学习访问范文

学习访问范文（精选9篇）

学习访问 第1篇

一、访问观察式学习法的内涵

“访问观察式学习法”是指教师基于本校的现状与发展需求, 以及自身专业发展的需要, 到名校去访问名师, 对教学名师进行观察、访谈和请教的一种培训学习方式。它强调对教学名师隐性实践知识的激活、诱发和学习, 整合内化到自己的经验中去, 使自身的实践知识得到调整、创新。

“访问观察式学习法”有着深刻的隐性知识基础。在经验主义看来, “知识”是可以直接感知和观察到的。在“访问观察式学习法”中, 学习者以既是“观察者”又是“参与者”的身份, 在与被观察者的真诚和自由的交往中, 借助一定的技术, 把他们隐性的教学实践知识、意象表达为词语、概念及形象化语言, 转化为显性知识, 然后通过在一定情境下的实践性活动将这些知识整合内化到自己的经验中去, 使自己的隐性知识得到调整、生成和提升。

“访问观察式学习法”具有学习为本的价值基础。只有采用“访问观察式学习”的方式, 学习者将本人作为观察的工具, 沉浸到自己与被观察者所共享的日常生活中去, 才能深入到对方的自我形象整饰过程之中, 了解其掩盖在“面具”背后的选择策略和决策方式。这是理解被观察者的有效途径。

从构成要素看, 其他的学习方式一般有指导者、学习者和学习内容三个要素, 学习者在别人指导下学习被指定的内容, 学习方式是指导性的、语言性的;而“访问观察式学习法”则由观察者 (学习者) 、观察对象 (教学名师) 和现场观察等要素构成。所谓现场观察, 即对名师在备课室和授课室里的教学活动进行观摩、仔细察看。教师专业发展只有通过内源性动力, 即

筅广西贺州学院林润之

教师在教学实践和研究中的主体性参与, 采用现场观察、访谈、作品分析以及反思日志等具体方法对教学活动进行分析、反思和研究, 学习才是可能的。

从结构上看, “访问观察式学习法”是一个知识互动的结构, 其实施过程就是知识互动的过程。它是以诱发教学名师个人隐性实践知识, 提升教师学习者的专业素养为取向的。名师个性化的实践知识要通过互动才能显性化、公共化, 为其他教师学习和掌握。教师的实践知识作为一种特殊形态的知识, 具有复杂的转换过程和机制。皮亚杰认为, “知识的来源, 既非来自客体, 也非来自主体, 而是来自最初无法分开的客体和主体之间的相互作用。”也就是说, 知识的出发点, 既不是主体, 也不是客体, 而是在主体与客体之间的相互作用过程中, 通过同化与顺应逐步建构起来的。学习者可针对名师不同的观点深挖其难以言明的隐性知识和理念, 使之显性化, 进而在多元价值的基础上形成共享。

“访问观察式学习法”的价值取向是明确的。学习者通过激活、诱发教学名师隐性的实践知识, 将其显性化带回本校与同伴分享, 一起从根本上反思自己的教育实践知识, 促进自身隐性知识生成并且发挥作用, 有利于实现教师群体的成长。

二、访问观察式学习法的实践价值

“访问观察式学习法”主要采用观察法、访谈法、作品分析法和反思日志等。观察法有“参与式”和“非参与式”两种。在“参与式”观察中, 教师学习者与名师一起生活、工作, 在密切的相互接触和直接体验中倾听和观看名师的言行。学习者可根据研究问题和情境的需要不断调整观察的内容和范围。“非参与

觹该文为新世纪广西高等教育教学改革工程项目 (2008C019) 成果之一式”观察是指学习者不参与名师的任何活动, 只作为旁观者理解事情的发展动态, 在条件允许的情况下, 还可以使用录像机对现场进行录像。但这种方式也有缺陷, 就是当观察对象知道自己在被观察时, 往往会受到更多的“研究效应”的影响。此外, 还可能受到一些具体条件的限制。了解这两种不同方式的特征, 可以使我们在制定实施计划、具体实施观察研究时有一个明确的概念。但在实施时, 这两种方式也不是截然分开的, 学习者可以在不同的参与程度和观察角色上进行适时、适度的分合。在这里, 学习者可作为“边缘参与者”进行系统观察学习。

教学现场观察是学习的主体部分。“观察不仅仅是人的感觉器官直接感知事物这么一个过程, 而且是人的大脑积极思维的过程。”“没有某种思维的因素便不可能产生有意义的经验。”观察式学习包含着认知过程, 也是思维的过程, 它调节着学习者对名师教学活动的探索和知觉, 记录的过程也需要进行一系列的选择、归类、比较等决策思维。学习者应保持第三人称的角度进行如实的记载, 对观察到的一些事情不能有先入为主的理解, 不能将自己的理解与看到的“事实”混在一起记录。这样的记录才可以为学习者事后分析提供一个基本的文本。

访谈法就是学习者与名师进行有深度的交谈、询问, 从对方那里收集第一手资料的一种研究、学习方法。它又有封闭型、开放型和半开放型三种方式, 这里主要采用半开放型的个别访谈方式。它从学习者的视角出发, 通过访谈与名师互动, 了解名师的所思所想, 包括其价值观念、情感态度和行为规范, 对研究、学习的事象有一个较为广阔的、整体性的视野, 进而揭示名师的经验及其意识的本质。作品分析法则是指学习者根据学习目的, 将现场观察记录和访谈记录进行系统化、条理化, 用集中和浓缩的方式将其 (作品) 反映出来, 进行意义解释。这种方法能够帮助学习者对自己与名师的互动过程中所发生的事情进行意义上的解释, 从而达到对名师的理解。

访问观察式学习的最后阶段是总结学习收获, 撰写精华摘要和分享经验。这也是分析资料、显现并传播名师实践知识的一种主要方式。首先, “访问观察式学习法”是以可供观察的经验和能够实证的证据为基础的。在这个过程中还有机会进一步从整体上了解到名师有关教学实践的隐性知识。其次, 要清理对教学现象或事件所做的观察的实地记录、访谈的理解记录、作品分析的透析记录和反思日志记录等描述材料, 并进行比较、归类、排序、分析, 形成一个解释性的框架, 透过框架对教学现象或事件进行解释, 说明相关的问题以及教学现象或事件的结果。在对课堂教学互动分析研究方面, 研究者修斯及史密斯 (M.Hughes, B.Smith) 说得很清楚:“这种分析就是把现象归类, 并寻求引致现象出现的因素。这样便可研究事象的相关性, 甚至因果关系。……虽然资料的获得是属于描述性的, 但只要这个过程是合于科学方法便是可以接受的了。”最后, 就是成果展示, 分享反思。学习者在学习结束时以浓缩的方式把资料的精髓、意义按内容类别系统地整理、分析、归纳, 清楚地表达出所观察到的教学名师实践知识的过程, 就是将名师隐性的实践知识转换成显性知识的过程。“由于客观现实的分化, 主体常常不得不在新的因素同化于旧格式 (结构) 时, 同时修改着旧的格式 (结构) , 以便它更好地与新的因素相配合。”就会调整和改变自我认知结构, 形成自己的实践知识。

“访问观察式学习法”是有工作取向和问题取向的。学习的重点是由本校的发展目标以及教师自身存在的教学问题来确定的, 要取得最佳效果, 无论在管理上还是技术上, 都应有相应的组织策略, 以优化学习过程。

学习者借助观察、访谈、记录、现象描述和资料分析等科学策略, 激活和诱发教学名师隐性的实践知识, 就能根据认识和实践的目的进行鉴别、筛选、批判接受, 使之成为自己知识结构中不可分割的一部分, 发挥其积极的作用, 提高知识的使用效率, 真正有效促进教师专业发展。

参考文献

[1]林润之.新课程下教师自我发展设计能力.北京:新华出版社, 2005.143.

[2]石中英.知识转型与教育改革.北京:教育科学出版社, 2001.223-229.

[3]吴晓义.国外缄默知识研究述评.外国教育研究, 2005 (9) .

[4]陈向明.质的研究方法与社会科学研究.北京:教育科学出版社, 2000.

[5]皮亚杰.皮亚杰学说及其发展.长沙:湖南出版社, 1983, 15.

[6][美]约翰·杜威.民主主义与教育.王承绪译.北京:人民教育出版社, 2001.158.

[7]郑肇桢.教师教育.香港:中文大学出版社, 1987.138.

学习访问 第2篇

一、医院体制与我们的不同，但仍感亲切 的医院现仍是以公有制为主体，公民在定点的社区门诊看病，住院则到定点医院。门诊看病和住院都免出挂号费，门诊药费也只出很少部分费用，住院则全部费用免费，而且供病人免费吃饭，这种运行方式跟我们国家年前有相同的地方，也可看出我们以前的方式是跟苏联老大哥学的，自然感到有一种亲切感油然而生。现在不同的社区门诊是和不同的医院对不同的疾病研究各有特长，比如我们在的神经病研究所门诊，就对变态反应性及免疫性疾病有特殊的研究。这样，如果病人不在自己的定点门诊和定点医院就诊而选择其他医院则需要自费，也出现一些改革的迹象。这些做法跟欧洲的一些国家做法是相同的，与我们国家现行的医疗体制比较，我们只有羡慕的份了。

1．技术先进的神经病研究所及号实习医院

学习访问 第3篇

1 基于角色的访问控制模型

传统的访问控制方法主要分为自主型访问控制(Discretionary Access Controls, DAC)和强制型访问控制(Mandatory Access Controls, MAC)两种。两种传统的控制方法虽然在一定程度上解决了应用系统的安全问题，但它们都是主体和访问权限直接发生关系，这样会加大系统安全管理的复杂度。

人们在MAC基础上提出基于角色的访问控制(RBAC)，它是一种强制访问控制形式，其策略是根据用户在组织内部的角色制定的，用户不能任意的将访问权限传递给其它用户。目前研究使用的RBAC主要是Sandhu等人提出的RBAC96模型。其基本模型结构对应关系包含了4个实体：用户、角色、权限、会话。一个用户可以拥有多个角色，一个角色也可以分配给多个用户;同样的，一个角色可以拥有多项权限，同一权限也能赋予给多个角色。用户、角色、权限之间的关系如图1所示。

基于角色访问控制(RBAC)通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。安全管理人员根据需要定义各种角色，并设置合适的访问权限。根据责任和资历的不同，用户被指派为不同的角色。由此，整个访问控制过程就分成两部分，即访问权限与角色相关联，角色再与用户关联。由于实现了用户与访问权限的逻辑分离，基于角色的策略极大的方便了权限管理。例如，某用户的职位发生变化，只要将该用户当前的角色去掉，加入代表新职务或新任务的角色即可。

2 在线学习平台系统的访问权限设计

在线学习是指用网络电子技术支撑或主导实施的教学，它是网络与信息科技、教学内容和学习技术的完美结合。目前，中国的广播电视大学被公认为是世界上最大的现代远程教育系统，其学生主要是以在职的成人为主。由于工学的矛盾，学生在学习时间的安排上可能存在差异，而通过在线学习平台，学员可根据自己的学习计划、学习时间、地点和学习强度需要，实现自助式个性化学习。在此背景下，结合实际，对中央电大在线学习平台进行二次开发，我校推出了自主特色的在线学习平台(http://www.open.zjtvu.edu.cn)，于2004年5月通过技术鉴定和测试，已投入使用达四年之久。

我校在线学习平台的主要功能结构如图2所示。其中，基本的用户可以分为六种：领导、管理员、学生、责任教师、辅导教师、分校教师、班主任、学生。截至2008年2月，平台上注册的学生数已有143081人，教师4831人。本平台运行以来，平均每日访问人次均在1000人以上，同时在线人数超过400人，每日发贴数达2300之多。

在我校实际应用中，具体的用户、角色、权限之间一对多，多对一关系给该系统的设计增加了不小难度。

首先，“责任教师”又细分为责任教师和主持教师，即管课教师，“学生”也根据所在地域不同划分为“本部学生”和“外地学生”等。不同的对象根据具体情况使用不同的数据集，有的教师(如分校教师)需要浏览和使用各种资源，还有的教师(如责任教师)不仅仅是使用者，还有添加、修改与维护数据库资源的任务。

其次，从管理系统软件各个模块的设计上来讲，应根据不同的技术特征组建相应的管理模块。针对不同的数据资源集合，每个模块下又设有分类、查询、删除、修改等子功能模块。

从上述的实际需求分析可见，我们必须综合考虑用户、角色、各功能模块与具体数据集合等对象间的关系采建立模型，如图3所示。

从整体安全层次上讲，系统角色与平台的功能模块在客观上制约着用户访问能力，这种制约机制，实现了对众多用户统一的分类管理。

在用户账户管理方面，可以采用统一数据导入、分校教师网上在线实名注册并经我校人事处验证、用户管理员网上在线注册等方式，对学生、教师、管理员进行权限的分配与管理。

在角色方面，与实际情况相对应，逻辑上将系统用户划分为不同的角色组，例如领导角色，可以查看所有的教学资源、教师教学行为统计(包括管理课程具体信息统计和教师在线浏览资源统计等)、学生统计信息(班级人数、参加BBS讨论次数等)以及整个平台的一些汇总及反馈信息，其中平台的一些汇总信息也可以单独的分配给特定的领导查看，譬如各个教学系的系主任;而对于管理员这一角色，也可以根据不同身份的管理员，进行不同权限的分配，如各个教学系的管理员，需要给本系的教师进行选课，就可以将教师权限管理模块分配给他，又如人事处的管理员，他在平台中的主要任务就是对分校教师在网上的实名注册进行验证以及管理学校教师的一些事迹宣传与图片展示，根据这个需求，就可以把分校教师权限模块和教师风采模块分配给人事处的管理员。而对于一些特殊情形，如在中央电大对我校进行评估时，评估专家就需要浏览学校的各种信息，我们可以将领导角色中的各个权限或者分校教师等的权限分配给评估专家。由于整个评估过程分为初期、中期和终期三个阶段，各阶段间隔时间长，且每次来的专家可能并不相同，如果每次给每个专家分配权限，会存在很多重复操作，而加入了角色后，每次只需对用户与角色进行对应即可。

3 结束语

信息安全是现今软件信息管理系统开发中不可忽视的一个重要因素，应用基于角色的访问控制理论，可以高效率、低成本地帮助我们解决安全管理的问题。

在线学习平台是我校网络教学的主要门户，其安全保护措施尤为重要。基于角色权限管理能适应学习平台特定的安全策略，能够减轻系统安全管理的负担，而且能够随组织结构或安全需求的变化而变化，具有很好的灵活性。本文在分析基于角色访问控制模型的基础上，提出了一种能适应在线学习平台管理结构的权限管理方案，并成功应用于该系统中，同时取得了良好效果。

参考文献

[1]龚祥国.远程开放教育平台的构建、应用与反思[J].远程教育杂志, 2006 (4) .

[2]周煌.基于角色的动态访问控制模型的应用研究[D].成都:电子科技大学, 2005.

[3]吴限.基于角色访问控制 (RBAC) 的Web应用[D].大连:大连理工大学, 2002.

[4]欧阳星明, 张华哲.大型网络MIS系统中基于角色的权限管理[J].计算机工程与应用, 2000 (4) .

[5]Sandhu R, Edward J Coyne.Role-based Access Control Models[J].IEEE Computer, 1996 (2) .

[6]Tony Marston.A Role-Based Access Control (RBAC) system for PHP, http://www.tonymarston.net/php-mysql/role-based-access-control.html.13th May2004.

访问的作文：对小学校长的访问 第4篇

小记者：“校长好!”

校长：“你们好，请坐。”

汪斐然：“校长您好，今天我们有60多名小记者参加此次明星小记者大赛，通过这次比赛我们将选出一部分同学参加市里的决赛，您能对他们说一些建议和鼓励的话吗?”

校长：“这是我们小记者第一次大规模的比赛，他给我们提供了舞台，这是对我们很好的锻炼。但是，十分遗憾，由于工作太忙，没门亲自去看同学们的比赛。我希望通过这次比赛，推选出优秀代表，取得好成绩，为我们河西小学增光添彩。让小记者走出校门，走向社会，写最好的文章，拍最好的.画面。把比赛看做展示自我的舞台，勇敢的去飞翔!”

汪斐然：“谢谢校长。”

纪晨然：“校长您好，在您的心目中，好学生是什么样的?在您的心目中怎样做才能成为一名优秀的小学生呢?”

校长：“我心目中的好学生一定要做的以下几点。1、尊敬父母，有感恩之心。俗话说：“百敬孝为先”对我们来说就要感谢父母，因为父母给了我们生命，给了我们衣食住行。这是孝心。2、要热爱学习，因为小学生的主要任务就是学习，要把成绩搞上去，掌握知识。小学为中学打基础，中学为大学打基础，大学为我们在社会上生存打基础。学习将伴随我们一生，一定要把学习成为第一动力，因为学习将对我们起到巨大作用。3、文明向上，健康成长。向上就是一种理想、希望，要有明确的学习目标，为中华之崛起而读书。小学正是长身体的时候，一定要多锻炼，身体乃万事之一。4、乐于助人，善于帮助别人，有集体观念。”

纪晨然：“谢谢校长。”

孙梦钰：“校长您好，请问学校教育，最重要的工作是什么?”

校长：“是学生们的安全，学校的安全大于天，学生的安全比天大。只有在安全的条件下，才能德、智、体、美、劳全面发展。”

孙梦钰：“谢谢校长。”

学习访问 第5篇

关键词：ORACLE数据库,军卫一号,HIS,并发访问,访问冲突

0 前言

作为全球知名的关系型数据库产品, ORACLE数据库以其出色的数据库管理能力、超强的稳定性、良好的并发控制机制而闻名。ORACLE数据库系统本身是一个多用户并发处理系统, 任何一个时间节点内都可能有许多用户同时访问和操作同一个数据库对象。因此, 并发访问控制是数据库最核心的管理机制之一, 也是在数据库运行过程中容易出现错误和故障的地方。本文对ORACLE数据库并发访问控制机制展开探讨, 并就实际工作中容易产生的并发性错误提出相应的解决方法。

1 闩锁和锁定机制

ORACLE数据库通过闩锁 (latch) 和锁定 (lock) 两种机制来解决并发性访问问题[1]。闩锁是一个低级别、轻量级的锁, 获得和释放的速度很快, 以类似信号灯的方式实现。锁定可能持续的时间很长, 通过使用队列, 按照先进先出的方式实现。可以认为闩锁用于微观领域, 而锁定用于宏观领域。

1.1 闩锁

ORACLE数据库使用闩锁来管理内存、数据块的分配和释放。当某个用户进程 (假定为A) 要对一个数据块 (block) 进行写操作时, 将先获得该数据块的闩锁, 在其写操作完成之前, 该闩锁将被此用户进程独占, 此时如果有其他进程 (假定为B) 试图对此数据块进行写操作, 会因无法获得闩锁而被迫进入等待状态, 当A进程结束操作时将释放闩锁, B进程可以获得闩锁开始对数据块进行读写操作。闩锁不仅用于数据块读写管理, ORACLE中任何涉及到内存地址的读写操作都要通过获得闩锁来实现串行化, 一次只能有一个服务器进程在读或写内存地址[2]。闩锁分两种类型:愿意等待 (Willing-To-Wait) 和不等待 (No-Wait) 。大部分闩锁属于第一种类型。当进程无法获得闩锁时, 会绕着CPU旋转一段时间 (以μs来计算) 并再次尝试获得闩锁, 当反复旋转CPU并尝试获取闩锁的次数超过某个上限 (该上限由隐藏参数控制) 时, 该进程才会释放CPU并进入睡眠状态, 同时产生一个对应的等待事件并记录在视图V$session_wait里。No-Wait型闩锁较少见。当进程请求此类闩锁时, 若请求失败, 进程将不会旋转CPU而直接转向另一个闩锁的申请。

1.2 锁定

锁定用来控制多用户对数据库表的相同数据的并发访问。锁定分TX锁 (TX锁) 和表级锁 (TM锁) 。当用户进程找到被更新数据块的相应数据行时, 在其头部设置一个行级锁, 并在头部记录当前事务所使用的ITL槽的槽号。其他用户进程如果要更新此数据行的数据, 将发现该条记录已经被添加了行级锁而进入等待状态, 直到前面的进程完成更新操作并释放TX锁为止。由此可见, TX锁是一种排他锁 (X锁) , 即一旦用户对某个资源添加了X锁, 则其他用户都不能对该资源添加任何类型的锁, 直到该用户释放了资源上的X锁为止。用户对表数据进行更新时, 不仅会在数据行的头部记录行级锁, 而且还会在表的级别上添加一个TM锁。TM锁共5种模式[3]: (1) 行级排他锁 (RX锁) :DML操作会自动在被更新的表上添加RX锁。该模式允许其他事务通过DML语句修改相同表里的其他数据行, 但不允许其他事务对相同的表添加X锁; (2) 行级共享锁 (RS锁) :通过select…from

for update语句可以添加RS锁, 该锁不允许其他事务对相同的表添加X锁, 但允许其他事务通过DML语句锁定相同表里的其他数据行; (3) 共享锁 (S锁) :通过lock table

in share mode命令添加该S锁。该锁不允许任何用户更新表, 但允许其他用户对表添加RS锁; (4) X锁:通过lock table

in exclusive mode命令添加该X锁, 该锁不能对表进行任何的DML和DDL操作, 只能对该表进行查询; (5) 共享行级排他锁 (SRX锁) :通过lock table

in share row exclusive mode命令添加SRX锁, 该锁不能对相同的表进行DML操作, 也不能添加共享锁。

2 锁定的相关视图

ORACLE数据库借助以下几个数据字典来管理锁定问题[4]:

(1) V$transaction:该视图记录当前每个活动事务的信息。其中比较重要的字段包括XIDUSN (当前事务使用的回滚段的编号) 、XIDSLOT (事务在回滚段头部的事务表中对应的记录编号) 、XIDSQN (序列号) 。

(2) V$lock:该视图记录了当前对话已经获得的锁定以及正在请求的锁定信息。其中比较重要的字段包括SID (session的ID号) 、TYPE (锁定的类型和级别) 、REQUEST (正在请求的锁定模式) 、BLOCK (是否阻止了其他用户获得锁定) 。

(3) V$locked_object:该视图记录当前已经被锁定的对象信息, 其中比较重要的字段包括XIDUSN (当前事务使用的回滚段的编号) 、XIDSLOT (事务在回滚段头部的事务表中对应的记录编号) 、XIDSQN (序列号) 、OBJECT_ID (当前被锁定对象的ID) , LOCKED_MODE (锁定模式的数字编码) ) 。

(4) V$session:记录当前session的相关信息。其中比较重要的字段包括SID (session编号) 、SERIAL# (序列号) , SID和SERIAL#共同标识一个session。

3 并发访问冲突的现象、原因、检测和解决方法

3.1 并发访问冲突的现象

笔者所在的单位是一所部队医院, 运行的是“军卫一号”医院信息系统, 该系统以ORACLE为数据库管理系统 (目前版本是10g) , 开发环境是Power Builder9.0, 并发用户数在400台左右。在长期的数据库维护管理工作中, 笔者经常遇到并发访问冲突的问题。表现为:某一台或几台机的用户在进行程序操作特别是进行数据保存时死机 (鼠标呈沙漏状) , 此时系统不会有任何错误提示, 若用户强行结束任务后重新进行上述操作仍然失败, 最极端的情况是所有写某个数据表的用户都会死机。

3.2 原因

造成上述访问冲突的原因一般有以下两种[5]:

(1) 应用程序中的BUG。Power Builder经常通过数据窗口技术 (datawindow) 来实现对数据的读写。当数据窗口完成一次数据更新后, 要通过resetupdate () 函数来进行数据窗口更新状态的复位。否则数据窗口在进行多次数据读写操作后很容易出现更新数据但不提交的现象 (即对某数据表UPDATE后没有COMMIT) , 当其他用户或程序也对该表的相同行数据进行写操作时, 就会把用户锁定。

(2) 客户端的电脑故障。当客户端对数据表进行读写操作时, 如果此时客户端电脑发生故障, 如WINDOWS系统死机等, 此时该用户的COMMIT动作没有完成。其他用户如果也在访问该表的相同数据行, 则很容易产生锁定。

3.3 检测和解决方法

笔者通过一个具体的例子来阐述并发访问冲突的解决方法。假设A用户在SQL_PLUS中执行语句:update dept_dict set dept_name=’aaa’where dept_code=’1001’;然后B用户执行语句:update dept_dict set dept_name=’bbb’where dept_code=’1001’, 此时B用户的SQL语句运行将出现死机。当执行select*from v$locked_object语句, 查出当前被锁住会话的session_ID是9和11。再执行语句select sid、type、ID1、ID2、lmode、request、block from v$lock where sid in (9, 11) , 查询结果, 见表1。

从表1可知, A用户的SQL语句 (即SID=9的会话) 已经在DEPT_DICT表中添加了TX锁和TM锁, 当B用户执行自己的SQL语句 (即SID=11的会话) 时也往该表的同一条记录添加TX锁和TM锁。TM锁添加成功, 添加TX锁时由于该行记录已被A用户的会话锁住且尚未释放, 所以添加失败, 因此第4行记录的Lmode字段值为0, 表示TX锁未添加成功, 同时第1行记录的Block字段值为1, 表示sid=9的会话的TX锁阻止了其他用户获得此锁。查明是由于sid=9的会话阻塞了sid=11的会话获得锁定后, 我们就可以进行解锁操作了。通常的解锁操作有两种:一种是将前面会话的SQL操作正常提交, 即运行COMMIT语句, 当A用户的SQL操作完成后自动会将TX锁和TX排他锁释放, B用户即可获得该条记录的TX锁并完成自己的SQL操作。第二种方法是将前面会话删掉, 此方法用于前面会话已经无法正常提交的情况。以本例而言, 可执行语句:select sid, serail#from v$session where sid=9, 查出sid=9的会话serial#=189;然后运行语句:alter system kill session (9, 189) , 将A用户的会话强行删除, 该会话自动释放TX锁和TM锁, 这样B用户即可获取相应锁并完成自己的SQL操作。

4 结束语

综上所述, ORACLE数据库主要是通过闩锁和锁定机制来实现对数据库并发访问的控制, 前者基于内存和数据块层面, 属微观范畴;后者基于数据表和记录, 属宏观领域。同时ORACLE提供了若干数据字典和视图, 方便数据库管理员 (DBA) 实时了解数据库当前的用户连接和锁定状况, 共同为ORACLE用户提供强大的并发控制机制和高效的并发管理能力。

参考文献

[1]余钢, 朱莉, 张云睿.ORACLE DML封锁等待原因分析和应用中的处理方法[J].电脑知识与技术, 2005, (10) :42-43.

[2]萨师煊, 王珊.数据库系统概论[M].3版.北京:高等教育出版社, 2000.

[3]沈金发, 郑甫京, 王令赤, 等.ORACLE关系数据库系统[M].北京:清华大学出版社, 1992.

[4]韩思捷.ORACLE数据库技术实用详解[M].北京:电子工业出版社, 2008.

[5]滕永昌.ORACLE9I数据库管理员使用大全[M].北京:清华大学出版社, 2004.

[6]周芃, 顾凤军, 周昕.ORACLE闪回技术的使用与分析[J].中国医疗设备, 2009, 24 (2) :51-53.

网络访问日志 第6篇

往往综合性的反病毒软件检测特洛伊木马,是通过文件鉴别或基于通用规则的方式进行判定。因此那些针对单一特殊目标的特洛伊木马程序则变得十分危险,为了对付独特或罕见的特洛伊木马,我们不能仅仅依靠文件鉴别或基于通用规则来进行检测,而必须采取更加有效的方法。

正常来讲,很难甚至根本无法确定攻击的源头是来自于木马还是其他因素。虽然有些特洛伊木马行为可以通过监测网络流量进行检测,然而很多情况下它和其他恶意网络应用并不容易从正常的网络流量中区分出来。

通过网络访问的日志来记录与网络应用有关的行为。可以更加容易识别出恶意的网络数据传输,并通过对该数据流进行追踪,可以确定在发起这次事件的应用或用户。

1 在企业内部网络环境中进行网络取证

传统的日志记录是通过操作系统来记录发生的事件。而事件日志主要是记录系统上发生的重要事件和管理员的一些操作。这种旧的方式,现在基本上已经过时。

在企业型的内部网络环境里,一台计算机上资源调配和使用往往与另一台计算机有关联。这种情况下,单一的计算机事件日志就无法作为一个有力的调查依据。由于网络的使用,通过网络流量进行监测便可以查找到系统之间数据交流的踪迹。

如果使用恶意远程命令时的网络数据信息被记录下来,那么通常可以追查到源地址,从而找到攻击起源头的电脑。然而系统事件日志中一般没有足够的信息来确定源地址,也无法确定是从哪里,哪个应用程序产生的数据流。即使拿用户帐户的使用权限与产生的恶意网络数据流有联系,用户仍然可以声称自己“没有做过”。在这种情况下,就可能需要提供可以确定使用者的身份的确凿证据,例如现实中的操作记录或闭路电视照片等。

通常计算机事件处理的范围总是局限在计算机系统本身。而在企业内部网,将处理范围扩大到包括电脑系统当时所处的物理工作环境则更加有利于收集到充分的证据信息。

企业中,经常会出现对企业的利益造成损害的恶意事件。这些事件的证据很多时候都可以在当时用户的电脑终端和周边环境中找到。有相当一部分经济损失是因为人为但无意的失误造成的,在收集证据时周边环境的情况将可能有助于解释这些事件。

2 对网络访问进行日志记录的理由

事件记录从某种意义上来说,只是将每个重要事件的详细说明都记录到存储介质中以供将来参考。传统的事件日志记录的重点是记录发生在个人电脑操作系统的事件。

如今,资源中央集中模式已经不再是主流;新的分布式体系结构中,用户不再是只对中央系统产生网络数据流,而改由各种工作站来满足这些网络流量和网络资源访问(如文件服务器等)的需求。新的分布式资源体系结构已经取代了集中模式成为首选的架构,并已广泛应用于今天的工作场所。

遗憾的是,事件日志记录技术并没有与之同时发展。但是显而易见的,事件日志也应采取分布的方式进行记录。然而,仅仅收集每个系统数据库中的事件日志并不是一个适当的解决办法。如果没有一个适应该体系架构的事件日志机制,每个系统仅仅只是处在一个独立状态进行事件记录。

为了弥补当前系统事件日志的明显缺陷,一些系统管理员正在努力从网络本身收集数据。然而因为一方面对于收集什么样的数据缺乏指引,一方面局域网内交换机的广泛使用也增加了数据收集本身的困难,所以系统管理员往往不得不依靠商业网络监测工具,以确保网络的高效运行。使用商业网络入侵检测工具则更加有效,但价格也相应的昂贵。除此之外,利用原始的数据收集工具进行数据收集仍然存在着局限性。

即使有的系统网络监控中结合了传统的记录系统事件的方式,网络取证仍然遇到了很多困难。信息日志不够直观,将很难详细的了解正在网络上发生的事情。当可疑的网络行为被发现后,它可能只能够追踪到发起该行为的系统。如果确定了攻击者在系统内的操作时间,它还可以找出是使用了哪个帐户进行操作。一般情况下,没有足够的事件日志信息能确定该上网行为是直接由用户发起,还是由一些特定的用户所不知道的应用程序所产生的。

下面是一个tcpdump显示网络事件的输出示例,并对记录下来的网络传输数据进行了说明:

根据有限的信息,我们能够得到这样的网络日志,主要是这个例子中的第一行,其中主机192.168.10.1通过1028端口发送数据到主机192.168.10.5。Tcpdump告诉我们它使用的协议是UDP并且有82个字节发往了这个方向。

要将系统事件日志与网络监控结合起来,我们需要扩大在每个系统中信息源的网络传输事件记录。我们可以这么看,所有基于主机的网络流量由一个网络应用程序或服务开始,并通过主机的网络子系统(或网络协议栈),最后传送到网络中。通过创建一个网络性质的事件日志,将用户,发出请求的应用程序以及该程序传输的数据流关联起来,就能够完善在分布式的资源体系架构中对用户行为和程序行为的问责制。

3 网络访问日志记录的目标

随着计算机从原本的相互独立发展到现在的网络架构,很明显,现有的系统事件日志已不再足以作为唯一的事件依据来源。为了改变这一情况,系统管理员不得不依靠网络监控或网络入侵检测工具。将这些工具产生的网络日志和其他数据输出加以利用。

对于进行网络传输的网络应用的相关行为,完善的网络访问日志将至少提供三分之一的事件依据来源。其中的关键日志包括,哪些用户启动了这些应用程序,这些应用程序进行了哪些动作,以及最终产生的网络数据流。

网络应用的行为可以分为被动的和主动的。被动的行为,包括一些类似侦听传入数据行为的网络应用,主动的行为,则是将数据传送到外部实体的行为。虽然两者都需经过系统进行调用,但是在网络驱动层只有发送数据(主动的行为)能被检测到。因此,网络事件的日志记录通常在能检测被动行为的网络协议栈中进行。

在许多情况下,通过应用的表面性质就可以判断出它属于被动行为的网络应用,例如网页浏览器和Web服务器是通过网络系统的80端口来发送和接收的数据的。在网络驱动程序的层面上对数据的发送和接受进行区分是困难的。但是通过监测网络应用程序在网络子系统上调用的服务(如Listen())却能明显的区别出来。

网络访问日志的首要目标是记录所有这些可能的数据,这样网络管理员才可以将数据流的源(用户,应用程序等)和参与网络数据发送的每个部分关联起来。它还需权衡系统的负载和磁盘的空间,控制在可接受的范围内,同时尽可能多地在日志中记录有用的信息。因此,防止过量冗余事件日志的产生,并为系统管理员或安全专家提供灵活的审计策略是相当重要的。

4 通过NT网络协议栈的网络调用

通常网络应用是通过一个或多个DLL向外发送数据从而产生网络数据流。这些DLL由各层的网络协议栈组成,并最终将这些数据传送到网卡,网卡再将它传输到网络中。

以网页浏览器为例子,由调用网页浏览器开始直到完成默认主页的加载结束,下表说明了在网络协议栈顶部API层上的功能调用(显示前28个调用)。地址解析和网络地址转换功能(inet_addr,ntohs,htonl,inet_ntoa等)和套接字地址解析(getsockname)在此忽略。

上述绝大部分的API调用是被动的。在网卡中可见的主动调用只有send()和recv()。在网页浏览器的后续一系列调用中,建立了一个Socket连接(见图2),这个标准的调用方式,可用于识别伪装成网页浏览器的异常进程。一个网络调查员往往关注的是网络应用中不成功的Socket()调用。Socket()调用不成功的可能原因有很多,网络子系统的故障或没有先进行WSAStartup()调用都有可能引起。这类事件给调查人员提供了一个明确的信号,既发生了未经授权的网络调用。

网络访问日志在网络应用启动时进行记录,记录内容包括可执行文件的绝对路径,进程ID,以及执行进程的主动和被动行为等。网络访问日志以源系统网络流量为基础将连续且相互关联的事件活动记录下来,这在很大程度上保障了网络传输行为的安全性和可追查性。

5 结束语

网络访问日志是结合了系统事件日志与网络监控的日志记录方式。此前,在以往的计算机资源集中式模式中,通过检测到的异常的流量可以查明源系统的所在并追究相应的责任,不需要再往下进行追查。而现在,一个系统通常有多个用户使用,并且特洛伊木马可能已经在网络中传播,很难通过网络流量来确定源头的应用程序或使用该应用程序的用户。网络访问日志提供了追查恶意网络数据流源头的切入点。

网络访问日志的应用,将计算机安全的管理提高到一个新的层面。通过网络访问日志,可以进行有效的管理和监测网络安全及用户或网络应用的行为事件。随着计算机管理管理水平的逐步提高,它必将广泛应用于计算机网络的管理中。

摘要：通过识别网络上异常的网络流量可以确定系统的位置来源,而要找出产生这些流量的应用或使用者却并不容易。因为可能许多用户使用过这些网系统,并且特洛伊木马可能已经在网络中传播和进行繁殖。网络访问审计日志将系统事件日志与网络监控结合起来,通过对网络传输的记录扩展了主机的原本的日志信息,从而提高了内部网的网络安全。

关键词：事件日志,网络监控,网络取证

参考文献

[1]徐晖,冯永兵.使用Winsock控件实现对网络的访问[J].山西电子技术,2002,(1):13-15.

[2]王蕾,方滨兴.一种实现基于日志审计的网络追踪系统的方法[J].计算机工程与应用,2006,(1):144-146.

学习访问 第7篇

关键词：Cisco Packet Tracer,IP ACL,仿真实验

0 引言

Cisco Packet Tracer是由Cisco公司近年发布的一个功能强大的网络仿真程序,为网络课程学习者提供了可用于设计、配置、排除网络故障的专业定制网络模拟环境。使用者可以在软件的图形用户界面上建立网络拓扑,了解数据包在网络中进行的详细处理过程和网络实时运行情况。本文即针对这一课题内容,展开如下研究论述。

1 访问控制列表

访问控制列表是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以接收,哪能数据包需要拒绝。具体地,就是可以起到控制网络流量、流向、保护网络设备的关键作用。

访问控制列表分为标准IP访问列表、扩展IP访问、命名的IP访问、标准IPX访问、扩展IPX访问和命名的IPX访问。标准IP访问控制列表只能实现对源地址的访问控制,而扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,从而可以实现对源地址和目的地址,源端口和目的端口的访问控制。编号范围从100 ~ 199 的访问控制列表则是扩展IP访问控制列表。

2 在Cisco Packet Tracer模拟器上搭建扩展IP访问控制列表( IP ACL) 仿真实验平台

2.1 实验任务

在校园网中,宿舍网、教工网和服务器区域分别属于不同的3 个子网,3 个子网之间使用路由器进行互连。宿舍网所在的子网为192.168.1.0/24,教工网所在子网为192.168.2.0/24,服务器区域所在的子网为192.168.4.0 / 24。现在要求宿舍网的主机只能访问服务器区域的FTP服务器,而不能访问WWW Server。教工网的主机可以同时访问FTP Server和WWW Server。此外,除了宿舍网和教工网到达服务器区域的FTP和WWW流量外,不允许任何其它的数据流到服务器区域。

扩展IP访问列表的访问控制实验拓扑结构如图1 所示。

2.2 配置实验PC的IP地址.掩码.网关

2.3 检查PC与服务器的连通性,并在服务器上安装FTP Server和WWW Server

2.4 路由器的基本配置

作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。此外,在路由器的许多其他配置任务中,如网络地址转换( NAT) 、按需拨号路由( DDR) 、路由重分布( Routing Redistribution) 、策略路由( PBR) 等很多场合都需要访问控制列表。

1)RTA基本配置

2)RTB基本配置

3)查看RTA.RTB接口状态

4)在RTA.RTB上配置静态路由

5)配置扩展IP ACL

由于扩展IP ACL可以对数据包中的多个元素进行检查,所以可以将其放置到距离源端较近的位置。

6) 应用ACL

如果有来自其他区域的流量是不允许访问服务器的,因为每一个ACL都有一个隐含的拒绝语句,除了上面允许的,其他均拒绝访问,正好符合题意的要求。

另外,现实应用中尽可能把上面限制应用在距离目标比较近的RTB f0/0 出口上。

3 验证测试

1) 宿舍网主机用步骤0 建立的用户名登录FTP Server,并通过http: / /192.168.4.3 访问WWW Server,判断结果是否达到预期。

2) 教工网主机用步骤0 建立的用户名登录FTP Server,并通过http: / /192.168.4.3 访问WWW Server,判断结果是否达到预期目标。

通过验证可知,宿舍网的主机能且只能访问服务器区域的FTP服务器,而不能访问WWW Server。教工网的主机可以同时访问FTP Server和WWW Server。此外,除了宿舍网和教工网到达服务器区域的FTP和WWW流量外,不允许任何其它的数据流到服务器区域。

4 结束语

解决FTP访问故障 第8篇

故障一, 使用浏览器访问FTP时不能操作, 而在IE的“查看”菜单, 没有“在Windows资源管理器中打开”菜单项 (如图1) 。

解决方法1:打开桌面的“计算机”或者是右击“开始”按钮, 选择“打开Windows资源管理器”后, 在地址栏直接输入FTP站点的地址进行访问。

解决方法2:启动Internet Explorer浏览器后, 依次单击菜单栏的“工具→Internet选项”, 打开“Internet选项”。切换到“高级”选项卡下, 向下拖动右侧的滚动条, 找到“启用FTP文件夹视图 (在Internet Explorer之外) ”列表 (如图2) , 勾选该复选框后, 单击“确定”即可。

故障二, FTP不能在Windows资源管理器中打开, 可以使用IE打开。

解决方法1:在桌面的空白处右击, 选择“新建→快捷方式”, 打开“创建快捷方式”对话框。接着, 在“请键入对象的位置”下方输入:“"%System Root%e x p l o r e r.e x e"ftp://124.89.1.200”。单击“下一步”按钮后, 键入一个快捷方式的名称即可。完成创建后, 在桌面上就会有个FTP快捷方式的文件夹图标, 双击直接调用资源管理器打开。

解决方法2:还有简便的方法, 直接在“请键入对象的位置”下方输入:

"%S y s t e m R o o t%explorer.exe"ftp://f t p w w w:1 1 q a z@124.89.1.200

其中, ftpwww是用户名, 11qaz是密码。双击它可以自动登录FTP服务器。

故障三, 打开FTP站点后, 不能以FTP文件夹视图方式显示。

系统升级到Windows8/10以后, 打开IE“查看”菜单下的“打开Windows资源管理器”后, 马上弹出“无法在Windows资源管理器中打开FTP站点”提示。或者是IE“查看”菜单没有“打开Windows资源管理器”菜单项 (如图3) 。打开IE→Internet选项“, 发现“启用FTP文件夹视图”已经默认打勾。

访问控制框架技术探析 第9篇

访问控制是计算机信息安全领域中的核心技术之一,它保证信息资源能受到合法的、可控制的访问。在Linux安全操作系统的访问控制方面产生了各种各样的技术和模型,同时对普通应用软件系统通用访问控制模块开发需求的增加,促使了一个新的技术,访问控制框架技术的产生。

当前访问控制框架研究领域,应用实现的框架有通用访问控制框架GTAC、Flask框架、LSM框架、基于RBAC的面向对象的框架等,本文介绍访问控制基本概念基础上,对主流框架特点及应用进行了分析。

2. 访问控制的概念

60年代末,Lampson提出了主体(Principal)和客体(Subject)的基本概念,并提出需要一个访问矩阵描述主体与客体之间的访问关系。1983年美国国防部提出了计算机系统可信赖性评估标准(TCSEC),定义了两种军事系统的访问控制模式:DAC和MAC。Clark-Wilson提出了指责分离(SOD)的概念。1992年David Ferraiolo和Rick Kuhn合作提出了RBAC(Role-Based Access Control)模型[1]。George Mason大学的R Sandhu等人在对RBAC深入的研究的基础上,提出了RBAC96、RBAC97、ARBAC97、ARBAC99模型。

继而学者们对RBAC96继续改进,加入管理角色将管理和使用分开。EHRBAC提出一种改进角色层次化关系模型,定义了角色的公共和私有权限,引入继承和扩展机制,解决了私有角色出现的问题。基于任务的工作流访问控制模型,对任务分配权限,角色执行任务,权限传递给角色,实现了权限的按需分配。

3. RBAC访问控制模型

RBAC的主要思想是访问允许权被赋予角色,用户再被赋予为适当的角色成员。将角色(Role)作为一个管理的实体单独抽象出来,Role被认为是组织中的职位或位置,分离于用户(User)之外,通过将Role指派给User使之获得某些权限。RBAC清楚的表达企业特殊的安全策略及灵活而详尽的访问控制。

RBAC的基本元素由用户、角色、角色层次、操作和安全对象等术语描述。执行一个操作访问一个安全对象,用户必须是处于激活的角色状态,用户的角色是由整个系统中的安全管理员授权的,管理员通过RBAC能够在对角色授权、角色激活以及操作执行等方面进行约束。

4. 通用访问控制框架

1996年,ISO发表了通用访问控制框架(GFAC)[2]技术标准。提供了一个用于表达和支持多安全政策的框架,其优点有:描述、形式化和分析各种访问控制政策更容易;用户可以从系统开发者提供的多个安全政策支持模块中选择几个进行配置;对所支持的每个安全政策,能证明满足了政策的原始定义。

GFAC技术最早在Linux上应用实现,主体向AEF发出对客体的访问请求,AEF向ADF询问判定请求。ADF根据多种访问决定信息(ADI)如主体的ADI、访问请求ADI和客体ADI以及访问控制策略规则等形成最后的判定结果向AEF返回,则由AEF实施访问控制判定。

5. LSM框架

LSM(Linux Security Module)[3]提供一个通用的访问控制安全模块框架,本身不提供任何具体的访问控制安全政策。执行系统调用时,首先游历Linux内核原有的逻辑找到并分配资源,进行错误检查,并经过经典的RJH自主访问控制,在内核试图对内部对象进行访问之前,一个LSM的钩子对安全模块提供的函数进行一个调用,安全模块根据其安全策略进行决策并做出回答:允许或者拒绝,进而返回一个错误。

LSM策略引擎的实现是采用通过在内核源代码中放置钩子的方法仲裁对内核内部对象进行的访问。对内核开发人员的优点:使用其提供的接口将现存的安全增强系统移植到这一框架上;直接编写适合自己需要的安全模块。对普通用户的优点在于:提供各种安全模块,由用户选择适合自己的需要加载到内核,满足特定的安全功能。其缺点是基于内核的,对系统运行会有一些影响,目前作为一个内核补丁的形式提供。

6. 基于RBAC的面向对象的框架

左春提出用于RBAC的权限管理的面向对象的框架[4],其在实现到应用系统时,通过子类化方式对框架进行扩展,提出实现各个领域通用的、可重用访问控制框架思想。框架在结构上划分成三个部分,这三个部分共同完成了权限管理:(1)用户管理器管理器负责管理组织系统中的用户,维护用户的登入登出以及活动用户相关的会话;(2)角色管理引擎管理引擎负责角色关系的加载和存储,角色的增加删除以及角色间制约规则的检查包括静态责任分离规则(SSD)检查和动态责任分离规则(DSD)检查;(3)授权引擎引擎主要决定对于角色(Role)是否有对给定的操作(Op)和操作的对象(Obj)的授权。该框架除实现基本的权限功能外,优点在于提供了丰富的可扩展性来适应不同的应用系统。

7. 访问控制框架的问题及发展

上述访问控制框架理论为进一步研究访问控制框架提供了基础,特点归纳如下:(1)具有ISO通用访问控制框架的基本特征,由AEF和ADF组成;(2)都是基于内核的,对系统运行会有一些影响;(3)访问控制决策组件(ADF)支持动态的多种访问控制政策,实现访问控制政策的多样性;(4)没有使访问控制模块真正独立出系统作为可以依附的子系统,没有完全将控制授权判定与代码完全拆解开。

通过研究若干领域应用系统的访问控制模块的特点,一个易于复用的访问控制框架应当满足:(1)将安全策略决策与其实施相隔离;(2)独立出应用系统,减少耦合;(3)访问检测高效性,支持多种访问控制策略,实现多访问控制策略的组合;(4)开放性及易于移植。如果一个访问控制框架能够做到以上几点,那么从应用上来看将解决很多实际的问题。

小结

访问控制框架技术作为当前非常重要的一个研究和应用领域,产生了许多非常有价值的研究成果。本文回顾了近年来国内外在该领域的主要研究成果,访问控制框架技术的一些基本概念,及主要的结构。介绍分析了通用访问控制框架、Flask框架、LSM框架及基于RBAC的面向对象的框架的优点及缺点,并给出它们的应用,分析了当前访问控制的问题和发展。

摘要：访问控制是应用系统资源存取管理的重要技术,本文介绍了访问控制的基本概念,阐述当前访问控制框架研究领域内主要成果及特点,并进行了分析对比总结。

关键词：访问控制,访问控制框架,RBAC LSM GFAC

参考文献

[1]R Sandhu.Role-based access control models[J].IEEE Computer,1996,29(2):38-47.

[2]Abrams M D,Lapadula L J.A generalized framework for access control:an informal description[C],proceedings of the13th National Computer Security Conference.[S.l.]:[s.n.],1990.

[3]陈汉章,张玉清.访问控制框架及其在Linux中的应用研究[J].计算机应用研究,2007,24(4):217-219.