序論:在您撰寫計算機網絡分析論文時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情�,引導您走向新的創作高度�。
第1篇
擴展。
關鍵詞電子商務企業信息系統計算機網絡InternetExtranetIntranetXML
電子商務是當前信息技術高速發展的一個綜合結果,信息技術的發展不斷地改變著系統的結構和運行規則,使企業的管理運營模式發生了巨大的改變�����。傳統的商業企業如何有效利用新興技術,變革現有的運作方式,是值得思考的問題����。
1面向電子商務的信息系統的結構
電子商務技術的發展,使企業各種對外的業務活動已經延伸到了Internet上���。企業新一代的管理系統應當支持Internet上的信息獲取及網上交易的實現,并從企業的實際出發設計滿足電子商務環境下的管理模式����。根據支持功能的不同,面向電子商務的信息系統可分為三個層次,即基于Intranet的信息系統,實現企業內部的信息交流;基于Extranet的信息系統,把企業與合作伙伴、供應商�、批發商���、銀行等聯系起來;基于Internet的信息系統,把全世界與企業有關的一切方面聯系起來���。
1.1基于Intranet的內部信息系統Intranet是以Internet技術為基礎存在于一個或者多個由安全或虛擬網絡連接在一起的防火墻之后的一些基于IP的節點組成的企業內部網,它以TCP/IP為其通信技術��、HTTP為信息傳輸協議,利用Internet的WWW模式作為標準平臺,同時利用“防火墻”的特殊安全軟件把內部網與Internet隔開����。企業內部的員工能夠方便地進入Intranet,但未經授權的用戶不得進入Intranet�。雖然基于In-tranet的信息系統功能與傳統的MIS相同,它們都是一個封閉的系統,只面向本企業內部,使用計算機聯系企業各個部門,完成企業的管理工作,但由于使用的技術不同,使得它具有傳統信息系統所無法比擬的優勢,主要表現在:連通了企業內部的各個環節,通過整合企業研發����、采購、生產�、庫存����、銷售��、財務�����、人力資源等管理信息資源,強化業務流程管理。使企業內部實現信息共享,增強溝通,簡化工作流程,促進科學決策,提高企業運轉效率����。
1.2基于Extranet的外部信息系統Extranet是采用Inter-net和Web技術創建的企業外部網,它是Intranet的外部延伸,其功能是在保證企業核心數據安全的前提下,賦予Intranet外部人員訪問企業內部網絡信息和資源的能力�?;贓xtranet的信息系統的服務對象既不限于企業內部的結構和人員,也不完全對外服務,而是有選擇地擴大至與本企業相關聯的供應商、商和客戶等,實現相關企業間的信息溝通�。過去EDI是實現企業間信息交流的主要手段,但由于EDI主要是通過專用網絡傳輸的,因此主要應用于規模較大的企業之間�?��;贓x-tranet的外部信息系統由于應用了Internet網絡,克服了EDI網絡費用非常昂貴的缺點,使中小企業也可以加入到企業間的合作中,給中小企業的發展提供了良好的機會�。另外,EDI是通過標準的貿易單證來完成企業間計算機之間的通信,而Extranet采用的是Web技術,一個企業的操作人員登錄到另一個企業的主頁上,通過填寫網頁上的單證完成交易,因而更加方便、靈活和直接����。
1.3基于Internet的信息系統Internet是電子商務的基礎,也是網絡的基礎和包括Intranet和Extranet在內的各種應用的集合�����。企業通過Internet的WWW實現全球信息的共享,從而構成了一個電子世界(E-world)�。在這樣一個電子世界里,人們通過電子手段進行電子商務(E-Commerce)。已在國際貿易和市場營銷中得到普遍應用的EDI(ElectronicDataIn-terchange)就是EC的一個例證。不僅如此,隨著電子世界和電子商務的發展,一種全新的企業合作關系,虛擬組織(virtualcor-poration)出現了。在“虛擬組織”中,企業間可以完全沒有實物的聯系而建立一種實時的市場需求而產生的相互受益的合作關系。這種多變的動態組織結構把全球范圍的包括人在內的各種資源集成在一起,實現技術���、管理和人的集成,因而能對市場需求快速響應。可以預見,未來的競爭是虛擬企業這種利用信息技術打破時空間隔的新型公司間的競爭���。Internet對于企業的意義在于它快捷的信息傳輸速度和網絡插接能力縮短了企業同世界和同市場的距離,把企業的視野和能力從區域擴大到全球。網絡化信息系統使得信息在合作企業間自由流動,使“虛擬組織”的功能得以實現。
2面向EC的企業信息系統的建設
2.1建立有效的商務處理界面是企業信息系統建設的關鍵在電子商務時代,基于Internet�����、Extranet和Intrarnet的網絡化信息系統,是企業實現其競爭性戰略的基礎���。建設面向EC的企業信息系統,關鍵在于建立有效的商務處理界面��。商業流通領域中標準電子商務界面缺乏,給制造商��、分銷商、零售商以及最終用戶造成了巨大的額外開銷。最終導致工作效率的低下,也嚴重阻礙了利用Internet作為實現B2B(企業對企業)電子商務工具的能力����。因此,通過互聯網實現企業效率的大幅提高,已經成為各公司越來越關注的問題��。過去,MRPII(物料需求計劃,現稱為制造資源計劃)、ERP(企業資源規劃)一直是大公司提高內部效率的有效手段。但是ERP�����、MRPII或者企業MIS系統有各種各樣的供應商,各軟件開發企業又有各自獨立的系統結構和接口標準��。所以,這些系統相對來說是獨立的系統,各方無法進行有效的溝通�。對商業企業來說,面臨相同的問題�����。實現商業POS系統和企業ERP系統相連,對大多數商業企業來說可能是一件簡單的事情,但如果要進一步提高效率和面對來自新興企業的挑戰,許多企業日益覺得舊有的系統已不能滿足互聯網時代的需要,迫切需要尋求解決之道。信息技術的飛速發展促進了新一代技術的產生和進步���。目前我們還沒有投入足夠的時間和精力建立一套能共同使用的、規范整個商業流通領域的標準����。由于新的數字化經濟引起的深刻變化,以及在整個經濟中信息技術所占比重的增加,建立一個供應鏈中各貿易伙伴之間行之有效的商務處理界面己成為一個非?,F實的問題��。
2.2XML提供了對舊系統集成與擴展的條件互聯網向我們提供了無限的獲得在線信息和服務的機會����。然而,構成這些網頁信息的HTML代碼所代表的實際信息,對計算機系統來說,理解上是很難的,更不用說自動處理了。信息技術的發展,使得我們有了XML(可擴展標記語言)�����。通過采用科學的結構設計和語義學,使得不同的計算機系統能容易地理解對產品和服務信息進行的編碼,并加以自動化處理����。不同的企業可以使用XML來不同的信息,從產品目錄到航線預定,從股市報告到銀行資產綜述,甚至可以直接訂單,預訂貨物,安排裝運。通過減少每個客戶和供應商之間的定制接口的需求,XML將使買家能在不同的供應商和目錄形式中比較產品,同時供應商只要一次性提供他們的產品目錄信息,就能適用于所有的潛在買家。XML突破以往技術的局限性,真正意義上為供應鏈中的
制造商�����、分銷商�����、零售商及最終用戶提供了一個溝通無限的空間����。
對于那些希望重新集成并擴展原有系統的企業而言,可通過XML來實現對舊系統的集成與擴展�。XML代表了一個開放的標準,這個標準使得交易數據可在服務器之間或服務器與瀏覽器之間流暢地傳輸�。相對于EDI(電子數據交換標準),XML是一個元數據標準,因此它可以非常靈活地根據不同系統的各種需求進行定義。
在過去,由于不同行業的性質,不同行業的企業的數據庫系統使用的是不同的規則,因此,很多情況下數據在不同企業的服務器或瀏覽器上是不可讀的,雖然在某些行業有一部分的EDI系統,但因其適用性差和應用成本高等原因,很難有大的發展����。如今XML的靈活性及強大能力使得它能實現行業內和各種不同行業之間進行的各種交易����。一旦XML為不同行業標準接納并大規模使用,這些行業將會從整體行業效率的提高中獲得巨大的收益����。當傳統的交易方式真正在網上實現的同時,它也將現實世界中的交易各方緊密聯系在一起。美國在這方面領風氣之先,早期的標準反映了這一點?���,F在W3C(TheWorldWideWebConsortium)和聯合國都在致力于使這些標準國際化,特別是致力于其在歐洲的推廣應用��。
2.3XML可向用戶提供一攬子的解決方案現在,隨著XML標準的逐漸完善和推廣,眾多的互聯網及電子商務公司正在有效地利用這一企業間電子商務的基本標準,建設越來越多的基于XML的電子商務系統。尤其致力于結合中國企業的特點,應用業界最新技術標準,幫助中國企業實現安全迅捷可靠的實時在線交易,向用戶提供基于開放標準的一攬子解決方案��。這些基于XML的解決方案的特點是:
a.企業間的緊密集成����。基于XML的B2B解決方案使得同一行業或不同行業的企業之間實現流暢的溝通,緊密集成供應鏈中的采購方���、制造方、運輸方��、倉儲企業�����、營銷企業等����。
b.擴展性和可伸縮性�����。由于基于開放性的平臺可運行于各種系統下,模塊化設計易于根據客戶需求而定制。
c.保護已有投資。企業現有的ERP�����、MRPII或MIS系統將是實行企業電子商務的基礎,在現有系統基礎上實現電子商務,做到資源的再利用���。
d.連接企業網站�����、ERP系統��、數據庫等的易用方案����。緊密集成企業網站,企業內部數據庫及ERP系統,各部門����、特別是跨地區的分部可在授權范圍內完成本企業產品銷售數據動態反饋、市場調研與分析��、財務報告�、生產庫存管理等方面的交流,使企業的生產、運營��、管理效率大大提高,對市場的反應更加迅速靈活�。
e.增強客戶服務功能。通過Internet上24/7運作的呼叫中心����、網上實時幫助等手段,企業大大增強客戶服務能力,迅捷地對客戶要求做出反應����。超級秘書網
3結語
誠然,到目前為止Internet技術與網絡技術仍在發展之中,要在全世界普遍地將其應用于經濟生活還有許多方面諸如安全性�、可測試性���、可靠性和經濟性有待提高和完善�。此外,與網絡交易配套的諸如工商管理、稅收和法律等方面的立法和規則也必須相應跟上。盡管XML仍處在不斷地完善及日益成熟的過程中,管理與法律問題各國也正在研究,企業信息系統突破企業的界限向網絡化方向發展已成為不可逆轉的大趨勢。
參考文獻
1方美琪.電子商務概論.北京:清華大學出版社,1999
2曾凡奇,林小蘋,鄧先禮.基于Internet的管理信息系統.北京:中國財政經
濟出版社,2001.
3趙林度.電子商務理論與實務.北京:人民郵電出版社,2001
4肯尼思·C·勞頓等.信息系統與Internet(英文版).北京:機械工業出版社,
1999.
第2篇
信息安全的內涵隨著信息技術的不斷發展而得到了擴展�,從原始的保密性逐漸增加了完整性���、可控性及可用性等����,最終形成的集攻擊�、防范、檢測與控制、管理���、評估等與一體的理論體系。傳統的信息安全技術將注意力都集中在計算機系統本身的安全方面,針對單機系統環境而進行設置�,不能夠對計算機網絡環境安全進行良好的描述�����,也缺乏有效應對動態安全問題的措施。隨著計算機網絡的不斷發展與推廣,互聯網逐漸具備了動態變化性��,而傳統的靜態安全模式已經不能夠滿足其安全要求了���。在這種背景之下����,信息安全體系結構的出現更好地滿足了計算機網絡的安全需求,因此得到了迅速的發展與推廣�。信息安全體系結構的思路為:通過不同安全防護因素的相互結合實現比單一防護更加有效的綜合型防護屏障�,這種安全防護體系結構能夠更好地降低黑客對計算機網絡的入侵與破壞�����,確保計算機網絡安全。
計算機網絡的信息安全體系結構的主要作用就是為信息保障���、數據傳遞奠定堅實的基礎。隨著計算機網絡所面臨的風險與壓力的不斷增大���,為了能夠更好地確保信息安全,必須注重計算機網信息安全體系結構完整性����、實用性的提高����。在科技的不斷發展與進步的基礎之上����,提出了計算機網絡信息安全體系結構——WPDRRC結構,不同的字母代表不同的環節�,主要包括warnin(g預警)����、protect(保護)、detectio(n檢測)�、respons(e響應)����、restor(e恢復)����、counterattac(k反擊)六個方面,各個環節之間由于時間關系而具有動態反饋的關系�����。在計算機網絡的信息安全體系結構中��,預警模塊、保護模塊與檢測模塊都是以預防性為主的���,通過保護與檢測行為對黑客入侵計算機進行較為有效的制止。當前�����,雖然計算機網絡信息安全技術已經比較先進�����,但是由于計算機網絡所具有的開放性��,其安全性依舊是面臨一定威脅的。因此�����,在計算機網絡的信息安全體系結構中�����,響應模塊���、恢復模塊與反擊模塊主要的作用是解決實質性的工作��,對已經出現的各種安全問題進行有效地解決,確保計算機網絡信息安全����。
1.1warnin(g預警)整個計算機網絡的信息安全體系結構中����,預警模塊是最為根本的所在�,主要的作用是對計算機網絡的信息安全進行診斷���,該診斷具有預防性�����。同時���,預警結構通過研究計算機網絡的性能����,提出具有科學性與合理性的評估報告����。
1.2protect(保護)保護結構主要的作用是對計算機的信息安全系統提供保護,確保計算機網絡在使用過程中的安全性,有效地封鎖、控制外界對計算機網絡的入侵及攻擊行為。保護結構能夠對計算機網絡進行安全設置,實現對計算機網絡的檢查與保護�,其檢查與保護工作的重點內容就是網絡總存在的各種可能被攻擊的點或者是存在的漏洞����,通過這些方式為信息數據在計算機網絡中的安全�、通暢應用提供條件。
1.3detectio(n檢測)計算機網絡的信息安全體系結構中的檢查結構主要的作用是對計算機受到的各種攻擊行為進行及時、準確的發覺����。在整個信息安全體系結構中��,檢測結構具有隱蔽性�,主要的目的是防止黑客發現并惡意修改信息安全體系結構中的檢測模塊���,確保檢測模塊能夠持續為計算機網絡提供保護��,同時還能夠促進檢測模塊自身保護能力的提高。檢測模塊一般情況下需要與保護模塊進行配合應用,從而促進計算機網絡保護能力與檢測能力的提高。
1.4respons(e響應)當計算機網絡信息安全體系結構中出現入侵行為之后����,需要及時通過凍結措施對計算機網絡進行凍結��,從而防止黑客的入侵行為進一個侵入到計算機網絡中。同時,要通過相應的響應模塊對入侵進行響應。例如,計算機網絡信息安全體系結構中可以通過阻斷響應系統技術實現對入侵及時、準確的響應,杜絕黑客對計算機網絡更加深入的入侵行為����。
1.5restor(e恢復)計算機網絡信息安全體系結構中的恢復模塊主要的作用是在計算機網絡遭受到黑客的攻擊與入侵之后�,對已經損壞的信息數據等進行及時的恢復���。在對其進行恢復的過程中�,主要的原理為事先對計算機網絡中的信息文件與數據資源進行備份工作,當其受到攻擊與入侵之后通過自動恢復功能對其進行修復。
1.6counterattac(k反擊)計算機網絡信息安全體系結構中的反擊模塊具有較高的性能���,主要的作用為通過標記跟蹤功能對黑客的入侵與攻擊進行跟蹤與標記,之后對其進行反擊�。反擊模塊首先針對黑客的入侵行為進行跟蹤與標記�����,在此基礎上利用偵查系統對黑客入侵的方式、途徑及黑客的地址等進行解析���,保留黑客對計算機網絡進行入侵的證據。與此同時��,反擊模塊會采用一定的反擊措施��,對黑客的再次攻擊進行有效的防范���。
2計算機網絡信息安全體系結構的防護分析
當前����,在對計算機網絡信息安全體系結構進行防護的過程中�����,較為常用的就是WPDRRC結構,其主要的流程包括攻擊前防護�����、攻擊中防護與攻擊后防護三個方面�����。
2.1信息安全體系結構被攻擊前防護工作在整個的計算機網絡中��,不同的文件有著不同的使用頻率,而那些使用頻率越高的文件就越容易受到黑客的攻擊����。因此�����,信息安全體系結構的被攻擊前防護工作的主要內容就是對這些比較容易受到黑客攻擊的文件進行保護,主要的保護方式包括防火墻��、網絡訪問控制等��。通過WPDRRC結構對其中存在的威脅因素進行明確����,有針對性地進行解決措施的完善��。
2.2信息安全體系結構被攻擊中防護工作當計算機網絡受到攻擊之后���,信息安全體系結構的主要防護工作為阻止正在進行中的攻擊行為�����。WPDRRC結構能夠通過對計算機網絡系統文件的綜合分析對正在進行中的攻擊行為進行風險,同時能夠對計算機網絡中各個細節存在的變動進行感知�����,最終對黑客的攻擊行為進行有效的制止�。
2.3信息安全體系結構被攻擊后防護工作當計算機網絡受到攻擊之后,信息安全體系結構主要的防護工作內容為對計算機網絡中出現的破壞進行修復�����,為計算機網絡的政策運行提供基礎���。同時�����,恢復到對計算機網絡信息安全的保護中�。
3計算機網絡信息安全體系結構中加入人為因素
IT領域中都是以技術人員為主體來對產業雛形進行構建的�,因此在IT領域中往往存在著及其重視技術的現象,主要的表現為以功能單純而追求縱向性能的產品為代表���,產品的覆蓋范圍限制在技術體系部分,缺乏對組織體系���、管理體系等其他重要組成部分的重視。因此�,只有在計算機網絡信息安全體系結構中加入人為因素才具有現實意義����。在計算機網絡信息安全體系結構的構建過程中���,應該注重以組織體系為本����,以技術體系為支撐����,以管理系統為保證,實現三者之間的均衡,從而真正發揮計算機網絡信息安全體系結構的重要作用��。
4總結
第3篇
1.1網絡信息安全定義
不同的用戶對網絡信息安全的定義有所不同��,作為普通用戶���,我們希望自己的個人信息不被竊??�;在國家層面上�����,信息安全就是杜絕一切需要保密的信息外泄。
1.2網絡信息安全模型
根據TCP/IP協議,網絡安全體系應保證物理層的比特流傳輸的安全��;保證介質的訪問和鏈路傳輸的安全的鏈路安全���;保證被授權客戶使用服務的網絡層安全�����;保證客戶資料和操作系統訪問控制安全的會話層安全�����;利用多種技術增強計算機應用軟件安全的應用平臺安全和為用戶服務的應用系統安全。如圖所示:圖1 體系層次模型1.3網絡信息安全的脆弱性網絡信息安全的脆弱性如下:1)由于程序員設計程序時考慮不全面或者故意設置的后門;2)廠家設置參數時由于疏忽大意而產生的錯誤設置;3)TCP/IP協議為了注重開放性而產生的不可避免的安全缺陷���;4)用戶在使用過程中�����,由于疏忽而導致數據輸入錯誤而產生的安全缺陷����;5)由于意外而出現的運行錯誤;6)Internet自身的安全缺陷�����。
2網絡信息安全的主要技術
2.1防火墻技術
簡單實用����、不需要修改原有的網絡應用系統下能達到一定安全要求的防火墻是網絡安全的主要技術之一,它既能過濾流出的IP包,同時也能屏蔽外部危險的IP�,從而保護內部的網絡����。防火墻最大的特點是可以過濾所有由外到內和由內到外的數據���,只有符合要求的數據包才能被防火墻放行��,不符合的數據包都被防火墻屏蔽���,并且防火墻自身具有防侵入的功能�。但需要說明的�����,防火墻的安裝的前提是公司或者企業對于內外網絡連接中需要數據保護功能����,而對于公司或者企業內網則需要用其他方式來實現���,因為防火墻由于需要過濾內外數據���,而使網絡信息傳輸速度變慢�。對于用戶來說�,常使用非常方便和實用的防止電腦中的信息被侵襲的個人防火墻技術,個人防火墻能有效的監控及管理系統��,防止病毒�、流氓軟件等通過Internet進入自己的電腦或者自己電腦中的信息在無意中向外擴散。
2.2數據加密技術
在信息時代�,信息既能幫助大家��,也能威脅大家,甚至造成破壞����,比如存在競爭的公司和企業間��,信息的泄露造成的損失會很大,所以就需要一種強有力的技術對數據進行保護�,防止信息數據被盜或者被篡改��,而且對數據進行加密或者解密的操作比較簡單,便于掌握����。數據加密技術通過加密和解密的操作限制除合法使用者以外的人獲取信息數據��,對信息進行保護。利用一個密匙進行加密和解密的對稱加密技術和利用配對的“公匙”和“私匙”進行加密和解密的非對稱加密技術是目前最常用的加密技術��。
2.3訪問控制技術
我們知道���,在網絡中����,登錄時通常是中身份驗證的方法��,但是����,進入網絡后用戶能做什么����?權限有哪些?這些是訪問控制技術需要解決的問題。訪問控制技術既能阻止無權限的用戶訪問資源�����,對資源進行保護;也能設置機制允許被授權者訪問限定資源���。作為信息安全保障機制核心內容的訪問控制能有效的對資源進行保護,它是信息安全保護中最基礎的機制也是最重要的安全機制��。
2.4虛擬專用網技術
目前����,既是最新也是最成功的解決信息安全的技術之一就是虛擬專用網技術,這種技術在數據傳輸中進行加密和認證����,使用起來成本既低于傳統的專線方式又安全性較高���。虛擬專用網應用范圍很廣���,我們通常在家里用的撥號上網以及在辦公室辦公時用的內網都屬于虛擬專用網����,由于VPN比較復雜���,安全性增強���,通過加密和認證使VPN有效保護了信息資源�。
2.5安全隔離技術
我們知道��,由于計算機技術的不斷發展�、創新�,現在新型的網絡攻擊應運而生,這就需要開發高安全性的防新型網絡攻擊的技術,而安全隔離技術是把危險的信息資源隔離在外面同時保證內網的安全����。
2.6身份認證技術
在我們登錄QQ��、微信、百度文庫、淘寶及需要注冊成會員的頁面都需要用戶名和密碼�����,只有輸入正確的用戶名和密碼��,我們才能進入頁面�����,有的地方或者頁面需要語音、虹膜等生物特征認證才能進入等����,這種需要認證才能進入的技術就是身份認證技術�����,它的本質是通過只有被認證方自己知道的信息來使認證方認證被認證方的身份����。身份認證技術有兩種:密碼認證和生物特征認證。密碼認證方式主要是通過用戶名和密碼來實現的�,認證方發放給有權限的用戶口令��,用戶輸入用戶名和密碼后,認證方通過后臺核對被認證方的口令是否正確���,如果正確,用戶就可以進入登錄頁面使用某些功能�。認證方式方便可行����,但是它的安全性主要取決于用戶設置的密碼的長度��、復雜度和用戶對密碼的保密程度����,這就容易遭到猜測軟件的攻擊,只要攻擊方獲取了用戶的密碼����,用戶的信息和資源就泄露了��,最好的解決方法就是用戶將自己的口令加密。生物特征認證相對于密碼認證要安全的多��,它是計算機利用人生理和行為特征上的唯一性進行身份認證���,就像現在很多企業和公司進行考勤形式一般都是采用指紋�����、虹膜�、視網膜等進行電子考勤���。有一些單位在保密權限上錄入聲音�、步態等特征進行身份識別�,這種利用人生理和行為特征的唯一性進行考勤的優點是不會產生遺忘密碼的情況并且防偽性很高,安全性很高�。
3常見的網絡攻擊方法以及防范策略
3.1網絡攻擊概念簡述
我們知道程序員在書寫程序時由于疏忽或者處于某種原因自留后門����,這些都會產生漏洞�,網絡攻擊者就通過這些漏洞進行網絡攻擊。那么�,哪些屬于網絡攻擊呢���?眾所周知����,Internet是個開放性的網絡環境��,網絡攻擊者通常通過漏洞進入用戶的計算機中盜取用戶的個人信息�����、銀行密碼、用戶進入系統的權限或者破壞數據等造成系統不能正常發揮功能�;互聯網在傳輸信息數據時依據的是TCP/IP協議�,而這些協議在數據信息傳輸過程中保護功能不足�,容易遭到入侵者攻擊;我們的電子郵件信息不如傳統的信件那樣有郵票�、郵戳���、信封等保護措施���,我們有時無法判斷我們郵件是否真實���、是否存在被篡改�、是否誤投�����、是否偽造等,這就使我們在傳輸重要郵件時容易別攻擊,產生泄密事件�,并且���,一些計算機病毒也通常通過郵件傳播���,使我們的電腦遭到攻擊��,丟失重要信息數據。攻擊者常常通過隱藏自己的IP信息來尋找要攻擊的主機并設法獲取賬號和密碼,進入主機后獲取控制權盜取用戶的個人資料和網絡資源以及特權,達到自己的攻擊目的���。
3.2網絡攻擊常用方法及預防策略
1)利用型攻擊:主要是攻擊者企圖進入你的計算機并對你的計算機進行控制。這種攻擊類型的防御側策略如下:(a)設置多種符號組成的比較復雜的口令用來阻止攻擊者進行口令猜測,同時���,如果你的服務有鎖定功能,要進行鎖定。(b)一旦發現程序可疑�����,一定不要下載���、不要執行并安裝木馬防火墻進行隔離木馬。(c)要定時更新系統,防止緩沖區溢出�����。2)信息收集型攻擊:主要是攻擊者為了進一步攻擊而進行收集信息的攻擊行為�,它主要包括掃描技術、利用信息資源服務以及系統體系架構進行刺探三種攻擊方式���。對于這三種行為的防御策略分別如下:(a)對于掃描技術的防御主要是通過防火墻技術阻隔掃描企圖和過濾Icmp應答。(b)對于利用信息服務的防御主要是通過防火墻過濾請求或者過濾掉地址并阻斷刺探內部信息的LDAP并做相應的記錄�。(c)對于體系結構探測的防御是去掉或修改計算機運行過程中出現的各種banner�,對用于識別的端口進行阻斷從而達到擾亂攻擊者的攻擊計劃���。3)假消息攻擊:主要是攻擊者利用不正確的信息實施的攻擊方法���,它通常有兩種攻擊方式�����,分別是通過DNS服務器進行攻擊和利用偽造郵件進行攻擊。針對這兩種攻擊方法采取的策略分別如下:(a)對于DNS服務器進行攻擊的防御策略是利用防火墻過濾入站的DNS更新,阻斷DNS污染���。(b)對于偽造郵件進行攻擊的防御策略是使用安全工具和電子郵件證書進行隔離帶木馬病毒的電子郵件,并且對于不認識的垃圾電子郵件一概不點開,從而防止木馬病毒的入侵。4)網頁攻擊:在我們瀏覽網頁時會被網頁內嵌套的代碼程序強行改變我們的默認網頁并修改我們的注冊表等信息����,破壞計算機中的數據信息甚至格式化我們的電腦硬盤��。它通常有兩種攻擊方式,分別是以破壞系統為目的的攻擊windows系統和強行修改我們的IE瀏覽器���。下面對我們使用計算機過程中常出現的網頁攻擊方式及應對策略進行分析:(a)強行修改我們的默認首頁對應策略:由于修改默認網頁需要修改注冊表,我們只要把我們的注冊表修改過來就可以了���。(b)格式化硬盤對應策略:這是一種很惡意的網頁攻擊,一般操作在后臺,我們很難發現�,這就要求我們要及時升級微軟的安全補丁來及時修補系統的漏洞��,阻隔攻擊者的攻擊。(c)網頁炸彈應對策略:網頁炸彈其實就是一個死循環,我們平時在瀏覽網站時,一定不要輕易進入不了解的網站和不要輕易打開陌生人發來的郵件附件��。(d)文件被非法讀取 此攻擊通過代碼調用腳本來讀取文件或者利用IE漏洞非法讀取本地文件�。應對策略:通過提高我們瀏覽器的安全級別和禁用JavascriP來阻隔攻擊者的攻擊。
3.3計算機病毒
為了便于大家自己的電腦是否中病毒,下面把電腦中病毒的主要癥狀描述如下:1)電腦的運行速度明顯變慢��。2)電腦的存儲容量突然變小�����。3)開機明顯變得特別慢���。4)電腦中的文件大小突然變大。5)電腦經常無緣無故的死機���。6)電腦的屏幕異常顯示。7)鍵盤輸入時出現異常����。8)文件突然不能讀取并復制不了����、打開不了���。9)文件的日期等屬性突然發生改變了���。10)電腦的時間顯示時倒轉運行�����。11)不斷要求用戶重復輸入密碼���。12)運行過程中系統突然重啟�����。當我們發現電腦中病毒了,我們應采取什么措施進行清理病毒呢�����?首先,我們要養成安裝可靠殺毒軟件并定時更新的習慣�����。其次��,我們要定時清理我們的電腦,清除碎片����。再次����,我們要養成健康的用電腦方式和方法����,盡量少雙擊鼠標,多用鼠標點擊右鍵打開文件�����。
3.4網絡攻擊的應對策略
第4篇
要進行一項統計工作�����,首先�,必須進行統計設計���。我們已經把這一工作分配給了統計部門局域網內部相應的計算機來完成�。其次,要進行資料的收集整理�����。在我們上面建立的統計體系中��,由上級部門設計好統計調查表單��,下級部門如實填寫好后���,通過逐層上報的方法傳送給對應網站�����。最后���,通過DEC進行數據處理�。這是一種最常用的統計資料的收集和整理辦法���,它與傳統的統計報表制度有許多類似之處���。實際上�,隨著互聯網技術的迅速發展,統計資料的收集方式越來越朝著多元化的方向發展。以下四種應用比較廣泛的網上統計調查方法是作為對上述方法的補充手段:1、電子郵件法;2����、隨機IP地址調查法����;3�����、直接站點調查法�;4�����、網絡視迅會議法。
二�����、網絡統計信息的安全問題
我們所講的統計信息安全,一是指統計信息網絡系統的硬件�、軟件及其系統的數據得到保護���,不因偶然的或者惡意的原則而遭到破壞����、更改����、泄露,系統能夠連續、可靠、正常地運行,網絡服務不會中斷;二是保證各統計部門的數據及個人資料��、商業秘密在網絡上傳輸的保密性���、安全性��;三是保證網
本文由/整理頁順利及網上內容不被隨意更改���。網絡時代的統計信息具有保密性和完整性的特點��,保密性是指統計信息及統計數據不泄露給非授權用戶及實體,或供其利用�。
網絡統計信息安全面臨的主要威脅有:
1����、系統的不安全因素
在系統不安全因素中�����,主要考慮以下幾個問題:一是網絡統計軟件的自身安全與否直接關系統計信息安全。系統軟件的安全功能較少或不全�,以及系統設計時的疏忽或考慮不周而留下的“破綻”�,都將會給危害信息安全的人和事留下許多隱患�。二是病毒對于網絡的威脅和黑客對于網絡的破壞和侵入。病毒的主要傳播途徑已由過去的軟盤�、光盤等存儲介質變成了網絡�,多數病毒不僅能夠直接感染網絡上的計算機�,還能在網絡上“繁殖”。三是操作系統的體系結構會造成其本身的不安全����,這也是計算機系統不安全的根本原因之一����。
2����、傳輸線路的不安全因素
盡管在同軸電纜、微波或衛星通訊中要竊聽其中指定一路的信息是很困難的���,但從安全角度來說,沒有絕對安全的通訊線路���,同時,無論采用何種傳輸線路���,當線路的通信質量不好時,將直接影響聯網效果���,嚴重時甚至導致網絡中斷,破壞通信數據的完整性���。為確保通信質量和網絡效果
本文由/整理,防止竊聽�,就必須要有合格的傳輸線路��。
3、用戶的不安全因素
大多數系統是以用戶為中心的��。一個合法的用戶在系統內可以執行各種操作���。用戶隨意進入不明網站和下載不明的程序�����,會使運行系統遭到破壞。應由用戶來管理自己的登陸密碼,但不能讀取用戶的密碼�����。用戶必須對自己密碼的安全性、保密性負責���。一個不安全的密碼事實上是不能起到保密作用的。
網絡安全是一個集技術�����、管理��、法規等的綜合作用為一體的���、長期的���、需要常年實施的����、復雜的系統工程���。為了保障統計信息網絡的安全�,應從以下幾方面采取相應的防護措施:
a從技術的角度出發采取相應的措施
一是身份識別。身份識別是安全系統應具備的最基本的功能,是驗證通信雙方的有效手段。用戶向其系統請求服務時����,要出示自己的身份證明,例如輸入USER和PASSWORD,而系統應具備查驗用戶身份證明的能力���,能夠識別合法用戶。也可采用人體特征(如指紋)識別、智能卡識別等方法。二是設立防火墻是位于內部網絡(可信賴的)和外部網絡(不可信賴的)之間的屏障�����,它按系統管理員預先定義好的規則來控制數據包的進出����。三是信息加密。通過對信息的重新組合,使得只有收發雙方才能解碼和還原信息�����。傳統加密系統是以密鑰為基礎的,分為對稱和不對稱加密兩種�����,隨著技術的進步,加密正逐步被集成到系統和網絡中。四是存取權限控制�����。其基本任務是防止非法用戶進入系統并防止合法用戶對系統資源的非法使用���。
b存效防
本文由/整理范病毒
對計算機病毒和黑客的防范是計算機安全的重要方面���。關于計算機病毒��,我們應該建立起兩個觀念:第一���,計算機感染了病毒并不十分可怕��,嚴重的是并不知道機器已感染了病毒�����。計算機病毒的主要危害就是傳染性和破壞性���,但病毒受其隱蔽性的限制�����,平時只是傳染,破壞活動很小�,只有滿足病毒發作條件時才會呈現出強大的破壞力��,而且破壞活動往往是瞬間完成��,想人為中斷都不可能。第二�����,應根據計算機病毒的共同特征來檢測病毒�����。由于計算機病毒只可能藏身于硬盤的引導區����、文件區和內存之中�,我們可以針對病毒的這些特征采取利用備份的系統信息檢測引導區中的病毒、利用文檔文件檢測文件中的病毒、設置內存駐留程序監控病毒等措施���,有效地遏制計算機病毒的傳染和破壞,保障統計數據的安全。
第5篇
關鍵詞入侵檢測異常檢測誤用檢測
在網絡技術日新月異的今天,論文基于網絡的計算機應用已經成為發展的主流�����。政府����、教育�����、商業�、金融等機構紛紛聯入Internet����,全社會信息共享已逐步成為現實。然而��,近年來��,網上黑客的攻擊活動正以每年10倍的速度增長����。因此���,保證計算機系統����、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1防火墻
目前防范網絡攻擊最常用的方法是構建防火墻����。
防火墻作為一種邊界安全的手段���,在網絡安全保護中起著重要作用�����。其主要功能是控制對網絡的非法訪問����,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構��,另一方面對內屏蔽外部危險站點�,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性��。
(1)入侵者可以找到防火墻背后可能敞開的后門�����。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣����,防火墻有時無法阻止入侵者的攻擊�����。
(2)防火墻不能阻止來自內部的襲擊���。調查發現�,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制�,防火墻通常不能提供實時的入侵檢測能力�。畢業論文而這一點���,對于層出不窮的網絡攻擊技術來說是至關重要的����。
因此�,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段��。
由于傳統防火墻存在缺陷�����,引發了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發���。入侵檢測是防火墻之后的第二道安全閘門����,是對防火墻的合理補充���,在不影響網絡性能的情況下�����,通過對網絡的監測��,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視�、進攻識別和響應)����,提高信息安全基礎結構的完整性��,提供對內部攻擊���、外部攻擊和誤操作的實時保護?,F在��,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用�����。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析�����,從中發現違反安全策略的行為和遭到攻擊的跡象����,并做出自動的響應����。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查��、重要系統和數據文件的完整性評估���、已知的攻擊行為模式的識別���、異常行為模式的統計分析�����、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別���。入侵檢測通過迅速地檢測入侵�����,在可能造成系統損壞或數據丟失之前�����,識別并驅除入侵者����,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動����。同時�����,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力����。
入侵檢測可分為基于主機型�、基于網絡型��、基于型三類���。從20世紀90年代至今��,英語論文已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure�,NAI(NetworkAssociates�,Inc)公司的Cybercop和Cisco公司的NetRanger�����。
2.2檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測���,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復����、斷開網絡連接等控制�;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者���,進一步加強信息系統的安全力度�。入侵檢測的步驟如下:
收集系統、網絡���、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件���、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息�����。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配�����、統計分析�����、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為����。
統計分析方法首先給系統對象(如用戶�、文件�、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性����。測量屬性的平均值將被用來與網絡�、系統的行為進行比較�����。當觀察值超出正常值范圍時���,就有可能發生入侵行為����。該方法的難點是閾值的選擇�,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改���,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測�,查出系統的入侵者或合法用戶對系統資源的濫用和誤用���。工作總結根據不同的檢測方法�����,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基于行為的檢測��。其基本前提是:假定所有的入侵行為都是異常的�。首先建立系統或用戶的“正常”行為特征輪廓��,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵��。此方法不依賴于是否表現出具體行為來進行檢測���,是一種間接的方法�����。
常用的具體方法有:統計異常檢測方法����、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法�����、基于貝葉斯網絡異常檢測方法��、基于模式預測異常檢測方法�、基于神經網絡異常檢測方法��、基于機器學習異常檢測方法�、基于數據采掘異常檢測方法等����。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征���,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征����。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準���,因此����,參考閾值的選定是非常關鍵的����。
閾值設定得過大����,那漏警率會很高���;閾值設定的過小�,則虛警率就會提高��。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素�。
由此可見�����,異常檢測技術難點是“正?��!毙袨樘卣鬏喞拇_定����、特征量的選取�����、特征輪廓的更新�。由于這幾個因素的制約����,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外�,由于需要實時地建立和更新系統或用戶的特征輪廓�����,這樣所需的計算量很大���,對系統的處理性能要求很高�。
3.2誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據已經定義好的攻擊簽名��,通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否�。這種方法是依據是否出現攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法�����、基于專家系統誤用入侵檢測方法�、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法����。誤用檢測的關鍵問題是攻擊簽名的正確表示�����。
誤用檢測是根據攻擊簽名來判斷入侵的,根據對已知的攻擊方法的了解�,用特定的模式語言來表示這種攻擊����,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種���,同時又不會把非入侵行為包含進來����。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷,因此,通過分析攻擊過程的特征����、條件�����、排列以及事件間的關系���,就可具體描述入侵行為的跡象�。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有預警作用��。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較���,從中發現違背安全策略的行為。由于只需要收集相關的數據����,這樣系統的負擔明顯減少��。該方法類似于病毒檢測系統,其檢測的準確率和效率都比較高�����。但是它也存在一些缺點���。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取�,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。
3.2.2與系統的相關性很強
對于不同實現機制的操作系統�����,由于攻擊的方法不盡相同����,很難定義出統一的模式庫。另外���,誤用檢測技術也難以檢測出內部人員的入侵行為�����。
目前�,由于誤用檢測技術比較成熟����,多數的商業產品都主要是基于誤用檢測模型的。不過���,為了增強檢測功能,不少產品也加入了異常檢測的方法�。
4入侵檢測的發展方向
隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大��,再加上網絡攻擊者的攻擊工具與手法日趨復雜化,信息戰已逐步被各個國家重視���。近年來,入侵檢測有如下幾個主要發展方向:
4.1分布式入侵檢測與通用入侵檢測架構
傳統的IDS一般局限于單一的主機或網絡架構�����,對異構系統及大規模的網絡的監測明顯不足�,再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題���,需要采用分布式入侵檢測技術與通用入侵檢測架構。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解���,然而目前的IDS僅能檢測到諸如Web之類的通用協議,而不能處理LotusNotes��、數據庫系統等其他的應用系統��。許多基于客戶/服務器結構����、中間件技術及對象技術的大型應用����,也需要應用層的入侵檢測保護�����。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化����,盡管已經有智能體��、神經網絡與遺傳算法在入侵檢測領域應用研究�,但是�,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究�����,以解決其自學習與自適應能力。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統進行評價�����,評價指標包括IDS檢測范圍��、系統資源占用�����、IDS自身的可靠性,從而設計出通用的入侵檢測測試與評估方法與平臺���,實現對多種IDS的檢測。
4.5全面的安全防御方案
結合安全工程風險管理的思想與方法來處理網絡安全問題���,將網絡安全作為一個整體工程來處理�。從管理、網絡結構、加密通道、防火墻�����、病毒防護����、入侵檢測多方位全面對所關注的網絡作全面的評估,然后提出可行的全面解決方案��。
綜上所述��,入侵檢測作為一種積極主動的安全防護技術�,提供了對內部攻擊��、外部攻擊和誤操作的實時保護��,使網絡系統在受到危害之前即攔截和響應入侵行為,為網絡安全增加一道屏障。隨著入侵檢測的研究與開發�,并在實際應用中與其它網絡管理軟件相結合��,使網絡安全可以從立體縱深、多層次防御的角度出發,形成人侵檢測、網絡管理、網絡監控三位一體化,從而更加有效地保護網絡的安全�����。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用��,2002��;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測系統模型的比較.計算機應用�����,2001��;21(6):29~31
3李渙洲.網絡安全與入侵檢測技術.四川師范大學學報.2001;24(3):426—428
4張慧敏��,何軍�,黃厚寬.入侵檢測系統.計算機應用研究,2001����;18(9):38—4l
第6篇
【論文摘要】:文章結合目前大部分醫院計算機網絡的發展現狀����,主要從網絡設備�、計算機軟件維護和人員管理等方面談一下醫院計算機網絡的安全維護工作。
隨著現代化信息技術的發展和醫療衛生管理要求的不斷提高���,醫院的計算機網絡系統已經深入到醫院日常業務活動的方方面面。醫院的計算機系統一旦崩潰��,將會造成無法估計的損失�����。因此如何加強醫院計算機網絡的安全性和可靠性就成為一個亟待解決的問題����。
一、網絡設備安全
(一)硬件設置對網絡安全的影響
1.網絡布線
醫院主干線以及各大樓之間采用多模光纖�����,并留有備份�。光纖到機器端采用屏蔽雙絞線,線路之間避免交叉纏繞����,并與強電保持30CM以上距離��,以減少相互干擾。新增網點�����,距離交換機盡可能短����,以減少信號衰減����。平時做好跳線備份,以備急用�����。
2.中心機房
綜合考慮供電��、場地���、溫濕度�����、防水、防鼠��、電磁環境以及接地防雷��。
3.服務器
對最上層的服務器和數據庫來說如何保證所提供服務的可靠性和不間斷性以及數據存儲的安全是決定一個信息系統安全的關鍵���。首先必須使用不間斷電源(UPS)����,保證服務器24小時不間斷工作�����,防止停電造成的數據庫損壞。對于中心服務器����,目前大部分醫院采用的是雙機熱備份+磁盤陣列柜的模式�,當一個服務器發生故障時���,備份服務器能在十幾秒的時間內進行切換�����,啟動數據庫����,一般能在2~3分鐘內恢復業務處理����。這樣只做到了一臺服務器出現故障時,能保證信息系統的正常運行,如果陣列出現故障����,整個系統仍要停止運行����,一般在條件允許的情況下應該備有應急服務器。應急服務器在日常工作時,通過數據庫的備份服務實時地進行異地備份��,保證數據與中心服務器的同步�,當雙機服務器或陣列出現故障時,系統能順利轉移到應急服務器上運行,所有用戶的使用方法保持不變����,患者數據信息連續,不僅方便了操作人員����,而且大大的提高了系統的安全性�����。
4.邊界安全
內外網物理斷開,這樣徹底消滅外網黑客的入侵,內外網需要交換信息時采用U盤或移動硬盤作為中介,并做好防病毒工作����。
(二)外界環境對網絡設備安全的影響
1.溫度會導致邏輯電路產生邏輯錯誤�,技術參數偏離�,還會導致系統內部電源燒毀或燒壞某些元器件,影響機器運轉和導致一些熱敏器件內部損壞或不能正常工作。
2.濕度過高����,會使接插件和集成電路的引線等結合部氧化��、生繡、霉爛�����,造成接觸不良���、開路或短路��;濕度過低�,會吸附灰塵�����,加劇噪聲����。
3.對于機器內部的電路板上的雙列直插或組件的接線器���,灰塵的阻塞會形成錯誤的運行結果��。過多的塵埃可造成絕緣電阻減小��、泄漏電流增加�����,機器出現錯誤動作�,如果空氣潮濕會引起元器件間放電���、打火�����,從而損壞設備��,嚴重的還會引起火災。
4.靜電是網絡使用中面臨的比較嚴重的問題�����,以上談到的溫度����、濕度、塵埃等很多原因都可能引起靜電����。計算機元器件和集成電路對靜電非常敏感�,它的破壞常常是在不知不覺中發生�����。
5.靠近網絡的計算機�����、大型醫療設備和網絡設備自身等,都能產生電磁輻射�����,通過輻射���、傳導等方式對網絡系統形成干擾�����。他們造成的問題是:設備的一些部件會失效�,但那些部件的失效看起來又是由于其他部件引起的��,像這樣的問題很容易被忽略��,而且很難診斷,需要專門的診斷軟件和硬件來檢測。
二�、計算機軟件的安全
(一)計算機操作系統的安全
目前一般醫院服務器和工作站的操作系統多采用微軟的WINDOWS系列操作系統�,這要求對計算機使用的帳號�、用戶權限、網絡訪問以及文件訪問等實行嚴格的控制和管理���,定期做好監視、審計和事件日志記錄和分析��,一方面減少各類違規訪問�,另一方面,通過系統日志記下來的警告和報錯信息��,很容易發現相關問題的癥結所在����。及時下載和打好系統補丁�����,盡可能關閉不需要的端口�,以彌補系統漏洞帶來的各類隱患����。對各類工作站和服務器的CMOS設置密碼,取消不必要的光驅、軟驅�,屏蔽USB接口����,以防止外來光盤��、軟盤和U盤的使用���。對關鍵數據實行加密存儲并分布于多臺計算機����。
(二)數據庫的安全
數據庫的選擇和備份是醫院計算機網絡安全管理中的重要問題�����。系統一旦投入運行��,就要求24小時不間斷,而一旦發生中斷,后果將不堪設想�。所以在開發系統軟件時����,數據庫的選擇顯得尤為重要��,在發生故障時應能自動將數據恢復到斷點,確保數據庫的完整���。目前現有醫院計算機網絡系統在數據庫的選擇上多采用SQLSERVER、ORACLE數據庫�。醫院的數據庫記錄時刻都處于動態變化之中����,網管人員定時異地備份是不夠的,因為一旦系統崩潰�,勢必存在部分數據的丟失�。所以建立一套實時備份系統��,這對醫院來說是非常重要的?��,F在很多醫院采用磁盤陣列的方式進行對數據的實時備份�,但是成本比較大���,安全系數也不是很高�。根據醫院這個特殊的網絡系統,可建議設計數據保護計劃來實現文件系統和網絡數據全脫機備份���。例如,采用多個低價位的服務器分片負責,如門診收費系統采用一臺服務器,住院部系統采用另一臺服務器���,同時再增設總服務器,在總服務器中全套備份所有醫院管理系統中的應用軟件,每日往總服務器中備份各個管理系統中產生的數據��,與此同時也做好磁帶����、光盤的備份,若有一臺分服務器出現異常���,該系統就轉總服務器進行。這種運行機制���,在一些醫院取得了很好的效果�。
(三)病毒防范與入侵檢測
在客戶機和服務器上分別安裝相應版本防病毒軟件,及時更新病毒庫和殺毒引擎����,在服務器上編寫網絡登陸腳本���,實現客戶端病毒庫和殺毒軟件引擎的自動派送安裝��。在服務器和安全性要求較高的機器上安裝入侵檢測系統,實時監控網內各類入侵��、違規和破壞行為����。
三、人為因素對網絡設備安全的影響
據不完全統計���,某醫院三年內局部網絡設備非正常斷電所引起的故障中,有16起為施工斷電引起網絡設備意外斷電����,有130起為醫務人員不小心碰斷HUB電源導致計算機不能聯網����,而僅有5起為網絡設備自身不正常掉電或自動重啟����,占因斷電所引起的網絡故障總數的3.2%,其余96.8%都是人為因素導致��。這充分說明���,人為因素應該引起我們足夠的重視�����,應該采取必要的措施降低人為因素導致的網絡故障率。具體措施包:
1.對全院職工,特別是對管理人員進行有關教育,讓他們樹立參與意識和主人翁意識��,了解計算機管理的必要性和管理流程��,對相關人員進行新業務模式和流程教育���,對操作人員進行技術培訓��,要求準確、熟練����。
2.盡量不要在臨床科室使用帶電源適配器的小型集線器(HUB)�。這也是局部網絡極不穩定的重要原因,有時維護人員要反復到現場數次解決此類問題��。
3.施工前加強施工單位與網絡維護人員的協調�����,斷電前制定詳細的切換方案和應急方案�����。
4.合理規劃配線間和機柜位置,遠離人群�,避免噪音�����。
5.分置配線間內的強電電源和斷電頻繁的照明電,爭取單獨供電����,和供電部門協調保證24小時不斷電。
6.加強內部人員管理���,要注意隨時觀察,盡量避免因此產生的網絡故障���。
四、小結
隨著醫院計算機網絡的逐步發展��,它漸漸成為一個醫院關鍵的����、不可缺少的資源。我們必須積極主動的利用各種手段管理網絡��、診斷問題�、防患于未然,為醫院計算機信息系統提供良好的運行環境。
參考文獻
第7篇
由系統管理員管理的結構化計算機環境和只有一臺或幾臺孤立計算機組成的計算機環境的主要區別是什么呢――服務!這種只有幾臺孤立計算機的典型環境是家庭和那些很小的非技術性的辦公室,而典型的結構化計算機環境則是由技術人員操作大量的計算機,通過共享方便的通信����、優化的資源等服務來互相聯結在一起����。當一臺家用電腦通過互聯網或通過ISP連接到因特網上����,他就是使用了ISP或其他人提供的服務才進入網絡的。辦公室環境也能提供同樣甚至更多的服務。
典型的辦公室環境包含很多服務��,主要有DNS����、電子郵件、認證服務�、聯網以及打印等等���。這些服務非常重要��,一旦沒有了這些服務會對你產生很大的影響���。其它典型的服務還包括各種遠程接入方法�����、網絡證書服務�����、軟件倉庫、備份服務���、連接因特網、DHCP�、文件服務等等��。如此多的服務確實令人厭倦,但這也證明了系統管理員團隊所創造并維護的服務是如此之多�����。你給用戶的每一個技術支持都包含了系統管理員團隊提供的服務在里面。
提供一個服務絕不僅僅是簡單的把硬件和軟件累加在一起�,它包括了服務的可靠性����、服務的標準化����、以及對服務的監控、維護���、技術支持等。只有在這幾個方面都符合要求的服務才是真正的服務�。
系統管理員的主要職責之一就是為用戶提供他們所需要的服務����,這是一項持續性的工作���。隨著技術的進步和用戶工作的開展����,用戶的要求也會越來越高���,結果系統管理員就必須花費大量的時間來設計并創建新的服務��,創建的新服務的質量決定了以后系統管理員們對它們提供技術支持時所花費時間和精力的多少���,同時也決定了用戶的滿意程度��。
一、服務的基本問題
創建一個穩定��、可靠的服務是一個系統管理員的重要工作���。在進行這項工作時系統管理員必須考慮許多基本要素�����,其中最重要的就是在設計和開發的各個階段都要考慮到用戶的需求�����。要和用戶進行交流,去發現用戶對服務的要求和預期���,然后把其它的要求如管理要求等列一個清單,這樣的清單只能讓系統管理員團隊的人看到。在這樣一個過程中"是什么"比"怎么樣"更重要���,否則在具體執行時很容易就會陷入泥潭而失去目標�����。
服務應該建立在服務器級的機器上而且機器應該放在合適的環境中�,作為服務器的機器應當具備適當的可靠性和性能��。服務和服務所依賴的機器應該受到監控��,一旦發生故障就發出警報或產生故障記錄清單。
大多數服務都依賴其它服務,通過進一步理解服務是如何進行的�,會使你洞悉這個服務所依賴的其它的服務�。例如�,幾乎所有的服務都依靠域名服務(DNS)。要給一個服務配置機器名或域名,要靠DNS;要想在日志文件中包含所使用服務或服務訪問過的主機名����,要用到DNS�;如果你進入一臺主機通過它的服務聯系別的機器�����,也要用到DNS�。同樣��,幾乎所有的服務都依靠網絡����,其實網絡也是一種服
DNS是依靠網絡的,所以所有依賴DNS的服務也依靠網絡。有一些服務是依靠email的(而email是依賴DNS和網絡的),還有別的服務依靠訪問其它計算機上的共享文件,也有許多服務也依靠身份認證和授權服務來對人們進行區分,特別是在那些基于認證機制而又具有不同級別服務權限的環境中。某些服務如DNS的故障,會引起所有依賴DNS的其它服務的一連串的失敗�����。所以在構建一個服務時����,了解它所依賴的其它服務是非常重要的����。
作為服務一部分的機器和軟件應當依賴那些建立在相同或更高標準上的主機和軟件,一個服務的可靠性和它所依賴的服務鏈中最薄弱環節的可靠性是相當的。一個服務不應該無故的去依賴那些不是服務一部分的主機��。
為了可靠性和安全性�����,對服務器的訪問權限應當進行限制�,只有系統管理員才能具有訪問權限���。使用機器的人和機器上運行的程序越多��,發生內存溢出或突然出現其它故障����、服務中斷的機會就越大���。用戶使用計算機時總喜歡多裝點東西���,這樣他們就能方便的存取自己需要的數據和使用其它的服務��。但是服務器應該是盡可能的簡單��,簡單化可以讓機器更加可靠,發生問題時更容易調試�����。服務器在滿足服務運轉正常的前提下應當安裝最少的東西����,只有系統管理員們具有安裝權限�,而且系統管理員們登錄服務器時應該也只是為了維護。從安全的角度來看���,服務器比普通的臺式機更敏感。入侵者一旦獲得了服務器的管理員權限����,他所能做的破壞比獲得臺式機管理員權限所能做的破壞大的多�!越少的人具有管理員權限�����,服務器運行的東西就越少�����,入侵者獲得權限的機會就越小,入侵者被發現的機會就越大���。
系統管理員在構建一個服務時必須要作幾個決策,比如從哪個廠家買設備����、對于一個復雜的服務用一臺還是多臺服務器��、構建服務時要留多大的冗余度。一個服務應該盡可能的簡單���,盡可能小的依賴性,這樣才能提高可靠性和易維護性����。
另一個使服務易于維護的方法是使用標準硬件�、標準軟件、標準配置以及把文件放在標準位置�����,對服務進行集中管理���。例如�����,在一個公司中,用一個或兩個大的主要的打印服務器比零星分布的幾百個小服務器使服務更容易得到支持����。最后�,也是非常重要的是在執行一些新服務時�,服務所在的機器在用戶端配置時最好使用基于服務的名字,而不是用真實的主機名�,這樣服務才會不依賴于機器�。如果你的操作系統不支持這個功能����,那就去告訴你的操作系統銷售商這對你很重要,同時要考慮是否使用別的具有這個功能的操作系統。
一旦服務建好并完成了測試,就要逐漸轉到用戶的角度來進行進一步的測試和調試����。
1.用戶的要求
建立一個新服務應該從用戶的要求開始���,用戶才是你建立服務的根本原因�����。如果建立的服務不合乎用戶的需要,那簡直就是在浪費精力�����。
很少有服務不是為了滿足用戶的需求而建立的����,DNS就是其中之一��。其它的如郵件服務和網絡服務都是明顯為了用戶的需求建立的�����。用戶需要他們的郵件用戶端具備某些功能,而且不同的用戶想要在網絡上作不同是事情�,這些都依靠提供服務的系統設置情況����。其它的服務如電子購物系統則更是以用戶為導向的了�����。系統管理員們需要理解服務怎樣影響用戶��,以及用戶的需求又如何反過來對服務的設計產生影響。
搜集用戶的需求應該包括下面這些內容:他們想怎樣使用這些新服務、需要哪些功能����、喜歡哪些功能��、這些服務對他們有多重要,以及對于這些服務他們需要什么級別的可用性和技術支持。如果可能的話���,讓用戶試用一下服務的試用版本。不要讓用戶使用那些很麻煩或是不成功的系統和項目。盡量計算出使用這個服務的用戶群有多大以及他們需要和希望獲得什么樣的性能,這樣才能正確的計算���。
2.操作上的要求
對于系統管理員來說,新服務的有些要求不是用戶直接可見的。比如系統管理員要考慮到新服務的管理界面�、是否可以與已有的服務協同操作����,以及新服務是否能與核心服務如認證服務和目錄服務等集成到一起��。
系統管理員們還要考慮怎樣規劃一個服務�����,因為隨著公司規模的增長,所需要的服務當然也會比當初預期的有所增長��,所以系統管理員們還得想辦法在增長服務規模的同時不中斷現存的服務����。
一個相對成熟的方法是升級服務的路徑。一旦有了新版本�����,如何進行升級呢����?是否得中斷現在的服務呢?是否要觸及桌面呢?能不能慢慢地逐漸升級��,在整個公司發生沖突之前先在一些人中進行測試呢���?所以要盡量把服務設計得容易升級����,不用中斷現有的服務就能升級,不要觸及桌面而且能慢慢地逐漸升級�。
從用戶期望的可靠性水平以及系統管理員們對系統將來要求的可靠性的預期�����,系統管理員們就能建立一個用戶期望的功能列表�����,其內容包括群集��、從屬設備、備份服務器或具有高可用性的硬件和操作系統����。
系統管理員們需要考慮到由服務主機位置和用戶位置而引起的網絡性能問題�。如果遠程用戶通過低帶寬���、高等待時間連接��,那這樣的服務該怎么完成呢�?有沒有一種方法可以讓各個地方的用戶都獲得好的或比較好的服務呢����?銷售商很少測試用他們的產品連接時是否高等待時間的――即RTT值是否比較大――每個人從程序員到銷售員都忽略了這個問題。人們只是確信內部測試的結果����。
3.開放的體系結構
一個新服務��,不管在什么情況下,只要可能�����,就應該建立在使用開發式協議和文件格式的體系結構上��。特別是那些在公共論壇上記錄成文的協議和文件格式���,這樣銷售商才能依據這些標準生產出通用的產品���。具有開放體系結構的服務更容易和其它遵循相同標準的服務集成到一起。
開放的反義詞是私有,使用私有協議和文件格式的服務很難和其它產品共同使用���,因為私有協議和文件格式的改變可以不通知,也不要求得到協議創造者的許可。當銷售商擴展到一個新領域,或者試圖保護自己的市場而阻止創造一個公平競爭的環境時���,他們會使用私有協議。
有時銷售商使用私有協議就是為了和別的銷售商達成明確的許可協議��,但是會在一個銷售商使用的新版本和另一個銷售商使用的兼容版本之間存在明顯的延遲,兩個銷售商所用的版本之間也會有中斷,而且沒有提供兩個產品之間的接口。這種情況對于那些依靠它們的接口同時使用兩種產品的人來說�,簡直是一場惡夢��。
商業上使用開放協議的例子很簡單:它使你能夠建立更好的服務,因為你可以選擇最好的服務器和用戶端軟件��,而不必被迫地選擇���,比如在選擇了最好的用戶端后����,又被迫選擇不是最理想的服務器。用戶想要那些具有他們需要的功能�,而又易于使用的應用程序�,而系統管理員們卻希望服務器上的應用程序易于管理�����,這兩個要求常常是沖突的���。一般來說�,或者用戶或者系統管理員們有更大權利私下做一個另對方驚奇的決定��。如果系統管理員們做了這個決定���,用戶會認為他們簡直是法西斯��,如果用戶做了這個決定�,這會成為一個難以管理的包袱,最終使得用戶自己不能得到很好的服務��。一個好的解決方法就是選擇基于開放標準的協議�,讓雙方都能選擇自己的軟件。這就把用戶端應用程序的選擇同服務器平臺的選擇過程分離了��,用戶自由的選擇最符合自己需要���、偏好甚至是平臺的軟件����,系統管理員們也可以獨立地選擇基于他們的可靠性、規模可設定性和可管理性需要的服務器解決方案�。系統管理員們可以在一些相互競爭的服務器產品中進行選擇��,而不必被囿于那些適合某些用戶端應用程序的服務器軟件和平臺。在許多情況下,如果軟件銷售商支持多硬件平臺���,系統管理員們甚至可以獨立地選擇服務器硬件和軟件。
我們把這叫做用戶選擇和服務器選擇分離的能力。開放協議提供了一個公平競爭的場所�,并激起銷售商之間的競爭���,這最終會使我們受益�����。
開放協議和文件格式是相當穩定的,不會經常改動(即使改動也是向上兼容的)���,而且還有廣泛的支持,能給你最大的產品自主選擇性和最大的機會獲得可靠的��、兼容性好的產品�����。
使用開放系統的另一個好處是和其它系統連接時不再需要額外的網關���。網關是不同系統能連接在一起的黏合劑。雖然網關能節省你的時間�,但使用開放協議的系統徹底避免了使用網關����。網關作為一項額外的服務也需要計劃����、設計、監測以及本章所講的其它關于服務的每一樣東西��,減少服務可是一件好事��。
當下次有銷售人員向你推銷一些忽略IETF(因特網工程任務組)標準和其它工業標準的產品�,如日歷管理系統、目錄服務等的時候���,想想這些教訓吧!雖然銷售商會承諾再賣給或者免費送給你性能優越的網關產品����。使用標準協議就是使用IETF的標準�����,而不是銷售商的私有標準,銷售商的私有協議以后會給你帶來大麻煩的�。
4."簡單"的價值
在建立一個新服務時��,簡單是首先要考慮的因素。在能滿足所有要求的解決方案中��,最簡單的才是最可靠��、最容易維護�����、最容易擴展以及最易于和其它系統集成到一起的��。過度復雜將導致混亂�、錯誤�、使用困難以及明顯的運行速度下降,而且使安裝和維護的成本增加��。
當系統規模增長的時候��,還會變得更復雜���,這是生活常識��。所以,開始盡可能的簡單可以避免系統過早出現"太復雜"的情況���。想一想,如果有兩個銷售人員都打算推銷他們的系統���,其中一個系統有20個功能,另外一個有40個功能��,我們就可以認為功能多的軟件可能會有更多的錯誤�����,它的銷售商就更難以有時間維護他的系統代碼���。
有時����,用戶或系統管理員們的一兩個要求就會使系統的復雜度增加很多�。如果在設計階段遇到這樣的要求,就值得去尋找為什么會有這種要求,并估價其重要性���,然后向用戶或系統管理員們解釋,這樣的要求能夠滿足���,但要以降低可靠性��、支持水平和可維護性為代價���。根據這些����,再讓他們重新決定是堅持這樣的要求���,還是放棄���。
三����、其它需要考慮的問題
建立一個服務除了要求可靠、可監測�、易維護支持��,以及要符合所有的我們基本要求和用戶的要求外�,還要考慮到一些特別的事情���。如果可能的話�,應該讓每個服務使用專門的機器,這么作可以讓服務更容易得到支持和維護,也能減少忘記一些服務器機器上的小的服務的機會���。在一些大公司,使用專門的機器是一條基本原則,而在小公司�,由于成本問題��,一般達不到這個要求。
還有一個觀念就是在建立服務時要以讓服務完全冗余為目標���。有些重要的服務不管在多大的公司都要求完全冗余。由于公司的規模還會增長�����,所有你要以讓所有的服務都完全冗余為目標�����。
1.使用專門的機器
理想的情況,服務應該建立在專門的機器上。大網站應該有能力根據服務的要求來調整到這個結構,而小網站卻很難做到。每個服務都有專門的機器會使服務更可靠�,當發生可靠性問題是也容易調試��,發生故障的范圍更小,以及容易升級和進行容量計劃����。
從小公司成長起來的大網站一般有一個集中管理的機器作為所有重要服務的核心��,這臺機器提供名字服務、認證服務�、打印服務�、郵件服務等等�。最后,由于負荷的增長���,機器不得不分開,把服務擴展到別的服務器上去����。常常是在這之前�����,系統管理員們已經得到了資金,可以買更多的管理用的機器,但是覺得太麻煩�����,因為有這么多的服務依賴這機器�����,把它們都分開太難了。當把服務從一臺機器上分開時����,IP地址的依賴最難處理了�����,有些服務如名字服務的IP地址都在用戶那里都已經記得很牢固了,還有一些IP地址被安全系統如路由器����、防火墻等使用�。
把一個中心主機分解到許多不同的主機上是非常困難的�,建立起來的時間越長,上面的服務越多����,就越難分解����。使用基于服務的名字會有所幫助����,但是必須整個公司都使用標準化的�、統一的����、始終如一的名字。
2.充分的冗余
充分的冗余是指有一個或一系列復制好的服務器���,能在發生故障的時候接管主要的故障設備。冗余系統應該可以作為備份服務器連續的運行���,當主服務器發生故障時能自動連上線�����,或者只要少量的人工干預�����,就能接管提供服務的故障系統。
你選擇的這類冗余是依賴于服務的�����。有些服務如網頁服務器和計算區域����,可以讓自己很好的在克隆好的機器上運行。別的服務比如大數據庫就不行,它們要求連接更牢固的崩潰恢復系統���。你正在使用的用來提供服務的軟件或許會告訴你,冗余是以一種有效的���、被動的、從服務器的形式存在的�����,只有在主服務器發生故障并發出請求時�����,冗余系統才會響應�。不管什么情況�����,冗余機制必須要確保數據同步并保持數據的完整。
如果冗余服務器連續的和主服務器同步運行,那么冗余服務器就可以用來分擔正在正常運行的負荷并能提高性能���。如果你使用這種方法,一定要注意不要讓負荷超出性能不能接受的臨界點�����,以防止某個服務器出現故障�。在到達臨界點之前要為現存系統增加更多的并行服務器。
有些服務和網站每時每刻的功能都集成在一起����,所以它們在網站建立的早期就做到充分冗余了����。別的仍然被忽視����,直到網站變得很大,出現了一些大的、明顯的故障����。
名字服務和認證服務是典型的���、首先要充分冗余的服務�����。這么做的部分原因是軟件就是設計得要有輔助服務器����,部分原因是它確實很重要�。其它重要的服務如郵件服務��、打印服務和網絡服務�����,在以后才能被考慮到,因為要為它們作完全冗余會更復雜而且很昂貴�。
在你做每一件事的時候��,都要考慮到在哪兒作完全冗余才能讓用戶最受益,然后就從那兒開始吧�。
冗余的另一個好處就是容易升級�����。可以進行滾動升級。每次有一臺主機被斷開�����、升級��、測試然后重新開始服務��。單一主機的故障不會停止整個服務,雖然可能會影響性能�����。如果你真的搞雜了一個升級那就關掉電源等你冷靜下來再去修它�。
