时间:2022-08-01 04:27:36
序论:在您撰写采集技术论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
采集皮纹的方法虽然很多,但在皮纹学研究中常用的方法可分为直接观察法、捺印法、拓印法、化学显现法、照相法和扫描仪摄入微机法等几种。捺印法是在有嵴线的手、足表面涂上染料后直接捺印在纸上,以显现皮纹。印泥捺印法是历史悠久、常用,又很经济的方法。我国古代留存的指掌纹图就是用印泥捺印法取得的。此法既能得到清晰的纹印,又能长期保存。所用器材简单,只要一盒印泥、一块泡沫海绵片及纸、笔即可。印泥捺印是一项细致的工作,一份清晰的皮纹图本身就是一份珍贵资料。采集皮纹时,直接用泡沫海绵片将印泥均匀地蘸在手、足有嵴线的部位,注意只能将印泥蘸在嵴线处,而不能来回擦拭,否则皮沟内充满印泥,捺印的纹型图上就看不清嵴线。油墨法也可得到很好的效果,常被司法机关用作鉴定。油墨捺印法比印泥捺印法稍复杂些。必要的器材有印刷油墨、油墨滚筒(一般手推油印机墨滚可代替)、调油墨板(33×24cm2的有机玻璃板较适用)、泡沫海绵垫和质地较好的纸。取样时,把少量油墨加到调油墨板上,用墨滚滚成均匀的一层薄膜,然后把要印的区域压在油印板上,注意要使整个区域都有油墨覆盖,将有油墨的皮纹区域捺印在纸上[1,6]。为了获得满意的印纹,需要适量的油墨和压力,这两个因素决定能否成功取得合格印纹,必须在实践中摸索。印泥法比油墨法更易于清洗,似优于后者。油墨法和印泥法虽然经济,但如果涂擦不匀,往往影响捺印效果,且污染手足,大规模采集时群众不易接受。寻找新的皮纹采集方法,一直为皮纹学工作者所关注。拓印法是先将皮纹拓印在不同的介质上,再移到纸上做永久记录。由于介质的不同,又有不同的方法。B觟觟k曾使用白色粉笔和纤维带记录皮纹[1],Cotterman用墨汁代替粉笔拓印婴、幼儿的手、足纹[1]。笔者分析了上述方法的利弊,试用透明胶带法拓印皮纹。笔者试用炭精—透明胶带法[7]拓印皮纹。即在有嵴线处用毛笔涂上一层炭精粉(美术用品商店有售),再将透明胶带分别贴在此处,要保证所有嵴线都能涂到炭精粉和接触到透明胶带。然后取下胶带依次移到纸上做永久记录。此法虽然费时,却克服了采集印纹时的困难。但是在将胶带移到纸上粘贴时要防止胶带重叠。值得注意的是,用炭精粉法得到的印纹和直接在手、足上观察到的图像是一致的;而与用捺印法得到的印纹则是互为镜像的。此法是先将白色粉笔浸入碳素墨水(普通墨汁胶质太多不能用)中,约3个小时取出晾干备用[7]。取纹时,将已浸过碳素墨水的黑色粉笔在有嵴线处均匀滚过,贴上透明胶带,依次移到纸上做永久保存。用此法得到的皮纹印同炭精—透明胶带法一样。根据笔者的经验,粉笔—碳素墨水—透明胶带法要优于炭精—透明胶带法。此法拓印的指纹、指节纹和趾纹的嵴线都很清晰,避免了由于炭精粉粒较粗而致使纹型不均匀的缺陷。灵长类的手、足由于皱褶较深,加之不能配合,取纹较难。印取手足畸型患者的皮纹也是难题之一。用笔者设计的印模法[7]可得到满意的结果。较适用于皮纹学研究的有以下两种:所用材料是自凝牙托粉和自凝牙托水(一般医药公司有售)。操作时用自凝牙托水将牙托粉调成糊状,稍停片刻,把调好的糊状物自手掌近端铺向远端,待其变硬后取下,即成皮纹印模。需要注意的是,皮沟在印模上是凸起的,皮嵴反而是凹陷的。与拓印法一样,所得样本与手足上的纹型是互为镜像的。用材料为橡皮泥(一般文具商店有售)。将橡皮泥均匀地铺在手掌和足跖部,再小心取下,即可得到清晰的皮纹印模。注意事项与牙托印模法相同。日本学者[8]用柔软的铅笔在较硬的纸上涂黑,然后被试者的指端自尺侧向桡侧滚动,可见手指指纹表面粘有一薄层铅笔芯粉,再自尺侧向桡侧滚印在白纸上,即可得到清晰而完整的纹印。用此法捺印指纹可得到较好的效果,但指印不易永久保存。成分或无机成分起化学反应,生成用肉眼能看到的有色物质,从而达到显现潜在纹型的方法,称化学还原反应显色法。此法为笔者设计[9]。我们从氨基酸的成色反应得到启发,试用味精[谷氨酸钠RCH(NH2)COONa]代替氨基酸,设计了茚三酮—味精成色反应法。茚三酮的分子式为C9H4O3•H2O,是一种白色结晶,是测定氨基酸和蛋白质的一种专门试剂。在蛋白质分子中的某些基团与显色剂作用,可产生特定的颜色反应,不同蛋白质所含氨基酸不完全相同,颜色反应亦不同。汗液中除水和各种无机盐外,还有氨基酸等。茚三酮7.5~10.0g氯化镉(或氯化钴)5.0g无水乙醇100ml蒸馏水900ml因茚三酮在常温下溶解较慢,可先用乙醇使茚三酮溶解,再加入蒸馏水,使成0.75~1.0%的水溶液,保存于棕色瓶中。加入氯化镉(CdCl2)或氯化钴(CoCl2)的目的是为了使皮纹样本能长时间保存。整个制备过程需戴医用手套操作,以防纸上留下操作者的手印。选择质地较好的白纸(80克轻磅道林纸较适用),切成16开大小。将茚三酮溶液倒入平底搪瓷盘或塑料盘中,用竹镊夹住纸的一边在溶液中浸湿,取出在室内阴干,避光保存备用。称取10g味精溶入100ml蒸馏水中,配制成10%的味精水溶液,倒入中、小型的搪瓷盘或塑料盘中,放入泡沫海绵片,制成印盒。取纹前,洗净手、足上的油渍,轻轻在印盒的海绵片上捺压,操作者用纱布擦去过多的味精溶液,待手、足不干不湿时,捺压在茚三酮反应纸上(夏天汗多,汗液中含有氨基酸和氯化钠的混合物,可不擦味精,直接捺印)。不久,即显现出紫红色的皮纹。反应开始时,味精被茚三酮分解出氨(NH3),同时,水合茚三酮被还原。随后,过量的茚三酮起缩合作用,生成二茚酮—二酮茚胺的取代盐(紫红色络合物)。此法避免了油墨法或印泥法对手、足的污染,被试者乐于接受,便于大规模调查。山东济宁医专的研究者[10]建议用2.5%的亚铁氰化钾水溶液[K4Fe(CN)6•3H2O]制备反应纸,晾干备用;2%的三氯亚铁水溶液(FeCl3•6H2O)制成印盒,手足在印盒捺压后其表面留有三氯亚铁溶液,再捺压在亚铁氰化钾反应纸上,即可显示蓝色的皮纹。Aubert在研究皮肤病和汗液分泌时,将硝酸银(AgNO3)涂在纸上能显现出皮纹,成为隐性显现第一人。此显现法现仍然在刑侦机关应用[11]。AgNO3与汗液中的氯化钠(NaCl)和氯化钾(KCl)中的氯离子起化学反应,生成氯化银(AgCl)和硝酸钠(NaNO3)、硝酸钾(KNO3)。AgCl在光照下光解,形成细微的黑色银粒,从而显现出指纹。AgNO3﹢NaCl﹢KCl—AgCl﹢NaNO3﹢KNO32AgCl—2Ag(黑色银粒)﹢Cl2硝酸银显出手印后,可将其手印浸入40%的淀粉溶液中约1分钟,或2%硫代硫酸钠(Na2S2O3)水溶液5~10分钟进行固定,然后用水漂洗、晾干即可较长时间保存。碘(I2)显指纹法是德国的WilliamEber设计的,现在仍然是刑侦机关提取隐性指纹的方法之一[11]。碘显法操作较复杂,一般采用熏染法,显示的手印浸入0.5-1%的氯化钯(PaCl2)水溶液中数秒至1分钟取出,经水洗晾干;或用软毛刷蘸此液涂于碘手印上,经水洗晾干,手纹嵴线呈棕褐色被固定下来。笔者认为,由于普鲁士蓝法仍有污染的缺点,硝酸银法和碘显法手续较繁且不能长期保存印纹,目前都已较少应用。在化学还原法中,还是茚三酮—味精成色反应法较为适用。其他方法采集皮纹的方法很多,还可以用照相法、皮肤射线照相、皮纹图像自动化识别、指纹自动识别等方法。
不同部位皮纹印的采集
不管用哪种方法采集皮纹,一定要注意能完整地印取到所有嵴线区域的纹型。除手掌和足底外,嵴线也往往沿着掌、指和跖、趾的侧缘向背侧延伸,这是采集皮纹时必须考虑到的。笔者推荐用印泥法或粉笔—碳素墨水—透明胶带法采集指纹。采集时,操作者可站在被试者左侧,以自己的左手食指和拇指捏住被捺印指的指尖,以右手食、拇指捏住手指中节,被试者其他手指稍弯曲。手指自尺侧向桡侧滚动,这样就能得到清晰的指纹印。捺印时用力要均匀,只能滚动一次,不能挪动、停顿、重复或倒转,否则嵴线会模糊不清。不论用哪种方法采集指纹,一定要照顾到手指的掌面和手指的桡、尺两侧,即三面的花纹,采集十指滚印指纹。一个好的手指印纹应该是矩形的,远端尽量录全,近端至少要有一个指褶。以便能全面且正确地进行检测分析。采集时应按一定的程序,如沿小、环、中、食、拇指的顺序一一进行。不管用什么顺序,都要及时注明左、右手和指别。如有遗漏,应立即重印。伤残或缺指(趾)、多指(趾)等应注明。建议用印泥法结合酒瓶滚印采集掌纹。一份合格的掌纹图至少要录下腕横纹、各指根处的指掌褶纹、指三叉、轴三叉、主要掌纹线走向和掌褶等内容。由于手掌心凹陷,取纹时往往在取纹纸下面垫一块泡沫海绵片,但效果总不理想,掌心部位的嵴线常有空缺。日本学者冈岛道夫[8]曾试用酒瓶滚印法印取小儿的手纹。我们将其用于成人,将取纹纸放在横卧750ml空葡萄酒瓶上(葡萄酒瓶避免了由于普通酒瓶短小而使手纹印歪斜),从指端开始向前推滚至腕横纹[9],即可得到满意而完整的指、掌纹图。指节纹是指手指基节和中节掌面及两则面(桡侧和尺侧)的花纹。国内已发表几篇资料,分析的仅是平面捺印的指节纹,未能反应其全貌。笔者建议用炭精—透明胶带法或粉笔—碳素墨水—透明胶带法[7]可以拓印清晰而完整的三面指节纹。此法虽然费时,但却克服了采集不到完整指节纹的困难。趾纹印图要求与指纹一样,也要采集到三面的趾纹。趾纹的采集很难,由于足长期禁锢在鞋中,致使足趾变形,一般捺印法采集不到完整的趾纹。笔者用粉笔—碳素墨水—透明胶带法[7]可克服由于足趾变形所遇到的困难,拓印得到完整的趾纹。具体方法和采集指节纹一样,将浸有碳素墨水的粉笔在趾端有纹线处涂擦,用胶带拓印再移到纸上。只是由于足趾间距较小,涂擦浸有墨汁的粉笔时要特别小心,防止足趾间互相摩擦而影响印纹质量。跖纹的采集较难。合格的跖纹印图应能录下拇趾球区、足小鱼际远侧、近侧区、足弓区、足跟区的纹型,此外趾三叉、p三叉、趾间纹、跖纹主线走向等结构都应显示清楚。但由于足弓的存在,往往录不全所需指标。由于足穿在鞋袜里,清洗较难,大规模调查时群众不易接受。建议采用无污染的茚三酮—味精成色反应法[9],受试者容易接受。采集时可试用橡皮筋将取纹纸固定在葡萄酒瓶上,由足跟向足趾推滚,可得到较完整的足底纹印,但由于跖纹嵴线往往向腓侧延伸,用上法仅可得到较满意的足底面的纹印;如在采集纸下垫一块泡沫海绵片,足底印好后再将腓侧的海绵片连同取纹纸一同托起,则可采集到完整的跖纹印图。如能两法配合应用,将采集到的两份印纹对照分析,足底延伸到腓侧的纹型即可显示出。唇纹是人唇红部位的纹理。采集唇纹可使用红色唇膏。用唇膏在被采集者的唇部均匀涂抹,将捺印纸从中间对折,被采集者上下唇沿捺印纸对角线抿合进行捺印[12]。采集各种纹型时,除及时签定知情同意书外,应标明印纹编号、姓名、性别、年龄、民族、籍贯,注明左右手及指、趾别等内容。若是疾病皮纹图形,还应写清临床症状、主要病史及诊断结果等内容,最好能附有照片。
遵偱皮纹研究的CDA标准
近30年来,我国皮纹学研究虽然发展很快,但由于标准不够统一,可供利用对比的资料还不到半数,其原因主要是没有执行国际通用的皮纹研究标准。为此,中国皮纹研究协作组先后于1991年[13]和2012年[14]公布了我国皮纹研究的技术标准。协作组建议,《ADA标准-CDA版本》和CDA标准作为皮纹研究的技术标准和项目标准。ADA是美国皮纹学会(AmericanDermatoglyphicsAssociation)的缩写;CDA是中国皮纹研究协作组(ChineseDermatoglyphicsAssociation)的缩写。自1982年以来,经过中国皮纹研究协作组会7次会议讨论,形成今天的标准文件。实际应用表明,本标准具有可操作性和先进性。CDA标准是借鉴了《ADA标准》,并对其进行了补充和完善。依据CDA标准,模式样本分为三级等次:1级模式样本(firstclassmodelswatch):含有指纹的A、Lu、Lr、W和TFRC项目。2级模式样本(secondclassmodelswatch):包含1级模式样本项目和掌纹的a-bRC、T/Ⅰ、Ⅱ、Ⅲ、Ⅳ和H项目。3级模式样本(thirdclassmodelswatch):包含2级模式样本项目和足纹的hallucal(A、L、W)、Ⅱ、Ⅲ、Ⅳ、H和calcar项目。在三个级别的模式样本中,其他项目多而不限。在今后的研究中,提倡向三级模式群体的规模努力,2级模式是起码的要求[14]。随机群体,男女身体健康,家族内无已知遗传病;样本量在1000人或以上,男女人数相同或相近;祖上三代为同一个民族,来自聚居区的样本;在知情同意原则下采样。
皮纹鉴定工具
鉴定纹型时,一般用放大5~10倍的放大镜就够了,但在计数嵴条数和追踪主线走向时,必须全神贯注。由于视网膜中视觉物质的消耗,致使眼球发胀,有损健康,且易出现差错。笔者建议用体视显微镜鉴定纹型,计数嵴线数和追踪主线止区。并用针灸针尖端指示计数和追踪部位,大大提高准确性,且保护了视力。若体视显微镜带有摄像头并连接到计算机,可在视频上观察纹型、嵴线计数和追踪主线走向,效果更好。
关键字蜜罐,交互性,入侵检测系统,防火墙
1引言
现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等,而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式,用定制好的特征吸引和诱骗攻击者,将攻击从网络中比较重要的机器上转移开,同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究,从而发现新型攻击,检索新型黑客工具,了解黑客和黑客团体的背景、目的、活动规律等。
2蜜罐技术基础
2.1蜜罐的定义
蜜罐是指受到严密监控的网络诱骗系统,通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其行为和过程进行分析,以搜集信息,对新攻击发出预警,同时蜜罐也可以延缓攻击和转移攻击目标。
蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务(DDOS)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用,可以有效提高系统安全性。
2.2蜜罐的分类
根据蜜罐的交互程度,可以将蜜罐分为3类:
蜜罐的交互程度(LevelofInvolvement)指攻击者与蜜罐相互作用的程度。
⑴低交互蜜罐
只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务,结构简单,部署容易,风险很低,所能收集的信息也是有限的。
⑵中交互蜜罐
也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。
⑶高交互蜜罐
由真实的操作系统来构建,提供给黑客的是真实的系统和服务。给黑客提供一个真实的操作系统,可以学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客,也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。
2.3蜜罐的拓扑位置
蜜罐本身作为一个标准服务器对周围网络环境并没有什么特别需要。理论上可以布置在网络的任何位置。但是不同的位置其作用和功能也是不尽相同。
如果用于内部或私有网络,可以放置在任何一个公共数据流经的节点。如用于互联网的连接,蜜罐可以位于防火墙前面,也可以是后面。
⑴防火墙之前:如见图1中蜜罐(1),蜜罐会吸引象端口扫描等大量的攻击,而这些攻击不会被防火墙记录也不让内部IDS系统产生警告,只会由蜜罐本身来记录。
因为位于防火墙之外,可被视为外部网络中的任何一台普通的机器,不用调整防火墙及其它的资源的配置,不会给内部网增加新的风险,缺点是无法定位或捕捉到内部攻击者,防火墙限制外向交通,也限制了蜜罐的对内网信息收集。
⑵防火墙之后:如图1中蜜罐(2),会给内部网带来安全威胁,尤其是内部网没有附加的防火墙来与蜜罐相隔离。蜜罐提供的服务,有些是互联网的输出服务,要求由防火墙把回馈转给蜜罐,不可避免地调整防火墙规则,因此要谨慎设置,保证这些数据可以通过防火墙进入蜜罐而不引入更多的风险。
优点是既可以收集到已经通过防火墙的有害数据,还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。
还有一种方法,把蜜罐置于隔离区DMZ内,如图1中蜜罐(3)。隔离区只有需要的服务才被允许通过防火墙,因此风险相对较低。DMZ内的其它系统要安全地和蜜罐隔离。此方法增加了隔离区的负担,具体实施也比较困难。
3蜜罐的安全价值
蜜罐是增强现有安全性的强大工具,是一种了解黑客常用工具和攻击策略的有效手段。根据P2DR动态安全模型,从防护、检测和响应三方面分析蜜罐的安全价值。
⑴防护蜜罐在防护中所做的贡献很少,并不会将那些试图攻击的入侵者拒之门外。事实上蜜罐设计的初衷就是妥协,希望有人闯入系统,从而进行记录和分析。
有些学者认为诱骗也是一种防护。因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击,从而防止或减缓了对真正系统的攻击。
⑵检测蜜罐的防护功能很弱,却有很强的检测功能。因为蜜罐本身没有任何生产行为,所有与蜜罐的连接都可认为是可疑行为而被纪录。这就大大降低误报率和漏报率,也简化了检测的过程。
现在的网络主要是使用入侵检测系统IDS来检测攻击。面对大量正常通信与可疑攻击行为相混杂的网络,要从海量的网络行为中检测出攻击是很困难的,有时并不能及时发现和处理真正的攻击。高误报率使IDS失去有效的报警作用,蜜罐的误报率远远低于大部分IDS工具。
另外目前的IDS还不能够有效地对新型攻击方法进行检测,无论是基于异常的还是基于误用的,都有可能遗漏新型或未知的攻击。蜜罐可以有效解决漏报问题,使用蜜罐的主要目的就是检测新的攻击。
⑶响应蜜罐检测到入侵后可以进行响应,包括模拟回应来引诱黑客进一步攻击,发出报警通知系统管理员,让管理员适时的调整入侵检测系统和防火墙配置,来加强真实系统的保护等。
4蜜罐的信息收集
要进行信息分析,首先要进行信息收集,下面分析蜜罐的数据捕获和记录机制。根据信息捕获部件的位置,可分为基于主机的信息收集和基于网络的信息收集。
4.1基于主机的信息收集
基于主机的信息收集有两种方式,一是直接记录进出主机的数据流,二是以系统管理员身份嵌入操作系统内部来监视蜜罐的状态信息,即所谓“Peeking”机制。
⑴记录数据流
直接记录数据流实现一般比较简单,主要问题是在哪里存储这些数据。
收集到的数据可以本地存放在密罐主机中,例如把日志文件用加密技术放在一个隐藏的分区中。本地存储的缺点是系统管理员不能及时研究这些数据,同时保留的日志空间可能用尽,系统就会降低交互程度甚至变为不受监控。攻击者也会了解日志区域并且试图控制它,而使日志文件中的数据不再是可信数据。
因此,将攻击者的信息存放在一个安全的、远程的地方相对更合理。以通过串行设备、并行设备、USB或Firewire技术和网络接口将连续数据存储到远程日志服务器,也可以使用专门的日志记录硬件设备。数据传输时采用加密措施。
⑵采用“Peeking”机制
这种方式和操作系统密切相关,实现相对比较复杂。
对于微软系列操作系统来说,系统的源代码是很难得到,对操作系统的更改很困难,无法以透明的方式将数据收集结构与系统内核相结合,记录功能必须与攻击者可见的用户空间代码相结合。蜜罐管理员一般只能察看运行的进程,检查日志和应用MD-5检查系统文件的一致性。
对于UNIX系列操作系统,几乎所有的组件都可以以源代码形式得到,则为数据收集提供更多的机会,可以在源代码级上改写记录机制,再重新编译加入蜜罐系统中。需要说明,尽管对于攻击者来说二进制文件的改变是很难察觉,一个高级黑客还是可能通过如下的方法探测到:
·MD-5检验和检查:如果攻击者有一个和蜜罐对比的参照系统,就会计算所有标准的系统二进制文件的MD-5校验和来测试蜜罐。
·库的依赖性和进程相关性检查:即使攻击者不知道原始的二进制系统的确切结构,仍然能应用特定程序观察共享库的依赖性和进程的相关性。例如,在UNIX操作系统中,超级用户能应用truss或strace命令来监督任何进程,当一个象grep(用来文本搜索)的命令突然开始与系统日志记录进程通信,攻击者就会警觉。库的依赖性问题可以通过使用静态联接库来解决。
另外如果黑客攻陷一台机器,一般会安装所谓的后门工具包,这些文件会代替机器上原有的文件,可能会使蜜罐收集数据能力降低或干脆失去。因此应直接把数据收集直接融入UNIX内核,这样攻击者很难探测到。修改UNIX内核不象修改UNIX系统文件那么容易,而且不是所有的UNIX版本都有源代码形式的内核。不过一旦源代码可用,这是布置和隐藏数据收集机制有效的方法。
4.2基于网络的信息收集
基于主机的信息收集定位于主机本身,这就很容易被探测并终止。基于网络的信息收集将收集机制设置在蜜罐之外,以一种不可见的方式运行,很难被探测到,即使探测到也难被终止,比基于主机的信息收集更为安全。可以利用防火墙和入侵检测系统从网络上来收集进出蜜罐的信息。
⑴防火墙
可以配置防火墙记录所有的出入数据,供以后仔细地检查。用标准文件格式来记录,如Linux系统的tcpdump兼容格式,可以有很多工具软件来分析和解码录制的数据包。也可以配置防火墙针对进出蜜罐数据包触发报警,这些警告可以被进一步提炼而提交给更复杂的报警系统,来分析哪些服务己被攻击。例如,大部分利用漏洞的程序都会建立一个shell或打开某端口等待外来连接,防火墙可以记录那些试图与后门和非常规端口建立连接的企图并且对发起源的IP告警。防火墙也是数据统计的好地方,进出数据包可被计数,研究黑客攻击时的网络流量是很有意义的。
⑵入侵检测系统
网络入侵检测系统NIDS在网络中的放置方式使得它能够对网络中所有机器进行监控。可以用HIDS记录进出蜜罐的所有数据包,也可以配置NIDS只去捕获我们感兴趣的数据流。
在基于主机的信息收集中,高明的入侵者会尝试闯入远程的日志服务器试图删除他们的入侵记录,而这些尝试也正是蜜罐想要了解和捕获的信息。即使他们成功删除了主机内的日志,NIDS还是在网内静静地被动捕获着进出蜜罐的所有数据包和入侵者的所有活动,此时NIDS充当了第二重的远程日志系统,进一步确保了网络日志记录的完整性。
当然,不论是基于误用还是基于异常的NIDS都不会探测不到所有攻击,对于新的攻击方式,特征库里将不会有任何的特征,而只要攻击没有反常情况,基于异常的NIDS就不会触发任何警告,例如慢速扫描,因此要根据蜜罐的实际需要来调整IDS配置。
始终实时观察蜜罐费用很高,因此将优秀的网络入侵检测系统和蜜罐结合使用是很有用的。
4.3主动的信息收集
信息也是可以主动获得,使用第三方的机器或服务甚至直接针对攻击者反探测,如Whois,Portscan等。这种方式很危险,容易被攻击者察觉并离开蜜罐,而且不是蜜罐所研究的主要范畴。
5蜜罐的安全性分析
5.1蜜罐的安全威胁
必须意识到运行蜜罐存在的一定的风险,有三个主要的危险是:
⑴未发现黑客对蜜罐的接管
蜜罐被黑客控制并接管是非常严重的,这样的蜜罐已毫无意义且充满危险。一个蜜罐被攻陷却没有被蜜罐管理员发现,则蜜罐的监测设计存在着缺陷。
⑵对蜜罐失去控制
对蜜罐失去控制也是一个严重的问题,一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通讯,随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷,也仍在控制之中。操作者不应该依靠与蜜罐本身相关的任何机器。虚拟机同样存在危险,黑客可能突破虚拟机而进入主机操作系统,因此虚拟蜜罐系统的主机同样是不可信的。
失去控制的另一方面是指操作者被黑客迷惑。如黑客故意制造大量的攻击数据和未过滤的日志事件以致管理员不能实时跟踪所有的活动,黑客就有机会攻击真正目标。
⑶对第三方的损害
指攻击者可能利用蜜罐去攻击第三方,如把蜜罐作为跳板和中继发起端口扫描、DDOS攻击等。
5.2降低蜜罐的风险
首先,要根据实际需要选择最低安全风险的蜜罐。事实上并不总是需要高交互蜜罐,如只想发现公司内部的攻击者及谁探查了内部网,中低交互的蜜罐就足够了。如确实需要高交互蜜罐可尝试利用带防火墙的蜜网而不是单一的蜜罐。
其次,要保证攻击蜜罐所触发的警告应当能够立即发送给蜜罐管理员。如探测到对root权限的尝试攻击就应当在记录的同时告知管理员,以便采取行动。要保证能随时关闭蜜罐,作为最后的手段,关闭掉失去控制的蜜罐,阻止了各种攻击,也停止了信息收集。
相对而言保护第三方比较困难,蜜罐要与全球的网络交互作用才具有吸引力而返回一些有用的信息,拒绝向外的网络交通就不会引起攻击者太大的兴趣,而一个开放的蜜罐资源在黑客手里会成为有力的攻击跳板,要在二者之间找到平衡,可以设置防火墙对外向连接做必要的限定:
⑴在给定时间间隔只允许定量的IP数据包通过。
⑵在给定时间间隔只允许定量的TCPSYN数据包。
⑶限定同时的TCP连接数量。
⑷随机地丢掉外向IP包。
这样既允许外向交通,又避免了蜜罐系统成为入侵者攻击他人的跳板。如需要完全拒绝到某个端口的外向交通也是可以的。另一个限制方法是布置基于包过滤器的IDS,丢弃与指定特征相符的包,如使用Hogwash包过滤器。
6结语
蜜罐系统是一个比较新的安全研究方向。相对于其它安全机制,蜜罐使用简单,配置灵活,占用的资源少,可以在复杂的环境下有效地工作,而且收集的数据和信息有很好的针对性和研究价值。既能作为独立的安全信息工具,还可以与其他的安全机制协作使用,取长补短地对入侵进行检测,查找并发现新型攻击和新型攻击工具。
蜜罐也有缺点和不足,主要是收集数据面比较狭窄和给使用环境引入了新的风险。面对不断改进的黑客技术,蜜罐技术也要不断地完善和更新。
参考文献
[1]熊华,郭世泽等.网络安全—取证与蜜罐[M].北京人民邮电出版社,2003,97-136
[2]LanceSpitzner.DefinitionsandValueofHoneypots.[EB/OL]..2002.
[3]赵伟峰,曾启铭.一种了解黑客的有效手段—蜜罐(Honeypot)[J].计算机应用,2003,23(S1):259-261.
[4]马晓丽,赵站生,黄轩.Honeypot—网络陷阱.计算机工程与应用,2003.39(4):162-165.
智能化的交通管理系统组成如下,这些系统之间都是相互联系、相互作用的关系,缺少任何一个系统环节都无法实现系统的稳定运行。(1)交通信号控制系统;(2)闭路电视交通监视系统;(3)交通信息采集处理系统;(4)车辆定位系统;(5)交通诱导信息系统;(6)交通管理地理信息系统;(7)交通信息系统;(8)信息移动查询系统。智能化交通管理系统的主要功能是:对道路交通的实时运行信息进行采集、分析及处理,并将处理后的信息实时传输到交通管理控制中心,以实现对道路交通运行进行有效调度,保证道路交通畅通无阻。通过及时道路交通信息,尤其是车流量大、车辆易拥堵路段,可采取相应的疏导措施,引导司机驾驶行为,避免发生交通事故。通过交通信息数据库对道路交通运行状态进行评价,对道路交通的未来发展态势进行预测和预报,为道路交通管理规划工作提供重要参考依据。
2视频采集技术及其特点
因环形线圈检测器具有稳定的可靠性和高质量的精密度等优点,被广泛应用于交通检测系统中。但随着应用的广泛化和普遍化,环形线圈的缺点也逐渐暴露出来:(1)环形线圈运行过程中出现故障维修和维护需要花费的成本比较高;(2)环形线圈对混合交通车流不能进行准确的检测,检测结果存在很高的不确定性;(3)环形线圈针对不同的路况信息,检测结果有较大差异,尤其对于复杂路况往往检测功能发挥欠佳。随着科技的发展,视频检测技术的出现有效的解决了以上缺点。利用计算机视觉技术和图像处理技术,并结合现代通信手段和数字化手段,视频采集技术通过摄像机对多个车道的车辆进行跟踪,定位,拍摄,将获得的相关车辆信息(如车型、车流量、车速等)进行图像数字化处理,再对信息进行分区处理,最后经过特征提取和检测分类,将所收集的数据反馈给交通信息数据库。数据库依据所得到的相关车辆的信息来辨认车辆。采用这种技术不仅可以获得多个区域的交通车辆图像信息,还可以对覆盖区域的路面交通状况做出全面精准的判断。视频采集的技术特点主要以下几方面:(1)视频采集装置安装施工便利,不会因为施工而影响道路交通系统的正常运行;(2)不会因为施工而对道路的相关设施造成破坏;(3)可实现多车道的信息采集;(4)具有良好的扩展性,能有效提高道路交通系统运行效率;(5)可以实现对车流量信息进行实时监测,统计和区分等一系列步骤;(6)对所采集到的数据进行检测和识别,并实现对异常交通状况的紧急报警。
3视频采集技术在智能交通管理系统中的应用
3.1视频采集技术应用于交通信号控制系统
依靠采集数据控制交通流,使得交通信号控制系统能够通过相关路段设置的视频车辆检测器来获取交通参数。信号控制机对参数进行接收并加以处理,进一步分析改路段的实际交通运行状况,并以此为依据在有效地时间内自动的选择出符合该地面路况的交通信号控制方案。通过这种方式对路面交通视频进行采集,如车辆流量,然后采用合理的疏导手段和措施对交通进行控制,可大大地提高了道路交通运输效率。交通信号控制系统具有数据采集功能和对交通流组织控制作用,是智能交通管理系统的最为重要的子系统之一。交通信号控制系统采用的视频技术实现对道路交通信号的采集,是在交通路段的关键位置(路口),设置视频车辆检测器对该路段的交通断面参数进行采集,然后将这些参数传输到信号控制机,经信号控制机处理后制定出科学性的交通信号控制方案,实现交通系统正常运行。
3.2视频采集技术应用于交通动态信息采集系统
城市交通检测中心普遍采用以视频采集技术为主的方式来采集交通动态信息,这样可以更加合理的管理交通运行状况。通过光纤网络将视频交通信息采集系统与环形线圈采集系统,超声波交通信息采集系统等结合在一起,通过运用多路协议转换器将综合交通动态信息存入数据库,用以指导道路交通的畅通运行。为了更好地评估交通工程和交通管理措施,为今后交通规划提供决策依据,城市交通管理部门都需要安装交通动态信息采集系统采集交通动态信息,交通动态信息采集系统可以以视频技术为主,结合其他采集技术来完成交通动态信息采集任务。
3.3视频采集技术应用于检测交通安全
视频采集技术在交通安全方面有两个应用方向:①视频采集技术对道路交通事故进行采集,及时将采集到的信息反馈至交通管理部门,以提升事故现场处理的效率;②对道路拥堵信息进行采集,便于交通管理部门及时疏导交通。
4结语
一、电力信息采集系统
电力信息采集业务是对用户的用电信息进行采集、监测和处理,实现用户用电信息计量异常监测以及用户用电信息采集、分析和管理,同时也让电能质量被实时监控等,在用户服务、市场管理、电费实时结算等多方面提供实时、可靠的数据。电力用电信息采集系统分主站层、通信信道层和采集设备层三层。[1]主站与其他应用系统和公网信道是由防火墙分离开来,单独组网。在主站层里有前置采集平台、营销采集业务应用以及数据库管理三部分组织。前置采集平台管理和调查各种与终端的远程通信;营销采集业务应用让系统的各部分应用功能得到充分得到充分发挥;数据库管理实现用电终端的用电信息有效管理,并担负起协议解析职责。实现这三种功能,需要由前置采集服务器、营销系统服务器以及相关的网络设备组成主站网络的物理结构。采集设备层的主要任务是收集和提供整个系统的原始用电信息,是整个系统的底层,又分为计量设备层、终端子层两个子层,分别负责实现电能计量和数据输出和收集用户计量设备的信息、处理和冻结相关数据,并实现与上层主站的交互等。而主站层和采集设备层之间的最重要使是通信信道,为主站和终端信息交互提供平台。目前有230MHz电力无线专网、GPRS/CDMA无线公网以及光纤专网等通信信道,而无线技术的应用更能满足系统需要,其可靠性和稳定性成了当前的研究重点。用电信息釆集系统主要有五大功能,分别是系统数据采集、系统接口、运行维护管理、数据管理及控制和综合应用。数据采集主要是根据业务要求编制自动采集任务,例如任务类型和名称、采集周期和群组、正常补采次数以及执行优先级等信息,对任务执行情况进行管理;系统接口主要是与其他应用系统进行连接;运行维护管理功能是对密码、权限、档案、通信与路由、终端、运行状况、故障记录、报表等方面的内容进行有效管理;数据管理及控制功能包括对数据的计算、检查、分析、存储等内容进行管理以及对电量、功率、费率、电缆催收等内容进行控制;综合应用功能主要是提供异常用电分析、有序用电管理、自动抄表管理、用电分析、电能质量数据统计等服务。用电信息采集首先由主站对集体终端进行对时,统一时间后终端进行采集工作状态,按设定的时间间隔进行定时抄表、存储并通过无线信道传数据到后台,如无线信道不稳定时,后台会自动再次生成相应的补救命令追补数据,最后后台对数据进行处理。整个采集过程,业务通信具有整点时刻定时抄表,重传补数的特点,保证在业务通信失败的情况下还可以再次重新传采集数据,实现信息采集可靠性。
二、无线通信信道技术特点与数据丢失规律分析
1.无线通信信道技术的特点利用信道的统计特征进行分析是无线通信信道技术的重要特征之一。无线通信信道分为小尺度衰落和大尺度衰落两种衰落大体。小尺度传播是指信号在短时间内瞬间产生的变化,而大尺度传播指的是在相关长的一段时间内信号平均功率的变化。信道的相位、振幅会受到多径传播和多普勒频移两者的影响,产生信号频散和时间选择性衰落。衰落也根据大小将小尺度衰落分为选择性频率衰落和平坦衰落。在电力系统无线通信应用中通常有如高斯噪声、白噪声、窄带高斯噪声等多种噪声陪随着信号的传输,短时衰减是他们其中最大的特点,最大可以达到60~70dB。无线通信信道技术噪声有突发性的脉冲噪声、自然噪声、同步周期性脉冲的噪声、异步周期性脉冲的噪声。突发性的脉冲噪声顾名思义是指网络上开关的操作或者发生闪电时产生一系列脉冲噪声影响到非常宽的频带,以致脉冲噪声密度比背景噪声的功率谱密度高出50dB;自然噪声即是指如闪电、雷击、电焊等自然界各种各校的电磁波造成的自然噪声;同步周期性脉冲的噪声是电力设备按照50Hz或者100Hz来工作的频率产生的脉冲,功率随频率增加而减少;异步周期性脉冲的噪声是由于大功率电器的开关发生周期星的开闭动作导致噪声产生,重复率主要集中50~200范围之内。2.电力无线通信数据丢失规律不同地区电力负荷的特性不同,影响电力负荷的因素也不完全相同。[2]电力用电信息采集业务的主要任务是对居民用电信息进行采集与监控,无线通信往往会受到电磁干扰的影响。对用电信息采集无线通信网络进行数据分析,指在根据电磁干扰造成数据丢失规律,结合信息采集业务的应用环境特点,调整选用合适的控制策略,以保证用信息采集业务的可靠性。分析数据丢失规律,首先要统计出24小时内居民用电负荷与时间的关系特性,并结合用电负荷量得出阶梯奖业务量模型,再根据模式作出规律性变化分析。在统计电力用户用电负荷状况时,节选广州某居民区生活和工作用电负荷24小时规律变化为例,通过采样、统计、整理得出一天内的用电负荷曲线,如图1所示:其中,负荷比值=瞬时负荷量/24小时平均负荷量。由图1可以看出,01:00~05:00时间段为居民的休息时间,全天进行用电量低谷;05:00~08:00时间段,居民起床、做饭、上班等,用电量略有所回升;08:00~12:00时间段为居民上班时间,使用各种电器设备,用电量明显上升,而12:00~13:00为午餐午休时间,用电量随着部分活动的停止而呈小幅下降;13:00~18:00又进入工作期间,用电量也相应上升;18:00~20:00时间段是居民回家做饭时间,用电量逐渐增加;20:00~23:00时间是大多数人在家休息,如电视、空调等大功率电器大幅启动,多数娱乐场所也进行一天的高峰,此时处于用电高峰期,在21:00附近进入一天用电最高峰,随后便有所下降,至24时多数居民已休息,用电量又逐渐步入一天的低谷。电力无线通信数据丢失率与电磁干扰因素呈正相关关系,一般而已,电磁干扰因素越大,电力无线通信信道数据据丢失率就越大。结合居民用电负荷曲线,将一天分成五个时间段,依次为K23:00-6:00;K6:00-12:00;K12:00-18:00;K18:00-20:00;K20:00-23:00。五个时间段的居民用电量呈递增趋势,设20:00的用电负荷比值为K20:00,那么K20:00-23:00段的平均负荷比值为:K20:00-23:00=(K20:00+K21:00+K22:00)/3同理可求得其他四个时间段的平均负荷比值,可以得到五个级别的通信数据丢失率阶梯模型,可以总结电力无线通信数据丢失规律是随着用电量的变化而变化。在接入过程中应当充分根据此规律的特点而设计不同的控制方式,从而最大限制提高无线资源的利用率。
三、无线通信技术在系统中的应用
用电信息采集系统通信分为有线通信和无线通信。无线通信又分为无线专网和无线公网。一般而言,变电站采集终端采用有线的光纤通信方式,保证采集实时性强;高压客户采用230MHz专网或无线公网方式;而低压客户几乎都是采用无线公网通信方式。由于居民用电信息采集中,一个公用配变电下有大量的电力用户,而且具有用电容量小、计量点分散等特点,本地信道方式将大量的电力用户信息集中再往系统主站传输是一个低成本的无线通信技术应用方式。因此,用电信息采集系统无线技术的应用主要介绍微功率无线通信、低压窄带电力线载波、低压宽带电力线载波三种本地信道通信方式的应用。[3]微功率无线通信是指采用WSN(WirelessSensorNetworks)技术的无线通信方式。WSN是一系列微功率通信的总称,综合了嵌入式系统技术、传感器技术、网络无线通信技术、分布式信息处理技术等,通信微型传感器节点对用户进行实时的感知和监控,利用每个传感器具有无线通信功能组建成一个无线网络,将数据传输到监控中心,非常适用于低成本、测量点多、范围分散的低压场合。应用WSN技术克服了传统数据对点无线传输模式的局限性,自组织性、拓扑结构动态性、网络分布式特性等较为明显,而且通信能力、抗干扰能力都比较强,无需要安装,功耗低,具有很强的成本优势。无线数据支持双向传输,既可以上传电能表的数据,又可以接收集中器下发的命令,还可以中继来自其他节点数据。通信流程如图2所示:电能表通过无线采集节点传输到中继节点,并由集中器进行处理。集中器下发命令数据,目标无线采集节点就会通过多个中继节点收到命令,甚至可以直接收到,然后转发给电能表。还也可以利用无线网络实时性强的优点,将突发事件通过无线节点主动上传到后台,有效地实现故障报警、实时监控、防窃电。对于测量点相对分散、集中装表、用户负载变化大、载波不稳定等场合非常适用。低压窄带电力线载波通信指的是载波信息范围限制在500kHz以内的低压电力线载波通信。配电线主要用于传输50Hz大功率电力,配电线连接各种设备将会影响到传输的通信信号,特别是近年来变频家用电器大量使用,对信道的稳定性造成巨大的干扰,主要表现为阻抗不稳定、噪声显著、信号衰减严重,并且这两个因素随着时间和频率变化而变化。窄带载波通信技术可以双向传输,不再需要另外通信线路,具有较强的适应性,而且具有容易安装的特点,对于低压用户数据采集是个很好的应用。但其数据传输速率较低,容易受到噪声大、信号衰减的影响,在通信可靠性方面还存在着一定的技术障碍。因此,在应用时应当利用软硬件技术结合,完成组网优化窄带载波通信,对于一些用电负载特性变化较小、电能表分散布置困难的区域具有一定的应用价值。宽带电力线载波系统工作在1~40MHz频率范围,成功避开了kHz频段带来的干扰,并通过扩频调制或者正交方式来获得兆级以上的传输速率。这种电力线宽带通信调制技术把信道带宽分成N个正交的子信道,每个子信道呈现相对性和平坦特性,将这些子信道看成理想信息。由于低压台区电力线上的高频传输信号往往会衰减得比较快,需要通过时分中继、自动中继、频分中继和智能路由计算等多项技术手段实现整个低压电力通信网络重构并通信。这种通信技术具有较高的抗干扰能力,适应性强,可以同时承载多个业务并对各个任务进行并发处理。同时有单跳通信距离受限、信号衰减大等局限性。在应用时还需要采用路由、中继等行之有效的优化措施。根据宽带载波的短距离和少分支特性,应当重点应用于城乡公变区供电区域、电表集中安装居民区等,电能表数据采集效果和经济性均优于其他的抄表方式。
四、结语
本文将针对两种间歇采油技术进行介绍。
(1)活动式螺杆泵间歇采油技术。在该种技术的运用过程中,所使用的设备时最为常规化的螺旋杆设备,其地面上的主要采油动力源是拖拉机,连接时运用的是螺杆泵井口的驱动头以及变速用的万向连轴节,如此一来,可以使拖拉机的动力向井下的螺杆泵进行有效传递,此刻,井下液体则会举升至地面位置。已经抽出来的油液需送入到油罐车中,再送至中转站实施加工并处理,旨在实现工艺简化以及成本节约的相关目标。该项系统技术关键内容在于起抽时候的扁动扭矩,井的间歇时间主要是由扭矩以及油井的实际恢复程度所决定的。唯有将每口井的具体间歇周期合理把握好,方能利用螺杆泵间歇来实施采油行为,达到降低能耗的目的。
(2)提捞采油工艺技术。机器采油成本主要由电费、药剂费以及作业费所构成,在此之中,电费所占据的比重是非常大的。提捞采油技术在运用过程中不会形成相应的药剂费用以及电费,只在这两个方面,便可实现使用成本的大幅度节约。与此同时,相较于抽油机来说,提捞井的实际作业费用又要少很多。对于等待开发的区块来说,提捞采油技术不需要上集油管线、井口装备以及电力设施等,节约了投资总成本。在有些使用常规抽油技术低于开发经济界限的区域范围内能够运用提捞采油技术,在很大程度上,油田的实际开发范围被有效扩大。
小井眼采油技术
满足下列条件之一的油井就可以称为小井眼井:(1)井径不得超过215.9mm;(2)整个井90%的井径不得超过177.8mm;(3)井径小于152.4mm;(4)井径不得超过该地区常规井的井径。小井眼井所具备的诸多优势均在钻井过程中可获得体现,譬如说,其可以实现钻井液用量的有效节约,用地面积占用较小,钢材使用量较低,实际的运输量相对较少,劳务费用比较省一些等等方面。针对机械采油工作而言,由于抽油杆质量一般较轻,抽油设备体积较小,可以在很大程度上实现采油成本以及采油能耗的优化降低。
抽油机井上的节能技术
抽油机上的节能降耗工作可以采用应用节能设备。它主要包括节能抽油机、节能电机和节能配电箱。常规游梁式抽油机有着很强的耐用性,操作起来很方便,结构也相对简答,可是其运行过程中所产生的能耗则是非常大的,结合该缺点,对其实施优化改造,进行偏轮抽油机以及双头驴、低矮型抽油机的合理开发,在保留游离式抽油机优势的相关基础上,解决了能耗高的问题,一举两得。
系统框架设计
林业资源监管通用数据采集系统采用C#语言、ArcEngine和开普互联智能表台进行设计开发。系统分为B/S架构的Web配置系统和C/S架构的桌面系统两部分,如图1所示。这种设计方式基于:1)B/S架构已成为林业业务系统的主流架构,借助配置系统以便将通用数据采集系统与业务系统进行集成;2)使桌面系统可以专注于数据采集,实现与业务流程、功能的松散耦合。Web配置系统包括数据交换以及桌面系统的配置管理功能模块,支持本地和远程配置方式。数据交换通过将事先制作完成的支撑数据提供给桌面系统,作为各业务数据采集系统运行的基础,并将采集完成的数据返回数据库,提供给其他业务系统使用。配置管理支持对采集数据、支撑数据以及桌面系统功能界面的配置,并将配置结果保存在XML配置文件中,作为桌面业务系统运行的基础。通过配置系统为桌面系统提供支撑数据并进行相关配置,就可以为不同业务定制数据采集系统。桌面系统包括通用功能元件、业务系统配置、动态数据的管理以及界面的生成4个功能模块。通用功能元件包含数据采集的一般功能。业务系统配置提供配置内容的读写功能。动态数据管理根据配置实现对不同业务支撑数据的访问、更新以及采集数据的导出。界面生成根据配置信息生成特定于业务的系统界面。桌面系统框架采用变种MVC模式(模型--视图--控制器),该模式采用数据驱动设计[9],使得视图、控制器和模型可以随业务而变。在数据层,空间数据与属性数据分表存储,空间数据表只存储与业务无关的图形信息,从而能以统一的形式访问、处理及显示空间数据,不受业务变化的影响。而与业务紧密相关的属性数据单独存储在属性表中,并将与属性数据相关的视图、控制器及模型的变化存储在用开普互联智能表台制作的表单文件、数据映射文件中,系统在运行时就可以基于表单文件、数据映射文件及配置文件动态地构建视图、控制器及模型,从而将业务数据的变化隔离在源代码之外,使源代码高度内聚,不会变异。由于两类数据的处理方式不同,数据间的完整性通过逻辑校验来保证。
关键技术及实现
林业资源监管通用数据采集系统采用的关键技术包括智能配置、界面自动生成和动态数据管理技术。
1智能配置技术
智能配置技术是指将与业务相关的变化信息存储在配置文件中,系统在运行时读取配置文件,根据其中的信息实现对不同业务数据采集功能的定制。当业务数据采集需求发生变化时,仅需通过改变配置信息就能满足需求,这样既增加了系统的灵活性,又能保持系统的稳定。数据采集系统通过配置系统实现智能配置,主要包括系统配置、采集数据配置两方面。(1)系统配置。系统配置包括支撑数据、用户功能界面配置两部分。支撑数据的配置内容包括数据版本号,采集人员的账户信息及该账户关联的业务名列表,支撑数据中各数据名称、类型、对数据操作的命令和命令状态列表。版本号为自然数值,作为数据是否需要更新的依据;业务名列表的形式为“Reforestation/造林,Harvesting/采伐”,前面是业务系统的英文名,后面是对应的中文名,之间用反斜杠隔开,指明账号可以使用的数据采集系统;数据名称为数据文件的名称,类型包括数据库、表和普通文件。命令指明了如何处理数据,包括覆盖、更新、添加、删除4种。命令状态包括已执行或未执行,决定系统是否执行命令。用户功能界面配置内容包括功能元件、逻辑验证规则和表单配置。功能元件和逻辑验证规则的配置目标可以是单个图层或整个系统。功能元件的状态包括可见、隐藏、可用与禁用,当不需要使用某项功能时,根据功能元件的名称将其状态设置为隐藏或禁用即可。逻辑验证规则的配置内容包括SQL语句及其描述,通过执行SQL语句进行验证;SQL语句的执行方式不随业务变化,规则的描述为界面上呈现给用户的信息,如地类检查。表单的配置目标是图层,包括图层名、表单文件名及其描述,通过将图层名和表单文件名配对存储,就能根据图层找到对应的表单进行属性数据的录入,描述为用户界面上呈现给用户的信息,如造林模式表。(2)数据配置。采集数据的配置包括需要导出的数据版本号、表名称、数据记录主键序列以及其他数据文件的名称。数据版本是自然数值,作为外界是否需要下载该数据的依据。系统根据数据名称和主键序列导出数据。
2功能界面自动生成
功能界面自动生成以功能元件为基础,通过建立配置文件完成用户界面的按需定制。(1)系统功能元件。系统是功能元件的集合,功能元件可能是单个功能或一类功能,如图形创建是单个功能,图形编辑是一类功能,在界面上表现为单个控件。本文使用功能元件名称、控件名称、功能状态及功能描述来表达功能元件。对于用户而言,只需配置功能名称及状态来控制功能界面。系统功能元件信息存储在XML文档中,该文档需要按照模板文件制作,配置系统解析该XML文档,并在界面上列举出功能元件列表供用户配置。(2)界面生成算法。数据采集系统中涉及界面变化的模块主要包括:1)空间编辑和拓扑校验界面。该界面因功能是否需要使用而变化。2)属性编辑界面。该界面随数据内容和结构而变化。3)逻辑校验界面。该界面随校验规则内容而变化。界面自动生成以功能元件及系统配置文件为基础,通过解析配置文件动态生成用户界面,生成流程如图2所示。3个界面的生成算法各有不同。空间编辑和拓扑校验界面的生成是根据配置对WindowsForm控件的可见性和可用性进行控制来实现的;属性编辑界面的生成是通过加载开普互联智能表单文件到WindowsForm窗体中来实现的,开普互联智能表单界面如图3所示;逻辑校验界面的生成是通过加载验证规则到WindowsForm窗体中的列表控件中来实现的。
3动态数据库管理
动态数据库是结构和数据都可以随需要而变化的数据库[10--11],在本文中是指整个数据库的改变。数据采集系统以单一业务配置为基础,每个采集人员配备独立的设备和采集系统,但在人力和设备资源有限的情况下,数据采集系统需要支持多个业务的数据采集或多个采集人员共用一套设备和系统。系统需要根据业务、人员职责调用不同的支撑数据。解决方案为:建立以采集人员账号名和业务名组合命名的文件夹,通过配置系统将不同的支撑数据放到对应的文件夹内。当用户登录系统时,系统依据账号列出可操作业务,采集人员从中选择业务名称,系统就可以将正确的支撑数据供给用户使用。
4数据交换
数据交换包括支撑数据的上传及采集数据的下载,使用配置系统完成,交换的数据放在该系统目录下。支撑数据的上传有2种情况:1)采集系统的定制。将所有支撑数据以添加命令上传,桌面系统运行时会判断是否存在数据,如果不存在数据,就会从配置系统目录拷贝数据到本系统目录,结合这些数据形成特定于业务的采集系统。2)部分支撑数据的变更。将部分支撑数据以添加、删除、更新3种命令之一上传,桌面系统运行时检查配置系统目录下的数据版本号,如果版本号小于配置系统目录下数据版本号,就按照配置的命令进行更改。数据采集完成并通过校验后,由桌面系统将数据导出并压缩,然后拷贝到配置系统目录。每导出一次数据都会累加版本号,系统用户根据版本号下载最新的采集数据。
如果根据历史成本法对可以扣除的成本进行相关的计算,那么在当前房地产的价格时常发生一些变动的市场环境中,就不可能正确的计算出应该扣除多少成本。在税法当中的第二个地方就是对盘盈固定资产方面的计算过程当中,以和固定资产相同的重置成本价值作为计税的基础。
二、税务会计的计量属性和财务会计的计量属性的不同点
(一)财务会计和税务会计两者在使用历史成本中存在的差异
财务会计和税务会计两者进行比较的话,财务会计更注重决策的相关性,而相关性所具备的特征肯定是需要选择和计量对象的决策最具相关的计量属性,这就比较明显的显示出历史成本在财务会计中的地位有所降低,无法和税务会计中一家独大的地位相比较。
(二)公允价值:财务会计和税务会计两者间存在的差异
1.在两者中的适用范围不同。在财务会计中,公允价值是所有金融工具当中相关性最大的计量属性,对符合公允价值的计量条件也可使用公允价值的计量属性进行计量。交易性金融资产、投资性房地产等此类资产的计税基础仍是使用历史成本。只有在历史成本和当前的市场价格都无法确定时,税务会计才在万不得已的情况下使用公允价值进行计量,它是被当作补充的计量属性来使用,只局限于资产,不包括负债。2.使用的目不同,且存在差异。近年来,财务会计由于金融业务的不断创新以及资产负债表外业务的不断衍生,很多新的金融工具业务不断出现,它们通常都是属于履行中的合约,尤其是新衍生的金融工具,企业一般情况下都无需付出初始的净投资或者初始的净投资也很少,和金融工具有关的资产、负债的转移通常也需要到相关的合约到期或者是履行时才可实现,对此类业务进行核算,就需多次的使用到公允价值。
三、结语