系统安全解决方案4doc.docx
《系统安全解决方案4doc.docx》由会员分享,可在线阅读,更多相关《系统安全解决方案4doc.docx(7页珍藏版)》请在冰豆网上搜索。
系统安全解决方案4doc
系统安全解决方案4
1系统安全方案
1.1物理级安全解决方案
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等
环境事故以及人为*作失误或错误及各种计算机犯罪行为导致的破坏过程。
它主要包括三个方面:
1.1.1环境安全
对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准
GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
1.1.2设备安全
设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份;通过严格管理及提高员工的整
体安全意识来实现。
1.1.3媒体安全
包括媒体数据的安全及媒体本身的安全。
显然,为保证信息网络系统的物
理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的
扩散。
计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论
和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示
技术给计算机系统信息的保密工作带来了极大的危害。
为了防止系统中的信息
在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出
去的空间信号。
这对重要的政策、军队、金融机构在兴建信息中心时都将成为
首要设置的条件。
正常的防范措施主要在三个方面:
对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。
为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。
对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
对终端设备辐射的防范。
终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。
1.2网络级安全解决方案
网络安全是整个安全解决方案的关键,从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别描述。
1.2.1隔离与访问控制
1.2.1.1严格的管理制度可制定的制度
《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等。
1.2.1.2划分虚拟子网(VLAN)
内部网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路的情况下,不同虚拟子网间是不能够互相访问。
通过虚拟子网的划分,能够实较粗略的访问控制。
1.2.1.3防火墙
防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。
防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。
并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。
FortiGate产品从网络层到应用层都实现了自由控制。
1.2.2通信保密
数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。
可以选择以下几种方式。
1.2.2.1链路层加密
对于连接各涉密网节点的广域网线路,根据线路种类不同可以采用相应的链路级加密设备,以保证各节点涉密网之间交换的数据都是加密传送,以防止非授权用户读懂、篡改传输的数据。
链路加密机由于是在链路级,加密机制是采用点对点的加密、解密。
即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。
通过两端加密机的协商配合实现加密、解密过程。
1.2.2.2网络层加密
鉴于网络分布较广,网点较多,而且可能采用DDN、FR等多种通讯线路。
如果采用多种链路加密设备的设计方案则增加了系统投资费用,同时为系统维护、升级、扩展也带来了相应困难。
因此在这种情况下我们建议采用网络层加密设备(VPN),VPN是网络加密机,是实现端至端的加密,即一个网点只需配备一台VPN加密机。
根据具体策略,来保护内部敏感信息和企业秘密的机密性、真实性及完整性。
IPsec是在TCP/IP体系中实现网络安全服务的重要措施。
而VPN设备正是一种符合IPsec标准的IP协议加密设备。
它通过利用跨越不安全的公共网络
的线路建立IP安全隧道,能够保护子网间传输信息的机密性、完整性和真实性。
经过对VPN的配置,可以让网络内的某些主机通过加密隧道,让另一些主机仍以明文方式传输,以达到安全、传输效率的最佳平衡。
一般来说,VPN设备可以一对一和一对多地运行,并具有对数据完整性的保证功能,它安装在被保护网络和路由器之间的位置。
设备配置见下图。
目前全球大部分厂商的网络安全产品都支持IPsec标准。
由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资;而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。
对政府行业网络系统这样一种大型的网络,VPN设备可以使网络在升级提速时具有很好的扩展性。
鉴于VPN设备的突出优点,应根据企业具体需求,在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。
1.2.3入侵检测
利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。
但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充。
入侵检测系统就是最好的安全产品,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有*作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。
从而防止针对网络的攻击与犯罪行为。
入侵检测系统一般包括控制台和探测器(网络引擎)。
控制台用作制定及管理所有探测器(网络引擎)。
探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。
由于探测器采取的是监听不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
1.2.4扫描系统
网络扫描系统可以对网络中所有部件(Web站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。
系统扫描系统可以对网络系统中的所有*作系统进行安全性扫描,检测*作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。
1.2.5病毒防护
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。
我们都知道,政府网络系统中使用的*作系统一般均为WINDOWS系统,比较容易感染病毒。
因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。
反病毒技术包括预防病毒、检测病毒和杀毒三种技术:
1.2.5.1预防病毒技术
预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。
这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。
1.2.5.2检测病毒技术
检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。
1.2.5.3杀毒技术
杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。
反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。
一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。
系统方案论证1
系统方案论证与选择
1系统方案
根据题目中的设计要求,本系统主要由微控制器模块、电源模块、寻迹模块、直流电机及其驱动模块、避障检测模块,速度采集模块,LCD液晶显示模块等构成。
本系统的方框图如图2.1所示。
为较好的实现各模块的功能,分别设计了几种方案并分别进行了论证。
2.1.1控制器模块论证与选择
方案一:
选用一片CPLD(如EPM7128LC84-15)作为系统的核心部件,实现控制与处理的功能。
CPLD具有速度快、编程容易、资源丰富、开发周期短等优点,可利用VHDL语言进行编写开发。
但CPLD在控制上较单片机有较大的劣势。
同时,CPLD的处理速度非常快,而小车的行进速度不可能太高,那么对系统处理信息的要求也就不会太高,在这一点上,MCU就已经可以胜任了。
若采用该方案,必将在控制上遇到许许多多不必要增加的难题。
为此,我们不采用该种方案,进而提出了第二种设想。
方案二:
采用AT89S52单片机作为主控制器。
AT89S52是一个超低功耗,
和标准51系列单片机相比较具有运算速度快,抗干扰能力强,支持ISP在线编程,片内含8k空间的可反复擦写1000次的Flash只读存储器,具有256bytes的随机存取数据存储器(RAM),32个I/O口,2个16位可编程定时计数器。
其指令系统和传统的8051系列单片机指令系统兼容,降低了系统软件设计的难度,电路设计简单、价格低廉。
综合以上方案我们选择比较普通的更为熟悉的方案二使用AT89S52单片机为我们整个系统的控制核心。
电源模块
方案一:
采用实验室有线电源通过稳压芯片供电,其优点是可稳定的提供5V电压,但占用资源过大,在调试可以使用。
方案二:
采用4支1.5V电池单电源供电,但6V的电压太小不能同时给单片机与与电机供电。
方案三:
采用8支1.5V电池双电源分别给单片机与电机供电可解决方案二的问题且能让小车完成其功能。
所以,我选择了方案三来实现供电
2.1.3电机的论证与选择
方案一:
采用直流减速电机。
直流减速电机转动力矩大,体积小,重量轻,装配简单,使用方便,很容易实现PWM调速。
很方便的就可以实现通过单片机对直流减速电机前进、后退、停止、调速等操作。
方案二:
采用步进电机作为该系统的驱动电机,由于其转动的角度可以精确定位,可以实现小车前进距离和位置的精确定位。
虽然采用步进电机有诸多优点,但步进电机的输出力矩较低,随转速的升高而下降,且在较高的转速时会急剧下降,其转速较低时又不适于小车对速度的一定要求。
经综合比较分析我们决定放弃此方案。
综合以上考虑我们选择方案一的直流电机作为小车的驱动电机。
2.1.5寻迹模块选择与论证
方案一:
用光敏电阻组成光敏探测器。
光敏电阻的阻值可以跟随周围环境光线的变化而变化。
当光线照射到白线上面时,光线发射强烈,光线照射到黑线上面时,光线发射较弱。
因此光敏电阻在白色轨迹上方和黑色轨迹上方时,阻值会
发生明显的变化。
将阻值的变化值经过比较器就可以输出高低电平。
单片机据此来判断小车是否偏离轨道,并根据反馈来不同的电平信号,发出相应的控制操作命令来校验小车的位置,来完成小车的循迹任务。
但是这种方案的缺点是受环境中光线的影响很大,不能够稳定的工作。
因此我们考虑其它更加稳定的方案。
方案二:
用RPR220型光电对管完成系统循迹。
RPR220是一种一体化反射型光电探测器,其发射器是一个砷化镓红外发光二极管,而接收器是一个高灵敏度,硅平面光电三极管。
RPR220特点:
塑料透镜可以提高灵敏度。
内置可见光过滤器能减小离散光的影响。
体积小,结构紧凑。
此光电对管调理电路简单
升级会员 