前言:中文期刊网精心挑选了监控网络维保方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
监控网络维保方案范文1
随之而来的,FTTx宽带接入系统的服务保障问题也日益凸显出来,其中海量光纤的监控与故障定位就成为一个难点。由于OTDR(光时域反射仪)技术拥有光纤故障点精确定位能力,因此得到了运营商的青睐。
传统OTDR的PON解决方案
传统的OTDR设备厂商为了解决分支故障定位问题,提出了使用TR(终端反射器)的方案。
终端反射器的特点是将OTDR测试信号几乎完全反射回去,对OTDR仪表来说,安装有TR的地方就会产生一个非常强的反射。对各种业务波长几乎透明的,衰减很小(1dB以内),因此不会影响业务。
这样,在出现故障后,比如OTDR的例行测试中,如果发现某个分支对应的反射没有了,就说明这个分支出现了问题,从而可以通知维护工程师去维修这个分支。
如果这个分支的断点是强反射,比如是某个接头脱落或松动,那么这个多出来的强反射点就是这个分支的断点位置。
传统OTDR方案需要部署终端反射器,有以下几个问题:
1.费用:每个分支都需要部署一个反射器,部署量非常大,部署成本很高。
2.部署困难:要求每个分支的TR安装位置必须有差异,距离差至少5m,对安装施工提出了较高的要求。需要记录下每个分支上TR的安装位置,以便在FMS(光纤监控系统)中将TR正确地与每个分支一一对应。
3.插入损耗:TR本身对业务波长有一定的损耗(
WT-287标准改良OTDR应用
为了更好地在PON网络应用OTDR相关技术, BBF在2011年发起了《WT-287 PON Optical-Layer Management》标准的制定。在这个标准草案中,定义了三种PON网络光层监控管理架构。这三种架构是逐步简化,演进的发展趋势是PON口内置OTDR功能方案。
WT-287规范定义的光网络测试与诊断子系统OTDS(Optical Test & Diagnostics Subsystem)综合获取了PON网络设备的告警、配置、状态,可以对光纤网络的故障先进行故障分段定位,在获得了光纤故障点是在主干或某个分支后再启动OTDR测试,对故障点进行精确定位。
与传统OTDR厂商的解决方案相比,WT-287定义的OTDS有巨大的优势:不需要TR的配合即可判断分支故障是在哪个分支上。此外,OTDS可以通过PON EMS获取ODN两端的设备信息,结合ODN拓扑信息来准确判断ODN故障范围。在取得了故障分段后,结合OLT的测距功能,获得每个ONU的距离(也就是分支的长度后),OTDS能将故障范围缩小到某一小段光纤上。此时,OTDS再启动OTDR测试,获取OTDR测试结果,对比健康库,分析这一小段光纤上的数据,这样就能排除干扰,从而获取高精度的故障定位。
从以上分析可以看出,结合了设备告警、配置信息、OLS、OTDR和线路资源信息的综合FTTx服务保障系统,技术性能远好于单一的基于OTDR的光纤管理系统。
中兴打造ZXESS EasyOptical系统
中兴是FTTx综合解决方案的提供者,在FTTx网络运维方面,相比传统的OTDR厂商,在这方面有独到的优势。针对FTTx网络运维问题,中兴提供了ZXESS EasyOptical解决方案,这个方案符合正在拟定中的WT-287规范,也符合CCSA制定的行业规范。系统架构如图。
ZXESS EasyOptical是中兴通讯为运营商面向FTTx网络量身定制的服务保障系统,提供光铜一体的故障诊断、实时检测、告警处理、性能预警、统计分析、评估优化等众多实用功能,将FTTx网络服务保障从人工、现场处理变为智能、远程处理,降低运营商运营成本。
在光路故障诊断上,EasyOptical通过获取OLT和ONU的OLS信息、告警信息、ODN信息,对ODN故障进行分段定位:主干、一级分支还是二级分支,再启动OTDR测试,获得OTDR测试结果,与系统已保存的OTDR健康库进行比较,比较时并不比较全部数据,而是根据故障分段,只比较主干或分支上的测试数据,从而可以大大降低OTDR测试结果中的噪声干扰,这样就提供了更可靠的故障定位结果。
通过OLS技术,EasyOptical可以在不需要启动OTDR测试情况下,即可监控ODN的衰减,大大减少了OTDR的使用频率,提高了OTDR设备的寿命。
EasyOptical支持外置式OTDR(eOMU)和PON口内置OTDR。中兴的eOMU是一款集成了OTDR、光开关和WDM的高密度光纤监控管理设备,大大减少了光纤连接数量,提高了可靠性。中兴自主知识产权的集成OTDR功能的光模块使用第三波长,不影响OLT业务,不带来额外的插入损耗,支持业务在线的故障诊断,事件分辨精度高,低功耗绿色环保,支持检测分支故障,支持GPON与XGPON混合场景,技术性能和OTDR仪表接近。
EasyOptical的系统优势:
易融入运营商现有运维流程
灵活北向接口,不影响BOSS系统现有架构,不改变现有运维流程。
易部署、易应用、易使用
用户无需安装客户端,通过IE登录即可使用,界面友好、使用便捷。
丰富功能,全方位业务保障
监控网络维保方案范文2
【关键词】3G网络;光热工程;监控系统
1.引言
随着信息技术的发展和人们生活水平的提高,无线3G网络在各行业广泛应用,人们对于用手机及电脑对太阳能远程监控的需求日益高涨。用户不需要进出设备间就能掌握热水信息,随时随地管理热水工程,及时了解设备运行情况等。因此,无线3G网络技术成为目前流行而且需求量较大的一项技术。
2.全国光热工程远程监控系统系统架构
为满足客户能够更舒适的享用放心热水,使我们的控制系统适应快速发展的太阳能热水工程市场,为满足这些客户的需求,控制柜联网、手机等设备查看运行数据、无线通讯技术和运行数据的存储打印在太阳能热水系统的研究和应用越来越受到客户的欢迎。为实现光热工程远程监控,本文采用3G无线网络通过多种途径对热水工程进行监控。
2.1 监控内容
本文设计的远程监控系统主要是对水温水位、集热器温度、用户管道温度,补水和循环过程。
2.2 数据采集传输的过程
无线数传终端(DTU)登录GPRS网络之后,根据设置的IP地址和端口来与中心平台进行TCP/IP连接。当TCP/IP连接建立之后,前端采集设备和中心软件之间就可以进行数据通讯。这样就可以实现对现场数据显示、数据存储、数据处理,可以实现现场只能故障报警和故障判断,还可以实现对现场控制器的参数设置和控制操作,最终通过互联网实现数据远程传送和远程监控。
2.3 DTU与中心平台的组网方式
根据中心平台能不能上网和如何上网的情况,DTU与中心平台有三种组网方式,分别为Internet结合固定IP地址、Internet结合动态域名、使用VPN专网。
系统架构如图1。
3.各部分功能及技术点
3.1 IP MODEM简介
IP MODEM又称无线数传终端(DTU),主要应用在工业自动化、电力、气象、水文、环保、防灾预警等需要实现远程组网传输数据的行业。通常只要是带RS232或RS485的仪表或设备都可以使用IP MODEM实现远程组网传输数据,且对环境无特殊要求,只要有手机信号即可。
IP MODEM工作原理:
IP MODEM主要通过RS232/485方式与终端设备连接,终端设备通过RS232/485只要把数据发送到IP MODEM,IP MODEM就可以把数据通过无线网络透明地发送到客户的服务器;反之,服务器下发到IP MODEM的数据,IP MODEM也会把接收到的数据透明地通过RS232/485发送到所连接的终端设备,从而实现客户终端设备与服务器间的通讯。
一般情况下,凡是有网络接入的、可以上网的办公或非办公环境,都可以架设数据中心服务器。而服务器软件的通讯模块,可以是TCP/UDP网络通讯,也可以是一些读取串口的软件,都可以与IP MODEM连接,并实现终端与服务软件之间数据的透明传输。
系统功能:
(1)用户可通过智能手机或电脑随时随地监控系统运行情况。
(2)公司能有效监控用户系统的运行情况和使用情况,发现故障及时联系用户进行服务。
(3)便于公司收集各工程运行数据,对已有系统进行总结分析。
3.2 3G通讯技术在远程监控中的应用
3G手机不仅可以用作采集实时数据信息,而且可以将信号传送到中心平台通过中心平台进行处理,并为客户端作为实时监控系统。克服了传统的网络带宽不足的制约,手机视频监控系统可很好地满足实时性和视频清晰度的要求,基本还可以实现远程监控实时控制的应用需求。
总体归纳有以下几点优势:
(1)实时随地的优势,他满足了不管在什么时间,不论在任何地点,通过何种设备都可以进行监控。
(2)成本上的优势,因为当今社会手机是基本上人人都有的,把它作为监控的一种终端设备使用时是对资源的一种多重利用,减少了一定的成本。
3.3 技术路线
方案论证:
方案一:客户端PLC————3G无线数传模块————3G网络————装有三维力控组态软件的电脑(有固定IP地址)。
方案二:客户端PLC————(下转第119页)(上接第115页)3G无线数传模块——3G网络——网关——服务器——监控电脑。
方案比较:
方案一优点:成本少,二次开发容易,已做过联机实验,方案可行,课题开发周期短,2月内可试安装运行。
缺点:数据传输速率有限,设备超过200台后可能会有较大延迟。
方案二优点:设备运行稳定,有较大数据吞吐量,设有转换协议数据传输较安全。
缺点:成本高、二次开发可能较麻烦,软件开发周期较长,半年后可试安装运行。
监控网络维保方案范文3
在云计算驱动的数据中心条件下,从平台和业务监控的角度,创新性地提出并且建立了多维智能分析模型,将云计算资源配置信息、云计算资源性能数据与环保数据相关联,通过深入挖掘其内在联系,达到精细化分析管理,预测和挖掘系统中环保数据价值的目的。并且在充分结合云资源环境的特性后,整个分析模型也是一个闭环的自学习过程,能够一定程度上提高云计算自动化运维水平,及时调整紧跟监管迅猛变化的环保工作需求。
[关键词]云数据;智能监控;虚拟化资源;数据分析模型
中图分类号:TP393 文献标识码:A 文章编号:1009-914X(2014)29-0361-01
一、传统业务监控平台的局限性
传统监控平台仍然属于传统的监控模式,不能充分满足环保业务系统在云计算改革新形势下的监控需求,存在诸多的局限性,例如:监控平台只能实现了一定程度的自动化监控告警,但是平台资源利用率低下;业务资源部署、资源调整和资源回收方面等一直都是由人工完成,业务平台的整体自动化水平有待提高;资源监控平台和业务监控平台各自独立,监控数据彼此关联度较低,平台资源配置及性能数据对业务数据的指导性意义较为局限且明显滞后,缺乏关联预测性。
二、云数据中心条件下环保业务智能监控分析的可行性
由传统数据中心转向云驱动的数据中心,IT资源监控工作势必会在更精细化的管理模式下开展,因此充分利用云计算技术的特点和优势,能够为集中统一监控业务平台将会带来如下好处:
(一)精细化平台资源如计算主机资源、网络资源、数据库等IT资源的分配粒度和计量方式,从而保证较高的IT资源使用率。
(二)云环境中IT资源自动化分配和回收,对IT资源信息收集、配置调整和生命周期管理的回收过程进行标准化、自动化的定义与实现,不仅可以避免手工误调整导致的风险,而且解决了IT资源下线周期长、资源使用率低下的问题,能够极大地提高业务连续性;
(三)云平台标准化定制监控应用,自动和生命周期管理,能够提高业务平台的运维效率,如监控agent的自动化配置、部署和补丁、系统变更差异自动发现、云资源资产配置变更库自动更新等。
三、研究思路
按照环保部对环保云群大系统的战略指导思路,以实际业务需要为导向,集中管控监控数据,聚合分析多系统数据,加强现有业务系统内部以及与网络、业务平台等多系统协同互动的能力,既提升了整体监控的能力,又加强了反哺上层业务监控和预测分析的能力。
首先,我们通过利用集中统一资源配置库及性能监控平台,针对资源监控数据的粒度,建立相关的维度分析模型;
其次,结合业务系统监控数据的持续性,分析业务监控数据与维度分析模型的关系;
最后,找出有价值的资源数据与业务数据之间模型预测分析的能力,通过模型效果分析和神经网络算法完成资源与业务关联预测。
此外,结合云计算资源的特性优势,包括:自服务能力、快速自动化部署、资源弹性扩张、服务生命周期管理及云资源的计量计价实践等,进一步提高自动化维护程度,最终形成云资源与业务智能分析持续改进的自学习闭环模式过程。
四、业务智能监控分析方案
基于云数据中心的业务智能监控分析方案表现为不断循环、持续改进的自学习调整过程,由业务和资源性能数据采集、模型建立、模型实践优化和自学习调整过程所组成。
以统一监控平台对虚拟化资源进行监控,并提供相应的资源配置及性能数据,整合标准化和自动化的数据,不断围绕资源配置、性能监控管理核心,将资源配置信息、性能监控数据,通过不同维度的分解,产生资源配置、性能数据模型(简称资源性能模型),通过对业务发展数据的变化分解,构建业务数据差异模型(简称业务发展模型)。通过采集不同维度业务发展监控数据构建多维业务分析模型。同样方法完成对多维资源配置及性能分析模型,以此来深入挖掘资源性能平台数据与业务数据之间的联系,通过对资源性能数据的分析和预测,为业务发展、规划提供现实指导依据;同时业务发展规划对资源配置规划也有避免重复建设等重要意义。(图1)
资源配置管理侧重于资产配置的分布与业务系统资源相关联,然而业务飞速发展并不能局限于业务系统与资源配置相关联的简单关系管理。业务的发展更侧重于资源本身的效率和性能容量分配,以此来满足业务发展需要。因此资产性能监控管理就在资源衍生的价值链上就变成迫切的现实需求。
本方案中资产资源性能监控管理的核心意义体现在以下方面:
(一)通过对现实环境资源监控,构建资源性能监控实践模型,规范各类资源与业务关系管理模式,提升资源管理能力;
(二)资源性能主动发现,将与资源相关的各个业务系统串联起来,实现对资源与业务系统的全生命周期管理;
(三)作为云数据中心统一资产配置库,配置与业务关联关系定制化保存到基于云资源配置变更管理数据库中,其中包括粒度的配置信息,优化配置数据;
(四)针对业务与资源配置变更管理库关联关系,完善资源性能监控和自动发现功能,通过对资源性能监控的历史数据收集、历史数据整合和分析,构建资源性能监控数据分析模型。通过对不同监控目标的分析模型,组建一组线性分析模型;通过不同维度的分析指标,完善对分析模型的有效性评估;参考工业标准指标,萃取和筛选分析算法,从而建立完整有效的性能数据分析模型;
五、总结和展望
综上所述,通过使用上述方法,可以将环保云所管辖的资源性能与业务发展数据按照业务种类构建相应的影响关系模型。从而达到通过现有资源性能数据的趋势分析,来预测未来环保业务发展的方向。
监控网络维保方案范文4
一直以来,广电运通都致力于通过自主研发、技术创新为客户提供高品质的金融自助设备及其系统解决方案。为此,广电运通凭借“金融自助设备智能制造试点示范”项目成功入选工业和信息化部 “2016年智能制造试点示范项目名单”,并且成为业内唯一上榜企业。
同时,随着金融电子行业技术发展的进一步需求,广电运通相继成立了“广东省货币识别企业重点实验室”、“金融安全基础技术联合实验室”以及“城市轨道交通系统安全与运维保障国家工程实验室”,承担起了国家金融科技创新基地的重任。
加快金融智能化布局
在智能金融服务应用方面,广电运通利用自身在金融服务方面的优势和经验,建立了面向全国的金融自助设备公共服务平台,通过大数据分析,提供智能金融设备的在线检测、故障预警、故障诊断与修复、预测性维护、运行优化、远程升级等服务。
在传统的ATM维保阶段,只有当银行网点管理员巡视ATM或查看后台监控系统时,才能发现ATM故障并进行报修。这种旧有的维保模式很难及时处理ATM设备故障,导致客户体验感降低。
对此,为了提供高效率的ATM设备维保服务,广电运通创新打造的以省级银行为单位的全功能ATM监控调度指挥中心(简称P-AOC),逐步实现了全省银行机构ATM的“集中监控、集中受理、集中调度、集中管理”。
其实,早在2010年,部分银行就采纳了广电运通提出的自助设备监控调度指挥中心的概念,指挥中心设立于银行内部,通过与银行分管部门进行合作,专为本行ATM服务。“未来,广电运通计划将全国的P-AOC整合成为2至3家大型全功能ATM监控调度指挥中心。”广电运通P-AOC项目负责人介绍道。
据广电运通运维管理部总监介绍,该项目实施后,当银行ATM发生故障时,系统能自动识别故障,将相关信息发送至ATM报修网络平台,并通知ATM运维工程师前往维修。此举彻底解放了ATM管理人员,降低设备管理员报障的频次,减轻了银行网点柜台人员的工作压力。
另外,为了更进一步提升金融智能化水平,广电运通还推出了智能综合柜台(STM)。该款STM是一款集成了银行多种柜台业务功能,以银行客户自助和银行柜员辅助的方式实现传统柜台业务替代的智能化终端设备。它采用了“现场引导、客户自助办理、柜员授权协助”的新型业务处理模式,基本覆盖银行网点柜面业务,实现柜台窗口服务自动化、智能化。广电运通STM项目客户经理李思远介绍,这款产品具备柜员、移动、视频等三种应用模式,可以适用不同的使用场景,让客户可以获得与银行柜台一致的业务体验,并且可以通过视频技术的扩展,为客户提供远程、延时服务。
特别值得一提的是,这款STM配置全球首款自带柜员操控台与共享功能模块,减少办理业务复杂度,使柜员可随时协助客户进行业务办理,并可支持柜面模块的灵活扩展,实现一对一、一对二、一对多的业务办理模式,有效提高业务处理效率。
金融是现代经济的核心,在银行转型升级的大趋势下,智慧银行的建设发展备受关注,甚至催生新一轮业态竞争。作为推动银行业永续发展的促进者,广电运通将依托全球顶尖的智能金融科技研究院,坚持自主创新,力争研发更多前沿的金融智能化设备,为智慧银行建设提供强大的技术支撑。
开创泛家居产业新生态
2016年6月,广电运通倾力打造的新一代全智能自助销售终端正式亮相。该款产品是广电运通与家居品牌聚宜购家居签署战略合作发展协议后的首个重量级成果,同时也是广电运通拓展非金融行业自助设备服务领域的一次成功尝试,将大力推动我国“互联网+家居”的行业转型和产业升级发展,开创中国泛家居产业的OSO新生态。
智能终端是未来科技发展的主要方向,是经济结构中的主要内容,也是环境友好型产业中的主力军。凭借强大的技术研发实力,广电运通携手聚宜购打造的这款产品尚属我国首个泛家居行业的全智能自动销售公共应用端。
它在继承第二代DIY自在设计、即时插卡支付、在线运维等强大功能的基础上,新增人脸识别、身份识别、远程可视、定位推广、多屏互动、AR增强现实技术、大数据分析、产品精准营销推荐、7×24小时服务等功能,集产品、销售、设计、体验、银联插卡、联网支付、订单打印、用户身份识别、视频监控、定位、无线上网等于一体,为用户提供点对点远程服务。
据广电运通研发人员介绍,借助该款终端,用户选定或导入平面户型,从零开始秒绘定制三维建筑结构并进行全屋定制,以三维效果AR增强现实显示进行体验,即可高效、便捷定制全屋家居。并可随意拖动系统中的三维模型,和摄像机中的现实场景进行搭配,实现即看即可体验现实场景和产品搭配效果。
打造具有中国制造水平的
国际企业
监控网络维保方案范文5
本人以诚待人,有良好的沟通能力和团队精神;对工作充满热情,能学好问,听从领导的安排,适应能力强,踏实勤奋,创新务实,节奏快效率高,对公司负责同时也对自己负责;希望在工作中不断的充实自我、完善自我。
本人从事工程管理与物业机电设备维保十余年,具备扎实的理论和丰富的现场操作经验。熟悉房地产开发项目电气方案、中央空调制冷量等设计要求,且能够独立把控有关工程和机电系统现场施工管理和国家验收规范,独立解决项目工程技术问题。对项目工程进度、质量、安全、成本控制及现场签证等相关工作进行有效的监督、管理;负责工程设计图纸的会审;审查施工单位、维保单位的资质及管理水平。
熟悉物业管理法律法规,尤其是物业前期介入,遗留工程的跟进、工程和设备的接管与验收、收楼等方面(含强弱电系统、bas楼宇自控系统、给排水、通风空调、消防监控、停车场管理、通讯网络等系统、装修工程审核与验收),均积累了丰富经验及管理水平。熟练操作autocad、天正电气、office、powerpoint、visio等工程和办公软件;对计算机硬件维修与网络维护,具备过硬的本领。
监控网络维保方案范文6
关键词:安全;电子政务外网平台;电子政务外网云平台;保障体系;传统架构;云计算
中图分类号:TP393.08 文献标识码:A 文章编号:2095-1302(2016)11-0-03
0 引 言
随着电子政务外网的发展,各省市电子政务外网平台的建设均已成熟,多数省市电子政务外网平台建设之初采用的是物理机传统架构部署方式。随着信息技术的发展,云计算技术应运而生,电子政务云平台的建设风生水起。然而无论是传统架构还是在云计算环境下,电子政务外网平台面临的风险越来越多,本文就这两种架构下电子政务外网平台的安全如何建设进行分析,提出相应的解决方案。
1 建设方案
电子政务外网平台的安全建设应根据业务应用特点及平台架构层特性,应用入侵检测、入侵防御、防病毒网关、数据加密、身份认证、安全存储等安全技术,构建面向应用的纵深安全防御体系。电子政务外网平台安全建设可从分析确定定级对象及安全等级、构建安全保障体系、明确安全边界、安全技术保障、安全运维保障、安全制度保障、云计算环境下电子政务外网平台安全保障几方面考虑。
1.1 分析确定定级对象及安全等级
信息系统安全等级共分为五级,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008)》,结合国家相关行业标准规范,分析确定定级对象及安全等级。本文以构建信息系统安全等级第三级标准安全建设进行探讨。
1.2 构建安全保障体系
电子政务外网平台安全保障可从安全技术保障、安全运维保障、安全制度保障三个方面着手考虑,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级基本要求(GB/T 22239-2008)》进行建设。物理机传统架构下的电子政务外网平台安全保障体系架构如图1所示。
1.3 明确安全边界
1.3.1 安全边界划分原则
安全边界划分原则[1]如下所示:
(1)以保障电子政务外网平台信息系统的业务、管理、控制数据处理活动、数据流的安全为根本出发点,保障平台安全;
(2)每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等;
(3)根据“信息安全等保”要求,网络规划时避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
(4)根据《国家电子政务外网跨网数据安全交换技术要求与实施指南》,部署数据安全交换隔离系统,保障数据交换安全;
(5)对接入边界进行安全防护。
1.3.2 安全边界划分
电子政务外网平台可划分为DMZ区、内部数据中心、互联网出口区、安全及运维管理区、边界接入区五大区域。电子政务外网安全边界划分图如图2所示。
(1)DMZ区
DMZ区部署面向互联网的业务系统,包括门户网站、邮件服务等,应根据实际需求部署相应的安全策略。
(2)内部数据中心
内部数据中心区部署协同办公等内部应用系统,可根据实际需求分为多个逻辑区域,如办公业务区、测试区等,应根据实际需求部署相应安全策略。
(3)互联网出口区
互联网出口区为电子政务外网平台互联网接入边界,与运营商网络直连。该区域直接面向互联网出口区域,易被不法分子利用网络存在的漏洞和安全缺陷对系统硬件、软件进行攻击,可在该区部署相应的防火墙策略,并结合入侵防御、安全审计等技术提供立体的、全面的、有效的安全防护,允许合法用户通过互联网访问电子政务外网。
(4)安全及运维管理区
提供安全管理运维服务,保障电子政务外网平台的安全。提供统一网络管控运维服务,保障整网设备及业务系统信息正常运行。
(5)边界接入区
根据国家相关规范,对专网、企事业接入单位或其它系统接入电子政务外网时,应在访问边界部署防火墙、入侵防御系统,与“政务云”实现物理逻辑隔离,进行安全防护。
1.4 安全技术保障
采用传统架构的电子政务外网平台技术安全保障可从物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行考虑,可通过部署相应产品或配置服务进行安全保障。
1.4.1 物理安全
物理安全主要涉及环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等。具体包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面。该部分主要体现为机房及弱电的建设标准、规范,技术环节应符合相关等级保护要求。
1.4.2 网络安全
网络安全主要包括网络结构、网络边界以及网络设备自身安全等,具体包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护七个方面,关键安全技术保障措施如下所示:
(1)划分安全域,根据各安全域安全建设需求采用相应的安全策略。
(2)通过合理部署IPS、防火墙对网络进行边界隔离和访问控制,并实现对网络攻击的实时监测,即时中断、调整或隔离一些不正常或具有伤害性的网络行为。
(3)部署防DDoS攻击设备,及时发现背景流量中各种类型的攻击流量,针对攻击类型迅速对攻击流量进行拦截,保证正常流量通过。
(4)可在互联网出口处部署链路负载均衡设备,加强网络数据处理能力、提高网络的灵活性和可用性。
(5)采用上网行为管理、流量控制等设备,对网络流量进行实时监控管理,实现员工对终端计算机的管理和控制,规范员工上网行为,提高工作效率,实现流量控制和带宽管理,优化网络。
(6)对关键设备采用冗余设计,并在重要网段配置ACL策略以保障带宽优先级。
(7)采用安全审计技术,按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能。
1.4.3 主机、应用安全
主机安全主要包括访问控制、安全审计、剩余信息保护、恶意代码防护等几个方面。应用安全主要包括身份鉴别、访问控制、安全审计、抗抵赖性等几方面,关键安全技术保障措施如下所示:
(1)恶意代码可直接利用操作系统或应用程序的漏洞进行传播,可部署恶意代码监测、病毒防护系统及漏洞扫描等系统,通过主动防御可有效阻止病毒的传播,及时发现网络、主机、应用及数据库漏洞并修复,保障电子政务外网平台安全。
(2)利用身份认证技术及访问控制策略等技术保障主机应用安全,不允许非预期客户访问。
(3)运用审计技术保障主机应用安全,实时收集和监控信息系统状态、安全事件、网络活动,以便进行集中报警、记录、分析、处理。
(4)采用应用负载均衡技术、操作系统用户登录等技术实现资源的优化控制。
(5)可部署Web应用防火墙、网页防篡改等系统,做到事前主动防御,智能分析、屏蔽或阻断对目录中的网页、电子文档、图片、数据库等类型文件的非法篡改和破坏,保障系统业务的正常运营,全方位保护Web应用安全。
1.4.4 数据安全
数据安全主要包括数据的保密性、完整性及备份和恢复,关键安全技术保障措施如下所示:
(1)可对不同类型业务数据进行物理上或逻辑上隔离,并建设数据交换与隔离系统以保障不同安全等级的网络间的数据交换安全。
(2)采用双因素认证进行数据访问控制,不允许非预期客户访问,对违规操作实时审计报警。
(3)采用VPN、数据加密、消息数据签名、摘要等技术对数据传输进行加密,防止越权访问机密信息或恶意篡改。
(4)采用数据库冗余部署,防范数据丢失风险,为业务系统稳定运行提供保障,可考虑建设同城或异地容灾。
(5)部署数据库审计设备可在不影响被保护数据库性能的情况下,对数据库的操作实现跟踪记录、定位,实现数据库的在线监控,为数据库系统的安全运行提供了有力保障。
1.5 安全运维保障
安全运维保障可通过安全管理平台,建立与安全工作相配套的集中管理手段,提供统一展现、统一告警、统一运维流程处理等服务,可使管理人员快速准确的掌握网络整体运行状况,整体反映电子政务外网平台安全问题,体现安全投资的价值,提高安全运维管理水平。安全运维管理平台需考虑与安全各专项系统、网管系统和运管系统之间以及上下级系统之间的接口。
1.6 安全制度保障
面对形形的安全解决方案,“三分技术、七分管理”。若仅有安全技术防护,而无严格的安全管理相配合,则难以保障网络系统的运行安全。系统必须有严密的安全管理体制来保证系统安全。安全制度保障可从安全管理组织、安全管理制度、安全管理手段等方面考虑,建立完善的应急体制。
1.7 云计算环境下电子政务外网平台的安全保障
云技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。随着时代的发展,云计算技术已变成信息系统主流基础架构支撑。由于云计算平台重要支撑技术是采用虚拟化实现资源的逻辑抽象和统一表示,因此在云计算环境下进行电子政务外网云平台安全保障体系建设,仅仅采用传统的安全技术是不够的,除满足上述物理安全、网络安全、主机安全、应用安全、数据安全技术保障,运维安全保障,安全制度保障需求之外,还应考虑虚拟化带来的新的安全风险。云计算环境下电子政务外网云平台安全保障体系如图3所示。
1.8 虚拟化安全
当前,云计算虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题,主要涉及的安全包括虚拟机逃逸防范、虚拟机通信风险、虚拟机管理平台安全等方面。可采取如下安全保障措施[2]:
(1)将可信计算技术与虚拟化技术相结合,构建可信的虚拟化平台,形成完整的信任链;
(2)可建设分级访问控制机制,根据分层分级原则制定访问控制策略,实现对平台中所有虚拟机的监控管理,为数据的安全使用和访问建立一道屏障;
(3)可通过虚拟防火墙、虚拟IPS、虚拟防病毒软件或虚拟安全网关等技术实现虚拟机间的安全隔离。
2 SDS安全保障技术简介
软件定义安全(Software Defined Security,SDS)是从软件定义网络(Software Defined Network,SDN)延伸而来,将安全资源进行池化,通过软件进行统一调度,以完成相应的安全功能,实现灵活的安全防护。简单来说,传统的安全设备是单一防护软件架构在一台硬件设备之上,通常串接或旁挂于网络中,不仅将网络结构复杂化,对不同厂家的安全设备进行统一管理的复杂度也较高,需单独的物理安装空间。而SDS可以将其看作一个软件,灵活调配安全设备资源,实现灵活的网络安全防护框架,方便调整。
3 结 语
在大数据时代下,SDS是顺应时展趋势、简化安全管理的诉求,但由于SDS应用尚未完全成熟,仍需经过实践的检验。
参考文献
