关键词:网络安全计算机局域网病毒防治措施
局域网(LocalAreaNetwork,LAN)是指在某一区域内由多台计算机互联成的计算机组,一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。虽然局域网采用的是专网形式,但因管理及使用方面等多种原因,计算机病毒也开始在局域网出现并迅速泛滥,给网络工程安全带来一定的隐患,对数据安全造成极大威胁,妨碍了机器的正常运行,影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全已成为当前面临的一个重要且紧迫的任务。
一、计算机局域网病毒
计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器瘫痪。计算机病毒一直是计算机用户的心腹大患,虽然反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面。计算机蠕虫病毒是自包含的程序(或是一套程序),它能传播其自身功能的复制或某些部分到其他的计算机系统中(通常是经过网络连接)。局域网病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木马等功能于一身的综合型病毒不断涌现。计算机病毒表现出以下特点:传播方式和途径多样化,欺骗性日益增强,传播速度极快,制作成本降低,变种增多,难以控制和根治,传播更具有不确定性和跳跃性,有自动在线升级和自我保护能力,编制采用了集成方式,等等。局域网病毒的传染方式多,传播速度快,传播范围广,危害也大。局域网病毒还特别难以清除,只要有一台工作站的病毒未被彻底清除,整个网络就有可能重新被感染。
二、计算机局域网病毒的防治措施
当计算机感染上病毒出现异常时,人们首先想到的是用杀毒软件来清除病毒。但是在杀毒软件被广泛使用的今天,病毒的种类和数量,以及所造成的损失不是逐年减少,反而是逐年增加。这表明杀毒软件作为病毒防范的最主要工具,已显露出重大缺陷:对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键。
在网络环境下,防范病毒问题显得尤其重要。这有两方面的原因:首先是网络病毒具有更大的破坏力。其次是遭到病毒破坏的网络要进行恢复非常麻烦,而且有时几乎不可能恢复。因此采用高效的网络防病毒方法和技术是一件非常重要的事情。网络大都采用“Client-Server”的工作模式,需要从服务器和工作站两个方面结合解决防范病毒的问题。另外要加强各级人员的管理教育及各项制度的督促落实。
1.基于工作站的防治技术
工作站是计算机网络的大门,只有把好这道大门,才能有效地防止病毒的侵入。工作站防治病毒的方法有三种:①软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。②在工作站上插防病毒卡,防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。③在网络接口卡上安装防病毒芯片,它将防病毒功能集成在一个芯片上,可以更加实时有效地保护工作站及其通住服务器的途径。但这种方法也同样存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
2.基于服务器的防治技术
服务器是网络的核心,一旦服务器被病毒感染,就会使服务器无法启动,整个网络陷于瘫痪,造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWareLoadModule)技术,以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒能力,以服务器为基础的防病毒技术可以保护服务器,使服务器不被感染。这样,病毒也就失去了传播途径。基于网络服务器的实时扫描病毒的防护技术一般具有如下功能:①对服务器中所有文件扫描。②实时在线扫描。③服务器扫描选择。④自动报告功能及病毒存档。⑤工作站扫描。⑥对用户开放的病毒特征接口。基于网络服务器的防治病毒方法的优点主要表现在不占用工作站的内存,可以集中扫毒,能实现实时扫描功能,软件安装和升级都很方便。特别是当联网机器很多时,利用这种方法比为每台工作站都安装防病毒产品要节省成本。
3.加强计算机网络的管理
计算机局域网病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,才有可能从根本上保护网络系统的安全运行。完善的安全管理应该包括以下几个方面:完整的安全技术和设备的管理、严格的部门与人员的组织管理、安全设备的访问控制措施、机房管理制度、软件的管理和操作的管理,还要建立详细的网络安全应急预案,并建立完整的安全培训制度,保证网络管理人员能及时了解和掌握先进安全产品的使用方法。要坚持做到不让外人随意接触重要部门的计算机系统,不要使用盗版的计算机软件,不要随意访问非官方的软件、游戏下载网站,不要随意打开来历不明的电子邮件。总之,加强安全管理制度可以最大限度地减少由于内部人员的工作失误而带来的安全问题。
三、清除网络病毒
一旦在局域网上发现病毒,应设法立即清除,以防网络病毒的扩散给整个系统造成更大的损失。其操作步骤如下:
(1)立即使用broadcast命令,通知包括系统管理员在内的所有用户退网,关闭文件服务器。
(2)用带有写保护的、干净的系统盘启动系统管理员工作站,并立即清除本机病毒。
(3)用带有写保护的、干净的系统盘启动文件服务器。系统管理员登录后,使用disablelogin命令禁止其他用户登录。
(4)将文件服务器硬盘中的重要资料备份到干净的软盘上。但千万不可执行硬盘上的程序,也千万不要在硬盘中复制文件,以免破坏被病毒搞乱的硬盘数据结构。
(5)用防病毒软件扫描服务器上所有卷的文件,恢复或删除被感染的文件,重新安装被删除的文件。
(6)用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。
(7)在确信网络病毒已彻底清除后,重新启动网络和工作站。
局域网安全不是一个简单的技术问题,它涉及到整个网络安全系统,包括防范技术、规范管理等多方面因素。只要正视网络的脆弱性和潜在威胁,不断健全网络的相关法规,加强局域网病毒防范及网络管理,就能有力地保障网络安全。
参考文献:
[1]马时来.计算机网络实用技术教程[M].北京:清华大学出版社,2003.
关键词:高职教育;计算机网络;课程整合;课程体系
2002年我院开始进行计算机类专业课程体系改革工作,通过调查、研究、实践、完善、优化,形成了“平台+岗位”的课程体系和相应的实施方案,改革成果显著,“基于IT类职业岗位课程建设研究与实践”教学成果获浙江省教学成果二等奖(2005年)。计算机网络技术专业作为院级重点专业,积极开展了基于“平台+岗位”的课程改革工作。在课程体系上以专业技术(技能)和职业素质培养为主线,建立了一套与专业培养目标相适应的课程体系,从专业教育为主转向以综合素质培养为主,从理论知识传授为主转向以职业岗位能力培养为主。强调前导课程与后续课程对口、专业知识与岗位应用对口、实践技能与专业岗位对口,经过课程的重组与整合形成新的课程体系。突出岗位技术(技能)的培养,重点培养两个主岗位(网络管理员、计算机系统维护员)和两个辅助岗位(数据库管理员、电子商务员),强调课程与职业岗位对接,相应设置了岗位系列课程。
本人根据多年岗位系列课程教学的切身体验和实践,就计算机网络技术专业中的网络管理员岗位系列课程的设置、整合与实践等方面进行探讨。
岗位系列课程的模式及设置
岗位系列课程模式根据“以就业为导向、以岗位为依据、以能力为本位”的专业建设指导思想,“平台+岗位”的课程体系充分体现“就业需要——确定岗位——确定能力(技能、技术)”的基本原则。每个职业岗位能力可以分为个人能力(责任意识、职业道德、职业素养等)、关键能力(学习能力、工作能力、创新能力等)和技术(技能)能力。[1]岗位系列课程模式是把职业岗位要求的高素质和高技能的培养和训练任务,设计成一个贯穿学业全过程的链状课程,即岗位系列课程。以问题为中心的科目课程培养职业需要的基本技能和关键能力,以行动为导向的项目课程或训练课程培养职业需要的专门技术能力。[1]岗位系列课程是根据某一职业岗位或某类相近岗位工作能力要求而设置的一组课程,该课程组中的职业技能课、职业技术课及职业岗位综合实训课之间的联系如图1所示。
网络管理员岗位系列课程设置计算机网络技术专业的培养目标是培养技能型的高级网络技术人才,使学生既具备现代计算机网络基础知识,同时掌握网络组建、网络管理与网络安全的基本技术(技能),又具有很强的实际操作能力。[2]主要从事各行各业计算机软硬件安装、调试与维修;从事计算机网络系统的配置、管理和维护;从事计算机网站的开发、管理和维护等岗位工作。网络管理员作为该专业的主岗位,其相应的课程设置如图2所示。在课程设置上,坚持应用能力“宽窄”结合的方针,按照“学习网络”、“使用网络”、“组建网络”、“管理网络”的学习过程设置课程,使学生逐步深入掌握网络知识,培养学生各个方面的网络应用能力。同时,适当兼顾其他应用能力的培养。
岗位系列课程内容的整合和目标说明
根据高职教育的特点,对原先的计算机网络课程进行了整合与改革,进一步整合教学内容,进行岗位系列课程设置。同时针对岗位系列课程的各课程之间关系密切、逻辑性强的特点,知识应具有递进性,内容应前后衔接合理,以便组织教学。对教学内容要求具有明显的时代性和先进性。
计算机网络基础与应用(1)课程内容整合的思路。把《计算机网络技术》、《Internet应用》、《计算机网络操作系统》三门课程整合成《计算机网络基础与应用》,作为一门职业技能课程,纳入专业人才培养体系中,充分体现理论“必需、够用”的原则。计算机网络的基本原理和概念,很多已体现在人们熟悉的网络应用中(Internet应用),网络服务器环境已有条件在一般机房里搭建,将这三门课综合在一起,有利于学生在“学中用和用中学”,以提高学生的学习兴趣,降低学习的难度,并真正达到学有实效。(2)主要教学内容。本课程讲授计算机网络的基本知识、数据通信基础、局域网基础与网络互联、Internet的基础知识及应用、基于WindowsServer网络操作系统的AD安装、网络命令、IP地址的简单设置、用户账户的管理、资源共享、网络安全等。(3)课程教学目标。学生应具备一定的网络与通信基础知识,了解计算机网络的体系结构、网络分类及各类网络的特点,了解Internet的相关知识、技术特点及应用。简单的网络连接和共享资源的使用方法,熟悉一种网络操作系统(Windows2000Server)的使用和一般的网络管理方法,能够在网络上创建和配置Web站台、FTP站点。
企业网组建与管理(1)选择课程的思路。随着计算机网络的普遍应用,中、小型计算机网络的组建和维护,是计算机应用专业学生应具备的重要技能。所以为计算机网络技术专业的学生选择开设《企业网组建与管理》课。(2)主要教学内容。本课程涉及组网基础、组网工程、组网设备、网络服务、网络设计、网络管理、网络安全和网络维护,这些内容包括组网前期的准备、组网中期的实现和组网后期的管理维护。本课程除了要求学生掌握企业网组建与管理知识外,更重要的是要求学生具备企业网的安装、调试等解决实际问题的能力。因此,在教学中一定要重视课程的实训和实践,适当地加大实训和实践课时,同时要设立专门的实训室,配置必要的实训设备和专业实训人员,为学生提供比较好的实训与实践环境。(3)课程教学目标。学会并掌握基于WindowsServer平台的Intranet网络的构建与管理,常见的局域网环境搭建与管理;学生应对局域网的基础知识、工作原理及发展趋势有一个全面、系统的了解;了解组网工程的基本知识,掌握常用的局域网组网技术,熟悉当前流行的网络架构和典型的局域网设备和组件产品;能够运用所学的计算机网络原理和组网技术等专业知识和技能,规划、设计并组建及维护中、小型局域网络。让学生在前续课程学习的基础上,在系统科学方法的指导下,能根据用户网络的需求分析和计算机软硬件工程开发的技术规范,综合运用所学的知识和技术,提出计算机网络系统的解决方案并具有将网络硬、软件系统综合集成为完整的网络体系(网络应用环境)的技能。能运用简单网管协议(SNMP)、TCP/IP协议、服务器等软、硬件环境提供网络管理和服务。掌握网络安全、网络防火墙、广域网的接入、网络运行管理、网络应用系统开发环境的搭建等技术。培养学生搭建配置和管理基于平台的局域网的能力,使学生学会局域网组建的基本知识,学会IIS环境的配置及服务软件的工作原理、FTP站点和WEB站点的架构和访问、DNS的解析配置、邮件服务器的架构、即时信息服务的架构、基于ISAServer的服务器的配置。
网络组建与管理实训通过实训,让学生了解网络组建过程与管理技术,掌握网络组建与管理的方法,通过实际工程技术项目亲自组建、配置与管理,积累实际项目解决的经验,为学生今后参加网络组建与管理工作打下坚实的基础。(1)选择课程的思路。本课程主要目的是提高该专业学生计算机网络知识和技术的综合应用能力。该课程涵盖了计算机网络与通讯的主要技术和网络管理方法。《网络组建与管理实训课》是高职院校计算机网络技术类专业的一门岗位综合实训课。本课程讲授和实践计算机局域网的配置和互联、基于局域网架构网络服务。(2)实训内容(模块)包括:网络互连(包括局域网和广域网);Cisco网络互连之静态路由;Cisco网络互连之动态路由;远程管理之Telnet;标准访问控制列表;扩展访问控制列表;Vlan划分及Vlan间路由(路由器和三层交换机);CDP(思科路由发现)。(3)课程教学目标。通过本课程的学习和实践,使学生能够比较系统和全面地掌握计算机网络的组建原则、组建方法,掌握网络管理的先进技术,了解计算机网络的主要软硬件产品的技术特点和实际应用情况,能够根据实际情况熟练组建网络配置设备。具备较强的计算机网络软硬件的安装、调试和运用能力,为今后从事计算机网络组建与管理方面的实际工作和进一步学习研究打下一定的理论和实践基础。
岗位系列课程的实验、实训室建设
为了完成以上课程的教学目标,至少建设以下两个实验、实训室。
计算机网络实验室本实训室主要为《计算机网络基础与应用》课程提供实验环境。可供学生完成以下实验任务:(1)Internet技术和应用;(2)网卡的安装;(3)RJ45网线的制作和检测;(4)双机互联;(5)Windows对等网络的组建和应用;(6)小型局域网的互联;(7)Internet的接入技术;(8)Windows2000Server的安装及管理。
网络组建与管理实训室本实训室主要通过与神州数码网络公司合作搭建实验实训的真实环境,建设计算机网络的专业教室,为《企业网组建与管理》、《网络组建与管理实训》两门课程提供所需软、硬件环境。主要可供学生完成《企业网组建与管理》课的实验模块、《网络组建与管理实训》课的综合实训模块。(1)实验模块:IP子网规划;设备间设备设计;路由器配置;DNS服务器的配置;DHCP服务器的配置;DNS服务器的配置;FTP服务器的配置;邮件服务配置;终端服务配置;校园网拓扑设计;网络安全管理。(2)实训模块:网络互连(包括局域网和广域网);Cisco网络互连之静态路由;Cisco网络互连之动态路由;远程管理之Telnet;标准访问控制列表;扩展访问控制列表;Vlan划分及Vlan间路由(路由器和三层交换机);CDP(思科路由发现)。把网络管理软件Solarwinds融于上述实训的各模块中,使得实训更加综合,更加有趣,更加实用。
多年来,学院致力于基于“平台+岗位”的IT职业课程体系的构建与实施,但仍需进一步加强探讨。如网络技术本身具有“高、精、尖、快”的特点,[3]如何保持高职教材和岗位系列课程建设相协调是岗位系列课程建设所面临问题。岗位系列课程是由内容相关的若干课程组成,任何课程内容的变化都需要岗位系列课程中其他课程内容的调整,否则体现不出针对性、先进性和应用性等特点。总之,实践实训环境如何进一步满足人才培养方案以及学生个性化培养的需要也应进一步研究。
参考文献:
[1]黄崇本.基于“平台+岗位”的IT职业课程体系研究与实践[J].浙江工商职业技术学院学报,2006,(7).
比如说,攻击者可以先攻击一台没有及时更新补丁的家庭计算机或公司内部的计算机,然后利用这台计算机连接到私有网络,发起攻击。在现实工作中,管理员通常缺乏足够的时间和资源来弥补这些漏洞。
NetworkAccessProtection(NAP)forWindowsServer2008和WindowsVista提供了一个组件和应用程序接口,帮组管理员确保强制的安全健康策略得以贯彻。
开发人员和管理员可以创建一个解决方案,来检查连接到网络的计算机,并且提供所需要的更新资源(叫健康更新资源),对于不更新的计算机限制接人。同时,NAP的强制更新功能可以和其他厂商的软件整合,来帮助实现对接入计算机特定系统和软件进行检查。
其目的是为了最终实现:监视计算机访问网络是否符合健康策略要求,自动更新计算机,使其符合健康策略要求,或者,限制不符合安全策略要求的计算机,将其限制在受限制的网络中。
很多用户会认为NAP是防止恶意攻击手段,实际不尽然,虽然NAP确实能够辅助达到防范的目的,但NAP本身不是被设计用来防治恶意使用者破坏安全网络的。它被设计用于帮助管理员维护网络上的计算机的健康。它不能防治一个已经符合安全要求的计算机上的恶意用户释放攻击,或执行其他不适当的行为。
在Windows2008的NAP环境,是一种典型的客户机/服务器架构,其基本结构如图1所示。
客户环境包括SHA(系统安全),QA(隔离)和EC(强制客户),各个组件的作用如下:
系统安全(SHA)检查和声明客户的健康状态(补丁状态、病毒签名、系统设置等),每一个SHA定义一个系统健康要求或一组系统健康要求。比如一个SHA定义防病毒签名,一个SHA指定操作系统更新等等。wind0WSVista和WindowsServer2008包含了一个WindowsSecurityHealthValuatorSHA,其他的软件厂商或微软可以提供额外的SHA到NAP平台。
强制客户端运用强制执行的方法,每个NAPEC被定义为不同的网络接入或连接类型。
修补服务器用来安装需要的更新和设置以及应用程序,将客户计算机转化为健康状态,不符合SHA检查要求的计算机被路由到修补服务器。
网络接入设备是有智力判断赋予或拒绝客户访问网络的请求(防火墙,交换机或一台服务器)的设备。
系统健康服务器通过定义客户端上的系统组件的健康要求,提供客户端所要依从的策略。
NPSserver包括Qs和Sys-temHealthValidator。Qssits在IASPolicy服务器上,执行SHV检查下来相配的动作,SHV检查安全生成的声明。
很多人会觉得Windows2008的NAP是一个全新的东西,但实际上,上文提到的四种客户端的强制方式,它们中的大多数都是以前某项技术的延续,了解这种技术发展的脉络,对于我们理解NAP的强制方式有很大的帮助。
首先,我们来看一看第一种强制方式:DHCP的方式:在Windows2000和Windows2003的DHCP服务器上,引入了一种分配IP地址选项(option)的方式,类(Class),我们可以在服务器上设置“用户定义类”或“厂商定义类”,并为这些类设置独特的Options。
当时就有很多的用户自己尝试着用这个class类技术,让企业内部的私有计算机属于一个类,外来访客的计算机得到的IP地址的选项将和企业内部计算机得到的地址选项不同,这样来控制访客计算机的行为。
而Windows2008的基于DHCP的NAP可以看成该项技术的发展和延伸。其基本思想就是将不符合健康检查要求的计算机归属于一个类,给这个类的计算机特殊的Options,用路由器的默认网关等选项来约束,这样,这些计算机就被限制在特定的网络中了。
其次,第二种NAP的强制方式是用IPSEC,这种方式算是最具有微软特色的NAP的解决方案了,其他厂商的类似产品,往往需要网络基础架构的支持,比如Cisco的NAC等等,但采用IPSEC解决方案的NAP,可以完全摆脱网络基础架构的束缚,在主机层面上实现网络的接入保护。
其实,这种方式的NAP实际上也是传统的windowS上的IPSEC技术延伸,在传统的WindowsIPSEC的验证方式上,有三种方式,分别为AD、CA和预共享密钥。在验证通过后,可以通过设定“客户端”、“服务器”、“安全服务器”的策略来控制计算机之间的通讯。
其中,最自由的方式毫无疑问是采用CA认证中心所颁发的证书来进行验证,我们可以很自然的想到,只要由一个CA自动给符合健康要求的计算机办法健康证书,就可以实现限制非健康计算机通讯的要求。
而windows,2008基于IPSEC的NAP的基本思想就是建立在颁发健康证书的基础上的。
基于IPSEC的强制NAP将物理网络分割为3个逻辑网络,一台计算机在一个时刻只能在三个逻辑网络之一之中。
安全网络是有健康证书的计算机集合,要求接人的计算机采用IPSEC验证,并采用健康证书。(在一个被管理网络,大多数服务器和客户机属于AD域,在安全网络中。)
边界网络有健康证书,但不需要接人到私有网络,进行IPSEC验证尝试,在边界网络中的计算机必须能访问整个网络的计算机,边界网络通常只由HCS和NAP修复服务器。
受限网络没有健康证书,包含不符合NAP规范的客户计算机的集合。
大家会很自然的,将这种对网络的逻辑划分的方法,和传统IPSEC的client,server,securerserver三个预定策略进行对比,会发现两者非常相似。
第三种NAP的强制方式是针对VPN接人的客户的,不受管理的家庭计算机对网络管理员又是一个挑战,因为IT人员不能直接物理访问到这些计算机。
使用NAP,当用户使用VPN连接的时候,管理员可以检查需要的程序,注册表设置,文件,家庭计算机会被限制在受限网络中,直到健康状态符合要求。
云计算是以互联网相关服务的增加以及使用与交付为基础的,利用互联网提供动态易扩展的虚拟化资源分布计算技术。简单来说,云计算就是通过将用户数据的处理任务由原来的用户机转变至网络整合的企业级数据中心予以执行,进而帮助用户节省其网络占用资源的一项技术。由于云计算对数据存储的安全性较高,且对终端设备的要求较低,在节省成本的同时,也达到了资源收集、分析和分布利用的目的,故而被社会多个生产、生活领域所应用。云计算具有以下几方面的特点:(1)超大规模。相较于本地计算机管理系统,云计算的运行规模更为庞大,以Googel为例,其云计算已拥有100余万台服务器,而微软、Yahoo的云计算也已拥有数十万台服务器。(2)虚拟化。虚拟化是云计算的另一特点。云计算对用户在任意时刻、任意位置所选取的不同终端进而获取的应用服务均能够予以支持,而用户所发出的请求资源大都来源于云”,并非有形实体,而资源的应用也大都在云”中进行,而对于用户而言,其只需一台终端机便可经由网络实现其特定的资源需求。(3)可靠性与通用性。由于云计算利用计算节点同构以及多数据副本容错等方法降低资源分配的错误率,故具有较高的可靠性,加之其并不针对特定的应用予以资源支持,即能够同时对不同应用的运行予以支撑,故而又具有良好的通用性。在了解云计算的概念和特点的基础上,对云计算环境下的网络安全问题进行下述说明。
2云计算环境下的网络安全问题
2.1计算机网络环境安全
长期以来,自然环境有关的安全问题大都是对网络安全具有最直接影响的因素,其主要包括了网络硬件设备故障、网络管理员操作方面的失误和自然地质灾害等。由于网络是由软硬件共同构成的一类智能系统,故而极易受到振动、撞击和温湿度等环境因素的影响。云计算的应用虽然使得原有网络数据信息存储的安全性得到了大幅提升,但对于传统网络下的自然环境安全问题却并无明显改善。同时,因云计算环境下的数据处理方式已由传统的用户机处理转变为数据中心的集中处理,故而对使用环境的安全性又提出了更为严格的要求,由此可见,计算机网络环境的安全问题已成为云计算环境下网络安全的首要问题。
2.2数据存储与通信安全
数据存储是否安全是影响计算机网络健康、稳定发展的关键因素。对传统的网络环境进行分析可知,用户虽然能够借助广域网实现数据共享,但数据的存储大都是以单机存储的方式进行的,而存储安全大都由单个计算机的系统防护能力和进行数据通信过程中的安全性所决定的。而云计算环境下,数据存储的方式则由原有的单机存储变更为服务商所提供的存储,而在此种情况下,数据存储是否安全,在很大程度上取决于云服务的提供商本身,包括其当前所具备的技术能力以及诚信水平。一旦云服务提供商的信用度下降或其技术水平停滞不前时,其所存储数据的安全性必将受到严重威胁。云计算环境中的数据通信安全问题集中体现在数据传输过程中所受到的安全威胁,例如,DDoS攻击,即通过在短时间内向云计算服务器发送过量请求,从而导致信道拥塞,使得服务器无法对用户的正常请求做出及时回应等。此外,系统入侵以及篡改数据也是云计算环境下威胁数据通信安全的另一原因。例如,黑客通过侵入用户系统,从而篡改、删除合法用户的系统数据,使其终端通信无法完成。
2.3虚拟环境安全
对云计算网络环境进行分析可知,其与传统的网络环境并不相同,云计算通过对当前网络的资源进行全面整合,进而对虚拟的服务环境进行构建。对于用户而言,其所使用的资源大都来自云端,而非固定有形的网络实体,具体说来就是以临时租用的方法获取相关服务,以此来弥补网络硬件的不足和软件运算能力的缺陷,进而从整体上提高网络资源的利用效率。但由于云计算环境的实质是一个具有较高整合度的虚拟网络环境,而其数据中心尚不具备边界安全的保护措施,因此,传统的入侵检测技术并不能对云计算数据中心的安全予以良好的保障。
2.4身份认证安全
对云计算网络环境进行分析可知,服务商所提供的云服务器大都位于网络环境的中心,而用户通过向服务器发送请求进而获取其所需资源的前提是其自身的身份必须合法,并顺利通过身份认证。身份认证是网络信息进行自我保护的关键措施,也正因如此,身份认证环节也最容易受到网络不法分子的攻击。云计算环境下,身份认证安全所受到的威胁主要包括:(1)用户管理服务器受到黑客攻击时,合法用户的用户名以及密码等将会被窃取、盗用,并进行非法登录,通过对数据进行相应操作,从而增加、篡改或删除用户个人的数据信息,为其带来不可挽回的损失;(2)黑客可通过对云计算环境下的网络信道进行监听,或在网络信道中传播计算机病毒,从而使得用户的个人信息被非法窃取或计算机瘫痪,进一步扩大网络安全威胁。
3云计算环境下应对网络安全问题的策略
3.1技术防护策略
高效的技术防护是确保云计算网络环境安全的关键措施。可从以下几方面展开云计算网络环境的技术防护工作:(1)通过选用规模化的云计算软件,通过对其进行及时维护和更新,在修补软件漏洞的基础上,确保计算机网络运行安全;(2)在对网络内现有用户进行了解和信息资源分析的基础上,建立健全的用户数据隔离机制,在避免网络中多个虚拟机进行相互攻击的基础上,保证用户数据存储的相对安全。此外,由于在云计算网络环境中,数据信息只能够实现逻辑划分隔离,而难以被设立基于物理安全边界的隔离,故可靠率通过建设云计算的安全防护中心的方式,把原有的以子系统为基础的网络安全防护扩展至对整个云端环境的防护中来,从而在充分遵循云计算环境下数据信息隔离特点的基础上,全面提升网络的防护能力。
3.2云端数据防护
加强对云端数据的防护是确保云计算环境下网络安全的另一重要措施。虽然云端数据库的引入为用户对网络资源的获取带来了较大的便利,但由于云计算服务提供商的信用水平和技术能力等问题,使得用户难免会对其个人数据的安全性产生担忧。因此,对于云计算服务提供商而言,其有必要也必须加强对云端数据库的维护力度,通过制定相应的规章制度,保障其自身的高信用水平,同时,加大技术创新的力度,尽可能消除用户对其个人数据信息泄露方面的担忧。在用户方面,其也应加强对所存储数据的安全防范,对于存储在云端的数据,用户可通过对其进行定期备份,避免数据流失,亦可使用数据加密的方式,确保所存储数据信息的安全。
3.3通问与环境安全的控制策略
访问控制策略是确保数据通信安全的关键,其主要任务为避免网络资源被非法占用。访问控制策略主要包括了服务器安全、网络权限和网络访问的控制等内容。需要说明的是,在云计算环境当中,可选用多种通问策略相结合的方法,达到对不同用户授权的目的,并满足其对各级访问权限进行设定的需求,确保云计算网络通信的安全。而云计算网络环境的控制大都集中在数据传输方面,为了保证数据信息传输的安全性,可考虑将网络安全协议引入其中,通过对用户的各类数据进行加密,从而使数据在云计算网络信道的传输过程中不被窃取和盗用。
3.4身份认证防护
云计算环境下的身份认证问题可考虑引入多重身份认证机制予以解决。除了可引入视网膜以及指纹等生物识别技术来保护用户身份信息安全外,还可考虑将动态电子口令的认证模式引入到云计算复杂网络环境下的身份认证机制当中,以此来确保用户身份认证信息不被非法窃取和监听。与此同时,云计算服务提供商和用户还需配合政府,进一步加大对非法入侵云计算管理系统的打击力度,以健全的报警机制确保云计算网络环境的安全。
3.5基于服务器端的控制管理
加强对云计算服务器端的控制管理力度是降低网络安全威胁的重要方法。首先,服务商应采取多项计算机网络技术确保服务器运行环境的相对安全,尽可能地避免自然环境和人为因素所产生的网络威胁。其次,引入用电环境保护技术,在确保用户信息安全的基础上,针对云计算管理系统当中的程序漏洞,及时制定出相应的解决方案,降低程序风险,确保网络环境安全。此外,还可通过借助计算机网络防火墙和漏洞查核等措施阻止病毒程序的侵入,将系统风险降至最低。
4结束语
关键词:云计算;信息化;气象
中图分类号:TP399-C3文献标识码:A文章编号:1007-9599(2011)22-0000-01
OutlookofCloudComputingTheoryandTechniquesUsedinWeather
ZhangXiaolei
(HebeiXingtaiCityMeteorologicalBureau,Xingtai054000,China)
Abstract:Asmoreandmoreadvancedtechnologiesandservicesintroducedtothenetworkofmeteorologicalservices,cloudcomputingwiththevastresourcesoftheInternetsystemtoanewcomputingmodel,secureandreliabledatastorageandcomputingpowertousersprovisionofservicesisboundtotheconstructionofmeteorologicalinformationhaveapositiveimpact.
Keywords:Cloudcomputing;Informatization;Weather
一、云计算简介
(一)云计算的定义。云计算是一种基于互联网的超级计算模式。它将计算任务布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空分间和各种软件服务。云计算实质上是通过互联网访问应用和服务,而这些应用或者服务通常不是运行在自己的服务器上,而是由第三方提供。它的目标是把一切都拿到网络上,云就是网络,网络就是计算机。云计算依靠强大的计算能力,使得成千上万的终端用户不担心所使用的计算技术和接入的方式等,都能够进行有效的依靠网络连接起来的硬件平台的计算能力来实施多种应用。云计算的新颖之处在于它几乎可以提供无限的廉价存储和计算能力。
基于云计算的原理和其固有的特点,云计算比其它新技术更容易进入气象领域。云计算对用户端的设备要求很低,这一特点决定云计算将会在县气象站大受欢迎。
(二)云计算的特点。1.服务提供的多元性。云就是庞大的计算机群,具备极高的计算、存储能力,能够完成单机所完不成的海量计算、存储等工作。云将调用云中的计算机群,使用基于海量数据的数据挖掘技术来搜索网络中的数据库资源,并运用各种方法为用户反馈出尽可能详尽、准确的结果,极大的扩展了而不是传统意义上的基于某个具体服务器为用户提供相应服务的工作模式;同时云中的计算机可以通过相应技术保持网络数据库信息的及时更新,用以保证用户服务的快速、准确。2.使用的便捷性。在云计算模式中所有应用和服务请求的数据资源均存储在云中,用户可以在任意场合、时间通过网络接入云平台,使用统一的云服务,按照自身的需求获取所需信息,并可以实现不同终端、设备间的数据与应用共享,为工作带来极大的便利和效率。3.服务的安全性。分布式系统具有高度容错机制,云计算作为分布式处理技术的发展,依托据存储中心可以实现严格、有效的控制、配置与管理,具有更好的可靠性、安全性和连接性能,同时高度集中化的数据管理、严格的权限管理策略可以让用户避免数据丢失、病毒入侵等麻烦。4.用户端设备成本低廉。由于云计算模式下大量的计算及存储工作都被放到了网络上,作为个人的用户端就完全可以简化到只有一个浏览器了。云计算模式中用户只需通过网络使用服务商所提供的相关服务,并按实际使用情况付费,具体的计算机系统硬件配置、设备运行维护开支和服务器系统软、硬件升级都由云服务提供商来完成。云计算的端设备和现在的PC机相比,云计算终端功耗低,成本低廉,终端用户使用简单,维护方便。
二、云计算为气象事业信息化建设提供新的思路
(一)云计算能大大节约信息化的资金投入。目前的气象信息化建设中成本主要来源于软硬件的购置、日常维护及设备更新等,如果将这些建立在云计算和服务的基础之上,将大大减少资金投入。其一,整个网络建设的基础平台将是云服务提供商提供的跨平台、运算能力强大、资源丰富的统一的通用信息平台,无需购买本地服务器,仅需投入少数管理终端及云接入设备即可;其二,所有的服务提供均由云端提供,无需为保证服务器运行的可靠性、保证存储在服务器中的数据资源的安全以及避免因网络访问异常导致服务器瘫痪而对网络服务器响应及接入数量等进行限制,因此原来维护、升级等工作几乎降至最低,管理成本也相应可以大大降低。
(二)真正实现资源整合,建立统一的资源平台。将气象信息化建立在云计算和服务的基础之上,将繁重的网络信息平台建设、服务器的配备、资源的存储与管理等工作交给云服务提供商,那么现有分散的、自成一体、本地化的网络信息平台将转变成为一个与具体网络运行环境、网络服务器系统、网络操作系统无关的强大的统一的通用信息平台,在这个平台上以成千上万的云服务器为依托,拥有着极其强大的计算功能、海量的网络资源都可为气象预报及气象服务提供强大的支持。
(三)云计算的应用能够保证气象业务人员的信息安全。现在计算机病毒的防控一直是一个十分棘手的问题,一台机器中毒,很快就会传遍所有机器。杀毒软件授权使用费用也是一笔不小的开支,但对病毒仍不能有效的防控。而在云计算环境下,云计算提供商拥有先进技术和专业团队来负责这些资源的安全维护工作,工作人员只需通过网络,就能访问自己的数据。本地不再存储任何数据,因而不用担心病毒入侵造成的破坏。所以,云计算在气象业务上的应用既省去了在信息安全方面的开支,又确保了工作人员的信息安全。
三、结束语
云计算能为气象信息化提供所需的基础设施和软件环境,帮助气象事业摆脱资金不足、专业技术人员匮乏等各种困扰,其在气象业务、科研中的应用前景十分广阔。云计算的发展趋势已经呈现,一定会为气象业务的科研水平等方面的提升贡献出自己的力量。信息技术已经从计算机时代走向互联网时代,走向以数据、计算和服务为中心,云计算为这种转变提供了机会和技术实现,并使之成为可能,从而为气象业务信息化的发展和建设提供了新的模式,特别有利于县气象站及自动站的发展。
参考文献:
[1]MichaelM,姜进磊,孙瑞志,向勇等译.云计算[M].北京:机械工业出版社,2009,7-10
[2]沈舒.云计算与网格计算的比较[J].软件导刊,2009,8(12):10-11
Shenparisonofcloudcomputingandgridcomputing[J].SoftwareGuide.2009.8(12):10-11(inChinese).
[3]常浩.浅谈云计算[J].太原大学学报,2009,10(4):135-138
关键词:云计算网络教育
1、引言
随着计算机技术和互联网技术的日趋普及与深入,网络学习的时代已经到来,通过互联网技术突破时间空间的局限,便捷地开展定制的网络学习,使学历教育与非学历教育更加灵活有效.自从网络教育工作开展以来,在管理机制、教学模式、人才培养模式和资源建设等方面取得了卓有成效的进展,网络教育已成为我国高等教育的重要组成部分。通过远程网络教育在一定程度上也能改善教育资源不均衡的状况,使得更多的学习者受益。本文针对高校网络教育中运用云计算技术进行网络学习做了一定的分析。
2、云计算概述
云计算已经成为IT界热门的技术关键词,它是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物,是一种为了适应用户组织行为新需求、基于互联网技术的一种网络信息资源的新型组织构架模式和提供信息服务的新形式。通过不断提高云端的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受云端的强大计算处理能力。将计算能力作为一种商品通过互联网进行流通,当用户有需求时,就像购买水电,按需支取。[1][2]利用云计算技术,高校可以提供经济灵活的、定制可扩展的租用式教育服务,有利于提高高校信息化资源的利用率。利用云计算技术,高校可以为远程教育机构以及终端学生提供多种形式的、全天候的、高质量的服务。[3]
3、网络教育采用云计算技术的应用分析
3.1平台结构
从结构上分为两个部分:一部分是云端,它是云服务的核心。对于用户端来说,数据存储在云端,由云端向用户端提供所有服务及数据交换;数据管理在云端,由云端的技术管理团队来管理用户端提交的数据和程序;数据安全保护在云端,由云端的权限策略审核用户与其指定人员的共享数据。
云端由云服务创建者和云服务提供者组成。云服务创建者,主要包括开发人员及其所用的所有开发工具等,云服务提供者将编程接口和编程模式提供给云服务创建者,云服务创建者的开发人员开发出程序应用交付给云服务提供者。云服务提供者提供基础设施和各种物理资源池,如服务器、存储设备、网络设备等;提供云管理平台,它是用来搭建在基础设施上提供计算能力的框架,如接口、数据中心、分布式文件系统等;提供各种云服务模式,如基础设施即服务(SaaS)、平台即服务(PaaS)和软件即服务(IaaS)三种。
另一个部分是用户端,它由云服务消费者组成,只要利用云服务提供者给出的访问接口付费和使用所需的各种服务.它可以是所有能接入互联网络的终端设备,如计算机、手机、平板电脑等。[4][5](图1)
3.2应用分析
3.2.1教育观念的转变
云时代的到来,科技改变教学环境和教学方法。对于教师,从讲台到网络教育平台,教师需要对教学资源进行填充,给网络资源进行归类和划定标准、制定相应的访问规则等。
3.2.2教育资源的共建、共享
云可以充分利用网络中的空闲空间,满足所有终端用户的多种计算能力的请求,具有超大规模的数据存储能力,满足全体用户最大限度整合教育资源。教师和学生们在遵循一定规则的前提下,新增教学资源和对已有资源进行补充和修改,不断完善教学资源库,实现资源最大化分享,在一定程度上改善教育资源不均衡的状况,使得更多的学习者受益。
3.2.3选择性备份数据
“云”有着多副本数据容错、同构计算节点可互换等特性,云用户的数据和应用程序都在云端,云端是高性能的计算机集群,由专业技术很强的国际企业提供,虽可提供可靠、安全的数据存储中心,但对于重要数据仍需防范于未然,云用户可以有选择性的进行离线备份。
4、结语
促进高等教育网络化,提供高质量、不间断的教育服务是云计算技术在网络教育领域的变迁,是未来网络教育的框架,网络教育在云技术的发展和社会经济文化的进步的支撑下,在构建终身教育体系方面将发挥越来越重要的作用,必将成为创建学习型社会的重要手段。
参考文献
[1]江务学,张璟,王志明.云计算及其架构模式[J].辽宁工程技术大学学报(自然科学版),2011.8:575-579.
[2]张应福,黄鹏,陈超.云计算技术及其在下一代数据中心建设中的应用[J].运营一线,2011.01:39-42.
[3]商存慧,聂艳明.云计算在高校教育信息化中的应用研究[J].中国教育信息化,2011.07:4-7.
【关键词】云计算;虚拟化技术;并行计算;SaaS服务
1概述
随着科学技术和通信技术水平的不断提高,网络信息以及网络服务正以指数级着呢国家,用户的需求对于网络需求也在不断增高,传统的计算机用户将所有的应用安装在本地的模式已经不能满足当前的需求,尤其是面对当前分布异构、处理复杂的网络应用来说,更是有点捉襟见肘,“云计算”技术已经成为一种全新的模式,将巨大的系统资源整合在“云端”,通过互联网通信技术为终端用户提供各种IT服务,从而减轻终端设备的运行压力,提升IT服务的效率和质量。“云计算”技术方兴未艾,由最初的理论研究到现在的实际应用,“云计算”发展的步伐越来越快,并将为全球的IT产业掀起一场声势浩大的改革浪潮。所以深入学习和研究“云计算”技术的基本理论和技术,对于提升“云计算”技术的理解,加强“云计算”在学习和研究中的应用具有非常重要的现实意义。
2云计算
由于云计算还在如火如荼地发展过程中,目前为止还没有统一的定义,简单地理解,云计算(CloudComputing)是基于互联网相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常虚拟化的资源。根据伯克利云计算白皮书所说,云计算包括互联网上的各种服务形式的应用以及数据中心中提供的服务的软硬件设施。所以,云计算技术可以提供以服务为基本的交付方式,该交付服务具有高度的可扩展性,同时,云计算技术是以互联网技术为基础来进行开发和服务交付的,可以实现资源虚拟化、资源的自动管理与配置以及以及较低的成本对指数数量级别的数据进行分布式并行处理。
2.1云计算的工作原理
云计算技术的实现是依赖于互联网通信技术,在典型的云计算框架中,用户通过网络终端连入互联网络,通过互联网向“云端”服务器发送相应请求,“云端”服务器接收并分析用户请求后,会自动调用可用的系统资源来完成相应的数据处理和计算,并通过互联网络将用户的请求结果发送至网络终端,从而实现云计算的数据处理过程。云计算技术使得本在网络终端上进行数据计算和处理的功能转移到了网络服务器中,所需要的应用程序不再需要运行在用户的个人电脑、手机上,而是转移到了互联网上的服务器集群上,同时,对于数据的存储也会放到相应的服务器内,这样一样极大地简化了网络终端的资源开销,减轻了个人网络终端的设备管理和维护,用户只要能够接入互联网,即可随时随地地访问“云”,完成个人的需求。
2.2云计算的关键技术
云计算是以虚拟化技术、分布式存储技术、互联网技术等现代科技为基础发展起来,从云计算的基本概念上来看,需要实现分布式的计算功能以及数据存储功能,这也是云计算最关键的技术。云计算根据功能不同不同,又分为计算云和存储云。其中存储云是通过大量的分布式存储系统来完成存储云的基本功能,而计算云就是以资源虚拟化技术,通过分布式计算云的并行计算完成用户请求数据的处理。简单地讲,虚拟化技术是请求占用计算云更少的资源来完成用户请求,通过一定的计算策略,力求将数据处理的过程在更少的服务器上实现并行计算,从而使计算云的资源分配更加合理优化。并行计算技术也是云计算的关键技术,通过对大量的任务进行合理分析拆分,并派发到各个分布式计算云的服务器上进行计算,最后收集各个节点上的计算结果进行统一整理从而完成并行计算。
3云计算的应用
云计算技术的快速发展,已经在各个行业中得到广泛应用,也改变了传统的互联网商业模式,为互联网经济带来了新的生机。云计算所提供的软件或者IT服务都是通过互联网技术进行传输的,所以互联网用户不需要安装任何客户端软件,只通过可通过浏览器来访问云端提供的服务。云计算在实际商业中提供的服务模式有主要分为三类,即软件即服务(SoftwareasaService)、平台即服务(PlatformasaService)以及基础设备即服务(InfrastructureasaService)。如图1所示,为云计算提供的服务类型示意图。
图1云计算的服务类型结构图
如图1所示,为整个云计算的服务类型结构图,网络设备、虚拟化平台,IaaS服务,PaaS服务,SaaS服务构成了整个云计算的平台,而客户只需通过互联网络即可享受云计算提供的服务。
其中IaaS服务是云计算提供的虚拟硬件服务,用户通过租赁云计算提供的虚拟硬件资源即可搭建自己的应用系统,从而节省了硬件设备的开支;PaaS服务是云计算提供的应用服务引擎,将开发的平台作为一种服务提供给客户,从而用户不必考虑底层设备与系统的兼容等问题即可在平台上搭建自己的管理系统或者通过扩展接口来完成自己的服务;SaaS服务是云计算将软件功能作为一种服务提供给客户,客户只需获得授权认证即可通过浏览器来访问云端计算机上的软件,从而避免了软件维护的成本开销,极大地方面了客户在相应功能上的应用。
4总结
云计算以其互联网为基础,虚拟化技术、并行计算技术以及分布式存储等关键技术为主导,结合大量的网络设备以及服务器集群构成云计算体系,并以基础设备、扩展接口或应用平台、应用软件作为服务,提供给客户,客户只需通过浏览器访问互联网即可享受云计算提供的服务,极大地降低了网络终端负载,简化了客户的成本开支和系统维护的过程,为客户提供方便快捷经济的IT服务。
参考文献:
[1]幸海琼.云计算关键技术及应用研究[J].广东技术师范学院学报,2013(05)
[2]张建勋,古志民,郑超.云计算研究进展综述[J].计算机应用研究,2010(02)
[3]曹彩凤.浅谈计算机网络云计算技术[J].甘肃广播电视大学学报,2010(03)
【关键词】基层单位;网络;信息技术;局域网
基层单位作为我国社会发展的重要部门,在社会的发展中起着重要的纽带作用。在网络信息技术不断发展的今天,基础单位信息技术的应用已经成为了推动传统农业升级、优化资源配置和提高劳动生产率、转变农业生产方式和培养新时代农民的一种新途径。
一、近年来,大部分单位的计算机还是报表处理、单机作业为主
日常通信也是简单地文件传送,显然越来越不能满足业务发展和现代化管理的需要,Internet及其相关技术的出现和高速发展,为企业提供了利用网络进行信息交流和管理的极好机遇。可以说,Internet/Intranet的发展为国内企业走向世界提供了一个千载难逢的机会。因此,企业单位迫切需要建立基于Intranet的企业信息系统,在提高企业管理效率、降低成本,为实现企业在21世纪成为市场的赢家,在信息化方面奠定了坚实的基础。企业Intranet内部网系统是一个集计算机技术、网络通讯技术、数据库管理技术为一体的大型网络系统。它以管理信息为主体,连接生产、经营、维护、运营子系统,是一个面向企业日常业务、立足生产、面向社会服务,辅助领导决策的计算机信息网络系统。
企业Intranet内部网系统是一个集计算机技术、网络通讯技术、数据库管理技术为一体的大型网络系统。它以管理信息为主体,连接生产、经营、维护、运营子系统,是一个面向企业日常业务、立足生产、面向社会服务,辅助领导决策的计算机信息网络系统。针对企业当前的信息技术应用情况,计算机网络建设的策略应以应用促发展的网络发展思路,不是马上投入建立一个大规模的全面的信息系统,而是以实际应用带动网络系统的发展,反过来再促进应用的发展,形成良性循环。
二、单位内部网络的总体规划
局域网的基本设计通常可以分为5个步骤:确定用户需求,设计局域网类型、分布构架、带宽和主干设备类型,确定局域网的带宽和网络设备类型,进行局域网布线方案设计,设计局域网服务设施。
1.确定用户需求
确定用户需求,首先应该了解下列基本问题:局域网建设机构的工作性质、业务范围和服务对象。局域网建设机构的目前的用户数量,目前准备入网的节点计算机数量,预计将来的发展会达到的规模。规划建设局域网的最终分布范围。局域网建设机构是否有建立专门部门进行信息业务处理的需求。局域网建设机构对网络安全有哪些需求等。
2.设计局域网类型、分布构架、带宽和主干设备类型
首先确定适合的局域网类型和分布构架。目前在局域网建设中,由于以太网性能优良、价格低廉、升级和维护方便,通常都将它作为首选。是选择百兆位以太网还是千兆位以太网要根据用户的需求和条件决定。如果网络建设机构存在布线方面的困难,也可以选择无线局域网。企业干线网络的设想,主干网大多采用采用快速以太网,快速以太网是一个全面支持网络管理和多媒体通讯的全动态交换式网络。主干网应选用企业级交换机,如Catalyst5000,3Com、Intel、Bay公司的高档交换机系列。整个主干网以企业的计算机中心应以机房为中心节点,向外辐射。通过各部门、单位等几个节点构成主干网。中心节点机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心节点交换机上还配置第三层交换模块和网络监控模块。主干各节点及服务器采用100M连接,普通工作站采用交换式10M连接。
图1所示是一个典型的内部网络结示意图。网络建设采用新型的背板堆叠技术,根据功能区划分由IntelExpress510T交换机组成2个交换机组。适当的分配堆叠数量,提供48个100M交换端口,所有工作站都通过100M网卡连接到交换机组上,使100M交换到桌面。扩容时只需增加一台IntelExpressGigabitSwith千兆位交换机,在510交换机组端增加GB2模块与IntelExpressGigabitSwitch千兆交换机相连。这时,在交换机组之间可达到1000M的带宽。而同一交换机组通过背板技术相连后内部可达到最高4.2Gbps的带宽。中心计算机房的Web服务器、E-mail服务器、文件服务器、notes服务器等设备直接与100M交换机上的100M以太网模块连接。然后确定局域网的网络分布架构,这与入网计算机的节点数量和网络分布情况直接相关。建议设计系统的结构,推荐采用客户机/服务器模式。
建设的局域网是由空间上集中的几十台计算机构成的小型局域网,设计就相对简单许多,在逻辑上不用考虑分层,在物理上使用一组或一台交换机连接所有的入网节点即可。
接着确定局域网的带宽。一般而言,百兆位以太网足能够满足网络数据流量不是很大的中小型局域网的需要。如果入网节点计算机的数量在百台以上且传输的信息量很大,或者准备在局域网上运行实时多媒体业务,建议选择千兆位以太网。
最后选择网络主干设备的类型。建议网络主干设备或核心层设备选择具备第3层交换功能的高性能主干交换机。如果要求局域网主干具备高可靠性和可用性,还应该考虑核心交换机的冗余与热备份方案设计。
作为网络系统,必须是一个支持多种协议和接口的开放式网络,能够与现有的和未来的网络系统互连与集成,能与国家公用网络和国际网络互连,因此该网络系统要有良好的开放性和互连能力。由于每个单位都有自己的关键数据,因此网络的设计必需考虑防止内部,主要是外部非法访问的措施。如果局域网系统使用多种网络设备,就要求网络设备具有很好的可管理性,以便于管理和维护。利用先进的网络管理软件,使得可以通过网管工作站监测整个网络的运行状况,合理分配网络资源、动态配置网络负载、迅速确定网络故障位置。
3.进行局域网布线方案设计
局域网布线设计的依据是网络的分布架构。网络布线必须有较长远的考虑。对于大型局域网,连接各个建筑物的网络通常选择光纤,统一规划,冗余设计,使用线缆保护管道并且埋入地下。建筑物内又分为连接各个楼层的垂直布线子系统和连接同一楼层各个房间入网计算机的水平布线子系统。如果设有信息中心网络机房,还应该考虑机房的特殊布线需求。在局域网布线时,应该充分考虑到将来网络扩展可能需要的最大接入节点数量、接入位置的分布和用户使用的方便性。若整座建筑物接入局域网的节点计算机不多,可以采用从一个接入层节点直接连接所有入网节点的设计。
4.确定局域网操作系统和服务器
网络操作系统的选择与局域网的规模、所采用的应用软件、网络技术人员与管理的水平、网络建设机构的投入等多种因素有关。目前网络操作系统是应用较广的有微软公司的WindowsNT/2000/2003系统、UNIX系统、Linux系统,以及Novell公司的NetWare系统等。
各种服务器既是局域网的控制管理中心,也是提供各种应用和信息服务的数据服务中心。服务器的类型和档次,应该同局域网的规模、应用目的、数据流量和可靠性要求相匹配。如果是服务于几十台计算机的小型局域网,数据流量不大,工作组级的服务器基本上就可以满足要求。对于一个需要与外部世界通过计算机网络进行通信并且有联网业务需求的机构来说,选择功能与档次合适的服务器用于电子邮件服务、网站服务、Internet访问服务及数据库服务非常重要。根据业务需要,可用一台物理服务器提供多种软件服务器,也可能需要多台服务器共同完成一种软件服务。
5.设计局域网服务设施
一个局域网建成后能够正常运行,还需要相应服务设施支持。若需要保障小型局域网服务器的安全运行,至少需要配备不间断电源设备。对于中、大型局域网,通常需要专门设计安置网络主干设备和服务器的信息中心机房或网络中心机房。机房本身的功能设计、供电照明设计、空调通风设计、网络布线设计和消防安全设计都必须考虑周全。
三、总结
本文所论述的基层单位局域网建设的指导思想可以简单概括为“简单起步,迅速发展。例如,单位实施系统后,很快就会发现实施以协同工作、工作流自动化为特点的群件应用的必要性,而随着群件应用的进一步深入运用,必然要求与单位的数据系统如大型关系数据库或管理信息系统等发生联系。又如,企业建立了对外信息的Web站点,很快就会发现建立更强大的、能够支持企业与客户/合作伙伴的直接联系的需要,最终必然导致电子贸易的需要,此时企业外部的用户在安全性控制之下,直接访问和利用企业内部的信息资源和各种业务应用,从而使企业Intranet系统与Internet相融合,构成Extranet;因此成为促进单位办公自动化,行政效率大幅提升的重要手段。
参考文献
关键词:计算机网络服务器;入侵;防御技术;
计算机网络服务器作为计算机信息输入输出的中枢,一旦遭受入侵,会导致计算机信息数据被破坏或窃取,给计算机用户带来巨大损失[1]。在计算机网络渗入到各行业生产生活的背景下,需要着重梳理计算机网络服务器遭入侵的途径,然后据此采用先进的防御技术加以预防化解。
1、计算机网络服务器概述
计算机网络服务器,即SERVER,主要指的是在网络环境下运行相关软件,向计算机用户提供信息资源服务的高性能计算机。当前,计算机网络服务器面临较为激烈的市场竞争,国外主要有DELL、HP、IBM、SUN等厂商,我国则有浪潮、联想、曙光等头部厂商。从分类上看,基于PC体系结构的IA架构服务器,主要采用Intel或相兼容的处理器芯片,显着特点优势是“稳、巧、小”,性能可靠而成本较低;RISC架构服务器与普通CPU相比,结构完全不同,主要适用于集团企业,具备高性能数据处理服务功能。
计算机网络服务器本质上属计算机范畴,与日常所用PC电脑存在架构上的相似处,如总线、CPU、内存、硬盘等,同时可满足网络、数据库、Web应用等共享服务需求[2]。计算机网络服务器在运算能力上更加可靠高效,具备极强的数据吞吐功能,可视为网络信息架构的核心及中枢。基于计算机网络服务器的重要性,为保证计算机用户能够在多任务运行环境下实现数据的可靠存储及应用,应重点关注可能入侵计算机网络服务器的不安全因素,借助入侵防御技术,配合冗余技术、故障预报警技术、热插拔技术、系统备份技术、内存纠错技术、在线诊断技术及远程诊断技术等,封堵计算机网络服务器安全隐患漏洞,提高计算机网络服务器的稳定性及可管理性。
2、计算机网络服务器的入侵路径
计算机网络服务器在带来多重功能的同时,由于自身的开放性特征,也为计算机网络服务器入侵留下了隐患。近些年来,随着计算机信息技术的发展,计算机入侵手段也趋于多样,计算机病毒、木马及黑客入侵等事件层出不穷。具体而言,针对计算机网络服务器的入侵路径主要有如下几种:
2.1、计算机口令入侵
在计算机信息安全防护上,计算机用户主要采用设置登录口令的方式,例如,计算机账户登录、计算机信息数据储存、计算机数据调用等,相应地,通过计算机口令通道入侵计算机网络服务器也就有了可乘之机。该入侵方式主要有以下两种:第一,对口令进行强行破解。入侵者使用列举法及字典法对口令进行尝试破解,然后借助计算机数据处理能力达到口令破解的目的,窃取及破坏计算机系统数据[3]。第二,实施网络监听。该手段主要是入侵者在相关网络设备支持下,对计算机用户的数据信息进行截取,获取计算机用户的口令等。一般而言,如计算机用户在数据信息传输中未进行加密保护,遭受监听及窃取的概率大增。
2.2、计算机病毒木马入侵
计算机木马主要以计算机程序的形式展现,少数情况下伪装在游戏软件中,实则能够极大损害计算机数据安全性。病毒木马以程序的方式在目标计算机中驻留,当计算机启动后,木马软件可以连接并对计算机操作行为进行侦听,识别到计算机接收数据后,对相应数据模块进行窃取或破坏。计算机木马程序能够实现工作程序环节的隐身,例如以系统服务器来作为伪装,当计算机用户启动服务器端或进行网页浏览时,木马程序被同时加载使用,由木马下载的信息传输给计算机黑客,黑客能够对计算机数据进行随意篡改或破坏。注册表、system.ini、win.ini.等路径通常作为木马程序的隐藏地。
2.3、计算机网页欺骗
计算机网页欺骗也成为Web欺骗,主要通过两种技术手段实现,一是URL地址重写,二是相关信息掩盖技术。例如,分布式honeypot、欺骗空间技术等。IP欺骗、DNS欺骗、ARP欺骗、电子邮件欺骗、源路由欺骗、地址欺骗等都是其表现形式。例如,计算机用户经常浏览访问的网页站点,如购物网站,在线游戏网站及新闻类网站等,由于用户登录频率高,对网页的安全性有所忽视,此时入侵者通过篡改网页,在网页中增加恶意链接,计算机用户通常不易察觉,从而造成用户计算机信息数据的丢失。
3、计算机网络服务器的入侵防御技术途径
计算机网络服务器作为网络架构的中枢,在运行环境上要确保稳定安全,在对入侵网络服务器的路径加以明确后,应通过防御机制构建及防御技术应用相结合的方式,降低计算机网络服务器的安全隐患发生风险。具体而言,把握如下几方面:
3.1、构建计算机网络服务器安全管理体系
计算机网络服务器作为网络核心部件,其需要与计算机设备元件共同进行保护而不是采用隔离保护的方式。为此,应针对网络服务器及计算机其他设备构建统一的安全管理体系。作为计算机用户而言,应提高计算机操作安全意识,在此基础上,通过安全管理措施及安全技术措施建构计算机网络服务器运行环境保障机制[4]。一是对计算机网络服务器及计算机设备制定网络行为规章制度,指导计算机用户的操作行为。例如,明确计算机网络服务器安全管理范围及等级,对机房出入进行严格管理,针对计算机网络系统设置维护及应急方案等。二是侧重采用有效的技术手段,如防火墙、杀毒软件等,对计算机网络服务器运行环境进行查杀。
3.2、采用防火墙技术防御黑客入侵
在计算机网络服务器的入侵因素上,网络黑客出现的频率较高,针对黑客入侵,可采用防火墙技术进行专门防御。防火墙技术通过技术手段可将黑客入侵行为进行识别及隔离,保护计算机服务器的数据信息。在具体防御原理上,根据程序预先设定安全策略,然后控制计算机来访的数据包及信息,以此防御外网对内网的入侵。防火墙技术并非物理层面的隔离部件,本质上属于逻辑隔离部件。在具体组成形式上由硬件、软件或软硬结合等。在功能上,主要能够实现控制访问、控制内容、安全日志、集中管理,所运用的技术有状态检测技术、包过滤技术、服务技术等。防火墙防御技术在技术成熟度上越来越高,在具体选用防火墙技术时应结合网络服务器的性能规格。在进行网页浏览时应先由防火墙进行过滤,使用ADSL、宽带或光纤连接网络时遭受黑客入侵的概率较高,如不需要传输数据,可对网络连接进行断线操作,切断黑客监视及侦听数据传输的通道。需要注意的是,防火墙有安全策略,但基于通信内容控制力度不强,在病毒木马及恶意代码的防护上能力相对较弱,为此,对防火墙技术应进行实时升级,以便其发挥病毒木马识别查杀功能。为了有效保护计算机网络服务器及计算机内网,应确保防火墙IP地址处于对外保密状态,隐藏计算机用户端IP地址[5]。
3.3、加强计算机网络服务器的访问控制管理
计算机网络服务器入侵防御中,针对访问控制进行安全性管理是重要途径之一。把握如下几点:第一,验证计算机用户的身份,特别是在访问计算机网络服务器数据时,要重点检查计算机用户名的合法性。第二,对计算机用户的访问密码进行加密,出现高频次访问操作时应对相应用户进行复核。例如,识别及验证用户名、用户口令、用户账号默认检查等。第三,设置必要的计算机网络服务器访问权限,缩小访问控制操作人员范围,如发现违规操作及不明入侵,对用户登录的权限进行限制。为了进一步控制访问操作,还可使用一次性用户口令,或者使用智能卡等便携式验证器对用户身份进行验证。如用户在特定时间内输入多次假口令,则锁定账户,由管理员对相应账户进行查看及解锁。第四,划分用户权限分类,如系统管理员、具有分配操作权限的一般用户、实施网络安全控制的审计用户等。
3.4、计算机网络服务器安全扫描技术的应用
在计算机网络服务器的入侵上,入侵者还可以通过扫描木马软件获取服务器的安全漏洞,然后实施数据信息的窃取及破坏。为此,可以通过安全扫描技术,不定时对计算机网络服务器及重要的设备元件进行安全扫描检测,先期发展安全隐患,封堵入侵漏洞。具体应用上,可以采用主动安全扫描搭配被动安全扫描的方式,通过对入侵行为特点及方式加以模拟熟悉,找出漏洞并修复。与此同时,通过被动安全扫描,对网络服务器设置、脆弱性口令、安全规则等进行检查核验,及时发现系统薄弱环节。此外,通过安全扫描技术辅助,计算机用户应对操作系统及程序等进行实时更新,将软件及系统漏洞第一时间修补。如经过安全扫描技术发现计算机网络服务器在文件中隐藏有木马,则应检查计算机用户是否设置文件共享,设置高强度的密码或非必要不开启文件共享功能。针对计算机网络服务器遭受入侵可能产生的数据丢失问题,计算机用户应定期做好数据的备份管理,通过设置加密锁及复杂密码等方式,保护计算机备份文件。例如,与FAT格式下存储的磁盘数据相比NTFS格式要更容易被破坏,在磁盘分区设定上应以NTFS格式为主,在数据备份上也尽量在NTFS磁盘分区中保存。
4、结语
计算机在各行业中应用极为普遍,在带来便捷性的同时也存在较大的安全隐患。为了抵御计算机网络服务器入侵,保护行业安全,应结合网络服务器的构成及运行特点,采用先进的入侵防御技术手段,做好防御技术的更新,以确保计算机网络服务器能够处于安全稳定的运行状态,防护计算机用户的信息数据。
参考文献
[1]张昊计算机网络服务器的入侵和防御技术探讨[J]信息记录材料,2022(7):201-203.
[2]郑伟.论计算机网络服务器防御入侵性能的优化策略[J]网络安全技术与应用,2016(12)-37-38.
[3]顾勤丰.计算机网络服务器的配置与管理[J].信息记录材料,2022(7):160-161.
[4]吴海娇浅析计算机网络服务器日常安全与维护[J].环球市场,201911):360.
[5]钱宇明,徐捷计算机网络安全服务器的网络架构研究[J]数码世界,2022(12):.253-254.参考文献
[1]张昊计算机网络服务器的入侵和防御技术探讨[J]信息记录材料,2022(7):201-203.
[2]郑伟.论计算机网络服务器防御入侵性能的优化策略[J]网络安全技术与应用,2016(12)-37-38.
[3]顾勤丰.计算机网络服务器的配置与管理[J].信息记录材料,2022(7):160-161.
关键词:计算机网络;云计算;技术;分类;应用
在计算机信息技术普及的过程中,为个人生活与企业的发展做出了重要的贡献。但是在信息资源日益壮大的今天,仅仅依靠原有的计算机技术已经不能够有效的运作,需要通过技术的革新,为大数据运算提供基础,要改变以往的计算机使用方式,将传输信息、信息向应用信息转变,借助计算机的网络使用优势,提高计算机的使用性能,实现单个计算机解决现实问题的局面。
一、计算机网络云计算简述
1、计算机网络云技术的发展背景
计算机网络云技术的出现及云技术的迅猛发展,使得Web2.0相关技术及相关理论得以不断成熟、不断应用,计算机网络云技术已经逐渐的从商用的实验性网站发展为普遍应用的校园网和其它诸多应用方面,在很大程度上带动了网络商业模式的变化。在计算机网络云计算的技术发展中,主要是传统计算机技术与现阶段的使用困境促使的。在传统的计算机技术应用中主要有以下一种弊病:一是地层计算机基础设施的建设与费用问题。为了满足居民用户和企业的信息资源的使用需求,需要通过基础设备支持信息的搜集与运算,而往往设备的建设体积较大,成本较高,并需要短期内就施工完成,这就给企业带来了资金周转困难的问题。并且在居民的使用中,及时使用的用户较少,对信息资源的应用有限,但是在地层基础建设中还需要大型基础硬件的使用,投入的成本和使用的现状不成比例,也间接了提高了使用的成本。二是传统的计算机技术没有伸缩使用性能,针对不同的业务量不能够进行实施的运算调整,在少数的使用用户中仍旧进行大规模的信息服务,提高了服务成本,没有有效的提高资源的利用效率。三是没有开发新资源的时间。在传统的计算机使用中,需要进行长期的管理维护才能够保证计算机的正常使用,基于地层设备的大规模性,就耗损了大量的人力资员在维护管理上,没有过多的时间与能力开发新资源和新业务,制约了计算机技术的进步。
2、计算机网络云计算内容
云计算具体指的是通过计算机网络加以的一种服务形式,其中全部涉及到的硬件系统和软件系统的统称。有关云计算的概念具体包括的是超级计算机、网络计算以及集成技术等所存在的互相联系而又互相区分的基本概念。云计算的基本原理是,借助于数据在分布式计算机上大量分布,保证用户数据中心的运行能够类似与互联网,进而将资源切换至需要的应用中,并且按照需求访问存储系统和计算机系统。计算机网络云计算以其自身服务形式提供所需的计算机网络资源给用户,由于该平台能够得到比以往集群系统更加大的规模以及更加广泛的优势,因此,应用计算机网络计算的平台有着较强的灵活性,而且有着明显的技术优越性。
二、计算机网络云计算的种类与应用
在计算机网络云计算的应用中主要有两种形式,一是私有云,二是公有云。私有云主要是针对个人使用的,相反的公有云是针对企业或商业组织使用的。私有云和公有云在服务的连续性、安全性和成本费用等方面具有较大的差异,用户在进行云计算的应用中,要正对实际的使用情况进行分析,并结合两种云计算的特性,选在一种或是两种兼有的服务系统,但是这种两者兼有性知识针对企业中不同的使用环境建立的,在个人用户中无法实现两种云计算的共用。1、服务的延续性。私有云计算比公有云计算相比具有更好的连续服务使用性能,这主要是由于私有云计算中连接的服务器和网络环境较少,减少了网络故障发生的频率,并且具有较少的用户使用环境,避免了外界环境过多的干扰。2、安全性。计算机安全性是使用性能中的重点应用问题,而公有云是安全性能较高的网络服务系统,这主要是由于公有云的使用用户大部分都为企业,在信息监控和防火墙等技术的应用中加强了服务支持,保证了用网环境中数据信息的安全使用性,并避免了共享平台中信息的泄漏。3、使用成本。在计算机云计算使用成本的比较中是相对而言的,并且要根据使用信息资源的高低来决定,若是信息资源的使用量较大,并要求使用的质量较高,那么就要通过私有云计算来提供服务。反之,则采用公有云的使用。4、监控能力。为了保证企业和商业组织在使用计算机中的安全性,在云计算技术中采用了监控能力的使用,针对庞大的公有云企业用户,其监控能力进行了优化提高,促进了金融等行业的安全性使用。
三、计算机网络云计算的关键技术及其优势
构建云技术过程的首个步骤就是服务器架构的建立,其对云计算中的IAAS部分加以充当。就当前来说,尚且没有将针对云计算服务器架构的专门、统一的标准制定出来,其实现离不开相关技术的支持,比如计算区域网SAN和附网NAS等,这些服务器架构技术均是较为常见的。在NAS文件的系统集群当中,各个节点均是互相影响及互补的,其中最小的单位就是文件,在集群中保存文件,那么便能够计算出文件中的数据,避免了在诸多节点上计算的冗余性。SAN是紧密结合型的集群,当保存文件于集群中后,能够分解成若干个数据块。与集群中的节点相比,各个数据块间能够相互进行访问。当客户将访问请求发出后,节点借助于访问文件的不同数据块,进而对客户请求做出处理。在SAN系统中,可用节点的数量的增减响应请求,并且提升节点自身的性能。
四、结语
计算机云计算技术的应用不仅解决了服务质量问题,还通过对底层技术设备的改进,节约了服务的成本,实现了资源的高效利用。通过对计算机软件和硬件技术的开发,改善了传统计算机中的应用缺点,实现了通过大量数据信息的应用,建立信息共享平台,为今后的计算机信息技术的进一步革新奠定的运算基础。计算机信息技术是当今适用性最广、应用效果最佳的科学技术之一,云计算必然会带来更快速的科技进步。
参考文献:
[1]孙宁.计算机网络云计算技术的研究[J].电子制作,2015(04).
论文摘要:如何有效的收集网络应用服务的基本信息,是服务审计系统的一个难点.采用接人控制的方式,在每台服务器上强制安装信息采集控件,用于对各种网络应用服务信息进行采集并上报给审计服务器进行审计,用户接入网络前必须经过应用服务的审计,从而对众多的应用服务进行有效的管理.
随着Internet的发展,各种各样的网络应用服务也层出不穷,传统的如DNS、Email、Web和FTP等,时髦的如P2P、网络证书、网络电话和软件仓库等.面对如此众多的网络服务,怎样进行有效、规范的管理?怎么确保网络应用服务的健康、有序的发展?这就是摆在各个网络信息管理员面前迫切的问题.网络信息服务审计系统可以解决这个难题,同时也是网络安全研究的一个热点.
本文结合高校的特色和网络应用的实际情况,对网络应用服务管理进行了研究,提出了采用接人控制的网络应用服务审计系统的解决方案,通过实践证明,该系统对高校的应用服务系统是一种切实有效的管理方式.
1网络服务审计
1.1什么是网络服务审计
“审计”的英文单词为“Audit",可解释为“查账”,兼有“旁听”的涵义.由此可见,早期的审计就是审查会计账目,与会计账目密切相关.审计发展至今,早已超越了查账的范畴,涉及到对各项工作的经济性、效率性、合法性和效果性的查核,其基本目是确定被审查对象与所建立的标准之间的一致或不一致的地方.
网络服务审计是指对网络服务提供者所提供的服务是否遵守有关的法律和规章制度、是否登记备案、其服务内容是否超越所登记备案的范围、其是否已有效地达到了预期的结果等进行的检查与核查行为.
1.2网络服务审计的必要性
传统的网络服务审计可能非常耗费时间,通过对计算机逐个进行端口扫描、漏洞扫描或者镜像监听,获得所需要的信息后进行审计和核查.但如果计算机更改服务提供的端口号、用户防火墙屏蔽了端口扫描或者采用动态端口提供服务,那么就无法及时获得这些必要的信息了.
对网络信息管理员而言,如何有效的控制网络中的信息服务、如何掌握信息服务提供者所提供的服务类型是否超越所登记备案的范围、如何及时掌握统计和分析网络中信息流的动态情况等都是一个很繁琐和复杂的事情.
通过对网络应用服务的审计,能够及时获取服务提供者所提供的网络应用服务,能够及时掌握用户对信息服务的访问行为,能够及时发现有无违规的信息与访问,能够及时发现涉密信息的泄露和敏感信息的访问等.
2网络应用服务审计系统架构
结合高校的特色和网络应用的实际情况,采用接人控制的网络应用服务审计系统由三部分组成:
2.1IEEE802.1x网络访问控制
IEEE802.Ix协议是基于端口的访问控制协议(portbasednetworkaccesscontrolprotocol),主要解决以太网认证和访问控制方面的问题.目前很多高校校园网都采用802.ix用于对用户接入校园网的行为进行控制.
在802.1x初始状态下,以太网交换机上的所有端口处于关闭状态,只有802.1x数据包才能通过,或者只能访问GuestVLAN内的特定网络资源(如网络应用服务审计服务器),而另外的网络数据流都被禁止.当用户进行802.lx认证时,以太网交换机将用户名和密码传送到后台的认证服务器上进行验证.如果用户名和密码通过了验证,则相应的以太网端口打开,允许用户对网络的访问,并部署AAA服务器下发的访问控制策略.
802.1x主要是解决网络接人的问题,未通过认证的用户将无法使用网络,这样可以确保接入用户的合法性.同时,当用户认证通过后,由服务审计服务器判定该用户是否安装Java数据采集控件,配合AAA服务器决定用户是否能够访问网络.
2.2Java数据采集控件
数据采集控件的实现有两种方式:一是集成到802.lx客户端中,二是单独的控件.Java由于其跨平台、跨操作系统的特性而成为首选.这样不管用户使用的是什么操作系统、使用什么软件提供服务,都能很方便的进行数据采集.
Java数据采集控件主要完成数据采集的工作,当用户第一次连接网络时,强制安装该控件.如果用户重新安装操作系统,当用户再次连接网络时,也将被强制安装该控件.
未安装数据采集控件的计算机,即使通过802.1x认证,也将只能访问服务审计服务器,而不能访问其他的网络资源.
数据采集控件负责采集计算机操作系统类型及版本、开放的端口、提供的服务和流量等信息,并上报给服务审计系统.
2.3服务审计服务器
服务审计服务器是整个系统的核心,主要有三个功能:一是和AAA服务器配合,确保所有接人网络的计算机合法性,并已安装数据采集控件.二是和Java数据采集控件通信,将数据采集控件报送的信息存储到数据库中.三是实现信息服务备案、查询管理、审计分析、实时审计和统计报表等功能.其中审计分析采用MPMF(multi-prioritymemoryfeedback)流水线处理算法}3J,其处理能力可以承载高速网络的审计处理.
2.4后台数据库服务器
数据库服务器可以采用市面上主流的大型数据库管理系统,如()racle,SQLServer,Sybase等,服务审计服务器通过ODBC/JDBC等数据访问接口来无缝地连接这些数据库系统.
同时,通过数据库复制来实现数据库的分布和同步,以使网络应用服务审计系统具备可扩展的数据处理能力,保证在网络流量日益增大的情况下系统可以可靠地运行.
3工作流程
3.1计算机接入网络
3.1.1802.lx认证
当计算机发起802.1x认证时,交换机将用户名和密码传送到后台的AAA服务器,由AAA服务器进行合法性判定.当用户未通过802.1x认证时,对网络的访问受限;当用户通过802.1x认证时,还需要由审计服务器进一步确认计算机上是否安装Java数据采集控件.
3.1.2Java数据采集控件确认
计算机通过802.1x认证后,AAA服务器通知交换机打开端口并部署相应的访问控制策略,将所有网络访问重定向到服务审计服务器.
如果计算机上已经安装Java数据采集控件,当检测到计算机网络状态已连接时,自动向服务审计服务器发出通知,告知该计算机已接入网络.服务审计服务器接到通知后,将信息记录到后台数据库服务器中,并通知AAA服务器下发新的访问控制策略,允许计算机访问其他的网络服务.
如果计算机没有安装Java数据采集控件,服务审计服务器不会收到通知,这时用户所有的访问都被重定向到服务审计服务器,而不能访问其他的网络服务川.
3.2网络应用服务审计数据采集
数据采集控件定时和服务审计服务器进行通信,将采集的信息上报服务审计服务器.服务审计服务器将这些信息记录到后台数据库服务器中,用于后续的查询、统计和审计等.
如果服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒,如果连续5次通信未成功,则视为通信中断),服务审计服务器通知AAA服务器断开该用户的网络连接.
采集的审计数据一般包括下边的三个部分:
1)主机识别:连接到网络上的活动计算机的IP地址、MAC地址、802.1x用户名、交换机管理IP地址和交换机端口等数据,这些数据可以由802.1x服务提供.
2)主机描述:连接到网络上的活动计算机的操作系统、运行的网络服务及其版本信息、计算机开放的端口等数据,这些数据由Java数据采集控件提供.
3)服务描述:连接到网络上的活动计算机的哪些网络服务处于激活状态、流量是多少等数据,这些数据由Java数据采集控件和AAA服务器联合提供.
3.3网络应用服务审计
网络应用服务审计系统负责对采集到的信息进行审计,并根据预定设置,采取相应的措施.
审计可分为三个级别:高优先级、中优先级和低优先级。
高优先级审计主要用于网络中重要服务的审计,包括两个方面:一是所允许的服务运行是否正常,二是是否有未允许的服务在运行.高敏感度审计发现网络中的重要服务出现问题时,会立即以短信方式通知管理员进行处理,从而确保重要服务的正常运行.
中优先级审计主要用于网络中非重要服务的审计,也包括上述两个方面,但发现问题时,只是以告警信息或者邮件的方式提示管理员进行处理.
低优先级审计则用于网络中的大部分用户,着重于信息的收集和保存,以备非实时审计、统计分析用.
为满足高速网络中服务审计的需要,采用了MPMF流水线处理算法.MPMF算法根据审计系统的过程模型以及各个部分的特点,合理划分各个部分的层次以及优先级顺序。
3.4计算机从网络中退出
当计算机正常从网络中退出时,数据采集插件停止工作,交换机端口恢复到关闭状态.
当计算机非正常退出时(如突然断电、计算机死机等),服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒,如果连续5次通信未成功,则视为通信中断),服务审计服务器通知AAA服务器断开该用户的网络连接,交换机端口恢复到关闭状态.
关键词:云计算;网络安全;实践教学;虚拟实训
1引言
虽然网络安全课程实训具有很强的实践性,但是网络安全实训环境构建困难。由于现实网络环境具有规模大、复杂性强等特点,导致无法在实训室里完全构建出和真实网络相同的环境。另外,教学设计中存在的网络安全漏洞会产生非常大的风险,可能对校园网造成难以估计的后果。因此,网络安全的实践教学很难在真实的环境中完成。云计算的产生为网络安全实践教学提供了新的思路,即利用虚拟仿真技术开展网络安全课程的实践教学。本文在江西信息应用职业技术学院现有的软硬件条件下,研究基于云计算的网络安全虚拟实训教学平台实现技术。
2研究意义
随着互联网的发展,网络安全问题层出不穷,网络安全技术研究成为了当前热点,网络安全人才短缺问题也亟待解决。高职院校是应用型高技能人才培养基地,实践教学尤为重要。但是,高职院校网络安全类课程的实践教学往往带有一定的破坏性,甚至威胁了校园网安全,因此网络安全课程实训一般都是在真实的物理PC机中安装虚拟机,如Virtualbox、VMware等软件。如今云计算技术日益成熟,应用越来越广泛,如果把云计算提供的各种软硬件资源虚拟化、网络存储、负载均衡等技术,运用到网络安全实践教学中,就可以改进网络安全课程实践教学方式,节约部署网络安全实训环境的时间,有效提高课程教学效果,降低软硬件投入成本。例如,将网络安全实践教学所需要的网络工具软件、各种不同的系统镜像、模拟攻击环境放到一个云平台中。基于云计算的网络安全虚拟实训教学平台建设的研究意义重大,不仅可以提高网络安全课程教学质量和教学水平,而且有利于增加课程任课教师与学生之间的互动,从而切实、有效提高学生分析问题和解决问题的能力。
3基于云计算的网络安全虚拟实训教学平台的实现技术
本系统应用OpenStack云平台设计、搭建网络安全虚拟实训教学平台。OpenStack是开放源代码的云计算管理平台,由美国国家航空航天局(NASA)和RackSpace合作研发,由Nova和Swift两个主要模块构成,覆盖了虚拟化、服务器、操作系统和网络等各个方面。网络安全虚拟实训教学平台以开源云计算项目OpenStack平台为基础,应用了OpenStack模块中多项服务。第一,OpenStacknetwork。网络管理服务,提供网络连接和管理服务。第二,OpenStacknova。计算管理服务,提供计算资源调派,实例化虚拟机。第三,OpenStackswift。对象存储服务,为Glance提供镜像服务,包括靶机镜像库和攻击机镜像库。第四,OpenStackHorizon。控制台服务,以Web的形式提供对所有节点的服务管理。本例中将其改进为网络安全虚拟实训教学平台的一个功能模块,用于Web界面部分操作。本系统主要在控制服务器和服务器节点安装Linux操作系统,服务器节点安装OpenStacknova组件和OpenStackswift组件,靶机镜像库和攻击主机镜像库安装与之相关的OpenStackGlance组件。平台利用Openstack控制服务器管理相关的服务器节点,根据镜像服务器中的镜像建立虚拟靶机和虚拟攻击机。平台首先根据OpenStacknetwork提供的虚拟网络、端口等虚拟网络服务,创建和配置相应的虚拟网络,实现系统的控制服务器、节点服务器、镜像服务器之间的通信。其次,根据实训教学需求配置和管理虚拟节点,并完成网络安全虚拟实训教学体系的搭建。
4基于云计算的网络安全虚拟实训教学平台中靶机和攻击主机的配置
由于网络安全课程的实践教学需要安排很多不同攻防实训内容,因此需要在攻击主机和靶机中安装很多工具软件。但是,有些网络安全的工具软件本身就是病毒或易被杀毒软件删除,因此需要专门配置目标靶机和攻击主机。第一,靶机配置。作为目标主机的靶机不能只安装操作系统和相关软件,还需在目标主机中设置一些安全漏洞,进而为攻击主机提供真实的网络攻击环境。靶机可安装一些存在漏洞的操作系统,如WindowsXP、Win7、WindowsServer2003和WindowsSever2008等操作系统。另外,需关闭系统自带的防火墙,并将其制作成系统镜像。这些系统镜像不要打补丁,故意留下一些漏洞,用于攻击主机攻击。制作镜像过程中可安装ASP、PHP等Web环境,用于Web攻击,并安装低版本的SQLServer和MySQL数据库,便于SQL注入攻击。此外,可以到网上下载一些免费开源的靶机镜像资源,放到平台的攻击机镜像库中。第二,攻击主机配置。攻击主机需要安装Windows和Linux镜像,不能安装任何杀毒软件,并在此基础上安装适合系统镜像的各种漏洞扫描和网络安全渗透工具,如Wireshark嗅探器、NetsparkerWeb应用安全扫描工具、Nikto2Web应用漏洞扫描工具和BurpSuiteWeb应用渗透测试集成平台等。