第一篇:计算机的大来论文(定稿)
察或者演示、测试、答辩,对项目成果做出科学的评价。函审鉴定是由同行专家通过书面审查的形式对科研项目成果作出评价,专家主要通过审查有关技术资料,观看相关项目成果演示等等。重大科研项目完成之后,并鉴定完成之后,组织成果申报以及对人员的奖励。而要实现科研项目成果,必须设计申报书格式包括,科研项目的基本情况,项目简介,项目详细内容,项目曾获科技奖励情况,申请、获得专利情况表、主要完成人、单位等等信息。
人员管理模块,主要是建立科研管理人员、科研人员信息库,设置管理员信息以及专家人员信息库。基于角色的不同设置人员的不同访问权限等等。根据以上科研项目科研管理系统的需求分析,以及所建立的功能模块分析,过程简述如下: 首先由科研人员根据需要填写统一格式的文档,上报上级科研管理部门,由科研管理部门人员对申报库中所有申报项目进行形式审查,审查应当包括项目书填写格式,申报内容是否重复等等信息,未通过者,通知申报人员,重新进行申报,形式审查通过后,入项目申报数据库;完成项目申报之后,管理人员要对项目申报库中每一个具体项目,根据项目的研究方向,从数据库中查询相关方向专家并组成专门的专家评审团对项目进行评审,专家组根据立项依据、技术路线、可行性论证等等方面综合评定审议,决定是否立项。对于已经立项的项目进行入库操作,入在研项目数据库;对在研项目库中的项目进行跟踪管理,应当包括经费和时间进度管理,项目经费管理是项目跟踪管理的核心关键内容,也是当前项目管理中的比较薄弱环节,项目经费管理的好坏,直接影响到此项目的是否能顺利实施、完成。在项目完成之后,再次组织相关方向专家进行项目验收,对完成的项目应当预先设定项目验收的标准和依据,组织相关方向专家进行项目验收。
项目查询模块,通过此模块功能,可以查询到项目的相关情况,包括项目名 称,研究方向,研究内容,项目负责人等等。人员管理模块,主要是建立科研管理人员、科研人员信息库,设置管理员信息以及专家人员信息库。基于角色的不同设置人员的不同访问权限等等。根据以上科研项目科研管理系统的需求分析,以及所建立的功能模块分析,过程简述如下: 首先由科研人员根据需要填写统一格式的文档,上报上级科研管理部门,由科研管理部门人员对申报库中所
第二篇:2016计算机论文
2016计算机论文范文
第1篇:计算机网络服务完善方式的研究
QoS工作原理
QoS就是我们所说的网络服务质量,它主要的衡量标准包括传输过程中的带宽、数据包的时延以及丢包率等。一般来说,Qos工作在传输层,它所提供的保障服务是“端到端”的,具体的工作中,它主要利用一下两种机制对服务质量进行提升。
(1)在QoS能够对报文种类进行识别的前提下,通过对不同的报文设置优先级来提升服务质量。在这个过程中,如果报文的优先级比较高,那么就可以优先获得服务,这对于保证传输延时最小化非常有利。
(2)利用Qos给应用程序预留其所需的带宽。这种机制的主要原理是在应用程序进行报文的发放之前,先进行信令请求的发送,通知网络需要的带宽、延时参数以及流量等。在传输层进行这些数据接收的时候,就会给应用程序保留其需要的各种宽带资源,并发送确认信息给程序。
通过这种方式,程序进行报文发送的时候就可对流量进行有效地控制,进而获得高质量的网络服务。这相当于开辟了专用的通道,至于没有进行宽度申请的服务,这个时候则对其余的流量进行共享。假如传输层满足不了所申请的带宽等参数,则会告知请求失败。
这种机制相对于第一种机制而言,最大的一个优势是:即便在网络比较拥塞的时候出现了丢包的问题,但依然可以保证网络应用通畅。不过,这种机制的一个缺点在于由于其分配的带宽属于静态的形式,这就导致了很难随着网络的变化进行自动的调整。另外,由于总带宽限额的限制,最终只能够有较少一部分应用能够享受到这种待遇。此外,假如通信方不处于一个国家,那么我们就需要在互联网上进行一定带宽的保留,而随着这种需求的增加,会使得预留的带宽占据整个互联网,进而使这种机制很难发挥出预期的效用,基于此,第二种机制是不适合广泛应用的。以下为Qos实现的流程:
网络服务质量优化模型
在当前的网络服务中,新的业务应用越来越多,这些业务也对网络提出了新的要求,因此,保证一个正常、有效地网络服务,并对网络服务的质量进行不断的优化有着非常积极的意义。在我们的工作中,优化模型主要可以分为以下几个部分。
首先,对于资源的分配,这主要由分配列队空间、分配链路带宽等工作组成。其次,对于任务的调度,一般来说这些任务可以分为多对列单服务器调度、单队列多服务器调度以及多队列多服务器调度。第三,对系统参数的配置,其中,系统参数主要有传输节点功耗以及拥塞窗口的配置等。第四,对于网络资源的部署,这里主要需要解决的问题有网络连通过程中互联设备的问题,最小化成本服务器的覆盖以及服务器集群中资源的利用率问题。
经过以上模型的设定,我们基本上完成了优化过程需要算法的界定,可以引导我们寻找出最佳的优化方案。此外,在我们的工作中,还有一个比较重要的问题是如何把设计好的算法应用到我们的实际工作之中,这主要是因为网络运行的性能适合算法的部署方式有着直接关系的,因此,这类工作中不仅会涉及到优化理论本身,也将关系着工程的技术方面。举例来说,一般我们会比较倾向于分布并行的部署算法,这能够对网络节能的负载进行有效地降低。总体而言,网络再造属于循环工程,它具有“评价、优化、再评价、再优化”这样的一个循环,因此,我们不仅要对网络的服务质量进行不断地优化,还要以网络性能以及算法等作为优化的依据。
QoS实现的形式
一般来说,在QoS实现的过程中,最为常见的策略有四种:(1)服务类型。(2)综合服务。(3)区分服务。(4)业务流量。
结语
在网络应用越来越多的今天,对计算机网络服务质量进行优化有着重要的意义。Qos只是有效地手段之一,在我们的工作中,还要加强这方面的学习和探索,使我们的技术水平达到一个新的高度。
第2篇:计算机科技论文范文
21世纪是网络的世界,我们每个人都在不知不觉中融入这个网络世界。而路由器在网络中发挥着越来越重要的作用,其主要负责在网络层间按传输数据分组的,并确定网络上数据传送的最佳路径。世界各地的个人和企业单位接入到Internet的自治系统有大有小,小型自治系统因其网络结构简单往往采用静态路由技术即可完成自治系统内的路由寻址,然而大、中型自治系统的网络拓扑结构往往更加复杂,采用依靠人工分配的静态路由技术存在很大的困难,因此根据合理的路由寻址算法设计的动态路由技术随之诞生,而OSpF动态路由技术因其功能强大、可拓展性强和网络性能优越在动态路由技术中格外优秀,被广泛应用于各大、中型自治系统中。
摘要:随着Internet技术在全球范围的飞速发展,世界各地的个人和企业单位都纷纷接入到这个世界上最大的计算机网络中。OSpF动态路由技术因其功能强大、可拓展性强和网络性能优越在动态路由技术中格外优秀,被广泛应用于各大、中型自治系统中。
关键词:动态路由,OSpF,自治系统配置命令,链路
1OSpF的基本概念
开放最短路径优先协议(OpenShortestpathFirst)简称OSpF,它是路由选择协议中非常重要的一种协议,这是一种典型的链路状态(Link-state)路由协议,是由Internet工程任务组开发的内部网关(IGp)路由协议,其主要用在一个路由域内。路由域是指一个网络自治系统(AutonomousSystem),所谓自治系统是指一组路由器都使用同一种路由协议交换路由信息,网络中每个路由器都有一个唯一的标识,用于在链路状态数据库(LSDB)中标识自己。LSDB描述的是整个网络的拓扑结构,包括网络内所有的路由器,作为一种链路状态的路由协议,OSpF将链路状态广播数据包LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,OSpF协议使用最短路径优先算法,利用LSA通告得来的信息计算每一个目标网络的最短路径,以自身为根生成一个树,包含了到达每个目的网络的完整路径。
OSpF的路由标示是一个32位的数字,它在自治系统中被用来唯一识别路由器。默认地使用最高回送地址,若回送地址没有被配置,则使用物理接口上最高的Ip地址作为路由标示。OSpF在相邻路由器间建立邻接关系,使它们能利用HELLO包维护关系并交换信息。OSpF使用区域来为自治系统分段,区域0是一个主干区域,每一个OSpF网络必须具有,其他的区域通过区域0互连到一起。
2OSpF的特点
OSpF路由协议主要用在大型自治系统内,这是一种链路状态的路由协议,而距离矢量路由协议RIp(RoutingInformationprotocol)则主要用在小型自治系统内,两个路由协议都具有重要的作用,RIp作为静态路由协议,具有适于小型网络,管理员可手工配置,精确控制路由选择,改进网络性能等优点,但它特别不适合于大型网络自治系统。而OSpF路由协议与RIp相比,具有如下优点:
1、RIp路由协议中用跳(HOp)来表示到达目的网络所要经过的路由器个数,RIp跳数最高为15,超过15跳的路由被认为不可达,而OSpF不受路由跳数的限制,它只受限于带宽和网络延迟,因而OSpF更适合应用于大型网络中。
2、RIp在规划网络时是不支持可变长子网掩码(VLSM),这将导致Ip地址分配的低效率,而OSpF路由协议支持VLSM,现在IpV4资源短缺,我们在划分大型网络的子网时,往往采用VLSM,这样划分子网效率更高,更节约Ip资源,所以OSpF更适合大型网络。
3、RIp必须每30秒就要周期性的广播整个路由表,才能使网络运行正常,如果RIp用在大型网络中,它会产生很多广播信息,而这些广播会占用较多的网络带宽资源,较频繁的更新有可能导致网络拥塞,其结果就是RIp用在大型网络中收敛速度较慢,甚至无法收敛。而OSpF使用组播发送链路状态更新,在链路状态变化时才进行更新,这样提高了带宽的利用率,收敛速度也大幅提高,能够在最短的时间内将路由变化传递到整个自治系统。
4、RIp没有网络延迟和链路开销的概念,拥有较少跳数的路由总是被选为最佳路由,即使较长的路径有低的延迟和开销,并且RIp没有区域的概念,不能在任意比特位进行路由汇总。而在OSpF路由协议中,往往把一个路由域划分为很多个区域area,每一个区域都通过OSpF边界路由器相连,区域间可以通过路由总结(Summary)来减少路由信息,从而减小路由表,提高路由器的运算速度。
OSpF路由协议拥有很多优点,特别适合用于大型网络,提高网络的运行速度,但它也有缺点:①使用OSpF路由协议,需要网络管理员事前先进行区域规划和路由器各端口Ip属性的设置,所以配置相对于静态路由RIp来说显得较为复杂,对网络管理员的网络知识水平要求较高。②对路由器的CpU及内存要求较高。
3OSpF配置命令及配置实例
在思科路由器中配置OSpF路由协议主要使用以下命令:①routeospf进程号,其中进程号要求范围为1~65535,进程号只在路由器内部起作用,不同路由器的进程号可以不同。②networkaddress子网掩码的反码area区域号,区域号要求在0~4294967295内的十进制数,也可以是带有Ip地址格式的X。X。X。X,当网络区域号为0时或0、0、0、0时为主干域,不同网络区域的路由器通过主干域学习路由信息。③showiproute,查看路由信息表,④showiprouteospf查看OSpF协议路由信息。
某学校采用四台思科3550路由器把整个学校划分为3个区域,四台路由器通过使用OSpF协议实现互通。路由器R1的S0端口Ip为192、200、10、5/30,E0端口Ip为192、1、0、129/26;路由器R2的S0端口Ip为192、200、10、6/30,E0端口Ip为192、1、0、65/26;路由器R3的E0端口Ip为192、1、0、130/26;路由器R4的E0端口Ip为192、1、0、66/
26、R1的S0端口和R2的S0端口划入区域0;R1的E0端口和R3的E0端口划入区域1;R2的E0端口和R4的E0端口划入区域
2、各路由器配置如下:在上述配置中首先对每台路由器接口进行配置,接口配置完后可以使用routerospf100命令启动一个OSpF路由选择协议进程,期中“100”为进程号,每台路由器进程号可不同,最后使用network将相应的网段加入OSpF路由进程中,则此接口所对应的网段就加入到OSpF进程中。
综上所述,OSpF作为一种链路状态的路由协议,具有收敛快,支持变长网络掩码,支持CIDR,配置命令简单易学等。所以在大型或复杂网络中应用OSpF协议可以极大的提高网络的运行效率。
第3篇:计算机网络教育和教师的教学对策
教师可以把计算机网络信息化的教学法融入教学中,并且能够通过四个方面得到体验:
1、信息的调整能力。教师需要在进行教学之前,运用信息器材的收集与教学相关的资料,有效地管理教学相关的课程文件,通过信息的积累,能够进行各个教学仪器的操作,在教学课程结束之后,可以通过信息仪器来记录学生的学习成果,还可以跟别人进行教学信息资源的交换和沟通。
2、结合教学过程。教师在进行课堂教学的时候,可以运用信息设备来讲解知识,可以运用远距离的教学方式,引导学生学习,从而提高教学效果。
3、体现教学的资源。教师把自己收集好的教学资源或者是学生的学习成果进行整理,通过网络和信息器材,体现出丰富的教学资源。
4、指导学生进行学习。教师可以引导学生正确地操作信息设备,来收集需要的资料和数据,使他们能够更好地完成教师布置的作业,并且能够展示自己的作品,从而深化所学的知识。
计算机网络教学中对教师的要求
计算机网络的技术和教学要求中专教师能够采用现代化的信息技术对课堂教学的内容、方式等作出合理的、科学的规划和设计,还需要中专教师不但要能够完成教学任务,并且确保在课堂教学中能够切实地解决问题。怎样使用计算机的网络技术来解答实际的问题是中专教师培养学生的操作能力的关键环节。这是一种能够面向所有学生开展的专业化的教学方式,是可以将教学、技术科学地融入一起的专业技术能力。中专教师为了确保计算机网络教学达到预定的目标,需要在教学过程中进行教学的监控。教学过程的监控是课堂教学中非常重要的环节,教师本身的素质、课堂教学的环境以及信息多媒体设备等都需要在监控下展开。
计算机网络教学的评价
教学质量的评价是教学过程中不能缺少的部分,也是验证教学的目的是否实现的重要途径。计算机网络技术的教学效果的评价方式包括单个的和综合性的评价。单个的评价方式就是对学生的听课的效果的评价,是通过课堂的回答问题的方式来进行的。综合性的评价,就是教师在进行正常的任务的布置之外,在课下布置一些与教学相关的实际性的问题。
计算机网络教学,实现了中专教学由教师和学生一起通过计算机网络来共同学习和完成教学的目标。教师通过网络布置的任务,学生通过对任务资料的收集和教师在网上的指导,跟教师进行知识的交流和沟通。学生能够在这样的过程中明白怎样得到知识的资源,使理论知识得到实际应用。使学生的潜在的能力被挖掘出来,并且提高了学生的学习成绩,增强了教学效果。
第4篇:计算机毕业论文范文
试议自动化仪表与计算机在现代化大生产中的应用
摘要:高新技术和计算机上在各种生产生活领域中的应用越来越普遍,不仅实现了设备和仪器的功能上的升级,还对自动化管理进行了的改善,计算机技术的这种大规模的应用无疑是相较于传统生产管理技术更加适合社会 化大生产的。
关键词动化仪表计算机现代化生产应用
就目前我国现代化生产的目前状况来看,自动化相关技术和计算机技术的应用已经大大的提高了生产效率,实现了更加全方位的生产运转和系统管理。由于生产过程中需要实现对各种数据以及设备运转状况的检测,所以自动化的仪表管理也是现代化企业生产管理的一个重要组成部分。现代化仪表的管理活动应该根据仪表的功能和型号的不同进行划分,并且还要对其运转的温度和环境进行实时的监控。1现代化大生产中使用的几种常见仪表的种类 1、1温度仪表
所谓温度仪表,就是对生产环境的温度进行检测的一种测量仪器,这种仪表是应用范围最广也是最常见的一种,因为大多数的生产车间都需要对温度进行有效的监管和制约,温度过高会使运转中的仪器存在安全隐患,而温度过低则会不利于工作人员的工作状态,所以温度仪表是目前我国生产过程中最常见的仪表之一,其主要的工作原理是通过对仪器进行接触式的电阻感应,实现温度的测量。1、2压力仪表
所谓压力仪表,指的就是在生产过程中对施加在被测物体上的各种压力进行测量的一种仪表,这种仪表的最大的特点是能够实现对300Mpa以内的力的压强的测量,并且可以根据液柱、弹性等不同的原理,对待测物体所承受的压强进行显示。一旦超过设定的最高压强界限,就会自动引起警告。1、3物位仪表
所谓物位仪表的应用,就是指在生产设备的运转过程中,对仪器内以及容器内的流体高度或者固体位置进行的一种测量,这种测量的目的在于确自动化仪表与计算机在现代化大生产中的定物体的位置和范围,以便与对容器的含量进行制约,同样的一旦超出合理范围,该仪表就会发出警告信号。1、4流量仪表
所谓流量仪表,是指对流动中的各种能量的运转状况进行测量的一种仪表,所以一般来说,被应用于电磁流量和超声波流量的测量活动中,作为目前来说技术最先进也是用途最前沿的一种测量仪表,流量仪表未来的市场前景和发展空间都被普遍看好。1、5在线过程分析仪器
所谓在线过程分析仪器,就是对生产设备在一定时间内的各种运转指标和参数进行统一的制约和管理的一种仪器,这种仪器不仅能够实现对生产设备的温度和压力的测量,还能够根据既定系统的设置,对其运转状况进行简单的分析,也就是说,可以实现对运转状况的调试,以满足目前的生产运转需要。这种过程分析仪器,不仅实现了基本的测量功能,还实现了初步的自动化管理功能。1、6执行器
所谓执行器,就是指在对生产设备的应用过程中,通过结合对定位器的使用来实现对生产设备的调节阀的制约和管理,以此来保证设备的安全和稳定运转。一般来说,目前我国的执行器的主要种类为液动执行器,这种执行器的作用原理是通过对其中的气动薄膜的调控来实现的。
2自动化仪表的应用目前状况 2、1在高压站防喘振系统的应用
高压站指的就是生产车间内部的为了达到一定生产效果所设置的高压环境,在这个环节中要想实现对设备的自动化的管理和制约是比较难的。目前我国采用的高压站的测量仪器主要是防喘振技术,其型号为DDZ-II,该测量仪表不仅具有自动调节的功能,还具备一定的运算能力,即可以在检测的过程中实现对目前高压站内的进风速度和流量等参数进行统计,实现更好的高压生产环境检测。这种系统的应用最大的效果就是可以简化高压站内的设备运转状况的实时检测,还可以简化操作步骤。
对于这一系统当中防喘振的实现来讲,主要就是通过对压力以及流量这两个参数进行测量,之后由调节器pID来进行运算,从而把输出制约气动阀计算出来。具体来讲,比值给定的Y=KX+b气动阀调节的最小开度范围应该是10%~15%,其安全的余度范围应该在8%~10%之间,同时应该要确保压缩机出口的压力应该为0、9Mpa,确保入口的流量应该是350m3/min,只有在满足这些情况之下,才能够对系统的安全运转提供保证。需要指出的是K所表示的是比值,X所表示的是输入,b所表示的是定值。2、2在基于STD-pC计算机核心的系统中的应用
对于这一过程的实现主要就是通过对碱液流量、碱液密度、下料量以及磨机功率等等的测量,来将所测得的数据作为采样的信号,从而来对其加以合理的调节制约,通过此来时的整个生产工艺的制约达到自动化的目的。具体的参数是:电磁流量计采用的型号是pULSMAGNDMI6532,这一型号的量程为50~150m3/h;核子称为HCS;放射源为Cr137;输出4~20mADC;核密度计采用的是型号是NNF-215,这一型号的放射源是Cr137;输出是4~20mADC。
具体系统制约的实现主要从两个方面来进行,第一,碱液调配系统。所谓碱液的调配系统,就是指通过对既定的碱液的配置比例的分析,可以实现自动化的相关溶液的配置,也就是说能够通过系统的自动制约发出动作,对各个配置环节进行逐一的操作。这个过程中还需要电磁流量计、密度计以及核子称等各种设备的配合。第二,测量显示。所谓测量显示,就是在碱液的配置过程中,能够实现对各个操作步骤的进行情况的显示,这样也就实现了对配置过程的一个系统的自我监控,一旦发现操作过程不符合操作要求,就会及时的发出警报信号,终止或者改善这种调配活动。此外,测量显示还体现在对设备的运转功能的显示,主要是通过磨机功率变送器来把同步机的功率转换成为4~20mA的信号,并输入至计算机,予以显示出来。对于各个仓槽料位的设定来讲,主要就是通过电容式料位开关来把上限和下限确定好,之后,将开关量以及计算机接口输出,之后通过输入通道由计算机来把开关量转换成为0、1这样的信息。这里需要注意的是,对于原料磨这一工艺来讲,主要采用STD-pC这一系统来进行自动制约的,通过此,能过使得产品的质量得到保证,能够使得生产的成本得到降低,能够大大提升工作的效率。
3结语 综上所述,近些年来自动化仪表在不断地应用发展当中获得了巨大地成效,未来的生产管理和系统监控也必定会朝着自动化的方向发展,所以,有关部门和技术人员应该加强对自动化仪表的应用状况的分析和检测,不断的完善自动化仪表的设备和技术,从而使自动化仪表朝着更加完善的方向发展,不断的推动我国的生产水平的提高。
参考文献
1高海平。自动化仪表调节阀故障分析与策略研究J。魅力中国,2016(12)。
2陈军,刘国明,蒋德华。石油化工自动化仪表的浅析J。化学工程与装备,2016(4)。
第5篇:计算机网络安全管控技能与方案
教师要注重教学方法,培养学生学习兴趣
(1)教师要做好新课的导入工作,吸引学生的注意力,变被动学习为主动学习。对于计算机网络这门抽象的课程,学生学习时的主动性都不太高,所以教师在认真备课的同时,要想想如何才能吸引学生的注意力,使其感兴趣。另外,教师要注意课堂时间的配置,保证上课节奏的紧凑,减少学生“开小差”的时间。教师可及时提出一些问题,让注意力不集中的学生及时地“回到”课堂中。
(2)教师教学时要注意理论联系实际,让学生知道如何运用所学知识解决实际问题,达到一定的教学效果。教师授课时应该及时将学科前沿、科研成果与经验引入到教学活动中,既避免了教学过程中理论与实践的脱节,又保证了教学内容新颖生动,教学效果良好。
(3)教师可以考虑改变讲授地点,直接在计算机机房进行教学。计算机网络是一门实践操作课程,除了少数纯理论的章节在教室讲解外,其余课程均可在机房内操作学习,尽量使学生边学边练,在大量的练习中掌握知识点。教师在机房的讲授过程中可以适当让学生先动手自己操作,出现错误或者遇到不会的知识点时,教师从旁指导,使学生更快更好地掌握相对应的知识。
(4)教师可以探究型教学法为主进行教学。有些老师认为计算机网络是一门新的课程,而且比较抽象,所以主要会采用授导型教学,但是这样出现的后果是学生们思考的较少,老师教的偏多,不能调动学生学的同时及时思考,最终无法达到知识的融会贯通。如果尝试在计算机网络学习中采用探究型教学法,则能使学生产生积极完成任务的动机,老师再带领学生对学习任务进行剖析,使学生能在学习中发现问题、解决问题,逐步丰富他们的学习经验,培养提高他们独立完成任务的能力。
(5)可以采用老师布置任务、学生分组实验的方法进行计算机网络实验教学。实验教学不仅是学生获取知识、巩固知识的重要手段,更是培养学生思考能力、动手能力、创新能力不可或缺的环节。而在实验教学中,学生分组实验作用大,效果明显,成功的分组实验,既可以让学生获取新的知识,加深对网络知识的理解,又可以让学生在探究的快乐中激发出浓厚的学习兴趣。分组实验往往是3~4人一组,这样可以培养学生的合作意识、团队意识,共同探讨完成实验。最后,老师尽可能在短时间内对实验进行总结评估,以加深学生对知识的理解与掌握,确保实验课的效果。
在总结评估时,既要对学生做得好的地方进行表扬,也要客观地指出实验中存在的问题,尤其对错误的操作要重点指出,组织学生讨论,让学生明白:实验时当然要力求成功,但也允许失败,失败了,就要弄清楚失败的原因。
要想学好计算机网络,需要一个长期的过程。对于刚入门的学生,我会提出让其课后继续学习计算机网络的要求,并帮助学生解决其在现实生活中遇到的关于计算机网络方面的问题,从而使学生能真正学精这门课程。
第6篇:浅议计算机网络管理系统的目前状况及发展趋势
摘要:文章介绍了计算机网络管理系统的基本知识,并对计算机网络管理系统的应用目前状况及存在的理由进行了分析,最后提出了计算机网络管理系统未来的发展趋势。
关键词网络管理SNMp目前状况发展趋势
进入20世纪90年代以来,随着计算机的普及以及计算机技术和通讯技术的发展,网络也越来越快地走近我们,计算机网络已成为当今信息时代的支柱。计算机与通信的结合产生了计算机网络,信息社会对计算机网络的依赖,又使得计算机网络本身运转的可靠性变得至关重要,向网络的管理运转提出了更高的要求。网络系统的维护与管理日趋繁杂,网络管理人员用人工策略管理网络已无法可靠、迅速地保障网络的正常运转;无法满足当前开放式异种机互联网络环境的需要,人们迫切地需要用计算机来管理网络,提高网络管理水平,使信息安全,快捷地传递。于是计算机网络管理系统便应运而生了。
1计算机网络管理系统的基本知识 1、1计算机网络管理系统的概念
计算机网络管理就是收集网络中各个组成部分的静态、动态地运转信息,并在这些信息的基础上进行分析和做出相应的处理,以保证网络安全、可靠、高效地运转,从而合理分配网络资源、动态配置网络负载,优化网络性能、减少网络维护费用 1、2网络管理系统的基本构成
概括地说,一个典型的网络管理系统包括四个要素:管理员、管理代理、管理信息数据库、代理服务设备。1、2、1管理员
实施网络管理的实体,驻留在管理工作站上。它是整个网络系统的核心,完成复杂网络管理的各项功计算机网络管理系统的目前状况及发展趋势。网络管理系统要求管理代理定期收集重要的设备信息,收集到的信息将用于确定单个网络设备、部分网络或整个网络运转的状态是否正常。1、2、2管理代理
网络管理代理是驻留在网络设备中的软件模块,它可以获得本地设备的运转状态、设备特性、系统配置等相关信息,通过制约设备的管理信息数据库(MIB)中的信息来管理该设备。1、2、3管理信息库
它存储在被管理对象的存储器中,管理库是一个动态刷新的数据库,它包括网络设备的配置信息,数据通信的统计信息,安全性信息和设备特有信息。这些信息、被动态送往管理器,形成网络管理系统的数据来源。1、2、4代理设备和管理协议
代理设备在标准网络管理软件和不直接支持该标准协议的系统之间起桥梁作用。利用代理设备,不需要升级整个网络就可以实现从旧协议到新版本的过渡。对于网络管理系统来说,重要的是管理员和管理代理之间所使用的网络管理协议,如SNMp,和它们共同遵循的MIB库。1、3网络管理系统的功能
ISO在ISO/IEC7498-4文档中定义了网络管理的五大功能,即配置管理、故障管理、性能管理、计费管理与安全管理。故障管理:其主要功能是故障检测、发现、报告、诊断和处理。配置管理:其主要功能包括网络的拓扑结构关系、监视和管理网络设备的配置情况,根据事先定义的条件重构网络等。性能管理:监测网络的各种性能数据,进行阈值检查,并自动地对当前性能数据、历史数据进行分析。安全管理:主要是对网络资源访问权限的管理。包括用户认证、权限审批和网络访问制约(防火墙)等功能。计费管理:主要是根据网络资源使用情况进行计帐。1、4网络管理协议
由于网络中广泛存在着多厂家、异构异质和固有的分布性等特点,人们才在网络管理中引入了标准,以规范网络设备的生产和网络管理系统的开发。这种标准就是网络管理协议。目前最有影响的网络管理协议是SNMp(简单网络管理协议)和CMIS/CMIp(公共管理信息协议),它们也代表了目前两大网络管理解决方案。SNMp是建立在TCp/Ip协议之上,用TCp/Ip协议的传输层协议UDp(用户据报协议)作为传输协议。
2计算机网络管理系统的应用目前状况及存在的理由
关于计算机网络管理,早在80年代,我国就开始注意网络管理技术的发展,并己着手进行研究,二十年来虽然取得了一些成绩,但还是存在一些理由。总的来说,我国的网络管理水平还比较低,目前也没有通用的网管平台开发出来。
由于网络管理系统对一个网络系统的高效运转非常重要,所以在我国大力推广网络管理系统的研究与应用非常迫切。为此,在应用方面我们要采取引进与自主开发相结合的方式。在研究方面,应尽可能跟踪国外的先进技术,并开展自己的研究。因此,我们应积极开展同国外的合作,吸收和利用国外的先进技术,推广网络管理技术在我国的应用,以提高网络在我国的应用效率和作用。
3计算机网管管理系统的发展趋势
现在的计算机网络管理系统开始向应用层次渗透。传统的计算机网络管理系统所注意的对象就是处在网络层的各种网络设备,利用SNMp来制约和管理设备,以设备或者说设备集为中心。现在用户在网上的应用增加,应用对网络带宽的要求也越来越高了。因此,在现有的网络带宽有限的情况下,为了更好的利用带宽资源,必须转变原来不区分服务内容的传输,而是根据服务的内容,给各个应用提供高质量的服务。然而,尽管网络管理技术多种多样、各具特色,但是随着标准化活动的开展及系统互联的需要,网络管理发展有如下趋势: 3、1实现分布式网络管理
分布式对象的核心是解决对象跨平台连接的和交互的理由,以实现分布式应用系统,象OMG组织提出的CORBA就是较理想的平台。分布式网管就是设立多个域管理进程,域管理进程负责管理本域的管理对象,同时进程间进行协调和交互,以完成对全局网的管理。3、2实现综合化网络管理
综合化网络管理要求网络管理系统提供多种级制的管理支持。通过一个操作台实现对各个子网的透视;对所管业务的了解以及提供对故障的定位和排除的支持。即实现对互联的多个网络的管理。随着网络管理的重要性越来越突出,各种各样的网络管
理系统便应运而生。这些管理系统有管理SDH网络的,有管理Ip网络的等等。一方面,这些网络管理系统所管理的网络存在互连或互相依赖的关系;另一方面存在多个网管系统,相互独立,分管网络的不同部分。
3、3实现对业务的监控功能传统网管都是针对网络设备的管理,并不能直接反应出设备故障对业务的影响。目前有些网管产品已经实现对进程的监控。对于客户来说,他们注重于所得到的服务,像节目的多少、节目的质量等,因此,对服务、业务计算机网络管理系统的目前状况及发展趋势的监控将是网管进一步的管理目标。3、4实现智能化管理
支持策略管理和网络管理系统本身的自诊断、自调整。采用人工智能技术进行维护、诊断、排除故障及维护网络运转在最佳状态成为必定趋势。必须用智能化策略对涉及性能下降所相关的网络资源进行监控,执行必要的操作。3、5实现基于web的管理
通过使用web浏览器在网络的任何节点上去监测、制约网络及各子网的管理功能。基于web的管理以其统一、友好的界面风格,地理和系统上的可移动性以及系统平台的独立性吸引着越来越多的用户和开发商。
目前的计算机网络管理功能仅是实现了该网络管理系统功能开发和应用的一部分,离整个计算机网络管理功能的实现还有一定差距,今后可在这方面作进一步研究和开发,以完善其管理。
第三篇:计算机论文
毕业论文
学院:
专业:
班级:
姓名:
浅谈计算机网络安全策略
考号:姓名:李延权
摘 要:
在短短的几年时间里,从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术,在到第三代以internet互联技术为基础的信息网络时代。所有这些,都促使了计算机网络互联技术迅速的大规模使用,极大地方便了各种计算机连网,拓宽了共享资源。同时也突出了一个很严重的问题,那就是网络安全的问题。
关键词:网络;安全;防火墙
随着计算机网络技术的发展,社会的需求等诸多问题都体现了互联网的重要性。无论是我们的政府机构、军事基地,还是各大企业以及各高校都相继有了自己的内部和外部网络。而网络安全问题也是我们急需要解决的问题。小到个人的电脑系统瘫痪、帐号被盗,大到政府、军方重要的机密资料,财政资料数据被非法查看修改等等。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。
根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有
发生。
由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
一、网络安全的理论基础
国际标准化组织(ISO)曾建议计算机安全的定义为:“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了帮助计算机用户区分和解决计算机网络安全问题,美国国防部公布了“桔皮书”(orange?book,正式名称为“可信计算机系统标准评估准则”?),对多用户计算机系统安全级别的划分进行了规定。
桔皮书将计算机安全由低到高分为四类七级:D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级,C1和C2级是具备最低安全限度的等级,B1和B2级是具有中等安全保护能力的等级,B3和A1属于最高安全等级。
D1级:计算机安全的最低一级,不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不可信任的,硬件软件都易被侵袭。
C1级:自主安全保护级,要求硬件有一定的安全级(如计算机带锁),用户必须通过登录认证方可使用系统,并建立了访问许可权限机制。
C2级:受控存取保护级,比C1级增加了几个特性:引进了受控访问环境,进一步限制了用户执行某些系统指令;授权分级使系统管理员给用户分组,授予他们访问某些程序和分级目录的权限;采用系统审计,跟踪记录所有安全事件及系统管理员工作。
B1级:标记安全保护级,对网络上每个对象都予实施保护;支持多级安全,对网络、应用程序工作站实施不同的安全策略;对象必须在访问控制之下,不允许拥有者自己改变所属资源的权限。
B2级:结构化保护级,对网络和计算机系统中所有对象都加以定义,给一个标签;为工作站、终端等设备分配不同的安全级别;按最小特权原则取消权力无限大的特权用户。B3级:安全域级,要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小。A1级:验证设计级,是计算机安全级中最高一级,本级包括了以上各级别的所有措施,并附加了一个安全系统的受监视设计;合格的个体必须经过分析并通过这一设计;所有构成系统的部件的来源都必须有安全保证;还规定了将安全计算机系统运送到现场安装所必须遵守的程序。
在网络的具体设计过程中,应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等,综合考虑来确定一个比较合理、性能较高的网络安全级别,从而实现网络的安全性和可靠性。
二、?网络安全应具备的功能
为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:
(1)访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
(2)检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
(3)攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
(4)加密通讯:主动地加密通讯,可使攻击者不能了解、修改敏感信息。
(5)认证:良好的认证体系可防止攻击者假冒合法用户。
(6)备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
(7)多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
(8)?设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。
三、?网络系统安全综合解决措施
要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题,提出一些防范措施。
物理安全:
物理安全可以分为两个方面:一是人为对网络的损害;二是网络对使用者的危害。
最常见的是施工人员由于对地下电缆不了解,从而造成电缆的破坏,这种情况可通过立标志牌加以防范;未采用结构化布线的网络经常会出现使用者对电缆的损坏,这就需要尽量采用结构化布线来安装网络;人为或自然灾害的影响,需在规划设计时加以考虑。
网络对使用者的危害主要是电缆的电击、高频信号的幅射等,这需要对网络的绝缘、接地和屏蔽工作做好。
实施方案可以从以下几个方面考虑。
1.PC机
1.1 PC终端机
对于终端机来说,我们应该把一切的系统漏洞全部打上补丁。像360安全卫士是一款不错的实用、功能强大的安全软件。里面有“修复系统漏洞”选项,我们只要点击扫描,把扫描到的系统漏洞,点击下载安装,并且都是自动安装,安装完就可以了。
1.2 安装杀毒软件
比如说中国著名的瑞星杀毒软件,从瑞星官方网站下载,下载完,安装简体版就可以了。安装完之后,就进行全盘查毒。做到客户机没有病毒。让电脑处于无毒环境中。也可以在【开始-运行】中输入【sigverif】命令,检查系统的文件有没有签名,没有签名的文件就有可能是被病毒感染了。可以上网查询之后,进行删除。
1.3 防火墙
打好系统漏洞补丁,安装好杀毒软件之后,就是安装防火墙像瑞星防火墙,天网防火墙以及风云防火墙等。风云防火墙是一款功能强大的防火墙软件,它不仅仅能防病毒,还能防现在很是厉害的ARP病毒。
1.4 用户设置
把Administrator超级用户设置密码,对不同的用户进行用户权限设置。
2.网络安全分析
2.1 网络安全分析
网络安全分析主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
3.解决方案
3.1 防火墙技术
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个
分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
(1)屏蔽路由器:又称包过滤防火墙。
(2)双穴主机:双穴主机是包过滤网关的一种替代。
(3)主机过滤结构:这种结构实际上是包过滤和代理的结合。
(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。
3.2 VPN技术
VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。其处理过程大体是这样:?
①?要保护的主机发送明文信息到连接公共网络的VPN设备;?
②?VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。?③?对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。?
④?VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。?
⑤?VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。?
⑥?当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。?
3.3 网络加密技术(Ipsec)
IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括:
(1)访问控制;
(2)无连接完整性;
(3)数据起源认证;
(4)抗重放攻击;
(5)机密性;
(6)有限的数据流机密性。
3.4基于PKI的认证
使用PKI(公开密钥体系)进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
3.5 身份认证
任何良好的安全系统必须包括加密!这已成为既定的事实。网络上的加密可以分为三层:第一层为数据链路层加密,即将数据在线路传输前后分别对其进行加密和解密,这样可以减少在传输线路上被窃取的危险;第二层是传输层的加密,使数据在网络传输期间保持加密状态;第三层是应用层上的加密,让网络应用程序对数据进行加密和解密。当然可以对这三层进行综合加密,以增强信息的安全性和可靠性。
数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它主要通过加密算法和证实协议而实现
3.6User?Name/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密。
3.7使用摘要算法的认证
Radius(远程拨号认证协议)、OSPF(开放路由协议)、SNMP?Security?Protocol等均使用共享的Security?Key(密钥),加上摘要算法(MD5)进行认证,但摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security?key,所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。
四、安全管理队伍的建设。
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
结论
综上所述,对于计算机网络传输的安全问题,我们必须要做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。一方面,可以实现对上网用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP?for?Business?Security对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使我们对网络安全技术的更深刻的了解。
参考文献:
[1]??蔡皖东.计算机网络技术.西安电子科技大学出版社,?1998.[2]??杜飞龙.?Internet原理与应用.人民邮电出版社,?1997.[3]??胡道元.信息网络系统集成技术.清华大学出版社,?1995.[4]??杨明福.计算机网络.电子工业出版社,?1998.5.[5]??袁保宗.因特网及其应用.吉林大学出版社,?2000.[6]??隋红建等.计算机网络与通信.北京大学出版社,?1996.[7]??周明天等.TCP/IP网络原理与应用.?清华大学出版社,?1993.[8]??计算机学报.?2007-2010.[9]??网络报.?2008-2009.[10]?电脑报.?2007-2010.??w.studa.ne
第四篇:计算机安全论文
XXXXX学院 成人高等教育
毕
业
论
文
论文题目: 计算机网络安全技术研究
姓
名
XXXXXX 院(系):
XXXXXX院
专业班级
(113474016)计算机科学与技术 学
号
2XXXXXX 指导教师
XXXX
XXXXX院继续教育学院制
学生承诺书
本人承诺在毕业论文(设计)活动中遵守学校有关规定、恪守学术规范,在本人毕业论文(设计)内容除特别注明和引用外,均为本人观点,不存在剽窃、抄袭他人的学术观点、思想和成果,不存在伪造、篡改实验数据。如有违规行为发生,我愿承担一切责任,接受学校的处理,并承担相应的法律责任。
承诺人(签名):
摘 要
21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击,因此,网络信息资源的安全及管理维护成为当今信息话时代的一个重要话题。
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络面临的安全性威胁(黑客入侵)及管理维护(防火墙安全技术)。进一步阐述了网络拓扑结构的安全设计,包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法做了简要的分析,论述了其安全体系的构成。
关键词:信息安全 网络 防火墙 数据加密
目 录
摘要...................................................................3 目录...................................................................4 第一章 引言
1.1 概述..............................................................6 1.2 网络安全技术的研究目的 意义和背景................................6 1.3 计算机网络安全的含义..............................................7 第二章 网络安全初步分析
2.1 网络安全的必要性..................................................8 2.2 网络的安全管理....................................................8 2.2.1安全管理原则...................................................8 2.2.2安全管理的实现...................................................8 2.3 采用先进的技术和产品
2.3.1 防火墙技术.....................................................9 2.3.2 数据加密技术...................................................10 2.3.3 认证技术.......................................................10 2.3.4 计算机病毒的防范...............................................10 2.4 常见的网络攻击及防范对策.......................................11 2.4.1 特洛伊木马.....................................................11 2.4.2 邮件炸弹.......................................................11 2.4.3 过载攻击........................................................12
2.4.4 淹没攻击.......................................................12 第三章
网络攻击分析................................................13 第四章
网络安全技术................................................15 4.1 防火墙的定义和选择...............................................15 4.2 加密技术.........................................................16 4.2.1 对称加密技术...................................................16 4.2.2 非对称加密/公开密钥加密........................................16 4.2.3 RSA算法.......................................................16
4.3注册与认证管理..................................................17 4.3.1 认证机构....................................................17 4.3.2 注册机构....................................................18 4.3.3 密钥备份和恢复..............................................18 4.3.4 证书管理与撤销系统...........................................18
第五章 安全技术的研究
5.1 安全技术的研究现状和方向....................................19 5.2 包过滤型....................................................19 5.3 代理型......................................................19
结束语.............................................................21 参 考 文 献
第一章 引言
1.1 概述
我们知道, 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。
随着计算机网络的发展,网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国特色的网络安全体系。
一个国家的安全体系实际上包括国家的法律和政策,以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几个特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断的变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合开发。安全与反安全就像矛盾的两个方面,总是不断的向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。
1.2 网络安全技术的研究目的、意义和背景
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给
社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。
随着计算机络的不断发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言,其网上信息的安全性和保密性尤为重要。因此,上述的网络必须要有足够强的安全措施,否则该网络将是个无用、甚至会危机国家安全的网络。无论是在局域网中还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性,故此,网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。
认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用现金的技术和产品,构造全防卫的防御机制,使系统在理想的状态下运行。
1.3 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
第二章 网络安全初步分析
2.1 网络安全的必要性
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征。人们称它为信息高速公路。网络是计算机技术和通信技术的产物,适应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的。
2.2 网络的安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。
2.2.1安全管理原则
网络信息系统的安全管理主要基于3个原则:
多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作以得到保障。与安全有关的活动有:访问控制使用证件的发放与回收,信息处理系统使用的媒介发放与回收,处理保密信息,硬件与软件的维护,系统软件的设计、实现和修改,重要数据的删除和销毁等。
任期有限原则
一般来讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期的循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
除非经系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。
2.2.2 安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作是:
根据工作的重要程度,确定该系统的安全等级。
根据确定的安全等级,确定安全管理范围。
制定相应的机房出入管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统,采用此卡、身份卡等手段,对人员进行识别,登记管理。
2.3 采用先进的技术和产品
要保证计算机网络安全的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
2.3.1 防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可以监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:应用层网关、数据包过滤、代理服务器等几大类型。
2.3.2 数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为了提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用的不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
2.3.3 认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接受者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被篡改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
2.3.4 计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
① 较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、UNIX 和 Netware 系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查杀、杀毒范围广、能力强的特点。
② 完善的升级服务。与其他软件相比,防病毒软件更需要不断的更新升级,以查杀层出不穷的计算机病毒。
2.4 常见的网络攻击和防范对策
2.4.1 特洛伊木马
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马的程序包括两部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的过程中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
2.4.2 邮件炸弹
邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同以地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,妨碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复消息,也可以使自己的SMTP连接只能
达成指定的服务器,从而免受外界邮件的侵袭。
2.4.3 过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用的最多的一种方法是进程攻击,它是通过大量地进行人为的增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在着一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。另外,还可以让系统自动检查是否过载或者重新启动系统。
2.4.4 淹没攻击
正常情况下,TCP连接建立要经过3次握手的过程,即客户机向客户机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断的向被攻击的主机发送SYN请求,被攻击主机就一直处于等待状态,从而无法响应其他用户请求。
对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
第三章 网络攻击分析
攻击是指非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。
在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击:Does是Denial of Service的简称,即拒绝服务,造成Does的攻击行为被称为Does攻击,其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。而分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在 Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻击。
因为此攻击基于TCP/IP 协议的漏洞,要想避免除非不使用此协议,显然这是很难做到的那我们要如何放置呢?
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么? 谁在使用主机? 哪些人可以访问主机? 不然,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统—甚至是受防火墙保护的系统。
4.确保运行在 Unix上的所有服务都有TCP封装程序,限制对主机的访问权。5.禁止内部网通过Modem连接至PSTN 系统。否则,黑客能通过电话线发现未受保
护的主机,即刻就能访问极为机密的数据。
6.禁止使用网络访问程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传递口令,而Telnet和 Rlogin 则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost 和 hosts.equiv 文件删除,因为不用猜口令,这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换他,文件传输功能无异将陷入瘫痪。
8.确保手头上有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
9.在防火墙上运行端口映射程序或端口扫描程序。大多数时间是由于防火墙配置不当造成的,使DoS/ DDoS攻击成功率很高,所以一定要认真检查特权端口和非特权端口。
10.检查所有网络设备和主机/服务器系统的日志。只要日志出现纰漏或时间出现变更,几乎可以坑定:相关的主机安全收到了威胁。
第四章 网络安全技术
4.1 防火墙的定义和选择
4.1.1防火墙的定义
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。
4.1.2 防火墙的选择
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也不应该考虑在内。如果仅作粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论选择防火墙的标准有很多,但最重要的是以下两条:
(1)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。
如果像玛奇诺防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙十分不熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(2)可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提供,用户仍然有进一步增加选择的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大产品的覆盖面。
4.2 加密技术
信息交换加密技术分为两类:即对称加密和非对称加密.4.2.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56位密钥对信息进行3次加密,从而使有效密钥长度达到112位。
4.2.2 非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛分布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制。其安全性是基于分散大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分散两大素数之积。RSA算法的描述如下:
公开密钥: n=pq(p、q 分别为两个互异的大素数,p、q 必须保密)e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 为明文,c为密文。解密:m=cd(mod n)利用目前已经掌握的只是和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.3 注册与认证管理
4.3.1 认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是频发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且还与整个PKI系统的构架和模型有关。
4.3.2 注册机构
RA(Registration Authority)是用户和CA的借口,它所获得的用户标识的准确性是CA发给证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.3 密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.3.4 证书管理与撤销系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤销,证书撤销的理由是各种各样的。可能包括工作变动到对密钥怀疑等一系列原因。证书撤销系统实现是利用周期性的发布机制撤销证书或采用在线查询机制,随时查询被撤销的证书。
第五章 安全技术的研究
5.1 安全技术的研究现状和方向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。根据防火墙所采用的技术不同,将它分为4个基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。
5.2 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会含一些特定信息,防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一单发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
5.3 代理型
代理型的安全性能要高过包过滤型,并已经开始向应用层发展。代理服务器位于客户
机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
结束语
互联网现在已经成为了人们不可缺少的通信工具,其发展速度也快的惊人,以此而来的攻击破坏层出不穷,为了有效的防止入侵把损失降到最低,我们必须适合注意安全问题,使用尽量多而可靠的安全工具经常维护,让我们的网络体系完善可靠。在英特网为我们提供了大量的机会和便利的同时,也在安全性方面给我们带来了巨大的挑战,我们不能因为害怕挑战而拒绝它,否则就会得不偿失,信心安全是当今社会乃至整个国家发展所面临的一个只管重要的问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要的组成部分,甚至应该看到它对我国未来电子化、信息化的发展讲起到非常重要的作用。网络安全是一项动态的、整体的系统工程,我们应该结合现在网络发展的特点,制定妥善的网络安全策略,将英特网的不安全性降至到现有条件下的最低点,让它为我们的工作和现代化建设做出更好的服务。
参 考 文 献
[1] 谢希仁.计算机网络 电子工业出版社
[2]汤小丹、梁红兵.计算机操作系统 西安电子科技大学出版社 [3] 李伟.网络安全实用技术标准教程 清华大学出版社 [4] Andrew S.Tanenbaum.计算机网络 清华大学出版社
第五篇:计算机网络安全论文
计算机网络安全
随着互联网的飞速发展,网络安全左键成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题,在其最简单的形式中,它主要关心的对象是那些无权使用,但却试图获得远程服务的人,安全性也处理合法消息被截获和重播的问题,发送者是否发送过该消息的问题。随着计算机网络的发展和Internet的广泛普及,信息已经成为现代社会生活的核心。国家政府机构、各企事业单位不仅大多建立了自己的局域网系统,而且通过各种方式与互联网相连。通过上网树立形象、拓展业务,已经成为政府办公、企业发展的重要手段。
可是当计算机发展的同时,影响计算机网络安全的因素也在不断显现。为此,我们需要针对计算机网络安全,采取相应必要的措施。所以,就让我在关于计算机网络安全措施方面来谈谈吧!
首先,我们需要知道计算机安全的定义:国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。当我们明白了什么是计算机安全,那么我们就需要了解一些影响计算机网络安全的主要因素,我列举了以下几点:
1、网络系统本身的问题
目前流行的许多操作系统均存在网络安全漏洞,如UNIX,MS NT 和Windows。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。具体包括以下几个方面:稳定性和可扩充性方面,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响;网络硬件的配置不协调,一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定;缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机;
2、来自内部网用户的安全威胁
来自内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失,管理制度不健全,网络管理、维护任在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。其自然。特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也不起。
3、缺乏有效的手段监视、硬件设备的正确使用及评估网络系统的安全性
完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术
4、黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击
我们可以看到,影响计算机安全的因素也是非常多的,可是我们不能只单单找出影响的因素啊,我们应该找出解决方法何预防措施啊!那么如何才能使我们的网络百分之百的安全呢? 其实呢,对于这个问题的最简单的回答是:不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围来看,网络安全不仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济各方面。既然我们无法做到百分之百,那么对能解决的,我们尽量解决,不能解决的,我们要采取措施预防!
从目前来看,我们可从提高网络安全技术和人员素质入手。因此,我们亦可以采取以下几种方式:
1、依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制、各种网络安全制度,加强网络安全教育和培训。
2、网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。现在网络版杀毒软件比较多,如瑞星、江民、趋势、金山毒霸等。
3、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止 Internet上的不安全因素蔓延到局域网内部,根据不同网络的安装需求,做好防火墙内服务器及客户端的各种规则配置,更加有效利用好防火墙。
4、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在学校、政府机关、企事业网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系,有的入侵检测设备可以同防火强进行联动设置。
5、Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
6、漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
7、IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的 MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
8、利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
对于以上的方法和措施,我们完全可以在计算机使用中遇到,正如前面所说,他并不能百分之百的保护我们的计算机网络安全,但却可以为我们解决一般性问题和预防肯能会发生的严重问题。
无论如何,网络安全与网络的发展戚戚相关。网络安全是一个系统的工程,不能仅依靠、杀毒软件、防火墙、漏洞检测等等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,安全保护的对象是计算机 ,而安全保护的主体则是人,应重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,才可能防微杜渐。把可能出现的损失降低到最低点,才能生成一个高效、通用、安全的网络系统。
点击咨询 