控制服务器范文

控制服务器范文（精选11篇）

控制服务器 第1篇

关键词：SIP,SIP代理服务器,软交换,呼叫控制

1 前言

随着VoIP技术的成熟，数据网络通信已经融入传统的话音业务领域。软交换是从VoIP技术发展而来的，它把呼叫控制功能从媒体网关(传输层)中分离出来，通过服务器上的软件实现呼叫控制功能，从而把呼叫传输和呼叫控制分离，为控制、交换和软件可编程功能建立分离的平面[1]。

SIP(Session Initiation Protocol,会话初始化协议)协议是由IETF提出的一种开放的IP电话信令协议，是属于开放式VoIP体系结构的标准。SIP协议的出发点是以现有的Internet为基础来构建IP电话业务网，具有简单、扩展性好、同Internet结合紧密等特点。SIP是一个分散式的协议，它将网络设备的复杂性推向网络边缘，它借鉴了HTTP的设计思想和体系结构。SIP是基于文本的应用层协议，用于控制会话的创建、修改和终结。会话者可以是两方或多方;会话的类型可包括IP电话、多媒体通信、多媒体信息分发等多种形式[2]。

由于SIP协议本身仅涉及到基本的呼叫建立过程，并不能满足企业级用户对使用的便利性、智能性和安全性的要求。本文根据这种需求，首先设计了一个适合中小企业进行IP通话的SIP代理服务器，并在SIP代理服务器的基础上新增了最优路径选择、使用权限控制、访问控制和呼入号码校验等智能呼叫控制功能，满足了企业用户间的透明访问、使用权限控制和访问控制功能。

2 SIP代理服务器

SIP中有客户机和服务器之分。客户机是指为了向服务器发送请求而与服务器建立连接的应用程序。服务器是用于向客户机发来的请求提供服务并回送应答的应用程序。SIP IP电话系统的呼叫路由过程是由用户代理、代理服务器、注册服务器共同协调完成的。其中用户代理用于发起和接收呼叫，属于客户端。代理服务器负责对呼叫请求和响应消息进行转发，注册服务器接受用户代理的注册请求并更新定位服务器中用户的地址映射信息。

本代理服务器被设计为面向中小电信运营商或企业用户，可以把代理服务器和注册服务器集中在一起，本文统称为SIP代理服务器。SIP协议具有层次结构的特性，根据这一特性，在设计时采用模块化的设计思想，将SIP协议的主要实体和功能分为注册模块、定位模块、认证模块、转发模块、应答模块、消息解析模块和传输控制模块来实现。同时考虑到协议拓展，控制的灵活和实现的便利，在设计时并没有完全按照协议的层次结构来实现。模块的结构图如图1所示。

各模块功能如下：

用户事件处理模块：从用户终端和配置文件中得到用户输入信息。用户可以在终端中完成用户信息、路由信息、权限控制、呼入控制等的管理。

事件列表处理模块:把从配置文件中解析的操作加入动作链表中,当有数据包经过时,依次对数据包完成链表中的操作。

注册模块:处理SIP用户代理的注册请求,当满足注册条件时,将用户代理的注册信息存入数据库相应的表中。

认证模块：认证模块验证请求发起者的身份合法性。

定位模块:检查请求的目的地是否在本服务器所管辖的范围内,如在,则返回对应的SIP URI地址。

转发模块:当转发目的地不是本机的数据包,把它送往离目的地更近的下一站。

应答模块：响应应答请求。

智能呼叫控制模块:提供最佳路径选择,通话权限控制,呼入控制,呼入号码校验等服务。

消息解析模块:将原始的数据包解析为相应的数据结构,供上层函数调用。

传输控制模块：控制数据包的接受和发送，调用网络套节字来完成。

除了智能呼叫控制模块外，其他模块在一般的代理服务器中都有实现，本文不再赘述。下面详细介绍智能呼叫控制模块。

3 智能呼叫控制

呼叫控制功能是软交换的重要功能之一，它完成基本呼叫的建立、维持和释放。提供的控制功能，包括呼叫处理、连接控制、智能呼叫触发检出和资源控制等，可以说是整个系统的灵魂。智能呼叫控制是在一般呼叫控制的基础上，提供最佳通话路径选择，通话权限控制，呼入身份控制，呼入号码检验等智能功能。这些功能由数据库中的四个表来控制，它们分别是呼叫路由表，通话权限表，服务器许可表，资源分配表。

3.1 呼叫控制服务的设计

呼叫路由表能为服务器提供最佳通话路径选择服务。服务器能根据呼叫路由表自动地为通话选择最经济的路径，它还能根据需要，对路由地址信息进行修改，删除，插入操作。如表1所示：

sip_from和sip_to:这里的sip_from和sip_to是指运用这些规则的起始和终止号码，用这两个域作为检查请求的依据。length_max和length_min：是指智能呼叫控制服务器能接受sip_from域和sip_to域的最小和最大长度，默认的最小长度为1，最大长度为20。callinsert：智能呼叫控制服务器根据sip_from和sip_to这两个域来检查请求，并根据规则需要，在服务器转发数据包之前，重新构建Request-URI，在URI插入此项所填的字段。calldel：智能呼叫控制服务器根据sip_from和sip_to这两个域来检查请求，并根据规则需要，在服务器转发数据包之前，重新构建RequestURI，删除URI地址中此项字段个位数的地址。destination：是指Request-URI中的SIP地址的域名部分。当SIP地址的用户部分在sip_from和sip_to所限制的范围内时，把Request-URI中的SIP地址的域名部分改写为此项所填的地址，这就对SIP的路由进行了选择。

通话权限表实现对本系统使用者通话权限的管理。本系统有且仅有一名系统管理员,即超级用户,拥有系统所有级别的通话权限，并能够将自身的权限有选择的赋予其他使用者。它提供两种操作模式：允许，禁止。如表2所示。

username:是这条规则使用者的名字，这里的名字是From头域中SIP URI中的用户名部分,它表示由这个用户发出的请求。sip_from和sip_to:是指这个用户所允许拨打的SIP地址的起始和终止号码，也就是通话权限的地址范围。默认值是0和0，表示无权限。domain:表明只有在此域的用户才拥有该权限。

服务器许可表管理其它SIP代理服务器访问本系统的权限。系统管理员将允许访问本服务器的代理服务器资料在系统初始化时生成并存入数据库。系统管理员根据需要添加、删除允许访问本服务器的代理服务器地址。当在此表允许范围外的其它代理服务器试图访问本服务器时，系统会认为此访问是非安全的，会丢弃此请求，从而保护了本服务器不受非授权服务器的干扰。如表3所示。

name：是指SIP代理服务器的名字。它提醒系统管理员此服务器来自何处，便于记忆。这个名字同样也用于呼叫路由表中的目的地字段。当SIP呼叫请求在呼叫路由表中查到所对应的目的地名字时，就会在服务器许可表中将此名字转换为相应的服务器地址。domain:表明本服务器所管辖的域名地址。proxy_acc：是指允许访问本服务器的SIP服务器地址值，可以表示为服务器域名或IP地址的形式。

资源分配表为用户提供灵活、方便的资源配置接口，它使用户能根据自身需要定制相应参数。当资源分配完毕，系统根据此表来检查通话所使用SIP地址的合法性，并根据此表判断通话为呼入或呼出请求。如表4所示。

trunk group:它是为IP-PBX预留的接口。表示包含此号码的通话从普通电话机拨出。operator:指赋予管理员权限的用户ID。

3.2 智能呼叫控制服务的流程

以下从呼入请求和呼出请求这两个方面来谈谈智能呼叫控制服务的流程。

3.2.1 呼入流程

呼入是指隶属于其它SIP代理服务器的用户访问本系统所管辖的用户的过程。步骤如下：

1)从SIP封包中头域的From字段提取出封包来源的域名信息。

2)根据此域名在服务器许可表中查找服务器地址字段(查询条件为：呼叫发起者域名=服务器许可表.proxy_acc)，如表中存在与此域名相同的项则将此数据包转到下一个处理单元。如不存在，表明此SIP封包来自于本服务器未授权的地址，丢弃此SIP封包，返回一个403(禁止访问)并跳过后续步骤。

3)从SIP封包中头域的To字段提取出封包访问SIP号码值。

4)根据To字段号码值在资源分配表中查找ext_begin和ext_end字段，如果它落在资源分配表ext_begin和ext_end字段的范围内，则表明要访问的话机隶属于本服务器，将此数据包原样返回。如不存在，表明要访问的话机没有注册到本服务器，丢弃此SIP封包，返回一个403(禁止访问)并跳过后续步骤。

3.2.2 呼出流程

呼出是指注册在本服务器上的话机发出访问请求的情况，处理过程如下：

1)从SIP封包中头域的From字段提取出封包来源的用户名。

2)从SIP封包中头域的To字段提取出封包访问的号码。

3)根据To字段的号码在资源分配表中查找ext_begin和ext_end地址字段，如果此号码没有落在资源分配表ext_begin和ext_end字段的范围内，则表明要访问的话机没有注册到本服务器上，将此数据包转到下一个处理单元。如在这个范围内，表明要访问的话机注册在同一服务器上，这是隶属于同一服务器的用户之间的通话，返回原值。

4)根据From字段的用户名在通话权限表中查找username字段等于From字段用户名的记录，如存在此记录并且To字段的号码值落在此记录所规定的sip_from和sip_to的范围内，则表明此用户拥有完成此次通话所需的权限，满足权限要求，将此数据包转到下一个处理单元;如To字段的号码值不在此记录所规定的sip_from和sip_to的范围内，则表明此用户不拥有完成此次通话所需的权限，丢弃此SIP封包，返回一个488(Not Acceptable Here)包并跳过后续步骤。(查询条件为：呼叫发起者用户名=通话权限表username and目的号码<通话权限表.sip_to and目的号码>通话权限表.sip_to)

5)根据To字段的号码在通话路由表中查找sip_from和sip_to字段，如落在表中某记录所规定的sip_from和sip_to的范围内，则根据此录规定的操作对请求的Request-URI做相应的修改。如To字段的号码不落在表中的任何记录内，则不做任何修改，返回原值。

3.3 智能呼叫控制服务的实现

3.3.1 数据库操作的实现

数据库操作是智能呼叫控制实现的基础，它主要实现数据库的插入，删除，更新，查询等功能。本系统服务的对象是中小企业用户，因而可使用小型数据库，例如MySql等。本系统分别在内存和外存中维护两个数据库。当有数据更新时，并不立即更新外存数据库中的数据，而是立即更新内存中所维护的数据库，在一定的时间间隔后，再刷新外存数据库的数据，使内存和外存数据库的数据同步。这样做的目的是为了提高效率(I/O读写十分费时)，避免频繁的I/O读写操作。

3.3.2 智能呼叫控制主要功能的实现

智能呼叫控制的主要功能由最佳通话路径选择函数check_call_routing;通话权限控制函数is_callres_in;呼入身份控制函数is_proxy_in;呼入号码校验函数is_number_in四部分组成。实现的基本思路是在数据库中查询相应的表,再根据查询结果做相应的处理,下面以最佳通话路径选择函数介绍实现思路。

4 实验

为了验证本文提出的SIP代理服务器的实用性，采用如下方案进行实验：使用两台SIP代理服务器和两个客户机组成一个局域网进行测试，在SIP代理服务器上安装本文设计的SIP代理服务器软件，数据库采用MySql。客户机上安装深圳时曦科技开发的一款客户端软件SIP Phone 1.1，实验环境图如图2所示。实验测试了SIP代理服务器的基本功能和智能控制功能，实验效果理想。

以最优路径选择模块为例说明如何进行测试。

测试用例：用户3024注册到服务器A(211.69.193.252)，用户4036注册到服务器B(211.69.193.251);在服务器B的呼叫路由表中新增记录，sip_from:4000,sip_to:4050,destination:211.69.193251。用户3024输入目的地号码4036。

测试结果：用户3024与隶属于服务器B的用户4036(sip4036@211.69.193.251)通话建立成功，成功修改了通话路由。

5 总结

本文设计了适应于中小企业的SIP代理服务器，并再此基础上增加了智能呼叫功能，在实验环境下运行量好。但在实际环境中如何在网络拥塞的情况下提高通话质量、以及如何和PSTN网络互通等问题将是进一步的研究课题。

参考文献

[1]张晓山,李丹,李彤.一种软交换系统网管模式的设计和实现[J].小型微型计算机系统,2003(5):1-7

控制服务器 第2篇

从国际www安全小组CERT(Computer Emergency Response Team)的统计资料来看，Internet中与www相关的安全事故呈逐年上升趋势。www安全主要包括三个方面：Web服务器安全、主机安全和传输安全。由于服务器端操作系统的安全漏洞、www服务软件本身存在问题和服务器端的错误配置等等一些问题，导致web服务器存在一定的安全隐患;网络病毒、恶意代码和系统配置不当等等是对主机的安全威胁;Internet是连接Web客户机和服务器通信的信道，攻击者可以利用嗅探程序，侦听信道，以获取机密信息。这些多种多样的安全威胁给人们的日常生活和经济生活造成很 烦。

这里重点讨论如何加强web服务器安全。市场上有许许多多的web服务器，例如：Apache、IIS、Zeus、iPlanet、AOLserver和Jigsaw等等。

一、加强Web服务器安全的措施

无论何种类型的Web服务器，其基本的安全问题是相同的，这就是：安全配置、身份认证和访问控制等。加强Web服务器安全的主要措施如下：

(1)合理配置Web服务器

主要措施有：①具有合法权限的用户才可以运行web服务器;②通过某个IP地址、IP地址段或者某个域来控制，未被允许的IP地址、IP地址段或某个域发出来的请求将被拒绝;③通过用户名/口令来控制，只有输入正确的用户名/口令时，才允许访问，

(2)设置Web服务器有关目录的权限

(3)审阅日志文件

日志文件是web服务器工作的记录。它记录了系统每天发生的各种各样的情况，可以通过它来检查故障发生的原因，或者受到攻击时攻击者留下的痕迹。日志的主要功能是：审计和监测。它还可以实时监测系统状态，监测和追踪入侵者等等。

(4)进行必要的数据备分

定期对web服务器做安全检查，安全管理Web服务器。这里以Apache服务器为例，介绍上述安全措施的具体实施方案。

二、设置Web服务器有关目录的权限

为了更好地维护Web服务器安全，管理员应对“服务器根目录”(日志文件和配置文件存放目录)和“文档根目录”(默认的客户文档存放目录)做严格的访问权限控制。

(1)服务器根目录下存放配置文件、错误和日志文件等敏感信息，它们对系统的安全至关重要，不能随意读取或删改。

(2)一般，Web服务器由root用户启动，然后切换为由user指令所指定的用户。在根目录下执行命令时需注意非root对其操作无效。不仅文件本身，目录及其父目录都只有root具有写的权限。如果允许非root用户对由root执行或读写的文件有写权限，则会危及系统。

(3)文档根目录定义Web服务器对外发布的超文本文档存放的路径，客户程序请求的URL就被映射为这个目录下的网页文件。这个目录下的子目录，以及使用符号连接指出的文件和目录都能被浏览器访问，只是要在URL上使用同样的相对目录名。

远程控制服务器的安全管理研究 第3篇

随着我国信息系统与各类信息应用服务的快速发展，越来越多的服务器管理中心的服务器规模日益庞大。与此同时，对服务器操作的频繁性日益增多，随之给机房带来的安全隐患也大大增加。如何做到对服务器故障及时排除等已成为了服务器机房管理面临的突出问题。

为了满足新形势下对远程服务器实现安全及时管理，本文提出的堡垒主机代理中转技术能很好地满足对服务器进行方便、及时、安全性的要求。

2、相关研究

目前基于远程服务器管理的研究及技术的实现都比较多，但大部分都只是讲述了如何基于两层结构的远程控制技术实现对服务器远程连接，如KVM、PcAnywhere、ZEBEDEE技术等，在这些技术中为了防止信息被攻击者窃取，往往在通信过程中都采用安全通信协议，如SSL或TLS等协议来保护通信数据的有效性与完整性，但在两层的通信结构中采用这些安全通信协议无疑消耗了服务器更多的宝贵系统资源，因为服务器需要不断地重新启动应用系统来保证通信过程的安全。因此如何更好地提高服务器的安全性并降低服务器负载是本文主要研究的目的。

3、远程安全代理结构及工作原理

如上面所述，绝大部分的远程控制管理结构主要是采用C/S模型，虽然在这种通信结构中以消耗服务器资源为代价采用加密技术保护了客户端与服务器之间的通信安全，但客户端和服务器的直接连接仍增加了服务器的危险性。例如攻击者可以通过获取客户端信息或枚举法对服务器进行强迫性连接，从而给服务器带来了新的安全问题。为此，在降低服务器负载的同时提高对服务器安全管理，我们可以在原来的两层模式中增加一层，形成：客户端、代理层、服务器三层的访问通信结构。

代理层位于客户端与服务器之间，代理层能够有效防范黑客针对服务器的攻击，隐藏内部服务器位置，使得黑客恶意连接服务器的复杂性大大增加，从而减少利用远程控制通信或服务器安全配置漏洞对服务器攻击的可能性，甚至几乎成为不可能。服务器则只对来自代理层的远程控制请求进行响应，而拒绝来自与其他的客户端的远程控制请求。

基于安全访问的三层结构图如下图1所示：

在图1中，远程控制请求的交互数据都要经过代理层，代理层为确认客户身份的合法性，代理层通过调用系统预设的安全访问规则对客户身份进行合法认证，访问规则包含安全传输协议 (SSL/TSL) 、连接端口、用户名、密码、验证码等信息，当用户通过了身份认证后便成为了安全合法的代理层使用用户。如用户身份得到认证，代理层将代替用户向服务器发出远程连接请求进行第二次身份认证，如通过身份认证客户便可远程控制服务器并进行相关的配置操作。

在基于三层的安全访问结构图基础上，给出远程安全控制访问事件处理流程如下图2所示：

在图2中，客户端向代理层发出连接请求，代理层对客户端身份进行认证，如通过身份认证，代理层将代替客户端向服务器发出连接请求进行第二次的身份认证。同时，代理层记录下客户端用户在代理层的工作状态及用户行为并将记录存到数据库中，并周期性地对客户端用户状态进行自检与数据库中的数据更新。这一过程对用户完全是透明的。

用户在代理层操作状态转移如下图3所示：

当用户端出现暂时离机现象时，代理层将锁定用户在代理层的操作并保护对服务器的操作状态，以此同时代理层将客户基本信息、状态信息、操作状态信息存入数据库中以便进行二次连接时进行身份匹配认证，当用户想回到工作状态时，只需通过代理层身份认证便可回到当前对服务器的操作状态。

从服务器的角度来说, 由于代理层与服务器同属一个网络位置, 因此代理层与服务器之间的信息传输只需通过TCP/IP协议便可完成, 当服务器接收到代理层连接请求之后 (服务器只对代理层的连接控制请求提供服务响应) , 服务器调用系统本地安全认证进行第二次身份认证，如果客户端用户身份得到认证，服务器则对用户提供服务响应。在整个请求过程中虽然身份认证对用户是不透明，但减少了服务器资源的消耗并增加了服务器的安全性。

4、实现效果

在对学院的Web服务器实施远程控制管理项目中采用了该代理结构，在实际运行中该通信结构能够对有效监控用户的操作行为并对其操作过程进行详细记录。应用结果较好，安全得到满意的控制，但服务器通信负载没有出现明显的下降。如何在已实现安全控制的基础上进一步的减少服务器负载还有待后续的研究与完善。

5、结束语

本文通过分析了目前绝大部分的远程管理模式存在的缺点，提出了适合在信息安全对抗的环境中，让服务器的远程管理更安全，资源消耗更少的三层管理结构。当然，该结构目前已实现了远程的安全控制，但服务器资源消耗方面还有许多工作要做，这也是下一步所要完成的工作。

摘要：随着远程控制技术的广泛使用, 如何满足在对抗性的环境中实现对服务器远程管理的安全需求, 一直以来都是服务器安全管理中的一个重要问题。本文提出对远程服务器进行安全管理的三层认证结构, 同时对三层结构的工作原理、用户工作状态转移等内容进行了描述并测试该结构模型的运行效果。该结构模型能够有效地保护服务器以减少网络攻击的危害。

关键词：远程管理,服务器,堡垒主机

参考文献

[1]汪渊, 李思。基于代理中间件的两级身份认证系统的研究与实现[J]。计算机工程与应用, 2001 (19) 。

[2]杨帆、张焕国。金融智能卡操作系统安全体系研究。计算机应用研究, 2005 (09) 。

[3]何晓, 雪凡, 慧敏, 驰云。一种远程网络控制系统的设计与实现。上海大学学报 (自然科学版) , 2008, 14 (3) 。

[4]纵姝洁, 李尚。远程控制系统的设计与实现的探讨。科技创新导报, 2008 (12) 。

[5]Rsbe M0lItmⅢi, Cesaie Ste～anelli, Namnker Dulay.Flexible Seeurity Policies for MobileA tSy～ls[I J.Mieroproeessons ar.d Miea'osystem, 2001 (25) :93-99

控制服务器 第4篇

如何使用本模块

本模块与 Windows Server 2003安全指南配合使用，是该指南的补充材料。请将本模块作为创建分布式管理环境的起点。通过将控制权委派给组织单位层次结构，可以让一个组织基于其组织模型来实施管理模型。

概要

在 Microsoft Active Directory？ 中，组织单位 （OU） 用作对象容器。您可以在 OU 层次上使用控制委派向导来委派管理权，还可以将组策略应用于 OU.这样，管理委派或组策略设置就会影响组织单位中包含的对象。

本模块描述了如何创建组织单位，以及如何使用控制委派向导。本模块还描述了如何阻止权限继承。通过阻止权限继承，管理员可以防止已配置的权限沿组织单位层次结构向下传播。

创建组织单位

下列步骤可以指导读者完成创建组织单位的整个过程。

创建组织单位

1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2.突出显示将要在其中新建组织单位的容器、域或父组织单位。

3.单击“操作”菜单，并选择“新建”，然后选择“组织单位”。

4.在“名称”文本框中键入组织单位的名称，例如“成员服务器”。

5.单击“确定”。

委派管理权

下列步骤说明如何委派管理权。

创建管理组

1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2.突出显示相关的 OU（例如“基础结构”），然后单击“操作”菜单，并选择“新建”，然后选择“组”。

3.在“组名”文本框中键入组的名称，例如“Infrastructure Admins”，组名（Windows 2000 以前版本）将自动填充，

4.确保选中“组作用域”部分中的“全局”单选按钮和“组类型”部分中的“安全”。

5.单击“确定”。

将用户移进组

1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2.突出显示要移到组中的用户。

3.单击“操作”菜单并选择“添加到组”。

4.在“输入要选择的对象名称”文本框中键入组的名称，或单击“高级”并搜索该组。

5.选中正确的组后，单击“确定”。

6.在确认对话框中单击“确定”。

委派管理

1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2.突出显示要委派其管理权的容器。

3.单击“操作”菜单并依次选择“所有任务”和“委派控制”。

4.在“欢迎”对话框上单击“下一步”。

5.单击“添加”。

6.输入要向其委派控制权的组的名称，例如“域工程”，或单击“高级”搜索该组。

7.选择正确的组后，单击“确定”，然后单击“下一步”。

8.从列表中找到要委派的任务，选中相应的复选框，单击“下一步”，然后单击“完成”。

注意：要在“Active Directory 用户和计算机”中查看已配置的权限，请单击“查看”菜单，并选择“高级功能”。突出显示 Active Directory 容器，单击“操作”菜单，选择“属性”，并单击“安全”选项卡。

阻止权限继承

下列步骤说明如何阻止权限继承。

阻止权限继承

1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2.单击“查看”菜单，并选择“高级功能”。

3.突出显示相关的组织单位，单击“操作”菜单，并选择“属性”。

4.选择“安全”选项卡，并单击“高级”按钮。

5.取消选中“允许父项的继承权限传播到该对象和所有子对象”复选框。包括那些在此明确定义的项目。

6.单击“确定”，然后再次单击“确定”。

金融服务外包模式：风险与控制 第5篇

关键词：金融服务；外包；风险；控制

一、 金融服务外包模式的内涵

对金融服务外包的含义，巴塞尔委员会将其界定为“被监管者将部分在持续经营的基础上本应由自己从事的业务利用第三方(既可以是被监管者集团内部的附属子公司，也可以是集团外的公司)来完成。”在这种新的商业模式中，金融机构通过利用“外部专业化资源”降低成本，提高效率，以取得更大的竞争优势，其核心理念是“做你做得最好的，其余的让别人去做”。Laabs认为服务外包是组织策略性使用外部资源(指专业或有效率的服务提供者)来从事原来内部人员或资源所从事的组织非关键或非核心业务，是“将组织运作的某些非关键功能部分，以合约方式交由外部资源供应商负责”。Quinn和Hilmer（1994）提出外包是将企业的技术和资源做最适当的有效配置，以产生最大的效益，具体做法是将企业的资源集中在企业的核心活动，将非策略性需求及不具有特殊能力的业务由外部提供。严勇，王康元（1999）指出：“外包是把一些重要但非核心的业务职能交由公司外部的高级外包合作伙伴去做，把企业内部的知识和资源集中于那些具有竞争优势的核心业务上，为顾客提供最大的价值和满足”。徐姝（2003）认为：“外包是企业在内部资源有限的情况下，仅保留其最具有竞争优势的核心资源，而把其他资源借助于外部的专业化资源予以整合，以优化资源配置，实现其自身持续性发展的一种战略管理方法。”

从以上的观点可以看出：外包作为一种商业模式，是劳动分工理论和比较优势理论在价值链上的创新和发展，是社会生产日益精细化、专业化和高效化的表现。伴随着金融服务外包这种商业模式带来的巨大好处，也意味新的金融风险的到来。以巴塞尔银行监管委员会为主导的“联合论坛”出台的《金融服务外包文件》就是对金融服务外包所导致的金融风险给予重视的证明。

二、 金融服務外包的主要风险

外包面临众多风险，Lacity，Willcocks和Feeny（1995）认为最大的风险来自于隐藏成本，他们指出外包可能会有隐形的交易成本和管理成本，交易成本包括资源配置成本、组织调整成本、设立成本等，管理成本则是不得不投入人力资源对外包合同进行管理的成本等。Nelson（1996）认为还有合同谈判成本、合作伙伴的选择和评估成本、解决争议的成本等。Michale J. Earl，Slie P. Willcocks和David F. Feeny（1996）从弱势管理、员工经验欠缺、商业的不确定性、过期技术、固有的不确定性、潜在成本、组织学习能力的丧失、变革能力的丧失、持续性“三角”关系、技术的不可分割性、外包焦点的模糊性等方面研究了外包的风险。吕丽卫（2003）认为企业和合作伙伴开展外包的相互活动过程中在人、组织、决策、相互关系、文化等方面存在着许多潜在的风险。

综合以上的研究及根据《金融服务外包文件》中的风险分类，可以将金融服务外包的主要风险归纳为如下十种：（1）战略风险：第三方自行处理业务，未必符合发包机构的总体战略目标；发包机构未对承包方实施有效监督；发包机构没有足够的技术能力对承包方进行监督。（2）声誉风险：第三方服务质量低劣；对客户不能提供与发包机构同一标准的服务；第三方的操作方式不符合发包机构的传统做法。（3）合规风险：第三方不遵守关于隐私的有关法律，不能很好地遵守保护消费者以及审慎监管的相关法律，没有严格的确保合规的制度。（4）操作风险：技术故障；没有充足的财力来完成承包的工作，而且无力采取补救措施；欺诈或错误；发包机构难以对外包项目实施检查或检查成本过高带来的风险。（5）退包风险：过度依赖单一承包方；金融机构自身失去业务处理能力，无法在必要时将外包业务收回；快速终止外包合同的成本极高。（6）信用风险：信贷评估不当；应收帐款质量下降。（7）国家风险：政治、社会和法律环境造成的风险。（8）履约风险：履约的能力；对跨国外包来说，适用法律的选择很重要。（9）监管障碍风险：被监管机构无法及时向监管当局提供数据和信息；监管当局了解承包方业务活动有一定难度。（10）集中和系统性风险；承包方给行业整体带来的风险相当大，体现在各个金融机构对承包方缺乏控制和行业整体面临的系统性风险。

三、 金融服务外包风险的控制

1． 金融机构服务外包前的风险准备。金融机构在确定服务外包前，就要对服务外包所带来的战略风险，国家风险，系统风险等有清晰的认识。金融机构应制定总体性的外包计划，对有关业务能否外包和外包风险等进行评估。一般认为，核心管理职能的外包行为与公司管理者管理公司的职责是相违背的。因此，诸如战略监管、风险管理和战略控制等管理职能是不能外包的。外包不应影响管理者在相关法律法规（例如银行法）范围内的全部和无限责任。在决定是否外包时，金融机构管理层应结合机构自身的核心能力、在管理方面的优势和劣势，以及未来发展目标，全面分析外包的成本和收益。

同时，管理层应当对外包的利弊有全面的认识，要对组织的核心竞争力、管理上的优势和劣势以及组织未来的目标进行评估。发包方必须采取适当措施确保其能够遵守母国和东道国的法律以及监管法规。金融机构的董事会(或相当机构)对于确保其所有外包决策以及第三方所从事的外包活动符合其外包政策全面负责，内部审计应当在这方面发挥重要作用。同时建立外包决策的具体政策和标准，包括对相关业务是否适合以及在多大程度上适合外包的评估。将多项业务外包给同一服务供应商所引起的风险都必须考虑与限制。

2． 合作伙伴的选择及风险控制。对外包合作伙伴进行科学的评价将显得尤为重要，这实际上也是对风险进行控制的重要一环。对外包合作伙伴的选择，可以制订如下指标体系来衡量：

金融机构对外包合作伙伴的风险控制可以采取以下措施：（1）完全竞争控制。金融机构的外包业务通常是普通的非核心业务。对于大多数金融机构来说，可以通过完全竞争的方式规避风险。（2）合约控制。金融机构可通过合约的方式来规定自己和外包合作伙伴双方的权利和义务，服务的质量标准，外包的执行程序，款项的支付，知识产权的规定，后续合同的续延等。采取合约控制时，应该对所关注的问题规定得越详细越好，避免含混不清给外包的合作制造麻烦。（3）技术管理输出控制。为避免出现道德风险，金融机构可对相关的技术申请专利予以保护，对于某些外包所需要的技术可采取黑箱的方式提供给合作伙伴。同时金融机构可以参与到外包业务活动的监督管理中，通过现场管理，可及时大量地了解到外包业务的准确信息，从而为防范风险采取相应措施，避免因时滞或信息失真而导致损失。（4）激励机制控制。金融机构可通过价格激励、订单激励、商誉激励、信息激励、淘汰激励、组织激励、新产品/新技术的共同开发等方式，促使合作伙伴提高服务质量控制水平、降低成本和提高服务质量等，调动合作伙伴的积极性，消除由于信息不对称或败德行为所造成的风险，实现双赢的局面。（5）股权控制。为避免对外包合作伙伴失去控制，金融机构可适当地购买合作伙伴的股份，或者相互持股，信息共享，加强沟通，增加双方的信任度。

3． 有效、规范的金融服务外包市场监管。为了规范金融机构的外包行为，规避与控制风险，对金融外包市场的有效监管也是控制风险的主要手段之一。作为金融服务外包的监管机构，如银监会、证监会和保监会，应细化对被监管方的要求，做好外包的外部监管。如要求被监管机构应当保证其外包安排不会减弱其对顾客和监管者履行义务的能力，也不会妨碍监管者的有效监管；外包关系应当为书面合同所规范，该合同应当清楚地规定外包安排的所有实质内容，包括各方的权利、义务以及期待等；被监管机构及其服务供应商应当建立并维持应急计划，包括突发性灾难的补救计划。监管者在评价被监管机构时应当将其外包业务作为其整体业务不可少的一部分。

同时，无论是监管机构还是被监管机构都应当建立全面的外包风险监控程序来记录外包活动及其与服务供应商的关系。在建立外包风险管理计划时，包括以下几个方面：外包业务的范围和重要性；被监管机构的管理能力；对外包风险的监督和控制；服务供应商控制潜在经营风险的能力。明确外包业务的重要性和建立风险管理计划时应当考虑，服务供应商不能按约履行时对金融机构可能产生的财务、声誉以及经营等方面的影响；服务供应商违约对发包方的顾客和同行可能造成的潜在损失；服务外包对金融机构遵守监管法规及其变化的影响等。概言之，全面的外包风险管理程序应当是对外包的所有相关方面进行监控，这些将为金融机构服务外包创造良好的内外部监管条件，使金融机构服务外包实现互利共赢的目的。

四、 结论

经济全球化已使金融机构离不开外包，与发达国家相比，我国金融机构服务外包尚处在探索和起步阶段，要走的路还很长，特别是对风险的控制还有许多工作要做，值得做进一步深入的研究。

参考文献：

1．朱艳燕．项目外包中国企业分羹几何．中华工商时报，2003-07-11．

2．徐姝．西方业务外包研究成果评介．外国经济与管理，2003，12（25）：13-17．

3．吕丽卫．谈业务外包中的风险管理．现代管理科学，2003，（2）：69-70．

作者简介：周欢，同济大学经济与管理学院博士生；胡衍强，同济大学经济与管理学院博士生；沈柯，武警武汉指挥学校教员。

控制服务器 第6篇

在目前的互联网络中, 由于上传下载的业务量相当大, 对应的FTP服务器会承担越来越重的工作任务, 要确保这些服务器的安全及正常使用, 可以使用身份验证和访问控制来实现。下面就这两个方面来阐述: (本文所述为基于RED HAT ENTERPRISE LLIINNUUXX 55的配置)

1 FTP访问控制

可以修改和FTP配置文件所在路径下的文件ftpusers和user_list达到对不同的用户访问控制的目的。可以在ftpusers文件中添加用户, 那么该用户就不被允许登陆FTP服务器。而是否可以使用user_list文件中的用户登陆FTP服务器与在主配置文件/etc/vsftpd/vsftpd.conf中的定义有关, 如果定义了userlist_deny=NO, 则仅仅允许在该文件中中出现的用户登陆FTP服务器, 而如果定义userlist_deny=YES, 那么该文件中出现的用户不被允许登陆FTP服务器。

2身份验证

对FTP服务器的访问可以采用三种方式:

1) 匿名访问

这种访问模式不需要用户输入身份信息, 系统会自动采用anonymous用户连接FTP服务器, 而且不需要密码, 使用比较简单也很普遍, 但是由于访问量较大, 对服务器有较高要求。

2) 采用LINUX服务器的本地用户在远程登录

采用这种方式需要有本地账号, 如果访问的人数太多, 而且人员在企业流动性很大, 分配给用户的目录较多导致管理上比较困难。

3) 采用虚拟用户访问

管理员可以在服务器端创建虚拟用户, 让远程用户使用虚拟用户来登录服务器, 可以避免上边出现的两个问题, 由于需要知道虚拟用户的账号和口令, 所以不会使得对所有无关用户都可以访问, 访问被局限于一个范围, 同时由于虚拟用户对应的目录就一个, 管理上更加简单, 如果需要不同的权限可以设置不同的虚拟用户来解决, 这样做也不会创建大量的目录, 管理上不会那么困难。下面是虚拟用户的配置和测试步骤:

(1) 要安装db4-utils-4.3.29-9.fc6.i386.rpm这个软件包 (笔者是在RHEL5版本上使用) , 使用这个软件可以安装一个创建口令库文件的命令ddbb__llooaadd。

(2) 建待验证的用户和口令文件, 在该文件中, 单数行为用户名, 双数行为口令。

#vi/etc/vsftpd/vsftpd_log.txt

添加如下用户及口令

(3) 用如下命令创建对应于vsftpd_log.txt的数据库文件

#db_load-T-t hash-f/etc/vsftpd/vsftpd_login.txt/etc/vsftpd/vsftpd_login.db

(4) 辑虚拟用户验证的认证文件 (该认证文件会被VSFTPD配置文件调用) , 该文件位于/etc/vsftpd/vsftpd, 可以将原件所有内容注释掉 (加上“#”) , 同时添加如下两行, 参数DB中的文件名和第三步的数据库文件同名, 然后保存即可。

auth required/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

account required/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

(5) 立虚拟账号并配置相应的用户目录 (可以任意选位置) , 并根据需要设定权限, 命令如下:

#useradd-s/sbin/nologin-d/var/ftp/zs (设定zs这个虚拟用户对应的主目录, 为安全起见, 所以加上-s/sbin/nologin使得客户端登录FTP服务器不能够使用命令行) 。

#chmod 704/var/ftp/ (使得登录用户具有读的权限)

(6) 改FTP的主配置文件/etc/vsftpd/vsftpd.conf, 使得文件中包含如下行

local_enable=YES (设定本地用户登录, 本质上是为了能够让虚拟用户可以访问FTP服务器)

guest_enable=YES (设定虚拟账户可以访问FTP服务器)

user_config_dir=/etc/vsftpd/users_config (设定虚拟账户的配置文件所在的路径为/etc/vsftpd/users_config)

同时根据需要可以设定如下行

local_umask=022 (虚拟用户上传的文件的掩码)

anon_umask=077 (匿名用户上传的文件的掩码)

chown_uploads=YES (允许改变上传的文件的属主)

(7) 不同的用户设定配置文件

可以在/etc/vsftpd/创建目录users_config, 然后创建虚拟用户的配置文件, 可用如下命令:

#mkdir/etc/vsftpd/users_config

#cd/etc/vsftpd/users_config

#touch zs (创建空文件zs)

在ZS这个文件中添加如下内容 (以下可以根据具体情况进行选取)

guest_username=ls

anon_world_readable_only=NO (表示用户可以浏览FTP目录和下载文件)

anon_upload_enable=YES (表示用户可以上传文件)

anon_mkdir_write_enable=YES (表示用户具有建立和删除目录的权利)

anon_other_write_enable=YES (表示用户具有文件改名和删除文件的权限)

(8) 启动服务并测试FTP的虚拟用户的登录

#service vsftpd restart

测试结果如下:

[root@localhost~]#ftp 192.168.1.100

Connected to 192.168.1.100.

220 (vs FTPd 2.0.5)

530 Please login with USER and PASS.

530 Please login with USER and PASS.

KERBEROS_V4 rejected as an authentication typeName (192.168.1.100:root) :zs

Name (192.168.1.100:root) :zs

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>

在灵活的设定FTP服务器的根目录及合理配置文件及目录的前提下, 再配合以FTP访问控制和虚拟用户的访问可以最大限度的保障FTP服务器的安全、稳定运行。

摘要：该文讨论了FTP服务器的典型访问方式, 通过配置文件的编辑实现了FTP的访问控制, 通过构建的数据库实现了FTP的基于虚拟用户的访问, 通过该文的所述的方法对实现FTP服务器安全及正常的运行会有很大的帮助。

关键词：LINUX,FTP,访问控制,身份验证,虚拟用户

参考文献

[1]杨鹏.Linux服务器架设[M].北京:清华大学出版社, 2008:249-251.

控制服务器 第7篇

Lon Point是基于Lonworks测控网络系列产品, 设计用于把新的和传统的传感器、执行器以及Lon Mark装置集成为一个经济、可互操作的控制系统以供楼宇和工业应用。Lon Point系统由以LNS为基础的Lon Maker for windows集成工具、Lon Point Plug-In软件、Lon Point应用程序、Lon Point接口模块、路由器和调度模块构成。本论文实验用到的两种模块为:

1.1 AI-10模块

1.2 AO-10模块

3 LNS介绍

LNS DDE Server的DDE定义了微软应用程序共享信息的一个标准。当一个应用使用DDE与其它应用共享信息时, 这些应用被称为占有一个DDE会话。每个会话具有一个开始、中间过程和结束。一个称为客户机 (或目的应用) 的应用为了开始一个会话, 向称为服务器的应用 (或源应用) 提出请求, 以建立一个通信信道。一旦建立了一个会话, 该目的应用可以发送和接收数据。

本实验中使用高性能的Lonworks接口卡PCLTA-20 PCI Lon Talk适配器, PCLTA-20适配器的LNS网络接口功能允许连接的主机运行LNS应用程序。

3 用Lonworks技术实现变风量空调机组侧控制系统

变风量空调机组侧控制回路包括变频风机风道静压回路、水阀开度送风温度回路、新风阀回风阀二氧化碳浓度回路。利用Echelon模块建立机组侧控制系统如图1。

实验过程中采用上位机、模块、传感器执行器的方式工作。由上位机运行控制算法, 通过适配器和底层模块通信, 由底层模块与传感器、执行器直接交互。

4 Matlab DDE和LNS DDE服务器的连接

在连接Matlab DDE和LNS DDE SERV-ER的过程中, Matlab DDE作为客户端, 而LNS DDE SERVER作为服务器端, Matlab通过DDE这种方式可以从LNS DDE SERVER中取得数据。Matlab连接LNS DDE SERVER的具体步骤包括:

4.1 建立连接通道。

使用channel_matlab=ddeinit ('lnsdde', 'algorithcontrol.PRAC.lmnv') ;其中lnsdde是服务器名, algorithcontrol是设计的LON网络名, PRAC.lmnv是子系统名, 命令的输出是建立的通道名;

4.2 从LNS DDE中获得数据。

其中chan-nel_matlab是有效的通道名, pressureloop是设备名, pressure.Analog是网络变量名, 命令的输出是获得的数据;

向DDE中写入数据, 其中channel_matlab有效的通道名, pressureloop是设备名, frequency.Analog是网络变量名, 命令的作用是写入数据2到LNS DDE服务器, 由LNS DDE服务器负责传递给模块;

4.4 结束连接。

使用rc=ddeterm (channel_matlab) ;其中channel_matlab是建立的通道名。

5 控制算法的执行过程

利用Matlab DDE和LNS DDE SERVER的连接通道建立控制算法的过程主要有以下几个步骤:a.运行LNS SERVER、LNS DDE SERVER和MATLAB, 并使网络在线;b.在MATLAB中初始化变量, 确定采样时间、确定实验循环次数, 准备进行实验;c.利用Matlab DDE和LNS DDE SERVER通道获取数据;d.执行控制算法程序;e.暂停采样时间;f.若到达实验循环次数, 结束连接通道;否则转入c继续实验。

由模块和传感器、执行器交互, 模块将来自传感器的信号传递至总线, 再经由PCLTA-20适配器进入上位机。Matlab DDE和Visual Basic DDE等客户端就可以通过LNS DDE SERVER访问网络变量。

结束语

本实验平台是基于Lonworks网络, 采用Lon Point系列产品建立起来的单风道变风量空调控制实验系统。由以LNS为基础的Lon Maker for windows集成工具进行开发设计。本网络实验系统允许任何数量的安装、维护、监视和控制节点共存于同一系统中, 而且可以自动匹配网络配置的修改。通过用户可以在网络的任一接口节点上重新配置系统, 而且保证根据系统的配置所有的监视和控制可以及时更新。用LNS DDE服务器和Matlab计算引擎建立控制算法实验平台可以适用不同的控制系统实验。

参考文献

[1]王锦标, 计算机控制系统[M].北京:清华大学出版社, 2004, P164-P182.

[2]Jin wen:Development and Validation of Adaptive Optimal Operation Methodology for Building HVAC Systems, thesis, August2003.

[3]陈淑红.利用SIMULINK和优化工具箱实现PID参数优化[J].现代电子技术, 2002年第9期总第140期.

[4]陈怀琛.数字信号处理教程———MATLAB释义与实现[M].北京:电子工业出版社, 2004

控制服务器 第8篇

基于PCIe的SSD加上NVMe主机控制接口完美解决接口瓶颈问题。本文结合NVMe的SSD闪存控制技术,论述了NVMe技术在服务中的应用,使服务器克服了传统的基于SAS/SATA的SSD设计所固有的延迟和吞吐量瓶颈,性能大幅提升。通过PCIe 3.0接口实现最大化吞吐量,大大提高了随机存储I/O性能。

1 NVMe 概述

1.1 NVMe 标准

NVMe(NVM Express) 标准针对PCIe SSD定义了最优化的寄存器接口、指令集和功能集,并提供可扩展接口以实现SSD技术性能潜力。此外, NVMe开放标准打破了以往PCIe闪存厂家采用垄断私有接口造成的产业局限,显著提升了产业规模,优化了用户成本。除完全支持PCIe 3.0接口以实现最大化吞吐量,还可实现最大化随机存储I/O性能——这是受多核CPU设计和虚拟化推动的一个关键技术。

1.2 NVMe 优点

由表1可以看出,与传统的AHCI标准相比, NVMe控制技术带来了显著的性能提升,并大大降低了功耗。

具体优势包括:

1)性能:相比现有的NAND闪存,吞吐量上有数倍提升;

2) 延迟: 与现有的SCSI/SAS架构相比, NVMe SSD可降低延迟超过50%;

3)IOPs: NVMe PCIe SSD可提供的IOPs十倍于SATA SSD;

4)功耗:NVMe控制器在特定空闲时期后自动切换为较低功耗状态;

5)可扩展性:NVMe支持未来的NVM技术发展至将延迟开销降低到低于一微秒的水平,因此具备支持未来十年技术的可扩展能力。

1.3 关键技术

1)精简指令集

从物理结构上,PCIe主控与CPU直接相连,而不是传统方式,通过南桥控制器中转,再连接CPU, NVMe可以大幅度降低控制器和软件接口部分的延迟。 如果设备是接入到南桥提供的PCIe接口上,那么这部分的延迟也不会降低多少。

从图1可以直观的看出从应用到闪存盘的过程中, 到NVMe驱动器的路径要比到SAS驱动器的路径短, 通过精简的调用方式,缩短了数据传输的中间环节。 NVMe相对于SCSI/SAS的延迟上的降低是非常明显的。

2)NVMe管理技术

一个NVMe/PCIe SSD设备由一 个NVM Subsystem和一个或 多个PCIe接口组成, 通过SMUBS/I2C总线挂接于管理平台。主要实现健康信息监测、功耗管理、固件更新、配置等功能。图2、 图3以一个双端口NVMe/PCIe SSD为例,进行管理应用说明及管理接口协议层说明。SSD通过PCIe端口连接至NVMe驱动器,并通过SMUBS/I2C总线PCIe VDM(Virtual Disk Manager)与管理平台进行通信。

3)自动功耗管理技术

PCIe可直接与CPU相连,没有了中间转接过程所产生的功耗;另外在能耗管理上,NVMe技术中加入了自动功耗状态切换和动态能耗管理功能,无需软件干预,NVMe控制器在特定空闲时期后即自动切换为较低功耗状态。相比起主流的SATA接口SSD也拥有较大的功耗优势。

4)掉电保护

支持完全的掉电保护技术,包括实时运行的数据也在保护之列。

2 NVMe 在服务器中的应用

NVMe/PCIe SSD直连到服务器主板PCIe3.0插槽上实现存储功能,也可与SAN结合,建立存储系统,为用户提供足够的磁盘空间及存储性能,实现存储资源的共享,系统示意框图如图5所示。服务器的后端,NVMe/PCIe SSD通过PCIe交换背板挂接到处理器,前端则通过端口CNA,经过支持FCo E的万兆以太网SAN交换机再分别连接应用服务器。

3 结束语

控制服务器 第9篇

随着信息技术的不断发展及其广泛应用, 各级各类医院正在不断加快自身信息化建设的步伐, HIS、LIS、PACS、移动临床等等新技术的应用, 无疑已极大地减轻了医护人员的负担, 给医院的管理工作带来了很大的方便, 同时也方便了患者。但随着信息化建设的深入, 医院网络规模不断扩大, 设备不断增加, 数据也变得越来越多, 越来越复杂。在HIS的使用过程中各种问题层出不穷, 而且问题爆发的时间具有不确定性, 很多维护人员上班时经常来回奔波于各科室之间, 在下班时间和节假日还得经常到医院处理问题。针对这一情况, 远程控制技术被广泛应用到维护工作当中, 维护人员不用离开办公室甚至在家里就可以通过远程控制技术处理各种问题。

远程桌面是Windows自带的一种远程控制技术, 由于使用方便, 得到了广泛应用。目前已有很多文章对远程桌面的配置过程进行了较为详细的介绍[1,2,3], 但上述介绍的配置方法都是针对服务器及客户端在一个局域网内的情况, 而对于更复杂的情况, 即服务器与客户端不在同一个局域网时的配置方法没有提及。本文主要针对在外网通过远程桌面连接医院HIS服务器的方法及其配置过程进行介绍, 为医院信息系统维护人员提供参考。

1 医院信息网络基本结构

医院信息网络基本结构如下图所示, HIS服务器和客户端、核心层交换机、接入层交换机等医院内部网络设备及其它终端组成了内网, 并通过防火墙与ISP提供的接口连接到Internet。内网中网络设备及计算机终端都使用私有IP地址, 当内网计算机要访问Internet时, 防火墙通过NAT (Natwork Address Translation) 将内网私有IP转换为ISP提供的公网IP地址, 使内网所有计算机对外均显示为NAT主机的IP地址。该地址由ISP分配给医院使用, 根据接入方式不同, 可以为动态或静态IP地址。

2 远程桌面的实现

要使用远程桌面从客户端连接到服务器, 必须在服务器端启用“远程桌面”功能, 具体过程文章[3]中已有详述。当客户端和服务器在同一局域网时, 在客户端打开“远程桌面连接”程序, 直接输入服务器IP地址或计算机名、用户名及密码就可以远程登录到服务器。

当客户端和服务器不在同一局域网, 即要从外网通过远程桌面连接服务器时, 由于HIS服务器使用的是私有IP, 因此, 除了在服务器端启用“远程桌面”以外, 还需要对防火墙进行配置, 把HIS服务器发布到外部网络上以供外部客户端访问。目前常见的防火墙和路由器都在配置菜单中提供“内部服务器”或“虚拟服务器”以实现这一功能。通常只需要对内部服务器映射的外部地址、外部端口、内部地址和内部端口等四个参数进行配置, 就可将外部地址、端口等映射到内部服务器上, 从而使外部客户端可以访问内部服务器资源。根据ISP提供的IP地址是静态或动态, 其配置方法略有不同。

2.1 静态IP地址

若ISP提供的是固定的IP地址, 则只需对防火墙中提供的“内部服务器”或“虚拟服务器”的功能进行简单设置就可以实现远程桌面连接。以华为3com公司的SecPath防火墙系列产品为例, 可以通过其WEB配置界面, 依次展开“业务配置”、“NAT”、“内部服务器”菜单, 对配置界面中的“外部地址”、“外部起始端口”、“内部起始地址”和“内部端口”四个参数进行设置。其中“外部地址”应设置为ISP提供接入的固定IP地址, “内部起始地址”应设置为HIS服务器的私有IP地址, 外部端口和内部端口可以设置为远程桌面连接所使用的端口号3389。设置好之后, 就可以在外网客户端打开“远程桌面连接”程序连接到HIS服务器。需要注意的是, 此时客户端中输入的服务器IP不再是私有IP, 而是在上述“外部地址”参数中设置的IP地址。

2.2 动态IP地址

固定IP的接入费用较高, 很多中小型医院向ISP申请的是动态的IP地址。这种情况下, 每次IP地址变动, 都需要对“外部地址”参数进行更改才能连接到服务器, 而PPOE的接入方式下IP地址的变动很频繁, 所以这种方法在实际当中并不适用。更方便的方法是借助动态域名解析服务, 将ISP分配的动态IP地址与固定的域名绑定, 这样在客户端登录时输入的就不再是服务器的IP地址, 而是固定的域名, 而这需要接入设备必须同时具有动态域名和虚拟服务器的功能。

以华为3com公司Aolynk BR104路由器为例, 通过其WEB配置界面, 依次展开“系统服务”、“动态域名”菜单, 将从动态域名服务提供商申请的域名填入对应参数中, 然后再打开“虚拟主机”菜单, 配置好外部端口、内部地址和内部端口, 就可以在外网客户端打开“远程桌面连接”程序通过域名连接到HIS服务器。

如果现有接入设备不具备动态域名的功能, 则只能在服务器端安装动态域名解析软件, 如花生壳等, 将服务器对外的IP与域名绑定。同时还需要在防火墙上开通远程桌面连接使用的端口号3389。

3 结语

Windows远程桌面为维护人员提供了一种远程控制服务器的手段, 但同时也为其他非授权用户提供了登录服务器的可能。为此, 可以通过设置远程桌面的用户账户及密码、修改连接的端口号、使用组策略等来保障远程桌面连接的安全。

目前智能手机、平板电脑等都可以安装远程桌面客户端软件, 只要根据医院实际的网络情况, 对接入设备及HIS服务器进行正确的配置, 就能在保证服务器安全的前提下, 使维护人员非常方便地在任何地方使用计算机、平板电脑, 甚至智能手机通过Internet登录到HIS服务器, 开展维护工作。

摘要：主要针对在外网通过远程桌面连接医院HIS服务器的方法及其配置过程进行介绍, 为医院信息系统维护人员提供参考。

关键词：远程桌面,HIS

参考文献

[1]唐美玉, 何小林, 刘远杰.远程桌面在计算机管理中的应用[J].电脑知识与技术, 2010 (5) :235-236

[2]冯松.远程桌面连接技术的应用[J].计算机与网络, 2009 (20) :74-77

让我们控制情绪,让情绪为我们服务 第10篇

【关键词】高中生 情绪 积极 消极 偶然

一、我们研究高中生情绪的意义

我们希望每个高中生都能了解自己的情绪和心理，懂得调节情绪的方法。控制好情绪，会提高同学们的生活质量，提高学习效率。总而言之，良好、积极、向上的情绪会让我们取得事倍功半的效果。

高中生正处于青年的人生起步阶段，情绪的变化对他们有不可忽视的影响。他们的情绪丰富而又强烈，两极性非常明显，情绪变化频率过快，必然使心情难以平静。而不能经常保持平心静气，也就难以专心致志地把某一件事善始善终地做好，学习、生活常常会为多变的情绪所干扰。

情绪的产生大多来源于他们的心理，我们不光对高中生的情绪变化有所研究，并对他们的心理状态有涉及，也分析了发生在他们身上的典型心理实例。

二、什么是情绪

在每一个人身上，都存在这样一种神奇的力量：它可以使你精神焕发，干劲倍增，大大提高你的学习和工作效率；也可以使你没精打采，萎靡不振，大大降低你的学习和工作效率。可以使你头脑清醒，冷静理智地处理各种问题；也可以使你暴躁易怒，在感情冲动时失去理智，做出后悔莫及的蠢事。总之，它可以加强你，也可以削弱你；可以使你的生活充满甜蜜和欢乐，也可以使你的生活抑郁沉闷，黯淡无光。这种神奇的力量，就是人皆有之的情绪活动。

对于情绪，我们可以有很多具体的词语来描绘，例如将情绪描绘成愉快的或不愉快的，高兴的和不高兴的，满意的和不满意的，温和的和强烈的，短暂的和持久的等等。由于这些分类的依据较多，所以讲解的时候十分不方便。为了陈述的方便，我们可以将情绪简单地分为消极的情绪和积极的情绪。人的情绪总是从兴奋到抑制，从抑制再到兴奋，往复循环。一个人的情绪不可能一直处于低潮，也不可能一直高涨。从心理学家的研究，我们可以发现，一般人的情绪变化呈现周期性的规律。

情绪是个体对外界刺激的主观的有意识的体验和感受，具有心理和生理反应的特征。我们无法直接观测内在的感受，但是我们能够通过其外显的行为或生理变化来进行推断。意识状态是情绪体验的必要条件。

情绪是身体对行为成功的可能性乃至必然性，在生理反应上的评价和体验，包括喜、怒、忧、思、悲、恐、惊七种。行为在身体动作上表现得越强就说明其情绪越强，如喜会是手舞足蹈、怒会是咬牙切齿、忧会是茶饭不思、悲会是痛心疾首等等就是情绪在身体动作上的反应。情绪是信心这一整体中的一部分，它与信心中的外向认知、外在意识具有协调一致性，是信心在生理上一种暂时的较剧烈的生理评价和体验。美国哈佛大学心理学教授丹尼尔·戈尔曼认为：“情绪意指情感及其独特的思想、心理和生理状态，以及一系列行动的倾向。”

情绪不可能被完全消灭，但可以进行有效疏导、有效管理、适度控制。

情绪无好坏之分，一般只划分为积极情绪、消极情绪。由情绪引发的行为则有好坏之分、行为的后果有好坏之分，所以说，情绪调节并非是消灭情绪，也没有必要消灭，而是疏导情绪、并合理化之后的信念与行为。这就是情绪调节的基本范畴。

可是，对于情绪的重要意义，许多人，特别是高中生至今尚认识不足。他们把情绪活动看做仅仅是一种因外部条件所引起的、偶然的感情变化，一种无关紧要的、暂时的精神状态，听其自然，很少进行有意识的控制和调节。结果，积极的、健康的情绪的不到很好的保护，消极的、不良的情绪也得不到及时的排解，从而使他们常常受到不良情绪的压抑和伤害。

因此，对于情绪的特性和作用，对于控制和调节情绪的意义，我们有必要进行一番研究和探讨，增强人们，特别是高中生控制和调节情绪的自觉性。我们作为高中生也有自己对于情绪的理解。

三、如何控制情绪

对于情绪，我们可以有很多具体的词语来描绘，例如将情绪描绘成愉快的或不愉快的，高兴的和不高兴的，满意的和不满意的，温和的和强烈的，短暂的和持久的等等。由于这些分类的依据较多，所以讲解的时候十分不方便。为了陈述的方便，我们可以将情绪简单地分为消极的情绪和积极的情绪。人的情绪总是从兴奋到抑制，从抑制再到兴奋，往复循环。一个人的情绪不可能一直处于低潮，也不可能一直高涨。从心理学家的研究，我们可以发现，一般人的情绪变化呈现周期性的规律。

情绪会干扰人的理性判断。人在理性判断的时候，容易受到情绪的干扰。 另外，情绪具有感染性。 正是因为消极情绪对人的影响极大，所以我们应该学会如何控制消极情绪，并尽可能地将之转化为积极情绪。下面介绍一些方法。

方法一：尽可能的变化生活环境

环境对于人而言，不能直接地将人引入积极的情绪状态，它对人的作用更主要的是帮助我们营造良好的心境，这种好的心境是积极情绪发生的必要场所。

一般而言，较大的空间对于人而言总是有利的，因为物理空间和心理空间是有直接联系的。通常人们都不喜欢太过于拥挤的地方，外界空间的拥挤会导致人的烦恼和压抑。心理学家对于这种心理空间和物理空间的微妙联系无法做出解释，更多的是将之归于类似于动物划分领地而互不侵犯的本能行为。由此可见，人们对于大海、草原或各种各样荒无人烟的地方的喜爱是十分有道理的。

对于学生而言，没有时间也不可能经常去这样的地方，因此我们可以通过改变环境的熟悉程度来达到类似的效果。一般而言，新鲜的环境对人总是有吸引力的。因此，在情绪不佳的情况下，可以尝试通过布置环境来达到创设良好心境的目的。有的人改变居室的布置，有的人放音乐，有的人养花种草，这些都是改变环境的有效措施，能够对于情绪的调节有一定的帮助。

方法二：表情训练法

以上讲的是人会被动接受环境的影响，其实人可以更为主动地控制自己的情绪。有一年中央电视台的新闻节目中放了这样一则新闻：

日本人善于做生意，这是举世公认的。但由于日本人强烈的东方民族的色彩，他们在做生意的时候不喜欢表露自己的感情，特别是不喜欢笑。所以，日本人在谈生意的时候给人的感觉是压抑和刻板。由于日本人的主要贸易伙伴大部分都是西方人，而西方人性格外向，因此这两种文化之间往往会产生冲突。为了能够在生意场上更好地表达自己的情感，日本人想了很多办法，其中之一就是这则新闻。日本公司的老板为了让职工面带笑容，于是在下班之前的半个小时里，训练他们笑。具体的方法是每人发一只筷子，横着咬在嘴里，固定好脸部表情后，将筷子取出。此时人的脸部基本维持一个笑容的状态，再发出声音，就像是在笑了。

这则新闻说明了什么呢？一般人是不会知道其中的奥妙的。这种做法有着心理学研究的依据。这种研究的最主要问题是：究竟是情绪引起身体的反应，还是身体的反应引起情绪的变化呢？换句话说，人们是因为哭才会愁，还是因为忧愁而哭；是因为恐惧而发抖，还是因为发抖而恐惧呢？

通常而言，人们都认为是情绪引起人的反应。也就是说，人们忧愁的时候才会哭，恐惧的时候才会发抖。但心理学家的研究表明并不完全是这样。恰恰相反，人们会因为哭而发愁，会因为发抖而感到恐惧。这就是说，人的情绪是可以由行为引发的。根据这种观点。人可以通过控制行为的方式来控制自己的情绪。日本人的面部表情的锻炼充分运用了这个观点。

最常见的一项研究证明，当你在生气的时候，可以找一面镜子，对着镜子努力做出笑容来，持续几分钟之后，你的心情会变得好起来。不信你回家试试。

方法三：改变对事物的认识来调节情绪

对事物的不同认识可以导致情绪的极大不同。例如，当学生受到老师的表扬的时候，往往会有不同的反应。有些人认为老师是在奉承他，沾沾自喜，觉得自己本来就很优秀，骄傲的情绪产生了；而有些人认为老师是在鼓励他，给他打气，自己会有更大的进步，虚心的情绪会帮助他取得更多的成绩。正是因为这些认识上的不同，人们才会产生不同的情绪。所以情绪的变化有时取决于人对事物的看法。

【参考文献】

［1］ [美]杜舒尔茨. 现代心理学史. 人民教育出版社.

［2］佩塞施基安著. 恐惧与抑郁. 社会科学文献出版社.

开展药学服务 控制输液热原反应 第11篇

1 输液热原反应及临床处理

1.1 输液热原反应

静脉输液给药过程中, 偶尔会出现发热、寒战、头痛、恶心、呕吐等症状, 严重的甚至昏迷、死亡, 将这种药物的不良反应称之为输液热原反应, 能引起上述热原反应的物质被称之为热原。现普遍认为所有已知的内毒素都具有热原活性, 在GMP条件下生产的药品的质量控制, 一般认为不存在内毒素就意味着不存在热原。

1.2 临床处理

对输液热原反应的临床处理, 一般是停止输液, 分析症状, 对症治疗, 及时抢救, 查找原因, 杜绝再发。通常热原反应预后良好。

2 输液热原反应的直接诱因

2.1 细菌内毒素

又称热原, 是革兰阴性细菌细胞壁的产物, 具有多种生物活性, 尤以致热性最为突出, 临床上易引起热原反应[1]。因此, 各国药典对细菌内毒素的质控标准均有严格的限量。现联合用药较多, 往往是各药检测合格, 但混溶于同一输液瓶后各药的致热物质迭加, 因超过阈值而发生热原反应。据报道某医院对发生热原反应的混合残留液进行内毒素限量检查, 结果其内毒素检出阳性率高达79.6%[2], 这说明细菌内毒素具有累加性, 虽然输液、配伍药、输液器具各自内毒素检查均在标准要求范围内, 即内毒素检查为合格, 但联合用药后内毒素量加合后却不一定合格, 极可能超过人体承受的限量, 因此不可避免地发生热原反应。

2.2 活菌污染

活菌包括各种细菌、真菌及芽胞等。一旦染菌, 注射液可能出现霉团、浑浊等, 但也可能肉眼不能发现。使用的后果是严重的, 轻者热原反应, 重者可致脓毒症、败血症、内毒素中毒甚至死亡。

2.3 输液操作不当

中国药典2005版规定静脉给药的内毒素为5EU/ (kg·h) , 即人体每公斤体重在每小时最大可接受内毒素剂量为5EU, 经细菌内毒素检查合格的产品, 如果静脉滴注速度过快, 单位时间内进入人体内的内毒素量有可能超过阈值, 对体质虚弱或敏感患者则可能引发热原反应。

2.4 其他因素

内毒素致热力不同也是引起某些输液热原反应的原因之一。不同细菌产生的内毒素致热能力不同, 其中以大肠杆菌内毒素致热力最强。因此, 某些内毒素检查合格而致热力强的同样可以产生热原反应。

3 引入药学服务理念, 控制输液热原反应

药学服务是提供直接和有责任的, 以达到提高患者生命质量这一结果为目的的与药物有关的服务[3], 它要解决的是合格药品用到患者身上是否合理、安全、有效的这一问题。一般来讲, 人体可以承受的细菌内毒素是有一定限量的[5EU/ (kg·h) ], 当超过该限量时, 就会引起热原反应。细菌污染与内毒素含量及热原反应发生率呈正相关[4], 因此在临床输液中, 引入药学服务理念, 加强各个环节的管理, 减少输注入体内的细菌内毒素, 对减少热原反应具有重要意义。具体的处理对策有以下几点。

3.1 严把输液质量关 由于生产工艺的改进, 输液一般整批不会出现质量问题, 但在搬运、贮存、使用过程中, 若发生碰撞瓶身出现细小裂纹, 或瓶口松动而致包装不严, 引起活菌污染, 极易引起热原反应。这就要求加药前要仔细检查输液瓶的包装完整性。

3.2 严格掌握静脉输液的适应证和禁忌证 静脉输液是临床抢救和治疗患者的重要措施之一, 确有其他给药方式不可替代的优点, 但临床也存在滥用和不合理使用的现象, 引起输液并发病和输液热原反应, 风险也相应增大。故一般的发热、轻中度腹泻、轻中度感染可采用口服给药或序贯疗法, 原则上能用口服给药达到治疗目的则不用静脉输液。

3.3 对输液进行细菌内毒素定量检测, 防止超量的细菌内毒素输注入体内, 将输液热原反应由事后处置变为事前预防。

3.3.1 协助医生做好个体化用药, 尽量减少输液中的药物配伍 药物配伍禁忌有很多方面, 目前医护人员对药物配伍引起的药理变化、外观变化及稳定性下降比较清楚, 但对配伍所致输液热原反应增加却了解不多。有实验证明, 使用三联及以上配伍要比使用二联及以下配伍而发生热原反应的百分比多三倍以上[3]。虽然检品内毒素检查合格, 这只能说明内毒素含量不高于检品的规定限值, 但仍含有一定量的内毒素。临床静脉给药多种药物联合用药时, 药物混溶于一输液瓶后内毒素量迭加极可能超过人体承受的限量而发生热原反应。这就要求在临床上尽量减少输液中的药物配伍, 同时对于易出现热原反应的输液配伍处方要做细菌内毒素的定量检测, 以此判定该输液配伍处方的内毒素含量是否超标, 从而为临床的输液配伍提供技术支持。

3.3.2 由于引起临床热原反应的原因不仅仅与联合用药有关, 还与注射器、输液器及加药过程的污染等有关, 因此, 还应对输液器终端过滤的混合药液进行细菌内毒素定量检查。

3.4 建立药历 患者对细菌内毒素的量均有一个耐受范围, 即细菌内毒素的耐受阈值, 不同患者对细菌内毒素有不同的耐受阈值。脑血管系统疾病可能会增加机体对细菌内毒素的敏感性。老年患者、幼儿免疫功能低下或不健全, 细菌内毒素敏感性高输液热原反应发生率比例偏高。因此, 虽然使用的是细菌内毒素检查合格的注射剂, 由于我国药典标准对注射剂中细菌内毒素的检查标准为限量检查, 这样在临床上就会出现同一厂家同一批号的注射剂, 绝大多数患者应用很安全, 而极个别对细菌内毒素敏感的个体则往往可能发生热原反应。建立药历, 做好患者用药记录, 可减少过敏体质人员发生输液热原反应。

3.5 选择适宜的滴注速度 选用输液速度应考虑患者的年龄、病情、身体状况及药物性质, 对危重、高热、高敏性体质的患者, 早期输液速度不宜过快, 因这类患者易发生热原反应。

3.6 药物不良反应 (ADR) 监测 对于发生输液热原反应后, 应从医、药、护、患各环节找原因, 临床药师对临床反馈的输液热原反应应及时进行调查分析、提出解决方案, 避免输液热原反应的再次发生。

总之, 输液热原反应发生的原因是多方面的, 要降低其发生率, 有赖于医、药、护的密切配合, 做到全面控制输液质量, 并在做好医疗服务、护理服务之外, 重视药学服务, 将输液热原反应由事后处置变为事前预防, 使输液的应用能真正提高患者的生命质量。

摘要：目的控制输液热原反应的发生率。方法查阅相关文献, 结合实际工作, 并进行综合、分析和归纳。结果全面分析引起输液热原反应的各种原因, 引入药学服务理念, 提出相应的处理方法。结论药学服务在系统控制输液热原反应方面具有重要意义。

关键词：输液,热原反应,药学服务

参考文献

[1]王道若.微生物学.人民卫生出版社, 1994:52-53.

[2]章建华, 徐素珍.173例临床输液热原反应分析.药学服务与研究, 2002, 12 (1) :44-45.

[3]Hepler CD, Strand LM.Opportunities and responsibilities in phar-maceutical care.Ai Jhosp Pham, 1990, 47:5.