9代表A比B极端重要。如果是倒数,应该依照矩阵进行判断。以此为基础创建不同层次的模糊判断矩阵,根据目标层、准基层、决策层的模糊对矩阵进行判断,例如:当C1=(1,1,1)时,C11=C12=C13=(1,1,1)。采用这种二分法或许各个层次相对应的模糊矩阵,同时把次矩阵特征化方法进行模糊。获取如下结果:准则层相对于目标层权重(wi),物理、逻辑、安全管理数据为:0.22、0.47、0.31。随之对应用层次单排序方根法实施权重单排序,同时列出相对于的最大特征根λmax。为确保判断矩阵的准确性和一致性,必须对模糊化之后的矩阵实施一致性检验,计算出一致性指标CI、CR数值,其中CI=(λmax-n)(/n-1),CR=CI/RI,当CR<0.1的时候,判断矩阵一致性是否两否,不然实施修正。最后使用乘积法对最底层的排序权重进行计算,确保或许方案层相对于目标层的总排序权重。
4结语
[论文摘要]在网络技术高速发展的时代,网络安全成每个网络使用者为关注的焦点,讨论传输层安全性问题,分析了地址机制﹑通用的安全协议将逐步消失,取而代之的是融合安全技术应用的问题研究。
互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,操作系统漏洞、计算机病毒、黑客人侵及木马控制、垃圾邮件等也给广大互联网用户带来了越来越多的麻烦,网络安全问题因此成为令人瞩目的重要问题。
一、传输层安全
最常见的攻击是TCP会话劫持,该劫持是劫持一个现存的会话,利用合法用户进行连接并通过验证,之后顺其自然接管会话。TCP通过3次握手建立连接以后主要采用滑动窗口机制来验证对方发送的数据,如果对方发送的数据不在自己的接收窗口内,则丢弃此数据,这种发送序号不在对方接收窗口的状态称为非同步状态。当通信双方进入非同步状态后,攻击者可以伪造发送序号在有效接收窗口内的报文也可以截获报文。篡改内容后,再修改发送序号,而接收方会认为数据是有效数据。
TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击,如HTTPFTP及Telnet等。攻击者通过正在进行TCP通信的2台主机之间传送的报文得知该报文的源IP、源TCP端口号、目的IP、目的TCP端口号。从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。这样,在该合法主机收到另一台合法主机发送的TCP报文前,攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。TCP会话劫持避开了被攻击主机对访问者的身份验证和安全认证。使攻击者直接进入对被攻击主机的访问状态,因此对系统安全构成的威胁比较严重。
二、地址机制
IPv6采用128位的地址空间,其可能容纳的地址总数高达2128,相当于地球表面每平方米拥有6.65×1023个。一方面可解决当前地址空间枯竭的问题,使网络的发展不再受限于地址数目的不足;另一方面可容纳多级的地址层级结构,使得对寻址和路由层次的设计更具有灵活性,更好地反映现代Internet的拓扑结构。IPv6的接口ID固定为64位,因此用于子网ID的地址空间达到了64位,便于实施多级路由结构和地址集聚。IPv6的前缀类型多样,64位的前缀表示一个子网ID,小于64位的前缀要么表示一个路由,要么表示一个地址聚类。IPv6的地址类型包括单播、多播和任播地址,取消了广播地址。IPv6的地址机制带来的安全措施包括:
1)防范网络扫描与病毒、蠕虫传播。传统的扫描和传播方式在IPv6环境下将难以适用,因为其地址空间太大。
2)防范IP地址欺骗。IPv6的地址构造为可会聚、层次化的地址结构,每一ISP可对其客户范围内的IPv6地址进行集聚,接入路由器在用户进入时可对IP包进行源地址检查,验证其合法性,非法用户将无法访问网络所提供的服务。另外,将一个网络作为中介去攻击其他网络的跳板攻击将难以实施,因为中介网络的边界路由器不会转发源地址不属其范围之内的IPv6数据包。
3)防范外网入侵。IPv6地址有一个作用范围,在这个范围之内,它们是唯一的。在基于IPv6的网络环境下,主机的一个网络接El可配置多种IPv6地址,如链路本地地址、站点本地地址、单播全球地址等,这些不同地址有不同的作用域。IPv6路由器对IPv6地址的作用范围是敏感的,绝不会通过没有正确范围的接El转发数据包。因此,可根据主机的安全需求,为其配置相应的IPv6地址。例如,为保障本地子网或本地网络内的主机的安全,可为其配置相应的链路本地或站点本地地址,使其通信范围受限于所在链路或站点,从而阻断外网入侵。
三、通用的安全协议将逐步消失,取而代之的是融合安全技术
当网络安全还没有成为网络应用的重要问题时,制定的通信协议基本上不考虑协议和网络的安全性。而当这些协议大规模使用出现诸多安全漏洞和安全威胁后,不得不采取补救措施,即发展安全协议保护通信的安全,因此IPSec、IKE、TLS等通用的安全协议应运而生,并获得广泛的应用,在充分重视安全重要性后,新的协议在设计过程中就充分考虑安全方面的需要,协议的安全性成了新的协议是否被认可的重要指标.因此新的通信协议普遍融入了安全技术,如SIP本身就附带诸多安全机制,IPv6本身附带了必要的安全字段,这种发展趋势将会持续,由此可以预见,传统的通用安全协议应用范围将逐渐缩小,最终消失,取而代之的是所有通信协议都具备相应的安全机制。
四、总结
总之,随着网络的普及,网络信息安全所面临的危险已经渗透到社会各个方面,应深刻剖析各种不安全的因素,并采取相应的策略,确保网络安全。解决信息网络安全仅依靠技术是不够的,还要结合管理、法制、政策及教育等手段,将信息网络风险降低至最小程度。相信随着网络安全技术的不断改进和提高,以及各项法律法规的不断完善,将能构造出更加安全可靠的网络防护体系。
网络安全法律制度所要解决的问题,乃是人类进入信息社会之后才产生的特殊安全问题。正如为了适应时代所赋予的“正义观念”必须调整为“科学发展观”一样,法律规范随着信息社会的发展也应适应新的安全问题而作出结构性调整,以符合时代赋予的“科学发展观”。
网络安全监管应当以“快速反应和有效治理”为原则。从信息化发展的趋势考察,政府部门职权的适当调整是网络安全监管权力配置的必然选择。因此,构建政府部门之间、政府与社会之间的“信息共享”机制便成为网络安全监管法制建设的重点,应当注意到,只有政府和企业、个人密切配合,才能弥补政府网络安全监管能力的不足,使其更好地履行职责,从而实现保障网络安全的战略目标。
参考文献:
[1]郑晓妹.信息系统安全模型分析[J]安徽技术师范学院学报,2006,(01).
[2]李雪青.论互联网络青年道德主体性的失落及其建设[J]北方工业大学学报,2000,(04).
[3]刘建永,杜婕.指挥控制系统的信息安全要素[J]兵工自动化,2004,(04).
[4]高攀,陈景春./GS选项分析[J]成都信息工程学院学报,2005,(03).
[5]刘颖.网络安全战略分析[J]重庆交通学院学报(社会科学版),2003,(S1).
[6]刘颖.析计算机病毒及其防范技术[J]重庆职业技术学院学报,2003,(04).
[7]王世明.入侵检测技术原理剖析及其应用实例[J]燕山大学学报,2004,(04).
[8]刘晓宏.浅谈航空电子系统病毒防范技术[J]电光与控制,2001,(03).
1访问控制技术
访问控制技术是加强信息安全系统构建的重要前提,能够有效提高网络防范效果,更高效的进行信息资源保护。例如,在入口访问控制设计中,通过账号验证以及口令访问等进行安全访问,否则为非法无效访问。如下图1为访问控制技术简图。对账号以及口令的设置要求要十分严格,增强安全可靠性。同时,由于使用者信息保护意识不强,容易出现隐私泄露或因口令密码设置简单造成信息被窃取,因此加强访问控制是第一道关口。
2加密认证技术
信息加密是电子网络商务中最常用的技术手段,能够保证在Internet环境中进行安全的电子交易。加密技术,是对信息和数据安全的有效保护,增强信息机密性。认证技术则保证信息不被破坏,保证信息完整。应用该技术能够对网路信息起到良好的防御作用。加强计算机网络信息保护的同时,对口令以及各种数据的安全也进行有效防护。认证技术能够使网络口令在安全的环境下运行,从而提高计算机整体保密性。
3病毒防范技术
计算机网络与信息安全系统自身若存在问题,会直接造成病毒的侵入,因此加强病毒防范技术的研究和应用至关重要。首先要对系统自身存在的问题和漏洞进行检测,然后对监测到的病毒进行预防。要选择性能较强的杀毒软件,以保证对病毒的准确的查找,在实时的监测下进行准确杀毒。通过安装杀毒软件并及时更新能够提高整体计算机网络系统的安全指数和防御能力,保证信息安全。
4防火墙技术
防火墙技术,是一种有效的防御技术,能够对本地网络和外界网络进行隔离,具有良好的安全性能。防火墙主要是对安全区和风险区进行安全隔离,防治外界网络入侵。该技术包括多种功能,包过滤、地址转换、认证和应用以及透明和路由。以防火墙包过滤技术来看,防火墙数据包的数据传输具有差异性。据报头部信息主要是源/目的主机的IP地址;TCP头部的主要字段包括源/目的端口、发送及确认序号、状态标识等。从理论角度分析,数据包的头部信息能够对数据包是否通过做出判断,同时其荷载情况也能够做出相同判断;从实际角度出发,包过滤技术是对某些字段信息的获取并应用,在结合字段信息的基础上达到访问控制的效果,通过控制列表进行包过滤,提升整体系统的安全系数。
5结束语
1 概述
目前,在我国很多高校开设了网络信息安课程,该课程是信息安全专业的一门基础课,也是网络工程专业的一门必修课。网络信息安全课程理论性强,实践性强,并且教学内容随着信息技术的发展也在不断地变化,这给教学工作带来很大挑战。由于专业性质不同,为了使网络信息安全课程的教学符合网络工程专业的特点,并且跟上信息技术瞬息万变的步伐,达到培养人才的目标,我们在多年教学实践的基础上,不断地进行总结和探索。
2 网络工程专业特点
网络工程是将计算机技术和通信技术紧密结合而形成的新兴的技术领域,尤其在当今互联网技术以及互联网经济迅速发展的环境下,网络工程技术已经成为计算机乃至信息技术界关注的重要领域之一,也是在现代信息社会中迅速发展并且应用广泛的一门综合性学科。网络工程专业自从上世纪90年代起,陆续在我国很多本科高校中都有开设。
网络工程专业的培养目标是:掌握常用操作系统的使用、网络设备的配置,深入了解网络的安全问题,具有综合性的网络管理能力,可以胜任中小企业的网络管理工作,并具备发展成为网络工程设计专家的能力[1]。以商丘学院(以下简称“我校”)为例,该专业是我校重点建设的专业之一,计算机网络课程现已成为校级精品课程,所属计算机网络实验室被评为河南省级重点实验室。在校学生一二年级主要学好程序设计、网络原理、操作系统等专业基础课,三四年级主要学习网络设备管理、综合布线、网络组建、网络信息安全等专业核心课程。在学生学习的时间安排上留有余地,引导学生扩大知识面,关注学科前沿,鼓励学生利用好实验室来培养自己的实践能力和创新能力。因此,网络信息安全成为我校高年级学生的一门必修课。结合网络工程专业特色,网络信息安全课程多年来在我校网络工程专业一直开设并收到很好的效果。
3 网络信息安全课程开设现状
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是国家重点发展的新兴交叉学科,具有广阔的发展前景。由于我国在信息安全技术方面的起点还较低,国内只有少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。网络信息安全课程在信息安全专业是必不可少的核心课程。
目前,我校网络工程专业网络信息安全课程的开设还是以理论教学为主,实践教学为辅的教学模式。在学时分配上我们采用“34学时理论+18学时上机”的模式。在考核方式上采用“20%平时表现+80%理论考试”来计算总成绩。结合信息安全技术发展迅速的特点,在教材的选用上我们不断更新教材,以求跟上时代和技术的潮流。我校先后选用吴煜煜[2]、周明全[3]、石志国[4]、袁津生[5]等人主编的教材,这样教师也在不断地学习最新知识和专业技能。由于该课程是一门交叉性综合性学科,学好这门课程要求学生必须具备良好的程序设计能力,过硬的数学、操作系统和网络知识。该课程的先修课程为:高级程序设计(C、C++、Java)、计算机网络(TCP/IP)、操作系统(Unix和Windows)、数据库系统。该课程教学内容主要包括:网络安全的基本概念、加密与解密、公钥体系、TCP/IP协议安全、应用层安全、攻击与防御、网络站点的安全、操作系统系统与数据库的安全。
网络信息安全这门课程是一门理论和实践相结合,应用性很强的交叉性综合性课程。理论知识涉及面广且抽象,实践问题规模难度大。这样的特点不仅要求教师具备过硬的专业技能和授课水平,而且要求学生具备扎实的理论功底和和较强的实践能力。该课程在我校是网络工程专业开设的一门必修课程,它既不能像信息安全专业开设的专业课那么详尽和深入,也不能像普及网络安全知识一样成为公共选修课那样浅尝辄止。这就要求教师必须在有限的学时内将网络信息安全课程最基本的原理、最常用的技能传授给学生,使学生能够解决最常见的网络安全问题,成为能够学以致用,能够解决实际问题的人才。因此,必须结合网络工程专业特色和我校学生水平进行教学,才能使教和学的效果都达到最优化,达到培养人才的目标。
目前,现有的教学模式仍然停留在重理论、轻实践的层次上。学生在课堂上与老师的互动性不强,特别是学生的学习积极性不高,对信息安全课程学习的兴趣不持久,实践能力不强,而且现有的考核方式已不适应课程的发展。通过近几年的教学实践,结合目前网络工程专业开设的网络信息安全课程在教学中存在的问题,从培养应用型、创新型信息技术人才的角度来出发,我们尝试对网络信息安全课程进行改革和探索。
4 教学改革与探索
4.1 翻转式教学模式
互联网的普及和计算机技术在教育领域的应用,使“翻转课堂式”教学模式[6]变得可行和现实。学生可以通过互联网去使用优质的教育资源,不再单纯地依赖授课老师去教授知识。在课堂上,学生和老师的角色则发生了变化。老师更多的责任是去理解学生的问题和引导学生去运用知识。我们在课堂教学的组织中参考林地公园高中的经验:一、创建教学视频。我们根据上课的内容和教学目标,使用录屏软件将课件和讲课声音录制下来,然后将课件或视频通过网络分发给学生。让学生在上课前进行先行学习并收集好学生反馈的问题。二、组织课堂教学。教学内容在课外传递给学生后,课堂内更需要高质量的学习活动,让学生有机会在具体环境中应用所学内容。这样学生先自我学习或通过讨论来掌握知识点,结合学生反馈的问题,在课堂上再由教师主导开展关键问题的研讨,安排相应的课程实践。该方法在国防科学技术大学徐明的论文[7]中提到,可以作为改革教学模式的一种方法来学习使用。
4.2 理论与实践相结合的教学模式
理论授课均在多媒体教室进行,理论授课要与上机实践相结合,网络安全实验均在我校计算机网络实验室完成,学生上机操作并提交实验报告。计算机网络实验室是我校网络工程专业的专业实验室,实验室采用圆桌模式分为8组,每组8位同学,能同时满足64位学生做实验。我们结合近几年的教学经验,参考袁津生[5]等教材,安排了如下实验:①VMware虚拟机与网络分析器的使用;②RSA加密算法的分析与实现;③加解密算法的分析与实现(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木马;⑥使用PGP实现电子邮件安全;⑦X-SCANNER扫描工具;⑧用SSL协议实现安全的FTP数据传输。除了正常安排的16个上机学时之外,增加实验室开放时间,为对网络安全有兴趣的学生提供更多的实践机会。通过在计算机网络实验室的学习和实践,使学生加深对网络信息安全原理和技术的认识,提高网络技能和实践能力,增加他们在将来的就业竞争中的优势。另外,工学结合,引进第二课堂,创建实训基地,争取在网络安全相关的企业和公司建立实训基地,加强合作,让学生有实践的机会,提高实践能力和就业能力,这是我们以后也要逐步探索的教学方式之一。
4.3 教学方法的一些改进
兴趣是最好的老师。多讲一些实例,可以采用任务驱动的方式培养学生的兴趣。比如上课前提出一个问题再开始讲课。例如:假如你是一个公司新任的网络管理员,需要对某台路由器进行相应的配置,但是你不知道该路由器的enable密码,该怎么办?这样就能驱动学生主动思考完成任务的方法,主动学习。一定要结合学生实际,避免“填鸭式”教学方法,做好师生互动。另外授课要尽可能地生动、幽默。
课堂知识、搜索引擎、论坛和专业站点、期刊论文(CNKI),这些都是学好网络信息安全的重要资源。在教学过程中,一定要利用好搜索引擎、论坛、期刊论文等,关注前沿的信息安全领域发展动向。
增加先驱课程知识的讲解。网络信息安全涉及到的数学知识我们参考裴定一教材[8]。例如,数据加密与认证技术的内容涉及到模运算、矩阵置换等数学知识,在讲解相应的数据加密知识时一定要将涉及到的先驱课程知识讲解清楚。
以就业为导向,鼓励学生积极参加网络信息安全工程师认证考试。鼓励对网络安全有兴趣的同学进行更加深入、更加专业的学习。
4.4 加大投入、完善网络信息安全专业实验设施
完善的网络信息安全实验平台[9]应该以网络为基础,将网络原理、网络程序设计、信息安全技术和网络实践类等课程集成在同一平台上,采用群组动态交互式实验方法,利用共享网络墙形成公共实验载体,实现网络实验从单设备组网到不断叠加和扩展,使学生从规模化的网络中理解路由协议和网络效率。在这样的实验平台下,利用共用服务器,各个群组组成网络攻防、信息战等实际场景,根据现场不断变化的信息实时设计技术方案,灵活应对网络的动态变化,做出快速的反应与调整,以培养学生高度的应变设计能力。
4.5 改革课时分配和考核权重
网络信息安全是一门理论与实践并重的课程,在今后的教学中,要逐渐增加实践课程的教学。为了增加学生对实践能力的重视,要合理分配理论考试和实践考试的权重,在现有考核模式的基础上逐步增加实践成绩的权重。在考核的形式上,综合卷面成绩和平时表现成绩,平时表现的成绩注重关注实验小组讨论的表现,个人实践的表现等。
5 结论
网络信息安全的形式随着信息技术的发展在日新月异的变化,网络信息安全课程也是一门发展变化很快的课程。根据该课程的特点,我们在以后的教学过程中要不断的学习最新科学知识,关注网络信息安全领域前沿动态,结合课程内容,合理设计授课内容、授课模式以及考核方式。今后,大规模开放在线课程(MOOC)的教学方式随着新一轮的教育改革浪潮也会逐步地应用到网络信息安全系列课程的教学上。总之,网络信息安全课程的教学要在教学实践中不断总结、改革和探索。
关键词:项目管理;复杂网络;社会网络分析
一、引言
经济的全球化和竞争的白炽化使得项目在功能性和复杂性方面有了明显的提高,为有效控制这些复杂因素,应对项目内在的风险,保证项目成功,许多资深人士开始意识到系统工程对项目管理的重要性,项目管理与系统工程、复杂性理论的结合已经成为信息社会发展的必然要求。
二、传统项目管理方法的局限
传统的项目管理理论从某些维度上展现项目管理的过程及要素信息,在对计划性、定量化信息(或者称为“可计划量”)处理方面比较成熟,极大改善了项目管理的质量和水平。但传统项目管理的方法、手段体现的内容十分有限,越来越难以满足现代项目管理对复杂信息的掌控需求。
项目在实际操作中会被细化为具体事务,而这些具体事务的运作又带有很强的灵活性、自主性,于是工作中产生了大量“非计划量”信息(如人际关系、领导力、协调方式、团队结构及内部运转、责任变动、安全措施的执行等),对这些复杂信息的感知速度和能力会极大的影响项目管理的质量和水平。
为了解决项目任务越来越复杂、任务内容变化快速等带来的新问题,项目管理已经采用了许多可视化数据分析方法,但这些方法仍局限于曲线、流程等传统的展现方法,侧重反映宏观层次的框架结构,仍无法在一些更细节、更复杂的因素控制上给出解决方案。由此可见,需要建立一种更为强大的方法、手段,为项目管理提供一种能分析复杂全局态势(包含了微观要素及其能量交互)的信息支持平台,使随机处置、灵活应变、全面协调成为现实。
三、复杂网络理论启示
钱学森教授等学者倡导的现代系统科学,是当代科学的基础性的、不可缺少的重要组成部分。特别是从20世纪90年代以来,人类对于复杂系统的演化规律的认识,取得了一系列新的进步。信息技术的快速发展促进了系统工程和复杂性理论的迅猛发展,复杂网络技术便是其中之一,它具备了强大的研究复杂事物角色、关系及其交互作用的能力。它既能直观展现复杂系统各类要素的关联互动,又能够通过计算实现对复杂系统结构特征、规律的深入分析,因此被广泛应用于各种学科和领域。我们从理论和实践上提出将复杂网络理论、技术应用于项目管理领域的思路,希望通过这方面的探索,从一个新的角度分析、挖掘项目管理中的知识资源,以促使管理者更加直观、有效的掌控项目的各要素及其过程规律,进而提高管理者的管理能力。
(一)复杂网络理论介绍
现实世界中存在大量复杂系统可以用网络模型来描述,比如人与人之间的社会关系、计算机之间的网络连接关系、网页之间的超级链接、学术文章之间的引证关系等。一个典型的网络是由许多节点与一些连接两个节点之间的边组成的,其中节点用来代表真实系统中不同的个体,而边则用来表示个体间的关系。人类社会的日益网络化需要人类对各种人工和自然的复杂网络的行为有更好的认识,以便可以更有效的组织人类的行为、限制危害的扩展,提高人类利用自然、发展自我的能力。
在20世纪即将结束之际,对复杂网络的科学探索发生了重要的转变,复杂网络理论的研究也不再局限于以往的数学领域。人们开始考虑节点数量众多、连接结构复杂的实际网络的整体特性,在从物理学到生物学的众多学科中掀起了研究复杂网络的热潮。两篇开创性的文章――《“小世界”网络的集体动力学》和《随机网络中标度的涌现》,开始了复杂网络研究的新纪元。以往关于实际网络结构的研究常常着眼于包含几十个,至多几百个节点的网络,而近年关于复杂网络的研究中则常可以见到包含从几万个到几百万个节点的网络。这归功于研究条件发生的有利转变:计算机网络技术得到了迅猛发展,数据挖掘技术趋向成熟。相关基础理论和计算技术极大进步,客户价值网络,犯罪数据挖掘、灾难数据挖掘等应用出现了极大需求,鼓励科学家去“计算社会”。
我国开始关注复杂网络技术是在进入21世纪之后,在短短的几年中,国内不同学科的研究人员和青年学者对复杂网络研究的兴趣越来越浓,并已召开过多次以复杂网络为主题的学术会议和论坛,国内关于复杂网络的研究文献在近几年呈现出极快的增长趋势,每个月都会有很多新文章出现,研究内容广泛涉及物理、技术、计算机、生物、社会、经济等各种领域网络,复杂网络的拓扑特性和动力学行为方面也有了深入研究。
(二)社会网络分析(SNA)的应用启示
社会网络分析(Social Network Analysis,SNA)可以看作复杂网络应用的一个重要分支,近年来在社会学领域得到广泛运用。它可以对社会学中的各种关系进行精确量化分析,建立“宏观与微观”之间的桥梁。它将复杂网络理论和社会计量学有机结合,以研究社会网络或联结关系的容与结构为重点,内容包括网络结构的连通、距离、密度、中心性、聚类、派系和群,以及关系网络所传达的资源特性等等。可以分析诸如国家贸易关系、社会人物关系、发现和理解社会结构、研究组织行为等等。
那么社会网络分析具体能分析出什么东西呢?这是个复杂的问题,对应于不同的应用环境,分析的重点及对结果的解释都将会有所不同,这也反映了复杂网络灵活的一面。我们在此举几个简单的例子。
在某组织或群体内部,人与事物之间存在着大量复杂的关联,包括人与人之间的交往,人与事物之间的互动,这就组成了一个复杂网络系统,通过运用社会网络分析,我们可以分析出某人的中心度,以便了解此人在群体中的角色和重要性,我们可以通过聚类发现不同的子群体,从而了解群体的结构,这些内容面向不同需求时将会有不同的用处。
美国在针对恐怖网络方面应用了大量社会网络分析技术,通过从公开发行的几家主要报纸报道信息中收集整理劫持犯之间的关系数据,由专业人士绘出了恐怖网络并分析出了其中的19名核心人物。
由美国国家科学基金会NSF资助开发的应用程序Coplink系统,用以研究针对犯罪网络分析的数据挖掘技术,它建立在计算机网络基础上,在侦破发生在美国亚利桑那州图森市的一起谋杀案中扮演了重要角色,它可以高效处理来自各警局数据库中数目庞杂的线索,在极短的时间内定位到可能的嫌疑对象,这是以前单靠人力所难以完成的。类似的实例还有很多,这些应用也充分展示了复杂网络在分析社会复杂系统中的巨大能力。
项目管理作为一种现代企业运作形式,当然也是一种社会活动,同样具有社会群体活动的规律特征,其中存在着大量数据关联和能量的交互,完全可以运用复杂网络技术对其进行分析和呈现,通过运用复杂网络的各类算法能够分析关系数据的特征和规律,进而得出有益的结论,协助项目管理的成功展开。
四、实例
我们可以从图中直观的看到整个流程的丰富信息:所有流程(矩形框代表关键流程或动作)之间的关联情况,控制流(带方向的实线箭头);各个流程的相关负责(参与)人员(椭圆形代表参与者);还包括了流程产生数据(梯形代表数据)的传输情况,其方向用虚线箭头表示。在网络图中,节点和边的不同类别可以通过设计不同的外部形态或颜色来区分,每个节点(或“边”)还可以通过右键点击实现对节点(或“边”)详细属性的访问。这种灵活、丰富的表达能力是项目管理中传统的网络计划图、甘特图和WBS图所难以展现的。
从上面的例子可以看出将项目管理以复杂网络的形式分析并可视化具有十分现实的意义。如果我们能够将项目活动转化为关联网络图,我们就可以从基础理论出发,分析项目管理复杂网络的本质特征和规律,不仅能实现多角度分析,还可利用可视化网络图技术直观呈现项目的部分或全局过程。换句话说,既可以观察组员之间的关联,也可以观察任务之间的关联,还可以了解组员与任务之间的关联,并结合复杂网络有关计算理论分析其相关特性。这样我们就能够摆脱掉海量信息的迷雾,从中捕捉规律,发现和挖掘有用的信息进而协助各项工作的开
展。
五、结语
复杂网络与项目管理的结合使我们可以获得一种新方法,弥补传统管理方法和手段的不足,不但能够实现复杂网络的可视化,还可以实现基于复杂网络的多维度数据挖掘,以新视角、新手段获取项目管理中更多的新知识,在一定程度上实现管理者对复杂系统的认知与控制。
参考文献:
1、李卫星.突破项目管理难点:从WBS到计划[M].电子工业出版社,2006.
2、(美)福斯伯格著;江林,刘景梅译.可视化项目管理[M].电子工业出版社,2006.
3、汪小帆,李翔,陈关荣.复杂网络理论及其应用[M].清华大学出版社,2006.
4、约翰・斯科特著;刘军译.社会网络分析法[M].重庆大学出版社,2007.
5、Jennifer Xu,Hsinchun Chen.Criminal Network Analysis and Visualization:A Data Mining Perspective[Z],2005.
6、Stefanie Rinderle,Ralph Bobrik et al.Business Process Visualization-Use Cases, Challenges,Solutions[Z].
关键词:主题词表;词频统计;知识图谱;研究热点;研究趋势
Abstract:Based on word frequency statistics and visualization of knowledge mapping and other methods of comparative analysis and research in two periods of 1980—2003 and 2004—2011, the article shows the areas of research focus and trends of Thesaurus in China. That is: there is a clear dividing line in two periods, and trends show that the evolution process of knowledge organization system, Thesaurus based on semantic description language ontology conversion is currently a focus of academic research and future research trends.
Keywords:Thesaurus; Word Frequency Statistics;Knowledge Mapping;Research Focus;Research Trends
1 引言
主题词表(叙词表)是一种情报检索语言,它在早期情报检索和知识组织中发挥着非常重要的作用。早在1876年,美国图书馆学家卡特发表了他的《字典式目录条例》 [1]。而随着计算机技术的发展,主题词表的功能也发生了相应的变化。另外,不断更新的网络技术,以及语义网等概念的技术实现,也为主题词表的发展注入了活力。
国内主题词表研究虽然起步较晚,但从《汉语主题词表》的问世,到《中国分类主题词表》的出版,均取得了卓越的成就。国内的研究主要集中在主题词表的介绍、评价、编制、修订、标引方法、应用及分类主题一体化等领域[2][3][4],另外,随着计算机网络技术的发展,各类词表被大量应用到了信息检索技术、知识组织与管理等领域之中[5][6]。
那么,这些年来国内对主题词表的研究都触及了哪些主题?其研究的趋势和热点又在哪里?本文试图通过对发表在期刊上的学术论文进行研究,旨在为该领域同行了解和掌握研究方向提供些许帮助。
2 样本获取与研究方法
2.1 样本获取方法。本文获取数据样本的方法是:在 “中国学术期刊网络出版总库”中,用关键词“主题词表 OR 叙词表”,检索出1980年~2011年间发表在“核心期刊”上的论文,因为《中文核心期刊要目总览》第一版在1992年才出版,上述检索结果仅命中了1992年~2011年数据;因此,作者又补充了1980年~1991年的相关主题数据。经过人工筛选,最后,获得样本数为480篇(检索日期:2012年2月12日)。
2.2 研究方法。本文主要应用文献计量学领域的词频统计方法和基于共词的可视化知识图谱方法。
通过关键词词频的动态统计与分析,可以反映出某时间段内研究主题的动态变化过程,如高频关键词的发展期、高峰期及衰退期等。词共现(共词)分析方法最早是在1986年由法国文献计量学家M.Callon等学者提出的[7]。在词共现分析方法的基础之上,我们可以运用社会网络分析方法及软件(如Pajek),绘制出各主题之间的相互联系的学科知识图谱。
3 研究结果
3.1 历年情况
对480篇论文进行按年度统计,见图1。由图1可以发现,论文数量基本上呈上升趋势:1980年~2003年为缓慢上升阶段,但1994年和1999年均有突出表现;2003年以后,呈现出了快速发展的态势。究其原因,一方面,随着计算机技术的发展,出现了诸如本体等语义网概念的应用研究,使得主题词表研究重新得到了重视;另一方面,有关主题词表的研究得到了更多的基金资助,2004年以前,仅有8篇资助论文,而2004年及以后,资助论文达113篇,尤其是近两年,基金资助论文比例均达50%以上。
关键词:长庆油田 网络安全 防范
0 引言
随着国家信息化建设的快速发展,信息网络安全问题日益突出,信息网络安全面临严峻考验。当前互联网络结构无序、网络行为不规范、通信路径不确定、IP地址结构无序、难以实现服务质量保证、网络安全难以保证。长庆油田网络同样存在以上问题,可靠性与安全性是长庆油田网络建设目标。文章以长庆油田网络为例进行分析说明论文下载。
1 长庆油田网络管理存在的问题
长庆油田公司计算机主干网是以西安为网络核心,包括西安、泾渭、庆阳、银川、乌审旗、延安、靖边等7个二级汇聚节点以及咸阳等多个三级节点为架构的高速广域网络。网络庞大,存在的问题也很多,这对日常网络管理是一份挑战,由于管理的不完善,管理存在以下几个方面问题:
1.1 出现问题才去解决问 我们习惯人工战术,习惯凭经验办事。网络维护人员更像是消防员,哪里出现险情才去扑救。设备故障的出现主要依靠使用者报告的方式,网管人员非常被动,无法做到主动预防,无法在影响用户使用之前就预见故障并将其消除在萌芽状态。因此,这种维护模式已经很难保障网络的平稳运行,能否平稳影响网络安全与否。
1.2 突发故障难以快速定位 仅仅依靠人工经验,难以对故障根源做出快速定位,影响故障处理。而且随着网络的复杂程度的提高,在故障发生时,难以快速全面的了解设备运行状况,导致解决故障的时间较长,网络黑客侵犯可以趁机而来,带来网络管理的风险。
1.3 无法对全网运行状况作出分析和评估 在传统模式下,这些都需要去设备近端检查,或远程登录到设备上查看,不仅费时费力,而且对于历史数据无法进行连续不间断的监测和保存,不能向决策人员提供完整准确的事实依据,影响了对网络性能及质量的调优处理,庞大的网络系统,不能通盘管理,不能保证网络运行稳定,安全性时刻面临问题。
2 网络安全防范措施
计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性,为了有效保护网络安全,应做好防范措施,保证网络的稳定性,提高网络管理的效率。
2.1 完善告警机制,防患于未然 告警监控是一种手段,设备维护人员、网络分析人员需要通过告警信息去分析、判断设备出现的问题并尽可能的找出设备存在隐患,通过对一般告警的处理将严重告警发生的概率降下来。告警机制的完善一般从告警信息、告警通知方式两方面着手:
2.1.1 在告警信息的配置方面 目前,长庆油田计算机主干网包括的97台网络设备、71台服务器,每台设备又包含cpu、接口状态、流量等等性能参数,每一种参数在不同的时间段正常值范围也不尽相同。
例如同样为出口防火墙,西安与银川的各项性能阀值的设置也不尽相同,西安的会话数达到25万,而银川的超过20万就发出同样的告警。再比如,西安电信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因为这个时候在线用户很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要发出告警信息。
因此必须根据监控的对象(设备或链路)、内容(各项性能指标)以及时间段,设置不同的触发值及重置值。
2.1.2 告警通知方式的多样化 任何时间我们都无法保证能全天候死盯着屏幕,所以一方面需要制定相应的运维管理制度和轮班值守职责,另一方面则需要选择更加人性化的运维管理方式。维护人员不但需要页面显示的告警触发通知,也迫切需要在移动办公状态或休假状态第一时间得到预警,从而做出应有的反应,所以我们需要开发出例如声音、邮件、短信等多种告警方式。
通过以上两个方面,我们可以建成一个完善的故障告警系统,便于隐患的及时消除,提高了网络的稳定性。
2.2 网络拓扑的动态化 如果一个个设备检查起来显然费时费力,如果我们能将所有设备的状态及其连接状况用一张图形实时动态的直观显示出来,那么无疑会大大缩短故障定位时间(见图1,2)。
说明:2009-10-11日17:05,庆阳、延安、靖边、银川四个区域的T1200-02的连接西安的2.5GPOS口,泾渭T1200-01连西安的2.5GPOS口,以及西峰、吴起连接庆阳汇聚交换机Z8905-02的千兆光口,以上接口同时发出中断告警。
因此,综合告警信息与全网拓扑图,当出现大规模告警的情况下能够非常高效地找出故障源,避免了一步步繁琐的人工排查,从而达到有效提高故障的解决效率,提高了网络的稳定性。
2.3 全网资源管理的动态化
2.3.1 通过对网管系统的二次开发,实现全网动态资源分析,他的最重要特点就是动态,系统通过Polling Engine从设备上自动提取资料数据,如设备硬件信息、网络运行数据、告警信息、发生事件等。定时动态更新,最大限度的保持与现网的一致性。
2.3.2 通过一个集中的浏览器界面上就可以快速、充分地了解现有网络内各种动态和静态资源的状况,彻底转变了传统的网络依赖于文字表格甚至是依赖于维护人员的传统维护模式,变个人资料为共享资料。
2.4 提高安全防范意识 只要我们提高安全意识和责任观念,很多网络安全问题也是可以防范的。我们要注意养成良好的上网习惯,不随意打开来历不明的电子邮件及文件,不随便运行陌生人发送的程序;尽量避免下载和安装不知名的软件、游戏程序;不轻易执行附件中的EXE和COM等可执行程序;密码设置尽可能使用字母数字混排;及时下载安装系统补丁程序等。
总之,影响网络稳定的因素有很多,本文基于日常网络安全管理经验,从日常网络管理的角度,提出一些安全防范措施,以期提高网络稳定性。
参考文献
[1]石志国,计算机网络安全教程,北京:清华大学出版社,2008.
[2]张庆华,网络安全与黑客攻防宝典,北京:电子工业出版社,2007.
[论文摘要]随着计算机技术的发展,在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网的世界范围内的信息共享和业务处理功能。在信息处理能力提高的同时,基于网络连接的安全问题也日益突出,探讨了网络安全的现状及问题由来以及几种主要网络安全技术。
随着计算机网络的发展,其开放性,共享性,互连程度扩大,网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”,上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
一、网络的开放性带来的安全问题
众所周知,Internet是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)每一种安全机制都有一定的应用范围和应用环境
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(二)安全工具的使用受到人为因素的影响
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(三)系统的后门是传统安全工具难于考虑到的地方
防火墙很难考虑到这类安全问题,多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(四)只要有程序,就可能存在BUG
甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(五)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
二、网络安全的主要技术
安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。
(一)认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(二)数据加密
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。
1.私匙加密。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
(三)防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
(四)入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(五)虚拟专用网(VPN)技术
VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密匙管理技术(KeyManagement)和使用者与设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
(六)其他网络安全技术
1.智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋与它一个口令或密码字,该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。
2.安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。
3.网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。
4.IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
5.Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
[论文摘要]随着计算机技术的发展,在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网的世界范围内的信息共享和业务处理功能。在信息处理能力提高的同时,基于网络连接的安全问题也日益突出,探讨了网络安全的现状及问题由来以及几种主要网络安全技术。
随着计算机网络的发展,其开放性,共享性,互连程度扩大,网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”,上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
一、网络的开放性带来的安全问题
众所周知,Internet是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)每一种安全机制都有一定的应用范围和应用环境
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(二)安全工具的使用受到人为因素的影响
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(三)系统的后门是传统安全工具难于考虑到的地方
防火墙很难考虑到这类安全问题,多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(四)只要有程序,就可能存在BUG
甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(五)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
二、网络安全的主要技术
安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。
(一)认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(二)数据加密
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。
1.私匙加密。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
(三)防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
(四)入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未 授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(五)虚拟专用网(VPN)技术
VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密匙管理技术(Key Management)和使用者与设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
(六)其他网络安全技术
1.智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋与它一个口令或密码字,该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。
2.安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。
3.网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。
4.IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
5.Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络, 截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容 ,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
【关键词】智能变电站;VLAN;数据流
一、智能变电站网络结构
智能化变电站是构建智能电网的重要组成部分之一。随着电网的不断发展,变电站作为输配电系统的信息源和执行终端,接受的信息量和实现的控制功能越来越多,对于数字化、信息化的要求越来越迫切,智能化变电站成为未来变电站发展的方向。
依据国家电网公司颁布的《110(66)kV~220kV智能变电站设计规范》,智能变电站网络可从逻辑上分为“两网”,即站控层网络和过程层网络。其中,站控层网络连接了站控层设备与间隔层设备,主要是传输站控层内部、间隔层内部、以及站控层与间隔层之间的数据信息,内容以MMS报文为主。过程层网络连接过程层设备与间隔层设备,主要是传输过程层内部、间隔层内部以及过程层与间隔层之间的数据信息,内容以GOOSE和SV报文为主。由此三层两网结构数据流如下:
而且近年来基于IEC61850标准的智能变电站建设越来越多,多数的智能变电站配置站控层、间隔层和过程层3层结构。随着对IEC61850标准研究和应用的深入以及国内各厂商基于IEC61850标准产品的丰富,特别是智能一次设备中更多的整合二次设备的功能,而且越来月来的变电站利用先进的以太网交换机信息传播技术,使智能变电站配置上采用VLAN组网技术技术上提供了可行性。
二、虚拟局域网
智能化变电站过程层网络信息数据总量十分可观,但大部份信息数据不需要横向流通,在过程层网络中采用VLAN组网技术,为100M以太网交换机在智能化变电站组网中的应用奠定了理论基础,既降低了组网成本,又满足了网络安全、可靠性。
2.1虚拟局域网VLAN(Virtual Local Area Networ)技术是通过将局域网内的设备逻辑地划分成不同网段,从而实现组建虚拟工作组的技术,达到减少碰撞和广播风暴、增强网络安全性,并为802.1D协议的实现奠定了技术基础,提供了实现手段。
2.2VLAN划分的几种模式基于端口的VLAN、基于MAC地址的VLAN、基于路由的VLAN、基于策略的VLAN。基于端口的VLAN划分模式是最简单、有效的方法,在智能化变电站网络中得到了充分有效的应用。基于端口的VLAN模式是从逻辑上把交换机按照端口划分成不同的虚拟局域网络,使其在所需用的局域网络上流通。
2.3支持IEEE802.1qVLAN协议。根据变电站自动化系统中的设备对实时性要求的高低不同,将其分组到不同的虚拟局域网(VLAN),可进一步改善系统安全性和带宽利用效率,从而进一步保证系统的实时性。
三、智能变电站过程层网络VLAN划分
3.1智能变电站VLAN网络划分方案
根据智能变电站的网络特点,为了限制过程层网络流量、增加系统灵活性、提高系统的可靠性,智能变电站的过程层网络进行VLAN划分很有必要。但目前并没有成熟的VLAN划分方案应用于智能变电站,因此本文设计根据数据流的逻辑关系划分VLAN划分方案,具体如下所述。
1、根据合并单元、智能终端、保护和测控的逻辑关系。
2、线路间隔之间的逻辑关系(联闭锁、失灵启动)
3、线路间隔与母线和主变的的逻辑关系
4、VLAN划分应满足远期扩容的需求
3.2划分实例
先将智能变电站网络按照电压等级划分成500、330,220、110、35kV等若干个区域。各个电压等级的测控,电压合并单元,故障录波,断路器测控,断路器合并单元和主变各个电压等级合并单元,网络分析仪,测控,主变录波都分别划成一个VLAN。另外需要1个实现跨间隔通信和跨层通信的VLAN;最后需要1个进行变电站层内部通信的VLAN,由于通信网络系统默认的VLAN是VLAN_1,它包含整个网络的所有设备,另外根据交换机端口要求,Trunk 端口加入的VLAN 不能是VLAN_1。所以划分VLAN从VLAN_1以后开始。
四、基于工业以太网交换机实现
4.1设置VLAN组
如图3所示。交换机有几个VLAN就有几条VLAN设置,其中VID 为VLAN标识。
4.2TXtag
考虑到由于跨交换机通信时,会有多个VLAN的报文经过交换机的同一端口进行发送和接收,必须使交换机具有判断所接受的数据属于哪个VLAN的能力,所以需要将与中央交换机端口相连接的间隔交换机端口类型设置为Trunk(发送)tagged,传送时保存VLAN信息,中央交换机相应的Trunk(接收)tagged端口判断接收到的数据属于哪个VLAN,然后再根据相应设置转发到相应的端口上。
五、结论
VLAN 技术是建立在通信技术和计算机网络技术基础之上的,只有具备完善的网络通信并有足够的带宽才能充分发挥应有的作用,智能变电站的网络通信能力需要继续建设。本文探讨了智能化变电站的VLAN划分方式, 给出了一个方案, 同时给出了基于工业以太网交换机实现的案例, 可供今后在智能化变电站建设的借鉴。
参考文献
[1]丁津津,高博,刘宁宁,郭力.智能变电站网络结构分析与VLAN划分方式探讨[N].合肥工业大学学报(自然科学版),2013-03(1).
[2]任雁铭,秦立军,杨奇逊.IEC61850通信协议体系介绍和分析[J].电力系统自动化,2000,24(8)62-64.
[3]周莉.网络结构及交换机配置优化方案在智能变电站的应用.重庆市电机工程学会2010 年学术会议论文.
(一)研究方法
知识图谱以可视化的方式呈现知识演进的历程。借助知识图谱的方法与技术,我们可以透过协作学习复杂的知识网络,理顺其理论发展的关键路线。本研究采用国际公认的、先进的知识图谱分析软件,由美国费城德雷赛尔大学陈超美(Chen,C.)教授开发的Citespace3.0R5作为分析工具,并绘制国外协作学习研究的知识图谱。
(二)数据来源
学术期刊与国际会议论文可视为该研究领域主要的成果。本文数据源自美国科学情报研究所(ISI)基于Web开发的数据库———WebofScience数据库。该数据库收录了9000多种世界权威的、高影响力的学术期刊,内容涵盖完整、全面。本文以“CollaborativeLearning”为“title”检索,时间范围为“1993年至2012年”,学科范围限定在“EDUCA-TION&EDUCATIONALRESEARCH,COMPUTERSCIENCE”,共获取1175篇有效文献。
二、知识图谱分析
“共引网络图谱中的关键节点是图谱中链接两个以上不同聚类,且中心性和被引频次相对较高的节点。这些节点可能成为网络中由一个时段向另一个时段过度的关键点。”陈(Chen,2004)运用Citespace分析知识图谱,主要用“中心性”这个概念来衡量某一点在知识地图中链接作用的大小。从中心性可以看出一个研究领域的结构和动态本质,中心性值高,说明该点在知识网络中具有重要地位,对知识的发展脉络起重要作用。中心性高的文献说明是该领域的重要文献。另外,这些文献的时间分布以及对这些文献的解读,在一定程度上可以作为该领域的理论基础与演进路线判断的依据。首先,将上述检索数据导入Citespace3.0R5中,(CCCCCV)参数设置设置为(2,2,20),(4,3,20),(5,3,30),得到关键文献聚类形成的知识图谱,如图1所示。笔者提取中心性大于或等于0.1的文献信息,得到关键节点文献列表,如表一所示。
三、国外协作学习理论演进的关键路线
根据图谱和表一,可以将协作学十年的理论发展大致分为四个时期,即持续奠基发展期、研究单元转型与CSCL发端期、过程导向与信息技术的持续关注期、CSCL迸发与协作脚本理论发展期。
(一)持续奠基发展期
尽管本研究数据始自1993年,但由于是引文分析,所以研究析出了两篇早期关键文献。一是前苏联学者维果斯基(Vygotsky,L.S.)1978年出版的《社会中的心理:高级心理机能的发展》一书,是协作学习知识演进过程中出现最早的关键节点文献,中心性为0.17;二是加利福尼亚大学伯克利分校珍妮·莱夫(Lave,J.)1991年出版的《情景学习:合法的边缘性参与》一书,中心性为0.3。协作学习的研究始于20世纪60年代末,结合这两项研究的内容分析,可将20世纪90年代前确定为奠基发展期。情境学习理论是20世纪90年代以来西方学习理论研究的又一重要动向。它提出了关于学习的新隐喻,即学习是一个社会协商的过程,学习是合法的参与实践共同体(崔允漷,王中男,2012)。从表一不难看出,莱夫一书的中心性最大,表明情境学习理论在整个协作学习理论中的基础性地位。具体来说,莱夫认为学习是一个社会性、实践性、以差异资源为中介的参与过程。意义建构发生在学习者与学习情境、学习者之间的互动中;他强调学习者在真实情境中的学习,通过社会性互动和协作来学习(Lave&Wenger,1991)。维果斯基是杰出的心理学家,也是苏俄心理科学的奠基人之一。1978年,维果斯基在其心理过程发展理论中强调个体发展的社会文化取向,解释了社会过程与个体过程之间动态的相互依赖关系,摆脱了行为主义的束缚(高文,1999)。维果斯基提出了社会建构主义理论,认为学习者达到最近发展区不仅可以通过教师的教学活动来实现,也可以通过与能力较强的伙伴开展协作来实现。在维果斯基看来,由于儿童年龄相仿,最近发展区相似,他们更容易在这种相似的最近发展区内通过协作实现发展(Vygotsky,1978)。莱夫的情境学习理论和维果斯基的社会建构主义理论、最近发展区理论为协作学习奠定了坚实的理论基础。如果说维果斯基的社会建构主义掀起了新的学习革命,那么莱夫的情境学习理论则是这场学习革命的另一重要基石与助推器。
(二)研究单元转型与CSCL发端期
该时期大致为20世纪90年代初,协作学习的理论研究实现了研究单元的转型:从个体到团体。同时,学者们开始关注计算机支持的协作学习的研究。斯坦福学习技术中心杰里米·罗歇尔(Ros-chelle,J.)致力于研究技术支持下的复杂性学习,特别关注交互技术支持下的协作学习。1992年,他发表了《协作学习:聚合性概念变化》一文。罗歇尔认为协作学习的关键问题在于协作者如何为会话建构共享的意义。通过对协作学习过程的分析,罗歇尔(Roschelle,1992)提出了协作学习的四个主要特性,指出学习是社会性的,是对知识的协作构建,个人作为团体的成员参与其中,但是他们的活动并非个人独立的学习,而是以协商或共享的方式参与团体互动。罗歇尔的研究明确提出了交互过程中主体间性构成的问题。更重要的是,在这项研究中他设计了计算机软件支持的协作学习,被视为CSCL领域具有开创性的早期研究之一。斯坦福大学荣誉退休教授伊丽莎白·科恩(Cohen,E.G.)致力于社会学视角下的教育研究。1994年,科恩发表的《重组课堂:创造性小组的条件》一文中心性值为0.29,位居第二。在这项研究中,科恩一改之前协作学习中以个体为研究单位的传统,而是以小组为基本研究单位,并提出不同的会话可能会产生不同的学习类型和交互方式。这项研究摆脱了内在和外在的激励、目标和资源相互依存关系的争论,关注交互与任务等分析,对支持协作学习的研究人员、开发人员和实践人员走向建立在有效小组详细知识基础上的第二代协作学习具有重要价值(Cohen,1994)。英国诺丁汉大学研究生院院长、心理学院学习科学教授克莱尔·奥麦利(O'Malley,C.)的研究兴趣是将心理学理论与方法应用于计算机支持的协作学习环境设计。1995年,他主编的《计算机支持的协作学习》一书的中心性值为0.1,主要涉及同伴交互与学习的理论与经验性工作、协作交互的认知模型、计算机网络与以计算机为中介的传播和支持协作学习的设计问题四方面内容(O'Malley,1995)。该书是北大西洋公约组织高级教育技术特殊项目的成果之一,也是最早以CSCL命名的著作,在众多文献中被遴选出说明了其重要性。在维果斯基的社会建构主义理论与莱夫的情境学习理论的奠基与推动下,上世纪九十年代初期和中期,计算机支持的协作学习研究开设了自己的阵地,不仅确定了相对稳定的名称,还提出了一系列研究设计。更重要的是,它将研究者与实践者的视角从个体转向团体协作,这样的转型对学习科学的理论与实践发展具有重要的意义。
(三)过程导向与信息技术的持续关注期
这一时期主要是20世纪90年代末,表现为对协作学习理论的反思性总结,开始关注过程导向的协作学习研究,以及协作学习过程的具体理论研究,研究者们开始持续关注协作学习的计算取向(Com-putationalApproach)。这一时期遴选出的两篇文献的作者均为瑞士洛桑联邦理工大学狄隆伯格(Dillenbourg)。狄隆伯格1996年发表的《协作学习研究演变》集中梳理了1996年前协作学习的研究,指出协作学习应该由关注个体在小组的功能研究转向小组整体的研究(Dillenbourgetal.,1996)。考虑到变量之间的影响,他提出协作研究应该少些有效协作参数的设置,多些对中介交互变量角色的理解。该研究分析了改变协作变量对个人学习评价变量产生的影响,其过程导向的协作学习研究成为协作学习研究转型的重要节点文献。1999年,狄隆伯格参与编写了《协作学习认知与计算途径》一书。在前言“协作学习意味着什么?”中,从协作学习最简单的元素———学习与协作,他引出了学习机制和协作的四个标准,提出了提高协作交互的四种方法(Dillenbourg,1999)。在这篇文章中,他还专门对合作学习与协作学习这两个极易混淆的概念进行了辨析。这个时期起了承前启后的作用,既是对前期研究的总结与反思,又在此基础上进一步拓展,使计算机支持下的协作学习研究稳步推进。
(四)CSCL迸发与协作脚本理论发展期
这一时期大致为新世纪以后,表现为CSCL的研究开始集中且成规模涌现,同时对协作脚本以及CSCL环境下的协作脚本的研究开始深入。芬兰赫尔辛基大学的拉塞·利波宁(Lippon-en,L.)教授2003年发表了《面向小学生的计算机支持下协作学习参与与话语范型》一文,综合运用社会网络分析法和内容分析法,分析协作学习中的交互活动和会话质量(Lipponenetal.,2003)。这项研究从研究方法的角度对协作学习研究的发展作出了贡献。斯坦福大学布里基·巴伦(Barron,B.)教授2003年发表的《智慧小组何时失效》一文是一项关于协作交互如何影响问题解决的调查研究。荷兰开放大学的卡雷尔(Kreijns,K.)2003年发表的《计算机支持下的协作学习中社会交互陷阱识别:一个研究的述评》指出社会交互研究中存在误区:一是想当然地认为在CSCL环境中,人们之间的交互自然而然会发生;二是不太重视交互中社会心理因素的影响(Kreijns,2003)。该研究引入了社会临场感理论(SocialPresenceTheory),并强调运用该理论讨论CSCL环境中的社会交互问题的重要价值。2006年格里·斯塔尔(Stahl.G.)出版的《小组认知:计算机支持下的协作知识建构》一书提出群体认知优于个体认知,而计算机在群体认知中可以作为有效的工作介质(Stahl,2006)。斯塔尔的研究揭示了小组协作中小组如何从会话本身构建主体间知识的。这一发现构成了斯塔尔协作学习社会理论的框架。2002年狄隆伯格发表的《CSCL过度脚本化:协作学习与教学设计混合的风险》一文,针对协作脚本的结构化对协作学习的限制,指出过度脚本化会影响协作的自然性(Dillenbourg,2002)。2006年科勒(Kollar,I.)发表的《协作脚本———概念性分析》一文,将协作脚本分为外部脚本和内部脚本,并最早提出了协作脚本的基本要素应该包括:学习目标、活动类型、时序、角色分配、呈现方式五个要素,成为协作脚本研究的早期重要基本理论(Kollar,2006)。本阶段的关键文献最丰富,内容最具体,不仅有研究视角与方法的创新,也有对实践过程中出现的各种问题及其解决方式的探讨。理论与实践在这个阶段充分融合,相互影响,使计算机支持的协作学习在理论场域与实践场域同步发展。
四、国外协作学习研究的热点
研究热点是指在某一时间段内,有内在联系以及数量相对较多的一组论文所探讨的科学问题或专题(Chen,2004)。Citespace关键词共现网络可以展现一段时间内相关文献集中反映出的热点词汇。运行软件可聚类出词频大于50的词汇,如表二所示。从中可以看出,研究热点大致可以分为四方面。第一,“计算机支持的协作学习(CSCL)”词频最高,突显了协作学习的技术支持取向,是目前协作学习领域最热的研究分支。CSCL是利用计算机技术,尤其是多媒体和网络技术辅助或支持的协作学习。它是当今信息技术环境下,协作学习与计算机技术的汇合点。自1989年第一个以CSCL命名的国际会议召开以来,CSCL国际会议已经形成了一个规模庞大的学术共同体。第二,以“协作学习环境(collaborativelearningenvironment)”与“学习环境(learningenvironment)”为关键词,突显了协作学习对“环境”的重视,也说明学习环境作为协作学习的基本要素之一,已经成为重要突破口。在协作学习的早期研究中,学习环境似乎并没有引起研究者足够的重视。近二十年来,协作学习的潜在前提根植于建构主义认识论、情境学习理论,并成为构建协作学习范式的基本前提(Johnsonetal.,1991),这样的观点得到越来越多的研究者的认同。相应地,作为建构主义核心要素的学习环境的研究也日益成为研究者关注的热点。另外,随着信息技术在教育中应用的普及,网络环境下的协作学习日益受到重视。为协作学习提供理想学习环境的学习系统也逐渐成为该领域研究的热点。第三,以“学习过程(learningprocess)”为关键词,这是研究者对协作学习深度认知的表现。协作学习作为一项社会性活动,“学习过程”比“学习结果”更应引起重视。狄隆伯格在其经典文章《协作学习意味着什么?》中明确指出协作学习中学习的过程就是协作的过程,协作学习的过程是以协作为主要特性的过程。他将这种特性视为协作学习的四大标准之一(Dillenbourg,1999)。传统课堂环境下,协作学习更关心协作学习过程中小组学习的组织。Web环境下则更加重视组织有效的协作学习过程(赵建华,2002)。对于学习过程的关注,显然与信息技术环境下协作学习的新发展有关。第四,以“协作学习系统(collaborativelearningsystem)”为关键词,这是协作学习研究与实践日益深入的表现。协作学习系统的设计、开发与应用是协作学习研究持续发展并发挥影响力的重要基点。
五、国外协作学习研究的前沿
研究前沿是某一领域科学研究中最具发展潜力和代表未来发展趋势的研究主题。根据Citespace提取的突现词,可以探测某一领域的研究前沿。运行Citespace软件在输出结果中得到的突现词及突现时间如图2所示。协作学习的研究前沿有以下几点。第一,近二十年来,随着信息技术,尤其是网络技术在教育领域中的日益普及,网络环境下的协作学习、远程协作学习成为未来协作学习发展的趋势。“万维网(worldwideweb)”与“远距离学习(distancelearning)”作为突现词被析出,特别是“远距离学习”有着较长的突现时间段。第二,“学习环境(learningenvironment)”不仅是研究的热点,也是研究的前沿领域。从突现的时间来看,“学习环境”的突现几乎与“远距离学习”突现同步,说明网络条件下的协作学习环境的研究是一个前沿领域。第三,协作学习中“知识管理(knowledgeman-agement)”的研究成为该领域研究的前沿。在网络环境下,协作学习具有了更丰富的学习资源和便利的交互方式。如何将个人知识融入集体知识中,促进知识互动;如何挖掘学习者的隐性知识;如何实现协作学习中知识的共享和创造。这些都是网络协作学习面临的新问题。关于这一点,知识管理与网络协作学习在技术上相互支持,在理念上相互借鉴,二者相辅相成,为协作学习的发展提供了新的思路。第四,“协作学习活动”(collaborativelearningactivity)是协作学习各要素相互作用的总和。从图2可以看出,在2003年“协作学习活动”一词被突现出来。这说明期间从“活动”视角开展的研究其数量开始激增。通过进一步的文献检索发现,似乎“活动理论”为这一时期协作学习的“活动”研究提供了新思路。第五,“学习成效”(learningoutcomes)日益引起研究者关注。从图2可以看出,从2011年开始,学习成效开始成为协作学习研究的前沿领域。协作学习在传统课堂教学中的研究比较成熟,在新技术环境下则面临多种挑战。近二十年来,随着协作学习网络化,以及学习环境、知识管理、协作学习活动等前沿研究的持续推进,协作学习整体学习成效的问题自然会被日益凸显。
六、结论与讨论
[关键词] SSCI; 教育技术; 可视化; 热点; 前沿; 高影响力
[中图分类号] G434 [文献标志码] A
[作者简介] 胡小勇(1978—),男,江西奉新人。教授,博士,硕士生导师,主要从事信息化教育、信息化教师专业发展等研究。E-mail:。
一、研究背景
一直以来,教育技术领域的国际学者(如加涅、乔纳森、汉纳芬等)和学术组织(如AECT等),对我国教育技术的发展有着深远影响。关注国际教育技术发展热点与动态趋势,成为我国教育技术学者们最重要的学术活动之一,意义重大。
《社会科学引文索引》(SSCI),是国际上社会科学最权威的研究引文索引。SSCI的来源期刊都经过了科学方法的层层筛选,其发表的研究文献都反映了国际研究的主流和前沿。[1]鉴于此,本研究结合国际教育技术研究的发展历程,对SSCI所收录的教育技术五本核心期刊《British Journal of Educational Technology》《Computers & Education》《Education Technology & Society》《International Journal of Computer-Supported Collaborative Learning》《Australasian Journal of Educational Technology》,从2002至2012年相关的论文进行文献分析,可视化呈现近11年来国际教育技术研究的热点和前沿,为国内研究提供参考依据。
二、研究设计
(一)方法、工具与数据源
本研究采取定量研究为主、定性研究为辅的方法,采用词频分析法对文献进行定量研究,并在可视化结果上进一步定性分析。词频分析法,是指利用能够揭示或表达文献核心内容的关键词或主题词的频次高低来确定该领域研究热点和发展动向的文献计量学方法。[2]
在工具选择上,本研究所采用的CiteSpaceⅡ,是一种科学知识图谱中的引文分析软件。它是美国德雷克赛尔大学信息科学与技术学院的陈超美博士开发,基于Java编程语言的信息可视化软件。CiteSpaceⅡ能够有效探索学科知识领域的演进与研究前沿,并进行可视化分析,使得文献计量学分析易于呈现历时性的动态,[3]并具有以下基本功能:(1)通过引文网络分析,找出学科领域演进的关键路径;(2)找出学科领域演进的关键节点文献(知识拐点);(3)分析学科演化的潜在动力机制;(4)预测学科或知识领域研究前沿。[4]
以Web of Science(WOS)为数据源,检索SSCI收录的上述五本教育技术期刊的论文信息,时间选择是从2002-01-01到2012-12-31。CiteSpaceⅡ可直接对WOS的数据进行提取研究关键术语的操作,并开展词频分析及引文分析。
(二)分析思路
第一,对样本文献中高频度、高突变和高中心性的关键术语进行分析,形成研究热点的可视化知识图谱,初步判断国际教育技术领域11年来的研究重点和热点。同时利用CiteSpaceⅡ绘制的关键术语时间序列图谱,呈现11年来国际研究热点的变迁,得出近年来衍生出的新研究主题和方向。第二,在CiteSpaceⅡ中利用词频探测技术进行分析,明确突变专业术语,并生成代表研究前沿的可视化知识图谱,进而深入分析该领域的研究前沿。第三,通过对作者及文献的共被引分析,生成可视化知识图谱,分析国际研究中具有重要地位和贡献的学者,以及对近年来教育技术领域具有高影响力的经典文献。
三、国际教育技术研究热点与变迁
(一)研究热点的可视化分析
1. 研究热点的可视化呈现
使用CiteSpaceⅡ以关键词为节点,时间分区为一年,设置top N% per sliced值为30%,采用Pathfinder算法,绘制高频关键术语共现网络(即研究热点知识图谱),如图1所示。
研究热点知识图谱
在该图谱中,年环大小代表频次,内部不同年轮的颜色代表相应的年份。外部年轮为紫色的年环(箭头所指)表示具有高中介中心度的关键节点。数值高的中介中心度节点,对其他节点之间的联系起到控制作用,体现了其在整个网络中的重要地位。[5]由图1可知,2002—2012年间国际教育技术领域的研究热点包括:“teaching/learning strategies(教与学的策略)”、“interactive learning environments(互动学习环境)”、“pedagogical issues(教学法话题)”、“improving classroom teaching(提高课堂教学)”、“students(学生)”、“computer-mediated communication(计算机媒介通讯)”、“cooperative/collaborative learning(合作/协作学习)”、“education(教育)”、“technology(技术)”、“media in education(教育媒体)”、“secondary education(中等教育)”、“elementary education(初等教育)”、“applications in subject areas(学科领域应用)”、“post-secondary education(专科教育)”、“multimedia/hypermedia systems(多媒体/超媒体系统)”和“human-computer interface(人机界面)”。
将这些频次100以上的关键术语进行中介中心度的二次统计,如表1所示。从频次排序看,“Teaching/Learning Strategies”最高,其节点年环明显最大。从节点中介中心度看,“interactive learning environments”和“multimedia/hypermedia systems”两个节点的紫色年环最大,其中心度最高,占该领域研究的核心地位。综上所述,2002—2012年间国际教育技术领域中,“teaching/learning strategies”相关研究最广泛,但是相对突出的研究热点是“tnteractive learning environments”、“multimedia/hypermedia systems”、“students”和“secondary education”等的相关研究。
2. 研究热点的讨论
在国际教育技术领域中,“teaching/learning strategies”的研究最为普遍。随着教育理念从“教”向“学”的转变,教学策略也逐渐向学习策略转变。在学生为主导的教学环境背景下,对“students”的研究具有重要的意义。在国际教育技术研究领域,对“学生”的研究主要包括学习方式、学习策略、学习态度、学习效果、认知能力、认知风格、社会关系等主题。学习环境建设也是国际教育技术领域研究的一个重点。社会的信息化发展,对学习环境变革提出了新诉求,学习环境必须能够促进学习者主动的、有效的学习。国际教育技术学者在关注对学习环境的“interactive(互动性)”研究时,无论是面对面授课,还是网络远程授课,都强调必须在师生间、生生间搭建良好的互动交流环境。媒体系统的演化,则展示了媒体与人类学习的密切联系。从“multimedia”到“hypermedia”,反映了教育对网络技术的采纳。“hypermedia systems”能够将用户引入包含相关信息的页面,其作为促进教与学的工具,在教育中有着广泛的用途。
(二)研究热点变迁的可视化分析
1. 研究热点变迁的可视化呈现
基于上述分析基础,利用CiteSpaceⅡ对研究热点分布再作进一步的时间线图分析,如图2所示。
从时间线图来看,国际教育技术领域的各研究主题,在2005年或更早之前就已基本成熟化,呈现出相对的静态稳定性。在2005—2012年间,少数巨大影响力的新研究热点出现,而主要还是对之前研究热点的继续深化。但是,从时间线图的总体方向来看,几乎每年都会衍生出一些新的研究主题,例如“self-efficacy(自我效能感)”、“self-explanations(自我解释)”、“virtual reality(虚拟现实)”等,说明国际教育技术领域的研究具有与认知心理学领域研究相结合的态势。其中术语“virtual reality”在2007年左右出现,词频分布比较均匀,说明它可能成为研究的一个新热点。
另外,本研究针对总频数和中介中心度均较高的关键术语(包括“interactive learning environments”、“multimedia/hypermedia systems”、“students”、“secondary education”)作了激增分析,得出总频数和中介中心度均居高的关键术语的各年频数基本上都呈现增长趋势,且结点年份与起始年份的频数相比,差异明显。这些关键术语近11年来的频数增长曲线,体现了所对应主题的研究具有良好的发展态势。
2. 研究热点变迁的讨论
在2005年前后,国际教育技术领域的研究已趋于成熟,而此后几年中衍生的研究主题大多与认知心理学相关,如“self-efficacy”、“self-explanations”等。美国Robert Zheng和Matthew McAlack等学者在2009年发表的文章《Effects of Multimedia on Cognitive Load, Self-Efficacy, and Multiple Rule-Based Problem Solving》,对“multimedia on cognitive load(多媒体认知负荷)”和“self-efficacy”的关系进行了深入研究;[6]2006年,Silke Schworm和Alexander Renkl两位学者在文章《Computer-Supported Example-Based Learning: When Instructional Explanations Reduce Self-Explanations》中对“Computer-supported example-based learning(计算机支持的案例学习)”与“self-explanations”之间的关系进行了论述。[7]随着网络技术的发展和应用,相关研究内容呈现上升趋势。其中“virtual reality”作为一个新的研究领域,营造了“自主学习”的环境,并能节省成本、规避风险、打破时空限制。在教学中应用“virtual reality”技术对师生来说都越来越具有吸引力;但美国Kami Hanson和Brett E. Shelton两位学者在文章《Design and Development of Virtual Reality: Analysis of Challenges Faced by Educators》中也指出,基于虚拟现实技术的教学活动具有一定的难度和挑战性,必须综合各方面因素开展适当的教学设计。[8]
四、国际教育技术研究前沿
(一)研究前沿的可视化呈现
在CiteSpaceⅡ中,同样以关键词为节点,时间分区为一年,选择突变专业术语类型为“burst term”,设置top N% per sliced值为30%,阀值设置(c,cc,ccv)的值分别为{(1,1,20),(2,2,20),(2,2,20)},同时标出突现点,得到图3所示的知识图谱。其中代表突现点的节点变成红色的(箭头所指)。并生成“summary table”,对节点的Σ值进行整理,见表2。可知代表研究前沿的术语有:“distributed learning environments(分布式学习环境)”、“learning communities(学习社区)”、“computer-mediated communication”、“architectures for educational technology system(教育技术系统的体系结构)”、“teaching/learning strategies”和“collaborative learning”。
(二)研究前沿的讨论
深度分析上述术语,可将国际教育技术领域的研究前沿方向概括为四类:理论研究类、环境资源类、策略方法类、媒体技术类。结合关键术语共现的可视化知识图谱以及词频统计结果:(1)在理论研究类方向,主要是对“architectures for educational technology system”开展研究,具体包括“evaluation of CAI systems(计算机辅助教学评价系统)”、“intelligent tutoring systems(智能教学系统)”、“distance education and telelearning(远程教学)”、“e-learning(数字化学习)”和“construction(建构)”等主题内容;(2)在环境资源类方向中,重点研究的主题是“学习环境”,其中“环境”包括“interactive learning environments”、“distributed learning environments”、“learning communities”和“classroom(教室/课堂)”;(3)在策略方法类方向中,主要是对“teaching/learning strategies”开展研究,具体主题包括“improving classroom teaching(提高课堂教学)”、“cooperative/collaborative learning”、 “evaluation methodologies(评价方法)”、“communication(交际)”、“tools and methods(工具和方法)”和“navigation(导航)”等,此外,还针对“elementary education”、“secondary education”、“post-secondary education”和“adult learning(成人学习)”等教育阶段的教学方法策略进行研究;(4)在媒体技术类方向中,主要是针对以计算机网络为代表的新技术开展相关研究;包括“computer-mediated communication”、“human-computer interface”、“virtual reality”、“Internet”和“computer”等信息技术在教育中的应用。
五、国际教育技术领域高影响力的学者与文献
(一)高影响力的学者
运行CiteSpaceⅡ,将节点类型选择为“Cited author”,设置top%为30%,阀值设置(c,cc,ccv)的值分别为{(2,2,20),(2,3,20),(2,3,20)},得到关于作者共现信息 从图4和表3可以看出,共现频次及节点的中介中心度最高的学者是Vygotsky,L.S.(维果斯基),其次是Jonassen D.H.(乔纳森)。另外,中心度较高的学者还有Salomon,G.(所罗门)、Chi MTH(季清华)和Brusilovsky,P.(彼特·布鲁斯洛维奇)。中介中心度较高的这些学者,在教育技术知识网络中起着重要的节点作用,构成了教育技术领域的主流结构。其中,有些学者已经逝去(维果斯基、乔纳森等),有些文献发表的年份也都较早,但仍具有如此高的频次和中心性,说明这些学者及其经典著作作为教育技术研究的理论来源和知识基础,对教育技术的发展起着重大的促进作用。图表中显示的高影响力学者大多是基于心理学开展教育技术研究,这在一定程度上说明了心理学对教育技术的理论支撑作用。突变用于检测一个学科内研究兴趣的突然增长。[9]通过数据分析,具有突变值的学者有Brusilovsky,P.、Bandura,A.(阿尔伯特·班杜拉)和Dillenbourg,P.(皮埃尔·狄隆伯格)。通过对三位学者的突变文献进行检索,分别是:Brusilovsky,P.的《Using A Style-Based Ant Colony System for Adaptive Learning》、Bandura,A.的《Social Cognitive Theory: An Agentic Perspective》和Dillenbourg,P.的《Over-Scripting CSCL: The Risks of Blending Collaborative learning with instructional design》。这些学者共同关注的焦点是“协作学习”,这是近十多年来教育技术研究的热点主题。可以说,这些学者及其重要文献为近十多年来“协作学习”研究的兴盛奠定了重要的理论基础。
(二)高影响力的文献
将节点类型改为“Cited Reference”,其他设置不变,得到关于共引文献信息的知识图谱,如图5所示。将统计得出的高频共引文献进行整理,选择频次大于40的共引文献,并统计其中介中心度等信息,如表4所示。
上述统计的高影响力共引文献包括著作和文章,都是教育技术领域的经典之作,距今数十年不等。Vygotsky,L.S.(维果斯基)的高级心理技能和社会心理学理论,Davis,F.D.(弗戴维斯)的感知理论和技术接受模型,Brown,J.S.(约翰·布朗斯)的教学模式和资源改革理念,Wenger,E.(安提拿·温格)的实践社区
理论,Mayer,R.E.(理查德·梅耶)的多媒体学习认知理论,Bandura,A.(阿尔伯特·班杜拉)的社会学习理论与行为矫正技术,Fishbein,M.(莫里斯·费许班)的信仰、态度、意图和行为的理论研究等,为教育技术领域的各项研究提供指导思想。这些经典著作建构了教育技术领域的理论体系,具有很大的开创意义,成为众多后续研究工作的基础性文献资料,影响力高。
六、研究结论
(1)近年来国际教育技术领域研究广泛,包括教与学的策略、教学设计、学习环境等方面的理论研究,以及相关技术研究和应用研究。各种主题内容的研究,基本上都是基于计算机和网络来开展设计和实施的。
(2)近年来国际教育技术领域研究的热点包括对学习环境、媒体系统、教学策略方法和学生等方面的理论研究和实践操作,具体有“interactive learning environments”、“multimedia/hypermedia systems”、“students”、“secondary education”和“teaching/learning strategies”等。
(3)近年来国际教育技术领域研究热点变迁的情况是:各热点研究方向在2005年左右就已基本成熟化,呈现出相对的静态稳定发展,但在后期研究中会衍生出如 “self-efficacy”、“self-explanations”和“virtual reality”等新的研究主题。
(4)近年来国际教育技术领域研究的前沿包括理论研究类、环境资源类、策略方法类、媒体技术类等四类方向,具体内容包括“architectures for educational technology system”、“distributed learning environments”、“teaching/learning strategies”和“computer-mediated communication”等。
(5)在教育技术高影响力学者与文献的可视化分析中,维果斯基、乔纳森等教育技术领域著名学者的思想理论,对教育技术研究起着指导性作用。一些学者在前人研究的基础上也提出了适应时展的研究焦点并得到良好发展,如彼特·布鲁斯洛维奇、阿尔伯特·班杜拉等提出的协作学习理论。此外,教育技术领域的经典著作和文献资料,仍然被当今学者广泛引用,作为教育技术研究的重要参考依据。
学术研究既要有本土化行动,更要有国际化视野。本研究分析了国际教育技术领域的发展热点与动态趋势,并还将对国内外教育技术领域在各个时期的发展特点进行比较,以期为国内学者与国际研究相接轨提供参考和借鉴。
[参考文献]
[1] 徐勇,张秀华,张昆丽.《SSCI》收录图情界期刊概况——SSCI来源期刊研究之一[J].现代情报,2004,(12):162~166.
[2] 马费成,张勤.国内外知识管理研究热点——基于词频的统计分析[J].情报学报,2006,(2):163~171.
[3][5] 陈超美. CiteSpaceⅡ:科学文献中新趋势与新动态的识别与可视化[J].情报学报,2009,28,(3):401~421.
[4] 侯剑华.工商管理学科演进与前沿热点的可视化分析[D].大连:大连理工大学,2009.
[6] Robert Zheng, Matthew McAlack, Barbara Wilmes, Patty Kohler-Evans and Jacquee Williamson . Effects of Multimedia on Cognitive Load, Self-Efficacy, and Multiple Rule-Based Problem Solving[J]. British Journal of Educational Technology, 2009,40(5):790~803.
[7] Silke Schworm, Alexander Renkl. Computer-Supported Example-Based Learning: When Instructional Explanations Reduce Self-Explanations[J]. Computers & Education, Volume 46, Issue 4, 2006,46(4):426~445.