时间:2022-07-26 10:58:11
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机网络教程,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词 计算机网络 网络可靠性 局域网络 服务器机群 防火墙系统
中图分类号:TP393 文献标识码:A
0 引言
计算机网络能够始终如一地可靠工作,不受干扰和破坏,可靠性日益成为计算机网络不同使用层次用户共同关心的核心问题,可靠性也成为计算机网络的基本要求。探讨高可靠计算机网络的设计准则,解决计算机网络的可靠性设计和建设问题,确保计算机网络能够可靠地正常运行,具有较高的理论和现实意义。
1计算机网络概述
计算机网络是计算机技术与通信技术紧密结合的产物,是通过数据通信系统把分布在不同地理区域,具有独立功能的计算机,通过功能完善的网络软件实现数据通信、资源共享和协同工作的一种计算机系统。近年来,计算机网络正在朝高可靠性和多综合业务的方向发展。在计算机网络发展的进程中,一个重要里程碑就是 20 世纪 80 年代出现的计算机局域网络(local area network,LAN)它使得一个或几个单位的个人计算机、工作站、数据和语音通信设备、控制设备和安全设备连接起来,互相共享资源和交换信息。1980 年 2 月美国电气和电子工程师学会组织颁布的 IEEE 802 系列标准,对局域网的发展和普及起到了巨大的推动作用。本文对可靠性的论述主要针对计算机局域网展开。
2 计算机网络的可靠性设计准则
英国电气工程师学会曾指出:“在提供通信的英国天网系统的设计研制中,中心课题首先是可靠性”。计算机网络是应用系统的基础,实现了单位内部各部门间以及与外单位的信息联系,网络系统在任何时间、任何地点发生的一故障,都能直接给上述应用带来灾难性的损失,其可靠性直接关系到应用的好坏,解决好可靠性问题已成为计算机网络正常运行的前提。计算机网络的可靠性设计准则是对设计实施过程中的工程经验进行充分总结,使之条理化、系统化、科学化,成为计算机网络规范化设计和建设过程所必须遵循的要求和原则。
(1)提高计算机网络的任务可靠性通常采用余度设计和容错技术,具体表现为网络中的各台计算机可以通过网络彼此互为后备机,一旦某台计算机出现故障,故障机的任务便可由其它计算机代为处理,避免了单机无后备使用情况下,某台计算机故障导致网络系统瘫痪的现象,从而保证了计算机网络的可靠性。
(2)提高计算机网络可靠性要综合考量新技术的采用。既要考虑主干网络技术的发展,不至于在短时期内被淘汰,确保系统具有较长的生命周期,最大限度地满足业务发展的需要;又要实施合理的继承性,谨慎使用新技术,降低风险,使计算机网络的设计具备良好的兼容和扩充能力,能够实现高可靠网络的平滑升级。
(3)提高计算机网络的可靠性要求统筹考虑全寿命周期费用,尽可能地降低网络系统的造价,使后期的运行、维护费用降至最少,力求使系统达到最佳的性价比。计算机网络主要软、硬件设备应采用广泛应用且具有良好性能价格比的产品,充分考虑保护网络的建设投资。
(4)提高计算机网络的可靠性,应根据现有的实际条件,在设计中选择质量优秀、有良好声誉的网络产品,并且所用的网络产品都应满足可靠性设计指标要求,严格遵守计算机网络的相关规范,所有器件及子系统均需满足最新、最高的国内外标准。
(5)提高计算机网络的可靠性,还需要对运行中的网络进行定期人工/自动的检查维护。现代计算机网络具有较大的规模和较高的异构程度,需要尽量避免由于网络线路中断以及设备故障等原因造成的网络系统瘫痪。但是发生故障又在所难免,所以只有及时发现计算机网络故障,具有方便的故障恢复措施、远程监控、配置的能力,才可以保证计算机网络时刻达到规定的可靠性指标,保证整个网络系统具有强大的功能、优越的性能和工作任务可靠性,使计算机网络真正具有较高的系统可靠性。
3结束语
计算机网络是当今世界公认的主流技术;是国家实现现代化的基础设施;是企业信息化的重要途径。可靠性是规模大、异构程度高的现代计算机网络的根本要求,从工程实践中总结的可靠性设计准则,可以指导建设高可靠的计算机网络,保证网络运行中免受干扰,克服因为线路中断以及局部故障导致整个计算机网络瘫痪的缺陷,具备方便的故障恢复措施和全方位的监控配置能力。对计算机网络可靠性进行的深入探讨,有助于促进我国计算机网络设计水平的提高。
关键词: 校园网络安全问题解决措施
一、前言
在2l世纪,随着计算机网络技术飞速发展和Internet的继续普及,计算机网络已经深入校园。这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络时却时常忽略网络安全问题,导致校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。在此,笔者结合自身的实践,对校园网络安全问题作了一些探讨,供各位同仁参考。
二、校园网络安全的主要问题
1.计算机病毒攻击。
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。在计算机网络中存在着大量计算机病毒,并且不断地变异。这些病毒利用邮件等各种方式广泛传播,经常造成网络瘫痪、数据丢失等严重故障。
计算机病毒可以使计算机资源损失或破坏,造成资源和财富的巨大浪费,而且有可能造成整个数据系统的灾难。随着信息化社会的发展,计算机病毒的威胁日益严重,校园网络反病毒的任务也更加艰巨了。
2.软件漏洞。
随着软件技术,包括操作系统的迅猛发展,为了满足更高更好的原则,软件的开发都是异常复杂,代码越来越多,但同时,软件系统的弱点、漏洞也越来越多。这就给黑客攻击者留有可攻击的机会。
三、校园网络安全问题的解决措施
由于校园网网络将日益成为学校日常教学、教研和管理工作必不可缺的基础设施,因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于加强网络安全性,确保校园网的正常运行显得十分重要。针对以上校园网络安全问题,笔者提出如下解决方案。
1.了解计算机病毒,掌握应用防病毒技术。
若想防治计算机病毒入侵,首先要先了解什么是计算机病毒,它有什么特点。
计算机病毒的特点主要有寄生性、传染性、潜伏性、隐蔽性、可触发性与破坏性。防治的基本任务是发现、解剖和杀灭。针对计算机病毒的发展,我们主要需要防范蠕虫病毒、木马程序恶意代码、脚本病毒及邮件病毒。我们要加强网络安全意识,平时需要养成病毒库经常性升级的习惯,对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站,不要执行从Internet下载后未经杀毒处理的软件等,这些必要的习惯会使计算机更安全。
2.常检查系统软件是否有漏洞,及时安装补丁程序。
目前,有很多病毒是因为软件系统存在安全漏洞而感染计算机的。因此,用户应该定期到系统软件官方网站去下载最新的安全补丁,以防患于未然。系统漏洞补丁必须及时安装,否则很可能被黑客利用。功能性补丁就看我们选择安装与不安装;每次打补丁之前,我们需要了解补丁的兼容性。由于软件版本在不断地更新,由补丁兼容性的问题而导致系统崩溃的情况常有发生。用户在安装补丁时要有安装技巧,安装补丁可以在一台计算机上安装,测试无误后再全部安装,最好要先用移动硬盘备份重要数据。
3.网络防火墙。
防火墙是一种形象的说法,其实它是一种计算机硬件和软件组合,使互联网与内部网之间建立起一个安全网关,而保护内部网免受非法用户的侵入。防火墙最基本的功能就是控制在计算机网络中不同信任程度区域间传送的数据流。
根据校园网安全目标,我们需要规划设置正确的安全过滤规则,这些安全规则审核数据包的内容包括:协议、端口、源地址、目的地址、流向等,严格禁止来自公网对校园内部网非法的访问;在配置防火墙配置时,需要过滤掉以内部网络地址进入路由器的IP包,这样就可以防范假冒源地址和假冒源路由类型的攻击;在配置防火墙时,还需要过滤掉以非法IP地址离开内部网络的数据包,防止内部网络发起的对外攻击;在防火墙上建立内网计算机的IP地址和MAC地址的一一对应表,IP地址和MAC不对应的一律禁止;建立定期查看防火墙访问日志的规定,及时发现攻击行为;我们还要允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
4.有害信息过滤。
虽然计算机病毒很多,破坏性很强,但若要主动去预防,还是很简单的。计算机网络病毒多集中在一些有害网站或页面上,只要我们不去点击,就不会被感染,所以,在校园网络中,有效地对有害网站和页面等信息进行过滤,是阻止被病毒感染的重要措施。
5.设置访问权限,建立加密制度。
访问控制是计算机网络安全防范和保护的主要措施。它的任务是保证网络资源不被非法用户使用和非常访问,是计算机网络安全最重要的核心策略之一。我们可以根据校园网络的栏目和种类分别进行访问权限设置,不同的栏目由不同的部门负责,做到细致入微、面面俱到。对于学生的使用,教师可以根据院、系甚至班级进行权限发配和管理,这样可以有效遏制非法用户的闯入,也就大大降低了网络被病毒感染的几率。
四、结语
以上只是笔者对防范外部入侵,维护网络安全的一些看法。校园网的安全问题是一个较为复杂的系统工程,从严格的意义上来讲,没有绝对安全的网络系统,提高校园网络的安全系数是要以降低网络效率和增加投入为代价的。在目前的情况下,我们应当全面考虑综合运用防毒软件、防火墙、加密技术等多项措施,互相配合,加强管理,从中寻找确保网络安全与网络效率的平衡点,综合提高校园网络的安全性,从而建立起一套真正适合学校计算机网络的安全体系。
参考文献:
[1]谢希仁.计算机网络教程[M].人民邮电出版社,2002.
关键词:网络技术、IP over WDM、移动IP、物联网
中图分类号:TP368.1文献标识码:Bdoi: 10.3969/j.issn.1003-6970.2011.03.003
Overview of Modern Network Technology
GU Lin-zhu, WANG Kai, MI Lan
(School of Information and Electrical Engineering China University of Mining and Technology, Xuzhou 221008 ,China)
【Abstract】 With the development of computer technology, network technology has also been an unprecedented development in modern society has been a rapid development in the information age, a variety of new network technology is changing, has been widely used in all walks of life. This paper describes the course of development of network technology, and from the new generation of Internet, mobile IP technology, Content networking discusses the three aspects about the new modern network technology.
【Key words】 Network technology; IP over WDM; mobile IP; I Content networking
0引言
随着计算机技术的发展,网络技术也经历了从无到有的发展过程。尤其是从“信息高速公路”概念的提出,网络技术得到了空前的发展。各种新的网络技术层出不穷,如IPv6、宽带移动因特网、宽带接入新技术、10吉比特以太网、宽带智能网、网格计算、网络存储、无线自组织网络、主动网络、下一代网络和软交换等。这些技术的发展应用极大的推进了社会的发展,带来了极大的社会效应。
1现代网络技术的发展
计算机在19世纪40年代研制成功,但是直到80年代初期,计算机网络仍然被认为是一个昂贵而奢侈的技术。近20年来,计算机网络技术取得了长足的发展,在今天,计算机网络技术已经和计算机技术本身一样精彩纷呈,普及到人们的生活和商业活动中,对社会各个领域产生了如此广泛而深远的影响[7]。
1.1早期的计算机通讯
在PC计算机出现之前,计算机的体系架构是:一台具有计算能力的计算机主机挂接多台终端设备。终端设备没有数据处理能力,只提供键盘和显示器,用于将程序和数据输入给计算机主机和从主机获得计算结果。计算机主机分时、轮流地为各个终端执行计算任务。
这种计算机主机与终端之间的数据传输,就是最早的计算机通讯[6]。
1.2分组交换网络
分组交换的概念是将整块的待发送数据划分为一个个更小的数据段,在每个数据段前面安装上报头,构成一个个的数据分组(Packets)。每个Packet的报头中存放有目标计算机的地址和报文包的序号,网络中的交换机根据数据这样的地址决定数据向哪个方向转发。在这样概念下由传输线路、交换设备和通讯计算机建设起来的网络,被称为分组交换网络。
分组交换网络的概念是计算机通讯脱离电话通讯线路交换模式的里程碑。美国的分组交换网ARPANET于1969年12月投入运行,被公认是最早的分组交换网。法国的分组交换网CYCLADES开通于1973年,同年,英国的NPL也开通了英国第一个分组交换网。到今天,现代计算机网络:以太网、帧中继、Internet都是分组交换网络[8]。
1.3以太网
以太网目前在全球的局域网技术中占有支配地位。以太网的研究起始与1970年早期的夏威夷大学,目的是要解决多台计算机同时使用同一传输介质而相互之间不产生干扰的问题。夏威夷大学的研究结果奠定了以太网共享传输介质的技术基础,形成了享有盛名的CSMA/CD方法。
以太网的CSMA/CD方法是在一台计算机需要使用共享传输介质通讯时,先侦听该共享传输介质是否已经被占用。当共享传输介质空闲的时候,计算机就可以抢用该介质进行通讯。所以又称CSMA/CD方法为总线争用方法。
1.4INTERNET
Internet是全球规模最大、应用最广的计算机网络。它是由院校、企业、政府的局域网自发地加入而发展壮大起来的超级网络,连接有数千万的计算机、服务器。通过在Internet上商业、学术、政府、企业的信息,以及新闻和娱乐的内容和节目,极大地改变了人们的工作和生活方式。
Internet目前已经成为世界上规模最大和增长速度最快的计算机网络,没有人能够准确说出Internet具体有多大。到现在,我们的Internet的概念,已经不仅仅指所提供的计算机通讯链路,而且还指参与其中的服务器所提供的信息和服务资源。计算机通讯链路、信息和服务资源整体,这些概念一起组成了现代Internet的体系结构。
2现代网络新技术
2.1新一代因特网(IP over WDM)
2.1.1IP over WDM概述
自19世纪,90年代以来,人类进入了一个前所未有的信息爆炸时代,以IP为主的数据业务是当今世界信息发展的主要推动力 据有关专家预测,每6~8个月,主要ISP的因特网骨干链路的带宽需求就增长一倍,2005年以后 纯语音和数据流量之比1:99[15]。因而在未来传输平台趋于WDM化的过程中,IP over WDM必将成为新一代因特网的支柱[14]。
2.1.2IP over WDM工作原理
IP over WDM也称光因特网。其基本原理和工作方式是:在发送端 将不同波长的光信号组合(复用)送入一根光纤中传输 在接收端 将组合光信号分开(解复用)并送入不同终端构成光因特网。
2.1.3IP over WDM的组成
光因特网的网元包括光纤、激光器、掺饵光纤放大器、光耦合器、电再生中继器、转发器、光分插复用器、交叉连接器与交换机。非零色散偏移光纤因其色度色散的非线性效应小而最适合波分复用系统。掺饵光纤放大器大都是宽带的,能同时放大波分复用的所有波长;因系统对平坦增益的要求很高,在经过6个左右光放大器之后就需要进行一次电放大。光耦合器用来把光信号各个波长组合在一起和分解开来,起到复用和去复用的作用。
2.2移动IP技术
2.2.1移动IP技术的概念
所谓移动IP技术,就是移动用户在跨网络随意移动和漫游中,使用基于TCP/IP协议的网络时,不用修改计算机原来的IP地址,同时继续享有原网络中一切权限。移动IP技术是移动互联时代最基础、最关键的技术之一,也是实现任何时间、任何地方、与任何人通过任何方式进行任何业务通信的全球个人通信的关键技术之一。未来的移动网络将实现全包交换!包括话音和数据都由IP包来承载,话音和数据的隔阂将消失,移动IP技术是实现全球个人通信的关键技术和移动互联网的基石。
由于移动IP技术的应用有着广阔前景,它的开发已成为业界研究的热点,此前,一些相关规定也相继出台,许多商家已经出台了应用技术方案和设备,移动IP的应用已经悄然开始。
2.2.2移动IP的基本原理
使用传统IP技术的主机使用固定的IP地址和TCP端口号进行相互通信[1],在通信期间它们的IP地址和TCP端口号必须保持不变,否则IP主机之间的通信将无法继续。而移动IP的基本问题是IP主机在通信期间可能需要在网路上移动,它的IP地址也许经常会发生变化。而IP地址的变化最终会导致通信的中断[18]。
如何解决因节点移动(即IP地址的变化)而导致通信中断的问题?蜂窝移动电话提供了一个非常好的解决问题的先例。因此,解决移动IP问题的基本思路与处理蜂窝移动电话呼叫相似,它将使用漫游、位置登记。隧道技术、鉴权等技术。从而使移动节点使用固定不变的IP地址,一次登录即可实现在任意位置(包括移动节点从一个IP(子)网漫游到另一个IP(子)网时)上保持与IP主机的单一链路层连接,使通信持续进行。
2.2.3移动IP技术发展三部曲
第一步:IP业务与移动通信结,在电路交换的移动通信网络中引入IP电话业务。IP电话是一种新的电话业务,是在IP网络承载话音技术创新的产物。它把话音进行压缩编码,打包分组,路由分配,存储交换,解包解压缩等变换处理,在IP网络上实现话音通信。第二步:在GSM网络中引入IP分组数据业务。GPRS是一个从空中接口到地面接入网再到核心网络部分都分组化的数据通信网络。第三步:三代移动通信网络的发展方向将是一个全IP的分组网络。
2.3物联网
2.3.1物联网的概述
物联网是新一代信息技术的重要组成部分。物联网的英文名称叫“The Internet of things”[3]。顾名思义,物联网就是“物物相连的互联网”。这有两层意思:第一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物体与物体之间,进行信息交换和通信。因此,物联网的定义是:通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物体与互联网相连接,进行信息交换和通信,以实现对物体的智能化识别、定位、跟踪、监控和管理的一种网络。
2.3.2物联网的关键技术
物联网的关键技术有短距离无线通讯(zigbee、wifi、蓝牙等)、低功耗无线网络技术、无线传感器网络、无线定位、射频识别(RFID)(高频、超高频)、远程网络、多网络融合等。物联网关键领域有:1. RFID;2.传感网;3. M2M 4. 两化融合[5]。
物联网的发展,也是移动技术为代表的普适计算和泛在网络发展的结果,带动的不仅仅是技术进步,而是通过应用创新进一步带动经济社会形态、创新形态的变革,塑造了知识社会的流体特性,推动面向知识社会的下一代创新形态的形成。移动及无线技术、物联网的发展,使得创新更加关注用户体验,用户体验成为下一代创新的核心。技术更加全面,体验更加丰富成为新一代物联网的发展目标。
3结束语
当今社会,已离不开网络,网络创造了一种新的文化,给我们的生活生产学习带来了翻天覆地的变化。各种新的网络技术不断发展,解决各种难题,极大提高人们生活水平。但在网络发展的同时,也面临许多挑战,比如网络安全问题,网络传输问题等,只要不断创新,迎接新的挑战,才能不断解决各种新问题,使社会取得更大的进步。
参考文献
[1] 温维敏,张永波,李艳萍. 当前移动通信中的关键技术[J]. 中国新通信, 2010, (01) .
[2] 赵斌锋,罗青松,王航. 自动交换光网络(ASON)设备的设计与实现[J]. 光通信技术, 2010(06)
[3] 苏志毅. 移动SNS系统设计[J].软件,2010,31(10):40-43.
[4] 张辉,陈古典. 基于物联网的城市消防远程监控系统[J]信息化研究,2010, (10) .
[5] 储忠圻.现代通信新技术[M].机械工业出版社.
[6] 张晓明.计算机网络教程[M].北京:清华大学出版社,2010.
[7] 黄要武.计算机网络教程[M].大连:大连理工大学出版社,2009.
[8] 张丽,张明国.网络技术与网络文化的互动关系研究[J].重庆大学学报(社会科学版),2003,9(3):146-148.
[9] 王力,王艳双.网络管理技术的研究与应用[J].中国科技论文在线,2010,7:32.
[10] 张宏科.IPv6网络技术的现状和未来[J].中国科技论文在线,2009.
[11] 沈苏彬,范曲立,宗平,毛燕琴,黄维. 物联网的体系结构与相关技术研究[J]南京邮电大学学报(自然科学版), 2009, (06) .
[12] 陈鹏. 三网融合背景下电视内容产业升级战略[J]. 电视研究, 2011,(01)
[13] 杨忠宁. 论三网融合下电视媒介的生存之道[J]. 新闻知识, 2010,(12)
[14] 张宁. 新一代移动通信技术――4G[J]. 电力职业技术学刊, 2009,(01) .
[15] 张函清. 第四代移动通信技术研究[J]. 黑龙江科技信息, 2010, (15) .
[16] 齐星云. 高性能计算机无缓存光互连网络技术研究[D].国防科学技术大学,2009
[17] 战文杰,张引发,赵丽丽. 光网络域间自动邻居发现方法研究[J]. 光通信技术,2010,(01)
[18] 2010中国通信产业十大新闻[J]. 移动通信, 2010,(24)
[19] 李东卫. 三网融合发展视角下创新商业银行零售业务的思考[J]. 贵州农村金融, 2010, (10)
[20] 李文耀. FTTH是实现三网融合的必备选择[J]. 通信世界, 2011,(03)
[21] 张玲,巩稼民,张亮. 光网络的核心器件―光交叉连接器[J]. 西安邮电学院学报,2010,(01)
关键词:广域网;计算机;网络设计;应用实施
Abstract: with the rapid development of computer technology, computer technology has been applied to every detail of daily life, computers have become indispensable tool in people's life, it also heralds the society already entered the information society today. And based on computer network also began with the rise of the network economy and rapid development. This article will detail now in under the influence of network economy, computer wide-area network design and implementation of related problems.
Key words: wide area network; The computer; Network design; Application implementation
中图分类号: G623.58 文献标识码:A 文章编号:2095-2104(2013)
一、计算机广域网的概念及其作用
广域网也被称为远程网,又常用英语简称为WAN(Wide Area Network)。一般来说,广域网可以跨界很大的物理范围,覆盖范围多为几十公里到几千公里不等,其中包含了大量计算机的计算机网络。广域网能够连接不同的地区、城市、国家,甚至可以横跨几个洲,提供远距离通信,形成国际性的远程网络。自二十世纪七十年代中期至今,广域网发展十分迅速,如今不仅可以远距离传送计算机数据和信息,还可以传中各种多媒体信息,如声音、音像和图片等。世界上第一个广域网是ARPANET网,这是美国国防部高级研究计划管理局在1969年11月所建立的网络,当时只有四个结点,分布在美国不同地方的思索大学里。ARPANET通关无线分组交换网和卫星通信网,利用电话交换网互联四个借点的。ARPANET的建成和成功运行,证实了计算机网络的优越性,同时也为世界各国的远程大型网络提供了实践经验,并最终产生了如今世界最大的广域计算机网络——Internet。
广域网是由多个不同协议、不同结构的局域网连接而成,其中包括各种不同类型的计算机和运行在计算机上的各种不同业务,常采用分组点到点的通信方式连接数据收发双方的地址。因此,广域网往往具有不规则的结构,而且进行管理和控制时其复杂性也大大提高,安全性也较低。由于广域网的结构复杂和难于控制,传输数据的时长较长,线路稳定性也相对较差,且其信息的传输速率也没有局域网的高。在使用局域网时,广域网可连接路由器,为局域网提供转接服务。
尽管广域网的数据传输速率比局域网慢,但由于它能够适应大容量突发通信、综合业务服务的要求,具有烤房设备接口和规范化的协议,一系列完善的通信服务和网络管理等等着各方面的优点,广域网还是被很多中小型企业所热衷。
根据广域网传输类型,广域网主要可以分为以下三种类型:
公共传输网络。
公共传输网络大致又可以分为两类:电路交换网络和分组交换网络。一般来说,公共传输网络由政府的电信部门组建、管理和控制的,公共传输网络里的传输和交换装置可以任意租用或提供给每一个政府部门和工作单位使用。
(二)专用传输网络
专用传输网络大多是由自由组织或自由团体自己建立、使用、控制和维护的,是属于私有的通信网络,常用的网络形式是数字数据网。
(三)无线传输网络
无线传输网络主要是移动无线网。GSM和GPRS技术就是典型的无线传输网。
对照OSI的参考模型,如今广域网络技术主要位于底层的三个层次:物理层、数据链路层和网络层。日常使用的广域网技术和OSI参考模式之间的对应关系多为:点与点链路、电路交换、包交换和虚拟电路。
二、计算机广域网的设计及其实施效果
由于近数十年计算机广域网的迅速发展,以计算机为核心在传统经济基础上产生的网络经济也有了飞跃性的发展。
网络经济的发展对现代中、小企业都产生了重大的影响,性生产、经营到管理等各个环节都离不开计算机广域网的身影。在网络经济的推动下,企业的生产组织、内部组织、经营和管理方式都发生了巨大的变化,不断地改变,最终改变现代企业基本的商业模式。
在网络经济中,网络安全是最不可忽视的问题,一旦企业的网络资源和敏感信息被泄露了,那么后果将会是不堪设想。因此,构建一个成功的网络安全问题是一个非常重要的问题,其中涉及到从单机到网络的每个方面。在设计广域网的时候,要确保网络资源得到足够的保护,能限制某些不明用户的访问,否者访问者就能够做授权用户所能做的一切事情。其次,要注意敏感信息是否被泄露又或者是充当了别人的跳板。曾有某用户的因特网连接被其他人用来在某个站点下载不适宜的内容,使该用户面临严重的法律问题。
因此,在设计广域网前必须要先了解用户的计算机情况,包括大约有多少台运作的电脑主机、分为多少部门又或是Internet的接入点在哪里等等,这些都是必须要先了解到的情况,再根据实际情况进行相关配置要求的设备和适宜的设计技术等。其中路由的选择的是不可忽视的。
分组交换网络的由很多个节点经由通信链路所连接而成的任意的网络形状。当数据从一个主机传输到另外一个主机时,有多种不同的可能路径选择。在这些可能路径选择一条跳数最小、延时最小或最大可用带宽时,路由的算法就可以轻松确定网络上这两个主机之间的最佳路径。
在进行路由算法时,必须要随时了解到下列网络状态的各种信息:
路由器必须知道哪一个外出接口是到达另一个主机的最佳路径;
路由器必须确定路由是否激活了对这个网络协议组的支持;
路由器必须要知道目的地的网络的具置。
在确认了以上的信息之后,就可以根据实际得带宽、延时、成本或跳数去确定路由选择算法,不同的状况有不同路由算法,如:距离矢量路由算法、链路状态路由算法、扩散法、源路由算法和偏差路由算法,以及在目前被广泛使用的Bellman-Ford算法和Dijkstra算法
广域网设计的常用技术包括:VLAN技术、端口聚合、NAT技术和ACL技术等等。这几种设计技术在搭建和维护广域网的时候起到了重大作用。
在进行网络设计时,不仅要根据使用主机及局域网的实际情况开展设计,还要注意一下五大特点,以确保广域网的安全性能和已于扩充和升级。
1.重点突出技术先进性。广域网络在满足基本的实用性时,还要突出技术的先进性。一个先进的技术成熟的广域网络,不仅可以确保产品具有优良的先进性和通用性,用户也会得到较好的保障。
2.具备高安全性和可靠性。对于一个企业来说,数据和系统的安全性具有极重大的意义,因此,设计的网络系统在数据的储存、传递交换和使用的过程都应该要设置有相关的安全机制,确保数据的安全、可信度。
3.考虑经济性和实用性。在设计一个采用成熟的设备、通信技术的网络技术时,要同时兼顾到企业已有的设备,充分利用现有的信息资源,保护原来的已储存的数据,在满足各种应用需求和网络连接的同时也要为未来可能出现的新要求做好支持的准备。
4.具备很强的开放性。为了使网络更易于扩充和升级,可适当采用开放式的网络体系,对外界不断改变的环境可以有足够的应变能力,同时可以因需求而不断进行调整和升级。
5.支持多项服务功能。要确保在计算机广域网络上运行的视频通讯和应用系统之间不受彼此运行影响,这对于企业来说也是十分重要的。
当真正实施所设计的计算机广域网络时,要确保该网络可以一直保持稳定运行,各系统、平台正常使用,这才是一个成功的计算机广域网络的设计。
三、结语
广域网通常会跨接很大的物理范围,以便连接多个城市或国家并为其提供远距通信。广域网多彩同点到点连接方法,可以提供一个比局域网更好更快的传输,因此多倍企业采用为连接更广泛的获取信息资源。
为企业设计计算机广域网络是,应全面考虑到企业的经济承担能力,通过分层的设计保证运作系统的稳定性、可靠性和高安全性,节约投资。而最重要的是注意网络系统的实用性,使网络系统尽快得到充分的发挥,便于掌握,当然,这些都少不了现今社会上先进技术的运用。
参考文献:
[1]陈明,计算机广域网络教程[M],清华大学出版社,2008
[2]祝振宇,翟建立,刘芳,叶仕通,计算机基础教程[M],清华大学出版社,2010
关键词:网络化数字资源综合教学平台;数据库;虚拟技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)07-1522-02
1 网络化数字资源综合教学平台概述
随着多媒体网络技术的飞速发展,信息技术不断完善,丰富多样的教学模式层出不穷,高校的信息化建设也在高速发展,为了满足师生对信息化教学模式的渴望,网络化数字资源综合教学的建设势在必行。结合实际情况,以及对未来投资建设的综合规划,将平台的总体建设分为三期,预计在5年之内可以完成全部建设。
项目在一期全面完成后,可以满足我校区的教学要求。日后的专家讲座、精品课系列都可以通过远程教育平台实时向全校师生;
项目在二期通过“网络化数字资源综合教学平台”可以满足对其他兄弟院校,以及有接受教育需求的外校人员学习、交流的目的;与国内、国际大学的在线学术交流可在本项目的平台搭建完成后成为现实。
项目在三期完成后依托学院校园网络、广域网、以及未来的无线网,按照学科专业建设的内涵,科学分类,有机组织,系统设计了信息资源服务平台和教学科研支持环境。针对现有资源和即将收录的资源,统筹规划,统一标准,整合资源,共建共享,搭建学科建设信息平台,以达到不断提高学院网络应用水平和建设效益的目的。
平台建设成功后,不需要过多的资金再投入,只要再增添网络教室就可以满足教育部教学改革要求和网络化考试、实时视音频资源的以及以上的需求。这样既节省了资金,又避免了重复建设。
2 网络化数字资源综合教学平台的特点
1) 一体化建设,避免“信息孤岛”:鉴于单独构建网络教学平台或教学资源库易于形成“信息孤岛”,很多高校教训深刻。针对学校教学教务信息化的特点,直接构建“课程资源管理平台”。同时该平台还能和校内其它相关系统进行整合,形成统一的数字校园应用平台。
2) 适应教育部“二期质量工程”对高校教育教学信息化提出的要求:满足教育部对“二期质量工程”提出的专业点建设、精品课程建设、高水平教学团队建设、教学资源建设、多种模式教学过程和环节信息化支持等方面的要求。
3) 功能完整,有机整合,个性化构建:采用构件技术,进行模块化的设计,能够针对学校需求进行系统定制,构建个性化的课程教学资源管理平台,平台建设完成后可以提供如下系统和资源:
(1) 通用教学管理平台
(2) 课程建设展示平台
(3) 网络互动自主学习中心
(4) 网络化考试平台
(5) 无线网络学习平台(含卫星)
(6) 网络数字资源综合管理平台
(7) 精品课程直播录制工作站
(8) 精品课程内容管理及信息
(9) 国家级及省级精品课程库
(10) 全球开放网络课程库
(11) 教务管理系统的数据接口
4) 教师一次课程建设,多种需求满足:相对独立的课程教学、精品课程评审和课程公开展示,将需要教师进行大量的重复性课程建设工作,平台建设后将几个系统进行有机整合,使得教师摆脱繁重的重复性工作。
5) 主流技术,安全稳定:采用基于Unix或Linux操作系统和大型数据库Oracle方案的自主知识产权教学应用系统,避免脆弱的Windows架构,保证大规模并发时的稳定性,从安全性和运行效率等多方面更适合大学应用,也是目前高校数字校园建设的主流技术架构。
6) 符合规范,接口开放,能够可持续发展:符合国内高校数字校园建设规范,提供与教务管理系统的接口,实现无缝挂接,有机的构建优秀数字校园综合应用系统,具有可持续提升功能和生命周期长的特点。网络化数字资源综合教学平台功能说明
平台以“课程教学”为核心,用户划分为教师、学生、管理员、教务员四种角色,支持课程的长期滚动建设以及教学资源的积累与共享,支持教学过程跟踪统计分析,教学过程与评价展示相结合。
3 系统结构简介
系统底层硬件采用云计算机技术构建。由所选服务器通过虚拟技术构成云计算节点,各类服务系统直接架构于云节点之上,提供高可靠性、高扩展性和高灵活性的服务
资源系统的服务端主要由点播服务器、直播服务器、采集服务器、管理服务器、数据库服务器、存储设备等组成。
1) 点播服务器 一方面为终端用户提供视频流传输控制服务,并对流量负载提供完善的处理机制,另一方面为核心应用提供强大的系统管理服务。
2) 直播录制采集服务器 为用户提供实时现场直播和文件广播服务。在校园网内,要求网络设备支持跨网段广播,否则可能会导致用户接收不到直播节目。
3) 采集服务器 把从模拟的视频信号进行采集编码成数字信号,用以计算机进行处理。Osprey 450e支持4路独立采集,解决单路采集卡占用服务器过多插槽问题,最大化的利用采集服务器的资源。
4) 管理服务器和数据库服务器安装控制台,对各服务器进行管理和运行数据库服务程序。用于存储管理节目信息,为用户检索查询节目提供服务,存储管理用户信息,提供登录、认证服务,存储管理日志记录,为查询统计和维护提供服务。
5) 通用网络教学管理平台系统服务器运行教学管理系统。
考虑到较高的稳定和安全性能,我们建议将应用服务器和数据库服务器分离部署,把存储的文件放到磁盘阵列上,三者之间通过千兆以太网或光纤连接,增强了系统性能及安全性,存储的共用还避免了文件的重复存储,提高空间利用率。
4 结束语
多媒体网络教学是我国高校在教育改革上势在必行的趋势,在信息化高速发展的今天,高校的信息化建设应该乘势而上。搭建一个网络化数字资源综合教学平台,不是单纯的硬件和软件的罗列,而是为了将数字资源有效的利用起来,不但能够要利用好这些资源,更要有一个长远的眼光,将庞大的资源有机结合起来,形成一套成熟的体系结构。
参考文献:
[1] 陈少红.计算机网络基础[M].北京:清华大学出版社,2006.
[2] 余青松.网络实用技术[M].北京:清华大学出版社,2006.
[3] 马秀麟.计算机应用基础[M].北京:清华大学出版社,2005.
关键词:指纹系统,安全防范,防御机制
一、概述
指纹信息系统作为一种公安工作的局域网,有其特定含义和应用范畴,它积累信息为侦察破案提供线索,概括起来有四个方面的典型应用:第一,指纹系统是为公安工作服务的,是一种刑事侦察的工具,它是各地、市之间指纹交流工具,也是指纹信息资源的提供者。第二,指纹系统是为侦察破案提供线索,为案件进展提供便利服务的。第三,指纹系统积累犯罪嫌疑人信息,如嫌疑人的指纹管理、前科管理、基本信息管理等,为串、并案件提供可靠依据。第四,指纹系统是沟通与其他公安工作的窗口,利用它既可以获取各种信息,也可以向其他公安工作相关信息。
二、指纹信息系统安全的主要问题
随着网络在公安工作各个方面的延伸,进入指纹系统的手段也越来越多,因此,指纹信息安全是目前指纹工作中面临的一个重要问题。
1、物理安全问题
指纹信息系统安全首先要保障系统上指纹数据的物理安全。物理安全是指在物理介质层次上对存贮和传输的指纹数据安全保护。目前常见的不安全因素(安全威胁或安全风险)包括两大类:第一类是自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电、断电、电磁干扰等),意外事故。第二类是操作失误(如删除文件、格式化硬盘、线路拆除等),意外疏漏(如系统掉电、“死机”等)。
2、指纹操作系统及应用服务的安全问题
现在应用的主流操作系统为Windows 操作系统,该系统存在很多安全隐患。操作系统不安全也是系统不安全的重要原因。
3、非法用户的攻击
几乎每天都可能听到在公安网上众多的非法攻击事件,这些事件一再提醒我们,必须高度重视系统的安全问题。非法用户攻击的主要方法有:口令攻击、网络监听、缓冲区溢出、邮件攻击和其他攻击方法。
4、计算机病毒威胁
计算机病毒将导致指纹系统瘫痪,系统程序和指纹数据严重破坏,使系统的效率和作用大大降低,系统的许多功能无法使用或不敢使用。虽然,至今还没过出现灾难性的后果,但层出不穷的各种各样的计算机病毒活跃在公安网的各个角落,令人堪忧。计算机病毒是指人为制造的干扰和破坏计算机系统的程序,它具有传染性、隐蔽性、潜伏性、破坏性等特点。通常,我们将计算机的病毒分为“良性”和“恶性”两类。所谓良性病毒是指不对计算机数据进行破坏,但会造成计算机工作异常、变慢等。 恶性病毒往往没有直观表现,但会对计算机数据进行破坏,有的甚至会破坏计算机的硬件,造成整个计算机瘫痪。前段时间流行的冲击波、震荡波、狙击波病毒,它们根据 Windows漏洞进行攻击,电脑中毒后1分钟重起。在重新启动之前,冲击波和震荡波允许用户操作,而狙击波不允许用户操作。病毒是十分狡猾的敌人,它随时随地在寻找入侵电脑的机会,因此,预防和清除计算机病毒是非常重要的,我们应提高对计算机病毒的防范意识,不给病毒以可乘之机。
三、指纹系统的安全防范措施
指纹信息系统是一个人机系统,需要多人参与工作,而系统操作人员是系统安全的责任主体,因此,要重视对各级系统操作人员进行系统安全的教育,做到专机专用,严禁操作人员进行工作以外的操作;下面就本人在实际工作中总结的一些经验,谈一 谈对指纹信息系统的维护与病毒的预防。
1、 对指纹系统硬件设备和系统设施进行安全防护
(1)系统服务器安全:服务器是指纹系统的大脑和神经中枢,一旦服务器或硬盘有故障,轻者将导致系统的中断,重者可能导致系统瘫痪或指纹数据丢失,因此在服务器端,可以采用双机热备份+异机备份方案。论文大全。在主服务器发生故障的情况下,备份服务器自动在 30 秒 内将所有服务接管过来,从而保证整个指纹系统不会因为服务器发生故障而影响到系统的正常运行,确保系统 24小时不间断运行。在磁盘阵列柜,我们可安装多块服务器硬盘, 用其中一块硬盘做备份,这样可保证在其它硬盘发生故障时,直接用备份硬盘进行替换。
(2)异机数据备份:为防止单点故障(如磁盘阵列柜故障)的出现,可以另设一个备份服务器为,并给它的服务设置一个定时任务,在定置任务时,设定保存两天的备份数据,这样可保证当某天指纹数据备份过程中出现故障时也能进行指纹数据的安全恢复。通过异机备份,即使出现不可抗拒、意外事件或人为破坏等毁灭性灾难时,也不会导致指纹信息的丢失,并可保证在1小时内将指纹数据恢复到最近状态下,使损失降到最低。
(3)电路供应:中心机房电源尽量做到专线专供,同时采用UPS(不间断电源),部分非窗口计算机采用300 W 延时20分钟的 UPS进行备用,这样可保证主服务器和各服务窗口工作站不会因电源故障而造成指纹信息的丢失或系统的瘫痪。
(4)避雷系统:由于通信设备尤其是裸露于墙体外的线路,易受雷击等强电磁波影响而导致接口烧坏,为对整个系统进行防雷保护,分别对中心机房、主交换机、各分交换机和各工作站进行了分层次的防护。
(5)主机房的防盗、防火、防尘:主机房是系统中心,一旦遭到破坏将带来不可估量的损失,可以安装防盗门,或安排工作人员24小时值班。同时,由于服务器、交换机均属于高精密仪器,对防尘要求很高,所以对主机房进行装修时应铺上防静电地板,准备好(电火)灭火器,安装上空调, 以保证机房的恒温,并派专人对主机房的卫生、防尘等具体负责。论文大全。
(6)对移动存储器,借出时要写保护,借入时要先杀毒;
(7)不使用盗版或来历不明的软件,做到专机专用,在公安内网的机器不准联到互联网上使用;
2 、 全方位的系统防御机制
我们常说“病从口入”所以要做到防患于未然,必须切断计算机病毒的传播途径,具体的预防措施如下:
(1)利用防病毒技术来阻止病毒的传播与发作。
为了使系统免受病毒所造成的损失,采用多层的病毒防卫体系。在每台PC机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,并在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个工作人员的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个指纹系统不受病毒的感染。
(2)应用防火墙技术来控制访问权限。
作为指纹系统内部网络与外部公安网络之间的第一道屏障,防火墙是最先受到重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着公安网络安全技术的整体发展和公安工作中网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。 在系统出口处安装防火墙后,系统内部与外部网络进行了有效的隔离,所有来自外部的访问请求都要通过防火墙的检查,这样系统的安全有了很大的提高。论文大全。防火墙可以通过源地址过滤,拒绝非法IP 地址,有效避免公安网上与指纹工作无关的主机的越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降低到最小限度,使非法用户无机可乘;防火墙可以制定访问策略,只有被授权的外部主机才可以访问系统的有限IP地址,保证其它用户只能访问系统的必要资源,与指纹工作无关的操作将被拒绝;由于所有访问都要经过防火墙,所以防火墙可以全面监视对系统的访问活动,并进行详细的记录,通过分析可以发现可疑的攻击行为;防火墙可以进行地址转换工作,使外部用户不能看到系统内部的结构,使攻击失去目标。
(3)应用入侵检测技术及时发现攻击苗头。
入侵检测系统是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要是因为它能够对付来自系统内外的攻击,缩短入侵的时间。
(4)应用安全扫描技术主动探测系统安全漏洞,进行系统安全评估与安全加固。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高指纹系统的安全性。通过对系统的扫描,系统管理员可以了解系统的安全配置和运行的应用服务,及时发现安全漏洞,客观评估系统风险等级。系统管理员也可以根据扫描的结果及时消除系统安全漏洞和更正系统中的错误配置,在非法用户攻击前进行防范。
(5)应用系统安全紧急响应体系,防范安全突发事件。
指纹系统安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生改变。 在信息技术日新月异的今天,即使昔日固若金汤的系统安全策略,也难免会随着时间和环境的变化,变得不堪一击。因此,我们需要随时间和系统环境的变化或技术的发展而不断调整自身的安全策略,并及时组建系统安全紧急响应体系,专人负责,防范安全突发事件。
参考文献:
[1] JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104
[2] J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284
[3] 张 敏,徐 震,冯登国.基于安全策略模型的安全功能测试用例生成方法,软件学报(已投稿),2006
[4] 何永忠.DBMS安全策略模型的研究:[博士学位论文],北京市石景山区玉泉路19号(甲):中国科学院研究生院,2005
[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992
[6]蒋平.计算机犯罪问题研究[M].北京:电子工业出版社,2002.
[7]高铭喧.新编中国刑法学[M].北京:中国科学技术出版社,2000.
[8]朱广艳. 信息技术与课程整合的发展与实践[J]. 中国电化教育,2003(194):8- 10.
[9]黄叔武 刘建新 计算机网络教程 清华大学出版社 2004年11 月
[10]戴红 王海泉 黄坚 计算机网络安全 电子工业出版社2004.9.8
[11]丁志芳, 徐梦春. 评说防火墙和入侵检测[J]. 网络安全技术与应用, 2004,(4):37- 41.
[12]周国民. 黑客苏南与用户防御[J].计算机安全, 2005,(7):72-74.
[13]周筱连. 计算机网络安全防护[J].电脑知识与技术( 学术交流) ,2007,(1).
[14]阿星. 网络安全不容忽视[J]. 电脑采购周刊, 2002,(32).
[15]网络安全新概念[J].计算机与网络, 2004,(7).
[16]王锐. 影响网络安全的因素及需要考虑的问题[J]. 计算机教育, 2005,(1).
关键词:企业网;三层交换机;VLAN技术
一、项目意义及背景
在以网络为核心的信息时代,谁拥有“信息资源”,谁能有效使用“信息资源”,谁就能在各种竞争中占据主导地位。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速地传递信息。这里所说的网络是指电信网络、有线电视网络和计算机网络。这三种网络向用户提供的服务不同。这三种网络在信息化过程中都起到十分重要的作用,但在其中发展最快的并起到核心作用的是计算机网络。它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地在各个部门之间传递。
因此,有必要建设好中小型企业信息网络,以最大限度的达到信息资源恭喜那个,并使用电子信息的传递取代纸面文件、材料的传送,逐步实现:无纸办公,改变传统的工作模式,进一步提供工作效率。同时,利用各种业务信息的综合分析,为各级领导提供决策支持,更好地组织生产和经营。
(一)上海企业网分析
上海企业公司,总部设立在上海,在苏州设有分公司。总部信息点的数目非常多,加之出于业务对网络的可用性要求非常高。故采用设备加链路全冗余的方案进行部署并且在冗余的核心交换机上部署了链路聚合技术增加带宽以保障内网交换出现拥塞现象。总公司的交换区域部署方案上我们采用VLAN技术将单个局域网划分成若干逻辑意义上的局域网来适配每个部门,保障各部门之间的数据通信的安全性、减少广播风暴造成的带宽浪费,并且使笔记本等移动终端设备能便捷的接入到自己部门的局域网中。
苏州分公司相对总公司因其结构简单和信息点数目少,所以在网络规划上要较总公司简单许多。为了节约成本,分公司的交换区域将不采用冗余设计,以单台多层交换机作为核心层,三台二层交换机作为接入层的设备连接各个信息点。其余方面将同总公司采用相同的技术来进行部署,其特点在上面已经提及,就不再赘述。
二、企业业务需求分析
该企业要求总部与分部能实现全网连通,共享系统资源,总部与分部能访问服务器上的业务资源。
(一)企业设计要求分析
1.灵活性原则
网络设计具有较高的适应变化能力,能方便快捷的进行网络的扩展。
2.可用性原则
可用性原则决定了所设计的网络系统是否能满足用户应用和稳定运行的需求。网络的“可用性”主要表现了网络的“可靠性和稳定行“,要求网络系统能长时间稳定运行而不经常出问题。
3.冗余性原则
网络硬件设施也是有寿命的,由于使用方式、人为、自然灾害、突况导致的线路,设备的瘫痪对网络的打击是致命的。所以增加网络的冗余性是绝对不能少的。
4.安全性原则
网络安全也设计许多方面,最明显、最重要的就是外界入侵、攻击的检测与反复。我们应根据安全需求而部署相应的防护系统。网络系统的安全性需求还体现在数据备份和容灾处理方面。
5.无瓶颈原则
这是非常重要的,否则会造成高成本购买高档次设备,却得不到相应的高性能。网络性能与网络安全性能,追踪取决于网络通信链路中性能最低的那部分设备。在进行网络系统设计时,一定要全局综合考虑各部分的性能,不能只注重局部的性能配置,特别是交换机端口、网卡和服务器组件配置等方面。
(二)可行性分析
由于没有真实设备的条件,我将采用GNS3模拟器去完成该企业的组网。其中所涉及的路由器和交换机的系统采用cisco公司的IOS,并采用Vmware模拟服务器。
三、企业网络总体规划实现
总体规划是企业网建设的总体思路,是建设好该企业网的核心人物,对于这个企业网络总体的设计,我首先与公司的相关人员进行交流,并进行必要的信息收集,得知公司对其所实现的企业网络的总体需求,同时对于公司业务的划分和公司发展的趋势,在规划时能全面的考虑未来的扩展性,同时结合公司结构的特点,采用相应的技术。以下是该公司网络的规划的详细思路:
根据所获得的企业需求,以及结构进行分析,采用接入层和核心层实现企业内网交换区的部署,并在交换区采用VLAN将各个部门的网络从逻辑上分割开,保证每个部门的网络的独立性。在核心层的两台核心交换之间部署链路聚合技术,提高带宽增加数据吞吐的能力,同时还做到冗余性。
在广域网规划上采用OSPF路由选择协议,并且以多区域的形式部署在该企业网上,并且在总公司和分公司部署Totally stub区域减少LSDB数据的大小,减轻三层设备的负担,优化网络的性能。
(一) IP地址规划
IP地址作为计算机或网络节点在网络上的唯一标识,能够保证互联网上千千万万的设备寻找到自己的目标。在互联网上的设备不当要有属于自己用于身份标识的IP地址,还必须遵循网络中的IP协议。IP地址规划是整个企业网络设计中最基础的部分。该企业网络在IP规划采用VLSM技术进行IP子网化。
四、VLAN网络技术
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。但又不是所有交换机都具有此功能,只有VLAN协议的第二层以上交换机才具有此功能。
交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
五、结语
对该企业网的构思、绘制拓扑、撰写方案、实施组建等一系列流程进行论述。使我们对企业网建设工程有了一个比较深入的了解,企业网络作为意向重要的系统工程,它所用到的各种技术是多方面的,即有网络技术、工程施工技术,也有管理制度等各个方面的只是。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我们去学习与研究,并能将其应用到实际的网络工程建设之中。
【参考文献】
[1]周昕,数据通信与网络技术(第2版)[M].北京:清华大学出版社,2014
[2]陈网凤,网络设备配置与管理[M].北京:清华大学出版社,2014
1现代远程教育的概念
现代远程教育是随着现代信息技术的发展而产生的一种新型远程教学形式,它以计算机通信技术和网络技术为依托,采用远程实时多点双向交互多媒体现代化教学手段,实现跨越时间和空间的教育传递过程[1]。现代远程教育属于远程教育形式的一种,是教育事业发展中区别于传统教学的一种创新性、革命性的教育模式,其最具有象征性的特征表现为教师和学生在空间和地理上永久性分离,通过网络技术实现自主学习。“远程教育”这一概念从提出到发展已经历三代:第一代是函授教育;第二代是广播电视教育;第三代为计算机及计算机网络,基本特征是利用计算机网络和多媒体技术进行教学活动,被称为“现代远程教育”。在我们的日常生活中,接触最多的如BBS、聊天室、E- mail 进行讨论和交流的方式都属于现代远程教育的应用领域。
2现代远程教育的特点
2.1开放性
指对教育对象、资源、教育方式、教育场合、教育时间的开放。任何年龄阶段的学习者都可参与其中,冲破了传统教育对学习者年龄、户籍、经费等因素的限制,满足了社会大众对知识技能的需求,弱化了传统教育形式的概念,为学习者的学习提供了更为有利、自主的学习平台,真正实现了资源公平化和教育公平化。
2.2多样性
现代远程教育的多样性体现在学习者类型特征上,在传统教学活动中,学习者特征体现在个性与共性方面,即相同学习阶段的学习者,在年龄、性格、心理、认知能力等多方面都有着相同或相似的特征。在通过远程教育学习的学习者中,年龄层次不齐,认知能力存在很大的差异性。学习者种类的多样性,是现代远程教育顺利实施和开展面临的比较严峻的挑战。
2.3教学形式由以教为主变为以学为主
在中国几千年的教与学中,以教为主的教育形式在人们的思想观念中有着根深蒂固的影响。信息技术的普及,并被逐渐的引入教学领域,使教育形式注入了新的活力,由原来的“以教为主”向“以学为主”的形式转变,更加凸显了个性化的教学模式。现代远程教育是“以学为主”最具有代表性的一种教育形式,依靠学习者的学习动机和自主性完成整个教学活动,最大程度的发挥了学习者自主学习的能动性。
2.4知识共享
信息技术教育包括的内容有:信息知识、信息观念、信息能力和信息道德等方面的内容[2],现代远程教育是基于信息技术的教育。传统教育中,教材是学习者最直接的学习资料,在学习内容的选择上,总处于被动地位,即教材怎样选,学生怎样学。而在现代远程教育中,学习者可通过网络获取有用的学习资源,如观看一些名师专家的讲座,或是学习网络教程等,在学习内容的选择上有很大的自主性。其次,各大高校在校园网站上都会开发精品课程,教师或学生都可通过网络实现知识和资源共享。
3现代远程教育在教学中的作用
3.1现代远程教育有利于个性化学习
以学生为中心的个性化教与学是教育发展的必然趋势,现代远程教育的形式符合学习者自主学习的条件,在时间、地点、空间和内容选择上给学习者提供了很大的自主性,学习者完全可以根据自身的情况和对知识的认知能力进行意义构建,极大地培养了学习者的自主学习能力。
3.2现代远程教育有利于终身学习意识的构建
知识的快速更新,给社会中各个领域的人们提出了更高的要求,即建立一种终身学习的意识和观念。学校教育只是一个人学习中的一个阶段,在进入工作岗位后,在已有知识经验基础上需要不断地扩充新的知识,才会适应信息时代社会的飞速发展。现代远程教育为各类学习者的终身学习提供了学习的机会,是适应不同学习需要层次的一种新的教育模式。
3.3现代远程教育对传统教学具有辅助作用
新时代下的今天,现代远程教育模式是在传统教学基础上适应时代的发展应运而生的,虽然现代远程教育模式有诸多优于传统教育模式的特点,但从系统方法论的角度来看,两者之间并不是取代的关系,而是相互影响、结合,在教学中发挥更大的作用,且现代远程教育对传统教学具有辅助作用。
3.4现代远程教育有助于教师专业化发展
远程教育以课程资源的形式呈现给学习者,知识的传播者仍然是教师,对于学习者来说,课程资源质量的高低直接影响学习者知识构建的效果,所以,这就对教师的教学能力和研究能力有了更高的要求。和传统教学不同,远程教育的学习者特征更加复杂,新形势下的教育教学对教师的专业化发展提出更高的要求,教师的专业化发展,是每个教师自发的进行自我提高的过程。鼓励教师开发远程教育课程,对教师的内在的专业知识和技能的提高有很大的促进作用。
4运用现代远程教育辅助学习,应注意的几个问题
4.1课程高质量的保证
在远程学习中,学习过程和自身情况充满了很多的未知因素,课程资料是学习者通过远程的方式学习和情感交流的唯一依据,课程质量的高低直接影响学习者学习的情绪和效果。如在学习网上教程时,由于视频的不清晰或者其他原因,会降低学习者的学习兴趣。所以,在上传于征集远程课程资料时,一定要经过严格的筛选,尽量给学习者提供高质量的课程,使远程教育成为可能。
4.2教师难以适应现代信息技术
在远程教育教学中,对教师的综合素质能力提出更高的要求,需要掌握大量软件技能以及相关理论知识。由于远程教育对象复杂,决定了教师教学的特殊性。在我国的教师培训中,注重的是教师的专业知识能力的培养,对其他专业特别是信息技术只是简单的应用层次要求这就必然影响远程教育质量的提高。所以,提高远程教师素质,是现代远程教育发展中不可或缺的一个重要环节。
4.3正确看待现代远程教育
我国现代远程教育还处于发展阶段,内容、设施和评价机制等都还不成熟,有待进一步的发展和完善。但现代远程教育给社会所有学习者带来的知识信息化是不容忽视的,学习者在通过远程教育进行学习时,一定要有正确的认识,在充分了解的基础上选择远程学习,优化教与学的过程效果。
关键词:组网;路由器;网卡;连接
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)26-7358-02
近年来,随着计算机及其配件价格的不断下降及网络的日益普及,家庭组网已经成为一个非常实际的时尚话题。通过家庭组网,不仅可以节约开支,使很多硬件设备实现多机共享,充分利用已有的资源,使每台计算机不再单独工作,而成为一个整体存在。
1 选择家庭网络的类型
在组建家庭网络时,用户需要考虑选择合适的操作系统及符合实际的组网结构。在选择操作系统时,应考虑到现有操作系统与所选操作系统之间的接入是否方便及所选操作系统是否稳定、是否便于网络连接、便于管理等问题。就目前较为常见的Windows 操作系统来说,用户在机器硬件配置允许的情况下,可尽量选择较高版本的操作系统。因为一般来说高版本的操作系统比低版本的操作系统更加稳定、网络功能更加强大、管理和维护也更加方便。
在选择组网结构时,用户需要考虑所选的组网结构是否可以发挥网络中计算机的最大功效,及是否便于连接、是否便于维护等问题。更重要的要经济实惠。下面就几种家庭常用的组网方案进行介绍。
方案1:两台计算机通过双网卡共享连接
一个家庭只有两台电脑,则通常采用电缆直连方法。电缆又分好几种,一种是双绞线电缆;另一种是并行电缆;还有就是串行电缆。现在大多数都是使用双绞线。一台计算机需要安装两块以太网卡,当然最好是现在主流的10/100Mbps快速以太网卡;一台做为主机的计算机使用双网卡,利用Internet共享上网。优点实施方便、省钱。具体实现方法如图1所示。
1)需要三块网卡、并且一台电脑(A)的操作系统是WINXP否则需要软件。
2)A电脑插上两个网卡,B电脑一个网卡。
3)从宽带猫出来的网线插入A电脑上的一块网卡1上,另一块网卡2用交叉线(双绞线一头的线序是白橙,橙,白绿,蓝,白蓝,绿,白棕,棕;而另一头的线序是白绿,绿,白橙,蓝,白蓝,橙,白棕,棕。)与B电脑网卡相连。
4)设置两台电脑相连网卡的IP为同一网段,比如A:192.168.1.1、B:192.168. 1.2但不能与A电脑网卡1的IP在一个网段。
5)A电脑建立宽带连接,并设为设为自动连接,最后进入网上邻居,创建网络连接,选择家庭共享网络就可以共享上网了,其实就是A相当于一台服务器,电脑B通过A进行上网,因为xp系统自带网络桥功能,所以设置上很简单。
6)这样两台电脑可以同时上网,但只有A必须开机B电脑才能上网。
方案2:多台计算机通过双网卡+交换机共享连接
方案2和方案1非常相似,接线如图2所示,主机A相当于服务器,设置方法和方案1一样。利用Internet共享上网,别的计算机通过交换机来实现共享主机A同时上网,但主机A一旦关机的话所有的计算机就不能上网了。
方案3:多台计算机通过路由器连接
首先要有一个以太网口的ADSL猫,将猫打开并将其用网线接入路由器的up端口(一般就是最左边的那个,我还没见过在右边的),将电脑的网卡用网线接入路由器其他的端口。接线方法如图3所示。
第一步:设置你的电脑的ip是192.168.1.2,另一台设置为192.168.1.3这样你就可以在网络邻居里找到他们了 前三位要和你的路由器的IP一致,后一位不是1就可以了,掩码设置为255.255.255.0
第二步:设置路由器。在默认的情况下,路由器的IP地址为192.168.1.1,或(192.168.0.1)你可以翻阅路由器的使用说明书。打开IE浏览器在地址栏输入192.168.1.1回车,一般的设置网面是需要使用用户名和密码的。默认用户名是admin,默认密码也是小写字母admin。注意此用户名和密码不是在电信、网通公司的用户名和密码,而是路由器的用户名和密码。输入正确后,才能进入路由器的设置页面。找到连接类型选项,选择PPPoE的单选项,此时页面下部会展开PPPoE的设置。在PPPoE设置中设置好用户名和口令,这里的用户名和口令才是你在电信(或其它ISP商)的帐号和密码,设置在这里是供ADSL在开机时自动拨号用的。设置自动分配IP地址功能即DHCP功能(可以不做,如果已经设置好的话) 在网络上的每一台电脑都有一个单独的IP地址,在同一个网络中,每台电脑的IP地址是唯一的。通常我们上网时,电脑中设置的是自动获取IP地址,也就是说,在该台电脑接通网络时,服务器就会自动分配一个唯一的IP地址给这台电脑,但在一些局域网中,为了方便软件通讯,采用固定IP地址的方式,也就是每台电脑都有一个固定的IP地址,在同一网络中不会出现完全相同的IP地址。如果你的网络是采用前一种IP地址分配方式,就需要打开ADSL的自动分配IP地址服务功能,也就是设置DHCP。在DHCP页面,选择DHCP Server单选项就可以了。设置DNS 选择DNS页面,将电信公司(或其他ISP商)提供的DNS设置在ADSL中,一般情况下可设置成为202.101.224.68。保存设置 以上设置需要保存才能生效,选择“保存”页面,将设置的内容保存。然后关闭浏览器,同时关闭ADSL的电源。下次打开电源时,原先的设置就生效了。
第三步:修改电脑的设置 如果你选择了DCHP功能,你就需要将刚才为了设置ADSL时修改的IP地址修改回来。将电脑的IP地址选择为自动获取IP地址,将ADSL的IP地址即192.168.1.1添加到网关中。
第四步:重启电脑并打开ADSL和路由器的电源,你就可以随意地上网浏览了。
安全提示:打开路由功能后,电信公司(或其他ISP商)为你提供的帐号和密码均保存在路由器中,这样就很容易被别人窃取。因此,最好在第二步保存设置之前,修改路由器的默认口令,以免被他人轻而易举地进入你的路由器设置界面。
方案4:组建家庭无线网
组建一个家庭无线网络需要两个主要设备,第一个是无线路由器,另外一个则是连接在笔记本或台式机上的无线网卡了。一般来说我们应该选择54M的无线路由器, 另外无线网卡的接口也是根据自己笔记本和台式机的需求决定的,一般台式机选择PCI接口的或者USB接口的无线网卡,而笔记本则采用PCMCIA接口或USB接口的产品。接线方法如图4所示。
按照图4所示的接线方法接好线后,安装好无线网卡及驱动程序。就要配置无线路由器和设置无线网卡了,其实有线路由和无线路由的设置方法是一样的,仿照方案3的设置步骤。不同的是在无线路由设置中必须开启无线路由器的无线功能,设置频道等,无线网卡也要设置和无线路由器一样的频段,这样才能接收到信号。不过现在好多USB的无线网卡都是自动连接的,不需要设置频段的,只要装上驱动程序后设置IP地址就可以自动搜索无线连接。
2 几种组网方案的比较
就以上介绍的四种家庭常用组网方案来说,方案1是最经济的一种家庭组网方案,方案2适用于利用闲置的设备(交换机、集线器等,因为目前小型的路由器价格和交换机的价格相当)。方案1、2的缺点就是必须有服务器,当服务器关闭是其余的计算机无法上网的。家庭组网中比较常见的为方案3、4,因为它组成的是对等网,使用对等网不需要设置专门的服务器,即可实现与其他计算机共享应用程序、光驱、打印机、扫描仪等资源,而且对等网具有使用简单、组建和维护较为容易的优点。但与方案1、2相比组网价格方面稍贵,设置起来比较麻烦。
参考文献:
[1] 陈明.实用网络教程[M].北京:清华大学出版社, 2006.
关键词:税收信息化;信息状态安全;信息转移安全;信息安全技术
中图分类号:F810.42文献标志码:A文章编号:1673-291X(2008)13-0022-02
从三个方面来考虑:首先是信息状态安全,即税务系统安全,要防止税务系统中心的数据被攻击者破坏。税务系统要通过Internet对纳税人提供纳税便利,必须以一定的方式将它的数据中心开放,这对税务系统本身带来了很大的风险。其次是信息转移安全,即服务安全,如纳税人识别号、口令、纳税金额等在传输中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保证税务人员正确、安全的使用。本文主要针对以上前两个方面也就是信息安全技术进行研究。
一、信息状态安全技术
信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。
(一)系统主机服务器安全(Server Security)
服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。
(二)操作系统安全(Operating System Security)
设置操作系统就像为构筑安全防范体系打好“地基”。
1.自主访问控制(Discretionary Access Control,DAC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(Object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(Capabilities List),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(Prefix List),它包括受保护客体名以及主体对客体的访问权。(3)口令(Password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。
2.强制访问控制(Mandatory Access Control,MAC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。
3.安全核技术(Security Kernel Technology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(Isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。
其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。
(三)数据库安全(Database Security)
数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。
数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(Authentication),保证只有授权的合法用户才能注册和访问;(2)授权(Authorization),对不同的用户访问数据库授予不同的权限;(3)审计(Auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(Alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。
二、信息转移安全技术
信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(Identification and Authentication);访问控制(Access Control);可记账性(Accountability);对象重用(Object Reuse);精确性(Accuracy);服务可用性(Availability of Services)等功能。
1.防火墙技术(Firewall Technology)
为保证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如Internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,IP层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。
2.信息加密技术(Information Encryption Technology)
信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-key Cryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(Public-key Cryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。
在传输过程中,只有税务系统和认证中心(Authentication Center,AC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,也因为无法进行解密而保证了私有密钥的重要性,从而保证了传输文件的安全性。
3.信息认证技术(Information Authentication Technology)
数字签名技术(Digital Signature Technology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。
完整性认证(Integrity Authentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。
4.防病毒技术(Anti-virus Technology)
病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
参考文献:
[1] 杨怀则.税收信息化建设存在的问题及建议[J].草原税务,2002,(12):31-32.
[2] Andrew S. Tanenbaum,“Modern Operating Systems”,Prentice Hall,1992.
[3] 滕至阳.现代操作系统教程[M].北京:高等教育出版社,2000.
[4] 陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.
关键字:远程教育,教学资源管理应用系统
DesignofTeachingResourcesManagementApplicationSystem
ShuaiFeishao
Huashi-hongdaInformationIndustryLimited.,Guangdong(future@)
Abstract:Withthegrowthoftechnologyinnetworkandeducation,tele-educationbasedonInternetisdevelopingrapidly.Itissosignificanttomanageandutilizetheteachingresourcesefficientlysinceconstructionofteachingresourcesisthecoreoftele-education.ThisarticleprovidesarudimentarydesignprojectofManagementofTeachingResourcesApplicationSystem.
Keywords:Tele-education,TeachingResourcesManagementApplicationSystem
(一)教学资源管理应用系统的重要性
计算机网络的发展促使知识经济迅速发展,打破了人类活动的时空障碍,使信息领域变得更为广泛,空间与时间的阻隔在国际互联网消失了。克服了时空障碍以后,远程教育打开了新的一页。远程教育以现代化的信息技术为手段,以适合远程传输和交互学习的教育软件为教材,建立起一个现代化教育的新模式。
远程教育的核心是教学资源建设。教学资源建设可以分为四个层次:(1)素材类教学资源建设,包括题库,素材库,课件库和案例库;(2)网络课程库建设;(3)教育资源管理系统的开发;(4)通用远程教学系统支持平台的开发。
适于远程教育的教学资源有
(1)媒体素材:包括文本素材,图象素材,音频素材,视频素材,动画素材;
(2)题库:按一定学科的知识结构组织起来的试题的集合和相应的统计分析工具;
(3)网络课件库:按一定知识点组织起来的自成体系又能独立使用,有利与辅助教师教学,学生学习和扩展学生兴趣的参考资料或适于网络运行的课件;
(4)网络课程库:按学科课程的知识结构组织起来的,涵盖学科课程内容领域的,能自成体系的教学软件。
这些教学资源都要能在标准的浏览器运行,才能符合利用网络的远程教育的需求。
教学资源和相关系统在教学中的地位和关系如下图:
教学资源建设是教育信息化的基础,需要长期的建设和维护。由于教学资源的内容丰富多彩,形式多种多样,使人们对它的理解各不相同,会出现大量不同层次、不同属性的教学资源,所以一个高效的教学资源管理应用系统,是现代远程教育系统中一个重要的,必不可少的基础系统。
远程教育中的教学资源管理应用系统要能够将多种形式的教学资源有层次,有组织,科学地组织起来,并提供一个易用,快捷的应用平台,才能发挥教学资源的长处,让教学资源成为更有效地为教学服务。
(二)教学资源管理应用系统的设计原则
1.可靠性
教学资源的高可用性对远程教育来说是至关重要的,加上教学资源的庞大数量,系统必须采用性能优越的,大型商业数据库系统。这样有利于提高大批量数据的吞吐时间,使整个系统管理规范化;而且随着数据库的增大和操作扩展到一天24小时、一周7天,能够执行备份操作而不影响系统的正常运转。此外,在灾难性故障发生后能够还原数据库,能在最短时间内还原它,使数据的完整性、安全性得到保障。
2.灵活性
素材的管理在数据管理方面应具备较大的伸缩性,它可以集中管理远程教育工程中的所有素材,也可以将素材按类型或学科划分开来,单独进行管理。系统还应提供接口,可以把多种渠道收集的教学资源纳入系统的管理之中
3.开放性
远程教学所涉及的行业范围大,学习者的数量多,教学内容的形态需求复杂,这就要求系统具有完全的开放性,能够容纳各种形态的网上教学内容,不能仅仅限于支持某些专用工具开发的教学内容,不能只是支持某些文件格式。系统要支持开放的文件存储格式,能管理所有能够在网上运行(包括需要插件的文件)的课程内容与文件格式,不对教学资源作限定要求。
系统软件体系结构采用浏览器/服务器的网络模式,系统服务器采用可扩展的分布式多服务器计算模式,采用分模块层次结构,多模块分立,允许系统分布式并行处理提高系统的工作效率。各功能模块是普通的网络程序,建立在开放的网络标准之上,遵循HTTP,FTP,XML等普通网络协议和数据格式进行消息处理和数据交换。
4.安全性
由于远程教育的应用系统是运行在互联网上的,是远程的,开放的,所以安全性显得尤为重要。无论是远程访问会话中传输的信息、分支网络连接中传输的信息,还是内部网络中传输的信息;保护用户信息不被泄漏和限制不同权限用户对各种层次的信息的访问等;提供高效的安全解决方案都是必须的。安全性包括保密、完整性保护、身份验证、授权和预防重播。可以使用网络加密保护,用来帮助尽可能地减少在公用网络和专用网络上传输敏感信息所带有的风险;和权限限制等。
(三)教学资源管理应用系统的功能设计
远程教育的教学资源管理系统要实现以下功能:
1.教学资源的搜索
远程教育在互联网上的资源的数量是惊人的,系统必须提供高效的搜索策略和协议,让教师和学生能在茫茫的信息海洋中方便快捷地搜索到自己想要的资源。系统要提供功能强大的搜索引擎,课件目录树的生成与动态修改机制,网络课件软件库,教学资源元件库的查询,并且能自动搜寻相关的教育研究站点,扩充搜索数据库;能支持全文检索和多种文档类型的检索。
2.教学资源的编著
学生是学习的主体,教师是教学活动的主导。要发挥这两个主体的能动性,学生或教师必须能对互联网上下载丰富多样的教学资源进行编著和组织,把任何对教学有帮助的资源收为己用。系统必须能把任何教学资源方便地录入,修改;提供对包括各种文本素材,图象素材,音频素材,视频素材,动画素材等教学元件和题库,网络课程库等的编辑,剪辑,制作,预览等功能。还可以从系统已整理的教学资源中检索出有用的素材,根据需求进行完善提高后,再追加为更新的教学资源。
3.教学资源的管理
由于互联网克服了时空障碍,因此远程教育中可以利用的教学资源是无穷无尽的,如果没有一种科学的管理方法,人们就会很快被海量的信息淹没。在接收到大量信息的时候,必须要用合适的方法对得到的各种信息进行过滤、分析、处理,保留有用的,去除无用的。因此,系统必须提供能有效管理大量教学资源管理工具。各种远程的或本地的媒体素材,题库和网络教程等必须按科学的,专业的方法分门别类,统一管理。
4.教学资源的组织运用
有效运用收集到的教学资源也是教学资源管理应用系统的关键。教师将教学资源运用到教学中,学生将教学资源运用到学习中。教师可以根据教学需要,在备课时在教学资源应用系统中选择出各种形式的教学资源,灵活组织和编排,形成具有教学个性的课件,可以让教师在授课时充分发挥自己的教学特点。学生也可以根据学习的需要,选出自己需要的教学资源,辅助学习,发挥主动学习的能动性。
(四)教学资源管理应用系统模块设计
系统的功能模块结构图
(1)资源检索
系统提供一个检索工具,可以检索系统数据库内的资源,可以从多种角度,用多种形式查询,提供模糊查询和精确查询的手段,检索出来的资源可以编辑和添加到应用序列中。并提供一个接口,当用户要在互联网上寻找资源的时候,可以使用互联网上的搜索引擎,本根据需要,将搜索结果扩充到系统的数据库中。
(2)资源管理
资源的属性有:资源的名称,编号,类型,学科,专业,适用对象,来源,简介,关键字和存放位置。系统会将资源的这些相关属性记录在系统数据库中,并会在使用时按要求动态生成树形目录索引,方便使用。
系统提供了3种方法管理资源:按资源的类型,按资源内容所属的学科,按使用者自定义的主题管理。使用者可以选择一种或使用多种方法来管理收集到的教学资源。
系统提供了与其他编辑软件的接口,对不同类型的资源调用相关的外部编辑程序,使用者也可以自己选择编辑程序来对资源进行剪辑、制作和修改。
(4)资源组织
使用者可以按需要将各种的资源组成一定的播放序列,将这个播放序列保存起来,以便需要的时候可以随时播放这些教学资源。
(5)资源播放
在浏览器中播放已经编辑组织好的教学资源序列,可以设置播放的次数和播放的形式:连续播放,手动播放等。还可以使用"小黑板"播放方式,方便课堂教学。
(6)系统管理
对系统相关用户信息的管理。系统提供用户认证功能,用户通过输入相应的口令来验证自己的身份。通过认证的用户才能使用上面的各项功能;不同等级的用户对不同类型的教学资料具有相应的浏览、添加、修改和删除功能。
(五)小结
基于以上的设计方案,我们开发了一个这样的系统:
系统建立在HTTP和XML等开放的网络标准之上的,适于运行在互联网Internet或内部网Intranet上的,易于使用的网络应用程序。采用浏览器/服务器(B/S)模式,使开发出来的系统可以远程使用。在硬件环境和系统软件方面,用户运行环境为支持中文的netscape4.0版本或以上,或IE4.0版本或以上。服务器端采用微软系列平台:microsoftbackofficeserver,使用microsoftsiteserver开发工具。
系统的表示层用WEB方式实现,遵循开放的网络标准协议;事务逻辑层用COM实现,以提高系统的性能,安全性和开发效率;数据要用商业数据库系统:SQLSERVER,以提高数据可用的效率和数据的完整性。
关键词:RSA;数字签名
中图分类号:TP309文献标识码:A文章编号:1009-3044(2008)15-21048-02
Discussed Shallowly how to Carry on Digital Signature Using the RSA Algorithm
LI Chun-mei
(Anhui Xinhua University,Hefei 230088,China)
Abstract:The article introduced the RSA algorithm's basic principle, proposed in the RSA algorithm the data piecemeal's essential method, has analyzed the RSA digital signature algorithm basic idea, gave has carried on digital signature using the RSA algorithm the step as well as carries on confirmation the step.
Key words:RSA;Digital signature
1 引言
数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它通过将原始信息进行散列函数(哈希函数,Hash Function)运算,并将得到的结果使用密钥进行加密,从而得到数字签名值。其依据是在使用安全的哈希函数(单向哈希函数)的情形下,要想从已知的哈希函数结果中推导出原信息来,实际上是不可能的,因此,数字签名可以在更少且可预见的数据量上进行运算,生成数字签名,却保持与原信息内容之间的高度相关,有效的保证了其完整性、真实性和不可抵赖性的特点。
基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名,包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。其中RSA算法是一种公认十分安全的算法,而且是目前网络上进行保密通信和数字签名的最有效的安全算法。
2 RSA签名算法的确定
RSA算法所根据的原理是:根据数论,寻求两个大素数比较简单,而将它们的乘积分解开则及其困难。在这一体制中,密钥分为两种:加密密钥PK={e,n}和解密密钥SK={d,n}。
其中的加密密钥PK是公开的,使得其他人可以使用,而对解密密钥中的d则保密。这里,n为两个大素数p和q的乘积(素数p和q一般为100位以上的十进制数),e和d满足一定的关系,在已知e和n的情况下不能求出d。
下面是密钥产生的过程:
(1)计算n。秘密选择两个大素数p和q,计算出n=p*q。n成为RSA算法的模。
(2)计算Φ(n)。再计算出n的欧拉函数Φ(n)=(p-1)(q-1),Φ(n)定义为不超过n并于n互素的数的个数。
(3)选择e。从[0,Φ(n)-1]中选择一个与Φ(n)互素的数e作为公开的加密指数。
(4)计算d。计算出满足下式的d:e*d=1 mod Φ(n),d作为解密指数。
(5)得出所需要的公开密钥和秘密密钥:
公开密钥(即加密密钥)PK={e,n}
秘密密钥(即解密密钥)SK={d,n}
RSA的加解密算法是一样的,公式如下:Y=Xa mod n (公式一)
当进行加密操作时,令a=e,则Y是X加密后的密文。当进行解密操作时,令a=d,则Y是将X解密后的原文。则该算法也可标识为:
Y=PowerMod(X,a,n) (公式二)
其中:X待操作的对象,a为运算指数,n为模,Y为操作结果,PowerMod则为Xa mod n。
由此,可得到RSA加密和解密的算法如下:
加密算法 EPK(X)=PowerMod(X,e,n) PK={e,n} (公式三)
解密算法 DSK(X)=PowerMod(X,d,n) SK={d,n} (公式四)
其中: DSK(EPK(X))=X (公式五)
这里的X只是表示不大于n的整数。当X大于n时,就要将X分块,使得每块的长度一致且其值均不大于n,对于整数,显然是无法分块的,这就需要先对X进行编码。编码的基本要求是将X分块,每块是一个8位字节串EB,由块标记BT,填充块PS和数据D组成。
EB = 00 || BT || PS || 00 || D(等式一)
块标记BT是一个标记字节,表示加密块的结构。它有00,01,或02值。私钥操作为00,或01;公钥操作为02。填充串PS为k-3-||D||(D的字节长度)长的8位字节字符串。对于00型,填充串为00;对于01型,填充串为ff;对于02型,填充串为假散列生成的非0值。这使得加密块EB的长度为k(模n的长度)。其中开始的00值字节保证了转化成整数后的分块小于模数n。
其中需要注意的地方如下:
对于00型(BT=00)来说,数据D必须以一个非0字节开始,或是必须知道长度,以便块能被清楚的解析(EB中粗体部分)。对于01和02型来说,块能被清楚的解析,这是因为填充块PS不包含00值字节,它可以被一个00值字节从数据D分开。
01型被推荐为私钥操作标志。
对于02类型来说,建议为每一个加密过程都独立生成假散列字节,特别是如果相同的数据被输入多于一个的加密过程。
对于01和02类型来说,填充串至少是8个字节长,为了防止攻击者通过测试所有可能的加密块来恢复数据。
上面的加密和解密算法适用的环境是他人通过PK将信息进行加密传送给拥有SK者,拥有SK者在用SK进行解密,得到原始信息,这样可防止其他人窃取信息。但是在数字签名中却不适用,因为数字签名的过程正好相反,要求是拥有SK者先将信息进行加密,其他人在通过PK进行签名验证,那么该如何处理呢?
考虑这样一个公式: EPK(DSK(X))=X(公式六)
这个公式看起来和上面的加密公式(公式五)很相似,只不过把加密和解密的过程换了个顺序,但是满足了数字签名的要求,为什么呢?从公式二、公式三和公式四可知,E(加密)和D(解密)算法没什么区别,只是参数不同而已,如果把参数互换一下,则可得到下面的公式:
加密算法 ESK(X) =PowerMod(X,d,n) SK={d,n}(公式七)
解密算法 DPK(X)=PowerMod(X,e,n) PK={e,n} (公式八)
其中: DPK(ESK(X))=X(公式九)
很显然,公式九就是需要的数字签名的算法。
3 数字签名的流程
对于给定的原始数据,有时有可能比较大,而且RSA处理又是很慢,如果直接加密的话很是浪费时间,所以为了节省处理时间,在数字签名时一般不通过直接加密原始数据而得到签名值,而是先对原始数据进行散列化(单向散列),然后对散列的结果进行加密。这样便得到了数字签名的4个基本步骤:
3.1 第一步:消息散列
对于有效的散列算法,一般选择MD2,MD4,MD5,SHA(SHA1)等算法,其中MD系列散列算法产生32字节的摘要信息,SHA系列算法产生40字节的摘要信息(散列的结果越长,越不容易被伪造)。可以任意选择一种算法对消息M进行处理,进而得到M的散列信息MD,即消息散列。
3.2 第二步:数据编码
如果直接对第一步得到的MD进行加密不就生成数字签名信息了吗?为什么还要有数据编码的步骤呢?这个问题在第一步中就可以得到答案。
在第一步中提到有很多种散列算法都可以生成有效的摘要信息,这些算法生成的摘要信息均不包含散列算法信息,这就给接收者进行数字签名验证带来了很大的麻烦,会因为无法得知发送方的散列方法而无法对接收到的数字签名信息进行验证,这时,就要求发送方在生成数据摘要时提供所使用的散列算法,以满足接收者进行签名验证的需要。所以把散列算法和散列结果组合在一起,作为一个数据摘要完整的整体,这就是数据编码过程所要完成的工作。
一般情况下,把消息散列MD和消息散列算法标识符组成下面所描述的ASN.1类型DigestInfo的值,此类型将通过BER编码来生成一个8位字节串D,即原始数据。
DigestInfo ::= SEQUENCE {
digestAlgorithm DigestAlgorithmIdentifier,/* 散列函数标识编码 */
digest Digest/*消息散列MD */
}
DigestAlgorithmIdentifier ::= AlgorithmIdentifier
Digest ::= OCTET STRING
类型DigestInfo的域有下列含义:
digestAlgorithm表示用于散列的算法(以及相关参数)。它标识了所选的散列算法:MD2、MD4、MD5或SHA等。作为参考,以下是部分相关的对象标识符:
md2 OBJECT IDENTIFIER ::={ iso(1) member-body(2) US(840) rsadsi(113549)digestAlgorithm(2) 2 }
md4 OBJECT IDENTIFIER ::={ iso(1) member-body(2) US(840) rsadsi(113549)digestAlgorithm(2) 4 }
md5 OBJECT IDENTIFIER ::={ iso(1) member-body(2) US(840) rsadsi(113549)digestAlgorithm(2) 5 }
sha-1 OBJECT IDENTIFIER ::= {iso(1) identified-organization(3) oiw(14) secsig(3) algorithm(2) 26}
对这些对象标识符来说,散列算法的参数域是空(散列函数除消息M外无其他参数)。
digest是消息散列过程的结果,例如消息散列MD。
具体编码方法可参考ASN.1相关标准。
3.3 第三步:RSA私钥加密
为了安全起见,数字签名所使用的RSA的密钥长度(n的长度)最少选择1024位(转换成二进制为128个字节),长度远远大于MD编码后的字符串D。D被签名者采用公式七进行加密,生成一个8位字节串ED,其块标记为01(见1节)。
3.4 第四步:字节串到位串的转换
第三步中加密的结果ED是一个8位字节串,而签名值是个位串,签名验证时是一位一位进行验证的,所以要将ED转换成一个位串S,即签名值 。具体来说,ED的第一个字节的第一位成为S的第一个数据位,以此类推,直到ED的最后一个字节的最后一位,它将变成S的最后一个数据位。实际上就是取ED的二进制编码。
注意:签名S的位长度是8的倍数(是字节串的二进制表示)。
4 数字签名的验证
验证过程同样包括四个步骤:位串到字节串的转换,RSA公钥解密,BER数据解码得到解密后的散列值,最后与原始数据散列值进行比较,若每一位都相同则验证通过,否则验证失败。
4.1 位串到字节串的转换
签名S被转换成字节串ED,即被加密的数据。具体来说,假设S的位长度是8的倍数,S的第一位将变成字节串的第一个字节的第一位,以此类推,直到签名的最后一位变成字节串的最后一个字节的最后一位。如果签名的位长度不是8的倍数,则是错误。
4.2 RSA解密
采用公式八使用签名者的公钥对被加密数据ED进行解密,得到字节串EB,然后根据等式一进行解析,得出块标记BT,填充块PS和原始数据D。如果有下列情况发生,则为错误:
BT标记不是01(私钥加密,BT应该为01)。
填充块PS少于8字节,或是和块标记BT不匹配。
4.3 数据解码
将原始数据D是DigestInfo 类型的ASN.1编码结构,将D进行BER解码,得到分成消息散列MD和消息散列算法标识符。消息散列算法标识符决定了下一步所选的消息散列算法。如果消息散列算法标识符不是MD2,MD4,MD5或SHA(SHA1)消息散列算法,则为错误。
4.4 消息散列和比较
使用所选的消息散列算法对收到的消息M进行散列,得到字节串MD’。如果MD`和MD完全相同,则表示验证成功,否则为失败。
5 结束语
在实际应用中,进行数字签名的RSA中的模n一般都要求1024位或2048位,这在常用的编程软件中都是很难处理的。因为在常用的编程软件中整数最大只支持到64位,也就是说n≤2^64,远远满足不了要。但是,如果把大数换算成其他x进制的数(比如2^16进制、2^30进制等),用长度为x的无符号长整型数组来存储每一“位”x进制的数,这样每一“位”x进制的数就可以表示0~2^x之间的整数,保证2个x进制的数进行任何运算都不会出现溢出,处理好这个x进制数的相关运算(加、减、乘、除、幂等)后就可以自己编写满足数字签名要求的RSA算法了。
参考文献:
[1] 谢希仁.计算机网络教程[M].北京:人民邮电出版社,2004.
[2] RFC2313-1998 PKCS #1:RSA Encryption Version 1.5[S].