前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络设计方案主题范文,仅供参考,欢迎阅读并收藏。
Abstract: In order to resolve the problems in network design of real-time distribution system for logistics, the article analyzed systematically its each link and its features, aiming at logistics corporate put forward resolution, which used integer programming to design network plan to achieve the goal of improving efficiency and saving costs. At last, it provided a new way for network design of real-time distribution systems for logistics.
关键词:物流工程;实时配送;网络设计;整数规划
Key words: logistics engineering;real-time distribution;network design;integer programming
中图分类号:U491 文献标识码:A 文章编号:1006-4311(2011)25-0031-02
0 引言
所谓实时物流(Real Time Logistics,RTL)就是指通过应用现代物流技术与信息技术来主动消除企业物流系统中的管理与执行的延迟,从而提高企业整个物流系统的反应速度与竞争力,提升物流服务水平的物流理念,与物流企业通常所提的“JUST IN TIME”不同。 实时物流不仅关注物流各个环节的成本最低,而且更关注整个物流系统乃至企业的反应速度与能力,最终目标是要通过实时物流系统的实时采购、实时制造、在线仓储管理、实时配送、实时追踪、实时反馈等,使“四流”(商流、信息流、物流、资金流)同步合一,真正实现企业追求“实时”的理想目标。
物流实时配送系统走向计划化、规模化,任何企业要想保持持久的竞争力,就必须对市场环境变化做出实时反应,以便在激烈的竞争中抢占先机,实时企业 (Real Time Enterprise,RTE)理念,提出了成就RTE的6项原则,即标准、集成、协同、集中、敏捷、平台。物流企业如果由有经验的专人进行制定配送计划,则工作量比较大,且效率低下,同时不能适应企业今后发展的需要。在配送中心每天的业务量很大时,几乎平均每分钟一个订单,计划员要依据客户的编号来查找客户的实际地址,又要制定配送计划,因此工作量会相当大;同时企业不会只配送一种货物,而是应该利用自己的网络优势,进行其它业务的扩展。因此,建立物流实时配送信息网络系统是企业成功的关键。
1 物流实时配送系统的典型流程分析
物流管理中,物流实时配送系统起到商品集散的作用,它通过商品的集中采购、集中储备和统一配送,成为一个有力的保障系统。在整个物流系统中,配送中心是一个关键的节点。配送中心的功能包括:商品进销功能,仓储保管功能,商品配送功能,商品流通功能,信息提供功能。配送中心主要业务流程有:①接受订货的业务②入库系统的业务③配货系统的业务④在库系统的业务⑤出库系统的业务⑥配送系统的业务等。
在此基础上,物流实时配送的网络信息系统建设是配送中必不可少的重要内容。为了实现多品种少量、多频度的实时配送要求,减少缺货率、降低配货的差错,提高劳动效率、使配送中心作业简单化、省力化并达到降低成本的目的,就必须依靠信息系统的完善管理。
2 KJS企业概况
KJS是家国内一流的快运企业,企业总资产超过3亿元,分支机构超过300家,员工超过8000人,车辆超过1500台,年货物周转量超过3000万件。KJS于1994年1月18日成立KJS商标源于董事长的构想。猴子使人想到灵敏快捷一个跟头十万八千里的孙悟空;拎着的包裹代表从事的小件快运;圆圈寓意门到门服务;绿色象征生命,象征宅急送永远充满活力。
截止2010年,KJS全国拥有480家全资分支机构,10000个代收点及1000多家特许加盟经营合作网络,业务覆盖全国2000多个城市和地区,年货物周转量达7000万件,年业务量保持45%的增长率。多次被中国物流与采购联合会、中国交通运输协会评为“中国最具成长性物流企业”、“中国最具竞争物流企业”、“中国百强物流企业23名”。
KJS的网络优势体现在以点带面、班车连线,通过两次“绿色割据”,KJS建立起一张覆盖率仅次于EMS的快递网络。KJS网络优势不仅体现在满足自身的业务需求上,还体现在向同行业开放,满足国际、国内其他货运公司的需求上。
信息系统的优势主要表现在宅急送的ERP(综合管理)系统由17个子系统构成,分运营、客服、综合管理三大类。从最前端的COMMERCR使用,到仓库管理系统(WMS)、条码技术(BAR CODE)、全球定位系统(GPS)、客户资源定位(CRM)、路由管理系统(RRM)和客户网上查询系统。全国所有分公司及其下级营业网点均已联网,运营信息实时共享;各分公司与总公司服务器间采用硬件加密设备,保障信息的安全;通过各种技术手段已经实现与部分客户、合作网络公司的信息系统对接。
信息技术方面,公司率先搭建了“物流信息网络平台”,开单,查询,结帐等业务可轻松在网上完成;货物条码跟踪系统(Bar Code)和车辆全球卫星定位系统(GPS)的采用,使客户能够快速,准确的跟踪货物信息;KJS公司CALL+CENTER的投入使用,使客户与公司联系更加便捷。KJS正从一个以卡车为主的传统快运公司向着以信息技术为牵引的现代快运企业飞速发展。
KJS有一只270人的信息研发队伍,企业有很强的自主开发改造能力,目前使用比较高端的工业级PDA,通过GPRS网络实现远程任务指派、工作单基础信息实时录入与传递、签收信息反馈、签单影像扫描等应用,彻底实现信息前置,大大提高运营能力。
KJS在华北基地建立自动分拣线,在四个主要城市建立呼叫中心,在特一级分公司建立使用高架立体仓储中心,同时,KJS还大量使用叉车、尾板车,这使KJS从传统的运输模式中走出来,成为现代化的物流企业。信息技术优势的确立使其服务优势、成本价格优势、产品优势等有了坚实的基础。
3 KJS陕西配送系统网络设计方案
西安分公司成立于2003年1月,网络覆盖全省内9个地级城市,在西安市内设有5个取派送网点,拥有各种类型的汽车28辆,员工200人。
KJS陕西配送网络是由上行总公司负责的开发建设的。公司在陕西的分支机构12个如表1所示。
网络内所有营业所均已投入使用,要充分利用现有的营业所,在满足企业快速货运要求的同时,降低投资成本。根据网络的综合情况分析,将网络划分为13个区域,即增加西安KJS快运有限公司安康分公司。在整个综合营运网络内将设5个节点,每个节点专设相应的配送中心,我们称其为站点。每一个站点都将根据所服务区域的实际需求配置相应的设备,所有设备均为能按照设计的技术指标完成相应区域各营业所要求的各项综合快速货运业务。如图1所示。服务站点与相应服务区域的位置,其中①,②,③,④,⑤表示服务站点,1,2,…,13表示服务区域,由于地理位置的差异,随各站点到相应区域距离的不同,因而在考虑缩短站点与相应服务区域距离的同时,合理布置站点位置,分配相应服务区域。图1中虚线表示各区域由哪个站点负责,无虚线联系的,表示为不负责。
根据现有的设计规划,上行总公司提出,在满足各服务区营业所的需求,及时准确地提供相应快速货运服务的前提下,能否减少站点的数目。表2给出了各站点到各服务区总投资量,上行总公司希望在保证各区域营业所的需求下减少站点的数目,并根据表中提供的投资量的分布情况,适当地调整各站点相应的服务区域,使得站点到相应服务区域的支路网络投资总量最小。
根据当时所处的条件和公司的目标,我们可以建立如下的数学模型:
MIN(18X11+60X12+26X21+25X22+6X31+29X41+6X42+22X51+22X52+25X62+20X63+17X72+11X73+30X82+23X83+19X84+40X93+6X94+45X95+31X104+36X105+40X114+10X115+31X125+21X135)
S.T.
(1)X11+X12=1;(2)X21+X22=1;(3)X31=1;(4)X41+X42=1;(5)X51+X52=1;(6)X62+X63=1;(7)X72+X73=1;(8)X82+X83+X84=1;(9)X93+X94+X95=1;(10)X104+X105=1;(11)X114+X115=1;(12)X125=1;(13)X135=1;(14)Xi,j=0或1。
注:X135=1表示第13个区域由第5个站点提供服务,其他类似。由管理运筹学软件计算可得。
将上述数据输入管理运筹学软件,可得到如下的求解结果。
最优函数值=3226.000
由计算结果分析:第1个区域由第1个站点提供服务,第2个区域由第2个站点提供服务,第3个区域由第1个站点提供服务,第4个区域由第2个站点提供服务,第5个区域由第1个站点提供服务,第6个区域由第3个站点提供服务,第7个区域由第3个站点提供服务,第8个区域由第4个站点提供服务,第9个区域由第4个站点提供服务,第10个区域由第4个站点提供服务,第11个区域由第5个站点提供服务,第12个区域由第5个站点提供服务,第13个区域由第5个站点提供服务。只有这样才可以保证各区域企业的需求下减少站点的数目,并根据实际投资量的分布情况,使支路网络投资总量最少为218万元。比机械按顺序投资节约336-218=118万元。
4 主要研究结论
为了适应我国经济快速发展及物流产业信息化的基本要求,以提高我国物流企业管理效率为目标,利用现代信息网络与3G(GPS/GSM/GIS)技术,建立一个集科学化、可视化、智能化于一体的物流管理系统,为物流企业科学、高效管理物流物资配送过程,提供方便快捷的管理决策工具。本文通过对物流实时配送系统各环节的深入系统研究,分析了物流实时配送系统网络的特征,针对具体物流企业提出了具体的解决物流实时配送系统网络设计的解决方案,即采用运筹学中整数规划的方法设计配送网络方案,使企业达到提高效率,节约成本的目的。
实际物流系统集成的程度越来越高,物流决策者面临的问题也就越来越复杂。但是针对不同业务类型企业,其中所包含的内容是不同的,企业包含的内容才是系统的灵魂,这个灵魂就是算法结构。可以根据企业业务种类的大小,选择不同的算法结构和建立不同的运筹学模型。通过对算法结构的深入研究和改进,比如对于网络线路可以运用图论的算法,对于仓储问题用库存论,对于班次管理用线性规划、车辆配载优化采用动态规划等,结合计算机系统升级,进一步提高物流实时配送系统的效率。随经济的发展和货运的少批量多品种,采用多样化的运输工具,则配送方案也需要不断改进。
参考文献:
[1]毛光烈.第四方物流平台流程与制度一体化的创新性设计[J].管理世界,2008(4):6-12.
[2]Added-value logistics service to be offered In developing countries[R].Report of United Nation Conference on Trade and Development Secretariat,2000.
[3]CHENG J X,CHENG J S,et al.Algorithm on optimal driving strategies for train control problem [C]//Proceedings of the 3 rd Word Congress on Intelligence Control and Automation.June 28-July2,Hefei,China,2000.
当今,重视现代教育技术对教育产生的影响,大力推进教育现代化是世界教育发展的主流。我国在运用现代教育技术手段整合教学的过程中,已取得了相当成效。采用先进的教学手段,提供全新的教学环境来设计教学活动,已经成为市场的趋势所在。
随着现代化教学系统在各大院校的不断推进,传统的方式已经不再适应现代化的需要,集多功能教室系统、多媒体教学系统、演播系统于一体的新型现代化教育体系在教育行业得到了日益广泛的运用。作为一种新型的教育形式和现代化教学手段,多媒体技术给教育行业带来了新的机遇。
用户需求
整个系统要高效率地完成教学任务,结合各个系统,充分发挥各个系统的功能,实现现代化的教学。
(一)多媒体网络中控显示系统
多媒体显示系统由高亮度、高解析度的液晶投影机和电动屏幕构成;完成对各种图文资讯的大屏幕显示。
(二)A/V系统
A/V系统由计算机、DVD、VCR(录像机)、实物展台、功放、音箱等A/V设备构成;完成对各种图文资讯(包括各种软体的使用、DVD/CD碟片、录像带、各种实物、声音)的播放功能;实现多媒体电教室的现场扩音、播音,配合大屏幕投影系统,提供优良的视听效果。
(三)网络型多媒体中央控制系统
采用目前来同中央控制系统。实现多媒体电教室各种电子设备的集中控制。
要求操作简单、人性化、智能化;
要求整个系统可靠性高;
尽量多的体现出各种设备的卓越功能,让所有设备工作在最佳状态,发挥设备的最大功效;
能够控制投影机,进行开/关机、输入切换等功能,并控制屏幕,实现屏幕的上升、停止、下降功能;
能够控制DVD、VCR进行播放、停止、暂停等功能;
能够控制实物展台进行放大、缩小等功能;
能够实现音视频、VGA信号自动切换控制功能;
能够控制音量,进行音量大小的调节功能。
(四)多媒体教室管理系统
基于校园网(TCP/IP),利用电脑对所有的多媒体电教室进行管理。能够完成集中管理、集中控制、集中维护的功能。
完成集中、网络化的管理模式;
对所有电教室能够完成远端监视功能,在主控室能够了解到各个电教室的使用情况、设备的工作情况等等;
【关键词】有线数字电视;用户;网络分配设计
随着有线数字电视技术新突破,例如电视新界面可以划分为“看电视”、“点电视”、“用电视”、“玩电视”四大板块,界面采用扁平化结构,Metro风格设计,“一屏化”的一二级栏目同时展示,要求认真做好用户的网络分配设计,确保有线电视工程质量。
1有线数字电视用户网络分配设计
随着数字电视技术的提高,有线数字电视工程设计越来越严谨,尤其是用户网络分配的设计,结合施工现场网络端口以及配套设备的具体情况,因地制宜制定切实可行的科学实施方案。
1.1户外分配网设计
随着生产技术的成熟,有线通讯设备成本的降低,大数据传输功率的光纤设备的普及,进一步提高了信息传输质量和抗干扰能力,许多通讯公司采用先进光纤技术,把光接收机安装在各个生活小区的近口处,在提高用户接受信息质量的同时,便于设备检修和用户线缆以及终端设备的维护,目前,常用到的用户网络设计的方案有两种:光纤到户和光纤到楼。(1)光纤到户设计方案。数字线缆通过光接收器装换后,使用无源分路器采用星型连接的方式将数字电视信号通过两芯皮线光缆分头引进各家通讯配置箱,连接入户水晶头,实现用户电视的网络连接,这种方式尽量减少接头和设备的连接,在一定程度上提高了信号质量,减低各种耗损以及线路故障,这种方法简单易行,深受业内学士的认可,目前这种安装成本稍高,随着通讯设备成本的逐步降低,有望在未来的新生活区普及,让更多的人“畅享新鲜视觉”。(2)光纤到楼的设计方案。有线数字电视工程将信号进行转换后,将信息送入各个小区楼端口,采用无源光分路器将信号通过星型方式连接到每一个单元的数字光接收机上,通过光接收机分线端口可以为楼内居住用户服务,这种EPON+LAN的方式来实现同轴电缆和五类线同时入户,极大的方便了增减用户的操作。
1.2楼内分配网设计方案
楼内分配网的设计,要遵循集中分配全星型,设计方向结合光纤走线方式,有线数字线缆接入居民楼后,采用光接收机将远程信号转换成有声音图文的射频信号,这种设计是目前许多楼盘常用的分配网设计布线的方式之一,由于我国南北地理风貌各不相同,许多楼盘顺山势走向建筑而成,造成电缆接入口也不尽相同,在具体施工中楼内分配网络设计模式也不同,大部分是结合当地数字运营商的采用设备进行布局设计,一般常用有分支独立连接,还有一种常用的方式集中分配网络,这两种方式都取决于分配器对光信号进行分配。现在常用的分配器包括阻抗匹配器、功率分配器、高频补偿电容和隔离电阻。其中阻抗匹配器和功率在集中分配中同轴线缆应用中,减少一些分支、分配器的使用,提高了光纤传输率,高频补偿电容和隔离电阻在一定程度上提高了抗干扰能力,为用户提供高质量纯清图像,在这些集中优势的背后,又有一些问题继续改善,那就是线路中的接头,每一个接头都会削弱光纤的信号,因此在施工中尽量采用高质量的设备线缆,减少接头的使用。这种星型的设计结构有利于日后数字通信设备的升级改造,为广大数字用户提供了优质图文,为有线数字技术的开拓创新打下良好的基础。
1.3分光设计
有线数字信号接入小区室外光交接箱以后,通过分光器将信号进行分解,提高信号质量确保每一用户都能获取充足的信号资源,分解后的信号通过线缆管道进入各个单元通讯设备配置室,再通过个用户墙内线管接入用户家庭。经过无源光网络主要设备分计算时,分光比例可以达到1:64的扩充速度,这种一点对多点的光纤传输和接入技术,下行采用广播方式,上行采用时分多址方式在单元通讯设备配置使用,一般情况下分光器接ONU终端设备需要配置2台插片式的PLC光分路器,每个单元的分光点处通常会配并通过分配器连接对应的插片式PLC分光器,让每个用户使用的带宽可以从64kbps~155Mbps灵活划分,一个OLT上所接的用户共享155Mbps带宽。
2信号测试
有线数字电视工程实施以后,要对初装系统进行测试,检验一下有线数字工程质量以及通讯设备各项指标是否合格,对后期有线数字工程的维护提供全面的检查记录,对整个工程质量有一个明确的定位,对未来有线数字电视的安装和维护有重要的指导意义,也是对有线数字用户负责的表现。
3结束语
有线电视数字用户网络分配设计,要综合考虑各方面的因素,结合各地通讯设备采购情况,因地制宜,因材设计网络分配方案,制定一套高效节能的优质实施计划,进而提高有线电视数字质量,确保家家户户畅想优质画面。
参考文献
[1]吴洪川.有线数字电视的市场拓展策略探析[J].广播电视信息,2017(03).
关键词:政务网;VPN技术;建立计生专网
技术目标
在网络层面实现上联国家、省级横向连接分支机构、纵向连接地市、县市区、乡镇相关部门的业务网络并实现电子政务横向网络与其他政务部门的信息交互和业务协同等应用。
技术原则
标准化网络协议,支持多种应用,采用合理的技术手段,依据节约投资和运行费用的模式,建设符合国家和省电子政务管理部门要求的网络。
网络建设基本框架
计生委系统网络建设从国家到地方已经完成,我省则设计为继续向下延伸,按照省、地市、县市区、乡镇四级网络建设。其中省级计生委系统已经接入省电子政务网络之内。
按照国家和我省电子政务网络系统建设的要求和办法,除计生委系统的电子政务网络的上联国家部分外,其余省内部分的四级网络在省内应按照本省政务网络模型为主建设,尽量利用省电子政务网络平台建设省内专网,同时必须与省电子政务网络横向网络实现交互,并从省级计生委中心出口上联国家,完全执行全国IP地址规划和省内政务网络IP地址规划。
所以,本设计方案总体思想是原则上省内计生委系统网络利用省内电子政务网络平台为主,对于由于各种原因(接入单位所在地省电子政务网络中心平台没有建设完成、没有到平台的链路等)不能搭建在省电子政务网络平台上的,使用VPN网络实现联接。
整体框架图如下:
搭建在省内政务网络上的部分,执行省政务网络接入技术要求和技术规范,都是端到端的联接,包括全部地市和部分县市区有条件接入政务网络的计生委所属部门。
其余计生委所属部门采用VPN网络,而VPN网络技术实现则包括两种技术方式连接:(1)端到端的连接,(2)点到端的连接。
下面对上述总体框架技术方案进行详细的说明。
网络互联技术
网络互联是指计生委系统内分布在省、地市、县市区的相关部门的局域网互联后形成的专网(计划生育系统专网),以及包含计生委系统乡镇一级相关部门的远程访问专网互联技术。
网络连接需求
四级网络中(省、地市、区县、乡,街道办事处),地市作为数据资源分中心需要永久地连接在网络上。县市区部门也应按照与地市一致的模式定位,而乡镇一级则为不需要长连接的网络。
另外从连接的两端看,乡镇一级可能是网络,但目前最大可能是单机连接,属于点进入网络为主(点到端),县市区和地市则是局域网进入网络为主(端到端)。
网络连接途径
(1)利用政务网络途径
省电子政务网络是一个利用MPLS技术建设的专网,其提供的MPLS-VPN服务,可为我们建设地市和县市区的部门接入的广域网提供支撑,并且具有网络稳定,带宽较高的特点。
省电子政务网络基本接入设备(网络和安全)包括:接入路由器和防火墙各一台。设备型号和品牌应按照省政府指导系列选择。
(2)利用VPN网络途径
VPN网络实现包括两个方式,一个是租用运营商的VPN服务,由运营商提供VPN网络服务。目前中国网通黑龙江省分公司可提供带宽从AD到光纤的VPN专网服务,可实现提供两端为以太网络接口的点对点和点对多点的VPN专网,不含任何IP地址的二层专网类型。其中点对多点的服务中心点的带宽可选择光纤以太网高带宽,对应下面分散个点的不同带宽服务;另外一个VPN方式是自己组建VPN网络,利用公众网络通过端接设备,实现VPN连接。
两种方式部分特点对比如下:
VPN设备
使用VPN技术模式,两种VPN技术实现情况下有关VPN设备出处不同。租用VPN情况下,不需要投入任何VPN设备;而自建VPN情况下,则需要投入建设VPN的设备。
端到端的解决方案两端投入VPN设备,点到端的解决方案只需一端投入VPN设备。
自建VPN设备可选路由器(支持VPN)、防火墙(含VPN模块)、VPN专用网关、UTM等几种。
以上几种设备成本有差异。选择排除成本因素,唯一要注意的问题是必须使用相同品牌设备建设网络系统效果最佳。
网络安全分析
VPN网络具有相当好的安全特性。
租用VPN则属于MSTP技术实现与二层或者二层到三层之间,已经属于十分安全的范畴,唯一问题是该VPN的管理不在自己手里,可能出现的纰漏包括服务商构建VPN的时候错误地把非法成员划入进来和中间线路被恶意盗窃并增加了终端VPN设备。
自建的VPN则属于利用公网穿越技术,也是比较安全的应用,这个VPN管理在自己手里,可能出现的纰漏则是VPN设备被攻击后更改配置加入到网络内,或者被恶意者在公网俘获数据包并进行大规模运算后破解VPN加密信息截取传输的数据。
但是以上的纰漏都是很难出现的,任何网络不可能做到没有纰漏,相对我们的网络建设和安全需要看, VPN连接能满足使用要求。
另外,从设计上考虑安全需要,我们设计的路由器支持USB接口的加密KEY,有关一些连接认证则必须通过专门设计的加密钥匙,从而提高自建的VPN网络系统的高度安全。
可行性分析
目前,根据掌握的情况,地市一级接入政务网络只要推进工作加强,投入接入设备完全可实现网络连接,而在县市区则由于条件差异,需要进一步确定连接网络的技术类型,只要确定是通过政务网络、还是租用VPN网络、还是自建VPN网络连接后,投入接入设备完全可实现网络连接。
目前,建议乡镇一级使用自建VPN模式,并且属于远程访问模式,可实现快速部署。所以,整个网络建设的各项条件应该已经具备。
可管理性分析
对于接入省政务网络的技术方式,系统管理总是在政府内部,整体都具备良好的可管理性。
对于租用VPN网络的技术方式,管理一部分由运营商负责,一部分由自己管理,特别是对于接入、应用、硬件等管理还是基本自己负责,也具备不错的管理性。
对于自建VPN网络的技术方式,管理全部自己负责,设备、接入、应用、系统的管理都是自己负责,可远程管理,也具备很好的管理特性。
可转移性分析
对于使用VPN方式接入,我们对应的接入设备采用路由器,这些路由器的选择可采用能转移到政务网络接入模式来使用的通用设备,这样可支持连接模式的转移,不造成技术连接模式根据条件的变化后,设备继续投入使用的问题。
实施部署相关问题
由于本次系统建设与省电子政务网络配合,包括全面的IP地址规划和实施,必须落实到省电子政务网络之中,特别是VPN网络部分,IP指向都需要根据不同的网络连接进行不同的指向,因此整个政务网络内与计生委相关部门的IP路由,无论专网使用的XX段,还是省政务网络部门间的互联互通的XXX段,都需要根据实际情况进行调整,涉及全省范围情况复杂,工作量相当大,应引起各基层单位的重视。鉴于目前我省各基层单位的具体情况和省内网络运营商所能提供的网络服务和收费情况。我们建议首选接入省政务外网,其次是在互联网上自建VPN通道接入省级计生委中心平台实现网络连接。
参考文献
[1](美)Craig ZackerPaul Doyle,孙学涛,罗兵,等.计算机网络联网升级和维护大全.机械工业出版社,1997(12).
[2]樊丰,林东.网络信息安全&PGP加密.清华大学出版社,1998(7).
[3]肖德琴.计算机网络原理与应用.国防工业出版社,2011(2).
关键词:XX科技孵化园区 网络数字视频监控系统 设计方案 应用
Abstract: the configuration of software and hardware equipment type selection, the whole system should both comply with the tide of new and high technology, the key of digital video, compression, decompression, stream, transmission adopts is widely used in engineering construction technology at home and abroad with the products. On the premise of meet the function, system design to be advanced, and maintain advanced in a period of time in the future.
Keywords: XX science and technology incubation area, network digital video monitoring system design application
中图分类号:N945.23 文献标识码:A文章编号:
1.概述
1.1 项目背景
XX科技孵化园是XX市最大的高科技企业创业园区之一,该园区一期工程在2008年完工时,就已经安装了全套的模拟视频监控系统,确保园区内部企业的安全防范工作顺利落实。随着科学技术的不断进步,传统的模拟视频监控系统已经无法满足逐渐增加的安全防范需求,网络数字视频监控技术日趋成熟,更大容量,更多点位,更智能的管理,更人性化的操作,使得网络数字视频监控全面抢占了视频监控项目的制高点。该孵化园二期工程完工后,根据各相关部门的要求,分析实际技术环境,最终选择全面使用网络数字视频监控系统。同时,对一期工程的传统模拟视频监控系统进行全面升级改造,并入新建的网络数字视频监控系统中,统一管理。
此次项目难点在于除了二期工程的视频监控系统构建外,还需要在尽可能利用原有建设条件的情况下,将一期模拟视频监控系统全面改造升级,并入新的网络数字视频监控系统当中,保证园区整体安全防范体系的完整性。
1.2设计依据
设计方案是根据客户的要求和园区的平面图纸,参照国内外相关法规和标准设计的安防系统解决方案。我们将本着诚挚、严谨、负责的敬业态度,根据本工程的实际要求,利用成熟的技术经验提供设计方案。
2.系统设计
2.1设计思路
此次设计思路如下:
(1)根据要求,此次设计采用服务器集群结构,实现“大容量、多画面处理、实时录像和回放、联网远程监控”的目标。
(2)此次设计系统便于以后用户的安装、操作和今后的维护便利;
(3)系统设计考虑了各种兼容要求和扩容要求:包括现有数字设备的接入、现有模拟设备改造接入、控制及监控点后期扩容、系统规模扩容、临时授权用户远程监控等各种可能扩容方式下对现有网络的兼容和便利性,设计的系统能够满足兼容和平滑扩展的要求。
(4)系统设计对网络传输路由具有良好的适应性,可以在局域网、广域网、城域网、无线网络等各种方式下运行。根据网络资源的情况,在不同的网络带宽下可以灵活设置编码格式,以获得不同的图像质量。
(5)此次设计的系统是按标准和开发的,系统软件全部采用通用的主流标准;如系统采用标准的TCP/IP协议、接口标准通用等;适合生产园区安保系统各个标准子系统的集成。
(6)系统考虑了操作冗余、数据安全和远程鉴权等技术手段,保障系统安全运行和不受外部入侵,完善的身份认证能力,保证系统稳定运行。
(7)在技术性价比方面,方案采取实用的原则,不追求高端设备的堆砌,特别是对于旧系统的升级改造方面,方案本着尽可能利用现有设备的原则,选择通过传输设备的替换,将已经布线完成的模拟监控系统有效利用,大大降低了施工及线材成本,更无需影响一期楼内的正常工作,完全达到最大可能的项目性价比。
新建数字网络综合监控系统的关键设备包括监控系统软件平台,网络硬盘录像机(NVR),网络摄像机和专用传输设备。
在项目中,采用了北京安力博发科技有限公司的“佰沃”数字视频监控解决方案所包括的软硬件产品来搭建系统。
2.2总体框架
根据生产园区网络数字视频监控系统要求,结合实际情况,设计如下方案。
所有的视频的传输、切换主要包括“佰沃”高清低码流网络摄像机(枪机、半球、智能高速球),“佰沃”BDNVR网络硬盘录像机,“佰沃”BDCMS数字视频监控管理平台软件,“佰沃”B-DTA100/200数-模以太网延长器等专业设备来完成。对系统的设计,严格遵照国家及部级标准来进行,使整个系统的配置充分的体现科学合理、实用、经济的原则,以达到较高的性能价格比和保护技术的先进性,同时也使系统的功能和容量都具有可扩展性,为今后的升级和扩充创造了一个较大的技术空间。
系统结构如下图,前端的“佰沃”高清低码流网络摄像机采集视频信号并进行压缩编码,然后通过网络将数字化后的信号传到监控中心。
2.3监控中心配置
园区监控中心放置安装了”佰沃”BDCMS视频管理平台客户端的“佰沃”BDNVR网络硬盘录像机(NVR)以及安装服务器软件的服务器、虚拟矩阵工作站等设备。
“佰沃”BDNVR网络硬盘录像机(NVR)负责存储及转发前端网络摄像机发送过来的视频流,单台”佰沃”BDNVR网络硬盘录像机(NVR)最高支持70路高清(按照4Mb码流计算)画质图像的存储和转发,NVR系统可以通过联网的方式使多台BDNVR网络硬盘录像机(NVR)成为一个整体的监控系统,通过一台中心管理服务器进行统一的管理和操作,更加方便用户的使用。
“佰沃”虚拟矩阵工作站可以将”佰沃”BDNVR网络硬盘录像机(NVR)转发的实时视频或者录像数据在监控中心解码上墙显示,如果有其他用户需要查看监控图像,只需要安装”佰沃”BDCMS监控平台客户端软件,经过中心管理远的授权后,可通过客户端登陆到服务器上实现对整个监控系统的监看。
客户端可以根据具体情况增加,只要PC与本网络相连即可,中心则无须增加任何设备。若监控点发生问题,值班人员可以及时通知事发地点的值班人员或亲自处理。
2.4监控前端配置
为了获得最佳图像效果,原有模拟摄像机的清晰度已经无法满足需求,因此将前端摄像机统一配置为“佰沃”高清低码流网络摄像机,且以枪机、半球、高速智能球这三种摄像机为主。
在主要出入口配置“佰沃”BD10C-130HD1W1/1高清宽动态枪式网络摄像机,对进出的人员,车辆进行记录,宽动态效果可以在强光照射的条件下,清晰的记录车辆牌照的图像。
周界及主通道采取枪机与高速智能球型摄像机搭配的方式,确保在发生非法入侵等特殊情况时,通过高速智能球型摄像机的操控,室外场所可以做到无死角监控。
楼宇内部采用半球及枪机搭配,即保证了隐蔽,美观,不会影响楼内人群的正常工作生活,又可以实时监控并记录各个公共区域内的安全情况。
2.5传输线路配置
由于涉及模拟监控升级改造及新监控点位的建设,因此在传输线路方面分为两个部分进行。
旧有模拟监控系统的前端采集设备为了保障图像清晰,已经全部升级为高清网络摄像机,因此需要将前端的网络信号传输到控制中心。
按照以前的做法,应该将原有布设的模拟信号传输线路(同轴线)全部废弃,重新布设网线,交换机,光纤传输器,光纤等全新的传输线路。但是这种方案浪费较大,不仅原有的管路完全浪费,新建管路也涉及大量的重复投资,更重要的是在布设线路时会对楼宇内人群的正常工作生活造成极大的不便,严重影响园区的服务质量,对园区形象造成极大的损失。因此,在方案中,采用了“佰沃”B-DTA100/200数-模以太网延长器,对原有系统进行升级改造。
“佰沃”B-DTA100/200数-模以太网延长器以“对”为单位,一前一后,前端设备可以将前端网络摄像机采集并编码出来的网络信号,转为可以在同轴线内进行传输的模拟信号,利用原有的模拟信号传输线路,统一的传输到控制中心,再经过后端的设备,还原为高清网络信号,进入整体网络系统当中。
这种方式利用了原有的管路,节约了大量的线材,辅材,传输设备等费用,降低了人工的工作量及施工费用,安装极其简便,把原有系统升级改造对楼内人员的影响降到最低,将原有系统轻松简便的融入了新建网络系统中。
新的监控点建设则直接基于局域网络,通过各级交换机,光纤等设备,构造新的网络传输系统。
精品课程 网络教学平台 数据库
一、网络教学平台的设计的总体思路
1.网络教学平台设计的目标。网络教学平台的设计目标主要有以下两个方面:运用互动的方式来给师生提供各类与教学的相关的资源与服务,从而建立科学、规范、开放的网络教学资源及技术体系;建设先进的技术服务以及资源管理系统,以用来满足教学资源管理库大规模应用及大容量存储的需要。通过网络教学平台的建设,拓展各学科和专业,尤其是重点学科的数字化教学资源,促进名师名课程及精品课程的建设,从而建立一支具备教育信息技术的高素质新型教师队伍。
2.网络教学平台设计的原则:
(1)前瞻性。要符合素质教育以及各种新型的教学模式的要求,建立具有前瞻性的教学资源数据库和相应的技术支撑平台。
(2)互动性。教学平台设计时,要能够体现学生学习的主动性以及教师授课的主导作用,对培养学生的创新能力和学习的主动性有帮助作用。
(3)学科性。网络教学平台设计时要体现学科的特色,充分的利用网络通信的方便性和快捷性,从而使得教学资源的动态重组能够达到最优化。
(4)规范性。在设计时,同时也要注意资源的文件格式及其分类的标准要与国家相关的技术规范、标准相一致,从而能够使得平台能够更好的实现资源的共享。
二、网络教学平台的开发与应用环境
1.运行平台。网络环境:基于TCP/IP协议。服务器端:Web服务器IIS5.1上版本。客户端:Microsoft Internet Explorer6.0及以上版本。
2.开发工具。利用Dreamweaver MX、Eclipse,采用JVASCRIPT语言、数据库SQL语言、HTML标记语言等来实现该网络平台。本系统主要采用JSP技术和Web开发技术,结合数据库等进行动态网页的设计。
三、系统设计及主要功能
1.系统设计。一个完整的网络教学平台应该满足来自学生、教师和管理员这三方面的要求。学生的需求主要是注册认证、网络交流、资源下载和使用、查看和修改资料等;教师的需求为通知学生课程动态、根据学生学习和课程情况提出意见等教学情况的操作;管理员主要是对学生、教师及其整个网络教学情况进行管理。因此,根据上述需求,可以将该平台划分为学生子模块、教师子模块和管理子模块。网络教学平台的结构如图1。
图1 系统结构图2.主要功能。网络教学平台是一个将课程资源作为平台的中心,集成了网络的教和学的综合性的环境。平台以各门课程为核心,对于具体的每门课程都有自己独立的学习区域、考试区域、管理区域和管理区域。整个网络教学平台的结构如图2所示。
(1)学生子模块。在该模块中,学生可以进行注册认证、课程学习、网络交流、在线测试、资源下载等。如果是新用户,在登录网络教学平台之前,必须先进行注册。登录之后,可以浏览课程信息、任课老师信息、课程安排等相关信息,从而选择合适的课程,经过管理员审核通过之后即可进入课程的学习。在学习的过程中,学生也可以查看自己的学习进度,完成老师布置的作业,通过在线考试系统来检验自己的学习效果。通过浏览教师给予的学习评价,掌握学习中的不足,从而及时纠正错误,调整自己的学习计划和学习方式,同时也可以对老师进行评价,提出自己的意见。
图2 网络教学平台的平台结构(2)教师子模块。在教师子模块中同样也可以进行用户的注册和认证、课程指南、在线评价、网络交流等。教师可以制作和上传电子讲义和课程的多媒体课件、录制教学视频供学生点播观看。通过浏览学生的作业以及学生的在线测试成绩,了解学生的学习动态,掌握学生学习中出现的各种问题,以便调整教学计划、布置相应的教学作业并做出相应的辅导。
(3)管理员子模块。管理员子模块相当于后台管理子模块,主要负责管理学生子模块、教师子模块及整个系统的综合管理。系统管理是管理员子模块最重要的功能。其中也要注意用户认证、安全权限和恶意攻击等的控制。要及时更新课程信息,增加新的课程,删除过时的课程。要根据评价系统,对教师和学生给予评价考核,提出相应的意见和建议。
四、高职精品课程资源建设要求
1.试题库。以职业需求的依据,分为理论题和实践题。试题库中应包括单元题库和综合题库的在线测试,每一题都应有成绩显示和结果分析。高职的考试题不宜广而深。
2.案例库。以“就业的指导”,结合专业特点设计每一章节的学习案例。综合性的高职院校一般专业都比较多,有经济类的、有工科类的、有教育类的、有法学类的……因此,在案例库中应设计足够多的相关行业的计算机应用的典型案例,让学生在学习过程中,对相应案例一一实践,充分体现利用计算机解决工作中的实际问题。
3.媒体素材库。分类保存,内容广泛。素材库中应该提供尽量多的各种媒体形式的素材,结合各专业提供案例中涉及到的素材,同时列出互联网上开放的媒体素材库的网址。让学生通过提供的素材完成各项学习任务。
4.网络课件库。以学习者为中心,体现先进教育思想。网络课件除了要体现科学性、教育性、艺术性、技术性外,还要体现对案例操作的示范性。教学方法上采取任务驱动法、协作讨论法、发现式教学法。逐步培养学生具备计算机操作使用能力、应用开发能力和一定的创新能力。
5.文献资料库。内容全面,有深度和广度。此库是帮助学生拓展知识和进一步学习计算机的高级应用而设置。高职要求理论要精,学生学习过程中对该理论的理解是不够全面的,本库要充分拓展相关的知识,让感兴趣的学生钻研得更深。
参考文献:
[1]汪洁.基于Web的网络教学平台的开发与设计[J].信息安全与技术,2011,(4).
[2]侯永广,熊晓莉.浅析网络教学平台[J].延安职业技术学院学报,2011,(2).
计算机是一种用于高速计算的电子计算机器,可同时进行逻辑运算及数值计算,具备一定储存记忆功能,可根据程序自动、高速地进行大量信息处理工作,是现代化智能电子设备,由软件系统和硬件系统组成。计算机网络毕业论文是基于计算机基础上发展起来的全新概念,指将不同地理位置、具有独立功能的多台计算机及其他外部设备,通过通信线路连接起来,在网络操作系统、网络通信协议、网络管理软件的管理与协调下,实现信息资源的共享与传递。计算机网络规划与建设以传输信息为基础目的,主要组成部分包括:通信设备、传输介质两大部分,是通信线路互相连接、许多自主工作计算机构成的集合体。若按照网络范围可划分为:局域网、广域网、城域网、互联网4种。世界上最早的计算机网络出现于20世纪60年代,由美国国防部远景规划局提出并研制。计算机网络结构虽简单,却能够可靠地传输数据信息。70年代计算机网络得到发展,进入_个新的阶段,现如今计算机网络己成为生活、学习、工作中不可或缺的重要工具。局域网特点是用户少,配置容易,连接速率高,传输速度快,以令牌环网、以太网、接口网络、异步网络、无线局域网络为主。城域网比局域网范围要大,用户要多,例如企业LAN、电信LAN、政府LAN、医院LAN等,城域网传输的数据类型更丰富,建设成本也更高。广域网又称远程网,比城域网范围大,地理范围可达到几千公里,典型的有:CHINAPC网、CHINANT网、CHINADDN网等。无线网络是近些年来新兴的网络形式,建设成本低,应用方便,前景巨大,但稳定性有待提高,应用中存在局限。典型无线网络有:蜂窝网络、数字网络、无线WAN、无线LAN等。想要保障计算机网络的稳定性和可靠性,必须做好网络规划与设计,保障网络工程施工质量,降低故障率。
2 计算机网络规划设计基本原则
计算机网络规划设计具有较强的复杂性和专业性,涉及方案规划设计、实施,包括网络设备、网络软件、网络结构、硬件系统、网络安全等多方面内容,任何方面存在缺失或设计不规范,都可能带来网络安全问题,影响计算机网络正常使用,好的规划与设计方案是构建一个成功计算机网络的关键。因此,计算机网络规划设计中,必须坚持规划设计基本原则。在计算机网络规划设计中,应保持网络的先进性、实用性、扩充性、开放性,要便于维护,各节点微机和工作站都应该建立有效联接,从而组成一个高性能的计算机网络。为了保障计算机网络运行速度,保障网络稳定性,应统一调控和管理,并做好网络安全防护措施。具体规划设计应根据用户需要,考虑计算机网络使用长期目标和近期目标,明确使用需要目标,确定规划设计目标,保障计算机网络规划设计针对性。因此,要考虑到用户需要什么,如何才能满足用户需要。再根据分析,结合用户需要,确定协议集、网络规模、节点数量、覆盖范围。从先进性原则来看,计算机网络设计规划应尽可能采用先进网络技术,从而保障网络能够长时间保持先进性和可用性,避免建设后短时间内被淘汰,造成资源和成本浪费。从扩充性原则来讲,网络规划设计中应采取模块化设计思路,提高网络系统配置的灵活性,为了应对未来计算机网络应用的需要,预留合理的扩充余地,保障系统能够简单扩充新的设备,降低计算机网络改造与更新成本。从安全性原则来讲,安全是计算机网络使用的前提条件,不论广域网,还是局域网都要满足安全、可靠的基本要求。网络具有一定的开放性,易受到攻击和破坏,造成数据的损坏或丢失。若企业计算机网络受到攻击,导致商业机密丢失后果不堪设想,往往会给企业造成巨大的经济损失,保障网络安全事关重要。网络安全部件要考虑网络组件、网络节点,还要考虑通信线路、拓扑结构、应用软件等方面,确保网络安全性和保密性,应设置防火墙和防护软件,对网络安全进行控制,从而抵御外部网络攻击。从实用性原则角度来讲,是计算机网络设计规避中必须遵守的基本原则,计算机网络的建设要保障性价比,在有限的资金投入下,尽可能规划能够满足用户使用要求的网络系统和结构,压缩成本,提高实用性。另外,还要保障网络的可维护性,建立合理的问题解决方案和定期维护方案,以提高维护效率,降低故障率,避免影响网络的正常使用。在设计中只有遵循规划设计的基本原则,才能设计出高性能的网络。
3 计算机网络规划设计及实施方案
3.1 总体规划设计
通过前文的分析,不难看出做好计算机网络规划设计及实施方案的重要性和必要性。企业网络、校园网络、局域网络都要做好网络设计与规划。具体网络设计与实施中,要先考虑计算机网络通信业务需求,选取合适的网络硬件设施,以模块化组合方式,把语言、数据、图像及控制信号系统用统一的传输媒介进行规划设计,使其形成一套标准的综合布线系统,将各子系统与模块连接起来,为整个计算机网络系统提供物理介质。综合布线系统设计与实施成功与否,影响着整个网络系统的成败,影响着网络传输速度与稳定性及抗干扰能力,它是信息数据传递的通道,负责数据信息管理系统与网络硬件设备的连接,整个网络都需要依靠综合布线系统作为网络连接的物理基础。总体规划设计中,要尽可能提高综合布线系统集成度,对网络结构进行整理与优化,保障网络通用性、扩展性、灵活性,降低维护与管理成本,提高传输速率。除了要对综合布线系统进行考虑外,通信协议方面与网络管理软件方面也应进行设计。具体设计中要以国际通信标准为依据,参考11801,ISO,IEC,TIA,ANSI等标准,采用符合6类标准的布线线缆,根据配网结构进行统一规划设计,从而进一步提高计算机网络兼容性,以满足不同的网络使用要求。网络硬件方面,要选择先进的交换机、路由器、服务器,尤其是服务器的选择非常重要。IBM System x3850X6和ThinkServer RD450都有较高的性价比。IBM Systemx3850 X6采用了4U结构和SAS接口,完全能够满足各类局域网络应用需求。想要降低网络建设成本,可考虑租用云服务器。云服务器无需维护和管理,能够节省维护与管理费用。但云服务由云商运营,若云商出现问题将可能造成数据信息的泄漏或丢失,所以做好云商选择非常重要。企业应根据自身经济实力和实际使用需求选择设计方案和思路,进行合理的网络建设。
3.2 计算机网络建设实施方案合理的实施方案非常重要,是顺利进行计算机网络建设的基础。实施方案的确定要结合预期网络规模和使用要求,具体的网络结构包括:星型结构、树型结构、环形结构等,不同的网络结构有不同的特点和优势。若资金允许的条件下,应尽可能采用分层星型结构。这种网络结构与其他网络结构相比,不仅故障率低,且不会因某一节点故障导致整个网络瘫痪,具有较高集成度,中央节点执行集中式通信控制,完全符合复杂的综合计算机网络建设和使用要求。另一方面,该网络结构能够合理减轻各节点负荷,提高网络整体运行速度和效率,尤其是大数据传输、处理、共享等方面,都有明显的应用优势,整体运行速度是树型的2倍。但该网络结构形式不仅建设成本高,且对中央节点依赖性较大,若中央节点出现故障将影响整个计算机网络的使用。因此,应用这种网络结构,必须做好中央节点维护工作,准备备用网络设备,应对各类突发性故障问题,从而降低中央节点故障率。具体方案实施中,为了提高网络整体安全性、可靠性、稳定性,强电部分则要采用树形拓扑结构,能够提高结构融通性,保障强电部分稳定性。线时强电要集中于中枢站,尽可能设置于中心地带或负荷中心区。实际进行网络结构布线前,必须现场勘察,分析影响布线及可能对网络造成干扰的因素,确定布线策略,选择合适的方案和工艺手段,避免因外界干扰造成全网瘫痪。电缆沟截面积应在l-2m之间,主干道要在功能区附近,电缆沟结构要上下、左右分布,采取分层结构,配线架要设置在中央节点附近的出口干线处,以便于使用及后续的管理,其他配需中心根据功能区分布、建筑面积大小来确定。例如,在企业或医院网络规划设计中,网络覆盖范围为38万㎡,就要配置一个50㎡的主配线中心,设置2万多个布线点。具体布线中,功能区的划分要结合建筑的施工功能和功能区特点。最好分2个路由布线,配线节点间距最好不要超过2000m,BD至FD的距离要小于500m,要采用光纤线,但节点光纤端口不宜超过20个,以提高整个网络的信息传输速率。FD距信息插座距离要小于90m,每楼层布线点不宜超过200个,若有使用需求超过标准数量,可考虑适当增加距离。节点确定后,布线方式应选择暗敷施工方式,以保障建筑美观性。另外,在方案实施中要尽可能避免对建筑结构造成较大的影响,所使用管线管径要小于32cm,分层布线要保持在50-60m内。具体布线点设定必须经过科学计算和严密的分析,不仅要满足当前使用要求,同时还要考虑未来使用要求和扩充需要,避免造成资源浪费。主要功能区要设中心配电间,主回路20回,电柜6台,采用封闭式配电桥架将线路分送至各功能区。要根据实际应用需用设置LAN,以满足移动设备对网络使用的需要,同时要设置网络应用接口。网络应用接口数量的确定和位置的确定,要根据外部网络设备预期数量及特点来决定。如果外部网络设备过多,建筑面对过大,应设置布线总端口和分级控制台,布线端口应位于地板下货天花板。预埋线要包括:三芯电源线、封头端口线、两端口视频线、两端口RGB线,管线铺设时应选择PVC管或薄壁钢管。布线端口处应预留备用线,降低故障率。各功能区中心应设3-5个备用临时网络端口,以满足临时网络使用需求。此外,为了满足多形式数据传输要求,各功能区还应设置3-4个数据点和语音点,用于数据的采集与录入、处理、传输。并且每一个数据点和语音点都应进入服务器,以保障数据上传、处理的及时性,提高网络运行效率。数据点与语音点在连接中应采用有线同轴电缆连接服务器来提高效能。总机房网络规划中应采用架空地板布线方式进行建设。总机房对端口需求量大,为了保障网络灵活性,以便于应对随时扩充,这种方式最理想。但架空地板布线方式可能会引起消防问题,因此必须做好消防工作,避免安全事故的发生。在网络规划实施方案确定后,要进行基本的维护方案和安全方案设计。必要的定期维护能够将故障效率在萌芽中,提高网络可靠性。并且维护记录还能够为故障维修提供可靠的数据资料,大大提高网络维护效率。计算机网络规划、设计、实施中,网络结构、网络布线、网络维护都要考虑到。
关键词:主动防御;网络安全;攻击;防御
中图分类号:TP393.08文献标识码:A 文章编号:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴随着计算机网络的大量普及与发展,网络安全问题也日益严峻。而传统的、被动防御的网络安全防护技术也将越来越无法应对不断出现的新的攻击方法和手段,网络安全防护体系由被动防御转向主动防御是大势所趋。因此,立足现有网络设备进行攻防实验平台的设计和研究,对于未来网络安全防护技术的研究具有深远的指导意义。
1 系统功能设计概述
1.1 主动防御技术的概念
主动防御技术是一种新的对抗网络攻击的技术,也是当今网络安全领域新兴的一个热点技术。它源于英文“Pro-active Defense”,其确切的含义为“前摄性防御”,是指由于某些机制的存在,使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件,因此有了通常所说的“主动防御”[1]。网络安全主动防御技术能够弥补传统被动防御技术的不足,采用主机防御的思想和技术,增强和保证本地网络安全,及时发现正在进行的网络攻击,并以响应的应急机制预测和识别来自外部的未知攻击,采取各种应对防护策略阻止攻击者的各种攻击行为。
1.2 系统设计目标
目前关于主动防御的网络安全防御策略理论研究的较多,但是对于很多实际应用方面还缺乏实战的指导和经验。网络安全攻防实验平台主要依据主动防御技术体系为策略手段,针对现有网管软件存在的问题,进行主动防御技术体系优化,其核心在于在实验中实现系统的漏洞机理分析、安全性检测、攻击试验、安全应急响应和提供防御应对策略建议等功能,能够启发实验者认识和理解安全机理,发现安全隐患,并进行系统安全防护。
1.3 实验平台功能
基于主动防御的网络安全攻防实验平台是一个网络攻击与防御的模拟演示平台,在单机上模拟出基本的网络节点(设备),然后在这个模拟的网络环境中演示出网络攻击与防御的基本原理和过程,并以可视化的结果呈现出来。该实验平台所仿真的机理和结果能够依据网络安全的需求,最终用于网络攻防测评和实战的双重目的。并可以为网络攻击和防护技能人才更好的学习提供一定的参考。为完整地体现网络战攻防的全过程,该平台分为攻击模块与防御模块两部分。
攻击模块部分包括主机端口的扫描、检测、Web/SMB攻击模块和IDS等。其主要功能是实现对于目标系统的检测、漏洞扫描、攻击和与防护端的通讯等[2]。
防御模块部分主要是基于主动防御技术的功能要求,实现检测、防护和响应三种功能机制。即能够检测到有无攻击行为并予以显示、给出陷阱欺骗可以利用的漏洞和提供防护应对策略等,如: 网络取证、网络对抗、补丁安装、系统备份、防护工具的选购和安装、响应等。
2 攻防实验平台模型设计
2.1 设计方案
要实现网络攻防的实验,就必须在局域网环境构建仿真的Internet环境,作为攻防实验的基础和实验环境。仿真的Internet环境能实现www服务、FTP、E-mail服务、在线交互通信和数据库引擎服务等基本功能。依据系统的功能需求分析,该平台要实现一个集检测、攻击、防护、提供防护应对策略方案等功能于一体的软件系统。主要是除了要实现基本的检测、攻击功能外,还必须通过向导程序引导用户认识网络攻防的机理流程,即:漏洞存在―漏洞检测(攻击模块)―攻击进行(攻击模块)―系统被破坏―补救措施(防御模块)―解决的策略方案(防御模块)[3],以更好的达到实验效果。
平台整体采用C/S模式,攻击模块为客户端,防御模块为服务器端。攻击模块进行真实的扫描、入侵和渗透攻击,防御模块从一定程度上模拟并显示受到的扫描、攻击行为,其模拟的过程是动态的,让实验者看到系统攻击和被攻击的全部入侵过程,然后提供响应的防护应对策略。攻防实验平台模型如图1所示。
2.2 基于主动防御的网络安全体系
根据本实验平台设计的思想和策略原理,为实现主动防御的检测、防护和响应功能机制,构建基于主动防御技术的网络安全策略体系(如图2所示)。安全策略是网络安全体系的核心,防护是整个网络安全体系的前沿,防火墙被安置在局域网和Internet网络之间,可以监视并限制进出网络的数据包,并防范网络内外的非法访问[4-5]。主动防御技术和防火墙技术相结合,构建了一道网络安全的立体防线,在很大程度上确保了网络系统的安全,对于未来的网络安全防护具有深远的意义。检测和响应是网络安全体系主动防御的核心,主要由网络主机漏洞扫描(包括对密码破解)、Web/SMB攻击、IDS、网络取证、蜜罐技术等应急响应系统共同实现,包括异常检测、模式发现和漏洞发现。
2.3 攻防模块设计
该实验平台的攻击模块和防御模块利用C/S模式采用特定端口进行通讯。攻击端以动作消息的形式,把进行的每一个动作发往防御端,防御模块从数据库中调用相关数据进行模拟、仿真,让实验者看到和体会到自身系统受到的各种攻击。攻防模块经过TCP/IP建立连接后,开始进行扫描、检测、Web/SMB攻击和IDS等入侵行为,攻击端每一个消息的启动都会发给防御端一个标志位,防御模块经判断后,调用相关的显示和检测模块进行处理,并提供相应的防护应对策略。
3 平台的实现
3.1 主动防御思想的实现
在一个程序中,必须要通过接口调用操作系统所提供的功能函数来实现自己的功能。同样,在平台系统中,挂接程序的API函数,就可以知道程序的进程将有什么动作,对待那些对系统有威胁的动作该怎么处理等等。实验中,采取挂接系统程序进程的API函数,对主机进程的代码进行真实的扫描,如果发现有诸如SIDT、SGDT、自定位指令等,就让进程继续运行;接下来就对系统进程调用API的情况进行监视,如果发现系统在数据的传输时违反规则,则会提示用户进行有针对性的操作;如果发现一个诸如EXE的程序文件被进程以读写的方式打开,说明进程的线程可能想要感染PE文件,系统就会发出警告;如果进程调用了CreateRemoteThread(),则说明它可能是比较威胁的API木马进程,也会发出警告。
3.2 攻击程序模块实现
网络安全攻防实验平台的设计是基于面向对象的思想,采用动态连接库开发扫描、检测、攻击等功能模块。利用套接字变量进行TCP/IP通信,调用DLL隐式连接和显示连接,采用在DLL中封装对话框的形式,也就是把扫描、检测、攻击等功能和所需要的对话框同时封装到DLL中,然后主程序直接调用DLL[6]。实验中,可以在攻击程序模块中指定IP范围,并输入需要攻击的主机IP地址和相应的其他参数,对活动主机漏洞进行扫描和密码攻击(如图3所示);并指定IP,对其进行Web/SMB攻击,然后输出攻击的结果和在攻击过程中产生的错误信息等。
3.3 防御程序模块实现
在程序的运行中,采取利用网络侦听机制监听攻击模块的每一次动作消息的形式,自动显示给用户所侦听到外部攻击行为(如图4所示:Web/SMB攻击)。该模块同样使用了WinSock类套接字进行通讯,在创建了套接字后,赋予套接字一个地址。攻击模块套接字和防御模块套接字通过建立TCP/IP连接进行数据的传输。然后防御模块根据接收到的标志信息,在数据库中检索对应的记录,进行结果显示、网络取证、向用户提供攻击的类型及防护方法等多种应对策略。其中的蜜罐响应模块能够及时获取攻击信息,对攻击行为进行深入的分析,对未知攻击进行动态识别,捕获未知攻击信息并反馈给防护系统,实现系统防护能力的动态提升。
4 结束语
基于主动防御的网络安全攻防实验平台主要是针对传统的被动式防御手段的不完善而提出的思想模型。从模型的构建、平台的模拟和实验的效果来看,其系统从一定程度上真实的模拟了网络设备的攻防功能,可以为网络管理者和学习者提供一定的参考和指导。
参考文献:
[1] 杨锐,羊兴.建立基于主动防御技术的网络安全体系[J].电脑科技,2008(5).
[2] 裴斐,郑秋生,等.网络攻防训练平台设计[J].中原工学院学报,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―网络安全的机密与解决方案[ M].北京:清华大学出版社,2002
[4] 张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006(15).
[5] 黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用,2007(3).
【关键词】信息网络 双链路 关键技术
唐山供电公司(以下简称唐供)至冀北电力有限公司(以下简称冀北)的信息网络通道,是唐供信息最关键的通道。以往,唐山供电公司与上级单位冀北电力有限公司采用单链路、单设备上联,一旦链路或者设备出现故障,唐供内包括5E系统、卡表售电系统等在内的所有办公业务将会停运,这严重影响了公司的正常的生产运行,给公司带来了不利的影响。为避免这种情况的出现,实现双设备双链路尤为必要。
1 双防火墙组网技术简介
要实现网络的高可用性,首先应该排除网络中的单点故障点,使网络在任何一台网络设备失效时仍能提供网络服务。这种方案通常要在核心层配置最少两台交换机,同样在防火墙层配置最少两台防火墙。为实验上述功能要求,防火墙必须应用专门的双机容错技术,一般防火墙都有该功能,成为Failover(故障切换)或者“HA”。这种功能要求防火墙的两端设备必须具有交换功能,对于两个相互做Failover的设备,互为备份的链路需要有相同的配置。
2 上联双链路方案设计概况
2.1 方案背景
唐供至冀北的信息网络通道,是唐供信息最关键的通道,承载了唐山地区信息网络的全部生产、管理业务。唐供信息并非直连冀北,而是使用了综合业务数据网提供的通道。综合业务数据网为MPLS-VPN网络,由两台路由器作为双链路出口,唐供信息用2台核心路由器7609连接到双链路上,2个内置于7609上的防火墙模块(FWSM)对唐供信息网络和综合业务数据网进行隔离。示意图如1所示。
2.2 设计原则
(1)使用静态路由穿过网络边界,即:不启用动态路由学习对方网络,同时降低对方设备配置的复杂度。(2)双链路具备同时使用的能力,但从实用出发,保障安全稳定要优先于追求线路利用率。(3)一旦出现非对称路由,网络不受其影响。(4)具备自动切换能力,最大限度保证网络可用性。
3 关键技术设计与应用
3.1 防火墙A/A模式设计
考虑到路由模式在逻辑上更独立,路由模式下通过静态路由可以选择:1路为主、1路为备,或两路同时使用即一边一个包。由于FWSM功能的限制,单防火墙对双出口实现检测和切换没有经过论证和测试。设计方案选择了A/A模式,原理为:将一块单防火墙虚拟为2个墙,另一块防火墙同样对称虚拟为2个墙,4个墙两两成对,每对运行A/S。2对A/S防火墙分别对应了2条链路,同时2个Active防火墙可以物理上分开在2个FWSM模块上,因此具有实现负载均衡的能力。
3.2 非对称路由(ASR)问题解决方法
应用“ASR group”功能,当asr-group的接口收到数据包而没有会话信息时,将在同group中其它的接口检查,一旦发现符合,将重写2层包头并转往相应端口。asr-group并不是接收了非对称路由,而是将非对称路由的数据包转给正确的接口。asr-group生效的前提条件为:A/A模式的failover、配置Stateful Failover(状态同步)功能,配置replication http功能。
3.3 备用静态路由切换设计
静态路由本身没有机制来确定路由是否仍然可用,应用 “对象跟踪”功能(Enhanced Object Tracking),通过将一个静态路由与一个预定义的监视目标进行关联,实现了检测和切换。设备通过IP SLA功能,使用ICMP echo-request数据包来监视目标。如果没有在特定的时间段内收到ICMP echo-reply,设备就会认为对方已经不可用,于是它会将相关的静态路由删除。此时,原来配置为低优先级的备用路由会启用,用以取代被删除的路由。
4 实验检验
4.1 路由切换功能实验
使用4台3750交换机,模拟信息和通讯互连的4台设备SW1和SW2模拟7609-1和7609-2,启用OSPF+静态路由SW2和SW3模拟M320和M120,启用静态路由。使用SW2上的Loopback0模拟冀北的DNS-1,使用SW3上的Loopback0模拟冀北的DNS-2。目的是测试备用静态路由功能,测试IP SLA功能,测试策略路由功能,测试“对象跟踪”功能。
4.2 双链路故障实测检验
切换前后配置拓扑图如图2所示,切换前2台7609作为信息网络接口设备,2台7609上各配置1块FWSM,其中FWSM-1运行,FWSM-2未上线,M320作为接口设备。切换后2条线路物理连接为:7609-1至M320、7609-2至M120,2台FWSM完成A/A模式配置,
核心7609-1、7609-2进行配置,优选M320一路为主链路,优选7609-1为默认路由者,配置M120一路为备链路,7609-2为备用默认路由者,使用检测功能,能够实现故障检测后的线路切换。
5 结论
本文主要对一种信息网络上联双链路方案的设计与改进,提出了一种可靠性更高的双链路互备切换方案,并对关键技术如具有故障切换功能的防火墙负载均衡模式组网技术、非对称路由问题解决方式以及备用静态路由切换设计方法探讨分析。最后进行了路由切换功能实验和双链路故障实测检验。实测结果和运行经验表明该双链路设计方案能够满足与冀北上联稳定、可靠运行要求,减少了故障率,保证了关键业务的实时有效传输。该设计方案可以广泛应用于信息系统上联链路改造工作中。
参考文献
[1]孙莹,王葵.电力系统自动化[M].北京:中国电力出版社,2004:51-65.
[2]李研.防火墙在计算机网络中的应用[J].电子测试,2013(5):127-129.
[3]郑黎辉,王启东.基于SDH和ADSL双链路冗余的通信网络设计与实现[J].计算机工程与设计,2009,30(20):4624-4626.
[4]刘继君,徐家澍,秦学东.内蒙古电力信息网络安全技术分析[J].内蒙古电力技术,2009,27 (5):53-55.
作者简介
尹秀艳 (1982-),女,山东省临沂市人。现为唐山供电公司工程师,从事运营监测和信息通信工作。
田新成 (1982-),男,河北省唐山市人。现为唐山供电公司工程师,从事调度自动化工作。