第一篇:计算机设计论文
计算机本科毕业论文写作指导
日期:09-10浏览次数: 7182次收藏:6901
【内容提要】又到一年毕业时,广大毕业生又开始忙碌起毕业论文的写作了,下面我们就本科计算机毕业论文的写作,结合我们多年进行计算机毕业论文写作的经验,给广大即将毕业的同学们将计算机专业的本科毕业论文写作方法、技巧进行
又到一年毕业时,广大毕业生又开始忙碌起毕业论文的写作了,下面我们就本科计算机毕业论文的写作,结合我们多年进行计算机毕业论文写作的经验,给广大即将毕业的同学们将计算机专业的本科毕业论文写作方法、技巧进行一下总结,希望大家看后能有所收获,对自己在毕业论文的写作中能起到帮助作用,祝大家顺利毕业。
我们这篇文章分部分进行讲解:
一、本科学生毕业论文的目的和内容
二、管理信息系统开发的主要步骤
三、计算机专业所选开发工具和注意事项
四、计算机毕业论文撰写格式
五、毕业论文中正文的写法和注意事项
六、结束语的写法
七、参考文献 列出毕业论文设计中主要参考书籍
八、附录的写法
九、论文评分的能用标准
一、本科学生毕业论文的目的和内容
本科学生在毕业之前必须做毕业论文,其目的是通过毕业论文,让学生独立开发一个具体的计算机应用项目,系统地进行分析总结和运用学过的书本知识,以巩固本科阶段所学的专业理论知识,并给予一个理论联系实际的机会。
为了便于实施和管理,规定网络学院计算机相关专业本科学生毕业论文主要以开发一个管理信息系统为毕业实践的课题,每个毕业生通过独立开发一个具体的管理信息系统,掌握开发一个比整完整的管理信息系统的主要步骤,并从中获得一定的实际经验。
二、管理信息系统开发的主要步骤
管理信息系统开发的主要步骤及各步骤的基本内容如下:
1、系统分析
主要工作内容有以下几项:确定系统目标,系统可行性分析
2、系统调查
系统的组织结构、职能结构和业务流程分析。其中系统的组织结构图应画成树状结构。系统业务流程分析、业务流程图
3、数据流程分析
数据流程图(系统关联图、顶层图、一层数据流图、二层数据流图)、数据词典、代码设计
4、管理信息系统的功能设计
系统的功能结构图,每个功能模块的主要工作内容、输入输出要求等。系统控制结构图
5、数据库设计
概念模型设计:实体、实体间的联系、E-R图
关系模式设计:E—R图->关系模式的转换规则
关系模式
数据库表设计:数据库表结构6、7、8、9、系统物理配置方案人机界面设计模块处理概述系统测试和调试:测试计划、测试用例、测试结果
三、开发工具和注意事项
1、开发工具
开发工具可由学生任选。如Delphi、FoxPro、VB、Access等,这些工具的使用全由学生自学。
2、注意事项
(1)项目开发步骤的完整性(系统需求分析、概念设计、物理设计、系统环境和配置、系统实施以及系统测试和调试等)
(2)每个开发步骤所得结果的正确性(业务流程图、数据流程图、数据词典、HIPO图、E-R图、关系模式、人机界面设计及模块处理等的详细分析和说明)
(3)论文整体结构的完整性(前言、各个具体步骤的叙述和分析、结语、参考文献和有关附录)
(4)提供软件系统的可执行盘片及操作说明书
(5)参考资料(列出必要的参考资料)
四、毕业论文撰写格式
注意: 1.每个步骤都要有文字说明和论述 2.各个步骤必须是有机的组合,不可以支离破碎不成一体。
一、封面
二、摘要 用约200-400字简要介绍一下论文中阐述的主要内容及创新点
三、主题词 用一、二个词点明论文所述内容的性质。(二和三要在同一页面上)
四、目录 一般采用三级目录结构。例如第三章 系统设计3.1系统概念结构 3.1.1概念模型
五、正文
第一章 前言
简要介绍: 组织机构概况、项目开发背景、信息系统目标、开发方法概述、项目开发计划等。
第二章 系统需求分析
本章应包含:
(1)现行业务系统描述
包括业务流程分析,给出业务流程图。
具体要求:业务流程图必须有文字说明,图要完整、一定要有业务传递的流程。
(2)现行系统存在的主要问题分析
指出薄弱环节、指出要解决的问题的实质,确保新系统更好,指出关键的成功因素。
(3)提出可能的解决方案
(4)可行性分析和抉择
包括技术可行性、经济可行性、营运可行性分析和抉择。
第三章 新系统逻辑方案
针对用户需求,全面、系统、准确、详细地描述新系统应具备的功能。
(1)数据流程分析
最主要的是给出数据流程图,要求满足以下条件:
A.数据流程图必须包括系统关联图、系统顶层图、第一层分解图和第二层分解图组成。B.系
统关联图确定了从外部项到系统的数据流和从系统向外部项的数据流,这些数据流在其它层次的数据流中不允许减少,也不允许增加。各层次内部的数据流不受关联图的限制。C.数据流应有名字。D.外部项和数据存储之间不得出现未经加工的数据流。E.数据流程图的分解中,必须保持每个分层同其上层加工中的外部项和输入输出流相一致。F.各加工之间一般不应出现未经数据存储的数据流。G.数据存储之间不得出现未经加工的数据流。H.数据存储可以分解。I.若有查询处理,应在数据流程图中表达。J.统计和打印报表不在数据流图中表达。
(2)数据词典描述
可采用图表格式或较紧凑的记录格式描述 A、若采用图表格式,可只写出数据流、数据元素、加工、数据存储和外部项各一个表。B、若采用紧凑的记录格式,则应列出全部成分。如数据元素: 编号 名称 存在于 数据结构 备注 E1 入库数据 F1/F3/F11/F15 入库单号 日期 货号 数量 E2 出库数据 F1/F3/F11/F15 出库单号 日期 货号 数量 C、据流程图中系统顶层图的数据加工都必须详尽写出。
(3)基本加工小说明
可采用结构化语言、数学公式等描述各个基本加工。
第四章 系统总体结构设计
(1)软件模块结构设计 A、系统软件模块结构图,并由此导出功能分解图及层次式菜单结构。B、系统的模块结构应与数据流程图的顶层图的加工一致。
(2)数据库设计 A、应按下列次序阐述各个元素:实体、实体的属性、实体间联系、E-R图、转换规则、关系模式。B、在介绍实体的属性时,不应包括联系属性,联系属性直至关系模式中才出现。C、数据流程图中的每个数据存储可隐含于E-R图中的多个实体。D、E-R图中的实体要与数据流程图中的数据存储相对应。每个实体要指出实体的标识码(主码)。对每个实体或联系应列出其应有的属性(用列举的方法)。E、E-R图中至少要有一个多对多的联系。F、必须严格按照转换规则从E-R图产生数据关系模式集,需要时作必要的优化,并说明理由。G、对于一对一的联系,只应把任一个实体的主码放在另一个实体中作为外码。H、一对多联系也可以产生新的关系模式,如要这样做,必须说明理由。I、多对多联系,或三元联系必须产生新的关系模式。J、关系模式的个数和名字要与E-R图中的实体和联系相一致。K.、每个关系模式中要用下横线标出主码,后随的符号“#”标出外码。L、若有代码对照表可在最后列出,需另加说明。
(3)计算机系统配置方案的选择和设计
给出硬件配置,系统软件配置,网络通信系统配置(可选)等内容。
(4)系统总体安全性、可靠性方案与措施。
第五章 系统详细设计
(1)代码设计 基本数据项的代码格式。
(2)人机界面设计 给出人机界面视图(输入输出接口,屏幕格式设计等)
(3)模块处理过程 根据软件环境做不同处理。可采用脚本、程序流程图、结构化的PDL语言等。
第六章 实施概况
(1)实施环境和工具的比较选择
(2)编程环境、工具、实现与数据准备概况
(3)系统测试概况 主要包括测试计划、测试用例、测试记录。
(4)系统转换方案及实现概况
(5)系统运行与维护概况
六、结束语
(1)系统特色、局限与展望
(2)实施中遇到的挫折、创新、体会与致谢
七、参考文献 列出毕业论文设计中主要参考书籍
序号、书名或文章名、作者名、出版社或杂志名、出版日期或杂志期号。
八、附录
(1)列出部分有一定代表性的程序代码段
(2)操作说明书
九、论文评分标准
1、A等
系统正确无误,系统功能完善,设计步骤完整正确,实用性强,有一定的创新性,论文结构严谨,表述流畅。
2、B等
系统基本正确,系统功能基本完善,设计步骤基本完整正确,有一定的实用性,论文结构良好,表述基本流畅。
3、C等
系统有少量错误,系统功能不够完善,设计步骤欠完整,基本上没有实用性,论文结构一般,表述基本清楚。
4、不及格
因有以下所列某种原因,均作论文不及格评分。
系统有较大的错误、系统功能不完善,缺少主要设计步骤或主要设计步骤有严重错误,论文结构混乱,表述不清楚。
该文章转载自 http:///biyielunwen/200919218124.htm
第二篇:计算机个人网站设计论文
浅谈计算机个人网站建设及运用
13级 计算机 刘润
摘要:个人网站在现在的个人生活中可以起到非常重要的作用,本文主要介绍了个人网站设计规划,库文件和模板文件的制作,利用模板制作网页,制作网页特效的制作并使用ASP+IIS+Access技术实现了我的网站的各种功能,其中和数据库的连接使用到了ODBC技术等。通过此次的学习能快速掌握个人网站设计制作的基本技巧和基本网站建设过程。
关键词:网站;网页制作;模版
引 言
在Internet飞速发展的今天,互联网成为人们快速获取、发布和传递信息的重要渠道,它在人们的政治、经济、生活等方面发挥着重要的作用。Internet上发布信息主要是通过网站来实现的,获取信息也是要在Internet海洋中按照一定的检索方式将所需要的信息从网站上下载下来。因此网站建设居Internet应用上的地位显而易见,它已成为政府、企事业单位信息化建设、个人网站建设中的重要组成部分,从而倍受人们的重视。个人网站已成为同学们讨论最热门的话题,适用于想通过建立网站交友、突出自我个性的广大网站制作爱好者。
主要介绍了个人网站设计规划,库文件和模板文件的制作,利用模板制作网页,制作网页特效的制作等。通过此次的学习能快速掌握个人网站设计制作的基本技巧和基本网站建设过程。
首页中主要涉及了个人简介,照片匣子,我的作品,友情链接等。
一、个人网站设计规划
随着网络技术的飞速发展,越来越多的个人拥有了自己的网站,为了设计一个有效的,引人注目的站点,应该有计划,有步骤地完成一系列操作。在动手建立网站以前,对网页进行完整,详尽的整体设计是至关重要的。个人网站设计制作主要包括以下几个步骤。
(一)确定网站的主题
对于主题的选择主要按下列三个条件去考虑,本例所讲的是一个个人介绍性质的网站,主体就是介绍个人的相关信息。
1、主题要小而精。一般来说,个人主页的选材定位要小,内容要精。
2、对于个人网站来说主题最好是自己擅长或者喜爱的内容。这样在制作时,才不会觉得无聊或者力不从心。兴趣是制作网站的动力,没有热情,很难设计制作出优秀的作品。
3、主题不要太滥或者目标太高。
如果主题已经确定,就可以围绕主题给该网站起一个名字,网站名称也是网站设计的一部分,而且是关键的要素。
(二)确定网站的目录结构
网站的目录是指建立网站时创建的目录。目录结构的好坏,对浏览者来说并没有什么太大的感觉,但是对站点本身的上传维护以及以后的内容的扩充和移植有着重要的影响。
本站只是个人介绍性质的页面,主要是静态的几个页面,因此在建立目录的时候,可以将其中的页面文件直接放在根目录下,所有的图片可以放在images文件夹中。
下面是建立目录结构的建议:
1、不要将所有文件都存放在根目录下。
2、按栏目内容建立子目录。
3、在每个主目录下都建立独立的images目录。
4、目录的层次不要太深。
(三)确定网站的整体风格
风格是指站点的整体形象给浏览者的综合感受,包括站点的标志,色彩,字体,标语,版面布局,内容价值,存在意义,站点荣誉等诸多因素。本站采用白色,绿色等为主的色调,绿色具有清爽,理想,希望,生长的含义,采用这种明亮的绿色,和褐色的沉稳,营造了一个清晰明块,充满无限希望与活力的氛围。
从整体风格的角度来看,下面就是一个好的网站标准:
1、简洁实用:这是非常重要的,网络特殊环境下,尽量以最高效率的方式将用户所想得到的信息传送给他就是最好的,所以要去掉所有冗余的东西。
2、整体性好:一个网站强调的就是一个整体,只有围绕一个统一的目标所做的设计才是成功的。
3、网站形象突出:一个符合美的标准的网页是能够使网站的形象得到最大限度的提升的。页面用色协调,布局符合形式美的要求:布局有条理,使网页富有可欣赏性。
4、交互式强:发挥网络的优势,使每个使用者都参与到其中来,这样的设计才能算是成功的设计。
(四)确定网站主要栏目和布局
因为每台显示器分辨率不同,所以同一个页面的大小可能出现640*480像素,800*600像素,1024*768像素等不同尺寸。本站的所有页面采用800*600像素制作。
通常版面布局按照如下步骤进行。
1、草案
新建页面就像一张白纸,没有任何表格,框架和约定俗成的东西,可以尽可能地发挥想象力,用一张白纸和一支铅笔将想到的景象画上去,当然用作图软件Photoshop,Fireworks等都可以。这属于创作阶段,不讲究细腻工整,不必考虑细节功能,只以粗陋的线条勾画出创意的轮廓既可。尽可能多画,几张,最后选定满意的作为继续创作的样板。
2、粗略布局
在草案的基础上,将确定需要放置的功能模块安排到页面上。必须遵循出重点,平衡协调的原则,将网站标志,主要栏目等最重要的模块放在最显眼,最突出的位置,然后再考虑次要模块的排放。
根据本站的主要栏目确定了本站的布局草图。我们可以把顶部导航区作top库文件,在制作其他网页文件时直接引用。在本站中的其他页面风格和栏目相似,如果每次都重新设定网页结构以及导航条,各类图标就显得非常麻烦,可以利用Dreamweaver先制作一个模板,然后利用模板再来创建其他的页面。
二、创建个人网站站点
在制作网页前,要先为网页定义一个个人网站站点,用来存放站点中所有网页文件及附属文件。建设站点前先将配套的素材文件夹复制到本地硬盘上,在本地硬盘上创建个人网站,具体操作步骤如下。
1、选择【站点】|【管理站点】命令,弹出【管理站点】对话框,在【管理站点】对话框中,单击【新建】按钮,然后从弹出的菜单中选择【站点】。如下图3-1所示:
图3-1 管理站点
图3-2 输入站点名称
2、弹出【站点定义】对话框,如果对话框显示的是【高级】选项卡,则单击【基本】选项卡,弹出【站点定义向导】的第一个界面,要求为站点输入名称。如图3-2所示.3、单击【下一步】按钮,出现向导的下一个界面,询问是否要使用服务器技术。选择【否,我不想使用服务器技术】选项,指示目前该站点是一个静态站点,没有动态页面。
4、单击【下一步】按钮,打开一个对话框,在文本框中输入站点路径。
5、单击【下一步】按钮,询问是否使用远程服务器,这里选择【无】,因为将整个站点制作完成以后再上传。
6、单击【完成】按钮,即出现【管理站点】对话框,其中显示了新建的站点。
7、单击【完成】按钮,关闭【管理站点】对话框。现在,已经为站点定义了一个本地根文件夹,就可以在站点中制作网页了,当制作完成以后,就可以上传到服务器上供大家浏览了。
三、制作网页模板
因为本网站中的几个页面都要用到相同的页面元素和排版方式,因此可以使用模板以避免重复地在每个页面输入或修改相同的部分,在网站改版的时候,只要改变模板,就能自动更改所有基于这个模板的网页。
(一)制作库文件
在Dreamweaver中,库项目是可以重复使用的项目之一,库的用途和模板类似,都是可将同一内容用于不同的网页,库文件具体制作步骤如下。
1.选择【文件】|【新建】命令,新建一空白网页。
2.选择【插入】|【图像】命令,弹出【选择图像源文件】对话框,选择lbi.jpg。3.单击【确定】按钮,即可插入图像。
4.选择【文件】|【另存为】命令,弹出【另存为】对话框,在【文件名】文本框中输入文件名3.lbi,在【保存类型】中选择【库文件(* lbi)。
5.单击【保存】按钮,至此库文件制作完成。
(二)制作模板
使用模板创建文档可使站点具有统一的结构和外观。无论是新建站点还是更新已有站点,如果要使站点中的所有页面都共有某种特色,则模板非常有用。使用模板可以个次修改若干页面,而不用对新页面逐个设置属性。制作模板具体步骤如下。
1.选择【文件】|【新建】命令,弹出【新建文档】对话框,在【常规】选项卡中选择
【模板页】类别中的【HTML模板】选项。如图4-1.图4-1 HTML
模板
2.单击【创建】按钮,创建一空白模板网页。选择【窗口】|【资源】命令,打开资源面板,在资源面板中选择images/bj_01.jpg文件。如图4-2
图4-2 打开文件 3.单击【插入】按钮,即可插入库文件。
4.将光标置于库文件的下边,选择【插入】|【表格】命令,弹出【表格】对话框,并设置【行数】、【列数】,【表格宽度】设置为1005像素,单击【确定】按钮即可插入需要的表格。
5.将光标置于第1行单元格中单击鼠标面板中【背景图像】文本框右边的 图标,弹
出【选择图像源文件】对话框,从中选择图像文件夹中的images/bj_01.jpg文件,如图4-3所示.图4-3 选择文件
6.单击【确定】按钮,即可插入背景图像
7.用PHOTOSHOP CS2制作图片Bj-04.jpg,如图4-4
图4-4 制作图片
8.按需要分别插入图片,使其组合成一个完整的页面背景.9.预览,效果如图4-5所示
图4-5 效果图
(三)设置模板可编辑区
1.接上一节,将鼠标置于文档想创建可编辑区域的位置。
2.选择【插入】|【模板对象】|【可编辑区域】命令,弹出【新建可编辑区域】对话框,在对话框中,将【名称】设置为index_1,如图4-6所示.图4-6 创建可编辑区域
3.单击【确定】按钮,即可创建可编辑区域,如图4-7所示.图4-7 可创建区域
(四)用模板制作网页说明
可以利用模板快速的制作出大量的风格类似的网页,当模板改变时,所有基于模板的网页也随之改变,这样能有效的实现网站的更新。
四、利用模板制作网页
(一)制作登录主页
1.切换到【显示代码视窗】,在代码视图状态下,在
和第三篇:2016计算机论文
2016计算机论文范文
第1篇:计算机网络服务完善方式的研究
QoS工作原理
QoS就是我们所说的网络服务质量,它主要的衡量标准包括传输过程中的带宽、数据包的时延以及丢包率等。一般来说,Qos工作在传输层,它所提供的保障服务是“端到端”的,具体的工作中,它主要利用一下两种机制对服务质量进行提升。
(1)在QoS能够对报文种类进行识别的前提下,通过对不同的报文设置优先级来提升服务质量。在这个过程中,如果报文的优先级比较高,那么就可以优先获得服务,这对于保证传输延时最小化非常有利。
(2)利用Qos给应用程序预留其所需的带宽。这种机制的主要原理是在应用程序进行报文的发放之前,先进行信令请求的发送,通知网络需要的带宽、延时参数以及流量等。在传输层进行这些数据接收的时候,就会给应用程序保留其需要的各种宽带资源,并发送确认信息给程序。
通过这种方式,程序进行报文发送的时候就可对流量进行有效地控制,进而获得高质量的网络服务。这相当于开辟了专用的通道,至于没有进行宽度申请的服务,这个时候则对其余的流量进行共享。假如传输层满足不了所申请的带宽等参数,则会告知请求失败。
这种机制相对于第一种机制而言,最大的一个优势是:即便在网络比较拥塞的时候出现了丢包的问题,但依然可以保证网络应用通畅。不过,这种机制的一个缺点在于由于其分配的带宽属于静态的形式,这就导致了很难随着网络的变化进行自动的调整。另外,由于总带宽限额的限制,最终只能够有较少一部分应用能够享受到这种待遇。此外,假如通信方不处于一个国家,那么我们就需要在互联网上进行一定带宽的保留,而随着这种需求的增加,会使得预留的带宽占据整个互联网,进而使这种机制很难发挥出预期的效用,基于此,第二种机制是不适合广泛应用的。以下为Qos实现的流程:
网络服务质量优化模型
在当前的网络服务中,新的业务应用越来越多,这些业务也对网络提出了新的要求,因此,保证一个正常、有效地网络服务,并对网络服务的质量进行不断的优化有着非常积极的意义。在我们的工作中,优化模型主要可以分为以下几个部分。
首先,对于资源的分配,这主要由分配列队空间、分配链路带宽等工作组成。其次,对于任务的调度,一般来说这些任务可以分为多对列单服务器调度、单队列多服务器调度以及多队列多服务器调度。第三,对系统参数的配置,其中,系统参数主要有传输节点功耗以及拥塞窗口的配置等。第四,对于网络资源的部署,这里主要需要解决的问题有网络连通过程中互联设备的问题,最小化成本服务器的覆盖以及服务器集群中资源的利用率问题。
经过以上模型的设定,我们基本上完成了优化过程需要算法的界定,可以引导我们寻找出最佳的优化方案。此外,在我们的工作中,还有一个比较重要的问题是如何把设计好的算法应用到我们的实际工作之中,这主要是因为网络运行的性能适合算法的部署方式有着直接关系的,因此,这类工作中不仅会涉及到优化理论本身,也将关系着工程的技术方面。举例来说,一般我们会比较倾向于分布并行的部署算法,这能够对网络节能的负载进行有效地降低。总体而言,网络再造属于循环工程,它具有“评价、优化、再评价、再优化”这样的一个循环,因此,我们不仅要对网络的服务质量进行不断地优化,还要以网络性能以及算法等作为优化的依据。
QoS实现的形式
一般来说,在QoS实现的过程中,最为常见的策略有四种:(1)服务类型。(2)综合服务。(3)区分服务。(4)业务流量。
结语
在网络应用越来越多的今天,对计算机网络服务质量进行优化有着重要的意义。Qos只是有效地手段之一,在我们的工作中,还要加强这方面的学习和探索,使我们的技术水平达到一个新的高度。
第2篇:计算机科技论文范文
21世纪是网络的世界,我们每个人都在不知不觉中融入这个网络世界。而路由器在网络中发挥着越来越重要的作用,其主要负责在网络层间按传输数据分组的,并确定网络上数据传送的最佳路径。世界各地的个人和企业单位接入到Internet的自治系统有大有小,小型自治系统因其网络结构简单往往采用静态路由技术即可完成自治系统内的路由寻址,然而大、中型自治系统的网络拓扑结构往往更加复杂,采用依靠人工分配的静态路由技术存在很大的困难,因此根据合理的路由寻址算法设计的动态路由技术随之诞生,而OSpF动态路由技术因其功能强大、可拓展性强和网络性能优越在动态路由技术中格外优秀,被广泛应用于各大、中型自治系统中。
摘要:随着Internet技术在全球范围的飞速发展,世界各地的个人和企业单位都纷纷接入到这个世界上最大的计算机网络中。OSpF动态路由技术因其功能强大、可拓展性强和网络性能优越在动态路由技术中格外优秀,被广泛应用于各大、中型自治系统中。
关键词:动态路由,OSpF,自治系统配置命令,链路
1OSpF的基本概念
开放最短路径优先协议(OpenShortestpathFirst)简称OSpF,它是路由选择协议中非常重要的一种协议,这是一种典型的链路状态(Link-state)路由协议,是由Internet工程任务组开发的内部网关(IGp)路由协议,其主要用在一个路由域内。路由域是指一个网络自治系统(AutonomousSystem),所谓自治系统是指一组路由器都使用同一种路由协议交换路由信息,网络中每个路由器都有一个唯一的标识,用于在链路状态数据库(LSDB)中标识自己。LSDB描述的是整个网络的拓扑结构,包括网络内所有的路由器,作为一种链路状态的路由协议,OSpF将链路状态广播数据包LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,OSpF协议使用最短路径优先算法,利用LSA通告得来的信息计算每一个目标网络的最短路径,以自身为根生成一个树,包含了到达每个目的网络的完整路径。
OSpF的路由标示是一个32位的数字,它在自治系统中被用来唯一识别路由器。默认地使用最高回送地址,若回送地址没有被配置,则使用物理接口上最高的Ip地址作为路由标示。OSpF在相邻路由器间建立邻接关系,使它们能利用HELLO包维护关系并交换信息。OSpF使用区域来为自治系统分段,区域0是一个主干区域,每一个OSpF网络必须具有,其他的区域通过区域0互连到一起。
2OSpF的特点
OSpF路由协议主要用在大型自治系统内,这是一种链路状态的路由协议,而距离矢量路由协议RIp(RoutingInformationprotocol)则主要用在小型自治系统内,两个路由协议都具有重要的作用,RIp作为静态路由协议,具有适于小型网络,管理员可手工配置,精确控制路由选择,改进网络性能等优点,但它特别不适合于大型网络自治系统。而OSpF路由协议与RIp相比,具有如下优点:
1、RIp路由协议中用跳(HOp)来表示到达目的网络所要经过的路由器个数,RIp跳数最高为15,超过15跳的路由被认为不可达,而OSpF不受路由跳数的限制,它只受限于带宽和网络延迟,因而OSpF更适合应用于大型网络中。
2、RIp在规划网络时是不支持可变长子网掩码(VLSM),这将导致Ip地址分配的低效率,而OSpF路由协议支持VLSM,现在IpV4资源短缺,我们在划分大型网络的子网时,往往采用VLSM,这样划分子网效率更高,更节约Ip资源,所以OSpF更适合大型网络。
3、RIp必须每30秒就要周期性的广播整个路由表,才能使网络运行正常,如果RIp用在大型网络中,它会产生很多广播信息,而这些广播会占用较多的网络带宽资源,较频繁的更新有可能导致网络拥塞,其结果就是RIp用在大型网络中收敛速度较慢,甚至无法收敛。而OSpF使用组播发送链路状态更新,在链路状态变化时才进行更新,这样提高了带宽的利用率,收敛速度也大幅提高,能够在最短的时间内将路由变化传递到整个自治系统。
4、RIp没有网络延迟和链路开销的概念,拥有较少跳数的路由总是被选为最佳路由,即使较长的路径有低的延迟和开销,并且RIp没有区域的概念,不能在任意比特位进行路由汇总。而在OSpF路由协议中,往往把一个路由域划分为很多个区域area,每一个区域都通过OSpF边界路由器相连,区域间可以通过路由总结(Summary)来减少路由信息,从而减小路由表,提高路由器的运算速度。
OSpF路由协议拥有很多优点,特别适合用于大型网络,提高网络的运行速度,但它也有缺点:①使用OSpF路由协议,需要网络管理员事前先进行区域规划和路由器各端口Ip属性的设置,所以配置相对于静态路由RIp来说显得较为复杂,对网络管理员的网络知识水平要求较高。②对路由器的CpU及内存要求较高。
3OSpF配置命令及配置实例
在思科路由器中配置OSpF路由协议主要使用以下命令:①routeospf进程号,其中进程号要求范围为1~65535,进程号只在路由器内部起作用,不同路由器的进程号可以不同。②networkaddress子网掩码的反码area区域号,区域号要求在0~4294967295内的十进制数,也可以是带有Ip地址格式的X。X。X。X,当网络区域号为0时或0、0、0、0时为主干域,不同网络区域的路由器通过主干域学习路由信息。③showiproute,查看路由信息表,④showiprouteospf查看OSpF协议路由信息。
某学校采用四台思科3550路由器把整个学校划分为3个区域,四台路由器通过使用OSpF协议实现互通。路由器R1的S0端口Ip为192、200、10、5/30,E0端口Ip为192、1、0、129/26;路由器R2的S0端口Ip为192、200、10、6/30,E0端口Ip为192、1、0、65/26;路由器R3的E0端口Ip为192、1、0、130/26;路由器R4的E0端口Ip为192、1、0、66/
26、R1的S0端口和R2的S0端口划入区域0;R1的E0端口和R3的E0端口划入区域1;R2的E0端口和R4的E0端口划入区域
2、各路由器配置如下:在上述配置中首先对每台路由器接口进行配置,接口配置完后可以使用routerospf100命令启动一个OSpF路由选择协议进程,期中“100”为进程号,每台路由器进程号可不同,最后使用network将相应的网段加入OSpF路由进程中,则此接口所对应的网段就加入到OSpF进程中。
综上所述,OSpF作为一种链路状态的路由协议,具有收敛快,支持变长网络掩码,支持CIDR,配置命令简单易学等。所以在大型或复杂网络中应用OSpF协议可以极大的提高网络的运行效率。
第3篇:计算机网络教育和教师的教学对策
教师可以把计算机网络信息化的教学法融入教学中,并且能够通过四个方面得到体验:
1、信息的调整能力。教师需要在进行教学之前,运用信息器材的收集与教学相关的资料,有效地管理教学相关的课程文件,通过信息的积累,能够进行各个教学仪器的操作,在教学课程结束之后,可以通过信息仪器来记录学生的学习成果,还可以跟别人进行教学信息资源的交换和沟通。
2、结合教学过程。教师在进行课堂教学的时候,可以运用信息设备来讲解知识,可以运用远距离的教学方式,引导学生学习,从而提高教学效果。
3、体现教学的资源。教师把自己收集好的教学资源或者是学生的学习成果进行整理,通过网络和信息器材,体现出丰富的教学资源。
4、指导学生进行学习。教师可以引导学生正确地操作信息设备,来收集需要的资料和数据,使他们能够更好地完成教师布置的作业,并且能够展示自己的作品,从而深化所学的知识。
计算机网络教学中对教师的要求
计算机网络的技术和教学要求中专教师能够采用现代化的信息技术对课堂教学的内容、方式等作出合理的、科学的规划和设计,还需要中专教师不但要能够完成教学任务,并且确保在课堂教学中能够切实地解决问题。怎样使用计算机的网络技术来解答实际的问题是中专教师培养学生的操作能力的关键环节。这是一种能够面向所有学生开展的专业化的教学方式,是可以将教学、技术科学地融入一起的专业技术能力。中专教师为了确保计算机网络教学达到预定的目标,需要在教学过程中进行教学的监控。教学过程的监控是课堂教学中非常重要的环节,教师本身的素质、课堂教学的环境以及信息多媒体设备等都需要在监控下展开。
计算机网络教学的评价
教学质量的评价是教学过程中不能缺少的部分,也是验证教学的目的是否实现的重要途径。计算机网络技术的教学效果的评价方式包括单个的和综合性的评价。单个的评价方式就是对学生的听课的效果的评价,是通过课堂的回答问题的方式来进行的。综合性的评价,就是教师在进行正常的任务的布置之外,在课下布置一些与教学相关的实际性的问题。
计算机网络教学,实现了中专教学由教师和学生一起通过计算机网络来共同学习和完成教学的目标。教师通过网络布置的任务,学生通过对任务资料的收集和教师在网上的指导,跟教师进行知识的交流和沟通。学生能够在这样的过程中明白怎样得到知识的资源,使理论知识得到实际应用。使学生的潜在的能力被挖掘出来,并且提高了学生的学习成绩,增强了教学效果。
第4篇:计算机毕业论文范文
试议自动化仪表与计算机在现代化大生产中的应用
摘要:高新技术和计算机上在各种生产生活领域中的应用越来越普遍,不仅实现了设备和仪器的功能上的升级,还对自动化管理进行了的改善,计算机技术的这种大规模的应用无疑是相较于传统生产管理技术更加适合社会 化大生产的。
关键词动化仪表计算机现代化生产应用
就目前我国现代化生产的目前状况来看,自动化相关技术和计算机技术的应用已经大大的提高了生产效率,实现了更加全方位的生产运转和系统管理。由于生产过程中需要实现对各种数据以及设备运转状况的检测,所以自动化的仪表管理也是现代化企业生产管理的一个重要组成部分。现代化仪表的管理活动应该根据仪表的功能和型号的不同进行划分,并且还要对其运转的温度和环境进行实时的监控。1现代化大生产中使用的几种常见仪表的种类 1、1温度仪表
所谓温度仪表,就是对生产环境的温度进行检测的一种测量仪器,这种仪表是应用范围最广也是最常见的一种,因为大多数的生产车间都需要对温度进行有效的监管和制约,温度过高会使运转中的仪器存在安全隐患,而温度过低则会不利于工作人员的工作状态,所以温度仪表是目前我国生产过程中最常见的仪表之一,其主要的工作原理是通过对仪器进行接触式的电阻感应,实现温度的测量。1、2压力仪表
所谓压力仪表,指的就是在生产过程中对施加在被测物体上的各种压力进行测量的一种仪表,这种仪表的最大的特点是能够实现对300Mpa以内的力的压强的测量,并且可以根据液柱、弹性等不同的原理,对待测物体所承受的压强进行显示。一旦超过设定的最高压强界限,就会自动引起警告。1、3物位仪表
所谓物位仪表的应用,就是指在生产设备的运转过程中,对仪器内以及容器内的流体高度或者固体位置进行的一种测量,这种测量的目的在于确自动化仪表与计算机在现代化大生产中的定物体的位置和范围,以便与对容器的含量进行制约,同样的一旦超出合理范围,该仪表就会发出警告信号。1、4流量仪表
所谓流量仪表,是指对流动中的各种能量的运转状况进行测量的一种仪表,所以一般来说,被应用于电磁流量和超声波流量的测量活动中,作为目前来说技术最先进也是用途最前沿的一种测量仪表,流量仪表未来的市场前景和发展空间都被普遍看好。1、5在线过程分析仪器
所谓在线过程分析仪器,就是对生产设备在一定时间内的各种运转指标和参数进行统一的制约和管理的一种仪器,这种仪器不仅能够实现对生产设备的温度和压力的测量,还能够根据既定系统的设置,对其运转状况进行简单的分析,也就是说,可以实现对运转状况的调试,以满足目前的生产运转需要。这种过程分析仪器,不仅实现了基本的测量功能,还实现了初步的自动化管理功能。1、6执行器
所谓执行器,就是指在对生产设备的应用过程中,通过结合对定位器的使用来实现对生产设备的调节阀的制约和管理,以此来保证设备的安全和稳定运转。一般来说,目前我国的执行器的主要种类为液动执行器,这种执行器的作用原理是通过对其中的气动薄膜的调控来实现的。
2自动化仪表的应用目前状况 2、1在高压站防喘振系统的应用
高压站指的就是生产车间内部的为了达到一定生产效果所设置的高压环境,在这个环节中要想实现对设备的自动化的管理和制约是比较难的。目前我国采用的高压站的测量仪器主要是防喘振技术,其型号为DDZ-II,该测量仪表不仅具有自动调节的功能,还具备一定的运算能力,即可以在检测的过程中实现对目前高压站内的进风速度和流量等参数进行统计,实现更好的高压生产环境检测。这种系统的应用最大的效果就是可以简化高压站内的设备运转状况的实时检测,还可以简化操作步骤。
对于这一系统当中防喘振的实现来讲,主要就是通过对压力以及流量这两个参数进行测量,之后由调节器pID来进行运算,从而把输出制约气动阀计算出来。具体来讲,比值给定的Y=KX+b气动阀调节的最小开度范围应该是10%~15%,其安全的余度范围应该在8%~10%之间,同时应该要确保压缩机出口的压力应该为0、9Mpa,确保入口的流量应该是350m3/min,只有在满足这些情况之下,才能够对系统的安全运转提供保证。需要指出的是K所表示的是比值,X所表示的是输入,b所表示的是定值。2、2在基于STD-pC计算机核心的系统中的应用
对于这一过程的实现主要就是通过对碱液流量、碱液密度、下料量以及磨机功率等等的测量,来将所测得的数据作为采样的信号,从而来对其加以合理的调节制约,通过此来时的整个生产工艺的制约达到自动化的目的。具体的参数是:电磁流量计采用的型号是pULSMAGNDMI6532,这一型号的量程为50~150m3/h;核子称为HCS;放射源为Cr137;输出4~20mADC;核密度计采用的是型号是NNF-215,这一型号的放射源是Cr137;输出是4~20mADC。
具体系统制约的实现主要从两个方面来进行,第一,碱液调配系统。所谓碱液的调配系统,就是指通过对既定的碱液的配置比例的分析,可以实现自动化的相关溶液的配置,也就是说能够通过系统的自动制约发出动作,对各个配置环节进行逐一的操作。这个过程中还需要电磁流量计、密度计以及核子称等各种设备的配合。第二,测量显示。所谓测量显示,就是在碱液的配置过程中,能够实现对各个操作步骤的进行情况的显示,这样也就实现了对配置过程的一个系统的自我监控,一旦发现操作过程不符合操作要求,就会及时的发出警报信号,终止或者改善这种调配活动。此外,测量显示还体现在对设备的运转功能的显示,主要是通过磨机功率变送器来把同步机的功率转换成为4~20mA的信号,并输入至计算机,予以显示出来。对于各个仓槽料位的设定来讲,主要就是通过电容式料位开关来把上限和下限确定好,之后,将开关量以及计算机接口输出,之后通过输入通道由计算机来把开关量转换成为0、1这样的信息。这里需要注意的是,对于原料磨这一工艺来讲,主要采用STD-pC这一系统来进行自动制约的,通过此,能过使得产品的质量得到保证,能够使得生产的成本得到降低,能够大大提升工作的效率。
3结语 综上所述,近些年来自动化仪表在不断地应用发展当中获得了巨大地成效,未来的生产管理和系统监控也必定会朝着自动化的方向发展,所以,有关部门和技术人员应该加强对自动化仪表的应用状况的分析和检测,不断的完善自动化仪表的设备和技术,从而使自动化仪表朝着更加完善的方向发展,不断的推动我国的生产水平的提高。
参考文献
1高海平。自动化仪表调节阀故障分析与策略研究J。魅力中国,2016(12)。
2陈军,刘国明,蒋德华。石油化工自动化仪表的浅析J。化学工程与装备,2016(4)。
第5篇:计算机网络安全管控技能与方案
教师要注重教学方法,培养学生学习兴趣
(1)教师要做好新课的导入工作,吸引学生的注意力,变被动学习为主动学习。对于计算机网络这门抽象的课程,学生学习时的主动性都不太高,所以教师在认真备课的同时,要想想如何才能吸引学生的注意力,使其感兴趣。另外,教师要注意课堂时间的配置,保证上课节奏的紧凑,减少学生“开小差”的时间。教师可及时提出一些问题,让注意力不集中的学生及时地“回到”课堂中。
(2)教师教学时要注意理论联系实际,让学生知道如何运用所学知识解决实际问题,达到一定的教学效果。教师授课时应该及时将学科前沿、科研成果与经验引入到教学活动中,既避免了教学过程中理论与实践的脱节,又保证了教学内容新颖生动,教学效果良好。
(3)教师可以考虑改变讲授地点,直接在计算机机房进行教学。计算机网络是一门实践操作课程,除了少数纯理论的章节在教室讲解外,其余课程均可在机房内操作学习,尽量使学生边学边练,在大量的练习中掌握知识点。教师在机房的讲授过程中可以适当让学生先动手自己操作,出现错误或者遇到不会的知识点时,教师从旁指导,使学生更快更好地掌握相对应的知识。
(4)教师可以探究型教学法为主进行教学。有些老师认为计算机网络是一门新的课程,而且比较抽象,所以主要会采用授导型教学,但是这样出现的后果是学生们思考的较少,老师教的偏多,不能调动学生学的同时及时思考,最终无法达到知识的融会贯通。如果尝试在计算机网络学习中采用探究型教学法,则能使学生产生积极完成任务的动机,老师再带领学生对学习任务进行剖析,使学生能在学习中发现问题、解决问题,逐步丰富他们的学习经验,培养提高他们独立完成任务的能力。
(5)可以采用老师布置任务、学生分组实验的方法进行计算机网络实验教学。实验教学不仅是学生获取知识、巩固知识的重要手段,更是培养学生思考能力、动手能力、创新能力不可或缺的环节。而在实验教学中,学生分组实验作用大,效果明显,成功的分组实验,既可以让学生获取新的知识,加深对网络知识的理解,又可以让学生在探究的快乐中激发出浓厚的学习兴趣。分组实验往往是3~4人一组,这样可以培养学生的合作意识、团队意识,共同探讨完成实验。最后,老师尽可能在短时间内对实验进行总结评估,以加深学生对知识的理解与掌握,确保实验课的效果。
在总结评估时,既要对学生做得好的地方进行表扬,也要客观地指出实验中存在的问题,尤其对错误的操作要重点指出,组织学生讨论,让学生明白:实验时当然要力求成功,但也允许失败,失败了,就要弄清楚失败的原因。
要想学好计算机网络,需要一个长期的过程。对于刚入门的学生,我会提出让其课后继续学习计算机网络的要求,并帮助学生解决其在现实生活中遇到的关于计算机网络方面的问题,从而使学生能真正学精这门课程。
第6篇:浅议计算机网络管理系统的目前状况及发展趋势
摘要:文章介绍了计算机网络管理系统的基本知识,并对计算机网络管理系统的应用目前状况及存在的理由进行了分析,最后提出了计算机网络管理系统未来的发展趋势。
关键词网络管理SNMp目前状况发展趋势
进入20世纪90年代以来,随着计算机的普及以及计算机技术和通讯技术的发展,网络也越来越快地走近我们,计算机网络已成为当今信息时代的支柱。计算机与通信的结合产生了计算机网络,信息社会对计算机网络的依赖,又使得计算机网络本身运转的可靠性变得至关重要,向网络的管理运转提出了更高的要求。网络系统的维护与管理日趋繁杂,网络管理人员用人工策略管理网络已无法可靠、迅速地保障网络的正常运转;无法满足当前开放式异种机互联网络环境的需要,人们迫切地需要用计算机来管理网络,提高网络管理水平,使信息安全,快捷地传递。于是计算机网络管理系统便应运而生了。
1计算机网络管理系统的基本知识 1、1计算机网络管理系统的概念
计算机网络管理就是收集网络中各个组成部分的静态、动态地运转信息,并在这些信息的基础上进行分析和做出相应的处理,以保证网络安全、可靠、高效地运转,从而合理分配网络资源、动态配置网络负载,优化网络性能、减少网络维护费用 1、2网络管理系统的基本构成
概括地说,一个典型的网络管理系统包括四个要素:管理员、管理代理、管理信息数据库、代理服务设备。1、2、1管理员
实施网络管理的实体,驻留在管理工作站上。它是整个网络系统的核心,完成复杂网络管理的各项功计算机网络管理系统的目前状况及发展趋势。网络管理系统要求管理代理定期收集重要的设备信息,收集到的信息将用于确定单个网络设备、部分网络或整个网络运转的状态是否正常。1、2、2管理代理
网络管理代理是驻留在网络设备中的软件模块,它可以获得本地设备的运转状态、设备特性、系统配置等相关信息,通过制约设备的管理信息数据库(MIB)中的信息来管理该设备。1、2、3管理信息库
它存储在被管理对象的存储器中,管理库是一个动态刷新的数据库,它包括网络设备的配置信息,数据通信的统计信息,安全性信息和设备特有信息。这些信息、被动态送往管理器,形成网络管理系统的数据来源。1、2、4代理设备和管理协议
代理设备在标准网络管理软件和不直接支持该标准协议的系统之间起桥梁作用。利用代理设备,不需要升级整个网络就可以实现从旧协议到新版本的过渡。对于网络管理系统来说,重要的是管理员和管理代理之间所使用的网络管理协议,如SNMp,和它们共同遵循的MIB库。1、3网络管理系统的功能
ISO在ISO/IEC7498-4文档中定义了网络管理的五大功能,即配置管理、故障管理、性能管理、计费管理与安全管理。故障管理:其主要功能是故障检测、发现、报告、诊断和处理。配置管理:其主要功能包括网络的拓扑结构关系、监视和管理网络设备的配置情况,根据事先定义的条件重构网络等。性能管理:监测网络的各种性能数据,进行阈值检查,并自动地对当前性能数据、历史数据进行分析。安全管理:主要是对网络资源访问权限的管理。包括用户认证、权限审批和网络访问制约(防火墙)等功能。计费管理:主要是根据网络资源使用情况进行计帐。1、4网络管理协议
由于网络中广泛存在着多厂家、异构异质和固有的分布性等特点,人们才在网络管理中引入了标准,以规范网络设备的生产和网络管理系统的开发。这种标准就是网络管理协议。目前最有影响的网络管理协议是SNMp(简单网络管理协议)和CMIS/CMIp(公共管理信息协议),它们也代表了目前两大网络管理解决方案。SNMp是建立在TCp/Ip协议之上,用TCp/Ip协议的传输层协议UDp(用户据报协议)作为传输协议。
2计算机网络管理系统的应用目前状况及存在的理由
关于计算机网络管理,早在80年代,我国就开始注意网络管理技术的发展,并己着手进行研究,二十年来虽然取得了一些成绩,但还是存在一些理由。总的来说,我国的网络管理水平还比较低,目前也没有通用的网管平台开发出来。
由于网络管理系统对一个网络系统的高效运转非常重要,所以在我国大力推广网络管理系统的研究与应用非常迫切。为此,在应用方面我们要采取引进与自主开发相结合的方式。在研究方面,应尽可能跟踪国外的先进技术,并开展自己的研究。因此,我们应积极开展同国外的合作,吸收和利用国外的先进技术,推广网络管理技术在我国的应用,以提高网络在我国的应用效率和作用。
3计算机网管管理系统的发展趋势
现在的计算机网络管理系统开始向应用层次渗透。传统的计算机网络管理系统所注意的对象就是处在网络层的各种网络设备,利用SNMp来制约和管理设备,以设备或者说设备集为中心。现在用户在网上的应用增加,应用对网络带宽的要求也越来越高了。因此,在现有的网络带宽有限的情况下,为了更好的利用带宽资源,必须转变原来不区分服务内容的传输,而是根据服务的内容,给各个应用提供高质量的服务。然而,尽管网络管理技术多种多样、各具特色,但是随着标准化活动的开展及系统互联的需要,网络管理发展有如下趋势: 3、1实现分布式网络管理
分布式对象的核心是解决对象跨平台连接的和交互的理由,以实现分布式应用系统,象OMG组织提出的CORBA就是较理想的平台。分布式网管就是设立多个域管理进程,域管理进程负责管理本域的管理对象,同时进程间进行协调和交互,以完成对全局网的管理。3、2实现综合化网络管理
综合化网络管理要求网络管理系统提供多种级制的管理支持。通过一个操作台实现对各个子网的透视;对所管业务的了解以及提供对故障的定位和排除的支持。即实现对互联的多个网络的管理。随着网络管理的重要性越来越突出,各种各样的网络管
理系统便应运而生。这些管理系统有管理SDH网络的,有管理Ip网络的等等。一方面,这些网络管理系统所管理的网络存在互连或互相依赖的关系;另一方面存在多个网管系统,相互独立,分管网络的不同部分。
3、3实现对业务的监控功能传统网管都是针对网络设备的管理,并不能直接反应出设备故障对业务的影响。目前有些网管产品已经实现对进程的监控。对于客户来说,他们注重于所得到的服务,像节目的多少、节目的质量等,因此,对服务、业务计算机网络管理系统的目前状况及发展趋势的监控将是网管进一步的管理目标。3、4实现智能化管理
支持策略管理和网络管理系统本身的自诊断、自调整。采用人工智能技术进行维护、诊断、排除故障及维护网络运转在最佳状态成为必定趋势。必须用智能化策略对涉及性能下降所相关的网络资源进行监控,执行必要的操作。3、5实现基于web的管理
通过使用web浏览器在网络的任何节点上去监测、制约网络及各子网的管理功能。基于web的管理以其统一、友好的界面风格,地理和系统上的可移动性以及系统平台的独立性吸引着越来越多的用户和开发商。
目前的计算机网络管理功能仅是实现了该网络管理系统功能开发和应用的一部分,离整个计算机网络管理功能的实现还有一定差距,今后可在这方面作进一步研究和开发,以完善其管理。
第四篇:计算机论文
毕业论文
学院:
专业:
班级:
姓名:
浅谈计算机网络安全策略
考号:姓名:李延权
摘 要:
在短短的几年时间里,从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术,在到第三代以internet互联技术为基础的信息网络时代。所有这些,都促使了计算机网络互联技术迅速的大规模使用,极大地方便了各种计算机连网,拓宽了共享资源。同时也突出了一个很严重的问题,那就是网络安全的问题。
关键词:网络;安全;防火墙
随着计算机网络技术的发展,社会的需求等诸多问题都体现了互联网的重要性。无论是我们的政府机构、军事基地,还是各大企业以及各高校都相继有了自己的内部和外部网络。而网络安全问题也是我们急需要解决的问题。小到个人的电脑系统瘫痪、帐号被盗,大到政府、军方重要的机密资料,财政资料数据被非法查看修改等等。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。
根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有
发生。
由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
一、网络安全的理论基础
国际标准化组织(ISO)曾建议计算机安全的定义为:“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了帮助计算机用户区分和解决计算机网络安全问题,美国国防部公布了“桔皮书”(orange?book,正式名称为“可信计算机系统标准评估准则”?),对多用户计算机系统安全级别的划分进行了规定。
桔皮书将计算机安全由低到高分为四类七级:D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级,C1和C2级是具备最低安全限度的等级,B1和B2级是具有中等安全保护能力的等级,B3和A1属于最高安全等级。
D1级:计算机安全的最低一级,不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不可信任的,硬件软件都易被侵袭。
C1级:自主安全保护级,要求硬件有一定的安全级(如计算机带锁),用户必须通过登录认证方可使用系统,并建立了访问许可权限机制。
C2级:受控存取保护级,比C1级增加了几个特性:引进了受控访问环境,进一步限制了用户执行某些系统指令;授权分级使系统管理员给用户分组,授予他们访问某些程序和分级目录的权限;采用系统审计,跟踪记录所有安全事件及系统管理员工作。
B1级:标记安全保护级,对网络上每个对象都予实施保护;支持多级安全,对网络、应用程序工作站实施不同的安全策略;对象必须在访问控制之下,不允许拥有者自己改变所属资源的权限。
B2级:结构化保护级,对网络和计算机系统中所有对象都加以定义,给一个标签;为工作站、终端等设备分配不同的安全级别;按最小特权原则取消权力无限大的特权用户。B3级:安全域级,要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小。A1级:验证设计级,是计算机安全级中最高一级,本级包括了以上各级别的所有措施,并附加了一个安全系统的受监视设计;合格的个体必须经过分析并通过这一设计;所有构成系统的部件的来源都必须有安全保证;还规定了将安全计算机系统运送到现场安装所必须遵守的程序。
在网络的具体设计过程中,应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等,综合考虑来确定一个比较合理、性能较高的网络安全级别,从而实现网络的安全性和可靠性。
二、?网络安全应具备的功能
为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:
(1)访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
(2)检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
(3)攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
(4)加密通讯:主动地加密通讯,可使攻击者不能了解、修改敏感信息。
(5)认证:良好的认证体系可防止攻击者假冒合法用户。
(6)备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
(7)多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
(8)?设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。
三、?网络系统安全综合解决措施
要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题,提出一些防范措施。
物理安全:
物理安全可以分为两个方面:一是人为对网络的损害;二是网络对使用者的危害。
最常见的是施工人员由于对地下电缆不了解,从而造成电缆的破坏,这种情况可通过立标志牌加以防范;未采用结构化布线的网络经常会出现使用者对电缆的损坏,这就需要尽量采用结构化布线来安装网络;人为或自然灾害的影响,需在规划设计时加以考虑。
网络对使用者的危害主要是电缆的电击、高频信号的幅射等,这需要对网络的绝缘、接地和屏蔽工作做好。
实施方案可以从以下几个方面考虑。
1.PC机
1.1 PC终端机
对于终端机来说,我们应该把一切的系统漏洞全部打上补丁。像360安全卫士是一款不错的实用、功能强大的安全软件。里面有“修复系统漏洞”选项,我们只要点击扫描,把扫描到的系统漏洞,点击下载安装,并且都是自动安装,安装完就可以了。
1.2 安装杀毒软件
比如说中国著名的瑞星杀毒软件,从瑞星官方网站下载,下载完,安装简体版就可以了。安装完之后,就进行全盘查毒。做到客户机没有病毒。让电脑处于无毒环境中。也可以在【开始-运行】中输入【sigverif】命令,检查系统的文件有没有签名,没有签名的文件就有可能是被病毒感染了。可以上网查询之后,进行删除。
1.3 防火墙
打好系统漏洞补丁,安装好杀毒软件之后,就是安装防火墙像瑞星防火墙,天网防火墙以及风云防火墙等。风云防火墙是一款功能强大的防火墙软件,它不仅仅能防病毒,还能防现在很是厉害的ARP病毒。
1.4 用户设置
把Administrator超级用户设置密码,对不同的用户进行用户权限设置。
2.网络安全分析
2.1 网络安全分析
网络安全分析主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
3.解决方案
3.1 防火墙技术
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个
分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
(1)屏蔽路由器:又称包过滤防火墙。
(2)双穴主机:双穴主机是包过滤网关的一种替代。
(3)主机过滤结构:这种结构实际上是包过滤和代理的结合。
(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。
3.2 VPN技术
VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。其处理过程大体是这样:?
①?要保护的主机发送明文信息到连接公共网络的VPN设备;?
②?VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。?③?对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。?
④?VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。?
⑤?VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。?
⑥?当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。?
3.3 网络加密技术(Ipsec)
IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括:
(1)访问控制;
(2)无连接完整性;
(3)数据起源认证;
(4)抗重放攻击;
(5)机密性;
(6)有限的数据流机密性。
3.4基于PKI的认证
使用PKI(公开密钥体系)进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
3.5 身份认证
任何良好的安全系统必须包括加密!这已成为既定的事实。网络上的加密可以分为三层:第一层为数据链路层加密,即将数据在线路传输前后分别对其进行加密和解密,这样可以减少在传输线路上被窃取的危险;第二层是传输层的加密,使数据在网络传输期间保持加密状态;第三层是应用层上的加密,让网络应用程序对数据进行加密和解密。当然可以对这三层进行综合加密,以增强信息的安全性和可靠性。
数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它主要通过加密算法和证实协议而实现
3.6User?Name/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密。
3.7使用摘要算法的认证
Radius(远程拨号认证协议)、OSPF(开放路由协议)、SNMP?Security?Protocol等均使用共享的Security?Key(密钥),加上摘要算法(MD5)进行认证,但摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security?key,所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。
四、安全管理队伍的建设。
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
结论
综上所述,对于计算机网络传输的安全问题,我们必须要做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。一方面,可以实现对上网用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP?for?Business?Security对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使我们对网络安全技术的更深刻的了解。
参考文献:
[1]??蔡皖东.计算机网络技术.西安电子科技大学出版社,?1998.[2]??杜飞龙.?Internet原理与应用.人民邮电出版社,?1997.[3]??胡道元.信息网络系统集成技术.清华大学出版社,?1995.[4]??杨明福.计算机网络.电子工业出版社,?1998.5.[5]??袁保宗.因特网及其应用.吉林大学出版社,?2000.[6]??隋红建等.计算机网络与通信.北京大学出版社,?1996.[7]??周明天等.TCP/IP网络原理与应用.?清华大学出版社,?1993.[8]??计算机学报.?2007-2010.[9]??网络报.?2008-2009.[10]?电脑报.?2007-2010.??w.studa.ne
第五篇:计算机安全论文
XXXXX学院 成人高等教育
毕
业
论
文
论文题目: 计算机网络安全技术研究
姓
名
XXXXXX 院(系):
XXXXXX院
专业班级
(113474016)计算机科学与技术 学
号
2XXXXXX 指导教师
XXXX
XXXXX院继续教育学院制
学生承诺书
本人承诺在毕业论文(设计)活动中遵守学校有关规定、恪守学术规范,在本人毕业论文(设计)内容除特别注明和引用外,均为本人观点,不存在剽窃、抄袭他人的学术观点、思想和成果,不存在伪造、篡改实验数据。如有违规行为发生,我愿承担一切责任,接受学校的处理,并承担相应的法律责任。
承诺人(签名):
摘 要
21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击,因此,网络信息资源的安全及管理维护成为当今信息话时代的一个重要话题。
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络面临的安全性威胁(黑客入侵)及管理维护(防火墙安全技术)。进一步阐述了网络拓扑结构的安全设计,包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法做了简要的分析,论述了其安全体系的构成。
关键词:信息安全 网络 防火墙 数据加密
目 录
摘要...................................................................3 目录...................................................................4 第一章 引言
1.1 概述..............................................................6 1.2 网络安全技术的研究目的 意义和背景................................6 1.3 计算机网络安全的含义..............................................7 第二章 网络安全初步分析
2.1 网络安全的必要性..................................................8 2.2 网络的安全管理....................................................8 2.2.1安全管理原则...................................................8 2.2.2安全管理的实现...................................................8 2.3 采用先进的技术和产品
2.3.1 防火墙技术.....................................................9 2.3.2 数据加密技术...................................................10 2.3.3 认证技术.......................................................10 2.3.4 计算机病毒的防范...............................................10 2.4 常见的网络攻击及防范对策.......................................11 2.4.1 特洛伊木马.....................................................11 2.4.2 邮件炸弹.......................................................11 2.4.3 过载攻击........................................................12
2.4.4 淹没攻击.......................................................12 第三章
网络攻击分析................................................13 第四章
网络安全技术................................................15 4.1 防火墙的定义和选择...............................................15 4.2 加密技术.........................................................16 4.2.1 对称加密技术...................................................16 4.2.2 非对称加密/公开密钥加密........................................16 4.2.3 RSA算法.......................................................16
4.3注册与认证管理..................................................17 4.3.1 认证机构....................................................17 4.3.2 注册机构....................................................18 4.3.3 密钥备份和恢复..............................................18 4.3.4 证书管理与撤销系统...........................................18
第五章 安全技术的研究
5.1 安全技术的研究现状和方向....................................19 5.2 包过滤型....................................................19 5.3 代理型......................................................19
结束语.............................................................21 参 考 文 献
第一章 引言
1.1 概述
我们知道, 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。
随着计算机网络的发展,网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国特色的网络安全体系。
一个国家的安全体系实际上包括国家的法律和政策,以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几个特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断的变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合开发。安全与反安全就像矛盾的两个方面,总是不断的向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。
1.2 网络安全技术的研究目的、意义和背景
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给
社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。
随着计算机络的不断发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言,其网上信息的安全性和保密性尤为重要。因此,上述的网络必须要有足够强的安全措施,否则该网络将是个无用、甚至会危机国家安全的网络。无论是在局域网中还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性,故此,网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。
认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用现金的技术和产品,构造全防卫的防御机制,使系统在理想的状态下运行。
1.3 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
第二章 网络安全初步分析
2.1 网络安全的必要性
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征。人们称它为信息高速公路。网络是计算机技术和通信技术的产物,适应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的。
2.2 网络的安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。
2.2.1安全管理原则
网络信息系统的安全管理主要基于3个原则:
多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作以得到保障。与安全有关的活动有:访问控制使用证件的发放与回收,信息处理系统使用的媒介发放与回收,处理保密信息,硬件与软件的维护,系统软件的设计、实现和修改,重要数据的删除和销毁等。
任期有限原则
一般来讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期的循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
除非经系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。
2.2.2 安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作是:
根据工作的重要程度,确定该系统的安全等级。
根据确定的安全等级,确定安全管理范围。
制定相应的机房出入管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统,采用此卡、身份卡等手段,对人员进行识别,登记管理。
2.3 采用先进的技术和产品
要保证计算机网络安全的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
2.3.1 防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可以监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:应用层网关、数据包过滤、代理服务器等几大类型。
2.3.2 数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为了提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用的不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
2.3.3 认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接受者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被篡改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
2.3.4 计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
① 较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、UNIX 和 Netware 系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查杀、杀毒范围广、能力强的特点。
② 完善的升级服务。与其他软件相比,防病毒软件更需要不断的更新升级,以查杀层出不穷的计算机病毒。
2.4 常见的网络攻击和防范对策
2.4.1 特洛伊木马
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马的程序包括两部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的过程中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
2.4.2 邮件炸弹
邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同以地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,妨碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复消息,也可以使自己的SMTP连接只能
达成指定的服务器,从而免受外界邮件的侵袭。
2.4.3 过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用的最多的一种方法是进程攻击,它是通过大量地进行人为的增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在着一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。另外,还可以让系统自动检查是否过载或者重新启动系统。
2.4.4 淹没攻击
正常情况下,TCP连接建立要经过3次握手的过程,即客户机向客户机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断的向被攻击的主机发送SYN请求,被攻击主机就一直处于等待状态,从而无法响应其他用户请求。
对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
第三章 网络攻击分析
攻击是指非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。
在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击:Does是Denial of Service的简称,即拒绝服务,造成Does的攻击行为被称为Does攻击,其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。而分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在 Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻击。
因为此攻击基于TCP/IP 协议的漏洞,要想避免除非不使用此协议,显然这是很难做到的那我们要如何放置呢?
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么? 谁在使用主机? 哪些人可以访问主机? 不然,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统—甚至是受防火墙保护的系统。
4.确保运行在 Unix上的所有服务都有TCP封装程序,限制对主机的访问权。5.禁止内部网通过Modem连接至PSTN 系统。否则,黑客能通过电话线发现未受保
护的主机,即刻就能访问极为机密的数据。
6.禁止使用网络访问程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传递口令,而Telnet和 Rlogin 则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost 和 hosts.equiv 文件删除,因为不用猜口令,这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换他,文件传输功能无异将陷入瘫痪。
8.确保手头上有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
9.在防火墙上运行端口映射程序或端口扫描程序。大多数时间是由于防火墙配置不当造成的,使DoS/ DDoS攻击成功率很高,所以一定要认真检查特权端口和非特权端口。
10.检查所有网络设备和主机/服务器系统的日志。只要日志出现纰漏或时间出现变更,几乎可以坑定:相关的主机安全收到了威胁。
第四章 网络安全技术
4.1 防火墙的定义和选择
4.1.1防火墙的定义
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。
4.1.2 防火墙的选择
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也不应该考虑在内。如果仅作粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论选择防火墙的标准有很多,但最重要的是以下两条:
(1)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。
如果像玛奇诺防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙十分不熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(2)可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提供,用户仍然有进一步增加选择的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大产品的覆盖面。
4.2 加密技术
信息交换加密技术分为两类:即对称加密和非对称加密.4.2.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56位密钥对信息进行3次加密,从而使有效密钥长度达到112位。
4.2.2 非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛分布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制。其安全性是基于分散大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分散两大素数之积。RSA算法的描述如下:
公开密钥: n=pq(p、q 分别为两个互异的大素数,p、q 必须保密)e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 为明文,c为密文。解密:m=cd(mod n)利用目前已经掌握的只是和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.3 注册与认证管理
4.3.1 认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是频发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且还与整个PKI系统的构架和模型有关。
4.3.2 注册机构
RA(Registration Authority)是用户和CA的借口,它所获得的用户标识的准确性是CA发给证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.3 密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.3.4 证书管理与撤销系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤销,证书撤销的理由是各种各样的。可能包括工作变动到对密钥怀疑等一系列原因。证书撤销系统实现是利用周期性的发布机制撤销证书或采用在线查询机制,随时查询被撤销的证书。
第五章 安全技术的研究
5.1 安全技术的研究现状和方向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。根据防火墙所采用的技术不同,将它分为4个基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。
5.2 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会含一些特定信息,防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一单发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
5.3 代理型
代理型的安全性能要高过包过滤型,并已经开始向应用层发展。代理服务器位于客户
机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
结束语
互联网现在已经成为了人们不可缺少的通信工具,其发展速度也快的惊人,以此而来的攻击破坏层出不穷,为了有效的防止入侵把损失降到最低,我们必须适合注意安全问题,使用尽量多而可靠的安全工具经常维护,让我们的网络体系完善可靠。在英特网为我们提供了大量的机会和便利的同时,也在安全性方面给我们带来了巨大的挑战,我们不能因为害怕挑战而拒绝它,否则就会得不偿失,信心安全是当今社会乃至整个国家发展所面临的一个只管重要的问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要的组成部分,甚至应该看到它对我国未来电子化、信息化的发展讲起到非常重要的作用。网络安全是一项动态的、整体的系统工程,我们应该结合现在网络发展的特点,制定妥善的网络安全策略,将英特网的不安全性降至到现有条件下的最低点,让它为我们的工作和现代化建设做出更好的服务。
参 考 文 献
[1] 谢希仁.计算机网络 电子工业出版社
[2]汤小丹、梁红兵.计算机操作系统 西安电子科技大学出版社 [3] 李伟.网络安全实用技术标准教程 清华大学出版社 [4] Andrew S.Tanenbaum.计算机网络 清华大学出版社
点击咨询 