⑴ 榮耀筆記本重置之後,指紋錄入不上可怎麼解決啊,跪求
控制面板找「指紋管理」,控制面板-搜索「指紋」-找到「登記指紋」,並點擊它。
密碼登錄指紋管理軟體,在聯想的指紋管理軟體里,首先輸入你當前Windows登錄用戶的密碼。
進入指紋管理界面。
指紋錄入,在「登記」對話框,開始錄入你的指紋,直到100%完成。
錄入完畢,即採集指紋成功。
重啟測試指紋登錄。
⑵ 解釋名詞 (計算機)
微處理器:
微處理器大致可以分為三類:通用高性能微處理器、嵌入式微處理器和數字信號處理器、微控制器。一般而言,通用處理器追求高性能,它們用於運行通用軟體,配備完備、復雜的操作系統。
微型計算機:
簡稱「微型機」、「微機」,也稱「微電腦」。由大規模集成電路組成的、體積較小的電子計算機。由微處理機(核心)、存儲片、輸入和輸出片、系統匯流排等組成。特點是體積小、靈活性大、價格便宜、使用方便。微型計算機(Microcomputer)是指以微處理器為基礎,配以內存儲器及輸入輸出(I/0)介面電路和相應的輔助電路而構成的裸機。把微型計算機集成在一個晶元上即構成單片微型計算機(Single Chip Microcomputer)。
微型計算機系統:
簡稱「微機系統」。由微型計算機、顯示器、輸入輸出設備、電源及控制面板等組成的計算機系統。配有操作系統、高級語言和多種工具性軟體等。
區別和聯系:
1.微處理器:一般也稱中央處理器(CPU),是本身具有運算能力和控制功能,是微型計算機的核心。
2.微型計算機是指以微處理器為基礎,配以內存儲器以及輸入/輸出(I/O)介面電路和相應的輔助電路而構成的裸機。
3.微型計算機系統是指由微型計算機配以相應的外設和其他專用電器、電源、面板、機架以及足夠的軟體而構成的系統。
⑶ 太陽能熱儲存技術的引言概述
顯熱儲存是利用儲熱材料的熱容量,通過升高或降低材料的溫度而實現熱量的儲存或釋 放的過程。顯熱儲存原理簡單,材料來源豐富,成本低廉,是研究最早,利用最廣泛,技術 最成熟的太陽能熱儲存方式。 低溫范圍內,水、土壤、砂石及岩石是最為常見的顯熱儲熱材料。德國漢堡生態村的設 計中, 採用了一個容量為 4500 的大儲水罐作為儲存一年四季中所採集的太陽能的儲存設備。 Kreetz 提出了在太陽能煙囪電站集熱棚內布置水管作為儲能系統的構想。
集熱器地面上並排 排列著黑色水管, 數值計算結果表明利用水儲熱裝置可以保證太陽能煙囪發電系統晝夜連續 工作。在太陽能高溫儲存場合常用的顯熱儲存介質有沙石-石-礦物油、混凝土、導熱油、和 液態鈉等。從儲熱能力、成本和安全性考慮,混凝土是比較有前途的儲熱材料。德國航天航 空研究中心的 Tamme et al 在研究砂石混凝土和玄武岩混凝土的基礎上,研究開發耐高溫混 凝土和鑄造陶瓷等固體儲熱材料,在阿爾梅里亞太陽能實驗基地與槽式系統進行聯合試驗, 效果良好,現在正准備 MW 級的試驗。
目前太陽能顯熱儲存有向地下發展的趨勢。太陽能的地下顯熱儲存比較適合於長期儲存, 而且成本低,佔地少,因此是一種很有發展前途的儲熱方式。美國華盛頓地區利用地下土壤 儲存太陽能用於供暖和提供生活熱水,在夏季結束時,土壤溫度可以上升至 80℃,而在供 暖季節結束時,溫度降至 40℃。此外,地下岩石儲存太陽能和地下含水層儲存太陽能都得 到了廣泛的研究。然而,由於顯熱儲存材料是依靠儲熱材料溫度變化來進行熱量的儲存,放 熱過程不能恆溫,儲熱密度小,使得儲熱裝置體積龐大,而且與周圍環境存在溫度差,造成 熱量損失,熱量不能長期儲存,不適合長時間、大容量儲存熱量,限制了顯熱儲存技術的進 一步發展。 相變儲存是利用儲熱材料在熱作用下發生相變而產生熱量儲存的過程。相變儲存具有儲 能密度高,放熱過程溫度波動范圍小等優點得到了越來越多的重視。 將相變儲熱材料應用於溫室來儲存太陽能始於 80 年代,應用到的相變材料主要有 CaCl?6H2O、NaSO4?10H2O 和聚乙二醇。太陽能熱發電儲熱系統中的相變儲熱材料主要為高 溫水蒸氣和熔融鹽,利用熔融鹽作為儲熱介質具有溫度使用范圍寬,熱容量大,粘度低,化 學穩定性好等優點, 但鹽類相變材料在高溫下對儲熱裝置有較強的腐蝕性。
現有研究表明可 以應用於空間太陽能熱動力系統的相變材料主要為金屬及合金和氟鹽及其共晶混合物等, 目 前研究較多的是氟鹽及其共晶混合物,但其液固相變轉化時體積收縮較大及熱導率低的缺 點,容易導致「熱松脫」和「熱斑」現象,對儲熱裝置的長期穩定非常不利。
有機物相變材料具有相變溫度適應性好、相變潛熱大、理化性能穩定等優點,因而在太陽 能儲熱利用中受到普遍關注,常用材料為一些醇、酸、高級烷烴等。Buddhi and Sahoo 提出 將熔點為 55.1℃,熱容 160kJ/kg 的硬脂酸作為相變儲熱材料應用於太陽能灶,實驗表明這 一措施解決了在部分時間沒有陽光時使用太陽能灶的問題。Sharma et al.在 2000 年報道了將 熔點為 82℃,熱容為 263kJ/kg 乙醯胺作為相變儲熱材料應用於改良型太陽灶的研究。在建 築牆體內添加有機物是一種非常有效的太陽能儲存方式。
Feldman et al.對硬脂酸丁酯 (49%) 和丁基棕櫚酸酯(48%)的混合酯研究,結果表明該混合酯適合作為建築物儲能材料用於儲 存太陽能。此外 Feldman et al 將該混合酯(20~25%)作為相變儲熱材料應用於石膏牆板, 和普通石膏牆板相比,儲熱能力增加了 11 倍,耐火能力也明顯提高,隨著添加的混合酯的 質量變化,牆板導熱系數在±15%之間變化。Athienitis et al.研究了一個牆面含有硬脂酸丁酯 的被動太陽能房,含有硬脂酸丁酯垂直石膏牆板總面積約為 20 平方米,總共用相變溫度為 16~20.8℃的硬脂酸丁酯 47kg。實驗在冬季環境下進行,結果表明添加了硬脂酸丁酯的石膏 牆板白天可以使室內溫度降低 4℃,避免了室內溫度過高,晚上添加相變材料的石膏牆板的 表面溫度較普通石膏牆板的溫度升高約 3.2℃。Lee et al.等對由不同材料製成的牆磚及在牆 磚中注入不同有機物時,牆磚在受到空氣加熱和冷卻過程中的溫度變化進行了實驗對比研究, 提出了最 研究表明在太陽能儲存中, 應用組合式相變材料代替傳統的單一相變材料, 相變 傳熱速度明顯提高,儲熱放熱速率的均勻性得到明顯改善。
1998 年,美國對氨礬和硝酸銨 二元相變材料體系進行研究, 並將其應用於太陽能熱水器。 王劍峰等對使用組合相變材料儲 能系統的相變傳熱過程進行了研究,通過對具有 3 層同心環形組合相變材料儲能裝置的實驗, 研究發現這種裝置的相變時間比採用單一相變材料縮短 37 %以上。Gong ZhenXiang 等對用 2 種以上相變材料進行組合以提高儲能系統可用能效率進行了理論分析,認為只要選用合適 的相變材料進行組合,儲能系統的可用能效率可隨相變材料種類的增加而提高。
此外,膠囊封裝技術、翅管強化傳熱和金屬填料等均能有效地提高相變材料的導熱率。 M.N.Hawlader et al.用復凝聚法,以阿拉伯樹膠和明膠為壁材,石蠟為芯材,製成了直徑在 微米量級的相變儲能微膠囊, 該相變材料相變潛熱在 145~240J/g 之間, 相變溫度在 50~60℃ 之間, 在熱力循環過程中表現出較好的力學性質和儲熱能力, 是一種很有發展潛力的太陽能 儲能材料。Choi 和 Kim 研究了在雙翅片管內 CaCl?6H2O 的傳熱速率特徵曲線,其傳熱速率 系數是光滑管的 3.5 倍。郭茶秀等提出了採用鋁片強化太陽能熱力發電系統高溫相變儲能系 統傳熱性能, 要求儲能系統在無日照時能盡快釋放出相變熱,以產生蒸汽, 並用 fluent 軟體模 擬了該系統在釋能過程中的瞬態二維傳熱過程,計算結果表明,增加鋁片能有效強化高溫相變 儲能系統傳熱性能。 化學反應儲存是利用化學反應的反應熱的形式來進行儲熱,具有儲能密度高,可長期儲 存等優點。用於貯熱的化學反應必須滿足:反應可逆性好,無副反應;反應迅速;反應生成 物易分離且能穩定貯存;反應物和生成物無毒、無腐蝕、無可燃性;反應熱大,反應物價格 低等條件。
1988 年,美國太陽能研究中心指出,化學反應儲熱是一種非常有潛力的太陽能高溫儲熱 方式,而且成本又可能降低到相對較低的水平。Brown et al.採用 CaO 與 H2O,進行了小規 模的儲熱試驗研究,指出化學反應儲熱系統約束條件苛刻,價格偏貴,但認為氫氧化物與氧 化物之間的熱化學反應將是化學反應儲熱的潛在對象。
澳大利亞國立大學提出一種儲存太陽 能的方式叫做「氨閉合迴路熱化學過程」,在這個系統里,氨吸熱太陽能分解成氫與氮,儲存 太陽能,然後在一定條件下進行放熱反應,重新生成氨,同時放出熱量。 天然氣的太陽能熱化學重整是使低鏈烴 CH4 與 H2O 或 CO2 發生反應, 重整後的產物主要 是 CO 和 H2 的混合物,太陽能通過吸熱的化學反應儲存為燃料的化學能,反應產物(混合 氣)的熱值得以提升。以色列摩西?萊維教授領導的一個科研小組,利用水和甲烷作為「太陽 能倉庫」來儲存太陽能。
他們在陽光充足的地方建了一座高 54 米的高塔,在塔內裝上甲烷和 水,當塔內溫度加熱到 872℃時,塔中的 CH4 和水蒸氣開始發生化學反應,變為 CO 和 H2, 同時吸收大量的熱能,使其中所含的能量比 CH4 高出 30%。但是由於太陽能甲烷重整需要 800~1000℃的高溫, 對重整器要求很高, 同時需要龐大的定日鏡場, 不利於工程應用。
為此, Hui Hong et al.提出了中溫太陽能裂解甲醇的動力系統,系統中太陽能化學反應裝置是通過 地聚光比的拋物槽式集熱器,聚集中溫太陽熱能與碳氫燃料熱解或重整的熱化學反應相結 合, 將中低溫太陽能提升為高品位的燃料化學能, 從而實現了低品位太陽能的高效能量轉換 與儲存。 此外,有別於以反應熱的形式儲存太陽能,降冰片二烯類化合物作為儲能材料得到了廣 泛的研究。紫外光照射下, 降冰片二烯類化合物發生雙烯環加成反應,轉化為它的光異構體, 太陽能以張力能的形式儲存起來,在加熱或催化劑或另一種波長的紫外光的照射下,又逆轉 為降冰片二烯類化合物,同時張力能以熱的形式釋放出來,這一轉化方式有效地實現了太陽 能的儲存與轉化。
⑷ 如何使用windows性能監視器監控磁碟性能
Windows性能計數器--磁碟性能分析Disk
Physical Disk:
單次IO大小
Avg.Disk Bytes/Read
Avg.Disk Bytes/Write
IO響應時間
Avg.Disk sec/Read
Avg.Disk sec/Write
IOPS
DiskReads/sec
DiskWrites/sec
DiskTransfers/sec
IO吞吐率
DiskBytes/sec
DiskRead Bytes/sec
DiskWrite Bytes/sec
磁碟有兩個重要的參數:Seek time、Rotational latency。
正常的I/O計數為:①1000/(Seek time+Rotational latency)*0.75,在此范圍內屬正常。當達到85%的I/O計數以上時則基本認為已經存在I/O瓶頸。理論情況下,磁碟的隨機讀計數為125、 順序讀計數為225。對於數據文件而言是隨機讀寫,日誌文件是順序讀寫。因此,數據文件建議存放於RAID5上,而日誌文件存放於RAID10或 RAID1中。
附:
15000 RPM:150隨機IOPS
10000 RPM:110隨機IOPS
5400 RPM:50隨機IOPS
下面假設在有4塊硬碟的RAID5中觀察到的Physical Disk性能對象的部分值:
Avg. DiskQueue Length 12 隊列長度
Avg. DiskSec/Read .035 讀數據所用時間ms
Avg. DiskSec/Write .045 寫數據所用時間ms
DiskReads/sec 320 每秒讀數據量
DiskWrites/sec 100 每秒寫數據量
Avg. DiskQueue Length,12/4=3,每塊磁碟的平均隊列建議不超過2。
Avg. DiskSec/Read一般不要超過11~15ms。
Avg. DiskSec/Write一般建議小於12ms。
從上面的結果,我們看到磁碟本身的I/O能力是滿足我們的要求的,原因是因為有大量的請求才導致隊列等待,這很可能是因為你的SQL語句導致大量的表掃描所致。在進行優化後,如果還是不能達到要求,下面的公式可以幫助你計算使用幾塊硬碟可以滿足這樣的並發要求:
Raid 0 -- I/Os per disk = (reads +writes) / number of disks
Raid 1 -- I/Os per disk = [reads +(2 * writes)] / 2
Raid 5 -- I/Os per disk = [reads +(4 * writes)] / number of disks
Raid 10 -- I/Os per disk = [reads +(2 * writes)] / number of disks
我們得到的結果是:(320+400)/4=180,這時你可以根據公式①來得到磁碟的正常I/O值。假設現在正常I/O計數為125,為了達到這個結果:720/125=5.76。就是說要用6塊磁碟才能達到這樣的要求。
但是上面的Disk Reads/sec和Disk Writes/sec是個很難正確估算的值。因此只能在系統比較忙時,大概估算一個平均值,作為計算公式的依據。另一個是你很難從客戶那裡得到Seek time、 Rotational latency參數的值,這也只能用理論值125進行計算。
前言
作為一個資料庫管理員,關注系統的性能是日常最重要的工作之一,而在所關注的各方面的性能只能IO性能卻是最令人頭痛的一塊,面對著各種生澀的參數和令人眼花繚亂的新奇的術語,再加上存儲廠商的忽悠,總是讓我們有種雲里霧里的感覺。本系列文章試圖從基本概念開始對磁碟存儲相關的各種概念進行綜合歸納,讓大家能夠對IO性能相關的基本概念,IO性能的監控和調整有個比較全面的了解。
在這一部分里我們先舍棄各種結構復雜的存儲系統,直接研究一個單獨的磁碟的性能問題,藉此了解各個衡量IO系統系能的各個指標以及之間的關系。
幾個基本的概念
在研究磁碟性能之前我們必須先了解磁碟的結構,以及工作原理。不過在這里就不再重復說明了,關系硬碟結構和工作原理的信息可以參考維基網路上面的相關詞條——Hard disk drive(英文)和硬碟驅動器(中文)。
讀寫IO(Read/Write IO)操作
磁碟是用來給我們存取數據用的,因此當說到IO操作的時候,就會存在兩種相對應的操作,存數據時候對應的是寫IO操作,取數據的時候對應的是讀IO操作。
單個IO操作
當控制磁碟的控制器接到操作系統的讀IO操作指令的時候,控制器就會給磁碟發出一個讀數據的指令,並同時將要讀取的數據塊的地址傳遞給磁碟,然後磁碟會將讀取到的數據傳給控制器,並由控制器返回給操作系統,完成一個寫IO的操作;同樣的,一個寫IO的操作也類似,控制器接到寫的IO操作的指令和要寫入的數據,並將其傳遞給磁碟,磁碟在數據寫入完成之後將操作結果傳遞回控制器,再由控制器返回給操作系統,完成一個寫IO的操作。單個IO操作指的就是完成一個寫IO或者是讀IO的操作。
隨機訪問(Random Access)與連續訪問(Sequential Access)
隨機訪問指的是本次IO所給出的扇區地址和上次IO給出扇區地址相差比較大,這樣的話磁頭在兩次IO操作之間需要作比較大的移動動作才能重新開始讀/寫數據。相反的,如果當次IO給出的扇區地址與上次IO結束的扇區地址一致或者是接近的話,那磁頭就能很快的開始這次IO操作,這樣的多個IO操作稱為連續訪問。因此盡管相鄰的兩次IO操作在同一時刻發出,但如果它們的請求的扇區地址相差很大的話也只能稱為隨機訪問,而非連續訪問。
順序IO模式(Queue Mode)/並發IO模式(BurstMode)
磁碟控制器可能會一次對磁碟組發出一連串的IO命令,如果磁碟組一次只能執行一個IO命令時稱為順序IO;當磁碟組能同時執行多個IO命令時,稱為並發IO。並發IO只能發生在由多個磁碟組成的磁碟組上,單塊磁碟只能一次處理一個IO命令。
單個IO的大小(IO ChunkSize)
熟悉資料庫的人都會有這么一個概念,那就是資料庫存儲有個基本的塊大小(Block Size),不管是SQL Server還是Oracle,默認的塊大小都是8KB,就是資料庫每次讀寫都是以8k為單位的。那麼對於資料庫應用發出的固定8k大小的單次讀寫到了寫磁碟這個層面會是怎麼樣的呢,就是對於讀寫磁碟來說單個IO操作操作數據的大小是多少呢,是不是也是一個固定的值?答案是不確定。首先操作系統為了提高 IO的性能而引入了文件系統緩存(File System Cache),系統會根據請求數據的情況將多個來自IO的請求先放在緩存裡面,然後再一次性的提交給磁碟,也就是說對於資料庫發出的多個8K數據塊的讀操作有可能放在一個磁碟讀IO里就處理了。還有對於有些存儲系統也是提供了緩存(Cache)的,接收到操作系統的IO請求之後也是會將多個操作系統的 IO請求合並成一個來處理。不管是操作系統層面的緩存還是磁碟控制器層面的緩存,目的都只有一個,提高數據讀寫的效率。因此每次單獨的IO操作大小都是不一樣的,它主要取決於系統對於數據讀寫效率的判斷。
當一次IO操作大小比較小的時候我們成為小的IO操作,比如說1K,4K,8K這樣的;當一次IO操作的數據量比較的的時候稱為大IO操作,比如說32K,64K甚至更大。
在我們說到塊大小(Block Size)的時候通常我們會接觸到多個類似的概念,像我們上面提到的那個在資料庫裡面的數據最小的管理單位,Oralce稱之為塊(Block),大小一般為8K,SQL Server稱之為頁(Page),一般大小也為8k。在文件系統裡面我們也能碰到一個文件系統的塊,在現在很多的Linux系統中都是4K(通過 /usr/bin/time -v可以看到),它的作用其實跟資料庫裡面的塊/頁是一樣的,都是為了方便數據的管理。但是說到單次IO的大小,跟這些塊的大小都是沒有直接關系的,在英文里單次IO大小通常被稱為是IO Chunk Size,不會說成是IO Block Size的。
IOPS(IO per Second)
IOPS,IO系統每秒所執行IO操作的次數,是一個重要的用來衡量系統IO能力的一個參數。對於單個磁碟組成的IO系統來說,計算它的IOPS不是一件很難的事情,只要我們知道了系統完成一次IO所需要的時間的話我們就能推算出系統IOPS來。
現在我們就來推算一下磁碟的IOPS,假設磁碟的轉速(Rotational Speed)為15K RPM,平均尋道時間為5ms,最大傳輸速率為40MB/s(這里將讀寫速度視為一樣,實際會差別比較大)。
對於磁碟來說一個完整的IO操作是這樣進行的:當控制器對磁碟發出一個IO操作命令的時候,磁碟的驅動臂(ActuatorArm)帶讀寫磁頭(Head)離開著陸區(LandingZone,位於內圈沒有數據的區域),移動到要操作的初始數據塊所在的磁軌(Track)的正上方,這個過程被稱為定址(Seeking),對應消耗的時間被稱為定址時間(SeekTime);但是找到對應磁軌還不能馬上讀取數據,這時候磁頭要等到磁碟碟片(Platter)旋轉到初始數據塊所在的扇區(Sector)落在讀寫磁頭正上方的之後才能開始讀取數據,在這個等待碟片旋轉到可操作扇區的過程中消耗的時間稱為旋轉延時(RotationalDelay);接下來就隨著碟片的旋轉,磁頭不斷的讀/寫相應的數據塊,直到完成這次IO所需要操作的全部數據,這個過程稱為數據傳送(DataTransfer),對應的時間稱為傳送時間(TransferTime)。完成這三個步驟之後一次IO操作也就完成了。
在我們看硬碟廠商的宣傳單的時候我們經常能看到3個參數,分別是平均定址時間、碟片旋轉速度以及最大傳送速度,這三個參數就可以提供給我們計算上述三個步驟的時間。
第一個定址時間,考慮到被讀寫的數據可能在磁碟的任意一個磁軌,既有可能在磁碟的最內圈(定址時間最短),也可能在磁碟的最外圈(定址時間最長),所以在計算中我們只考慮平均定址時間,也就是磁碟參數中標明的那個平均定址時間,這里就採用當前最多的10krmp硬碟的5ms。
第二個旋轉延時,和定址一樣,當磁頭定位到磁軌之後有可能正好在要讀寫扇區之上,這時候是不需要額外額延時就可以立刻讀寫到數據,但是最壞的情況確實要磁碟旋轉整整一圈之後磁頭才能讀取到數據,所以這里我們也考慮的是平均旋轉延時,對於10krpm的磁碟就是(60s/15k)*(1/2)= 2ms。
第三個傳送時間,磁碟參數提供我們的最大的傳輸速度,當然要達到這種速度是很有難度的,但是這個速度卻是磁碟純讀寫磁碟的速度,因此只要給定了單次IO的大小,我們就知道磁碟需要花費多少時間在數據傳送上,這個時間就是IOChunk Size / Max Transfer Rate。
現在我們就可以得出這樣的計算單次IO時間的公式:
IO Time = Seek Time + 60 sec/Rotational Speed/2 + IO ChunkSize/Transfer Rate
於是我們可以這樣計算出IOPS
IOPS = 1/IO Time = 1/(Seek Time + 60 sec/Rotational Speed/2 + IOChunk Size/Transfer Rate)
對於給定不同的IO大小我們可以得出下面的一系列的數據
4K (1/7.1 ms = 140 IOPS)
5ms + (60sec/15000RPM/2) + 4K/40MB = 5 + 2 + 0.1 = 7.1
8k (1/7.2 ms = 139 IOPS)
5ms + (60sec/15000RPM/2) + 8K/40MB = 5 + 2 + 0.2 = 7.2
16K (1/7.4 ms = 135 IOPS)
5ms + (60sec/15000RPM/2) + 16K/40MB = 5 + 2 + 0.4 = 7.4
32K (1/7.8 ms = 128 IOPS)
5ms + (60sec/15000RPM/2) + 32K/40MB = 5 + 2 + 0.8 = 7.8
64K (1/8.6 ms = 116 IOPS)
5ms + (60sec/15000RPM/2) + 64K/40MB = 5 + 2 + 1.6 = 8.6
從上面的數據可以看出,當單次IO越小的時候,單次IO所耗費的時間也越少,相應的IOPS也就越大。
上面我們的數據都是在一個比較理想的假設下得出來的,這里的理想的情況就是磁碟要花費平均大小的定址時間和平均的旋轉延時,這個假設其實是比較符合我們實際情況中的隨機讀寫,在隨機讀寫中,每次IO操作的定址時間和旋轉延時都不能忽略不計,有了這兩個時間的存在也就限制了IOPS的大小。現在我們考慮一種相對極端的順序讀寫操作,比如說在讀取一個很大的存儲連續分布在磁碟的文件,因為文件的存儲的分布是連續的,磁頭在完成一個讀IO操作之後,不需要從新的定址,也不需要旋轉延時,在這種情況下我們能到一個很大的IOPS值,如下
4K (1/0.1 ms = 10000 IOPS)
0ms + 0ms + 4K/40MB = 0.1
8k (1/0.2 ms = 5000 IOPS)
0ms + 0ms + 8K/40MB = 0.2
16K (1/0.4 ms = 2500 IOPS)
0ms + 0ms + 16K/40MB = 0.4
32K (1/0.8 ms = 1250 IOPS)
0ms + 0ms + 32K/40MB = 0.8
64K (1/1.6 ms = 625 IOPS)
0ms + 0ms + 64K/40MB = 1.6
相比第一組數據來說差距是非常的大的,因此當我們要用IOPS來衡量一個IO系統的系能的時候我們一定要說清楚是在什麼情況的IOPS,也就是要說明讀寫的方式以及單次IO的大小,當然在實際當中,特別是在OLTP的系統的,隨機的小IO的讀寫是最有說服力的。
傳輸速度(Transfer Rate)/吞吐率(Throughput)
現在我們要說的傳輸速度(另一個常見的說法是吞吐率)不是磁碟上所表明的最大傳輸速度或者說理想傳輸速度,而是磁碟在實際使用的時候從磁碟系統匯流排上流過的數據量。有了IOPS數據之後我們是很容易就能計算出對應的傳輸速度來的
Transfer Rate = IOPS * IO Chunk Size
還是那上面的第一組IOPS的數據我們可以得出相應的傳輸速度如下
4K: 140 * 4K = 560K / 40M = 1.36%
8K: 139 * 8K = 1112K / 40M = 2.71%
16K: 135 * 16K = 2160K / 40M = 5.27%
32K: 116 * 32K = 3712K / 40M = 9.06%
可以看出實際上的傳輸速度是很小的,對匯流排的利用率也是非常的小。
這里一定要明確一個概念,那就是盡管上面我們使用IOPS來計算傳輸速度,但是實際上傳輸速度和IOPS是沒有直接關系,在沒有緩存的情況下它們共同的決定因素都是對磁碟系統的訪問方式以及單個IO的大小。對磁碟進行隨機訪問時候我們可以利用IOPS來衡量一個磁碟系統的性能,此時的傳輸速度不會太大;但是當對磁碟進行連續訪問時,此時的IOPS已經沒有了參考的價值,這個時候限制實際傳輸速度卻是磁碟的最大傳輸速度。因此在實際的應用當中,只會用IOPS 來衡量小IO的隨機讀寫的性能,而當要衡量大IO連續讀寫的性能的時候就要採用傳輸速度而不能是IOPS了。
IO響應時間(IOResponse Time)
最後來關注一下能直接描述IO性能的IO響應時間。IO響應時間也被稱為IO延時(IOLatency),IO響應時間就是從操作系統內核發出的一個讀或者寫的IO命令到操作系統內核接收到IO回應的時間,注意不要和單個IO時間混淆了,單個IO時間僅僅指的是IO操作在磁碟內部處理的時間,而IO響應時間還要包括IO操作在IO等待隊列中所花費的等待時間。
計算IO操作在等待隊列裡面消耗的時間有一個衍生於利托氏定理(Little』sLaw)的排隊模型M/M/1模型可以遵循,由於排隊模型演算法比較復雜,到現在還沒有搞太明白(如果有誰對M/M/1模型比較精通的話歡迎給予指導),這里就羅列一下最後的結果,還是那上面計算的IOPS數據來說:
8K IO Chunk Size (135 IOPS, 7.2 ms)
135 => 240.0 ms
105 => 29.5 ms
75 => 15.7 ms
45 => 10.6 ms
64K IO Chunk Size(116 IOPS, 8.6 ms)
135 => 沒響應了……
105 => 88.6 ms
75 => 24.6 ms
45 => 14.6 ms
從上面的數據可以看出,隨著系統實際IOPS越接近理論的最大值,IO的響應時間會成非線性的增長,越是接近最大值,響應時間就變得越大,而且會比預期超出很多。一般來說在實際的應用中有一個70%的指導值,也就是說在IO讀寫的隊列中,當隊列大小小於最大IOPS的70%的時候,IO的響應時間增加會很小,相對來說讓人比較能接受的,一旦超過70%,響應時間就會戲劇性的暴增,所以當一個系統的IO壓力超出最大可承受壓力的70%的時候就是必須要考慮調整或升級了。
另外補充說一下這個70%的指導值也適用於CPU響應時間,這也是在實踐中證明過的,一旦CPU超過70%,系統將會變得受不了的慢。很有意思的東西。
從上一篇文章的計算中我們可以看到一個15k轉速的磁碟在隨機讀寫訪問的情況下IOPS竟然只有140左右,但在實際應用中我們卻能看到很多標有5000IOPS甚至更高的存儲系統,有這么大IOPS的存儲系統怎麼來的呢?這就要歸結於各種存儲技術的使用了,在這些存儲技術中使用最廣的就是高速緩存(Cache)和磁碟冗餘陣列(RAID)了,本文就將探討緩存和磁碟陣列提高存儲IO性能的方法。
高速緩存(Cache)
在當下的各種存儲產品中,按照速度從快到慢應該就是內存>快閃記憶體>磁碟>磁帶了,然而速度越快也就意味著價格越高,快閃記憶體雖然說是發展勢頭很好,但目前來說卻還是因為價格問題無法普及,因此現在還是一個磁碟作霸王的時代。與CPU和內存速度相比,磁碟的速度無疑是計算機系統中最大的瓶頸了,所以在必須使用磁碟而又想提高性能的情況下,人們想出了在磁碟中嵌入一塊高速的內存用來保存經常訪問的數據從而提高讀寫效率的方法來折中的解決,這塊嵌入的內存就被稱為高速緩存。
說到緩存,這東西應用現在已經是無處不在,從處於上層的應用,到操作系統層,再到磁碟控制器,還有CPU內部,單個磁碟的內部也都存在緩存,所有這些緩存存在的目的都是相同的,就是提高系統執行的效率。當然在這里我們只關心跟IO性能相關的緩存,與IO性能直接相關的幾個緩存分別是文件系統緩存(FileSystem Cache)、磁碟控制器緩存(DiskController Cache)和磁碟緩存(DiskCache,也稱為DiskBuffer),不過當在計算一個磁碟系統性能的時候文件系統緩存也是不會考慮在內的,因此我們重點考察的就是磁碟控制器緩存和磁碟緩存。
不管是控制器緩存還是磁碟緩存,他們所起的作用主要是分為三部分:緩存數據、預讀(Read-ahead)和回寫(Write-back)。
緩存數據
首先是系統讀取過的數據會被緩存在高速緩存中,這樣下次再次需要讀取相同的數據的時候就不用在訪問磁碟,直接從緩存中取數據就可以了。當然使用過的數據也不可能在緩存中永久保留的,緩存的數據一般那是採取LRU演算法來進行管理,目的是將長時間不用的數據清除出緩存,那些經常被訪問的卻能一直保留在緩存中,直到緩存被清空。
預讀
預讀是指採用預讀演算法在沒有系統的IO請求的時候事先將數據從磁碟中讀入到緩存中,然後在系統發出讀IO請求的時候,就會實現去檢查看看緩存裡面是否存在要讀取的數據,如果存在(即命中)的話就直接將結果返回,這時候的磁碟不再需要定址、旋轉等待、讀取數據這一序列的操作了,這樣是能節省很多時間的;如果沒有命中則再發出真正的讀取磁碟的命令去取所需要的數據。
緩存的命中率跟緩存的大小有很大的關系,理論上是緩存越大的話,所能緩存的數據也就越多,這樣命中率也自然越高,當然緩存不可能太大,畢竟成本在那兒呢。如果一個容量很大的存儲系統配備了一個很小的讀緩存的話,這時候問題會比較大的,因為小緩存的數據量非常小,相比整個存儲系統來說比例非常低,這樣隨機讀取(資料庫系統的大多數情況)的時候命中率也自然就很低,這樣的緩存不但不能提高效率(因為絕大部分讀IO都還要讀取磁碟),反而會因為每次去匹配緩存而浪費時間。
執行讀IO操作是讀取數據存在於緩存中的數量與全部要讀取數據的比值稱為緩存命中率(ReadCache Hit Radio),假設一個存儲系統在不使用緩存的情況下隨機小IO讀取能達到150IOPS,而它的緩存能提供10%的緩存命中率的話,那麼實際上它的IOPS可以達到150/(1-10%)=166。
回寫
首先說一下,用於回寫功能的那部分緩存被稱為寫緩存(WriteCache)。在一套寫緩存打開的存儲中,操作系統所發出的一系列寫IO命令並不會被挨個的執行,這些寫IO的命令會先寫入緩存中,然後再一次性的將緩存中的修改推到磁碟中,這就相當於將那些相同的多個IO合並成一個,多個連續操作的小IO合並成一個大的IO,還有就是將多個隨機的寫IO變成一組連續的寫IO,這樣就能減少磁碟定址等操作所消耗的時間,大大的提高磁碟寫入的效率。
讀緩存雖然對效率提高是很明顯的,但是它所帶來的問題也比較嚴重,因為緩存和普通內存一樣,掉點以後數據會全部丟失,當操作系統發出的寫IO命令寫入到緩存中後即被認為是寫入成功,而實際上數據是沒有被真正寫入磁碟的,此時如果掉電,緩存中的數據就會永遠的丟失了,這個對應用來說是災難性的,目前解決這個問題最好的方法就是給緩存配備電池了,保證存儲掉電之後緩存數據能如數保存下來。
和讀一樣,寫緩存也存在一個寫緩存命中率(WriteCache Hit Radio),不過和讀緩存命中情況不一樣的是,盡管緩存命中,也不能將實際的IO操作免掉,只是被合並了而已。
控制器緩存和磁碟緩存除了上面的作用之外還承當著其他的作用,比如磁碟緩存有保存IO命令隊列的功能,單個的磁碟一次只能處理一個IO命令,但卻能接收多個IO命令,這些進入到磁碟而未被處理的命令就保存在緩存中的IO隊列中。
RAID(Rendant Array Of InexpensiveDisks)
如果你是一位資料庫管理員或者經常接觸伺服器,那對RAID應該很熟悉了,作為最廉價的存儲解決方案,RAID早已在伺服器存儲中得到了普及。在RAID的各個級別中,應當以RAID10和RAID5(不過RAID5已經基本走到頭了,RAID6正在崛起中,看看這里了解下原因)應用最廣了。下面將就RAID0,RAID1,RAID5,RAID6,RAID10這幾種級別的RAID展開說一下磁碟陣列對於磁碟性能的影響,當然在閱讀下面的內容之前你必須對各個級別的RAID的結構和工作原理要熟悉才行,這樣才不至於滿頭霧水,推薦查看wikipedia上面的如下條目:RAID,StandardRAID levels,Nested RAID levels。
⑸ 企業區域網前言怎麼寫
某大型企業區域網安全解決方案
前言:
這是我為某大型企業寫一份區域網安全解決方案建議書。本來這是不應該公開的,但是由於種種原因未能被採納,所以也沒什麼大礙,現在拿出來給大家當作是一份參考資料,寫的不好多多指教。文章是讓大家參考的,不是讓大家翻錄的
第一章 總則
本方案為某大型區域網網路安全解決方案,包括原有網路系統分析、安全需求分析、安全目標的確立、安全體系結構的設計、等。本安全解決方案的目標是在不影響某大型企業區域網當前業務的前提下,實現對他們區域網全面的安全管理。
發送電子郵件等;
2.3 網路結構的特點
在分析這個企業區域網的安全風險時,應考慮到網路的如下幾個特點:
1.網路與Internet直接連結,因此在進行安全方案設計時要考慮與Internet連結的有關風險,包括可能通過Internet傳播進來病毒,黑客攻擊,來自Internet的非授權訪問等。
。
2.網路中存在公開伺服器,由於公開伺服器對外必須開放部分業務,因此在進行安全方案設計時應該考慮採用安全伺服器網路,避免公開伺服器的安全風險擴散到內部。
3.內部網路中存在許多不同的子網,不同的子網有不同的安全性,因此在進行安全方案設計時,應考慮將不同功能和安全級別的網路分割開,這可以通過交換機劃分VLAN來實現。
4.網路中有二台應用伺服器,在應用程序開發時就應考慮加強用戶登錄驗證,防止非授權的訪問。
總而言之,在進行網路方案設計時,應綜合考慮到這個企業區域網的特點,根據產品的性能、價格、潛在的安全風險進行綜合考慮。
第三章 網路系統安全風險分析
隨著Internet網路急劇擴大和上網用戶迅速增加,風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統,引起大范圍的癱瘓和損失;另外加上缺乏安全控制機制和對Internet安全政策的認識不足,這些風險正日益嚴重。
針對這個企業區域網中存在的安全隱患,在進行安全方案設計時,下述安全風險我們必須要認真考慮,並且要針對面臨的風險,採取相應的安全措施。下述風險由多種因素引起,與這個企業區域網結構和系統的應用、區域網內網路伺服器的可靠性等因素密切相關。下面列出部分這類風險因素:
網路安全可以從以下三個方面來理解:1 網路物理是否安全;2 網路平台是否安全;3 系統是否安全;4 應用是否安全;5 管理是否安全。針對每一類安全風險,結合這個企業區域網的實際情況,我們將具體的分析網路的安全風險。
3.1物理安全風險分析
網路的物理安全的風險是多種多樣的。
網路的物理安全主要是指地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬體、雙機多冗餘的設計、機房環境及報警系統、安全意識等。它是整個網路系統安全的前提,在這個企業區區域網內,由於網路的物理跨度不大,,只要制定健全的安全管理制度,做好備份,並且加強網路設備和機房的管理,這些風險是可以避免的。
3.2網路平台的安全風險分析
網路結構的安全涉及到網路拓撲結構、網路路由狀況及網路的環境等。
公開伺服器面臨的威脅
這個企業區域網內公開伺服器區(WWW、EMAIL等伺服器)作為公司的信息發布平台,一旦不能運行後者受到攻擊,對企業的聲譽影響巨大。同時公開伺服器本身要為外界服務,必須開放相應的服務;每天,黑客都在試圖闖入Internet節點,這些節點如果不保持警惕,可能連黑客怎麼闖入的都不知道,甚至會成為黑客入侵其他站點的跳板。因此,規模比較大網路的管理人員對Internet安全事故做出有效反應變得十分重要。我們有必要將公開伺服器、內部網路與外部網路進行隔離,避免網路結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其他的請求服務在到達主機之前就應該遭到拒絕。
整個網路結構和路由狀況
安全的應用往往是建立在網路系統之上的。網路系統的成熟與否直接影響安全系統成功的建設。在這個企業區域網絡系統中,只使用了一台路由器,用作與Internet連結的邊界路由器,網路結構相對簡單,具體配置時可以考慮使用靜態路由,這就大大減少了因網路結構和網路路由造成的安全風險。
3.3系統的安全風險分析
所謂系統的安全顯而易見是指整個區域網網路操作系統、網路硬體平台是否可靠且值得信任。
網路操作系統、網路硬體平台的可靠性:對於中國來說,恐怕沒有絕對安全的操作系統可以選擇,無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統,其開發廠商必然有其Back-Door。我們可以這樣講:沒有完全安全的操作系統。但是,我們可以對現有的操作平台進行安全配置、對操作和訪問許可權進行嚴格控制,提高系統的安全性。因此,不但要選用盡可能可靠的操作系統和硬體平台。而且,必須加強登錄過程的認證(特別是在到達伺服器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。
3.4應用的安全風險分析
應用系統的安全跟具體的應用有關,它涉及很多方面。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。
應用系統的安全動態的、不斷變化的:應用的安全涉及面很廣,以目前Internet上應用最為廣泛的E-mail系統來說,其解決方案有幾十種,但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發現的,因此一套詳盡的測試軟體是相當必須的。但是應用系統是不斷發展且應用類型是不斷增加的,其結果是安全漏洞也是不斷增加且隱藏越來越深。因此,保證應用系統的安全也是一個隨網路發展不斷完善的過程。
應用的安全性涉及到信息、數據的安全性:信息的安全性涉及到:機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。由於這個企業區域網跨度不大,絕大部分重要信息都在內部傳遞,因此信息的機密性和完整性是可以保證的。對於有些特別重要的信息需要對內部進行保密的(比如領導子網、財務系統傳遞的重要信息)可以考慮在應用級進行加密,針對具體的應用直接在應用系統開發時進行加密。
3.5管理的安全風險分析
管理是網路安全中最重要的部分
管理是網路中安全最最重要的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。
當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的結合。
3.6黑客攻擊
黑客們的攻擊行動是無時無刻不在進行的,而且會利用系統和管理上的一切可能利用的漏洞。公開伺服器存在漏洞的一個典型例證,是黑客可以輕易地騙過公開伺服器軟體,得到Unix的口令文件並將之送回。黑客侵入UNIX伺服器後,有可能修改特權,從普通用戶變為高級用戶,一旦成功,黑客可以直接進入口令文件。黑客還能開發欺騙程序,將其裝入UNIX伺服器中,用以監聽登錄會話。當它發現有用戶登錄時,便開始存儲一個文件,這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客,需要設置公開伺服器,使得它不離開自己的空間而進入另外的目錄。另外,還應設置組特權,不允許任何使用公開伺服器的人訪問WWW頁面文件以外的東西。在這個企業的區域網內我們可以綜合採用防火牆技術、Web頁面保護技術、入侵檢測技術、安全評估技術來保護網路內的信息資源,防止黑客攻擊。
3.7通用網關介面(CGI)漏洞
有一類風險涉及通用網關介面(CGI)腳本。許多頁面文件和指向其他頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過CGI腳本執行的方式實現的。黑客可以修改這些CGI腳本以執行他們的非法任務。通常,這些CGI腳本只能在這些所指WWW伺服器中尋找,但如果進行一些修改,他們就可以在WWW伺服器之外進行尋找。要防止這類問題發生,應將這些CGI腳本設置為較低級用戶特權。提高系統的抗破壞能力,提高伺服器備份與恢復能力,提高站點內容的防篡改與自動修復能力。
3.8惡意代碼
惡意代碼不限於病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經同意的軟體。應該加強對惡意代碼的檢測。
3.9病毒的攻擊
計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒,例如通過E-Mail傳播的病毒,增加了這種威脅的程度。病毒的種類和傳染方式也在增加,國際空間的病毒總數已達上萬甚至更多。當然,查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染,然而,下載可執行文件和接收來歷不明的E-Mail文件需要特別警惕,否則很容易使系統導致嚴重的破壞。典型的「CIH」病毒就是一可怕的例子。
3.10不滿的內部員工
不滿的內部員工可能在WWW站點上開些小玩笑,甚至破壞。不論如何,他們最熟悉伺服器、小程序、腳本和系統的弱點。對於已經離職的不滿員工,可以通過定期改變口令和刪除系統記錄以減少這類風險。但還有心懷不滿的在職員工,這些員工比已經離開的員工能造成更大的損失,例如他們可以傳出至關重要的信息、泄露安全重要信息、錯誤地進入資料庫、刪除數據等等。
3.11網路的攻擊手段
一般認為,目前對網路的攻擊手段主要表現在:
非授權訪問:沒有預先經過同意,就使用網路或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網路設備及資源進行非正常使用,或擅自擴大許可權,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
信息泄漏或丟失:指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如"黑客"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、帳號等重要信息。),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。
破壞數據完整性:以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。
拒絕服務攻擊:它不斷對網路服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網路系統或不能得到相應的服務。
利用網路傳播病毒:通過網路傳播計算機病毒,其破壞性大大高於單機系統,而且用戶很難防範。
第四章 安全需求與安全目標
4.1安全需求分析
通過前面我們對這個企業區域網絡結構、應用及安全威脅分析,可以看出其安全問題主要集中在對伺服器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此,我們必須採取相應的安全措施杜絕安全隱患,其中應該做到:
公開伺服器的安全保護
防止黑客從外部攻擊
入侵檢測與監控
信息審計與記錄
病毒防護
數據安全保護
數據備份與恢復
網路的安全管理
針對這個企業區域網絡系統的實際情況,在系統考慮如何解決上述安全問題的設計時應滿足如下要求:
1.大幅度地提高系統的安全性(重點是可用性和可控性);
2.保持網路原有的能特點,即對網路的協議和傳輸具有很好的透明性,能透明接入,無需更改網路設置;
3.易於操作、維護,並便於自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網路拓撲結構,同時便於系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分布實施。
4.2網路安全策略
安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。該安全策略模型包括了建立安全環境的三個重要組成部分,即:
威嚴的法律:安全的基石是社會法律、法規、與手段,這部分用於建立一套安全管理標准和方法。即通過建立與信息安全相關的法律、法規,使非法分子懾於法律,不敢輕舉妄動。
先進的技術:先進的安全技術是信息安全的根本保障,用戶對自身面臨的威脅進行風險評估,決定其需要的安全服務種類,選擇相應的安全機制,然後集成先進的安全技術。
嚴格的管理:各網路使用機構、企業和單位應建立相宜的信息安全管理辦法,加強內部管理,建立審計和跟蹤體系,提高整體信息安全意識。
4.3系統安全目標
基於以上的分析,我們認為這個區域網網路系統安全應該實現以下目標:
建立一套完整可行的網路安全與網路管理策略
將內部網路、公開伺服器網路和外網進行有效隔離,避免與外部網路的直接通信
建立網站各主機和伺服器的安全保護措施,保證他們的系統安全
對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕
加強合法用戶的訪問認證,同時將用戶的訪問許可權控制在最低限度
全面監視對公開伺服器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為
加強對各種訪問的審計工作,詳細記錄對網路、公開伺服器的訪問行為,形成完 整的系統日誌
備份與災難恢復——強化系統備份,實現系統快速恢復
加強網路安全管理,提高系統全體人員的網路安全意識和防範技術
第五章 網路安全方案總體設計
5.1安全方案設計原則
在對這個企業區域網網路系統安全方案設計、規劃時,應遵循以下原則:
綜合性、整體性原則:應用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網路安全體系結構。
需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容光煥發及措施,實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
分步實施原則:由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需求,亦可節省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
可評價性原則:如何預先評價一個安全設計並驗證其網路的安全性,這需要通過國家有關網路信息安全測評認證機構的評估來實現。
5.2安全服務、機制與技術
安全服務:安全服務主要有:控制服務、對象認證服務、可靠性服務等;
安全機制:訪問控制機制、認證機制等;
安全技術:防火牆技術、鑒別技術、審計監控技術、病毒防治技術等;在安全的開放環境中,用戶可以使用各種安全應用。安全應用由一些安全服務來實現;而安全服務又是由各種安全機制或安全技術來實現的。應當指出,同一安全機制有時也可以用於實現不同的安全服務。
第六章 網路安全體系結構
通過對網路的全面了解,按照安全策略的要求、風險分析的結果及整個網路的安全目標,整個網路措施應按系統體系建立。具體的安全控制系統由以下幾個方面組成:物理安全、網路安全、系統安全、信息安全、應用安全和安全管理
6.1物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提,物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 它主要包括三個方面:
環境安全:對系統所在環境的安全保護,如區域保護和災難保護;(參見國家標准GB50173-93《電子計算機機房設計規范》、國標GB2887-89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;
媒體安全:包括媒體數據的安全及媒體本身的安全。
在網路的安全方面,主要考慮兩個大的層次,一是整個網路結構成熟化,主要是優化網路結構,二是整個網路系統的安全。
6.2.1網路結構
安全系統是建立在網路系統之上的,網路結構的安全是安全系統成功建立的基礎。在整個網路結構的安全方面,主要考慮網路結構、系統和路由的優化。
網路結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網路維護管理、網路應用與業務定位等因素。成熟的網路結構應具有開放性、標准化、可靠性、先進性和實用性,並且應該有結構化的設計,充分利用現有資源,具有運營管理的簡便性,完善的安全保障體系。網路結構採用分層的體系結構,利於維護管理,利於更高的安全控制和業務發展。
網路結構的優化,在網路拓撲上主要考慮到冗餘鏈路;防火牆的設置和入侵檢測的實時監控等。
6.2.2網路系統安全
6.2.2.1 訪問控制及內外網的隔離
訪問控制
訪問控制可以通過如下幾個方面來實現:
1.制訂嚴格的管理制度:可制定的相應:《用戶授權實施細則》、《口令字及帳戶管理規范》、《許可權管理制度》。
2.配備相應的安全設備:在內部網與外部網之間,設置防火牆實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火牆設置在不同網路或網路安全域之間信息的唯一出入口。
防火牆主要的種類是包過濾型,包過濾防火牆一般利用IP和TCP包的頭信息對進出被保護網路的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網路的信息流。同時可實現網路地址轉換(NAT)、審記與實時告警等功能。由於這種防火牆安裝在被保護網路與路由器之間的通道上,因此也對被保護網路和外部網路起到隔離作用。
防火牆具有以下五大基本功能:過濾進、出網路的數據;管理進、出網路的訪問行為;封堵某些禁止的業務;記錄通過防火牆的信息內容和活動;對網路攻擊的檢測和告警。
6.2.2.2 內部網不同網路安全域的隔離及訪問控制
⑹ 幾種新型非易失性存儲器
關鍵詞: 非易失性存儲器;FeRAM;MRAM;OUM引言更高密度、更大帶寬、更低功耗、更短延遲時問、更低成本和更高可靠性是存儲器設計和製造者追求的永恆目標。根據這一目標,人們研究各種存儲技術,以滿足應用的需求。本文對目前幾種比較有競爭力和發展潛力的新型非易失性存儲器做了一個簡單的介紹。
圖1 MTJ元件結構示意圖鐵電存儲器(FeRAM)
鐵電存儲器是一種在斷電時不會丟失內容的非易失存儲器,具有高速、高密度、低功耗和抗輻射等優點。
當前應用於存儲器的鐵電材料主要有鈣鈦礦結構系列,包括PbZr1-xTixO3,SrBi2Ti2O9和Bi4-xLaxTi3O12等。鐵電存儲器的存儲原理是基於鐵電材料的高介電常數和鐵電極化特性,按工作模式可以分為破壞性讀出(DRO)和非破壞性讀出(NDRO)。DRO模式是利用鐵電薄膜的電容效應,以鐵電薄膜電容取代常規的存儲電荷的電容,利用鐵電薄膜的極化反轉來實現數據的寫入與讀取。鐵電隨機存取存儲器(FeRAM)就是基於DRO工作模式。這種破壞性的讀出後需重新寫入數據,所以FeRAM在信息讀取過程中伴隨著大量的擦除/重寫的操作。隨著不斷地極化反轉,此類FeRAM會發生疲勞失效等可靠性問題。目前,市場上的鐵電存儲器全部都是採用這種工作模式。
⑺ 計算機病毒防治產品評級准則的前言
為了保證和提高在我國銷售的計算機病毒防治產品的質量水平,有效地遏制計算機病毒對我國計算機信息系統的傳染和破壞,編制本標准。
本標准由公安部公共信息網路安全監察局提出。
本標准由公安部信息系統安全標准化技術委員會歸口。
本標准起草單位:天津市公安局計算機管理監察處、天津市質量監督檢驗站第70站。
本標准主要起草人:張健、王學海、劉傑、張雙橋、黃小蘇。 本標准規定了計算機病毒防治產品的定義、參檢要求、檢測及評級方法。
本標准適用於計算機病毒防治產品的檢測和評級。 下列標准所包含的條文,通過在本標准中引用而構成為本標準的條文。本標准出版時,所示版本均為有效。所有標准都會被修訂,使用本標準的各方應探討使用下列標准最新版本的可能性。
GA 135-1996 DOS操作系統環境中計算機病毒防治產品測試方法 本標准採用下列定義:
3.1計算機病毒(簡稱病毒)computer virus
是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據影響計算機使用,並能自我復制的一組計算機指令或者程序代碼。
3.2 變形病毒 polymorphic virus
這種病毒在傳染時變換自身的代碼,使得每感染一個病毒宿主,被感染的病毒宿主上的病毒代碼各不相同。
3.3檢測病毒 detecting virus
對於確定的測試環境,能夠准確地報出病毒名稱;該環境包括:內存、文件、扇區(引導區、主引導區)、網路等。
3.4 病毒檢測率rate of detecting virus
指對於一組確定的病毒樣本文件所能檢測到含有病毒的文件比例。
3.5 清除病毒cleaning virus
根據不同類型的病毒對感染對象的修改,並按照病毒的感染特性所進行的恢復,該恢復過程不能破壞未被病毒修改的內容。
3.6 病毒清除率 rate of cleaning virus
指對於檢驗機構的病毒樣本文件所能清除其中含有病毒的文件比例。
3.7誤報 false alarm
指病毒防治產品將正常系統或文件報為含有病毒,或將正常操作報為病毒行為。
3.8誤報率 rate of false alarm
指病毒防治產品將正常系統或文件報為含有病毒,或將正常操作報為病毒行為的比例。
3.9病毒宿主 virus host
病毒能夠感染的對象(如:文件、引導記錄區等)。
3.10文件型病毒 file virus
以文件為宿主或利用對文件的操作而載入執行的病毒。
3.11蠕蟲 worm
這種程序可以通過網路等途徑將自身的全部代碼或部分代碼復制、傳播給其它的計算機系統,它在復制、傳播時,不寄生於病毒宿主之中。
3.12 黑客程序 hacker program
這種程序可以通過網路等途徑進行傳播,一旦該種程序被運行,運行該程序的計算機系統可以被其它計算機系統,在未經授權的情況下通過網路對其系統和資源進行控制。
3.13 病毒樣本基本庫based set of virus sample
檢驗機構在國內所收集病毒、蠕蟲和黑客程序的集合。
3.14 流行病毒樣本庫set of prevalent virus sample
在檢驗間隔期內,由兩個以上不同地區的用戶或反病毒廠商提供的在國內出現過的病毒、蠕蟲和黑客程序,並由檢驗機構認證後的病毒集合。
3.15 特殊格式病毒樣本庫set of special format virus sample
將病毒樣本根據一定演算法,對其進行處理後所生成的新的病毒樣本,並且該新樣本還可以根據一定演算法還原為原始病毒樣本集合。如壓縮後的病毒樣本和使用某種編碼轉換後的病毒樣本。
3.16變形病毒樣本polymorphic virus sample
變形病毒要傳染10個病毒宿主(不足10個變形體,以實際數量為准),然後將這些病毒樣本組成該變形病毒的檢驗樣本。
3.17 病毒樣本庫 set of virus Sample
病毒樣本庫是指由病毒樣本基本庫、流行病毒樣本庫和特殊格式病毒樣本庫合並組成的病毒樣本庫。
3.18 防病毒能力capability of protecting virus
病毒防治產品預防病毒侵入或破壞計算機信息系統的能力。
3.19 應急恢復incident recovery
當用戶計算機系統因病毒感染或其它原因導致系統故障時,能夠進行系統信息的恢復,使用戶系統能夠正常使用。 受檢企業及其產品必需配合檢測工作。
4.1 檢驗周期
檢驗機構對病毒防治產品必須至少每年檢驗一次,同時,可以根據病毒的發展情況對病毒防治產品進行專項檢驗。
4.2 受檢企業
4.2.1 受檢企業必須提供其產品升級用的病毒樣本,否則不予檢驗。提供的病毒樣本必須是具有傳染性的活病毒。
4.2.2 受檢企業必須提供製作病毒樣本的病毒宿主,並提供包括病毒傳染條件、發作條件、發作現象和病毒其它特性的分析報告。
4.2.3 受檢企業必須提供其技術人員的組成和狀況。
4.3 受檢產品
受檢產品必須符合以下條件:
4.3.1 附有中文使用說明書。
4.3.2 其產品必須能夠生成檢驗項目(包括預防、檢測、清除病毒)的結果報告文件,硬體病毒防治產品除外。 5.1 測試指標
5.1.1 防病毒能力
病毒防治產品的防病毒能力應達到:
5.1.1.1 病毒樣本庫中的病毒樣本從以下途徑進入計算機系統時發出警報;
a) 存儲介質;
b) 網路;
c) 電子郵件;
5.1.1.2 設定滿足病毒傳染、發作的條件,然後激活病毒,病毒防治產品能夠阻止
病毒的傳播、破壞;
5.1.1.3 對病毒入侵情況記錄到報告文件;
5.1.1.4 網路產品在發現病毒時應通知網路管理員或用戶;
5.1.2 病毒檢測分級指標
5.1.2.1 合格產品檢測病毒率應達到:
對病毒樣本基本庫至少能檢測其中的85% ;
對流行病毒樣本庫至少能檢測其中的90%;
對特殊格式病毒樣本庫至少能檢測其中的80%;
5.1.2.2 二級產品檢測病毒率應達到:
對病毒樣本基本庫至少能檢測其中的90% ;
對流行病毒樣本庫至少能檢測其中的95%;
對特殊格式病毒樣本庫至少能檢測其中的85%;
5.1.2.3 一級產品檢測病毒率應達到:
對病毒樣本基本庫至少能檢測其中的95% ;
對流行病毒樣本庫至少能檢測其中的98%;
對特殊格式病毒樣本庫至少能檢測其中的95%;
5.1.3 病毒清除指標
5.1.3.1 能夠恢復病毒宿主功能的,一定要恢復病毒宿主的功能,且使病毒喪失其原有功能;
5.1.3.2 不能恢復病毒宿主功能的,若可以重新生成病毒宿主,則重新生成病毒宿主,否則提示刪除帶毒宿主。
5.1.3.3 清除病毒時,具有備份染毒宿主的功能;
5.1.4 病毒清除分級指標
5.1.4.1 合格產品病毒清除率應達到以下指標:
對病毒樣本基本庫至少能清除其中的80% ;
對流行病毒樣本庫至少能清除其中的85%
5.1.4.2 二級產品病毒清除率應達到以下指標:
對病毒樣本基本庫至少能清除其中的85% ;
對流行病毒樣本庫至少能清除其中的90%;
5.1.4.3 一級產品病毒清除率應達到以下指標:
對病毒樣本基本庫至少能清除其中的90 % ;
對流行病毒樣本庫至少能清除其中的95%
5.1.5 誤報率
對檢驗機構指定文件組成的誤報檢驗樣本庫的誤報率不能高於 0.1 %;
5.1.6 應急恢復
應急恢復應達到:
5.1.6.1 正確備份、恢復主引導記錄。
5.1.6.2 正確備份、恢復引導扇區。
5.1.7 智能升級
病毒防治產品在通過互聯網或者存儲介質進行版本升級時,只需要下載或者拷貝升級文件的修改或增加部分,以提高用戶升級的效率。
5.2 測試方法
測試方法按GA135的規定。 檢驗報告分為檢測、清除病毒誤報檢驗表和產品檢驗結果和分數表
6.1 檢測、清除病毒誤報檢驗表,見表1。
表1 檢測、清除病毒誤報檢驗表
檢驗用樣本庫樣本總數
檢測率
清除率
誤報率
病毒樣本基本庫∕流行病毒樣本庫∕特殊格式病毒樣本庫 ∕ 誤報檢驗樣本庫
6.2 產品檢驗結果和分數表