系统搭建及应用(精选八篇)
系统搭建及应用 篇1
为了保证信息安全, 各企业都在构建自身的安全体系, 从防火墙, 入侵检测、关键服务器系统的安全加固等多种安全技术及措施, 特别对大型企业, 随着信息化建设的进一步深入, 企业内部网络带宽的提升, 各类信息系统的开发及应用, 使企业的经营管理水平得到提高, 信息化带动工业化, 信息化推动企业不断创新得到体现。
同时, 信息化的普及提升了管理上的复杂度。为保证企业信息安全, 对联网计算机安全性的关注程度进一步增强。企业中一台联网计算机感染病毒或木马, 会迅速传播到企业的所有联网计算机。或者外部一台存在安全隐患的计算机, 未经认证和授权接入企业网络从而威胁到其它用户。而且, 随着企业联网计算机用户的不断增加, 信息主管部门对联网计算机管理难度不断增大, 企业联网计算机系统的合规性得不到落实, 对企业的信息安全管理带来挑战。构建企业联网计算机安全准入系统, 加强对企业联网计算机的规范管理, 是信息主管部门重要职责。
S y m a n t e c公司的S E P (S y g a t e Enterprise Protection) 系统, 即是基于以上考虑的一个网络端点准入平台, SEP系统通过强制联网计算机符合系统健康策略更好地保护网络资产, 有效地保证远程的连入计算机的安全、提高移动计算机和内部网络的安全性。
SEP系统功能分为四大部分:
第一是终端保护, 包括了主机的防火墙 (如反ARP病毒) 、主机入侵防御、主机防病毒 (结合SAV) 、系统安全检查等功能。
第二是终端管理, 可以通过该功能限制并控制主机上的应用程序, 比如说对IM (即时通讯) 程序, 可以根据用户的需求制定一个黑名单或者白名单, 限制软件的使用。
第三是终端修复功能, 通过结合SMS系统来管理补丁分发及文件分发。
第四是网络准入控制功能, 这个功能是SEP的核心功能, 它会把前面三大类别功能有机结合在一起, 使前面的功能发挥最大的效益。
从图1中我们可以看出, 该产品还有一些很明显的特点, 它可以管理笔记本、台式机、手持设备以及一切端点设备。企业可以灵活制定安全策略, 通过该产品可以运用强制的技术手段保证企业文件能够落到实处, 在技术上有一个支撑平台。采用智能的全自动方式, 不需要管理员手工介入。
另外系统管理员可以操作系统更新程度、防毒软件病毒库更新程度以及系统内软件安装程度等作为准则, 创建自定义的健康策略, 以在允许访问或通信之前验证计算机的健康状况、自动更新符合要求的计算机以确保持续的符合性, 也可以将不符合要求的计算机限制到受限网络, 直到它们变为符合为止, 从而彻底杜绝企业网络内部病毒或木马利用网络薄弱环节进行传播和扩散的可能。
2. 某油田企业网络及联网计算机管理现状
某企业计算机网络由主干网、机关园区网和二级单位园区网三部分组成。
主干网指公司核心网络和各二级区域网之间的网络系统。共有机关和二级单位等十几个主要中心汇接点。分为主干光纤网和备份网两部分。主干光纤网由4台核心交换机和若干个中心汇接点中心交换机组成。网络拓扑结构为核心层是10Gb/s环形网, 与其他园区网做星型连接, 连接速率为1Gb/s。其中部分二级单位之间接有1G冗余信道。
主干备份网是由网络核心层与园区网通过DDN信道建立的网络, 速率为2-4M。备份网的核心路由器是Cisco7206, 各中心路由器是Cisco2851或2610。核心路由器与核心交换机相连;各个中心路由器与相应的中心交换机相连。平时数据信息在主干光纤网中传输, 只有当主干光纤和冗余信道中断后, 备份网才可以自动启动。
十几个二级单位园区网与公司核心网络采用星型连接。各园区网中心交换机均为Cisco4500系列。园区主干网络速率100/1000M连接, 10/100M到桌面, 传输介质是单/多模光纤与双绞线的组合。
因特网出口租用两条100M线路, 使用代理服务器和防火墙各两台, 为公司5000用户提供因特网业务服务。
企业网络拓扑结构如图2
所有联网计算机的管理情况如下:
统一安装S y m a n t e c防病毒企业版 (Symantec Anti-Virus, SAV) , 病毒定义由防病毒服务器定期统一进行升级;
统一安装微软系统管理服务器 (Systems Management Server, SMS) , 定期由服务器端统一分发安全补丁程序;
无网络管理软件对网络或节点进行统一管理。
如上所述, 该企业网络内部虽然部署了防火墙、联网计算机安装了防病毒和补丁分发软件进行统一管理, 但没有对联网计算机进行强制管理, 也没有网络管理软件对网络和节点进行统一管理。此时, 如果某台联网计算机没有安装防病毒或者补丁分发软件, 假如某种病毒 (木马, 如ARP病毒) 利用该计算机操作系统的安全漏洞对网络或节点进行攻击, 由于Intranet上的网络高效性, 届时受到影响的就不单是某台计算机或者网络上的某个区域。
因此, 为了从根本上解决企业网内部的薄弱性, 需要制定以下几点策略:
1) 加强内部联网计算机的规范管理, 部署统一的安全措施。
2) 检查内部联网计算机的主机完整性并予以统一的保护。
3) 对内部不合规的联网计算机予以统一的修复。
4) 对外来移动节点接入企业网络的准入控制。
综合以上考虑, 结合SEP系统平台的特点与功能, 对该企业部署SEP系统是十分必要的。
3. 实现SEP的工作思路及策略
3.1 搭建SEP相关的系统平台经分析该企业的网络情况如下:
1) 目前, 该企业整体客户端数量统计为5000个节点, 采用固定与动态结合的地址分配方式。
2) 该企业总部有两条统一集中的Internet出口, 所有客户端通过代理服务器访问互联网。
3) 另外十几家二级单位通过内部链路直接连接核心网络, 连接处采用Trunk方式, 不能使用Gateway Enforcer。
4) 各二级单位有专门的DDN专线备份链路, 并专线连接到总部核心设备。
5) 为了提供远程办公, 该企业提供VPN拨入。
由于该企业客户端数量比较多, 而且网络环境比较复杂、规模相对庞大, 故决定使用硬件平台搭建SEP系统, 即利用策略管理服务器 (S P M) 与Gateway Enforcer和LAN Enforcer配合组建硬件平台的方式。
与仅使用软件的方式相比而言, 全部基于硬件的平台搭建方式具有明显的高可靠性、可用性和弹性, 在以后客户端数量不断增加的情况下, 硬件平台也能够应付自如。
3.2 在网络的部署及连接方式
根据以上对该企业的网络分析, 计划部署SEP平台如下:
1) 在总部部署二台策略管理服务器 (SPM) , 一台作为策略分发管理服务器, 一台作为数据库服务器, 对所有已经安装Agent的客户端进行策略制定和日常管理。
2) 在两台代理服务器与核心Cisco6509之间部署两台正常工作模式下的Gateway Enforcer, 实现对所有访问Internet的终端的强制管理。
3) 在内部部署两台LAN Enforcer, 用以实现对该企业网络接入层客户端安全性的强制检查。两台LAN Enforcer作为互备, 以防网络出现单点故障。但由于L A N Enforcer工作需要交换机的802.1x的支持, 因而可在满足条件的网段内进行强制管理。
4) 使用SPM服务器作为修复服务器。采用分担方式来对该企业约5000客户端进行下发策略管理。
服务器具体配置如表1。
网络拓扑结构如图4。
上述方案的一个明显特点就是双机双线路互备, 此种部署方式杜绝了网络单点故障的问题, 确保了企业的扩展能力和损害恢复能力。
整个Enforcer部署后, 能够管理全部的终端。如果全网所有的接入层交换机均支持802.1X, 那么对此种架构的网络部署LAN Enforcer, 不需要再部署Gateway Enforcer;而由于该公司的接入层交换机大部分是Cisco2950或3550, 均支持802.1x协议, 但仍有部分用户由于办公条件限制, 使用了不支持802.1x协议的交换机和集线器, 所以两台Gateway Enforcer和两台LAN Enforcer均是必需的。
3.3 对联网计算机实现的策略
搭建SEP系统平台的最终目的是对企业网络的有效管理, 安全策略的制定和分发是保障这一目标的最终手段。在SEP系统中, 实现了多层次的安全防护策略, 归结起来是:事前预防、事中隔离、事后修复和AV联动。具体如图5。
根据如上安全防护策略体系, 在该企业中, 将利用SEP产品具体实施以下策略:
初步策略是防病毒和补丁分发软件强制。通过SEP中ENFORCER技术来强制各终端必须安装统一的SAV客户端, 并强制各终端的杀毒软件及时更新病毒定义;通过SEP AGENT (SPA) 强制各终端安装S M S补丁分发软件客户端, 并通过ENFORCER技术轮询检查终端SMS的状态。初步策略要求客户端的SPA安装率达到90%左右后开始分发。
最终策略是在实现初步策略的基础上, 根据企业的具体情况和管理措施进一步细化和完善终端安全策略, 实现终端安全的有效管理。
4. 具体配置方法
4.1 Gateway Enforcer配置方法1
1)系统启动
Symantec 6100第一次启动会运行初始化向导, 此时时会要求选择三种Enforcer模式, 即Gateway/DHCP/LAN, 根据向导提示按实际需要设置即可。
2) 第一台Gateway Enforcer设置
设置eth0 (与核心交换机互联) 的IP地址:
configure interface set eth0 ip 192.168.0.21 netmask 255.255.255.0
该命令将eth0的IP地址设置为192.168.0.21, 将网络掩码设置为255.255.255.0。
设置eth1 (与代理服务器互联) 的IP地址:
configure interface set eth0 ip 192.168.0.22 netmask 255.255.255.0
该命令将eth1的IP地址设置为192.168.0.22, 将网络掩码设置为255.255.255.0。
3) 第二台Gateway Enforcer设置方法同上。
4) 使用配置spm命令设置与Policy Manager的连接
第一台gateway enforcer服务器SPM配置命令:
Spm ip 192.168.0.210 http 80 key12345 group XXGS-GG1
第二台gateway enforcer服务器SPM配置命令:
Spm ip 192.168.0.211 http 80 key12345 group XXGS-GG2
使用show status命令查看enforcer的状态
出现以下显示:
5) 添加路由信息:
输入configure命令进入enforcer的配置模式下执行下面命令添加路由信息:
Route add 0.0.0.0 network 0.0.0.0 device eth1 gateway 10.70.5.1
使用show route命令查看配置完成后应该显示的信息:
在enforcer模式下输入L命令切换到linux模式下:
使用c d命令进入/p r o c/s y s/sysgate_enforcer/conf/advanced/目录下执行
echo 0>sms_locates_inside
在/proc/sys/sysgate_enforcer/conf/目录下执行
echo 1>apply_config
4.2 LAN Enforcer配置方法
设置方法与Gateway Enforcer同。需要在核心交换机的连接端口上启用802.1x协议。
4.3 SPM配置方法
S P M服务器共需三个组件, 分别为Windows Server 2003、SQL Server 2000SP4、Symantec Policy Manager 5.1。三个组建默认安装即可, 安装完SPM 5.1之后, 按向导提示配置数据库。 (具体参见《Symantec Policy Manager安装指南》) 配置完成首次登录界面如图6。
如果没有看到此画面, 可以从“程序”、Symantec Policy Manager、“Symantec策略管理控制台”登录。首次登录用户密码均为admin。
4.4 策略管理器的应用方法
SPM登录后的画面如图7。
用户界面功能如图8。
因为安全设置通常需要根据用户登录到公司网络时所在处所的不同而相应变化, 因此可以创建不同的处所来满足这种需要。可能的处所包括:
1) 办公室 (在公司办公室内工作)
2) 远程办公室 (在远程公司地点工作)
3) VPN (使用来自外部处所的VPN)
4) 家庭 (通过Internet服务提供商在家庭处所中工作)
当处所发生变动时代理会自动进行处所切换。添加处所时选策略 (Policies) 选项卡, 在策略树中用户和计算机 (Users and Computers) 或某个特定组中添加处所 (Add Location) , 将出现添加处所向导, 此时按向导添加即可。
为了设置和分发安全策略, 我们经常要用到的是策略 (Policies) 选项卡。SEP提供了三种策略类型:
1) 防火墙策略:指定可信应用程序、可信主机、服务、所允许应用程序的相关适配器、网络连接以及在允许访问企业网络前组织希望强制执行的限制条件。
2) 主机完整性策略:保护所有网络入口点, 包括内部网络、VPN、无线网络和远程访问服务 (RAS) 拨号服务器。检查是否安装有防火墙、防病毒软件、反间谍软件、补丁程序、Service Pack或其他必需的应用程序及其更新状态。
3) 操作系统保护策略:用于在运行Symantec Agent的计算机上保护注册表, 保护指定的文件或目录并控制进程、DLL和应用程序执行情况的安全规则和设置。
此处我们要用到的是主机完整性策略。一般在策略库中保留广泛使用的主机完整性策略。这样就可以编辑并替换所有组中的策略以及使用该策略的所有处所。在库中创建主机完整性策略包括以下主要步骤 (具体请参见《Symantec Policy Manager管理指南》) :
1) 添加策略和基本信息
2) 添加要求
3) 指定高级设置
4) 保存策略
5) 应用策略
4.5 对联网计算机所做的工作
策略制定后, 即可将之部署到企业的处所中, 此时便要求在联网计算机中安装S P A。使用策略管理器的客户端管理器 (Client Manager) 选项卡部署代理软件。SPA安装率达到90%后即可使策略上线。
5. 应用效果
该企业部署了SEP系统之后, 大大减轻了桌面维护人员的工作负担, 企业网内终端安全性能有了明显的提高。具体如图9。
由图9我们可以看到, 部署SEP系统之前, 企业内的技术维护人员整日忙于终端的桌面安全, 因端点众多和工作效率制约而安全性能不高;也就是说, 该企业每年始终有近千台次的终端始终被各种安全问题所困扰。在部署SEP系统之后, 从技术上彻底提升了企业网络内部终端这一安全薄弱环节的安全性能, 剩下一点, 则需要管理层上政策与制度的配合, 当行政与技术手段相结合后, 即可从根本上解决一直困扰企业信息管理部门和技术支持人员的终端安全问题。
6. 几点认识
当传统的安全技术 (A n t i v i r u s、Firewall、IDS/IPS等) 努力保护被攻击的对象时, 它们对于保障企业网络的可用性却无能为力, 更不要说能确保企业的弹性与损害恢复能力。SEP系统则颠覆了以往安全产品被动防护的思路, 采用积极部署的理念和主动管理的技术, 从终端着手, 通过主动部署安全策略, 对接入私有网络的主机进行安全性及合规性检测, 自动拒绝不安全的主机接入保护网络直到这些主机符合网络内的安全策略为止。
SEP系统完全体现了集中化和人性化的信息管理趋势, 符合“以人为本”的科学理念。通过部署SEP安全平台, 我们完善了信息安全系统包括的安全防护、安全监测与安全恢复三种机制, 解决了一直困扰企业网络安全管理的问题, 提高了网络的整体可用性与有效性, 使技术人员的管理水平和企业员工的安全意识得到了质的提高, 消除了企业网一直存在的安全薄弱环节。
参考文献
[1] (美) 康弗瑞 (Convery, S.) 著, 王迎春, 谢琳, 江魁译.网络安全体系结构.人民邮电出版社.2005.
[2] (美) 克莱姆 (Clemm, A.) 著, 詹文军, 杜晓峰, 刘玉鹏译.网络管理技术构架.人民邮电出版社.2008.
[3]闫宏生, 王雪莉, 杨军编著.计算机网络安全与防护.电子工业出版社.2007.
[4]李军著.信息泄漏防范何去何从.计算机安全.2006.
[5]邢海韬, 孙宁青, 吴伟琦著.广西柳工机械股份有限公司网络的准入控制管理方案.广西科学院学报.2007.
系统搭建及应用 篇2
关键词: 加速度传感器; 电路接口; Windows ARM嵌入式系统; 驱动
中图分类号:TPN39 文献标志码:A 文章编号:1006-8228(2013)01-30-02
Construction of circuit structures and implementation of driver of acceleration sensor in embedded system
Du Shiying
(Jiaxing Vocational Technical College, Jiaxing, Zhejiang 314036, China)
Abstract: With the development of science and technology, the acceleration sensor is widely applied in the phone, PAD, anti-theft and other electronic equipment products. Most acceleration sensors are constructed in Android or IOS platform, rarely in Windows ARM platform. In this paper, from the aspects of the principle of the sensor circuit interface as well as circuit interface and driver implementation, the application of acceleration sensor in the Windows ARM embedded systems is introduced.
Key words: acceleration sensor; circuit interface; windows ARM embedded systems; driver
0 引言
加速度传感器[1]是一种能够测量加速力的电子设备。加速力就是当物体在加速过程中作用在物体上的力,就好比地球引力,也就是重力。加速力可以是个常量,比如g,也可以是变量。加速度计有两种:一种是角加速度计,是由陀螺仪(角速度传感器)改进的;另一种是线加速度计。
线加速度计的原理是惯性原理,也就是力的平衡,A(加速度)=F(惯性力)/M(质量),所以只需要测量F即可。测量F可以用电磁力去平衡这个力,得到F对应于电流的关系,并用实验去标定这个比例系数。当然中间的信号传输、放大、滤波就是电路的事了。多数加速度传感器是根据压电效应的原理来工作的。
所谓的压电效应就是对于不存在对称中心的异极晶体加在晶体上的外力除了使晶体发生形变以外,还将改变晶体的极化状态,在晶体内部建立电场,这种由于机械力作用使介质发生极化的现象称为正压电效应。
一般加速度传感器[2]就是利用了其内部由于加速度造成的晶体变形这个特性。由于这个变形会产生电压,只要计算出产生电压和所施加的加速度之间的关系,就可以将加速度转化成电压输出。当然,还有很多其他方法来制作加速度传感器,比如压阻技术,电容效应,热气泡效应,光效应等,其最基本的原理都是由于加速度使某个介质产生变形,通过测量其变形量,并用相关电路转化成电压输出。
1 加速度传感器外部接口以及与SOC接口电路
1.1 外部接口
MEMSIC器件是基于单片CMOS集成电路制造工艺而生产出来的一个完整的双轴加速度测量系统,就像其他加速度传感器有重力块一样,MEMSIC器件是以可移动的热对流小气团作为重力块。器件通过测量由加速度引起的内部温度的变化来测量加速度VDD内部数字电路电源电压输入脚,直流电源电压必须控制在+3V到+5.25V之间。
⑴ VDA:内部模拟电路电源电压输入脚。直流电源电压必须控制在+3V到+5.25V之间。
⑵ AOUTX:轴加速度感应输出脚。与之相连的器件的输入阻抗需足够高,以保证此脚的输出电流不大于100μA,灵敏度在出厂前被设置成与轴相同,但可以根据用户的要求将两个轴的灵敏度设置成不同的值。
⑶ AOUTY:Y轴加速度感应输出脚。与之相连的器件的输入阻抗需足够高,以保证此脚的输出电流不大于100μA,灵敏度在出厂前被设置成与轴相同,但可以根据用户的要求将两个轴的灵敏度设置成不同的值。
⑷ TOUT:内部温度传感器缓冲输出脚。此脚输出的模拟电压所指示的是管芯衬底的温度,此电压可用于测量周围环境温度度的变化量,而不是对温度直接测量。当环境温度发生变化时,Tout的输出电压相对于25℃时的电压就产生一个差值。用此差值可以对传感器的零点偏置和灵敏度进行补偿。
⑸ MEMSIC:标准产品选择的是内部时钟800kHz。当选择内部时钟时此脚必须接地,根据客户的特殊要求,MEMSIC可以定制使用外部时钟的产品,外部时钟的频率范围为400kHz至1.6MHz。
⑹ Vref:输出一个2.50V的参考电压。此脚的驱动能力为100μA。
⑺ GND:接地。
1.2 与SOC接口电路
加速度传感器的输出电压与加速度成正比,为了测量加速度传感器芯片的输出电压[3],通常使用带有A/D的微控制器,具体连接方法如图2所示。Xout与A/D IN管脚之间的RC是起滤波作用,用于减小时钟噪声。加速度传感器与微控制器之间不要有高电流。电源与地之间的0.1uF的电容是去耦电容。要尽量减小加速度传感器与微控制器的距离。
为了使加速计体积尽可能地小,芯片通常采用表贴封装。最好将加速度测量板安装在可以获得理想加速度的地方,例如:能够快速地获取加速度,同时是系统的重心等。另外,加速计的安装方向也要保证[4]。
2 驱动程序实现
对于芯片的驱动程序[5],本文从I2C的通信方式来阐述驱动的编写过程以及主要的实现。
⑴ 查看芯片手册,并查看原理图,检查芯片与ARM之间的硬件接口;
⑵ 在保证硬件电路正常连接的情形下,构建驱动的基本框架;
⑶ 上电时序部分代码编写;
⑷ I2C通信部分的代码编写;
⑸ 中断触发条件的设定(操作系统不一样,实现有所不同);
⑹ 中断服务程序片段编写;
⑺ 数据访问处理代码片段编写;
⑻ 休眠模式处理代码片段;
⑼ 下电时序代码处理片段。
对于初始化I2C控制器,初始化加速度传感器模块,读加速度传感器数据代码片段分别描述如下。
⑴ 初始化I2C控制器
/*根据传感器初始化I2C控制器*/
I2C_Data.p_getDataBuff=getDataBuf;
//初始化接收数据缓冲区指针
I2C_Data.p_sendDataBuff=sendDataBuf;
/初始化发送缓冲区指针
I2C_Data.SerialNumber=0; //发送序号清零
I2C_Data.i2cInitInfo.controlMode=1; //采用硬件流控制
I2C_Data.i2cInitInfo.slaveAddr=0x4A; //设置器件地址
I2C_Data.i2cInitInfo.speed=400000; //读写速率设定
I2C_Data.i2cInitInfo.subAddrMode=1; //设置子地址
I2C_Data.i2cInitInfo.subAddrWidth=1; //子地址宽度为1字节
I2C_Init(&I2C_Data);
⑵ 初始化加速度传感器模块
/*初始化传感器*/
I2C_Data.subAddr=0x16; //子地址为0x16
I2C_Data.dataLength=1; //数据长度为1个字节
sendDataBuf[0]=0x52; //控制字命令
if(0!=I2C_WriteData(&I2C_Data)) //判定数据是否成功写入
{ I2C_Data.SerialNumber=0;
needInitFlag=1;
return;
}
needInitFlag=0;
⑶ 读加速度传感器数据
/读传感器的测量的数据,读出的数据将存储在
I2C_Data.p_getDataBuff
//所指向的数据缓冲区
I2C_Data.subAddr=0x00; //数据起始子地址
I2C_Data.dataLength=6; //数据长度
if(0!=I2C_ReadData(&I2C_Data)) //数据读取是否成功
{ I2C_Data.SerialNumber=0;
needInitFlag=1;
return 3;
}
3 结束语
本文分别从加速度传感器的原理,外部接口方式,以及windows driver的实现方式进行了探讨。对于其他的传感装置,例如地磁、陀螺仪、光线传感、近距离传感、热导传感等传感装置在windows arm体系的集成实现有一定的指导意义。同时,对于传感器KMDF驱动的实现方式以及如何使得器件工作在低功耗模式,我们将继续进行研究。
参考文献:
[1] 王俊融,胡兰子.基于嵌入式技术的倾角传感器检测系统设计[J].传感器世界,2012.18(7):18-20
[2] 梁伟,冯枫,鲍学良,陈娟.角加速度传感器及其应用[J].长春工业大学学报(自然科学版),2012.33-3:311-316
[3] 陈盈,王弘韬,安成斌.基于加速度传感器的红外图像稳像技术研究[J].光电工程,2012.39(8):63-68
[4] 赵学玲.加速度传感器在动作识别中的应用[J].机床与液压,201l.39(2):l18-120
轻量级入侵检测系统搭建与应用 篇3
我们之所以选择Sonrt, 首先, 它是开源软件, 在费用成本上具有很大的优势, 而且经过简单的配置就能运行在Windows与Linux下, 两个版本都比较成熟, 除此之外, 它还可以监听网络中的数据分组并记录下来保存进日志中。因为SNORT是针对小网络而开发的轻量级入侵检测系统, 所以在使用检测规则上Snort相对比较灵活, 它的设计者将它设计得很容易插入和扩充新的规则, 这样它就能够对付那些新出现的威胁。
1 SNORT的结构体系
首先, 我们既然选择Snort为轻量级入侵检测系统的核心。就应该为它搭建适合它工作的土壤, 从图1我们可以看到入侵系统由几个部分组成, 解码、检测引擎、日志、警报组成。
(1) 数据包解码:Snort的包解码利用库函数捕获运行在数据链路层的分组并进行分析, 然后把准备好的分组数据递交给探测引擎, 说白了数据包解码所做的所有工作就是为探测引擎准备数据。
(2) 探测引擎:其实检测引擎中重要的是侦测方式, 在Snort中的侦测方式分为特征对比方式和异常侦测方式。
特征对比 (Signature-based) :首先系统会针对入侵的特征建立一个威胁特征资料库, 只要SNORT侦测到封包内容与威胁特征资料库中某个特征相符, 系统会判别为入侵。由于攻击行为有特殊的代码符号, 就如防病毒软件一样都有特定的代码, 所以这种方式不容易引起误判, 这是这种方式的最大优点。但是这种方式是基于你的特征库相对完整的基础上, 特征库越完整检测出入侵行为的几率越大, 还有这种方式不能检测未知的攻击方式, 因为要知道攻击行为才会有攻击特征, 才会把这种特征加入到特征库, 所以这种方式比较被动。
异常侦测 (Anomaly-based) :这是运用统计分析的方式, 首先定义出系统的标准模式。然后当Snort检测出与标准模式不符合的状况时, 如流量变化较大等, 系统判断为异常状态, 发布告警。因为攻击的目的之一是让系统处于非正常状态中, 所以用这种方式来侦测未知的攻击方式。但这种方式也有缺点, 就是很难确定什么是异常状态。所以也会发生误判的情况。
(3) 日志记录/报警系统:
日志系统:日志允许你将包解码收集到的信息以可读的格式或以tcpdump格式记录下来, 放入Mysql数据库中然后使用ACID提取到网页上显示。
报警系统:将告警信息发送到数据库中。在进行测试或在入侵学习过程当中, 你还可以关掉告警。缺省情况下, 所有的日志将会写到/var/log/Snort文件夹中, 告警文件将会写到/var/log/Snort/alerts文件中, 其中的规则数据库我们采用Mysql数据库, 而日志与警报我们选择PHP+Apache+ACID。
2 环境安装与搭建
因为Snort最初是基于Unix系统开发的, 所以我们选择同样开源的Linux系统, Snort的源文件可以从http://www.snort.org/上下载, 版本为snort-2.9.4.tar.gz。在检测引擎中当然要安装基于Mysql的规则库, 在这里我们简略了Apache以及php和Acid的安装配置。
2.1 Mysql的安装设置:
2.2安装Snort-2.9.4.
2.3建立snort数据库
因为已经安装Mysql数据库所以我们直接进行操作:
如果加上邮件服务, 在给网络管理员发邮件, 一个轻量级的入侵检测系统就基本搭建完毕。
3 Snort的应用
在安装完成后, 我们开始测试Snort。
首先我们要知道Snort的工作模式, 我们在这了解两种工作模式:
3.1 监听模式
在这个模式下, Snort有点像一般的监听软件, 只是把监听到的封包显示出来, 不进行分析比对。在Snort目录下运行#snort–v进入监听模式得到下图:
如果要看到如tcpdump那样更为详细的信息, 就需要使用-vd选项。
3.2 网络入侵检测系统
在这个模式下, Snort不光需要监听封包, 还要对分组数据进行检测对比。当然我们需要安装相应的组件, 如Apache以及php和Acid等。这里不再讲解, 只提供应用后的效果。当一切安装完毕, 在客服端使用浏览器浏览http://本机IP/Acid/页面浏览相应的记录, 当然要在Snort开启的情况下。当有入侵发生时, 网页上会有记录以及报警如下图是一个记录了Teardrop (一种拒绝服务攻击) 攻击的画面。
参考文献
[1]张翔, 等.开放源代码入侵检测系统_Snort的研究[J].计算机应用, 2002 (11)
系统搭建及应用 篇4
经过十余年的发展, 中国电子政务的建设已进入实质阶段, 从中央到地方的电子政务建设都是突飞猛进, “两网、一站、十二金”建设取得了明显进展, 全国257个地市级城市中己经有90%的城市建立了自己的政府网站, NC下注册的域名数、网站数分别达到38万和62, 7万, 其中政府网站建设快速推进, 总数量突破2万个。与此同时, 网络技术与基础设施也飞速发展, 网络国际出口带宽增长飞速, 总数达到53.9G, 而国内, 不管是政府部门还是企业、个人, 基本都已从拔号上网方式, 进入到宽带时代。电子政务建设己经从网络基础建设向功能应用层面和社会服务层面转变。来自赛迪顾问的数据显示, 2004年中国电子政务市场规模将达到400亿元, 其中用于软件及信息服务的投资将超过140亿元。
我们在为电子政务的内外部环境取得可喜成绩而高兴的同时, 也应该看到, 在推进电子政务过程中, 也存在着一些问题, 主要有以下几个方面。
(1) 重复建设问题。
随着电子政务的发展, 各级政府, 上至国家部委下至街道办事处, 都有自己的网上办事网站, 不仅如此公安、民政、工商、税务等职能部门也在不断推出自己的电子政务网站, 同时出于安全性考虑, 各家的网络硬件还要求自成体系, 有的甚至要求物理隔离, 这样造成硬件、软件的巨大重复建设, 同时也为各企业和个人用户造成诸多不便, 面对诸多入口, 不知从哪开始。因此首先有必要将各职能部门的业务流程进行规范, 特别是联合办理、协同办理的一些业务流程需要规范化。其次是要统一入口, 目前很多地方开设了办事大厅, 各职能部门集中办公, 有效解决了这一问题, 这也为网上政务办理提供了思路。
(2) 对电子政务的认识问题。
目前, 我国的政府上网工程虽然呈现星火燎原之势, 但许多己建立的政府网站都存在着短期效应的弊端。一些地区为了赶时髦、走过场, 仓促地建立网站、注册域名、配备硬件设备, 但热过一阵子后, 那投资几十万甚至上百万元的网站便再也无人问津。这不仅有悖于国家提倡政府上网的初衷, 而且造成了人、财、物等资源的极大浪费。还有一些地区盲目投资兴建政府信息网络的基础设施, 由于缺乏长远的战略计划, 造成地区内网络基础设施的重复性建设, 既给各政府垂直机构之间的信息沟通造成了不必要的麻烦, 又违背了区域性网络的“一个大脑和一套神经系统”原则, 从而增大了建设地区性统一政府网络的难度。
政府网站的建设是我国推行电子政务的起点, 它不是要给上级领导和普通老百姓“作秀”, 而是要在因特网上真正建设一个内容丰富、服务快捷、实用性强的电子政府, 而这需要一个循序渐进的过程。
(3) 数据来源的复杂性问题。
在我国的电子政府逐步构建完成以后, 政府的网上应用会越来越广泛, 数据库的信息来源也会越来越复杂。如果在推行电子政务的初期, 政府对形形色色的数据库缺乏统一的规划, 就会造成相同信息在不同数据库中的重复, 并且彼此无法相互连接。在这种情况下, 如果某一个人的数据稍有变化, 就需要到政府的各个部门逐一进行修改, 这不仅没有提高政府的办事效率, 反倒给公众服务带来了极大不便。因此, 在我国构建电子政府的初级阶段, 我们必须重视数据来源的复杂性问题, 注意加强政府各部门以及地方政府间的协调, 争取把数据库应用系统建设得既能彼此相互独立又能彼此相互连接, 从而有效避免因重复建设而造成的重复投资。也只有建成这样的信息数据库系统, 才能使电子政府的公众服务体系名副其实地发挥作用。
(4) 缺少实用软件问题。
当今世界, 信息技术的发展可谓日新月异, 信息技术水平自然成为决定一个国家能否顺利实现电子政务战略计划的关键性因素。一些单位投入巨资购置了先进的硬件设备, 却因没有实用的软件而致使设备常年闲置于尘土之中;还有些单位尽管采购到或者开发出了一些应用软件, 但最终还是由于易用性不甚过硬而将设备束之高阁。因此需要大量以工作流为核心的应用系统代替单位原有的手工业务办理。
以上这些是目前阻碍电子政务发展的共性问题。如何恰当地解决这些问题, 将是电子政务建设能否良性发展的关键。通过对以上这些问题的分析发现:开展网上办事 (GTOC和GTOB) 、公文流转 (GTOG) 是解决这些问题的关键点, 而它们都与工作流技术密切相关的。只有流程规范化了并投入到使用中, 其它配套措施和技术才能及时跟上, 另外随着以工作流为核心的电子政务的推广, 也将会带动观念的转变和其它瓶颈的解决。
2 工作流系统与电子政务结合的优势
2.1 简化开发
主要是针对应用软件开发而言, 它可以。
(l) 降低开发风险:业务分析师和开发人员使用相同语言交谈, 如状态和动作术语, 这意味着开发人员没有必要将用户需求转化成软件设计。 (2) 集中实现:业务流程经常变化, 使用工作流系统的最大好处是:实现不再是散落在各种系统中模糊整合的软件片断。 (3) 加快应用开发:因为工作流系统提供大量底层API, 使得实现开发应用软件只需要关注交互界面, 而且成熟工作流系统的代码都久经考验, 使得我们开发更快, 代码更容易维护。
2.2 促进政务流程管理
主要是针对系统应用级而言, 通过对政务流程分析并创建规范化描述, 最终将具体流程用统一的流程定义语言来描述, 是一件艰苦但会有很好回报的工作, 具体的优势是。
(1) 提高效率:许多业务流程自动化的结果是去除许多不必要的步骤。 (2) 更好的流程控制:通过标准的工作方法和跟踪审计, 提高了业务流程的管理。 (3) 改进客户服务:流程的一致性, 提高了各层次对用户响应的可预见性。 (4) 灵活性:基于流程的软件控制, 使得可以重新设计以符合业务需要的变化。
2.3 信息交换的统一
由于各级政府各级部门流程众多, 而电子政务的一个重要任务就是促进它们之间信息的交流, 以及联合办公, 协同审批等, 这就要求各职能部门之间必须要做到信息统一, 这样交互才有基础。同时也有利于各级政府, 不同地区之间流程。
3 系统各模块功能设计 (见图1)
3.1 流程定制
流程定制模块的功能主要包括。
(1) 可视化流程自定义:如用图标表示流程元素;流程图可放大、缩小、自适应显示全图;绘制流程图时可拷贝、剪切、粘贴。 (2) 设置流程属性:如指定流程拥有者为个人或角色;指定流程时限;指定流程为自由流或预定义流程等。 (3) 流程的输入输出:如将在其它系统中定制的XPDL流程文件导入本系统;在本系统中从图形化流程图生成XPDL文件;定制的流程图可打印;验证流程的有效性;版本管理, 己定义的流程可修改, 草稿可暂存服务器端;基于浏览器远程定制流程等。
3.2 流程解释
流程解释模块的功能主要包括。
(1) 将XPD L流程定义文件解释到数据库流程定义的相关字段。 (2) 将运行状态的数据字段构造成XPDL流程描述文件。
3.3 流程控制
流程控制模块的功能主要包括。
(1) 流程控制:如直流控制, 这是最基本的应用;分流控制, 它应支持多种可能流向的选择;自循环控制;辅流控制, 它主要应用于主办、协办相互协作的活动;会流控制, 它主要用于多部门网上审批或协同办公, 如会签、会办;子流控制;自由流控制;条件流转控制等。 (2) 支持各类特殊流程模型:如:回退, 可退回到以前的任何一步;抄送, 它与分流的区别是不签意见, 分支不要求汇聚;取回, 当某节点的下一节点还没有开始处理时, 本节点用户有权取回, 重新修改。 (3) 中间处理结果保存, 对一些重要步骤可留待以后查询。 (4) 操作控制:如必备与必读文档, 在流程过程中, 资料夹内常会加上附件, 承办人员必需阅读附件资料后才可办理。事实上手工方法对这一点很难控制, 而通过工作流自动化软件可以设定未阅读附件则不能继续流程。 (5) 权限控制:如相同角色或具有一定权限可取得他人的任务:同一流程中, 可以限制不同处理者能够查看和输入的内容。 (6) 启动与结束控制:如手工启动;设定条件启动 (如周期启动) ;其他程序启动 (如E-mail启动) ;结束也一样。
3.4 流程监控
(l) 可视化流程监控:如有权限用户可通过流程状态图查询流程运转情况;工作负荷量显示, 显示所有员工目前的工作负荷, 能将指定工作或任务临时调派给其它人员处理。 (2) 异常查询:如监控者可以查看流程办理是否超过办理时限, 如是发出催办通知。 (3) 流程查询:如本用户已审批工作查询;己申请项目查询等。
3.5 流程办理
(1) 工作列表显示:它主要是显示待处理工作项的相关信息, 如待审批工作列表;可申请项目列表。 (2) 察看和填写审批意见:包括协办等, 它出现在辅流中, 协办无权修改表单。 (3) 历史记录保留:如支持原件版本跟踪、痕迹保留技术。可以保存文章、公文的所有修改、批改痕迹, 并可以根据需要显示“干净”文档 (最后版本的文档) 和“花脸”文档 (显示修改痕迹的文档) , 便于跟踪文件的修改历史和确认字句的修改责任人。 (4) 提醒报警:如根据工作时限与任务到达时间报警, 时间排除非工作日。
3.6 用户管理
(1) 用户的建立:如新建用户或从其它系统中导入用户。 (2) 用户的改变:如用户资料的改变;授权代理人和代理期限, 在本人出差或其它原因不在时使用。 (3) 用户的管理:如多级角色管理;用户、角色与组织关系管理。
3.7 流程统计与查询
(l) 日志查询:如每一流程实例运行日志查询;每月每季日志查询和历史记录查询等。 (2) 办理数量质量统计:如超期任务情况分析;任务平均办结周期分析;任务参与者办理时间分析等。
4 结论
本文从电子政务的特殊需求出发, 介绍了一个应用于该领域的专用工作流程管理系统的功能设计, 介绍了国产数据库如何与JZEE开发平台WSAD的结合;XPDL在系统中的应用等。
参考文献
[1]王长胜.电子政务蓝皮书:中国电子政务发展报告[R].社会科学文献出版社, 2003.
系统搭建及应用 篇5
1 系统需求
1.1 现场安排:
直播现场设在三才家具市正门西侧, 现场搭建一个20*10米的中心舞台, 舞台主背景10*5米的LED背景显示屏, 主背景两侧为5*5米的喷绘背景。
1.2 视频:
现场计划设置5个机位, 其中一路10米摇臂信号, 三路固定机位信号, 一路流动机位信号。另外设计一路片花及企业专题片播放信号, 一路字幕。
1.3 音频:
整个节目现场设计9个主持人, 节目开始时9人同时上场, 中间两人一组。按照9人设计, 现场收音共需9个无线话筒。播放片花及企业专题片同期声也要送入现场调音台, 一是用于现场扩声, 二是返送到直播车调音台, 用于电视直播。
按照本次直播活动现场要求, 结合我台以后录、直播需求, 规划采用8路高清切换台, 配备8路对讲、8路调音台、高标清变换、数模转换、UPS电源等。
2 主要设备选型和系统搭建
直播系统以切换台为核心, 我台原有一台洋铭se-800 4讯道模拟切换台, 输入讯道少, 且不支持高清信号和SDI数字信号, 与我台现有的数字高清摄像机配套使用, 信号质量与传输效果都不满意。
根据系统需求, 并考虑到性价比和使用的衔接, 我们选择了洋铭SE-2800切换台作为直播系统的核心, 以此搭建整个直播系统。
以SE-2800为中心, 我们配备了相应的调音、分配、录像、信号转换等设备。
系统周边以洋铭设备为主, 包括对讲、硬盘录像、监视、电源供电等, 另外配备调音台、SDI分配器、复合分配器、SDI转复合、SDI光端机、UPS电源, 组成一套完整的直播系统。
预监采用分屏模式, 下边两行分8路输入, 上边分两屏显示切换信号, 切换导演通过一个显示屏即可完成予监和切换监看。
SDI共有3路输出。我们将3路输出信号分别用设置成所需的高标清信号, 用作录制和直播信号源。其中, SDI 1输出高清信号, 接硬盘录像机录制下来, 作为剪辑备用信号和入库高清素材。SDI 2输出标清信号, 经SDI分配器分成两路, 一路输出到非编录制下来, 作为晚间播出剪辑的主信号, 另一路接SDI的光端机送播出机房作为主切换输出。SDI 3输出标清数字信号, 经SDI转换复合信号后, 一路送现场背景大屏幕做切换信号, 另一路经编码、调制、光发送播出机房做备用信号源。
切换台放在一辆考斯特专用转播车上, 设切换导演、放片、调音台、录制4个工位, 摄像机设置为1920*1080高清模式, 切换输入为全高清信号, 现场5路机位经SDI送入切换台, 一路放片信号用笔记本送入SDI输入, 一路字幕送入HDMI口, HDMI 1和HDMI 2路输入分别占用SDI输入的4路和8路, 故摄像机信号分别占用1、2、3、5、6路SDI输入, 放片信号占用第7路SDI输入, 空余的第8路为设置一背景静帧画面, 避免切换误切出现黒场。
3 通话系统
通话系统分两部分, 一是摄像机与导演之间的内部通话, 二是现场导演与剧务、灯光、音响、LED背景屏、播出机房之间通话。
内部通话采用洋铭8路通话系统, 切换导演通过通话系统协调摄像师进行拍摄, 摄像机与切换台通过一条9芯综合缆相连, 其中2芯传输视频信号, 5芯传输对讲与tally信号, 2芯用于摄像机供电。为保证传输距离和信号质量, 视频信号用的是视频同轴电缆。
另外我们还配备一套无线对讲系统, 用于现场调度。播出机房、总导演、现场导演、放片、led屏、现场调音台、剧务、录制等相关人员各配备一台无线对讲机, 现场导演通过无线对讲协调现场调度, 总导演通过对讲协调切换、放片、调音台, led屏进行信号切换, 现场还可通过对讲与播出机房进行沟通。
4 音频与音源
直播现场共有两个调音台。一台是现场调音台, 用于收集现场音源, 进行现场扩声。一台是直播车内调音台, 直播调音台将现场音源信号经调整后, 送入切换台1、2路音频输入口, 由切换台进行音频加嵌后送SDI 3路输出, SDI输出的加嵌音频信号用于再录制、传送或转复合视音频信号。放片声音要用于现场扩声, 所以先将声音送现场调音台, 现场混合处理后再返回切换调音台。
直播车电源由三才家具市场提供, 为保证直播信号不中断, 我们配备一台6KVA的UPS电源, 可供直播车设备使用6小时。摄像机供电是我们必须考虑的另一个问题。我们一天直播时长8小时左右, 摄像机使用电池一是不方便, 二是没有足够的电池, 所以三路固定机位和流动机位采用集中供电, 在直播车上将220V交流电转换成12V直流, 通过综合缆传到摄像机。摇臂由于功率大, 接线不方便, 仍采用电池供电。
总之, 通过这次直播, 我们对视音频系统的全数字流程有了更加清晰完整的认识, 在直播过程中, 也锻炼了我们的技术人员和整个团队, 在任务分工、技术协调、现场调度、信号测试等方面更加规范, 为我台以后的直播活动打下了良好基础, 为正定电视台以大活动带动影响力, 以大活动做为新的收入增长点提供技术保障。
摘要:随着县市级电视台的发展对突发的新闻和直播活动的增多, 本文从县市级电视台实际情况出发, 结合了一些新设备、新技术, 摸索探讨了一些县市级直播车的系统架构, 软硬件结构、功能等方面的具体应用。
系统搭建及应用 篇6
关键词:Moodle,系统开发,课程资源管理系统
0 引言
随着互联网的迅速发展,网络学习也迅速普及。这种学习方式使得学习者能够通过现代信息技术实现资源共享和师生动态交互。Moodle具有资源共享和交互性好的独特优势,是实现网络学习的优秀平台,在国内外得到了广泛应用和普遍认可。并且,Moodle可以根据需求个性化定制二次开发策略,不断升级其功能[1]。本文结合中国地质大学(北京)师生对课程管理的实际需求,进行课程资源管理系统的搭建及开发。
1 系统搭建
1.1 系统结构及组成
现服务器运行Moodle版本为2.9.1+,服务器系统为CentOS,采用Apache2的Web服务器,搭建MySQL5数据库。Moodle二次开发所应用的相关知识技术[2]如表1所示。
开发过程中所采用的是LAMP Stack组合,使用开源软件Linux、Apache、MySQL和PHP的Lamp系统组成。MySQL数据库的优点在于开源、体积小、速度快,并且容易和第三方代码融合。
Moodle系统可以分为3个不同的区域:Moodle代码、数据库和数据。Moodle源代码分析包括命令文件、类、函数定义文件,用全局变量记录用户浏览的所有状态,它们之间的关系如图1所示[3]。
1.2 访问控制系统配置
访问控制系统也是Moodle设计的一个亮点,访问控制系统的核心是用户账户。用户账户通过使用认证插件验证用户名和密码后,准许用户进行系统访问。在用户注册时,Moodle采用了E-mail校验方式,这样用户名、E-mail和密码绑定在一起参与系统认证。Moodle的用户密码经过MD5哈希函数处理后存放在数据库中,确保了密码的安全。
(1)密码限定。管理员进入管理界面后,可通过网站管理中的安全配置,修改其网站策略,实现对密码限定的管理。
(2)选课设定。教师在自己任教的课程中,可以设定自主导入班级学生或者学生自由选课等多种选课方式。
(3)批量管理。管理员在网站管理策略中,可修改相应配置信息,实现对用户的批量增删改。其中,导入可采用CSV等格式,必须具备以下5个关键字:姓、名、邮箱、密码、地区。
2 系统开发
基于系统开发路线图,建立规范的Moodle文档,并在Moodle Tracker中建立任务。中国地质大学(北京)Moodle根据师生需求,定制个性化需求开发计划,在开发过程中基本采用敏捷开发方式,用户与开发者及时沟通,投入使用过程中通过反馈逐步完善,完善后再不断测试,是一个螺旋式上升过程。
Moodle的代码放在Web服务器中,当文件被请求时,PHP解释器将文件即时解析后,输出结果并通过Web服务器发送出去。网页主要分为3部分:结构、表现、行为[4]。对应的标准也分为3方面:结构化标准语言主要包括XHTML和XML,表现标准语言主要是CSS,行为标准主要包括对象模型如W3CCOM、ECMAScript。
Moodle是一个开源系统,允许用户自定义界面及二次开发,其开发方向如表2所示。
实际上,前两方面内容的开发,还仅仅是处在Moodle的外层,后面两个方面是更高层次的Moodle二次开发,要涉及更多的Moodle核心层和系统架构,对开发者也有更高的要求。
2.1 平台主题定制
Theme文件夹结构如表3所示。
从表3中的文件类型来看,Moodle利用CSS技术(样式表技术)实现对页面布局、字体、颜色、背景和其它效果的控制,即只要对相应的代码作一些简单修改,就可改变网页的外观和格式。在修改网页主题时,需要使用HT-ML+PHP+CSS网页开发语言,通过修改相应路径下的代码,实现主题修改。
2.2 插件开发与应用
在实际应用过程中,Moodle Video Easy视频插件、Moodle移动设备支持插件得以实现。模块安装与使用分为3个步骤:1下载并解压插件模块,可以看到文件夹下包含所需的配置文件;2将某些关键文件复制到Moodle根目录或某些特殊路径下,并且对相应配置文件进行修改,可对代码进行增删改;3以管理员账户登录,进行插件管理,系统即可识别新的插件模块,随即完成安装。安装完成后,用户可根据需求使用相应插件功能。
目前,通过插件开发已实现视频在线观看功能。在发布视频时可设置为在网页内嵌入视频或者直接生成新的窗口。在新生成的窗口中观看视频,可设置为全屏。在校园局域网内,观看视频不会产生计费流量。
3 结语
中国地质大学(北京)的Moodle平台已于2015年5月份实际投入使用,正常运行12个月。目前开设课程已达到34门,近百个班级的两千多名学生在教学过程中成为平台的正式用户,日均访问量约500人次。在所开设的课程中,已添加完整的教学大纲、课程资料、作业、测试等内容,学生可以根据自己的需求共享教学资源。
在搭建过程中,Moodle平台处于LAMP的环境中,其中Linux系统选用适合作为服务器的CentOS,其它的实践方式中,采用了Nginx,该Web Server在高并发的情况下,能保持低资源、低消耗、高性能。而Apache的重写功能强大,相对前者而言,模块多且更为稳定。后者更适合实际使用需求,但后期若需提高服务器性能,可尝试采用Nginx。
二次开发主要关注主题定制及插件开发。根据师生需求,规划页面模块,实现相应功能,在前期开发中,基本完成了常用功能开发。后期开发将结合中国地质大学(北京)地学特色,继续深入对Moodle功能的挖掘,完善系统功能机制。
参考文献
[1]王新勇.Moodle的二次开发研究与应用[D].成都:成都理工大学,2010.
[2]许亚锋.Moodle功能插件二次开发问题研究[D].曲阜:曲阜师范大学,2009.
[3]霍静.Moodle二次开发研究--以Theme开发为例[J].自动化与仪器仪表,2013(4):39-40.
系统搭建及应用 篇7
关键词:手机邮件,传输模型,PGP,ECC
随着全球互联网的发展和网络技术的不断创新,电子邮件的应用越来越普及,越来越多的人通过电子邮件发送敏感信息。在智能手机已成为移动电子商务的主流通讯工具的今天,邮件服务作为最为广泛的应用,也成为了服务提供商发展移动增值功能的重点,全世界对手机邮件服务的需求在不断增加,其便利的设备,快捷的操作将吸引越来越多的手机用户使用。然而,随着手机邮件业务应用的不断普及,其安全问题也越来越严重,不仅邮件系统的安全性得不到保证,甚至电子邮件系统还成为破坏者入侵手机操作系统的门户。因此,对手机邮件安全技术进行研究具有重要的现实意义。
1 智能手机安全分析
随着手机技术的发展,智能化已成为手机发展的主流趋势,各大手机厂商逐渐淘汰专用操作系统手机,转而开发智能手机,智能手机将成为未来移动电子商务的主流通讯工具。
智能手机的不断更新,为手机安全带来了新的挑战。在智能手机系统安全方面,美国、欧洲多个民间黑客组织以及美国个别高校对智能手机操作系统安全机制进行了深入的研究。欧洲民间黑客组织陆续发现不同手机操作系统中的多个漏洞并开发了相应的恶意程序。2004年,波兰Poznan超级计算跟网路中心的安全研究员Adam Gowdiak发现了Java软件手机版本的两处漏洞,恶意程序可能通过这些漏洞获取私人信息或者使手机无法使用。2006年,美国学者Collin Richard Mulliner发现了MMS User Agents漏洞[1]。今年初,杀毒软件厂商赛门铁克已经发现了9种新的专门攻击Symbian操作系统手机的新的特洛伊木马程序。这些病毒程序可造成手机崩溃、试图安装其他恶意软件或者设法把个人数据无线传输到其他设备中。
到目前为止,手机恶意程序已经达到100多种,随着更多手机浏览互联网和手机网络游戏、网络搜索的兴起,手机被感染的危险日益增加,虽然到目前为止,大多数手机恶意程序没有真正大规模的传播,但安全专家和分析人士表示,安全问题很可能出现恶化。
随着移动电子商务的发展以及智能手机的普及,用户对邮件移动性的需求越来越迫切。手机邮件,作为被运营商视为继短信之后的又一个新兴的增值业务,特别是在欧美、日本,用户使用相当普遍。全世界对手机邮件服务的需求在不断增加,越来越多的用户开始用手机邮件交换一些秘密或有商业价值的信息。然而,随着手机邮件业务应用的不断普及,其安全问题也越来越严重,国内外黑客攻击和邮件失密时有发生,严重影响了用户对手机邮件系统的信任程度,阻碍了手机邮件的发展与普及。因此,对手机邮件安全技术进行研究有很大的现实意义。
2 手机邮件系统
2.1 手机邮件系统模型
手机邮件系统的系统模型[2]如图1所示:
手机邮件系统要实现邮件传输需要以下几个功能单元:MTA(Mail Transfer Agent),MUA(Mail User Agent),MS(Mail Store),MDA(Mail Deliver Agent)。
邮箱(MS)用来存储收到的信息文件,目录或数据库。
邮件用户代理(MUA)是一个用户直接运行的应用程序,他被用来编辑跟发送信件,显示或打印到达用户邮箱内的信件。
邮件传输代理(MTA)被用于在主机之间接力传递信件。邮件用户代理(MUA)把信件传递给邮件传输代理(MTA),再由传输代理(MTA)接着传递给其他的传输代理。
邮件投递代理(MDA)被用来将信件投到用户的邮箱里面,在信件到达目的地后,最后一站传输代理(MTA)将信件转交给恰当的传递代理(MDA),由传递代理把他投入用户的邮箱。图1描述了手机邮件的传输过程:首先,用户提交信件(Message)给用户代理(MUA),然后由用户代理提交给传输代理(MTA),传输代理在Internet上通过和其他传输代理的协作,把信件传到目的地,再由目的地的用户投递代理(MDA)投到用户的邮箱(MS)里。最后,接收方通过自己的用户代理(MUA)从邮箱里读取邮件。
2.2 手机邮件系统通信协议
简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)规范了Internet电子邮件传送的标准。SMTP的投递方式是点对点交互式传送,必须知道目的地的IP或域名地址和到达目的地的路由。
即邮局协议的第3版本(Post Office Protocol 3,POP3),负责接收电子邮件。他规定怎样连接到邮件服务器和下载电子邮件的协议,其以Client-Server形式存在。
IMAP(Internet Message Access Protocol)是对POP功能的补充,他用来支持用户对邮箱的操作,他能提供对多个远程邮箱的访问或在远程服务器上保留全部或任何邮件的能力。
无线应用协议(Wireless Application Protocol,WAP),是一组实现移动设备接入Internet的协议。用户可以通过手机上的WAP功能阅读与收发邮件。
2.3 手机邮件系统传输模型
图2描述了手机邮件的系统传输模型:
在以SMTP/POP3协议收发邮件时,用户首先输入用户名密码,要求登录到系统中,一旦用户通过系统认证,就与邮件服务器建立了连接,然后就可以利用手机里的MUA(如Outlook)建立编辑新邮件,接着MUA通过SMTP,将邮件由GPRS无线链路把邮件传递给邮件网关,邮件网关作为传输模型中的MTA,将邮件通过Internet继续传递给其他的MTA,最后通过目的地的MDA投递到接收用户的邮箱里。接收邮件按照POP3协议的标准来进行,用户的用户名密码经过系统确认后,与POP3邮件服务器建立连接,邮件通过Internet上的MTA的协作,传递到邮件网关上,然后由POP3协议,通过GPRS无线链路将邮件推送到用户手机上,这样用户就可以通过手机上的MUA读取邮件并查看附件。以WAP协议收发邮件的传输过程与SMTP/POP3协议类似,不同之处在于,邮件在由邮件网关经GPRS无线链路传递给用户之前,必须先通过WAP网关将邮件内容转换成WML文件才能发送给用户。
3 建立虚拟环境
为了对手机邮件安全技术进行分析,必须对手机邮件系统进行研究,测试其中可能存在的安全漏洞,找出相应的解决方法。然而目前运营商对手机邮件服务的收费较高,很难采用实体机测试,因此,本文采取建立虚拟环境模拟手机邮件的传输过程。虚拟环境建立在有线局域网的环境下,而在现实中,手机邮件收发是通过GPRS无线网络实现的,但本文虚拟环境建立的目的在于以后满足手机邮件收发测试,手机系统漏洞测试等实验的需要,对传输过程没有过多要求,因此虚拟环境能起到与无线实验环境等同的效果。虚拟环境包括:
终端模拟器:Windows Mobile 5.0 Smartphone Emulator;邮件服务器:Winmail;同步软件:Microsoft ActiveSync;邮件用户代理:Foxmail;建立虚拟环境过程如下:
(1) 在PC上建立邮件服务器,并设置好域名以及用户的邮箱、密码。本文采用Winmail作为邮件服务器软件,域名为主机IP-172.24.7.33,设置2个用户邮箱,分别为van@172.24.7.33,wan@172.24.7.33。
(2) 启动Windows Mobile 5.0 Smartphone Emulator,并运行Microsoft ActiveSync,使模拟器与PC同步(如图3所示)。然后在模拟器的邮件设置的帐户选项里选择新建帐户:wan@172.24.7.33,以及用户名,密码,并选择服务器类型跟帐户名为POP3,填写发送服务器与接收服务器地址为172.24.7.33,这样模拟器上的手机邮件系统便设置完毕了。
(3) 使用Foxmail作为PC上的邮件用户代理,设置好用户帐户van及对应的邮箱:van@172.24.7.33。
经过以上步骤,整个手机邮件的虚拟环境就搭建好了,下面进行邮件收发的实验。
启动模拟器的邮件系统,运行后选择POP3,新建一个邮件,填写好收信人地址:van@172.24.7.33,主题:Hello,内容:Welcome。然后选择发送,这时邮件并没有发出,需要在POP3的菜单选项中选择发送/接收,这时邮件才真正发送出去了。接着,在Foxmail的选择接收,就可以在用户van的收件箱收到刚才发送的邮件了,查看邮件属性,可以清楚地看到信件头等信息字段,这对以后进行手机邮件安全性分析的实验非常有用。下面进行手机邮件的接收。
在Foxmail的收件箱中,直接回复来自手机wan@172.24.7.33 的邮件,主题为:“Hi”,内容为:“Wan,你好”,并加入名字为Hello.txt的附件。然后在手机模拟器的邮件系统的POP3菜单里选择发送/接收,就能看到收件箱中来自van@172.24.7.33的新邮件(见图4),打开附件,可以清楚的看到里面的内容。至此,本文成功完成了在虚拟环境中手机邮件收发的实验。
4 手机邮件系统安全件分析
4.1 手机邮件系统的安全问题
目前手机邮件系统面临的安全问题可以分为:
(1) 监听
手机邮件要通过Internet及GPRS传输,因此可以在网络上对传输的数据进行拦截,监听。监听过程可以发生在邮件服务器和用户终端的每一个点上。
(2) 破解帐户、密码
攻击者可以通过监听,字典穷举法等方式破解用户的密码帐户,从而伪造电子邮件,获取机密信息。
(3) 病毒邮件
攻击者通过在邮件正文或附件中嵌入病毒程序,从而使被攻击者在阅读邮件或运行附件时自动启动病毒程序,造成用户终端感染并崩溃。
(4) 邮件炸弹
针对手机用户某一个或者多个电子邮箱发送大量的邮件,突然加大网络的负担,增加网络流量以占用更多的处理器资源,消耗系统资源,使得正常的电子邮件无法到达邮箱,进而造成系统瘫痪。
(5) 钓鱼邮件攻击
攻击者通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 或信用卡详细信息)的一种攻击方式。
4.2 手机邮件主要协议安全性分析
本文对POP协议、SMTP协议及WAP协议进行以下安全分析。由于IMAP协议并没有对POP协议进行安全性的扩充,所以不再对IMAP协议进行类似的安全分析。
4.2.1 POP协议安全性分析[2]
POP3协议规定的命令有:USER,PASS,STAT,LIST,RETR,DELE,NOOP,RSET,QUIT,TOP,UIDL,APOP共12条。下面对POP3协议进行安全性分析:
(1) POP3协议具有明文传递数据的不安全性因素;
(2) APOP命令用于对用户身份的认证,具有一定的安全性,但其提供的安全性能却是有限和不完善的;
(3) RETR和TOP命令都可以参看邮件内容,在邮件内容传递过程中,攻击者可以采取被动攻击,窃听邮件的内容,甚至可以采取主动攻击,修改邮件内容,欺骗接收端用户,或根据邮件的内容,假冒接收端用户欺骗发送端用户。
4.2.2 SMTP协议安全性分析[2]
SMTP协议中规定的命令有:MAIL,RCPT,DATA,VRFY,EXPN,SEND,SOML,SAML,HELO,QUIT,RSET,HELP,,TURN,NOOP共14条命令,下面对SMTP协议进行安全性分析:
SMTP协议没有采用任何安全机制,全部信息采用明文形式传送,并且采用固定的端口号25进行邮件的发送,攻击者只要监听端口的数据流,就能分析出SMTP命令及其参数内容,进而分析出邮件内容。SMTP协议可能遭受的攻击有:
(1) 在发送邮件的过程中,MAIL和RCPT命令都可能被监听,分析其参数获知邮件的来源和去向,攻击者可能采取假冒攻击;
(2) VRFY和EXPN也可能被监听,攻击者可以掌握用户名跟邮箱地址进行假冒攻击;
(3) DATA命令很可能成为主动攻击的介入点;
(4) 攻击者可以利用TURN命令逃避邮件过滤防火墙的检查;
(5) 通过对reverse-path的修改,可以直接导致邮件误投入攻击者的信箱。
4.2.3 WAP协议安全性分析[3]
WAP协议的安全机制主要包括WTLS(Wireless Transport Layer Security),WAP身份模块WIM(WAP Identify Module),WML脚本加密接口WMLSCrypt(WML Script Crypto API)和WPKI(Wireless PKI)。这4种安全机制可以实现WAP手机邮件所需的数据保密性、数据完整性、交易方的认证与授权和不可抵赖性四个方面的信息安全特性。
WAP的安全机制是通过WTLS(无线传输层安全)协议来实现的,因此本文主要对WTLS协议进行分析。WTLS提供了实体鉴别,数据加密和保护数据完整性的功能,所以可以确保在WAP装置和WAP网关之间的安全通信。由于WAP网关在WAP设备和Web服务器之间起着翻译的作用,相应地带来了安全问题:WTLS安全会话建立在手机与WAP网关之间,而与终端服务器无关,这意味着数据只在WAP手机与网关之间加密,网关将数据解密后,利用其他方法将数据再次加密,然后经过WTLS连接发送给终端服务器。由于WAP网关可以看见所有的数据明文,而该WAP网关可能并不为服务器所有者所拥有。这样,潜在的第三方可能获得所有的传输数据。
4.3 手机邮件安全加密技术
手机邮件在传输过程中使用的是SMTP协议,他不提供加密服务,攻击者可以很容易地在邮件传输中截获数据,从而造成信息泄密。为此,现有的邮件系统通常采用PGP(Pretty Good Privacy)和S/MIME(Secure Multipurpose Internet Mail Extension)两种安全邮件标准来保证邮件的安全。要想实现手机邮件系统端到端(end-to-end)的安全,就必须要在收发两端都采用安全加密技术。
PGP通过单向散列算法对邮件进行签名,以保证信件内容不易被篡改,使用公钥和私钥技术保证邮件内容的保密性。收发信人的公钥发布在公开的地方。S/MIME和PGP一样,也利用单向散列算法和公私钥的加密体系。但他与PGP相比有2点不同:他的认证机制依赖于层次结构性的证书认证机构,所有的下一级组织和个人的证书由上一级组织负责认证,而最上面一级组织之间相互认证,整个信任关系基本是树状结构。另一点是S/MIME将邮件内容加密签名后作为特殊的附件传输,证书格式采用X.509,但与一般浏览器网上使用的SSL证书有一定差异。通过以上协议,基本保证了邮件在传输过程中的安全性。
对手机邮件系统而言,PGP和S/MIME并不是最理想的安全加密技术。最主要的原因是终端设备小型化的限制,处理器小型化,内存小型化等,这无疑都会给手机邮件系统安全的加密技术带来前所未有的难题。因此与Internet上的邮件系统相比,手机邮件安全最迫切的要求就是效率。对于处理能力有限的移动终端的CPU,PGP和S/MIME会带来超负荷的计算要求,其传输的大量信息也会受限于目前带宽有限的无线网络。
4.4 手机邮件安全的解决方案
面对手机邮件可能构成的种种威胁,保证邮件本身的安全以及手机邮件对系统安全性的影响越来越重要。作为电子邮件在移动终端上的扩展应用,手机邮件系统的安全需求同样包括以下几个方面:保密性(Privacy),完整性(Integrality),身份认证(Authentication),权威性(Authorization),防止抵赖(Nonrepudiation),通用性(Global Inter-operability),可信安全性(Sufficient Strength of Protection)。
移动终端本身的特点以及手机邮件业务的不成熟性决定了目前手机邮件系统还存在着多种安全隐患。以目前安全性较高的黑莓手机邮件系统为例,系统采用了AES和Triple DES加密技术,通过“Push Mail”将邮件推送到移动终端。但该邮件系统仍未能实现真正的端到端的安全,只是在移动终端与内部邮件帐户之间进行加密。因此,要想建立安全的手机邮件系统,实现真正的端到端安全,使邮件在发送到接收的中间传输过程中全部处于加密状态,中继服务器没有解开信息的密钥,只有收件人和发件人才能获知邮件的内容。其长期而有效的办法就是提供PGP和S/MIME这样主流的安全机制的同时,建立在更为有效的公钥算法机制上,比如椭圆曲线[3]加密算法(Elliptic Curve Cryptography,ECC)。与传统的PGP和S/MIME加密技术相比,ECC具有以下优点:安全性能更高、计算量小和速度快、存储空间占用小、带宽要求低、椭圆曲线资源非常丰富。在相同的计算资源条件下,ECC的处理速度要比RSA,DSA快得多,能在相同的安全强度下减少密钥的长度(目前公认的结论是ECC的163 b密钥的安全强度和RSA算法的1 024 b密钥安全强度相当),同时有更高的加密与安全性能。由此可以看出,椭圆曲线加密算法非常适合移动终端小型化以及无限网络带宽有限的特点,是设计安全手机邮件系统的理想加密技术。
5 结 语
随着手机邮件业务越来越普及,手机邮件安全将成为未来移动电子商务安全领域新的热点,本文分析了目前手机邮件可能存在的安全性问题,对主要协议的安全性以及手机邮件系统的安全加密技术进行分析,并提出解决方案,这对于以后测试手机邮件系统可能存在的漏洞,进行安全手机邮件系统的设计有非常重要的意义。
参考文献
[1]Collin Mulliner,Giovanni Vigna.Vulnerability Analysis ofMMS User Agents[A].22nd Annual Computer SecurityApplications Conference(ACSAC′06),2006:77-88.
[2]施农.Internet安全电子邮件研究[D].南京:南京大学,2001.
[3]韩林.WAP电子商务安全模型分析[J].中国新通信,2006(13):93-94.
[4]周才学,邓安远,邓长寿.椭圆曲线密码技术在电子邮件加密中的应用与实现[J].计算机应用与软件,2006,23(11):127-128,141.
[5]龚国强,左希庆,陈卉娥,等.邮件系统在GPRS网中的实现[J].三峡大学学报:自然科学版,2004,26(5):456-458
[6]李锦瑞,王汝传,邓玉龙.PGP加密电子邮件的机制研究[J].南京邮电学院学报,2002,22(2):84-86.
[7]周艳梅,马军.信息安全软件PGP的实现内幕及其应用[J].计算机系统应用,2002(2):30-37,17.
系统搭建及应用 篇8
关键词:横河DCS,CS3000,监视平台,多项目软件包,三层交换机
贵州金赤化工有限责任公司( 以下简称金赤公司) 规模为年产30万t合成氨、30万t甲醇、52t尿素。该公司使用横河CS3000自动控制系统,分为气化空分、合成氨甲醇、尿素、热电、水汽共5个域独立运行。试车初期各系统独立运行,生产调度不能统一指挥,各生产装置间衔接不好,系统波动非常大,因此,将全厂DCS控制系统集中显示迫在眉睫。各装置系统虽然预留有OPC接口,但使用OPC接口搭建全厂控制系统集中显示,投资费用和完成周期都不是很理想。而横河系统自带的一个多项目软件包,可快速实现各个项目的集中显示,系统构架也相对简单,易于操作。
1 多项目软件包简介
多项目软件包可以实现多套横河系统之间的集中操作与监视,不需要对项目做任何改变,简单快捷。要实现多个项目连接,需要有横河的两个软件包支持: LHS4450多项目连接功能软件包和LHS5450多项目连接组态软件包。根据金赤公司的实际情况,笔者采用VNET/IP系统连接来介绍整个系统的构建过程。
2 新增设备和硬件系统配置
需新增电脑( 此电脑上安装多项目软件包) 两台、三层交换机1台、普通交换机1台、光纤收发器8台、光缆和网线。硬件系统配置如图1所示( 图中连接线虚线为光纤,其余为网线) 。
氨醇系统的交换机 离三层交 换机不超 过100m,可以直接使用网线铺设。此系统的搭建只连接了横河BUS2通信口,如需双网连接,硬件配置相应增加即可。
3 系统设置
3. 1 三层交换机设置
将交换机自带RJ45至DB-9适配器电缆连接至个人电脑上的9针串行端口,将电缆另一端连接至交换机控制台端口。在个人电脑上启动超级终端,将个人电脑终端仿真软件配置为9 600bit、8个数据位、无奇偶效验、1个停止位和无数据流控制。此系统没有配置BUS1,因此直接对BUS2的三层交换机做配置。
输入enable命令进入特权模式,使当前交换机可配置:
分配三层交换机端口的IP地址和子网掩码。例如端口1与第一个域连接,端口IP地址的分配设定:
其他域的设置依此类推,三层交换机配置完成后,不同域间可以通过IP地址相互PING通,相互间可以访问。
3. 2 计算机设置
3. 2. 1 IP设置
安装多项目链接软件包的计算机的IP地址需要特 别设置。例 如监控操 作站定义 为HIS0707,相应设置BUS1的IP: 172. 16. 7. 7 ,子网掩码: 255. 255. 0. 0,网关: 不需要设置; BUS2的IP: 192. 168. 135. 135,子网掩码: 255. 255. 255. 0, 网关: 192. 168. 135. 253。
3. 2. 2 总线优先级设置
在网络“高级设置”中把BUS2设置为最高级,BUS1次之( 图2) 。
3. 2. 3 其他域的计算机名和 IP 地址绑定
在C: WINDOWS system32 drivers etc中用windows的“笔记本”打开“hosts”文件,在最后添加其他各个域的工程师站( 图3) 。
3. 2. 4 CENTUM 设置
在各个域的工程师站上新建相应站号的镜像站。如要建 立STN0707,File—Creat New—Station Type中设置域号和站号( 图4) ,Network设置如图5所示,完成后选择Vnet/IP ,生成STN0707镜像站。
设置完成后,选中项目名称下载公共部分,然后再选中各STN站下载taglist,这时装有多项目软件的操作站就能收到这个域里的所有数据,新增数据点后,只需要再做一次taglist的下载即可。最后需要做的就是制作流程图,将总调度所需要的各个界区的重要数据集中制作到一张画面中显示即可。
4 实际使用情况与问题
使用多项目软件包搭建全厂的监控平台不宜在系统流程图改动还很大的阶段进行,因为各个域流程图的改动是不能及时同步的,需要手动一张一张地更新,工作量将非常大。
搭建后将各个域的所有电脑连在一个大的网络中,这样连接以后如果对DCS的管理不到位, 有一台计算机中病毒后,将会引起全厂DCS控制系统所有的操作站及工程师站等中毒,严重的时候会危及生产安全。可通过增加一套服务器版的防病毒系统来解决。
使用初期会不定期地出现一个域的所有数据丢失,后经多次处理后发现是因为只搭建了BUS2单通信网络,只要一个域中有一台机子的BUS2通信中断,就会造成装有多项目软件包的操作站通信中断,导致数据丢失。这时恢复所有BUS2的通信即可修复。这是笔者为节约投资只搭建了BUS2单网络所造成的特殊现象,如将BUS1与BUS2双网络同时搭建,此问题将不会出现。
5 结束语
