网络安全等保解决方案精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全等保解决方案主题范文,仅供参考,欢迎阅读并收藏。
第1篇:网络安全等保解决方案范文
关键词:等级保护;方案;设计
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
Several Issues of the Level Protection Design
Qian Weixing
(People's Bank of China Branch in Suzhou City,Suzhou215011,China)
Abstract:The idea of understanding and other insurance,through insurance and other basic requirements of the specific content analysis,and other security technologies from the core,the terminal protection and security arrangements and other aspects were discussed,and the formation of a building security program design ideas,steps and areas of concern.
Keywords:Level protection;Program;Design
引言:人民银行作为央行,负责协调和指导金融业信息安全,正在开展有关符合金融业的等保标准的制订及自身等保的设计和实施,并且在信息安全的指导和监管过程中引用等报作为相关依据已经势在必行。因此,作为基层央行的科技部门,在实际工作中,如何编写一个适合本单位实际情况又符合等保要求的解决方案,我觉得应该特别关注以下几点。
一、等保的核心思想是不同业务系统分等级进行保护
它根据信息系统的重要性和受破坏后的危害性,将信息系统划分成不同的等级,不同等级有着不同的保护要求。系统越重要,受破坏后危害越大,则系统的安全等级就越高,保护的要求也就越高。等保不是“二级系统要有防火墙,三级系统要有IPS,四级系统要加密。”
等保涵盖了信息安全的方方面面,希望通过一次性安全建设就可以实现等保合规是不现实的。一次性的安全建设只能为等保合规提供基本的条件,彻底的等保合规需要在系统日常运维等方面做大量认真细致的工作。因此,笔者觉得应该从等保的思想来源和基本要求入手,结合行业特点深入分析以后,找到等保建设的要点,以等保建设要点为基础,形成全局视角,然后在全局视角下形成方案框架,并最终形成建设方案。
二、等保内容可以分为管理要求和技术要求
在等保基本要求中,网络安全、主机安全和应用安全等部分都提出了类似的安全要求(如访问控制)。但是,对不同层次的类似要求是分别实现,还是在一个安全设备上统一实现,又或者结合安全设备和服务器以及应用系统的策略配置来综合实现,并没有做具体的规定。这需要结合实际,具体分析而定。
因此,笔者以为,除了物理安全是个相对独立的部分,可以单独设计外,应着眼实现等保合规的统一安全技术框架,在此框架之上,通过各种安全策略配置或者其它安全管理手段实现各种安全目标,核心就是将安全策略与设备部署分开,一个设备可能需要实现很多种不同目的的安全策略,而一个具体的安全策略也可能会在不同的设备上实现。
三、等保的核心思想是不同业务系统分等级保护
其基本要求的内容是对某一个具体的业务系统的安全要求,而实际网络中不可能只有一个业务系统,对于多个业务系统,会有不同的安全级别,完全的独立保护是不现实的。一方面,业务系统之间必然存在数据共享和交互,否则就是一个一个的信息孤岛,与信息化建设的基本目标背道而驰。另一方面,各自独立保护所需要付出的代价也是巨大的,远远超出了实际承受能力。
解决这一矛盾的手段是分域保护,除安全级别特别高的业务系统需要与其他系统进行物理隔离,单独保护之外,可以将其它不同的业务系统划分在不同的安全域中分别保护。安全域应采用纵向结构,应包含某一业务所需要的终端、网路、服务器、存储等全部内容。不同的安全域之间进行逻辑上的隔离,分别予以保护。同时,各个安全域共享统一的基础网络架构,以实现互联互通并降低整体投资。
每个逻辑网络都应该具有独立的资源、网络带宽与QoS保证等。同时,需要设计共享MPLS VPN等手段,以保证业务系统之间的互联互通。
根据终端需要同时处理多业务的特性,最佳的处理方式应该为动态授权与保护,即根据其当前所处理的业务的安全等级来动态的确定安全保护强度。可采用部署准入控制(802.1x或Portal)作为具体实现,在终端接入时实现对终端的认证和安全检查,并根据认证和检查的结果将终端动态划分到某一安全域中。
四、通过上述设计以后,我们可以得到一个技术框架,并形成了基础的网络承载,它可以满足等保最基本的出发点――不同业务系统分等级保护
而在等保建设中具体应用的安全保护手段,与一般性的安全建设不会有本质的区别。如通过防火墙进行访问控制;通过IPS对L4到L7层威胁进行全面的深度防御;通过VPN/加密机实现加密访问;通过CA系统实现认证与授权等等,依然是等保建设中需要采用的具体技术手段。我们只需要将自身现状与等保规范进行对比,找到薄弱环节后提炼出技术需求,再根据技术需求汇总出产品部署需求即可。
第2篇:网络安全等保解决方案范文
近年来,随着我国社会经济的不断发展,国家对教育事业的支持和投入不断增加,我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段,为教育模式的创新、先进教育理念提供了可靠的实现方法。
高校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等;大学数字化校园建设通常先提出总体解决方案,确定数字化校园的体系结构,制定数字化校园的信息标准,以及各系统之间的接口标准,然后分阶段实施。建立全校的网络安全体系,保证校园网络的安全,保证关键数据、关键应用的安全以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行。
1教育信息化中的安全体系建设
在教育信息化建设过程中,信息安全体系是保障教育信息系统的信息完整、系统可用和信息保密的重要支撑体系,对各级学校、职业教育、教育主管机构的正常工作起到了至关重要的保障作用。各级教育主管部门对教育信息系统的安全体系建设给予了充分的重视,也是由于教育信息系统的复杂性、多样性、异构性和应用环境的开放性,给整个信息系统带来了巨大安全威胁。以高校数字校园信息系统为例,高校数字校园信息系统的建设是由高校业务需求驱动的,初始的建设大多没有统一规划,有些系统是独立的网络,有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。当前高校网络系统是一个庞大复杂的系统,在支撑高校业务运营、发展的同时,信息系统面临的信息安全威胁也在不断增长、被发现的脆弱性或弱点越来越多、信息安全风险日益突出,成为高校面临的重要的、急需解决的问题之一。在进行数字化校园建设的过程中,也曾发生不少信息安全事件,如某高校数据中心一台服务器被黑客入侵,成为肉鸡,被植入僵尸木马程序,受黑客控制疯狂往外网发包,导致学校网络出口瘫痪;某高校在高招中发现网站被挂马、篡改,并且学校内部也曾经发现学生成绩的数据库,有被恶意篡改的痕迹。
2网络安全威胁分析
(1)高校网站的安全威胁,包括高校门户网站、高校招生网站、二级各院系等网站,由于高考、招生、学生就业等敏感时期,聚集了大量的学生及家长访问流量,也引起黑客的关注,高校网站面临的主要安全威胁有:网页被挂马、被篡改,黑客通过SQL注入、跨站脚本等攻击方式,可以轻松的拿到高校网站的管理权限,进而篡改网页代码;部分攻击者将高校网站替换成黄色网站,影响极其恶劣。每年高考招生及高校重要节日期间,高校门户网站极易被DDOS攻击,这种由互联网上发起的大量同时访问会话,导致高校网站负载加剧,无法提供正常的访问。入侵者成功获取WEB服务器的控制权限后,以该服务器为跳板,对内网进行探测扫描,发起攻击,对内网核心数据造成影响。(2)随着校园网信息化的逐步深入,业务系统众多,“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均普遍的被各大高校采用,而这些系统由于管理及防护不到位,面临着较严重的安全威胁:业务系统缺乏必要的入侵防护手段,高校网络规模扩张迅速,网络带宽及处理能力都有很大的提升,但是管理和维护人员方面的投入明显不足,没有条件管理和维护数万台计算机的安全,一旦受到黑客攻击,无法阻断攻击并发现攻击源;部分高校“一卡通”充值系统与银行互联,边界缺乏必要的隔离和审计措施,出现问题不方便定位,难以追查取证;校园网数据中心内的系统应用众多、服务器众多,管理及维护方式也不尽相同,无法做到所有的系统实施统一的漏洞管理政策。同时,对于存在安全隐患的配置检查,也缺乏自动化的高效检查工具和控制手段;业务系统权限控制不合理,有安全隐患。
3需求分析
根据对高校校园网络的威胁分析,得出在校园网络安全体系建设中,各个网络区域和业务系统的安全需求如下:
(1)校园网络出口应对可能发生的拒绝服务攻击进行有效识别、过滤、清洗,保证网络出口的畅通,保证骨干链路的负载处于正常范围之内。(2)网络出口链路应有相应措施,对来源于公网或内网的黑客入侵、病毒传播等安全威胁进行实时识别与阻断。(3)DMZ区及内网服务器区出口链路上,应对针对WEB应用的7层攻击,如SQL注入、XSS、HTTP GET FLOOD等威胁进行全面深入的防护。(4)应对流经核心交换区域的所有流量进行深入的检测,以识别内部各网络区域之间发生的入侵事件和可疑行为。(5)应对内网用户的网络行为,如公网访问、数据库访问等进行全面的记录和审计,以满足违规事件发生后的追查取证。(6)应在不同校区之间的链路接口进行访问控制、病毒检测、入侵防护等安全控制措施。
应对全网的网络节点进行漏洞风险管理,实现漏洞预警、漏洞加固和漏洞审计的全程风险控制。(7)应对全网的网络节点进行配置合规管理,实现违规配置及时识别、配置整改全面深入、配置风险全程可控。(8)应对运维管理人员进行详细严格的权限划分,并通过技术手段控制运维行为权限,对运维行为进行全程审计,对违规运维操作进行实时告警。
4遵循等保要求
2009年11月,教育部为进一步加强教育系统信息安全工作,由办公厅印发《关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号),决定在教育系统全面开展信息安全等级保护工作;等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过等级化方法和高校信息安全体系建设有效结合,设计一套符合高校需求的信息安全保障体系,是适合我国国情、系统化地解决高校信息安全问题的一个非常有效的方法。
5网络安全建设方案
(1)在校园网出口处旁路部署抗拒绝服务攻击系统(ADS)对拒绝服务攻击流量进行清洗,并且旁路部署网络流量分析系统(NTA)对网络流量组成和DDOS攻击成分进行分析和判断。在正常环境下,旁路部署的ADS不参与网络出口流量的路由和交换,边界路由器通过NETFLOW等技术将流量信息发送给NTA,由NTA分析流量特征,判断是否遭受DDOS攻击。当发现遭受DDOS攻击时,NTA将激活ADS,由ADS向边界路由器发送针对特定防护目标IP的路由,将所有去往被攻击目标IP的流量牵引至ADS设备。ADS系统进行恶意流量的识别和清洗,将不含有攻击成分的合法流量回注至边界路由器,按正常路由路径发送至目标IP。(2)在出口链路部署入侵防护系统,对接入互联网的访问流量进行深入过滤,有效抵御源自公网的入侵威胁,消除安全风险。(3)在DMZ区和内网服务器出口处部署WEB应用防火墙,对服务器区的WEB服务器进行全方面的防护,对针对WEB站点的黑客攻击,恶意扫描、SQL注入、跨站脚本、病毒木马传播、暴力口令破解、网页篡改等攻击手段进行深入防护。保障网站、电子教务系统、一卡通系统等应用系统的正常工作。(4)在核心交换区旁路部署安全审计系统,通过将核心交换机上各端口的流量镜像到安全审计系统的监听链路,实现对流经核心交换机的网络数据进行全程的审计和过滤。通过制定详细的安全审计策略,对违反审计策略的网络行为进行实时告警。此外,安全审计系统由部署在网络运维区的安全中心进行统一监控与策略下发,并实时收集网络时间日志和告警信息。(5)在核心交换区域的出口链路部署下一代防火墙,实现出口链路的流量检测和安全过滤,保护内部网络安全。建议在核心交换区域与各个校区的网络边界处部署下一代防火墙,通过下一代防火墙对应用层攻击、病毒进行全面阻断,可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制,保证不同网络区域之间的安全防护边界完整。同时,通过安全管理区的安全管理服务器上安装安全中心对该设备进行全面的管理。
第3篇:网络安全等保解决方案范文
作者:谢建根 单位:上海电力环保设备总厂有限公司
为阻止公司内部人员抢IP地址和网络攻击,对公司网络的拓扑结构进行了改造,公司的主干网采用华三S5500SI千兆交换机,进行划分VLAN管理,VLAN按部门范围划分,不同的部门归属不同的VLAN。交换机启用防网络风暴管理,并启用安全管理策略。这样即使某个部门遭受网络攻击,最坏的后果只是这个部门的网络产生故障,不会蔓延到其它部门,不会造成整个公司的网络瘫痪。在每个部门所在VLAN的网络接入层采用华三S3600交换机,此交换机的每个端口一一对应该部门的每个用户,交换机的每个端口启用固定的IP地址、与MAC地址绑定,并实施防广播风暴等策略,从根本上杜绝用户随意修改IP地址,抢占IP地址等事件。在交换机上启用防网络攻击手段,避免遭受网络攻击,造成网络故障。采用上网行为管控设备对上网行为进行管控当互联网成为企业的必备资源,网络应用的“难管理”和“管理难”,成为管理者不可回避的问题。上班时间玩网游、下载电影、炒股票等,这些现象使得企业开始考虑,如何规范员工的上网行为,让网络帮助工作,而不是影响工作。
为更好地管理网络,一套有效的、适合企业需要的上网行为管控设备必不可少。要有效地管理公司员工的上网行为,选用的上网行为管控设备应具备以下功能:(1)有效过滤电驴、迅雷、快车等主流的P2P软件。当前,在单位内部的局域网中,一种现象是,员工在上班时间,利用各种P2P软件,如迅雷、电驴等P2P软件下载各种信息,其中大部分都是与工作无关的娱乐、电影等。这些下载行为一方面大量占用了公司的互联网资源和网络带宽;另一方面导致员工工作效率低下、工作纪律松散,不利于为企业提高经济效益。而且,如果个人下载的文件含有木马等病毒,还可能引发局域网网络风暴,导致局域网大面积断网和瘫痪,严重影响了企业的正常经营活动。(2)限制员工上班时间访问与工作无关的网站。员工上班时间浏览各种门户网站、娱乐网站、游戏网站、在线视频网站等,严重影响了工作效率。(3)禁止登录各种聊天软件。一方面可以禁止员工利用聊天软件聊天而浪费工作时间,另一方面也可以防止员工使用聊天软件将公司的商业机密传输出去。(4)对各工作组进行流量控制。互联网的带宽资源是有限的,为了合理使用互联网带宽,按部门划分工作组,对各工作组设置相应的互联网带宽和访问策略。深信服M5100AC上网行为管控设备具备以上功能,可在网页过滤、行为控制、流量管理、互联网访问行为记录、上网安全等多个方面提供最有效的解决方案。我公司为规范员工的上网行为,决定采用深信服M5100AC上网行为管控设备,对公司员工的上网行为进行管理。根据部门进行划分工作组管理,对每个工作组进行上网流量控制,由于不同工作组因工作需求不一,上网权限、上网带宽和策略也不一样。如,财务部门可以开通网上银行,采购部门可以开通购物网站,设计部门因要收发附件较大的电子邮件,其上网带宽应该设置大一些等。但是对股票、游戏、BT下载等与工作无关的应用在所有工作组都禁止使用。
部署网络版防病毒软件,加固互联网接入安全在互联网接入处安装诺基亚IP390防火墙和深信服M5100AC上网行为管控设备,并启用管控策略。一方面是对互联网入口入侵进行防控,防止外网黑客攻击;另一方面是规范员工的上网行为,禁止进行工作无关的上网行为。为了防止网络受到病毒攻击,部署江民网络版防病毒软件,及时更新升级,定期对操作系统杀毒,确保操作系统的安全。 制定切实可行的网络管理制度,确保公司网络安全为确保整个网络安全正常有效地运行,有必要对公司网络进行全面的分析和研究,制定出一套满足公司网络实际安全需要,切实可行的安全管理制度。对相关网络管理人员进行培训,对员工进行网络道德教育,提高网络安全意识;对操作系统及时更新补丁,并修补系统漏洞,对重要文件要进行备份。从多方面进行防范,尽一切可能去制止、减少非法的访问和操作,把企业网络的不安全因素降到最低。计算机网络的应用正处于一个飞速发展的时期,网络的规模越来越大,网络的复杂程度也越来越高。为适应网络不断发展的需要,在组建计算机网络时必须高度重视网络管理的重要性,重点从网络管理技术和网络管理策略设计两大方面全面规划,设计好网络管理的方方面面,以确保网络系统高效、安全地运行。
第4篇:网络安全等保解决方案范文
行业云走向前台
在云计算被热炒并发展的这几年,公有云和私有云技术已经为企业级客户和IT服务商所熟知。而近期,一批以“行业云”命名的云服务在IT业内兴起。那么,行业云与公有云有何不同?难道是对公有云的一次炒作?
追根溯源,这一概念的最先提出者IT解决方案提供商浪潮给出了标准答案。“行业云就是由行业内或某个区域内起主导作用或者掌握关键资源的组织建立和维护,以公开或者半公开的方式,向行业内部或相关组织和公众提供有偿或无偿服务的云平台。”目前的浪潮已将行业云定义为其云计算业务的战略市场。
那么,行业云与公有云的主要区别在哪里?“区别就在数据的来源及服务提供商的核心竞争力。”浪潮集团云服务总监颜亮在接受本报记者采访时表示。浪潮认为,公有云是公众使用的云平台,一般为一个专门出售云服务的机构所拥有,例如Google、百度,其特点是数据来源是公开途径,通过独有的应用,利用公开数据为客户提供服务,其算法、业务系统是核心竞争力;而行业云的数据主要来源于行业内部的核心组织,也有一部分会来自行业内部的其他成员,绝大部分是私有数据,数据是其核心竞争力。“因此,对于行业云客户来说,他们的数据不可能提供给第三方却又同时具有对云服务的需求。”颜亮解释道。
如未来质检行业需要对外提供各类商品的信息查询,但是数据又不可能交给第三方处理,所以质监系统会建立一个质检行业云,整合整个系统的信息来对外提供该类服务,类似的行业还有交通、环保等。
针对行业云的特点及该类客户的需求特性,浪潮立足山东,于今年5月末正式推出了其在行业级云服务领域的解决方案与战略布局。
浪潮实施的山东警务云服务也是典型的行业云落地应用案例。山东公安通过建设统一的警务云计算中心将警务应用系统全部迁移到“云”上。同时,利用大数据处理平台,整合公安内部数据、社会组织数据和互联网数据,打破了部门警种界限,从而为深度挖掘并关联多种信息创造条件。
政府采购安全为首
“行业级云服务出现后,对于政府和企业而言,信息系统建设完全可从传统的自己购买设备及软件变成购买服务。云计算数据中心好比一个大水库,客户可按自己需求,像拧开水龙头用水一样方便获取,有效提高IT效率并节约运营成本。同时,可以利用大数据技术,整合多方数据,创新智慧应用。云计算带来的社会资源节约是非常可观的。”来自北京市经信委原副主任阎冠表示。
目前,政府采购云服务已成为国际通行做法,各国政府积极通过政策引导、制定标准、投入资金等方式加快本国云服务的布局形成和产业发展。
浪潮行业云服务最主要的内容之一就是政务云应用。以济南市公用信息平台为依托,由浪潮投资建设运营的济南政务云,是全国首个整体服务外包的政务云,开创了“济南模式”。
据悉,浪潮还成立了专业的运营团队,以保障济南市政府53个部门、300多项业务应用在云中心的高效运行,并制定了云技术、安全标准,确定了计费、服务等规范,为“济南模式”的推广打下基础。自运行以来,济南全市年度电子政务建设及运行成本降低了30%,新建业务系统部署时间降低了50%,市级部门主要业务信息共享率达70%以上,全市社会管理和公共服务电子政务几乎实现全覆盖。
在济南政务云落地之后,起到了很好的示范效果,很多城市都将济南模式作为自身政务云顶层设计的组成部分。目前,与浪潮达成战略合作的城市已经超过30个。
“比起个人云服务,政府在涉足云服务领域时需考虑的因素更为复杂,安全性、可定制以及合规性是政府最常考虑的三大要素。”颜亮提醒政府采购云服务时,要建立在自主可控的基础上,确保政府信息系统、数据资源的安全可控。
具体来说,一方面从供应链安全角度对云服务背景和能力进行审查,并从国别、可靠性、能力等方面综合审查。另一方面对构筑云计算中心的设备、软件产品等加以限制,对来源和性能不能确保达到一定安全等级要求的产品,要限制使用,对于无法避免使用的要进行风险分析,制定安全机制和应急措施,在机制和措施建立的基础上严格审批程序,由国家认证机构确认并出具证明,报相关监管机构批准。
第5篇:网络安全等保解决方案范文
关键词:网络入侵;入侵检测系统;信息安全
中图分类号:TP311 文献标识码:A文章编号:1009-3044(2009)35-9947-05
Network Safety Technology Research
ZHENG Xiao-xia
(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)
Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.
Key words: network intrusion; intrusion detection systems; information security
1 前言
1.1 因特网的发展及其安全问题
随着计算机网络应用的广泛深入,网络安全问题变得日益复杂和突出。网络的资源共享、信息交换和分布处理提供了良好的环境,使得网络深入到社会生活的各个方面,逐步成为国家和政府机构运转的命脉和社会生活的支柱。这一方面提高了工作效率,另一方面却由于自身的复杂性和脆弱性,使其受到威胁和攻击的可能性大大增加。众所周知,因特网是世界上最大的计算机网络,它连接了全球不计其数的网络与电脑。同时因特网也是世界上最开放的系统,任何地方的电脑,只要遵守共同的协议即可加入其中。因特网的特点就是覆盖的地理范围广,资源共享程度高。由于因特网网络协议的开放性,系统的通用性,无政府的管理状态,使得因特网在极大地传播信息的同时,也面临着不可预测的威胁和攻击。网络技术越发展,对网络进攻的手段就越巧妙,越多样性。一方面由于计算机网络的开放性和信息共享促进了网络的飞速发展,另一方面也正是这种开放性以及计算机本身安全的脆弱性,导致了网络安全方面的诸多漏洞。可以说,网络安全问题将始终伴随着因特网的发展而存在。所以,网络的安全性同网络的性能、可靠性和可用性一起,成为组建、运行网络不可忽视的问题。
1.2 我国网络安全现状及其相关法律与制度
1.2.1 我国网络安全现状
2007年“熊猫烧香”病毒的制作者成功抓获并被判刑,说明了政府高度重视网络安全问题。目前,国家依据信息化建设的实际情况,制订了一系列法律文件和行政法规、规章,为我国信息化建设的发展与管理起到了有利的促进和规范作用,为依法规范和保护我国信息化建设健康有序发展提供了有利的法律依据。
1.2.2 我国网络安全相关法律与原则
2003年中办下发的《关于加强信息安全保障工作的意见》是目前我国信息安全保障方面的一个纲领性文件。
我国网络信息安全立法的原则
1)国家利益原则。当今天信息已成为社会发展的重要战略资源,信息安全成为维护国家安全和社会稳定的一个焦点。信息安全首先要体现国家利益原则。
2)一致性原则。要与在我国现行法律和国际法框架下制定的法律法规相一致,避免重复立法和分散立法,增强立法的协调性,避免立法的盲目性、随意性和相互冲突。
3)发展的原则。信息安全立法既要考虑规范行为,又要考虑促进我国国民经济和社会信息化的发展。
4)可操作性原则。要对现实有针对性,对实践有指导性。
5)优先原则。急需的先立法、先实施,如信息安全等级保护、信息安全风险评估、网络信任、信息安全监控、信息安全应急处理等方面要加紧立法。
2 网络安全协议
2.1 网络安全协议对维护网络安全的作用
Internet的开放式信息交换方式使其网络安全具有脆弱性,而实现网络安全的关键是保证整个网络系统的安全性。目前几乎网络的各个层次都指定了安全协议和具备了相应的安全技术,网络安全协议可很好的保护信息在网络中传播。在安全领域,一种“安全协议”被定义为“一种控制计算机间数据传输的安全过程。
2.1.1 第二层隧道协议(L2TP)
第2层隧道协议(L2TP)是点对点隧道协议(PPTP)的一个扩展,L2TP数据包在用户数据报协议(UDP)端口1701进行交换。ISP使用L2TP来建立VPN解决方案,使用该方案,用户可以在载波网络中更多地利用VPN的优点。由于L2TP符合国际标准,因此不同开发商所开发的L2TP设备的协同能力大大增强。L2TP VPN已经成为提供商使用的产品。在装有Cisco的网络中,端到端的服务质量(QoS)可以通过QoS技术的使用来保证IPSec负责数据加密,它同样也是一种国际标准。IPSec对每个数据包的数据进行初始认证、数据完整性检测、数据回放保护以及数据的机密性保护。从设计上来看,L2TP支持多协议传输环境,它能够使用任何路由协议进行传输,包括IP、IPX以及AppleTalk。同时,L2TP也支持任何广域网传送技术,包括帧中继、ATM、X.25或SONET,它还能够支持各种局域网媒质,如以太网、快带以太网、令牌环以及FDDI。L2TP使用因特网及其网络连接以使得终端能够颁布在各个不同的地理位置上。L2TP的最大安全之处在于它使用了IPSec,IPSec可以为连接提供机密性、数据包的认,以及保护控制信息和数据包不被重新发送。
2.1.2 IPSec的技术优势:
为数据的安全传输提供了身份验证、完整性、机密性等措施,另外它的查验和安全与它的密钥管理系统相连。因此,如果未来的密钥管理系统发生变化时,IPSec的安全机制不需要进行修改。当IPSec用于VPN网关时,就可以建立虚拟专用网。在VPN网关的连内部网的一端是一个受保护的内部网络,另一端则是不安全的外部公共网络。两个这样的VPN网关建立起一个安全通道,数据就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一条VPN。在这个VPN中,每一个具有IPSec的VPN网关都是一个网络聚合点,试图对VPN进行通信分析将会失败。
目的是VPN的所有通信都经过网关上的SA来定义加密或认证的算法和密钥等参数,即从VPN的一个网关出来的数据包只要符合安全策略,就会用相应的SA来加密或认证(加上AH或ESP报头)。整个安全传输过程由IKE控制,密钥自动生成,所有的加密和解密可由两端的网关,对保护子网内的用户而言整个过程都是透明的。
2.2 安全Shell(SSH)
安全Shell或者SSJ常用于远程登录系统,和过去使用的Telnet具有相同的目的。然而Telnet和SSH的最大区别是:SSH大大加强了其连接的安全性。SSH是一个应用程序,它为不可靠的、存在潜在危险的网络(如因特网)上的两台主机提供了一个加密的通信路径。因此,SSH防止了用户口令及其他敏感数据以明文方式在网络中传输。SSH解决了在因特网中最重要的安全问题:黑客窃取或破解口令的问题。
SSH拒绝数据IP欺骗攻击,保证能够是哪台主机发送了该数据。加密数据包,用以防止其他中间主机截取明文口令及其他数据。IP源路由选择,可以防止某台主机伪装它的上IP数据包来源于另一台可信主机。避免数据包传送路径上控制其他装置的人处理数据。SSH给安全领域带来一个很有趣的功能:即使用隧道的SSH技术转发某些数据包。FTP协议和X Windows协议都采用了这一功能。这中转发功能使SSH能够利用其他一些协议来控制主机终端与SSH连接的操作。你可能认为通过SSH连接的隧道将是一个很不错的VPN选择,但事实并非如此。一种更好的解决方案就是通过VPN连接的SSH隧道技术,因为这是一种很安全的连接发。总之,SSH是一个比较浒、用于加密网络TCP会话的工具,它最常用于远程登录以及增加网络的安全性。
3 网络安全技术
3.1 使用网络安全技术的意义
随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前。据统计资料表明,目前在互联网上大约有将近20%以上的用户曾经受过黑客的困扰。尽管黑客如此猖獗,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户,特别是企业级用户没有安装防火墙便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙引发的。
3.2 防火墙
防火墙(Firewall )技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。它是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。
3.2.1 防火墙的种类
第一:从防火墙产品形态分类,防火墙可分为3种类型:
1)软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说,这台计算机就是整个网络的网关,俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络软件版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
2)硬件防火墙
硬件防火墙是指“所谓的硬件防火墙。之所以加上”所谓“二字是针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构,也就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的UNIX、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网、外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见的四端防火墙一般将第4个端口作为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
3)芯片级防火墙
芯片级防火墙基于专门的硬件平台及专用的操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
第二:从防火墙所采用的技术不同,可分为包过滤型、型和监测型三大类型。
1)包过滤型
是防火墙的初级产品,其技术依据是网络中的他包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。优点是:简单实用,实现成本较低,在应用环境简单的情况下能够以较小的代价在一定程度上保证系统的安全。缺点是:只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
2)型
“型”防火墙也可以称为服务器,它的安全性要高于包过滤型产品,并已经开始实行向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。监测型
3)监测型
“监测型”防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,临测型防火墙有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探器,这些探测器安置在各种应用服务器和其他网络系统的节点之中,不仅检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用
第三:从网络体系结构来进行分类,可以将防火墙分为以下4种类型:
1)网络级防火墙
一般是基于源地址和目的地址、应用或协议,以及每个IP包的端口来做出通过与否的判断。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2)应用级网关
也称“型”防火墙,它检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的软件,使用时工作量大,效率不如网络级防火墙。
3)电路级网关
用来监近代受信任的客户机或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转换功能,将所有内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一睦缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
4)规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查闻讯火墙大OSI网络层上通过IP地址和端口号,过滤进出的数据包。可以在OSI应用层下检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与旅游区在用层有关的,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级在过滤数据包上更有效。
第四:从防火墙的应用部署位置来分,可将防火墙分为3种类型
1)边界防火墙
这是最为传统的那种,它们位于内、外部网络的边蜀,所起的作用是对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。
2)个人防火墙
安装于单台主机中,防护的也只是单台主机。这类防火墙应于广大的个人用户,价格最便宜,性能也最差。
3)混合式防火墙
也可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
3.2.2 防火墙中的关键技术
在实现防火墙的众多技术中,如下技术是其实现的关键技术:
3.2.2.1 包过滤技术
包过滤技术是在网络中适当的位置上对数据包实施有选择的过滤。采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据所检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。
优点:采用包过滤技术的包过滤防火墙具有明显的优点,
1)一个过滤由器协助防护整个网络
2)数据包过滤对用户透明
3)包过滤路由器速度快、效率高
缺点:通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。配置烦琐也是包过滤防火墙的一个缺点。没有一定的经验,是不可能将过滤规则配置得完美的。
3.2.2.2 应用技术
技术是针对每一个特定应用服务的控制。它作用于应用层。其具有状态性的特点,能提供部分与传输有关的状态,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它节点的直接请求。提供服务的可以是一台双宿网关,也可以是一台保垒主机。
3.2.2.3 状态检查技术
状态检查技术也称为应用层网关技术,是一种在网络层实现防火墙功能的技术。它是在应用层实现防火墙的功能,针对每一个特定应用进行检验。服务不允许直接与真正的服务通信,而是与服务器通信(用户的默认网关指向服务器)。各个应用在用户和服务之间处理所有的通信。
优点:1)易于配置。2)能生成各项记录。3)能灵活、完全地控制进出信息。4)能过滤数据内容。
缺点:1)速度比路由器慢。2)对用户不透明。3)对于每项服务,可能要求不同的服务器。4)服务通常要求对客户或过程进行限制。5)服务受协议弱点的限制。6)不能改进底层协义的安全性。
3.2.2.4 地址转换技术
地址转换技术是将一个IP地址用另一个IP地址代替。它主要应用于两个方面,其一是网络管理员希望隐藏内部网的IP地址。其二是内部网的IP地址是无效的。在此情况下,外部网不能访问内部网,而内部网之间主机可以互助访问。
3.2.2.5 内容检查技术
内容检查技术提供对高层服务协议数据的监控,以确保数据流的安全。它是一个利用智能方式来分析数据,使系统免受信息内容安全威胁的软件组合。
3.3 网络入侵检测
随着网络技术的发展,网络环境变得越来越复杂,网络攻击方式的不断翻新。网络系统的安全管理,是一个非常复检录烦琐的事情。入侵检测技术和漏洞扫描技术通过从目标系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,甚至实时地对攻击做了反应。入侵检测系统和入侵保护系统是防火墙极其有益的补充,它能对非法入侵行为进行全面的临测和防护。在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供针对内部攻击、外部攻击和误操作的实时防护,大大提高了网络的安全性。
3.3.1 入侵检测系统技术
入侵检测系统技术可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。
3.3.2 入侵检测系统
入侵检测系统的核心就是通过对系统数据的分析,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。将入侵检测的软件与硬件进行组合便是入侵检测系统。与其他安全产品不同的是入侵检测系统需要更多的智能必须可以对得到的数据进行分析,并得出有用的结果,一个合格的入侵检测系统能大大地简化管理员的工作,保证网络安全的运行。其实,入侵检测系统是一个曲型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口,无须转发任何流量,而只需要在网络上被动地、无声无息地收集它所关心的报文即可。
3.4 虚拟专用网(VPN)
VPN是目前解决信息安全问题的一个最新、最成功的技术之一。所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网络指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公有网络中建立专用的数据通信网络的技术。在虚拟专用网络中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”,通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
一个典型VPN的组成部分如图1所示。
图1各个组件作用如下:VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:可以是终端计算机也可以是路由器。隧道:数据传输通道,在其中传输的数据必须经过封装。VPN连接:在VPN连接中,数据必须经过加密。隧道协议:封装数据、管理隧道的通信标准。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享网络。
3.5 访问控制的概念
访部控制是通过一个参考监视器,在每一次用户对系统目标进行访问时,都由它来调节,包括限制合法用户的行为。访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。所有的操作系统都支持访问控制。
访问控制的两个重要过程:1)通过鉴别(authentication)来检验主体的合法身份:2)通过授权(authorization)来限制用户对资源的访问级别。访问包括读取数据,更改数据,运行程序,发起连接等。访问控制所要控制的行为有以下几类:1)读取数据;2)运行可执行文件;3)发起网络连接等。
3.5.1 访问控制应用类型
根据应用环境的不同,访问控制主要有以下三种:1)网络访问控制;2)主机、操作系统访问控制;3)应用程序访问控制。由于本文讨论的主要为网络中的访问控制。所以主机、操作系统的访问控制
及应用程序的访问控制在这里就不做讨论。网络访问控制机制应用在网络安全环境中,主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据,这就是传统的网络防火墙。此外,加密的方法也常被用来提供实现访问控制。
3.5.2 强制访问控制(MAC)
强制访问控制与自主访问控制因实现的基本理念不同,访问控制可分为强制访问控制(Mandatory accesscontrol)和自主访问控制(Discretionary access control)。用来保护系统确定的对象,对此对象用户不能进行更改。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识一个安全等级。主体(用户,进程)被分配一个安全等级,客体(文件,数据)也被分配一个安全等级。访问控制执行时对主体和客体的安全级别进行比较。
用一个例子来说明强制访问控制规则的应用,如WEB服务以“秘密”的安全级别运行。例如WEB服务器被攻击,攻击者在目标系统中以“秘密”的安全级别进行操作,他将不能访问系统中安全级为“机密”及“高密”的数据。
4 网络安全策略
4.1 网络安全系统策略
从根本意义上讲,绝对安全的网络是不可能有的。只要使用,就或多或少地存在安全问题。我们在探讨安全问题的时候,实际上是指一定程度的网络安全。一般说来,网络的安全性通常是以网络的开放性、便利性和灵活性为代价的。计算机网络信息安全是一个复杂的系统工程,国际上普遍认为:它不仅涉及到技术、设备、人员管理等范畴,还应该依法律规范作保证,只有各方面结合起来,相互弥补,不断完善,才能有效地实现网络信息安全。这里仅从技术的角度探讨网络信息安全的对策。
4.2 网络安全系统策略的制定
4.2.1 物理安全策略
物理安全的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。
4.2.2 数据链层路安全策略
数据链路层的网络安全需要保证通过网络链路传送的数据不被窃听,主要采用划分VLAN(虚拟局域网)、加密通信(远程网)等手段。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。
4.2.3 网络层安全策略
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免拦截或监听。用于解决网络层安全性问题的主要有防火墙和VPN(虚拟专用网)。防火墙是在网络边界上通过建立起恶报相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。
4.2.4 遵循“最小授权”策略
“最小授权”原则指网络中帐号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险性大大降低。
4.2.5 建立并严格执行规章制度的策略
在网络安全中,除了采用技术措施之外,制定有关规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由于一个细微的让步,最终导致了整个系统的崩溃。因此,严格执行安全管理制度是网络可靠运行的重要保障。
5 结论
当前,如何确保计算机网络的安全性是任何一个网络的设计者和管理者都极为关心的热点。由于因特网协议的开放性,使得计算机网络的接入变得十分容易。正是在这样得背景下,能够威胁到计算机网络安全的因素就非常多。因此,人们研究和开发了各种安全技术和手段,努力构建一种可靠的计算机网络安全系统。这种安全系统的构建实际上就是针对己经出现的各种威胁(或者是能够预见的潜在威胁),采用相应的安全策略与安全技术解除这些威胁对网络的破坏的过程。当然,随着计算机网络的扩大,威胁网络安全因素的变化使得这个过程是一个动态的过程。计算机网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。所以任何计算机网络安全体系一定不是可以一劳永逸地防范任何攻击的完美系统,人们力图建立的只能是一个动态的网络安全防护系统。它是一个动态加静态的防御,本文首先从多个角度研究了计算机网络的安全性,针对各种不同的威胁与攻击研究了解决它们的相应安全技术与安全协议。接下来,在一般意义下制定计算机网络安全系统设计的策略与原则,提出了计算机网络安全的实现模型。计算机网络安全取决于安全技术与网络管理两大方面。从技术角度来讲,计算机网络安全又取决于网络设备的硬件与软件两个方面,网络设备的软件和硬件互相配合才能较好地实现网络安全。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现快速的安全处理仍然将是网络安全发展的一个主要方向。另一方面,在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。除了网络安全技术,还要强调网络安全策略和管理手段的重要性。只有做到这些的综合,才能确保网络安全。本文尽管对计算机网络安全进行了较深入的研究。但是,计算机网络安全的问题是一个永久的课题,它将随着计算机技术、计算机网络的发展而一直存在、一直发展。计算机网络的威胁与计算机网络的安全防护的关系就象是“矛”和“盾”的关系一样,没有无坚不摧的矛、也没有无法攻破的盾。从理论上讲这种做法的正确的,但在具体的折中方法上就有大量的研究及实验工作可做。由于本文作者水平有限以及时间有限等的原因,本文的折中是有进一步研究和改进的必要的。总之,计算机网络安全技术是个永无止境的研究课题。
参考文献:
[1] Stallings W.网络安全要素一应用与标准[M].北京:人民邮电出版社,2000.
[2] 张小斌,严望佳.黑客分析与防范技术[M].北京:清华大学出版社,1999.
[3] 余建斌,黑客的攻击手段及用户对策[M].北京:人民邮电出版社,1998.
[4] 彭杰.计算机网络安全问题的探讨[M].现代电子技术,2002.
[5] 郝玉洁,.网络安全与防火墙技术[J].电子科技大学学报社科版,2002,4(1).
[6] 陈朝阳,潘雪增,平铃娣.新型防火墙的设计和实现[J].计算机工程,2002(11).
[7] 刘美兰,姚京松.入侵检测预警系统及其性能设计[C]//卿斯汉,冯登国.信息和通信安全CCICS'99:第1届中国信息和通信安全学术会议论文集.北京:科学出版社,2000.
[8] 陈晓苏,林军,肖道举.基于多的协同分布式入侵检测系统模型[J].华中科技大学学报:自然科学版,2002,30(2).
[9] 王惠芳.虚拟专用网的设计及安全性分析[J].计算机工程,2001(6).
第6篇:网络安全等保解决方案范文
为了符合高端商务人士双屏应用的需求,C27A750X将无线显示技术、USB3.0、网络连接等多种功能集于一身。该显示器最为重要的特色莫过于支持采用无线方式与电脑主机进行连接的功能。普通显示器在与电脑连接时,都需通过显示接口(DVI、D-Sub和HDMI等)与笔记本电脑或台式电脑相连。而C27A750X却可以将这些显示信号线抛开,与电脑主机进行无线连接。用户在使用该显示器时,只需安装随显示器附带的软件,并将USB无线信号发射器插在电脑的USB接口上,C27A750X就能通过内置无线接收器接收并显示画面。实际测试发现,该无线显示连接步骤简便,静态画面的显示效果颇为出色,用户在上网冲浪、处理日常邮件或文档工作时都可获得较为优秀的效果。但值得注意的是,在显示动作类高清电影时,画面虽较流畅,但色阶过渡略有断层现象。
C27A750X除了能以无线方式进行连接之外,还具备通过USB连接进行显示的功能。用户只需使用随机附带的专用USB3.0线缆与电脑主机进行连接,该显示器就可显示出电脑画面。实际测试发现,通过USB3.0线缆进行连接显示的方式,即使在播放动作类高清电影时也可获得流畅与出色的显示效果。另外,除了这两种特色的显示功能之外,该显示器也支持标准的D-Sub和HDMI连接方式。该显示器除了可实现采用无线的方式连接进行显示之外,还具备网络信号转发的功能。将显示器连接网线后,用户只需将笔记本电脑处于该显示器的无线连接范围内,即可自动检测并将主机连接至互联网。
在显示质量方面,C27A750X的亮度均匀性表现不俗,画面的左上和右上部分的亮度有一定的下降,而左下和右下部分的亮度与中央相差不大,属于主流27英寸显示器中较高的水准。此外,该显示器在屏幕漏光方面的控制也较好,无明显漏光现象。
三星SyncMaster C27A750X
价格(元): 4399
屏幕实测亮度(lm): 323.8
最大能耗(W): 47.9
技术参数
最佳分辨率: 1920×1080
可视角度(水平/垂直): 170°/160°
能效比(cd/W): 1.36
屏幕实测最大对比度: 1182:1
OSD操作: 触摸式按键
显示接口: HDMI/D-Sub
USB接口: USB3.0×2/USB2.0×2
体积(mm): 639×485×233
背光/面板类型: LED/TN
影驰乐享
价格(元): 1699
信号接收器体积(mm): 148×96×20
传输延时(ms): <1
技术参数:
传输距离(m): 10
无线频段(GHz): 5
128位数据加密: 支持
发射器体积(mm): 107×44×16
发射器发射功率(dBm): <12
发射器接口: HDMI/MiniUSB
发射器最大功耗(W): 2.5
信号接收器接收灵敏度(dBm): ≤-65
发射器供电方式: USB供电
无线高清:影驰乐享是一款全新概念的无线高清传输设备,它能够在家居范围内无延时传输无压缩的1080p全高清信号。影驰乐享基于WHDI 1.0无线传输协议,由一个普通闪存盘大小的发射端和一个类似普通家用路由器大小的接收端组成。该方案支持HDMI 1.3规范,在传输视频的同时可传输7.1声道AC3&DTS音频,它最大可传输1080p、60Hz的视频信号,并保证延迟小于1ms。它的工作频段为5.1GHz~5.9GHz,与其他通常的无线设备如无线键鼠、耳机、路由器等工作在不同频段,可以减少相互干扰。影驰乐享发射端的最大功耗仅为2.5W,普通USB接口的供电量即可满足需要,而且使用这个设备不需要安装任何驱动,也不需进行任何设置,即插即用。此外,乐享的一个接收端可以支持多个发射设备,为消费者组建无线数字家庭提供了一个简易的解决方案。
小结摆脱有线束缚,简单、实用、便携。
竞争产品暂无
富士施乐ApeosPort-IV C7780
价格(元): 400 000
体积(mm): 1004×804×1392
重量(kg): 274
技术参数
首页文本打印时间(s): 2.5
10页文本打印时间(s): 15
首页PDF打印机时间(s): 13
单页图文混排打印时间(s): 21
200ppiA4灰度扫描单面/双面(s): 6/6
单页黑白文本复印(s): 2.5
扫描分辨率(dpi): 600×600
打印分辨率(dpi): 2400×2400
标称功耗(KW): ≤2.4
模块化打印:富士施乐ApeosPort-IV C7780的扫描模块支持双面扫描,文稿正面的内容由玻璃稿台的CCD组件负责扫描,而文稿背面的内容则由安置在进纸路上的CIS高速扫描单元负责扫描,这样纸张只需经过进纸路一次即可完成文稿两面的扫描。实际在200ppiA4纸张灰度扫描测试中,单面扫描的速度与双面扫描几乎完全相同。另外,C7780的CCD扫描组件采用了PowerLED光源,采用这种光源使C7780与采用传统氙气光源的彩色数码复合机相比启动速度更快,而且能耗更低。
C7780标配了彩色控制面板,简明的图形化按钮更容易操作,特别设计的供纸托盘锁定扳手和托盘滚筒可以帮助用户更方便地添加打印纸。3个大容量彩色墨粉仓和两个独立的黑色墨粉仓可以满足企业大负荷打印的需求,为了满足连续打印的需求,C7780还支持打印过程中的开仓换粉,也就是说在打印过程中一旦出现墨粉不足,用户可以在不中断甚至不影响打印速度的情况下更换旧的黑色粉盒。另外,富士施乐通过在墨粉中加入“快速溶解聚酯纤维”,使得墨粉需要的加热温度有近20°左右的降低,这既可提升预热启动的速度,也可以明显降低能耗。
C7780采用了富士施乐研发的智电技术,该技术可以自动控制各个功能模块的电力输出,例如在用户使用扫描功能时就只对扫描单元供电,而不启用其他的模块,以实现降低能耗和噪音的目的,在只开启扫描模块时可以减少20%~30%的能耗。
为了满足不同企业的使用需求,C7780支持模块化扩展,用户不但可以将安置于机身上的彩色控制面板更换为10.4英寸的触摸控制屏,也可以连接专用的大容量纸盒以及专业的装订部件,借助该部件C7780在打印后可以自动完成打钉、打孔、折页和制作小册子的工作。
小结节能环保特性突出,扩展能力强,快速双面复印功能十分实用。
竞争产品佳能智简iR-ADV C5051,同样提供多种功能的选配组件。
雷柏V7
价格(元): 290
体积(mm): 350×143×37
重量(g): 860
技术参数:
按键标称寿命(万次): 5000
接口类型: USB2.0
键盘键数(个): 92
按键行程(mm): 4
触发行程(mm): 2
触发压力(g): 50±15
报告速率(次/s): 1000
多媒体键: 有
键位冲突: >9
黄轴机械键盘:雷柏V7是一款入门级的游戏机械键盘,它采用雷柏自主研发的机械黄轴,相比Cherry黑轴80g的压力克数,雷柏黄轴50g的触发压力更小,手感更加轻盈。这款键盘去掉了传统意义上的小键盘区,与正常键盘相比,它的体积更小,不会占用过多的桌面空间,携带起来也比较方便。键盘采用了标准的美式按键布局,更符合国内用户的使用习惯。它的键帽材质采用了略带磨砂质感的ABS材质,键帽的字符使用激光填料技术,具有清晰、耐磨的特点。
此外,键盘的每个按键均支持可编程设计,配合模式切换按键,可以让玩家在普通模式和自定义模式之间轻松切换。该款键盘的按键手感介于黑轴和红轴之间,比黑轴的起始下压力更轻,比红轴具有更高的中继触发力。虽然其按键行程较长,但只需按下一半(约2mm)的行程即可触发。
小结手感轻盈、细腻,价格实惠。
竞争产品PLUM mini黑轴机械键盘,价格为260元。
诺顿网络安全特警2012
价格(元): 399(2年3用户)
硬盘需求(MB): 300
实际占用内存(MB): 34
技术参数
CPU需求: 主频1GHz或更高
操作系统: Windows XP/Vista/7
浏览器插件支持: IE6或更高
最低内存需求(MB): 256
反垃圾邮件: Outlook 2002或更高
智能文件分析: 支持
云安全技术: 支持
父母管理控制: 支持
身份防护: 支持
在线身份安全:当前,我们处在互联网信息爆炸、网络安全威胁层出不穷、智能移动终端设备被广泛应用的时代,如何保护自己的个人账户、位置、隐私等信息不受侵犯是每个人都十分关心的问题。老牌的互联网安全厂商赛门铁克近期推出了诺顿网络安全特警2012(以下简称诺顿2012),新版诺顿不仅通过基于云计算技术的防护组合继续提升软件整体的防护能力、保障用户个人在线信息的安全,而且了针对Android系统的诺顿手机安全软件,将传统的安全防护从PC端引入移动终端。
新版诺顿继续保持简洁高效的特性,其安装过程不超过1分钟,即便是性能较差的系统,运行的速度也不会因为安装诺顿2012而产生明显的改变。诺顿2012的主界面为用户提供了扫描、升级和高级3个功能的快速入口,整体界面延续了以往版本的风格,但是优化了多用户状态下的使用体验细节。诺顿2012将云安全理念进一步深化,并结合到了身份安全、信誉扫描、网页安全等模块和技术当中。在身份防护方面,除了继续为用户提供表单自动填写等实用功能外,还可以将用户本地的身份数据上传到诺顿云端保存,用户在使用另外一台电脑时可以不必再进行重复配置。在网页安全方面,新版诺顿进行了大幅改进,目前已经支持Google、百度、雅虎、Ask和必应五大搜索引擎以及IE、Firefox和Chrome等三大主流浏览器,覆盖范围更广。
同期推出的Android版诺顿手机安全软件支持防盗用、防恶意软件、屏蔽电话和短信以及网页防护功能。值得一提的是,防盗用功能可设置5个好友的手机号,通过向该手机发送短信代码进行手机远程定位、远程锁定以及远程数据擦除,非常实用。
第7篇:网络安全等保解决方案范文
关键词:虚拟化;仿真模型;计算机网络;教学资源库;行动导向
中图分类号:G712 文献标识码:A 文章编号:1007-0079(2014)33-0095-02
仿真模型利用高性能计算机系统的虚拟现实技术开发,具有高相似性、便于管理和低耗费的特点,是教学资源库建设的重要内容。本文以高职计算机网络技术专业为例,进行基于虚拟化技术的仿真网络模型库的开发与应用。在计算机网络技术专业课程体系建设中,采用工作过程系统化的方法对典型工作任务类聚重构得到《网络故障排除》、《网络管理与维护》等学习领域来培养岗位能力[1]。而基于虚拟化技术的网络模型库在学习领域的教学中作为重要教学资源支持任务驱动、行动导向等教学方法的实施,为学生营造一个职业教育与工作世界和个体职业实践活动之间直接而紧密联系的教学环境[2]。
一、必要性和可行性分析
开发应用网络模型库是计算机网络技术专业学生岗位能力培养的必要教学资源,成熟的虚拟化技术则提供了以较低的经济成本实现模型库的方法。
1.培养岗位能力的需要
计算机网络技术专业学生就业岗位的典型任务包括网络建设、监控、管理、维护等,其胜任力除了网络专业知识和技能之外,还对沟通、学习、分析、决策及故障排除等能力有特殊要求[3]。在教学中培养上述关键能力,需要一个仿真的网络环境,使学生能够感性认识岗位工作的特点,角色扮演来完成学习任务。以网络管理员岗位所处的典型网络为原型建设的网络模型库就是仿真工作环境、实施典型工作任务的有效载体。
2.教学模式改革的需要
学生在就业岗位从事网络故障排除的事件是随机、突发而无任何引导和提示的。而传统方式的教学方法往往以知识和技能为切入点,遵循按部就班、先入为主的策略,这就约束了学生思维空间,降低思维锻炼强度。在指导优先与建构优先相融合教育理念的指导下展开行动导向的校内教学活动,让学生按照就业岗位的标准工作流程完成学习任务,就必须给学生创造一个“真实的虚拟”在岗工作氛围和任务。传统书本、图示和静态模型等形式只能提供抽象或者平面视觉,不能满足环境观察、实际操作的真实性要求。虚拟化网络模型因为其良好的相似性和互动性而成为网络管理课程开展教学模式改革的必要资源。
3.信息化教学资源库建设的需要
进行教学模式改革的同时,配套的教学资源也必须摆脱传统形式、载体和结构的局限,消除基于学科体系建立的资源孤岛,在学习情境中融合典型工作任务的文档、产品文献资料、交互交流平台和岗位环境等元素。利用虚拟化等现代信息技术建设仿真的模型库以较低的经济成本实现仿真的岗位网络环境,是实现形象、立体、开放的结构化资源库的必要组成部分[4]。
4.技术和经济上的可行性
模拟器和虚拟化技术能够实现在一台PC上可以虚拟多台路由、交换、安全或主机等网络设备,并能够彼此互连成比较复杂的网络拓扑,这就可以用较低的经济成本实现各种网络模型。而且,虚拟化技术实现的仿真网络以独立文件存储,既便于复制又便于访问和分发,辅之以物理设备还可以完成网络性能管理等多种典型岗位任务的仿真。
三、模型库开发过程
为满足上述要求,开发基于虚拟化技术的仿真网络模型库按照“岗位调研、模型精选、分类实现、部署分发”步骤来实现。
1.岗位调研
以就业为导向的职业教育活动都应该以岗位能力分析为逻辑起点,以达到岗位能力要求为目标。岗位调研针对不同规模、不同类型和不同行业的企业进行调研。调研内容包括:企业网络规模、网络结构、组成技术以及对网络管理员的能力要求等。
2.模型精选
为了突出模型的典型性,对岗位调研结果进行归类汇总,化繁为简,整理出具有代表性的网络环境模型和能力需求,如表1所示:
3.分类实现
目前有多种手段和工具可以实现精选的网络模型,这些工具又具有不同的特点,必须依据开放性和便于访问分发的原则按照不同的优先顺序选择。本文采用计算机网络技术专业最常用的网络模拟器GNS3,、Packet Tracer、ENSP和vmware workstation,再结合物理设备来分类实现网络模型库,如表2所示:
表1 学生就业岗位的网络环境和能力要求
网络类型 网络特点 主要技术组成 能力要求
园区网 小型 结构和功能简单,管理人员少,没有分工 布线系统、基本路由技术、基本交换技术、基本无线技术、桌面管理和安全等 专业能力要求较低,但必须全面;能够进行简单的故障分析和排除;有较好的沟通能力
中型 结构比较简单,功能较多,管理人员分工不明确 布线系统、路由技术、交换技术、无线技术、服务器(主机)系统、网络安全技术、数据库等应用和桌面管理等 专业能力要求较高,并且比较全面;能够进行故障分析和排除;有较好的沟通能力
大型 结构复杂、功能繁多、网络规模大、设备类型和数量多、对可靠性、安全性等有特殊要求,管理人员分工明确 布线系统、路由技术、交换技术、无线技术、冗余技术、服务器(主机)系统、网络安全技术、数据库等应用和桌面管理等 专业能力要求高,在网络技术、安全技术、主机(操作系统)等至少一方面精通;能够进行复杂故障分析和排除;有较好的沟通能力和团队协作能力
广域网 结构复杂、功能单一、网络规模大、设备类型较少但数量多、对可靠性有特殊要求,管理人员分工明确 布线系统、路由技术、冗余技术、网络安全技术等 专业能力要求高,在路由技术和VPN等方面特别精通;能够进行复杂故障分析和排除;有较好的沟通能力和团队协作能力
数据中心 结构复杂、功能繁多、网络规模不大但涉及存储网络等特殊类型、设备类型和数量多、对可靠性、安全性等有特殊要求,管理人员分工明确 布线系统、路由技术、交换技术、冗余技术、服务器(主机)系统、安全技术、存储技术、虚拟化技术和数据库技术等 专业能力要求高,在网络技术、安全技术、主机(操作系统)、虚拟化技术或者数据库等至少一方面精通;能够进行特别复杂故障分析和排除;有较好的沟通能力和团队协作能力
表2 实现不同类型网络模型的方式一览表
实现工具 功能 特点 实现模型种类
GNS3 网络模拟器,采用虚拟化方法运行真实IOS,模拟CISCO路由器、交换机、防火墙等 运行真实IOS;功能完备;可与主机、Vmware workstation的虚拟网络相互连接;占用系统资源较多 使用CISCO产品的广域网;路由高级功能、冗余;带有防火墙/IDS;模拟连接vmware workstation的服务器等;但设备数量不能太多
Packet Tracer 模拟CISCO路由器、交换机、防火墙和简单主机等 模拟CISCO网络设备和主机;占用资源较少,可以模拟大规模网络 含有路由、交换、主机基本功能的大型广域网、园区网等全景模型,但不支持冗余等高级功能
ENSP 模拟华为路由器、交换机和简单主机等 模拟华为网络设备;占用资源较多;可以与主机、Vmware workstation或者GNS3互连;占用系统资源较多 使用华为产品的广域网、局域网等;模拟连接vmware workstation的服务器等;但设备数量不能太多
Vmware workstation 桌面虚拟环境,可以独立运行Windows、Linux等操作系统,实体机器上模拟完整的网络环境 运行真实操作系统;功能完备;占用资源大;可与主机、GNS3、ENSP等虚拟网络相互连接;占用系统资源较多 与GNS等连接使用,模拟数据中心主机系统,在操作系统上运行数据库、Apache等多种应用软件;多个vmware虚拟机可以构建HA等冗余模型
物理设备 主机、交换机、路由器、防火墙等设备 真实设备;功能完整;但成本较高且数量有限 局域网、广域网等局部场景的模型;需要性能测试的模型;与主机、vmware虚拟机连接使用可以构建较复杂的数据中心模型
表2所示,尽管Packet Tracer模拟的路由、交换的基本功能,但其消耗主机CPU和内存资源较少,可以在PC上模拟更多的路由器和交换机,所以本文采用Packet Tracer实现只有简单路由和交换功能的大型园区网或广域网的全景模型。针对功能复杂、设备类型较多、设计主机和应用系统的网络模型则需要主机、vmware workstation、网络模拟器和物理设备等多个工具相连接来完成,如图1所示:
三、模型库的应用
在教学中采用行动导向的方法完成了某个项目,就意味着建立一种新的知识模型。本文中这个知识模型就是在应用网络模型库的教学中建立起来的专业能力和知识体系。
1.在行动导向教学中的应用
如前所述,故障分析与排除能力是学生完成就业岗位运行维护工作至关重要的能力,采用行动导向教学模式可以提高这种隐性能力的培养效率。仿真网络模型的应用按照“咨询、计划、决策、实施、检查和评估”的任务关键流程来实施[6],贯穿于岗位任务实施的完整行动思维过程。
在“资讯”环节中教师为学生描述工作场景,提供网络案例,学生收集信息,认识案例所代表的网络任务;在“计划和决策”环节中学生分析网络案例中的问题,制定解决方案;在“实施”环节中则要求学生直接在虚拟化的案例上进行操作;在“检查和评估”环节中验证、展示完成任务的网络案例。“六步”教学过程中均要求学生以在岗“网络工程师”或者“网络管理员”角色完成任务,教师则扮演“网络用户”或“企业管理者”角色进行配合、辅助、指导或评价,强化学生对就业岗位认知和职业能力培养。
2.调整完善
教学实践是检验仿真网络模型在职业教育教学中是否实用性的主要途径。所以在面向计算机网络相关岗位开发的课程体系中应积极使用仿真网络模型,模型在设计实现等方面存在的问题能够被及时发现并解决。这些问题主要集中在网络模型性能表现和故障难度等方面,分发涉及多种技术和工具实现的网络模型会耗费的时间较长,需要优化分发策略,使学生分组提前做好准备,课前在校园网下载相应案例。在教学中高效应用仿真模型还要考虑学生的认知规律,要注意技术应用、故障设置的繁简和难易梯度。比如,有些网络案例设置的复杂的故障,学生理解分析存在一定难度,就应该拆分模型中复杂的故障使之难度降低。经过调整完善及补充开发新网络模型及时更新可以保网络模型与就业岗位任务的同步,促进虚拟化仿真网络模型的发展。
四、结论与展望
采用虚拟化技术与物理设备相结合的方式开发网络模型库以岗位调研为基础,为学生建立全景式的仿真网络环境,结合行动导向教学改变先入为主的传统教学模式,突出方法和社会能力的培养,强化了教学活动的针对性和职业性,在计算机网络专业人才培养中发挥资源支撑作用。然而,计算机网络模型库只是整个信息化教学资源库的一个重要组成部分,应该以之为基础在企业产品信息、项目标准、多媒体素材和绩效制度等方面进一步完善丰富教学资源库。
参考文献:
[1]潘洪涛,王智明,左奕.工作过程系统化计算机网络故障排除课程开发实践[J].中国职业技术教育,2011,(2):55-58.
[2]姜大源.职业教育学研究新论[M].北京:教育科学出版社,
2007:221-220.
[3]教育部.教育部关于全面提高高等职业教育教学质量的若干意见[EB/OL]..
2013.3.
[4]李利平.高职教育专业教学资源库建设的改革思考[J].中国高教研究,2011,(6):90-91.
第8篇:网络安全等保解决方案范文
【关键词】移动公共服务平台 视频云服务层 媒体混合云 智能家庭网关
doi:10.3969/j.issn.1006-1010.2016.12.019 中图分类号:TP393 文献标志码:A 文章编号:1006-1010(2016)12-0086-6
引用格式:钟文清,陈凯渝,姜宁. 基于移动公共服务平台的视频云服务层设计[J]. 移动通信, 2016,40(12): 86-91.
1 引言
近年来,视频业务是互联网、移动互联网最具增值能力的公共服务。考虑到媒体融合发展的总体规划,基于移动公共服务平台的视频云总体规划和设计方案,依托中国移动“大云2.0”云计算平台的已有资源,借力外部合作方的私有云/公用云资源,充分考虑到视频业务大数据的特点,采用面向SaaS(Software as a Service,软件即服务)的视频云平台架构,以智能家庭网关为云端通信枢纽[1],为未来的中国移动用户家庭接入便捷、实用、安全的视频应用类公共服务。
视频云的基础业务模式为:使用移动用户的各种家庭终端,如家庭电脑、智能电视、手机、平板、摄像头等其他智能可联网设备,连接到符合中国移动通信集团公司2014年的企业标准――《中国移动家庭网关设备互通技术规范接入标准(版本号:1.0.0)》的智能家庭网关,访问视频云接入层接口,最终与视频云服务层后台系统实现互联互通,从而开展流媒体(视频直播、点播及交互业务)、全天候安防、家庭物联网、健康医疗云服务等多种基础业务[2]。
视频云服务层的设计方案采用“媒体混合云”弹性架构,实现了基于对象的云存储网络、基于海量数据检索的云媒资系统、基于最新HEVC(High Efficiency Video Coding,高效率视频编码)编码标准的云转码平台、基于数字证书和数字水印的云安全技术、基于视频检测和大数据挖掘的云识别引擎,并通过定制的第三方云媒体CDN(Content Delivery Network,内容分发网络)对外提供实时高效的媒体数据公共服务。
2 业务架构设计
基于移动公共服务平台的视频云主要由家庭终端、智能家庭网关、视频云接入层以及视频云服务层四大部分组成。基于视频云的移动公共服务平台业务架构如图1所示:
2.1 家庭终端
家庭终端是移动用户连接智能家庭网关的交互工具,包括但不限于家庭电脑、电视、手机、平板、摄像头等多种可联网的智能终端设备。该类终端支持家庭场景中各类音视频数据的采集、显示以及双向人机交互。不同的家庭终端之间如满足指定的互联互通协议支持,即可以实现家庭局域网的多屏融合业务应用。
2.2 智能家庭网关
智能家庭网关是位于移动用户家庭的平台配套设备,是家庭用户日常使用的各类家庭终端与视频云接入层之间的连接枢纽,也是家庭(个人)局域网设备连入移动互联网的接口控制点。该网关设备采用的精简性设计体现在仅实现了网络连接、视音频解码、双向通信交互以及身份认证等基本功能,而其他功能则全部交由上层计算能力、通信性能更为强大的优势资源,即视频云接入层、视频云服务层去完成。
2.3 视频云接入层
视频云接入层为移动公共服务平台视频云服务提供了云端统一门户。家庭用户使用不同的家庭终端,通过各种类型网络访问云端统一门户,可以控制智能家庭网关与视频云接入层的双总线进行业务交互。
视频云接入层双总线包括视频云服务总线、视频云媒体总线,它们分别负责控制通讯数据、视音频媒体数据这2种不同类型业务数据的处理。视频云服务总线会根据来自云端统一门户的不同类型业务的访问请求,自动转发给相应业务的云平台服务器,启动该服务的接入应答处理。视频云媒体总线则根据云端统一门户请求的媒体具体内容,完成视音频等媒体数据的文件上传、下载服务或是文件流直播、点播分发服务。
2.4 视频云服务层
视频云服务层目前设计提供4种基于视频云的移动公共服务基础业务:流媒体云服务、全天候安防云服务、家庭物联网云服务及医疗健康云服务。其中,流媒体云服务是视频云平台最核心的增值业务,其业务需求决定了视频云服务层技术架构的设计思路。
视频云服务层采用了基于“媒体混合云”弹性架构的设计方案[3],主体部分是依托现有移动云计算平台的基础设施进行升级改造而成,同时与第三方视频内容提供商云平台实现媒体内容对接,与第三方云媒体CDN网络实现源站节点对接。中国移动内部的私有云与第三方视频内容提供商、云媒体CDN提供商的私有云/公有云之间,按各方的服务约定实现云平台的存储、网络、媒体内容及计算机硬件等各种资源的无缝对接,即该平台混合云架构的具体技术实现。弹性架构设计中的“弹性”特点主要体现在云平台之间资源的弹性调度。视频云服务层基于自定义的弹性调度算法和策略实现了不同资源、不同场景下的调度框架,并依据此框架完成存储资源池的动态扩容及跨池调度、网络服务池动态扩缩容及跨IDC(Internet Data Center,互联网数据中心)调度、媒体文件智能迁移调度、高可用调度等功能。
通过视频云服务的云端统一门户的接入,视频云服务层构建了直接面向移动用户家庭的多种云端视频服务基础业务,如视频点播、视频直播、互动直播、视频录制回放、远程视频通话、远程视频会议、远程教育课堂、安防视频监控、安防智能报警、儿童老人远程看护、人体跌倒状态监测报警、智能家居监测控制、家庭成员基本健康状况监测、日常运动饮食情况监测、医疗资源远程预约、远程医疗检查及诊断等。
3 技术架构设计
该平台视频云服务层的具体组成部分在本设计方案里主要包括五大部分:云存储、应用业务层、云媒体CDN、云安全、服务接口。视频云服务层的技术架构设计如图2所示。
3.1 云存储
云存储即基于对象的分布式数据云存储网络,其主要功能组成包括元数据管理、存储设备管理两大部分。元数据管理功能通过元数据服务器集群实现,该集群提供名字服务和元数据服务,包括名字的组织、映射和查找,客户端可以用名字来访问文件或者目录,而无需关心文件的实际存储位置和给其提供服务的元数据服务器的物理位置。存储设备管理功能通过基于对象的存储设备分布式集群实现,提供数据的读写操作,能够自动管理其上的数据分布,支持数据的预取,优化磁盘的性能。
基于对象的云存储网络内部原理图如图3所示。
基于对象的云存储网络方案实现了数据通路(数据的读或写)和控制通路(元数据)分离管理,可以有效地进行负载均衡[4],提高整个系统的可用性。通过存储分配服务管理存储设备,能够在线扩充存储单元,完成有效地平滑线性扩展,并支持混合云平台的存储资源池弹性扩容以及跨池调度等特性。对于存储组件的故障,不仅仅依赖于硬件本身的容错,还要在软件层做到自动容错,多文件副本管理以保证在磁盘损坏、节点失效、网络中断等情况下数据的高可用性。
元数据服务器集群采用动态子树划分方法来管理文件系统的元数据[5],文件系统的目录被划分为若干子树,由不同的元数据服务器来管理,通过周期性比较元数据服务器的负载情况进行目录子树的划分和迁移,保证集群中负载的均匀分布和均衡。元数据请求多数由元数据内存缓存来满足,当一个节点失败时,分布式的元数据操作日志可以使另一个备用节点快速恢复失败节点的内存状态。
基于对象的存储设备分布式集群实现了数据的自动分布和管理,将文件分割成若干个对象来存储,可以保证数据的均匀分布。为了解决小文件对象的存储低效问题,采用EBOFS(Extent and B-tree base Ojbect File System,扩展的基于B+树对象文件系统)为任意大小的对象在磁盘上分配连续的存储空间,使对象存储设备能够具有良好的性能。
3.2 应用业务层
应用业务层的主要组成部分包括云媒资、云转码、云识别、流媒体播出以及计费管理模块,以此实现对视频文件存储管理、视频实时转码、视频文件转码、视频内容识别、监测模型迭代、流媒体直播、流媒体点播、计费管理等前端和后台业务的应用、管理及控制。
基于移动公共服务平台的视频云这一新业务所构建的完整生态链中,该层是最具投资和运营价值的一部分,实现了服务平台的计费管理,获取、存储并深度挖掘了海量的用户大数据,开设了智能家居人体跌倒检测、电子寻物、日常健康监测管理、远程医疗问诊等新兴的特色增值服务。
(1)云媒资
通过云计算平台配置的媒资管理服务器虚拟集群实现,用于对所有的云存储网络中媒体内容(包括视频、音频、图片、字幕、图文模板等)进行导入、编目、检索、存档以及修改等工作。媒资管理系统使得其中的每个媒体内容都具备唯一素材ID以及其他相关元数据。该媒体内容在整个移动公共服务视频云平台中,不管是存储在第三方媒体内容提供商私有云、移动内部私有云还是第三方媒体CDN公有云/私有云,也不管其数据文件迁移调度至任一服务器集群任一节点,均是依靠这个唯一的素材ID得以识别,以保证此视频云平台整体互操作流程的正常有序运行。
(2)云转码
通过云计算平台配置的转码服务器虚拟集群实现分布式实时、离线转码[6]。云转码的基本功能如下:
一是对来自外部的各家视频内容提供商,或来自云端各智能家庭网关的用户帐号上传的不同编码、封装格式、分辨率、帧率或幅型比的视频文件或实时视频流,根据策略管理模块的配置,按具体业务需求进行统一切片、编码或转码处理及输出。
二是对来自云端各智能家庭网关的当前网络传输速率进行自动检测识别,并采用自适应码率的智能控制策略,依靠云转码系统的实时转码功能,实现了系统自动选择与云端网络环境匹配的合适码率输出。同时与云媒体CDN边缘节点协同工作,充分利用其流媒体边缘分发能力,实现了边转码边传输。
(3)云识别
通过云计算平台配置的视频检测服务器集群、检测模型迭代服务器集群等分布式云计算资源实现。对不同智能家庭网关的用户帐号上传的各种视频文件或实时视频流,结合相应家庭中不同位置、不同类型传感器的回传数据,根据相应帐号和业务对应的预置模型(如已配置个人相关数据信息的安防监控模型、人体跌倒检测模型、健康状况模型等),自动进行视频内容及其他数据的特征提取、比对和识别,并对符合个人预定义阈值的识别结果进行智能报警。
云识别的智能化体现在其对家庭个性化大数据的深度挖掘处理以及个人模型的自学习功能。云平台会将有效的个性化最新数据与个人历史数据、同类别的公共历史大数据进行数据融合和挖掘,同时利用最新最全的大数据训练集合对相应模型不断进行训练,自动完成各类检测模型的自学习和快速迭代更新,使得模型的识别精确度、准确率和速度得以逐步提升。
(4)流媒体播出
通过云计算平台配置的流媒体服务器集群配置,实现对云转码系统生成的视音频文件或实时视音频流进行解码和输出,支持使用媒体混合云的弹性扩缩网络带宽资源的调度框架。对于视频云服务平台提供的不同业务,流媒体播出核心服务器集群也采用了不同的设计架构和工作模式。
对于各类视频点播业务、OTT(Over The Top,通过互联网向用户提供各种应用服务)直播、交互直播业务,流媒体核心服务器集群设计目标为高并发性,部署专用的实时操作系统,单台物理服务器支持9600个3.25 Mbps视频流的高并发量输出,可通过增加流媒体服务器集群中主机的物理数量,实现该播出集群的视频流并发支持能力的线性扩展。
对于IPTV视频直播类业务,流媒体核心服务器集群设计目标是采用低时延、高带宽、高可用性的架构。在外来直播节目源的接入方面,可以支持多种不同传输协议、编码格式的源信号,其播出模块输出也全面支持RTMP(Real Time Messaging Protocol,实时消息传输协议)、HLS(HTTP Live Streaming,Apple的动态码率自适应技术)、HTTP-FLV(Hyper Text Transfer Protocol-Flash Video,超文本传输协议-流媒体)、RTP(Real-time Transport Protocol,实时传输协议)等各类主流的流媒体直播协议,支持不同编码格式、分辨率和码率,确保快速、灵活、稳定地实现视频流的预处理、转码和输出。
(5)计费管理
通过云计算平台配置的计费管理服务器实现,支持对云端用户消费的各项不同业务进行实时分项计费,根据不同业务、不同时段、不同帐户级别、关联业务的计费策略,在后台生成相应的计费统计结果,并负责这些计费结果的存储、检索和维护等管理工作。同时,移动专用智能家庭网关的预置用户帐号要求与移动用户的手机SIM卡帐号进行一对一捆绑,从而支持对智能家庭网关用户的帐号信息、计费信息、业务权限、业务功能、私有空间等进行管理。
3.3 云媒体CDN
CDN作为构建于互联网、移动互联网之上的一层智能虚拟网络,其核心技术为负载均衡、内容分发加速,以此实现跨运营商的互联网云端应用的内容访问加速。
与传统CDN不同,云媒体CDN为获取更高的内容播出分发效率和可用性,引入了云计算、SDN(Software Defined Network,软件定义网络)技术,针对我国网络流媒体业务的视频数据量、节目内容、业务类型、地域性等特点,通过使用CDN专用路由器、新一代智能分发策略算法[7-8],实现了特有的“异地多中心多源站”分布式架构。该架构设计的指导思想是CDN节点“下沉”。使用了该架构的CDN网络,其全国网络中任一位置的节点服务器都同时可以在一定条件下作为源站使用,单独进行其自有视音频内容的播出和。
3.4 云安全
由于移动公共服务平台的视频云服务层采用了“混合云”架构设计,除了原云平台的信息安全措施外,还需重新制定信息安全对策。业务上涉及不同第三方内容平台的资源对接,其中最关键的就是媒体内容版权保护、用户帐户信息等问题。
本部分云安全设计方案是基于视频云服务层的业务需求,但实质是面向平台进行全局规划部署的。从边界安全、数据安全、传输安全、主机安全、应用安全方面入手,采用网络安全区域划分、高防一体化安全网关、数字版权保护系统、传输流加密加扰、双因素身份认证、敏感信息标识保护、实时风险监控报警、日志集中审计等技术手段[9-10],加上信息安全等保障体系的各类管理手段以及合作双方签署相关法律文件,尝试为混合云架构的平台提出合理、有效、可控的信息安全解决方案。
3.5 服务接口
视频云服务层在业务上需要与第三方内容平台、第三方CDN存在互联互通,但其接口实现是由视频云接入层负责完成的。作为整个视频云核心组成的视频云服务层,其服务接口主要是与视频云接入层完成对接,负责视频云接入层与视频云服务层不同功能组件之间的数据或控制的接口实现,同时负责混合云平台中跨平台资源的弹性调度算法和策略的具体实现。
4 结束语
本文设计思路是立足于中国移动已有成熟的公共服务云平台,考虑将广电系统丰富的视频资源在中国移动现时力推的智能家庭网关落地,从技术可行性及业务具体实现模式两方面仔细考量提出了视频云服务层设计方案。该方案便于中国移动打造新一代独具特色的上下游高清视频业务全产业链,有利于中国移动在移动运营业务“四网协同”发展过程中抢占相关产业链主导地位。
参考文献:
[1] 董裕艺,黎福海,何凯青. 智能家居控制系统的设计研究[J]. 移动通信, 2012(11): 39-43.
[2] 肖阳,宁艳芝. 视频云计算技术打造云时代互动电视增值业务运营平台[J]. 广播与电视技术, 2013,40(3): 117-120.
[3] 伟,傅建明,李拴保,等. 弹性移动云计算的研究进展与安全性分析[J]. 计算机研究与发展, 2015,52(6): 1362-1377.
[4] 熊安萍,刘进进,邹洋. 基于对象存储的负载均衡存储策略[J]. 计算机工程与设计, 2012,33(7): 2678-2682.
[5] 方圆,杜祝平,周功业. 基于对象存储的新型元数据管理策略[J]. 计算机工程, 2012,38(3): 25-27.
[6] 李蕾. 基于分布式视频转码技术的视频云平台[J]. 西部广播电视, 2013(12): 125.
[7] 卢笛,马建峰,王一川,等. 云计算下保障公平性的多资源分配算法[J]. 西安电子科技大学学报: 自然科学版, 2014(3): 162-168.
[8] 周景才,张沪寅,查文亮,等. 云计算环境下基于用户行为特征的资源分配策略[J]. 计算机研究与发展, 2014,51(5): 1108-1119.
第9篇:网络安全等保解决方案范文
关键词:本地网;通航;电信企业;战略转型
随着市场竞争的激烈化和客户需求的个性化,越来越多的企业开始关注对产品业务和服务模式进行创新和升级,因此战略转型被越来越多的应用于企业的实践运作中。战略转型指企业由传统管理运营模式转变为符合未来发展要求的现代公司制模式,简单理解就是从A战略向B战略的转变,其中的A或者B可以是业务、逻辑、模式、能力等。在企业的实践运作过程中,很多企业都曾成功的进行过战略转型,如海尔曾从家电制造商向营销贸易型的能力转型;吉利汽车从低端产品向中端汽车产品的转变;基于PC业务利润的下降,IBM于2004年宣布以12.5亿美元的现金及股票向联想出售其个人电脑业务,将集中精力做好IT咨询、芯片设计和信息服务产业,实现由PC制造商到IT信息服务提供商的转变,并迈出了非常坚实和决定性的一步。当前,中国电信企业正在加速企业转型和战略调整之中,如何从“传统基础网络运营商”向“现代综合信息服务提供商”转型是影响和困扰中国电信企业发展的瓶颈之一。基于此,本文研究了基于“通航”业务为代表的电信企业战略转型及其有关策略和方法。
1 基于本地网推进“通航”的电信企业战略转型现实背景
1.1 电信企业战略转型的国际背景
从国际市场上看,2004年12月以来,也就是中国WTO入市第3年,国外电信可以介入国内电信市场,参与竞争。本土电信企业受到相关政策上的保护越来越弱,2005年12月后国外电信企业可在电信增值业务领域可占到49%的股份,2008年后在基础电信领域可占有49%的股份。国外电信可通过资本运营迅速介入中国电信市场,而我们国内电信企业的网络、品牌、客户、资金等优势将逐步弱化。同时,国外电信企业跟我们国内电信企业相比,有很多不可比拟的优势,如成熟的市场运营经验,强大的资本支撑,高素质的人力资源。国外电信企业必将首先介入电信增值业务市场,抢占“通航”类增值业务发展制高点,从而获得最具价值的高端用户群及高额利润。如果我们不能迅速占领高端业务市场,将会迅速被圈入低成本竞争中。因此,大力发展“通航”类转型业务已不是高瞻远瞩、未雨绸缪,而是箭在弦上,刻不容缓了。
1.2 电信企业战略转型的国内背景
从国内市场来看,随着电信市场竞争日趋白热化,同质分流、异质替代,用户增长仍明显放缓,用户ARPU(Average Revenue Per User,即每用户平均收入)值一降再降,利润空间正逐步被侵蚀。更为严重的是,通航业务市场没有蓬勃发展,而传统业务增长陷入瓶颈。同时,与竞争对手相比,2005、2006年中国电信的经营业绩一般,用户规模及市场占有率进一步降低,业务收入增长和利润增长都不是很高,月租风险、长话IP风险、区间通话风险、带宽型业务高ARPU值风险等形势更加严峻,转型的迫切性勿庸置疑。中国电信要实现收入的稳定增长,唯有精耕细作现有资源,积极培育以“商务领航”和“号码百事通”为代表的种子业务,切实解除各个层面的制约因素。
2 基于本地网推进“通航”的电信企业战略转型条件
2.1 战略和策略调整
战略和策略调整是实施本地网推进“通航”的电信战略转移的根本。“现代综合信息服务提供商”应当是3个方面的统一:提供综合的信息内容、采用综合的服务手段和面向综合的服务对象。中国电信企业要顺利实施转型,就必须从战略层和策略层高度把握通信信息服务发展方向,按照信息业务经营的客观规律,向客户提供完整、综合、高附加值的信息服务;加大业务创新力度,不断丰富内容、应用及新产品开发,培育新的业务亮点;积极拓展产业链合作与行业应用,引导转型业务价值链整合;全面推进各项增值业务与基础业务的捆绑营销,提高增值业务的渗透率与基础业务的粘性;加强实体渠道、直销渠道、电子渠道和社会渠道等4大渠道营销增值业务的力度,缩短产品与市场的距离。
2.2 组织和人力转型
组织和人力转型是实施本地网推进“通航”的电信企业战略转移的保障。首先,在增值业务部基础上,为加强通航类转型业务与渠道、与后端的融合,在原有增值业务部的基础上,构建转型业务专业部门――成立大客户支撑中心及VIP网络维护中心。尤其是在转型业务实施初期,需要集中高素质人力资源、专业的人做专业的事;通过实施项目负责制,重点项目重点攻关,集中优势兵力,重点突破。同时,转型业务的实质是避免“电话纯语音、宽带裸接入”,拓展转型业务,就必须依托固定电话网、宽带接入网(互联网及政企专网)、无线网(小灵通、农话450M及3G),并将电信接入网延伸至用户端网络,并拓展至用户信息终端(IT信息系统、电脑、电话等),以接入带应用,以应用促接人。因此,大客户支撑中心及VIP网络维护中心前后联动,除了实施转型业务营销之外,还必须拓展用户端网络系统集成及运维支撑服务能力,深度挖掘客户综合信息深层次需求,深度提升客户服务能力。
对内强化部门之间的交流与合作。细分化、多样化、个性化的客户需求对中国电信内部运营提出了更高的要求,必须通过组建跨部门的虚拟项目组或虚拟团队,加强跨部门合作的绩效考核,强调内部客户导向等方式,强化部门间的交流与合作。对于参与价值创造的主要部门,如市场、建设、网保、客响、网维、物配等一线部门,需要打破部门界限,进行流程重组和优化。可以在市场细分的基础上,按照品牌和产品线,特别是新的转型业务的产品线,重新梳理售前、售中和售后的流程,在此基础上进行部门的调整和设置。同时通过拓展转型业务,在每一个工作流程中实施精确管理,进一步提高工作效率,降低运营成本。
对外建立战略联盟,提升综合信息服务产业链的整体价值。企业在整个行业中处于一个动态开放的链条上,企业必须在整个链条上处于有利地位才能获得持续的竞争力。作为运营商,在通信产业链中由于具有强大的网络架构和庞大的客户资源,处于天然的垄断地位。随着客户需求的多样化和个性化,通信产业链的构成也日趋复杂。在向现代综合信息服务提供商转型的过程中,中国电信将面临很多不确定的风险,通过战略联盟一方面可以实现资源、技术的高度共享,缩短产品开发周期,降低产品提供成本;另一方面可以保持企业的核心竞争力,保持竞争优势。通过商务领航、号码百事通、互连星空、大客户ICT综合信息服务等平台,整合信
息服务商、系统集成商、设备制造商优质资源,共创价值。
2.3 网络和技术转型
网络和技术转型是实施本地网推进“通航”的电信战略转移的有效手段,这需要提升网络对于业务发展的快速支撑能力。适应业务及服务从窄带向宽带的转变,从单一网络向混合型网络转变,从城域接入网向客户端网络、客户内部网拓展,增强网络对增值业务的支撑能力,满足为客户提供捆绑和融合业务的需要。顺应电信技术的变革趋势,构建下一代网络体系架构,推进固定移动网络的融合,推进网络接人与信息服务的融合,初步实现网络的转型。响应市场竞争和企业管理的需要,优化网络结构,减少网络层次,提高运营效率,降低维护成本。
在本地网层面,很多核心设备、核心技术基本上都由设备商、集成商、服务商或者省级公司代维代管,因此,传统电信的技术更多的是通信运维层面的技术,而不是综合信息服务开发、应用层面的技术,很难适应用户端网络多样性、个性化的需求。因此,加速技术转型一方面加大内部人员培训力度,特别是综合信息服务如微软、数据结构、网络安全等IT综合信息技术方面的培训及认证;另一方面加大与各类信息服务商、系统集成商、设备供应商合作的深度与广度,通过整合价值链提升技术转型。
3 基于本地网推进“通航”类业务的战略转型策略
电信企业转型从战略的角度看是“共享与世界同步的信息文明”,从战术角度来看,就是以客户为导向,通过优化资源配置,实施精确管理,全面实现企业转型。具体工作主要包括:组织及人力转型、网络及技术转型、业务及服务转型。
随着市场竞争的加剧,同质分流、异质替代日趋严峻,大力拓展“商务领航、号码百事通”等综合信息服务的业务开发、推广、营销是保持企业核心竞争力的需要,是确保企业基业常青的需要。
3.1 融合产品渠道,合力推进“通航”类转型业务
“通航”类转型业务应将产品部门与渠道部门充分融合,形成合力,共同推进。成立以市场扩展部牵头,以增值业务中心为主要负责人,组织大客、商客、公客、公话营销策划、方案设计的相关人员,成立“增值业务虚拟团队”,大力发展增值业务。加强4大渠道营销“通航”类转型业务的力度,缩短产品与市场的距离。
为有效融合产品渠道,需要从以下几个方面着手:
①做小做广,走“小业务,大规模”的发展之路,注重业务的快速渗透。电信业务具有典型的范围经济性,转型业务与基础业务有着大量的共享成本,而额外添加的专门成本是很少的。发展转型业务,就要充分发掘多年来电信企业积累下来的网络资源、人才资源、客户资源,细分市场,贴近应用,发挥网络的边际效益,提高整体顾客盈利能力,提高或稳定ARPU值。同时,因为充分竞争的存在,不要指望从某一或少数用户身上获取高额利润,必须将“饼”做大,扩大用户群,形成消费趋势,产生滚雪球效应。为了推进转型业务的发展,我们应该同时开拓针对普通用户的水平市场和针对大客户的垂直市场,特别要适当选择大客户和集团客户,尽快培育稳定的转型业务用户群体,形成真正的持续性消费潮流。重点在传统网络上拓展号码百事通、集团彩铃、VPN、短信群发等高渗透率的业务。
②做精做优,采取差异化营销策略,注重品牌经营。转型业务是信息技术进步和创新的结果,新陈代谢的速度很快,业务针对性极强,客户对象是经过不断细分的用户,因此在发展增值业务时必须进行客户细分、业务细化、贴近用户需求,并注重以品牌经营为依托,提供个性化的服务内容和服务组合,提供差异化的业务品种和服务标准,进一步丰富电信品牌内涵、提升电信品牌含金量。对重点客户群、重点业务进行重点营销,将有限的资源用于盈利能力强的用户与业务量大的业务。重点拓展全球眼视频监控、新视通视频会议等以应用促接入的业务、4008/会议通呼叫中心等话务量汇聚型业务。
③做大做强,提升主导地位,加强电信对产业价值链的控制能力。在基于产业价值链的整个合作体系中,中国电信必须有效管理产业价值链各主体的竞合关系,牢牢把握住平台管理、品牌宣传和营销工作的主导权。充分利用电信的网络和客户资源,有效捆绑sP和大客户,使信息价值化,提供更多企业级整体解决方案,为顾客提供更为便捷的服务。通过电子政务、3111平安城市、社区/教育信息化、建设社会主义新农村等重点项目,抢占市场、业务制高点。
3.2 加强行业合作,构建“通航”类转型业务价值链
“通航”类转型业务开发是一个产业价值链建设的系统工程,没有一家实体能够占据产业链的各个环节。关键是在于分析自己的优势和劣势,创造多赢模式。语音信息业务的成功不是建立在与某一家声讯分台合作的基础上,同样,移动、联通短信项目的成功,也不是建立在与某一家短信sP合作的基础上,他们的成功是建立在从网上到网下,从传统媒体到互联网新兴媒体,从专业IT类sP公司到传统行业信息源公司,从大的集团公司到个人团队进行广泛合作的基础之上。而且,随着市场经济的飞速发展,社会化分工越来越细,任何一家公司都不可能将触角涉及到所有用户的所有需求,更不要说将每一个分项业务运作得精细化,卓越化。
“通航”类转型业务的健康可持续发展,需要一个良好的生态环境,需要产业链上企业的共同努力。因此,加大“通航”类转型业务代办、、SP合营的力度,充分挖掘自有渠道,合理利用社会渠道,建立新型跨行业合作不但是必要的,而且是必须的。
3.3 细分目标客户群,实施针对性营销
通过电信转型的逐步深化,将经营的重点由以产品导向转变成以客户为导向。根据电信市场发展趋势,中国电信将形成以政企、家庭、个人为特征的新的战略分群,并针对以上3大类聚类用户,实施“政府/企业信息化”、“社区信息化”、“个人信息化”。
通航类业务重点突破方向为:
①以党政军为主的实施电子政务的政府部门:因为此类客户一般没有专业的IT部门,IT人力资源较为薄弱。。
②中小型商业客户:因为此类客户信息化认知程度较高、需求旺盛,一般没有自己的IT人员,而且绝大多数信息项目集成商没有把他们作为营销重点,因此竞争压力较小。
③聚类个人用户:主要包括对信息流要求较高以市场群为基础的商务人士,对新业务接受能力较快的学生群体,以网吧为基础的互联网数字娱乐客户群。
在此基础上,从网络及技术层面,为客户提供综合信息服务。重点发展方向为:
①基于宽带接入网的转型业务:如VPN、内网建设、网络安全及代维服务、宽带视频监控及会议业务、机房建设及IDC灾备服务等。
②基于固定电话网的转型业务:如集团彩铃、会议通、固网支付等。
③基于无线网的转型业务:如短信通、WAP业务、3G应用平台等。
④融合互联网、无线网、固话网的信息服务转
型业务:如网站建设、办公自动化、客户资源管理等电子政务/电子商务行业信息化应用系统集成等。
在本地网层面,逐步优化资源配置,在网络规划、网络建设时逐步加大以上4大类业务的投资比重;同时妥善处理好传统业务与“通航”业务的关系。传统业务和“通航”业务不是断然割裂、森严壁垒的两大板块,而是互有你我的联系组合。企业转型后出现的根本性变革将是建立于今天雄厚市场基础之上的。企业转型不是对传统业务的放弃,而是对核心业务更高层次的扬弃和升华。综合信息提供商的角色,需要担负起个性化服务和规模化定制的基本职能,满足消费者分散化的消费需求。这就需要依赖原有的优势,用技术和需求驱动,向产品和市场两个方向展开。电信运营企业转型最为关键的是如何在传统业务和网络技术之间找到一个有机的链接通道和平台,使得网络技术依托原有的业务,生长出适应发展趋势的业务。尤其是处理好增量与存量、规模经营与利润经营的关系。在量收方面,立足于量,注重于收,量收兼顾,以收为主;在增存量方面,保有存量,拓展增量,精确营销,注重成效;在传统业务和“通航”业务方面,突破传统思维,盘活品牌业务,加快创新步伐,力推“通航”类转型业务。
3.4 创新激励机制。促使通航类业务快速发展
电信转型业务普遍存在支撑不力、流程不畅、人力不足、政策不活等问题,要想更快更好的实施企业信息化业务转型,需要给与转型业务专业团队适当优惠政策,鼓励转型快速发展。传统的电信主要业务(主线、宽带、小灵通)主要是规模型经营,更多的依托网络(电话网、数据网、无线网)运营。各业务竞争对手主要集中在3~5个运营商之间,单项业务需要依托网络建设运维 成本、终端设备成本的支撑,因此业务的营销、服务的支撑不是单靠某个人、某个部门就能够单独完成。基于以上原因电信传统的分配体制主要是岗薪记件分配制。而信息化项目更多的是为政府企业、家庭个人提供差异化、个性化的产品及服务,业务类型主要包括系统集成类业务(ASP)、数据服务类业务(IDC/ITP)、信息服务类业务(cP/SP),这些业务对网络、成本的依赖性较小,对高端人力资源要求极高,面对的竞争对手更多――从本地到国内甚至国外公司、从其他电信运营商到中小公司甚至大的上市、外资IT公司,市场竞争更加充分激烈。因此在信息化项目运营上打破传统岗薪记件分配制,实行项目承包责任制是迅速实现转型的捷径。商务领航、号码百事通、ICT综合信息服务按照项目利润比例给予项目责任团队分成。同时,建立新型的人才培养通道,为企业发展注入新鲜血液和活力。服从和服务于企业发展战略,支撑业务转型,实现人力资源配置与业务发展相匹配。建立员工能上能下、能进能出体系,增强员工的专业能力和服务客户能力,在为客户创造价值的同时提升企业价值,实现员工与企业的共同成长。
