“林檎”通过精心收集,向本站投稿了14篇网络防御技术论文,下面是小编精心整理后的网络防御技术论文,仅供参考,大家一起来看看吧。
- 目录
篇1:网络防御技术论文
1易变网络架构的实现途径
网络攻击的过程一般包括以下环节:侦察踩点、指纹识别、网络拓扑结构分析、漏洞挖掘、攻击协作、报告以及扩散传播。在每一个环节中,网络系统配置的固定不变使得攻击者有机会发现和远程入侵网络资源,攻击者依靠网络空间基本结构的静态属性来获得目标情况,并据此对目标发起有效的攻击。例如,网络配置诸如IP地址、端口号、系统平台类型、服务和补丁的版本号、协议、服务脆弱点甚至还包括防火墙规则,这些都可以通过网络扫描和使用指纹识别工具发现。除此之外,默认设置的(Accept-by-Default)互联网接入控制使得网络侦察和0day漏洞不可避免。
为了应对前所未有的超前的网络攻击,这就需要变换一种思路来改变网络安全的规则。为达到此目的,易变网络架构试图采用动态化目标防御技术,以迫使攻击者必须持续地追踪目标系统,并且要在不阻断有规律的网络流量的情况下阻止并消除攻击。如此将削弱攻击者在时间上和空间上的优势,防御一方将能够灵活地面对那些高级的持续威胁。易变网络的远景是支持网络配置(例如IP地址和端口号)的动态和随机变换,支持对漏洞扫描探测和fingerprinting攻击做出积极的回应,这就要求在较短的时间窗口内不断搜集系统信息,并误导攻击者对错误的目标进行深入的分析。这些变换必须要快过自动扫描器及超过蠕虫的繁殖速度,尽量降低服务的中断和延迟,而且变换应该是无法预测的,以确保攻击者发现跳变的IP地址是不可行的,同时这些变换在操作上要保证是安全的,要能确保所提供系统需求和服务的可靠性。易变网络架构使用随机的地址跳变和随机化系统指纹信息技术实现目标动态化防御。
使用随机的地址跳变时,网络主机被频繁地重新分配随机的虚拟IP地址,这些地址独立地运用于与实际IP地址寻址。选取随机IP地址在网络中是同步的,网络通过使用加密函数和隐蔽的随机密钥来确保其中的IP地址是不可预测的,并且确保网络中的全局配置是同步的。随机IP地址可以从足够大的'私有地址范围和可用于随机化处理的未使用的IP地址空间中选取。IPv6的推广使用为潜在的随机化提供了更多可用的地址空间。在此种方法中,通常是基于随机函数频繁地给网络系统(如终端主机)分配不同的IP地址。一种可以实现同步的方法就是使用循环的随机选择。在随机化系统指纹信息技术中,主机对外界的回应将被中途截断和修改,且这些操作是透明的,以使得系统行为的平均信息量最大化,并且提供一个错误的操作系统和应用程序伪装信息。
如果攻击者没有确定具体的操作系统类型和/或应用程序服务器的服务类型,那么远程的入侵操作将是不可行的。对系统的外部反应有两种机制来执行随机化处理,一种是截获和修改会话控制的消息(例如TCP的3次握手)来干扰攻击者对平台和服务的识别使之得到错误的相关信息,另一种技术是用防火墙来欺骗扫描者,方法是对所有拒绝包都生成积极的回应。联合使用以上两种技术将形成动态化目标防御,可有效对抗许多攻击。在易变网络目标的跳变中,活动的会话将始终保持并不会被中断,用户依旧能够通过DNS继续访问网络服务。在下一部分,将介绍一种形式化的方法,在保持网络的不变性的同时,创建有效可用的网络突变配置。
2易变网络中突变配置的模型分析
二叉决策图(BinaryDecisionDiagrams,BDDs)是逻辑布尔函数的一种高效表示方法,在计算机科学以及数字电路与系统等领域中有广泛的应用,并且在模型检查领域展现了强大的高效性。基于二叉决策图,使用针对访问控制配置的端到端的编码,对全局网络行为进行建模,可形成简单的布尔型表达式。
2.1使用二叉决策图表示的网络行为模型
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制列表(AccessControlLists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。
2.2网络配置变换
使用二叉决策图对网络行为进行建模的方法支持配置变换。一个网络配置变换就是创建一个可选、有效的配置的过程,新的配置必须满足网络的不变性要求或任务需求。
3易变网络的应用场景及面临的挑战
动态化目标防御通过改变系统资源寻找克服静态多样性防御的局限。对连续运行的服务进程来说,这需要动态改变运行的程序。一旦系统受攻击的入口的改变足够快速,即便探测攻击能够突破静态防御,但动态化目标防御依然能有效保护系统。易变网络有以下应用场景:应用于有特殊用途的专属客户端与服务端应用程序中,例如关键业务网络或者关键应用系统。保护重要基础设施中的P2P通信,使其不受侦察扫描和拒绝服务攻击。为达到网络中的最小系统开销(overheads),动态化目标防御技术可以与这些应用程序整合到一起。针对特定网络中的主机,通常侦察工具扫描网络是否使用固定唯一的IP地址和端口(主机名可能是不可知的或者名字扫描不是有效的),易变网络可保护主机免受来自外部的网络侦察和映射攻击。在僵尸网络(BotNet)中,控制台与傀儡机之间使用固定IP地址通信,攻击者通常选择避免使用主机名和DNS解决方案,目的是将被察觉和被追踪的可能性降到最低。
易变网络可有效终止攻击协调和打断僵尸网络的通信,因为一旦基础设备的地址是频繁变化的,将会导致僵尸网络节点之间无法相互连接。保护网络设备免受DoS攻击。在拒绝服务攻击中,攻击者使用带宽攻击、协议攻击、逻辑攻击等手段阻断目标机器或网络正常提供服务。尽管这些攻击手段的原理各不相同,但攻击者都假定目标主机或网络是不变的,即DoS攻击者假设终端主机使用固定的IP地址或者路由,但是,使用易变网络动态化目标架构将导致此假设不能成立。易变网络体现了动态化目标防御技术的基本思路,就是不再依托静态的网络研究相关防御技术,而是推广动态网络的发展,改变以往的网络安全防御模式。
当然,易变网络体系结构要在实践中取得有效的防御效果还必须应对以下挑战:保证足够快速和不可预测。易变网络的突变速度必须胜过自动扫描器和足够快于蠕虫病毒的繁殖速度,同时,基于如IDS警报此类外部输入信号,该突变速度应该支持动态调整,并对具体的情形是清楚的。此外,在保证这种变化是高度不可预测的同时,要使其系统开销和影响是可测量和最优化的。保证可操作并且是安全的。在分散的变换过程中,易变网络架构必须保持系统的同一性。换句话说,所提供的网络服务必须是一直在线可用的,即使是在变换期间。同时,动态化目标防御必须是透明的,如此,活动会话和正在运行的服务将不会由于配置的改变而受到任何干扰。保证是可部署、可扩展的。可部署是指易变网络架构应该达到这样的要求:无需网络中的基础设备、协议或者终端主机做任何变动。相对于终端平台和协议来说,它是独立部署的。另外,易变网络是可扩展的,要求易变网络的突变应随节点数量、流量、动态化目标数和攻击数量线性地缩放。也即,整个网络结构必须足够灵活,能动态地与上述因素相适应。
4结语
动态化目标防御受近年来的多项新兴技术启发,这些新兴技术包括操作系统的工作负载迁移和虚拟化技术、指令集和地址空间布局随机化技术、实时编译技术、云计算技术等。动态化目标防御着眼的是:“对目标创建、评估和部署不同的机制与策略,使其不停地随着时间的改变而改变,以增加系统复杂性,从而限制漏洞的暴露及攻击者可能成功的机会”。系统配置和代码的长期保持不变,给攻击者提供了入侵机会,依据对系统配置及代码的研究,攻击者可能发现漏洞并实施攻击。
同样,对于防御者检测这些攻击来说,必须找到恶意软件或攻击行为的特征,并且期望攻击代码是长期固定不变的,这样才能够发现并阻断攻击。恶意软件开发者已经发现了这点,为了绕过检测机制他们已经想出了办法快速变换恶意软件特征。为了扭转攻击者的这种非对称优势,防御者必须建立一个能够改变自身属性和代码的系统,这样攻击者就没有足够的时间去挖掘系统的漏洞和编写溢出工具。
易变网络架构基于此种观察,使用随机的地址跳变和随机化系统指纹信息技术实现动态化目标防御,能够自动地改变一项或多项系统属性,使得系统暴露给攻击者的攻击入口无法预知,增强了系统的弹性。
篇2:网络防御技术安全防护论文
摘要:该文阐述了调度自动化系统安全防护现状,依据动态信息安全P2DR模型,结合主动防御新技术设计了调度自动化系统安全防护模型,给出了具体实现的物理架构,讨论了其特点和优越性。
关键词:P2DR模型主动防御技术SCADA调度自动化
随着农网改造的进行,各电力部门的调度自动化系统得到了飞快的发展,除完成SCADA功能外,基本实现了高级的分析功能,如网络拓扑分析、状态估计、潮流计算、安全分析、经济调度等,使电网调度自动化的水平有了很大的提高。调度自动化的应用提高了电网运行的效率,改善了调度运行人员的工作条件,加快了变电站实现无人值守的步伐。目前,电网调度自动化系统已经成为电力企业的“心脏”[1]。正因如此,调度自动化系统对防范病毒和*客攻击提出了更高的要求,《电网和电厂计算机监控系统及调度数据网络安全防护规定》(中华人民共和国国家经济贸易委员会第30号令)[9]中规定电力监控系统的安全等级高于电力管理信息系统及办公自动化系统。各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。而从目前的调度自动化安全防护技术应用调查结果来看,不少电力部门虽然在调度自动化系统网络中部署了一些网络安全产品,但这些产品没有形成体系,有的只是购买了防病毒软件和防火墙,保障安全的技术单一,尚有许多薄弱环节没有覆盖到,对调度自动化网络安全没有统一长远的规划,网络中有许多安全隐患,个别地方甚至没有考虑到安全防护问题,如调度自动化和配网自动化之间,调度自动化系统和MIS系统之间数据传输的安全性问题等,如何保证调度自动化系统安全稳定运行,防止病毒侵入,已经显得越来越重要。
从电力系统采用的现有安全防护技术方法方面,大部分电力企业的调度自动化系统采用的是被动防御技术,有防火墙技术和入侵检测技术等,而随着网络技术的发展,逐渐暴露出其缺陷。防火墙在保障网络安全方面,对病毒、访问限制、后门威胁和对于内部的*客攻击等都无法起到作用。入侵检测则有很高的漏报率和误报率[4]。这些都必须要求有更高的技术手段来防范*客攻击与病毒入侵,本文基于传统安全技术和主动防御技术相结合,依据动态信息安全P2DR模型,考虑到调度自动化系统的实际情况设计了一套安全防护模型,对于提高调度自动化系统防病毒和*客攻击水平有很好的参考价值。
1威胁调度自动化系统网络安全的技术因素
目前的调度自动化系统网络如iES-500系统[10]、OPEN2000系统等大都是以Windows为操作系统平台,同时又与Internet相连,Internet网络的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议缺乏相应的安全机制,而且Internet最初设计没有考虑安全问题,因此它在安全可靠、服务质量和方便性等方面存在不适应性[3]。此外,随着调度自动化和办公自动化等系统数据交流的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,电力企业内部各系统间的互联互通等需求的发展,使病毒、外界和内部的攻击越来越多,从技术角度进一步加强调度自动化系统的安全防护日显突出。
篇3:网络防御技术安全防护论文
2.1调度自动化系统与其他系统的接口
由于调度自动化系统自身工作的性质和特点,它主要需要和办公自动化(MIS)系统[6]、配网自动化系统实现信息共享。为了保证电网运行的透明度,企业内部的生产、检修、运行等各部门都必须能够从办公自动化系统中了解电网运行情况,因此调度自动化系统自身设有Web服务器,以实现数据共享。调度自动化系统和配网自动化系统之间由于涉及到需要同时控制变电站的10kV出线开关,两者之间需要进行信息交换,而配网自动化系统运行情况需要通过其Web服务器公布于众[5],同时由于配网自动化系统本身的安全性要求,考虑到投资问题,可以把它的安全防护和调度自动化一起考虑进行设计。
2.2主动防御技术类型
目前主动防御新技术有两种。一种是陷阱技术,它包括蜜罐技术(Honeypot)和蜜网技术(Honeynet)。蜜罐技术是设置一个包含漏洞的诱骗系统,通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标[2]。蜜罐的作用是为外界提供虚假的服务,拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。蜜罐根据设计目的分为产品型和研究型。目前已有许多商用的蜜罐产品,如BOF是由MarcusRanum和NFR公司开发的一种用来监控BackOffice的工具。Specter是一种商业化的低交互蜜罐,类似于BOF,不过它可以模拟的服务和功能范围更加广泛。蜜网技术是最为著名的公开蜜罐项目[7],它是一个专门设计来让人“攻陷”的网络,主要用来分析入侵者的一切信息、使用的工具、策略及目的等。
另一种技术是取证技术,它包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下,运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法,在入侵后对数据进行确认、提取、分析,抽取出有效证据,基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。目前已经有专门用于静态取证的工具,如GuidanceSoftware的Encase,它运行时能建立一个独立的硬盘镜像,而它的.FastBloc工具则能从物理层组织操作系统向硬盘写数据。动态取证技术是计算机取证的发展趋势,它是在受保护的计算机上事先安装上代理,当攻击者入侵时,对系统的操作及文件的修改、删除、复制、传送等行为,系统和代理会产生相应的日志文件加以记录。利用文件系统的特征,结合相关工具,尽可能真实的恢复这些文件信息,这些日志文件传到取证机上加以备份保存用以作为入侵证据。目前的动态取证产品国外开发研制的较多,价格昂贵,国内部分企业也开发了一些类似产品。
2.3调度自动化系统安全模型
调度自动化安全系统防护的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架,P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)[8]。模型体系框架如图1所示。
在P2DR模型中,策略是模型的核心,它意味着网络安全需要达到的目标,是针对网络的实际情况,在网络管理的整个过程中具体对各种网络安全措施进行取舍,是在一定条件下对成本和效率的平衡[3]。防护通常采用传统的静态安全技术及方法来实现,主要有防火墙、加密和认证等方法。检测是动态响应的依据,通过不断的检测和监控,发现新的威胁和弱点。响应是在安全系统中解决安全潜在性的最有效的方法,它在安全系统中占有最重要的地位。
2.4调度自动化系统的安全防御系统设计
调度自动化以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,结合调度自动化系统的实际运行情况,其安全防御体系模型的物理架构如图2所示。
防护是调度自动化系统安全防护的前沿,主要由传统的静态安全技术防火墙和陷阱机实现。在调度自动化系统、配网自动化系统和公司信息网络之间安置防火墙监视限制进出网络的数据包,防范对内及内对外的非法访问。陷阱机隐藏在防火墙后面,制造一个被入侵的网络环境诱导入侵,引开*客对调度自动化Web服务器的攻击,从而提高网络的防护能力。
检测是调度自动化安全防护系统主动防御的核心,主要由IDS、漏洞扫描系统、陷阱机和取证系统共同实现,包括异常检测、模式发现和漏洞发现。IDS对来自外界的流量进行检测,主要用于模式发现及告警。漏洞扫描系统对调度自动化系统、配网自动化主机端口的已知漏洞进行扫描,找出漏洞或没有打补丁的主机,以便做出相应的补救措施。陷阱机是设置的蜜罐系统,其日志记录了网络入侵行为,因此不但充当了防护系统,实际上又起到了第二重检测作用。取证分析系统通过事后分析可以检测并发现病毒和新的*客攻击方法和工具以及新的系统漏洞。响应包括两个方面,其一是取证机完整记录了网络数据和日志数据,为攻击发生系统遭破坏后提出诉讼提供了证据支持。另一方面是根据检测结果利用各种安全措施及时修补调度自动化系统的漏洞和系统升级。
综上所述,基于P2DR模型设计的调度自动化安全防护系统有以下特点和优越性:
(1)・在整个调度自动化系统的运行过程中进行主动防御,具有双重防护与多重检测响应功能;
(2)・企业内部和外部兼防,可以以法律武器来威慑入侵行为,并追究经济责任。
(3)・形成了以调度自动化网络安全策略为核心的防护、检测和响应相互促进以及循环递进的、动态的安全防御体系。
3结论
调度自动化系统的安全防护是一个动态发展的过程,本次设计的安全防护模型是采用主动防御技术和被动防御技术相结合,在P2DR模型基础上进行的设计,使调度自动化系统安全防御在遭受攻击的时候进行主动防御,增强了系统安全性。但调度自动化系统安全防护并不是纯粹的技术,仅依赖安全产品的堆积来应对迅速发展变化的攻击手段是不能持续有效的。调度自动化系统安全防护的主动防御技术不能完全取代其他安全机制,尤其是管理规章制度的严格执行等必须长抓不懈。
参考文献:
[1]梁国文.县级电网调度自动化系统实现的功能.农村电气化,2004,(12):33~34.
[2]丁杰,高会生,俞晓雯.主动防御新技术及其在电力信息网络安全中的应用.电力系统通信,2004,(8):42~45.
[3]赵阳.电力企业网的安全及对策.电力信息化,2004,(12):26~28.
[4]阮晓迅,等.计算机病毒的通用防护技术.电气自动化,1998,(2):53~54.
[5]郝印涛,等.配网管理与调度间的信息交换.农村电气化,2004,(10):13~14.
[6]韩兰波.县级供电企业管理信息系统(MIS)的应用.农村电气化,2004,(12):33~34.
[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL]..
[8]戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用,2002,38(4):17~19.
[9]中华人民共和国国家经济贸易委员会第30号令.电网和电厂计算机监控系统及调度数据网络安全防护规定,2002,(5).
[10]潘光午.iES-500调度自动化系统在县级电力企业中的应用.2004,(10).
篇4:网络攻击与防御论文
网络攻击与防御论文
网络攻击与防御论文:浅析网络攻击与防御技术
摘要:
在当今社会中人们时刻面临着病毒入侵、网络监听、信息泄漏等的威胁,使网络系统难以正常运行。网络安全这一话题已经成为当今社会的热点话题,因而数据在网络中的传输和存储的安全性就变得尤为重要了。针对这种现象这篇文章介绍了常见的网络攻击的方法,开展了对网络安全防御与保障体系的探讨,对于防止数据丢失、预防病毒入侵、缓解网络攻击、提高系统的反击能力等均具有十分重要的基础意义。
关键词:
网络安全;网络攻击与防御;监听扫描
一、网络安全概述
网络安全是指网络系统中的数据受到保护,不受恶意的或者偶然的原因而遭到破坏、更改、泄露,以及系统中的软件、硬件连续、可靠正常地运行。随着计算机网络的飞速发展,网络中的安全问题也日趋突出。网络容易遭受到恶意攻击,例如数据被窃取,服务器不能正常的工作等等。针对这些攻击,人们采用了一些防御手段,不断的增强系统本身的安全性,同时还采用了一些辅助设备,比如网络系统和防火墙。防火墙一般作为网关使用,在检测攻击的同时,还能阻断攻击,网络一般作为并行设备使用,不具有阻断攻击的能力,它检测到攻击后,发出警报通知管理员,由管理员进行处理。不同的攻击,有不同的防御方法,我们在对攻击的有一定的了解后,制定相应的防御策略,才能保证网络安全。
二、攻击方法分类
网络入侵的来源一般来说有两种,一种是内部网络的攻击,另一种是外网的入侵。
攻击行为可分为:单用户单终端,单用户多终端,多用户多终端3大类。
(1)端口扫描攻击:网络端口监听就是一种时刻监视网络的状态、计算机数据流程以及在网络中传输的信息的管理工具.当计算机网络的接口处于监听模式的状态时,其可以快速的截取在网络中传输的数据信息,以此来取得目标主机的超级管理用户的权限。另外还在系统扫描的过程中,可以扫描到系统中那个端口是开放的,对应开放的端口提供的是什么服务,在捕获的服务中的操作信息是什么,此后攻击者就能利用它获取到的操作系统信息对目标主机进行网络入侵。
(2)缓冲区溢出攻击:缓冲区溢出攻击就是利用缓冲区溢出漏洞来进行攻击,在某种程度上可以说是一种非常危险的漏洞,在各种操作系统、应用软件中存在比较多。其原理在于程序获得了过量的数据,系统并没有对接收到的数据及时检测。结果使系统的堆栈遭到严重的损坏,从而使计算机被攻击者操控或者是造成机器瘫痪,使其不能正常工作。如果黑客进行远程攻击时,就必须使用系统服务中出现的溢出漏洞。在各个不相同的系统中,它产生的服务的攻击代码也各不相同。常用到的攻击检测的方法就是使用字符串匹配。出现缓冲区溢出的攻击还有一方面在于,现在大多是的应用程序都是由C语言构成的.在C、C++语言的语法中,对其数组下标的访问一般不做越界检查,因此导致缓冲区溢出的现象。
(3)拒绝服务攻击:拒绝服务攻击就是攻击者想办法让目标主机无法访问资源或提供服务,是黑客常用的攻击手段。这些资源包括磁盘硬盘空间、线程、内存等。拒绝服务攻击是指对计网络带宽进行消耗攻击。带宽攻击这一话题也并不陌生它是指用大量的通信数据量来攻击网络带宽。从而使网络带宽中的的大部分资源都被消耗完了,以至于主机不能正常的处理合法用户进行的请求。攻击者产生拒绝服务攻击,从而导致服务器的缓冲区溢出,无法接收新的请求,同时攻击者还可以采用IP地址欺骗的方式,使合法用户的请求被攻击者窃取,无法正常达到信息请求的目的地,严重影响用户请求的连接。
(4)病毒攻击:提到病毒攻击,最为直观的就是木马攻击。木马对电脑系统的破坏很强大,一般来说它具有通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,多采用多种手段来隐藏木马,这样,即使是发现感染了木马,由于不能确定木马的正确位置,也无法清除。木马的服务端一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,而这对于服务端的用户是非常危险的。一旦计算机被植入木马,攻击者就能窃取密码,更该系统配置,发送错误信息,终止进程,修改注册表等。攻击者就可以远程实现像操纵自己的计算机一样来操纵被植入木马的计算机。木马入侵的'方式主要有错误的服务信息,电子邮件,捆绑在游戏中等。
三、网络防御策略
(1)防火墙技术。防火墙是设置在内部网络与外部网络之间的一个隔离层,能够有效的防止未知的或者是潜在的入侵者。内部网络安全的实现主要是通过监测进入内网的数据信息或者直接限制其信息流入内网。从而实现外网无法获得内网的网络构成、数据流转和信息传递等情况,以此达到实现保护内部网络安全的目的。防火墙是不同网络间信息传递的重要关口,它能够有效的控制外网和内网的数据流交换,而且它本身具有较强的抗攻击能力。从某种程度上说,防火墙是实现了分离和限制的作用,可以监控内部网和外部网之间信息交换活动,来达到保护内部网络安全的目的。
(2)入侵检测。入侵检测系统(IDS)就是对现在的系统或正在使用的网络资源进行实时监测,以能够及时发现网络中的入侵者。入侵检测技术一般来说分为,非正常检测和常规检测。非正常检测就是通过检测系统中是否存在异常行为以此来达到检测目的,它能快速的地检测出网络中未知的网络入侵者,漏报率非常低,但是由于在检测中无法确地定义正常的操作特征,所以引发信息的误报率高。常规检测方法。这种检测方法最大的缺点是它自身依赖于函数特征库,只能检测出已存在的入侵者,不能检测未知的入侵攻击,从而引发漏报率较高,但误报率较低。
(3)建立安全管理。它是指通过一些的组织机构、制定制度,把含有信息安全功能的设备和使用此信息的人融合在一起,以确保整个系统达到预先制定的信息安全程度,以此能够达到保证信息的保密性、完整性和实用性的目的。安全管理主要包括安全管理策略和技术两个方面的内容。要想安全管理实现就必须在规章制度制定、安全体系中充分考虑技术方面,只有制度和技术的有效结合才能真正发挥作用,并取得预期的效果。
(4)多层次的安全系统建立。计算机网络安全系统可划分为不同级别的安全制度。其主要包括:对系统实现结构的分级,对传输数据的安全程度的分级(绝密、机密、秘密、公开);对计算机网络安全程度的进行分级,对用户操作权限的分级等。针对网络中不同级别的安全对象.从而提供不同的安全算法和安全体制.用以以满足现代计算机网络中不同层次的实际需求.
四、网络安全技术的前景
随着网络的迅速发展,网络的攻击方法已由最初的零散知识发展为一门完整系统的科学。与此相反的是,成为一名攻击者越来越容易,需要掌握的技术越来越少,网络上随手可得的攻击实例视频和黑客工具,使得任何人都可以轻易地发动攻击。因此我们的防御技术显得尤为重要,从攻击趋势分析中发现,目前网络安全防范的主要难点在于:攻击的“快速性”—漏洞的发现到攻击出现间隔的时间很短;安全威胁的“复合性”—包括多种攻击手段的复合和传播途径的复合性。这一切均是传统防御技术难以对付的,因此人们需要更加先进,更全面化的主动防御技术和产品,才能在攻击面前泰然自若。(作者单位:河南师范大学软件学院)
参考文献:
[1]高飞,申普兵.网络安全主动防御技术.计算机安全.2009.1:38-40.
[2]王秀和,杨明.计算机网络安全技术浅析.中国教育技术装备.2007.5.49-53
[3]周军.计算机网络攻击与防御浅析.电脑知识与技术.2007.3:1563-1606
[4]赵鹏,李之棠.网络攻击防御的研究分析.计算机安全.2003.4:35-38
[5]张玉清.网络攻击与防御技术.清华大学出版社.2012
[6]张向,胡昌振,刘胜航,唐成华. 基于支持向量机的网络攻击态势预测技术研究.计算机工程.2007.(33):10-12
篇5:计算机网络安全现状和防御技术论文
在信息技术完善及发展的过程中,需要将网络安全管理作为基础,通过对计算机安全防御措施的构建,提高网络环境的整体质量。由于现阶段社会发展中,计算机网络逐渐运用到了各个领域之中,如电子商务、信息服务以及企业管理等环境中,这种现象的出现也就为计算机网络安全提出了更高要求。对于计算机系统维护人员而言,需要通过对计算机安全运行状态的分析,进行防御技术的确立,明确计算机安全网络的运行机制,从而为网络安全问题的优化及措施构建提供良好支持。
1计算机网络安全的基本特征
1.1计算机网络安全的真实性
在计算机网络系统运用中,其网络安全的真实性主要是针对用户群体,也就是在计算机网络安全分析中,实现真实信息的合理授权。通过真实性网络环境的营造,可以避免网络环境中出现虚造信息的现象,所以,在现阶段网络信息安全资源整合及分析中,需要将真实性的信息鉴别作为基础,满足用户的基本需求。通过真实性、可靠性网络系统条件的构建,满足网络系统运行的基本需求,从而实现计算机网络运行的安全性防御。
1.2计算机网络安全的保密性及完整性
在计算机网络安全系统分析中,其中的保密性以及完整性作为计算机网络信息保障中的基础,是营造安全网络环境的基础条件。第一,保密性主要是在计算机网络系统运行的背景下,将计算机信息作为基础,保证机密信息不泄露,而且,在网络信息安全性资源分析中,也需要通过对信息资源的及时接受,保证信息使用的合理性及科学性。第二,计算机网络安全的完整性,主要是在计算机网络资源的运行过程中,通过对信息资源的保存,保证网络信息储存、资源传输以及信息处理的完善性,提升网络信息技术的运行管理机制。同时,在完整性信息资源结构优化的同时,需要保证计算机网络信息储存以及改变的完整性。通过完整性信息资源的优化构成,需要对网络信息进行科学整合,充分保证网络信息不被泄露现象的出现,所以,需要将计算机网络安全中的保密性以及完整性作为核心,通过对网络信息资源结构的优化,满足计算机网络信息安全的保密性以及完整性[1]。
1.3计算机网络安全的可控性及占有性
对于计算机网络安全环境而言,其主要作为一种可控性的网络信息传播机制,可以实现对网络信息传播、运行控制能力的综合性分析,而且,在计算机网络安全环境营造中,需要将网络安全作为基础,其中可控性要求不能保证通信技术的稳定性及信息传播的及时性。同时,在网络信息安全环境营造以及授权用户分析中,存在着网络信息的服务信息管理体系,从而为完善网络信息的资源共享提供稳定支持。对于计算机网络安全的占有性内容而言,作为计算机网络信息中的特殊性职能,其网络安全体现在以下几个方面:第一,完善计算机网络系统的核心功能;第二,通过网络用户确定中,需要满足多样性、随机性的网络信息安全处理方式,充分满足计算机网络环境的安全需求。
篇6:计算机网络安全现状和防御技术论文
2.1用户的网络安全意识匮乏
在现阶段计算机网络系统优化的过程中,用户安全意识匮乏是计算机网络安全发展中较为突出的问题,通常状况下,其基本的表现方式体现在以下几个方面:第一,在计算机操作中存在缺乏专业技术指导的问题,这种现象的发生在某种程度上影响了计算机网络系统的运营安全,更为严重的会引发与之相对应的安全问题。第二,用户安全意识相对薄弱。在计算机网络系统运用的过程中,病毒的侵袭会对用户文件造成一定的损伤。因此,在计算机技术操作的过程中,需要设计登录密码,通过这种安全防护方式,降低病毒侵袭中所出现的影响因素。第三,防火墙设置不合理,对于该种问题而言,主要是由于计算机网络安全性逐渐降低,对网络系统的正常运行及维护造成了制约。
2.2软件操作手段不规范
通过数据统计分析可以发现,在当前计算机网络发展的背景下,就发生了软件操作程序不合理的问题。因此,一些软件开发设计人员在实践中较为重视监督环节软件的设计,导致其只剩熊的设计存在一定的缺陷,需要在现代计算机软件安全管理系统设计中,通过对软件信息核查问题的开发,认识到软件系统中存在的限制因素,并通过对软件开发过程的信息核查,避免发生安全隐患。所以,在信息安全管理中,为了避免出现信息安全管理的限制性问题,需要将信息核查作为基础,通过对软件开发程度的认识,提升工作效率,从而为软件系统的安全运行提供支持[2]。
2.3硬件缺陷中的安全问题
伴随计算机管理系统结构的优化,计算机网络发展逐渐呈现出硬件应用的问题,该种问题会发生在网络硬件的操作之中,当计算机硬件系统在运用中出现了信息资源泄露的现象,也就为信息失窃问题的出现埋下隐患。同时,在信息资源通信的`过程中,由于其通信部分的网络硬件设计存在着突出问题,所以,在该类问题分析中,需要通过对信息盗窃途径的分析,明确硬件缺陷管理机制,使网络系统充分发挥出最优化的网络硬件功能,从而使数据的传输达到网络信息传输的良好状态。
篇7:计算机网络安全现状和防御技术论文
3.1加密技术的运用
对于计算机加密技术而言,主要是通过对计算机信息的及时性更新,通过对编码重组实现真实信息的加密处理,从而实现对用户信息的有效保护。通常状况下,在对计算机网络加密信息处理中,其基本的信息加密方式主要有链接加密、首尾加密以及节点加密三种。第一,在链接加密处理中,需要通过对计算机各个网络节点信息状况的分析,进行加密技术的运用,实现加密信息节点的有效传输,在每个节点设计中需要有不同的密码与之相对应,从而保证加密技术运用的科学性,当信息进入到系统资源中,也就完善对信息内容的解密处理。第二,首尾加密,作为最为常见的加密方式,主要是在信息或是数据收集过程中,通过对网络加密处理,实现对网络信息内容的有效保护。第三,节点加密。该种加密方式与链接加密存在着一定的差异,因此,在数据阐述中,需要对节点加密技术进行妥善的处理以及科学保存,并在信息资源保管中,实现对硬件系统的妥善保管[3]。
3.2安全防御的身份验证
在计算机网络验证技术构建中,其作为计算机网络安全以及信息完整整合的手段,需要通过对使用人员进行身份验证,也就是计算机网络系统通过对用户身份的核查,保证信息资源传输及运用的安全性。通过身份验证信息体系的构建,计算机系统可以判断用户的身份是否合法,同时计算机系统也会对相关的信息进行进一步的核查,通过这种层次性身份验证方式的确立,可以实现对计算机互联网加密技术的有效运用,提升网络系统运用的安全性。
3.3构建GAP信息安全防护技术
对于GAP信息安全管理技术而言,其作为一种计算机风险防范机制,被广泛地运用到了硬件资源管理之中。在该种背景下,实现了我国计算机网络在无联通状况下的资源共享。通过GAP信息安全防护技术的构建,在某种功能程度上提升了人们对信息安全工作的认知,缓解了系统运用中出现的安全隐患,同时也实现安全计算机网络资源维护的目的。因此,在现阶段计算机网络体系运行的背景下,在硬件开发中,需要重点强调GAP信息安全技术处理方式,实现最优化风险的有效控制[4]。
4结束语
总而言之,在现阶段计算机网络综合性问题分析的过程中,由于其设计的范围相对广泛,因此,为了在计算机系统结构优化的过程中实现对计算机用户的合理保护,就需要通过对计算机安全保护工作的设计,进行计算机加密技术的构建,提升人们对计算机系统安全运行的重要认知,为网络环境的运行营造良好条件。
参考文献:
[1]任卫红.计算机网络安全的现状及网络安全技术新策略的分析[J].通讯世界,2015.
[2]孙玉杰.计算机网络安全现状分析及防御技术探究[J].信息与电脑(理论版),2016.
篇8:网络存储技术论文
网络存储技术论文
[摘要]网络数据信息爆炸性的增长,使网络存储技术变得越来越重要,已成为Internet及其相关行业进一步发展的关键。本文详细介绍了常见的三种网络存储技术的优缺点及应用范围,并介绍了几种新的网络存储技术,使读者对网络存储技术有一个全面的了解。
[关键词]网络存储直接连接存储网络附加存储存储区域网络
一、引言
信息是一个企业可持续发展的核心动力之一,信息的可靠存储是一个企业得以正常运作和发展壮大的根本所在。随着越来越多的关键信息转化为数字形式并存储在可管理的介质中,用户对存储和管理信息的能力产生了新的需求。为更有效地使用和管理信息,用户对信息系统的搭建、数据中心的建设、数据的管理模式、数据的有效使用、信息存储介质的选择以及信息的安全存储等方面,提出多样化的要求,以达到数据的最佳利用。
网络存储设备提供网络信息系统的信息存取和共享服务,其主要特征体现在:超大存储容量、大数据传输率以及高可用性。要实现存储设备的性能特征,采用RAID作为存储实体是必然选择。传统的网络存储设备都是将RAID硬盘阵列直接连接到网络系统的服务器上,这种形式的网络存储结构称为(DASDirectAttachedStorage),目前,按照信息存储系统的构成,SAN(StorageAreaNet-work)和NAS(NetworkAttachedStorage)是最常见的两种选择。本文将详细介绍这三种存储技术的优缺点和应用范围,并将介绍几种新的网络存储技术。
二、传统网络存储技术
1.DAS存储
直接连接存储(DAS——DirectAttachedStorage)是指将存储设备通过SCSI接口或光纤通道直接连接到服务器上的方式。这种连接方式主要应用于单机或两台主机的集群环境中,主要优点是存储容量扩展的实施简单,投入成本少、见效快。
DAS适用于以下几种情况:(1)服务器在地理分布上很分散,通过SAN或NAS在它们之间进行互连非常困难时;(2)存储系统必须被直接连接到应用服务器,如某些数据库使用的“原始分区”上时;(3)包括许多数据库应用和应用服务器在内的应用,它们需要直接连接到存储器上。
当服务器在地理上比较分散很难通过远程连接进行互连时,或传输速率并不很高的网络系统,直接连接存储是比较好的解决方案,甚至可能是唯一的解决方案,但是由于DAS存储没有网络结构,存在许多缺点:一方面该技术不具备共享性,每种客户机类型都需要一个服务器,从而增加了存储管理和维护的难度;另一方面,当存储容量增加时,扩容变得十分困难,而且当服务器发生故障时,数据也难以获取。因此,难以满足现今的存储要求。
2.NAS存储
网络附加存储(NAS——NetworkAttachedStorage)即将存储设备通过标准的网络拓扑结构例如(以太网),连接到一群计算机上,提供数据和文件服务。NAS服务器一般由存储硬件、操作系统以及其上的文件系统等几个部分组成。简单的说,NAS是通过与网络直接连接的磁盘阵列,它具备了磁盘阵列的所有主要特征:高容量、高效能、高可靠。
NAS由于其较好的可扩展性、可访问性、低价位、安装简单、易于管理等优点,广泛应用于电子出版、CAD、图像、教育、银行、政府、法律环境等那些对数据量有较大需求的应用中。多媒体、Internet下载以及在线数据的增长,特别是那些要求存储器能随着公司文件大小规模而增长的企业、小型公司、大型组织的部门网络,更需要这样一个简单的可扩展的方案。
但在实际应用中,NAS也存在着以下不足:(1)在文件访问的速度方面。NAS采用的是FileI/O方式,这带来巨大的网络协议开销。正是因为这个原因,NAS不适合在对访问速度要求高的应用场合,如数据库应用、在线事务处理。(2)在数据备份方面。需要占用LAN的带宽,浪费宝贵的网络资源,严重时甚至影响客户应用的顺利进行。(3)在资源的整合和NAS的管理方面。NAS只能对单个存储(单个NAS内部)设备之中的磁盘进行资源的整合,目前还无法跨越不同的NAS设备,难以将多个NAS设备整合成一个统一的存储池,因而难以对多个NAS设备进行统一的集中管理,只能进行单独管理。
3.SAN存储
存储区域网络(SAN--StorageAreaNetwork)是指存储设备相互连接且与一台服务器或一个服务器群相连的网络。其中的服务器用SAN的接入点。SAN是一种特殊的高速网络,连接网络服务器和诸如大磁盘阵列或备份磁带库的`存储设备,SAN置于LAN之下,而不涉及LAN。利用SAN,不仅可以提供大容量的存储数据,而且地域上可以分散,并缓解了大量数据传输对于局域网的影响。SAN的结构允许任何服务器连接到任何存储阵列,不管数据置放在哪里,服务器都可直接存取所需的数据。
SAN的应用主要可以归纳为下面集中应用:构造群集环境,利用存储局域网可以很方便地通过光纤通道把各种服务器、存储设备连接在一起构成一个具有高性能、较好的数据可用性、可扩展的群集环境。(1)数据保护,存储局域网可以做到无服务器的数据备份,数据也可以后台的方式在存储局域网上传递,大大减少了主要网络和服务器上的负载,所以存储局域网可以很方便地实现诸如磁盘冗余、关键数据备份、远程群集、远程镜像等许多防止数据丢失的数据保护技术;(2)数据迁移,可以方便地进行两个存储设备之间的数据移动;(3)灾难恢复,特别是远程的灾难恢复;(4)数据仓库,用来构建一个网络系统的存储仓库,使得整个存储系统可以很好地共享。
在实际应用中,SAN也存在着一些不足:(1)设备的互操作性较差。目前采用最早和最多的SAN互连技术还是FibreChannel,对于不同的制造商,光纤通道协议的具体实现是不同的,这在客观上造成不同厂商的产品之间难以互相操作。(2)构建和维护SAN需要有丰富经验的、并接受过专门训练的专业人员,这大大增加了构建和维护费用。(3)在异构环境下的文件共享方面,SAN中存储资源的共享一般指的是不同平台下的存储空间的共享,而非数据文件的共享。(4)连接距离限制在10km左右等。更为重要的是,目前的存储区域网采用的光纤通道的网络互连设备都非常昂贵。这些都阻碍了SAN技术的普及应用和推广。
三、新的网络存储技术
1.NAS网关技术
NAS网关与NAS专用设备不同,它不是直接与安装在专用设备中的存储相连接,而是经由外置的交换设备,连接到存储阵列上——无论是交换设备还是磁盘阵列,通常都是采用光纤通道接口——正因为如此,NAS网关可以访问SAN上连接的多个存储阵列中的存储资源。它使得IP连接的客户机可以以文件的方式访问SAN上的块级存储,并通过标准的文件共享协议(如NFS和CIFS)处理来自客户机的请求。当网关收到客户机请求后,便将该请求转换为向存储阵列发出的块数据请求。存储阵列处理这个请求,并将处理结果发回给网关。然后网关将这个块信息转换为文件数据,再将它发给客户机。对于终端用户而言,整个过程是无缝和透明的。NAS网关技术使得管理人员能够将分散的NASfilers整合在一起,增强了系统的灵活性与可伸缩性,为企业升级文件系统、管理后端的存储阵列提供了方便。
2.IP-SAN技术
网络存储的发展产生了一种新技术IP-SAN。IP-SAN是以IP为基础的SAN存储方案,是一种可共同使用SAN与NAS,并遵循各项标准的纯软件解决方案。IP-SAN可让用户同时使用GigabitEthernetSCSI与FibreChannel,建立以IP为基础的网络存储基本架构,由于IP在局域网和广域网上的应用以及良好的技术支持,在IP网络中也可实现远距离的块级存储,以IP协议替代光纤通道协议,IP协议用于网络中实现用户和服务器连接,随着用于执行IP协议的计算机的速度的提高及G比特的以太网的出现,基于IP协议的存储网络实现方案成为SAN的更佳选择。IP-SAN不仅成本低,而且可以解决FC的传播距离有限、互操作性较差等问题。
四、结束语
数据的重要性越来越得到人们的广泛认同。未来网络的核心将是数据,网络化存储正是数据存储的一个发展方向。这里我们简要的介绍了几种当前比较流行的网络存储技术,当前网络存储技术还在不断的快速发展,SAN和NAS的融合、统一虚拟存储技术是未来发展的两个趋势。
篇9:网络管理技术论文
过去有一些简单的工具用来帮助网管人员管理网络资源,但随着网络规模的扩大和复杂度的增加,对强大易用的管理工具的需求也日益显得迫切,管理人员需要依赖强大的工具完成各种各样的网络管理任务,而网络管理系统就是能够实现上述目的系统。
1WBM技术介绍
随着应用Intranet的企业的增多,同时Internet技术逐渐向Intranet的迁移,一些主要的网络厂商正试图以一种新的形式去应用MIS。因此就促使了Web(Web-BasedManagement)网管技术的产生[2]。它作为一种全新的网络管理模式—基于Web的网络管理模式,从出现伊始就表现出强大的生命力,以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐,被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。
WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此,他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面,浏览器操作和Web页面对WWW用户来讲是非常熟悉的,所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说,WBM是网络管理方案的一次革命。
2基于WBM技术的网管系统设计
2.1系统的设计目标
在本系统设计阶段,就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标,采用先进的WBM技术和高效的算法,力求在性能上可以达到国外同类产品的水平。
本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行有效资源管理,使用户可以从任何地方通过WEB浏览器对网络和设备,以及相关系统和服务实施应变式管理和控制,从而保证网络上的资源处于最佳运行状态,并保持网络的可用性和可靠性。
2.2系统的体系结构
在系统设计的时候,以国外同类的先进产品作为参照物,同时考虑到技术发展的趋势,在当前的技术条件下进行设计。我们采用三层结构的设计,融合了先进的WBM技术,使系统能够提供给管理员灵活简便的管理途径。
三层结构的特点[2]:1)完成管理任务的软件作为中间层以后台进程方式实现,实施网络设备的轮询和故障信息的收集;2)管理中间件驻留在网络设备和浏览器之间,用户仅需通过管理中间层的主页存取被管设备;3)管理中间件中继转发管理信息并进行SNMP和HTTP之间的协议转换三层结构无需对设备作任何改变。
3网络拓扑发现算法的设计
为了实施对网络的管理,网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现在用户面前,即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发现算法。基于SNMP的拓扑算法在一定程度上是非常有效的,拓扑的速度也非常快。但它存在一个缺陷[3]。那就是,在一个特定的域中,所有的子网的信息都依赖于设备具有SNMP的特性,如果系统不支持SNMP,则这种方法就无能为力了。还有对网络管理的不重视,或者考虑到安全方面的原因,人们往往把网络设备的SNMP功能关闭,这样就难于取得设备的MIB值,就出现了拓扑的不完整性,严重影响了网络管理系统的功能。针对这一的问题,下面讨论本系统对上述算法的改进—基于ICMP协议的拓扑发现。
.1PING和路由建立
PING的主要操作是发送报文,并简单地等待回答。PING之所以如此命名,是因为它是一个简单的回显协议,使用ICMP响应请求与响应应答报文。PING主要由系统程序员用于诊断和调试实现PING的过程主要是:首先向目的机器发送一个响应请求的ICMP报文,然后等待目的机器的应答,直到超时。如收到应答报文,则报告目的机器运行正常,程序退出。
路由建立的功能就是利用IP头中的TTL域。开始时信源设置IP头的TTL值为0,发送报文给信宿,第一个网关收到此报文后,发现TTL值为0,它丢弃此报文,并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它进行解析,这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿,第一个网关把它的TTL值减为0后转发给第二个网关,第二个网关发现报文TTL值为0,丢弃此报文并向信源发送超时ICMP报文。这样就得到了路由中和第二个网关地址。如此循环下去,直到报文正确到达信宿,这样就得到了通往信宿的路由。
3.2网络拓扑的发现算法具体实现的步骤:
(1)于给定的IP区间,利用PING依次检测每个IP地址,将检测到的IP地址记录到IP地址表中。
(2)对第一步中查到的每个IP地址进行traceroute操作,记录到这些IP地址的路由。并把每条路由中的网关地址也加到IP表中。(3)对IP地址表中的每个IP地址,通过发送掩码请求报文与接收掩码应答报文,找到这些IP地址的子网掩码。
(4)根据子网掩码,确定对应每个IP地址的子网地址,并确定各个子网的网络类型。把查到的各个子网加入地址表中。
(5)试图得到与IP地址表中每个IP地址对应的域名(DomainName),如具有相同域名,则说明同一个网络设备具有多个IP地址,即具有多个网络接口。
(6)根据第二步中的路由与第四步中得到的子网,产生连接情况表。
4结语
本文提出的ICMP协议的拓扑发现方法能够较好的发现网络拓扑,但是它需要占用大量的带宽资源。本系统进行设计时,主要考虑的是对园区网络的网络管理,所有的被管理设备和网管系统处于同一段网络上,也就是说,系统可以直接到达被管理的网络,所以对远程的局域网就无能为力了。在做下一步工作的时候,可以添加系统对远程局域网络的管理功能。
参考文献
[1]晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究.2005,03.
[2]周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社.2000.
[3]李佳石,冰心著.网络管理系统中的自动拓扑算法[J].华中科技大学学报.2002,06.
篇10:网络管理技术论文
1应用局域网络管理软件平台
(1)面向业务操作者的业务工具。工作人员可以借助、使用应用局域网络管理软件平台进行器具收集、器具发放、证书制作、证书审核、证书打印、财务收费和证书领取等操作。(2)面向客户的器具送检工具。应用局域网络管理软件平台实现了局域网上送检业务受理功能,可以及时了解送检客户计量仪器检定情况。(3)高效的证书制作流程。应用局域网络管理软件平台充分考虑了制作证书环节各要素间的逻辑关系,通过关联匹配关系的设置,最大化减少了人为操作,提高了检定员制作证书的工作效率,同时可根据用户的要求合并多个器具到一张证书。(4)完整的财务管理。应用局域网络管理软件平台有到账确认、证书领取、发票关联等财务模块,成功地解决了证书领取不规范、到账确认不严谨、收费统计不准确等问题,实现了规范和灵活的高度统一。(5)方便的内检委托单生成功能。对于内检计量器具,应用局域网络管理软件平台可以自动生成相关的单据,规范和简化了工作流程。(6)有效的监管功能。通过建立和计量监督机构的数据共享,应用局域网络管理软件平台可以实现监督、检定(校准)的联动,提高了监督部门的工作效率,降低了工作强度,加强了计量技术机构的工作针对性。(7)资料的规范化管理。通过对计量标准、计量仪器信息及时补充,实现了业务管理部门对各种考核、认证资料电子化管理和自动生成、更新,从而降低了业务人员的工作强度。(8)高效方便的操作体验。批量录入送检仪器、检定任务自动分配、鼠标滚轮滚动加减数字输入,系统尽最大可能减少了用户操作键盘的输入强度。
2应用局域网络管理软件功能
应用局域网络管理软件由九大模块构成,分别为:基础信息、计量标准、标准器、仪器收发、检定业务、证书制作、统计查询、系统管理和消息平台。
2.1基础信息
基础信息模块包括专业类别信息、人员管理信息、格式模板管理信息、数据模板管理信息、规程规范管理、开展项目信息、授权签字人权限、客户管理、个性化设置等,为系统的运营提供了基本的数据支持。(1)专业类别信息。对检定专业以及对应的证书序号进行管理。(2)人员管理信息。对工作人员进行管理,对人员所使用的规程、设备、模板、开展项目和专业类别进行管理,并且可以设置人员是否为登录用户。(3)格式模板管理、数据模板管理信息。对证书的首页模板和续页模板文件进行管理。其中首页模板文件根据国家对检定证书的统一要求来管理。续页模板是指输出检定数据的模板,是采用Word文件形式制作的模板,方便用户自己设置模板文件。(4)规程规范管理。对计量标准考核规范信息进行管理,可以保证使用的是现行有效规程规范。(5)开展项目信息。对机构可以开展的检定项目进行管理,并对其相关联的规范、设备和模板进行维护。(6)授权签字人权限。对科室中规定时间段内具有审核权限的人员进行管理。
2.2计量标准
计量标准模块包括计量标准名称分类、计量器具名称与分类代码、计量标准三个部分,主要是为制作证书提供必要的计量标准数据。根据JJF1022—1991《计量标准命名技术规范》,JJF1051—2009《计量器具命名与分类编码》对命名进行规范。计量标准主要对所建的考核标准进行管理,并对标准的重复性、稳定性和考核复查信息进行记录。建标时对其中所规定的标准器、配套设备、配套设施和规程都建立了对应关系。
2.3标准器
标准器模块包括标准器分类、标准器管理、标准器维护、上级溯源单位和制造厂商五个部分。(1)标准器分类。对标准器分类信息进行管理。(2)标准器管理。对标准器的基本信息、标准器对应的参数、附件和附件的参数信息进行管理。(3)标准器维护。对标准器的动态信息,包括对过期或报废的标准器进行更换、修理记录、量值溯源信息、期间考核计划、使用记录进行管理。
2.4仪器收发
仪器收发包括委托单管理、器具分发、退检管理、器具返回、证书打印、发放证书和报价单管理等。(1)委托单管理是指对客户送检器具所填写的委托协议书相关信息进行管理,主要包括客户器具信息的管理、客户单位的添加、送检器具的信息一览表,实现了对送检过的器具的.管理,方便快速录入和查询相关信息。委托单中的“流水号管理”指的是仪器收发室的手写单上的流水号;信息“是否连续”指的是手写单上的流水号是否连续没有断号。在手写单多页的情况下能自动生成相应的流水号,不需要录入人员输入每个流水号。用户可以通过流水号对送检器具信息进行查询。委托单中,将计量器具分到相应科室的一系列信息,如“检定科室”、“到样日期”、“客户要求”,“附件”、“备注”自动变为可编辑状态。系统可以对多条信息的列(如“检定科室”、“客户要求”、“备注”等)设置相同内容,方便用户录入。根据客户实际要求在“客户要求”中选择相应的选项,“附件”用于记录客户送检器具的附带物品。(2)器具分发是指对客户的送检器具指定相应的检定科室,系统会根据委托单的信息进行自动分发。(3)证书打印、发放证书是指证书的打印以及给用户发放的记录。(4)报价单管理是指打印用户送检器具的报价单信息。
2.5检定业务
检定业务包括分配任务、个人任务管理、领取器具、规程规范领用记录、报价管理和证书费用修改。(1)分配任务是指科室负责人把科室任务分配给相应的检定人员。(2)个人任务管理是指检定员对分配给自己的任务进行查看和管理。(3)领取器具是指检定人员从仪器收发室领取个人任务中的客户送检器具。(4)证书费用修改是指对没有生成缴费单的证书,检定员自己修改证书的费用。
2.6证书制作
证书制作包括证书管理信息,制作证书信息,证书的核验、审核和审批,证书废弃审核,这些均应符合质量管理体系要求。
3结束语
应用局域网络管理软件在很大程度上满足了计量技术机构对日益增长的业务管理的需求,满足了JJF1069—2012《法定计量检定机构考核规范》中对计量技术机构管理体系的要求,完全实现了检定、校准各个环节工作的信息化、统一化、规范化,保证了机构内部建立适宜的沟通机制,提高了工作效率,将计量机构业务管理推向一个新的高度。
篇11:网络管理技术论文
摘 要:网络管理已经成为计算机网络和电信网研究中最重要的内容之一。本文首先介绍当前几种网络管理技术和TMN基本概念,然后讨论了TMN开发中的关键技术及TMN开发工具引入的必要性,并结合自己的开发实践讨论了TMN管理者和代理的开发,最后对电信管理网的未来发展趋势进行了展望。
一、网络管理技术概述
网络管理已经成为计算机网络和电信网研究中最重要的内容之一。网络中采用的先进技术越多,规模越大,网络的维护和管理工作也就越复杂。计算机网络和电信网的管理技术是分别形成的,但到后来渐趋同化,差不多具有相同的管理功能和管理原理,只是在网络管理上的具体对象上有些差异。
通常,一个网络由许多不同厂家的产品构成,要有效地管理这样一个网络系统,就要求各个网络产品提供统一的管理接口,即遵循标准的网络管理协议。这样,一个厂家的网络管理产品就能方便地管理其他厂家的产品,不同厂家的网络管理产品之间还能交换管理信息。
在简单网络管理协议SNMP(Simple Network Management Protocol)设计时,就定位在是一种易于实施的基本网络管理工具。在网管领域中,它扮演了先锋的角色,因OSI的CMIP发展缓慢同时在Internet的迅猛发展和多厂商环境下的网络管理解决方案的驱动下,而很快成为了事实上的标准。
SNMP的管理结构如图1所示。它的核心思想是在每个网络节点上存放一个管理信息库MIB(Management Information Base),由节点上60代理(agent)负责维护,管理者通过应用层协议对这些代理进行轮询进而对管理信息库进行管理。SNMP最大的特点就是其简单性。它的设计原则是尽量减少网络管理所带来的对系统资源的需求,尽量减少agent的复杂性。它的整个管理策略和体系结构的设计都体现了这一原则。
SNMP的主要优点是:
·易于实施;
·成熟的标准;
· C/S模式对资源要求较低;
·广泛适用,代价低廉。
简单性是SNMP标准取得成功的主要原因。因为在大型的、多厂商产品构成的复杂网络中,管理协议的明晰是至关重要的;但同时这又是SNMP的缺陷所在——为了使协议简单易行,SNMP简化了不少功能,如:
·没有提供成批存取机制,对大块数据进行存取效率很低;
·没有提供足够的安全机制,安全性很差;
·只在TCP/IP协议上运行,不支持别的网络协议;
·没有提供管理者与管理者之间通信的机制,只适中式管理,而不利于进行分布式管理;
·只适于监测网络设备,不适于监测网络本身。
针对这些问题,对它的改进工作一直在进行。如1991年11月,推出了RMON(Rernote Network Monitor)MIB,加强SNMP对网络本身的管理能力。它使得SNMP不仅可管理网络设备,还能监测局域网和互联网上的数据流量等信息,1992年7月,针对SNMP缺乏安全性的弱点,又公布了S-SNMP(Secure SNMP)草案。到1993年初,又推出了SNMP Version 2即SNMPv2(推出了SNMPv2以后,SNMP就被称为SNMPv1)。SNM-Pv2包容了以前对SNMP的各项改进工作,并在保持了SNMP清晰性和易于实现的特点以外,吸取了CMIP的部分优点,功能更强,安全性更好,具体表现为:
·提供了验证机制,加密机制,时间同步机制等,安全性大大提高;
·提供了一次取回大量数据的能力,效率大大提高;
·增加了管理者和管理者之间的信息交换机制,从而支持分布式管理结构,由位于中间层次(intermediate)的管理者来分担主管理者的任务,增加了远地站点的局部自主性。
·可在多种网络协议上运行,如OSI、AppleTalk和IPX等,适用多协议网络环境(但它的缺省网络协议仍是UDP)。
·扩展了管理信息结构的很多方面。特别是对象类型的定义引入了几种新的类型。另外还规范了一种新的约定用来创建和删除管理表(management tables)中的“行”(rows)。
·定义了两种新的协议数据单元PDU(Protocol Data Unit)。Get-Bulk-Request协议数据单元允许检索大数据块(large data blocks),不必象SNMP那样逐项(item by item)检索; Inform-Request协议数据单元允许在管理者之间交换陷阱(tran)信息。
CMIP协议是在OSI制订的网络管理框架中提出的网络管理协议。CMIP与SNMP一样,也是由管理者、代理、管理协议与管理信息库组成。
CMIP是基于面向对象的管理模型的。这个管理模型表示了封装的资源并标准化了它们所提供的接口。如图2所示了四个主要的元素:
·系统管理应用进程是在担负管理功能的设备(服务器或路由器等〕中运行的软件:
·管理信息库MIB是一组从各个接点收集来的与网络管理有关的数据;
·系统管理应用实体(system management application entities)负责网络管理工作站间的管理信息的交换,以及与网络中其它接点之间的信息交换;
·层管理实体(layer management entities)表示在OSI体系结构设计中必要的逻辑。
CMIP模型也是基于C/S结构的。客户端是管理系统,也称管理者,发起操作并接收通知;服务器是被管系统,也称代理,接收管理指令,执行命令并上报事件通知。一个CMIP操作台(console)可以和一个设备建立一个会话,并用一个命令就可以下载许多不同的信息。例如,可以得到一个设备在一段特定时间内所有差错统计信息。
CMIP采用基于事件而不是基于轮询的方法来获得网络组件的相关数据。
CMIP已经得到主要厂商,包括IBM、HP及AT&T的支持。用户和厂商已经认识到CMIP在企业级网络管理领域是一个比较好的选择。它能够满足企业级网管对横跨多个管理域的对等相互作用(peer to peer interactions)的要求。CMIP特别适合对要求提供集中式管理的树状系统,尤其是对电信网(telecommunications network)的管理。这就是下面提到的电信管理网。
二、电信管理网TMN
电信管理网TMN是国际电联ITU-T借鉴0SI中有关系统管理的思想及技术,为管理电信业务而定义的结构化网络体系结构,TMN基于OSI系统管理(ITU-U X.700/ISO 7498-4)的概念,并在电信领域的应用中有所发展.它使得网络管理系统与电信网在标准的体系结构下,按照标准的接口和标准的信息格式交换管理信息,从而实现网络管理功能。TMN的基本原理之一就是使管理功能与电信功能分离。网络管理者可以从有限的几个管理节点管理电信网络中分布的电信设备。
国际电信联盟(ITU)在M.3010建议中指出,电信管理网的基本概念是提供一个有组织的网络结构,以取得各种类型的操作系统(OSs)之间、操作系统与电信设备之间的互连。它采用商定的具有标准协议和信息的接口进行管理信息交换的体系结构。提出TMN体系结构的目的是支撑电信网和电信业务的规划、配置、安装、操作及组织。
电信管理网TMN的目的是提供一组标准接口,使得对网络的操作、管理和维护及对网络单元的管理变得容易实现,所以,TMN的提出很大程度上是为了满足网管各部分之间的互连性的要求。集中式的管理和分布式的处理是TMN的突出特点。
ITU-T从三个方面定义了TMN的体系结构(Architecture),即功能体系结构(Functional Architecture),信息体系结构(Information Architecture)和物理体系结构(Physical Architecture)。它们分别体现在管理功能块的划分、信息交互的方式和网管的物理实现。我们按TMN的标准从这三个方面出发,对TMN系统的结构进行设计。
功能体系结构是从逻辑上描述TMN内部的功能分布。引入了一组标准的功能块(Functional block)和可能发生信息交换的参考点(reference points)。整个TMN系统即是各种功能块的组合。
信息体系结构包括两个方面:管理信息模型和管理信息交换。管理信息模型是对网络资源及其所支持的管理活动的抽象表示,网络管理功能即是在信息模型的基础上实现的。管理信息交换主要涉及到TMN的数据通信功能和消息传递功能,即各物理实体和功能实体之间的通信。
物理体系结构是为实现TMN的功能所需的各种物理实体的组织结构。TMN功能的实现依赖于具体的物理体系结构,从功能体系结构到物理体系结构存在着映射关系。物理体系结构随具体情况的不同而千差万别。在物理体系结构和功能体系结构之间有一定的映射关系。物理体系结构中的一个物理块实现了功能体系结构中的一个或多个功能块,一个接口实现了功能体系结构中的一组参考点。
仿照OSI网络分层模型,ITU-T进一步在TMN中引入了逻辑分层。如图3所示:
TMN的逻辑分层是将管理功能针对不同的管理对象映射到事务管理层BML(Business Management Layer),业务管理层SML(Service Management Layer),网络管理层NML(Network Management Layer)和网元管理层EML(Element Management Layer)。再加上物理存在的网元层NEL(Network Element Layer),就构成了TMN的逻辑分层体系结构。从图2-6可以看到,TMN定义的五大管理功能在每一层上都存在,但各层的侧重点不同。这与各层定义的管理范围和对象有关。
三、TMN开发平台和开发工具
1.利用TMN的开发工具开发TMN的必要性
TMN的信息体系结构应用OSI系统管理的原则,引入了管理者和代理的概念,强调在面向事物处理的信息交换中采用面向对象的技术。如前所述,TMN是高度强调标准化的网络,故基于TMN标准的产品开发,其标准规范要求严格复杂,使得TMN的实施成为一项具有难度和挑战性的工作;再加上OSI系统管理专业人员的相对缺乏,因此,工具的引入有助于简化TMN的开发,提高开发效率。目前比较流行的基于TMN标准的开发平台有HPOV DM、SUN SEM、IBM TMN平台和DSET的DSG及其系列工具。这些平台可以用于开发全方位的TMN管理者和代理应用,大大降低TMN/Q3应用系统的编程复杂性,并且使之符合开放系统互连(OSI)网络管理标准,这些标准包括高级信息模型定义语言GDM0,OSI标准信息传输协议CMIP,以及抽象数据类型定义语言ASN.1。其中DSET的DSG及工具系列除了具备以上功能外,还具有独立于硬件平台的优点。下面将比较详细论述DSET的TMN开发工具及其在TMN开发中的作用。
2.DSET的TMN开发工具的基本组成
DSET的TMN开发工具从功能上来讲可以构成一个平台和两大工具箱。一个平台:分布式系统生成器DSG(Distributed System Generator);两个工具箱:管理者工具箱和代理工具箱。
分布式系统生成器DSG
DSG是用于顶层TCP/IP、OSI和其它协议上构筑分布式并发系统的高级对象请求代理0RB。 DSG将复杂的通信基础设施和面向对象技术相结合,提供构筑分布式计算的软件平台。通信基础设施支持分布式计算中通信域的通信要求。如图4所示,它提供了四种主要的服务:透明远程操作、远程过程调用和消息传递、抽象数据服务及命名服务。借助于并发的面向对象框架,一个复杂的应用可以分解成一组相互通信的并发对象worker,除了支持例如类和多重继承等重要的传统面向对象特征外,为了构筑新的worker类,DSG也支持分布式对象。在一个开放系统中,一个worker可以和其它worker进行通信,而不必去关心它们所处的物理位置。
DSG提供给用户用以开发应用的构造块(building block)称为worker。一个worker可以有自己的控制线程,也可以和别的线程共享一个控制线程,每个Worker都有自己的服务访问点SAP(Service Access Point),通过SAP与其它worker通信。Worker是事件驱动的。在Worker内部,由有限状态机FSM(Finite State Machine〕定义各种动作及处理例程,DSG接受外部事件并分发到相应的动作处理例程进行处理。如图5所示,独占线程的此worker有三个状态,两个SAPs,并且每个SAP的消息队列中都有两个事件。DSG环境通过将这些事件送到相应的事件处理程序中来驱动worker的有限状态机。
Worker是分布式的并发对象,DSG用它来支持面向对象的特点,如:类,继承等等。Worker由worker class定义。Worker可以根据需要由应用程序动态创建。在一个UNIX进程中可以创建的Worker个数仅受内存的限制。
管理者工具箱由ASN.C/C++编译器、CMIP/ROSE协议和管理者代码生成器MCG构成,如图6所示。
其中的CMIP/ROSE协议提供全套符合Q3接口选用的OSI七层协议栈实施。由于TMN在典型的电信环境中以面向对象的信息模型控制和管理物理资源,所有被管理的资源均被抽象为被管对象(M0),被管理系统中的代理帮助管理者通过MO访问被管理资源,又根据ITU-T M.3010建议:管理者与代理之间通过Q3接口通信。为此管理者必须产生与代理通信的CMIP请求。管理者代码生成器读取信息模型(GDMO文件和ASN.1文件),创立代码模板来为每个被定义的MO类产生CMIP请求和CMIP响应。由于所有CMIP数据均由ASN.1符号定义,而上层管理应用可能采用C/C++,故管理者应用需要包含ASN.1数据处理代码,管理者工具箱中的ASN C/ C++编译器提供ASN.1数据到C/C++语言的映射,并采用“预处理技术“生成ASN.1数据的低级代码,可见利用DSET工具用户只需编写网管系统的信息模型和相关的抽象数据类型定义文件,然后利用DSET的ASN C/C++编译器,管理者代码生成器即可生成管理者部分代码框架。
代理工具箱包括可砚化代理生成器VAB、CMIP翻译器、ASN.C/C++ Toolkit,其结构见图7。用来开发符合管理目标定义指南GDMO和通用管理信息协议CMIP规定的代理应用.使用DSET独具特色的代理工具箱的最大的好处就是更快、更容易地进行代理应用的开发。DSET在代理应用的开发上为用户做了大量的工作。
一个典型的GDMO/CM1P代理应用包括三个代码模块:
·代理、MIT、MIB的实施
·被管理资源的接口代码
·后端被管理资源代码
第一个模块用于处理代理与MO实施。代理工具箱通过对过滤、特性处理、MO实例的通用支持,自动构作这一个模块。DSET的这一部分做得相当完善,用户只需作少量工作即可完成本模块的创建。对于mcreate、m-、m-get、m-cancel-get、m-set、m-set-confirmed、m-action、m-action-confirmed这些CMIP请求,第一个模块中包含有缺省的处理代码框架。这些缺省代码都假定管理者的CMIP请求只与MO打交道。为了适应不同用户的需求,DSET代理工具箱又提供在缺省处理前后调用用户程序的接入点(称为User hooks)。当某CMIP请求需与实际被管资源或数据库打交道时,用户可在相应的PRE-或POST-函数中加入自己的处理代码。例如,当你需要在二层管理应用中发CMIP请求,需望获取实际被管资源的某属性,而该属性又不在相应MO中时你只需在GDMO预定义模板中为此属性定义一PRE-GET函数,并在你自己的定制文件中为此函数编写从实际被管设备取到该属性值的代码即可。DSET的Agent代码在执行每个CMIP请求前都要先检查用户是否在GDMO预定义文件中为此清求定义了PRE-函数,若是,则光执行PRE-函数,并根据返回值决定是否执行缺省处理(PRE-函数返回D-OK则需执行缺省处理,否则Agent向管理者返回正确或错误响应)。同样当Agent执行完缺省处理函数时,也会检查用户是否为该请求定义了POST-函数,若是则继续执行POST-函数。至于Agent与MO之间具体是如何实现通信的,用户不必关心,因为DSET已为我们实现了。用户只需关心需要与设备交互的那一部分CMIP请求,为其定制PRE-/POST函数即可。
第二个模块实现MO与实际被管资源的通信。它的实现依赖于分布式系统生成器DSG所提供“网关处理单元”(gateway)、远程过程调用(RPC)与消息传递机制及MSL语言编译器。通信双方的接口定义由用户在简化的ROSE应用中定义,在DSG中也叫环境,该环境定义了双方的所有操作和相关参数。DSG的CTX编译器编译CTX格式的接口定义并生成接口表。DSG的MSL语言编译器用以编译分布式对象类的定义并生成事件调度表。采用DSG的网关作为MO与实际被管资源间的通信桥梁,网关与MO之间通过定义接口定义文件及各自的MSL文件即可实现通信,网关与被管设备之间采用设备所支持的通信协议来进行通信,例如采用TCP/IP协议及Socket机制实现通信。
第三个模块对被管理资源进行实际处理。这一模块根据第二个模块中定义的网关与被管设备间的通信机制来实现,与工具没有多大联系。
四、TMN开发的关键技术
电信管理网技术蕴含了当今电信、计算机、网络通信和软件开发的最新技术,如OSI开放系统互连技术、OSI系统管理技术、计算机网络技术及分布式处理、面向对象的软件工程方法以及高速数据通信技术等。电信管理网应用系统的开发具有巨大的挑战性。
工具的引入很大程度上减轻了TMN的开发难度。留给开发人员的最艰巨工作就是接口(interface)的信息建模。尤其是Q3接日的信息建模问题。
Q3接口是TMN接口的“旗舰”,Q3接口包括通信模型和信息模型两个部分,通信模型(0SI系统管理)的规范制定的十分完善,并且工具在这方面所作的工作较多,因此,当我们设计和开发各种不同管理业务的TMN系统时,主要是采用一定的方法学,遵循一定的指导原则,针对不同电信领域的信息建模问题。
为什么说建模是TMN开发中的关键技术呢?从管理的角度而言,在那些先有国际标准(或事实上的标准),后有设备的情况下,是有可能存在一致性的信息模型的,例如目前SDH和七号信令网的TMN系统存在这样的信息模型标准。但即使这样,在这些TMN系统的实施过程,有可能由于管理需求的不同而对这些模型进行进一步的细化。在那些先有设备而后才有国际标准(或事实上的标准)的设备,而且有的电信设备就无标准而言,由于不同厂家的设备千差万别,这种一致性的信息模型的制定是非常困难的。
例如,近年来标准化组织国际电信联盟(ITU-T)、欧洲电信标准组织(ETSI)、网络管理论坛(NMF)和ATM论坛等相继颁布了一些Q3信息模型。但至今没有一个完整的稳定的交换机网元层的Q3信息模型。交换机的Q3信息模型提供了交换机网元的一个抽象的、一般的视图,它应当包含交换机的管理的各个方面。但这是不可能的。因为随着电信技术的不断发展,交换机技术也在不断的发展,交换机的类型不断增加,电信业务不断的引入。我们很难设计一个能够兼容未来交换机的信息模型。如今的交换机已不再是仅仅提供电话的窄带业务,而且也提供象ISDN这样的宽带业务。交换机趋向宽带窄带一体化发展,因此交换机的Q3信息模型是很复杂的,交换机Q3信息建模任务是很艰巨的。
五、TMN管理者和代理的开发
下面结合我们的开发工作,探讨一下TMN管理者和代理的开发。
1.管理者的开发
基于OSI管理框架的管理者的实施通常被认为是很困难的事,通常,管理者可以划分为三个部分。第一部分是位于人机之间的图形用户接口GUI(Graphical User Interfaces),接收操作人员的命令和输入并按照一种统一的格式传送到第二部分——管理功能。管理功能提供管理功能服务,例如故障管理,性能管理、配置管理、记费管理,安全管理及其它特定的管理功能。接收到来GUI的操作命令,管理功能必须调用第三部分——CMSI API来发送CMIP请求到代理。CMIS API为管理者提供公共管理信息服务支持。
大多数的网管应用是基于UNIX平台的,如Solaris,AIX and HP-UX。若GUI是用X-Window来开发的,那么GUI和管理功能之间的接口就不存在了,从实际编程的的角度看,GUI和管理功能都在同一个进程中。
上面的管理者实施方案尽管有许多优点,但也存在着不足。首先是费用昂贵。所有的管理工作站都必须是X终端,服务器必须是小型机或大型机。这种方案比采用PC机作客户端加上UNIX服务器的方案要昂贵得多。其次,扩展性不是很好,不同的管理系统的范围是不同的,用户的要求也是不一样的,不是所有的用户都希望在X终端上来行使管理职责。因此,PC机和调终端都应该向用户提供。最后由于X-Window的开发工具比在PC机上的开发工具要少得多。因此最终在我们的开发中,选择了PC机作为管理工作站,SUN Ultral作为服务器。
在实际工作中我们将管理者划分为两个部分——管理应用(management application)和管理者网关(manager gateway)。如图8所示。
管理应用向用户提供图形用户接口GUI并接受用户的命令和输入,按照定义好的消息格式送往管理者网关,由其封装成CMIP请求,调用CMIS API发往代理。同时,管理者网关还要接收来自代理的响应消息和事件报告并按照一定的消息格式送往管理应用模块。
但是这种方案也有缺点。由于管理应用和管理者网关的分离,前者位于PC机上,后者位于Ultral工作站上。它们之间的相互作用须通过网络通信来完成。它们之间的接口不再是一个参考点(Reference Point),而是一个物理上的接口,在电信管理网TMN中称为F接口。迄今为止ITU-T一直没能制定出有关F接口的标准,这一部分工作留给了TMN的开发者。鉴于此,我们制定了管理应用和管理者网关之间通信的协议。
在开发中,我们选择了PC机作为管理工作站,SUN Ultral作为我们的管理者网关。所有的管理应用都在PC机上。开发人员可以根据各自的喜好来选择不同开发工具,如Java,VC++,VB,PB等。管理者网关执行部分的管理功能并调用CMIS API来发送CMIP请求,接收来自代理的响应消息和事件报告并送往相应的管理应用。
管理者网关的数据结构是通过编译信息模型(GDMO文件和ASN.1文件)获得的。它基于DSG环境的。管理者网关必须完成下列转换:
数据类型转换:GUI中的数据类型与ASN.1描述的数据类型之间的相互转换;
消息格式转换:GUI和管理者网关之间的消息格式与CMIP格式之间的相互转换;
协议转换:TCP/IP协议与OSI协议之间的相互转换。
这意味着管理者网关接收来自管理应用的消息。将其转换为ASN.1的数据格式,并构造出CMIS的参数,调用CMIS API发送CMIP请求。反过来,管理者收到来自代理的消息,解读CMIS参数,构造消息格式,然后送往GUI。GUI和管理者网关之间的消息格式是由我们自己定义的。由于管理应用的复杂性,消息格式的制定参考了CMIS的参数定义和ASN.1的数据类型。
管理者网关是采用多线程(multi-thread)编程来实现的。
2.代理的开发
代理的结构如图9所示。
为了使代理部分的设计和实现模块化、系统化和简单化,将agent分成两大模块——通用代理模块和MO模块——进行设计和实现。如图所示,通用agent向下只与MO部分直接通信,而不能与被管资源MR直接进行通信及操作,即通用agent将manager发来的CMIP请求解析后投递给相应的M0,并从MO接收相应的应答信息及其它的事件报告消息。
代理的作用是代表管理者管理MO。利用工具的支持,采用面向对象的技术,分为八个步骤进行agent的设计和实现,这八个步骤是:
第一步:对信息模型既GDMO文件和ASN.1文件的理解,信息模型是TMN系统开发的基础和关键。特别是对信息模型中对象类和其中各种属性清晰的认识和理解,对于实际的TMN系统来说,其信息模型可能很复杂,其中对象类在数量上可能很多。也就是说,在设计和实现agent之前,必须作到对MO心中有数。
第二步:被管对象MO的定制。这一部分是agent设计和实现中的关键部分,工具对这方面的支持也不是很多,特别是涉及到MO与MR之间的通信,更为复杂,故将MO专门作为一个模块进行设计和实现MO和MR之间的通信以及数据和消息格式的转换问题,利用网关原理设计一个网关来解决。
第三步:创建内置的M0。所谓内置MO就是指在系统运行时,已经存在的物理实体的抽象。为了保证能对这些物理实体进行管理,必须将这些被管对象的各种固有的属性值和操作预先加以定义。
第四步:创建外部服务访问点SAP。如前所述,TMN系统中各个基于分布式处理的worker之间通过SAP进行通信,所以要为agent与管理者manager之间、agent与网关之间创建SAP。
第五步:SAP同内置MO的捆绑注册。由于在TMN系统中,agent的所有操作是针对MO的,即所有的CMIP请求经解析后必须送到相应的M0,而基于DSG平台的worker之间的通信是通过SAP来实现的。因而,在系统处理过程中,当进行信息的传输时,必须知道相应MO的SAP,所以,在agent的设计过程中,必须为内置MO注册某一个SAP。
第六步:agent配置。对agent中有些参数必须加以配置和说明。如队列长度、流量控制门限值、agent处理单元组中worker的最大/最小数目。报告的处理方式、同步通信方式中超时门限等。
第七步:agent用户函数的编写,如agent worker初始化函数、子代理函数等的编写。
第八步:将所有函数编译,连接生成可运行的agent。
MO模块是agent设计中的一个重要而又复杂的部分。这是由于,一方面工具对该部分的支持不是很多:另一方面,用户的大部分处理函数位于这一部分;最主要的还在于它与被管资源要跨平台,在不同的环境下进行通信。MO模块的设计思想是在MO和MR之间设计一个网关(gateway),来实现两者之间的消息、数据、协议等转换。
MO部分的主要功能是解析,执行来自管理者的CMIP请求,维持各MO的属性值同被管资源的一致性,生成CMIP请求结果,并上报通用agent模块,同时与MR通信,接收和处理来自MR的事件报告信息,并转发给通用agent。
MO部分有大量的用户定制工作。工具只能完成其中一半的工作,而另一半工作都需要用户自己去定制。用户定制分为两大类;
第一类是PRE-/POST-函数。PRE-/POST-函数的主要功能是在agent正式处理CMIP请求之前/之后与被管资源打交道,传送数据到MR或从MR获取数据并做一些简单的处理。通过对这些PRE-/POST-函数的执行,可以确保代理能够真实地反映出被管资源的运行状态。PRE-/POST-函数分为两个层次:MO级别和属性级别。MO级别层次较高,所有对该对象类的CMIP操作都会调用MO级别的PRE-/POST-函数。属性级别层次低,只有对该属性的CMIP操作才会调用这些函数。DSET工具只提供了PRE-/POST-函数的人口参数和返回值,具体的代码需要完全由用户自己编写。由于agent与被管资源有两种不同的通信方式,不同的方式会导致不同的编程结构和运行效率,如果是同步方式,编程较为简单,但会阻塞被管资源,适合于由大量数据返回的情况。异步方式不会阻塞被管资源,但编程需要作特殊处理,根据不同的返回值做不同的处理,适合于数据不多的情况,在选择通信方式时还要根据MO的实现方式来确定。比如,MO若采用Doer来实现,则只能用同步方式。
第二类是动作、事件报告和通知的处理,动作的处理相对比较容易,只需考虑其通信方式采用同步还是异步方式。对事件报告和通知的处理比较复杂。首先,需要对事件进行分类,对不同类别的事件采用不同的处理方法,由哪一个事件前向鉴别器EFD(Event Forwarding Discriminator)来处理等等。比如,告警事件的处理就可以单独成为一类。其次,对每一类事件需要确定相应的EFD的条件是什么,哪些需要上报管理应用,哪些不需要。是否需要记入日志,这些日志记录的维护策略等等。
除了这两类定制外,MO也存在着优化问题。比如MO用worker还是Doer来实现,通信方式采用同步还是异步,面向连接还是无连接等等,都会影响整个代理的性能。
如果MO要永久存储,我们采用文件方式。因为目前DSET的工具只支持Versant、ODI这两种面向对象数据库管理系统OODBMS,对于0racle,Sybase等数据库的接口还需要用户自己实现。MO定制的工作量完全由信息模型的规模和复杂程度决定,一个信息模型的对象类越多,对象之间的关系越复杂(比如一个对象类中的属性改变会影响别的类),会导致定制工作的工作量和复杂程度大大增加。
代理者agent在执行管理者发来的CMIP请求时必须保持与被管资源MR进行通信,将manager传送来的消息和数据转发给MR,并要从MR获取必要的数据来完成其操作,同时,它还要接收来自MR的事件报告,并将这些事件上报给manager。
由上述可知,代理与被管资源MR之间的通信接口实际上是指MO与MR之间的通信接口。大部分MO是对实际被管资源的模拟,这些MO要与被管资源通信。若让这些MO直接与被管资源通信,则存在以下几个方面的弊端:
·由于MO模块本身不具备错误信息检测功能(当然也可在此设计该项功能,但增加了MO模块的复杂性),如果将上向发来的所有信息(包括某些不恰当的信息)全部转发给MR,不仅无此必要,而且增加了数据通信量;同理MR上发的信息也无必要全部发送给MO。
·当被管资源向MO发消息时,由于MIT对于被管资源来说是不可知的,被管资源不能确定其相应MO在MIT中所处的具体位置,从而也就无法将其信息直接送到相应的MO,因而只能采用广播方式发送信息。这样一来,每当有消息进入MO模块时,每个MO都要先接收它,然后对此消息加以判断,看是否是发给自己的。这样一方面使编程复杂化,使软件系统繁杂化,不易控制,调试困难;另一方面也使通信开销增大。
·MO直接与被管资源通信,使得系统在安全性方面得不到保障,在性能方面也有所下降,为此,采用计算机网络中中网关(gateway)的思想,在MO与被管资源建立一个网关,即用一个gateway worker作为MO与被管资源通信的媒介。网关在代理的进程处理中起到联系被管资源与MO之间的“桥梁”作用。
六、总结与展望
Q3接口信息建模是TMN开发中的关键技术。目前,各标准化组织针对不同的管理业务制定和发布了许多信息模型。这些模型大部分是针对网元层和网络层,业务层和事务层的模型几乎没有,还有相当的标准化工作正在继续研究。业务层和事务层的模型是将来研究的重点。
除了Q3接口外,TMN的接口还包括X,F,Qx接口。它们的Q3接口相同也包括通信模型和信息模型两个部分。各标准化组织几乎没有发布针对这些接口的规范。F接口和具体的一个TMN系统的实施密切相关,没有必要对其的通信模型和信息模型进行规范化。Qx是不完善的Q3接口,它是非标准的厂家专用的Q接口,虽然在管理系统的实施中,很多产品采用Qx接口作为Q3接口的过渡,但是随着标准化进程的推进,Qx接口将逐步被抛弃。电信工业的变化日新月异,宽带网络使得分布系统互连成为可能,使得不同的电信服务公司和运营公司相互竞争、相互合作来向用户提供服务。在这种环境下,整个电信网络管理将涉及到不同的组织以及它们的管理系统。基于TMN的多域管理(TMN-Based Multi-Domain Management)将成为未来电信网管的重要研究方向。X接口位于两个TMN系统之间,对它研究是基于TMN的多域管理系统的重点。
TMN有技术上的先进、强调公认的标准和接口等优点。但它也有目标太大、抽象化要求太高、信息模型的标准化进程太慢、OSI满协议栈的效率不高等问题。TMN自身需要进一步发展。在网络管理技术方面,除了TMN一种体系结构以外,还有ITU & ISO的开放分布处理(ODP),OSF的分布处理和管理环境(DCE/DME),NMF的OMNIPoint,OMG的公共对象请求代理体系结构(CORBA)以及TINA-C的电信信息网络体系结构(TINA)。目前,CORBA技术越来越被电信、网络部门接受和采用。CORBA体系结构是对象管理组织OMG为解决分布式处理环境中,硬件和软件系统的互连而提出的一种解决方案。CORBA适用于业务层和事务层的管理应用。对于下几层(网元层、网元管理层和网络管理层)而言,还没有比TMN更好的体系结构。TINA体系结构是基于分布式计算,面向对象以及电信和计算机业界的其它和标准,如ODP,IN,TMN和CORBA;它将电信业务和管理业务综合到同一种体系结构中,是电信业务与电信网络技术无关,从而使电信业务的开放与管理不受多厂商设备的影响。虽然TINA处于发展中,还不很成熟,但它是未来电信体系结构的最终方向。
篇12:网络防火墙技术论文
[论文关键词]
防火墙 网络安全
[论文摘要]
在当今的计算机世界,因特网无孔不入。为应付“不健全”的因特网,人们创建了几种安全机制,例如访问控制、认证表,以及最重要的方法之一:防火墙。
随着网络技术的发展,因特网已经走进千家万户,网络的安全成为人们最为关注的问题。目前,保护内部网免遭外部入侵比较有效的方法为防火墙技术。
一、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
二、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
三、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
四、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的.基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
五、防火墙的局限性
尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略。
篇13:网络互联技术论文
一、国际化预算费用内控管理平台的主要建设内容
1、借鉴COSO委员会发布的内部控制整合框架,建立符合笔者所在单位实际情况的央企内部控制规范体系,创造性地构建了“626”管控模式。2、国际化经营给企业预算内控带来一系列财务管理方面的问题,如各国不同的文化、记账币种、会计准则、财务制度等,都对企业预算内控提出了新的和更高的要求,通过信息系统在国外各分支机构建立起标准的预算控制体系和财务核算体系,降低了由于集团企业大型化,发展高速化,地域分散化所带来的管理风险。3、提出了“以全面管理为主线,以资金管控为核心”的经费支出过程管理体系。实行统筹预算、统一标准、分级管理的预算管理模式,建立预算决策、预算编审、预算执行三个层次的组织体系结构。实行全组织预算、全员预算、全业务预算、流程预算管控的全面预算体系。4、引入了事前规划、事中控制、事后记录及分析的预算管理流程。以预算为龙头,全面打通出差申请、合作方订票、借款单、报销单,以业务单据集成NC系统财务凭证、实现数据流程的协同和共享,并基于业务数据基础进行财务管控,打破人、财、物、信息等资源之间的各种壁垒和边界。5、将企业的管理制度与信息化系统紧密结合,形成双向管理循环,使内控制度直接通过计算机系统落地。6、信息系统进行国际化的布署和数据管理,充分利用移动互联技术,将业务流程及系统审批与手机功能相集成,打破时间与空间限制,实现员工自助化服务。7、基于SOA架构的企业服务总线技术,一体化集成办公系统、人力资源系统、财务核算系统,使各系统之间的信息互联互通,实现业务财务一体化,并保护原有投资。
二、国际化预算费用内控管理平台建设的主要技术难点
1、基于开放式服务SOA架构。由于该内控管理信息系统不仅包括系统内部的各种服务组件(如预算组件、资金管理组件、流程监控组件等),同时还包括企业原有建设系统中的服务,如人力资源系统中的员工信息服务,OA系统中的统一权限认证、消息管理等服务,财务核算系统中的凭证处理服务等。因此,内控管理平台中的信息和数据将来源于各个业务应用系统。柔性化平台将采用软件总线技术,定义了业务组件的标准,所有的业务组件在平台中都是可以支持热插拔的,业务组件间的交互通过SOAP消息来实现。业务组件统一采用WebService暴露,为了提升效率,该平台也支持业务组件通过.NETRemoting进行暴露,以此来提高系统的集成性与互操作性。2、采用平台化开发策略,业务组件以构件化方式进行开发。企业内控能力将随着管理水平的提高而不断发展和完善,因此组件化开发可以避免重复开发的问题。随着IT技术的发展,不断提高节能企业内控管理的智能化水平。本项目的平台实现了构件及业务组件的注册、发布、AOP实现及业务组件可视化管理等功能。3、实现工作流引擎技术的创新,在现有工作流技术上设计开发可实现全业务、全过程智能化主动服务机制的新一代工作流平台工作导航引擎。工作导航技术将在工作过程图形化管理、业务动态组装、工作智能提醒追踪、流程动态判断等方面全面提升。此平台技术将对事前规划、事中控制、事后记录及分析的预算管理流程及其他业务的标准化、智能化提供最优秀的支撑。
三、国际化预算费用内控管理平台建设的主要创新点
1、国际化管理思维创新:即根据企业本身国际化经营、国际化管控的特点,在系统设计时充分考虑多国会计准则、多币种、多国费用标准等国际化管理特点,系统可有效支持多币种、多语言,并创新性的支持会计翻译功能,实现对多会计准则的支持。通过信息系统在国外各分支机构建立起国际化标准的预算控制体系和财务核算体系,降低了由于集团企业大型化,发展高速化,地域分散化所带来的管理风险。2、内控模式及制度创新:即根据企业的管理特点将其经济业务划分为62种经济行为,综合运用预算、归口、审批、标准、程序、单据6大控制方式进行有效管控,形成具有企业特色的“626”管控模式。3、系统建设思路创新:根据企业内控体系的核心,提出“以全面预算为主线、以资金管控为核心”的建设思路,构建全组织预算、全员预算、全业务预算、流程预算管控的全面预算体系,实现事前规划、事中控制、事后记录及分析的预算管控流程,打破人、财、物、信息等资源之间的各种壁垒和边界,最终实现企业内控的管理目标,管理手段及管理制度通过信息系统的建设来实现落地。4、移动互联技术应用创新:利用移动互联技术实现全员自助服务,利用移动互联技术让企业事务管理和内控随时随地无处不在,利用移动互联技术让企业风险分析和预警智能推送。信息系统通过移动互联和虚拟云技术实现国际化部署和数据管理。5、创新基于SOA架构的企业服务总线技术,实现业务财务一体化:系统建设过程中创新性的基于柔性化平台开发,采用基于企业服务总线技术,所有的业务组件在平台中都是可以热插拔的,业务组件间的交互通过SOAP消息实现,业务组件统一采用WebService暴露。系统与财务核算、OA、人力资源等业务协同系统基于柔性化平台,可以实现单据之间的灵活转换和数据交换,因此能够满足用户多种多样的应用场景(如费用报销数据与财务核算数据之间的凭证交换和数据联查,综合办公系统的统一身份认证和权限统一管理),也可以根据流程和管理要求的变化进行适应性的调整。
四、结束语
国际化预算费用内控管理平台通过在笔者所在单位的总部职能部门及境外区域部的上线应用,运用互联网技术和移动云技术,形成一个低成本高效益的集企业资金流、信息流和管理标准规范于一体的管理平台,大大节省了跨国异地的业务协作、信息交流及数据流转成本,有效地解决了企业在国际化经营中遇到的预算、资金管理中的各种现实问题,规范了预算管理及资金管理流程,增加了预算分析能力,提升了企业风险内控能力,可间接减少因内控不足而可能产生的各种经济损失,具有较高的经济价值。该系统在建设过程中形成的626管理模型和企业内控标准,为我国企业特别是央企内部控制规范体系的制定提供了有益参考,为后续的相关研究和实践提供了重要借鉴,具有较强的社会效益。
篇14:网络互联技术论文
论文关键词:软交换;可靠性;承载网;QoS
论文摘要:软交换作为下一代通信网络的控制核心部分,对其在网络中的可靠性有很高的要求。本文在对软交换的技术特点分析的基础上,详细讨论了软交换技术中承载网组网技术,重点分析了软交换承载网在基于QoS保证的实现技术。并对承载网的安全性和可靠性进行了研究。
一、引言
从当前电信业务发展的大趋势看,IP业务将成为未来业务的主体。特别是随着下一代因特网以及新一代网络的发展,IP向传统电信业务的渗透和传统电信业务与IP的融合步伐将大大加快。
现有的传统的电路交换技术,虽然在可以预见的未来仍将是提供实时电话业务的基本技术手段,但是已经不能适应未来以突发性数据为主的业务,因此建设新的对数据业务最佳的新一代网络将势在必行。在传统的电路交换中,提供给用户的各项功能或业务都直接与交换机有关,业务和控制都是由交换机来完成的,交换机所需要提供的业务和交换机提供的新业务都需要在每个交换机节点来完成,硬件平台封闭,不利于业务的开发和应用。如今需要将业务与控制分离,将呼叫控制与承载分离,这就出现了下一代网络(NGN)的概念。下一代网络采用开放的分布式的网络架构,将网络分成网络业务层、核心控制层、传输接入层和媒体层,NGN的主要设计思想是分布式的结构,也就是将业务层、控制层与传送层、接入层分离,各实体之间通过标准的协议进行连接和通信。为此,通信网络从电路交换向以软交换为核心的下一代网络发展已是大势所趋。
二、软交换中承载网的QoS分析
(一)影响承载网QoS的指标
在影响软交换承载网的QoS指标,主要有以下几个方面:
1、抖动问题
根据实验测量得出,当抖动大于500ms是不可接收的,而抖动达到300ms时,是可以接受的。此时为了消除抖动会引起较大的时延,综合时延对语音质量的影响来考虑,要求承载网的抖动小于80ms。抖动所引起端到端的时延增加,会引起语音质量的降低。
影响抖动的因素一般和网络的拥塞程度相关。网络节点流量超忙,数据包在各节点缓存时间过长,使得到达速率变化较大。由于语音同数据在同一条物理线路上传输,语音包通常会由于数据包的突发性而导致阻塞。
2、时延问题
当前IP分组网的固有特性和低比特话音编解码器的使用,使得VoIP语音分组的端到端时延要比电路交换网中的时延大得多,组成部分也更为复杂,VoIP应用中网络通信结构和底层传输协议的多样性,决定了时延成分的多样性。端到端的时延可以分成两个部分,即固定时延和可变时延。固定时延包括编解码器引入的时延和打包时延。固定时延和采用的压缩算法、打包的语音数据量相关。可变时延包括:承载网上的传输、节点中排队、服务处理时延、去抖动时延,这些和设备的端口速率,网络的负载情况,经过的网络路径、设备对QoS的支持方式、实现的QoS算法等密切相关。
IP网中话音分组的端到端时延,150ms以下的时延,对于大多数应用来说是可接受的;150—400ms之间的时延,在用户预知时延状况的前提下可以接受,大于400ms的时延不可接受。
目前,不同级别的网络设备,在正常情况下的数据包处理时延为几十微秒到几毫秒,能够满足单跳时延要求,但承载网的跳数设计不能超过以上端到端的的时延要求,而且跳数越少越好。
3、丢包率
丢包对VoIP语音质量的影响较大,当丢包率大于10%时,己不能接受,而在丢包率为5%时,基本可以接受。因此,要求IP承载网的丢包率小于5%。
丢包率的形成原因主要有两点,一是传统IP传输过程中的误码,这种情况在目前的网络条件下发生的概率极低。另一个是不能保障业务带宽造成的,当网络流量越拥塞,影响就越强烈,丢包发生率也就越大。
4、带宽问题
足够的带宽是保障业务QoS的重要手段。如语音编码压缩采用速率为8kbit/s。典型的语音编码器每2Oms分发一个语音数据包,每个数据包中含有两个语音帧,所以每2Oms就会采样生成160bit的信号,即数据包大小为20字节。控制流和信令流的带宽详细计算原则是一样的,要考虑信令消息以及形肖的字节数,开销的计算跟语音业务带宽中的计算类似,信令消息的字节数则需要根据不同协议的呼叫消息字节数、呼叫比例的分配等来计算。由于控制信令在承载网占用的带宽较媒体流来说微乎其微,大约只占所需带宽的0.5%,一个简单快速的算法就是按照媒体流带宽的2.5%预留。
(二)承载网的QoS解决方案
通过对影响QoS的以上指标分析可以看到,对承载网要充分合理的带宽规划、避免网络拥塞,是目前现实方案中需要重点考虑的因素。
在传送数据之前,根据业务的服务质量需求进行网络资源预留,从而为改数据流提供端到端的服务质量保证。集成模型虽然能够提供确定的服务质量保证,但是它需要在网络中维护每个流的状态,对路由器的要求高,难以在大型正网络中实施,因此不考虑使用这个方案。区分服务的基本思想是将用户的数据流按照服务质量要求划分等级,级别高的数据流在排队和占用资源时比级别低的数据流有更高的优先级。区分服务只包含有限数量业务级别,状态信息数量少、实现简单、扩展性好。因此区分服务是目前大家认同的IP网络QoS的解决方案。
在NGN业务与互联网业务共用网络设备的情况下,互联网业务的流量特征对网络QOS性能的影响要充分考虑。一直以来,互联网的网络规划与建设基本上是参照平均统计的经验模型,在充分考虑业务发展需要的同时预留一定的余量,网络设备的能力与带宽往往超过实际的需要,但实际上发现网络的质量并不稳定。因此,在网络设计中必须充分考虑互联网流量对NGN业务的冲击。解决这个问题,可以考虑建设NGN专用网络去避免这个问题。从运营的角度看,考虑到传输资源充分、网络带宽以及设备成本低、安全性等因素的考虑,建设专用轻载网络,尽可能增大网络带宽也是非常现实的方案。
承载网的QoS解决思路,将根据实际情况混合采用以上技术。在骨干层使用
MPLSVPN技术。在与互联网共用设备的节点,根据NGN承载的实体,分别将骨干网上NGNVPN的LSP,NGN业务的二层VLAN,NGN业务的三层IP地址的优先级字段都设置为最高级别,网络节点通过优先级字段进行报文分类、流量整形、流量监管和队列调度,从而实现对NGN业务高优先级的处理,最大程度减少互联网的突发特性对NGN业务的冲击。另外,专用设备的'建设用以保障在NGN业务量大的区域,隔离互联网对NGN业务的影响。
三、承载网的安全性与可靠性分析
为防止受到黑客或病毒程序的攻击或干扰,NGN承载网必须与互联网进行物理或逻辑隔离,与互联网的互通必须通过安全设备(如防火墙)实现,不能直接接入;NGN用户或设备的接入需要经过身份认证才可以接入NGN网络,避免非法用户和非法报文进入NGN网络。只有当用户的身份得到确认,才可以进行事后审计与追踪,有效地防止了用户侧的网络攻击行为。通过以上措施可以基本消除来自其它网络和NGN用户方面的安全隐患,但还要采取安全手段来保证NGN内部网络的安全。
软交换、网关、服务器等NGN核心网络设备在IP网中的地位类似于网络主机设备,因此要求这些设备应具备数据网中主机设备所具有的安全规格,可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对NGN核心网络设备的安全防护。对于一些对安全级别要求较高的用户还可以采用加密技术对信令和数据进行加密保护。网管系统对各网元设备设置不同级别的管理员权限,使用户不能越级对设备进行操作。
考虑到NGN承载网承载的都是电信级的业务,必须对网络的可靠性进行充分的考虑。单台数据设备支持关键部件及单板的备份以及多个设备之间负载分担及冗余备份,如VRRP的方式保证网络的安全性与可靠性;在组网上可以考虑MPLSFRR和OSPF多条同等开销路径,当链路失效时具有高效的切换机制保证所有业务的不中断。
参考文献
[1]糜正棍,软交换技术与协议,北京,人民邮电出版社,2000
[2]通信世界,软交换网络组网方案分析,2004
[3]陈建亚,软交换与下一代网络,北京邮电大学出版社,2003
★ 网络优化论文
★ 网络多媒体论文
★ 网络安全技术论文
★ 信息化技术论文
★ 机械制造技术论文
★ 现代教育技术论文
网络防御技术论文(合集14篇)
