网络系统的容错和安全设计
第一章网络系统的容错设计
一. 网络容错概述
采用用友网络财务软件NC(基金Web版)Web系统后,基金管理公司及托管行的所有数据都存放在数据库服务器中,服务器的宕机,会给企业带来巨大的损失;这就要求一旦生产用服务器产生任何形式的宕机或失效,网络上备用的服务器能够立即接管宕机的服务器使整个系统不至于崩溃,从而保证整个企业的业务连续运作。保证系统高可用性,应从以下几方面着手设计:
1、数据镜像
数据镜像是一种有效、高性能的高可用性解决方案,它不需要昂贵的RAID磁盘子系统,也无需考虑SCSI接口对缆线长度的限制。可扩展的磁盘镜像运行在两台相互独立又有备份逻辑的服务器之间。通过不断检测主系统磁盘或文件(源)的状态,而实时地将改动的信息镜像到目标机器的相应磁盘上或文件中。
为了保证数据的完整性,扩展镜像限制了用户对目标磁盘或文件的写操作。通过使用可扩展的磁盘镜像,源系统的任何数据更新将通过LANs和W ANs镜像到用户指定的目标系统上,当源系统发生数据丢失或硬盘损坏时在目标系统上将保留一份镜像数据。有些可扩展的磁盘镜像软件可以实现一对一、一对多、多对一及多对多的数据镜像而不需要任何附加的硬件设备。
2、故障切换
从系统确信不能收到来自主系统的”alive”心跳信号后,就开始启动从系统上的自动恢复功能,将主系统上的需要保护的资源自动转移到从系统上,并开始向客户提供服务。一个比较好的机制在于如果从系统感觉不到主系统的心跳后,试图通过其他途径做进一步地检测(例如检测其他客户机是否不能获得主系统的服务)。
故障切换的时间是指从系统自确信主系统“死掉”后,到完全接管主系统并向客户提供服务止所经历的时间,时间越短,热备份程度越高。当从服务器发生故障时,不应对主系统有任何影响。
3、失效切换
源要转移到从系统上去,这就不但要求系统中的核心数据能转移过来,还要求将其他资源转移过来。与客户关系比较密切的资源主要是:LAN局部网名,IP地址、应用程序、以及应用程序所依赖的数据。
4、自动恢复
要求在主服务器失效后,修复好后,IP地址、局部网名字、数据应用与服务应该方便地恢复到主服务器上
5、私有通信
纯软件实现的双机容错技术要求将主服务器的关键数据完全镜像到从服务器,大量的数据如果通过网络进行,必然会对网络性能造成影响,另外主从服务器的相互检测机制也会不同程度的影响网络性能。因此纯软件实现的双机容错技术能够提供附加的网卡链路将会有很大的好处。
6、应用保护
双机容错系统应该提供非常可靠的应用程序保护机制,对于常用的数据库和群件系统应该能够进行无缝集成。
7、写盘延迟
这是一个比较重要的参数,是指数据写入主服务器与写入从服务器的时间差。
二. Windows NT平台下的双机容错软件——Legato Octopus
Octopus HA+ for Windows NT提供一个完全容错的软件解决方案,它提供数据、应用程序和通讯资源的高度可用性。Octopus不需要任何自定义的容错硬件。Octopus提供了Windows NT网络平台的数据容错和实时数据保护,并且能够模拟从一台失效的源服务器切换到指定的目标服务器的全部手工作业过程,用来提供不间断的服务器的所有业务服务。Fulltime公司研制开发的Octopus软件提供了Windows NT网络平台的双机热备份功能。它能够实现数据容错和实时数据保护,源系统的任何数据更新将通过LANs和WANs镜像到用户指定的目标系统上,当源系统发生数据丢失或硬盘损坏时在目标系统上能够得到一份镜像文件。Octopus可以实现一对一、一对多、多对一及多对多的数据镜像而不需要任何附加的硬件设备。它还能够模拟从一台失效的源服务器切换到指定的目标服务器的全部手工作业过程。它通过设计一个"检测狗"判定源服务器的连续运做。一旦"检测狗""闻"不到源服务器的"气息",目标服务器将自动接管源服务器的作业(包括主机名及IP地址)。Octopus消除了CPU损坏,硬盘损坏等灾难的不良影响,使得用户业务可以连续正常运行。
Octopus HA+ for Windows NT为Windows NT网络提供实时数据保护和服务器高可用性,通过LAN或W AN,产品捕捉在源系统上选定文件的更新,传递到使用者指定的目标系统的磁盘。即使源系统发生数据丢失或硬件损坏,在目标系统上也能保留一份实时的数据。
用户将Octopus安装在要作为源和/或目标服务器的Windows NT上。安装和配置Octopus 非常容易,只需几分钟。
Octopus可运行于任何Windows NT支持的网络接口上,并且不需要指定特殊的网卡。当然,用户也可以指定特殊的网卡以减少网络负担。对源机器,用户指定要备份的驱动器,目录和/或文件,并指定用来保存数据的目标系统。当源机器上指定文件发生改变,Octopus 镜像进程把变化同步写入目标服务器的指定位置。如果源和目标服务器的网络连接发生中断,Octopus保存源服务器上需镜像的数据变化的日志,网络连接恢复正常后,再把数据变化日志自动地传送到目标服务器,目标服务器执行相同的数据变化,以实现数据一致。Octopus能实现一对一,一对多,多对一或多对多方式的数据镜像。因此,除数据保护之外,它还能作为分布式数据系统的高效率的数据传送工具循环。例如,对需要很多只读版本和一个读写版本的WEB节点,Octopus非常适用;另一方面,如果应用系统需要收集远端节点的数据并集中于中央节点,可以使用Octopus多对一方式的数据镜像。
除数据保护之外,Octopus也提供核心业务环境下所需的服务器高可用性和业务连续性。SASO(Super Auto Switch-over)特性提供目标服务器自动担任一或多个源服务器的角色的功能。在源服务器上用户设定一个"心跳"频率,"心跳"频率决定了源服务器向目标服务器发送
"I'm alive"消息的频率和目标服务器多长时间收不到源服务器的消息后就开始自动切换。
如果目标系统在限定的时间之内接收不到源系统"I'm alive"报文,它检查Windows NT 注册表和服务数据库。如果Windows NT能在网络上找到源服务器,它就持续监视,如果找不到,就启动Switch-over进程。
在大的网络它可能花很长时间来搜索Windows NT注册表和服务数据库。因此Octopus 提供一个最大等待时间参数,告诉Octopus不必等搜索完成,就启动切换进程。这个特性使用户可以指定一个目标服务器寻找源服务器的最大时间,如果在这个时间内目标服务器收不到源服务器的信息,就假定源服务器失效并开始进行切换。
通过SASO,目标服务器添加源服务器的主机名,及用户指定的IP地址,用户还可以指定在切换前/后要停止/启动的服务或应用。切换后,目标服务器自身的应用仍可使用,并且可加入多个失效服务器的角色。网络中的用户可以继续工作而感觉不到服务器已经失效并已经被切换。而通过ASO则是目标服务器完全切换成源服务器的主机名,代替源服务器的工作。
如果你有Windows NT服务器,通过Octopus的实时数据保护和高可用性,可保护你的服务器和有价值的数据。
Octopus软件的特性:
a. 没有延迟实时镜像数据;
b. 镜像实际文件操作,不是全文件比较或拷贝;
c. 镜像使用者指定的文件、目录、或磁盘,而不是整个磁盘、分区或卷集;
d. 可对打开的文件进行操作;
e. 对删除的保护;
f. 每个服务器都可做为源或目标;
g. 数据可以通过NT网络镜像到任何地方;
h. 无须附加的硬件;
i. 允许镜像至多个位置;
j. 自动切换无须人工干涉;
k. Super Automatic Switch-Over 允许目标服务器可接管多台服务器的服务而不影响本身的应用;
l. 在切换时可指定服务、应用;
m. 远程管理或安装;
n. 可以选用附加的网卡来减轻网络负担。
三.惠普双机双控容错系统方案
(1)惠普双机双控容错系统简介
近年来随着计算机技术的飞速发展,服务器的性能有了大幅度的提升,服务器作为处理关键性事物的业务主机已随处可见。对于要求有高可用性和高安全性的系统,比如金融、邮电、交通、石油、电力、保险、证券等行业,用户提出了系统容错的要求。惠普公司根据用户这一要求,推出了惠普双机双控容错系统方案。用二台服务器共同工作,当一台服务器的系统出现故障时,另一台服务器可确保系统正常运行,从而将系统风险降低到最低限度,保障了系统的高可靠性、高安全性和高可用性。
惠普双机双控容错系统技术基础为近年来成熟起来的Cluster集群技术。Cluster集群技术出发点是提供高可靠性、可扩充性和抗灾难性。惠普双机双控容错系统解决方案重点在提供高可靠性和高安全性,Cluster集群技术为此提供了技术上的保证。惠普公司为金融、邮电、交通、石油、电力、保险、证券等需要安全运行的系统度身定作了基于Cluster集群技术的双机双控容错系统方案。
Cluster集群技术
Cluster集群技术可如下定义:一组相互独立的服务器在网络中表现为单一的系统,并以单一系统的模式加以管理。此单一系统为客户工作站提供高可靠性的服务。
Cluster大多数模式下,集群中所有的计算机拥有一个共同的名称,集群内任一系统上运行的服务可被所有的网络客户所使用。Cluster必须可以协调管理各分离的组件的错误和失败,并可透明地向Cluster中加入组件。
一个Cluster包含多台(至少二台)拥有共享数据储存空间的服务器。任何一台服务器运行一个应用时,应用数据被存储在共享的数据空间内。每台服务器的操作系统和应用程序文件存储在其各自的本地储存空间上。
Cluster内各节点服务器通过一内部局域网相互通讯。当一台节点服务器发生故障时,这台服务器上所运行的应用程序将在另一节点服务器上被自动接管。当一个应用服务发生故障时,应用服务将被重新启动或被另一台服务器接管。当以上任一故障发生时,客户将能很快连接到新的应用服务上。
图1-1 Cluster集群技术示意图
Cluster集群可由N台服务器构成,当我们取Cluster要求的最小值N=2时,就成为一个双机系统。
(2). HP NetServer Clusters 双机双控容错系统方案
惠普NetServer为双机双控容错系统提供了高品质和高可靠的硬件基础。惠普把稳定的产品与先进的技术相互结合,为客户提供全套的解决方案。
惠普双机双控容错系统结合了惠普服务器产品的安全可靠性与Cluster技术的优点,相互配合二者的优势。惠普NetServer服务器针对Cluster技术做了许多优化和改进,满足了Cluster所有硬件连接要求,针对Cluster需求专门设计了惠普独有的Cluster Adapter,以及特殊版本的NetRAID阵列卡。惠普与第三方软件厂商一起充分分析了客户的需求,基于UNIX应用环境的实际情况,研制了双机双控软件Server Guard;基于Windows NT应用环境的实际情况,研制了双机双控软件DataWare。与微软公司合作,提供了运行WolfPack的硬件平台。惠普双机双控容错系统是惠普提供的全套解决方案,并由惠普提供技术保障。
图1-2 惠普双机双控容错系统示意图
第二章网络的安全规划与设计
一.网络系统安全综合解决方案
由于大型网络系统内运行多种网络协议(TCP/IP,IPX/SPX,NETBEUA),而这些网络协议并非专为安全通讯而设计。所以,网络系统可能存在的安全威胁来自以下方面:
1、操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
2、防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。
3、来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。
4、采用的TCP/IP协议族软件,本身缺乏安全性。
5、未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。
6、应用服务的安全。许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
二.局域网安全解决方案
由于局域网中采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,黑客就可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。
1、网络分段
网络分段是保证安全的一项重措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
2、VLAN的实现
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制,但应用了交换机和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此,防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的问题:执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。采用基于MAC 的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
三.广域网安全解决方案
由于广域网采用公网传输数据,因而在广域网上进行传输时信息也可能会被不法分子截取。如分支机构从异地发一个信息到总部时,这个信息包就可能被人截取和利用。因此在广域网上发送和接收信息时要保证:
1、除了发送方和接收方外,其他人是不可知悉的(隐私性);
2、传送过程中不被篡改(真实性);
3、发送方能确信接收方不是假冒的(非伪装性);
4、发送方不能否认自己的发送行为(非否认)。
如果没有专门的软件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的,只要使用现在可以很容易得到的“包检测”软件即可。如果从一个联网的UNIX 工作站上使用“跟踪路由”命令的话,就可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统,所有这些都被认为是最容易受到黑客攻击的目标。一般地,一个监听攻击只需通过在传输数据的末尾获取IP包的信息即可以完成。这种办法并不需要特别的物理访问。如果对网络用线具有直接的物理访问的话,还可以使用网络诊断软件来进行窃听。对付这类攻击的办法就是对传输的信息进行加密,或者是至少要对包含敏感数据的部分信息进行加密。
(1)、加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性,因而这一类安全保障技术的基石是使用放大数据加密技术及其在分布式系统中的应用。
数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。
对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难,从而使用成本较高,保安性能也不易保证。这类算法的代表是在计算机专网系统中广泛使用的DES算法(Digital Encryption Standard)。
不对称型加密算法也称公用密钥算法,其特点是有二个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有二个密钥,它特别适用于分布式系统中的数据加密,在Internet中得到广泛应用。其中公用密钥在网上公布,为数据对数据加密使用,而用于解密的相应私有密钥则由数据的接收方妥善保管。
不对称加密的另一用法称为“数字签名”(digital signature),即数据源使用其私有密钥对数据的求校验和(checksum)或其它与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读“数字签名”,并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法(Digital Signature Algorithm)。不对称加密法在分布式系统中应用需注意的问题是如何管理和确认公用密钥的合法性。
不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密,例如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(SHS-Secure Hash Standard)。
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这方面的努力之一。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用Kerberos服务的telnet、NFS、rlogion等,以及用作电子邮件加密的PEM (Privacy Enhanced Mail)和PGP(Pretty Good Privacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
(2)、数字签名和认证技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
(3)、User Name/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、login等,但此种认证方式过程不加密,即password容易被监听和解密。
(4)、使用摘要算法的认证
Radius(拨号认证协议)、OSPF(路由协议)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能技术出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
(5)、基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
(6)、数字签名
数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据,CA使用私有密钥技术其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算机能力上不可行的。并且,如果消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。
通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥,并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。
下表列出了加密模式使用的密钥技术
基于此种加密模式,需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。
(7)、VPN技术
网络系统总部和各分支机构之间采用公网网络进行连接,其最大的弱点在于缺乏足够的安全性。企业网络接入到公网中,暴露出两个主要危险:
a、来自公网的未经授权的对企业内部网的存取。
b、当网络系统通过公网进行通讯时,信息可能受到窃听和非法修改。
完整的集成化的企业范围的VPN安全解决方案,提供在公网上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。
VPN技术的原理:
VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。其处理过程大体是这样:
a、要保护的主机发送明文信息到连接公共网络的VPN设备;
b、VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。
c、对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
d、VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
e、VPN 设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
(8)、IPSec
IPSec作为在IPv4及IPv6上的加密通讯框架,已为大多数厂商所支持。IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式,Authentication Header(AH)及encapsulating security payload(ESP)。IPSec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。
IPSec包含两个部分:
a、IP security Protocol proper,定义IPSec报头格式。
b、ISAKMP/Oakley,负责加密通讯协商。
IPSec提供了两种加密通讯手段:IPSec Tunnel:整个IP封装在Ipsec-gateway之间的通讯。
Ipsec transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。
IPsec Tunnel 不要求修改已配备好的设备和应用,网络黑客不能看到实际的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道,因此,绝大多数厂商均使用该模式。
ISAKMP/Oakley使用X.509数字证书,因此,使VPN能够容易地扩大到企业级。(易
于管理)。
在为远程拨号服务的Client端,也能够实现IPsec的客户端,为拨号用户提供加密网络通讯。由于IPsec即将成为Internet标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。
(9)、如何保证远程访问的安全性
对于从外部拨号访问总部内部局域网的用户,由于使用公用电话网进行数据传输所带来的风险,必须严格控制其安全性。首先,应严格限制拨号上网用户所访问的系统信息和资源,这一功能可通过在拨号访问服务器后设置NetScreen防火墙来实现。其次,应加强对拨号用户的身份认证,使用RADIUS等专用身份验证服务器。一方面,可以实现对拨号用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP for Business Security,对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN(虚拟专网)技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
四.防火墙技术
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。
1、防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙能有效地防止外来的入侵,它在网络系统中的作用是:
(1)、控制进出网络的信息流向和信息包;
(2)、提供使用和流量的日志和审计;
(3)、隐藏内部IP地址及网络结构的细节;
(4)、提供VPN功能;
2、使用防火墙的益处
(1)、保护脆弱的服务
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。
(2)、控制对系统的访问
防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server和Web Server。
(3)、集中的安全管理
防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可
访问内部网。
(4)、增强的保密性
使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。(5)、记录和统计网络利用数据以及非法使用数据
防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,并且,防火墙可以提供统计数据,来判断可能的攻击和探测。
(6)、策略执行
防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。
3、防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
(1)、数据包过滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
(2)、应用级网关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
(3)、代理服务
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接",由两个终止代理服务器上的" 链接"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
4、防火墙在大型网络系统中的部署
根据网络系统的安全需要,可以在如下位置部署防火墙:
(1)、局域网内的VLAN之间控制信息流向时。
(2)、Intranet与Internet之间连接时(企业单位与外网连接时的应用网关)。
(3)、在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,(通过公网ChinaPac,ChinaDDN,Frame Relay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离,并利用VPN构成虚拟专网。
(4)、总部的局域网和分支机构的局域网是通过Internet连接,需要各自安装防火墙,并利用NetScreen的VPN组成虚拟专网。
(5)、在远程用户拨号访问时,加入虚拟专网。
(6)、ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。
(7)、两网对接时,可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT),地址映射(MAP),网络隔离(DMZ),存取安全控制,消除传统软件防火墙的瓶颈问题。
在防火墙领域,往往产品千百种,既有硬件防火墙也有软件防火墙,既有针对Intranet 产品,也有针对Extranet和VPN的专门产品,更有以上“三者合一” 防火墙产品,等等。
a、CheckPointFirewall-1
CheckPoint公司在防火墙市场中占据较大的市场份额,拥有众多的合作伙伴,并和其他大公司建立了伙伴关系。该公司不仅开发防火墙产品,而且还涉足带宽和IP地址管理等关键技术产品领域。最近,CheckPoint和数家ISP以及防火墙服务提供商签订协议,在这个快速发展的市场中牢牢地占据了主要地位。该公司最重要的产品是FireWall-1,该产品可以在需要多个防火墙并行运行或者基于相同策略运行的环境中发挥作用。
b、Cisco PIX Firewall 520
Cisco公司的PIX产品在防火墙硬件市场中占据主导地位,并占领了整个防火墙市场19%的份额。由于现在用户对于基于Windows NT的防火墙需求逐渐增加,该公司通过一系列的并购行动开始向软件防火墙市场渗透。
PIX其吞吐可达150Mbps,而且使用NA T时不影响其性能。它可以防止有害的SMTP 命令,但对FTP,它不能对get和put进行限制。PIX的管理风格和Cisco路由器命令接口风格类似。PIX的管理需要有一台NT服务器专门运行该软件,通过Web来访问,但使用Web界面管理PIX只能进行简单的配置改变。它的日志和监控能力较弱,所有日志须送到另一台运行syslog的机器上。
c、微软ProxyServer2.0
Microsoft的早期产品ProxyServer1.0防火墙/缓存产品功能非常有限。所以Microsoft没有将该产品定位为防火墙产品,只是定位为一般的缓存服务器,改善Internet的访问速度。由于Windows NT具有极大的装机量,而且ProxyServer2.0本身功能的改进,ProxyServer2.0成为Windows NT防火墙市场中的有力竞争者。但是该产品还是面向中小型企业。使用CheckPoint等高端产品的用户不太有可能转移到Proxy Server中。
d、NAI-Gauntlet防火墙
NAI公司的防火墙产品Gauntlet Firewall源于TIS公司的Internet Firewall Toolkit,在TIS 公司的Web站点上,该防火墙工具箱被下载超过50,000次,使其成为事实上互联网上应用最广泛的防火墙产品。Gauntlet Firewall的实现基于NAI公司开创性的自适应代理技术,集成了用户透明代理、集成管理、VPN、内容安全检测等功能特性,保护内外网间的服务往来。同时,在不损害网络安全的情况下提供高效的吞吐量。
Active Gauntlet可自动对系统进行优化和安全审计,并能够根据网内安全监控系统的警报自动调整防火墙安全策略。与专用的病毒扫描服务器配合,能够提供实时的病毒扫描和清除。
e、Netscreen
美国NetScreen Technologies公司推出Netscreen防火墙具有独特的ASIC设计和已申请专利保护的系统体系结构为重要的企业数据提供了最可靠的安全保障。NetScreen首创用单一的硬件平台将防火墙、虚拟专用网(VPN)、带宽控制、优先级设置、负载平衡等功能集于一身。
f、Sun ScreenEFS
Sun ScreenEFS软件是Sun公司的战略性划分工具,企业可籍此部署多重屏蔽来保护各个部门和站点。它使用的State-of-the-art SKIP加密技术保证了网络通信的安全并且是部门之间、远程站点之间以及合作伙伴之间通信的基础结构。SKIP能保护数据的传送,确保数据的完整(不被改变),以及提供高级别的认证授权。Sun ScreenEFS具有TCP以及UDP两种服务。就UDP而言,Sun ScreenEFS仍保持着对安全与性能进行改进的特性。Sun ScreenEFS 的目标是成为企业的标准防火墙,用于部署到成百上干个部门或站点上。
g、中网IP防火墙
不久前中网推出了IP防火墙。这一产品实际上是集IP流量计费,流量控制,网络管理,用户验证,安全控制于一身的综合防火墙。这一系统为用户提供了防止外部攻击,保护内部网络,解决网络边界的安全问题;支持访问代理功能;对IP地址、端口进行访问控制;按照某种政策进行访问控制;基于IP地址进行流量统计;按费用进行流量限制等诸多功能。
第三章用友网络财务软件NC(基金Web版)
严密的安全控制机制
在广域网上运行的财务管理系统,安全性特别重要,用友网络财务软NC (基金Web版)在安全方面作了以下控制:
一、广域网上常见的黑客攻击手段都是利用Web服务器软件的一些漏洞,修改Web服务软件参数,然后上传Web页面文件或驻留程序,达到修改Web页面指向等方法来攻击Web服务器或取得Web服务器的控制权。而用友网络财务软件NC(基金Web版)在逻辑上由四层组成,财务应用的核心是应用服务器和数据库服务器,因此只要将Web服务器在物理上与应用服务器和数据库分离,同时在Web服务器上安装防火墙软件,就可保证财务系统不受非法攻击。
二、JA V A语言在安全方面做了严格的限制,保证浏览器操作的安全。JA V A限制不可信的Applet对本地资源进行访问,缺省时所有程序在JA V A“沙箱”中运行,这样可以确保计算机上的数据和诸如打印机和硬盘等资源受到保护。在用友网络财务软件NC (基金Web 版)的程序设计中,对需要访问本地资源诸如打印机或硬盘的Applet进行了签名,当Applet 通过网络进行了加载时,就弹出一个对话框询问用户是否愿继续执行附有该签名的操作,通过用户确认的签名才能下载执行,使这种执行本地操作的JA VA Applet非常安全可靠。
三、大型数据库提供完善的安全机制,它们通常将操作系统和数据库的权限相结合,对敏感数据通过多种交叉的权限控制其存取,给连接计算机的用户赋予各种权限,如查看、修改和创建数据库等。用友网络财务软件9.0(基金Web版)充分利用这些安全机制来保证数据的安全,严格禁止了客户端直接对数据库操作。利用大型数据库提供的数据复制功能,通过专线或互联网等方式可将分子机构服务器上的数据定时传送到的服务器上,从而实现了数据的异地备份。
四、用友网络财务软件NC (基金Web版)自身提供用户身份认证、分组权限控制、功能权限控制、数据权限控制、操作日志监控等五级权限控制和安全防护。
安全系统工程考试试题 答案 Company number:【0089WT-8898YT-W8CCB-BUUT-202108】
《安全系统工程》考试试题答案 一、填空题(每空4分,共20分) 1、安全系统工程的主要内容包括以下四个方面,即 事故致因理论、系统安全分析、安全评价和安全措施,其核心内容是系统安全分析。 2、4M 因素指 人 、 物 、 管理 、 环境 。 3、事故树作图时,常用的图形符号有三种,它们分别是 事件 符号、 逻辑门 符号和 转移 符号。 4、最小割集代表系统的 危险性 ,最小割集数越多,系统的 危险性越大 ,最小径集代表系统的 安全性 ,最小径集数越多,系统的 安全性越高 。 5.在管理失误和风险树中,由于管理疏忽造成管理工作失误和差错,从而导致事故的因素属于 特殊控制(S 分支) 因素。 二.名词解释(每词4分.共20分) 1、安全系统工程(4分) 答:安全系统工程就是在安全工程技术领域里,应用系统工程的原理、技术方法和数学方法,识别、消除或控制系统中的危险,使系统发生事故的可能性减少到最低限度,从而达到系统最优化安全状态。 2、事故(4分) 单位_______ 专业_______________ 姓名________ 序号______ ……………………………………密……………………………封………………………………线…………………………..
答:事故是人们在实现其目的行动过程中,突然发生了与人的意志相违背的,迫使其有目的行动暂时或永久停止的事件。 3、安全检查表(4分) 答:安全检查表是用于查明某一特定作业活动或设备的安全状况,以表格的形式预先拟定好的问题清单,做为实施时的蓝本。 4、鱼刺图分析法(4分) 答:系统中产生的原因及造成的结果所构成错综复杂的因果关系,采用简明文字和线条加以全面表示的方法称为因果分析法。 5、预先危险性分析(4分) 答:所谓预先危险性分析是指,在一个系统或子系统(包括设计、施工、生产)运转活动之前,对系统存在的危险类别、出现条件及可能造成的结果,作宏观的概略的分析。 三、选择题(4*5=20分) 1、A 2、B 3、A 4、A 5、D 四、简答题(5*8=40分) 1、我国常用的系统安全分析方法有那几种(8分) 答:有事件树、事故树、故障类型影响、安全检查表、因果分析法、事故比重图、事故趋势图、事故控制图、主次图等
云计算系统的容错和故障恢复(1) 云计算属于分布式系统,许多因素导致系统异常:首先,云计算系统由成百上千的节点组成,节点的失效是常事。假如节点的平均无故障时间是3年,则一个1000节点的机群,平均每天可能有一个节点故障。从商业成本来看,使用普通和主流的计算机(CPU,内存、网络、硬盘等)比高可靠计算机的性能/价格比更高,更何况无论多么可靠的计算机也会出现故障。其次,电源、网络等其他硬件也会出现故障;第三,软件出故障的几率远远高于硬件;第四,各种人为因素,例如错误的操作,也导致故障。由于这些因素,云计算系统需要很好地处理各种原因导致的故障,自动从故障中恢复,并且不影响运行中的上层的应用程序: l 多副本的数据 云计算分布式文件系统保存了数据的多个副本(例如,GFS缺省保存3份),当某个副本失效后,分布式文件系统的master会在适当的时机启动副本复制,使得数据的副本数保持设定的数量,保证了数据的安全; l Worker故障 分布式文件系统的worker可能出现故障,master通过内置的heartbeat/lease 监控所有worker的状态,一旦确认某个worker故障,master会把该worker保存的数据的副本个数减一,以便系统在适当时机启动副本复制以保证数据不会丢失; l Master故障 为了避免master成为系统的单点,master也有多个副本:其中一个是主master,其余为辅master,主master承担着master的职责,例如应答用户和worker的请求,记录操作日志等;辅master通过操作日志保持与主master的准同步。当主master发生故障后,在分布式选举协议作用下,一个辅master会升级成为主master,保证系统的继续运行; l 应用程序容错 出于容错和故障恢复的原因,云计算系统的上层应用程序不能假设它正在或将要使用哪个worker,也不能假设数据存储在或将要存储到哪个worker上,当应用程序需要使用数据时,云计算客户端库将询问云计算系统的master获得数据副本所在的位置,并向其中一个副本(通常是与该客户端网络“距离”最近的)发出
《安全系统工程》试题 一、填空题 1、安全系统工程得基本内容包括、风险评价与。 2、根据《生产过程危险与有害因素分类与代码》(GB/T13816-92),将危险危害因素分为6大类、37个小类。这6大类分别就是:危险、危害因素,危险、危害因素,生物性危险、危害因素,心理、生理性危险、危害因素,行为性危险、危害因素与危险、危害因素。 3、系统一般具有以下特征:、相关性、与。 4、能量逸散构成伤害与损失得程度取决于以下因素:,如电压得高低,高空作业得高度等;接触能量得时间与频率,如人在噪声、粉尘环境下作业得时间与次数;,如有毒气体、粉尘与酸液得浓度等;,如人得头部、胸部结构等要害部位。 5、系统由相互作用与相互依赖得结合成得具有得有机整体,而且这个系统本身又就是它所从属得一个更大系统得组成部分。 6、所谓事故,就就是人们在进行有目得活动过程中发生得,违背人们意愿得,可能造成人们有目得得活动暂时或永远终止,同时可能造成人员伤害或财产损失得。 7、安全系统安全工程就是以为中心,以识别、分析评价与控制为重点,开发、研究出来得安全理论与方法体系。 8、为了系统地识别工厂、车间、工段或装置、设备以及各种操作管理与组织中得,事先将要检查得项目,以提问方式编制成,以便进行系统检查与避免遗漏,这种表叫做安全检查表。 9、安全系统工程得主要内容包括以下四个方面,即_____________、_____________、 _____________与________。其核心内容就是________。 10、4M因素指________、________、________、________。 11、事故树得定性分析就就是对任何事件都不需要分配数值(即基本事件得发生概率或故障率),只对事件分配“”或“”得二值制得分析方法。 12、共同原因分析亦称共同原因故障分析、或共同模式分析,就是分析与分析得补充方法。 13、根据生产事故所造成得后果得不同,有设备事故、、等三种。 14、{X1} {X2,X3} {X1,X2,X4} {X2,X3,X4} 上面为某事件得最小割集,在基本事件中选出结构重要性最大得一个为。 15、根据我国对伤害事故程度得划分标准,死亡就是指其损失工作日为日及以上。 16、危险性预先分析中将事故后果严重程度分为级。 17、事故树中菱形符号有两种意义:一种就是表示,即没有必耍详细分析或原因不明确酌事件。另一种就是表示,如由原始灾害引起得二次灾害,即来自系统之外得原因事件。 18、原因后果分析就是分析与分析结合在一起得分析方法。 二、单项选择题 1、我国安全系统工程得研究开发式从()开始得。 A、20世纪80年代末 B、20世界70年代末 C、20世纪60年代末 D、20世纪50年代末 2、在危险因素等级中,Ⅳ级表示得含义就是() A、危险得,可能导致事故发生,造成人员伤亡或财产损失,必须采取措施进行控制; B、灾难得,会导致事故发生,造成人员严重伤亡或财产巨大损失; C、安全得,暂时不能发生事故,可以忽略; D、临界得,偶导致事故得可能,事故处于临界状态,可能会造成人员伤亡与财产损失,应该采取措施予以控制; 3、关于最小径集与最小割集说法正确得就是() A、多事件得最小割集较少事件得最小割集容易发生;
双机容错系统方案 1.前言 对现代企业来说,利用计算机系统来提供及时可靠的信息和服务是必不可少的,另一方面,计算机硬件和软件都不可避免地会发生故障,这些故障有可能给企业带来极大的损失,甚至整个服务的终止,网络的瘫痪。可见,对一些行业,如:金融(银行、信用合作社、证券公司)等,系统的容错性和不间断性尤其显得重要。因此,必须采取适当的措施来确保计算机系统的容错性和不间断性,以维护系统的高可用性和高安全性,提高企业形象,争取更多的客户,保证对客户的承诺,减少人工操作错误、达到系统可用性和可靠性为99.999%。 2.双机容错系统简介 根据用户提出的系统高可用性和高安全性的需求,推出基于Cluster集群技术的双机容错解决方案,包括用于对双服务器实时监控的Lifekeeper容错软件和作为数据存储设备的系列磁盘阵列柜。通过软硬件两部分的紧密配合,提供给客户一套具有单点故障容错能力,且性价比优越的用户应用系统运行平台。 3.Cluster集群技术 Cluster集群技术可如下定义:一组相互独立的服务器在网络中表现为单一的系统,并以单一系统的模式加以管理。此单一系统为客户工作站提供高可靠性的服务。 Cluster大多数模式下,集群中所有的计算机拥有一个共同的名称,集群内任一系统上运行的服务可被所有的网络客户所使用。Cluster必须可以协调管理各分离的组件的错误和失败,并可透明的向Cluster中加入组件。 一个Cluster包含多台(至少二台)拥有共享数据储存空间的服务器。任何一台服务器运行一个应用时,应用数据被存储在共享的数据空间内。每台服务器的操作系统和应用程序文件存储在其各自的本地储存空间上。 Cluster内各节点服务器通过一内部局域网相互通讯。当一台节点服务器发生故障时,这台服务器上所运行的应用程序将在另一节点服务器上被自动接管。当一个应用服务发生故障时,应用服务将被重新启动或被另一台服务器接管。当以上任一故障发生时,客户将能很快连接到新的应用服务上。 4.工作拓扑图
《安全系统工程》试卷答案第一套 一、名词解释: 1.系统:由相互作用、相互依赖的若干组成部分结合而成的具有特殊功能的有机整体。 2.安全性:人们在某一种环境中工作或生活感受到的危险或危害是已知的,并且是可控制在可接受的水平上。 3.维修度:在发生故障后的某段时间内完成维修的概率,称为维修度。 4.平均故障间隔时间:指产品发生了故障后经修理或更换零件仍能正常工作,其在两次相邻故障间的平均工作时间。 5.严重度:指故障模式对系统功能的影响程序。一般分为四个等级:I低的、II 主要的、III关键的、IV灾难性的。 6.系统故障事件:指其发生原因无法从单个部件的故障引起,而可能是一个以上的部件或分系统的某种故障状态。 7.最小割集:如果在某个割集中任意除去一个基本事件就不再是割集了,这样的割集就称为最小割集。 8.重要度:一个基本事件或最小割集对顶上事件发生的贡献称为重要度。9.安全评价:也称危险度评价或风险评价,它以实际系统安全为目的,应用安全系统工程原理和工程技术方法,对系统中固有或潜在的危险性进行定性和定量分析,掌握系统发生危险的可能性及其危害程度,从而为制定防灾措施和管理决策提供科学依据。 10.故障前平均工作时间:指不可修复的产品,由开始工作直到发生故障前连续的正常工作时间。 二、填空 1、系统元素;元素间的关系;边界条件;输入及输出的能量、物料、信息 2、预测、评价、控制危险 3、定性评价、定量评价 4、预防事故发生、控制事故损失扩大 5、直接火灾、间接火灾、自动反应 6、有关规程、规范、规定、标准与手册;国内外事故情报;本单位的经验 7、(1)预评价;(2)中间评价;(3)现状评价 三、判断 1、√, 2、×, 3、√, 4、×, 5、√。 四、简答 1.系统的特点: (1)目的性。任何系统必须具有明确的功能以达到一定的目的,没有目的就不能成为系统。 (2)整体性。系统至少是由两个或两上以上的可以相互区别的元素(单元)按一定方式有机地组合起来,完成一定功能的综合体。 2.危险性预先分析的内容可归纳几个方面: (1)识别危险的设备、零部件,并分析其发生的可能性条件; (2)分析系统中各子系统、各元件的交接面及其相互关系与影响;
《安全系统工程》考试试题答案 一、填空题(每空4分,共20分) 1、安全系统工程的主要内容包括以下四个方面,即 事故致因理论、系统安全分析、安全评价和安全措施,其核心内容是系统安全分析。 2、4M 因素指 人 、 物 、 管理 、 环境 。 3、事故树作图时,常用的图形符号有三种,它们分别是 事件 符号、 逻辑门 符号和 转移 符号。 4、最小割集代表系统的 危险性 ,最小割集数越多,系统的 危险性越大 ,最小径集代表系统的 安全性 ,最小径集数越多,系统的 安全性越高 。 5.在管理失误和风险树中,由于管理疏忽造成管理工作失误和差错,从而导致事故的因素属于 特殊控制(S 分支) 因素。 二.名词解释(每词4分.共20分) 1、安全系统工程(4分) 答:安全系统工程就是在安全工程技术领域里,应用系统工程的原理、技术方法和数学方法,识别、消除或控制系统中的危险,使系统发生事故的可能性减少到最低限度,从而达到系统最优化安全状态。 2、事故(4分) 答:事故是人们在实现其目的行动过程中,突然发生了与人的意志相违背的,迫使其有目的行动暂时或永久停止的事件。 单位_______ 专业_______________ 姓名________ 序号______ ……………………………………密……………………………封………………………………线…………………………..
3、安全检查表(4分) 答:安全检查表是用于查明某一特定作业活动或设备的安全状况,以表格的形式预先拟定好的问题清单,做为实施时的蓝本。 4、鱼刺图分析法(4分) 答:系统中产生的原因及造成的结果所构成错综复杂的因果关系,采用简明文字和线条加以全面表示的方法称为因果分析法。 5、预先危险性分析(4分) 答:所谓预先危险性分析是指,在一个系统或子系统(包括设计、施工、生产)运转活动之前,对系统存在的危险类别、出现条件及可能造成的结果,作宏观的概略的分析。 三、选择题(4*5=20分) 1、A 2、B 3、A 4、A 5、D 四、简答题(5*8=40分) 1、我国常用的系统安全分析方法有那几种?(8分) 答:有事件树、事故树、故障类型影响、安全检查表、因果分析法、事故比重图、事故趋势图、事故控制图、主次图等 2、说明事故法则的概念,它对安全工作的启示是什么?分析其在安 全工作中的应用。(8分) 答:事故法则,常称为300:29:1法则,它是一种事故统计规律, 表明了1 次死亡和29次轻伤是包含在330次事件中,揭示了严重
容错方法: 1.Byzantine协议:有m个处理机(进程)出错的系统中要实现协同一致,至少需要2m+1 个正常处理机(进程)时才可能,也就是说至少需要的处理机(进程)总数是3m+1个。 2.微重启技术(Micro-reboot):针对大型分布式应用软件系统发生故障时的快速恢复技术。 微重启技术有别与传统的重启方式(宏重启),它采用递归恢复的方法,即将系统划分为多个故障隔离的组件子集,首先重启可能引起故障的最小子集但不影响系统其他部分的正常运行,如果不起作用,再依照故障传播路径递近地重启更大范围子集,直到故障最终解决或者需要其他恢复策略的执行。微重启可以有效避免系统因全面重启而造成的数据丢失和事务进程的中断,并且极大地缩短了因全面重启而引起的冗长恢复时间;通过快速地解决局部故障以避免整体宕机,从而提高了应用系统的可用性。 3.软件抗衰技术(Software Rejuvenation):在软件运行期间,系统可能出现资源逐渐耗尽或 运行错误逐步积累所导致的系统性能下降乃至挂起停机的现象,这种现象称为软件衰退(Software Aging)。软件抗衰是指为预防系统突然发生故障而预先采取的措施。它是一种前摄的容错技术,主要通过适时、适度地消除系统内部错误的运行状态来完成。主要措施有:周期性地暂停软件的运行,清除系统的内部状态,重新启动并恢复为干净的初始/中间状态。常见的内部状态清理手段有清除缓冲序列、内存垃圾收集、重新初始化内核表、清理文件系统等。最简单、常见的软件抗衰措施是计算机的重新引导。 4.回滚机制:可以周期性的对软件做检查点,检查点可以放在磁盘,远程内存,非易失性 的或者持久的内存中,也可以实时的对软件的操作以日志的方式进行记录。当软件出现错误时,可以根据检查点或者日志回滚到一个合适点并对先前出现的错误进行相应处理而不造成软件再次出错。 5.错误忽视技术(Failure-Oblivious Computing):在一次计算中,当错误发生在不相关的 计算中,错误忽视技术能够保证服务忽视这些错误而继续执行该计算。当内存错误发生在该计算中,错误忽视技术能够产生一个能够导致服务能处理的无效输入请求,从而服务中的错误处理模块能够进行处理。该方法的缺陷是只能处理内存相关的bug,能够产生高负载,以及由于对内存接口进行了潜在的不安全修改而可能产生程序的非预期行为。 6.编译器级容错技术:如复制指令错误探测(Error Detection by Duplicated Instructions,简 称EDDI),基本思想是编译器复制程序指令并将源指令与复制指令合并(为了提高容错性能,两种指令放在不同的寄存器和内存的不同位置)。在一定的同步点(store指令处和branch指令处),编译器插入检测指令来检查源指令与复制指令的执行结果是否一致。其优点是效率高,既可用于单机环境,又可用于分布式环境,而且可以根据不同环境加以定制。
朔州职业技术学院 2009-2010年第二学期期末试题 科目:10矿井通风与安全安全系统工程试卷(A) 1.现代高效的管理必须在整体规划下明确分工,在分工基础上进行有效的结合, 这就是系统工程的整分合原理。 2.任何一个系统的管理手段、管理过程等都是必须构成一个连续封闭的回路,才 能形成有效的管理。这说明系统工程具有封闭原理。 3.一个稳定而有效的管理系统必须是由若干分别具有不同能级的不同层次有规 律地组合而成的,这就是系统工程的能级原理。 4.安全系统包括三个子系统,分别是人子系统、机器子系统、环境子 系统。 5. 归纳法就是从个别情况出发,总结出一般结论。而演绎法 则是从一般到个别的推理。 6. 安全检查的内容主要是查领导、查思想、查管理、查隐患、查整改。 7. 风险性是指在一定时间内,造成人员伤亡和财产损失的可能性,其程度可用发生概率和损失大小的乘积来表示。 8. 直接损失是指直接烧坏或造成的财产损失。停工损失是指每停工1h 损失1000美元。 9.在集合表达式中所采用的事件并和交,表示事件之间的运算关系,他们相当于布尔代数算子或和与,也相当于代数算式的 + 和 - 。10.布尔代数:①A+B=B+A ②A+0=A ③A+A=A ④A+AB=A其运算规则分别为交换律同一律等幂律吸收率。 11.N个独立事件的概率积的计算公式是:P(ABC…N)= P(A)P(B)P(C)…P (N)。 12.作出与事故树对偶的成功树,就是将原来事故树里的或门换成与门,各类事件发生换成不发生,即将全部事件符号加上 ' 。 13.在事故树中的与门多,或门少时,最小割集的数目较少。 14. 在事故树中的或门多,与门少时,则最小径集数目较少。 15.一个基本事件对顶上事件产生的影响大小称为该基本事件的重要度。16.结构重要度系数是从事故树结构上反映基本事件的重要程度。 17. 概率重要度系数是反映基本事件发生概率的变化对顶上事件的发生概 率影响的敏感度。 18.临界重要度系数则是从敏感度和基本事件的发生概率的大小双重角度反映对顶上事件发生概率大小的影响。 19.特别重大事故是指一次死亡30人以上的事故,或者造成直接经济损失人民币3000万元以上的事故。 20.一般事故是指造成重伤、急性工业中毒,但没有人员伤亡的事故,或者一次造成直接经济损失人民币50万元以上100万元以下的事故。 21.对企业职工伤亡事故进行分类,按伤害程度划分,可分为轻伤、重伤、死亡 3类。 22.事故的构成要素包括人(man)、物(machine)、环境(medium)、管理(management),也称为 4M 问题。 23.美国安全工程师海因里希根据55万件事故统计表明: 死亡与重伤:轻伤:无伤害事故≈ 1:29:300 。 24.在生产区域内发生和生产有关的伤亡事故,称为工伤事故。 25.若事故发生的过程中,物质遭到了破坏,使其需要进行修理或永久性报废,则该事故称为物质事故。 二、选择题(每小题2分,共50分) 1.在整个人类社会和自然环境的运行中,系统中的各个元素、子系统都是随着时间的改变而不断改变的。说明了系统具有 D 的特征。 A 整体性 B 相关性 C 环境适应性 D动态性 2. C 就是以科学的手段,激发人的内在潜力,充分发挥人的积极性和创造性。 A 反馈原理 B 系统原理 C 激励原理 D 动力原理 3.对危险性等级进行划分时。其中,有导致事故的可能性,且处于临界状态,暂时不会造成人员伤亡和财产损失,但应该采取措施予以控制,此危险程度属于B 。 A 安全的 B 临界的 C 危险的 D 灾难性的 4.下列系统安全分析方法中,属于定量分析方法的是C 。 A 安全检查表法 B 预先危险性分析法 C 事故树分析法 D 鱼刺图分析
西安工业大学 容错技术与存储容错 姓名:李丽莎 学号:1206210398 专业:计算机应用技术
容错技术与存储容错 摘要:大量数据需要传输和存储,在传输和存储过程中会出现各式各样的错误。为了避免和减少这些错误的发生,增加系统的可靠性,由此出现了容错机制。 本文就容错的概念,容错技术,存储容错系统和常见的两种容错系统进行了探讨,深入理解了容错的机制和内涵。 关键词:数据存储;容错技术;容错系统 1、容错技术的概况和历史 容错FT(Fault Tolerant)就是当系统由于种种原因出现了数据、文件损坏或丢失时,能够自动地将这些损坏或丢失的文件和数据恢复到发生事故以前的状态,使系统能够连续正常运行的一种技术。容错技术一般利用冗余硬件交叉检测操作结果。 上世纪80年代,第一代容错技术开始进入商用领域。1993年,英特尔 I860处理器在Stratus的硬件级容错体系结构中成功应用。1996年,容错技术得到HP的支持,共同推出Stratus Continuum系列,将Stratus容错结构结合HP PA -RISC对称多处理技术。进入21世纪以来,制造、中小企业、能源、交通等领域对服务器,特别是中低端IA服务器的需求激增,过去仅仅可以应用在RISC平台、HP-UX环境下的容错产品也面临着新的挑战。如今,NEC通过与美国容错公司多年的合作,于2001年推出了业界第一台基于IA架构、支持Microsoft Win-dows Server 2000标准操作系统环境的容错服务器。 2、常见的容错技术 常见的容错技术有双重文件分配表和目录表技术、快速磁盘检修技术、磁盘镜像技术、双工磁盘技术等。
安全系统工程试题库 系统安全工程 一、选择题 1 ?事故树是安全系统工程中的重要的工具之一,它是从_____________ 到________ 描绘事故发生的有向逻辑树。 A .结果、原因B.原因、结果 C.初始、最终 D.下、上 答案:A 2. 事故树分析时要确定顶事件。所谓顶事件,是指事故树中唯一的、位于顶层的、只 是逻辑门的_________ 的事件。 A .中间 B .输入C.输出D .无关 答案:C 3. ________________________________________________________ 在应用事故树分析方法时,要将待分析的事故对象作为____________________________________ 事件。 A .基本 B .顶C.中间D .特殊 答案:B 4. 在事故树中,导致其他事故发生、只是某个逻辑门的输入事件而不是任何逻辑门的 输出事件的事件,称为________ 。 A .基本事件 B .中间事件C.顶事件 D .底事件 答案:A 5. ____________________________ 在绘制事故树时,事件B1和B2同时发生才会引起事件A的发生,反之,有一个不发生,A也不发生,则应使用表示三者的逻辑关系。 A .非门 B .或门C.与或门D .与门 答案:D 6. _______________________________________________________________________ 在绘制事故树时,事件Bl和B2中有一个发生,事件A就会发生,则应使用____________________ 表示三者的逻辑关系。 A .非门 B .或门C.与或门D .与门 答案:B 7. 在事故树分析中,某些基本事件共同发生可导致顶事件发生,这些基本事件的集合, 称为事故树的__________ 。 A .径集 B .割集C.最小割集 D .最小径集 答案:B &在事故树分析中,某些基本事件都不发生,则导致顶事件不发生,这些基本事件的集合,称为事故树的_____________________ 。 A .径集 B .割集C.最小割集 D .最小径集 答案:A 9. 在事故树分析中,已知事故树的某个径集,在此径集中去掉任意一个基本事件后, 就不再是径集(即剩余的基本事件不发生不一定导致顶事件不发生),则这个径集被称 为_____ 。 A .径集 B .割集C.最小割集 D .最小径集 答案:D 10. _______________________________________________________________ 在应用道化学公司(DOW)的火灾爆炸指数法进行安全评价时, ____________________________ 系数是计算火灾爆炸指数及其他危险分析数据的基本数值。 A .工艺 B .设备C.物质D .单元 答案:C 11. 在火灾爆炸指数法中,物质在由燃烧或其他化学反应引起的火灾和爆炸中其潜在能 量释放速率的度量,被称为__________ 。 A .物质系数 B .爆炸指数C.工艺系数 D .物质危险 答案:A 12. 火灾爆炸指数法是用火灾爆炸指数(F&EI)作为评价化工工艺过程、生产装置及储罐等的
关于计算机服务器系统的容错技术 摘要随着时代的发展,信息技术的进步,计算机已经逐渐的成为了各行各业中不可取代的一部分,我国对于计算机技术的应用也十分的广泛。其中,计算机服务器系统是计算机中十分重要的一个技术,能够为国防、医疗以及金融等各个行业为计算机系统提供不间断的服务,如果它出现问题那么会造成十分严重的损失,因此应该对于计算机服务器系统的容错技术进行足够的重视并且对其进行进一步的发展。本文主要对其进行了详细的阐述。 关键词计算机服务器系统容错技术 中图分类号:TP302.8 文献标识码:A 1容错必要性 随着计算机技术的普及,通过计算机系统来进行信息的传输并提供服务逐渐应用的越来越广泛,但是计算机的软硬件都有可能会发生故障,这些故障如果没有及时的进行解决很容易造成巨大的损失,甚至会造成整个服务的终止网络也会因此而瘫痪,因此产生难以估量的损失。因此,系统的容错性以及不间断的性质显得尤为重要,为了能够更好地保证系统安全、可靠地运行,必须要采取一定的措施来保证计算机系统能够在出现故障的时候已然可以正常的使用。经过人
们地长时间的研究,总结出来了两种方法,一种叫做避错,就是使用正确的设计并且进行相应的质量控制尽可能的避免系统产生错误,防止将错误引进系统之中,但是在实际的运行中难免会产生一些意料之外的事情,因此这种方法在实施起来有着很大的难度。另外一种就是容错,在系统中出现了某些硬件或者软件的错误的时候,系统能够执行规定的一组程序,或者说这种程序不会因为系统的故障而被中断或者在中途被修改,且其执行的结果也不包含系统中的故障引起的差错。 随着科技的不断发展,计算机技术的逐渐普及,设备的安全性以及可靠性逐渐的引起了越来越多的人的重视,因此计算机服务器系统的容错技术十分重要。当系统的内部出现故障的时候,通过容错技术能够消除故障产生的影响并且使系统最终仍然能够给出正确的结果。按照时间进行故障的划分,故障可以分为以下几种类型:永久性的故障、间歇性的故障以及偶然性的故障。随着计算机的硬件技术的不断发展,容错计算机的系统开销逐渐的降低,同时纠错的速度变得越来越快。而软件方面的容错,对于硬件不会提出过高的要求。 2容错技术概述 容错指的是计算机系统的一个或者多个关键的部件发生故障或者将要发生故障的时候,仍然能够保持正常的工作
( 安全试题 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 安全系统工程试题(新版) Regular examinations and questions are an important means to supplement and consolidate the knowledge of personnel in the company’s security positions
安全系统工程试题(新版) 1.事故发生的概率P和事故损失严重程度S的乘积称为____。 A.风险率 B.损失量 C.严重量 D.危险级 答案:A 2.系统的安全性评价是运用____的方法对系统中存在的危险进行评价和预测的过程。 A.卫生工程 B.人机工程 C.系统工程 D.安全工程 答案:C
3.从事故树结构角度分析,反映基本事件重要程度的指标是____。 A.结构重要度 B.临界重要度 C.概率重要度 D.相关重要度 答案:A 4.布尔代数表达式:A'(A+B)+B(A'+B)的化简结果为____。 A.A B.A' C.A+B D.B 答案:D 5.采取措施使一个最小径集当中的所有事件都不发生,则顶上事件____。 A.发生
B.不发生 C.不一定发生 D.不一定不发生 答案:B 6.下列符号中,表示事故树的基本事件的符号有____。 A.矩形符号 B.圆形符号 C.菱形符号 D.屋形符号 答案:B、C、D 问答题: 1.系统安全评价的意义是什么? 参考答案(答题要点): (1)有助于政府安全监察部门对企业实行宏观控制; (2)有助于提高企业的安全管理水平; (3)变事后处理为事前预防预测;变纵向单科管理为综合管理;
安全系统工程试题 一、填空题(30分,每空 1.5 分) 1、系统的属性主要包括:整体性、相关性、有序性、目的性等四 个方面。 2、安全系统工程的研究对象是人-机-环境系统;主要研究内容包括系统安全分析; 系统安全评价; 安全决策与事故控制等三方面。 3、在安全系统工程学分析方法中,通常 CCA 表示原因-后果分析法;FMEA 表 示故障类型和影响分析;ETA 表示—事件树分析;FTA 表示事故树分析; HAZOP 表示危险性和可操作性研究。 4、可靠度是指系统、设备或元件等在规定时间和规定的条件下,完成规定功能 的能力。 5、系统是由相互作用和相互依赖的若干组成部分结合成的具有特定功能 的有机整体。 6、DOW 化学火灾爆炸指数评价法中物质系数是根据由美国消防协会规 定的可燃性N f 和化学活性N r 求取的。 7、PHA 方法包括:准备、审查、结果汇总三个阶段。 二、判断题(20 分,正确的划√,错误的划 X ,每题答对得 2 分,答错 扣 2分) 1、弹性原理不属于系统工程原理。( √ ) 2、串联系统的失效概率等于各子系统失效概率的积。(× ) 3、定性方法和定量方法的合理结合是分析系统安全性的有效途径。 ( √ ) 4、安全系统工程是在事故逼迫下产生的。( × ) 5、FTA 方法既可用作定性分析,又能进行定量分析。 ( √ ) 6、安全系统工程中最基本、最初步的一种形式是 SCL (安全检查表)。( √ ) 7、能量原理是安全评价的基本原理。( × ) 8、最小径集是保证顶上事件不发生的必要条件。( √ ) 9、ICI MOND 法和 DOW 化指数法的原理相同。 ( √ ) 10、回归分析法是一种代表性的时间序列预测法。( √ ) 三、计算题(40分) 1、并联系统有n 个子系统,可靠度值分别为R 1,R 2,……,R n ,推导该并 联系统的可靠度表达式;(5 分) 系统的故障概率为:P=)1(1∏=-n i i R 所以系统的可靠度为:R=1-P=1-)1(1∏= - n i i R 2、计算如下图所示的泵、阀门输送系统失败的概率:(5 分)
《安全工程学试题》 一、名词解释(每题2分,共10分) 1、安全科学:安全科学是运用人类已经掌握的科学理论、方法以及相关的知识体系和实践经验,研究、分析、预知人类在社会、经济活动、生产、科研过程中以及人类其他探索、物化等领域的危险、危害和威胁;限制、控制或消除这种危险、危害和威胁,以过程安全和环境无害为研究方向的理论体系。 2、应激源:应激源是指能引起全身性适应综合症或局限性适应综合症的各种因素的总称。 3、安全效益:指安全水平的实现,对社会、对国家、对集体、对个人所产生的效果利益。 4、爆炸危险度:可燃气体和液体蒸气与它们的爆炸下限成反比例与爆炸范围成正比例关系的物理量称之为爆炸危险度。 5、风险率:指事件发生风险的可能性大小。 二、回答题(每题10分,共50分) 1、从安全心理学角度,如何控制和预防人的不安全行为? 答:(1)要正确运用激励机制。每个人都是有自尊心和荣誉感的,要激发和鼓励他们的上进心,必须要有一定的激励机制,才能让职工全身心地做好本职工作。如何正确选用激励方式,做到对症下药、有的放矢是至关重要的。首先要掌握信息,了解情况,才能做到心中有数。其次要正确选择激励手段,一般来说,正面表扬或奖励容易调动积极性。而在一定的条件下,惩罚、批评也能起到一定的效果,但应以教育说理为主,在提高思想认识的同时,要为被激励者排忧解难,改善不良的心理反映,诱导高尚的动机,引导他们产生积极的行为。 (2)正确运用自我调节机制。自我调节就是要自我控制,从而做到自觉遵守安全操作规程和劳动纪律,保证安全生产。从心理学的角度来分析,人的精神状态与工作效率成正比。但是,精神状态与安全状态不一定是正比的关系。精神状态的高潮期或低潮期属情绪不稳定时期,最容易发生差错或失误,属事故多发期。精神状态的组中值是精神稳定期,这时能力发挥稳定,工作起来有条不紊,不易发生事故。据此,要努力提高职工的个人修养,学会自我调节精神状态,要有自制力。人逢喜事精神爽,这时最容易冲动,要告诫自己保持冷静、淡然的心态,记取乐极生悲的教训。而遇到困难和挫折时不要气馁,要有广阔的胸怀,要想得开,宠辱不惊,努力摆脱激情的不利影响。在工作压力大或精神状态欠佳的时候,要合理安排工作,劳逸结合,业余时间多参加文娱、体育健身活动,忘却烦恼,或找知心朋友、同事、领导倾诉,沟通思想释放压力,自我调节紧张状态,一张一弛乃文武之道。
1冗余: 指重复配置系统的一些部件,当系统发生故障时,冗余配置的部件介入并承担故障部件的工作,由此减少系统的故障时间。通常指通过多重备份来增加系统的可靠性 2容错: 容错是用冗余的资源使计算机具有容忍故障的能力,即在产生故障的情况下,仍有能力将指定的算法继续完成。 2.1冗余与容错的区别: 容错主要依靠冗余设计来实现,它以增加资源的办法换取可靠性。由于资源的不同,冗余技术分为硬件冗余、软件冗余、时间冗余和信息冗余。 硬件冗余是通过硬件的重复使用来获得容错能力。 软件冗余的基本思想是用多个不同软件执行同一功能,利用软件设计差异来实现容错。 信息冗余是利用在数据中外加的一部分信息位来检测或纠正信息在运算或传输中的错误而达到容错。在通信和计算机系统中,常用的可靠性编码包括:奇偶校验码、循环冗余码CRC、汉明码等。 时间冗余是通过消耗时间资源来实现容错,其基本思想是重复运算以检测故障。按照重复运算是在指令级还是程序级分为指令复执程序复算。指令复执当指令执行的结果送到目的地址中,如果这时有错误恢复请求信号,则重新执行该指令。 3容灾(Disaster Tolerance) 就是在上述的灾难发生时,在保证生产系统的数据尽量少丢失的情况下,保持生存系统的业务不间断地运行。 3.1数据容灾 数据容灾是指建立一个异地的数据系统,为了保护数据安全和提高数据的持续可用性,企业要从RAID保护、冗余结构、数据备份、故障预警等多方面考虑,
将数据库的必要文件复制到存储设备的过程,备份是系统中需要考虑的最重要的事项,虽然他们在系统的整个规划。 3.2容灾与容错的区别 容错可以通过硬件冗余、错误检查和热交换再加上特殊的软件来实现,而容灾必须通过系统冗余、灾难检测和系统迁移等技术来实现。当设备故障不能通过容错机制解决而导致系统宕机时,这种故障的解决就属于容灾的范畴。 4灾难恢复(Disaster Recovery): 指的是在灾难发生后,将系统恢复到正常运作的能力。 4.1灾难恢复与容灾的区别: 容灾强调的是在灾难发生时,保证系统业务持续不间断地运行的能力,而灾难恢复强调的灾难之后,系统的恢复能力。现在的容灾系统都包含着灾难恢复的功能。 容灾系统在企业中给与数据安全系数相当高的保障,但是容灾系统到底是什么,他们是什么意思?恐怕连正在使用容灾备份的网络管理人员都不能解释。 4.2容灾和备份的目的不同 4.2.1容灾系统的目的 在于保证系统数据和服务的“在线性”,即当系统发生故障时,仍然能够正
网络系统的容错和安全设计 第一章网络系统的容错设计 一. 网络容错概述 采用用友网络财务软件NC(基金Web版)Web系统后,基金管理公司及托管行的所有数据都存放在数据库服务器中,服务器的宕机,会给企业带来巨大的损失;这就要求一旦生产用服务器产生任何形式的宕机或失效,网络上备用的服务器能够立即接管宕机的服务器使整个系统不至于崩溃,从而保证整个企业的业务连续运作。保证系统高可用性,应从以下几方面着手设计: 1、数据镜像 数据镜像是一种有效、高性能的高可用性解决方案,它不需要昂贵的RAID磁盘子系统,也无需考虑SCSI接口对缆线长度的限制。可扩展的磁盘镜像运行在两台相互独立又有备份逻辑的服务器之间。通过不断检测主系统磁盘或文件(源)的状态,而实时地将改动的信息镜像到目标机器的相应磁盘上或文件中。 为了保证数据的完整性,扩展镜像限制了用户对目标磁盘或文件的写操作。通过使用可扩展的磁盘镜像,源系统的任何数据更新将通过LANs和W ANs镜像到用户指定的目标系统上,当源系统发生数据丢失或硬盘损坏时在目标系统上将保留一份镜像数据。有些可扩展的磁盘镜像软件可以实现一对一、一对多、多对一及多对多的数据镜像而不需要任何附加的硬件设备。 2、故障切换 从系统确信不能收到来自主系统的”alive”心跳信号后,就开始启动从系统上的自动恢复功能,将主系统上的需要保护的资源自动转移到从系统上,并开始向客户提供服务。一个比较好的机制在于如果从系统感觉不到主系统的心跳后,试图通过其他途径做进一步地检测(例如检测其他客户机是否不能获得主系统的服务)。 故障切换的时间是指从系统自确信主系统“死掉”后,到完全接管主系统并向客户提供服务止所经历的时间,时间越短,热备份程度越高。当从服务器发生故障时,不应对主系统有任何影响。 3、失效切换 源要转移到从系统上去,这就不但要求系统中的核心数据能转移过来,还要求将其他资源转移过来。与客户关系比较密切的资源主要是:LAN局部网名,IP地址、应用程序、以及应用程序所依赖的数据。 4、自动恢复 要求在主服务器失效后,修复好后,IP地址、局部网名字、数据应用与服务应该方便地恢复到主服务器上
、名词解释:1.系统:由相互作用、相互依赖的若干组成部分结合而成的具有特殊功能的有机整体。 2.安全性:人们在某一种环境中工作或生活感受到的危险或危害是已知的,并且是可控制在可接受的水平上。 3.维修度:在发生故障后的某段时间内完成维修的概率,称为维修度。 4.平均故障间隔时间:指产品发生了故障后经修理或更换零件仍能正常工作,其在两次相邻故障间的平均工作时间。 5.严重度:指故障模式对系统功能的影响程序。一般分为四个等级:I 低的、II 主要的、III 关键的、IV 灾难性的。 6.系统故障事件:指其发生原因无法从单个部件的故障引起,而可能是一个以上的部件或分系统的某种故障状态。 7.最小割集:如果在某个割集中任意除去一个基本事件就不再是割集了,这样的割集就称为最小割集。 8.重要度:一个基本事件或最小割集对顶上事件发生的贡献称为重要度。9.安全评价:也称危险度评价或风险评价,它以实际系统安全为目的,应用安全系统工程原理和工程技术方法,对系统中固有或潜在的危险性进行定性和定量分析,掌握系统发生危险的可能性及其危害程度,从而为制定防灾措施和管理决策提供科学依据。 10.故障前平均工作时间:指不可修复的产品,由开始工作直到发生故障前连续的正常工作时间。 二、填空 1、系统元素;元素间的关系;边界条件;输入及输出的能量、物料、信息 2、预测、评价、控制危险 3、定性评价、定量评价 4、预防事故发生、控制事故损失扩大 5、直接火灾、间接火灾、自动反应 6、有关规程、规范、规定、标准与手册;国内外事故情报;本单位的经验 7、(1)预评价;(2)中间评价;(3)现状评价 三、判断 1 ,2、X , 3>V,4、X , 5>Vo 四、简答 1.系统的特点: (1)目的性。任何系统必须具有明确的功能以达到一定的目的,没有目的就不能成为系统。 (2)整体性。系统至少是由两个或两上以上的可以相互区别的元素(单元) 按一定方式有机地组合起来,完成一定功能的综合体。 2.危险性预先分析的内容可归纳几个方面: (1)识别危险的设备、零部件,并分析其发生的可能性条件; (2)分析系统中各子系统、各元件的交接面及其相互关系与影响; (3)分析原材料、产品、特别是有害物质的性能及贮运; ( 4)分析工艺过程及其工艺参数或状态参数;
《安全系统工程》考试试题答案一、填空题每空4分共20分 1、安全系统工程的主要内容包括以下四个方面即事故致因理论、系统安全分析、安全评价和安全措施其核心内容是系统安全分析。 2、4M因素指人、物、管理、环境。 3、事故树作图时常用的图形符号有三种它们分别是事件符号、逻辑门符号和转移符号。 4、最小割集代表系统的危险性最小割集数越多系统的危险性越大最小径集代表系统的安全性最小径集数越多系统的安全性越高。 5在管理失误和风险树中由于管理疏忽造成管理工作失误和差错从而导致事故的因素属于特殊控制S分支因素。 二.名词解释每词4分.共20分 1、安全系统工程4分答安全系统工程就是在安全工程技术领域里应用系统工程的原理、技术方法和数学方法识别、消除或控制系统中的危险使系统发生事故的可能性减少到最低限度从而达到系统最优化安全状态。 2、事故4分答事故是人们在实现其目的行动过程中突然发生了与人的意志相违背的迫使其有目的行动暂时或永久停止的事件。 3、安全检查表4分答安全检查表是用于查明某一特定作业活动或设备的安全状况以表格的形式预先拟定好的问题清单做为实施时的蓝本。 4、鱼刺图分析法4分答系统中产生的原因及造成的结果所构成错综复杂的因果关系采用简明文字和线条加以全面表示的方法称为因果分析法。 5、预先危险性分析4分答所谓预先危险性分析是指在一个系统或子系统包括设计、施工、生产运转活动之前对系统存在的危险类别、出现条件及可能造成的结果作宏观的概略的分析。 1.事故发生的概率P和事故损失严重程度S的乘积称为____。 A.风险率 B.损失量 C.严重量 D.危险级 答案:A 2.系统的安全性评价是运用____的方法对系统中存在的危险进行评价和预测的过程。 A.卫生工程 B.人机工程 C.系统工程 D.安全工程 答案:C 3.从事故树结构角度分析,反映基本事件重要程度的指标是____。 A.结构重要度