ACL-IP訪問控制列表配置實驗

ACLIP訪問控制列表配置實驗優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）

ACLIP訪問控制列表配置實驗優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）IP訪問控制列表配置目錄：TOC\o"1-3"\h\u23652第一個任務(wù)的：驗證測試523305第二個任務(wù)的：交換機(jī)的驗證測試914938第三個任務(wù)的：擴(kuò)展訪問驗證測試145789最后總結(jié)：15▲表示重要的一、IP標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用工作任務(wù)你是學(xué)校網(wǎng)絡(luò)管理員，學(xué)校的財務(wù)處、教師辦公室和校辦企業(yè)財務(wù)科分屬不同的3個網(wǎng)段，三個部門之間通過路由器進(jìn)行信息傳遞，為了安全起見，學(xué)校領(lǐng)導(dǎo)要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制，實現(xiàn)校辦企業(yè)財務(wù)科的主機(jī)可以訪問財務(wù)處的主機(jī)，但是教師辦公室主機(jī)不能訪問財務(wù)處主機(jī)。首先對兩路由器進(jìn)行基本配置，實現(xiàn)三個網(wǎng)段可以相互訪問；然后對距離控制目的地址較近的路由器RouterB配置IP標(biāo)準(zhǔn)訪問控制列表，允許網(wǎng)段（校辦企業(yè)財務(wù)科）主機(jī)發(fā)出的數(shù)據(jù)包通過，不允許網(wǎng)段（教師辦公室）主機(jī)發(fā)出的數(shù)據(jù)包通過，最后將這一策略加到路由器RouterB的Fa0端口，如圖所示。第1步：基本配置路由器RouterA：R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04VTY是路由器的遠(yuǎn)程登陸的虛擬端口,04表示可以同時打開5個會話,linevty04是進(jìn)入VTY端口,對VTY端口進(jìn)行配置,比如說配置密碼,RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0/0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfaces0/3/0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfaces0/3/0RouterA(config-if)#noshutdownRouterA(config-if)#Exit路由器RouterB：R>enableR#configureterminalR(config)#hostnameRouterBRouterB(config)#linevty04RouterB(config-line)#loginRouterB(config-line)#password100RouterB(config-line)#exitRouterB(config)#enablepassword100RouterB(config)#interfacefastethernet0/0RouterB(config-if)#ipaddress192.168.3RouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#interfaces0/3/1RouterB(config-if)#ipaddressRouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#iprouteRouterB(config)#iproute第2步：▲在路由器RouterB上配置IP標(biāo)準(zhǔn)訪問控制列表RouterB#showaccess-list1第3步：▲應(yīng)用在路由器RouterB的Fa0/0接口輸出方向上RouterB(config)#interfacefastethernet0/0RouterB(config-if)#ipaccess-group1out驗證測試RouterB#showipinterfacefastethernet0/0第4步：▲驗證測試在校企主機(jī)的命令提示符下Ping0，能Ping通。在老師辦公室主機(jī)的命令提示符下Ping0，不能Ping通。第二：任務(wù)如圖所示，首先對交換機(jī)進(jìn)行基本配置，實現(xiàn)三個網(wǎng)段可以相互訪問；然后對交換機(jī)配置IP標(biāo)準(zhǔn)訪問控制列表，允許網(wǎng)段（校企財務(wù)科）主機(jī)發(fā)出的數(shù)據(jù)包通過，不允許網(wǎng)段（教師辦公室）主機(jī)發(fā)出的數(shù)據(jù)包通過，最后將這一策略加到交換機(jī)VLAN30的SVI端口輸出方向上。根據(jù)拓?fù)鋱D：第1步：交換機(jī)的基本配置Switch#configureterminalSwitch(config)#hostnames3550Switch(conifg)#iproutingSwitch(conifg)#vlan10Switch(config-vlan)#exitSwitch(conifg)#vlan20Switch(config-vlan)#exitSwitch(conifg)#interfacefastethernet0/1Switch(conifg-if)#switchportmodeaccessSwitch(conifg-if)#switchportaccessvlan10Switch(conifg-if)#exitSwitch(conifg)#interfacefastethernet0/6Switch(conifg-if)#switchportmodeaccessSwitch(conifg-if)#switchportaccessvlan20Switch(config-vlan)#exitSwitch(conifg)#interfacefastethernet0/20Switch(conifg-if)#switchportmodeaccessSwitch(conifg-if)#switchportaccessvlan30Switch(config-vlan)#exitSwitch(conifg)#Switch(config)#interfacevlan10SwitchSwitch(conifg-if)#noshutdownSwitch(conifg-if)#exitSwitch(config)#interfacevlan20SwitchSwitch(conifg-if)#noshutdownSwitch(conifg-if)#exitSwitch(config)#interfacevlan30Switch(conifg-if)#ipaddress192.168.3Switch(conifg-if)#noshutdownSwitch(conifg-if)#endSwitch#查看三層交換機(jī)的路由表Switch#showiproute第2步：▲配置命名IP標(biāo)準(zhǔn)訪問控制列表Switch(config)#ipaccess-liststandardABC既可以列表好，也可以直接名字就可以了SwitchSwitchSwitch(config-std-nacl)#exitSwitch(config)#interfacevlan30Switch(config-if)#ipaccess-groupABCout驗證測試Switch#showipinterfacevlan30第3步：▲驗證測試在PC1主機(jī)的命令提示符下Ping0，能Ping通。在PC2主機(jī)的命令提示符下Ping0，不能Ping通。二、IP【擴(kuò)展訪問控制列表】的建立及應(yīng)用工作任務(wù)你是學(xué)校網(wǎng)絡(luò)管理員，學(xué)校的網(wǎng)管中心分別架設(shè)FTP、Web服務(wù)器，其中FTP服務(wù)器供教師專用，學(xué)生不可使用；Web服務(wù)器教師和學(xué)生都可訪問。FTP及Web服務(wù)器、教師辦公室和學(xué)生宿舍分屬不同的3個網(wǎng)段，三個網(wǎng)段之間通過路由器進(jìn)行信息傳遞，要求你對路由器進(jìn)行適當(dāng)設(shè)置實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量控制。首先對兩路由器進(jìn)行基本配置，實現(xiàn)三個網(wǎng)段相互訪問；然后對離控制源地址較近的路由器RouterA配置IP擴(kuò)展訪問控制列表，不允許網(wǎng)段（學(xué)生宿舍）主機(jī)發(fā)出的去網(wǎng)段的FTP數(shù)據(jù)包通過，允許網(wǎng)段主機(jī)發(fā)出的其它服務(wù)數(shù)據(jù)包通過，最后將這一策略加到路由器RouterA的Fa0端口，如圖所示。根據(jù)相應(yīng)的圖畫出拓?fù)鋱D：第1步：基本配置路由器RouterA：R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0/0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfaces0/3/0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet0/1RouterA(config-if)#noshutdownRouterA(config-if)#Exit路由器RouterB：R>enableR#configureterminalR(config)#hostnameRouterBRouterB(config)#linevty04RouterB(config-line)#loginRouterB(config-line)#password100RouterB(config-line)#exitRouterB(config)#enablepassword100RouterB(config)#interfacef0/0RouterB(config-if)#ipaddress192.168.3RouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#interfaces0/1RouterB(config-if)#ipaddressRouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#iprouteRouterB(config)#iproute第2步：▲在路由器RouterA上配置IP擴(kuò)展訪問控制列表▲拒絕來自網(wǎng)段去網(wǎng)段的FTP流量通過RouterA(config)#access-list101denyTCP5555eqFTP▲還可以控制某一些端口的出入允許其它服務(wù)的流量通過RouterA(config)#access-list101permitIPanyany驗證測試RouterA#showaccess-list101第3步：把訪問控制列表應(yīng)用在路由器RouterA的Fa0/0接口輸入方向上。RouterA(config)#interfacefastethernet0/0RouterA(config-if)#ipaccess-group101in第4步：分別配置FTP和Web服務(wù)器FTP服務(wù)器Web服務(wù)器第5步：驗證測試在PC1主機(jī)的命令提示符下Ping0，能Ping通。但是發(fā)送FTP包就不能通，如下圖：PC2五、▲總結(jié)：本次實驗難度不大，主要小心一下端口的配置，還有一些IP訪問的規(guī)則就行了。WEB服務(wù)器配置時，要自己去定義發(fā)送FTP數(shù)據(jù)包，這樣才能測試到結(jié)果。RouterA(config)#linevty04VTY是路由器的遠(yuǎn)程登陸的虛擬端口,04表示可以同時打開5個會話,linevty04是進(jìn)入VTY端口,對VTY端口進(jìn)行配置,比如說配置密碼RouterB(config)#interfacefastethernet0/0RouterB(config-if)#ipaccess-group1out列表1所定義的條件應(yīng)用到從本路由器禁止從此接口出去RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100配置進(jìn)入路由器配置需要密碼：而且不顯示的▲易發(fā)生錯誤的是：交換機(jī)要啟動路由協(xié)議Switch(conifg)#iproutingRouterA(config)#access-list101denyTCP5555eqFTP▲把訪問控制列表應(yīng)用在路由器RouterA的Fa0/0接口輸入方向上。RouterA(config)#interfacefastethernet0/0RouterA(config-if)#ipaccess-group101in▲in和out都是對端口而言的。in表示進(jìn)站，從外到內(nèi)的進(jìn)入端口的數(shù)據(jù)方向。一般是接收。【進(jìn)入端口的數(shù)據(jù)方向】out表示出站，從內(nèi)到外離開端口的數(shù)據(jù)方向。一般是發(fā)送。【離開端口的數(shù)據(jù)方向】基于角色管理的系統(tǒng)訪問控制

1.引言（iｎtrodｕctiｏn）

1。1.關(guān)鍵詞定義（definitioｎｓ）

有關(guān)定義說明如下:安全管理：計算機(jī)技術(shù)安全管理的范圍很廣，可以包括網(wǎng)絡(luò)安全性、數(shù)據(jù)安全性、操作系統(tǒng)安全性以及應(yīng)用程序安全性等。很多方面的安全性管理大都已經(jīng)有成熟的產(chǎn)品了，我們只需根據(jù)自己需要有選擇性的使用就可達(dá)到自己的目的了。本文中有關(guān)關(guān)涉及＂安全管理"一詞均只針對本公司推出的應(yīng)用中有關(guān)對象與數(shù)據(jù)而言范圍有限。主體：即可以象應(yīng)用系統(tǒng)發(fā)出應(yīng)用請求任何實體，包括各種用戶、其它與本系統(tǒng)有接口的應(yīng)用程序、非法入侵者。系統(tǒng)必須具有識別主體的能力，接口實際上也是由用戶登記的,故主要問題是校驗用戶身份的合法性,系統(tǒng)應(yīng)建立用戶鑒別機(jī)構(gòu)以驗證用戶身份.用戶：用戶就是一個可以獨(dú)立訪問計算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源的主體，我們用ｕsｅｒs表示一個用戶集合.用戶在一般情況下是指人。權(quán)限:權(quán)限是對計算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源進(jìn)行訪問的許可.我們用peｒmisｓion表示一個權(quán)限集合。可分為對象訪問控制和數(shù)據(jù)訪問控制兩種。對象訪問控制:用一個二元組來表示:（控制對象，訪問類型)。其中的控制對象表示系統(tǒng)中一切需要進(jìn)行訪問控制的資源。我們將引入一套完整的資源表示方法來對系統(tǒng)中出現(xiàn)的各類資源進(jìn)行定義和引用（詳見后述).訪問類型是指對于相應(yīng)的受控對象的訪問控制,如：讀取、修改、刪除等等。數(shù)據(jù)訪問控制:如果不對數(shù)據(jù)訪問加以控制,系統(tǒng)的安全性是得不到保證的，容易發(fā)生數(shù)據(jù)泄密事件.所以在權(quán)限中必須對對象可訪問的數(shù)據(jù)進(jìn)行按不同的等級給予加密保護(hù)。我們同樣用一個二元組來表示：(控制對象，謂詞）.權(quán)限最終可以組合成如下形式:(控制對象，訪問類型，謂詞）。角色：角色是指一個組織或任務(wù)中的工作或位置，它代表了一種資格、權(quán)利和責(zé)任.我們用ｒoles表示一個角色集合。用戶委派:用戶委派是users與rｏlｅs之間的一個二元關(guān)系，我們用(u,r）來表示用戶u被委派了一個角色ｒ。權(quán)限配置：權(quán)限配置是roles與perｍｉｓsiｏn之間的一個二元關(guān)系，我們用（r，ｐ）來表示角色ｒ擁有一個權(quán)限p。2。需求分析?根據(jù)我們在本行業(yè)多年積累下來的經(jīng)驗，參考了其它同行的成功經(jīng)驗整合了先進(jìn)的思想,我們有能力為我們自己的應(yīng)用系統(tǒng)開發(fā)一套功能完善而且又靈活方便的安全管理系統(tǒng)。使開發(fā)人員從權(quán)限管理重復(fù)勞動的負(fù)擔(dān)中解放出來，專心致力于應(yīng)用程序的功能上的開發(fā)。通過收集公司從事miｓ項目開發(fā)經(jīng)驗豐富的軟件工程師對在各種情況下的對應(yīng)系統(tǒng)的安性提出的需求做出了如下的總結(jié)。本系統(tǒng)在安全管理方面要考慮如下幾個方面問題。2。1。角色與用戶?需求:?角色由用戶（這個用戶與下一行的＂用戶"應(yīng)該不是同一個定義，”客戶”好像合適一些＠不錯，此處的用戶確是有些偏于指向我們合同意義的客戶,但是我認(rèn)為與下面定義的＂用戶＂不存在什么本質(zhì)上的區(qū)別，因為客戶最終也是以在系統(tǒng)中登記的用戶身份來使用本系統(tǒng),用戶所能完成的功能也就是客戶的需求.兩者之間的細(xì)微區(qū)別讀者可自己通過上下文加區(qū)分)自行定義，根據(jù)業(yè)務(wù)崗位不同可以定義多個角色。登錄系統(tǒng),首先需要向系統(tǒng)申請注冊，同一個用戶只能在系統(tǒng)中登記一次。用戶是登錄系統(tǒng)的楔子，角色是用戶權(quán)限的基礎(chǔ).用戶可以扮演多個角色。將某一角色授予某一用戶時，權(quán)限不能超越該角色權(quán)限,但可以小于該角色權(quán)限。用戶口令與數(shù)據(jù)庫訪問口令加密分析說明每個用戶在系統(tǒng)中由一個唯的userid標(biāo)識.用戶通過系統(tǒng)登錄界面登錄系統(tǒng),系統(tǒng)通過加密算法驗證用戶身份和判斷用戶是否已經(jīng)登錄系統(tǒng)。如果登錄成功通知aｐｐlicatiｏnpreferencｅservice和安全管理系統(tǒng)保存用戶登錄信息。角色由用戶根據(jù)自己的設(shè)想的組織機(jī)構(gòu)進(jìn)行添加設(shè)置，提供一個專門的模塊用來設(shè)置組織機(jī)構(gòu)，用戶通過組織機(jī)構(gòu)（定義＠部門機(jī)構(gòu)還是后面提到的"機(jī)構(gòu)是實現(xiàn)和執(zhí)行各種策略的功能的集合”）方便地進(jìn)行角色管理。例如：用戶可以通過部門機(jī)構(gòu)來進(jìn)行角色的管理，部門采用編號分層的方式,編號的每兩位為一個層次。例如一級部門編號為兩位,二級部門編號為四位依此類推下去直到將全廠部門機(jī)構(gòu)建立樹狀結(jié)構(gòu)圖.這類數(shù)據(jù)僅為方便用戶管理角色而存在,在系統(tǒng)的其他方面不存在任何意義。每個角色在系統(tǒng)中也是由一個唯一角色編號來標(biāo)識，同時必須保存用戶所設(shè)置的機(jī)構(gòu)信息,一般來說每個角色只需要保存自己所在機(jī)構(gòu)的代碼即可。2.２。菜單控制

需求

此菜單乃系統(tǒng)業(yè)務(wù)功能菜單。由業(yè)務(wù)功能模塊列表和用戶菜單定制共同組成。每個用戶可以擁有自己的菜單，也可以直接采用角色缺省菜單(當(dāng)用戶同時充當(dāng)多個角色并且權(quán)限重復(fù)時，重復(fù)的權(quán)限僅一次有效）分析說明為了方便用戶進(jìn)行權(quán)限組織管理，需要在系統(tǒng)中建立一張業(yè)務(wù)功能模塊列表,在用戶界面上表示為樹狀分層結(jié)構(gòu).業(yè)務(wù)功能模塊以用戶定制菜單來體現(xiàn),仍然采用編號分層方式，編號的每兩位為一個層次.并標(biāo)明一個層次是子菜單還是業(yè)務(wù)模塊,子菜單只有一種可否被訪問的權(quán)限設(shè)置，業(yè)務(wù)模塊權(quán)限由系統(tǒng)管理員或授權(quán)用戶進(jìn)行設(shè)置。對每個業(yè)務(wù)模塊設(shè)置它的對象控制、記錄增刪改控制和記錄集控制.當(dāng)用戶擁有對業(yè)務(wù)模塊的某一權(quán)限時,必需對處于它上級的子菜單有可被訪問的權(quán)限。刪除某一個級子菜單時將提示用戶他的下級菜單與功能模塊都將被刪除掉.當(dāng)用戶同時充當(dāng)多個角色并且權(quán)限重復(fù)時，重復(fù)的權(quán)限僅一次有效,用戶擁有他充當(dāng)?shù)乃薪巧臋?quán)限的并集.用戶與角色擁有的系統(tǒng)權(quán)限查詢時以業(yè)務(wù)功能模塊列表的樹狀結(jié)構(gòu)顯示出來。2.3．對象控制

需求?對象是指應(yīng)用系統(tǒng)窗口中的可視對象，如菜單項、按鈕、下拉列表框、數(shù)據(jù)編輯控件及數(shù)據(jù)編輯控件的字段等。對象控制通過角色與用戶授權(quán)來實現(xiàn).對象控制包括對對象屬性的控制可對數(shù)據(jù)編輯控件中的數(shù)據(jù)記錄的維護(hù)權(quán)限：對象屬性：使能/禁止、可視／屏蔽記錄維護(hù)：增加、刪除、修改的組合分析說明將每個業(yè)務(wù)模塊可進(jìn)行屬性設(shè)置的對象由程序員事先設(shè)定或由售后技術(shù)支持工程師指導(dǎo)用戶加入.在系統(tǒng)管理員或授權(quán)用戶進(jìn)行設(shè)置業(yè)務(wù)模塊的每種權(quán)限時,設(shè)置用戶在擁有該業(yè)務(wù)模塊這種權(quán)限時的對象屬性.沒有設(shè)置屬性的對象在保存對象信息的時候，用戶權(quán)限信息中不被保存.2。4.記錄集控制?需求

記錄集的控制是通過條件設(shè)置來實現(xiàn),因此，需要控制記錄集的數(shù)據(jù)庫表需要設(shè)置專門的記錄集篩選字段，而篩選條件由用戶根據(jù)崗位自進(jìn)定義，建立過濾表，統(tǒng)一管理。分析說明在對用戶設(shè)置業(yè)務(wù)模塊權(quán)限時，同時在過濾表中設(shè)置本模塊的數(shù)據(jù)編輯控件的數(shù)據(jù)篩選條件，篩選條件是組成sｑl語句的wherｅ條件子句迫使當(dāng)前訪問的模塊根據(jù)篩選條件對數(shù)據(jù)編輯控件的ｓql語句進(jìn)行重組，并檢索數(shù)據(jù).當(dāng)存在需要從數(shù)據(jù)庫中多個表取數(shù)據(jù)的情況時，過濾表中存在多條記錄，每一條記錄記錄一個數(shù)據(jù)編輯控件取數(shù)的篩選條件.sql語句的wheｒｅ子句的生成與校驗可以通過的sql語法分析服務(wù)，利用對象所提供的函數(shù)分析sql語句，截?。鳎鑕re條件子句，校驗新組合的sｑｌ語句的合法性。2．5。權(quán)限分布管理?需求?上述提到的權(quán)限管理內(nèi)容應(yīng)該滿足既可集中管理，也可分散管理的目標(biāo)。分析說明權(quán)限管理由系統(tǒng)管理員集中管理,系統(tǒng)管理員工作負(fù)擔(dān)過大，難對所有崗位的分工有全面和具體的了解，對權(quán)限作出標(biāo)準(zhǔn)細(xì)致的劃分，對于大型的管理系統(tǒng)適合于把一部分設(shè)置權(quán)限的交由一些比較高級的用戶來進(jìn)行,有利于各崗位細(xì)致協(xié)調(diào)的工作.這就是權(quán)限的分散管理.要實現(xiàn)權(quán)限的分散管理,就須對授權(quán)模塊進(jìn)行一些授權(quán)管理，這要求整個系統(tǒng)的授權(quán)安全管理工作要做到細(xì)致,不要出現(xiàn)權(quán)限的漏洞使一些高級用戶擁有過大的權(quán)限。3.方案設(shè)計?3。１.安全保護(hù)策略?從上面各方面的需求分析來看，我們需要一套既行之有效,又方便靈活的安全管理方案.要采用各種控制機(jī)構(gòu)和密碼保護(hù)技術(shù).安全保護(hù)策略是設(shè)計安全可靠系統(tǒng)的準(zhǔn)則,通常涉及下列幾個方面：區(qū)分安全策略與安全機(jī)構(gòu)。策略是信息安全性的高級指導(dǎo),策略出自對用戶要求，設(shè)備環(huán)境、機(jī)構(gòu)規(guī)則、法律約束等方面的詳細(xì)研究.策略重要性在于指導(dǎo)作用。而機(jī)構(gòu)是實現(xiàn)和執(zhí)行各種策略的功能的集合。完善的機(jī)構(gòu)是實施正確安全策略的物質(zhì)基礎(chǔ)。故一般要求機(jī)構(gòu)能實現(xiàn)不同的策略,以便策略變動時無需要更換安全機(jī)構(gòu)。安全策略:企業(yè)信息管理系統(tǒng)是一個大型的分布式數(shù)據(jù)資源管理系統(tǒng)，它包括信息量巨大以及不同程度的信息敏感度，各種有訪問需求的用戶，使得其安全管理非常復(fù)雜.基于角色的系統(tǒng)安全控制模型是目前國際上流行的先進(jìn)的安全管理控制方法。我們的安全管理系統(tǒng)也根據(jù)自身的需要有選擇性的吸收其部分思想.其特點(diǎn)是通過分配和取消角色來完成用戶權(quán)限的授予和取消,并且提供了角色分配規(guī)則和操作檢查規(guī)則。安全管理人員根據(jù)需要定義各種角色，并設(shè)置合適的訪問權(quán)限,而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色.這樣,整個訪問控制過程就分成兩個部分,即訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，如下圖所示,角色可以看成是一個表達(dá)訪問控控制策略的語義結(jié)構(gòu)，它可以表示承擔(dān)特定工作的資格。

由于實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，基于角色的策略極大的方便了權(quán)限管理。例如,如果一個用戶的職位發(fā)生變化,只要將用戶當(dāng)前的角色去掉，加入代表新職務(wù)或新任務(wù)的角色即可。研究表明,角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多,并且委派用戶到角色不需要很多技術(shù)，可以由行政管理人員來執(zhí)行，而配置權(quán)限到角色的工作比較復(fù)雜，需要一定的技術(shù)，可以由專門的技術(shù)人員來承擔(dān),但是不給他們委派用戶的權(quán)限，這與現(xiàn)實中情況正好一致。除了方便權(quán)限管理之外,基于角色的訪問控制方法還可以很好的地描述角色層次關(guān)系,實現(xiàn)最少權(quán)限原則和職責(zé)分離的原則.安全保護(hù)機(jī)構(gòu)：本系統(tǒng)的安全保護(hù)機(jī)構(gòu)基本上是于上面的安全策略相互適應(yīng)的，系統(tǒng)保護(hù)的總體結(jié)構(gòu)示意如下:?

保護(hù)機(jī)構(gòu)應(yīng)負(fù)責(zé)阻止一切物理破壞和用戶可能的操作破壞，后者歸結(jié)為主體可用何種方式訪問哪些對象。主體、訪問類型、對象是我們要討論的保護(hù)機(jī)構(gòu)主要成分安全管理的職責(zé)：安全管理有集中管理與分散管理兩種。前者意指一切權(quán)利都由負(fù)責(zé)系統(tǒng)安全工作的專職人員或小組組掌握，他（們)決定用戶的訪問權(quán)利，控制系統(tǒng)安全一切方面.后者是指不同的管理員控制著系統(tǒng)安全的不同方面，管理系統(tǒng)的不同部分，決定不同用戶的訪問權(quán)利，甚至允許對象所有者轉(zhuǎn)讓訪問對象的權(quán)利，集中管理，安全可靠但不靈活;分散管理則應(yīng)考慮避免漏洞和協(xié)調(diào)一致的問題。本系統(tǒng)因是針對大的集團(tuán)企業(yè)管理的產(chǎn)品權(quán)限分配比較復(fù)雜,故采用了集中管理與分散管理相結(jié)合的形式。訪問控制策略。它提供決定用戶訪問權(quán)利的依據(jù)。其中最重要的一個普遍的原則是"需者方知策略＂（ｔｈeneｅd—ｔｏ-know)。也就是說，只有一個工作需要的，才是他應(yīng)該知道的。它從原則上限制了用戶不必要的訪問權(quán)利,從而堵截了許多破壞與泄露數(shù)據(jù)信息的途經(jīng).按照這一原則授予用戶的權(quán)利,是用戶能完成工作的最小權(quán)利集合,故也稱之為”最少特權(quán)策略"。信息流動控制。只限制用戶的訪問權(quán)利而不考慮數(shù)據(jù)流動是極其危險的。例如，在考勤時各部門的主管只能為自己部門的職員考勤,人事部可以提取全部數(shù)據(jù),因此在提取數(shù)據(jù)時一定要加以限制?？刂茢?shù)據(jù)流動以防止無權(quán)用戶在數(shù)據(jù)流動后獲得訪問權(quán)利.密碼變換。對于非常機(jī)密數(shù)據(jù)可變換為密碼存貯，使得不知道密碼的入侵者無法破譯所得到的數(shù)據(jù)密碼。密碼變換能防止泄密,但不能保護(hù)數(shù)據(jù)信息不被破壞。軟硬結(jié)合保護(hù)。這是安全保護(hù)的基本策略,許多硬保護(hù)功能是軟件難以實現(xiàn)的，有些即使能實現(xiàn),效率也不高。對安全遭到破壞的響應(yīng)。各種保護(hù)機(jī)構(gòu)都有可能遭到破壞，因此系統(tǒng)必須制訂檢測破壞手段與處置措施。3．2．安全管理機(jī)構(gòu)分析?３．2。1。功能框架示意圖內(nèi)部總體功能框架圖?外調(diào)用的功能框架示意圖

3.2。2。主要功能組件的職責(zé)

3。2。2．1．對象定義工具與權(quán)限定義工具對象定義工具。

對象是指系統(tǒng)中各種功能模塊、數(shù)據(jù)、界面元素(包括菜單、按鈕等各種界面上能控制的控件）等，它們是主體能訪問的各種對象。由于對象的機(jī)密程度不等,受到的保護(hù)程度亦有差別。系統(tǒng)中的對象均由程序員通過系統(tǒng)提供的對象定義工具事先定義好系統(tǒng)要控制的對象。系統(tǒng)也只能控制這些事先已定義好的對象,因此，對象定義是整個系統(tǒng)的核心步驟直接影響后面的各個安全控制環(huán)節(jié)。建議由開發(fā)程序員進(jìn)行初始化配置。對象定義的包括如下幾步：功能模塊定義：系統(tǒng)中除部分公用的界面、公用功能模塊外,其它均為業(yè)務(wù)功能模塊是用戶完成各自不同的業(yè)務(wù)功能的主要算途徑，也是我們安全管理要保護(hù)的重點(diǎn)對象，所以我們必須對業(yè)務(wù)功能模塊定義.有定義的功能模塊對象我們就有可能組織權(quán)限根據(jù)用戶需要完成的工作配置用戶業(yè)務(wù)功能菜單，這也符合＂最少特權(quán)策略"。界面元素控制:除了功能菜單要受到控制外，如要控制功能模塊的界面元素其功能模塊界面元素也需定義,大部分界面元素均包含有相關(guān)的業(yè)務(wù)功能操作,所以對相應(yīng)操作的界面元素是進(jìn)行定義是有必要的.數(shù)據(jù)信息控制：業(yè)務(wù)功能模塊的大部分界面元素是顯示和操作數(shù)據(jù)內(nèi)容的基礎(chǔ)，也是用戶對讀取數(shù)據(jù)和操作數(shù)據(jù)的主要途徑，為了數(shù)據(jù)信息的安全有必要對這界面元素的操作數(shù)據(jù)予以采取安全保密措施.這就需要對這些界面元素定義相關(guān)的數(shù)據(jù)約束條件。對象定義(流程)流程圖如下

權(quán)限定義工具.

在定義好系統(tǒng)對象的前提下，定義對象的在不同情況的的訪問類型,希望對象在不同情況下具有不同的訪問類型,這就需要定義對象的權(quán)限.定義權(quán)限就是是定義對象訪問控制和數(shù)據(jù)訪問控制。為了表述方便我們對權(quán)限用一個三元組符號來表示p（o，ｔ，p),其中o表示訪問對象;ｔ表示訪問類型；p表示謂詞.表示在謂詞p為真時對于對象ｏ可進(jìn)行t類型的訪問.權(quán)限定義系統(tǒng)安全管理基礎(chǔ)步驟之一，只有給各種對象定義好訪問的權(quán)限，才能給角色配置權(quán)限,基于角色管理才能成為可能。系統(tǒng)提供定義權(quán)限工具,請程序員根據(jù)實際需求定義對象的權(quán)限。定義權(quán)限的流程圖如下:

3.2．2.2.角色定義與權(quán)限配置角色定義。

基于角色的訪問控制方法的思想就是把對用戶的授權(quán)分成兩部份,用角色來充當(dāng)用戶行駛權(quán)限的中介。這樣,用戶與角色之間以及角色與權(quán)限之間就形成了兩個多對多的關(guān)系。系統(tǒng)提供角色定義工具允許用戶根據(jù)自己的需要(職權(quán)、職位以及分擔(dān)的權(quán)利和責(zé)任)定義相應(yīng)的角色.角色之間有相應(yīng)繼承的關(guān)系，當(dāng)一個角色r1繼承另一個角色ｒ2時,r1就自動擁有了r2的訪問權(quán)限（表示ｒ1—〉r２).角色繼承關(guān)系自然的反映了一個組織內(nèi)部權(quán)利和責(zé)任的關(guān)系,為方便權(quán)限管理提供了幫助。角色繼承關(guān)系提供了對已有角色的擴(kuò)充和分類的手段，使定義新的角色可以在已有角色的基礎(chǔ)上進(jìn)行,擴(kuò)充就是通過增加父角色的權(quán)限去定義子角色,分類通過不同子角色繼承同一父角色來體現(xiàn)。另外還允許多繼承,即一個角色繼承多個父角色，多繼承體現(xiàn)對角色的綜合能力。角色定義示流程圖如下：

權(quán)限配置.

角色是一組訪問權(quán)限的集合，一個用戶可以是很多角色的成員,一個角色也可以有很多個權(quán)限，而一個權(quán)限也可以重復(fù)配置于多個角色。權(quán)限配置工作是組織角色的權(quán)限的工作步驟之一，只有角色具有相應(yīng)的權(quán)限后用戶委派才能具有實際意義。權(quán)限配置流程圖如下:?3。２。2．３。用戶、用戶組定義用戶定義。?系統(tǒng)的最終使用者是用戶,因此必須建立用戶的鑒別機(jī)構(gòu)，登記用戶的身份信息.在系統(tǒng)中定義可登錄的用戶操作系統(tǒng)是系統(tǒng)安全管理所必須步驟，也是人與系統(tǒng)的接口.用戶組定義。

為了本系統(tǒng)適用于分散式權(quán)限管理，加入了用戶組的概念，是指一群用戶的集合。方便權(quán)限管理用戶組也可以委派角色,當(dāng)用戶被加入用戶組時自動對用戶的所在用戶組擁有的角色進(jìn)行了委派。為了便于分散式權(quán)限管理系統(tǒng)同時還支持對部分組的權(quán)限進(jìn)行下發(fā)方式處理,授權(quán)特定的用戶對用戶組的用戶權(quán)限進(jìn)行管理。３。2.2。4。權(quán)限審查

在授權(quán)完成后可檢查登錄用戶所的擁有的能力表信息，審查給用戶的權(quán)限是合適，如不合適可重新進(jìn)行用戶委派和收回部分權(quán)限的處理.目前系統(tǒng)只能以對用戶組管理的模式對一個用戶組內(nèi)的用戶可進(jìn)行部分權(quán)限收回處理。３.２。2.５．用戶鑒別機(jī)構(gòu)?安全保護(hù)的首要問題是鑒別用戶身份。目前有三種方法可用:第一、利用用戶的物理特征(聲波、指紋、相貌、簽名)。這在理論是最可靠的,但由于物理特征可能隨時間變化且記錄尚欠成熟等原因，使該方法未能廣泛應(yīng)用。第二、利用用戶特有的證件，如身份證、機(jī)器可讀卡先考片,其缺點(diǎn)是證件可能被別人復(fù)制或冒用。第三、利用用戶知道的某件能證明其身份的約定(如口令）。這是當(dāng)前較為常用的方法。本系統(tǒng)采用第三種方法。用戶名稱標(biāo)識其它情況chendａｇood……如上表所示是用戶鑒別機(jī)構(gòu)保存的一張登記有每個用戶名稱、標(biāo)識和有關(guān)情況的表，表中的用戶名通常是公開的,標(biāo)識則是保密的,當(dāng)用戶要訪問系統(tǒng)時，須首先把自已的名稱和標(biāo)識登記到系統(tǒng)中(即出示證件）。這時用戶鑒別系統(tǒng)機(jī)構(gòu)檢查用戶的標(biāo)識是否與用表中的標(biāo)識一致，是則認(rèn)為用戶身份己得到證實，否則認(rèn)為是假冒，系統(tǒng)將拒絕用戶要求執(zhí)行的操作.口令是最常用的一種標(biāo)識,通常由若干字母、數(shù)字組合而成。系統(tǒng)只允許用戶連續(xù)兩次或三次登記口令，如果都不對則要等待一段較長的時間才成重新登記,這種延長時間的方法能夠有效的防止冒名者猜測口令的可能。3.2.2．6.訪問控制機(jī)構(gòu)

杜絕對系統(tǒng)非法訪問主要方法是訪問控制。用戶系統(tǒng)的訪問規(guī)則可以用訪問規(guī)則表示，根據(jù)安全策略用訪問規(guī)則給0用戶授權(quán)。訪問控制就是要處理怎樣表達(dá)和核對訪問規(guī)則的問題。從形式上來說，一條訪問規(guī)則可以寫成四元組的形式(u，o，t，ｐ)可前已有權(quán)限表示形式重新表示為（u,ｐ)。系統(tǒng)的訪問控制分為模塊級控制和界面元素級控制。?存貯和檢查訪問規(guī)則是訪問控制機(jī)構(gòu)須解決的部問題。本系統(tǒng)為考慮運(yùn)行速度根據(jù)系統(tǒng)中角色、權(quán)限配置、用戶委派等關(guān)系動態(tài)地的組成一張用戶能力表保存在系統(tǒng)中根據(jù)上述配置信息改變由系統(tǒng)動態(tài)生成和保存。能力表（也稱ｃ-表）是存貯和核對訪問規(guī)則的一種有效形式。能力表是面向主體的,用以說明主體能對那個訪問對象執(zhí)行何種操作.能力表的基本形式如下：ｓij（oi１，ti1，pi１）………。。（oｉj,tij，pｉj）其中si表示第ｉ個主體；ｊ為ｓｉ可訪問的數(shù)據(jù)對象的個數(shù)；(oｉ1，ti1,ｐi１)為訪問權(quán)限。全部主體的能力表的集合即為系統(tǒng)的全部訪問規(guī)則。當(dāng)某個訪問請求需進(jìn)行生效檢查時,則按訪問請求的主體找到能力表逐項核對以決定其是否有效。安全管理控制核心?安全管理控制核心是系統(tǒng)安全管理的核心控制部分,它在系統(tǒng)中控制整個系統(tǒng)的安全控制工作,由它決定系統(tǒng)是否啟動安全管理,在什么情況下調(diào)用訪問控制機(jī)構(gòu)，根據(jù)情況編寫訪問規(guī)則,如何將已有的訪問規(guī)則應(yīng)用于控制,存貯訪問規(guī)則。4．系統(tǒng)評價

4.1.系統(tǒng)特點(diǎn)（自評）?安全管理系統(tǒng)核心思想是在基于角色控制思想的基礎(chǔ)上提取改進(jìn)而來的，上述功能模型能較好満足產(chǎn)品開發(fā)人員提出的系統(tǒng)訪問控制需求.分析如下:實現(xiàn)了系統(tǒng)開發(fā)過程中的職責(zé)分離，系統(tǒng)的安全管理部分被作為整個系統(tǒng)的核心控制部分，單獨(dú)的被分離出來制定一些整個系統(tǒng)通用的安全準(zhǔn)則。程序員在開發(fā)時不要過多的考慮程序安全性的問題只需要遵系統(tǒng)的安全準(zhǔn)則即可，而是把主要精力花費(fèi)在系統(tǒng)的業(yè)務(wù)功能上.有效的利用系統(tǒng)已有的資源減少系統(tǒng)的冗余,使系統(tǒng)的條理更加清楚。對已有功能模塊只需設(shè)置不同的特征參數(shù)和對各種界面元素實施不同的訪問類型控制,就能產(chǎn)生不同控制效果不需程序員再進(jìn)行編寫程序的工作?；诮巧珜τ脩艚M進(jìn)行訪問控制：對一組用戶比對單個用戶進(jìn)行訪問控制更加合理,用戶組代表了具有相近工作性質(zhì)的一組用戶的集合,可以委派完成用戶組工作的角色以控制用戶組的權(quán)限范圍(當(dāng)然我們也可以把角色看成是我們系統(tǒng)中一個特定用戶組）。同時支持角色的繼承和多繼承。通過改變用戶的當(dāng)前角色集就可以改變用戶的權(quán)限，而改變某種角色所含的權(quán)限時又可以改變一組用戶的權(quán)限，基于這種訪問控制方式有３個方面的作用:（1）簡化了權(quán)限管理，避免直接在用戶和數(shù)據(jù)之間進(jìn)行授權(quán)和取消。研究表明,用戶所具有的權(quán)限易于發(fā)生改變，而某種角色所對應(yīng)的權(quán)限更加穩(wěn)定;(2）有利于合理劃分職責(zé),用戶只有其所應(yīng)具有權(quán)限,這樣可以避免越權(quán)行為,有關(guān)用戶組的關(guān)系描述正是對此的支持;（ｃ)防止權(quán)力濫用，敏感的工作分配給若干個不同的用戶完成，需要合作的操作序列不能由單個用戶完成。支持動態(tài)地改變用戶的權(quán)限:安全管理考慮了訪問權(quán)限不是靜態(tài)，而是動態(tài)的情況。所有對象的權(quán)限均用三元組來表示p(ｏ,ｔ，ｐ)主體在系統(tǒng)中的訪問規(guī)則用四元組來表示（s,o,t，ｐ）。當(dāng)產(chǎn)品系統(tǒng)使用工作流時,可通過產(chǎn)品平臺與安全管理控制核心的接口，重新為編寫訪問規(guī)則，動態(tài)修改主體能力表.動態(tài)分配用戶完成當(dāng)前工作流環(huán)節(jié)所需的權(quán)限.權(quán)限的相互關(guān)聯(lián)：各種權(quán)限不是互相獨(dú)立而是相互關(guān)聯(lián)的,而且權(quán)限可以有感知其它用用戶操作,這可以描述有關(guān)協(xié)同權(quán)限。功能例如在給數(shù)據(jù)編輯控件授權(quán)只讀權(quán)限時，收回用戶對數(shù)據(jù)插入和刪除權(quán)限,該權(quán)限允許感知其它用戶的操作，諸如某用戶改變了數(shù)據(jù)等等。提供方便的授權(quán)/取消機(jī)制和檢查機(jī)制：只要進(jìn)行簡單的賦值操作即可完成授權(quán)，同時由角色分配規(guī)則和主體訪問規(guī)則控制則指導(dǎo)模型式的應(yīng)用。用戶之間的授權(quán)關(guān)系：依據(jù)角色指派關(guān)系,運(yùn)行系統(tǒng)中的用戶自身可以對角色進(jìn)行管理，這提供了又一種動態(tài)改變用戶權(quán)限的手段。通常，角色指派的權(quán)力都在系統(tǒng)中具有管理責(zé)任的用戶手中.一、貨物清單：物理：編號名稱規(guī)格型號功能單位數(shù)量備注核對04003高中學(xué)生電源交流2～16V/3A，每2V一檔；直流穩(wěn)壓2～16V/2A，每2V一檔臺2804003高中學(xué)生電源(改進(jìn)型)雙路0～12V穩(wěn)壓連續(xù)可調(diào)，1.5A，兩路可串聯(lián)使用，限流式過載保護(hù)，自動恢復(fù)。交流一路，0～15V，3A，連續(xù)可調(diào)正弦波。帶不低于2.5級電壓表，延時式過載保護(hù)。臺28可做電子電路實驗04006高中教學(xué)電源交流：2～24V，每2V一檔，2～6V/12A，8～12V/6A，14～24V/3A，直流穩(wěn)壓：1～25V分檔連續(xù)可調(diào)，2～6V/6A，8～12V/4A，14～24V/2A；40A、8s自動關(guān)斷臺104007蓄電池6V，15Ah，閥控式或封閉免維護(hù)式臺204008調(diào)壓變壓器2kVA，TDGC2系列臺104010電池盒4個一組，1號電池，可串并聯(lián)組2804011感應(yīng)圈電子開關(guān)式臺104012直流高壓電源高壓250V、300V、600V、1000V、1200V、1500V，紋波電壓≤0.5V。電流：250V、300V時≥0.1A；600V、1000V、1200V、1500V時≥0.05A；有過載保護(hù)。臺104013學(xué)生高壓微電流源輸入DC6V，輸出電壓不小于17.5kV，短路電流不大于500μA臺2804014教學(xué)用鉛酸蓄電池充電器可充28個可調(diào)內(nèi)阻電池和閥控式鉛－酸蓄電池臺110002木直尺1000mm只2810004鋼直尺200mm只2810004鋼直尺600mm只2810005鋼卷尺5000mm盒2810010游標(biāo)卡尺125mm，0.02mm把2810010游標(biāo)卡尺125mm，0.05mm把2810011外徑千分尺(螺旋測微器)25mm，0.01mm只2810012數(shù)顯游標(biāo)卡尺150mm，0.01mm把111001物理天平500g臺111002學(xué)生天平200g，0.02g臺2811003托盤天平200g，0.2g臺1411003托盤天平500g，0.5g臺111021金屬鉤碼(高中組)50g×4，200g×4套2811022金屬槽碼(高中組)2g×4，5g×4，10g×4，20g×4，50g×4，100g×4，200g×4，5g×1金屬槽碼盤和10g×1金屬槽碼盤套2812001機(jī)械停表0.1s塊2812003電子停表0.01s塊2812004電子停鐘0.1s塊2812005電火花計時器單頻率：0.02s,火花距離不小于10mm,平均電流不大于0.5mA個2812005電火花計時器多頻率：0.01s、0.02s、0.05s,有同步釋放功能個2812006電磁打點(diǎn)計時器個2815003高中數(shù)字演示電表直流/交流電壓、電流，檢流；四位半數(shù)碼管,不小于5cm只315007絕緣電阻表500V只1教師用15008直流電流表2.5級，0.6A，3A只84串并聯(lián)電路每組3只15008直流電流表2.5級，200μA只2815009直流電壓表2.5級，3V，15V只84串并聯(lián)電路每組3只15010靈敏電流計±300μA只2815011多用電表指針式，不低于2.5級只28不低于MF47型15011多用電表數(shù)字式，三位半，電壓﹑電流﹑電阻﹑溫度測試﹑電容﹑二極管測試只28不低于890型15011多用電表數(shù)字式，四位半，電壓﹑電流﹑電阻﹑溫度測試﹑頻率測試﹑電容﹑二極管測試只1教師用，不低于9806型15015交流電流表2.5級，毫安級只2815016演示電流電壓表臺2J0402型15017演示微電流電阻表臺1J0403型15教學(xué)示波器臺115022學(xué)生示波器臺2815023示波器小型、通用。DC10MHz，5mV/div，觸發(fā)電平鎖定臺28不低于4250型15023示波器通用二蹤。多通道，采樣頻率不低于20MHz臺1教師用15023示波器15MHz，慢掃10s/cm臺1教師用15026電阻箱四位9999Ω，0.5級個2815026電阻箱五位99999Ω，0.5級個116030量角器(圓等分器)半圓直徑不小于190mm個28平行四邊形定則、幾何光學(xué)21004慣性演示器套221005摩擦計套2821006螺旋彈簧組0.5N，1N，2N組221006螺旋彈簧組3N，5N只28胡克定律學(xué)生實驗21011帕斯卡球個121024摩擦力演示器臺121025微小形變演示器高矮兩平面鏡,帶支架標(biāo)尺,激光筆可調(diào)角度套121026力的合成分解演示器套121027支桿定滑輪和桌邊夾組每套帶支桿單滑輪、尼龍線、桌邊夾各3件，小鐵環(huán)1件，支桿高度可調(diào)套2821028高中靜力學(xué)演示教具套121029高中力學(xué)演示板套121030杠桿套2821033滾擺(麥克斯韋滾擺)個221034離心軌道有捕球網(wǎng)套121038手搖離心轉(zhuǎn)臺臺1與離心機(jī)械模型配用21039電動離心轉(zhuǎn)臺可調(diào)速臺1與離心機(jī)械模型配用21046毛錢管(牛頓管)帶釋放裝置套121047伽利略理想斜面演示器長度不小于1200mm,一端高度可連續(xù)升降，連接曲面光滑套1可演示勢能和動能轉(zhuǎn)換等21048斜槽軌道有小球121049運(yùn)動合成分解演示器可做勻速-勻速、勻速-勻加速運(yùn)動合成套121050演示軌道小車?yán)秒娀鸹ㄓ嫊r，車拖紙帶式，打點(diǎn)有效距離不小于900mm套121051軌道小車車拖紙帶式，打點(diǎn)有效距離不小于600mm套2821051軌道小車軌道打點(diǎn)式，打點(diǎn)有效距離不小于600mm；套2821053演示斜面小車1200mm套121054斜面小車套2821055氣墊導(dǎo)軌1200mm，可調(diào)臺28與數(shù)字計時器和小型氣源配合使用21056小型氣源氣壓不小于5kPa，低噪聲臺2821057自由落體實驗儀有4個光電門套28與有4光電門擴(kuò)充Ⅰ型數(shù)字計時器配合使用21058水滴運(yùn)動頻閃觀察儀在頻閃光源下連續(xù)觀察均勻水滴自由下落及拋射運(yùn)動套121059牛頓第二定律演示儀套121060牛頓第二定律實驗儀一體化水平雙車軌道，首端可安兩打點(diǎn)計時器，尾端有緩沖，同步剎車不損紙帶，小車質(zhì)量200克，車中可平放4個50克鉤碼，紙帶打點(diǎn)位移不小于600mm套28用兩打點(diǎn)計時器測紙帶位移21061反沖運(yùn)動演示器有兩種以上運(yùn)動形式套121062超重失重演示器記憶指針式個121063超重失重演示儀移動距離不小于1.5米，超重、失重加速度可調(diào)，靈敏測力計示數(shù)可見套121064動能勢能演示器半定量實驗臺121065平拋豎落儀個121066平拋運(yùn)動實驗器套2821067平拋和碰撞實驗器套2821068碰撞實驗器臺2821069沖擊擺實驗器臺121070頻閃運(yùn)動實驗儀套2需數(shù)碼相機(jī)(攝象機(jī))和微機(jī)配合使用，自由落體﹑平拋﹑斜拋、彈性碰撞、機(jī)械能守恒等實驗21071二維空間—時間描跡儀能做平拋、斜拋、碰撞、向心力、單擺振動圖象等實驗套121072向心力演示器臺121072向心力演示器數(shù)顯臺121074向心力實驗器手動指針式臺2821074向心力實驗器電動指針式臺2821076凹凸橋演示器套121077演示力矩盤個121078力矩盤個2821079動量傳遞演示器(碰撞球)不少于5球套121080微重力實驗裝置微重力實驗、自由落體坐標(biāo)系和靜止坐標(biāo)系實驗套1需數(shù)碼相機(jī)(攝像機(jī))﹑微機(jī)﹑攝像機(jī)落體軌道架配合使用22001音叉256Hz套122001音叉512Hz套122005縱波演示器套122021聲速測量儀臺122021共振音叉440Hz對122021聲波演示儀套122021縱橫波演示器臺122021繩波演示器橫波、行波、駐波、模擬偏振，長6米以上套122021波動彈簧扁鋼絲彈簧，外徑不小于66mm，圈數(shù)不小于180，兩端為90°彎折半圓個122021波動演示器簾式臺122021發(fā)波水槽電動波源帶同步頻閃光源套122021發(fā)波水槽機(jī)械振子套122021彈簧振子氣墊式套1配以小型氣源或電吹風(fēng)22021彈簧振子水平式和懸吊式套122彈簧振子振動圖象描繪器自動穩(wěn)定走紙臺122021簡諧振動投影演示器臺122022勻速圓周運(yùn)動投影器臺122023單擺組5個擺球組2822024單擺振動圖象演示器非投影式臺122025單擺運(yùn)動規(guī)律演示器光電門計時套122215油膜實驗器套2822216浸潤和不浸潤現(xiàn)象演示器個122217液體表面張力演示組套122218液體表面張力實驗組套2822219毛細(xì)現(xiàn)象演示器套122220伽爾頓板(道爾頓板)型號：F-DB-BS-3臺122220伽爾頓板(道爾頓板)型號：F-DB-BS-1臺2822222氣體定律實驗器要提供修正體積套2822223玻意耳定律實驗器U型管式,有豎刻度板等套2822224蓋·呂薩克定律實驗器定容燒瓶式，L形玻璃管，橫刻度板等套2823001玻棒(附絲綢)或有機(jī)玻棒(附絲綢)，教師用對123003膠棒(附毛皮)或聚碳酸酯棒(附毛皮)，教師用對123005箔片驗電器教師用對123005箔片驗電器學(xué)生用對2823007靜電計(指針驗電器)對123008感應(yīng)起電機(jī)臺123009枕形導(dǎo)體副123010小燈座個56串并聯(lián)每組至少2個23011單刀開關(guān)個56串并聯(lián)每組至少2個23012滑動變阻器20Ω，2A；個2823012滑動變阻器50Ω，1.5A個2823012滑動變阻器200Ω，1.25A個123019電阻定律演示器臺123024電阻定律實驗器不少于四根導(dǎo)線，長度、截面積、材料不同臺2823025演示線路實驗板高中演示組套123026學(xué)生線路實驗板高中學(xué)生組套2823033單刀雙擲開關(guān)個2823034雙刀雙擲開關(guān)個2823035焦耳定律演示器套123037保險絲作用演示器套123040范氏起電機(jī)臺123041球形導(dǎo)體個123042驗電器連接桿個123043移電球(驗電球)個123044驗電羽對123045驗電幡個123046尖形布電器個12