局域网技术论文范文第1篇
摘要: 介绍无线局域网安全威胁及安全需求,并对安全问题中数据保密和数据完整性等关键技术衍生出的加密技术给出基本解决方案。
关键词: WLAN;TKIP;AES
目前随着移动办公需要的增加,无线局域网的应用被普及,但安全问题也随之而来,由于传统无线局域网安全机制缺少证机制,本文将对其进行改进,重点介绍TKIP(临时密钥完整性协议)和AES(高级加密标准)技术。
1 WLAN系统安全威胁
WLAN网络面临的安全威胁既有来自网络外部的电脑黑客,也有来自网络内部的合法用户。典型的网络威胁有以下几种:非法接入网络、伪AP和伪网络、网络窃听、数据篡改、报文重放攻击、拒绝服务(DoS)攻击。
2 WLAN系统安全需求
WLAN安全设计的一个重要原则为“适度安全”,系统的安全需求取决于其面临的安全威胁和具体应用环境。针对WLAN的脆弱性和面临的外部威胁,WLAN系统的安全需求归纳如下:
1)身份认证。身份认证是在WLAN中确认操作者的身份。分为用户与主机间的认证和主机与主机之间的认证,从而有效防止假冒用户对网络的安全威胁。
2)授权和接入控制。授权是系统赋予某个用户在一定范围内从事某些行动的权利;接入控制是根据用户的身份、角色以及预定服务等对用户能访问的资源进行限制。
3)数据的保密性。保密性是采用加密算法对通信数据进行加密封装,保证通信数据只被希望的接收端看到。
4)数据和信令的完整性。对通信数据进行完整性保护使其不被篡改。
5)数据的顺序性。指接收端必须可以确定收到的报文确实按照发送端原有的顺序,没有被删除、插入、重放和重新排列等。
6)密钥管理。它是由于数据的保密性和完整性衍生出来的安全问题。广义的密钥管理包括密钥的产生、分配、传递、保存、恢复、销毁等;狭义的密钥管理指的是密钥协商。
7)服务的可用性。指网络必须有足够的资源保证合法用户的正常需求。
3 基本解决方案
3.1 临时密钥完整性协议TKIP(Temporal Key Integrirty Protocol)
[1][2]
TKIP作为下一代有线等效协议(WEP),提供每分组密钥混合,并对信息完整性进行检测和重置密钥,从而锁定 WEP 流的缺陷。针对WEP 流的缺陷,TKIP采用相应的机制予以处理。
3.1.1 消息完整性
WEP在检测消息完整性方面采用了具有保护功能的MIC(消息完整性代码)校验值。TKIP发送消息时,结合所发送的字节,生成校验值即MIC,再将MIC随同消息一同发送出去。为了防止攻击者破坏MIC,其过程是一个结合密钥且不可逆转的特殊过程,除非攻击者知道密钥,否则无法得知MIC值。数据传输结束后,接收端采用Michael方法检测完整性,Michael方法是不用任何乘法计算MIC,只是进行移位和加操作,产生MIC的计算是针对MAC层服务数据单元而不是任何一个MAC层协议数据单元。
3.1.2 IV的选择和使用
TKIP在WEP使用IV缺陷基础上做了改进,建立新的规则:1)IV的长度由24位增到48位;2)IV被作为顺序计数器,以防止重播攻击;3)IV被构造以避免出现某种“弱密钥”。
1)IV的长度
TKIP在24个比特的WEPIV和己加密的数据头之间插入32个额外比特,形成一个56位的新IV。为避免生成弱密钥,丢弃一个字节,因此新IV只使用48个比特。48位的新IV可以有效地消除IV的翻转问题。
2)IV作为顺序计数器(TSC)
对于重播攻击,TKIP采用顺序计数器(TSC)来防护。具体实施过程中,TSC即IV值,它通常从0开始,每发一个包增加1。由于IV被扩展,IV重复的可能性很小,所以可以通过TSC来防止重播攻击。防止重播攻击的原则为:丢弃比前一消息的TSC小或相同的任何消息。根据802.11标准,接收端收到帧之后,须用一个短的ACK消息进行确认。若不确认,消息就会被重传,同时在重传的帧中标示这是个重复的帧。由于帧是重复的,它会与原始的帧具有相同的TSC,此时,接收端进行有效的复制,然后丢弃重复消息。
3)对抗FMS攻击的措施
FMS攻击对WEP最具破坏性,针对该攻击,TKIP采取围堵两端的方法:尽量避免使用弱密钥和尽量使密钥变得更隐蔽。对于FMS攻击是建立在攻击者需要收集具有弱密钥的多个帧样本的能力之上的特点,TKIP改变每包的密钥,同时避免使用任何弱密钥。将IV中的两个比特固定为一个特定值,从而避免生成一类众所周知的弱密钥。
3.2 AES加密算法及其操作模式[3][4]
高级加密标准AES是对称密钥分组密码,加密过程中,使用分组密码必须遵循操作模式,否则将会对分组密码的安全性产生威胁。通常的操作模式有电子密码本模式(ECB)、密码分组链接模式(CBC)或计数模式
(CTR)。这些模式仅提供加密服务而不提供鉴别服务,但有些应用中需要两种服务。
目前使用的封装模式为AES-CCM,它提供加密和鉴别服务。加密服务由计数模式提供,而鉴别服务由CBC-MAC算法提供,并且不會发生“错误传播”。使用过程中,发送端和接收端定义相同的分组密码算法、密钥K、记数器发生函数、格式化函数F()和鉴别标记长度Tlen。在CCM模式下,发送端的输入包括随机值N、有效载荷P和附加鉴别数据A。计算步骤如下:
步1:计算格式化函数F(N,A,P),产生数据块序列B0,B1,…,Br
步2:Y0=EK(B0)
步3:For i=1to r, do Yj = EK(Bi⊕Yi-1)
步4:T=MSBTlen(Yr)(取二进制Yr的左边Tlen个二进制位)
步5:计算计数器发生函数,产生计数块Ctr0, Ctr1,…, Ctrm,
m = Plen/128
步6:For j = 0 to m, do Sj = EK(Ctrj)
步7:S= S1 || S2 || …|| Sm(“||”表示连接运算)
步8:Return C=(P⊕MSBPlen(S)) || (T⊕MSBTlen(S0))
通过计算,生成密文C ,接受端得到N、A和C后,首先对密文C进行解
密恢复有效载荷和MAC值T,然后接受端再利用CBC-MAC算法对N、A和解密的有效载荷进行重新计算CBC-MAC值T1,并与从密文中恢复的MAC值T进行对比。如果比对一致,则接收端从密文中解密得到的有效载荷P是有效的。否则,得到一无效值,这时要求发送端重新加密发送该有效载荷。
4 结束语
WLAN正处于快速发展时期,而其安全问题更值得关注。只有在现有的WLAN安全框架基础上,不断改进保密措施,使其更加安全可靠,才能推动WLAN的健康发展。也只有这样,WLAN才能顺利地与其他现有有线网络、无线网络乃至3G网络实现互联互通,发挥自身巨大的潜力。
参考文献:
[1]李伟,无线局域网(WLAN)安全研究一密钥交换,上海:上海交通大,2003.
[2]张蜀雄,无线局域网安全性研究及安全实现,武汉:华中科技大学,2007.
[3]李勤、张浩军、杨峰等,无线局域网安全协议的研究和实现,计算机应用,2005.
[4]金晨辉、孙莹,AES密码算法S盒的线形冗余研究,电子学报,2004年,第4期.
作者简介:
李风芝(1979-),女,研究生,讲师,研究方向:计算机网络与硬件。
局域网技术论文范文第2篇
随着计算机硬件设备的生产技术提高、产品价格的下降,计算机应用领域的扩展,以及现代信息技术的迅猛发展,无线线网络因其节省、便捷、灵活等优势越来越得到有效开发和利用。尤其在环境复杂、布线困难的地方优势显得成为明显。
2无线网络的结构
无线局域网(Wireless Local Area Network)通过电磁波在在广袤空间发射和传输信息,不需要有线材质进行链接,因此,组组网方式非常灵活。
2.1 无线局域网的室外结构
无线局域网室外结构主要有以下几种类型: 点对点型、点点对多点型和混合型。点对点型的运用最为普遍,主要用于位置置相对稳定的两点之间的信息传输。其主要优点是传输的的速度度比较快,有效距离比较远,基本不受外界因素干扰。第二种类型型的结构特点是一个中心点,多个无端点,中心点需要使用全向向天线。其主要优点是维护简单,成本低。但和点对点型相比其传传输速度慢,有效距离不够远。混合型顾名思义就是综合使用了了上面介绍的两种网络方式。这种结构方式兼容了点对点型、点点对多点型两种方式的优点。
2.2 无线局域网的室内结构
室内结构一般分为独立的无线局域网和非独立的无线局局域网。前者的主要特点是整个网络均不连接有线网络。这种结结构方式可用AP (Access Point) 作为中心节点, 也可以不使用用AP。非独立的无线局域网主要特点是借助或依赖于有线网络。这种结构方式,多个AP被连接到有线网络,无线用户可以访问问网络的各个部分。也可以把AP设置成WDS模式通过已连接到到有线网络的WDS模式AP接入有线网络。
3无线网络的优点分析
和有线网络相比,无线网络的优点非常明显,主要表现在在以下几方面:
(1)移动性强。无线网络不需要线缆作为介质 ,因此具有移移动性强的特点。
(2)辐射输出功率低。无线设备辐射输出功率在200m W以以下,无线网卡的功率一般仅几十m W。而一般的手机的辐射输出出功率都在300~400m W, 因此无线设备既省电又健康环保的网网络。
(3)具有较强的拓展性。单个AP可利用率是有限的 ,要拓拓展上网数量的需求,只需要随时添加AP的数量即可解决。同时时AP还提供涌赛控制功能 ,当某个AP负载边量时 ,终端可以自自动连接至空闲设备。
(4)比有线网络更为节省。有的单位已经具有有线网络 ,无无线网络可以作为补充、完善和扩展。对那些新建网络的单位,使使用无线网络则不再需要网络布线, 且每个AP都能够实现多点点接入,避免了辅设有线网络时的穿墙凿洞、架线穿管,解节省物物力,还节省人力,节省时间。
(5)无线网络基本不受环境影响。更适宜在老建筑、布线困困难或昂贵的露天区域、城市建筑群、校园和工厂等地方组网。 也也适用于专门工程或高峰时间所需的暂时局域网。
(6)兼容性强。无线网络作为有线网络的延伸 ,能够通过APP与现有的 有线网络 资源无缝 地结合在 一起 , 且对于符 合合IEEE802.11协议的无线网络产品 ,即使不同厂商的产品也可以以相互通讯。
(7)提高工作效率。无线网络的安装材料少 、工时短 ,简便省时,能够让用户在最短的时间内建立起一个有效的临时局域网无线覆盖漫游技术, 可使工作人员在任何地点任何时间对网络资源进行访问; 简单快速的组网方式可以随时建立一个临时的讨论组,大大节约了工作时间,提高了员工的工作效率。
(8)支持各种终端接入 ,提高利用率。无线网络的存在给人们的工作和生活拓展了“灿烂的空间”,给人类的生产实践带来了无数的便利条件。原因是其能够支持人们生产、生活需要的各种终端设备的接入,诸如笔记本电脑、PC机、打印机、PDA、投影仪等办公设备。此外,还有各种接口类型的无线网卡,允许各类移动终端设备接入无线网络。
4无线网络的安全设置
由于无线网络的自身特性, 决定了其具有有线网络的不安全因素外的其他因素,不仅无线信道容易被窃听和干扰,还容易遭受冒充、欺骗等形式的攻击。无线网络最好通过认证、加密、屏蔽、筛选等一系列的安全设置,确保网络的安全性。
4.1 认证
以锐捷RG-WG54P提供的安全设置为例,其网络认证方式有开放(自动)、共享密钥、802.lx、WPA-PSK、WPA等。
(1)开放 (自动 )。开放系统不需要认证 ,因为它不执行任何安全检测就允许所有设备加入网络。
(2)共享密钥。共享密钥要求接入点和终端间WEP密钥相同时才允许终端加入网络。
(3)802.lx。用此WEP加密更加 安全的方 式让无线STA(Station)与AP通信。选择802.lx模式可以提高数据传输的安全性,但需要RADIUS支持。
(4)WPA-PSK。用此WEP加密更加安全的方式让无线STA与AP通信。选择WPA-PSK模式可以提高数据传输的安全性AP提供的WPA-PSK是使用预设的密钥模式 ,不需要RADIUS。
(5)WPA。用此WPA-PSK加密更加安全的方式让无线STA与AP通信。选择WPA模式可以提高数据传输的安全性,但需要RADIUS支持。此时,您可以选择启用“密钥更新周期”功能建议使用默认配置。
4.2 数 据加密
AP允许建立4个数据加密密钥来保护您的数据 ,以防未经授权的无线用户的偷听。启用了加密,所有网络上的设备都必须拥有同样的WEP密钥。WEP密钥有要求无线STA用40位加密算法与AP进行通信,也要求无线STA用128位加密算法与AP进行通信。
当无线接入点设置网络认证方式和密钥后, 和无线接入点连接的无线卡也必须使用相同的网络认证方式和密钥, 否则他们不能建立连接或通讯。
4.3 隐 藏 AP 的 ESSID
有些AP,以锐捷54P为例,可以设置隐藏AP的ESSID,启用时不广播ESSID,无线终端就会无法找到此AP,只有通过指定AP的ESSID才能连接,避免了网络监听、冒充、欺骗等攻击因此增加了网络安全性。
4.4 设置接入控制列表
有些AP可以设置允许接入 控制列表 或拒绝接 入控制列表, 只要知道某个设备的MAC地址就可以对其进行严格限制避免非正常用户接入无线网络。
摘要:无线局域网利用电磁波在空中发送和传播信息,具有可移动性、兼容性、可扩充性和低功率、低成本、高效率等诸多优点。随着科学技术的飞速发展和无线网络的普遍运用,我们必须要发挥其优势,不断研究无线网络的结构和无线网络的安全设置,充分发挥无线网络在现代经济发展的作用。
局域网技术论文范文第3篇
摘 要 首先就局域网的概念以及工作特征展开分析,指出了常见的几种故障,而后从三个方面针对当前常见的局域网故障提出相应的维护工作重点建议,对于提升局域网健康水平有着一定的帮助作用。
关键词 局域网;维护;管理
社会的发展和信息化的不断深入,使得人们对于信息的依赖程度与日俱增。这种依赖不仅仅体现在工作过程中,在生活中同样如此。而对于类似于石油工业等大规模企业而言,局域网在及时有效提供信息方面發挥着至关重要的积极作用。
1 局域网的概念以及工作特征
局域网(LAN,Local Area Network)的概念已经相对成熟,通常认为局域网是在某一区域内由多台计算机互联成的计算机组。从覆盖范围角度看,局域网可大可小,有些局域网针对于企业实现应用,因此通常会呈现出很强的地域特征,覆盖范围从若干个办公室一直到相对较大的企业园区都能够实现。从安全角度看,局域网通常会呈现出相对较强的安全特征,这一方面是其应用面向企业或专属领域而本身提出的要求,另一方面局域网与互联网之间保持相对的隔离状态,这也是从技术实现层面固有的特征。除此以外,局域网在数据传输速率方面也更有保证,由于主要服务对象较为明确,因此相对于互联网而言,局域网在硬件资源方面通常表现出更为富足的状态;并且也正是由于服务对象相对稳定的缘故,局域网可以更好地了解到信息消费主体的行为特征,在相关计算方法的支持之下,实现更好的资源协调,确保大多数的信息获取和交换行为能够得到更高质量的服务。
随着网络技术的不断发展,人们对于网络的依赖性也有明显提升,正因为如此,局域网故障也成为一件越来越不能容忍的事件。在实际的工作过程中,人们大多将局域网故障划分为两类,即物理故障和逻辑故障。其中物理故障是指存在于网络运行的硬件层面的故障,包括参与维护和支持局域网运行的各个网络设备,诸如网关、路由器以及无线路由等,同时也包括相应的网络传输介质,诸如电源线、通信线路等。而对于逻辑故障而言,又可以进一步分为两类,一种是软件故障,另一种则是数据故障。软件故障通常只是指驱动局域网相关设备正常工作的软件、协议,以及在局域网中为了增加平台可用性和易用性而专门打造的平台型软件,此类故障发生会直接影响到整个或者局部局域网的正常工作,因此需要引起充分重视。而对于数据类逻辑故障而言,其引发原因相对复杂,通常表现为局域网中数据传输机制不完善而造成的数据包丢失以及存储过程中发生意外故障而造成的数据丢失问题。除上述问题以外,病毒以及有害软件侵袭也是必须重视的方面。
2 局域网的维护与管理工作分析
通过上文中对于局域网中存在的主要故障以及其可能造成的危害分析,可以发现,想要切实提升局域网的健康水平,保持其稳定的工作状态,可以从如下几个方面有针对性地重点着手进行提升和改进。
2.1 加强硬件维护
就目前的科技状况看,常规局域网中所需要的通信设备的制造水平已经达到了一个相对较高的程度。只要是在采购过程中选用了中端向上的市场水平,通常在实际使用过程中都基本可以做到表现稳定,因此硬件故障通常来源于外部环境。对于因为外部环境而造成的局域网络硬件损伤的问题,除了加强巡查,更好地实现对于各方面硬件状况的掌握情况以外,基本没有更好的解决方案。对于这种问题,一种相对有效的方式是为每一个工作设备以及每一段传输线路都建立起相应的信息化档案,同时,如果局域网覆盖区域较大,例如可能横跨一个较大工业园区,甚至是经由虚拟技术分布在地理位置各异的多个园区中,就还应当对外部环境加以重视。尤其是在工业环境中是否存在有可能会对局域网硬件产生影响的工业环境,是应当尤其引起注意的,并且也应当对裸露于自然环境中的通信管线增加核查,并酌情加强设备避雷系统的建设。对于通信机房应当本着保护主机、硬盘等电子设备的态度,加强工作环境的净化和清理,在必要的情况之下可以考虑加装洁净空调等相关空气质量管理设备。
2.2 完善软件维护
软件维护多关注局域网平台软件以及交换机和路由器的驱动软件健康方面。对于前者而言,在组织内部由于在数据方面存在有很多共性需求,因此常常会存在有类似的平台软件,对于此类的平台而言,一旦发生故障,其波及程度可想而知。针对于此类平台软件的维护,一方面需要注重软件本身的健壮程度,从代码层面加强软件健康程度。另一个需要重点关注的方面就在于管理权限的配给,对于平台软件而言,根据相关统计,有超过70%的故障都源于工作人员的误操作,因此加强人员权限管理和操作人员身份识别,对于此类平台软件的故障控制而言必然意义重大。而对于通信设备的驱动程序故障而言,则需要在对相应设备工作特征和有关参数充分了解的前提之下,对其采取维护,如果需要变动,还应当参考相关说明文件,保持软硬件之间的对应。
2.3 数据管理水平提升
对于数据管理工作而言,同样可以采取操作人员身份权限限制的方法加以管理。对于工作所需要的数据而言,这是妥善的管理方法,但是此种方法通常仅仅限于确保数据安全,对于数据层面的故障而言通常难以起到防范的作用。而真正能够防范数据故障的,应当是网络中相应的备份职能,这种备份不仅仅是对于存储中的数据,对于处于传输中的数据同样应当引起重视。这一方面需要注重数据备份,增量备份和海量备份都需要根据实际工作中的数据特征来进行确定;而对于传输中的数据,采用不同的传输备份方式确保数据传输本身的可靠性,启动相应的日志机制对传输数据进行管理等,都是提升数据可靠水平的有效方法。
除此以外,还应当对病毒问题认真对待,及时更新病毒特征数据库,积极采用防火墙技术,从普适和针对两个方面展开对病毒的防范,提升整体环境的安全程度,也是避免故障的有效手段。
3 结论
局域网的维护以及管理工作,直接关系到局域网本身的健康水平,并且进一步关系到人们工作和生活的质量,因此必须引起足够的重视。针对于此类问题,只有依据各自不同的局域网工作环境,有针对性的发现问题,并且提出相应的改善和维护方案,才能获得良好效果,切实让局域网成为人们工作和生活的有力推进力量。
参考文献
[1]李领弟.局域网维护的分析与探讨[J].实验室科学,2010(04).
[2]陈小凤.浅谈局域网中计算机网络维护[J].信息与电脑(理论版),2010(04).
[3]关键.浅析局域网计算机的网络维护[J].电脑知识与技术,2010,06(15).
[4]周华珊.局域网常见故障分析和处理[J].职业,2009(12).
局域网技术论文范文第4篇
在局域网中不同的网络协议都有其存在的必要,每一种协议都有它所主要依赖的操作系统和工作环境。在一个网络上运行得很好的通信协议,在另一个看起来很相似的网络上可能完全不适合。因此,组建网络时通信协议的选择尤为重要。
1 局域网中常用的几种通信协议
1.1 NetBEUI协议
NetBEUI通信协议是一种体积小、效率高、速度快的通信协议,同时也是微软最钟爱的一种通信协议,所以它被称为微软所有产品中通信协议的“母语”,它是专门为几台到百余台PC机所组成的小型局域网而设计的,不具有跨网段工作的功能,即不具备路由功能。虽然NetBEUI存在许多不尽如人意的地方,但它也具有其他协议所不具备的优点。在3种通信协议中,NetBEUI占用内存最少,在网络中基本不需要任何配置。
1.2 IPX/SPX协议
IPX/SPX(网际包交换/顺序包交换)通信协议是Novell公司的通信协议集。与NetBEUI的明显区别是,IPX/SPX显得比较庞大,在复杂环境下具有很强的适应性。IPX/SPX在设计上考虑了多网段的问题,具有强大的路由功能,适合于大型网络使用。当用户端接入NetWare服务器时,IPX/SPX及其兼容协议是最好的选择。但在非Novell网络环境中,一般不使用IPX/SPX。尤其在Windows NT网络和由Windows 95/98组成的对等网中,无法直接使用IPX/SPX通信协议。
1.3 TCP/IP协议
TCP/IP(传输控制协议/网际协议)是目前最常用到的一种通信协议,是计算机世界里的一个通用协议。在局域网中,TCP/IP最早出现在Unix系统中,现在几乎所有的厂商和操作系统都开始支持它。同时,TCP/IP也是Internet的基础协议。
2 TCP/IP协议在局域网中的配置
IPX的地址由“网络ID”和“节点ID”两部分组成,IPX/SPX协议是靠IPX地址来进行网上用户的识别的。TCP/IP协议也是靠自己的IP地址来识别在网上的位置和身份的,IP地址同样由“网络ID”和“节点ID”两部分组成。一个完整的IP地址用32位二进制数组成,每8位为一个段,共4段,段与段之间用“.”号隔开。为了便于应用,IP地址在实际使用时并不直接用二进制,而是用大家熟悉的十进制数表示,如192.168.0.1等。IP地址的完整组成“网络ID”和“节点ID”都包含在32位二进制数中。
目前,IP地址主要分为A、B、C三类,A类用于大型网络,B类用于中型网络,C类一般用于局域网等小型网络中。其中,A类地址中的最前面一段Segment1用来表示“网络ID”,且Segment1的8位二进制数中的第一位必须是“0”,其余3段表示“节点ID”;B类地址中,前两段用来表示“网络ID”,且Segment1的8位二进制数中的前二位必须是“10”,后两段用来表示“节点ID”;在C类地址中,前三段表示“网络ID”,且Segment1的8位二进制数中的前三位必须是“110”,最后一段Segment4用来表示“节点ID”。
对IP地址的解释称之为子网掩码。子网掩码是用于对子网的管理,主要是在多网段环境中对IP地址中的“网络ID”进行扩展。例如某个节点的IP地址为192.168.0.1,它是一个C类网,其中前面三段共24位用来表示“网络ID”,是非常珍贵的资源;而最后一段共8位可以作为“节点ID”自由分配。但是,如果公司的局域网是分段管理的,或者该网络是由多个局域网互联而成,是否要给每个网段或每个局域网都申请分配一个“网络ID”呢?这显然是不合理的。此时可以使用子网掩码的功能,将其中一个或几个节点的IP地址全部充当成“网络ID”来使用,用来扩展“网络ID”不足的困难。
网关是用来连接异种网络的设置,它充当一个翻译的身份,负责对不同的通信协议进行翻译,使运行不同协议的两种网络之间可以实现相互通信。如运行TCP/IP协议的Windows NT用户要访问运行IPX/SPX协议的Novell网络资源时,则必须由网关作为中介。如果两个运行TCP/IP协议的网络之间进行互联,则可以使用Windows NT所提供的“默认网关”来完成。
网络中唯一能够代表用户或设备身份的只有IP地址。但一般情况下,众多的IP地址不容易记忆,操作起来也不方便。为了改善这种状况,可给予每个用户或设备一个有意义的名称,如“WANGQUN”。至于在网络中用到“WANGQUN”时,怎样知道其对应的IP地址,这完全由操作系统自己完成,不必考虑。
3 通信协议的安装、设置和测试
局域网中的一些协议,在安装操作系统时会自动安装,在安装Windows NT或Windows 95/98时,系统会自动安装NetBEUI通信协议和IPX/SPX通信协议,但TCP/IP要经过必要的设置。下面以Windows NT环境下的TCP/IP协议为主,介绍其安装、设置和测试方法。
在Windows NT中,如果未安装有TCP/IP通信协议,可选择“开始/设置/控制面板/网络”,出现“网络”对话框,选择对话框中的“协议/添加”,选取其中的TCP/IP协议,然后单击“确定”按钮。
在“网络”对话框中选择已安装的TCP/IP协议,打开其“属性”,在指定的位置输入已分配好的“IP地址”和“子网掩码”,在“默认网关”处输入网关的地址。
当TCP/IP协议安装并设置结束后,为了保证其能够正常工作,在使用前一定要进行测试。建议大家使用系统自带的工具程序PING.EXE,该工具可以检查任何一个用户是否与同一网段或其他网段的用户连接正常,同时还能检查出自己的IP地址是否与其他用户的IP地址发生冲突。假如服务器的IP地址为192.168.0.1,如要测试机器是否与服务器接通时,只需切换到DOS提示符下,并键入命令“PING 192.168.0.1”即可。如果出现类似于“Reply from 192.168.0.1……”的回应,说明TCP/IP协议工作正常;如果显示类似于“Request timed out”的信息,说明双方的TCP/IP协议的设置可能有错,或网络的其他连接(如网卡、HUB或连线等)有问题,还需进一步检查。
4 小结
在组建局域网时,具体选择哪一种网络通信协议主要取决于网络规模、网络间的兼容性和网络管理几个方面。如果正在组建一个小型的单网段的网络,并且对外没有连接的需要,这时最好选择NetBEUI通信协议;如果正从NetWare迁移到Windows NT,或两种平台共存时,IPX/SPX及其兼容协议可提供一个很好的传输环境;如果正在规划一个高效率、可互联性和可扩展性的网络,TCP/IP则将是理想的选择。
局域网技术论文范文第5篇
摘 要:计算机网络系统安全是当前社会议论的热点,它对于企业未来的发展有着非常大的影响。基于此,本文从网络安全现状与常见威胁出发,重点分析了网络安全结构,以期能够对企业信息安全建言献策。
关键词:计算机网络;安全;VLAN
伴随着我国网络普及率的不断提高,网络安全问题已经成为当前社会议论的热点。计算机网络安全已经不再是关乎到企业经营利益,更重要的是关乎到国家未来发展的安全与稳定。所以现代社会网络安全问题将是未来最重要的安全性问题,必须要整个社会共同努力,全面提高安全防护措施。
1 网络安全现状与常见威胁分析
(1)企业网络安全现状分析。就目前形势来看,国内企业数据信息安全很多乐观,特别是在信息网络安全方面、网络安全技术人才方面、企业内部员工网络安全防护意识方面均存在着较大问题。更有甚者,一些企业领导认为像防火墙此类的安全防护软件可有可无。殊不知,网络安全体系的构建是一项长期的工作,只有在关键时刻才能够显示其最大的价值。
(2)企业网络面临的安全威胁。第一,自然威胁与无意失误。所谓自然威胁即是指因自然灾害所导致的企业数据丢失,这种网络威胁是不可避免的。无意失误顾名思义就是指由于企业内部安全管理人员的误操作所导致的企业机密信息丢失或者泄露。企业网络管理员在进行网络安全配置时,由于网络安全设置不当,导致用户口令较为容易破解。第二,非授权访问。所谓非授权访问是指通过编写各种木马病毒或者通过调整计算机程序入侵其他用户的网络,或者以非法未授权的方式访问其他用户系统文件。有些黑客会通过一些非法手段,肆意扩大访问权限或者以虚假身份进入他人计算机网络进行各种数据信息的读取。第三,木马程序及后门。这种威胁主要是指利用远程控制手段,对他人计算机程序进行非常隐蔽或者未授权方式的读取。如果企业的某台计算机被非法安装了木马程序或者后门,那么该计算机上的各种机密信息就极有可能被黑客窃取。譬如该计算机上输入的各种密码,相互交换的各种数据信息,均会通过非法程序向黑客直接发送。现阶段这种远程控制方式非常普遍,也是黑客窃取他人信息的主要手段之一。第四,计算机病毒。这种网络威胁方式通常情况下均是由不法分子直接在计算机程序中安装破坏计算机功能,窃取计算机数据而安装的。计算机病毒的出现肯定会对该计算机系统的运行产生一定的影响,它既能够自我复制计算机指令来控制计算机,同时也能够在该系统中寄生更多的病毒。一般情况下,计算机一旦被病毒感染之后,均会出现蓝屏、自动重启、卡机等问题,而且会在非常短的时间之内致使整个计算机系统瘫痪,给企业带来非常惨重的损失。
2 网络安全体系研究
关于网络安全体系的实施过程,其实施前提是系统已经部署了较为完善的安全产品,如计算机防入侵检测系统、网络防火墙系统、计算机防病毒软件、VPN以及相关的安全认证等。对于各种类型的安全产品集成的有机体系与系统动态的安全策略是一致性的,其维护是对网络安全体系进行构架的关键因素。系统安全的策略拓展的时效性,则是为了实现系统安全目标的必要条件。
(1)互操作性。对于各个服务都必须遵循的基本安全策略工作时,就是为了解决系统互操作性的关键要素。也就是说系统安全策略必须保证其各个服务都遵循一致。此外,对于某些服务的活动范围其依据并不是直接来源于系统安全策略,而是出于服务间的联动规则。所以说针对此类系统控制中心必须能够及时的实现这种联动规则。
(2)可管理性。对于一个设计良好的可靠地信息安全集成管理平台来说,其应该能够从管理技术和管理策略上保证系统的安全策略能够得到更好更整准确地实现,进而促使对安全需求方面能够更加全面准确地得到满足。这即包括了确定必需的安全服务也包含了对安全机制与技术管理方面的要求,从而实现网络安全体系在系统中的合理部署与配置。
(3)可扩展性。关于网络安全体系集成可扩展性的要求是:对于每种新投入的安全服务或安全设备,或者新型的网络安全技术的使用,系统可接纳其无缝集成运行到系统中无需对操作本身作修改,或只作较少配置改动。
3 网络安全设计结构
依据网络安全的相关法律法规,安全防御策略应是全方位和动态纵深的,对网络实行分层、分级以及实时防护,对于网络中的特定的安全漏洞能够及时评估和发现,对于各种网络的侵入行为实时监测并能依据监测结果预警,甚至是遭受攻击时,自发地发出报警信号、处理措施;这样就使得在恶意入侵某一层安全防御措施后,能被后续的应急措施阻拦,确保系统的最大程度安全。
(1)VLAN的网络分割。在以太网发展的过程中,出现了广播相关的技术问题以及安全性问题,为了解决这个问题,人们提出了VLAN协议。这个协议的原理是,在传统以太网帧上增加了VLAN头,通过这样的VLAN ID将网络上的计算机分为相对独立的工作组,而不同组之间的计算机不能进行直接互相访问,每个VLAN就是一个虚拟局域网,这样使得技能限制广播的范围,并能够组成虚拟的工作组,VLAN之间的互相访问则需要有协议中的授权进行信息交换。为了防止敏感资源的泄露以及广播信息的泛滥,在0层交换机的集中式网络环境中,将网络中的所有客户计算机和服务器分别分配到不同的VLAN中,而在相对独立的VLAN中,用户通过设置IP来进行与服务器之间的互相ping是被禁止的,同样也需要禁止用户计算机对服务器相关数据资源的写入,只允许相关数据的读出,通过这样的协议机制,能够更好地保护主机资源和服务器中的敏感信息。而在实际应用中,企业的部门位置有些分散,有些交叉重叠、不易分离,我们通过三层交换机网络,经过VLAN的相关划分,实现部门都有各自独有的VLAN,既方便了互相访问,有保证了信息的安全。
(2)MAC地址绑定。这样的绑定是通过0层交换机,在其安全控制列表中,使得计算机的MAC地址和交换机上的端口进行捆绑,由于MAC地址是网络适配卡的网络身份标识,通过这样的绑定,可以有效防止未注册的非法计算机访问网络,这也就是物理层面的安全防御。同样,我们也可以使用内部网络的安全管理系统,统筹分配网络中的硬件资源。
(3)防火墙配置。上述我们讲述了VLAN将网络划分为独立的VLAN网络,而在这些网络之间,需要我们使用特定的软件或硬件系统,来保证外部网络与内部网络的相对隔离防护,也即防火墙的配置。本文则是采用硬件防火墙方式,是通过控制特定的数据通讯的是否与许出入来实现的,这是通过访问控制策略来决定一个数据的出入是否被允许的。
对于一个网络,在保证安全性的同时,也要考虑信息通信的运行速度以及经济性等问题,因此在防火墙配置的软硬件选型中,要选用符合相关保密要求的国产防火墙,从而有效防止外部用户的非法访问,而为了充分的保证网络安全,可以配置1套备份防火墙,在其中一台出现问题时,另一台迅速启动,以达到无缝保护网络安全。而当今的防火墙访问控制策略有如下几种所示:所有往复数据均需经过防火墙的过滤与监测;符合安全策略的数据包才能经防火墙过滤而通过;服务器访问互联网不能直接通行;防火墙本身作为一个系统,也要有抵御非法访问以及攻击的功能;在没经设置的情况下,默认禁止各种网络服务,除非是客户计算机等发起的或者必须服务,而需要网络开放特殊端口的特定服务要经过系统管理员的允许。
(4)入侵检测系统的部署。传统的网络安全防御方法还不足以满足当今的网络安全要求,新的防御技术应运而生,入侵检测技术就是其中一种,它能够很好的弥补防火墙的不足,有效地结合其他网络安全产品的性能,对网络安全能够进行全方位的保护,并且具有了传统网络安全技术所不具备的主动性,在提供实时监测的同时,并根据特定的网络安全情况来采取相应的手段。相对于防火墙的部署位置,入侵监测是部署在网络的旁路中,不必像防火墙那样对所有出入网络的信息进行访问控制,不会影响整个网络的整体性能;在对全部网络的内容进行入侵检测和判断,并对分析历史进行记录,以利于事故追忆和系统恢复,并断开特定的网络链接等。
(5)身份认证。网络通信的最终目的是为了提供网络上计算机之间的数据通信和数据交换,而身份认证正是基于对通信双方进行身份的确认,保证每次通信双方的信息安全。当前比较常用的通信身份认证技术有:静态密码、智能卡、USB Key和动态口令等,得到普遍应用的是用户名和静态密码的方式;本文中我们使用USB Key方法,这种方法是基于软硬件认证技术,在保证安全性的同时,也保证了易用性。这种该设备内部有微机芯片,存放有用户特定的密钥或者数字证书,通过其内置的密码算法来达到用户的身份认证的目的,这样的身份认证系统有两种认证方法:一是基于冲击响应的模式,二是基于PKI体系的认证模式。
(6)内网安全管理。传统的安全防御理念,重点集中在常规的漏洞扫描、入网检测等方面,重要的安全设备虽然集中在机房中,处在层层的保卫中,来自网络外部的安全威胁大大的缩小了,来自网络内部的安全威胁却相对比较突出,这也是由于内网频频出现的违规安装软件,私自拨号上网以及私自接入其他非法计算机等情况使得内网网络问题频频出现,危及网络的安全,网络管理员相应的需要从准入控制管理以及信息访问控制等六大功能体系出发,来有效地解决出现的问题。
(7)数据备份与恢复。为了防止数据丢失,造成重要数据的无法挽回,网络系统需要经常性的进行数据备份,把特定的数据转存到目的介质中。这样,即使整个网络系统崩溃,数据部分或全部丢失,数据也能恢复到备份时的状态。
本文中的网络体系的构建,在集中式网络管理工具对系统数据进行备份,通过内部网路管理系统对其进行统一管理,用专门管理备份数据的服务器监控相应的备份作业,这样使得系统的备份数据能够统一集中的备份到统一磁盘阵列上。而对于网络数据的备份,实现的方式主要有以下几种:采用自动增量备份,使得系统管理员的工作量得到相应的降低;制定数据备份日程,按照计划进行备份;全面地备份存储介质的物理管理,一定程度上避免读写时的误操作;对备份后的数据所在的存储介质,通过合理的分类存放,使得保存科学可靠;在备份服务器为核心的备份系统中,对各种备份数据统筹管理,合理分配资源,实时监控,实现分布式存放,集中式管理,既提高了存储的可靠性,又保证了存取的快速性。
4 结束语
企业计算机网络安全系统的构建是一个非常复杂的系统工程,它涉及到多个学科的内容,同时也需要企业各个部门的相互协调配合。只有企业自身重视数据信息保护,制定相对完善的数据信息安全保护制度,才能够从根本上实现企业机密信息的绝对安全。在今后的工作中,笔者将继续致力于该领域的研究工作,以期能够获得更多有价值的研究成果。
参考文献:
[1]魏昱曈.如何解决计算机网络系统的安全问题[J].电子制作,2013(07):134-135.
[2]赵健.浅析计算机网络系统的安全[J].青春岁月,2011(12):362.
作者简介:周俊峰(1972.09-),男,硕士研究生,讲师,研究方向:计算机、电子商务。
作者单位:兰州职业技术学院,兰州 730070
局域网技术论文范文第6篇
[摘要]目的 探讨利用药学软件开展药学服务的可行性及实用性。方法 依靠医院现有的局域网,制作软件,提供给医、药、护以及管理人员使用。结果 信息可靠,数据量大,查询便捷,利于用药交流。结论 药学服务软件为药师开展药学服务提供了有力的后台信息支持,对于减少和防范临床用药差错,开展药学服务工作具有显著意义。
[关键词] 药学服务; 软件
近年来,“药学服务”作为药学专业主要目标的概念已被药学界所共识,合理用药已成为当今医院药学工作的方向。开展药学服务,必然需要可靠、全面、实用的信息资料为依托。为向医、药、护人员提供合理用药相关的信息支持,我院利用医院现有网络软硬件资源,自行研制开发了《二级医院临床药学服务软件系统》。药学人员利用此软件向医护人员和患者提供药学信息与咨询服务,提出合理用药建议。现就如何利用药学软件开展药学服务作一阐述。
1 软件模块及内容
1.1 医学专业知识
包括医学基本知识、疾病诊治简述、临床检验指南、食物含量一览。
1.2 药学专业知识
包括药学基本知识、制剂正确使用、合理用药概论、药物应用指导。
1.3 药政药事法规
包括《处方管理办法》等18种药政药事法规。
1.4 医疗信息查询
常州市主要医疗机构的医疗信息。
1.5 药品信息查询
包括西药、中成药、中草药的各类信息。
1.6 诊疗指南查询
按循环、呼吸、消化、神经等系统分类,包含国内外最新疾病诊疗指南。
1.7 医院药学服务
包括药讯、药品不良反应监测、临床合理用药、药学前沿、用药交流。
1.8 数据统计分析
用于统计医院各类药品比例。
1.9 药物咨询记录
主要用于门诊药房窗口咨询及医、药、护人员的交流。
1.10 疾病选药查询
按疾病分类、名称来选择可以使用的药物。
1.11 药学习题查询
提供数千道与药学相关的习题给临床医生、药学人员练习。
1.12 继教园地
包括院内外学术讲座、远程教育、三基考试、资格考试、科教信息。
1.13 系统数据维护
用于维护药品信息查询模块的药品信息。
2 如何利用软件开展药学服务
2.1 临床医生通过软件查询、接收医药学信息
临床医生通过软件可以查询到相关的医学专业知识、药学专业知识,从中了解疾病的诊治、药物的合理使用及诊疗指南等;也可以查询到相关药品信息,从中了解药品的通用名、别名、生产厂家、商品名、规格/包装、零售价、医保自负比例、抗菌分级、备药情况、其他药名以及说明书所载适应证、用法用量、不良反应、禁忌、注意事项、特殊人群用药、相互作用、药理毒理、药代动力学等;可以通过软件接收到临床药学人员提供的最新药学信息或者临床合理用药反馈信息。
2.2 临床药师通过软件查询、提供医药学信息
临床药师向医护人员及患者提供药物咨询过程中,需要快速准确地回答提出的各类问题,没有一个全面、高效的医药专业查询工具是难以很好地胜任这项工作的。
临床药师通过软件可以快速准确地查询到需要的相关知识,并且把这些知识进行综合、编辑,继而提供给临床医护人员参考。
2.3 护理人员通过软件查询、核对医药学信息
护理人员在执行医嘱的过程中,可以通过软件查询相关药物信息,能及时核对并发现输液配伍时可能存在的配伍禁忌,避免不必要的药品浪费和药害事件的发生。
2.4 医学、药学及护理人员通过软件相互沟通
通过软件用药交流模块的论坛系统,能让临床药师知道我们的医护人员目前最想知道的、最缺乏的药学信息是哪些;临床药师在收集到这些问题后,可以对相关知识进行查询、综合、编辑,及时提供给临床医护人员参考;临床医护人员也能把临床碰到的而药学人员接触不到的一些经验、信息反馈给我们的药学人员。
3 利用软件开展药学服务的优点
3.1 信息可靠,数据量大
软件数据库中的资料来源于《中国药典》、《新编药物学》等权威药学书籍,也可来源于医药学期刊及药品说明书或者疾病诊疗指南,总之应保证来源可靠,数据最新。特别是药品说明书以扫描件输入,避免了输入过程中的输入错误。软件数据库中包含5000多张说明书以及各类医药学信息,总的数据量在1G以上,还在不断增加中。
3.2 查询方便快捷,可自主更新
可以通过分类菜单或拼音助记进行快速查询所需医药学信息,通过图书查询信息费时、费力,而利用软件可以说只要瞬间;可自主修改文件、数据库,随时对所载内容进行更改、升级。
3.3 适用面广,利于用药交流
适用各医生、药师、护士工作站,医药护人员通过软件学习、交流医药学知识,加强了医、药、护之间的互动,使得我们的临床药学服务工作少走弯路,为更好地给临床一线服务提供了保障。
4 结语
如何在医院中开展药学服务是近年来热门的话题,人们不断围绕药师参与临床用药、治疗药物监测、药学信息服务、药物不良反应监测等主要内容进行积极的摸索和实践,然而受社会环境、医疗制度和知识结构的限制,以及随着药物品种的不断增加,药物的相互作用越来越多,仅依靠人体大脑记忆和掌握合理用药是难以做到的。而开发或应用药学服务软件,将药学服务作为提升医院药学人员工作水平的手段切实可行。药学软件在我院各科室及周边二级医院推广使用半年来,得到医院领导、临床医师、护士、药师等的广泛好评,帮助临床医、护人员实时、快速、准确查找医学、药学等信息,减少和防范了临床用药差错,促进了合理用药;为临床药学工作者提供了药学信息服务手段;通过计算机网络解决了药剂科和临床科室的沟通问题。利用药学软件开展药学服务,使医疗质量得到提高、医院管理更加规范。
[参考文献]
[1] 施敬云. 药学服务与医院药师[J]. 海峡药学,2006,18(3):218-220.
[2] 方崇波. 利用医院局域网开展药学服务[J]. 医药导报,2005,24(2):170.
[3] 李珍,袁波. 浅述21世纪中国药师职能转变的必要性[J]. 中国药师,2003,6(1):27-28.
(收稿日期:2010-01-19)