(安全生产)网络操作系统中的安全体系
15.1 网络操作系统中的安全体系
为了实现网络安全特性的要求,计算机网络中常用的安全技术有:主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术和安全管理技术。
在实现网络安全系统时,通常需要先对保护的网络进行深入的分析,然后,选择和使用适合该网络的一种或几种安全技术。
每一种网络操作系统,一般是按一定的安全目标进行设计,因此,都采用了一些安全策略,并使用了一些常用的安全技术。下面以Windows NT 为例进行简单地讨论,由于,这些讨论具有普遍性,因此,也适用于其他的网络操作系统。
15.1.1 Windows NT 4.0 的安全概述
1. Windows NT 中的对象
对象是NT 操作系统中的基本元素。对象可以是文件、目录、存储器、驱动器、系统程序或Windows 中的桌面等。
2. Windows NT 4.0 的安全性设计目标
在设计Windows NT 结构的时候,微软把目标定位于一个具有各种内在安全功能的强大而坚实
的网络操作系统。
3. 使用Windows NT 的实现网络安全策略
Windows NT 4.0 的安全结构由3个基本安全子系统的模块组成,即身份认证、信任确定和审计跟踪。对于每一个机构,任何操作系统的安全机制都不是自动生成的,因此,在使用Windows NT 之前必须先制定它们的安全策略。这些策略需要进行详细地说明,在明确了该机构对访问控制信息的保护及审核方面的具体要求之后,还需要对所制定的安全策略进行正确地配置,并实现了对象的访问控制之后,才能说用NT 构建一个高度安全地系统。由此可见,只有将企业的安全策略和Windows NT 底层的安全机制有机地结合起来,才能充分发挥Windows NT 的各项安全特性。
4. Windows NT 的安全机制
微软的Windows NT Server 提供了安全管理的功能,以及在企业级网络中实现和管理这些功能的工具。
①Windows NT 的安全子系统有:本地安全权威、安全账户管理、安全访问监督等。
②Windows NT 提供的安全机制有:登录过程控制、存取控制、存取标识和存取控制列表
等。
5. Windows NT 的安全模型
Windows NT 的安全模型影响着整个操作系统,由于,对象的访问必须经过一个核心区域的验证,因此,在NT 中未经授权的申请者和用户是不能访问对象的。Windows NT 的安全模型由本地安全权限、安全账户管理器和安全参考监视器等几个主要部分组成,并且包括登录入网处理、访问控制和对象安全服务等部分。上述这些部分构成了NT 的安全基础,也称为安全层次。
15.1.2 Windows NT 网络安全子系统的实现
Windows NT 的安全系统应当由3 个策略环节构成:即身份识别系统、资源访问权限控
制系统和安全审计系统。
(1)满足C2 安全等级的NT 必须做到的几项工作
①拥有对系统的非网络访问权限。
②去除或禁止使用软盘驱动器。
③更加严格地控制对标准系统文件的访问。
(2)Windows NT中C2安全等级的标准特征
①可自由决定的访问控制。允许管理员或用户定义自己所拥有的对象的访问控制。
②禁止对象的重用。主要表现在两个方面。第一,当内存被一个程序释放后,不再允许对它的
读访问。第二,当对象被删除,即对象所在的磁盘空间已被重新分配时,也不允许用户对对
象进行再次的访问。
③身份的确认和验证。在系统进行任何访问之前,用户必须先确认自己的身份,包括输入用户
名、口令、域和组等信息的验证。
④审核。应当创建并维护用户对对象的访问记录,并防止他人更改此记录。必须严格地规定,
只有管理员才能够访问系统的审核信息。
15.1.2.1 Windows NT 网络的登录和身份认证机制
Windows NT 处理各种服务请求,是建立在授权许可的基础上,因此,必须先通过用户的登录和
访问权限的验证,此后还需要对用户的访问权限进行限制。其验证过程分为以下几个部分。
1. Windows NT 网络的登录机制和账户管理
Windows NT 网络登录时,要求用户使用唯一的用户名和口令登录到计算机上,这种登录过程是不能关闭的,因此,称为强制性的登录。
( 1 ) 登录机制
①登录过程
任何一台NT 计算机都使用“ Ctrl+Alt+Del ”三个健的组合进行强制登录,登录过程包括输入的用户名和密码的登录验证过程。
②登录的类型
登录的类型分为交互登录和远程登录两种。
交互登录:使用本地的安全账户管理 ( SAM ,Security Reference Monitor )进行身份认
证。当用户选择了本地SAM ,则登录时,不会发生域内的身份验证,所有的身份认证均在本地,并可以针对本地资源进行访问。
远程登录:当用户在一个域中的计算机上登录到一个服务器时,就会发生远程登录,也叫做“域SAM ”,此时,用户的身份认证会传递到“域”的控制器上去完成。
( 2) 身份识别系统
Windows NT 中的身份识别系统是网络安全系统的第一层保护,它除了进行账户和口令的检测以外,还可以由管理员限制用户的上网时间、非法使用者锁定和密码更改等。
用户账户的设置是由系统管理员来确定的,它不但是用户惟一的身份识别标志,还被分配了到域中访问资源的权限。当然,用户可以选择本地的SAM 或域SAM 方式进行交互式登录或者是远程登录。不同的登录方式,对资源的使用权限也不同。每一个需要使用网络的用户都应该拥有一个账户。
①账户管理的最高权限账户—Administrator 账户
每一台NT 计算机在安装过程中都会建立一个系统默认的Administrator 账户。该账户不能删除,但可以被更改名称。在域控制器上,此账户是一个全局账户,在其他计算机上,它只是一个本地账户。系统管理员可以使用Administrator 账户进行登录,并定义用户对资源的使用权限,用户账户的管理,还可以从网上任何站点进行远程登录,并行使各种管理权。
使用域的Administrator账户登录时的系统管理员可以完成以下任务。
可以对文件和目录的安全访问权限进行设置和控制。
可以对注册表进行操作。例如:修改注册表。可以对用户的账号进行集中管理。设置用户
登录网络的账户和口令,指定登录时间,
确定账户的期限及口令的使用限定等。
可以审计各种事件。例如:用户的登录尝试设置,就是指当用户登录失败的次数超过指定的次数,系统可以将用户账号锁定。
由于,域的Administrator账户具有很高的权限,因此,为了保证网络的安全,对该账户及其他具有同等特权的账户的账号必须采取严格地安全措施。
②账户管理。账户管理的内容包括:用户口令控制、本地和全局账户、用户宿主目录的指定、
网络登录脚本、用户强制性配置文件,以及将用户分配到默认的组等多项账户属性的操作。
(3)账户的安全策略
建立用户账户的方法在第8章中已作介绍,本节仅介绍账户安全的设置策略和步骤。
Windows NT的缺省和默认账户策略是为了便于用户方便而设计的。例如:允许用户使用空口令和选择任意长度的口令。而这些设置可以使得非法入侵者可以轻易地入侵网络。因此,出于安全性考虑,应当修改上述的设计策略。表15-2说明了建议网络管理员在各种情
况下可以采取的账户策略。
注意:NT操作系统可以自动锁定账户,管理员不能采用手动锁定账户,但是,可以进行禁止账户或解锁的操作。
(4)账户安全策略的实施步骤
①依次选择“开始T程序T管理工具T域用户管理工具”命令选项,激活如图15-7
所示的窗口。
图15-7 “域用户管理器”窗口
②在图15-7所示的“域用户管理器” 窗口中,选择“规则(策略)T账户”命令选项,即可
激活如图15-8所示的窗口。注:有些NT版本中的“规则”命令显示为“策略”。
图15-8 “域用户管理器”中的“账号规则”窗口
③在图15-8所示的窗口中,可以设置:密码限制、账号锁定和锁定时间等,用户应当根据安
全策略的需要酌情进行选择。例如:可以通过“登录失败”选项进行设定。
用户允许的最多登录企图的次数的取值范围为:1?999。如果设定的值为5次,就表示用户在连续5次的错误登录之后,系统就会锁定该账户。
④对于锁定时间可以在“复位账号前锁定”选项处进行设置,通过设定用户账户,在
锁定前的最大登录时间间隔,其取范围为1?99999分钟。例如:如果将此时间设
定为30分钟,就表示用户在30分钟之内,连续进行了允许的错误登录次数后,其账户将被自动锁定。
⑤在“锁定时间”处,设定对锁定账户的处理方式。如果选择了“永久”单选项,将使得被锁
定的账户在管理员解锁它们之前,保持锁定状态。如果选择了“时间”单选项,则要求设定锁定时间,即被锁定的用户账户将在该时间之后自动解锁,从而恢复该账户的使用权。
⑥在图15-8所示的窗口中,如果选择了“账号不锁定”的单选项,则系统对于登录失败将不
进行任何的处理。注意:为了防止他人不断地登录而猜出用户的密码,最好不要选择此项,而应按照上面所介绍的方法进行必要的设置。
⑦为了防止用户非法访问域,每一个用户账户都要设置一个密码。Windows NT的身
份验证系统,要求用户在登录NT网络时,提供正确的密码,否则用户的入网请求
将被拒绝。Windows NT密码的策略如表15-2所述,这里仅介绍用户密码的保护方
法和操作步骤。
依次选择“开始T程序T管理工具T域用户管理工具”命令选项,激活如图15-7所示的窗口。
在图15-7所示的窗口中,选择“规则(策略)T账户”命令选项。
在激活的窗口中,选择“密码最长期限” 选项,可以设置用户口令可以使用的时间,其取值范围为1?999天。之后,用户将被要求改变口令。为安全起见,应当要求用户经常更换他们的口令。在中等安全性的网络中,要求用户每45?90天更换一次口
令。在高等安全性的网络中,要求用户每14?45天更换一次口令。当然,也可以将
其设置为“密码永久有效” ,为了避免密码失窃,建议尽量不要这样设置。
“最短密码期限”选项,用来设置口令在被用户改变之前,必须要保持的时间,其取值范围为1?999天。值得注意的是:本项设置的时间一定要小于“③”中所设置的密码最长期限值。
“最短密码长度”选项,用来设置口令的最小长度,由于口令越长越难被破译,因此,在中等安全性的网络中,要求用户的口令长度为6?8个字符。在高等安全性网
络中,要求用户的口令长度为8?14个字符。当然,也可以设置为“允许空密码” ,即允许用户不设置密码,为了保证系统的安全,建议不要这样选择和设置。
2. Windows NT 的访问控制机制系统的资源包括系统本身、文件、目录和打印机等各种网络共
享资源以及其他对象。
在NT-SER 中,提供了控制资源存取的工具。对资源可以灵活地控制到特定的用户、多
个用户、nobody、用户组或所有人等。这些控制可以由资源的所有者、系统管理员用户,以及其他被授授予了资源控制权限的用户来完成。
15.1.2.2 文件和目录的安全性
网络中最主要的资源就是文件和目录,因此,几乎所有操作系统的访问控制机制的安全特性都取决于文件和目录的安全性。当然,文件和目录的安全也是Windows NT 安全模型的核心。文件和目录的安全性可以应用于单个文件、多个文件、目录或整个的目录结构。因此,NT 的资源访问控制系统,可以确定用户对目录和文件的访问和使用的权利。它除了规定了用户所能访问的网络信息资源的目录和文件外,还可以控制用户的访问层次和范围。
1. 通过共享许可(权限)保护网络资源
( 1 )共享的基本概念
共享和共享文件夹:当一个目录(文件夹)被共享时,用户就可以通过网络连接到该共享目录(文件夹)上,进而访问该文件夹中的所有文件和文件夹。因此,共享是一种开放共享资源的操作,而所开放的目录资源就被称为共享目录。
(2)共享许可(权限)
①共享许可。在共享许可情况下,用户可以通过共享目录(文件夹)来访问网络的程序、
数据和用户的宿主文件夹,但不能对目录下的文件具有单独和特定的权限。此外,当用
户从本地登录访问资源时,共享目录设置的权限(许可)是无效的。
②共享许可使用的目的。其基本目的是:避免网络中的每个用户都安装同样的文件和目
录。共享许可应用的另一个目的:是将安全性运用于网络的共享资源上,例如:共享
许可运用于目录上,可以实现共享目录的网络安全访问。
③FAT 分区中的共享许可。在FAT 分区上,共享许可是使得网络资源获得安全性的惟一
方法。而在NTFS 分区上,可以通过“共享许可” 与下面将要介绍的“文件许可
和目录许可”两种途径来对网络中的文件和目录资源进行保护。
④共享目录许可(权限)的类型。共享目录许可的类型有四种,由高到低依次表示为:完
全控制、更改、读取与拒绝访问。
(3)用户和组的共享许可
如果管理员需要控制用户对共享目录的访问,就要给用户分配共享目录的访问权限。共享资源的权限既可以被单独地分配给用户或组;也可以被同时分配给组和用户。因此,一个用户既
可以直接获得某个目录的使用权限,也可以作为组的成员获得该目录的使用权限。一般情况下,用户对某个资源的有效权限为用户权限和组权限的组合,即取用户和组权限中的较高权限。例如:如果用户对于某个目录具有了“读取”权限,同时Everyone 组被分配了该目录“完全控制”的访问权限。则由于该用户必定是Everyone 的组员,因此,用户和组的组合权限的结果是该用户对于这个目录具有“完全控制”的访问权限。
注意:“拒绝访问”权限是个例外,因为,“拒绝访问”权限总会覆盖掉其他权限,在上例中,假定该用户对该目录的权限为“拒绝访问”,而Everyone 组同样被分配了“完全控制” 权限,组合结果是该用户对于此目录的访问权限为“拒绝访问” 。
(4)对于用户和组分配共享许可的一般准则
①对被访问的资源确定允许访问的组。
②给组分配其应具有的访问许可的类型。
③在允许网络用户执行所需的任务的前提下,给共享资源分配最严格的权限。
④删除新共享文件夹上的给Everyone 组分配的“完全控制”的缺省权限。
注意:为了简化管理,应当尽量使用组账户进行权限设置的管理,即先把用户添加到组
中,再给需要访问该资源的组,而不是单个用户分配访问权限。
(5)共享目录的权限(许可)的应用
下面从网络安全的角度出发,将介绍为共享目录分配许可(权限)的步骤。
①依次选择“开始T程序T Windows NT资源管理器”命令选项,打开NT中的资源管理器窗
口。
②选择拟管理的“驱动器T目录”,单击鼠标右键,在激活的快捷菜单中,选择“属性”选
项。
③在所选目录的“属性”窗口,选择“共享”选项卡,在该窗口中,即可对以下内容进行设
置。
“共享名”选项处应输入该目录的共享名。应注意:管理员或用户可以通过在共享名后,加一个“ $”符号来创建一个隐藏的共享目录,当用户在浏览计算机时,$符号可以将此共享目录隐藏起来。拥有该隐藏目录使用许可的用户仍然可以使用它。
“用户个数”选项:并输入使用该资源的确定用户数目。“备注”选项:用于输入该共享资源的描述,通过描述能够标识共享目录的内容,该选项处可以空白。
④在“属性”窗口中,单击“权限”按钮。在激活的窗口中,可以为用户或组分配选定目录的
使用权限。此处,应先选择用户和组,再为其分配权限类型。可以选择的访问类型有“完全
控制” 、“读取”和“拒绝访问”等。
对于一个已共享的目录,管理员可以执行“停止该目录的共享”的操作。当然,管理员必须注意,如果停止一个用户正在使用的目录,则可能导致用户数据的丢失。因此,当需要停止目录的共享时,会出现一个对话框提醒有用户正连接到该共享目录上。
2. 通过NTFS 许可保护网络资源
Windows NT 操作系统一般是利用NTFS 文件系统,而不是FAT 文件系统来格式化硬盘的。在NTFS 分区中可以通过共享许可和文件和目录许可两种方式实现网络资源的安全保护。由此可见,在NTFS 分区上,除了能够实现文件和目录的共享之外,还能够在文件和目录一级实施安全措施。
(1)NTFS 许可(权限)
①NTFS 许可:NTFS 许可(权限)就是只能在NTFS 文件系统分区上使用的权限。
②使用NTFS 权限(许可)的目的:共享许可只能控制网络资源的访问,而不能阻止从本地登录时对硬盘的任何操作;即使用共享许可用户可以通过本地的交互式登录,从本地访问文件和目录,因此,共享许可不能保护目录和单个的文件。而NTFS 许可(权限)不但能够控制远程登录用户的访问,还能限制本地登录用户操纵文件和目录的能力。此外,在NTFS 中,还可以审核任何个人和组访问文件和目录事件的成败情况,即用户的权限可以分配给目录和单独的文件,所以采用NTFS 可以提供更高的安全性。
③NTFS 许可类型:可以按文件和目录许可分为两大类,即文件许可和目录许可两类。每类
NTFS 许可又可以分别包括NTFS 的标准许可和NTFS 的特殊访问许可两类。NTFS 的标准许可(权限):包括标准文件许可和标准目录许可两类。在大多数情况下,Windows NT 的文件系统中都使用NTFS 标准许可
NTFS 的特殊访问许可(权限):包括特殊文件访问许可和特殊目录访问许可两类。
④文件许可:用于控制对文件的访问。文件许可又可以进一步分为标准文件许可和特殊访问文
件许可两类。
标准文件许可的类型:拒绝访问(None )、读取(RX )、更改(RWXD )和完全控
制(All )等 4 种。
特殊访问文件许可的类型:读取(R)、写入(W)、执行(X )、删除(D)、更改许
可权(P)和获得所有权(O)等6种。
⑤目录许可:用于控制对NTFS 分区中各目录的访问。目录许可也可以进一步分为标准目录许
可和特殊访问目录许可两类。
标准目录许可的类型(文件和目录的访问权利):拒绝访问(None和None)、列表
(RX和未指定)、读取(RX和RX )、添加(WX和未指定)、添加与读取(RWX 和
RX )、更改(RWXD和RWXD )和完全控制(All )等7种。
特殊访问目录许可的类型:完全控制(All )、读取(R )、写入(W)、执行(X )、删除(D)、更改许可权(P)和获得所有权(O)等7种。
在NTFS 分区上创建目录或文件的用户将成为该文件或目录的所有者,而所有者总是能够分配和改变资源权限的。
NTFS 中文件的权限高于该文件存放目录所分配的权限。例如:一个用户对一个目录拥有
“写入”权限,对这个目录中的某文件却只有“读取”的权限时,则用户对该文件的权限是
“读取” 。
对于组账户和用户账户设置、使用和管理NTFS 权限的方法与FAT 文件系统中共享权限(许可)的类似,一个用户既可以被直接分配权限,也可作为组的成员被分配权限。
在共享许可中,权限可以分配给用户和组,但共享许可只能提供有限的安全性。
在NTFS 许可中,通过NTFS 许可和共享许可的组合,而获得网络资源的最大程度的安全性,在这两者许可中,限制最严格的权限是用户最终得到的有效权限。
(2)分配NTFS 许可(权限)的准则
①移去给Everyone 组的完全控制许可。
②给管理员组(Administrator 组)分配完全控制许可。
③对数据文件夹的创建组(Creator Owner 组)分配完全控制许可。
④让用户为自己的文件分配NTFS 许可。
⑤在完成任务的前提下,为用户分配最严格的权限。
(3)应用和分配NTFS 许可时的操作步骤
①在NTFS系统分区上的NT-SER或NT-WS上,依次选择“开始宀程序宀Windows NT
资源管理器”命令选项,打开“ NT 资源管理器”窗口。
②选择拟管理的目录或文件后,单击鼠标右键,在激活的快捷菜单中,选择“属性” 选项。
③在激活的选定目录或文件的“属性”窗口中,选择“安全性”选项卡,从中选择并单击“权
限”按钮。
④在激活的窗口中,通过选择“访问类型”来为当前的组和用户分配权限。在该窗口
中,所见到的是NTFS的标准权限。另外,从“访问类型”列表中,可以通过选择
“选择性目录访问”和“选择性文件访问”选项,进一步扩充目录的访问权限。
⑤选定之后,单击“添加”按钮,在激活的窗口中,可以为其他的用户和组分配所目
录或文件的NTFS权限。最后,单击“确定”按钮,完成对组或用户NTFS目录权
第10周-《网络操作系统》复习题
训练课题:_《网络操作系统》复习题第__10_周 一、填空题 1、Windows Server2003有两种授权模式:(每服务器)和(每客户)。 2、在Active Directory中有两种类型的组:(本地用户账户)和(域用户账户)。 3、在安装Windows NT Server后, 系统会自动创建两个全局帐号, 一个是(administrator) , 另一个是(Guest)。 4、Windows 2000动态磁盘可支持多种特殊的动态卷,包括(简单卷)、(跨区卷)(RAID-5卷)、带区卷、镜像卷等。 5、NTFS权限有6个基本的权限:完全控制、(修改)、读取及运行、列出文件夹目录、(读取)、(写入)。 6、使用C类IP地址的网络可支持的主机数为(254 )台。 7、IP地址共占用(32)个二进制位,一般是以4个(十进制)进制数来表示。 8、在OSI参考模型中,TCP是(传输)层上的协议,IP是(网络)层上的协议。 9、DNS域名解析的方法主要有(递归查询法) , (迭代查询法) 10、DNS是一个分布式数据库系统,它提供将域名转换成对应的( IP 地址)信息。 11、FTP服务器默认使用TCP协议的(21)号端口。
12、Web服务使用的默认TCP端口号为(80) 13、通过对打印机设置优先级,可以让重要的文档优先打印。 14、Windows网络的管理方式有:工作组和域。 15、在一个TCP/IP网络中,实现为计算机自动分配IP地址的服务,叫做 DHCP服务。 16、为了向用户提供完全合格域名(FQDN)的解析功能,需要在网络中安装并配置DNS 服务器。 17、针对不同的用户和环境,Windows Server2003产品的版本有:标准版、 Web版、标准版、数据中心版。 18、在Windows Server 2003中安装活动目录的命令是____dcpromo_____,活动目录存放在____活动目录数据库__________中。 19、Windows Server 2003服务器的3种角色是__域控制器____、_成员服务器__、_独立服务器__。 20、一个基本磁盘最多可分为_4__个区,即__4__个主分区或___3___个主分区和一个扩展分区。 21、DNS顶级域名中表示商业组织的是___com___。 二、单项选择题 1、在Windows Server 2003支持的文件系统格式中,能够支持
安全标准化体系文件目录及编号
安全标准化体系文件目录及编号 序号大类属性小类属性文件/台帐名称分类编号版本代码 1 法律、法规和标 准 制度 安全法律、法规、标准及 其他要求识别和获取管理 制度 WHAB-04-A-02 2012-A 文件/台帐 适用的安全生产法律法规 及其他要求清单 WHAB-01-B-01 2012-A 法律、法规和标准的文本 数据库 WHAB-01-B-02 2012-A 安全生产法律、法规、标 准及其它要求执行情况符 合性评价报告 WHAB-01-B-03 2012-A 记录 适用的法律法规、标准及 其他要求清单定期更新记 录 WHAB-01-C-01 2012-A 文件发放记录WHAB-01-C-02 2012-A 法规安全培训记录WHAB-01-C-03 2012-A 法规安全宣传记录WHAB-01-C-04 2012-A 2 机构和职责 制度 安全生产责任制WHAB-04-A-01 2012-A 安全生产费用管理制度WHAB-04-A-04 2012-A 领导干部带班制度WHAB-04-A-55 2012-A 安全生产责任制考核制度WHAB-04-A-58 2012-A 文件/台帐 关于发布安全生产方针、 目标的通知 WHAB-02-B-01 2012-A 发布公司年度安全生产目 标的文件 WHAB-02-B-02 2012-A 公司年度安全工作计划WHAB-02-B-03 2012-A 公司各级组织的年度安全 工作计划 WHAB-02-B-04 2012-A 各级组织安全目标责任书WHAB-02-B-05 2012-A 化工生产企业主要负责人 安全生产履职情况报告表 WHAB-02-B-06 2012-A 安全标准化实施方案WHAB-02-B-07 2012-A 安全文化建设方案WHAB-02-B-08 2012-A 主要负责人安全承诺文件WHAB-02-B-09 2012-A 关于标准化资源配备的通 知 WHAB-02-B-10 2012-A 安委会、安全部、安全员 设置文件 WHAB-02-B-11 2012-A 公司行政机构设置图WHAB-02-B-12 2012-A 安全管理网络WHAB-02-B-13 2012-A 关于设置治安保卫部和配 备专职治安保卫人员的通 知 WHAB-02-B-14 2012-A
第1章 基于Linux下KVM虚拟机的三种网络模式.概要
第1章基于Linux的KVM虚拟机三种网络模式KVM虚拟机是Kernel-based Virtual Machine的简称,是一个开源的系统虚拟化模块,自Linux 2.6.20之后集成在Linux的各个主要发行版本中。它使用Linux 自身的调度器进行管理,所以相对于Xen,其核心源码很少。 在高级网络操作系统课程中需要练习搭建各种服务器,为了操作简便,KVM 的使用势在必行,而KVM虚拟机所提供的三种网络模式,又是所有服务器连接的基点,想要有一个连通性好能够正常的运作的网络环境,学习这三种网络模式是很有必要的。 1.1 虚拟机 虚拟机(Virtual Machine)指通过软件模拟的具有完整硬件系统功能的,能运行在一个完全隔离的环境中的完整的计算机系统。 流行的虚拟机软件有VMWare(VMWare ACE),Virtual Box和Virtual PC,它们都能在Windows系统上虚拟出多个计算机。 当然还有下面介绍到的运行在Linux环境中的KVM虚拟机。 1.2 KVM虚拟机三种网络模式简介 1.2.1 桥接(Bridge)网络模式 桥接网络是指本地物理网卡和虚拟网卡通过VMnet0虚拟交换机进行桥接,物理网卡和虚拟网卡在拓扑图上处于同等地位,那么物理网卡和虚拟网卡就相当于处于同一个网段,虚拟交换机就相当于一台现实网络中的交换机,所以两个网卡的IP地址也要设置为同一网段。 所以当我们要在局域网使用虚拟机,用来对局域网其他计算机提供服务时,例如提供FTP,SSH,HTTP等服务时,那么就要选择桥接模式。 1.2.2 NAT网络模式 NAT模式中,就是让虚拟机借助NAT(Network Address Translation,网络地址转换)功能,通过宿主物理机所在的网络来访问公网。
施工现场安全生产保证体系
和信国际一期 施工现场安全生产保证体系 江苏九鼎环球建设科技集团有限公司 二〇一三年七月二十
安全生产保证体系目录 一、项目管理部承诺 二、工程概况 三、安全管理目标 四、支持性文件 五、安全管理组织机构 六、工程特点难点分析和重要部位 七、安全教育培训 八、文件控制 九、安全物资采购与进场验收 十、分包控制 十一、施工过程控制 十二、事故应急救援预案 十三、安全检查与隐患整改 十四、安全记录 十五、安全评估 附:1危险源与不利环境因素识别、评价和控制 附:2施工现场安全文明施工措施费用清单 附:3施工现场安全管理内业档案记录 附:4施工现场安全生产保证计划控制表
一、项目管理部承诺 项目管理部根据公司的安全方针和环境方针的指导,本项目部对业主和社会的承诺: 我们在生产建设施工过程中,根据危险源识别的各类危险和客观存在的粉尘、污水、噪音等不利环境因素,在生产的全过程中贯彻安全第一、预防为主,以人为本全面实施控制。尽可能地减少或预防不利的环境影响。 全面策划、合理防范、预防为主、加强宣传、改进工艺。保证安全资源的落实,保证安全管理目标实现,为企业争取最佳经济效益。 严格遵守国家和地方政府部门颁布的有关安全管理、环境管理法律、法规、规范和标准。 项目经理: 2013年7月20日
二、工程概况 工程简介: 和信国际一期位于复兴北路西侧,环城路南侧,本工程地下3层,地上18层,建筑高度99.6M (室外地面至女儿墙檐口)。结构体系现浇砼框架剪力墙结构。 本工程由江苏润安置业有限公司开发,由江苏九鼎环球建设科技集团有限公司中标承建,设计单位为江苏华晟建筑设计有限公司,监理单位为昆山市荣威项目管理有限公司。 设计抗震设防类别为丙类,抗震烈度7度,桩基直径600㎜,预制混凝土桩,基础筏板厚1300㎜,垂直运输,1-18层采用人货电梯。脚手架,2层以上采用钢管扣件悬挑脚手架;本工程用电设备较多,施工临时用电量大,为保证用电安全,采用TN-S三相五线接零保护系统。
网络操作系统复习题
一、单项选择题每小题2分 2.操作系统中采用多道程序设计技术来提高CPU和外部设备的() A.利用率 B.可靠性 C.稳定性 D.兼容性 答案:A 解析:多道程序设计的主要目的是充分利用系统的所有资源且尽可能地让它们并行操作。 3.允许在一台主机上同时连接多台终端,多个用户可以通过各自的终端同时交互地使用计算 机的操作系统是() A.网络操作系统 B.分布式操作系统 C.分时操作系统 D.实时操作系统 答案:C 解析:在一个系统中,如果多个用户分时地使用同一个计算机,那么这样的系统就称为分时系统。由此可知本题选C。 4.可以使系统并行操作更有效的是() A.采用进程 B.采用线程 C.采用分页存贮 D.采用批处理 答案:B 解析:采用线程提高系统的并行性比采用进程实现并行性更有效。 5.在下面对进程的描述中,不正确的是() A.进程是动态的概念
答案:D 解析:程序是指令的有序集合,是静态的概念;而程序和数据集合是进程存在的物质基础,即进程的实体。 6.在请求分页存储管理中,若采用FIFO页面淘汰算法,当分配的页面数增加时,缺页中断的 次数() A.减少 B.增加 C.无影响 D.可能增加也可能减少 答案:D 解析:缺页中断的次数与分配的页面数无关,因此在采用FIFO页面淘汰算法时中所产生的缺页中断的次数可能增加,也可能减少。 7.在下列文件的物理结构中,不利于文件长度动态增长的是() A.连续结构 B.串联结构 C.索引结构 D.Hash结构 答案:A 解析:连续结构是指一个逻辑文件的信息存放在文件存储器上的相邻物理块中,因此这种方法不利于文件长度动态增长。 8.位示图方法用于() A.进程的调度 B.盘空间的管理 C.文件的共享 D.进程间的通讯 答案:B 解析:位示图法为文件存储器存储空间建立一张位示图,用以反映整个存储空间的分配情况。
安全生产标准化体系文件一览表
安全生产标准化制度、台账、记录及其他资料 1、目标职责 序号文件类型名称文件编号归口编制部门配合部门完成日期备注1.1 目标 1制度安全生产与职业卫生目标管理制度安全环保部各部门修订2方针目标安全生产方针、年度总目标安全环保部各部门 3目标分解各部门安全生产与职业卫生目标(分解到班组)一线部门 4计划安全生产与职业卫生目标指标实施计划安全环保部各部门 5制度安全生产与职业卫生目标指标考核办法安全环保部 6记录安全生产与职业卫生目标指标监测记录安全环保部 7报告安全生产与职业卫生目标指标考评报告安全环保部各部门 8记录目标指标修订记录安全环保部 1.2 机构和职责 1制度设置安全生产和职业卫生管理机构、配备安全生 安全环保部各部门产各职业卫生管理人员的管理制度 2制度安全管理职责(包含在上一制度中)安全环保部3制度主要负责人及管理层职责(包含在《安全生产和安全环保部
职业卫生责任制》中) 4 组织机构安全管理组织机构图(第一条制度附件)安全环保部 5 任命书安委会主任任命文件安全环保部 6 制度安全生产会议管理制度安全环保部 7 会议纪要安全专题会议(通知、会议纪要、签到表)安全环保部 8 记录会议决议跟踪记录表安全环保部相关部门1.3 全员参与 1 制度安全生产责任制管理制度安全环保部 2 制度安全生产承诺制度安全环保部 3 记录安全生产责任制培训记录(培训记录表、评价)安全环保部 4 记录安全生产责任制考核记录安全环保部 5 记录安全生产责任制奖惩记录安全环保部 6 制度安全生产和职业卫生激励考核管理制度安全环保部 1.4 安全生产投入 1 制度安全生产费用提取和使用管理制度财务部门 2 计划安全生产费用使用计划财务部门各部门 3 台账安全生产费用使用台账财务部门
计算机网络应用基础习题(带答案)
计算机网络 1-3章练习题 一、选择题 (1) 人们将网络层次结构模型和各层协议定义为网络的() A) 拓扑结构 B)开放系统互联模型 C) 体系结构 D)协议集 (2) 关于网络体系结构,以下哪种描述是错误的? () A) 物理层完成比特流的传输 B) 数据链路层用于保证端到端数据的正确传输 C) 网络层为分组通过通信子网选择适合的传输路径 D) 应用层处于参考模型的最高层 (3)在因特网中,信息资源和服务的载体是() A) 集线器 B) 交换机 C) 路由器 D) 主机 (4)实现数据压缩与OSI模型中()层密切相关() A)表示层 B)数据链路层 C)物理层 D)传输层
(5)因特网(Internet)的起源可追溯到它的前身() A) ARPAnet B) DECnet C) NSFnet D) Ethernet (6)在TCP/IP体系结构中,TCP和IP所提供的服务层次分别为() A.应用层和运输 层B.运输层和网络层 C.网络层和链路 层D.链路层和物理层 (7) 根据计算机网络的覆盖范围,可以把网络划分为三大类,以下不属于其中的 是() A 广域网 B 城域网 C 局域网 D 宽带网 (8)网络中管理计算机通信的规则称为()。 A. 协议 B. 介质 C. 服 务 D. 网络操作系统 (9)在一座大楼内组建的一个计算机网络系统,属于()。 A. WAN B. LAN C.
MAN D. PAN (10)在TCP/IP协议簇的层次中,解决计算机之间通信问题是在()。 A、网络接口层 B、网际层 C、传输层 D、应用层 (11)完成路径选择功能是在OSI模型的()。 A、物理层 B、数据链路层 C、网络层 D、运输层 (12)计算机网络通信的一个显著特点是()。 A、稳定性 B、间歇性、突发性 C、安全性 D、易用性 (13)(4选2)网络按通信方式分类,可分为()和()。 A. 点对点传输网络 B. 广播式传输网络 C. 数据传输网络 D. 对等式网络 (14)在ISO/OSI参考模型中,同层对等实体间进行信息交换时必须遵守的规则称为()。 A.接口; B、协议 C、服务 D、对等层
安全生产组织机构、保证体系框架图.
安全生产组织机构、保证体系框架图 编制:温鑫 2015年03月08日 1 工程施工安全保证体系及保证措施 1-1 工程施工安全体系 1、安全管理目标 在整个施工期,杜绝各类重大事故;努力减少一般性事故。具体指标如下:(1)工伤事故:伤亡事故率0,其中重伤率0,死亡率=0‰,实现零目标;(2)火灾事故:直接经济损失率<5000元/人·年。 2、安全方针 坚持“安全第一,预防为主”的方针。 2 项目安全生产管理组织机构
3
安全生产保证体系图 机构职能说明: 在工程施工中,我单位将成立工地安全生产领导小组,作为本项目工程安全生产管理机构、安全生产领导小组由项目经理担任组长,亲自主持安全生产领导小组的工作,并安排一名项目副经理担任安全生产领导小组常务副组长,负责日常的安全施工生产。工地施工安全组织框图如图示。安全生产领导小组成员由安全生产部、质量技术部、设备物资部、计划财务部、综合办公室等各部长、主任和施工队负责人员组成,安全生产部配备施工安全监察员5人,负责本项目工程的安全隐患检察,督促整改。另外,工地设医疗站,配备一定的医疗设备和常用药物,保证遇有紧急情况及时抢救,并负责整个工地的医疗保健和对伤员的护理工作。各施工队配2—3名安全检查员,负责各施工队的施工安全监督工作。综合办公室下设一个治安组,配备正、副组长一名,负责工地巡逻、治安及工地综合治理等工作。 4、落实安全生产责任制 在本工程施工中,我单位将贯彻执行安全生产责任制,从领导到施工工人层层落实,分工负责,使“安全生产,人人有责”落到实处。 (1)项目经理 对整个工程的安全生产负全面责任。组织建立本工程的安全保证体系,制定安全管理细则,定期主持召开安全生产工作会议,组织定期安全检查,督促下级主管部门落实安全生产责任制。 (2)项目总工程师 认真贯彻国家和上级有关规定和安全技术标准,对本工程施工中一切技术问题负安全责任。将安全措施渗透到施工组织设计的各个环节中,并 5
安全生产保证体系
企业安全生产保证体系常州二建建设有限公司
1·总则 1.1 为了使施工现场安全管理规范化、科学化、标准化,进一步提高安全生产的水平,以期获得良好的环境效益、社会效益和经济效益,根据《中华人民共和国安全生产法》、《建筑工程安全生产管理条例》和上级有关规定,结合本公司实际,制定本安全生产保证体系。 1.2 本安全生产保证体系适用于本公司所有工程项目。 1.3 本公司安全生产保证体系由安全科建立、监督、指导,并保持安全生产保证体系的正常运行。 1.4 本公司所有工程项目的施工现场,除执行“安全生产保证体系”外,还应同时遵守国家及行业中的有关安全法律、法规及各项安全技术规范要求。 分包单位应结合分包工程特点,制定相应的安全保证计划,并纳入总包安全生产保证计划体系管理。 2·术语 2.1 安全生产。安全生产是为了预防生产过程中发生人身伤害、设备损毁等事故,保证职工在生产中的安全而采取的各种措施和活动。 2.2 安全策划。确定安全以及彩安全管理体系条款的目标和要求的活动。 2.3 安全体系。为实施安全管理所需的组织结构、程序、过程和资源。安全体系的内容应以满足安全目标的需要为准。 2.4 安全审核。确定安全活动和有关结果是否符合计划的安排,以及这些安排是否有效的实施并适合于达到预定目标的、系统的、独立的检查。 2.5 事故隐患。可能导致伤害事故发生的人的不安全行为,物的不安全状态、环境的不安全因素或管理制度上的缺陷。
2.6 业主。以协议或合同形式,将其拥有的建设项目交与建筑业企业承建的组织。业主的含义包括其授权人,业主也是标准定义中的采购方。 2.7 项目经理部。受建筑业企业委托,负责实施管理合同项目的一次性组织机构。也称“项目部”。 2.8 分包单位。以合同形式承担总包单位分部分项工程或劳务的单位。 2.9 供应商。以合同或协议形式向建筑企业企业提供安全防护用品、设施或工程材料设备的单位。 2.10 标识。采用文字、印鉴、颜色、标签及计算机处理等形式表明某种特征的记号。 3·安全体系要求 3.1 管理职责 3.1.1 制定安全管理目标 3.1.1.1 工程项目的安全管理目标,应由工程项目部制订,形成文件,并由项目安全生产的第一责任人——项目经理批准并跟踪执行情况。 3.1.1.2 安全管理目标是工程项目部安全管理的努力方向,应体现“安全第一,预防为主,综合治理”的方针,是项目管理目标的重要组成部分,并与企业的总目标相一致。安全管理目标通常应包括:(1)杜绝重大伤亡、设备、管线、消防事故; (2)安全标准化工地创建目标; (3)文明工地创建目标; (4)遵循安全生产和文明施工方面的有关法律、法规和规章制度的承诺; (5)其他需满足的目标。 3.安全管理目标应自上而下层层分解,明确到各部门、各岗位,确
网络操作系统试卷-A(答案)
(10)运行Windows Server 2003的计算机的磁盘分区可以使用三种: FAT16 、FAT32 、 NTFS 类型的文件系统。 (11)Windows Server 2003将磁盘存储类型分为两种:基本磁盘存储和动态磁盘存储。 (12)系统管理员可以为访问服务器资源的客户机设置磁盘配额,也就是限制它们一次性访问服务器资源的卷空间数量。 (13)带区卷又称为 RAID-0 技术,RAID-1又称为镜像卷,RAID-5又称为具有奇偶校验的带区卷。 (14)WINS工作过程有名称注册、名称刷新、名称解析、名称释放四个阶段。 (15)DHCP是采用客户端/服务器模式。 (16)工作组模式的特点是采用分布式的管理方式,资源和用户账号分散在各个计算机上,每个计算机上都有一套目录数据库,用以验证在该计算机上创 建的本地用户。 二、单项选择题:(每小题二分,共四十分) (1)有一台服务器的操作系统是Windows 2000 Server,文件系统是NTFS,无任何分区,现要求对该服务进行Windows Server 2003的安装,保留原数据,但不保留操作系统,应使用下列( B )种方法进行安装才能满足需求。 A、在安装过程中进行全新安装并格式化磁盘 B、对原操作系统进行升级安装,不格式化磁盘 C、做成双引导,不格式化磁盘 D、重新分区并进行全新安装 (2)在设置域账户属性时( C )项目不能被设置。 A、账户登录时间 B、账户的个人信息 C、账户的权限 D、指定账户登录域的计算机 (3)下列( C )账户名不是合法的账户名。 A、abc_123 B、windows book C、dictionar* D、abdkeofFHEKLLOP (4)Windows Server 2003组策略无法完成下列( A )设置。 A、操作系统安装 B、应用程序安装 C、控制面板 D、操作系统版本更新
网络基础知识
?什么是计算机网络 计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。 简单地说,计算机网络就是通过电缆、电话线或无线通讯将两台以上的计算机互连起来的集合。 计算机网络的发展经历了面向终端的单级计算机网络、计算机网络对计算机网络和开放式标准化计算机网络三个阶段。 计算机网络通俗地讲就是由多台计算机(或其它计算机网络设备)通过传输介质和软件物理(或逻辑)连接在一起组成的。总的来说计算机网络的组成基本上包括:计算机、网络操作系统、传输介质(可以是有形的,也可以是无形的,如无线网络的传输介质就是看不见的电磁波)以及相应的应用软件四部分。 ?计算机网络的主要功能 计算机网络的功能要目的是实现计算机之间的资源共享、网络通信和对计算机的集中管理。除此之外还有负荷均衡、分布处理和提高系统安全与可靠性等功能。 1、资源共享 (1)硬件资源:包括各种类型的计算机、大容量存储设备、计算机外部设备,如彩色打印机、静电绘图仪等。 (2)软件资源:包括各种应用软件、工具软件、系统开发所用的支撑软件、语言处理程序、数据库管理系统等。 (3)数据资源:包括数据库文件、数据库、办公文档资料、企业生产报表等。 (4)信道资源:通信信道可以理解为电信号的传输介质。通信信道的共享是计算机网络中最重要的共享资源之一。 2、网络通信
通信通道可以传输各种类型的信息,包括数据信息和图形、图像、声音、视频流等各种多媒体信息。 3、分布处理 把要处理的任务分散到各个计算机上运行,而不是集中在一台大型计算机上。这样,不仅可以降低软件设计的复杂性,而且还可以大大提高工作效率和降低成本。 4、集中管理 计算机在没有联网的条件下,每台计算机都是一个“信息孤岛”。在管理这些计算机时,必须分别管理。而计算机联网后,可以在某个中心位置实现对整个网络的管理。如数据库情报检索系统、交通运输部门的定票系统、军事指挥系统等。 5、均衡负荷 当网络中某台计算机的任务负荷太重时,通过网络和应用程序的控制和管理,将作业分散到网络中的其它计算机中,由多台计算机共同完成。 计算机网络的特点 1、可靠性 在一个网络系统中,当一台计算机出现故障时,可立即由系统中的另一台计算机来代替其完成所承担的任务。同样,当网络的一条链路出了故障时可选择其它的通信链路进行连接。 2、高效性 计算机网络系统摆脱了中心计算机控制结构数据传输的局限性,并且信息传递迅速,系统实时性强。网络系统中各相连的计算机能够相互传送数据信息,使相距很远的用户之间能够即时、快速、高效、直接地交换数据。 3、独立性
安全生产组织机构、保证体系框架图
裕达工程实业有限公司 中山东润华庭项目部 安全生产组织机构、保证体系框架图 编制:中山东润项目部 2006年5月1日
工程施工安全保证体系及保证措施 1-1 工程施工安全体系 1、安全管理目标 在整个施工期,杜绝各类重大事故;努力减少一般性事故。具体指标如下: (1)工伤事故:伤亡事故率<4‰,其中重伤率<1‰,死亡率=0‰,实现零目标; (2)火灾事故:直接经济损失率<5000元/人·年。 2、安全方针 坚持“安全第一,预防为主”的方针。 2
安全生产组织机构图 3
4
机构职能说明: 在工程施工中,我单位将成立工地安全生产领导小组,作为本项目工程安全生产管理机构、安全生产领导小组由项目经理担任组长,亲自主持安全生产领导小组的工作,并安排一名项目副经理担任安全生产领导小组常务副组长,负责日常的安全施工生产。工地施工安全组织框图如图示。安全生产领导小组成员由安全生产部、质量技术部、设备物资部、计划财务部、综合办公室等各部长、主任和施工队负责人员组成,安全生产部配备施工安全监察员5人,负责本项目工程的安全隐患检察,督促整改。另外,工地设医疗站,配备一定的医疗设备和常用药物,保证遇有紧急情况及时抢救,并负责整个工地的医疗保健和对伤员的护理工作。各施工队配2—3名安全检查员,负责各施工队的施工安全监督工作。综合办公室下设一个治安组,配备正、副组长一名,负责工地巡逻、治安及工地综合治理等工作。 4、落实安全生产责任制 在本工程施工中,我单位将贯彻执行安全生产责任制,从领导到施工工人层层落实,分工负责,使“安全生产,人人有责”落到实处。 (1)项目经理 对整个工程的安全生产负全面责任。组织建立本工程的安全保证体系,制定安全管理细则,定期主持召开安全生产工作会议,组织定期安全检查,督促下级主管部门落实安全生产责任制。 (2)项目总工程师 认真贯彻国家和上级有关规定和安全技术标准,对本工程施工中一切技术问题负安全责任。将安全措施渗透到施工组织设计的各个环节中,并检查执行情况。组织安全技术攻关活动,从技术方面提出安全保障措施。 5
网络操作系统最主要的作用是处理
网络操作系统最主要的作用是处理 B 资源的最大共享及资源共享的局限性之间的矛盾 下面关于Windowns NT描述正确的是 D 如果BDC出现故障,PDC可以转换为BDC UNIX系统中具有最高权限的用户名是 B.root Netware的核心协议(NCP)提供了一系列的 D 控制协议 网络通信软件的任务是根据协议来控制和管理 D 程序间通信 Netware采用的通信协议是 D SPX/IPX ====================================================================== 1.Windows NT是一种(). 多用户多进程系统 2.网络操作系统是一种()。 系统软件 3.网络操作系统为网络用户提供了两级接口:网络编程接口和()。 操作命令接口 4.构成网络操作系统信息机制的是()。 B.通信原语 5.网络操作系统主要解决的问题是()。 网络资源共享与网络资源安全访问限制 6.以下属于网络操作系统的工作模式为()。 Client/Server ===================================================================== 1, 下面的操作系统中,不属于网络操作系统的是() DOS
2. 对网络用户来说,操作系统是指() 一个资源管理者 3. UNIX是一种() 多用户多进程系统 4. 允许一台主机同时连接多台客户端,同时为多个客户端提供服务的计算机的操作系统是() 网络操作系统 5. 下列不属于网络操作系统的安全性的是() 用户能管理和中止系统运行 6.在客户/服务器模式下的网络操作系统主要是指() 服务器操作系统
电子11级网站建设期末试题
一、以下为选择题(每小题1分,共20小题20分) 1.( B )定义鼠标放在链接上时文本的颜色。 A.链接B.变换图像链接 C.已访问链接D.活动链接 2.可以选做跟踪图像的图像格式不可能有( D )。 A.JPEG B.GIF C.PNG D.BMP 3.链接的文件在一个未命名的新浏览器窗口中打开应在“目标”下拉菜单中选择( A )。 A._blank B._parent C._self D._top 4.应用程序中的所有页面均可以访问( B )变量。 A.Session B.Application C.Server D.ViewState 5.( B )和( )方法用于确保应用程序级变量不会同时被多个用户更新。 A.Block()和Unblock() B.Lock()和Unlock() C.Server和()Session() D.Lock()和Key() 6.在ASP .NET框架中,服务器控件是为配合Web表单工作而专门设计的。服务器控件有两种类型,它们是( A )。 A.HTML控件和Web控件B.HTML控件和XML控件 C.XML控件和Web控件D.HTML控件和IIS控件 7.允许为主页的扩展名的是( B )。 A.DBF B.ASP C.DOC D.JPG 8.Style子目录用于存放( B )。 A.图像B.样式表文件C.数据库D.网页文件 9.网站标识对应的英文拼写是( D )。 A.SiteMap B.Addr C.Brand D.Logo 10.超级链接主要可以分为文本链接、图像链接和( A )。 A.锚链接B.瞄链接 C.卯链接D.瑁链接 11.CSS表示( C )。 A.层B.行为 C.样式表D.时间线 12.