通往仙境范文

时间:2023-03-28 05:21:46

导语:如何才能写好一篇通往仙境,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。

通往仙境

篇1

2011年的诺贝尔文学奖颁给了瑞典诗人托马斯。评委会的颁奖词中说,他诗歌中的意象给予我们通往现实的崭新路径。其实意思就是说,通过他的诗歌中的意象,我们能还原和重新寻到这个世界的另一番模样。

仔细想来,我们每个人的人生,其实都在试图探寻另外的一个世界,不同的那个自己。但是通往现实的路到底是怎么样的呢?我们又常常看不清楚。聆听了很多的教诲之后,我们知道,人生要有规划,这样目标清晰,走的弯路少一些,能快速到达希望的未来。但是刚刚逝去的巨人乔布斯却对此无情地给予了否定。他的人生从来没有规划,只是遵从着内心的直觉,他用勇气和坚持缔造了属于自己的时代。

而我们中的很多人,为了找寻到通往现实的路径,曾经极力钻营,不惜历经险阻,但最后却摔得头破血流,发见自己所追求的多是虚妄。什么缘故?大约是因为我们中的大多数在看到乔布斯的行为和成就时深感鼓舞和羡慕,但是真让我们走如他那样艰辛的创造之路,又会在内心退缩。我们会追问自己:我的梦想是否现实?我的工作是很有“钱途”还是更符合自己的理想?对待后一个问题,恐怕很多人的回答是“钱途”。我们身处如此浮躁不安的世界,我们的世界充斥在迷茫的追逐中。我们身心疲惫却最终两手空空,只能茫然注目这个感觉并不属于自己的世界,留下感伤的泪水。尽管知道自己的时间有限,尽管内心想着不去浪费它,但是无奈很多人终其一生都是如此度过。

诗人托马斯没有著作等身,可他却如此富足安乐;乔布斯的人生更加纯粹,归结起来就两个字――创造,却在天地间留下了回声。而回望他们的人生,我们都能找到他们的世界中有一条清晰却宁静的小径,那里花香弥漫,绿树成荫。那是他们一如既往的梦境,却最终成真。而我们呢?却老是在小径外徘徊,游移,最终迷失。

相信每一个人都有属于自己的路径,区别在于:你是会一直努力走下去,还是随时准备掉头走另外的路径。真心希望,现实中的我们,能不惧得失,最后“偏执”地找到你自己通往现实的路径。

篇2

【关键词】POI 泄漏电缆 多网络制式

武汉地铁2号线是武汉市第一条全程地下运营的轨道列车线路。该线路的公用移动通信网络由中国电信湖北公司、中国移动湖北公司、中国联通湖北公司三家电信运营商共同建设,涉及中国电信CDMA 1X/DO、CDMA2000,中国移动GSM900、DCS1800、TD-SCDMA、TD-LTE,中国联通GSM900、DCS1800、WCDMA等9个网络制式。

武汉地铁2号线计划于2012年12月底开通运营,湖北邮电规划设计有限公司受三家运营商委托,与地铁方、运营商、设备供应商以及施工单位协同合作,完成了多网络复杂情况下公用移动通信网络的建设方案。本文就该项目中实现地铁通信网络建设中几个关键环节进行介绍。

1 POI器件的设计实现

POI器件即多系统接入平台(Point Of Interface),是系统实现多网络制式的关键器件。该系统运用频率合路器与电桥合路器,对多个运营商、多种制式的移动信号合路后引入天馈系统,达到充分利用资源,节约投资的目的。

图1和图2分别是POI器件的设备框图,展示了POI设备的设计方案。

(1)图1为下行POI设备框图。

(2)图1是上行POI设备框图。

2 隧道内覆盖的实现

隧道覆盖是地铁通信系统覆盖的重要组成部分,通常有三种不同的方式,即同轴馈电无源分布式天线、光纤馈电有源分布式天线、泄漏电缆。根据对不同方式的比较,我们选择泄漏电缆来实现隧道内的信号覆盖。

将相关的损耗及参数带入链路预算公式,采用13/8的泄漏电缆,得到各系统主设备信源泄漏电缆覆盖的链路预算,进而得知各个网络的泄漏电缆的单边覆盖距离。

经过计算,CDMA网络的单边覆盖距离最远,约为1532m,WCDMA网络漏缆的单边覆盖距离最近,约为407m。

由于地铁各站台间隧道距离较长(一般为1km以上),对于高频系统,处于隧道口两边站台处的信源通过泄漏电缆无法覆盖到整条隧道区间,即使是低频系统,在较长隧道区间(如江汉路站—积玉桥站)也无法仅通过站台的信源进行覆盖,需要在隧道中间的泄漏电缆上开断加入信源再生覆盖。因此,要考虑开断点信源泄漏电缆链路预算。

经过计算,开断点CDMA信源单边覆盖距离最远,约为1868m,开断点TD-SCDMA信源的漏缆单边覆盖距离最小,约为565m。

对于各系统,只要各开断点区间距离小于开断点两端信源的覆盖距离之和,就可以保证实现各系统信号的隧道内有效覆盖。

3 组网方案的

实现

武汉2号线地铁系统的组网覆盖方式如图3所示。

3.1 泄漏电缆收发距离的确定

本系统设计为多个频段使用同一天馈分布系统,存在两种可能的干扰信号:

(1)CDMA下行(发信)带外杂散辐射可能干扰GSM的上行(接收信号)。

(2)下行POI三阶交调产物可能干扰GSM上行(接收信号)。

以上两种来自下行的干扰信号可能会通过漏泄电缆最前端的空间耦合到上行接收机,带来一定干扰。具体分析如下:

1)CDMA下行带外杂散辐射对GSM上行的干扰:

对于带外杂散辐射空间隔离度要求公式:

(1)

式中CTX-Amp=36dBm(POI输入功率)

LCRTX-Amp=-60dBc/30kHz(CDMA IS95带外抑制)

LTx-rig=60dB(在890MHz时CDMA机顶滤波器带外抑制)

IAff=-124dBm(有害干扰信号强度要求比背景杂声低10dB)

其中:

LPOI:2.5dB(CDMA POI插入损耗)或5dB(GSM POI插入损耗)

LCable:7/8″20m馈线损耗0.8dB

代入公式(1):LISO1=36-60-60-(-124)-(-8.2)-2×2.5-2×0.8=41.6dB

2)下行POI产生的三阶交调产物的干扰:

对于由下行POI产生的三阶交调产物收、发泄漏电缆空间隔离度要求:

(2)

其中CPOIIm为交调抑制,大于120dBc。代入公式(2)可得:

LISO2=36-120-2×0.8-2.5+124+8.2=44.1dB

另外,在CDMA、GSM共用系统中,下行多载波交调在上行频段的叠加,会增大下行交调对上行的影响。经分析,交调叠加对上行的影响主要是平均功率的影响,约为5dB;交调幅度叠加按瑞利分布规律产生,对上行的影响很小。

这样,下行的交调干扰要求两泄漏电缆距离损耗为:

LISO3= LISO2+5dB=44.1dB+5dB=49.1dB

从以上分析可知收、发漏泄电缆空间隔离要求为:

1)CDMA基站的杂散干扰要求LISO=41.6dB,对隔离度要求很低;

2)CDMA下行信号通过POI产生交调对两漏泄电缆隔离度要求,LISO=49.1dB,因此本系统应主要考虑防止POI产生交调。

将收、发漏泄电缆相距一定距离,对泄漏电缆而言,当电波传输距离很小时,其耦合损耗与距离的计算公式为:Ls(dB)=L2m+10lg(d/2) ,其中L2m为泄漏电缆在2m处的95%耦合损耗值。由该公式计算可知,当收、发漏泄电缆相隔大于0.5米时,完全能够满足隔离度要求。泄露同轴电缆的指标如表1所示:

3.2 分布式天线收、发距离的确定

在上述分析收、发漏泄电缆距离的基础上,从POI输出端到达分布式天线的路径损耗各有17dB(即32-15:32dBm为POI输出功率,15dBm为天线口最大功率),因此收、发天线的隔离度可从原来的51.6dB降至34.6dB,利用两吸顶天线并排挂设时的隔离度计算公式:

(3)

式中:D为两天线水平距离(m);λ为工作波长(m);n为天线收发的副数。

代入公式:

(4)

设n=2;当LISO=12.6dB时,D

因此,本系统收、发分布式天线安装相隔可小于1.5m,建议收、发天线相隔1.5~2m,完全能满足指标要求。

4 切换的实现

切换是指当通话中的移动终端从一个小区覆盖范围移动到另一个小区覆盖范围时,网络信号自动地转换处理过程。CDMA、WCDMA、CDMA2000系统为软切换,GSM系统为硬切换,TD-SCDMA系统为接力切换。限于篇幅,下面仅介绍地铁环境下CDMA的切换。

决定CDMA系统切换的时延主要包括测量周期、迟滞时间和切换执行时间,综合考虑CDMA总的切换时间为1~3s。

地铁覆盖中,切换主要发生在三种情况:列车在隧道中运行时的切换、行人出入地铁站及换乘站切换、列车进出隧道的切换。下面对三种场景下的切换予以分析。

4.1 列车在隧道中运行时的切换

由于CDMA的切换时延约为1~3s,而切换带一般处于隧道中间,处于该位置时,地铁列车的车速比较高,根据地铁目前峰值车速80km/h计算,切换时延将形成22~66m的切换距离。隧道内两个小区间理论上至少设置66m的切换带,如图4所示。

地铁隧道方案设计中,设计目标值为RX≥ -85dBm,Ec/Io≥-12dB。理论上为满足切换时RX=-85dBm,两个小区相邻的重叠覆盖区≥66m,这样就能保证RX=-85dBm时完成切换。

4.2 列车进出隧道的切换分析

列车出隧道的过程中,其信号强度变化是隧道内信号迅速减弱,隧道外信号增强的过程,进隧道的过程与之相反,其切换区(信号重叠区)不足以确保切换成功。

解决方法:

若站台处具备安装漏缆的条件,则将漏缆延伸到站台处;若站台处不具备安装漏缆的条件,则在漏缆的末端增加定向板状天线,将隧道内小区信号引到站台,与站台小区形成足够重叠区,达到保证切换成功的目的。

4.3 行人出入地铁站及换乘站切换

当行人在出入地铁站厅或换乘站厅、站台时,由于自动扶梯运动产生的瑞利衰落、人群拥挤产生的信号衰落等因素使信号强度锐减,造成信号重叠区域(切换区)不够,使用户通话中断,因此移动终端在进出地铁站同样有信号切换问题。

分析如下:

假设地铁站出入口人的正常行走速度为3m/s(快跑状态),人走过出入口的切换时间为3S,则切换区域长9m。

设计时只要确保行人出入地铁站时,切换信号电平在-85dBm以上,即可保证乘客经过车站出入口平稳切换。

行人出入换乘站的切换情况与此相似。

根据车站出入口或换乘站厅、站台进出口的实际情况设计信号重叠区域,将天线安装在距离切换交叉点10m左右,以保证切换时电平大于-85dBm。

5 结语

总的来说,多运营商多网络制式下的公用移动通信网络是采用POI+泄漏电缆来实现的。其中,选取合适的POI器件,对泄漏电缆进行链路预算以选取开断点,注意组网时泄漏电缆以及分布式天线的距离,确保多个网络系统顺利切换,是方案成功实施的关键。

参考文献:

[1] 陆建贤. 移动通信分布系统原理与工程设计[M]. 北京: 机械工业出版社, 2008.

篇3

讯:互联网时代的到来、新媒体的诞生,为企业市场推广带来了多样化的选择,企业再也不用受制于传统媒体的版面和时段,以及单一的营销方式。

Facebook的COO谢丽尔·桑德伯格曾比喻说,广告业的形态好似一个漏斗,上端开口很大,为了吸引更多的用户关注,而到了漏斗底端开口很小,进入到底部的用户则是最终进行消费的客户。全球广告市场每年6400亿美元的规模中,有4800亿元是投向不明确的消费需求。可见,企业用于市场推广的费用很高,效果却不是很明显。精准营销成为市场营销的关键,而企业的最终的目的便是看到效果,创造价值。

" 营销并不是以精明的方式兜售自己的产品或服务,而是一门真正创造顾客价值的艺术。"国内外营销界都把现代营销管理学奠基人菲利?科特勒的这句话引为至尊名言。

是的,为用户创造价值,这也是58同城真正的魅力所在,在激烈的市场竞争中,58同城贴近人们生活,人们需要哪方面信息,在58同城便可以轻松找到,精准的频道设置,实时的为人们解决各种生活难题。58同城用时间累积了他的用户与品牌,强大的用户基础构筑了58同城的品牌价值。58同城网邻通更面向企业,为全国中小企业提供一站式解决方案,同城信息,精准营销,强大的功能与优势为企业营销推广、抢夺商机、成为企业网络营销的精准利器!(来源:重庆商报)

篇4

【关键词】网络环境 会计信息系统 风险 内部控制

一、网络环境下会计信息系统的风险分析

在网络环境下,会计信息系统的开放性、处理的分散性、数据的共享性,极大地改变了以往会计信息系统的应用环境,形成了新的风险特点。

1、会计信息系统自身存在的隐患。网络环境下的会计信息系统是由硬件设备、软件、数据、规程和人员等组成的,是建立在计算机技术基础之上的,而计算机系统存在固有的脆弱性,使会计信息系统内部存在隐患。

(1)信息可存取性。在知道存取码和有效的口令后,非法者可进入系统,存取系统中的信息,并可按其需要将信息复制、删改或破坏。

(2)软件脆弱性。软件前期基本上是迎合硬件发展起来的,操作系统的设计着重于提高信息处理的能力和效率,对于安全只作为一项附带的条件加以考虑。因此,在操作系统中不安全的隐患相当多。

(3)存储介质的不安全性。存储介质易受意外损坏,也易被带走。另外,在大多数计算机操作系统中,删除文件时只删除了文件名,释放了相应的存储空间而文件内容仍保留在介质上,这样就会造成大量信息的丢失或被盗取。

(4)通信与网络的弱点。通信线路易受物理破坏,易被搭线窃听,串音易引起传导泄漏。网络规模越大,通信线路越长,这种弱点也随之增加。

(5)电磁泄漏。计算机内的信息可以通过电磁波形式泄漏出去,任何人都可借助不复杂的设备在一定区域范围内收到它而造成信息失密。

(6)渗透问题。在通用性设计思想指导下,计算机系统尤其是计算机网络可以提供公用服务和资源共享,这样虽然扩大了用户群,方便了用户,但同时也为入侵者提供了渗透的途径。以上计算机系统固有的脆弱性,极易导致网络环境下会计信息系统数据丢失,甚至发生瘫痪现象,构成了网络环境下会计信息系统的风险。

2、系统外部环境因素带来的风险

(1)操作人员带来的风险。操作风险主要包括操作程序不规范和操作人员防范意识不强造成的风险。如操作人员缺乏安全意识和网络安全防范措施,对于网上下载的电子邮件或会计信息资源不做安全性技术检查、测试;操作人员不按规范操作,随意开关机;操作人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。

(2)系统关联方道德风险。主要指关联方非法入侵单位网络财务软件系统,以剽窃财务数据和知识产权、破坏系统、干扰单位正常交易等产生的风险。单位关联方主要包括客户、供应商、软件开发商,也包括银行、税务、审计、保险、财政等部门。单位与关联方之间通过互联网进行业务和数据交换,这种特殊的交换关系使关联方之间道德风险的发生成为可能,尤其是软件开发商,他们非法入侵单位财务系统不易被发现,其危害是不容忽视的。

(3)黑客入侵、病毒危害的风险。在网络化系统中,计算机病毒不再靠磁盘和光盘传播,开始通过电子邮件传播计算机病毒。黑客的入侵也相当猖獗,主要来自社会上一些不法分子对企事业单位和政府机关互联网的入侵。这种风险范围广,危害大。它包括截收、仿冒、窃听的迅速普及和广泛应用,计算机病毒的传播呈现渠道多样化、速度快捷的特点,危害也在不断加剧,这对网络环境下会计信息系统构成很大威胁。另外还有利用计算机进行经济犯罪等。

3、企业内部控制在网络环境中失效带来的风险。传统会计系统强调对业务活动的使用授权批准和职责性、正确性、合法性,但是在网络财务系统中,会计信息的处理和存储集中于网络系统,大量不同的会计业务交叉在一起,加上信息资源的共享,财务信息复杂程度提高,交叉速度加快,使传统会计系统中某些职权分工、相互牵制的控制失效,原来使用的靠帐簿之间互相核对实现的差错纠正控制己经不复存在。因而,传统会计系统的内部控制机制与手段己不适应网络环境。

二、网络环境下会计信息系统内部控制

1、会计信息系统的组织与管理控制。电算化部门与业务部门的职责分离。在网络系统下,各核算子系统分散在各职能部门,远离财务中心,会计系统的内部控制能力减弱,各职能部门有时为了某种原因,将数据处理业务和授权、执行业务混在一起,内部职责不分明,所以必须在组织结构中设置电算化部门,专门对数据进行处理和控制。最佳的职责分离是电算化部门与其他使用数据和完成各类业务活动的部门职能分割,使业务的执行和数据的记录、处理相分离,形成有效的内部牵制制度。

2、会计信息系统的运行记录控制。运行记录控制是指网络系统必须对服务器所有运行过程予以记录,以便服务器根据各工作站所申请的操作指令,进行各种处理,同时运行控制的记录也是进行各种审计的重要线索。这在网络系统中是一项基本的环境控制措施。控制台运行记录应配备控制工作站。控制工作站是一种自用工作站,专门用来监测和记录系统运行状态,找出传输线路和工作站的问题,并检查通信排队状况以及路径改变等信息。

3、会计信息系统的安全控制。首先是网络中数据加密。加密变换是网络中最基本的控制措施,它可以在多个层次上实现,包括网络层下的链路加密和网络层上的端间加密等。

其次是网络端口保护。这属于系统访问控制的一种,由各种端口保护设备和访问控制软件实施。是否设置端口保护,由系统中数据保护的需要而定,因为端口保护会增加管理工作量并增加费用。

再次是网络主体验证。主体验证有两处关键,一是该主体应具有独自的难以伪造的信息,二是具有可靠的信息交换方式。主体可使用口令、密码、磁卡、指纹或签字一类的标识。由于一些非法用户可能利用假冒主机的方法来套取用户标识,因此,在主机和用户之间还必须安排一个可靠的方法相互验证。

第四是数据完整性保护。网络中数据传送的完整性控制包括:数据来自正确的发送方,并非假冒;数据送到了正确的接收方,无丢失或误传;接收的数据与发送的数据一致;数据接收的次序与发送时一致;数据无重复接收。数据完整性保护的关键是增加一些非法分子所不能掌握或控制的冗余信息,如数据加密的附加信息和报文验证码等。

4、会计信息系统的操作控制。操作控制包括数据输入、数据处理、数据输出控制。操作控制的目的是通过标准的计算机操作来保证信息处理的高质量,减少发生差错和未经批准使用文件、程序、报表的机会。在网络系统中,操作控制的重点是数据输入控制。由于网络环境下大多数数据是分散进行的,在多个工作站上输入,大量不同业务交互在一起,再加上用户共享数据库的出现,如果内部控制制度不严密,一旦有缺乏严格检验的凭证进入网络系统,将很难查明原因这会直接影响会计信息的准确性、可靠性和合法性。因此应设置操作员和操作密码控制,进入网络的作息必须经专门审核人员审核以后才允许进入。

5、会计信息系统的维护控制。维护是系统运行过程中最重要的环节,包括硬件维护、软件维护。系统硬件的重大维护工作由软件公司进行。硬件的一般维护指定期进行计算机、打印机等设备的检查,以保证系统安全、有效、正常运行。系统软件的维护主要是利用软件各种定义功能来修改软件,以适应工作的变化。程序维护包括正确性维护、完善性维护和适应性维护。为防止非法修改软件,必须对软件的修改建立审批制度加以控制。

【参考文献】

篇5

关键词:物联网;火灾预警;仿真;元胞自动机;vega prime

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)04-0870-03

1 概述

森林资源是地球上最重要的资源之一,在贯彻落实科学发展观、建设资源节约型和环境友好型社会、实现人与自然和谐发展、推进我国经济崛起的战略中,具有不可替代的地位和作用。我国是一个森林火灾高发的国家,森林火灾对社会经济和生态环境造成的破坏难以估量。而近年来受全球气候变暖的影响,高温、干旱等极端天气现象频发,森林火险长期居高不下,森林火灾预警压力巨大,防火形势严峻。

在森林火灾的预警和扑灭上,已有地理信息系统(GIS)、全球定位系统(GPS)、遥感技术(RS)、传感器技术、神经网络、图像处理技术等应用实例,但各种技术优缺点不一,很难根据实际情况设计适宜的系统。国内森林防火系统大多通过GIS系统整合多种功能系统,实现火灾预案、火线分析、灾情评估等功能,但同样受限于设备落后、火灾蔓延预测模型不匹配等制约因素。针对气候变化新形势下面临的新问题,如何运用各种技术手段对森林火险进行预警,对森林火灾进行监控, 不断提高森林火险预警、火灾监测、火灾扑救与指挥的能力和水平,成为当今国内外学者研究的热点内容。

物联网被称为继计算机、互联网之后世界信息产业发展的第三次浪潮,其组成元素是个性化和私有化的,因此以物联网基础,设计的森林防火系统能更为灵活地适应各地森林环境。该文在研究现有的森林防火技术基础上,结合物联网、计算机技术和数据融合技术, 阐述了森林防火系统的实现方式。

2 数据感知层结构设计

要实现森林火灾智能预警,首要的任务是森林实时状态数据的采集。森林实时状态数据采集的好坏,如图像的对比度,传感器的敏感程度等,会直接影响到森林火灾的识别率、误报率和能否及时发出预警。在森林火灾智能预警系统中,森林实时状态数据的采集主要由传感器感知的森林环境数据和森林火灾图像数据构成。

数据感知层主要通过传感器网络采集森林环境烟雾浓度、温度和湿度实时数据,经过预处理后,通过无线模块将数据返回到监控平台。监控平台将数据送入神经网络中进行判断,并输入发送火灾的概率值。若该数值高于系统预警线,控制中心调用当地摄像头采集监控现场的图片,对连续的图片进行数字图像处理分析,结合早期火焰的特征进行检测,进行再一次的数据处理,判断火灾是否发生。

3 支撑系统设计

3.1 森林火灾蔓延算法

森林环境有大量植物类型需要考虑,为了加快计算机的运行速度,系统采用算法是以栅格为基础的边界插值算法。以当前着火点为中心,火灾在二维平面上有八个蔓延方向(正东、正南、正西、正北、东南、东北、西南、西北),火灾蔓延速度和栅格长度决定了扩展蔓延时间T,当计算机存储的火灾积累时间大于T,就沿此方向前行一个栅格长度。蔓延模型采用基于边界插值算法的元胞自动机,将森林空间转换为元胞格网空间,元胞存储着树种易燃性、可燃物密度、地形坡度等模型因子,根据燃料情况和蔓延时间修改存储状态。

3.2 数据库系统设计

仿真系统采用Microsoft SQL Server 2005后台数据库 ,SQL Server 2005是一种高性能的关系型数据库管理系统,与其他数据库相比,在企业数据管理、开发效率和商业智能三个主要方面提高业务能力。针对企业级的数据管理,该系统以数据库引擎为核心,使用集成商业智能工具,可以为规模各异的企业提供不同的解决方案,从而构建和管理符合需求的高性能数据应用程序。

仿真系统将背景地形图划分为许多大小相同的网格,网格用坐标G(X,Y)记录,每个网格代表树、草及建筑等环境信息,且网格坐标和北京54坐标系下的电子地图平面坐标相对应。每个网格赋予一定的值,通过数值来反应火灾现场情况。(1表示正在燃烧,0表示未燃烧,-1表示已经燃烧过的火烧迹地。)以下图为例,设中点为起火点,风向为正北方一级,则满足蔓延条件时,每个边界点的正北方向的两个相连点被赋值为1(燃烧状态),边界点的其他方向的一个点被赋值为1。

3.3 VegaPrime视景仿真设计

视景模型的地形采用VegaPrime基础场景,由LynX Prime 图形界面配置文件设置场景中树木分布,并搭建登记在后台数据库,将基本地形和火的模型的文件导出为C++文件。在Visual Studio 2005编写控制台程序,和VegaPrime中场景类结合,搭建MFC平台。

将火因子的控制数据改为变量型,在数据库建立火的控制变量库,编写数据库连接、读取等函数,程序运行时直接连接数据库读取这些变量,并添加一些按键功能。使用火模型能够按照一定规律蔓延,火的蔓延控制变量从数据库导入。火灾蔓延效果如图4所示。

BehavePlus 由Rothermel模型改进预测表面火蔓延,有53中标准火灾行为和13种燃料模型,可通过选择模型来模拟火灾蔓延速度,根据南方森林特点,选取Dormant Brush, Hardwood Slash燃料模型,结合风力因子,得出蔓延速度如下表所示,将相应梯度数值导入MFC数据库中,即可控制元胞机中火灾扩散速度。

4 结论

在物联网森林防火系统设计中,GPS和GIS作为基础数据库,提供可燃物、道路、河流等基础地理环境信息,由前端传感器监测森林火灾发生概率,经二次判断后将火灾发生点位置传回系统,Vega Prime 仿真系统实时模拟森林火灾的蔓延情况。系统通过多数据融合判断和蔓延仿真,提高森林火灾预警准备性能及扑火指挥的决策效率。

参考文献:

[1] 王轩,张贵.基于物联网技术结构的森林火灾监测研究[J].现代农业科技,2011(5):26-27.

[2] 蔡嘉成.火灾探测中的信息处理算法研究[D].广州:华南理工大学,2012:30-38.

[3] 于相洋.基于多传感信息融合的火灾预警技术研究[D].杭州:杭州电子科技大学,2012:25-31.

[4] 刘少军,甄久立.智能视频监控系统在森林防火上的应用[J].林业科技情报,2012,44(2):16-17.

[5] 张彦林,冯仲科,姚山.城市森林火灾时空蔓延模型构建[J].北京林业大学学报,2008,30:28-31.

[6] 湛玉剑,张帅,张磊.林火蔓延地理元胞自动机仿真模拟[J].地理与地理信息科学,2013,29 (2):121-122.

[7] 李琰琰.虚拟森林火场的技术研究和场景建模[D].杭州:浙江工业大学,2006.

篇6

配用电通信网可分为电力通信骨干网和电力通信接入网两大部分,如图1所示。电力通信骨干网目前以光纤为传输介质,采用SDH/PTN/MSTP一种或多种技术体制,覆盖各省/市/县供电公司、35kV及以上变电站、大多数供电所和营业厅,起到承担电力通信骨干平台的作用。电力通信接入网定位为骨干网的延伸,实现最后数公里的延伸覆盖,实现配用电终端节点的采集与监控,如各类表计的用电信息采集、配网自动化的各类线路开关(FTU)和站所节点(DTU)的“二遥”或“三遥”等。

2无线通信专网技术体制

代表无线通信主流发展方向的4G移动通信技术逐步成熟,全球移动设备供应商协会在其最新的《LTE演进(evolutiontoLTE)》报告中证实:已经有101个国家和地区的274家运营商推出商用LTE业务,到2014年底商用LTE网络达到350张。2014年2月中国移动正式启动TD-LTE二期招标,计划在31个省、市、自治区进行TD-LTE网络建设。中国联通和中国电信也在启动多个LTE网络建设。除LTE外,国内外还有多种无线通信技术,国家电网对不同体制无线通信网进行了长期调研及实际验证。先后关注230MHz数传电台、WiMAX、McWiLL等技术。这里结合配用电业务就几种常用的无线通信系统进行简要对比。(1)传统数传电台该系统属于20世纪80年代兴起的技术,工作在223~235MHz等频段。具有组网简单、成本低等优势。但该系统采用轮询机制,终端无主动上报功能,传输时延大,速率低(单主台带宽在1.2~19.2kbit/s)、系统容量小。实际使用中实现全部终端的单次轮询需8~24h。系统无专门的网管设备,可维护手段少,安全性差,目前各地电力公司在逐步停用该系统。(2)WiMAX、McWiLL这两种体制是基于3G核心技术的宽带无线接入技术,具有接入能力强、传输带宽大、非视距传输等特点。但WiMAX为国外技术,我国不具备自主知识产权,国家电网与南方电网均明确表示不支持WiMAX系统在电网中的规模应用。McWiLL系统在湖南、辽宁等电力公司已开展试点应用,但效果不理想,主要问题是实际覆盖距离近(市区有效覆盖距离为1km),无符合国家电网规范的终端产品。同时,McWiLL与无线宽带LTE主流发展技术不相符,技术演进方向不明朗,产业链不完善,产品独家供货,后续规模应用存在很不确定的技术和政策风险。(3)LTE230“新型230MHz电力无线宽带通信系统”(简称“LTE230”系统)将电力已有的230MHz频段离散频谱与先进的4G移动通信技术(TD-LTE)相结合,通过采用离散频谱聚合、频谱感知等技术,大幅提高230MHz无线频率的使用效率,在窄带频谱上实现宽带数据传输,为电力行业提供无线宽带通信信道。系统具有低成本广覆盖、支持海量终端实时在线、工作于电力已有频谱、频谱利用效率高、系统安全性强等优点。“LTE230”系统是结合电力配用电业务需求定制开发的一套无线宽带通信系统,可为用电信息采集、负荷控制等业务的远程通信提供无线通信信道。不同无线通信网体制对比见表1。综上所述,“LTE230”系统适于承担我国在偏远地区电力配用电无线通信专网的建设,具有良好的应用前景。

3“LTE230”系统适于承建偏远地区配用电通信

3.1系统定位“LTE230”系统定位在电力配用电业务,可用于用电信息采集、配电自动化、应急抢修、生产调度、营销核算、视频监控、新能源接入、智能台区等多种业务,目标应用场景如下:•偏远农村或山区光纤铺设难度大的区域;•负荷分散,部署光纤成本过高的区域;•供电线路长,光纤无法实现覆盖的区域;•偏远无公网信号区域;•地下室等无公网信号区域;•老旧无光纤城区或市政建设频繁、光纤覆盖无法应对快速变化的区域。

3.2系统优势及所获得资质“LTE230”系统采用电力已有的230MHz频谱资源,无需新申请频谱资源;系统具有广覆盖特性,单基站覆盖能力可达30km,是其他无线蜂窝通信系统覆盖距离的4~5倍,建设成本是其他无线蜂窝通信系统的1/5;“LTE230”系统满足配用电海量终端的实时在线的传输需求。系统采用与公网隔离的策略,同时具有多层安全加密机制,保证电力数据的信息安全。“LTE230”系统具有符合国网规范的系列通信模块(LCM),可实现对GPRS公网模块的替换,最大限度地保护配用电设备投资。系统具有宽带终端(CPE),可实现图像、视频、语音等业务。操作维护中心(OMC)不但实现对系统设备的管理,还具有对终端统一远程管理的功能,可对系统及终端设备进行远程批量升级。采用友好的图像化操作界面(如图2所示),操作便捷,可将告警以声、光的方式直观地呈现给管理维护人员。“LTE230”系统受到国家科学技术部、工业和信息化部等多部门支持,近年承担多项国家科技重大专项及专项资金项目;2014年2月,成为首个通过中国电力科学研究院安全认证的无线专网系统;国家无线电管理委员会召开专题研讨会,鼓励230MHz频谱在电力行业中的创新应用;系统通过工业和信息化部传输所针对实际现场网络的测试验证。

3.3关键技术指标“LTE230”系统工作在国家无线电管理委员会统一规划的民用超短波遥测、遥控、数据传输业务专用230.025~235MHz频段,满足以25kHz为单位、非连续灵活配置的要求。系统在8.5MHz带宽下峰值速率可达14.96Mbit/s。系统采用具有国家自主知识产权的TD-LTE核心技术,采用OFDM及64QAM高级调试技术。系统接收灵敏度达到-120dBm,优越于传统无线通信系统,加上230MHz低频段黄金频谱,“LTE230”系统在单基站最远覆盖距离可达30km,是其他类似无线通信技术的5~6倍。为满足行业海量终端实时在线、突发数据的传输需求,“LTE230”系统通过设计优化,大幅度提升单逻辑小区支持的终端规模,从传统无线通信的100~200个终端/小区提升到2000个终端/小区。部分技术指标见表2。

4“LTE230”系统建设方案

基站选址是无线通信系统规划和建设的一项重要内容。众所周知,在产品指标确定的情况下,基站天线越高、周围环境越开阔,信号覆盖的范围越广且信号质量越高。站址选择合适与否,很大程度上决定了无线网络建设的成败。结合我国欠发展地区配用电网现状,有“宏蜂窝基站”和“微蜂窝基站”两种应用方案可供选择。这里结合站址选择、业务覆盖范围和通信基础条件对两种方案分别进行分析。

4.1“宏蜂窝基站”建设方案(1)业务定位针对偏远地区地广人稀、地形复杂、配用电线路及设备分部广的特点,部署宏蜂窝基站,最大限度地实现单个无线基站的覆盖区域,单个基站尽可能多地覆盖配用电终端节点,充分体现“LTE230”系统“广覆盖、低成本”优势。减少组网区域内所需无线基站数量,降低在偏远地区,特别是山区、丘陵等通信基础设备缺乏环境下电力无线通信专网建设投入及后续维护成本。(2)选址原则在山区、丘陵地带,变电站、营业厅大多建设在当地地势低凹点,故电力已有的此类地点不是无线基站的理想备选站址。微波系统从20世纪80年代开始大量应用于电力通信,微波站点一般建在周围数公里到数十公里的制高点处,且建设有高度为50~100m的通信塔,以实现单跳微波信号30~60km的远距离传输。近年来微波系统在逐步退出应用,但微波站点的通信塔多数还存在。仿真及实际测试表明,“LTE230”在此类地点建站,可实现半径20~30km的覆盖,单基站覆盖面积可达1000km2以上,是普通无线基站覆盖面积的数十倍甚至上百倍。所以在此类地区,微波站是非常理想的备选站点。基于微波塔站点的广覆盖方案如图3所示。(3)已具备的通信基础设施微波塔所在地具备电源、微波信号落地后的有线回传信道等基础设施。“LTE230”系统的电力无线通信专网可充分利用相关已有资源,降低基建设施投入。对少数不具备有线回传信道的微波站点,“LTE230”系统的基站可采用无线网桥进行回传。由于微波站点通常位于地理制高点,通常具备到附近供电公司、变电站或营业厅的可视路径,无线网桥回传具有优越的地理条件。

4.2“微蜂窝基站”建设方案(1)业务定位若“LTE230”系统覆盖所在地不具备建设“宏蜂窝基站”条件,可采用另外一种思路:建设多套“微蜂窝基站”实现目标区域内无线专网覆盖。“微蜂窝基站”的建设思路是采用具有小功率、小容量、安装便捷特点的“LTE230”系统微基站,沿配电线路部署。原则上1~2个台区部署1个微基站,每个微基站覆盖1km左右的范围。由于220/380V供电半径一般在500~1000m,故“LTE230”系统微基站能够实现配电台区周围配用电终端节点的接入。(2)选址原则“LTE230”系统微基站可部署在柱上变、箱变、环网柜、开闭所等所在处,该类地点取电方便且无需征地,安装便捷。(3)基础设施微基站采用“一体化”设计思路,满足户外环境运行要求,不需要机房,安装便捷。对于微基站的回传,有两种备选方案:一是对光纤到台区的站点,微基站回传可就近接入光纤网络;二是对光纤未覆盖的台区站点,可采用具有mesh组网的无线网桥进行回传。基于台区的微基站覆盖方案如图4所示。

4.3实际应用情况“LTE230”系统已在内蒙、青海、新疆、冀北、河北等多个地区建设商用网络,单基站实测覆盖距离达到29km,很好地满足了当地远程数据采集和监控、视频传输等业务应用需求。

5应用与验证

“LTE230”系统在国家电网、南方电网、石油石化等开展多处应用,在中国西北、西南等多个省份建立商用网络,弥补了此类地区有线网络建设不便、运营商网络在此类地区信号质量差或无法覆盖的问题。2013年5月,张家口供电公司建设“LTE230”系统的无线通信专网,组网结构如图5所示,满足了张家口电力无线通信专网建设的成本和进度要求。此无线回传设备安装调试便捷,成本不到光纤通道建设的10%,目前该无线回传通道已稳定运行超过12个月。针对西沙河基站路开展覆盖测试,测试结果如下:东南方向沿解放路和胜利路进行拉远测试,到工业南横街处5.2km处,信号强度为-106~-102dBm,基本达到东南方向小区边缘;正南方向沿明德南路、清水河路,到天秀花园二期5.1km处,信号强度为-106~-104dBm,基本达到正南向小区边缘;西南方向沿西环路、西坝岗路,到天秀花园一期5.2km处,信号强度为-107~-103dBm,基本达到西南向小区边缘。覆盖效果如图6所示,RSRP数据详细统计见表3。吞吐量性能表明,“LTE230”系统传输效率高达2.44bit/(s•Hz),较传统数传电台提高3.18倍,满足配用电网业务需求,理论峰值速率达1.76Mbit/s,外场实测平均传输速率最高达到1.6Mbit/s。抄表成功率100%。聚合40个频点时,不同调制方式下的上行传输速率测试结果见表4。

6结束语

篇7

独特的无文件僵尸程序

卡巴斯基实验室的安全专家检测到一种特殊的恶意攻击,这种恶意攻击使用的恶意软件不会在受感染系统上创建任何文件。卡巴斯基实验室经过调查发现,一些俄罗斯新闻网站在页面上使用的AdFox标题系统会感染访问用户,而网站并不知情。当用户载入相关页面时,浏览器会偷偷将用户重定向到一个包含Java漏洞利用程序的恶意网站。卡巴斯基实验室首席安全专家Alexander Gostev解释说:“近几年来,我们首次遇到这种罕见的 “无文件”恶意软件。该恶意软件只会在受感染计算机的RAM(内存)中进行操作,使得反病毒解决方案很难将其检测出来。虽然这次发现的攻击事件仅仅针对俄罗斯用户,但是利用同样的漏洞利用程序和无文件僵尸程序,很容易就可以对世界其他地区的用户发动攻击。因为该恶意程序同样可以利用类似的广告或标题网络在其他国家进行传播。”

Duqu木马仍在行动

卡巴斯基实验室对Duqu木马的调查已经进入第六个月,2012年3月项目取得了新进展――该恶意软件所使用的架构代码已被确认。这次发现得到了众多国际IT社区的帮助。期间,收到了几百条建议和假设。最终确认,Duqu架构是采用C语言编写,并使用MSVC 2008以“/ O1”和“Ob1”选项编译。同时,Duqu木马的编写者并没有停止开发新的恶意软件组件。今年3月,卡巴斯基实验室发现一种最新的驱动,同之前Duqu早期使用的驱动几乎相同。之前使用的驱动分别于2010年12月3日和2011年10月17日创建,而最新的驱动创建日期是2012年3月23日。看来,Duqu木马的编写者在休整4个月后,又开始进行恶意软件的开发工作了。

打击网络犯罪

卡巴斯基实验室携手CrowdStrike Intelligence Team、Dell SecureWorks 和Honeynet Project,进行了一次大规模清剿行动,成功关闭了第二个Hlux/Kelihos僵尸网络。安全研究人员将该僵尸网络命名为Kelihos B,因为该僵尸网络是采用之前的僵尸程序A的变种组建的。安全人员在僵尸网络中引入了一个sinhole路由器,从僵尸网络运营者手中接手了这些被感染计算机的控制权,从而停止其继续进行操作。

Google浏览器用户同样需要增强安全警惕!3月初,卡巴斯基实验室的安全专家发现了另一款针对Google Chrome的恶意扩展。这次,其攻击目标是巴西的Facebook用户。而且,网络罪犯完全可以利用相同的攻击手段,对其他国家和地区的用户发起攻击。恶意扩展会通过Facebook链接进行传播,并且伪装成合法的应用链接。如果用户选择安装这一恶意应用,会被重定向到Google Chrome的官方在线商店。该恶意软件会伪装成“Adobe Flash Player”。恶意扩展被安装到计算机上后,会获取受害用户的Facebook账号权限。Google得知这一情况后,删除了该恶意扩展。但是,网络罪犯已经创建了类似的恶意扩展,并且同样将其放在了Google Chrome 在线商店中。

Mac OS威胁

Mac OS系统上出现了前所未有的恶意软件行为。其中最值得关注的攻击案例中,网络黑客会发送大量垃圾邮件。这些垃圾邮件包含Java漏洞利用程序链接,能够在用户计算机上安装恶意程序。如果用户使用的是Mac OS计算机,则安装Backdoor.OSX.Lasyr.a后门程序。如果使用的是Windows计算机,则安装Trojan.Win32.Inject.djgs木马。漏洞利用程序会将恶意程序Backdoor.OSX.MaControl.a安装到Mac OS X计算机上。同样是在3月,Backdoor.OSX.Imuler恶意程序的新变种被检测到。这些恶意程序会伪装成安全的扩展名文件,从而便于传播。3月份的攻击中,网络罪犯发送了大量垃圾邮件,其中包含伪装成的恶意文件。这些文件的扩展名为.JPG。此外,3月份,网络罪犯首次利用Twitter充当恶意程序的命令控制服务器。为了传播恶意程序,网络罪犯使用了200,000多个被攻陷的WordPress博客。

篇8

关键词:静态路由;共享文件

随着宽带接入的普及,很多单位和企业都组建了局域网来共享宽带接入。而且随着局域网规模的扩大,很多地方都涉及到2台或2台以上路由器的应用。当一个局域网内存在2台以上的路由器时,由于其下主机互访的需求,往往需要设置路由。由于网络规模较小且不经常变动,所以静态路由是最合适的选择。可是如果是多网段,又想实现不同网段电脑互访,设置静态路由就要掌握方法了。由于此类办公局域网所采用的一般都是中低档宽带路由器,所以本文会以简单实例讲解静态路由器的设置为例。(其实无论在什么档次的路由器上,除了配置方式和命令不同,其配置静态路由的原理是不会有差别的。)

1 路由的工作原理

路由就是把信息从源传输到目的地的行为。形象一点来说,信息包好比是一个要去某地点的人,路由就是这个人选择路径的过程。而路由表就像一张地图,标记着各种路线,信息包就依靠路由表中的路线指引来到达目的地,路由条目就好像是路标。在大多数宽带路由器中,未配置静态路由的情况下,内部就存在一条默认路由,这条路由将LAN口下所有目的地不在自己局域网之内的信息包转发到WAN口的网关去。宽带路由器只需要进行简单的WAN口参数的配置,内网的主机就能访问外网,就是这条路由在起作用。

2 可以共享上网但不能共享文件

现在很多单位在原有的路由器共享Internet的网络中,由于扩展的需要,再接入一台路由器以连接另一个新加入的网段。而家庭中也很可能出现这种情况,如用一台宽带路由器共享宽带后,又加入了一台无线路由器满足无线客户端的接入。如:单位里原有一个局域网LAN 1,靠一台路由器共享Internet,现在又在其中添加了一台路由器,下挂另一个网段LAN 2的主机。经过简单设置后,发现所有主机共享Internet没有问题,但是LAN 1的主机无法与LAN 2的主机通信,而LAN 2的主机却能 Ping 通LAN 1下的主机。此类现象较多,如何解决呢?

3 解决方案

这是因为路由器隔绝广播,划分了广播域,此时LAN 1和 LAN 2的主机位于两个不同的网段中,中间被新加入的路由器隔离了。所以此时LAN 1下的主机不能“看”到LAN 1里的主机,只能将信息包先发送到默认网关,而此时的网关没有设置到LAN 2的路由,无法做有效的转发。这种情况下,必须要设置静态路由条目。如:LAN 1为192.168.0.0这个标准C类网段,路由器R1为原有路由器,它的WAN口接入宽带,LAN口(IP为192.168.0.1)挂着192.168.0.0网段(子网掩码255.255.255.0的C类网)主机和路由器R2(新添加)的WAN口(IP为 192.168.0.100)。R2的LAN口(IP为 192.168.1.1)下挂着新加入的LAN 2这个192.168.1.0的C类不同网段的主机。如果按照共享Internet的方式简单设置,此时应将192.168.0.0 的主机网关都指向R1的LAN口(192.168.0.1),192.168.1.0网段的主机网关指向R2的LAN口(192.168.1.1),那么只要R2的WAN口网关指向192.168.0.1,192.168.1.0的主机就都能访问192.168.0.0网段的主机并能通过宽带连接上网。这是因为前面所说的宽带路由器中一条默认路由在起作用,它将所有非本网段的目的IP包都发到WAN口的网关(即路由器R1),再由R1来决定信息包应该转发到它自己连的内网还是发到外网去。但是192.168.0.0网段的主机网关肯定要指向192.168.0.1,R1这时并不而知道192.168.1.0这个LAN2的正确位置,那么此时只能上网以及本网段内的互访,不能访问到192.168.1.0网段的主机。这时就需要在R1上指定一条静态路由,使目的IP为192.168.1.0网段的信息包能转发到路由器R2去。本例中R1上设定的静态路由条目就应该为:目的IP地址192.168.1.0(代表1.x这个网段),子网掩码255.255.255.0(因为是C类网段),网关192.168.0.100。

篇9

【关键词】 非线性系统 径向基神经网络 最小二乘 矩阵求逆

一、 引言

多年来,对于非线性系统的辨识问题,一直都没有较好的结构模型和算法能完美的解决[1]。但是,随着神经网络技术的不断发展和完善,为非线性系统的辨识开辟了一个新的途径。径向基神经网络最早是在1988年,由Broomhead和Lowe提出,他们将Powell提出的多变量差值的径向基函数(Radial Basis Function,RBF)应用于人工神经元网络设计中,构建了径向基人工神经网络[2] 。

本文将给出一种基于径向基神经网络的非线性系统辨识方法,同时在该网络的隐含层c输出层之间的权值选取中,给出了递推最小二乘法和矩阵违逆法,两种不同的选取准则。

二、径向基神经网络

2.1 径向基神经网络的基本结构

径向基神经网络是一种由三层神经元构成的前向神经网络,结构如下:

u(t)为系统一维输入,y(t)为系统的一维输出,e(t)为不相关白噪声。

第一步:建立神经网络模型,确定各层神经元个数。

在该非线性系统中,输入和输出都是一维的,因此,输入层和输出层均只有一个神经元,并设定隐含层有10个神经元。

第二步:确定训练样本,选择隐含层中心,并根据选择的中心计算各个中心间的最大距离dmax。

根据上述模型,选择500个输入输出数据作为训练样本,并在其中选择10个作为隐含层神经元的中心。

第三步:输入训练样本,根据前面的所提出的公式,计算隐含层各个神经元的输出,并分别根据前面所提到的最小二乘法和矩阵违逆法,调整隐含层和输出层之间的权值。

第四步:根据训练好的神经网络,输入新的输入信号,得到系统的输出信号。

根据上面的步,MATLAB仿真结果如下:

从上图中得出,通过给定神经网络输入,可以得到与系统真实输出相近的输出值,较好的完成了对非线性系统的跟踪及预报。

应用最小二乘法得到的神经网络误差累计值要大于求矩阵违逆的神经网络误差累计值。但是,随着选取的样本数的不断增加,二者的误差会不断减小,并且应用最小二乘法的误差累计值要接近甚至小于求矩阵违逆的神经网络误差累计值。通过上面的实例仿真我们可以看出该方法可以较好的完成非线性系统的辨识,但是在仿真中我们也发现,如何选取隐含层的神经元节点的个数,以及确定样本,选择神经元中心,成为降低误差的关键,这也是今后研究的主要方向。

参 考 文 献

[1] 李秀英,韩志刚.非线性系统辨识方法的新进展[J].自动化技术与应用,200410(23):5-7.

[2] 毛健,赵红东,姚倩倩.人工神经网络的发展及应用[J].电子设计工程,2011,19(24):62-65.

篇10

【关键词】党政信息化 网络平台

1 业务互联互通:安全保密面临的新挑战

安全保密是党政信息化的重要要求之一。党政信息化系统根据所处网络、所承载的信息敏感程度不同,需要按照等级保护和分级保护要求进行保护。在信息化发展过程中,安全保密手段也从防火墙、入侵检测等被动安全防御发展到以PKI等密码技术为主的主动安全,为信息化发展发挥了大量重要作用。

然而,随着业务需求的不断发展,党政信息化正面临着从各自为政向全程全网的重要变革。传统以部门局域网、以区域、行业为对象的信息化建设模式,人为割裂了跨部门、跨区域和跨行业的政务业务链,导致信息化发展内外严重不平衡,部门“出不去、进不来”的现象越来越严重,信息孤岛、业务孤岛由此而生。

在传统的信息化建设模式下,网络、信息系统都有明确的边界,因而安全保密的重点就是“内部保护”和“外部隔离”。

当以“互联互通、信息共享和业务协同”为主要需求的全程全网信息化需求迅速发展时,以“保”为主动的安全保密在保证了局部安全的同时,也成为了阻碍互联互通的又一个孤岛――安全孤岛。而改变这种局面,需要改变安全保密局部防御的思路,建立全网安全保密支撑和服务体系,在确保安全保密的同时,更要发挥为业务全程全网保驾护航的作用。

2 网络信任体系:全网安全保密的技术基础

以PKI技术、现代密码技术,是建立大规模网络环境下实体信任的基础。然而,要建立全网安全保密的支撑和服务体系,必须打破部门之间、区域之间、行业之间的信任孤岛,真正实现面向全网的网络信任体系。

全网网络信任体系是建立几个全网统一之上的:

2.1 是全网统一的网络资源管理

这是网络信任体系建立网络实体信任关系的管理基础,也是实体信任关系的信任源点,凡是需要信任的网络对象,包括机构、用户、应用资源等,都需要通过网络资源管理的注册、审核、登记,建立起和物理世界实体的信任关系,确保物理世界和网络世界的一一对应。

2.2 是全网统一的身份认证服务

这是网络实体的行为基础,所有访问行为、服务行为等都依赖其背后的身份可信。所以统一身份认证服务必须在网络层实现,在用户上网、应用上线的环节上能够鉴别用户、设备、系统的身份,并为每个需要进行身份确认的环节提供身份证明服务,身份认证、身份证明服务以全网为服务范围。

2.3 是统一授权和权限服务

这是确保网络行为有序、信息和应用资源受控访问的基础。统一授权服务,可以在全网范围内实现实体和被访问资源之间的权限关系,而统一权限服务是确保这种权限关系全网有效,各相关资源保护点可以基于统一授权和权限服务,实现严格的访问控制。

2.4 是统一的证据保留和责任认定

这是确保安全保密管理和事后责任追溯的基础。在发生安全保密事故时,迅速确定事故发生地点、通过对行为证据的的综合分析,可以在全网范围内判定责任人和责任范围。

网络信任体系的四个统一,使得安全保密具有了统一的管理和服务基础,基于统一网络信任体系,从网络、信息、业务三个层面可以实现全网全网的安全保密。

3 网络层安全保密:网络互联和边界隔离保护

互联互通首先是网络层的互联互通。和国际互联网扁平化结构不同,还是党政系统的网络平台,由于分层管理、分域保护的要求,其基本管理单元是以部门网络构成的安全域,大量安全域根据行政机构实现横向、纵向互联,形成大型复杂网络。网络层安全保密必须确保网络安全互联的同时,又确保网络互联边界的有效隔离保护,网络边界隔离保护是网络整体安全的基础。

互联互通条件下的网络边界隔离保护解决方案是基于网络信任体系的统一身份认证、统一授权和权限服务实现的,通过对网络边界部署网络访问控制安全网关设备,形成安全域保护边界,对所有试图访问网络边界的用户进行身份和权限验证,确保网络通行为可管、可控。

根据安全保密的要求不同,网络边界隔离的保护点首先是在安全域互联边界,实现不同安全域之间网络接入的安全保密;其次是在安全域内德重点安全区,如重点应用系统、信息资源管理系统,可以部署资源访问控制点,对试图访问安全区内重要信息资源的行为进行强制主动保护,合法授权用户可以透明访问资源,而非法用户将远离试图接触的资源,极大提高了资源保护能力。

4 信息层安全保密:信息交换和可信交换控制

互联互通的第二个层面是信息层的互联互通。不同安全域的机构、应用、用户之间、不同应用之间需要通过信息交换,传递文件、业务要求和其他业务信息,因此,建设统一体系、高效互联的信息交换平台势在必行。然而在享受信息层互联互通的同时,必须确保跨域信息交换符合安全保密的要求,确保安全可控。

因此,在信息交换平通各级安全域的同时,安全域边界必须具有对交换信息安全保密控制的能力。而这种信息安全保密控制能力由信息交换平台的信息交换发起方和安全域边界的信息交换控制点共同实现:信息交换发起方必须具备对信息本身进行安全封装的能力,在封装过程中,需要明确设定当前信息的相关保密属性;而安全域边界的信息交换控制点必须具备对当前交换信息进行安全保密属性鉴别能力,以及基于安全保密控制策略进行判断能力,确保只有符合安全保密策略的交换信息通过。

5 安全保密为业务层互联互通保驾护航

网络层互联互通和信息层互联互通,为跨部门(跨安全域)业务互联互通奠定了基础。同时,网络层安全保密和信息层安全保密为业务互联互通的全程全网安全保密奠定了基础。

长期以来,党政信息化面向业务的全程全网开展一直是难点。由于缺乏信息互联互通技术,传统的业务跨部门(安全域)开展,只能采用远程终端方式实现,而由于缺乏网络互联互通安全保密能力,为了规避网络互联互通的安全风险,只能依靠网络隔离手段建设了大量的业务专网,业务孤岛现象由此而生。

在网络层和信息层互联互通安全保密实现的基础上,业务层互联互通不再面临安全风险威胁,基于统一的电子政务网络,实现各个行业业务延伸已经成为可能,这其中首先是全网网络信任体系支撑下的安全保密技术突破,也是安全保密为业务保驾护航的重要方向。

党政部门业务跨部门(安全域)互联互通存在两种基本模式:

5.1 全网共享型业务延伸

业务应用系统在一个部门(安全域)部署,其他部门(安全域)用户经过授权具有远程访问该业务应用系统的权限,而在远程访问发起过程中,网络信任体系的安全域访问控制和安全域访问控制均可以对来访用户进行身份和权限的鉴别,确保共享型业务面向全网服务的安全保密。

5.2 全网协同型业务延伸

即参与业务协同的多个部门(安全域)各自部署相应的业务处理系统,而这些业务处理系统在业务开展过程中,用户无需跨部门(安全域)远程访问其他业务处理系统,通过相互间交换业务信息和业务办理要求,由分布在不同部门(安全域)的用户在各自系统中进行跨系统业务协同,共同完成复杂业务。在跨部门(安全域)交换业务信息时,信息交换平台一方面负责信息的端到端内容安全性,而安全域边界的信息交换控制点根据安全策略,负责信息流转符合安全保密规则。

基于网络层、信息层互联互通和安全保密的方案,既保护了业务全程互联互通、又确保业务跨域延伸的安全保密。

6 结束语

党政信息化互联互通、信息共享和业务协同的发展要求,对传统的以防御、以隔离为主要特征的安全保密模式提出了新的挑战。安全保密必须以业务发展为导向,以保障业务全程全网的安全开展为服务目标,因而也必须面向全网安全保密。全网网络信任体系的实现为全网安全保密提供了基础,网络信任体系和一般意义上的应用系统信任、局域网信任的最大不同是网络信任体系以全网为管理、服务范围,具有真正的体系一致性。而基于全网网络信任体系的管理和服务能力,网络层互联互通、信息层互联互通的全网安全保密可以实现,进而为跨部门、跨区域、跨行业的业务开展,实现业务层互联互通提供了支撑和保障,为党政系统信息化安全保密提供了全新的解决方案。