BAS网络安全

❶ 如何提升网络信息安全保障能力

健全的网络与信息安全保障措施 随着企业网络的普及和网络开放性，共享性，互连程度的扩大，网络的信息安全问题也越来越引起人们的重视。一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全。网络安全风险分析 计算机系统本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。信息网络化使信息公开化、信息利用自由化，其结果是信息资源的共享和互动，任何人都可以在网上发布信息和获取信息。这样，网络信息安全问题就成为危害网络发展的核心问题，与外界的因特网连接使信息受侵害的问题尤其严重。 目前企业网络信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。 计算机病毒是一种危害计算机系统和网络安全的破坏性程序。它可以直接破坏计算机数据信息，也可以大量占用磁盘空间、抢占系统资源从而干扰了系统的正常运行。 随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多，病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽，尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。 黑客攻击已经成为近年来经常发生的事情，网络中服务器被攻击的事件层出不穷。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷，采用破解口令(password cracking)、天窗(trapdoor)、后门(backdoor)、特洛伊木马(Trojan horse)等手段侵入计算机系统，进行信息破坏或占用系统资源，使得用户无法使用自己的机器。一般大型企业的网络都拥有Internet连接，同时对外提供的WWW和EMAIL等服务。因此企业内部网络通过Internet连接外部进行大量的信息交换，而其中大约80%信息是电子邮件，邮件中又有一半以上的邮件是垃圾邮件，这一比例还在逐年上升。 企业局域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源，就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏；甚至存在内部人员编写程序通过网络进行传播，或者利用黑客程序入侵他人主机的现象。因此，网络安全不仅要防范外部网，同时更防范内部网。网络安全措施 由此可见，有众多的网络安全风险需要考虑，因此，企业必须采取统一的安全策略来保证网络的安全性。一个完整的安全技术和产品包括：身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等；而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。 1.外部入侵的防范措施 (1)网络加密(Ipsec) IP层是TCP/IP网络中最关键的一层，IP作为网络层协议，其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此，IP安全是整个TCP/IP安全的基础，是网络安全的核心。IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。IPSec允许提供逐个数据流或者逐个连接的安全，所以能实现非常细致的安全控制。对于用户来说，便可以对于不同的需要定义不同级别地安全保护(即不同保护强度的IPSec通道)。IPSec为网络数据传输提供了数据机密性、数据完整性、数据来源认证、抗重播等安全服务，使得数据在通过公共网络传输时，不用担心被监视、篡改和伪造。 IPSec是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全保护机制来实现这些目的，而这些算法及其参数是保存在进行IPSec通信两端的SA(Security Association，安全联盟)，当两端的SA中的设置匹配时，两端就可以进行IPSec通信了。 在虚拟专用网(VPN)中主要采用了IPSec技术。 (2)防火墙 防火墙是一种网络安全保障手段，是网络通信时执行的一种访问控制尺度，其主要目标就是通过控制进、出一个网络的权限，在内部和外部两个网络之间建立一个安全控制点，对进、出内部网络的服务和访问进行控制和审计，防止外部网络用户以非法手段通过外部网络进入内部网络，访问、干扰和破坏内部网络资源。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间的任何活动，保证了内部网络的安全。 防火墙有软、硬件之分，实现防火墙功能的软件，称为软件防火墙。软件防火墙运行于特定的计算机上，它需要计算机操作系统的支持。基于专用的硬件平台的防火墙系统，称为硬件防火墙。它们也是基于PC架构，运行一些经过裁剪和简化的操作系统，承载防火墙软件。 (3)入侵检测 部署入侵检测产品，并与防火墙联动，以监视局域网外部绕过或透过防火墙的攻击，并及时触发联动的防火墙及时关闭该连接；同时监视主服务器网段的异常行为，以防止来自局域网内部的攻击或无意的误用及滥用行为。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。 2.内部非法活动的防范措施 (1)身份认证 网络安全身份认证是指登录计算机网络时系统对用户身份的确认技术。是网络安全的第一道防线，也是最重要的一道防线。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的用户的身份。身份认证在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统，因此身份认证实在是网络安全的关键。 (2)访问控制 访问控制决定了用户可以访问的网络范围、使用的协议、端口；能访问系统的何种资源以及如何使用这些资源。在路由器上可以建立访问控制列表，它是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。由于访问控制列表ACL(Access Control List)的表项可以灵活地增加，所以可以把ACL当作一种网络控制的有力工具，用来过滤流入和?鞒雎酚善鹘涌诘氖莅?在应用系统中，访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据，根据授予的权限限制其对资源的利用范围和程度。 (3)流量监测 目前有很多因素造成网络的流量异常，如拒绝服务攻击(DoS)、网络蠕虫病毒的传播、一些网络扫描工具产生的大量TCP连接请求等，很容易使网络设备瘫痪。这些网络攻击，都是利用系统服务的漏洞或利用网络资源的有限性，在短时间内发动大规模网络攻击，消耗特定资源，造成网络或计算机系统瘫痪。因此监控网络的异常流量非常重要。流量监测技术主要有基于SNMP的流量监测和基于Netflow的流量监测。基于SNMP的流量信息采集，是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。 基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。基于Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。基于以上的流量检测技术，目前有很多流量监控管理软件，此类软件是判断异常流量流向的有效工具，通过流量大小变化的监控，可以帮助网管人员发现异常流量，特别是大流量异常流量的流向，从而进一步查找异常流量的源、目的地址。处理异常流量最直接的解决办法是切断异常流量源设备的物理连接，也可以采用访问控制列表进行包过滤或在路由器上进行流量限定的方法控制异常流量。 (4)漏洞扫描 对一个网络系统而言，存在不安全隐患，将是黑客攻击得手的关键因素。就目前的网络系统来说，在硬件、软件、协议的具体实现或系统安全策略方面都可能存在一定的安全缺陷即安全漏洞。及时检测出网络中每个系统的安全漏洞是至关重要的。安全扫描是增强系统安全性的重要措施之一，它能够有效地预先评估和分析系统中的安全问题。漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序，按功能可分为：操作系统漏洞扫描、网络漏洞扫描和数据库漏洞扫描。网络漏洞扫描系统，是指通过网络远程检测目标网络和主机系统漏洞的程序，它对网络系统和设备进行安全漏洞检测和分析，从而发现可能被入侵者非法利用的漏洞。定期对网络系统进行漏洞扫描，可以主动发现安全问题并在第一时间完成有效防护，让攻击者无隙可钻。 (5)防病毒 企业防病毒系统应该具有系统性与主动性的特点，能够实现全方位多级防护。考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样，相应地在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施集中控制、以防为主、防杀结合的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。实例分析 大庆石化局域网是企业网络，覆盖大庆石化机关、各生产厂和其他的二级单位，网络上运行着各种信息管理系统，保存着大量的重要数据。为了保证网络的安全，针对计算机网络本身可能存在的安全问题，在网络安全管理上我们采取了以下技术措施： 1.利用PPPOE拨号上网的方式登录局域网 我们对网络用户实施了身份认证技术管理。用户采用 PPPOE拨号方式上局域网，即用户在网络物理线路连通的情况下，需要通过拨号获得IP地址才能上局域网。我们选用华为ISN8850智能IP业务交换机作为宽带接入服务器(BAS)，RADIUS服务器作用户认证系统，每个用户都以实名注册，这样我们就可以管理用户的网上行为，实现了对以太网接入用户的管理。 2.设置访问控制列表 在我们的网络中有几十台路由交换机，在交换机上我们配置了访问控制列表，根据信息流的源和目的 IP 地址或网段，使用允许或拒绝列表，更准确地控制流量方向，并确保 IP 网络免遭网络侵入。 3.划分虚拟子网 在局域网中，我们把不同的单位划分成不同的虚拟子网(VLAN)。对于网络安全要求特别高的应用，如医疗保险和财务等，划分独立的虚拟子网，并使其与局域网隔离，限制其他VLAN成员的访问，确保了信息的保密安全。 4.在网络出口设置防火墙在局域网的出口，我们设置了防火墙设备，并对防火墙制定安全策略，对一些不安全的端口和协议进行限制，使所有的服务器、工作站及网络设备都在防火墙的保护之下，同时配置一台日志服务器记录、保存防火墙日志，详细记录了进、出网络的活动。 5.部署Symantec防病毒系统 我们在大庆石化局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能，系统中心是中央管理控制台。通过该管理控制台集中管理运行Symantec AntiVirus 企业版的服务器和客户端；可以启动和调度扫描，以及设置实时防护，从而建立并实施病毒防护策略，管理病毒定义文件的更新，控制活动病毒，管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。 6.利用高效的网络管理软件管理全网大庆石化局域网的网络环境比较复杂，含有多种cisco交换设备、华为交换设备、路由设备以及其他一些接入设备，为了能够有效地网络，我们采用了BT_NM网络资源管理系统。 该系统基于SNMP管理协议，可以实现跨厂商、跨平台的管理。系统采用物理拓扑的方法来自动生成网络的拓扑图，能够准确和直观地反映网络的实际连接情况，包括设备间的冗余连接、备份连接、均衡负载连接等，对拓扑结构进行层次化管理。通过网络软件的IP地址定位功能可以定位IP地址所在交换机的端口，有效解决了IP地址盗用、查找病毒主机网络黑客等问题。 通过网络软件还可实现对网络故障的监视、流量检测和管理，使网管人员能够对故障预警，以便及时采取措施，保证了整个网络能够坚持长时间的安全无故障运行。 7.建立了VPN系统 虚拟专用网是对企业内部网的扩展。它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。为了满足企业用户远程办公需求，同时为了满足网络安全的要求，我们在石化局域网中建立了VPN系统。VPN的核心设备为Cisco的3825路由器，远端子公司采用Cisco的2621路由器，动态接入设备采用Cisco的1700路由器。 8.启动应用服务器的审计功能在局域网的各应用中我们都启用了审计功能，对用户的操作进行审核和记录，保证了系统的安全。

❷ bas什么意思

回答：BAS（Building Automation System）楼宇自动化系统或建筑设备自动化系统 解释：是将建筑物或建筑群内的电力、照明、空调、给排水、消防、运输、保安、车库管理设备或系统，以集中监视、控制和管理为目的而构成的综合系统。

系统通过对建筑（群）的各种设备实施综合自动化监控与管理，为业主和用户提供安全、舒适、便捷高效的工作与生活环境，并使整个系统和其中的各种设备处在最佳的工作状态，从而保证系统运行的经济性和管理的现代化、信息化和智能化。

延伸：

特指：BAS (Broadband Access Server/ Broadband Remote Access Server) 中文译名：宽带接入服务器是一种设置在网络汇聚层的用户接入服务设备，可以智能化地实现用户的汇聚、认证、计费等服务，还可以根据用户的需要，方便地提供多种IP增值业务。

❸ BAS系统的相关信息

BAS即是building automation system，也就是我们常谈到的楼宇自动化系统，BAS楼宇自动化系统所涉及的内容众多。
一座现代化建筑往往包括这些设备的全部或大部分。随着建筑物的规模增大，标准提高，这些设备的种类、数量急剧增加，要求的监测控制点可多达几千点至上万点。这些设备和测量控制点一般分散到建筑物的各层和各个角落，因此采用分散管理，就地监测和操作将占用大量人力资源，有时几乎难以实现。BAS利用计算机和网络技术，对这些设备进行集中管理和自动监测，对节省运行人力，保持设备正常，具有极大的意义。同时通过计算机系统及时启停各有关设备，避免设备不必要的运行，又可以节省系统运行能耗。这样，BAS系统的主要目的就是：提高系统管理水平；降低维护管理人员工作量；节省运行能耗.
为了满足轨道交通的运营要求，在车站设置了保障正常运营的照明设备、通风空调设备、给排水设备、屏蔽门系统、自动扶梯等机电设备；同时，为满足在紧急状态的报警、乘客疏散、救灾等要求，在轨道交通车站还设置了火灾报警系统、水消防系统、气体灭火系统、防排烟系统、防烟设备等机电设备和系统。为了实施这些系统和设备相互间的有序联动控制和监视，在轨道交通线上设置了称之为“环境与设备监控系统”（Electrical and Mechanical Control System-EMCS或Building Automatic System-BAS）的自动控制系统，形成了一个强大的轨道交通运营保障系统。
BAS系统各子系统
1.公共区通风空调系统
俗称大系统，承担调节公共区的温度和湿度，以向乘客和轨道交通工作人员提供舒适的乘车环境和工作环境；同时，承担紧急和灾害状态下的通风、换气和排烟的功能，确保乘客和员工的人身安全。
该系统的设备主要包括空调机组、空调新风机、回排风机、电动组合风阀、调节阀、防火阀等。该系统主要设置在地下车站，其中通风设备同时兼作车站公共区排烟系统。
2.设备管理用房通风空调系统
俗称小系统，主要承担办公用房和设备用房等温度和湿度的调节，以向轨道交通工作人员提供舒适的办公环境，给设备提供合适的运行环境；同时，承担灾害状态下的通风、换气和排烟功能，确保员工的人身安全。
该系统的设备主要包括空气处理机、送风机、回排风机、排风机、调节阀、防火阀等。其中通风设备同时兼作车站设备与管理用房的排烟系统。
3.空调水系统
主要是为空调系统提供冷却水；
该系统主要包括冷水机组、冷水泵、冷却泵、二通调节阀等。
较大规模的空调水系统宜设置分水器和集水器；
冷水机组、水泵等设备的入口处应安装过滤器或除垢器；
空调水系统应设置必要的压力表和温度计等传感器；
当用于安全保护和设备状态监视为目的时，宜选择温度开关、压力开关、风流开关、水流开关、压差开关、水位开关等开关量式输出的传感器，不宜使用连续量输出的传感器。
4.给排水系统
给水系统主要是为车站的的生产、生活及消防提供符合水质、水压和水量要求的用水。
排水系统主要是承担车站的废水和污水的分类集中及就近提升排放等。区间的排水设备主要承担地下区间的废水和雨水等的排放。
5.隧道通风系统
隧道通风系统在正常情况下主要完成隧道的排热和换气，火灾情况下则用于定向排烟和排热及送新风等。
系统主要包括区间隧道通风（TVF）、射流风机、轨顶和轨旁排热风机（OTE/UPE）等。
（1）TVF系统。TVF风机一般设于地下车站的两端或区间的中间风井内，主要完成隧道活塞风和机械通风，同时兼火灾时的排烟。该系统的设备主要包括TVF风机、消声器、电动组合风阀等。
（2）射流风机。一般设置在地下车站的出入线、联络线、存车线、渡线等，承担该区域的通风，同时兼火灾时的排烟。
（3）OTE/UPE系统。设置在站台轨行区，为停靠列车在停车期间进行排热。
6.照明系统
动力照明系统主要用于车站公共区和办公设备区的正常照明、辅助照明和应急照明及为系统和设备提供电力。
照明主要包括站台、站厅正常和应急照明，广告照明，出入口照明，区间照明，工作照明，事故照明等。
7.电扶梯系统
该系统主要承担乘客的出入站和设备物品的运送等。
主要设备包括，自动扶梯，升降电梯。
8.传感器列表
主要用于环境参数的采集、各种液体流量的测试和计量及控制等。
传感器主要包括用于检测空气参数的湿度传感器、二氧化碳浓度传感器，用于空调水系统的压力、差压传感器、变送器、电磁流量计、水管式温度计等。执行器主要包括调节二通阀和差压调节阀。

❹ 某企业,作为一个网络安全员应采取哪些措施来保护网络安全

定期更新杀毒软件！打开防火墙！小心陌生信息！不进不安全的网页！

❺ BAS(Broadband Access Server/ Broadband Remote Access Server)

一、起源

通过ATM网络下挂DSLAM方式可以实现ADSL用户专线方案，整个解决方案建立在二层网络之上，认证、计费和IP层管理功能都无法实现，为此可通过引入BAS概念，作为ATM网到IP网的互通网关和认证服务器，实现用户的认证、计费和管理。

二、BAS体系结构的变迁

BAS设备的体系结构经历了三代变迁。

1、第一代总线式体系结构

这一代结构由单CPU集中进行处理和转发，对应计算机发展史中的单处理器技术，采用PCI/CPCI总线，由软件进行业务的处理和转发，从体系结构上看，等同于一台单CPU计算机。此代产品以REDBACK1800、ALCATEL7404、VPN3000、CISCO7401为代表，整机性能和转发率受总线带宽和CPU处理能力限制，转发率在0.1～0.2Mpps之间，处理能力上相当于一台中低档计算机，仅适用于小网络和少量的用户，处理能力不具扩展性，从电信网络建设的规模和发展来看，这一代产品不属于电信级产品。

2、第二代交换式结构或总线式结构

这一代结构由多CPU分布式处理和转发，对应计算机发展历史中的多处理器技术，由软件进行业务的处理和转发，与第一代不同之处在于任务的处理分布于多个CPU，多CPU并行处理技术是这一代产品的主流应用。此代产品以CISCO6400、REDBACK10000、VPN5000、ALCATEL7411为代表，整机性能和转发率有很大提高，交换网端口向每个槽位分配带宽，转发率除了与该带宽有关之外，还与CPU的数量有密切相关，转发率在1~4Mpps之间。另外，由于NAT功能由处理器进行处理，因此CPU转发和业务处理设备在NAT性能方面存在欠缺，可以得出结论：第一、二代产品的NAT性能受限，而第三代产品则不存在这一问题。

3、第三代交换式结构

第三代交换式结构由分布式ASIC+RISC进行处理和转发，分布式网络处理器和ASIC芯片的应用是这一代产品最突出的特点。网络处理器（NP）是专门针对电信网络设备而开发的专用处理器，它有一套专门的指令集，用于处理电信网络的各种协议和业务，可以大大提高设备的处理能力。同时，数据包的转发不再采用CPU软件方式，而是采用接近硬件转发性能的ASIC芯片。强大的处理能力和快速包转发功能，使这一代BAS设备成为电信级设备。这一代产品以ISN8850、ERX1400、SHASTA5000、ELLACOYA6000为代表，整机转发率在6~20Mpps之间，也是目前BAS的主流技术。

三、BAS的分类

从BAS建网思路角度考虑，BAS分为集中式和分布式两大类，各有适用场合，可同存于同一网络。对于ADSL接入，一般采用集中方式，实现PVC的汇聚和终结；对于LAN接入，结合具体网络情况可采取集中式BAS或分布式BAS方案。

从BAS是否需要具备汇聚功能的角度考虑，BAS又可分为独立式和汇聚型。独立式BAS要求具有大容量和高处理性能，在组网结构上，仅作为集中式BAS使用；汇聚型BAS不但要完成BAS功能，同时还能够完成汇聚功能，因此，可以省去L3，适合建设小型网络，它要求BAS设备具有高端口密度、大容量和高处理性能。

四、BAS的发展方向

作为城域网汇聚层关键设备，BAS设备已经超出了纯BAS的概念，从组网位置看，其功能更加多样化，主要体现在可同时作为IP Hotel、201+等业务网关，与后台系统配合可提供多种控制和管理手段，而与智能平台配合时，还可提供多样化增值业务。由于业务必须在汇聚层设备上实现，因此网络的附加价值也集中体现在汇聚层设备上。

专心发展汇聚层业务，提高网络附加值，实际也是发展客户的一种战略，这一点意识应该强化。接入层采用低成本战略大范围布点，力图吸引最终用户，但若汇聚层没有业务，那么这些客户也就没有价值。因此，集中精力发展汇聚层业务，在BAS完成认证、计费和管理功能，丰富业务网关功能，是建设可运营、可盈利网络的关键。

❻ 建筑行业中的FAS和BAS是什么意思

FAS：一般是指火灾报警系统（包括温感、烟感、手报、消防电话等），
BAS：一般是只建筑楼宇自动化系统（包括水、电、气、消防、安保、空调、照明等等）
楼宇自控系统由以下部分组成：
◎建筑设备运行管理的监控,包括
(1) 暖通空调系统的监控(HVAC);
(2) 给排水系统监控;
(3) 供配电与照明系统监控
◎火灾报警与消防联动控制、电梯运行管制
◎公共安全技术防范,包括:
1、电视监控系统；
2、防盗报警系统；
3、出入口控制及门禁系统；
4、安保人员巡查系统；
5、汽车库综合管理系统；
6、各类重要仓库防范设施；
7、安全广播信息系统。
诸多的机电设备之间有着内在的相互联系，于是就需要完善的自动化管理。建立机电设备管理系统，达到对机电设备进行综合管理、 调度、监视、操作和控制。
楼宇自动化系统的功能：
◆制定系统的管理、调度、操作和控制的策略；
◆存取有关数据与控制的参数；
◆管理、调度、监视与控制系统的运行；
◆显示系统运行的数据、图象和曲线；
◆打印各类报表；
◆进行系统运行的历史记录及趋势分析；
◆统计设备的运行时间、进行设备维护、保养管理等

BAS即是building automation system，也就是我们常谈到的楼宇自动化系统BAS楼宇自动化系统所涉及的内容众多。一座现代化建筑往往包括这些设备的全部或大部分。随着建筑物的规模增大，标准提高，这些设备的种类、数量急剧增加，要求的监测控制点可多达几千点至上万点。这些设备和测量控制点一般分散到建筑物的各层和各个角落，因此采用分散管理，就地监测和操作将占用大量人力资源，有时几乎难以实现。BAS利用计算机和网络技术，对这些设备进行集中管理和自动监测，对节省运行人力，保持设备正常，具有极大的意义。同时通过计算机系统及时启停各有关设备，避免设备不必要的运行，又可以节省系统运行能耗。这样，BAS系统的主要目的就是：提高系统管理水平；降低维护管理人员工作量；节省运行能耗. BAS子系统:1 电力供应系统 2 照明系统 3 空调系统 4 给排水系统 5 消防系统 6 保安系统

楼宇自动化系统BAS （building automation system） BAS所涉及的内容。一座现代化建筑往往包括这些设备的全部或大部分。随着建筑物的规模增大，标准提高，这些设备的种类、数量急剧增加，要求的监测控制点可多达几千点至上万点。这些设备和测量控制点一般分散到建筑物的各层和各个角落，因此采用分散管理，就地监测和操作将占用大量人力资源，有时几乎难以实现。利用计算机和网络技术，对这些设备进行集中管理和自动监测，对节省运行人力，保持设备正常，具有极大的意义。同时通过计算机系统及时启停各有关设备，避免设备不必要的运行，又可以节省系统运行能耗。这样，BAS系统的主要目的就是：提高系统管理水平；降低维护管理人员工作量；节省运行能耗. BAS子系统:1 电力供应系统 2 照明系统 3 空调系统 4 给排水系统 5 消防系统 6 保安系统 7 交通系统 8 BAS的集中管理与协调 BAS内诸系统尽管错综复杂，种类繁多，但最低层仍是探测各物理量的各种传感器、执行控制动作的各种执行器以及直接连接这些传感器、执行器的现场计算机（又称DCU，RTU，DDC分站等）。这些现场计算机接收相应的传感受器信息，并将其转换为数字信号，随时向上一级管理计算机发送，再根据上一级的管理计算机命令及传感器测出的系统状态，驱动执行器完成所要求的控制调节任务。系统涉及的监控对象不同，传感器、执行器会很不相同。前几讲中已对空调的冷热源及水系统等在这一层次的系统配置做了较详细的讨论。电力、照明、给排水系统除传感器、执行器不同外，此层次的结构和基本配置思想与空调系统相同。消防、保安系统的主要特点是采用多个探测测头共用总线的方式。此总线连入区域控制器，在区域控制器解码，确定出每个探测器的输出状态。这样，区域控制器也类似于一台现场控制机，由此，在现场控制机这一层次以上，各分系统就无大区别。所要研究的问题成为如何将分布于建筑物各处的现场控制机连接，以实现它们之间的数据交换。如何设置各分系统的管理级计算机及BAS总的管理中央计算机，什么样的管理组态软件适宜系统管理控制等。
1．英文缩写: BAS (Broadband Access Server/ Broadband Remote Access Server)
中文译名: 宽带接入服务器
分 类: 电信设备
解 释: 随着宽带城域网和宽带业务的发展，对于用户已不能简单地采用包月制、无认证的管理办法。宽带接入服务器（BAS）是一种设置在网络汇聚层的用户接入服务设备，可以智能化地实现用户的汇聚、认证、计费等服务，还可以根据用户的需要，方便地提供多种IP增值业务。
2．制动力辅助系统（BAS）：BAS英文全称为Brake Assist System（制动力辅助系统）。据统计，在紧急情况下有90%的汽车驾驶员踩刹车时缺乏果断，制动辅助系统正是针对这一情况而设计。它可以从驾驶员踩制动踏板的速度中探测到车辆行驶中遇到的情况，当驾驶员在紧急情况下迅速踩制动踏板，但踩踏力又不足时，此系统便会在不到1秒的时间内把制动力增至最大，缩短紧急制动情况下的刹车距离。
3.英文缩写:BAS（Building Automation System）
中文译名：楼宇自动化系统或建筑设备自动化系统
解释：是将建筑物或建筑群内的电力、照明、空调、给排水、消防、运输、保安、车库管理设备或系统，以集中监视、控制和管理为目的而构成的综合系统。楼宇自动化系统通过对建筑（群）的各种设备实施综合自动化监控与管理，为业主和用户提供安全、舒适、便捷高效的工作与生活环境，并使整个系统和其中的各种涉别处在最佳的工作状态，从而保证系统运行的经济性和管理的现代化、信息化和智能化。
4.book and ship 订货与交运（E-Business)
5.biological action spectrum 生物作用光谱
6.Bachelor of administrative studies管理或者商业类别的课程

❼ RootKit.Win32.Mnless.bas是什么病毒

近期，一种新型的rootkit病毒在互联网上广泛传播。这种rootkit其实是一种名为Sinowal的恶意软件新变种，利用Adobe Acrobat Reader应用软件的漏洞侵入系统，并在用户不知情的情况下下载一个恶意PDF文件到用户计算机系统。 对于rootkit的检测和清除，是近几年来反病毒专家们所面临的一项难题。近期，一种新型的rootkit病毒在互联网上广泛传播。这种rootkit其实是一种名为Sinowal的恶意软件新变种，利用Adobe Acrobat Reader应用软件的漏洞侵入系统，并在用户不知情的情况下下载一个恶意PDF文件到用户计算机系统。值得注意的是，此rootkit可以感染计算机磁盘主引导扇区，从底层入侵系统，并且擅于隐藏自身及其恶意行为，使得用户很难发现或者清除该恶意软件。 卡巴斯基实验室最早在其个人反病毒解决方案中成功检测和查杀了该Sinowal新变种，成为最早攻克这一技术难题的安全厂商之一。经过卡巴斯基实验室对这个新型rootkit进行分析后发现，这个名为Backdoor.Win32.Sinowal的新变种比以往的变种更为“强大”，能够更加深入地渗入到系统底层，以避免被安全系统侦测到。同时，它采用了更先进的隐匿技术手段，可以从操作系统的最底层挂钩设备对象。这是网络罪犯分子首次采用如此复杂的技术。它的这些特点，导致了该新变种在最早出现时，一般的反病毒软件无法检测和清除系统上感染的此恶意软件。而该rootkit侵入系统后，会隐藏自身的行为，伺机窃取用户数据以及各种账号信息。 面对越来越严峻的网络安全环境，安全专家强烈建议用户及时安装相应的系统及应用程序补丁，修补存在于系统或者应用软件中的安全漏洞。另外，要及时更新反病毒软件的数据库，定期对计算机扫描。同时，养成良好的上网和操作计算机习惯，以免感染恶意软件造成不必要的损失。

❽ 如何提升网络信息安全保障能力

健全的网络与信息安全保障措施 随着企业网络的普及和网络开放性，共享性，互连程度的扩大，网络的信息安全问题也越来越引起人们的重视。一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全。网络安全风险分析 计算机系统本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。信息网络化使信息公开化、信息利用自由化，其结果是信息资源的共享和互动，任何人都可以在网上发布信息和获取信息。这样，网络信息安全问题就成为危害网络发展的核心问题，与外界的因特网连接使信息受侵害的问题尤其严重。 目前企业网络信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。 计算机病毒是一种危害计算机系统和网络安全的破坏性程序。它可以直接破坏计算机数据信息，也可以大量占用磁盘空间、抢占系统资源从而干扰了系统的正常运行。 随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多，病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽，尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。 黑客攻击已经成为近年来经常发生的事情，网络中服务器被攻击的事件层出不穷。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷，采用破解口令(password cracking)、天窗(trapdoor)、后门(backdoor)、特洛伊木马(Trojan horse)等手段侵入计算机系统，进行信息破坏或占用系统资源，使得用户无法使用自己的机器。一般大型企业的网络都拥有Internet连接，同时对外提供的WWW和EMAIL等服务。因此企业内部网络通过Internet连接外部进行大量的信息交换，而其中大约80%信息是电子邮件，邮件中又有一半以上的邮件是垃圾邮件，这一比例还在逐年上升。 企业局域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源，就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏；甚至存在内部人员编写程序通过网络进行传播，或者利用黑客程序入侵他人主机的现象。因此，网络安全不仅要防范外部网，同时更防范内部网。网络安全措施 由此可见，有众多的网络安全风险需要考虑，因此，企业必须采取统一的安全策略来保证网络的安全性。一个完整的安全技术和产品包括：身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等；而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。 1.外部入侵的防范措施 (1)网络加密(Ipsec) IP层是TCP/IP网络中最关键的一层，IP作为网络层协议，其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此，IP安全是整个TCP/IP安全的基础，是网络安全的核心。IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。IPSec允许提供逐个数据流或者逐个连接的安全，所以能实现非常细致的安全控制。对于用户来说，便可以对于不同的需要定义不同级别地安全保护(即不同保护强度的IPSec通道)。IPSec为网络数据传输提供了数据机密性、数据完整性、数据来源认证、抗重播等安全服务，使得数据在通过公共网络传输时，不用担心被监视、篡改和伪造。 IPSec是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全保护机制来实现这些目的，而这些算法及其参数是保存在进行IPSec通信两端的SA(Security Association，安全联盟)，当两端的SA中的设置匹配时，两端就可以进行IPSec通信了。 在虚拟专用网(VPN)中主要采用了IPSec技术。 (2)防火墙 防火墙是一种网络安全保障手段，是网络通信时执行的一种访问控制尺度，其主要目标就是通过控制进、出一个网络的权限，在内部和外部两个网络之间建立一个安全控制点，对进、出内部网络的服务和访问进行控制和审计，防止外部网络用户以非法手段通过外部网络进入内部网络，访问、干扰和破坏内部网络资源。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间的任何活动，保证了内部网络的安全。 防火墙有软、硬件之分，实现防火墙功能的软件，称为软件防火墙。软件防火墙运行于特定的计算机上，它需要计算机操作系统的支持。基于专用的硬件平台的防火墙系统，称为硬件防火墙。它们也是基于PC架构，运行一些经过裁剪和简化的操作系统，承载防火墙软件。 (3)入侵检测 部署入侵检测产品，并与防火墙联动，以监视局域网外部绕过或透过防火墙的攻击，并及时触发联动的防火墙及时关闭该连接；同时监视主服务器网段的异常行为，以防止来自局域网内部的攻击或无意的误用及滥用行为。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。 2.内部非法活动的防范措施 (1)身份认证 网络安全身份认证是指登录计算机网络时系统对用户身份的确认技术。是网络安全的第一道防线，也是最重要的一道防线。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的用户的身份。身份认证在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统，因此身份认证实在是网络安全的关键。 (2)访问控制 访问控制决定了用户可以访问的网络范围、使用的协议、端口；能访问系统的何种资源以及如何使用这些资源。在路由器上可以建立访问控制列表，它是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。由于访问控制列表ACL(Access Control List)的表项可以灵活地增加，所以可以把ACL当作一种网络控制的有力工具，用来过滤流入和?鞒雎酚善鹘涌诘氖莅?在应用系统中，访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据，根据授予的权限限制其对资源的利用范围和程度。 (3)流量监测 目前有很多因素造成网络的流量异常，如拒绝服务攻击(DoS)、网络蠕虫病毒的传播、一些网络扫描工具产生的大量TCP连接请求等，很容易使网络设备瘫痪。这些网络攻击，都是利用系统服务的漏洞或利用网络资源的有限性，在短时间内发动大规模网络攻击，消耗特定资源，造成网络或计算机系统瘫痪。因此监控网络的异常流量非常重要。流量监测技术主要有基于SNMP的流量监测和基于Netflow的流量监测。基于SNMP的流量信息采集，是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。 基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。基于Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。基于以上的流量检测技术，目前有很多流量监控管理软件，此类软件是判断异常流量流向的有效工具，通过流量大小变化的监控，可以帮助网管人员发现异常流量，特别是大流量异常流量的流向，从而进一步查找异常流量的源、目的地址。处理异常流量最直接的解决办法是切断异常流量源设备的物理连接，也可以采用访问控制列表进行包过滤或在路由器上进行流量限定的方法控制异常流量。 (4)漏洞扫描 对一个网络系统而言，存在不安全隐患，将是黑客攻击得手的关键因素。就目前的网络系统来说，在硬件、软件、协议的具体实现或系统安全策略方面都可能存在一定的安全缺陷即安全漏洞。及时检测出网络中每个系统的安全漏洞是至关重要的。安全扫描是增强系统安全性的重要措施之一，它能够有效地预先评估和分析系统中的安全问题。漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序，按功能可分为：操作系统漏洞扫描、网络漏洞扫描和数据库漏洞扫描。网络漏洞扫描系统，是指通过网络远程检测目标网络和主机系统漏洞的程序，它对网络系统和设备进行安全漏洞检测和分析，从而发现可能被入侵者非法利用的漏洞。定期对网络系统进行漏洞扫描，可以主动发现安全问题并在第一时间完成有效防护，让攻击者无隙可钻。 (5)防病毒 企业防病毒系统应该具有系统性与主动性的特点，能够实现全方位多级防护。考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样，相应地在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施集中控制、以防为主、防杀结合的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。实例分析 大庆石化局域网是企业网络，覆盖大庆石化机关、各生产厂和其他的二级单位，网络上运行着各种信息管理系统，保存着大量的重要数据。为了保证网络的安全，针对计算机网络本身可能存在的安全问题，在网络安全管理上我们采取了以下技术措施： 1.利用PPPOE拨号上网的方式登录局域网 我们对网络用户实施了身份认证技术管理。用户采用 PPPOE拨号方式上局域网，即用户在网络物理线路连通的情况下，需要通过拨号获得IP地址才能上局域网。我们选用华为ISN8850智能IP业务交换机作为宽带接入服务器(BAS)，RADIUS服务器作用户认证系统，每个用户都以实名注册，这样我们就可以管理用户的网上行为，实现了对以太网接入用户的管理。 2.设置访问控制列表 在我们的网络中有几十台路由交换机，在交换机上我们配置了访问控制列表，根据信息流的源和目的 IP 地址或网段，使用允许或拒绝列表，更准确地控制流量方向，并确保 IP 网络免遭网络侵入。 3.划分虚拟子网 在局域网中，我们把不同的单位划分成不同的虚拟子网(VLAN)。对于网络安全要求特别高的应用，如医疗保险和财务等，划分独立的虚拟子网，并使其与局域网隔离，限制其他VLAN成员的访问，确保了信息的保密安全。 4.在网络出口设置防火墙在局域网的出口，我们设置了防火墙设备，并对防火墙制定安全策略，对一些不安全的端口和协议进行限制，使所有的服务器、工作站及网络设备都在防火墙的保护之下，同时配置一台日志服务器记录、保存防火墙日志，详细记录了进、出网络的活动。 5.部署Symantec防病毒系统 我们在大庆石化局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能，系统中心是中央管理控制台。通过该管理控制台集中管理运行Symantec AntiVirus 企业版的服务器和客户端；可以启动和调度扫描，以及设置实时防护，从而建立并实施病毒防护策略，管理病毒定义文件的更新，控制活动病毒，管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。 6.利用高效的网络管理软件管理全网大庆石化局域网的网络环境比较复杂，含有多种cisco交换设备、华为交换设备、路由设备以及其他一些接入设备，为了能够有效地网络，我们采用了BT_NM网络资源管理系统。 该系统基于SNMP管理协议，可以实现跨厂商、跨平台的管理。系统采用物理拓扑的方法来自动生成网络的拓扑图，能够准确和直观地反映网络的实际连接情况，包括设备间的冗余连接、备份连接、均衡负载连接等，对拓扑结构进行层次化管理。通过网络软件的IP地址定位功能可以定位IP地址所在交换机的端口，有效解决了IP地址盗用、查找病毒主机网络黑客等问题。 通过网络软件还可实现对网络故障的监视、流量检测和管理，使网管人员能够对故障预警，以便及时采取措施，保证了整个网络能够坚持长时间的安全无故障运行。 7.建立了VPN系统 虚拟专用网是对企业内部网的扩展。它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。为了满足企业用户远程办公需求，同时为了满足网络安全的要求，我们在石化局域网中建立了VPN系统。VPN的核心设备为Cisco的3825路由器，远端子公司采用Cisco的2621路由器，动态接入设备采用Cisco的1700路由器。 8.启动应用服务器的审计功能在局域网的各应用中我们都启用了审计功能，对用户的操作进行审核和记录，保证了系统的安全。

❾ bas是什么意思

BAS（Building Automation System）楼宇自动化系统或建筑设备自动化系统 解释：是将建筑物或建筑群内的电力、照明、空调、给排水、消防、运输、保安、车库管理设备或系统，以集中监视、控制和管理为目的而构成的综合系统。

系统通过对建筑（群）的各种设备实施综合自动化监控与管理，为业主和用户提供安全、舒适、便捷高效的工作与生活环境，并使整个系统和其中的各种设备处在最佳的工作状态，从而保证系统运行的经济性和管理的现代化、信息化和智能化。

延伸：

特指：BAS (Broadband Access Server/ Broadband Remote Access Server) 中文译名：宽带接入服务器是一种设置在网络汇聚层的用户接入服务设备，可以智能化地实现用户的汇聚、认证、计费等服务，还可以根据用户的需要，方便地提供多种IP增值业务。