时间:2023-03-22 17:49:44
导言:作为写作爱好者,不可错过为您精心挑选的10篇网络系统论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
网络系统故障一般有电源系统引起的故障、节点故障和线路故障[5];通信线路的故障形式主要有CAN线短路、CAN线断路、CAN高低线短路、CAN线以及线路物理性质引起的通讯信号衰减或失真,这些都会引起控制单元无法工作或电控系统错误动作[6]。控制单元的正常工作电压一般在10.5V~14.5V范围内,如果提供的电压低于该值就会造成一些对工作电压要求高的控制单元出现停止工作,从而使整个网络系统无法通信。所以诊断前应先保证电源供电正常,再使用专用诊断仪或解码器对整个电控系统进行故障诊断,若诊断结果为控制单元通讯故障、失去通讯、通讯总线故障时,一定要弄清控制单元之间的通信关系,选取合适的检测点测量信息传输线路波形,最后查明故障原因。
2供电企业试验测量
2.2试验结果与分析
2.2.1CAN线断路波形机理分析
1供电企业计算机网络系统安全保障的必要性
首先,供电企业的计算机网络具有分布十分分散、网络节点多的特点,管理起来较为困难。供电企业需要对整个城市的供电进行管理和控制,那么必然会使用大量的网络节点。由于这些网络节点较为分散,出现问题不易查找出源头进行处理,势必会影响正常的供电工作。其次,供电企业本身担负着用电安全的重要责任。供电企业跟普通企业不同,它担负的责任更重,普通企业的网络安全出现问题,仅对企业自身造成不良影响,很少会对社会或者是大范围的人群造成生活上的影响。而供电企业计算机网络系统一旦出现问题,很可能会对人民的正常生产生活造成损失。最后,当前影响计算机网络系统安全的因素太多,严重影响其稳定性。计算机网络系统安全问题不容小觑,各种主观和客观的因素共同制约着其安全稳定地运行,所以我们想要确保其安全和稳定,就必须站在宏观的角度去看问题,全盘考虑,找出对策。
2影响供电企业计算机网络系统安全的因素
影响供电企业计算机网络系统安全的因素较多,主、客观的因素都有,其中可以分为两类,一类是供电企业自身的问题造成的安全隐患,一类是外部的因素对其供电企业计算机网络系统的安全保障研究曹凡国网湖北省十堰供电公司湖北十堰442000安全性的影响。供电企业自身的问题完全是可以通过管理手段杜绝的。这些因素大致上分为下面几种:第一,计算机本身的硬件故障和软件问题。计算机网络系统是由很多硬件组成的,其输入输出、存储、电源、主板等原件较为复杂,任何一个原件出现问题,都会对整个计算机网络系统产生影响,一旦出现信息的错误接收或者发出,又或者存储的数据丢失,都会造成难以想象的损失。另外,只有计算机硬件无法实现其具体功能,整个计算机网络的运行是依托于各种软件,这些软件本身可能是有缺陷或者漏洞的,又或者软件开发者故意留有“后门”,都将直接影响系统安全。第二,员工个人操作时常会因为不按规范进行而出现安全隐患。计算机即便再便捷、迅速,它也需要人的操控。人总是会因为疏忽大意或者是不重视操作规范而造成问题,特别是当前供电企业某些工作人员具备供电常识,但计算机操作能力较差,当今电力企业的发展又要求必须要使用计算机,这些工作人员在操作时候很可能会造成网络设备的损坏或者留下安全隐患。特别地,员工操作计算机最易出现安全隐患的阶段就是数据的传输阶段,在数据传输时没有做好安全保障常会造成重要数据的泄漏或者被窃取,严重时候还可能被破坏。第三,管理不善导致的安全问题出现。管理方面主要体现在机房的门禁制度不健全,无法阻止不相干人员进出机房,这样任何人都会对计算机系统造成威胁。
而影响计算机网络系统安全的外部因素大致上分为两类,首先是不可抗力的作用。这里的不可抗力主要是指自然灾害。因为计算机需要线路去传输,而计算机线路最怕遇到暴雨、火灾、雷电或者其他自然灾害导致的线路中断。一旦线路被外力中断,其系统安全就无从保证。其次是病毒和木马的感染,这项因素严格来说是由工作人员操作不当和黑客刻意操作两方面的原因构成的。无论是哪种情况,都会使网络安全无从谈起,而会出现这种情况,无非是自身管理的漏洞等原因,都需要企业从自身入手进行解决。
3供电企业计算机网络系统安全保障措施探析
针对上述的影响因素,我们需要从多个层面共同保障。首先,从管理层面来说,要建立健全完善的管理手段,不仅是在计算机网络安全领域,还要从整体入手,做好整个企业的宏观管理,制定出相关的操作规范和管理规范,设立专门的计算机网络系统管理部门,由专业的技术人员对整个系统进行实时的监测和控制,使其安全有最基础的保障。
其次,应当注意相关工作人员的素质提升。供电企业工作人员往往是电力知识较为稳固,对计算机的使用并不能尽如人意。而仅靠专门的计算机专业人才是远远不够的,需要对工作人员进行必要的计算机培训,培养复合型人才。另外,还要提升工作人员的安全责任意识和对故障的敏感性,在操作计算机时一定注意各种风险和隐患。
再次是从技术层面来说,要进行多个领域技术的研究和应用。一是要做好抵御外部攻击的准备。要进行防火墙以及入侵检测系统的设置。必须在企业网络系统内安装防火墙,并且运用IP伪装等技术,保护内部网络的安全。同时,安装入侵检测系统,与高等级防火墙配合使用,共同抵御外部的网络攻击。另外,还要运用一些成熟的技术来抵御黑客的袭击。例如运用应用技术和PacketFiltering技术。前者是一项较为稳定的监测系统,对于这项技术来说,整个防火墙的线路近乎于透明,可以很清晰地对外界数据进行监控和排查,确保外来数据的安全。而PacketFiltering则是指包过滤技术,它是使用较为广泛的一种技术,主要是为各种基于TCP/IP协议数据报文出进的通道。现代多数情况下使用的是动态过滤,区别于以往的静态过滤,它现对信息进行分析,然后运用防火墙预设的规则进行效验,确保有问题的某个数据包能够及时被发现并阻止;二是做好企业内部计算机网络的日常管理。我们知道,来自计算机网络内部的问题要远大于外部的问题,要想内部不出问题,就需要从内部多个方面入手。技术人员应当定期地进行病毒和木马的查杀并且不定期地进行抽查,将可能出现的问题扼杀在萌芽阶段。要进行必要的身份设置,根据工作人员工作权限和工作内容的不同设置不同的身份口令,建立不同权限的身份账号,设定访问和修改的权限,并且对这些身份资料进行定期的核查。最后是做好各种补救措施。安全隐患的预防措施再完备也无法保证不会出现问题,企业应当做好各种准备,将重要数据进行备份,确保在出现问题时能够及时解决,将损失降低到最低范围内。
1.2网络硬件
1.2.1网络中服务器与客户机的选择系统结构选择客户机-服务器系统,该技术是计算机发展史上的一次革命,它与集中式平台、计算机局域网体系结构不同,它以系统成本低、功能强大、用户可以自由实现各种各样的客户机与服务器的联网组合等显著优点,被广大用户所采用[4].这种结构的优点体现在:服务器能够对网络中的数据进行有效的控制和管理,对于没有取得安全机制授权和鉴别的客户,不允许其对服务器中的数据进行非法访问,充分保证了系统地安全性能.客户机是具有独立性能的智能化微机,它既可以单独运行存储在其中的应用程序,也可以通过网络享受服务器提供的服务.网络最重要的作用是资源共享和信息传递.对于共享的资源来说,绝大多数都存在于网络服务器中,因此,作为网络服务器的微机应具有大容量、高速度、性能可靠等优点.根据机房现有机器的特点,选择PIV3.0GHz的处理器,1GB的内存,160GB的硬盘作为基本配置的高档微型计算机作为网络服务器.客户机有37台同样档次的微机组成,PIV2.6GHz的处理器,520MB的内存,80GB的硬盘作为基本配置.
1.2.2网络互联设备网络互联(Interconnection)就是根据实际情况,选择合适的技术和设备将相互独立的网络或计算机连接起来,从而达到数据交换和资源共享的目的.一般来说,网络互联的方式主要有如下两种:一是通过中继系统实现网络互联;二是通过互联网进行网络互联.考虑到机房的具体情况,将采用第一种互联方式.目前常用的中继设备有中继器、集线器、交换机、路由器和网关.本系统将采用TPLink24端口的智能交换机,配以3COM公司及D-LINK10M/100M自适应网卡.具体连接过程是从其中一台交换机的一个下方端口引出一条线接入另一台交换机的上方端口,即可实现将37台客户机全部连接.
1.2.3通信介质传输介质是指连接计算机的通讯线路,一般分为有线介质和无线介质两类.双绞线、同轴电缆和光纤是常用的3种有线传输介质.无线电通信、微波通信、红外线通信以及激光通信的信息载体都属于无线传输介质.双绞线是综合布线工程中最常用的一种传输介质.由于它具有性能好、成本低、抗干扰作用强的特点,因此在机房组建网络系统中使用了非屏蔽双绞线作为通信介质.如图3所示.它是由两根绞在一起的导线来形成传输电路.两根导线绞在一起主要是为了防止干扰(线对上的差分信号具有共模抑制干扰的作用),利用RJ-45水晶头连接在网络互联设备上.
2网络软件
完整的计算机网络是由计算机网络硬件和网络软件共同组成的.要实现计算机网络的基本功能,必须在具备了计算机网络硬件的同时,配备完善的网络软件.而计算机网络软件,又分为网络系统软件和网络应用软件.
2.1网络操作系统[5]网络操作系统(NOS)是向网络计算机提供网络通信和网络资源共享功能的操作系统,它是负责管理整个网络资源和方便网络用户的软件的集合.由于网络操作系统是运行在服务器之上的,所以有时我们也把它称之为服务器操作系统.工作站服务器型网络中,服务器所使用的操作系统是每个组网者都需要考虑的.目前网络环境中主要存在以下几类网络操作系统:Windows、NetWare、Unix、Linux等几类.而微软公司的Windows系统在网络操作系统中是最常见的.一般常用到的操作系统有Win-dowsNTServer4.0,Windows2000Server等.本系统主要采用Windows2000server操作系统.Windows2000server是为服务器开发的多用途操作系统,与以往的网络操作系统相比,Windows2000Server在安全性、可靠性、可操作性、适应性和网络性能等方面的功能都得到了进一步的加强.可为部门工作小组或中小型公司用户提供诸如Web服务、文件打印服务以及软件应用服务等.Windows2000Server对系统配置要求较高,具体如下:CPU为Pentium133MHz或更快的中央处理器,每台计算机最多支持4个CPU;内存容量建议最少256MB(最小支持64MB,最大支持4GB);需要的最少硬盘空间大约为1GB.为了发挥Windows2000Server的性能,特别是承担关键应用的服务器在硬件上应该选择更高的.在Windows2000Server中,FAT16、FAT32、NTFS是最常见的3种磁盘文件系统.可以将服务器的主分区设置成NTFS格式,用来安装操作系统.其他分区设置成FAT32格式,用来安装必要的应用软件,方便学生进行作业的收发.在具备了相关的网络硬件设备和网络操作系统后,要想使具有不同操作系统、不同类型的计算机之间能够互相通信,就必须有一组共同遵守的通信标准,即网络协议.协议本质上无非是一种网上交流的约定,目前,全球最大的网络———因特网(Internet),它所采用的网络协议是TCP/IP,它是因特网的核心技术.其中传输控制协议TCP和网际协议IP是两个最基本、最核心的协议,是目前被各方面遵从的网际互联工业标准.在开通校园网后,由网络中心分配唯一的IP地址,并配置相应的网关和子网掩码后,机房内所有计算机就可以通过校园网服务器连入互联网进行畅游了.
2.2网络应用软件根据学院实验课程的要求,为机房内计算机安装必要的网络应用软件.比如学生在查阅文献资料时,要登录网页,因此需要安装WWW服务;有时候可能需要校内网进行作业的暂存,资源的下载,就需要FTP服务的支持.
2试验测量
2.1试验装置连接
笔者以大众帕萨特车型作为试验车辆,使用示波仪VAS6356与诊断仪VAS6150对该车的动力CAN进行波形测试,并模拟多种故障波形。示波仪通道DSO1的红色测量端子(正极)接CAN高线测量点A,通道DSO2的红色测量端子接CAN低线测量点B,且二者的黑色测量端子同时接地,连接线路示意图如图2所示。系统在同一界面下显示CAN高线和CAN低线的同步波形,能直观分析故障。
2.2试验结果与分析
2.2.1CAN线断路波形机理分析
如图2所示,本研究将断路故障设置在ABS控制单元的高线与检测点A之间,并在A点进行测量,得到的波形如图3所示。ABS控制单元在发送信息时波形如图3中的分界线前面部分,此时检测点A电压为低线电压经过发动机控制单元、安全气囊控制单元及自动变速器控制单元终端电阻分压后的电压,高线波形与低线波形变化趋势相同,但振幅有所下降,由于CAN线以差动放大器来评估CAN线的输入信号,另外3个控制单元无法识别ABS控制单元发送的信息。而在ABS控制单元接收其他控制单元的信息时检测点A能测量到如图3中的分界线后面部分波形,而且其余控制单元的信号能够正确传递,波形显示正常,但是由于线路断开ABS该控制单元接收不到信息,断路故障对驱动CAN影响较大,在此种情况下动力CAN不能正常工作,表现为某个控制单元不在网络上的故障代码。在相同故障情况下,若将测量点选取在图2中的a点,得到的波形如图4所示,波形呈镜像传递,显示正常。虽然ABS控制单元的高线发生断路,但是发动机控制单元、变速器控制单元、安全气囊控制单元及仪表控制单元(内含网关与防盗控制单元)之间能够正常通信。由此可以看出,断路故障波形信号还取决于检测点,如果将检测点选取在离断路较远的位置测量,CAN线上虽然没有已断开控制单元的发送数据信号,但是示波仪仍会捕捉到正常波形信号,这些信息则是其余控制单元相互通信的信号,此种情况在示波仪解析率较低时将无法识别出各信息的比特从而造成误判。所以笔者在利用示波仪测量前用诊断仪诊断出哪些控制单元不通讯,不通讯的控制单元之间有何联系,再选取合适的测量点。根据上述诊断思路,在大众帕萨特车型无法起动故障排除中,本研究通过故障诊断仪VAS6150读到发动机控制单元存在两个故障码含义分别为动力系统数据总线无法通讯和发动机控制单元闭锁,再从网关中读到故障码含义为动力系统数据总线有故障或有缺陷。其他控制单元无故障记忆,根据故障码分析,该故障属于CAN总线系统通信线路故障,由于启动时,发动机控制单元要与防盗控制单元、变速器控制单元相互通信,又因为该车型的防盗控制单元集成在仪表控制单元内,本研究将检测位置重点选取在仪表控制单元的CAN线处,得到波形如图3中分界线之前波形,表明此处高线断路。通过仔细检查连接线束,发现从仪表控制单元出来的插接器中CAN高线端子触点回退。笔者用线束修理工具修理好该插接器,清除所有控制单元的存储的故障代码,故障码不再出现,故障排除,发动机也能够正常起动。舒适系统控制单元当某节点的CAN高线断路时,波形图如图5所示。仅断路节点的CAN高线无传输数据波形,高线为0V隐性电压,CAN低线传输数据波形正常,控制单元仅通过低线对地的电压值确定传输数据,其余节点CAN线传输正常标准的对称互补数据波形,系统进入单线传输模式。舒适系统CAN数据总线引入独立驱动器(输出放大器)彼此没有通过电阻器相互连接,从而消除了两种CAN信号的相互依赖,因此舒适系统CAN高线和CAN低线不再相互影响,独立运作。在试验中发现,如果存在断路故障,则一个数据导线断路时,系统不会与所有控制单元一起切换到单线运行模式,只有直接连接在已断路数据导线上的控制单元才无法再将信息传输到CAN线上。收发器识别到一根数据传输导线缺失,因此在相应的测量值块中显示“单线运行模式”。对于其余的控制单元来说,在断路情况下可以不受干扰地传输数据。其余控制元件则表明有一个与总线相关的故障记录,该记录不断在“单线”与“双线”之间切换。在波形检测时测量位置尽可能选在存在该故障记录的控制单元CAN线之间。
2.2.2CAN单线短路波形机理分析
当动力波形分析CAN高线对正极短路时,则在高线上任意一个检测点测量到的波形均为电源电压(约12V),在测量点B测得低线电压为高线12V电压经过动力系统所有控制单元终端电阻并联后总电阻分压后所得的电压,所以波形为低于12V的一条直线。同理,CAN高线任意处对地短路,则高线电压为0V直线;动力CAN低线电压是高线0V电压经过动力系统所有控制单元终端电阻并联后总电阻分压后的电压,所以波形为高于0V的一条直线。在此种情况下动力CAN系统无法确认信息,因此均无法正常工作。当舒适CAN高线对地短路时,高线电压置于0V,低线电压正常,舒适CAN高线对正极短路,高线电压为12V或蓄电池电压,CAN低线的电压正常,该类故障舒适CAN均为单线运行,所有连接在此的控制单元都与这个故障相关。如果调用相关控制单元内的故障码存储器,则可以读取到故障记录“舒适系统数据总线处于单线运行模式”和“短路”。无论故障部位在何处,在网络内所有位置都可以发现这种故障形式。
2.2.3CAN高低线短路和高低线交叉波形机理分析
动力CAN波形分析高线与CAN低线短路时,测量点A与B的电压均被置于隐性电压值(约为2.5V),在实际检测中,可以通过拔取驱动CAN总线上的控制单元判断是由于控制单元引起的短路还是由于CAN高线或CAN低线线路连接引起的短路。当存在故障线被取下后,波形恢复正常,说明是被拔下的导线存在短路故障。舒适CAN高、低线之间短路,两线电压波形均为高线电压波形,低线电压自动切断,此时控制单元仅通过高线线路对地的电压值确定传输数据。此时研究者用万用表测量电压应接近高线电压等。这时舒适系统CAN上的所有控制单元都发生这种情况,所以该故障以记录“无法到达控制单元×××”的形式存储在诊断网关故障码存储器内。动力CAN高低线交叉时低线传递高线波形,高线传递低线波形,检测到的波形颜色调换。这时重点需检查插接端子和CAN线是否对换。舒适CAN高低线交叉后,两线互换传递波形。未经过培训的人员或修理工维修导线束或加装系统时,容易产生该故障,应多和客户沟通。
2.2.4CAN线带电阻波形机理分析
动力CAN线路带电阻时,波形振幅减小,而且电阻越大,振幅越小。控制单元内差动放大器无法评估CAN线的输入信号,所以系统无法正常工作。这时需注意检查连接CAN线的插接器是否松动。与2.2.1节所述相似,若测量点选取较远,示波仪解析率低的情况下动力CAN线带阻故障波形将不易察觉。舒适CAN高线带阻,高线波形振幅减小,而且电阻越大,振幅越小,高线带阻系统也会自动切换为单线运行模式,工作人员在检查时要注意各连接端子是否松动,针脚是否有氧化造成接触电阻。
1.1互联网出口研究为了保证互联网出口网络链路的畅通性、稳定性和可靠性,保证网络服务的质量,消除单点故障,减少停机时间,本研究建议引入两大运营商(电信、联通)的互联网专线,从而实现不间断、高效率的政务服务。基于上述考虑,本研究建议在厦门轨道交通集团互联网出口部署网络链路负载均衡设备,以实现以下两种场景下多条链路的负载均衡:(1)内部办公人员和网络工作站在访问互联网服务和网站时,能够在不同互联网出口链路中动态地分配和负载均衡,这也被称为出站流量的负载均衡。(2)互联网络的外部用户在外部访问内部网站和应用系统时,也能够动态地在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为入站流量的负载均衡。
1.2核心层研究本研究建议核心层采用两台核心交换机,通过VRRP实现全容错的核心层接入。VRRP全称VirtualRouterRedundancyProtocol(虚拟路由冗余协议)。简单来说,VRRP是一种容错协议,它保证当主机的下一跳路由器坏掉时,可以及时的由另一台路由器来代替,从而保持通讯的连续性和可靠性。为了使VRRP工作,首先要创建一个虚拟IP地址和MAC地址,这样在这个网络中就加入了一个虚拟路由器。而这个网络上的主机与虚拟路由器通信,无需了解这个网络上物理路由器的任何信息。一个虚拟路由器由一个主路由器(MASTER)和若干个备份路由器(BACKUP)组成,主路由器实现真正的转发功能。当主路由器出现故障时,备份路由器成为新的主路由器,接替它的工作。在厦门轨道交通集团中心机房部署两台核心交换机,通过VRRP及MSTP技术实现链路及设备冗余及负载,避免单台核心交换机故障而造成整个业务系统的中断。考虑网络的安全、稳定可靠性,本研究建议网络设备采用知名品牌。
1.3接入层研究为了保证各楼层高可用性、高密度的客户端接入,本研究建议每台接入层交换机通过双链路与两台核心交换机对接,并开启生成树避免环路,保证骨干线路千/万兆的链路,另一方面通过trunk将各楼层所需的VLAN传递下来,并通过接口划分指定的VLAN。为了保证安全,各VLAN之间互访控制通过核心交换机ACL(访问控制列表)统一控制。也可以通过VLAN实现各应用系统虚拟专网专用,保证安全性及投资回报。3.4网络接入点研究根据统计1号及2号楼网络信息点列表,本研究建议各楼层的交换机(交换机端口20%预留)配套如下表据上述列表统计,24端口楼层交换机为3台,48端口楼层交换机为17台。
2网络安全保障研究
网络是整个信息化的基础平台,网络给企业带来极大的方便,但同时也带来一些安全隐患,网络上蠕虫病毒,来自互联网黑客的攻击等。网络安全保障研究考虑的安全设备包括防火墙、上网行为管理、SSLVPN、入侵防护及WEB应用防火墙,上述安全设备功能简单描述如下:(1)防火墙:是隔离互联网与内网的第一道屏障,用于实现内外网隔离。(2)上网行为管理:可以保障企业互联网资源的有效利用,避免单个用户下载行为而造成互联网带宽瓶颈。(3)SSLVPN:通过简单网页方式建立的VPN通道,可以保障移动办公人员安全高效地访问公司的内部资源。(4)入侵防护:可以及时准确地拦截黑客的各种攻击行为。(5)WEB应用防火墙:可避免网站被篡改而造成各种经济及声誉上的损失。以上这些网络安全防护设备对于保证企业网络环境的健康、稳定运行缺一不可。
2.1互联网边界安全研究成功的DDoS攻击(DistributedDenialofservice分布式拒绝服务,即很多DOS攻击源一起攻击某台服务器)所带来的损失是巨大的。DDoS攻击之下的厦门轨道交通集团所有网站性能急剧下降,无法正常处理用户的正常访问请求,造成客户访问失败;服务质量协议(SLA)也会受到破坏,带来高额的服务赔偿。同时,提供商的信誉也会蒙受损失,而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等,这些损失都是由于DDoS攻击造成的。厦门轨道交通集团未来基于互联网业务应用(例如交通信息、网上购票等)将越来越多,面临DDoS攻击机会将越来越大。厦门轨道交通集团在互联网边界区必须部署强有力抗DDOS攻击能力的防火墙,并实现三大安全区域的划分:外网、内网和DMZ(demilitarizedzone隔离区,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡)区。
2.2移动办公远程安全接入研究针对部分互联网移动办公用户需要通互联网安全高效地访问内部的业务应用系统,本研究建议配置相应的SSLVPN解决方案,它可以实现免VPN客户维护,又可以保证用户可以通过互联网安全高效地访问厦门轨道交通集团的业务系统。
2.3上网行为管理研究厦门轨道交通集团为了方便员工工作而开通的互联网专线,员工可自由访问互联网资源。但互联网也暴露出双刃剑的特性:一方面员工的上网条件得到改善,公司总部组织运营效率得到了较大的提升,随着业务可持续性要求的不断提高,也发现网络给企业带来很多的安全隐患,互联网资源被滥用的问题也日益严峻。过去,员工通过与同事闲聊来打发上班时间。随着计算机和互联网的普及,员工有了更多的选择,网上购物、与好友聊天、下载手机铃声、在线欣赏音乐、下载电影、收发个人邮件、在论坛上舞文弄墨……。只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣。很多员工一打开电脑就会开始各种下载工作,包括BT、电骡、迅雷这些网络资源的“吞噬者”,这些员工在大量下载电影和软件的同时却在不停地抱怨网速太慢。这些行为严重影响其他员工的正常业务办公(比如通过互联网专线上传一些数据等)。同时,不管员工有意还是无意,他们都能够而且有办法去访问一些对组织网络基础设施有害的内容,带来的病毒、蠕虫和木马,均可随着简单的鼠标点击轻而易举地侵入轨道办公系统内网。如何在最大利用互联网优势的同时,避免以上互联网资源被滥用所引发的安全隐患及其他各类问题,本研究建议:通过技术设备和规章制度的相结合,根据业务需求规范不同网络应用优先级,实现网络流量、带宽的总体规划,通过合理规划并实施流量带宽分配,保障核心关键业务平稳运行,指导员工正确使用单位的网络资源,从而对局域网的上网行为进行有效管理。本研究建议在厦门轨道交通集团互联网出口部署上网行为控制设备。通过基于网络应用类型以及用户多样化的带宽管理需求,将单条物理带宽划分为多条虚拟线路实现差异化管理,同时又将每条虚拟线路划分为多个虚拟子通道来对应管理不同类型的网络应用(能够为关键业务及应用静态预留带宽策略,保证指定带宽绝不会被其他应用抢占;为指定应用行为提供带宽限制策略,保障带宽不会被其滥用;能够为指定应用的带宽需求提供动态带宽保证,即将指定应用未占用的带宽动态共享给其他应用,最大限度的提高了网络带宽的利用率);通过基于P2P行为特征的智能识别技术,实现对加密的、版本泛滥的、同一版本多次变种的、不常见的P2P应用进行识别,为有效的管控P2P应用;基于内容的网页智能识别技术,对网站内容进行智能识别,自动学结出某类网站的特征与共性进而对用户访问网页所产生的流量进行差异化管理;基于文件类型的精确识别,有效管控HTTP、FTP文件上传、下载流量,保证网络带宽的合理利用。以此来帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。通过部署上网行为管理能达到以下效果:(1)入网管理,有效管理上网用户数量;(2)无线准入机制;(3)设置专门上网的电脑;(4)防止机密信息泄漏和法律违规事件;(5)审计内网用户发送邮件;(6)审计内网用户访问网站;(7)审计内网用户使用聊天工具的内容;(8)因人而设上网权限;(9)带宽及流量管理;(10)通过控制P2P流量,限制下载;(11)合理利用带宽细致划分与分配带宽资源。
2.4入侵保护研究依据厦门轨道交通集团未来网络和相关业务情况分析结果,本研究建议在厦门轨道交通集团内部网络部署入侵保护系统IPS,以最大化地保护网络信息安全,减少及有效避免以下安全风险:(1)网络互连带来的安全风险由于业务需要,厦门轨道交通集团网络需连接互联网,业务或办公数据在网络上传输,而网络设备、主机系统都不同程度存在一些安全漏洞,攻击者可以利用存在的漏洞进行破坏,可能引起数据破坏、业务中断甚至系统宕机,将严重影响厦门轨道交通集团网络的正常运行。(2)攻击快速传播引发的安全风险目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,比如蠕虫爆发将造成厦门轨道交通集团网络瘫痪。入侵检测系统IDS虽然能检测出攻击行为,但无法有效阻断攻击。另外,网络防病毒系统属于被动防护,对于新的未知蠕虫病毒,防病毒软件无法检测出。因此如何保证厦门轨道交通集团网络在安装最新安全补丁之前,网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪。入侵保护系统IPS(IntrusionPreventionSystem)提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在传送恶意流量的同时或之后发出警报。IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
2.5WEB应用防护研究随着厦门轨道交通集团将来互联网业务的应用越来越广泛,其社会影响力将越来越大,一旦平台网站被攻击将无法对外提供服务或被篡改,该情况将对厦门轨道交通集团造成极大的负面影响,因此本研究建议在DMZ区部署针对网页防篡改的WEB应用防火墙。传统的边界安全设备,如防火墙,作为整体安全策略中不可缺少的重要部分,局限于自身的产品定位和防护深度,不能有效地针对Web应用攻击提供完善的防御能力。因此,厦门轨道交通集团对外服务的网站有必要采用专业的安全防护系统,有效地防止各类攻击、降低网站安全风险。合理的WEB应用防火墙可以包含事前、事中、事后的事件有效管理。事前,ICEYEWAF提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险,维护网站的公信度。
3网管中心研究
健康、稳定的网络环境,除了需要良好硬件网络基础环境,还需要配套后台的网络运维管理软件,此次网管中心网络运维管理软件包括补丁及防毒中心、数据备份中心、文档加密系统及桌面管理系统。
3.1补丁及防毒研究目前绝大多数病毒传播的途径是网络。对于一个网络系统而言,针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。因此,对每一个病毒可能的入口,部署相应的反病毒软件,实时检测其中是否有病毒,是构建一个完整有效反病毒体系的关键。来自系统外部(Internet或外网)的病毒入侵:这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高,耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。网络邮件/群件系统:如果网络内采用了自己的邮件/群件系统实施办公和信息自动化,那么一旦有某个用户感染了病毒,通过邮件方式该病毒将以几何级数在网络内迅速传播,并且很容易导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署反病毒也显得尤为重要。文件服务器:文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率,并且能对信息进行长期有效的存储和保护。但是一旦服务器本身感染了病毒,就会对所有的访问者构成威胁。因此文件服务器也需要设置反病毒保护。终端机:病毒最后的入侵途径就是最终的桌面用户。随着智能手机、随着各种网络应用的增多,智能手机和笔记本计算机的普及,网络边界逐渐消失,网络结构趋于开放;由于网络共享的便利性,某个感染病毒的桌面机可能随时会感染其它的机器,或是被种上了黑客程序而向外传送机密文件。因此在网络内对所有的客户机进行防毒控制也是非常重要的。本研究建议厦门轨道集团本部部署补丁及防毒中心,通过补丁及防毒中心统一管理及控制集团内所有终端机及服务器的补丁审批及病毒库更新。
3.2数据备份研究鉴于IT网络环境的不稳定性,及可能发生的硬件损坏、人为误操作、存储故障等造成的数据损坏和业务停顿,或火灾、地震等自然灾害带来的毁灭性破坏,信息系统的安全保障也提出新的要求:系统的数据、文件等需要得到妥善的保护,丢失后要能快速恢复;电子档案资料要实现归档并能在异地保存。因此本研究建议厦门轨道集团本部部署数据备份中心,数据备份中心除了提供备份软件外,还需配套专用的磁盘备份设备,为集团提供集备份、容灾和存储为一体的创新型备份存储方案。通过部署数据中心以期能达到以下效果:从PC到Windows到Linux和Unix服务器环境的集中备份,并采用NAS、IPSAN和FCSAN多种存储架构相结合的方式满足用户数据共享和集中存储的需求。
3.3文档加密研究行政办公文档、经营文档、技术文档三类文档在企业运作活动中密不可分又相对独立。如:研发类的技术文档希望在技术体系内部使用,不能轻易流转到行政管理部门,而企业经营文档,特别是一些敏感的经营信息,只能在受控的少数经营部门,如:财务、总办等部门使用。文档如何在本体系内充分共享,支撑业务活动,同时又受控地流转到其它部门,是文档安全保护需要重点解决的问题。另外,任何企业和外部有千丝万缕的联系,如:行政监管部门、客户、供应商等,如何能将相关地文档和外部合作伙伴交换,同时保证其安全性,也是文档安全管理要解决的问题。在行政办公文档、经营文档、技术文档相关的体系内部,文档的安全保护也必须考虑文档的日常使用和流转、文档管理规范的遵守和落实、文档保护相关的技术手段等方面的统一协调,达到安全和效率的平衡,即对文档进行适当的保护又不影响企业正常的业务运作。达到这一定,必须充分考虑文档操作流程、文档管控措施、文档保护技术手段的要求,使三者有机地融合在一起。因此本研究建议在厦门轨道交通集团部署文档加密系统,以期能达成以下效果:客户端动态加解密区域文件复制或保存时自动强制加密。文件打开时自动解密。对用户来说,该过程是完全透明的,不改变用户的使用习惯。无论是另存为其他文件格式,还是使用进程名欺骗的方式都能对文档有效加密。无论通过存储(USB、光盘、软驱、ZIP盘等)或网络(Email、FTP、Windows共享等)或是其它传输介质与方法(红外、蓝牙等),均在保护范畴内。(1)拷贝粘贴及拖拽控制:允许从外部复制进受控文档,但不允许从受控文档向外复制粘贴(包括邮件或者即时通讯工具),用户在受控文档间的拷贝粘贴、拖拽均可正常使用。(2)文档权限管理:文档具有阅读、编辑、打印的权限控制。对外发文档除了上述功能外还需加上时间限制以及次数限制功能,该文档超过一定时间或打开次数就无法再使用,而且对于作者可实行再授权功能。用户端对文档的任何操作都有详细的操作日志,其检索功能对文档的非法操作能快速定位。用户终端的自我防护、客户端程序及加解密模块不能轻易的在非认证或授权的情况下被终止或激活。系统能控制客户端的打印、截屏、录屏等功能,但此功能仅限于对受保护的文档进行控制,而非受保护的文件使用还是灵活的。员工因工需要挟带笔记本出差或在出差过程中需要对一些密文解密外发时系统应提供一套完整的离线管理和解决方法。
3.4桌面管理研究在现代企业环境下,一个IT的管理部门需要花费大量的人力物力来维护企业的计算机运行环境。同时,由于计算机设备的更新和变化,财务部门对企业的计算机设备的管理和统计经常处于一种无序及手工统计的状态,当设备更新频繁时,原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新,从而造成设备管理的混乱还会造成时间的迟滞,影响企业的运行效率,给企业带来损失。如何解决这些痛苦的管理问题?您需要一套高效和易于使用的桌面管理解决方案。本研究建议在厦门轨道交通集团内部署桌面管理系统,通过部署该系统以期能达到以下效果。(1)资产管理软硬件资产信息收集,动态掌握全网IT资产现状可定义的资产变更警报,可以全面监控客户端的IT资产与配置的变化,例如,客户端的内存、硬盘的变化,以及IP地址的变化等等,避免企业IT资产的流失。全面的资产报告,集成超过120种报表,并使用最新的自定义报告引擎,使创建自定义报表更加方便。便于资产统计、盘点。(2)远程支持帮助管理员对被管理设备进行远程支持,减少大量的现场支持及电话支持工作,提高服务支持的响应速度。集成多种桌面支持工具,包括:远程控制、远程对话、远程文件传输、远程执行、远程重启、远程关机、远程桌面画图等等。可根据网络带宽忧化的远程桌面支持,节省企业远程支持费用。(3)软件分发向跨网络的大批客户端进行软件(办公及应用软件)的远程安装或卸载;帮助企业进行软件的统一部署、升级、维护。支持应用软件修复,使用户的业务可持续运行。支持“推”和“拉”的两种软件分发方式。支持软件分发的断点续传。支持任务完成,保证任务执行的完整性。支持软件分发向导,使软件分发更加简单。自带软件差异打包工具和脚本编辑工具。(4)操作系统分发和配置迁移对远程客户端进行硬盘映像的捕获或部署,实现硬盘备份/恢复,支持多种操作系统映像分发格式:Ghost、Image、PowerQuest等等。支持操作系统的配置迁移:从Windows98/2000向WindowsXP/2003迁移。用户帐户信息;应用程序设置,模板及关联文件;桌面设置(MyDocs;映射的驱动器;打印机;壁纸;屏幕设置等)。支持裸机的操作系统分发,可帮助客户为批量裸机快速部署操作系统及应用程序。
第一,计算机网络系统的架构分布;如果利用一个模型来形容计算机的网络架构,那么树形结构图,是最为形象的比喻。实际上,计算机网络系统的架构分布就是一个庞大的树形架构分布的。在树形分布图的顶端,就是庞大的主机机构。目前,世界的网络实际上就是一体化的。而主机位于美国,主机是所有信息的交互点。这里是资源的总站,负责整个网络系统的交互和传递。如果主机出现了问题,那么全世界的网络系统都将面临瘫痪。因此,主机的稳定性有着至关重要的作用。此外,在主机的下一级,需要进行资源的分配。其系统的架构和计算机的资源处理类似,中央处理器负责所有信息的处理,但是在中央处理器下一级是内存,而不是硬盘。道理是一样的,都需要进行缓存处理,实现资源的合理分配。主机的下一级是交换机。交换机是负责一个较大区域内的数据交换的,可以认为交换机是一个庞大区域内的信息处理中心,主机将必要的信息传递给区域交换机,那么负责某一区域内的交换信息就都需要在交换机处进行处理。交换机下一级是路由器,路由器实际上就是小区域内的信息交换中心,也就是较为熟悉的局域网。局域网内的所有网络请求,都需要通过路由器进行申请,然后在进行资源共享。对于计算机的网络系统中,还存在内网以及外网的区分。所谓内网实际上就是针对一个区域或者是局域网而言的,比如一个局域网内的所有计算机终端,彼此之间进行信息交互的时候,利用的就是内网资源。而如果进行网络的远端申请,那么就需要进行外网的请求,从而进行资源的传递和交互。
第二,计算机网络系统的架构原理;计算机网络系统的架构分布实际上是逐级分布的,理解相对比较容易,并且在网络资源申请的过程中,也是进行逐级申请的。那么,为什么要进行这样的设计呢?采用树形分布的方式有怎样的优势吗?这就涉及计算机网络系统的架构原理问题。首先,计算机网络系统的架构原理是基于等级逐级分布的方式进行的。逐级资源配置,其原理的优势在于能够更好的进行资源响应。如果同一时间进行大量的资源请求,在很大程度上容易造成资源的未响应,也就是请求中止现象。在日常的使用过程中,也会出现这样的现象。例如,一个网页同时有太多人进行请求,那么就会造成网络崩溃。其原理是一样的,因此采用资源逐级分配的方式,就可以在一定程度上减少这样的现象出现,从而实现网络资源的合理与有效配置。其次,架构原理的可行性较高;架构树形分布,实现资源的合理配置,此外,为了能够实现网络的高效交互性,利用树形分布的方式,可以进行有效的资源制约。资源的提供是需要根据实际的需求而决定的,如果只是进行粗放型的资源供给,那么就会在一定程度上造成互联网资源的浪费。因此,为了能够实现较高的资源利用效率,实现最优化的网络资源配置。采用树形架构网络系统是有其合理意义的。最后,计算机网络系统的架构原理符合网络资源分配原理;网络资源是实时供给的,按照逐级分配的目的在于一旦出现资源不足的时候,可以进行进一步的资源请求。也就是进行跨级请求,那么,通过这样的请求指令,可以实现网络资源的临时分配,实现网络资源的合理供应。那么,在进行资源配置的时候,需要考虑实际的应用情况,才可以让资源使用实现最大化。
2计算机网络系统的搭建
通过以上对于计算机网络系统的架构分析以及对于架构原理的分析,可以进一步来探讨如何进行计算机网络系统的搭建。对于全球性的网络系统搭建而言,其相对比较复杂。本文将针对某一个区域进行分析,从而来探究计算网络系统搭建的方法及其原理。
2.1计算机网络系统的搭建原理基于数据的传输原理,对于通信系统而言,计算机网络系统就是由诸多的通信系统构成的。采用树形分布的方式,更好的实现了资源的合理分配。对于信息的传输而言,进行必要的资源配置是非常重要的。在进行计算机网络搭建的过程中,首先需要明确的就是对不同区域的资源合理配置。按照局域网的搭建进行分析,局域网是计算机网络系统中的最小单位。那么,根据一个路由器进行资源分享的配比,那么可以在一个路由器内将几台计算机终端进行连接,从而实现了局域网内的资源共享以及资源配置。而在一个区域内,进行网络资源访问的过程中,就可以利用一台交换机,将不同的局域网进行连接,从而实现区域内的资源共享。对于计算机网络系统的搭建原理而言,也是根据资源的逐级分配来实现的。图1所示,就是一个远程视频会议网络的搭建原理。
2.2计算机网络系统的搭建方法利用计算机网络系统的架构原理以及搭建原理,就可以实现简单而使用的计算机网络搭建方法。其中,可以充分利用资源逐级分配的原则。实际上,就是将网络资源进行最大的化的分配。以区域为单位,进行网络资源的划分。这样就可以实现计算机的互联网络,从而实现高效的网络系统。
3计算机网络系统的优化方式分析
对于计算机的网络系统而言,搭建成功以后,还需要进行适应的网络优化,从而将资源的利用做到最大化,从而实现网络资源的合理共享。一般情况下,网络优化可以从几个方面进行,下面就针对常用的优化方法进行分析。第一,网络分层结构中的网络优化方式分析;网络分层优化实际上是利用了计算机网络软件部分的原理,将网络资源在软件的层面上进行合理配置,从而实现最佳的优化方式。一般情况下,网络资源相对复杂,不同的资源流形式需要进行分类处理,才能够实现网络传输效率的最大化。因此,对于计算机网络一般会进行分层处理。在物理层以及数据链路层中,一般都会处理物理信息,例如不同主机传输的数据中,都会附带该主机的物理地址。这样是为了能够识别信息的源头,从而进行信息的安全交互。那么,这类的信息可以直接转移到数据链路层以及物理层中进行处理,这样可以更加方便的实现信息的高效率传输。而真正需要进行译码的实用性信息,可以通过进入网络层,直接进行信息的接收以及交互,这样的处理方式,就实现了信息交互的高效性。同时,也是网络优化最为常用的方法。第二,采用交换机等硬件方面的优化方式;树形分布的资源配置方式,是最佳的资源配置方式之一,对于计算机网络系统的资源分配而言,有着非常重要的作用。但是,在一些区域内,可以采用其他的配置方式,这样可以在一定程度上实现资源的更佳利用,从而实现网络的优化、例如,在局域网内,完全可以采用辐射配置的方式,即以一个点位为中心,而其他同等主机为辐射点。这样的配置方式,可以实现资源的一点供应。而不同的网络请求都可以实现同时处理,这样的方式更加适合小范围内的资源配置。第三,软硬件之间的配合配置方式,是网络优化目前最常用的配置方式。优化的目的在于能够即节省网络资源,同时还能够实现网络的最优化使用。两种方式各有优势,能够进行有效的结合,那么就可以将优化做到最大化。总之,网络优化是必要的,不管是采用软件的方式还是利用硬件的合理配置,都是为了能够尽量节约网络资源,将资源进行最大化的利用。网络系统的搭建和网络资源的优化,两者在一定程度上有着非常密切的联系。通过实现两者的协同性,从而实现网络资源的最大化利用,对于未来的网络系统发展,有着十分重要的意义。
当前,大多数企业都实现了办公自动化、网络化,这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖,容易因为一些主客观因素对计算机网络造成妨碍,并给企业造成无法估计的损失。
1网络管理制度不完善
网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩,不成方圆。”制度就是规矩。当前,一些企业的网络管理制度不完善,尚未形成规范的管理体系,存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题,使企业相关人员不能采取有效措施防范网络威胁,也给一些攻击者接触并获取企业信息提供很大的便利。
2网络建设规划不合理
网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视,但随着企业的发展与扩大,对网络应用的日益频繁与依赖,企业未能对网络建设进行合理规划的弊端也就会日益凸显,如,企业所接入的网络宽带的承载能力不足,企业内部网络计算机的联接方式不够科学,等等。
3网络设施设备的落后
网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术,即便企业在网络设施设备方面投入了大笔资金,在一定时间之后,企业的网络设施设备仍是落后或相对落后的,尤其是一些企业对于设施设备的更新和维护不够重视,这一问题会更加突出。
4网络操作系统自身存在漏洞
操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患,一旦这些为网络黑客所了解,就会给其进行网络攻击提供便利。
网络安全防护体系的构建策略
如前所述,企业网络安全问题所面临的形势十分严峻,构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况,构建具有监测、预警、防御和维护功能的安全防护体系,切实保障企业的信息安全。
1完善企业计算机网络制度
制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度,强化企业人员的网络安全意识,明确网络安全管护责任,及时更新并维护网络设施设备,提高网络设施的应用水平。如果有必要,企业应聘请专门的信息技术人才,并为其提供学习和培训的机会,同时,还要为企业员工提供网络安全的讲座和培训,引导企业人员在使用网络时主动维护网络安全,避免网络安全问题的出现。
2配置有效的防火墙
防火墙是用于保障网络信息安全的设备或软件,防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则,监视计算机网络的运行状态,对网络间传输的数据包进行安全检查并实施强制性控制,屏蔽一些含有危险信息的网站或个人登录或访问企业计算机,从而防止计算机网络信息泄露,保护计算机网络安全。
3采用有效的病毒检测技术
1.2网络系统集成设备的教学内容计算机网络设备是计算机网络系统中重要的组成部分,其主要功能是传输数据和存储数据。经常使用的网络设备包括网卡、交换机、路由器、防火墙、不间断电源、存储设备和服务器等。本部分对网络系统集成中经常使用的设备的工作原理和分类方式进行详细介绍。明确设备选型过程中需要重点考虑考察的性能指标,理解设备选型过程中需要注意的事项。服务器技术主要是让学生了解选择服务器的指标有哪些以及在服务器中采用的典型技术。为了保证可靠性,服务器中采用的典型技术包括磁盘阵列技术、双机热备份技术、容灾数据备份技术。
1.3网络管理与网络安全的教学内容随着计算机网络技术的快速的发展,很多企事业单位都建立了自己的网络。为了让网络更好地为企事业单位服务,需要对建设的网络进行管理。要管理好网络,需要随时掌握整个网络的状态,并对网络及时进行网络升级和防毒等,保护网络安全。这部分主要讲解与网络管理、网络安全相关的内容。将叫教学知识重心放在学生对于网络管理相关定义及具体手段的把握上,同时能够知道一定的解决网络故障问题的策略;正确理解网络安全相关定义及其相关的加密技术。
1.4网络综合布线系统的教学内容综合布线系统是网络集成系统中十分重要的子系统,主要是指建筑物的综合布线系统。这里我们所说的传输介质具体而言就是在网络中负责传输信息的载体,常用的传输介质分为有线传输介质和无线传输介质两大类。
2多种教学方法的选择
2.1教学内容特点分析表1所示的教学内容在学习上具有各自的难点,具体如表2所示。
2.2教学手段的选定要想实现教学质量的进一步增强,要结合具体教学内容的实际特征,选择相对应的教学手段。主要表现如下表3。
3所得教学效果分析
根据上述我们所规划的教学措施,开展了教学工作。在32学时中,各部分课程内容所占据的时间比重参见下图1。在教学过程中我们设置了四堂实验课程。全部的学生都在规定的时间范围内做完了实验,另外还有一些学生在课下自己做完了提高部分的内容。在招投标模拟实习的整个实践环节中,每个学生根据自己扮演的角色提交了相应的文档并做了报告。模拟实习的成绩分布为:优秀的占4%,良好的占30%,中等的占64%,及格的仅占2%。根据模拟实习成绩和学生的反映可以看出,模拟实习对于他们理解整个招投标过程、集成方案的设计以及各种集成技术的应用有较好的效果。所有学生所取得的笔试成绩参见图2。从图中我们可以了解到成绩良好的学生占到了所有学生的百分之十六,成绩中等的学生占到了所有学生的百分之四十六,成绩及格的学生占到了所有学生的百分之十六,符合我们最初的效果所想。
2气象局计算机网络面临的不安全因素
2.1操作系统存在安全漏洞任何软件的使用都是由操作系统控制运行的,软件自身存在的缺陷和漏洞就成为了病毒攻击的目标,而大量病毒的传播也是通过这种方式运行的。错误的操作也会使网络受到威胁,一些工作人员技术不够或错误地设置软件服务器端等就会引发安全漏洞,比如常见的有用户权限设置失误、网络设备设置不完整、服务器端口错误等,这些都是引发漏洞的不安全因素。
2.2气象网络管理工作者水平较低由于各级气象局在网络管理制度上都存在一些问题,基于气象局的工作性质,很难长期聘请高能力的网络技术人员,甚至有些基层的气象站没有专职的网络管理人员,即便有,也是专业水平较低,不具备监督、维修、管理能力的人,再加上机房的设备落后,这对网络的安全运行极为不利。
2.3管理制度不够完善基层气象局部分管理员工作态度散漫,对气象网络安全不够重视。在某些时刻,为了自己便利,管理员就把密码告诉别人,并交由非工作人员操作,这样由外人随意操作就可能会丢失数据,在网络连接的情况下,还会暴露数据,为黑客入侵提供通道。
2.4网络病毒攻击随着网络技术的发展,网络病毒屡见不鲜,曾有气象局遭遇“熊猫烧香”病毒的入侵。电脑中毒后,出现蓝屏、频繁启动和硬盘数据丢失或被破坏等现象,大多数病毒具有感染性、变种、传播速度快等特性,最终会导致网络瘫痪。计算机是病毒的直接受害者,因此,气象工作人员要养成良好的上网习惯,不要随意打开来历不明的文件,要定期升级杀毒软件,进行有效的防控。
3维护网络系统安全运行的措施
3.1建立必要的安全管理制度有效的管理制度可以在一定程度上约束管理员的工作,提高气象相关工作人员的技术水平和职业道德。对重要的工作项目要提出明确的要求,实行员工工作责任制。在气象计算机网络安全系统这方面,要制订有关网络操作使用规程和人员出入机房重地的签到管理制度,严格做好开机杀毒工作,绿色上网,并养成及时备份的好习惯。
2工程式教学在网络系统集成课程中的具体应用
2.1工程式教学法,是师生通过共同实施一个完整的“工程”工作而进行的教学活动。在职业教育中,工程项目是指以生产一件具体的、具有实际应用价值的产品或是完成一项具体工作为目的的任务,它应该满足下面的条件:(1)该工程可用于学习一定的教学内容,具有一定的应用价值;(2)该工程能将某一教学课题的理论知识和实际技能结合在一起;(3)该工程能与企业实际生产过程或现实的商业经营活动有直接的关系;(4)在教学过程中,学生有独立进行工作的机会,并在一定的时间范围内可以自行组织、安排自己的学习行为;(5)工程结果有明确而具体的成果展示;(6)学生自己克服、处理在项目工作中出现的困难和问题;(7)工程项目学习结束时,通过建立客观的考评体系,科学同评价项目成果和总结学习方法。(8)工程积累由小到大、由浅到深,学生得以在不同项目练习中不断取得进步,最终达到专业教育的目的。
2.2在工程项目确定后,根据教学的设计要求,对班级学生按项目进行分组,每周六人左右,由同学自行选择组长进行工作安排,利用网络工程实验室现有的RCNA系列设备、VM虚拟软件、CISCO模拟软件等完成工程项目的模拟操作,按工程项目的实际要求提交项目设计方案、测试文档、验收报告等配套资料,最终在教师主持下分别进行项目评述与验收答辩,不同项目组间相互交叉评价,从而完成一次工程式教学过程。具体细分到相关教学任务或知识点为:(1)综合布线选择本地公司进行综合布线布线、理架、上柜综合布线集成知识。(2)企业内VLAN实现企业不同部门网络隔离跨交换机实现VLAN间路由网络层、数据链路、VLAN。(3)企业内路由企业内不同部门内部路由利用单臂路由实现VLAN间路由网络层、数据链路。(4)网络交换技术在核心交换机间用树实现线路备份与交换带宽聚合提升快速生成树、端口聚合配置STP、MSTP、端口聚合、带宽。(5)远程路由在总部、分公司间按RIP、OSPF等不同方式实现路由RIP、OSPF、RIP2及路由分发混用路由器的不同路由方法配置。(6)交换机的端口安全在网络出口出现端口安全按端口设置绑定安全交换端口。(7)自外向内的网络访问分部或在外员工按NAT方式安全访问内网服务器NAT、NAPT的相关设置。(8)企业内部网络服务设置(包括WIN、LINUX两套系统在内)配置为域控制器和DNS服务器,域的功能级别为2003模式;DNS服务需要正确配置SOA,NS,AAA记录和反向记录创建4个OU,创建4个全局组,创建12个用户服务器配置为web服务器,使用IIS6.0来建立WEB站点配置FTP服务器,创建虚拟用户user1和user2,允许user1、user2可上传、下载文件,其它用户只能下载文件,允许匿名系统的相关网络服务功能设置。(9)项目文档设计提交整体的项目文档包括项目设计方案、测试报告、验收报告等相关内容项目文档设计。通过采用此教学法,可以把这几门课程的内容综合到工程中一个或几个子项目当中,让学生在学习的同时感受到在具体工作应用要求,从而在完成计算机网络系统集成教学、实验的基础上,提高学生应用知识能力,发挥学生创新能力,提高学生的网络系统设计与综合施工能力,为毕业就业的实际工程应用奠定的基础。在合理设计工程目标及解决问题的目的驱动下,学生会主动去查资料,复习并综合运用知识点;在遇到困难时会通过网络或图书馆查询解决方案,会和同学教师共同探讨如何在多种选择方案下,综合考虑合理的因素进行比较,并做出科学的选择方案设计。同时教师也要积极发挥辅导和监督作用,积极参与学生设计方案的选择和探讨,帮助学生解决设计中遇到的困难,协助解决设计调试中的障碍。
1.2建设目标综合布线是一项系统工程,必须针对工程特点,制定规范的组织机构,保障施工顺利进行[4]。综合布线系统是网络信息传输的基础,是体现于网络物理层的信息传输系统,具有计算机网络系统的一些网络特点和结构特征[5]。根据设计方案,大厦综合布线系统的目标课定为:以标准为指导、以领先为技术、以自动化为支撑和以高集成为系统。把大楼信息网络系统建设成为一个高起点、高标准的和高设施的,并有一个平滑的升级和高开放的网络平台。
1.3设计原则设计原则有:①开放与先进原则:整个程序设计的目标决定了系统必须采用先进的技术和设备,以反映今天的水平,但也有发展潜力。另外,方案必须具有开放性。开放性的布线系统不但能适应不同功能的要求,而且又能支持不同厂家对应的设备;②灵活与实用原则:程序需要考虑系统当前和未来的技术发展,不仅要实现通信的数据和语音,而且也满足灵活的升级的要求;③扩充与模块原则:设计方案要求,除固定的传输线缆外,其他所有的插件均采用模块化的标准件,以适应将来需要扩展时,方便地将设备添加进去。
1.4设计标准设计标准是:①GB/T7427-87国家通信光缆的要求;②EIA/TIA-568、569、607网络标准;③IEEE局域网标准、TPDDI铜线分布接口局域网标准等。
2信息结构设计
在大厦的信息建设过程中,本着“服务与管理提供高技术的智能化手段,以期实现快捷高效的超值服务与管理,提供安全舒适的家居环境”的理念。将实现无线与有线灵活匹配,从而将有线局域网和无线WIFI的优势充分发挥,使大厦的信息环境最大化的延伸。方案采用“万兆核心、千兆主干,百兆到房”智能化的布线系统。数据机房和大厦各楼层垂直部分采用多模光纤连接,水平系统采用超五类网络电缆。办公空间使用有线互联网接入,在公共场所使用标准的无线接入方式,以灵活的环境,满足客人的不同需求。(1)核心机作为网络核心的中心交换机采用的是专为企业网络核心设计的思科CiscoCatalyst4500企业万兆核心交换机,设在大厦6层的信息机房内。采用了CenterFlex技术的CiscoCatalyst4500系列交换机能够通过安全、灵活和不间断的通信,提供可以扩展的无阻碍L2-L4层交换,从而帮助部署了关键业务应用的企业、中小企业(SMB)和局域以太网客户实现业务永续性。由于CiscoCatalyst4500能够为企业配线间和SMB接入/核心层提供先进的动态服务质量(QoS)功能和配置灵活性,因而能提供可以预测和扩展的高性能。硬件和软件中的集成式永续特性有助于提高网络可用性,以提高劳动力的生产率和企业的盈利能力,并保证客户成功。(2)汇聚层汇聚层交换机选用思科SR2024千兆以太网交换机,提供24个10/100Mbps端口,背板带宽达到4.8G,2个SFP插槽,完全具备服务器或光纤骨干连接可选的端口,将平层之间的每一行,通过光模连接到核心交换机。(3)接入层接入层选用思科SLM224G2具备增强的网管、安全和服务质量(QoS)功能的百兆智能网管交换机,提供24口10/100Mbps端,2个扩展槽,可以选配GBIC口用于服务器或光纤骨干连接,并且可以通过堆叠进行扩展。根据个人或建筑物和楼层接入信息点的需要,放置在单位堆叠开关组的相应数量之间的接线通过超五类网线上联到汇聚交换机。(4)无线AP大厦的公共区域采用腾达W301A无线AP提供接入服务。腾达无线AP采用天花板安装,300Mbps无线上传和下载速率、提供千兆以太网LAN接口、支持以太网供电(POE)或者外置电源适配器供电,具备无线中继器,点对点无线网桥,点对多点的无线桥接模式,内置高品质独立模块天线,无线信号有保障。根据大厦的实际情况进行AP的合理布点安排,在所有大厦要求的范围内为用户提供了无盲点和无缝漫游的无线宽带网络覆盖。
3综合布线及验收
大厦信息布线采用综合布线方案,根据结构化标准,网络由设备间系统、干线系统、工作区系统、水平布线系统和汇聚系统组成。(1)设备间系统设备间系统由主配线间和分配线间组成。语音主干采用单元接线板,使用数据骨干光纤终端盒安装架,所有设备均安装在19inch标准24U机柜内并采用不同色标做好标记。(2)干线系统主干系统工作区系统之间的集成,水平布线系统、聚合系统、设备系统及5个子系统的骨干系统一起,形成一个完整的结构化布线系统。其中语音主干采用三类大对数非屏蔽UTP双绞线铜缆,数据主干采用室内多模光纤。(3)工作区系统工作区布线系统主要由水平双绞线组成的系统,双绞线从配线架出发,通过立管从地面或金属托盘到指定位置上的出口连接到房间信息模块。方案中要求超五类线的最长距离不超过百米。具体终端网络采用超五类RJ45模块、语音采用RJ11模块。水平布线的语音部分采用两芯电缆。(4)水平布线系统楼层过道的顶上采用金属桥架和塑料阻燃防火波纹管相结合的设计方案。进入房间时,从桥架或波纹管引出以金属管暗装方式由墙壁而下到各个信息点。(5)汇聚系统由每层操作间的机柜上的配线架,通过跳线将信息线路定位到楼层的不同部位。其中水平层的数据和语音部分均采用24口TCL模块式配线架(根据需要配RJ45/RJ11模块),保留10%的余量用于未来的扩展。垂直层网络连接数据主干采用光纤终端盒,语音垂直层使用鸭嘴跳线和电信电缆110配线架连接。所有楼层操作间都配备了在线不间断电源插座。方案的验收参照《建筑与建筑群综合布线系统工程施工及验收规范》(GB50312-200)及国家通信行业标准《综合布线系统电气特性通用测试方法》(YD/T1013-1999)实施[7]。