前言:我们精心挑选了数篇优质常见信息安全问题文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
【关键词】网络;信息;安全;问题;管理办法;对策
引言
随着信息技术的快速发展,网络安全已经成为社会稳定发展的基本保证。信息网络涉及到国家的各个领域,是国家宏观调控决策、商业经济运作、银行证券数据和科研数据传输等重要保证。特别是有些数据的敏感性,使得许多黑客组织和个人发起各类攻击,获取他们感兴趣的信息。随着近些年通过网络犯罪的案件的不断增加,使各地计算机特别是网络安全系统面临很大的威胁,成为一个突出的社会问题。
1、信息的安全性分析
由于近年来,通过网络犯罪的案件不断提升,网络系统的安全已引起国家和个人的的高度重视。对于上网的所涉及的信息,如果得不到安全的保证,网络攻击者就会通过一定的技术手段窃取和获得相应的权限,然后进行操作,产生一定的不可估量的严重后果。所以,在网络环境的虚拟世界里,安全问题尤为重要。
随着网络信息化的不断普及,信息系统的安全已成为影响政府及个人的的重要因素。所以,我们可以从网络安全、信息安全和文化安全三方面,分析和解决相关的网络信息安全问题。
网络安全主要包括线路连接的安全、网络操作系统安全、权限系统安全、应用服务安全、人员安全管理等几个方面。并着重从如何通过安装能保证安全的相关软件、硬件及相关权限管理手段方面来提高网络系统和信息系统的安全性,降低各类风险,及时掌握网络信息系统中存在的信息安全问题,发现安全问题和攻击行为,并有针对性地做出相对应的处理措施。
信息安全包括国家军事政治机密、商业企业机密,个人私有信息机密等。网络环境下的安全体系是保证网络信息安全的关键,包括操作系统、安全协议、数字签名、信息认证、数据加密等,任何一个漏洞都可能威胁到全局的安全。信息安全的实质就是保护信息系统和信息资源不受各种威胁和破坏,从而保证信息的安全性。
文化安全主要指各种不利于我国的国家发展、制度实施及传统文化的威胁,主要表现在宣传舆论方面。
2、常见的网络攻击方法
作者在网络信息安全系统的使用过程中发现,网络攻击大部分是通过计算机网络,利用软硬件漏洞、操作系统BUG以及对网络安全认识不到位导致的人为因素产生的。
2.1帐号入侵。就是通过一定的技术手段获取一些合法用户的帐号和口令登录到入侵主机,然后实施攻击。
2.2木马程序。木马程序是把一些有害的程序伪装成用户常用的程序或游戏等,哄骗用户通过邮件和下载的方式打开带有木马程序的文件,如果用户执行了这些程序之后,攻击者就可以利用留在用户电脑中的后台程序,很方便的入侵成功,并登陆到用户的电脑中,任意地修改相关的的参数、窃取文件、查看硬盘中的相关内容等,从而达到控制你的电脑的目的。
2.3www的欺骗技术。通过修改和仿照原始网站的办法,使用户在不知情的情况下点击相关虚假页面,后台同时下载有毒插件,从而达到被黑客操纵的目的,特别是一些银行系统常有这样的现象发生。
2.4邮件攻击。电子邮件是互联网上使用最频繁的一种通讯方式。黑客可以通过一些邮件炸弹软件向目标邮箱发送大量重复、无用、广告性质的垃圾邮件,使目标邮箱被撑爆而不能接发邮件。特别是发送流量非常大时,还有可能造成邮件系统正常运行迟缓,甚至瘫痪。由于这种攻击容易隐藏攻击方,所以这种攻击方法相对简单,并且见效快。
2.5漏洞攻击。一般的各种操作系统都有很多的的安全漏洞。有些则是系统或软件本身就有的,因此攻击者就会在系统未经允许的情况下,访问和破坏操作系统。但随着时间的推移,旧的漏洞会通过不断修补而消失,新的漏洞仍会不断出现,所以漏洞问题也会长期存在。
3、网络信息安全的技术与产品
3.1防火墙技术。防火墙是一种通过电脑硬件设备和软件的组合使用,使互联网与局域网之间建立起一个安全网关,从而保护局域网用户免受非法用户的侵入,它其实就是一个把广域网与局域网隔开的屏障。
从本质上讲,就是所有从内部向外部或从外部向内部的数据都要经过防火墙,只有经过防火墙软件允许的数据才能通过,从而达到侵入预防的功能。同样如果局域网内部的侵入,只有通过制订内网的合理有效的办法来控制管理。
3.2数据加密。所谓数据加密技术就是通过加密算法和加密密钥将明文转变为密文,使得除了合法使用者外,其他人想要恢复和使用数据都变的非常困难。数据加密技术包括两个要点:算法与密钥。算法是将文本与数字的结合,产生不可思仪的密文的过程,密钥是用来对数据进行编码和解码的参数。
3.3访问控制。访问控制是网络信息安全防护和保护的主要办法,它的主要目的是保证网络数据不被非法使用,是保证网络安全最核心的策略。访问控制主要有:入网控制、权限控制、目录级控制、属性控制等多种方式。
3.4信息安全产品。随着用户安全防范意识的不断加强,主动防御性安全产品越来越受到关注,并逐渐成为未来安全应用领域的主流。
目前常用的安全产品有:路由器、VPN系统、服务器、电子签证、安全管理中心、入侵检测系统、入侵防御系统、安全数据库、安全操作系统、DG图文档加密等产品。
4、应对网络威胁采取的主要策略
4.1首先,要加强对信息安全的重视程度。网络信息安全是一个综合性的系统工程,涉及各种应用技术、网络管理、网络使用等诸多方面,既包含信息系统自身的安全,也包含物理的、逻辑的技术要求,更有用户对网络安全的足够认识。
4.2其次,要不断加强信息网络的安全建设,建立一套长期有效的安全机制。保证网络安全的技术手段主要有:数据的备份、病毒的防护、补丁的更新、提高物理环境安全、安装防火墙系统、安装网络安全审计系统、定期查看"系统日志"(对可疑日志进行认真分析)、数据加密。
5、结语
总之,网络信息系统的的安全需要得到各类网络用户的重视。对于集团用户来说,需要及时建立相关的网络管理制度和安全规则;对于个人用户而言,应养成良好的网络使用习惯。这些都需要集团用户和个人用户树立网络安全和信息保护的风险意识,避免一些人为因素带来的麻烦。同时建立健全一套应对风险的管理机制与措施,才能让我们更好地享受到信息网络给我们带来的方便和快捷,减少网络安全问题带来的信息损失。
参考文献
[1]安秋顺.信息安全技术观潮[J].互联网周刊,2001.(32)
[2]刘若珍.网络信息系统常见安全问题及其对策[J].中小企业管理与科技,2010(06)
[3]罗俊.当前信息安全技术的发展趋势[J].信息安全与通信保密,2007(12)
关键词:供电企业;信息化建设;安全
中图分类号: C29 文献标识码: A
前言
企业生产销售、经营管理和技术的开发等领域是不断的达到社会经济效益和全面提高管理水平的整个过程。目前,供电企业已经建立了一套完成的包括文件处理、财务、人力资源、生产管理等各个专业的应用信息系统,全面促进企业发展,提高企业在社会市场的竞争。随着电力行业的高速发展,社会民众对供电企业的服务需求逐渐增多,这对企业信息化建设水平提出了更高的要求。面对社会发展的新形势,供电企业必须在先进信息技术基础之上,抓住信息化建设这一机遇,实现跨越式发展,争取早日建设成为一个优秀的现代公司。
1. 供电企业信息化建设安全常见问题及原因
1.1、重应用,轻管理的思想意识
供电企业信息化建设开展和实施以来,许多工作人员并没有在思想上转变传统的工作模式,依然只是将信息化建设和管理作为一项应用型工具,以为就是简单的计算机应用工作,缺乏必备的网络和信息数据安全管理知识。即便有些人了解到信息化建设安全的重要性,但是对于如何防范的措施却一知半解。还有大部分人存在侥幸心理,认为一切从简,密码简单、不开启防火墙、不备份数据文件、对于共享和可见性以及远程操作等关键环节更是随心所欲,造成供电企业信息化建设安全危机重重。
1.2、供电企业信息化人才短缺
在人才培养方面,供电企业更重视安全生产、营销服务等专业人才培养,对计算机、网络、通信方面人才不够重视,这让信息人才对企业归属感不强,感觉缺少发展空间。在人才管理机制方面,由于人才激励效果不明显,绩效考评制度不健全,导致供电企业的人才培养机制有效性不强。供电企业内管理专业工作人员对信息技术知识知之甚少,而信息技术管理人员又不懂安全生产、营销管理等业务,复合型人才严重短缺,也使企业务与信息技术相互不能有效的整合。在人员配置上,基层供电企业的计算机、网络、通信管理人员数量较少,信息化专业班组成立刚刚几年,如遇计算机、网络突发状况,无法及时处理。
1.3、缺乏有效的病毒防治管理
网络病毒是信息化建设安全的最大威胁之一,对于供电企业信息化建设安全来讲,重点就在于对网络病毒的防治和管理。网络病毒的防治和管理是一项长期且艰巨的任务,目前没有任何系统可以对所有病毒都具有防护的功能。而供电企业的基层单位对于病毒的防治大多数也只是安装单一的网络杀毒软件,再无其他的病毒防治预案。管理工作也通常比较简单和疏松,当杀毒软件无法识别或者根除一些病毒或者木马时,相应的技术人员也只是自己通过其他途径寻找解决方案,一旦实在无法解决就要面临重装系统,丢失所有当前数据文件信息的风险;更为严重的甚至会造成业务系统的崩溃,导致正常的工作难以进行。
1.4、供电企业信息化建设安全性不高
供电企业信息化建设是以局域网为基础的,网络通畅和安全问题是企业开展信息化建设必须考虑的重要问题。局域网络每一次发生故障,都会导致企业业务运行陷入瘫痪状态,其带来的损失难以估计。目前,造成供电企业信息化建设安全问题的原因主要有四个方面:一是杀毒软件没有真正发挥作用,目前全省供电企业已经安装了统一的杀毒软件,但在及时更新和升级方面还存在一些问题;二、计算机配置硬件水平参差不齐,一些基层单位仍在使用的计算机老旧,甚至不能安装较大的杀毒软件,否则无法启动,更谈不上安全性了。三是,计算机的管理人员与应用人的安全意识薄弱,殊不知竟有75%以上的安全问题是由于组织内部人员的不正常使用引起来的。四、局域网络运行可靠性低。在县供电企业局域网络基本为十年前建成,局域网络为单一通道,没有备用线路,一旦发生光缆损坏,涉及的单位通信终端,各项工作基本处于瘫痪状态,特别一些供电所位于偏远山区,一旦出现通信故障,维修耗时较长,影响正常工作。另外,机房等局域网重要节点缺少备用电源,一遇故障停电,全部网络中断。
2. 提高供电企业信息化建设安全的措施
2.1、建立健全信息化建设安全管理和考核机制
供电企业信息化建设安全管理是一项动态的、灵活的工作,不仅仅是引进了新的技术或者新的安全体系就能马上见效的,还要靠平时的管理和监测。技术所能起到的作用就是预防更多的已知的安全隐患;而管理则是灵活的,实施的主体以人为主,可以通过建立各种安全管理制度,用技术来对人进行约束和管理,真正发挥人的灵活性和主动性,在安全威胁来临之前就发挥防控作用,不给安全威胁发生的机会。同时,还要针对供电企业信息建设安全的特点建立一套涵盖引进标准、风险性评估和技术应用规范的安全管理体系。落实安全岗位职责,推行责任制,严格按着相关法律法规的标准结合企业实际的安全等级要求进行信息安全管理系统的建设和管理。将安全管理融入到信息系统的各个环节当中,实现每个环节的自管、自查和自评,再通过不定期的岗位临检,来考核信息化建设安全的各个环节是否达到规定的标准,提高信息化建设安全的重视程度,强化信息化建设安全意识。
2.2、培养信息化人才
供电企业应通过平等待遇、增强激励等方式培养一批高效的、专业的信息化建设人才。把信息化建设和业务管理放在同等的地位对待,在日常工作中,积极开展信息化专业人员培训、岗位练兵、专业竞赛等活动,为从事信息岗位员工提供发展空间和施展才能的平台,加强信息化人才储备,提高信息化人才在供电企业中的地位。加强企业其他员工信息化知识培训学习,营造良好的学习氛围,提高企业整体信息化应用水平。进一步培养复合型的人才,特别是在管理层要培养一批既懂业务管理又懂信息技术的管理人员,这样在管理上才能进一步提高水平。建立和完善供电企业信息化方面的人才管理和评价机制,采取合理有效的激励和绩效考核手段,调动员工积极性,不断完善用人制度,通过竞争、择优上岗,优化人力资源配置。
2.3、加强移动存储介质的控制和管理
鉴于移动存储介质的广泛应用和其实际应用中的便携性、灵活性,供电企业信息化建设安全部门应该根据行业的实际情况制定一些有效的移动存储介质使用标准和规范,并进行全员的教育和培训。其内容可以从移动存储设备的插拔使用、读写开关应用、加密设置和定期杀毒要领等基础知识展开。使企业内部的人员熟练掌握移动存储介质的基础知识和安全使用方法,逐步提高安全防范意识,养成良好的移动存储介质使用习惯。移动存储介质使用的具体安全管理工作可以从以下几个方面做起:一是妥善保管防止遗失;二是专职专用,严禁外借;三是定期杀毒;四是采取“双备份”原则;五是杜绝任何形式的非法外联操作。
结束语
综上所述中可以看出,供电企业信息化建设安全保障是一项综合技术和管理为主要内容的工作。供电企业信息系统的安全管理是一项综合性较强的课题,不仅仅涉及到了应用、技术和管理,还包括信息系统自身的安全性能以及物理和逻辑上面的计算的相关措施,技术仅仅只是解决某个问题的技术。因此,供电企业信息化安全建设是一项长期的、灵活的,需要供电企业全体人员共同参与的工作,还需要我们不断的努力学习和创新。
参考文献
[1]赵若楠,李瑞娇.供电企业信息化建设相关问题探讨[J].网络安全技术与应用,2013,11.
【 关键词 】 安全;内网;外网;物理隔离
1 引言
随着计算机和网络技术的迅猛发展和广泛普及, 企业经营活动的各种业务系统越来越依赖于Internet/Intranet环境。随之而来的安全问题也在困扰着用户。一旦网络系统安全受到威胁,处于瘫痪状态,将会给企业带来巨大的经济损失。
为了解决计算机系统的安全问题,很多企业的信息部门将企业网络分为相互隔离的内网和外网,外网连接互联网,用于访问外部的信息和接受来自外部用户的访问。内网连接企业内部的各个业务部门,如财务生产行政等,不连接互联网,这样可以保证内部信息不会泄露到外部去。
然而实践中发现,有些企业虽然遵循内外网隔离的原则,但实际采用的网络配置方式和技术常常在某些情况下破坏了内外网的隔离。企业内部网络安全事故仍然时有发生,并呈增长趋势。在此,本文对企业内外网的配置中常见问题进行描述和分析,并给出应对措施的建议。
2 虚拟局域网隔离
如图1所示是一种典型的企业网络架构,主要利用路由器或三层交换机的VLAN功能,把接入到一个或者多个路由器多个端口的不同计算机设置成一个虚拟局域网,分配给一个部门使用。图1中设置了两个个虚拟局域网VLAN1和VLAN2,可以分别分配给内网和外网。
通过这样的网络划分使不同的虚拟局域网实现了网络层协议的隔离。这样做虽然方便灵活,但是存在一系列安全隐患。
一是使用虚拟局域网进行的逻辑隔离是非常脆弱的。网络管理员无意或有意的疏忽,或者网络管理员权限的泄露,可以被使用远程配置或者攻击的方式修改路由器配置,在本来不该连接的两个虚拟局域网形成一个逻辑的通路,造成隔离失败。
二是以路由器为基础的网络架构本身就是易受攻击的。众所周知,目前相当一部分路由器由国外厂商制造,即便是国内厂商制造的路由器,其中的交换芯片和路由协议也基本为国外厂商所垄断。像微软的Windows操作系统一样,路由器以及其中的交换芯片和路由协议也存在很多无意或有意的缺陷和漏洞,很容易让一些个人和组织使用远程攻击的方式进行侦听而导致泄密。
三是虚拟局域网实现了虚拟子网的分割,一般情况下,对于应用层的数据交流却是无法阻挡的,达不到隔离的目的。
3 访问权限隔离
另外一种常见的网络配置是把有不同访问需求的部门划成不同的子网(网段),如图2所示。其中,LAN1分给管理部门,LAN2分给财务部门。通过路由器和防火墙的配置访问策略,实现不同部门的不同访问权限,例如管理部门既可以访问财务部门又可以访问互联网,而财务部门只能访问部门内部的资源,不允许向外发送数据。
这样做表面上实现了既隔离又达到了不同等级访问权限的目的,实际上依然存在许多隐患。
首先,使用路由器的配置进行的逻辑隔离存在前述的三个安全隐患。
其次,内网上原来被限定不能访问互联网的计算机,可以人为修改IP/MAC地址绕过路由器的访问限制,从而访问互联网,造成数据泄露。
再次,由于管理部门与外部互联网连接,其中的计算机和设备很容易被恶意程序和木马病毒攻击和感染。一旦被攻陷或植入病毒,就可以获取财务部门的数据后,泄露到互联网,虽然此时财务部门并没有遭受外部的直接攻击。
4 移动存储介质的泄密
有些企业为了杜绝上述两种情况造成的数据泄密,采用了内外网完全物理隔离的方法,这样可以有效地防范网络侧的安全隐患。但是如果没有制定严格的保密制度,或者有制度而没有采取有效的技术手段来确保执行,仍然会产生很多安全隐患。
例如,目前以U盘、光盘和软盘为代表的移动存储介质被广泛使用,如果不加限制地用于有安全保密需求的内网,会轻易造成机密数据的泄露和外部病毒的侵入。另外,计算机附带的WiFi、USB、1394接口、蓝牙、红外、串口、并口等外设接口,很容易用来和外部设备如手机等交换数据,同样可以造成机密数据的泄露和外部病毒的侵入。
5 建议的组网方式
为了解决上述问题,我们建议采用完全物理隔离的方式实现内外网的组网,同时使用具有完全物理隔离功能的一机双网物理隔离计算机或2全独立的计算机分接不同的网络并尽可能不使用KVM切换器(目前市场上的KVM切换器良莠不齐,很多切换器在切换的同时,会造成键鼠U口的泄密风险)来进行切换,彻底消除网络架构和设备本身缺陷带来的安全隐患。具体实施时,根据企业规模和现有网络布线情况,分别采用如下两种方式。
如图3所示描述了一种单网线的解决方案,该方案适合已有单网结构的网络改造。其中,内网机使用现有网络布线连接内网,外网机通过无线网卡和无线路由器连接外网。使用双站定位监控计算机的状态,同时设置专人管理的双网机作为中间机进行数据交换。
如图4所示描述了一种双网线的解决方案。该方案适合新建的网络,给内、外网分别铺设专用的网络,内、外网计算机使用专用防误插网线分别连接内、外网。使用双站定位监控计算机的状态,同时设置专人管理的双网机作为中间机进行数据交换。
6 建议的数据交换方式
除了隔离,内外网间也常常需要交换数据。例如财务部门需要从外部查询资料,也需要把一些数据发送给其他部门甚至通过互联网发给外单位。如何在达到内外网间沟通顺畅的同时保持安全性,这是个亟待解决的问题。在此,根据不同的安全要求,我们建议采用下列不同的数据交换方式。
如图5所示描述了一种快捷的数据交换方式,适用于安全等级较低的双网系统。其中内网没有安装审计软件,可以使用刻录光盘从外网往内网进行单向数据传递,也可以使用U盘不受限制地进行内、外网双机双向交互。
这种方式对内外网间的数据交换没有限制,适合较小规模,员工可以充分信任的部门内使用。对于规模较大,员工经常变动的部门,这种方式存在较大的安全隐患。
为了消除潜在的安全隐患,建设安全等级较高的双网系统,可以图5的基础上进行如下改进。
首先,在内网安装审计软件,根据不同权限,允许或禁止内网机上的WiFi、USB、1394接口、蓝牙、红外、串口、并口等外设接口,监控和记录所有内外网间的数据交换活动。
其次,可以使用刻录光盘从外网往内网进行单向数据传递。对于内网向外网的数据传递或数据传递,设置高权限管理员计算机作为数据摆渡机,欲传递信息先通过内网递交给摆渡机,摆渡机通过自身USB端口拷贝到摆渡机外网,再通过U盘拷贝或者通过外网拷贝到其他双网机外网。
这种方式能保证内网向外网的数据传递经过监控并保留备份和日志,不经授权的数据传递不会发生,一旦出现泄密事件,可以根据数据传递的日志和备份准确追溯到导致泄密的原因和肇事人员。
如果不想购入复杂的审计软件而要保证数据的安全,可以使用图6所示的一种安全的数据交换方式。该方式采用特殊USB接口的U盘和内网进行双向数据交换,并使用三合一单向导入设备进行外网向内网的单向数据传递。
该方式是唯一获得保密委认可的内外网数据交互方式,使用硬件方式保证了数据的单向传递,也避免了软件的种种安全隐患。
7 结束语
企业经营活动越来越依赖于计算机和网络,它带来便利的同时也伴随着很多泄密的风险。建设一个安全而又便利的计算机网络,是企业决策者和信息部门的一个亟待解决的问题。本文针对企业计算机内外网中常用的虚拟局域网隔离,访问权限隔离,移动存储介质的使用等方面的安全隐患进行了分析。为了应对各种安全隐患带来的数据泄密的威胁,我们建议内外网采用完全物理隔离的架构,同时使用完全物理隔离的双网计算机,并根据企业需要的安全等级使用相应的数据交换方式,监控和限制内网到外网的数据传递,确保企业经营活动具备安全可靠的网络和计算机环境。
作者简介:
1 网络安全的内容
1.1 硬件安全 即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
1.2 软件安全 即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
1.3 运行服务安全 即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
1.4 数据安全 即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
2 网络安全运行的常见问题
2.1 病毒问题
计算机病毒是专门用来破坏计算机正常工作,具有高级技巧的程序。它并不独立存在,而是寄生在其他程序之中,它具有隐蔽性、潜伏性、传染性和极大的破坏性。只要带病毒的电脑在运行过程中满足设计者所预定的条件,计算机病毒便会发作,轻者造成速度减慢、显示异常、丢失文件,重者损坏硬件、造成系统瘫痪。
2.2 黑客攻击
黑客攻击已有十几年的历史,黑客技术逐渐被越来越多的人掌握和发展。目前世界上有几十万个黑客网站,这些站点都介绍一些攻击的方法和攻击软件的使用以及系统的一些漏洞,因而系统、站点遭受攻击的可能性就增大了,尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,成为网络安全的主要威胁。其攻击比病毒破坏更具目的性,更具危害性。
2.3 计算机网络故障
计算机网络故障是与网络畅通相对应的一概念,计算机网络故障主要是指计算机无法实现联网或者无法实现全部联网。引起计算机网络故障的因素多种多样但总的来说可以分为物理故障与逻辑故障,或硬件故障与软件故障。物理故障或硬件故障可以包括电源线插头没有进行正常的连接,联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等故障也会不同程度影响到网络用户正常使用网络。软件故障是当前最常见的计算机网络故障之一,常见的软件故障有网络协议问题、网络设备的配置和设置等问题造成的。
3 网络安全维护策略
3.1 防火墙技术
防火墙是近期发展起来的保护计算机网络安全的技术性措施,是一种把局部网络与主要网络分隔或分离的设备,它能限制被保护的网络与外部网络之间进行的信息存取、传递操作。
“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块,而它所防范的对象是来自被保护网块外部的安全威胁。医院网络秉承“网络分离”的原则,我院计算机网络由业务网(内网)、互联网(外网)两个物理上相互隔离的网络系统构成,网络结构稳定,用户行为相对单一。
3.2 访问控制技术
访问控制是网络安全防范和保护的主要技术,它的主要任务是保证网络资源不被非法使用和非常访问。对系统内的每个文件或资源规定各个用户对它的操作权限,如是否可读、是否可写、是否可修改等。访问控制希望能做到:对所有信息资源进行集中管理,对信息资源的控制没有二义性,各种规定互不冲突;有审计功能,对所有访问活动有记录,可以核查;尽可能地提供细粒度的控制等。访问控制是维护网络系统安全、保护网络资源的重要核心技术之一。我院业务网建立单独的域,对接入业务网的用户由域服务器进行权限控制,系统管理员按照“分级授权”的原则进行设定资源访问权限。
3.3 病毒防范技术
病毒可以通过多种途径传播,在网络日益发达的今天,其传播途径更加多样化,对网络安全构成了巨大的威胁。监测与消除计算机病毒最常用的方法是使用专门的杀毒软件,它能自动检测及消除内存、主板BIOS和磁盘中的病毒。但是,尽管杀毒软件的版本不断升级,功能不断扩大,由于病毒程序与正常程序的形式上的相似性以及杀毒软件的目标特指性,使得杀毒软件的开发与更新总是稍稍滞后于新病毒的出现,因此还会有检测不出或一时无法消除的某些病毒。而且,由于人们还无法预测今后病毒的发展及变化,所以很难开发出具有先知先觉功能的可以消除一切病毒的软硬件工具。针对病毒传播途径,我院业务网①安装防火墙,②经常对服务器和各个终端工作站进行杀毒检查,③新购置的软件经过病毒检查才使用,④业务网除运行医院的管理软件与临床应用软件外,不运行与工作无关的软件,⑤不得在Internet网上下载软件及来历不明的软件,⑥定期备份重要资料,⑦定期升级杀毒软件等多种方法来提高网络安全,保障工作正常开展。
3.4 计算机网络维护是减少计算机网络故障,维护计算机网络稳定性的重要的方式方法。计算机网络维护一般来说包括以下方面:
3.4.1 对硬件的维护。首先检测联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等是否能够正常运行,对临近损坏的计算机硬件要及时进行更换。同时要查看网卡是否进行了正确的安装与配置。具体来说要确定联网计算机硬件能够达到联网的基本要求,计算机配置的硬件不会与上网软件发生冲突而导致不能正常联网。
3.4.2 对软件的维护。软件维护是计算机网络维护的主要方面,具体来说主要包括,
(1)计算机网络设置的检查。具体来说检查服务器是否正常,访问是否正常,以及检查网络服务、协议是否正常。
(2)对集线器、交换器和路由器等网络设备的检查。具体来说,包括检测网络设备的运行状态,检测网络设备的系统配置。
(3)对网络安全性的检测。对网络安全性的检测主要包括,对服务器上安装的防病毒软件进行定期升级和维护,并对系统进行定期的查杀毒处理;对服务器上安装的防火墙做不定期的的系统版本升级,检测是否有非法用户入网入侵行为;对联网计算机上的数据库做安全加密处理并对加密方式和手段进行定期更新,以保障数据的安全性。
(4)网络通畅性检测。在进行网络维护的过程,经常会遇到网络通讯不畅的问题,其具体表现为网络中的某一结点pingq其他主机,显示一个很小的数据包,需要几百甚至几千毫秒,传输文件非常慢,遇到这种情况应首先看集线器或交换机的状态指示灯,并根据情况进行判断。
计算机网络是计算机技术的一重要应用领域,计算机网络的便捷、高效、低廉为计算机网络应用的增加提供了保障,但计算机网络故障一旦发生就会给网络用户带来使用上巨大不便,甚至造成巨大的损失。因而必须进一步加强计算机网络故障分析与维护研究,提高网络的稳定性和安全性。 本文对单位网络安全的常见问题及维护策略作了一定的介绍但单位网络有着自己不同的特点,所以网络管理员应根据自己网络的特点采取适合自己的维护方法并不断学习新的网络维护技巧,使得网络维护、安全等都得到更大的提高。
参考文献
[1] 何万敏.网络信息安全与防范技术甘肃农业.2005年第1期.
[2] 黄慧陈阂中.针对黑客攻击的预防措施计算机安全.2005.
[3] 王健.浅议计算机网络安全策略.科技情报开发与经济,2006年第16卷第15期.
关键词:电力建设;施工现场;安全管理
中图分类号:F407文献标识码: A
引言
随着我国社会经济的不断发展,人们对于电力资源的需求也在不断上升,电力建设工程已经成为支撑国民经济发展的重要支柱。当前电力市场的竞争十分激烈,要想有效提高企业的市场竞争力,就必须不断强化管理、抓住市场动向。电力建设企业在施工管理中的重点就是安全、质量、进度管理,而安全作为企业发展的前提和基础,直接关系到经济的发展和社会的稳定。因此,新形势下电力建设企业必须牢固树立“安全第一”的理念,深入分析工程建设各个环节安全管理存在的问题,探究有针对性的解决策略,才能保证企业的长治久安。
一、电力建设工程安全管理特点及现状
要想做好电力建设工程安全管理工作,就必须对其管理的特点、现状进行一定程度的了了解与分析。电力建设企业由于产品固定和作业人员流动的特点,决定了他们的临时性、流动性、事故多发性和时效性的特点。同时,电力建设企业往往要在有限的场地、空间集中人员、设备、材料,进行多种、多层次的立体交叉作业,不安全的因素诸多,因此提高电力建设企业安全管理水平势在必行。安全生产,事关人民群众生命财产安全,国民经济持续健康发展和社会稳定大局。搞好安全生产管理工作,具有十分重要的现实意义。但是,近年来,电力建设行业的安全生产形势一直十分严峻,突出表现为伤亡事故多发,死亡人数居高不下,职业病危害严重,尤其体现在高空作业、起重作业、施工用电、尘肺病等方面。造成事故多发的原因很多,但最重要的原因是施工企业负责人依法安全生产经营的意识淡薄,或者不懂法律,或者明知故犯。由于受经济利益驱动,片面追求发展速度忽视甚至放弃安全生产管理,致使一些企业安全生产基础工作薄弱,规章制度松弛,安全监督作用形同虚设,安全生产投入严重不足,存在大量事故隐患。从业人员在这样没有安全生产保障又十分恶劣和危险的条件下作业,造成了十分严重的人员伤亡和经济损失。
二、新形势下电力建设施工现场安全管理问题分析
1、职业安全健康管理体系不健全,安全管理制度不完善
随着我国电力建设行业的飞速发展,传统的安全管理体系、制度已逐渐不能满足新形势的要求。一方面,施工单位职业安全健康管理体系不健全,体系本身的可操作性不强,引用的部分法律、法规已作废;另一方面,安全管理制度不完善,很多企业的规章制度不能根据形势的发展变化而及时修订,都是早期计划经济时代制订的,早已不适应现代企业发展的需要,直接导致施工过程中,安全管理出现大量漏洞,安全管理人员的工作难以开展,无法做到“凡事有章可循,凡事有据可查”。
2、安全生产责任制落实不到位,发生事故后处罚不严
安全生产责任制是企业最基本的安全管理制度,是指企业各级、各类人员在安全生产方面应负的责任。依据我国《建设工程安全生产管理条例》规定,施工企业主要负责人是安全生产的第一领导者,项目经理是项目安全生产第一责任人。而事实上,目前电力建设企业中真正能够落实安全生产责任制的非常有限,很多企业存在一种错误观点,认为安全生产责任制是安全部门的事,是安全管理人员的事,与其他部门和人员没有多大关系,有的企业对安全工作“严不起来,落实不下去”,存在“说起来重要,干起来次要,忙起来不要,出了事故再要”的现象,不出事故,安全部门提出的安全问题也被忙碌的生产所冲淡,引不起领导足够的重视,不少企业重生产、轻安全的问题没有得到根本的解决,不少项目关键岗位管理人员不到位的情况较为普遍,一些企业在生产经营活动中,一包了之或层层分包、转包,安全生产总包不管,分包不懂管, 存在管理上的脱节,安全责任不明确、安全生产责任制落不到实处。事故发生后,对安全事故责任人处罚不力,也是导致电力建设安全事故一再发生的一个很重要的原因。
3、施工人员安全意识淡薄,安全操作技能较差
由于施工人员来自全国各地,文化程度普遍较低,素质参差不齐,受教育阶段缺乏安全培训,参加工作又缺乏安全教育,并且大部分施工人员还是考虑如何赚钱养家糊口的问题,希望多挣一些钱来改善家庭的经济生活,而忽视了平安即是福的简单道理。有些施工人员甚至未经培训就上岗,缺乏基本的安全生产知识、自我保护意识和安全操作技能,导致施工过程中人员作业性违章频繁发生,现场装置性违章比比皆是。诸如现场流动吸烟、高空作业不扎安全带、脚手架搭设不规范等问题,在施工现场随处可见。更严重的是无证人员未经培训直接从事行车、叉车,喷漆、电焊、电工等特种作业,致使施工过程中,从根本上意识不到作业中潜在的危险,徒增事故发生的概率。
4、安全生产费用投入不足,安全设施不完善
贯穿电力建设施工全过程,施工单位的安全管理水平与其安全生产费用的投入密切相关。一方面,施工单位安全投入不到位,对安全生产的规律性认识不足,准备不充分,缺乏主动管好安全工作的责任,缺乏强有力的安全生产奖罚机制,致使施工现场各类安全设施不完善、施工人员安全培训教育力度不足、安全管理人员缺乏积极性,劳保用品配备不齐全、隐患排查治理不到位、应急救援物资准备不充分等,安全管理得不到有效物质保障。另一方面,目前电力建设市场的施工队伍鱼龙混杂,大量拼凑而成的包工队,没有资质的队伍充斥市场,采取挂靠有资质的电力施工企业,或是通过不正当手段取得工程建设项目。一旦承接工程任务,为了弥补前期的不正当投入,追求最大利润,而盲目降低工程成本,偷工减料;或租用的施工设备、机具和周转材料陈旧,安全生产投入能省即省,违背客观规律,轻视安全生产,在侥幸中求安全。因此,安全投入力度不够,安全设施不完善,是电力建设施工现场发生安全事故的重要原因[2]。
三、加强新形势下电力建设施工现场安全管理的策略探究
1、建立健全职业安全健康管理体系,完善安全管理制度
职业安全健康管理体系作为一种系统化、程序化,同时具有高度自我约束、自我完善机制的现代安全管理方法和手段,其管理思想最能体现“预防为主,标本兼治”,又具有可操作性和规范性的特点,要求企业建立预防为主,持续改进的管理模式,遵守各项安全生产法律法规。建立健全职业安全健康管理体系,完善安全管理制度不仅可以强化企业的安全管理,完善企业安全生产的自我约束机制和激励机制,达到保护职工安全与健康的目的,也有利于增强企业的凝聚力和竞争力。
2、落实各级安全生产责任制,严格实行考核
电力建设施工企业应建立并完善各级安全生产责任制,严格按照“党政同责、一岗双责、齐抓共管”“谁主管谁负责”、“谁审批谁负责”、“管生产必须管安全”和“领导抓、抓领导”的原则的要求,层层分解目标,层层落实责任,将安全生产落实到人,构建“统一领导、综合监督、分级负责、协同管控”“横向到边、纵向到底”的安全生产管理责任网络。同时,企业应建立安全生产考核管理办理,对安全生产责任制的运行,严格实施监督和考核,保证安全生产管理的时效性。
3、加强安全教育培训,提高全员安全意识和操作技能
在电力建设施工过程中,安全管理工作的重点是预防为主,注重“以人为本,全员参与”的策略。电力建设施工企业要把提高全员本质安全意识作为重点内容,落实好入场“三级安全教育”、岗位变换教育和特殊工种作业人员教育,依托周一安全学习、站班会、安全生产月等活动强化全体员工遵章守纪意识,把安全规章制度和要求转化为员工自觉行动,切实杜绝违章作业导致的人身及设备伤害事故。树立“我要安全”的意识,培养“我会安全”的技能,充分发挥作业人员对事故防范工作的主观能动性,提高对生产现场及作业过程中存在危险的敏感性及应对能力,切实做到“三不伤害”,提高争当优秀“本质安全化员工”的氛围。
4、加大安全生产费用投入,完善各类安全设施
安全生产费用的投入,是保证施工项目安全顺利完成的重要保障。电力建设施工企业必须制定本单位安全生产投入的长远规划和年度计划,设立专门的账户,按照“项目提取,企业统筹,确保需要,规范使用”的原则进行管理,确保专款专用,不得根据生产经营的需要随意挪用安全生产投入资金,并且要定期召开安全生产会议,听取相关部门安全生产工作的汇报,明确安全生产费用的去向。同时,安全设施的标准化是提高电力建设安全管理水平的标志,只要是前一个工程使用有效的安全设施,就在下一个工程积极推行,并不断的进行完善和改进。安全设施的投入,可以有效的降低民工的劳动强度,改善劳动环境,避免诸多不安全因素,从根本上减少物的不安全状态,为安全生产提供可靠的保障。
结束语
综上所述,电力建设施工安全管理与企业的发展息息相关,直接关系着我国经济快速增长,因此,电力建设施工企业必须给以高度重视,不断强化安全管理,以保证电力建设施工全过程的安全,为我国电力事业长远发展提供可靠保障。
参考文献:
关键词:常见信息;安全管理;创新
中图分类号:TP393.08
网络信息安全问题越来越受到人们的重视,因网络信息系统比较复杂,它包含的组件较多,其中包括协议、硬件、接口、软件等,不过由于系统设计与技术不够完善,导致其中仍然存在一些缺陷和漏洞,导致信息系统变得愈发脆弱。随着系统软件互联互通一体化趋势越来越明显,技术也变得更为复杂,安全性问题日益凸显出来。
1 信息安全管理现状
信息系统不仅具备普遍性,也具备一些特殊性质,目前最需解决的就是根据信息安全问题所拥有的特征,找出应对的解决方法。人们进入信息世道后,系统的可靠性与安全性受到了很多威胁,管理资源与安全成本同过去相较有很大增长,这就要求人们将安全模式纳入考虑范围内。我国信息安全管理中存在很多缺陷,主要表现在以下几个方面:
1.1 未明确管理目标。因信息安全管理包含的内容较多,涉及面非常广,在信息系统中,还涉及到很多相关的管理制度,其数量远远超过维护管理制度的数量,导致信息管理工作处于零散状态,缺乏工作主线,无法定期实现管理目标。
1.2 管理效果的评估缺乏统一标准。在信息安全管理工作中,人们通过明确安全事件发生情况,并依此作为标准,衡量管理效果,而实际上,安全事件发生情况并不能将管理效果完全反映出来,它只是管理效果众多影响因素中的一种体现。
1.3 管理效果不佳。因对信息进行管理过程中,出现了管理不合理现象,且在管理制度方面,过于重视文字表达,并未将管理制度落实到实处,导致信息管理工作无法实现标准化、规范化,极易诱发信息安全问题。
由于因特网处于开放模式,极易遭受到攻击,在网络信息管理工作中,必须做好考虑到信息与信息访问的安全性,确保用户访问的可靠性。在网络中,并不存在绝对的安全,实施安全管理的主要目的是使计算机资源脆弱性降低,便于减少攻击。
2 常见信息安全管理手段
通过对现阶段信息安全管理现状进行分析,我们可以了解到,在现阶段的信息安全管理工作中,依然存在很多问题,且这些问题亟需解决。可通过对安全管理流程体系进行构建,实现信息管理规范化。通过构建改体系,能够将孤立的管理部分集中起来,使管理工作不再像过去一样零散,除此之外,通过该体系的构建,还可以使管理过程更加明确,便于及时解决问题。
在设计过程中,首先需要构建一个模型结构,使各种抽象关系表达出来,对于企业而言,可通过企业自身发展的具体情况构建模型,促进应用系统的建立,并且建立一些辅资源,其中主要包括工具、模板、表单等。
安全管理系统在设计过程中有很多需要注意的问题,其中主要有:(1)可行性。单纯通过个人经验完成流程设计比较简单,不过在设计的同时,还需考虑到其是否可行,重视试剂,在对执行情况充分了解的条件下,明确管理流程难以实现的具体原因;(2)做好演练工作。为了确保管理流程设计可行,必须注重对其的演练,对其进行检验,了解这种管理模式是否合格;(3)确保管理系统的正常维护。在管理流程实施过程中,其会受到很多相关因素的影响,其中包括组织因素、客户因素、技术因素、运作因素、环境因素、行为因素等。因此,必须以审计结果为依据,不端完善与修订流程,便于保证实际工作的正常进行。
在信息管理中,要注重信息的保密性、完整性、可用性。所谓保密性,就是指仅授权用户能够实现对数据信息的访问,如果用户没有授权,则不能复制或访问信息。完整性是指不能非法删除、修改信息,禁止虚假信息。网络服务必须要实现信息的完整性,其完整性在某些情况下,重要性高于保密性。可用性是指用户在合法条件下使用资源过程中,不受到其他因素的干扰,如果网络信息具备可用性,则当其受到攻击之后,可在短时间内恢复,其修复能力较强,有利于提高管理效率。近几年,授权与认证问题越来越被大家所重视,认证的主要目的是为了明确用户身份,使欺骗、伪装等威胁减少,认证主要包括数据源认证、实体认证等。
3 信息系统管理的创新
目前,各大信息系统在企业中的应用非常广泛,在网络信息管理方面,主要包括4个方面的内容,分别为基础运行信息、用户信息、服务器信息、网络信息。基础运行信息有域名、IP、AS;服务器信息有信息访问、信息服务、信息完成度、信息可用性、信息负载等情况;网络信息组成包括信息过滤、信息导航、信息索引、信息;用户信息有姓名、职位、电子邮件、身份标识等。
通过对安全策略与信息管理进行研究发现,Web网络信息管理系统的建立主要考虑到安全监测与访问控制两点内容。为了这些问题得以解决,需建立一个完善的管理系统,系统组成包括目录服务器、管理服务器、应用服务器、证书服务器。其系统结构图如下:
图1 系统结构
以Web服务器作为管理服务器,访问控制任务由它承担,用户可利用管理服务器,完成信息的注册,通过注册后,可在目录服务器内,了解到APC信息,将访问控制信息与用户信息送至服务器。系统可通过角色访问,做到安全控制,所有访问均需有证书才可进行,服务器会对用户身份信息进行核实,并且设置访问权限,如果用户合法,便可完成访问,并实施操作。安全监测工作由管理服务器负责,它可促进MD5摘要的生成,并比较与生成MD5摘要。若发现有攻击服务器的现象存在,则需报警,并告知管理者,隔离攻击服务器,以免其产生持续性破坏。当服务器被破坏后,要及时重启。若关键数据遭到严重损害,那么需要完成错误定位,做好数据备份工作,使数据能够尽快恢复正常。管理者必须了解所有操作结果,关键数据包括业务信息、系统文件、网络信息服务配置文件。
4 结束语
网络发展在很大程度上推动了我国社会经济的发展,不过在网络发展过程中,存在一些不稳定因素,导致网络异常现象的出现。网络的正常运行对于企业发展而言非常重要,如果信息不能得到有效管理,便会致使网络信息变得紊乱,不利于确保网络的正常运行。本文主要分析了常见信息管理方法,并提出了如何创新管理手段,有利于为日后网络信息管理系统的建立提供依据。
参考文献:
[1]郭宏杰.如何建设安全的第三方CA认证机构――基于IDT ISO/IEC 17799的CA认证机构的信息安全管理设计方法[J].计算机安全,2007(08):4-9+14.
[2]程晓鸣.信息安全管理流程体系设计方法研究[J].科技信息,2009(20):519+511.
摘 要:本文针对当前高校《信息安全概论》课程教学中存在的教学缺乏针对性、内容失衡等问题,提出将该课程的教学对象划分为信息安全专业、非信息安全的信息技术专业和其他专业三类,并对如何根据不同教学对象的特点和需求分别确立教学目标、教学内容给出了建议。
关键词:信息安全概论;教学研究;教学改革;信息安全
中图分类号:TP309 文献标识码:A
随着信息安全产业的快速发展,社会对信息安全人才的需求日益旺盛。教育部继2001年批准在武汉大学开设信息安全本科专业之后,又先后批准了几十所高等院校设立信息安全本科专业,信息安全本科人才培养由此进入热潮阶段。与此相适应,高等教育出版社、北京邮电大学出版社、武汉大学出版社等先后策划并推出了多套信息安全专业系列教材。在信息安全学科培养体系尚不健全的情况下,这些教材对各高校信息安全专业课程的开设起了很大的导向作用。目前,几乎每套信息安全专业教材都把关于信息安全各领域的概要介绍单独成书,书名基本上都定为《信息安全概论》(有的叫《信息安全导论》,下文统一简称《概论》)。设立信息安全专业的各高校,基本上也都开设了这门课。本文就《概论》课程教学实施过程中存在的一些问题进行了分析与探讨。
1 《概论》教学中存在的主要问题
我国开设信息安全本科专业的高校有的是依托应用数学,有的是依托计算机科学与技术、通信工程、还有些则是基于电子学等专业背景来发展信息安全专业。由于植根背景的差异,这些学校所开设的信息安全课程各具特色,内容侧重点也有差异。如依托应用数学发展的信息安全专业,通常多侧重于密码学理论与应用;而依托计算机科学与技术或计算机应用专业的,则多侧重于网络安全等。这决定了这些学校的《概论》教学从教材的选择与编写到课堂的授课内容与授课方式等均有较大差别。通过对当前发行量较大的几种《概论》教材内容体系的分析和对部分高校信息安全专业培养方案的调研,我们认为当前《概论》教学中存在两个突出问题。
1.1 教学缺乏针对性
在各高校的教学实践中,除了信息安全专业,还有其他一些专业也开设了《概论》课程。目前普遍存在的一个问题是这些来自不同专业的教学班次选用的是相同或类似的教材。这样就很难在教学中根据不同专业学生预修课程以及他们对信息安全知识需求不尽相同等特点,有针对性地实施教学。由此导致的问题分析如下:
对于信息安全专业的学生,现有的《概论》课程内容与其他专业课的内容有大量重复。以密码学这个知识模块为例,由于密码学在信息安全领域的基础作用,各校在开设信息安全课程时,通常都把密码学作为先修课程。《概论》课程则通常开设于密码学课程之后、网络安全等其他信息安全专业课之前。因此,如果在信息安全专业的本科学生中开设这门课,会出现密码学部分内容同之前修的密码学课程重复,防火墙、入侵检测等内容同后续的网络安全等专业课内容重复等问题。由于课程性质和学时的限制,《概论》对这些内容的介绍必然不如专门的密码学和网络安全课程那么深入和细致。因此我们认为,现有《概论》教材的内容体系是否适合信息安全本科专业的教学需要是值得商榷的。
对于电子学、信息技术、计算机应用等非信息安全专业,它们虽然没有明确系统的信息安全培养目标,但实际情况是这些专业的绝大多数毕业生将进入与信息安全息息相关的IT行业,因此这些专业有开设信息安全课程的现实需求。《概论》课程以导论的形式对信息安全学科中的主要领域进行了全面而适度的介绍,有助于这些专业的学生在较短时间内获得对信息安全基础理论和基本技术的概貌认识。但是现有《概论》教材中的大部分内容,如果没有预修过信息安全数学基础、计算机网络等课程是很难透彻理解的。不幸的是,许多非信息安全专业恰恰没有同时开设这些课程,而现有的《概论》教材都没有提供这些必需的预备知识,在内容体系上没有做到自我包容,因此用它们给这些学生授课可能效果不佳。
1.2 课程内容失衡
目前各编者在编写《概论》教材时,对该课程的定位基本上都是对整个信息安全学科所涉及的主要技术、管理方法与标准的导论或概要进行介绍,因此在教材编写过程中编者都尽己所能地把主要的信息安全技术与标准规范编入教材。由于信息安全学科的内容体系庞杂,涉及的知识面极广,编著者很难熟悉信息安全学科的所有研究方向,从而导致了现有《概论》教材在内容编排上普遍存在失衡的现象,主要体现在:
在信息安全学科中,密码学因为已经形成了相对比较完整、系统的理论体系,因此在《概论》中占据的篇幅最大。迄今,在我们所见的所有《概论》教材中,密码学都占了1/3以上的篇幅。相应地,在《概论》教学过程中,密码学部分占用的课时最多。我们认为,这样的教学安排是否合理,对不同的教学对象该怎样区分对待是《概论》课程教学实施过程中需要认真考虑的问题。
编著者倾向于把自己最擅长或最熟悉的技术作为所编《概论》的重点,前面提到的密码学内容编排也能体现这一点。另外一个能够说明这一点的是网络安全部分的编写,防火墙、入侵检测、计算机病毒防范等几乎成了网络安全的全部,缺乏对其他网络安全主题,特别是近年来发展迅速的新技术新概念的介绍。
个别主题的内容取材和写作也有值得商榷的地方。如在介绍信息安全标准时,几乎所有的《信息安全概论》教材都选择了摘抄和罗列标准条款。而这些内容对那些初涉信息安全以及许多非信息安全专业的学生而言是相当晦涩的。我们认为,对于信息安全学科中这些比较艰涩的内容,教科书应该把重点放在其导读和解析方面。
2 《概论》教学目标探讨
《概论》的教学目标应该为实现信息安全教育的整体目标服务。我们通过调研发现,各高校中非信息安全专业的信息安全教育目标主要还是通过开设《概论》课程来实现的。这就存在一个问题,对不同教学对象应该设定什么样的教学目标,即信息安全专业的《概论》教学目标应该怎么定?计算机科学与技术等信息技术专业的《概论》教学目标该怎么定?其他非信息安全专业的《概论》教学目标该怎么定?
信息安全本科专业学生将来大多数将成为信息安全从业人员,因此要立足把他们培养成信息安全技术的研发与服务人才。对这部分学生的要求是系统地掌握信息安全学科的基本理论、基本技术、和研究方法。当前国内的信息安全专业教材体系过于偏重信息安全具体技术,尤其是传统信息安全技术的传授,如防火墙、入侵检测、病毒防范等。缺乏对安全体系结构、安全策略和安全模型等基础理论的系统化教育以及对信息安全学科最新发展趋势的介绍。我们以为,信息安全本科专业的《概论》课程应对这方面内容有所侧重。
非信息安全的信息技术专业学生,他们中的大多数人极可能成为政府、基础信息网络、重要信息系统、企事业单位信息系统的开发者或使用者,他们是本系统业务的直接参与者。他们虽然不从事信息安全的专门工作,但却是保证各个行业信息系统健康运行的基础力量,因此在工作中必然会遇到与信息安全相关的问题并需要加以解决。这部分学生的信息安全教育目标应该确定为培养信息安全技术应用人才。我们以为,针对这部分学生的《概论》课程目标应与信息安全专业学生有所区别,应侧重于对主流信息安全技术的全面介绍,扩大他们的知识面,为将来进一步查阅或学习信息安全相关知识奠定基础。
非信息安全专业中的其他学生,特别是一些非理工科专业的选修生,也可能是《概论》的教学对象。随着宽带上网和各种信息化的消费电子产品的普及,普通民众的个人隐私、财务数据等重要信息所受到的机密性和完整性威胁日益严重。对这部分学生的《概论》教学目标应定位为信息安全意识的培养和常用信息安全技术的普及,使他们初步具备在信息网络空间中的信息防卫能力。
3 《概论》教学内容探讨
显然,我们应根据不同的教学目标确定《概论》教学内容。首先,在信息安全专业与非信息安全专业学生间,《概论》的教学内容应有明显区别;其次,非信息安全专业中的信息技术专业和非信息技术专业学生的《概论》教学内容也应有所区分。
信息安全专业学生的教学内容
对于信息安全专业的学生,可以通过其他专业课程系统深入地学习密码学、防火墙、入侵检测等内容。因此,没有必要在《概论》这门课程中重复这部分内容。由于越来越多的非信息安全专业也开讲信息安全方面的内容,信息安全专业学生要在信息安全领域赢得同其他专业毕业生的比较优势,必须注重培养关于信息安全的系统观点和方法。如:构建安全操作系统和安全数据库系统的方法、原则和技术途径,用工程的方法去开发实施一个安全信息系统等。此外,他们还应必须了解或掌握信息安全学科的最新动态和热点方向。基于上述认识,我们认为信息安全专业的《概论》课程应该侧重于对信息安全思想、方法和基本原理的系统教学。而这部分内容恰恰在当前的信息安全专业课程体系中很少涉及。在这一点上,文献[4]的内容体系可作为国内信息安全专业《概论》教材的一个很好参考。
信息技术专业学生的教学内容
信息安全是涉及计算机科学与技术、通信工程、电子工程、数学等多个学科,横跨理科、工科和军事学等多个门类的交叉学科,其知识体系非常庞杂。由于非信息安全专业的学生多数只能通过选修《概论》获得关于信息安全的相关知识,因此要尽量完整地向他们展示该学科的知识体系。针对这部分学生的《概论》,最好能够在内容上自我包容、自成体系,尽量不要依赖其他的信息安全专业课程。我们认为,对现有的《概论》教材内容做适度增加,可以较好地达到上述目标。增加的内容应包括信息安全数学基础、计算机网络基础和操作系统原理基础等。
其他专业学生的教学内容
对这部分学生的《概论》教学应坚持实用的原则,侧重于培养他们的信息安全意识和普及常用的信息安全技术。相应地,在教学内容上应以信息安全基本概念、信息安全风险教育、以及常见信息安全问题的基本机理和防范手段、信息安全相关法规等为重点,不宜过多地纠缠理论细节。基于这个认识,我们认为现有《概论》教学内容中的大部分并不适合这部分学生。
4 结论
《信息安全概论》是各高校普遍开设的一门信息安全专业课程。在研究采用面较广的几本《概论》教材的内容体系、分析我校及其他一些院校的信息安全专业培养方案的基础上,我们对当前《概论》教学中存在的教学针对性不强、内容失衡等问题进行了剖析,就如何针对信息安全专业学生、非信息安全的信息技术专业学生、其他专业学生等不同教学对象有针对性地设置教学内容提出了一些见解。诚恳希望广大读者,特别是开设类似课程的高校同行们提出宝贵意见,共同为我国信息安全专业的课程建设与人才培养作出贡献。
On Teaching Innovation of the Course of Information Security Conspectus
CHEN Ze-mao
(Department of Information Security, Naval University of Engineering, Wuhan 430033, Hubei, China;)
Abstract: Not well targeted and teaching content not well balanced are the common issues in the current teaching of the Information Security Conspectus course. This paper proposes to classify different teaching subjects according to their specialties, and then establish different teaching goals and teaching contents accordingly.
Keywords: information security conspectus; teaching research; teaching innovation; information security
参考文献:
[1] 牛少彰. 信息安全概论[M]. 北京: 北京邮电大学出版社, 2004.
[2] 段云所,魏仕民等. 信息安全概论[M]. 北京: 高等教育出版社, 2003.
[3] Matt Bishop. 计算机安全: 艺术与科学[M]. 北京: 清华大学出版社, 2004.
[4] 马建峰, 李凤华. 信息安全学科建设与人才培养现状、问题与对策[J]. 计算机教育. 2005,(1).
问题的维护面临着巨大的挑战。相关数据显示,人为计算机入侵问题平均每20秒就会发生一次,可见信息的安全性不容乐观。复杂性和多样性是计算机网络技术的两个显著特点,因此其决定了计算机网络安全问题也是复杂多样的。比较常见的网络安全威胁有系统漏洞威胁、物理威胁、身份鉴别威胁、病毒和黑客威胁以及自然威胁等。由于计算机网络的覆盖范围是全球化的,各国都十分重视计算机网络技术的发展,随着全球范围内计算机网络技术的不断发展,不少新兴的计算机病毒和黑客攻击方式层出不穷,有些对于网络安全甚至是致命性的打击。我们经常听到的网络病毒有:木马病毒、蠕虫病毒、Back—doors病毒、Rootkits病毒、DOS病毒、Sniffer病毒等,这些都是黑客用来攻击的手段。随着网络技术的不断创新,黑客的攻击技术也在日益提升和改变。因此,只有不断提高网络安全的防范措施,才能够保证广大网络用户能有一个健康、安全的网络环境,保护网民的信息安全。
2计算机网络安全隐患分析
2.1计算机病毒
迄今为止,非法入侵代码是计算机网络安全所面对的最大威胁,我们常听闻的木马病毒、蠕虫病毒等都是凭借对代码进行更改的形式来实现对于电脑的非法入侵的,其本质是一项程序。这些病毒的传播方式大多是通过网络进行传输的,当然在用U盘进行文件传输的时候,也可能会携带这些病毒。病毒在电脑中的宿主种类是多种多样的,一旦病毒被打开,其对电能的影响是破坏性的,通常会使计算机系统瘫痪。例如,我们最熟悉的木马程序(特洛伊木马),其采用的是相对较为隐秘的入侵手段,当我们的电脑表面上在执行一种程序的时候,实际上木马程序在背后却执行着另外一种程序,虽然不会对电脑造成系统性的破坏,但会窃取电脑中的重要信息。
2.2计算机系统本身问题
作为计算机网络的运行支撑,操作系统的安全性十分重要,只有计算机系统安全,才能够保证其余程序或系统能够顺利的正常运行。如果计算机的操作系统自身有问题,那么计算机自然会存在安全隐患。我们不得不承认,没有不存在安全隐患的操作系统,系统的漏洞是不可能完全避免的,一旦发现漏洞,对漏洞进行修复则是一项技术型工作。当攻击者掌握了计算机系统漏洞时,就可以利用漏洞通过自身技术实现对计算机的控制,对计算机进行攻击,窃取计算机内的信息。
2.3网络结构缺乏安全性
作为一种网间网技术,互联网由成千上万个局域网共同构成,是一个巨大的无形网络。当人们使用一台计算机向另一台计算机传输信息的时候,往往不是直接传输过去,而是中间要经过多台计算机进行转发,这是有网络的复杂性决定的。在信息的转输过程中,不法分子就可以利用相关技术窃其想要获得的取信息,劫持用户的数据包。
2.4欠缺有效的评估和监控措施
为了能够对黑客进攻计算机系统进行有效的防范,一定要做好准确的安全评估,一个准确的安全评估有利于整个网络安全的构建。但是,现在各公司和重要部门都欠缺有效的评估及监控措施,这些漏洞为黑客的入侵提供了可乘之机。在现实的计算机网络维护中,维护人员更看重的事前的预防以及发生攻击后的补救,却忽略了安全性的评估以及有效的监控。
2.5存在人为威胁
计算机的人为威胁包括可控制及非可控制威胁两种,并不是所有的计算机安全威胁都是人为能够控制或者补救的。例如天气条件,在发生打雷和闪电的情况下,电磁波的影响就会受到影响,进而可能会造成设备的损坏,计算机网络的使用自然也会随之受到影响。同时,计算机网络也会受到场地条件的影响。在有矿山的地方使用网络时,计算机网络就会变差。除此之外,计算机网络各种设备的自然老化也会影响用户对计算机网络的安全使用。。
3计算机网络安全防范措施建议
3.1增强安全意识和安全管理
为了保证计算机网络的安全性,必须提高计算机网络用户的安全防范意识,同时加强对计算机的安全管理的。为了提升用户的安全意识,可以通过讲解安全实例对用户进行提醒,可以派遣相关的宣传人员为计算机用户讲解网络安全的重要性,分析实例中个人计算机受到攻击的原因,进而提升计算机用户的防范意识,保证用户安全意识构建完善。那么如何做到安全管理的强化呢?强化安全管理可以从设置访问权限以及设置密码方面着手,告知计算机用户无论是计算机开机还是打开计算机中的文件,都应该通过密码访问进入,同时保证自己设置的密码不会太简单,但自己又比较容易记住,尽量使用较长的、复杂的密码。访问权限设置管理的主要内容为IP地址和路由器权限两点,只有可信任的IP地址才可以获得访问权限,在陌生或者非法IP请求访问的时候,切记一定要拒绝其访问,这样才能保证计算机不被入侵。设置路由器的时候,计算机用户可以依据本人意愿对权限进行设置,或者直接让管理员给固定的计算机进行授权处理,做到这些,才能在一定程度上保证计算机网络使用的安全性。
3.2使用密码技术
信息安全技术的核心就是密码技术,信息的安全可以通过密码的设置得到保障。迄今为止,能够保证信息完整性的一个最主要的方法就是密码的数字签名和身份认证,其中密码技术包含了:古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。防范和保护网络安全的两个主要策略就是访问控制。使网络资源不受到非法的使用及访问是其主要目的。作为对网络安全进行保护的一项重要核心策略,访问控关系到广泛的技术领域,例如入网访问控制、网络权限控制、目录级控制、属性控制等。
3.3健全备份及恢复机制
将给定的属性和网络服务器的网络设备联系起来就是属性安全控制,基于权限安全,更深入的提供网络安全保障。网络属性不仅能够对数据、拷贝、删除、执行、共享等行为进行控制,还能够对重要的目录及文件加以保护,避免有人恶意删除、执行或修改目录及文件。通过对RAID5的应用来及时的备份系统,能够有效的避免存储设备的异常损坏。强大的数据库触发器和恢复重要数据的操作,能够最大限度地保证重要数据的恢复。
3.4提高病毒防杀技术
在对于计算机网络的破坏性方面,网络病毒具有很大的破坏力,因此,在网络安全技术中,最重要的就是对于网络病毒的防护。人们在现实生活中,一直有这样一种误区,认为对于网络病毒的防范最重要的是杀毒。但其实不然,要想有效的防范病毒的入侵,就应该首先做到“防范”病毒的入侵。如果在计算机已经感染了病毒后再来对病毒进行分析,采取杀毒措施,这等同于“饭后买单”,事后的弥补性措施是无法完全解决计算机安全问题的。所以,对于计算机网络的病毒问题,计算机用户应该做到以“防”为病毒库,因为病毒是在逐渐更新的,只有及时更新病毒库,才能保证及时监测到新兴病毒的存在。一旦发现计算机内有潜在病毒,就应该及时清除隐藏的病毒。
3.5建立防火墙
关键词:计算机网络安全技术;问题;防范措施
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)33-7851-03
Abstract: In today's information society,computer applications increasingly widespread, therefore,should further enhance computer network security technologies to safeguard the security of the computer network information. Currently, the study of computer network security problems and corresponding technical preventive measures is an important research topic. This paper describes the current status of computer network security, analysis of its current problems, and put forward relevant countermeasures prevention of computer network security under attack.
Key words: computer network security technologies; issues; preventive measures
计算机的应用范围伴随着科技的进步也越来越广泛,网络已经成了人们生活中不可或缺的一部分。但是,计算机网络所暴露出的安全问题也日益显露,当人们通过计算机接收信息的同时,通常都不会注意网络安全的重要性,进而引起计算机网络安全的威胁趁虚而入。如何做到有效的防范计算机网络安全威胁,是计算机网络安全急需解决的问题。因此,对计算机网络安全问题及其防范措施进行深入的研究具有非常重要的现实意义。
1 计算机网络安全概况
在国际上,将计算机网络安全定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而受到破坏、更改与泄漏。”简而言之,就是指采取有效措施来保护信息的保密性、完整性及可用性。
从专业角度分析,计算机网络安全指的是保护计算机网络系统的硬件、软件、系统中的数据以及网络中信息的传输,保证其他因素无法对计算机网络进行恶意攻击和有意破坏。在保护计算机网络安全过程中既关乎网络技术方面的问题,又关乎网络管理方面的问题。只有同时做好网络技术和网络管理,才能够有效的做好计算机网络安全的防范。如今计算机网络技术发展十分迅速,变化日新月异,网络开发者一直在不断创新网络技术,更有很多不法分子深入钻研网络攻击技术,在这样的背景之下,网络安全问题的维护面临着巨大的挑战。相关数据显示,人为计算机入侵问题平均每20秒就会发生一次,可见信息的安全性不容乐观。
复杂性和多样性是计算机网络技术的两个显著特点,因此其决定了计算机网络安全问题也是复杂多样的。比较常见的网络安全威胁有系统漏洞威胁、物理威胁、身份鉴别威胁、病毒和黑客威胁以及自然威胁等。由于计算机网络的覆盖范围是全球化的,各国都十分重视计算机网络技术的发展,随着全球范围内计算机网络技术的不断发展,不少新兴的计算机病毒和黑客攻击方式层出不穷,有些对于网络安全甚至是致命性的打击。我们经常听到的网络病毒有:木马病毒、蠕虫病毒、Back—doors病毒、Rootkits病毒、DOS病毒、Sniffer病毒等,这些都是黑客用来攻击的手段。随着网络技术的不断创新,黑客的攻击技术也在日益提升和改变。因此,只有不断提高网络安全的防范措施,才能够保证广大网络用户能有一个健康、安全的网络环境,保护网民的信息安全。
2 计算机网络安全隐患分析
2.1 计算机病毒
迄今为止,非法入侵代码是计算机网络安全所面对的最大威胁,我们常听闻的木马病毒、蠕虫病毒等都是凭借对代码进行更改的形式来实现对于电脑的非法入侵的,其本质是一项程序。这些病毒的传播方式大多是通过网络进行传输的,当然在用U盘进行文件传输的时候,也可能会携带这些病毒。病毒在电脑中的宿主种类是多种多样的,一旦病毒被打开,其对电能的影响是破坏性的,通常会使计算机系统瘫痪。例如,我们最熟悉的木马程序(特洛伊木马),其采用的是相对较为隐秘的入侵手段,当我们的电脑表面上在执行一种程序的时候,实际上木马程序在背后却执行着另外一种程序,虽然不会对电脑造成系统性的破坏,但会窃取电脑中的重要信息。
2.2 计算机系统本身问题
作为计算机网络的运行支撑,操作系统的安全性十分重要,只有计算机系统安全,才能够保证其余程序或系统能够顺利的正常运行。如果计算机的操作系统自身有问题,那么计算机自然会存在安全隐患。我们不得不承认,没有不存在安全隐患的操作系统,系统的漏洞是不可能完全避免的,一旦发现漏洞,对漏洞进行修复则是一项技术型工作。当攻击者掌握了计算机系统漏洞时,就可以利用漏洞通过自身技术实现对计算机的控制,对计算机进行攻击,窃取计算机内的信息。
2.3 网络结构缺乏安全性
作为一种网间网技术,互联网由成千上万个局域网共同构成,是一个巨大的无形网络。当人们使用一台计算机向另一台计算机传输信息的时候,往往不是直接传输过去,而是中间要经过多台计算机进行转发,这是有网络的复杂性决定的。在信息的转输过程中,不法分子就可以利用相关技术窃其想要获得的取信息,劫持用户的数据包。
2.4 欠缺有效的评估和监控措施
为了能够对黑客进攻计算机系统进行有效的防范,一定要做好准确的安全评估,一个准确的安全评估有利于整个网络安全的构建。但是,现在各公司和重要部门都欠缺有效的评估及监控措施,这些漏洞为黑客的入侵提供了可乘之机。在现实的计算机网络维护中,维护人员更看重的事前的预防以及发生攻击后的补救,却忽略了安全性的评估以及有效的监控。
2.5 存在人为威胁
计算机的人为威胁包括可控制及非可控制威胁两种,并不是所有的计算机安全威胁都是人为能够控制或者补救的。例如天气条件,在发生打雷和闪电的情况下,电磁波的影响就会受到影响,进而可能会造成设备的损坏,计算机网络的使用自然 也会随之受到影响。同时,计算机网络也会受到场地条件的影响。在有矿山的地方使用网络时,计算机网络就会变差。除此之外,计算机网络各种设备的自然老化也会影响用户对计算机网络的安全使用。。
3 计算机网络安全防范措施建议
3.1 增强安全意识和安全管理
为了保证计算机网络的安全性,必须提高计算机网络用户的安全防范意识,同时加强对计算机的安全管理的。为了提升用户的安全意识,可以通过讲解安全实例对用户进行提醒,可以派遣相关的宣传人员为计算机用户讲解网络安全的重要性,分析实例中个人计算机受到攻击的原因,进而提升计算机用户的防范意识,保证用户安全意识构建完善。那么如何做到安全管理的强化呢?强化安全管理可以从设置访问权限以及设置密码方面着手,告知计算机用户无论是计算机开机还是打开计算机中的文件,都应该通过密码访问进入,同时保证自己设置的密码不会太简单,但自己又比较容易记住,尽量使用较长的、复杂的密码。访问权限设置管理的主要内容为IP地址和路由器权限两点,只有可信任的IP地址才可以获得访问权限,在陌生或者非法IP请求访问的时候,切记一定要拒绝其访问,这样才能保证计算机不被入侵。设置路由器的时候,计算机用户可以依据本人意愿对权限进行设置,或者直接让管理员给固定的计算机进行授权处理,做到这些,才能在一定程度上保证计算机网络使用的安全性。
3.2 使用密码技术
信息安全技术的核心就是密码技术,信息的安全可以通过密码的设置得到保障。迄今为止,能够保证信息完整性的一个最主要的方法就是密码的数字签名和身份认证,其中密码技术包含了:古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。防范和保护网络安全的两个主要策略就是访问控制。使网络资源不受到非法的使用及访问是其主要目的。作为对网络安全进行保护的一项重要核心策略,访问控关系到广泛的技术领域,例如入网访问控制、网络权限控制、目录级控制、属性控制等。
3.3 健全备份及恢复机制
将给定的属性和网络服务器的网络设备联系起来就是属性安全控制,基于权限安全,更深入的提供网络安全保障。网络属性不仅能够对数据、拷贝、删除、执行、共享等行为进行控制,还能够对重要的目录及文件加以保护,避免有人恶意删除、执行或修改目录及文件。通过对RAID5的应用来及时的备份系统,能够有效的避免存储设备的异常损坏。强大的数据库触发器和恢复重要数据的操作,能够最大限度地保证重要数据的恢复。
3.4 提高病毒防杀技术
在对于计算机网络的破坏性方面,网络病毒具有很大的破坏力,因此,在网络安全技术中,最重要的就是对于网络病毒的防护。人们在现实生活中,一直有这样一种误区,认为对于网络病毒的防范最重要的是杀毒。但其实不然,要想有效的防范病毒的入侵,就应该首先做到“防范”病毒的入侵。如果在计算机已经感染了病毒后再来对病毒进行分析,采取杀毒措施,这等同于“饭后买单”,事后的弥补性措施是无法完全解决计算机安全问题的。所以,对于计算机网络的病毒问题,计算机用户应该做到以“防”为主,以“杀”为辅,用户可以在计算机内安装一款正版的杀毒软件,时刻监视计算机内的病毒情况,同时还应该定时升级杀毒软件的病毒库,因为病毒是在逐渐更新的,只有及时更新病毒库,才能保证及时监测到新兴病毒的存在。一旦发现计算机内有潜在病毒,就应该及时清除隐藏的病毒。
3.5 建立防火墙
防火墙是通过连接网络的数据包对计算机进行监控的,形象地说,防火墙的作用相当于一个门卫,管理着各个系统的各扇门,其会对进入系统中的人员身份进行检查,只有得到许可的人才能够进入系统。而许可哪里获得呢?当然是用户自己了,只有得到用户许可,其他人才能进行访问。在有不明身份者想要进入系统的时候,防火墙会立即将其拦截,对其身份进行验证,得到许可后,防火墙才会放行此程序发出的一切数据包,一旦发现该程序并未得到许可,就会发出警报,同时发出提示“是否允许此程序进行?”。通常来讲,对于那些自己不是很了解的程序,用户应该对其进行拦截,并通过搜索引擎或者防火墙的提示确认该软件的性质。目前应用范围最为广泛的网络安全机制就是防火墙,防火墙的运行机制如图1所示,其能够有效的避免网络上的不安全因素扩张到局域网内,因此,计算机用户应当积极利用防火墙来维护网络信息安全。
不伴随着计算机网络技术的快速发展,人们已经离不开计算机这一便捷工具了。在人们的日常生活、学习、工作中,更是离不开网络的使用,网络安全的重要性不言而喻。网络安全的维护不仅仅是技术方面的问题,更是安全管理方面的问题,只有做到了技术和管理的同时完善,才能保证用户用网的安全性,营造一个健康、安全的计算机网络环境。社会各界应该提升网络安全防范意识,使信息在网络传输的过程中能够安全、可靠、完整。
参考文献:
[1] 张田.计算机网络安全相关问题分析[J].中小企业管理与科技(上旬刊),2011(8).
【关键词】脆弱数字水印;认证:算法
【中图分类号】TP309.7 【文献标识码】A 【文章编号】1672-5158(2013)04-0204-02
一、脆弱数字水印的产生
随着计算机网络和多媒体信息处理技术的迅速发展,使得图像、视频和音频等各种形式的多媒体数字作品的制作、编辑、复制和传输变得极其便利。然而,新技术必然会带来一些新的问题,例如,软件产品的盗版、数字文档的非法拷贝、数字多媒体产品的版权保护等等;尤其,当数字多媒体作品被用于法庭、医学、新闻和商业用途时,需要确定其内容是否曾被修改、伪造或者特殊处理过,必须保证数字多媒体作品内容的真实性和完整性。在开放的网络环境下,人们对信息安全的要求越来越迫切,都希望能在信息传播的过程中对自己的秘密信息加以保护。数字水印技术作为版权保护和安全认证的有力工具诞生于90年代初,并且在数字多媒体产品中的应用需求日益增加,呈现出巨大的商业潜力。
数字水印作为信息隐藏技术研究领域的一个重要分支,是一种可以在开放的网络环境下,保护多媒体产品版权和认证来源及完整性的新型技术。数字水印技术通过将数字、序列号、文字和图像标记等版权信息嵌入到多媒体当中,在嵌入过程中对多媒体载体进行尽量小的修改,以达到最强的鲁棒性,当含有水印信息的多媒体受到攻击后仍然可以恢复或者检测出水印的存在,这也是实现多媒体产品版权保护的有效办法。数字水印技术的诞生为多媒体产品的信息安全问题注入了新的生机与活力。数字水印技术是一个多学科交叉的新兴研究领域,它涉及了信号处理、密码学、通信理论、数理统计理论、编码理论、数据压缩和人类视,听觉理论等多门学科。数字水印的提出是为了保护版权,然而随着数字水印技术的发展,人们已经发现了数字水印技术更多更广的应用。
第一种应用于图像的水印技术是由Caronni等于1993年提出的“’。后来,数字水印技术的应用范围逐渐扩展到其它数字媒体,如音频、视频等。数字水印技术的功能也逐渐由最基本的多媒体作品版权保护,发展到访问控制、票据防伪、多媒体数据篡改提示、隐蔽通信等更多的应用需求方面。与图像和视频数字水印相比,由于人类听觉系统HAS(Human Auditory System)比视觉系统HVS(Hman Visual System)具有更高的敏感度,对随机噪声相当敏感,使得可以嵌入的水印数据量非常有限,所以向音频信号当中嵌入水印信息时,对水印的隐蔽性有着更高的要求,水印的隐藏也显得更加困难,因此,国内外对音频数字水印的研究并不多见。而且通常情况下,由于多媒体传播环境的开放与复杂,多媒体编辑处理工具的广泛开发,使得多媒体数据总是会受到有意或者无意的攻击操作,于是,目前的研究大多集中于数字水印的鲁棒性设计,希望多媒体产品无论受到何种变形操作,都能从中提取出水印来,但是,对用于真实性和完整性保护的脆弱数字水印的研究却相对较少。
与一般的数字水印一样,脆弱数字水印也是在保证多媒体作品一定视觉或听觉质量的前提下,将序列、文档、或者图像作为水印信息,以人类不可感知的方式嵌入到多媒体作品当中。但是与鲁棒性数字水印不同的是,当嵌有脆弱数字水印的多媒体作品数据发生篡改时,通过对水印的检测或者提取,可以对多媒体载体的真实性和完整性进行鉴定,并且能够指出被篡改的位置,甚至是篡改的程度和篡改类型等等。介于鲁棒性水印和脆弱性水印之间的是半脆弱数字水印,它对恶意篡改非常敏感,同时又对一些常规的信号处理操作(如添加噪声、滤波、MP3压缩等)有一定的鲁棒性,主要用于选择认证,保护一般的多媒体数据内容。而对一些要求极其精确的数字媒体,如文档、医学图像、法律证据音频录音等,即使是非常轻微的修改都可能造成实质上完全不同的信息,脆弱数字水印正是针对这类应用而设计的,它能够准确地检测出对多媒体数据内容的任何修改并且能够对修改的部分进行精确定位。无论从理论角度还是应用角度来看,开展对脆弱性数字水印技术的研究,不但具有重要的学术意义,还有极为重要的经济意义。
二、脆弱数字水印的特点
脆弱数字水印技术就是在保证多媒体文件在一定听觉/视觉质量的前提下,将序列号、文字、图像标志等版权信息,以人类不可感知的方式,嵌入到多媒体文件的数据中。脆弱数字水印主要用于多媒体文件的内容及版权等关键信息的真实性鉴定,防止非法篡改和伪造,强调的是一种多媒体数据完整性和有效性的标注功能,以及对多媒体数据破坏和攻击的定位分析能力。因此,脆弱数字水印是一类对常见信号处理操作都比较敏感的水印,只要含有水印的多媒体文件稍作修改,嵌入其中的水印就能反映出多媒体文件发生的轻微变化,只有这样才能通过对水印信息的检测或提取来鉴定多媒体文件的真伪以及被篡改的情况。
用于多媒体作品完整性和真实性认证的脆弱数字水印,除了具有数字水印的基本特征如不可感知性、安全性以外,还必须具有对恶意篡改的敏感性和脆弱性。在实际应用中,一个实用的脆弱数字水印应该具备以下特征:
(1)良好的透明性。对多媒体文件来说就是不可感知性,嵌入水印后的多媒体文件要让人在视觉或听觉范围内,感觉不到任何变化,这样才能保证原始多媒体文件的使用价值,保证文件内容的真实性,因此在水印的不可感知性要求上,对脆弱性数字水印的要求比鲁棒性水印要更高些。
(2)盲检测认证。在完整性认证阶段不需要原始的多媒体文件,这对用于认证的脆弱数字水印来说是必须的,如果能确知原始的多媒体文件,就不存在真实性保护的问题了;另一方面,某些应用中根本就没有原始数据,比如询问证人的证词录音,为保证证词的真实性,需要在录音时自动嵌入水印,否则无法实现真实性的鉴别。
(3)良好的敏感性。要求多媒体文件中的脆弱水印能灵敏地被最普通的信号处理技术所改变。理论上,在检测端作完整性认证时,应该能够检测到所有影响多媒体文件质量的恶意篡改,即对恶意篡改的检测概率趋向于100%。
(4)防止“伪认证”攻击的能力。意思就是防止多媒体数据被篡改后仍能通过认证。对脆弱数字水印来说,不必强调其对恶意攻击的抵抗能力,因为对脆弱数字水印的攻击不是将水印信息除去或者使其不能被检测到,而是设法篡改多媒体的内容数据且不损坏水印信息,即使多媒体文件的内容发生了改变,但仍能通过认证。在图像应用中有例为证,Kundur基于小波的脆弱数字水印算法,当不采用“量化密钥”时,根据一个已嵌入脆弱水印的图像数据,可使任意一个与其相同尺寸的图像完全通过认证。音频应用中也存在这样的可能性。
(5)对篡改攻击部分进行定位。当含有水印信息的多媒体文件被恶意修改时,检测算法能指明文件内容被篡改的位置,这些信息可以用来推断篡改动机和篡改的严重程度。
如果在实际问题中有更高的要求,往往还需具备以下特征:
(6)对篡改的部分进行恢复。在篡改定位的基础之上,进一步恢复出多媒体文件被篡改前的真实内容,并且能够根据恢复的内容推断出篡改的方式以及篡改的类型,以提供篡改的证据。
(7)能与鲁棒性数字水印很好地共存。有时候单单依靠脆弱数字水印并不能同时满足多种用途,需要同时嵌入多个水印,不同的水印担负不同的使命,这样多媒体文件才能够更好地适应复杂多变的环境,满足不同应用场合的需求,同时实现多媒体文件版权保护和内容认证的功能。
三、脆弱数字水印算法概述
从1993年开始就有研究者从事脆弱数字水印算法的研究,初期的研究大多都是借用密码学的观点和方法,研究者常常使用密码学中的哈希(Hash)函数作为脆弱水印完整性认证的方法。Friedman利用密码学中的哈希函数,通过保存经过Hash后的图像数据,从而达到认证的目的,但是这样需要保存额外的认证数据――Hash值,并且认证得到的结果只有两种:“是”或“否”,并不能报告图像数据失真的具置。
Schneider和chang提出基于图像内容的方法,利用图像特征(如亮度直方图、DCT系数、边缘信息等),通过哈希函数得到用于认证的消息,因为图像本身的特征具有一定的稳定性,如果图像内容发生改变,则图像特征也会有所改变,这样可以保护图像数据中的每一个像素都不能改变。但是,它仍然需要保存额外的数据,不过提取图像特征的方法值得借鉴。
张和王在Yeung和PingWah的研究基础上提出了一种利用查找表和哈希函数的小波域脆弱水印算法。首先利用小波变换的时频特性,在图像的LL子带用查找表的方法嵌入一个标识水印,用于检测和定位篡改;再选取HL子带或LH子带的哈希值作为水印嵌入到HH子带中,用于抵抗各种伪认证攻击。该算法既提高了基于分块的脆弱水印算法的安全性,又保持了良好的局部修改检测性能。
李和侯提出了一种新的混沌脆弱数字水印算法,该算法利用混沌系统对初值的极端敏感性和块不相关水印技术,将图像DCT次高频系数和水印密钥合成为Logistic混沌映射的初值,从而生成水印,再将水印嵌入到图像DCT的高频系数中,利用图像DCT系数之间的关系,实现了水印的嵌入和盲检测。该算法计算简单,具有较高的峰值信噪比和良好的篡改定位能力。
脆弱数字水印技术在图像领域中的研究应用得到了很好的发展,随着多媒体介质类型的增加,音频、视频在网络上的应用需求逐渐增大,研究学者们逐渐将研究方向转向到音频领域,很多良好的算法也从图像领域移植到了音频领域。
Radhakfishnan和Memon根据听觉质量相似的两个音频之间的掩蔽曲线必定一样的原理,提出了一种基于特征的音频内容认证技术。首先计算音频掩蔽曲线的Hash值,然后采用已知的数据隐藏方法将Hash值作为水印信息嵌入到音频信号当中。检测时,将水印信息提取出来与之前计算的Hash值进行比较,计算其相关系数,再与事先设定的相关系数门限值进行比较,判断内容是否被篡改。检测算法可以将常规的音频信号处理与恶意篡改操作区分开来。
王等利用离散小波变换的多分辨率特性,提出了一种小波域脆弱音频水印算法,通过等概率随机量化音频信号不同子带的小波系数,并将视觉可辨别的有意义的二值图像作为水印嵌入其中,该算法对滤波、有损压缩、重采样等攻击具有很强的敏感性,通过比较提取出的水印和原始水印的归一化相关系数,可以很容易对音频信号是否被篡改做出结论。
全和张以改进的心理声学模型为基础,提出了一种小波包域的脆弱音频水印算法。该算法将改进后的心理声学模型用于比小波域灵活性更大的小波包域中,首先根据子带掩蔽阈值,水印嵌入和提取端要求的计算复杂度,自适应地选择最好小波包基函数,对音频信号进行接近于临界频带的分解,然后采用量化小波包系数的方法自适应地嵌入二值图像水印信号。检测算法不仅能够认证音频的完整性,而且能够在时域和频域中定位被篡改区域,可用于衡量法庭证据及新闻广播等的可信度。
袁等提出了一种音频内容认证系统。该算法通过计算音频帧之间的相似性,得到基于音频特征的位置序列,将其置乱和调制后,嵌入到原始音频的离散小波域中。采用相关检测来实现对音频内容的认证,并通过提取出的位置序列,找到被篡改帧的最相似帧,进行篡改内容的近似恢复。该算法在抵抗中等强度的MP3压缩、上下行采样等保持内容的音频信号处理的同时,能够检测出篡改、剪切等恶意攻击操作,能够对篡改位置进行精确定位对被篡改的音频片段进行近似恢复。
冯等利用音频特征生成数字水印,提出了一种用于音频内容认证与恢复的数字水印算法。该算法将音频分段后的每段主要DCT系数及其位置信息作为主要特征,经过量化和加密生成水印,再将水印嵌入到另一个音频段的最低比特位中。该算法不仅能检测和定位对音频内容的篡改,而且能够对篡改的音频段进行近似的恢复,保持较好的复原质量。
四、总结
[关键词]Moodle网络教学平台高中信息技术有效教学
[中图分类号]G633.67[文献标识码]A[文章编号]16746058(2016)290123
在高中信息技术教学中,教师除了要具备较高的教学水平外,还需要学会通过一些辅助平台和技术手段大力提高教学效果。笔者结合多年的信息技术教学实践,就基于Moodle网络教学平台的高中信息技术教学进行深入研究。
一、高中信息技术教学中存在的问题
1.师生、生生之间缺乏交流互动。
交流互动既包括教师和学生之间的交流,也包括学生与学生之间的交流。在传统的高中信息技术教学中,课堂的交流互动主要以师生交流为主,而教师与教师之间、学生与学生之间的交流互动较少,且形式较为单一,难以实现高效的互动和交流。
2.教学资源难以有效组织管理。
学生讨论交流的内容、提交的作品是学生对知识和实践操作最本质的反应,是最有价值的教学资源,传统以小组交流讨论和共享文件的形式,积累组织学生的作业作品、交流讨论内容,不仅效率低下,需要花费大量的时间,而且学生学习效果不佳。
3.教师缺乏有效监督。
高中生自控力较差,常常热衷于QQ聊天、玩游戏,对于教师的要求不能很好地完成,在小组讨论和上机操作中,个别同学承担完成了所有的任务,而教师对于每个学生操作是否规范、熟练等学习情况缺乏有效监督。
4.未能实施有效的教学评价
。由于课堂时间有限,教师点评到的只能是一部分学生,点评覆盖面小。同时,这种点评方式也不能够让教师掌握学生近期的学习情况,难以准确地对学生的成长历程进行发展性评价。在学生互评自评中,敷衍现象十分明显,大多是类似于“好”这样的评价,学生不能自觉地、多元地反馈交流自己的学习信息。
在高中信息技术教学中,之所以出现问题,其原因是缺乏通过网络交流互动、自主探究、善于合作、有效整合资源的一种辅助教学平台,其中,构建Moodle网络教学平台是一个不错的选择。
二、 Moodle网络教学平台概述
Moodle网络教学平台,其实质是模块化面向对象的动态学习环境,是一个学习管理系统或是虚拟的学习环境。由于Moodle网络教学平台属于完全免费开放源代码,创建和安装Moodle网络教学平台比较简单。所以,应在高中信息技术教学中大力推广和应用。
三、基于Moodle网络教学平台的高中信息技g教学模式
如图1所示为基于Moodle网络教学平台的高中信息技术教学模式,在此模式中教师能够根据课程要求和学生的需要调整界面,及时修改、删除、增加Moodle网络教学平台的内容,方便开设网络课程。而学生在任何时间登陆到该平台,都可根据自己的学习需求和教师创设的问题情境,选择课程内容进行学习。更为重要的是,基于Moodle网络教学平台的高中信息技术教学中,教师和学生之间、学生和学生之间可及时地进行动态交流和辅导答疑,使得课程教学资源十分丰富,能有效解决传统高中信息技术教学中存在的不足。
图1基于Moodle网络教学平台的高中信息技术教学模式
Moodle网络教学平台具有十分强大的功能,在课程管理模块中,教师进行问卷调查、专题讨论、作业提交、知识测验等活动,并且在网站侧边栏内显示出最新的动态,方便学生了解当前其他同学的动态和课程动态;在用户日志管理模块中,教师随时了解学生的访问时间、留言和讨论内容等,掌握学生的学习动态,为学生日常的考核提供重要的参考依据;在论坛模块中,学生和教师都进行主动发帖,在浏览帖子的时候及时进行回复讨论,一旦有更新的帖子,系统会在第一时间通过邮件告知老师和学生;在作业模块中,学生可在规定的时间内上传自己的作品,该模块提供评分功能,教师可对每一个学生的作品进行点评,分析该作品的优点和不足;在互动模块中,学生既对同课程其他学生进行评价,也对教师提供的教学资源文件进行合理评价,这种互动评价有助于激发学生的学习兴趣。
四、Moodle网络教学平台在高中信息技术教学中的应用
1.有效实现师生之间的交流互动。
在高中信息技术教学过程中,师生之间的交流互动是需要在网络环境
下进行的,而Moodle网络教学平台提供网络环境下的在线调查、论坛、聊天室等教学活动。这些教学活动能够有效建立师生、生生之间的交流互动,有利于提高学生的学习效率和学习积极性。例如,在《信息技术基础》第一章《合理使用信息技术》的教学中,教师基于Moodle网络教学平台开设了一个以“信息安全问题”为主题的讨论区,所有学生在课堂上即时讨论,学生以协作的形式学习,完全实现了信息技术课堂教学的有效互动和交流,这是传统教学无法做到的。
2.有效组织和管理信息技术教学资源。
在传统教学中,对于导学案例、课件、工具软件等信息技术教学资源进行组织管理往往是通过FTP文件传输或者是共享文件夹的形式进行,虽然这种方式简单方便,但是组织结构不够明晰,灵活性较差。特别是在制作动态网页过程中,费时费力,且难以达到相应的教学效果。而Moodle网络教学平台可有效组织管理教学资源,它可以将动画、声音等多种资源添加到站点、网页、文本页中,可以将自主学习案例、活动操作提示要求以及作品制作参考素材等课程资源呈现出来。例如,在《信息技术基础》第六章制作“古玩今玩”九连环网站中,教师就通过Moodle网络教学平台展示了“古玩今玩”网站素材、常见信息集成工具、合作建站等,呈现在学生面前的是一个交互式知识体系,有利于学生开展探究性学习。
3.有效实现信息技术课堂的合理评价。
在评价学生作品时,传统教学评价是将学生作品利用FTP服务器进行上传或保存在教师指定的共享目录里,教师难以将评价信息反馈给学生。而Moodle网络教学平台提供在线测试、作业评价等评价系统,能够对离线作业和作品给出评价信息。同时,学生根据教师的评价范例以及评价规则,以跟帖的方式对其他同学的作品进行交流评价,这种交流思想、交流作品的环境能够有效激发学生的学习热情。
4.有效实现课堂知识的拓展与延伸。
完整的知识体系有利于学生巩固知识,要想形成完整的知识体系仅仅依靠课堂上的学习,是达不到满意的效果的。而如果教师通过Moodle网络教学平台设置一些课外学习资料或拓展学习任务,让学生在课外时间内登陆到平台中进行学习,那么一方面可用课外知识来充实课堂,有利于学生建立完整的知识体系;另一方面学生在平台中交流讨论、浏览课外知识、上传作品等学习活动都会被记录到 Moodle 平台中,无形中建立了学生自己的成长记录库,有利于教师对每个学生进行发展性评价,并根据学生的成长记录库及时调整教学策略。例如,在《信息技术基础》第二章信息获取知识的讲解中,教师通过Moodle网络教学平台添加搜索引擎一般查询规律等知识,并要求学生在课余时间进入指定的网站进行学习。
综上所述,基于Moodle网络教学平台的高中信息技术教学,不仅能有效组织和管理各类教学资源,增进师生之间的交流互动,而且能有效评价教学,有利于学生构建自己的知识体系。
[参考文献]
论文摘要:网络攻击行为已经蔓延的越来越广,网络的安全问题日趋严重。网络的安全问题来自多方面的各种原因。本文就是有效的防止网络故障的发生以及发现故障并且维护网络,采取一些防范的网络安全策略和解决办法。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。宗上所述,网络管理就尤为重要,随看计算机网络规模的扩大和复杂性的增加,网络管理在计算机网络系统中的地位越来越重要。本文在算机网络管理和维护的基础上,介绍了以下的解决方法
前 言
随着计算机技术和Internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
第一章 网络安全技术
1.1概述
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系.
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高.
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业.
信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用
1.2防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换—NAT,型和监测型.
1.3 防火墙主要技术
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性.
监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上
1.4防火墙体系结构
筛选路由式体系结构
SHAPE \* MERGEFORMAT
屏蔽子网式结构
双网主机式体系结构
SHAPE \* MERGEFORMAT
屏蔽主机式体系结构
1.5入侵检测系统
1概念
当前,平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破!面对接2连3的安全问题,人们不禁要问:到底是安全问题本身太复杂,以至于不可能被彻底解决,还的仍然可以有更大的改善,只不过我们所采取的安全措施中缺少了某些重要的环节。有关数据表明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现他、有80%来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,在相当一部分黑客攻击当中,黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节------入侵检测系统。
入侵检测系统(Intrusion detection system,简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成份,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前存取控制系统,例如防火墙;识别防火墙通常用不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。
作为监控和识别攻击的标准解决方案,IDS系统已经成为安防体系的重要组成部分。
IDS系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。
防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误解操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从二可以极大地减少网络免受各种攻击的损害。
假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,更不能防止大楼内部个别人员的不良企图。而一旦小偷爬入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。
2侵检测的主要技术————入侵分析技术
入侵分析技术主要有三大类:签名、统计和数据完整性。
签名分析法
名分析法主要用来检测有无对系统的已知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。
主要方法:从攻击模式中归纳出其签名,编写到IDS系统的代码里,再由IDS系统对检测过程中收集到的信息进行签名分析。
签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作,一方是已知攻击模式的签名数据库。
统计分析法
统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。
主要方法:首先根据被检测系统的正常行为定义一个规律性的东西,在此称为“写照”,然后检测有没有明显偏离“写照”的行为。
统计分析法的理论经常是统计学,此方法中,“写照”的确定至关重要。
数据完整分析法
数据完整分析法主要用来查证文件或对象是否被修改过,它的理论经常是密码学。
3侵检测系统的分类:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4 IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点
就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的 监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
第二章 网络管理
2.1概述
随着计算机技术和Internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
关于网络管理的定义目前很多,但都不够权威。一般来说,网络管理就是通过某种方式对网络进行管理,使网络能正常高效地运行。其目的很明确,就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行等。国际标准化组织(ISO)在ISO/IEC7498-4中定义并描述了开放系统互连(OSI)管理的术语和概念,提出了一个OSI管理的结构并描述了OSI管理应有的行为。它认为,开放系统互连管理是指这样一些功能,它们控制、协调、监视OSI环境下的一些资源,这些资源保证OSI环境下的通信。通常对一个网络管理系统需要定义以下内容:
系统的功能。即一个网络管理系统应具有哪些功能。
网络资源的表示。网络管理很大一部分是对网络中资源的管理。网络中的资源就是指网络中的硬件、软件以及所提供的服务等。而一个网络管理系统必须在系统中将它们表示出来,才能对其进行管理。
网络管理信息的表示。网络管理系统对网络的管理主要靠系统中网络管理信息的传递来实现。网络管理信息应如何表示、怎样传递、传送的协议是什么?这都是一个网络管理系统必须考虑的问题。
系统的结构。即网络管理系统的结构是怎样的。
网络管理这一学科领域自20世纪80年代起逐渐受到重视,许多国际标准化组织、论坛和科研机构都先后开发了各类标准、协议来指导网络管理与设计,但各种网络系统在结构上存在着或大或小的差异,至今还没有一个大家都能接受的标准。当前,网络管理技术主要有以下三种:诞生于Internte家族的SNMP是专门用于对Internet进行管理的,虽然它有简单适用等特点,已成为当前网络界的实际标准,但由于Internet本身发展的不规范性,使SNMP有先天性的不足,难以用于复杂的网络管理,只适用于TCP/IP网络,在安全方面也有欠缺。已有SNMPv1和SNMPv2两种版本,其中SNMPv2主要在安全方面有所补充。随着新的网络技术及系统的研究与出现,电信网、有线网、宽带网等的融合,使原来的SNMP已不能满足新的网络技术的要求;CMIP可对一个完整的网络管理方案提供全面支持,在技术和标准上比较成熟.最大的优势在于,协议中的变量并不仅仅是与终端相关的一些信息,而且可以被用于完成某些任务,但正由于它是针对SNMP的不足而设计的,因此过于复杂,实施费用过高,还不能被广泛接受;分布对象网络管理技术是将CORBA技术应用于网络管理而产生的,主要采用了分布对象技术将所有的管理应用和被管元素都看作分布对象,这些分布对象之间的交互就构成了网络管理.此方法最大的特点是屏蔽了编程语言、网络协议和操作系统的差异,提供了多种透明性,因此适应面广,开发容易,应用前景广阔.SNMP和CMIP这两种协议由于各自有其拥护者,因而在很长一段时期内不会出现相互替代的情况,而如果由完全基于CORBA的系统来取代,所需要的时间、资金以及人力资源等都过于庞大,也是不能接受的.所以,CORBA,SNMP,CMIP相结合成为基于CORBA的网络管理系统是当前研究的主要方向。
网络管理协议
网络管理协议一般为应用层级协议,它定义了网络管理信息的类别及其相应的确切格式,并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。
网络管理系统通常由管理者(Manager)和( Agent)组成,管理者从各那儿采集管理信息,进行加工处理,从而提供相应的网络管理功能,达到对管理之目的。即管理者与之间孺要利用网络实现管理信息交换,以完成各种管理功能,交换管理信息必须遵循统一的通信规约,我们称这个通信规约为网络管理协议。
目前有两大网管协议,一个是由IETF提出来的简单网络管理协议SNMP,它是基于TCP / IP和Internet的。因为TCP/IP协议是当今网络互连的工业标准,得到了众多厂商的支持,因此SNMP是一个既成事实的网络管理标准协议。SNMP的特点主要是采用轮询监控,管理者按一定时间间隔向者请求管理信息,根据管理信息判断是否有异常事件发生。轮询监控的主要优点是对的要求不高;缺点是在广域网的情形下,轮询不仅带来较大的通信开销,而且轮询所获得的结果无法反映最新的状态。
另一个是ISO定义的公共管理信息协议CMIP。CMIP是以OSI的七层协议栈作为基础,它可以对开放系统互连环境下的所有网络资源进行监测和控制,被认为是未来网络管理的标准协议。CMIP的特点是采用委托监控,当对网络进行监控时,管理者只需向发出一个监控请求,会自动监视指定的管理对象,并且只是在异常事件(如设备、线路故障)发生时才向管理者发出告警,而且给出一段较完整的故障报告,包括故障现象、故障原因。委托监控的主要优点是网络管理通信的开销小、反应及时,缺点是对的软硬件资源要求高,要求被管站上开发许多相应的程序,因此短期内尚不能得到广泛的支持。
网络管理系统的组成
网络管理的需求决定网管系统的组成和规模,任何网管系统无论其规模大小如何,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。
网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。目前决大多数网管软件平台都是在UNIX 和DOS/WINDOWS平台上实现的。目前公认的三大网管软件平台是:HP View、IBM Netview和SUN Netmanager。虽然它们的产品形态有不同的操作系统的版本,但都遵循SNMP协议和提供类似的网管功能。
不过,尽管上述网管软件平台具有类似的网管功能,但是它们在网管支撑软件的支持、系统的可靠性、用户界面、操作功能、管理方式和应用程序接口,以及数据库的支持等方面都存在差别。可能在其它操作系统之上实现的Netview、 Openview、Netmanager网 管 软 件 平 台 版 本 仅 是 标 准Netview、 Openview、Netmanager的子集。例如,在MS Windows操作系统上实现的Netview 网管软件平台版本Netview for Windows 便仅仅只是Netview的子集。
网管支撑软件是运行于网管软件平台之上,支持面向特定网络功能、网络设备和操作系统管理的支撑软件系统。
网络设备生产厂商往往为其生产的网络设备开发专门的网络管理软件。这类软件建立在网络管理平台之上,针对特定的网络管理设备,通过应用程序接口与平台交互,并利用平台提供的数据库和资源,实现对网络设备的管理,比如Cisco Works就是这种类型的网络管理软件,它可建立在HP Open View和IBM Netview等管理平台之上,管理广域互联网络中的Cisco路由器及其它设备。通过它,可以实现对Cisco的各种网络互联设备(如路由器、交换机等)进行复杂网络管理。
网络管理的体系结构
网络管理系统的体系结构(简称网络拓扑)是决定网络管理性能的重要因素之一。通常可以分为集中式和非集中式两类体系结构。
目前,集中式网管体系结构通常采用以平台为中心的工作模式,该工作模式把单一的管理者分成两部分:管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算,而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。
非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者MOM(Manager of manager)的概念,以域为单位,每个域有一个管理者,它们之间的通讯通过上层的MOM,而不直接通讯。层次方式相对来说具有一定的伸缩性:通过增加一级MOM,层次可进一步加深。分布式是端对端(peer to peer)的体系结构,整个系统有多个管理方,几个对等的管理者同时运行于网络中,每个管理者负责管理系统中一个特定部分 “域”,管理者之间可以相互通讯或通过高级管理者进行协调。
对于选择集中式还是非集中式,这要根据实际场合的需要来决定。而介于两者之间的部分分布式网管体系结构,则是近期发展起来的兼顾两者优点的一种新型网管体系结构
2.2常见的几种网络管理技术
基于WEB的网络管理模式
随着 Internet技术的广泛应用,Intranet也正在悄然取代原有的企业内部局域网,由于异种平台的存在及网络管理方法和模型的多样性, 使得网络管理软件开发和维护的费用很高, 培训管理人员的时间很长,因此人们迫切需要寻求高效、方便的网络管理模式来适应网络高速发展的新形势。随着Intranet和WEB 及其开发工具的迅速发展,基于WEB的网络管理技术也因此应运而生。基于WEB的网管解决方案主要有以下几方面的优点:(1)地理上和系统间的可移动性:系统管理员可以在Intranet 上的任何站点或Internet的远程站点上利用 WEB 浏览器透明存取网络管理信息;(2)统一的WEB浏览器界面方便了用户的使用和学习,从而可节省培训费用和管理开销;(3)管理应用程序间的平滑链接:由于管理应用程序独立于平台,可以通过标准的HTTP协议将多个基于WEB的管理应用程序集成在一起,实现管理应用程序间的透明移动和访问;(4)利用 JAVA技术能够迅速对软件进行升级。 为了规范和促进基于WEB的网管系统开发,目前已相继公布了两个主要推荐标准:WEBM和JMAPI。两个推荐标准各有其特色,并基于不同的原理提出。
WEBM方案仍然支持现存的管理标准和协议,它通过WEB技术对不同管理平台所提供的分布式管理服务进行集成,并且不会影响现有的网络基础结构。 JMAPI 是一种轻型的管理基础结构,采用JMAPI来开发集成管理工具存在以下优点:平台无关、高度集成化、消除程序版本分发问题、安全性和协议无关性。
2.分布对象网络管理技术
目前广泛采用的网络管理系统模式是一种基于Client/Server技术的集中式平台模式。由于组织结构简单,自应用以来,已经得到广泛推广,但同时也存在着许多缺陷:一个或几个站点负责收集分析所有网络节点信息,并进行相应管理,造成中心网络管理站点负载过重;所有信息送往中心站点处理,造成此处通信瓶颈;每个站点上的程序是预先定义的,具有固定功能,不利于扩展。随着网络技术和网络规模尤其是因特网的发展,集中式在可扩展性、可靠性、有效性、灵活性等方面有很大的局限,已不能适应发展的需要.
CORBA技术
CORBA技术是对象管理组织OMG推出的工业标准,主要思想是将分布计算模式和面向对象思想结合在一起,构建分布式应用。CORBA的主要目标是解决面向对象的异构应用之间的互操作问题,并提供分布式计算所需要的一些其它服务。OMG是CORBA平台的核心,
它用于屏蔽与底层平台有关的细节,使开发者可以集中精力去解决与应用相关的问题,而不必自己去创建分布式计算基础平台。CORBA将建立在ORB之上的所有分布式应用看作分布计算对象,每个计算对象向外提供接口,任何别的对象都可以通过这个接口调用该对象提供的服务。CORBA同时提供一些公共服务设施,例如名字服务、事务服务等,借助于这些服务,CORBA可以提供位置透明性、移动透明性等分布透明性。
CORBA的一般结构
基于CORBA的网络管理系统通常按照Client/Server的结构进行构造。其中,服务方是指针对网络元素和数据库组成的被管对象进行的一些基本网络服务,例如配置管理、性能管理等.客户方则是面向用户的一些界面,或者提供给用户进一步开发的管理接口等。其中,从网络元素中获取的网络管理信息通常需要经过CORBA/SNMP网关或CORBA/CMIP网关进行转换,这一部分在有的网络管理系统中被抽象成CORBA的概念.从以上分析可以看出,运用CORBA技术完全能够实现标准的网络管理系统。不仅如此,由于CORBA是一种分布对象技术,基于CORBA的网络管理系统能够克服传统网络管理技术的不足,在网络管理的分布性、可靠性和易开发性方面达到一个新的高度。
2.3统一不同的网络管理系统面临的问题
统一的不同层面
网络管理的统一存在三个层次。
站点级的统计,这是最低级的统一,不同的网络管理系统在同一服务器上运行,相互独立,是不同的NMS。
GUI级的统一,指不同的网络管理系统操作界面风格统一,运用的术语相同,管理员面对的是一种操作语言,这是一种表面上的统一,具有友好的一次性学习的界面。
管理应用级的统一,这是最高级别的统一。在这个级别上,不但实现了GUI的统一,各种网络管理系统的管理应用程序按照统一标准设计,应用程序间可进行信息共享和关联操作。在这一层面上的统一实现了对异构网的综合分析与管理,进行关联操作,网管系统可具有推理判断能力。
统一的内容
网络管理系统统一可从三个方面依次去实现,即操作界面的统一、网管协议的统网管功能的统一。
界面的统一
网络管理系统是管理的工具,但归根到底是要人去操作管理,操作界面的优劣会对管理员产生很大影响。不同网管系统具有不同的操作界面,要求管理员分别学习,或增加管理员人数,形成人力浪费。现在没有统一的网管用户界面的统一标准。现有的网管系统几乎都实现了图形界面,但既有基于UNIX操作系统的又有基于WINDOWS操作系统,且界面的格式千差万别,给管理员的工作增加困难。
网管协议的统一
管理协议是NMS核心和管理之间进行信息交换遵循的标准,是网管系统统一的关键所在。目前流行的两种网管协议为SNMP(Simple Network Management Protocal)和CMIS/CMIP(Common Mangement Information Protocal).SNMP是由互联网活动委员会IAB提出的基于TCP/IP网管协议,CMIP是由国际标准化组织ISO开发的基于网络互联的网管协议。网管协议的统一就是指这两种协议的统一
网管功能的统一
在ISO标准中定义了配置管理、故障管理、性能管理、安全管理、计费管理等领域。现有的网管系统在网管规范尚未成熟就进行了开发,大都是实现了部分模块的部分功能。这些网管系统功能单一,相互独立,不能实现信息的共享。不能从宏观上实现管理,不利于网络的综合管理。
统一的策略
将多个网络管理系统统一在一起的方法有三种,一种是格式转换法,即各个子网管理系统通过程序进行格式的转换,以便相互识别和共享资源,是一种分散式管理方式。另一种使用分层网管平台,即建立更高级的管理系统,高级网管系统和低级网管系统间进行通信,分层管理,是一种分布式管理方式。第三种是标准化方法,是遵循标准的规范和协议,建立的综合网络管理系统。
使用分层的网管平台是当前较为流行的方法,如现在广泛研究和讨论的基于CORBA的TMN(Telecomunication Management Network)就是将TMN中的管理者通过ORB(Object Request Broker)连接起来,实现不同管理系统的统一。
格式转换法是目前使用较多的方法,如运营商要求网管系统对外提供统一的数据收集、告警信息。
协议标准化方法是统一网络管理系统的趋势和方向,电信管理网TMN就是在电信领域内的一种标准协议,使得不同的厂商、不同的软硬件网管产品的统一管理成为可能。标准化实现统一的网管功能,包括网管协议的标准化、管理信息集模型的标准化和高层管理应用程序功能的统一规划。
格式转换和应用网管平台的策略是基于现有网管系统的基础上统一网管系统,而标准法策略则不考虑现有网管系统而重新设计一套新的标准,或是对现有网络管理系统进行较大改进,考虑到我们当前的网络管理发展的现状,还是以格式转换和应用网管平台方式统一网络系统。
网络管理系统实现统一的方法
当前网络管理的统一主要涉及两个方面,一是网管协议的统一。另一种是分布系统的统一,即在CORBA环境下的统一。它是基于面向对象的网管平台和格式转换的策略。
2.4网络管理协议SNMP和CMIP的统一
SNMP和CMIP在它们的范围、复杂性、以及解决网络管理问题的方法方面有很大的不同。SNMP被设计的很简单,使它非常易于在TCP/IP系统中普及。目前这已经成为事实。可是这一特点也不太适合大型的、复杂的、多企业的网络。相对应的,CMIP被设计的比较通用和灵活。但这也同时提高了复杂性。SNMP和CMIP的统一是指分别支持这两种协议的网络管理系统信息互通,互相兼容。
SNMP和CMIP统一有两种思想,一种是两种协议共存,一种是两种协议的互作用。
协议共存可有三种方法实现,一是建立双协议栈,二是建立混合协议栈,三是通用应用程序接口(APIs)。双协议栈的方法要求被管设备同时支持两种体系结构,但这要求被管设备要有很高的处理能力和存储能力,开销大,不实用。混合协议栈就是建立一种底层协议栈同时支持这两种协议,这样运行在该协议栈上的管理系统可同时管理支持SNMP的设备和支持CMIP的设备,为了使CMIP能在内存有限的设备上运行,IBM和3COM联合为IEEE802.1b开发了一个特殊的逻辑链路控制上的CMIP(CMOL),因为它取消了很多高层协议开销,减少了对设备处理能力和内存的需求,并且不需要考虑底层的协议,但同时由于缺少网络层,失去了跨越互联网络的能力。多厂商管理平台定义了一套开放的应用程序接口(APIs),允许开发商开发管理软件而不用关心管理协议的一些细节描述、数据定义、和特殊的用户接口。如图2所示为HP OpenView利用XMP(X/Open Management Protocol) API来实现多协议管理平台的结构。其中Postmaster 用来管理在网络对象间的通信,如管理者和之间的请求和相应,而ORS(Object Registration Services)为每个产生一个目录,纪录它们的位置和采用的协议。
协议共存虽然能实现SNMP和CMIP的综合,但协议之间没有互作用能力不能很好的实现协作对网络的分布式管理。 对于SNMP内部不支持SNMP的设备可采用委托PROXY的方式解决。对于TMN/CMIP内部非Q3或Qx接口的设备可通过增加适配器进行转换。因此可通过增加中间的方式来解决SNMP和CMIP之间统一问题。由于CMIP的强大的对等能力和对复杂系统的模型能力即事件驱动机制,使得它更适于跨管理域实现对等实体间的互作用,以分层分布的方式管理网络,由于它对设备的性能要求较高,因此在这种层次结构中,可充当中央管理站和中间管理站,而SNMP可用于下层管理简单设备。如图3给出了协议互作用的管理模型
基于CORBA的网管系统的统一
利用面向对象的的技术对网络资源进行描述是一种有效的方式。在分层的网络管理平台上,利用面向对象的思想,将网络资源和网络管理资源进行抽象。管理平台为不同应用系统和高层管理者提供的是一组管理对象,对象由属性和方法组成。利用对象的封装性可以使管理应用和高层管理者面对在较高层次上进行抽象的管理对象,屏蔽了实现各种管理功能的细节。为应用提供了对网络资源进行描述和管理的高级抽象,易于实现各种管理功能。而对象类的继承性便于扩充和增加管理对象类,继承性支持系统开发过程中的可重用性。
在应用环境中,管理应用和高层管理节点与管理平台是基于C/S(顾客/服务器)模式的分布式结构,即管理应用节点和高层管理者节点与他们所以来的平台节点可能处于不同的地理位置。因此考虑基于何种结构,采用什么样的协议实现分布对象的访问。
多厂商设备的环境的网络管理一直是网络管理研究和实现的难点。鉴于CORBA的分布式面向对象的特点,在网管系统的开发中加以引用。
本文采用OMG的CORBA(Common Object Request Broker Architecture)做为实现分布管理对象访问的设施。CORBA是很有应用前景的系统集成标准,它提供了面向对象应用的互操作标准。CORBA位分布对象环境描述了面向对象的设施-----对象请求,他提供了分布对象进行请求和应答的机制。这样CORBA提供了在异构分布环境下不同机器的不同应用的互操作能力和将多个对象系统无缝互连接的能力。CORBA机制是独立于任何程序设计语言的,对象的接口描述在IDL(Interface Description Language)中。CORBA支持两种标准协议-----GIOP和IIOP。GIOP是信息表示协议,描述了所传输信息的格式,而IIOP则描述了CORBA所支持的传输协议,即GIOP信息如何进行交换
管理不同厂商应用和高层管理者如何使用CORBA机制访问相应的管理平台所提供的管理对象。使得处于不同节点的不同厂商的管理应用和高层管理者能无缝使用分布对象提供的功能。在这两种情况下原理是相同的,只是功能不同,在第一种情况下,不同厂商的管理应用脚本程序通过CORBA机制访问管理平台上的应用管理对象,以实现同一层次上的管理功能。在第二种情况下,高层管理平台上的脚本进程通过CORBA机制访问底层管理者为高层提供的管理对象以实现高层对底层的网络管理功能。
CORBA机制除支持客户端对服务器端所提供的分布对象的访问外,还提供分布对象服务功能------COSS,它包括分布对象访问的安全机制、事件机制等。在网络管理应用中,除主动询问网络管理信息以管理、监视网络的运行状态外,还有一种应用是被管理对象在发生故障和事件时,向管理者提出事件处理请求。CORBA中的事件服务机制恰好可以满足这一需求。
2.5网络管理分类及功能
事实上,网络管理技术是伴随着计算机、网络和通信技术的发展而发展的,二者相辅相成。从网络管理范畴来分类,可分为对网“路”的管理。即针对交换机、路由器等主干网络进行管理;对接入设备的管理,即对内部PC、服务器、交换机等进行管理;对行为的管理。即针对用户的使用进行管理;对资产的管理,即统计IT软硬件的信息等。根据网管软件的发展历史,可以将网管软件划分为三代:
第一代网管软件就是最常用的命令行方式,并结合一些简单的网络监测工具,它不仅要求使用者精通网络的原理及概念,还要求使用者了解不同厂商的不同网络设备的配置方法。
第二代网管软件有着良好的图形化界面。用户无须过多了解设备的配置方法,就能图形化地对多台设备同时进行配置和监控。大大提高了工作效率,但仍然存在由于人为因素造成的设备功能使用不全面或不正确的问题数增大,容易引发误操作。
第三代网管软件相对来说比较智能,是真正将网络和管理进行有机结合的软件系统,具有“自动配置”和“自动调整”功能。对网管人员来说,只要把用户情况、设备情况以及用户与网络资源之间的分配关系输入网管系统,系统就能自动地建立图形化的人员与网络的配置关系,并自动鉴别用户身份,分配用户所需的资源(如电子邮件、Web、文档服务等)。
根据国际标准化组织定义网络管理有五大功能:故障管理、配置管理、性能管理、安全管理、计费管理。对网络管理软件产品功能的不同,又可细分为五类,即网络故障管理软件,网络配置管理软件,网络性能管理软件,网络服务/安全管理软件,网络计费管理软件。
下面我们来简单介绍一下大家熟悉的网络故障管理、网络配置管理、网络性能管理、网络计费管理和网络安全管理五个方面网络管理功能:
ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能,并被广泛接受。这五大功能是:
(1)故障管理(fault management)
故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:
.维护并检查错误日志
.接受错误检测报告并做出响应
.跟踪、辨认错误
.执行诊断测试
.纠正错误
对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理器,即所谓的"警报"。 一般网络管理器应根据有关信息对警报进行处理,排除故障。当故障比较复杂时,网络管理 器应能执行一些诊断测试来辨别故障原因。
(2)计费管理(accounting management)
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。
(3)配置管理(configuration management)
配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了 实现某个特定功能或使网络性能达到最优。
这包括:
.设置开放系统中有关路由操作的参数
.被管对象和被管对象组名字的管理
.初始化或关闭被管对象
.根据要求收集系统当前状态的有关信息
.获取系统重要变化的信息
.更改系统的配置
(4)性能管理(performance management)
性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:
.收集统计信息
.维护并检查系统状态日志
.确定自然和人工状况下系统的性能
.改变系统操作模式以进行系统性能管理的操作
(5)安全管理(security management)
安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:
网络数据的私有性(保护网络数据不被侵 入者非法获取),
授权(authentication)(防止侵入者在网络上发送错误信息),
访问控制(控制访问控制(控制对网络资源的访问)。
相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:
.创建、删除、控制安全服务和机制
.与安全相关信息的分布
.与安全相关事件的报告
网络管理中的关键
网络迅速发展,导致网络结构更为复杂;网络应用的日新月异,让网络管理员每天都要面对新的问题。很多企事业单位,在遇到网络问题不知道应该如何去解决,看流量,拔网线等手段,排查周期长,也很难真正找出问题。
网络发展到一定阶段,必然要考虑到网络性能、网络故障与网络安全性问题。只有通过运用网络分析技术对网络流通数据的清晰认识,才能为故障的排查,性能的提升,以及网络安全的解决提供可靠的数据依据。
信息应用与治理
网络最大的价值,是在于信息化的应用。当出现故障不能及时解决,既使有再好的电子商务、电子政务,也只是一个摆设。无论是安全、性能还是故障性问题,不能快速解决,给企业带来的是难以衡量的损失。
治理并不是简单的网络管理,它需要管理者对网络中所有设备完全掌握,包括每个网卡地址,以及所处的位置。通过对网络传输中的数据进行全面监控分析,才能从网络底层数据获取各种网络应用行为造成的网络问题,并快速的定位到网卡的位置。从而在安全策略上更好的防范,对故障和性能更合理的管理。
一劳永逸的误区
从管理角度的考虑,往往期望络故障和安全性问题可以自动解决。但历经多年,没有任何产品能做到。虽然许多企业部署了非常好的安全防护产品,但仍然会受到网络攻击和病毒危害。根本原因在于,网络应用本身就在不断的发展,新的病毒以及病毒变种,都很难被基于特征库或病毒库的产品所识别。要解决这些问题,则要求网络管理员随时都能查看到网络中真实的数据,最快的发现引起问题的原因。
网络拓扑图VS矩阵图
网络拓扑图要求这些交换设备都必须支持SNMP(简单网络管理协议),它能直观能看到网络结构,但看不到终端主机;它能看到设备断网情况和粗略流量,但对网络问题的解决能力并不实用。
从技术趋势来看,矩阵图(Matrix)将更适合网络管理的需要。矩阵图也被称为主机连接图,可以监控每台主机(包括交换设备)之间的通讯连接,极大的提高了监控范围,监控范围深入到每台主机之间的各种应用,包括通讯、资源占用、活跃程度、服务应用等,管理者可以监控到每台主机的一举一动,各种网络问题都会在矩阵中表现出异常。如:BT下载、DDOS攻击、ARP攻击、木马扫描等。
"诊断专家"快速提高解决能力
网络分析不仅提供网络依据,更重要的是帮助管理者提高问题的解决能力。"诊断专家"则是一个从问题原因到问题结果的完整解释。好的网络分析产品,可以自动提取问题的相关数据,并告诉管理者网络中存在有哪些问题,可能产生的原因,有什么办法可以解决,ARP攻击的快速定位则是一个很好的证明。
网络数据的回放能力
好的网络分析产品,都具有网络数据的回放能力,将网络数据进行7x24小时记录,可以按每天或每小时来记录。如果要分析昨天某个时段出现的网络故障,只需要将当时保存的数据包进行播放,同时通过网络分析来追溯故障是如何发生的,使网络管理对历史问题追查能力得到明显提高。
2.6网络管理体系结构及技术
1 WBM 技术介绍
随着应用Intranet的企业的增多,同时Internet技术逐渐向Intranet的迁移,一些主要的网络厂商正试图以一种新的形式去应用M I S 。因此就促使了W e b ( W e b - B a s e dManagement)网管技术的产生[2]。它作为一种全新的网络管理模式—基于Web的网络管理模式,从出现伊始就表现出强大的生命力,以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐,被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。
WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此,他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面,浏览器操作和W e b页面对W W W用户来讲是非常熟悉的,所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说,WBM是网络管理方案的一次革命。
2 基于WBM 技术的网管系统设计
系统的设计目标
在本系统设计阶段,就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标,采用先进的WBM技术和高效的算法,力求在性能上可以达到国外同类产品的水平。
本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行有效资源管理,使用户可以从任何地方通过WEB浏览器对网络和设备,以及相关系统和服务实施应变式管理和控制,从而保证网络上的资源处于最佳运行状态,并保持网络的可用性和可靠性。
系统的体系结构
在系统设计的时候,以国外同类的先进产品作为参照物,同时考虑到技术发展的趋势,在当前的技术条件下进行设计。我们采用三层结构的设计,融合了先进的WBM技术,使系统能够提供给管理员灵活简便的管理途径。
三层结构的特点[2]:1)完成管理任务的软件作为中间层以后台进程方式实现,实施网络设备的轮询和故障信息的收集;2)管理中间件驻留在网络设备和浏览器之间,用户仅需通过管理中间层的主页存取被管设备;3)管理中间件中继转发管理信息并进行S N M P 和H T T P之间的协议转换三层结构无需对设备作任何改变。
网络拓扑发现算法的设计
为了实施对网络的管理,网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现在用户面前,即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发现算法。基于SNMP的拓扑算法在一定程度上是非常有效的,拓扑的速度也非常快。但它存在一个缺陷[3]。那就是,在一个特定的域中,所有的子网的信息都依赖于设备具有SNMP的特性,如果系统不支持SNMP,则这种方法就无能为力了。还有对网络管理的不重视,或者考虑到安全方面的原因,人们往往把网络设备的SNMP功能关闭,这样就难于取得设备的M I B值,就出现了拓扑的不完整性,严重影响了网络管理系统的功能。针对这一的问题,下面讨论本系统对上述算法的改进—基于ICMP协议的拓扑发现。
PING和路由建立
PING的主要操作是发送报文,并简单地等待回答。PING之所以如此命名,是因为它是一个简单的回显协议,使用ICMP响应请求与响应应答报文。PING主要由系统程序员用于诊断和调试实现PING的过程主要是:首先向目的机器发送一个响应请求的ICMP报文,然后等待目的机器的应答,直到超时。如收到应答报文,则报告目的机器运行正常,程序退出。
路由建立的功能就是利用I P 头中的TTL域。开始时信源设置IP头的TTL值为0,发送报文给信宿,第一个网关收到此报文后,发现TTL值为0,它丢弃此报文,并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它进行解析,这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿,第一个网关把它的TTL值减为0后转发给第二个网关,第二个网关发现报文TTL值为0,丢弃此报文并向信源发送超时ICMP报文。这样就得到了路由中和第二个网关地址。如此循环下去,直到报文正确到达信宿,这样就得到了通往信宿的路由。
网络拓扑的发现算法具体实现的步骤:
(1)于给定的IP区间,利用PING依次检测每个IP地址,将检测到的IP地址记录到IP地址表中。
(2)对第一步中查到的每个IP地址进行traceroute操作,记录到这些IP地址的路由。并把每条路由中的网关地址也加到IP表中。
(3)对IP地址表中的每个IP地址,通过发送掩码请求报文与接收掩码应答报文,找到这些IP地址的子网掩码。
(4)根据子网掩码,确定对应每个IP地址的子网地址,并确定各个子网的网络类型。把查到的各个子网加入地址表中。
(5)试图得到与IP地址表中每个IP地址对应的域名(Domain Name),如具有相同域名,则说明同一个网络设备具有多个IP地址,即具有多个网络接口。
(6)根据第二步中的路由与第四步中得到的子网,产生连接情况表。
第三章 网络维护
3.1概述
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
3.2分析模型和方法
七层的网络结构分析模型方法
从网络的七层结构的定义和功能上逐一进行分析和排查,这是传统的而且最基础的分析和测试方法。这里有自下而上和自上而下两种思路。自下而上是:从物理层的链路开始检测直到应用。自上而下是:从应用协议中捕捉数据包,分析数据包统计和流量统计信息,以获得有价值的资料。
网络连接结构的分析方法
从网络的连接构成来看,大致可以分成客户端、网络链路、服务器端三个模块。
1、客户端具备网络的七层结构,也会出现从硬件到软件、从驱动到应用程序、从设置错误到病毒等的故障问题。所以在分析和测试客户端的过程中要有大量的背景知识,有时PC的发烧经验也会有所帮助。也可以在实际测试过程中询问客户端的用户,分析他们反映的问题是个性的还是共性的,这将有助于自己对客户端的进一步检测作出决定。
2、来自网络链路的问题通常需要网管、现场测试仪,甚至需要用协议分析仪来帮助确定问题的性质和原因。对于这方面的问题分析需要有坚实的网络知识和实践经验,有时实践经验会决定排除故障的时间。
3、在分析服务器端的情况时更需要有网络应用方面的丰富知识,要了解服务器的硬件性能及配置情况、系统性能及配置情况、网络应用及对服务器的影响情况。
工具型分析方法
工具型分析方法有强大的各种测试工具和软件,它们的自动分析能快速地给出网络的各种参数甚至是故障的分析结果,这对解决常见网络故障非常有效。
综合及经验型分析方法靠时间、错误和成功经验的积累 在大多数的阿络维护工作人员的工作中是采用这个方法的,再依靠网管和测试工具迅速定位网络的故障。
3.3计算机无法上网故障的排除
1、对于某网计算机上不了网的故障,首先要分别确定此计算机的网卡安装是否正确,是否存在硬件故障,网络配置是否正确在实际工作中我们一般采用Ping本机的回送地址(127.0.0.1)来判断网卡硬件安装和TCP/IP协议的正确性。
如果能Ping通,即说明这部分没有问题。如果出现超时情况,则要检查计算机的网卡是否与机器上的其它设备存在中断冲突的问题。通过查看系统属性中的设备管理器,查看是否在网络适配器的设备前面有黄色惊叹号或红色叉号,如有则说明硬件的驱动程序没有安装成功,可删除后重新安装。另外,要确保TCP/IP协议安装的正确性,并且要绑定在你所安装的网卡上。如果重新安装后还是Ping不通回送地址,最好换上一块正常的网卡试一试。由于在局域网中划分了VLAN,所以连在不同VLAN中的计算机都有各自不同的IP地址、子网掩码和网关。要在机器的网络属性中设定的IP地址等数据与连接的VLAN相匹配,否则将出现网络不通的情况。
当确保了计算机的硬件设备和网络配置正确后,接着就要查看计算机与交换机之间的双绞线,交换机的RJ45端口或交换机的配置是否有问题。此时我们要Ping上网计算机所在VLAN的网关,不通的话就要分段检查上面所说的各项。
最简单的方法是检查双绞线,用线缆测试仪检测双绞线是否断开。双绞线没有问题,就要查看交换机的端口是否坏了。交换机每一个端口都有状态指示灯以询问一下其它网管人员就可以排除了,如果不放心可以对照查看。交换机的参数配置表也是网络管理员必备的资料之一,并且随着网络用户的变化要不断地修改,检测到此,如果端口指示灯不亮,就只能是端口损坏了,可以把跳线接到正常使用的端口上排除其它原因,确定是端口的问题。
2、一批联网计算机上不了网对于同时有一批计算机上不了网的故障,首先要找到这些计算机的共性,如是不是属于同一VLAN或接在同一交换机上的,若这些计算机属于同一VLAN,且属于计算机分别连接于不同的楼层交换机,那么检查一下路由器上是否有acl限制,在路由器上对该VLAN的配置是否正确,路由协议(如我局的OSPF协议)是否配置正确。若这些计算机属于同一交换机,则应到机房检查该交换机是否有电源松落情况,或该交换机CPU负载率是否很高,与上一级网络设备的链路是否正常。
通常某交换机连接的所有电脑都不能正常与网内其它电脑通讯,这是典型的交换机死机现象,可以通过重新启动交换机的方法解决。如果重新启动后故障依旧,则检查一下那台交换机连接的所有电脑,看逐个断开连接的每台电脑的情况,慢慢定位到某个故障电脑,会发现多半是某台电脑上的网卡故障导致的。
故障通常是交换机的某个端口变得非常缓慢,最后导致整台交换机或整个堆叠慢下来。通过控制台检查交换机的状态,发现交换机的缓冲池增长得非常快,达到了90%或更多。原因及解决方法为:首先应该使用其它电脑更换这个端口上原来的连接,看是否由这个端口连接的那台电脑的网络故障导致的,也可以重新设置出错的端口并重新启动交换机,个别时候,可能是这个端口损坏了。
3.4计算机网络故障分析
计算机网络故障主要分为硬件故障和软件故障,对计算机网络故障进行分析也主要可以从硬件与软件两个方面着手:
(一)计算机网络故障分析与诊断的基本方法
计算机网络故障分析与诊断的原则可归纳为:由服务器到工作站(就是出现工作站不能入网的情况时,先确定服务器是否有问题);由外部到内部(即当有工作站出现网络故障时,先检查其外部直接可看到的设备情况,如与之相连的交换机或集线器有没有故障,电缆有无缠绕导致内部线缆断裂或接触不良);由软件到硬件(就是网络出故障后先从操作系统、网络协议、网卡驱动程序及配置上找原因。重新安装网卡驱动或网络协议、操作系统,看看故障是否消失。在确定排除软件问题后再检查硬件是否损坏。
(二)网络硬件故障的分析与诊断方法
网络中的硬件故障比较复杂,现就日常工作中常见的网络连线问题和网卡问题来进行探讨。如,网线至交换机或集线器之间的故障分析与诊断方法,故障诊断:通过看网卡指示灯集线器指示灯。首先,检查网线是否插好;其次,若有数台工作站同时出现网络故障,则有可能是连接这些计算机的交换机或集线器出故障。如,网卡故障,故障分析:这是最常发生的问题。如网卡设置错误,网卡在安装过程中是否正确地设置中断号,I/0端口地址,驱动程序是否出错,网卡是否出故障等。
(三)网络配置故障的分析与诊断
故障分析:网络配置故障就是由网络中的各项配置不当而产生的故障。它是一种较复杂的现象,不但要检查服务器的各项配置、工作站的各项配置,还要根据出现的错误信息和现象查出原因。如,域名、计算机名和地址故障的分析与诊断。故障分析:在实际工作中经常会出现在“网上邻居”中看不到其它计算机或只能看到部分计算机,无法找到指定的计算机等现象。故障诊断:检查网络中每个域、每台计算机的名称是否唯一;检查网络中的计算机名是否和域名或工作组名重复,使用TCP/IP时,检查分配给网络适配器的IP地址有无重复。在如协议故障的分析与诊断,故障分析:确认您所使用的协议与网络上其它计算机使用的协议相同。否则,将看不到网络上其它计算机。在配置和使用TCP/IP协议时的主要问题是IP地址、子网掩码和路由问题。IP地址的分配复杂,分配不好,容易造成网络混乱。因而,非网管人员不要随意修改IP地址。
3.5故障定位及排除的常用方法
1.告警性能分析法
通过网管获取告警和性能信息进行故障定位。我们单位使用了Siteview网络网管,可以对全单位的网络设备进行管理,平时多观察各设备CPU负载率和各线路的流量。当有人反映不能连接至网络或网速很慢时,可通过网管观察计算机与交换机的连接情况,是否有时断时通的现象,交换机CPU负载率是否很高,线路流量是否很大。通过观察设备端口状态,分析和观察交换机哪个端口所接的计算机发包量不太正常。
2.查看网络设备日志法
经常看一下网络设备的日志,分析设备状况。我曾经通过showlonging命令观察到4006交换机下连的2950交换机经常每隔7小时down掉,然后又up,因时间间隔较长,单位人员未感觉网络中断,在此期间我们检查并确定了光缆、光收发器、网线、交换机配置、交换机端口均正常,后来的间隔时间由原来的7小时减为7分钟。由此我们立即判定2950交换机本身有故障,马上将已准备好的备用交换机换上,从而减少了处理故障的时间,并在最短时间内恢复网络。
3.替换法
替换法就是使用一个工作正常的物体去替换一个工作不正常的物体,从而达到定位故障、排除故障的目的。这里的物件可以是一段线缆、一个设备和一块模块。
4.配置数据分析法
查询、分析当前设备的配置数据,通过分析以上的配置数据是否正常来定位故障。若配置的数据有错误,需进行重新配置。
3.6计算机网络维护
计算机网络故障是与网络畅通相对应的一概念,计算机网络故障主要是指计算机无法实现联网或者无法实现全部联网。引起计算机网络故障的因素多种多样但总的来说可以分为物理故障与逻辑故障,或硬件故障与软件故障。物理故障或硬件故障可以包括电源线插头没有进行正常的连接,联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等故障也会不同程度影响到网络用户正常使用网络。软件故障是当前最常见的计算机网络故障之一,常见的软件故障有网络协议问题、网络设备的配置和设置等问题造成的。
网络故障目前已经成为影响计算机网络使用稳定性的重要因素之一,加强对计算机网络故障的分析和网络维护已经成为网络用户经常性的工作之一。及时进行网络故障分析和网络维护也已经成为保障网络稳定性的重要方式方法。
计算机网络维护是减少计算机网络故障,维护计算机网络稳定性的重要的方式方法。计算机网络维护一般来说包括以下方面:
1.对硬件的维护。首先检测联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等是否能够正常运行,对临近损坏的计算机硬件要及时进行更换。同时要查看网卡是否进行了正确的安装与配置。具体来说要确定联网计算机硬件能够达到联网的基本要求,计算机配置的硬件不会与上网软件发生冲突而导致不能正常联网。
2.对软件的维护。软件维护是计算机网络维护的主要方面,具体来说主要包括,
(1)计算机网络设置的检查。具体来说检查服务器是否正常,访问是否正常,以及检查网络服务、协议是否正常。
(2)对集线器、交换器和路由器等网络设备的检查。具体来说,包括检测网络设备的运行状态,检测网络设备的系统配置。
(3)对网络安全性的检测。对网络安全性的检测主要包括,对服务器上安装的防病毒软件进行定期升级和维护,并对系统进行定期的查杀毒处理;对服务器上安装的防火墙做不定期的的系统版本升级,检测是否有非法用户入网入侵行为;对联网计算机上的数据库做安全加密处理并对加密方式和手段进行定期更新,以保障数据的安全性。
(4)网络通畅性检测。在进行网络维护的过程,经常会遇到网络通讯不畅的问题,其具体表现为网络中的某一结点pingq其他主机,显示一个很小的数据包,需要几百甚至几千毫秒,传输文件非常慢,遇到这种情况应首先看集线器或交换机的状态指示灯,并根据情况进行判断。
计算机网络是计算机技术的一重要应用领域,计算机网络的便捷、高效、低廉为计算机网络应用的增加提供了保障,但计算机网络故障一旦发生就会给网络用户带来使用上巨大不便,甚至造成巨大的损失。因而必须进一步加强计算机网络故障分析与维护研究,提高网络的稳定性和安全性。
结束语 本文提出了现代网络中的一些安全策略,重点提出了管理技术和维护技术。本文介绍了几种常用的防范技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,本文介绍了网络管理几个方面的技术和网络维护的几种常用技术。
参考文献
晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究
周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社
李佳石, 冰心著. 网络管理系统中的自动拓扑算法[J].华中科技大学学报胡谷雨. 现代通信网和计算机管理.
岑贤道,安长青. 网络管理协议及应用开发.
附录 A