浅谈网络安全设计论文(精选8篇)
浅谈公路设计与交通安全
公路建设坚持以人为本的理念,遵循安全、舒适、环保、和谐的方针,安全同意日引起重视.谈文针对原有老路改建成二级公路的情况,如何确保行车安全,从公路技术的角度作了一些探讨,供同行参考.
作 者:何勇 王晓璐 作者单位:新疆交通科学研究院刊 名:中国科技博览英文刊名:China Science and Technology Review年,卷(期):2009“”(2)分类号:U412关键词:公路设计 安全评价 旧路改建
随着高校信息化建设的发展, 高校校园网普及程度越来越高, 校园网在教学、科研、校内政务管理方面起到了积极地作用。因此网络安全越来越成为校园网络成功运行的关键因素, 特别是随着多协议、新业务的发展, 网上教学、远程教育、银校一卡通等各种应用使教育网络不再是一个封闭的网络, 网络建设中制定网络安全策略, 部署相应安全防护方案, 保证校园网络的安全顺畅的运行成为迫切需要解决的问题。
二、校园网络安全需求分析
随着校园网络规模不断扩大, 越来越多的校园网络应用开始部署, 网络变得从所未有的重要。网络安全方案有三大挑战需要解决:
其一, 就是不断增加的校园安全出口的安全威胁: (1) 应用层威胁来势凶猛, (2) 网页被篡改, (3) 带宽占用, (4) 服务器应用访问慢, (5) 病毒泛滥, (6) 间谍软件泛滥。其二, 就是业务系统集中后的数据中心安全: (1) 数据共享和海量存储的问题, (2) 访问量过大带来的低性能问题, (3) 数据访问限制问题, (4) 关键数据信息的安全保障问题。其三, 就是校园内网安全建设的烦恼, 这三种安全威胁对于校园网络来说十分重要。 (1) 内部病毒泛滥, (2) 用户接入权限不受控制, (3) 整网安全状况无法掌控。
三、校园网络安全方案设计
某学校网络拓扑结构如图1所示, 针对其网络结构的特点, 我们提出了以下网络安全解决方案。
3.1网络出口防护 (如图2)
当校园网用户访问外网时, 先通过校园网核心路由通过既定策略进行网路选择, 把网络数据包发送到cernet或出口防火墙。同时要注意的是出口防火墙要兼具NAT功能, 满足大流量的用户访问, 同时也能够高网路的安全。
3.2数据中心保护 (如图3)
此方案中以数据中心服务器作为安全方案的核心, 构成数据中心的三重防护。一是以安全特性较高的交换机群构成服务器的保护基础。二是通过ASIC、NP技术构成的IPS网络报文监测系统, 实现流量的清洗功能。三是利用高性能的防火墙对数据中心进行安全加固。
3.3骨干网保护 (如图4)
骨干网作为校园网的核心网络, 向校内的办公网络、学生宿舍网络等源源不断的提供安全稳定的信息血液, 保证整个学校整体业务的安全稳定运行。
四、总结
关键词智能家居;智能安全;无线控制
中图分类号TP文献标识码A文章编号1673-9671-(2011)081-0192-01
1家居智能化的发展现状
家居的智能化在发达国家,特别是美国、日本、欧洲那些电子产业先进的国家应用都比较普遍,并且非常受欢迎。我国虽在这方面起步比较晚,但是从事此类产品开发的企业还是很多的,直到目前为止,家居智能产品在我国市场上的普及率还是比较很低的。究其原因,有以下几个方面:
1)虽然出现在市场上的智能产品很多,但还只是智能产品没有成为智能系统,当然这从智能产品也不能使人们充分的感受到智能产品的优越,家居智能化的好处。
2)当然市场上也出现了一些智能系统,它们似乎成了奢侈品的代名词,少则几万元一套,多则几十万元一套。对于这样昂贵的价格不是一般老百姓所能承受的。这可能是普及不开的重要原因之一。
3)现在的智能产品大多缺乏人性化,不实用,对普通消费者来说花了大价钱购买的产品并不能让消费者觉得物有所值,这可能就是普及不开的另一重要原因吧。
目前,家居的智能化主要由两大部分组成,一部分是家居生活智能化:主要以减轻家居劳动、改善家居环境、增强家居舒适度为目的,属于追求精神享受。这部分应用的前提条件是家庭经济条件较好,对于整天为生活而忙碌的人们,这个部分可能是不必要的。另一部分是家居安全智能化:主要是以保障家居中的生命及财产安全为目标,这种产品虽不是什么必须品,却可以有效的保护家的安全,对于整天为生活而忙碌的人们,只要条件允许他们会考虑的。因此,后者是家居智能化在当前的一段时间甚至以后的好长一段时间直至普通百姓的生活水平大幅提高之前的发展重点,本文研究的就是这种系统。
2家居智能安全系统的设计
对于家居智能安全系统的设计一般由四个部分组成:检测部分,家居网络通信部分,远程通信控制部分以及执行部分。
2.1检测部分
检测部分负责检测家中出现的各种危险信号,属于系统的关键部分,但是这部分实现起来不难,它的检测主要靠各种传感器来完成。一般从以下几方面考虑。
烟火有害气体的检测:这部分主要是为发现、防止火灾的发生和室内有毒有害气体超标的检测。这部分所用的传感器按原理分有温度型、烟雾型和光电型。就目前资料来看,大多数报警器的设计是采用温度传感器或者烟雾传感器完成的。
非法入侵的检测主要防止入室盗窃、入室抢劫这类恶性事件的发生。这类检测方式按原理来分也有三类:
第一类通过红外线对管检测,当有人非法入侵,挡住光线,产生信号实现报警。但是这种检测方式有一定的缺陷,首先对安装精度要求较高。其次是不管发射部分还是接收部分均需要电源,必须有线连接,这样不利于推广。再者是对于熟悉情况的人员或发现检测器的人员,完全可以避开被检测到,使安全系统形同虚设。
第二类是热释电红外探测技术。此技术是通过检测人在常温下向外的红外辐射进行报警。但在实际的应用过程中,由于人体所辐射出的红外能量太过微弱,这就导致了传感器的灵敏度很低。如果在设计中采用这种方法,最好在设计时就选用菲涅尔透镜把微弱的红外线能量进行“聚焦”,这样就可以把传感器的探测距离大大增加。这种检测方式的缺陷是不容易区分人与动物,如果家中养有宠物容易产生误动作。
第三类是门磁窗磁检测。按通常的逻辑有人要想进入房间,不管是非法还是合法都只有门窗可以通过。门磁窗磁传感器就是通过检测门窗是否有位移发生来判断是否有人非法入侵。
对智能系统来说,还有一些专门针对弱势人群的安全保护设计,这也是其它普通安全产品所不具备的。比如长时间未动作检测,可以用来检测老人不慎摔倒不能动,还可以检测老人不舒服躺在床上不想动等等,这可以让在外工作的子女随时了解家中的异常情况。这部分也可以通过热释电技术来实现。还有应急事件检测,当老人在家意外摔倒、扭伤,或者有外人入室作案时实现轻松报警。并且这部分所实现的报警信号一般都会与视频监控连接以便能在第一时间保存图像信息。
2.2家居内部网络通信部分
目前对于家庭内部的联网方式按采用的传输介质分为有线和无线两种方式。有线联网技术在应用时有很大的局限性,正在慢慢地被淘汰。无线联网技术可以提供更大的灵活性、流动性,省去了花在综合布线上的费用和精力,应用于家庭网络已成为必然趋势。目前在家居领域中常用的无线联网技术主要包括蓝牙、ZigBee、红外线、UWB和射频等技术。下面来介绍这几种常用的无线技术。
蓝牙技术是通过把一块无线电收发芯片嵌入到传统的电子设备中而实现通信功能。蓝牙通信使用射频信号,它使用的无线电频段在2.4-2.48GHz之间,其射频信号可以穿透大多数固体物质。蓝牙无线收发器采用频技术。跳频是在一次传输过程中,信号从可用频段的一个频率跳到另一个频率,这样蓝牙传输不会长时间保持在一个频率上,也就不会受到该频率信号的干扰,这一点特点非常适用于家居智能系统。其优点是体积小、功耗低,通信的干扰小,可靠性高,其缺点是成本太高。
ZigBee技术是现在新兴的无线组网技术。主要应用在短距离范围内以及数据传输速率不高的各种电子设备之间,所以非常适用于家电和小型电子设备的无线控制指令传输。其设计的目标功能就是自动化控制。其主要特点包括省电、可靠、时延短、网络容量大、安全、高保密性。
红外通信的技术非常成熟,在家居的控制中扮演着重要的角色:从家电遥控器,到电梯、门禁系统,乃至便携式电脑,都可以见到红外通信的身影。由于其价格低廉,使用方便,解决了有线连接的诸多不便,在家居无线通信中占有很大的市场。但是由于红外线有方向性,不能绕过物体传播等特点,使红外控制在某些方面力不从心,大有被其它无线技术替代的迹象。
超宽带UWB技术是一种时域通信技术,与以上的无线通信技术截然不同,它不使用载波,将信号以0或1的方式直接通过纳秒级脉冲发送出去,其特点是在很宽的带宽上发送低功率信号。它最引人注目的特点是具有很高的数据传输速率,每秒传送数据可达100Mb。并且UWB技术的实现远比其它无线技术简单,功耗极低,具有很高的安全性。另外,UWD信号抗干扰和抗多径衰落能力强,具有多个可利用的信道,尤其适用于室内等密集多径场所的高速无线接入。随着家居智能化的进一步发展,人们要追求更高家居娱乐目标,对信号的传输速率提出了更高的要求。则低成本、低功耗、高传输速率的UWB技术也越来越多受到关注。
这部分的设计是智能产品的重中之重。整个系统的工作是否可靠、性能是否稳定,全由这部分决定。在进行这部分设计时,不管实现什么功能,原则上不能改变家居内部原有产品,这就要求在设计时可能会采用多种通信方式共存的方式,以适应不同家居的不同环境。
2.3远程通信部分
家居内部的网络通信只能解决内部各传感器与主机之间的通信,保证准确的检测出危险信号,并采取相应的安全措施。但对智能安全系统来说还要与相关关系人进行通信,让相关关系人能够了解、控制现场情况。这部分是市场上普通的安全产品做不到的,常用的远程通信方式有基于网络通信和基于电话通信两种方式。
通过网络通信是通过一个网关将相关关系人与家联系到一起。它的特点是只要能上网,无论何时何地,都可以对家进行了解、控制。其优点是工作性能稳定、可靠,缺点是危险的发生不一定发生在能上网时候,并且家居安全系统需要一天24小时连接到网络上,这样的话网络安全就成了不容忽视的问题,处理不好反被利用可能会造成更加严重的后果。
基于电话控制是现在比较常用的方式,其主要是GPRS/GSM技术的应用。目前,移动电话的业务在不断的增加,GPRS/GSM技术已经比较成熟,它具有覆盖范围广、传输速度快、通讯质量高和永久在线等优点,在德国、日本、新加坡等地的家居智能化系统中都得到了广泛的应用,我国一些地方的110联动报警也采用这种方式。目前同时伴随着3G网络的大力推广,移动通信对图像以及视频的传输能力大大增强,这也会极大的促进移动电话在家居智能化中应用。
2.4执行部分
执行部分主要是负责处理各种危险信号,比如各种燃气阀门机械手,当出现火情警报信号时可以关闭燃气。现在市场上的各种类似的器件很多,只要我们做一个小电路,给它个信号就能实现既定的功能。
3总结与展望
家居智能系统是人类科技发展智慧结晶,能给人们提供安全的保障,更重要的能让人们的生活智能化,提高人们的生活质量。随着时间的推移,经济的发展,智能家居必将更多的走进普通百姓的家中。这将会成为以后很长一段时间新的研究热点。
参考文献
[1]丁兆威,智能家居离我们还有多远.人民公安报,2010,8:9-007.
[2]欧阳书,賈玉英.独生子女"代"所带来的家庭结构变化[J].四川文化产业职业学院学报.2009,1:61-63.
[3]邓和莲.热释电红外防盗系统的设计[J].机械工程与自动化.2008,137(2):143-145.
[4]张延鸿.基于WCDMA的智能家居系统设计与实现[D].北京邮电大学,2009.
[5]雷梁.基于ZigBee无线传感网络的嵌入式智能家居监控系统研究[D].西华大学,2009.
[6]莫晓明,陈静.智能家居的无线组网技术[J].微处理机,2007,1:62-66.
作者简介
浅谈液化石油气半挂车设计新趋势对危运车辆行驶安全性能的影响-从多起危化品运输车辆道路交通事故抢险引发的思考之一
国内生产制造的液化气罐车结构多为单车固定式,因其受底盘承载能力的限制,其装载量仅能达到10t.随着近年采液化石油气储运量、需求量的迅猛增加,特别是运输道路质量的提高.小吨位的罐车就显得运输能力低,运输成本高,为此市场上对汽车罐车的单车运输吨位要求越来越大.文章介绍了液化石油气罐半挂车的结构特点及设计方案.通过对罐体的应力计算、强度校核和对整车的.轴荷、行驶稳定性、牵引性能、爬坡能力等的计算,及对样车进行的运行试验,证明该车结构设计合理的趋势.通过深入调查分析把握液化石油气半挂车设计新趋势,具体分析该产品所在的细分市场,对液化石油气罐半挂车行业总体市场的供求趋势及行业前景做出判断.
作 者:谈文学 作者单位:喜威(中国)投资有限公司,广东,广州,510000刊 名:城市建设英文刊名:CHENGSHI JIANSHE YU SHANGYE WANGDIAN年,卷(期):2010“”(11)分类号:U4关键词:液化石油气半挂车 设计 危运车辆 安全性能
金鑫
(新疆思达特通信服务有限公司)
摘要:计算机网络近年来获得了飞速的发展。在网络高速发展的过程中,网络技术的日趋成熟使得网络连接更加容易,人们在享受网络带来便利的同时,网络的安全也日益受到威胁。网络安全逐渐成为一个潜在的巨大问题,安全现状应当引起人们的关注。
关键词:计算机网络;安全;技术
现在,计算机通信网络以及Internet已成为我们社会结构的一个基本组成部分。网络被应用于各个方面,包括电子银行、电子商务、现代化的企业管理、信息服务业等都以计算机网络系统为基础。安全性是互联网技术中的关键也是很容易被忽略的问题。在网络广泛使用的今天,我们更应该了解网络安全,做好防范措施,做好网络信息的保密性、完整性和可用性。
1、网络安全的含义及特征
1.1 什么是网络安全的含义。
国际标准化组织(ISO)将“计算机安全”定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。目前绝大多数计算机都是互联网的一部分,因此计算机安全又可分为物理安全和信息安全,是指对计算机的完整性、真实性、保密性的保护,而网络安全性的含义是信息安全的引申。计算机网络安全问题是指电脑中正常运作的程序突然中断或影响计算机系统或网络系统正常工作的事件,主要是指那些计算机被攻击、计算机内部信息被窃取及网络系统损害等事故。网络安全问题的特点在于突发性、多样性和不可预知性,往往在短时间内就会造成巨大破坏和损失。
1.2网络安全应具有以下五个方面的特征。
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的击。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可控性:对信息的传播及内容具有控制能力。
可审查性:出现的安全问题时提供依据与手段
2、网络安全现状分析和网络安全面临的隐患
2.1网络安全现状分析
互联网和网络应用以飞快的速度不断发展,网络应用日益普及并更加复杂,网络安全问题是互联网和网络应用发展中面临的重要问题。网络攻击行为日趋复杂,各种方法相互融合,使网络安全防御更加困难。黑客攻击行为组织性更强,攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移,网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥;手机、掌上电脑等无线终端的处理能力和功能通用性提高,使其日趋接近个人计算机,针对这些无线终端的网络攻击已经开始出现,并将进一步发展。总之,网络安全问题变得更加错综复杂,影响将不断扩大,很难在短期内得到全面解决。总之,安全问题已经摆在了非常重要的位置上,网络安全如果不加以防范,会严重地影响到网络的应用。
2.2 影响计算机网络安全的隐患
2.2.1 计算机安全漏洞
漏洞也叫脆弱性(Vulnerability),是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。从计算机系统软件编写完成开始运行的那刻起,计算机系统漏洞也就伴随着就产生了,漏洞一旦被发现,就可使用这个漏洞获得计算机系统的额外权限,使攻击者能够在未经授权的情况下访问或破坏系统,从而导致危害计算机系统的安全[2]。计算机系统软件分为操作系统软件和应用系统软件,因此相对应也就有系统软件漏洞和应用系统软件漏洞。我们经常使用的windows操作系统主要有以下安全漏洞:允许攻击者执行任意指令的UPNP服务漏洞、可以删除用户系统的文件的帮助和支持中心漏洞、可以锁定用户账号的帐号快速切换漏洞等等。
2.2.2 TCP/IP的脆弱性
TCP/IP协议是因特网的基础。但该协议更多的考虑使用的方便性,而忽视了对网络安全性和考虑。从TCP协议和IP协议来分析,IP数据包是不加密,没有重传机制,没有校验功能,IP数据包在传输过程中很容易被恶意者抓包分析,查看网络中的安全隐患。TCP是有校验和重传机制的,但是它连建立要经过三次握手,这也是协议的缺陷,服务器端必须等客户端给第三次确认才能建立一个完整的TCP连接,不然该连接一直会在缓存中,占用TCP的连接缓存,造成其他客户不能访问服务器。
TCP/IP模型没有清楚地区分哪些是规范、哪些是实现,它的主机—网络层定义了网络层与数据链路层的接口,并不是常规意义上的一层,接口和层的区别是非常重要的,没有将它们区分开来。这就给一些非法者提供了可乘之机,就可以利用它的安全缺陷来实施网络攻击。
2.2.3 计算机网络通信的不安全性
在计算机网络中,网络攻击者通过非法的手段获得用户权限,并通过使用这些非法的权限对主机进行非授权的操作,我们知道因特网是由无数个局域网所连成的一个巨大网络,当处于不同局域网的两台主机进行通信时,它们之间互相传送的数据流要经过许多机器的重重转发,如果网络攻击者利用数据流传输路径上的一台主机,他就可以劫持用户的数据包,从而造成一些重要数据的泄露。
2.2.4 用户安全意识不强
在计算机网络中,我们设置了许多安全的保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。许多应用服务系统在访问控制及安全通信方面考虑较少,系统设置错误,很容易造成重要数据的丢失,管理制度不健全,网络管理、维护不彻底,造成操作口令的泄漏,机密文件被人利用,临时文件未及时删除而被窃取,这些,都给网络攻击者提供了便利。例如人们为了避开代理服务器的额外认证,直接进行点对点协议的连接,从而避开了防火墙的保护。
3、计算机网络安全的对策措施
3.1采用相应网络安全技术加强安全防范。
为了减少网络安全问题造成的损失,保证广大网络用户的利益,我们必须采取网络安全对策来应对网络安全问题。但网络安全对策不是万能的,它总是相对的,为了把危害降到最低,我们必须采用多种安全措施来对网络进行全面保护。
1)漏洞补丁更新技术。一旦发现新的系统漏洞,一些系统官方网站会及时发布新的补丁程序,但是有的补丁程序要求正版认证(例如微软的Windows操作系统),也可以通过第三方软件如:系统优化大师(Windows优化大师),360安全卫士,瑞星杀毒软件,金山杀毒软件,迅雷软件助手等软件扫描系统漏洞并自动安装补丁程序。
2)病毒防护技术。随着计算机技术的高速发展,计算机病毒的种类也越来越多,病毒的侵入必将影响计算机系统的正常运行,特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而给用户造成极大的损失。电脑病毒的防治包括两个方面,一是预防,以病毒的原理为基础,防范已知病毒和利用相同原理设计的变种病毒,从病毒的寄生对象、内存驻留方式及传染途径等病毒行为入手进行动态监测和防范,防止外界病毒向本机传染,同时抑制本机病毒向外扩散。二是治毒,发现病毒后,对其进行剖析,选取特征串,从而设计出该病毒的杀毒软件,对病毒进行处理。目前最常用的杀毒软件有瑞星、金山、卡巴斯基、NOD32等。
3)防火墙技术。防火墙是一种计算机硬件和软件的结合,是在内部网络和外部网络之间、专用网与公共网之间的界面上构造的保护屏障,用来加强网络之间的访问控制,防止外部网络用户以非法手段进入内部网络,从而保护内部网免受非法用户的侵入,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,同时监视网络运行状态,提供网络使用情况的统计数据,并写入日志记录,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
4)数据加密技术。数据加密技术是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,从而达到保密的要求[3]。将一个信息或数据包经过加密钥匙及加密函数转换,对信息进行重新编码,从而隐藏信息的真实内容,变成无意义的密文,使非法用户无法获取信息,即使被非法用户获取,也因为不知到解密钥匙而无法将期破译,而接收方则通过解密函数、解密钥匙将此密文还原。加密技术是计算机网络安全技术的基石,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
除了加强计算机软硬件的技术外,还应加强结物理网络安全的保护措施,如:为主机和网络设备配备备用电源和电源保护,主服务器要加屏幕密码保护及键盘锁,对重要资料进行及时备份且保存到主机房外的安全地方,网络管理人员有专业人员专人担任等。
3.2明确网络安全目标。
要解决网络安全,首先要明确实现目标:
(1)身份真实性:对通信实体身份的真实性进行识别。(2)信息机密性:保证机密信息不会泄露给非授权的人或实体。(3)信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。(4)服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。(5)不可否认性:建立有效的责任机智,防止实体否认其行为。(6)系统可控性:能够控制使用资源的人或实体的使用方式。(7)系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。(8)可审查性:对出现问题的网络安全问题提供调查的依据和手段。3.3制定网络安全政策法规,普及计算机网络安全教育。
作为全球信息化程度最高的国家,美国非常重视信息系统安全,把确保信息系统安全列为国家安全战略最重要的组成部分之一,采取了一系列旨在加强网络基础架构保密安全方面的政策措施。因此,要保证网络安全有必要颁布网络安全法律,并增加投入加强管理,确保
信息系统安全。除此之外,还应注重普及计算机网络安全教育,增强人们的网络安全意识。
4、结语
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,成为当务之急。
参考文献:
【1】 杨义先.网络安全理论与技术.北京:人民邮电出版社,2003.【2】张世永.网络安全原理与应用.北京:科学出版社,2003
【3】俞承杭.计算机网络与信息安全技术.北京:机械工业出版社,2008
作者简介
︽ 网 络
安
案 全
例 ︾
设
计
报
告
题 目 企业网络安全方案的设计
学 号 1***
班 级 11级网络1 班
姓 名 XXX
指导老师 XXX
要解决的几个关键问题
目录
摘 要:.......................................................................................................2
一、引言....................................................................................................2
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:.....................................................................................................................3
三、设计原则............................................................................................4
四、企业网络安全解决方案的思路........................................................5
(一)安全系统架构..........................................................................5
(二)安全防护体系..........................................................................5
(三)企业网络安全结构图..............................................................6
五、整体网络安全方案............................................................................7
(一)网络安全认证平台..................................................................7
(二)VPN系统................................................................................7
(三)网络防火墙..............................................................................8
(四)病毒防护系统..........................................................................8
(五)对服务器的保护......................................................................9
(六)日志分析和统计报表能力....................................................10
(七)内部网络行为的管理和监控..............................................11
(八)身份认证的解决方案............................................................12
六、方案的组织与实施方式..................................................................12
七、总结..................................................................................................13 教师评语:..............................................................................................14
要解决的几个关键问题
设计企业网络安全方案
摘 要:
随着互联网的不断更新与发展,它给我们带来了极大的利益和方便。但是,随着互联网的空前发展以及互联网技术的普及,使我们面临另外提个困境:私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下,伴随而来的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着互联网的空前发展以及互联网技术的不断普及,企业的重要数据信息都被暴露在公共网络空间下,很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视。因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,如何使企业信息网络系统免受黑客和病毒的入侵,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展。
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多 2
要解决的几个关键问题
样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子 化、信息化的发展将起到非常重要的作用。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
图说明 图一 企业网络简图
要解决的几个关键问题
(一)对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
(二)由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.技术先进性原则 2.系统性原则
要解决的几个关键问题
3.管理可控性原则 4.技术与管理相结合原则 5.多重保护原则 6.系统可伸缩性原则 7.测评认证原则
四、企业网络安全解决方案的思路
(一)安全系统架构
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。
(二)安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
要解决的几个关键问题
图说明 图二 网络与信息安全防范体系模型
(三)企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
要解决的几个关键问题
五、整体网络安全方案
(一)网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1.身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
2.数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3.数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4.不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
(二)VPN系统一个完全私有的网络可以解决许多安全问题,因为很多恶意攻击者根本无法进入网络实施攻击。但是,对于一个普通的地理覆盖范围广的企业或公司,要搭建物理上私有的网络,往往在财政预算上是不合理的。VPN技术就是为了解决这样一种安全需求的技术。
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
要解决的几个关键问题
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。其网络结构一般如下:
图说明 图四 防火墙
安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。所有来自internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。
入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行。
(四)病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
要解决的几个关键问题
1.邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
2.服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
3.客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
4.集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
(五)对服务器的保护
服务器的安全对企业来说是至关重要的,近几年来,服务器遭遇“黑手”的风险越来越大,就最近服务器遭遇病毒、黑客攻击的新闻不绝于耳。首先,这些恶意的攻击行为,旨在消耗服务器资源,影响服务器的正常运作,甚至攻击到服务器所在网络瘫痪。还有一方面,就是入侵行为,这种大多与某些利益有关联,有的涉及到企业的敏感信息,有的是同行相煎。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次 9
要解决的几个关键问题
结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式):
图说明
图五
邮件系统保护
(六)日志分析和统计报表能力
所有的网站统计报告都是相同的么?日志分析与实时统计分析工具报告和追踪网站的活动都有着很大的区别。因为他们收集不同的信息,所以提供的报告也许并不一致。实时统计工具的优势在于跟踪访问者行为和精确的页面浏览量统计。
如果很清楚的理解这些工具是怎样进行统计的,您将能更好的理解两种报告的差异,并协调使用不同的数据,从而帮助您在营销和市场活动中做出更有效的决定。
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种 10
要解决的几个关键问题
形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。
(七)内部网络行为的管理和监控
内部网络行为监管审计系统是在网络整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,采取多层架构、分布式设计,可满足党政机关以及企事业单位对保障数据、信息的安全性及完整性的迫切要求。对内部网络行为的管理监控结果有效,审计结果取证完整、记录可信。以下是几种系统:
1.监控中心控制台
运行在Windows2000各种版本/Windows XP下,对系统安全策略进行统一管理与发布,对系统的安全设备及配置进行统一管理,对系统的日志进行审计、分析、报告,对安全事件进行应急响应和处理,可随机抽查网络内受控主机的屏幕信息并可记录和回放。2.身份认证识别服务器
运行在Windows2000 Server版本下,采用一次一变的动态口令,有效的解决了一般静态口令易截取、易窃听、易猜测等安全隐患,用于内部网使用人员的身份管理和网络安全管理员身份的认证控制。3.受控主机代理
运行在Windows2000各种版本/Windows XP下,根据监控中心控制台设置的策略规则(包括登录策略、文件策略、一机两用策略、屏幕监控策略、输入输出策略等),实时进行信息采集,阻止违规操作,将违规操作报警到控制台。4.邮件监控器代理
运行在Windows2000各种版本下,安装在邮件服务器中,根据监控中心控制台设置的邮件策略规则,根据时间段、计算机的IP地址、Email地址进行阻止、报警,将违规操作报警到控制台。5.网络感应器代理
运行在Windows2000各种版本/Windows XP下,采集网络中的信息流量,根据控制台的要求,将采集的网络信息流量上传到控制台,进行审计统计。并可实时检测出网络内非法接入的其它设备。
要解决的几个关键问题
则内网综合保护简图如下图七所示:
图说明
图七
内网综合保护
(八)身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全 12
要解决的几个关键问题
流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本课程设计以某公司为例,分析了网络安全现状,重点提出了管理技术和维护技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从
要解决的几个关键问题
技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
一般地, 传统的城市道路交通网络设计问题 (Network Design Proble m, 简称NDP) 的研究内容是:在现有投资规模条件下, 通过在现有交通网络中增加新的路段或更新、改善已有路段的供给能力, 从而达到使整个交通网络某种系统性能最优的目的。实质上是一定约束条件下的最优投资决策问题。通常NDP被分为三种形式:改进现有路段供给能力的连续网络设计问题 (Continuous Network Design Proble m, 简称CNDP) , 在现有交通网络中添加新路段的离散网络设计问题 (Discrete Network Design Problem, 简称DNDP) 以及同时采用改进现有路段和在网络中添加新路段这两种手段的混合网络设计问题 (Mixed Network Design Problem, 简称MNDP) 。MNDP被认为更切合实际问题, 不过其求解也更加复杂和困难。长期以来, 城市道路交通网络设计问题一直被认为是交通研究领域中最具挑战性的问题之一。
二、城市交通网络设计需要注意的几个方面
(一) 从城市总体规划角度来进行城市交通网络设计
引导城市用地总布局向合理状态转化而进行必要的调整, 改变单一中心的布局结构, 减少跨区域的交通生成量, 缩短出行距离, 使交通均衡分布。当然, 要从根本布局上解决城市问题, 必须从城市总体规划的角度, 依靠各种宏观手段、理论和方法, 将城市道路交通规划与城市经济发展规划相结合。但是道路网络规划与设计工作必须贯彻“引导城市合理用地”的策略思想。这种基于整个或局部交通网络的道路更新、改进工作可以避免从一条道路、一个交叉路口去解决眼下的交通拥挤问题的思想和方法而带来的种种弊病。
(二) 从全局出发, 不断完善城市交通网络
立足于逐步改革城市道路系统结构, 逐渐形成一个完整的、合理的、分流的道路系统。一定要从全局观点出发、从系统工程的角度考虑, 在挖掘现有设施的潜力、通过严格的组织管理和提高现有道路系统通行能力的同时, 对已不适应现代化交通需求的道路交通设施应及时更新改造、完善城市道路网络, 增强其通行能力。
(三) 降低现代交通带来的环境污染
日益严重的交通污染要求人们在进行道路网络设计以求改善交通拥挤状况的同时, 必须考虑降低交通污染这一不容忽视的因素。值得注意的是, 交通网络设计中有所谓的交通尾气排放悖论存在, 即交通网络的改善反而可能导致尾气排放总量的增加。道路网络结构的改善、道路通行能力的提高, 必然会引起交通结构的改变, 交通流量在路网上的重新分配, 车辆行驶速度时空分布的变化等等, 因此在采取旨在同时降低交通拥挤和交通污染的措施时必须进行谨慎细致的系统分析。
三、交通网络设计方法
(一) 道路网布局
城市道路网的布局有四种类型:方格网, 环形放射网, 自由网, 混合网。
1) 方格网 (棋盘式) :每隔一定距离设置纵向的、和横向的接近平行的道路, 但由于地形和历史等原因, 方格网一般不一定是严格垂直和平行的。这种布局的优点是:a.布局整齐, 有利于建筑布置和方向识别;b.由于多为四肢垂直交叉口, 简化了交通组织和控制。缺点是:道路非直线系数比较大。方格网适用于地势平坦的中小城市以及大城市的局部地区的干道网。
2) 环形放射式:环形放射式的道路网由若干条环线 (不一定成圆形) 和起自城市中心或环线上的某一点的射线组成。这种布局的优点是:a.有利于市中心与各分区, 郊区的交通联系;b.非直线系数较小。缺点是:因街道形状不够规则, 交通组织比较复杂。环型放射式道路网一般适用于大城市和特大城市的主干道网。
3) 自由式:受历史原因、山地、河流的影响, 道路的线路走行无一定规则, 形成自由式。种布局的优点是:a.能充分结合自然地形;b.节约道路工程费用。缺点是:道线路不规则, 造成建筑用地分散, 和交通组织困难。自由式适用于山区城市和河流较多的城市。
4) 混合式:因地制宜, 将上述两种、或三种道路网形式的混合在一起。混合式使用得当以尽得各式样的优点、扬长避短。我国大多数城市采用方格式与环形放射式的混合式。
(二) 道路的类型 (规格)
城市道路可分为快速路、主干路、次干路、支路、和自行车专用路、商业步行专用路等。小城市只分干路和支路两种, 前四种道路是主要为机动车服务的, 也是最常见的。
(三) 交叉口设计
交叉口是城市道路网的主要组成部分, 在设计道路网时, 应该同时考虑交叉口的设计。交叉口的设计主要是个微观的设计问题。在此, 我们只介绍交叉口的各种类型以及确定类型的标准。
预先介绍两个概念。交叉口的进口道:路段上在靠近交叉口用于分离不同流向车流和停放排队车辆的部分。进口道的车道数是分流向的、并且一般多于路段的车道数。交叉口的通行能力:各个方向进口道单位小时可通过的最大标准车辆数之和。
交叉口分类:从管制方式分, 有:无信号灯、有信号灯。从分隔方式分, 有:平面交叉、立体交叉。这里立体交叉口是指互通式立体交叉口。如果一个立体交叉口不是互通式的, 不同方向的车辆就不能在此分流和汇流, 这本身就不具有交叉口的全部含义, 故这里不含盖这种交叉口。在下列情况下, 可采用互通式交叉口:快速路×市郊高速公路;快速路×快速路;快速路×主干路;快速路×次干路;主干路×主干路、且交叉口交通量很大;各进口道上流量之和大于或接近交叉口通行能力, 而又无法通过改进交叉口几何布置来提高其通行能力的交叉口。城市的互通式立交形式有:苜蓿叶式、部分苜蓿叶式、菱形、环形、三路喇叭型、三路环型等。应该根据相交的道路上的流量, 在节省建设投资的前提下, 选择最适合的交叉口。设计时还要注意:1) 快速路、主干路、次干路、支路四级道路不能超级相交, 如快速路不要与次干路相交;2) 环形交叉口通行能力低于非环形平面交叉口, 因此大城市较少采用, 一般规定:当规划交通量2700pcu/h时, 不宜采用环形交叉口。
四、小结
一、全面采用TMN的体系结构
TMN是国际电信联盟ITU—T专门为电信网络管理而制定的若干建议书,主要是为了适应通信网多厂商、多协议的环境,解决网管系统可持续建设的问题。TMN包括功能体系结构、信息体系结构、物理体系结构及Q3标准的互联接口等项内容。通过多年来的不断完善和发展,TMN已走向成熟。国际上的许多大的公司(例如SUN,HP等)都开发出TMN的应用开发平台,以支持TMN的标准;越来越多国际、国内的通信设备制造厂商也宣布接受Q3接口标准,并在他们的设备上配置Q3接口。国内的公用网、部分专用通信网都有利用TMN来建设网管系统的成功范例,例如:全国长途电信局利用HP的TMN平台OVDM建设全国长途电信三期网管;无线通信局利用SUN的SEM平台建设TMN网络管理系统。TMN的优点在于其成熟和完整性,是目前国际上被广泛接受的体系中最为完整的通信网管标准体系;TMN的不足在于其复杂性和单一化的接口。这些问题在网管系统建设中应该加以考虑。
二、兼容其他网管系统标准
在接受TMN的同时,兼容其他流行的网管系统的标准以解决TMN接口单一的问题,对电力通信网管系统的建设十分有好处,尤其在强调技术经济效益的今天,这一点更为重要。SNMP简单网路管理协议所构成的网络管理是目前应用最为广泛的TCP/IP网络的管理标准,SNMP网络管理系统实际上也是目前世界上应用最为广泛的网络管理系统。不仅计算机网络产品的厂商,目前越来越多的通信设备制造厂商都支持SNMP的标准。因此电力通信网管系统应该将SNMP简单网路管理协议作为网络管理的标准之一,尤其在通信网与计算机网的界限越来越模糊的今天,其效益是显而易见的。
三、采用高水平的商用TMN网管开发平台作为开发基础
网络管理是一个巨大、复杂的工程,涉及面广,难度大,特别是像TMN这样的系统,而综合业务及综合接入功能的要求又增加了系统的难度。依照标准的建议书从基础开发做起的方法无论从时间、经济的角度来说都是不可取的。高层网管应用开发平台是世界上具有相当实力的厂商,投巨资历时多年开发出来的商用系统,目前比较成熟的有SUN公司的SEM、HP公司的OPEN View、IMB的NetView等。每一种商用系统都为建设通信网络管理系统提供了一整套管理、代理、协议接口及信息数据库开发的工具和方法。利用商用TMN网管平台作为核心来构筑电力通信网管系统,屏蔽了TMN网管系统的复杂性,可大大降低开发难度,缩短开发时间,提高分开的成功率。
四、网管系统的网络化
网管系统互联组成网管网络这一点是不言而喻的。从长远的观点来讲,电力通信网管应接受异构网互联的观念,即不同层次、不同厂商甚至不同体系结构的系统之间应不受阻碍的互联,组成一个具有广泛容纳性的网管网络。规定一种或几种统一的标准互联接口作为系统互联的限制约定是目前网管系统之间互联的最可行的方法,如采用CMIP的Q3接口、SNMP的简单网络管理协议作为网管之间互联的标准协议接口。当然随着技术的发展这种限制可能会有所改变,例如:CORBA技术的应用会对目前的状况产生影响。虽然统一接口有系统花费大的不足,但是统一接口在数据互联中的优点是显而易见的。
五、综合接入性
网管必须满足各种通信网络、通信设备的接入要求,兼容各种制式、各个厂商的产品。TMN网管系统本身支持的标准接口有限,能够直接接入TMN网管系统的通信系统、通信设备并不多,大量通信设备的接入依靠网管系统提供的代理转换机制,网管系统通过协议适配器这样的网管部件,将通信设备上的五花八门的管理数据接口转换成统一的网管系统支持的标准接口(例如Q3适配器,SNMP PROX等),实现网管对通信设备的接入。对于设备种类繁多的电力通信网,这个环节尤为重要。
六、完善的应用功能及客户应用接口的开放性
在今天这样的市场竞争环境下,网管系统的应用功能是否完善、丰富,能否满足用户的要求、适应网络的变化,总之网管系统的应用功能是否能得到用户的认可,是网管系统成败的关键。应用功能的设置应该能由用户来选择,用户的应用界面应该满足用户的要求。这要求网管系统除了具有根据用户要求定制的能力外,重要的一点是网管系统的应用功能接口应具有开放性,应能支持满足应用功能接口的第三方应用程序,在不改变基础系统的情况下不断推出新的应用功能、用户界面,满足用户的要求。由于电力通信网采用行政划分的管理方式,各级用户的管理功能要求的不一致性更大,应用功能开放性的要求显得更为重要。
七、网管系统的一体化和独立性
网管系统应实现电力通信网的一体化管理,即各种功能网络管理系统的应用程序统一设计,采用统一的界面风格,采用一致的名词术语。用统一的管理操作界面去操作控制不同型号、厂家的同类功能设备。在同一个平台、界面上监视、处理网络告警,控制网络运行。真正的网络管理系统应具有独立性,系统不应依赖于某个设备制造厂商;网管系统应能保证所有的厂商都得到同样公平和有效的支持。这样做的目的是为了保证通信系统本身的发展,确保不会因网管系统方案选择限制通信系统本身。这一点对于多样化特点十分明显的电力通信网尤为重要。
【浅谈网络安全设计论文】推荐阅读:
网络安全的目的论文06-24
无线网络安全的论文07-25
学校网络安全设计方案06-25
计算机网络安全虚拟网络技术分析论文07-28
企业网络安全方案设计09-22
大学校园网络安全预防措施论文06-16
计算机网络安全与防范论文09-21
云计算下网络安全防范技术分析论文07-09
浅谈行车现场安全管理论文06-19
安全工程设计论文07-08
