当前位置：首页 > 范文大全 > 实用文>技术?网络?人论文

技术?网络?人论文

2023-03-19 08:31:55 收藏本文下载本文

“宝瑶”通过精心收集，向本站投稿了15篇技术?网络?人论文，这次小编在这里给大家整理后的技术?网络?人论文，供大家阅读参考。

技术?网络?人论文

篇1：技术・网络・人论文

技术・网络・人论文

一、技术与人性的展现

1945年秋天，哲学大师海德格尔第一次读到萨特的《存在与虚无》，萨特的哲学叙事方法给他留下了深刻的印象。他尤其欣赏萨特对滑雪所做的哲学思考：对山坡的陡缓程度的体验，取决于你是用适合缓坡的挪威方法，还是用适合陡坡的法国方法滑雪，因所用方法不同，同一山坡时而显得陡峭，时而显得平缓[i]。萨特对滑雪的思考正视了这样一个事实：技术从根本上规定了人对世界的感知，即技术框定了人的视界，已经渗透入我们的生活空间之中。

关于技术的缘起有许多古老的神话。在哲人柏拉图讲述的爱比米修斯造人的故事中，技术与人的`起源几乎是同时的：在造物主创制生命的最后阶段，造物主命令普罗米修斯和他的兄弟爱比米修斯替生物进行装备，分别赋予种种特有的性质。爱比米修斯对普罗米修斯说：“让我管分配，你管检查吧。”普罗米修斯同意了。爱比米修斯一一作了安排：他给有些生物配上了强大的体力，而没有给予敏捷，把敏捷配给了柔弱的生物；他给了有些生物武装，为没有武装的生物设计了别的手段来保护自己……。可是由于他不够聪明，竟忘记已经把可以分配的特质全都给了野兽，他走到人面前时，一点装备都没有了。普罗米修斯前来检查分配的情况，正轮到人从地下出世的时刻即将来到。情急之下，普罗米修斯只好偷了赫菲斯特的用火技术和雅典娜的制造技术，同时还偷了天国的火种送给人。[ii]

这个故事似乎说明，诸神只把人造到一半就推他上路了，技术是一种补偿，引入技术的目的是为了弥补爱比米修斯的失误，是为了让人凭藉技术谋求生存之道，实现自我“完善”。换言之，天赋不“完善”的人无力直接应对自然的挑战，而不得不诉诸技术，将自己周遭的生活环境改造为一种人为的、技术化的世界。

然而，实际的情况可能恰好反过来：人的自然特性或动物性本来大抵“完善”，倒正是在无止境的创造冲动和技术旨趣驱使下，人们选择了“未完成”这一开放式演进模式，而逐渐生疏了“已完善”的天赋，减少了对其自然特性的依赖。即人因为选择了技术而成其为人，而具有与动物不同的生活方式。

由是观之，技术本质上是一种开放式演进的旨趣，这种旨趣和意向使技术活动成为人的内在向度：技术既是人的自我创造、自我展现过程，也是使自然和人的创造物被再造、被展现的过程。简言之，人建构了技术，技术反映了人的开放性的本质力量。

二、网络空间中的生活

前，网络空间(cyberspace)只是个生造的科幻概念，其话语前提乃十分技术化的控制论，前卫小说家试图通过它展示一些类似于电子神经系统的反乌托邦情境。但此后不久，电脑信息网络蓬勃兴起，人们几乎在一夜之间被抛入了一个全新的生活世界。尽管人们沿用了网络空间这一隐喻描绘他们的新奇遭遇，以万维网、虚拟实在为典范的新技术给世界带来的却是另一番生活化的景象：网际交往和虚拟生活。

[1] [2] [3] [4] [5] [6]

篇2：技术・网络・人论文

技术・网络・人论文

一、技术与人性的展现

1945年秋天，哲学大师海德格尔第一次读到萨特的《存在与虚无》，萨特的哲学叙事方法给他留下了深刻的印象。他尤其欣赏萨特对滑雪所做的哲学思考：对山坡的陡缓程度的体验，取决于你是用适合缓坡的挪威方法，还是用适合陡坡的法国方法滑雪，因所用方法不同，同一山坡时而显得陡峭，时而显得平缓。萨特对滑雪的思考正视了这样一个事实：技术从根本上规定了人对世界的感知，即技术框定了人的视界，已经渗透入我们的生活空间之中。

关于技术的缘起有许多古老的神话。在哲人柏拉图讲述的爱比米修斯造人的故事中，技术与人的起源几乎是同时的：在造物主创制生命的最后阶段，造物主命令普罗米修斯和他的兄弟爱比米修斯替生物进行装备，分别赋予种种特有的性质。爱比米修斯对普罗米修斯说：“让我管分配，你管检查吧。”普罗米修斯同意了。爱比米修斯一一作了安排：他给有些生物配上了强大的体力，而没有给予敏捷，把敏捷配给了柔弱的生物；他给了有些生物武装，为没有武装的生物设计了别的手段来保护自己……。可是由于他不够聪明，竟忘记已经把可以分配的特质全都给了野兽，他走到人面前时，一点装备都没有了。普罗米修斯前来检查分配的情况，正轮到人从地下出世的时刻即将来到。情急之下，普罗米修斯只好偷了赫菲斯特的用火技术和雅典娜的制造技术，同时还偷了天国的火种送给人。

二、网络空间中的生活

20年前，网络空间(cyberspace)只是个生造的科幻概念，其话语前提乃十分技术化的控制论，前卫小说家试图通过它展示一些类似于电子神经系统的反乌托邦情境。但此后不久，电脑信息网络蓬勃兴起，人们几乎在一夜之间被抛入了一个全新的生活世界。尽管人们沿用了网络空间这一隐喻描绘他们的新奇遭遇，以万维网、虚拟实在为典范的'新技术给世界带来的却是另一番生活化的景象：网际交往和虚拟生活。

网际交往是现实交往的延伸，其动力机制主要包括寻求注重内涵的交往、建构新的社会网络、建立网际社会地位和形成网络亚文化群体诸方面。网际交往中引起人们普遍关注的问题有二，一是网络空间中的情感和爱欲，二是以网络为中介的群体行动。人们对前者的态度不无暧昧：一方面消费社会将情感和爱欲作为诱饵引诱人们不断地追逐欲望的消费；另一方面，又将网络中的情感与爱欲视为另类。而这更增加了网络情感与爱欲的诱惑力。以网络为中介的群体行动包括公共参与、共同抵制等方面，事实表明，以网络为中介的群体行动，会在网络之外产生现实性的后果，因而问题的关键在于，通过网络，群体的意愿和力量如何显现？这种显现方式对于建设性和对抗性的群体行动分别会导致何种效应？显然，对于这种全新的社会群体行为，我们很难从理论上加以抽象的定

[1] [2] [3] [4] [5]

篇3：技术与网络和人的论文

关于技术与网络和人的论文

一、技术与人性的展现

1945年秋天，哲学大师海德格尔第一次读到萨特的《存在与虚无》，萨特的哲学叙事方法给他留下了深刻的印象，技术·网络· 人。他尤其欣赏萨特对滑雪所做的哲学思考：对山坡的陡缓程度的体验，取决于你是用适合缓坡的挪威方法，还是用适合陡坡的法国方法滑雪，因所用方法不同，同一山坡时而显得陡峭，时而显得平缓[i]。萨特对滑雪的思考正视了这样一个事实：技术从根本上规定了人对世界的感知，即技术框定了人的视界，已经渗透入我们的生活空间之中。

关于技术的缘起有许多古老的神话。在哲人柏拉图讲述的爱比米修斯造人的故事中，技术与人的起源几乎是同时的：在造物主创制生命的最后阶段，造物主命令普罗米修斯和他的`兄弟爱比米修斯替生物进行装备，分别赋予种种特有的性质。爱比米修斯对普罗米修斯说：“让我管分配，你管检查吧。”普罗米修斯同意了。爱比米修斯一一作了安排：他给有些生物配上了强大的体力，而没有给予敏捷，把敏捷配给了柔弱的生物；他给了有些生物武装，为没有武装的生物设计了别的手段来保护自己……。可是由于他不够聪明，竟忘记已经把可以分配的特质全都给了野兽，他走到人面前时，一点装备都没有了。普罗米修斯前来检查分配的情况，正轮到人从地下出世的时刻即将来到。情急之下，普罗米修斯只好偷了赫菲斯特的用火技术和雅典娜的制造技术，同时还偷了天国的火种送给人。

二、网络空间中的生活

篇4：网络存储技术论文

网络存储技术论文

[摘要]网络数据信息爆炸性的增长，使网络存储技术变得越来越重要，已成为Internet及其相关行业进一步发展的关键。本文详细介绍了常见的三种网络存储技术的优缺点及应用范围，并介绍了几种新的网络存储技术，使读者对网络存储技术有一个全面的了解。

[关键词]网络存储直接连接存储网络附加存储存储区域网络

一、引言

信息是一个企业可持续发展的核心动力之一，信息的可靠存储是一个企业得以正常运作和发展壮大的根本所在。随着越来越多的关键信息转化为数字形式并存储在可管理的介质中，用户对存储和管理信息的能力产生了新的需求。为更有效地使用和管理信息，用户对信息系统的搭建、数据中心的建设、数据的管理模式、数据的有效使用、信息存储介质的选择以及信息的安全存储等方面，提出多样化的要求，以达到数据的最佳利用。

网络存储设备提供网络信息系统的信息存取和共享服务，其主要特征体现在：超大存储容量、大数据传输率以及高可用性。要实现存储设备的性能特征，采用RAID作为存储实体是必然选择。传统的网络存储设备都是将RAID硬盘阵列直接连接到网络系统的服务器上，这种形式的网络存储结构称为（DASDirectAttachedStorage），目前，按照信息存储系统的构成，SAN（StorageAreaNet-work）和NAS（NetworkAttachedStorage）是最常见的两种选择。本文将详细介绍这三种存储技术的优缺点和应用范围，并将介绍几种新的网络存储技术。

二、传统网络存储技术

1.DAS存储

直接连接存储（DAS——DirectAttachedStorage）是指将存储设备通过SCSI接口或光纤通道直接连接到服务器上的方式。这种连接方式主要应用于单机或两台主机的集群环境中，主要优点是存储容量扩展的实施简单，投入成本少、见效快。

DAS适用于以下几种情况：(1)服务器在地理分布上很分散，通过SAN或NAS在它们之间进行互连非常困难时；(2)存储系统必须被直接连接到应用服务器，如某些数据库使用的“原始分区”上时；(3)包括许多数据库应用和应用服务器在内的应用，它们需要直接连接到存储器上。

当服务器在地理上比较分散很难通过远程连接进行互连时，或传输速率并不很高的网络系统，直接连接存储是比较好的解决方案，甚至可能是唯一的解决方案，但是由于DAS存储没有网络结构，存在许多缺点：一方面该技术不具备共享性，每种客户机类型都需要一个服务器，从而增加了存储管理和维护的难度；另一方面，当存储容量增加时，扩容变得十分困难，而且当服务器发生故障时，数据也难以获取。因此，难以满足现今的存储要求。

2.NAS存储

网络附加存储（NAS——NetworkAttachedStorage）即将存储设备通过标准的网络拓扑结构例如（以太网），连接到一群计算机上，提供数据和文件服务。NAS服务器一般由存储硬件、操作系统以及其上的文件系统等几个部分组成。简单的说，NAS是通过与网络直接连接的磁盘阵列，它具备了磁盘阵列的所有主要特征：高容量、高效能、高可靠。

NAS由于其较好的可扩展性、可访问性、低价位、安装简单、易于管理等优点，广泛应用于电子出版、CAD、图像、教育、银行、政府、法律环境等那些对数据量有较大需求的应用中。多媒体、Internet下载以及在线数据的增长，特别是那些要求存储器能随着公司文件大小规模而增长的企业、小型公司、大型组织的部门网络，更需要这样一个简单的可扩展的方案。

但在实际应用中，NAS也存在着以下不足：(1)在文件访问的速度方面。NAS采用的是FileI/O方式，这带来巨大的网络协议开销。正是因为这个原因，NAS不适合在对访问速度要求高的应用场合，如数据库应用、在线事务处理。(2)在数据备份方面。需要占用LAN的带宽，浪费宝贵的网络资源，严重时甚至影响客户应用的顺利进行。(3)在资源的整合和NAS的管理方面。NAS只能对单个存储(单个NAS内部)设备之中的磁盘进行资源的整合，目前还无法跨越不同的NAS设备，难以将多个NAS设备整合成一个统一的存储池，因而难以对多个NAS设备进行统一的集中管理，只能进行单独管理。

3.SAN存储

存储区域网络（SAN--StorageAreaNetwork）是指存储设备相互连接且与一台服务器或一个服务器群相连的网络。其中的服务器用SAN的接入点。SAN是一种特殊的高速网络，连接网络服务器和诸如大磁盘阵列或备份磁带库的`存储设备，SAN置于LAN之下，而不涉及LAN。利用SAN，不仅可以提供大容量的存储数据，而且地域上可以分散，并缓解了大量数据传输对于局域网的影响。SAN的结构允许任何服务器连接到任何存储阵列，不管数据置放在哪里，服务器都可直接存取所需的数据。

SAN的应用主要可以归纳为下面集中应用：构造群集环境，利用存储局域网可以很方便地通过光纤通道把各种服务器、存储设备连接在一起构成一个具有高性能、较好的数据可用性、可扩展的群集环境。(1)数据保护，存储局域网可以做到无服务器的数据备份，数据也可以后台的方式在存储局域网上传递，大大减少了主要网络和服务器上的负载，所以存储局域网可以很方便地实现诸如磁盘冗余、关键数据备份、远程群集、远程镜像等许多防止数据丢失的数据保护技术；(2)数据迁移，可以方便地进行两个存储设备之间的数据移动；(3)灾难恢复，特别是远程的灾难恢复；(4)数据仓库，用来构建一个网络系统的存储仓库，使得整个存储系统可以很好地共享。

在实际应用中，SAN也存在着一些不足：(1)设备的互操作性较差。目前采用最早和最多的SAN互连技术还是FibreChannel，对于不同的制造商，光纤通道协议的具体实现是不同的，这在客观上造成不同厂商的产品之间难以互相操作。(2)构建和维护SAN需要有丰富经验的、并接受过专门训练的专业人员，这大大增加了构建和维护费用。(3)在异构环境下的文件共享方面，SAN中存储资源的共享一般指的是不同平台下的存储空间的共享，而非数据文件的共享。(4)连接距离限制在10km左右等。更为重要的是，目前的存储区域网采用的光纤通道的网络互连设备都非常昂贵。这些都阻碍了SAN技术的普及应用和推广。

三、新的网络存储技术

1.NAS网关技术

NAS网关与NAS专用设备不同，它不是直接与安装在专用设备中的存储相连接，而是经由外置的交换设备，连接到存储阵列上——无论是交换设备还是磁盘阵列，通常都是采用光纤通道接口——正因为如此，NAS网关可以访问SAN上连接的多个存储阵列中的存储资源。它使得IP连接的客户机可以以文件的方式访问SAN上的块级存储，并通过标准的文件共享协议（如NFS和CIFS）处理来自客户机的请求。当网关收到客户机请求后，便将该请求转换为向存储阵列发出的块数据请求。存储阵列处理这个请求，并将处理结果发回给网关。然后网关将这个块信息转换为文件数据，再将它发给客户机。对于终端用户而言，整个过程是无缝和透明的。NAS网关技术使得管理人员能够将分散的NASfilers整合在一起，增强了系统的灵活性与可伸缩性，为企业升级文件系统、管理后端的存储阵列提供了方便。

2.IP-SAN技术

网络存储的发展产生了一种新技术IP-SAN。IP-SAN是以IP为基础的SAN存储方案，是一种可共同使用SAN与NAS，并遵循各项标准的纯软件解决方案。IP-SAN可让用户同时使用GigabitEthernetSCSI与FibreChannel，建立以IP为基础的网络存储基本架构，由于IP在局域网和广域网上的应用以及良好的技术支持，在IP网络中也可实现远距离的块级存储，以IP协议替代光纤通道协议，IP协议用于网络中实现用户和服务器连接，随着用于执行IP协议的计算机的速度的提高及G比特的以太网的出现，基于IP协议的存储网络实现方案成为SAN的更佳选择。IP-SAN不仅成本低，而且可以解决FC的传播距离有限、互操作性较差等问题。

四、结束语

数据的重要性越来越得到人们的广泛认同。未来网络的核心将是数据，网络化存储正是数据存储的一个发展方向。这里我们简要的介绍了几种当前比较流行的网络存储技术，当前网络存储技术还在不断的快速发展，SAN和NAS的融合、统一虚拟存储技术是未来发展的两个趋势。

篇5：网络管理技术论文

过去有一些简单的工具用来帮助网管人员管理网络资源，但随着网络规模的扩大和复杂度的增加，对强大易用的管理工具的需求也日益显得迫切，管理人员需要依赖强大的工具完成各种各样的网络管理任务，而网络管理系统就是能够实现上述目的系统。

1WBM技术介绍

随着应用Intranet的企业的增多，同时Internet技术逐渐向Intranet的迁移，一些主要的网络厂商正试图以一种新的形式去应用MIS。因此就促使了Web(Web-BasedManagement)网管技术的产生[2]。它作为一种全新的网络管理模式—基于Web的网络管理模式，从出现伊始就表现出强大的生命力，以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐，被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。

WBM融合了Web功能与网管技术，从而为网管人员提供了比传统工具更强有力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器，在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此，他们不再只拘泥于网管工作站上了，并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面，浏览器操作和Web页面对WWW用户来讲是非常熟悉的，所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说，WBM是网络管理方案的一次革命。

2基于WBM技术的网管系统设计

2.1系统的设计目标

在本系统设计阶段，就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标，采用先进的WBM技术和高效的算法，力求在性能上可以达到国外同类产品的水平。

本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行有效资源管理，使用户可以从任何地方通过WEB浏览器对网络和设备，以及相关系统和服务实施应变式管理和控制，从而保证网络上的资源处于最佳运行状态，并保持网络的可用性和可靠性。

2.2系统的体系结构

在系统设计的时候，以国外同类的先进产品作为参照物，同时考虑到技术发展的趋势，在当前的技术条件下进行设计。我们采用三层结构的设计，融合了先进的WBM技术，使系统能够提供给管理员灵活简便的管理途径。

三层结构的特点[2]：1)完成管理任务的软件作为中间层以后台进程方式实现，实施网络设备的轮询和故障信息的收集；2)管理中间件驻留在网络设备和浏览器之间，用户仅需通过管理中间层的主页存取被管设备；3)管理中间件中继转发管理信息并进行SNMP和HTTP之间的协议转换三层结构无需对设备作任何改变。

3网络拓扑发现算法的设计

为了实施对网络的管理，网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现在用户面前，即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发现算法。基于SNMP的拓扑算法在一定程度上是非常有效的，拓扑的速度也非常快。但它存在一个缺陷[3]。那就是，在一个特定的域中，所有的子网的信息都依赖于设备具有SNMP的特性，如果系统不支持SNMP，则这种方法就无能为力了。还有对网络管理的不重视，或者考虑到安全方面的原因，人们往往把网络设备的SNMP功能关闭，这样就难于取得设备的MIB值，就出现了拓扑的不完整性，严重影响了网络管理系统的功能。针对这一的问题，下面讨论本系统对上述算法的改进—基于ICMP协议的拓扑发现。

.1PING和路由建立

PING的主要操作是发送报文，并简单地等待回答。PING之所以如此命名，是因为它是一个简单的回显协议，使用ICMP响应请求与响应应答报文。PING主要由系统程序员用于诊断和调试实现PING的过程主要是：首先向目的机器发送一个响应请求的ICMP报文，然后等待目的机器的应答，直到超时。如收到应答报文，则报告目的机器运行正常，程序退出。

路由建立的功能就是利用IP头中的TTL域。开始时信源设置IP头的TTL值为0，发送报文给信宿，第一个网关收到此报文后，发现TTL值为0，它丢弃此报文，并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它进行解析，这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿，第一个网关把它的TTL值减为0后转发给第二个网关，第二个网关发现报文TTL值为0，丢弃此报文并向信源发送超时ICMP报文。这样就得到了路由中和第二个网关地址。如此循环下去，直到报文正确到达信宿，这样就得到了通往信宿的路由。

3.2网络拓扑的发现算法具体实现的步骤：

(1)于给定的IP区间，利用PING依次检测每个IP地址，将检测到的IP地址记录到IP地址表中。

(2)对第一步中查到的每个IP地址进行traceroute操作，记录到这些IP地址的路由。并把每条路由中的网关地址也加到IP表中。(3)对IP地址表中的每个IP地址，通过发送掩码请求报文与接收掩码应答报文，找到这些IP地址的子网掩码。

(4)根据子网掩码，确定对应每个IP地址的子网地址，并确定各个子网的网络类型。把查到的各个子网加入地址表中。

(5)试图得到与IP地址表中每个IP地址对应的域名(DomainName)，如具有相同域名，则说明同一个网络设备具有多个IP地址，即具有多个网络接口。

(6)根据第二步中的路由与第四步中得到的子网，产生连接情况表。

4结语

本文提出的ICMP协议的拓扑发现方法能够较好的发现网络拓扑，但是它需要占用大量的带宽资源。本系统进行设计时，主要考虑的是对园区网络的网络管理，所有的被管理设备和网管系统处于同一段网络上，也就是说，系统可以直接到达被管理的网络，所以对远程的局域网就无能为力了。在做下一步工作的时候，可以添加系统对远程局域网络的管理功能。

参考文献

[1]晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究.,03.

[2]周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社..

[3]李佳石,冰心著.网络管理系统中的自动拓扑算法[J].华中科技大学学报.,06.

篇6：网络管理技术论文

1应用局域网络管理软件平台

(1)面向业务操作者的业务工具。工作人员可以借助、使用应用局域网络管理软件平台进行器具收集、器具发放、证书制作、证书审核、证书打印、财务收费和证书领取等操作。(2)面向客户的器具送检工具。应用局域网络管理软件平台实现了局域网上送检业务受理功能，可以及时了解送检客户计量仪器检定情况。(3)高效的证书制作流程。应用局域网络管理软件平台充分考虑了制作证书环节各要素间的逻辑关系，通过关联匹配关系的设置，最大化减少了人为操作，提高了检定员制作证书的工作效率，同时可根据用户的要求合并多个器具到一张证书。(4)完整的财务管理。应用局域网络管理软件平台有到账确认、证书领取、发票关联等财务模块，成功地解决了证书领取不规范、到账确认不严谨、收费统计不准确等问题，实现了规范和灵活的高度统一。(5)方便的内检委托单生成功能。对于内检计量器具，应用局域网络管理软件平台可以自动生成相关的单据，规范和简化了工作流程。(6)有效的监管功能。通过建立和计量监督机构的数据共享，应用局域网络管理软件平台可以实现监督、检定(校准)的联动，提高了监督部门的工作效率，降低了工作强度，加强了计量技术机构的工作针对性。(7)资料的规范化管理。通过对计量标准、计量仪器信息及时补充，实现了业务管理部门对各种考核、认证资料电子化管理和自动生成、更新，从而降低了业务人员的工作强度。(8)高效方便的操作体验。批量录入送检仪器、检定任务自动分配、鼠标滚轮滚动加减数字输入，系统尽最大可能减少了用户操作键盘的输入强度。

2应用局域网络管理软件功能

应用局域网络管理软件由九大模块构成，分别为:基础信息、计量标准、标准器、仪器收发、检定业务、证书制作、统计查询、系统管理和消息平台。

2.1基础信息

基础信息模块包括专业类别信息、人员管理信息、格式模板管理信息、数据模板管理信息、规程规范管理、开展项目信息、授权签字人权限、客户管理、个性化设置等，为系统的运营提供了基本的数据支持。(1)专业类别信息。对检定专业以及对应的证书序号进行管理。(2)人员管理信息。对工作人员进行管理，对人员所使用的规程、设备、模板、开展项目和专业类别进行管理，并且可以设置人员是否为登录用户。(3)格式模板管理、数据模板管理信息。对证书的首页模板和续页模板文件进行管理。其中首页模板文件根据国家对检定证书的统一要求来管理。续页模板是指输出检定数据的模板，是采用Word文件形式制作的模板，方便用户自己设置模板文件。(4)规程规范管理。对计量标准考核规范信息进行管理，可以保证使用的是现行有效规程规范。(5)开展项目信息。对机构可以开展的检定项目进行管理，并对其相关联的规范、设备和模板进行维护。(6)授权签字人权限。对科室中规定时间段内具有审核权限的人员进行管理。

2.2计量标准

计量标准模块包括计量标准名称分类、计量器具名称与分类代码、计量标准三个部分，主要是为制作证书提供必要的计量标准数据。根据JJF1022—1991《计量标准命名技术规范》，JJF1051—《计量器具命名与分类编码》对命名进行规范。计量标准主要对所建的考核标准进行管理，并对标准的重复性、稳定性和考核复查信息进行记录。建标时对其中所规定的标准器、配套设备、配套设施和规程都建立了对应关系。

2.3标准器

标准器模块包括标准器分类、标准器管理、标准器维护、上级溯源单位和制造厂商五个部分。(1)标准器分类。对标准器分类信息进行管理。(2)标准器管理。对标准器的基本信息、标准器对应的参数、附件和附件的参数信息进行管理。(3)标准器维护。对标准器的动态信息，包括对过期或报废的标准器进行更换、修理记录、量值溯源信息、期间考核计划、使用记录进行管理。

2.4仪器收发

仪器收发包括委托单管理、器具分发、退检管理、器具返回、证书打印、发放证书和报价单管理等。(1)委托单管理是指对客户送检器具所填写的委托协议书相关信息进行管理，主要包括客户器具信息的管理、客户单位的添加、送检器具的信息一览表，实现了对送检过的器具的.管理，方便快速录入和查询相关信息。委托单中的“流水号管理”指的是仪器收发室的手写单上的流水号;信息“是否连续”指的是手写单上的流水号是否连续没有断号。在手写单多页的情况下能自动生成相应的流水号，不需要录入人员输入每个流水号。用户可以通过流水号对送检器具信息进行查询。委托单中，将计量器具分到相应科室的一系列信息，如“检定科室”、“到样日期”、“客户要求”，“附件”、“备注”自动变为可编辑状态。系统可以对多条信息的列(如“检定科室”、“客户要求”、“备注”等)设置相同内容，方便用户录入。根据客户实际要求在“客户要求”中选择相应的选项，“附件”用于记录客户送检器具的附带物品。(2)器具分发是指对客户的送检器具指定相应的检定科室，系统会根据委托单的信息进行自动分发。(3)证书打印、发放证书是指证书的打印以及给用户发放的记录。(4)报价单管理是指打印用户送检器具的报价单信息。

2.5检定业务

检定业务包括分配任务、个人任务管理、领取器具、规程规范领用记录、报价管理和证书费用修改。(1)分配任务是指科室负责人把科室任务分配给相应的检定人员。(2)个人任务管理是指检定员对分配给自己的任务进行查看和管理。(3)领取器具是指检定人员从仪器收发室领取个人任务中的客户送检器具。(4)证书费用修改是指对没有生成缴费单的证书，检定员自己修改证书的费用。

2.6证书制作

证书制作包括证书管理信息，制作证书信息，证书的核验、审核和审批，证书废弃审核，这些均应符合质量管理体系要求。

3结束语

应用局域网络管理软件在很大程度上满足了计量技术机构对日益增长的业务管理的需求，满足了JJF1069—《法定计量检定机构考核规范》中对计量技术机构管理体系的要求，完全实现了检定、校准各个环节工作的信息化、统一化、规范化，保证了机构内部建立适宜的沟通机制，提高了工作效率，将计量机构业务管理推向一个新的高度。

篇7：网络管理技术论文

摘要：网络管理已经成为计算机网络和电信网研究中最重要的内容之一。本文首先介绍当前几种网络管理技术和TMN基本概念，然后讨论了TMN开发中的关键技术及TMN开发工具引入的必要性，并结合自己的开发实践讨论了TMN管理者和代理的开发，最后对电信管理网的未来发展趋势进行了展望。

一、网络管理技术概述

网络管理已经成为计算机网络和电信网研究中最重要的内容之一。网络中采用的先进技术越多，规模越大，网络的维护和管理工作也就越复杂。计算机网络和电信网的管理技术是分别形成的，但到后来渐趋同化，差不多具有相同的管理功能和管理原理，只是在网络管理上的具体对象上有些差异。

通常，一个网络由许多不同厂家的产品构成，要有效地管理这样一个网络系统，就要求各个网络产品提供统一的管理接口，即遵循标准的网络管理协议。这样，一个厂家的网络管理产品就能方便地管理其他厂家的产品，不同厂家的网络管理产品之间还能交换管理信息。

在简单网络管理协议SNMP（Simple Network Management Protocol）设计时，就定位在是一种易于实施的基本网络管理工具。在网管领域中，它扮演了先锋的角色，因OSI的CMIP发展缓慢同时在Internet的迅猛发展和多厂商环境下的网络管理解决方案的驱动下，而很快成为了事实上的标准。

SNMP的管理结构如图1所示。它的核心思想是在每个网络节点上存放一个管理信息库MIB（Management Information Base），由节点上60代理（agent）负责维护，管理者通过应用层协议对这些代理进行轮询进而对管理信息库进行管理。SNMP最大的特点就是其简单性。它的设计原则是尽量减少网络管理所带来的对系统资源的需求，尽量减少agent的复杂性。它的整个管理策略和体系结构的设计都体现了这一原则。

SNMP的主要优点是：

·易于实施；

·成熟的标准；

· C／S模式对资源要求较低；

·广泛适用，代价低廉。

简单性是SNMP标准取得成功的主要原因。因为在大型的、多厂商产品构成的复杂网络中，管理协议的明晰是至关重要的；但同时这又是SNMP的缺陷所在——为了使协议简单易行，SNMP简化了不少功能，如：

·没有提供成批存取机制，对大块数据进行存取效率很低；

·没有提供足够的安全机制，安全性很差；

·只在TCP／IP协议上运行，不支持别的网络协议；

·没有提供管理者与管理者之间通信的机制，只适中式管理，而不利于进行分布式管理；

·只适于监测网络设备，不适于监测网络本身。

针对这些问题，对它的改进工作一直在进行。如1991年11月，推出了RMON（Rernote Network Monitor）MIB，加强SNMP对网络本身的管理能力。它使得SNMP不仅可管理网络设备，还能监测局域网和互联网上的数据流量等信息，1992年7月，针对SNMP缺乏安全性的弱点，又公布了S-SNMP（Secure SNMP）草案。到1993年初，又推出了SNMP Version 2即SNMPv2（推出了SNMPv2以后，SNMP就被称为SNMPv1）。SNM-Pv2包容了以前对SNMP的各项改进工作，并在保持了SNMP清晰性和易于实现的特点以外，吸取了CMIP的部分优点，功能更强，安全性更好，具体表现为：

·提供了验证机制，加密机制，时间同步机制等，安全性大大提高；

·提供了一次取回大量数据的能力，效率大大提高；

·增加了管理者和管理者之间的信息交换机制，从而支持分布式管理结构，由位于中间层次（intermediate）的管理者来分担主管理者的任务，增加了远地站点的局部自主性。

·可在多种网络协议上运行，如OSI、AppleTalk和IPX等，适用多协议网络环境（但它的缺省网络协议仍是UDP）。

·扩展了管理信息结构的很多方面。特别是对象类型的定义引入了几种新的类型。另外还规范了一种新的约定用来创建和删除管理表（management tables）中的“行”（rows）。

·定义了两种新的协议数据单元PDU（Protocol Data Unit）。Get-Bulk-Request协议数据单元允许检索大数据块（large data blocks），不必象SNMP那样逐项（item by item）检索； Inform-Request协议数据单元允许在管理者之间交换陷阱（tran）信息。

CMIP协议是在OSI制订的网络管理框架中提出的网络管理协议。CMIP与SNMP一样，也是由管理者、代理、管理协议与管理信息库组成。

CMIP是基于面向对象的管理模型的。这个管理模型表示了封装的资源并标准化了它们所提供的接口。如图2所示了四个主要的元素：

·系统管理应用进程是在担负管理功能的设备（服务器或路由器等〕中运行的软件：

·管理信息库MIB是一组从各个接点收集来的与网络管理有关的数据；

·系统管理应用实体（system management application entities）负责网络管理工作站间的管理信息的交换，以及与网络中其它接点之间的信息交换；

·层管理实体（layer management entities）表示在OSI体系结构设计中必要的逻辑。

CMIP模型也是基于C／S结构的。客户端是管理系统，也称管理者，发起操作并接收通知；服务器是被管系统，也称代理，接收管理指令，执行命令并上报事件通知。一个CMIP操作台（console）可以和一个设备建立一个会话，并用一个命令就可以下载许多不同的信息。例如，可以得到一个设备在一段特定时间内所有差错统计信息。

CMIP采用基于事件而不是基于轮询的方法来获得网络组件的相关数据。

CMIP已经得到主要厂商，包括IBM、HP及AT&T的支持。用户和厂商已经认识到CMIP在企业级网络管理领域是一个比较好的选择。它能够满足企业级网管对横跨多个管理域的对等相互作用（peer to peer interactions）的要求。CMIP特别适合对要求提供集中式管理的树状系统，尤其是对电信网（telecommunications network）的管理。这就是下面提到的电信管理网。

二、电信管理网TMN

电信管理网TMN是国际电联ITU-T借鉴0SI中有关系统管理的思想及技术，为管理电信业务而定义的结构化网络体系结构，TMN基于OSI系统管理（ITU-U X.700／ISO 7498-4）的概念，并在电信领域的应用中有所发展.它使得网络管理系统与电信网在标准的体系结构下，按照标准的接口和标准的信息格式交换管理信息，从而实现网络管理功能。TMN的基本原理之一就是使管理功能与电信功能分离。网络管理者可以从有限的几个管理节点管理电信网络中分布的电信设备。

国际电信联盟（ITU）在M.3010建议中指出，电信管理网的基本概念是提供一个有组织的网络结构，以取得各种类型的操作系统（OSs）之间、操作系统与电信设备之间的互连。它采用商定的具有标准协议和信息的接口进行管理信息交换的体系结构。提出TMN体系结构的目的是支撑电信网和电信业务的规划、配置、安装、操作及组织。

电信管理网TMN的目的是提供一组标准接口，使得对网络的操作、管理和维护及对网络单元的管理变得容易实现，所以，TMN的提出很大程度上是为了满足网管各部分之间的互连性的要求。集中式的管理和分布式的处理是TMN的突出特点。

ITU-T从三个方面定义了TMN的体系结构（Architecture），即功能体系结构（Functional Architecture），信息体系结构（Information Architecture）和物理体系结构（Physical Architecture）。它们分别体现在管理功能块的划分、信息交互的方式和网管的物理实现。我们按TMN的标准从这三个方面出发，对TMN系统的结构进行设计。

功能体系结构是从逻辑上描述TMN内部的功能分布。引入了一组标准的功能块（Functional block）和可能发生信息交换的参考点（reference points）。整个TMN系统即是各种功能块的组合。

信息体系结构包括两个方面：管理信息模型和管理信息交换。管理信息模型是对网络资源及其所支持的管理活动的抽象表示，网络管理功能即是在信息模型的基础上实现的。管理信息交换主要涉及到TMN的数据通信功能和消息传递功能，即各物理实体和功能实体之间的通信。

物理体系结构是为实现TMN的功能所需的各种物理实体的组织结构。TMN功能的实现依赖于具体的物理体系结构，从功能体系结构到物理体系结构存在着映射关系。物理体系结构随具体情况的不同而千差万别。在物理体系结构和功能体系结构之间有一定的映射关系。物理体系结构中的一个物理块实现了功能体系结构中的一个或多个功能块，一个接口实现了功能体系结构中的一组参考点。

仿照OSI网络分层模型，ITU-T进一步在TMN中引入了逻辑分层。如图3所示：

TMN的逻辑分层是将管理功能针对不同的管理对象映射到事务管理层BML（Business Management Layer），业务管理层SML（Service Management Layer），网络管理层NML（Network Management Layer）和网元管理层EML（Element Management Layer）。再加上物理存在的网元层NEL（Network Element Layer），就构成了TMN的逻辑分层体系结构。从图2-6可以看到，TMN定义的五大管理功能在每一层上都存在，但各层的侧重点不同。这与各层定义的管理范围和对象有关。

三、TMN开发平台和开发工具

1．利用TMN的开发工具开发TMN的必要性

TMN的信息体系结构应用OSI系统管理的原则，引入了管理者和代理的概念，强调在面向事物处理的信息交换中采用面向对象的技术。如前所述，TMN是高度强调标准化的网络，故基于TMN标准的产品开发，其标准规范要求严格复杂，使得TMN的实施成为一项具有难度和挑战性的工作；再加上OSI系统管理专业人员的相对缺乏，因此，工具的引入有助于简化TMN的开发，提高开发效率。目前比较流行的基于TMN标准的开发平台有HPOV DM、SUN SEM、IBM TMN平台和DSET的DSG及其系列工具。这些平台可以用于开发全方位的TMN管理者和代理应用，大大降低TMN／Q3应用系统的编程复杂性，并且使之符合开放系统互连（OSI）网络管理标准，这些标准包括高级信息模型定义语言GDM0，OSI标准信息传输协议CMIP，以及抽象数据类型定义语言ASN.1。其中DSET的DSG及工具系列除了具备以上功能外，还具有独立于硬件平台的优点。下面将比较详细论述DSET的TMN开发工具及其在TMN开发中的作用。

2．DSET的TMN开发工具的基本组成

DSET的TMN开发工具从功能上来讲可以构成一个平台和两大工具箱。一个平台：分布式系统生成器DSG（Distributed System Generator）；两个工具箱：管理者工具箱和代理工具箱。

分布式系统生成器DSG

DSG是用于顶层TCP／IP、OSI和其它协议上构筑分布式并发系统的高级对象请求代理0RB。 DSG将复杂的通信基础设施和面向对象技术相结合，提供构筑分布式计算的软件平台。通信基础设施支持分布式计算中通信域的通信要求。如图4所示，它提供了四种主要的服务：透明远程操作、远程过程调用和消息传递、抽象数据服务及命名服务。借助于并发的面向对象框架，一个复杂的应用可以分解成一组相互通信的并发对象worker，除了支持例如类和多重继承等重要的传统面向对象特征外，为了构筑新的worker类，DSG也支持分布式对象。在一个开放系统中，一个worker可以和其它worker进行通信，而不必去关心它们所处的物理位置。

DSG提供给用户用以开发应用的构造块（building block）称为worker。一个worker可以有自己的控制线程，也可以和别的线程共享一个控制线程，每个Worker都有自己的服务访问点SAP（Service Access Point），通过SAP与其它worker通信。Worker是事件驱动的。在Worker内部，由有限状态机FSM（Finite State Machine〕定义各种动作及处理例程，DSG接受外部事件并分发到相应的动作处理例程进行处理。如图5所示，独占线程的此worker有三个状态，两个SAPs，并且每个SAP的消息队列中都有两个事件。DSG环境通过将这些事件送到相应的事件处理程序中来驱动worker的有限状态机。

Worker是分布式的并发对象，DSG用它来支持面向对象的特点，如：类，继承等等。Worker由worker class定义。Worker可以根据需要由应用程序动态创建。在一个UNIX进程中可以创建的Worker个数仅受内存的限制。

管理者工具箱由ASN.C／C＋＋编译器、CMIP／ROSE协议和管理者代码生成器MCG构成，如图6所示。

其中的CMIP／ROSE协议提供全套符合Q3接口选用的OSI七层协议栈实施。由于TMN在典型的电信环境中以面向对象的信息模型控制和管理物理资源，所有被管理的资源均被抽象为被管对象（M0），被管理系统中的代理帮助管理者通过MO访问被管理资源，又根据ITU-T M.3010建议：管理者与代理之间通过Q3接口通信。为此管理者必须产生与代理通信的CMIP请求。管理者代码生成器读取信息模型（GDMO文件和ASN.1文件），创立代码模板来为每个被定义的MO类产生CMIP请求和CMIP响应。由于所有CMIP数据均由ASN.1符号定义，而上层管理应用可能采用C／C++，故管理者应用需要包含ASN.1数据处理代码，管理者工具箱中的ASN C／ C++编译器提供ASN.1数据到C／C++语言的映射，并采用“预处理技术“生成ASN.1数据的低级代码，可见利用DSET工具用户只需编写网管系统的信息模型和相关的抽象数据类型定义文件，然后利用DSET的ASN C／C++编译器，管理者代码生成器即可生成管理者部分代码框架。

代理工具箱包括可砚化代理生成器VAB、CMIP翻译器、ASN.C／C++ Toolkit，其结构见图7。用来开发符合管理目标定义指南GDMO和通用管理信息协议CMIP规定的代理应用.使用DSET独具特色的代理工具箱的最大的好处就是更快、更容易地进行代理应用的开发。DSET在代理应用的开发上为用户做了大量的工作。

一个典型的GDMO／CM1P代理应用包括三个代码模块：

·代理、MIT、MIB的实施

·被管理资源的接口代码

·后端被管理资源代码

第一个模块用于处理代理与MO实施。代理工具箱通过对过滤、特性处理、MO实例的通用支持，自动构作这一个模块。DSET的这一部分做得相当完善，用户只需作少量工作即可完成本模块的创建。对于mcreate、m-、m-get、m-cancel-get、m-set、m-set-confirmed、m-action、m-action-confirmed这些CMIP请求，第一个模块中包含有缺省的处理代码框架。这些缺省代码都假定管理者的CMIP请求只与MO打交道。为了适应不同用户的需求，DSET代理工具箱又提供在缺省处理前后调用用户程序的接入点（称为User hooks）。当某CMIP请求需与实际被管资源或数据库打交道时，用户可在相应的PRE-或POST-函数中加入自己的处理代码。例如，当你需要在二层管理应用中发CMIP请求，需望获取实际被管资源的某属性，而该属性又不在相应MO中时你只需在GDMO预定义模板中为此属性定义一PRE-GET函数，并在你自己的定制文件中为此函数编写从实际被管设备取到该属性值的代码即可。DSET的Agent代码在执行每个CMIP请求前都要先检查用户是否在GDMO预定义文件中为此清求定义了PRE-函数，若是，则光执行PRE-函数，并根据返回值决定是否执行缺省处理（PRE-函数返回D-OK则需执行缺省处理，否则Agent向管理者返回正确或错误响应）。同样当Agent执行完缺省处理函数时，也会检查用户是否为该请求定义了POST-函数，若是则继续执行POST-函数。至于Agent与MO之间具体是如何实现通信的，用户不必关心，因为DSET已为我们实现了。用户只需关心需要与设备交互的那一部分CMIP请求，为其定制PRE-／POST函数即可。

第二个模块实现MO与实际被管资源的通信。它的实现依赖于分布式系统生成器DSG所提供“网关处理单元”（gateway）、远程过程调用（RPC）与消息传递机制及MSL语言编译器。通信双方的接口定义由用户在简化的ROSE应用中定义，在DSG中也叫环境，该环境定义了双方的所有操作和相关参数。DSG的CTX编译器编译CTX格式的接口定义并生成接口表。DSG的MSL语言编译器用以编译分布式对象类的定义并生成事件调度表。采用DSG的网关作为MO与实际被管资源间的通信桥梁，网关与MO之间通过定义接口定义文件及各自的MSL文件即可实现通信，网关与被管设备之间采用设备所支持的通信协议来进行通信，例如采用TCP／IP协议及Socket机制实现通信。

第三个模块对被管理资源进行实际处理。这一模块根据第二个模块中定义的网关与被管设备间的通信机制来实现，与工具没有多大联系。

四、TMN开发的关键技术

电信管理网技术蕴含了当今电信、计算机、网络通信和软件开发的最新技术，如OSI开放系统互连技术、OSI系统管理技术、计算机网络技术及分布式处理、面向对象的软件工程方法以及高速数据通信技术等。电信管理网应用系统的开发具有巨大的挑战性。

工具的引入很大程度上减轻了TMN的开发难度。留给开发人员的最艰巨工作就是接口（interface）的信息建模。尤其是Q3接日的信息建模问题。

Q3接口是TMN接口的“旗舰”，Q3接口包括通信模型和信息模型两个部分，通信模型（0SI系统管理）的规范制定的十分完善，并且工具在这方面所作的工作较多，因此，当我们设计和开发各种不同管理业务的TMN系统时，主要是采用一定的方法学，遵循一定的指导原则，针对不同电信领域的信息建模问题。

为什么说建模是TMN开发中的关键技术呢？从管理的角度而言，在那些先有国际标准（或事实上的标准），后有设备的情况下，是有可能存在一致性的信息模型的，例如目前SDH和七号信令网的TMN系统存在这样的信息模型标准。但即使这样，在这些TMN系统的实施过程，有可能由于管理需求的不同而对这些模型进行进一步的细化。在那些先有设备而后才有国际标准（或事实上的标准）的设备，而且有的电信设备就无标准而言，由于不同厂家的设备千差万别，这种一致性的信息模型的制定是非常困难的。

例如，近年来标准化组织国际电信联盟（ITU-T）、欧洲电信标准组织（ETSI）、网络管理论坛（NMF）和ATM论坛等相继颁布了一些Q3信息模型。但至今没有一个完整的稳定的交换机网元层的Q3信息模型。交换机的Q3信息模型提供了交换机网元的一个抽象的、一般的视图，它应当包含交换机的管理的各个方面。但这是不可能的。因为随着电信技术的不断发展，交换机技术也在不断的发展，交换机的类型不断增加，电信业务不断的引入。我们很难设计一个能够兼容未来交换机的信息模型。如今的交换机已不再是仅仅提供电话的窄带业务，而且也提供象ISDN这样的宽带业务。交换机趋向宽带窄带一体化发展，因此交换机的Q3信息模型是很复杂的，交换机Q3信息建模任务是很艰巨的。

五、TMN管理者和代理的开发

下面结合我们的开发工作，探讨一下TMN管理者和代理的开发。

1．管理者的开发

基于OSI管理框架的管理者的实施通常被认为是很困难的事，通常，管理者可以划分为三个部分。第一部分是位于人机之间的图形用户接口GUI（Graphical User Interfaces），接收操作人员的命令和输入并按照一种统一的格式传送到第二部分——管理功能。管理功能提供管理功能服务，例如故障管理，性能管理、配置管理、记费管理，安全管理及其它特定的管理功能。接收到来GUI的操作命令，管理功能必须调用第三部分——CMSI API来发送CMIP请求到代理。CMIS API为管理者提供公共管理信息服务支持。

大多数的网管应用是基于UNIX平台的，如Solaris，AIX and HP-UX。若GUI是用X-Window来开发的，那么GUI和管理功能之间的接口就不存在了，从实际编程的的角度看，GUI和管理功能都在同一个进程中。

上面的管理者实施方案尽管有许多优点，但也存在着不足。首先是费用昂贵。所有的管理工作站都必须是X终端，服务器必须是小型机或大型机。这种方案比采用PC机作客户端加上UNIX服务器的方案要昂贵得多。其次，扩展性不是很好，不同的管理系统的范围是不同的，用户的要求也是不一样的，不是所有的用户都希望在X终端上来行使管理职责。因此，PC机和调终端都应该向用户提供。最后由于X-Window的开发工具比在PC机上的开发工具要少得多。因此最终在我们的开发中，选择了PC机作为管理工作站，SUN Ultral作为服务器。

在实际工作中我们将管理者划分为两个部分——管理应用（management application）和管理者网关（manager gateway）。如图8所示。

管理应用向用户提供图形用户接口GUI并接受用户的命令和输入，按照定义好的消息格式送往管理者网关，由其封装成CMIP请求，调用CMIS API发往代理。同时，管理者网关还要接收来自代理的响应消息和事件报告并按照一定的消息格式送往管理应用模块。

但是这种方案也有缺点。由于管理应用和管理者网关的分离，前者位于PC机上，后者位于Ultral工作站上。它们之间的相互作用须通过网络通信来完成。它们之间的接口不再是一个参考点（Reference Point），而是一个物理上的接口，在电信管理网TMN中称为F接口。迄今为止ITU-T一直没能制定出有关F接口的标准，这一部分工作留给了TMN的开发者。鉴于此，我们制定了管理应用和管理者网关之间通信的协议。

在开发中，我们选择了PC机作为管理工作站，SUN Ultral作为我们的管理者网关。所有的管理应用都在PC机上。开发人员可以根据各自的喜好来选择不同开发工具，如Java，VC++，VB，PB等。管理者网关执行部分的管理功能并调用CMIS API来发送CMIP请求，接收来自代理的响应消息和事件报告并送往相应的管理应用。

管理者网关的数据结构是通过编译信息模型（GDMO文件和ASN.1文件）获得的。它基于DSG环境的。管理者网关必须完成下列转换：

数据类型转换：GUI中的数据类型与ASN.1描述的数据类型之间的相互转换；

消息格式转换：GUI和管理者网关之间的消息格式与CMIP格式之间的相互转换；

协议转换：TCP／IP协议与OSI协议之间的相互转换。

这意味着管理者网关接收来自管理应用的消息。将其转换为ASN.1的数据格式，并构造出CMIS的参数，调用CMIS API发送CMIP请求。反过来，管理者收到来自代理的消息，解读CMIS参数，构造消息格式，然后送往GUI。GUI和管理者网关之间的消息格式是由我们自己定义的。由于管理应用的复杂性，消息格式的制定参考了CMIS的参数定义和ASN.1的数据类型。

管理者网关是采用多线程（multi-thread）编程来实现的。

2．代理的开发

代理的结构如图9所示。

为了使代理部分的设计和实现模块化、系统化和简单化，将agent分成两大模块——通用代理模块和MO模块——进行设计和实现。如图所示，通用agent向下只与MO部分直接通信，而不能与被管资源MR直接进行通信及操作，即通用agent将manager发来的CMIP请求解析后投递给相应的M0，并从MO接收相应的应答信息及其它的事件报告消息。

代理的作用是代表管理者管理MO。利用工具的支持，采用面向对象的技术，分为八个步骤进行agent的设计和实现，这八个步骤是：

第一步：对信息模型既GDMO文件和ASN.1文件的理解，信息模型是TMN系统开发的基础和关键。特别是对信息模型中对象类和其中各种属性清晰的认识和理解，对于实际的TMN系统来说，其信息模型可能很复杂，其中对象类在数量上可能很多。也就是说，在设计和实现agent之前，必须作到对MO心中有数。

第二步：被管对象MO的定制。这一部分是agent设计和实现中的关键部分，工具对这方面的支持也不是很多，特别是涉及到MO与MR之间的通信，更为复杂，故将MO专门作为一个模块进行设计和实现MO和MR之间的通信以及数据和消息格式的转换问题，利用网关原理设计一个网关来解决。

第三步：创建内置的M0。所谓内置MO就是指在系统运行时，已经存在的物理实体的抽象。为了保证能对这些物理实体进行管理，必须将这些被管对象的各种固有的属性值和操作预先加以定义。

第四步：创建外部服务访问点SAP。如前所述，TMN系统中各个基于分布式处理的worker之间通过SAP进行通信，所以要为agent与管理者manager之间、agent与网关之间创建SAP。

第五步：SAP同内置MO的捆绑注册。由于在TMN系统中，agent的所有操作是针对MO的，即所有的CMIP请求经解析后必须送到相应的M0，而基于DSG平台的worker之间的通信是通过SAP来实现的。因而，在系统处理过程中，当进行信息的传输时，必须知道相应MO的SAP，所以，在agent的设计过程中，必须为内置MO注册某一个SAP。

第六步：agent配置。对agent中有些参数必须加以配置和说明。如队列长度、流量控制门限值、agent处理单元组中worker的最大／最小数目。报告的处理方式、同步通信方式中超时门限等。

第七步：agent用户函数的编写，如agent worker初始化函数、子代理函数等的编写。

第八步：将所有函数编译，连接生成可运行的agent。

MO模块是agent设计中的一个重要而又复杂的部分。这是由于，一方面工具对该部分的支持不是很多：另一方面，用户的大部分处理函数位于这一部分；最主要的还在于它与被管资源要跨平台，在不同的环境下进行通信。MO模块的设计思想是在MO和MR之间设计一个网关（gateway），来实现两者之间的消息、数据、协议等转换。

MO部分的主要功能是解析，执行来自管理者的CMIP请求，维持各MO的属性值同被管资源的一致性，生成CMIP请求结果，并上报通用agent模块，同时与MR通信，接收和处理来自MR的事件报告信息，并转发给通用agent。

MO部分有大量的用户定制工作。工具只能完成其中一半的工作，而另一半工作都需要用户自己去定制。用户定制分为两大类；

第一类是PRE-／POST-函数。PRE-／POST-函数的主要功能是在agent正式处理CMIP请求之前／之后与被管资源打交道，传送数据到MR或从MR获取数据并做一些简单的处理。通过对这些PRE-／POST-函数的执行，可以确保代理能够真实地反映出被管资源的运行状态。PRE-／POST-函数分为两个层次：MO级别和属性级别。MO级别层次较高，所有对该对象类的CMIP操作都会调用MO级别的PRE-／POST-函数。属性级别层次低，只有对该属性的CMIP操作才会调用这些函数。DSET工具只提供了PRE-／POST-函数的人口参数和返回值，具体的代码需要完全由用户自己编写。由于agent与被管资源有两种不同的通信方式，不同的方式会导致不同的编程结构和运行效率，如果是同步方式，编程较为简单，但会阻塞被管资源，适合于由大量数据返回的情况。异步方式不会阻塞被管资源，但编程需要作特殊处理，根据不同的返回值做不同的处理，适合于数据不多的情况，在选择通信方式时还要根据MO的实现方式来确定。比如，MO若采用Doer来实现，则只能用同步方式。

第二类是动作、事件报告和通知的处理，动作的处理相对比较容易，只需考虑其通信方式采用同步还是异步方式。对事件报告和通知的处理比较复杂。首先，需要对事件进行分类，对不同类别的事件采用不同的处理方法，由哪一个事件前向鉴别器EFD（Event Forwarding Discriminator）来处理等等。比如，告警事件的处理就可以单独成为一类。其次，对每一类事件需要确定相应的EFD的条件是什么，哪些需要上报管理应用，哪些不需要。是否需要记入日志，这些日志记录的维护策略等等。

除了这两类定制外，MO也存在着优化问题。比如MO用worker还是Doer来实现，通信方式采用同步还是异步，面向连接还是无连接等等，都会影响整个代理的性能。

如果MO要永久存储，我们采用文件方式。因为目前DSET的工具只支持Versant、ODI这两种面向对象数据库管理系统OODBMS，对于0racle，Sybase等数据库的接口还需要用户自己实现。MO定制的工作量完全由信息模型的规模和复杂程度决定，一个信息模型的对象类越多，对象之间的关系越复杂（比如一个对象类中的属性改变会影响别的类），会导致定制工作的工作量和复杂程度大大增加。

代理者agent在执行管理者发来的CMIP请求时必须保持与被管资源MR进行通信，将manager传送来的消息和数据转发给MR，并要从MR获取必要的数据来完成其操作，同时，它还要接收来自MR的事件报告，并将这些事件上报给manager。

由上述可知，代理与被管资源MR之间的通信接口实际上是指MO与MR之间的通信接口。大部分MO是对实际被管资源的模拟，这些MO要与被管资源通信。若让这些MO直接与被管资源通信，则存在以下几个方面的弊端：

·由于MO模块本身不具备错误信息检测功能（当然也可在此设计该项功能，但增加了MO模块的复杂性），如果将上向发来的所有信息（包括某些不恰当的信息）全部转发给MR，不仅无此必要，而且增加了数据通信量；同理MR上发的信息也无必要全部发送给MO。

·当被管资源向MO发消息时，由于MIT对于被管资源来说是不可知的，被管资源不能确定其相应MO在MIT中所处的具体位置，从而也就无法将其信息直接送到相应的MO，因而只能采用广播方式发送信息。这样一来，每当有消息进入MO模块时，每个MO都要先接收它，然后对此消息加以判断，看是否是发给自己的。这样一方面使编程复杂化，使软件系统繁杂化，不易控制，调试困难；另一方面也使通信开销增大。

·MO直接与被管资源通信，使得系统在安全性方面得不到保障，在性能方面也有所下降，为此，采用计算机网络中中网关（gateway）的思想，在MO与被管资源建立一个网关，即用一个gateway worker作为MO与被管资源通信的媒介。网关在代理的进程处理中起到联系被管资源与MO之间的“桥梁”作用。

六、总结与展望

Q3接口信息建模是TMN开发中的关键技术。目前，各标准化组织针对不同的管理业务制定和发布了许多信息模型。这些模型大部分是针对网元层和网络层，业务层和事务层的模型几乎没有，还有相当的标准化工作正在继续研究。业务层和事务层的模型是将来研究的重点。

除了Q3接口外，TMN的接口还包括X，F，Qx接口。它们的Q3接口相同也包括通信模型和信息模型两个部分。各标准化组织几乎没有发布针对这些接口的规范。F接口和具体的一个TMN系统的实施密切相关，没有必要对其的通信模型和信息模型进行规范化。Qx是不完善的Q3接口，它是非标准的厂家专用的Q接口，虽然在管理系统的实施中，很多产品采用Qx接口作为Q3接口的过渡，但是随着标准化进程的推进，Qx接口将逐步被抛弃。电信工业的变化日新月异，宽带网络使得分布系统互连成为可能，使得不同的电信服务公司和运营公司相互竞争、相互合作来向用户提供服务。在这种环境下，整个电信网络管理将涉及到不同的组织以及它们的管理系统。基于TMN的多域管理（TMN-Based Multi-Domain Management）将成为未来电信网管的重要研究方向。X接口位于两个TMN系统之间，对它研究是基于TMN的多域管理系统的重点。

TMN有技术上的先进、强调公认的标准和接口等优点。但它也有目标太大、抽象化要求太高、信息模型的标准化进程太慢、OSI满协议栈的效率不高等问题。TMN自身需要进一步发展。在网络管理技术方面，除了TMN一种体系结构以外，还有ITU & ISO的开放分布处理（ODP），OSF的分布处理和管理环境（DCE／DME），NMF的OMNIPoint，OMG的公共对象请求代理体系结构（CORBA）以及TINA-C的电信信息网络体系结构（TINA）。目前，CORBA技术越来越被电信、网络部门接受和采用。CORBA体系结构是对象管理组织OMG为解决分布式处理环境中，硬件和软件系统的互连而提出的一种解决方案。CORBA适用于业务层和事务层的管理应用。对于下几层（网元层、网元管理层和网络管理层）而言，还没有比TMN更好的体系结构。TINA体系结构是基于分布式计算，面向对象以及电信和计算机业界的其它和标准，如ODP，IN，TMN和CORBA；它将电信业务和管理业务综合到同一种体系结构中，是电信业务与电信网络技术无关，从而使电信业务的开放与管理不受多厂商设备的影响。虽然TINA处于发展中，还不很成熟，但它是未来电信体系结构的最终方向。

篇8：网络防火墙技术论文

[论文关键词]

防火墙网络安全

[论文摘要]

在当今的计算机世界，因特网无孔不入。为应付“不健全”的因特网，人们创建了几种安全机制，例如访问控制、认证表，以及最重要的方法之一：防火墙。

随着网络技术的发展，因特网已经走进千家万户，网络的安全成为人们最为关注的问题。目前，保护内部网免遭外部入侵比较有效的方法为防火墙技术。

一、防火墙的基本概念

防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。

一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵；监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记；提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦；防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务等。

二、防火墙的技术分类

现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。

包过滤（Packet Fliter）通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。

代理服务器型（Proxy Service）防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。

复合型（Hybfid）防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机提供代理服务。

各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机；主机过滤防火墙是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击；加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。

三、防火墙的基本功能

典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关以及链路层网关。

（一）包过滤路由器

包过滤路由器将对每一个接收到的包进行允许／拒绝的决定。具体地，它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则，则丢弃之。

与服务相关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP／UDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包含特定 TCP／UDP目标端口的包丢弃即可。

独立于服务的过滤，有些类型的攻击是与服务无关的，比如：带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上另外的条件，这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。

（二）应用层网关

应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码，同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关。

应用层网关安全性的提高是以购买相关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。

（三）链路层网关

链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。

四、防火墙的安全构建

在进行防火墙设计构建中，网络管理员应考虑防火墙的基本准则；整个企业网的安全策略；以及防火墙的财务费用预算等。

（一）基本准则

可以采取如下两种理念中的一种来定义防火墙应遵循的准则：第一，未经说明许可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的.基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。第二，未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证企业网安全性的难度。

（二）安全策略

在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。

（三）构建费用

简单的包过滤防火墙所需费用最少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。

至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。

五、防火墙的局限性

尽管利用防火墙可以保护内部网免受外部黑客的攻击，但其只能提高网络的安全性，不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实际需求采取其他相应的安全策略。

篇9：网络互联技术论文

一、国际化预算费用内控管理平台的主要建设内容

1、借鉴COSO委员会发布的内部控制整合框架，建立符合笔者所在单位实际情况的央企内部控制规范体系，创造性地构建了“626”管控模式。2、国际化经营给企业预算内控带来一系列财务管理方面的问题，如各国不同的文化、记账币种、会计准则、财务制度等，都对企业预算内控提出了新的和更高的要求，通过信息系统在国外各分支机构建立起标准的预算控制体系和财务核算体系，降低了由于集团企业大型化，发展高速化，地域分散化所带来的管理风险。3、提出了“以全面管理为主线，以资金管控为核心”的经费支出过程管理体系。实行统筹预算、统一标准、分级管理的预算管理模式，建立预算决策、预算编审、预算执行三个层次的组织体系结构。实行全组织预算、全员预算、全业务预算、流程预算管控的全面预算体系。4、引入了事前规划、事中控制、事后记录及分析的预算管理流程。以预算为龙头，全面打通出差申请、合作方订票、借款单、报销单，以业务单据集成NC系统财务凭证、实现数据流程的协同和共享，并基于业务数据基础进行财务管控，打破人、财、物、信息等资源之间的各种壁垒和边界。5、将企业的管理制度与信息化系统紧密结合，形成双向管理循环，使内控制度直接通过计算机系统落地。6、信息系统进行国际化的布署和数据管理，充分利用移动互联技术，将业务流程及系统审批与手机功能相集成，打破时间与空间限制，实现员工自助化服务。7、基于SOA架构的企业服务总线技术，一体化集成办公系统、人力资源系统、财务核算系统，使各系统之间的信息互联互通，实现业务财务一体化，并保护原有投资。

二、国际化预算费用内控管理平台建设的主要技术难点

1、基于开放式服务SOA架构。由于该内控管理信息系统不仅包括系统内部的各种服务组件（如预算组件、资金管理组件、流程监控组件等），同时还包括企业原有建设系统中的服务，如人力资源系统中的员工信息服务，OA系统中的统一权限认证、消息管理等服务，财务核算系统中的凭证处理服务等。因此，内控管理平台中的信息和数据将来源于各个业务应用系统。柔性化平台将采用软件总线技术，定义了业务组件的标准，所有的业务组件在平台中都是可以支持热插拔的，业务组件间的交互通过SOAP消息来实现。业务组件统一采用WebService暴露，为了提升效率，该平台也支持业务组件通过.NETRemoting进行暴露，以此来提高系统的集成性与互操作性。2、采用平台化开发策略，业务组件以构件化方式进行开发。企业内控能力将随着管理水平的提高而不断发展和完善，因此组件化开发可以避免重复开发的问题。随着IT技术的发展，不断提高节能企业内控管理的智能化水平。本项目的平台实现了构件及业务组件的注册、发布、AOP实现及业务组件可视化管理等功能。3、实现工作流引擎技术的创新，在现有工作流技术上设计开发可实现全业务、全过程智能化主动服务机制的新一代工作流平台工作导航引擎。工作导航技术将在工作过程图形化管理、业务动态组装、工作智能提醒追踪、流程动态判断等方面全面提升。此平台技术将对事前规划、事中控制、事后记录及分析的预算管理流程及其他业务的标准化、智能化提供最优秀的支撑。

三、国际化预算费用内控管理平台建设的主要创新点

1、国际化管理思维创新：即根据企业本身国际化经营、国际化管控的特点，在系统设计时充分考虑多国会计准则、多币种、多国费用标准等国际化管理特点，系统可有效支持多币种、多语言，并创新性的支持会计翻译功能，实现对多会计准则的支持。通过信息系统在国外各分支机构建立起国际化标准的预算控制体系和财务核算体系，降低了由于集团企业大型化，发展高速化，地域分散化所带来的管理风险。2、内控模式及制度创新：即根据企业的管理特点将其经济业务划分为62种经济行为，综合运用预算、归口、审批、标准、程序、单据6大控制方式进行有效管控，形成具有企业特色的“626”管控模式。3、系统建设思路创新：根据企业内控体系的核心，提出“以全面预算为主线、以资金管控为核心”的建设思路，构建全组织预算、全员预算、全业务预算、流程预算管控的全面预算体系，实现事前规划、事中控制、事后记录及分析的预算管控流程，打破人、财、物、信息等资源之间的各种壁垒和边界，最终实现企业内控的管理目标，管理手段及管理制度通过信息系统的建设来实现落地。4、移动互联技术应用创新：利用移动互联技术实现全员自助服务，利用移动互联技术让企业事务管理和内控随时随地无处不在，利用移动互联技术让企业风险分析和预警智能推送。信息系统通过移动互联和虚拟云技术实现国际化部署和数据管理。5、创新基于SOA架构的企业服务总线技术，实现业务财务一体化：系统建设过程中创新性的基于柔性化平台开发，采用基于企业服务总线技术，所有的业务组件在平台中都是可以热插拔的，业务组件间的交互通过SOAP消息实现，业务组件统一采用WebService暴露。系统与财务核算、OA、人力资源等业务协同系统基于柔性化平台，可以实现单据之间的灵活转换和数据交换，因此能够满足用户多种多样的应用场景（如费用报销数据与财务核算数据之间的凭证交换和数据联查，综合办公系统的统一身份认证和权限统一管理），也可以根据流程和管理要求的变化进行适应性的调整。

四、结束语

国际化预算费用内控管理平台通过在笔者所在单位的总部职能部门及境外区域部的上线应用，运用互联网技术和移动云技术，形成一个低成本高效益的集企业资金流、信息流和管理标准规范于一体的管理平台，大大节省了跨国异地的业务协作、信息交流及数据流转成本，有效地解决了企业在国际化经营中遇到的预算、资金管理中的各种现实问题，规范了预算管理及资金管理流程，增加了预算分析能力，提升了企业风险内控能力，可间接减少因内控不足而可能产生的各种经济损失，具有较高的经济价值。该系统在建设过程中形成的626管理模型和企业内控标准，为我国企业特别是央企内部控制规范体系的制定提供了有益参考，为后续的相关研究和实践提供了重要借鉴，具有较强的社会效益。

篇10：网络互联技术论文

论文关键词:软交换；可靠性；承载网；QoS

论文摘要:软交换作为下一代通信网络的控制核心部分，对其在网络中的可靠性有很高的要求。本文在对软交换的技术特点分析的基础上，详细讨论了软交换技术中承载网组网技术，重点分析了软交换承载网在基于QoS保证的实现技术。并对承载网的安全性和可靠性进行了研究。

一、引言

从当前电信业务发展的大趋势看，IP业务将成为未来业务的主体。特别是随着下一代因特网以及新一代网络的发展，IP向传统电信业务的渗透和传统电信业务与IP的融合步伐将大大加快。

现有的传统的电路交换技术，虽然在可以预见的未来仍将是提供实时电话业务的基本技术手段，但是已经不能适应未来以突发性数据为主的业务，因此建设新的对数据业务最佳的新一代网络将势在必行。在传统的电路交换中，提供给用户的各项功能或业务都直接与交换机有关，业务和控制都是由交换机来完成的，交换机所需要提供的业务和交换机提供的新业务都需要在每个交换机节点来完成，硬件平台封闭，不利于业务的开发和应用。如今需要将业务与控制分离，将呼叫控制与承载分离，这就出现了下一代网络(NGN)的概念。下一代网络采用开放的分布式的网络架构，将网络分成网络业务层、核心控制层、传输接入层和媒体层，NGN的主要设计思想是分布式的结构，也就是将业务层、控制层与传送层、接入层分离，各实体之间通过标准的协议进行连接和通信。为此，通信网络从电路交换向以软交换为核心的下一代网络发展已是大势所趋。

二、软交换中承载网的QoS分析

（一）影响承载网QoS的指标

在影响软交换承载网的QoS指标，主要有以下几个方面：

1、抖动问题

根据实验测量得出，当抖动大于500ms是不可接收的，而抖动达到300ms时，是可以接受的。此时为了消除抖动会引起较大的时延，综合时延对语音质量的影响来考虑，要求承载网的抖动小于80ms。抖动所引起端到端的时延增加，会引起语音质量的降低。

影响抖动的因素一般和网络的拥塞程度相关。网络节点流量超忙，数据包在各节点缓存时间过长，使得到达速率变化较大。由于语音同数据在同一条物理线路上传输，语音包通常会由于数据包的突发性而导致阻塞。

2、时延问题

当前IP分组网的固有特性和低比特话音编解码器的使用，使得VoIP语音分组的端到端时延要比电路交换网中的时延大得多，组成部分也更为复杂，VoIP应用中网络通信结构和底层传输协议的多样性，决定了时延成分的多样性。端到端的时延可以分成两个部分，即固定时延和可变时延。固定时延包括编解码器引入的时延和打包时延。固定时延和采用的压缩算法、打包的语音数据量相关。可变时延包括:承载网上的传输、节点中排队、服务处理时延、去抖动时延，这些和设备的端口速率，网络的负载情况，经过的网络路径、设备对QoS的支持方式、实现的QoS算法等密切相关。

IP网中话音分组的端到端时延，150ms以下的时延，对于大多数应用来说是可接受的；150—400ms之间的时延，在用户预知时延状况的前提下可以接受，大于400ms的时延不可接受。

目前，不同级别的网络设备，在正常情况下的数据包处理时延为几十微秒到几毫秒，能够满足单跳时延要求，但承载网的跳数设计不能超过以上端到端的的时延要求，而且跳数越少越好。

3、丢包率

丢包对VoIP语音质量的影响较大，当丢包率大于10%时，己不能接受，而在丢包率为5%时，基本可以接受。因此，要求IP承载网的丢包率小于5%。

丢包率的形成原因主要有两点，一是传统IP传输过程中的误码，这种情况在目前的网络条件下发生的概率极低。另一个是不能保障业务带宽造成的，当网络流量越拥塞，影响就越强烈，丢包发生率也就越大。

4、带宽问题

足够的带宽是保障业务QoS的重要手段。如语音编码压缩采用速率为8kbit/s。典型的语音编码器每2Oms分发一个语音数据包，每个数据包中含有两个语音帧，所以每2Oms就会采样生成160bit的信号，即数据包大小为20字节。控制流和信令流的带宽详细计算原则是一样的，要考虑信令消息以及形肖的字节数，开销的计算跟语音业务带宽中的计算类似，信令消息的字节数则需要根据不同协议的呼叫消息字节数、呼叫比例的分配等来计算。由于控制信令在承载网占用的带宽较媒体流来说微乎其微，大约只占所需带宽的0.5%，一个简单快速的算法就是按照媒体流带宽的2.5%预留。

（二）承载网的QoS解决方案

通过对影响QoS的以上指标分析可以看到，对承载网要充分合理的带宽规划、避免网络拥塞，是目前现实方案中需要重点考虑的因素。

在传送数据之前，根据业务的服务质量需求进行网络资源预留，从而为改数据流提供端到端的服务质量保证。集成模型虽然能够提供确定的服务质量保证，但是它需要在网络中维护每个流的状态，对路由器的要求高，难以在大型正网络中实施，因此不考虑使用这个方案。区分服务的基本思想是将用户的数据流按照服务质量要求划分等级，级别高的数据流在排队和占用资源时比级别低的数据流有更高的优先级。区分服务只包含有限数量业务级别，状态信息数量少、实现简单、扩展性好。因此区分服务是目前大家认同的IP网络QoS的解决方案。

在NGN业务与互联网业务共用网络设备的情况下，互联网业务的流量特征对网络QOS性能的影响要充分考虑。一直以来，互联网的网络规划与建设基本上是参照平均统计的经验模型，在充分考虑业务发展需要的同时预留一定的余量，网络设备的能力与带宽往往超过实际的需要，但实际上发现网络的质量并不稳定。因此，在网络设计中必须充分考虑互联网流量对NGN业务的冲击。解决这个问题，可以考虑建设NGN专用网络去避免这个问题。从运营的角度看，考虑到传输资源充分、网络带宽以及设备成本低、安全性等因素的考虑，建设专用轻载网络，尽可能增大网络带宽也是非常现实的方案。

承载网的QoS解决思路，将根据实际情况混合采用以上技术。在骨干层使用

MPLSVPN技术。在与互联网共用设备的节点，根据NGN承载的实体，分别将骨干网上NGNVPN的LSP，NGN业务的二层VLAN，NGN业务的三层IP地址的优先级字段都设置为最高级别，网络节点通过优先级字段进行报文分类、流量整形、流量监管和队列调度，从而实现对NGN业务高优先级的处理，最大程度减少互联网的突发特性对NGN业务的冲击。另外，专用设备的'建设用以保障在NGN业务量大的区域，隔离互联网对NGN业务的影响。

三、承载网的安全性与可靠性分析

为防止受到黑客或病毒程序的攻击或干扰，NGN承载网必须与互联网进行物理或逻辑隔离，与互联网的互通必须通过安全设备(如防火墙)实现，不能直接接入；NGN用户或设备的接入需要经过身份认证才可以接入NGN网络，避免非法用户和非法报文进入NGN网络。只有当用户的身份得到确认，才可以进行事后审计与追踪，有效地防止了用户侧的网络攻击行为。通过以上措施可以基本消除来自其它网络和NGN用户方面的安全隐患，但还要采取安全手段来保证NGN内部网络的安全。

软交换、网关、服务器等NGN核心网络设备在IP网中的地位类似于网络主机设备，因此要求这些设备应具备数据网中主机设备所具有的安全规格，可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对NGN核心网络设备的安全防护。对于一些对安全级别要求较高的用户还可以采用加密技术对信令和数据进行加密保护。网管系统对各网元设备设置不同级别的管理员权限，使用户不能越级对设备进行操作。

考虑到NGN承载网承载的都是电信级的业务，必须对网络的可靠性进行充分的考虑。单台数据设备支持关键部件及单板的备份以及多个设备之间负载分担及冗余备份，如VRRP的方式保证网络的安全性与可靠性；在组网上可以考虑MPLSFRR和OSPF多条同等开销路径，当链路失效时具有高效的切换机制保证所有业务的不中断。

参考文献

[1]糜正棍，软交换技术与协议，北京，人民邮电出版社，

[2]通信世界，软交换网络组网方案分析，

[3]陈建亚，软交换与下一代网络，北京邮电大学出版社，

篇11：网络互联技术论文

一、网络基础建设中信息技术的应用

要让计算机网络能够变得信息化，就要在计算机网络中安装一系列信息化的软件。以一家医院的信息化的网络建设为例，医院需要在计算机中安装以下的软件：告知系统软件。现代医院由医院中心控制系统、网络传输系统、显示系统构成。这三套系统的功能如下：医院中心控制系统负责医院的指挥调度功作、网络输传系统负责传输各类信息、显示系统将传输的信息用图形或文字的方式表达出来。如果医院里出现了紧密事故，可用这套信息了解紧急事故发生的位置、原因及调度的方案。实时监控系统软件。这套软件能实时采集监控范围内的所有情况，然后将这些情况以音频、视频的形式记录下来，应用网络传输系统传输给医院中心控制系统，医院中心控制系统的工作人员可通过音频、视频了解医院运营的现状。音视频会议软件。过去医院开会需相关的人员达到开会的地点，随着信息技术的发展，人们将视频软件与信息技术结合起来，医护人员只要坐在计算机前就可以开音视频会议。从医院的网络建设的例子中可以看到，人们按照信息化的需求安装软件，就能够让计算机网络具有信息化的功能，这是在网络建设中应用信息技术的基础。

二、网络数据建设中信息技术的应用

人们在网络建设中做好信息技术的基础建设以后，就可以用信息技术软件实现信息化的沟通。然而，人们在信息化的时候，不仅要沟通信息，还要存储、管理、共享信息，为此，人们需要让数据库也具有信息化的功能。依然以医院的信息化的网络建设为例，医院在运营的时候要输入地图、表格、现场数据、采集数据、其它数据等，医院需以有线网络或无线网络将数据传输进医院中心控制系统，由医院中心控制系统指挥数据库软件处理，然后医院中心控制系统需将处理的数据用有线网络和无线网络传输出来，信息的输出端需接受信息报告、地图、统计数据、输入模型、其它数据模型等。由此可见，医院要以信息化的方式传输数据信息，就要安装一套信息化的数据信息处理软件，这套软件要据有数据信息的输入、处理、输出的功能。在做好网络建设信息化建设的基础信息之后，还需要做好数据信息化的工作，这种方式能使人们以网络信息化的方式处理数据信息。

三、网络通讯建设中信息技术的应用

网络通讯建设中信息技术的应用，简单的来说，就是形成一套集成化的联动通信系统，使人们能跨单位、跨地区、跨行业的传输通讯。以医院与120急救系统的联动为例，医院需安装的通讯软件如下：调度中心指挥软件。该软件是120急救中心便于紧急调度而设计的软件，它能记录医院120接线端的信息、指明客户120端电话拔打的位置、给出该电话位置最近的急救中心。GPS导航定位软件。调度中心指挥软件中集成有GPS导航定位软件，该软件能够准确的定位地图上任何一点的座标益。假设现在有一客户端拔打120，调度中心指挥软件会给出客户拔电话的座标位置，与该电话最近的急救中心座标位置。调度指挥中心的工作人员可迅速联系急救中心的医护人员赶赴现场援救，急救中心的医护人员做好急救工作以后可将患者就近送入医院。如果应用GPS座标的方式说明需要援救的位置，那么120急救中心与地方急救站双方就不会出现语言沟通的岐义。集群呼叫系统软件。如果调度中心的工作人员用电话与急救中心的工作人员沟通时出现电话信号不通畅的时候，可用集群呼叫系统软件呼叫急救中心的工作人员，并给出呼叫留言，这种方式能实现电话以外的信息沟通。在这个通讯建设的方案中，120急救中心、地区急救站、医院这三者之间可形成一个通讯联动，三者如果能够共同联动，将能即时解决突发事件。这种联动的设计方案能够由点及面的建立一个网络通讯系统，它所覆盖的面积非常广泛，目前这套联动通读系统建设被广泛的应用在110紧急呼救系统、119消防系统、各级军事调度指挥系统中。如果没有信息技术的支持，网络建设就只是一张覆盖面积极广的，没有运营目的的、没有集成控制的网络，如果将信息技术集成到网络建设中，将能建立一个有目标的、有秩序的、多元化的信息交换中心。将信息技术融合在网络建设中有非常重要的意义。

篇12：网络和多媒体技术论文

网络和多媒体技术论文

摘要：网络教学是一个机遇、也是一个挑战；素质教育应有行政措施的先行，开放式人才建设是前提；创新，首先是施教者的自我创新。

关键字：开放、网络教学、创新

二千年校园内的新生事物层出出不穷，人事制度、工资分配制度、招生收费改革等等，还有就是数字校园；网络教学正以前所未有的方式冲击着传统教学模式。下面我们对网络教学的现状及如何借此契机实施创新能力的培养进行讨论。

一、网络教学

由于网络和多媒体技术的日益成熟，数字校园助力教育信息化已经或正在很多高等院校实施。将电脑从分散使用到集中使用，同时将施教模式作为教学改革的一部份正在从个人行为演变为集体行为。从现有校园网络硬件建设来看，主干网通常为高速宽带光纤，二级网用普通电话线或ISDN，其功能大至有：教学电脑、多媒体工作室、资源共享设备、数字办公、VOD视频点播、校园管理、电子考场、备课资源系统。有人认为，网络搭建完毕就是大功告成，教员能力及教学水平自然就此上了一个档次，素质教育和创新就水到渠成，这是一种错误见解、盲目的认同，我认为网络仅仅是一个骨架，赋予其血肉和精神它才具有了生命的能力，这包括培养开放式的人才、软件及资源建设。

1．开放式人才建设

为什么在人才建设前面要加上“开放式”作为修饰呢？我这里主要是提醒人们有别于传统“人才”的定义。开放式的人才，应懂得使用计算机和网络作为工具，熟知本学科的专业理论知识，能不断地和媒体或网络资源库进行交流，以此来充实自己。前面我们提到网络将施教由个人行为变为集体行为，网络教育改变了一本书、一本教案、一支笔的施教模式，有的人所理解的网络教育其实就是把前面提到的旧模式渡渡金、粉饰了一下，这绝对是一种理解错误。网络的核心是开放式的平台，其基础就是交流和创新。

2．交流和创新

首先要解释一下，我这里的交流并不只是指：同行间的交流、院校间的交流，同时也包括老师和学生间的交流。创新也并不指要如何培养学生的创新能力，同时也指施教、管理等方面的自我创新。交流，是资源获取、技能更新的一种重要社会手段，同时也是获取知识、自我认同、自我定位的社会实践活动。网络使用户成了千里眼、顺风耳，一日即可环游地球，这一切是前所未有的，所以要充分利用网络这一助教平台进行交流，将社会交流、行为交流、教学交流浓缩于你的终端机。那么，通过多媒体教学网我们能做些什么呢？开放教育，通过远程教育形式，听别校老师网上授课，进行资信及经验交流。施教者，不只是借鉴别人的优点应用于自己的教学，同时，大胆地组织学生听其它院校老师的远程授课，不要担心砸了自己的饭碗，相反，你不知不觉中溶入网络教育之中去，领会其真谛，成为一个开放式的施教者，更能保住你的饭碗。

3．开放管理

允许学生考取别的'院校的第二文凭或允许别的院校的学生考本院校的第二文凭，网络使其成为可能。管理和教学应该不是一对矛盾，管理者同时又是教学者，然而有的院校，人为的将其分开，管理不是后勤，管理者离教学越远，其越难理解教育，相反起到阻碍作用。

4．逐步开放考试

建立部份院校的联考制度，建立公共测试库，这会反过来促使教学的的开放，进而使施教者和受教育者的能力得到进一步提高。

创新是我们近阶段教学改革中提到最多、频率最高的一个词，教学网为其提供了必备基础。我们认为其核心仍然是开放式的施讲人才建设，山还是那座山，老师仍然还是那些老师，首先学会改变自己，才能去改变别人。如何改变，由于能力所限，不能说出一个所以然。有道是，将山易改本性难易，我认为应有思想引导和行政制度两方面入手。由专家教授和专业部门制定出核心精神及配套的管理手段，促使施教者主动去改变、去创新，否则就没有他的工作、生存空间，这比单纯的学术讨论和说教，起的作用大得多。由于多年的教学，有一点我体会最深，我认会也是施教者的自我创新中最应注意的一点就是：总是在想要去“教会”学生知识，知识本身是客观存在的，不是老师的，只有“学会”知识，没有“教会”知识，我们经常讨论“物质第一还是精神第一”，即唯物主义和唯心主义，这里也有类似的问题，然而长期以来我们总是自觉不自觉的将“教”放在了第一位，行为准则、规章制度都围绕这一中心进行。我们为什么不改一改，来一个“学”放在第一位，当然不能只是嘴上说说，应是一个彻底的转变，一切制度管理，甚至工资分配都围绕这一中心展开。总之，知识要靠施教者“展示”给学生（注意，我这里用展示取代“教”），丰实多彩，视听声像的“展示”方式学生容易吸收，网络教学平台，能够提供这样的充分条件。

二、网络多媒教学的环境建设

专业教室或者多媒体网络教室，摆放有大屏幕，投影设备、电脑、数字音视设备及视听设备，这仅仅是多媒教学环境建设的一半，另一半即以课件CAI设计为核心的软件建设。多快好省的课件制作工具非常多，如：奥思方正、AUTOCAD、Authoware、Powerpoint及dreamwave甚至Frontpage,等等，还有文字、动画、图片、声音等等课件的要素制造工具，如PREMIERE、PHOTOSHOP及 3DMAX、FIREWORK等等，穷一人之力，难以完成纵贯全书的课件设计，而且一不小心，不知不觉地落入俗套，我大胆地提出：发动学生制作课件，给他们时间，给他们精神，他们会以自己求取知识独特的路径及体现方式给你一个惊喜，也许你忍不住要想去使其更完美，为此，我奉劝你，让其保持原样，也许这样才更能具有吸引力，更能使人提出问题、思考问题。剩下来的事情是将课件放在网上，强调一点，这些课件都应是开放式的，就向Linux开放源代码一样。素材是链接的，源程序和执行程序是并存可查的，同行们可以方便地进行移植、生产、更新。

总之，网络教学和网络技术一样是一个发展的概念，不断应充实以新的内容，网络教育给创新能力培养提供了一个前所未有的能动平台，成功的关键除了行政法规外，就是开放式人材的培养，本文仅仅是长期院校教学中的初浅认识，希望能给正在偿试或打算偿试网络教育的教育工作者或专家供作参考，敬请记住一点：大胆的进行自我创新。

篇13：网络攻击技术论文

【摘要】

计算机网络技术和信息技术的飞速发展已影响到各个领域，不断改变着人们的生活和工作方式，然而威胁信息安全的各种入侵也随之而来。信息安全与国家安全息息相关，事关社会和经济发展，有必要且必须采取措施确保我国的信息安全。

【关键词】

网络安全攻防

对于信息系统的非法入侵和破坏活动正以惊人的速度在全世界蔓延，带来巨大的经济损失和安全威胁。面对不容乐观的网络环境，无论是国家，网络管理人，乃至个人，都应该掌握基本的网络攻防技术，了解网络攻防的基础技术，做好自身防范，增强抵御黑客攻击的意识和能力。

一、认识网络攻击

1.网络安全的定义

网络安全的最终目标是通过各种技术与管理手段实现网络信息系统的机密性、完整性、可用性、可靠性、可控性和拒绝否认性，其中前三项是网络安全的基本属性。保证网络安全实质就是要保证网络上各种信息的安全，涵盖领域非常广泛。但网络安全具有动态性，其概念是相对的。任何一个系统都是具有潜在的危险和安全威胁，没有绝对的安全，安全程度也是会随着时间的变化而改变的。在一个特定的时期内，在一定的安全策略下，系统是相对安全的。但是随着时间变化和环境演变，如攻击技术的进步、新漏洞的暴露等，使得系统遭遇不同的威胁，系统就变得再不安全。

2.网络攻击的分类

人们在网络攻击的分类上已经做过不少研究，由于这些分类研究的出发点和目的不同，为此，分类着眼点一级原则、标准也不尽相同，分类的结果也存在很大差异。著名安全学家Amoroso对分类研究提出了一些有益的建议，他认为攻击分类的理想结果应该具有六个特征：互斥性、完备性、无二义性、可重复性、可接受性、实用性。虽然分类研究中还没有一个分类结果能够真正满足以上六个特征，但对于分类研究和安全防御方面都有一定的借鉴意义。目前已有的网络攻击分类方法大致可以分为以下几类：

（1）基于经验术语的分类方法

（2）基于单一属性的分类方法

（3）基于多属性的分类方法

（4）基于应用的分类方法

（5）基于攻击方式的分类方法

在最高层次上，按照攻击方式进行划分，可以将网络攻击分为两类：主动攻击和被动攻击。主动攻击主要有窃取、篡改、假冒和破坏等攻击方法。对付主动攻击的主要措施是及时发现并及时恢复所造成的破坏。被动攻击主要是收集信息，主要有嗅探、信息收集等攻击方法。由于被动攻击很难被发现，因此预防很重要，防止被动攻击的主要手段是数据加密传输。

二、安全隐患

网络具有开放性和自由性的特点，因此网络安全存在很大的风险和脆弱性。越来越多的网络攻击使得网络合法用户的个人信息和重要数据被非法占用和利用。入侵者破坏网络安全的属性，从而获得用户甚至是超级用户的权限，进行不许可的操作。入侵者（黑客）可能是友善的，只是为了试探一下，或者了解一下网络战其他机器上的内容;也可能是恶意的，企图获取未经授权的数据，或者破坏系统。但不管出于什么目的，都反应出当今网络的安全隐患非常严重，面临的网络风险非常严峻，造成的损失和破坏性更是不可估量的。网络具有的脆弱性是指系统中存在的漏洞，各种潜在的威胁通过利用这些漏洞给系统造成损失。脆弱性的存在将导致风险，而威胁主体利用脆弱性产生风险。产生这些安全隐患的因素有很多，没有一个系统是绝对安全、无脆弱性的，我们只能尽量保证网络的安全。

三、攻击技术

1.绝服务攻击

拒绝服务攻击即DoS攻击是目前黑客经常采用而难以防范的攻击手段。其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量攻击网络，使得所有可用网络资源被消耗殆尽，最终导致合法用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源被消耗殆尽，最终计算机无法再处理合法用户的请求。

2.冲区溢出攻击

缓冲区溢出是指向固定长度的缓冲区写入超出其预先分配长度的内容，造成缓冲区中数据的溢出，从而覆盖缓冲区相邻的内存空间。就像个杯子只能盛一定量的水，如果倒入太多的水到杯子中，多余的水就会溢出到杯外。

3.b应用安全攻击

Web应用呈现出快速增长的趋势，越来越多的单位开始将传统的Client/Server应用程序转变为三层Brower/Server结构，即客户端浏览器（表示层）/Web服务器（应用层）/数据库（Brower/Server/Database）三层结构。三层结构的划分，在传统两层模式的基础上增加了应用服务这一级，使逻辑上更加独立，每个功能模块的任务更加清晰。在这种结构下，用户工作界面通过WWW浏览器实现。然而，易于开发的Web应用却有许多安全问题值得关注。

4.毒、蠕虫与木马

计算机病毒，指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些特征，同时具有自己的一些特征，如不需要宿主文件、自身触发等。木马专指表面上是有用、实际目的却是危害计算机安全并导致严重破坏的计算机程序。

四、防御技术

主要的防御技术有PKI网络安全协议;防火墙;入侵检测系统。

1.网络安全协议

目前广泛采用公钥基础设施PKI技术。PKI是一种新的安全技术，主要功能是对秘钥和公钥进行管理。

2.火墙技术

防火墙技术是解决网络安全问题的主要手段之一。是一种加强网络之间访问控制的网络设备，它能够保护内部网络信息不被外部非法授权用户访问。但是防火墙技术只能防外不防内，不能防范网络内部的攻击，也不能防范病毒，且经伪装通过了防火墙的入侵者可在内部网上横行无阻。

3.侵检测系统

入侵检测是对入侵行为进行识别和判断的处理过程，它通过从计算机网络或计算机系统中的若干关键点手机信息并对其进行分析，从中发现网络或系统中是否有违反安全策略和危及系统安全的行为。

参考文献：

[1]杜晔、张大伟、范艳芳.网络攻防技术教程.，8

[2]姚永雷，马利.计算机网络安全.，12

篇14：网络攻击技术论文

摘要：

主要阐述计算机网络攻击和入侵的特点、步骤及其安全防御策略。

关键词：

计算机网络;网络攻击;防御策略

在科学技术发展的今天，计算机网络正在逐步改变着人们的工作和生活方式，随着INTERNET/INTRANET的不断发展，全球信息化已成为人类发展的大趋势。但是，任何事务都象一把双刃剑，计算机网络在给人们带来便利的同时却面临着巨大的威胁，这种威胁将不断给社会带来巨大的损失。虽然计算机网络安全已被信息社会的各个领域所重视，但由于计算机网络具有联结形式多样性、终端分布不均匀性和计算机网络的开放性、互连性等特征;无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁以及计算机网络自身的`脆弱性,致使计算机网络易受黑客、病毒、恶意软件和其他不轨行为的攻击。因此若要保证计算机网络安全、可靠，则必须熟知计算机网络攻击的一般过程。只有这样方可在被攻击前做好必要的防备，从而确保计算机网络运行的安全和可靠。

1 计算机网络攻击分析

1.1计算机网络攻击的特点

“攻击”是指任何的非授权行为。攻击的范围从简单的服务器无法提供正常的服务到完全破坏、控制服务器。目前的计算机网络攻击者主要是利用计算机网络通信协议本身存在的缺陷或因安全配置不当而产生的安全漏洞进行计算机网络攻击。目标系统攻击或者被入侵的程度依赖于攻击者的攻击思路和采用攻击手段的不同而不同。可以从攻击者的行为上将攻击区分为以下两类：

(1)被动攻击：攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于计算机网络或者基于系统的。这种攻击是最难被检测到的，对付这类攻击的重点是预防，主要手段是数据加密。

(2)主动攻击：攻击者试图突破计算机网络的安全防线。这种攻击涉及到数据流的修改或创建错误信息流，主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。这类攻击无法预防但容易检测，所以，对付这种攻击的重点是“测”而不是“防”，主要手段有：防火墙、入侵检测系统等。

入侵者对目标进行攻击或入侵的目的大致有两种：第一种是使目标系统数据的完整性失效或者服务的可用性降低。为达到此目的，入侵者一般采用主动攻击手段入侵并影响目标信息基础设施;第二种是监视、观察所有信息流以获得某些秘密。入侵者采用被动手段，通过计算机网络设备对开放的计算机网络产生影响。因此，入侵者可以主动入侵并观察，也可以被动手段观察、建模、推理达到其目的。无论入侵者采用什么手段，其行为的最终目的是干扰目标系统的正常工作、欺骗目标主机、拒绝目标主机上合法用户的服务，直至摧毁整个目标系统。

1.2计算机网络中的安全缺陷及其产生的原因

第一，TCP/IP的脆弱性。因特网的基础是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

第二，网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

第三，缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。

1.3网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中，入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址的认证而执行远程操作。

域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名―IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。

1.4常见的计算机网络攻击方式

(1)计算机网络监听攻击：计算机网络监听是一种监视计算机网络状态、数据流以及计算机网络上传输信息的管理工具，它可以将计算机网络接口设置在监听模式，并且可以截获计算机网络上传输的信息，取得目标主机的超级用户权限。作为一种发展比较成熟的技术，监听在协助计算机网络管理员监测计算机网络传输数据、排除计算机网络故障等方面具有不可替代的作用。然而，在另一方面计算机网络监听也给计算机网络安全带来了极大的隐患，当信息传播的时候，只要利用工具将计算机网络接口设置在监听的模式，就可以将计算机网络中正在传播的信息截获，从而进行攻击。计算机网络监听在计算机网络中的任何一个位置模式下都可实施进行。而入侵者一般都是利用了计算机网络监听工具来截获用户口令的。

(2)缓冲区溢出攻击：简单地说就是程序对接受的输入数据没有进行有效检测导致的错误，后果可能造成程序崩溃或者是执行攻击者的命令。UNIX和Windows本身以及在这两个系统上运行的许多应用程序都是C语言编写的，C、C++语言对数组下标访问越界不做检查，是引起缓冲区溢出的根本原因。在某些情况下，如果用户输入的数据长度超过应用程序给定的缓冲区，就会覆盖其他数据区。这就称“缓冲区溢出”。

(3)拒绝服务攻击：拒绝服务攻击，即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至计算机网络带宽，从而阻止正常用户的访问。最常见的拒绝服务攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指极大的通信量冲击计算机网络，使得所有的计算机网络资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。这是由计算机网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器缓冲区满负荷，不接受新的请求;二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

2 计算机网络安全防御策略

计算机网络技术本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户计算机网络系统自身的复杂性、资源共享性使得多种技术组合应用变得非常必要。攻击者使用的是“最易渗透原则”，必然在最有利的时间地点，从系统最薄弱的地方进行攻击。因此，充分、全面、完整地对系统安全漏洞和安全威胁进行分析、评估和检测，从计算机网络的各个层次进行技术防范是设计计算机网络安全防御系统的必要条件。目前采用的技术要主要有加密、认证、访问控制、防火墙技术、入侵检测、安全协议、漏洞扫描、病毒防治、数据备份和硬件冗余等。

2.1建立安全实时响应和应急恢复的整体防御

没有百分之百安全和保密的计算机网络信息，因此要求计算机网络在被攻击和破坏时能够及时发现，及时反映，尽可能快地恢复计算机网络信息中心的服务，减少损失。所以，计算机网络安全系统应该包括：安全防护机制、安全监测机制、安全反应机制和安全恢复机制。

安全防护机制是指根据系统具体存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行;

安全监测机制是指检测系统的运行情况，及时发现对系统进行的各种攻击;

安全反应机制，能对攻击作出及时的反映，有效制止攻击的进行，防止损失扩大;

安全恢复机制，能在安全防护机制失效的情况下，进行应急处理和尽量及时地恢复信息，降低攻击的破坏程度。

2.2建立分层管理和各级安全管理中心

建立多级安全层次和安全级别。将计算机网络安全系统应用分为不同的级别。包括：对信息保密程度的分级(绝密、机密、秘密、普密);对用户操作权限分级;对计算机网络安全程度分级;对系统实现结构的分级等。从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足计算机网络中不同层次的各种实际需求。

3 结束语

保证网络安全和保密涉及的问题是十分复杂的，网络安全不是单一的技术问题，而是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。在实施过程中尽可能采取多种技术的融合和相关的管理措施，防止网络安全问题的发生。

参考文献：

[1]刘占全.网络管理与防火墙[M].北京:人民邮电出版社,.

[2](美)Kevin D.Mitnick,William L.Simon.入侵的艺术.清华大学出版社,1月.

[3]张仁斌.网络安全技术. 清华大学出版社,8月.

[4]卿斯汉.安全协议.清华大学出版社,3月.

篇15：网络防御技术论文

1易变网络架构的实现途径

网络攻击的过程一般包括以下环节：侦察踩点、指纹识别、网络拓扑结构分析、漏洞挖掘、攻击协作、报告以及扩散传播。在每一个环节中，网络系统配置的固定不变使得攻击者有机会发现和远程入侵网络资源，攻击者依靠网络空间基本结构的静态属性来获得目标情况，并据此对目标发起有效的攻击。例如，网络配置诸如IP地址、端口号、系统平台类型、服务和补丁的版本号、协议、服务脆弱点甚至还包括防火墙规则，这些都可以通过网络扫描和使用指纹识别工具发现。除此之外，默认设置的(Accept-by-Default)互联网接入控制使得网络侦察和0day漏洞不可避免。

为了应对前所未有的超前的网络攻击，这就需要变换一种思路来改变网络安全的规则。为达到此目的，易变网络架构试图采用动态化目标防御技术，以迫使攻击者必须持续地追踪目标系统，并且要在不阻断有规律的网络流量的情况下阻止并消除攻击。如此将削弱攻击者在时间上和空间上的优势，防御一方将能够灵活地面对那些高级的持续威胁。易变网络的远景是支持网络配置（例如IP地址和端口号）的动态和随机变换，支持对漏洞扫描探测和fingerprinting攻击做出积极的回应，这就要求在较短的时间窗口内不断搜集系统信息，并误导攻击者对错误的目标进行深入的分析。这些变换必须要快过自动扫描器及超过蠕虫的繁殖速度，尽量降低服务的中断和延迟，而且变换应该是无法预测的，以确保攻击者发现跳变的IP地址是不可行的，同时这些变换在操作上要保证是安全的，要能确保所提供系统需求和服务的可靠性。易变网络架构使用随机的地址跳变和随机化系统指纹信息技术实现目标动态化防御。

使用随机的地址跳变时，网络主机被频繁地重新分配随机的虚拟IP地址，这些地址独立地运用于与实际IP地址寻址。选取随机IP地址在网络中是同步的，网络通过使用加密函数和隐蔽的随机密钥来确保其中的IP地址是不可预测的，并且确保网络中的全局配置是同步的。随机IP地址可以从足够大的'私有地址范围和可用于随机化处理的未使用的IP地址空间中选取。IPv6的推广使用为潜在的随机化提供了更多可用的地址空间。在此种方法中，通常是基于随机函数频繁地给网络系统（如终端主机）分配不同的IP地址。一种可以实现同步的方法就是使用循环的随机选择。在随机化系统指纹信息技术中，主机对外界的回应将被中途截断和修改，且这些操作是透明的，以使得系统行为的平均信息量最大化，并且提供一个错误的操作系统和应用程序伪装信息。

如果攻击者没有确定具体的操作系统类型和/或应用程序服务器的服务类型，那么远程的入侵操作将是不可行的。对系统的外部反应有两种机制来执行随机化处理，一种是截获和修改会话控制的消息（例如TCP的3次握手）来干扰攻击者对平台和服务的识别使之得到错误的相关信息，另一种技术是用防火墙来欺骗扫描者，方法是对所有拒绝包都生成积极的回应。联合使用以上两种技术将形成动态化目标防御，可有效对抗许多攻击。在易变网络目标的跳变中，活动的会话将始终保持并不会被中断，用户依旧能够通过DNS继续访问网络服务。在下一部分，将介绍一种形式化的方法，在保持网络的不变性的同时，创建有效可用的网络突变配置。

2易变网络中突变配置的模型分析

二叉决策图(BinaryDecisionDiagrams,BDDs）是逻辑布尔函数的一种高效表示方法，在计算机科学以及数字电路与系统等领域中有广泛的应用，并且在模型检查领域展现了强大的高效性。基于二叉决策图，使用针对访问控制配置的端到端的编码，对全局网络行为进行建模，可形成简单的布尔型表达式。

2.1使用二叉决策图表示的网络行为模型

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制列表（AccessControlLists，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。

2.2网络配置变换

使用二叉决策图对网络行为进行建模的方法支持配置变换。一个网络配置变换就是创建一个可选、有效的配置的过程，新的配置必须满足网络的不变性要求或任务需求。

3易变网络的应用场景及面临的挑战

动态化目标防御通过改变系统资源寻找克服静态多样性防御的局限。对连续运行的服务进程来说，这需要动态改变运行的程序。一旦系统受攻击的入口的改变足够快速，即便探测攻击能够突破静态防御，但动态化目标防御依然能有效保护系统。易变网络有以下应用场景：应用于有特殊用途的专属客户端与服务端应用程序中，例如关键业务网络或者关键应用系统。保护重要基础设施中的P2P通信，使其不受侦察扫描和拒绝服务攻击。为达到网络中的最小系统开销（overheads），动态化目标防御技术可以与这些应用程序整合到一起。针对特定网络中的主机，通常侦察工具扫描网络是否使用固定唯一的IP地址和端口（主机名可能是不可知的或者名字扫描不是有效的）,易变网络可保护主机免受来自外部的网络侦察和映射攻击。在僵尸网络（BotNet）中，控制台与傀儡机之间使用固定IP地址通信，攻击者通常选择避免使用主机名和DNS解决方案，目的是将被察觉和被追踪的可能性降到最低。

易变网络可有效终止攻击协调和打断僵尸网络的通信，因为一旦基础设备的地址是频繁变化的，将会导致僵尸网络节点之间无法相互连接。保护网络设备免受DoS攻击。在拒绝服务攻击中，攻击者使用带宽攻击、协议攻击、逻辑攻击等手段阻断目标机器或网络正常提供服务。尽管这些攻击手段的原理各不相同，但攻击者都假定目标主机或网络是不变的，即DoS攻击者假设终端主机使用固定的IP地址或者路由，但是，使用易变网络动态化目标架构将导致此假设不能成立。易变网络体现了动态化目标防御技术的基本思路，就是不再依托静态的网络研究相关防御技术，而是推广动态网络的发展，改变以往的网络安全防御模式。

当然，易变网络体系结构要在实践中取得有效的防御效果还必须应对以下挑战：保证足够快速和不可预测。易变网络的突变速度必须胜过自动扫描器和足够快于蠕虫病毒的繁殖速度，同时，基于如IDS警报此类外部输入信号，该突变速度应该支持动态调整，并对具体的情形是清楚的。此外，在保证这种变化是高度不可预测的同时，要使其系统开销和影响是可测量和最优化的。保证可操作并且是安全的。在分散的变换过程中，易变网络架构必须保持系统的同一性。换句话说，所提供的网络服务必须是一直在线可用的，即使是在变换期间。同时，动态化目标防御必须是透明的，如此，活动会话和正在运行的服务将不会由于配置的改变而受到任何干扰。保证是可部署、可扩展的。可部署是指易变网络架构应该达到这样的要求：无需网络中的基础设备、协议或者终端主机做任何变动。相对于终端平台和协议来说，它是独立部署的。另外，易变网络是可扩展的，要求易变网络的突变应随节点数量、流量、动态化目标数和攻击数量线性地缩放。也即，整个网络结构必须足够灵活，能动态地与上述因素相适应。

4结语

动态化目标防御受近年来的多项新兴技术启发，这些新兴技术包括操作系统的工作负载迁移和虚拟化技术、指令集和地址空间布局随机化技术、实时编译技术、云计算技术等。动态化目标防御着眼的是：“对目标创建、评估和部署不同的机制与策略，使其不停地随着时间的改变而改变，以增加系统复杂性，从而限制漏洞的暴露及攻击者可能成功的机会”。系统配置和代码的长期保持不变，给攻击者提供了入侵机会，依据对系统配置及代码的研究，攻击者可能发现漏洞并实施攻击。

同样，对于防御者检测这些攻击来说，必须找到恶意软件或攻击行为的特征，并且期望攻击代码是长期固定不变的，这样才能够发现并阻断攻击。恶意软件开发者已经发现了这点，为了绕过检测机制他们已经想出了办法快速变换恶意软件特征。为了扭转攻击者的这种非对称优势，防御者必须建立一个能够改变自身属性和代码的系统，这样攻击者就没有足够的时间去挖掘系统的漏洞和编写溢出工具。

易变网络架构基于此种观察，使用随机的地址跳变和随机化系统指纹信息技术实现动态化目标防御，能够自动地改变一项或多项系统属性，使得系统暴露给攻击者的攻击入口无法预知，增强了系统的弹性。

【技术?网络?人论文】相关文章：