网络合理化建议精品(七篇)
网络合理化建议篇(1)
关键词:计算机网络基础 理实一体化 实训教学 教学模式
笔者所在学院是全国示范职业院校,笔者在信息管理系承担了十多年的计算机网络基础课程教学任务,在教学过程中坚持改革创新,在计算机网络基础课程理论教学与实训教学方面积累了一些经验,下面对计算机网络基础课程教学的改革创新谈谈自己的看法与建议。
一、课程教学目标
计算机网络基础是计算机应用技术专业的基础性课程。本门课程的教学目标是培养适应社会需求的网络管理与维护的技术型应用人才。
二、优化课程教学体系与教学内容
1.传统教学模式的缺陷
计算机网络基础传统教学模式存在的问题比较多,例如教学内容比较零乱,教学不直观,导致教学效果不太理想;理论教学与实训教学脱节,一般不采用理实一体化教学方式将理论教学与实训教学融合在一起。
2.构建合理的课程教学体系
根据计算机网络基础课程的教学目标,笔者结合多年的教学经验,认为计算机网络基础课程的教学重点是计算机网络实现过程分析。
3.构建理实一体化教学内容体系
笔者依据理实一体化教学理念,将计算机网络基础课程理论教学重点内容分为四部分:第一部分,计算机网络基本概念。本部分的教学目标是让学生识记计算机网络的发展过程,理解计算机网络的结构、种类、功能与工作过程等。第二部分,网络信息传输以及通信。在这一部分中,重点让学生了解数据通信的概念、数据通信的工作原理以及常见网络硬件设备。第三部分,局域网络构建。在这一部分中,重点介绍局域网的工作过程、物理层定义与功能、数据链路层定义与功能,掌握一些常用协议。第四部分,Internet协议。在这一部分中,重点让学生了解TCP/IP网络互连协议、Internet传输层协议、应用层作用等。
根据四部分理论教学重点,实训教学可以安排网络拓扑实训、数据链路实训、网络层实训、传输层实训与应用研究层实训。实训教学要结合全国或者省级技能大赛的要求,有针对性地进行综合实训,鼓励学生代表学院参加全国或者省级技能大赛。
三、建设理实一体化网络教学资源
传统教学中的教学资源基本上是网页类型的教学资源,不利于师生的交流互动。因此,迫切需要在网页型教学资源的基础上建立理实一体化网络教学资源。职业院校可以利用建设精品课程的契机,打造建设理实一体化网络教学资源。在建设理实一体化网络教学资源时,笔者建议打造基于理实一体化教学模式的计算机网络基础教学资源,在理实一体化网络教学资源中,重点形成一整套理实一体化网络教学资源和技能项目模拟题库,还可以设置课外学生自主实践项目,利用理实一体化网络教学资源教学时应该安排专业实训指导老师全程跟踪指导和互动交流。
四、建立校企合作型网络实训室
计算机网络基础课程的实际应用性比较强。因此,应该特别重视实践教学,科学规划实训教学内容,精选实训教材,配全所需硬件与软件,建立与课堂教学相配套的网络实训室。选择实训教材也是非常关键的,笔者所在学校选择的是闫书磊、李欢编著的《计算机网络基础》教材,该教材采用理实一体化教学模式编著而成,网络实训内容选择比较合理。
五、选择和使用先进的教学模式与教学方法
计算机网络基础课程内容比较抽象,用传统教学方法教授,学生会感到学习枯燥无味。要调动学生学习的兴趣和积极性,选择教学方法与教学模式非常关键。
1.采用现代化的教学手段
在教学过程中,建议采用多媒体教学手段,这样能够将抽象的知识形象化,使学生能够更容易理解。运用多媒体教学手段,可以增加教学内容的趣味性,扩展教学内容,促进教学效率的提高。当然,如果遇到需要演绎公式推导时,可以采用黑板辅助教学。
2.多举例与类比,使复杂问题简单化
由于计算机网络基础课程抽象难懂,在教学中教师应该多举例,用生活中的类比事件让学生理解知识,例如在讲到“协议”与“层”的含义时,可以举例两个国家领导人通话的例子,双方通话是要遵循一定的规则的,处于上层的通信需要下层协议的支持来实现。
3.模拟项目化课程设计或者实习
一些重要的教学内容可以根据技能大赛的题型,采用项目化的方式考察学生的学习情况。在课堂教学之外,增加实习环节,让学生深入企业,在实践中应用知识。
参考文献:
网络合理化建议篇(2)
配用电网是电能分配使用的重要通道,是电网的重要组成部分。配用电通信网是保障配用电网正常运行、故障快速响应、资源高效利用、业务实时实现、电力生产可持续的信息通道。配用电通信得到广泛关注,主要是存在很多问题:配用电通信系统缺乏总体规划,各种业务独立建立通信网,多采用专有通信协议,业务网络相互孤立,电力设备通信接口专用等因素造成通信网兼容性差,通信资源浪费严重,新业务建设通信网难度日益增大等。随着社会经济的发展,智能电网成为未来提高供电质量、增强企业服务水平等的重要手段;但是智能电网要求配用电通信网解决更多业务信息的接入问题,包括高级配电自动化、用电信息自动全采集、风光储新能源接入、设备实时监控和资产无缝的管理、用电服务多样和定制等新需求,对这些问题,目前并没有有效的解决途径。
国内外对于智能电网和相关信息通信网络的发展开展了广泛的研究@4]。在通信网络的建设方面,考虑通信系统建设向网络化和标准化发展,通过统一接口标准、统一基础网协议规范、建立网络化的通信网络、多业务融合传输模式等,从而达到简化基础设施复杂多样、简化系统功能设计难度、提高业务终端信息交互兼容性等的目的。本文即是在这样的背景下,系统地研究把这种系统化理论和原则应用到配用电通信网建设的具体规划和设计中,以解决配用电通信网规划缺乏系统性、业务网孤立建网、多技术优化组网等方面的问题。
本文一方面从通信网络承载的智能化配用电网业务着手,分析业务的类型、分布特性等,确定信息通信的需求、通信网络架构、通信协议类型等网络建设模式;另外,考虑了通信网络的建设适应配用电网实际、具有继承性,特别是把当前的示范工程等试点建设成果,体现在提出的设计方案中。
1智能配用电业务分析
智能配电网业务特点是:1)业务节点多、覆盖面广、分散,运行环境差;2)配电网受扩容、城建影响大;3)通信距离较远,业务种类多,差异性大,总信息量大,单点容量小;4)运行维护量大、管理问题多,建设复杂。早期配网监测点数量少,多采用专线形式传输电力业务。智能配电网的实现意味着大量业务的传输,传统通信模式不可行,需要用网络的概念融合多种业务,同时保障业务服务质量(qualityofservice,QoS)特性。
根据多种业务的关系,融合并划分出满足各自需求的网络体系是通信网构建的前提。详细的业务内容和划分类型见图1。传统自动化业务、电网状态分析、新型充电站业务、分布式能源业务等归于高级配电自动化。电力用户用电信息采集、客户交费管理、需求侧管理、配网能耗评测、阶梯电价实施、分布式电源置换交易和营销管理等归于用电信息采集网络。
通过配电业务、营销业务、用能服务业务等的分析,按照业务需求指标(如网络带宽、实时性、可靠性、安全性等)提出配电通信网业务网通信模式。
2配用电业务网模型
2.1高级配电自动化系统
配电自动化系统是配电网的重要业务,实现现场配电终端和主站的业务数据交互。早期的配网通信多采用专线的形式,通信协议采用诸如CDT、Polling串行通信协议,线路资源利用率很低。当前的数字化变电站网络在向着IEC61850、IEC61968、IEC61970通信协议演进,目前基本实现站层级的Internet标准。
建立基于以太网技术的高级配电自动化业务系统是新时期自动化业务实现的有效方式。经过大量的建设实践和交换式以太网技术仿真,证明在网络设备30%负载的情况下,网络的实时性和可靠性是最好的。推广IEC60870-5-104在配电网中的应用能满足自动化业务的实时性、通道带宽、通信节点数量、新型配电业务等需求,有效实现基于以太网的配电自动化和调度自动化综合管理功能。
2.2用电负荷管理系统
用户电量采集业务朝着全自动化、全预付费、全覆盖的方向发展。目前电能采集方式较为典型的是米用通用无线分组业务(generalpacketradioservice,GPRS)网络。这种方式采用带有GPRS模块的集中器汇集局部区域的用电信息,经电信专网接入电力公司主站。集中器下行采用采集器读取电表数据,通信网络简单;问题是GPRS设备在线率低、不能实现实时电价和及时响应用户侧需求,同时网络租赁费用高。
解决用电负荷管理业务的有效方式是建立基于TCP/IP的以太网通信专网,连接用电信息管理主站与各个电力用户终端(如专变采集终端、公变采集终端、厂站采集终端、小区集中器、分布式电源和充电站计量终端);本地通信采用RS-485总线、载波、无线传感器网络(wirelesssensornetwork,WSN)等连接到各种电力用户终端表计。如图3所示。
2.3用能服务网络
用能服务网络是实现用户用电需求定制、多种用能策略、多样化服务等的业务网络。网络承载的业务包括语音、视频、数据业务,带宽需求很大,需要宽带的通信技术和基于TCP/IP技术的网络方式。
用电服务网络可以利用电力通信网和公共互联网,用户需求经公共互联网上传至电力服务网站,定制的服务经由电力通信网传输至用户的表计和用户终端。用能服务网络架构如图4所示。
2.4视频/环境辅助监测网络
视频监控系统在配电网中有广泛的应用,例如无人值守变电站的监视、重要开关设备的监视、现场维修安全监视、事故抢修现场分析等。电力公司监控中心可以对所有的变电站视频信息统一管理,进行图像的显示、录像、回放、管理等。应用于电网视频监控的系统通常构建成如图5所示的客户/服务器(client/server,C/S)网络结构。
3配用电通信网关键要素
业务网络融合是今后的发展趋势,可以避免通信网的重复建设、实现数据有效利用、提高网络的利用效率。下面分析支撑多业务的配用电通信网涉及的关键技术。
1) 无源光网络等多种通信技术。
我国配电网通信经过多年来的实践,先后经历了电缆、载波、无线、光纤通信等阶段。目前这些技术尤其是光通信技术发展很快,如以太网无源光网络(Ethernetpassiveopticalnetwork,EPON)技术、光交换机、微波存取全球互通(worldwideinteroperabilityformicrowaveaccess,WIMAX)无线宽带技术、无线局域网(wirelesslocalareanetwork,WLAN)技术、WSN技术、无线公网GPRS技术、高中低压载波技术、非对称数字用户环路(asymmetricdigitalsubscriberline,ADSL)技术等,各种技术提供的通信带宽都有了很大的提高。
配电通信网的构建必须综合采用多种通信方式,合理建立起光纤网络为主干,贯穿重要配电站点、调度中心、营业场所等节点,实施分区无线覆盖的网络覆盖模式,解决光网络覆盖不到的区域通信问题。载波和线缆通信解决用户端的多媒体业务、用电信息采集业务、配电网的设备和线路监测业务。
2) 融合的数据网络。
配用电多业务网络特点决定需要采用数据融合技术,见图6,融合的业务网除了满足业务通信需求外,还需要满足以下几方面要求:
①安全性要求。根据电力二次系统安全防护规定,电力二次系统应坚持安全分区、网络专用、横向隔离、纵向认证的原则,合理实现4个业务网的信息交互。
②可靠性要求。各业务网侧重采用不同的通信在3层的基础上增加网络层和传输层。综合配用电通信特点,提出图8所示结构通信协议模型,应用时可针对需要进行简化,如为了提高配电自动化通信实时性,应用层数据长度较短,可以去掉传输层而以4层协议结构通信。
利用这种结构可统筹兼顾配用电各种业务相应通信网协议的规范和统一要求。
图8通信协议结构技术,自动化网侧重使用光纤网络、载波网;用电和监测网络可以利用光纤网、载波网、无线宽带网、WSN技术等。
3)综合网管技术。
网络化的通信结构和多种通信技术在同一个网络中的综合运用,扩大了网络的规模,增加了网络的复杂性,给网络的运行维护增加了很大的困难。因此需要建立统一的网管系统(见图7),对这种复合的通信网络进行管理,实现网络设备的集中管理、设置、管理网络业务和保障网络的QoS。结合地理信息系统(geographicalinformationsystem,GIS),可以对通信网络的故障进行准确的定位,方便运维人员迅速排除故障。
4)网络安全技术。
融合了多种通信技术、承载了多种业务和遍布互联的配电通信网是一个开放的网络,大量的终端设备可以随时要求接入这个网络,网络的安全性和数据的保密性是应用中的关键内容,可以从应用层、网络层、物理层入手设置认证加密过滤技术,提出完整的解决方案。利用安全测试评估技术、安全存储技术、主动实施防护技术、网络安全事件监控技术、恶意代码防范与应急响应技术、数据备份与可生存技术、可信计算平台技术和网络安全管理与统一威胁管理(unifiedthreatmanagement,UTM)技术,为配电通信网的安全提供保障措施4。
4典型配用电通信技术混合组网示例
根据配用电通信网的要求和多种通信技术特征,考虑充分发挥各种通信技术的优点,减弱各种技术应用缺点,建立以光纤网络为骨干,无线技术、载波为补充的网络结构(见图9),满足配调自动化、用电信息采集、用能服务、环境监测、临时应急通信等多业务网的需求。混合配用电通信网的组成模式划分成以下3个层面和综合网管系统。
1) 骨干传输层。指覆盖35 kV以上变电站点的光纤网,用作生产管理的调度数据网和信息管理的综合数据网。
2) 远程接入网络。实现技术包括工业交换机、XPON技术、中压载波、无线技术,完成用户侧数据的汇聚上传。具体技术应用见表1。
3) 本地接入网络。本地接入技术(如WLAN、电力线载波(powerlinecarrier,PLC))等解决电网局
4)网管系统。混合型配电通信网网管主要负责管理工业以太网、XPON网络、本地的WLAN、WSN网络、无线专网、载波通信网络等通信设备和网络设置的管理。表3给出网管的实现功能。
5结语
网络合理化建议篇(3)
关键词:计算机网络;实验教学;Netsim;仿真实验
计算机网络是电气信息类专业的一门专业基础课,涉及的专业术语抽象,基本概念多、协议多,内容枯燥,又具有很强的实践性和应用性,使教师教学和学生学习有一定困难。目前,高校中的课程教学普遍存在教学内容与现实脱节、教学方法与手段不适应的情况,尤其是实践教学环节薄弱,导致学生重理论轻实践[1],对网络工程实践缺乏感性认识,实际操作技能不强,毕业后不能满足用人单位的需要。加强实验教学,在提高学生实际操作能力的同时帮助他们掌握各种协议的原理和工作过程,培养学生灵活运用理论知识规划、构建与维护网络的能力,是计算机网络实验教学改革的一个重要内容。笔者结合该课程的教学实践,就实验教学内容设置、实验教学组织与教学方法等问题,谈谈做法和体会。
1教学存在的问题
计算机网络是一门实践性很强的课程,需要软件和硬件实验环境。很多学校设立了相关的网络实验,如网络协议、路由器和交换机配置、局域网配置等,但这种完全依靠网络硬件建成的实验室存在以下问题。
1.1设备档次低,数量不足
网络设备一般比较昂贵,所以一些学校只能压缩实验室规模,降低设备的档次,减少购置数量。实验设备不足导致一些综合性的实验任务无法完成,学生只能做一些简单的验证性实验,无法提高网络安全性、服务器设置和网络设备配置等技能,也不能锻炼网络工程应用能力。
另外,由于实验设备数量不足,有些实验项目只能分多个组重复安排。比如做交换机VLAN的划分实验,一个实验台最多只能容纳3~4名学生,其他2名学生只能等待。又比如一个综合的组网实验,一组学生可能要几个小时才能实现全网通信,而一次实验课的时间只有100分钟。往往是学生还没做完,下课的时间就已经到了,而下一组学生来做之前又要重新配置,严重影响了实验效果。
1.2设备固定集中式安装,灵活性差
新型网络设备都采用模块化配置,多数学校采用机柜式集中安装。计算机与计算机之间、计算机与网络设备之间的介质接入和走线情况都用隐线方式构建,实验室拓扑结构复杂,学生无法了解网络教室的网络布局、走线情况,需要占用大量时间和精力去熟悉。很多重要网络设备和服务器都是专人管理和专门布置的,学生不能自已动手搭建拓扑,对实验环境不了解,无法满足网络构建实验的要求,变成了只能看不能动,而重要的设备根本看不到,更不用说进行后续的设备配置和管理实验了。
1.3设备更新换代快,实验室建设滞后
网络技术发展迅速,设备更新换代快,即使建成高效完整的实验室,也会在较短时间内陈旧过时。目前,高校网络实验室的设备大多只用来进行局域网实验,而对于其他类型的常用技术,如广域网接入、VoIP、VPN等,则难以开展实验教学。只依靠扩大经费投入、增加设备购置进行网络实验室建设,不能解决上述问题,也无法适应网络技术飞速发展的需要。利用模拟实验软件,与现有实验设备相结合,搭建虚实结合的网络实验平台,是弥补设备资金不足,解决实验项目落后,提高实验教学效果的好方案。
2实验内容体系的构建
在实验内容的安排上,对于编程实验,如网络通信程序设计、异步串行通信编程实验、网络协议编程实验等,课时不宜过多,因为过多编程实验会导致学生对于网络设备动手配置能力不足。在实际工作中,本科生毕业后亲自动手进行计算机网络串口通信或协议编程的机会并不多,因此我们按照网络实验课程的教学目标和实际工程需求,定义了一个三层次四模块实验内容体系,如图1所示,将计算机网络实验划分为基础型实验、网络基础原理实验/网络配置实验、综合创新型实验三层次四个模块,如表1所示。
4.Internet服务配置与应用 为完成后续实验奠定扎实的理论基础,是整个计算机网络课程的基础实验,要求所有学生必须完成并熟练掌握。 Windows系统
网络配置实验 1.交换机配置
2.VLAN配置
3.路由器基本配置及静态路由协议
4.动态路由协议(RIP、OSPF、IGRP)
5.访问控制与NAT的配置
6.广域网仿真实验 涉及组建和管理中小型局域网所需要的基础知识,是网络实验的重点,是培养学生灵活运用理论知识规划、构建与维护网络的能力,增强实际动手能力的重要内容。 网络配置仿真软件(Boson Netsim等)
网络基础原理实验 1.网络数据包捕获
2.网络流量监控
3.网络协议分析(包括HTTP、FTP、DNS、TCP、ICMP、IP、ARP等重要TCP/IP协议簇中协议) 侧重对理论、协议的分析,加深对网络原理的理解,提高研究能力。利用抓包软件和协议分析器,直观地将复杂抽象的网络协议与实际应用结合起来展现在学生面前,加深对理论知识的理解。 网络协议分析器(ethereal、sniffer、tcpdum等)
综合创新型实验 1.网络组建方案的综合设计与实施
2.防火墙、入侵检测系统的构建与实施
3.网络协议分析评估和改进
4.网络安全程序设计 以科学问题、实际工程问题为导向,以知识的综合运用和提高综合创新能力为目的,作为能力提高部分,可课外选修。 网络配置仿真软件、网络仿真器(NS2)、协议分析软件
3虚实结合网络实验平台的搭建
我们根据实验内容和实验条件采用不同的实验方式,尤其是对实验环境要求较高的实验,安排真实环境和模拟环境两种实验方式,虚实结合,互相促进。
例如,在网络基础实验中,每名学生使用一台PC机,可以完成网络数据包的捕获、协议分析等实验环节。通过简单组网,采用开源软件ethereal与科来网络分析系统、sniffer、etherpeek等作为网络原理协议分析的工具软件。在抓包过程中,学生能更好地体验到网络原理课讲到的TCP三次握手协议、IP包分段等较为晦涩难懂的内容。数据包的捕获与分析可以帮助学生很好地理解各层之间的关系、网络节点通信的具体过程、数据帧的封装传输过程等,培养学生解决问题的能力。
在网络配置型实验中,不可能为每个学生提供交换机或路由器,因此可以考虑使用模拟软件(如Bonson Netsim)完成实验内容[2]。Netsim软件主要提供Cisco(思科)系列路由器和交换机,且界面和操作过程、结果与真实环境极其相似,学生在模拟的交换机或路由器上配置时,就像对真实的设备配置一样。
此外,使用Boson Netsim等模拟软件进行网络配置实验教学,还给教师提供了演示实验的可能性。教师在课堂上使用模拟软件进行演示讲解,课后学生独立上机模拟,每个学生都能自己动手配置,加深对实验原理的理解,提高操作的熟练程度,最后在网络实验室亲自动手搭建拓扑,配置网络。这种教学模式极大缩减了真实环境下的操作时间,提高实验效率,并有利于知识从抽象到具体的转化。
采用模拟器提供的保存和重新载入实验配置功能,有利于学生课后复习、积极思考,对消化理解网络协议和原理有很大的帮助,反过来又促进了理论教学。作为课后选修提高部分的综合创新型实验,采用模拟器完成实验,既方便了学生学习,又简化了实验室管理难度。另外,采用模拟器仿真也为网络实验考核方式改革提供了新的思路,学生可独立完成组网方案设计和配置的全过程,教师可全面考察学生对知识掌握的熟练程度。但要注意的是,采用基于仿真软件的教学方案,并不是将已有的设备淘汰,而是相互结合,取长补短,共同完成实验教学[3]。
3.1仿真实验设计与配置
下面就以路由器动态路由协议RIP的配置为例,说明如何将模拟软件与实际实验环境相结合,提高教学效率,增强教学效果。
3.1.1搭建模拟拓扑图
在Boson Network Designer中模仿真实网络实验机房拓扑结构搭建的拓扑图如图2所示。
图2仿真实验模拟拓扑图
3.1.2配置拓扑结构
1) 配置PC机参数并检验网络连通性。对图1模拟器中的两台PC,分别配置IP地址和子网掩码。在PC1的命令提示符下键入winip,在打开的窗口中配置PC1的IP地址,如图3所示。类似地,配置PC2相关参数。完成后可以用ping命令检验网络的连通性。此时,两台PC机是相互ping不通的,这与真实交换机环境得到的结果相同。
2) 配置路由器接口基本参数,启用并配置RIP动态路由协议[4]。首先在路由器Router1中分别进入E0/0、E0/1端口配置模式,用“ip address ip-address netmask”命令配置端口IP地址和子网掩码。用“clock rate 64000”设置时钟频率,用“router rip”命令启用RIP协议,用“network 网络号”命令配置参与RIP协议的网络。同理,在路由器Router2中作类似配置。本步骤的重点是让学生掌握各个语句的含义,理解各种配置的原因。至此,所有配置工作已完毕,剩下的工作是检验配置是否和理论相符。
3) 查看路由协议配置。在路由器Router1、Router2中,利用命令“show ip route”分别查看路由表,可以看到Router1、Router2都自动学习了各个网段的路由信息,如图4和图5所示。
这一步骤容易被忽视,但对学生理解各路由协议的工作原理十分重要,使学生明白各命令显示结果的含义。用ping命令检验它和PC2的连通性,结果应为PC1、PC2能互相ping通了。
4结语
虚实结合的计算机网络实验教学模式使抽象的网络原理更加形象,更易于学生理解,教学效果明显
优于直接在机房真实环境下的操作实验。该模式可以有效解决网络实验室建设中的设备短缺、课时紧张等问题,是对传统网络实验教学的有益补充。
参考文献:
[1] 符发,邢诒杏,陈静. 计算机网络实验教学改革[J]. 实验科学与技术,2007(6):80-82.
[2] 李俊娥. 计算机网络基础实验教程[M]. 武汉:武汉大学出版社,2007:261-268.
[3] 李娜,傅骞. 利用模拟软件改进高校计算机网络实验教学内容的初步实现[J]. 现代教育技术,2007,17(7):103-105.
[4] 张基温. 计算机网络实验与实践教程[M]. 北京:清华大学出版社,2005:35-39.
Discussion of Innovating Computer Network Experiment Teaching Model
LIU Chan-juan
(School of Information Science and Engineering, Ludong University, Yantai 264025, China)
网络合理化建议篇(4)
在24日上午的大会上,工信部党组书记、部长苗圩作了题为《稳增长、调结构、促融合、实施中国制造2025,建设制造强国网络强国》的工作报告。
会议提出2016年主要预期目标是,规模以上工业增加值增长6%左右、能耗降低4%,单位工业增加值用水量降低4.5%。电信业、互联网行业、软件和信息技术服务业收入分别增长3%、25%和14%左右。
提速降费 行业转型
会议要求重点抓好供给质量和效率,努力保持工业平稳运行。分业施策调整存量,加快传统产业优化升级。坚持创新引领发展,培育壮大高端制造业。瞄准智能制造主攻方向,推动两化深度融合发展等八个方面工作。
其中,提速降费、信息通信业转型也成为明年工作重点。会议提出制定高速宽带网络建设和提速降费年度行动方案,力争2016年基本实现所有设区城市光纤网络全覆盖,20M以上高速宽带用户比例超过50%,4G用户达到6亿户。
2015年提速降费工作成效显著。5月国务院常务会议审议通过了《关于加快高速宽带网络建设推动网络提速降费的指导意见》,工信部全力推动网络提速降费方案的落地实施。在网络提速方面,城市光网覆盖能力持续提升,四川省率先建成“全光网省”,全国平均接入速率达17.8Mbps,是2014年年底的2.7倍。
在网络降费方面,三家电信运营商推出了面向所有用户的套餐内流量当月不清零等多项优惠措施,取消了京津冀漫游费和长途费,降低了热点国家国际漫游资费。截至10月底,固定宽带单位带宽资费水平相比去年年底下降50.6%,移动流量平均资费水平下降39.3%,超额完成了《指导意见》年度目标。
会议提出,实施电信普遍服务补偿机制试点,推进基础电信企业深度合作共享,实现1万个行政村通宽带和2万个行政村光纤化升级改造。继续推进“宽带中国”示范城市创建,落实通信基础设施纳入城乡规划工作。
2015年,电信普遍服务机制趋于完善、投标管理力度加强。国务院第108次常务会议审议通过推进电信普遍服务的工作,充分发挥地方政府和企业的积极性,形成中央政府、地方政府和相关企业共同促进农村宽带建设的格局。
会议提出,组织落实三网融合推广方案,稳步推动三网融合业务分期分批扩大至全国。
会议提出,积极稳妥推进电信领域开放发展。出台移动转售业务正式商用政策,深化宽带接入市场开放试点。
2015年工信部扎实推进移动通信转售开放试点,推动三家基础电信企业降低转售批发价格,为正式商用做好准备。截至目前,共有39家民营转售企业正式放号,累计发展用户超过1500万户。不断加大宽带接入市场开放力度,不断扩大试点范围,分三批将26个省份的61个城市纳入宽带接入网业务开放试点城市。同时,积极稳妥推进电信领域对外开放,指导上海落实好上海自贸区电信领域进一步对外开放相关措施。
加强管理 改革创新
会议提出,加强互联网行业管理,提升网络与信息安全保障能力。推动尽快出台加强和改进互联网行业管理、促进互联网产业健康发展的指导意见。抓好新版电信业务分类目录的实施,试办新型电信业务管理办法。深入开展不良网络信息和网络环境综合治理,实施网站安全专项整治、打击治理通信信息诈骗等专项行动。进一步规范电信和互联网等企业经营和竞争行为,探索建立互联网市场主体信用评价体系。深化基础电信企业安全责任考核。
会议提出,加强统筹协调和改革创新,营造行业发展的良好环境。精心编制工业通信业领域“十三五”规划。积极稳妥推进国防科技工业管理体制改革、军工科研院所分类改革,扎实推进电信业放开竞争性业务试点。持续推进简政放权、放管结合、优化服务,推行权力清单、负面清单、责任清单。突出抓好无线电管理条例、电信法、中小企业促进法、稀有金属管理条例等的制修订及宣贯。务实推进国际产能和装备制造合作。创新行业管理方式,推动产业政策加快向普惠性、功能性、结构性转变。
2016年信息通信
重点工作
实施宽带网络提速降费行动,推进信息通信业转型发展。
实施电信普遍服务补偿机制试点,推进基础电信企业深度合作共享。
稳步推动三网融合业务分期分批扩大至全国。
积极稳妥推进电信领域开放发展。
有序推进工业互联网发展。
科学配置与合理利用无线电频谱资源。
尽快出台加强和改进互联网行业管理、促进互联网产业健康发展的指导意见。
强化服务质量监管和用户权益保护。
进一步规范电信和互联网等企业经营和竞争行为,探索建立互联网市场主体信用评价体系。
网络合理化建议篇(5)
【关键字】 综合数据网 网络拓扑 OSPF区域
随着电网建设及电力信息化业务的飞速发展,综合数据网承载了越来越多的业务,包括唐山公司信息办公、95598工单派放、行政办公电话、变电站视频监控、电视电话会议、调度容灾电话、县公司配网抢修以及电厂数据传送等众多重要业务,在电力生产及管理中发挥着不可替代的作用,对网络的实时性、可靠性、安全性提出了更高的要求。
一、网络现状
唐山地区综合数据网建设于2006年,由三层结构组成,分为核心层、汇聚层和接入层。核心层汇聚层设备为juniper M120,采用双上联方式互联;接入层单上联到就近的220kV变电站。所有设备均采用光纤直连方式进行连接。
唐山地区综合数据网采用IP地址为私网地址,互联协议采用OSPF协议,其OSPF区域为Area 10,两台路由反射设备为Area 0,采用BGP和MPLS VPN协议进行业务传输。
二、存在主要问题
由于唐山地区综合数据网投运时资源有限以及先期规问题,几项重要问题急需解决。
1)网络结构问题。主要表现在核心层在唐山地区南部单上联,造成个别设备存在传输瓶颈,一台设备中断影响其下端的汇聚层和接入层设备。110kV设备采用单上联结构,其上联的220kV设备中断,会影响下联的多个站点,网络可靠性低。一些站点核心层直接下联接入层设备,造成网络层次混乱。
2)设备老化问题。唐山综合数据网于2006年建设,核心汇聚设备目前大多运行时间为9年左右,已经达到8年的运行年限,Juniper m120引擎故障、PIC板卡故障频发,备品备件昂贵。
3)IP地址问题。前期网络建设过程中应用的互联地址为172网段的私网地址,在和国网公司数据网络进行互联过程出现地址冲突,需要优化为国网公司统一规划的地址。
4)网络区域问题。目前冀北地区在一个自制域系统中,按照以冀北为Area 0 为核心进行组网,唐山地区所有设备均在Area10区域,随着设备的不断增加,路由条目已经达到6000多条,收敛速度非常慢。且一个地市路由出现问题,会影响其他地市,造成网络震荡范围大,故障排查困难。
5)网络带宽问题。随着业务承载的不断增多,尤其是网络大学、视频软终端高质量、高带宽业务,造成对承载网带宽要求逐步提高,考虑到网络扩展需求,需要核心层从千兆组网向万兆组网迈进。
三、网络优化思路
3.1拓扑和带宽设计
重新规划网络结构,核心层采用网状结构进行万兆组网,骨干层和接入层采用千兆组网,接入层根据实际环境采用千兆或者百兆组网,有效的保证了网络的健壮性。
3.2 网络协议
唐山地区仍然采用OSPF协议作为唐山地区的IGP互联协议,在唐山地区核心和汇聚层划分为AREA 0区域,其他地区按照区域进行划分。
3.3 IP地址
按照国网公司统一要求的IP地址,进行IP地址梳理和更改。loopback地址和链路地址按照区域划分,按照从最大地址向下延续的方法进行地址分配,保证访问控制等策略能够有效部署。
四、网络改造实施方案
4.1站点改造实施步骤
由于目前综合网承载着业务,所以优化改造过程中需要保证不影响业务的正常应用。经过合理安排,网络优化步骤采取以下几个步骤:
1)进行新设备安装和网络调试。建设过程中,首先进行新建网络的联调,不合运行网络互联,在建设和网络测试过程中减小对运行网络的影响。
2)进行新设备网络和老设备网络在核心层对接,
3)进行业务割接工作;
4)利旧设备迁移到新建网络;
5)进行老设备退运,最终形成优化完成后网络。
4.2利旧站点IP地址更改过程
利旧设备IP地址更改采用网管侧远程修改方案。双链路的设备采用首先更改一条互联链路的IP地址的方式,可以有效保证能够有效登陆设备方法;单链路设备本次优化改造过程中进行了双链路改造,方法首先进行新增链路的操作,再进行利旧链路IP地址的修改工作。
结束语:文章对唐山地区综合数据网存在的结构不合理、IP地址为私网地址、区域划分过大、设备老化等问题进行优化改造,有效地提升了网络带宽及运行可靠性。
参 考 文 献
网络合理化建议篇(6)
关键词:网络工程管理多媒体视频会议
经过20多年的发展,特别是互联网的迅速普及,我国工程管理产业已经进入信息化阶段,所有活动都离不开数字化、电子化,这已经成为普遍要求和发展趋势。网络应用于各个方面,为它们的发展进程提供了便利。同样,网络时代的工程管理也有了新的面貌。工程管理的一个重要方面是确保工程安全,因而工程风险与工程保险成为其重要部分。本文就工程角度和管理角度分别谈谈网络对其的影响。然后举例说明多媒体技术在工程管理中的应用。
首先就工程角度看,分为工程施工与安全、工程风险与评估两方面。
工程施工与安全:工程安全在世界各国都是一个受到普遍关注的重要问题。我国的工程建设规模巨大,但建设管理水平参差不齐。作为国民经济的支柱产业,不断改善建筑工人的安全生产状况,提高建筑安全生产水平,保障建筑工人的生命安全,是建筑工程管理的重要目标。对于任何一个企业而言,我们都绝对相信产品的质量是取得消费者认可的核心,而对于施工工程管理项目而言,企业在注重自己工程产品质量的同事更关注安全管理问题,因为对于企业而言,其安全施工能力和制度执行程度是体现企业文化和管理能力的重要体现,所以企业安全管理往往是分公司和部门年底业绩考核的重要内容。
建筑业的从业人员中有90%的来自农村,又都是在建筑施工中的一线操作人员,这些一线操作工人的素质和受文化教育的程度是相当低的,造成了安全防范意识淡薄,安全技能低下,从而导致一线操作人员伤亡事故屡屡发生。通过网络资源,可以对施工人员进行安全教育、对施工现场管理人员进行监督等等,进而减少安全事故的发生。
工程风险与评估:工程风险是工程管必须要考虑的一项预估。它遵循一定的原则。一是系统原则。即本着系统性原则进行风险估计,主要从已识别风险的整体考虑,保证既能全面地估计风险,又有重点地估计风险。二是谨慎性原则。风险估计的结论将影响风险处置设施的选择,因而风险估计很重要,应谨慎估计,不要不合理地低估风险。三是相对性原则多数风险估计方法得出的结论是相对的,即一种风险的大小是相对本风险系统内的其他风险因素对风险目标的影响程度而言的。四是定性估计与定量估计相结合的原则。风险估计结果既可以用绝对数或相对数等确定量表示,也可以用大、较大等模糊量表示。不同的风险评估方法将得到不同形式的风险评估结果。
在知识化、网络化与全球化的信息时代,新市场新观念不断涌现,这蕴含着对企业的核心能力和经营方式的新思考。可以用集中的数据库将与施工安全的信心全面、有机地联系起来,有效地减少信息更新和查找的重复劳动,保证信息的相容性,实现信息共享,从而大大提高工作效率,使原来不可能提供的分析报告成为可能,将依赖于人的过程改为依赖于计算机的过程。
现在,我们可以通过网络资源来减少安全事故的发生。企业的各项措施都通过网络资源实现一体化。综合用运多种风险评估方法有助于从不同侧面反映风险,综合运用各项评估方法只需聘请相关专业人员,进行多媒体资源的操作即可,便捷有力
其次,举例说明网络资源在管理当中的应用。
为了切实推动工程管理工作模式的转变,实现管理信息的准确及时下达。按照“统一规戈 、资源共享、平台共用”的建设原则。我们可以利用当今的计算机、网络、多媒体等多项最新技术。组建基于互联网络平台的远程视频会议系统。这样可以大幅度节省了资源.提高了日常工作效率。为水利工程管理的正常、高速运转提供了良好的技术保障。
以多媒体视频会议系统为例说明。
多媒体视频会议系统是以处办公因特网为平台。利用网络摄像机以及计算机、视频会议软件等设备,组建实现多点间即时视频会议的系。可用于召开视频会议、进行多方视频通信、组织协同工作等。该系统操作简便、人机界面友好 系统具有较强的会议管理功能。只要可以接入因特网,装上多媒体视频会议系统,就可以加入到系统中,和已经在系统中的人一起,像在一个办公室一样可以实时交互的协同办公。
多媒体视频会议系统应用效果如下:
1、节约资源。
多媒体视频会议系统使用多媒体设备及网络作为媒介,建立起一个协同工作的环境,实现跨区域的双向交流它可以做到随时有事,随时由一个人发起或主持召集会议,可以有多个人参加,让地域分散的群体利用计算机及其网络共同协调与协作,来及时快捷传递会议精神、部署工作安排。它可以使用图形、音频、视频、文字信息等多种方式进行交流,不需要专门的会议场所和专职的会务人员。
2、节省开支。
视频会议系统能够改善人们进行信息交流的方式,消除或减少人们在时间和空间上的相互分隔的障碍,使与会人员在单位会议室或自己的办公室里,就可以参与各种会议,进行实时的、面对面的多向交流。。
3、提高工作效率。
视频会议中的信息是以光速传播的,这就为信息的快速交流,领导的快速决策提供了可靠的工具视频会议系统的远程沟通功能,满足了沟通的多元性、即时性需求,解决了地理距离所造成的障碍问题,节省工作人员的时间和精力,提高群体工作质量和整体效率。
4、实现远程协同办公。多媒体视频会议的协同办公功能,提供了除会议沟通外的点对点通讯和信息化办公功能协同办公模块支持通过多媒体通讯功能快速建立点对点音频视频通讯,并支持建立远程电子白板、文件传输、远程控制和协助等跨网关高级应用,使协同办公得心应手:协同办公模块中内部信息、工作日志、备忘录、程序共享和文件共享等常用功能让工程管理工作更加有序、高效。
总之,随着网络的普及,计算机已经渗入到社会生活的各个领域,加上应用软件的日益智能化,使得越来越多的人可以随心所欲地从网上取得信息。工程管理作为其中的一部分,不仅要紧跟时代潮流,逐步实现应用网络办公、施工,提升效率、尽快获得信息的同时还可以减少不必要的安全事故。
进一步发展后,我们工程管理可以利用网络时代的特点实现
(1)网络供应连接:包括内部供应链、产业供应链、全球网络供应来能链。
(2)网络采购与生产管理:采用电子采购可以进行市场信息搜索,扩展企业参与机会和范围,支持企业将战略伙伴关系的建立,提高采购效率,规范采购流程。
(3)人力资源管理:人力资源计划属于派生需求计划,人力资源部门可以对内部人员做好相应的培训和职业生涯规划,同时利用外部人力资源市场进行人员招聘,为企业做好人员储备,尤其是管理人员和技术人员的储备。
网络合理化建议篇(7)
【关键词】SCADA系统;信息安全
成品油管道输送过程中高度的自动化工业控制手段是确保管道安全、稳定输送成品油的前提,近年来为了实现实时数据采集与生产控制,满足“两化融合”的需求和管理的方便,工业控制系统和企业管理系统往往需要直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统也面临着来自Internet的威胁。因此建立成品油管道企业SCADA系统的安全防护体系和安全模型,对确保SCADA系统安全稳定运行,加速实现“数字化管道”的进程具有重要的现实意义,是当前管道企业自动化控制系统建设中亟待解决的大问题。
一、华南管网生产网现状及特点
销售华南分公司作为石化企业最长的成品油长输管道,典型的资金和技术密集型企业,负责西南及珠三角3千多公里的成品油输送业务,管道全线由国际上先进的SCADA系统完成对输油管道生产过程的数据采集、监视、水击保护与控制,批量计划、批次编排与输送,管道泄漏检测与定位等任务。华南管网的生产运行以调控中心操作控制为主,管道生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,生产管理上更注重安全和平稳运行。SCADA控制网络由DCS、PLC和SCADA等控制系统构成,生产网在数据采集方面,采用开放性设计。开放性设计是当今系统设计的基本要求,它要求计算机软硬件厂家共同遵守通用的国际标准,以实现不同厂家设备之间的通讯。整个华南管网SCADA系统采用OPC协议、IEC 104协议、Modbus协议等通用标准接口与几十家甚至上百家的第三方设备通讯,采集足够的管线运行参数,如液位、温度、电气、阴保、密度等信号,确保对管线的有效监控。具体架构见图1所示。
在通信方式上,为确保监控数据及时、准确、安全的传输,采用沿管线敷设通信光缆线路方式,建立基于光同步数字传输系统下多业务传输平台(MSTP)的综合性通信网络,通过MSTP通信信道(主用信道)和公网SDH 2M信道(备用信道)方式进行数据传输和保护,以实现对沿线站场及线路SCADA实施远距离的数据采集、监视控制、安全保护和统一调度管理。在数据交换上,采用思科路由交换设备构建,使用EIGRP路由协议作为主干路由协议,负责整个网络的路由计算,具体网络拓扑见图2。
二、生产网络安全隐患分析
1.操作系统安全漏洞
目前公司主要采用通用计算机(PC)+Windows的技术架构,操作系统使用WINDOWS SERVER 2003、WINDOWS SERVER 2008。当今的DCS厂商更强调开放系统集成性,各DCS厂商不再把开发组态软件或制造各种硬件单元视为核心技术,而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式。这一思路的转变使得现代DCS的操作站完全呈现PC化与Windows化的趋势。PC+Windows的技术架构现已成为控制系统操作站(HMI)的主流,任何一个版本的Windows自以来都在不停的漏洞补丁,为保证过程控制系统相对的独立性,现场工程师通常在系统正式运行后不会对Windows平台打任何补丁,更为重要的是打过补丁的操作系统没有经过制造商测试,存在安全运行风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成Windows平台乃至控制网络的瘫痪。
2.网络通信协议存在安全漏洞
OPC协议、Modbus协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPCClassic协议(OPCDA,OPCHAD和OPCA&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
3.杀毒软件漏洞
为了保证工控应用软件的可用性及稳定性,目前部分工控系统操作站不安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,这容易导致大规模的病毒攻击,特别是新病毒。
4.应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
5.缺乏有效的网络监控手段
缺乏统一的网络和业务系统监控平台,主要体现在以下四个方面。
第一是随着生产网络不断拓宽,对网络的依赖越来越大,要求对网络管理的内容日趋增多,包括网络管理、性能管理、应用管理、使用管理、安全系统等内容。第二是业务服务的规模增大,规划、维护、安全、管理等分工更加细致,管理迫切要求对业务服务管理和维护建立统一的、规范的、体系化的、层次化的服务管理。第三是多设备、多系统的运行信息、告警信息的多样化,需要对这些信息进行集中化的管理,进行智能化的分析、统计,得出有利于网络管理和维护的数据,便于更有效、更快捷的解决问题。第四是管理人员不断增多,管理流程日益复杂,管理成本不断上升,技术管理体系需要完善。
6.网络未有效隔离
公司生产网与Internet网间缺乏安全有效的隔离。随着互联网日新月异的发展和企业集团信息化整合的加强,中石化总部提出了生产数据集中采集,通过广域网实现集团内部资源共享、统一集团管理的需求,企业信息化网络不再是单纯意义上的Intranet,而Internet接入也成为必然。Internet接入减弱了控制系统、SCADA等系统与外界的隔离,容易造成蠕虫、木马等病毒的威胁向工业控制系统扩散。
7.缺乏有效的访问控制手段
操作站(PC)和服务器提供了过多的硬件接口,光盘、移动硬盘等存储介质未经安全检测就使用给网络安全带来了隐患;笔记本电脑等非生产终端设备未经过准入许可,通过网络节点接入后,在未授权的情况下便可以访问和操控控制网络系统,也存在安全隐患。
三、生产网络安全方案设计原则
针对以上存在的安全隐患,通过目前大型企业网络设计及建设经验,结合生产网络的特点,生产网络系统在安全方案设计、规划过程中,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等,这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设初期就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
分步实施原则:由于网络系统及其应用扩展范围广,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
四、生产网络安全保障的主要方法和措施
华南管网生产网的安全建设前提必须是确保生产应用系统的正常稳定,由于目前控制系统应用软件对网络稳定性及计算机性能要求较高,安全系统建设应基于不增加系统负担,不过大占用网络带宽,不因安全设备的安装增加故障点的前提考虑,尽可能进行网络加固监控,实现对网络安全事件的“事前、事中、事后”全程监控防范。现就生产网的建设提出自己的想法和建议,基本架构及方法如图3。
1.采用网络隔离技术,实现内外网数据安全交互
隔离防护系统建设必须遵循“安全隔断、适度交换”的设计原则,当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,采用数据通道控制技术,在保证内网系统和信息安全的前提下,实现内外网之间数据的安全、快速交换。采用多重安全机制、综合防范策略,彻底避免来自操作系统、命令、协议等已知和未知的攻击。目前此类安全产品以隔离网闸为代表,通过专用硬件使两个网络在物理不连通的情况下实现数据的安全传输。
2.建立综合网管系统,全面完整掌握网络运行状况
目前生产网所要管理的资源包括网络、主机、安全、数据库、中间件、业务系统等,通过采集以上资源全部告警状态信息、配置信息及性能信息,并与通信资源库进行关联,实现对全网的拓扑管理、配置信息管理、业务管理、故障管理、性能管理等功能。为了便于运行人员快速熟悉和掌握新的统一平台的使用,广泛采用了功能菜单和图形化界面相结合的操作界面。
3.建立网络入侵检测系统
入侵检测系统IDS(Intrusion Detec-tion System)提供一种实时的检测,对网络流量中的恶意数据包进行检测,发现异常后报警并动态防御。由于考虑到生产网的可用性及稳定性,故在服务器及操作站中不加装软件防火墙及网络流量检测软件,而是根据接口流量及带宽,在各管理处及输油站网络的交换机上链路出口、核心交换汇聚接口及与外网连接接口均部署IDS。为避免因设备故障影响网络通断,将IDS以旁路并联方式连接到网络中,对路由器或交换机做端口镜像,将需要监控的端口流量镜像后传输IDS后进行分析,最终通过IDS服务器完成集中监控、策略统一配置和报表综合管理等功能,实现从事前警告、事中防护到事后取证的一体化监控。
4.建立严格的准入控制
针对接入层用户的安全威胁,特别是来自应用层面的安全隐患,防止黑客对核心层设备及服务器的攻击,我们必须在接入层设置强大的安全屏障,从网络接入端点的安全控制入手,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力,并严格控制终端用户的网络使用行为,保护网络安全。整个系统应包括准入控制手段、控制支撑、控制决策和应用接口4个层面。
5.通过桌面安全实现补丁及防病毒软件升级
操作站及服务器等PC设备考虑到生产网的安全,不直接Internet直接下载操作系统补丁及防病毒软件补丁,而在生产网内部建立桌面安全系统与外网连接,通过桌面安全系统实现对公司生产网内PC机的控制管理,从应用程序管理、外设管理、软件分发、补丁管理、文件操作审计、远程管理等多方面对PC机各种资源要素进行全程控制、保护和审计。确保桌面计算机运行的可靠性、完整性和安全性,提高PC机维护效率,从而达到自动化管理和信息安全监控的整体目的。
五、结论
随着计算机技术的发展,计算机病毒制造技术和黑客攻击技术也在不断的发展变化,越来越多的安全事件的发生,我国的工业基础设施面临着前所未有的安全挑战。虽然我们在生产网安全建设和防范过程中积累了一定经验,但我们仍需研究和探索,不断学习和掌握日新月异的网络安全新知识,综合运用多种安全技术来加强安全策略和安全管理,从而建立起一套真正适合企业生产网的安全网络体系。
参考文献
[1]戴宗坤.信息安全实用技术[M].重庆大学出版社,2005.
