計算機網路木桶原則

『壹』 為什麼計算機網路協議都是分層的

計算機網路的理解上，人們往往進行分層處理，OSI、TCP/IP都是將這個網路體系工作的流程進行了層次化的劃分，進行層次劃分優點有以下幾點：

(1)各層之間是獨立的。某一層並不需要知道它的下一層是如何實現的，而僅僅需要知道該層通過層間的介面所提供的服務。這樣，整個問題的復雜程度就下降了。也就是說上一層的工作如何進行並不影響下一層的工作，這樣我們在進行每一層的工作設計時只要保證介面不變可以隨意調整層內的工作方式。

(2)靈活性好。當任何一層發生變化時，只要層間介面關系保持不變，則在這層以上或以下各層均不受影響。當某一層出現技術革新或者某一層在工作中出現問題時不會連累到其他層的工作，排除問題時也只需要考慮這一層單獨的問題即可。

(3)結構上可分割開。各層都可以採用最合適的技術來實現。技術的發展往往是不對稱的，層次化的劃分有效避免了木桶效應，不會因為某一方面技術的不完善而影響整體的工作效率。

(4)易於實現和維護。這種結構使得實現和調試一個龐大又復雜的系統變得易於處理，因為整個的系統已被分解為若干個相對獨立的子系統。進行調試和維護時，可以對每一層進行單獨的調試，避免了出現找不到問題、解決錯問題的情況。

(5 能促進標准化工作。因為每一層的功能及其所提供的服務都已有了精確的說明。標准化的好處就是可以隨意替換其中的某幾層，對於使用和科研來說十分方便。

『貳』 網路安全應遵循什麼原則

在企業網路安全管理中，為員工提供完成其本職工作所需要的信息訪問許可權、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則：
原則一：最小許可權原則。
最小許可權原則要求是在企業網路安全管理中，為員工僅僅提供完成其本職工作所需要的信息訪問許可權，而不提供其他額外的許可權。如企業現在有一個文件伺服器系統，為了安全的考慮，比如財務部門的文件會做一些特殊的許可權控制。財務部門會設置兩個文件夾，其中一個文件夾用來放置一些可以公開的文件，如空白的報銷憑證等等，方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件，只有企業高層管理人員才能查看，如企業的現金流量表等等。此時在設置許可權的時候，就要根據最小許可權的原則，對於普通員工與高層管理人員進行發開設置，若是普通員工的話，則其職能對其可以訪問的文件夾進行查詢，對於其沒有訪問許可權的文件夾，則伺服器要拒絕其訪問。最小許可權原則除了在這個訪問許可權上反映外，最常見的還有讀寫上面的控制。所以，要保證企業網路應用的安全性，就一定要堅持「最小許可權」的原則，而不能因為管理上的便利，而採取了「最大許可權」的原則。

原則二：完整性原則。
完整性原則指在企業網路安全管理中，要確保未經授權的個人不能改變或者刪除信息，尤其要避免未經授權的人改變公司的關鍵文檔，如企業的財務信息、客戶聯系方式等等。完整性原則在企業網路安全應用中，主要體現在兩個方面：
一、未經授權的人，不得更改信息記錄。如在企業的ERP系統中，財務部門雖然有對客戶信息的訪問權利，但是，其沒有修改權利。其所需要對某些信息進行更改，如客戶的開票地址等等，一般情況下，其必須要通知具體的銷售人員，讓其進行修改。這主要是為了保證相關信息的修改，必須讓這個信息的創始人知道。否則的話，若在記錄的創始人不知情的情況下，有員工私自把信息修改了，那麼就會造成信息不對稱的情況發生。所以，一般在信息化管理系統中，如ERP管理系統中，默認都會有一個許可權控制「不允許他人修改、刪除記錄」。這個許可權也就意味著只有記錄的本人可以修改相關的信息，其他員工最多隻有訪問的權利，而沒有修改的權利。
二、指若有人修改時，必須要保存修改的歷史記錄，以便後續查詢。在某些情況下，若不允許其他人修改創始人的信息，也有些死板。如采購經理有權對采購員下的采購訂單進行修改、作廢等操作。遇到這種情況該怎麼處理呢?在ERP系統中，可以通過采購變更單處理。也就是說，其他人不能夠直接在原始單據上進行內容的修改，其要對采購單進行價格、數量等修改的話，無論是其他人又或者是采購訂單的主人，都必須通過采購變更單來解決。這主要是為了記錄的修改保留原始記錄及變更的過程。當以後發現問題時，可以稽核。若在修改時，不保存原始記錄的話，那出現問題時，就沒有記錄可查。所以，完整性原則的第二個要求就是在變更的時候，需要保留必要的變更日誌，以方便後續的追蹤。總之，完整性原則要求在安全管理的工作中，要保證未經授權的人對信息的非法修改，及信息的內容修改最好要保留歷史記錄，比如網路管理員可以使用日事清的日誌管理功能，詳細的記錄每日信息內容的修改情況，可以給日後的回顧和檢查做好參考。
原則三：速度與控制之間平衡的原則。
在對信息作了種種限制的時候，必然會對信息的訪問速度產生影響。如當采購訂單需要變更時，員工不能在原有的單據上直接進行修改，而需要通過采購變更單進行修改等等。這會對工作效率產生一定的影響。這就需要對訪問速度與安全控制之間找到一個平衡點，或者說是兩者之間進行妥協。

『叄』 計算機網路系統設計方案時應遵循哪些原則

析、評估和檢測（包括模擬攻擊），是設計網路安全系統的必要前提條件。
2．網路安全系統的整體性原則
強調安全防護、監測和應急恢復。要求在網路發生被攻擊、破壞事件的情況下，必須盡可能快地恢復網路信息中心的服務，減少損失。所以網路安全系統應該包括3種機制：安全防護機制、安全監測機制、安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取的相應防護措施，避免非法攻擊的進行；安全監測機制是監測系統的運行情況，及時發現和制止對系統進行的各種攻擊；安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地恢復信息，減少攻擊的破壞程度。
3．網路安全系統的有效性與實用性原則
網路安全應以不能影響系統的正常運行和合法用戶的操作活動為前提。網路中的信息 安全和信息利用是一對矛盾
西京亮 11:13:46
：一方面，為健全和彌補系統缺陷的漏洞，會採取多種技術手段和管理措施；另一方面，勢必給系統的運行和用戶的使用造成負擔和麻煩，「越安全就意味著使用越不方便」。尤其在網路環境下，實時性要求很高的業務不能容忍安全連接和安全處理造成的時延和數據擴張。如何在確保安全性的基礎上，把安全處理的運算量減小或分攤，減少用戶的記憶、存儲工作和安全伺服器的存儲量、計算量，這應該是一個需要解決的矛盾。
4．網路安全系統的「等級性」原則
良好的網路安全系統必然是分為不同級別的，包括對信息保密程度分級（絕密、機密、秘密、普密）；對用戶操作許可權分級（面向個人及面向群組），對網路安全程度分級（安全子網和安全區域），對系統實現結構的分級（應用層、網路層、鏈路層等），從而針對不同級別的安全對象，提供全面的、可選的安全演算法和
西京亮 11:13:46
安全體制，以滿足網路中不同層次的各種實際需求。
5．設計為本原則
強調安全與保密系統的設計應與網路設計相結合。即在網路進行總體設計時考慮安全系統的設計，二者合二為一。由於安全與保密問題是一個相當復雜的問題，因此必須搞好設計，才能保證安全性。
6．自主和可控性原則
網路安全與保密問題關系著一個國家的主權和安全，所以網路安全產品不能依賴國外進口產品。
7．安全有價原則
網路系統的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡，而且不同的網路系統所要求的安全側重點各不相同。例如國家政府首腦機關、國防部門計算機網路系統安全側重於存取控制強度。金融部門側重於身份認證、審計、網路容錯等功能。交通、民航側重於網路容錯等

『肆』 計算機網路系統設計方案時應遵循哪些原則

盡管沒有絕對安全的網路，但是，如果在網路方案設計之初就遵從一些合理的原則，那麼相應網路系統的安全和保密就更加有保障。設計時如不全面考慮，消極地將安全和保密措施寄託在網管階段事後「打補丁」的思路上，這是相當危險的和不可取的做法。從工程技術角度出發，在設計網路方案時，應該遵守以下原則：
1．網路信息系統安全與保密的「木桶原則」
強調對信息均衡、全面地進行安全保護。「木桶的最大容積取決於最短的一塊木板」。網路信息系統是一個復雜的計算機系統，它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，尤其是多用戶網路系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的是「最易滲透原則」，必然在系統中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統的安全漏洞和安全威脅進行分

『伍』 急求論文 如何構建網路環境下計算機信息安全體系 1500字以上

「凡事預則立，不預則廢」。網路安全的重要前提就是要充分具有網路安全意識，並形成相應的網路安全策略。首先要明確網路安全策略重在管理。俗話說：「三分技術，七分管理」，因此，必須加強網路的安全管理，確定安全管理等級和安全管理范圍，制訂和完善有關的規章制度（如網路操作使用規程、人員出入機房管理制度及網路系統的維護和開發管理制度等）。其次，要清楚做好網路安全策略必須從制定以下兩種核心策略著手：物理安全策略。制定物理安全策略的目的是保護網路伺服器、交換機、路由器、列印機、工作站等眾多硬體實體和通信鏈路免受自然災害、人為破壞和搭線竊聽；驗證用戶的身份和使用許可權、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境，抑制和防止電磁泄漏；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞計算機設備活動的發生。抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，另一類是對輻射的防護。後者又分為兩種，一是採用各種電磁屏蔽措施，二是干擾的防護措施；訪問控制策略。之所以制定訪問控制策略，因為它是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非法訪問。它也是維護網路系統安全、保護網路資源的重要手段。需要強調的是，各種安全策略必須相互配合才能真正起到保證網路安全的作用。
網路環境下的具體安全防範策略
安全策略是成功的網路安全體系的基礎與核心。安全策略描述了校園數據中心的安全目標（包括近期目標和長期目標），能夠承受的安全風險，保護對象的安全優先順序等方面的內容。安全技術常見的安全技術和工具主要包括防火牆、安全漏洞掃描、安全評估分析、入侵檢測、網路陷阱、入侵取證、備份恢復和病毒防範等。這些工具和技術手段是網路安全體系中直觀的部分，缺少任何一種都會有巨大的危險，因為，網路入侵防範是個整體概念。但校園數據中心往往經費有限，不能全部部署，這時就需要我們在安全策略的指導下，分步實施。需要說明的是，雖然是單元安全產品，但在網路安全體系中它們並不是簡單地堆砌，而是要合理部署，互聯互動，形成有機的整體。安全管理貫穿整個安全防範體系，是安全防範體系的核心。代表了安全防範體系中人的因素。安全不是簡單的技術問題，不落實到管理，再好的技術、設備也是徒勞的。一個有效的安全防範體系應該是以安全策略為核心，以安全技術為支撐，以安全管理為落實。安全管理不僅包括行政意義上的安全管理，更主要的是對安全技術和安全策略的管理。安全培訓最終用戶的安全意識是信息系統是否安全的決定因素，因此對校園數據中心用戶的安全培訓和安全服務是整個安全體系中重要、不可或缺的一部分。
建立網路入侵檢測系統
義為：試圖破壞信息系統的完整性、機密性或可信性的任何網路活動的集合。網路入侵分為三種類型：外部攻擊、內部攻擊和特權濫用。入侵檢測（Intrusion Detection）就是檢測任何企圖損害系統完整性、機密性或可信性的行為的一種網路安全技術，它通過對運行系統的狀態和活動的監視，找出異常或誤用的行為，根據所定義的安全策略，分析出非授權的網路訪問和惡意的行為，迅速發現入侵行為和企圖，為入侵防範提供有效的手段。入侵檢測在系統後台不問斷的運行，它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，通過對系統或網路日誌的分析，獲得系統或網路目前的安全狀況，查看網路中是否有違反安全策略的行為和遭到襲擊的痕跡，當檢測到非法或值得懷疑的行為時，及時報告給系統或網路管理員，並自動採取措施。入侵檢測作為一種提高網路安全性的新方法，被認為是防火牆的合理補充，它能幫助系統在不影響網路性能的情況下對網路進行檢測，從而提供對付網路攻擊操作的實時性保護，擴展了系統管理員的安全管理能力，（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。其作為保證現代計算機系統安全的重要手段，在整個網路系統安全保障體系中具有不可替代的地位。
入侵檢測系統檢查的數據源主要有兩大類，一類是網路數據，一類是系統數據。具體說來，這些都通過入侵檢測系統執行以下任務來實現：（1）監視、分析用戶及系統活動；（2）系統構造和弱點的審計；（3）評估重要系統和數據文件的完整性；（4）異常行為模式的統計分析；（5）識別反映已知進攻的活動模式並向相關人士報警；（6）操作系統日誌管理，並識別用戶違反安全策略的行為。
建立網路系統備份與災難恢復體系
對數據進行備份是為了保證數據的一致性和完整性，消除系統使用者和操作者的後顧之憂。不同的應用環境要求不同的解決方案，但一個完善的備份系統一般要滿足以下的原則：備份軟體要與操作系統完全兼容；選用的備份軟體，要支持各種操作系統、資料庫和典型應用；在進行備份的時候，要進行事務跟蹤，以確保備份系統中的所有文件；在設計備份時，要考慮到提高數據備份的速度；能提供定時的自動備份；備份數據存放在遠離數據中心的地方。備份不僅是數據的保護，其最終目的是為了在系統遇到人為或自然災難時，能夠通過備份內容對系統進行有效的災難恢復。第一類是全盤恢復，一般應用在伺服器發生意外災難，導致數據全部丟失、系統崩潰或是有計劃的系統升級、系統重組等情況，也稱為系統恢復。第二類是個別文件恢復，還有一種值得一提的是重定向恢復。為了防備數據丟失，我們需要做好詳細的災難恢復計劃，同時還要定期進行災難演練。此外，選了先進的備份硬體後，我們決不能忽略備份軟體的選擇，因為只有優秀的備份件才能充分發揮硬體的先進功能，保證快速、有效的數據備份和恢復。
最後，需要強調的是網路安全防範一定要持之以恆。網路安全保障體系的建立並非一勞永逸，隨著網路的擴展，黑客攻擊手段的發展，安全防範需求也會日新月異。值得注意的是，由於網路安全保障體系本身存在的固有弱點，在遭受攻擊時會導致「木桶原理」效應，即最微弱的安全漏洞都可能引發整個網路系統的崩潰。因此，必須進行可持續的安全規劃與防範，才能避免更多問題的出現。

『陸』 廣電網路太卡怎麼辦

現在電信 移動(鐵通) 教育網 聯通 國內目前常見的網路,然而隨著廣電的崛起,目前廣電的網路也開始進入到大大小小的家庭中去了,那麼很多廣電的客戶就開始抱怨了,玩游戲怎麼這么卡,看網站也很卡,無論怎麼使用這個網路都很卡,那麼如何來解決這個廣電網路的卡呢,這是我的一點點經驗分享給大家。

①下載悅游代理

『柒』 企業網路物理安全策略分析

1. 建立企業網路安全策略的重要性

保障企業網路安全，必須建立良好的企業網路安全策略。見圖1。

● 安全是網路整體系統的問題

安全不僅是單一PC的問題，也不僅是伺服器或路由器的問題，而是整體網路系統的問題。所以網路安全要考慮整個網路系統，因此必須結合網路系統來制定合適的網路安全策略。

● 安全不能由單一的網路產品來保障

如前所述，網路安全涉及到的問題非常多，如防病毒、防入侵破壞、防信息盜竊、用戶身份驗證等，這些都不是由單一產品來完成，也不可能由單一產品來完成，因此網路安全也必須從整體策略來考慮。

● 安全需要實施監測與更新

網路安全防護體系必須是一個動態的防護體系，需要不斷監測與更新，只有這樣才能保障網路安全。

● 安全需要全體員工的參與

調查顯示，有超過70%的安全問題來自企業的內部，如何對員工進行網路安全教育，如何讓員工參與網路安全建設，是網路安全要解決的核心問題之一。

● 安全保障企業的核心業務

企業對信息系統的依賴性越來越強，電子商務公司沒有網路是無法生存的，金融與電信等行業由於網路出問題所造成的損失是無法估量的。因此，安全是企業核心業務的保護神。

2. 如何建立企業網路安全策略

建立企業網路安全策略，應從4個方面予以考慮:安全檢測評估、安全體系結構、安全管理措施和網路安全標准,見圖2。由於安全是一個動態過程，這4個方面組成了一個循環系統。安全檢測與評估隨著安全標準的改變而進行，評估結果又會促進網路體系結構的完善，安全管理措施也會隨著其他方面的變化而增強。由於技術的進步及對網路安全要求的提高，又會促使網路標準的改變。最後形成一種動態的螺旋上升的發展過程。

(1) 重視安全檢測評估

從安全形度看，企業接入Internet網路前的檢測與評估是保障網路安全的重要措施。但大多數企業沒有這樣做，就把企業接入了Internet。基於此情況，企業應從以下幾個方面對網路安全進行檢測與評估。

● 網路設備

重點檢測與評估連接不同網段的設備和連接廣域網(WAN)的設備，如Switch、網橋和路由器等。這些網路設備都有一些基本的安全功能，如密碼設置、存取控制列表、VLAN等，首先應充分利用這些設備的功能。

● 網路操作系統

網路操作系統是網路信息系統的核心，其安全性占據十分重要的地位。根據美國的「可信計算機系統評估准則」，把計算機系統的安全性從高到低分為4個等級：A、B、C、D。DOS、Windows 3.x/95、MacOS 7.1等屬於D級，即最不安全的。Windows NT/2000/XP、Unix、Netware等則屬於C2級，一些專用的操作系統可能會達到B級。C2級操作系統已經有了許多安全特性，但必須對其進行合理的設置和管理，才能使其發揮作用。如在Windows NT下設置共享許可權時，預設設置是所有用戶都是「Full Control」許可權，必須對其進行更改。

● 資料庫及應用軟體

資料庫在信息系統中的應用越來越廣泛，其重要性也越來越強，銀行用戶賬號信息、網站的登記用戶信息、企業財務信息、企業庫存及銷售信息等都存在各種資料庫中。資料庫也具有許多安全特性，如用戶的許可權設置、數據表的安全性、備份特性等，利用好這些特性也是同網路安全系統很好配合的關鍵。

● E-mail系統

E-mail系統比資料庫應用還要廣泛，而網路中的絕大部分病毒是由E-mail帶來的，因此，其檢測與評估也變得十分重要。

● Web站點

許多Web Server軟體(如IIS等)有許多安全漏洞，相應的產品供應商也在不斷解決這些問題。通過檢測與評估，進行合理的設置與安全補丁程序，可以把不安全危險盡量降低。

(2) 建立安全體系結構

● 物理安全

物理安全是指在物理介質層次上對存儲和傳輸的網路信息進行安全保護，是網路信息安全的基本保障。建立物理安全體系結構應從3個方面考慮:一是自然災害（地震、火災、洪水）、物理損壞（硬碟損壞、設備使用到期、外力損壞）和設備故障（停電斷電、電磁干擾）；二是電磁輻射、乘機而入、痕跡泄漏等；三是操作失誤（格式硬碟、線路拆除）、意外疏漏等。

● 訪問控制

訪問控制首先要把用戶和數據進行分類，然後根據需要把二者匹配起來，把數據的不同訪問許可權授予用戶，只有被授權的用戶才能訪問相應的數據。

● 數據保密

數據保密是保護網路中各系統之間的交換數據，防止因數據被截獲而造成泄密。數據保密應考慮以下幾個方面：

連接保密:對某個連接上的所有用戶數據提供保密。

選擇欄位保密:對協議數據單元的一部分選擇欄位進行保密。

信息流保密:對可能從觀察信息流就能推導出的信息提供保密。

● 數據完整性

數據完整性保證接收方收到的信息與發送方發送的信息完全一致，它包括可恢復的完整性、無恢復的完整性、選擇欄位的完整性。目前主要通過數字簽名技術來實現。

● 路由控制

在大型網路中，從源節點到目的節點可能有多條線路，有些線路可能是安全的，有些是不安全的。通過選擇路由控制機制，可使信息發送者選擇特殊路由，以保證數據的安全。

(3) 制定安全管理措施

網路安全管理既要保證網路用戶和網路資源不被非法使用，又要保證網路管理系統本身不被未經授權的訪問。制定合理的安全管理措施，是保證網路安全的重要策略之一。

● 網路設備的安全管理

主要包括網路設備的互聯原則、配置更改原則等。

● 軟體的安全管理

包括軟體的使用原則、配置更改原則、許可權設置原則等。

● 密鑰的安全管理

密鑰的管理主要包括密鑰的生成、檢驗、分配、保存、更換、注入、銷毀等。

● 管理網路的安全管理

管理網路是一個有關網路維護、運營和管理信息的綜合管理系統。它集高度自動化信息的搜集、傳輸、處理和存儲於一體，主要功能是性能管理、配置管理、故障管理、計費管理等。

● 安全的行政管理

安全的行政管理的重點是安全組織的設立、安全人事管理、安全責任與監督等。如在安全組織結構中，應該有一個全面負責的人，負責整個網路信息系統的安全與保密。

(4) 強化網路安全標准

網路安全標準是一種多學科、綜合性、規范性很強的標准，其目的在於保證網路信息系統的安全運行，保證用戶和設備操作人員的人身安全。一個完整、統一、先進的安全標准體系是十分重要的。通過遵循合適的標准，可以使企業的網路安全有一個較高的起點和較好的規范性，對於網路間的安全互操作也起到關鍵作用。國內外已制定了許多安全方面的標准，具體分為以下4類：

● 基礎類標准

主要包括安全詞彙、安全體系結構、安全框架、信息安全技術評價准則等。

● 物理類標准

包括設備電磁泄漏規范、保密設備的安全保密規范等。

● 網路類標准

包括網路安全協議、網路安全機制、防火牆規范等。

● 應用類標准

包括硬體平台安全規范、軟體應用平台規范、應用業務安全規范、安全工具開發規范、簽證機構安全規范等。

3. 網路安全系統設計原則

雖然任何人都不可能設計出絕對安全和保密的網路信息系統，但是，如果在設計之初就遵從一些合理的原則，那麼相應的網路系統的安全和保密就會更加有保障。如果設計時考慮不全面，消極地將安全和保密措施寄託在事後「打補丁」的思路是非常危險的。從工程技術角度，應遵循的原則如圖3所示。

● 木桶原則：對信息均衡、全面地進行保護。

● 整體性原則：進行安全防護、監測和應急恢復。

● 實用性原則:不影響系統的正常運行和合法用戶的操作。

● 等級性原則：區分安全層次和安全級別。

● 動態化原則：安全需要不斷更新。

● 設計為本原則：安全設計與網路設計同步進行。