Ⅰ 车辆质量鉴定去哪里
怀疑新车有问题可以去当地具有检测资质的单独第三方鉴定机构检测。一般是国家轿车质量监督检验中心、国家机动车产品质量监督检验中心、国家汽车质量监督检验中心、国家汽车质量监督检验中心这些机构都是可以检测的。
首先检测评估机构必须站在一个中立客观的第三方角度,不能涉及买卖,不能有偏向任何一方的行为,不应隐瞒检测状况或是夸大检测事实。
其次检测评估机构应有相关的检测机构资质与证明,不然即便发现问题检测结果无法被广泛认可会导致检测失去部分检测意义。
再次人员应有专业的持证上岗人员,过硬的技术与经验,系统的培训和严苛的操作流程。
然后设备需配备从漆面、大架至发动机内部的各类专业且具有权威性的检测仪器,用数据说明车况,杜绝单独使用看、听等经验主观判断。
最后服务正规的检测机构应有完善的服务系统。给予检测车辆与结果一定程度的保证。
Ⅱ 求 GB/T22239.2 网络安全等保护基本要求第二部分:云计算扩展要求 这个标准文件,谢谢
找不到所指标准的任何信息。
仅见有国家标准:
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求。
此标准当前有效。
Ⅲ 网络安全技术
目前,国内各企业大都建立了计算机网络,网络应用颇具规模,特别在数值计算、信息管理、办公事务、工程(产品)设计、加工制造等方面基本实现了计算机应用,计算机、网络和数据库正在成为企业日常运行的基石。但是,许多企业由于网络管理相对滞后,网络效益难以获得应有发挥。 如果各企业以现有的网络设施为基础,在网络结构上做必要调整,在网络管理上做必要的加强,就能进一步挖掘网络潜力,提高各企业计算机网络的应用水平。
组网规划
企业的组网技术存在多种选择,但比较实用的是以太网(Ethernet)和ATM。
以太网较早进入网络应用领域,技术成熟,性能稳定,伸缩性强,性价比好,是企业局域网的首选技术。高速以太网(1000Mbps及以上传输速率)甚至可承担实时和多媒体网络业务。
ATM(Asynchronous Transfer Mode,异步转移模式)可以提供容量很大的信息通道,并将语音、数据、文本、图像、视频等各种信息在网络中进行统一的传输和交换,在支持综合业务及信道利用率等方面具有优越的性能。
企业局域网一般由内部网和堡垒网两部分组成。内部网又分成主网和各个相对独立的子网。堡垒网可看做局域网中的一个子网,它把企业内部网和外部网连接起来,并在二者之间起隔离作用(见右图)。
在企业局域网上,通常的网络应用有:通过服务器实现文件服务和打印机(绘图机)资源共享;数据库应用;MIS及CAD应用;Internet 及Intranet应用;办公自动化应用等。但是,在网络环境中,计算机应用方式应逐步实现网络化,并强调资源共享和协同工作。例如,在数据库应用中,应采用C/S(客户机/服务器)应用结构,并逐步向B/S(浏览器/服务器)应用结构过渡;在CAD应用中,应从单项设计向联合设计过渡,并逐步引入三维模型设计方法;在MIS应用中,应以办公自动化为核心,逐渐融入其他应用项目,借助浏览器的支持,逐步形成一个集成的“E-企业”应用平台。
布线规划
企业局域网都应进行结构化布线,以此提高企业局域网的规范性和稳定性水平。网络环境指的就是企业局域网结构化布线系统的周边环境。
结构化布线系统由六个子系统组成:
(1) 工作区子系统
用户设备与信息插座之间的连接线缆及部件。
(2) 水平子系统
楼层平面范围内的信息传输介质(双绞线、同轴电缆、光缆等)。
(3) 主干子系统
连接网络中心和各子网设备间的信息传输介质(双绞线、同轴电缆、光缆等)。
(4) 设备室子系统
安装在设备室(网络中心、子网设备间)和电信室的布线系统,由连接各种设备的线缆及适配器组成。
(5) 建筑群子系统
在分散建筑物之间连接的信息传输介质(同轴电缆、光缆等)。
(6) 管理子系统
配线架及其交叉连接(HC—水平交叉连接,IC—中间交叉连接、MC—主交叉连接)的端接硬件和色标规则,线路的交连(Cross-Connect)和直连(Interconnect)控制。
对于网络环境来说,现行国家标准《建筑与建筑群综合布线系统工程设计规范》(GB/T 50311-2000)、《计算站场地技术条件》(GB 2887-89)、《电子计算机机房设计规范》(GB 50174-93)、《计算站场地安全要求》(GB 9361-88)有明确的规定,可参照执行。
网络中心是局域网的核心,总配线架(MDF)、网络交换机、网络服务器、路由器、防火墙、网关、海量存储设备、网管设备等重要网络实体都放置在这里。网络中心的环境除应满足上述规定的一般要求外,在某些方面宜执行上述规定中的A级标准。具体描述如下:
(1) 安全要求
场地选择、防火、内部装修、供配电系统、空调系统、火灾报警及消防设施、防水、防静电、防雷击、防鼠害、电磁波防护11项,宜执行《计算站场地安全要求》(GB 9361-88)中的A级标准。
(2) 温度和湿度
夏季温度22±2℃,冬季温度20±2℃,相对湿度45%~65%,温度变化率小于5℃/h。
(3) 尘埃限制
粒度≥0.5μm,个数≤10000粒/dm3
(4) 腐蚀性气体
二氧化硫(SO2)≤0.15,硫化氢(H2S)≤0.01。
(5) 网络电源
电压的变动范围为-5%~+5%,频率变化范围为-0.2Hz~+0.2Hz,波形失真率≤±5%;网络电源应采用不间断电源供电系统。
(6) 接地
交流工作地的接地电阻不宜大于4Ω;安全保护地的接地电阻不应大于4Ω;信号地和屏蔽地的接地电阻不应大于3Ω;防雷保护地的接地电阻不应大于10Ω。
子网设备间一般放置分配线架(IDF)、子网交换机、子网服务器、子网打印机等子网设备。一般情况下,配线架和交换机应锁闭在机柜之中,以免误动。子网设备间宜参照计算机机房的一般环境要求执行。
电信室只放有分配线架,办公室环境即可满足要求。
工作区子系统、水平子系统、主干子系统、建筑群子系统的环境要求主要考虑如何对网络线缆和接插件进行保护,即网络线缆和接插件的防火、防水、防磁、防鼠害、防雷击、防静电、防自然破坏和人为破坏等。
网络运行
根据企业网络应用情况,企业局域网可执行每天8小时运行制或每天24小时运行制。但在网络运行期间,企业一定要安排技术人员值班,以便随时处理网络故障、解决网络问题、保持网络畅通、提高网络的可用性和可靠性水平。
网络值班可分为现场值班和呼叫(BP机、手机等)值班两种形式:法定工作时间应实行现场值班,值班地点最好在网络中心;晚上或节假日期间,视网络应用情况,可设置现场值班或呼叫值班。网络值班要明确职责,规定在正常情况下值班人员应该做些什么工作,在异常情况下又将如何应对,如何填写值班记录和值班交接记录等。
网络管理
1. 网络管理员
一个企业可设两名网络管理员,一名网络主管。网络主管的职责是: 考核网络工作人员,做好网络建设和网络更新的组织工作,制定网络管理规章制度并监督执行。网络管理员的职责如下:
(1) 协助网络主管制定网络建设及网络发展规划,确定网络安全及资源共享策略。
(2) 负责公用网络实体,如服务器、交换机、集线器、中继器、路由器、防火墙、网桥、网关、配线架、网线、接插件等的维护和管理。
(3) 负责服务器和网络软件的安装、维护、调整及更新。
(4) 负责网络账号管理、资源分配、数据安全和系统安全。
(5) 参与网络值班,监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通。
(6) 负责计算机系统备份和网络数据备份;负责计算机网络资料的整理和归档。
(7) 保管网络拓扑图、网络接线表、设备规格及配置单、网络管理记录、网络运行记录、网络检修记录等网络资料。
(8) 每年对本单位计算机网络的效能进行评价,提出网络结构、网络技术和网络管理的改进措施。
2. 网络操作
网管员对网络进行管理离不开网络操作,但网络操作不能随意进行,否则容易出错。网络操作的操作对象、操作范围和操作深度应由操作者所在的岗位职责来确定,并严格遵守设备或系统的操作规程。重大网络操作(如系统升级、系统更换、数据转储等)应经过网络主管批准,采取妥善措施保护系统和数据,并填写操作记录。
3. 网络检修
网络检修由网络管理员会同有关技术人员共同进行。
网络检修分为定期检修和临时检修两种。检修的项目涉及服务器、交换机、集线器、中继器、路由器、防火墙、网关、网桥、配线架、网线等公用网络实体。
每年宜对局域网的公用网络实体进行一次全面检查和预防性维修,更换性能波动或超过使用寿命的设备及部件。
网络的临时检修指在网络出现异常征兆或故障情况下,检查、分析、确定故障设备或故障部位,并进行应急维修。
4. 账号管理
网络账号宜分组管理。对于一个单位来说,用户的网络账号可以按其所在部门、所承担的项目或所扮演的角色分组。为加强管理,用户入网时应填写“用户入网申请登记表”,内容可以有:用户姓名、部门名称、账号名及口令、初始目录、存取权限、网络资源分配情况等。“申请表”经用户所在部门领导签字后交网络管理员办理。同样,注销网络账号时,用户或用户所在部门也应书面通知网络管理员撤销网络账号、收回网络资源。
网络管理员为用户设置的口令为明码口令,没有保密价值,因此,用户首次使用自己的网络账号时应立即修改口令,设置口令密码。密码字长不宜小于6个字符。用户还应该设置本机(网络工作站)的开机口令和屏幕保护口令,以便非授权人员借机操作。各种口令密码,其中包括系统管理员网络账号口令密码、用户网络账号口令密码、本机开机口令密码、本机屏幕保护口令密码,都应严加保密并适时更换。
用户账号下的数据属各个用户的私人数据,当事人具有全部存取权限,网络管理员具有管理及备份权限,其他人员均无权访问(账号当事人授权访问情况除外)。
各企业宜制定网络账号管理规则,如分组规则、账号命名规则、口令字长、口令变更期限、组及用户存取权限、用户优先级、网络资源分配规则等。网络管理员应根据企业制定的账号管理规则对用户账号执行管理,并对用户账号及数据的安全和保密负责。
5. 服务器管理
企业网络应根据企业网络拓扑结构和网络应用功能来配置服务器、选择服务器的档次及操作系统,形成文件服务器、数据库服务器和各种专用服务器分工合作的服务器资源环境。网络服务器宜分为主网服务器和子网服务器,企业共享的信息安排到主网服务器,部门共享的信息安排到子网服务器。
若要服务器健壮,企业网络必须采用服务器系统容错机制。服务器双工、服务器群集(Cluster)、磁盘双工、磁盘镜像、RAID磁盘阵列等都是网络服务器可选用的容错措施。
在选择操作系统时,企业应考虑下述要求:
(1) 服务器与服务器之间、工作站与服务器之间能够实现资源共享、数据通信和交互操作;
(2) 安全级别最低达到TCSEC规定的C2级安全标准;
(3) 操作系统自身功能强、性能优、安全可靠、稳定高效、使用广泛、界面友好、支持有力,同时应该是业界主流的应用系统。
在安装服务器(或修改服务器配置)时,网管员应对服务器的硬件、软件情况进行登记,填写“服务器配置登记(更新)表”是一个好办法。“服务器配置登记表”的内容可以包括:服务器名称及域名、CPU类型及数量、内存类型及容量、硬盘类型及容量、网卡类型及速率、操作系统类型及版本、服务器逻辑名及IP地址、支撑软件的配置、应用软件的配置、硬件及软件配置的变更情况等。
服务器有硬盘资源、内存资源、CPU资源、I/O资源等供网络使用。网络管理员应根据用户或进程的优先级,分配和调整服务器的内存、CPU和I/O资源。
6. 保密措施
(1) 人员选择
应对网络工作人员进行综合考查,将技术过硬、责任心强、职业道德好的技术人员安排到网络工作岗位。网络主管要对网络工作人员的现实表现、工作态度、职业道德、业务能力等进行综合评价,将不合格人员及时调离网络工作岗位。被调离人员应立即办理网络工作交接手续,并承担保密义务。
网络工作人员变动时,网络管理员应做好网络安全方面的相应调整工作。
(2) 责任分散
网络安全关键岗位宜实行轮岗制,时间期限视企业情况而定;操作系统管理、数据库系统管理、网络程序设计、网络数据备份等与系统安全和数据安全相关的工作宜由多人承担;涉及网络安全的重要网络操作或实体检修工作应有两人(或多人)参与,并通过注册、记录、签字等方式予以证明。
(3) 出入管理
网络中心所在的计算机房应实行分区控制,限制工作人员进入到与己无关的区域。
网络工作人员、外来检修人员、外来公务人员等进入网络中心要佩戴身份证件,做到持证操作、持证参观。外来人员进入网络中心应始终有人陪同。
进、出网络中心的任何物品都应进行检查和登记,禁止携带与网络操作无关的物品进、出网络中心。
7. 系统安全
未经网络主管批准,任何人不得改变网络拓扑结构、网络设备布置、服务器配置和网络参数。
任何人不得擅自进入未经许可的计算机系统,篡改系统信息和用户数据。企业网最好启动网络安全审计功能,对不成功进入、不成功访问、越权存取尝试等进行记录、整理、分析,并采取针对性措施。
在企业局域网上,任何人不得利用计算机技术侵犯用户合法权益;不得制作、复制和传播妨害单位稳定、淫秽色情等有害信息。
各单位应制作计算机系统和网络数据的备份,并储备一定数量的备机或备件,使网络硬件、系统软件、网络数据等发生故障后都能及时恢复。
企业宜根据实际情况制定网络系统应急计划,以便在火灾、水灾、地震、意外停电、外部攻击、错误操作、系统崩溃等灾难性事故发生时能够有条不紊地采取紧急救助和紧急恢复措施。
8. 数据备份
网络数据可分为私用、公用、专用、共享、秘密等多种类型;秘密数据又可分为多个密级。对于不同类型的数据,企业应采用访问控制、身份验证、数据加密、数字签名、安全审计等技术手段保证数据安全。
计算机的主板损坏、驱动器崩溃、文件破坏以及其他灾难性事故有可能经常发生。企业可以更换主板、驱动器甚至用户,但无法更换数据。因此,企业应制定一个有效的数据备份策略。
数据备份的介质可以是软盘、光盘、磁带等,但从容量、速度、安全性、稳定性、性价比、可操作性、可管理性等方面考虑,企业局域网选用磁带机做数据备份是保护网络数据的较好方法。
数据备份有完全备份、增量备份、指定备份等备份方式。企业每年、每月宜做完全数据备份,每星期宜做增量数据备份,重要数据每天应做数据备份,并多份拷贝、异地存放。为能较好地恢复数据又节省磁带开销,企业数据年备份应保留3年,月备份应保留12个月,星期备份应保留6个月。
9. 病毒防治
任何人不得在企业局域网上制造、传播计算机病毒,不得故意输入计算机病毒及其有害数据危害网络安全。网络使用者发现病毒,应立即向网络管理员报告,以便获得及时处理。
网络服务器的病毒防治宜由网络管理员负责。网络工作站的病毒防治宜由用户负责,网络管理员可以进行指导和协助。
企业在购买计算机病毒防治产品时,应确保产品生产单位具有《计算机信息系统安全专用产品销售许可证》,其病毒防治能力达到公安部规定的水平(详见《计算机病毒防治产品评级准则》)。
结束语
企业局域网的管理由行为管理和技术管理两方面构成,行为管理对技术管理有指导和约束作用。技术管理有技术说明书可供参考,行为管理则需要积累经验并形成规范。企业只有将技术管理和行为管理结合起来,网络管理才能完备,才能为企业的生产、经营做出其应有的贡献。
Ⅳ 无人驾驶汽车的发展,是否需要5G网络支持呢
无人驾驶汽车的发展,是需要5G网络支持的。正常情况下,数据传输顺畅,平台给出的海量雷达扫描数据和全面的城市数据将使汽车能够选择最合适的路线,及时采取规避和制动工作。要想依托车联网,需要有高速无线传输,同时需要克服网速、带宽、时延等问题。肉眼可见,5G的峰值可以达到每秒20GB,比4G高100倍。随着5G商用照片的发布,5G落地的步伐有所加快,但仍需要漫长的建设过程。
3.一般来说5G中的URLLC,也就是高可靠性、低延时的服务主要用于无人驾驶。随着自动驾驶技术的提高,无人驾驶汽车正在加速商业化使用。一旦无人驾驶汽车大规模上路,其产生的数据和需要的数据也将与日俱增。所以,业界普遍认为,5G网络对于无人驾驶汽车的发展非常重要。以上就是对无人驾驶汽车的发展,是否需要5G网络支持呢这个问题的解答。
Ⅳ 动力电池的安全隐患,这家车企给出了终极治疗手段
经过几年的蓬勃发展,电动汽车早已深入到普通消费者的生活中。无论是接头巷尾一闪而过的电动车,还是纷纷电动化的网约车、出租车,都在告诉我们:电动汽车的使用已经不再难。那么这几年针对电动车热议,“续航问题”、“充电问题”、“安全问题”都解决了吗?
续航毋庸讳言,续航方面,电动车早已是一年一个台阶,NEDC工况续航破500km成为寻常;充电也不再难,半个小时从电量30%到80%是旗舰车型的标配;至于安全问题,依然是电动汽车无可回避的一个难点。或许,这家车企的创新,将解决动力电池安全隐患这一终极难题。
刀片电池挑战针刺试验
3月29日下午,比亚迪以线上发布会的方式公布了刀片型磷酸铁锂电池(下文简称刀片电池)。在发布会上,比亚迪播放了一段三种电池挑战针刺试验的视频。
视频的内容是这样的:在同样的测试条件下,三元锂电池在针刺瞬间出现剧烈的温度变化,表面温度
迅速超过500℃,并发生极端热失控,开始剧烈燃烧,电池表面的鸡蛋被炸飞;传统磷酸铁锂电池在被穿透后无明火,有烟雾从电池卸压阀喷出,表面温度达到了200℃~400℃,电池表面的鸡蛋被高温烤焦;比亚迪”刀片电池”在穿透后无明火,甚至无烟雾,电池表面的温度仅有30℃左右,电池表面的鸡蛋无变化。
弗迪电池有限公司于2019年5月5日注册完成,其前身是比亚迪锂电池有限公司,早在1998年就已成立。据王传福介绍,刀片电池只在比亚迪汉纯电车型搭载应用,其他车型暂无规划。
高安全、高续航、长寿命,比亚迪有限公司副总裁、弗迪电池有限公司董事长何龙表示,“几乎你能想到的所有汽车品牌,都在和我们探讨基于‘刀片电池’技术的合作方案。”新能源汽车行业的格局要变了。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
Ⅵ 简述网络安全的相关评估标准.
1 我国评价标准
1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
l 第1级为用户自主保护级(GB1安全级):它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
l 第2级为系统审计保护级(GB2安全级):除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。
l 第3级为安全标记保护级(GB3安全级):除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
l 第4级为结构化保护级(GB4安全级):在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
l 第5级为访问验证保护级(GB5安全级):这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
我国是国际标准化组织的成员国,信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始,自主制定和采用了一批相应的信息安全标准。但是,应该承认,标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距,使我国的信息安全标准化工作与国际已有的工作相比,覆盖的范围还不够大,宏观和微观的指导作用也有待进一步提高。
2 国际评价标准
根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria,TCSEC),即网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。
自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统(如数据库和网络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别,如表1-1所示。
表 安全 级 别
类 别
级 别
名 称
主 要 特 征
D
D
低级保护
没有安全保护
C
C1
自主安全保护
自主存储控制
C2
受控存储控制
单独的可查性,安全标识
B
B1
标识的安全保护
强制存取控制,安全标识
B2
结构化保护
面向安全的体系结构,较好的抗渗透能力
B3
安全区域
存取监控、高抗渗透能力
A
A
验证设计
形式化的最高级描述和验证
D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。对于硬件来说,没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。
C1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。
用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。
C2级除了包含C1级的特征外,应该具有访问控制环境(Controlled Access Environment)权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限,而且还加入了身份认证等级。另外,系统对发生的事情加以审计,并写入日志中,如什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外,还加入了身份认证级别,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种:
(1)UNIX系统;
(2)Novell 3.X或者更高版本;
(3)Windows NT,Windows 2000和Windows 2003。
B级中有三个级别,B1级即标志安全保护(Labeled Security Protection),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
安全级别存在秘密和绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。
B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
B3级,又叫做安全域(Security Domain)级别,使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。
A级,又称验证设计(Verified Design)级别,是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特性。
安全级别设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。橙皮书也存在不足,TCSEC是针对孤立计算机系统,特别是小型机和主机系统。假设有一定的物理保障,该标准适合政府和军队,不适合企业,这个模型是静态的。
Ⅶ 网络安全有哪些
电信系统网络解决方案
第一章 前 言
第二章 网络安全概述
第三章 网络安全解决方案
第四章 典型应用案例
第五章 未来网络安全解决方案发展趋势
第一章 前 言
当今的网络运营商正在经历一个令人振奋的信息爆炸时代,网络骨干带宽平均每六到九个月就要增加一倍。数据业务作为其中起主导作用的主要业务类型,要求并驱动网络结构开始发生根本性的改变。光互联网的出现为基于IP技术的网络应用奠定了新的基础。伴随网络的普及,信息网络技术的应用、关键业务系统扩展,电信部门业务系统安全成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。由于国际形势的变化,加剧了爆发"网络战争"的可能性,保障网络及信息安全直接关系到国家的经济安全甚至国家安全。因此如何使信息网络系统不受黑客和间谍的入侵,已成为国家电信基础网络健康发展所要考虑的重要问题。
在新的电信市场环境中,需求的多元化和信息消费的个性化逐渐成为必然趋势,这一点在数据通信领域体现得尤为明显。经过几年努力,公用数据通信网络在规模上和技术层次上都有了一个飞跃,用户数持续高速增长,信息业务用户发展尤为迅猛,全国性大集团性用户不断增加,并且开始向企业用户转移;政府上网工程进展顺利,电子商务已全面启动,中国电信安全认证体系通过了中国密码管理委员会和信息产业部举行的联合鉴定,并与金融部门开展了有效的合作。电信同时提供Internet接入业务,IP电话业务以及其他业务.该IP承载网承载图象、语音和数据的统一平台,强调Qos,VPN和计费等,成为新时代的多业务承载网。中国电信数据通信的发展定位于网络服务,实现个性化的服务。事实上,这一类网络功能非常丰富,如储值卡业务、电子商务认证平台、虚拟专用网等。而这一切都依赖于网络安全的保障,如果没有安全,个性化服务就根本无从谈起。只有电信的基础平台完善了,功能强化了,安全问题得到保障了,才能够提供真正个性化的服务。
由于电信部门的特殊性,传递重要信息、是整个国民通信系统的基础。它的安全性是尤其重要的。由于我们的一些技术和国外还有一定差距,国内现有的或正在建设中的网络,采用的网络设备和网络安全产品几乎全是国外厂家的产品。而只有使用国内自主研制的信息安全产品、具有自主版权的安全产品,才能真正掌握信息战场上的主动权,才能从根本上防范来自各种非法的恶意攻击和破坏。现今大多数计算机网络都把安全机制建立在网络层安全机制上,认为网络安全就仅仅是防火墙、加密机等设备。随着网络的互联程度的扩大,具体应用的多元化,这种安全机制对于网络环境来讲是十分有限的。面对种种威胁,必须采取有力的措施来保证计算机网络的安全。必须对网络的情况做深入的了解,对安全要求做严谨的分析,提出一个完善的安全解决方案。本方案根据电信网络的具体网络环境和具体的应用,介绍如何建立一套针对电信部门的完整的网络安全解决方案。
第二章 网络安全概述
网络安全的定义
什么是计算机网络安全,尽管现在这个词很火,但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易,困难在于要形成一个足够去全面而有效的定义。通常的感觉下,安全就是"避免冒险和危险"。在计算机科学中,安全就是防止:
未授权的使用者访问信息
未授权而试图破坏或更改信息
这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源,即CPU、硬盘、程序以及其他信息。
在电信行业中,网络安全的含义包括:关键设备的可靠性;网络结构、路由的安全性;具有网络监控、分析和自动响应的功能;确保网络安全相关的参数正常;能够保护电信网络的公开服务器(如拨号接入服务器等)以及网络数据的安全性等各个方面。其关键是在满足电信网络要求,不影响网络效率的同时保障其安全性。
电信行业的具体网络应用(结合典型案例)
电信整个网络在技术上定位为以光纤为主要传输介质,以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议,QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的,所以IP优化尤其重要,至少包括包括如下几个要素:
网络结构的IP优化。网络体系结构以IP为设计基础,体现在网络层的层次化体系结构,可以减少对传统传输体系的依赖。
IP路由协议的优化。
IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征,提供高速路由查找和包转发机制。
带宽优化。在合理的QoS控制下,最大限度的利用光纤的带宽。
稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力,快速恢复网络连接,避免路由表颤动引起的整网震荡,提供符合高速宽带网络要求的可靠性和稳定性。
从骨干层网络承载能力,可靠性,QoS,扩展性,网络互联,通信协议,网管,安全,多业务支持等方面论述某省移动互联网工程的技术要求。
骨干层网络承载能力
骨干网采用的高端骨干路由器设备可提供155M POS端口。进一步,支持密集波分复用(DWDM)技术以提供更高的带宽。网络核心与信息汇聚点的连接速率为155M连接速率,连接全部为光纤连接。
骨干网设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线速交换。骨干网设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制,避免前向拥塞时的丢包。
可靠性和自愈能力
包括链路冗余、模块冗余、设备冗余、路由冗余等要求。对某省移动互联网工程这样的运营级宽带IP骨干网络来说,考虑网络的可靠性及自愈能力是必不可少的。
链路冗余。在骨干设备之间具备可靠的线路冗余方式。建议采用负载均衡的冗余方式,即通常情况下两条连接均提供数据传输,并互为备份。充分体现采用光纤技术的优越性,不会引起业务的瞬间质量恶化,更不会引起业务的中断。
模块冗余。骨干设备的所有模块和环境部件应具备1+1或1:N热备份的功能,切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。
设备冗余。提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时,另一台设备自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性。切换时间小于3秒,以保证大部分IP应用不会出现超时错误。
路由冗余。网络的结构设计应提供足够的路由冗余功能,在上述冗余特性仍不能解决问题,数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中,网络连接发生变化时,路由表的收敛时间应小于30秒。
拥塞控制与服务质量保障
拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样,网络的数据流量突发是不可避免的,因此,网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。
业务分类。网络设备应支持6~8种业务分类(CoS)。当用户终端不提供业务分类信息时,网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。
接入速率控制。接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。
队列机制。具有先进的队列机制进行拥塞控制,对不同等级的业务进行不同的处理,包括时延的不同和丢包率的不同。
先期拥塞控制。当网络出现真正的拥塞时,瞬间大量的丢包会引起大量TCP数据同时重发,加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术,在网路出现拥塞前就自动采取适当的措施,进行先期拥塞控制,避免瞬间大量的丢包现象。
资源预留。对非常重要的特殊应用,应可以采用保留带宽资源的方式保证其QoS。
端口密度扩展。设备的端口密度应能满足网络扩容时设备间互联的需要。
网络的扩展能力
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、骨干带宽的扩展,以及网络规模的扩展能力。
交换容量扩展。交换容量应具备在现有基础上继续扩充多容量的能力,以适应数据类业务急速膨胀的现实。
骨干带宽扩展。骨干带宽应具备高的带宽扩展能力,以适应数据类业务急速膨胀的现实。
网络规模扩展。网络体系、路由协议的规划和设备的CPU路由处理能力,应能满足本网络覆盖某省移动整个地区的需求。
与其他网络的互联
保证与中国移动互联网,INTERNET国内国际出口的无缝连接。
通信协议的支持
以支持TCP/IP协议为主,兼支持IPX、DECNET、APPLE-TALK等协议。提供服务营运级别的网络通信软件和网际操作系统。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由协议。根据本网规模的需求,必须支持OSPF路由协议。然而,由于OSPF协议非常耗费CPU和内存,而本网络未来十分庞大复杂,必须采取合理的区域划分和路由规划(例如网址汇总等)来保证网络的稳定性。
支持BGP4等标准的域间路由协议,保证与其他IP网络的可靠互联。
支持MPLS标准,便于利用MPLS开展增值业务,如VPN、TE流量工程等。
网络管理与安全体系
支持整个网络系统各种网络设备的统一网络管理。
支持故障管理、记帐管理、配置管理、性能管理和安全管理五功能。
支持系统级的管理,包括系统分析、系统规划等;支持基于策略的管理,对策略的修改能够立即反应到所有相关设备中。
网络设备支持多级管理权限,支持RADIUS、TACACS+等认证机制。
对网管、认证计费等网段保证足够的安全性。
IP增值业务的支持
技术的发展和大量用户应用需求将诱发大量的在IP网络基础上的新业务。因此,运营商需要一个简单、集成化的业务平台以快速生成业务。MPLS技术正是这种便于电信运营商大规模地快速开展业务的手段。
传送时延
带宽成本的下降使得当今新型电信服务商在进行其网络规划时,会以系统容量作为其主要考虑的要素。但是,有一点需要提起注意的是,IP技术本身是面向非连接的技术,其最主要的特点是,在突发状态下易于出现拥塞,因此,即使在高带宽的网络中,也要充分考虑端到端的网络传送时延对于那些对时延敏感的业务的影响,如根据ITU-T的标准端到端的VoIP应用要求时延小于150ms。对于应用型实际运营网络,尤其当网络负荷增大时,如何确保时延要求更为至关重要,要确保这一点的关键在于采用设备对于延迟的控制能力,即其延迟能力在小负荷和大量超负荷时延迟是否都控制在敏感业务的可忍受范围内。
RAS (Reliability, Availability, Serviceability)
RAS是运营级网络必须考虑的问题,如何提供具有99.999%的业务可用性的网络是网络规划和设计的主要考虑。在进行网络可靠性设计时,关键点在于网络中不能因出现单点故障而引起全网瘫痪,特别在对于象某省移动这些的全省骨干网而言更是如此。为此,必须从单节点设备和端到端设备提供整体解决方案。Cisco7500系列路由器具有最大的单节点可靠性,包括电源冗余备份,控制板备份,交换矩阵备份,风扇的合理设计等功能;整体上,Cisco通过提供MPLSFRR和MPLS流量工程技术,可以保证通道级的快速保护切换,从而最大程度的保证了端到端的业务可用性。
虚拟专用网(VPN)
虚拟专用网是目前获得广泛应用,也是目前运营商获得利润的一种主要方式。除了原有的基于隧道技术,如IPSec、L2TP等来构造VPN之外,Cisco还利用新型的基于标准的MPLSVPN来构造Intrane和Extranet,并可以通过MPLSVPN技术提供Carrier'sCarrier服务。这从网络的可扩展性,可操作性等方面开拓了一条新的途径;同时,极大地简化了网络运营程序,从而极大地降低了运营费用。另外,采用Cisco跨多个AS及多个域内协议域的技术可使某省移动可随着其网络的不断增长扩展其MPLSVPN业务的实施,并可与其他运营商合作实现更广阔的业务能力。
服务质量保证
通常的Internet排队机制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技术不能完全满足对时延敏感业务所要求的端到端时延指标。为此,选用MDRR/WRED技术,可以为对时延敏感业务生成单独的优先级队列,保证时延要求;同时还专门对基于Multicast的应用提供了专门的队列支持,从而从真正意义上向网上实时多媒体应用迈进一步。
根据以上对电信行业的典型应用的分析,我们认为,以上各条都是运营商最关心的问题,我们在给他们做网络安全解决方案时必须要考虑到是否满足以上要求,不影响电信网络的正常使用,可以看到电信网络对网络安全产品的要求是非常高的。
网络安全风险分析
瞄准网络存在的安全漏洞,黑客们所制造的各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描述:
1、物理安全风险分析
我们认为网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:
地震、水灾、火灾等环境事故造成整个系统毁灭
电源故障造成设备断电以至操作系统引导失败或数据库信息丢失
电磁辐射可能造成数据信息被窃取或偷阅
不能保证几个不同机密程度网络的物理隔离
2、网络安全风险分析
内部网络与外部网络间如果在没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。
内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
3、系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。
4、应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序,肯定会出现新的安全漏洞,必须在安全策略上做一些调整,不断完善。
4.1 公开服务器应用
电信省中心负责全省的汇接、网络管理、业务管理和信息服务,所以设备较多包括全省用户管理、计费服务器、认证服务器、安全服务器、网管服务器、DNS服务器等公开服务器对外网提供浏览、查录、下载等服务。既然外部用户可以正常访问这些公开服务器,如果没有采取一些访问控制,恶意入侵者就可能利用这些公开服务器存在的安全漏洞(开放的其它协议、端口号等)控制这些服务器,甚至利用公开服务器网络作桥梁入侵到内部局域网,盗取或破坏重要信息。这些服务器上记录的数据都是非常重要的,完成计费、认证等功能,他们的安全性应得到100%的保证。
4.2 病毒传播
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。
4.3信息存储
由于天灾或其它意外事故,数据库服务器造到破坏,如果没有采用相应的安全备份与恢复系统,则可能造成数据丢失后果,至少可能造成长时间的中断服务。
4.4 管理的安全风险分析
管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和技术解决方案的结合。
安全需求分析
1、物理安全需求
针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放绝密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对存有重要数据库且有实时性服务要求的服务器必须采用UPS不间断稳压电源,且数据库服务器采用双机热备份,数据迁移等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。
2、系统安全需求
对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用权限进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。
应用系统安全上,主要考虑身份鉴别和审计跟踪记录。这必须加强登录过程的身份认证,通过设置复杂些的口令,确保用户使用的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。我们认为采用的入侵检测系统可以对进出网络的所有访问进行很好的监测、响应并作记录。
3、防火墙需求
防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的隔离,达到有效的控制对网络访问的作用。
3.1省中心与各下级机构的隔离与访问控制
防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;
防火墙可以针对协议、端口号、时间、流量等条件实现安全的访问控制。
防火墙具有很强的记录日志的功能,可以对您所要求的策略来记录所有不安全的访问行为。
3.2公开服务器与内部其它子网的隔离与访问控制
利用防火墙可以做到单向访问控制的功能,仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器,而公开服务器不可以主动发起对内部网络的访问,这样,假如公开服务器造受攻击,内部网由于有防火墙的保护,依然是安全的。
4、加密需求
目前,网络运营商所开展的VPN业务类型一般有以下三种:
1.拨号VPN业务(VPDN)2.专线VPN业务3.MPLS的VPN业务
移动互连网络VPN业务应能为用户提供拨号VPN、专线VPN服务,并应考虑MPLSVPN业务的支持与实现。
VPN业务一般由以下几部分组成:
(1)业务承载网络(2)业务管理中心(3)接入系统(4)用户系统
我们认为实现电信级的加密传输功能用支持VPN的路由设备实现是现阶段最可行的办法。
5、安全评估系统需求
网络系统存在安全漏洞(如安全配置不严密等)、操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。并且,随着网络的升级或新增应用服务,网络或许会出现新的安全漏洞。因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并且要经常使用,对扫描结果进行分析审计,及时采取相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。
6、入侵检测系统需求
在许多人看来,有了防火墙,网络就安全了,就可以高枕无忧了。其实,这是一种错误的认识,防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但它是静态的,而网络安全是动态的、整体的,黑客的攻击方法有无数,防火墙不是万能的,不可能完全防止这些有意或无意的攻击。必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。入侵检测系统和防火墙配合使用,这样可以实现多重防护,构成一个整体的、完善的网络安全保护系统。
7、防病毒系统需求
针对防病毒危害性极大并且传播极为迅速,必须配备从服务器到单机的整套防病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护。并且由于新病毒的出现比较快,所以要求防病毒系统的病毒代码库的更新周期必须比较短。
8、数据备份系统
安全不是绝对的,没有哪种产品的可以做到百分之百的安全,但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份,通过网络备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上,并把磁带与机房隔离保存于安全位置。如果遇到系统来重受损时,可以利用灾难恢复系统进行快速恢复。
9、安全管理体制需求
安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现。因些必须在电信部门系统内根据自身的应用与安全需求,制定安全管理制度并严格按执行,并通过安全知识及法律常识的培训,加强整体员工的自身安全意识及防范外部入侵的安全技术。
安全目标
通过以上对网络安全风险分析及需求分析,再根据需求配备相应安全设备,采用上述方案,我们认为一个电信网络应该达到如下的安全目标:
建立一套完整可行的网络安全与网络管理策略并加强培训,提高整体人员的安全意识及反黑技术。
利用防火墙实现内外网或不信任域之间的隔离与访问控制并作日志;
通过防火墙的一次性口令认证机制,实现远程用户对内部网访问的细粒度访问控制;
通过入侵检测系统全面监视进出网络的所有访问行为,及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日志;
通过网络及系统的安全扫描系统检测网络安全漏洞,减少可能被黑客利用的不安全因素;
利用全网的防病毒系统软件,保证网络和主机不被病毒的侵害;
备份与灾难恢复---强化系统备份,实现系统快速恢复;
通过安全服务提高整个网络系统的安全性。
Ⅷ 网络安全的评价标准是什么
你可以到中国标准咨询网,购买,http://www.chinastandard.com.cn去查询,在首页,上方的右边,输入标准号,再选GB国标,搜索即可,买的绝对是最新有效的。
这是我粗略给你搜了一下:
信息技术 网络安全漏洞扫描产品技术要求 标准号:GA/T 404-2002 发布时间:2002-12-11
民用航空空中交通管理信息系统技术规范 第2部分:系统与网络安全 标准号:MH/T 4018.2-2004 发布时间:2004-12-20
航天办公信息系统计算机网络安全保密规则 标准号:QJ 2560-1993 发布时间:1993-03-30
IP网络安全技术要求----安全框架 标准号:YD/T 1163-2001 发布时间:2001-10-19
承载电信级业务的IP专用网络安全框架 标准号:YD/T 1486-2006 发布时间:2006-06-08
公众IP网络安全要求 安全框架 标准号:YD/T 1613-2007 发布时间:2007-04-16
公众IP网络安全要求 基于数字证书的访问控制 标准号:YD/T 1614-2007 发布时间:2007-04-16
公众IP网络安全要求 基于远端接入用户验证服务协议(RADIUS)的访问控制 标准号:YD/T 1615-2007 发布时间:2007-04-16
H.323网络安全技术要求 标准号:YD/T 1701-2007 发布时间:2008-01-01
Ⅸ 2022年1月起,乘用车将强制配备黑匣子,这么做的目的是什么
新生产的汽车必须配备EDR系统,即驾驶事件记录仪。该装置可以记录事故前后的车辆运行数据。当车辆发生碰撞或速度急剧变化时,它将被触发并开始记录。EDR可以为特斯拉刹车门和其他涉及智能驾驶的“洛生门”事件提供有效的依据。