序論:在您撰寫計算機網(wǎng)絡分析論文時���,參考他人的優(yōu)秀作品可以開闊視野���,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導您走向新的創(chuàng)作高度。
第1篇
擴展��。
關鍵詞電子商務企業(yè)信息系統(tǒng)計算機網(wǎng)絡InternetExtranetIntranetXML
電子商務是當前信息技術高速發(fā)展的一個綜合結(jié)果,信息技術的發(fā)展不斷地改變著系統(tǒng)的結(jié)構(gòu)和運行規(guī)則,使企業(yè)的管理運營模式發(fā)生了巨大的改變�����。傳統(tǒng)的商業(yè)企業(yè)如何有效利用新興技術,變革現(xiàn)有的運作方式,是值得思考的問題�。
1面向電子商務的信息系統(tǒng)的結(jié)構(gòu)
電子商務技術的發(fā)展,使企業(yè)各種對外的業(yè)務活動已經(jīng)延伸到了Internet上。企業(yè)新一代的管理系統(tǒng)應當支持Internet上的信息獲取及網(wǎng)上交易的實現(xiàn),并從企業(yè)的實際出發(fā)設計滿足電子商務環(huán)境下的管理模式�。根據(jù)支持功能的不同,面向電子商務的信息系統(tǒng)可分為三個層次,即基于Intranet的信息系統(tǒng),實現(xiàn)企業(yè)內(nèi)部的信息交流;基于Extranet的信息系統(tǒng),把企業(yè)與合作伙伴、供應商、批發(fā)商���、銀行等聯(lián)系起來;基于Internet的信息系統(tǒng),把全世界與企業(yè)有關的一切方面聯(lián)系起來��。
1.1基于Intranet的內(nèi)部信息系統(tǒng)Intranet是以Internet技術為基礎存在于一個或者多個由安全或虛擬網(wǎng)絡連接在一起的防火墻之后的一些基于IP的節(jié)點組成的企業(yè)內(nèi)部網(wǎng),它以TCP/IP為其通信技術����、HTTP為信息傳輸協(xié)議,利用Internet的WWW模式作為標準平臺,同時利用“防火墻”的特殊安全軟件把內(nèi)部網(wǎng)與Internet隔開�����。企業(yè)內(nèi)部的員工能夠方便地進入Intranet,但未經(jīng)授權的用戶不得進入Intranet���。雖然基于In-tranet的信息系統(tǒng)功能與傳統(tǒng)的MIS相同,它們都是一個封閉的系統(tǒng),只面向本企業(yè)內(nèi)部,使用計算機聯(lián)系企業(yè)各個部門,完成企業(yè)的管理工作,但由于使用的技術不同,使得它具有傳統(tǒng)信息系統(tǒng)所無法比擬的優(yōu)勢,主要表現(xiàn)在:連通了企業(yè)內(nèi)部的各個環(huán)節(jié),通過整合企業(yè)研發(fā)��、采購����、生產(chǎn)�、庫存��、銷售����、財務���、人力資源等管理信息資源,強化業(yè)務流程管理。使企業(yè)內(nèi)部實現(xiàn)信息共享,增強溝通,簡化工作流程,促進科學決策,提高企業(yè)運轉(zhuǎn)效率����。
1.2基于Extranet的外部信息系統(tǒng)Extranet是采用Inter-net和Web技術創(chuàng)建的企業(yè)外部網(wǎng),它是Intranet的外部延伸,其功能是在保證企業(yè)核心數(shù)據(jù)安全的前提下,賦予Intranet外部人員訪問企業(yè)內(nèi)部網(wǎng)絡信息和資源的能力?�;贓xtranet的信息系統(tǒng)的服務對象既不限于企業(yè)內(nèi)部的結(jié)構(gòu)和人員,也不完全對外服務,而是有選擇地擴大至與本企業(yè)相關聯(lián)的供應商����、商和客戶等,實現(xiàn)相關企業(yè)間的信息溝通。過去EDI是實現(xiàn)企業(yè)間信息交流的主要手段,但由于EDI主要是通過專用網(wǎng)絡傳輸?shù)?因此主要應用于規(guī)模較大的企業(yè)之間�����?��;贓x-tranet的外部信息系統(tǒng)由于應用了Internet網(wǎng)絡,克服了EDI網(wǎng)絡費用非常昂貴的缺點,使中小企業(yè)也可以加入到企業(yè)間的合作中,給中小企業(yè)的發(fā)展提供了良好的機會����。另外,EDI是通過標準的貿(mào)易單證來完成企業(yè)間計算機之間的通信,而Extranet采用的是Web技術,一個企業(yè)的操作人員登錄到另一個企業(yè)的主頁上,通過填寫網(wǎng)頁上的單證完成交易,因而更加方便��、靈活和直接。
1.3基于Internet的信息系統(tǒng)Internet是電子商務的基礎,也是網(wǎng)絡的基礎和包括Intranet和Extranet在內(nèi)的各種應用的集合�����。企業(yè)通過Internet的WWW實現(xiàn)全球信息的共享,從而構(gòu)成了一個電子世界(E-world)�����。在這樣一個電子世界里,人們通過電子手段進行電子商務(E-Commerce)���。已在國際貿(mào)易和市場營銷中得到普遍應用的EDI(ElectronicDataIn-terchange)就是EC的一個例證����。不僅如此,隨著電子世界和電子商務的發(fā)展,一種全新的企業(yè)合作關系,虛擬組織(virtualcor-poration)出現(xiàn)了����。在“虛擬組織”中,企業(yè)間可以完全沒有實物的聯(lián)系而建立一種實時的市場需求而產(chǎn)生的相互受益的合作關系。這種多變的動態(tài)組織結(jié)構(gòu)把全球范圍的包括人在內(nèi)的各種資源集成在一起,實現(xiàn)技術�����、管理和人的集成,因而能對市場需求快速響應�����?����?梢灶A見,未來的競爭是虛擬企業(yè)這種利用信息技術打破時空間隔的新型公司間的競爭���。Internet對于企業(yè)的意義在于它快捷的信息傳輸速度和網(wǎng)絡插接能力縮短了企業(yè)同世界和同市場的距離,把企業(yè)的視野和能力從區(qū)域擴大到全球����。網(wǎng)絡化信息系統(tǒng)使得信息在合作企業(yè)間自由流動,使“虛擬組織”的功能得以實現(xiàn)��。
2面向EC的企業(yè)信息系統(tǒng)的建設
2.1建立有效的商務處理界面是企業(yè)信息系統(tǒng)建設的關鍵在電子商務時代,基于Internet��、Extranet和Intrarnet的網(wǎng)絡化信息系統(tǒng),是企業(yè)實現(xiàn)其競爭性戰(zhàn)略的基礎��。建設面向EC的企業(yè)信息系統(tǒng),關鍵在于建立有效的商務處理界面����。商業(yè)流通領域中標準電子商務界面缺乏,給制造商、分銷商���、零售商以及最終用戶造成了巨大的額外開銷�����。最終導致工作效率的低下,也嚴重阻礙了利用Internet作為實現(xiàn)B2B(企業(yè)對企業(yè))電子商務工具的能力��。因此,通過互聯(lián)網(wǎng)實現(xiàn)企業(yè)效率的大幅提高,已經(jīng)成為各公司越來越關注的問題����。過去,MRPII(物料需求計劃,現(xiàn)稱為制造資源計劃)、ERP(企業(yè)資源規(guī)劃)一直是大公司提高內(nèi)部效率的有效手段����。但是ERP、MRPII或者企業(yè)MIS系統(tǒng)有各種各樣的供應商,各軟件開發(fā)企業(yè)又有各自獨立的系統(tǒng)結(jié)構(gòu)和接口標準���。所以,這些系統(tǒng)相對來說是獨立的系統(tǒng),各方無法進行有效的溝通�。對商業(yè)企業(yè)來說,面臨相同的問題�。實現(xiàn)商業(yè)POS系統(tǒng)和企業(yè)ERP系統(tǒng)相連,對大多數(shù)商業(yè)企業(yè)來說可能是一件簡單的事情,但如果要進一步提高效率和面對來自新興企業(yè)的挑戰(zhàn),許多企業(yè)日益覺得舊有的系統(tǒng)已不能滿足互聯(lián)網(wǎng)時代的需要,迫切需要尋求解決之道。信息技術的飛速發(fā)展促進了新一代技術的產(chǎn)生和進步��。目前我們還沒有投入足夠的時間和精力建立一套能共同使用的���、規(guī)范整個商業(yè)流通領域的標準�����。由于新的數(shù)字化經(jīng)濟引起的深刻變化,以及在整個經(jīng)濟中信息技術所占比重的增加,建立一個供應鏈中各貿(mào)易伙伴之間行之有效的商務處理界面己成為一個非?���,F(xiàn)實的問題�����。
2.2XML提供了對舊系統(tǒng)集成與擴展的條件互聯(lián)網(wǎng)向我們提供了無限的獲得在線信息和服務的機會���。然而,構(gòu)成這些網(wǎng)頁信息的HTML代碼所代表的實際信息,對計算機系統(tǒng)來說,理解上是很難的,更不用說自動處理了����。信息技術的發(fā)展,使得我們有了XML(可擴展標記語言)�。通過采用科學的結(jié)構(gòu)設計和語義學,使得不同的計算機系統(tǒng)能容易地理解對產(chǎn)品和服務信息進行的編碼,并加以自動化處理。不同的企業(yè)可以使用XML來不同的信息,從產(chǎn)品目錄到航線預定,從股市報告到銀行資產(chǎn)綜述,甚至可以直接訂單,預訂貨物,安排裝運���。通過減少每個客戶和供應商之間的定制接口的需求,XML將使買家能在不同的供應商和目錄形式中比較產(chǎn)品,同時供應商只要一次性提供他們的產(chǎn)品目錄信息,就能適用于所有的潛在買家�����。XML突破以往技術的局限性,真正意義上為供應鏈中的
制造商���、分銷商、零售商及最終用戶提供了一個溝通無限的空間�。
對于那些希望重新集成并擴展原有系統(tǒng)的企業(yè)而言,可通過XML來實現(xiàn)對舊系統(tǒng)的集成與擴展��。XML代表了一個開放的標準,這個標準使得交易數(shù)據(jù)可在服務器之間或服務器與瀏覽器之間流暢地傳輸���。相對于EDI(電子數(shù)據(jù)交換標準),XML是一個元數(shù)據(jù)標準,因此它可以非常靈活地根據(jù)不同系統(tǒng)的各種需求進行定義。
在過去,由于不同行業(yè)的性質(zhì),不同行業(yè)的企業(yè)的數(shù)據(jù)庫系統(tǒng)使用的是不同的規(guī)則,因此,很多情況下數(shù)據(jù)在不同企業(yè)的服務器或瀏覽器上是不可讀的,雖然在某些行業(yè)有一部分的EDI系統(tǒng),但因其適用性差和應用成本高等原因,很難有大的發(fā)展�。如今XML的靈活性及強大能力使得它能實現(xiàn)行業(yè)內(nèi)和各種不同行業(yè)之間進行的各種交易。一旦XML為不同行業(yè)標準接納并大規(guī)模使用,這些行業(yè)將會從整體行業(yè)效率的提高中獲得巨大的收益�����。當傳統(tǒng)的交易方式真正在網(wǎng)上實現(xiàn)的同時,它也將現(xiàn)實世界中的交易各方緊密聯(lián)系在一起�。美國在這方面領風氣之先,早期的標準反映了這一點。現(xiàn)在W3C(TheWorldWideWebConsortium)和聯(lián)合國都在致力于使這些標準國際化,特別是致力于其在歐洲的推廣應用���。
2.3XML可向用戶提供一攬子的解決方案現(xiàn)在,隨著XML標準的逐漸完善和推廣,眾多的互聯(lián)網(wǎng)及電子商務公司正在有效地利用這一企業(yè)間電子商務的基本標準,建設越來越多的基于XML的電子商務系統(tǒng)����。尤其致力于結(jié)合中國企業(yè)的特點,應用業(yè)界最新技術標準,幫助中國企業(yè)實現(xiàn)安全迅捷可靠的實時在線交易,向用戶提供基于開放標準的一攬子解決方案���。這些基于XML的解決方案的特點是:
a.企業(yè)間的緊密集成��?����;赬ML的B2B解決方案使得同一行業(yè)或不同行業(yè)的企業(yè)之間實現(xiàn)流暢的溝通,緊密集成供應鏈中的采購方����、制造方、運輸方��、倉儲企業(yè)�、營銷企業(yè)等��。
b.擴展性和可伸縮性�����。由于基于開放性的平臺可運行于各種系統(tǒng)下,模塊化設計易于根據(jù)客戶需求而定制�。
c.保護已有投資。企業(yè)現(xiàn)有的ERP��、MRPII或MIS系統(tǒng)將是實行企業(yè)電子商務的基礎,在現(xiàn)有系統(tǒng)基礎上實現(xiàn)電子商務,做到資源的再利用��。
d.連接企業(yè)網(wǎng)站��、ERP系統(tǒng)��、數(shù)據(jù)庫等的易用方案。緊密集成企業(yè)網(wǎng)站,企業(yè)內(nèi)部數(shù)據(jù)庫及ERP系統(tǒng),各部門����、特別是跨地區(qū)的分部可在授權范圍內(nèi)完成本企業(yè)產(chǎn)品銷售數(shù)據(jù)動態(tài)反饋、市場調(diào)研與分析��、財務報告�����、生產(chǎn)庫存管理等方面的交流,使企業(yè)的生產(chǎn)��、運營�����、管理效率大大提高,對市場的反應更加迅速靈活��。
e.增強客戶服務功能��。通過Internet上24/7運作的呼叫中心��、網(wǎng)上實時幫助等手段,企業(yè)大大增強客戶服務能力,迅捷地對客戶要求做出反應���。超級秘書網(wǎng)
3結(jié)語
誠然,到目前為止Internet技術與網(wǎng)絡技術仍在發(fā)展之中,要在全世界普遍地將其應用于經(jīng)濟生活還有許多方面諸如安全性����、可測試性、可靠性和經(jīng)濟性有待提高和完善����。此外,與網(wǎng)絡交易配套的諸如工商管理、稅收和法律等方面的立法和規(guī)則也必須相應跟上���。盡管XML仍處在不斷地完善及日益成熟的過程中,管理與法律問題各國也正在研究,企業(yè)信息系統(tǒng)突破企業(yè)的界限向網(wǎng)絡化方向發(fā)展已成為不可逆轉(zhuǎn)的大趨勢��。
參考文獻
1方美琪.電子商務概論.北京:清華大學出版社,1999
2曾凡奇,林小蘋,鄧先禮.基于Internet的管理信息系統(tǒng).北京:中國財政經(jīng)
濟出版社,2001.
3趙林度.電子商務理論與實務.北京:人民郵電出版社,2001
4肯尼思·C·勞頓等.信息系統(tǒng)與Internet(英文版).北京:機械工業(yè)出版社,
1999.
第2篇
信息安全的內(nèi)涵隨著信息技術的不斷發(fā)展而得到了擴展,從原始的保密性逐漸增加了完整性����、可控性及可用性等,最終形成的集攻擊����、防范、檢測與控制��、管理�、評估等與一體的理論體系。傳統(tǒng)的信息安全技術將注意力都集中在計算機系統(tǒng)本身的安全方面��,針對單機系統(tǒng)環(huán)境而進行設置,不能夠?qū)τ嬎銠C網(wǎng)絡環(huán)境安全進行良好的描述���,也缺乏有效應對動態(tài)安全問題的措施�。隨著計算機網(wǎng)絡的不斷發(fā)展與推廣�����,互聯(lián)網(wǎng)逐漸具備了動態(tài)變化性�����,而傳統(tǒng)的靜態(tài)安全模式已經(jīng)不能夠滿足其安全要求了�。在這種背景之下,信息安全體系結(jié)構(gòu)的出現(xiàn)更好地滿足了計算機網(wǎng)絡的安全需求��,因此得到了迅速的發(fā)展與推廣��。信息安全體系結(jié)構(gòu)的思路為:通過不同安全防護因素的相互結(jié)合實現(xiàn)比單一防護更加有效的綜合型防護屏障�����,這種安全防護體系結(jié)構(gòu)能夠更好地降低黑客對計算機網(wǎng)絡的入侵與破壞�����,確保計算機網(wǎng)絡安全。
計算機網(wǎng)絡的信息安全體系結(jié)構(gòu)的主要作用就是為信息保障��、數(shù)據(jù)傳遞奠定堅實的基礎�。隨著計算機網(wǎng)絡所面臨的風險與壓力的不斷增大,為了能夠更好地確保信息安全����,必須注重計算機網(wǎng)信息安全體系結(jié)構(gòu)完整性、實用性的提高��。在科技的不斷發(fā)展與進步的基礎之上�����,提出了計算機網(wǎng)絡信息安全體系結(jié)構(gòu)——WPDRRC結(jié)構(gòu)���,不同的字母代表不同的環(huán)節(jié),主要包括warnin(g預警)��、protect(保護)�����、detectio(n檢測)����、respons(e響應)�����、restor(e恢復)�����、counterattac(k反擊)六個方面�����,各個環(huán)節(jié)之間由于時間關系而具有動態(tài)反饋的關系�����。在計算機網(wǎng)絡的信息安全體系結(jié)構(gòu)中�,預警模塊���、保護模塊與檢測模塊都是以預防性為主的�,通過保護與檢測行為對黑客入侵計算機進行較為有效的制止����。當前��,雖然計算機網(wǎng)絡信息安全技術已經(jīng)比較先進�����,但是由于計算機網(wǎng)絡所具有的開放性��,其安全性依舊是面臨一定威脅的。因此��,在計算機網(wǎng)絡的信息安全體系結(jié)構(gòu)中����,響應模塊����、恢復模塊與反擊模塊主要的作用是解決實質(zhì)性的工作,對已經(jīng)出現(xiàn)的各種安全問題進行有效地解決,確保計算機網(wǎng)絡信息安全�����。
1.1warnin(g預警)整個計算機網(wǎng)絡的信息安全體系結(jié)構(gòu)中�,預警模塊是最為根本的所在,主要的作用是對計算機網(wǎng)絡的信息安全進行診斷�,該診斷具有預防性。同時�����,預警結(jié)構(gòu)通過研究計算機網(wǎng)絡的性能����,提出具有科學性與合理性的評估報告�����。
1.2protect(保護)保護結(jié)構(gòu)主要的作用是對計算機的信息安全系統(tǒng)提供保護���,確保計算機網(wǎng)絡在使用過程中的安全性���,有效地封鎖、控制外界對計算機網(wǎng)絡的入侵及攻擊行為���。保護結(jié)構(gòu)能夠?qū)τ嬎銠C網(wǎng)絡進行安全設置��,實現(xiàn)對計算機網(wǎng)絡的檢查與保護��,其檢查與保護工作的重點內(nèi)容就是網(wǎng)絡總存在的各種可能被攻擊的點或者是存在的漏洞,通過這些方式為信息數(shù)據(jù)在計算機網(wǎng)絡中的安全�����、通暢應用提供條件���。
1.3detectio(n檢測)計算機網(wǎng)絡的信息安全體系結(jié)構(gòu)中的檢查結(jié)構(gòu)主要的作用是對計算機受到的各種攻擊行為進行及時、準確的發(fā)覺��。在整個信息安全體系結(jié)構(gòu)中��,檢測結(jié)構(gòu)具有隱蔽性,主要的目的是防止黑客發(fā)現(xiàn)并惡意修改信息安全體系結(jié)構(gòu)中的檢測模塊�,確保檢測模塊能夠持續(xù)為計算機網(wǎng)絡提供保護,同時還能夠促進檢測模塊自身保護能力的提高���。檢測模塊一般情況下需要與保護模塊進行配合應用����,從而促進計算機網(wǎng)絡保護能力與檢測能力的提高�。
1.4respons(e響應)當計算機網(wǎng)絡信息安全體系結(jié)構(gòu)中出現(xiàn)入侵行為之后��,需要及時通過凍結(jié)措施對計算機網(wǎng)絡進行凍結(jié)��,從而防止黑客的入侵行為進一個侵入到計算機網(wǎng)絡中�����。同時�,要通過相應的響應模塊對入侵進行響應。例如����,計算機網(wǎng)絡信息安全體系結(jié)構(gòu)中可以通過阻斷響應系統(tǒng)技術實現(xiàn)對入侵及時、準確的響應���,杜絕黑客對計算機網(wǎng)絡更加深入的入侵行為�。
1.5restor(e恢復)計算機網(wǎng)絡信息安全體系結(jié)構(gòu)中的恢復模塊主要的作用是在計算機網(wǎng)絡遭受到黑客的攻擊與入侵之后���,對已經(jīng)損壞的信息數(shù)據(jù)等進行及時的恢復����。在對其進行恢復的過程中,主要的原理為事先對計算機網(wǎng)絡中的信息文件與數(shù)據(jù)資源進行備份工作�,當其受到攻擊與入侵之后通過自動恢復功能對其進行修復。
1.6counterattac(k反擊)計算機網(wǎng)絡信息安全體系結(jié)構(gòu)中的反擊模塊具有較高的性能��,主要的作用為通過標記跟蹤功能對黑客的入侵與攻擊進行跟蹤與標記����,之后對其進行反擊。反擊模塊首先針對黑客的入侵行為進行跟蹤與標記���,在此基礎上利用偵查系統(tǒng)對黑客入侵的方式�����、途徑及黑客的地址等進行解析����,保留黑客對計算機網(wǎng)絡進行入侵的證據(jù)����。與此同時,反擊模塊會采用一定的反擊措施�����,對黑客的再次攻擊進行有效的防范�。
2計算機網(wǎng)絡信息安全體系結(jié)構(gòu)的防護分析
當前,在對計算機網(wǎng)絡信息安全體系結(jié)構(gòu)進行防護的過程中��,較為常用的就是WPDRRC結(jié)構(gòu)��,其主要的流程包括攻擊前防護、攻擊中防護與攻擊后防護三個方面��。
2.1信息安全體系結(jié)構(gòu)被攻擊前防護工作在整個的計算機網(wǎng)絡中,不同的文件有著不同的使用頻率���,而那些使用頻率越高的文件就越容易受到黑客的攻擊。因此���,信息安全體系結(jié)構(gòu)的被攻擊前防護工作的主要內(nèi)容就是對這些比較容易受到黑客攻擊的文件進行保護,主要的保護方式包括防火墻���、網(wǎng)絡訪問控制等���。通過WPDRRC結(jié)構(gòu)對其中存在的威脅因素進行明確����,有針對性地進行解決措施的完善��。
2.2信息安全體系結(jié)構(gòu)被攻擊中防護工作當計算機網(wǎng)絡受到攻擊之后����,信息安全體系結(jié)構(gòu)的主要防護工作為阻止正在進行中的攻擊行為�����。WPDRRC結(jié)構(gòu)能夠通過對計算機網(wǎng)絡系統(tǒng)文件的綜合分析對正在進行中的攻擊行為進行風險,同時能夠?qū)τ嬎銠C網(wǎng)絡中各個細節(jié)存在的變動進行感知���,最終對黑客的攻擊行為進行有效的制止�����。
2.3信息安全體系結(jié)構(gòu)被攻擊后防護工作當計算機網(wǎng)絡受到攻擊之后�,信息安全體系結(jié)構(gòu)主要的防護工作內(nèi)容為對計算機網(wǎng)絡中出現(xiàn)的破壞進行修復�����,為計算機網(wǎng)絡的政策運行提供基礎。同時�����,恢復到對計算機網(wǎng)絡信息安全的保護中��。
3計算機網(wǎng)絡信息安全體系結(jié)構(gòu)中加入人為因素
IT領域中都是以技術人員為主體來對產(chǎn)業(yè)雛形進行構(gòu)建的,因此在IT領域中往往存在著及其重視技術的現(xiàn)象����,主要的表現(xiàn)為以功能單純而追求縱向性能的產(chǎn)品為代表��,產(chǎn)品的覆蓋范圍限制在技術體系部分��,缺乏對組織體系、管理體系等其他重要組成部分的重視����。因此���,只有在計算機網(wǎng)絡信息安全體系結(jié)構(gòu)中加入人為因素才具有現(xiàn)實意義�。在計算機網(wǎng)絡信息安全體系結(jié)構(gòu)的構(gòu)建過程中�����,應該注重以組織體系為本����,以技術體系為支撐��,以管理系統(tǒng)為保證��,實現(xiàn)三者之間的均衡,從而真正發(fā)揮計算機網(wǎng)絡信息安全體系結(jié)構(gòu)的重要作用��。
4總結(jié)
第3篇
1.1網(wǎng)絡信息安全定義
不同的用戶對網(wǎng)絡信息安全的定義有所不同�����,作為普通用戶�����,我們希望自己的個人信息不被竊取�;在國家層面上,信息安全就是杜絕一切需要保密的信息外泄���。
1.2網(wǎng)絡信息安全模型
根據(jù)TCP/IP協(xié)議��,網(wǎng)絡安全體系應保證物理層的比特流傳輸?shù)陌踩?��;保證介質(zhì)的訪問和鏈路傳輸?shù)陌踩逆溌钒踩?�;保證被授權客戶使用服務的網(wǎng)絡層安全�����;保證客戶資料和操作系統(tǒng)訪問控制安全的會話層安全;利用多種技術增強計算機應用軟件安全的應用平臺安全和為用戶服務的應用系統(tǒng)安全。如圖所示:圖1 體系層次模型1.3網(wǎng)絡信息安全的脆弱性網(wǎng)絡信息安全的脆弱性如下:1)由于程序員設計程序時考慮不全面或者故意設置的后門�����;2)廠家設置參數(shù)時由于疏忽大意而產(chǎn)生的錯誤設置��;3)TCP/IP協(xié)議為了注重開放性而產(chǎn)生的不可避免的安全缺陷;4)用戶在使用過程中����,由于疏忽而導致數(shù)據(jù)輸入錯誤而產(chǎn)生的安全缺陷;5)由于意外而出現(xiàn)的運行錯誤���;6)Internet自身的安全缺陷�����。
2網(wǎng)絡信息安全的主要技術
2.1防火墻技術
簡單實用、不需要修改原有的網(wǎng)絡應用系統(tǒng)下能達到一定安全要求的防火墻是網(wǎng)絡安全的主要技術之一����,它既能過濾流出的IP包��,同時也能屏蔽外部危險的IP����,從而保護內(nèi)部的網(wǎng)絡。防火墻最大的特點是可以過濾所有由外到內(nèi)和由內(nèi)到外的數(shù)據(jù)���,只有符合要求的數(shù)據(jù)包才能被防火墻放行,不符合的數(shù)據(jù)包都被防火墻屏蔽,并且防火墻自身具有防侵入的功能�����。但需要說明的����,防火墻的安裝的前提是公司或者企業(yè)對于內(nèi)外網(wǎng)絡連接中需要數(shù)據(jù)保護功能�,而對于公司或者企業(yè)內(nèi)網(wǎng)則需要用其他方式來實現(xiàn),因為防火墻由于需要過濾內(nèi)外數(shù)據(jù)���,而使網(wǎng)絡信息傳輸速度變慢。對于用戶來說���,常使用非常方便和實用的防止電腦中的信息被侵襲的個人防火墻技術,個人防火墻能有效的監(jiān)控及管理系統(tǒng)����,防止病毒��、流氓軟件等通過Internet進入自己的電腦或者自己電腦中的信息在無意中向外擴散��。
2.2數(shù)據(jù)加密技術
在信息時代���,信息既能幫助大家�,也能威脅大家�����,甚至造成破壞,比如存在競爭的公司和企業(yè)間��,信息的泄露造成的損失會很大,所以就需要一種強有力的技術對數(shù)據(jù)進行保護�����,防止信息數(shù)據(jù)被盜或者被篡改���,而且對數(shù)據(jù)進行加密或者解密的操作比較簡單,便于掌握�����。數(shù)據(jù)加密技術通過加密和解密的操作限制除合法使用者以外的人獲取信息數(shù)據(jù),對信息進行保護。利用一個密匙進行加密和解密的對稱加密技術和利用配對的“公匙”和“私匙”進行加密和解密的非對稱加密技術是目前最常用的加密技術����。
2.3訪問控制技術
我們知道�����,在網(wǎng)絡中�����,登錄時通常是中身份驗證的方法���,但是�����,進入網(wǎng)絡后用戶能做什么�����?權限有哪些�?這些是訪問控制技術需要解決的問題。訪問控制技術既能阻止無權限的用戶訪問資源���,對資源進行保護��;也能設置機制允許被授權者訪問限定資源�。作為信息安全保障機制核心內(nèi)容的訪問控制能有效的對資源進行保護�,它是信息安全保護中最基礎的機制也是最重要的安全機制���。
2.4虛擬專用網(wǎng)技術
目前���,既是最新也是最成功的解決信息安全的技術之一就是虛擬專用網(wǎng)技術��,這種技術在數(shù)據(jù)傳輸中進行加密和認證��,使用起來成本既低于傳統(tǒng)的專線方式又安全性較高。虛擬專用網(wǎng)應用范圍很廣��,我們通常在家里用的撥號上網(wǎng)以及在辦公室辦公時用的內(nèi)網(wǎng)都屬于虛擬專用網(wǎng)�,由于VPN比較復雜,安全性增強�����,通過加密和認證使VPN有效保護了信息資源��。
2.5安全隔離技術
我們知道,由于計算機技術的不斷發(fā)展���、創(chuàng)新����,現(xiàn)在新型的網(wǎng)絡攻擊應運而生���,這就需要開發(fā)高安全性的防新型網(wǎng)絡攻擊的技術�,而安全隔離技術是把危險的信息資源隔離在外面同時保證內(nèi)網(wǎng)的安全���。
2.6身份認證技術
在我們登錄QQ����、微信、百度文庫��、淘寶及需要注冊成會員的頁面都需要用戶名和密碼,只有輸入正確的用戶名和密碼��,我們才能進入頁面,有的地方或者頁面需要語音����、虹膜等生物特征認證才能進入等�,這種需要認證才能進入的技術就是身份認證技術,它的本質(zhì)是通過只有被認證方自己知道的信息來使認證方認證被認證方的身份。身份認證技術有兩種:密碼認證和生物特征認證�����。密碼認證方式主要是通過用戶名和密碼來實現(xiàn)的��,認證方發(fā)放給有權限的用戶口令��,用戶輸入用戶名和密碼后,認證方通過后臺核對被認證方的口令是否正確��,如果正確���,用戶就可以進入登錄頁面使用某些功能��。認證方式方便可行,但是它的安全性主要取決于用戶設置的密碼的長度���、復雜度和用戶對密碼的保密程度�,這就容易遭到猜測軟件的攻擊��,只要攻擊方獲取了用戶的密碼�,用戶的信息和資源就泄露了,最好的解決方法就是用戶將自己的口令加密�����。生物特征認證相對于密碼認證要安全的多,它是計算機利用人生理和行為特征上的唯一性進行身份認證�����,就像現(xiàn)在很多企業(yè)和公司進行考勤形式一般都是采用指紋、虹膜���、視網(wǎng)膜等進行電子考勤��。有一些單位在保密權限上錄入聲音、步態(tài)等特征進行身份識別����,這種利用人生理和行為特征的唯一性進行考勤的優(yōu)點是不會產(chǎn)生遺忘密碼的情況并且防偽性很高����,安全性很高���。
3常見的網(wǎng)絡攻擊方法以及防范策略
3.1網(wǎng)絡攻擊概念簡述
我們知道程序員在書寫程序時由于疏忽或者處于某種原因自留后門�����,這些都會產(chǎn)生漏洞,網(wǎng)絡攻擊者就通過這些漏洞進行網(wǎng)絡攻擊�����。那么,哪些屬于網(wǎng)絡攻擊呢����?眾所周知���,Internet是個開放性的網(wǎng)絡環(huán)境,網(wǎng)絡攻擊者通常通過漏洞進入用戶的計算機中盜取用戶的個人信息、銀行密碼�����、用戶進入系統(tǒng)的權限或者破壞數(shù)據(jù)等造成系統(tǒng)不能正常發(fā)揮功能;互聯(lián)網(wǎng)在傳輸信息數(shù)據(jù)時依據(jù)的是TCP/IP協(xié)議���,而這些協(xié)議在數(shù)據(jù)信息傳輸過程中保護功能不足����,容易遭到入侵者攻擊��;我們的電子郵件信息不如傳統(tǒng)的信件那樣有郵票、郵戳�����、信封等保護措施��,我們有時無法判斷我們郵件是否真實���、是否存在被篡改、是否誤投���、是否偽造等�����,這就使我們在傳輸重要郵件時容易別攻擊,產(chǎn)生泄密事件�����,并且�,一些計算機病毒也通常通過郵件傳播,使我們的電腦遭到攻擊�,丟失重要信息數(shù)據(jù)���。攻擊者常常通過隱藏自己的IP信息來尋找要攻擊的主機并設法獲取賬號和密碼����,進入主機后獲取控制權盜取用戶的個人資料和網(wǎng)絡資源以及特權,達到自己的攻擊目的�����。
3.2網(wǎng)絡攻擊常用方法及預防策略
1)利用型攻擊:主要是攻擊者企圖進入你的計算機并對你的計算機進行控制��。這種攻擊類型的防御側(cè)策略如下:(a)設置多種符號組成的比較復雜的口令用來阻止攻擊者進行口令猜測,同時�����,如果你的服務有鎖定功能����,要進行鎖定。(b)一旦發(fā)現(xiàn)程序可疑���,一定不要下載����、不要執(zhí)行并安裝木馬防火墻進行隔離木馬。(c)要定時更新系統(tǒng)��,防止緩沖區(qū)溢出。2)信息收集型攻擊:主要是攻擊者為了進一步攻擊而進行收集信息的攻擊行為���,它主要包括掃描技術���、利用信息資源服務以及系統(tǒng)體系架構(gòu)進行刺探三種攻擊方式���。對于這三種行為的防御策略分別如下:(a)對于掃描技術的防御主要是通過防火墻技術阻隔掃描企圖和過濾Icmp應答��。(b)對于利用信息服務的防御主要是通過防火墻過濾請求或者過濾掉地址并阻斷刺探內(nèi)部信息的LDAP并做相應的記錄。(c)對于體系結(jié)構(gòu)探測的防御是去掉或修改計算機運行過程中出現(xiàn)的各種banner,對用于識別的端口進行阻斷從而達到擾亂攻擊者的攻擊計劃�����。3)假消息攻擊:主要是攻擊者利用不正確的信息實施的攻擊方法���,它通常有兩種攻擊方式�����,分別是通過DNS服務器進行攻擊和利用偽造郵件進行攻擊����。針對這兩種攻擊方法采取的策略分別如下:(a)對于DNS服務器進行攻擊的防御策略是利用防火墻過濾入站的DNS更新,阻斷DNS污染����。(b)對于偽造郵件進行攻擊的防御策略是使用安全工具和電子郵件證書進行隔離帶木馬病毒的電子郵件,并且對于不認識的垃圾電子郵件一概不點開��,從而防止木馬病毒的入侵。4)網(wǎng)頁攻擊:在我們?yōu)g覽網(wǎng)頁時會被網(wǎng)頁內(nèi)嵌套的代碼程序強行改變我們的默認網(wǎng)頁并修改我們的注冊表等信息�����,破壞計算機中的數(shù)據(jù)信息甚至格式化我們的電腦硬盤���。它通常有兩種攻擊方式��,分別是以破壞系統(tǒng)為目的的攻擊windows系統(tǒng)和強行修改我們的IE瀏覽器。下面對我們使用計算機過程中常出現(xiàn)的網(wǎng)頁攻擊方式及應對策略進行分析:(a)強行修改我們的默認首頁對應策略:由于修改默認網(wǎng)頁需要修改注冊表���,我們只要把我們的注冊表修改過來就可以了���。(b)格式化硬盤對應策略:這是一種很惡意的網(wǎng)頁攻擊����,一般操作在后臺���,我們很難發(fā)現(xiàn)��,這就要求我們要及時升級微軟的安全補丁來及時修補系統(tǒng)的漏洞,阻隔攻擊者的攻擊�。(c)網(wǎng)頁炸彈應對策略:網(wǎng)頁炸彈其實就是一個死循環(huán)��,我們平時在瀏覽網(wǎng)站時�����,一定不要輕易進入不了解的網(wǎng)站和不要輕易打開陌生人發(fā)來的郵件附件。(d)文件被非法讀取 此攻擊通過代碼調(diào)用腳本來讀取文件或者利用IE漏洞非法讀取本地文件�����。應對策略:通過提高我們?yōu)g覽器的安全級別和禁用JavascriP來阻隔攻擊者的攻擊�����。
3.3計算機病毒
為了便于大家自己的電腦是否中病毒���,下面把電腦中病毒的主要癥狀描述如下:1)電腦的運行速度明顯變慢��。2)電腦的存儲容量突然變小�����。3)開機明顯變得特別慢。4)電腦中的文件大小突然變大�。5)電腦經(jīng)常無緣無故的死機����。6)電腦的屏幕異常顯示。7)鍵盤輸入時出現(xiàn)異常����。8)文件突然不能讀取并復制不了��、打開不了�。9)文件的日期等屬性突然發(fā)生改變了����。10)電腦的時間顯示時倒轉(zhuǎn)運行��。11)不斷要求用戶重復輸入密碼�。12)運行過程中系統(tǒng)突然重啟。當我們發(fā)現(xiàn)電腦中病毒了����,我們應采取什么措施進行清理病毒呢?首先����,我們要養(yǎng)成安裝可靠殺毒軟件并定時更新的習慣。其次��,我們要定時清理我們的電腦���,清除碎片。再次,我們要養(yǎng)成健康的用電腦方式和方法,盡量少雙擊鼠標���,多用鼠標點擊右鍵打開文件�。
3.4網(wǎng)絡攻擊的應對策略
第4篇
要進行一項統(tǒng)計工作,首先��,必須進行統(tǒng)計設計��。我們已經(jīng)把這一工作分配給了統(tǒng)計部門局域網(wǎng)內(nèi)部相應的計算機來完成。其次�,要進行資料的收集整理��。在我們上面建立的統(tǒng)計體系中�����,由上級部門設計好統(tǒng)計調(diào)查表單,下級部門如實填寫好后�,通過逐層上報的方法傳送給對應網(wǎng)站�����。最后���,通過DEC進行數(shù)據(jù)處理���。這是一種最常用的統(tǒng)計資料的收集和整理辦法��,它與傳統(tǒng)的統(tǒng)計報表制度有許多類似之處。實際上,隨著互聯(lián)網(wǎng)技術的迅速發(fā)展����,統(tǒng)計資料的收集方式越來越朝著多元化的方向發(fā)展�����。以下四種應用比較廣泛的網(wǎng)上統(tǒng)計調(diào)查方法是作為對上述方法的補充手段:1���、電子郵件法���;2���、隨機IP地址調(diào)查法�;3�、直接站點調(diào)查法;4����、網(wǎng)絡視迅會議法。
二���、網(wǎng)絡統(tǒng)計信息的安全問題
我們所講的統(tǒng)計信息安全���,一是指統(tǒng)計信息網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)的數(shù)據(jù)得到保護,不因偶然的或者惡意的原則而遭到破壞�、更改�����、泄露�,系統(tǒng)能夠連續(xù)�����、可靠�、正常地運行����,網(wǎng)絡服務不會中斷;二是保證各統(tǒng)計部門的數(shù)據(jù)及個人資料�、商業(yè)秘密在網(wǎng)絡上傳輸?shù)谋C苄?����、安全性���;三是保證網(wǎng)
本文由/整理頁順利及網(wǎng)上內(nèi)容不被隨意更改。網(wǎng)絡時代的統(tǒng)計信息具有保密性和完整性的特點,保密性是指統(tǒng)計信息及統(tǒng)計數(shù)據(jù)不泄露給非授權用戶及實體,或供其利用�����。
網(wǎng)絡統(tǒng)計信息安全面臨的主要威脅有:
1�、系統(tǒng)的不安全因素
在系統(tǒng)不安全因素中,主要考慮以下幾個問題:一是網(wǎng)絡統(tǒng)計軟件的自身安全與否直接關系統(tǒng)計信息安全。系統(tǒng)軟件的安全功能較少或不全,以及系統(tǒng)設計時的疏忽或考慮不周而留下的“破綻”,都將會給危害信息安全的人和事留下許多隱患。二是病毒對于網(wǎng)絡的威脅和黑客對于網(wǎng)絡的破壞和侵入。病毒的主要傳播途徑已由過去的軟盤、光盤等存儲介質(zhì)變成了網(wǎng)絡���,多數(shù)病毒不僅能夠直接感染網(wǎng)絡上的計算機,還能在網(wǎng)絡上“繁殖”。三是操作系統(tǒng)的體系結(jié)構(gòu)會造成其本身的不安全,這也是計算機系統(tǒng)不安全的根本原因之一���。
2、傳輸線路的不安全因素
盡管在同軸電纜、微波或衛(wèi)星通訊中要竊聽其中指定一路的信息是很困難的���,但從安全角度來說,沒有絕對安全的通訊線路,同時��,無論采用何種傳輸線路�,當線路的通信質(zhì)量不好時,將直接影響聯(lián)網(wǎng)效果��,嚴重時甚至導致網(wǎng)絡中斷�,破壞通信數(shù)據(jù)的完整性��。為確保通信質(zhì)量和網(wǎng)絡效果
本文由/整理���,防止竊聽�����,就必須要有合格的傳輸線路����。
3、用戶的不安全因素
大多數(shù)系統(tǒng)是以用戶為中心的�����。一個合法的用戶在系統(tǒng)內(nèi)可以執(zhí)行各種操作����。用戶隨意進入不明網(wǎng)站和下載不明的程序,會使運行系統(tǒng)遭到破壞�。應由用戶來管理自己的登陸密碼,但不能讀取用戶的密碼�。用戶必須對自己密碼的安全性、保密性負責��。一個不安全的密碼事實上是不能起到保密作用的��。
網(wǎng)絡安全是一個集技術��、管理����、法規(guī)等的綜合作用為一體的�����、長期的、需要常年實施的����、復雜的系統(tǒng)工程。為了保障統(tǒng)計信息網(wǎng)絡的安全�����,應從以下幾方面采取相應的防護措施:
a從技術的角度出發(fā)采取相應的措施
一是身份識別��。身份識別是安全系統(tǒng)應具備的最基本的功能���,是驗證通信雙方的有效手段���。用戶向其系統(tǒng)請求服務時,要出示自己的身份證明�����,例如輸入USER和PASSWORD��,而系統(tǒng)應具備查驗用戶身份證明的能力��,能夠識別合法用戶。也可采用人體特征(如指紋)識別����、智能卡識別等方法。二是設立防火墻是位于內(nèi)部網(wǎng)絡(可信賴的)和外部網(wǎng)絡(不可信賴的)之間的屏障���,它按系統(tǒng)管理員預先定義好的規(guī)則來控制數(shù)據(jù)包的進出����。三是信息加密����。通過對信息的重新組合,使得只有收發(fā)雙方才能解碼和還原信息���。傳統(tǒng)加密系統(tǒng)是以密鑰為基礎的���,分為對稱和不對稱加密兩種,隨著技術的進步�,加密正逐步被集成到系統(tǒng)和網(wǎng)絡中。四是存取權限控制�。其基本任務是防止非法用戶進入系統(tǒng)并防止合法用戶對系統(tǒng)資源的非法使用。
b存效防
本文由/整理范病毒
對計算機病毒和黑客的防范是計算機安全的重要方面����。關于計算機病毒,我們應該建立起兩個觀念:第一����,計算機感染了病毒并不十分可怕,嚴重的是并不知道機器已感染了病毒����。計算機病毒的主要危害就是傳染性和破壞性,但病毒受其隱蔽性的限制���,平時只是傳染��,破壞活動很小���,只有滿足病毒發(fā)作條件時才會呈現(xiàn)出強大的破壞力,而且破壞活動往往是瞬間完成��,想人為中斷都不可能�。第二,應根據(jù)計算機病毒的共同特征來檢測病毒���。由于計算機病毒只可能藏身于硬盤的引導區(qū)�����、文件區(qū)和內(nèi)存之中����,我們可以針對病毒的這些特征采取利用備份的系統(tǒng)信息檢測引導區(qū)中的病毒、利用文檔文件檢測文件中的病毒��、設置內(nèi)存駐留程序監(jiān)控病毒等措施�,有效地遏制計算機病毒的傳染和破壞,保障統(tǒng)計數(shù)據(jù)的安全�����。
第5篇
關鍵詞入侵檢測異常檢測誤用檢測
在網(wǎng)絡技術日新月異的今天�,論文基于網(wǎng)絡的計算機應用已經(jīng)成為發(fā)展的主流。政府�����、教育���、商業(yè)��、金融等機構(gòu)紛紛聯(lián)入Internet��,全社會信息共享已逐步成為現(xiàn)實��。然而����,近年來�,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此�����,保證計算機系統(tǒng)���、網(wǎng)絡系統(tǒng)以及整個信息基礎設施的安全已經(jīng)成為刻不容緩的重要課題����。
1防火墻
目前防范網(wǎng)絡攻擊最常用的方法是構(gòu)建防火墻�。
防火墻作為一種邊界安全的手段,在網(wǎng)絡安全保護中起著重要作用���。其主要功能是控制對網(wǎng)絡的非法訪問����,通過監(jiān)視、限制�����、更改通過網(wǎng)絡的數(shù)據(jù)流���,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)���,另一方面對內(nèi)屏蔽外部危險站點,以防范外對內(nèi)的非法訪問����。然而,防火墻存在明顯的局限性�。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣�����,防火墻有時無法阻止入侵者的攻擊���。
(2)防火墻不能阻止來自內(nèi)部的襲擊��。調(diào)查發(fā)現(xiàn)���,50%的攻擊都將來自于網(wǎng)絡內(nèi)部��。
(3)由于性能的限制�����,防火墻通常不能提供實時的入侵檢測能力���。畢業(yè)論文而這一點�,對于層出不窮的網(wǎng)絡攻擊技術來說是至關重要的。
因此����,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要�����,網(wǎng)絡的防衛(wèi)必須采用一種縱深的�、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷��,引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門��,是對防火墻的合理補充����,在不影響網(wǎng)絡性能的情況下,通過對網(wǎng)絡的監(jiān)測�����,幫助系統(tǒng)對付網(wǎng)絡攻擊����,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視���、進攻識別和響應)�,提高信息安全基礎結(jié)構(gòu)的完整性����,提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護?��,F(xiàn)在���,入侵檢測已經(jīng)成為網(wǎng)絡安全中一個重要的研究方向����,在各種不同的網(wǎng)絡環(huán)境中發(fā)揮重要作用�����。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息并對其進行分析��,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象�����,并做出自動的響應�����。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析���、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估���、已知的攻擊行為模式的識別�����、異常行為模式的統(tǒng)計分析���、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別�。入侵檢測通過迅速地檢測入侵�����,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前�����,識別并驅(qū)除入侵者���,使系統(tǒng)迅速恢復正常工作�,并且阻止入侵者進一步的行動��。同時����,收集有關入侵的技術資料,用于改進和增強系統(tǒng)抵抗入侵的能力��。
入侵檢測可分為基于主機型、基于網(wǎng)絡型��、基于型三類���。從20世紀90年代至今���,英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure�,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger�。
2.2檢測技術
入侵檢測為網(wǎng)絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段���。例如����,實時檢測通過記錄證據(jù)來進行跟蹤����、恢復���、斷開網(wǎng)絡連接等控制����;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進一步加強信息系統(tǒng)的安全力度�����。入侵檢測的步驟如下:
收集系統(tǒng)�����、網(wǎng)絡���、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu)����,在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點(不同網(wǎng)段和不同主機)收集信息����,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為���。
入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡日志文件��、目錄和文件中的不期望的改變�����、程序執(zhí)行中的不期望行為�����、物理形式的入侵信息��。
(2)根據(jù)收集到的信息進行分析
常用的分析方法有模式匹配�����、統(tǒng)計分析��、完整性分析�。模式匹配是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為�����。
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶��、文件���、目錄和設備等)創(chuàng)建一個統(tǒng)計描述�����,統(tǒng)計正常使用時的一些測量屬性��。測量屬性的平均值將被用來與網(wǎng)絡�����、系統(tǒng)的行為進行比較�。當觀察值超出正常值范圍時�����,就有可能發(fā)生入侵行為���。該方法的難點是閾值的選擇��,閾值太小可能產(chǎn)生錯誤的入侵報告��,閾值太大可能漏報一些入侵事件�。
完整性分析主要關注某個文件或?qū)ο笫欠癖桓?���,包括文件和目錄的?nèi)容及屬性����。該方法能有效地防范特洛伊木馬的攻擊�����。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測����,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。工作總結(jié)根據(jù)不同的檢測方法�,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基于行為的檢測�����。其基本前提是:假定所有的入侵行為都是異常的�。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓�,通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測�����,是一種間接的方法。
常用的具體方法有:統(tǒng)計異常檢測方法���、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法�、基于貝葉斯網(wǎng)絡異常檢測方法、基于模式預測異常檢測方法����、基于神經(jīng)網(wǎng)絡異常檢測方法、基于機器學習異常檢測方法���、基于數(shù)據(jù)采掘異常檢測方法等�����。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時�����,選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征��,又能使模型最優(yōu)化��,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征����。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此����,參考閾值的選定是非常關鍵的。
閾值設定得過大�,那漏警率會很高;閾值設定的過小����,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素����。
由此可見,異常檢測技術難點是“正?����!毙袨樘卣鬏喞拇_定��、特征量的選取���、特征輪廓的更新���。由于這幾個因素的制約��,異常檢測的虛警率很高�����,但對于未知的入侵行為的檢測非常有效。此外��,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓�,這樣所需的計算量很大,對系統(tǒng)的處理性能要求很高���。
3.2誤用檢測
又稱為基于知識的檢測�。其基本前提是:假定所有可能的入侵行為都能被識別和表示����。首先,留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示��,然后根據(jù)已經(jīng)定義好的攻擊簽名���,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否�����。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為�����,是一種直接的方法���。
常用的具體方法有:基于條件概率誤用入侵檢測方法�、基于專家系統(tǒng)誤用入侵檢測方法�、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法����、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示����。
誤用檢測是根據(jù)攻擊簽名來判斷入侵的,根據(jù)對已知的攻擊方法的了解�,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種�����,同時又不會把非入侵行為包含進來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應用程序的缺陷�,因此,通過分析攻擊過程的特征���、條件�����、排列以及事件間的關系���,就可具體描述入侵行為的跡象��。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助��,而且對即將發(fā)生的入侵也有預警作用�����。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較�,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關的數(shù)據(jù)����,這樣系統(tǒng)的負擔明顯減少�。該方法類似于病毒檢測系統(tǒng)����,其檢測的準確率和效率都比較高。但是它也存在一些缺點����。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測����。也就是說漏警率比較高。
3.2.2與系統(tǒng)的相關性很強
對于不同實現(xiàn)機制的操作系統(tǒng)���,由于攻擊的方法不盡相同�����,很難定義出統(tǒng)一的模式庫��。另外��,誤用檢測技術也難以檢測出內(nèi)部人員的入侵行為���。
目前�����,由于誤用檢測技術比較成熟�,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的�����。不過�����,為了增強檢測功能���,不少產(chǎn)品也加入了異常檢測的方法。
4入侵檢測的發(fā)展方向
隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大����,再加上網(wǎng)絡攻擊者的攻擊工具與手法日趨復雜化,信息戰(zhàn)已逐步被各個國家重視���。近年來�����,入侵檢測有如下幾個主要發(fā)展方向:
4.1分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡架構(gòu)���,對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡的監(jiān)測明顯不足�,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作���。為解決這一問題�,需要采用分布式入侵檢測技術與通用入侵檢測架構(gòu)����。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議�����,而不能處理LotusNotes���、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)���。許多基于客戶/服務器結(jié)構(gòu)、中間件技術及對象技術的大型應用��,也需要應用層的入侵檢測保護。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化����,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡與遺傳算法在入侵檢測領域應用研究��,但是�����,這只是一些嘗試性的研究工作�,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應能力���。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統(tǒng)進行評價��,評價指標包括IDS檢測范圍����、系統(tǒng)資源占用�、IDS自身的可靠性��,從而設計出通用的入侵檢測測試與評估方法與平臺��,實現(xiàn)對多種IDS的檢測。
4.5全面的安全防御方案
結(jié)合安全工程風險管理的思想與方法來處理網(wǎng)絡安全問題��,將網(wǎng)絡安全作為一個整體工程來處理�。從管理、網(wǎng)絡結(jié)構(gòu)�、加密通道、防火墻�、病毒防護、入侵檢測多方位全面對所關注的網(wǎng)絡作全面的評估���,然后提出可行的全面解決方案��。
綜上所述�����,入侵檢測作為一種積極主動的安全防護技術�,提供了對內(nèi)部攻擊���、外部攻擊和誤操作的實時保護��,使網(wǎng)絡系統(tǒng)在受到危害之前即攔截和響應入侵行為���,為網(wǎng)絡安全增加一道屏障��。隨著入侵檢測的研究與開發(fā)����,并在實際應用中與其它網(wǎng)絡管理軟件相結(jié)合�����,使網(wǎng)絡安全可以從立體縱深����、多層次防御的角度出發(fā),形成人侵檢測��、網(wǎng)絡管理�、網(wǎng)絡監(jiān)控三位一體化,從而更加有效地保護網(wǎng)絡的安全����。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用,2002��;38(10):181—183
2羅妍�,李仲麟,陳憲.入侵檢測系統(tǒng)模型的比較.計算機應用��,2001�;21(6):29~31
3李渙洲.網(wǎng)絡安全與入侵檢測技術.四川師范大學學報.2001;24(3):426—428
4張慧敏�,何軍,黃厚寬.入侵檢測系統(tǒng).計算機應用研究�,2001;18(9):38—4l
第6篇
【論文摘要】:文章結(jié)合目前大部分醫(yī)院計算機網(wǎng)絡的發(fā)展現(xiàn)狀��,主要從網(wǎng)絡設備�、計算機軟件維護和人員管理等方面談一下醫(yī)院計算機網(wǎng)絡的安全維護工作。
隨著現(xiàn)代化信息技術的發(fā)展和醫(yī)療衛(wèi)生管理要求的不斷提高�����,醫(yī)院的計算機網(wǎng)絡系統(tǒng)已經(jīng)深入到醫(yī)院日常業(yè)務活動的方方面面��。醫(yī)院的計算機系統(tǒng)一旦崩潰���,將會造成無法估計的損失���。因此如何加強醫(yī)院計算機網(wǎng)絡的安全性和可靠性就成為一個亟待解決的問題。
一�����、網(wǎng)絡設備安全
(一)硬件設置對網(wǎng)絡安全的影響
1.網(wǎng)絡布線
醫(yī)院主干線以及各大樓之間采用多模光纖,并留有備份�。光纖到機器端采用屏蔽雙絞線,線路之間避免交叉纏繞���,并與強電保持30CM以上距離�����,以減少相互干擾���。新增網(wǎng)點,距離交換機盡可能短�����,以減少信號衰減���。平時做好跳線備份�,以備急用����。
2.中心機房
綜合考慮供電、場地�、溫濕度�、防水���、防鼠、電磁環(huán)境以及接地防雷�����。
3.服務器
對最上層的服務器和數(shù)據(jù)庫來說如何保證所提供服務的可靠性和不間斷性以及數(shù)據(jù)存儲的安全是決定一個信息系統(tǒng)安全的關鍵�。首先必須使用不間斷電源(UPS),保證服務器24小時不間斷工作���,防止停電造成的數(shù)據(jù)庫損壞����。對于中心服務器�,目前大部分醫(yī)院采用的是雙機熱備份+磁盤陣列柜的模式,當一個服務器發(fā)生故障時����,備份服務器能在十幾秒的時間內(nèi)進行切換,啟動數(shù)據(jù)庫�����,一般能在2~3分鐘內(nèi)恢復業(yè)務處理。這樣只做到了一臺服務器出現(xiàn)故障時��,能保證信息系統(tǒng)的正常運行���,如果陣列出現(xiàn)故障����,整個系統(tǒng)仍要停止運行����,一般在條件允許的情況下應該備有應急服務器。應急服務器在日常工作時���,通過數(shù)據(jù)庫的備份服務實時地進行異地備份���,保證數(shù)據(jù)與中心服務器的同步,當雙機服務器或陣列出現(xiàn)故障時����,系統(tǒng)能順利轉(zhuǎn)移到應急服務器上運行,所有用戶的使用方法保持不變�,患者數(shù)據(jù)信息連續(xù),不僅方便了操作人員,而且大大的提高了系統(tǒng)的安全性�����。
4.邊界安全
內(nèi)外網(wǎng)物理斷開�,這樣徹底消滅外網(wǎng)黑客的入侵,內(nèi)外網(wǎng)需要交換信息時采用U盤或移動硬盤作為中介,并做好防病毒工作��。
(二)外界環(huán)境對網(wǎng)絡設備安全的影響
1.溫度會導致邏輯電路產(chǎn)生邏輯錯誤��,技術參數(shù)偏離��,還會導致系統(tǒng)內(nèi)部電源燒毀或燒壞某些元器件��,影響機器運轉(zhuǎn)和導致一些熱敏器件內(nèi)部損壞或不能正常工作�����。
2.濕度過高����,會使接插件和集成電路的引線等結(jié)合部氧化��、生繡���、霉爛����,造成接觸不良、開路或短路�����;濕度過低����,會吸附灰塵,加劇噪聲��。
3.對于機器內(nèi)部的電路板上的雙列直插或組件的接線器�����,灰塵的阻塞會形成錯誤的運行結(jié)果��。過多的塵?��?稍斐山^緣電阻減小���、泄漏電流增加���,機器出現(xiàn)錯誤動作,如果空氣潮濕會引起元器件間放電�����、打火�����,從而損壞設備�����,嚴重的還會引起火災�。
4.靜電是網(wǎng)絡使用中面臨的比較嚴重的問題���,以上談到的溫度�����、濕度�、塵埃等很多原因都可能引起靜電�。計算機元器件和集成電路對靜電非常敏感,它的破壞常常是在不知不覺中發(fā)生。
5.靠近網(wǎng)絡的計算機����、大型醫(yī)療設備和網(wǎng)絡設備自身等,都能產(chǎn)生電磁輻射��,通過輻射���、傳導等方式對網(wǎng)絡系統(tǒng)形成干擾�����。他們造成的問題是:設備的一些部件會失效�,但那些部件的失效看起來又是由于其他部件引起的�,像這樣的問題很容易被忽略,而且很難診斷�,需要專門的診斷軟件和硬件來檢測。
二��、計算機軟件的安全
(一)計算機操作系統(tǒng)的安全
目前一般醫(yī)院服務器和工作站的操作系統(tǒng)多采用微軟的WINDOWS系列操作系統(tǒng)�,這要求對計算機使用的帳號、用戶權限���、網(wǎng)絡訪問以及文件訪問等實行嚴格的控制和管理����,定期做好監(jiān)視、審計和事件日志記錄和分析��,一方面減少各類違規(guī)訪問�����,另一方面�����,通過系統(tǒng)日志記下來的警告和報錯信息���,很容易發(fā)現(xiàn)相關問題的癥結(jié)所在����。及時下載和打好系統(tǒng)補丁����,盡可能關閉不需要的端口���,以彌補系統(tǒng)漏洞帶來的各類隱患����。對各類工作站和服務器的CMOS設置密碼,取消不必要的光驅(qū)�����、軟驅(qū)����,屏蔽USB接口,以防止外來光盤��、軟盤和U盤的使用����。對關鍵數(shù)據(jù)實行加密存儲并分布于多臺計算機。
(二)數(shù)據(jù)庫的安全
數(shù)據(jù)庫的選擇和備份是醫(yī)院計算機網(wǎng)絡安全管理中的重要問題��。系統(tǒng)一旦投入運行��,就要求24小時不間斷��,而一旦發(fā)生中斷���,后果將不堪設想�����。所以在開發(fā)系統(tǒng)軟件時����,數(shù)據(jù)庫的選擇顯得尤為重要,在發(fā)生故障時應能自動將數(shù)據(jù)恢復到斷點����,確保數(shù)據(jù)庫的完整。目前現(xiàn)有醫(yī)院計算機網(wǎng)絡系統(tǒng)在數(shù)據(jù)庫的選擇上多采用SQLSERVER���、ORACLE數(shù)據(jù)庫����。醫(yī)院的數(shù)據(jù)庫記錄時刻都處于動態(tài)變化之中�,網(wǎng)管人員定時異地備份是不夠的,因為一旦系統(tǒng)崩潰����,勢必存在部分數(shù)據(jù)的丟失���。所以建立一套實時備份系統(tǒng)�����,這對醫(yī)院來說是非常重要的?,F(xiàn)在很多醫(yī)院采用磁盤陣列的方式進行對數(shù)據(jù)的實時備份,但是成本比較大�,安全系數(shù)也不是很高。根據(jù)醫(yī)院這個特殊的網(wǎng)絡系統(tǒng)����,可建議設計數(shù)據(jù)保護計劃來實現(xiàn)文件系統(tǒng)和網(wǎng)絡數(shù)據(jù)全脫機備份。例如���,采用多個低價位的服務器分片負責����,如門診收費系統(tǒng)采用一臺服務器����,住院部系統(tǒng)采用另一臺服務器,同時再增設總服務器��,在總服務器中全套備份所有醫(yī)院管理系統(tǒng)中的應用軟件��,每日往總服務器中備份各個管理系統(tǒng)中產(chǎn)生的數(shù)據(jù)�����,與此同時也做好磁帶、光盤的備份�����,若有一臺分服務器出現(xiàn)異常�����,該系統(tǒng)就轉(zhuǎn)總服務器進行����。這種運行機制,在一些醫(yī)院取得了很好的效果�����。
(三)病毒防范與入侵檢測
在客戶機和服務器上分別安裝相應版本防病毒軟件���,及時更新病毒庫和殺毒引擎�����,在服務器上編寫網(wǎng)絡登陸腳本���,實現(xiàn)客戶端病毒庫和殺毒軟件引擎的自動派送安裝。在服務器和安全性要求較高的機器上安裝入侵檢測系統(tǒng)����,實時監(jiān)控網(wǎng)內(nèi)各類入侵、違規(guī)和破壞行為����。
三、人為因素對網(wǎng)絡設備安全的影響
據(jù)不完全統(tǒng)計�,某醫(yī)院三年內(nèi)局部網(wǎng)絡設備非正常斷電所引起的故障中,有16起為施工斷電引起網(wǎng)絡設備意外斷電�����,有130起為醫(yī)務人員不小心碰斷HUB電源導致計算機不能聯(lián)網(wǎng)��,而僅有5起為網(wǎng)絡設備自身不正常掉電或自動重啟����,占因斷電所引起的網(wǎng)絡故障總數(shù)的3.2%,其余96.8%都是人為因素導致���。這充分說明�,人為因素應該引起我們足夠的重視,應該采取必要的措施降低人為因素導致的網(wǎng)絡故障率�����。具體措施包:
1.對全院職工�,特別是對管理人員進行有關教育,讓他們樹立參與意識和主人翁意識�����,了解計算機管理的必要性和管理流程����,對相關人員進行新業(yè)務模式和流程教育,對操作人員進行技術培訓��,要求準確��、熟練���。
2.盡量不要在臨床科室使用帶電源適配器的小型集線器(HUB)����。這也是局部網(wǎng)絡極不穩(wěn)定的重要原因,有時維護人員要反復到現(xiàn)場數(shù)次解決此類問題����。
3.施工前加強施工單位與網(wǎng)絡維護人員的協(xié)調(diào),斷電前制定詳細的切換方案和應急方案�。
4.合理規(guī)劃配線間和機柜位置����,遠離人群,避免噪音��。
5.分置配線間內(nèi)的強電電源和斷電頻繁的照明電���,爭取單獨供電�����,和供電部門協(xié)調(diào)保證24小時不斷電�����。
6.加強內(nèi)部人員管理���,要注意隨時觀察�,盡量避免因此產(chǎn)生的網(wǎng)絡故障��。
四�、小結(jié)
隨著醫(yī)院計算機網(wǎng)絡的逐步發(fā)展,它漸漸成為一個醫(yī)院關鍵的��、不可缺少的資源�。我們必須積極主動的利用各種手段管理網(wǎng)絡、診斷問題����、防患于未然,為醫(yī)院計算機信息系統(tǒng)提供良好的運行環(huán)境���。
參考文獻
第7篇
由系統(tǒng)管理員管理的結(jié)構(gòu)化計算機環(huán)境和只有一臺或幾臺孤立計算機組成的計算機環(huán)境的主要區(qū)別是什么呢――服務���!這種只有幾臺孤立計算機的典型環(huán)境是家庭和那些很小的非技術性的辦公室,而典型的結(jié)構(gòu)化計算機環(huán)境則是由技術人員操作大量的計算機��,通過共享方便的通信�、優(yōu)化的資源等服務來互相聯(lián)結(jié)在一起。當一臺家用電腦通過互聯(lián)網(wǎng)或通過ISP連接到因特網(wǎng)上�,他就是使用了ISP或其他人提供的服務才進入網(wǎng)絡的。辦公室環(huán)境也能提供同樣甚至更多的服務��。
典型的辦公室環(huán)境包含很多服務,主要有DNS����、電子郵件、認證服務�����、聯(lián)網(wǎng)以及打印等等�����。這些服務非常重要����,一旦沒有了這些服務會對你產(chǎn)生很大的影響���。其它典型的服務還包括各種遠程接入方法����、網(wǎng)絡證書服務�、軟件倉庫、備份服務�、連接因特網(wǎng)��、DHCP�、文件服務等等�。如此多的服務確實令人厭倦,但這也證明了系統(tǒng)管理員團隊所創(chuàng)造并維護的服務是如此之多�。你給用戶的每一個技術支持都包含了系統(tǒng)管理員團隊提供的服務在里面。
提供一個服務絕不僅僅是簡單的把硬件和軟件累加在一起�,它包括了服務的可靠性、服務的標準化�����、以及對服務的監(jiān)控��、維護���、技術支持等����。只有在這幾個方面都符合要求的服務才是真正的服務�。
系統(tǒng)管理員的主要職責之一就是為用戶提供他們所需要的服務,這是一項持續(xù)性的工作�。隨著技術的進步和用戶工作的開展,用戶的要求也會越來越高����,結(jié)果系統(tǒng)管理員就必須花費大量的時間來設計并創(chuàng)建新的服務���,創(chuàng)建的新服務的質(zhì)量決定了以后系統(tǒng)管理員們對它們提供技術支持時所花費時間和精力的多少,同時也決定了用戶的滿意程度�。
一、服務的基本問題
創(chuàng)建一個穩(wěn)定��、可靠的服務是一個系統(tǒng)管理員的重要工作�����。在進行這項工作時系統(tǒng)管理員必須考慮許多基本要素��,其中最重要的就是在設計和開發(fā)的各個階段都要考慮到用戶的需求����。要和用戶進行交流�,去發(fā)現(xiàn)用戶對服務的要求和預期,然后把其它的要求如管理要求等列一個清單�����,這樣的清單只能讓系統(tǒng)管理員團隊的人看到���。在這樣一個過程中"是什么"比"怎么樣"更重要��,否則在具體執(zhí)行時很容易就會陷入泥潭而失去目標����。
服務應該建立在服務器級的機器上而且機器應該放在合適的環(huán)境中,作為服務器的機器應當具備適當?shù)目煽啃院托阅?��。服務和服務所依賴的機器應該受到監(jiān)控�����,一旦發(fā)生故障就發(fā)出警報或產(chǎn)生故障記錄清單�����。
大多數(shù)服務都依賴其它服務��,通過進一步理解服務是如何進行的�����,會使你洞悉這個服務所依賴的其它的服務�。例如,幾乎所有的服務都依靠域名服務(DNS)�����。要給一個服務配置機器名或域名�,要靠DNS��;要想在日志文件中包含所使用服務或服務訪問過的主機名�����,要用到DNS;如果你進入一臺主機通過它的服務聯(lián)系別的機器,也要用到DNS���。同樣��,幾乎所有的服務都依靠網(wǎng)絡����,其實網(wǎng)絡也是一種服
DNS是依靠網(wǎng)絡的���,所以所有依賴DNS的服務也依靠網(wǎng)絡�����。有一些服務是依靠email的(而email是依賴DNS和網(wǎng)絡的)����,還有別的服務依靠訪問其它計算機上的共享文件,也有許多服務也依靠身份認證和授權服務來對人們進行區(qū)分�����,特別是在那些基于認證機制而又具有不同級別服務權限的環(huán)境中�。某些服務如DNS的故障,會引起所有依賴DNS的其它服務的一連串的失敗�。所以在構(gòu)建一個服務時,了解它所依賴的其它服務是非常重要的��。
作為服務一部分的機器和軟件應當依賴那些建立在相同或更高標準上的主機和軟件�,一個服務的可靠性和它所依賴的服務鏈中最薄弱環(huán)節(jié)的可靠性是相當?shù)?���。一個服務不應該無故的去依賴那些不是服務一部分的主機。
為了可靠性和安全性��,對服務器的訪問權限應當進行限制�,只有系統(tǒng)管理員才能具有訪問權限。使用機器的人和機器上運行的程序越多���,發(fā)生內(nèi)存溢出或突然出現(xiàn)其它故障、服務中斷的機會就越大���。用戶使用計算機時總喜歡多裝點東西,這樣他們就能方便的存取自己需要的數(shù)據(jù)和使用其它的服務�����。但是服務器應該是盡可能的簡單�����,簡單化可以讓機器更加可靠���,發(fā)生問題時更容易調(diào)試。服務器在滿足服務運轉(zhuǎn)正常的前提下應當安裝最少的東西���,只有系統(tǒng)管理員們具有安裝權限��,而且系統(tǒng)管理員們登錄服務器時應該也只是為了維護。從安全的角度來看,服務器比普通的臺式機更敏感��。入侵者一旦獲得了服務器的管理員權限��,他所能做的破壞比獲得臺式機管理員權限所能做的破壞大的多����!越少的人具有管理員權限,服務器運行的東西就越少�,入侵者獲得權限的機會就越小,入侵者被發(fā)現(xiàn)的機會就越大����。
系統(tǒng)管理員在構(gòu)建一個服務時必須要作幾個決策,比如從哪個廠家買設備�����、對于一個復雜的服務用一臺還是多臺服務器�、構(gòu)建服務時要留多大的冗余度。一個服務應該盡可能的簡單�����,盡可能小的依賴性�����,這樣才能提高可靠性和易維護性���。
另一個使服務易于維護的方法是使用標準硬件��、標準軟件���、標準配置以及把文件放在標準位置,對服務進行集中管理���。例如����,在一個公司中���,用一個或兩個大的主要的打印服務器比零星分布的幾百個小服務器使服務更容易得到支持����。最后�����,也是非常重要的是在執(zhí)行一些新服務時,服務所在的機器在用戶端配置時最好使用基于服務的名字���,而不是用真實的主機名,這樣服務才會不依賴于機器���。如果你的操作系統(tǒng)不支持這個功能��,那就去告訴你的操作系統(tǒng)銷售商這對你很重要����,同時要考慮是否使用別的具有這個功能的操作系統(tǒng)��。
一旦服務建好并完成了測試���,就要逐漸轉(zhuǎn)到用戶的角度來進行進一步的測試和調(diào)試�。
1.用戶的要求
建立一個新服務應該從用戶的要求開始�����,用戶才是你建立服務的根本原因�。如果建立的服務不合乎用戶的需要,那簡直就是在浪費精力�����。
很少有服務不是為了滿足用戶的需求而建立的,DNS就是其中之一�����。其它的如郵件服務和網(wǎng)絡服務都是明顯為了用戶的需求建立的����。用戶需要他們的郵件用戶端具備某些功能,而且不同的用戶想要在網(wǎng)絡上作不同是事情���,這些都依靠提供服務的系統(tǒng)設置情況��。其它的服務如電子購物系統(tǒng)則更是以用戶為導向的了�。系統(tǒng)管理員們需要理解服務怎樣影響用戶���,以及用戶的需求又如何反過來對服務的設計產(chǎn)生影響����。
搜集用戶的需求應該包括下面這些內(nèi)容:他們想怎樣使用這些新服務����、需要哪些功能�����、喜歡哪些功能���、這些服務對他們有多重要����,以及對于這些服務他們需要什么級別的可用性和技術支持。如果可能的話���,讓用戶試用一下服務的試用版本�。不要讓用戶使用那些很麻煩或是不成功的系統(tǒng)和項目���。盡量計算出使用這個服務的用戶群有多大以及他們需要和希望獲得什么樣的性能�,這樣才能正確的計算�����。
2.操作上的要求
對于系統(tǒng)管理員來說���,新服務的有些要求不是用戶直接可見的�����。比如系統(tǒng)管理員要考慮到新服務的管理界面���、是否可以與已有的服務協(xié)同操作���,以及新服務是否能與核心服務如認證服務和目錄服務等集成到一起。
系統(tǒng)管理員們還要考慮怎樣規(guī)劃一個服務��,因為隨著公司規(guī)模的增長��,所需要的服務當然也會比當初預期的有所增長�����,所以系統(tǒng)管理員們還得想辦法在增長服務規(guī)模的同時不中斷現(xiàn)存的服務���。
一個相對成熟的方法是升級服務的路徑���。一旦有了新版本,如何進行升級呢��?是否得中斷現(xiàn)在的服務呢?是否要觸及桌面呢���?能不能慢慢地逐漸升級����,在整個公司發(fā)生沖突之前先在一些人中進行測試呢�?所以要盡量把服務設計得容易升級,不用中斷現(xiàn)有的服務就能升級�����,不要觸及桌面而且能慢慢地逐漸升級�。
從用戶期望的可靠性水平以及系統(tǒng)管理員們對系統(tǒng)將來要求的可靠性的預期���,系統(tǒng)管理員們就能建立一個用戶期望的功能列表�����,其內(nèi)容包括群集�、從屬設備�����、備份服務器或具有高可用性的硬件和操作系統(tǒng)。
系統(tǒng)管理員們需要考慮到由服務主機位置和用戶位置而引起的網(wǎng)絡性能問題���。如果遠程用戶通過低帶寬����、高等待時間連接���,那這樣的服務該怎么完成呢���?有沒有一種方法可以讓各個地方的用戶都獲得好的或比較好的服務呢?銷售商很少測試用他們的產(chǎn)品連接時是否高等待時間的――即RTT值是否比較大――每個人從程序員到銷售員都忽略了這個問題�。人們只是確信內(nèi)部測試的結(jié)果。
3.開放的體系結(jié)構(gòu)
一個新服務����,不管在什么情況下,只要可能����,就應該建立在使用開發(fā)式協(xié)議和文件格式的體系結(jié)構(gòu)上。特別是那些在公共論壇上記錄成文的協(xié)議和文件格式��,這樣銷售商才能依據(jù)這些標準生產(chǎn)出通用的產(chǎn)品���。具有開放體系結(jié)構(gòu)的服務更容易和其它遵循相同標準的服務集成到一起��。
開放的反義詞是私有��,使用私有協(xié)議和文件格式的服務很難和其它產(chǎn)品共同使用��,因為私有協(xié)議和文件格式的改變可以不通知���,也不要求得到協(xié)議創(chuàng)造者的許可��。當銷售商擴展到一個新領域��,或者試圖保護自己的市場而阻止創(chuàng)造一個公平競爭的環(huán)境時��,他們會使用私有協(xié)議�����。
有時銷售商使用私有協(xié)議就是為了和別的銷售商達成明確的許可協(xié)議,但是會在一個銷售商使用的新版本和另一個銷售商使用的兼容版本之間存在明顯的延遲�����,兩個銷售商所用的版本之間也會有中斷���,而且沒有提供兩個產(chǎn)品之間的接口����。這種情況對于那些依靠它們的接口同時使用兩種產(chǎn)品的人來說,簡直是一場惡夢�。
商業(yè)上使用開放協(xié)議的例子很簡單:它使你能夠建立更好的服務,因為你可以選擇最好的服務器和用戶端軟件��,而不必被迫地選擇����,比如在選擇了最好的用戶端后,又被迫選擇不是最理想的服務器��。用戶想要那些具有他們需要的功能�����,而又易于使用的應用程序�����,而系統(tǒng)管理員們卻希望服務器上的應用程序易于管理���,這兩個要求常常是沖突的����。一般來說,或者用戶或者系統(tǒng)管理員們有更大權利私下做一個另對方驚奇的決定��。如果系統(tǒng)管理員們做了這個決定��,用戶會認為他們簡直是法西斯���,如果用戶做了這個決定��,這會成為一個難以管理的包袱�,最終使得用戶自己不能得到很好的服務�����。一個好的解決方法就是選擇基于開放標準的協(xié)議����,讓雙方都能選擇自己的軟件。這就把用戶端應用程序的選擇同服務器平臺的選擇過程分離了����,用戶自由的選擇最符合自己需要���、偏好甚至是平臺的軟件��,系統(tǒng)管理員們也可以獨立地選擇基于他們的可靠性�����、規(guī)?���?稍O定性和可管理性需要的服務器解決方案。系統(tǒng)管理員們可以在一些相互競爭的服務器產(chǎn)品中進行選擇�����,而不必被囿于那些適合某些用戶端應用程序的服務器軟件和平臺����。在許多情況下,如果軟件銷售商支持多硬件平臺�����,系統(tǒng)管理員們甚至可以獨立地選擇服務器硬件和軟件����。
我們把這叫做用戶選擇和服務器選擇分離的能力�����。開放協(xié)議提供了一個公平競爭的場所��,并激起銷售商之間的競爭�,這最終會使我們受益��。
開放協(xié)議和文件格式是相當穩(wěn)定的����,不會經(jīng)常改動(即使改動也是向上兼容的),而且還有廣泛的支持����,能給你最大的產(chǎn)品自主選擇性和最大的機會獲得可靠的、兼容性好的產(chǎn)品����。
使用開放系統(tǒng)的另一個好處是和其它系統(tǒng)連接時不再需要額外的網(wǎng)關。網(wǎng)關是不同系統(tǒng)能連接在一起的黏合劑����。雖然網(wǎng)關能節(jié)省你的時間,但使用開放協(xié)議的系統(tǒng)徹底避免了使用網(wǎng)關���。網(wǎng)關作為一項額外的服務也需要計劃����、設計����、監(jiān)測以及本章所講的其它關于服務的每一樣東西,減少服務可是一件好事���。
當下次有銷售人員向你推銷一些忽略IETF(因特網(wǎng)工程任務組)標準和其它工業(yè)標準的產(chǎn)品�,如日歷管理系統(tǒng)�、目錄服務等的時候,想想這些教訓吧��!雖然銷售商會承諾再賣給或者免費送給你性能優(yōu)越的網(wǎng)關產(chǎn)品�����。使用標準協(xié)議就是使用IETF的標準���,而不是銷售商的私有標準�,銷售商的私有協(xié)議以后會給你帶來大麻煩的���。
4."簡單"的價值
在建立一個新服務時��,簡單是首先要考慮的因素���。在能滿足所有要求的解決方案中�,最簡單的才是最可靠�、最容易維護、最容易擴展以及最易于和其它系統(tǒng)集成到一起的���。過度復雜將導致混亂���、錯誤、使用困難以及明顯的運行速度下降�,而且使安裝和維護的成本增加。
當系統(tǒng)規(guī)模增長的時候�,還會變得更復雜,這是生活常識��。所以��,開始盡可能的簡單可以避免系統(tǒng)過早出現(xiàn)"太復雜"的情況�。想一想,如果有兩個銷售人員都打算推銷他們的系統(tǒng),其中一個系統(tǒng)有20個功能���,另外一個有40個功能�����,我們就可以認為功能多的軟件可能會有更多的錯誤,它的銷售商就更難以有時間維護他的系統(tǒng)代碼���。
有時�,用戶或系統(tǒng)管理員們的一兩個要求就會使系統(tǒng)的復雜度增加很多���。如果在設計階段遇到這樣的要求��,就值得去尋找為什么會有這種要求�,并估價其重要性�����,然后向用戶或系統(tǒng)管理員們解釋��,這樣的要求能夠滿足�����,但要以降低可靠性、支持水平和可維護性為代價��。根據(jù)這些�����,再讓他們重新決定是堅持這樣的要求��,還是放棄�����。
三���、其它需要考慮的問題
建立一個服務除了要求可靠���、可監(jiān)測、易維護支持�,以及要符合所有的我們基本要求和用戶的要求外,還要考慮到一些特別的事情����。如果可能的話����,應該讓每個服務使用專門的機器��,這么作可以讓服務更容易得到支持和維護��,也能減少忘記一些服務器機器上的小的服務的機會����。在一些大公司����,使用專門的機器是一條基本原則,而在小公司���,由于成本問題�����,一般達不到這個要求���。
還有一個觀念就是在建立服務時要以讓服務完全冗余為目標。有些重要的服務不管在多大的公司都要求完全冗余�����。由于公司的規(guī)模還會增長,所有你要以讓所有的服務都完全冗余為目標���。
1.使用專門的機器
理想的情況��,服務應該建立在專門的機器上����。大網(wǎng)站應該有能力根據(jù)服務的要求來調(diào)整到這個結(jié)構(gòu)�����,而小網(wǎng)站卻很難做到�����。每個服務都有專門的機器會使服務更可靠����,當發(fā)生可靠性問題是也容易調(diào)試,發(fā)生故障的范圍更小��,以及容易升級和進行容量計劃�����。
從小公司成長起來的大網(wǎng)站一般有一個集中管理的機器作為所有重要服務的核心,這臺機器提供名字服務�����、認證服務����、打印服務、郵件服務等等�。最后,由于負荷的增長���,機器不得不分開,把服務擴展到別的服務器上去����。常常是在這之前,系統(tǒng)管理員們已經(jīng)得到了資金����,可以買更多的管理用的機器,但是覺得太麻煩�,因為有這么多的服務依賴這機器���,把它們都分開太難了。當把服務從一臺機器上分開時���,IP地址的依賴最難處理了�,有些服務如名字服務的IP地址都在用戶那里都已經(jīng)記得很牢固了�����,還有一些IP地址被安全系統(tǒng)如路由器�����、防火墻等使用�。
把一個中心主機分解到許多不同的主機上是非常困難的,建立起來的時間越長����,上面的服務越多,就越難分解��。使用基于服務的名字會有所幫助��,但是必須整個公司都使用標準化的�、統(tǒng)一的���、始終如一的名字。
2.充分的冗余
充分的冗余是指有一個或一系列復制好的服務器���,能在發(fā)生故障的時候接管主要的故障設備�����。冗余系統(tǒng)應該可以作為備份服務器連續(xù)的運行�����,當主服務器發(fā)生故障時能自動連上線�,或者只要少量的人工干預�����,就能接管提供服務的故障系統(tǒng)����。
你選擇的這類冗余是依賴于服務的���。有些服務如網(wǎng)頁服務器和計算區(qū)域�����,可以讓自己很好的在克隆好的機器上運行�����。別的服務比如大數(shù)據(jù)庫就不行��,它們要求連接更牢固的崩潰恢復系統(tǒng)�����。你正在使用的用來提供服務的軟件或許會告訴你���,冗余是以一種有效的�、被動的���、從服務器的形式存在的��,只有在主服務器發(fā)生故障并發(fā)出請求時�,冗余系統(tǒng)才會響應��。不管什么情況��,冗余機制必須要確保數(shù)據(jù)同步并保持數(shù)據(jù)的完整。
如果冗余服務器連續(xù)的和主服務器同步運行�����,那么冗余服務器就可以用來分擔正在正常運行的負荷并能提高性能�。如果你使用這種方法,一定要注意不要讓負荷超出性能不能接受的臨界點���,以防止某個服務器出現(xiàn)故障����。在到達臨界點之前要為現(xiàn)存系統(tǒng)增加更多的并行服務器���。
有些服務和網(wǎng)站每時每刻的功能都集成在一起�����,所以它們在網(wǎng)站建立的早期就做到充分冗余了���。別的仍然被忽視���,直到網(wǎng)站變得很大�,出現(xiàn)了一些大的、明顯的故障���。
名字服務和認證服務是典型的���、首先要充分冗余的服務。這么做的部分原因是軟件就是設計得要有輔助服務器�,部分原因是它確實很重要。其它重要的服務如郵件服務����、打印服務和網(wǎng)絡服務,在以后才能被考慮到�,因為要為它們作完全冗余會更復雜而且很昂貴。
在你做每一件事的時候���,都要考慮到在哪兒作完全冗余才能讓用戶最受益�,然后就從那兒開始吧�����。
冗余的另一個好處就是容易升級���?�?梢赃M行滾動升級����。每次有一臺主機被斷開、升級���、測試然后重新開始服務����。單一主機的故障不會停止整個服務�����,雖然可能會影響性能�����。如果你真的搞雜了一個升級那就關掉電源等你冷靜下來再去修它�����。
