前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防中暑安全預(yù)案主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:消防工程;防煙技術(shù);防爆技術(shù);安全性分析
1 火災(zāi)
消防工程的主要對象就是火災(zāi),火災(zāi)指失去控制蔓延成災(zāi)的燃燒現(xiàn)象,或指超出有效范圍的燃燒,通常會造成人員和財產(chǎn)的損失。人員和和財產(chǎn)損失較輕時,有時也稱火警或未遂火災(zāi)事故。
1.1 火災(zāi)發(fā)生的條件
火災(zāi)的發(fā)生必須是可燃物,助燃物(劑:氧化劑),著火源三個基本條件同時具備,并且相互作用(即構(gòu)成燃燒系統(tǒng))。
1.2 建筑火災(zāi)的發(fā)展過程
火災(zāi)的發(fā)展大都需要經(jīng)歷以下的發(fā)展的過程,如圖1所示:
圖1 典型火災(zāi)發(fā)展過程
初起期(階段)(煙,陰燃)發(fā)展期(竄出火苗,火勢由局部到大面積)最盛期(空氣劇烈對流,風(fēng)助火勢,火勢強盛,火焰包圍可燃物,烈火熊熊)衰弱期(可燃物逐漸減少)熄滅期(可燃物不足,惰性介質(zhì),滅火作用等)。
1.3 火災(zāi)的雙重性
火災(zāi)具有雙重性,即確定性和隨機性。所謂確定性是指火災(zāi)發(fā)展的規(guī)律性:初期(孕育,發(fā)生)發(fā)展最盛 熄滅等;所謂隨機性是指火災(zāi)的不確定因素(如可燃物數(shù)量,通風(fēng)條件等),可能達(dá)不到最盛期。
1.4 火災(zāi)的危害
火災(zāi)的危害主要體現(xiàn)在以下三個方面:
(1)對人體直接造成的燒傷和燒死;
(2)造成財產(chǎn)的損失;
(3)煙氣的危害。
2 防排煙技術(shù)安全性
2.1 煙氣的組成
煙氣是一種混合物,包括燃燒產(chǎn)物如CO2、水蒸氣,以及未燃的燃?xì)狻O,多種有毒有腐蝕性的氣體,固體微小顆粒和液滴,卷入的空氣等。
2.2 煙氣的危害
煙氣的危害性主要體現(xiàn)在以下幾個方面:
(1)毒性:①窒息 如CO2等氣體,②中毒,主要是CO,多數(shù)的中毒死亡都是由它引起的。
(2)煙氣的高溫能使人灼傷,造成呼吸困難。
(3)能妨礙人員逃生和妨礙滅火。
2.3 煙氣的控制措施
防排煙工程的目的是要防止火災(zāi)產(chǎn)生大量的煙氣,阻止煙氣的迅速蔓延,確保人員的安全疏散和改善撲救條件。為達(dá)上述目的,對于煙氣的控主要有以下措施:
(1)設(shè)置機械排煙、送風(fēng)系統(tǒng),進(jìn)行機械排煙或正壓送風(fēng)防煙;
(2)對建筑進(jìn)行防煙分隔或建立防煙封閉避難區(qū);
(3)設(shè)計自然通風(fēng)口,利用煙氣的熱浮力特性采用自然排煙;
(4)對建材和家具進(jìn)行阻燃、消煙處理;
(5)利用噴灑化學(xué)消煙劑或水霧等進(jìn)行消除煙氣中有毒成份及煙塵粒子,提高能見度。
2.4 防煙技術(shù)安全性
2.4.1 防煙分隔或建立防煙封閉避難區(qū)
目前規(guī)范最常使用防煙的手段就是建立防煙分區(qū),使軟質(zhì)活動擋煙垂壁,玻璃擋煙垂壁等各種擋煙垂壁相繼出現(xiàn)。
但目前建筑空間越來越大,防煙分隔或防煙封閉避難區(qū)對建筑的限制,使建筑設(shè)計受到影響。有些大空間無法進(jìn)行分隔,如機場候機樓,對此國際上提出了Cabin設(shè)計概念(安全島)。
2.4.2 自然通風(fēng)排煙技術(shù)
該技術(shù)簡便易行且較經(jīng)濟,無需較多的維護管理,也是目前較廣泛采用的控?zé)熂夹g(shù)之一。
但易受外界環(huán)境的影響和建筑本身的限制,因而設(shè)計要合理,外界風(fēng)壓的影響要給予充分的考慮,因此國外開發(fā)出了能自動開啟和能減小外界風(fēng)力影響的風(fēng)閥。
2.4.3 建筑材料和家具的阻燃、消煙處理
目前,對建筑材料的消煙處理主要是針對塑料材料,眾所周知由于塑料為有機物,并含有各種有機、無機物助劑,燃燒時會產(chǎn)生大量的有毒成份,如HCl,HCN 等,塑料燃燒產(chǎn)生的煙氣的剌激性和減光性都非常強。
目前,常用抑煙劑主要有金屬氧化物、無機鹽,如Al(OH)3,ZnO,B2O3。世界上主要工業(yè)國家都對消煙機理和新型消煙助劑的研究非常重視。
2.4.4 化學(xué)消煙技術(shù)
理論上火災(zāi)煙氣中有毒成份為一些酸性物質(zhì)或可溶于水的物質(zhì),煙霧的本質(zhì)是一種氣溶膠,因此向煙氣噴灑能中和酸性物質(zhì)的化學(xué)藥劑或水,以消除煙氣中的大量有毒物質(zhì),或使氣溶膠凝聚消除煙氣的減光性。
國內(nèi)外都已研究出一些消煙劑, 但受效果、噴灑技術(shù)和成本的限制還未能真正進(jìn)入實用階段。
3 防爆技術(shù)安全性
所謂爆炸,是指物質(zhì)在瞬間以機械功的形式釋放大量氣體和能量的現(xiàn)象。二炸極限則是指可燃物質(zhì)(可燃?xì)怏w,蒸氣或粉塵)與空氣(氧氣)的混合物,遇著火源能夠發(fā)生爆炸的濃度范圍,亦稱著火極限。
3.1 爆炸的危害性
爆炸具有以下主要的危害:
(1)直接的破壞作用:設(shè)備容器被炸毀,碎片可在100-500米內(nèi)分散,在大范圍內(nèi)造成危害。
(2)沖擊波的破壞作用:爆炸產(chǎn)生的高壓高溫高能的氣體向活塞一樣擠壓周圍的空氣,形成沖擊波。對周圍的建筑物,設(shè)備和人員的震蕩作用,而造成破壞和傷害。
(3)造成火災(zāi):爆炸產(chǎn)生的高溫?zé)崃?,容器破裂的靜電放電能把周圍的可燃性物體點燃,引起火災(zāi)。
(4)造成中毒和環(huán)境的污染。好多物質(zhì)不僅可燃,而且有毒性。
3.2 防爆原則
防爆措施具有以下基本原則:
(1)防止形成爆炸性混合物;(2)嚴(yán)格控制火源;(3)設(shè)置爆炸泄壓裝置;(4)切斷爆炸傳播途徑;(5)阻擋爆炸沖擊波的破壞能力;(6)設(shè)置爆炸監(jiān)測預(yù)警。
3.3 防爆技術(shù)安全性
(1)承爆。氣體和粉塵爆炸爆燃防護的第一選擇是全承爆。在某些角度,承爆是一種有吸引力的方法,因為該方法在本質(zhì)上是一種被動式的防護方法,而且避免了泄放物的處置等問題。一般情況下,我們優(yōu)先選擇其他爆炸防護方法。
(2)抑爆。在爆燃形成破壞性壓力之前即探測到初期爆炸并撲滅爆炸,這涉及到高速火焰抑制系統(tǒng)。
(3)泄爆。爆燃泄壓是指在容腔中開設(shè)泄壓口,在預(yù)定的壓力(稱為靜態(tài)開啟壓力Pstat)下打開泄爆口,使物料膨脹和流動經(jīng)過泄壓開口直接或通過泄爆管卸放到大氣環(huán)境,從而降低爆燃壓力(Pred)。泄爆可用于氣體、粉塵或雜混物加工處理過程中對爆炸進(jìn)行防止。
(4)隔爆。防止爆炸通過管道或坑道從一個加工單元空間向其他加工單元擴展,從而達(dá)到防止爆炸的目的。
4 結(jié)論
隨著社會的不斷進(jìn)步,科技的日益發(fā)展,防煙技術(shù)和防爆技術(shù)也在不斷提升,對于防煙技術(shù)與防爆技術(shù)的安全性分析必將成為未來的趨勢。
參考文獻(xiàn)
[1]GB 50166-2007. 火災(zāi)自動報警系統(tǒng)施工及驗收規(guī)范[S]. 2007.
[2]王金順. 消防工程質(zhì)量管理[J]. 中國科技信息. 2007(09).
【關(guān)鍵詞】樓宇智能化 安全防范 解決方法
中圖分類號:X923文獻(xiàn)標(biāo)識碼:A文章編號:
一、前言
隨著人們生活水平的提高和居住環(huán)境的改善,相對應(yīng)的對安全性要求就會水漲船高。智能樓宇安全防范技術(shù)就解決了人們的后顧之憂,極大的加強了樓宇的安全性能。不僅安全性提高,而且還一定程度上能夠減少在安全防范措施上的成本,包括人力物力財力等等,而且更靈活便捷。舉個例子,在整個安全防范技術(shù)應(yīng)用中,通過報警控制主機集成專業(yè)的可視對講系統(tǒng)或家庭智能終端系統(tǒng)作用就可以看出來,這個系統(tǒng)通過同一的平臺,同時管理報警系統(tǒng)、監(jiān)控系統(tǒng)和門禁系統(tǒng),一旦發(fā)生報警,可自動聯(lián)動攝像機和門禁系統(tǒng),進(jìn)行圖像系統(tǒng)監(jiān)控、記錄、門禁的開關(guān)動作。相關(guān)安保人員足不出戶,僅僅呆在監(jiān)控室就能掌握整個安全情況。
二、智能樓宇安全防范技術(shù)在中國的發(fā)展與現(xiàn)狀
我國對智能建筑中的安全防范技術(shù)的探索與實踐始于上世紀(jì)九十年代初,在這時期里我國的智能建筑主要是一些涉外的酒店和特殊需要的工業(yè)建筑,才用的技術(shù)和設(shè)備主要是從國外引進(jìn)的。雖然普及程度不高,但是人們的熱情卻不低,得到設(shè)計單位、產(chǎn)品供應(yīng)商以及業(yè)內(nèi)專家的積極響應(yīng),可以說他們是智能建筑的第一推動力。
我國智能化建筑初具規(guī)模,在我國房地產(chǎn)業(yè)不斷發(fā)展的背景下,樓宇智能化市場隨之迅速成長。樓宇智能化的概念已經(jīng)越來越深入人心。上海金茂大廈、環(huán)球金融中心等應(yīng)用樓宇智能化的建筑不斷出現(xiàn),目前樓宇智能化在北京、上海、廣州、深圳等一線城市高檔住宅中應(yīng)用普遍,成為高檔物業(yè)的新潮流。閉路電視監(jiān)控、門禁管理、停車場管理、防盜防災(zāi)報警系統(tǒng)等安全防范技術(shù)的常規(guī)化應(yīng)用就是一個很好的體現(xiàn)。
三、智能樓宇的安全防范系統(tǒng)的主要內(nèi)容
1家庭防盜報警系統(tǒng)。防盜報警系統(tǒng)就是在家庭中比較重要的地點區(qū)域布設(shè)各類傳感器,代替鋼筋防盜網(wǎng),主要由保安中心管理主機、家庭報警器、傳感器和傳輸線纜組成。傳感器主要有紅外線探測器、熱感探測器、玻璃破碎探測器、窗磁、門磁等,另外還可以根據(jù)實際需要在不同的位置設(shè)置不同的傳感器,這樣不僅僅能夠有效地探測非法侵入者,還能夠避免業(yè)主牢籠中的感覺,可謂一舉兩得。家庭報警器與保安中心管理主機聯(lián)網(wǎng),當(dāng)出現(xiàn)非法闖入者時,家庭主機報警,管理主機會顯示報警地點和性質(zhì),保安中心可據(jù)此確定出警方案,及時制止犯罪。
2樓宇周界防越報警系統(tǒng)。樓宇周邊的環(huán)境安全狀況直接影響了樓宇的安全,因此,樓宇周界報警系統(tǒng)也是不可避免的。該系統(tǒng)由紅外線對射器、接收器、報警主機及傳輸線纜組成。一般是在小區(qū)的圍欄上,安裝戶外型紅外多光束智能探測器,組成社區(qū)周界不留死角的防非法跨越報警系統(tǒng)。與此同時,控制器采用智能化模糊控制技術(shù),可以避免由于樹葉、雜物、風(fēng)雨或飛鳥等小動物穿越圍欄所引起的誤報。
3閉路電視監(jiān)視系統(tǒng)。智能樓宇的閉路電視監(jiān)視系統(tǒng)是必不可缺的,該系統(tǒng)是指在重要的場所安裝攝像機以提供利用眼睛直接監(jiān)視建筑內(nèi)外情況的可能,這樣,保安人員在控制中心可以監(jiān)視整個大樓內(nèi)外的情況,保安人員僅僅只需在監(jiān)控室,就可以掌握整個大樓的安全情況,大大加強了安全系數(shù)。
4、停車管理系統(tǒng)。地下停車場全部設(shè)計為固定車智能停車場,不允許臨時車進(jìn)入車場。其固定車輛進(jìn)出流程為:進(jìn)場時在小區(qū)地面入口處讀卡,通過后再到地下停車場入口處讀卡,經(jīng)認(rèn)可后進(jìn)入停車場停車;出場時則相反。確保固定車進(jìn)出流暢,限制其他車輛的進(jìn)入。根據(jù)小區(qū)車流量的情況,為了保障車輛的進(jìn)出流暢,地面任一出入口設(shè)計為均可出入車輛。
5、非可視對話系統(tǒng)。本系統(tǒng)采用非可視對講系統(tǒng)與門禁系統(tǒng)相結(jié)合的技術(shù),來實現(xiàn)對小區(qū)住宅樓單元出入口的安全防護。具體設(shè)置是在小區(qū)的每戶設(shè)有一個對講分機,通過門口機實現(xiàn)戶外人員與房主的通訊,通過管理員主機實現(xiàn)住戶、來訪者與管理員的三方通訊與管理。非可視對講子系統(tǒng)是智能綜合管理系統(tǒng)的一個有機組成部分,能和其他防范子系統(tǒng)一起有效地完成保安報警的任務(wù),并提高樓宇品位和質(zhì)量,真正達(dá)到智能住宅的標(biāo)準(zhǔn)。
四、安全防范技術(shù)的發(fā)展
在科學(xué)技術(shù)發(fā)展的今天,安全防范技術(shù)已經(jīng)超重數(shù)字化、網(wǎng)絡(luò)化、智能化和規(guī)范化的方向發(fā)展??偟膩碚f,是朝著一個更為科學(xué)合理的方向迅速發(fā)展。
1 數(shù)字化
二十一世紀(jì)是個技術(shù)飛躍發(fā)展的時代,數(shù)字化技術(shù)是幾乎所有技術(shù)所追求的。作為智能化的安全防范技術(shù),未來發(fā)展的方向一定是朝著數(shù)字化前進(jìn)的。數(shù)字化就是將許多復(fù)雜多變的信息轉(zhuǎn)變?yōu)榭梢远攘康臄?shù)字、數(shù)據(jù),再以這些數(shù)字、數(shù)據(jù)建立起適當(dāng)?shù)臄?shù)字化模型,把它們轉(zhuǎn)變?yōu)橐幌盗卸M(jìn)制代碼,引入計算機內(nèi)部,進(jìn)行統(tǒng)一處理,這就是數(shù)字化的基本過程。但是目前的很多安全防范技術(shù)還是處在模擬數(shù)據(jù)階段,這是相對落后的技術(shù)。這對于安全設(shè)備的布線首先就是一項挑戰(zhàn)。此外,在音頻視頻的傳輸保存方面既不方面又不快捷,還不能做到數(shù)據(jù)壓縮,很是浪費資源。,雖然現(xiàn)在由許多廠家都宣傳自己利用了先進(jìn)的音視頻技術(shù),但還沒有完全應(yīng)用于實際中,將來的發(fā)展必將對音視頻進(jìn)行壓縮,以便進(jìn)行分析、傳輸、存貯。在信號檢測處理單元部分,將更多地利用無線技術(shù),減少布線,特別是一些新的技術(shù)將會應(yīng)用在這個領(lǐng)域中。數(shù)字化也將為智能安全技術(shù)的應(yīng)用打下基礎(chǔ),為引進(jìn)其它的先進(jìn)設(shè)備提供保障。
2 網(wǎng)絡(luò)化
目前在每個安全防范系統(tǒng)中,都單獨建有自己的專用網(wǎng)絡(luò),由于現(xiàn)在的安全防范技術(shù)中個別技術(shù)沒有得到很好的應(yīng)用,安全防范系統(tǒng)的網(wǎng)絡(luò)化沒有真正的實現(xiàn)。安全防范系統(tǒng)實現(xiàn)網(wǎng)絡(luò)化后,人們可以利用Internet隨時隨地的了解自己的安全狀況,當(dāng)有警情發(fā)生時,可以隨時知道并第一時間自動的通知到相關(guān)部門進(jìn)行及時處理,減少損失。并向著IP的智能安防系統(tǒng)發(fā)展。
3 智能化
隨著各種相關(guān)技術(shù)的不斷發(fā)展,人們對安防系統(tǒng)提出了更高的要求,安防系統(tǒng)將進(jìn)入注重智能化階段。在安防系統(tǒng)智能化后,可以實現(xiàn)自動數(shù)據(jù)處理,信息共享,系統(tǒng)聯(lián)動,自動診斷,并利用網(wǎng)絡(luò)化的優(yōu)勢進(jìn)行遠(yuǎn)程控制、維護。先進(jìn)的語音識別技術(shù)、圖像模糊處理技術(shù)將是安防系統(tǒng)智能化的具體表現(xiàn)。
4 規(guī)范化
目前,在安防系統(tǒng)中,各國都有自己的規(guī)范文件,但是對使用的技術(shù)卻沒有像電信一樣有著全世界統(tǒng)一的技術(shù)規(guī)范,因此可能會造成相互信息的通信、共享、管理造成一定的混亂。只有這樣才能建立更大的區(qū)域聯(lián)合安全防護網(wǎng)絡(luò),最大程度的提高安全性。
六、結(jié)束語
隨著社會科技的進(jìn)步,安防系統(tǒng)將面臨著激烈的挑戰(zhàn)。人們對樓宇智能化技術(shù)提出了更高的要求,這久迫使我們要適應(yīng)信息時代的要求,充分利用各種新技術(shù),不斷完善安全防范技術(shù)。智能樓宇的廣泛應(yīng)用,使得我國的智能樓宇安全防范系統(tǒng)的設(shè)置技術(shù)越來越成熟,隨著智能樓宇的不斷發(fā)展以及我們施工的經(jīng)驗的不斷豐富,我國的智能樓宇建設(shè)應(yīng)用必能向上一個新的臺階,其安全防范系統(tǒng)的應(yīng)用也會越來越高效。
參考文獻(xiàn):
[1] 楊勇; 江楠.樓宇智能化技術(shù)的現(xiàn)狀與發(fā)展趨勢第二十五屆中國(天津)2011’IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學(xué)術(shù)會議論文集[中國會議]2011-09-01
[2]宋詩波.LonWorks網(wǎng)絡(luò)安全防范技術(shù)及解決方案研究[學(xué)位論文] .重慶大學(xué)2007-04-01
[3]劉希清.安全防范技術(shù)與建筑智能化系統(tǒng)(下) [期刊論文].工程設(shè)計CAD與智能建筑2000-12-05
[4]王銘文.聯(lián)網(wǎng)型建筑安全防范系統(tǒng)的設(shè)計與實現(xiàn)[學(xué)位論文].重慶大學(xué)2007-03-01
大家下午好!
炎炎夏日,我們在認(rèn)真學(xué)習(xí)的同時,也要保護好自己的安全.
今天我講話的主題是:“預(yù)防中暑、預(yù)防溺水”.
一、中暑
中暑是人持續(xù)在高溫條件下或受陽光暴曬所致,大多發(fā)生在烈日下長時間站立、勞動、集會、徒步行走時.輕度中暑會感到頭昏、耳鳴、胸悶、心慌、四肢無力、口渴、惡心;重度中暑可能會伴有高燒、昏迷、痙攣等.
戶外活動如何防止中暑呢?
(一)喝水.大量出汗后,要及時補充水分.外出活動,尤其是遠(yuǎn)足、爬山或去缺水的地方,一定要帶夠充足的水.條件允許的話,還可以帶些水果等解渴的食品.
(二)降溫.外出活動前,應(yīng)該做好防曬的準(zhǔn)備,最好準(zhǔn)備太陽傘、遮陽帽,著淺色透氣性好的服裝.外出活動時一旦有中暑的征兆,要立即采取措施,尋找陰涼通風(fēng)之處,解開衣領(lǐng),降低體溫.
(三)備藥.可以隨身帶一些仁丹、十滴水、霍香正氣水等藥品,以緩解輕度中暑引起的癥狀.如果中暑癥狀嚴(yán)重,應(yīng)該立即送醫(yī)院診治.
預(yù)防中暑還應(yīng)注意哪些?
(一)夏季課間活動量不宜大,要避免劇烈運動.活動量大流汗就多,容易中暑.
(二)夏季晝長夜短,天氣炎熱,人們的睡眠不足,午睡能夠有效地補充睡眠,同時可以避開中午高溫期,減少中暑的可能,不僅對健康有益,而且能夠保障有充足的精力投入學(xué)習(xí).
(三) 科學(xué)合理的飲食.吃大量的蔬菜、水果及適量的動物蛋白質(zhì)和脂肪,補充體能消耗.
二、溺水
溺水是游泳或掉入水坑、水井等常見的意外事故,一般發(fā)生溺水的地點:游泳池、水庫、水坑、池塘、河流、海邊等場所.夏天是溺水事故的多發(fā)季節(jié),每年夏天都有溺水身亡事故發(fā)生.在溺水者當(dāng)中,有不會游泳的,也有一些會游泳、甚至是水性好的人
在我們國家,意外傷害是0~14歲兒童的首要死因.平均每年全國有近50000名兒童因意外傷害而死亡,平均每天有近150名兒童因意外傷害而失去生命.意外溺水是兒童意外傷害的首要死因,10個因意外傷害而死亡的0~14歲兒童中,有近6個是因為溺水身亡的.
(一)如何防溺水
1.不要私自在海邊、河邊、湖邊、江邊、水庫邊、水溝邊、池塘邊玩耍、追趕,以防滑入水中,有句俗語:有事無事江邊走,難免有打濕腳的時候.
2.不要私自下水游泳,特別是小學(xué)生必須有大人的陪同并帶好救生圈.
3.不要私自外出釣魚、抓魚,因為釣魚蹲在水邊,水邊的泥土、沙石長期被水浸泡,而變很松散,有些水邊長年累月被水浸泡還長了一層苔蘚,一踩上去就滑入水中,即使不滑入水中都有被摔傷的危險.
4.在沒有大人陪同或配帶救生圈的情況下,不要私自結(jié)伙去劃船.
5.到公園劃船,或乘坐船時必須要坐好,不要在船上亂跑,或在船舷邊洗手、洗腳,尤其是乘坐小船時不要搖晃,也不能超重,以免小船掀翻或下沉.
6.在坐船時,一旦遇到特殊情況,一定要保持鎮(zhèn)靜,聽從船上工作人員的指揮,不能輕率跳水.如果出現(xiàn)有人溺水,更不要冒然下水營救.
7.遇到大風(fēng)大雨、大浪或霧太大的天氣,最好不要坐船,也不要在船上玩.
8.如果不慎滑落水中,應(yīng)吸足氣,拍打著水,大聲地呼喊,岸上的人應(yīng)馬上呼喊大人救援,并找附近的有長樹枝、竹子、草藤什么的,便于拋向落水的人抓住,如果沒有大人
來救援,岸上的人應(yīng)一邊呼喊一邊馬上脫掉衣服、皮帶并把
它們接起來拋向落水的人.
9.如果不幸溺水,當(dāng)有人來救助的時候應(yīng)該身體放松、
讓救助的人托住腰部.
10.當(dāng)自己特別心愛的東西,掉入水中時不要急著去撈,
而應(yīng)找大人來幫忙.
(二)游泳安全要點
游泳是廣大青少年喜愛的體育鍛煉項目之一.然而,不
做好準(zhǔn)備、缺少安全防范意識,遇到意外時慌張、不能沉著
自救,極易發(fā)生溺水傷亡事故.
1、不要獨自一人外出游泳,更不要到不摸底和不知水
情或比較危險且宜發(fā)生溺水傷亡事故的地方去游泳.
2、必須要有組織并在大人或熟悉水性的人帶領(lǐng)下去游
泳,以便互相照顧.
3、游泳時切勿太餓、太飽.飯后一小時才能下水,以
免抽筋.
4、要清楚自己的身體健康狀況,平時四肢就容易抽筋
者不宜參加游泳或不要到深水區(qū)游泳.要做好下水前的準(zhǔn)
備,先活動身體,如水溫太低應(yīng)先在淺水處用水淋洗身體,
待適應(yīng)水溫后再下水游泳.
5、對自己的水性要有自知之明,下水后不能逞能,不
要貿(mào)然跳水和潛泳,更不能互相打鬧,以免喝水和溺水.不
要在急流和漩渦處游泳.
6、在游泳中如果突然覺得身體不舒服,如眩暈、惡心、心慌、氣短等,要立即上岸休息或呼救.
7、在游泳中,若小腿或腳部抽筋,千萬不要驚慌,可用力蹬腿或做跳躍動作,或用力按摩、拉扯抽筋部位,同時呼叫同伴救助.
現(xiàn)在正是天氣炎熱季節(jié),在此再次強調(diào)要求同學(xué)們做到以下幾點:
(一)樹立安全意識,加強自我保護,不走河邊,溝沿,不走偏僻的道路,回家時要結(jié)伴而行.
(二)用學(xué)會的防溺水知識運用于實際,堅決杜絕溺水事件的發(fā)生.
(三)從我做起,聽從長輩教導(dǎo),嚴(yán)守學(xué)校紀(jì)律,堅決不玩水.
(四)在加強自我安全意識的同時,對于那些違反學(xué)校紀(jì)律,私自玩水的行為,要堅決抵制并勸阻.
(五)同學(xué)間要互相關(guān)心、愛護,發(fā)現(xiàn)有的同學(xué)私自去游泳或到危險的地方去玩耍,要及時勸阻并告訴老師、家長.
(六)在我們的日常生活中,如果一旦遇到有人落水,我們在營救時應(yīng)該怎么辦呢?
最重要的一點,就是不能冒然下水營救,因為一旦被落水者抓住將十分危險.在水中與落水者糾纏不但會消耗救助
者的大量體力,有時甚至?xí)?dǎo)致救助者體力耗盡最終喪命.
所以,發(fā)現(xiàn)有人落水,最正確的做法應(yīng)立即大聲呼救,尋求
大人的幫助.同時,可以將救生圈、竹竿、木板等拋給落水
同學(xué)們:生命是美好的,生命高于一切,我們是國家和
民族的未來和希望,讓我們行動起來,珍愛生命,加強防范,
杜絕悲劇的發(fā)生. 祝愿大家能夠開開心心的學(xué)習(xí),健健康
〔關(guān)鍵詞〕云存儲;數(shù)字圖書館;數(shù)據(jù);數(shù)據(jù)安全;防范
〔中圖分類號〕G250.76 〔文獻(xiàn)標(biāo)識碼〕A 〔文章編號〕1008-0821(2012)04-0057-03
目前數(shù)字圖書館廣泛采用的存儲方案主要有DAS(Direct Attached Storage,直接附加存儲)、NAS(Network Attached Storage,網(wǎng)絡(luò)附加存儲)、SAN(Storage Area Network,存儲區(qū)域網(wǎng)絡(luò))、ISCSI(Internet Small Computer System Interface,互聯(lián)網(wǎng)小型計算機系統(tǒng)接口)和網(wǎng)格存儲等[1]。這5種存儲方案各有其優(yōu)勢,但單獨采用其中任何一種方案,都無法全面解決數(shù)字圖書館資源存儲面臨的眾多問題。針對這些現(xiàn)存問題,現(xiàn)代數(shù)字圖書館正在探索使用云存儲方案。
1 云存儲的概念及在數(shù)字圖書館數(shù)據(jù)存儲應(yīng)用中的優(yōu)勢1.1 云存儲的概念
云計算至今沒有一個統(tǒng)一的定義,每個定義都是從自身理解的角度來定義的,但主流的定義主要有技術(shù)層面和服務(wù)層面的定義。云存儲是在云計算(cloud computing)概念上延伸和發(fā)展出來的一個概念。在這里筆者也根據(jù)自己的理解來定義云存儲。云存儲是指通過集群應(yīng)用、網(wǎng)格技術(shù)或分布式文件系統(tǒng),將網(wǎng)絡(luò)中分散的、不同類型的存儲設(shè)備統(tǒng)一到一個或幾個大的存儲池下,形成一個統(tǒng)一的整體,作為一個動態(tài)的存儲資源實體向用戶提供數(shù)據(jù)存儲和業(yè)務(wù)訪問功能。由于云計算系統(tǒng)運算和處理的核心是大量數(shù)據(jù)的存儲和管理,云計算系統(tǒng)中配置有大量的存儲設(shè)備,所以云存儲是一個以數(shù)據(jù)存儲和管理為核心的云計算系統(tǒng)。
在數(shù)字圖書館信息資源存儲中應(yīng)用云存儲可以低成本的實現(xiàn)海量數(shù)字資源的存儲,提高存儲資源的利用率,并能提高數(shù)字圖書館之間信息資源的共享。與前面提到的存儲方案相比,數(shù)字圖書館采用云存儲方案具有較強的優(yōu)勢。
1.2 云存儲在數(shù)字圖書館應(yīng)用中的優(yōu)勢
1.2.1 節(jié)約成本
云存儲向圖書館用戶提供以網(wǎng)絡(luò)為基礎(chǔ)的在線存儲服務(wù),把云存儲集群的一部分提供給圖書館用戶。對于圖書館用戶來說就是通過網(wǎng)絡(luò)和一定的應(yīng)用軟件或應(yīng)用接口得到一定類型的存儲服務(wù)和訪問服務(wù),不需要配置基礎(chǔ)設(shè)施,并對這些基礎(chǔ)設(shè)施進(jìn)行安裝、升級和維護,以及數(shù)據(jù)完整性保護和容災(zāi)備份。云存儲通過多租戶模式使得使用成本和管理成本大幅度降低。
1.2.2 安全和穩(wěn)定
云計算采用分布式存儲的方式來存儲數(shù)據(jù),采用冗余存儲的方式來保證存儲數(shù)據(jù)的可靠性(為同一份數(shù)據(jù)存儲多個副本),采用數(shù)據(jù)加密技術(shù)保證云存儲中的數(shù)據(jù)不會被未授權(quán)的用戶所訪問。同時,通過各種容災(zāi)技術(shù)和措施可以保證云存儲中的數(shù)據(jù)不會丟失,保證云存儲自身的安全和穩(wěn)定。數(shù)字圖書館采用云存儲,當(dāng)用戶突然增多、訪問量突然加大時,通過云存儲系統(tǒng),利用其自身的分布式系統(tǒng)、集群系統(tǒng),能合理分擔(dān)存儲和訪問的壓力,有效地防止數(shù)字圖書館系統(tǒng)癱瘓,提高數(shù)字圖書館的信息資源存儲系統(tǒng)的穩(wěn)定性。
1.2.3 實現(xiàn)資源共享
在云存儲系統(tǒng)中,各個數(shù)字圖書館的信息資源保存在“云”中,所有符合權(quán)限的讀者只要通過互聯(lián)網(wǎng)連接到“云”,就可以不受物理地址和時間限制的訪問所有資源,實現(xiàn)了數(shù)字圖書館之間的資源共享。
2 云存儲數(shù)字圖書館數(shù)據(jù)存儲應(yīng)用中的安全問題
云計算的吸引力在于其經(jīng)濟上的可擴展性、資源復(fù)用、低成本和高效率。為了支撐這種低成本高效率,云供應(yīng)商提供的服務(wù)必須足夠靈活,但這種靈活性會降低其對安全控制的能力[2]。根據(jù)2009年CSA(Cloud Security Aliance,云安全聯(lián)盟)的一份云計算安全風(fēng)險簡明報告總結(jié)了7條最常見的風(fēng)險:濫用和惡意使用云計算;不安全的接口;內(nèi)部員工的濫用;基礎(chǔ)設(shè)施共享問題;數(shù)據(jù)丟失或泄漏;賬號或服務(wù)劫持;未知的風(fēng)險。云存儲在數(shù)字圖書館信息資源的存儲應(yīng)用中主要存在以下安全問題:
2.1 數(shù)據(jù)傳輸過程安全
數(shù)字圖書館采用云存儲模式,原來局限在私有網(wǎng)絡(luò)的資源和數(shù)據(jù)現(xiàn)在暴露在互聯(lián)網(wǎng)上,并且這些資源和數(shù)據(jù)放到了第三方云計算提供商所有的共享公共網(wǎng)絡(luò)上。圖書館在將信息資源數(shù)據(jù)通過網(wǎng)絡(luò)傳遞到云計算服務(wù)器進(jìn)行處理時,會存在這樣的問題:數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中是否進(jìn)行了嚴(yán)格加密,保證數(shù)據(jù)不被中途偵聽,即使被偵聽了也無法還原;能否保證數(shù)據(jù)的完整性;在傳輸過程中能否不被被莫名其妙的修改。
2.2 數(shù)據(jù)存儲安全
數(shù)字圖書館信息資源數(shù)據(jù)存儲在云存儲系統(tǒng)中,他所使用的基礎(chǔ)設(shè)施是共享的,非隔離的,當(dāng)一個攻擊者得逞時,全部服務(wù)器都將成為攻擊者的攻擊對象。所以數(shù)據(jù)存儲是否安全要看云計算服務(wù)商是否有強大的分區(qū)和防御策略;是否有強大的實時監(jiān)控系統(tǒng)防止有未經(jīng)授權(quán)的修改和活動;對所托管數(shù)據(jù)是否進(jìn)行備份,備份使用的是單服務(wù)器多硬盤方式還是多服務(wù)多硬盤方式,是否實現(xiàn)異地備份。
2.3 數(shù)據(jù)訪問控制安全
數(shù)字圖書館信息資源數(shù)據(jù)在云計算提供商公共云存儲時,惡意軟件和木馬將會在云中變得更強大,垃圾郵件發(fā)送者和惡意代碼作者可以利用云服務(wù)中的匿名注冊和云服務(wù)模式進(jìn)行網(wǎng)絡(luò)犯罪。在云環(huán)境中,如果攻擊者能夠獲得你的憑據(jù),他們可以看到你的活動,處理你的數(shù)據(jù),并給云計算服務(wù)提供商客戶端導(dǎo)致問題。另外,當(dāng)用戶不再需要已分配的IP地址時,云計算提供商會再分配給其他用戶使用。IP地址再分配使用就會帶來問題。用戶無法確信他們對資源的網(wǎng)絡(luò)訪問能隨著IP地址的釋放一并終止,因為從DNS中的IP地址改變到DNS緩存清理,這之間存在一段時間延遲。因此在老的地址被清楚之前,還會一直存在于ARP緩存中。這意味著即使地址可能已經(jīng)變化,原先的地址在緩存中依舊有效,因此用戶還是可以訪問到那些理應(yīng)不存在的資源。最后,雖然資源可能無法通過互聯(lián)網(wǎng)直接獲得,但出于管理的目的,這些資源必須可通過專用地址在提供商網(wǎng)絡(luò)上進(jìn)行訪問。圖書館的云計算提供商的其他用戶有可能從內(nèi)部通過云計算提供商的網(wǎng)絡(luò)獲得圖書館資源。
2.4 云存儲服務(wù)商信用
由于數(shù)字圖書館的信息資源數(shù)據(jù)存儲在公共云,我們不能保證云服務(wù)商在得到數(shù)據(jù)時不將保密數(shù)據(jù)泄漏出去。有些云服務(wù)商的服務(wù)合同中規(guī)定:我們對于任何未經(jīng)授權(quán)的訪問或使用、破壞、刪除、銷毀或弄丟任何你的內(nèi)容或應(yīng)用的程序不負(fù)有責(zé)任。像這種在合同中不承諾對任何數(shù)據(jù)泄密事件以及被破壞行為承擔(dān)法律責(zé)任或義務(wù)的服務(wù)商很難保證數(shù)據(jù)的安全。
2.5 知識產(chǎn)權(quán)保護
數(shù)字圖書館的知識產(chǎn)權(quán)問題在云時代有了新變化。圖書館購買云存儲服務(wù)后,將自己的數(shù)據(jù)交給云,由云托管這些數(shù)據(jù)。從理論上講,圖書館應(yīng)該完全擁有被托管數(shù)據(jù)的知識產(chǎn)權(quán)。但是在現(xiàn)實中,云存儲商會千方百計利用這些數(shù)據(jù),并以數(shù)據(jù)整合、數(shù)據(jù)挖掘、知識服務(wù)的名義使圖書館數(shù)據(jù)利用合法化。使得他們利用館藏數(shù)據(jù)開發(fā)出來的一些產(chǎn)品很難界定知識產(chǎn)權(quán)的歸屬,這成為一個新問題。
以上數(shù)據(jù)安全問題主要是由云服務(wù)商來保證,而數(shù)據(jù)備份是最基本的安全保障措施。
3 防范措施
為了解決數(shù)字圖書館云存儲存在的安全問題,下面主要采取安全技術(shù)措施和法律規(guī)范措施兩方面進(jìn)行討論。
3.1 技術(shù)措施
目前有關(guān)云計算的安全性問題主要集中在訪問控制(基于層次密鑰生成與分配策略實施訪問控制的方法);利用基于屬性的加密算法(如密鑰規(guī)則的基于屬性加密方案(KP-ABE));虛擬安全技術(shù)(Santhanam等人提出了基于虛擬機技術(shù)實現(xiàn)的Grid環(huán)境下的隔離執(zhí)行機);數(shù)據(jù)保護(Mowbray等人提出了一種基于客戶端的隱私管理工具,提供以用戶為中心的信任模型,幫助用戶控制自己的敏感信息在云端的存儲和使用)等方面[3]。
3.1.1 訪問控制
圖書館的云存儲服務(wù)訪問控制認(rèn)證和授權(quán)兩個方面。身份鑒別就是圖書館讀者向云存儲服務(wù)提交操作請求時,云存儲服務(wù)在接收到讀者的請求后,要鑒別讀者的身份。為了有效地鑒別讀者的身份,云存儲服務(wù)事先就要為每個讀者用戶分配一個秘密訪問密鑰和一個用戶標(biāo)識;讀者訪問云存儲服務(wù)時,首先要生成請求報文,然后利用密鑰采用某種HMAC對請求報文進(jìn)行簽名,并將該簽名和訪問密鑰惟一標(biāo)識一起附加到請求報文中;云存儲服務(wù)在處理請求前,會對該簽名進(jìn)行驗證。權(quán)限判定就是圖書館云存儲服務(wù)完成對讀者用戶的驗證后進(jìn)一步驗證該讀者是否有進(jìn)行所請求操作的權(quán)限,只有有權(quán)限的圖書館讀者才能進(jìn)行相應(yīng)的操作,否則操作請求將被拒絕。圖書館云存儲服務(wù)還可以通過對讀者用戶進(jìn)行授權(quán),并進(jìn)行授權(quán)控制,對大量用戶進(jìn)行管理[4]。
3.1.2 數(shù)據(jù)加密
數(shù)字圖書館的信息資源中有很多涉及圖書館的絕密數(shù)據(jù),有時會在傳輸過程稱遭到偵聽,給圖書館造成巨大的損失,所以數(shù)字圖書館的重要數(shù)據(jù)需要進(jìn)行加密,以防被盜取或破壞。圖書館數(shù)據(jù)在云計算存儲時由誰來加密,是圖書館自己加密還是云計算服務(wù)提供商加密,采用什么加密算法和什么強度的密鑰,這取決于所選擇的云計算服務(wù)提供商。圖書館數(shù)據(jù)在圖書館與云計算提供商之間進(jìn)行傳輸,對于那些靜態(tài)數(shù)據(jù)如果使用簡單存儲可以進(jìn)行加密,但有些數(shù)據(jù)在云計算中處理時,絕對是不加密的。這種未加密狀態(tài)的數(shù)據(jù)很容易遭到破壞。目前關(guān)于數(shù)據(jù)加密的手段很多,普通的加密方案如需對加密文件進(jìn)行操作,必須將加密數(shù)據(jù)回傳,解密操作后再加密回傳云端,效率低下。在2009年6月,IBM宣布其研究人員與斯坦福大學(xué)的研究生合作,開發(fā)出一種完全同態(tài)加密方案,這種方案允許在不解密的狀態(tài)下處理數(shù)據(jù)[5]。利用全同態(tài)加密技術(shù)對數(shù)字圖書館的數(shù)據(jù)進(jìn)行加密,就是將數(shù)據(jù)加密后存儲在云端,從而提高數(shù)據(jù)的安全性,即使這些數(shù)據(jù)被竊取,沒有相應(yīng)的密鑰也無法還原,而密鑰只有用戶才知道,云端不知道該密鑰[3]。由于同態(tài)加密的特性,云端可以直接對加密文件進(jìn)行操作,從而提高了對加密數(shù)據(jù)進(jìn)行操作的效率。利用全同態(tài)加密技術(shù)對數(shù)字圖書館的數(shù)據(jù)進(jìn)行加密既能確保用戶數(shù)據(jù)安全,又能避免傳統(tǒng)加密方案的弊端的新的云計算數(shù)據(jù)安全方案。
3.2 制定相關(guān)的行業(yè)標(biāo)準(zhǔn)、規(guī)范、法規(guī)
不同云服務(wù)商對數(shù)據(jù)的技術(shù)管理能力不同,在對用戶數(shù)據(jù)管理執(zhí)行標(biāo)準(zhǔn)上有較大差異,為云計算服務(wù)提供商提供了規(guī)避大部分安全風(fēng)險,而將風(fēng)險轉(zhuǎn)嫁給用戶的可能,導(dǎo)致用戶權(quán)利難以保證。所以,建立國際行業(yè)標(biāo)準(zhǔn),規(guī)范服務(wù),確保有國家級的監(jiān)管來保障云服務(wù)質(zhì)量和安全標(biāo)準(zhǔn)迫在眉睫。OASIS標(biāo)準(zhǔn)組織在SOA安全方面的現(xiàn)有標(biāo)準(zhǔn),如IAM、IDM。強化的認(rèn)證標(biāo)準(zhǔn),數(shù)據(jù)加密標(biāo)準(zhǔn),密鑰管理標(biāo)準(zhǔn)以及VM安全配置標(biāo)準(zhǔn)等,都可以被應(yīng)用到云安全領(lǐng)域。在云安全領(lǐng)域,不是要制定或發(fā)明新標(biāo)準(zhǔn)的問題,而是要研究如何把現(xiàn)有的安全技術(shù)很好的和云計算對接,最好地發(fā)揮作用。Cloud Security Aliance(CSA,云計算安全聯(lián)盟)的定位和目標(biāo)是制定關(guān)于云計算安全問題的一些“最佳實踐”和指南[6]。此外,還應(yīng)對“云”管理服務(wù)提供商(MSP)在開放性、共享性、標(biāo)準(zhǔn)化、安全性能、保密級別、企業(yè)的誠信與可持續(xù)發(fā)展制定不同行業(yè)等級,依據(jù)行業(yè)級別運營相應(yīng)安全級別的數(shù)字圖書館“云”業(yè)務(wù)[7]。
一些數(shù)據(jù)泄漏事件出自云計算提供商內(nèi)部員工,所以加強對云計算提供商雇員的管理,在聘用合同上明確雇員的法律責(zé)任,在違反安全規(guī)定造成安全事故時有權(quán)送交司法機關(guān)。
3.3 引入第三方的認(rèn)證機構(gòu)進(jìn)行數(shù)據(jù)審計
無論圖書館放在云計算中的數(shù)據(jù)有無加密,了解云計算中的數(shù)據(jù)專門存儲的地點和時刻是非常有用的,甚至有時候是必須的。數(shù)據(jù)沿襲(對數(shù)據(jù)路徑的跟蹤)對審計有很重要的作用。云計算提供商確保既能提供有效地數(shù)據(jù),又不損害其他已有客戶的利益,又在審計過程中保證審計機構(gòu)不泄露相關(guān)客戶的敏感數(shù)據(jù)的情況下,協(xié)助第三方機構(gòu)對數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性的審計。
4 結(jié)束語
云存儲模式的出現(xiàn),給互聯(lián)網(wǎng)環(huán)境下數(shù)字圖書館信息資源中心作用的發(fā)揮帶來了機遇。數(shù)字圖書館云服務(wù)平臺具有動態(tài)的、自適應(yīng)的系統(tǒng)組成能力與集成機制,能實現(xiàn)分布式數(shù)字圖書館服務(wù)的虛擬化,能實現(xiàn)更大程度的資源共享與協(xié)作。同時,云存儲的應(yīng)用還處在探索階段,在發(fā)展過程中還存在著安全問題和風(fēng)險。隨著圖書館對云計算技術(shù)的關(guān)注和安全技術(shù)的廣泛應(yīng)用,以及云安全標(biāo)準(zhǔn)的進(jìn)一步完善,我國數(shù)字圖書館的發(fā)展將進(jìn)入一個嶄新的階段。
參考文獻(xiàn)
[1]劉文云,鮑凌云.“云”下的數(shù)字圖書館資源存儲研究[J].情報資料工作,2011,(2):51-54.
[2]丁秋峰.云計算環(huán)境下取證技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2011,(11):36-38.
[3]吳旭東.云計算數(shù)據(jù)安全研究[J].信息網(wǎng)路安全,2011,(9):38-40.
[4]王平建.云存儲中的訪問控制技術(shù)研究[J].信息網(wǎng)路安全,2011,(9):41-43.
[5](美)Tim Mather,Subra Kumaraswamy,Shahed Latif.云計算安全與隱私[M].北京:機械工業(yè)出版社,2011:64.
關(guān)鍵詞: 防火墻技術(shù);網(wǎng)絡(luò);技術(shù);安全;體系架構(gòu)
1 防火墻的概念
防火墻實際上是一種隔離技術(shù),它可以將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開,是一種最重要的網(wǎng)絡(luò)防護設(shè)備。從專業(yè)角度講,防火墻是位于兩個網(wǎng)絡(luò)間,實施網(wǎng)絡(luò)之間訪問控制的一組組件集合,它可以在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它允許安全的數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng),同時將有威脅的數(shù)據(jù)拒之門外。最大限度地減少惡意用戶訪問給網(wǎng)絡(luò)信息帶來的威脅。防火墻的目的是在網(wǎng)絡(luò)連接之間建立一個安全控制點,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行審計和控制。
2 防火墻的分類
防火墻有很多種形式,有的以軟件形式運行在普通計算機之上,也有的以固件形式設(shè)計在路由器之中。防火墻的分類也有很多種分法,從軟、硬件形式上可分為軟件防火墻和硬件防火墻以及芯片級防火墻;從防火墻結(jié)構(gòu)可分為單一主機防火墻、路由器集成式防火墻和分布式防火墻三種;按防火墻的應(yīng)用部署位置可分為邊界防火墻、個人防火墻和混合防火墻三大類;按防火墻性能可分為百兆級防火墻和千兆級防火墻;按防火墻技術(shù)可分為包過濾防火墻和應(yīng)用級兩大類。
3 防火墻的功能
在沒有防火墻的環(huán)境中,局域網(wǎng)內(nèi)部上的每個節(jié)點都暴露給Internet上的其它主機,局域網(wǎng)的安全性要由其中每個節(jié)點的堅固程度來決定,并且安全性等同于其中最弱的節(jié)點,從而使得局域網(wǎng)規(guī)模越大,把所有主機保持在相同安全水平上的可管理能力就越小。
引入防火墻后,局域網(wǎng)的安全性在防火墻上得到了統(tǒng)一的加固,主要體現(xiàn)在:1)強化了安全訪問策略。防火墻可以提供實施和執(zhí)行網(wǎng)絡(luò)訪問策略的工具,實現(xiàn)對用戶和服務(wù)的訪問控制。2)記錄與Internet之間的通信活動。作為內(nèi)外網(wǎng)之間唯一的放完通道,防火墻能夠記錄內(nèi)部網(wǎng)和外部網(wǎng)絡(luò)之間發(fā)生的多有事件。3)實現(xiàn)了網(wǎng)段之間的隔離或控制。防火墻的隔離作用,可控制一個有問題網(wǎng)段中的問題在整個網(wǎng)絡(luò)中的傳播。4)提供一個安全策略的檢查站。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻,這樣的防火墻便成為一個安全檢查點,把所有可疑的訪問拒之門外。
4 防火墻技術(shù)分析
4.1 包過濾防火墻
數(shù)據(jù)包過濾是一種在內(nèi)部網(wǎng)絡(luò)與外部主機之間進(jìn)行有選擇的數(shù)據(jù)包轉(zhuǎn)發(fā)記住,它按照一種被稱為訪問控制列表(access control list,ACL)的安全策略來決定是允許還是阻止某些類型的數(shù)據(jù)包通過。ACL可以被配置為根據(jù)數(shù)據(jù)包報頭的任何部分進(jìn)行接收或拒絕數(shù)據(jù)包,目前,這種過濾主要是針對數(shù)據(jù)包的協(xié)議地址(包括源地址和目的地址)、協(xié)議類型和TCP/IP端口(包括源端口和目的端口)來進(jìn)行的。因此,數(shù)據(jù)包過濾服務(wù)被人為是工作在網(wǎng)絡(luò)層與傳輸層的邊界安全機制。
4.2 狀態(tài)檢測防火墻
狀態(tài)檢測防火墻采用了狀態(tài)檢測包過濾的技術(shù),是傳統(tǒng)包過濾上的功能擴展。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進(jìn)行跟蹤,并且根據(jù)需要動態(tài)地在過濾規(guī)則中增加或更新條目。狀態(tài)檢測防火墻在網(wǎng)絡(luò)層有一個檢查引擎,它截獲數(shù)據(jù)包從中抽取出與應(yīng)用層狀態(tài)有關(guān)的信息,并以此為依據(jù)決定對該連接是接受還是拒絕。
4.3 服務(wù)型防火墻
(proxy)服務(wù)是運行在防火墻主機上的專門程序。防火墻主機可以是一個同時擁有內(nèi)部網(wǎng)絡(luò)接口和外部網(wǎng)絡(luò)接口的雙重宿主主機,也可以是一些內(nèi)部網(wǎng)絡(luò)中唯一可以與Internet通信的堡壘主機。服務(wù)程序接受內(nèi)部網(wǎng)用戶對Internet服務(wù)的請求,按照相應(yīng)的安全策略轉(zhuǎn)發(fā)它們的請求,并返回Internet網(wǎng)上主機的響應(yīng)。實際上,就是一個在應(yīng)用層提供替代連接并充當(dāng)服務(wù)的網(wǎng)關(guān)。具有應(yīng)用相關(guān)性,要按照應(yīng)用服務(wù)類型的不同,選擇相應(yīng)的服務(wù)。
4.4 網(wǎng)絡(luò)地址翻譯
網(wǎng)絡(luò)地址翻譯(network address translation,NAT),是一種通過將私有地址轉(zhuǎn)換為可以在公網(wǎng)上被路由的公有IP地址,實現(xiàn)私有地址結(jié)點與外部公網(wǎng)結(jié)點之間相互通信的技術(shù)。它一般運行在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界上,當(dāng)內(nèi)部網(wǎng)絡(luò)的一臺主機想要向外部網(wǎng)絡(luò)中的主機進(jìn)行數(shù)據(jù)傳輸時,它先將數(shù)據(jù)包發(fā)到NAT設(shè)備;NAT設(shè)備上的NAT進(jìn)程將首先查看IP包報頭的內(nèi)容,如果該包是被允許通過的,就用自己所擁有的一個全球唯一的IP地址替換掉包頭內(nèi)源地址字段中的私有IP地址,然后將數(shù)據(jù)包轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的目標(biāo)主機上;當(dāng)外部主機回應(yīng)包被發(fā)送回來時,NAT進(jìn)程將接收它,并通過查看當(dāng)前的網(wǎng)絡(luò)地址轉(zhuǎn)換表,用原來的內(nèi)部主機私有地址替換回應(yīng)包中的公有目標(biāo)地址,然后將該回應(yīng)包送到內(nèi)部網(wǎng)的相應(yīng)源主機上。
4.5 個人防火墻
個人防火墻,也就是通常的單機版防火墻,個人防火墻是保護個人計算機接入公共網(wǎng)絡(luò)(如因特網(wǎng))的安全有效措施。個人防火墻以軟件防火墻為主,很少見到有個人用硬件防火墻設(shè)備。個人防火墻不但可以抵擋外來攻擊還可以抵擋內(nèi)部的攻擊。
4.6 防火墻分析綜述
通過對防火墻技術(shù)性的分析,我們對防火墻有了更加深刻的了解和認(rèn)識。首先,防火墻只是整個網(wǎng)絡(luò)安全防護的一部分,其他防護手段如病毒防治、密碼技術(shù)、鑒別技術(shù)等對網(wǎng)絡(luò)安全也相當(dāng)重要;其次,防火墻不是絕對安全,只能防護經(jīng)過防火墻的訪問和攻擊,而對繞過防火墻進(jìn)入網(wǎng)絡(luò)的訪問無能為力;再次,防火墻的架構(gòu)需要風(fēng)險分析和需求分析,并要進(jìn)行動態(tài)維護,在測試和驗證等方面還會受到限制,所以防火墻的防護能力不一定能夠滿足安全政策的需要。
5 防火墻體系結(jié)構(gòu)
5.1 防火墻硬件架構(gòu)
在網(wǎng)絡(luò)信息安全的平臺上,多采用的x86、NP、ASIC三種架構(gòu)的防火墻。
在低端千兆市場上,x86架構(gòu)的防火墻是主流產(chǎn)品。x86系列架構(gòu)的防火墻又被稱為工控機防火墻,具有開發(fā)、設(shè)計門檻低、技術(shù)成熟等優(yōu)點,但它對數(shù)據(jù)包的轉(zhuǎn)發(fā)性能相對較弱。
在高端千兆市場上,基于NP的防火墻將占有較大的市場分額。網(wǎng)絡(luò)處理器(NP)是可編程處理器,是專門用來處理數(shù)據(jù)包的,它內(nèi)含的數(shù)據(jù)處理引擎可以并發(fā)進(jìn)行數(shù)據(jù)處理工作,能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)的處理。
ASIC架構(gòu)的防火墻是采用專用集成電路ASIC技術(shù)設(shè)計的專門的數(shù)據(jù)包處理流水線,它可以優(yōu)化存儲器等資源利用,是公認(rèn)的能滿足千兆環(huán)境應(yīng)用的技術(shù)方案。但集成電路ASIC技術(shù)的開發(fā)成本高、開發(fā)周期長、開發(fā)難度大,一直沒能得到廣泛的應(yīng)用。
5.2 防火墻軟件架構(gòu)
根據(jù)產(chǎn)品的需要構(gòu)建完善的產(chǎn)品框架,以軟件質(zhì)量標(biāo)準(zhǔn)實現(xiàn)產(chǎn)品的框架,才是完善的軟件架構(gòu)實現(xiàn)模式。完善的軟件架構(gòu)可以使用戶和軟件之間、系統(tǒng)與軟件之間找到很好的結(jié)合點。通過對軟件產(chǎn)品和活動的評審和審計可以驗證軟件的質(zhì)量,檢驗軟件質(zhì)量是否符合相應(yīng)的規(guī)程和標(biāo)準(zhǔn)。產(chǎn)品框架的設(shè)計師關(guān)系到產(chǎn)品穩(wěn)定性、實用性、安全性等的問題的關(guān)鍵,合理的軟件架構(gòu)可以使得操作系統(tǒng)得到優(yōu)化,網(wǎng)絡(luò)容易集成,還能確保應(yīng)用互操作性。
6 安全體系架構(gòu)
安全體系結(jié)構(gòu)是面向資源的結(jié)構(gòu)模塊化設(shè)計,對文件、節(jié)點對象、協(xié)議類型、應(yīng)用行為、管理端口協(xié)議等資源直接進(jìn)行控制,極大的提高了網(wǎng)絡(luò)的安全性,并保證了配置的方便性。系統(tǒng)采用可縱向結(jié)構(gòu)層次化設(shè)計和橫向功能模塊化設(shè)計,使得安全系統(tǒng)的層次分明,系統(tǒng)結(jié)構(gòu)清晰合理。對象型設(shè)計模式在配置過程中需要先定義配置的對象,后續(xù)的配置都按配置進(jìn)行設(shè)置策略。一體化硬件設(shè)計要使用高速芯片加速處理網(wǎng)絡(luò)的數(shù)據(jù)報文。數(shù)據(jù)流區(qū)塊化導(dǎo)引比較則是結(jié)合網(wǎng)絡(luò)連接和當(dāng)前會話狀態(tài)進(jìn)行分析和監(jiān)控。
防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)安全產(chǎn)品在網(wǎng)絡(luò)安全中起著非常重要的作用。近年來,隨著防火墻發(fā)展人們對防火墻的要求越來越高,防火墻已不再是一個簡單的安全產(chǎn)品,而是網(wǎng)絡(luò)安全的代名詞。一般情況下,內(nèi)外網(wǎng)交界的位置對于網(wǎng)絡(luò)安全來說非常關(guān)鍵,為了降低網(wǎng)絡(luò)傳輸延遲,只有在這個位置放置防火墻、病毒檢測設(shè)備等。在實際使用中,如果能將防火墻、病毒檢測等相關(guān)安全產(chǎn)品聯(lián)合起來協(xié)同配合使用,充分發(fā)揮它們各自的長處,建立一個有效的安全防范體系,網(wǎng)絡(luò)安全性就可以有明顯的提升。
總之,隨著網(wǎng)絡(luò)信息化的發(fā)展,互聯(lián)網(wǎng)的安全威脅也越來越大,防火墻作為內(nèi)部網(wǎng)和外部網(wǎng)之間的一種訪問控制技術(shù),己經(jīng)成為保護網(wǎng)絡(luò)安全的一個重要措施。盡管防火墻的作用非常重要,但在網(wǎng)絡(luò)安全中不能把防火墻作為唯一的防御手段,還應(yīng)當(dāng)結(jié)合其他安全措施,建立全面的安全防御體系。
參考文獻(xiàn):
[1]張蓉、賈義,淺析防火墻的系統(tǒng)架構(gòu)及技術(shù)實現(xiàn),2010年,01期.
[2]劉立博,基于中間層驅(qū)動的分布式防火墻技術(shù)的研究,2007年,06期.
手術(shù)學(xué)實驗課程是醫(yī)學(xué)生由基礎(chǔ)醫(yī)學(xué)向臨床醫(yī)學(xué)過渡的橋梁課程,教學(xué)內(nèi)容中有大量的活體動物實驗操作項目,實驗中學(xué)生要接觸犬類等具有攻擊性的活體動物,而且在實驗操作過程中要使用手術(shù)刀、剪、縫針等銳利的手術(shù)器械,實驗中操作稍有不慎,極有可能造成實驗人員的受傷[2]。為防止此類傷害的發(fā)生,我們采取了以下措施。
1加強課前預(yù)警教育
無菌觀念培養(yǎng)、無菌技術(shù)訓(xùn)練是外科手術(shù)學(xué)實驗課的基本內(nèi)容。部分學(xué)生在開始接觸到無菌技術(shù)訓(xùn)練時,興趣不濃,學(xué)習(xí)積極性不高,教學(xué)效果難以保證。為建立并強化醫(yī)學(xué)生的無菌觀念,養(yǎng)成無菌操作的良好習(xí)慣,每次課前教師都會結(jié)合以往臨床實際工作中由于違反手術(shù)無菌操作技術(shù)要求、導(dǎo)致患者或醫(yī)護人員出現(xiàn)嚴(yán)重后果的相關(guān)案例介紹,讓學(xué)生在手術(shù)無菌技術(shù)訓(xùn)練前先接受健康防護預(yù)警教育[3],同時在授課過程中反復(fù)強調(diào)規(guī)范化地?zé)o菌技術(shù)在外科手術(shù)過程中的重要性。將預(yù)防手術(shù)接觸感染的健康教育與無菌技術(shù)操作訓(xùn)練相結(jié)合,可以有效提高學(xué)生的學(xué)習(xí)興趣,對學(xué)生提高防護意識、提升教學(xué)效果有十分重要的作用。
2實驗開始前動物的麻醉與固定環(huán)節(jié)
由于外科手術(shù)實驗使用的動物是家犬,具有極強的攻擊性,容易在麻醉過程中被其咬傷、抓傷。因此,實驗前動物的麻醉主要由實驗技術(shù)人員和教師在做好防護的基礎(chǔ)上[4],于實驗開始前做好麻醉工作。麻醉過程中,教師和技術(shù)人員邊操作邊講解操作要領(lǐng)、物的藥理與毒理作用、物的給藥劑量以及手術(shù)操作中的麻醉管理等。在麻醉完畢、完成動物手術(shù)部位的皮膚準(zhǔn)備后,由學(xué)生將動物領(lǐng)至實驗室,放置實驗手術(shù)臺上,在教師和技術(shù)人員指導(dǎo)下,捆綁、妥帖固定好。
3實驗過程中的要求
樹立牢固的無菌觀念、掌握正確的無菌技術(shù)不僅是減少患者術(shù)后感染等并發(fā)癥的重要前提,也是手術(shù)人員自我保護、免于被交叉感染的重要保障。在無菌技術(shù)訓(xùn)練過程中除了要建立、強化學(xué)生的無菌觀念、掌握正確的無菌操作技術(shù)外,強化學(xué)生的自我防護意識、加強教學(xué)安全與防護也是教學(xué)過程中不容忽視的重要內(nèi)容[5]。通過臨床手術(shù)醫(yī)護人員術(shù)中誤傷造成交叉感染案例的介紹,讓學(xué)生明白做好嚴(yán)格細(xì)致的術(shù)前無菌準(zhǔn)備工作,不僅僅是對患者負(fù)責(zé),也是對自己和同事負(fù)責(zé),提高學(xué)生對無菌觀念培養(yǎng)和無菌技術(shù)操作訓(xùn)練的重視程度。
手術(shù)學(xué)實驗是在活體動物身體上模擬臨床外科手術(shù)進(jìn)行操作,實驗過程中常常會使用手術(shù)刀、剪、縫針等銳利的手術(shù)器械。由于實驗動物是普通家犬,其身體是否帶有何種人畜共患病病原體具有不確定性,因此學(xué)生在手術(shù)實驗時做好細(xì)致的術(shù)前準(zhǔn)備工作如戴好口罩、帽子、穿好無菌手術(shù)衣、戴好無菌手套就顯得尤為重要。術(shù)中手術(shù)器械的傳遞和使用要安全、規(guī)范,以免造成誤傷。完好的無菌手套是隔離動物與人相互直接接觸的重要環(huán)節(jié)。術(shù)前要檢查手套有無破損,術(shù)中若手套被器械刺破,應(yīng)及時更換。術(shù)中如出現(xiàn)口罩、帽子被動物血液濺污或手術(shù)衣被污染浸濕應(yīng)及時更換,如血液濺至皮膚,應(yīng)立即用清水洗凈并用消毒劑進(jìn)行消毒處理。如術(shù)中出現(xiàn)被誤劃傷、刺傷情況,應(yīng)立即脫下手套,擠出污血,用流動清水沖洗傷口,然后用消毒液處理傷口,并及時去校醫(yī)院就診處理。
4實驗結(jié)束后的處理
在手術(shù)實驗結(jié)束后,要仔細(xì)觀察動物的蘇醒情況,在無明顯躁動的情況下,松開固定,將動物交給相關(guān)人員處理,消除手術(shù)結(jié)束后動物漸醒時可能出現(xiàn)的安全隱患。
在外科手術(shù)學(xué)實驗教學(xué)中加強安全防護教育,不僅對提高教學(xué)質(zhì)量、樹立學(xué)生的自我防護意識、杜絕教學(xué)安全事故的發(fā)生有重要作用,同時對高校培養(yǎng)合格的未來醫(yī)學(xué)人才、減少臨床醫(yī)療傷害的發(fā)生也有重要意義。
參考文獻(xiàn):
[1]左艷芳,郭光金,張?zhí)祜w,等.健康教育在手術(shù)學(xué)教學(xué)中的應(yīng)用[J].中國健康教育,2002,18(2):108.
[2]竇賀榮,周連生,曲愛娜,等.手術(shù)學(xué)教學(xué)實驗中意外損傷的防護[J].局解手術(shù)學(xué)雜志,2011,20(3):337.
[3]雷艷,朱志立,余匯洋,等.手術(shù)學(xué)教學(xué)中的安全管理與防護[J].局解手術(shù)學(xué)雜志,2008,17(5):348.
[關(guān)鍵詞] 網(wǎng)絡(luò)文件保險柜 終端數(shù)據(jù) 安全保護 安全內(nèi)核
0 引言
隨著信息化進(jìn)程的加快,保障數(shù)據(jù)的安全和可靠已經(jīng)成為所有部門信息化建設(shè)的重中之重,需要一種可靠、安全的信息存儲、交換和共享平臺。據(jù)調(diào)查,有60%~80% 的單位數(shù)據(jù)分散存儲在臺式或筆記本計算機中。而目前終端數(shù)據(jù)管理薄弱,因各種意外情況如軟件平臺故障、硬件設(shè)備損壞、病毒入侵、人為誤操作等經(jīng)常會導(dǎo)致用戶重要數(shù)據(jù)的丟失,造成經(jīng)濟損失。對此,越來越需要一種可以滿足終端數(shù)據(jù)安全集中存儲防護管理的要求,網(wǎng)絡(luò)文件保險柜產(chǎn)品應(yīng)運而生。
1 基于網(wǎng)絡(luò)文件保險柜的終端數(shù)據(jù)安全保護結(jié)構(gòu)體系
1.1 網(wǎng)絡(luò)文件保險柜的設(shè)計目的
由于許多終端數(shù)據(jù)具有時效性長和隱私性強的特點,為了解決存在服務(wù)器上易導(dǎo)致信息泄露與不存在服務(wù)器上數(shù)據(jù)不安全的矛盾,網(wǎng)絡(luò)文件保險柜系統(tǒng)采用文件生命周期管理的理念,建立安全防護體系,實現(xiàn)文檔安全管理的要求。
安全防護體系的思想是:在文檔生命周期過程中對相應(yīng)的系統(tǒng)定義了一個邏輯上的安全域,使得文檔在邏輯安全域內(nèi)受到集中安全可控管理。所謂文檔邏輯安全域,是指以文檔為基本單位,生命周期為時間過程,在相應(yīng)的系統(tǒng)內(nèi)所劃定的與其權(quán)限和使用范圍相一致的邏輯區(qū)域,也就是文檔被授權(quán)使用的邊界或?qū)ο蟆?/p>
為了實現(xiàn)文檔邏輯安全域的要求,采用了安全內(nèi)核、透明加解密、安全虛擬磁盤、硬件加密卡、終端安全防護等技術(shù),使得對文檔的操作完全在可控范圍內(nèi)完成。文檔從產(chǎn)生、保存、修改、歸檔及銷毀的生命周期,均在安全的環(huán)境內(nèi)進(jìn)行,從而保證信息不被泄露和免遭破壞。
1.2 網(wǎng)絡(luò)文件保險柜的系統(tǒng)架構(gòu)
網(wǎng)絡(luò)文件保險柜系統(tǒng)由服務(wù)器和客戶端設(shè)備等組成。系統(tǒng)架構(gòu)圖如圖1所示:
圖1 網(wǎng)絡(luò)文件保險柜系統(tǒng)架構(gòu)圖
在服務(wù)器端,硬件層的加密卡模塊承擔(dān)了服務(wù)端所有的加解密操作。安全內(nèi)核層的系統(tǒng)內(nèi)核(安全內(nèi)核)是我公司自主知識產(chǎn)權(quán)的成果,為整個安全防護體系從系統(tǒng)操作層提供了安全保障。應(yīng)用層實現(xiàn)了系統(tǒng)的用戶管理、權(quán)限管理、版本管理、共享管理、分發(fā)管理、檢索管理、歸檔管理、借閱管理等操作。
在客戶端,硬件層上所采用的加密卡或加密Key承擔(dān)了客戶端所有的加解密操作。驅(qū)動層的磁盤映射、透明加解密、網(wǎng)絡(luò)通訊控制、打印控制四大核心模塊實現(xiàn)了防止文檔主動泄密的有效管理,是應(yīng)用層各模塊功能實現(xiàn)的基礎(chǔ)。應(yīng)用層的邏輯加密盤映射是把服務(wù)器的用戶空間映射到客戶端,形成客戶端文檔操作的加密緩沖區(qū),這個加密緩沖區(qū)以物理盤的形式存在??蛻舳说乃形臋n操作結(jié)果都同步到服務(wù)端,不僅防止文檔丟失,而且實現(xiàn)了集中管理。由于采用了盤映射機制,因此可靠地實現(xiàn)了文檔的讀寫、打印、流轉(zhuǎn)以及復(fù)制、粘貼、移動等操作控制。
1.3 網(wǎng)絡(luò)文件保險柜的安全機制
網(wǎng)絡(luò)文件保險柜的安全機制采用安全內(nèi)核、終端安全防護、透明加解密、安全虛擬磁盤等軟件技術(shù),硬件加密卡、磁盤陣列技術(shù)、磁盤熱備用技術(shù)、電源冗余技術(shù)、溫度監(jiān)控技術(shù)等硬件技術(shù)。其中關(guān)鍵技術(shù)介紹如下:
1.3.1安全虛擬磁盤技術(shù)
安全虛擬磁盤技術(shù)是利用Windows操作系統(tǒng)中的磁盤驅(qū)動程序?qū)崿F(xiàn)磁盤仿真的虛擬磁盤數(shù)據(jù)存取技術(shù)。
虛擬磁盤技術(shù)主要通過虛擬磁盤驅(qū)動程序響應(yīng)I/O管理器發(fā)送給虛擬磁盤的IRP,處理I/O請求,對數(shù)據(jù)流實時加解密,并且此操作完全透明。
虛擬磁盤驅(qū)動程序負(fù)責(zé)將服務(wù)端硬盤空間映射到客戶端形成虛擬磁盤空間。引入虛擬磁盤技術(shù),對于重要電子文檔和普通電子文檔分開存儲提供了便利。所有重要電子文檔保存在虛擬磁盤中,普通電子文檔保存在其它磁盤中。這是系統(tǒng)設(shè)計的主要創(chuàng)新思路。
當(dāng)客戶端通過系統(tǒng)認(rèn)證,進(jìn)入安全域(即密態(tài))后,客戶端寫入到虛擬磁盤的內(nèi)容實時加密,讀取時實時解密。在密態(tài)下,客戶端的所有電子文檔都只能在虛擬磁盤空間中進(jìn)行讀寫操作,其安全由系統(tǒng)進(jìn)程監(jiān)控子程序來保證。
1.3.2自主研發(fā)的服務(wù)器端安全內(nèi)核
網(wǎng)絡(luò)文件保險柜的服務(wù)端所采用的安全內(nèi)核為國內(nèi)廠家自主研發(fā)的技術(shù)成果。其特點包括:屏蔽超級用戶、內(nèi)核級安全標(biāo)簽檢驗、內(nèi)核級的安全審計、強制訪問控制機制、文件系統(tǒng)加密等。
1.3.3基于文檔生命周期的安全防護體系
網(wǎng)絡(luò)文件保險柜產(chǎn)品采用了文檔透明加解密、安全虛擬磁盤、進(jìn)程監(jiān)控、網(wǎng)絡(luò)通訊監(jiān)控、打印監(jiān)控、剪貼板監(jiān)控、文件操作監(jiān)控等終端安全防護技術(shù),有效防止了文檔在客戶端的泄密。結(jié)合硬件加密卡技術(shù)以及服務(wù)端安全內(nèi)核技術(shù),使得文檔在終端的操作、網(wǎng)絡(luò)的傳輸、服務(wù)端的集中存儲及歸檔等過程,均在安全可控范圍內(nèi),從而構(gòu)成了文檔生命周期的安全防護體系,有效保證文檔的防泄密。
1.3.4網(wǎng)絡(luò)文件保險柜的模塊組成
網(wǎng)絡(luò)文件保險柜采用軟硬件結(jié)合,由網(wǎng)絡(luò)文件保險柜、管理引擎、數(shù)據(jù)庫和文件備份引擎、文件瀏覽客戶端構(gòu)成,網(wǎng)絡(luò)文件保險柜直接連接以太網(wǎng)。管理引擎安裝在管理員的微機上,實現(xiàn)對網(wǎng)絡(luò)文件保險柜的管理和信息查看。數(shù)據(jù)庫和文件備份引擎安裝在PC機及文件服務(wù)器上,實現(xiàn)數(shù)據(jù)庫和文件存儲備份任務(wù)的管理。文件瀏覽客戶方便用戶存取備份和數(shù)據(jù)瀏覽。網(wǎng)絡(luò)文件保險柜為整個系統(tǒng)的核心設(shè)備,實現(xiàn)數(shù)據(jù)的集中存儲備份。
當(dāng)下,我國很多銀行網(wǎng)絡(luò)安全體系中都運用到了訪問控制技術(shù),它成為了銀行金融網(wǎng)絡(luò)的一大保護屏障,也是銀行網(wǎng)絡(luò)安全體系的重要構(gòu)成。本文主要從訪問控制技術(shù)的角度來談?wù)勩y行要如何保護金融網(wǎng)絡(luò)安全,以期提出有益的建議。
【關(guān)鍵詞】銀行 網(wǎng)絡(luò)安全 訪問控制技術(shù)
計算機網(wǎng)絡(luò)的普及已經(jīng)深入到我們社會生活的各個角落,在銀行金融業(yè)務(wù)中,如何解決銀行網(wǎng)絡(luò)安全是銀行十分重視的問題。在這種背景下,訪問控制技術(shù)誕生了,并成為了銀行金融電子化及網(wǎng)絡(luò)安全保護的重要措施。
1 訪問控制概念及原理
1.1 訪問控制的概念
所謂訪問控制,就是一種允許或者限制范圍能力和范圍的方法,它是利用某種顯式的途徑來實現(xiàn),并且可以防御非法的資源使用行為。對于非法用戶的入侵行為,訪問控制可以限制其訪問重要資源,如果合法用戶因為失誤造成的破壞,訪問限制也可以進(jìn)行阻止,這樣就能夠讓銀行金融網(wǎng)絡(luò)受到良好的控制,被合法使用。用戶要想訪問系統(tǒng)資源,必須在自己的權(quán)限范圍內(nèi),禁止越權(quán)訪問。訪問控制技術(shù)不等于身份認(rèn)證,不過卻是以身份認(rèn)證為前提的。
1.2 訪問控制的原理
我們可以運用路由器上的訪問列表對數(shù)據(jù)包過濾。網(wǎng)絡(luò)數(shù)據(jù)包傳遞由訪問列表控制,并對虛擬終端線路通信量進(jìn)行限制,也可以對路由進(jìn)行控制。路由器產(chǎn)生的數(shù)據(jù)包并不是因為包過濾功能引起的,數(shù)據(jù)包到達(dá)一個端口之際,路由器會針對這種數(shù)據(jù)能不能以路由或者橋接的方法送出去進(jìn)行查驗。要是無法發(fā)送出去,路由器就會把這個數(shù)據(jù)包丟棄,反之,那么路由器會對這個數(shù)據(jù)包進(jìn)行檢查,以符合端口定義的包過濾規(guī)則為檢查依據(jù),要是不符合包過濾的要求就會禁止數(shù)據(jù)包通過,路由器也會將之丟棄。多條規(guī)則構(gòu)成了單個訪問列表,數(shù)據(jù)包的允許或禁止通過需要遵循輸入規(guī)則。號碼是訪問列表的標(biāo)志,相同的訪問列表需要一樣的號碼,列表中每個語句都是如此。訪問列表的正在應(yīng)用類型代表了號碼的使用范圍。
2 訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用
銀行金融網(wǎng)絡(luò)信息的整個系統(tǒng)都可以運用訪問控制技術(shù),例如:
2.1 應(yīng)用系統(tǒng)層
數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)等軟件是應(yīng)用系統(tǒng)的基礎(chǔ)構(gòu)架,它能夠讓具有不同需求的客戶在應(yīng)用需求方面獲得滿意的軟件程序的幫助。要開發(fā)應(yīng)用系統(tǒng),必須先有效地分析、規(guī)劃訪問控制措施。訪問控制措施必須運用到銀行信息系統(tǒng)里的關(guān)鍵綜合業(yè)務(wù)系統(tǒng)以及別的應(yīng)用系統(tǒng)中。各級柜員、管理者、自助設(shè)備等是綜合業(yè)務(wù)系統(tǒng)的主體,而相關(guān)的交易、操作則是客體。針對綜合業(yè)務(wù)系統(tǒng)里的安全管理環(huán)節(jié),應(yīng)該定義訪問控制措施的規(guī)則。不管是交易還是操作,只有根據(jù)規(guī)則來進(jìn)行,主體才有權(quán)進(jìn)行合理的訪問與執(zhí)行。
2.2 網(wǎng)絡(luò)層
路由器和三層交換機中會大量運用到訪問控制列表,主客體分別為源地址、端口號與目的地址,對控制列表的訪問則是按照相關(guān)的保護規(guī)則來進(jìn)行,如果數(shù)據(jù)包滿足保護規(guī)則要求,則允許通過,反之則被阻止。在MAC地址過濾中,待訪問目標(biāo)是客體,而MAC地址則是主體。保護規(guī)則都是根據(jù)定義MAC地址過濾列表來進(jìn)行的,只有符合該規(guī)則的MAC地址數(shù)據(jù)包才能得以通過。另外,還有一種常見的訪問控制技術(shù),那就是防火墻技術(shù)。網(wǎng)絡(luò)有內(nèi)網(wǎng)和外網(wǎng)之分,源端口號、源IP地址是主體,而目的端口號與IP地址是客體,以保護規(guī)則定義的方式讓遵循規(guī)則的數(shù)據(jù)包得以通過。
2.3 數(shù)據(jù)庫管理系統(tǒng)層
銀行金融網(wǎng)絡(luò)系統(tǒng)中,操作系統(tǒng)固然頭等重要,然而數(shù)據(jù)庫管理系統(tǒng)的重要性也是不言而喻的,它是應(yīng)用系統(tǒng)不可或缺的組成部分。在數(shù)據(jù)庫管理系統(tǒng)中,十分重要的一個安全措施就是訪問控制。用戶安全管理是數(shù)據(jù)庫管理的集中體現(xiàn)。系統(tǒng)對通過身份認(rèn)證的登錄信息會將之當(dāng)做主體,而數(shù)據(jù)庫管理系統(tǒng)中的文件、字段、數(shù)據(jù)庫、表以及系統(tǒng)操作則是客體,而字段與表會存在一些增刪、查詢、和修改方面的操作,而數(shù)據(jù)庫則存在恢復(fù)、備份等方面的操作。用戶的存取、訪問規(guī)則是用戶對數(shù)據(jù)庫存取控制的執(zhí)行依據(jù)。存取矩陣也能夠表示訪問控制規(guī)則。列在該矩陣中代表著系統(tǒng)客體是數(shù)據(jù)庫、字段以及表等等,而陣列各單元代表主體對客體或者不同主體的存取方法是增刪、查詢、修改等操作。
從操作系統(tǒng)的訪問控制安全角度講,訪問控制措施在數(shù)據(jù)庫管理系統(tǒng)中作用重大。數(shù)據(jù)庫管理系統(tǒng)成為了不少應(yīng)用系統(tǒng)的的設(shè)計依據(jù),系統(tǒng)的關(guān)鍵部分是數(shù)據(jù),其權(quán)限被用戶掌握以后,就能夠不經(jīng)過應(yīng)用系統(tǒng),直接通過操作數(shù)據(jù)庫的記錄,實現(xiàn)犯罪目的。所以,科技部門必須細(xì)致地分析設(shè)計數(shù)據(jù)庫系統(tǒng)的訪問控制措施,嚴(yán)格分析數(shù)據(jù)庫管理系統(tǒng)中主體的最小權(quán)限,然后據(jù)此對存取矩陣進(jìn)行設(shè)定。
通常數(shù)據(jù)庫管理系統(tǒng)權(quán)限是應(yīng)用系統(tǒng)最終用戶無法獲得的,這樣一來也不能直接操作數(shù)據(jù)庫管理系統(tǒng),要最大限度地不讓內(nèi)部和外包開發(fā)用戶對數(shù)據(jù)庫管理系統(tǒng)進(jìn)行直接登錄操作。以嚴(yán)格的管控措施減少直接操作授權(quán)。假如必須直接登錄操作,那么要針對部分表的部分字段來操作,不能授予內(nèi)部或者外包開發(fā)用戶全部權(quán)限。同時,針對查詢權(quán)限的授予,可以一定程度上降低要求,但要控制好增刪與修改操作。例如,一個用戶需要進(jìn)行客戶存款信息查詢,那么他被授權(quán)查詢姓名Name、住址Address 、存款余額Deposit3個字段的信息表User,不過只允許修改Address字段,但是嚴(yán)禁執(zhí)行插入或者刪除操作。
在不少情形下,個人征信系統(tǒng)、反洗錢系統(tǒng)等應(yīng)用系統(tǒng)都是主體。要創(chuàng)建對應(yīng)的用戶,則需參照應(yīng)用系統(tǒng)對數(shù)據(jù)庫管理系統(tǒng)的最小授權(quán)來進(jìn)行。在個人征信系統(tǒng)中,外包開發(fā)用戶要規(guī)劃系統(tǒng),那么需要同科技部門溝通,對應(yīng)用系統(tǒng)的最小授權(quán)集合進(jìn)行制訂??蛻糍J款信息數(shù)據(jù)表中的一些字段或許或會出現(xiàn)在個人征信系統(tǒng)中,那么存款信息之類的數(shù)據(jù)庫表就不應(yīng)該被訪問,可以允許查詢。分析訪問控制措施,可以極大地減少因為內(nèi)部和外包開發(fā)員的過渡授權(quán)而產(chǎn)生的金融安全風(fēng)險。
2.4 操作系統(tǒng)層
有著訪問控制措施的常用操作系統(tǒng)主要注重對用戶進(jìn)行安全管理。用戶的身份認(rèn)證關(guān)系到訪問控制權(quán)限,也是訪問控制執(zhí)行的依據(jù)。身份認(rèn)證的方法有很多種,比如口令與指紋、身份卡與口令以及USB鑰匙等等。系統(tǒng)會禁止缺乏正確身份認(rèn)證的用戶,如果認(rèn)證成功,那么登錄身份信息將被系統(tǒng)當(dāng)做主體。而系統(tǒng)設(shè)備、文件、操作、進(jìn)程則是客體,一般會出現(xiàn)讀寫、運行和刪除及修改等行為。對于用戶的識別和存取訪問規(guī)則是由用戶對信息存取控制的來確定。系統(tǒng)對不同的用戶會授予不一樣的存取權(quán)限,比如寫入或者讀取被允許。存取矩陣模型一般被用來表示訪問控制規(guī)則,大型矩陣陣列則可以用來表示系統(tǒng)的安全情況。行在這種矩陣中代表系統(tǒng)主體,系統(tǒng)的客體則用列表示。主體對客體或者不同主體的存取是以陣列單元的填入數(shù)值來描述。數(shù)據(jù)庫管理系統(tǒng)以及操作系統(tǒng)都能夠使用這種模型。
要想對內(nèi)部與外包開發(fā)人員進(jìn)行有效限制,就需要合理配置訪問控制措施,這樣才能讓他們不會故意越權(quán)操作系統(tǒng)。如果配置不佳,就會讓內(nèi)部和外包開發(fā)員有過多的權(quán)限,不利于銀行金融網(wǎng)絡(luò)的安全??萍疾块T必須細(xì)致地分析設(shè)計操作系統(tǒng)的訪問控制措施,嚴(yán)格分析文件系統(tǒng)中用戶的最小權(quán)限,然后據(jù)此對存取矩陣進(jìn)行設(shè)定。
2.5 防火墻
訪問控制技術(shù)在銀行金融網(wǎng)絡(luò)防火墻中也有廣泛的運用。從網(wǎng)絡(luò)防火墻技術(shù)上來講,網(wǎng)絡(luò)具有內(nèi)外網(wǎng)之分,該項技術(shù)可用于對所有的內(nèi)外和外網(wǎng)通信應(yīng)用協(xié)議的分析,由此查找出主機的IP地址和IP上聯(lián)端口號,并對業(yè)務(wù)流進(jìn)行有效的規(guī)劃,進(jìn)而合理控制對應(yīng)的業(yè)務(wù)流。源IP地址、目的IP地址、源上聯(lián)端口號、目的上聯(lián)端口號中的訪問權(quán)限都可以利用防火墻技術(shù)來進(jìn)行最大化的限制,能夠?qū)I(yè)務(wù)流的通斷進(jìn)行限制,以保證銀行的金融業(yè)務(wù)安全。
3 結(jié)語
總的來說,訪問控制措施必須符合相關(guān)的要求,即制定嚴(yán)格、遵循最小特權(quán)、職責(zé)分離與多人負(fù)責(zé),這樣才能讓金融網(wǎng)絡(luò)變得更加安全,對非法用戶的阻止是很有效的。特別是當(dāng)前銀行經(jīng)常出現(xiàn)的內(nèi)部與外包開發(fā)人員越權(quán)操作系統(tǒng)的案件,所以銀行必須科學(xué)而合理地使用訪問控制技術(shù),以保證銀行金融網(wǎng)絡(luò)的安全。
參考文獻(xiàn)
[1]戚文靜,劉學(xué).網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:中國水利水電出版社,2005.
[2]蔣茜,張帆.訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用[J].重慶工學(xué)院學(xué)報(自然科學(xué)).2008,22(12):153-154.
[3]王鐵剛.淺談“訪問控制”技術(shù)在銀行網(wǎng)絡(luò)安全中的運用[J].計算機光盤軟件與應(yīng)用,2012(20):127-128.
中圖分類號:TN711 文獻(xiàn)標(biāo)識碼:A文章編號:41-1413(2012)01-0000-01
摘 要:網(wǎng)絡(luò)帶給人們的便利之一就是信息資源共享,然而,與之俱來的是來自各方的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)針對大規(guī)模的網(wǎng)絡(luò)進(jìn)行預(yù)警,但傳統(tǒng)的系統(tǒng)存在對未知的攻擊缺乏有效的檢測方法、對安全問題的檢測通常處于被動階段.本文主要介紹NAT技術(shù)的特點及網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中穿越防火墻/NAT技術(shù)的實現(xiàn)方法,使網(wǎng)絡(luò)信息傳遞更安全、更快速、更準(zhǔn)確。
關(guān)鍵詞:網(wǎng)絡(luò)安全預(yù)警NAT防火墻/NAT的穿越
0 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
0.1 功能及體系結(jié)構(gòu)
網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要具有評估不同攻擊者造成的信息戰(zhàn)威脅、提供信息戰(zhàn)攻擊的指示和報警、預(yù)測攻擊者的行為路徑等功能。
目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)通常采用多層式結(jié)構(gòu),以入侵檢測系統(tǒng)作為中心,對受保護的網(wǎng)絡(luò)進(jìn)行安全預(yù)警。該類系統(tǒng)通常由嗅探器模塊、安全管理中心、遠(yuǎn)程管理系統(tǒng)服務(wù)器、遠(yuǎn)程終端管理器組成。嗅探器模塊按一定策略檢測網(wǎng)絡(luò)流量,對非法的流量進(jìn)行記錄以便審計,并按照安全策略進(jìn)行響應(yīng);安全管理中心管理嗅探器運行,并生成及加載嗅探器需要的安全策略,接受嗅探器的檢測信息,生成審計結(jié)果;遠(yuǎn)程管理系統(tǒng)服務(wù)器負(fù)責(zé)監(jiān)聽控制信息,接收控制信息傳遞給安全管理中心,為實現(xiàn)遠(yuǎn)程管理實現(xiàn)條件;遠(yuǎn)程終端管理器為用戶提供遠(yuǎn)程管理界面。
0.2 局限性
但是隨著目前網(wǎng)絡(luò)安全形勢的日漸嚴(yán)峻,傳統(tǒng)的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)逐漸顯示出以下幾方面的不足:
(1)目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要以入侵檢測系統(tǒng)的檢測結(jié)果作為預(yù)警信息的主要來源。由于入侵檢測系統(tǒng)檢測的被動性,使得預(yù)警自身就存在被動性,無法積極對受保護的網(wǎng)絡(luò)實施預(yù)警。另外對于所保護系統(tǒng)產(chǎn)生威脅的根源―受保護系統(tǒng)自身的漏洞重視不夠,從而當(dāng)面對新的攻擊時往往束手無策,處于極度被動的局面。
(2)新的攻擊手段層出不窮,而作為中心的入侵檢測系統(tǒng)在新的攻擊面前顯得力不從心。雖然目前也出現(xiàn)了一些啟發(fā)式的檢測方法,但是由于誤報率或者漏報率比較高,在實際使用時也不太理想。
(3)預(yù)警信息傳送的時效性。目前令人可喜的是用戶己經(jīng)注意到了安全問題,所以采用了一些安全部件如防火墻、入侵檢測系統(tǒng)等對網(wǎng)絡(luò)進(jìn)行保護,但是同時也為預(yù)警信息的傳送帶了問題,即如何穿越防火墻/NAT進(jìn)行信息的實時、有效傳送就是一個關(guān)鍵的問題。
(4)傳統(tǒng)的網(wǎng)絡(luò)預(yù)警系統(tǒng)中著重在預(yù)警,相應(yīng)的響應(yīng)很少或者沒有。
1 NAT技術(shù)
1.1 概念
NAT,即Networ Address Translation,可譯為網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯。它是一個IETF標(biāo)準(zhǔn),允許一個機構(gòu)以一個地址出現(xiàn)在Internet上。NAT將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成一個IP地址,反之亦然。它也可以應(yīng)用到防火墻技術(shù)里,把個別IP地址隱藏起來不被外界發(fā)現(xiàn),使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備。同時,它還幫助網(wǎng)絡(luò)可以超越地址的限制,合理地安排網(wǎng)絡(luò)中的公有Internet地址和私有IP地址的使用。
1.2 分類
1.2.1 靜態(tài)NAT(Static NAT)
即靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,IP地址對是一對一的,是一成不變的,某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。私有地址和公有地址的對應(yīng)關(guān)系由管理員手工指定。借助于靜態(tài)轉(zhuǎn)換,可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問,并使該設(shè)備在外部用戶看來變得“不透明”。
1.2.2 動態(tài)地址NAT(Pooled NAT)
即動態(tài)轉(zhuǎn)換動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時,IP地址對并不是一一對應(yīng)的,而是隨機的。所有被管理員授權(quán)訪問外網(wǎng)的私有IP地址可隨機轉(zhuǎn)換為任何指定的公有IP地址。也就是說,只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時,就可以進(jìn)行動態(tài)轉(zhuǎn)換。每個地址的租用時間都有限制。這樣,當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時,可以采用動態(tài)轉(zhuǎn)換的方式。
1.2.3 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)
即端口多路復(fù)用通過使用端口多路復(fù)用,可以達(dá)到一個公網(wǎng)地址對應(yīng)多個私有地址的一對多轉(zhuǎn)換。在這種工作方式下,內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問,來自不同內(nèi)部主機的流量用不同的隨機端口進(jìn)行標(biāo)示,從而可以最大限度地節(jié)約IP地址資源。同時,又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機,有效避免來自Internet的攻擊。因此,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。
1.3 常用穿越技術(shù)
由于NAT的種類不同,所以具體對于NAT的穿越技術(shù)也有所不同。目前比較典型的穿越技術(shù)是協(xié)議隧道傳輸和反彈木馬穿透。前者,采用直接從外網(wǎng)往內(nèi)網(wǎng)連接的方式,利用防火墻通常允許通過的協(xié)議(如HTTP協(xié)議),將數(shù)據(jù)包按協(xié)議進(jìn)行封裝,從而實現(xiàn)從外網(wǎng)向內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)傳輸,但是如果數(shù)據(jù)在通過防火墻時經(jīng)過了NAT轉(zhuǎn)換,就會失效;后者是采用由內(nèi)向外的連接方式,通常防火墻會允許由內(nèi)向外的連接通過,但是沒有真正解決防火墻的穿越問題,無法解決對于由外向內(nèi)的對實時性要求較高的數(shù)據(jù)傳輸,并且對于應(yīng)用型防火墻,穿越時也比較困難。
2 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中防火墻/NAT的穿越
2.1 應(yīng)用型防火墻檢測及信息注冊模塊
本模塊主要用于驗證發(fā)送方和接收方的報文是否能通過自身所在網(wǎng)絡(luò)的防火墻,尤其是穿越應(yīng)用服務(wù)器的注冊相關(guān)信息,并獲取必要的信息。
當(dāng)發(fā)送方或接收方存在應(yīng)用型防火墻時,可由發(fā)送方或接收方連接服務(wù)器,從而建立映射關(guān)系。由于發(fā)送方或接收方采用TCP連接方式連接服務(wù)器,所以映射關(guān)系可以一直保持。所以當(dāng)服務(wù)器與主機連接時只需要知道相應(yīng)的服務(wù)器地址、端口即可,而這些信息又可以從全局預(yù)警中心的注冊信息中獲得,從而解決了穿越應(yīng)用型防火墻的問題。
2.2 陣雨NAT及包過濾、狀態(tài)檢測型防火墻檢測模塊
本模塊主要用于檢測接收方所在網(wǎng)絡(luò)是否存在NAT以及是否存在類型為包過濾和狀態(tài)檢測類型的防火墻。在NAT檢測報文中包含接收方的IP地址和端口,當(dāng)?shù)竭_(dá)發(fā)送方或者全局預(yù)警中心時,通過檢查NAT檢測報文的來源IP及端口,再比較報文中的IP地址和端口,若相同,則未經(jīng)過NAT,否則經(jīng)過了NAT。單從訪問控制來說,包過濾和狀態(tài)檢測類型的防火墻可能會阻止由外網(wǎng)到內(nèi)網(wǎng)的連接,但是,它不會改變連接的目的地址以及端口,所以通過向指定測試端口發(fā)送連接請求可看出是否有此類型的防火墻阻隔。
2.3 NAT映射維持模塊
本模塊主要根據(jù)NAT及包過濾、狀態(tài)檢測型防火墻檢測模塊的檢測結(jié)果,反映出不同的映射維持。
當(dāng)接收方所在網(wǎng)絡(luò)存在NAT時,經(jīng)過映射維持,使得在接收方所在網(wǎng)絡(luò)的NAT處始終保持了一條接收方外網(wǎng)地址與內(nèi)網(wǎng)地址的映射關(guān)系,從而使得發(fā)送方只要根據(jù)接收方的外網(wǎng)地址和端口即可與接收方直接通信,從而解決了外網(wǎng)與內(nèi)網(wǎng)直接通信的問題。
當(dāng)接收方所在的網(wǎng)絡(luò)不存在NAT,但存在狀態(tài)檢測、包過濾類型的防火墻時,由于不斷發(fā)送的NAT維持報文的存在,相應(yīng)地在防火墻處開放了相應(yīng)的端口,使得發(fā)送方可以從外到內(nèi)通過此端口進(jìn)行信息傳送。
2.4 信息傳送模塊
防火墻的問題。對于一般類型的包過濾、狀態(tài)檢測防火墻,因為通信內(nèi)容已封裝成HTTPS協(xié)議的格式,所以對于從防火墻內(nèi)部向外部的連接可穿越此類型的防火墻。對于從防火墻外部到內(nèi)部的連接, NAT映射維持模塊中NAT映射報文的存在也巧妙的解決了信息傳送的問題。
3 結(jié)束語
本文采用HTTPS封裝實際傳輸數(shù)據(jù),可以使得數(shù)據(jù)安全傳送,保證了信息可以穿越防火墻/NAT進(jìn)行。但也存在著增加硬件額外開銷、NAT映射相對維持報文較頻繁等缺點,這些有待在進(jìn)一步的研究中予以解決。
參考文獻(xiàn):
[1]肖楓濤.網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)關(guān)鍵技術(shù)研究與實現(xiàn) [D].長沙:國防科學(xué)技術(shù)大學(xué).2009.
[2]張險峰等.網(wǎng)絡(luò)安全分布式預(yù)警體系結(jié)構(gòu)研究[J].計算機應(yīng)用.2011.05.