网络系统论文范文
时间:2023-03-20 05:38:54
导语:如何才能写好一篇网络系统论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
1.1诊断思路
网络系统故障一般有电源系统引起的故障、节点故障和线路故障[5];通信线路的故障形式主要有CAN线短路、CAN线断路、CAN高低线短路、CAN线以及线路物理性质引起的通讯信号衰减或失真,这些都会引起控制单元无法工作或电控系统错误动作[6]。控制单元的正常工作电压一般在10.5V~14.5V范围内,如果提供的电压低于该值就会造成一些对工作电压要求高的控制单元出现停止工作,从而使整个网络系统无法通信。所以诊断前应先保证电源供电正常,再使用专用诊断仪或解码器对整个电控系统进行故障诊断,若诊断结果为控制单元通讯故障、失去通讯、通讯总线故障时,一定要弄清控制单元之间的通信关系,选取合适的检测点测量信息传输线路波形,最后查明故障原因。
2供电企业试验测量
2.2试验结果与分析
2.2.1CAN线断路波形机理分析
1供电企业计算机网络系统安全保障的必要性
首先,供电企业的计算机网络具有分布十分分散、网络节点多的特点,管理起来较为困难。供电企业需要对整个城市的供电进行管理和控制,那么必然会使用大量的网络节点。由于这些网络节点较为分散,出现问题不易查找出源头进行处理,势必会影响正常的供电工作。其次,供电企业本身担负着用电安全的重要责任。供电企业跟普通企业不同,它担负的责任更重,普通企业的网络安全出现问题,仅对企业自身造成不良影响,很少会对社会或者是大范围的人群造成生活上的影响。而供电企业计算机网络系统一旦出现问题,很可能会对人民的正常生产生活造成损失。最后,当前影响计算机网络系统安全的因素太多,严重影响其稳定性。计算机网络系统安全问题不容小觑,各种主观和客观的因素共同制约着其安全稳定地运行,所以我们想要确保其安全和稳定,就必须站在宏观的角度去看问题,全盘考虑,找出对策。
2影响供电企业计算机网络系统安全的因素
影响供电企业计算机网络系统安全的因素较多,主、客观的因素都有,其中可以分为两类,一类是供电企业自身的问题造成的安全隐患,一类是外部的因素对其供电企业计算机网络系统的安全保障研究曹凡国网湖北省十堰供电公司湖北十堰442000安全性的影响。供电企业自身的问题完全是可以通过管理手段杜绝的。这些因素大致上分为下面几种:第一,计算机本身的硬件故障和软件问题。计算机网络系统是由很多硬件组成的,其输入输出、存储、电源、主板等原件较为复杂,任何一个原件出现问题,都会对整个计算机网络系统产生影响,一旦出现信息的错误接收或者发出,又或者存储的数据丢失,都会造成难以想象的损失。另外,只有计算机硬件无法实现其具体功能,整个计算机网络的运行是依托于各种软件,这些软件本身可能是有缺陷或者漏洞的,又或者软件开发者故意留有“后门”,都将直接影响系统安全。第二,员工个人操作时常会因为不按规范进行而出现安全隐患。计算机即便再便捷、迅速,它也需要人的操控。人总是会因为疏忽大意或者是不重视操作规范而造成问题,特别是当前供电企业某些工作人员具备供电常识,但计算机操作能力较差,当今电力企业的发展又要求必须要使用计算机,这些工作人员在操作时候很可能会造成网络设备的损坏或者留下安全隐患。特别地,员工操作计算机最易出现安全隐患的阶段就是数据的传输阶段,在数据传输时没有做好安全保障常会造成重要数据的泄漏或者被窃取,严重时候还可能被破坏。第三,管理不善导致的安全问题出现。管理方面主要体现在机房的门禁制度不健全,无法阻止不相干人员进出机房,这样任何人都会对计算机系统造成威胁。
而影响计算机网络系统安全的外部因素大致上分为两类,首先是不可抗力的作用。这里的不可抗力主要是指自然灾害。因为计算机需要线路去传输,而计算机线路最怕遇到暴雨、火灾、雷电或者其他自然灾害导致的线路中断。一旦线路被外力中断,其系统安全就无从保证。其次是病毒和木马的感染,这项因素严格来说是由工作人员操作不当和黑客刻意操作两方面的原因构成的。无论是哪种情况,都会使网络安全无从谈起,而会出现这种情况,无非是自身管理的漏洞等原因,都需要企业从自身入手进行解决。
3供电企业计算机网络系统安全保障措施探析
针对上述的影响因素,我们需要从多个层面共同保障。首先,从管理层面来说,要建立健全完善的管理手段,不仅是在计算机网络安全领域,还要从整体入手,做好整个企业的宏观管理,制定出相关的操作规范和管理规范,设立专门的计算机网络系统管理部门,由专业的技术人员对整个系统进行实时的监测和控制,使其安全有最基础的保障。
其次,应当注意相关工作人员的素质提升。供电企业工作人员往往是电力知识较为稳固,对计算机的使用并不能尽如人意。而仅靠专门的计算机专业人才是远远不够的,需要对工作人员进行必要的计算机培训,培养复合型人才。另外,还要提升工作人员的安全责任意识和对故障的敏感性,在操作计算机时一定注意各种风险和隐患。
再次是从技术层面来说,要进行多个领域技术的研究和应用。一是要做好抵御外部攻击的准备。要进行防火墙以及入侵检测系统的设置。必须在企业网络系统内安装防火墙,并且运用IP伪装等技术,保护内部网络的安全。同时,安装入侵检测系统,与高等级防火墙配合使用,共同抵御外部的网络攻击。另外,还要运用一些成熟的技术来抵御黑客的袭击。例如运用应用技术和PacketFiltering技术。前者是一项较为稳定的监测系统,对于这项技术来说,整个防火墙的线路近乎于透明,可以很清晰地对外界数据进行监控和排查,确保外来数据的安全。而PacketFiltering则是指包过滤技术,它是使用较为广泛的一种技术,主要是为各种基于TCP/IP协议数据报文出进的通道。现代多数情况下使用的是动态过滤,区别于以往的静态过滤,它现对信息进行分析,然后运用防火墙预设的规则进行效验,确保有问题的某个数据包能够及时被发现并阻止;二是做好企业内部计算机网络的日常管理。我们知道,来自计算机网络内部的问题要远大于外部的问题,要想内部不出问题,就需要从内部多个方面入手。技术人员应当定期地进行病毒和木马的查杀并且不定期地进行抽查,将可能出现的问题扼杀在萌芽阶段。要进行必要的身份设置,根据工作人员工作权限和工作内容的不同设置不同的身份口令,建立不同权限的身份账号,设定访问和修改的权限,并且对这些身份资料进行定期的核查。最后是做好各种补救措施。安全隐患的预防措施再完备也无法保证不会出现问题,企业应当做好各种准备,将重要数据进行备份,确保在出现问题时能够及时解决,将损失降低到最低范围内。
4结语
篇2
网络综合接入是整个网络的基础,该部分包括互联网出口、网络架构及接入节点。后续业务及办公将更依赖于互联网资源,为了保证互联网出口的畅通无阻,依据厦门轨道交通集团网络规模约为1000个用户数的用户规模,本研究建议引入两条20M互联网专线,并采用两大运营商的网络资源,为解决跨南北运营商的网络,本研究建议引入电信和联通用两大运营商的网络资源。网络架构依分层设计的思路,本研究建议采用网络扁平化设计,采用二层结构,压缩掉汇聚层,形成核心层和接入层,提高转发效率,核心层是承担整体网络的核心交换,因此应充分考虑其高可用性。
1.1互联网出口研究为了保证互联网出口网络链路的畅通性、稳定性和可靠性,保证网络服务的质量,消除单点故障,减少停机时间,本研究建议引入两大运营商(电信、联通)的互联网专线,从而实现不间断、高效率的政务服务。基于上述考虑,本研究建议在厦门轨道交通集团互联网出口部署网络链路负载均衡设备,以实现以下两种场景下多条链路的负载均衡:(1)内部办公人员和网络工作站在访问互联网服务和网站时,能够在不同互联网出口链路中动态地分配和负载均衡,这也被称为出站流量的负载均衡。(2)互联网络的外部用户在外部访问内部网站和应用系统时,也能够动态地在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为入站流量的负载均衡。
1.2核心层研究本研究建议核心层采用两台核心交换机,通过VRRP实现全容错的核心层接入。VRRP全称VirtualRouterRedundancyProtocol(虚拟路由冗余协议)。简单来说,VRRP是一种容错协议,它保证当主机的下一跳路由器坏掉时,可以及时的由另一台路由器来代替,从而保持通讯的连续性和可靠性。为了使VRRP工作,首先要创建一个虚拟IP地址和MAC地址,这样在这个网络中就加入了一个虚拟路由器。而这个网络上的主机与虚拟路由器通信,无需了解这个网络上物理路由器的任何信息。一个虚拟路由器由一个主路由器(MASTER)和若干个备份路由器(BACKUP)组成,主路由器实现真正的转发功能。当主路由器出现故障时,备份路由器成为新的主路由器,接替它的工作。在厦门轨道交通集团中心机房部署两台核心交换机,通过VRRP及MSTP技术实现链路及设备冗余及负载,避免单台核心交换机故障而造成整个业务系统的中断。考虑网络的安全、稳定可靠性,本研究建议网络设备采用知名品牌。
1.3接入层研究为了保证各楼层高可用性、高密度的客户端接入,本研究建议每台接入层交换机通过双链路与两台核心交换机对接,并开启生成树避免环路,保证骨干线路千/万兆的链路,另一方面通过trunk将各楼层所需的VLAN传递下来,并通过接口划分指定的VLAN。为了保证安全,各VLAN之间互访控制通过核心交换机ACL(访问控制列表)统一控制。也可以通过VLAN实现各应用系统虚拟专网专用,保证安全性及投资回报。3.4网络接入点研究根据统计1号及2号楼网络信息点列表,本研究建议各楼层的交换机(交换机端口20%预留)配套如下表据上述列表统计,24端口楼层交换机为3台,48端口楼层交换机为17台。
2网络安全保障研究
网络是整个信息化的基础平台,网络给企业带来极大的方便,但同时也带来一些安全隐患,网络上蠕虫病毒,来自互联网黑客的攻击等。网络安全保障研究考虑的安全设备包括防火墙、上网行为管理、SSLVPN、入侵防护及WEB应用防火墙,上述安全设备功能简单描述如下:(1)防火墙:是隔离互联网与内网的第一道屏障,用于实现内外网隔离。(2)上网行为管理:可以保障企业互联网资源的有效利用,避免单个用户下载行为而造成互联网带宽瓶颈。(3)SSLVPN:通过简单网页方式建立的VPN通道,可以保障移动办公人员安全高效地访问公司的内部资源。(4)入侵防护:可以及时准确地拦截黑客的各种攻击行为。(5)WEB应用防火墙:可避免网站被篡改而造成各种经济及声誉上的损失。以上这些网络安全防护设备对于保证企业网络环境的健康、稳定运行缺一不可。
2.1互联网边界安全研究成功的DDoS攻击(DistributedDenialofservice分布式拒绝服务,即很多DOS攻击源一起攻击某台服务器)所带来的损失是巨大的。DDoS攻击之下的厦门轨道交通集团所有网站性能急剧下降,无法正常处理用户的正常访问请求,造成客户访问失败;服务质量协议(SLA)也会受到破坏,带来高额的服务赔偿。同时,提供商的信誉也会蒙受损失,而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等,这些损失都是由于DDoS攻击造成的。厦门轨道交通集团未来基于互联网业务应用(例如交通信息、网上购票等)将越来越多,面临DDoS攻击机会将越来越大。厦门轨道交通集团在互联网边界区必须部署强有力抗DDOS攻击能力的防火墙,并实现三大安全区域的划分:外网、内网和DMZ(demilitarizedzone隔离区,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡)区。
2.2移动办公远程安全接入研究针对部分互联网移动办公用户需要通互联网安全高效地访问内部的业务应用系统,本研究建议配置相应的SSLVPN解决方案,它可以实现免VPN客户维护,又可以保证用户可以通过互联网安全高效地访问厦门轨道交通集团的业务系统。
2.3上网行为管理研究厦门轨道交通集团为了方便员工工作而开通的互联网专线,员工可自由访问互联网资源。但互联网也暴露出双刃剑的特性:一方面员工的上网条件得到改善,公司总部组织运营效率得到了较大的提升,随着业务可持续性要求的不断提高,也发现网络给企业带来很多的安全隐患,互联网资源被滥用的问题也日益严峻。过去,员工通过与同事闲聊来打发上班时间。随着计算机和互联网的普及,员工有了更多的选择,网上购物、与好友聊天、下载手机铃声、在线欣赏音乐、下载电影、收发个人邮件、在论坛上舞文弄墨……。只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣。很多员工一打开电脑就会开始各种下载工作,包括BT、电骡、迅雷这些网络资源的“吞噬者”,这些员工在大量下载电影和软件的同时却在不停地抱怨网速太慢。这些行为严重影响其他员工的正常业务办公(比如通过互联网专线上传一些数据等)。同时,不管员工有意还是无意,他们都能够而且有办法去访问一些对组织网络基础设施有害的内容,带来的病毒、蠕虫和木马,均可随着简单的鼠标点击轻而易举地侵入轨道办公系统内网。如何在最大利用互联网优势的同时,避免以上互联网资源被滥用所引发的安全隐患及其他各类问题,本研究建议:通过技术设备和规章制度的相结合,根据业务需求规范不同网络应用优先级,实现网络流量、带宽的总体规划,通过合理规划并实施流量带宽分配,保障核心关键业务平稳运行,指导员工正确使用单位的网络资源,从而对局域网的上网行为进行有效管理。本研究建议在厦门轨道交通集团互联网出口部署上网行为控制设备。通过基于网络应用类型以及用户多样化的带宽管理需求,将单条物理带宽划分为多条虚拟线路实现差异化管理,同时又将每条虚拟线路划分为多个虚拟子通道来对应管理不同类型的网络应用(能够为关键业务及应用静态预留带宽策略,保证指定带宽绝不会被其他应用抢占;为指定应用行为提供带宽限制策略,保障带宽不会被其滥用;能够为指定应用的带宽需求提供动态带宽保证,即将指定应用未占用的带宽动态共享给其他应用,最大限度的提高了网络带宽的利用率);通过基于P2P行为特征的智能识别技术,实现对加密的、版本泛滥的、同一版本多次变种的、不常见的P2P应用进行识别,为有效的管控P2P应用;基于内容的网页智能识别技术,对网站内容进行智能识别,自动学结出某类网站的特征与共性进而对用户访问网页所产生的流量进行差异化管理;基于文件类型的精确识别,有效管控HTTP、FTP文件上传、下载流量,保证网络带宽的合理利用。以此来帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。通过部署上网行为管理能达到以下效果:(1)入网管理,有效管理上网用户数量;(2)无线准入机制;(3)设置专门上网的电脑;(4)防止机密信息泄漏和法律违规事件;(5)审计内网用户发送邮件;(6)审计内网用户访问网站;(7)审计内网用户使用聊天工具的内容;(8)因人而设上网权限;(9)带宽及流量管理;(10)通过控制P2P流量,限制下载;(11)合理利用带宽细致划分与分配带宽资源。
2.4入侵保护研究依据厦门轨道交通集团未来网络和相关业务情况分析结果,本研究建议在厦门轨道交通集团内部网络部署入侵保护系统IPS,以最大化地保护网络信息安全,减少及有效避免以下安全风险:(1)网络互连带来的安全风险由于业务需要,厦门轨道交通集团网络需连接互联网,业务或办公数据在网络上传输,而网络设备、主机系统都不同程度存在一些安全漏洞,攻击者可以利用存在的漏洞进行破坏,可能引起数据破坏、业务中断甚至系统宕机,将严重影响厦门轨道交通集团网络的正常运行。(2)攻击快速传播引发的安全风险目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,比如蠕虫爆发将造成厦门轨道交通集团网络瘫痪。入侵检测系统IDS虽然能检测出攻击行为,但无法有效阻断攻击。另外,网络防病毒系统属于被动防护,对于新的未知蠕虫病毒,防病毒软件无法检测出。因此如何保证厦门轨道交通集团网络在安装最新安全补丁之前,网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪。入侵保护系统IPS(IntrusionPreventionSystem)提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在传送恶意流量的同时或之后发出警报。IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
2.5WEB应用防护研究随着厦门轨道交通集团将来互联网业务的应用越来越广泛,其社会影响力将越来越大,一旦平台网站被攻击将无法对外提供服务或被篡改,该情况将对厦门轨道交通集团造成极大的负面影响,因此本研究建议在DMZ区部署针对网页防篡改的WEB应用防火墙。传统的边界安全设备,如防火墙,作为整体安全策略中不可缺少的重要部分,局限于自身的产品定位和防护深度,不能有效地针对Web应用攻击提供完善的防御能力。因此,厦门轨道交通集团对外服务的网站有必要采用专业的安全防护系统,有效地防止各类攻击、降低网站安全风险。合理的WEB应用防火墙可以包含事前、事中、事后的事件有效管理。事前,ICEYEWAF提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险,维护网站的公信度。
3网管中心研究
健康、稳定的网络环境,除了需要良好硬件网络基础环境,还需要配套后台的网络运维管理软件,此次网管中心网络运维管理软件包括补丁及防毒中心、数据备份中心、文档加密系统及桌面管理系统。
3.1补丁及防毒研究目前绝大多数病毒传播的途径是网络。对于一个网络系统而言,针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。因此,对每一个病毒可能的入口,部署相应的反病毒软件,实时检测其中是否有病毒,是构建一个完整有效反病毒体系的关键。来自系统外部(Internet或外网)的病毒入侵:这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高,耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。网络邮件/群件系统:如果网络内采用了自己的邮件/群件系统实施办公和信息自动化,那么一旦有某个用户感染了病毒,通过邮件方式该病毒将以几何级数在网络内迅速传播,并且很容易导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署反病毒也显得尤为重要。文件服务器:文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率,并且能对信息进行长期有效的存储和保护。但是一旦服务器本身感染了病毒,就会对所有的访问者构成威胁。因此文件服务器也需要设置反病毒保护。终端机:病毒最后的入侵途径就是最终的桌面用户。随着智能手机、随着各种网络应用的增多,智能手机和笔记本计算机的普及,网络边界逐渐消失,网络结构趋于开放;由于网络共享的便利性,某个感染病毒的桌面机可能随时会感染其它的机器,或是被种上了黑客程序而向外传送机密文件。因此在网络内对所有的客户机进行防毒控制也是非常重要的。本研究建议厦门轨道集团本部部署补丁及防毒中心,通过补丁及防毒中心统一管理及控制集团内所有终端机及服务器的补丁审批及病毒库更新。
3.2数据备份研究鉴于IT网络环境的不稳定性,及可能发生的硬件损坏、人为误操作、存储故障等造成的数据损坏和业务停顿,或火灾、地震等自然灾害带来的毁灭性破坏,信息系统的安全保障也提出新的要求:系统的数据、文件等需要得到妥善的保护,丢失后要能快速恢复;电子档案资料要实现归档并能在异地保存。因此本研究建议厦门轨道集团本部部署数据备份中心,数据备份中心除了提供备份软件外,还需配套专用的磁盘备份设备,为集团提供集备份、容灾和存储为一体的创新型备份存储方案。通过部署数据中心以期能达到以下效果:从PC到Windows到Linux和Unix服务器环境的集中备份,并采用NAS、IPSAN和FCSAN多种存储架构相结合的方式满足用户数据共享和集中存储的需求。
3.3文档加密研究行政办公文档、经营文档、技术文档三类文档在企业运作活动中密不可分又相对独立。如:研发类的技术文档希望在技术体系内部使用,不能轻易流转到行政管理部门,而企业经营文档,特别是一些敏感的经营信息,只能在受控的少数经营部门,如:财务、总办等部门使用。文档如何在本体系内充分共享,支撑业务活动,同时又受控地流转到其它部门,是文档安全保护需要重点解决的问题。另外,任何企业和外部有千丝万缕的联系,如:行政监管部门、客户、供应商等,如何能将相关地文档和外部合作伙伴交换,同时保证其安全性,也是文档安全管理要解决的问题。在行政办公文档、经营文档、技术文档相关的体系内部,文档的安全保护也必须考虑文档的日常使用和流转、文档管理规范的遵守和落实、文档保护相关的技术手段等方面的统一协调,达到安全和效率的平衡,即对文档进行适当的保护又不影响企业正常的业务运作。达到这一定,必须充分考虑文档操作流程、文档管控措施、文档保护技术手段的要求,使三者有机地融合在一起。因此本研究建议在厦门轨道交通集团部署文档加密系统,以期能达成以下效果:客户端动态加解密区域文件复制或保存时自动强制加密。文件打开时自动解密。对用户来说,该过程是完全透明的,不改变用户的使用习惯。无论是另存为其他文件格式,还是使用进程名欺骗的方式都能对文档有效加密。无论通过存储(USB、光盘、软驱、ZIP盘等)或网络(Email、FTP、Windows共享等)或是其它传输介质与方法(红外、蓝牙等),均在保护范畴内。(1)拷贝粘贴及拖拽控制:允许从外部复制进受控文档,但不允许从受控文档向外复制粘贴(包括邮件或者即时通讯工具),用户在受控文档间的拷贝粘贴、拖拽均可正常使用。(2)文档权限管理:文档具有阅读、编辑、打印的权限控制。对外发文档除了上述功能外还需加上时间限制以及次数限制功能,该文档超过一定时间或打开次数就无法再使用,而且对于作者可实行再授权功能。用户端对文档的任何操作都有详细的操作日志,其检索功能对文档的非法操作能快速定位。用户终端的自我防护、客户端程序及加解密模块不能轻易的在非认证或授权的情况下被终止或激活。系统能控制客户端的打印、截屏、录屏等功能,但此功能仅限于对受保护的文档进行控制,而非受保护的文件使用还是灵活的。员工因工需要挟带笔记本出差或在出差过程中需要对一些密文解密外发时系统应提供一套完整的离线管理和解决方法。
3.4桌面管理研究在现代企业环境下,一个IT的管理部门需要花费大量的人力物力来维护企业的计算机运行环境。同时,由于计算机设备的更新和变化,财务部门对企业的计算机设备的管理和统计经常处于一种无序及手工统计的状态,当设备更新频繁时,原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新,从而造成设备管理的混乱还会造成时间的迟滞,影响企业的运行效率,给企业带来损失。如何解决这些痛苦的管理问题?您需要一套高效和易于使用的桌面管理解决方案。本研究建议在厦门轨道交通集团内部署桌面管理系统,通过部署该系统以期能达到以下效果。(1)资产管理软硬件资产信息收集,动态掌握全网IT资产现状可定义的资产变更警报,可以全面监控客户端的IT资产与配置的变化,例如,客户端的内存、硬盘的变化,以及IP地址的变化等等,避免企业IT资产的流失。全面的资产报告,集成超过120种报表,并使用最新的自定义报告引擎,使创建自定义报表更加方便。便于资产统计、盘点。(2)远程支持帮助管理员对被管理设备进行远程支持,减少大量的现场支持及电话支持工作,提高服务支持的响应速度。集成多种桌面支持工具,包括:远程控制、远程对话、远程文件传输、远程执行、远程重启、远程关机、远程桌面画图等等。可根据网络带宽忧化的远程桌面支持,节省企业远程支持费用。(3)软件分发向跨网络的大批客户端进行软件(办公及应用软件)的远程安装或卸载;帮助企业进行软件的统一部署、升级、维护。支持应用软件修复,使用户的业务可持续运行。支持“推”和“拉”的两种软件分发方式。支持软件分发的断点续传。支持任务完成,保证任务执行的完整性。支持软件分发向导,使软件分发更加简单。自带软件差异打包工具和脚本编辑工具。(4)操作系统分发和配置迁移对远程客户端进行硬盘映像的捕获或部署,实现硬盘备份/恢复,支持多种操作系统映像分发格式:Ghost、Image、PowerQuest等等。支持操作系统的配置迁移:从Windows98/2000向WindowsXP/2003迁移。用户帐户信息;应用程序设置,模板及关联文件;桌面设置(MyDocs;映射的驱动器;打印机;壁纸;屏幕设置等)。支持裸机的操作系统分发,可帮助客户为批量裸机快速部署操作系统及应用程序。
4结束语
篇3
1.1网络系统设计的教学内容在想尽的网络系统需求分析的基础上,用户就可以进行网络系统设计了。网络系统的设计要考虑很多因素,如网络通信协议、网络规模、网络拓扑结构、网络功能、网络操作系统、网络应用系统等。在进行网络设计过程中一定要遵循网络系统设计的有关步骤和原则。拓扑结构是将各种物体的位置表示成抽象位置。在网络中,拓扑结构形象的描述了网络的安排和配置,包括各种节点和节点的相互关系。拓扑结构不关心事物的细节,也不在乎相互的比例关系,只将讨论范围内事物之间的相互关系,通过图形表示出来。网络通信需要每个参与通信的实体都具有相应的IP地址。不同的网络可以有不同的地址编码方案。VLAN的设计与地址规划方法是密切相关的。这是这部分的重点和难点。网络操作系统对网络的性能有着至关重要的影响。网络操作系统的选择原则是随着市场、技术及生产厂商的变化而变化。
1.2网络系统集成设备的教学内容计算机网络设备是计算机网络系统中重要的组成部分,其主要功能是传输数据和存储数据。经常使用的网络设备包括网卡、交换机、路由器、防火墙、不间断电源、存储设备和服务器等。本部分对网络系统集成中经常使用的设备的工作原理和分类方式进行详细介绍。明确设备选型过程中需要重点考虑考察的性能指标,理解设备选型过程中需要注意的事项。服务器技术主要是让学生了解选择服务器的指标有哪些以及在服务器中采用的典型技术。为了保证可靠性,服务器中采用的典型技术包括磁盘阵列技术、双机热备份技术、容灾数据备份技术。
1.3网络管理与网络安全的教学内容随着计算机网络技术的快速的发展,很多企事业单位都建立了自己的网络。为了让网络更好地为企事业单位服务,需要对建设的网络进行管理。要管理好网络,需要随时掌握整个网络的状态,并对网络及时进行网络升级和防毒等,保护网络安全。这部分主要讲解与网络管理、网络安全相关的内容。将叫教学知识重心放在学生对于网络管理相关定义及具体手段的把握上,同时能够知道一定的解决网络故障问题的策略;正确理解网络安全相关定义及其相关的加密技术。
1.4网络综合布线系统的教学内容综合布线系统是网络集成系统中十分重要的子系统,主要是指建筑物的综合布线系统。这里我们所说的传输介质具体而言就是在网络中负责传输信息的载体,常用的传输介质分为有线传输介质和无线传输介质两大类。
2多种教学方法的选择
2.1教学内容特点分析表1所示的教学内容在学习上具有各自的难点,具体如表2所示。
2.2教学手段的选定要想实现教学质量的进一步增强,要结合具体教学内容的实际特征,选择相对应的教学手段。主要表现如下表3。
3所得教学效果分析
根据上述我们所规划的教学措施,开展了教学工作。在32学时中,各部分课程内容所占据的时间比重参见下图1。在教学过程中我们设置了四堂实验课程。全部的学生都在规定的时间范围内做完了实验,另外还有一些学生在课下自己做完了提高部分的内容。在招投标模拟实习的整个实践环节中,每个学生根据自己扮演的角色提交了相应的文档并做了报告。模拟实习的成绩分布为:优秀的占4%,良好的占30%,中等的占64%,及格的仅占2%。根据模拟实习成绩和学生的反映可以看出,模拟实习对于他们理解整个招投标过程、集成方案的设计以及各种集成技术的应用有较好的效果。所有学生所取得的笔试成绩参见图2。从图中我们可以了解到成绩良好的学生占到了所有学生的百分之十六,成绩中等的学生占到了所有学生的百分之四十六,成绩及格的学生占到了所有学生的百分之十六,符合我们最初的效果所想。
4结束语
篇4
1.1信息功能设计提出的综合布线方案实现了大厦设备在物理层上的互相联系,满足系统间信息共享的要求,为大厦与Internet的连接及集中管理奠定了基础设施。
1.2建设目标综合布线是一项系统工程,必须针对工程特点,制定规范的组织机构,保障施工顺利进行[4]。综合布线系统是网络信息传输的基础,是体现于网络物理层的信息传输系统,具有计算机网络系统的一些网络特点和结构特征[5]。根据设计方案,大厦综合布线系统的目标课定为:以标准为指导、以领先为技术、以自动化为支撑和以高集成为系统。把大楼信息网络系统建设成为一个高起点、高标准的和高设施的,并有一个平滑的升级和高开放的网络平台。
1.3设计原则设计原则有:①开放与先进原则:整个程序设计的目标决定了系统必须采用先进的技术和设备,以反映今天的水平,但也有发展潜力。另外,方案必须具有开放性。开放性的布线系统不但能适应不同功能的要求,而且又能支持不同厂家对应的设备;②灵活与实用原则:程序需要考虑系统当前和未来的技术发展,不仅要实现通信的数据和语音,而且也满足灵活的升级的要求;③扩充与模块原则:设计方案要求,除固定的传输线缆外,其他所有的插件均采用模块化的标准件,以适应将来需要扩展时,方便地将设备添加进去。
1.4设计标准设计标准是:①GB/T7427-87国家通信光缆的要求;②EIA/TIA-568、569、607网络标准;③IEEE局域网标准、TPDDI铜线分布接口局域网标准等。
2信息结构设计
在大厦的信息建设过程中,本着“服务与管理提供高技术的智能化手段,以期实现快捷高效的超值服务与管理,提供安全舒适的家居环境”的理念。将实现无线与有线灵活匹配,从而将有线局域网和无线WIFI的优势充分发挥,使大厦的信息环境最大化的延伸。方案采用“万兆核心、千兆主干,百兆到房”智能化的布线系统。数据机房和大厦各楼层垂直部分采用多模光纤连接,水平系统采用超五类网络电缆。办公空间使用有线互联网接入,在公共场所使用标准的无线接入方式,以灵活的环境,满足客人的不同需求。(1)核心机作为网络核心的中心交换机采用的是专为企业网络核心设计的思科CiscoCatalyst4500企业万兆核心交换机,设在大厦6层的信息机房内。采用了CenterFlex技术的CiscoCatalyst4500系列交换机能够通过安全、灵活和不间断的通信,提供可以扩展的无阻碍L2-L4层交换,从而帮助部署了关键业务应用的企业、中小企业(SMB)和局域以太网客户实现业务永续性。由于CiscoCatalyst4500能够为企业配线间和SMB接入/核心层提供先进的动态服务质量(QoS)功能和配置灵活性,因而能提供可以预测和扩展的高性能。硬件和软件中的集成式永续特性有助于提高网络可用性,以提高劳动力的生产率和企业的盈利能力,并保证客户成功。(2)汇聚层汇聚层交换机选用思科SR2024千兆以太网交换机,提供24个10/100Mbps端口,背板带宽达到4.8G,2个SFP插槽,完全具备服务器或光纤骨干连接可选的端口,将平层之间的每一行,通过光模连接到核心交换机。(3)接入层接入层选用思科SLM224G2具备增强的网管、安全和服务质量(QoS)功能的百兆智能网管交换机,提供24口10/100Mbps端,2个扩展槽,可以选配GBIC口用于服务器或光纤骨干连接,并且可以通过堆叠进行扩展。根据个人或建筑物和楼层接入信息点的需要,放置在单位堆叠开关组的相应数量之间的接线通过超五类网线上联到汇聚交换机。(4)无线AP大厦的公共区域采用腾达W301A无线AP提供接入服务。腾达无线AP采用天花板安装,300Mbps无线上传和下载速率、提供千兆以太网LAN接口、支持以太网供电(POE)或者外置电源适配器供电,具备无线中继器,点对点无线网桥,点对多点的无线桥接模式,内置高品质独立模块天线,无线信号有保障。根据大厦的实际情况进行AP的合理布点安排,在所有大厦要求的范围内为用户提供了无盲点和无缝漫游的无线宽带网络覆盖。
3综合布线及验收
大厦信息布线采用综合布线方案,根据结构化标准,网络由设备间系统、干线系统、工作区系统、水平布线系统和汇聚系统组成。(1)设备间系统设备间系统由主配线间和分配线间组成。语音主干采用单元接线板,使用数据骨干光纤终端盒安装架,所有设备均安装在19inch标准24U机柜内并采用不同色标做好标记。(2)干线系统主干系统工作区系统之间的集成,水平布线系统、聚合系统、设备系统及5个子系统的骨干系统一起,形成一个完整的结构化布线系统。其中语音主干采用三类大对数非屏蔽UTP双绞线铜缆,数据主干采用室内多模光纤。(3)工作区系统工作区布线系统主要由水平双绞线组成的系统,双绞线从配线架出发,通过立管从地面或金属托盘到指定位置上的出口连接到房间信息模块。方案中要求超五类线的最长距离不超过百米。具体终端网络采用超五类RJ45模块、语音采用RJ11模块。水平布线的语音部分采用两芯电缆。(4)水平布线系统楼层过道的顶上采用金属桥架和塑料阻燃防火波纹管相结合的设计方案。进入房间时,从桥架或波纹管引出以金属管暗装方式由墙壁而下到各个信息点。(5)汇聚系统由每层操作间的机柜上的配线架,通过跳线将信息线路定位到楼层的不同部位。其中水平层的数据和语音部分均采用24口TCL模块式配线架(根据需要配RJ45/RJ11模块),保留10%的余量用于未来的扩展。垂直层网络连接数据主干采用光纤终端盒,语音垂直层使用鸭嘴跳线和电信电缆110配线架连接。所有楼层操作间都配备了在线不间断电源插座。方案的验收参照《建筑与建筑群综合布线系统工程施工及验收规范》(GB50312-200)及国家通信行业标准《综合布线系统电气特性通用测试方法》(YD/T1013-1999)实施[7]。
4结束语
篇5
根据可靠性的定义:在规定的时间和规定的条件下,系统完成规定功能的能力。它是一种能力体现,而这种体现是基于系统本身的结构、行为和管理或过程控制而形成的。一些学者从应用角度出发,提出针对特定网络系统的网络可靠性指标体系。如针对军事通信网络,以抗毁性、生存性来衡量网络的可靠性;针对民用通信网络,则以网络的完成性来衡量网络的可靠性;针对电力网络系统,则以生存性、抗毁性来衡量。因此网络系统可靠性需考虑以下几个方面:①网络系统的行为描述;②网络系统的交互;③网络系统的功能结构;④网络系统的故障传播。
二、网络系统故障定义
网络系统的故障一般可分拓扑结构故障和性能故障。拓扑结构故障即为链路或节点失效所导致的两节点之间不存在路由;性能故障则从用户角度出发,网络无法提供正常的通信服务的问题集合。对于拓扑结构,网络存在2m种状态,m为链路与节点总数;对于网络性能,网络不同时刻,其性能状态不一样。不同的使用环境(民用、军用、数据实时性要求、数据可靠性要求等),对网络所能忍受的阈值不一样。如图1所示网络系统,其中S1和S2为客户端,T为服务器端,P1一P4为交换、路由设备。链路编号分别为1~8当客户端S1与终端T进行数据传输时,假设1—3-7为优先路由。当链路3上的数据量超出链路负载时,则会自动选择链路5进行数据传输,而此时的链路3继续工作,只是它是满负载工作。因此,在定义网络系统故障定义时,不仅需要考虑网络的功能、结构,也需要考虑系统所承载的关系流。
三、网络系统可靠性分析
1、利用重正化理论开展网络系统可靠性分析
重正化理论是诺贝尔奖获得者KGWilson于1974年提出的。该理论可应用于复杂网络的可靠性分析,分析网络中某些节点被破坏,网络能否保持工作的问题,也就是网络的弹性问题。例如:金属和绝缘体构成的薄膜中,由许多细小的格子组成,金属可在不同程度上占有格子,随着金属在薄膜中所占格子的比率P的逐渐增大,到某一临界值Pc时,薄膜将成为导体最低一行表示薄膜中的4个格子,圆圈表示被金属占有,第二行的箭头表示重正化,最上一行表示重正化为一个格子。如果在4个格子中。纵横方向均被金属占有,如最低一行左端的两个,则这4个格子纵横均导电,故重正化后的格子中也有金属点,如果被占格子只有2个或少于2个,则纵横方向不能同时导电,重正化后的格子中将没有金属。假设重正化前,金属占有一个格子的概率为P,重正化后金属占有一个格子的概率为P1,则4个格子同时被金属占有(图2中最左边的4个格子)的概率为p4,金属占有3个格子将有4种情况:概率之和为4p3(1-p)。4个格子或3个格子被占,超格子也被占。故有p1=p4+4p3(1-P)。因此,设对应于临界情况的P记为Pe,则Pe=Pe4+4Pe3(1-Pe)计算出Pe=0.768,这与实验值Pe=0.752较吻合。
篇6
1.1总体规划
通过对系统流程及需求的分析,确定了系统的功能划分成前台显示与后台管理两部分,前台显示主要包括客户浏览、搜索、注册、登录及购物车等功能,后台管理主要是图书信息、用户信息、类别信息等的数据库的基本处理功能,包括增、删、改、查4种常用的操作。
1.2运行平台和开发工具
系统采用WAMP技术作为运行平台,它集Windows、A-pache、MySQL、PHP4种软件合而为一,并且通过图形化界面进行操作管理,使用起来方便、简单。PHP(PHP:HypertextPreprocessor,超文本预处理器),是目前社会中较流行的一种开源语言,风格类似C语言,简单易学;MySQL作为数据库软件,具有速度快等特点,并且PHP完美支持MySQL,它们两个一起堪称最佳搭档;Apach服务器是一种开源服务器,具有功能完善、性能高效等优点。
2总体设计
2.1工作原理
系统采用B/S模式,即用户只需通过客户端浏览器便可以对该系统进行访问和管理。至于访问和管理过程中产生的大量操作则在服务器当中进行,包括PHP语言的编译及对数据的存取等,最后服务器将用户需要的结果通过HTML文档显示在客户端的浏览器中。用户通过客户端浏览器向服务器发出命令请求,服务器接收到相关命令后,使用编译引擎对PHP文件进行解释执行,并对数据库MySQL发出调取数据的命令,调用符合用户的实际服务,最后将结果以HTML文档的形式返回浏览器。B/S结构实现了前台应用环境和后台开发环境的分离,易于对系统进行后期维护,并且信息共享程度高。
2.2功能架构
在系统前台登录的过程中,当所有的验证(用户名、密码、验证码)全通过后会通过session会话机制保存在服务器中,session中包含系统登录用户名、用户id、购物车信息等,以便在网站的其他页面随时调用进行显示和计算。
3详细设计
3.1数据库
网络购书系统的数据库名称为“db_shop”,由6个表组成:admin管理员信息表、book书籍信息表、dingdan订单信息表、gonggao公告栏信息表、type书籍类型表和user用户信息表。
(1)admin管理员信息表包括管理员姓名和密码等字段。
(2)book书籍信息表包括书名、ISBN、出版社、出版时间、价格、简介等字段。
(3)dingdan订单信息表包括书名、数量、下单人姓名、性别、地址、邮编、email、下单日期等字段。
(4)gonggao公告栏信息表包括公告标题、公告内容、公告时间等字段。
(5)type书籍类型表包括类型序号、类型名称等字段。
(6)user用户信息表包括用户姓名、用户密码、email、用户地址、电话、注册时间等字段。
3.2主要功能模块
网络购书系统实现5个基本功能模块:注册与登录、购物车、订单结算、后台管理。
(1)注册与登录模块
在网络购书系统中,用户首先要在系统中进行注册和登录,并获得合法身份后方能使用图书购买功能。注册与登录的执行页面分别为register.php与login.php,在此两个页面中分别与数据库相联以获取所需信息。获得合法身份后,网站使用session会话技术将身份保存下来,以便在购物车模块及结算模块中使用。除了注册与登录功能外,系统还提供了“注销”功能以提高用户帐号的安全性。
(2)购物车模块
该模块是网络购书系统的核心模块,每位获得身份的用户都有属于自己的购物车,用户当购买书籍时,系统会自动该书籍加入到后台的session会话中,形成一个二维表格,然后在前台页面中通过遍历命令将书名、价格、数量一一呈现出来,并自动计算购物车中所有书籍的总金额。用户如果需要删除其中一种书籍,只需单击“取消商品”按钮即可。该会话直至单击“结帐”按钮或退出命令后才被释放。
(3)订单结算模块
在购物车模块中,用户单击“结账”按钮后,网站首先检测用户是否已经登录,如果没有,则跳转至登录页面,如果已经登录,跳转至订单页面,用户将在此页面中填写订单信息,包括配货地址等,之后单击“提交”,系统即在后台验证用户填写的订单信息,若成功,则往dingdan表中插入数据。如付款不成功则会向用户提示相应信息。
(4)后台管理模块
系统的后台管理模块主要是针对图书信息、用户信息、订单信息、公告信息的管理与维护,换个说法就是对数据库当中的各种表进行的增删改查等功能。在此页面中,需要对用户身份进行验证。该模块分成几个功能,分别是对用户信息、图书管理、图书类别等数据进行管理,比如当有新书入库时,管理员可以通过“图书管理“功能,对新书进行添加,日后还可以对此书进行修改和删除等操作。整个模块页面功能清晰明了,操作十分简单。
4结语
篇7
1.1信息网络安全的基本特征
(1)相对性。安全系统是相对的,换而言之便是没有绝对的安全系统;同时,操作系统和网络管理之间存在相对性,安全性基于系统的不同部件之间能够发生转移。(2)相关性。这里指的是配置的相关性。日常管理过程中,不一样的配置会产生全新的问题,一般的安全测评只能证明特定环境和特定配置的安全性,例如新设备的应用等。(3)时效性。主要体现为新的漏洞及攻击方式逐渐呈现,比如:NT4.0便从SP1逐渐发展至SP6;现在安全的系统在未来其安全性将会面临考验。(4)复杂性。对于信息安全来说,属于一项较为系统的工程,需融合技术手段及非技术手段,并且与安全管理、培训及教育密不可分,大致上分析便知其复杂性较高。(5)不确定性。指的是攻击的不确定性。如攻击时间的不确定性、攻击手段及目标的不确定性等。
1.2信息网络安全的实现要点
(1)需要对网络系统的硬软件及数据进行有效保护,对于系统遭到破坏、更改或泄露等情况需实现有效规避。(2)对于外部非法入侵行为需采取有效防止措施,同时加强内部人员的管理及教育,使内部人员的安全意识得到有效提高。(3)信息安全管理者需重视信息网络安全现状所存在的问题,例如行为管理的脆弱性,又如网络配置及技术的不完善性等。在认识到问题的基础上,制定有效的改善策略,进一步提高电力系统信息网络的安全性。
2电力系统信息网络安全架构策略探究
2.1防火墙技术
电力系统当中,为了防止病毒入侵,便需要防火墙技术的介入。目前具备的防火墙指的是设置在不同网络或网络安全域间的一系列部件的组合,它属于不同网络或者网络安全域间信息的唯一出入口,可以企业的安全政策为依据,进一步对出入网络的信息流实现有效控制,同时自身还具备比较强的攻击能力。另外,它还是提供信息安全服务的重要基础,也能够使信息网络更具安全性。近年来,防火墙技术已经广泛应用于局域网和Internet之间的隔离。
2.2NAT技术
应用NAT技术,能够让一个机构里的全部用户以有限的合法IP地址为途径,进一步对Internet进行访问,这样便使Internet上的合法IP地址得到了有效节省。另外,以地址转换为手段,还能够使内网上主机的真实IP地址实现隐藏,进而使网络的安全性得到有效提高。
2.3防病毒技术
利用防病毒产品,能够防止恶意程序的入侵,并起到抵御病毒的作用,进一步使网络当中的服务器及PC机获得了有效防护。防病毒产品具备功能强大的管理工具,能够对文件进行自动更新,让管理及服务作业更具合理性。另外,还可以使企业的防病毒安全机制更具完善性,具有优化系统性能及解决病毒攻击等优势,为电力系统信息网络的安全性提供了重要保障。
2.4网络加密技术
网络加密技术是指对原有的数据或明文文件通过某种特定算法进行有效处理,使其成为一段不可读的代码,然后只允许输入相应的密钥后才可显示出原来的内容,通过此途径为数据的安全性提供保障,同时使数据更具完整性及保密性。
2.5指纹认证技术
对于电力系统来说,其信息网络安全的身份认证显得极为重要。在现有的硬件防火墙的条件下,可以进一步应用最新的身份认证技术,即为指纹认证技术。基于电力信息网络管理过程中,把具有合法特质的用户指纹存入指纹数据库当中。使用指纹技术,便可以使认证的可靠性增强。主要原理是,把用户的密钥与用户指纹特征统一存储在密钥分配的KDC当中,用户在应用密钥时通过自动指纹识别确认身份后从KDC中获取。
2.6数据加密技术
防火墙及防病毒系统技术能够对电力系统起到保护作用,同时通过数据加密技术也能够对电力系统起到保护作用。数据加密技术是一种对网络传输数据的访问权进行限制的技术,在加密设备与密钥加密过程中会产生密文,把密文向原始明文还原的过程为解密,是基于加密处理的反向处理,但是对于解密者来说,需使用同样类型的加密设备及密钥,才能够进一步对密文进行有效解密。
3电力系统信息网络安全构架
通过防火墙、病毒网管及认证服务器,使非授权用户入侵网络的情况得到有效防止,进一步使网络系统的可用性得到有效体现。充分应用CA中心,能够对用户起到权限控制作用,并且在结合内容审计机制的基础上,能够对网络资源与信息实现有效控制。通过防毒管理中心,并利用漏洞扫描器,使系统内部安全得到有效保证,进一步保证了信息的完整性。通过VPN与加密系统,保证了信息不会泄露给没有获得授权的实体,进而使信息更具保密性。另外,利用入侵检测及日志服务器,能够为网络安全问题提供检测方面的有效依据,使信息实现可审查的特征,进一步充分保证了信息的可靠性及安全性。
4结束语
篇8
莱钢BOSS系统继承了平台+模块的设计思想,各应用子系统均基于一个统一的核心平台软件,该平台的最大特点就是业务无关性,可独立运行,因此能最大程度保证各个业务子系统的稳定性。该平台不但支持基于电话的基本电信业务,还支持宽带、电视以及增值业务的融合管理。该系统使用功能模块方法,在开发过程中直接调用这些方法,不需要进行重复的开发工作。面向对象设计,将对应数据抽象为相应对象。对对象的操作简单定制即可生成相应列表以及相应的表单界面,对象显示、增、删、改都是自动生成,并且显示方式可以灵活的进行设置。根据系统功能的实现及业务要求,系统分为后台模块管理和前台功能实现两大部分。前台主要实现营业、工单流转及业务自动化功能、计费及帐务管理、客服中心部分、对外服务部分和领导决策。该系统还采用了计算机电话集成技术(CTI技术)、语音技术和通信技术等用于语音平台部分。
1.1数据核心层数据核心层是系统的核心处理部分,通过采用分事务类型并行处理模式,包含多个子功能,使系统处理能力能够根据不同时期的具体需求灵活调整,实现对所有事务的高效率、高性能和高可靠性的复杂处理,并随着业务的不断发展可以灵活扩展。数据核心层包括数据操作部分,完成数据物理上的更新操作。
1.2业务逻辑层业务逻辑层通过数据接口来处理应用表示层传来的数据以及发送应用表示层所需的数据,通过不同子功能的组合完成业务逻辑。同时实现对数据并发和数据安全访问的控制以及对处理系统处理机的负载均衡。
1.3接口层接口层完成前台用户与后台数据处理中心之间的接口处理。前台用户部分和后台处理部分之间通过接口层而相互透明地实现了数据处理的无关性和用户操作的独立性。除响应应用服务请求,完成逻辑上的组合,并通过数据操作完成相关数据的更新外,接口层还可以为系统管理员提供系统运作、网络状态等系统监控信息,为不同的系统提供安全接入平台,包括与银行接口、与缴费接口、与排队机接口、与GIS系统接口等。接口层采用中间件技术来实现,并放置在客户机和服务器之间的应用服务器中。
1.4应用表示层应用表示层提供各种视图,即输入输出页面,完成与操作员的交互。系统的使用者可以在应用表示层中通过一系列操作来完成自己的需求定义。各个层次分别完成不同的功能,通过逻辑上的相互组合和通信实现BOSS系统所需要的业务逻辑。这样的体系结构具备良好的扩展性,能很好地适应业务需求的发展和变化。
2技术创新点
2.1软件结构模块化设计和独有的平台+模块化的设计莱钢BOSS系统采用三层B/S结构,将应用层,界面层和业务逻辑层按照客户端和应用服务器相分离。真正做到了低成本,采用浏览器方式,对客户端没有什么特殊要求真正做到了“瘦客户端”。真正做到了高性能,真正做到了易维护,真正做到了易操作。系统操作和数据处理,无论工作人员身在何处,只要通过Web浏览器就可以发出命令或请求,在当今信息社会这种快速反应策略无疑会给企业带来巨大的经济效益。
2.2采用数据源负载分配,提高了数据检索速度现有莱钢BOSS系统将原数据库进行了分离,采用单独业务数据库etcom_v9和专门详细话单数据库etcombill的形式。业务数据库主要存放业务数据、营收数据,并提供数据检索需要的数据。业务数据库承载的业务繁多,数据库的业务量和重要性要求数据检索速度快速、准确。成功“瘦身”的业务数据库提高了数据检索速度。目前,话费营收响应速度提高了,减少了客户等待时间,提高了服务质量。详单数据负责存放话单分拣系统分拣的话单明细数据。相对于业务数据重要性小,另外还有话单的备份,安全性也非常高。
2.3采用短信通知平台及时发送业务工单系统新加入短信服务功能,通过短信通知平台,及时发送工单信息,能够缩短故障处理时间,提高服务质量。短信服务平台是一个业务无关的独立平台,可以在该平台上短信运营业务。本系统短信服务功能采用短信猫和业务服务器连接方式。
2.4112自动障碍测试功能,实现障碍测试自动化新建112智能测试平台采用第三方测试设备,在112障碍受理台受理了故障后,故障号码存储在临时表中,系统自动扫描这个临时表,发现故障电话数据后,就把这条数据送到112障碍测试终端。112障碍测试终端与5ESS交换机采用串口相连,112测试终端向交换机发送抓线命令,交换机负责抓线,第三方测试设备完成障碍电话的测试,并给出精确的故障结果。结果返回后,112测试终端再向5ESS交换机发送拆线命令,完成整个故障电话的测试,整个过程实现了自动化,无需人工干预,提高了工作效率。
2.5以组件为基础的应用程序开发,提高了系统地扩展性系统采用以组件为基础的应用程序开发形式,使整个系统地安装、配置、管理等一系列工作可以只在服务器端进行,只需要改变所需组件即可。在当今数字化的信息时代里,这种架构有着广阔的应用领域,无论从技术上还是实际应用上,它都值得我们进一步去探讨和研究。
3存在的问题及改进措施
篇9
关键词:非税管理;非税收入;财政收入
前言
非税收入的运作模式基本上采取“单位开票、银行代收、财政统管、政府统筹”的方式,以非税收入管理处(局)为主、其它科(局、股)室为为辅,分类操作、归口管理。缴入财政的各项非税收入除纳入财政预算管理外,全部纳入财政专户管理。但非税收入的具体操作中,笔者认为部分地方还未严格遵循有关法律法规和规章制度,财政部门对非税资金的总体概貌和规模不清、管理意识不强、监督力度欠缺,表现在:
一、征收力度不大,应收尽收不到位。
1、缺乏过硬的征收手段,征收成本大,效果差。如:墙体材料专项基金和散装水泥专项资金,因执收主体自已征收效果甚微,只能采取委托代征方式,按征收数超额累进支付代征手续费,代征手续费一般要超过国家规定标准。
2、行政干预大,随意减免。执收单位未按规定程序越权减免基(资)金收入,有的由领导出面批条子,随意减免或缓交,导致应收不收或少收。再加上各地政府为招商引资,确保重点项目而颁布的一系列规费减免的非税优惠政策,收入流失较大。
3、征管部门不重视、不跟踪问效,导致非税收入流失。部分征管部门对改制、转制和国有股本投资等国资企业无偿占有专营权、经营权及其他无形资产,擅自处置国有资产、降低国有股权比例、不同股同利分红等现象不及时关注、跟踪问效,致使国有资产和国有资源收益流失较大,有的甚至还将国有资产经营收益任意处置,谋取小集体利益。
二、票据使用不规范。
1、混用票据。少数单位对收费(基金)票据和内部往来结算收据的使用规定的政策界限分不清楚,收费不开具规定的收费(基金)收据,而是用内部往来结算收据和地税部门的服务性统一结算收据收费,人为混用、串用票据。
2、自印票据。个别单位收费不按规定使用财政部门统一印制的票据,而是自印票据或从市场上买来的收款收据收费。
3、票据填列不全。经抽查,相当部分票据未列明收费项目、代码、性质、标准等基本要素。
三、统计工作未建全,非税收入核算过于笼统。
1、未建立非税收入统计报告制度。财政部门对种类繁杂、管理分散的非税收入统计工作还未启动,没有形成专门的统计报告反映非税总体征管情况,对非税收入的总体概貌不清。
2、对非税收入核算不具体,欠科学。目前开发的非税收入管理核算模块,对非税收入的核算没有分清具体的收入性质、管理方式及收费明细项目,从数据库中无法识别某个单项收费的入库及管理情况,整个非税收入核算体系比较笼统、粗放。
四、资金管理分散,方式未定型。
1、统管范畴不清,资金管理分散。由于财政部门对非税资金的统管主要采取分类操作、归口管理的方式,有些管理人员对非税收入管理的总体概念不清晰,整个非税资金未完全纳入财政预算及专户管理的总盘子,相当部分非税资金游离于归口部门或直接坐支。
2、预算资金人为调剂。财政部门对国家规定要纳入预算管理的非税收入不是依据资金性质划分确定管理范围,而是根据财政预算总规模和税负比重来确定非税收入的预算入库额,有意识地调剂非税收入预算管理规模。五、使用结构不合理,专款专用落实不到位。
1、用于投放生产性支出比例小,用于单位经费比例相对较高。所征收入基本用于养人,投放生产项目的比重很小。
2、人员经费挤占了专项基(资)金。按规定,专项基(资)金应设专帐,专款专用,但有些单位人员经费和专项基(资)金捆梆使用,人为地挤占了专项基(资)金。
以上现象,原因是多方面的,但笔者认为最重要的还是要引起政府有关部门的重视和支持,从以下几方面着手,进一步完善非税收入制度,规范资金管理行为:
(一)强化措施,进一步加大征收力度。
1、加大宣传力度。各执收单位要多渠道、多形式地开展非税收入政策宣传和解释工作,在全社会形成共识,进—步增强缴费义务人的缴费意识,为依法执收创造良好的环境。
2、全面推行非税网络信息化管理系统。执收单位与市财政、银行联网,对非税收入征收过程中的票据填开、资金缴存、划解国库或财政专户的全过程,实行计算机网络管理,实现财政部门与银行、执收单位之间的数获据共享和信息交换,以加强对非税收入征收监管,确保依法征收,应收尽收。
3、规范执收行为,从严减免。严格执行国家政策法规,依法征收、依标准征收,规范非税收入缓减免审批程序,明确减免权限,坚决禁止随意减免、越权减免和收“人情费”、“关系费”的行为。未经财政部和省、自治区、直辖市财政部门批准,执收单位不得减免行政事业性收费;未经国务院或财政部批准,执收单位不得减免政府性基金。
4、对改制企业及重点项目进行一次专门的非税收入清理活动,对国有股权及资产进行评估确认,既要体现政策优惠,又要避免财政性资金流失,对恶意贱估国有资产价值的行为进行纠正,并追究有关人员的责任。
(二)改进非税收入核算管理系统,进一步规范核算行为。
1、建立健全项目管理库或统计台帐、报表制度。按照《<湖南省非税收入管理条例>释义》规定的分类口径,把税收之外的财政性资金都纳入非税收入管理范畴,完善项目管理库和统计报告体系,提高收入统计信息的准确性和及时性。
2、改进非税收入管理核算系统。通过系统升级,全面实现非税收入收缴、拨付、核算的信息化和具体化管理,改进收入明细核算和对账办法,提高管理效率和管理质量,确保非税收入安全、公开、透明。
3、进一步规范非税收入票据使用与核销的日常管理,票据的开具必须规范、字迹清楚、项目齐全、内容完整,严把票据核销关,及时纠正票据使用中的违规行为。
4、加强非税收入管理人员的业务培训和技能锻炼,熟悉国家政策法规,不断提高业务素质和核算水平。
(三)改进非税收入管理方式,进一步强化财政部门统管力度。
1、将目前分散在财政部门内部各职能处(科、股)室管理的非税收入逐步归口集中非税收入管理处(局)统一核算管理,提高资金管理效率。
2、对照非税收入的有关政策法规,按规定要求纳入预算管理的非税收入要严格实行预算管理,未明确纳入预算管理的要逐步纳入预算管理。
3、结合部门预算和国库集中支付改革,改善“谁收谁用、多收多用、多罚多返”的分配格局,统一编制部门预算和财政预算、统一支出口径和标准核定单位支出,将财政专户直接返拨逐步转为国库集中支付,由国库按使用计划或进度拨款,真正做到缴拨分离。
(四)合法使用专项资金,切实做到专款专用。
1、理顺财政体制,实行人事改革,定编定岗,将单位工作经费纳入财政部门预算管理并予以保障,从根本上解决因财力不足,“以费养人”运行现状,预防征收单位合理挤占、挪用专项资金。
2、加大专项资金生产性支出投放比重,规范资金使用审批程序和审批权限,政府性基金统一由预算安排调配、按项目及其进度核拨,将资金真正用到实处。
篇10
网络攻击的过程一般包括以下环节:侦察踩点、指纹识别、网络拓扑结构分析、漏洞挖掘、攻击协作、报告以及扩散传播。在每一个环节中,网络系统配置的固定不变使得攻击者有机会发现和远程入侵网络资源,攻击者依靠网络空间基本结构的静态属性来获得目标情况,并据此对目标发起有效的攻击。例如,网络配置诸如IP地址、端口号、系统平台类型、服务和补丁的版本号、协议、服务脆弱点甚至还包括防火墙规则,这些都可以通过网络扫描和使用指纹识别工具发现。除此之外,默认设置的(Accept-by-Default)互联网接入控制使得网络侦察和0day漏洞不可避免。为了应对前所未有的超前的网络攻击,这就需要变换一种思路来改变网络安全的规则。为达到此目的,易变网络架构试图采用动态化目标防御技术,以迫使攻击者必须持续地追踪目标系统,并且要在不阻断有规律的网络流量的情况下阻止并消除攻击。如此将削弱攻击者在时间上和空间上的优势,防御一方将能够灵活地面对那些高级的持续威胁。易变网络的远景是支持网络配置(例如IP地址和端口号)的动态和随机变换,支持对漏洞扫描探测和fingerprinting攻击做出积极的回应,这就要求在较短的时间窗口内不断搜集系统信息,并误导攻击者对错误的目标进行深入的分析。这些变换必须要快过自动扫描器及超过蠕虫的繁殖速度,尽量降低服务的中断和延迟,而且变换应该是无法预测的,以确保攻击者发现跳变的IP地址是不可行的,同时这些变换在操作上要保证是安全的,要能确保所提供系统需求和服务的可靠性。易变网络架构使用随机的地址跳变和随机化系统指纹信息技术实现目标动态化防御。使用随机的地址跳变时,网络主机被频繁地重新分配随机的虚拟IP地址,这些地址独立地运用于与实际IP地址寻址。选取随机IP地址在网络中是同步的,网络通过使用加密函数和隐蔽的随机密钥来确保其中的IP地址是不可预测的,并且确保网络中的全局配置是同步的。随机IP地址可以从足够大的私有地址范围和可用于随机化处理的未使用的IP地址空间中选取。IPv6的推广使用为潜在的随机化提供了更多可用的地址空间。在此种方法中,通常是基于随机函数频繁地给网络系统(如终端主机)分配不同的IP地址。一种可以实现同步的方法就是使用循环的随机选择。在随机化系统指纹信息技术中,主机对外界的回应将被中途截断和修改,且这些操作是透明的,以使得系统行为的平均信息量最大化,并且提供一个错误的操作系统和应用程序伪装信息。如果攻击者没有确定具体的操作系统类型和/或应用程序服务器的服务类型,那么远程的入侵操作将是不可行的。对系统的外部反应有两种机制来执行随机化处理,一种是截获和修改会话控制的消息(例如TCP的3次握手)来干扰攻击者对平台和服务的识别使之得到错误的相关信息,另一种技术是用防火墙来欺骗扫描者,方法是对所有拒绝包都生成积极的回应。联合使用以上两种技术将形成动态化目标防御,可有效对抗许多攻击。在易变网络目标的跳变中,活动的会话将始终保持并不会被中断,用户依旧能够通过DNS继续访问网络服务。在下一部分,将介绍一种形式化的方法,在保持网络的不变性的同时,创建有效可用的网络突变配置。
2易变网络中突变配置的模型分析
二叉决策图(BinaryDecisionDiagrams,BDDs)是逻辑布尔函数的一种高效表示方法,在计算机科学以及数字电路与系统等领域中有广泛的应用,并且在模型检查领域展现了强大的高效性。基于二叉决策图,使用针对访问控制配置的端到端的编码,对全局网络行为进行建模,可形成简单的布尔型表达式。
2.1使用二叉决策图表示的网络行为模型
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制列表(AccessControlLists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。
2.2网络配置变换
使用二叉决策图对网络行为进行建模的方法支持配置变换。一个网络配置变换就是创建一个可选、有效的配置的过程,新的配置必须满足网络的不变性要求或任务需求。
3易变网络的应用场景及面临的挑战
动态化目标防御通过改变系统资源寻找克服静态多样性防御的局限。对连续运行的服务进程来说,这需要动态改变运行的程序。一旦系统受攻击的入口的改变足够快速,即便探测攻击能够突破静态防御,但动态化目标防御依然能有效保护系统。易变网络有以下应用场景:应用于有特殊用途的专属客户端与服务端应用程序中,例如关键业务网络或者关键应用系统。保护重要基础设施中的P2P通信,使其不受侦察扫描和拒绝服务攻击。为达到网络中的最小系统开销(overheads),动态化目标防御技术可以与这些应用程序整合到一起。针对特定网络中的主机,通常侦察工具扫描网络是否使用固定唯一的IP地址和端口(主机名可能是不可知的或者名字扫描不是有效的),易变网络可保护主机免受来自外部的网络侦察和映射攻击。在僵尸网络(BotNet)中,控制台与傀儡机之间使用固定IP地址通信,攻击者通常选择避免使用主机名和DNS解决方案,目的是将被察觉和被追踪的可能性降到最低。易变网络可有效终止攻击协调和打断僵尸网络的通信,因为一旦基础设备的地址是频繁变化的,将会导致僵尸网络节点之间无法相互连接。保护网络设备免受DoS攻击。在拒绝服务攻击中,攻击者使用带宽攻击、协议攻击、逻辑攻击等手段阻断目标机器或网络正常提供服务。尽管这些攻击手段的原理各不相同,但攻击者都假定目标主机或网络是不变的,即DoS攻击者假设终端主机使用固定的IP地址或者路由,但是,使用易变网络动态化目标架构将导致此假设不能成立。易变网络体现了动态化目标防御技术的基本思路,就是不再依托静态的网络研究相关防御技术,而是推广动态网络的发展,改变以往的网络安全防御模式。当然,易变网络体系结构要在实践中取得有效的防御效果还必须应对以下挑战:保证足够快速和不可预测。易变网络的突变速度必须胜过自动扫描器和足够快于蠕虫病毒的繁殖速度,同时,基于如IDS警报此类外部输入信号,该突变速度应该支持动态调整,并对具体的情形是清楚的。此外,在保证这种变化是高度不可预测的同时,要使其系统开销和影响是可测量和最优化的。保证可操作并且是安全的。在分散的变换过程中,易变网络架构必须保持系统的同一性。换句话说,所提供的网络服务必须是一直在线可用的,即使是在变换期间。同时,动态化目标防御必须是透明的,如此,活动会话和正在运行的服务将不会由于配置的改变而受到任何干扰。保证是可部署、可扩展的。可部署是指易变网络架构应该达到这样的要求:无需网络中的基础设备、协议或者终端主机做任何变动。相对于终端平台和协议来说,它是独立部署的。另外,易变网络是可扩展的,要求易变网络的突变应随节点数量、流量、动态化目标数和攻击数量线性地缩放。也即,整个网络结构必须足够灵活,能动态地与上述因素相适应。
4结语
