時間:2022-10-19 07:36:00
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇備份技術論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:網絡存儲,SAN,數字化
0 概述
隨著校園計算機網絡范圍的擴大,應用的普及,很多校園應用對存儲容量的需求呈指數級增長。如何在數字化校園環境下,保障數據的安全存儲與備份,成為數字化校園實施過程中一個不可避免的問題。校園數字化平臺對數據存儲提出了以下需求:
(1)需要海量的網絡存儲能力,能滿足日益增長的數據存儲需求;
(2)能進行跨平臺數據共享,并具有完備的安全管理機制;
(3)能集中進行數據管理、具有完善的數據保護和恢復措施;
(4)具有良好的存儲擴展性。
目前主流的存儲技術主要有直接附加存儲(Direct Attached Storage, DAS)、網絡附加存儲(NetworkAttached Storage,NAS)和存儲區域網絡(StorageArea Network,SAN)。
(1)DAS
DAS通常采用直接在服務器上添置硬盤的方式來擴充存儲容量,當服務器無法容納新的硬盤時,需重新購置能夠容納更多存儲容量的服務器。在DAS方式下,數據的讀寫和存儲的管理主要依賴于服務器上的操作系統,并且在數據備份和恢復時需要占用服務器資源。隨著存儲的數據越來越多,備份和恢復的時間越來越長,對服務器硬件的依賴和影響也就越來越大。該數據存儲方式無法滿足校園數字化平臺對存儲的需求。論文格式,網絡存儲。
(2)NAS
NAS是一種專業的網絡文件存儲及備份設備,適用于通過網絡將文件數據傳送到多臺客戶機上的應用。在數據需要長距離傳送的環境中優勢尤為顯著。NAS設備提供RJ-45接口和單獨的IP 地址,可以將其直接掛接在校園主干網的交換機上。但遇到校園主干網故障,則依賴于校園主干網的業務和數據都將無法得到保障。論文格式,網絡存儲。
(3)SAN
存儲區域網絡可分為FC-SAN和IP-SAN。處于SAN環境下的主機和應用系統共享存儲設備和數據,具有很強的擴展能力。在不影響主機和應用系統正常運行的情況下,可以擴展存儲容量和性能,增加服務器數量不會影響存儲系統。通過對FC-SAN環境下存儲控制器、RAID 卡、HBA卡、光纖交換機和服務器等設備或組件的冗余設計,消除存儲區域網絡中主要部件的單點故障,增強系統的可靠性。
采用FC-SAN的存儲環境能夠為校園數字化平臺提供可擴展的存儲架構、在提供海量網絡存儲能力的同時,不同級別的RAID為校園應用提供不同等級的數據安全保障,滿足校園數字化平臺中不同應用對存儲的需求。論文格式,網絡存儲。
2 應用舉例
在校園數字化平臺中主要包括以下幾類應用,這些應用對存儲提出了不同的需求:
(1)學校Web網站, 包括學校WWW服務器, 各行政部門、二級學院、教研室等各類服務器, 數目眾多, 這些都需要有備份服務的支持。
(2)校園郵件系統(包括教師郵件系統和學生郵件系統)以及相應的郵件網關系統,需要提供對郵件數據的備份。
(3)大型計費系統(如一卡通計費系統、圖書借還系統等)對數據的安全性要求較高,需要做到實時備份。
(4)視頻點播系統及網絡課件系統等媒體資源要求提供海量的存儲能力。
(5)辦公管理軟件系統(如辦公自動化、學籍管理系統、迎新系統、離校系統、教工檔案管理系統等)需要對數據提供備份服務。
(6)數字圖書館系統需要提供海量存儲能力及數據管理能力。
對于大型計費系統和辦公管理軟件系統等這些對數據安全性要求較高的應用,可以采用RAID 1存儲級別,對于其他對數據安全性要求不高,但需要提供海量存儲系統的應用可以采用RAID 5存儲級別。存儲區域網絡系統架構如圖1所示,其中磁盤陣列采用雙控,服務器、光纖交換機與存儲陣列之間均采用冗余設計,降低單點故障的風險,以保障關鍵業務的持續運行。論文格式,網絡存儲。
圖1:存儲區域網絡系統架構圖
3 總結
校園數字化是一個必然的趨勢。論文格式,網絡存儲。選擇合理的存儲方案能夠滿足未來一段時間內校園數字化平臺對存儲的需求。論文格式,網絡存儲。雖然選擇存儲區域網絡架構方案在校園數字化建設初期投入多一點、但是它所支持的應用和擴展性回報是值得的。
參考文獻
[1]章偉輝,方趙林,王萬良.校園網絡存儲系統的研究[J].浙江工業大學學報,2005(10):529-533
[2]鄭麗華.網絡存儲技術的對比研究與思考[J].信息系統工程,2010(3):57-59
[3]李行,黃緊.高校網絡環境下網絡存儲系統的設計[J].電腦知識與技術,2010(6):550-551
關鍵詞:信息安全,網絡,措施作者,才讓昂秀,單位,青海省交通通信信息中心
一、信息安全的概念
目前,我國《計算機信息安全保護條例》的權威定義是:通過計算機技術和網絡技術手段,使計算機系統的硬件、軟件、數據庫等受到保護,最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密,系統能夠正常運行,使用戶獲得對信息使用的安全感。信息安全的目的是保護信息處理系統中存儲、處理的信息的安全,其基本屬性有:完整性、可用性、保密性、可控性、可靠性。
二、計算機網絡系統安全因素剖析
(一)來自計算機網絡的病毒攻擊
目前,計算機病毒的制造者大多利用Internet網絡進行傳播,所以廣大用戶很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統,也可能會大量占用網絡帶寬,阻塞正常流量,如:發送垃圾郵件的病毒,從而影響計算機網絡的正常運行。
(二)軟件本身的漏洞問題
任何軟件都有漏洞,這是客觀事實。就是美國微軟公司,全球的軟件霸主,也不例外。但是這些漏洞恰恰是非法用戶竊取用戶信息和破壞信息的主要途徑。針對固有的安全漏洞進行攻擊,主要有:①協議漏洞。利用POP3等協議的漏洞發動,獲得系統管理員的特權;②緩沖區溢出。攻擊者利用該漏洞發送超長的指令,超出緩沖區能處理的限度,造成系統運行的不穩定,使用戶不能正常工作;③口令攻擊。黑客通過破譯,獲得合法的口令,而入侵到系統中 。還有IP地址轟擊等方法,不一一舉例。
(三)來自競爭對手的破壞
俗話說:同行是冤家。有的企業利用不正當手段,對同行進行破壞。攻擊對方的網站或篡改對方的信息,或在其他網站上散布謠言,破壞競爭對手的良好形象。有的轟擊對方的IP地址,使對方的網站不能正常工作。論文參考,措施作者。
(四)用戶使用不慎產生的后果
計算機管理人員平時工作馬虎,不細心,沒有形成規范的操作,也沒有制定相應的規章制度。很多管理人員安全意識不強,將自己的生日或工號作為系統口令,或將單位的賬號隨意轉借他人使用,從而造成信息的丟失或篡改。
三、網絡信息安全的應對措施
(一)加強入網的訪問控制
入網訪問控制是網絡的第一道關口,主要通過驗證用戶賬號、口令等來控制用戶的非法訪問。對用戶賬號、口令應作嚴格的規定,如:口令和賬號要盡可能地長,數字和字母混合,避免用生日、工號等常見的東西作口令,盡量復雜化,而且要定期更新,以防他人竊取。目前安全性較高的是USBKEY認證方法,這種方法采用軟硬件相結合,很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設備,用戶的密鑰或數字證書無需存于內存,也無需通過網絡傳播。因此,大大增強了用戶使用信息的安全性。論文參考,措施作者。
(二)加強病毒防范
為了能有效地預防病毒并清除病毒,必須建立起有效的病毒防范體系,這包括漏洞檢測、病毒預防、病毒查殺、病毒隔離等措施,要建立病毒預警機制,以提高對病毒的反應速度,并有效加強對病毒的處理能力。論文參考,措施作者。主要從以下四個方面來闡述:
1.漏洞檢測。主要是采用專業工具對系統進行漏洞檢測,及時安裝補丁程序,杜絕病毒發作的條件。
2.病毒預防。要從制度上堵塞漏洞,建立一套行之有效的制度;不要隨意使用外來光盤、移動硬盤、U盤等存儲設備。
3.病毒查殺。主要是對病毒實時檢測,清除已知的病毒。要對病毒庫及時更新,保證病毒庫是最新的。這樣,才可能查殺最新的病毒。
4.病毒隔離。主要是對不能殺掉的病毒進行隔離,以防病毒再次傳播。
(三)進行數據加密傳輸
為防止信息泄漏,被競爭對手利用,可對傳輸數據進行加密,并以密文的形式傳輸。即使在傳輸過程中被截獲,截獲者沒有相應的解密規則,也無法破譯,從而保證信息傳輸中的安全性。比如:微軟公司的WindowsXP就有這樣的數據加密功能。
(四)采用防火墻技術
應用過濾防火墻技術能實現對數據包的包頭進行檢查,根據其IP源地址和目標地址做出放行或丟棄決定,但對其攜帶的內容不作檢查;應用防火墻技術能對數據包所攜帶的內容進行檢查,但對數據包頭無法檢查。因此,綜合采用包過濾防火墻技術和防火墻技術,既能實現對數據包頭的檢查,又能實現對其攜帶內容的檢查。論文參考,措施作者。
(五)應建立嚴格的數據備份制度
一要重視數據備份的重要性,認為它很有意義,是一個必要的防范措施;二要嚴格執行數據備份制度。要定期或不定期備份,對重要數據要有多個備份。因為殺毒軟件不是萬能的,以防萬一,很有必要建立數據備份制度。
(六)加強安全管理
安全管理對于計算機系統的安全以及可靠運行具有十分重要的作用。就目前而言,應做到以下幾點:
1.樹立守法觀念,加強法制教育。有關計算機和網絡的一些法律知識,要了解并熟悉,如:《中國信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等條例,培養良好的法律意識。
2.制定并嚴格執行各項安全管理規章制度。論文參考,措施作者。論文參考,措施作者。包括出入機房制度、機房衛生管理制度、在崗人員責任制、機房維護制度、應急預案等。
3.建立檢查機制。定期或不定期地對計算機系統進行安全例行檢查,要有記錄,看落實情況,以免流于形式。
(七)培養用戶的信息安全意識
要注意個人信息的保護,不要將個人信息隨意保存在紙質上,在ATM上交易時,也要防止是否有人偷窺,不要使用真實信息在網站上注冊等等,時時刻刻培養自己的信息安全意識。
以上是本人對計算機網絡信息安全的初淺認識。單位決策者不但思想上要高度重視,而且行動上也要給予大力支持,包括財力和人力。只有這樣,才有可能保證單位用戶對網絡信息的安全使用。
【關鍵詞】廣電技術 科技情報
隨著我國改革步伐的加快,電視采、編、播技術領域進行了現代化的數字化革命,數字技術給電視行業帶來了新的技術和設備,由于計算機技術在廣電行業的應用,專業電視制作設備的更新換代周期將縮短,電視節目制作的手段、模式、工作流程將發生根本性的轉變。廣電技術人員必須主動掌握新技術、新設備,捕捉最新的電視制作技術的發展動態,比較各種電視設備的性能優劣、價格高低,深入了解新技術的原理與應用情況,為持續發展掌握第一手資料。
一、科技情報工作的步署與實施
電視技術科技情報工作是一項提高業務能力、把握專業領域的最新技術,是開拓視野的有效途徑,它將隨時跟蹤新技術、新設備的發展動態,提供有價值的參考和技術依據。科技情報工作包括:收集、管理和情報的分析、研究與提供三方面。
(一)收集
范圍:以現代電視技術為中心、相關視聽技術為周邊,以數字主模擬為輔的現代電視采編制作的技術文獻、視聽產品等。主要類型包括:技術說明、產品說明、產品操作手冊、技術標準、產品宣傳品、相關科技工具書、技術期刊、技術會議文獻、技術論文以及光盤錄像資料等。主要內容包括:音頻、視頻、計算機技術。收集方法:
1.隨機資料。這部分資料是隨著買進的設備一起附送的,既各種已引進設備的說明書、操作手冊及附本等。
2.訂購。每年通過郵局期刊預訂或匯款郵購,收集電視技術專業期刊、會議論文文獻及各種標準等。
3.索要。通過與廠家聯系,直接索要某一產品的詳細資料。
4.網絡下載。定期上網搜索,訪問各個電視技術網站,下載、收集電視技術領域最新的科技發展動態。
5.現場收集。通過參加各種產品展示會、技術交流會,集中收集某一技術領域最新、具有發展性、趨勢性的技術資料及介紹。
(二)管理
收集工作在專業范圍內開展,分五個部分:
1.驗收蓋章。每份收集來的資料都必須驗收蓋章,作為單位財產的標志。
2.登錄。每份資料都必須在入藏前登錄,包括時間、來源、類型、價格、出版單位等。統計按入藏時間為序,統計所得的報表結果是技術資料財產清單,可作為轉手、交接的憑據。
3.分類。將所有資料分音頻、視頻和計算機三個領域,每領域分不同種類:設備說明書及副本、技術性期刊、圖書、工具書、系統圖、技術論文、行業標準、產品宣傳材料和音像資料。
4.建立查詢系統。根據分類,將每一份資料都制作一份檢索卡,建立簡易方便的查詢方式。
5.保管。科技情報工作應由專人負責管理技術資料的整理、分類、清點工作。
(三)情報的分析、研究與提供
這項工作為定期總結、專題服務、資料提供。定期總結報告:以一年或半年為一個終結周期,用報表概括整個電視技術的發展最新動態和預計發展趨勢。專題服務 根據需要,針對某個特定的專題或領域進行一定時期、一定范圍內的歸納、分析與終結。為技術人員提供完善的資料查詢系統。
二、科技情報工作的實施
科技情報工作是根據技術工作的實際需要,經監委會審批之后,由技術部專人管理,收集各種技術資料、期刊、工具書等。根據電視技術的發展趨勢與特點,收集技術資料,其中包括設備技術說明書、技術期刊,專業論文、系統圖和業務交流錄像帶等,內容涉及視音頻工程、計算機視頻技術、網絡技術、電子維修和藝術燈光等。
在科技情報的收集方面,主要從三個方面來考慮:主管部門頒布的技術規范標準、廠家提供的技術支持和用戶方進行的技術交流。在管理上,采取現代化微機管理、查詢系統,每冊書刊在頻道的內部辦公網絡上都具有唯一的登記號,并保存有著者、出版社、價格、出版年月、摘要和備份檢索信息,以提高工作效率,方便技術人員查詢。
1.驗收蓋章。每份資料應加蓋“科技情報”負責專用章,將技術資料與其他節目資料區分開。
2.登錄。每份資料都以唯一的9位數字登錄號登錄在辦公網絡上,左4位數為收集年份,右3位數為序列號。并在微機中錄入收集時間、來源、類型、技術領域、摘要、價格、出版單位等。
3.分類。資料分為音頻、視頻和計算機三大領域,每一領域分9個種類:設備說明書及副本、技術性期刊、圖書、工具書、系統圖、技術論文、行業標準、產品宣傳材料、音像資料。
4.建立查詢系統。利用現有辦公網絡的檢索功能及與每一份資料都對應電子檢索表,只要輸入關于所需查詢資料的任何一個信息,可以快捷地查詢每份資料的內容摘要、備份情況和借閱情況。
5.保管。科技情報站的管理與保管工作由專業技術人員負責。科技情報工作要求管理人員具有專業知識,以對資料進行合理的分類與管理。
科技情報工作為員工創造了一個自覺學習業務、集體交流和提高的業務學習環境。科技情報為員工日常技術保障、技術人員的培訓和提高、系統設備的升級,以及技術交流論文的寫作等各方面的工作開展提供了大量的專業資料和信息。以前設備說明書由個人保管,時間長了資料一多難免有丟失現象。開展科技情報工作對所有的技術設備說明書和操作手冊進行集中的閉架管理,中英文分開保管,注意保留適當的備份資料,有利的保障了設備維護、新來技術人員對設備熟悉的資料要求。每月在節目制作之余,涉及視頻、音頻、計算機等專業技術方面的技術期刊,為技術人員的業務提高,提供了有力的信息跟蹤服務和資料選擇,并為技術人員撰寫論文提供了大部分的資料查詢。
三、應注意的問題
1.設備技術資料與普通的技術分開管理
普通的技術是滿足技術人員的自我業務提高和論文寫作的需要;設備技術資料是一個設備一份資料的獨立本,丟失后無法補訂。
2.互聯網搜索
內部辦公網的科技情報,專門有一留言板模式的簡訊板塊,是專為下載互聯網上的信息而設。科技情報有一個板塊是設置為全體技術人員都有寫權的,其他板塊只有管理人員才有寫權。全體設置寫權是考慮互聯網上的信息量臺大,不是個人能完全承擔網上業內信息的搜索與發展動態的跟蹤工作。全體技術人員都有寫權,無論誰在上網時“網”到了有價值的業內信息,把它放到科技情報的簡訊上可以共享。
3.管理人員的時間統籌安排
技術制作人員專人兼職,不可能在此項工作上花費大量時間,采取每月月初集中管理的方式。每月月初首先將上月還入的資料整理歸架,然后將上月新來的資料登記、入架,最后整理、清潔書架。平日里只需及時在借出資料的電子檢索表上標注出借閱人員或去向即可。
1.引 言:
帶庫是理論上的無限量存儲,適用于大容量視頻數據的存儲,在視音頻服務器基礎之上增加帶庫存儲是一種更加高效安全的方式。
2.系統優勢分析:
2.1 可靠性:視頻節目以數字的形式存儲,不會象傳統的錄象帶存儲方式那樣因為天長日久而有損失或失真;同時采用的多級故障自恢復技術,可以保證任一個服務器壞了,均可以用其余的視音頻服務器把丟失的數據毫無損失的恢復出來,保證安全播出。
2.2 效率:帶庫讀出的數據通過SCSI通道進入帶庫管理系統,并行地按20MB/S存入緩沖區,然后通過Data Mover 把并行數據轉換成串行的16OMb/S,再通過數據分配器,分別到100Mb/S自適應網絡通道上進入視音頻服務器。此種方式的速度是普通方式的3-20倍,若用12Mb/S播出方式,可達3-10倍的素材歸檔和恢復速度 。
2.3 跨平臺:HDTV,SDI的MPEG-2的壓縮數據流或DVB、ATSC的數據流均可按規定的格式正確地解讀,裝載到視音頻服務器上用于播出。帶庫僅僅是存儲數據,從帶庫至視頻服務器的數據流通道并不改造數據。在我們早期準備的過程中發現不管是普通的VCD文件還是DVD文件,異或是MPG格式,均可正常播放,但是在傳送的過程中,不可以對視頻文件進行壓縮,否則文件會丟失或由于另一種策略導致文件增大許多,不能達到預期的效果。
2.4 管理策略:多種管理策略以保證存儲的安全與有效,比如層次存儲管理是把歸檔池,備份池,空間管理池,磁盤池按一定的層次進行存儲,如果某個存儲池空間不夠,那么文件將直接存儲到它的下一個層次存儲池,這樣就避免當某個存儲池由于空間不足而造成的文件丟失或損壞。策略域管理,它定義歸檔/備份文件的保存時間,當再次歸檔/備份時是否將原來的文件覆蓋,存儲的目的地是哪一個存儲池,存儲過程中文件可否更改,歸檔/備份文件與哪種管理類相聯系,當存儲池中所存儲的文件占用已達到總容量的多少才將文件轉移到帶庫中。這些都是策略域規定好的,并不需要人手動執行,非常高效方便。
2.5網絡化播出:充分利用現有的互聯網絡的優勢,通過網絡把素材完全共享,讓一個客戶端上載的素材供多個用戶使用,這樣的系統也會易于擴充。在網絡上傳輸速度每秒可達1.5MB,感覺就象使用本地機器一樣。通過網絡存儲管理服務,提供自動的,中心預定的,策略管理的備份,歸檔及空間管理。這樣不僅可以提高工作人員效率,減少人力物力,保證節目的播出效果,還可對節目進行安全有效的管理。
3.系統實現方案:
此套系統是在視音頻服務器的基礎上增加了帶庫服務器,還有相關的數據庫服務器。
3.1軟件平臺:服務器端是:Windows NT Server 4.0,Sybase System 11, Tivoli Storage Manager。工作站端是:Windows NT Workstation ,Sybase System 11, Visual C++ 6.0, Delphi 4.0,Infopower 4.0。
3.2硬件平臺框架圖:
3.2.1主備服務器
它是網絡中心數據庫。由眾多的數據模型組成。為了保證高可靠性,采用了雙機熱備份方式。主備機運行時互相實時檢測。任何一臺服務器出現故障時,可完成自動檢測,自動切換,再線修復。
3.2.2主備播出機
為了保證高可靠性,每個播出頻道均采用主備播出機同步播出控制。主備播出機在未進行播出前,它與服務器網絡相連,可以服務器中調出播出表單,也可在播出機上現做播出單,一旦主備播出機開播,播出站自動與網絡斷開,網絡中的任何異常均不會影響播出控制的正常進行。
3.3.3.準備站
可有多臺準備站。它主要完成以下幾項任務:視音頻服務器和檔案庫中的素材是大量的。可達幾萬或十幾萬條索引素材庫管理維護,如何維護管理,方便使用極為重要。準備站中有專門的素材庫管理,提供了素材的編輯、檢索、預覽等功能,更好的管理資產,最大限度的發揮投資效益。或把帶庫中的素材根據播出需求上載到視音頻服務器中,用于準備播出。
4.軟件包功能模塊舉例:數據上載軟件包(VTR驅動、素材信息入庫)
5.軟件界面介紹:界面一,素材之間進行交換,使用兩個視音頻服務器可以減少素材的多次上載,提高空間利用率。界面二,素材歸檔,把目前不需要的視頻素材傳送到帶庫中,等到將來需要的時候再重新上載。歸檔過程如下,文檔管理系統接受自動播出系統的歸檔命令后,首先在視頻服務器中查找要歸檔的文件,并作好歸檔準備;向數字中心存儲帶庫查詢空間,并檢索是否有重復的歸檔文件;建立讀寫DMA處理;歸檔處理。完畢后,向自動播出控制系統返回應答信號。界面三是素材恢復,把在帶庫中存在而視頻服務器上目前沒有的素材送回視音頻服務器恢復數據過程與歸檔動作序列是類似的,區別在于數據的方向是從數據中心存儲帶庫進入文檔管理系統緩沖區,再從該緩沖區進入視音頻服務器。事實上,歸檔與恢復過程可并行同時進行。
你的位置:首頁 >> 計算機論文 >> 計算機通信論文 >> 新聞正文
中小企業辦公自動化系統的設計與實現
請記住中國最大的免費論文站 論文168 域名:lunwen168.com
align=center>素材間交流界面
素材歸檔界面
素材恢復界面
6.結束語:為了提高播出效率,自動化控制,網絡化播出是未來發展的趨勢,它不僅在可靠性上,而且在中心控制、數據共享、多頻道播出、使用便捷等眾多方面均比單機自動播出控制具有絕對優勢。網絡化自動播出控制系統,它可同時兼容模擬和數字的播控系統。國內北京有線電視臺已經采用它,在國外大中電視臺已得到廣泛應用,也必將在國內逐步普及。
參考書目:
[1]劉松海 著《Visual C++編程指南》 國防工業出版社出版社 1998.10
[2]IBM Corp著《Tivoli Storage Manager Online Information》IBM Corp 2000.7
[3]國家廣播電視總局 《有線電視數字技術教程》 有線電視技術雜志社 2000.6
[4]夏云 著 《現代計算機網絡技術與應用》 科學出版社 1998.11
[5]Marco Cantu 著 王輝 譯《Delphi 高級開發指南》 電子工業出版社 1998.8
[6]Microsoft 著 希望圖書創作室 譯《Microsoft SQL Server 6.5程序員指南》科學出版社 1997.10
[7]微軟公司 著 希望圖書創作室 譯 《Microsoft Windows NT4.0核心技術》宇航出版社 1998.1
[8]董雋 著 《Delphi 4 使用與開發指南》 人民郵電出版社 1998.11
關鍵詞:金融信息,網絡安全,保障體系,服務
1金融信息系統安全保障體系的總體構架
金融信息系統安全保障體系的總體構架有系統安全、物理安全、應用安全、網絡安全、和管理安全。畢業論文,網絡安全。
1.1金融信息系統的安全
系統安全指的就是網絡結構的安全和操作系統的安全,應用系統安全等等。畢業論文,網絡安全。網絡結構的安全就是指網絡拓撲沒有冗余的環路產生,線路比較暢通,結構合理。操作系統的安全就是指要采用較高的網絡操作系統,刪除一些不常用卻存在安全隱患的應用,對一些用戶的信息和口令要進行嚴格的把關和限制。應用系統的安全就是指只保留一些常用的端口號和協議,要嚴格的控制使用者的操作權限。在系統中要對系統有一些必要的備份和恢復,它是為了保護金融系統出現問題時,能夠快速的恢復,在金融系統在運行的過程中要對其內容進行備份。
1.2金融信息系統的物理安全
物理安全就是要保證整個網絡體系與信息結構都是安全的。物理安全主要涉及的就是環境的安全和設備的安全,環境安全主要就是防雷、防火、防水、等等,而設備的安全指的就是防盜、放干擾等等。
1.3金融信息系統的應用安全
金融信息系統的應用安全主要就是指金融信息系統訪問控制的需要,對訪問的控制采用不同的級別,對用戶級別的訪問授權也是不同。收集驗證數據和安全傳輸的數據都是對目前使用者的身份識別和驗證的重要步驟。而對于金融系統中數據資源的備份和恢復的機制也要采取相應的保護措施,在故障發生后第一時間恢復系統。
1.4金融信息系統的網絡安全
金融信息都是通過才能向外界的,而通過采取數據鏈路層和網絡層的加密來實現通信的保護,對網絡中重要信息進行保護。而對網絡進行入侵檢測也是必要的,通過信息代碼對進出的網段進行監控,來確保信息的安全性。畢業論文,網絡安全。對系統也要進行不定期的部件檢測,所是發現有漏洞要及時的進行補救。
1.5金融信息系統的安全管理
金融系統是一個涵蓋多方面的網絡,也運行著很多的網絡,對金融系統進行信息管理,就應該設置安全的管理中心,要集中的管理,嚴格的規定和確定明確的責任和控制,確保金融系統可靠的運行。
2金融信息系統安全保障的措施
2.1設置安全保障的措施
對于任何未經允許的策略都嚴格的禁止,系統允許訪問的都要經過眼的認證才能進入下一步,重要的金融信息要經加密的措施進行傳輸。要通過網絡安全策略對金融信息系統的網絡設置防火墻,用來保護各個金融節點的信息安全,允許授權用戶訪問局域網,允許授權用戶訪問該局域網內的特定資源;按業務和行政歸屬,在橫向和縱向網絡上通過采用MPLSVPN技術進行VPN劃分。
2.2使用安全技術和安全產品的措施
為了金融系統有個安全可靠運行環境,遵循金融系統的安全保障體系策略,要在金融信息系統中安裝一些安全技術和安全的產品。將金融信息系統劃分為不同的安全區域,每個區域都不同的責任和任務,對不同的區域要有不同的保護措施,即方便又增強了安全性。在金融想嘔吐中安裝一道防火墻,用來防止不可預見的事故,若是有潛在的破壞性的攻擊者,防火墻會起到一定的作用,對外部屏蔽內部的消息,以實現網絡的安全防護。應該在金融信息系統中設置入侵檢測系統,要對網絡的安全狀態進行定期的檢測,對入侵的事件進行檢測,對網絡進行全方位的保護。在金融信息系統中安裝防病毒的系統,對有可能產生的病源或是路徑進行相對應的配置防病毒的軟件,對金融信息系統提供一個集中式的管理,對反病毒的程序進行安裝、掃描、更新和共享等,將日常的金融信息系統的維護工作簡單化,對有可能侵入金融信息系統的病毒進行24小時監控,使得網絡免遭病毒的危害。定期的對金融信息系統進行安全評估,對系統中的工作站、服務器、交換機、數據庫一一的進行檢測評估,根據評估的結果,向系統提供報告。安全的評估與防火墻的入侵檢測是相互配合的,夠使網絡提供更高性能的服務。畢業論文,網絡安全。
2.3金融信息管理的安全措施
在管理的技術手段上,也要提高安全管理的水平。金融信息系統是相對比較封閉的,金融信息系統的安全是最重要的,業務邏輯與操作規范的嚴密是重中之重。因此對于金融信息系統的內部管理,加強領導班子對安全管理的體系,強化日常的管理制度嗎、,提升根本的管理層次。
2.3.1建立完善的組織機構
如今我國更加重視信息安全的發展,它可以促進經濟發展和維護社會的穩定。在金融信息系統的內部要建立安全管理小組,安全管理小組的任務就是要制定出符合金融發展的安全策略。管理小組由責任和義務維護好系統的安全和穩定。
2.3.2制定一系列的安全管理辦法和法規,主要就是抓住內網的管理,行為、應用等管理,進行內容控制和存儲管理。對每個設施都要有一套預案,并定期進行測試。畢業論文,網絡安全。
2.3.3 加強嚴格管理,加強登陸身份的認證,嚴格控制用戶的使用權限,對每個用戶都要進行信息跟蹤,為系統的審核提供保障。畢業論文,網絡安全。
2.3.4加強重視信息保護的等級,對金融信息系統中信息重點保護,對重要信息實施強制保護和強制性認證,以確保金融業務信息的安全。也要不斷的加強信息管理人才與安全隊伍的建設,加大對復合型人才的培養力度,通過各種會議、網站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業內部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。
3結語
隨著金融信息化的快速發展,金融信息系統的規模逐步擴大,金融信息資產的數量急劇增加,對網絡與信息系統實施安全保護已勢在必行。目前互聯網的應用還缺乏一定的安全措施,這樣就嚴重的影響和限制了金融系統通過網絡向外界提供服務的質量和種類。因此,各個金融信息系統都必須要采取一定的安全防護措施,構建一個安全的合理的金融信息系統。
參考文獻:
[1]盧新德.構建信息安全保障新體系:全球信息戰的新形勢與我國的信息安全戰略[M].北京:中國經濟出版社,2007.
[2]李改成.金融信息安全工程[M].北京:機械工業出版社,2010.
[3]方德英,黃飛鳴.金融業信息化戰略——理論與實踐[M].北京:電子工業出版社,2009.4.
【關鍵詞】南京電大 Struts J2EE 畢業設計 畢業論文
1 研究背景
進入新世紀以來,計算機網絡技術在國內發展迅速,特別是在教育領域,教育產業化進程不斷推進,高校間強強聯合、不斷實現資源共享。隨著國內高校規模不斷的擴張,合理并有效運用教育教學資源,推進教育管理方式轉變,推進教育教學過程化管理,已成為各大高校重點關注的問題。目前,網絡化管理技術已經在教育教學領域中的學生學籍管理、學生成績管理、課程設置等方面都有了廣泛運用。高校教學過程中一個非常重要的環節就是畢業設計(論文),與其它課程管理類似,其主要使用單機管理方式或是手工管理方式實現,包括對畢業設計(論文)步驟中的基本信息與成績的輸入輸出實施管理,而畢業設計(論文)中的選題、過程控制與質量管理,以及整個畢業設計(論文)環節效果的統計分析等一系列環節都沒有納入系統管理中。
現階段部分高校對畢業設計(論文)做法一般為指導老師前期給出參考題目,并通過紙質文件的形式發給學生,學生再從中完成選題或自行申報課題,由于正在畢業實習的學生比較分散,容易導致指導老師和學生之間溝通不暢,造成有些學生課題選擇沖突;同時在教師指導學生畢業論文中后期,有大量表格由人工發放、填寫、回收,導致效率極其低下;畢業設計(論文)完成階段,通常需要運用紙質存儲或者刻錄光盤提交最終論文,常常導致資料堆積如山,查找不便。所以使用傳統的手工管理方式對畢業設計(論文)資料進行管理不僅耗時費力,而且不利于教學管理工作者準確、及時地把握學生完成畢業設計(論文)的進展情況,給管理造成較大程度的困擾,甚至影響畢業設計(論文)的質量。因此,在這種情況下管理者應該充分利用高校的計算機資源和網絡優勢,按照具體管理規定研發出一款為高校量身定制的管理軟件,完成對畢業設計(論文)網絡化管理,這不僅重要,而且符合高校無紙化辦公的發展潮流,這將進一步推動高校信息化建設的進程。
南京電大早在1999年成為教育部批準的首批電大人才培養方式改革與開放教育試點項目示范單位,屬于“統籌規劃、分級辦學、分級管理”類型的遠程開放教育教學系列的“省級電大”。至2014年春季,南京電大培養的教育本、專科學生已達52397人,每學年參加畢業設計(論文)的學生達到1800人,因此研發出一套南京電大畢業設計(論文)管理系統是非常有必要的。
2 系統分析
系統分析是站在企業應用系統內部,從抽象的概念高度上分析系統需求,敲定企業應用系統的要素、組成及結構,因而給出系統的分析模型,并為企業應用系統設計給出依據。在此我們給出一些功能性分析和非功能性分析的示例。
功能性分析要求南京電大畢業設計(論文)管理系統應該可以滿足不同用戶對南京電大對畢業設計(論文)管理的要求,按課題啟動、申報課題管理、論文指導管理、論文答辯管理、論文終審管理等系列流程,能夠實現不同角色應有的功能。南京電大學生可以瀏覽南京電大關于論文方面的公告,可以選擇導師、提交課題,可以與導師交流,可以對自己的開題報告、論文及系統中資源進行上傳和下載;南京電大教師可以選擇自己的學生、查看學生課題、論文情況,可以對學生提交的課題、論文進行審閱,可以對自己的學生發出通知,向本校教務員匯報工作;分校教務員完成本校通知工作,維護本校教師與學生信息,向市校匯報本校論文工作;市校教務員可以對分校教務員、教師進行權限分配、調整;系統管理員需要完成業務數據備份、角色信息調整、系統安全運行、運行維護等工作。每一個用戶登錄南京電大畢業設計(論文)管理系統后都可以維護自己的個人信息,都可以利用南京電大畢業設計(論文)管理系統提供的查詢與打印功能,都可以從系統中下載需要的資源,根據需要上傳文檔。
非功能性分析主要包括時間上響應不可以太慢,從而影響用戶的操作,應在5ms-9ms之間;必須能夠對所錄入的業務數據快速的處理,得出執行結果,基本處理過程時間不可延遲過多,至多1-3秒;對學生的申請以及教師指導結果的傳送和轉化時間能夠滿足用戶心理預期,不影響用戶的使用,適應用戶的任務需求為關鍵;對錄入的課題申報、指導意見、答辯結果等要能夠在短時間內產生響應結果與相關的查詢。適應性上應該對錄入的課題申報、指導意見、答辯結果等要能夠在短時間內產生響應結果與相關的查詢;運行環境需要支持Windows系列、Unix等不同運行操作平臺,對于將沓魷值牟僮髕教ǎ系統可作進一步的維護以滿足其穩定性;接口流量不可過小,與其他系統能進行快速的數據交換與處理;大約在5-10年時間能夠正常使用;運行期應對系統進行必要的更新維護,使其更加健全。
3 系統設計
南京電大畢業設計(論文)管理系統包括學生操作模塊、導師操作模塊、分校教務員操作模塊、市校教務員操作模塊、系統管理員操作模塊。其中學生操作模塊包括選擇導師、申報課題、課題維護、論文過程匯報、瀏覽與回復導師意見等功能;導師操作模塊包括選擇學生、審閱學生課題、審閱學生論文、向本校教務處匯報、有關通知、瀏覽學校通知等功能;分校教務員操作模塊包括維護本校學生、維護本校教師、與教師聯絡、向市校教務處匯報論文工作、本校通知、瀏覽市校通知等功能;市校教務員操作模塊包括審核分校指導老師資格、審核分校上報答辯小組信息、完成終審論文成績錄入、向市校教務處匯報論文工作、市校通知等功能;系統管理員包括操作模塊、包括角色信息管理、分校教務人員管理、市校教務人員管理、系統維護記載、系統安全管理、系統備份等功能。
圖1中虛線框中登錄系統、維護個人信息、查詢與打印、上傳下載材料等功能,學生操作模塊、導師操作模塊、分校教務員操作模塊、市校教務員操作模塊、系統管理員操作模塊等模塊都需要這四項功能,因此將它們單獨列出。
4 技術簡介
南京電大畢業設計(論文)管理系統運用Struts框架,Java的Web應用中運用的技術比較多,也較為復雜,所以研發過程中可選擇的技術也多,項目管理必須考慮到開發人員個人的特長對開發任務進行合理分工,這就需要設計人員在系統設計階段考慮周到。MVC模式可以很好的將業務數據模型和業務處理模型分離出來,這樣研發出獨立的業務組件,以便于在編寫表示層頁面階段可以保證數據的一致性。在處理表示層頁面文件和模型之間關系過程中,控制器就成為兩者的橋梁,這樣使得南京電大畢業設計(論文)管理系統項目能夠成為一個整體的、系統化的工程。Struts框架在南京電大畢業設計(論文)管理系統中就起到了這個作用,在研發階段可以很好的運用該框架開展開發項目,開發人員能夠選擇合適的模型組件。
在圖2中,JSP和Struts為開發人員提供的一組標簽能夠完成頁面的表示與數據顯示等功能,使得開發人員可以編寫豐富的視圖功能。
5 系統實現
南京電大畢業設計(論文)管理系統各個部分的研發工作主要包括以下幾個步驟:
5.1 創建視圖
該系統采用Struts技術,視圖的編寫主要運用JSP技術,但和傳統的JSP技術相比有兩個明顯不同。
(1)該系統在Struts下運用JSP技術研發視圖,在頁面文件中沒有包括任何的腳本程序,僅是單純的實現數據傳遞以及獲得與顯示從數據庫返回的數據,對業務數據的處理和頁面的跳轉都是在業務層中執行。
(2)Struts框架給出了一組可擴充的自定義標簽庫,主要包含Bean標簽、 Logic標簽、HTML標簽與模板標簽。通過運用標簽,能夠簡化編寫用戶界面的過程,而且更好地完成數據的封裝。
5.2 創建模型
模型利用JavaBean組件,設計和實現系統的業務邏輯。根據不同的操作請求從Action派生特定Action類,調用由Bean組成的業務組件,建立由ActionForm 的派生類達到對客戶層表單參數的封裝。
5.3 創建控制器
在南京電大畢業設計(論文)管理系統中,中心控制器是由Struts提供(ActionServlet),程序員一般無需對該ActionServlet執行二次研發;負責特定業務處理的Action類則是研發者研發任務的重點,這部分Action對象中會執行全部業務操作,處理結束,由Struts的中心控制器轉向到JSP頁面,把處理結果返回到客戶端。
5.4 創建配置文件
包括兩個配置文件web.xml和struts-config.xml,用來定義Struts系統中模塊之間的交互。通過對該兩個配置文件的定義,將Struts框架中MVC各部分聯系起來,完成了一個真正的MVC系統。
南京電大畢業設計(論文)管理系統開啟階段學生申請導師界面見圖3。
6 結束語
本文對現階段高校畢業設計(論文)管理狀況充分調研,分析總結現階段高校畢業設計(論文)管理系統主要缺陷,在掌握畢業設計(論文)管理系統的需求基礎上,結合南京電大畢業設計(論文)管理的實H狀況,探討了南京電大畢業設計(論文)管理系統設計與實現。本系統基于網絡B/S方式設計思路,采用Struts框架技術與SQL Server2014數據庫技術進行設計,具有一定的參考價值。
參考文獻
[1]張云龍,賈宇波,吳徐彬.基于UML的畢業設計管理系統的研究與設計[J].工業控制計算機,2015.
[2]丁勇,儲久良,張飛.基于MVC框架的畢業設計管理系統的設計與實現[J].計算機與現代化,2014.
[3]陳澤強,徐梅玲.基于.NET的畢業設計管理系統的設計與實現[J].電子技術與軟件工程,2013.
關鍵詞:高職;畢業論文管理;LAMP;ThinkPhp;框架
中圖分類號:TP311.52 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
The Thesis Management System Design and Implementation Based on Thinkphp Framework
Chang Benchao
(Zhengzhou Jiaotong University,Zhengzhou450062,China)
Abstract:Needle vocational colleges in the traditional thesis management problems,this paper describes the LAMP platform framework for rapid implementation using ThinkPhp B/S based model management system for the design of the thesis implementation.
Keywords:Higher vocational;Thesis management;LAMP;ThinkPhp;
Framework
一、引言
畢業論文是高職院校教學過程中的重要實踐環節,無論是學校還是學生都很重視,但是,對于復雜繁瑣的畢業論文管理流程,當前很多高校特別是高職院校還在采用傳統的手工方式進行管理。由于高職院校的目標是培養生產、管理、服務等行業一線需要的技術型、應用型高級人才,很多高職院校往往會安排學生在最后一年或學期到校企合作單位進行頂崗實習,而這個時間段也恰恰是學生們找工作和寫畢業論文的時間,不可避免的會存在時間和空間上的沖突。隨著我國互聯網的普及和高校校園網的不斷發展完善,采用基于web的畢業論文管理系統來替代傳統的管理方式已經顯得尤為重要。
二、系統需求分析
(一)角色分析
系統應具備至少四個角色:系統管理員、系部管理員、指導教師和學生。
1.學生。學生注冊登錄后可以修改完善自己的個人資料,修改密碼;可選擇本專業教師的選題,在指導教師確認之前可以刪除選題重選或上傳自選題然后選擇指導教師審核;可以瀏覽教務通知,下載各種文檔模板;可以給指導教師留言和查看留言反饋;可以上傳開題報告、論文等文檔;可以查看自己的論文成績。
2.指導教師。指導教師注冊登錄后,可以編輯修改個人資料,修改密碼;可以帶附件的公告通知;可以上傳課題供系部管理員審核;可以查看自己的選題的審核情況和學生選者情況;可以審核選者自己做導師的學生上傳的自選題;可以下載查看學生上傳的文檔;可以給學生的論文進行評分;可以查看并回復學生的留言等。
3.系部管理員。系部管理員可以審核本系指導教師上傳的選題;可以查詢統計本系教師選題和學生選題情況;可以批量下載本系學生論文進行存檔備份;可以添加編輯本系專業、班級等信息;可以審核確認本系學生有效注冊信息等。
4.教務管理員。教務管理員除繼承系部管理員權限外,還可以設定用戶注冊、教師上傳選題、學生選題、文檔上傳、論文評分等時間范圍;可以查詢統計所有教師選題情況,學生選題情況,學生文檔上傳情況等。
5.系統管理員。系部管理員繼承教務管理員權限擁有系統最高權限,主要對系統進行設置維護,數據庫備份,用戶組管理,角色權限分配,上傳文檔路徑設置,設置上傳文檔命名方式等
三、系統設計
(一)開發運行環境
開發平臺采用WindowsXp系統下的AMP(Apache+Mysql+Php)集成開發工具和Thinkphp框架,正式運行環境則采用Ubuntu linux服務器下的AMP組合。這樣做的好處在于:開始時在經常使用的windows環境下,容易上手,編碼和調試都比較方便;運行時放到Linux環境下,可以提高系統運行的穩定性和安全性,可以最大程度發揮LAMP組合的效率,還可以節省不少windows環境下非AMP組合產生的正版軟件授權費用;采用ThinkPhp框架則可以實現代碼復用,以少量的代碼快速開發出基于MVC分層模式的應用系統。
(二)ThinkPhp框架和MVC模式簡介
ThinkPhp是國內的一款免費開源的,快速簡單的面向對象的輕量級php開發框架,遵循Apache2開源協議,是為了敏捷web應用開發和簡化企業級應用開發而誕生的,擁有眾多優秀的功能和特性。
MVC(model-view-controller)模式的誕生完全是為了解決傳統的web開發模式下大都將頁面顯示和數據處理等功能都耦合在頁面代碼中,增強了系統的業務邏輯和頁面顯示的耦合度,不利于系統的維護和擴展這一弊端。其核心思想是將程序分成相對獨立而又能協同工作的3個部分,即模型、視圖和控制器。模型表示應用程序的業務邏輯,是應用程序的核心,它包含完成任務所需的所有數據和行為,并把要顯示的數據提供給視圖。視圖是用戶看到并與之交互的界面,是應用程序的外在表現。控制器則負責處理用戶的輸入并將模型映射到視圖中。MVC設計模式利用控制器分離模型和視圖,達到層間松散耦合的效果,從而提高系統可擴展性和可維護性。
(三)基于ThinkPhp框架的開發流程
在經過需求分析和總體設計之后,序開發人員可以參考ThinkPhp框架開發手冊和開發實例,熟練掌握框架的命名規范和功能特性,然后進行數據庫和表的創建并根據創建的數據庫信息來配置項目文件。隨后,創建項目的控制器類和對應的模型類,在控制器類中主要編寫項目的業務代碼和模板文件有關的代碼,在模型類中主要編寫和數據庫操作有關的各種代碼;同時,作為美工,需要配合設計所需的頁面文件,由程序員在需要顯示動態輸出的地方插入模板變量,通過瀏覽器進行不斷的測試與修改后,最后部署到實際運行環境中。
四、結論
通過使用國內比較成熟的ThinkPhp框架使得本項目的設計和開發節約了大量時間而且擺脫了過去傳統web開發模式帶來的系統后期維護和擴展難的問題。系統運行環境采用開源免費的LAMP組合,節省了windows環境下昂貴的正版軟件費用。該系統目前已經在鄭州交通學院成功應用,很好的解決了高職院校中傳統論文管理模式的種種弊端和不便,給廣大師生提供了方便。
參考文獻:
[1]胡聲洲,車燕兵.基于ASP的畢業論文管理系統設計[J].福建電腦,2009,6
論文摘要:分析了電力系統信息安全的應用與發展存在的安全風險,安全防護方案、安全肪護技術手段及在網絡安全工作中應該注意的問題,并對信息安全的解決方繁從技術和管理2個方面進行了研究,探討了保證電力實時運行控制系統和管理信息網絡系統信息安全的有關措施,同時以朝陽供電公司為例,進一步進行有針對性的剖析。
論文關鍵詞:電力;信息安全;解決方案;技術手段
1電力信息化應用和發展
目前,電力企業信息化建設硬件環境已經基本構建完成,硬件設備數量和網絡建設狀況良好,無論是在生產、調度還是營業等部門都已實現了信息化,企業信息化已經成為新世紀開局階段的潮流。在網絡硬件方面,基本上已經實現千兆骨干網;百兆到桌面,三層交換;VLAN,MPLS等技術也普及使用。在軟件方面,各應用十要包括調度自動化系統、生產管理信息系統、營銷信息系統、負荷監控系統及各專業相關的應用子系統等。計算機及信息網絡系統在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用,安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益,同時也逐步健全和完善了信息化管理機制,培養和建立了一支強有力的技術隊伍,有利促進了電力工業的發展。
2電力信息網安全現狀分析
結合電力生產特點,從電力信息系統和電力運行實時控制系統2個方面,分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系,將電力信息網絡和電力運行實時控制網絡進行隔離,網絡間設置了防火墻,購買了網絡防病毒軟件,有了數據備份設備。但電力信息網絡的安全是不平衡的,很多單位沒有網絡防火墻,沒有數據備份的概念,更沒有對網絡安全做統一,長遠的規劃,網絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求,對網絡安全進行了全方位的保護,防火墻、防病毒、入侵檢測、網管軟件的安裝、VerJtas備份系統的使用,確保了信息的安全,為生產、營業提供了有效的技術支持。但有些方面還不是很完善,管理起來還是很吃力,給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。
3電力信息網安全風險分析
計算機及信息網絡安全意識亟待提高。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大,對新出現的信息安全問題認識不足。
缺乏統一的信息安全管理規范。電力系統雖然對計算機安全一+直非常重視,但由于各種原因,目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。
急需建立同電力行業特點相適應的計算機信息安全體系。相對來說,在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統安全、穩定、高效運行,應建立一套結合電力計算機應用特點的計算機信息安全體系。
計算機網絡化使過去孤立的局域網在聯成廣域網后,面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網,并沒有同外界連接。所以,早期的計算機安全只是防止外部破壞或者對內部人員的安全控制就可以了,但現在就必須要面對國際互聯網上各種安全攻擊,如網絡病毒、木馬和電腦黑客等。
數據庫數據和文件的明文存儲。電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質的人可以讀出這些信息;黑客可以饒過操作系統,數據庫管理系統的控制獲取這些信息;系統后門使軟硬件系統制造商很容易得到這些信息。弱身份認證。電力行業應用系統基本上基于商業軟硬件系統設計和開發,用戶身份認證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應用系統還使用白己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中,這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數據備份措施。很多單位只是選擇一臺工作站備份一下數據就了事,沒有完善的數據備份設備、沒有數據備份策略、沒有備份的管理制度,沒有對數據備份的介質進行妥善保管。
4電力信息網安全防護方案
4.1加強電力信息網安全教育
安全意識和相關技能的教育是企業安全管理中重要的內容,其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效,高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。
主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。
4.2電力信息髓安全防護技術措旌
(1)網絡防火墻:防火墻是企業局域網到外網的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。DMZ區放置了企業對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。
(2)物理隔離裝置:主要用于電力信息網的不同區之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統:部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。
(4)網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。
掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網絡防病毒:為保護電力信息網絡受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心,對整個網絡部署查、殺毒,服務器通過Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。
(6)數據加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高實時的信息傳播中的保密性和安全性。
(7)數據備份:對于企業來說,最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的,必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。
(8)數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
4.3電力信息網安全防護管理措施
技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網絡安全的長期性和穩定性才能有所保證。
(1)要加強信息人員的安全教育,保持信息人員特別是網絡管理人員和安全管理人員的相對穩定,防止網路機密泄露,特別是注意人員調離時的網絡機密的泄露。
(2)對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調離時密碼一定要更新。
(3)技術管理,主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。
(4)數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。
(5)加強信息設備的物理安全,注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。
(6)注意信息介質的安全管理,備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀,特別要注意送出修理的設備上存儲的信息的安全。
5電力信息網絡安全工作應注意的問題
(1)理順技術與管理的關系。
解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統全面的信息安全管理體系,可以參照國際上通行的一些標準來實現。
(4)網絡安全是一個系統的、全局的管理問題,網絡上的任何一個漏洞,都會導致全網的安全問題,應該用系統工程的觀點、方法,分析網絡的安全及具體措施。
《職業時空》,主管部門:河北省教育廳,主辦單位:河北職業技術學院,國內統一刊號:CN13-1349/C,國際標準刊號:ISSN1672-8963,郵發代號18-347,半月刊,正刊。創刊于1995.ASPT來源刊中國期刊網來源刊,該刊是04年度北大中文核心期刊,《中國知網》、《中國學術期刊(光盤版)》全文收錄期刊,中國學術期刊綜合評價數據庫來源期刊
主要欄目:現代職業新理念、職場宏觀管理、職業政策研究、職業心理研究、職業教育研究、法制建設、主題論壇、高管論壇、爭鳴、觀點輯要、國外研究與借鑒、調查與探索等
1.來稿要求論點明確、數據可靠、邏輯嚴密、文字精煉,每篇論文必須包括題目、作者姓名、作者單位、單位所在地及郵政編碼、摘要和關鍵詞、正文、參考文獻和第一作者及通訊作者簡介(包括姓名、性別、職稱、出生年月、所獲學位、目前主要從事的工作和研究方向),并請在文稿的首頁地腳處注明論文屬何項目、何基金(編號)資助,沒有的不注明。
2.論文摘要盡量寫成報道性文摘,包括目的、方法、結果、結論4方面內容(100字左右),應具有獨立性與自含性,關鍵詞選擇貼近文義的規范性單詞或組合詞(3~5個)。
3.文稿篇幅(含圖表)一般不超過4000字,一個版面2400字內。文中量和單位的使用請參照中華人民共和國法定計量單位最新標準。外文字符必須分清大、小寫,正、斜體,黑、白體,上下角標應區別明顯.
4.文中的圖、表應有自明性。圖片不超過2幅,圖像要清晰,層次要分明。
5.參考文獻的著錄格式采用順序編碼制,請按文中出現的先后順序編號。所引文獻必須是作者直接閱讀參考過的、最主要的、公開出版的文獻。未公開發表的、且很有必要引用的,請采用腳注方式標明,參考文獻不少于3條。
來稿特別約定
1來稿勿一稿多投,收到稿件之后,7個工作日內共同審稿,電子郵件回復作者。重點稿件將送同行專家審閱。如果10日內沒有收到擬用稿通知(特別需要者可寄送紙質錄用通知),則請與我們聯系確認。
2.來稿文責自負。所有作者應對稿件內容和署名無異議,稿件內容不得抄襲或重復發表。對來稿有權作技術性和文字性修改,作者需要安排版面數,出刊日期,是否加急等情況,請在郵件投稿時作特別說明
3.請作者自留備份稿,不退稿。
4.論文一經發表,贈送當期樣刊1冊。
本畢業設計(論文)、學位論文作者愿意遵守浙江科技學院 關于保留、使用學位論文的管理辦法及規定,允許畢業設計(論文)、學位論文被查閱。本人授權 浙江科技學院 可以將畢業設計(論文)、學位論文的全部或部分內容編入有關數據庫在校園網內傳播,可以采用影印、縮印或掃描等復制手段保存、匯編畢業設計(論文)、學位論文。
(保密的學位論文在解密后適用本授權書)
論文作者簽名: 導師簽名:
簽字日期: 年 月 日 簽字日期: 年 月 日
內 容 摘 要
本文針對浙江廣播電視集團網絡,以及集團網絡安全的建設、改造提出了相應的解決方案,并且從網絡和網絡安全兩個主要方面進行了相關的闡述。首先,對在本方案中可能使用到的計算機網絡、及網絡安全的相關技術進行了闡述、分析和比較。然后,對集團中的計算機網絡、以及網絡安全的現狀進行調查研究。其次,針對浙江廣播電視集團的網絡現狀進行了詳細的需求分析。最后,提出了一套針對浙江廣播電視集團計算機網絡、以及網絡安全實際情況的網絡、及網絡安全的詳細設計方案。實施本方案之后,有助于提高其計算機網絡系統的可靠性、以及網絡的安全性。
關鍵詞:網絡系統,數據安全,網絡安全,局域網
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security,LAN
目 錄
第一章 引言 1
第一節 選題背景與意義 1
第二節 集團網絡安全發展與現狀 1
第三節 網絡安全相關技術介紹 2
第二章 集團網絡安全系統概況及風險分析 4
第一節 集團網絡機房環境 4
第二節 網絡應用數據備份 4
第三節 網絡安全弱點分析 5
第四節 網絡安全風險分析 6
第三章 集團網絡安全需求與安全目標 7
第一節 網絡安全需求分析 7
第二節 網絡安全目標 7
第四章 集團網絡安全解決方案設計 9
第一節 網絡監控管理系統 9
第二節 電子郵件安全解決方案 9
第三節 遠程數據傳輸的加密 10
第四節 服務器的安全防護 11
第五節 計算機病毒防護的加強 14
第六節 網絡攻擊及防護演示效果圖 15
第五章 結束語 17
參考文獻 18
致 謝 19
第一章 引言
第一節 選題背景與意義
隨著互聯網的普及度越來越高,全世界的計算機都能通過互聯網連接到一起。各種網上活動的日益頻繁,使得網絡安全問題日益突出,信息安全成為了一個重要的課題。各種各樣的網絡攻擊層出不窮,如何防止網絡攻擊,保障各項業務的順利進行,為廣大用戶提供一個安全的網絡環境變得尤為重要。
本論文針對浙江廣播電視集團的計算機網絡、以及網絡安全的實際解決方案。在實施了本方案之后,有助于提高集團計算機網絡系統的可靠性、以及網絡的安全性。認真分析網絡面臨的威脅,計算機網絡系統的安全防范工作是一個極為復雜的系統工程,是一個安全管理和技術防范相結合的工程。首先是各計算機網絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執行各項安全制度,在此基礎之上,再采用先進的技術和產品,構造全方位的防御機制,使系統在最理想的狀態下運行。
第二節 集團網絡安全發展與現狀
圖1-1網絡拓撲圖
浙江廣播電視集團作為省級廣電傳媒集團,現有計算機網絡于2002年10月建成,在集團的運作和管理中發揮著重要的作用。近年來隨著集團業務的發展,網絡應用的不斷深入,應用領域較以前傳統的、小型的業務系統逐漸向大型、關鍵業務系統方向擴展。大部分子系統已接入網絡,遠程數據傳輸、集團資料共享、動態數據查詢、流媒體數據業務、集團網站運營等都在該網絡上傳輸,整個網絡的用戶規模是原計算機網絡規模的數十倍。隨著網絡規模的不斷擴大、接入點數量的增多、內部網絡中存在的安全隱患問題就會愈加突出,安全日益成為影響網絡效能的重要問題,而互聯網所具有的開放性、國際性和自由性在增加應用自由度的同時,對自身網絡的安全性提出了更高的要求。雖然廣電集團前期的網絡建設有一定的安全措施,但因為網絡復雜性的逐步提高,網絡中存在隱患的可能性以及由此產生的危害性也大大提高,因此在網絡系統的進一步建設過程中,及時查清網絡隱患的必要性就體現了出來。
第三節 網絡安全相關技術介紹
要保證計算機網絡系統的安全性,還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。
一、防火墻技術
為保證網絡安全,防止外部網對內部網的非法入侵,在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統,該系統可以設定哪些內部服務可已被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。它可監測、限制、更改跨越防火墻的數據流,確認其來源及去處, 檢查數據的格式及內容,并依照用戶的規則傳送或阻止數據。其主要有:數據包過濾、監測型、服務器等幾大類型。
二、數據加密技術
與防火墻配合使用的安全技術還有數據加密技術,是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要技術手段之 一。隨著信息技術的發展,網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數據加密技術和物理防范技術的不斷發展。按作用不同, 數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
三、認證技術
認證技術是防止主動攻擊的重要手段,它對于開放環境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程,即認證建立信息的發送者或接收者的身份。認證的主要目的有兩個:第一,驗證信息的發送者是真正的,而不是冒充的,這稱為信號源識別;第二,驗證信息的完整性,保證信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有:消息認證、身份認證、數字簽名。
四、虛擬專用網絡(VPN)技術
虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。
VPN技術主要提供在公網上的安全的雙向通訊,采用透明的加密方案以保證數據的完整性和保密性。
VPN技術的工作原理:VPN系統可使分布在不同地方的專用網絡在不可信任的公共網絡上實現安全通信,它采用復雜的算法來加密傳輸的信息,使得敏感的數據不會被竊聽。
五、計算機病毒的防范
首先要加強工作人員防病毒的意識,其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件:
(一)較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有4萬多種,在各種操作系統中包括Windows、 UNIX和Netware系統都有大量能夠造成危害的計算機病毒,這就要求安裝的防病毒軟件能夠查殺多種系統環境下的病毒,具有查毒、殺毒范圍廣、能力強的特點。
(二)完善的升級服務。與其它軟件相比,防病毒軟件更需要不斷地更新升級,以查殺層出不窮的計算機病毒。
第二章 集團網絡安全系統概況及風險分析
第一節 集團網絡機房環境
目前,浙江廣播電視集團計算機網絡絕大多數的設備都是安放在新大樓13樓機房內的,只有樓層交換機是分布在各樓層的設備機柜中。根據本文的現場勘察和了解,目前大多數信息機房在機房的裝修、溫度和濕度控制、消防、照明、防靜電、防雷等方面已經作了很多的考慮,主要有如下方面:
一、網絡機房都作了可靠的防雷措施,建設有防雷接地網,其接地電阻小于1歐姆;大樓頂部建設有避雷針。
二、所有從網絡機房大樓外接入網絡機房的數據信號,全部采用光纖接入。
三、網絡機房內大多配備UPS電源系統。
四、機房內鋪設防靜電地板、吊頂,對墻面進行了無塵處理。
五、安裝機房防盜監控系統。
六、配備機房消防系統和應急照明系統。
七、所有樓層交換機的供電都是由機房內 UPS 通過專用的線路直接供電,與樓層內的其它電源系統沒有任何連接。
第二節 網絡應用數據備份
在廣電集團的計算機網絡中大多己經有功能數據備份與恢復系統,它是一套基于磁帶介質的備份與恢復系統,有2套文件備份的License和1套Oracle數據庫備份的License,進行服務器的文件備份和Oracle數據庫的實時備份和恢復。
浙江廣電集團網絡中已經有了以下幾個網絡安全方面的考慮:
一、病毒防護
網絡中使用了諾頓病毒防護系統,該病毒防御系統是基于網絡的病毒防護系統,在網絡內能夠遠程的安裝網絡客戶端的病毒防護軟件,進行病毒特征庫的自動更新,集中控制和管理。但是,網絡中的病毒防護系統沒有集中控制和管理的控制臺,不能實時了解網絡中防病毒客戶端程序的安裝情況、病毒感染和爆發的情況。
二、外網接入安全防護
網絡目前大多沒有單獨的外網接入點,沒有自己的外網接入安全防護,使用統一的出口和安全策略。
三、入侵檢測系統
在集團總部局域網與其他網絡連接處采用的一套入侵檢測系統具體部署如圖2-1
圖2-1 廣電集團入侵檢測系統示意圖
第三節 網絡安全弱點分析
浙江廣電集團網絡系統安全弱點主要包括:
一、硬件弱點: 硬件隱患存在于服務器、終瑞、路由器、交換機和安全設備等設備中,一旦發生硬件的安全問題,將給主機和網絡系統的可靠性、可控性、可用性和安全性等造成嚴重損害。
二、操作系統弱點: 由于操作系統自身的漏洞和缺陷可能構成安全隱患。操作系統是計算機應用程序執行的基本平臺,一旦操作系統被滲透,就能夠破壞所有安全措施。靠打補丁開發的操作系統不能夠從根本上解決安全問題,動態連接給廠商提供開發空間的同時為黑客開啟了方便之門。
三、數據庫系統弱點: 由于數據庫系統本身的漏洞和缺陷可能構成的安全隱患。
四、網絡系統弱點: TCP/IP協議本身的開放性導致網絡存在安全隱患。如:TCP/IP 數據通信協議集本身就存在著安全缺點,如:大多數底層協議采用廣播方式,網上任何設備均可能竊聽到情報; 協議規程中缺乏可靠的對通信雙方身份認證手段,無法確定信息包地址真偽導致身份“假冒”可能;由于TCP 連接建立時服務器初始序號的可推測性,使得黑客可以由“后門”進入系統漏洞。
五、通用軟件系統弱點:如Web服務器等常用應用軟件本身可能存在的安全弱點。
六、業務系統弱點: 節目視頻業務系統等本身的“Bug”或缺陷可能構成弱點。
七、安全設計的弱點: 安全設計不周全可能構成系統防護的弱點,由于安全漏洞的動態性和安全威脅的增長性要求以及安全需求本身的限制,安全體系設計要求具有良好的可擴展性和動態自適應性。
八、管理弱點: 工具不多,技術水平不高,意識淡薄,人員不到位。
第四節 網絡安全風險分析
網絡本身所固有的結構復雜、高度開放、邊界脆弱和管理困難等特點,增加了廣電集團網絡系統的安全風險。
由于網絡自身的開放性和廣電集團網絡系統的特殊性使網絡系統存在很大的安全風險性,主要有:
一、人為因素:
未經授權訪問重要信息
惡意破壞重要數據
數據竊取、數據篡改
利用網絡設計和協議漏洞進行網絡攻擊
假冒、偽造、欺騙、敲詐、勒索
內部人員惡意泄露重要的信息
管理員失職
二、自然因素:
設備的老化
火災、水災 (包括供水故障)
爆炸、煙霧、灰塵
通風
供電中斷
電磁輻射、靜電
以上都可能引起設備的失效、損壞,造成線路擁塞和系統癱瘓等。
第三章 集團網絡安全需求與安全目標
第一節 網絡安全需求分析
為了確保廣電集團網絡系統的安全,其安全需求可以從安全管理層面、物理安全層面、系統安全層面、網絡安全層面、應用安全層面等方面來分析。
從安全管理要求來分析,要考慮政策、法規、制度、管理權限和級別劃分、安全培訓等,特別要考慮基層人員計算機水平不高,系統設計和培訓等方面要周密考慮,制定切實有效的管理制度和運行維護機制。
從物理安全要求來分析,要根據浙江廣電集團實際情況,確定各物理實體的安全級別,建立相應的安全防護機制。
從系統安全需求來分析,需要解決操作系統安全、數據庫系統安全、TCP/IP 等協議的安全、系統缺陷、病毒防范等問題。
從網絡安全需求來分析,要考慮系統掃描、入侵檢測、設備監控和安全審計等,要防范黑客入侵、身份冒充、非法訪問。要保證信息在公共傳輸通道上的機密性,撥號線路的保密性和身份鑒別。
從應用安全和信息安全需求來分析,要解決重要終端用戶數據的加密、數據的完整性、數據的訪問控制和授權以及數據承載終端設備 (各種計算機、筆記本電腦、無線WAP終端及其它終端設備) 以及其中運行的操作系統的安全可靠。
因此,廣電集團網絡系統安全要重點做好以下幾方面的工作,同時也是本安全方案的設計需要解決的問題:
一、解決內部外部系統間的入侵檢測、信息過濾 (防止有害信息的傳播)、網絡隔離問題;
二、解決內部外部黑客針對網絡基礎設施、主機系統和應用服務的各種攻擊所造成的網絡或系統不可用、信息泄密、數據篡改 等所帶來的問題;
三、解決重要信息的備份和系統的病毒防范等問題;
四、建立系統安全運行所匹配的管理制度和各種規范條例;
五、建立健全浙江廣電集團網絡系統安全培訓制度及程序等方面的問題;
六、解決浙江廣電集團和其它相關單位部門網絡信息交流帶來的安全問題。
第二節 網絡安全目標
計算機網絡的安全問題與單臺計算機的安全在實際中存在著非常大的差別。網絡不是分裝在一個機箱內,存在著傳輸系統的地域分布問題。這些傳輸通信系統可以是有線的,也可以是無線的。這類傳輸可以在中途被截獲,存在著“中間攻擊”的問題。從攻擊的手段來看,攻擊種類和機制非常多。訪問控制和鑒別也比單臺計算機困難,網絡安全要特別重視防截獲,防泄露和信息加密的實施。
目前所采用的網絡防護方法也就是在進入計算機操作系統控制中的網絡訪問和網絡協議上實施的。
網絡防護的基本服務: 網絡訪問控制(MAC)、鑒別、數據保密性、數據完整性、行為的完整性、抗抵賴性、可用性等。
網絡安全的目的是保護在網絡系統中存儲、傳輸和處理的信息的安全,概括為確保信息的完整性、保密性、可用性和不可抵賴性。
信息的保密性指的是在計算機網絡系統中存儲、傳輸和處理的信息不被非授權的查看;
信息的完整性指的是在計算機網絡系統中存儲、傳輸和處理的信息不被非授權的改變;
信息的可用性和可靠性指的是在計算機網絡系統中存儲、傳輸和處理的信息為授權用戶提供及時、方便、有效的服務;
信息的不可抵賴性指的是內部人員對信息的操作不可抵賴。
為了更加完整的執行上述網絡信息安全的思想,防止來自集團內部局域網上的攻擊,又由于浙江廣電集團網絡連接關系復雜、網絡設備多,使用租用的國內的通信線路,存在著傳輸線搭接竊聽或輻射接收竊聽等環節。因此要做到以下幾個要求:
1) 防止計算機病毒的蔓延
集團網絡眾多的用戶,可能由于內部管理上疏忽,裝入未經殺毒處理的軟
件或是從因特網上下載了帶病毒的文件。還可能來自外部黑客釋放病毒、邏輯炸彈的攻擊等,這些都對計算機網絡系統安全構成嚴重威脅。病毒廣泛地傳播,將造成網絡軟硬件設備的損害以至于整個網絡系統癱瘓。
2) 加強網絡安全的動態防護
網絡黑客攻擊手段、計算機病毒等都處于不斷的發展和變化中,使用目前的安全保密技術和產品是難以構造一種絕對安全、無縫隙和一勞永逸的網絡系統的。因此,安全的網絡系統必須具有網絡安全漏洞的檢測和監控功能。通過安全檢測、監控手段,及時發現網絡安全漏洞和各種惡意的攻擊手段,及時提供修補系統漏洞的建議并阻斷來自內外的非法使用和攻擊。
3) 保障集團內部業務系統的安全穩定
由于涉及省臺與各地方臺的視頻傳輸,不可避免的會遇上各種各樣的問題,因此,在網絡層對業務的安全要保障得力,并且要確認信息傳輸的安全穩定。
第四章 集團網絡安全解決方案設計
第一節 網絡監控管理系統
由于浙江廣電集團的網絡建設已有很多年的時間了,其很多網絡設備都自帶了監控及管理軟件或工具,但是這些工具在問題發生之后很難解決問題。而網絡監控管理系統的實時映射、網絡瓶頸通知和設備失敗通知卻可以幫助用戶快速隔離問題,并且在員工抱怨之前解決問題。
這里對推薦的美國 CA 公司的網絡監控管理系統 (Unicenter Network & System Management)所能夠達到的功能簡單地說明一下:通過 TCP/IP 協議,不需要專門的培訓,用戶就可以配置該網絡監控管理系統,啟動網絡監視管理功能后,能夠監控的網絡設備包括工作站、服務器、主機、網橋、路由器、集線器、打印機等在內的幾乎所有網絡元件。當用戶決定使用該網絡監控管理系統軟件時,首先可以通過該軟件的網絡探查功能,能夠全面查看用戶網絡的底層構件,確認整個網絡的體系結構,并以一種可描述可管理的模式定位所有的網絡設備,并將這些設備存儲起來,迅速繪出網絡結構圖,同時啟動設備的監控,而這些過程都是自動生成的,非常簡單易用,可操作性強,這對于網絡設備非常多、而專業網絡管理人員較少的企業來說就顯得非常重要。
在這個過程中,首先通過該網絡監控管理系統 24X7 的全時設備輪詢網絡監視功能,迅速識別網絡元件的任何問題,當監測到問題時,可以不同的顏色顯示出來,并以通過手機、e-mail、聲音警報通知管理人員,同時根據各網絡元件相互之間的依賴關系,自動關閉與 有問題網絡元件之后的所有網絡元件的連接,減少冗余數據數量,避免冗余通知。此外,還能對網絡元件的潛在問題、網頁的正確性、可用性、網絡的性能以及系統資源進行有效的監控管理。
當網絡監控管理系統識別網絡失效時,在向相關人員發送警報及通知時,該軟件還可啟動一個程序來定位網絡失效。因此,當狀況被隔離之后,一個特定的應用程序或者腳本程序就會被執行,或許是重啟這個服務或許是重啟計算機。這個進程是自動的,因此當相關人員收到設備失效的通知時,相應的措施已經采取了,管理人員不用回到辦公室,因為當管理人員在收到通知時已經知道問題己經解決了。
在這一系列監控與管理過程中,網絡監控管理系統都能自動生成監控及管理日志,并對系統的使用情況與趨勢形成報告,以便用戶形成較為完善的系統化管理,提升工作效率。
第二節 電子郵件安全解決方案
解決電子郵件安全問題,我們需要從三個方面來考慮如何應對:
1) 對帶病毒郵件、垃圾郵件等惡意郵件的過濾和封堵;
2) 對進出郵件系統的所有郵件進行備份,用于監控和備查;
3) 對敏感的郵件內容進行加密傳輸,防備在傳遞路徑上的惡意窺伺。
對集團來講,現實的方法是結合現有的成熟技術,組合出一個在經濟上和技術上合理的解決方案,同時要保證長期的維保成本。郵件系統的安全解決方案包括如下三個部分:
1、電子郵件安全網關技術方案
通過郵件安全網關的部署,在病毒程序、垃圾郵件等不良信息進入集團郵件系統之前,便對其進行遏制、阻截,從而保證集團電子郵件系統的安全穩定運行,節省郵件系統存儲空間,避免機密的泄漏。
在郵件網關硬件系統上整合郵件反病毒引擎,對進入集團郵件系統的電子郵件進行病毒檢測,采取郵件隔離、刪除以及清除病毒等操作,減少病毒對郵件服務器的攻擊。應根據互聯網最新病毒發展趨勢,定時升級郵件網關病毒庫。
2、郵件備份系統技術方案
在集團現有郵件系統的基礎上,實現對指定時間內(如最近一年)所有收發郵件的備份,并且管理員根據郵件信息摘要(例如:發件人、收件人、主題、日期、附件名稱等)進行檢索和查看郵件全部內容。
3、郵件加密系統技術方案
保護重要電子郵件不被泄密,防止內部人員未經許可將重要電子文檔以郵件的方式泄密,防止電子郵件被截取而引起的泄密。保證工作效率,在盡量不改變使用者收發郵件操作習慣的基礎上,保證電子郵件正常暢通使用。
考慮到文件安全擴展的需求,除電子郵件之外,信息泄密還有多種途徑。在保護郵件安全的基礎上,要考慮到日后系統的擴展性。
郵件安全管理系統綜合動態加解密技術、訪問權限控制技術、使用權限控制技術、期限控制技術、身份認證技術、操作日志管理技術、硬件綁定技術等多種技術對電子郵件進行保護。
第三節 遠程數據傳輸的加密
建立基于SSL VPN技術加密訪問系統,使得從Internet到內部網絡的訪問使用SSL VPN數據加密通道,保證數據在傳輸過程中保密性。
目前能夠提供 SSL VPN 加密產品的廠家很多,但是本文認為在SSL VPN技術的先進性、加密傳輸的速率、以及廠家的技術服務等方面,Juniper的Netscreen SA 1000具有相對的優勢,是其它廠家無法比的。
Juniper 網絡公司SSL VPN產品家族的Netscreen-SA 1000系列,使企業可以部署經濟高效的遠程接入、外聯網及內聯網安全性。用戶可從任何標準 Web瀏覽器接入企業網絡和應用。NetScreen-SA 1000系列使用SSL作為安全接入傳輸機制,SSL是所有標準Web瀏覽器中使用的安全協議。使用SSL使客戶無需部署客戶端軟件、無需更改內部服務器,也無需進行成本高昂的長期維護。NetScreen-SA 1000產品提供先進的合作伙伴喀戶外聯網特性,以控制用戶或用戶組的網絡訪問,無需更改基礎設施、無需部署DMZ 、也無需軟件。這項功能還允許公司安全接入企業內聯網,使管理員可以根據不同員工、承包商和訪問者所需的資源來限制他們的接入權限。
NetScreen-SA 1000系列解決方案的主要特性與優勢如下:
一、端到端分層安全性
端點客戶端、設備、數據和服務器的分層安全性控制,Juniper網絡公司 Endpoint Defense Initiative(端點防御計劃),用于提供最高的端點安全性可以根據用戶組或角色、網絡、設備及會話屬性來規定基于用戶身份的接入降低總擁有成本。不需要部署客戶端軟件或更改服務器,幾乎不需要長期維護。從單一平臺安全地遠程接入內聯網和外聯網安全的外聯網接入,無需構建 DMZ、無需加固服務器、無需復制資源、或無需增加部署來添加應用或用戶簡化
二、可管理性
(一)集中管理選項提供統一管理
(二)用戶自助服務功能,可降低技術支持服務窗口的支持成本
(三)細粒度的審計和日志記錄
(四)3 種不同的接入方法,允許管理員根據具體目的來設置接入權限
(五)基于角色分配管理任務
三、高可用性
群集對部署選項,可為整個LAN和WAN提供高可用性。
第四節 服務器的安全防護
一、業務服務器的安全防護
(一)防火墻的安裝
這里將在Catalyst 4506交換機與服務器群的交換機之間安裝一臺高性能的防火墻,并根據服務器群中的每臺服務器的應用系統的情況,在該防火墻上進行一對一的安全策略配置的工作。
(二)入侵檢測系統的安裝
這里將在服務器群的交換機上配置一個偵聽端口,將流經該交換機所有端口的數據包都復制一份傳送到偵聽端口上;再把入侵檢測系統連接到該偵聽端口,接收該端口輸出的所有數據包,并對這些數據包進行入侵分析、判斷和記錄。本文將負責完成入侵檢測安裝配置工作。
二、涉及到的設備選擇
(一)防火墻的選擇
防火墻的類型主要有:數據包過濾、監測型、服務器等幾大類型。
1)包過濾型
包過濾型防火墻是防火墻的較初級產品,其技術基于網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。如圖4-1所示:
圖4-1包過濾型防火 墻的工作原理
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2)型
型防火墻也能夠被稱為服務器,它的安全性要高過包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到集團內部網絡系統。如圖4-2所示
圖4-2型防火墻的工作原理
型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。它的缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
本文將選用業界性能較好的、可靠性較高的Juniper 的NetScreen 5200防火墻,該防火墻的技術參數如表4-1
表 4-1 NetScreen 5200 防火墻技術參數表
物性/功能 NetScreen-5200
接口數 2個XFE 1OGigE,或8個Mini-GBIC, 或2個Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墻
5G 3DES/AFS VPN
最多會話數 1,000,000
最多VPN 隧道數 30,000
最多策略數 4000,000
最多虛擬系統數 5
最多虛擬LAN 數 4000
最多安全區域數 默認設置為16個,最多增加1000個
最多虛擬路由器數 默認設置為3個,最多增加500個
支持的高可用性模式 主用/備用
支持的路由協議 OSPF, BGP, RIRV1/V2
深層檢測 是
集成/重新定向,Web過濾 是/否
(二)入侵檢測系統的選擇
這里選用國內擁有領先安全技術水平的天融信千兆級入侵檢測系統NGIDS-UF。其主要的技術指標如表4-2
表4-2 NGIDS-UF 入侵檢測系統技術指標表
型號 NGIDS-UF
類別 千兆IDS
規格 2U 機架式
網絡接口 1個10/100Base-TX: 2個千兆光纖
2wh 10/100/1000Base-TX
串口 1個RS-232C
第五節 計算機病毒防護的加強
一、在原有的病毒防護系統增加集中管理控制臺
新增一臺服務器,在上面安裝一套諾頓的病毒防護的集中管理控制臺。這里將安裝該服務器系統和諾頓的集中管理控制的軟件系統。
二、增加網絡病毒防火墻
在每個樓層交換機的上聯端接入一臺網絡病毒防火墻,對局域網內的病毒進行區域控制:在二級單位廣域網入口處安裝一臺網絡病毒防火墻,保障二級單位的廣域網線路不會受到病毒數據包的影響。
涉及到的設備選擇:
(一)諾頓的防病毒集中管理控制臺
只有選用諾頓的集中管理控制軟件才能控制和管理諾頓的網絡防病毒系統的客戶端軟件。
(二)網絡病毒防火墻
目前有趨勢相關的硬件產品出售,并且該產品還能夠與諾頓的網絡防病毒客戶端軟件進行聯動。所以本文選擇部署趨勢的NVW1200網路病毒防火墻。該網絡病毒防火墻的主要功能如下:
1.執行免的安全策略
網絡病毒墻對非兼容設備進行隔離修正,以確保所有設備在進入網絡前都安裝有最新的防病毒及關鍵的操作系統補丁。執行免的安全策略可減少管理負荷,并可同時降低被合作伙伴或VPN用戶的非兼容設備感染的風險。
2.漏洞隔離
網絡病毒墻根據Trend Micro的漏洞評估功能,隔離網絡蠕蟲可利用的潛在環節,使管理者有選擇地隔離薄弱(未安裝不定程序)的網絡段或設施,避免病毒的爆發。網絡病毒墻提供漏洞評估服務,并將該功能作為一個可選項。
3.靈活的、集中式管理
網絡病毒墻包括趨勢科技企業安全管控中心、及一個集中式、基于網絡的管理控制臺,它根據主機安裝永久的需要實施安全更新部署。該服務可以自動部署、或點擊管理控制臺的選項進行手工部署。
4.網絡掃描及偵測
網絡病毒墻通過掃描網絡流量查找蠕蟲及漏洞利用,并基于趨勢實驗室提供的最新病毒碼來自動清除感染的網絡數據包。另外,網絡病毒墻利用趨勢科技先進的啟發式技術對您的網絡實施監控,并提供威脅的早期預警。
5.網絡病毒爆發監控
網絡病毒墻通過實時監控網絡流量或可疑活動來提供早期的威脅預警。并在中心控制臺上發出病毒爆發通知,立即提示管理者蠕蟲攻擊目標、受感染的主機、或具體的受攻擊的漏洞。
6.網絡病毒爆發防御
網絡病毒墻部署了Trend Micro病毒爆發防御服務,通過阻絕任何蠕蟲傳播組合,包括8地址或地址范圍、端口及協議、即時通訊渠道、文件類型擴展名、及文件傳遞。
7.自動清除損害
網絡病毒墻通過隔離感染的網絡段、主機、或客戶,進行清除及修正,阻止了再次感染。憑借自動、免清除蠕蟲(木馬)痕跡、及系統文件配置(system.ini)修復功能,Trend Micro的清除損害服務可以防止再次感染,降低清除成本。
第六節 網絡攻擊及防護演示效果圖
圖4-3網絡攻擊及防護演示效果圖
針對浙江廣電集團的網絡結構,當出現如下各類情況時解決方案如圖4-3所示:
1、 漏洞掃描-識別攻擊行為
2、 上傳病毒/木馬-修復系統漏洞
3、 啟用后臺服務監聽-防病毒軟件
4、 遠程控制服務器-防火墻入侵檢測
5、 攻擊業務系統-防火墻、雙機容錯
6、 破壞系統數據-備份、災難恢復
7、 客戶端中毒-防病毒軟件
第五章 結束語
計算機網絡的可靠性和安全性是在不斷地變化的,不同的時期或者階段對網絡的可靠性和安全性方面的要求是不一樣的。在網絡的建設之初,集團網絡關心最多的是網絡的連通性,只需要網絡能夠傳送數據即可,對于網絡數據的延遲lunwen .1 kejian .com 一以及網絡短時間的中斷都沒有過多的要求:當網絡中存在著涉及到集團的關鍵性應用系統時,就對網絡數據的延遲時間、以及網絡的中斷時間上就有了很高的要求,在一般情況下,為了保障集團應用系統的連續運行,集團網絡系統是不允許發生網絡中斷的。因此,本文在方案的設計中就已經考慮到要符合目前的、以 及將來的網絡應用系統的需要,同時本文設計的網絡系統的可靠性和安全性可以根據集團網絡業務系統的需要進行相關的調整,滿足變化之后的網絡業務系統的要求。
本方案是一個針對浙江廣電集團目前計算機網絡現狀的網絡、及網絡安全的解決方案,在隨后的分期分批的項目實施過程中,由于集團網絡環境、以及網絡應用系統的變化,會在細節上根據實際情況進行相應的調整,如:安裝設備數量、設備安裝具體地點等,只要在總的布局、要求以及標準上保持不變,實施之后就能夠達到本方案的設計要求。同時,本方案在設計、以及設備的選型上,己經做了今后擴展的考慮。
本方案并沒有解決浙江廣電集團計算機網絡、以及網絡安全方面的所有問題,隨著計算機網絡、及網絡安全的技術不斷地發展,以及集團網絡應用系統不斷地新增,集團業務系統也會對集團的計算機網絡系統的結構和網絡安全方面提出更高的要求,實現后滿足集團實際的需要。
【參考文獻】
[1] 張國清.CCNP BSCI詳解.北京:電子工業出版社,2006.
[2] 拉斯特.網絡安全基礎[M].北京:中國郵電出版社,2006.
[3] 常曉波.CISCO網絡安全.北京:清華大學出版社,2004.
[4] 王達.網管員必讀——網絡安全.電子工業出版社. 2007.
[5] 《非常掌上寶系列》編委會.數據備份恢復與系統重裝一條龍.北京:科學出版社,2005.
[6] 張公忠.現代網絡技術教程北京:電子工業出版社,2004.
[7] 飛科研發中心.電腦防毒防黑急救.北京:電子工業出版社,2002
[8] 黃志暉.計算機網絡管理與維護全攻略.西安:西安電子科技大學出版社,2004.
[9] 歐陽江林.計算機網絡實訓教程,北京:電子工業出版社,2004.
[10] 金純.IEEE802.11無線局域網北京:電子工業出版社,2004
[11] 施裕琴.網絡安全的入侵檢測系統及發展研究.集團經濟研究2006,(27):25-26.
[12] 董凱虹.網絡監控管理系統的功能.計算機世界周刊.2006.(4):50-51
[13] 胡越明.Internet技術及其實現.北京:高等教育出版社,2005.
[14] 陳雪著.Windows XP的完善.上海理工大學出版社,2005.8
[15] 麥肯蘭勃.網絡安全評估.北京:中國電力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 謝
在論文完成之際,謹向所有給予我指導、關心、支持和幫助的老師、領導、同學和親人致以崇高的敬意和深深的感謝!
首先感謝導師顧忠偉老師一直以來對我的學習、工作和生活所給予的無私關心、悉心指導和嚴格要求。尤其在論文的完成階段,得到顧老師的耐心指導和嚴格把關。顧老師嚴謹的治學態度、求實的工作作風、平易近人的處世風范都深深影響了我。在此謹向顧老師表示最衷心的感謝和最誠摯的敬意!
感謝浙江廣電集團科技管理部計算機科的同事,他們結合自己多年的計算機系統與網絡安全的相關經驗,給我提出了很多寶貴的建lunwen .1 kejian .com 一和對我實習中的幫助。在論文完成之際,在此特向各位同事表示深深的謝意!
在論文的材料收集期間,得到了負責集團網絡工作的蔣老師的大力支持,他根據自己多年實際工作的經驗,為我的論文寫作、改進工作提出了許多有價值的寶貴建議,在此對蔣老師表示感謝!
感謝經濟管理學院的各位老師、同學在學習工作等諸方面的支持和幫助,這一切使我在學習期間深受教益。
最后,深深地感謝我的家人旦他們在生活和學業上給了我無私的關懷,為了支持我的學業,付出了莫大犧牲。惟乞此文能夠回報這些無比的關心和厚愛!
課余之后,本人還繼續培養自己的其他能力,熟悉SQL SEVER平臺的各種開發與管理操作,能利用數據庫進行信息分析與管理;熟悉C/C++/C /ASP等語言,能利用Visual Studio 2005進行應用Windows應用程序,Web程序的開發.了解等數據庫接口技術和XML,系統分析與設計與軟件工程方面的基本知識.擁有較好的英語閱讀及口語能力.責任心強,善于溝通,善于團隊合作,勇于實現自我管理自我學習,對技術有較濃的向往. 所獲獎勵 2005/05/2005年全國大學生英語競賽A級 三等獎
2005/11 重慶郵電大學經管學院“創業計劃”大賽 一等獎
2005/06 重慶郵電大學校數學建模競賽 三等獎
2004/03 重慶郵電大學優秀學生獎學金一等獎 三次
2006/03 重慶郵電大學優秀學生獎學金二等獎 一次
2006/09 重慶郵電大學優秀學生獎學金三等獎 兩次
2005/09 重慶郵電大學優秀學生干部
2005/09 重慶郵電大學科技創新百佳先進個人
2004/09 重慶郵電大學三好學生
2004/03 重慶郵電大學經管學院學生會科技協會優秀干事 兩獲此稱號 所獲證書 2006年03月全國大學英語口語考試證書C+等級
2005年04月全國計算機等級考試三級信息管理技術證書
2005年03月大學英語CET四級證書 實踐經驗 1. 停車場演示系統:專業個人上機實習,C語言模擬.主要練習對于數據結構基礎知識的掌握以及高級語言程序設計的方法技巧.
2. DVD在線租賃系統:數學建模競賽論文,團隊合作完成,主要研究和解決DVD在線租賃網站的需求預測,購買和分配中一些重要問題,應用到0-1背包算法,禁忌算法等知識.同時用C++實現部分功能.
3. 基于Web的個性化信息服務系統:系本專業信息組織與存儲課程設計,本人在其中當作組長,用ASP語言及其Acess實驗部分以下功能:除了基本網站基本檢索功能以外,根據用戶信息,檢索歷史提供個性化信息推送服務研究.
4/2006年于中國網絡通信集團公司重慶分公司運行維護部實現暑假企業跟班實習一周,了解其通信運營工作流程,網絡維護的基本技能與經驗.
5. 基于SQLDMO的數據庫備份與恢復子系統:畢業設計論文,使用C 語言在.net平臺下數據庫系統備份與恢復的簡單實現方法.
論文關鍵詞:災難備份 通信運營商 IDC
論文摘要:本文闡述了災難備份業務的定義、發展背景及實現原理,對通信運營商運營災難備份業務的優劣勢及運營策略進行了透徹分析,最后指出災難備份業務的市場應用前景廣闊。
1 災難備份業務定義及業務發展背景
1.1 業務定義 災難備份業務是一種信息系統遇到災難時的系統備份和恢復業務,該業務在災難發生時可用來最大限度的恢復信息系統的原始狀態。將用戶數據存儲在不同地域的數據中心,當其中一地發生非可預測的災難時,可以迅速恢復用戶的數據和功能,提高用戶系統的容災性和安全性。
1.2 背景 整個災難備份行業起源于上世紀70年代,1979年,SunGard在美國費城建立了全世界第一個災難備份中心,當時關注的重點為IT行業,比如數據備份和系統備份等;后來,IT備份發展到了災難恢復規劃(DRP)階段,在IT數據備份中加入了災難恢復預案、資源需求、災難備份中心管理等功能應用;再后來,人們把災難備份從IT角度逐漸轉向了業務角度,用業務來衡量災難備份目標。除了IT業務支撐之外,災難備份還加入了業務影響分析、策略制定、業務恢復預案等,成為了業務連續性規劃(BCP);在美國911事件之后,災難備份又進了一步,除了原有的面向業務,還加入了緊急事件響應、危機公關和供應鏈危機管理等,功能日趨完善。
2 災難備份業務實現原理
災難備份業務常用技術含磁帶備份存儲、磁盤鏡像、RAID技術、HotSpare、雙機熱備等。并且可實現多種技術的疊加應用,從而滿足多方面多角度的應用需求。災難備份業務的實現原理:
2.1 實現原理 災難備份業務的實現原理很簡單,就是利用在不同物理位置上的存儲設備所具備的網絡連接功能,在遠程平臺對本地數據進行異地的備份或鏡像,一旦本地發生災難,存儲在異地平臺上的數據不會受到損壞,從而可以實現數據的安全恢復運營。
2.2 災難備份業務的關鍵指標 由于災難備份業務的重要性,因此業內提出針對災難備份業務的一些關鍵指標,這些指標也是衡量災難備份業務提供商水平的標志。
RTO(Recovery Time Objective)指標:指災難發生后,從系統宕機導致業務停頓之刻開始,到系統恢復至可以支持各單位運作,業務恢復運營之間的時間段。RPO(Recovery Point Objective)指標:指對系統和應用數據而言,要實現能夠恢復至可以支持各單位運作,系統及生產數據應恢復到何種更新程度,即企業可以容忍的數據丟失量。
3 災難備份業務市場營銷概況
3.1 災難備份業務市場營銷的特點 災難備份服務市場目前主要指基于通信運營商IDC的增值服務,在IDC的調研中,有近三分之一的企業表示希望得到高品質、高服務的增值服務。IDC最為關注兩項增值服務:數據增值與安全增值。而災難備份業務可依托IDC的現有網絡優勢,提供高速、便捷、安全、高校的數據安全增值服務。
3.2 災難備份業務市場營銷的現狀 目前國內通信運營商正在試探運營,如杭州電信采用H3C提供的共享式災難備份解決方案,實現了杭州市政府各委辦的共享災難備份平臺的建設和接入,達到了政府統一災難備份的目標,此為中國政府部門第一個共享式災難備份項目。由于通信運營商已經開始意識到這塊市場的重要性,因此已經開始在各省市建設大型數據中心用以提供災難備份業務,目前上海、北京、廣州和深圳等城市已經建設起了全國性的大型災難備份中心。
4 通信運營商運營市場客戶分類及運營優劣勢分析
4.1 市場客戶細分 災難備份業務適用于政府、金融、證券類等對數據安全性要求很高的客戶,尤其適于政府,中小銀行。災難備份業務市場的主要客戶群為政府與企業客戶,就目前來看,政府行業市場為優質市場,需求非常明確,資金到位,可考慮與各地市信息辦合作,共同拓展此項業務。在先期試點階段,可采取價格策略,吸引一部分政府客戶加入。最終以點帶面,形成規模效應以及品牌效應。
4.2 通信運營商運營災難備份業務的優劣勢分析
4.2.1 優勢:企業品牌與本地化支撐:本地化服務最到位,可以長久托付的網絡服務提供商。設施資源:可充分利用原有的IDC設施,節省初期投資。設備資源:運營商集中采購,降低了設備投入成本。網絡資源:可以為客戶提供端到端承載網查檢、診斷、解決服務。客戶關系:銷售網絡廣、與行業客戶長期合作,市場需求信息獲取渠道廣,客戶關系較為穩固。
轉貼于
4.2.2 劣勢:尚無規范化流程:諸多內部產品流程上尚未做規范化梳理,維護服務體制尚不健全。缺乏專業人才,一線隊伍缺乏維護經驗,決策效率不高:決策效率不高,內部流程復雜,對項目操作反應、決策較為緩慢。無傳統業務重視力度:災難備份業務是ICT業務中具有戰略意義,但是短時間內難以得到組織內部對傳統業務一樣重視。
5 通信運營商運營策略
5.1 產品策略 共享災難備份的核心為依托通信運營商的基礎設施優勢,把災難備份建設中涉及到的鏈路,設備、管理和運維等各個方面進行打包,以“服務包”的方式交付給用戶。通過共享災難備份平臺,向客戶提供優質的災難備份服務和解決方案,解決用戶數據異地備份難的問題,能夠滿足目前市場上對于數據保護和災難備份系統的迫切需求。服務產品按照客戶需求可以分為初,中,高級,對應數據級,應用級,業務級。
5.2 價格策略 服務產品價格關乎項目的盈利點。服務產品的價格定義一般有兩類,一是市場導向型,參考競爭對手的價格,二是成本導向型。建議定價依據參考以下幾點:①災難備份業務收費定位于高端市場;②定位高端應用,收費高;③由于提供服務的供應商有限,為賣方市場。
5.3 分銷策略 分銷策略也稱為銷售渠道策略。銷售渠道的選擇,從某種意義上,是企業市場營銷中所面臨的最復雜的決策之一。相同的產品,不同的銷售渠道及模式將帶來不同的銷售及成本。銷售渠道按中間環節的多少可分為直接銷售渠道、一層渠道、二層渠道、三層及以上渠道。充分利用現有通信運營商客戶資源,形成健全的分銷網絡,以大客戶作為業務推廣發起點,依靠大客戶的業務發展優勢,有效吸引其豐富的客戶資源。同時利用大客戶的營銷推廣系統,擴大市場宣傳力度。
5.4 促銷策略
5.4.1 搜索引擎推廣 提升在Google、Yahoo、MSN三大國際搜索引擎和在新浪、百度、搜狐三大國內搜索引擎的搜索首頁排位,確保在各大搜索引擎相關詞匯搜索結果中排名靠前。
5.4.2 網站廣告位推廣 在通信運營商專屬網站開辟專欄進行業務宣傳。盡可能多地尋找資訊類網站,將業務詳細信息作為子站或子頁的形式掛接在這些網站中。主要是加強搜索引擎的效果,同時配合超級鏈接的需要。
5.4.3 傳統方式推廣 傳統的推廣模式對災難備份業務推廣來說仍然有效,在某些方面甚至可以起到意想不到的效果。主要推廣方式包括:①通過印刷、投放產品宣傳彩頁、X展架等方式,配合產品市場的推廣活動。投放方式主要以信函、雜志夾頁和樓宇擺放為主。②另外在主要交通干道上制作業務大型戶外廣告,吸引廣大客戶的關注。
6 結束語
隨著近年來災難性事故的頻頻發生,人們對于自我保護的安全意識更強。災難備份業務通過遠程安全數據備份功能可以為企事業單位提供良好的解決方案。各大通信運營商依托自身業務及資源優勢可為企事業單位提供便捷、高效可靠的災難備份業務,同時又可通過此業務的使用帶動相關業務的蓬勃發展,可以說災難備份業務市場應用前景廣闊。
參考文獻
[1]王會波.安全存儲與云存儲安全.《信息安全與通信保密》.中國電子科技集團第三十研究所、中國信息安全認證中心.2009年12月.18-19.
李濤.信息存儲與信息銷毀技術.《信息安全與技術》.中國電子信息產業發展研究院.2010年6月.45-48.
許肖威,陳震.信息系統災備保障核心——安全網絡存儲.《信息網絡安全》.2010年9月.29-32.
