首页 关于我们 企业资质 发表指南 购物车0
目标检索
学术杂志 科普杂志 SCI杂志
当前位置: 首页 精选范文 简述信息安全的特征范文

简述信息安全的特征精选(十四篇)

发布时间:2023-10-09 17:41:20

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇简述信息安全的特征,期待它们能激发您的灵感。

简述信息安全的特征

篇1

关键词 云安全模型 信息系统 保护测评

中图分类号:TP3 文献标识码:A

文中以云安全服务模型为研究依据,从云计算信息系统的安全特性入手,提出建立云安全服务模型及管理中心,介绍了云安全等级保护模型的建立情况。

1简述云计算信息系统安全特性

以传统的互联网信息系统相比较,云计算信息系统把全部数据的处理与存储都放在服务端,终端用户根据网络可以及时获取需要的信息和服务,没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施,可以在服务端设置统一的身份兼备与安全审计系统,确保多数系统出现的安全问题得到有效解决,但此时新的设计服务模式又会带来新的安全问题,例如:滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。

2建立云安全服务模型及管理中心

现实中的不同云产品,在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式,进而形成各不相同的安全风险特征及安全控制范围。所以,必须从安全控制的角度创建云计算的模型,对各个属性组合的云服务架构进行描述,从而确保云服务架构到安全架构的合理映射,为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。

3云安全模型的信息安全等级测评办法

云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型,考察用户在云安全方面的不同需求,安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术,另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况,对云安全模型下的核心基础、支撑安全展开分析,获取企业在云安全领域的信息安全等级测评模型,依照模型开展下一步的测评工作。

3.1分析等级测评云安全模型下的控制项

根据上述分析情况,可以把云安全模型嵌套在云安全等级保护模式中,从而展开与云安全有关的信息安全等级评价,并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况,对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型,选择访问控制的目标是强制性访问、自主性访问、角色型访问,进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配,需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况,要对标准的加密功能及服务类型,做到静态和动态的安全保护。探测数据的备份与恢复情况,就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理,检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理,是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志,其中包括网络设备的监控管理、主机的维护、告警管理与维护等。

3.2分析等级测评云安全模型的风险性

依照等级保护的有关要求,运用风险分析的办法,对信息系统展开分析时必须重视下面的内容。

(1)云身份认证、授权及访问控制

云安全对于选择用户身份的认证、授权和访问控制尤为重要,但它所发挥的实际效果必须依赖具体的实施情况。

(2)设置云安全边界

云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术,该技术自身携带安全风险,所以必须对其设置高效的安全隔离。

(3)云安全储存及数据信息备份

一般情况下,云供应商采用数据备份的方式是最为安全的保护模式,即使供应商进行数据备份更加安全,仍然会发生数据丢失的情况。所以,如果有条件的,公司应该采用云技术共享的所有数据进行备份,或在保留数据发生彻底丢失事件时提出诉讼,从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间,导致用户数据丢失,系统应该快速把发生的安全时间通报给用户,防止出现大的损失。

4结束语

综上所述,随着云计算技术的发展,云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据,简述了云计算信息系统安全特性,对云安全服务模型及管理中心的建立情况进行分析,提出云安全模型的信息安全等级测评办法。

参考文献

篇2

【关键词】计算机网络 信息安全 威胁 有效防护

随着计算机网络应用普及化,人们的生活、工作方式发生了巨大变革,极大促进了社会发展。大量的信息保存、交流,使得计算机网络牵涉到巨大的经济利益和国家利益,同时缘于其本身的脆弱性,导致信息安全攻击不断,包括病毒感染、数据篡改、木马植入等,严重威胁了社会和谐稳定。新时期,计算机网络信息安全防护,已然上升成为严重的社会问题。

1 计算机网络信息面临的安全威胁

随着科学技术发展,人们在体验计算机网络带来的便捷性、丰富性同时,也面临着严峻的信息安全威胁,稍有不慎随时可能遭受经济损失、名誉损失等。计算机网络技术最明显的特征是开放性,这也是其容易受到攻击的主要原因,包括网络攻击、病毒植入以及软件入侵等。在完整的计算机网络系统中,主要包括硬件和软件两部分组成,其本身存在的缺陷导致信息安全问题频发。例如,系统的缺省安装和弱口令是大量攻击成功的原因之一。有些意图不良的黑客,以计算机网络系统缺陷为突破口,非法侵入他人电脑窃取敏感性重要信息,从而破坏或修改相关信息数据,导致网络系统瘫痪。究其根本,造成此类问题不仅仅是缘于技术不成熟,更重要的体现为用户安全意识薄弱。此外,国家有关计算机网络信息安全的相关法律制度建设不完善,黑客攻击侵入行为成本低,加重了此种现象的猖獗性。

2 计算机网络信息安全的有效防护措施

根据上文分析得知,开放的计算机网络环境下,信息安全威胁的诱因是多种多样的,有针对性地防护才是最有效的。因此,作者基于上述总结,提出了以下几种计算机网络信息安全的有效防护措施,以供参考和借鉴。

2.1 提高安全意识

用户作为计算机网络信息的使用者、提供者以及交换者,其在信息安全建设方面的重视度、参与度直接影响了算机网络信息安全。因此,强化计算机网络用户的信息安全意识至关重要。具体而言,一方面,用户需养成良好的计算机网络应用习惯,选择正确的途径获取信息数据,不随意浏览或打开富含危险因子的网站链接,提高自身素质道德修养,杜绝黄赌毒等不良信息侵入。同时,用户还需加强个人账户管理,在不同的网站注册上设置差异化密码,并定期进行更新,提高账户密码复杂度。另一方面,计算机网络用户需树立良好的技术防范意识,重视杀毒软件及防火墙技术学习应用,并针对个人电脑进行定期维护查杀,及时修复软硬件漏洞,对于私人文件要确定其可被访问范围,最大程度保护自身信息安全。从某种意义上讲,计算机网络信息安全防护属个人意识行为,提高主动防御能力是解决信息安全问题的根本途径。

2.2 软件硬件兼施

客观角度分析,科技发展是一把双刃剑,既可提高计算机网络信息安全性能,又能丰富计算机网络安全威胁因子。现实生活中,黑客攻击、病毒植入、木马侵染属高科技犯罪行为。对此,用户应按需选择不同安全等级的计算机网络软硬件设备,及时更换损坏的硬件,主动学习了解软件功能性能,不能随意打开信息安全防护软件的限制和保护功能,以免影响自身网络服务体验,又需正确使用安装信息安全防护软件,切断不法分子侵入途径。而对于行业及企业而言,要主动承担起维护社会稳定的重任,协同高校大力发展计算机网络信息安全方面的专业人才,以市场经济需求为导向,加紧相关防护技术创新,进一步提高计算机网络信息安全性能,丰富防护软件功能服务。如此,不仅可推动计算机网络领域企业的可持续发展,提高其社会价值、经济价值,同时还有利于社会和谐稳定。

2.3 完善保障机制

计算机网络信息安全防护,不单单是个人事务,更是关乎社会和谐稳定的大事。全球经济一体化态势下,计算机网络作为各国贸易交流的重要平台载体,涉及到大量隐秘信息数据,一旦受到威胁和攻击,可能会引发严重的经济问题、政治问题。因此,我国应逐步建立完善的计算机网络信息安全相关法律法规,明确公民权利与责任,规范用户上网行为,提高违法犯罪成本,维护网民正当权益,利用法律的威严性、震慑性肃清计算机网络环境。同时,国家还需重视信息安全产业发展,加大政策引导与扶持力度,逐步增加财政投入,扩大其规模,建立完善的计算机网络信息安全防护体系。同时,相关主管部门还需加强对计算机网络环境的巡查力度,及时发现问题,督促相关单位有针对性地予以改进,并严惩一切违法犯罪行为,潜移默化中强化公民信息安全意识,维护社会治安稳定。

3 结语

总而言之,有效防护计算机网络信息安全十分重要和必要。由于个人能力有限,加之计算机网络环境复杂多变,威胁信息安全的因素众多,本文作出的研究可能不尽完善。因此,作者希望业界更多专家及学者持续关注计算机网络信息安全建设,客观、全面剖析当前所面临的信息安全问题,有针对性地提出更多有效防护措施。

参考文献

[1]汪东芳,鞠杰.大数据时代计算机网络信息安全及防护策略研究[J].无线互联科技,2015(24):40-41.

[2]吴思.关于计算机网络信息安全及防护策略探究[J].信息与电脑(理论版),2015(19):184-185.

[3]吴一凡,秦志刚.计算机网络信息安全及防护策略研究[J].科技传播,2016(02):156-157.

作者简介

胡元军(1983-),男,江苏省徐州市人。工程师。研究方向为计算机网络技术。

篇3

 

随着网络与科学技术的不断发展与成熟,现代社会生活中每一位个体产生的数据量也在迅猛增长,数据的计量单位已经达到PB(1,024TB)级,我们已经迎来了大数据时代。大数据时代的人们运用智能手机、iPad等移动电子设备,可以随时随地在社交网络上地址定位信息、照片、日记等个人隐私信息。

 

这些信息被网络数据服务商等机构不断地跟踪和记录,挖掘其潜在的巨大价值,寻求数据背后隐藏的巨大经济利益。如何保护好个人的信息一直是网络用户、专家学者乃至国家备受关注的问题。

 

1大数据的内涵及其特征

 

1.1大数据的内涵

 

每一位个体在搜索引擎上的任何一次搜索形成的数据都会被记录下来,这些数据在不断积累、汇集的过程中,逐渐成了“大数据”。大数据的定义很多学者已经给出,但表述各不相同。

 

综合来看,大数据就是数据量大、数据类型多的数据集合,同时传统的数据处理技术及IT技术无法对该数据集进行采集、获取、处理等操作。用户最能切身感受到的大数据表现为:相关企业根据个体在网络上的浏览痕迹,进行细致的用户需求分析,然后向用户提供定制和个性化的服务。

 

1.2大数据的特征

 

大数据通常是指数据的规模大于10TB以上的数据集,可以概括成“4V”:①数据量大(Volume)。生活在网络时代里,数据的计量单位也在随着数据量的不断变化而变大。②数据类型多(Variety)。常见的类型有结构化数据、非结构化的数据、半结构化数据。

 

多类型的数据结构对数据的处理分析能力提出了更高的要求。③价值稀疏性(Value)。大数据时代数据量非常大,但是有价值的数据比例又很小。④速度快、时效高(Velocity)。信息技术的不断创新发展,促使数据的增长速度也急速提高,使各行各业对数据的时效性提出了更高的要求,对处理数据的响应速度也有更严格的要求。

 

2大数据时代个人信息不安全的原因分析

 

2.1外在原因

 

2.1.1数据本身在传播中具有动态、交互、连续性。大数据时代信息和数据在传播的过程中是动态化、碎片化的,而有着这样特性的数据在网络中更加容易被捕捉和搜索,这就加大了个人信息被泄露的风险。大数据时代用户的数据具有紧密的交互性,拥有庞大数据量的计算机可以依据用户之间的数据的交互分析出两者之间的网络关系。所以,一旦某人信息泄露,就有可能因蛛丝马迹而泄露其好友的个人信息。

 

2.1.2相关企业过度寻求大数据背后的商业利益。互联网能够及时地追踪到个体的个人信息,其手段之一就是运用浏览器里的浏览记录和Cookies。如:在2013年“3·15晚会”曝光有关企业对用户的Cookies信息进行无告知收集,通过对数据的分析处理,辨别每一个用户的社会阶层、职业、家庭收入等。更有被利益驱使的企业通过不正当的渠道变卖用户的个人信息,为自己赢取利润。

 

2.2内在原因

 

个人信息主体安全意识薄弱。根据《中国移动语音社交应用行业研究报告》,预测2017年中国整体网民规模将达8.5亿人,中国移动网民将达7.5亿人,中国的网民数量呈现稳步的增长趋势[1]。网民数量在不断增加的同时,信息安全事件也频频发生。如:中国铁路12306网站个人用户信息的泄露等。虽然我国在信息安全保护技术方面存在一定的欠缺,但根本原因还是用户的个人隐私保护的意识薄弱。目前,在国内非常流行的社交网络当属微信朋友圈和新浪微博。

 

相关报告指出:微信用户平均每4分钟便会看一下手机微信,新浪微博更是广大网民及时了解各类实时专题新闻并进行互动的渠道之一。根据《TIME》(时代周刊)2012年8月的调查显示:“1/4的人每隔30分钟就看一下手机,1/5的人每隔10分钟就要看一下,1/3的人承认即使很短时间不用手机,他们也会感到焦虑。”这种过度依赖网络的行为,更有可能在不经意间泄露个人的信息。

 

3大数据时代个人信息安全保护存在的问题

 

3.1缺乏完善的个人信息安全保护法

 

大数据时代,提到个人信息的保护,很多人会认为我国个人信息保护的法律是空缺的。实际情况并非如此,我国涉及个人信息保护的法律法规不在少数,如:《中华人民共和国电子签名法》《侵权责任法》[2]以及2013年3月1日开始实施的个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》[3],然而其内容都是较为零散的,不具备一定的针对性和适用性,整体缺乏制约作用。同时,如何切实可行地保护个人的信息问题,现有的法律没有做出明确的规定,也没有进行细致的归纳和划分,不能从根本上保障个人的信息安全。

 

3.2外在攻击技术力度加强,应对技术相对薄弱

 

在技术层面上,一方面,传统的信息安全技术已经不能适用于大数据时代复杂多样的数据集;另一方面,侵权者攻击的力度也在不断地加强,传统的信息保护技术已经被依次破解,新的攻击形式层出不穷,而新的防卫技术研发投入不足。

 

3.3缺乏完善的管理机制

 

谈及信息安全,“三分靠技术,七分靠管理”,合理高效的管理是信息安全的一大保障。目前,国家层面缺乏完善的管理机制,企业层面缺少行业的自律机制,个人而言则更加随意,难以形成统一高效的管理。网络上随处可见参差不齐的信息就是管理存在不足最直接的表现。现实生活中的每个人都会受到很多管理体制的制约,若违犯必将受到相应的惩罚,虚拟的网络世界更应该如此,但目前我国尚欠缺有力的监管体制保障其整体秩序。

 

4大数据时代有效保护个人信息安全的建议4.1完善立法

 

进一步加强个人信息安全的立法制度。在大数据时代,各行各业的数据处于不断交融、碰撞的动态变化之中,慢慢形成行业发展的新局面。首先,政府应该建立个人信息保护的专项法律。个人信息保护的专项法案是对其他已有相关法律法规的有力补充,既保障个人信息保护有法可依,也打击侵犯个人信息安全的行为。

 

其次,法律法规要明确数据的采集界限以及数据的使用权。什么样的数据能够被获取利用?什么样的数据属于个人隐私应该予以保护?这都需要有明确的规定。数据采集过程中,一定要按照法律规定的获取范围采集所需数据,数据的使用权同样也是需要探讨的。

 

4.2技术创新预防外来攻击

 

在注重信息安全的理念中,虽然只提及三分靠技术,但是技术的提升却是保障信息安全最直接有效的方式。首先,在大数据时代,需要加强个人信息保护技术的研发创新,同时加大力度推动云计算、移动互联网的硬件技能的不断提升;其次,技术的不断创新依靠的是强大的技术团队、技术人才。从赛迪智库颁布的2015版大数据白皮书得知,大数据的人才无论是中国还是美国等发达国家都是稀缺的,这就需要国家加大资金的投入,培养专业性的大数据技术人才,提高信息技术水平。

 

4.3加强各行各业的自律和监管

 

信息安全的七分靠管理,应该体现在各行各业、各组织机构,应该相对应地形成内部的标准和公约,明确各方的责任与义务,监督与管理其对数据的各项使用权利。同时,政府需要加强对个人信息服务行业的引导,如:对移动运营商应该加以鼓励合理地运用数据,为广大网民提供更加便捷且个性化的服务。在监管方面,需要引入第三方安全评估的认证机构,加强对行业数据处理的全部流程的监管。

 

4.4推行网络实名制

 

推行网络实名制是提高个体信息安全意识的方式之一。有些人认为推行网络实名制会压制网民言论自由,不能完全体现民主。但是从铁路运输的售票实名制的成功案例来看,互联网络实名制虽然可能会存在不足之处,但是必定是利大于弊。首先,实行网络实名制,某种程度上会让网络上的言论更加得体,从而营造健康的网络环境。

 

如:网络冷暴力给网民带来的危害案例比比皆是,网络言论的过度自由给青少年群体带来的伤害也是显而易见。推行网络实名制可以在一定程度上限制不法分子的恶意中伤等。其次,实行网络实名制可以有效地保护用户的个人财产。当下,“微商”是非常红火的一个名词,但“微商”的可信度不高。假若这样的网络创业能够推行实名制,必然会提高网民对其的认可度。最后,推行实名制一定程度上能够降低网络犯罪的发生。

 

4.5加强信息安全教育

 

加强信息安全教育是一个漫长的且需要持之以恒的过程。社会各阶层群体都应该加强信息安全知识的学习。国家也应该针对不同的人群,提供相应的学习条件。如:对在校学生,可以开设信息安全相关的课程,鼓励学生进行选修学习;对工作人员,应该定期参加信息安全知识的培训。

篇4

关键词:计算机;网络;信息;安全;漏洞扫描

中图分类号:G718 文献标识码:B 文章编号:1672-1578(2017)04-0012-01

1.网络安全简述

网络安全并没有一个固定的范围和固定的定义。随着观察角度的变化,对网络安全的定义也不尽相同。例如,从网络用户个人或者单位来说。他们想要拥有的网络安全,必然是个人隐私信息的安全、单位商业信息受到保护,避免因他人运用窃听、篡改等手段,泄露信息,或者造成商业危害。从网络运用以及管理者的角度来看,他们理解的网络安全必然是希望在对本地网络信息进行访问、读写时,受到相应的保护。防止出现病毒入侵、拒绝服务或者网络资源非法控制等威胁。从本质上来讲,网络安全属于网络上的信息安全范围。指的是通过多网络系统的强化管理,以及对硬件、软件中的数据保护,防止其因有意的,或无意的破坏而出现信息泄露等状况。保障系统连续可靠的运作,以及提供源源不断的网络服务。从宏观上来看,凡是有关网络上信息的隐私、完整、可用、真实等相关的技术研究,以及网络安全管理全部属于网络安全需要研究的对象。网络安全不仅仅是网络使用硬件或软件上的问题,也是信息管理上的问题。在二者的互相补充下,才能实现完善的信息保护。在硬件和软件方面,主要侧重点是防止外在非法行为对网络的攻击。对于管理上来讲,主要的侧重点在于对网络管理人员的管理。对于网络安全的基本要求主要有以下一个方面:

1.1 可靠性。可靠性的定义就是网络信息系统能够在目前具有的条件下,以及相应的时间范围之内,保持预先想要其达到的功能性特征。可靠性是对于网络系统安全的最基本的要求,如果连可靠性都保障不了,难么一切的网络活动将无从谈起。

1.2 可用性。可用性就是W络经过设置之后,网络信息可以被所授权实体进行访问并按照需求使用的特性。即在经过许可之后,网络信息服务在需要的时候,就会给予授权用户或实体进行使用的特性;或者是网络在受到部分的损坏及需要降级使用的时候,依旧为授权用户提供最有效服务的特性。可用性就是网络信息系统面向所有用户的而最安全性能。网络信息进系统最基础的功能就是向用户提供他们所需的服务,然而用户的需求是随机的、多方面的、甚至还会有时间和速度的要求。与此同时,可用性就会对系统的正常使用时间与整个工作时间的之比来进行度量。

1.3 保密性。对保密性的定义就是保障网络信息能够不受外界非法行为的影响,导致出现信息泄露、信息篡改等。保密性是建立在可靠性以及可用性的基础之上的,是网络安全保障的重点对象。

1.4 完整性。完整性就是网络信息在没有经过授权之前不能对其进行任何改变的特性。也就是说,网络信息在储存或传输的过程中保持其完整,不会偶然的失误或蓄意地删除、修改、伪造、插入等破坏的特性。完整性是网络中面向信息的安全模式,无论经历怎样的阻挠和破坏,它要求必须保持信息的原版,换句话说,就是信息的正确生产及安全准确的存蓄和传输。

2.计算机网络安全中的漏洞扫描技术分析

由于网络会给人们带来较多的不安全问题,导致计算机网络的使用者必须要运用相应的安全保护措施,来实现个人或者单位的信息安全。在许多网络安全研究者的共同努力下,推出的网络安全保护技术能够从不同的角度切实保障网络信息的可靠性、可用性、保密性、完整性等。对安全技术进行分析,主要有:漏洞技术扫描、访问控制技术、防火墙技术等。这些事比较常规的,对于一些稍微特殊的,在此就不一一列举。以下主要分析的就是漏洞扫描技术。安全漏洞是计算机网络系统当中的缺陷,它会导致外界非法授权者为获取信息利用其进行不正当的访问。

2.1 D级漏洞。D级漏洞允许远程用户获取该计算机当中的某些信息,例如该计算机是否处于运行状态,该计算机的操作系统类别等。例如,可以向一台计算机的目标端口发送SYN分组,假如收到的是一个来自目标端口的SYN/ACK分组,那么我们可以确定此台计算机正处于被监听的状态。从具体实践来讲,D级漏洞在其余漏洞当中,是对计算机危害最小的。但是它会为非法侵入者采取下一项行动奠定基础。

2.2 C级漏洞。C级漏洞外在表现为允许拒绝服务。拒绝服务攻击是一类个人或者多人运用ntIemct当中的某些特性,拒绝向其他的用户提供合法访问服务。这种漏洞最终导致的结果就是,受到攻击的计算机反映速度减慢,从而导致合法授权者无法连接目标计算机。

2.3 B级漏洞。B级漏洞是允许本地用户获取非授权的访问。此种漏洞常常在多种平台应用程序当中出现。

2.4 A级漏洞A级漏洞主要是允许用户未经授权访问。这属于这几种漏洞当中危害最大的一种。许多情况下产生的A级漏洞,都是由于系统管理出现问题,或者系统内部参数设置错误导致的。

3.结语

总而言之,漏洞扫描技术就是在解决网络安全问题的一门比较新颖的技术。通过市场调研,防火墙技术就是当病毒入侵时的被动防御,入侵检测技术也是一门被动的检测,然而,漏洞扫描技术则是在没有别的病毒入侵之前就主动进行有关安全方面的全面检测技术。所以,从网络全面安全的角度出发,主动进行安全检测,防范于未然的漏洞检测越来越受人们的青睐。

参考文献:

[1] 朱健华.浅析信息化建设中的安全漏洞扫描技术[J].中国科技投资,2012(27).

[2] 赵燕.漏洞扫描技术浅析[J].内蒙古水利,2011(03).

篇5

关键词:三网合一;企业数据库;安全策略

中图分类号:TP315 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01

Enterprise Database Security Policies under the Tri-networks Integration Situation

Liu Yuan

(Wuhan Economic Development Investment Corporation,Wuhan430015,China)

Abstract:Triple play in the context of enterprise database security issues become increasingly prominent,the paper on enterprise database for triple-play situation,the security environment changes and analyze security threats,and the corresponding security policy.

Keywords:Tri-networks Integration;Enterprise database;Security policy

一、三网合一安全问题简述

三网合一也称为三网融合,我国最早是在2001年十五计划纲要中明确提出来的,而现在正在为阶段性的试点时期,并已经成为最热门的技术和热门话题之一。

通俗来说,三网融合就是在电信网、电视网和互联网技术趋于一致的发展趋势下,打破各自界限,在网络层面资源共享、业务层面互相渗透和逐步融合的一种新型的信息服务监管体系。而其权威的官方定义,来自2010年《关于印发国务院关于印发推进三网融合总体方案的通知》,三网融合:“是指电信网、广播电视网、互联网在向宽带通信网、数字电视网、下一代互联网演进过程中,其技术功能趋于一致,业务范围趋于相同,网络互联互通、资源共享,能为用户提供语音、数据和广播电视等多种服务。”

三网合一的安全问题大体可以分为网络安全与信息内容安全两个层次:网络安全主要是解决网络系统的可用、稳定及可控,保证网络系统的正常可靠运行,防护恶意行为、保护合法用户,其威胁主要来自网络系统软硬件非正常状态、恶意攻击、安全漏洞等;信息内容安全主要是解决数据信息的完整、保密、真实和可控,防止信息内容泄露、窃取或篡改,其威胁主要来自隐私信息盗用、不良信息传播、知识产权保护等等。

三网合一安全问题的两个层次也是互相渗透互相影响的。对于企业数据库来说,在三网合一的形势下,其安全问题的重点主要是信息安全。

二、三网合一形势下企业数据库安全分析

(一)企业数据安全环境的变化。对于传统的移动通信和广播电视来说,其承载业务单一,参与的主体也较单纯,因此具有相对清晰的安全边界,其所要面临的安全问题也大多是自身领域内的问题。而在三网合一的形势下,高速互联网、移动网络和广播电视网络进行融合,各种业务都会混杂在一起。由于传统互联网络在物理和逻辑上并没有进行很好的隔离,使得三网融合的参与主体呈现复杂性,既包括网络运维人员,也包括社会大众,其安全特点呈现出明显的无网络边界的特征。

而且在三网合一的背景下,大多数企业也必会顺应科技的发展,在企业战略的选择上可能会倾向于多业务运营。充分利用三网合一的便捷,应用互动电视、网络接入、企业专线、IP语音等多种技术,为企业发展增添新的活力和途径。而企业的各项核心业务都会承载于其核心的数据库系统,一旦企业的数据库系统出现安全问题,后果不可想象。可以说,网络的开放性和无国界性,既给参与其中的企业提供了机遇,但也对其数据信息的安全管理提出了新的要求。

(二)企业数据库安全威胁。对于企业来说,尤其是一些大企业,其信息网络往往结构庞杂,业务应用也是多种多样。三网融合的背景下,企业的业务应用可能会涉及到业务审批系统、电子报文系统、企业管理系统、网络服务系统、企业数据库的后台管理系统、运营业务管理系统、宽带系统及软硬件系统等等。而这些系统的核心就是企业数据库。

对于企业管理系统的管理和操作人员来说,他们所面临的最大挑战就是怎样有效的管理和监控企业核心数据库系统,同时要面临如何规范企业员工的网络行为等一系列问题。而一旦在某方面出现漏洞,对于一些关键的应用保障机制,管理措施和管理手段跟不上的话,企业的数据库库可能会得不到有效、合理的运用,造成企业数据库系统效率低下、运维出现问题,甚至会引发一系列安全问题:一是对于企业核心数据库的非法操作。包括对企业数据库的登录、注销,以及对于数据库中的数据表的插入、修改、删除操作。二是对于数据库安全事件反映不及时。对于违反数据库安全策略的事件,做不到及时响应、追踪和取证。三是对于数据库异常事件不能预警和快速定位。四是企业网络异常。而对于这种异常的原因,管理人员却无法分析和判断。

三、三网合一形势下企业数据库安全策略

(一)网络层面的常规维护策略。三网合一的背景下,企业数据库不可避免会面对网络开放,网络系统的安全是企业数据库安全的第一道屏障。而企业数据库也会面临网络入侵的威胁,企业信息系统的机密性、完整性和可用性都会面临考验。因此,在网络层面的安全策略应该着重于以下几点:一是以防火墙技术作为企业数据库系统的第一道防线,包括数据包过滤器、和状态分析等,但因其只是用事先设定的规则来拦截信息流的进出,故此防火墙无法阻拦来自网络内部的非法操作;二是应用入侵检测技术,监控网络系统是否被入侵或滥用,包括网络签名、统计和数据完整性分析,但独立的入侵监测系统存在运作上的不足;三是可采用协作式入侵监测技术,组件见自动交换信息,可用于各种网络环境。

(二)数据库内部信息安全策略。企业数据库内部信息安全策略主要包括以下几点:一是加密数据库,这是企业数据库安全的关键手段,可以避免被绕过数据库安全机制而直接访问数据库,可不受密钥长度限制,但不能采用一般通用的加密技术,而必须针对企业数据库的特点,使用相应的加密方法和密钥管理方法;二是采用数据分级控制的策略,根据安全要求和数据重要程度定义密级,如公用级、秘密级、机密级、绝密级等,并对不同权限用户设置相应级别,使系统能够实现“信息流控制”,避免非法信息流动;三是当数据库遭到破坏时,要有可靠的数据库备份数据用以恢复,使系统快速恢复系统运行。严格的数据备份与恢复管理,是保障企业数据库系统安全的有效手段。备份可以分为硬件级和软件级,而其恢复可以通过磁盘镜像、备份文件和在线日志等方法。

四、结语

需要注意的是,三网合一对于企业数据库来说,从单体、独立防御走向整体联合防御已经是安全解决方案的大势所趋。企业必须要能够预见风险和问题,制定出适合自己数据库安全维护的具体策略。

参考文献:

篇6

关键词:信息隐藏;二值图像;位平面;像素

中图分类号:TP391 文献标识码:A DOI:10.3969/jissn.1003-6970.2012.01.006

引言

随着计算机网络在世界范围内的普及,电子商务和各种文件的传输在网络上已经非常普遍,其中不乏国家安全保密信息、军事机密文件、个人私密信息等,因此,人们越来越感觉到数据传输中信息安全的重要性,于是,上世纪90年代开始了对信息隐藏技术的研究。

信息隐藏技术就是将秘密数字信息隐藏在其他作为载体文件的媒体信息中,在既不影响载体文件质量,又不易被人察觉的情况下;或者虽然知道隐藏信息的存在,但别人却无法知道它的具置。这样来完成对保密信息在网络上的传输。其中可以用来作为载体的媒体文件很多,比如数字图像、音频、视频和文本等。而数字图像是Web上常用的一种载体文件。

1图像隐藏技术的原理

图像之所以能作为载体文件隐藏密码信息,是因为图像是由像素排列而成。而在相邻像素点之间都有一定的空隙,正是因为有这些空隙为密码信息的隐藏带来了很大的方便。此空隙的大小被称为图像的空间分辨率。不同空间分辨率的图像其像素点间的空隙大小不同。图像的最终观察者是人,而人的视觉系统存在不完善性,即对两幅质量相同的图像的感受可能会存在比较大的差别,而又常常对两幅有点差异的图像的感受却相同。这样,就为图像的信息隐藏提供了巨大的施展空间,可将信息隐藏在对图像质量影响较小的一些位置,然后可以公开在网上传输,即使别人知道其中隐藏有秘密信息,但不知道提取方法也无法提取。

2二值图像的隐藏技术

无论是彩色图像还是灰度图像都可以分成若干个位平面,每个位平面都可以看成一幅二值图像,所以研究以图像为载体的信息隐藏技术可以转化为研究二值图像的信息隐藏技术。这里通过对一幅灰度图像的8个位平图(因灰度图像可用8bits表示,故共有8个位平面)的比较来研究二值图像的信息隐藏技术。

从上面的这组图像可以看出,越高层的位平面图像看起来与原图像越接近,而越往低层就越失去了原图像的形状特征,图8中位平面0的图像几乎接近于噪声,与原图像的相关性已经很小。曾经人们使用的信息隐藏方法常常是将保密信息直接代替最下面位平面图像中的像素,然而,这种隐藏术很容易被很多方法检测出,因此隐藏的信息并不安全。但是越是高层位平面越与原图像相近,轮廓也越清晰,所以替换其上的像素会使原图像发生很大的变化。因为二值图像是由0和1两个值确定的图像,因此它的像素点就只有两种颜色,如果随便将0、1互换,立即会引起人们的注意――尤其是某块区域其颜色为全黑或全白,将某点的颜色进行反转,则那点会特别突出。故而高层位平面上绝大多数的数据不能被替代。但如果修改的是其黑白边界的像素,将不会使图像局部失真过大而引人注意,从而可达到隐藏一定信息的目的。其规则简述如下:

一是在高层位平面图像中隐藏数据时只能在黑白边界――但不是所有边界的像素都可以。嵌入数据的像素有可能会发生0、1互换,即黑白发生变化,这将由载体图像高层位平面的像素和准备隐藏在其中的数据而定。当某像素由0和1转换后,一定不能使该像素点极其周围的属性改变――能否承载数据的属性。因为接收方要正确提取隐藏信息就要用和存储时一样的规则,若隐藏数据后该点的属性发生了变化,就无法正确提取信息。二是在隐藏信息时要使其像素在原图像中均匀分布,以免局部过度失真,并且还要满足Kerckhoff准则。为使除发件方和接收方的任何第三方不能正确提取到隐藏信息,就要对其加密。下面是其算法:

一先得到黑白边界像素点的位置。二访问像素点的顺序由密钥决定。三访问顺序由伪随机顺序分为可隐藏信息和不可隐藏信息的像素两类。可隐藏的像素发生0、1反转后不能影响其本身和周围所有像素的属性,要满足这点该像素就要满足:a.在直接相邻的4个像素中存在0和1不同的没有被隐藏数据的像素;b.每个已隐藏了数据的像素有0和1不同的未隐藏数据的相邻像素(不考虑当前像素)。这样,使不能隐藏信息的像素不会被错误的判定,因而信息可以被盲提取,并且也保证了其正确性。然而依然存在一些弊端――有些能够隐藏数据的像素没有被利用。当然可以使算法更加复杂,但是隐藏的数据量却不能增加很多。下列图中之例是根据上述规则对边缘像素是否能承载数据的判断结果。用阴影表示的像素2、4、5、6、7是可承载数据的像素。其中图9为原始图像,黑白两色分别表示0和1。数字表示伪随机访问像素的次序。图10是判断结果,其中用阴影表示可承载数据的像素。

由于能够隐藏信息的像素全部可以预先确定,故很容易利用矩阵编码等方法来提高嵌入效率,以占用较多可嵌数据的边缘像素为代价,减少对载体像素的修改量从而提高安全性。

秘密信息的提取方法:在相应的作为二值图像的位平面像素点上根据密钥逐点进行判断是否隐藏了数据,然后将其提取。

3结语

本文所讨论的隐藏技术是关于二值图像在黑白边缘上嵌入数据的规则,同时分析了在图像的较高层位平面上隐藏数据的方法。这种隐藏方法不仅可以隐藏较多的数据,而且分布均匀,因为每个位平面的黑白边缘位置不会重合,相互错开,这在视觉上也保证了较好的隐藏性,最低位平面也不会受到影响。这种方法接收方提取隐藏信息时只需要知道载体文件和密钥,不需要其他更多的信息,实现起来也简单、方便。

参考文献

[1]刘春庆,梁光岚,王朔中,等.应用二值图像信息隐藏技术实现彩色图像中的安全隐写.应用科学学报,2007,25(4):343~344

篇7

【关键词】3G通信;网络安全;维护技术;措施

3G无线技术是目前信息技术的核心,通信产业是世界经济发展的领军力量,也是未来国与国之间经济竞争的重要部分。3G在我国经济发展中具有重要意义,抓住3G发展的历史性机遇,实现跨越式发展。作为拥有全球最大移动通信市场的中国,应抓住这一契机,提升我国通信产业的国际竞争力。

一、3G技术基本特点

按照目前3G标准来分析,其网络特征主要体现在无线接口技术上。蜂窝移动通信系统的无线技术包括小区复用、多址/双工方式、应用频段、调制技术、射频信道参数、信道编码及技术、帧结构、物理信道结构和复用模式等诸多方面。纵观3G无线技术演变,一方面它并非完全抛弃了2G,而是充分借鉴了2G网络运营经验,在技术上兼顾了2G的成熟应用技术,另一方面,根据IMT-2000确立的目标,未来3G系统所采用无线技术应具有高频谱利用率、高业务质量、适应多业务环境,并具有较好的网络灵活性和全覆盖能力。

二、通信网络安全的重要性

可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。

当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险——一旦通信网络出现安全事故,就有可能使成千上万人之间的沟通出现障碍,带来社会价值和经济价值的无法预料的损失。

三、通信网络安全现状分析

1、计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。 现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。

2、针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强,操作技术不熟练,违反安全保密规定和操作规程,如果明密界限不清,密件明发,长期重复使用一种密钥,将导致密码被破译,如果下发口令及密码后没有及时收回,致使在口令和密码到期后仍能通过其进入网络系统,将造成系统管理的混乱和漏洞。为防止以上所列情况的发生,在网络管理和使用中,要大力加强管理人员的安全保密意识。

3、软硬件设施存在安全隐患。为了方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug),加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。

4、传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。

四、通信网络安全维护措施及技术

1、核心网元(MGW、RNC等设备)的负荷安全及路由保护

随着3G应用的普及,用户行为发生了改变,从单纯的语音、彩信、短信需求,逐步过渡到语音、数据业务、个性化应用等多种需求,对网络的容量和负荷要求更高,在3G无线网络规划、建设和维护过程中,要结合用户新行为,结合话务模型进行适度的网络扩容、优化和调整,以适应我们的网络变化,做到网络安全平稳。

2、防火墙技术

在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。

3、入侵检测技术

防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。

4、网络加密技术

加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。

5、身份认证技术

提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。

6、虚拟专用网(VPN)技术

通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。

7、漏洞扫描技术

面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统。

五、结束语

总之,在遭受着网络信息带来的一些危害的同时,只有相关部门制定完善的法律体系,拥有安全的技术才可以保证网络的安全,进一步促进网络通信的发展。

参考文献:

篇8

课程代码:01513

请考生按规定用笔将所有试题的答案涂、写在答题纸上。

选择题部分

注意事项:

1. 答题前,考生务必将自己的考试课程名称、姓名、准考证号用黑色字迹的签字笔或钢笔填写在答题纸规定的位置上。

2. 每小题选出答案后,用2B铅笔把答题纸上对应题目的答案标号涂黑。如需改动,用橡皮擦干净后,再选涂其他答案标号。不能答在试题卷上。

一、单项选择题(本大题共15小题,每小题2分,共30分)

在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题纸”的相应代码涂黑。错涂、多涂或未涂均无分。

1.根据指定教材的表述,______是文书工作的性质之一。

A.理论性 B.实践性

C.多样性 D.可比性

2.按照隶属关系,向直接上、下级机关行文,称

A.直接行文 B.越级行文

C.间接行文 D.逐级行文

3.文件承办部门或承办人员在公文办理完毕后对文件的办理情况和办理结果所作的说明,称

A.催办 B.分送

C.注办 D.承办

4.以年度、机构(问题)、保管期限的文书整理分类方式取代以往按几大特征的分类方式,源自

A.《档案馆工作通则》(1983年4月) B.《机关档案工作条例》(1983年4月)

C.《文书档案保管期限表》(1987年12月) D.《归档文件整理规则》(2009年12月)

5.归档文件,一般要求

A.一式一份 B.一式三份

C.一式四份 D.一式二份

6.殷周时期,铸在青铜器上作为记事和凭信的文字,称

A.甲骨档案 B.石刻档案

C.铭文档案 D.简牍档案

7.下列属于档案业务工作的是

A.档案宣传 B.档案鉴定

C.档案科学技术研究 D.档案教育

8.先将立档单位内的档案按内部组织机构分类,然后在每个内部机构类下再按年度分类,称

A.组织机构——年度分类法 B.年度——组织机构分类法

C.年度——问题分类法 D.问题——年度分类法

9.在档案整理工作中,文件产生和处理过程中所反映和涉及的工作、活动、问题、事件、人物方面的异同关系,称

A.来源联系 B.内容联系

C.时间联系 D.形式联系

10.专门记录档案进入档案机构情况的一种登记形式,称

A.全宗单 B.档案收进登记簿

C.总登记簿 D.案卷目录登记簿

11.由于工作的特殊需要,履行一定手续,将档案借出档案阅览室外利用,称

A.参考咨询 B.档案证明

C.外借 D.档案展览

12.在保护电子档案信息安全的技术中,一种自动检测远端或本地主机安全脆弱点,对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞的技术,称

A.身份验证 B.防火墙

C.漏洞扫描技术 D.入侵检测技术

13.下列选项中反映特殊载体档案的共同特征的是

A.可以直接阅读 B.载体一致性

C.内容系统性 D.记录信息的非直接利用性

14.答复下级机关请示事项,适用

A.批复 B.函

C.命令 D.报告

15.根据国家质量技术监督局1999年12月27日的《国家行政机关公文格式》,新的国家标准把公文文面的各要素划分为眉首、主体、______三部分。

A.著录 B.版记

C.内容 D.时间

二、多项选择题(本大题共10小题,每小题2分,共20分)

在每小题列出的五个备选项中至少有两个是符合题目要求的,请将其选出并将“答题纸”的相应代码涂黑。错涂、多涂、少涂或未涂均无分。

16.文书处理的基本原则有

A.联系交流原则 B.宣传引导原则

C.高效的原则 D.安全的原则

E.保密的原则

17.以下属于文书立卷的方法的是

A.按问题特征立卷 B.按作者特征立卷

C.按名称特征立卷 D.按时间特征立卷

E.按时代特征立卷

18.档案的属性有

A.科学性 B.原始记录性

C.社会性 D.历史性

E.确定性

19.下列______均属于企业档案馆。

A.福建省档案馆 B.杭州市档案馆

C.鞍钢档案馆 D.天津市档案馆

E.河南油田档案馆

20.档案收集的要求是

A.齐全完整 B.年终收集

C.准确系统 D.平时收集

E.及时归档

21.根据我国制定的档案保管期限的规定,以下属于永久保管的档案的有

A.本机关机构演变、人事任免等文件材料

B.本机关一般事务管理文件材料

C.本机关职能活动中形成的重要业务文件材料

D.本机关召开重要会议、举办重大活动等形成的主要材料

E.下级机关一般业务问题的来函、请示等文件材料

22.按功能划分的档案检索工具有

A.手工检索工具 B.机械检索工具

C.介绍性检索工具 D.查检性检索工具

E.馆藏性检索工具

23.电子文件按数据格式划分有______等。

A.支持文件 B.转换文件

C.图形文件 D.音频文件

E.辅助文件

24.文书大致可以分为______、通用文书和专用文书四大类。

A.科技文书 B.行政机关文书

C.基础文书 D.党的机关文书

E.法定文书

25.下列选项中属于行文基本规则的有

A.“请示”应一文一事、只主送一个机关,不抄送下级机关的规则

B.“报告”中不得夹带请示事项的规则

C.公文由文秘机构统一处理的规则

D.充分利用原基础的规则

E.研究性的规则

非选择题部分

注意事项:

用黑色字迹的签字笔或钢笔将答案写在答题纸上,不能答在试题卷上。

三、名词解释(本大题共5小题,每小题4分,共20分)

26.拟办

27.文书立卷

28.档号

29.档案鉴定

30.档案检索

四、论述题(本大题共2小题,每小题10分,共20分)

31.试论档案发挥作用的规律性。

32.档案室的基本任务是什么?

五、案例分析题(本大题10分)

33.某学院为了科研更上一层楼,在全国范围内进行招聘。某大学黄教授既年轻又学术成果突出,在众多应聘者中脱颖而出,成为某学院引进人才的首选对象。由于人员编制指标、工资报酬等人事权等归学校人事处负责,学院没有具体决定权。学院领导建议,以学院人事科身份发文和学校人事处联系。学院人事科叶秘书草拟了一份公函,希望学校人事处帮助落实解决。

请问:

篇9

近几年来,电子商务的发展十分迅速,电子商务可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流、信息流的环境与系统。虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题,网上的交易是一种非面对面交易,因此“交易安全”在电子商务的发展中十分重要。可以说,没有安全就没有电子商务。本文简述了计算机信息网络在企业电子商务中的应用,并对电子商务的内部环境和外部环境进行了深入分析和探讨。

【关键词】

计算机;信息网络;电子商务;作用;机遇;应用;分析

1 计算机网络的安全技术

计算机安全特别是计算机网络安全技术越来越成为能够谋取较高经济效益并具有良好市场发展前景的高新技术及产业。自从计算机网络暴露出安全脆弱问题且受到攻击后,人们就一直在研究计算机网络安全技术,以求把安全漏洞和风险降低到力所能及的限度,因此出现了一批安全技术和产品。

1.1 安全内核技术

人们开始在操作系统的层次上考虑安全性。尝试把系统内核中可能引起安全问题的部分从内核中剔出去。使系统更安全。如So-laris操作系统把静态的口令放在一个隐含文件中,使系统更安全。

1.2 Kerberos系统的鉴别技术。

它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户。如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。Kerberos系统在分布式计算机环境中得到了广泛的应用,其特点是:安全性高、明性高、扩展性好。

1.3 防火墙技术

防火墙即在被保护网络和因特网之间,或在其他网络之间限制访问的一种部件或一系列部件。

防火墙技术是目前计算机网络中备受关注的安全技术。在目前的防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器和鉴别与加密是其关键所在。防火墙技术主要有数据包过滤、服务器、SOCKS协议、网络反病毒技术等方面组成,共同完成防火墙的功能效应。

2 计算机信息安全技术在电子商务中的应用

随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,电子商务的安全性是影响其成败的一个关键因素。

2.1 电子商务含义

电子商务是利用计算机技术、网络技术和远程通信技术实现整个商务过程中的电子化、数字化和网络化。人们不再是面对面的、看着实实在在的货物、靠纸介质单据进行买卖交易,而是通过网络,通过网上琳琅满目的商品信息、完善的物流配送系统和方便安全的资金结算系统进行交易。

整个交易的过程可以分为三个阶段:第一个阶段是信息交流阶段;第二阶段是签定商品合同阶段;第三阶段是按照合同进行商品交接、资金结算阶段。

2.2 电子商务安全隐患

2.2.1 截获传输信息

攻击者可能通过公共电话网、互联网或在电磁波辐射范围内安装接收装置等方式。截取机密信息;或通过对信息长度、流量、流向和通信频度等参数进行分析。获得如用户账号、密码等有用信息。

2.2.2 伪造电子邮件

虚开网上商店。给用户发电子邮件,伪造大量用户的电子邮件,穷尽商家资源,使合法用户不能访问网络。使有严格时间要求的服务不能及时得到响应。

2.2.3 否认已有交易

者事后否认曾发送过某条信息或内容,接收者事后否认曾收到过某条信息或内容;购买者不承认下过订货单;商家不承认卖出过次品等。

2.3 电子商务交易中的一些计算机安全安全技术

针对以上问题现在广泛采用了身份识别技术数据加密技术、数字签名技术和放火墙技术。

2.3.1 身份识别技术

通过电子网络开展电子商务。身份识别问题是一个必须解决的同题。一方面,只有合法用户才可以使用网络资源,所以网络资源管理要求识别用户的身份;另一方面,传统的交易方式,交易双方可以面对面地谈判交涉。很容易识别对方的身份。通过电子网络交易方式。交易双方不见面,并且通过普通的电子传输信息很难确认对方的身份,因此,电子商务中的身份识别问题显得尤为突出。

2.3.2 数据加密技术

加密技术是电子商务中采取的主要安全措施。目前。加密技术分为两类,即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI的缩写,即公开密钥体系技术实施构建完整的加密/签名体系,更有效地解决上述难题,在充分利用互联网实现资源共享的前提下,从真正意义上确保了网上交易与信息传递的安全。

2.3.3 智能化防火墙技术

智能防火墙从技术特征上是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的方法消除了匹配检查所需要的海置计算,高效发现网络行为的特征值,直接进行访问控制。新型智能防火墙自身的安全性较传统的防火墙有很大的提高。在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比较有质的飞跃。

2.3.4 信息安全技术的应用

由于现有计算机系统之间的网络通信大多采用TCP/IP 协议, 服务器也多为Unix 或Windows 操作系统, 又由于TCP/IP 和Unix 都是以开放性著称的,这就给网络使用带来极大的安全隐患。目前普遍使用的身份认证方式是证书认证方式。具体操作过程是, 首先由第三方建立起由相关部门授权的认证体系, 负责对申请证书的网上用户发放有效的证书, 在网上的其他机构或个人需要对该用户进行身份确认时, 该用户出示其手中的证书给需要对其进行认证的一方认证, 认证方也可以到签发该证书的认证中心对该证书进行认证。每一个证书与一个密钥相对应。

3 中间件技术

电子商务将由Internet/Intranet 技术、传统IT 技术以及具体的业务处理所构成。为了更好的满足需要, 需要以Web 的底层技术为基础, 规划出一个整体的应用框架,并提供一个支持平台, 用于Internet 应用的开发、部署和管理, 并能籍此解决上述各种问题, 这就是中间件技术。电子商务应用服务器、通用业务网关、支付网关、通信平台和安全平台, 统一纳入电子商务中间件构架的范畴。

4 结束语

综上所述,计算机信息技术和互联网使得电子商务成为一种全新的商务模式, 它是由计算机信息技术来支撑。虽然有些技术已经发展到了成熟阶段,但仍然有许多刚发展起来的新技术, 甚至还有许多新技术不断涌现出来。随着技术的成熟和观念的转变,电子商务在未来必将成为主要的商务模式,为众多企业带来新的机遇。

【参考文献】

[1]张贤.电子商务安全问题[J].中国科技信息,2006年03期

[2]李玉海,桂学勤.电子商务安全问题及其解决方案[J].电子商务,2006年12期

[3]张全伙,李蓉蓉.计算机法律、职业道德与安全技术问题的若干思考[J].计算机工程与应用,1996年05期

[4]傅剑波,黄尚勇,丛庆.中小企业电子商务信用问题的解决途径[J].成都大学学报(社会科学版),2006年02期

[5]张昌利,鲍立威,姚志邦.电子商务系统移动POS机的开发与应用[A].过程系统工程2001年会论文集[C],2001年

[6]王天梅,孙宝文.企业电子商务系统的战略规划[A].2001年中国管理科学学术会议论文集[C],2001年

[7]王咸伟,李克东.计算机多媒体与网络技术教育应用

篇10

【 关键词 】 数字签名;加密;解密

Analysis of Commonly Used Encryption of AlgorithmsDigital Signature Technology

Wu Bin

(Kailuan Group , Ltd HebeiTangshan 063000)

【 Abstract 】 As a result of modern society to network dependence, There are many network attacks when we communicate through network, and the attacks will damage the information system seriously,so network security technology has become an important research topic for many governments and organizations. The computer and the network technology development leads the humanity to the information society, with the development of it which causes security problem let people put more and more emphasize on security. The digital signature technology plays an important role in the status recognition and authentication, the data integrity; anti- denies and so on, it is used widely on electronic commerce and electronic government affairs.

【 Keywords 】 digital signature; encryption; decipher

1 密码体制的研究现状

传统密码密钥体制的特点是无论加密和解密都共有一把密钥(Kc=Kd ),也称对称加密算法。对称加密算法的安全性完全取决于密钥的安全。在对称加密算法中,数据发信方将原始数据和加密密钥经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高,密钥管理困难,使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。

公开密钥密码体制是现代密码学的最重要的发明和进展。对信息发送与接收人的真实身份的验证、对所发出/接收信息在事后的不可抵赖以及保障数据的完整性是现代密码学主题的一方面。公开密钥密码体制对这两方面的问题都给出了解答。在公钥体制中加密密钥公之于众,而解密密钥只针对解密人。公开密钥密码体制的原理是加密密钥和解密密钥分离。任何人利用这个加密密钥和算法向该用户发送的加密信息。公开密钥密码的优点是不需要经过安全渠道传递密钥,大大简化了密钥管理。

2 几种常用数字签名算法和比较

2.1 RSA算法简述与分析

1976年提出的公开密钥密码体制思想不同于传统的对称密钥密码体制,它要求密钥成对出现,一个为加密密钥,另一个为解密密钥。多数密码算法的安全基础是基于一些数学难题,这些难题专家们认为在短期内不可能得到解决。

公钥加密算法用两个密钥:一个公共密钥和一个专用密钥。用户要保障专用密钥的安全:公共密钥则可以出去。公共密钥与专用密钥是有紧密关系的,用公共密钥加密的信息只能用专用密钥解密。公钥加密算法中使用最广的是RSA。RSA使用两个密钥,一个公共密钥,一个专用密钥。如用其中一个加密,则可用另一个解密,密钥长度从40到2048bit可变,加密时也把明文分成块,块的大小可变,但不能超过密钥的长度,RSA算法把每一块明文转化为与密钥长度相同的密文块。

RSA算法旨在解决DES算法密钥的利用公开信道传输分发的难题。而实际结果不但很好地解决了这个难题,还可利用RSA来完成对电文的数字签名以抗对电文的否认与抵赖;同时还可以利用数字签名较容易地发现攻击者对电文的非法篡改,以保护数据信息的完整性。

2.1.1 RSA密码体制的工作流程

(1)用户选择一对不同的素数p,q,计算n=p*q;

(2)根据欧拉定理,计算欧拉函数值?准(n)=(p-1)(q-1);

(3)随机选一整数e,满足gcd(e,?准(n))=1;

(4)计算e的逆元d,即满足de=1mod?准(n)。

则密钥空间K=(n,p,q,e,d),将n, e公开,即n, e是公钥(publickey)秘密保存,即d是私钥(private key )。

p和q应该被销毁掉,不再需要(PGP为了用中国的同余理论加快加密运算保留了P和q,不过它们是用IDEA加密过再存放的)。

加密的过程:若待加密信息为m,首先将其数字化,看成是一个大数字串,并取长度小于log2n的数字做明文块。如果m>=n,就将m表示成s进位(s

解密的过程:用私钥d进行解密,计算D(C)=Cd modn,恢复明文m。

如果第三者如果要解码的话,必须想办法得到d。所以,他必须先对n作质因数分解。如果他能够成功的分解n,得到这两个质数p和q,那么就表明此算法被攻破。

RSA算法是利用了数学中存在的一种单向性。对于RSA来说,用公开密钥加密后,如果想再通过公开密钥解密是很困难的。这个困难性就表现在对n的因式分解上。若n=p*q被因式分解,(p-1)(q-1)就可以算出,继而算出解密密钥d。

在实际应用中,经常选择一个较小的公钥或者一个组织使用同一个公钥,而组织中不同的人使用不同的n。

2.1.2 RSA的安全性

RSA算法的安全性就是基于大整数的因子分解困难之上的,到目前其还是安全的。要分析RSA算法的安全性,我们从攻击RSA的角度来审视。总的来分,RSA算法攻击可以区分为三类。

(1)蛮力攻击:它通过实验所有的可能私钥,来达到目的;

(2)数字攻击:使用数学技巧,类似于分解n来达到攻击目的;

(3)时间攻击:通过观察解密算法运行的时间来达到目的。

e和d位数越长则安全强度相应越高,但是加解密速度会越慢,所以e和d位数的长度应该与实际应用系统有综合的权衡。

3 典型的数字签名算法和对比

目前的普通数字签名算法,如RSA数字签名算法、ELGamal数字签名算法 、Okamoto数字签名算法、美国的数字签名算法(DSA)和LUC数字签名算法等。下面将分别介绍其中两种数字签名算法。

3.1 DSA数字签名算法

DSA是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS数字签名标准。DSS是由美国国家标准化研究院和国家安全局共同开发的。DSA它的安全性是基于离散对数问题的。

DSA算法

构造参数:其中p,q,g作为全局参数,共所有用户共同使用;x是签名者的私钥;y是签名者的公钥。对消息M的签名结果是两个数(s,r)。每一次签名都使用了随机数k,要求每次使用的k都不同。

签名过程

对消息M的签名过程可以用如下步骤表示:

(1)生成随机数k,0

(2)计算r:r=(gk modp)modq;

(3)算s:s=(k-1 (H(M)+xr))modq,到此,消息M的签字结果就是(s,r);

(4)发送消息和签名结果(M,r,s)。

认证过程

接收者在收到(M,r,s)之后,按照如下步骤验证签名的有效性。

(1)取得发送者的公钥y;

(2)计算w:w=s-1 modq;

(3)计算u1:u1=((H(M)w)modq;

(4)计算u2:u2=(rw)modq;

(5)计算v:v=((gu1 yu2 )modp)modq;

(6)比较r,v,如果r=v,表示签名有效;否则签名无效。

接收方计算v值来与收到的r比较,以确定签名的有效性。v是发送者的公钥,消息的散列值,全局参数和接收到s的函数。

3.2 DSA的安全性

DSA签名算法处理自己的―些重要信息时,我们建议采用的密钥长度为1024位的k;而不是512位。

3.2.1 随机数产生器与攻击随机数

如果攻击者获知了签名时使用的k,那么它可以计算出签名者的私钥参数x;如果你的随机数产生器具有较大的缺点,攻击者可以通过你的随机数产生器的某些特征,而恢复出你所使用的随机数k,所以在DSA签名算法的实现中,设计一个好的随机数产生器也是非常重要的。

3.2.2 全局参数(共享模数)的危险

在DSS公布之初,人们反对其使用共享模数p,q。确实,如果共享模数p,q的分析,对破解私钥参x有所益的话,那将是对攻击者的莫大帮助。但是,经过密码学界多年来的研究,还没有其有明显漏洞的报道。

3.2.3 DSA中的潜信道

DSA算法的潜信道最早有Simmons发现的,它可以在签名(r,x)中可以传递额外的少量信息。该潜信道是否是DSA预先设下的,还是一种巧合,我们无法考证。当然如果是使用到重要场所,就不要采用非信任团体实现的DSA签名系统。

3.3 椭圆曲线数字签名算法

随着计算机网络的迅速发展,相互之间进行通信的用户数量的增多,RSA与ELGamal公钥密码体制的公钥位数较大(一般为512bit以上)的弱点逐渐暴露出来。1985年Koblitz和Miller分别独立地提出利用椭圆曲线上离散对数代替有限域上离散对数,可以构造公钥位数较小的ELGamal类公钥密码。

3.3.1 ECDSA的签名算法

签名的时候,自然有待签署的消息m;全局参数D=(q,FR,a,b,G,n,h)还有签名者的公钥私钥对(Q,d)。

签名的步骤描述如下:

(1)选择一个随机数k,k∈[1,n-1];

(2)计算kG=(x1,y1);

(3)计算r=x1modn;如果r=0,则回到步骤(1);

(4)计算k-1 modn;

(5)计算e=SHA1(m);

(6)计算s=k-1 (e+dr)modn,如果s=0,则回到步骤(1);

(7)对消息的签名为(r,s)。

最后,签名者就可以把消息m和签名(r,s)迅速发送给接收者。

3.3.2 ECDSA的认证算法

当接收者收到消息m和签名(r,s)之后,验证对消息签名的有效性,需要取得这些参数;全局参数D=(q,FR,a,b,G,n,h),发送者的公钥Q。我们建议接收者利用前面的合法性检查算法,也对参数D和Q的合法性进行检测。

认证算法可以描述如下:

(1)检查r,s,要求r,s∈[1,n-1];

(2)计算e=SHA1(m);

(3)计算w=s-1 modn;;

(4)计算u1=ewmodn;u2=rwmodn;

(5)计算X=u1G+u2Q;

(6)如果X=0,表示签名无发效;否则X=(x1.y1),计算v=x1modn;

(7)如果v=r,表示签名有效;否则表示签名无效。可以说,ECDSA算法就是在椭圆曲线上实现了DSA算法。

4 算法对比

椭圆曲线密码体制ECC的研究历史较短,是目前己知的所有公钥密码体制中能够提供最高比特强度的―种公钥密码体制。

我们将椭圆曲线加密算法很多技术优点。

4.1 安全性能更高

椭圆曲线加密算法有着加密算法的安全性能,一般通过该算法的抗攻击强度来反映。ECC和其他另外几种公钥系统相比,其抗攻击性具有绝对的优势。椭圆曲线的离散对数问题(ECDLP)计算困难在计算复杂度目前完全是指数级的,而RSA是亚指数级的。这体现为ECC比DSA每bit安全性能更高。

4.2 计算量小和处理速度快

在相同的计算资源条件下,在私钥的处理速度上,ECC远比RSA、DSA快。同时ECC系统的密钥生成速度比RSA快百倍以上。因此在相同条件下,ECC则有更高的加密性能。

4.3 存储空间占用小

ECC的密钥尺寸利系统参数与DSA、RSA相比要小得多。160位ECC与1024位RSA、DSA具有相同的安全强度,210位ECC则与2048位RSA、DSA具有相同的安全强度,意味着它所占的存储空间要小得多。这对于加密算法在资源受限环境上的应用具有特别重要的意义。

4.4 带宽要求低

当对长消息进行加解密时,ECC、RSA、DSA三类密码系统有相同的带宽要求,但应用于短消息时ECC带宽要求却低得多。而公钥加密系统多用于短消息,例如用于数字签名和用于对对称密码系统的会话密钥加密传递,带宽要求低使ECC在无线网络领域具有更加广泛的应用前景。

通过对算法的研究和简单的对比,我们发现各种算法各有优缺点,在实际的应用中要根据具体的情况选择更适合的加密算法。

篇11

关键词:现场总线 安全技术 铁路通信 应用

中图分类号:TM621 文献标识码:A 文章编号:1672-3791(2014)02(a)-0013-02

铁路系统需要各种工业技术的支持,几乎所有工业技术在铁路系统中都有所应用。目前随着我国高速铁路大规模建设,列车运行速度不断提高,必然对信息的安全、可靠传输提出更严格的要求。因此,为了提高铁路通信系统的安全通信能力,对铁路安全数据传输的理论和技术进行研究,已经成为世界各国铁路关注和加大投入力度的共同趋势,尤其是现场总线通信技术,已经成为保障铁路系统特别是高速铁路系统安全运行的基础。

1 现场总线及安全技术的相关标准

1.1 现场总线的定义

所谓现场总线就是指利用一根总线把各种仪器设备联接在一起,构成一个完整的控制网络。因此,现场总线属于系统技术,它综合了信息技术、电子技术以及计算机技术等各种现代工程技术。

1.2 目前主要的现场总线及安全技术标准

国际电工委员会制定的IEC61158标准是目前主要的现场总线及安全技术标准。IEC61158主要包括:IEC/TR61158-1总论与导则、IEC/TR61158-2物理层规范和服务定义、IEC/TR61158-3数据链路层服务定义、IEC/TR61158-4数据链据层协议规范、IEC/TR61158-5应用层服务定义、IEC/TR61158-6应用层协议规范[1]。其中,现场总线物理层采取的本质安全(简称本安)技术在IEC61158-2中做了详细的解释和规定。本安技术己经获得世界大部分国家的认可,其国际标准化程度很高。利用本质安全技术,可以对现场总线进行带电调整和在线测量,允许系统运转时进行设备拆换[2],能够防止电气设备与易燃易爆气体接触后可能发生的危险。为了保障安全服务,必须采取具体的安全措施。针对可能受到的威胁,系统必须具备鉴别功能、访问控制、数据完整性和数据保密性等相应的安全保障机制,即在系统模型的各个层次上,采取对应的安全服务和安全措施,以满足不同层次的安全需求。建立点-点通信是链路层的功能之一,为了保障通信安全,可采用链路加密措施实现。而流量的路由控制由网络层完成,可用IP加密传输信道技术实现网络节点间透明的安全加密信道。由传输层负责实现端到端进程通信,可采用安全套接字层SSL (Secure Sockets Layer)技术保障进程间的信息安全。利用各种中间件技术,应用层可以实现数据保密、身份鉴别、访问控制和数据完整性等安全服务,从而保障通信安全。

2 铁路系统中应用的现场总线及其安全技术

在铁路通信领域,目前应用最广泛的现场总线是CAN总线。随着铁路的发展,ProfiBus等总线逐渐在我国铁路中得以应用。下面针对CAN总线和ProfiBus总线在铁路系统中的应用及其用的安全技术进行讨论研究。

2.1 CAN总线

CAN(Controller Area Network)总线是串行通信总线,基于CS-MA/CD(载波侦听多路访问/冲突检测)机制,是目前国际上应用最广泛的现场总线系统[3],且早在1993年就成为国际标准。其突出特征可概括如下[4]:

(1)CAN网络任意时刻任意节点都可任意向网络上其它节点传输数据,可实现点对点、一点对多点以及全局广播等方式收发数据;(2)CAN网络节点在报文标识符上分成不同的优先级,当网络出现冲突时,优先级较低的节点会主动退出,最高优先级的节点可继续传输数据,不受任何影响;(3)CAN网络数据传输率可达1 Mb/s,直接通信距离可达10 km;(4)CAN网络数据帧为短帧结构,抗干扰强,数据传输每帧信息都采用CRC校验,检错效果好,数据出错率低。由于CAN总线具有上述优点,因此,已经广泛应用于我国的铁路系统中,比如基于CAN总线的铁路信号微机监控系统、基于CAN总线的铁路变电站远程监控系统以及基于CAN总线的铁路车站电气火灾监控系统等等。现代高速铁路需要大容量的数据传输,而CAN总线的数据传输速率最高仅能达到1 Mb/s,另外由于CAN总线本身并不具备故障-安全特性,因此,CAN总线不适合现代高速铁路通信要求。如果要在对于数据传输率和安全性要求不是特别高的铁路通信系统中采用CAN总线构建通信网络,必须进行以下的安全改进设计。

(1)采用冗余网络结构。

如果采用CAN构建一个要求具备故障-安全性能的通信网络,可以将网络结构设计成冗余结构。采用这样的冗余网络结构,当一个回路出现通信故障时,另一个回路的使用不会受到干扰和影响,通信数据传输的可靠性、稳定性和实时性从而得到有效的保障。

(2)报文传输安全设计。

为了保障安全传输报文数据,对于CAN总线构建的故障-安全通信网络,可以采用以下设计方案:

①报文按顺序编号:对每一个运算周期内的报文进行顺序编号,不同周期内的报文编号不同。假如本周期内收到的报文编号和上周期的不同,则证明网络正常;反之,如果在规定时间内接收不到报文或连续收到编号相同的报文,则证明网络出现问题,系统应转入故障-安全状态。②报文周期传输:发送方在固定周期内连续向接收方传输报文数据,接收方对接收到的报文反复进行对比、检查,发现问题自动抛弃。报文按周期传输可以有效地减少报文延误和丢失,从而保证通信网络报文数据传输的安全性和实时性。③报文冗余校验:目前通常采用CRC循环码对报文安全数据传输进行校验,CRC循环码具有检错率高、编码简单等优点。报文添加校验码后进行发送,接收方对收到的报文采用CRC进行校验,如果添加在报文中的校验码和新产生的校验码相同,则证明报文内容无误;如果不同,就应该对报相应的故障-安全处置。④报文冗余编码:把所有的报文数据的位信息都扩展到字节信息进行发送,采用码距最大的两个字节来表示“0”和“1”两个位信息。报文冗余编码的应用,极大地提高了报文数据传输的抗干扰性能。⑤报文正、反码发送:正、反码编码规则如下―― 当信息位有奇数个“1”时,冗余校验位重复信息位;当信息位有偶数个“1”时,冗余校验位是信息位的反码。在每一帧报文数据中都设置正、反码,收到报文数据后进行解码对比,如果发现正反码校验不相同,则认为报文有误,应转入故障-安全状态。

如果接收到的报文数据能够通过以上检验要求,则可认为基于CAN构建的通信系统符合故障-安全的需求。

2.2 ProfiBus总线

目前ProfiBus总线己经被纳入国际标准IEC61158和IEC61784中,在此基础上进行消化吸收,我国制定了行业标准JB/T10308.3-2001(测量和控制数字数据通信工业控制系统用现场总线第3部分:Profibus规范)。在所有的现场总线中,ProfiBus总线是一种不依赖于设备生产商的、国际化的、开放的现场总线,而且在欧洲工业界得到了广泛应用,ProfiBus的基本特征简述如下[5]:

(1)ProfiBus总线由OSI标准模型中的物理层、数据链路层、应用层构成,采用主从通信方式,采用故障-安全模式通信接口;(2)ProfiBus总线以EN50170标准为基础,分为通用性自动化(FMS)、工厂自动化(DP)和过程控制自动化(PA)三个部分;其中FMS和DP采用RS485接口标准,PA采用IEC1158-2接口标准;(3)ProfiBus总线采用中继器连接不同的区段,每一区段最多可以连接32个设备;(4)ProfiBus数据传输率最高可以达到12 Mb/s,报文格式为244B。

由于链路层基于IEEE802标准的令牌控制方式,ProfiBus是目前现场总线中唯一通过权威安全机构认证的总线,因此,ProfiBus在铁路系统特别是高速铁路系统中得到了广泛的应用。目前ProfiBus总线在铁路通信领域中的应用具体体现在ProfiBus-DP模块上,而且据此我国制订了国家标准GB/Z20830-2007(基于PROFIBUS DP和PROFINET IO的功能安全通信行规―― PROFIsafe)。按照IEC61508标准,PROFIsafe是唯一达到SIL3级的安全系统―― 拥有安全技术解决方案V1.30,通过了BGIA、UL、TV等权威安全机构的认证,能够满足过程工业和制造业自动化故障-安全要求。PROFIsafe的主要特征表现为[6]:

(1)PROFIsafe采用同一根电缆可以实现两个信道通信―― 安全通信和标准通信,由于在单信道通信系统上可以实现故障-安全性,因此,不需要设置冗余电缆;(2)PROFIsafe采用了具有高安全性的专利SIL监视器,而且故障-安全措施和技术被用在F-Master、F-Slave等终端模块上,因此,故障-安全等级最高能够达到SIL3级。

通信系统中的故障包括硬件故障、软件故障以及由于电磁干扰所引起的传输信道上的随机失效等,PROFIsafe的安全功能能够及时发现可能进入正常传输系统的所有危险,使通信系统的故障概率降至最低。

总之,面对我国“十二五”高速铁路规划的宏伟蓝图,铁路人必将迎来大规模开工建设的伟大时刻。要保证现代高速铁路安全运行,利用现代工业技术,特别是先进的信息技术和计算机技术建立安全可靠的通信网络势在必行,现场总线及其安全技术必将在高速铁路建设工程中有着广阔的用武之地。

3 结语

目前,我国铁路通信系统的研究开发工作在如何保证通信信号系统的高安全性方面缺乏一个完善、规范的标准和评估体系,在铁路通信系统安全数据传输方面的研究工作力度很不足,对发达国家的先进铁路安全技术的引进、消化、吸收多集中在车载设备和自动防护系统方面,权威机构对于国产铁路通信系统进行的安全技术认证严重缺乏,远远满足不了当前高速铁路快速发展的需求。

因此,在研究相关的安全评估认证体系和国际安全标准的基础上,结合中国高速铁路发展的现状,建立中国自己的铁路通信信号系统的国家安全标准己经刻不容缓。基于现场总线在铁路系统中广泛应用的现状,进一步研究、讨论现场总线的安全通信技术及相关标准,对于采用现场总线构建高速铁路安全数据传输网络,实现故障-安全通信,保障当前和今后我国高速铁路交通安全具有重大的现实意义。

参考文献

[1] 李开成.现代铁路信号中的通信技术[M].北京:中国铁道出版社,2010.

[2] 狄利明.基金会现场总线的本质安全技术[J].化工自动化及仪表,2001,28(6).

[3] 陈洁,李哲英.现场总线技术及其在铁路系统中的应用第一讲现场总线技术的基本概念与内容[J].铁道通信信号,1997(7).

[4] 陈洁,李哲英.现场总线技术及其在铁路系统中的应用第二讲总线与系统简介[J].铁道通信信号,1999(8).

篇12

[关键词]个人网银;客户满意度;层次分析法

[DOI]10.13939/ki.zgsc.2015.16.072

1 引 言

客户满意度是指客户通过对一个产品或服务的感知效果与其期望值相比较后,所形成的愉悦或失望的状态。在市场经济体制下,任何企业都需要了解潜在客户以及当前客户的需求,没有客户就没有市场,也就没有企业的存在。因此,研究关于客户满意度方面的问题便成为网银运营发展的重中之重。但随着我国金融市场不断对外开放,业务量不断扩大,我国网上银行面临着更严峻的风险,特别是个人网上银行,不但要面临产品同质化带来的风险,金融产品和服务缺乏创新、外资银行的进入以及中资银行的改革都对个人网银提出了更高的要求。网上银行客户满意度是网银客户对网上银行提供的金融产品与服务的实际感受与其预期值进行比较的程度,这里所指的网上银行客户主要是针对个人网上银行客户而言的。研究个人网银客户满意度主要是以客户为核心,为客户提供更满意的产品或服务。

2 我国网上银行发展存在的问题

我国网上银行业务发展相对缓慢,相比国外网上银行还比较落后,网银客户满意状况整体不佳,主要表现在以下三个方面。

2.1 安全问题

安全性一直是影响网上银行发展的主要因素,不能从根本上保障用户的资金及信息安全,网上银行的发展也无从谈起。不法分子和黑客利用网民薄弱的安全意识、网络技术的漏洞以及银行监管的不规范,盗取客户账号、密码及私密信息,给客户造成了重大的经济损失,严重地影响了网上银行的发展。

2.2 服务体系比较单一

网上银行业务是在传统银行原有的模式上发展起来的,受传统体制的制约,我国网上银行服务体系比较单一,除了网银的基本业务外,没有全方位、多渠道、个性化的网上金融服务。我国网上银行服务差异化程度低,缺乏独特的市场定位。

2.3 网银业务种类少

我国网上银行业务品种相对较少,主要是传统业务的网络复制。缺乏科技含量高、适应客户个性化需求的网上金融服务,受传统业务功能的限制,难以满足客户对金融产品和服务的需求。

3 实证分析

3.1 网银客户满意度指标体系的建立

网上银行客户满意度评价体系是全面、综合地度量客户对网上银行所提供的金融产品或服务满意度的量化指标体系。

本文主要根据客户满意度以及消费者接受等相关理论,结合我国网上银行现状分析研究,建立我国网上银行客户满意度指标评价体系。个人网银客户满意度评价指标主要是针对网银的产品满意和服务满意来确定的,从产品满意和服务满意的角度上出发,建立个人网银客户满意度评价指标体系,包含了一级、二级和三级指标。一级指标是个人网银客户满意度;网银操作、网银系统、网银服务以及网银安全是二级指标;二级指标继续分解为12个三级指标,指标体系见表1(见下页)。

3.2 层次分析法确定指标权重

层次分析法(The Analytic Hierarchy Process)简称为AHP,是由美国运筹学家萨提教授(T.L Saaty)于20世纪70年代提出的一种在多目标、多准则条件下,对多种对象进行评价的简洁而有力的工具,运用AHP可以使整个过程量化,减少评价过程的主观性,将定性评价与定量评价结合在一起,为网银客户满意度评价提供更为合理的解决方法。

3.2.1层次分析法的原理

(1)构造判断矩阵

通过比较因素之间的重要程度,采用1-9的标度法定义判断矩阵 。其中, 表示元素i与元素j的重要性之比,判断矩阵标度定义如表2所示。

%表示元素i与元素j的重要性之比,同样如果要表示元素j与元素i的重要之比应为 。如果向量 满足

式中, 是矩阵A的最大特征根。则w为相应的特征向量,归一化后的w可以作为权向量。

(2) 一致性检验

如果出现“甲比乙重要,乙比丙重要,但是丙却比甲重要”的判断,这样的现象是不符逻辑的,因此需要对判断矩阵A进行一致性检验。 计算一致性比例CR,当CR

其中, 为一致性指标,且 ; 为判断矩阵 的最大特征值;RI为平均一致性指标如表3所示。

3.2.2 AHP确定各元素组合权重

根据网银客户满意度评价指标体系,得判断矩阵,并计算权重及一致性检验见表4至表8。

(1) 一致性检验:

(2) 一致性检验:

(3) 一致性检验

(4) 一致性检验:

(5) 一致性检验:

计算因素层相对于目标层的合成权重:

Ci相对于A的合成权重=Ci相对于 的权重 相对于A的权重,得到合成权重,具体数据见表9。

从表9中可以看出,个人网银客户满意的总目标中,客户对网银安全的要求最高,其次是网银系统、网银操作和网银服务。在网银安全中,客户对资金的安全最为关心;在网银系统中,客户更加注重网银系统的稳定性;在网银操作中,客户更为关心网银基本功能的操作;在网银服务中,客户对客服人员的态度要求最高。

3.3 实证分析

本文数据主要来自对个人网银客户满意度的问卷调查,问卷调查对象为使用D网上银行的网银客户,主要针对F城市不同职业的网银客户进行调查,采用问卷发放及网上发放问卷的形式展开数据的收集,共发放问卷100份,有效问卷为86分,问卷回收率为86%。在调查问卷中使用李克特量表,指标测评主要采用态度量化方法,分别为5级态度“非常满意、满意、一般、不满意、非常不满意”赋值“5,4,3,2,1”,让调查对象打分。客户满意度指数的计算一般通过加权平均的方法计算,公式如下:

式中,CSI为客户满意指数, 为第i个测评指标的权重,xi为客户对第i个指标的评价。根据客户满意度公式,在不同的测评指标层次中,可以逐个计算出三级指标和二级指标的满意度得分并且算出总体客户满意度。计算结果见表10。

网银界面简洁大万C1:均值为3.48,权重为0.1867;功能指引明确C2:均值为3.56,权重为0.1578;基本功能操作简单C3:均值为3.74,权重为0.6555;网银操作满意度指数为3.66。同理可计算出网银系统满意度指数为3.58;网银服务满意度指数为3.54,网银安全满意度指数为3.47。对二级指标满意度指数进行加权计算得出个人网银总体客户满意指数为3.56,表明客户在总体上对网上银行基本满意,但从各指标来看,网银的发展还存在很多问题,还有很大的提升空间。

4 结论与对策建议

4.1 结论

本研究在文献研究的基础上,对影响网银客户满意度的因素进行了分析,采用层次分析法对网银客户满意度进行探讨研究,研究结果简述如下。

第一,影响网银客户满意度的因素主要有网银的基本功能操作是否简单、网银的系统是否稳定、网银客服人员的态度以及网上银行是否能保障客户的资金安全等因素;第二,网银客户对于网银操作和网银系统较为满意,对网银服务和网银安全方面满意度较低;第三,客户对网银的基本功能操作明确和网银系统稳定满意程度角度,对网银的资金安全以及网银的服务水平方面满意度较低。

4.2 策略建议

现如今个人网银市场竞争激烈,要获得持久的竞争优势就必须以客户为中心,提高客户满意度。通过对网银指标权重和满意度值的分析,提出以下几点建议以作参考:

4.2.1 加强网上银行的安全性

网上银行的安全性一直是影响客户使用网上银行的关键因素,安全性影响着客户对网上银行的信任度。为了提高网银的安全性以吸引更多的客户,首先,需要加强网银安全方面信息技术的安全性;其次,我们可以增加常登陆地保护功能,客户可自行设置几个常登陆地,如果出现异常登陆,可以在第一时间以短信通知用户,确定是否本人操作或是采取相应措施以防账号被盗;最后,各实体银行可以加大对网银安全性的宣传,例如通过广告或发放网银操作安全手册向广大客户普及网银安全知识,提高客户对网银的安全意识。

4.2.2 提高网银客服的服务质量

为了促进网上银行的发展,个人觉得可以培养一批既熟悉业务、又会管理、善营销的复合型人才。网上银行的客服不仅要了解网上银行的业务操作,更要具备较高的职业素质。现阶段,各网上银行的客服系统出现形同虚设的现象,客服应答性不高,建议各网银可以设立专属通道以及VIP通道等,为不同业务、不同客户类型开设专门的聊天空间。

篇13

【关键词】智能化建筑;子系统;信息点;系统设计

中图分类号:S611文献标识码: A 文章编号:

0引言

建筑智能化是未来建筑行业发展的一个必然趋势,我国政府一直倡导可持续发展战略和和谐社会的建设理念,建筑智能化能够有效的节约能源,通过高端技术的实施可以达到环保的功效,对于保护环境,维护社会和谐稳定发展具有一定的成效。本文以某综合服务中心建筑智能化工程为例,该服务中心具有系统庞大、繁杂的特征,追求实现标准化、先进性、开放性、可靠性、经济性和可扩展性的目标,文章简述该项目综合布线系统设计的做法与主要技术措施。

1 工程概述

某综合服务中心建筑面积20659m2,框架结构,地上6层,其中1~3层为服务大厅,4~6层为办公区(室);地下2层,其中地下1层为办事服务大厅,地下2层为停车场与设备间。建筑高度为21.9m。本项目的综合布线系统的任务是确保该中心对数据、语音、图像的传输需求,并且根据有关部门对系统内部及外部的网络建设提供了可靠、安全的框架。该系统是一套完整的面向未来的结构化布线系统,其开放式的结构与性能卓越的器件实现了完美的结合,整个系统可以很方便地扩充和变更,以满足用户不断变化的需求。

2 系统的需求与设置

基于满足本项目办事服务与办公的实际需要,设置系统的各个语音点、外网点、内网点与专网点。

⑴服务窗口。每个工位设置1个语音点+1个外网点+1个内网点+1个专网点;

⑵后台工作区。每个工位设置1个语音点+1个外网点+1个内网点+1个专网点;另外在每间后台工作区增加设置1个语音点+1个外网点+1个内网点+1个专网点,以备未来发展的需要;

⑶办公室。本项目3~6层的办公室每个工位设置1个语音点+1个外网点+1个内网点+1个专网点;另外在每间办公室增加设置1个语音点+1个外网点+1个内网点+1个专网点,以备未来发展需要;

⑷会议室。本项目2~6层的会议室各设置2个语音点+2个外网点+2个内网点;地下区域会议室各设置4个语音点+4个外网点+4个内网点,出入口处预留1个内网点(用于会议导视)。所有信息点均设置在会议桌桌面;

⑸多功能厅。多功能厅内东西侧墙面各设置4个信息点,另设置2个外网无线网点(AP),各出入口处预留1个内网点(用于会议导视)。在舞台区域设置5组多媒体信息地插,在听众区第一排左右立柱处各设置一组多媒体信息插座;

⑹电教培训室。电教培训室的讲台处设置1组多媒体信息插座,信息点的设置应满足55个培训工位的使用需求,并可在内网、外网之间切换。讲台侧墙面设置2个信息点和1个语音点,信息点作为视频会议的接入点。出入口处预留1个内网点(用于会议导视);

⑺库房。库房设置1个语音点+1个外网点+1个内网点+1个专网点;

⑻办事服务大厅。办事服务大厅设置公用电话语音点+无线上网点(AP);

⑼网络与管理。本项目大楼内网络分为内网、外网、专网。内网、外网实行统一管理,中心大厅进驻部门窗口的专线要求跳接灵活,即可根据需求从1层转到2层,也可同时接到1层和2层。

本项目综合布线系统中的综合布线水平子系统全部采用6类非屏蔽双绞线,在各层弱电配线间统一端接至24口6类配线架,便于统一管理,在需要的时候可进行语音、外网、内网、专网之间的跳线转换管理。工作区全部采用6类模块,每个工位信息点1个外网、1个内网、1个专网、1个语音设置。另外,考虑到未来的发展需求,在每个办公室预留2组信息点,办公区按5:1预留信息点。水平主干采用6类非屏蔽布线系统;垂直数据主干采用室内多模光纤。在大楼公共区域,主要在1层和2层及地下室设计无线网络AP点。

3 系统的详细设计方案

3.1 系统设计的原则

该项目综合布线系统设计的基本原则是:严格执行国家有关技术规范、标准和政府的有关政策、规定;通过采取切实可行的技术措施和选择质量好、性价比适中的设备与产品,力争实现标准化、先进性、开放性、可靠性、经济性和可扩展性的目标。

3.2 系统总体设计

根据本项目的建筑结构形式与用途特征,将其网络规划分为三级分层星型结构。

3.2.1 第一级是主信息机房

包括综合布线总配线架,管理整个大楼内的电话和网络数据。网络中心负责管理数据信息,语音中心负责管理语音信息。以网络中心为中心节点,布置了网络的核心设备,如路由器、交换机、服务器等。语音中心同为中心节点,布置了语音的核心设备,如语音模块局等。

3.2.2 第二级是各配线间

在大楼内设置光纤主干作为数据传输干线,并在配线间端接。二级交换机可以采用以太网或快速以太网交换机,向上与网络中心的主干交换机相连,向下直接与工作区连接服务器或工作站的信息插座连接。语音干线采用三类大对数电缆,在配线间端接,向上与语音中心的语音模块局总配线架相连,向下直接工作区与电话插座连接。

3.2.3 第三级是工作区

按照信息点位置安装信息插座和面板,并端接引来的水平线缆,并分为双口插座、单口插座等。

该综合布线系统采用六类非屏蔽布线系统+万兆光纤的解决方案。即采用结构化综合布线的方式将语音和数据进行统一布线,传输主干数据率为10000Mbps。其中水平子系统(分配线间到信息出口)采用六类非屏蔽布线解决方案。楼内数据主干采用6芯室内万兆多模光纤,语音主干采用三类非屏蔽大对数电缆。信息出口采用六类非屏蔽模块。信息面板采用86×86型单口、双口信息面板;楼层管理子配线间的水平配线架均采用24口六类非屏蔽快接式配线架;语音垂直主干连接配线架采用交叉连接配线架。

该综合布线系统设计的范围包含工作区子系统、水平区子系统、垂直主干子系统、管理区子系统、设备间子系统。

3.3 工作区子系统信息点规划

工作区子系统信息点的规划按照布点原则及大楼具体应用情况确定,大楼按智能建筑甲级标准进行设计。

工作区全部采用6类模块,每个工位信息点1个外网、1个内网、1个专网、1个语音,每间办公室预留两组信息点设计。工作区数据及语音部分跳线由综合布线厂商直接提供,这样可以保证6类布线系统良好的网络效果。由于工作区信息模块到终端之间的距离不确定,所以有关后期的跳线选配,则在施工中按实际情况统一解决。

3.4 水平区子系统设计

该综合布线系统的水平部分,无论数据还是语音都采用了6类布线产品。采用整个水平信道提供250MHz以上的带宽,支持1000BASE-T,1000BASE-Tx的应用。由于语音点和数据点采用同种介质,可以实现语音、数据点的灵活互换。由于此种双绞线具有很强的抗干扰性和很高的备冗余,使综合布线具有了很高的可靠性。

3.5 垂直主干子系统设计

根据该项目语音通讯的需求,语音主干采用了3类大对数UTP线缆,每个语音点对应1对主干线缆,并考虑一定的主干冗余(1:1.1)。数据主干采用6芯室内多模万兆光纤。

3.6 管理区子系统设计

⑴配线间布置。配线间内设置网络设备机柜;

⑵配线柜。由于网络设备多为19寸标准设备,为了便于维护管理,在各楼层管理间均选择19寸,2m立式机柜;

⑶铜缆配线架。连接语音水平及垂直干缆的配线架,选择交叉连接配线架;为了便于与网络设备进行跳接,选择24口六类屏蔽非屏蔽快接式配线架连接所有的数据水平线缆;

⑷光缆配线架。为了适合19寸标准安装方式,在管理间采用19寸光纤配线架,连接多模室内光纤。管理间端、接点较少,可选择支持24口光纤配线架;

⑸管理间跳线。语音部分和数据部分的跳线均采用6类数据跳线;光纤跳线选择双芯LC-LC跳线。

3.7 设备间子系统设计

依据综合布线的设计规范的规定:设备间最好设置在整个建筑的物理中心位置,这样整体网络会比较均衡,并可以合理地减少主干线缆用量。所以,该项目的网络中心设在地下2层,语音中心设在地下1层语音机。

⑴配线柜。由于网络设备多为19寸标准设备,为了便于维护管理,在网络中心、语音中心均选择19寸立式机柜;

⑵铜缆配线架。语音中心设备间,连接垂直干缆配线架及语音模块局总配线架,总配线架应为电信局提供;

⑶光缆配线架。为了适合19寸标准安装方式,在网络中心设备间采用19寸光纤配线架,连接多模室内光纤。设备间端、接点较多,可选择支持高芯数的光纤配线架或多个24口芯光纤配线架叠加;

⑷管理间跳线。语音部分和数据部分的跳线均采用6类数据跳线;光纤跳线选择双芯LC-LC跳线。

4 主要技术措施

该项目在综合布线系统的设计中,分别采取了如下主要技术措施:

⑴为了保证大量信息传输的速度,在本综合布线水平系统全部采取了六类线缆敷设,垂直主干系统采用OM3标准的光纤,从而达到了整体千兆网络,垂直部分万兆网络。如前所述,在本设计中我们还充分考虑了关键设备和线路的冗余,从而能够比较方便的进行在线修复、更换和扩充,确保了系统与数据传输的可靠性。为防止异常情况的发生,本综合布线设置了必须的保护性设施,使各级网络具有网络监督和管理能力,确保系统安全可靠运行;

⑵为了保证系统的信息安全性,该项目综合布线系统分为内网、外网、专线网,实现了从三个物理层面上全部隔离。选用的控制网络和通信协议及设备完全符合国际标准或国家标准,将不同应用环境和不同的网络优势有机地结合起来。使系统的硬件环境、通讯环境、软件环境、操作平台之间的相互依赖减至最小,发挥各自的优势。同时,保证网络的互联,为信息的互通和应用的互操作,创造了有利的条件;

⑶为了适应各类房间或大厅功能的改变及网络改造的可能,增强系统的升级、变更的能力,使之便利地实现,并基于前瞻性的需要,该项目综合布线系统的内网、外网、专线网可在同一楼层的配线间内利用跳线灵活的改变前端网络的功能。与此同时,系统的软件、硬件、通信、网络,操作系统和数据库管理系统等诸方面的接口与工具,均符合国际标准,这样就使系统具备良好的灵活性、兼容性,扩展性和可移植性,从而,也保证了系统的开放性、科学性、先进性和系统具备了较强的升级变更能力;

⑷为了保证图文资料传输的速度和质量,并具有足够的带宽,该项目综合布线系统的重要点位实现了光纤到桌面;

⑸该项目综合布线系统在满足用户的需求和实现系统功能要求的基础上,在硬件和软件的配置上保留了足够的扩展能力和容量,以便使该系统建成后及在使用过程中,用户可根据需要方便、平滑升级扩展系统的功能。

实践证明,该项目综合布线系统中采取的上述技术措施是十分必要的,是搭建网络、确保服务中心实现数据共享,多级联动、全方位、多层次服务功能的基础。

5 系统设备的选择

根据该项目是以信息化技术为特征的服务中心的技术要求,基于保证系统可靠性、先进性的同时,本着经济、实用、合理的原则,确保系统设备的选择具有良好的性价比。该项目综合布线系统设备的选择与配置采用了具有长期动态寿命的产品,回避了使用短期过渡性技术的产品,使系统既能满足当前的需要,也能适应远期科技的进步与时代的发展,以及智能化程度不断提高的要求。为此,我们在综合布线系统设备招标采购中,采取了多方案对比和反复论证的方法,最终选择了在综合布线领域中居领导地位的施耐德电气Connect系列产品。施工实践以及系统调试、试运行的结果表明,该项目综合布线系统设备选择方案,满足了其技术性能与使用的要求。

6 结语

综上,该综合服务中心建筑智能化工程,委托由认可的第三方专业检测机构实施了检测,其各项指标均符合设计要求,被检测项目合格率为100%,符合验收规范规定的标准。特别是经过一年多的运行,智能化系统运行良好,从而为我国智能化工程的建设积累了经验,提供了示范,受到了有关方面的好评。

参考文献:

[1]黎连业,黎恒浩,王华.建筑弱电工程设计施工手册[M] .北京:中国电力出版社,2010:344-365.

[2]国家标准.智能建筑设计标准(GB/T50314-2006)[S] .北京:中国计划出版社,2006.

篇14

1. 广域网概述

广域网(WAN,wide area network),有时也称远程网(long haul network),是覆盖地理范围相对较广的数据通信网络。常利用公共网络系统(如电话公司)提供的便利条件进行传输,可以分布在一个城市、一个国家,甚至跨过许多国家分布在全球。

广域网可以不断扩展,以满足跨越广阔地域的多个地点、每个地点都有多个计算机之间联网的需要。不仅如此,广域网还有足够的能力,使得联网的多个计算机能同时通信。因此,路由选择技术和异构网的互联技术是广域网技术的重要组成部分。

2. 广域网的参考模型

广域网一般由主机和通信子网组成,子网用于在主机之间传递信息。将网络的通信(子网)和应用(主机)分离,可以简化整个网络。图1所示为主机和通信子网的关系。

在许多广域网中,一般由公共网络充当通信子网,它包括两个组成部分:传输线和交换节点。传输线用来在计算机之间传送比特流;交换节点有时也叫做分组交换节点、中间系统或数据交换设备,用于连接两个或多个传输线。数据沿输入线到达交换节点后,交换节点必须为其选择输出线并将其输出。

通信子网工作在OSI参考模型的下三层,即物理层、数据链路层和网络层。图2所示为广域网子网技术和OSI参考模型之间的关系。

目前常用的公共网络系统有电话交换网(PSTN)、分组交换数据网(又称X.25网)、帧中继网(Frame Relay)、数字数据网(DDN)等。广域网种类很多,性能差异很大,租用不同的网络同所需支付的费用差异也很大。

网络设计及规划

1. 技术目标分析

典型的技术目标包括可扩充性、可靠性、灵活性、可管理性和流量特性。

(1)可扩充性

可扩充性是指网络设计必须支持增长幅度,对于许多使用者来说,可扩充性是最基本的目标。很多使用者经常以很快的速度增添用户、新站点以及与外部网络的连接,所以设计时必须了解信息网络平台的扩展计划,适应建筑及居住区用户网络使用及范围的增长。

(2)可靠性

可靠性通常是网络的一个非常重要的目标,包括精确度、错误率、稳定性、无故障时间等。可靠性通常与冗余联系在一起,但冗余并不是网络目标,是为避免停机而为网络增加双重链路。

(3)灵活性

指建好的网络尽量适应新技术和新变化。网络的灵活性会影响它的使用性能,灵活性好的网络不一定提供最好的使用性能。

(4)可管理性

可管理性的重点是使网络管理员的工作更容易。

(5)流量特征

描述流量特征包括辨识网络通信的源和宿,分析源和宿之间数据传输的方向性以及对称性。在某些应用中,流量是双向且对称的。在其他应用中,流量是双向非对称的,客户站点发送小的查询,而服务器则发送大量的数据。在广播式应用中,流量是单向非对称的。

终端/主机通信流量通常是不对称的。终端发送少量字符,主机则发送许多字符。

客户端/服务器的通信流量是使用最广泛的流量类型。流量通常是双向非对称的。客户的请求通常不超过64字节,但若向服务器写数据,则字节数目会很大。服务器的响应范围可以达到1500字节或更多。

在对等通信中,流量通常是双向对称的。

服务器/服务器通信包括服务器之间的传输和服务器与管理程序之间的传输。服务器通过与其他服务器通信完成目录服务、高速缓存常用数据、镜像负载平衡和冗余数据、备份数据,以及广播可用的服务。服务器与管理程序之间的通讯,处于同样的目的,还为了加强安全策略和更新网络管理数据。服务器/服务器网络通信的流量通常是双向的,流量的对称取决于应用。大多数的应用其流量是对称的。

2. 设计网络结构

网络结构的设计主要包括核心层、汇聚层和接入层。

核心层是互联网络的高速主干,因此必须用冗余组件来设计核心层。配置核心层的路由器时,应该使用可以优化分组吞吐量的路由特性,应避免使用分组过滤或其他降低分组处理效率的功能。

汇聚层是核心层和接入层的分界点,扮演许多角色,包括由于安全性原因控制对资源的访问,以及由于性能原因控制通过核心层的网络通信等。如果计划实现一个VLAN,那么汇聚层可以配置为VLAN之间的路由。

接入层为用户提供了在局域网段访问互联网的能力。

3. 设计寻址和命名模型

应该规划、管理和记录接入层地址。必须设计好并管理好这些编号。寻址的结构化模型是指地址是有意义的、分层的和规划好的。Apptalk的地址包括建筑物和楼层的号码,所以是结构化的。包含前缀和主机部分的IP地址也是结构化的。

在满足用户易用性目标方面,名字的作用是不可少的。简短而有意义的名字可以提高用户的生产率,简化网络管理。

4. 桥接交换机和路由选择协议

如果网络设计包括以太网网桥或交换机,最好使用带有生成树协议的透明网桥。可能还需要支持VLAN的连接交换机的协议,该协议适应IEEE802.10协议、IEEE802.1Q协议或CISCO的ISL协议。

路由选择协议使得路由器能够动态地广播和获得路径,确定有哪些路径可供选择,而哪一条又是将数据传输到目的地址的最佳路径。路由选择协议对第三层的网络状态进行更新并使路由表驻留到第三层交换机/路由器中。而诸如 IP、IPX 和 AppleTalk 这类常用的第三层协议,则被称为路由转发协议,它们能够在网络中传送数据。

共有两种路由选择协议:距离向量路由选择协议和链路状态路由选择协议。从本质上来说,距离向量路由选择协议在路径的远近方面决定它是否最佳,而链路状态路由选择协议能够用更为复杂的方法来考虑各种连接变量,如带宽、延时、可靠性和负载等。

距离向量路由选择协议就路径的远近判断其是否最佳。距离可以是中转站点(路由或是主机)的数目或是一套经过计算能够代替距离的量度。如今仍在使用中的 IP 距离向量路由选择协议有:路由信息协议(RIV v1 和 v2)和内部网关路由协议 IGRP。

链路状态路由选择是一种概念,用于在分组交换网络中进行计算机通信时的路径查找。链路状态路由选择所进行的工作就是让网络中的路由器告知该网络中所有其它的路由器哪个与它相邻最近。所有的路由器都不会将整张路由表全部出去,它们只发其中与相邻路由器相关的部分。一些链路状态路由选择协议为:OSPF、IS-IS 和 EIGRP。

链路状态路由选择协议比距离向量路由选择协议拥有更高的灵活性和完善性。它们综合了诸如带宽、延时、可靠性和负载等众多的网络性能方面的因素,从而在总体上降低了网络中散播的信息量,并能在路径选择方面更好地作出决定,而不像距离向量路由选择协议那样以距离或中转站点的数目为唯一的依据。

网络主干设备的选型指标分析

网络主干设备的系统结构直接决定了设备的性能和功能水平。这犹如先天很好的一个婴儿和一个先天不足的婴儿,即便后天成长条件完全相同,他们的能力依然有相当大的差别。因此,深入了解设备的系统结构设计,客观认知设备的性能和功能,这对正确选择设备极有帮助,下面将从七个方面进行讨论。

1. 交换结构

随着网络交换技术不断的发展,交换结构在网络设备的体系结构中占据着极为重要的地位。为了便于理解,这里仅简述三种典型的交换结构的特点:

共享总线

由于近年来网络设备的总线技术发展缓慢,所以导致了共享总线带宽低,访问效率不高;而且,它不能用来同时进行多点访问。另外,受CPU频率和总线位数的限制,其性能扩展困难。它适用于大部分流量在模块本地进行交换的网络模式。

共享内存

其访问效率高,适合同时进行多点访问。共享内存通常为DRAM和SRAM两种,DRAM速度慢,造价低,SRAM速度快,造价高。共享内存方式对内存芯片的性能要求很高,至少为整机所有端口带宽之和的两倍(比如设备支持32个千兆以太网端口,则要求共享内存的性能要达到64Gbps)。由此可见,既便不考虑价格因素,内存芯片技术本身在某种程度上也限制了共享内存方式所能达到的性能水平。

交换矩阵(Cross bar)

由于ASIC技术发展迅速,目前ASIC芯片间的转发性能通常可达到1Gbps,甚至更高的性能,于是给交换矩阵提供了极好的物质基础。所有接口模块(包括控制模块)都连接到一个矩阵式背板上,通过ASIC芯片到ASIC芯片的直接转发,可同时进行多个模块之间的通信;每个模块的缓存只处理本模块上的输入/输出队列,因此对内存芯片性能的要求大大低于共享内存方式。总之,交换矩阵的特点是访问效率高,适合同时进行多点访问,容易提供非常高的带宽,并且性能扩展方便,不易受CPU、总线以及内存技术的限制。目前大部分的专业网络厂商在其第三层核心交换设备中都越来越多地采用了这种技术。

2. 阻塞与非阻塞配置

阻塞与非阻塞配置是两种截然不同的设计思想,它们各有优劣。在选型时,一定要根据实际需求来选择相应的网络设备。

阻塞配置

该种设计是指:机箱中所有交换端口的总带宽,超过前述交换结构的转发能力。因此,阻塞配置设计容易导致数据流从接口模块进入交换结构时,发生阻塞;一旦发生阻塞,便会降低系统的交换性能。例如,一个交换接口模块上有8个千兆交换端口,其累加和为8Gbps,而该模块在交换矩阵的带宽只有2Gbps。当该模块满负荷工作时,势必发生阻塞。采用阻塞设计容易在千兆/百兆接口模块上提高端口密度,十分适合连接服务器集群(因为服务器本身受到操作系统、输入/输出总线、磁盘吞吐能力,以及应用软件等诸多因素的影响,通过其网卡进行交换的数据不可能达到网卡吞吐的标称值)。

非阻塞配置

该设计的目标为:机箱中全部交换端口的总带宽,低于或等于交换结构的转发能力,这就使得在任何情况下,数据流进入交换结构时不会发生阻塞。因此,非阻塞设计的网络设备适用于主干连接。在主干设备选型时,只需注意接口模块的端口密度和交换结构的转发能力相匹配即可(建议:当要构造高性能的网络主干时,必须选用非阻塞配置的主干设备)。

3. 处理方式

众所周知,每一次网络通信都是在通信的机器之间产生一串数据包。这些数据包构成的数据流可分别在第3、4层进行识别。

在第3层(Network Layer,即网络层,以下简称L3),数据流是通过源站点和目的站点的网络地址被识别。因此,控制数据流的能力仅限于通信的源站点和目的站点的地址对,实现这种功能的设备称之为路由器。一个不争的事实:无论过去、现在、还是将来,路由器在网络中都占据着核心的地位。传统路由器是采用软件实现路由功能,其速度慢,且价格昂贵,往往成为网络的瓶颈。随着网络技术的发展,路由器技术发生了革命,路由功能由专用的ASIC集成电路来完成。现在这种设备被称之为第三层交换机或叫做交换式路由器。

在第4层(Transport Layer即传输层,以下简称L4),通过数据包的第4层信息,设备能够懂得所传输的数据包是何种应用。因此,第4层交换提供应用级的控制,即支持安全过滤和提供对应用流施加特定的QoS策略。诚然,传统路由器具有阅读第4层报头信息的能力(通过软件实现),与第三层交换机(或交换式路由器)采用专用的ASIC集成电路相比,设备的性能几乎相差了两个数量级,因此,传统路由器无法实现第4层交换。

值得指出的是:网络主干设备的系统结构在设计上分成两大类:集中式和分布式。即便两者都采用了新的技术,但就其性能而言,仍存在着较大的差异。

集中式

所谓集中式,顾名思义,L3/L4数据流的转发由一个中央模块控制处理。因此,L3/L4层转发能力通常为3M-4Mpps,最多达到15Mpps。

分布式

将L3/L4层数据流的转发策略设置到接口模块上,并且通过专用的ASIC芯片转发L3/L4层数据流,从而实现相关控制和服务功能。L3/L4层转发能力可达 30Mpps 至 40Mpps。

4. 系统容量

由于网络规模越来越大,网络主干设备的系统容量也成为选型中的重要考核指标。建议重点考核以下两个方面:

物理容量

各类网络协议的端口密度,如千兆以太网、快速以太网,尤其是非阻塞配置下的端口密度。

逻辑容量

路由表、MAC地址表、应用数据流表、访问控制列表(ACL)大小,反映出设备支持网络规模大小的能力(先进的主干设备必须支持足够大的逻辑容量,以及非阻塞配置设计下的高端口密度。)

5. 关键部件冗余设计

通过这些年的实践,人们已经认同处于关键部位的网络设备不应存在单点故障。为此,网络主干设备应能实现如下三方面的冗余。

电源和机箱风扇冗余

控制模块冗余

控制模块冗余功能应提供对主控制模块的“自动切换”支持。如:备份控制模块连续5次没有听到来自主控制模块的汇报,备份模块将进行初始化并执行硬件恢复。另外,各种模块均可热插拔。

交换结构冗余

如果网络主干设备忽略交换结构的冗余设计,就无法达到设备冗余的完整性。因此,要充分考虑网络主干设备的可靠性,应该要求该设备支持交换结构冗余。此外,交换结构冗余功能也应具有对主交换结构“自动切换”的特性。

6. 缓冲技术

缓冲技术在网络交换机的系统结构中使用的越来越多,也越来越复杂。任何技术的使用都有着两面性,如过大的缓冲空间会影响正常通信状态下,数据包的转发速度(因为过大的缓冲空间需要相对多一点的寻址时间),并增加设备的成本。而过小的缓冲空间在发生拥塞时又容易丢包出错。所以,适当的缓冲空间加上先进的缓冲调度算法是解决缓冲问题的合理方式。对于网络主干设备,需要注意几点:

每端口是否享有独立的缓冲空间,而且该缓冲空间的工作状态不会影响其它端口缓冲的状态。

模块或端口是否设计有独立的输入缓冲、独立的输出缓冲,或是输入/输出缓冲。

是否具有一系列的缓冲管理调度算法,如RED、WRED、RR/FQ、WERR/WEFQ。

7. 系统结构的技术寿命

所选择的网络主干设备,其系统结构应能满足用户的功能需求,并具有足够长的技术生命周期。换言之,要避免通过硬件补丁的办法(不断增加新的硬件单元对系统结构中存在的不足进行补偿,或彻底更换新设备的方式),才能满足用户1至2年内不断增长的功能需求。

业界有很多设备的系统结构是第2层交换的设计概念,需要通过增加第3层的硬件模块才能实现第3层或第3/4层交换的功能,而且第3/4层数据包的转发能力远低于第2层交换的转发能力。另外,短期内还可能出现用新产品来替代原有产品的情况,这对用户的投资保护十分不利。

网络管理

ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能,这五大功能是:

1. 故障管理

故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:

维护并检查错误日志

接受错误检测报告并做出响应

跟踪、辨认错误

执行诊断测试

纠正错误

对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在 错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理器。 一般网络管理器应根据有关信息对警报进行处理,排除故障。当故障比较复杂时,网络管理器应能执行一些诊断测试来辨别故障原因。

2. 计费管理

计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。

3. 配置管理

配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了 实现某个特定功能或使网络性能达到最优。 这包括:

设置开放系统中有关路由操作的参数

被管对象和被管对象组名字的管理

初始化或关闭被管对象

根据要求收集系统当前状态的有关信息

获取系统重要变化的信息

更改系统的配置

4. 性能管理

性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:

收集统计信息

维护并检查系统状态日志

确定自然和人工状况下系统的性能

改变系统操作模式以进行系统性能管理的操作

5. 安全管理

安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:网络数据的私有性(保护网络数据不被侵 入者非法获取),授权(authentication)(防止侵入者在网络上发送错误信息),访问控制(控 制访问控制(控制对网络资源的访问)。相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:

创建、删除、控制安全服务和机制

与安全相关信息的分布

与安全相关事件的报告

检测与验收

1. 网络接线连通性

连通图指网络拓扑结构图,连通的检测为在命令窗口中输入ping命令,格式为“ping x.x.x.x”,“x.x.x.x”是网络设备的网络地址。如返回信息是“reply from x.x.x.x: bytes=m time

传输延迟是指信息传输过程中,由于要经过的距离远或者一些故障或者网络忙导致传输并没有准时达到目的地,数据在传输之间存在一定程度的传输延迟问题,延迟越小说明性能越好,越大越会影响数据传输的速度。

局域网内测试的合格结果为:丢包率=0并且延迟小于10ms

为了保证测试结果的准确,请不要在测试的途中进行如下载大文件,同时ping其他服务器等操作,否则将会导致测试结果为网络不正常

2. 机房安全性

中心机房应有严格的门禁系统以及完善的管理制度。

3. 网络设备安全性

(1)网络安全设备的范围

网络安全设备包括IP协议密码机、安全路由器、线路密码机、防火墙等,广义的信息安全设备除了包括上述设备外,还包括密码芯片、加密卡、身份识别卡、电话密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机/卡、安全中间件、公开密钥基础设施(PKI)系统、授权证书(CA)系统、安全操作系统、防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全预警与审计系统等。

(2)网络设备的重新配置

应有配置手册对现有的网络及系统配置状况进行描述,并规定要定期进行配置检查,要有具体的执行人员。

(3)对外提供服务区

如果需要对外提供服务,则应将网络划分出对外提供服务区和内部使用的安全内网;不对外的服务器及办公机房的主机放置在内网,对外提供服务的服务器只能放在对外提供服务区。可以使用DMZ,即非军事化区来作为对外提供服务区。图3是用两个防火墙时的DMZ区,图4是用单个防火墙时的DMZ区,在使用单个防火墙时,此防火墙要求有3个端口。

所有对外提供服务的设备都必须放在DMZ区中,Internet或外部网用户访问这些设备都要经过防火墙。

还可以通过防火墙设置,使Internet或外部网用户无法访问内部网络,或者对这种访问配备更多的限定条件。

在网络系统与外部网络接口处应设置防火墙设备;服务器必须放在防火墙后面。

(4)防病毒

具体防范病毒应采用网关防病毒、邮件防病毒、服务器防毒、网络主机防病毒等多种防毒措施的组合,从而形成一个交叉、完善的病毒防护体系。

网关防病毒是通过在防火墙后布置服务器,安装防病毒软件,对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤。

如果有邮件服务器,则应该根据邮件服务器的软件配置安装相应的防病毒软件。

友情链接
推荐阅读
推荐期刊