第一篇:网络安全审计系统的实现方法
网络安全审计系统的实现方法
司法信息安全方向王立鹏1 传统安全审计系统的历史
传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中,其审计的重点也是本主机的用户行为和系统调用。在随后的20年间,其他的各个操作系统也有了自己的安全审计工具,如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。常用安全措施的不足和基于网络的安全审计系统的出现
近几年来,随着开放系统Internet的飞速发展和电子商务的口益普及,网络安全和信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。
2.1防火墙技术的不足
防火墙技术是发展时间最长,也是当今防止网络人侵行为的最主要手段之一,主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术,但是由于防火墙技术自身存在的一些缺陷,使其越来越难以完全满足当前网络安全防护的要求。包过滤型防火墙如只实现了粗粒度的访问控制,一般只是基于IP地址和服务端口,对网络数据包中其他内容的检查极少,再加上其规则的配置和管理极其复杂,要求管理员对网络安全攻击有较深人的了解,因此在黑客猖撅的开放Internet系统中显得越来越难以使用。而代理网关防火墙虽然可以将内部用户和外界隔离开来,从外部只能看到代理服务器而看不到内部任何资源,但它没有从根本上改变包过滤技术的缺陷,而且在对应用的支持和速度方面也不能令人满意
2.2入侵检测技术的不足
人侵检测技术是防火墙技术的合理补充,能够对各种黑客人侵行为进行识别,扩展了网络管理员的安全管理能力。一般来说,人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。
目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。
基于主机的IDS来源于系统的审计日志,它和传统基于主机的审计系统一样一 般只能检测发生在本主机上面的人侵行为。
基于网络的IDS系统对网络中的数据包进行监测,对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性„准实时性),它能在出现攻击的时候发出警告,让管理人员在在第一时间了解到攻击行为的发生,并作出相应措施,以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要,因此决定了其采用的数据分析算法不能过于复杂,也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析,所以现在大
多数人侵检测系统只是对单个数据包或者一小段时间内的数据包进行简单分析,从而作出判断,这样势必会产生较高的误报率和漏报率,一般只有20%攻击行为被IDS发现也就不足为奇了。虽然国内外普遍对人侵检测技术都有很高的评价,但是随着黑客技术的发展,一些人侵检测系统本身的缺陷也为人们所了解。一些黑客利用某些分布式技术,在同一时刻向某个人侵检测系统发送大量垃圾数据包,使得人侵检测系统来不及处理而过载,直到发生丢包现象。黑客在此时发动攻击,人侵相关的网络活动被淹没在大量的嘈声之中,使得人侵检测无法检测出包含人侵模式的网络信息,这样一来黑客就达到了逃避人侵检测的目的。
2.3基于网络的安全审计系统
在这种情况下,基于网络安全审计系统孕育而生。基于网络的安全审计系统在近几年刚刚起步,尚处在探索阶段,其审计重点也在网络的访问行为和网络中的各种数据。对此有比较深人研究的也只是少数几个高校或者科研机构,其中以Purdue大学的NASHIS系统较为著名。
一般的基于网络的安全审计系统作为一个完整安全框架中的一个必要环节,一般处在人侵检测系统之后,作为对防火墙系统和人侵检测系统的一个补充,其功能:首先它能够检测出某些特殊的IDS无法检测的人侵行为(比如时间跨度很大的长期的攻击特征);其次它可以对人侵行为进行记录并可以在任何时间对其进行再现以达到取证的目的;最后它可以用来提取一些未知的或者未被发现的人侵行为模式等。
图1安全审计在整个安全体系中的位置
与传统的人侵检测系统相比,安全审计系统并没有实时性的要求,因此可以对海量的历史数据进行分析,并且采用的分析方法也可以更加复杂和精细。一般来说,网络安全审计系统能够发现的攻击种类大大高于人侵检测系统,而且误报率也没有人侵检测系统那样的高。3 基于网络的安全审计系统的常用实现方法
3.1基于规则库的方法
基于规则库的安全审计方法就是将已知的攻击行为进行特征提取,把这些特征用脚本语言等方法进行描述后放人规则库中,当进行安全审计时,将收集到网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等),从而发现可能的网络攻击行为。这种方法和某些防火墙和防病毒软件的技术思路类似,检测的准确率都相当高,可以通过最简单的匹配方法过滤掉大量的网络数据信息,对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口为139以及含有DOB标志的数据包,一般肯定是Winnuke攻击数据包。而且规则库可以从互连网上下载和升级(如。.cert.org等站点都可以提供各种最新攻击数据库),使得系统的可扩充性非常好。
但是其不足之处在于这些规则一般只针对已知攻击类型或者某类特定的攻击软件,当出现新的攻击软件或者攻击软件进行升级之后,就容易产生漏报。
例如,著名的Back Orifice后门软件在90年代末非常流行,当时人们会发现攻击的端口
是31337,因此31337这个古怪的端口便和 Back Orifice联系在了一起。但不久之后,聪明的Back Orifice作者把这个源端口换成了80这个常用的Web服务器端口,这样一来便逃过了很多安全系统的检查。
此外,虽然对于大多数黑客来说,一般都只使用网络上别人写的攻击程序,但是越来越多的黑客已经开始学会分析和修改别人写的一些攻击程序,这样一来,对同一个攻击程序就会出现很多变种,其简单的通用特征就变得不十分明显,特别规则库的编写变得非常困难。综上所述,基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击数据包,该技术的效果非常之好;但是对于其他一些非常容易产生变种的网络攻击行为(如Backdoo:等),规则库就很难用完全满足要求了。
3.2基于数理统计的方法
数理统计方法就是首先给对象创建一个统计量的描述,比如一个网络流量的平均值、方差等等,统计出正常情况下这些特征量的数值,然后用来对实际网络数据包的情况进行比较,当发现实际值远离正常数值时,就可以认为是潜在的攻击发生。
对于著名syn flooding攻击来说,攻击者的目的是不想完成正常的TCP 次握手所建立起来的连接,从而让等待建立这一特定服务的连接数量超过系统所限制的数量,这样就可以使被攻击系统无法建立关于该服务的新连接。很显然,要填满一个队列,一般要在一段时间内不停地发送SYN连接请求,根据各个系统的不同,一般在每分钟 10-20,或者更多。显然,在一分钟从同一个源地址发送来20个以上的SYN连接请求是非常不正常的,我们完全可以通过设置每分钟同一源地址的SYN连接数量这个统计量来判别攻击行为的发生。但是,数理统计的最大问题在于如何设定统计量的“阂值”,也就是正常数值和非正常数值的分界点,这往往取决于管理员的经验,不可避免地容易产生误报和漏报基于网络安全审计系统的新方法:有学习能力的数据挖掘
上述的两种方法已经得到了广泛的应用,而且也获得了比较大的成功,但是它最大的缺陷在于已知的人侵模式必须被手工编码,它不能适用于任何未知的人侵模式。因此最近人们开始越来越关注带有学习能力的数据挖掘方法。
4.1数据挖掘简介及其优点
数据挖掘是一个比较完整地分析大量数据的过程,它一般包括数据准各、数据预处理、建立挖掘模型模型评估和解释等,它是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型。
数据挖掘这个课题现在有了许多成熟的算法,比如决策树、神经元网络、K个最近邻居(K一NN),聚类关联规则和序惯模型、时间序列分析器、粗糙集等。应用这些成熟的算法可以尽量减少手工和经验的成分而且通过学习可以检测出一些未被手工编码的特征因此十分适用于网络安全审计系统。
4.2有学习能力的数据挖掘在基于网络的安全审计系统中的应用
我们采用有学习能力的数据挖掘方法,实现了一般网络安全审计系统的框架原型。该系统的主要思想是从“正常”的网络通讯数据中发现“正常”的网络通讯模式。并和常规的一些攻击规则库进行关联分析,达到检测网络人侵行为的目的。在本系统之巾,主要采用了三种比较成熟的数据挖掘算法,这三个算法和我们的安全审计系统都有着十分密切的关系:
分类算法 该算法主要将数据影射到事先定义的一个分类之中。这个算法的结果是产生一个以决策树或者规则形式存在“判别器”。理想安全审计系统一般先收集足够多的“正常”或者“非正常”的被市计数据,然后用一个算法去产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为而哪些是可疑或者人侵行为。而这个“判别器”就是我们系统中“分析引擎”的一个主要部分。
相关性分析 主要用来决定数据库里的各个域之间的相互关系。找出被审计数据间的相互关联将为决定整个安全审计系统的特征集提供很重要的依据。
时间序列分析 该算法用来建立本系统的时间顺序标准模型。这个算法帮助我们理解审计事件的时间序列一般是如何产生的,这些所获得常用时间标准模型可以用来定义网络事件是否正常。
整个系统的工作流程如图2所示
图2 系统工作流程图
首先,系统从数据的采集点介采集数据,将数据进行处理后放入被审计数据库,通过执行安全审计引擎读人规则库来发现人侵事件,将人侵时rbi记录到人侵时间数据库,而将正常网络数据的访问放人正常网络数据库,并通过数据挖掘来提取正常的访问模式。最后通过旧的规则库、人侵事件以及正常访间模式来获得最新的规则库。可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定。
我们实现的原型系统的框图由图3所示。
图3 系统结构框图
上面我们所见到的系统整体框架图中,在通过对正常网络通讯数据集的学习后,可以获得正常访问模式,这个过程就采用了数据挖掘技术,从海量的正常数据中半自动地提取正常访间模式,可以减少人为的知觉和经验的参与,减少了误报出现的可能性。此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应,这也是传统方法无法实现的。总 结
本文首先简单介绍了两个常用安全策略:防火墙和人侵检测系统,并讨论了它们的不足,然后给出了一种比较新的安全策略:基于网络的安全审计系统,并讨论了它的两个常用传统实现方法:规则匹配策略和数理统计策略。在具体分析这两类方法的应用和不足的同时给出了一种新的实现方式:使用具有学习能力的数据挖掘方法。最后给出了使用这个技术来实现基于网络的安全审计系统的一个系统原型通过在某实际网络环境中的使用测试表明,本系统达到了预期的设计功能。
第二篇:毕业论文--校园网络安全系统设计与实现
xx大学
本科毕业设计(论文)
(题
目:校园网络安全问题及对策 学生姓名:xx 系
别:计算机系
专
业:计算机科学与技术
2011年2月
摘要
网络安全的本质是网络信息的安全性,包括信息的保密性、完整性、可用性、真实性、可控性等几个方面,它通过网络信息的存储、传输和使用过程体现。校园网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击。防火墙,则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统是必要的。
本文从对校园网的现状分析了可能面临的威胁,从计算机的安全策略找出解决方案既用校园网络安全管理加防火墙加设计的校园网络安全系统。通过以下三个步骤来完成校园网络安全系统:
1、建设规划;
2、技术支持;
3、组建方案。
关键词:网络; 安全; 设计
ABSTRACT
Network security is the essence of the safety of network information, including information of confidentiality, integrity, and availability, authenticity and controllable etc, it is through the network information storage, transport and use process.Campus network security management is in anti-virus software, a firewall or intelligence gateway, etc, the defense system to prevent from outside the campus.A firewall is a firm between inner and outer net security barrier.Safety management is the basis of network security and safety technology is the auxiliary measures with safety management.The school has established a set of campus network security system is necessary.Based on the analysis of the status of the network could face threats, from the computer security strategy to find solutions in the campus network security management is designed with the campus network firewall security system.Through three steps to complete the campus network security system: 1, the construction plan.2 and technical support.3 and construction scheme.Keyword: Network, Safe ;Design
目 录
绪
论.....................................................1 1.校园网络安全..............................................2
1.1 校园网概述........................................................2 1.2 校园网络安全概述.................................................3 1.3 校园网络安全现状分析.............................................3 1.4 校园网络安全威胁................................................5
2.校园网络安全策略..........................................8
2.1 校园网络安全管理.................................................8 2.2 校园网络安全措施.................................................9 3.校园网络安全系统设计......................................11
3.1 校园网建设需求分析..............................................11 3.1.1 需求分析....................................................11 3.1.2 关键设备....................................................12 3.1.3 校园网络拓扑................................................13 3.2 技术方案........................................................13 3.2.1 校园网的建设规划............................................13 3.2.2 组网技术....................................................16 3.2.3 网络操作系统................................................18 3.2.4 INTERNET 接入技术...........................................18 3.2.5 防火墙技术..................................................19 3.2.6 建网方案....................................................19 3.3 校园网的运行....................................................23 3.3.1 校园网的应用................................................23 3.3.2 校园网的管理................................................23
总 结....................................................25 参考文献....................................................26
绪 论
随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。主要包括各种局域网的技术思想,网络设计方案,网络拓扑结构,布线系统,Internetde 应用,网络安全,网络系统的维护等内容。而网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。
随着教育信息化的不断推进,各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到,随着校园网络规模的急剧膨胀,网络用户的快速增长,尤其是校园网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
计算机管理和教育信息服务的要求越来越高。
3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。
4、现代教育改革的需要。
5、计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息服务是完全可行的。[1]
1.2校园网络安全概述
自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元。
由于校园网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。所以,校园网络可能存在的安全威胁来自以下方面:
1.操作系统的安全性,目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC;
2.防火墙的安全性,防火墙产品自身是否安全,是否设置错误,需要经过检验; 3.来自内部网用户的安全威胁;
4.缺乏有效的手段监视、评估网络系统的安全性; 5.采用的TCP/IP协议族软件,本身缺乏安全性;
6.应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
1.3校园网络安全现状分析
随着网络技术的发展,可以说现在的大部分学校都建立了校园网络并投入使用,这对加快信息处理、提高工作效率、实现资源共享都起大了无法估量的作用,但在积极发展办公自动化、信息电子化、实现资源共享的同时,网络的安全问题越来越成为一个非常严惩的隐患,就好像一颗定时炸弹一样,深深的埋在教育现代化的进程中,如果这一个隐患不除,那么也许有一天,学校信息平台服务器遭到攻击而停止工作、整个校园网络被迫停止、学校积累的各种数据和信息被删除了,导致辛苦积累的大量教育资源被破坏。比如2003年暴发的“震荡波、冲击波、FORM.A”
综上所述,网络必须有足够强的安全措施。无论是公众网还是校园网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。[7]
1.4 校园网络安全威胁 计算机病毒
计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时,嵌入的病毒也随之运行并感染其它程序。计算机病毒种类繁多,形形色色,但就已经发现的计算机病毒而言,其危害性主要表现为破坏性、传染性、寄生性、潜伏性和激发性几大特征。
破坏性是指计算机病毒可能会干扰软件的运行,或者无限制地侵占系统资源使系统无法运行,又或者毁掉部分数据或程序,使之无法恢复,甚至可以毁坏整个系统,导致系统崩溃。传染性则是计算机病毒能通过自我复制传染到内存、硬盘甚至文件中。寄生性表现为病毒程序一般不独立存在.而是寄生在磁盘系统区或文件中。潜伏性则是指计算机病毒可以长时间地潜伏在文件中,在相应的触发机制出现前并不影响计算机,但当被触发后,则后果严重。激发性是指病毒程序可以按照没计者的要求,例如指定的日期、时间或特定的条件出现在某个点激活并发起攻击。
计算机病毒的传染性证明其具有传播性,防止病毒传播,首先必须认识其传播途径和传播机理。计算机病毒最初传播主要是通过被病毒感染的软件的相互拷贝、携带病毒的盗版光盘的使用等传播。这时候的病毒传播还是线下传播。随着计算机网络的发展,计算机病毒传播主要是通过磁盘拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等方式实现。
病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定的缺陷,尤其是网络系统软件方面存在着漏洞。因此.网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”大肆发起攻击。网络攻击校园网面临的另一个安全威胁就是网络攻击。
广义的网络攻击包括很多方面。这里结合校园网络安全的特点,重点介绍拒绝服务(DoS,Daniel of Service)攻击。之所以介绍拒绝服务攻击,因为拒绝服务攻击在校园网发牛的更为普遍。这是因为校园网用户集中度高、密度大.为拒绝服务攻击提供了天然条件。加之学生的好奇心的因素,导致拒绝服务攻击发生频率较高,是危害校园网安全的重要类型之一。
洞来进行病毒传播的,加上带毒的木马程序,一感染便驻留在你的计算机当中,在以后的计算机启动后,木马就在机器中打开一个服务,通过这个服务将你计算机的信息、资料向外传递。
3)目录共享导致信息的外泄, 在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但可以说几乎所有的人都没有充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。我曾经搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。因而对目录共享安全意识的单薄,会导致了信息的外泄。
4)网络安全意识淡薄,校园网络上的攻击、侵入他人机器,盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜,我校应用服务器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试,而其中一大部分的非法访问源自校内,说明校园网络上的用户安全意识淡薄;另外,没有制定完善而严格的网络安全制度,各校园网在安全管理上也没有任何标准,这也是网络安全问题泛滥的一个重要原因.由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要.4、严格规范上网场所的管理,集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
5、根据相关部门的要求,配备专门的安全管理人员,出台网络安全管理制度。网络安全的技术是多样化的,现状还是“道高一尺,魔高一丈”,因此管理的工作就愈发重要和艰巨,必须要做到及时进行漏洞修补和定期询检,保证对网络的监控和管理。[2]
2.2 校园网络安全措施
前述各种网络安全威胁,都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁,主要手段就是完善网络病毒监管能力,堵塞网络漏洞,从而达到网络安全。
1、杀毒软件。
杀毒产品的部署.在该网络防病毒方案中,要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点,应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段;同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能.。
(1)在学校网络中心配置一台高效的Windows2000服务器安装一个杀毒软件的系统中心,负责管理校内网点的计算机。(2)在各办公室分别安装杀毒软件的客户端。
(3)安装完杀毒软件,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。(4)网络中心负责整个校园网的升级工作。
2、采用VLAN技术。
VLAN技术是在局域网内将工作站逻辑的划分成多个网段,从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。
3、内容过滤器。
加强网络管理主要是要做好两方面的工作。首先,加强网络安全知识的培训和普及;其次,是健全完善管理制度和相应的考核机制,以提高网络管理的效率。[6]
学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络;是学校信息化教学环境的基础设施和实现各项管理的物质基础;是建立远程教育体系的基本保证;是提高全民素质的重要手段;也是一项灵魂工程。其设计方案应注意以下原则:
实用性校园网设计应能满足学校目前对网络应用的要求,充分实现学校内部管理、教学和科研的网络化、信息化的要求,使网络的整体性能尽快得到充分的发挥,并且便于掌握。
可靠性校园网的系统及网络结构较为复杂,同时在部分子系统中存在较高的技术性,因此必须保证系统的稳定、可靠和安全运行,具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率),提高容错设计,支持故障检测和恢复,可管理性强。
统一性在系统的设计过程中,坚持“三统一”,即统一规划、统一标准、统一出口。
先进性在系统的开发过程中,既能满足当前院校对网络的应用需求,又可以在将来需要扩展的时候,能方便地扩展,保护目前的所有投资;设计的配置可以灵活变通,以便适应客户的其他要求。
3.1.2 关键设备
在产品选购之前一定要经过认真的分析,这次参与组网的机构选用美国Cisco公司的Catalyst 6506作为数据网络系统的内部核心交换机,Catalyst 6506是大容量的具有高交换能力的第三层模块化交换机,Catalyst 6506的交换容量以及端口数量等技术指标足以满足网络目前的需求。选择Catalyst 3548作为外网交换机。可以通过千兆的光纤链路连接到核心交换机,而所有的用户终端可以通过10/100M自适应通道接入到Cisco Catalyst 3524和Catalyst 3548交换机上。选择Catalyst 3524和Catalyst 3548作为计算机网络系统的二级汇聚交换机,为终端用户提供10/100M到桌面。选择Cisco 3662作为计算机网络系统DDN、ISDN访问路由器,既可以满足上级单位Internet的DDN、ISDN接入的需求,又可以满足继续扩展的需求。同时Cisco 3662作为计算机网络系统的拨号服务器,提供分支机构的拨号接入。
网络核心层:用一台Cisco的高端三层交换机Catalyst 6506作为整个交换系统的核心,由网络中心网络管理员统一调度,从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。其中配置两个电源同时供电,彼此分担负荷并互为备份。一块WS-X6K-S1A-MSFC2交换引擎是交换机的心脏,它控制交换机的寻址、数据转发、模块控制等。Catalyst6506交换机引擎卡上的MSFC2(Multilayer Switching Feature Card)卡具有极强的三层交换能力,2
前都要根据工程的特点事先进行详细的工程规化与技术需求分析,它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系,因此要特别认真地进行系统规划。对于校园网来说,必须对技术和教育的发展前景有着清醒的认识,只有这样,才能从很好地为校园网进行合理的规划。
1. 校园网的应用特点
随着现代化教学活动的开展和与国内外教学机构交往的增多,对通过网络进行信息交流的需求越来越迫切,为促进教学、方便管理和进一步发挥师生的创造力,校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统,以园区局域网为主,一个基本的校园网具有以下的特点:
高速的局域网连接--校园网的核心为面向校园内部师生的网络,因此园区局域网是该系统的建设重点,由于参与网络应用的师生数量众多,而且信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项基本要求;
信息结构多样化--校园网应用分为电子教学(多媒体教室、电子图书馆等)、学校管理和远程通讯(远程教学、互联网接入)三大部分内容:电子教学包含大量多媒体信息,学校管理以数据库为主,远程通讯则多为。
第三篇:审计系统优秀演讲稿
我到审计机关工作,经过8年的学习锻炼,深深认识到:不经历风雨,长不成大树;不经受磨砺,难以炼成钢铁。青春,应该是一篇用激情、用奉献谱写的乐章!
在审计局,我经历了从打字员、财经审计岗、基建投资岗等多种角色的转变。我深刻体会到:各个平凡的岗位,都能干出不平凡的成绩;工作业务的需要,就是我的选择。在办公室任打字员期间,我从刚开始的每分钟28个字,在10天内练到了每分钟打75个字;在财政金融股期间,我懂得了审计工作要严肃认真,一丝不苟,实事求是反映问题,不扩大,不隐瞒,维护财务纪律的真实性与严肃性。在基建投资股,我从工程造价审计门外汉,学懂了预算定额、建筑识图,懂得了要造一座房子,梁柱的重要性。
对于工作,我始终这么认为,越有困难越要勇往直前,才能炼就过硬的本领。我不会忘记,领导身先士卒在刺骨的水库中测量的身影;也不曾忘记在寒风飕飕、雪花飘飘的冬季,我和同事们徒步二十几里山路测量水管的情景;当建设老板不满尖酸指责时,我义正言辞,据理力争;更会记得,深夜打电话请教问题时,师傅热情解答、淳淳教导的情景。所有的这些,我不认为是艰难、委屈、苦闷,更看成是在我成长路上的一种厉炼和必经的挑战。
一次,在工程项目审计中,施工单位希望我们不要把工程造价核减太多,暗示是否可要把工程量扩大些,遭到了我们的断然拒绝。接着,审计组接到一个电话,语气异常的强硬“你们敬酒不吃吃罚酒,不按我们的意思,有你们的好看,这是一个典型的恐吓电话,我们坦然一笑。
我感到了平凡的审计而不平凡的事业,我们的脚下没有坦途,前方的道路上遍布荆棘。但我们不会退缩,坚持与时俱进,奋勇向前,百折不回,在成功中收获喜悦,在付出中体会丰饶。
第四篇:网络安全管理系统
广州迅天软件有限公司是一家集科学研究、产品开发、项目实施、技术服务为一体的综合型、创新型软件企业,全国煤炭行业软件研发基地。
公司业务范围涉及各个行业,在煤炭、冶金矿山和地质行业软件开发方面处于国内领先地位,是国内上述行业最早的、产品链最全的软件公司,拥有一系列成熟的、高品质的软件产品,其中部分产品属于国内独家。
公司设有软件科学研究所,拥有一支技术精湛、经验丰富、德才兼备、结构合理的科研技术队伍,聘有一批行业知名专家顾问,具有极强的自主创新能力、高端产品研发能力和超大型项目实施能力。
公司综合实力雄厚,通过了软件企业成熟度CMMI ML3国际标准认证。
公司管理规范,建有一整套科学的管理制度、规程、标准和严格的质量监管体系,实现了标准化开发,可有效防范开发风险,确保开发进度和产品质量。
公司投资五千万元,自主设计建设了“全国煤矿安全监控联网平台”,为全国各地煤矿监管机关、煤炭企业提供全天候、高质量的实时远程监控、多级联网、综合监管托管服务。
产品系列
煤矿安全监控联网系统(XTCSS)煤炭(矿产品)税费征管系统(XTCTL)矿山安全生产调度系统(XTSPS)矿山企业资源计划系统(XTERP)协同办公管理系统(XTCOM)地质资源管理系统(XTGRM)
煤炭(矿产品)质量检测分析系统(XTCQA)煤炭(矿产品)运销管理系统(XTCDM)
煤炭(矿产品)采购供应管理系统(XTCPS)矿山物资采购供应管理系统(XTMPS)矿山设备管理系统(XTMEM)人力资源管理系统(XTHRM)
矿山综合信息管理系统(XTMIM)
联系信息
公司名称:广州迅天软件有限公司
公司地址:广州市天河区天河软件园建工路13-15号606室 公司网址:http://www.xiexiebang.com 公司传真:020-85546007-608 销售电话:020-33553866 020-85546993 销售邮箱:xtsoft666@126.com 销售QQ:810820992 651322149 592135739 客服电话:020-85546007-605 客服邮箱:xtsoft855@126.com 客服QQ:876339918 505015978 984293970 联网平台:http://www.xiexiebang.com:8006
第五篇:审计方法(定稿)
第五章审计方法
第一节审计方法的意义及选用的原则
一、审计方法的意义
审计方法是指审计人员在审计过程中,搜集审计证据采用的技术和手段的总称。
二、审计方法的选用原则
(一)应与审计的特定目的相适应
(二)应与被审计单位的具体条件和实际需要相适应
(三)应与审计主体的性质和任务相适应
(四)应与审计方式或审计工作的地点相适应
第二节审计的一般方法
一、顺查法与逆查法
(一)顺查法。又叫正查法,它是按照会计业务处理程序进行审查的一种方法。对于内部控制制度不够健全,账目比较混乱,存在问题较多的被审计单位,采用顺查法较为宜。其缺点是工作量大,费时费力,不利于提高审计工作效率,降低审计成本。
(二)逆查法。又叫倒查法,它是按照会计业务处理的相反程序进行审查的一种方法。优点是可以节省审计的时间和人力,有利于提高审计工作效率和降低审计成本。其缺点是采用此法要求审计工作人员必须具有一定的分析判断能力和实践工作经验,才能胜任审计工作。
二、详查法与抽样法
(一)详查法。又称详细审计,是指对被审计单位一定时期内的全部会计资料(包括凭证、账簿和报表)进行详细的审核检查,以判断评价被审计单位经济活动的合法性、真实性和效益性的一种审计方法。此法的优点是容易查出问题,审计风险较小,审计结果比较正确。缺点是工作量较大,审计成本较高。
(二)抽样法。又称抽样审计,是指从被审计单位一定时期内的会计资料(包括凭证、账簿和报表)按照一定的方法抽出其中的一部分进行审查,借以推断总体有无错误和弊端的一种方法,进而判断评价被审计单位经济活动的合法性、真实性和效益性的一种审计方法。此法的优点是可以减少审计的工作量,降低审计成本。缺点是有较大的局限性,如果样本选择不当,就会使审计人员作出错误的结论,审计风险较大。
常用的样本选取方法有任意选样、判断选样和随机选样等方法。
随机选样的方法又可具体划分为简单随机选样、系统随机选样、分组随机选样和整群随机选样。
(1)简单随机选样包括编号选样法和随机数表法。
(2)系统随机选样也称等距随机选样。
(3)分组随机选样也称分层随机选样。
(4)整群随机选样也称整体随机选样。此方法先将总体项目按照一定的标准分成若干群,而后运用等距随机选样等方法,按群抽取样本项目。
第三节审计的技术方法
一、检查。检查是审计人员对会计记录和其他书面文件可靠程度的审阅与核对。
(一)会计记录和书面文件的审阅
1、会计凭证的审阅。会计凭证包括原始凭证和记账凭证,其中以审阅原始凭证为重点。
2、账簿的审阅。账簿包括总账、明细账、日记账和各种辅助账簿。其中以审阅明细账和日记账为重点。
3、报表的审阅。审阅报表应以审阅资产负债表、损益表、现金流量表等为重点。
4、其他记录的审阅。例如:产品出厂证、质量检验记录,以及合同协议等。
(二)会计记录的核对。
1、账表核对。是指以报表项目与有关账簿记录进行核对,以查证报表指标的真实性和正确性。核对时,一般以账簿记录核对报表项目。
2、账账核对。是指以各种有关的账簿记录进行相互核对。
3、账证核对。是指以明细账和日记账的记录同记账凭证相核对。一般说来,账账核对结果如属正常,可以不再进行账证核对。
4、账实核对。是指以明细账记录与实物相核对,以查明账存数与实存数是否相符。
二、监盘。监盘是审计人员现场监督被审计单位各种实物资产及现金、有价证券等的盘点,并进行适当的抽查。盘点的方式有突击盘点和通知盘点。突击盘点适用于现金、有价证券和贵重物品等的盘点。通知盘点适用于固定资产、在产品、产成品和其他财产物资等的盘点。
三、观察。观察是审计人员对被审计单位的经营场所、实物资产和相关业务活动及其内部控制的执行情况等所进行的实地察看。
四、查询及函证。
查询是审计人员对有关人员进行的书面或口头询问。
函证是审计人员为印证被审计单位会计记录所载事项而向第三者发函询问。
五、计算。计算的内容包括凭证中的小计和合计数、账簿中小计、合计和余额数,报表中的合计、总计和比率数,以及相关计算公式的运用结果等。特别是对账簿中的承前和续后的合计数,必须重算,以防记账人员假造数字进行舞弊。
六、分析性复核。分析性复核是审计人员对被审计单位重要的比率或趋势进行的分析,包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异。一般而言,在整个审计过程中,审计人员都将运用分析性复核的方法。
分析性复核常用的方法有绝对数的比较分析和相对数的比较分析。
第四节各种审计方法之间及其与审计分类之间的相互关系
点击咨询 