网格安全(共12篇)
网格安全 篇1
0 引言
网格技术是近年来国际上信息技术领域的热门研究课题, 是以互联网为基础的一门新兴技术。网格就是一个集成的计算与资源环境, 或者说是一个计算资源池。网格能够充分吸纳各种计算资源, 并将它们转化成一种随处可得的、可靠的、标准的同时还是经济的计算能力。网格安全问题是网格中的一个核心问题, 基于Internet的网络和网格, 时时都面临着安全隐患, 如技术缺陷、外界非法入侵、内部泄密等等, 因此对网格安全策略问题的研究与分析同样刻不容缓。
1 网格概述
网格一词来源于电力供应商 (Power Grid) , 其思想被引申为人们可以像从电网中获取电能一样方便地获取高性能的计算能力。网格是利用计算机网络把地理上广泛分布的计算资源、存储资源、网络资源、软件资源、信息资源以及人, 跨越局域网/广域网边界如企业、组织、Internet, 并将它们统一集成单一的资源, 然后像一台超级计算机一样给用户提供一体化的信息应用服务。其特点如下: (1) 资源共享; (2) 协同工作; (3) 动态配置; (4) 采用开放式标准; (5) 可扩展性; (6) 面向高性能服务。网格是建立在一个开放的网络环境中, 在这个环境中, 各种资源都动态连接到Internet上, 而且不同网格节点间的通信是通过Internet连接的, 而用户向网格环境提交任务和监控管理任务也是通过Internet来完成的, 而这个环境可能遭受来自内部或外部的安全威胁, 从而网格的安全对于网格的发展和应用起着关键的作用。
2 网格安全模型及安全问题
2.1 网格安全模型
网格安全模型应该是一个松耦合的、中立于语言的、独立于平台的模型。网格安全模型主要包括3层:网络安全传输层、网格安全服务实现层、网格安全服务解开层。其中, 网格安全服务主要有授权服务、委托服务、加密服务、认证服务、防火墙、入侵检测、审核服务、数字签名、安全登录和其它服务。网格安全服务层中的服务是一个可扩充的结构。在网格安全模型中, 网格安全策略管理主要是解决网格安全服务之间如何无缝连接, 以及对这些服务 (例如虚拟组织服务、资源管理服务、任务调度服务等等) 和网格应用提供安全保证机制。在网格安全模型中, 各个安全功能组件之间存在着交互。比如, 在需要安全登录服务的时候, 就需要调用认证服务的功能。至于采用何种方法这就是安全策略的管理的内容了。网格安全模型如图1。
2.2 网格安全问题
由于网格环境相当于提供了一台虚拟超级计算机, 具有超强的能力, 因此, 如何确保系统的安全和资源的有效控制及管理显得非常重要, 认真研究网格安全的新特点, 解决网格安全问题, 对于人们来说非常重要。网格环境中所面临的安全性问题可以大致分为3类: (1) 现有技术; (2) 不同主机环境之间协同工作能力; (3) 相互影响的主机环境之间的信任关系。两个节点在进行交易前, 一般需要从邻近节点上获得对方的可信度信息来决定是否进行此次交易, 对两个陌生节点而言, 其它节点的推荐显得尤其重要。网格安全所面对的问题如图2所示。
网格安全策略在网格环境中显得非常重要, 但是从用户的角度出发, 最基本的问题就是如何在网格这样的复杂环境中提供给用户简单易用的安全功能。比如单点登陆, 一个用户只需要在提交网格任务前进行一次认证, 以后在任务运行时, 安全机制就可以在任务申请其它资源时进行自动的认证, 不需要用户再次参与认证过程。还有用户证书和密钥, 而证书和私有密钥必须得到安全而灵活的保护, 使用户在任何地方都可以使用自己的证书和密钥, 而证书和密钥存放在安全的地方。并且, 其中可以通过代理的方式, 使用代理证书认证, 这样有利于保护用户的密钥和个人信息, 而网格安全策略对用户是透明的。
3 网格安全策略
网格安全策略应该注重如何解决网格虚拟组织和本地域的映射和相互操作关系, 而不是试图取代本地安全策略。网格安全模型是可扩充的结构, 在这里谈到的最重要的安全策略, 主要是身份认证策略, 以下是我们对这个策略进行分析的内容。
3.1 网格安全的身份认证策略
每个组织都要通过某种形式的身份, 如用户名、密码或数字证书等来与用户进行联系。在网格环境中, 为了在不同的组织之间建立联系以及能够进行管理, 每一个用户都必须拥有一个网格身份。一个本地的用户身份要和网格身份进行匹配, 而网格身份又要和用户指定的远程资源上的身份进行匹配, 就要用到认证证书。在网格环境中的认证证书是认证 (certificates) 的一个关键技术。在网格安全环境中的每个用户和服务都要通过认证证书来验明正身, 为了防止对认证证书的假冒和破坏, 认证证书主要包含以下4个部分信息: (1) 主体名称 (subject name) :用来明确认证证书所表示的对象; (2) 属于特定主体的公钥 (public key) :用于X.509认证; (3) 签署证书的认证中心的数字签名:用来确认认证中心的合法性。
如果双方主体都有证书, 而且都信任彼此的认证中心, 则双方可相互明确彼此的身份, 这实际上是相互鉴别 (mutua authentication) 问题。在相互认证可以进行之前, 双方首先要相信彼此的认证中心。要彼此相信认证中心, 就要求它们要有统一的协议, 如果彼此的通讯协议规定了这个要求, 那它们就会拥有彼此认证中心自身的证书。所以, 认证协议在这个认证策略中起了很大的作用。
安全身份认证策略利用Natalia Miloslavskaya, Alexander Tolstoy和Dmitriy Ushakov在2007年提出了一个新的双向认证协议 (我们称它为NAD认证协议) , 主要目的在于为动态的分布式信息系统提供透明和可靠地认证, 并且希望它能够比传统的认证协议提供更大的灵活性以及更好的运行性能。该协议的基础是公钥密码体制和数字签名, 核心思想是以私钥签名来确认消息发送者的身份, 以代理证书作为授权机制, 它由以下几个回合构成:
其中符号的含义如下:
A—客户标识符 (数字或名字, 能够让身份认证服务器确认客户身份的任意标识符) ;
AS, IS—身份认证服务器, 信息服务器;
Nx—由协议参与主体X生成的随机数;
Fx (Ny) —在大部分情况下, 这是一个带有一个自变量的可逆函数 (也可以是一个单向函数) , 比如Fx=Ny-1;
-Kx, +Kx—主体X的私钥和公钥 (X=A, IS或AS) ;
{X}-Ky—用私钥-Ky对X消息签名;
CertA—客户A的代理证书, 实际内容为{A, +KA, AS, Time}-Kas其中Time为证书的生存时间。
协议的目的是通信各方之间相互的身份认证, 从逻辑上看, 前4个协议回合是客户与身份认证服务器之间的相互认证, 后3个回合是客户与信息服务器之间的相互认证, 其中, 证书的主要作用是授权客户A以一定的权限与信息服务器通信。NAD模型图如图3所示。
利用NAD协议在虚拟组织的网格身份认证场景简单地作如下说明: (1) 用户向虚拟组织的入口结点传递认证信息, 并行用户代理传递信息; (2) 入口结点把信息转发给认证中心CA; (3) CA认证通过, 并进行数字签名, 把信息转交给入口结点; (4) 入口结点把用户认证通过和CA签名的信息转发给用户代理。用户代理把信息传递给信息服务器进行确认, 然后把确认信息传递给客户代理; (5) 身份认证成功后, 用户可以向虚拟组织的调动中心提出作业要求。
摘要:网格是在动态变化的, 多机构的虚拟组织间共享资源和协同解决问题, 其目标是实现资源的全面共享。探讨了网格的安全问题以及安全策略的主要认证过程——身份认证, 建立了网格安全面对问题模型和NAD模型, 展望了网格安全策略的后续发展。
关键词:网格,安全策略,NAD
参考文献
[1]FORSTER I, KESSELMAN C, TUECKE S.The anatomy of the gird:enabling scalable virtual organizations[J].International Journal on Supercomputer Applications, 2001, 15 (3) :200-222.
[2]FOSTER I, KESSELMAN C, TSUDK G.etal A security A rchitecturefor Computational Grids[C].5th ACM Conference on Computer andCommunications Security Conference.San Francisco USA:ACMPress, 1998:83-92.
[3]陈宏伟, 王汝传.网格安全模型中关键策略的研究[J].南京邮电学院学报, 2005 (2) .
[4]邓静, 王帮海.网络实例—Globus的研究与探讨[J].计算机应用, 2003 (6) .
[5]FOSTER I, KESSELMAN C.A security architecture for computa-tional grids[C].Proc ACM Conference on Computer and communi-cations Security Conference.1998 (5) :83-92.
[6]FOSTER I, KESSELMAN C.Managing security in higlh performancedistributed computing[J].Cluster Computing, 1998, 1 (1) :95-107.
[7]MILOSLAVSKAYA M, TOLSTOY A, USHAKOV D.Protocol of se-cure mutual authentication[C].The 2007 IEEE Workshop on Infor-mation Assurance.IEEE SMC, 2007:43-48.
网格安全 篇2
一、网格工作管理
为确保消防安全任务按照网格化落实责任和实施各项工作,成立开发区安全网格化工作管理领导小组,统一组织领导安全网格化工作。组长由开发区管委会主任李勇担任,负责消防安全工作任务部署;付组长由两委成员程立国、何润生、陈瑢、郑琼姐、何鹏飞担任;机关各部门负责人为成员,按辖区属地进行覆盖管理,横向到边,纵向到底。
二、网格工作划分
按照区消防联席会议精神和消防安全文件要求文件精神,把开发区辖区范围分为四个网格,企业基本网格27个、住宅区基本网格33个,配备消防管理人员数量38人,配备消防协管员数量60人,配备消防巡防队员10人,网格涵盖生产经营建设单位及其沿街店铺、住宅楼及其出租房、学校、市场,把消防安全任务挂钩包干给机关具体人员。
各组成网格人员及其网格单位具体见附件1、附件2、附件3、附件4。
三、网格人员主要职责
1.负责消防安全宣传教育,把消防安全宣传到机关、到企业、到学校、到管区、到家庭。
2.负责消防安全隐患排查、跟踪整治,把安全检查、隐患整治及其有关情况登记报备,每月至少检查、报备一次。
3.督促主体责任单位履行安全工作职责,自查安全各项工作。
4.加强台风季节、节日期间的安全巡查,消除安全隐患。
5.与住宅楼协管员充分沟通,对群众反映的安全问题予以关心重视,落实解决。
青岛市安全生产的网格化监管系统 篇3
以落实青岛市政府安全监管责任为目标,以安全生产监管体系和监管业务网格化为主要内容的安全生产监管业务系统。
网格化监管系统的作用
首先,安全生产网格化监管系统将网格化监管体系(包括监管网格划分成果)信息化;将监管主体(包括本级网格涉及的部门和领导)和监管人员信息化;将监管对象(包括本级网格直辖企业、第三类对象和直接下级网格涉及的部门和领导)信息化;将监管主体和监管人员的监管责任信息化(包括目标责任书、安全承诺、所负责的监管对象等);对网格内的监管运行保障内容(队伍人员编制、装备设施配置、标准规范建立等)落实并信息化;将安全生产网格化监管运行机制信息化(包括规划为管理、监督和信息三大模块)。
其次,安全生产网格化监管系统可将安全生产监管业务信息化。即,将具体的管理性业务、监督性业务逐渐实现为信息系统中的一个个业务处理功能,如,一级功能有基础信息、专项监管、综合监管、应急管理、培训教育、隐患排查、执法监察、事故处理、行政审批、投诉举报、督察督办、治理跟踪、内部监督、绩效考核等;再如,对专项监管功能而言,二级功能可有主体责任评级、安全标准化达标评级、特种设备管理等;再如,对于应急管理,二级功能可有重大危险源备案、应急预案备案、应急资源管理、应急培训信息、应急演练信息、预警预测信息、事故救援信息等;对于应急资源,三级功能可有应急专家管理、应急队伍管理、应急装备管理、应急物资管理等。随着开发的持续深入,系统将可对各级监管网格安全生产日常监督管理业务提供广泛支持。
再次,通过在各种监管业务过程中推广安全生产网格化监管系统应用,可积累大量动态数据,从而能够建立起各种动态信息数据库,如隐患数据库、应急数据库、执法监察数据库等等,为数据的有效利用和价值挖掘提供了广阔空间,通过开发统计分析功能并结合地理展现方式,可有效支持对整体安全生产形势的把握、对安全生产不同侧面的评估、预测及对各种行动措施的决策。
网格化监管系统的建设方法
(一)系统建设总体策略
在青岛市全市建设一套信息系统,市级集中部署,依托全市统一的电子政务专网运行,按网格分级授权,严格身份认证。区(市)、街(镇)不单独建立信息系统,只需具备访问市级系统的条件(终端电脑、政府内部网络、用户授权)。
(二)系统设计原则
系统设计坚持实用性、安全性、可靠性、易维护性、开放性、可扩展性、兼容性、标准化原则。
(三)系统功能设计
将系统整体划分为信息、管理、监督三大功能模块,各模块分述如下:
1.信息模块
信息按监管网格进行定格发布。信息发布后,其产生网格及上级网格均可看到。
信息模块集中反映基础信息、管理信息、监督信息和体系信息及统计分析图表,并提供地理展现能力,通过开发高级的统计分析功能,能够有效挖掘业务信息价值,为安全生产各个层面提供洞察,从而有效辅助对安全生产形势的把握和管理决策。其中,基础信息包括企业上报并经核实的企业基础信息、监管部门和人员信息、安全生产法律/法规/标准、规范性文件信息、行业划分/行政区划/隶属关系/企业规模/监管部门/主管部门等分类代码信息。动态业务信息包括各类管理性业务和监督性业务的当前办理状态、业务状态及汇总和统计信息。统计数据按部门横向分组,采用统计图、统计表两种展示方式,提供统计信息钻取功能,方便各级政府及各部门领导掌握当前辖区内安全生产形势,辅助其协调和指导业务工作。系统提供信息通报功能作为推进工作的辅助方式,用于双基工程(通报先进镇街、班组、示范团队、先进个人;先进区市、企业;标准化社区、园区)、奖惩通报(通报开通率、栏目信息反馈情况、信息采集情况,工作开展情况)等方面,可在线上传通报文档并在线打开浏览。提供领导阅示功能(作为二级功能“信息发布”的子功能),辅助上级对下级工作进行监督和指导。
2.管理模块
管理模块体现涉及安全生产的方方面面的政府管理业务。在系统间交互方面,该模块横向上可与安全生产执法监察系统、应急救援指挥辅助决策系统、行政审批系统等外部系统建立数据交换机制,共享业务数据。具体功能如下:
(1)监管体系管理。实现两类网格:监管网格和责任网格。监管网格包括行政区划网格和经济功能区网格,在电子地图上进行监管网格边界标绘:行政区划网格依据行政区划边界标绘,经济功能区按实际管辖范围进行标绘;责任网格包括市直企业、中央、省驻地市单位、个别横向部门网格,责任网格以地市级行政边界为网格边界。各级监管网格划定后,在系统中依据职责分工确定各级监管网格监管主体(需要考虑到横向部门)和监管人员角色,以监管主体为线索标明各级监管网格监管对象,并进行各级监管网格监管责任分解——将监管对象具体分配给各监管主体和监管人员角色;最后,将保障各级监管网格业务正常运行所需的人员编制、设施装备、工作规范等内容关联到相关网格。责任明晰后,即可对具体任务进行部署并授权(系统功能授权),授权与角色挂钩,从而将网格化权限流转控制到人。
(2)基础信息管理。实现街道采集、区(市)把关机制。建立各种分类信息的枚举管理。同时,从技术上保证企业基础信息和关键指标的准确性(如,组织机构代码、工商注册号等)。
(3)专项监管。实现将安监系统开展的企业安全生产标准化达标行动、促进企业落实安全生产主体责任行动等专项监管业务信息化。负有安全生产监督管理职责的产业主管部门可按网格化模式将自己的专项监管业务信息化。质监部门可按网格化模式根据需要逐步在系统中实现诸如特种设备检验等业务。
(4)综合监管。实现安全生产综合监管部门对负有安全生产监督管理职责的其他部门安全生产监管工作的分类指导、综合协调、监督检查等业务。如,开发按事故指标统计功能,通过按月录入事故指标实际数据,并与事故指标控制值对比,对负有安全生产监督管理职责的其他部门的安全生产监管工作情况进行统计、分析,为分类指导提供决策支持。
(5)应急管理。实现生产安全事故应急救援预案的备案管理、重大危险源的备案管理、应急资源(包括应急专家、应急队伍、应急物资、应急装备)管理、预警预测分析报告管理、应急演练信息管理、事故救援信息管理等业务的信息化。实现与应急救援指挥辅助决策系统共享数据,并根据国务院应急办建立应急预案和应急资源数据库的要求,实现应急预案和应急资源数据的上报功能。
(6)隐患排查。实现各管理处(科)室的隐患排查职能,深化对企业存在的隐患和突出问题的排查登记,将日常检查和专项检查工作信息化。通过与安全生产执法监察系统共享数据方式引入执法监察数据,并对共享的执法监察数据进行挖掘利用。通过网络化部署,将执法检查发现隐患的治理纳入责任监管网格进行监管。形成执法队伍执法监察,管理处(科)室跟踪监管的格局。
(7)事故处理。实现对生产安全事故快报、生产安全事故统计、生产安全事故处理情况通报、生产安全事故处理落实情况记录、对事故单位的处罚情况记录等进行信息化。
(8)行政审批。通过与审批大厅系统对接,实现行政审批事项状态管理和办理时限管理功能。
3.监督模块
实现对内、对下、对企业的监督。处理投诉举报事项办理跟踪、督查督办事项反馈跟踪、重大隐患治理跟踪、内部业务办结情况监督和绩效考核等业务。
网格化监管系统的建设成果与应用成效
青岛市率先在全市范围建成安全生产网格化监管系统。截至目前,已采集31675家企业的基础信息数据。同时,把网格化监管、主体责任落实、全员安全素质培训、基层基础建设四项工程和法律法规、执法监察、应急救援等保障体系融入了安全生产网格化监管系统,确保了青岛市安全生产监管工作的规范化、精细化、信息化。
网格环境下安全认证模型 篇4
网格安全包含着不同层次和不同方面的安全策略,而网格安全的第一道防线—认证[1],这步对于整个组织的安全都起着极为关键的作用,更是网格安全的最基础保障。认证分为身份认证和消息认证[2]。对于网格的发展,当务之急是解决好现有问题的同时尽快地找到更适合网格环境下的安全模型和安全策略。目前最好的网格安全系统是Globus项目的网格安全体系结构GSI。GSI基于公钥加密体系,采用X.509认证和安全套接字层协议通信,使得GSI可以支持单点登录[3]。
2 网格安全分析
解决网格安全问题的具体方法统称为网格安全技术[7],已有的应用在网络中的安全技术也可以经过改进和延伸,从而应用到网格中。
2.1 PKI与Kerberos
网格安全体系中从认证的角度来说,主要包括两个方面:对用户身份管理和认证;资源访问授权与认证机制。目前用于认证的技术主要有PKI和Kerberos。
PKI(Public Key Infrastructure),公开基础密钥设施,是目前发展比较成熟的一种安全认证技术。PKI是在开放的Internet网络环境中,利用公钥密码技术提供数据加密、数字证书以及数据签名服务等一种技术框架。该框架主要由公钥密码技术、数字证书库、系统安全策略和证书权威机构(CA)等组成,其中CA(Certificate Authority)是可信任第三方的认证权威中心,用于签发X.509证书,是将用户的实体名和实体公钥进行绑定,CA对其进行数字签名。CA是PKI系统的核心部分。
2.2 SSL/TLS
SSL(Secure Socket Layer)/TLS(Transport Layer Security),用来实现浏览器与服务器之间的认证和加密传输。它是建立在TCP/IP标准套接字之上。首先,由信息发送方生成一个密钥,再用信息接受方的公钥进行加密;然后把加密后的数据传递给接受方,接受方用自己的私钥对其解密,则可以得到密钥。双方在得到密钥后,可以进行互相通信。
2.3 单点登录
单点登录用户只需要输入一次口令,就可多次认证,可以不再认证而访问在此逻辑安全领域中不同应用系统中授权的资源[5]。
2.4 GSI
GSI基于公钥、X.509证书和SSL/TLS通信协议的认证系统,依赖于第三方,对用户和主机的证书进行签名,提供认证、授权和安全通信功能[4]。
3 网格认证机制
认证是指对用户身份或消息来源及内容的验证[13]。认证概括为两类:(1)用户身份认证;(2)消息认证,验证消息的来源及其内容的完整性。X.509提供了3种认证过程:单向认证、双向认证和三向认证[5]。X.509证书已经用于多种网络安全应用程序中,比如IPSec(IP安全)、SSL(安全套接层)等[6]。Kerberos是目前发展最广泛的认证协议,它基于N-S协议,并在该协议中引入了时间戳处理机制,基于对称加密技术来提供认证、消息完整性、消息保密性等安全服务。
4 网格认证模型
4.1 传统的认证
认证模型的框架可以反映一个系统的复杂程度,通常对于结构比较简单网络环境,可以采取比较规整的认证模型,这样便于统一的管理;若网络环境比较复杂,则需要复杂的认证模型来与之对应。
(1)集中式层次CA模型。
(2)多CA结构模型。
(3)混合交叉认证模型。
混合交叉认证模型是常用模型中最复杂的一种,它结合了集中式层次认证模型和多CA认证模型的优势,该结构中只要CA符合证书标准策略就可以通过认证来加入到整个结构中,这种特性使得它比较适用于组织结构实时改变的环境中。
4.2 改进的网格认证
4.2.1 认证模型的需求
在KX.509方案的基础上,设计一种基于Kerberos认证和X.509认证的交叉模式,对于不同域之间寻找一种互相访问的机制。这就将整个模型划分为域内与域间,不同的域内独立的可以使用Kerberos认证或X.509认证,但在异构的域间用户身份需要转变时,模型需要为用户完成域间的身份映射。
(1)由于不同信任域内的证书格式不同,因此模型需要对证书格式进行转换。如何将X.509证书转换成Kerberos票据将是模型改进的重点。
(2)网格环境下不同的信任域间拥有公钥证书的,通过PKI公钥来认证;若不同域拥有不同的证书或票据时,还需要对证书及票据的有效性进行验证。
4.2.2 认证模型的提出
通过对网格环境下认证模型的需求分析,可以分析出:单纯地使用集中式层次CA模型、多CA结构模型或混合交叉认证模型都不是可行的。在借鉴了KX.509模型的基础上,提出一种层次域的认证模型,其模型框图如图1所示。
改进的层次域认证模型中,主要分为3个层次,分别定义为:一级信任域、二级信任域和三级信任域,其中一级信任域也称为根信任域。根信任域具有最高的认证权限,它好比集中式层次模型中的Root CA,是整个网格环境中最基础和最高权限的认证中心,它对二级信任域中的资源和用户提供认证。二级信任域中划分为两大认证中心,即Kerberos协议信任域和PKI证书信任域,这两大域的分类按照认证的核心协议来分,为了方便统一而分类的管理,这两大域之间的认证需要满足双向性,利用KX.509方案,可以将Kerberos票据转换为X.509证书。三级信任域主要是本地的同一认证方式域内的终端用户间的认证组合,将会分析Kerberos域内不同终端用户间的认证过程,提出一种抗口令猜测攻击的Kerberos改进协议来提高认证的安全性。
在该模型中,根据认证过程中域之间是否进行交互,可以分为域内认证和域间交互两个过程。一级信任域中需要寻找方案完成Kerberos协议组对X.509证书的认证,解决如何将X.509证书转化为Kerberos票据这一问题。而二级信任域根据用户使用的证书策略分为了Kerberos和PKI两大域,保持原有的PKI域的认证机制,重点将分析二级信任域中Kerberos域如何完成对PKI域实体的认证,以及三级信任域中Kerberos域与Kerberos域间不同实体的认证,最后对Kerberos协议进行安全性分析,提出改进方案。
4.2.3 一级信任域
一级信任域中Root CA为二级信任域中次根级CA提供其公钥和票据,它存储了二级根的证书。它具有两大主要功能:(1)私钥与票据的管理和保存;(2)如何实现证书对票据的转换,完成Kerberos域对PKI域的认证。
一级信任域主要负责二层域中Root K和Root P两个次根级节点的认证,其作用是提取X.509证书信息,转换为Kerberos票据所需的信息,然后提交给TGS,由TGS来签发成票据,从而进行认证,其过程如图2所示。一级域中CA需要保存访问过服务的PKI用户的票据,在票据有效期内,已申请过服务的用户可以从CA中寻找对应的票据信息,而不需要再次由认证中心生成票据。这样的方式提高了认证的效率,但同时也增加了CA中数据库存储和更新的计算量。
4.2.4 二级信任域
认证模型中,二级信任域分为两个CA,Kerberos协议组CA(Root K)和PKI证书组CA(Root P),分别作为Kerberos域内和PKI域内的Root CA,接收下层域内的服务请求;完成PKI域的服务对Kerberos域用户的认证。PKI域的服务对Kerberos域用户的认证是指Kerberos域中用户申请访问PKI域中的资源时进行的认证。过程为:
(1)用户首先查看本地服务器是否缓存有已转换的X.509证书,如果有则进行下一步;如果没有,则向TGS发送身份认证请求,先获得访问KCA的票据,然后由KCA通过验证用户身份之后,KCA签发X.509证书。
(2)Kerberos域中通过X.509证书域PKI域中CA通过公钥证书建立信任关系,PKI域通过对接收证书的验证,然后为验证成功的用户签发访问PKI域内资源的证书。
(3)用户在得到访问PKI域内资源的证书后,通过该证书向目的资源发送访问请求,同时将此证书存放在本地缓存中;PKI域内资源对证书的有效性进行验证,验证成功后,为用户建立一条有效的从PKI域内CA到用户TGS的证书路径,路径建立之后用户即可以访问PKI域中的资源了。
4.2.5 三级信任域
三级信任域包含了海量的用户终端和数据终端,它在二级域的划分规则下形成多层次的CA认证结构,其中Kerberos域和PKI域分别进行管理,也就是说三级信任域中只完成相同策略方式之间的实体认证,如果想要访问不同策略域内的资源,则用户终端需要先于该域中的Root进行交互,从而将此任务设定在二级域内完成。
5 认证协议的改进
Kerberos域内的认证基于Kerberos协议,是基于对称密钥技术的,在网格需要不断进行认证的环境下,就需要在认证过程中存储大量的会话密钥,因此域间认证的扩展性会受到一定的制约。
5.1 Kerberos认证协议改进
选取Kerberos V5这一安全性最高、应用最广的协议,针对口令攻击进行改进。KDC中,AS发给用户的密钥由用户的口令生成,所以Kerberos极易受到密钥猜测攻击,为了避免这种攻击,通过为每个用户设置一个特有的配置文件信息,而设计出一种独立于口令的协商密钥方法。由于用户在首次注册到AS时,KDC会为每个用户保存身份标识和口令,在此过程中,设计增加一项配置信息,该信息由认证中心在用户注册时,随机选取一定长度的用户注册信息,该信息可以是用户注册时的KDC系统时间与用户部分身份标识的结合,也可以是KDC生成的随机数与用户部分身份标识的结合,将此随机信息采用单向Hash函数计算,将其结果保存为用户特有的配置信息P。当用户在申请服务向AS发送请求时,KDC不仅读取身份标识、口令,还会对应访问配置信息。流程图如图2所示。
错误!未找到引用源。在中心数据库中取出配置信息P,P为用户首次注册KDC时的系统时间,将其转化成数字型,再将P与KDC系统时间KDCT结合,{P;KDCT};
错误!未找到引用源。采用RIPEMD-160算法将{P;KDCT}加密,生成报文摘要Digest;
错误!未找到引用源。将Digest通过AES加密生成基于用户配置信息的共享密钥;
5.2 实验测试
实验测试环境:(1)KDC服务器和应用服务器;(2)4个客户端。如图3所示。
在测试环境中,使用RIPEMD-160算法进行加密获取报文,然后通过AES加密算法得到长期密钥。在测试中,将长期密钥的有效期设为一周,TGS票据的有效期为一天,应用服务器的有效期为8小时,认证服务器的有效期为5分钟。在选取用户注册时的KDC时间时,截取时间与特定信息长度的四分之一长度取整来记录,如图4所示。
5.3 安全性分析
在改进的Kerberos协议中,主要认证模型以V5为基础,并着重改进用户与AS服务器之间共享密钥的生成过程。在用户配置信息设置中使用随机数和时间戳机制,其后主要使用RIPEMD-160算法和AES算法来完成配置信息的哈希以及密钥的生成。RIPEMD-160算法本身具有很高的抗穷举攻击能力和抗密码分析的能力;AES相对DES也具有较强的抗穷举攻击能力。通过为每个用户设置配置信息,利用RIPEMD-160算法、AES加密算法以及随机数的应用,生成共享密钥;这避免了由用户口令导出密钥而产生的消息窃听与口令猜测攻击。改进的算法与以往版本在各方面的安全分析对比如表1所示。
6 结语
对网格认证的模型和协议进行了改进,对集中式层次CA模型、多CA结构模型和混合交叉认证3种传统的认证模型进行分析,提出了基于KX.509方案的改进模型,对X.509证书如何转化为Kerberos票据提出了解决的方法,对改进后的模型进行分析。
参考文献
[1]黄河.计算机网络安全——协议、技术与应用[M].北京:清华大学出版社,2008.
[2]李晓航,王宏霞.认证理论及应用[M].北京:清华大学出版社,2009:190-195.
[3]肖健.基于Kerberos与X.509的网格认证模型研究[D].内蒙古科技大学,2008,6:27-28,31-34.
[4]桂小林.网格技术导论[M].北京:北京邮电大学出版社,2005.
[5]Joshy Joseph,Craig Fellenstein.网格计算[M].战晓苏,张少华,译.北京:清华大学出版社,2005.
消防安全网格化验收标准 篇5
各市公安消防支队,冀中公安局消防支队: 为全面加强基层乡镇、街道消防安全工作,提升乡镇、街道消防安全网格化管理水平,确保完成十八大消防安全保卫战工作任务,根据省综治办等五部门《关于街道乡镇推行消防安全网格化管理的实施意见》(冀公消[2012]136号),总队制定了《河北省乡镇街道消防安全网格化管理达标验收暂行标准》,现印发给你们,请认真抓好贯彻落实。
附件:河北省乡镇街道消防安全网格化管理达标验收暂行标准
二〇一二年七月三十日
附件:
河北省乡镇街道消防安全 网格化管理达标验收暂行标准
一、消防工作组织领导(25分)
1、乡镇(街道)要成立由主要负责人牵头,综治办、安监站、派出所、工商所、民政所等工作人员组成的消防安全委员会,每季度召开会议研究消防安全工作。(10分)
2、乡镇(街道)消防安全委员会成员单位认真履行消防安全职责,结合实际制定年度消防工作计划。(1分)
3、乡镇(街道)依托安监办或综治办设立消防办公室,明确专(兼)职消防管理人员,负责日常消防安全管理。(5分)
4、乡镇(街道)实行消防安全工作目标管理,与社区、行政村和辖区单位签订消防工作目标责任书,并督促落实。(5分)
5、乡镇(街道)消防办公室配备必要的办公用具,建立健全消防工作档案,并在办公场所悬挂消防工作组织领导结构图、工作制度。(1分)
6、居民委员会、村民委员会成立由居民(村民)委员会主任负总责、社区(行政村)治保主任、消防协管员等相关人员参加的消防安全管理小组。(2分)
7、每个社区(农村)确定1至2名消防专(兼)职管理人员,每个社区(农村)至少招募1名志愿消防监督员,负责开展日常消防安全工作,组织建立防火安全公约,开展经常性防火检查、消防宣传教育和组织扑救初起火灾。(1分)
二、社会消防力量发展(20分)
1、乡镇政府(街道办)按照“有人、有营房、有车辆、有经费”的标准建成专(兼)职消防队,落实消防经费,配备消防设施器材。(10分)
2、治安巡防队将消防工作纳入治安巡防内容,认真履行防火巡查、扑救初起火灾和消防宣传教育工作职能。(3分)
3、没有治安巡防队的村庄、社区建立志愿消防队。(2分)
4、保安人员熟悉所在单位的消防设施,认真开展防火巡查和消防宣传。(5分)
三、消防基础设施建设(15分)
1、将公共消防设施建设纳入镇总体规划和村庄规划。(2分)
2、结合村庄整治和人居环境改造,建设消防水源,打通消防通道。(3分)
3、深入推进社区“六有”(工作站、消防器材、消防宣传栏、消防警示牌、防火巡查、防火档案)工作。(5分)
4、深入推进农村“八有”(专兼职防火员、义务消防队、防火公约、消防宣传栏、消防水源、消防设施器材、防火巡查、防火档案)工作。(5分)
四、火灾隐患网格化排查(20分)
1、乡镇政府、街道办事处每季度组织综治办、安监办、公安派出所、民政所、工商所等部门,开展针对性的消防安全检查。(2分)
2、居民委员会、村民委员会每月对居民楼院(小区)、村组和沿街门店、家庭式作坊等小单位、小场所开展排查。(1分)
3、居民楼院(小区)、村组每周进行防火检查。(1分)
4、巡防队员、物业管理人员、保安、社会单位管理人员每天结合各自岗位开展消防巡查检查。(1分)
5、公安派出所每月组织对辖区单位或场所开展不少于一次的消防监督抽查,城乡社区民警每周检查单位或场所不少于一家。(2分)
6、乡镇、街道和农村、社区对网格化排查发现的火灾隐患,要做好登记并及时督促整改,对难以整改的及时移交公安派出所或公安消防机构依法处理。(3分)
7、城市国家机关办公区域、商业场所集中区域、高层建筑密集区域和“城中村”等消防安全重点地区,建立区域协作组织,实行联防联查。(2分)
8、公安消防机构按照分级管理原则,对乡镇、街道网格内消防安全重点单位实行户籍化管理,建立消防安全“户籍化”管理档案,督促单位落实“三项报告备案制度”,加强监督检查,实行动态管理。(5分)
9、每个社区落实一名消防督导员,每个小区落实一名消防管理员,每栋高层建筑落实一名消防宣传员。(3分)
五、消防宣传教育(20分)
1、实施消防宣传标语、标牌、橱窗工程,在主要道路、街区设置消防宣传标语,每个社区(行政村)至少设立1块防火公约牌,设置不少于1处的固定消防宣传橱窗,并定期更换宣传内容。(5分)
2、社区(行政村)消防安全管理人员依托广播站、有线电视,在安全生产活动月、“11.9”消防宣传日、农业收获季节、重大活动期间以及火灾多发季节集中组织开展消防宣传教育活动。乡镇、街道积极协助公安机关消防机构开展消防宣传“五进”活动。(3分)
3、社区、行政村每月组织开展一次消防宣传活动。城乡社区民警每月组织开展消防宣传活动不少于一次。(3分)
4、在“九小场所”悬挂“一懂三会”挂图,标示场所火灾危险性,明示消防管理人员,提示消防注意事项,警示业主和消费人员。(4分)
5、公安消防机构每年对乡镇街道消防安全委员会成员、公安派出所民警、专兼职消防管理人员、巡防队员、保安、行政村社区“两委”成员、社会单位消防安全负责人、消防志愿者进行培训。(5分)
达标验收实行百分制。总分为100分,综合得分90以上(含90分)的为优秀,75分以上(含75分)、90分以下的为良好,60分以上(含60分)、75分以下的为达标,60分以下的为不达标。
网格安全 篇6
关键词:汽车营销;营销网格;神经网络
中图分类号:F270 文献标志码:A 文章编号:1000-8772(2012)15-0082-02
一、引言
营销已经成为企业获取核心竞争力的战略性因素。传统的营销管理方式存在以下弊端:职能分割、数据冗余、信息内闭等。网格理论是以资源共享为指导原则的先进思想理念,目前已经应用于生物医药、交通运输、资源勘探、电子商务、金融、城市管理与规划[1]等领域。陈平认为,网格是按照精细化管理的需要,将所有的管理区域划分为若干个单元格[2]。姜爱林认为,网格是按一定规则将连续的空间区域离散化,形成众多多边形,并赋予标识符[3]。网格作为新兴的计算平台,具有分布性和异构性、共享性和集成性、自治性和动态性、抽象性和虚拟性等特征,能够将各种计算资源整合起来[4~5]。
二、汽车营销网格划分的维度
汽车营销网格的划分可以从四个维度进行分析,分别是汽车客户基本特征、汽车客户行为、汽车客户价值和汽车客户生命周期。
(1)汽车客户基本特征。汽车客户基本特征涵盖的内容很多,通常包括地理因素、人口统计因素和客户心理特征因素。地理因素是指客户所在的区域位置、自然环境和社会环境。地域环境按照国内大区可将客户的地域划分为华南、华东、华中、华北、西南、西北,也可将居住区域粒度更加细化。气候环境是指客户居住地的气候状况,在我国主要有热带季风气候、亚热带季风气候、温带季风气候、温带大陆性气候和高原高山气候;人口统计因素包括民族、性别、年龄、职业、家庭环境、受教育水平、宗教信仰等;心理特征指标与客户对企业产品、包装、广告、公关行为等活动产生的反应具有相当密切的关系。
(2)汽车客户行为。汽车客户行为是客户购买、使用、处置汽车产品或服务所采取的各种活动,包括先于且决定这些行动的决策过程。每位汽车客户的行为是有规律可循的,若干汽车客户在规律上表现出一定的相似性,基于这种相似性,可以依据汽车客户行为对汽车营销进行网格化划分。依据汽车客户行为划分汽车营销网格是以汽车客户过去重复或习惯性购买、使用记录为基础进行定量分析,通过反映汽车客户行为的各个变量的统计分析,挖掘出客户的使用习惯和特征,可以从保养频率、维修频率、使用频率、车辆用途、车辆使用地域环境、车辆使用道路环境六个方面来衡量汽车客户行为。
(3)汽车客户价值。客户价值包含客户方面和企业方面,在客户方面,肖恩·米汉教授认为客户价值是客户从某种产品或服务中所能获得的总利益与在购买和拥有时所付出的总代价的比较,也即顾客从企业为其提供的产品和服务中所得到的满足。即客户价值、客户感知利得、客户感知成本)。从企业方面来说,客户价值即企业从客户的购买中所实现的企业收益,是企业从与其具有长期稳定关系的并愿意为企业提供的产品和服务承担合适价格的客户中获得的利润,也即顾客为企业的利润贡献。
(4)汽车客户生命周期。客户具有价值和生命周期,是企业的重要资源。客户生命周期是指从客户与企业建立业务关系开始到完全终止业务关系的整个过程,包括考察期、形成期、稳定器和退化期四个阶段。它同样也是客户关系水平随时间发展和变化的轨迹,它动态描述了客户关系在不同阶段呈现出来的总体特征。考察期是客户关系的孕育期,形成期是客户关系的快速发展阶段,稳定期是客户关系的成熟期和理想阶段,退化期是客户关系水平发生逆转的阶段。
三、汽车营销网格的构建流程
构建汽车营销网格首先要充分理解营销网格的构建目的以及划分后要达到什么样的预期效果,然后依据构建目的筛选营销网格划分依据,确定各划分依据所对应的客户信息,并对客户信息进行选择、清洗,在数据准备完成之后选择营销网格划分算法,并利用模型对营销网格进行划分,建立网格并设置网格粒度。营销网格构建流程如图1所示。
(1)确定划分目标及预期效果。汽车企业在对营销网格进行划分时,必须明确对目标市场进行划分的原因,以及通过汽车网格营销能为企业带来怎样的效果,因此汽车营销网格的划分必须以企业发展战略和营销战略为前提,要把汽车网格化营销置于企业发展战略的高度,以企业经营目标为网格化营销目标,确定在网格化营销过程中营销部门所担任的角色,以及与生产部门、售后服务部门、市场部门、财务部门、物流仓储部门应该如何协同运作。
(2)筛选划分依据。在划分网格时,可以依据四个维度客户基本特征(A)、客户行为(B)、客户价值(C)、客户生命周期(D)来进行划分,根据营销网点的实际情况分析,按照四个维度逐步对营销网格进行细化,例如首先按照a1:地理因素进行网格划分,然后依据b4:车辆用途来对网格进一步细化,再次依据c1:客户当前价值来对网格进行第三维的细化,直至满意为止。从而实现营销网格的多维度可变粒划分。
(3)数据准备。在选取了营销网格划分依据后,就要开始对客户数据进行有针对性的采集,要在收集大量客户信息的基础上对目标市场进行细分,而不是根据划分指标进行主观判断。数据的完整性和有效性将直接影响营销网格的划分结果,因此在营销网格划分前,必须采集客户数据并对采集到的数据进行预处理。
(4)建立营销网格。营销网格粒度需要考虑企业现有营销资源状况,要保证在营销网格划分的基础上,企业有充足的营销资源分配给各营销网格,在企业营销资源一定的情况下。根据营销网格粒度和企业营销资源五等级划分,绘制如图2[1]所示的营销资源网格粒度与企业营销资源关系矩阵图,该图共有25个单元格,表示在企业营销资源状况与营销网格粒度的对应关系。如单元格5表示在营销资源充分充足的情况下,企业可以为每一个客户提供一对一的营销服务,每一位客户即为一个营销网格,此时营销网格的粒度最细;单元格21表示当企业的营销资源非常匮乏,要尽节省营销支出时,企业对整个目标市场进行广播式的营销服务,此时营销网格的粒度为1。在左上三角的10个单元格中,营销网格的粒度过细,此时营销资源表现不足,在右下角的10个单元格中,营销资源没有得到有效利用,营销网格划分过粗。因此营销网格粒度应依据对角线上的五个区域来设定,确保有限的营销资源得到合理的配置。
在划分网格时,首先依据企业营销资源的实际情况确定网格粒度,然后依据客户基本特征(A)、客户行为(B)、客户价值(C)、客户生命周期(D)四个维度来进行划分,如果粒度很大,则只能从四个维度中选择一两个关键维度来进行划分,如果粒度很细,就可以从三个或四个维度来进行划分。网格划分的过程如图2[2]所示。
四、结语
营销网格的构建是服务营销下营销资源有效配置的基本前提,总结本文,营销网格划分的一般步骤为:在划分营销网格时首先要明确营销网格划分的目的与原则,然后有目的地選择有效的网格划分依据,并对各指标数据进行清洗处理,在数据确定的情况下,选择合适的划分算法,并依据数据特征和企业营销资源状况确定营销网格划分粒度,在此基础上确定营销网格,但是营销网格的划分并不是一劳永逸的,需要适时对营销网格进行调整。
参考文献:
[1] 王喜,范况生,杨华,张超.现代城市管理新模式:城市网格化管理综述[J].人文地理2007,95(3):116-119.
[2] 姜爱林,任志儒.网格化城市管理模式研究[J].现代城市研究,2007,(2):4-14.
[3] Foster I.Grid Technologies&Applications:Architecture&Achieve- ments[J].International Conference on Computing in High Energyand Nuclear Physics.2001.
[4] 都志辉,陈渝,刘鹏.网格计算[M].北京:清华大学出版社.2002.
[5] 李赤林,胡小辉.基于BP神经网络的武汉城市圈物流需求预测[J].武汉理工大学学报:信管版,2009,(10):773-776.
消防安全网格化管理系统设计研究 篇7
现阶段,国内针对消防安全网格化管理的研究开展得较为有限。汪大光探索了“一格多员”社区消防安全网格化监管模式;陈雪刚探析了城区消防安全网格化管理模式;朱芳、冯伟明探 索了高校 消防安全 网格化管 理体系;陈秀勇探讨了社会消防安全“网格化”管理机制;冯发勇研究了网格化精细化管理在消防工作中的应用;李卓等分析了“网格化”管理的瓶颈问题和对策;张勇探索了网格化消防安全管理工作机制;刘孝君探讨了如何建立健全消防安全“网格化”管理体系;廖奇思考了如何完善消防安全网格化 管理机制;韩涛研究 了消防安 全 “网格化”管理机制;卢恒洋论述了消防安全网格化管理方案的优化。不难看出,国内大部分研究依然停留在理论阶段, 距离实际信息化应用依然存在着不小的距离。
为了推进安徽省消 防安全网 格化管理 工作稳步 开展、探索网格化管理新模式新机制、运用信息化技术提升网格化管理工作效率、实现网格化管理长效运行,安徽省消防总队联合中国电子科技集团公司第三十八研究所共同开发了消防安全网格化管理系统,并对系统设计进行了相关研究。
1 系统架构
系统架构由基础层、感知层、网络层、平台层、应用层等五个层级结构组成。其中,感知层、网络层为硬件层级结构,前者主要由人员感知和设备感知两部分组成,后者包括移动通信网络和有线宽带网络两条通道。平台层和应用层为软件层级结构,前者包含核心服务平台和数据存储平台,后者包含网格管理、人员管理、单位管理、设施管理、任务管理、信息发布等应用,见图1所示。
1.1 基础层技术架构
系统基础层为基于Web GIS系统建立的B/S服务框架。基础层围绕网格信息数据库和系统运营数据库, 并结合现有的基础地理信息数据库提供基本的数据库支持。采用空间数 据引擎技 术搭建GIS应用服务 器和WWW服务器,进而提供基于浏览器客户端的Web GIS服务,综合地为系统提供城市地图、网格可视化、消防设施标注和路线规划等服务支持,见图2所示。
1.2 感知层技术架构
系统感知层可分为人员感知和设备感知两部分。其中 ,水压传感器、水位传感器、视频监控设备等在线感知设备构成了设备感知的主要内容。这些设备可以直接接入系统网络,实时采集相关数据,实现网格内重点部位的远程实时状态监控。系统同时采用人工巡视的方法,实现对消防设备的无盲区全覆盖监控。巡查员通过手持终端定期上传消防设施的状态信息,完成系统对设施的状态采集。另外,系统通过巡查员与移动终端的互动情况, 完成对人员工作情况的跟踪和监控。除此之外,巡查员还承担了火灾隐患的巡查以及突发事件的上报工作。在发现隐患或事件之后,巡查员通过手持终端及时上报,并上传现场图像及位置信息。通过在线探测器和巡查员相互配合相互补充的方式,形成了因地制宜、全面覆盖的弹性互联互通消防网格化管理感知层,见图3所示。
1.3 网络层技术架构
系统网络层由无线通信网络和有线宽带网络组成。 感知层的各类有线、无线感知设备、移动终端、网格办公节点均通过无线通信网络和有线宽带网络同系统紧密连接,实现了实时互联互通和双向信息流通。各类感知设备、移动终端、网格办公节点均通过公共网络接入系统通信中心。其中,有线设备通过有线宽带网络接入系统通信中心,无线感知设备通过无线通信网络接入系统通信中心;小网格移动设备通过3G/4G/GPRS等无线通信网络接入系统通信中心;中网格、大网格办公节点通过有线宽带网络接入系统通信中心。为保证信息安全,在公共网络与系统通信中心的接口上设置有防火墙,相应的数据连接采用加密的方式避免窃取和篡改。在消防总队、 支队及大队内部的各个部门、中心通过内部局域网连接。 信息发布中心、指挥中心、行政部门等各个部门通过内部局域网接入到系统通信中心。系统通信中心和数据库设置在消防总队、支队的主机房内,通过高速局域网互联。 以系统通信中心为枢轴,通过信息交换、消息传递机制, 内部各部门之间以及同外部设备、节点之间能够实现实时、可靠的信息流通,见图4所示。
1.4 平台层技术架构
系统平台层在感知层、网络层和服务器计算资源的基础上,提供实现消防安全网格化管理系统基本功能的各项基础服务。平台层由核心服务平台和数据存储平台组成。核心服务平台提供了系统运行状况监控、系统运行安全保障、系统各资源管理、各项信息的目录搜索和查看、各项事物处理、消息传递、各个单元间通信、公共媒体消息发布、监控探测 器和节点 注册以及 其他各项 服务。 数据存储平台则保存网络拓扑、城市地图、人员信息、设备信息、警情事件、多媒体信息、指挥信息、发布信息等数据。在此基础上,通过数据的分析挖掘,可以进而形成消防管理数据、消防防控数据、应急联动数据、安全评估数据等经过提炼的高价值数据。数据存储平台通过数据服务接口同核心服务平台相连接,为主动信息显示和决策提供支持,见图5所示。
1.5 应用层技术架构
系统应用层在平台层的基础上,通过监管中心和各终端软件,实现消防安全网格化管理的各项功能目标,为消防安全网格化管理各级相关单位及部门提供服务。应用层提供的功能 主要包括 统计分析、监督考核、事件处置、工作指导、隐患处理、消防宣传、消防例会、工作指导、 隐患复查、任务督办、消防检查、信息采集、事件上报等。 众多功能根据角色区别为不同用户提供针对性服务。小网格主要完成基层的检查、宣传、采集工作;中网格一方面掌握、管理小网格工作情况,另一方面进行较大规模层次的消防检查、宣传工作;大网格对中、小网格工作进行指导监督,同时对各项工作进行闭环;消防总队、支队、大队则进行全局性的考核、管理、规划、督办等工作。通过上述功能,能够有效地支撑各级机构行使其网格化工作职责,见图6所示。
2 软件技术架构
系统软件采用B/S(浏览器/服务器)模式开发,主要包括数据库、平台服务、业务系统和应用系统四个部分, 每个部分则包含对应的功能支撑模块,综合提供网格责任“可视化”、隐患排查“便捷化”、信息推送“实时化”、应急处置“效能化”、安全评价“智能化”、工作平台“集成化” 和信息管理“一体化”的消防安全数字网格化管理系统, 见图7所示。
为了简化企业应用程序开发复杂性,系统采用瘦客户端开源SSH 2框架,即Spring、Hibernate、Struts 2、基础框架。在持久层采用了Hibernate O/R映射工具。在容器方面,采用了Spring Framework。同时,根据实际需要,在Struts、Spring/MVC,WebWork,Tapestry、JSF等MVC框架中进行灵活选择。系统同时通过MAVEN任务来部署管理项目。
3 应用实例
目前,消防安全网格化管理系统已在安徽省全面推广使用。通过系统管理了大网格1 567个、中网格12 440个、小网格41 411个。平台为消防安全网格化管理提供了消防总队、支队、大队、监督员、消防民警、大网格员、中网格员和小网格员共8类角色,消防地图、任务管理、网格管理、用户管理、消防信息等40多项主要功能。到目前为止,系统共完成火灾隐患整改逾50万处,消防部队信息录入近3万个,社会单位信息录入超过40万家,义务消防队信息录入1万余个。通过系统的常态化运行, 大量隐患得到整改、基础信息得到完善、群众消防意识得到提高,社会整体消防安全水平得到切实提升。
4 结 语
煤矿安全应用网格的体系结构研究 篇8
网格是近年来国际上兴起的一种重要的信息技术, 它将网络上的各种资源, 如价钱昂贵的超级计算机、服务器、大规模存储系统、各种工作站、个人PC、可视化设备和贵重的精密仪器设备、各种软件资源和数据库等组织在一个统一的大框架下, 为解决大型复杂科学计算、数据服务和网络信息服务提供一个方便用户使用的虚拟平台, 实现计算资源、存储资源、信息资源、知识资源等的全面共享, 消除信息孤岛和资源孤岛[1]。
目前, 国外许多政府部门、研究机构、跨国公司和著名大学的许多科研人员都在从事网格计算系统的研究, 已经开展了许多研究论坛、实验环境和研究项目, 并得到了产业界的大力支持。国内在网格方面的研究仍处于起步阶段, 已经完成的网格研究项目主要有以中科院为主的国家高性能计算环境NHPCE和以清华大学为主的先进计算基础设施。在煤矿安全应用领域, 国内外尚未有成熟的关于煤矿安全应用网格 (Coal Mine Safety Application Grid, CMSAG) 技术方面的研究和应用。本文以网格技术为核心, 在现有煤矿通信网的基础上构建煤矿安全应用网格体系, 从而实现了煤矿安全应用工作中高性能协同计算和空闲资源的有效共享利用。
1 CMSAG体系结构
1.1 CMSAG研究的目标
基于网格基础平台建立煤矿安全领域多节点资源应用处理平台;利用各个节点的空闲资源和数据处理能力, 提供数据信息服务和分析处理服务以及软件、服务之间的集成;在空间信息资源共享的基础上, 为煤矿安全应用工作提供全面的煤矿安全信息服务以及满足高性能协同计算的迫切要求。
1.2 CMSAG的层次结构
CMSAG的层次结构如图1所示。
CMSAG的体系层次结构中, 下层各种资源层的各种资源由高性能计算机、大规模存储系统、精密仪器设备、各种软件资源和数据库等构成, 可由通用的计算机技术、网络技术来推动该方面的研究, 从而完成目前的硬件、网络基础设施向上扩展。GMSAG网格中间件、GMSAG网格应用开发环境和网格应用开发工具目前尚未形成统一的标准, 可以从头开始研发独立的特定产品;也可使用基于开发源码的产品, 如Globus等。GMSAG计算与评价应用层包括煤矿安全监控管理与安全评价应用层, 根据自身的技术实力、技术要求, 构建煤矿安全应用网格中的功能节点以及系统的集成。
1.3 CMSAG的体系结构
CMSAG在网格核心技术和网格系统软件的支持下, 使信息数据和各种共享资源以流的方式按照需要在各网格节点和组成部分之间流动。CMSAG的体系结构描述系统各部分的构成和相互关系, 结合煤矿安全的应用流程, 参照OGSA体系, 设计为7层结构, 如图2所示。在该体系中, 从获取资源、协同计算、资源组织、数据共享、分析处理、服务集成到顶层的应用, 组成了一个从下至上的多层次总体框架, 各层次之间具有相应的关联, 下层可为上层提供功能和服务, 形成了现场信息数据的采集获取、传输、管理、共享到应用的完整体系[3,4]。
2 构建CMSAG的关键技术
CMSAG的研究涉及到多个学科和各种前沿技术的相互渗透和相互支撑。在煤矿领域, 煤矿企业以不同的矿、局等组织形式分布在不同的地理位置, 在煤矿安全应用过程中需要用到软、硬件资源, 包括数据库、文件和存储设备等, 这种分布式环境对应用网格提出了独特的挑战。本文在现有矿区通信网及煤矿安全监测监控系统的基础上, 结合网格技术, 对构建CMSAG的关键技术进行分析。
2.1 资源管理技术
资源管理是网格计算的核心问题, 它负责组织和管理各种类型的资源, 以实现CMSAG中分布空间资源的共享和闲置计算资源的有效利用。资源管理包括CMSAG中资源的组织、定位、发现、调度、分配、确认、进程创建以及准备所需资源的其它活动。系统管理员根据预先定义好的标准, 通过资源管理软件确保CMSAG中资源的合理分配和使用, 以最终达到资源共享的目的。图3为资源管理体系结构图[5]。
资源管理器支持在1组局部资源上创建和管理进程, 资源请求由一种可扩展的资源描述语言来表示, 并可在组件之间传递。资源代理接收分析应用程序所提交的高层资源请求描述, 并将其转换为更具体的需求描述底层资源描述语言, 然后将这些底层描述语言发送到资源联合分配器。通过资源联合分配器把底层资源描述语言中的任务分为若干部分并分别交给下面的几个资源管理器。资源管理器从资源联合分配器接受任务的底层资源需求, 然后将其翻译为本地资源管理器所使用的“语言”, 从而将任务的执行交由本地资源管理器处理。
2.2 资源调度技术
资源管理是计算网格的关键技术之一, 而CMSAG要实现煤矿中分布空间资源的共享和闲置计算资源的有效利用, 必须研究并应用网格资源调度技术, 以对这些空间资源进行协调。为了完成用户提交的任务以及满足用户提出的要求, 网格任务调度搜索CMSAG中所有可用的资源 (计算资源、存储资源和网络资源) , 找到最合理的资源分配方式和资源调度策略。图4为CMSAG任务调度设计图。当把任务请求传递给动态协同分配代理处理后, 任务请求被分解成多个资源管理器请求, 并且把每个请求都提交给资源管理器处理, 所有请求都成功后, 就达到任务请求同步点, 任务就可以正常执行了。但如果没有达到任务启动同步点, 则无法保证所有需要的资源都已获得。
2. 3 网格安全技术
CMSAG的目标是将Internet上提供煤矿安全信息服务的节点连接在一起, 让所有用户都可以享受这些信息服务。另一方面, 这些站点又分属于不同的煤矿组织机构, 各组织机构可以独立地管理属于自己的网络节点。在实际应用中, CMSAG必须为站点管理者提供访问控制等安全管理机制, 管理者可以自由地决定使用者存取网格资源的时间、地点以及范围。这种机制给使用者一个票据, 用于向资源的所有者证明这台经过授权的机器已经给予它存取许可。当然, 这种权限控制必须是易维护且独立于数据源本身, 同时应该在逻辑上提供不同的安全管理层次和控制权限。
3 CMSAG实际应用示例分析
CMSAG基于网格基础平台建立煤矿安全多节点应用结构, 每个节点能够实现各自区域的数据和分析处理功能, 实现信息服务和协同计算处理的集成, 为用户提供全面的一体化的煤矿安全信息服务应用。下面以实例说明CMSAG在煤矿安全领域的应用:煤矿安全研究机构需要对某矿井做通风网络分析与可靠性定量评价, 在评价过程中, 需要利用该煤矿现场关于矿井各巷道的各种参数和现场抽样测定的数据等, 而且还需要利用煤矿上级管理机构关于该矿井近期的安全评价报告等资料, 定量服务评价机构需要集合各种信息资源和计算环境进行综合计算和评估, 从而提供全面的一体化的煤矿安全信息服务应用。
CMSAG工作流程如图5所示, 研究人员 (或应用程序) 通过CMSAG资源服务和注册中心获取满足应用需求的煤矿安全信息资源, 根据这些信息资源, 用户通过CMSAG应用程序入口, 访问各种空间资源。首先调用区域选址服务获取特定的矿井参数和抽查数据以及存储分布在各煤矿机构的资源信息, 将这些信息汇集在定量评价服务机构, 定量评价服务机构根据这些数据信息, 利用各个机构的空闲计算环境进行高性能协同计算和相关处理, 然后把结果集成和融合, 实现最后的通风网络分析与可靠性定量评价, 将结果返回给用户 (或应用程序) 。
通过该应用示例可以看出, CMSAG可实现煤矿安全领域各种空闲资源的共享集成和有效利用以及高性能协同计算, 提高了煤矿安全管理工作中的安全预测预报速度和精度, 对解决煤矿安全的实际问题具有重要意义。
4 结语
随着煤矿企业网络应用需求的不断增长, 对计算模式提出了新的要求。本文结合网格技术及其在煤矿安全应用领域的实际需求, 提出了CMSAG体系结构, 详细论述了CMSAG在实现过程中的关键技术。CMSAG是在煤矿安全应用体系中引入网格概念的煤矿安全应用信息平台和基础设施, 在CMSAG中, 用户可以通过单一的应用程序入口访问所有煤矿安全的信息数据以及服务资源。实际应用表明, CMSAG实现了对煤矿安全应用工作中分布广泛的计算、数据、设备等空闲可利用资源的高效利用和管理, 提高了煤矿安全管理工作中的安全预测预报速度和精度, 对解决煤矿安全的实际问题具有重要意义。但是, CMSAG的研究还处于初步阶段, 需要在应用网格操作系统、高速处理海量数据及其关键技术等方面作进一步的研究。
摘要:应用网格解决煤矿安全管理工作中的数据密集、计算密集、资源分散、异构等问题, 实现高性能协同计算, 进而提高安全预测预报速度和精度, 已成为煤矿安全管理工作中的关键。文章在现有的煤矿通信网的基础上和参照OGSA体系, 提出并构建了从信息获取、处理到应用的煤矿安全应用网格 (CMSAG) 体系结构。结合行业应用需求, 文章重点研究了CMSAG体系的资源管理、资源调度、网格安全等关键技术, 最后给出了具体应用示例。
关键词:煤矿安全,网格,体系结构,CMSAG
参考文献
[1]都志辉, 陈渝, 刘鹏.网格计算[M].北京:清华大学出版社, 2002.
[2]FOSTER I, KESSELMAN C.网格计算[M].北京:电子工业出版社, 2005.
[3]孙艺珍, 龚尚福.煤矿安全信息网格GIS的系统框架研究[J].西安科技大学学报, 2005 (12) .
[4]徐森, 王建国, 李学文.基于网格的煤矿安全应用网格体系研究[J].计算机仿真, 2005 (12) .
[5]孙士翠, 丁恩杰, 徐秀.煤矿安全网格环境下资源管理与任务调度的研究[J].工矿自动化, 2007 (6) .
网格安全 篇9
关键词:知识网格,智能电网,信息安全
0 引言
网格是一种分布式的高性能计算和数据处理的底层支持框架,能够进行众多地理、组织上异构资源的管理,来实现Internet上的计算机资源、存储资源、通信资源、软件资源、信息资源和知识资源的连接和整合、跨平台间的互操作及资源与服务共享,具有异构性、自治性、动态性、结构不可预测性等特点。
知识网格由Fran Berman较早提出,是一个智能互联环境,它能使用户或虚拟角色有效地获取,发布,共享和管理知识资源,并为用户和其他服务提供所需要的知识服务,辅助实现知识创新,协同工作,问题解决和决策支持。它以网格只能作为支撑,能够很好把握知识的动态变化态势。近年来我国一些人在此方面也作了一定的研究,诸葛海提出的知识网格模型为我国此方面的研究开了先河,史忠植在大量研究语义网格的知识发现理论、方法与技术的基础上,提出语义网格知识模型,实现本体驱动的网格知识管理。
坚强智能电网的安全运行将建立在设备的安全运行和信息的安全维护基础上,同时应注意信息的安全性在很大程度上意味着电网控制系统的安全性。信息和技术在实现坚强智能电网“电力流、信息流、业务流”高度一体化融合的同时,其负面影响不可避免地也波及到了电力系统。目前,电网信息化“SG186”计划在大部分区域已经基本完成,形成了纵向贯通,横向集成的“1”体化企业级信息集成平台,“8”大业务应用和“6”大保障体系。华东电网制定出具体规划体系方案中将安全列于举足轻重的地位,可见,构建安全可靠的信息化电网通信网络已经成为建设只能电网的重要内容。
计算机在电力通信技术中的灵活应用,传感器检测技术的硬件技术支持,集合了各类设备资源特性功能参数信息、运行状态信息、需求侧信息和需求响应信息的数据库为智能电网的建设提供着重要的软件技术支持。各类数据信息的安全性直接关系到智能电网能否高效稳定、节能经济的运营。
各类数据信息的安全性直接关系到智能电网能否高效稳定、节能经济的运营。电网信息安全等级评估可以作为识别现有供配电系统中各类信息安全的等级的判别系统,便于根据信息的安全等级结果制定完善的安全防范措施,提高信息系统的整体安全性能,保障电网系统健康稳定的运营发展。采用电网信息安全等级评估系统,还可以为智能电网的规划建设提供科学合理的参考决策依据。
1 知识网格的组织结构
作为分布式、问题解决与协同决策的服务支持平台,其资源节点的地理上分布广泛,归属于多个不同组织,具有异构特性的软硬件资源通过网络连接,在不同任务引擎驱动下,资源之间可以通过临时组合实现灵活的调度、分配和聚合,进一步实现数据的交换、信息的交流和知识的共享等功能,进行协同的数据分析和处理。具体要点如下:
1.1 人们能够通过单一语义入口获取和管理各地分布的知识,而无需知道知识的具体分布位置。
1.2 不同地域的相关知识智能地聚合,通过后台的推理与解释机制为其提供知识服务。此目标实现的方法是提供元知识。统一的资源管理模型对知识服务的动态聚合有大的促进作用。
1.3 在一个单一语义空间人或虚拟角色能映射,通过各个元素的重构和抽象,进行知识的共享并享用推理服务,使得其中的理解没有任何障碍。
1.4 知识网格能够快速高效地在全球范围搜索解决问题所需的知识,并找出较为合适的知识闭包(即最小完备知识集)。
1.5 知识网格环境下,知识不是静态而是动态演化的。这意味着知识网格中的知识服务在使用过程中可以不断自动地演化改进。
知识网格基本组织结构图如图1所示。
用户通过入口访问信息系统,不同的用户根据其身份特点设有不同的权限,以此来保障信息的安全性。有能力的用户可以提出服务请求通过动态加入的方式作为资源节点进入网格平台。统一编程接口是用户访问的出入口,功能主要包括程序的识别、提交和结果返回。该服务器能够为用户提供友好的界面支持,以便于响应用户服务请求并返回结果。中间件的应用使得基于网格技术的服务和故障诊断系统平台的构建更为顺畅,通过统一管理资源为用户提供各种服务。目录树是网格系统管理网格资源的有效途径,使得各种资源在系统中表示能够统一起来,从而方便资源的使用,使得在远程服务和故障诊断过程中,能够有效计算分析网格节点资源、实现节点资源优化调度,保证系统工作质量。
2 基于知识网格的信息安全系统
2.1 系统内容研
究智能电网具有信息化、自动化和互动化的特征,其信息安全研究主要内容包括:基础信息网络安全和重要业务系统安全保障、复杂大系统下网络的正常运行、防御、安全存储备份、入侵防御、攻击防范、信任体系和新型密码技术。
随着信息技术的快速发展,各种信息的更新更快,周期更短,相应的信息量也呈现出爆炸式剧增态势,导致电网中出现数据越多信息越匮乏的现象。智能电网相关信息表现出海量、多源、多类型、多格式和实时性特征,这些特征不仅要求信息系统达到其处理这些信息的目的,同时进一步体现其选择的存储和处理是否合理、高效。面对海量的实时数据,迅速定位并寻找到所需信息对于提高实务处理能力尤为重要。但是仅仅依靠人力和人为的传统做法已经很难达到要求,这就需要建立一个能够使得资源共享、远程讨论、动态交互智能分析的远程协同决策支持系统来达到及时、高效地处理庞杂的信息,从而保证信息系统安全、稳定地运行。
2.2 系统构建
知识网格是一个智能互动的环境,能使用户(或虚拟角色)有效地获取、发布、共享和管理知识资源,为用户提供其所需要的知识服务,以实现知识创新、工作协同、问题解决和决策支持。基于知识网格的智能电网信息系统是在知识网格这个灵活、互动环境下获取电网信息并将其共享和管理以进行有效利用达到系统目标。为了提高信息的传递速度和使用效率,各个子系统之间的调用、融合及互通程度的加深,构建统一的信息系统来显得尤为重要。统一信息系统作为知识网格信息系统的核心部分担任其中间件的角色,包括以下4个独立存在又相互依赖的信息处理子系统:(1)分布和分层的数据库群子系统,负责存储和管理电网的全部信息数据;(2)一个分布和分层的应用子系统,用于电网的控制与管理;(3)一个用于电网状态检查和监视的分布和分层式应用子系统;(4)一个电网全域可达(accessible)的人机信息交互子系统。由它们进行数据的筛选、整理、加工、利用和生成以实现理想的解决方案。
基于知识网格的智能电网信息安全系统体系结构如图2所示。
该体系包含3个大的部分:(1)信息汇集层:主要完成信息的收集。(2)中间件层:该层是整个体系结构的核心部分,它包括各个子系统和多种应用工具,各个子系统发挥不同的功能,比如数据库群子系统发挥着存储、管理电网中的所有信息数据。它们通过各自的功能来实现对信息的处理、加工和生成。同时客户端可以通过应用这些工具方便地运用知识服务网格中的知识服务来完成复杂的活动事项,使得整个系统成为一个有机的协同工作整体,实现跨平台、分布式操作和应用。(3)服务层:该层主要是将经过中间件层过滤后的信息所生成的不同解决方案进行分类,界定不同的单元对象。根据不同单元其自身性质和功能的不同甄别其所需的信息和方案,针对不同的对象单元分配相应的解决方案并用相应的语言进行描述,使其发挥相应的功能,完成一定的任务。
3 结语
如何统一、规范、有效地管理各种资源是现阶段信息系统所面临的关键问题。知识网格的目标正是建立基于动态的信息、知识和服务资源,进行有效共享和管理的平台。将知识网格结构应用于智能电网的信息安全系统中很好地解决了智能电网发展中的所要求的开发与建造一个能够覆盖电网全域的、统一的信息系统,这种电网的统一信息系统应当与电网现有的分布和分层式控制管理体系相适应且融为一体这一问题。很大程度调高了信息利用效率,加强了信息系统的安全性和稳定性。
参考文献
[1]Berman F“.From teragrid to knowledge grid”[J].Communications of theACM,44,(11):2728,2001.
[2]Cannataro M,Talia D.“Knowledge grid:An architecture for distributedknowledge discovery”[J].Communications of the ACM,46,(1):89-93.
[3]Zhuge H.“A knowledge grid model and platform for global knowledgesharing”[J].Expert System with Applications,22,(4):313-320,2002.
[4]Zhuge H.Knowledge grid[M].Singapore:World Scientific Publisher,2004.
[5]Sheng Q J,Shi Z Z.“A knowledge-based data model and query algebrafor the next-generation web”[J].Lecture Notes in Computer Science,3007:489-499,2004.
[6]关志涛,颜立等.面向智能电网的信息安全技术展望[J].特稿专递,2010,6,(5):5.
[7]郭江,曾洪涛,肖志怀.基于知识网格的电厂协同维护决策支持系统探讨[J].电力系统自动化,2007,31,(4):82-83.
[8]张之哲,李兴源,程时杰.智能电网统一信息系统的框架、功能和实现[J].中国电机工程学报,2010,30,(34):3.
网格安全 篇10
消防安全管理工作不仅关系到人民的生命财产和安全, 还关系着社会经济的发展。为贯彻落实国务院颁布的《关于加强和改进消防工作的意见》方针和政策, 如何推进基层消防安全网格化管理工作, 是我国当今值得深入研究的课题。只有明确消防安全网格化的特点, 发现消防安全网格化管理工作中的问题, 才能不断加强基层消防安全管理的系统, 实现消防安全管理在城镇的全面覆盖。
一、消防安全网格化管理的相关概念
“网格”一词来源于近年来国际上新兴的一种重要信息技术, 它不仅能有效地将计算机、数据源以及互联网三种技术组合, 还能及时整合信息, 利用资源。通过网格化对网格资源进行整合和利用是网格概念的核心思想。所谓的社会网格化管理, 就是政府在社会管理的实践中运用网格化的方式, 在不变动街道和社区的大格局上, 将基层划分为若干个单元网格, 对行政资源进行有效的整合和利用, 强化工作职能, 提高服务水平。网格化管理在我国最初只是运用于治安巡逻, 但现在拓展已经到城市管理的各个方面。消防安全网格化管理本着“属地管理与分级管理相结合”的原则, 以乡镇和街道为单元建立大网格, 以行政村和社区为单元建立中网格, 以行政村和社区小组为单元建立小网格, 确保网格的横向和纵向都延伸到端点, 对每一个网格进行消防安全管理。这种突破传统的工作模式, 进一步优化了现有的社会化消防安全防控体系, 高效地调配网格属地的行政管理资源, 能大大提升了消防工作的综合效能。
二、消防安全网格化管理工作中存在的问题
1. 消防安全管理制度落实不到位
消防安全网格化管理工作开展以来, 各镇街成立了以主要行政负责人为组长, 安监、综治、工商、文化、教育、公安派出所等部门负责人为成员的消防安全工作领导小组, 依托安监站建立了消防安全工作室, 基层消防安全管理的组织架构得到了初步的完善, 但大部分镇街的消防安全管理责任制度仅停留在纸面, 工作人员参与消防管理工作的积极性不高, 落实消防巡查的主动性不强, 仅仅热衷于突击应付检查, 大多数是在上级机关检查时才开展消防安全网格化管理工作, 这种被动的应付的行为, 使得消防安全网格化管理难以形成长效机制。
2. 相关单位管理权责划分不明晰
在消防安全网格化管理工作中, 虽然对网格区域划分制定了详细的方案, 但由于派出所日常消防监督检查的单位范围的界定不明确, 导致在属地行政部门与辖区公安派出所具体管辖范围划分管理单位时管辖不清, 权限不明的现象屡屡发生。由于涉及到责任问题, 对一些消防安全情况较好的场所, 各单位经常是重复检查, 而对一些火灾隐患突出, 历史遗留问题复杂的场所, 各单位反而相互推诿, 鲜有问津。权责划分不明的问题不仅使消防安全网格化管理存在盲区, 也导致社会行政资源力量的浪费。
3. 工作人员消防业务水平有欠缺
消防安全网格化管理的工作人员虽然都经过相关的消防业务理论和技能培训, 但由于经验上的欠缺及思想上的不重视, 部分人员对消防知识的理解比较片面、掌握比较粗糙, 在平时开展工作中, 时常出现火灾隐患排查不到位和消防知识宣传闹笑话的现象, 这不仅容易对社会单位和人民群众产生误导, 也会给消防部门的社会形象带来一定的负面影响。
三、如何完善基层消防安全网格化的管理工作
1. 建立落实长效奖惩机制
消防安全网格化管理工作是确保人民财产安全的有效措施之一, 政府和相关部门领导应给予高度重视, 并建立落实长效的奖惩机制。在建立工作考评和奖惩机制的过程中, 应将消防工作纳入各部门的评比内容, 与本职业务工作一同考评、一同奖惩, 如此一来, 不仅提高了工作人员对消防安全网格化的重视程度, 还有助于职员长久有效地明确自身职责。同时, 明确的奖惩机制也是激励消防工作人员严格监督, 实时性检查考评的动力之一。
2. 构筑完善火灾防控网络
要想构筑全覆盖且无盲区的火灾防控网络, 不仅需要严密的部署, 高强度的推进, 还需上层制度的补充完善, 才能使各级各部门之间明确责任。在消防安全网格户管理工作中, 各行政村、社区和公安消防机构, 在协调统一的基础上, 要各自发挥力量, 做到公安消防机构以及派出所抓“点”, 行业系统抓“线”, 乡镇街道和行政村社区则抓“面”, 全面推行网格化管理机制, 才能实现对火灾隐患进行高密度的排查与整治。
3. 提升工作人员专业素养
在对基层领导以及村居委会负责人等网格化管理人员进行有关消防专业的培训的基础上, 消防部门可以通过“手把手”、“点对点”的结对模式, 指导基层工作人员如何对火灾隐患进行排查和整治, 丰富其工作实践经验, 提高消防安全网格化的管理水平。还可以通过设置公益岗位招募大学生消防志愿者等途径, 全面扩展消防宣传工作人员的渠道, 充分发挥在校大学生知识水平高, 参与活动积极的优势, 提升社会化消防宣传成效。
四、总结
网格技术及其教育应用 篇11
摘要:网格是继传统因特网、Web之后的第三次技术浪潮,它将为各个领域带来无限发展空间。网格技术在教育领域的应用必将加快教育信息化的步伐,实现优质教育资源的全面共享。本文首先简要介绍了网格技术的概念,其次通过国外与国内的一些教育网格项目概括了网格技术在教育领域发展与应用的现状,最后对教育网格的发展前景做出了展望。
关键词:网格技术 教育应用 研究现状
中图分类号:G434 文献标识码:A 文章编号:1673-8454(2009)21-0079-03
在互联网广泛应用于人们的工作、生活和学习中并不断飞速发展的今天,正涌现出另一个具有划时代意义的新生事物——网格(Grid)。它的出现,将掀起继传统互联网、万维网之后的第三次浪潮,并将为各个领域带来无限发展空间。
网格技术有着诱人的前景,它的不断发展必将对各个领域产生深远的影响,教育领域也不例外。本文将就网格技术已经开展的以及正在开展的研究,以及它在教育领域的应用进行综合论述,以反映当前网格技术的发展情况和应用前景。
一、网格技术简介
传统的因特网实现了计算机硬件的连通,Web实现了网页的连通,而网格则试图实现互联网上所有资源的全面连通。什么是网格呢?有人将网格称为“下一代的互联网”、“国际互联网2”、“下一代的万维网”。
网格之父——Ian Foster在《网格:一种未来计算基础设施蓝图》一书中把网格描述为:“网格是构筑在互联网上的一组新兴技术,它将高速互联网、高性能计算机、大型数据库、传感器、远程设备等融为一体,为科技人员和普通老百姓提供更多的资源、功能和服务。”[1] 网格建立在已有的IP地址、网络传输协议、客户/服务器应用模型等概念和技术之上,是互联网技术的进一步发展。它作为一种并行的分布计算的基础设施,把分布在互联网上的资源集成为一台虚拟的、能力巨大的超级计算机,提供计算资源、存储资源、信息资源、专家资源、设备资源等的全面共享。网格的根本特征是资源共享而不在于它的规模,消除资源孤岛是网格的奋斗目标。
二、网格技术在教育领域的研究现状
网格技术的研究最初是从美国的科研机构开始,目前已经推广到了世界各国,各个国家和政府都投入了大量资金进行网格技术研究和网格基础设施建设,网格已经从实验室走向了教育领域。
1.国外的研究现状
大学是国外在该领域研究最活跃的场所之一。哈佛大学在IBM公司的帮助下,于2004年4月开始开发了一个名为“深红网格”的网格系统,供全校师生和研究人员共享数据以及在生命科学设计和应用科学方面展开协作,并最终向该地区其他大学开放。
(1)欧洲学习网格
LeGE-WG(Learning Grid of Excellence Working Group)研究计划是建立欧洲学习网格基础设施,支持信息的系统化交换,并为不同参与者创造亲密的合作机会。[2] 该项目集合了技术学科、教育学领域以及对E-learning有兴趣的专家学者和学生,促进了这些团体或个人之间的交互。LeGE-WG主要是以服务为导向,在学习网格环境下开发应用,发展新一代的E-learning平台。如eCalculus为运算资源需求性质的教学应用,老师用模拟的工具与学生进行教学互动,操作模拟工具以提升学生对课程的兴趣与理解。
(2)韩国Linux网格计算教育中心
早在2003年,韩国全南大学启用了基于GT3的Linux网格计算教育中心,这是首家在大学校园内设立的网格计算教育中心,为全南大学的研究生和本科生提供Linux和网格计算教育。学生可以在教育中心参加一些课程实践,通过其Linux网格计算教育中心来推出网格计算课程,是一项符合电子商务发展趋势的重要教育开发计划。
(3)NICE(叙事式沉浸的建设者及协同环境)
备受关注的叙事式沉浸的建设者及协同环境(Narrative Immersive Constructionist/Collaborative Environments,NICE)是伊利诺州大学芝加哥分校电子可视化实验室EVL(Electronic Visualization Laboratory)和交互计算环境实验室CEL(Interactive Computing Environments Laboratory)合作推出的。NICE是一个探索性质的协同学习环境,专为6~10岁的孩子设计,学习者戴着特制的眼镜,进入虚拟实验环境,可以在虚拟环境中与其他学习者互相交流、学习,获得真实的学习体会。
2.国内的研究现状
我国对网格技术的研究始于上世纪90年代中后期, 起步并不晚, 在关键技术研究方面与国外差距不大。
(1)中国教育科研网格(ChinaGrid)
中国教育科研网格(ChinaGrid)是“十五”211工程公共服务体系建设的重大专项,是中国国家网格的一个重要组成部分。中国教育科研网格ChinaGrid承担着将中国教育科研网(CERNET)上分散、异构、局部自治的海量资源整合起来,通过有序管理和协同计算,消除信息孤岛,发挥综合效能,实现资源的广泛共享、有效聚合、充分释放,提供高效的计算服务、数据服务和信息服务等重任。该项目自2003年1月进入实施阶段,研发工作长达三年,于2006年8月通过验收。在网格中间件——网格公共支撑平台(CGSP)的支持下,ChinaGrid已建成了覆盖全国13个省市、20多所高校的网格环境,聚合计算能力超过15万亿次,存储容量达150TB,并成功开发和部署了生物信息学、图像处理、流体力学、海量信息处理、大学课程在线等典型的网格应用。
其中大学课程在线(现已更名为大学堂)的使命是通过网格技术的应用,不仅提供内容最丰富的中国大学课程视频点播服务,而且提供能同时支持上万路视频流的服务能力。该网格建立了一个包含近3500小时优秀课程视频的点播平台,在全国17个城市部署了22个节点,从2003年5月开始试用至今,访问该系统的独立IP数为25,807;课程视频实际点播人次为1,736,501;日平均点播次数大约为5,018次;访问量最多的一天达到11,917次,受到网络用户的关注与欢迎,实现了网格环境下的教育视频点播服务,已经成为我国规模最大、提供7×24服务的非盈得课程视频服务。[3]
目前,大学课程在线网格应用由分布在10多个城市的22台服务器联合提供服务,近300门大学课程由20多所重点大学提供课程资源,涵盖文、理、工、农、医等多个领域,美国MIT计算机教学及传统的与教育相关的视频也无偿地加入到大学课程在线里,而且完全免费点播。大学课程在线真正做到了有老师在讲的视频,系统提供服务的能力随加入学校数量的增加而增强。
目前大学课程在线已把资源扩展到中小学、培训、考研辅导等领域,以充分满足学习型社会的需求。在ChinaGrid二期中,大学课程在线的目标是达到三个“一”:中国的教育资源达到一万小时;增加到一百台服务器;每天有一百万人在线访问。
(2)远程教育学习评价——LAGrid[4]
由清华大学等单位共同完成的LAGrid(远程教育学习评价)于2004年12月通过了教育部的科技成果鉴定,以中央广播电视大学系统作为应用背景,将网格技术应用于远程学习评价,它不仅提供了用户管理和群组管理功能,还提供对学习内容(题目、试卷、测评任务)和相关学习资源的管理。同时LAGrid支持个性化的学习,为学习者推送最合适的学习资源,及时反馈学习结果,改善学习,通过技术手段降低成本,实现“一对一”教学方式,从而构建出个性化的E-learning环境。
(3)中国知识基础设施(National Knowledge Infrastru-cture,CNKI)
中国知识基础设施即中国知网(CNKI),始建于1999年6月,由清华大学和清华同方发起,CNKI工程是以实现全社会知识资源传播共享与增值利用为目标的信息化建设项目,CNKI工程的具体目标,一是大规模集成整合知识信息资源,整体提高资源的综合和增值利用价值;二是建设知识资源互联网传播扩散与增值服务平台,为全社会提供资源共享、数字化学习、知识创新信息化条件;三是建设知识资源的深度开发利用平台,为社会各方面提供知识管理与知识服务的信息化手段;四是为知识资源生产出版部门创造互联网出版发行的市场环境与商业机制,大力促进文化出版事业、产业的现代化建设与跨越式发展。
CNKI是基于网格技术的第三代数字图书馆,是一个网格资源共享平台,将国内外分布异构数据资源聚合在同一门户界面中,为用户提供单一、友好的数据访问环境,对数据资源进行链接整合形成知识网络体系,实现数据资源的增值,具有强大的知识挖掘和知识学习功能,用户通过图书馆门户透明地访问所有资源和服务,并可以无缝地进行知识漫游,用户可以通过该平台提供的统一的检索界面、统一的检索语言查找到自己需要的资源,最终数据以统一的方式呈现。它通过产业化的运作,为全社会知识资源高效共享提供最丰富的知识信息资源和最有效的知识传播与数字化学习平台。
(4)国家基础教育网格
关于教育网格的研究已经不仅仅局限在高校,在基础教育领域的应用已经展开。2006年12月26日由国家基础教育资源共建共享联盟及国家基础教育网格课题组共同举办了国家基础教育网格(http://www.g12e.org/toG12eIndex.do)的开通仪式,它是一个基于IPv6的应用网格,在基础教育领域建成国家基础教育网格平台,其宗旨是在基础教育领域应用先进的IPv6及网格技术,建设一个全国性的教育资源共建共享平台,为教育领域“下一代互联网”的到来创造条件。该项目以人大附中为骨干节点,面向国内200所中小学开展,每一所学校都是一个网格节点,各学校的资源放在本地的节点上,自主管理自己的资源,通过网格计算技术,实现对全国各地的优质基础教育资源的集成和共享,提供开放的远程协同教学的支撑环境。该项目已于2008年6月30日通过了专家组的验收。截至2009年7月6日,已有981所全国知名中小学加盟,已经汇聚了13682条优质资源,而且资源的数量每天都在增加。
三、启示与展望
教育技术领域的研究对象为学习资源和学习过程,如何更好地对其设计、开发、利用、管理和评价一直是教育技术领域所关注的主要问题。网格的出现及其应用,对教育以及教育技术领域都提出了新的挑战,它可以实现教育资源的全面共享,那么,网格的应用到底会对教育产生怎样的影响?尽管国内外的网格实践已经为我们提供了成功的范例,网格领域的专家也为我们描述了一个美好的前景,但是,网格技术除了能解决教育资源共享的问题之外,所提供给教育的也许远远不仅如此,只有深入参与到教育网格项目中才能够领悟到该技术对教育带来的变革,真诚地期待更多的教育技术领域的人们加入到这项技术的应用研究中,更好地为教育服务。
参考文献:
[1]I. Foster and C.Kesselman.The Grid: Blueprint for a New Computing Infrastructure. Morgan Kaufmann Publishers,2004.
[2]http://www.lege-wg.org/Home.aspx.
[3]金海.中国教育科研网格ChinaGrid[EB/OL].http://www.edu.cn/zhong_dian_ke_ti_5168/20061012/t20061012_199825.s-html.
[4]许骏,史美林等.网格计算与e-Learning Grid——体系结构·关键技术·示范应用[M].北京:科学出版社,2005.
[5]金海.中国教育科研网格 ChinaGrid[DB/OL] http://www.edu.cn/zhong_dian_ke_ti_5168/20061012/t20061012_ 199825.shtml.
[6]http://www.chinagrid.com/.
[7]http://www.cnki.net/index.htm
[8]http://www.rdfz.cn/xyxw/xyxwx/t20081205_18432.htm
网格安全 篇12
网格 (Grid) 是将地理上广泛分布、系统异构的各种资源全面整合在一起, 以Internet为通信支撑, 实现虚拟环境上的高性能资源共享和协同工作[1]。由于网格环境中这种主体动态特性、资源开放性以及网格自身的一些其他特征, 使得网格安全问题一直是网格计算领域的研究重点和热点, 而身份鉴别是保证网格安全的重要机制之一。
目前, 网格中较广泛采用的是基于密钥的Kerberos认证机制和基于PKI (Public Key Infrastructure) 的认证机制[2]。然而, Kerberos认证机制存在着密钥管理任务繁重及未能解决匿名性问题的缺陷[3], 传统的PKI系统虽避开了密钥管理问题, 但PKI系统的建设和维护成本较高, 且在证书链处理和传递中的开销量较大。针对以上问题, 文献[4]以IDPKC (ID-based Public key Cryptography) 为基础, 提出了一种基于身份的多信任域认证模型, 实现了多信任域环境下实现跨域信任域的认证和密钥协商, 并提供了主体匿名性。针对Kerberos在跨域认证无法解决时间同步、带权限委托认证问题以及PKI的委托授权需求, 文献[5]提出了基于代理的网格安全体系结构;在用户代理的基础上, 为简化跨域实体认证过程的频繁性及复杂性, 引出了临时安全域 (Temp Secure Domain, TSD) 的概念[6]。Hash算法的引入与不断改进, 为网格技术的发展增添了活力。近些年较为流行的有分布式哈希 (Distributed Hash Table, DHT) 、信息-摘要算法 (Message-digest Algorithm 5, MD5) 及安全散列算法 (Secure Hash Algorithm, SHA) 等, 它们大都较多地用于数据加密技术中。然而, 多数认证机制对认证过程中的安全性考虑不足, 会带来域内实体间信任度下降的问题, 进一步造成域间实体间有效通信率下降。
本文针对网格安全架构 (Grid Security Infrastructure, GSI) 中实体间的相互鉴别过程, 提出了一种基于Hash算法的网格安全认证模型H-GSAM。分析表明, 该算法可有效解决域内实体双方鉴别过程中信任度问题, 从而提高域内实体间通信过程的有效性。
1 研究内容
1.1 GSI安全架构
网格安全架构GSI[7]是一个解决网格计算系统中的安全问题的一个集成方案, 它结合了目前成熟的分布式安全技术, 并对这些技术进行一定的扩展, 以适合网格计算系统的特点。GSI认证证书:① 采用了X.509的证书格式, 可被其他基于公钥的软件共享;② 采用SSL作为其双向认证协议, 使实体之间通过认证证书证明彼此的身份;③ 采用公钥技术与对称加密技术结合的加密方式, 在保证通信安全性的同时, 尽量减少加解密的开销;④ 将用户的私钥以文件的形式加密存储在用户计算机上, 以此来保护用户的认证证书;⑤ 对标准的SSL协议进行了扩展, 使得GSI具有授权委托能力, 减少用户必须输入口令来得到私钥的次数;⑥ 使用用户代理, 解决了用户单一登录问题。
1.2 网格环境下的相互鉴别过程分析
鉴别 (Authentication) 是主体向请求者证明自己身份的过程, 通常使用一个凭证。相互鉴别 (Mutual Authentication) 是指双方主体在取得CA (Certificate Authority) 后彼此验明对方身份的一个过程[8]。
简单的安全身份相互鉴别过程描述如下:为了进行相互鉴别, A方与B方首先建立一个连接, 然后A方给B方自己的证书。A方的证书告诉B方A的身份、A的公钥以及签署A证书的认证中心。B方收到证书后, B方首先要通过检查认证中心的数字签名来确认证书是合法的。一旦B检查了A的证书的合法性, B需要确定A是其认证证书所指的主体。为此, B生成一个随机信息, 并把它发给A, 要求A对这个信息进行加密。A用自己的私钥加密信息后, 把加密信息发给B。B用A的认证证书中A的公钥对加密信息进行解密。如果解密的结果与初始的信息一致, 则B就可以信任A了, 如图1所示。
同理, 采用上述过程的逆过程, 使得A信任B, 由此A和B可相互信任, 并建立安全连接通道。
为提高双方通信的效率, 缩减主体双方相互鉴别的过程, 可采用双方主体同时鉴别的方式, 但由此所带来的问题是:在信息传输过程中的安全问题以及相关的责任归属不明等问题。为解决该问题, 采用分段Hash方法, 并将其应用于用户鉴别过程中, 在确保安全鉴别的同时, 降低相互鉴别的频繁度。
2 H-GSAM 安全模型设计
2.1 设计思想
H-GSAM模型以GSI用户鉴别为基础, 将网络传输的安全性考虑在内, 并将Hash算法与用户鉴别过程相结合。以分段Hash算法降低鉴别时间, 引用混沌映射保证加密的安全性, 避免因网络的安全性造成实体间信任度的受损问题, 同时也降低了实体间相互鉴别的次数。
2.2 相关概念
2.2.1 分段Hash映射
H-GSAM中所用到的分段映射应用于明文的分段处理中:
undefined
以2i为递增基数。其中, hi为分段点, 各段内采用混沌映射加密。
2.2.2 混沌映射
混沌映射的特点[9]是对系统初始值和参数值的极端敏感性, 初值及参数的微小变化都会产生两种截然不同的加密结果, 可提高加密的安全性。文献[10]提出的四维混沌映射如下:
undefined
式中:x1, x2, x3, x4是系统轨迹;a, b, c, d是系统参数。当a=30, b=10, c=1, d=10时, 系统出现混沌吸引子, 呈现混沌状态。
2.3 H-GSAM 模型
H-GSAM模型中实体相互鉴别模型如图2所示。
(1) A将明文M用B的式 (2) 加密后, 生成M1;
(2) A将M1发送给B, 考虑M传输过程中可能发生篡改, 故设B端接收明文为M2;
(3) B在本地将M1文件备份, 另传送一份至A, 此时A端接收为M3;
(4) 此时将M1与M3相比较:
① 若M1与M3相等, 则认为传输网路安全, 转 (7) ;
② 若M1与M3不等, 转 (5) ;
(5) 用二分法对M1, M3做相似度比较, 以两段为例:
① 将M1, M3分别采用二分法分成两部分M11, M12, M31, M32;
② 采用Hash法, 对M11, M12, M31, M32分别做checksum, 比较各自的checksum值, 找出相同段;
③ 若M11=M31, 将M11的文件首址及尾址分别传送至B;
④ 转 (7) 。
说明:
① 仅找出满足条件的第一个文件段便停止比较转下一流程;
② 在checksum之前, 先确定是否已超出了允许的安全度范围或者是最多允许划分的层数, 例如:若最多允许划分8层, 分析比较后, 无相同文件段, 则认为该网路不安全。
(6) 传输网路不安全, 重新进行鉴别;
(7) 将M1和M3的Hash映射准则传给B后, 由B用其准则对M2中的对应数据段Mn进行解密;
(8) B针对A指定文件段用自己的私钥进行解密:
① 若解密部分文件段 (设为M′) , 则将其余未解密段拼接, 生成文件M″;
② 若解密整个文件, 则解密后文件为M″;
(9) 针对解密文件段进行较验, 若较验结果相同, 则A信任B, 否则重新鉴别或A不信任B (视设定的鉴别总次数而定, 若鉴别总次数为1, 则A不信任B;否则重新鉴别) 。
上述模型仅是在双方CA证书验证后, 用户A对用户B的鉴别也可用于相互鉴别, 并且双方鉴别过程可同时进行 (B对A的鉴别仅将上述过程中A与B进行对换) 。
2.4 性能分析
H-GSAM模型中, 网络安全性的验证交由原发送方 (A方) 确认。在满足安全度要求的网络中, 通过建立与原文件的Hash映射, 并将Hash映射传送至接收方 (B方) 。B根据Hash映射准则仅将相应段用密钥解密, 并将解密后的文件发送给A方校验。然而, 对段间, 由于混沌映射对参数的敏感性, 有效地确保了对网络安全度的确认。同样, B方可用同样的方法完成对网络安全度的确认, 不满足要求则更换传输网络。对于校验及解密方法, 不因网络安全性而造成信任度的损失。在解密过程中, 因仅需根据Hash准则对部分文件进行解密, 故可提高检验速度。在H-GSAM模型中, 因实体双方都需对网格安全度进行多次确认, 在网格安全性较差的环境中, 将会增加检验时间, 这也是该模型的不足之处。
3 结 语
网格的安全性及实体的信任度一直倍受关注。H-GSAM将Hash算法引入用户鉴别过程中, 并应用了混沌映射技术, 能有效降低因网络安全性而造成的信任度损失, 提高了用户鉴别效率, 较具实用性。
参考文献
[1]Foster I, Kesselman C, Tuecke S.The Anatomy of the Grid:Enabling Scalable Virtual Organizations[J].International Journalof Supercomputing Applications, 2001, 15 (3) :200-222.
[2]都志辉, 陈渝, 刘鹏.网格计算[M].北京:清华大学出版社, 2002.
[3]刘素芹, 李柏丹.网络安全认证模型研究[J].微计算机信息, 2008, 24 (3) :39-41.
[4]彭华熹.一种基于身份的多信任域模型[J].计算机学报, 2006, 29 (8) :1 271-1 281.
[5]马骏, 潘正运, 秦小龙.基于代理的网格安全体系结构设计与分析[J].微计算机信息, 2006, 22 (21) :111-113.
[6]吕锋, 王长亮, 苗露.基于临时安全域的网格安全认证模型研究[J].微电子学与计算机, 2007, 24 (1) :85-88.
[7]Tuecke S.Grid Security Infrastructure (GSI) Roadmap[EB/OL].http://www.gridforum.org/security/ggfl~2001~03/drafts/draft-gridforum~gsi~roadmap~02.txt, 2001.
[8]Mao Zhenli, Mark Baker.The Grid Core Technologies[M].John Wiley&Sons, 2005.
[9]郑洁, 韩凤英.基于四维混沌系统的数字图像加密算法[J].计算机工程与应用, 2009, 45 (12) :104-105.
【网格安全】推荐阅读:
网格化管理校园安全06-07
企业安全生产网格化09-24
无线网格的安全性研究08-01
消防安全网格化管理工作制度07-31
消防安全网格化管理创新研究09-13
××社区消防安全网格化实施方案10-21
镇消防安全网格化管理工作方案06-01
社区消防安全网格化管理实施方案06-12
网格员餐饮食品安全工作手册10-17
大荔全面推行食品药品安全网格化监管11-16