第一篇:论计算机网络的安全性设计
论计算机网络的安全性设计
本文将介绍我在网络安全性和保密性方面所采取的一些方法和策略,主要包括网络安全隔离、网络边界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,我公司网络目前仍存在的一些问题或不足,并提出了一些改进办法。
摘要:
我在一家证券公司信息技术部门工作,我公司在2002年建成了与各公司总部及营业网点的企业网络,并已先后在企业网络上建设了交易系统、办公系统,并开通了互联网应用。因将对安全要求不同、安全可信度不同的各种应用运行在同一网络上,给黑客的攻击、病毒的蔓延打开了方便之门,给我公司的网络安全造成了很大的威胁。
作为信息技术中心部门经理及项目负责人,我在资金投入不足的前提下,充分利用现有条件及成熟技术,对公司网络进行了全面细致的规划,使改造后的网络安全级别大大提高。本文将介绍我在网络安全性和保密性方面采取的一些方法和策略,主要包括网络安全隔离、网络边界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,针对我公司网络目前仍存在的一些问题或不足,提出一些改进办法。
正文:
我在一家证券公司工作,公司在2002年就建成了与各公司总部及营业网点的企业网络,随着公司业务的不断拓展,公司先后建设了集中报盘系统、网上交易系统、OA、财务系统、总部监控系统等等,为了保证各业务正常开展,特别是为了确保证券交易业务平台的实时高效,公司已于2008年已经将中心至各营业部的通讯链路由初建时的主链路2M的DDN和备份链路128K ISDN,扩建成链路为10M 光缆作为主链路和2M的DDN作为备链路,实现了通讯线路及关键网络设备的冗余,较好地保证了公司业务的需要。并且随着网上交易系统的建设和网上办公的需要,公司企业网与互联网之间建起了桥梁。
改造前,应用系统在用户认证及加密传输方面采取了相应措施,如集中交易在进行身份确认后信息采用了Blowfish 128位加密技术,网上交易运用了对称加密和非对称加密相结合的方法进行身份认证和数据传输加密,但公司办公系统、交易系统、互联网应用之间没有进行安全隔离,只在互联网入口安装了防火墙,给黑客的攻击、病毒的蔓延打开了方便之门。
作为公司信息技术中心运保部经理,系统安全一直是困扰着我的话题,特别是随着公司集中报盘系统、网上交易系统的建设,以及网上办公需要,网络安全系统的建设更显得犹为迫切。但公司考虑到目前证券市场疲软,竞争十分激烈,公司暂时不打算投入较大资金来建设安全系统。
作为部门经理及项目负责人,我在投入较少资金的前提下,在公司可以容忍的风险级别和可以接受的成本之间作出了取舍,充分利用现有的条件及成熟的技术,对公司网络进行了全面细致的规划,并且最大限度地发挥管理功效,尽可能全方位地提高公司的网络安全水平。在网络安全性和保密性方面,我采用了以下技术和策略:
1、将企业网划分成交易网、办公网、互联网应用网,进行网络隔离。
2、在网络边界采取防火墙、存取控制、并口隔离等技术进行安全控制。
3、运用多版本的防病毒软件对用户系统交叉杀毒。
4、制定公司网络安全管理办法,进行网络安全集中管理。
一、网络安全隔离 为了达到网络互相不受影响,最好的办法是将网络进行隔离,网络隔离分为物理隔离和逻辑隔离,我主要是从系统的重要程度即安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问或有控制的进行访问。
针对我公司的网络系统的应用特点把公司证券交易系统、业务办公系统之间进行逻辑分离,划分成交易子网和办公子网,将互联网应用与公司企业网之间进行物理隔离,形成独立的互联网应用子网。公司中心与各营业部之间建有两套网络,中心路由器是两台CISCO7206,营业部是两台CISCO2612,一条通讯链路是联通10M光缆,一条是电信2M DDN,改造前两套链路一主一备,为了充分利用网络资源实现两条链路的均衡负载和线路故障的无缝切换,子网的划分采用VLAN 技术,并将中心端和营业部端的路由器分别采用两组虚拟地址的HSRP技术,一组地址对应交易子网,一组地址对应办公网络,形成两个逻辑上独立的网络。改造后原来一机两用(需要同时访问两个网络信息)的工作站采用双硬盘网络隔离卡的方法,在确保隔离的前提下实现双网数据的安全交换。
二、网络边界安全控制
网络安全的需求一方面要保护网络不受破坏,另一方面要确保网络服务的可用性。将网络进行隔离后,为了能够满足网络内的授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间采取了不同的存取策略。
(1)互联网与交易子网之间:为了保证网上交易业务的顺利进行,互联网与交易子网之间建有通讯链路,为了保证交易网不受互联网影响,在互联网与中心的专线之间安装了NETSCREEN防火墙,并进行了以下控制:
a)只允许股民访问网上交易相应地址的相应端口。
b)只允许信息技术中心的维护机地址PING、TELNET委托机和路由器。c)只允许行情发送机向行情主站上传行情的端口。
d)其他服务及端口全部禁止。
并且在互联网和交易网之间还采用了SSL并口隔离,进一步保证了交易网的安全。
(2)交易网和办公网之间:对于办公网与交易网之间的互访,采用CISCO2501路由器进行双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制,采用的策略主要是对具体IP进行IP地址与MAC地址的绑定。
(3)办公子网与互联网之间:采用H3C SecPath 500F硬件防火墙,并进行了以下控制:
a)允许中心上网的地址访问互联网的任何地址和任何端口。
b)允许股民访问网上交易备份地址的8002端口。
c)允许短消息访问公司邮件110、25端口,访问电信SP的8001端口。d)其他的都禁止。
三、病毒防治
网络病毒往往令人防不胜防,尽管对网络进行网络隔离,但网络资源互防以及人为原因,病毒防治依然不可掉以轻心。因此,采用适当的措施防治病毒,是进一步提高网络安全的重要手段。我分别在不同子网上部署了能够统一分发、集中管理的赛门铁克SEP11.0网络病毒防护软件,并同时购置单机版的江民和瑞星防病毒软件进行交叉杀毒;限制共享目录及读写权限的使用;限制网上软件的下载和禁用盗版软件;软盘数据和邮件先查毒后使用等等。
四、集中网络安全管理
网络安全的保障不能仅仅依靠安全设备,更重要的是要制定一个全方位的安全策略,在全网范围内实现统一集中的安全管理。在网络安全改造完成后,我制订了公司网络安全管理办法,主要措施如下:
1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核。
2)任期有限原则,技术人员不定期地轮岗。
3)职责分离原则,非本岗人员不得掌握用户、密码等关键信息。
4)营业部进行网络改造的方案必须经过中心网络安全小组审批后方可实施。
5)跨网互访须绑定IP及MAC地址,增加互访机器时须经过中心批准并进行存取控制设置后方可运行。
6)及时升级系统软件补丁,关闭不用的服务和端口等等。
保障网络安全性与网络服务效率永远是一对矛盾体,在计算机应用日益广泛的今天,要想网络系统安全可靠,势必会增加许多控制措施和安全设备,从而会或多或少的影响使用效率和使用方便性。如,我在互联网和交易网之间设置了防火墙的前提下再进行了SSL并口隔离后,网上交易股民访问交易网的并发人数达到一定量时就会出现延时现象,为了保证股民交易及时快捷,我只好采用增加通讯机的办法来消除交易延时问题。
在进行网络改造后,我公司的网络安全级别大大提高。但我知道安全永远只是一个相对概念,随着计算机技术不断进步,有关网络安全的讨论也将是一个无休无止的话题。审视改造后的网络系统,我认为尽管我们在Internet的入口处部署了防火墙,有效阻挡了来自外部的攻击,并且将网络分成三个子网减少了各系统之间的影响,但在公司内部的访问控制以及入侵检测等方面仍显不足,如果将来公司投资允许,我将在以下几方面加强:
1、在中心与营业部之间建立防火墙,通过访问控制防止通过内网的非法入侵。
2、中心与营业部之间的通讯,采用通过IP层加密构建证券公司虚拟专用网(VPN),保证证券公司总部与各营业部之间信息传输的机密性。
3、建立由入侵监测系统、网络扫描系统、上网行为管理设备、系统扫描系统、信息审计系统、集中身份识别系统等构成的安全控制中心,作为公司网络监控预警系统。
4、进一步完善网络安全管理制度,并加以落实和监管。
第二篇:证券计算机网络应用安全性分析
证券计算机网络应用安全性分析
随着计算机应用进入各行各业,人们的生活对计算机的依赖日趋加重。计算机在国民经济发展方面变得越来越重要。人们借助计算机网络,计算机数据库处理,计算机多媒体等前沿技术实现新型事务处理,新型业务管理及形形色色的生活应用。人对电脑系统的依赖将越来越强。越来越多的信息/数据被存入计算机,越来越多的应用集成在一起,越来越多的计算机连成网络。技术的公开化/标准化为人们带来了方便,也带来了威胁。一旦电脑系统瘫痪,一旦数据被毁灭,网络/通讯失灵;关键业务将出现混乱、停滞,甚至遭受毁灭性的打击。
计算机的系统安全性、可靠性是人们审核一个计算机处理系统的优劣的重要方面。人们只有确信计算机系统是安全的、可靠的,才肯将最机密、最关键的数据交给计算机网络技术的发展,使计算机系统的协同处理能力迅速增强,也将对计算机安全防范的要求推到了一个全新的高度。
本文根据作者对证券行业计算机应用的了解和调查对证券公司营业部的计算机网络安全进行了分析,对常见的一些技术问题给出详细的说明,供证券业的开发商、系统集成商及证券营业部技术人员参考,促进并提高证券网络应用的安全性。
1. 证券营业部的计算机网络应用安全性现状
证券交易是由计算机系统进行撮合、交易的,每个营业部的计算机网络应用系统为股民提供如下的服务:
行情服务:根据从上海交易所和深圳交易所卫星传来的行情数据;为股民提供各种信息分析和决策支持服务,利用多元化的方式为股民创造好的信息环境。
交易服务:对注册股民的股金进行协调管理,帮助/代理股民下单交易,按照股民的意愿完成股民的股票买卖操作,将股民的交易请求发送到交易所进行处理。
随着证券行业的迅猛发展,多种计算机应用软件不断引入到证券网络应用(例如家庭远程炒股、Internet炒股、多应用合一等),使得计算机应用服务日趋复杂;相对的,计算机系统的安全性威胁就更大!由于对核心数据访问途径增加,趋于复杂;可能留下的安全隐患就会越多越大。
一个典型的计算机劫客可以通过如下方式对证券计算机应用进行破坏:
1、干扰、破坏行情服务系统的正常运行。劫客可以放置假的行情数据以造成股民错误的投资倾向,甚至干脆破坏行情服务软件系统,破坏营业部的声誉。
2、偷窃、篡改注册股民的注册信息和资金信息,对股民的管理/数据信息进行修改;假冒客户身份进行交易以达到其个人的目的,使股民/营业部遭受巨大的损失。
从最近的一些报道来看,有一些营业部已经发生了计算机应用被外来人员破坏的事件,并造成极为恶劣的影响。目前,所有证券公司及其营业部都已经注意到计算机安全技术涉及的范围广,以及各种计算机应用环境对安全方面的考虑不尽完善,使得目前证券业计算机应用存有较大的安全隐患的现状。
但是,技术设计方面的不完善可以靠规范化的人员管理、规章制度等方面得到补足。正如军队需要严格的安全体制管理一样,证券计算机应用的安全性可以通过严格的制度、规范的操作等途径得到增强。技术/设计上的安全保护加上人员、操作上的严格管理,才可能将那些恶意的入侵者拒之门外,防患于未然。
2. 对证券营业部的计算机网络应用安全性的深入分析和建议
营业部证券网络的模式基本是相同的,即分为行情系统和交易柜面系统。一个典型的证券营业部的结构如下:
证券业计算机网络应用可分为两类:一类是营业部柜面业务系统(以下简称柜面系统),用于对股民帐户、资金、交易委托等方面进行综合管理。这类系统由专门的证券应用开发商或营业部计算机应用人员开发,采用的平台有NetWare下的Foxpro、Btrieve或基于SQL查询的DBMS(如Sybase)。另一类应用是股票行情发布和行情分析系统(以下简称行情系统),用于为股民提供最新的股票价格信息(大屏)及对股票的历史数据的分析(走势图)。这类应用由专业计算机开发商来开发,多采用基于NetWare的文件共享和网络广播信息包的方式。柜面系统有时也需要访问行情服务器的数据。图1简单地表明了证券业应用的结构方式。
在图1中,S1是柜面服务器,运行NetWare网络服务操作系统。S1中的数据可能是 Foxpro,Btrieve及Sybase等格式的数据。W1,W2是柜面应用工作站PC,采用相应的数据库应用系统,完成储户帐户维护,资金管理,股票买卖等工作。S2是行情服务器,运行NetWare操作系统;S2中存放由深交所及上交所传来的原始数据(该数据由专门的接收站Wr转入,数据文件格式为Foxbase)及行情应用软件的处理数据。Wt为行情数据转换机,它将Wr存入S1的Foxbase数据读出并加以转换及分类处理,形成专门的行情数据,例如乾龙系统。同时Wt将某些行情更新信息以网络广播形式向外广播。W3、W4为行情应用工作站,向股民开放。W3,W4通过接收Wt的行情更新数据和读取服务器内的行情历史数据,加以分析加工,为用户提供股票价格更新和“涨跌起伏曲线”等分析信息。
通常来说,营业部对股民服务采用无盘PC;利用DOS映象文件远程启动、上网和进行业务处理。同时营业部内部采用有盘站和无盘站对网络应用进行管理、监控及内部结算/处理。
本文将从下面几个方面对证券网络的结构/模式进行分析并给出相应的建议。
1.布线系统,网络布局。
2.网络系统的管理。
3.应用系统的管理。
2.1 证券营业部的网络布局和布线系统的安全性 从业务操作模式和网络数据流动方式来看,应将证券营业部的网络布局进行合理化分布,这样做的好处是:
1、按应用用户的种类分隔网络数据的流动
2、便于应用的规划、安全设置
3、网络信息的分隔从根本上局限了入侵者的入侵位置
例如:营业大厅内的普通用户工作站多以“乾龙”行情显示为主;将所有行情应用的工作站连到同一网段上有利于对行情应用的统一规划,另外,在行情网段上的入侵者将无法截取其他系统(例如柜台系统)的信息;使其在行情网段上很难入侵到其他网络应用。
建议按如下方式配置:
将行情、柜面应用分开,将功能简单的、只做浏览/读操作的行情应用单分到一起。
将业务服务网与内部系统管理网分开。
网段的分隔不能用switch实现,可以用服务器多块网卡或采用路由器实现。
有了布线系统的分隔,对网络应用的高级配置就易于实现了。
例如:将应用编写/设置成只能在相对应的IPX/IP网络上运行,这样限定了应用的使用范围,可利用网络系统管理软件,限制不同网段上可登录的用户身份;应用程序也可以将程序限定只在某些网段上才可以运行。
2.2 通过网络操作系统的安全管理加强系统及应用的安全性。
由于与交易所的数据交换是通过文件形式来操作的,因此,要严格地限制对存放这些关键数据的权限。例如限定专门用户、专门的机器及专用的时间段才能合法登录、访问关键数据(这些选项在NetWare系统中,可以用NWADMIN的目录管理工具实现)。
另外,NetWare4.11中提供了审计功能,你可以对关键用户,关键数据文件进行审计核查;尤其是关键用户帐户及关键目录由于审计记录可以由唯一的专门的用户帐户进行管理(一个好的帐户管理机制可以使网络管理员帐户〈ADMIN〉不能干预审计用户的审计操作)。因此,可以由另外一个人掌管审计;由一个人掌管管理员帐户。在NetWare4.x中ADMIN用户可以被删去/改名,通过对每个内部维护工程人员分配独自的帐户,可以清楚地记录每次关键操作。
作者接触了一些证券营业部网络应用的开发商、集成商及最终用户,发现有如下技术问题有待及时解决。
用户不加口令,采用批处理上网。
由于营业部内有大量的无盘工作站,营业部工程师为简便开机工程,一般对某些帐户不设置口令而允许无盘站启动时利用批处理自动注册上网,自动启动相应的应用程序,如“乾龙软件”和“柜台管理软件”。如果权限设定有误的话,一个入侵者可以中断批处理,登录上网,改变系统配置/数据文件(例如可以删除/修改某些文件),甚至注入网络病毒!这将直接损坏系统,因此应当对每个帐户设置口令。如果需要自动启动上网,可以编写一些批处理或专门的应用程序完成带口令登录。
批处理程序可以被中断
无盘站在启动过程中,从NetWare服务器上获取DOS环境启动DOS,再运行批处理程序(含Login;login Script及其他DOS批处理)。由于DOS系统的特性,批处理可以被用户键盘中断,网络数据很容易的裸现在用户面前。一旦网络权限或应用权限管理不充分/不准确,恶意的入侵者就可以修改网络管理权限或修改应用程序/数据。要解决此类问题需要:
避免批处理被中断(无盘站)
可以开发一个内存驻留程序(驱动),截取相应的按键(例如Ctrl-C和Ctrl-break),避免批处理程序被中断。
要屏蔽DOS启动前的按键(DOS启动时可以按某些功能键,如F5或F8键),可以在Config.sys中加入:
SWITCHES = /N
此操作使DOS在启动Config.sys之前不检查F5、F8键的请求,从而限制了客户不能中断DOS的引导过程。
网络软件系统的版本:
网络系统软件有其自有的安全等级。目前许多用户采用比较老的3.11和3.12系统,利用Bindery方式上网(Netx),这些系统并没有加补最新的增补程序,存有一些安全漏洞。例如,入侵者可以伪装成Supervisor的身份,轻易地进入网络系统。另外,由于3.x系统的帐户口号是基于服务器管理,多个NetWare 3.x系统需要重复创建多个帐户/口令(一般而言,同名,同口令),为恶意入侵者留下更多的机会去猎取口令。NetWare 4.11采用NDS管理,多服务器可以采用一套用户管理数据,简化了用户的管理,同时也在各方面弥补了在3.x中的安全漏洞。目前,NetWare 4.11达到了网络C2安全验证,能满足用户的安全要求。
另外,NetWare 4.11缺省状态下开启了Bindery仿真方式(是为了与原有的3.x客户软件/应用兼容),入侵者仍有可能利用Bindery 管理的弱点来攻击网络,因此,将客户端的软件升级到4.11的NDS登录,将Bindery仿真关闭(或只在限定的OU或限定的服务器),这样,有助于提高系统的安全性。
2.3 应用软件的安全性
目前证券营业部的应用软件可分为两类,行情应用和柜面应用。从总的来讲,行情应用相对来讲对安全性的要求较低,而柜面业务由于涉及股民的股金管理及交易的金额处理,安全性便显得非常重要。认为行情应用可以撒手不管是错误的,因为行情应用与整个应用系统有许多直接的联系,对行情系统的破坏会波及整个应用系统的各个方面。例如:系统的用户/口令,系统/用户的配置文件,播种病毒„„。恶意的用户可以通过行情系统的入侵来设置各种陷阱,收集系统和用户的信息,并依照这些信息轻易地破坏整个系统。
一般来说,对应用软件的安全性应从以下几个方面来考虑。
*应用软件的安全体系设计
*应用软件所基于的平台/技术的安全
*防病毒能力
2.3.1 应用软件的安全体系设计
应用软件的设计是安全性因素中的最重要因素。它从应用系统的最高层保证系统的整体安全,一个好的设计可以修改/屏蔽/克服其他底层的安全威胁。例如,应用系统拥有自己的帐户管理,数据加密,身份验证和应用/数据维护。由于此类的设计通常牵涉的技术/产品的问题过多和过于复杂,因此应用软件的设计在安全性的管理方面通常采用所依赖的软件/技术平台来帮助应用系统实现安全管理。例如,应用系统可以利用NDS所提供的安全管理手段完成其对用户的身份验证,NDS的可扩展特性允许应用程序将应用方面专有的属性和管理方式嵌入到NDS的管理。由于利用NDS的层次性,面向目标及分布式的计算处理,应用系统除了可以很容易的达到高安全性以外还可以轻而易举地实现大规模网络,跨平台应用及高可靠高容错等特性。
在柜面交易系统中,每个股民的信息是存放在数据库里的。目前,广泛采用的数据库平台有以下几种:
XBASE:没有用户管理,文件共享式访问,对网络系统的安全管理依赖严重,安全漏洞较多。
Btrieve: 无用户管理,Client/Server,无身份验证,对网络系统的安全依赖严重,有安全漏洞。
基于SQL:查询语言的数据库:有数据库自身的用户管理,Client/Server访问方式,安全漏洞较少。
在以上的几种数据库类型中,基于SQL语言的数据库有其独到的优势。在安全性方面,这类数据库有自己的用户管理机制,采用Client/Server结构也使得客户机只通过数据通信协议与数据库打交道,这样客户机无法通过文件访问的方法篡改应用数据,因而从一定意义上保证了网络数据库的安全。
另外,由于技术的原因,目前股民的帐户信息是由应用开发商自行维护的。下面对典型的计算机处理和业务操作过程进行分析,阐明可能存在的安全隐患:
1、用户的创建:用户ID和口令字由应用软件自行管理。
由应用程序自行管理股民的ID和口令字。由于帐户的管理是一门很严谨的系统,一个好的安全帐户管理系统需要很好的设计、实现与技术保障;如果系统的帐户管理有欠缺则极容易被人破译和入侵。Novell的安全管理可以帮助应用程序确认用户的身份和口令,通过 NDS的扩展接口,应用程序可以达到令人满意的安全等级。
2、用户信息入库:建立用户信息(包括股金管理信息),存放在集中的数据库里。
用户信息存放在集中的数据库里,这对用户数据库是一项挑战,必须避免用户直接访问该数据的文件。对数据库文件的任何恶性操作都会造成严重的伤害,应采取严格的文件权限管理,对所有操作记录;同时应选择更安全的数据库系统,利用Client/Server或Client/Middle Server/Sever等多层结构完成信息的处理。目前,NetWare + Oracle 8是一个非常强健的安全的Client/Server系统,用户可以用NDS登录NetWare和Oracle,通过IPX或IP连接到Oracle数据库
3、用户操作:用户提供了个人信息后(键盘、刷卡操作等),应用系统对用户身份进行验证,计算机进行下单操作。
用户进行身份验证,要保证该用户身份密码不被泄漏(这要求高级加密技术,例如RSA),也要保证用户在操作过程中不被人侵权或假冒身份。目前有些证券应用系统对股民身份的验证过程较简单,股民操作对应的计算机用户身份的防伪技术也较差,因此最容易使黑客进行攻击。在NetWare4.1中,采用RSA技术进行公钥加密身份验证,对网络上发出的信息包进行防伪识别,排除了此类入侵的可能性(注意,NetWare3.x没有此类功能)。应用程序可以利用NDS的优势方便地实施其自身的身份验证。例如,应用程序可以利用NDS的接口将股民的身份验证转给NDS系统;NDS身份验证完成以后,应用程序就可以认可股民的身份,这些验证操作将是安全的。
4、数据操作:数据库应用软件通过网络计算(文件共享、Client/Server)等方式进行数据综合。
数据通过网络传输时,有可能被别人在网上偷听。最好在应用程序里对要存放的数据进行加密,这样网上偷听/截取的将是一些废码。选择的网络工具要尽可能支持数据完整性验证,在确保数据不被偷听的同时,保证在网上的数据不被人篡改。
5、操作上传:将用户请求及数据上传交易所(文件形式)。
上传的数据是从柜面应用系统中对发生交易的数据信息进行总结形成的Foxbase格式的数据,该数据库文件放在NetWare服务器上,作为队列等待上传,由专门的传输工作站从队列里读出,发送到交易所,最后再从队列里清除该上传数据。
因此,该Foxbase文件的创建,存放和清除都有可能被侵犯。一个不安全的网络权限分配或一个受侵犯的NetWare服务器都有可能使入侵者有能力自行创建、存放、修改和复制所需上传的队列文件,一旦此文件传至交易所并完成交易,股民、营业部都将会受到严重的损失。
为避免此类事件的发生,可以采取如下的技术手段:
修改数据上传的格式;对要上传的数据进行加密及完整性校验信息,这样能够保证处理的正确性和防止欺骗。但这要求对整个信息处理模式进行改造,周期长,难度大。
严格限制网络文件系统的权限。可以单独设置网络帐户来处理该上传队列的文件,只有该帐户可以读写此队列目录,并且只有有限的工作站(MAC地址)能够以此帐户登录。
修改柜面系统的数据上传处理流程,加入加密机制和数字签名机制,缩小受侵犯的范围。
6、操作验证:交易所传回的对用户交易请求的处理结果。
此类数据为确认信息,入侵者可以篡改此信息造成系统的混乱。
病毒的防护:
计算机病毒是计算机系统安全的另一天敌,一个恶意的攻击性病毒可以造成系统性能减退或造成系统瘫痪。更可怕的是一个计算机病毒可以窃取计算机系统的安全信息或潜伏在系统中“卧底”,随时“出山”攻击系统。
一个病毒可以从以下的方面攻击:
通过键盘截取方法获得口令字
伪装成登录程序/用户界面,骗取用户的口令
为入侵者做“内应”,在安全性方面留“后门”
破坏系统程序,造成系统瘫痪
破坏应用程序,造成应用系统出错
破坏数据、改变、增加或删除数据信息,造成系统紊乱
增加网络系统负担,降低服务器/工作站性能,增加网络流量
播放错误导向信息或其它错误信息,影响股民决策
从实际操作来看,一个病毒难以同时实现上述各项攻击,但是,恶意的攻击者可以利用多种攻击工具,由浅入深,一步一步的实现对系统的攻击。
严格周密的文件系统管理和权限管理能有效的防止病毒入侵。Novell公司提供了ManageWise网络管理软件,除了能对网络进行全面的管理以外,还具有防病毒和杀病毒的功能。ManageWise可以在文件服务器上以NLM方式查找和删除病毒,也提供了客户机端的查病毒与杀病毒的程序。
第三篇:论当今计算机网络安全问题
计算机网络安全问题浅析
摘要:
随着科技的发展,互联网已经渗透到人们生活的各个领域之中,人们对计算机和网络的应用和依赖程度愈来愈高,信息化的社会对互联网的要求也越来越高,人们对计算机的使用,已不是简单的运算,与此同时计算机网络的问题也就凸现出来,计算机网络安全问题,直接关系到一个国家的政治、军事、经济等领域的安全和稳定,因此,网络安全是非常重要的问题,网络安全问题成为了人们在使用计算机中越来越重视的问题。
关键词:互联网 计算机 网络安全引言世纪的一些重要特征就是数字化、网络化和信息化,它是一个以网络为核心的信息时代。网络现已成为信息社会的命脉和发展知识经济的重要基础。网络是指“三网”,即电信网络、有线电视网络和计算机网络。发展最快的并起到核心作用的是计算机网络。因特网起源于美国现已发展成为世界上最大的国际性计算机互联网,因特网又称国际互联网,是全球性的网络,是一种公用信息的载体,是大众传媒的一种。具有快捷性、普及性,是现今最流行、最受欢迎的传媒之一。这种大众传媒比以往的任何一种通讯媒体都要快。互联网是由一些使用公用语言互相通信的计算机连接而成的网络,即广域网、局域网及单机按照一定的通讯协议组成的国际计算机网络。
2计算机网络安全
2.1 互联网安全 互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。互联网安全是一门涉及计算机科学、网络技术、通
信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使网络系统在稳 定性和可扩充性方面受到影响。网络硬件的配置不协调主要表现为一是文件服务 器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量;网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而影响网络的可靠性、扩充性和升级换代;二是网卡用工作站选配不当导致网络不稳定,许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员 滥用,从而给他人以可乘之机。资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者进行破坏提供了机会。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞,不合理的网络设计会成为网络安全的威胁。
2.2 计算机信息安全
信息系统安全的内容应包括两个方面:物理安全和逻辑安全。物理安全指系 统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括确保信息的 完整性、保密性和可用性。在计算机网络中,根据国际标准化组织 ISO 的定义,信息系统安全就是为数据处理系统建立和采取的技术和管理的安全保护,保护计 算机的硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露,系统能 够连续可靠正常地运行,信息服务不中断。
2.2.1 计算机信息安全问题的成因
第一,电磁信号的辐射。目前网络通信中常用的传输电缆以及计算机、网络 设备都会因为电磁屏蔽不完善而通过电磁辐射向外泄露。第二,工作环境的安全 漏洞。包括自身的体系结构问题、对特定网络协议实现的错误以及系统开发过程 中遗留的后门和陷门。第三,人为的恶意攻击。以各种方式有选择地破坏信息的 有效性和完整性,对计算机网络造成严重的危害,并导致机密数据的泄漏,这是 计算机网络所面临的最大威胁。第四,安全产品自身的问题。自身实现过程中的 安全漏洞或错误都将导致用户内部网络安全防范机制的失效。第五,网络软件的 缺陷和漏洞。
2.2.2 网络安全缺陷产生的原因
第一,TCP/IP 的脆弱性。由于 TCP/IP 协议是公布于众的,如果人们对 TCP/IP 很熟悉,就可以利用它的安全缺陷来实施网络攻击。第二,网络结构的不安全性。如果攻击者利用一台处于用户的数据流传输路 径上的主机,他就可以劫持用户的数据包。第三,易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。第四,缺乏安全意识。人们普遍缺乏安全意识,使网络中设置的安全保护屏 障形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的 PPP 连接从而避开了防火墙的保护。
3网络安全的问题
3.1计算机网络安全的威胁
网络缺陷:正是由于 Internet 在全球范围内的普及,使其保护信息安全存在 先天不足,缺乏相应的安全监督机制。黑客攻击:现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。各种病毒:病毒时时刻刻威胁着整个互联网,促使人们不得不在网络的各个 环节考虑对于各种病毒的检测防治。管理的欠缺及资源滥用:很多上互联网的企业在管理上存在漏洞,对于网络上黑客的攻击缺乏基本的应对措施,同时企业内部普遍存在资源滥用现象,降低了员工的工作效率,这是造成网络安全问题的根本原因。信息泄露:恶意、过失的不合理信息上传和发布,可能会造成敏感信息泄漏、有害信息扩散,危及社会、国家、集体和个人利益。
3.2 计算机网络安全问题
计算机网络受攻击主要有六种形式:①内部窃密和破坏。②截收信息。③非法访问。④利用 TCP/IP 协议上的某些不安全因素进行APR欺骗和IP欺骗攻击。⑤病毒破坏。⑥其 它网络攻击方式。目前网络环境中广泛采用的TCP/IP协议,因为其开放性,故其本身就意味着一种安全风险。由于大量重要的应用程序都以TCP作为 它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。网络结构的安全问题。互联网上大多数数据流都没有进行加密,因此黑客利 用工具很容易对网上的电子邮件、口令和传输的文件进行破解,这就是互联网所 固有的安全隐患。系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全 问题,因为对于防火墙来说,该入侵行为的访问过程和正常的Web访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。4 计算机网络安全防范
4.1 安全技术手段 物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。
其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。
4.2 防火墙技术
防火墙通过在网络边界上建立网络安全监测系统,对流经它的网络通信进行扫描,能够 有效隔离内部和外部网络,确定允许哪些内部服务访问外部服务,以及允许哪些 外部服务访问内部服务,以阻挡来自外部网络的入侵和攻击。现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统 防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。
4.3 计算机网络安全的相关技术
数据加密技术,加密技术是信息安全技术的核心,是一种主动的信息安全 防范措施,信息加密技术是其他安全技术的基础,加密技术是指通过使用代码或 密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的 不可理解的密文形式,对电子信息在传输过程中或存储体内进行保护,以阻止信息泄露或盗取,从而确保信息的安全性。
入侵检测技术,入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。IDS 被认为是 防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前检测到入侵 攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻 击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。
防病毒技术,随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机 信息系统构成的威胁也越来越大。在病毒防范中普遍使用的防病毒软件,从功能 上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装 在单台 PC 机上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检 测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者 从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
网络安全扫描技术,网络安全扫描技术是网络安全领域的重要技术之一。利用安全扫描技术,可以对局域网络、Web 站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务 攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是 否存在安全漏洞和配置错误。安全建议
采用防火墙与防病毒技术以提高网络安全性,通过防火墙在网络边界上建立起来的通信监控系统来隔离内部和外部网络,可以实现局域网与广域网、内网与外网有效地分隔,以阻挡外部网络的侵入,从而实施安全访问控制,提高检察信息网的安全性。安装网络版防病毒软件,加强 病毒检测,及时发现病毒并予以清杀,可有效阻止其在网络上蔓延和破坏。
运用网络加密技术,网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种: ①链接加密。②节点加密。③首尾加密。网络加密技术是网络安全最有效的技术之一,既可以对付恶意软件攻击,又可以防止非授权用户的访问。
加强计算机网络访问控制,访问控制是网络安全防范的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全 控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。
加强设备的安全监管,对入网的硬件设备和软件,统一由网络安全技术部门严格把关,对涉及网络安全的核心设备可列入政府专项,由专业人员把关统一购买安装。建立健全管理 制度,防止非法用户进入计算机控制室和各种非法行为的发生,并定期的对运行环境条件进行检查、测试和维护。对于传输线路,要定期检查连接情况,以检测 是否有搭线窃听、非法外连或破坏行为。
加强网络安全教育,加强网络安全教育对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操 作技能; 教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。
设置网络权限,将检察机关内部计算机维护权限与操作权限、数据权限分开,根据检察机关 业务的不同,程序将自动分配其使用权限。设置访问权限可以让用户有效地完成工作,同时又能控制用户对服务器资源的访问,从而加强网络和服务器的安全性。
参考文献
[1]陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002
[2]黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.[3]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003.[4]王达.网管员必读——网络安全[M].北京:电子工业出版社,2007.[5]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,2012.[6] 于峰.计算机网络与数据通信.北京.中国水利水电出版社,2003
[7]谢希仁.计算机网络(第 5 版)[M].北京:电子工业出版社,2008.[8] 张水平.计算机网络及应用.西安.西安交通大学出版社,2002
[9] 陈浩.Internet上的网络攻击与防范[J] .电信技术.1998.[10] 雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004
[11]王其良,高敬瑜.计算机网络安全技术[M].北京大学出版社,2006.11.[12] 宋乃平、文桦.Internet网络安全管理[J] .天中学刊.2002.
第四篇:论第三方支付平台的安全性
论第三方支付平台的安全性
随着网络信息、通信技术的快速发展和支付服务的不断分工细化,越来越多的非金融机构借助互联网、手机等信息技术广泛参与支付业务。非金融机构提供支付服务、与银行业既合作又竞争,已经成为一支重要的力量。非金融机构支付服务,是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务,包括网络支付、预付卡的发行与受理、银行卡收单,及中国人民银行确定的其他支付服务。这些非金融机构被称作“第三方支付机构”。
非金融机构支付服务的多样化、个性化等特点较好地满足了电子商务企业和个人的支付需求,促进了电子商务的发展,在支持“刺激消费、扩大内需”等宏观经济政策方面发挥了积极作用。虽然非金融机构的支付服务主要集中在零售支付领域,其业务量与银行业金融机构提供的支付服务量相比还很小,但其服务对象非常多,主要是网络用户、手机用户、银行卡和预付卡持卡人等,其影响非常广泛。目前国内约有300多家第三方支付机构,其中多数非金融机构从事互联网支付、手机支付、电话支付以及发行预付卡等业务。
一、第三方支付平台存在的安全问题
随着第三方支付的广泛应用,其安全性问题也越来越突出。由于我国电子支付方面的法律较为滞后,对第三方支付市场监管不够,目前存在的300多家第三方支付产品质量参差不齐,员工安全意识薄弱,安全防护措施不够,用户的交易安全和个人信息存在很大的风险。安全问题可以归纳为几个方面:
第三方支付机构安全意识薄弱
相对于银行业金融机构,非金融支付机构安全意识还比较淡薄,还不能充分认识到信息安全面临的形势和信息安全工作的重要性,对支付平台的操作风险、信用风险和法律风险等重视不够。领导对信息安全的不重视,就会导致信息安全工作不到位和难于开展。一些员工思想上有麻痹意识,认为安全案件都是偶然发生,存在侥幸心理;一些员工总认为与己无关,信息科技引发的案件是科技部门的事。从而导致安全措施执行不到位,安全制度无法贯彻的现象。正是这些安全意识上的薄弱环节,导致了安全威胁有机可乘。很多信息安全事件往往不是因为技术原因,而是由于系统运维人员的疏忽或不作为。安全意识薄弱是安全问题发生的根源。
安全管理机构不健全安全管理制度不完善
多数第三方支付机构还没有形成信息安全组织结构,管理较混乱,安全管理人员配备不足。信息安全管理制度还不成体系,没有建立总体方针,安全管理制度和操作规程缺失,安全策略不完整等。已有的安全管理制度也不完善,易使工作上出现漏洞,操作上出现失误,引发安全事故,造成损失。
安全技术防护能力薄弱
在第三方支付平台建设中,没有充分重视安全技术防护能力的建设,安全技术防护能力薄弱,如,有些支付系统没有部署防火墙和入侵检测设备,没有划分安全域;没有安全事件监控、统一防病毒等防护措施;重要数据的传输和存储存在安全隐患;重要网络设备没有进行安全策略配置,致使非法访问网络系统、假冒网络终端/操作员、截获和篡改传输数据的安全事件发生;应急处理方案不完备,应对和处理危机的能力还比较弱。
应用程序中存在安全漏洞
系统上线前,没有对应用程序进行全面的测评,致使生产系统存在功能、安全性及性能方面的问题。通过对第三方支付系统应用程序的检测,发现了大量的安全隐患,如SQL注入、跨站脚本、网络钓鱼以及登录方式不安全等,这些漏安全隐患可以被不法分子利用,可以对
数据进行窃取,或对用户的敏感信息进行非法获取,给第三方支付机构和用户造成损失。个人信息不能得到保护
一些第三方支付平台要求用户提供真实姓名、联系方式、住址、银行账号甚至身份证号,个别网站在设计上存在问题,致使这些信息很容易泄露。第三方支付平台隐私政策不合理,免责条款过多,用户为了使用其服务只能同意该条款,导致发生问题时维权艰难。第三方支付机构除了应采用技术手段进行保护之外,还应该以文件、政策或公告的方式在网站上公开对用户信息进行安全承诺。
二、国家对第三方支付的监督管理
我国电子商务自20世纪90年代起步以来,很快进入快速发展期,交易额以年均40%的速度增长。2009年,交易规模达到3.8万亿元,电子商务已渗透到经济和社会各个层面。与此同时,有关非金融机构备付金管理、系统稳定性以及消费者权益保护等问题,需要高度关注。如何促进非金融机构支付服务市场的健康发展,关系到电子商务的成败,关系到中国支付网络体系的安全与效率。
2009年4月,人民银行发布公告,对从事支付业务的非金融机构进行登记。2010年6月14日,人民银行发布《非金融机构支付服务管理办法》(以下简称《管理办法》),对非金融机构支付业务实施行政许可。2010年12月,发布《非金融支付服务管理办法实施细则》(以下简称《实施细则》)。《管理办法》和《实施细则》的发布,意味着我国非金融机构支付市场监管的基本原则已经确立。
《管理办法》中规定对于《支付业务许可证》的申请人必须具备有符合要求的支付业务设施,而且在向中国人民银行申请许可证是必须符合中国人民银行规定的非金融机构支付服务系统技术和安全标准,提交《技术安全检测认证证明》。可见央行对非金融机构支付的技术和安全性的高度重视,技术和安全检测是非金融机构申请许可证过程中最关键也是最严格的环节。
三、提高第三方支付平台安全性的建议
政府应加强监管力度
通过《管理办法》和《实施细则》的发布和实施,一些具备良好资信水平、较强盈利能力和一定从业经验的非金融机构进入支付服务市场,在中国人民银行的监督管理下规范从事支付业务,切实维护了社会公众的合法权益。整个第三方支付平台的安全性有了一定的保障。但这样还不够,应进一步强管理和监控,可以考虑将第三方支付机构纳入金融机构的安全管理体系,使其遵循金融机构相关的安全管理制度和标准规范。
第三方支付机构应增强安全意识,加强信息安全体系建设
信息安全教育和培训是信息安全管理工作的重要基础,在实际工作中,大部分信息技术风险要依靠员工进行有效的控制,因此需要通过宣传、培训和教育等手段提升员工的信息安全认知(包括提高安全意识、了解安全职责、培养安全技能),发挥员工在信息安全管理中的主观能动性,以自律的方式来实现信息安全保障。
建立全面、科学的信息安全管理体系。建立组织、人员结构合理的安全组织结构。加强信息安全队伍建设,充实信息安全管理队伍,完善激励机制。建立完整的信息安全策略,主要包括信息安全策略、安全规章制度、安全操作流程和设备操作指南等方面。完善信息安全应急恢复体系,推进信息安全风险评估,实行信息安全等级保护,健全信息安全标准规范和有关制度。
构建一个科学合理的安全技术保障体系。加大网络安全设施建设力度,加强网络边界防护,实施网络安全域控制;加强软件开发控制,对软件进行安全测评核漏洞检测;保障基础设施和物理环境的安全,加强检测、监控和审计措施,实施安全加固;加强备份管理,建立灾备
中心,保证支付业务的连续性。
第三方支付机构应加强安全检查,及时修复安全漏洞
即时在安全方面都做了很多工作,但没有绝对的安全,要时刻警惕系统的监控情况。可组建技术团队或委托专业安全服务机构对系统进行安全测评。系统安全隐患是否能及时发现,并进行漏洞修复或制定实施相应安全防护措施,对系统的正常运行至关重要。由于系统的不断更新,操作系统和代码漏洞也不断有新的发现,因此,对系统进行定期的安全测测评是非常必要的。
第五篇:计算机网络教学设计
《计算机网络》教学设计
平遥职业中学
阮宇科
【教学目标】
1、理解计算机网络的定义,特点,发展历史,基本分类方法。
2、了解计算机网络的基本拓扑结构。
3、掌握如何组建基本的计算机局域网。【教学重点】
计算机网络的定义,特点,发展历史,基本分类方法。如何组建基本的计算机局域网。【教学难点】
如何组建基本的计算机局域网。【教学方法】
课件演示,实践操作演示 【教学时数】 一课时
【教学过程】
一、导入
随着计算机技术的普及与发展,计算机网络已经在我们现实生活中占据越来越重要的低位,而人们计算机网络技术也日益重视,本节课我们学习计算机网络技术的基本知识,并学习如何组建简单的局域网。
二、教学过程
1、计算机网络的定义:
把分布在不同地点且具有独立功能的多个计算机系统通过通信设备和线路连接起来,在功能完善的软件和协议的管理下实现网络中资源共享的系统。
由定义可知:
(1)计算机网络是“通信技术”与“计算机技术”的结合产物
(2)以数据交换为基础,以资源共享为目的
2、计算机网络的特点:
(1)开放式的网络体系结构,使不同软硬件环境、不同网络协议的网可以互连,真正达到资源共享,数据通信和分布处理的目标。
(2)向高性能发展。追求高速、高可靠和高安全性,采用多媒体技术,提供文本、声音图像等综合性服务。
(3)计算机网络的智能化,多方面提高网络的性能和综合的多功能服务,并更加合理地进行网络各种业务的管理,真正以分布和开放的形式向用户提供服务。随着社会及科学技术的发展,对计算机网络的发展提出了更加有利的条件。计算机网络与通信网的结合,可以使众多的个人计算机不仅能够同时处理文字、数据、图像、声音等信息, 而且还可以使这些信息四通八达,及时地与全国乃至全世界的信息进行交换。
3、计算机网络的发展:
第一阶段(50年代):计算机通信网络,特征是主机计算机与终端互连,实现远程访问。1.具有远程通信功能的单机系统
解决了多个用户共享主机资源的问题 存在问题:主机负担重,通信费用高
2、具有远程通信功能的多机系统,解决了主机负担重、通信费用昂贵的问题。主要问题:多个用户只能共享一台主机资源 第二阶段(60年代):计算机通信系统,特征是计算机与计算机互连 采用分组交换技术实现计算机—计算机之间的通信,使计算机网络的结构、概念都发生了变化,形成了通信子网和资源子网的网络结构主要问题:网络对用户不是透明的。
第三阶段(70年代中期—80年代末期):现代计算机网络阶段,特征是网络体系结构的形成和网络协议的标准化。
在计算机通信系统的基础之上,重视网络体系结构和协议标准化的研究,建立全网统一的通信规则,用通信协议软件来实现网络内部及网络与网络之间的通信,通过网络操作系统,对网络资源进行管理,极大的简化了用户的使用,使计算机网络对用户提供透明服务。局域网技术出现突破性进展。
4、计算机网络的分类
5、计算机网路拓扑结构
概念:
网络拓扑结构指连接于网络中的端系统或工作站之间互连的方式;简单地说:指网络形状,网络的连通性
常见的网络拓扑结构:
总线型、星型、环型、树型、混合型、网状型、蜂窝型
6、如何组建简单局域网
要组建一个基本的网络,只需要一台集线器(Hub)或一台交换机、几台电脑和几十米电缆就能完成。这样搭建起来的小网络虽然简易,却是全球数量最多的网络。在那些只有二、三十人的小型公司、办公室、分支机构中,都能看到这样的小网络。这样的简单网络是更复杂网络的基本单位。把这些小的、简单的网络互连到一起,就形成了更复杂的局域网LAN。再把局域网互连到一起,就组建出广域网WAN
水晶头的制作
水晶头种类主要有以下几种:RJ45(主要应用在计算机网络环境)568B:白橙/橙/白绿/蓝/白蓝/绿/白棕/棕 568A:白绿/绿/白橙/蓝/白蓝/橙/白棕/棕
应用:
直通线(straight-through cable): 一根网线,两端的线序相同叫直通线,即两端线序相同,都是568B标准,用在不同设备之间,比如:PC到交换机、PC到ADSL modem等
交叉线(crossover cable):
一根网线,一段为568B线序,另一端为568A线序。相同类型设备连接使用交叉线,如电脑与电脑,交换机与交换机、交换机与集线器等 实例示范:
教师实际操作制作一个水晶头 【教学小结】
本节课学习了计算机网络的定义,特点,分类以及发展历程,并简要介绍了计算机网络的拓扑结构。重点学习了计算机网络局域网的组建方法。【课后作业】
观察学校机房局域网组建的案例。
点击咨询 