第一篇:计算机教育类论文计算机教育论文
计算机教育类论文计算机教育论文:
机器、思维与信息的哲学考察与莱布尼茨的二进制级数和现
代计算机科学的关系
摘要:本文的目的在于给出一个简单的论证,机器本身没有智能,但人有智能,所以机器有助于人类的思维,但是我们应该对“什么是信息”这个问题持非常谨慎的态度,因此不仅需要在科学上而且也需要在哲学上需要进一步进行论证,这就是哲学家不可或缺以及国际哲学界何以在新世纪伊始将信息哲学称为第一哲学的理据。与此同时,我们还介绍了莱布尼茨为什么被控制论事后追认先驱的典型并从真理再发现的角度将中国《易经》中的那段“筮法”按照数理逻辑的能行可计算理论而不是按先前数论中的同余式进行了重新解释。最后,从科学史的方面将莱布尼茨的二进算数或二进制级数作了一些比较详细的考察,认为它与现代的计算机科学根本没有任何关联。关键词:机器与思维论证;中国易经中的古算法;递归论对同余式;莱布尼茨的二进制算数;现代计算机科学 1机器、思维与信息
机器能思维吗?这似乎是一个传统的命题,一种认为可以,一种认为不可以。而且争论异常激烈,尤其涉及到自由意志和认知的问题。但我是介于两者之间的一种。所以可以沟通。具体理由如下,首先,机器是人造的,人不造它还谈什么思维?即使造出来了,没有软件程序,还不是一堆废铜烂铁?这是大前提,表面上看是支持机器不能思维的命题,我在94年克林顿政府时宣布NII行动计划时是我国政府首批做政策的团队成员之一,当时写报告时就指出,21世纪是信息化的世纪,中国必须迎头赶上。[1]其次,既然能够造出它来,就能管理好它;当然管不好它,也会管不了它,会产生诸多问题,包括教育的、经济的、伦理的、环境的甚至社会政治的等等,所以需要哲学家的参与,否则为什么有信息哲学呢?这是小前提,是说别小看机器的力量,虽然机器不会思维,但人会思维,要是管理者没本事,会导致大问题!就象现实世界中有地痞流氓恶棍混混一样,在虚拟世界中也同样存在类似的现象一样,君不见当前那些盗窃银行帐号的和个人隐私的木马程序吗,那些破坏计算机运行的病毒程序吗,那些制作恶搞的影视程序吗?第三,它能帮助人思考,可以把人从繁重的计算任务中解脱出来,比如说我们现在的天气预报,不就是数值天气预报吗,人造卫星的灾害普查、地理信息、海洋赤潮等大型科考更不用说导弹轨道计算等复杂科学项目了。所以计算机和网络在现代社会中还是为我们提供了很多便利,如果没有它似乎还会觉得不大方便,害怕隐私泄露至多就是那些敏感的材料别放在计算机上就是了。结论就是,两者相比取其利大于弊。
那么什么是信息呢?我以为这个提问方式本身就是个哲学式的提问方式,太大了。旅英意大利学者弗洛里迪(Luciano Floridi)主编《计算与信息哲学导论》[2]的都说信息哲学(philosophy of information)是“第一哲学”(philosophia prima)[3],谁能一下子就回答出来,那不成了神人了?再来看荷兰Elsevier公司预告2007年即将出版的《信息哲学手册》[4]的前言中荷兰逻辑学家班瑟姆(Johan van Benthenm)教授是怎么说的吧,他就没用“什么是”(ti esti)的提问方式,而是引用了马克思在1848年经济学手稿中的一句名言“逻辑是思维的货币”,当然我不大清楚他是如何解读马克思的这句话的,也不清楚他是不是马克思主义者,但从这句话的三个关键词“逻辑、思维、货币”来看,似乎能够找到一线关联,同时他还用了另一位德尔文(Keith Delvin)的人的俏皮话说“信息是通信的网球。”这个比喻倒是颇为形象。那么也找到三个关键词“信息、通信、网球”的关联。班瑟姆教授对我国逻辑界似乎应该不陌生,他曾来过社科院哲学所访问过,我们之间也有电子邮件交往,同时他还到过国内其他高校进行过讲学,那位德尔文我在Google上搜了一下,好像是研究乔姆斯基(Norm Chomsky)语言学的,为该《手册》贡献了一章“社会科学中的信息”(Information in Social Science)。而且班瑟姆教授在前言中还引用德国哲学家费尔巴哈(Ludwig Feurbach,1804-1972)的一句话,We are what we eat.(Der Mensch ist,was erisst.)我对费尔巴哈的哲学没有研究,大概就是说,看人吃什么就知道他是什么了的意思了吧。看来德国人也象中国人,就知道吃了?所以这话不能当真。
那么,至于信息呢?通常认为,我们这个世界就是由物质、能量、信息构成的,这就成了流俗的说法。但是这个流俗的说法是否正确呢?班瑟姆在这部为学者编写的《手册》的卷首语的题记中还套用了美国逻辑学家刘易斯(David K.Lewis,1941-2001)关于“意义”(meaning)的说法,Do not ask what meaningsare,but what they are supposed to do.所以他在卷首语上又题上了Information Is what It Does。从中可以看出班瑟姆对于信息究竟什么是矛盾心态。而且我提请大家注意,刘易斯的meanings用的是英语复数形式,动词用are,而information在英语中只有单数,所以班瑟姆只用is,这其中是有玄机的!由于这部书目前还没有出版,关于information的词源学研究不是那么简单的。这大概就是哲学社会科学(人文社会科学)存在的意义所在了吧。即所谓哲学分析概念,科学运用概念的一个具体例证而已。哲学所在班瑟姆那里研修的刘奋荣博士最近回来度假时告诉我说,他们在《手册》开第一次提纲研讨会时争论的也是很激烈,由此可见,对于这个新的领域还是见仁见智的。尤其欧洲人和英美人之间,似乎有比较大的冲突,这是可以理解的。而我提出来的模态信息论(Modal Information Theory,简称MIT)既没有偏向欧洲人,也没有偏向美国人,反而为英美和欧陆两派人马的提供了一个调和方案。当然,前面的路还很长,他们是否接受中国的这样的理论,这不是我们的事情,不过不接受也没关系,我们还是要走自己的路,这条路已经走了几千年了。
通信好理解,现在城市里都有电话了,条件好的家里还能上互联网,差一点的则到邮局发信,而十多年前就只有靠写信,打电报了。我们不是有“家书抵万金”的著名诗句吗?无论是写信、打电话、电报、上网等都是传输,传送;尤其是现代的上网都离不开计算,当年的SUN计算公司不就打出“网络就是计算机”的口号吗?传嘛总要传点什么。这是一个很简单的模式,连动物都会,从科学上看,也是个简单的模型,从输入端到输出端,中间则是解码过程,俗称渠道,然后有个反馈调节过程,这么简单的事情怎么到人这里却搞不懂了呢?所以爱因斯坦曾经说过这样一句话,大概表述了这样一个意思,一个科学概念越是深入人心,传播的越广,越是深入普通人的生活,就越难辨别。而信息这个科学概念就是一个这样具有如此“魔力”的概念,就连美国著名已故逻辑学家巴威斯(K.Jon Barwise,1942-2000),1997也依然提醒我们:
倘若世界完全是一个混沌的不可预测的事件,就不会有任何信息需要处理。在生物和物理系统的自然界中,信息的地位依然没有搞清楚。[5]既然说西方人敢打“第一哲学”的旗子,那还了得。那么什么是第一哲学?我们知道,科学是很晚进才有的,而哲学确无论是在东方和西方却都早就存在了,所谓方法论就是世界观,只是方法论的不同,导致了东方和西方科学发展的路径的不同。这一点下面还要谈一下。而到了现代似乎还有人说过,通过康德的哲学才可能有好的哲学,不通过康德(Immanuel Kant,1724-1804)的哲学只能有坏的哲学。所以读西方哲学的一定要读康德的书,因为康德是西方现代哲学的基础,我特别强调是西方而不是东方,东方尤其是中国则一定要读儒家的经典,也就是孔孟的书,或者说近代科学哲学的基础。基础打不好还读什么西方哲学呢?康德出生的年代是相当晚近的年代(18世纪)他是以牛顿力学为基础建立起他的哲学体系的。那么是不是有不通过康德而有一条好的哲学的道路呢?我国比较公认的专攻康德哲学的大学者牟宗三先生曾经说过,西方哲学有三大传统,即柏拉图、康德和莱布尼茨-罗素传统。[6]即除了康德哲学还有一条正路,那就是莱布尼茨-罗素传统可以修成正果。但是,英美人在这条个传统上却只讲罗素(Bertrand Russell,1872-1970)而鲜提莱布尼茨,尤其是罗素本人,则走得更远,在其《对莱布尼茨哲学的批判性解释》[7]和《西方哲学史》[8]中甚至将莱布尼茨的哲学分成好坏两种,造成很不好的影响。而英美的经验论者、实在论者等,也有这种情绪和倾向这自然有其历史的偏见在其中。
在我看来,莱布尼茨(Gottfried W.Leibniz,1646-1716)在西方哲学中是个“另类”,因为他终生对中国有着浓厚的兴趣,其哲学思想也深受中国的影响,尤其是所谓的有机哲学(philosophy of organism)就是通过莱布尼茨传入欧洲的。而英美学者路子大多是从20世纪进入,即使专攻莱布尼茨与儒学的专家孟德卫(David E.Mungello)也称其为罗素-古兑拉路线(Russell-Couturat Line)[9],就是只提罗素和古兑拉,原因就是罗素在剑桥大学念数学时汉诺威莱布尼茨档案馆将莱布尼茨有关数学与逻辑部分的材料发掘出来,并在当时著名数学家怀特海(Alfred N.Whitehead,1861-1947)的指导下写成三大卷《数学原理》(简称PM)。以及法国数学家古兑拉(Lewis Couturat,1868-1914)著作更熟悉一些而已。顺便提一下,怀特海与罗素分道扬镳后,写成了《过程与实在》讲的就是那套罗素所谓的“坏”的形而上学即所谓的有机哲学(philosophy of organism)。更不用说纯粹的英美人了,例如最近一位美国人史密斯(Barry Smith)就写了一篇檄文,题为Against Fantology,[10],在这篇文章中不仅将过去100年来语言哲学的秘密和把戏揭露出来,而且还提出自己的所谓新版的加强的戴维森主义(new enhancedDavisonism)。这个史密斯在美国也是个著名人物,不仅是美国《一元论者》(The Monist)杂志的主编,而且也是专攻德奥哲学和形式本体论(formal ontology)的专家,曾经获得过洪堡基金会的Wolfang奖。我在2005年瑞典开会欧洲计算与哲学大会(ECAP05)时见过此人,听过他的大会演讲,题目是“生物学的本体论”(Biological Ontology);我作为这次大会的特邀发言人做的则是“通向信息哲学的东方进路”(An Oriental Approach to the Philosophy of Information),提出了自己的“模态信息论”的理论,就是从欧亚大陆(Eurasia)的历史渊源讲起的,从纯粹分析的角度讲起的。关于这次会议的综述见美国哲学会的通报。[11]我们知道,美国是个有今无古的国家,它的建国史很短(1776年建国)所以必然要从欧洲寻找根基那么欧洲哲学传统是怎样的呢?现在让我们来看一下怀特海的总结:“对欧洲哲学传统的最保险的定性莫过于:它不过是对柏拉图学说的一系列的注释。”而怀特海所谓的这种机体哲学在他看来却恰恰是英美人不那么喜欢的然而怀特海却硬说说它也是欧洲传统的,“在某种意义上,当我的这一要点‘在这些演讲中的一列思想都是柏拉图的’时,我不过是在表达这样一个希望:这一系列思想都是属于欧洲传统的。但是我还有更多的意思:如果我们要阐释柏拉图的一般观点,且又尽可能不作任何改变,我们便必须建立一种机体哲学。”[12]这是怀特海在第二次世界大战后在美国所做的系列讲演时所提出的观点。现在,半个世纪过去了,世界格局发生了很大变化,科学技术已经不再是那种没有什么价值负荷的“小科学”,而是带有浓厚政治军事色彩的“大科学”,因而我之所以强调这一点,就是希望自然科学家们注意,搞科学技术研究,中国再怎么先进,相对于西方发达国家而言也是落后的,别人也是看我们不起的。当然,作为科学家个体,他可以在某个领域有所建树,然而毕竟也是某个领域而已,而对中国的人文社会科学则恰恰相反,中国是个有着五千年文明的古国,这是其他国家所没有的。所以我倒是想给学自然科学的人们提个问题,难道我们真要去给柏拉图做注释吗?解决现实问题和开拓未来固然重要,但是保护好自己的文化资源也同样重要,虽然我们的资金有限。
在我看来,将莱布尼茨逻辑和数学方面的成就与他在人文和社会科学方面的成就完全割裂开来。我们认为这样不妥,所以我们还是按牟宗三先生的莱布尼茨-罗素这条进路展开,并创立自己的模态信息论,因为根据研究莱布尼茨的权威雷谢尔(Nicholas Rescher)的说法,莱布尼茨的哲学和他的自然的形而上学、逻辑和数学是不能分开的。[13]按照莱布尼茨当年创办科学院理念,就是不希望产生这种割裂。他之所以没有接受罗马教廷给他提供的图书馆馆长的职务,就是因为他对教廷对伽利略的处罚不满意。2作为控制论的守护神的莱布尼茨
早在上个世纪控制论的创始人维纳在他的《控制论》中就专门写到,“假如我必须为控制论从科学史上挑选一位守护神,那就挑选莱布尼茨。莱布尼茨的哲学集中表现在两个密切联系着的概念上——普遍符号的概念和符号演算的概念。”[14]维纳自己承认他在数学上师承罗素不难看出,维纳作为一个数学家,也认为莱布尼茨在这方面的贡献。而后来的信息论创始人也同样承认,他的信息论模型从维纳的著作中获益多多。[15] 我们知道,莱布尼茨不是生活在现代的人,他生活的年代1646-1716,要早于康德,2006年是他去世290周年,正好是清康熙年间和法国路易十四年代的人物。那时根本没有现在的德国,如果大家有兴趣,就去看一下最近有关清华大学曾国平教授等人主编的教程关于李约瑟问题的案例与思考[16]。而维纳却为什么将莱布尼茨封为控制论的“守护神”呢? 莱布尼茨生前所发表著作非常少,但留下的档案材料却非常完整,这背后有一段故事,当年他为撰写布伦瑞克家族历史与家谱,莱布尼茨收集了不少鲜为人知的档案材料。1716年莱布尼茨逝世后,布伦瑞克家族担心对皇家不利的有关资料外流,立刻派人查封了莱布尼茨所有文字资料。回过头来看,这到成了件好事情,实际上,莱布尼茨生前也想到了这一点:发给他人的信件,要么抄写了复件,要么留下了底稿。[18] 其中,我们发现一封重要的信件,这就是在他的学识成熟时期写给瓦格纳(Gabriel Wagner)的信。瓦格纳是莱布尼茨众多的通信对象之一。但此人却是个空谈家,他之所以出名是由于在1696年年底,收到了莱布尼茨50岁时给他写了这封信。因为这封信太重要了而且普遍引用,比如肖尔茨撰写的《简明逻辑史》其中几段话也是值得一提的:[19] 我必须声明,迄今为止的一切逻辑著作仅仅是个影子,远远不能达到我所希望的和我所远远望见的东西,但是为了尊重真理,公正评价每一个人,我也不得不声明,在现有的逻辑中我找到了不少有益的和有用的东西。
接着,关于经院哲学三段论中是关于第一格等等,他写道: 这一部分一般被认为是最没用的,但是我觉得不是这样。虽然神学家阿尔诺在他的《思维术》中发表了如下的意见。人们不易发生形式上的错误,而错谈几乎完全是内容的问题,但我看实际上不是这回事;惠更斯(Christian Huyghens,1629—1695)先生同我的看法一致,他认为,一般数学错误(例如‘悖论..’)是由于人们不注意形式而产生的。亚里士多德把这些形式整理成绝对正确的规则,因而实际上成为在数学领域之外用数学方法写书的第一个人,这个功绩实在不小。以下这个问题:是不是应该说,或在什么程度上应该说纯逻辑学家都是笨驴,可以不管它,斯卡利格(J.J.S.Scaliger,1540—1609)关于数学家也想这样说;这个问题正象以下的情形一样:即使一个驾车的人,一离开他的车或马也就什么都不懂了,他也就不怎么样。智力曾经发现的一切东西都是通过逻辑规则这些老朋友被发现的,虽然一开始这样的规则没有明确地被记录下来或搜集起来。在一切绝对可靠的科学中,当它们被严格证明的时候,都可以说是牵涉到一些更高的形式,这些形式一部分来自亚里士多德,一部分还利用了某些其他的东西。这好象人们对少量的金钱毫不介意地一扔一接,如果是贵重一点的钱财特别是金币,就要数,如果是金刚钻的话,他就乐于尽力用手指头一个个地来数,这种数本来是最没有意思的,但也是最可靠的。这个地方很有意思,莱布尼茨除了亚里士多德之外,还利用了什么,他没有说明,从最近的一些史料的研究来看,《易经》肯定是一个重要来源。莱布尼茨说的这种办法的确一种笨办法,但是不是最有效、最靠得住的办法呢?接下来就更有意思了:
相反,计算更高级,更有技术性和更迅速,算错也就更容易。对于逻辑也是如此。在重要的特别是神学的争论问题(例如上帝的本性和意志,同样也涉及到我们的灵魂等等问题)上,我们要以最大的耐心把各种理论加以分解,归化为尽可能简单的、尽可能摸得着的推理步骤,在这样的情况下,即使是最笨的学生也能没有错误地看出什么是推得出来的或什么是推不出来的。我们也将发现在重要的讨论中,人们常常被难住,不得不停止论辩,因为他们已不合乎形式了,正象人们把一个线球用不适当的方式乱解一气就变成一个戈尔迪的结(Gordian Knot)一样。
这个理念就是数理逻辑的肇始,所以后来到了20世纪初期英国的罗素专门在剑桥大学读数学的时候专门到德国汉诺威莱布尼茨档案馆把莱布尼茨关于他的逻辑和数学这部分内容给发掘了出来与剑桥大学著名学者怀特海写成三大卷的《数学原理》《Principia Mathematica》简称(PM),后来罗素在他的《西方哲学史》中就说“莱布尼茨坚信逻辑不仅在它本部门范围内重要,当作形而上学的基础也是重要的,他对数理逻辑有研究,研究成绩当初假使发表了,会重要之至关;那么,他就会成为数理逻辑的始祖,而这门科学也就比实际上提早一个半世纪问世。”[20]比如,黑格尔就曾说过,1714年莱布尼茨的那篇《以理性为基础,自然和神恩的原则》[21]这篇短文经过扩充就是《单子论》,是他集中讲述他的哲学思想的具体体现。(如果有条件,可以翻阅一下李约瑟(Joseph Needham,1900-1995)的原著《中国科学技术史》第二卷《中国科学思想史》,那里专门辟有一节,“朱熹、莱布尼茨和有机主义哲学”)但是英美人却不习惯建构系统,例如,罗素就是个没有体系的哲学家,可是他做的也很成功,而且也在技术上对莱布尼茨也倍加推崇,莱布尼茨从根本上说就是个很实际的人。是他的门人把他给曲解了,才给他那样叠床架屋弄得面目全非。有兴趣者可以读一下加拿大科学史学家和科学哲学家哈金(Ian Hacking),他就属于英美实验实在论的那一派,看看他的著作《驯服偶然》[22],这部著作有刘钢的汉语译本。我们可以看看德国在建国之初莱布尼茨都在干些什么,就知道莱布尼茨是否那么蠢笨!
实际上,莱布尼茨在这封信中明确表明了这样了一种简单的分析原则。全部计划包含复杂观念分解为简单观念。以计算代替推理乃是惟一的出路。第一,计算代替推理,第二,逻辑上没矛盾,这就是他的哲学方法论。如何达到这种方法呢,就要寻找一种普遍文字,只有这种普遍文字才能让普天下的人都能认识。所以莱布尼茨当时为什么关系中国呢,还要从当时传教的活动来说,这就涉及到科学与宗教的关系问题,过于复杂了,涉及到明末清初来华传教士的活动,有兴趣者可以看一下相关的资料。
首先,需要一种普遍文字,即简单的人工语言,原则上有赖于他的哲学原理,但我们在哲学上尚未完成时就在从事文字的工作,在另一封信中,他写到:
尽管我们的语言有赖于我们真正的哲学,但他并不有赖于哲学的完成,换句话说,甚至在哲学尚未完成时,我们就可以创立这种语言。随着人类知识的增长,这门语言也在发展。同时,它大大有助于使用我们已知的东西,有助于发现我们所缺少的东西,有助于发明补救这种欠缺的方法,但是,特别有助于解决在那些需要推理的问题上存在的争端。因为推理与计算是同一码事情莱布尼茨这里说的汉字实际上是《易经》中的阴爻和阳爻,他以为那就是汉字。因为莱布尼茨不认识汉字。还是后来白晋指出他的二进制级数(De progressione dyadica)与易经中阴爻和阳爻的对应关系,然后他们二人才由相互激励,认为他们以及发现了那种普遍文字。不过如果不这样说剔除宗教因素也未尝不可,中国本土的易学有象数派和义理派,为什么不可以有不问卦爻辞的数理派呢?反正是算嘛,算什么不是算,现在的算法信息论(Algorithmic Information Theory,简称AIT)不就是这样的理论嘛。我们现在的电子计算机不也就是这个原理吗?最后都要转换成0与1的符号串变换。这似乎是人类目前所发现最为简单的一种计算方法。所以莱布尼茨才提出谓项存在于主项之中的命题。而罗素认为这是荒唐的,我们且不去管它。而罗素自己的哲学呢,向侦探小说似的,从果求因罢了,即现在所谓的abduction(溯因推理)难怪有人评论他的哲学就是从康德到康德。他自己也虽然不承认,但是也不得不坦白,将康德的有名论证加以限制就会得出他的观点。[24]所以从哲学上看,罗素的成就并不是太大,他所钟情的还是技术上的成就,哥德尔1944年曾经写过《罗素篇》,对其PM系统进行过总结,这是罗素最为满意的,哥德尔在这篇文字中将近300年来的数理逻辑的工作进行了回顾,并巧妙地将自己的工作拼了进去。[25] 然而,如果从全人类的角度出发,莱布尼茨还是对的。现在的互。联网不就是按照莱布尼茨的理念实现的吗?从莱布尼茨到哥德尔(Kurt G?del,1906-1978)形成的一阶逻辑以及后来的可能世界语义学的理论不就是按照莱布尼茨的理念提出来的吗?互联网不就是按照莱布尼茨百科全书般的理念提出来的吗?各种搜索引擎不也是按照一种逻辑关系进行操作的吗?数据库不也都是关系型数据库吗?虚拟即实在,博客、播克、电子邮件等等等等,所以要从一种整体论的观点来看待莱布尼茨就可以更好的理解他了。我们提出的模态信息论就是一种从整体论的角度提出的基础性理论,就是一种无需柏拉图主义的能够惠及全人类的一种理论。
同时它在与白晋神父的1703年的通信中也表达了同样的理念:“„„汉字也许具有哲学特点并且似乎基于更多的理性考虑,它是由数、秩序和关系决定的;于是,存在无与有那样孤零零的笔画。”[26]所以尽管莱布尼茨和白晋比较了各种方案之后,认为其他方案都不行,只有《易经》具有可行性,所以他认为他们已经发现了普遍语言,所以当他看到白晋给他寄回来的邵雍64卦方圆图,即先天图之后兴奋地说,“易图是留传于宇宙间科学中之最古老纪念物„„应该让我加入中国籍吧!”就连我国近代著名学者梁启超也不无感慨地说:“易学也可以叫数理的科学。”[27] 另外,从方法论上看,《周易·系辞上》有一段说明筮法的文字,兹录如下:
大衍之数五十,其用四十有九。分而为二以象两,挂一以象三,揲之以四以象四时;归奇于扐以象闰,五岁再闰,故再扐而后卦。乾之策二百一十有六,坤之策百四十有四,凡三百有六十。当期之日。二篇之策,万有一千五百二十,当万物之数也。是故四营而成《易》,十有八变而成卦。天一,地二,天三,地四,天五,地六,天七,地八,天九,地十。天数五,地数五,五位相得而各有合。天数二十有五,地数三十,凡天地之数五十有五„„乾之策二百一十有六,坤之策百四十有四,凡三百四十有四,凡三百有六十。当期之日。二篇之策,万有一千五百二十,当万物之数也。是故四营而成《易》,是有八变而成卦,八卦而小成。引而申之,触类而长之,天下之能事毕矣。[28] 这段筮法称其为通常将其与数论中的同余式有关,在西方“同余式”似乎是一个相对晚近而且严格的算术概念,德国数学家高斯(Carl F.Gauss,1777-1885)在其《算术研究》中的“同余式”相比较基本一致,只是所用符号不同。董光璧先生从中归纳出一种叫做“易同余式”。[29]但是我以为这样一个孤零零的算术概念的意义究竟有多大?所以我觉得如果从董光璧先生提倡的真理再发现的角度来看这段“筮法”正好符合现代计算机科学的“能行可计算”的理念或“递归论”的理论这样价值也许更大。那么,这段“筮法”就是一种最古老的算法语言。因为所谓“能行过程”并非一个严格的数学概念而是一个直观概念。它要求一组(有穷多个)事先给定的规则,每一步的作法都完全由这组规则和上一步的结果所确定,并且一定可以在有穷多步之内结束。而《周易》中的这段筮法我以为刚好符合这个标准。《左传》中就有“筮短龟长”的记载,我没有去核对古本易经中的文字,仅仅用了手头上现有的本子。无论怎样易经中的这段关于筮法的文字可就是最早的一段算法语言的记载,那么中国的易经可就名副其实的就是数字计算机了,连编程语言具备了,尽管我们一直都把它叫做迷信活动。可反过来一想我们能把先民要求那么高吗?先把它写下来。这样后来的易学的发展出来如先天学派,错卦综卦等等都可以纳入近来。IBM公司在美国加州硅谷的阿尔马登研究中心(Almaden Research Center)现在开发的量子计算机目前不也就是用几价铁元子在高速运算嘛。我们现在在国际上到处设立孔子学院?为什么作为百经之首的《易经》就不能成为最原始,最质朴的数字计算机呢?当然此前也有人就将八卦称为计算机的,我是从编程语言这个角度来理解的,这不正符合孔子对《易经》所做的“洁静精微,易之教也”的结论吗?有的时候就那么奇怪,今天看来是不好的,因为它与现在的习惯不符,不久会成为好的,因为习惯使其成为自然。3二进制级数与现代计算机科学的关系
通常认为,西方第一篇关于二进位制的文章是莱布尼茨于1703年在法国《皇家科学院纪录》上发表的,标题为“二进制算术的解说”,副标题为“关于只用两记号0和1的二进制算术的阐释——和对它的用途以及它所给出的中国古代伏羲图的意义的评注”。(Explication de l'arithmetique binaire,avec desremarques sur son utilite,et sur ce qu'elle donne le sens des annciennes figures Chinoises de Fohy)[30]莱布尼茨发明二进制是受到了易经的启发,而二进制算术也被事后追认先驱为现代计算机的基础,所以,易经就是也就成为计算机科学的源头。这种说法表面上能够让中国人感到很自豪,所以莱布尼茨发明的二进制算术与易经的关系就成为让人津津乐道的话题了。在我看来,这种说法一定要仔细辨析,否则不仅会贻笑大方而且还会贻害无穷。莱布尼茨的确与来华的传教士,尤其是法国传教士白晋探讨过易经的问题。退一万步说,就算他的二进制与易经有非常密切的关系,易经也顶多有二分之一血统。何况在二进制的发明中,易经并不是必不可少的,它可能仅仅是一个提示,抑或其中一个流派而已。
二进制级数对于当时的莱布尼茨而言无非是个数学游戏。像数论等纯数学理论一样,没有任何实用价值。据考证,莱布尼茨在法国数学家诺代(Philippe Naudé,1684–1729)的帮助下,莱布尼茨于1700年提出了用二进制表示所有自然数的一张表。1701年写成“数的新科学”(Essay d’une nouvelle Science desNombres),并于2月26日将此文寄给了主管《皇家科学院纪录》的秘书芬唐涅(Bernard le BovierdeFentenelle),但芬唐涅却认为这种没有任何价值的数学游戏根本“无法接受”而拒绝发表。[31]这篇文章后来在1701年4月23日在法国科学院进行了宣读,并认为这篇文章不是为了实用的目的,就像数论的许多结果一样。而埃顿的说法似乎也是在说莱布尼茨要求芬唐涅不要发表该文,他希望能在发表前“有充分的时间进行充实。”1703年4月1日莱布尼茨在柏林收到白晋于1701年11月4日从北京发出的回信,这封信还附有一件邵雍的64卦方圆图,其中谈到要通过伏羲的体系“重建中国的科学”,并认定二进制级数与邵雍的先天图具有惊人的一致性。[33]按照莱布尼茨自己的说法,“在他的二进制的帮助下,白晋神父破解了中国伏羲之谜„„”[34]1703年4月3日,莱布尼茨非常兴奋地把这件事情告诉了皇家牧师沃达(Carlo Mauritio Vota),4月7日又致函法国国家图书馆馆长比尼翁(AbbéBignon,1662-1743)。此后《皇家科学院纪录》才在1703年5月5日刊登了这篇文章,原因或许在于它终于找到了一点实际的用处吧。然而,没有想到的是莱布尼茨与白晋的伪汉学(faulty Sinology)让他们上了大当。[35] 出于对二进制的兴趣,此前莱布尼茨曾该文分别寄给过闵明我、白晋和英国天文学家斯隆(HansSloane,1660-1753),而斯隆于1703年6月22日又将这封信转给了英国皇家格林威治天文台首任台长弗兰斯蒂德(John Flamsteed,1646-1719)等人。[36]莱布尼茨把他的二进制级数的数学游戏要白晋告诉给喜爱数学的康熙皇帝,由此展示上帝如何从虚无中的创造,以便使中国人皈依基督教。如果不是因为现在与计算机挂上了钩,恐怕大家证明它与易经关系的劲头要小得多。就算有关系也只能算是易学的数理派,因为莱布尼茨的研究毕竟是纯粹的数学研究。
所谓数理派指的是侧重研究《易经》的符号体系,而不问卦爻辞。中国易学中处于主导地位的两派分别是盛行于汉代的象数派以及始于魏晋的义理派。除此之外,还“应当承认有一个数理派存在并发展着。”[37]这派的研究可以认为是从宋代邵雍为前兆,即他所创作的先天易图,后来朱熹传之,为他的先天易学奠定了基础。而莱布尼茨则是数理派的始端。莱布尼茨通过与法国传教士白晋的通信,发现他所发明的二进制算术与易图具有惊人的一致性。莱布尼茨的研究可被视为纯粹的数理研究。由于当代计算机的操作最终都要转化为二进制操作,所以人们对莱布尼茨的这项发现越来越感兴趣。甚至出现这样的情况,认为二进制算术就是先天图,并说莱布尼茨是受先天易图的启发发明二进制算术的。在我看来,这不仅是错误甚至是误导的。莱布尼茨发明二进制与计算机没有任何关系,我们说先天图可以作二进制解释,但却不能反过来说它就是二进制算术。其中的道理显而易见,邵雍的先天图在先,而莱布尼茨的二进制算术在后,尽管有“惊人的一致性”,这就好比父亲与儿子,难道我们说儿子因为长得酷似父亲,我们就说儿子是父亲吗?二进制算术充其量也只能算是易学的数学解释而已。先天易图还可以作其他许多种解释,比如组合的、代数的、逻辑的、电路的等等。莱布尼茨当时发明二进制算术是出于神学的考虑,是探讨上帝创世的原理,实属哲学宇宙论或形而上学探讨的范畴。关于这个问题有兴趣者可以参考美国学者最近的一篇文献,题目是“莱布尼茨、《易经》以及中国人的宗教皈依”(Leibniz,the Yijing andthe Religious Conversion of the Chinese),其中还特别提到,莱布尼茨在发明二进制级数前肯定看过先天图的问题。[38]莱布尼茨此前是否见过先天图这个问题似乎在中国国内也有不同的说法。
电子计算机问世后,由于莱布尼茨发明的二进制算术派上了重要的用场,也成为“事后追认先驱”的典范。在莱布尼茨那个时代称其为二进制级数,即可以用两个数字表示任何数值并可以进行实加法演算。根据科学史家埃顿的研究,第一个将莱布尼茨的二进制级数与算术而不是神学相关联的是日本专攻政治学的学者五来欣造(Gorai Kinzō,1875-1944)。[39]上个世纪初叶日本学者五来欣造在法国求学时,见到欧洲17世纪对中国对欧洲的影响是如此广泛,尤其是17、18世纪的一些工艺品在法国的展览,使他产生了从学术角度研究中国对欧洲影响的念头。后来他专程来到德国汉诺威莱布尼茨档案馆研究了莱布尼茨-白晋的通信,并写成专著《儒教对德国政治思想之研究》。[40]其中以很大篇幅谈论了莱布尼茨关于绍雍的先天图的研究,是他首次发掘出莱布尼茨所见到的先天易图。但不幸五来关于莱布尼茨易图研究在日本几乎没有影响,原因在于科学史家及易经专家对此不感兴趣,而政治学者则对二进制不感兴趣。后来由台湾学者刘百闵将其中专讲莱布尼茨关于周易学的部分译成中文发表,引起中国学者的注意。在我看来,五来欣造的这一关联,可以说是误导了整整一代学者,让他们将大量宝贵的精力耗费在这种无用的争执上,甚至成了这个研究领域的心病。德国斯图加特大学教授胡必希(Christoph Hubig)最近则指出,二进制从它被发明之日起,本来与技术并无关联,莱布尼茨作为发明者“也根本没有考虑到这一理论与计算机的关系。”[41]我以为胡必希的意见是值得重视的。孟德卫上个世纪曾总结到,“上帝思想的精确可以和计算媲美。就我们可以在自己的训练中培养精确性并向计算靠近这个意义说,我们不仅接近上帝,而且事实上也就是上帝了。我们永远不能同上帝一样对偶然真理有无限的分析能力,但我们可以在某些领域发展我们的能力,在那些受到限制的领域,我们将同上帝一样的方式‘计算’。”[42] 至此我们认为,莱布尼茨的二进制级数与现代的计算机根本没有关系,希望大家将宝贵的精力花在其它有用的事情上罢,哪怕没事写点日记之类的事情。我以为日本学者对中国典籍的解释也是很怪怪的,这是独到见解还是别有用心呢?我们也不得而知,姑妄听之罢了。参考文献:
[1]刘钢.信息哲学:科技哲学的新范式[C]//中国哲学年鉴(2004-2005)报告.北京:哲学研究杂志社,2005.[2]Floridi L,ed..Blackwell Guide to the Philosophy of Computing and Information[M].Blackwell Publishing Ltd,2004.本书系信息哲学领域中的首部系统性的教课书,已由北京商务印书馆购得中文版权,由刘钢组织协调翻译成中文.[3]Floridi L.What
is
the
philosophy
of information?[J].Metaphilosophy,(Bynum T W,Moor J H,ed.)special issue with the titleCyberPhilosophy:The Intersection of Philosophy and Computing,2002,33(1/2):123-145.此文已由刘钢成中文,载《世界哲学》(北京),2002年第4期.[4]Benthem J von,Adriaans P(eds.).Handbook on the Philosophy of Information[M].Elsevier(forthcoming).荷兰正在出版的十六卷本《科学哲学手册》(Handbook for the Philosophy of Science)的第八卷,http://www.xiexiebang.commerce of light(by F.Perkins)[J].Notre Dame Philosophical Reviews,2004,11.[10]Smith B.Against Fantology,in Experience and Analysis[M].Reicher M,Marek J(eds.),Vienna:?BV&HPT,2005,153-170.[11]ECAP Review[J].APA Newsletter,Fall,2005(1).[12]怀特海.过程与实在[M].周邦宪,译.贵阳:贵州人民出版社,2006:54.[13]Rescher N.Leibniz’s Metaphysics of Nature,a Groups of Nature[M].Dordrecht,Holland,Boston,USA,London,England:Reidel Publishing Company,1981:81.[14]维纳.控制论[M].2版.郝季仁,译.北京:科学出版社,1985:12.[15]罗杰斯,传播学史——一种传记式的方法[M].殷晓荣,译.上海:上海译文出版社,2002:456.[16]曾国平,等,主编.当代自然辩证法教程[M].北京:清华大学出版社,2005:411-414.[18]莱布尼茨.中国近事——为了照亮我们这个时代的历史[M].梅谦立[法]、杨保筠,译,郑州:大象出版社,2005:102.[19]肖尔兹.简明逻辑史[M].张家龙,译.北京:商务印书馆,1976:51-52.[21]莱布尼茨.莱布尼茨自然哲学著作选[M].祖庆年,译.北京:中国社会科学出版社,1985:128-37.[22]哈金.驯服偶然[M].刘钢,译.北京:中央编译出版社,1999,2004,(新)版.[23]Couturat L.La logique de Leibniz d'après des documents inédits[M].Paris:F.Alcan,1901,(rep.Hildesheim,Olms,1969),21-22.[24]乌德.罗素哲学[M]//罗素.我的哲学的发展.温锡增,译.北京:商务印书馆,1996:243..[25]G?del K.Russell's mathematical logic[M]//Benacerref P,Putnam H,eds.Philosophy
of
Mathematics.New Jersey:Prentice-Hall,Englewood,1964,211-232.[26]Swiderske,Richard
M.Bouvet
and
Leibniz:A
Scholarly Correspondence[J].Eighteenth-Century Studies,1980-1981,14(2):142-143.[27]董光璧.易图的数学结构[M].上海:上海人民出版社,1987.[28]朱熹,注.周易本义[M].上海古籍出版社,1988.[30]莱布尼茨.关于只用两记记号0和1的二进制算术的阐释——和对它的用途以及它所给出的中国古代伏羲图的意义的评注[M]//朱伯昆,主编.国际易学研究(第五辑).北京:华夏出版社,1999:201-206.[31]Zacher H J.Die Hauptschriften zur Dyadik,Ein Beitrag zur Geschichte des
bin?ren
Zahlensystems[M]//Ver?ffentlichungendes Leibniz-Archivs 5.Frankfurt a.M.,1973:56-60.[33]Aiton E J.An unpublished letter of Leibniz to Sloane[J].Annals of Science,1981:38.[34]Foucher de Careil A.Lettres et Opuscules inédites de Leibiz[M]//Librairie Philosophique de Ladrange,Paris,1845:224-28.莱布尼茨的这份信也收入了Dutens编辑的Leibnitil Opera Omnia,III[M].390-94.[35]Swetz,Frank J,Leibniz.the Yijing and the Conversion of the Chinese[J].Mathematics Magazine,2003,76(4):276-291.[36]见埃顿为莱布尼茨致斯隆的信所写的按语.[39]Aiton E J,Shimao E.Gorai Kinzō’s Study of Leibniz and the I ching Hexagrams[J].Annals of Science,1981,38:71-92.[40]五来欣造.儒教の獨逸政治思想に及ぼせる影響[M].早稻田大学出版社,1929.[41]李文潮,刘则渊.德国技术哲学发展历史的中德对话[J].哲学动态,2005(6):47-52.[42]David E Mungello.Leibniz and Confucianism,The Search for Accord[M].Hawaii University Press,1977:127.
第二篇:2016计算机论文
2016计算机论文范文
第1篇:计算机网络服务完善方式的研究
QoS工作原理
QoS就是我们所说的网络服务质量,它主要的衡量标准包括传输过程中的带宽、数据包的时延以及丢包率等。一般来说,Qos工作在传输层,它所提供的保障服务是“端到端”的,具体的工作中,它主要利用一下两种机制对服务质量进行提升。
(1)在QoS能够对报文种类进行识别的前提下,通过对不同的报文设置优先级来提升服务质量。在这个过程中,如果报文的优先级比较高,那么就可以优先获得服务,这对于保证传输延时最小化非常有利。
(2)利用Qos给应用程序预留其所需的带宽。这种机制的主要原理是在应用程序进行报文的发放之前,先进行信令请求的发送,通知网络需要的带宽、延时参数以及流量等。在传输层进行这些数据接收的时候,就会给应用程序保留其需要的各种宽带资源,并发送确认信息给程序。
通过这种方式,程序进行报文发送的时候就可对流量进行有效地控制,进而获得高质量的网络服务。这相当于开辟了专用的通道,至于没有进行宽度申请的服务,这个时候则对其余的流量进行共享。假如传输层满足不了所申请的带宽等参数,则会告知请求失败。
这种机制相对于第一种机制而言,最大的一个优势是:即便在网络比较拥塞的时候出现了丢包的问题,但依然可以保证网络应用通畅。不过,这种机制的一个缺点在于由于其分配的带宽属于静态的形式,这就导致了很难随着网络的变化进行自动的调整。另外,由于总带宽限额的限制,最终只能够有较少一部分应用能够享受到这种待遇。此外,假如通信方不处于一个国家,那么我们就需要在互联网上进行一定带宽的保留,而随着这种需求的增加,会使得预留的带宽占据整个互联网,进而使这种机制很难发挥出预期的效用,基于此,第二种机制是不适合广泛应用的。以下为Qos实现的流程:
网络服务质量优化模型
在当前的网络服务中,新的业务应用越来越多,这些业务也对网络提出了新的要求,因此,保证一个正常、有效地网络服务,并对网络服务的质量进行不断的优化有着非常积极的意义。在我们的工作中,优化模型主要可以分为以下几个部分。
首先,对于资源的分配,这主要由分配列队空间、分配链路带宽等工作组成。其次,对于任务的调度,一般来说这些任务可以分为多对列单服务器调度、单队列多服务器调度以及多队列多服务器调度。第三,对系统参数的配置,其中,系统参数主要有传输节点功耗以及拥塞窗口的配置等。第四,对于网络资源的部署,这里主要需要解决的问题有网络连通过程中互联设备的问题,最小化成本服务器的覆盖以及服务器集群中资源的利用率问题。
经过以上模型的设定,我们基本上完成了优化过程需要算法的界定,可以引导我们寻找出最佳的优化方案。此外,在我们的工作中,还有一个比较重要的问题是如何把设计好的算法应用到我们的实际工作之中,这主要是因为网络运行的性能适合算法的部署方式有着直接关系的,因此,这类工作中不仅会涉及到优化理论本身,也将关系着工程的技术方面。举例来说,一般我们会比较倾向于分布并行的部署算法,这能够对网络节能的负载进行有效地降低。总体而言,网络再造属于循环工程,它具有“评价、优化、再评价、再优化”这样的一个循环,因此,我们不仅要对网络的服务质量进行不断地优化,还要以网络性能以及算法等作为优化的依据。
QoS实现的形式
一般来说,在QoS实现的过程中,最为常见的策略有四种:(1)服务类型。(2)综合服务。(3)区分服务。(4)业务流量。
结语
在网络应用越来越多的今天,对计算机网络服务质量进行优化有着重要的意义。Qos只是有效地手段之一,在我们的工作中,还要加强这方面的学习和探索,使我们的技术水平达到一个新的高度。
第2篇:计算机科技论文范文
21世纪是网络的世界,我们每个人都在不知不觉中融入这个网络世界。而路由器在网络中发挥着越来越重要的作用,其主要负责在网络层间按传输数据分组的,并确定网络上数据传送的最佳路径。世界各地的个人和企业单位接入到Internet的自治系统有大有小,小型自治系统因其网络结构简单往往采用静态路由技术即可完成自治系统内的路由寻址,然而大、中型自治系统的网络拓扑结构往往更加复杂,采用依靠人工分配的静态路由技术存在很大的困难,因此根据合理的路由寻址算法设计的动态路由技术随之诞生,而OSpF动态路由技术因其功能强大、可拓展性强和网络性能优越在动态路由技术中格外优秀,被广泛应用于各大、中型自治系统中。
摘要:随着Internet技术在全球范围的飞速发展,世界各地的个人和企业单位都纷纷接入到这个世界上最大的计算机网络中。OSpF动态路由技术因其功能强大、可拓展性强和网络性能优越在动态路由技术中格外优秀,被广泛应用于各大、中型自治系统中。
关键词:动态路由,OSpF,自治系统配置命令,链路
1OSpF的基本概念
开放最短路径优先协议(OpenShortestpathFirst)简称OSpF,它是路由选择协议中非常重要的一种协议,这是一种典型的链路状态(Link-state)路由协议,是由Internet工程任务组开发的内部网关(IGp)路由协议,其主要用在一个路由域内。路由域是指一个网络自治系统(AutonomousSystem),所谓自治系统是指一组路由器都使用同一种路由协议交换路由信息,网络中每个路由器都有一个唯一的标识,用于在链路状态数据库(LSDB)中标识自己。LSDB描述的是整个网络的拓扑结构,包括网络内所有的路由器,作为一种链路状态的路由协议,OSpF将链路状态广播数据包LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,OSpF协议使用最短路径优先算法,利用LSA通告得来的信息计算每一个目标网络的最短路径,以自身为根生成一个树,包含了到达每个目的网络的完整路径。
OSpF的路由标示是一个32位的数字,它在自治系统中被用来唯一识别路由器。默认地使用最高回送地址,若回送地址没有被配置,则使用物理接口上最高的Ip地址作为路由标示。OSpF在相邻路由器间建立邻接关系,使它们能利用HELLO包维护关系并交换信息。OSpF使用区域来为自治系统分段,区域0是一个主干区域,每一个OSpF网络必须具有,其他的区域通过区域0互连到一起。
2OSpF的特点
OSpF路由协议主要用在大型自治系统内,这是一种链路状态的路由协议,而距离矢量路由协议RIp(RoutingInformationprotocol)则主要用在小型自治系统内,两个路由协议都具有重要的作用,RIp作为静态路由协议,具有适于小型网络,管理员可手工配置,精确控制路由选择,改进网络性能等优点,但它特别不适合于大型网络自治系统。而OSpF路由协议与RIp相比,具有如下优点:
1、RIp路由协议中用跳(HOp)来表示到达目的网络所要经过的路由器个数,RIp跳数最高为15,超过15跳的路由被认为不可达,而OSpF不受路由跳数的限制,它只受限于带宽和网络延迟,因而OSpF更适合应用于大型网络中。
2、RIp在规划网络时是不支持可变长子网掩码(VLSM),这将导致Ip地址分配的低效率,而OSpF路由协议支持VLSM,现在IpV4资源短缺,我们在划分大型网络的子网时,往往采用VLSM,这样划分子网效率更高,更节约Ip资源,所以OSpF更适合大型网络。
3、RIp必须每30秒就要周期性的广播整个路由表,才能使网络运行正常,如果RIp用在大型网络中,它会产生很多广播信息,而这些广播会占用较多的网络带宽资源,较频繁的更新有可能导致网络拥塞,其结果就是RIp用在大型网络中收敛速度较慢,甚至无法收敛。而OSpF使用组播发送链路状态更新,在链路状态变化时才进行更新,这样提高了带宽的利用率,收敛速度也大幅提高,能够在最短的时间内将路由变化传递到整个自治系统。
4、RIp没有网络延迟和链路开销的概念,拥有较少跳数的路由总是被选为最佳路由,即使较长的路径有低的延迟和开销,并且RIp没有区域的概念,不能在任意比特位进行路由汇总。而在OSpF路由协议中,往往把一个路由域划分为很多个区域area,每一个区域都通过OSpF边界路由器相连,区域间可以通过路由总结(Summary)来减少路由信息,从而减小路由表,提高路由器的运算速度。
OSpF路由协议拥有很多优点,特别适合用于大型网络,提高网络的运行速度,但它也有缺点:①使用OSpF路由协议,需要网络管理员事前先进行区域规划和路由器各端口Ip属性的设置,所以配置相对于静态路由RIp来说显得较为复杂,对网络管理员的网络知识水平要求较高。②对路由器的CpU及内存要求较高。
3OSpF配置命令及配置实例
在思科路由器中配置OSpF路由协议主要使用以下命令:①routeospf进程号,其中进程号要求范围为1~65535,进程号只在路由器内部起作用,不同路由器的进程号可以不同。②networkaddress子网掩码的反码area区域号,区域号要求在0~4294967295内的十进制数,也可以是带有Ip地址格式的X。X。X。X,当网络区域号为0时或0、0、0、0时为主干域,不同网络区域的路由器通过主干域学习路由信息。③showiproute,查看路由信息表,④showiprouteospf查看OSpF协议路由信息。
某学校采用四台思科3550路由器把整个学校划分为3个区域,四台路由器通过使用OSpF协议实现互通。路由器R1的S0端口Ip为192、200、10、5/30,E0端口Ip为192、1、0、129/26;路由器R2的S0端口Ip为192、200、10、6/30,E0端口Ip为192、1、0、65/26;路由器R3的E0端口Ip为192、1、0、130/26;路由器R4的E0端口Ip为192、1、0、66/
26、R1的S0端口和R2的S0端口划入区域0;R1的E0端口和R3的E0端口划入区域1;R2的E0端口和R4的E0端口划入区域
2、各路由器配置如下:在上述配置中首先对每台路由器接口进行配置,接口配置完后可以使用routerospf100命令启动一个OSpF路由选择协议进程,期中“100”为进程号,每台路由器进程号可不同,最后使用network将相应的网段加入OSpF路由进程中,则此接口所对应的网段就加入到OSpF进程中。
综上所述,OSpF作为一种链路状态的路由协议,具有收敛快,支持变长网络掩码,支持CIDR,配置命令简单易学等。所以在大型或复杂网络中应用OSpF协议可以极大的提高网络的运行效率。
第3篇:计算机网络教育和教师的教学对策
教师可以把计算机网络信息化的教学法融入教学中,并且能够通过四个方面得到体验:
1、信息的调整能力。教师需要在进行教学之前,运用信息器材的收集与教学相关的资料,有效地管理教学相关的课程文件,通过信息的积累,能够进行各个教学仪器的操作,在教学课程结束之后,可以通过信息仪器来记录学生的学习成果,还可以跟别人进行教学信息资源的交换和沟通。
2、结合教学过程。教师在进行课堂教学的时候,可以运用信息设备来讲解知识,可以运用远距离的教学方式,引导学生学习,从而提高教学效果。
3、体现教学的资源。教师把自己收集好的教学资源或者是学生的学习成果进行整理,通过网络和信息器材,体现出丰富的教学资源。
4、指导学生进行学习。教师可以引导学生正确地操作信息设备,来收集需要的资料和数据,使他们能够更好地完成教师布置的作业,并且能够展示自己的作品,从而深化所学的知识。
计算机网络教学中对教师的要求
计算机网络的技术和教学要求中专教师能够采用现代化的信息技术对课堂教学的内容、方式等作出合理的、科学的规划和设计,还需要中专教师不但要能够完成教学任务,并且确保在课堂教学中能够切实地解决问题。怎样使用计算机的网络技术来解答实际的问题是中专教师培养学生的操作能力的关键环节。这是一种能够面向所有学生开展的专业化的教学方式,是可以将教学、技术科学地融入一起的专业技术能力。中专教师为了确保计算机网络教学达到预定的目标,需要在教学过程中进行教学的监控。教学过程的监控是课堂教学中非常重要的环节,教师本身的素质、课堂教学的环境以及信息多媒体设备等都需要在监控下展开。
计算机网络教学的评价
教学质量的评价是教学过程中不能缺少的部分,也是验证教学的目的是否实现的重要途径。计算机网络技术的教学效果的评价方式包括单个的和综合性的评价。单个的评价方式就是对学生的听课的效果的评价,是通过课堂的回答问题的方式来进行的。综合性的评价,就是教师在进行正常的任务的布置之外,在课下布置一些与教学相关的实际性的问题。
计算机网络教学,实现了中专教学由教师和学生一起通过计算机网络来共同学习和完成教学的目标。教师通过网络布置的任务,学生通过对任务资料的收集和教师在网上的指导,跟教师进行知识的交流和沟通。学生能够在这样的过程中明白怎样得到知识的资源,使理论知识得到实际应用。使学生的潜在的能力被挖掘出来,并且提高了学生的学习成绩,增强了教学效果。
第4篇:计算机毕业论文范文
试议自动化仪表与计算机在现代化大生产中的应用
摘要:高新技术和计算机上在各种生产生活领域中的应用越来越普遍,不仅实现了设备和仪器的功能上的升级,还对自动化管理进行了的改善,计算机技术的这种大规模的应用无疑是相较于传统生产管理技术更加适合社会 化大生产的。
关键词动化仪表计算机现代化生产应用
就目前我国现代化生产的目前状况来看,自动化相关技术和计算机技术的应用已经大大的提高了生产效率,实现了更加全方位的生产运转和系统管理。由于生产过程中需要实现对各种数据以及设备运转状况的检测,所以自动化的仪表管理也是现代化企业生产管理的一个重要组成部分。现代化仪表的管理活动应该根据仪表的功能和型号的不同进行划分,并且还要对其运转的温度和环境进行实时的监控。1现代化大生产中使用的几种常见仪表的种类 1、1温度仪表
所谓温度仪表,就是对生产环境的温度进行检测的一种测量仪器,这种仪表是应用范围最广也是最常见的一种,因为大多数的生产车间都需要对温度进行有效的监管和制约,温度过高会使运转中的仪器存在安全隐患,而温度过低则会不利于工作人员的工作状态,所以温度仪表是目前我国生产过程中最常见的仪表之一,其主要的工作原理是通过对仪器进行接触式的电阻感应,实现温度的测量。1、2压力仪表
所谓压力仪表,指的就是在生产过程中对施加在被测物体上的各种压力进行测量的一种仪表,这种仪表的最大的特点是能够实现对300Mpa以内的力的压强的测量,并且可以根据液柱、弹性等不同的原理,对待测物体所承受的压强进行显示。一旦超过设定的最高压强界限,就会自动引起警告。1、3物位仪表
所谓物位仪表的应用,就是指在生产设备的运转过程中,对仪器内以及容器内的流体高度或者固体位置进行的一种测量,这种测量的目的在于确自动化仪表与计算机在现代化大生产中的定物体的位置和范围,以便与对容器的含量进行制约,同样的一旦超出合理范围,该仪表就会发出警告信号。1、4流量仪表
所谓流量仪表,是指对流动中的各种能量的运转状况进行测量的一种仪表,所以一般来说,被应用于电磁流量和超声波流量的测量活动中,作为目前来说技术最先进也是用途最前沿的一种测量仪表,流量仪表未来的市场前景和发展空间都被普遍看好。1、5在线过程分析仪器
所谓在线过程分析仪器,就是对生产设备在一定时间内的各种运转指标和参数进行统一的制约和管理的一种仪器,这种仪器不仅能够实现对生产设备的温度和压力的测量,还能够根据既定系统的设置,对其运转状况进行简单的分析,也就是说,可以实现对运转状况的调试,以满足目前的生产运转需要。这种过程分析仪器,不仅实现了基本的测量功能,还实现了初步的自动化管理功能。1、6执行器
所谓执行器,就是指在对生产设备的应用过程中,通过结合对定位器的使用来实现对生产设备的调节阀的制约和管理,以此来保证设备的安全和稳定运转。一般来说,目前我国的执行器的主要种类为液动执行器,这种执行器的作用原理是通过对其中的气动薄膜的调控来实现的。
2自动化仪表的应用目前状况 2、1在高压站防喘振系统的应用
高压站指的就是生产车间内部的为了达到一定生产效果所设置的高压环境,在这个环节中要想实现对设备的自动化的管理和制约是比较难的。目前我国采用的高压站的测量仪器主要是防喘振技术,其型号为DDZ-II,该测量仪表不仅具有自动调节的功能,还具备一定的运算能力,即可以在检测的过程中实现对目前高压站内的进风速度和流量等参数进行统计,实现更好的高压生产环境检测。这种系统的应用最大的效果就是可以简化高压站内的设备运转状况的实时检测,还可以简化操作步骤。
对于这一系统当中防喘振的实现来讲,主要就是通过对压力以及流量这两个参数进行测量,之后由调节器pID来进行运算,从而把输出制约气动阀计算出来。具体来讲,比值给定的Y=KX+b气动阀调节的最小开度范围应该是10%~15%,其安全的余度范围应该在8%~10%之间,同时应该要确保压缩机出口的压力应该为0、9Mpa,确保入口的流量应该是350m3/min,只有在满足这些情况之下,才能够对系统的安全运转提供保证。需要指出的是K所表示的是比值,X所表示的是输入,b所表示的是定值。2、2在基于STD-pC计算机核心的系统中的应用
对于这一过程的实现主要就是通过对碱液流量、碱液密度、下料量以及磨机功率等等的测量,来将所测得的数据作为采样的信号,从而来对其加以合理的调节制约,通过此来时的整个生产工艺的制约达到自动化的目的。具体的参数是:电磁流量计采用的型号是pULSMAGNDMI6532,这一型号的量程为50~150m3/h;核子称为HCS;放射源为Cr137;输出4~20mADC;核密度计采用的是型号是NNF-215,这一型号的放射源是Cr137;输出是4~20mADC。
具体系统制约的实现主要从两个方面来进行,第一,碱液调配系统。所谓碱液的调配系统,就是指通过对既定的碱液的配置比例的分析,可以实现自动化的相关溶液的配置,也就是说能够通过系统的自动制约发出动作,对各个配置环节进行逐一的操作。这个过程中还需要电磁流量计、密度计以及核子称等各种设备的配合。第二,测量显示。所谓测量显示,就是在碱液的配置过程中,能够实现对各个操作步骤的进行情况的显示,这样也就实现了对配置过程的一个系统的自我监控,一旦发现操作过程不符合操作要求,就会及时的发出警报信号,终止或者改善这种调配活动。此外,测量显示还体现在对设备的运转功能的显示,主要是通过磨机功率变送器来把同步机的功率转换成为4~20mA的信号,并输入至计算机,予以显示出来。对于各个仓槽料位的设定来讲,主要就是通过电容式料位开关来把上限和下限确定好,之后,将开关量以及计算机接口输出,之后通过输入通道由计算机来把开关量转换成为0、1这样的信息。这里需要注意的是,对于原料磨这一工艺来讲,主要采用STD-pC这一系统来进行自动制约的,通过此,能过使得产品的质量得到保证,能够使得生产的成本得到降低,能够大大提升工作的效率。
3结语 综上所述,近些年来自动化仪表在不断地应用发展当中获得了巨大地成效,未来的生产管理和系统监控也必定会朝着自动化的方向发展,所以,有关部门和技术人员应该加强对自动化仪表的应用状况的分析和检测,不断的完善自动化仪表的设备和技术,从而使自动化仪表朝着更加完善的方向发展,不断的推动我国的生产水平的提高。
参考文献
1高海平。自动化仪表调节阀故障分析与策略研究J。魅力中国,2016(12)。
2陈军,刘国明,蒋德华。石油化工自动化仪表的浅析J。化学工程与装备,2016(4)。
第5篇:计算机网络安全管控技能与方案
教师要注重教学方法,培养学生学习兴趣
(1)教师要做好新课的导入工作,吸引学生的注意力,变被动学习为主动学习。对于计算机网络这门抽象的课程,学生学习时的主动性都不太高,所以教师在认真备课的同时,要想想如何才能吸引学生的注意力,使其感兴趣。另外,教师要注意课堂时间的配置,保证上课节奏的紧凑,减少学生“开小差”的时间。教师可及时提出一些问题,让注意力不集中的学生及时地“回到”课堂中。
(2)教师教学时要注意理论联系实际,让学生知道如何运用所学知识解决实际问题,达到一定的教学效果。教师授课时应该及时将学科前沿、科研成果与经验引入到教学活动中,既避免了教学过程中理论与实践的脱节,又保证了教学内容新颖生动,教学效果良好。
(3)教师可以考虑改变讲授地点,直接在计算机机房进行教学。计算机网络是一门实践操作课程,除了少数纯理论的章节在教室讲解外,其余课程均可在机房内操作学习,尽量使学生边学边练,在大量的练习中掌握知识点。教师在机房的讲授过程中可以适当让学生先动手自己操作,出现错误或者遇到不会的知识点时,教师从旁指导,使学生更快更好地掌握相对应的知识。
(4)教师可以探究型教学法为主进行教学。有些老师认为计算机网络是一门新的课程,而且比较抽象,所以主要会采用授导型教学,但是这样出现的后果是学生们思考的较少,老师教的偏多,不能调动学生学的同时及时思考,最终无法达到知识的融会贯通。如果尝试在计算机网络学习中采用探究型教学法,则能使学生产生积极完成任务的动机,老师再带领学生对学习任务进行剖析,使学生能在学习中发现问题、解决问题,逐步丰富他们的学习经验,培养提高他们独立完成任务的能力。
(5)可以采用老师布置任务、学生分组实验的方法进行计算机网络实验教学。实验教学不仅是学生获取知识、巩固知识的重要手段,更是培养学生思考能力、动手能力、创新能力不可或缺的环节。而在实验教学中,学生分组实验作用大,效果明显,成功的分组实验,既可以让学生获取新的知识,加深对网络知识的理解,又可以让学生在探究的快乐中激发出浓厚的学习兴趣。分组实验往往是3~4人一组,这样可以培养学生的合作意识、团队意识,共同探讨完成实验。最后,老师尽可能在短时间内对实验进行总结评估,以加深学生对知识的理解与掌握,确保实验课的效果。
在总结评估时,既要对学生做得好的地方进行表扬,也要客观地指出实验中存在的问题,尤其对错误的操作要重点指出,组织学生讨论,让学生明白:实验时当然要力求成功,但也允许失败,失败了,就要弄清楚失败的原因。
要想学好计算机网络,需要一个长期的过程。对于刚入门的学生,我会提出让其课后继续学习计算机网络的要求,并帮助学生解决其在现实生活中遇到的关于计算机网络方面的问题,从而使学生能真正学精这门课程。
第6篇:浅议计算机网络管理系统的目前状况及发展趋势
摘要:文章介绍了计算机网络管理系统的基本知识,并对计算机网络管理系统的应用目前状况及存在的理由进行了分析,最后提出了计算机网络管理系统未来的发展趋势。
关键词网络管理SNMp目前状况发展趋势
进入20世纪90年代以来,随着计算机的普及以及计算机技术和通讯技术的发展,网络也越来越快地走近我们,计算机网络已成为当今信息时代的支柱。计算机与通信的结合产生了计算机网络,信息社会对计算机网络的依赖,又使得计算机网络本身运转的可靠性变得至关重要,向网络的管理运转提出了更高的要求。网络系统的维护与管理日趋繁杂,网络管理人员用人工策略管理网络已无法可靠、迅速地保障网络的正常运转;无法满足当前开放式异种机互联网络环境的需要,人们迫切地需要用计算机来管理网络,提高网络管理水平,使信息安全,快捷地传递。于是计算机网络管理系统便应运而生了。
1计算机网络管理系统的基本知识 1、1计算机网络管理系统的概念
计算机网络管理就是收集网络中各个组成部分的静态、动态地运转信息,并在这些信息的基础上进行分析和做出相应的处理,以保证网络安全、可靠、高效地运转,从而合理分配网络资源、动态配置网络负载,优化网络性能、减少网络维护费用 1、2网络管理系统的基本构成
概括地说,一个典型的网络管理系统包括四个要素:管理员、管理代理、管理信息数据库、代理服务设备。1、2、1管理员
实施网络管理的实体,驻留在管理工作站上。它是整个网络系统的核心,完成复杂网络管理的各项功计算机网络管理系统的目前状况及发展趋势。网络管理系统要求管理代理定期收集重要的设备信息,收集到的信息将用于确定单个网络设备、部分网络或整个网络运转的状态是否正常。1、2、2管理代理
网络管理代理是驻留在网络设备中的软件模块,它可以获得本地设备的运转状态、设备特性、系统配置等相关信息,通过制约设备的管理信息数据库(MIB)中的信息来管理该设备。1、2、3管理信息库
它存储在被管理对象的存储器中,管理库是一个动态刷新的数据库,它包括网络设备的配置信息,数据通信的统计信息,安全性信息和设备特有信息。这些信息、被动态送往管理器,形成网络管理系统的数据来源。1、2、4代理设备和管理协议
代理设备在标准网络管理软件和不直接支持该标准协议的系统之间起桥梁作用。利用代理设备,不需要升级整个网络就可以实现从旧协议到新版本的过渡。对于网络管理系统来说,重要的是管理员和管理代理之间所使用的网络管理协议,如SNMp,和它们共同遵循的MIB库。1、3网络管理系统的功能
ISO在ISO/IEC7498-4文档中定义了网络管理的五大功能,即配置管理、故障管理、性能管理、计费管理与安全管理。故障管理:其主要功能是故障检测、发现、报告、诊断和处理。配置管理:其主要功能包括网络的拓扑结构关系、监视和管理网络设备的配置情况,根据事先定义的条件重构网络等。性能管理:监测网络的各种性能数据,进行阈值检查,并自动地对当前性能数据、历史数据进行分析。安全管理:主要是对网络资源访问权限的管理。包括用户认证、权限审批和网络访问制约(防火墙)等功能。计费管理:主要是根据网络资源使用情况进行计帐。1、4网络管理协议
由于网络中广泛存在着多厂家、异构异质和固有的分布性等特点,人们才在网络管理中引入了标准,以规范网络设备的生产和网络管理系统的开发。这种标准就是网络管理协议。目前最有影响的网络管理协议是SNMp(简单网络管理协议)和CMIS/CMIp(公共管理信息协议),它们也代表了目前两大网络管理解决方案。SNMp是建立在TCp/Ip协议之上,用TCp/Ip协议的传输层协议UDp(用户据报协议)作为传输协议。
2计算机网络管理系统的应用目前状况及存在的理由
关于计算机网络管理,早在80年代,我国就开始注意网络管理技术的发展,并己着手进行研究,二十年来虽然取得了一些成绩,但还是存在一些理由。总的来说,我国的网络管理水平还比较低,目前也没有通用的网管平台开发出来。
由于网络管理系统对一个网络系统的高效运转非常重要,所以在我国大力推广网络管理系统的研究与应用非常迫切。为此,在应用方面我们要采取引进与自主开发相结合的方式。在研究方面,应尽可能跟踪国外的先进技术,并开展自己的研究。因此,我们应积极开展同国外的合作,吸收和利用国外的先进技术,推广网络管理技术在我国的应用,以提高网络在我国的应用效率和作用。
3计算机网管管理系统的发展趋势
现在的计算机网络管理系统开始向应用层次渗透。传统的计算机网络管理系统所注意的对象就是处在网络层的各种网络设备,利用SNMp来制约和管理设备,以设备或者说设备集为中心。现在用户在网上的应用增加,应用对网络带宽的要求也越来越高了。因此,在现有的网络带宽有限的情况下,为了更好的利用带宽资源,必须转变原来不区分服务内容的传输,而是根据服务的内容,给各个应用提供高质量的服务。然而,尽管网络管理技术多种多样、各具特色,但是随着标准化活动的开展及系统互联的需要,网络管理发展有如下趋势: 3、1实现分布式网络管理
分布式对象的核心是解决对象跨平台连接的和交互的理由,以实现分布式应用系统,象OMG组织提出的CORBA就是较理想的平台。分布式网管就是设立多个域管理进程,域管理进程负责管理本域的管理对象,同时进程间进行协调和交互,以完成对全局网的管理。3、2实现综合化网络管理
综合化网络管理要求网络管理系统提供多种级制的管理支持。通过一个操作台实现对各个子网的透视;对所管业务的了解以及提供对故障的定位和排除的支持。即实现对互联的多个网络的管理。随着网络管理的重要性越来越突出,各种各样的网络管
理系统便应运而生。这些管理系统有管理SDH网络的,有管理Ip网络的等等。一方面,这些网络管理系统所管理的网络存在互连或互相依赖的关系;另一方面存在多个网管系统,相互独立,分管网络的不同部分。
3、3实现对业务的监控功能传统网管都是针对网络设备的管理,并不能直接反应出设备故障对业务的影响。目前有些网管产品已经实现对进程的监控。对于客户来说,他们注重于所得到的服务,像节目的多少、节目的质量等,因此,对服务、业务计算机网络管理系统的目前状况及发展趋势的监控将是网管进一步的管理目标。3、4实现智能化管理
支持策略管理和网络管理系统本身的自诊断、自调整。采用人工智能技术进行维护、诊断、排除故障及维护网络运转在最佳状态成为必定趋势。必须用智能化策略对涉及性能下降所相关的网络资源进行监控,执行必要的操作。3、5实现基于web的管理
通过使用web浏览器在网络的任何节点上去监测、制约网络及各子网的管理功能。基于web的管理以其统一、友好的界面风格,地理和系统上的可移动性以及系统平台的独立性吸引着越来越多的用户和开发商。
目前的计算机网络管理功能仅是实现了该网络管理系统功能开发和应用的一部分,离整个计算机网络管理功能的实现还有一定差距,今后可在这方面作进一步研究和开发,以完善其管理。
第三篇:计算机论文
毕业论文
学院:
专业:
班级:
姓名:
浅谈计算机网络安全策略
考号:姓名:李延权
摘 要:
在短短的几年时间里,从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术,在到第三代以internet互联技术为基础的信息网络时代。所有这些,都促使了计算机网络互联技术迅速的大规模使用,极大地方便了各种计算机连网,拓宽了共享资源。同时也突出了一个很严重的问题,那就是网络安全的问题。
关键词:网络;安全;防火墙
随着计算机网络技术的发展,社会的需求等诸多问题都体现了互联网的重要性。无论是我们的政府机构、军事基地,还是各大企业以及各高校都相继有了自己的内部和外部网络。而网络安全问题也是我们急需要解决的问题。小到个人的电脑系统瘫痪、帐号被盗,大到政府、军方重要的机密资料,财政资料数据被非法查看修改等等。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。
根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有
发生。
由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
一、网络安全的理论基础
国际标准化组织(ISO)曾建议计算机安全的定义为:“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了帮助计算机用户区分和解决计算机网络安全问题,美国国防部公布了“桔皮书”(orange?book,正式名称为“可信计算机系统标准评估准则”?),对多用户计算机系统安全级别的划分进行了规定。
桔皮书将计算机安全由低到高分为四类七级:D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级,C1和C2级是具备最低安全限度的等级,B1和B2级是具有中等安全保护能力的等级,B3和A1属于最高安全等级。
D1级:计算机安全的最低一级,不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不可信任的,硬件软件都易被侵袭。
C1级:自主安全保护级,要求硬件有一定的安全级(如计算机带锁),用户必须通过登录认证方可使用系统,并建立了访问许可权限机制。
C2级:受控存取保护级,比C1级增加了几个特性:引进了受控访问环境,进一步限制了用户执行某些系统指令;授权分级使系统管理员给用户分组,授予他们访问某些程序和分级目录的权限;采用系统审计,跟踪记录所有安全事件及系统管理员工作。
B1级:标记安全保护级,对网络上每个对象都予实施保护;支持多级安全,对网络、应用程序工作站实施不同的安全策略;对象必须在访问控制之下,不允许拥有者自己改变所属资源的权限。
B2级:结构化保护级,对网络和计算机系统中所有对象都加以定义,给一个标签;为工作站、终端等设备分配不同的安全级别;按最小特权原则取消权力无限大的特权用户。B3级:安全域级,要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小。A1级:验证设计级,是计算机安全级中最高一级,本级包括了以上各级别的所有措施,并附加了一个安全系统的受监视设计;合格的个体必须经过分析并通过这一设计;所有构成系统的部件的来源都必须有安全保证;还规定了将安全计算机系统运送到现场安装所必须遵守的程序。
在网络的具体设计过程中,应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等,综合考虑来确定一个比较合理、性能较高的网络安全级别,从而实现网络的安全性和可靠性。
二、?网络安全应具备的功能
为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:
(1)访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
(2)检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
(3)攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
(4)加密通讯:主动地加密通讯,可使攻击者不能了解、修改敏感信息。
(5)认证:良好的认证体系可防止攻击者假冒合法用户。
(6)备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
(7)多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
(8)?设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。
三、?网络系统安全综合解决措施
要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题,提出一些防范措施。
物理安全:
物理安全可以分为两个方面:一是人为对网络的损害;二是网络对使用者的危害。
最常见的是施工人员由于对地下电缆不了解,从而造成电缆的破坏,这种情况可通过立标志牌加以防范;未采用结构化布线的网络经常会出现使用者对电缆的损坏,这就需要尽量采用结构化布线来安装网络;人为或自然灾害的影响,需在规划设计时加以考虑。
网络对使用者的危害主要是电缆的电击、高频信号的幅射等,这需要对网络的绝缘、接地和屏蔽工作做好。
实施方案可以从以下几个方面考虑。
1.PC机
1.1 PC终端机
对于终端机来说,我们应该把一切的系统漏洞全部打上补丁。像360安全卫士是一款不错的实用、功能强大的安全软件。里面有“修复系统漏洞”选项,我们只要点击扫描,把扫描到的系统漏洞,点击下载安装,并且都是自动安装,安装完就可以了。
1.2 安装杀毒软件
比如说中国著名的瑞星杀毒软件,从瑞星官方网站下载,下载完,安装简体版就可以了。安装完之后,就进行全盘查毒。做到客户机没有病毒。让电脑处于无毒环境中。也可以在【开始-运行】中输入【sigverif】命令,检查系统的文件有没有签名,没有签名的文件就有可能是被病毒感染了。可以上网查询之后,进行删除。
1.3 防火墙
打好系统漏洞补丁,安装好杀毒软件之后,就是安装防火墙像瑞星防火墙,天网防火墙以及风云防火墙等。风云防火墙是一款功能强大的防火墙软件,它不仅仅能防病毒,还能防现在很是厉害的ARP病毒。
1.4 用户设置
把Administrator超级用户设置密码,对不同的用户进行用户权限设置。
2.网络安全分析
2.1 网络安全分析
网络安全分析主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
3.解决方案
3.1 防火墙技术
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个
分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
(1)屏蔽路由器:又称包过滤防火墙。
(2)双穴主机:双穴主机是包过滤网关的一种替代。
(3)主机过滤结构:这种结构实际上是包过滤和代理的结合。
(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。
3.2 VPN技术
VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。其处理过程大体是这样:?
①?要保护的主机发送明文信息到连接公共网络的VPN设备;?
②?VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。?③?对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。?
④?VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。?
⑤?VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。?
⑥?当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。?
3.3 网络加密技术(Ipsec)
IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括:
(1)访问控制;
(2)无连接完整性;
(3)数据起源认证;
(4)抗重放攻击;
(5)机密性;
(6)有限的数据流机密性。
3.4基于PKI的认证
使用PKI(公开密钥体系)进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
3.5 身份认证
任何良好的安全系统必须包括加密!这已成为既定的事实。网络上的加密可以分为三层:第一层为数据链路层加密,即将数据在线路传输前后分别对其进行加密和解密,这样可以减少在传输线路上被窃取的危险;第二层是传输层的加密,使数据在网络传输期间保持加密状态;第三层是应用层上的加密,让网络应用程序对数据进行加密和解密。当然可以对这三层进行综合加密,以增强信息的安全性和可靠性。
数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它主要通过加密算法和证实协议而实现
3.6User?Name/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密。
3.7使用摘要算法的认证
Radius(远程拨号认证协议)、OSPF(开放路由协议)、SNMP?Security?Protocol等均使用共享的Security?Key(密钥),加上摘要算法(MD5)进行认证,但摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security?key,所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。
四、安全管理队伍的建设。
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
结论
综上所述,对于计算机网络传输的安全问题,我们必须要做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。一方面,可以实现对上网用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP?for?Business?Security对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使我们对网络安全技术的更深刻的了解。
参考文献:
[1]??蔡皖东.计算机网络技术.西安电子科技大学出版社,?1998.[2]??杜飞龙.?Internet原理与应用.人民邮电出版社,?1997.[3]??胡道元.信息网络系统集成技术.清华大学出版社,?1995.[4]??杨明福.计算机网络.电子工业出版社,?1998.5.[5]??袁保宗.因特网及其应用.吉林大学出版社,?2000.[6]??隋红建等.计算机网络与通信.北京大学出版社,?1996.[7]??周明天等.TCP/IP网络原理与应用.?清华大学出版社,?1993.[8]??计算机学报.?2007-2010.[9]??网络报.?2008-2009.[10]?电脑报.?2007-2010.??w.studa.ne
第四篇:计算机安全论文
XXXXX学院 成人高等教育
毕
业
论
文
论文题目: 计算机网络安全技术研究
姓
名
XXXXXX 院(系):
XXXXXX院
专业班级
(113474016)计算机科学与技术 学
号
2XXXXXX 指导教师
XXXX
XXXXX院继续教育学院制
学生承诺书
本人承诺在毕业论文(设计)活动中遵守学校有关规定、恪守学术规范,在本人毕业论文(设计)内容除特别注明和引用外,均为本人观点,不存在剽窃、抄袭他人的学术观点、思想和成果,不存在伪造、篡改实验数据。如有违规行为发生,我愿承担一切责任,接受学校的处理,并承担相应的法律责任。
承诺人(签名):
摘 要
21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击,因此,网络信息资源的安全及管理维护成为当今信息话时代的一个重要话题。
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络面临的安全性威胁(黑客入侵)及管理维护(防火墙安全技术)。进一步阐述了网络拓扑结构的安全设计,包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法做了简要的分析,论述了其安全体系的构成。
关键词:信息安全 网络 防火墙 数据加密
目 录
摘要...................................................................3 目录...................................................................4 第一章 引言
1.1 概述..............................................................6 1.2 网络安全技术的研究目的 意义和背景................................6 1.3 计算机网络安全的含义..............................................7 第二章 网络安全初步分析
2.1 网络安全的必要性..................................................8 2.2 网络的安全管理....................................................8 2.2.1安全管理原则...................................................8 2.2.2安全管理的实现...................................................8 2.3 采用先进的技术和产品
2.3.1 防火墙技术.....................................................9 2.3.2 数据加密技术...................................................10 2.3.3 认证技术.......................................................10 2.3.4 计算机病毒的防范...............................................10 2.4 常见的网络攻击及防范对策.......................................11 2.4.1 特洛伊木马.....................................................11 2.4.2 邮件炸弹.......................................................11 2.4.3 过载攻击........................................................12
2.4.4 淹没攻击.......................................................12 第三章
网络攻击分析................................................13 第四章
网络安全技术................................................15 4.1 防火墙的定义和选择...............................................15 4.2 加密技术.........................................................16 4.2.1 对称加密技术...................................................16 4.2.2 非对称加密/公开密钥加密........................................16 4.2.3 RSA算法.......................................................16
4.3注册与认证管理..................................................17 4.3.1 认证机构....................................................17 4.3.2 注册机构....................................................18 4.3.3 密钥备份和恢复..............................................18 4.3.4 证书管理与撤销系统...........................................18
第五章 安全技术的研究
5.1 安全技术的研究现状和方向....................................19 5.2 包过滤型....................................................19 5.3 代理型......................................................19
结束语.............................................................21 参 考 文 献
第一章 引言
1.1 概述
我们知道, 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。
随着计算机网络的发展,网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国特色的网络安全体系。
一个国家的安全体系实际上包括国家的法律和政策,以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几个特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断的变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合开发。安全与反安全就像矛盾的两个方面,总是不断的向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。
1.2 网络安全技术的研究目的、意义和背景
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给
社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。
随着计算机络的不断发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言,其网上信息的安全性和保密性尤为重要。因此,上述的网络必须要有足够强的安全措施,否则该网络将是个无用、甚至会危机国家安全的网络。无论是在局域网中还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性,故此,网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。
认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用现金的技术和产品,构造全防卫的防御机制,使系统在理想的状态下运行。
1.3 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
第二章 网络安全初步分析
2.1 网络安全的必要性
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征。人们称它为信息高速公路。网络是计算机技术和通信技术的产物,适应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的。
2.2 网络的安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。
2.2.1安全管理原则
网络信息系统的安全管理主要基于3个原则:
多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作以得到保障。与安全有关的活动有:访问控制使用证件的发放与回收,信息处理系统使用的媒介发放与回收,处理保密信息,硬件与软件的维护,系统软件的设计、实现和修改,重要数据的删除和销毁等。
任期有限原则
一般来讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期的循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
除非经系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。
2.2.2 安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作是:
根据工作的重要程度,确定该系统的安全等级。
根据确定的安全等级,确定安全管理范围。
制定相应的机房出入管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统,采用此卡、身份卡等手段,对人员进行识别,登记管理。
2.3 采用先进的技术和产品
要保证计算机网络安全的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
2.3.1 防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可以监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:应用层网关、数据包过滤、代理服务器等几大类型。
2.3.2 数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为了提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用的不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
2.3.3 认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接受者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被篡改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
2.3.4 计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
① 较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、UNIX 和 Netware 系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查杀、杀毒范围广、能力强的特点。
② 完善的升级服务。与其他软件相比,防病毒软件更需要不断的更新升级,以查杀层出不穷的计算机病毒。
2.4 常见的网络攻击和防范对策
2.4.1 特洛伊木马
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马的程序包括两部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的过程中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
2.4.2 邮件炸弹
邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同以地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,妨碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复消息,也可以使自己的SMTP连接只能
达成指定的服务器,从而免受外界邮件的侵袭。
2.4.3 过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用的最多的一种方法是进程攻击,它是通过大量地进行人为的增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在着一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。另外,还可以让系统自动检查是否过载或者重新启动系统。
2.4.4 淹没攻击
正常情况下,TCP连接建立要经过3次握手的过程,即客户机向客户机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断的向被攻击的主机发送SYN请求,被攻击主机就一直处于等待状态,从而无法响应其他用户请求。
对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
第三章 网络攻击分析
攻击是指非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。
在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击:Does是Denial of Service的简称,即拒绝服务,造成Does的攻击行为被称为Does攻击,其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。而分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在 Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻击。
因为此攻击基于TCP/IP 协议的漏洞,要想避免除非不使用此协议,显然这是很难做到的那我们要如何放置呢?
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么? 谁在使用主机? 哪些人可以访问主机? 不然,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统—甚至是受防火墙保护的系统。
4.确保运行在 Unix上的所有服务都有TCP封装程序,限制对主机的访问权。5.禁止内部网通过Modem连接至PSTN 系统。否则,黑客能通过电话线发现未受保
护的主机,即刻就能访问极为机密的数据。
6.禁止使用网络访问程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传递口令,而Telnet和 Rlogin 则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost 和 hosts.equiv 文件删除,因为不用猜口令,这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换他,文件传输功能无异将陷入瘫痪。
8.确保手头上有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
9.在防火墙上运行端口映射程序或端口扫描程序。大多数时间是由于防火墙配置不当造成的,使DoS/ DDoS攻击成功率很高,所以一定要认真检查特权端口和非特权端口。
10.检查所有网络设备和主机/服务器系统的日志。只要日志出现纰漏或时间出现变更,几乎可以坑定:相关的主机安全收到了威胁。
第四章 网络安全技术
4.1 防火墙的定义和选择
4.1.1防火墙的定义
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。
4.1.2 防火墙的选择
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也不应该考虑在内。如果仅作粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论选择防火墙的标准有很多,但最重要的是以下两条:
(1)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。
如果像玛奇诺防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙十分不熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(2)可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提供,用户仍然有进一步增加选择的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大产品的覆盖面。
4.2 加密技术
信息交换加密技术分为两类:即对称加密和非对称加密.4.2.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56位密钥对信息进行3次加密,从而使有效密钥长度达到112位。
4.2.2 非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛分布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制。其安全性是基于分散大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分散两大素数之积。RSA算法的描述如下:
公开密钥: n=pq(p、q 分别为两个互异的大素数,p、q 必须保密)e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 为明文,c为密文。解密:m=cd(mod n)利用目前已经掌握的只是和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.3 注册与认证管理
4.3.1 认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是频发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且还与整个PKI系统的构架和模型有关。
4.3.2 注册机构
RA(Registration Authority)是用户和CA的借口,它所获得的用户标识的准确性是CA发给证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.3 密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.3.4 证书管理与撤销系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤销,证书撤销的理由是各种各样的。可能包括工作变动到对密钥怀疑等一系列原因。证书撤销系统实现是利用周期性的发布机制撤销证书或采用在线查询机制,随时查询被撤销的证书。
第五章 安全技术的研究
5.1 安全技术的研究现状和方向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。根据防火墙所采用的技术不同,将它分为4个基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。
5.2 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会含一些特定信息,防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一单发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
5.3 代理型
代理型的安全性能要高过包过滤型,并已经开始向应用层发展。代理服务器位于客户
机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
结束语
互联网现在已经成为了人们不可缺少的通信工具,其发展速度也快的惊人,以此而来的攻击破坏层出不穷,为了有效的防止入侵把损失降到最低,我们必须适合注意安全问题,使用尽量多而可靠的安全工具经常维护,让我们的网络体系完善可靠。在英特网为我们提供了大量的机会和便利的同时,也在安全性方面给我们带来了巨大的挑战,我们不能因为害怕挑战而拒绝它,否则就会得不偿失,信心安全是当今社会乃至整个国家发展所面临的一个只管重要的问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要的组成部分,甚至应该看到它对我国未来电子化、信息化的发展讲起到非常重要的作用。网络安全是一项动态的、整体的系统工程,我们应该结合现在网络发展的特点,制定妥善的网络安全策略,将英特网的不安全性降至到现有条件下的最低点,让它为我们的工作和现代化建设做出更好的服务。
参 考 文 献
[1] 谢希仁.计算机网络 电子工业出版社
[2]汤小丹、梁红兵.计算机操作系统 西安电子科技大学出版社 [3] 李伟.网络安全实用技术标准教程 清华大学出版社 [4] Andrew S.Tanenbaum.计算机网络 清华大学出版社
第五篇:计算机网络安全论文
计算机网络安全
随着互联网的飞速发展,网络安全左键成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题,在其最简单的形式中,它主要关心的对象是那些无权使用,但却试图获得远程服务的人,安全性也处理合法消息被截获和重播的问题,发送者是否发送过该消息的问题。随着计算机网络的发展和Internet的广泛普及,信息已经成为现代社会生活的核心。国家政府机构、各企事业单位不仅大多建立了自己的局域网系统,而且通过各种方式与互联网相连。通过上网树立形象、拓展业务,已经成为政府办公、企业发展的重要手段。
可是当计算机发展的同时,影响计算机网络安全的因素也在不断显现。为此,我们需要针对计算机网络安全,采取相应必要的措施。所以,就让我在关于计算机网络安全措施方面来谈谈吧!
首先,我们需要知道计算机安全的定义:国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。当我们明白了什么是计算机安全,那么我们就需要了解一些影响计算机网络安全的主要因素,我列举了以下几点:
1、网络系统本身的问题
目前流行的许多操作系统均存在网络安全漏洞,如UNIX,MS NT 和Windows。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。具体包括以下几个方面:稳定性和可扩充性方面,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响;网络硬件的配置不协调,一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定;缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机;
2、来自内部网用户的安全威胁
来自内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失,管理制度不健全,网络管理、维护任在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。其自然。特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也不起。
3、缺乏有效的手段监视、硬件设备的正确使用及评估网络系统的安全性
完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术
4、黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击
我们可以看到,影响计算机安全的因素也是非常多的,可是我们不能只单单找出影响的因素啊,我们应该找出解决方法何预防措施啊!那么如何才能使我们的网络百分之百的安全呢? 其实呢,对于这个问题的最简单的回答是:不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围来看,网络安全不仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济各方面。既然我们无法做到百分之百,那么对能解决的,我们尽量解决,不能解决的,我们要采取措施预防!
从目前来看,我们可从提高网络安全技术和人员素质入手。因此,我们亦可以采取以下几种方式:
1、依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制、各种网络安全制度,加强网络安全教育和培训。
2、网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。现在网络版杀毒软件比较多,如瑞星、江民、趋势、金山毒霸等。
3、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止 Internet上的不安全因素蔓延到局域网内部,根据不同网络的安装需求,做好防火墙内服务器及客户端的各种规则配置,更加有效利用好防火墙。
4、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在学校、政府机关、企事业网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系,有的入侵检测设备可以同防火强进行联动设置。
5、Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
6、漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
7、IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的 MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
8、利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
对于以上的方法和措施,我们完全可以在计算机使用中遇到,正如前面所说,他并不能百分之百的保护我们的计算机网络安全,但却可以为我们解决一般性问题和预防肯能会发生的严重问题。
无论如何,网络安全与网络的发展戚戚相关。网络安全是一个系统的工程,不能仅依靠、杀毒软件、防火墙、漏洞检测等等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,安全保护的对象是计算机 ,而安全保护的主体则是人,应重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,才可能防微杜渐。把可能出现的损失降低到最低点,才能生成一个高效、通用、安全的网络系统。