时间:2023-01-08 14:33:55
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇紧急页面升级通知,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
讯:1月19日,,i黑马微信在推送时出现群发无法正常推送问题,而朋友圈中也出现各运营小编的吐槽,均表示微信无法正常推送,卡在20%左右的进度。
i黑马第一时间联系微信团队,得到的回复为:因微信公众号服务器升级造成群发短时间故障,微信团队目前正在修复。
截止发稿时,i黑马已经收到了部分公众号的微信消息推送,而这些平台的运营均表示他们是在9时左右发出的微信消息,而大多数平台的微信消息还未正常接收。
这已不是微信第一次出现故障问题。去年9月,有网友反映微信在载入99%的时候页面提示“载入数据失败,请检查你的网络设置”,同时还有发送消息失败,发出消息后有延迟和微信退登后就无法再登陆等问题。
去年11月6日上午,微信出现第四次故障,即微信公众平台后台登录出现故障,部分账号出现登录不成功或没有访问权限等错误提示。腾讯官方在线客服随即通知称,“关于公众平台登陆不成功,提示没有权限访问的问题,请您不用担心,我司工作人员正在紧急处理中,请您后续再留意使用的情况。”
而在2016年跨年夜时,也有网友反映,微信群功能出现故障,自己只能发出消息,却接收不到群里其他人消息。甚至在微信群中发消息,只能自己跟自己对话。网友吐槽称,“微信你咋了,好不容易发个红包怎么都没人领。”
对此,微信做出回应:“由于跨年夜消息发送量急剧增加,后台服务出现短暂不稳定,导致极少数用户在约20分钟内收发消息有延迟。现在已经完全恢复,所有延迟消息均已下发。给大家带来的不便,非常抱歉,祝大家新年快乐!”(来源:i黑马 文/杨博丞)
关键词:;计算机;报修
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2017)02-0096-03
1 概述
近几年,随着个人计算机等用户急剧增多以及校园网络服务的高速发展,用户在使用计算机的过程难免遇到各种各样的电脑故障,但由于非专业性的原因又无从下手。在此严峻的背景下,本文来自广东理工学院的实际需求,设计并研发的计算机报修管理平台。
通过报修平台,用户可以在需要寻求计算机维修的情况下进行报修,解决了用户不知如何处理故障的难题,更提供了不用出门的便利,同时应用增添了信息平台,方便计算机协会对内外部信息的。
1.1 系统平台主要完成工作
本文以基于的算机报修管理平台,所要完成项目功能模块的需求分析、设计与实现,通过多方面与学院计算机协会的积极交流和沟通,确定对此进行来分析计算机协会的需求,并对系统进行总体设计和详细设计,在此需求分析的基础上得以实现。
系统平台上线于服务器端,用户通过浏览器即可对平台进行访问,应用从功能上主要划分为用户登录模块、报修信息模块、报修管理模块、信息模块。在项目的开发实现过程中,主要工作是能独立完成整个系统平台的开发建设。
1.2 本文组织结构
本文按系统的设计共分为六大章节,安排了下面详细的章节:
第一章分为引言,简要概括本文的背景和选题方向,综合广东理工学院计算机协会的报修管理,阐述本文的具体工作和组织结构。
第二章把系统的开发环境和相关技术作概括性介绍,详细对相关背景与技术的研究进行分析,包括软件架构、技术、前端框架、数据库应用,以及开发过程中所使用到的一些工具。
第三章主要分析系统的总体设计,同时对需求也进行详细的分析,从系统的需求中分析系统的功能,另从系统的总体设计中分析系统的非功能性,并对此功能性的需求建立相应的数据库设计。
第四章重点分析计算机报修管理系统的详细设计,然后通过系统的代码实现系统平台各项功能,对系统平台的需求,则采用总体设计和单独演示,设计出不同版块和功能,更清晰的实现系统各功能。
第五章详细分析计算机报修管理系统的实现价值,此章节对系统应用部分和实现功能进行全面直观的介绍与展示,并对系统的实效价值逐一实现。
第六章为结论和参考文献,对本文系统的设计与实现做出总结,并提出目前系统的不足,以及本文需要借鉴的参考文献。[1]
2 开发环境与相关技术
在本章节中,主要介绍系统平台使用的软件架构、、前端框架和SQL Server技术。
1)系统软件架构
系统软件架构,本文从软件的需求中分析代码,从系统分析中体现出系统设计的价值,而从编码研发中解决系统运行和维护出现的各种问题,努力为软件系统架构的实现提供可靠的系统平台,为系统的体系结构提供稳定的支撑。而软件的使用,则需要更强大的代码来运行和应用,但为了降低开发运行和维护的成本,我们常用的浏览器,就是B/S结构最好的服务器结构,对此而言,也是为系统的运行和维护提供更好更直接的更新改进结构。因此,我们可以要求一般用户会使用浏览器便能对本系统平台进行维护,而不需要懂得一些计算机专业代码来修改或维护。这就使得开发者在经费的使用中,可以从中减少很多费用;在系统维护和升级中,这些成本还会更少,所以维护的工作量也大大地降低;而对客户端的电脑,也简化了其中的载荷,这是开发者一直追求的系统软件架构。[2]
2)技术
是微软公司推出的新一代脚本语言,也是本系统应用平台中的最重要技术之一,以其众多的控件群组、快速的编程语言以及直观流畅的编程环境著称,基于.NET Framework的Web开发平台,能简化程序,减少使用者的工作量,并能够简单开发程序环境,对工程的整体开发更能提高效率;对ASP以前的版本,很多缺点都在新的版本中去掉,而发挥新版本的最大优点;对照Java语言,借鉴VB语言,进行过更多的开发优势,从中吸取了更多、更新的特色;系统进行时,也对ASP以前的版本进行了代码纠正。[3]
3)jQuery与Bootstrap框架
jQuery以简洁的JavaScript框架在IT领域上占有一席之地,也是一个快速方便的语言程序。用户使用中,jQuery更作为界面清晰得以使用者的厚爱,作为一个优秀的JavaScript代码库,为使用者带来全新的JavaScript框架更是一大特性。
首先,Bootstrap使用起来比较简单,操作简洁灵活,给用户使用的一大特点就是更加快捷的开发Web;其次,Bootstrap是基于HTML语言,对网页操作更加便捷;最后,Bootstrap给使用者一个全新的界面。[4]
4)SQL Server数据库技术
对于现代大型的校园网应用,全体师生的访问和海量数据的存储,已成为本系统设计的一大问题,作为要解决此瓶颈问题之一,就是通过SQL Server数据库技术来解决,SQL Server数据库技术作为微软公司的一大数据库管理系统,它不仅推出关系型数据库管理系统,更优秀于之前的版本。[5]
3 系统的功能分析与总体设计
3.1功能性需求
本系统的架构和设计则采用较新的架构,基于B/S模式的三层架构,B/S模式作为一种网络结构模式,系统平台的客户端将统一,而服务器集中了系统功能实现的核心部分。而三层架构则将用户界面表示层放于首位,业务逻辑层置于中间,数据持久层则放至第三,此三层架构也来以后的系统运行提供优质的技术支持,而系统的表示层主要由g览器组成,WEB服务器上则放至业务逻辑上,持久数据库重点放至数据层之上。[6]
1 )用户登录模块:
用户登录功能是应用程序的一项基本功能。本系统平台下的操作用户为管理员,只有登录系统平台才能对系统后台进行操作。
2 )报修信息模块:
用户提供报修服务必须在报修信息模块中填写信息,系统设计时需要大量的原始数据。
报修用户通过在线系统提交报修表单,要求填写用户的姓名、地址、电话、计算机问题描述。
3 )管理报修模块:
管理报修模块即系统管理员对报修用户的信息表进行管理操作。
系统管理员拥有对报修信息表的删除、查找、修改等操作。
4 )信息模块:
信息平台即系统管理员对计算机协会的内外部消息通知的,包括会员授课消息、校内义务维修消息、协会通知信息。
3.2 非功能性需求
非功能性需求作为系统的需求分析,必须得到有力的分析说明,计算机报修管理系统作为提供大众服务,功能性需求则需要重要的补充。
1) 计算机报修管理系统的实现操作界面,必须保持一致的设计风格,统一系统的子菜单。
2)系统的报修界面设计美观,且开发为响应式布局,兼顾个人计算机和手机移动平台,对各个平台的报修进行优化,提供良好的界面体验。
3)系统必须注重用户体验和用户操作习惯,手机平台占的比重较大。
4 系统详细设计与代码实现
4.1报修信息模块实现
4.2信息模块实现
5 软件成果展示
5.1报修页面展示
5.2管理报修页面展示
5.3信息页面展示
6 总结
高校计算机报修管理是高等院校管理中的一个重要组成部分,对在校的师生都有着重要的作用,对个人使用计算机者来说,更是一项民生工程!计算机报修管理也不再是简单的人工操作,而是能发挥校园网和广域网的优势,充分利用好各网络资源。对于管理人员的压力,本系统尽量减少其工作量,而工作效率便从中得以提高,系统操作简单就是系统开发者的初衷;系统平台的实用性,就是对系统运行好坏的基本衡量;计算机报修管理系统的及时处理,便是此系统的最直接、最有利的效果检测,也是计算机报修系统开发的意义所在。
本文系统开发的背景意义来源于广东理工学院计算机协会,相关技术都是从平时教学和学习使用中,运用各种开发工具,对系统的需求进行详细的分析,在设计与实现中,综合测试了系统软件的成果展示。分章节对基于平台的计算机报修系统开发过程进行全面详细分析,将整个计算机报修管理系统分为多个模块,让每个模块都能体会出每个模块的具体功能,并且逐一进行单个模块设计,从中让模块功能正常运行。在系统完成的过程中,笔者通过不断的学习新知识,运用网站的最新知识,对框架知识的学习更是积极主动,从而让系统不断地完善和顺利运行。
本文在设计的开始阶段为了尽快获得计算机报修管理系统的需求,以模块为单位,对项目整体进行了需求分析与总体设计,同时对数据库结构设计进行简单介绍,并对系统的详细设计与代码实现做了叙述,对系统软件部分中的功能,都进行简单的运行,而效果更是直接展示,为以后的系统维护提供更有保证的条件。
由于本系统尚未在广东理工学院的计算机报修管理中使用,目前尚次于研发阶段,离现实的大规模使用和操作还有一定的距离,另因研发时间过短,教学任务比较繁重的情况下,系统还需进一步的深入研究,本系统也只在信息工程系的计算机实训室中运行使用。例如本文的系统有个别模板的功能较少,实际操作时需要对个别功能进行完善并加以修改;对网络要求调用的服务还处于局限的内部局域网,实际使用后的校园网和广域网要求更高。
展望不久的将来,随着广东理工学院办学的不断发展,基于的计算机报修管理平台在学院未来的发展建设中,能起到更好的挥作用,而的计算机报修管理平台能围绕满足用户需求、提高产品质量、降低成本、提高经济效益进行配套设计和实施来中心,更好更直接地服务全校师生。
参考文献:
[1]徐礼金.基于J2EE框架的高校宿舍管理系统分析与设计[D].广州:华南理工大学,2011.
[2]张伟杰.基于iOS平台的新闻应用的设计与实现[D].北京:北京交通大学,2014.
[3]王白娟.基于.NET技术的高校基层团学工作信息管理系统的设计与实现[J].科技创新导报,2010(3).
[4]曙光就在前方的博客[EB/OL].http://.cn/u/1830216477.
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。1.操作系统(Windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是IIS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
2.数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的SP4补丁。
(2)使用安全的密码策略设置复杂的sa密码。
(3)在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的IPSec可以实现IP数据包的安全性。
(五)管理员的工具
除了以上的一些安全措施以外,作为网络管理员还要准备一些针对网络监控的管理工具,通过这些工具来加强对网络安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP协议的探测工具。
Ipconfig/winipcfg,查看和修改网络中的TCP/IP协议的有关配置,
Netstat,利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。
SolarWindsEngineer''''sEditionToolset
另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛,涵盖了从简单、变化的ping监控器及子网计算器(Subnetcalculators)到更为复杂的性能监控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介绍:
SolarWindsEngineer’sEdition是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition还增加了新的SwitchPortMapper工具,它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器(NetworkPerformanceMonitor),以及其他附加网络管理工具。
SnifferPro能够了解本机网络的使用情况,它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活;它能在于混杂模式下的监听,也就是说它可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
除了上面说的五个措施以外,还有不少其他的措施加强了安全问题的管理:
制订相应的机房管理制度;
制订相应的软件管理制度;
制订严格的操作管理规程;
制订在紧急情况下系统如何尽快恢复的应急措施,使损失减至最小;
HDL智能家居系统主要分为五大块,它们分别是“场景控制”、“逻辑自动控制”、“远程控制”、“家庭娱乐”及“安防”。用户的操控方式也是灵活多样。下面,我们将以某小区梁宅“智能家居应用(四房两厅)”为例对系统进行一个简单的介绍。
功能概述
HDL智能家居系统采用独立的485总线方式通信,使总线无论何时都处于最佳状态。同时配合HDL独有的软硬件相结合的智能CSMA/CD控制技术,确保系统无论总线设备多少,总线距离长短都可获得最大的传输速率。系统可以通过总线/以太网交换机联网及扩展,将分散的子系统组合成一个庞大的功能系统。
模块化设计的HDL智能家居系统产品,可以根据实际需求合理的搭配,增加或减少系统功能都不需要增加过多的额外布线,只需在系统上增加相应的功能模块并做简单设置即可轻松实现。
各类控制及接口模块产品丰富,可以满足用户复杂的功能需求及未来可能的系统功能升级扩展。同时,HDL智能家居系统也是一个开放的系统。可以与小区安保系统、消防系统、电信系统等各类系统无缝联接,达到各系统间功能的扩充及互补。
控制方式灵活多样,用户可以选择液晶面板、手感舒适的按键面板、普通开关面板、彩色触摸屏、遥控器、自动逻辑、时间定时以及手机远程控制等方式去控制组合的场景或是一个独立的设备。具体的控制方式根据用户的实际需求或系统功能设计来确定。
强大的媒体功能,用户可以通过媒体管理软件,设定家人的分类电子像册、影像库、音乐库等各种多媒体资料。建立“家庭历史影像馆”。使用HDL提供的触摸屏就可以方便地将这些“历史”资料检索或调出来,在大屏幕电视上与家人、朋友分享。
丰富的娱乐功能,将舞台曼妙绚丽的灯光效果带入人们的娱乐生活,让人体验前所未有的视觉享受。在系统中点播音乐或是卡拉OK的同时,就可感受不同灯光效果营造的美妙氛围。
聪明忠实的“电子管家”,它能根据用户的居家生活习惯,设定各种各样的生活模式,为人们安排着舒适的生活。同时,它又兼顾家里的安全、保卫工作。若家中发生诸如煤气泄漏、窃贼企图闯入、系统故障等事件时,系统将发出警报并向家人手机发送警报信息,以便及时处理。
功能说明
1 场景控制
(一)入户门面板
离家模式:所有正开启的灯光自动关闭,家用电器进入待机状态,窗帘缓缓关闭,安防功能同时被激活,若系统计算离家时间超过一个小时,将自动切断电器的电源。
回家模式:窗帘自动打开,若是户外照度低或是晚上,系统将开启日常照明。
布防:系统进入安防状态,家中所有红外探头中的任意一个探测到有人活动,将发出高音警报并向家人手机发送报警信息。
撤防:系统撤消安防状态,进入正常工作模式。
多功能液晶控制面板,具有最多四个场景控制页面和一个空调专用控制。
(二)客厅多功能场景控制面板
日常模式:调光开启日光灯管及微微点亮一些厅内的装饰灯具。
会客模式:大厅主要灯光缓缓亮起。营造一种舒适的气氛,主人可与采访者愉快的交谈。
休闲模式:关闭其他正打开的设备和多余的灯光,缓缓点亮装饰画的灯光和大厅茶几上的重点照明,背景音乐系统自动开启,主人可以在柔和的灯光下听着舒缓的音乐,品着自助的功夫茶。尽情的放松身心。
电视模式:灯光渐渐熄灭,电视机、机顶盒自动打开,如果窗帘是打开着的,这时也将自动关闭。
背景音乐控制:可以控制背景音乐系统的播放/暂停、上一曲、下一曲、音量大小等。
电视控制:可对客厅的大屏幕电视及机顶盒进行开/关机、频道加减、音量大小等简单操作。而不必在台面上放置太多的遥控器,只需在必要时使用。
空调控制:对客厅的空调进行开,关、温度调节、冷暖模式转换、风速调整等操作。
(三)餐厅多功能场景控制面板
备餐模式:开启最省电的筒灯,满足基本的照明需求,其他装饰柜照明及天花水晶灯关闭。
用餐模式:天花水晶灯部分调光开启,其他灯关闭。
聚餐模式:当有朋友或多人用餐时,天花水晶灯全部开启,装饰柜照明开启,给人以富丽堂皇的感觉。
背景音乐控制:如果想伴着轻柔的音乐就餐,就可以在这里选择并播放背景音乐,还可以控制音乐的音量大小。
空调控制:可以对餐厅的空调进行开/关、温度调节、冷暖模式转换、风速调整等操作。
紧急求助面板:当家里有紧急情况发生,如老人、小孩等独自在家,遇到紧急情况而又不便及时打电话或向外求助时,按下此按钮,家人手机将会收到求助信息,以通知及时处理。
(四)书房多功能场景控制面板
可以对书房的照明进行控制。还可对默认开启的灯光亮度进行调光操作。
可以控制香味,开启后的香味系统每隔一个小时自动喷洒。让人可以放松心情,在清幽的芳香下阅读。
可以对书房的空调进行开/关、温度调节、冷暖模式转换、风速调整等操作。
可对书房的背景音乐进行控制。
可对书房的电视机、机顶盒进行操作而不需要遥控器。
(五)主卧室场景控制面板
主卧室的床为双人床,在床左右两边分别安装功能相似的控制面板,左右两边面板的公共控制部分如:电视、空调、背景音乐,照明功能相同,左右两边的床头灯分别由两边的面板控制,还可对默认亮度进行调光操作。
可以控制香味,开启后的香味系统每隔一个小时自动喷洒。让人可以放松心情,伴着沁人心脾的芳香入睡。
可以对卧室的空调进行开,关、温度调节、冷暖模式转换、风速调整等操作。
可对卧室的背景音乐进行控制。
可对电视/机顶盒进行控制。
可对电动窗帘进行控制。
夜起专用面板:面板采用大按键设计。夜起时,只需轻轻拍一下,房间的夜灯渐亮、洗手间的照明也微微点亮至不刺眼的亮度。入睡前再按一下就可关闭夜起照明,同时此按键的关闭状态还可关闭客厅的照明及家用电器。
2 逻辑自动控制(电了,管家)
(一)客厅的逻辑自动控制
当客厅有人活动时,探头会向逻辑控制模块报告状态,系统检测到客厅区域持续有人超过一分钟时,再根据温度传感器探测到的当前室温,决定是否开启空调,进入制冷模式还是制暖模式。
若人离开客厅,忘记了关灯或关电视、空调、音响等家用电器,系统将会在半小时后自动将所有正在工作的
电器转入待机状态,1小时后切断电源,避免人为的疏忽而造成的能源浪费。
(二)餐厅的逻辑自动控制
进入餐厅,装饰灯渐亮以做基本照明,系统检测到饭厅区域持续有人超过一分钟时,再根据温度传感器探测到的当前室温,决定是否开启空调,进入制冷模式还是制暖模式。
人离开餐厅超过2分钟,自动关闭正打开的照明,超过3分钟,自动关闭开启的空调,以达到节能的目的。
(三)洗浴室的逻辑控制
进入洗浴室,灯光缓缓点亮,排气扇开始工作。离开30秒后,灯光自动关闭,2分钟后排气扇停止工作。
(四)远程逻辑控制
回家模式:通过编辑一条内容为“回家”的手机短信(短信内容可自定义),主人可以在离家的情况下提前发送若干种自定义的回家模式让系统工作。
离家模式:如果离开家时忘记了通过家门口的面板设置离家模式,还可以通过编辑一条内容为“离家”的手机短信发送到系统,系统接收到短信后,所有正开启的灯光自动关闭,家用电器进入待机状态,窗帘缓缓关闭,安防功能同时被激活。
(五)阳台灯光控制
若当前室外照度低,来到阳台灯光自动开启,离开后自动延时关闭。若室外照度高,则灯光不开启。
3 远程控制
利用手机短信或GPRS网络通信方式,主人可以发送短信控制家中的任何家电进入工作状态。例如:炎炎夏日或寒冷冬季,主人可以在回家前发送一条短信指令,让空调提前进入工作状态。这样,回家后就可以享受清凉或感受温暖。若是夜间回家,可提前发送一条短信将照明开启。当然,还可以设置一些个性化的、实用的场景模式,在回家前将场景运行,一回到家就可以感受这种科技带来的温馨感觉。
安装了用户端控制软件的手机,不仅可以更方便直观的对家里的家用电器进行更细致的操作,还可以查看他们的工作状态,设备运行情况。让家中的一切情况了如指掌。
通过手机短信,还可以对家里的电脑进行启动或关机。远在他乡也可以通过互联网远程设置、控制家居系统,并能与家中的电脑相互传输文件。
4 家庭娱乐
(一)家庭娱乐灯光系统
HDL“家庭娱乐灯光系统”为一个整体产品,在家庭装修初期只需在天花上预留一个与“家庭娱乐灯光系统”尺寸、深度相当的矩型凹槽,安装时将其嵌入并加以固定,系统通电并连接信号线即可使用。“家庭娱乐灯光系统”里面安装了效果控制器、LED PAR灯、LED灯带、激光灯、雨花灯、紫光灯、日光灯管、频闪灯、电动天花卷帘等灯具和设备。这些灯具都是专门为家庭娱乐设计的效果灯具,它们都具有体积小、功耗低、效果丰富、色彩鲜艳、光效高等特点。
通常情况下,HDL。家庭娱乐灯光系统”的天花卷帘为关合状态,从下往上望与普通天花无异。无家庭娱乐需求时,其内部只有日光灯管工作,光线可透过帘幕漫射出来。作普通照明使用。当进入娱乐状态时,其会随着预先编制好的程序进入工作模式,效果灯会在效果控制器的控制下随着音乐节奏的变化而演绎着丰富的效果。
用户可以自己编排个性化的灯光效果,让朋友、家人一起来分享娱乐创作带来的乐趣。同时,创作的效果文件还可以与使用相同系统的朋友分享,瞬间即可将您的成果在另一个家庭里重现。
效果器内置了多种效果模式,不必编排,也可以随心所欲的调用。娱乐结束,轻点一下按键,娱乐灯光关闭,日常照明缓缓亮起,天花卷帘渐渐关合,一切又恢复到居家的平静。
(二)家庭多媒体娱乐及控制中心
HDL“家庭多媒体娱乐及控制中心”安装于客厅中央的茶几上,采用抽屉式安装,不使用的时候可将其藏起来。作为娱乐及控制中心,该触摸屏具备影音播放、图片欣赏(在大屏幕上显示)、场景控制、家电控制、安防、温度控制功能。在方便和满足用户日常生活中控制需求的同时,更将家庭娱乐的功能发挥到极致。用户还可以在上面点播卡拉OK歌曲,同时选择相应的灯光效果来迎合音乐节奏,给人以全新的视听享受。
5 安防
当家中发生煤气泄漏事件时,客厅红色警报灯闪烁,系统会向家人手机发送警报信息,同时打开排气扇以降低煤气浓度。当报警解除后,家人手机会接到报警解除的信息。
具有紧急求助功能,当家里有紧急情况发生,如老人、小孩等独自在家,遇到紧急情况而又不便及日寸打电话或向外求助时,按下此按钮,家人手机将会收到求助信息,以通知及时处理。
若系统部件发生故障,客厅黄色警报灯会闪烁以提醒处理。
主人还可以对家里的多个布防区域进行局部或全局的布防操作。当布防区域有情况发生时,厅内的红色报警灯将会伴着警报声闪烁,同时会向家人手机、小区保安部门的手机发送报警信息,以提示尽快处理。
小 结
在此案例中,系统共设计了:
1 约42路热光源调光(水晶灯、筒灯、射灯、壁灯)
2 2路日光灯调光
3 18路继电器控制(实现对音响、电视、演示服务器、报警器、效果灯电源等设备的开关控制)
4 1个DM×512表演控制器模块(用于效果灯的控制)
5 7组智能红外线控制(用户可以在液晶面板、触摸拜上对家电进行控制) 6 1个RS232/HDL-BUS转换模块
7 所有室内分体空调控制(用户可以在液晶面板、触摸屏上对空调进行开/关、温度调节、冷暖模式转换、风速调整等操作)
8 5路排气扇控制
9 4幅电动窗帘控制点及1幅天幕控制点
10 1个亮度传感器
11 1个温度传感器
12 4个传感器输入模块(用于采集开关信号,如普通开关面板、门磁等)
13 1个煤气泄漏探测传感器
14 12个人移传感器
15 2套负离子盾味控制
16 1套背景音乐系统(将房屋分为6个广播区域。可以在面板上对背景音乐进行单个区域的独立控制或对全屋背景音乐进行统一控制)
17 1个逻辑模块(电子管家),用于处理各种模式转换、用户操作、环境变化、时间控制、安防设置等系统条牛间的逻辑关系,使系统变得“聪明”起来。
18 1套家庭娱乐灯光系统
19 12个多功能液晶面板,4个普通自适应面板
关键词:ITIL;信息化服务管理;研究;分析
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2013)30-6819-05
近些年,烟草行业信息化工作已经从系统的大规模建设阶段进入到了深入、整合应用的阶段,各业务部门对信息化依赖程度前所未有,各业务系统已成为支撑起业务开展的关键所在。信息中心作为信息化建设的指挥部和保障部,该如何灵活高效地开展信息化服务管理,保障IT系统的正常运行,从而保障公司的核心业务,已成为当前信息化建设最值得关注的核心问题。
1 信息化服务管理现状分析
从对各地市信息中心的调研情况看,信息化服务管理依然普遍存在着管理粗放、知识共享不够、管理手段落后、规范性不足、服务不可见的状况。
1.1 运维管理方面
1) 没有相应的问题处理记录工具,故障处理过程缺乏有效的“记录、跟踪、监督和分析”的痕迹化管理过程;故障处理流程不规范,职责划分不清晰,事件产生后没有明确而唯一的责任人;
2) 问题受理过度依赖特定某人,没有形成有效的知识库,经验无法实现积累,资源没有得到复用,个人经验无法有效转化为企业知识;
3) 运维分析报告编制困难,问题类型统计、问题发生概率、问题解决效率、维护成功率、维护及时率、用户满意度等指标缺乏准确的统计;
4) 维护的设备和系统众多,疲于“被动式”地应付突发故障事件;巡检机制不到位,预防工作难于贯彻执行;
5) 在问题提交阶段,业务部门倾向于凭借个人关系直接与各服务人员/管理者沟通,从而进一步加剧了工作的无序状态。
1.2 绩效管理方面
1) IT服务工作量化考核困难,无法计算IT服务人员的工作绩效,难以调动IT人员工作积极性和主动性;
2) 由于缺乏痕迹化管理,IT效益、价值难于体现出来,服务不可见。
1.3 队伍建设方面
1) 在部门内部没有梯队建设机制,导致技术人员认为没有提升的空间,在一定程度上影响了队伍的稳定;
2) 在某些方面过度依赖第三方服务提供商,没有提高自己的IT服务团队,也增加了企业对IT运维的投入。
1.4 项目管理方面
1) 项目立项审批流程缓慢,审批进度不可见,效率较低,项目执行存在“先斩后奏”现象;
2) 省局对于各个地市信息化项目执行过程监管乏力,缺乏规范统一的信息反馈渠道;
3) 缺乏统一规范的需求收集反馈渠道,系统版本控制管理意识较为淡薄;
4) 缺乏对服务提供商进行有效监督,服务质量缺乏考核标准和评价手段。
1.5 技术交流方面
1) 各地市之间缺少交流与沟通的平台与渠道,存在信息孤岛,资源共享度低,无法达到“管理可复用、人员可复用、资源可复用”;
2) 省局与各地市之间缺乏交流互动平台,省局不能及时了解各地市信息化建设等情况。
1.6 信息化资产管理方面
1) IT资产较多,设备台帐不能反映设备维修历史记录,软件的升级、变更等缺乏登记信息;
2) 设备和软件的配置信息不详,或者配置信息经过维修、调整已经与实际不相符合。
以上针对目前信息化服务管理方面存在的问题进行了总结,可作为下一步信息化服务管理需要改进、提高的目标。虽然现状的改变并非一蹴而就,但我们相信在科学的理论体系指导下,通过搭建信息化服务管理平台,信息化服务管理一定能实现一个质的飞跃。
2 信息化服务管理需求分析
各地市信息中心的信息化服务管理需求主要体现在“问题管理、监控管理、项目管理和技术交流平台”四个方面。
2.1 问题管理
通过问题管理,实现问题受理的痕迹化、流程化管理,对每次故障进行“记录、跟踪、监督和分析”。根据服务级别限时完成受理、派工、处理、反馈和回访,将服务过程按流程自动化、规范化和标准化运作。
2.2 监控管理
通过监控管理,注重对事件的监控、预防和快速响应,从而降低突发事件的发生概率,提高处理突发事件的能力,最终更好地保障企业核心业务的运转。
2.3 项目管理
通过项目管理,对项目立项、项目执行、项目质量进行有效地监管,建立服务提供商评价体系,促使服务质量的提高。
2.4 技术交流平台
通过技术交流平台建设,丰富技术交流与沟通的渠道,加强全省各地市信息中心的交流与合作,实现资源的共享。
3 系统建设目标
以ITIL理论为指导思想,基于全省烟草系统搭建一套多级应用的信息化服务管理平台。建立统一的IT服务管理平台,通过流程实现运维方式由被动式支持向主动式服务演进;建立分级应用的集中监控管理平台,完成对IT基础建构的集中监控、集中维护与集中管理;建立运维知识库,共享运维技术知识,出现类以问题能够快速找到解决方法。
4 系统总体框架
信息化服务管理平台主要包括服务管理系统、监控管理系统以及技术交流平台,如图1所示。
5 系统功能设计
5.1 服务管理系统
服务管理系统涵盖ITIL的核心流程或核心流程的部分内容,以及项目管理和日常运维管理的部分内容,功能主要包括:问题管理、服务级别管理、项目管理、配置管理。
5.1.1 问题管理
主要管理业务部门的服务请求和信息中心对问题的处理,包括从服务请求受理到问题最终解决的全过程,确保信息中心快速有效地响应问题、分析问题、解决问题,保障公司的业务正常运转。
1)问题管理流程,如图2所示。
2)问题分类
问题分类是问题管理的基础性工作,是进行服务级别定义的前提,根据各地市信息中心的维护职责,从网络系统、业务系统、其它三方面内容对问题进行归类。
3)关键业务功能
通过问题管理,全面优化问题受理流程,对每次故障进行“记录、跟踪、监督和分析”,根据服务级别限时完成受理、派工、处理、反馈和回访,将服务过程按流程自动化、规范化和标准化运作起来。
①服务请求
服务请求支持电话、短信、WEB服务页面、E-mail等方式。
②任务指派
任务指派含人工指派和按流程系统自动指派两种方式,指派的对象可灵活进行定义,可以是一人也可以是两人或多人。
③任务通知
支持电话、短信、E-mail或登录系统查看任务告知形式,确保问题事件发生后,可以第一时间告知相关责任人,对问题进行有效处理,提高问题处理效率。
④过程监控
业务部门,信息中心各层面管理人员可以及时了解问题受理进度,同时可以进行服务受理进度干预,对受理进度提出意见和建议,甚至重新指派任务,提高服务满意度。
5.1.2 服务级别管理
服务级别管理主要包括三部分内容:事故级别(影响程度)定义、事故紧急程度和服务级别定义。
1)事故级别(影响程度)定义
从“应用系统故障、网络系统故障、机房运维故障和其它故障”四个维度,按“极高、高、中、低”四个等级定义事故级别。
2)紧急程度定义
对于事故的紧急程度,可分为“极高、高、中、低”四个等级。
3)服务级别定义(优先级)
基于事故级别和紧急程度,事故优先级矩阵数据模型如图3所示。
5.1.3 项目管理
项目管理是信息中心最为重要的职能之一,重点围绕“立项管理、质量管理、进度跟踪”三个关键节点开展项目管理。
1)立项管理
通过项目立项管理,加强项目审批监管,省局可以直观便捷地了解到各地市信息化项目的最新动向及项目建设内容;同时也增加了项目立项审批的透明度,提高审批效率,杜绝项目执行的“先斩后奏”;各地市通过项目立项管理,加强项目立项的内部监管,实现项目立项的痕迹化管理。
2)过程跟踪
通过项目跟踪,省局可以对各地市的项目执行进度在线监控,直观了解项目执行过程中的各种信息,含项目所处阶段、项目执行进度、相关负责人、存在问题及项目提交物等,从而提高监管指导能力;各地市通过项目过程跟踪管理,实现项目执行的痕迹化管理,加强项目内部监管,规范项目执行过程。
3)质量管理
项目质量管理主要是指通过建立软硬件服务提供商服务评价体系,对服务提供商提供的产品和服务进行全面的评价,并形成评价报告,从而促进服务提高服务水平的提高,最终形成良性循环,提高信息化项目建设质量。
5.1.4 配置管理
配置管理主要是汇集企业内部的所有设备、软件等,详细记录软硬件设备的各种信息。配置管理为事件管理、问题管理、变更管理及其它服务过程提供精准的基础数据来源。
配置管理对关键的字段设立审计功能,当特定字段发生变化时,自动生成日志。通过配置管理记录每一个资产配置项在整个生命周期内的变化,例如何时由哪个员工对一个服务器升级了补丁程序等历史记录。
5.2 监控管理系统
监控管理系统通过提供广泛的监控系统接口,集成第三方监控软件,实现对关键事件的监控、预防和预警,做到事前预防,事后快速处理,更好地保障企业核心业务的运转。
监控管理系统模块主要包括:网络监控、机房监控、服务器监控。监控管理流程如图4所示。
5.2.1 网络监控管理
网络监控分为两个部分,网络线路监控和网络设备监控。
通过对网络设备的监控管理,管理员可提前预知网络设备潜在的故障和风险,让管理员能提前预知问题的发生,准备应对方案,避免故障的发生或减少到最低。
通过对网络线路的监控管理,系统可以对网络线路问题提及时预警。通过设置“线路畅通、线路流量、访问响应速度及错误包”等指标来评估线路宽带使用率、质量等。
5.2.2 服务器监控管理
通过对服务器的监控管理,管理员可提前预知服务器潜在的故障和风险,让管理员能提前预知问题的发生,准备应对方案,从而保障企业核心业务系统的运转。可分小机服务器、PC服务期采取不同的监控策略。
5.2.3 机房监控管理
集成现有机房场地监控系统,实现对监控事件的有效预警,减少突发事件的概率。
5.2.4关键业务功能
1)集中管理
将企业分散部署在不同物理位置的监控系统集成到一个平台进行统一管理,从而实现集中管理、实时监控企业不同操作系统的服务器及不同类型的网络设备。
2)实时报警
报警策略:任何被监控性能、状态均可设定阀值进行预警。
报警程度:可分为轻微报警、普通报警、严重报警等级别,以引起用户关注。
报警方式:手机短信、邮件报警、声音报警、图形界面报警。
5.3 技术交流平台
主要包含技术交流和知识库两个功能模块,技术交流功能模块涵盖的主要是省局与各地市,以及各地市之间实现技术交流沟通的渠道,而知识库主要是静态的知识财富积淀,达到知识储存和共享的功能。
5.3.1 技术交流渠道
将电话、短信、即时消息、论坛等无缝的集成在统一平台之上,使用者无需关心对方使用的是哪一种通信方式,都可以进行快速无障碍的沟通,通过搭建协同通讯,进一步拓宽联系沟通渠道。
5.3.2 知识库管理
知识库是工作经验的积累,知识库中既包括问题的解决方案,也可包含相关的规章制度和作业指导书。纳入到知识库中的问题处理方法和经验,可在全省范围内实现资源共享,同时问题搜索引擎支持多种维度问题查询,并且可以自动归纳匹配相似的问题记录。
6 结束语
以ITIL理论为指导思想,以各地市的诸多迫切需求为导向,搭建一套安徽烟草多级应用的信息化服务管理平台。通过对信息化服务管理的有效整合,实现各级信息中心对系统资源的集中管控,进一步提升IT运维的管理和服务水平。
参考文献:
[1] 博恩.基于ITIL的IT服务管理基础篇[M].章斌,译.北京:清华大学出版社,2007.
[2] 叶永生.基于ITIL方法的运维服务系统研究与设计[J].现代计算机,2012(1):61-65.
【关键词】网络安全;防火墙;数据库;病毒;黑客
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。1.操作系统(Windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是IIS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
2.数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的SP4补丁。
(2)使用安全的密码策略
。设置复杂的sa密码。
(3)在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的IPSec可以实现IP数据包的安全性。
(五)管理员的工具
除了以上的一些安全措施以外,作为网络管理员还要准备一些针对网络监控的管理工具,通过这些工具来加强对网络安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP协议的探测工具。
Ipconfig/winipcfg,查看和修改网络中的TCP/IP协议的有关配置,
Netstat,利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。
SolarWindsEngineer''''sEditionToolset
另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛,涵盖了从简单、变化的ping监控器及子网计算器(Subnetcalculators)到更为复杂的性能监控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介绍:
SolarWindsEngineer’sEdition是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition还增加了新的SwitchPortMapper工具,它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器(NetworkPerformanceMonitor),以及其他附加网络管理工具。
SnifferPro能够了解本机网络的使用情况,它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活;它能在于混杂模式下的监听,也就是说它可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
除了上面说的五个措施以外,还有不少其他的措施加强了安全问题的管理:
制订相应的机房管理制度;
制订相应的软件管理制度;
制订严格的操作管理规程;
制订在紧急情况下系统如何尽快恢复的应急措施,使损失减至最小;
关键词:网络安全;防火墙;数据库;病毒;黑客
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。
1.操作系统(Windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是IIS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
2.数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的SP4补丁。
(2)使用安全的密码策略设置复杂的sa密码。
(3)在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的IPSec可以实现IP数据包的安全性。
(五)管理员的工具
除了以上的一些安全措施以外,作为网络管理员还要准备一些针对网络监控的管理工具,通过这些工具来加强对网络安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP协议的探测工具。
Ipconfig/winipcfg,查看和修改网络中的TCP/IP协议的有关配置,
Netstat,利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。
SolarWindsEngineer''''sEditionToolset
另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛,涵盖了从简单、变化的ping监控器及子网计算器(Subnetcalculators)到更为复杂的性能监控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介绍:
SolarWindsEngineer’sEdition是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition还增加了新的SwitchPortMapper工具,它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器(NetworkPerformanceMonitor),以及其他附加网络管理工具。
SnifferPro能够了解本机网络的使用情况,它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活;它能在于混杂模式下的监听,也就是说它可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
除了上面说的五个措施以外,还有不少其他的措施加强了安全问题的管理:
制订相应的机房管理制度;
制订相应的软件管理制度;
制订严格的操作管理规程;
制订在紧急情况下系统如何尽快恢复的应急措施,使损失减至最小;
【关键词】校园网络;网络安全;防范体系
【中图分类号】G40-057 【文献标识码】B 【论文编号】1009―8097(2011)11―0066-05
引言
随着国内高校新一轮信息化建设的不断深入,高校校园网规模越来越大,承载的应用系统越来越多,校园网络的结构也变得越来越庞大和复杂。随着人才培养、科学研究等各项工作对校园网的依赖性不断增加,校园网及各类应用系统的服务质量也应不断提高标准和要求,作为一个使用成熟技术和成熟设备的园区网络,网络安全是影响网络服务质量的重要因素。
但目前各高校的校园网“重建设,轻管理”的现象仍然十分普遍。在社会信息化发展的大潮中,各高校都已清楚地认识到校园网在学校各项工作中的基础地位,因此在校园网硬软件系统建设上进行了大量的投入,而正是硬件和软件系统的大规模快速增长,使得对网络的管理难以跟上建设的步伐,而网络管理是软性的工作,是不能够通过统计报表看得出问题或成绩的,因此网络管理工作很难引起学校领导的重视。但在实际工作中,相对滞后的网络管理会导致网络安全问题的频频发生,反言之,网络安全防范也是网络管理的重要内容。
本文根据目前高校校园网络存在的安全隐患来分析其成因,并在实际工作经验的基础上提出构建一套基于分层控制的“IAAPNS”网络安全防范体系,自底向上、由内到外、从技术到管理层面排查高校校园网络中潜在的安全威胁并给出防护建议。
一 高校校园网络的安全隐患及成因
目前高校校园网络的主干网都是基于TCP/IP协议的以太网,与其他类型的Intranet网络相比有其自身的特点,相应的安全隐患也就有其特定的成因。目前国内高校校园网络普遍存在的安全隐患和漏洞主要来自以下几个方面:
1 校园面积广阔,网络基础设施管理困难
经过兼并和扩张,高校的校区面积动辄上千亩、几千亩,许多高校还有地域上独立的新老校区,作为楼宇间连线的光纤布线遍布校区各处,而且往往跟其他强电或弱电线缆共用走线沟槽。对这些光纤的管理要涉及基建、后勤等多个部门,需要协调的工作也很繁杂,如果缺少一个明确的安全管理体系,就不容易分清工作界限,在出现突发故障后往往互相推诿,导致难以在短时间内恢复网络畅通。
另外一方面,校园内楼宇繁多,楼字里每几层都会有楼层网络设备间放置汇聚层或接入层网络设备,这些设备间的数量众多,但往往安全防范措施简易,门锁形同虚设,甚至有些设备间连门都没有,极易出现人为破坏或私拉乱接网线的情况,严重影响网络的运行安全。除此以外,雷击等外界原因也容易造成对网络设备的破坏。
2 网络设备种类繁多,不利于统一管理
校园网的建设一般是分批建设,不同批次、不同层次的网络设备使用的规格、品牌往往不尽相同,而这些网络设备的管理软件大多都是基于私有MIB库进行开发,这就造成了很难有一套统一的全网管理软件。病毒或黑客对网络设备进行攻击时,就很难在第一时间发现和应对,常常是在设备瘫痪之后才意识到出现了问题、进行紧急恢复。
3 网络终端数量众多,安全措施薄弱
一般高校的学生人数都是以万计,教师以干计,密集的用户群意味着网络终端的数量巨大,绝大多数网络终端以计算机为主,随着无线的普及,智能手机和平板电脑也成为重要的网络终端设备。数量众多的用户使用计算机或手机的技术水平差异很大,尤其是文科专业的师生对计算机的使用掌握得并不熟练,未装防火墙和杀毒软件的计算机比比皆是。而高校校园网只要一处出现漏洞,整个网络就无安全可言。近年来智能手机上也出现了不少的病毒和木马程序,智能手机的系统安全问题正变得日益严重。
4 系统软件本身并不安全
在目前的校园网环境中,个人终端装机占有率最高的仍然是Windows操作系统,由于使用面广,研究其漏洞的人也就更多,不少黑客都是利用其系统漏洞侵入用户的计算机,再以这些被控制的计算机作为跳板,攻击整个网络。
与个人计算机相比,服务器操作系统漏洞更具有灾难性。服务器的操作系统种类较多,除Windows之外还有Linux、Solaris等Unix系列的操作系统,而高校网络管理人才队伍中,对此类操作系统熟悉的人员比例不高,包括打补丁、差错、优化在内的各种操作系统管理手段很难周全到位。除了操作系统本身,其上所运行的各类服务软件(如IIS、Tomc~等)也存在安全漏洞问题,需要管理人员投入大量的精力进行研究和学习。
5 应用系统的安全漏洞
由于建设成本的考虑,高校的网络应用系统提供商的层次差异很大,有些就是自行组织教师或学生进行开发,缺少软件开发过程中各个层次的安全规划设计与实现,使得应用系统层面的漏洞层出不穷,这些漏洞很容易成为黑客攻击最直接的目标。还有些高校在建立Web网站时使用了开源程序,这类系统的漏洞更是容易被利用,甚至不懂黑客原理的用户经过几分钟的学习便可以掌握攻击方法。
二 高校校园网络的安全防范体系
由此可见,形成高校校园网络安全隐患的原因是多层次的,也是相互关联的,但目前各高校的网络管理部门往往采用的是“头痛医头、脚痛医脚”的“救火式”解决办法,只从某个方面或某个层次来应对。网络管理人员每天都在疲于解决各种突发性的网络安全事故,但问题还是与日俱增,网络服务质量和用户满意度仍然处于较低的水平,这种“费力不讨好”的现象迫使我们去思考更好的解决方案。
为此,针对目前高校校园网络的安全现状和威胁,结合实际工作经验,我们运用系统论的分析方法,提出构建一套名为“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,网络安全集成关联架构策略,同时也是体系中六个层次的英语词组首字母组合)的网络安全防范体系,为高校校园网络安全提供一套完整的解决方案,以求由点到面、由“标”到“本”地系统地解决校园网络的安全问题。该体系从六个层次和角度来阐述网络安全的内容,并分析每个层次可能存在的隐患以及相应的应对策略,其中自底向上的五个层次分别是物理安全、网络安全、系统安全、应用安全和信息安全,管理安全则融合、穿插于这五个层次之中。整个安全体系的示意图如图l所示。
该体系将现行的高校校园网络安全性划分为5个横向层次和1个纵向层次,在5个横向层次中,最底层的物理安全是基础,网络安全是关键,系统安全、应用安全、信息安全是重点,管理安全是保障。下面分别对六个层次的内容、隐患来源以及应对措施进行详细阐述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的损坏、窃听和对物理通路的攻击(干扰等)。保证高校校园网络和信息系统各种设备的物理安全是网络整体安全的前提,通常包括环境安全(系统所在环境的安全保护)、设备安全和媒体安全三个部分。抗干扰、防窃听是物理安全措施制定的重点。目前,物理实体的安全管理已有大量标准和规范,如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》、GB50173-93《电子计算机机房设计规范》等。
这一层次的安全威胁主要包括自然威胁和人为破坏等方面。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的离散事件有时会直接或间接地威胁网络的安全,影响信息的存储和交换。人为破坏则主要来自于高校校园网周边内外的人为性的损坏,这些损坏有时是主观故意的(如学生发泄对网络服务质量的不满而对网络设备或线路进行故意损坏),有时是客观意外的(如园区周边建筑施工导致挖断网络线路)。
面对以上威胁,为保证网络的正常运行,在物理安全层次上应重点考虑两个方面:
(1)校园网规划、设计、建设时将物理安全作为重点工作对待,适当提高安全标准,为网络设备或线路搭建防护设施、建立安全控制区域,尽量降低自然威胁可能带来的风险。
(2)加强巡查,将重点网络设备或线路所在地定为安全巡逻必到点,定期安排保卫人员在巡逻时查看网络设备或线路的外观和运行状态(如各种状态指示灯是否正常等),降低人为破坏的几率。
2 网络安全(Network Security)
网络安全主要包括链路安全、传输安全和网络访问安全三个部分。链路安全需要保证通过网络链路传送的数据不被窃听,主要针对共用信道的传输安全;传输安全需要保证信息的完整性、机密性、不可抵赖性和可用性等;网络访问安全需要保证网络架构、网络访问控制、漏洞扫描、网络监控与入侵检测等。
这一层次的安全威胁主要包括:
(1)通信链路上的窃听、篡改、重放、流量分析等攻击。
(2)网络架构设计问题、错误的路由配置、网络设备与主机的漏洞、病毒等。
相应地应对措施主要有:
(1)在局域网内可以采用划分VLAN(虚拟局域网)来对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能;若是远程网,可以采用链路加密等手段。
(2)加强网络边界的访问控制。对于有明显安全等级差别的网络区域尽量增加防火墙设备进行隔离。如在校园内网、服务器区域之间设置防火墙;校园网出口处、与Intemet之间设置防火墙。
(3)在交换机上启用DHCP-Snooping技术,使任何接入校园网的计算机只能动态获得IP地址,同时杜绝未经批准建立的网站通过私自手工设置静态IP地址来架设服务器。
(4)使用IDS(入侵检测系统)。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够阻止攻击者的入侵。当检测到有网络攻击或入侵时,可以实时发出报警,并详细保存相关证据,以便用于追查或系统恢复。
(5)对网络安全进行定期检测,以实现安全的持续性。可以利用漏洞扫描类的工具软件定期对系统进行扫描,根据扫描结果进行安全性评估,通过评估报告指出系统存在的安全漏洞,组织专家讨论后给出补救措施和安全策略。
(6)建立网络防病毒系统。在校园网中部署网络版的防病毒系统,统一管理服务器和各类网络终端的防毒软件,定时自动升级与维护,以保护全网不被病毒侵害。通过对网络中的病毒扫描集中控制,建立各种定时任务,统一集中触发,然后由各被管理机器运行,同时可对日志文件的各种格式进行控制。在管理服务器上建立了集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告,所有病毒扫描状态信息都可由控制台得到。
3 系统安全(System Security)
系统安全即运行在网络上的服务器、交换机、路由器、客户端主机等具有完整网络操作系统的设备的操作系统的安全。这一层次的安全威胁主要来自因操作系统本身的设计缺陷被攻击者利用从而引发的后果。对于高校校园网络而言,半数以上的攻击往往属于这一层次。这一层次的主要应对措施主要有:
(1)更新操作系统、安装补丁程序。任何操作系统都有漏洞,因此,系统管理员的主要工作内容之一就是监控运行在网络上的各类设备的状态,发现异常应当及时解决、排除故障。对于交换机、路由器等设备而言,主要是更新操作系统的版本,这一类设备主要用于数据交换,因此其内置固化的操作系统往往功能简单、体积很小,厂商的常规做法是新版本的系统,因此只需直接刷新即可。对于服务器、客户端主机等设备,因其主要是用于数据处理,操作系统功能复杂、体积庞大,厂商通常是一些补丁程序来进行更新,因此直接安装即可。
(2)优化系统。现代操作系统往往是多功能、多模块、多组件的,可能一项系统设置可能会影响多个功能,也可能多个选项来共同作用于一个功能。因此,对操作系统进行优化是一项非常必要的工作,甚至个别系统的个别选项如果不加以优化可能会被攻击者利用,从而产生威胁。实际当中包括关闭不需要的服务和端口并建立监测日志等。
(3)实行“最小授权”原则,分配正确和合适的权限。仅仅保持系统的版本最新、并做了优化是不够的,试想如果网络上的设备被设置了“123456”这样的密码,而且使用这个密码登录后还是最高权限的系统用户帐号,那么整套网络和信息系统的危险可想而知。实行“最小授权”原则(网络中的帐号设置、服务配置、主机间信任关系配置等为网络正常运行所需的最小限度),关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险大大降低。例如,根据需要设置帐号和权限,并为帐号设置强密码策略是必须完成的工作,如至少应该在8位以上,而且不要设置成容易猜测的密码,并强制用户每个月更改一次密码等等。
(4)及时查杀服务器系统中的病毒、木马和后门程序。
4 应用安全(Application Security)
应用安全主要是针对网络中提供的各种功能和服务而提出的,例如Web服务:E-Mail服务、数据库服务、各种业务系统、各种信息系统等等。应用安全的威胁主要有:应用系统缺陷、非法入侵等。这一层次的主要应对措施有:
(1)及时升级和更新各应用软件和信息系统,降低因软件设计缺陷引起的风险。若应用软件或业务系统是高校自行开发,系统的使用部门(往往是业务部门)应联系开发人员及时跟进,发现漏洞及时修补。
(2)对应用软件和信息系统实行身份认证和安全审计。
与系统安全类似,应用软件和信息系统也应对使用者进行分类、分配权限、认证身份并审计各种操作。例如可以按照需要在高校校园网内部建立基于PKI的身份认证体系(有条件还可以建立基于PMI的授权管理体系),实现增强型身份认证,并为实现内容完整性和不可抵赖性提供支持。在身份认证机制上还可以考虑采用IC卡、USB-Key、一次性口令、指纹识别器、虹膜识别器等辅助硬件实现双因子或多因子的身份认证功能。同时,还应特别注意对移动用户拨入的身份认证和授权访问控制。
5 信息安全(Information Security)
信息安全注重的是网络上各类数据、信息的内容安全。这一层次可能的威胁和相应的应对措施有:
(1)植入恶意代码或其他有害信息。一部分攻击者经常采用的攻击方法是扫描网段找到有漏洞的主机,接着使用黑客软件或攻击程序进行刺探,在获得系统权限后将恶意代码植入到在该主机上运行的各应用软件或信息系统中,待其他用户正常使用时发作,或修改页面的内容造成不良影响。针对这种情况,可以部署网页防篡改系统,减少Web站点的内容被恶意更改植入恶意代码或其他有害信息。
(2)垃圾邮件和病毒的传播。目前,电子邮件已经成为垃圾信息和病毒的主要传播途径之一,采用垃圾邮件网关并部署电子邮件反病毒模块能够在一定程度上减轻危害,缺点是垃圾邮件识别模块和反病毒模块需要经常性升级,在查杀和拦截上有一定的滞后性。
(3)负面舆论导向。高校历来是思想碰撞的场所,网络作为新兴载体己经发挥着越来越大的作用,因此,舆情监督和正面舆论导向将逐渐成为高校信息安全的重点工作内容。除了采取技术手段进行监督管理外,高校的信息化管理部门还应与宣传部门一道培养舆论导向的专业人员或学生,主动将信息安全的风险降到最低。
6 管理安全(Administration Security)
目前,部分高校的网络管理人员及其用户的安全意识总的来说较为淡薄,且大多数高校的网络管理制度不完善、管理技术落后、管理机构不健全。上述因素不仅使得校园网络性能下降、运行成本提高,而且还会造成大量非正常访问,导致整个网络资源浪费,带来极大的安全隐患,使得网络受到攻击的概率大幅提高。
管理安全是整个防范体系的主线和基础,贯穿于整个体系的始终。如果仅有安全技术方面的防范,而无配套的安全管理体系,也难以保障网络安全的。必须制订相应的安全管理制度,对安全技术的实施落实到具体的执行者和执行程度。
网络安全工作可以说是一项群体性的工作,网络用户的安全意识是网络安全的决定因素,对校园网络用户安全意识的教育是安全防范体系中至关重要的环节,是形成高校校园网络安全体系的基础。尤其是在病毒泛滥的大环境下,需要通过定期培训、及时通过各种手段病毒预警通知、监督和促使用户尽快打补丁等方法,达到增强师生用户的安全意识,提高必要的安全防范技能的目的。
以上便是我们提出的网络安全防护体系的六个层次,除管理安全层次外,其余五层与TCP/IP协议的层次类似,上一层的安全是建立在其下一层的安全基础之上,下一层的安全是上一层安全的重要保障,层次之间环环相扣,不留安全死角。
本体系中的六个层次也基本涵盖了高校网络管理工作的方方面面,将网络安全工作的思路分层次清晰化,具有极强的实用价值和指导作用。
三 应用效果
重庆理工大学从2001年开始大规模建设校园网络,2003年开始建设数字化校园系统。校园网按照核心层、汇聚层和接入层三个层次进行规划设计,共有各类网络设备600多台,接入信息点18000个,活跃用户大约2万人,各类服务器40多台,安装有Windows、Linux和Solaris等操作系统,数据库以Oracle和SQL Server为主。数字化校园系统覆盖办公、教务、学工、人事、财务、后勤等各个方面的工作,共计有各类系统模块80余个。在大规模的硬件和软件系统建设前期,缺乏对网络安全的系统认识,在遭遇网络安全事故时,常常只能采取临时性的应对措施。随着网络和系统规模的不断扩大,网络安全已经成为影响网络服务质量的重要根源,网络信息中心的员工几乎天天都在疲于应对各类突发性的网络安全事件。
学校从2008年开始总结网络安全工作的经验与教训,运用系统工程的分析方法,从整体和系统的角度提出网络安全防范方案,形成了“IAAPNS”网络安全防范体系,并应用到校园网的建设与维护工作中,经过三年多的运行,学校校园网络安全工作进得了明显的成绩(如图2所示):
对网络设备攻击(包括病毒)而导致网络故障的次数由2008年的334次降到2010年的65次,2011年上半年为19次;利用操作系统漏洞(包括Web服务器漏洞)攻击成功次数由2008年的46次降到2010年的6次,2011年上半年为2次;利用应用软件的安全漏洞攻击成功次数由2008年的125次降到2010年的43次,2011年上半年为15次。
随着网络安全防范工作的加强,网络服务质量明显提升,如图3所示,用户满意度从2008年61%提升到2010年的73%,2011年上半年为78%。
