網絡安全等保解決方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全等保解決方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全等保解決方案范文
關鍵詞:等級保護;方案;設計
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
Several Issues of the Level Protection Design
Qian Weixing
(People's Bank of China Branch in Suzhou City,Suzhou215011,China)
Abstract:The idea of understanding and other insurance,through insurance and other basic requirements of the specific content analysis,and other security technologies from the core,the terminal protection and security arrangements and other aspects were discussed,and the formation of a building security program design ideas,steps and areas of concern.
Keywords:Level protection;Program;Design
引言:人民銀行作為央行,負責協調和指導金融業信息安全,正在開展有關符合金融業的等保標準的制訂及自身等保的設計和實施,并且在信息安全的指導和監管過程中引用等報作為相關依據已經勢在必行。因此,作為基層央行的科技部門,在實際工作中,如何編寫一個適合本單位實際情況又符合等保要求的解決方案,我覺得應該特別關注以下幾點。
一、等保的核心思想是不同業務系統分等級進行保護
它根據信息系統的重要性和受破壞后的危害性,將信息系統劃分成不同的等級,不同等級有著不同的保護要求。系統越重要,受破壞后危害越大,則系統的安全等級就越高,保護的要求也就越高。等保不是“二級系統要有防火墻,三級系統要有IPS,四級系統要加密。”
等保涵蓋了信息安全的方方面面,希望通過一次性安全建設就可以實現等保合規是不現實的。一次性的安全建設只能為等保合規提供基本的條件,徹底的等保合規需要在系統日常運維等方面做大量認真細致的工作。因此,筆者覺得應該從等保的思想來源和基本要求入手,結合行業特點深入分析以后,找到等保建設的要點,以等保建設要點為基礎,形成全局視角,然后在全局視角下形成方案框架,并最終形成建設方案。
二、等保內容可以分為管理要求和技術要求
在等保基本要求中,網絡安全、主機安全和應用安全等部分都提出了類似的安全要求(如訪問控制)。但是,對不同層次的類似要求是分別實現,還是在一個安全設備上統一實現,又或者結合安全設備和服務器以及應用系統的策略配置來綜合實現,并沒有做具體的規定。這需要結合實際,具體分析而定。
因此,筆者以為,除了物理安全是個相對獨立的部分,可以單獨設計外,應著眼實現等保合規的統一安全技術框架,在此框架之上,通過各種安全策略配置或者其它安全管理手段實現各種安全目標,核心就是將安全策略與設備部署分開,一個設備可能需要實現很多種不同目的的安全策略,而一個具體的安全策略也可能會在不同的設備上實現。
三、等保的核心思想是不同業務系統分等級保護
其基本要求的內容是對某一個具體的業務系統的安全要求,而實際網絡中不可能只有一個業務系統,對于多個業務系統,會有不同的安全級別,完全的獨立保護是不現實的。一方面,業務系統之間必然存在數據共享和交互,否則就是一個一個的信息孤島,與信息化建設的基本目標背道而馳。另一方面,各自獨立保護所需要付出的代價也是巨大的,遠遠超出了實際承受能力。
解決這一矛盾的手段是分域保護,除安全級別特別高的業務系統需要與其他系統進行物理隔離,單獨保護之外,可以將其它不同的業務系統劃分在不同的安全域中分別保護。安全域應采用縱向結構,應包含某一業務所需要的終端、網路、服務器、存儲等全部內容。不同的安全域之間進行邏輯上的隔離,分別予以保護。同時,各個安全域共享統一的基礎網絡架構,以實現互聯互通并降低整體投資。
每個邏輯網絡都應該具有獨立的資源、網絡帶寬與QoS保證等。同時,需要設計共享MPLS VPN等手段,以保證業務系統之間的互聯互通。
根據終端需要同時處理多業務的特性,最佳的處理方式應該為動態授權與保護,即根據其當前所處理的業務的安全等級來動態的確定安全保護強度。可采用部署準入控制(802.1x或Portal)作為具體實現,在終端接入時實現對終端的認證和安全檢查,并根據認證和檢查的結果將終端動態劃分到某一安全域中。
四、通過上述設計以后,我們可以得到一個技術框架,并形成了基礎的網絡承載,它可以滿足等保最基本的出發點――不同業務系統分等級保護
而在等保建設中具體應用的安全保護手段,與一般性的安全建設不會有本質的區別。如通過防火墻進行訪問控制;通過IPS對L4到L7層威脅進行全面的深度防御;通過VPN/加密機實現加密訪問;通過CA系統實現認證與授權等等,依然是等保建設中需要采用的具體技術手段。我們只需要將自身現狀與等保規范進行對比,找到薄弱環節后提煉出技術需求,再根據技術需求匯總出產品部署需求即可。
第2篇:網絡安全等保解決方案范文
近年來,隨著我國社會經濟的不斷發展,國家對教育事業的支持和投入不斷增加,我國的高等教育從深度和廣度上都有了顯著的發展和提高。信息化、網絡與計算機技術的不斷發展也為教育事業提供了強有力的支持手段,為教育模式的創新、先進教育理念提供了可靠的實現方法。
高校信息化主要以數字化校園建設為主,主要內容包括校園信息管理系統、數據中心、統一信息門戶、統一身份認證、校園一卡通、網絡安全體系等;大學數字化校園建設通常先提出總體解決方案,確定數字化校園的體系結構,制定數字化校園的信息標準,以及各系統之間的接口標準,然后分階段實施。建立全校的網絡安全體系,保證校園網絡的安全,保證關鍵數據、關鍵應用的安全以及關鍵業務部門的安全,實現校園網絡及其應用系統的安全高效運行。
1教育信息化中的安全體系建設
在教育信息化建設過程中,信息安全體系是保障教育信息系統的信息完整、系統可用和信息保密的重要支撐體系,對各級學校、職業教育、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統的安全體系建設給予了充分的重視,也是由于教育信息系統的復雜性、多樣性、異構性和應用環境的開放性,給整個信息系統帶來了巨大安全威脅。以高校數字校園信息系統為例,高校數字校園信息系統的建設是由高校業務需求驅動的,初始的建設大多沒有統一規劃,有些系統是獨立的網絡,有些系統又是共用一個網絡。而這些系統的業務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前高校網絡系統是一個龐大復雜的系統,在支撐高校業務運營、發展的同時,信息系統面臨的信息安全威脅也在不斷增長、被發現的脆弱性或弱點越來越多、信息安全風險日益突出,成為高校面臨的重要的、急需解決的問題之一。在進行數字化校園建設的過程中,也曾發生不少信息安全事件,如某高校數據中心一臺服務器被黑客入侵,成為肉雞,被植入僵尸木馬程序,受黑客控制瘋狂往外網發包,導致學校網絡出口癱瘓;某高校在高招中發現網站被掛馬、篡改,并且學校內部也曾經發現學生成績的數據庫,有被惡意篡改的痕跡。
2網絡安全威脅分析
(1)高校網站的安全威脅,包括高校門戶網站、高校招生網站、二級各院系等網站,由于高考、招生、學生就業等敏感時期,聚集了大量的學生及家長訪問流量,也引起黑客的關注,高校網站面臨的主要安全威脅有:網頁被掛馬、被篡改,黑客通過SQL注入、跨站腳本等攻擊方式,可以輕松的拿到高校網站的管理權限,進而篡改網頁代碼;部分攻擊者將高校網站替換成黃色網站,影響極其惡劣。每年高考招生及高校重要節日期間,高校門戶網站極易被DDOS攻擊,這種由互聯網上發起的大量同時訪問會話,導致高校網站負載加劇,無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后,以該服務器為跳板,對內網進行探測掃描,發起攻擊,對內網核心數據造成影響。(2)隨著校園網信息化的逐步深入,業務系統眾多,“一卡通”、教學信息管理系統、電子圖書館、教育資源庫等信息化業務系統均普遍的被各大高校采用,而這些系統由于管理及防護不到位,面臨著較嚴重的安全威脅:業務系統缺乏必要的入侵防護手段,高校網絡規模擴張迅速,網絡帶寬及處理能力都有很大的提升,但是管理和維護人員方面的投入明顯不足,沒有條件管理和維護數萬臺計算機的安全,一旦受到黑客攻擊,無法阻斷攻擊并發現攻擊源;部分高校“一卡通”充值系統與銀行互聯,邊界缺乏必要的隔離和審計措施,出現問題不方便定位,難以追查取證;校園網數據中心內的系統應用眾多、服務器眾多,管理及維護方式也不盡相同,無法做到所有的系統實施統一的漏洞管理政策。同時,對于存在安全隱患的配置檢查,也缺乏自動化的高效檢查工具和控制手段;業務系統權限控制不合理,有安全隱患。
3需求分析
根據對高校校園網絡的威脅分析,得出在校園網絡安全體系建設中,各個網絡區域和業務系統的安全需求如下:
(1)校園網絡出口應對可能發生的拒絕服務攻擊進行有效識別、過濾、清洗,保證網絡出口的暢通,保證骨干鏈路的負載處于正常范圍之內。(2)網絡出口鏈路應有相應措施,對來源于公網或內網的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。(3)DMZ區及內網服務器區出口鏈路上,應對針對WEB應用的7層攻擊,如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。(4)應對流經核心交換區域的所有流量進行深入的檢測,以識別內部各網絡區域之間發生的入侵事件和可疑行為。(5)應對內網用戶的網絡行為,如公網訪問、數據庫訪問等進行全面的記錄和審計,以滿足違規事件發生后的追查取證。(6)應在不同校區之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。
應對全網的網絡節點進行漏洞風險管理,實現漏洞預警、漏洞加固和漏洞審計的全程風險控制。(7)應對全網的網絡節點進行配置合規管理,實現違規配置及時識別、配置整改全面深入、配置風險全程可控。(8)應對運維管理人員進行詳細嚴格的權限劃分,并通過技術手段控制運維行為權限,對運維行為進行全程審計,對違規運維操作進行實時告警。
4遵循等保要求
2009年11月,教育部為進一步加強教育系統信息安全工作,由辦公廳印發《關于開展信息系統安全等級保護工作的通知》(教辦廳函[2009]80號),決定在教育系統全面開展信息安全等級保護工作;等級保護不僅是對信息安全產品或系統的檢測、評估以及定級,更重要的是,等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合,設計一套符合高校需求的信息安全保障體系,是適合我國國情、系統化地解決高校信息安全問題的一個非常有效的方法。
5網絡安全建設方案
(1)在校園網出口處旁路部署抗拒絕服務攻擊系統(ADS)對拒絕服務攻擊流量進行清洗,并且旁路部署網絡流量分析系統(NTA)對網絡流量組成和DDOS攻擊成分進行分析和判斷。在正常環境下,旁路部署的ADS不參與網絡出口流量的路由和交換,邊界路由器通過NETFLOW等技術將流量信息發送給NTA,由NTA分析流量特征,判斷是否遭受DDOS攻擊。當發現遭受DDOS攻擊時,NTA將激活ADS,由ADS向邊界路由器發送針對特定防護目標IP的路由,將所有去往被攻擊目標IP的流量牽引至ADS設備。ADS系統進行惡意流量的識別和清洗,將不含有攻擊成分的合法流量回注至邊界路由器,按正常路由路徑發送至目標IP。(2)在出口鏈路部署入侵防護系統,對接入互聯網的訪問流量進行深入過濾,有效抵御源自公網的入侵威脅,消除安全風險。(3)在DMZ區和內網服務器出口處部署WEB應用防火墻,對服務器區的WEB服務器進行全方面的防護,對針對WEB站點的黑客攻擊,惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網頁篡改等攻擊手段進行深入防護。保障網站、電子教務系統、一卡通系統等應用系統的正常工作。(4)在核心交換區旁路部署安全審計系統,通過將核心交換機上各端口的流量鏡像到安全審計系統的監聽鏈路,實現對流經核心交換機的網絡數據進行全程的審計和過濾。通過制定詳細的安全審計策略,對違反審計策略的網絡行為進行實時告警。此外,安全審計系統由部署在網絡運維區的安全中心進行統一監控與策略下發,并實時收集網絡時間日志和告警信息。(5)在核心交換區域的出口鏈路部署下一代防火墻,實現出口鏈路的流量檢測和安全過濾,保護內部網絡安全。建議在核心交換區域與各個校區的網絡邊界處部署下一代防火墻,通過下一代防火墻對應用層攻擊、病毒進行全面阻斷,可實現基于源/目的IP地址、協議/端口、時間、用戶、VLAN、VPN、安全區的訪問控制,保證不同網絡區域之間的安全防護邊界完整。同時,通過安全管理區的安全管理服務器上安裝安全中心對該設備進行全面的管理。
第3篇:網絡安全等保解決方案范文
作者:謝建根 單位:上海電力環保設備總廠有限公司
為阻止公司內部人員搶IP地址和網絡攻擊,對公司網絡的拓撲結構進行了改造,公司的主干網采用華三S5500SI千兆交換機,進行劃分VLAN管理,VLAN按部門范圍劃分,不同的部門歸屬不同的VLAN。交換機啟用防網絡風暴管理,并啟用安全管理策略。這樣即使某個部門遭受網絡攻擊,最壞的后果只是這個部門的網絡產生故障,不會蔓延到其它部門,不會造成整個公司的網絡癱瘓。在每個部門所在VLAN的網絡接入層采用華三S3600交換機,此交換機的每個端口一一對應該部門的每個用戶,交換機的每個端口啟用固定的IP地址、與MAC地址綁定,并實施防廣播風暴等策略,從根本上杜絕用戶隨意修改IP地址,搶占IP地址等事件。在交換機上啟用防網絡攻擊手段,避免遭受網絡攻擊,造成網絡故障。采用上網行為管控設備對上網行為進行管控當互聯網成為企業的必備資源,網絡應用的“難管理”和“管理難”,成為管理者不可回避的問題。上班時間玩網游、下載電影、炒股票等,這些現象使得企業開始考慮,如何規范員工的上網行為,讓網絡幫助工作,而不是影響工作。
為更好地管理網絡,一套有效的、適合企業需要的上網行為管控設備必不可少。要有效地管理公司員工的上網行為,選用的上網行為管控設備應具備以下功能:(1)有效過濾電驢、迅雷、快車等主流的P2P軟件。當前,在單位內部的局域網中,一種現象是,員工在上班時間,利用各種P2P軟件,如迅雷、電驢等P2P軟件下載各種信息,其中大部分都是與工作無關的娛樂、電影等。這些下載行為一方面大量占用了公司的互聯網資源和網絡帶寬;另一方面導致員工工作效率低下、工作紀律松散,不利于為企業提高經濟效益。而且,如果個人下載的文件含有木馬等病毒,還可能引發局域網網絡風暴,導致局域網大面積斷網和癱瘓,嚴重影響了企業的正常經營活動。(2)限制員工上班時間訪問與工作無關的網站。員工上班時間瀏覽各種門戶網站、娛樂網站、游戲網站、在線視頻網站等,嚴重影響了工作效率。(3)禁止登錄各種聊天軟件。一方面可以禁止員工利用聊天軟件聊天而浪費工作時間,另一方面也可以防止員工使用聊天軟件將公司的商業機密傳輸出去。(4)對各工作組進行流量控制。互聯網的帶寬資源是有限的,為了合理使用互聯網帶寬,按部門劃分工作組,對各工作組設置相應的互聯網帶寬和訪問策略。深信服M5100AC上網行為管控設備具備以上功能,可在網頁過濾、行為控制、流量管理、互聯網訪問行為記錄、上網安全等多個方面提供最有效的解決方案。我公司為規范員工的上網行為,決定采用深信服M5100AC上網行為管控設備,對公司員工的上網行為進行管理。根據部門進行劃分工作組管理,對每個工作組進行上網流量控制,由于不同工作組因工作需求不一,上網權限、上網帶寬和策略也不一樣。如,財務部門可以開通網上銀行,采購部門可以開通購物網站,設計部門因要收發附件較大的電子郵件,其上網帶寬應該設置大一些等。但是對股票、游戲、BT下載等與工作無關的應用在所有工作組都禁止使用。
部署網絡版防病毒軟件,加固互聯網接入安全在互聯網接入處安裝諾基亞IP390防火墻和深信服M5100AC上網行為管控設備,并啟用管控策略。一方面是對互聯網入口入侵進行防控,防止外網黑客攻擊;另一方面是規范員工的上網行為,禁止進行工作無關的上網行為。為了防止網絡受到病毒攻擊,部署江民網絡版防病毒軟件,及時更新升級,定期對操作系統殺毒,確保操作系統的安全。 制定切實可行的網絡管理制度,確保公司網絡安全為確保整個網絡安全正常有效地運行,有必要對公司網絡進行全面的分析和研究,制定出一套滿足公司網絡實際安全需要,切實可行的安全管理制度。對相關網絡管理人員進行培訓,對員工進行網絡道德教育,提高網絡安全意識;對操作系統及時更新補丁,并修補系統漏洞,對重要文件要進行備份。從多方面進行防范,盡一切可能去制止、減少非法的訪問和操作,把企業網絡的不安全因素降到最低。計算機網絡的應用正處于一個飛速發展的時期,網絡的規模越來越大,網絡的復雜程度也越來越高。為適應網絡不斷發展的需要,在組建計算機網絡時必須高度重視網絡管理的重要性,重點從網絡管理技術和網絡管理策略設計兩大方面全面規劃,設計好網絡管理的方方面面,以確保網絡系統高效、安全地運行。
第4篇:網絡安全等保解決方案范文
行業云走向前臺
在云計算被熱炒并發展的這幾年,公有云和私有云技術已經為企業級客戶和IT服務商所熟知。而近期,一批以“行業云”命名的云服務在IT業內興起。那么,行業云與公有云有何不同?難道是對公有云的一次炒作?
追根溯源,這一概念的最先提出者IT解決方案提供商浪潮給出了標準答案。“行業云就是由行業內或某個區域內起主導作用或者掌握關鍵資源的組織建立和維護,以公開或者半公開的方式,向行業內部或相關組織和公眾提供有償或無償服務的云平臺。”目前的浪潮已將行業云定義為其云計算業務的戰略市場。
那么,行業云與公有云的主要區別在哪里?“區別就在數據的來源及服務提供商的核心競爭力。”浪潮集團云服務總監顏亮在接受本報記者采訪時表示。浪潮認為,公有云是公眾使用的云平臺,一般為一個專門出售云服務的機構所擁有,例如Google、百度,其特點是數據來源是公開途徑,通過獨有的應用,利用公開數據為客戶提供服務,其算法、業務系統是核心競爭力;而行業云的數據主要來源于行業內部的核心組織,也有一部分會來自行業內部的其他成員,絕大部分是私有數據,數據是其核心競爭力。“因此,對于行業云客戶來說,他們的數據不可能提供給第三方卻又同時具有對云服務的需求。”顏亮解釋道。
如未來質檢行業需要對外提供各類商品的信息查詢,但是數據又不可能交給第三方處理,所以質監系統會建立一個質檢行業云,整合整個系統的信息來對外提供該類服務,類似的行業還有交通、環保等。
針對行業云的特點及該類客戶的需求特性,浪潮立足山東,于今年5月末正式推出了其在行業級云服務領域的解決方案與戰略布局。
浪潮實施的山東警務云服務也是典型的行業云落地應用案例。山東公安通過建設統一的警務云計算中心將警務應用系統全部遷移到“云”上。同時,利用大數據處理平臺,整合公安內部數據、社會組織數據和互聯網數據,打破了部門警種界限,從而為深度挖掘并關聯多種信息創造條件。
政府采購安全為首
“行業級云服務出現后,對于政府和企業而言,信息系統建設完全可從傳統的自己購買設備及軟件變成購買服務。云計算數據中心好比一個大水庫,客戶可按自己需求,像擰開水龍頭用水一樣方便獲取,有效提高IT效率并節約運營成本。同時,可以利用大數據技術,整合多方數據,創新智慧應用。云計算帶來的社會資源節約是非常可觀的。”來自北京市經信委原副主任閻冠表示。
目前,政府采購云服務已成為國際通行做法,各國政府積極通過政策引導、制定標準、投入資金等方式加快本國云服務的布局形成和產業發展。
浪潮行業云服務最主要的內容之一就是政務云應用。以濟南市公用信息平臺為依托,由浪潮投資建設運營的濟南政務云,是全國首個整體服務外包的政務云,開創了“濟南模式”。
據悉,浪潮還成立了專業的運營團隊,以保障濟南市政府53個部門、300多項業務應用在云中心的高效運行,并制定了云技術、安全標準,確定了計費、服務等規范,為“濟南模式”的推廣打下基礎。自運行以來,濟南全市年度電子政務建設及運行成本降低了30%,新建業務系統部署時間降低了50%,市級部門主要業務信息共享率達70%以上,全市社會管理和公共服務電子政務幾乎實現全覆蓋。
在濟南政務云落地之后,起到了很好的示范效果,很多城市都將濟南模式作為自身政務云頂層設計的組成部分。目前,與浪潮達成戰略合作的城市已經超過30個。
“比起個人云服務,政府在涉足云服務領域時需考慮的因素更為復雜,安全性、可定制以及合規性是政府最常考慮的三大要素。”顏亮提醒政府采購云服務時,要建立在自主可控的基礎上,確保政府信息系統、數據資源的安全可控。
具體來說,一方面從供應鏈安全角度對云服務背景和能力進行審查,并從國別、可靠性、能力等方面綜合審查。另一方面對構筑云計算中心的設備、軟件產品等加以限制,對來源和性能不能確保達到一定安全等級要求的產品,要限制使用,對于無法避免使用的要進行風險分析,制定安全機制和應急措施,在機制和措施建立的基礎上嚴格審批程序,由國家認證機構確認并出具證明,報相關監管機構批準。
第5篇:網絡安全等保解決方案范文
關鍵詞:網絡入侵;入侵檢測系統;信息安全
中圖分類號:TP311 文獻標識碼:A文章編號:1009-3044(2009)35-9947-05
Network Safety Technology Research
ZHENG Xiao-xia
(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)
Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.
Key words: network intrusion; intrusion detection systems; information security
1 前言
1.1 因特網的發展及其安全問題
隨著計算機網絡應用的廣泛深入,網絡安全問題變得日益復雜和突出。網絡的資源共享、信息交換和分布處理提供了良好的環境,使得網絡深入到社會生活的各個方面,逐步成為國家和政府機構運轉的命脈和社會生活的支柱。這一方面提高了工作效率,另一方面卻由于自身的復雜性和脆弱性,使其受到威脅和攻擊的可能性大大增加。眾所周知,因特網是世界上最大的計算機網絡,它連接了全球不計其數的網絡與電腦。同時因特網也是世界上最開放的系統,任何地方的電腦,只要遵守共同的協議即可加入其中。因特網的特點就是覆蓋的地理范圍廣,資源共享程度高。由于因特網網絡協議的開放性,系統的通用性,無政府的管理狀態,使得因特網在極大地傳播信息的同時,也面臨著不可預測的威脅和攻擊。網絡技術越發展,對網絡進攻的手段就越巧妙,越多樣性。一方面由于計算機網絡的開放性和信息共享促進了網絡的飛速發展,另一方面也正是這種開放性以及計算機本身安全的脆弱性,導致了網絡安全方面的諸多漏洞。可以說,網絡安全問題將始終伴隨著因特網的發展而存在。所以,網絡的安全性同網絡的性能、可靠性和可用性一起,成為組建、運行網絡不可忽視的問題。
1.2 我國網絡安全現狀及其相關法律與制度
1.2.1 我國網絡安全現狀
2007年“熊貓燒香”病毒的制作者成功抓獲并被判刑,說明了政府高度重視網絡安全問題。目前,國家依據信息化建設的實際情況,制訂了一系列法律文件和行政法規、規章,為我國信息化建設的發展與管理起到了有利的促進和規范作用,為依法規范和保護我國信息化建設健康有序發展提供了有利的法律依據。
1.2.2 我國網絡安全相關法律與原則
2003年中辦下發的《關于加強信息安全保障工作的意見》是目前我國信息安全保障方面的一個綱領性文件。
我國網絡信息安全立法的原則
1)國家利益原則。當今天信息已成為社會發展的重要戰略資源,信息安全成為維護國家安全和社會穩定的一個焦點。信息安全首先要體現國家利益原則。
2)一致性原則。要與在我國現行法律和國際法框架下制定的法律法規相一致,避免重復立法和分散立法,增強立法的協調性,避免立法的盲目性、隨意性和相互沖突。
3)發展的原則。信息安全立法既要考慮規范行為,又要考慮促進我國國民經濟和社會信息化的發展。
4)可操作性原則。要對現實有針對性,對實踐有指導性。
5)優先原則。急需的先立法、先實施,如信息安全等級保護、信息安全風險評估、網絡信任、信息安全監控、信息安全應急處理等方面要加緊立法。
2 網絡安全協議
2.1 網絡安全協議對維護網絡安全的作用
Internet的開放式信息交換方式使其網絡安全具有脆弱性,而實現網絡安全的關鍵是保證整個網絡系統的安全性。目前幾乎網絡的各個層次都指定了安全協議和具備了相應的安全技術,網絡安全協議可很好的保護信息在網絡中傳播。在安全領域,一種“安全協議”被定義為“一種控制計算機間數據傳輸的安全過程。
2.1.1 第二層隧道協議(L2TP)
第2層隧道協議(L2TP)是點對點隧道協議(PPTP)的一個擴展,L2TP數據包在用戶數據報協議(UDP)端口1701進行交換。ISP使用L2TP來建立VPN解決方案,使用該方案,用戶可以在載波網絡中更多地利用VPN的優點。由于L2TP符合國際標準,因此不同開發商所開發的L2TP設備的協同能力大大增強。L2TP VPN已經成為提供商使用的產品。在裝有Cisco的網絡中,端到端的服務質量(QoS)可以通過QoS技術的使用來保證IPSec負責數據加密,它同樣也是一種國際標準。IPSec對每個數據包的數據進行初始認證、數據完整性檢測、數據回放保護以及數據的機密性保護。從設計上來看,L2TP支持多協議傳輸環境,它能夠使用任何路由協議進行傳輸,包括IP、IPX以及AppleTalk。同時,L2TP也支持任何廣域網傳送技術,包括幀中繼、ATM、X.25或SONET,它還能夠支持各種局域網媒質,如以太網、快帶以太網、令牌環以及FDDI。L2TP使用因特網及其網絡連接以使得終端能夠頒布在各個不同的地理位置上。L2TP的最大安全之處在于它使用了IPSec,IPSec可以為連接提供機密性、數據包的認,以及保護控制信息和數據包不被重新發送。
2.1.2 IPSec的技術優勢:
為數據的安全傳輸提供了身份驗證、完整性、機密性等措施,另外它的查驗和安全與它的密鑰管理系統相連。因此,如果未來的密鑰管理系統發生變化時,IPSec的安全機制不需要進行修改。當IPSec用于VPN網關時,就可以建立虛擬專用網。在VPN網關的連內部網的一端是一個受保護的內部網絡,另一端則是不安全的外部公共網絡。兩個這樣的VPN網關建立起一個安全通道,數據就可以通過這個通道從一個本地的保護子網發送到一個遠程的保護子網,這就形成了一條VPN。在這個VPN中,每一個具有IPSec的VPN網關都是一個網絡聚合點,試圖對VPN進行通信分析將會失敗。
目的是VPN的所有通信都經過網關上的SA來定義加密或認證的算法和密鑰等參數,即從VPN的一個網關出來的數據包只要符合安全策略,就會用相應的SA來加密或認證(加上AH或ESP報頭)。整個安全傳輸過程由IKE控制,密鑰自動生成,所有的加密和解密可由兩端的網關,對保護子網內的用戶而言整個過程都是透明的。
2.2 安全Shell(SSH)
安全Shell或者SSJ常用于遠程登錄系統,和過去使用的Telnet具有相同的目的。然而Telnet和SSH的最大區別是:SSH大大加強了其連接的安全性。SSH是一個應用程序,它為不可靠的、存在潛在危險的網絡(如因特網)上的兩臺主機提供了一個加密的通信路徑。因此,SSH防止了用戶口令及其他敏感數據以明文方式在網絡中傳輸。SSH解決了在因特網中最重要的安全問題:黑客竊取或破解口令的問題。
SSH拒絕數據IP欺騙攻擊,保證能夠是哪臺主機發送了該數據。加密數據包,用以防止其他中間主機截取明文口令及其他數據。IP源路由選擇,可以防止某臺主機偽裝它的上IP數據包來源于另一臺可信主機。避免數據包傳送路徑上控制其他裝置的人處理數據。SSH給安全領域帶來一個很有趣的功能:即使用隧道的SSH技術轉發某些數據包。FTP協議和X Windows協議都采用了這一功能。這中轉發功能使SSH能夠利用其他一些協議來控制主機終端與SSH連接的操作。你可能認為通過SSH連接的隧道將是一個很不錯的VPN選擇,但事實并非如此。一種更好的解決方案就是通過VPN連接的SSH隧道技術,因為這是一種很安全的連接發。總之,SSH是一個比較滸、用于加密網絡TCP會話的工具,它最常用于遠程登錄以及增加網絡的安全性。
3 網絡安全技術
3.1 使用網絡安全技術的意義
隨著計算機網絡技術的突飛猛進,網絡安全的問題已經日益突出地擺在各類用戶的面前。據統計資料表明,目前在互聯網上大約有將近20%以上的用戶曾經受過黑客的困擾。盡管黑客如此猖獗,但網絡安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認為網絡安全問題離自己尚遠,這一點從大約有40%以上的用戶,特別是企業級用戶沒有安裝防火墻便可以窺見一斑,而所有的問題都在向大家證明一個事實,大多數的黑客入侵事件都是由于未能正確安裝防火墻引發的。
3.2 防火墻
防火墻(Firewall )技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,是抵抗黑客入侵和防止未授權訪問的最有效手段之一,也是目前網絡系統實現網絡安全策略應用最為廣泛的工具之一。防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入,可有效地保證網絡安全。它是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網和Internet之間的活動,保證內部網絡的安全。
3.2.1 防火墻的種類
第一:從防火墻產品形態分類,防火墻可分為3種類型:
1)軟件防火墻
軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說,這臺計算機就是整個網絡的網關,俗稱“個人防火墻”。軟件防火墻就像其他的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡軟件版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。
2)硬件防火墻
硬件防火墻是指“所謂的硬件防火墻。之所以加上”所謂“二字是針對芯片級防火墻說的。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,它們都基于PC架構,也就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的UNIX、Linux和FreeBSD系統。值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
傳統硬件防火墻一般至少應具備三個端口,分別接內網、外網和DMZ區(非軍事化區),現在一些新的硬件防火墻往往擴展了端口,常見的四端防火墻一般將第4個端口作為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。
3)芯片級防火墻
芯片級防火墻基于專門的硬件平臺及專用的操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
第二:從防火墻所采用的技術不同,可分為包過濾型、型和監測型三大類型。
1)包過濾型
是防火墻的初級產品,其技術依據是網絡中的他包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。優點是:簡單實用,實現成本較低,在應用環境簡單的情況下能夠以較小的代價在一定程度上保證系統的安全。缺點是:只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入。
2)型
“型”防火墻也可以稱為服務器,它的安全性要高于包過濾型產品,并已經開始實行向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。監測型
3)監測型
“監測型”防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻對各層的數據進行主動、實時的監測,在對這些數據加以分析的基礎上,臨測型防火墻有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探器,這些探測器安置在各種應用服務器和其他網絡系統的節點之中,不僅檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用
第三:從網絡體系結構來進行分類,可以將防火墻分為以下4種類型:
1)網絡級防火墻
一般是基于源地址和目的地址、應用或協議,以及每個IP包的端口來做出通過與否的判斷。網絡級防火墻簡潔、速度快、費用低,并且對用戶透明,但是對網絡的保護有限,因為它只檢查地址和端口,對網絡更高協議層的信息無理解能力。
2)應用級網關
也稱“型”防火墻,它檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,并做精細的注冊和稽核。但每一種協議需要相應的軟件,使用時工作量大,效率不如網絡級防火墻。
3)電路級網關
用來監近代受信任的客戶機或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法,電路級網關在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高兩層。另外,電路級網關還提供一個重要的安全功能:網絡地址轉換功能,將所有內部的IP地址映射到一個“安全”的IP地址,這個地址是由防火墻使用的。但是,作為電路級網關也存在著一睦缺陷,因為該網關是在會話層工作的,它就無法檢查應用層級的數據包。
4)規則檢查防火墻
該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。它同包過濾防火墻一樣,規則檢查聞訊火墻大OSI網絡層上通過IP地址和端口號,過濾進出的數據包。可以在OSI應用層下檢查數據包的內容,查看這些內容是否能符合公司網絡的安全規則。規則檢查防火墻雖然集成前三者的特點,但是不同于一個應用級網關的是,它并不打破客戶機/服務器模式來分析應用層的數據,它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與旅游區在用層有關的,而是依靠某種算法來識別進出的應用層數據,這些算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級在過濾數據包上更有效。
第四:從防火墻的應用部署位置來分,可將防火墻分為3種類型
1)邊界防火墻
這是最為傳統的那種,它們位于內、外部網絡的邊蜀,所起的作用是對內、外部網絡實施隔離,保護邊界內部網絡。這類防火墻一般都是硬件類型的,價格較貴,性能較好。
2)個人防火墻
安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應于廣大的個人用戶,價格最便宜,性能也最差。
3)混合式防火墻
也可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統,由若干個軟、硬件組件組成,分布于內、外部網絡邊界和內部各主機之間,既對內、外部網絡之間通信進行過濾,又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
3.2.2 防火墻中的關鍵技術
在實現防火墻的眾多技術中,如下技術是其實現的關鍵技術:
3.2.2.1 包過濾技術
包過濾技術是在網絡中適當的位置上對數據包實施有選擇的過濾。采用這種技術的防火墻產品,通過在網絡中的適當位置對數據包進行過濾,根據所檢查數據流中每個數據包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態等要素,然后依據一組預定義的規則,以允許合乎邏輯的數據包通過防火墻進入到內部網絡,而將不合乎邏輯的數據包加以刪除。
優點:采用包過濾技術的包過濾防火墻具有明顯的優點,
1)一個過濾由器協助防護整個網絡
2)數據包過濾對用戶透明
3)包過濾路由器速度快、效率高
缺點:通常它沒有用戶的使用記錄,這樣就不能從訪問記錄中發現黑客的攻擊記錄。配置煩瑣也是包過濾防火墻的一個缺點。沒有一定的經驗,是不可能將過濾規則配置得完美的。
3.2.2.2 應用技術
技術是針對每一個特定應用服務的控制。它作用于應用層。其具有狀態性的特點,能提供部分與傳輸有關的狀態,起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受提出的服務請求,拒絕外部網絡其它節點的直接請求。提供服務的可以是一臺雙宿網關,也可以是一臺保壘主機。
3.2.2.3 狀態檢查技術
狀態檢查技術也稱為應用層網關技術,是一種在網絡層實現防火墻功能的技術。它是在應用層實現防火墻的功能,針對每一個特定應用進行檢驗。服務不允許直接與真正的服務通信,而是與服務器通信(用戶的默認網關指向服務器)。各個應用在用戶和服務之間處理所有的通信。
優點:1)易于配置。2)能生成各項記錄。3)能靈活、完全地控制進出信息。4)能過濾數據內容。
缺點:1)速度比路由器慢。2)對用戶不透明。3)對于每項服務,可能要求不同的服務器。4)服務通常要求對客戶或過程進行限制。5)服務受協議弱點的限制。6)不能改進底層協義的安全性。
3.2.2.4 地址轉換技術
地址轉換技術是將一個IP地址用另一個IP地址代替。它主要應用于兩個方面,其一是網絡管理員希望隱藏內部網的IP地址。其二是內部網的IP地址是無效的。在此情況下,外部網不能訪問內部網,而內部網之間主機可以互助訪問。
3.2.2.5 內容檢查技術
內容檢查技術提供對高層服務協議數據的監控,以確保數據流的安全。它是一個利用智能方式來分析數據,使系統免受信息內容安全威脅的軟件組合。
3.3 網絡入侵檢測
隨著網絡技術的發展,網絡環境變得越來越復雜,網絡攻擊方式的不斷翻新。網絡系統的安全管理,是一個非常復檢錄煩瑣的事情。入侵檢測技術和漏洞掃描技術通過從目標系統和網絡資源中采集信息,分析來自網絡外部和內部的入侵信號和網絡系統中的漏洞,甚至實時地對攻擊做了反應。入侵檢測系統和入侵保護系統是防火墻極其有益的補充,它能對非法入侵行為進行全面的臨測和防護。在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊。入侵檢測技術被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監聽,從而提供針對內部攻擊、外部攻擊和誤操作的實時防護,大大提高了網絡的安全性。
3.3.1 入侵檢測系統技術
入侵檢測系統技術可以采用概率統計方法、專家系統、神經網絡、模式匹配、行為分析等來實現入侵檢測系統的檢測機制,以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。
3.3.2 入侵檢測系統
入侵檢測系統的核心就是通過對系統數據的分析,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進行組合便是入侵檢測系統。與其他安全產品不同的是入侵檢測系統需要更多的智能必須可以對得到的數據進行分析,并得出有用的結果,一個合格的入侵檢測系統能大大地簡化管理員的工作,保證網絡安全的運行。其實,入侵檢測系統是一個曲型的“窺探設備”。它不跨接多個物理網段(通常只有一個監聽端口,無須轉發任何流量,而只需要在網絡上被動地、無聲無息地收集它所關心的報文即可。
3.4 虛擬專用網(VPN)
VPN是目前解決信息安全問題的一個最新、最成功的技術之一。所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。虛擬專用網不是真的專用網絡,但卻能夠實現專用網絡的功能。虛擬專用網絡指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商),在公有網絡中建立專用的數據通信網絡的技術。在虛擬專用網絡中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。IETF草案理解基于IP的VPN為:“使用IP機制仿真出一個私有的廣域網”,通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。
一個典型VPN的組成部分如圖1所示。
圖1各個組件作用如下:VPN服務器:接受來自VPN客戶機的連接請求。VPN客戶機:可以是終端計算機也可以是路由器。隧道:數據傳輸通道,在其中傳輸的數據必須經過封裝。VPN連接:在VPN連接中,數據必須經過加密。隧道協議:封裝數據、管理隧道的通信標準。傳輸數據:經過封裝、加密后在隧道上傳輸的數據。公共網絡:如Internet,也可以是其他共享網絡。
3.5 訪問控制的概念
訪部控制是通過一個參考監視器,在每一次用戶對系統目標進行訪問時,都由它來調節,包括限制合法用戶的行為。訪問控制是信息安全保障機制的核心內容,它是實現數據保密性和完整性機制的主要手段。訪問控制是為了限制訪問主體(或稱為發起者,是一個主動的實體;如用戶、進程、服務等),對訪問客體(需要保護的資源)的訪問權限,從而使計算機系統在合法范圍內使用;訪問控制機制決定用戶及代表一定用戶利益的程序能做什么,及做到什么程度。所有的操作系統都支持訪問控制。
訪問控制的兩個重要過程:1)通過鑒別(authentication)來檢驗主體的合法身份:2)通過授權(authorization)來限制用戶對資源的訪問級別。訪問包括讀取數據,更改數據,運行程序,發起連接等。訪問控制所要控制的行為有以下幾類:1)讀取數據;2)運行可執行文件;3)發起網絡連接等。
3.5.1 訪問控制應用類型
根據應用環境的不同,訪問控制主要有以下三種:1)網絡訪問控制;2)主機、操作系統訪問控制;3)應用程序訪問控制。由于本文討論的主要為網絡中的訪問控制。所以主機、操作系統的訪問控制
及應用程序的訪問控制在這里就不做討論。網絡訪問控制機制應用在網絡安全環境中,主要是限制用戶可以建立什么樣的連接以及通過網絡傳輸什么樣的數據,這就是傳統的網絡防火墻。此外,加密的方法也常被用來提供實現訪問控制。
3.5.2 強制訪問控制(MAC)
強制訪問控制與自主訪問控制因實現的基本理念不同,訪問控制可分為強制訪問控制(Mandatory accesscontrol)和自主訪問控制(Discretionary access control)。用來保護系統確定的對象,對此對象用戶不能進行更改。也就是說,系統獨立于用戶行為強制執行訪問控制,用戶不能改變他們的安全級別或對象的安全屬性。這樣的訪問控制規則通常對數據和用戶按照安全等級劃分標簽,訪問控制機制通過比較安全標簽來確定的授予還是拒絕用戶對資源的訪問。強制訪問控制進行了很強的等級劃分,所以經常用于軍事用途。在強制訪問控制系統中,所有主體(用戶,進程)和客體(文件,數據)都被分配了安全標簽,安全標簽標識一個安全等級。主體(用戶,進程)被分配一個安全等級,客體(文件,數據)也被分配一個安全等級。訪問控制執行時對主體和客體的安全級別進行比較。
用一個例子來說明強制訪問控制規則的應用,如WEB服務以“秘密”的安全級別運行。例如WEB服務器被攻擊,攻擊者在目標系統中以“秘密”的安全級別進行操作,他將不能訪問系統中安全級為“機密”及“高密”的數據。
4 網絡安全策略
4.1 網絡安全系統策略
從根本意義上講,絕對安全的網絡是不可能有的。只要使用,就或多或少地存在安全問題。我們在探討安全問題的時候,實際上是指一定程度的網絡安全。一般說來,網絡的安全性通常是以網絡的開放性、便利性和靈活性為代價的。計算機網絡信息安全是一個復雜的系統工程,國際上普遍認為:它不僅涉及到技術、設備、人員管理等范疇,還應該依法律規范作保證,只有各方面結合起來,相互彌補,不斷完善,才能有效地實現網絡信息安全。這里僅從技術的角度探討網絡信息安全的對策。
4.2 網絡安全系統策略的制定
4.2.1 物理安全策略
物理安全的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊;防止用戶越權操作;確保網絡設備有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入控制室和各種偷竊、破壞活動的發生。抑制和防止電磁泄漏是物理安全策略的一個主要問題。
4.2.2 數據鏈層路安全策略
數據鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被竊聽,主要采用劃分VLAN(虛擬局域網)、加密通信(遠程網)等手段。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。
4.2.3 網絡層安全策略
網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免攔截或監聽。用于解決網絡層安全性問題的主要有防火墻和VPN(虛擬專用網)。防火墻是在網絡邊界上通過建立起惡報相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入。
4.2.4 遵循“最小授權”策略
“最小授權”原則指網絡中帳號設置、服務配置、主機間信任關系配置等應該為網絡正常運行所需的最小限度。關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統的危險性大大降低。
4.2.5 建立并嚴格執行規章制度的策略
在網絡安全中,除了采用技術措施之外,制定有關規章制度,對于確保網絡安全、可靠地運行將起到十分有效的作用。規章制度作為一項核心內容,應始終貫穿于系統的安全生命周期。一般來說,安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務存在沖突的時候,網絡安全往往會作出讓步,或許正是由于一個細微的讓步,最終導致了整個系統的崩潰。因此,嚴格執行安全管理制度是網絡可靠運行的重要保障。
5 結論
當前,如何確保計算機網絡的安全性是任何一個網絡的設計者和管理者都極為關心的熱點。由于因特網協議的開放性,使得計算機網絡的接入變得十分容易。正是在這樣得背景下,能夠威脅到計算機網絡安全的因素就非常多。因此,人們研究和開發了各種安全技術和手段,努力構建一種可靠的計算機網絡安全系統。這種安全系統的構建實際上就是針對己經出現的各種威脅(或者是能夠預見的潛在威脅),采用相應的安全策略與安全技術解除這些威脅對網絡的破壞的過程。當然,隨著計算機網絡的擴大,威脅網絡安全因素的變化使得這個過程是一個動態的過程。計算機網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。所以任何計算機網絡安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統,人們力圖建立的只能是一個動態的網絡安全防護系統。它是一個動態加靜態的防御,本文首先從多個角度研究了計算機網絡的安全性,針對各種不同的威脅與攻擊研究了解決它們的相應安全技術與安全協議。接下來,在一般意義下制定計算機網絡安全系統設計的策略與原則,提出了計算機網絡安全的實現模型。計算機網絡安全取決于安全技術與網絡管理兩大方面。從技術角度來講,計算機網絡安全又取決于網絡設備的硬件與軟件兩個方面,網絡設備的軟件和硬件互相配合才能較好地實現網絡安全。但是,由于網絡安全作為網絡對其上的信息提供的一種增值服務,人們往往發現軟件的處理速度成為網絡的瓶頸,因此,將網絡安全的密碼算法和安全協議用硬件實現,實現快速的安全處理仍然將是網絡安全發展的一個主要方向。另一方面,在安全技術不斷發展的同時,全面加強安全技術的應用也是網絡安全發展的一個重要內容。因為即使有了網絡安全的理論基礎,沒有對網絡安全的深刻認識、沒有廣泛地將它應用于網絡中,那么談再多的網絡安全也是無用的。同時,網絡安全不僅僅是防火墻,也不是防病毒、入侵監測、防火墻、身份認證、加密等產品的簡單堆砌,而是包括從系統到應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。除了網絡安全技術,還要強調網絡安全策略和管理手段的重要性。只有做到這些的綜合,才能確保網絡安全。本文盡管對計算機網絡安全進行了較深入的研究。但是,計算機網絡安全的問題是一個永久的課題,它將隨著計算機技術、計算機網絡的發展而一直存在、一直發展。計算機網絡的威脅與計算機網絡的安全防護的關系就象是“矛”和“盾”的關系一樣,沒有無堅不摧的矛、也沒有無法攻破的盾。從理論上講這種做法的正確的,但在具體的折中方法上就有大量的研究及實驗工作可做。由于本文作者水平有限以及時間有限等的原因,本文的折中是有進一步研究和改進的必要的。總之,計算機網絡安全技術是個永無止境的研究課題。
參考文獻:
[1] Stallings W.網絡安全要素一應用與標準[M].北京:人民郵電出版社,2000.
[2] 張小斌,嚴望佳.黑客分析與防范技術[M].北京:清華大學出版社,1999.
[3] 余建斌,黑客的攻擊手段及用戶對策[M].北京:人民郵電出版社,1998.
[4] 彭杰.計算機網絡安全問題的探討[M].現代電子技術,2002.
[5] 郝玉潔,.網絡安全與防火墻技術[J].電子科技大學學報社科版,2002,4(1).
[6] 陳朝陽,潘雪增,平鈴娣.新型防火墻的設計和實現[J].計算機工程,2002(11).
[7] 劉美蘭,姚京松.入侵檢測預警系統及其性能設計[C]//卿斯漢,馮登國.信息和通信安全CCICS'99:第1屆中國信息和通信安全學術會議論文集.北京:科學出版社,2000.
[8] 陳曉蘇,林軍,肖道舉.基于多的協同分布式入侵檢測系統模型[J].華中科技大學學報:自然科學版,2002,30(2).
[9] 王惠芳.虛擬專用網的設計及安全性分析[J].計算機工程,2001(6).
第6篇:網絡安全等保解決方案范文
為了符合高端商務人士雙屏應用的需求,C27A750X將無線顯示技術、USB3.0、網絡連接等多種功能集于一身。該顯示器最為重要的特色莫過于支持采用無線方式與電腦主機進行連接的功能。普通顯示器在與電腦連接時,都需通過顯示接口(DVI、D-Sub和HDMI等)與筆記本電腦或臺式電腦相連。而C27A750X卻可以將這些顯示信號線拋開,與電腦主機進行無線連接。用戶在使用該顯示器時,只需安裝隨顯示器附帶的軟件,并將USB無線信號發射器插在電腦的USB接口上,C27A750X就能通過內置無線接收器接收并顯示畫面。實際測試發現,該無線顯示連接步驟簡便,靜態畫面的顯示效果頗為出色,用戶在上網沖浪、處理日常郵件或文檔工作時都可獲得較為優秀的效果。但值得注意的是,在顯示動作類高清電影時,畫面雖較流暢,但色階過渡略有斷層現象。
C27A750X除了能以無線方式進行連接之外,還具備通過USB連接進行顯示的功能。用戶只需使用隨機附帶的專用USB3.0線纜與電腦主機進行連接,該顯示器就可顯示出電腦畫面。實際測試發現,通過USB3.0線纜進行連接顯示的方式,即使在播放動作類高清電影時也可獲得流暢與出色的顯示效果。另外,除了這兩種特色的顯示功能之外,該顯示器也支持標準的D-Sub和HDMI連接方式。該顯示器除了可實現采用無線的方式連接進行顯示之外,還具備網絡信號轉發的功能。將顯示器連接網線后,用戶只需將筆記本電腦處于該顯示器的無線連接范圍內,即可自動檢測并將主機連接至互聯網。
在顯示質量方面,C27A750X的亮度均勻性表現不俗,畫面的左上和右上部分的亮度有一定的下降,而左下和右下部分的亮度與中央相差不大,屬于主流27英寸顯示器中較高的水準。此外,該顯示器在屏幕漏光方面的控制也較好,無明顯漏光現象。
三星SyncMaster C27A750X
價格(元): 4399
屏幕實測亮度(lm): 323.8
最大能耗(W): 47.9
技術參數
最佳分辨率: 1920×1080
可視角度(水平/垂直): 170°/160°
能效比(cd/W): 1.36
屏幕實測最大對比度: 1182:1
OSD操作: 觸摸式按鍵
顯示接口: HDMI/D-Sub
USB接口: USB3.0×2/USB2.0×2
體積(mm): 639×485×233
背光/面板類型: LED/TN
影馳樂享
價格(元): 1699
信號接收器體積(mm): 148×96×20
傳輸延時(ms): <1
技術參數:
傳輸距離(m): 10
無線頻段(GHz): 5
128位數據加密: 支持
發射器體積(mm): 107×44×16
發射器發射功率(dBm): <12
發射器接口: HDMI/MiniUSB
發射器最大功耗(W): 2.5
信號接收器接收靈敏度(dBm): ≤-65
發射器供電方式: USB供電
無線高清:影馳樂享是一款全新概念的無線高清傳輸設備,它能夠在家居范圍內無延時傳輸無壓縮的1080p全高清信號。影馳樂享基于WHDI 1.0無線傳輸協議,由一個普通閃存盤大小的發射端和一個類似普通家用路由器大小的接收端組成。該方案支持HDMI 1.3規范,在傳輸視頻的同時可傳輸7.1聲道AC3&DTS音頻,它最大可傳輸1080p、60Hz的視頻信號,并保證延遲小于1ms。它的工作頻段為5.1GHz~5.9GHz,與其他通常的無線設備如無線鍵鼠、耳機、路由器等工作在不同頻段,可以減少相互干擾。影馳樂享發射端的最大功耗僅為2.5W,普通USB接口的供電量即可滿足需要,而且使用這個設備不需要安裝任何驅動,也不需進行任何設置,即插即用。此外,樂享的一個接收端可以支持多個發射設備,為消費者組建無線數字家庭提供了一個簡易的解決方案。
小結擺脫有線束縛,簡單、實用、便攜。
競爭產品暫無
富士施樂ApeosPort-IV C7780
價格(元): 400 000
體積(mm): 1004×804×1392
重量(kg): 274
技術參數
首頁文本打印時間(s): 2.5
10頁文本打印時間(s): 15
首頁PDF打印機時間(s): 13
單頁圖文混排打印時間(s): 21
200ppiA4灰度掃描單面/雙面(s): 6/6
單頁黑白文本復印(s): 2.5
掃描分辨率(dpi): 600×600
打印分辨率(dpi): 2400×2400
標稱功耗(KW): ≤2.4
模塊化打印:富士施樂ApeosPort-IV C7780的掃描模塊支持雙面掃描,文稿正面的內容由玻璃稿臺的CCD組件負責掃描,而文稿背面的內容則由安置在進紙路上的CIS高速掃描單元負責掃描,這樣紙張只需經過進紙路一次即可完成文稿兩面的掃描。實際在200ppiA4紙張灰度掃描測試中,單面掃描的速度與雙面掃描幾乎完全相同。另外,C7780的CCD掃描組件采用了PowerLED光源,采用這種光源使C7780與采用傳統氙氣光源的彩色數碼復合機相比啟動速度更快,而且能耗更低。
C7780標配了彩色控制面板,簡明的圖形化按鈕更容易操作,特別設計的供紙托盤鎖定扳手和托盤滾筒可以幫助用戶更方便地添加打印紙。3個大容量彩色墨粉倉和兩個獨立的黑色墨粉倉可以滿足企業大負荷打印的需求,為了滿足連續打印的需求,C7780還支持打印過程中的開倉換粉,也就是說在打印過程中一旦出現墨粉不足,用戶可以在不中斷甚至不影響打印速度的情況下更換舊的黑色粉盒。另外,富士施樂通過在墨粉中加入“快速溶解聚酯纖維”,使得墨粉需要的加熱溫度有近20°左右的降低,這既可提升預熱啟動的速度,也可以明顯降低能耗。
C7780采用了富士施樂研發的智電技術,該技術可以自動控制各個功能模塊的電力輸出,例如在用戶使用掃描功能時就只對掃描單元供電,而不啟用其他的模塊,以實現降低能耗和噪音的目的,在只開啟掃描模塊時可以減少20%~30%的能耗。
為了滿足不同企業的使用需求,C7780支持模塊化擴展,用戶不但可以將安置于機身上的彩色控制面板更換為10.4英寸的觸摸控制屏,也可以連接專用的大容量紙盒以及專業的裝訂部件,借助該部件C7780在打印后可以自動完成打釘、打孔、折頁和制作小冊子的工作。
小結節能環保特性突出,擴展能力強,快速雙面復印功能十分實用。
競爭產品佳能智簡iR-ADV C5051,同樣提供多種功能的選配組件。
雷柏V7
價格(元): 290
體積(mm): 350×143×37
重量(g): 860
技術參數:
按鍵標稱壽命(萬次): 5000
接口類型: USB2.0
鍵盤鍵數(個): 92
按鍵行程(mm): 4
觸發行程(mm): 2
觸發壓力(g): 50±15
報告速率(次/s): 1000
多媒體鍵: 有
鍵位沖突: >9
黃軸機械鍵盤:雷柏V7是一款入門級的游戲機械鍵盤,它采用雷柏自主研發的機械黃軸,相比Cherry黑軸80g的壓力克數,雷柏黃軸50g的觸發壓力更小,手感更加輕盈。這款鍵盤去掉了傳統意義上的小鍵盤區,與正常鍵盤相比,它的體積更小,不會占用過多的桌面空間,攜帶起來也比較方便。鍵盤采用了標準的美式按鍵布局,更符合國內用戶的使用習慣。它的鍵帽材質采用了略帶磨砂質感的ABS材質,鍵帽的字符使用激光填料技術,具有清晰、耐磨的特點。
此外,鍵盤的每個按鍵均支持可編程設計,配合模式切換按鍵,可以讓玩家在普通模式和自定義模式之間輕松切換。該款鍵盤的按鍵手感介于黑軸和紅軸之間,比黑軸的起始下壓力更輕,比紅軸具有更高的中繼觸發力。雖然其按鍵行程較長,但只需按下一半(約2mm)的行程即可觸發。
小結手感輕盈、細膩,價格實惠。
競爭產品PLUM mini黑軸機械鍵盤,價格為260元。
諾頓網絡安全特警2012
價格(元): 399(2年3用戶)
硬盤需求(MB): 300
實際占用內存(MB): 34
技術參數
CPU需求: 主頻1GHz或更高
操作系統: Windows XP/Vista/7
瀏覽器插件支持: IE6或更高
最低內存需求(MB): 256
反垃圾郵件: Outlook 2002或更高
智能文件分析: 支持
云安全技術: 支持
父母管理控制: 支持
身份防護: 支持
在線身份安全:當前,我們處在互聯網信息爆炸、網絡安全威脅層出不窮、智能移動終端設備被廣泛應用的時代,如何保護自己的個人賬戶、位置、隱私等信息不受侵犯是每個人都十分關心的問題。老牌的互聯網安全廠商賽門鐵克近期推出了諾頓網絡安全特警2012(以下簡稱諾頓2012),新版諾頓不僅通過基于云計算技術的防護組合繼續提升軟件整體的防護能力、保障用戶個人在線信息的安全,而且了針對Android系統的諾頓手機安全軟件,將傳統的安全防護從PC端引入移動終端。
新版諾頓繼續保持簡潔高效的特性,其安裝過程不超過1分鐘,即便是性能較差的系統,運行的速度也不會因為安裝諾頓2012而產生明顯的改變。諾頓2012的主界面為用戶提供了掃描、升級和高級3個功能的快速入口,整體界面延續了以往版本的風格,但是優化了多用戶狀態下的使用體驗細節。諾頓2012將云安全理念進一步深化,并結合到了身份安全、信譽掃描、網頁安全等模塊和技術當中。在身份防護方面,除了繼續為用戶提供表單自動填寫等實用功能外,還可以將用戶本地的身份數據上傳到諾頓云端保存,用戶在使用另外一臺電腦時可以不必再進行重復配置。在網頁安全方面,新版諾頓進行了大幅改進,目前已經支持Google、百度、雅虎、Ask和必應五大搜索引擎以及IE、Firefox和Chrome等三大主流瀏覽器,覆蓋范圍更廣。
同期推出的Android版諾頓手機安全軟件支持防盜用、防惡意軟件、屏蔽電話和短信以及網頁防護功能。值得一提的是,防盜用功能可設置5個好友的手機號,通過向該手機發送短信代碼進行手機遠程定位、遠程鎖定以及遠程數據擦除,非常實用。
第7篇:網絡安全等保解決方案范文
關鍵詞:虛擬化;仿真模型;計算機網絡;教學資源庫;行動導向
中圖分類號:G712 文獻標識碼:A 文章編號:1007-0079(2014)33-0095-02
仿真模型利用高性能計算機系統的虛擬現實技術開發,具有高相似性、便于管理和低耗費的特點,是教學資源庫建設的重要內容。本文以高職計算機網絡技術專業為例,進行基于虛擬化技術的仿真網絡模型庫的開發與應用。在計算機網絡技術專業課程體系建設中,采用工作過程系統化的方法對典型工作任務類聚重構得到《網絡故障排除》、《網絡管理與維護》等學習領域來培養崗位能力[1]。而基于虛擬化技術的網絡模型庫在學習領域的教學中作為重要教學資源支持任務驅動、行動導向等教學方法的實施,為學生營造一個職業教育與工作世界和個體職業實踐活動之間直接而緊密聯系的教學環境[2]。
一、必要性和可行性分析
開發應用網絡模型庫是計算機網絡技術專業學生崗位能力培養的必要教學資源,成熟的虛擬化技術則提供了以較低的經濟成本實現模型庫的方法。
1.培養崗位能力的需要
計算機網絡技術專業學生就業崗位的典型任務包括網絡建設、監控、管理、維護等,其勝任力除了網絡專業知識和技能之外,還對溝通、學習、分析、決策及故障排除等能力有特殊要求[3]。在教學中培養上述關鍵能力,需要一個仿真的網絡環境,使學生能夠感性認識崗位工作的特點,角色扮演來完成學習任務。以網絡管理員崗位所處的典型網絡為原型建設的網絡模型庫就是仿真工作環境、實施典型工作任務的有效載體。
2.教學模式改革的需要
學生在就業崗位從事網絡故障排除的事件是隨機、突發而無任何引導和提示的。而傳統方式的教學方法往往以知識和技能為切入點,遵循按部就班、先入為主的策略,這就約束了學生思維空間,降低思維鍛煉強度。在指導優先與建構優先相融合教育理念的指導下展開行動導向的校內教學活動,讓學生按照就業崗位的標準工作流程完成學習任務,就必須給學生創造一個“真實的虛擬”在崗工作氛圍和任務。傳統書本、圖示和靜態模型等形式只能提供抽象或者平面視覺,不能滿足環境觀察、實際操作的真實性要求。虛擬化網絡模型因為其良好的相似性和互動性而成為網絡管理課程開展教學模式改革的必要資源。
3.信息化教學資源庫建設的需要
進行教學模式改革的同時,配套的教學資源也必須擺脫傳統形式、載體和結構的局限,消除基于學科體系建立的資源孤島,在學習情境中融合典型工作任務的文檔、產品文獻資料、交互交流平臺和崗位環境等元素。利用虛擬化等現代信息技術建設仿真的模型庫以較低的經濟成本實現仿真的崗位網絡環境,是實現形象、立體、開放的結構化資源庫的必要組成部分[4]。
4.技術和經濟上的可行性
模擬器和虛擬化技術能夠實現在一臺PC上可以虛擬多臺路由、交換、安全或主機等網絡設備,并能夠彼此互連成比較復雜的網絡拓撲,這就可以用較低的經濟成本實現各種網絡模型。而且,虛擬化技術實現的仿真網絡以獨立文件存儲,既便于復制又便于訪問和分發,輔之以物理設備還可以完成網絡性能管理等多種典型崗位任務的仿真。
三、模型庫開發過程
為滿足上述要求,開發基于虛擬化技術的仿真網絡模型庫按照“崗位調研、模型精選、分類實現、部署分發”步驟來實現。
1.崗位調研
以就業為導向的職業教育活動都應該以崗位能力分析為邏輯起點,以達到崗位能力要求為目標。崗位調研針對不同規模、不同類型和不同行業的企業進行調研。調研內容包括:企業網絡規模、網絡結構、組成技術以及對網絡管理員的能力要求等。
2.模型精選
為了突出模型的典型性,對崗位調研結果進行歸類匯總,化繁為簡,整理出具有代表性的網絡環境模型和能力需求,如表1所示:
3.分類實現
目前有多種手段和工具可以實現精選的網絡模型,這些工具又具有不同的特點,必須依據開放性和便于訪問分發的原則按照不同的優先順序選擇。本文采用計算機網絡技術專業最常用的網絡模擬器GNS3,、Packet Tracer、ENSP和vmware workstation,再結合物理設備來分類實現網絡模型庫,如表2所示:
表1 學生就業崗位的網絡環境和能力要求
網絡類型 網絡特點 主要技術組成 能力要求
園區網 小型 結構和功能簡單,管理人員少,沒有分工 布線系統、基本路由技術、基本交換技術、基本無線技術、桌面管理和安全等 專業能力要求較低,但必須全面;能夠進行簡單的故障分析和排除;有較好的溝通能力
中型 結構比較簡單,功能較多,管理人員分工不明確 布線系統、路由技術、交換技術、無線技術、服務器(主機)系統、網絡安全技術、數據庫等應用和桌面管理等 專業能力要求較高,并且比較全面;能夠進行故障分析和排除;有較好的溝通能力
大型 結構復雜、功能繁多、網絡規模大、設備類型和數量多、對可靠性、安全性等有特殊要求,管理人員分工明確 布線系統、路由技術、交換技術、無線技術、冗余技術、服務器(主機)系統、網絡安全技術、數據庫等應用和桌面管理等 專業能力要求高,在網絡技術、安全技術、主機(操作系統)等至少一方面精通;能夠進行復雜故障分析和排除;有較好的溝通能力和團隊協作能力
廣域網 結構復雜、功能單一、網絡規模大、設備類型較少但數量多、對可靠性有特殊要求,管理人員分工明確 布線系統、路由技術、冗余技術、網絡安全技術等 專業能力要求高,在路由技術和VPN等方面特別精通;能夠進行復雜故障分析和排除;有較好的溝通能力和團隊協作能力
數據中心 結構復雜、功能繁多、網絡規模不大但涉及存儲網絡等特殊類型、設備類型和數量多、對可靠性、安全性等有特殊要求,管理人員分工明確 布線系統、路由技術、交換技術、冗余技術、服務器(主機)系統、安全技術、存儲技術、虛擬化技術和數據庫技術等 專業能力要求高,在網絡技術、安全技術、主機(操作系統)、虛擬化技術或者數據庫等至少一方面精通;能夠進行特別復雜故障分析和排除;有較好的溝通能力和團隊協作能力
表2 實現不同類型網絡模型的方式一覽表
實現工具 功能 特點 實現模型種類
GNS3 網絡模擬器,采用虛擬化方法運行真實IOS,模擬CISCO路由器、交換機、防火墻等 運行真實IOS;功能完備;可與主機、Vmware workstation的虛擬網絡相互連接;占用系統資源較多 使用CISCO產品的廣域網;路由高級功能、冗余;帶有防火墻/IDS;模擬連接vmware workstation的服務器等;但設備數量不能太多
Packet Tracer 模擬CISCO路由器、交換機、防火墻和簡單主機等 模擬CISCO網絡設備和主機;占用資源較少,可以模擬大規模網絡 含有路由、交換、主機基本功能的大型廣域網、園區網等全景模型,但不支持冗余等高級功能
ENSP 模擬華為路由器、交換機和簡單主機等 模擬華為網絡設備;占用資源較多;可以與主機、Vmware workstation或者GNS3互連;占用系統資源較多 使用華為產品的廣域網、局域網等;模擬連接vmware workstation的服務器等;但設備數量不能太多
Vmware workstation 桌面虛擬環境,可以獨立運行Windows、Linux等操作系統,實體機器上模擬完整的網絡環境 運行真實操作系統;功能完備;占用資源大;可與主機、GNS3、ENSP等虛擬網絡相互連接;占用系統資源較多 與GNS等連接使用,模擬數據中心主機系統,在操作系統上運行數據庫、Apache等多種應用軟件;多個vmware虛擬機可以構建HA等冗余模型
物理設備 主機、交換機、路由器、防火墻等設備 真實設備;功能完整;但成本較高且數量有限 局域網、廣域網等局部場景的模型;需要性能測試的模型;與主機、vmware虛擬機連接使用可以構建較復雜的數據中心模型
表2所示,盡管Packet Tracer模擬的路由、交換的基本功能,但其消耗主機CPU和內存資源較少,可以在PC上模擬更多的路由器和交換機,所以本文采用Packet Tracer實現只有簡單路由和交換功能的大型園區網或廣域網的全景模型。針對功能復雜、設備類型較多、設計主機和應用系統的網絡模型則需要主機、vmware workstation、網絡模擬器和物理設備等多個工具相連接來完成,如圖1所示:
三、模型庫的應用
在教學中采用行動導向的方法完成了某個項目,就意味著建立一種新的知識模型。本文中這個知識模型就是在應用網絡模型庫的教學中建立起來的專業能力和知識體系。
1.在行動導向教學中的應用
如前所述,故障分析與排除能力是學生完成就業崗位運行維護工作至關重要的能力,采用行動導向教學模式可以提高這種隱性能力的培養效率。仿真網絡模型的應用按照“咨詢、計劃、決策、實施、檢查和評估”的任務關鍵流程來實施[6],貫穿于崗位任務實施的完整行動思維過程。
在“資訊”環節中教師為學生描述工作場景,提供網絡案例,學生收集信息,認識案例所代表的網絡任務;在“計劃和決策”環節中學生分析網絡案例中的問題,制定解決方案;在“實施”環節中則要求學生直接在虛擬化的案例上進行操作;在“檢查和評估”環節中驗證、展示完成任務的網絡案例。“六步”教學過程中均要求學生以在崗“網絡工程師”或者“網絡管理員”角色完成任務,教師則扮演“網絡用戶”或“企業管理者”角色進行配合、輔助、指導或評價,強化學生對就業崗位認知和職業能力培養。
2.調整完善
教學實踐是檢驗仿真網絡模型在職業教育教學中是否實用性的主要途徑。所以在面向計算機網絡相關崗位開發的課程體系中應積極使用仿真網絡模型,模型在設計實現等方面存在的問題能夠被及時發現并解決。這些問題主要集中在網絡模型性能表現和故障難度等方面,分發涉及多種技術和工具實現的網絡模型會耗費的時間較長,需要優化分發策略,使學生分組提前做好準備,課前在校園網下載相應案例。在教學中高效應用仿真模型還要考慮學生的認知規律,要注意技術應用、故障設置的繁簡和難易梯度。比如,有些網絡案例設置的復雜的故障,學生理解分析存在一定難度,就應該拆分模型中復雜的故障使之難度降低。經過調整完善及補充開發新網絡模型及時更新可以保網絡模型與就業崗位任務的同步,促進虛擬化仿真網絡模型的發展。
四、結論與展望
采用虛擬化技術與物理設備相結合的方式開發網絡模型庫以崗位調研為基礎,為學生建立全景式的仿真網絡環境,結合行動導向教學改變先入為主的傳統教學模式,突出方法和社會能力的培養,強化了教學活動的針對性和職業性,在計算機網絡專業人才培養中發揮資源支撐作用。然而,計算機網絡模型庫只是整個信息化教學資源庫的一個重要組成部分,應該以之為基礎在企業產品信息、項目標準、多媒體素材和績效制度等方面進一步完善豐富教學資源庫。
參考文獻:
[1]潘洪濤,王智明,左奕.工作過程系統化計算機網絡故障排除課程開發實踐[J].中國職業技術教育,2011,(2):55-58.
[2]姜大源.職業教育學研究新論[M].北京:教育科學出版社,
2007:221-220.
[3]教育部.教育部關于全面提高高等職業教育教學質量的若干意見[EB/OL]..
2013.3.
[4]李利平.高職教育專業教學資源庫建設的改革思考[J].中國高教研究,2011,(6):90-91.
第8篇:網絡安全等保解決方案范文
【關鍵詞】移動公共服務平臺 視頻云服務層 媒體混合云 智能家庭網關
doi:10.3969/j.issn.1006-1010.2016.12.019 中圖分類號:TP393 文獻標志碼:A 文章編號:1006-1010(2016)12-0086-6
引用格式:鐘文清,陳凱渝,姜寧. 基于移動公共服務平臺的視頻云服務層設計[J]. 移動通信, 2016,40(12): 86-91.
1 引言
近年來,視頻業務是互聯網、移動互聯網最具增值能力的公共服務。考慮到媒體融合發展的總體規劃,基于移動公共服務平臺的視頻云總體規劃和設計方案,依托中國移動“大云2.0”云計算平臺的已有資源,借力外部合作方的私有云/公用云資源,充分考慮到視頻業務大數據的特點,采用面向SaaS(Software as a Service,軟件即服務)的視頻云平臺架構,以智能家庭網關為云端通信樞紐[1],為未來的中國移動用戶家庭接入便捷、實用、安全的視頻應用類公共服務。
視頻云的基礎業務模式為:使用移動用戶的各種家庭終端,如家庭電腦、智能電視、手機、平板、攝像頭等其他智能可聯網設備,連接到符合中國移動通信集團公司2014年的企業標準――《中國移動家庭網關設備互通技術規范接入標準(版本號:1.0.0)》的智能家庭網關,訪問視頻云接入層接口,最終與視頻云服務層后臺系統實現互聯互通,從而開展流媒體(視頻直播、點播及交互業務)、全天候安防、家庭物聯網、健康醫療云服務等多種基礎業務[2]。
視頻云服務層的設計方案采用“媒體混合云”彈性架構,實現了基于對象的云存儲網絡、基于海量數據檢索的云媒資系統、基于最新HEVC(High Efficiency Video Coding,高效率視頻編碼)編碼標準的云轉碼平臺、基于數字證書和數字水印的云安全技術、基于視頻檢測和大數據挖掘的云識別引擎,并通過定制的第三方云媒體CDN(Content Delivery Network,內容分發網絡)對外提供實時高效的媒體數據公共服務。
2 業務架構設計
基于移動公共服務平臺的視頻云主要由家庭終端、智能家庭網關、視頻云接入層以及視頻云服務層四大部分組成。基于視頻云的移動公共服務平臺業務架構如圖1所示:
2.1 家庭終端
家庭終端是移動用戶連接智能家庭網關的交互工具,包括但不限于家庭電腦、電視、手機、平板、攝像頭等多種可聯網的智能終端設備。該類終端支持家庭場景中各類音視頻數據的采集、顯示以及雙向人機交互。不同的家庭終端之間如滿足指定的互聯互通協議支持,即可以實現家庭局域網的多屏融合業務應用。
2.2 智能家庭網關
智能家庭網關是位于移動用戶家庭的平臺配套設備,是家庭用戶日常使用的各類家庭終端與視頻云接入層之間的連接樞紐,也是家庭(個人)局域網設備連入移動互聯網的接口控制點。該網關設備采用的精簡性設計體現在僅實現了網絡連接、視音頻解碼、雙向通信交互以及身份認證等基本功能,而其他功能則全部交由上層計算能力、通信性能更為強大的優勢資源,即視頻云接入層、視頻云服務層去完成。
2.3 視頻云接入層
視頻云接入層為移動公共服務平臺視頻云服務提供了云端統一門戶。家庭用戶使用不同的家庭終端,通過各種類型網絡訪問云端統一門戶,可以控制智能家庭網關與視頻云接入層的雙總線進行業務交互。
視頻云接入層雙總線包括視頻云服務總線、視頻云媒體總線,它們分別負責控制通訊數據、視音頻媒體數據這2種不同類型業務數據的處理。視頻云服務總線會根據來自云端統一門戶的不同類型業務的訪問請求,自動轉發給相應業務的云平臺服務器,啟動該服務的接入應答處理。視頻云媒體總線則根據云端統一門戶請求的媒體具體內容,完成視音頻等媒體數據的文件上傳、下載服務或是文件流直播、點播分發服務。
2.4 視頻云服務層
視頻云服務層目前設計提供4種基于視頻云的移動公共服務基礎業務:流媒體云服務、全天候安防云服務、家庭物聯網云服務及醫療健康云服務。其中,流媒體云服務是視頻云平臺最核心的增值業務,其業務需求決定了視頻云服務層技術架構的設計思路。
視頻云服務層采用了基于“媒體混合云”彈性架構的設計方案[3],主體部分是依托現有移動云計算平臺的基礎設施進行升級改造而成,同時與第三方視頻內容提供商云平臺實現媒體內容對接,與第三方云媒體CDN網絡實現源站節點對接。中國移動內部的私有云與第三方視頻內容提供商、云媒體CDN提供商的私有云/公有云之間,按各方的服務約定實現云平臺的存儲、網絡、媒體內容及計算機硬件等各種資源的無縫對接,即該平臺混合云架構的具體技術實現。彈性架構設計中的“彈性”特點主要體現在云平臺之間資源的彈性調度。視頻云服務層基于自定義的彈性調度算法和策略實現了不同資源、不同場景下的調度框架,并依據此框架完成存儲資源池的動態擴容及跨池調度、網絡服務池動態擴縮容及跨IDC(Internet Data Center,互聯網數據中心)調度、媒體文件智能遷移調度、高可用調度等功能。
通過視頻云服務的云端統一門戶的接入,視頻云服務層構建了直接面向移動用戶家庭的多種云端視頻服務基礎業務,如視頻點播、視頻直播、互動直播、視頻錄制回放、遠程視頻通話、遠程視頻會議、遠程教育課堂、安防視頻監控、安防智能報警、兒童老人遠程看護、人體跌倒狀態監測報警、智能家居監測控制、家庭成員基本健康狀況監測、日常運動飲食情況監測、醫療資源遠程預約、遠程醫療檢查及診斷等。
3 技術架構設計
該平臺視頻云服務層的具體組成部分在本設計方案里主要包括五大部分:云存儲、應用業務層、云媒體CDN、云安全、服務接口。視頻云服務層的技術架構設計如圖2所示。
3.1 云存儲
云存儲即基于對象的分布式數據云存儲網絡,其主要功能組成包括元數據管理、存儲設備管理兩大部分。元數據管理功能通過元數據服務器集群實現,該集群提供名字服務和元數據服務,包括名字的組織、映射和查找,客戶端可以用名字來訪問文件或者目錄,而無需關心文件的實際存儲位置和給其提供服務的元數據服務器的物理位置。存儲設備管理功能通過基于對象的存儲設備分布式集群實現,提供數據的讀寫操作,能夠自動管理其上的數據分布,支持數據的預取,優化磁盤的性能。
基于對象的云存儲網絡內部原理圖如圖3所示。
基于對象的云存儲網絡方案實現了數據通路(數據的讀或寫)和控制通路(元數據)分離管理,可以有效地進行負載均衡[4],提高整個系統的可用性。通過存儲分配服務管理存儲設備,能夠在線擴充存儲單元,完成有效地平滑線性擴展,并支持混合云平臺的存儲資源池彈性擴容以及跨池調度等特性。對于存儲組件的故障,不僅僅依賴于硬件本身的容錯,還要在軟件層做到自動容錯,多文件副本管理以保證在磁盤損壞、節點失效、網絡中斷等情況下數據的高可用性。
元數據服務器集群采用動態子樹劃分方法來管理文件系統的元數據[5],文件系統的目錄被劃分為若干子樹,由不同的元數據服務器來管理,通過周期性比較元數據服務器的負載情況進行目錄子樹的劃分和遷移,保證集群中負載的均勻分布和均衡。元數據請求多數由元數據內存緩存來滿足,當一個節點失敗時,分布式的元數據操作日志可以使另一個備用節點快速恢復失敗節點的內存狀態。
基于對象的存儲設備分布式集群實現了數據的自動分布和管理,將文件分割成若干個對象來存儲,可以保證數據的均勻分布。為了解決小文件對象的存儲低效問題,采用EBOFS(Extent and B-tree base Ojbect File System,擴展的基于B+樹對象文件系統)為任意大小的對象在磁盤上分配連續的存儲空間,使對象存儲設備能夠具有良好的性能。
3.2 應用業務層
應用業務層的主要組成部分包括云媒資、云轉碼、云識別、流媒體播出以及計費管理模塊,以此實現對視頻文件存儲管理、視頻實時轉碼、視頻文件轉碼、視頻內容識別、監測模型迭代、流媒體直播、流媒體點播、計費管理等前端和后臺業務的應用、管理及控制。
基于移動公共服務平臺的視頻云這一新業務所構建的完整生態鏈中,該層是最具投資和運營價值的一部分,實現了服務平臺的計費管理,獲取、存儲并深度挖掘了海量的用戶大數據,開設了智能家居人體跌倒檢測、電子尋物、日常健康監測管理、遠程醫療問診等新興的特色增值服務。
(1)云媒資
通過云計算平臺配置的媒資管理服務器虛擬集群實現,用于對所有的云存儲網絡中媒體內容(包括視頻、音頻、圖片、字幕、圖文模板等)進行導入、編目、檢索、存檔以及修改等工作。媒資管理系統使得其中的每個媒體內容都具備唯一素材ID以及其他相關元數據。該媒體內容在整個移動公共服務視頻云平臺中,不管是存儲在第三方媒體內容提供商私有云、移動內部私有云還是第三方媒體CDN公有云/私有云,也不管其數據文件遷移調度至任一服務器集群任一節點,均是依靠這個唯一的素材ID得以識別,以保證此視頻云平臺整體互操作流程的正常有序運行。
(2)云轉碼
通過云計算平臺配置的轉碼服務器虛擬集群實現分布式實時、離線轉碼[6]。云轉碼的基本功能如下:
一是對來自外部的各家視頻內容提供商,或來自云端各智能家庭網關的用戶帳號上傳的不同編碼、封裝格式、分辨率、幀率或幅型比的視頻文件或實時視頻流,根據策略管理模塊的配置,按具體業務需求進行統一切片、編碼或轉碼處理及輸出。
二是對來自云端各智能家庭網關的當前網絡傳輸速率進行自動檢測識別,并采用自適應碼率的智能控制策略,依靠云轉碼系統的實時轉碼功能,實現了系統自動選擇與云端網絡環境匹配的合適碼率輸出。同時與云媒體CDN邊緣節點協同工作,充分利用其流媒體邊緣分發能力,實現了邊轉碼邊傳輸。
(3)云識別
通過云計算平臺配置的視頻檢測服務器集群、檢測模型迭代服務器集群等分布式云計算資源實現。對不同智能家庭網關的用戶帳號上傳的各種視頻文件或實時視頻流,結合相應家庭中不同位置、不同類型傳感器的回傳數據,根據相應帳號和業務對應的預置模型(如已配置個人相關數據信息的安防監控模型、人體跌倒檢測模型、健康狀況模型等),自動進行視頻內容及其他數據的特征提取、比對和識別,并對符合個人預定義閾值的識別結果進行智能報警。
云識別的智能化體現在其對家庭個性化大數據的深度挖掘處理以及個人模型的自學習功能。云平臺會將有效的個性化最新數據與個人歷史數據、同類別的公共歷史大數據進行數據融合和挖掘,同時利用最新最全的大數據訓練集合對相應模型不斷進行訓練,自動完成各類檢測模型的自學習和快速迭代更新,使得模型的識別精確度、準確率和速度得以逐步提升。
(4)流媒體播出
通過云計算平臺配置的流媒體服務器集群配置,實現對云轉碼系統生成的視音頻文件或實時視音頻流進行解碼和輸出,支持使用媒體混合云的彈性擴縮網絡帶寬資源的調度框架。對于視頻云服務平臺提供的不同業務,流媒體播出核心服務器集群也采用了不同的設計架構和工作模式。
對于各類視頻點播業務、OTT(Over The Top,通過互聯網向用戶提供各種應用服務)直播、交互直播業務,流媒體核心服務器集群設計目標為高并發性,部署專用的實時操作系統,單臺物理服務器支持9600個3.25 Mbps視頻流的高并發量輸出,可通過增加流媒體服務器集群中主機的物理數量,實現該播出集群的視頻流并發支持能力的線性擴展。
對于IPTV視頻直播類業務,流媒體核心服務器集群設計目標是采用低時延、高帶寬、高可用性的架構。在外來直播節目源的接入方面,可以支持多種不同傳輸協議、編碼格式的源信號,其播出模塊輸出也全面支持RTMP(Real Time Messaging Protocol,實時消息傳輸協議)、HLS(HTTP Live Streaming,Apple的動態碼率自適應技術)、HTTP-FLV(Hyper Text Transfer Protocol-Flash Video,超文本傳輸協議-流媒體)、RTP(Real-time Transport Protocol,實時傳輸協議)等各類主流的流媒體直播協議,支持不同編碼格式、分辨率和碼率,確保快速、靈活、穩定地實現視頻流的預處理、轉碼和輸出。
(5)計費管理
通過云計算平臺配置的計費管理服務器實現,支持對云端用戶消費的各項不同業務進行實時分項計費,根據不同業務、不同時段、不同帳戶級別、關聯業務的計費策略,在后臺生成相應的計費統計結果,并負責這些計費結果的存儲、檢索和維護等管理工作。同時,移動專用智能家庭網關的預置用戶帳號要求與移動用戶的手機SIM卡帳號進行一對一捆綁,從而支持對智能家庭網關用戶的帳號信息、計費信息、業務權限、業務功能、私有空間等進行管理。
3.3 云媒體CDN
CDN作為構建于互聯網、移動互聯網之上的一層智能虛擬網絡,其核心技術為負載均衡、內容分發加速,以此實現跨運營商的互聯網云端應用的內容訪問加速。
與傳統CDN不同,云媒體CDN為獲取更高的內容播出分發效率和可用性,引入了云計算、SDN(Software Defined Network,軟件定義網絡)技術,針對我國網絡流媒體業務的視頻數據量、節目內容、業務類型、地域性等特點,通過使用CDN專用路由器、新一代智能分發策略算法[7-8],實現了特有的“異地多中心多源站”分布式架構。該架構設計的指導思想是CDN節點“下沉”。使用了該架構的CDN網絡,其全國網絡中任一位置的節點服務器都同時可以在一定條件下作為源站使用,單獨進行其自有視音頻內容的播出和。
3.4 云安全
由于移動公共服務平臺的視頻云服務層采用了“混合云”架構設計,除了原云平臺的信息安全措施外,還需重新制定信息安全對策。業務上涉及不同第三方內容平臺的資源對接,其中最關鍵的就是媒體內容版權保護、用戶帳戶信息等問題。
本部分云安全設計方案是基于視頻云服務層的業務需求,但實質是面向平臺進行全局規劃部署的。從邊界安全、數據安全、傳輸安全、主機安全、應用安全方面入手,采用網絡安全區域劃分、高防一體化安全網關、數字版權保護系統、傳輸流加密加擾、雙因素身份認證、敏感信息標識保護、實時風險監控報警、日志集中審計等技術手段[9-10],加上信息安全等保障體系的各類管理手段以及合作雙方簽署相關法律文件,嘗試為混合云架構的平臺提出合理、有效、可控的信息安全解決方案。
3.5 服務接口
視頻云服務層在業務上需要與第三方內容平臺、第三方CDN存在互聯互通,但其接口實現是由視頻云接入層負責完成的。作為整個視頻云核心組成的視頻云服務層,其服務接口主要是與視頻云接入層完成對接,負責視頻云接入層與視頻云服務層不同功能組件之間的數據或控制的接口實現,同時負責混合云平臺中跨平臺資源的彈性調度算法和策略的具體實現。
4 結束語
本文設計思路是立足于中國移動已有成熟的公共服務云平臺,考慮將廣電系統豐富的視頻資源在中國移動現時力推的智能家庭網關落地,從技術可行性及業務具體實現模式兩方面仔細考量提出了視頻云服務層設計方案。該方案便于中國移動打造新一代獨具特色的上下游高清視頻業務全產業鏈,有利于中國移動在移動運營業務“四網協同”發展過程中搶占相關產業鏈主導地位。
參考文獻:
[1] 董裕藝,黎福海,何凱青. 智能家居控制系統的設計研究[J]. 移動通信, 2012(11): 39-43.
[2] 肖陽,寧艷芝. 視頻云計算技術打造云時代互動電視增值業務運營平臺[J]. 廣播與電視技術, 2013,40(3): 117-120.
[3] 偉,傅建明,李拴保,等. 彈性移動云計算的研究進展與安全性分析[J]. 計算機研究與發展, 2015,52(6): 1362-1377.
[4] 熊安萍,劉進進,鄒洋. 基于對象存儲的負載均衡存儲策略[J]. 計算機工程與設計, 2012,33(7): 2678-2682.
[5] 方圓,杜祝平,周功業. 基于對象存儲的新型元數據管理策略[J]. 計算機工程, 2012,38(3): 25-27.
[6] 李蕾. 基于分布式視頻轉碼技術的視頻云平臺[J]. 西部廣播電視, 2013(12): 125.
[7] 盧笛,馬建峰,王一川,等. 云計算下保障公平性的多資源分配算法[J]. 西安電子科技大學學報: 自然科學版, 2014(3): 162-168.
[8] 周景才,張滬寅,查文亮,等. 云計算環境下基于用戶行為特征的資源分配策略[J]. 計算機研究與發展, 2014,51(5): 1108-1119.
第9篇:網絡安全等保解決方案范文
關鍵詞:本地網;通航;電信企業;戰略轉型
隨著市場競爭的激烈化和客戶需求的個性化,越來越多的企業開始關注對產品業務和服務模式進行創新和升級,因此戰略轉型被越來越多的應用于企業的實踐運作中。戰略轉型指企業由傳統管理運營模式轉變為符合未來發展要求的現代公司制模式,簡單理解就是從A戰略向B戰略的轉變,其中的A或者B可以是業務、邏輯、模式、能力等。在企業的實踐運作過程中,很多企業都曾成功的進行過戰略轉型,如海爾曾從家電制造商向營銷貿易型的能力轉型;吉利汽車從低端產品向中端汽車產品的轉變;基于PC業務利潤的下降,IBM于2004年宣布以12.5億美元的現金及股票向聯想出售其個人電腦業務,將集中精力做好IT咨詢、芯片設計和信息服務產業,實現由PC制造商到IT信息服務提供商的轉變,并邁出了非常堅實和決定性的一步。當前,中國電信企業正在加速企業轉型和戰略調整之中,如何從“傳統基礎網絡運營商”向“現代綜合信息服務提供商”轉型是影響和困擾中國電信企業發展的瓶頸之一。基于此,本文研究了基于“通航”業務為代表的電信企業戰略轉型及其有關策略和方法。
1 基于本地網推進“通航”的電信企業戰略轉型現實背景
1.1 電信企業戰略轉型的國際背景
從國際市場上看,2004年12月以來,也就是中國WTO入市第3年,國外電信可以介入國內電信市場,參與競爭。本土電信企業受到相關政策上的保護越來越弱,2005年12月后國外電信企業可在電信增值業務領域可占到49%的股份,2008年后在基礎電信領域可占有49%的股份。國外電信可通過資本運營迅速介入中國電信市場,而我們國內電信企業的網絡、品牌、客戶、資金等優勢將逐步弱化。同時,國外電信企業跟我們國內電信企業相比,有很多不可比擬的優勢,如成熟的市場運營經驗,強大的資本支撐,高素質的人力資源。國外電信企業必將首先介入電信增值業務市場,搶占“通航”類增值業務發展制高點,從而獲得最具價值的高端用戶群及高額利潤。如果我們不能迅速占領高端業務市場,將會迅速被圈入低成本競爭中。因此,大力發展“通航”類轉型業務已不是高瞻遠矚、未雨綢繆,而是箭在弦上,刻不容緩了。
1.2 電信企業戰略轉型的國內背景
從國內市場來看,隨著電信市場競爭日趨白熱化,同質分流、異質替代,用戶增長仍明顯放緩,用戶ARPU(Average Revenue Per User,即每用戶平均收入)值一降再降,利潤空間正逐步被侵蝕。更為嚴重的是,通航業務市場沒有蓬勃發展,而傳統業務增長陷入瓶頸。同時,與競爭對手相比,2005、2006年中國電信的經營業績一般,用戶規模及市場占有率進一步降低,業務收入增長和利潤增長都不是很高,月租風險、長話IP風險、區間通話風險、帶寬型業務高ARPU值風險等形勢更加嚴峻,轉型的迫切性勿庸置疑。中國電信要實現收入的穩定增長,唯有精耕細作現有資源,積極培育以“商務領航”和“號碼百事通”為代表的種子業務,切實解除各個層面的制約因素。
2 基于本地網推進“通航”的電信企業戰略轉型條件
2.1 戰略和策略調整
戰略和策略調整是實施本地網推進“通航”的電信戰略轉移的根本。“現代綜合信息服務提供商”應當是3個方面的統一:提供綜合的信息內容、采用綜合的服務手段和面向綜合的服務對象。中國電信企業要順利實施轉型,就必須從戰略層和策略層高度把握通信信息服務發展方向,按照信息業務經營的客觀規律,向客戶提供完整、綜合、高附加值的信息服務;加大業務創新力度,不斷豐富內容、應用及新產品開發,培育新的業務亮點;積極拓展產業鏈合作與行業應用,引導轉型業務價值鏈整合;全面推進各項增值業務與基礎業務的捆綁營銷,提高增值業務的滲透率與基礎業務的粘性;加強實體渠道、直銷渠道、電子渠道和社會渠道等4大渠道營銷增值業務的力度,縮短產品與市場的距離。
2.2 組織和人力轉型
組織和人力轉型是實施本地網推進“通航”的電信企業戰略轉移的保障。首先,在增值業務部基礎上,為加強通航類轉型業務與渠道、與后端的融合,在原有增值業務部的基礎上,構建轉型業務專業部門――成立大客戶支撐中心及VIP網絡維護中心。尤其是在轉型業務實施初期,需要集中高素質人力資源、專業的人做專業的事;通過實施項目負責制,重點項目重點攻關,集中優勢兵力,重點突破。同時,轉型業務的實質是避免“電話純語音、寬帶裸接入”,拓展轉型業務,就必須依托固定電話網、寬帶接入網(互聯網及政企專網)、無線網(小靈通、農話450M及3G),并將電信接入網延伸至用戶端網絡,并拓展至用戶信息終端(IT信息系統、電腦、電話等),以接入帶應用,以應用促接人。因此,大客戶支撐中心及VIP網絡維護中心前后聯動,除了實施轉型業務營銷之外,還必須拓展用戶端網絡系統集成及運維支撐服務能力,深度挖掘客戶綜合信息深層次需求,深度提升客戶服務能力。
對內強化部門之間的交流與合作。細分化、多樣化、個性化的客戶需求對中國電信內部運營提出了更高的要求,必須通過組建跨部門的虛擬項目組或虛擬團隊,加強跨部門合作的績效考核,強調內部客戶導向等方式,強化部門間的交流與合作。對于參與價值創造的主要部門,如市場、建設、網保、客響、網維、物配等一線部門,需要打破部門界限,進行流程重組和優化。可以在市場細分的基礎上,按照品牌和產品線,特別是新的轉型業務的產品線,重新梳理售前、售中和售后的流程,在此基礎上進行部門的調整和設置。同時通過拓展轉型業務,在每一個工作流程中實施精確管理,進一步提高工作效率,降低運營成本。
對外建立戰略聯盟,提升綜合信息服務產業鏈的整體價值。企業在整個行業中處于一個動態開放的鏈條上,企業必須在整個鏈條上處于有利地位才能獲得持續的競爭力。作為運營商,在通信產業鏈中由于具有強大的網絡架構和龐大的客戶資源,處于天然的壟斷地位。隨著客戶需求的多樣化和個性化,通信產業鏈的構成也日趨復雜。在向現代綜合信息服務提供商轉型的過程中,中國電信將面臨很多不確定的風險,通過戰略聯盟一方面可以實現資源、技術的高度共享,縮短產品開發周期,降低產品提供成本;另一方面可以保持企業的核心競爭力,保持競爭優勢。通過商務領航、號碼百事通、互連星空、大客戶ICT綜合信息服務等平臺,整合信
息服務商、系統集成商、設備制造商優質資源,共創價值。
2.3 網絡和技術轉型
網絡和技術轉型是實施本地網推進“通航”的電信戰略轉移的有效手段,這需要提升網絡對于業務發展的快速支撐能力。適應業務及服務從窄帶向寬帶的轉變,從單一網絡向混合型網絡轉變,從城域接入網向客戶端網絡、客戶內部網拓展,增強網絡對增值業務的支撐能力,滿足為客戶提供捆綁和融合業務的需要。順應電信技術的變革趨勢,構建下一代網絡體系架構,推進固定移動網絡的融合,推進網絡接人與信息服務的融合,初步實現網絡的轉型。響應市場競爭和企業管理的需要,優化網絡結構,減少網絡層次,提高運營效率,降低維護成本。
在本地網層面,很多核心設備、核心技術基本上都由設備商、集成商、服務商或者省級公司代維代管,因此,傳統電信的技術更多的是通信運維層面的技術,而不是綜合信息服務開發、應用層面的技術,很難適應用戶端網絡多樣性、個性化的需求。因此,加速技術轉型一方面加大內部人員培訓力度,特別是綜合信息服務如微軟、數據結構、網絡安全等IT綜合信息技術方面的培訓及認證;另一方面加大與各類信息服務商、系統集成商、設備供應商合作的深度與廣度,通過整合價值鏈提升技術轉型。
3 基于本地網推進“通航”類業務的戰略轉型策略
電信企業轉型從戰略的角度看是“共享與世界同步的信息文明”,從戰術角度來看,就是以客戶為導向,通過優化資源配置,實施精確管理,全面實現企業轉型。具體工作主要包括:組織及人力轉型、網絡及技術轉型、業務及服務轉型。
隨著市場競爭的加劇,同質分流、異質替代日趨嚴峻,大力拓展“商務領航、號碼百事通”等綜合信息服務的業務開發、推廣、營銷是保持企業核心競爭力的需要,是確保企業基業常青的需要。
3.1 融合產品渠道,合力推進“通航”類轉型業務
“通航”類轉型業務應將產品部門與渠道部門充分融合,形成合力,共同推進。成立以市場擴展部牽頭,以增值業務中心為主要負責人,組織大客、商客、公客、公話營銷策劃、方案設計的相關人員,成立“增值業務虛擬團隊”,大力發展增值業務。加強4大渠道營銷“通航”類轉型業務的力度,縮短產品與市場的距離。
為有效融合產品渠道,需要從以下幾個方面著手:
①做小做廣,走“小業務,大規模”的發展之路,注重業務的快速滲透。電信業務具有典型的范圍經濟性,轉型業務與基礎業務有著大量的共享成本,而額外添加的專門成本是很少的。發展轉型業務,就要充分發掘多年來電信企業積累下來的網絡資源、人才資源、客戶資源,細分市場,貼近應用,發揮網絡的邊際效益,提高整體顧客盈利能力,提高或穩定ARPU值。同時,因為充分競爭的存在,不要指望從某一或少數用戶身上獲取高額利潤,必須將“餅”做大,擴大用戶群,形成消費趨勢,產生滾雪球效應。為了推進轉型業務的發展,我們應該同時開拓針對普通用戶的水平市場和針對大客戶的垂直市場,特別要適當選擇大客戶和集團客戶,盡快培育穩定的轉型業務用戶群體,形成真正的持續性消費潮流。重點在傳統網絡上拓展號碼百事通、集團彩鈴、VPN、短信群發等高滲透率的業務。
②做精做優,采取差異化營銷策略,注重品牌經營。轉型業務是信息技術進步和創新的結果,新陳代謝的速度很快,業務針對性極強,客戶對象是經過不斷細分的用戶,因此在發展增值業務時必須進行客戶細分、業務細化、貼近用戶需求,并注重以品牌經營為依托,提供個性化的服務內容和服務組合,提供差異化的業務品種和服務標準,進一步豐富電信品牌內涵、提升電信品牌含金量。對重點客戶群、重點業務進行重點營銷,將有限的資源用于盈利能力強的用戶與業務量大的業務。重點拓展全球眼視頻監控、新視通視頻會議等以應用促接入的業務、4008/會議通呼叫中心等話務量匯聚型業務。
③做大做強,提升主導地位,加強電信對產業價值鏈的控制能力。在基于產業價值鏈的整個合作體系中,中國電信必須有效管理產業價值鏈各主體的競合關系,牢牢把握住平臺管理、品牌宣傳和營銷工作的主導權。充分利用電信的網絡和客戶資源,有效捆綁sP和大客戶,使信息價值化,提供更多企業級整體解決方案,為顧客提供更為便捷的服務。通過電子政務、3111平安城市、社區/教育信息化、建設社會主義新農村等重點項目,搶占市場、業務制高點。
3.2 加強行業合作,構建“通航”類轉型業務價值鏈
“通航”類轉型業務開發是一個產業價值鏈建設的系統工程,沒有一家實體能夠占據產業鏈的各個環節。關鍵是在于分析自己的優勢和劣勢,創造多贏模式。語音信息業務的成功不是建立在與某一家聲訊分臺合作的基礎上,同樣,移動、聯通短信項目的成功,也不是建立在與某一家短信sP合作的基礎上,他們的成功是建立在從網上到網下,從傳統媒體到互聯網新興媒體,從專業IT類sP公司到傳統行業信息源公司,從大的集團公司到個人團隊進行廣泛合作的基礎之上。而且,隨著市場經濟的飛速發展,社會化分工越來越細,任何一家公司都不可能將觸角涉及到所有用戶的所有需求,更不要說將每一個分項業務運作得精細化,卓越化。
“通航”類轉型業務的健康可持續發展,需要一個良好的生態環境,需要產業鏈上企業的共同努力。因此,加大“通航”類轉型業務代辦、、SP合營的力度,充分挖掘自有渠道,合理利用社會渠道,建立新型跨行業合作不但是必要的,而且是必須的。
3.3 細分目標客戶群,實施針對性營銷
通過電信轉型的逐步深化,將經營的重點由以產品導向轉變成以客戶為導向。根據電信市場發展趨勢,中國電信將形成以政企、家庭、個人為特征的新的戰略分群,并針對以上3大類聚類用戶,實施“政府/企業信息化”、“社區信息化”、“個人信息化”。
通航類業務重點突破方向為:
①以黨政軍為主的實施電子政務的政府部門:因為此類客戶一般沒有專業的IT部門,IT人力資源較為薄弱。。
②中小型商業客戶:因為此類客戶信息化認知程度較高、需求旺盛,一般沒有自己的IT人員,而且絕大多數信息項目集成商沒有把他們作為營銷重點,因此競爭壓力較小。
③聚類個人用戶:主要包括對信息流要求較高以市場群為基礎的商務人士,對新業務接受能力較快的學生群體,以網吧為基礎的互聯網數字娛樂客戶群。
在此基礎上,從網絡及技術層面,為客戶提供綜合信息服務。重點發展方向為:
①基于寬帶接入網的轉型業務:如VPN、內網建設、網絡安全及代維服務、寬帶視頻監控及會議業務、機房建設及IDC災備服務等。
②基于固定電話網的轉型業務:如集團彩鈴、會議通、固網支付等。
③基于無線網的轉型業務:如短信通、WAP業務、3G應用平臺等。
④融合互聯網、無線網、固話網的信息服務轉
型業務:如網站建設、辦公自動化、客戶資源管理等電子政務/電子商務行業信息化應用系統集成等。
在本地網層面,逐步優化資源配置,在網絡規劃、網絡建設時逐步加大以上4大類業務的投資比重;同時妥善處理好傳統業務與“通航”業務的關系。傳統業務和“通航”業務不是斷然割裂、森嚴壁壘的兩大板塊,而是互有你我的聯系組合。企業轉型后出現的根本性變革將是建立于今天雄厚市場基礎之上的。企業轉型不是對傳統業務的放棄,而是對核心業務更高層次的揚棄和升華。綜合信息提供商的角色,需要擔負起個性化服務和規模化定制的基本職能,滿足消費者分散化的消費需求。這就需要依賴原有的優勢,用技術和需求驅動,向產品和市場兩個方向展開。電信運營企業轉型最為關鍵的是如何在傳統業務和網絡技術之間找到一個有機的鏈接通道和平臺,使得網絡技術依托原有的業務,生長出適應發展趨勢的業務。尤其是處理好增量與存量、規模經營與利潤經營的關系。在量收方面,立足于量,注重于收,量收兼顧,以收為主;在增存量方面,保有存量,拓展增量,精確營銷,注重成效;在傳統業務和“通航”業務方面,突破傳統思維,盤活品牌業務,加快創新步伐,力推“通航”類轉型業務。
3.4 創新激勵機制。促使通航類業務快速發展
電信轉型業務普遍存在支撐不力、流程不暢、人力不足、政策不活等問題,要想更快更好的實施企業信息化業務轉型,需要給與轉型業務專業團隊適當優惠政策,鼓勵轉型快速發展。傳統的電信主要業務(主線、寬帶、小靈通)主要是規模型經營,更多的依托網絡(電話網、數據網、無線網)運營。各業務競爭對手主要集中在3~5個運營商之間,單項業務需要依托網絡建設運維 成本、終端設備成本的支撐,因此業務的營銷、服務的支撐不是單靠某個人、某個部門就能夠單獨完成。基于以上原因電信傳統的分配體制主要是崗薪記件分配制。而信息化項目更多的是為政府企業、家庭個人提供差異化、個性化的產品及服務,業務類型主要包括系統集成類業務(ASP)、數據服務類業務(IDC/ITP)、信息服務類業務(cP/SP),這些業務對網絡、成本的依賴性較小,對高端人力資源要求極高,面對的競爭對手更多――從本地到國內甚至國外公司、從其他電信運營商到中小公司甚至大的上市、外資IT公司,市場競爭更加充分激烈。因此在信息化項目運營上打破傳統崗薪記件分配制,實行項目承包責任制是迅速實現轉型的捷徑。商務領航、號碼百事通、ICT綜合信息服務按照項目利潤比例給予項目責任團隊分成。同時,建立新型的人才培養通道,為企業發展注入新鮮血液和活力。服從和服務于企業發展戰略,支撐業務轉型,實現人力資源配置與業務發展相匹配。建立員工能上能下、能進能出體系,增強員工的專業能力和服務客戶能力,在為客戶創造價值的同時提升企業價值,實現員工與企業的共同成長。
