時間:2022-08-16 22:51:13
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡系統論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
1.1診斷思路
網絡系統故障一般有電源系統引起的故障、節點故障和線路故障[5];通信線路的故障形式主要有CAN線短路、CAN線斷路、CAN高低線短路、CAN線以及線路物理性質引起的通訊信號衰減或失真,這些都會引起控制單元無法工作或電控系統錯誤動作[6]。控制單元的正常工作電壓一般在10.5V~14.5V范圍內,如果提供的電壓低于該值就會造成一些對工作電壓要求高的控制單元出現停止工作,從而使整個網絡系統無法通信。所以診斷前應先保證電源供電正常,再使用專用診斷儀或解碼器對整個電控系統進行故障診斷,若診斷結果為控制單元通訊故障、失去通訊、通訊總線故障時,一定要弄清控制單元之間的通信關系,選取合適的檢測點測量信息傳輸線路波形,最后查明故障原因。
2供電企業試驗測量
2.2試驗結果與分析
2.2.1CAN線斷路波形機理分析
1供電企業計算機網絡系統安全保障的必要性
首先,供電企業的計算機網絡具有分布十分分散、網絡節點多的特點,管理起來較為困難。供電企業需要對整個城市的供電進行管理和控制,那么必然會使用大量的網絡節點。由于這些網絡節點較為分散,出現問題不易查找出源頭進行處理,勢必會影響正常的供電工作。其次,供電企業本身擔負著用電安全的重要責任。供電企業跟普通企業不同,它擔負的責任更重,普通企業的網絡安全出現問題,僅對企業自身造成不良影響,很少會對社會或者是大范圍的人群造成生活上的影響。而供電企業計算機網絡系統一旦出現問題,很可能會對人民的正常生產生活造成損失。最后,當前影響計算機網絡系統安全的因素太多,嚴重影響其穩定性。計算機網絡系統安全問題不容小覷,各種主觀和客觀的因素共同制約著其安全穩定地運行,所以我們想要確保其安全和穩定,就必須站在宏觀的角度去看問題,全盤考慮,找出對策。
2影響供電企業計算機網絡系統安全的因素
影響供電企業計算機網絡系統安全的因素較多,主、客觀的因素都有,其中可以分為兩類,一類是供電企業自身的問題造成的安全隱患,一類是外部的因素對其供電企業計算機網絡系統的安全保障研究曹凡國網湖北省十堰供電公司湖北十堰442000安全性的影響。供電企業自身的問題完全是可以通過管理手段杜絕的。這些因素大致上分為下面幾種:第一,計算機本身的硬件故障和軟件問題。計算機網絡系統是由很多硬件組成的,其輸入輸出、存儲、電源、主板等原件較為復雜,任何一個原件出現問題,都會對整個計算機網絡系統產生影響,一旦出現信息的錯誤接收或者發出,又或者存儲的數據丟失,都會造成難以想象的損失。另外,只有計算機硬件無法實現其具體功能,整個計算機網絡的運行是依托于各種軟件,這些軟件本身可能是有缺陷或者漏洞的,又或者軟件開發者故意留有“后門”,都將直接影響系統安全。第二,員工個人操作時常會因為不按規范進行而出現安全隱患。計算機即便再便捷、迅速,它也需要人的操控。人總是會因為疏忽大意或者是不重視操作規范而造成問題,特別是當前供電企業某些工作人員具備供電常識,但計算機操作能力較差,當今電力企業的發展又要求必須要使用計算機,這些工作人員在操作時候很可能會造成網絡設備的損壞或者留下安全隱患。特別地,員工操作計算機最易出現安全隱患的階段就是數據的傳輸階段,在數據傳輸時沒有做好安全保障常會造成重要數據的泄漏或者被竊取,嚴重時候還可能被破壞。第三,管理不善導致的安全問題出現。管理方面主要體現在機房的門禁制度不健全,無法阻止不相干人員進出機房,這樣任何人都會對計算機系統造成威脅。
而影響計算機網絡系統安全的外部因素大致上分為兩類,首先是不可抗力的作用。這里的不可抗力主要是指自然災害。因為計算機需要線路去傳輸,而計算機線路最怕遇到暴雨、火災、雷電或者其他自然災害導致的線路中斷。一旦線路被外力中斷,其系統安全就無從保證。其次是病毒和木馬的感染,這項因素嚴格來說是由工作人員操作不當和黑客刻意操作兩方面的原因構成的。無論是哪種情況,都會使網絡安全無從談起,而會出現這種情況,無非是自身管理的漏洞等原因,都需要企業從自身入手進行解決。
3供電企業計算機網絡系統安全保障措施探析
針對上述的影響因素,我們需要從多個層面共同保障。首先,從管理層面來說,要建立健全完善的管理手段,不僅是在計算機網絡安全領域,還要從整體入手,做好整個企業的宏觀管理,制定出相關的操作規范和管理規范,設立專門的計算機網絡系統管理部門,由專業的技術人員對整個系統進行實時的監測和控制,使其安全有最基礎的保障。
其次,應當注意相關工作人員的素質提升。供電企業工作人員往往是電力知識較為穩固,對計算機的使用并不能盡如人意。而僅靠專門的計算機專業人才是遠遠不夠的,需要對工作人員進行必要的計算機培訓,培養復合型人才。另外,還要提升工作人員的安全責任意識和對故障的敏感性,在操作計算機時一定注意各種風險和隱患。
再次是從技術層面來說,要進行多個領域技術的研究和應用。一是要做好抵御外部攻擊的準備。要進行防火墻以及入侵檢測系統的設置。必須在企業網絡系統內安裝防火墻,并且運用IP偽裝等技術,保護內部網絡的安全。同時,安裝入侵檢測系統,與高等級防火墻配合使用,共同抵御外部的網絡攻擊。另外,還要運用一些成熟的技術來抵御黑客的襲擊。例如運用應用技術和PacketFiltering技術。前者是一項較為穩定的監測系統,對于這項技術來說,整個防火墻的線路近乎于透明,可以很清晰地對外界數據進行監控和排查,確保外來數據的安全。而PacketFiltering則是指包過濾技術,它是使用較為廣泛的一種技術,主要是為各種基于TCP/IP協議數據報文出進的通道。現代多數情況下使用的是動態過濾,區別于以往的靜態過濾,它現對信息進行分析,然后運用防火墻預設的規則進行效驗,確保有問題的某個數據包能夠及時被發現并阻止;二是做好企業內部計算機網絡的日常管理。我們知道,來自計算機網絡內部的問題要遠大于外部的問題,要想內部不出問題,就需要從內部多個方面入手。技術人員應當定期地進行病毒和木馬的查殺并且不定期地進行抽查,將可能出現的問題扼殺在萌芽階段。要進行必要的身份設置,根據工作人員工作權限和工作內容的不同設置不同的身份口令,建立不同權限的身份賬號,設定訪問和修改的權限,并且對這些身份資料進行定期的核查。最后是做好各種補救措施。安全隱患的預防措施再完備也無法保證不會出現問題,企業應當做好各種準備,將重要數據進行備份,確保在出現問題時能夠及時解決,將損失降低到最低范圍內。
4結語
1.1星型結構具有網絡結構簡單,建網容易,網絡易于擴展,故障的檢測和隔離方便.但也存在著一些缺點,如網絡的中心節點負擔過重,一旦中心節點出現故障,可能會造成整個系統癱瘓.根據實際情況,化學化工學院機房面積約為120m2,現有38臺微型計算機,其中1臺配置較高,作為教師機;另外的37臺配置相對低一點,但都是相同型號.網絡設備包括2臺24換機.綜合上述條件考慮,決定采用星型拓撲結構,如圖2所示.
1.2網絡硬件
1.2.1網絡中服務器與客戶機的選擇系統結構選擇客戶機-服務器系統,該技術是計算機發展史上的一次革命,它與集中式平臺、計算機局域網體系結構不同,它以系統成本低、功能強大、用戶可以自由實現各種各樣的客戶機與服務器的聯網組合等顯著優點,被廣大用戶所采用[4].這種結構的優點體現在:服務器能夠對網絡中的數據進行有效的控制和管理,對于沒有取得安全機制授權和鑒別的客戶,不允許其對服務器中的數據進行非法訪問,充分保證了系統地安全性能.客戶機是具有獨立性能的智能化微機,它既可以單獨運行存儲在其中的應用程序,也可以通過網絡享受服務器提供的服務.網絡最重要的作用是資源共享和信息傳遞.對于共享的資源來說,絕大多數都存在于網絡服務器中,因此,作為網絡服務器的微機應具有大容量、高速度、性能可靠等優點.根據機房現有機器的特點,選擇PIV3.0GHz的處理器,1GB的內存,160GB的硬盤作為基本配置的高檔微型計算機作為網絡服務器.客戶機有37臺同樣檔次的微機組成,PIV2.6GHz的處理器,520MB的內存,80GB的硬盤作為基本配置.
1.2.2網絡互聯設備網絡互聯(Interconnection)就是根據實際情況,選擇合適的技術和設備將相互獨立的網絡或計算機連接起來,從而達到數據交換和資源共享的目的.一般來說,網絡互聯的方式主要有如下兩種:一是通過中繼系統實現網絡互聯;二是通過互聯網進行網絡互聯.考慮到機房的具體情況,將采用第一種互聯方式.目前常用的中繼設備有中繼器、集線器、交換機、路由器和網關.本系統將采用TPLink24端口的智能交換機,配以3COM公司及D-LINK10M/100M自適應網卡.具體連接過程是從其中一臺交換機的一個下方端口引出一條線接入另一臺交換機的上方端口,即可實現將37臺客戶機全部連接.
1.2.3通信介質傳輸介質是指連接計算機的通訊線路,一般分為有線介質和無線介質兩類.雙絞線、同軸電纜和光纖是常用的3種有線傳輸介質.無線電通信、微波通信、紅外線通信以及激光通信的信息載體都屬于無線傳輸介質.雙絞線是綜合布線工程中最常用的一種傳輸介質.由于它具有性能好、成本低、抗干擾作用強的特點,因此在機房組建網絡系統中使用了非屏蔽雙絞線作為通信介質.如圖3所示.它是由兩根絞在一起的導線來形成傳輸電路.兩根導線絞在一起主要是為了防止干擾(線對上的差分信號具有共模抑制干擾的作用),利用RJ-45水晶頭連接在網絡互聯設備上.
2網絡軟件
完整的計算機網絡是由計算機網絡硬件和網絡軟件共同組成的.要實現計算機網絡的基本功能,必須在具備了計算機網絡硬件的同時,配備完善的網絡軟件.而計算機網絡軟件,又分為網絡系統軟件和網絡應用軟件.
2.1網絡操作系統[5]網絡操作系統(NOS)是向網絡計算機提供網絡通信和網絡資源共享功能的操作系統,它是負責管理整個網絡資源和方便網絡用戶的軟件的集合.由于網絡操作系統是運行在服務器之上的,所以有時我們也把它稱之為服務器操作系統.工作站服務器型網絡中,服務器所使用的操作系統是每個組網者都需要考慮的.目前網絡環境中主要存在以下幾類網絡操作系統:Windows、NetWare、Unix、Linux等幾類.而微軟公司的Windows系統在網絡操作系統中是最常見的.一般常用到的操作系統有Win-dowsNTServer4.0,Windows2000Server等.本系統主要采用Windows2000server操作系統.Windows2000server是為服務器開發的多用途操作系統,與以往的網絡操作系統相比,Windows2000Server在安全性、可靠性、可操作性、適應性和網絡性能等方面的功能都得到了進一步的加強.可為部門工作小組或中小型公司用戶提供諸如Web服務、文件打印服務以及軟件應用服務等.Windows2000Server對系統配置要求較高,具體如下:CPU為Pentium133MHz或更快的中央處理器,每臺計算機最多支持4個CPU;內存容量建議最少256MB(最小支持64MB,最大支持4GB);需要的最少硬盤空間大約為1GB.為了發揮Windows2000Server的性能,特別是承擔關鍵應用的服務器在硬件上應該選擇更高的.在Windows2000Server中,FAT16、FAT32、NTFS是最常見的3種磁盤文件系統.可以將服務器的主分區設置成NTFS格式,用來安裝操作系統.其他分區設置成FAT32格式,用來安裝必要的應用軟件,方便學生進行作業的收發.在具備了相關的網絡硬件設備和網絡操作系統后,要想使具有不同操作系統、不同類型的計算機之間能夠互相通信,就必須有一組共同遵守的通信標準,即網絡協議.協議本質上無非是一種網上交流的約定,目前,全球最大的網絡———因特網(Internet),它所采用的網絡協議是TCP/IP,它是因特網的核心技術.其中傳輸控制協議TCP和網際協議IP是兩個最基本、最核心的協議,是目前被各方面遵從的網際互聯工業標準.在開通校園網后,由網絡中心分配唯一的IP地址,并配置相應的網關和子網掩碼后,機房內所有計算機就可以通過校園網服務器連入互聯網進行暢游了.
2.2網絡應用軟件根據學院實驗課程的要求,為機房內計算機安裝必要的網絡應用軟件.比如學生在查閱文獻資料時,要登錄網頁,因此需要安裝WWW服務;有時候可能需要校內網進行作業的暫存,資源的下載,就需要FTP服務的支持.
3結束語
從系統的應用角度和使用范圍等因素來考慮,對該網站內容管理系統提出一些基本的性能目標。(1)高可用性。操作應該方便、靈活。后臺管理員應能快速地進行欄目設置、文章管理等操作。前臺瀏覽者應能方便地瀏覽文章、搜索文章。(2)穩定性。系統應有較高的穩定性。系統響應時間不應過長,更不應在操作無誤情況下出現頁面顯示時間過慢,甚至出現頁面不顯示的狀況。(3)安全性。系統應有較高的安全性。系統的安全指數應較高,可通過日志記錄的方式查看系統操作記錄,以提高安全性。(4)集成與可擴展性。系統通過靈活豐富的接口實現可擴展性的優異表現,內容經過管理之后,必然提出數據、服務共享的要求,設計中考慮多樣化的服務組件和服務總線方式。
2系統設計
2.1系統架構設計
該內容管理系統使用了標準的3層體系架構,他將應用功能分成表現層、邏輯層和數據層三部分。表示層是應用的用戶接口部分,擔負著應用于用戶之間的交互功能。邏輯層相當于應用的本體,它是將具體的應用處理邏輯編入程序當中。數據層就是實現對各種數據庫和數據源的訪問,更使得邏輯層的設計和實現更集中于系統本身的功能。
2.2系統功能設計
在以上設計思想的基礎上,設計了系統實際應該具有的功能。包括首頁、文章欄目、文章內容、模板管理、輔助功能、核心功能、網站配置管理六個模塊。各個模塊,又有各自的分支功能。
2.3系統數據庫設計
數據庫的設計關系到整個系統性能、升級和移植的問題,在數據庫設計時要保證數據庫的一致性和完整性,盡可能降低數據的冗余。結合本系統的功能,主要涉及到以下幾個方面的表:(1)欄目表。欄目表主要用于存放欄目的相關屬性,如欄目標識,欄目名稱,父欄目標識,外部鏈接,統計日期,系統類型,文檔數量,欄目路徑等。(2)文章表。文章表存儲系統的文章內容,作者,評論數量,文章描述,發表日期,統計時間等。(3)用戶表。用戶表存儲系統相關用戶的基本信息,包括:聯系地址、出生年月、創建時間、當前登錄IP和時間、電子郵箱、登錄名、真實姓名、性別等。
2.4系統維護設計
網絡綜合接入是整個網絡的基礎,該部分包括互聯網出口、網絡架構及接入節點。后續業務及辦公將更依賴于互聯網資源,為了保證互聯網出口的暢通無阻,依據廈門軌道交通集團網絡規模約為1000個用戶數的用戶規模,本研究建議引入兩條20M互聯網專線,并采用兩大運營商的網絡資源,為解決跨南北運營商的網絡,本研究建議引入電信和聯通用兩大運營商的網絡資源。網絡架構依分層設計的思路,本研究建議采用網絡扁平化設計,采用二層結構,壓縮掉匯聚層,形成核心層和接入層,提高轉發效率,核心層是承擔整體網絡的核心交換,因此應充分考慮其高可用性。
1.1互聯網出口研究為了保證互聯網出口網絡鏈路的暢通性、穩定性和可靠性,保證網絡服務的質量,消除單點故障,減少停機時間,本研究建議引入兩大運營商(電信、聯通)的互聯網專線,從而實現不間斷、高效率的政務服務。基于上述考慮,本研究建議在廈門軌道交通集團互聯網出口部署網絡鏈路負載均衡設備,以實現以下兩種場景下多條鏈路的負載均衡:(1)內部辦公人員和網絡工作站在訪問互聯網服務和網站時,能夠在不同互聯網出口鏈路中動態地分配和負載均衡,這也被稱為出站流量的負載均衡。(2)互聯網絡的外部用戶在外部訪問內部網站和應用系統時,也能夠動態地在多條鏈路上平衡分配,并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達服務器和應用系統,這也被稱作為入站流量的負載均衡。
1.2核心層研究本研究建議核心層采用兩臺核心交換機,通過VRRP實現全容錯的核心層接入。VRRP全稱VirtualRouterRedundancyProtocol(虛擬路由冗余協議)。簡單來說,VRRP是一種容錯協議,它保證當主機的下一跳路由器壞掉時,可以及時的由另一臺路由器來代替,從而保持通訊的連續性和可靠性。為了使VRRP工作,首先要創建一個虛擬IP地址和MAC地址,這樣在這個網絡中就加入了一個虛擬路由器。而這個網絡上的主機與虛擬路由器通信,無需了解這個網絡上物理路由器的任何信息。一個虛擬路由器由一個主路由器(MASTER)和若干個備份路由器(BACKUP)組成,主路由器實現真正的轉發功能。當主路由器出現故障時,備份路由器成為新的主路由器,接替它的工作。在廈門軌道交通集團中心機房部署兩臺核心交換機,通過VRRP及MSTP技術實現鏈路及設備冗余及負載,避免單臺核心交換機故障而造成整個業務系統的中斷。考慮網絡的安全、穩定可靠性,本研究建議網絡設備采用知名品牌。
1.3接入層研究為了保證各樓層高可用性、高密度的客戶端接入,本研究建議每臺接入層交換機通過雙鏈路與兩臺核心交換機對接,并開啟生成樹避免環路,保證骨干線路千/萬兆的鏈路,另一方面通過trunk將各樓層所需的VLAN傳遞下來,并通過接口劃分指定的VLAN。為了保證安全,各VLAN之間互訪控制通過核心交換機ACL(訪問控制列表)統一控制。也可以通過VLAN實現各應用系統虛擬專網專用,保證安全性及投資回報。3.4網絡接入點研究根據統計1號及2號樓網絡信息點列表,本研究建議各樓層的交換機(交換機端口20%預留)配套如下表據上述列表統計,24端口樓層交換機為3臺,48端口樓層交換機為17臺。
2網絡安全保障研究
網絡是整個信息化的基礎平臺,網絡給企業帶來極大的方便,但同時也帶來一些安全隱患,網絡上蠕蟲病毒,來自互聯網黑客的攻擊等。網絡安全保障研究考慮的安全設備包括防火墻、上網行為管理、SSLVPN、入侵防護及WEB應用防火墻,上述安全設備功能簡單描述如下:(1)防火墻:是隔離互聯網與內網的第一道屏障,用于實現內外網隔離。(2)上網行為管理:可以保障企業互聯網資源的有效利用,避免單個用戶下載行為而造成互聯網帶寬瓶頸。(3)SSLVPN:通過簡單網頁方式建立的VPN通道,可以保障移動辦公人員安全高效地訪問公司的內部資源。(4)入侵防護:可以及時準確地攔截黑客的各種攻擊行為。(5)WEB應用防火墻:可避免網站被篡改而造成各種經濟及聲譽上的損失。以上這些網絡安全防護設備對于保證企業網絡環境的健康、穩定運行缺一不可。
2.1互聯網邊界安全研究成功的DDoS攻擊(DistributedDenialofservice分布式拒絕服務,即很多DOS攻擊源一起攻擊某臺服務器)所帶來的損失是巨大的。DDoS攻擊之下的廈門軌道交通集團所有網站性能急劇下降,無法正常處理用戶的正常訪問請求,造成客戶訪問失敗;服務質量協議(SLA)也會受到破壞,帶來高額的服務賠償。同時,提供商的信譽也會蒙受損失,而這種危害又常常是長期性的。利潤下降、生產效率降低、IT開支增高以及相應問題訴諸法律而帶來的費用增加等等,這些損失都是由于DDoS攻擊造成的。廈門軌道交通集團未來基于互聯網業務應用(例如交通信息、網上購票等)將越來越多,面臨DDoS攻擊機會將越來越大。廈門軌道交通集團在互聯網邊界區必須部署強有力抗DDOS攻擊能力的防火墻,并實現三大安全區域的劃分:外網、內網和DMZ(demilitarizedzone隔離區,是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡,因為這種網絡部署,比起一般的防火墻方案,對攻擊者來說又多了一道關卡)區。
2.2移動辦公遠程安全接入研究針對部分互聯網移動辦公用戶需要通互聯網安全高效地訪問內部的業務應用系統,本研究建議配置相應的SSLVPN解決方案,它可以實現免VPN客戶維護,又可以保證用戶可以通過互聯網安全高效地訪問廈門軌道交通集團的業務系統。
2.3上網行為管理研究廈門軌道交通集團為了方便員工工作而開通的互聯網專線,員工可自由訪問互聯網資源。但互聯網也暴露出雙刃劍的特性:一方面員工的上網條件得到改善,公司總部組織運營效率得到了較大的提升,隨著業務可持續性要求的不斷提高,也發現網絡給企業帶來很多的安全隱患,互聯網資源被濫用的問題也日益嚴峻。過去,員工通過與同事閑聊來打發上班時間。隨著計算機和互聯網的普及,員工有了更多的選擇,網上購物、與好友聊天、下載手機鈴聲、在線欣賞音樂、下載電影、收發個人郵件、在論壇上舞文弄墨……。只要員工有興趣,他們就能在上班時間盡情享受互聯網帶來的樂趣。很多員工一打開電腦就會開始各種下載工作,包括BT、電騾、迅雷這些網絡資源的“吞噬者”,這些員工在大量下載電影和軟件的同時卻在不停地抱怨網速太慢。這些行為嚴重影響其他員工的正常業務辦公(比如通過互聯網專線上傳一些數據等)。同時,不管員工有意還是無意,他們都能夠而且有辦法去訪問一些對組織網絡基礎設施有害的內容,帶來的病毒、蠕蟲和木馬,均可隨著簡單的鼠標點擊輕而易舉地侵入軌道辦公系統內網。如何在最大利用互聯網優勢的同時,避免以上互聯網資源被濫用所引發的安全隱患及其他各類問題,本研究建議:通過技術設備和規章制度的相結合,根據業務需求規范不同網絡應用優先級,實現網絡流量、帶寬的總體規劃,通過合理規劃并實施流量帶寬分配,保障核心關鍵業務平穩運行,指導員工正確使用單位的網絡資源,從而對局域網的上網行為進行有效管理。本研究建議在廈門軌道交通集團互聯網出口部署上網行為控制設備。通過基于網絡應用類型以及用戶多樣化的帶寬管理需求,將單條物理帶寬劃分為多條虛擬線路實現差異化管理,同時又將每條虛擬線路劃分為多個虛擬子通道來對應管理不同類型的網絡應用(能夠為關鍵業務及應用靜態預留帶寬策略,保證指定帶寬絕不會被其他應用搶占;為指定應用行為提供帶寬限制策略,保障帶寬不會被其濫用;能夠為指定應用的帶寬需求提供動態帶寬保證,即將指定應用未占用的帶寬動態共享給其他應用,最大限度的提高了網絡帶寬的利用率);通過基于P2P行為特征的智能識別技術,實現對加密的、版本泛濫的、同一版本多次變種的、不常見的P2P應用進行識別,為有效的管控P2P應用;基于內容的網頁智能識別技術,對網站內容進行智能識別,自動學結出某類網站的特征與共性進而對用戶訪問網頁所產生的流量進行差異化管理;基于文件類型的精確識別,有效管控HTTP、FTP文件上傳、下載流量,保證網絡帶寬的合理利用。以此來幫助互聯網用戶控制和管理對互聯網的使用,包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等。通過部署上網行為管理能達到以下效果:(1)入網管理,有效管理上網用戶數量;(2)無線準入機制;(3)設置專門上網的電腦;(4)防止機密信息泄漏和法律違規事件;(5)審計內網用戶發送郵件;(6)審計內網用戶訪問網站;(7)審計內網用戶使用聊天工具的內容;(8)因人而設上網權限;(9)帶寬及流量管理;(10)通過控制P2P流量,限制下載;(11)合理利用帶寬細致劃分與分配帶寬資源。
2.4入侵保護研究依據廈門軌道交通集團未來網絡和相關業務情況分析結果,本研究建議在廈門軌道交通集團內部網絡部署入侵保護系統IPS,以最大化地保護網絡信息安全,減少及有效避免以下安全風險:(1)網絡互連帶來的安全風險由于業務需要,廈門軌道交通集團網絡需連接互聯網,業務或辦公數據在網絡上傳輸,而網絡設備、主機系統都不同程度存在一些安全漏洞,攻擊者可以利用存在的漏洞進行破壞,可能引起數據破壞、業務中斷甚至系統宕機,將嚴重影響廈門軌道交通集團網絡的正常運行。(2)攻擊快速傳播引發的安全風險目前利用漏洞傳播的蠕蟲、病毒、間諜軟件、DDoS攻擊、垃圾郵件等混合威脅越來越多,傳播速度加快,留給人們響應的時間越來越短,使用戶來不及對入侵做出響應,比如蠕蟲爆發將造成廈門軌道交通集團網絡癱瘓。入侵檢測系統IDS雖然能檢測出攻擊行為,但無法有效阻斷攻擊。另外,網絡防病毒系統屬于被動防護,對于新的未知蠕蟲病毒,防病毒軟件無法檢測出。因此如何保證廈門軌道交通集團網絡在安裝最新安全補丁之前,網絡不會被蠕蟲、病毒、黑客等攻擊造成網絡癱瘓。入侵保護系統IPS(IntrusionPreventionSystem)提供一種主動的、實時的防護,其設計旨在對常規網絡流量中的惡意數據包進行檢測,阻止入侵活動,預先對攻擊性的流量進行自動攔截,使它們無法造成損失,而不是簡單地在傳送惡意流量的同時或之后發出警報。IPS是通過直接串聯到網絡鏈路中而實現這一功能的,即IPS接收到外部數據流量時,如果檢測到攻擊企圖,就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷,而不把攻擊流量放進內部網絡。
2.5WEB應用防護研究隨著廈門軌道交通集團將來互聯網業務的應用越來越廣泛,其社會影響力將越來越大,一旦平臺網站被攻擊將無法對外提供服務或被篡改,該情況將對廈門軌道交通集團造成極大的負面影響,因此本研究建議在DMZ區部署針對網頁防篡改的WEB應用防火墻。傳統的邊界安全設備,如防火墻,作為整體安全策略中不可缺少的重要部分,局限于自身的產品定位和防護深度,不能有效地針對Web應用攻擊提供完善的防御能力。因此,廈門軌道交通集團對外服務的網站有必要采用專業的安全防護系統,有效地防止各類攻擊、降低網站安全風險。合理的WEB應用防火墻可以包含事前、事中、事后的事件有效管理。事前,ICEYEWAF提供Web應用漏洞掃描功能,檢測Web應用程序是否存在SQL注入、跨站腳本漏洞。事中,對黑客入侵行為、SQL注入/跨站腳本等各類Web應用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后,針對當前的安全熱點問題,網頁篡改及網頁掛馬,提供診斷功能,降低安全風險,維護網站的公信度。
3網管中心研究
健康、穩定的網絡環境,除了需要良好硬件網絡基礎環境,還需要配套后臺的網絡運維管理軟件,此次網管中心網絡運維管理軟件包括補丁及防毒中心、數據備份中心、文檔加密系統及桌面管理系統。
3.1補丁及防毒研究目前絕大多數病毒傳播的途徑是網絡。對于一個網絡系統而言,針對病毒的入侵渠道和病毒集散地進行防護是最有效的防治策略。因此,對每一個病毒可能的入口,部署相應的反病毒軟件,實時檢測其中是否有病毒,是構建一個完整有效反病毒體系的關鍵。來自系統外部(Internet或外網)的病毒入侵:這是目前病毒進入最多的途徑。因此在與外部連接的網關處進行病毒攔截是效率最高,耗費資源最少的措施。可以使進入內部系統的病毒數量大為減少。網絡郵件/群件系統:如果網絡內采用了自己的郵件/群件系統實施辦公和信息自動化,那么一旦有某個用戶感染了病毒,通過郵件方式該病毒將以幾何級數在網絡內迅速傳播,并且很容易導致郵件系統負荷過大而癱瘓。因此在郵件系統上部署反病毒也顯得尤為重要。文件服務器:文件資源共享是網絡提供的基本功能。文件服務器大大提高了資源的重復利用率,并且能對信息進行長期有效的存儲和保護。但是一旦服務器本身感染了病毒,就會對所有的訪問者構成威脅。因此文件服務器也需要設置反病毒保護。終端機:病毒最后的入侵途徑就是最終的桌面用戶。隨著智能手機、隨著各種網絡應用的增多,智能手機和筆記本計算機的普及,網絡邊界逐漸消失,網絡結構趨于開放;由于網絡共享的便利性,某個感染病毒的桌面機可能隨時會感染其它的機器,或是被種上了黑客程序而向外傳送機密文件。因此在網絡內對所有的客戶機進行防毒控制也是非常重要的。本研究建議廈門軌道集團本部部署補丁及防毒中心,通過補丁及防毒中心統一管理及控制集團內所有終端機及服務器的補丁審批及病毒庫更新。
3.2數據備份研究鑒于IT網絡環境的不穩定性,及可能發生的硬件損壞、人為誤操作、存儲故障等造成的數據損壞和業務停頓,或火災、地震等自然災害帶來的毀滅性破壞,信息系統的安全保障也提出新的要求:系統的數據、文件等需要得到妥善的保護,丟失后要能快速恢復;電子檔案資料要實現歸檔并能在異地保存。因此本研究建議廈門軌道集團本部部署數據備份中心,數據備份中心除了提供備份軟件外,還需配套專用的磁盤備份設備,為集團提供集備份、容災和存儲為一體的創新型備份存儲方案。通過部署數據中心以期能達到以下效果:從PC到Windows到Linux和Unix服務器環境的集中備份,并采用NAS、IPSAN和FCSAN多種存儲架構相結合的方式滿足用戶數據共享和集中存儲的需求。
3.3文檔加密研究行政辦公文檔、經營文檔、技術文檔三類文檔在企業運作活動中密不可分又相對獨立。如:研發類的技術文檔希望在技術體系內部使用,不能輕易流轉到行政管理部門,而企業經營文檔,特別是一些敏感的經營信息,只能在受控的少數經營部門,如:財務、總辦等部門使用。文檔如何在本體系內充分共享,支撐業務活動,同時又受控地流轉到其它部門,是文檔安全保護需要重點解決的問題。另外,任何企業和外部有千絲萬縷的聯系,如:行政監管部門、客戶、供應商等,如何能將相關地文檔和外部合作伙伴交換,同時保證其安全性,也是文檔安全管理要解決的問題。在行政辦公文檔、經營文檔、技術文檔相關的體系內部,文檔的安全保護也必須考慮文檔的日常使用和流轉、文檔管理規范的遵守和落實、文檔保護相關的技術手段等方面的統一協調,達到安全和效率的平衡,即對文檔進行適當的保護又不影響企業正常的業務運作。達到這一定,必須充分考慮文檔操作流程、文檔管控措施、文檔保護技術手段的要求,使三者有機地融合在一起。因此本研究建議在廈門軌道交通集團部署文檔加密系統,以期能達成以下效果:客戶端動態加解密區域文件復制或保存時自動強制加密。文件打開時自動解密。對用戶來說,該過程是完全透明的,不改變用戶的使用習慣。無論是另存為其他文件格式,還是使用進程名欺騙的方式都能對文檔有效加密。無論通過存儲(USB、光盤、軟驅、ZIP盤等)或網絡(Email、FTP、Windows共享等)或是其它傳輸介質與方法(紅外、藍牙等),均在保護范疇內。(1)拷貝粘貼及拖拽控制:允許從外部復制進受控文檔,但不允許從受控文檔向外復制粘貼(包括郵件或者即時通訊工具),用戶在受控文檔間的拷貝粘貼、拖拽均可正常使用。(2)文檔權限管理:文檔具有閱讀、編輯、打印的權限控制。對外發文檔除了上述功能外還需加上時間限制以及次數限制功能,該文檔超過一定時間或打開次數就無法再使用,而且對于作者可實行再授權功能。用戶端對文檔的任何操作都有詳細的操作日志,其檢索功能對文檔的非法操作能快速定位。用戶終端的自我防護、客戶端程序及加解密模塊不能輕易的在非認證或授權的情況下被終止或激活。系統能控制客戶端的打印、截屏、錄屏等功能,但此功能僅限于對受保護的文檔進行控制,而非受保護的文件使用還是靈活的。員工因工需要挾帶筆記本出差或在出差過程中需要對一些密文解密外發時系統應提供一套完整的離線管理和解決方法。
3.4桌面管理研究在現代企業環境下,一個IT的管理部門需要花費大量的人力物力來維護企業的計算機運行環境。同時,由于計算機設備的更新和變化,財務部門對企業的計算機設備的管理和統計經常處于一種無序及手工統計的狀態,當設備更新頻繁時,原本的設備管理記錄往往由于管理的滯后和對實際情況的掌握程度不夠無法及時更新,從而造成設備管理的混亂還會造成時間的遲滯,影響企業的運行效率,給企業帶來損失。如何解決這些痛苦的管理問題?您需要一套高效和易于使用的桌面管理解決方案。本研究建議在廈門軌道交通集團內部署桌面管理系統,通過部署該系統以期能達到以下效果。(1)資產管理軟硬件資產信息收集,動態掌握全網IT資產現狀可定義的資產變更警報,可以全面監控客戶端的IT資產與配置的變化,例如,客戶端的內存、硬盤的變化,以及IP地址的變化等等,避免企業IT資產的流失。全面的資產報告,集成超過120種報表,并使用最新的自定義報告引擎,使創建自定義報表更加方便。便于資產統計、盤點。(2)遠程支持幫助管理員對被管理設備進行遠程支持,減少大量的現場支持及電話支持工作,提高服務支持的響應速度。集成多種桌面支持工具,包括:遠程控制、遠程對話、遠程文件傳輸、遠程執行、遠程重啟、遠程關機、遠程桌面畫圖等等。可根據網絡帶寬憂化的遠程桌面支持,節省企業遠程支持費用。(3)軟件分發向跨網絡的大批客戶端進行軟件(辦公及應用軟件)的遠程安裝或卸載;幫助企業進行軟件的統一部署、升級、維護。支持應用軟件修復,使用戶的業務可持續運行。支持“推”和“拉”的兩種軟件分發方式。支持軟件分發的斷點續傳。支持任務完成,保證任務執行的完整性。支持軟件分發向導,使軟件分發更加簡單。自帶軟件差異打包工具和腳本編輯工具。(4)操作系統分發和配置遷移對遠程客戶端進行硬盤映像的捕獲或部署,實現硬盤備份/恢復,支持多種操作系統映像分發格式:Ghost、Image、PowerQuest等等。支持操作系統的配置遷移:從Windows98/2000向WindowsXP/2003遷移。用戶帳戶信息;應用程序設置,模板及關聯文件;桌面設置(MyDocs;映射的驅動器;打印機;壁紙;屏幕設置等)。支持裸機的操作系統分發,可幫助客戶為批量裸機快速部署操作系統及應用程序。
4結束語
1.1標準幀與擴展幀的選擇
CAN2.0包括A部分和B部分,即CAN2.0A與CAN2.0B。其中,CAN2.0A是按CAN1.2規范定義的CAN報文格式的說明,規定CAN控制器必須有一個11位的標識符。CAN2.0B是對CAN報文的標準格式和擴展格式的說明,CAN控制器的標識長度可以是11位或29位。遵循CAN2.0B協議的CAN控制器,可以發送和接收11位標識符的標準幀或29位標識符的擴展幀。如果禁止CAN2.0B,則CAN控制器只能發送和接收11位標識符的標準幀,而忽略擴展格式的報文結構,但不會出現錯誤。標準幀與擴展幀如圖2所示。標準幀理論上最多可以標識211(2048)個數據類型。由于協議規定標識符最高7位不能同時全是隱性位,所以最多可以標識211-24(2032)個數據類型。擴展幀使用29位標識符,最多可標識5億多個數據類型。當采用CAN2.0B傳輸報文時,需對標準幀和擴展幀進行選擇。從延遲的角度分析,它用于表示網絡響應速度,延遲越少,響應越快,性能越好。CAN最高位速率可達1Mbps,此時每位的傳輸時間是1μs。總線競爭獲勝的標準格式報文在傳輸不被中斷的情況下,長度為最大值的報文總線訪問時間只有111μs,加填充位為134μs;擴展幀格式最大長度報文的總線訪問時間為131μs,加填充位為159μs。從總線吞吐量分析,它在數值上等于網絡或信道在單位時間內成功傳輸的總信息量。標準格式信息幀的長度為47+8×DLC,數據域在一幀報文中所占比率為(8×DLC)(/47+8×DLC),在1Mbps位速率時的總線吞吐量為(8×DLC)(/47+8×DLC)×1Mbps。擴展格式信息幀的長度為67+8×DLC,數據域在一幀報文中所占比率為(8×DLC)(/67+8×DLC),在1Mbps位速率時的總線吞吐量為(8×DLC)/(67+8×DLC)×1Mbps。當數據域長度為8字節時,若不考慮填充位,則標準幀的總線吞吐量為577kbps,而擴展幀的總線吞吐量為488kbps。從以上分析可見,雖然擴展幀格式可以表示的數據類型比標準幀格式多得多,但在總線訪問時間和總線吞吐量方面,標準幀格式明顯優于擴展幀格式,所以在滿足節點數量要求的條件下,應優先考慮采用標準幀格式。
1.2標識符分配和網絡實時性分析
1)標識符分配。CAN只提供與物理層和數據鏈路層相關的協議,并沒有制定與特定應用相關的應用層的內容。因此,根據具體應用的特點,在總線協議的基礎上,定義詳細的標識符分配及網絡配置管理的具體方式是開發基于CAN的客車網絡控制系統的前提。標識符分配可以通過兩種方式來實現:一是用戶自定義;二是采用CAN的高層協議標準,如SAEJ1939、CANOpen等。無論采用哪種方式,都必須保證與安全性相關的高實時性的信息能夠獲得高優先級。如SAEJ1939中,信息優先級順序為控制參數、驅動狀態參數、驅動系控制、驅動系配置參數、信息參數、信息狀態參數等。2)網絡實時性分析。客車網絡控制系統是分布式實時系統,許多任務具有嚴格實時性和硬實時性,信息傳輸與控制必須滿足任務截止期要求。客車網絡控制系統的實時性可以通過信息的響應時間來衡量,典型的理論方法有Worst-case、Actual-case、Average和Maximum等。Actual-case同時考慮到周期性信息和非周期性信息,Worst-case考慮到信息傳輸過程中的最壞情況,一般將兩者結合進行實時性分析。位速率是網絡實時性分析的一個重要參數,它的確定必須考慮到通信距離,尤其在高速通信的情況下,距離的增加帶來的傳輸延遲是不可忽略的。表3為通訊位速率與總線兩個節點間最大距離的關系。
2典型的電動客車整車網絡結構設計及控制策略優化
隨著客車電子控制單元的增多和信息通訊性能要求的不同,單總線網絡結構引發網絡通訊負載大、通信效率低、實時性能差和通信距離與網絡性能矛盾突出等問題。因此,一般采用多網段結構來構建基于CAN的客車整車網絡控制系統。一個典型純電動客車的整車網絡的拓撲圖見圖3。多網段結構適合于連接功能相對獨立的網段,信息交換通過網關來實現。其特點是:同一網段的節點通過總線方式連接;不同網段之間通過網關連接,并實現相互通信;網絡管理和集中控制的功能由網關實現。如采用低速總線連接低實時性要求的車身控制單元,增加通信傳輸距離,提高抗干擾能力;采用高速總線連接動力傳動系統,以滿足與行駛安全相關信息的高實時性要求;采用帶雙通道CAN控制器的微處理器,實現兩條CAN總線信息的通信和控制功能。對于網絡層可以采用靜態地址分配機制,可以參照SAEJ1939通訊協議為公路設備定義地址分配表。
2.1整車控制器的拓撲結構
根據電動汽車整車網絡的特性,整車運行、安全性、經濟性等整車控制策略主要是由整車控制器(VMU)完成。整車控制器VMU的結構圖見圖4。整車控制器一般采用兩路CAN總線(參照商用車SAEJ1939協議):CAN1為VehicleCAN與電池管理系統、ABS防抱死系統、儀表等設備相連,接收車身系統相關信息;CAN2為MCUCAN,只與驅動電機控制器相連,專用的MCU內部CAN2的設置會使整車驅動系統響應速度更快、實時性更高、性能更穩定可靠。
2.2整車控制器控制策略與優化方向
2.2.1整車控制器VMU整車控制器VMU是純電動車輛的主要管理單元,與車輛的牽引系統及車上的其他主要部件的相互通訊。整車控制器讀取并識別駕駛員的輸入信號(踏板、換檔器、按鈕等),并確保駕駛的舒適性。扭矩控制(TorqueManagement)是整車控制器驅動控制的最關鍵的策略,成熟的轉矩管理算法編程時,應設計為可進行系統參數配置軟體,以滿足整車集成時不同參數的需求,如踏板傳感器參數、扭矩轉化斜率、最大速度(正向和反向)等。扭矩控制需要滿足以下幾個方面功能:1)扭矩過渡處理平滑,以確保乘客的舒適性。2)科學有效地管理掛檔器(DriveSelector),以防止因掛檔器誤操作帶來的安全隱患。3)超速保護(OverSpeed)功能。4)駐坡功能(HillHolder)、跟車功能(Creep)等增值功能。5)能量回饋與電制動策略管理,基于不同回饋能量需求及電制動限值條件,如防抱死(ABS)及客戶指令需求時,可以自動切斷電制動。
2.2.2優化管理整車控制器除了常規的行車控制及保護功能外,在以下這些方面也可以做針對性的優化管理:上下高壓電安全控制;行車動態數據監測及安全行車管理;節電模式及動力電池管理等。整車控制器控制策略的智能控制方法有遞階控制、專家控制、模糊控制、神經控制和學習控制等[10]。
3結束語
有線電視網絡系統干線傳輸方式技術有:同軸電纜傳輸、光纜傳輸、微波傳輸和混合傳輸(光纖-同軸混合網、微波-同軸網、光纖-微波-同軸網)。
(1)同軸電纜傳輸系統主要包含同軸電纜網、干線系統放大器間隔配置、放大器級連等;附屬設備包括用于干線分路的過電型分支器、分配器等。同軸電纜由內是用介質使內外導體絕緣并且保持軸心重合的電纜,由內導體、絕緣體、外導體和護套四部分組成。通過結構可以分為封閉竹節型、藕芯型以及物理發泡聚乙烯絕緣型三種類型。同軸電纜開始為實芯聚乙烯絕緣同軸電纜,后來發展為化學發泡聚乙烯絕緣同軸電纜,縱孔聚乙烯同軸電纜,現在多采用物理發泡聚乙烯型絕緣電纜。同軸電纜特性阻抗一般為75Ω,電纜衰減特性與信號的頻率、電纜粗細、長度有關,低頻信號、細芯的電纜衰減量大,因為衰減量與電纜的長度成正比,用干線放大器來補償電纜對信號電平進行補償,使干線能夠遠距離傳輸。溫度升高,衰減量升高,溫度系數約為0.2%/℃。同軸電纜信號傳輸距離越遠,級連越大,系統指標下降越多,系統維護就比較困難,服務水平就會下降。
(2)光纜傳輸系統是由光纜、光源發射機、光線放大器、和光線接收器組成。從切面看,光纜包括導電線芯、光纖、加強的構件、還有保護層四部分。光纖按電磁場分布可分為單模光纖和多模光纖,單模光纖的工作帶寬較寬,有線電視多采用單模光纖。1970年,在美國首先發明出來20dB/km光纖;1989年在美國開始出現有線電視光纖傳輸;1992年我國開始出現電視信號光纖傳輸。光纜傳輸技術具有損耗小(1310nm:0.4dB/km,1550nm:0.25dB/km),可以實現電視信號的長距離傳送,保證電視信號質量完好。光纖頻帶比較寬,在最低損耗區的頻帶寬度數值為30000GHz,由于單個光源占用的帶寬比較小,采用相干光通信技術,可以在30000GHz范圍內容納上百萬個頻道,使有線電視信號能夠均勻地傳輸到各個節點。光纖傳輸只傳輸光,不導電,不受電磁場影響,所以抗干擾能力強。
(3)微波傳輸系統是由微波發射系統和微波接收系統組成,微波發射系統有微波發射機、電纜、合成器、還有發射天線等,接收系統有微波接收天線、供電器、變頻器等。微波傳輸場合有國家微波干線的大微波、衛星、單路與多路FM(調頻)微波、AM(調幅)微波、多路微波分配系統MMDS。微波傳輸優點有:頻帶寬,空間傳輸2500-2700MHz,接收分配111-750MHz;傳輸質量高,穩定性強,適應性和靈活性強。微波傳輸缺點是發射與接收應在視距范圍內進行,信號怕遮擋,易受干擾,反射出重影等。
(4)混合傳輸比如光纖同軸混合網-HFC,它是由光纖作為干線、同軸電纜作為分配網,構成光纖同軸混合網(HFC)。HFC具有光纖和電纜共同的優良特性,它們通過有效的結合,使有信號能夠高效高質的傳輸、分配。在雙向有線電視中,由前端向用戶終端傳送的信號叫下行信號或正向通路信號;信號從用戶端向前端傳送的通路成為反向通路或上行通路。HFC采用頻分復用的技術,將5-1000MHz的頻段分為上行通道和下行通道:5-65MHz為上行通道,可作為非廣播業務,為了提高抗干擾能力,采用QPSK(或16QAM)調制。87-1000MHz為下行通道87-550MHz,全部用于模擬電視廣播;550-750MHz為下行數字通信信道。
2用戶分配系統
用戶分配系統主要由雙向分配放大器、同軸電纜、分支分配器、用戶終端組成。分配方式有串接分支鏈方式、分配-分配方式、分支-分支方式、分配-分支方式、分配-分支-分配方式。雙向用戶分配放大器采用雙模塊功率倍增型或雙模塊推挽型,將信號放大到所需要的電平,通常用戶電平取70dB,這是有線電視網絡系統中唯一需要高電平工作的地方。雙向分配放大器主要功能是對下行信號進行均勻的功率分配,分成幾路,對上行信號進行匯集。同軸電纜采用的是物理發泡的同軸電纜。分支器與分配器的連接采用-5電纜。放大器與分配器連接電纜比較長,采用-7或-9電纜。還有為了降低回傳通道的噪聲影響,需要選用四屏蔽的電纜。終端分支器是連接用戶終端與分支線的裝置,它是串聯在分支線中,把信號能量的一部分分給用戶。分支器是由一個主路輸入端(IN),一個主路輸出端(OUT)和若干個分支輸出端(BR)組成。分支器還要匯集主路輸出端和分支輸出端的回傳信號。常用的分支器有一分支器、二分支器、四分支器、六分支器等。
1.1網絡系統設計的教學內容在想盡的網絡系統需求分析的基礎上,用戶就可以進行網絡系統設計了。網絡系統的設計要考慮很多因素,如網絡通信協議、網絡規模、網絡拓撲結構、網絡功能、網絡操作系統、網絡應用系統等。在進行網絡設計過程中一定要遵循網絡系統設計的有關步驟和原則。拓撲結構是將各種物體的位置表示成抽象位置。在網絡中,拓撲結構形象的描述了網絡的安排和配置,包括各種節點和節點的相互關系。拓撲結構不關心事物的細節,也不在乎相互的比例關系,只將討論范圍內事物之間的相互關系,通過圖形表示出來。網絡通信需要每個參與通信的實體都具有相應的IP地址。不同的網絡可以有不同的地址編碼方案。VLAN的設計與地址規劃方法是密切相關的。這是這部分的重點和難點。網絡操作系統對網絡的性能有著至關重要的影響。網絡操作系統的選擇原則是隨著市場、技術及生產廠商的變化而變化。
1.2網絡系統集成設備的教學內容計算機網絡設備是計算機網絡系統中重要的組成部分,其主要功能是傳輸數據和存儲數據。經常使用的網絡設備包括網卡、交換機、路由器、防火墻、不間斷電源、存儲設備和服務器等。本部分對網絡系統集成中經常使用的設備的工作原理和分類方式進行詳細介紹。明確設備選型過程中需要重點考慮考察的性能指標,理解設備選型過程中需要注意的事項。服務器技術主要是讓學生了解選擇服務器的指標有哪些以及在服務器中采用的典型技術。為了保證可靠性,服務器中采用的典型技術包括磁盤陣列技術、雙機熱備份技術、容災數據備份技術。
1.3網絡管理與網絡安全的教學內容隨著計算機網絡技術的快速的發展,很多企事業單位都建立了自己的網絡。為了讓網絡更好地為企事業單位服務,需要對建設的網絡進行管理。要管理好網絡,需要隨時掌握整個網絡的狀態,并對網絡及時進行網絡升級和防毒等,保護網絡安全。這部分主要講解與網絡管理、網絡安全相關的內容。將叫教學知識重心放在學生對于網絡管理相關定義及具體手段的把握上,同時能夠知道一定的解決網絡故障問題的策略;正確理解網絡安全相關定義及其相關的加密技術。
1.4網絡綜合布線系統的教學內容綜合布線系統是網絡集成系統中十分重要的子系統,主要是指建筑物的綜合布線系統。這里我們所說的傳輸介質具體而言就是在網絡中負責傳輸信息的載體,常用的傳輸介質分為有線傳輸介質和無線傳輸介質兩大類。
2多種教學方法的選擇
2.1教學內容特點分析表1所示的教學內容在學習上具有各自的難點,具體如表2所示。
2.2教學手段的選定要想實現教學質量的進一步增強,要結合具體教學內容的實際特征,選擇相對應的教學手段。主要表現如下表3。
3所得教學效果分析
根據上述我們所規劃的教學措施,開展了教學工作。在32學時中,各部分課程內容所占據的時間比重參見下圖1。在教學過程中我們設置了四堂實驗課程。全部的學生都在規定的時間范圍內做完了實驗,另外還有一些學生在課下自己做完了提高部分的內容。在招投標模擬實習的整個實踐環節中,每個學生根據自己扮演的角色提交了相應的文檔并做了報告。模擬實習的成績分布為:優秀的占4%,良好的占30%,中等的占64%,及格的僅占2%。根據模擬實習成績和學生的反映可以看出,模擬實習對于他們理解整個招投標過程、集成方案的設計以及各種集成技術的應用有較好的效果。所有學生所取得的筆試成績參見圖2。從圖中我們可以了解到成績良好的學生占到了所有學生的百分之十六,成績中等的學生占到了所有學生的百分之四十六,成績及格的學生占到了所有學生的百分之十六,符合我們最初的效果所想。
4結束語
隨著氣象業務的不斷發展,氣象應用系統越來越多,各項技術對計算機網絡的依賴性也越來越大。計算機網絡通過綜合分析、處理接收到的氣象衛星資料,提供準確的氣象預測數據。氣象資料是氣象信息資源的重要組成部分,它包括過去和現在所有的信息數據,龐大的信息量是人工作業所不能完成的,而應用計算機網絡大大提高了對氣象衛星資料的計算、處理能力,為社會經濟的發展提供了更全面的數據服務。氣象預報分析系統是在引進國外先進技術的基礎上,以計算機系統為核心的一種網絡系統。該系統具有強大的互交功能、較強的使用性和自動化水平,它的使用推動了氣象預報朝著更加準確的方向發展,并利用“計算機自動接收信息—自動分析信息—自動處理信息”的模式提高了氣象通信的處理效率。
2氣象局計算機網絡面臨的不安全因素
2.1操作系統存在安全漏洞任何軟件的使用都是由操作系統控制運行的,軟件自身存在的缺陷和漏洞就成為了病毒攻擊的目標,而大量病毒的傳播也是通過這種方式運行的。錯誤的操作也會使網絡受到威脅,一些工作人員技術不夠或錯誤地設置軟件服務器端等就會引發安全漏洞,比如常見的有用戶權限設置失誤、網絡設備設置不完整、服務器端口錯誤等,這些都是引發漏洞的不安全因素。
2.2氣象網絡管理工作者水平較低由于各級氣象局在網絡管理制度上都存在一些問題,基于氣象局的工作性質,很難長期聘請高能力的網絡技術人員,甚至有些基層的氣象站沒有專職的網絡管理人員,即便有,也是專業水平較低,不具備監督、維修、管理能力的人,再加上機房的設備落后,這對網絡的安全運行極為不利。
2.3管理制度不夠完善基層氣象局部分管理員工作態度散漫,對氣象網絡安全不夠重視。在某些時刻,為了自己便利,管理員就把密碼告訴別人,并交由非工作人員操作,這樣由外人隨意操作就可能會丟失數據,在網絡連接的情況下,還會暴露數據,為黑客入侵提供通道。
2.4網絡病毒攻擊隨著網絡技術的發展,網絡病毒屢見不鮮,曾有氣象局遭遇“熊貓燒香”病毒的入侵。電腦中毒后,出現藍屏、頻繁啟動和硬盤數據丟失或被破壞等現象,大多數病毒具有感染性、變種、傳播速度快等特性,最終會導致網絡癱瘓。計算機是病毒的直接受害者,因此,氣象工作人員要養成良好的上網習慣,不要隨意打開來歷不明的文件,要定期升級殺毒軟件,進行有效的防控。
3維護網絡系統安全運行的措施
3.1建立必要的安全管理制度有效的管理制度可以在一定程度上約束管理員的工作,提高氣象相關工作人員的技術水平和職業道德。對重要的工作項目要提出明確的要求,實行員工工作責任制。在氣象計算機網絡安全系統這方面,要制訂有關網絡操作使用規程和人員出入機房重地的簽到管理制度,嚴格做好開機殺毒工作,綠色上網,并養成及時備份的好習慣。
3.2計算機網絡系統的冗余備份計算機網絡終端操控是人為的,盡管已經采取了各種防護手段,但是,難免會出現意外。在這種情況下,網絡的冗余性就顯得十分重要。冗余備份技術在網絡維護、數據存儲和通訊中被廣泛應用,它在提高系統工作效率的同時,還對通訊線路、通訊設備、電力設備的冗余等進行管理,大大縮短了故障存在的時間,有效維護了系統的正常工作。
網絡的配置
服務器至主交換機采用百兆以太網,采用具有先進LoadBalance技術的雙百兆網卡(Intel8480)來承擔,一旦該網卡出現問題,系統會自動切換到另一塊百兆網卡上,使其達到冗余的目的。兩臺CiscoCatalyst3524-EN交換機作為網絡主干交換機(適用于工作站數量≤550的網絡),交換機之間通過千兆光纖鏈路通道技術(GigabitEtherChannel)相互連接,保證負載均衡及線路備份。2條千兆線路用作GEC連接,實現了全雙工4G帶寬。采用Spanning-Tree技術避免回路,實現交換機間的線路備份,在正常情況下,當主干交換機的光纖端口或光纖鏈路出現故障時,整個網絡可通過Spanning-Tree重新計算并構造網絡結構,配合UplinkFast技術,在2秒內自動啟用備份線路,無須人工干預。
在行情服務器上裝有兩塊百兆網卡(Intel8480)用于擴展服務器到主干交換機的帶寬,并起冗余備份的作用,備份行情服務器則配置一塊雙端口網卡(Intel8472),通過Cisco的FEC技術連接到主干交換機上,達到全雙工400M帶寬;主交易服務器也選用兩塊單口100M網卡(Intel8480),組成冗余網卡組,分別連接兩臺主干交換機,達到冗余的目的。備份交易服務器則配置一塊雙端口網卡(Intel8472)和一塊單端口網卡(Intel8460B),雙口網卡通過FEC技術連接到主交換機上,單端口網卡則用作心跳連接。這樣交換機與交換機、服務器與交換機之間均采用了備份線路,能保證整個網絡在部份設備出現故障時還可正常工作。原有的網絡設備,如Bay、Intel交換機則可移至二級網絡,它們與主干網的Cisco交換機之間也采用交叉連接的方式進行備份,保證了整個網絡的服務器、主干和二級網之間互為冗余備份,該系統具有很高的可靠性及穩定性。
證監會對證券網絡提出了三個分離(技術與業務分離、前臺與后臺分離、網絡與數據分離)的要求,因此該系統采用了虛擬網(VLAN)技術。Cisco交換機提供CiscoISL及802.1Q技術,可提高整個網絡的安全和效率,例如把交易服務器和行情服務器分在不同的VLAN,股民只允許訪問行情服務器所在的VLAN,而禁止對交易服務器的非法訪問;把不同作用的客戶機分配在不同的VLAN,限制它們的相互訪問;或者利用端口管理技術,限制它對交換機某一個端口的訪問權。另外,為了提高交易系統的安全性,我們采用了中間件,委托軟件不能直接訪問數據服務器,而是通過中間件系統來訪問數據服務器。中間件接收委托軟件發來的請求指令,根據收到的指令向數據服務器發出請求數據指令,比如驗證密碼、驗證股票余額、驗證資金余額、查詢資金、股票等,把數據服務器返回的結果送給委托軟件。顯然,系統與數據服務器的通信是通過中間件連接的,中間件、軟件、數據服務器之間的通信是通過發送、接收加密網絡包的形式實現的,不再需要DBF交換庫,徹底消除了DBF數據庫被修改、刪除等不安全因素。支持CiscoISL技術的網卡有Intel8480。
應用Cisco內置的網絡管理系統(CVSM),網絡管理人員可以方便地通過Web技術對整個網絡的交換機進行管理,包括Cisco交換機的每一端口工作狀態、網絡數據流量、軟件配置及升級等。采用CAARCserve及磁帶機對網絡系統進行數據備份,同時可對系統進行快速災難恢復,降低故障率。
與上海、深圳的單、雙向衛星接收機為4臺DBR401,其中四臺通信工作站分別與CiscoCatalyst3524-EN中心交換機連接。
網絡的實現
1.主干交換機
網絡主干選用2臺能滿足高速應用的CiscoCatalyst3524-EN交換機,每臺提供2個1000M端口插槽,24個10/100M自適應端口。用于服務器、重要工作站及二級交換機的連接。在兩臺CiscoCatalyst3524-EN之間,采用千兆連接,網絡主要設備實現線路冗余和負載平衡。
2.二級交換機
二級交換機為18臺CiscoCatalyst1924-EN,每一臺CiscoCatalyst1924-EN可提供24個10M端口,2個100M端口。連接主干交換機的端口,實現二級網絡交換機冗余。主干交換機和二級交換機共能提供約480臺電腦接入。
3.服務器及網卡
(1)服務器
網絡服務器采用CompaqPROLIANT6000、3000、2500服務器。
·行情服務器
PL6000作為行情主服務器,采用PIII450、RAM128M、2塊RIAD12×4.3G硬盤、PL2500作為行情備份服務器,主CPU為PRO200、RAM128M、2塊RIAD12×4.3G硬盤,操作系統為Netware4.11,利用NovellHighAvailabilityServer雙機熱備份軟件組成群集系統,互為備份。磁盤陣列柜采用Compaq公司的RA3000,容量為5×9.1G,陣列柜接口為50MB/SSCSI,應用軟件及行情數據均存儲在此陣列柜中。行情分析選擇錢龍V2.23,工作方式目前為ACTIVE-STANDBY。
·交易服務器
PL3000作為交易主服務器,PL2500作為交易備份服務器,用STANDBYFORNETWARE雙機熱備份軟件相連。
(2)網卡
服務器網卡采用IntelPRO/100IntelligentServerAdapter的PILA8480網卡,它支持以下高級服務器網卡技術:AFT、ALB、FEC及CiscoISLVLAN,可實現服務器與交換機之間的智能連接。采用IntelPRO/100+ServerAdapter網卡(Intel8460)作服務器雙機熱備份數據檢測鏈路(心跳)。
應用NovellV4.11NLSP協議的LOADBALANCE技術,使整個網絡負載均衡,同時增大了服務器與交換器之間的連接帶寬。
網絡主要特點
(1)用NovellHighAvailabilityServer雙機熱備份軟件組成群集系統,網絡核心沒有單點故障。
(2)采用Cisco基于Web界面的網管系統,可以通過圖形界面對Cisco設備進行管理、配置、監控整個網絡運行情況。
(3)采用Cisco的ISL技術或802.1QVLANTrunk技術。通過VLAN,可以控制廣播域,只有在同一個VLAN的設備才可以接收到廣播,因此可以提高網絡性能。通過Cisco獨有的交換機間鏈路協議技術,可在單一的物理鏈路上劃分多個子通道以對應多個VLAN,實現服務器用一個端口與多個VLAN交換數據,Intel8480網卡可支持ISL技術,可在一個端口分出多個邏輯端口對應不同的VLAN。這樣通過ISL或802.1Q,可以實現服務器在同一個通道同時完成VLANTrunk的備份及負載均衡。
(4)采用端口安全技術,將客戶機的網卡MAC地址在交換機上登記,只有在某個端口進行登記的MAC地址才可以在這個端口進行網絡連接,否則,交換機不允許客戶機使用網絡。
(5)Catalyst1900-EN可采用統一的CiscoRPS電源,每個RPS最多可支持4個Cisco設備。
(6)Catalyst交換機具有很強的背板交換能力,Catalyst1900-EN及3500-EN的背板能力分別為1Gbps及10Gbps。
(7)廣域網采用Cisco2621通過DDN專線與省證券中心相連。