⑴ 荣耀笔记本重置之后,指纹录入不上可怎么解决啊,跪求
控制面板找“指纹管理”,控制面板-搜索“指纹”-找到“登记指纹”,并点击它。
密码登录指纹管理软件,在联想的指纹管理软件里,首先输入你当前Windows登录用户的密码。
进入指纹管理界面。
指纹录入,在“登记”对话框,开始录入你的指纹,直到100%完成。
录入完毕,即采集指纹成功。
重启测试指纹登录。
⑵ 解释名词 (计算机)
微处理器:
微处理器大致可以分为三类:通用高性能微处理器、嵌入式微处理器和数字信号处理器、微控制器。一般而言,通用处理器追求高性能,它们用于运行通用软件,配备完备、复杂的操作系统。
微型计算机:
简称“微型机”、“微机”,也称“微电脑”。由大规模集成电路组成的、体积较小的电子计算机。由微处理机(核心)、存储片、输入和输出片、系统总线等组成。特点是体积小、灵活性大、价格便宜、使用方便。微型计算机(Microcomputer)是指以微处理器为基础,配以内存储器及输入输出(I/0)接口电路和相应的辅助电路而构成的裸机。把微型计算机集成在一个芯片上即构成单片微型计算机(Single Chip Microcomputer)。
微型计算机系统:
简称“微机系统”。由微型计算机、显示器、输入输出设备、电源及控制面板等组成的计算机系统。配有操作系统、高级语言和多种工具性软件等。
区别和联系:
1.微处理器:一般也称中央处理器(CPU),是本身具有运算能力和控制功能,是微型计算机的核心。
2.微型计算机是指以微处理器为基础,配以内存储器以及输入/输出(I/O)接口电路和相应的辅助电路而构成的裸机。
3.微型计算机系统是指由微型计算机配以相应的外设和其他专用电器、电源、面板、机架以及足够的软件而构成的系统。
⑶ 太阳能热储存技术的引言概述
显热储存是利用储热材料的热容量,通过升高或降低材料的温度而实现热量的储存或释 放的过程。显热储存原理简单,材料来源丰富,成本低廉,是研究最早,利用最广泛,技术 最成熟的太阳能热储存方式。 低温范围内,水、土壤、砂石及岩石是最为常见的显热储热材料。德国汉堡生态村的设 计中, 采用了一个容量为 4500 的大储水罐作为储存一年四季中所采集的太阳能的储存设备。 Kreetz 提出了在太阳能烟囱电站集热棚内布置水管作为储能系统的构想。
集热器地面上并排 排列着黑色水管, 数值计算结果表明利用水储热装置可以保证太阳能烟囱发电系统昼夜连续 工作。在太阳能高温储存场合常用的显热储存介质有沙石-石-矿物油、混凝土、导热油、和 液态钠等。从储热能力、成本和安全性考虑,混凝土是比较有前途的储热材料。德国航天航 空研究中心的 Tamme et al 在研究砂石混凝土和玄武岩混凝土的基础上,研究开发耐高温混 凝土和铸造陶瓷等固体储热材料,在阿尔梅里亚太阳能实验基地与槽式系统进行联合试验, 效果良好,现在正准备 MW 级的试验。
目前太阳能显热储存有向地下发展的趋势。太阳能的地下显热储存比较适合于长期储存, 而且成本低,占地少,因此是一种很有发展前途的储热方式。美国华盛顿地区利用地下土壤 储存太阳能用于供暖和提供生活热水,在夏季结束时,土壤温度可以上升至 80℃,而在供 暖季节结束时,温度降至 40℃。此外,地下岩石储存太阳能和地下含水层储存太阳能都得 到了广泛的研究。然而,由于显热储存材料是依靠储热材料温度变化来进行热量的储存,放 热过程不能恒温,储热密度小,使得储热装置体积庞大,而且与周围环境存在温度差,造成 热量损失,热量不能长期储存,不适合长时间、大容量储存热量,限制了显热储存技术的进 一步发展。 相变储存是利用储热材料在热作用下发生相变而产生热量储存的过程。相变储存具有储 能密度高,放热过程温度波动范围小等优点得到了越来越多的重视。 将相变储热材料应用于温室来储存太阳能始于 80 年代,应用到的相变材料主要有 CaCl?6H2O、NaSO4?10H2O 和聚乙二醇。太阳能热发电储热系统中的相变储热材料主要为高 温水蒸气和熔融盐,利用熔融盐作为储热介质具有温度使用范围宽,热容量大,粘度低,化 学稳定性好等优点, 但盐类相变材料在高温下对储热装置有较强的腐蚀性。
现有研究表明可 以应用于空间太阳能热动力系统的相变材料主要为金属及合金和氟盐及其共晶混合物等, 目 前研究较多的是氟盐及其共晶混合物,但其液固相变转化时体积收缩较大及热导率低的缺 点,容易导致“热松脱”和“热斑”现象,对储热装置的长期稳定非常不利。
有机物相变材料具有相变温度适应性好、相变潜热大、理化性能稳定等优点,因而在太阳 能储热利用中受到普遍关注,常用材料为一些醇、酸、高级烷烃等。Buddhi and Sahoo 提出 将熔点为 55.1℃,热容 160kJ/kg 的硬脂酸作为相变储热材料应用于太阳能灶,实验表明这 一措施解决了在部分时间没有阳光时使用太阳能灶的问题。Sharma et al.在 2000 年报道了将 熔点为 82℃,热容为 263kJ/kg 乙酰胺作为相变储热材料应用于改良型太阳灶的研究。在建 筑墙体内添加有机物是一种非常有效的太阳能储存方式。
Feldman et al.对硬脂酸丁酯 (49%) 和丁基棕榈酸酯(48%)的混合酯研究,结果表明该混合酯适合作为建筑物储能材料用于储 存太阳能。此外 Feldman et al 将该混合酯(20~25%)作为相变储热材料应用于石膏墙板, 和普通石膏墙板相比,储热能力增加了 11 倍,耐火能力也明显提高,随着添加的混合酯的 质量变化,墙板导热系数在±15%之间变化。Athienitis et al.研究了一个墙面含有硬脂酸丁酯 的被动太阳能房,含有硬脂酸丁酯垂直石膏墙板总面积约为 20 平方米,总共用相变温度为 16~20.8℃的硬脂酸丁酯 47kg。实验在冬季环境下进行,结果表明添加了硬脂酸丁酯的石膏 墙板白天可以使室内温度降低 4℃,避免了室内温度过高,晚上添加相变材料的石膏墙板的 表面温度较普通石膏墙板的温度升高约 3.2℃。Lee et al.等对由不同材料制成的墙砖及在墙 砖中注入不同有机物时,墙砖在受到空气加热和冷却过程中的温度变化进行了实验对比研究, 提出了最 研究表明在太阳能储存中, 应用组合式相变材料代替传统的单一相变材料, 相变 传热速度明显提高,储热放热速率的均匀性得到明显改善。
1998 年,美国对氨矾和硝酸铵 二元相变材料体系进行研究, 并将其应用于太阳能热水器。 王剑峰等对使用组合相变材料储 能系统的相变传热过程进行了研究,通过对具有 3 层同心环形组合相变材料储能装置的实验, 研究发现这种装置的相变时间比采用单一相变材料缩短 37 %以上。Gong ZhenXiang 等对用 2 种以上相变材料进行组合以提高储能系统可用能效率进行了理论分析,认为只要选用合适 的相变材料进行组合,储能系统的可用能效率可随相变材料种类的增加而提高。
此外,胶囊封装技术、翅管强化传热和金属填料等均能有效地提高相变材料的导热率。 M.N.Hawlader et al.用复凝聚法,以阿拉伯树胶和明胶为壁材,石蜡为芯材,制成了直径在 微米量级的相变储能微胶囊, 该相变材料相变潜热在 145~240J/g 之间, 相变温度在 50~60℃ 之间, 在热力循环过程中表现出较好的力学性质和储热能力, 是一种很有发展潜力的太阳能 储能材料。Choi 和 Kim 研究了在双翅片管内 CaCl?6H2O 的传热速率特征曲线,其传热速率 系数是光滑管的 3.5 倍。郭茶秀等提出了采用铝片强化太阳能热力发电系统高温相变储能系 统传热性能, 要求储能系统在无日照时能尽快释放出相变热,以产生蒸汽, 并用 fluent 软件模 拟了该系统在释能过程中的瞬态二维传热过程,计算结果表明,增加铝片能有效强化高温相变 储能系统传热性能。 化学反应储存是利用化学反应的反应热的形式来进行储热,具有储能密度高,可长期储 存等优点。用于贮热的化学反应必须满足:反应可逆性好,无副反应;反应迅速;反应生成 物易分离且能稳定贮存;反应物和生成物无毒、无腐蚀、无可燃性;反应热大,反应物价格 低等条件。
1988 年,美国太阳能研究中心指出,化学反应储热是一种非常有潜力的太阳能高温储热 方式,而且成本又可能降低到相对较低的水平。Brown et al.采用 CaO 与 H2O,进行了小规 模的储热试验研究,指出化学反应储热系统约束条件苛刻,价格偏贵,但认为氢氧化物与氧 化物之间的热化学反应将是化学反应储热的潜在对象。
澳大利亚国立大学提出一种储存太阳 能的方式叫做“氨闭合回路热化学过程”,在这个系统里,氨吸热太阳能分解成氢与氮,储存 太阳能,然后在一定条件下进行放热反应,重新生成氨,同时放出热量。 天然气的太阳能热化学重整是使低链烃 CH4 与 H2O 或 CO2 发生反应, 重整后的产物主要 是 CO 和 H2 的混合物,太阳能通过吸热的化学反应储存为燃料的化学能,反应产物(混合 气)的热值得以提升。以色列摩西?莱维教授领导的一个科研小组,利用水和甲烷作为“太阳 能仓库”来储存太阳能。
他们在阳光充足的地方建了一座高 54 米的高塔,在塔内装上甲烷和 水,当塔内温度加热到 872℃时,塔中的 CH4 和水蒸气开始发生化学反应,变为 CO 和 H2, 同时吸收大量的热能,使其中所含的能量比 CH4 高出 30%。但是由于太阳能甲烷重整需要 800~1000℃的高温, 对重整器要求很高, 同时需要庞大的定日镜场, 不利于工程应用。
为此, Hui Hong et al.提出了中温太阳能裂解甲醇的动力系统,系统中太阳能化学反应装置是通过 地聚光比的抛物槽式集热器,聚集中温太阳热能与碳氢燃料热解或重整的热化学反应相结 合, 将中低温太阳能提升为高品位的燃料化学能, 从而实现了低品位太阳能的高效能量转换 与储存。 此外,有别于以反应热的形式储存太阳能,降冰片二烯类化合物作为储能材料得到了广 泛的研究。紫外光照射下, 降冰片二烯类化合物发生双烯环加成反应,转化为它的光异构体, 太阳能以张力能的形式储存起来,在加热或催化剂或另一种波长的紫外光的照射下,又逆转 为降冰片二烯类化合物,同时张力能以热的形式释放出来,这一转化方式有效地实现了太阳 能的储存与转化。
⑷ 如何使用windows性能监视器监控磁盘性能
Windows性能计数器--磁盘性能分析Disk
Physical Disk:
单次IO大小
Avg.Disk Bytes/Read
Avg.Disk Bytes/Write
IO响应时间
Avg.Disk sec/Read
Avg.Disk sec/Write
IOPS
DiskReads/sec
DiskWrites/sec
DiskTransfers/sec
IO吞吐率
DiskBytes/sec
DiskRead Bytes/sec
DiskWrite Bytes/sec
磁盘有两个重要的参数:Seek time、Rotational latency。
正常的I/O计数为:①1000/(Seek time+Rotational latency)*0.75,在此范围内属正常。当达到85%的I/O计数以上时则基本认为已经存在I/O瓶颈。理论情况下,磁盘的随机读计数为125、 顺序读计数为225。对于数据文件而言是随机读写,日志文件是顺序读写。因此,数据文件建议存放于RAID5上,而日志文件存放于RAID10或 RAID1中。
附:
15000 RPM:150随机IOPS
10000 RPM:110随机IOPS
5400 RPM:50随机IOPS
下面假设在有4块硬盘的RAID5中观察到的Physical Disk性能对象的部分值:
Avg. DiskQueue Length 12 队列长度
Avg. DiskSec/Read .035 读数据所用时间ms
Avg. DiskSec/Write .045 写数据所用时间ms
DiskReads/sec 320 每秒读数据量
DiskWrites/sec 100 每秒写数据量
Avg. DiskQueue Length,12/4=3,每块磁盘的平均队列建议不超过2。
Avg. DiskSec/Read一般不要超过11~15ms。
Avg. DiskSec/Write一般建议小于12ms。
从上面的结果,我们看到磁盘本身的I/O能力是满足我们的要求的,原因是因为有大量的请求才导致队列等待,这很可能是因为你的SQL语句导致大量的表扫描所致。在进行优化后,如果还是不能达到要求,下面的公式可以帮助你计算使用几块硬盘可以满足这样的并发要求:
Raid 0 -- I/Os per disk = (reads +writes) / number of disks
Raid 1 -- I/Os per disk = [reads +(2 * writes)] / 2
Raid 5 -- I/Os per disk = [reads +(4 * writes)] / number of disks
Raid 10 -- I/Os per disk = [reads +(2 * writes)] / number of disks
我们得到的结果是:(320+400)/4=180,这时你可以根据公式①来得到磁盘的正常I/O值。假设现在正常I/O计数为125,为了达到这个结果:720/125=5.76。就是说要用6块磁盘才能达到这样的要求。
但是上面的Disk Reads/sec和Disk Writes/sec是个很难正确估算的值。因此只能在系统比较忙时,大概估算一个平均值,作为计算公式的依据。另一个是你很难从客户那里得到Seek time、 Rotational latency参数的值,这也只能用理论值125进行计算。
前言
作为一个数据库管理员,关注系统的性能是日常最重要的工作之一,而在所关注的各方面的性能只能IO性能却是最令人头痛的一块,面对着各种生涩的参数和令人眼花缭乱的新奇的术语,再加上存储厂商的忽悠,总是让我们有种云里雾里的感觉。本系列文章试图从基本概念开始对磁盘存储相关的各种概念进行综合归纳,让大家能够对IO性能相关的基本概念,IO性能的监控和调整有个比较全面的了解。
在这一部分里我们先舍弃各种结构复杂的存储系统,直接研究一个单独的磁盘的性能问题,藉此了解各个衡量IO系统系能的各个指标以及之间的关系。
几个基本的概念
在研究磁盘性能之前我们必须先了解磁盘的结构,以及工作原理。不过在这里就不再重复说明了,关系硬盘结构和工作原理的信息可以参考维基网络上面的相关词条——Hard disk drive(英文)和硬盘驱动器(中文)。
读写IO(Read/Write IO)操作
磁盘是用来给我们存取数据用的,因此当说到IO操作的时候,就会存在两种相对应的操作,存数据时候对应的是写IO操作,取数据的时候对应的是读IO操作。
单个IO操作
当控制磁盘的控制器接到操作系统的读IO操作指令的时候,控制器就会给磁盘发出一个读数据的指令,并同时将要读取的数据块的地址传递给磁盘,然后磁盘会将读取到的数据传给控制器,并由控制器返回给操作系统,完成一个写IO的操作;同样的,一个写IO的操作也类似,控制器接到写的IO操作的指令和要写入的数据,并将其传递给磁盘,磁盘在数据写入完成之后将操作结果传递回控制器,再由控制器返回给操作系统,完成一个写IO的操作。单个IO操作指的就是完成一个写IO或者是读IO的操作。
随机访问(Random Access)与连续访问(Sequential Access)
随机访问指的是本次IO所给出的扇区地址和上次IO给出扇区地址相差比较大,这样的话磁头在两次IO操作之间需要作比较大的移动动作才能重新开始读/写数据。相反的,如果当次IO给出的扇区地址与上次IO结束的扇区地址一致或者是接近的话,那磁头就能很快的开始这次IO操作,这样的多个IO操作称为连续访问。因此尽管相邻的两次IO操作在同一时刻发出,但如果它们的请求的扇区地址相差很大的话也只能称为随机访问,而非连续访问。
顺序IO模式(Queue Mode)/并发IO模式(BurstMode)
磁盘控制器可能会一次对磁盘组发出一连串的IO命令,如果磁盘组一次只能执行一个IO命令时称为顺序IO;当磁盘组能同时执行多个IO命令时,称为并发IO。并发IO只能发生在由多个磁盘组成的磁盘组上,单块磁盘只能一次处理一个IO命令。
单个IO的大小(IO ChunkSize)
熟悉数据库的人都会有这么一个概念,那就是数据库存储有个基本的块大小(Block Size),不管是SQL Server还是Oracle,默认的块大小都是8KB,就是数据库每次读写都是以8k为单位的。那么对于数据库应用发出的固定8k大小的单次读写到了写磁盘这个层面会是怎么样的呢,就是对于读写磁盘来说单个IO操作操作数据的大小是多少呢,是不是也是一个固定的值?答案是不确定。首先操作系统为了提高 IO的性能而引入了文件系统缓存(File System Cache),系统会根据请求数据的情况将多个来自IO的请求先放在缓存里面,然后再一次性的提交给磁盘,也就是说对于数据库发出的多个8K数据块的读操作有可能放在一个磁盘读IO里就处理了。还有对于有些存储系统也是提供了缓存(Cache)的,接收到操作系统的IO请求之后也是会将多个操作系统的 IO请求合并成一个来处理。不管是操作系统层面的缓存还是磁盘控制器层面的缓存,目的都只有一个,提高数据读写的效率。因此每次单独的IO操作大小都是不一样的,它主要取决于系统对于数据读写效率的判断。
当一次IO操作大小比较小的时候我们成为小的IO操作,比如说1K,4K,8K这样的;当一次IO操作的数据量比较的的时候称为大IO操作,比如说32K,64K甚至更大。
在我们说到块大小(Block Size)的时候通常我们会接触到多个类似的概念,像我们上面提到的那个在数据库里面的数据最小的管理单位,Oralce称之为块(Block),大小一般为8K,SQL Server称之为页(Page),一般大小也为8k。在文件系统里面我们也能碰到一个文件系统的块,在现在很多的Linux系统中都是4K(通过 /usr/bin/time -v可以看到),它的作用其实跟数据库里面的块/页是一样的,都是为了方便数据的管理。但是说到单次IO的大小,跟这些块的大小都是没有直接关系的,在英文里单次IO大小通常被称为是IO Chunk Size,不会说成是IO Block Size的。
IOPS(IO per Second)
IOPS,IO系统每秒所执行IO操作的次数,是一个重要的用来衡量系统IO能力的一个参数。对于单个磁盘组成的IO系统来说,计算它的IOPS不是一件很难的事情,只要我们知道了系统完成一次IO所需要的时间的话我们就能推算出系统IOPS来。
现在我们就来推算一下磁盘的IOPS,假设磁盘的转速(Rotational Speed)为15K RPM,平均寻道时间为5ms,最大传输速率为40MB/s(这里将读写速度视为一样,实际会差别比较大)。
对于磁盘来说一个完整的IO操作是这样进行的:当控制器对磁盘发出一个IO操作命令的时候,磁盘的驱动臂(ActuatorArm)带读写磁头(Head)离开着陆区(LandingZone,位于内圈没有数据的区域),移动到要操作的初始数据块所在的磁道(Track)的正上方,这个过程被称为寻址(Seeking),对应消耗的时间被称为寻址时间(SeekTime);但是找到对应磁道还不能马上读取数据,这时候磁头要等到磁盘盘片(Platter)旋转到初始数据块所在的扇区(Sector)落在读写磁头正上方的之后才能开始读取数据,在这个等待盘片旋转到可操作扇区的过程中消耗的时间称为旋转延时(RotationalDelay);接下来就随着盘片的旋转,磁头不断的读/写相应的数据块,直到完成这次IO所需要操作的全部数据,这个过程称为数据传送(DataTransfer),对应的时间称为传送时间(TransferTime)。完成这三个步骤之后一次IO操作也就完成了。
在我们看硬盘厂商的宣传单的时候我们经常能看到3个参数,分别是平均寻址时间、盘片旋转速度以及最大传送速度,这三个参数就可以提供给我们计算上述三个步骤的时间。
第一个寻址时间,考虑到被读写的数据可能在磁盘的任意一个磁道,既有可能在磁盘的最内圈(寻址时间最短),也可能在磁盘的最外圈(寻址时间最长),所以在计算中我们只考虑平均寻址时间,也就是磁盘参数中标明的那个平均寻址时间,这里就采用当前最多的10krmp硬盘的5ms。
第二个旋转延时,和寻址一样,当磁头定位到磁道之后有可能正好在要读写扇区之上,这时候是不需要额外额延时就可以立刻读写到数据,但是最坏的情况确实要磁盘旋转整整一圈之后磁头才能读取到数据,所以这里我们也考虑的是平均旋转延时,对于10krpm的磁盘就是(60s/15k)*(1/2)= 2ms。
第三个传送时间,磁盘参数提供我们的最大的传输速度,当然要达到这种速度是很有难度的,但是这个速度却是磁盘纯读写磁盘的速度,因此只要给定了单次IO的大小,我们就知道磁盘需要花费多少时间在数据传送上,这个时间就是IOChunk Size / Max Transfer Rate。
现在我们就可以得出这样的计算单次IO时间的公式:
IO Time = Seek Time + 60 sec/Rotational Speed/2 + IO ChunkSize/Transfer Rate
于是我们可以这样计算出IOPS
IOPS = 1/IO Time = 1/(Seek Time + 60 sec/Rotational Speed/2 + IOChunk Size/Transfer Rate)
对于给定不同的IO大小我们可以得出下面的一系列的数据
4K (1/7.1 ms = 140 IOPS)
5ms + (60sec/15000RPM/2) + 4K/40MB = 5 + 2 + 0.1 = 7.1
8k (1/7.2 ms = 139 IOPS)
5ms + (60sec/15000RPM/2) + 8K/40MB = 5 + 2 + 0.2 = 7.2
16K (1/7.4 ms = 135 IOPS)
5ms + (60sec/15000RPM/2) + 16K/40MB = 5 + 2 + 0.4 = 7.4
32K (1/7.8 ms = 128 IOPS)
5ms + (60sec/15000RPM/2) + 32K/40MB = 5 + 2 + 0.8 = 7.8
64K (1/8.6 ms = 116 IOPS)
5ms + (60sec/15000RPM/2) + 64K/40MB = 5 + 2 + 1.6 = 8.6
从上面的数据可以看出,当单次IO越小的时候,单次IO所耗费的时间也越少,相应的IOPS也就越大。
上面我们的数据都是在一个比较理想的假设下得出来的,这里的理想的情况就是磁盘要花费平均大小的寻址时间和平均的旋转延时,这个假设其实是比较符合我们实际情况中的随机读写,在随机读写中,每次IO操作的寻址时间和旋转延时都不能忽略不计,有了这两个时间的存在也就限制了IOPS的大小。现在我们考虑一种相对极端的顺序读写操作,比如说在读取一个很大的存储连续分布在磁盘的文件,因为文件的存储的分布是连续的,磁头在完成一个读IO操作之后,不需要从新的寻址,也不需要旋转延时,在这种情况下我们能到一个很大的IOPS值,如下
4K (1/0.1 ms = 10000 IOPS)
0ms + 0ms + 4K/40MB = 0.1
8k (1/0.2 ms = 5000 IOPS)
0ms + 0ms + 8K/40MB = 0.2
16K (1/0.4 ms = 2500 IOPS)
0ms + 0ms + 16K/40MB = 0.4
32K (1/0.8 ms = 1250 IOPS)
0ms + 0ms + 32K/40MB = 0.8
64K (1/1.6 ms = 625 IOPS)
0ms + 0ms + 64K/40MB = 1.6
相比第一组数据来说差距是非常的大的,因此当我们要用IOPS来衡量一个IO系统的系能的时候我们一定要说清楚是在什么情况的IOPS,也就是要说明读写的方式以及单次IO的大小,当然在实际当中,特别是在OLTP的系统的,随机的小IO的读写是最有说服力的。
传输速度(Transfer Rate)/吞吐率(Throughput)
现在我们要说的传输速度(另一个常见的说法是吞吐率)不是磁盘上所表明的最大传输速度或者说理想传输速度,而是磁盘在实际使用的时候从磁盘系统总线上流过的数据量。有了IOPS数据之后我们是很容易就能计算出对应的传输速度来的
Transfer Rate = IOPS * IO Chunk Size
还是那上面的第一组IOPS的数据我们可以得出相应的传输速度如下
4K: 140 * 4K = 560K / 40M = 1.36%
8K: 139 * 8K = 1112K / 40M = 2.71%
16K: 135 * 16K = 2160K / 40M = 5.27%
32K: 116 * 32K = 3712K / 40M = 9.06%
可以看出实际上的传输速度是很小的,对总线的利用率也是非常的小。
这里一定要明确一个概念,那就是尽管上面我们使用IOPS来计算传输速度,但是实际上传输速度和IOPS是没有直接关系,在没有缓存的情况下它们共同的决定因素都是对磁盘系统的访问方式以及单个IO的大小。对磁盘进行随机访问时候我们可以利用IOPS来衡量一个磁盘系统的性能,此时的传输速度不会太大;但是当对磁盘进行连续访问时,此时的IOPS已经没有了参考的价值,这个时候限制实际传输速度却是磁盘的最大传输速度。因此在实际的应用当中,只会用IOPS 来衡量小IO的随机读写的性能,而当要衡量大IO连续读写的性能的时候就要采用传输速度而不能是IOPS了。
IO响应时间(IOResponse Time)
最后来关注一下能直接描述IO性能的IO响应时间。IO响应时间也被称为IO延时(IOLatency),IO响应时间就是从操作系统内核发出的一个读或者写的IO命令到操作系统内核接收到IO回应的时间,注意不要和单个IO时间混淆了,单个IO时间仅仅指的是IO操作在磁盘内部处理的时间,而IO响应时间还要包括IO操作在IO等待队列中所花费的等待时间。
计算IO操作在等待队列里面消耗的时间有一个衍生于利托氏定理(Little’sLaw)的排队模型M/M/1模型可以遵循,由于排队模型算法比较复杂,到现在还没有搞太明白(如果有谁对M/M/1模型比较精通的话欢迎给予指导),这里就罗列一下最后的结果,还是那上面计算的IOPS数据来说:
8K IO Chunk Size (135 IOPS, 7.2 ms)
135 => 240.0 ms
105 => 29.5 ms
75 => 15.7 ms
45 => 10.6 ms
64K IO Chunk Size(116 IOPS, 8.6 ms)
135 => 没响应了……
105 => 88.6 ms
75 => 24.6 ms
45 => 14.6 ms
从上面的数据可以看出,随着系统实际IOPS越接近理论的最大值,IO的响应时间会成非线性的增长,越是接近最大值,响应时间就变得越大,而且会比预期超出很多。一般来说在实际的应用中有一个70%的指导值,也就是说在IO读写的队列中,当队列大小小于最大IOPS的70%的时候,IO的响应时间增加会很小,相对来说让人比较能接受的,一旦超过70%,响应时间就会戏剧性的暴增,所以当一个系统的IO压力超出最大可承受压力的70%的时候就是必须要考虑调整或升级了。
另外补充说一下这个70%的指导值也适用于CPU响应时间,这也是在实践中证明过的,一旦CPU超过70%,系统将会变得受不了的慢。很有意思的东西。
从上一篇文章的计算中我们可以看到一个15k转速的磁盘在随机读写访问的情况下IOPS竟然只有140左右,但在实际应用中我们却能看到很多标有5000IOPS甚至更高的存储系统,有这么大IOPS的存储系统怎么来的呢?这就要归结于各种存储技术的使用了,在这些存储技术中使用最广的就是高速缓存(Cache)和磁盘冗余阵列(RAID)了,本文就将探讨缓存和磁盘阵列提高存储IO性能的方法。
高速缓存(Cache)
在当下的各种存储产品中,按照速度从快到慢应该就是内存>闪存>磁盘>磁带了,然而速度越快也就意味着价格越高,闪存虽然说是发展势头很好,但目前来说却还是因为价格问题无法普及,因此现在还是一个磁盘作霸王的时代。与CPU和内存速度相比,磁盘的速度无疑是计算机系统中最大的瓶颈了,所以在必须使用磁盘而又想提高性能的情况下,人们想出了在磁盘中嵌入一块高速的内存用来保存经常访问的数据从而提高读写效率的方法来折中的解决,这块嵌入的内存就被称为高速缓存。
说到缓存,这东西应用现在已经是无处不在,从处于上层的应用,到操作系统层,再到磁盘控制器,还有CPU内部,单个磁盘的内部也都存在缓存,所有这些缓存存在的目的都是相同的,就是提高系统执行的效率。当然在这里我们只关心跟IO性能相关的缓存,与IO性能直接相关的几个缓存分别是文件系统缓存(FileSystem Cache)、磁盘控制器缓存(DiskController Cache)和磁盘缓存(DiskCache,也称为DiskBuffer),不过当在计算一个磁盘系统性能的时候文件系统缓存也是不会考虑在内的,因此我们重点考察的就是磁盘控制器缓存和磁盘缓存。
不管是控制器缓存还是磁盘缓存,他们所起的作用主要是分为三部分:缓存数据、预读(Read-ahead)和回写(Write-back)。
缓存数据
首先是系统读取过的数据会被缓存在高速缓存中,这样下次再次需要读取相同的数据的时候就不用在访问磁盘,直接从缓存中取数据就可以了。当然使用过的数据也不可能在缓存中永久保留的,缓存的数据一般那是采取LRU算法来进行管理,目的是将长时间不用的数据清除出缓存,那些经常被访问的却能一直保留在缓存中,直到缓存被清空。
预读
预读是指采用预读算法在没有系统的IO请求的时候事先将数据从磁盘中读入到缓存中,然后在系统发出读IO请求的时候,就会实现去检查看看缓存里面是否存在要读取的数据,如果存在(即命中)的话就直接将结果返回,这时候的磁盘不再需要寻址、旋转等待、读取数据这一序列的操作了,这样是能节省很多时间的;如果没有命中则再发出真正的读取磁盘的命令去取所需要的数据。
缓存的命中率跟缓存的大小有很大的关系,理论上是缓存越大的话,所能缓存的数据也就越多,这样命中率也自然越高,当然缓存不可能太大,毕竟成本在那儿呢。如果一个容量很大的存储系统配备了一个很小的读缓存的话,这时候问题会比较大的,因为小缓存的数据量非常小,相比整个存储系统来说比例非常低,这样随机读取(数据库系统的大多数情况)的时候命中率也自然就很低,这样的缓存不但不能提高效率(因为绝大部分读IO都还要读取磁盘),反而会因为每次去匹配缓存而浪费时间。
执行读IO操作是读取数据存在于缓存中的数量与全部要读取数据的比值称为缓存命中率(ReadCache Hit Radio),假设一个存储系统在不使用缓存的情况下随机小IO读取能达到150IOPS,而它的缓存能提供10%的缓存命中率的话,那么实际上它的IOPS可以达到150/(1-10%)=166。
回写
首先说一下,用于回写功能的那部分缓存被称为写缓存(WriteCache)。在一套写缓存打开的存储中,操作系统所发出的一系列写IO命令并不会被挨个的执行,这些写IO的命令会先写入缓存中,然后再一次性的将缓存中的修改推到磁盘中,这就相当于将那些相同的多个IO合并成一个,多个连续操作的小IO合并成一个大的IO,还有就是将多个随机的写IO变成一组连续的写IO,这样就能减少磁盘寻址等操作所消耗的时间,大大的提高磁盘写入的效率。
读缓存虽然对效率提高是很明显的,但是它所带来的问题也比较严重,因为缓存和普通内存一样,掉点以后数据会全部丢失,当操作系统发出的写IO命令写入到缓存中后即被认为是写入成功,而实际上数据是没有被真正写入磁盘的,此时如果掉电,缓存中的数据就会永远的丢失了,这个对应用来说是灾难性的,目前解决这个问题最好的方法就是给缓存配备电池了,保证存储掉电之后缓存数据能如数保存下来。
和读一样,写缓存也存在一个写缓存命中率(WriteCache Hit Radio),不过和读缓存命中情况不一样的是,尽管缓存命中,也不能将实际的IO操作免掉,只是被合并了而已。
控制器缓存和磁盘缓存除了上面的作用之外还承当着其他的作用,比如磁盘缓存有保存IO命令队列的功能,单个的磁盘一次只能处理一个IO命令,但却能接收多个IO命令,这些进入到磁盘而未被处理的命令就保存在缓存中的IO队列中。
RAID(Rendant Array Of InexpensiveDisks)
如果你是一位数据库管理员或者经常接触服务器,那对RAID应该很熟悉了,作为最廉价的存储解决方案,RAID早已在服务器存储中得到了普及。在RAID的各个级别中,应当以RAID10和RAID5(不过RAID5已经基本走到头了,RAID6正在崛起中,看看这里了解下原因)应用最广了。下面将就RAID0,RAID1,RAID5,RAID6,RAID10这几种级别的RAID展开说一下磁盘阵列对于磁盘性能的影响,当然在阅读下面的内容之前你必须对各个级别的RAID的结构和工作原理要熟悉才行,这样才不至于满头雾水,推荐查看wikipedia上面的如下条目:RAID,StandardRAID levels,Nested RAID levels。
⑸ 企业局域网前言怎么写
某大型企业局域网安全解决方案
前言:
这是我为某大型企业写一份局域网安全解决方案建议书。本来这是不应该公开的,但是由于种种原因未能被采纳,所以也没什么大碍,现在拿出来给大家当作是一份参考资料,写的不好多多指教。文章是让大家参考的,不是让大家翻录的
第一章 总则
本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。
发送电子邮件等;
2.3 网络结构的特点
在分析这个企业局域网的安全风险时,应考虑到网络的如下几个特点:
1.网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。
。
2.网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。
3.内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。
4.网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。
总而言之,在进行网络方案设计时,应综合考虑到这个企业局域网的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。
第三章 网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
针对这个企业局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:
网络安全可以从以下三个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合这个企业局域网的实际情况,我们将具体的分析网络的安全风险。
3.1物理安全风险分析
网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
3.2网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
公开服务器面临的威胁
这个企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务;每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
整个网络结构和路由状况
安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中,只使用了一台路由器,用作与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
3.3系统的安全风险分析
所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
3.4应用的安全风险分析
应用系统的安全跟具体的应用有关,它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
应用系统的安全动态的、不断变化的:应用的安全涉及面很广,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
3.5管理的安全风险分析
管理是网络安全中最重要的部分
管理是网络中安全最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
3.6黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入UNIX服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。
3.7通用网关接口(CGI)漏洞
有一类风险涉及通用网关接口(CGI)脚本。许多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点寻找特定信息。搜索引擎是通过CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。通常,这些CGI脚本只能在这些所指WWW服务器中寻找,但如果进行一些修改,他们就可以在WWW服务器之外进行寻找。要防止这类问题发生,应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏能力,提高服务器备份与恢复能力,提高站点内容的防篡改与自动修复能力。
3.8恶意代码
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。
3.9病毒的攻击
计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。
3.10不满的内部员工
不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
3.11网络的攻击手段
一般认为,目前对网络的攻击手段主要表现在:
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
第四章 安全需求与安全目标
4.1安全需求分析
通过前面我们对这个企业局域网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
公开服务器的安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分布实施。
4.2网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即:
威严的法律:安全的基石是社会法律、法规、与手段,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
先进的技术:先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。
严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
4.3系统安全目标
基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标:
建立一套完整可行的网络安全与网络管理策略
将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信
建立网站各主机和服务器的安全保护措施,保证他们的系统安全
对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝
加强合法用户的访问认证,同时将用户的访问权限控制在最低限度
全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为
加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完 整的系统日志
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
第五章 网络安全方案总体设计
5.1安全方案设计原则
在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
5.2安全服务、机制与技术
安全服务:安全服务主要有:控制服务、对象认证服务、可靠性服务等;
安全机制:访问控制机制、认证机制等;
安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
第六章 网络安全体系结构
通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理
6.1物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
在网络的安全方面,主要考虑两个大的层次,一是整个网络结构成熟化,主要是优化网络结构,二是整个网络系统的安全。
6.2.1网络结构
安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。
网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。网络结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。
网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等。
6.2.2网络系统安全
6.2.2.1 访问控制及内外网的隔离
访问控制
访问控制可以通过如下几个方面来实现:
1.制订严格的管理制度:可制定的相应:《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。
2.配备相应的安全设备:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。
防火墙主要的种类是包过滤型,包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。
防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
6.2.2.2 内部网不同网络安全域的隔离及访问控制
⑹ 几种新型非易失性存储器
关键词: 非易失性存储器;FeRAM;MRAM;OUM引言更高密度、更大带宽、更低功耗、更短延迟时问、更低成本和更高可靠性是存储器设计和制造者追求的永恒目标。根据这一目标,人们研究各种存储技术,以满足应用的需求。本文对目前几种比较有竞争力和发展潜力的新型非易失性存储器做了一个简单的介绍。
图1 MTJ元件结构示意图铁电存储器(FeRAM)
铁电存储器是一种在断电时不会丢失内容的非易失存储器,具有高速、高密度、低功耗和抗辐射等优点。
当前应用于存储器的铁电材料主要有钙钛矿结构系列,包括PbZr1-xTixO3,SrBi2Ti2O9和Bi4-xLaxTi3O12等。铁电存储器的存储原理是基于铁电材料的高介电常数和铁电极化特性,按工作模式可以分为破坏性读出(DRO)和非破坏性读出(NDRO)。DRO模式是利用铁电薄膜的电容效应,以铁电薄膜电容取代常规的存储电荷的电容,利用铁电薄膜的极化反转来实现数据的写入与读取。铁电随机存取存储器(FeRAM)就是基于DRO工作模式。这种破坏性的读出后需重新写入数据,所以FeRAM在信息读取过程中伴随着大量的擦除/重写的操作。随着不断地极化反转,此类FeRAM会发生疲劳失效等可靠性问题。目前,市场上的铁电存储器全部都是采用这种工作模式。
⑺ 计算机病毒防治产品评级准则的前言
为了保证和提高在我国销售的计算机病毒防治产品的质量水平,有效地遏制计算机病毒对我国计算机信息系统的传染和破坏,编制本标准。
本标准由公安部公共信息网络安全监察局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:天津市公安局计算机管理监察处、天津市质量监督检验站第70站。
本标准主要起草人:张健、王学海、刘杰、张双桥、黄小苏。 本标准规定了计算机病毒防治产品的定义、参检要求、检测及评级方法。
本标准适用于计算机病毒防治产品的检测和评级。 下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GA 135-1996 DOS操作系统环境中计算机病毒防治产品测试方法 本标准采用下列定义:
3.1计算机病毒(简称病毒)computer virus
是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
3.2 变形病毒 polymorphic virus
这种病毒在传染时变换自身的代码,使得每感染一个病毒宿主,被感染的病毒宿主上的病毒代码各不相同。
3.3检测病毒 detecting virus
对于确定的测试环境,能够准确地报出病毒名称;该环境包括:内存、文件、扇区(引导区、主引导区)、网络等。
3.4 病毒检测率rate of detecting virus
指对于一组确定的病毒样本文件所能检测到含有病毒的文件比例。
3.5 清除病毒cleaning virus
根据不同类型的病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复,该恢复过程不能破坏未被病毒修改的内容。
3.6 病毒清除率 rate of cleaning virus
指对于检验机构的病毒样本文件所能清除其中含有病毒的文件比例。
3.7误报 false alarm
指病毒防治产品将正常系统或文件报为含有病毒,或将正常操作报为病毒行为。
3.8误报率 rate of false alarm
指病毒防治产品将正常系统或文件报为含有病毒,或将正常操作报为病毒行为的比例。
3.9病毒宿主 virus host
病毒能够感染的对象(如:文件、引导记录区等)。
3.10文件型病毒 file virus
以文件为宿主或利用对文件的操作而加载执行的病毒。
3.11蠕虫 worm
这种程序可以通过网络等途径将自身的全部代码或部分代码复制、传播给其它的计算机系统,它在复制、传播时,不寄生于病毒宿主之中。
3.12 黑客程序 hacker program
这种程序可以通过网络等途径进行传播,一旦该种程序被运行,运行该程序的计算机系统可以被其它计算机系统,在未经授权的情况下通过网络对其系统和资源进行控制。
3.13 病毒样本基本库based set of virus sample
检验机构在国内所收集病毒、蠕虫和黑客程序的集合。
3.14 流行病毒样本库set of prevalent virus sample
在检验间隔期内,由两个以上不同地区的用户或反病毒厂商提供的在国内出现过的病毒、蠕虫和黑客程序,并由检验机构认证后的病毒集合。
3.15 特殊格式病毒样本库set of special format virus sample
将病毒样本根据一定算法,对其进行处理后所生成的新的病毒样本,并且该新样本还可以根据一定算法还原为原始病毒样本集合。如压缩后的病毒样本和使用某种编码转换后的病毒样本。
3.16变形病毒样本polymorphic virus sample
变形病毒要传染10个病毒宿主(不足10个变形体,以实际数量为准),然后将这些病毒样本组成该变形病毒的检验样本。
3.17 病毒样本库 set of virus Sample
病毒样本库是指由病毒样本基本库、流行病毒样本库和特殊格式病毒样本库合并组成的病毒样本库。
3.18 防病毒能力capability of protecting virus
病毒防治产品预防病毒侵入或破坏计算机信息系统的能力。
3.19 应急恢复incident recovery
当用户计算机系统因病毒感染或其它原因导致系统故障时,能够进行系统信息的恢复,使用户系统能够正常使用。 受检企业及其产品必需配合检测工作。
4.1 检验周期
检验机构对病毒防治产品必须至少每年检验一次,同时,可以根据病毒的发展情况对病毒防治产品进行专项检验。
4.2 受检企业
4.2.1 受检企业必须提供其产品升级用的病毒样本,否则不予检验。提供的病毒样本必须是具有传染性的活病毒。
4.2.2 受检企业必须提供制作病毒样本的病毒宿主,并提供包括病毒传染条件、发作条件、发作现象和病毒其它特性的分析报告。
4.2.3 受检企业必须提供其技术人员的组成和状况。
4.3 受检产品
受检产品必须符合以下条件:
4.3.1 附有中文使用说明书。
4.3.2 其产品必须能够生成检验项目(包括预防、检测、清除病毒)的结果报告文件,硬件病毒防治产品除外。 5.1 测试指标
5.1.1 防病毒能力
病毒防治产品的防病毒能力应达到:
5.1.1.1 病毒样本库中的病毒样本从以下途径进入计算机系统时发出警报;
a) 存储介质;
b) 网络;
c) 电子邮件;
5.1.1.2 设定满足病毒传染、发作的条件,然后激活病毒,病毒防治产品能够阻止
病毒的传播、破坏;
5.1.1.3 对病毒入侵情况记录到报告文件;
5.1.1.4 网络产品在发现病毒时应通知网络管理员或用户;
5.1.2 病毒检测分级指标
5.1.2.1 合格产品检测病毒率应达到:
对病毒样本基本库至少能检测其中的85% ;
对流行病毒样本库至少能检测其中的90%;
对特殊格式病毒样本库至少能检测其中的80%;
5.1.2.2 二级产品检测病毒率应达到:
对病毒样本基本库至少能检测其中的90% ;
对流行病毒样本库至少能检测其中的95%;
对特殊格式病毒样本库至少能检测其中的85%;
5.1.2.3 一级产品检测病毒率应达到:
对病毒样本基本库至少能检测其中的95% ;
对流行病毒样本库至少能检测其中的98%;
对特殊格式病毒样本库至少能检测其中的95%;
5.1.3 病毒清除指标
5.1.3.1 能够恢复病毒宿主功能的,一定要恢复病毒宿主的功能,且使病毒丧失其原有功能;
5.1.3.2 不能恢复病毒宿主功能的,若可以重新生成病毒宿主,则重新生成病毒宿主,否则提示删除带毒宿主。
5.1.3.3 清除病毒时,具有备份染毒宿主的功能;
5.1.4 病毒清除分级指标
5.1.4.1 合格产品病毒清除率应达到以下指标:
对病毒样本基本库至少能清除其中的80% ;
对流行病毒样本库至少能清除其中的85%
5.1.4.2 二级产品病毒清除率应达到以下指标:
对病毒样本基本库至少能清除其中的85% ;
对流行病毒样本库至少能清除其中的90%;
5.1.4.3 一级产品病毒清除率应达到以下指标:
对病毒样本基本库至少能清除其中的90 % ;
对流行病毒样本库至少能清除其中的95%
5.1.5 误报率
对检验机构指定文件组成的误报检验样本库的误报率不能高于 0.1 %;
5.1.6 应急恢复
应急恢复应达到:
5.1.6.1 正确备份、恢复主引导记录。
5.1.6.2 正确备份、恢复引导扇区。
5.1.7 智能升级
病毒防治产品在通过互联网或者存储介质进行版本升级时,只需要下载或者拷贝升级文件的修改或增加部分,以提高用户升级的效率。
5.2 测试方法
测试方法按GA135的规定。 检验报告分为检测、清除病毒误报检验表和产品检验结果和分数表
6.1 检测、清除病毒误报检验表,见表1。
表1 检测、清除病毒误报检验表
检验用样本库样本总数
检测率
清除率
误报率
病毒样本基本库∕流行病毒样本库∕特殊格式病毒样本库 ∕ 误报检验样本库
6.2 产品检验结果和分数表