時間:2023-01-08 14:33:55
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇緊急頁面升級通知,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
訊:1月19日,,i黑馬微信在推送時出現群發無法正常推送問題,而朋友圈中也出現各運營小編的吐槽,均表示微信無法正常推送,卡在20%左右的進度。
i黑馬第一時間聯系微信團隊,得到的回復為:因微信公眾號服務器升級造成群發短時間故障,微信團隊目前正在修復。
截止發稿時,i黑馬已經收到了部分公眾號的微信消息推送,而這些平臺的運營均表示他們是在9時左右發出的微信消息,而大多數平臺的微信消息還未正常接收。
這已不是微信第一次出現故障問題。去年9月,有網友反映微信在載入99%的時候頁面提示“載入數據失敗,請檢查你的網絡設置”,同時還有發送消息失敗,發出消息后有延遲和微信退登后就無法再登陸等問題。
去年11月6日上午,微信出現第四次故障,即微信公眾平臺后臺登錄出現故障,部分賬號出現登錄不成功或沒有訪問權限等錯誤提示。騰訊官方在線客服隨即通知稱,“關于公眾平臺登陸不成功,提示沒有權限訪問的問題,請您不用擔心,我司工作人員正在緊急處理中,請您后續再留意使用的情況。”
而在2016年跨年夜時,也有網友反映,微信群功能出現故障,自己只能發出消息,卻接收不到群里其他人消息。甚至在微信群中發消息,只能自己跟自己對話。網友吐槽稱,“微信你咋了,好不容易發個紅包怎么都沒人領。”
對此,微信做出回應:“由于跨年夜消息發送量急劇增加,后臺服務出現短暫不穩定,導致極少數用戶在約20分鐘內收發消息有延遲。現在已經完全恢復,所有延遲消息均已下發。給大家帶來的不便,非常抱歉,祝大家新年快樂!”(來源:i黑馬 文/楊博丞)
關鍵詞:;計算機;報修
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2017)02-0096-03
1 概述
近幾年,隨著個人計算機等用戶急劇增多以及校園網絡服務的高速發展,用戶在使用計算機的過程難免遇到各種各樣的電腦故障,但由于非專業性的原因又無從下手。在此嚴峻的背景下,本文來自廣東理工學院的實際需求,設計并研發的計算機報修管理平臺。
通過報修平臺,用戶可以在需要尋求計算機維修的情況下進行報修,解決了用戶不知如何處理故障的難題,更提供了不用出門的便利,同時應用增添了信息平臺,方便計算機協會對內外部信息的。
1.1 系統平臺主要完成工作
本文以基于的算機報修管理平臺,所要完成項目功能模塊的需求分析、設計與實現,通過多方面與學院計算機協會的積極交流和溝通,確定對此進行來分析計算機協會的需求,并對系統進行總體設計和詳細設計,在此需求分析的基礎上得以實現。
系統平臺上線于服務器端,用戶通過瀏覽器即可對平臺進行訪問,應用從功能上主要劃分為用戶登錄模塊、報修信息模塊、報修管理模塊、信息模塊。在項目的開發實現過程中,主要工作是能獨立完成整個系統平臺的開發建設。
1.2 本文組織結構
本文按系統的設計共分為六大章節,安排了下面詳細的章節:
第一章分為引言,簡要概括本文的背景和選題方向,綜合廣東理工學院計算機協會的報修管理,闡述本文的具體工作和組織結構。
第二章把系統的開發環境和相關技術作概括性介紹,詳細對相關背景與技術的研究進行分析,包括軟件架構、技術、前端框架、數據庫應用,以及開發過程中所使用到的一些工具。
第三章主要分析系統的總體設計,同時對需求也進行詳細的分析,從系統的需求中分析系統的功能,另從系統的總體設計中分析系統的非功能性,并對此功能性的需求建立相應的數據庫設計。
第四章重點分析計算機報修管理系統的詳細設計,然后通過系統的代碼實現系統平臺各項功能,對系統平臺的需求,則采用總體設計和單獨演示,設計出不同版塊和功能,更清晰的實現系統各功能。
第五章詳細分析計算機報修管理系統的實現價值,此章節對系統應用部分和實現功能進行全面直觀的介紹與展示,并對系統的實效價值逐一實現。
第六章為結論和參考文獻,對本文系統的設計與實現做出總結,并提出目前系統的不足,以及本文需要借鑒的參考文獻。[1]
2 開發環境與相關技術
在本章節中,主要介紹系統平臺使用的軟件架構、、前端框架和SQL Server技術。
1)系統軟件架構
系統軟件架構,本文從軟件的需求中分析代碼,從系統分析中體現出系統設計的價值,而從編碼研發中解決系統運行和維護出現的各種問題,努力為軟件系統架構的實現提供可靠的系統平臺,為系統的體系結構提供穩定的支撐。而軟件的使用,則需要更強大的代碼來運行和應用,但為了降低開發運行和維護的成本,我們常用的瀏覽器,就是B/S結構最好的服務器結構,對此而言,也是為系統的運行和維護提供更好更直接的更新改進結構。因此,我們可以要求一般用戶會使用瀏覽器便能對本系統平臺進行維護,而不需要懂得一些計算機專業代碼來修改或維護。這就使得開發者在經費的使用中,可以從中減少很多費用;在系統維護和升級中,這些成本還會更少,所以維護的工作量也大大地降低;而對客戶端的電腦,也簡化了其中的載荷,這是開發者一直追求的系統軟件架構。[2]
2)技術
是微軟公司推出的新一代腳本語言,也是本系統應用平臺中的最重要技術之一,以其眾多的控件群組、快速的編程語言以及直觀流暢的編程環境著稱,基于.NET Framework的Web開發平臺,能簡化程序,減少使用者的工作量,并能夠簡單開發程序環境,對工程的整體開發更能提高效率;對ASP以前的版本,很多缺點都在新的版本中去掉,而發揮新版本的最大優點;對照Java語言,借鑒VB語言,進行過更多的開發優勢,從中吸取了更多、更新的特色;系統進行時,也對ASP以前的版本進行了代碼糾正。[3]
3)jQuery與Bootstrap框架
jQuery以簡潔的JavaScript框架在IT領域上占有一席之地,也是一個快速方便的語言程序。用戶使用中,jQuery更作為界面清晰得以使用者的厚愛,作為一個優秀的JavaScript代碼庫,為使用者帶來全新的JavaScript框架更是一大特性。
首先,Bootstrap使用起來比較簡單,操作簡潔靈活,給用戶使用的一大特點就是更加快捷的開發Web;其次,Bootstrap是基于HTML語言,對網頁操作更加便捷;最后,Bootstrap給使用者一個全新的界面。[4]
4)SQL Server數據庫技術
對于現代大型的校園網應用,全體師生的訪問和海量數據的存儲,已成為本系統設計的一大問題,作為要解決此瓶頸問題之一,就是通過SQL Server數據庫技術來解決,SQL Server數據庫技術作為微軟公司的一大數據庫管理系統,它不僅推出關系型數據庫管理系統,更優秀于之前的版本。[5]
3 系統的功能分析與總體設計
3.1功能性需求
本系統的架構和設計則采用較新的架構,基于B/S模式的三層架構,B/S模式作為一種網絡結構模式,系統平臺的客戶端將統一,而服務器集中了系統功能實現的核心部分。而三層架構則將用戶界面表示層放于首位,業務邏輯層置于中間,數據持久層則放至第三,此三層架構也來以后的系統運行提供優質的技術支持,而系統的表示層主要由g覽器組成,WEB服務器上則放至業務邏輯上,持久數據庫重點放至數據層之上。[6]
1 )用戶登錄模塊:
用戶登錄功能是應用程序的一項基本功能。本系統平臺下的操作用戶為管理員,只有登錄系統平臺才能對系統后臺進行操作。
2 )報修信息模塊:
用戶提供報修服務必須在報修信息模塊中填寫信息,系統設計時需要大量的原始數據。
報修用戶通過在線系統提交報修表單,要求填寫用戶的姓名、地址、電話、計算機問題描述。
3 )管理報修模塊:
管理報修模塊即系統管理員對報修用戶的信息表進行管理操作。
系統管理員擁有對報修信息表的刪除、查找、修改等操作。
4 )信息模塊:
信息平臺即系統管理員對計算機協會的內外部消息通知的,包括會員授課消息、校內義務維修消息、協會通知信息。
3.2 非功能性需求
非功能性需求作為系統的需求分析,必須得到有力的分析說明,計算機報修管理系統作為提供大眾服務,功能性需求則需要重要的補充。
1) 計算機報修管理系統的實現操作界面,必須保持一致的設計風格,統一系統的子菜單。
2)系統的報修界面設計美觀,且開發為響應式布局,兼顧個人計算機和手機移動平臺,對各個平臺的報修進行優化,提供良好的界面體驗。
3)系統必須注重用戶體驗和用戶操作習慣,手機平臺占的比重較大。
4 系統詳細設計與代碼實現
4.1報修信息模塊實現
4.2信息模塊實現
5 軟件成果展示
5.1報修頁面展示
5.2管理報修頁面展示
5.3信息頁面展示
6 總結
高校計算機報修管理是高等院校管理中的一個重要組成部分,對在校的師生都有著重要的作用,對個人使用計算機者來說,更是一項民生工程!計算機報修管理也不再是簡單的人工操作,而是能發揮校園網和廣域網的優勢,充分利用好各網絡資源。對于管理人員的壓力,本系統盡量減少其工作量,而工作效率便從中得以提高,系統操作簡單就是系統開發者的初衷;系統平臺的實用性,就是對系統運行好壞的基本衡量;計算機報修管理系統的及時處理,便是此系統的最直接、最有利的效果檢測,也是計算機報修系統開發的意義所在。
本文系統開發的背景意義來源于廣東理工學院計算機協會,相關技術都是從平時教學和學習使用中,運用各種開發工具,對系統的需求進行詳細的分析,在設計與實現中,綜合測試了系統軟件的成果展示。分章節對基于平臺的計算機報修系統開發過程進行全面詳細分析,將整個計算機報修管理系統分為多個模塊,讓每個模塊都能體會出每個模塊的具體功能,并且逐一進行單個模塊設計,從中讓模塊功能正常運行。在系統完成的過程中,筆者通過不斷的學習新知識,運用網站的最新知識,對框架知識的學習更是積極主動,從而讓系統不斷地完善和順利運行。
本文在設計的開始階段為了盡快獲得計算機報修管理系統的需求,以模塊為單位,對項目整體進行了需求分析與總體設計,同時對數據庫結構設計進行簡單介紹,并對系統的詳細設計與代碼實現做了敘述,對系統軟件部分中的功能,都進行簡單的運行,而效果更是直接展示,為以后的系統維護提供更有保證的條件。
由于本系統尚未在廣東理工學院的計算機報修管理中使用,目前尚次于研發階段,離現實的大規模使用和操作還有一定的距離,另因研發時間過短,教學任務比較繁重的情況下,系統還需進一步的深入研究,本系統也只在信息工程系的計算機實訓室中運行使用。例如本文的系統有個別模板的功能較少,實際操作時需要對個別功能進行完善并加以修改;對網絡要求調用的服務還處于局限的內部局域網,實際使用后的校園網和廣域網要求更高。
展望不久的將來,隨著廣東理工學院辦學的不斷發展,基于的計算機報修管理平臺在學院未來的發展建設中,能起到更好的揮作用,而的計算機報修管理平臺能圍繞滿足用戶需求、提高產品質量、降低成本、提高經濟效益進行配套設計和實施來中心,更好更直接地服務全校師生。
參考文獻:
[1]徐禮金.基于J2EE框架的高校宿舍管理系統分析與設計[D].廣州:華南理工大學,2011.
[2]張偉杰.基于iOS平臺的新聞應用的設計與實現[D].北京:北京交通大學,2014.
[3]王白娟.基于.NET技術的高校基層團學工作信息管理系統的設計與實現[J].科技創新導報,2010(3).
[4]曙光就在前方的博客[EB/OL].http://.cn/u/1830216477.
在實際應用過程中,遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題,它的劃分大體上可以分為內網和外網。如下表所示:
由上表可以看出,外部網的安全問題主要集中在入侵方面,主要的體現在:未授權的訪問,破壞數據的完整性,拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網,同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查,在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在:物理層的安全,資源共享的訪問控制策略,網內病毒侵害,合法用戶非授權訪問,假冒合法用戶非法授權訪問和數據災難性破壞。
二、安全管理措施
綜合以上對于網絡安全問題的初步認識,有線中心采取如下的措施:
(一)針對與外網的一些安全問題
對于外網造成的安全問題,使用防火墻技術來實現二者的隔離和訪問控制。
防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制(允許、禁止、報警)。
防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,從而保護內部網絡操作環境。所以,安裝防火墻對于網絡安全來說具有很多優點:(1)集中的網絡安全;(2)可作為中心“扼制點”;(3)產生安全報警;(4)監視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機的實時入侵檢測產品,一旦發現對主機的入侵,RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵,同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能,可以將服務器不開放的端口進行偽裝,進一步迷惑可能的入侵者,提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品,在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后,除了可以及時切斷攻擊行為之外,還可以動態地調整防火墻的防護策略,使得防火墻成為一個動態的、智能的防護體系。
通過部署入侵檢測系統,我們實現了以下功能:
對于WWW服務器,配置主頁的自動恢復功能,即如果WWW服務器被攻破、主頁被纂改,系統能夠自動識別并把它恢復至事先設定的頁面。
入侵檢測系統與防火墻進行“互動”,即當入侵檢測系統檢測到網絡攻擊后,通知防火墻,由防火墻對攻擊進行阻斷。
(二)針對網絡物理層的穩定
網絡物理層的穩定主要包括設備的電源保護,抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中,所有的機箱都必須有接地的設計,在機房安裝的時候必須按照接地的規定做工程;對于供電設備,也必須做好接地的工作。這樣就可以防止靜電對設備的破壞,保證了網內硬件的安全。
(三)針對病毒感染的問題
病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件,(例如:SymantecAntivirus等)并控制寫入服務器的客戶端,網管可以隨時升級并殺毒,保證寫入數據的安全性,服務器的安全性,以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。
(四)針對應用系統的安全
應用系統的安全主要面對的是服務器的安全,對于服務器來說,安全的配置是首要的。對于本中心來說主要需要2個方面的配置:服務器的操作系統(Windows2003)的安
全配置和數據庫(SQLServer2000)的安全配置。1.操作系統(Windows2003)的安全配置
(1)系統升級、打操作系統補丁,尤其是IIS6.0補丁。
(2)禁止默認共享。
(3)打開管理工具-本地安全策略,在本地策略-安全選項中,開啟不顯示上次的登錄用戶名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帳號,并給guest加一個異常復雜的密碼。
(6)關閉不必要的端口。
(7)啟用WIN2003的自身帶的網絡防火墻,并進行端口的改變。
(8)打開審核策略,這個也非常重要,必須開啟。
2.數據庫(SQLServer2000)的安全配置
(1)安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。
(2)使用安全的密碼策略設置復雜的sa密碼。
(3)在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQLServer。
(4)使用操作系統自己的IPSec可以實現IP數據包的安全性。
(五)管理員的工具
除了以上的一些安全措施以外,作為網絡管理員還要準備一些針對網絡監控的管理工具,通過這些工具來加強對網絡安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP協議的探測工具。
Ipconfig/winipcfg,查看和修改網絡中的TCP/IP協議的有關配置,
Netstat,利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況,用戶或網絡管理人員可以得到非常詳盡的統計結果。
SolarWindsEngineer''''sEditionToolset
另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛,涵蓋了從簡單、變化的ping監控器及子網計算器(Subnetcalculators)到更為復雜的性能監控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介紹:
SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫,包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition還增加了新的SwitchPortMapper工具,它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器(NetworkPerformanceMonitor),以及其他附加網絡管理工具。
SnifferPro能夠了解本機網絡的使用情況,它使用流量顯示和圖表繪制功能在眾多網管軟件中最為強大最為靈活;它能在于混雜模式下的監聽,也就是說它可以監聽到來自于其他計算機發往另外計算機的數據,當然很多混雜模式下的監聽是以一定的設置為基礎的,只有了解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。
除了上面說的五個措施以外,還有不少其他的措施加強了安全問題的管理:
制訂相應的機房管理制度;
制訂相應的軟件管理制度;
制訂嚴格的操作管理規程;
制訂在緊急情況下系統如何盡快恢復的應急措施,使損失減至最小;
HDL智能家居系統主要分為五大塊,它們分別是“場景控制”、“邏輯自動控制”、“遠程控制”、“家庭娛樂”及“安防”。用戶的操控方式也是靈活多樣。下面,我們將以某小區梁宅“智能家居應用(四房兩廳)”為例對系統進行一個簡單的介紹。
功能概述
HDL智能家居系統采用獨立的485總線方式通信,使總線無論何時都處于最佳狀態。同時配合HDL獨有的軟硬件相結合的智能CSMA/CD控制技術,確保系統無論總線設備多少,總線距離長短都可獲得最大的傳輸速率。系統可以通過總線/以太網交換機聯網及擴展,將分散的子系統組合成一個龐大的功能系統。
模塊化設計的HDL智能家居系統產品,可以根據實際需求合理的搭配,增加或減少系統功能都不需要增加過多的額外布線,只需在系統上增加相應的功能模塊并做簡單設置即可輕松實現。
各類控制及接口模塊產品豐富,可以滿足用戶復雜的功能需求及未來可能的系統功能升級擴展。同時,HDL智能家居系統也是一個開放的系統。可以與小區安保系統、消防系統、電信系統等各類系統無縫聯接,達到各系統間功能的擴充及互補。
控制方式靈活多樣,用戶可以選擇液晶面板、手感舒適的按鍵面板、普通開關面板、彩色觸摸屏、遙控器、自動邏輯、時間定時以及手機遠程控制等方式去控制組合的場景或是一個獨立的設備。具體的控制方式根據用戶的實際需求或系統功能設計來確定。
強大的媒體功能,用戶可以通過媒體管理軟件,設定家人的分類電子像冊、影像庫、音樂庫等各種多媒體資料。建立“家庭歷史影像館”。使用HDL提供的觸摸屏就可以方便地將這些“歷史”資料檢索或調出來,在大屏幕電視上與家人、朋友分享。
豐富的娛樂功能,將舞臺曼妙絢麗的燈光效果帶入人們的娛樂生活,讓人體驗前所未有的視覺享受。在系統中點播音樂或是卡拉OK的同時,就可感受不同燈光效果營造的美妙氛圍。
聰明忠實的“電子管家”,它能根據用戶的居家生活習慣,設定各種各樣的生活模式,為人們安排著舒適的生活。同時,它又兼顧家里的安全、保衛工作。若家中發生諸如煤氣泄漏、竊賊企圖闖入、系統故障等事件時,系統將發出警報并向家人手機發送警報信息,以便及時處理。
功能說明
1 場景控制
(一)入戶門面板
離家模式:所有正開啟的燈光自動關閉,家用電器進入待機狀態,窗簾緩緩關閉,安防功能同時被激活,若系統計算離家時間超過一個小時,將自動切斷電器的電源。
回家模式:窗簾自動打開,若是戶外照度低或是晚上,系統將開啟日常照明。
布防:系統進入安防狀態,家中所有紅外探頭中的任意一個探測到有人活動,將發出高音警報并向家人手機發送報警信息。
撤防:系統撤消安防狀態,進入正常工作模式。
多功能液晶控制面板,具有最多四個場景控制頁面和一個空調專用控制。
(二)客廳多功能場景控制面板
日常模式:調光開啟日光燈管及微微點亮一些廳內的裝飾燈具。
會客模式:大廳主要燈光緩緩亮起。營造一種舒適的氣氛,主人可與采訪者愉快的交談。
休閑模式:關閉其他正打開的設備和多余的燈光,緩緩點亮裝飾畫的燈光和大廳茶幾上的重點照明,背景音樂系統自動開啟,主人可以在柔和的燈光下聽著舒緩的音樂,品著自助的功夫茶。盡情的放松身心。
電視模式:燈光漸漸熄滅,電視機、機頂盒自動打開,如果窗簾是打開著的,這時也將自動關閉。
背景音樂控制:可以控制背景音樂系統的播放/暫停、上一曲、下一曲、音量大小等。
電視控制:可對客廳的大屏幕電視及機頂盒進行開/關機、頻道加減、音量大小等簡單操作。而不必在臺面上放置太多的遙控器,只需在必要時使用。
空調控制:對客廳的空調進行開,關、溫度調節、冷暖模式轉換、風速調整等操作。
(三)餐廳多功能場景控制面板
備餐模式:開啟最省電的筒燈,滿足基本的照明需求,其他裝飾柜照明及天花水晶燈關閉。
用餐模式:天花水晶燈部分調光開啟,其他燈關閉。
聚餐模式:當有朋友或多人用餐時,天花水晶燈全部開啟,裝飾柜照明開啟,給人以富麗堂皇的感覺。
背景音樂控制:如果想伴著輕柔的音樂就餐,就可以在這里選擇并播放背景音樂,還可以控制音樂的音量大小。
空調控制:可以對餐廳的空調進行開/關、溫度調節、冷暖模式轉換、風速調整等操作。
緊急求助面板:當家里有緊急情況發生,如老人、小孩等獨自在家,遇到緊急情況而又不便及時打電話或向外求助時,按下此按鈕,家人手機將會收到求助信息,以通知及時處理。
(四)書房多功能場景控制面板
可以對書房的照明進行控制。還可對默認開啟的燈光亮度進行調光操作。
可以控制香味,開啟后的香味系統每隔一個小時自動噴灑。讓人可以放松心情,在清幽的芳香下閱讀。
可以對書房的空調進行開/關、溫度調節、冷暖模式轉換、風速調整等操作。
可對書房的背景音樂進行控制。
可對書房的電視機、機頂盒進行操作而不需要遙控器。
(五)主臥室場景控制面板
主臥室的床為雙人床,在床左右兩邊分別安裝功能相似的控制面板,左右兩邊面板的公共控制部分如:電視、空調、背景音樂,照明功能相同,左右兩邊的床頭燈分別由兩邊的面板控制,還可對默認亮度進行調光操作。
可以控制香味,開啟后的香味系統每隔一個小時自動噴灑。讓人可以放松心情,伴著沁人心脾的芳香入睡。
可以對臥室的空調進行開,關、溫度調節、冷暖模式轉換、風速調整等操作。
可對臥室的背景音樂進行控制。
可對電視/機頂盒進行控制。
可對電動窗簾進行控制。
夜起專用面板:面板采用大按鍵設計。夜起時,只需輕輕拍一下,房間的夜燈漸亮、洗手間的照明也微微點亮至不刺眼的亮度。入睡前再按一下就可關閉夜起照明,同時此按鍵的關閉狀態還可關閉客廳的照明及家用電器。
2 邏輯自動控制(電了,管家)
(一)客廳的邏輯自動控制
當客廳有人活動時,探頭會向邏輯控制模塊報告狀態,系統檢測到客廳區域持續有人超過一分鐘時,再根據溫度傳感器探測到的當前室溫,決定是否開啟空調,進入制冷模式還是制暖模式。
若人離開客廳,忘記了關燈或關電視、空調、音響等家用電器,系統將會在半小時后自動將所有正在工作的
電器轉入待機狀態,1小時后切斷電源,避免人為的疏忽而造成的能源浪費。
(二)餐廳的邏輯自動控制
進入餐廳,裝飾燈漸亮以做基本照明,系統檢測到飯廳區域持續有人超過一分鐘時,再根據溫度傳感器探測到的當前室溫,決定是否開啟空調,進入制冷模式還是制暖模式。
人離開餐廳超過2分鐘,自動關閉正打開的照明,超過3分鐘,自動關閉開啟的空調,以達到節能的目的。
(三)洗浴室的邏輯控制
進入洗浴室,燈光緩緩點亮,排氣扇開始工作。離開30秒后,燈光自動關閉,2分鐘后排氣扇停止工作。
(四)遠程邏輯控制
回家模式:通過編輯一條內容為“回家”的手機短信(短信內容可自定義),主人可以在離家的情況下提前發送若干種自定義的回家模式讓系統工作。
離家模式:如果離開家時忘記了通過家門口的面板設置離家模式,還可以通過編輯一條內容為“離家”的手機短信發送到系統,系統接收到短信后,所有正開啟的燈光自動關閉,家用電器進入待機狀態,窗簾緩緩關閉,安防功能同時被激活。
(五)陽臺燈光控制
若當前室外照度低,來到陽臺燈光自動開啟,離開后自動延時關閉。若室外照度高,則燈光不開啟。
3 遠程控制
利用手機短信或GPRS網絡通信方式,主人可以發送短信控制家中的任何家電進入工作狀態。例如:炎炎夏日或寒冷冬季,主人可以在回家前發送一條短信指令,讓空調提前進入工作狀態。這樣,回家后就可以享受清涼或感受溫暖。若是夜間回家,可提前發送一條短信將照明開啟。當然,還可以設置一些個性化的、實用的場景模式,在回家前將場景運行,一回到家就可以感受這種科技帶來的溫馨感覺。
安裝了用戶端控制軟件的手機,不僅可以更方便直觀的對家里的家用電器進行更細致的操作,還可以查看他們的工作狀態,設備運行情況。讓家中的一切情況了如指掌。
通過手機短信,還可以對家里的電腦進行啟動或關機。遠在他鄉也可以通過互聯網遠程設置、控制家居系統,并能與家中的電腦相互傳輸文件。
4 家庭娛樂
(一)家庭娛樂燈光系統
HDL“家庭娛樂燈光系統”為一個整體產品,在家庭裝修初期只需在天花上預留一個與“家庭娛樂燈光系統”尺寸、深度相當的矩型凹槽,安裝時將其嵌入并加以固定,系統通電并連接信號線即可使用。“家庭娛樂燈光系統”里面安裝了效果控制器、LED PAR燈、LED燈帶、激光燈、雨花燈、紫光燈、日光燈管、頻閃燈、電動天花卷簾等燈具和設備。這些燈具都是專門為家庭娛樂設計的效果燈具,它們都具有體積小、功耗低、效果豐富、色彩鮮艷、光效高等特點。
通常情況下,HDL。家庭娛樂燈光系統”的天花卷簾為關合狀態,從下往上望與普通天花無異。無家庭娛樂需求時,其內部只有日光燈管工作,光線可透過簾幕漫射出來。作普通照明使用。當進入娛樂狀態時,其會隨著預先編制好的程序進入工作模式,效果燈會在效果控制器的控制下隨著音樂節奏的變化而演繹著豐富的效果。
用戶可以自己編排個性化的燈光效果,讓朋友、家人一起來分享娛樂創作帶來的樂趣。同時,創作的效果文件還可以與使用相同系統的朋友分享,瞬間即可將您的成果在另一個家庭里重現。
效果器內置了多種效果模式,不必編排,也可以隨心所欲的調用。娛樂結束,輕點一下按鍵,娛樂燈光關閉,日常照明緩緩亮起,天花卷簾漸漸關合,一切又恢復到居家的平靜。
(二)家庭多媒體娛樂及控制中心
HDL“家庭多媒體娛樂及控制中心”安裝于客廳中央的茶幾上,采用抽屜式安裝,不使用的時候可將其藏起來。作為娛樂及控制中心,該觸摸屏具備影音播放、圖片欣賞(在大屏幕上顯示)、場景控制、家電控制、安防、溫度控制功能。在方便和滿足用戶日常生活中控制需求的同時,更將家庭娛樂的功能發揮到極致。用戶還可以在上面點播卡拉OK歌曲,同時選擇相應的燈光效果來迎合音樂節奏,給人以全新的視聽享受。
5 安防
當家中發生煤氣泄漏事件時,客廳紅色警報燈閃爍,系統會向家人手機發送警報信息,同時打開排氣扇以降低煤氣濃度。當報警解除后,家人手機會接到報警解除的信息。
具有緊急求助功能,當家里有緊急情況發生,如老人、小孩等獨自在家,遇到緊急情況而又不便及日寸打電話或向外求助時,按下此按鈕,家人手機將會收到求助信息,以通知及時處理。
若系統部件發生故障,客廳黃色警報燈會閃爍以提醒處理。
主人還可以對家里的多個布防區域進行局部或全局的布防操作。當布防區域有情況發生時,廳內的紅色報警燈將會伴著警報聲閃爍,同時會向家人手機、小區保安部門的手機發送報警信息,以提示盡快處理。
小 結
在此案例中,系統共設計了:
1 約42路熱光源調光(水晶燈、筒燈、射燈、壁燈)
2 2路日光燈調光
3 18路繼電器控制(實現對音響、電視、演示服務器、報警器、效果燈電源等設備的開關控制)
4 1個DM×512表演控制器模塊(用于效果燈的控制)
5 7組智能紅外線控制(用戶可以在液晶面板、觸摸拜上對家電進行控制) 6 1個RS232/HDL-BUS轉換模塊
7 所有室內分體空調控制(用戶可以在液晶面板、觸摸屏上對空調進行開/關、溫度調節、冷暖模式轉換、風速調整等操作)
8 5路排氣扇控制
9 4幅電動窗簾控制點及1幅天幕控制點
10 1個亮度傳感器
11 1個溫度傳感器
12 4個傳感器輸入模塊(用于采集開關信號,如普通開關面板、門磁等)
13 1個煤氣泄漏探測傳感器
14 12個人移傳感器
15 2套負離子盾味控制
16 1套背景音樂系統(將房屋分為6個廣播區域。可以在面板上對背景音樂進行單個區域的獨立控制或對全屋背景音樂進行統一控制)
17 1個邏輯模塊(電子管家),用于處理各種模式轉換、用戶操作、環境變化、時間控制、安防設置等系統條牛間的邏輯關系,使系統變得“聰明”起來。
18 1套家庭娛樂燈光系統
19 12個多功能液晶面板,4個普通自適應面板
關鍵詞:ITIL;信息化服務管理;研究;分析
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2013)30-6819-05
近些年,煙草行業信息化工作已經從系統的大規模建設階段進入到了深入、整合應用的階段,各業務部門對信息化依賴程度前所未有,各業務系統已成為支撐起業務開展的關鍵所在。信息中心作為信息化建設的指揮部和保障部,該如何靈活高效地開展信息化服務管理,保障IT系統的正常運行,從而保障公司的核心業務,已成為當前信息化建設最值得關注的核心問題。
1 信息化服務管理現狀分析
從對各地市信息中心的調研情況看,信息化服務管理依然普遍存在著管理粗放、知識共享不夠、管理手段落后、規范性不足、服務不可見的狀況。
1.1 運維管理方面
1) 沒有相應的問題處理記錄工具,故障處理過程缺乏有效的“記錄、跟蹤、監督和分析”的痕跡化管理過程;故障處理流程不規范,職責劃分不清晰,事件產生后沒有明確而唯一的責任人;
2) 問題受理過度依賴特定某人,沒有形成有效的知識庫,經驗無法實現積累,資源沒有得到復用,個人經驗無法有效轉化為企業知識;
3) 運維分析報告編制困難,問題類型統計、問題發生概率、問題解決效率、維護成功率、維護及時率、用戶滿意度等指標缺乏準確的統計;
4) 維護的設備和系統眾多,疲于“被動式”地應付突發故障事件;巡檢機制不到位,預防工作難于貫徹執行;
5) 在問題提交階段,業務部門傾向于憑借個人關系直接與各服務人員/管理者溝通,從而進一步加劇了工作的無序狀態。
1.2 績效管理方面
1) IT服務工作量化考核困難,無法計算IT服務人員的工作績效,難以調動IT人員工作積極性和主動性;
2) 由于缺乏痕跡化管理,IT效益、價值難于體現出來,服務不可見。
1.3 隊伍建設方面
1) 在部門內部沒有梯隊建設機制,導致技術人員認為沒有提升的空間,在一定程度上影響了隊伍的穩定;
2) 在某些方面過度依賴第三方服務提供商,沒有提高自己的IT服務團隊,也增加了企業對IT運維的投入。
1.4 項目管理方面
1) 項目立項審批流程緩慢,審批進度不可見,效率較低,項目執行存在“先斬后奏”現象;
2) 省局對于各個地市信息化項目執行過程監管乏力,缺乏規范統一的信息反饋渠道;
3) 缺乏統一規范的需求收集反饋渠道,系統版本控制管理意識較為淡薄;
4) 缺乏對服務提供商進行有效監督,服務質量缺乏考核標準和評價手段。
1.5 技術交流方面
1) 各地市之間缺少交流與溝通的平臺與渠道,存在信息孤島,資源共享度低,無法達到“管理可復用、人員可復用、資源可復用”;
2) 省局與各地市之間缺乏交流互動平臺,省局不能及時了解各地市信息化建設等情況。
1.6 信息化資產管理方面
1) IT資產較多,設備臺帳不能反映設備維修歷史記錄,軟件的升級、變更等缺乏登記信息;
2) 設備和軟件的配置信息不詳,或者配置信息經過維修、調整已經與實際不相符合。
以上針對目前信息化服務管理方面存在的問題進行了總結,可作為下一步信息化服務管理需要改進、提高的目標。雖然現狀的改變并非一蹴而就,但我們相信在科學的理論體系指導下,通過搭建信息化服務管理平臺,信息化服務管理一定能實現一個質的飛躍。
2 信息化服務管理需求分析
各地市信息中心的信息化服務管理需求主要體現在“問題管理、監控管理、項目管理和技術交流平臺”四個方面。
2.1 問題管理
通過問題管理,實現問題受理的痕跡化、流程化管理,對每次故障進行“記錄、跟蹤、監督和分析”。根據服務級別限時完成受理、派工、處理、反饋和回訪,將服務過程按流程自動化、規范化和標準化運作。
2.2 監控管理
通過監控管理,注重對事件的監控、預防和快速響應,從而降低突發事件的發生概率,提高處理突發事件的能力,最終更好地保障企業核心業務的運轉。
2.3 項目管理
通過項目管理,對項目立項、項目執行、項目質量進行有效地監管,建立服務提供商評價體系,促使服務質量的提高。
2.4 技術交流平臺
通過技術交流平臺建設,豐富技術交流與溝通的渠道,加強全省各地市信息中心的交流與合作,實現資源的共享。
3 系統建設目標
以ITIL理論為指導思想,基于全省煙草系統搭建一套多級應用的信息化服務管理平臺。建立統一的IT服務管理平臺,通過流程實現運維方式由被動式支持向主動式服務演進;建立分級應用的集中監控管理平臺,完成對IT基礎建構的集中監控、集中維護與集中管理;建立運維知識庫,共享運維技術知識,出現類以問題能夠快速找到解決方法。
4 系統總體框架
信息化服務管理平臺主要包括服務管理系統、監控管理系統以及技術交流平臺,如圖1所示。
5 系統功能設計
5.1 服務管理系統
服務管理系統涵蓋ITIL的核心流程或核心流程的部分內容,以及項目管理和日常運維管理的部分內容,功能主要包括:問題管理、服務級別管理、項目管理、配置管理。
5.1.1 問題管理
主要管理業務部門的服務請求和信息中心對問題的處理,包括從服務請求受理到問題最終解決的全過程,確保信息中心快速有效地響應問題、分析問題、解決問題,保障公司的業務正常運轉。
1)問題管理流程,如圖2所示。
2)問題分類
問題分類是問題管理的基礎性工作,是進行服務級別定義的前提,根據各地市信息中心的維護職責,從網絡系統、業務系統、其它三方面內容對問題進行歸類。
3)關鍵業務功能
通過問題管理,全面優化問題受理流程,對每次故障進行“記錄、跟蹤、監督和分析”,根據服務級別限時完成受理、派工、處理、反饋和回訪,將服務過程按流程自動化、規范化和標準化運作起來。
①服務請求
服務請求支持電話、短信、WEB服務頁面、E-mail等方式。
②任務指派
任務指派含人工指派和按流程系統自動指派兩種方式,指派的對象可靈活進行定義,可以是一人也可以是兩人或多人。
③任務通知
支持電話、短信、E-mail或登錄系統查看任務告知形式,確保問題事件發生后,可以第一時間告知相關責任人,對問題進行有效處理,提高問題處理效率。
④過程監控
業務部門,信息中心各層面管理人員可以及時了解問題受理進度,同時可以進行服務受理進度干預,對受理進度提出意見和建議,甚至重新指派任務,提高服務滿意度。
5.1.2 服務級別管理
服務級別管理主要包括三部分內容:事故級別(影響程度)定義、事故緊急程度和服務級別定義。
1)事故級別(影響程度)定義
從“應用系統故障、網絡系統故障、機房運維故障和其它故障”四個維度,按“極高、高、中、低”四個等級定義事故級別。
2)緊急程度定義
對于事故的緊急程度,可分為“極高、高、中、低”四個等級。
3)服務級別定義(優先級)
基于事故級別和緊急程度,事故優先級矩陣數據模型如圖3所示。
5.1.3 項目管理
項目管理是信息中心最為重要的職能之一,重點圍繞“立項管理、質量管理、進度跟蹤”三個關鍵節點開展項目管理。
1)立項管理
通過項目立項管理,加強項目審批監管,省局可以直觀便捷地了解到各地市信息化項目的最新動向及項目建設內容;同時也增加了項目立項審批的透明度,提高審批效率,杜絕項目執行的“先斬后奏”;各地市通過項目立項管理,加強項目立項的內部監管,實現項目立項的痕跡化管理。
2)過程跟蹤
通過項目跟蹤,省局可以對各地市的項目執行進度在線監控,直觀了解項目執行過程中的各種信息,含項目所處階段、項目執行進度、相關負責人、存在問題及項目提交物等,從而提高監管指導能力;各地市通過項目過程跟蹤管理,實現項目執行的痕跡化管理,加強項目內部監管,規范項目執行過程。
3)質量管理
項目質量管理主要是指通過建立軟硬件服務提供商服務評價體系,對服務提供商提供的產品和服務進行全面的評價,并形成評價報告,從而促進服務提高服務水平的提高,最終形成良性循環,提高信息化項目建設質量。
5.1.4 配置管理
配置管理主要是匯集企業內部的所有設備、軟件等,詳細記錄軟硬件設備的各種信息。配置管理為事件管理、問題管理、變更管理及其它服務過程提供精準的基礎數據來源。
配置管理對關鍵的字段設立審計功能,當特定字段發生變化時,自動生成日志。通過配置管理記錄每一個資產配置項在整個生命周期內的變化,例如何時由哪個員工對一個服務器升級了補丁程序等歷史記錄。
5.2 監控管理系統
監控管理系統通過提供廣泛的監控系統接口,集成第三方監控軟件,實現對關鍵事件的監控、預防和預警,做到事前預防,事后快速處理,更好地保障企業核心業務的運轉。
監控管理系統模塊主要包括:網絡監控、機房監控、服務器監控。監控管理流程如圖4所示。
5.2.1 網絡監控管理
網絡監控分為兩個部分,網絡線路監控和網絡設備監控。
通過對網絡設備的監控管理,管理員可提前預知網絡設備潛在的故障和風險,讓管理員能提前預知問題的發生,準備應對方案,避免故障的發生或減少到最低。
通過對網絡線路的監控管理,系統可以對網絡線路問題提及時預警。通過設置“線路暢通、線路流量、訪問響應速度及錯誤包”等指標來評估線路寬帶使用率、質量等。
5.2.2 服務器監控管理
通過對服務器的監控管理,管理員可提前預知服務器潛在的故障和風險,讓管理員能提前預知問題的發生,準備應對方案,從而保障企業核心業務系統的運轉。可分小機服務器、PC服務期采取不同的監控策略。
5.2.3 機房監控管理
集成現有機房場地監控系統,實現對監控事件的有效預警,減少突發事件的概率。
5.2.4關鍵業務功能
1)集中管理
將企業分散部署在不同物理位置的監控系統集成到一個平臺進行統一管理,從而實現集中管理、實時監控企業不同操作系統的服務器及不同類型的網絡設備。
2)實時報警
報警策略:任何被監控性能、狀態均可設定閥值進行預警。
報警程度:可分為輕微報警、普通報警、嚴重報警等級別,以引起用戶關注。
報警方式:手機短信、郵件報警、聲音報警、圖形界面報警。
5.3 技術交流平臺
主要包含技術交流和知識庫兩個功能模塊,技術交流功能模塊涵蓋的主要是省局與各地市,以及各地市之間實現技術交流溝通的渠道,而知識庫主要是靜態的知識財富積淀,達到知識儲存和共享的功能。
5.3.1 技術交流渠道
將電話、短信、即時消息、論壇等無縫的集成在統一平臺之上,使用者無需關心對方使用的是哪一種通信方式,都可以進行快速無障礙的溝通,通過搭建協同通訊,進一步拓寬聯系溝通渠道。
5.3.2 知識庫管理
知識庫是工作經驗的積累,知識庫中既包括問題的解決方案,也可包含相關的規章制度和作業指導書。納入到知識庫中的問題處理方法和經驗,可在全省范圍內實現資源共享,同時問題搜索引擎支持多種維度問題查詢,并且可以自動歸納匹配相似的問題記錄。
6 結束語
以ITIL理論為指導思想,以各地市的諸多迫切需求為導向,搭建一套安徽煙草多級應用的信息化服務管理平臺。通過對信息化服務管理的有效整合,實現各級信息中心對系統資源的集中管控,進一步提升IT運維的管理和服務水平。
參考文獻:
[1] 博恩.基于ITIL的IT服務管理基礎篇[M].章斌,譯.北京:清華大學出版社,2007.
[2] 葉永生.基于ITIL方法的運維服務系統研究與設計[J].現代計算機,2012(1):61-65.
【關鍵詞】網絡安全;防火墻;數據庫;病毒;黑客
當今許多的企業都廣泛的使用信息技術,特別是網絡技術的應用越來越多,而寬帶接入已經成為企業內部計算機網絡接入國際互聯網的主要方式。而與此同時,因為計算機網絡特有的開放性,企業的網絡安全問題也隨之而來,由于安全問題給企業造成了相當大的損失。因此,預防和檢測網絡設計的安全問題和來自國際互聯網的黑客攻擊以及病毒入侵成為網絡管理員一個重要課題。
一、網絡安全問題
在實際應用過程中,遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題,它的劃分大體上可以分為內網和外網。如下表所示:
由上表可以看出,外部網的安全問題主要集中在入侵方面,主要的體現在:未授權的訪問,破壞數據的完整性,拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網,同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查,在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在:物理層的安全,資源共享的訪問控制策略,網內病毒侵害,合法用戶非授權訪問,假冒合法用戶非法授權訪問和數據災難性破壞。
二、安全管理措施
綜合以上對于網絡安全問題的初步認識,有線中心采取如下的措施:
(一)針對與外網的一些安全問題
對于外網造成的安全問題,使用防火墻技術來實現二者的隔離和訪問控制。
防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制(允許、禁止、報警)。
防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,從而保護內部網絡操作環境。所以,安裝防火墻對于網絡安全來說具有很多優點:(1)集中的網絡安全;(2)可作為中心“扼制點”;(3)產生安全報警;(4)監視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機的實時入侵檢測產品,一旦發現對主機的入侵,RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵,同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能,可以將服務器不開放的端口進行偽裝,進一步迷惑可能的入侵者,提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品,在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后,除了可以及時切斷攻擊行為之外,還可以動態地調整防火墻的防護策略,使得防火墻成為一個動態的、智能的防護體系。
通過部署入侵檢測系統,我們實現了以下功能:
對于WWW服務器,配置主頁的自動恢復功能,即如果WWW服務器被攻破、主頁被纂改,系統能夠自動識別并把它恢復至事先設定的頁面。
入侵檢測系統與防火墻進行“互動”,即當入侵檢測系統檢測到網絡攻擊后,通知防火墻,由防火墻對攻擊進行阻斷。
(二)針對網絡物理層的穩定
網絡物理層的穩定主要包括設備的電源保護,抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中,所有的機箱都必須有接地的設計,在機房安裝的時候必須按照接地的規定做工程;對于供電設備,也必須做好接地的工作。這樣就可以防止靜電對設備的破壞,保證了網內硬件的安全。
(三)針對病毒感染的問題
病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件,(例如:SymantecAntivirus等)并控制寫入服務器的客戶端,網管可以隨時升級并殺毒,保證寫入數據的安全性,服務器的安全性,以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。
(四)針對應用系統的安全
應用系統的安全主要面對的是服務器的安全,對于服務器來說,安全的配置是首要的。對于本中心來說主要需要2個方面的配置:服務器的操作系統(Windows2003)的安
全配置和數據庫(SQLServer2000)的安全配置。1.操作系統(Windows2003)的安全配置
(1)系統升級、打操作系統補丁,尤其是IIS6.0補丁。
(2)禁止默認共享。
(3)打開管理工具-本地安全策略,在本地策略-安全選項中,開啟不顯示上次的登錄用戶名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帳號,并給guest加一個異常復雜的密碼。
(6)關閉不必要的端口。
(7)啟用WIN2003的自身帶的網絡防火墻,并進行端口的改變。
(8)打開審核策略,這個也非常重要,必須開啟。
2.數據庫(SQLServer2000)的安全配置
(1)安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。
(2)使用安全的密碼策略
。設置復雜的sa密碼。
(3)在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQLServer。
(4)使用操作系統自己的IPSec可以實現IP數據包的安全性。
(五)管理員的工具
除了以上的一些安全措施以外,作為網絡管理員還要準備一些針對網絡監控的管理工具,通過這些工具來加強對網絡安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP協議的探測工具。
Ipconfig/winipcfg,查看和修改網絡中的TCP/IP協議的有關配置,
Netstat,利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況,用戶或網絡管理人員可以得到非常詳盡的統計結果。
SolarWindsEngineer''''sEditionToolset
另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛,涵蓋了從簡單、變化的ping監控器及子網計算器(Subnetcalculators)到更為復雜的性能監控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介紹:
SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫,包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition還增加了新的SwitchPortMapper工具,它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器(NetworkPerformanceMonitor),以及其他附加網絡管理工具。
SnifferPro能夠了解本機網絡的使用情況,它使用流量顯示和圖表繪制功能在眾多網管軟件中最為強大最為靈活;它能在于混雜模式下的監聽,也就是說它可以監聽到來自于其他計算機發往另外計算機的數據,當然很多混雜模式下的監聽是以一定的設置為基礎的,只有了解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。
除了上面說的五個措施以外,還有不少其他的措施加強了安全問題的管理:
制訂相應的機房管理制度;
制訂相應的軟件管理制度;
制訂嚴格的操作管理規程;
制訂在緊急情況下系統如何盡快恢復的應急措施,使損失減至最小;
關鍵詞:網絡安全;防火墻;數據庫;病毒;黑客
當今許多的企業都廣泛的使用信息技術,特別是網絡技術的應用越來越多,而寬帶接入已經成為企業內部計算機網絡接入國際互聯網的主要方式。而與此同時,因為計算機網絡特有的開放性,企業的網絡安全問題也隨之而來,由于安全問題給企業造成了相當大的損失。因此,預防和檢測網絡設計的安全問題和來自國際互聯網的黑客攻擊以及病毒入侵成為網絡管理員一個重要課題。
一、網絡安全問題
在實際應用過程中,遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題,它的劃分大體上可以分為內網和外網。如下表所示:
由上表可以看出,外部網的安全問題主要集中在入侵方面,主要的體現在:未授權的訪問,破壞數據的完整性,拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網,同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查,在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在:物理層的安全,資源共享的訪問控制策略,網內病毒侵害,合法用戶非授權訪問,假冒合法用戶非法授權訪問和數據災難性破壞。
二、安全管理措施
綜合以上對于網絡安全問題的初步認識,有線中心采取如下的措施:
(一)針對與外網的一些安全問題
對于外網造成的安全問題,使用防火墻技術來實現二者的隔離和訪問控制。
防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制(允許、禁止、報警)。
防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,從而保護內部網絡操作環境。所以,安裝防火墻對于網絡安全來說具有很多優點:(1)集中的網絡安全;(2)可作為中心“扼制點”;(3)產生安全報警;(4)監視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機的實時入侵檢測產品,一旦發現對主機的入侵,RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵,同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能,可以將服務器不開放的端口進行偽裝,進一步迷惑可能的入侵者,提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品,在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后,除了可以及時切斷攻擊行為之外,還可以動態地調整防火墻的防護策略,使得防火墻成為一個動態的、智能的防護體系。
通過部署入侵檢測系統,我們實現了以下功能:
對于WWW服務器,配置主頁的自動恢復功能,即如果WWW服務器被攻破、主頁被纂改,系統能夠自動識別并把它恢復至事先設定的頁面。
入侵檢測系統與防火墻進行“互動”,即當入侵檢測系統檢測到網絡攻擊后,通知防火墻,由防火墻對攻擊進行阻斷。
(二)針對網絡物理層的穩定
網絡物理層的穩定主要包括設備的電源保護,抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中,所有的機箱都必須有接地的設計,在機房安裝的時候必須按照接地的規定做工程;對于供電設備,也必須做好接地的工作。這樣就可以防止靜電對設備的破壞,保證了網內硬件的安全。
(三)針對病毒感染的問題
病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件,(例如:SymantecAntivirus等)并控制寫入服務器的客戶端,網管可以隨時升級并殺毒,保證寫入數據的安全性,服務器的安全性,以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。
(四)針對應用系統的安全
應用系統的安全主要面對的是服務器的安全,對于服務器來說,安全的配置是首要的。對于本中心來說主要需要2個方面的配置:服務器的操作系統(Windows2003)的安
全配置和數據庫(SQLServer2000)的安全配置。
1.操作系統(Windows2003)的安全配置
(1)系統升級、打操作系統補丁,尤其是IIS6.0補丁。
(2)禁止默認共享。
(3)打開管理工具-本地安全策略,在本地策略-安全選項中,開啟不顯示上次的登錄用戶名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帳號,并給guest加一個異常復雜的密碼。
(6)關閉不必要的端口。
(7)啟用WIN2003的自身帶的網絡防火墻,并進行端口的改變。
(8)打開審核策略,這個也非常重要,必須開啟。
2.數據庫(SQLServer2000)的安全配置
(1)安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。
(2)使用安全的密碼策略設置復雜的sa密碼。
(3)在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQLServer。
(4)使用操作系統自己的IPSec可以實現IP數據包的安全性。
(五)管理員的工具
除了以上的一些安全措施以外,作為網絡管理員還要準備一些針對網絡監控的管理工具,通過這些工具來加強對網絡安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP協議的探測工具。
Ipconfig/winipcfg,查看和修改網絡中的TCP/IP協議的有關配置,
Netstat,利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況,用戶或網絡管理人員可以得到非常詳盡的統計結果。
SolarWindsEngineer''''sEditionToolset
另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛,涵蓋了從簡單、變化的ping監控器及子網計算器(Subnetcalculators)到更為復雜的性能監控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介紹:
SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫,包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition還增加了新的SwitchPortMapper工具,它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器(NetworkPerformanceMonitor),以及其他附加網絡管理工具。
SnifferPro能夠了解本機網絡的使用情況,它使用流量顯示和圖表繪制功能在眾多網管軟件中最為強大最為靈活;它能在于混雜模式下的監聽,也就是說它可以監聽到來自于其他計算機發往另外計算機的數據,當然很多混雜模式下的監聽是以一定的設置為基礎的,只有了解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。
除了上面說的五個措施以外,還有不少其他的措施加強了安全問題的管理:
制訂相應的機房管理制度;
制訂相應的軟件管理制度;
制訂嚴格的操作管理規程;
制訂在緊急情況下系統如何盡快恢復的應急措施,使損失減至最小;
【關鍵詞】校園網絡;網絡安全;防范體系
【中圖分類號】G40-057 【文獻標識碼】B 【論文編號】1009―8097(2011)11―0066-05
引言
隨著國內高校新一輪信息化建設的不斷深入,高校校園網規模越來越大,承載的應用系統越來越多,校園網絡的結構也變得越來越龐大和復雜。隨著人才培養、科學研究等各項工作對校園網的依賴性不斷增加,校園網及各類應用系統的服務質量也應不斷提高標準和要求,作為一個使用成熟技術和成熟設備的園區網絡,網絡安全是影響網絡服務質量的重要因素。
但目前各高校的校園網“重建設,輕管理”的現象仍然十分普遍。在社會信息化發展的大潮中,各高校都已清楚地認識到校園網在學校各項工作中的基礎地位,因此在校園網硬軟件系統建設上進行了大量的投入,而正是硬件和軟件系統的大規模快速增長,使得對網絡的管理難以跟上建設的步伐,而網絡管理是軟性的工作,是不能夠通過統計報表看得出問題或成績的,因此網絡管理工作很難引起學校領導的重視。但在實際工作中,相對滯后的網絡管理會導致網絡安全問題的頻頻發生,反言之,網絡安全防范也是網絡管理的重要內容。
本文根據目前高校校園網絡存在的安全隱患來分析其成因,并在實際工作經驗的基礎上提出構建一套基于分層控制的“IAAPNS”網絡安全防范體系,自底向上、由內到外、從技術到管理層面排查高校校園網絡中潛在的安全威脅并給出防護建議。
一 高校校園網絡的安全隱患及成因
目前高校校園網絡的主干網都是基于TCP/IP協議的以太網,與其他類型的Intranet網絡相比有其自身的特點,相應的安全隱患也就有其特定的成因。目前國內高校校園網絡普遍存在的安全隱患和漏洞主要來自以下幾個方面:
1 校園面積廣闊,網絡基礎設施管理困難
經過兼并和擴張,高校的校區面積動輒上千畝、幾千畝,許多高校還有地域上獨立的新老校區,作為樓宇間連線的光纖布線遍布校區各處,而且往往跟其他強電或弱電線纜共用走線溝槽。對這些光纖的管理要涉及基建、后勤等多個部門,需要協調的工作也很繁雜,如果缺少一個明確的安全管理體系,就不容易分清工作界限,在出現突發故障后往往互相推諉,導致難以在短時間內恢復網絡暢通。
另外一方面,校園內樓宇繁多,樓字里每幾層都會有樓層網絡設備間放置匯聚層或接入層網絡設備,這些設備間的數量眾多,但往往安全防范措施簡易,門鎖形同虛設,甚至有些設備間連門都沒有,極易出現人為破壞或私拉亂接網線的情況,嚴重影響網絡的運行安全。除此以外,雷擊等外界原因也容易造成對網絡設備的破壞。
2 網絡設備種類繁多,不利于統一管理
校園網的建設一般是分批建設,不同批次、不同層次的網絡設備使用的規格、品牌往往不盡相同,而這些網絡設備的管理軟件大多都是基于私有MIB庫進行開發,這就造成了很難有一套統一的全網管理軟件。病毒或黑客對網絡設備進行攻擊時,就很難在第一時間發現和應對,常常是在設備癱瘓之后才意識到出現了問題、進行緊急恢復。
3 網絡終端數量眾多,安全措施薄弱
一般高校的學生人數都是以萬計,教師以干計,密集的用戶群意味著網絡終端的數量巨大,絕大多數網絡終端以計算機為主,隨著無線的普及,智能手機和平板電腦也成為重要的網絡終端設備。數量眾多的用戶使用計算機或手機的技術水平差異很大,尤其是文科專業的師生對計算機的使用掌握得并不熟練,未裝防火墻和殺毒軟件的計算機比比皆是。而高校校園網只要一處出現漏洞,整個網絡就無安全可言。近年來智能手機上也出現了不少的病毒和木馬程序,智能手機的系統安全問題正變得日益嚴重。
4 系統軟件本身并不安全
在目前的校園網環境中,個人終端裝機占有率最高的仍然是Windows操作系統,由于使用面廣,研究其漏洞的人也就更多,不少黑客都是利用其系統漏洞侵入用戶的計算機,再以這些被控制的計算機作為跳板,攻擊整個網絡。
與個人計算機相比,服務器操作系統漏洞更具有災難性。服務器的操作系統種類較多,除Windows之外還有Linux、Solaris等Unix系列的操作系統,而高校網絡管理人才隊伍中,對此類操作系統熟悉的人員比例不高,包括打補丁、差錯、優化在內的各種操作系統管理手段很難周全到位。除了操作系統本身,其上所運行的各類服務軟件(如IIS、Tomc~等)也存在安全漏洞問題,需要管理人員投入大量的精力進行研究和學習。
5 應用系統的安全漏洞
由于建設成本的考慮,高校的網絡應用系統提供商的層次差異很大,有些就是自行組織教師或學生進行開發,缺少軟件開發過程中各個層次的安全規劃設計與實現,使得應用系統層面的漏洞層出不窮,這些漏洞很容易成為黑客攻擊最直接的目標。還有些高校在建立Web網站時使用了開源程序,這類系統的漏洞更是容易被利用,甚至不懂黑客原理的用戶經過幾分鐘的學習便可以掌握攻擊方法。
二 高校校園網絡的安全防范體系
由此可見,形成高校校園網絡安全隱患的原因是多層次的,也是相互關聯的,但目前各高校的網絡管理部門往往采用的是“頭痛醫頭、腳痛醫腳”的“救火式”解決辦法,只從某個方面或某個層次來應對。網絡管理人員每天都在疲于解決各種突發性的網絡安全事故,但問題還是與日俱增,網絡服務質量和用戶滿意度仍然處于較低的水平,這種“費力不討好”的現象迫使我們去思考更好的解決方案。
為此,針對目前高校校園網絡的安全現狀和威脅,結合實際工作經驗,我們運用系統論的分析方法,提出構建一套名為“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,網絡安全集成關聯架構策略,同時也是體系中六個層次的英語詞組首字母組合)的網絡安全防范體系,為高校校園網絡安全提供一套完整的解決方案,以求由點到面、由“標”到“本”地系統地解決校園網絡的安全問題。該體系從六個層次和角度來闡述網絡安全的內容,并分析每個層次可能存在的隱患以及相應的應對策略,其中自底向上的五個層次分別是物理安全、網絡安全、系統安全、應用安全和信息安全,管理安全則融合、穿插于這五個層次之中。整個安全體系的示意圖如圖l所示。
該體系將現行的高校校園網絡安全性劃分為5個橫向層次和1個縱向層次,在5個橫向層次中,最底層的物理安全是基礎,網絡安全是關鍵,系統安全、應用安全、信息安全是重點,管理安全是保障。下面分別對六個層次的內容、隱患來源以及應對措施進行詳細闡述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的損壞、竊聽和對物理通路的攻擊(干擾等)。保證高校校園網絡和信息系統各種設備的物理安全是網絡整體安全的前提,通常包括環境安全(系統所在環境的安全保護)、設備安全和媒體安全三個部分。抗干擾、防竊聽是物理安全措施制定的重點。目前,物理實體的安全管理已有大量標準和規范,如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術條件》、GB50173-93《電子計算機機房設計規范》等。
這一層次的安全威脅主要包括自然威脅和人為破壞等方面。自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和干擾、網絡設備的自然老化等。這些無目的離散事件有時會直接或間接地威脅網絡的安全,影響信息的存儲和交換。人為破壞則主要來自于高校校園網周邊內外的人為性的損壞,這些損壞有時是主觀故意的(如學生發泄對網絡服務質量的不滿而對網絡設備或線路進行故意損壞),有時是客觀意外的(如園區周邊建筑施工導致挖斷網絡線路)。
面對以上威脅,為保證網絡的正常運行,在物理安全層次上應重點考慮兩個方面:
(1)校園網規劃、設計、建設時將物理安全作為重點工作對待,適當提高安全標準,為網絡設備或線路搭建防護設施、建立安全控制區域,盡量降低自然威脅可能帶來的風險。
(2)加強巡查,將重點網絡設備或線路所在地定為安全巡邏必到點,定期安排保衛人員在巡邏時查看網絡設備或線路的外觀和運行狀態(如各種狀態指示燈是否正常等),降低人為破壞的幾率。
2 網絡安全(Network Security)
網絡安全主要包括鏈路安全、傳輸安全和網絡訪問安全三個部分。鏈路安全需要保證通過網絡鏈路傳送的數據不被竊聽,主要針對共用信道的傳輸安全;傳輸安全需要保證信息的完整性、機密性、不可抵賴性和可用性等;網絡訪問安全需要保證網絡架構、網絡訪問控制、漏洞掃描、網絡監控與入侵檢測等。
這一層次的安全威脅主要包括:
(1)通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。
(2)網絡架構設計問題、錯誤的路由配置、網絡設備與主機的漏洞、病毒等。
相應地應對措施主要有:
(1)在局域網內可以采用劃分VLAN(虛擬局域網)來對物理和邏輯網段進行有效的分割和隔離,消除不同安全級別邏輯網段間的竊聽可能;若是遠程網,可以采用鏈路加密等手段。
(2)加強網絡邊界的訪問控制。對于有明顯安全等級差別的網絡區域盡量增加防火墻設備進行隔離。如在校園內網、服務器區域之間設置防火墻;校園網出口處、與Intemet之間設置防火墻。
(3)在交換機上啟用DHCP-Snooping技術,使任何接入校園網的計算機只能動態獲得IP地址,同時杜絕未經批準建立的網站通過私自手工設置靜態IP地址來架設服務器。
(4)使用IDS(入侵檢測系統)。入侵檢測系統是近年出現的新型網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊,其次它能夠阻止攻擊者的入侵。當檢測到有網絡攻擊或入侵時,可以實時發出報警,并詳細保存相關證據,以便用于追查或系統恢復。
(5)對網絡安全進行定期檢測,以實現安全的持續性。可以利用漏洞掃描類的工具軟件定期對系統進行掃描,根據掃描結果進行安全性評估,通過評估報告指出系統存在的安全漏洞,組織專家討論后給出補救措施和安全策略。
(6)建立網絡防病毒系統。在校園網中部署網絡版的防病毒系統,統一管理服務器和各類網絡終端的防毒軟件,定時自動升級與維護,以保護全網不被病毒侵害。通過對網絡中的病毒掃描集中控制,建立各種定時任務,統一集中觸發,然后由各被管理機器運行,同時可對日志文件的各種格式進行控制。在管理服務器上建立了集中的病毒分發報告、各被管機器的病毒掃描報告、所安裝軟件的版本等報告,所有病毒掃描狀態信息都可由控制臺得到。
3 系統安全(System Security)
系統安全即運行在網絡上的服務器、交換機、路由器、客戶端主機等具有完整網絡操作系統的設備的操作系統的安全。這一層次的安全威脅主要來自因操作系統本身的設計缺陷被攻擊者利用從而引發的后果。對于高校校園網絡而言,半數以上的攻擊往往屬于這一層次。這一層次的主要應對措施主要有:
(1)更新操作系統、安裝補丁程序。任何操作系統都有漏洞,因此,系統管理員的主要工作內容之一就是監控運行在網絡上的各類設備的狀態,發現異常應當及時解決、排除故障。對于交換機、路由器等設備而言,主要是更新操作系統的版本,這一類設備主要用于數據交換,因此其內置固化的操作系統往往功能簡單、體積很小,廠商的常規做法是新版本的系統,因此只需直接刷新即可。對于服務器、客戶端主機等設備,因其主要是用于數據處理,操作系統功能復雜、體積龐大,廠商通常是一些補丁程序來進行更新,因此直接安裝即可。
(2)優化系統。現代操作系統往往是多功能、多模塊、多組件的,可能一項系統設置可能會影響多個功能,也可能多個選項來共同作用于一個功能。因此,對操作系統進行優化是一項非常必要的工作,甚至個別系統的個別選項如果不加以優化可能會被攻擊者利用,從而產生威脅。實際當中包括關閉不需要的服務和端口并建立監測日志等。
(3)實行“最小授權”原則,分配正確和合適的權限。僅僅保持系統的版本最新、并做了優化是不夠的,試想如果網絡上的設備被設置了“123456”這樣的密碼,而且使用這個密碼登錄后還是最高權限的系統用戶帳號,那么整套網絡和信息系統的危險可想而知。實行“最小授權”原則(網絡中的帳號設置、服務配置、主機間信任關系配置等為網絡正常運行所需的最小限度),關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統的危險大大降低。例如,根據需要設置帳號和權限,并為帳號設置強密碼策略是必須完成的工作,如至少應該在8位以上,而且不要設置成容易猜測的密碼,并強制用戶每個月更改一次密碼等等。
(4)及時查殺服務器系統中的病毒、木馬和后門程序。
4 應用安全(Application Security)
應用安全主要是針對網絡中提供的各種功能和服務而提出的,例如Web服務:E-Mail服務、數據庫服務、各種業務系統、各種信息系統等等。應用安全的威脅主要有:應用系統缺陷、非法入侵等。這一層次的主要應對措施有:
(1)及時升級和更新各應用軟件和信息系統,降低因軟件設計缺陷引起的風險。若應用軟件或業務系統是高校自行開發,系統的使用部門(往往是業務部門)應聯系開發人員及時跟進,發現漏洞及時修補。
(2)對應用軟件和信息系統實行身份認證和安全審計。
與系統安全類似,應用軟件和信息系統也應對使用者進行分類、分配權限、認證身份并審計各種操作。例如可以按照需要在高校校園網內部建立基于PKI的身份認證體系(有條件還可以建立基于PMI的授權管理體系),實現增強型身份認證,并為實現內容完整性和不可抵賴性提供支持。在身份認證機制上還可以考慮采用IC卡、USB-Key、一次性口令、指紋識別器、虹膜識別器等輔助硬件實現雙因子或多因子的身份認證功能。同時,還應特別注意對移動用戶撥入的身份認證和授權訪問控制。
5 信息安全(Information Security)
信息安全注重的是網絡上各類數據、信息的內容安全。這一層次可能的威脅和相應的應對措施有:
(1)植入惡意代碼或其他有害信息。一部分攻擊者經常采用的攻擊方法是掃描網段找到有漏洞的主機,接著使用黑客軟件或攻擊程序進行刺探,在獲得系統權限后將惡意代碼植入到在該主機上運行的各應用軟件或信息系統中,待其他用戶正常使用時發作,或修改頁面的內容造成不良影響。針對這種情況,可以部署網頁防篡改系統,減少Web站點的內容被惡意更改植入惡意代碼或其他有害信息。
(2)垃圾郵件和病毒的傳播。目前,電子郵件已經成為垃圾信息和病毒的主要傳播途徑之一,采用垃圾郵件網關并部署電子郵件反病毒模塊能夠在一定程度上減輕危害,缺點是垃圾郵件識別模塊和反病毒模塊需要經常性升級,在查殺和攔截上有一定的滯后性。
(3)負面輿論導向。高校歷來是思想碰撞的場所,網絡作為新興載體己經發揮著越來越大的作用,因此,輿情監督和正面輿論導向將逐漸成為高校信息安全的重點工作內容。除了采取技術手段進行監督管理外,高校的信息化管理部門還應與宣傳部門一道培養輿論導向的專業人員或學生,主動將信息安全的風險降到最低。
6 管理安全(Administration Security)
目前,部分高校的網絡管理人員及其用戶的安全意識總的來說較為淡薄,且大多數高校的網絡管理制度不完善、管理技術落后、管理機構不健全。上述因素不僅使得校園網絡性能下降、運行成本提高,而且還會造成大量非正常訪問,導致整個網絡資源浪費,帶來極大的安全隱患,使得網絡受到攻擊的概率大幅提高。
管理安全是整個防范體系的主線和基礎,貫穿于整個體系的始終。如果僅有安全技術方面的防范,而無配套的安全管理體系,也難以保障網絡安全的。必須制訂相應的安全管理制度,對安全技術的實施落實到具體的執行者和執行程度。
網絡安全工作可以說是一項群體性的工作,網絡用戶的安全意識是網絡安全的決定因素,對校園網絡用戶安全意識的教育是安全防范體系中至關重要的環節,是形成高校校園網絡安全體系的基礎。尤其是在病毒泛濫的大環境下,需要通過定期培訓、及時通過各種手段病毒預警通知、監督和促使用戶盡快打補丁等方法,達到增強師生用戶的安全意識,提高必要的安全防范技能的目的。
以上便是我們提出的網絡安全防護體系的六個層次,除管理安全層次外,其余五層與TCP/IP協議的層次類似,上一層的安全是建立在其下一層的安全基礎之上,下一層的安全是上一層安全的重要保障,層次之間環環相扣,不留安全死角。
本體系中的六個層次也基本涵蓋了高校網絡管理工作的方方面面,將網絡安全工作的思路分層次清晰化,具有極強的實用價值和指導作用。
三 應用效果
重慶理工大學從2001年開始大規模建設校園網絡,2003年開始建設數字化校園系統。校園網按照核心層、匯聚層和接入層三個層次進行規劃設計,共有各類網絡設備600多臺,接入信息點18000個,活躍用戶大約2萬人,各類服務器40多臺,安裝有Windows、Linux和Solaris等操作系統,數據庫以Oracle和SQL Server為主。數字化校園系統覆蓋辦公、教務、學工、人事、財務、后勤等各個方面的工作,共計有各類系統模塊80余個。在大規模的硬件和軟件系統建設前期,缺乏對網絡安全的系統認識,在遭遇網絡安全事故時,常常只能采取臨時性的應對措施。隨著網絡和系統規模的不斷擴大,網絡安全已經成為影響網絡服務質量的重要根源,網絡信息中心的員工幾乎天天都在疲于應對各類突發性的網絡安全事件。
學校從2008年開始總結網絡安全工作的經驗與教訓,運用系統工程的分析方法,從整體和系統的角度提出網絡安全防范方案,形成了“IAAPNS”網絡安全防范體系,并應用到校園網的建設與維護工作中,經過三年多的運行,學校校園網絡安全工作進得了明顯的成績(如圖2所示):
對網絡設備攻擊(包括病毒)而導致網絡故障的次數由2008年的334次降到2010年的65次,2011年上半年為19次;利用操作系統漏洞(包括Web服務器漏洞)攻擊成功次數由2008年的46次降到2010年的6次,2011年上半年為2次;利用應用軟件的安全漏洞攻擊成功次數由2008年的125次降到2010年的43次,2011年上半年為15次。
隨著網絡安全防范工作的加強,網絡服務質量明顯提升,如圖3所示,用戶滿意度從2008年61%提升到2010年的73%,2011年上半年為78%。
