2007年12月17日

岁在丙戍,时维暮秋,十月之望,三五悠游;同僚之属,戏谑相谐;朋侪之趣,堪可忘忧。有教曰五斗米,有坛发天下愁!宇宙无穷,常涉天文地理;盈虚有数,每论夏商春秋。呜呼,疯话妄谈,恐斯为盛!振振姿采,魏晋弗如。

兴之所至,阶拾而进。新石小甬,幽苔不着;老干虬盘,姿容若剪。疏枝慵擎,青瓷皲裂;黄叶匝地,怪石若披。荆榛漫漫,知自然之繁阜;荒草凄凄,觉更替之从容。黄花招招,蜂蝶安在?红果簇簇,蝉鸣已杳。地非兰亭,无流觞之曲水;屐有谢公,步天姥之云梯。青须小子,狎(黑吉)以坏笑,红袄姑娘,淡然若沐风!

三千级尽,人至汗微,豁然而开,洞天别裁。苍翠相续,峦峦相衔。长空万里,望处声声飞雁,高楼鳞栉,不见袅袅炊烟!青天澄碧,流云似纱,隐处是七女涣手;翰海飘渺,迷烟若酒,依约见徐福征帆。鸟鸣堪醉,应是伯牙高奏;流风可饮,何为叔齐彝樽?当此际,更何须叹、无平沙落雁;抬望眼,正遥可见、有渔舟唱晚!遥目当知,路如辐辏;仰观所及,三塔耸峙。荒冢寂寂,黄土不标尊卑荣辱;广场阔阔,真爱无须海誓山盟!

呜呼,眼牵鱼尾,鬓染秋声,微命三尺,耿耿书生!故里轻别,非为功名;此地淹留,关乎义气。冯唐已老,李广未封!凭高非悼古,临风以有怀;子安安在?曹子建健否?范文谰两字,顾宪成三事,关吾屁事!!当此际,须袒胸露乳,爽乎哉流风之清朗,厌乎哉人铸之鄙俗!!散淡若此,人生何虑!盛景如斯,夫复何求?

是为南山之亚赋。

岁在丙戍,时维暮秋,十月之望,三五悠游;同僚之属,戏谑相谐;朋侪之趣,堪可忘忧。有教曰五斗米,有坛发天下愁!宇宙无穷,常涉天文地理;盈虚有数,每论夏商春秋。呜呼,疯话妄谈,恐斯为盛!振振姿采,魏晋弗如。

兴之所至,阶拾而进。新石小甬,幽苔不着;老干虬盘,姿容若剪。疏枝慵擎,青瓷皲裂;黄叶匝地,怪石若披。荆榛漫漫,知自然之繁阜;荒草凄凄,觉更替之从容。黄花招招,蜂蝶安在?红果簇簇,蝉鸣已杳。地非兰亭,无流觞之曲水;屐有谢公,步天姥之云梯。青须小子,狎(黑吉)以坏笑,红袄姑娘,淡然若沐风!

三千级尽,人至汗微,豁然而开,洞天别裁。苍翠相续,峦峦相衔。长空万里,望处声声飞雁,高楼鳞栉,不见袅袅炊烟!青天澄碧,流云似纱,隐处是七女涣手;翰海飘渺,迷烟若酒,依约见徐福征帆。鸟鸣堪醉,应是伯牙高奏;流风可饮,何为叔齐彝樽?当此际,更何须叹、无平沙落雁;抬望眼,正遥可见、有渔舟唱晚!遥目当知,路如辐辏;仰观所及,三塔耸峙。荒冢寂寂,黄土不标尊卑荣辱;广场阔阔,真爱无须海誓山盟!

呜呼,眼牵鱼尾,鬓染秋声,微命三尺,耿耿书生!故里轻别,非为功名;此地淹留,关乎义气。冯唐已老,李广未封!凭高非悼古,临风以有怀;子安安在?曹子建健否?范文谰两字,顾宪成三事,关吾屁事!!当此际,须袒胸露乳,爽乎哉流风之清朗,厌乎哉人铸之鄙俗!!散淡若此,人生何虑!盛景如斯,夫复何求?

是为南山之亚赋。

岁在丙戍,时维暮秋,十月之望,三五悠游;同僚之属,戏谑相谐;朋侪之趣,堪可忘忧。有教曰五斗米,有坛发天下愁!宇宙无穷,常涉天文地理;盈虚有数,每论夏商春秋。呜呼,疯话妄谈,恐斯为盛!振振姿采,魏晋弗如。

兴之所至,阶拾而进。新石小甬,幽苔不着;老干虬盘,姿容若剪。疏枝慵擎,青瓷皲裂;黄叶匝地,怪石若披。荆榛漫漫,知自然之繁阜;荒草凄凄,觉更替之从容。黄花招招,蜂蝶安在?红果簇簇,蝉鸣已杳。地非兰亭,无流觞之曲水;屐有谢公,步天姥之云梯。青须小子,狎(黑吉)以坏笑,红袄姑娘,淡然若沐风!

三千级尽,人至汗微,豁然而开,洞天别裁。苍翠相续,峦峦相衔。长空万里,望处声声飞雁,高楼鳞栉,不见袅袅炊烟!青天澄碧,流云似纱,隐处是七女涣手;翰海飘渺,迷烟若酒,依约见徐福征帆。鸟鸣堪醉,应是伯牙高奏;流风可饮,何为叔齐彝樽?当此际,更何须叹、无平沙落雁;抬望眼,正遥可见、有渔舟唱晚!遥目当知,路如辐辏;仰观所及,三塔耸峙。荒冢寂寂,黄土不标尊卑荣辱;广场阔阔,真爱无须海誓山盟!

呜呼,眼牵鱼尾,鬓染秋声,微命三尺,耿耿书生!故里轻别,非为功名;此地淹留,关乎义气。冯唐已老,李广未封!凭高非悼古,临风以有怀;子安安在?曹子建健否?范文谰两字,顾宪成三事,关吾屁事!!当此际,须袒胸露乳,爽乎哉流风之清朗,厌乎哉人铸之鄙俗!!散淡若此,人生何虑!盛景如斯,夫复何求?

是为南山之亚赋。

2005年04月20日

由IETF RFC1918标准公布的Internet保留地址,它包括以下地址段:

10.0.0.0—-10.255.255.255 1个A类的IP保留地址

172.16.0.0—-172.31.255.255 16个B类的IP保留地址

这种地址是不会公布到Internet上去的,即正常来说在Internet上是不能寻址到的。

概要

您可以使用 Internet 协议安全 (IPSec) 来保护基于 Windows 2000 的计算机上的网络通信。IPSec 适用于基于 IPSec 策略的通信。您可以使用 IPSec 策略来确定何时应使用 IPSec 保护计算机之间的通信。还可以使用 IPSec 策略控制允许进出计算机网络接口的数据包。

IPSec 策略基于两个元素:
IP 筛选器列表

- 和 -
IP 筛选器操作

Internet 协议 (IP) 筛选器列表是一个协议和文件夹的列表。例如,您可以创建一个允许所有计算机访问本地接口上的 TCP 端口 80 的筛选器列表项。同一筛选器列表中的另一项可能允许访问本地接口上的 TCP 端口 25,而第三个筛选器列表项可能允许访问本地接口上的用户数据报协议 (UDP) 端口 53。

如果到达计算机接口的数据包在筛选器列表上有一个相匹配的项,IPSec 策略代理将应用您分配给该筛选器列表的筛选器操作。例如,如果向上述筛选器列表分配一个“阻止”筛选器操作,那么,任何发往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53 的数据包都将被阻止。不过,如果向上述筛选器列表分配一个“允许”筛选器操作,则允许数据包发往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53。

您可以使用 IPSec 筛选器列表和筛选器操作来有效地控制对所有接口的访问。注意,IPSec 策略将应用于多主计算机上的所有接口。您不能有选择性地将 IPSec 策略应用于特定接口。

Windows 2000 包括下面两个默认的 IP 筛选器列表:

所有 ICMP 通讯

- 和 -
所有 IP 通讯

有三种默认的筛选器操作:

允许

- 和 -
请求安全设置(可选)

- 和 -
需要安全设置

返回页首

如何创建 IPSec 筛选器列表

要创建应用于入站 TCP 端口 80 和 TCP 端口 25 的 IPSec 筛选器列表,请执行以下操作:

1. 单击开始,指向程序,指向管理工具,然后单击本地安全策略
2. 单击以展开安全设置
3. 右键单击左窗格中的 IP 安全策略,然后单击“管理 IP 筛选器”。
4. 单击“管理 IP 筛选器列表和筛选器操作”对话框中的管理 IP 筛选器列表选项卡,然后单击添加
5. 名称框中键入入站 TCP 80 和 25,然后在描述框中键入允许到 TCP 端口 80 和 25 的入站通信
6. 单击以清除使用“添加向导”复选框,然后单击添加以添加一个新的筛选器列表项。
7. 单击寻址选项卡。
8. 在“源地址”框中单击任何 IP 地址
9. 在“目标地址”框中单击我的 IP 地址。此配置指明该筛选器将应用于入站数据包。
10. 单击以清除镜像复选框。
11. 单击协议选项卡。
12. 在“选择协议类型”框中单击 TCP
13. 单击“从任意端口”,然后单击“到此端口”。
14. 在“到此端口”框中键入 80
15. 单击应用,然后单击确定
16. IP 筛选器列表对话框中单击添加
17. 单击寻址选项卡。
18. 在“源地址”框中单击任何 IP 地址
19. 在“目标地址”框中单击我的 IP 地址。此配置指明该筛选器将应用于入站数据包。
20. 单击以选中镜像复选框。执行此操作后,将创建一个具有相反的源和目标 IP 地址的筛选器。
21. 单击协议选项卡。
22. 在“选择协议类型”框中单击 TCP
23. 单击“从任意端口”,然后单击“到此端口”。
24. 在“到此端口”框中键入 25
25. 单击应用,然后单击确定
26. IP 筛选器列表对话框中单击关闭

返回页首

如何创建基于筛选器列表的 IPSec 策略

要创建基于筛选器列表的 IPSec 策略,请执行以下操作:

1. 右键单击左窗格中的 IP 安全策略,然后单击创建 IP 安全策略
2. 在“欢迎使用 IP 安全策略向导”中单击下一步
3. IP 安全策略名称对话框的名称框中,键入允许入站 TCP 80 和 25,然后单击下一步
4. 单击以清除“激活默认响应规则”复选框,然后单击下一步
5. 正在完成 IP 安全策略向导对话框中,单击以选中“编辑属性”复选框(如果尚未选中),然后单击完成
6. 单击规则选项卡。
7. 单击以清除使用“添加向导”复选框,然后单击添加
8. 单击 IP 筛选器列表选项卡。
9. 单击“入站 TCP 80 和 25 IP 筛选器列表”左边的选项
10. 单击筛选器操作选项卡。
11. 单击允许左边的选项
12. 单击应用,然后单击确定
13. “入站 TCP 80 和 25 筛选器列表”复选框被选中。单击关闭

IPSec 策略检查发往本地接口上的 TCP 端口 80 和 TCP 端口 25 的数据包,然后将这些数据包与允许数据包通过此接口的“允许”筛选器操作相匹配。

注意:如果分配此策略,将允许所有通信,因为没有阻止其他通信的“拒绝”规则。如果希望仅允许上述策略中指定的通信,则必须创建拒绝所有通信的“拒绝”规则。

2005年04月08日

GIS 相 关 链 接




武汉吉奥信息工程技术有限公司 朝夕科技
遥感工程产业网 北京灵图软件技术有限公司
适普软件有限公司 ESRI中国(北京)有限公司
加拿大阿波罗科技集团 武汉中地信息工程公司
深圳市雅都软件股份有限公司 北京时空港科技有限公司
武汉中地信息工程有限公司 国家遥感应用工程技术研究中心
北京神州通网络技术有限公司 北京长地计算机公司之网上“北京通”
地理信息论坛 北京超图
武汉吉奥信息工程有限公司 武汉适普软件公司
方正智绘 上海四通摩天计算机系统工程有限公司
慧图公司 北京华图信息技术有限公司
北京摩贝尔时代软件技术有限公司 北京朝夕科技有限公司
中科院遥感联合中心北京晖彪信息技术有限公司 北京理正软件设计研究所
深圳市雅都图形软件有限公司 北京北大天创信息技术有限公司
南京天智星 北京视宝(SPOT)卫星影像有限公司
广州城市信息研究所有限公司 蓝深大业计算机网络有限公司
广州英迪实业有限公司 测绘世界
四维公司 北京吉威数源软件开发有限公司
ArcInfo中国技术咨询与培训中心 山东正元地理信息工程有限责任公司
台湾大学海洋遥感探测实验室 数字广西
数字重庆 厦门信息港
招商际通-3S World(GIS,GPS,GPRS) 超图网络
深圳图虹信息技术有限公司 城市通公
天罗地网 时空港
广州市众信电脑技术应用有限公司 奥发科技有限公司
鸿业 华好科技
正先数码  

研 究 机 构

中科院资源与环境信息系统国家重点实验室 重庆煤田地质研究所
中科院资源环境信息网络与数据中心 中科院南京地理与湖泊研究所
中国资源网 中国科学院遥感应用研究所
中国地质环境监测院 中国测绘科学研究院
武汉测绘科技大学 同济大学测量与国土信息工程系
数字地球 南京水利科学研究院
国家智能交通系统工程技术研究中心 国家遥感中心
国家遥感应用工程技术研究中心 国家卫星气象中心
国家基础地理信息中心 国家测绘局
中国地质大学 长春科技大学
北师大资源所 环工所RS与GIS实验室
中科院教育主页 中华人民共和国科学技术部
中科院网上新闻中心 GIS相关软件下载网站
加拿大阿波罗科技集团 德国西门子公司SICAD
AutoDesk 公司 奔特力公司,MicroStation
富融公司–ARC/INFO中国代理 美国环境研究中心
美国Mapinfo公司 北京合灵伟业科技发展公司
ERDAS公司 GIS Online Web site
MAP DATA Online DIGITAL EARTH NET
ASSIGMENT EARTH DIGITAL 北京诺瓦信息技术有限公司
Maptitude GIS Free GIS Data
中国海外GIS协会 地学网站大观
金色阳光之软件工程与地理信息系统 同济大学道路与交通工程系
地理信息系统世界 土家风情
地理信息系统世界 新时空三维图形与虚拟现实俱乐部
北京科瑞斯特信息技术有限公司 北京大恒图象视觉有限公司
北师大《数字图象处理》教学网站 北大方正技术研究院GIS研究室
北海创讯网络科技有限公司 地图世界
北京市遥感信息研究所 北京华胜计算机公司
北京灵图软件技术有限公司 新图行天下软件有限公司
北京朝夕科技有限责任公司 城市通
地理信息系统论坛 地理信息系统进阶
地理信息系统世界 地理信息系统世界
地理信息系统情报站 东创软件工程有限公司
大连网络中心 富融科技有限公司
国家测绘局 国家遥感应用工程技术研究中心
国家资源环境空间数据库 广州丝路网络技术有限公司
杭州超图地理信息技术有限公司 杭州东信亿泰计算机信息技术有限公司
杭州飞时达电脑技术有限公司 杭州天丽计算机有限公司
鸿达科技有限公司 鸿业科技
江苏省测绘研究所

加拿大阿波罗科技集团北京办事处

吉林省天威信息工程有限公司 凯斯计算机软件开发中心
摩贝尔软件工作室 赛四达公司
上海市测绘院 上海久隆信息工程有限公司
深圳市雅都图形软件有限公司

深圳市依格计算机网络有限公司

深圳特发黎明信息技术有限公司 深圳信泰科技有限公司
数字地球 天津津科电子有限公司
同济大学测量系 卧龙居

武汉大学资源与环境科学学院远图开发室

武汉奥发软件工程有限公司
武汉吉奥信息工程技术有限公司 武汉适普软件有限公司
武汉中地信息工程有限公司 香港大学土地信息研究中心
厦门精图信息技术有限公司 中国国情网
GIS协会城市信息系统专业委员会 中国地图出版社
中国国家遥感中心 中国海外地理信息系统协会
中国科学院地理信息产业发展中心 中国科学院地理科学与资源研究所
中国科学院遥感应用研究所 中国科学院 香港中文大学地球信息科学联合实验室
中国科学院资源与环境信息系统国家重点实验室 中国林业科学研究院资源信息研究所
中科越秀信息技术有限公司 中日大洋集团
中国奔特力公司 GIS,RS,空间统计
环保蜗居 地理信息系统信息园
网上乐园 留真教学网站
数字生活 络屹天地
地理信息科学网 测绘世界
数字地球 数字广西
地理信息世界 地理信息园地
地理信息网 地理信息系统交通站
地理信息系统论坛 当当吧网络驿站
地理信息系统情报站 福州捷奥软件有限公司
南京吉美思地理信息技术有限公司 富融科技有限公司
适普软件有限公司 北京时空港
北京安图技术开发有限责任公司 北京百师科技发展有限公司
北京长地公司 北京利讯信息技术有限公司
北海创讯网络科技有限公司 遥感工程产业网
鸿业GIS/CAD 四川和讯
北京兰钛克电子工程技术有限公司 信息工程中心
北京慧图信息科技开发有限公司 上海四通摩天计算机系统工程有限公司
北京东方优泰科技有限公司 上海视博数码科技有限公司
GEOSTAR之家 乌鲁木齐菩提树软件技术有限公司
柏讯电脑顾问公司 集锐电子
大连大学计算机网络中心 福州特力惠电子有限公司
华利达科技 北京丰瑞宜科技发展有限公司
广州英迪实业有限公司 高宝电脑技术咨询有限公司
济南伟仕光电技术公司 深圳市雅都图形软件有限公司
MapInfo China 双狐数据库集成应用软件
上海杰科测绘系统有限公司 北京瑞兰德科技开发有限责任公司
贵阳思远软件开发有限公司 北京金广目信息技术股份有限公司
沈阳市金建城市地理信息有限公司 北京三森科技发展有限公司
嘉兴市正通网络有限责任公司 泰坦科技
珠海远方软件公司公司 加拿大阿波罗科技集团北京办事处
北京昕辰公司网站 吉林省天威信息工程有限公司
深圳市嵘兴实业发展有限公司 华东探测技术有限公司
企业地图 城市通
中国各省交通旅游地图 中国铁路通
广东省电子技术研究所 国家基础地理信息系统
中国矿产资源网 地理情报系统
北京商业地理信息系统 广州城市信息研究所有限公司
中国海外地理信息系统协会 水利部南京水文水资源研究所
中国科学院地理信息产业发展中心 国家无线电频谱管理研究所
逍遥游--南京农业大学光合室 台湾航空测量及遥感探测学会
黑龙江地理信息工程院 北京市测绘设计研究院

受科技部高新技术发展及产业化司和国家遥感中心委托,由中国地理信息系统协会和中国环境遥感学会、中国海外地理信息系统协会和863计划信息获取与处理技术主题专家组联合主办,地理信息系统测评中心和863计划信息获取与处理技术主题GIS及遥感总体组承办的2004年度国产地理信息系统和遥感数据处理软件测评工作已经结束。参加测评的GIS软件共51个,三分之一以上的软件是第一次参加测评,7个是在国外基础平台上开发的软件。遥感数据处理软件共9个。

经过近10年的努力,我国GIS软件的技术体系日趋完善。已经形成了基础平台软件、桌面软件、专业软件、应用软件等四个体系,分别针对不同应用目标和领域,为开发各类大中型GIS应用系统提供全面技术支持、为小型和轻便GIS应用提供技术支持、为综合性GIS工程提供特定的单项技术支持、为特定应用领域的GIS应用提供应用模板及其技术支持。

目前,我国GIS软件产业处于稳定发展的状态。国产软件在一年时间里又有了长足的进步,特别是大型基础平台软件产品研发进展良好,尤其是得到国家863计划支持的两个大型GIS基础平台软件表现突出,在市场和应用方面有了新的进展。这些产品已经成功完成了体系结构和空间数据库组织技术的概念转变,利用商用数据库实现了空间几何数据和属性数据的一体化存储,空间数据的操纵能力有了显著提高,在稳定性和结构上都有较大的改进,在技术上已经达到可以实用的程度,能够在应用中替代国外同类产品。除北京超图公司的SuperMap和武汉中地公司的MapGIS在海量空间数据管理方面成效显著以外,其它软件,如北京东方泰坦公司的“大型空间数据访问引擎”和中科院计算所的“虚拟空间数据库”也取得了长足的进展。

经初步统计,国产GIS软件在应用工程和服务市场的份额已占一半以上,已稳定占领空间数据加工生产行业和中小城市土地管理行业;在电力、通信行业,国产软件也占有超过半数的份额。与国外软件的竞争几乎扩展到所有领域。

本年度测评的技术难度较以前有了大幅度的提高,测评大纲进行了全面修订,测评范围更加全面,做法更加规范。测评使用的数据量也有了大的增加,总量达到35G,比去年增加了近30%。

特别值得指出的是,作为我国计算机软硬件研发力量顶级单位之一的中国科学院计算技术研究所,本年度派出4个GIS软件参加测评。这标志着我国IT主流开始关注与进入GIS行业,这无疑将为产业的发展注入新的活力。

下列GIS软件在功能、性能、解决实际工程能力和赶超先进技术等方面表现突出,在应用和市场方面表现良好,具有明显的竞争实力,予以表彰。


 

基础平台软件:

SuperMapGIS5.0(北京超图地理信息技术有限公司)

MapGIS7.0(武汉中地信息工程有限公司)

桌面软件:

SuperMap Deskpro(北京超图地理信息技术有限公司)

EzGIS2003(北京山海经纬信息技术有限公司)

专业软件:

数字制图系统EzMap2003(北京山海经纬信息技术有限公司)

WEBGIS软件SuperMapIS(北京超图地理信息技术有限公司)

嵌入式地理信息系统软件Sm@rtGuider3.1(北京灵图软件技术有限公司)

GIS前端数据采集软件CitoMap(北京威远图数据开发有限公司)

WEBGIS软件地网GeoBeans 5.5(北京中遥地网信息技术有限公司)

数字测图系统RDMS5.5(武汉瑞得信息工程有限责任公司)

 

嵌入式地理信息系统开发平台eSuperMap(北京超图地理

信息技术有限公司)

嵌入式地理信息系统开发平台eSuperMap(北京超图地理

信息技术有限公司)

三维可视化地理信息系统VRMap3.0(北京灵图软件技术有限

公司)

数字地图智能化编辑与印前处理工作站MappingStar V3.0

  (解放军信息工程大学测绘学院)

空间数据管理与服务系统EzSpatial 1.0

  (北京山海经纬信息技术有限公司)

图示符号编辑软件SymbolTool(中国科学院计算技术研究

所)

应用软件:

水土保持辅助规划设计软件RegionManager5.0

  (北京地拓科技发展有限责任公司)

理正水资源管理信息系统(北京理正人信息技术有限公司)

土地管理信息系统SuperMap LIS(北京超图地理信息技术有限公司)

MAPGIS县(市)级土地利用规划信息系统(武汉中地数码科技有限公司)

无线市话综合管理系统CellMIMS

  (武汉中地数码科技有限公司 杭州UT斯达康公司

GPS位置服务系统Sm@rtGPS3.1

  (北京灵图软件技术有限公司)

城乡一体化地籍信息系统

  (武汉瑞得信息工程有限责任公司)

国民经济动员管理信息系统专用平台

  (厦门精图信息技术有限公司)

数字化地形地籍成图系统 CASS6.0

  (南方测绘仪器有限公司)

煤矿地测空间管理信息系统(北京龙软科技发展有限公司)

 

考虑到北京地拓科技发展有限责任公司开发的“水土保持辅助规划设计软件RegionManager5.0”在测评中成绩优秀,在对我国水土保持的合理规划与利用中做出重要贡献,测评专家委员会决定授予该软件特别表彰奖。

遥感软件测评虽然只开展了两年,也已进入了规范化阶段。本年度继续将实用性、稳定性和可用性作为重点,强调软件的商品化和产业发展水平,注重软件的二次开发和应用集成支持能力,鼓励行业应用开发平台参评。特别是强调大数据量处理,测评难度有了较大的提高。本次软件测评使用的测试数据超过34GB。经过努力,国产遥感基础软件的功能较齐全,运行基本稳定,速度较快,具有较强的大数据量处理能力,有较好的可用性;有的软件具备较强的图像复原功能,有的软件可自定义工作流模板并自动运行,有的软件可以实现DRG的高效、自动纠正,具有较强的制图功能,并配有相应的符号库等功能。成像雷达数据处理软件的数据处理功能丰富;差分干涉处理、极化分类及正射纠正功能较强;还能针对不同地物类型和不同参数进行后向散射系数模拟,能提取较多极化信息参量。影像压缩软件在压缩质量上与同类压缩软件比较有一定的优势。遥感定量反演系统软件具有了从MODIS数据反演大气和地表物理参数等功能,遥感影像群判读系统在网络环境下初步实现多客户端任务分工完成影像的处理和判读等功能。数字地图更新的原型系统应用软件针对城市道路和建筑物的变化检测具有一定自动化批量处理能力。

经测评专家组认真讨论,下列遥感数据处理软件表现突出,予以表彰。

基础平台:

泰坦遥感图像处理软件V6.0(北京东方泰坦科技有限公司)

遥感图像处理软件IRSA6.1(中国科学院遥感应用研究所,国家遥感应用工程技术研究中心)

遥感数据处理系统CASMImageinfo中国测绘科学研究院中国测绘技术北京公司)

专业软件:

成像雷达遥感信息处理应用软件SARINFORS1.0(中国林业科学研究院资源信息研究所,北京大学GIS与遥感研究所,清华大学电子工程系,中国科学院计算机技术研究所)

艾亚影像压缩工具(北京捷泰科技有限公司)

通用雷达分析计算平台GRACE1.0(中国科学院遥感应用研究所)

 GIS软件与遥感处理软件的测评表明,对软件进行“科学、客观、公正”的测评,对表现优秀的软件予以表彰,不仅可以客观地评价软件的水平,有利于帮助优秀软件扩大市场知名度,而且可以促进技术的交流与发展,有效地推动技术与产业的发展。我们相信,只要坚持走“以用立业”的道路,走技术创新和跨越的道路,坚持产业化方向,我国GIS软件和遥感处理软件的水平一定可以在技术创新过程中不断提高,我国的空间信息软件产业一定可以在市场竞争中发展壮大。

我国GIS产业无论软件还是应用系统都有很大的发展。GIS发展的最大特点是国产GIS软件的不断创新和成熟、应用面的拓展以及与其他信息技术的融合和应用普及。GIS已经融入IT主流,成为IT技术的重要组成部分。我国GIS产业无论软件还是应用系统都有很大的发展。

1.技术创新
  信息技术已经成为新经济的重要驱动力。不断创新是信息技术发展的共同特点,地理信息技术在近十年里不断创新和发展,新一代地理信息技术正在形成,其应用和市场将会更加广阔。

  新一代地理信息技术主要以组件式GIS、Internet GIS和嵌入式GIS等软件为代表。国际上诸多GIS专业软件公司,都在着手和投入新一代GIS技术研究、开发和市场争夺。

(1)组件式GIS技术
  组件式软件技术已经成为当今软件技术的潮流之一,基于组件技术进行开发(Component-Based Development,简称CBD)是软件开发的一次革命。所谓组件式GIS,是指基于组件对象平台,以一组具有某种标准通信接口的、允许跨语言应用的组件提供的GIS。这种组件称为GIS组件,GIS组件之间以及GIS组件与其他组件之间可以通过标准的通信接口实现交互,这种交互甚至可以跨计算机实现。组件式GIS具有二次开发方便、易于集成、无限扩展等特点。组件式GIS软件平台带来了GIS应用系统开发方式的变革,有利于提高二次开发的效率,增强GIS系统中各子系统之间的集成度,便于与其他信息系统集成,为其他信息系统提供地理信息处理功能。

  国际上许多大型GIS软件商在90年代中期开展组件式GIS软件的开发,如ESRI的MapObjects,MapInfo的MapX等,都属于组件式GIS软件产品。由于这些大型GIS公司在早期的传统GIS发展方面,无论是市场还是技术都有着沉重的负担,所以它们所开发的组件式GIS软件功能有限,只能应用于数据浏览和简单系统的集成。我国在组件式GIS的研究、开发方面几乎与国际同步,北京超图公司、北京朝夕公司等是国内最早开展组件式GIS软件开发的公司。北京超图公司于2001年推出了大型全组件式GIS软件SuperMap Ⅲ,提供了功能最为强大的组件式GIS开发平台。北京朝夕公司推出的组件式GIS软件MapEngine也得到很大的提升,北京惠图公司推出了TopoMap组件式GIS软件,武汉中地和武汉吉奥等公司也开发了新的组件式软件产品。 组件式GIS的推出为其他信息系统与GIS的集成提供了新的技术解决方案,可以使办公自动化等其他信息系统实现与地理空间信息的一体化,提高了信息系统的效益。

(2)Internet GIS技术
  Internet GIS技术无疑是90年代以来GIS发展的热点,众多的厂商纷纷推出了Internet GIS产品和解决方案,抢占市场。Internet GIS是基于Internet发展起来的新型GIS技术,是在Internet平台上实现地理信息发布和空间应用的解决方案。随着Internet的迅猛发展,Internet GIS的应用需求剧增,其应用面也非常广泛。通过Internet GIS 不仅可以进行空间数据发布,为电子商务等应用提供服务平台,同时也可以为手持设备、车载设备等嵌入式设备和其它移动设备提供地理信息应用服务。

  Internet GIS技术包括服务器端和客户端两部分内容,如空间信息服务器软件,服务器配置与管理软件,客户端浏览插件以及应用程序开发接口等。Internet GIS是未来构建数字城市和信息服务的重要基础平台和手段。

  我国Internet GIS发展迅速,软件产品较多,如北京超图公司的SuperMap IS,国家遥感应用工程技术研究中心的地网GeoBeans等,以及武汉中地、武汉吉奥等都有产品推出。

(3)嵌入式GIS技术
  嵌入式GIS软件是可以运行在嵌入式计算机系统上高度浓缩、高度精简的GIS软件系统。嵌入式计算机系统是隐藏在各种装置、产品和系统(如掌上电脑、机顶盒、车载盒、手机等信息电器)之中的一种软硬件高度专业化的特定计算机系统,是计算机技术发展到后PC时代或信息电器时代的产物。典型的嵌入式GIS应用由嵌入式硬件系统、嵌入式操作系统和嵌入式GIS软件组成。

  目前,大多数GIS厂家推出的嵌入式GIS产品都是针对具体硬件和具体操作系统的地图显示工具,北京超图公司2001年推出的eSuperMap嵌入式GIS软件就是这样的产品。这一产品定义了可移植地图文件PMF(potable map file),该文件结构紧缩,可以向其他操作系统移植,应用非常方便。这一软件可以应用于特定的计算机系统,如掌上电脑、手持电脑、机顶盒、车载盒、手机系统中。操作系统也可以多样化,如Palm OS、Windows CE、Linux、DOS和Hopen (科学院软件所—女娲计划)等。该软件2001年向日本出口数百套,用于汽车导航设备的应用开发。

  与传统GIS技术相比较,新一代GIS技术采用了新的软件技术体系,具有跨平台、开发性好、易集成、易渗透和融合性好等特点,而且价格低,为地理信息技术融入其它信息技术提供了良好的技术基础。

2. 软件发展 
  我国GIS软件在近五年里有了长足的发展,主要表现在多个基础性GIS软件产品的不断成熟和市场占有率的提高。我国GIS软件研制早期主要是在国家有关部门推动下进行的,进入21世纪,逐步走向市场运作,同时国家予以大力扶植,一批GIS软件企业在市场搏杀中脱颖而出,我国的地理信息系统产业初步形成。

  2001年是我国GIS软件快速发展的一年, GIS软件技术及产品取得了长足的进步。根据2001年国家科技部统计,微机系列的GIS应用软件中国产软件已经超过了进口软件的数量。同时,新购买的GIS软件国内外产品的比例为58:42。

  在由国家科技部遥感中心组织的2001年度国产GIS软件测评中,共有43个GIS软件参加了本年度的测评,其中21个软件在测评中表现优秀,在技术和市场上具有明显竞争力。这次测评表明,在大数据量空间分析、路径分析方面,国产GIS软件的算法较国外优秀软件更为合理,明显优于国外软件;在最短路径分析方面,国产软件的结果更优;在数据采集、DEM制作和数字正射地图制作、工程图出版等方面,国产软件基本上占领了国内市场。

  同时,自主版权GIS软件也正在走向出口。如方正数码向美国能源领域最大的安全监控设备提供商RAE公司出口了具有自主知识产权的国产英文版GIS软件-智绘组件及应用软件1000多套。北京超图公司向日本出口数百套嵌入式GIS软件eSuperMap,用于汽车导航等应用。此外,该公司的SuperMap软件系列在日本、香港、台湾等地销售近百套。

  GIS在IT中发挥的作用越来越大,我国主要自主版权GIS软件销售和技术服务产值2000年为 2.5亿元,带动产业13亿元,2001年整个GIS软件市场超过5亿元。图1是根据有关资料对我国2005年GIS市场的预测。


二、GIS应用分析与市场走向
  进入21世纪,GIS应用将更加广泛更加普及。过去GIS被认为非常专业性的技术,今天这一技术已经拓展到几乎所有的信息领域。

1. 政府GIS应用

  我国GIS在各行业上的应用体现出一定的规律性: 

  我国GIS应用最早的领域是测绘、资源监测、环保、林业等领域,但是早期主要以研究和试验性应用为主。

  规模性的GIS应用始于90年代初期,主要以城市管理为主,建设了一批城市规划和土地管理信息系统并投入运行。 

  到90年代末期,GIS应用拓展到设施管理(管线、电力、电信、自来水、煤气等)、交通、农业、军事等多个行业。

  进入21世纪, GIS进入商业、旅游和大众信息服务等行业,其最大的特点是GIS与通信、互联网、办公自动化等技术结合,为数字城市和数字政府建设,以及信息服务提供GIS支持。GIS已经融入IT的主流,成为信息技术中一个举足轻重的领域。 

  GIS的应用发展趋势预示着GIS将成为自动化控制工具之一。

  进入21世纪,尽管GIS应用得到推广和普及,各个行业在一定程度上采用GIS技术以解决其有关信息的处理和应用问题,然而政府部门仍是我国GIS应用的主体,仍是GIS应用的主要投资者和运行部门。

  政府部门GIS应用可以划分为许多分支,如土地管理、交通管理(包括铁路GIS)、城市规划、房产管理、环境保护、农业、林业,以及军事GIS等。

  2001年政府GIS应用得以深入与加强,最为重要的原因是国务院下发了13号文件和国家地理空间信息协调委员会的召开。国家计划委员会根据国务院文件精神,下半年召开了国家地理空间信息协调委员会工作会议,来自全国各省市计委和测绘系统的主要负责人和有关专家参加了会议。国家计划委员会副主任刘江在大会上提出了十五期间我国基础地理信息建设的三大任务,抓好信息标准化建设,建设国家级数据交换中心和具有自主知识的软件和数据库建设。这次会议对于推动我国政府部门GIS建设和基础数据库建设具有重要意义。

  2001年政府部门的GIS应用非常之多,国土资源部的数字国土工程的启动和建设部的数字城市建设,以及有关省区的数字省区建设是其中的热点。

  由于国土资源部业务的要求,每年需要对各省区的土地面积进行统计分析。在业务的驱动下,国土资源部信息中心启动了国土资源数据交换平台的建设,要求各省区的土地数据能够进行交换和集成,有利于国家有关部门的宏观管理。而且,有近百个县市启动了土地资源信息系统和城镇地籍信息系统。

  数字城市建设也是热点之一,2001年9月份在广州召开了数字城市研讨会,来自100多个城市的市长和代表对数字城市建设表示了极大的热情。随着数字城市和电子政务的建设,GIS发挥的作用更加重要,将为城市基础设施、物流、人流、能量流以及信息流的管理提供支撑平台。

  建设部有关专家认为,我国城市经济实力的增强和城市化进程的加快,使城市管理面临“数字化”的重大转变,城市建设的信息化投资将提供一个稳定的、巨大的产业空间。

  据有关部门预测,2005年我国城市化水平将达到35%,2010年将达到40%,2020年将达到50%至52%左右。提高城市的管理质量和快速应变能力,有赖于城市数字化工程研究成果的应用和支撑。根据对有关行业应用的需求预测,城市规划行政管理部门在业务流程管理中全部或部分采用了GIS的用户大约在100个左右。“十五”期间预计投资额将达22.5亿元。如果再包括地下管理系统、工程项目管理系统、房地产交易与权属管理系统、房屋置换系统、数字社区建设、企业信息化建设等,将会形成巨大的投资市场。同时,也必将带动更多的数字化产品的研制、生产并投入使用,产生更大的社会和经济效益。

  水利、林业和农业GIS也在启动之中,特别是水利GIS建设取得了初步成绩,水利部遥感中心主办的GIS培训班,有数百人参加培训,并逐步形成行业应用。

  GIS工程的大型化也是政府GIS的发展特点之一,千万级的系统建设已经屡见不鲜。如福建省提出了建设数字福建的计划,投资10亿人民币,GIS系统预计超过亿元。杭州房地产信息系统投资也超过千万元。预计今后将建设更多的大型GIS业务系统。

2. 企业GIS与大众化GIS应用
  企业GIS应用发展迅速,在设施管理方面,GIS应用取得了成功。2001年企业GIS应用的最大特点要算是电信GIS的启动。GIS在电信业的应用非常广泛,如移动通信中的机站选址,系统管理与维护以及资源管理等。中国电信、网通等多家公司启动了电信资源管理信息系统。深圳深大电信公司的GIS系统启动,全国有线电视主干网管理信息系统成功建设并投入应用和广州宽带网络信息系统建设和投入运行,都标志着电信GIS进入了新的发展时期。电信领域的GIS应用刚刚处于起步阶段,预示着广阔的发展前景。

  企业GIS应用正处于发展阶段,大型企业GIS应用,如沈阳飞机制造集团有限公司的企业设施管理信息系统的建设与投入运行,多家物流公司的企业GIS建设,新时代公司利用Internet GIS建设的对汽车的监控等等,为企业GIS建设和运行提供了经验。

  将GIS应用在许多新领域也是2001年企业GIS发展的一个特征,如GIS在基于位置的信息服务(LBS)和CRM中都有建树。在上海召开的亚太经合组织(APEC)第九次领导人非正式会议,采用由方正数码有限公司参与开发的LBS(基于位置的信息服务)地理空间信息服务,为本次APEC会议参加者提供了真实地电子地图查询、定位服务,增加了与会者自由活动的空间,减轻了会议组织工作的负担,提高了工作效率。

  大众化GIS应用,主要体现在网络GIS的应用和各类型的普及型城市GIS CD-ROM的出版发行方面。我国网络GIS发展较慢,关键问题是空间数据来源没有可靠的保证以及受到网络经济的影响,前几年发展起来的众多网络GIS基本处于停顿阶段。上海ChinaQuest曾经是国内网络GIS的重要企业,由于种种原因,目前处于停滞不前的状况。现阶段尚有北京的Go2Map等公司还在良好的运作,为大众提供网上电子地图和位置查询。

  另外一类大众化GIS产品是城市GIS CD-ROM,如中国地图出版社出版的《北京通》,价格便宜,发行了数万份。广州中科越秀信息有限公司出版的《香港之窗》、《广州之窗》等普及型GIS产品。目前,国内有多个城市正在着手类似的产品开发,如福州之窗、宁波之窗等都在开发之中。这类产品集软件、数据和基本应用于一体,提供了大众化GIS应用,在一定程度上推动了GIS的发展和普及。

  GIS正在从专业技术领域走向社会化地理信息服务。GIS将与网络、通信和计算机相关的平台结合,为需要地理位置信息者提供服务,并且渗透到其他技术之中。地理信息技术应用的新特点主要有以下两个方面。一是专业应用,二是信息服务。

  传统GIS应用系统往往是以地图为核心,把空间信息作为一种专业信息来处理,而其它专业信息往往由其它的应用系统处理和完成。然而在大多数的应用中,空间信息只是业务系统的辅助部分,如多数应用部门的办公自动化系统(OA)和各种管理信息系统(MIS),空间信息只是其信息的一部分。以组件式GIS、Internet GIS和嵌入式GIS为代表的新一代GIS技术的发展,融入这些业务系统之中,为业务系统提供了空间信息服务,而无需建立庞大的专业GIS系统。如电信业务,在收费系统中增加GIS功能,可以确定用户位置,提高收费率。在客户关系管理系统(CRM)中,嵌入GIS功能,可以增加客户和销售网点的位置信息,无疑将对于商业布局策略的制定和客户服务起到重要的提升作用。

  另外一类信息服务,往往与通信业务相关,也属于CTI(计算机电话集成)的范畴。目前基于位置的服务LBS(Location-based Services)已经成为地理信息服务的热点之一,可以通过多种平台,如手机、掌上电脑、移动电子设备等获取位置信息,满足业务和生活服务的需要。如派送系统完全可以通过移动电子设备,确定目的地,快速完成业务,提高综合效率。LBS的应用非常广泛,在美国和加拿大等已经发展成为一门专业行业,各大GIS厂商正在努力开拓这一业务,其成长发展空间充满着无限希望。

2005年03月25日

摘要:FTP作为一种简单快速的文件共享方法, 在许多企业内部得到使用. 当用户访问一个需要验证的FTP站点时, 发现即使输入正确的用户名与密码也无法登录. 本文从五个方面讲述该问题的排解方法:
1.FTP 站点权限设置
2.NTFS权限设置
3.用户权利设置
4.用户名的输入方法
5.FTP对用户名密码的限制

关键字:FTP 验证 权限 无法登录

适读人群:IT管理员,FTP用户


FTP作为一种简单便捷的文件共享方法,在许多企业内部得到使用。若启用FTP的验证控制,管理员更可对不同的用户设置不同的访问权限,控制用户对特定内容的访问。IIS中的FTP站点只有一种验证方式,即基本验证。因基本验证的密码采用明码传输,用户在启用这种验证方式时需注意安全性问题。本文将对采用基本验证的FTP服务器用户登录出错问题进行讨论。

一般FTP站点建立以后,只需做简单的配置,用户即可登录访问。但有时当管理员完成FTP服务器的配置后,用户登录该FTP站点时,却发现其用户名与密码无法登录,一般会出现下面的错误提示框。




这种现象一般由以下五个方面的原因导致:

1.FTP 站点权限设置
2.NTFS权限设置
3.用户权利设置
4.输入完整的用户名
5.FTP对用户密码的限制

下面将对五个原因进行详细讲解。

一.FTP 站点权限设置

FTP服务器具有灵活的目录访问控制,它可限制用户对站点或目录的读、写权限,此外它还可根据客户端IP地址进行访问控制。若站点或目录没有赋予用户读的权限,或用户的IP地址被拒绝,则会出现无法登录的错误信息。

这种情况的解决方法如下:

1.打开IIS管理控制台:开始->程序->管理工具->Internet服务管理器

2.右键选择FTP站点或虚拟目录属性,在主目录或虚拟目录属性页中,选择读取及写入选项。

3.单击目录安全性属性页,选择授权访问,并确认客户端的IP地址不在拒绝之列。

二.NTFS权限设置

FTP服务器可以利用Windows操作系统中的文件或文件夹的NTFS权限属性来控制用户访问,因此一个用户若需访问某个FTP站点或目录,则其必须对该物理目录有至少读的权限。

文件或文件夹的NTFS权限属性具体的设置方法为:

打开 Windows资源管理器 ,找到FTP站点或虚拟目录所对应的物理目录,右键点击属性,选择安全性 ,赋给该FTP用户相应的NTFS权限(读取,写入)。

三.用户权利设置

因FTP采用基本验证方式,所以基本验证的用户权利要求也适用于FTP验证。基本验证方式要求访问的用户对目标主机具有从网络访问此计算机和在本地登录两种权限。这两种权限需要在安全策略中设置。在Windows2000中,存在三种安全策略:域安全策略,本地安全策略,域控制器安全策略,它们的优先级为:域控制器安全策略、域安全策略、本地安全策略。在设置安全策略时需注意有效的策略中允许用户从网络访问此计算机和在本地登录两种权限。

配置方法为:

如果FTP服务器安装在域控制器上,则由于域控制器安全策略的策略设置优先级最高,因此我们在域控制器安全策略中进行策略更改(为减少安全隐患,强烈建议用户不要在域控制器上建立FTP站点):

开始->程序->管理工具->域控制器安全策略

如果FTP服务器不是域控制器(DC),则由于一般域安全策略中不会对用户权限进行设置,因此本地安全策略中的设置也可生效:

开始->程序->管理工具->本地安全策略

双击展开本地策略,双击展开用户权利指派,在从网络访问此计算机和在本地登录中检查该FTP用户是否已具有该权限,否则,添加该FTP用户。

如果安全策略配置有改动,可用以下命令手动刷新策略配置,使其立即失效:

secedit /refreshpolicy machine_policy /enforce。

四.用户名的输入方法
基本验证要求用户输入完整的用户名。如果登录的用户是域用户,需在验证窗口中,输入domain_name\user_name,password。,即用户名中需要包括域名;如果登录的用户是本地SAM用户,则输入user_name,password即可。

五.FTP对用户名密码的限制
FTP对用户名密码有一定的限制,若密码以空格符开头或包含特殊字符的,如@ # $ %等,则该用户无法登录FTP站点。此时可以首先修改密码,再做测试。

2005年03月23日

 目前,WIN2000 SERVER是比较流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事。本文试图对win2000 SERVER的安全配置进行初步的探讨。 

  一、定制自己的WIN2000 SERVER:  

  1.版本的选择:Win2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)  

  2.组件的定制: 

  Win2000在默认情况下会安装一些常用的组件,但是正是这个默认安装是极度危险的(米特尼科说过,他可以进入任何一台默认安装的服务器,我虽然不敢这么说,不过如果你的主机是Win2000 SERVER的默认安装,我可以告诉你,你死定了)  

  你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。  

  典型的WEB服务器需要的最小组件选择是:只安装IIS的Com Files,IIS Snap-In,WWW Server组件。如果你确实需要安装其他组件,请慎重,特别是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。  

  3.管理应用程序的选择:  

  选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需要。

  Win2000的Terminal Service是基于RDP(远程桌面协议)的远程控制软件,他的速度快,操作方便,比较适合用来进行常规操作。  

  但是,Terminal Service也有其不足之处,由于它使用的是虚拟桌面,再加上微软编程的不严谨,当你使用Terminal Service进行安装软件或重起服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如:使用Terminal Service重起微软的认证服务器(Compaq, IBM等)可能会直接关机。

  所以,为了安全起见,我建议你再配备一个远程控制软件作为辅助,和Terminal Service互补,象PcAnyWhere就是一个不错的选择。  

  二、正确安装WIN2000 SERVER:  

  1.分区和逻辑盘的分配,有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的软件都装在C驱上,这是很不好的,建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。  

  推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。  

  要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。(这个可能会导致程序开发人员和编辑的苦恼,管他呢,反正你是管理员)  

  2.安装顺序的选择:  

  不要觉得:顺序有什么重要?只要安装好了,怎么装都可以的。  

  错!win2000在安装中有几个顺序是一定要注意的:  

  首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。  

  其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装

  三、安全配置WIN2000 SERVER:  

  即使正确的安装了WIN2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。  

  1.端口:  

  端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。  

  2.IIS:  

  IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来:   

  首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;  

  其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除(罪恶之源呀,忘了http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了?我们虽然已经把Inetpub从系统盘挪出来了,但是还是小心为上),如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)  

  3: 应用程序配置:  

  在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。  

  什么?找不到在哪里删?  

  在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。  

  为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。  

  最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。   

  4.账号安全:  

  Win2000的账号安全是另一个重点,首先,Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,

  实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:  

  0:None. Rely on default permissions(无,取决于默认的权限)  

  1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享) 

  2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)  

  0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输 NetServerTransportEnum等等,对服务器来说这样的设置非常危险。  

  1 这个值是只允许非NULL用户存取SAM账号信息和共享信息。  

  2 这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。 好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了……  

  慢着,至少还有一个账户是可以跑密码的,这就是系统内建的administrator,怎么办?我改改改,在计算机管理->用户账号中右击administrator然后改名,改成什么随便你,只要能记得就行了。

  不对不对,我都已经改了用户名了,怎么还是有人跑我管理员的密码?幸好我的密码够长,但是这也不是办法呀?嗯,那肯定是在本地或者Terminal Service的登录界面看到的,好吧,我们再来把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\winlogon项中的Don’t Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。  

  将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon项中的Don‘t Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。  

  5.安全日志:  

  我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:  

  账户管理 成功 失败  

  登录事件 成功 失败  

  对象访问 失败  

  策略更改 成功 失败 

  特权使用 失败  

  系统事件 成功 失败  

  目录服务访问 失败  

  账户登录事件 成功 失败  

  审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。   

  与之相关的是:  

  在账户策略->密码策略中设定:  

  密码复杂性要求 启用  

  密码长度最小值 6位  

  强制密码历史 5次  

  最长存留期 30天  

  在账户策略->账户锁定策略中设定:  

  账户锁定 3次错误登录 

  锁定时间 20分钟  

  复位锁定计数 20分钟   

  同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。   

  6.目录和文件权限:   

   为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。  

  在进行权限控制时,请记住以下几个原则:  

  1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;  

  2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;  

  3>文件权限比文件夹权限高(这个不用解释了吧?)  

  4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;  

  5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;   

  7:预防DoS:  

  在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击  

  SynAttackProtect REG_DWORD 2  

  EnablePMTUDiscovery REG_DWORD 0  

  NoNameReleaseOnDemand REG_DWORD 1  

  EnableDeadGWDetect REG_DWORD 0  

  KeepAliveTime REG_DWORD 300,000  

  PerformRouterDiscovery REG_DWORD 0  

  EnableICMPRedirects REG_DWORD 0   

  ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,win2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形(微软真是的,什么都要做?听说最近又要做防火墙了)在这个工具中,我们可以轻易的定义输入输出包过滤器,例如,设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

  四、需要注意的一些事:  

  实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用而不是做OPEN HACK的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这其中有个误区:我们只能说一台主机在一定的情况一定的时间上是安全的,随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。