主动式网络管理(共12篇)
主动式网络管理 篇1
摘要:信息时代的网络技术迅猛发展,校园网安全问题异常严峻,结合自身教学工作实践阐述了校园网安全的主动式防范体系的构建以及网络安全策略及解决方案。
关键词:校园网络,主动式防范,网络安全,防火墙,入侵检测
1 安全管理
1.1 概述
如今,校园网络越来越多的担当着学校教学、科研、管理和对外交流等许多重要的角色。尤其是现代高等院校,逐步实现网络化和信息化办公、网络学术交流等是院校自身发展的必经之路。因此,建好校园网,构建现代化教育环境,是校园现代化建设的重要组成部分。
1.2 安全现状
目前,许多校园网的建设过程中都运用了越来越多有力的现代化手段,但是计算机网络的开放性、互连性、连接形式的多样性,使得从技术和管理方面来讲安全问题解决起来变的较为困难。同时,由于许多学校网络建设经费有限,所以就将有限的经费投在关键硬件设备上,而对于网络安全建设一直没有比较系统的投入,致使校园网处在一个开放的状态,没有任何有效的安全预警手段和防范措施。缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使得用户的身份无法唯一识别;网络病毒泛滥,造成网络性能急剧下降,重要数据丢失;校园网电子邮件系统极不完善,无任何安全管理和监控的手段。
1.3 网络安全威胁分析
校园网内的用户数量较大,局域网络数目较多。所以,校园网面临着以下的安全威胁:
(1)黑客攻击,各种病毒的传播与攻击。
(2)网络体系构建的不合理,互连网所依赖的TCP/IP协议缺少相应的安全机制。
(3)各种软件自身存在漏洞,对信息安全、系统的使用、网络的运行构成严重的安全威胁。
(4)拒绝服务攻击越来越普遍,恶意用户可能利用一些工具对网络及服务器发起攻击,导致网络及服务不可用。
(5)校园网络管理员以及用户的安全意识不强、管理制度不健全,容易给校园网带来安全威胁。
(6)很多院校对于硬件的投入较大,而对于软件的维护与投入没有引起足够的重视,这对校园网在一定程度上造成了安全隐患。
2 网络安全防范
2.1 主动式安全体系的构建
在整体的安全策略控制下,分为三部分:防护、检测、响应。主要包括防火墙系统和检测防御系统,综合运用防御、检测工具,分析和评估系统的安全状况,及时将网络调整最安全状态。因此必须打破传统的利用可能多的禁止策略来进行防御的网络安全体系。尽管防火墙、入侵检测、虚拟专用网、身份认证、访问控制等这些方法对防范非法入侵起到了一定的防御作用。但不能完全阻止入侵者通过蛮力攻击或利用系统的缺陷闯入未授权的计算机。应将各种技术与工具结合,合理利用,才能真正构建网络的安全。
主动式安全防御体系主要包括管理控制系统、防火墙系统、漏洞检测系统、入侵检测防御系统、各个人侵检测器的协作系统和用户身份唯一认证系统。各个系统相互独立,协调工作。
(1)管理控制系统主要是实现对防火墙系统、漏洞检测系统、入侵检测防御系统等子系统的动态配置、管理与资源调配。
(2)防火墙系统主要是配合其他系统完成响应功能。
(3)漏洞检测系统主要起到漏洞扫描、漏洞提示的作用。
(4)入侵检测防御系统是主动防护系统的一个相当重要的组成部分,负责监测网络或系统以发现违反安全策略的事件。
(5)各个入侵检测器的协作系统,设计了协作代理,负责对来自于各入侵检测代理的检测结果进行分析和汇总。并结合从其他域的协作代理收到的报警消息检测复杂的入侵行为病采取相应措施。
(6)用户身份唯一认证系统通过其强大而灵活的绑定设置,最大限度保证用户入网身份唯一性。通过与漏洞检测系统的交互,及时检测出终端的漏洞情况并采取相应的措施。
2.2 解决方案
(1)网络系统层次化安全
网络OSI的七层模型,网络安全贯穿整个七层模型。针对网络系统实际运行的TCP/IP协议,将安全规则分为数据链路层安全、网络层安全、传输层安全和应用层安全。
(2)设备安全
在校园网规划设计阶段就应该充分考虑到网络设备的安全问题。将一些重要设备的管理落实到人,进行严格管理。
(3)技术安全与安全管理
可以采用VLAN技术,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。采用防火墙技术可以有效地将内部网与外部网隔离开,保护校园网络不受未经授权的访问者侵入。采用入侵检测系统,可实时监控外来入侵和内部用户的非授权操作。采用严格的密码管理制度,明确责任,落实到人,对操作密码定期更改,不同级别的管理人员应掌握有不同权限的密码,密码由各管理人员负责。同时,加强对无线设备的监控。对构成威胁的笔记本电脑或其它移动终端应具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合安全策略,是否是经过认证的用户,是否有明显的系统漏洞等。当然采用的这些技术,它们分别各自独立存在,但只有将它们有机结合利用才能真正达到安全的效果。很多的安全措施必须由网络用户来完成。只有增强网络用户的安全意识,杜绝威胁校园网安全的不规范操作,才是维护校园网络安全的关键。
(4)恢复工作
在每次设备完成配置后都要做好备份,所有的服务器都要实时备份。当灾难发生后要在限定的时间内作出反应,提供完全恢复或有限度恢复的服务。
网络的安全只能是相对的,没有绝对安全的网络,只能在相对的环境里尽自己最大的努力采取应该可以采取的措施给自己构建一个相对安全的网络。
参考文献
[1]张越令.主动式网络安全防御模型设计[Ⅱ].网络安全技术与应用,2003;(1):77—79.
[2]谢希仁.计算机网络[M].北京:电子工业出版社,1999.
[3]王启智.实用unix和internet安全技术[M].北京:电子工业出版社,1999.
[4]张德庆.Internet网络安全管理研究[J].计算机应用,2001:21.
[5]王威,邓捷,吕莹.网络安全与局域网安全解决方案[J].自动化技术与应用,2001.
主动式网络管理 篇2
―
XX市国土资源局XX分局
国土资源管理工作领导关切、群众关心、社会关注。作为基层分局(所)要做好国土资源管理工作,总体上就是抓好三件事:管好土地(工作职责)、服务好发展(工作方向)、抓好队伍(基础)。近年来,中央将土地作为调控的“闸门”,面临新的形势和新的要求,如何履行好职责,我们认为在积极主动服务的基础上,要在严格规范管理上下功夫,特别是要注重土地执法监察工作。长期以来,“发现难、制止难、查处难”一直是困扰基层分局土地执法监察工作的难题。怎样来真正做到早发现、早制止、早汇报、早处理,成为基层国土分局土地执法监察工作必须要解决的问题。下面结合XX的实际,谈几点体会,供市局领导参考。
一、清醒看待形势,进一步增强执法监察工作的责任感和紧迫感
近年来,国务院先后出台了国发28号、31号和3号文件,进一步强化了土地参与宏观调控的职能。特别是党的十七届三中全会通过的《中共中央关于推进农村改革发展若干重大问题的决定》,提出了农村土地管理制度改革的新思路。
土地管理面临“两碰头一忧虑”的严峻挑战,如何正确处理好“保障发展”与“保护资源”的关系,在实际工作中是一个不可回避的焦点。为此,我们必须认清形势,把握重点,进一步增强做好执法监察工作的责任感和紧迫感。
一方面要正确把握好《决定》中提出的重大原则,即把保护好XX镇7.4万亩基本农田作为头等大事放在土地执法监察工作的首位,把“保增长”和“保红线”作为土地执法监察工作的重要内容和落脚点,把严格规范管理作为土地执法监察工作的切入点,实现保护资源与保障发展相协调。
另一方面,要正确把握好《决定》中“二个最严格”,即:最严格的耕地保护制度和最严格的节约用地制度。要按照昆山市局束局长在做客在线访谈室时,就“保增长保红线”,确保昆山持续发展提出的“四大举措保增长、四项措施保红线、五条途径强队伍、十项机制促发展”的要求,以积极主动服务赢得地方政府的理解信任,以严格规范管理获得服务对象的拥护支持,以广泛宣传沟通取得社会各界的关心关注,来牢牢守住7.4万亩红线,切实保障XX经济社会又好又快发展。
二、加大力度,认真做好土地执法监察工作
1、加大法律法规宣传力度。要充分利用广播、电视、报纸等媒体和“4.22”地球日、“6.25”土地日、“12.4”法制宣传日等宣传时机,集中报道国土部门积极主动服务、严
格规范管理的工作成就和重要成果,经济社会发展中涉土问题的最新动态,重大典型违法案件的查处情况等,把政府领导的着力点、新闻部门的兴奋点和社会各界的关注点,凝聚到坚守18亿亩耕地红线、坚持两个最严格的制度上来。
2、加大执法监察的威慑力度。没有严格的执法就没有良好的秩序,对于违反国家政策、顶风违纪的现象,执法监察队伍要敢于碰硬,严格履行法律赋予我们的职责,认真执法。对未批先建、破坏耕地等违法违规的行为,要敢于碰硬动真,发现一起、处理一起。特别是对一些顶风而上、性质恶劣、影响重大的典型案件,要公开曝光,起到了处理一起,教育一片的警示作用。
3、加大调研和信息分析的力度。土地执法监察工作在第一线,对地方发展过程中,出现的新情况、新问题及带有普遍性的不良倾向和苗头性问题也基本能够及时发现。要注重对信息的收集,提高信息分析质量,有针对地提出相关措施和建议,供上级部门参考,为出台有关制度政策提供有价值的信息,进一步增强监察工作的针对性、有效性和前瞻性。
三、积极探索,构建行之有效的执法监察新机制
面对新形势、新情况,做好土地执法监察要有新方法、新举措,特别是要在敏锐发现问题上下功夫、在快速反应上想办法、在及时处置上不含糊、在全面监控上做文章。我们应该在现有的违法案件督办、执法监察过错责任追究、违法
重大和疑难案件会审等制度的基础上,积极探索和完善执法监察新机制。
1、完善执法监察区域网格化管理制度。在管辖的行政区域内,将土地执法巡查区域,以网格化的形式,划分为若干个责任区域,实行定格、分片包干负责制,做到巡查区域全面覆盖,不留死角、不留盲区。市(县)局以乡镇为单位进行划分、乡镇分局(所)以行政村(社区)为单位进行划分、行政村(社区)以组或自然村为单位进行划分,并确定责任区域,实行定点、定人,达到“三位一体、盖边沉底”。
2、建立执法监察区域监控制度。进一步理顺市、镇两级国土资源管理部门的执法监察方式和村级协管方式。市局设置若干个片区监控小组,建立监控程序,重点进行日常监控。分局(所)在坚持监察队伍日常全面巡查的同时,按照《执法监察区域网格化管理制度》中定点、定人的要求,重点进行定点巡查。同时,利用村级协管员熟悉情况,指掌信息及时、可靠的特点,充分发挥协管的监控作用,达到基层情况反馈的信息员、对违法案件及时发现的监督员的要求。
3、建立执法监察等级预警监控制度。一是评定区域预警等级,具体为:对基本农田保护区、主干道两侧和案件多发区域实行一级监控,由市局片区监控小组每季组织拉网式检查、分局(所)每周定期组织重点巡查,村级协管员配合日常巡查;对工业集聚区、城乡结合部和乡村道路实行二级
监控,由分局(所)每周定期组织拉网式检查,村级协管员配合日常巡查;对其他区域实行一般监控,由分局(所)每月定期组织巡查,村级协管员负责日常巡查。二是评定个案的预警等级,根据个案的违法用地面积、地上物状况、地类、违法用地地点、社会影响度等指标,确定案件的三级预警等级。通过对一定区域及一个区域案件发生情况进行预警等级评定,对预警等级高的案件和区域予以重点、严密监控,以起到重点打击大案要案和监控案件多发区域的作用。
评定预警等级的标准可根据辖区的具体情况相应调整。当案情发生变化时,预警等级也随之进行变化调整。通过设立预警等级可清楚地了解一个区域内的土地违法案件发生情况,从而进行有效监控。
4、建立执法监察24小时锁定制度。对村协管员反映的苗头性问题、群众举报的违法行为等,分局(所)要实行24小时锁定制度,即在接到情况反映或发现土地违法行为的24小时内,专职监察人员要到达现场调查,了解真实情况,及时作出处置。把土地违法行为扼杀在萌芽状态。同时,将信息反馈市局片区监控小组,评定等级、进入监控程序。
主动式网络管理 篇3
基于客户,服务器模式的故障管理系统模型及应用。
关键词:面向业务;公共时象请求代理架构;网络管理;Active Code
0引言
随着网络规模的不断扩大和各种网络技术的出现,各种网络业务也在日益增多。与此同时,庞大的网络规模和不断更新的网络业务使得网络管理也更为复杂化。
传统的网络管理系统主要是集中式网络管理体系结构。主要遵循两种协议:一种是公共管理信息协议CMIP,它是基于国际标准化组织ISO的OSI七层开放互连模型的协议,因其复杂性高和实现难度大,除电信网管等领域外并没有得到广泛应用。另一种是简单网络管理协议SNMP,它是基于TCP/]P的网管协议。传统网络管理系统都是以网络设备为管理对象,随着网络规模的扩大,一旦网络出现故障,系统管理员就不得不逐一检查网络设备,这不仅消耗大量人力和财力,而且也很难准确定位影响网络性能的设备。另一方面,网络设备的运转正常并不意味着网络业务的正常开展,而且,网络业务的终止和性能的下降也并不能具体反映到出故障的设备上。因此传统的网络管理系统并不能满足新一代网络的需要。
主动网络(Active Network)是一种可计算的网络模型M。主动网络主要包括主动节点和主动包。主动节点不仅可以被动地转发数据包,而且还能够解析数据包并提供处理数据包的运行环境。主动包不仅携带传统网络IP包的数据,而且携带可执行的主动代码或者一些参数指针利用其携带的参数执行已在主动节点上的程序,通过将可执行代码随着数据包在网络内传输,可以使新业务和新协议在全网范围内迅速实现。从另一个角度来讲,通过主动网络,用户可以控制网络的某些运行特征,远程动态修改网络配置,监测网络性能参数,分析和查找网络故障,从而加速了网络应用和网络服务的更新。
面向业务的网络管理(Service-Oriented Network Manage-ment)是把管理业务、网络业务作为网管对象,实时监测与网络业务相关的设备、应用,通过模拟最终用户来实时测量网络服务的可用性和网络业务的服务质量,并收集网络业务的业务数据,实现全方位、多视角监测网络业务运行情况的目的,最终实现网络业务的故障管理、性能管理、计费管理、配置管理及安全管理。
针对传统网络管理的被动性和面向网络设备这两大弊病,本文提出了一种基于主动代码的面向业务的网络管理体系结构。
1基于主动代码的面向业务的体系结构
面向业务的管理体系结构的内容十分广泛,它提供了一整套复杂的概念和原则。基于主动代码的面向业务的网络体系结构包含四个模型,即服务模型、组织模型、信息模型和功能模型。下面将AJg四个方面进行阐述。
服务模型是整个网络管理体系结构的综合体现;组织模型和信息模型分别从组件和业务的角度描述数据在整个体系结构中的存储和表示,横向贯穿于服务模型;功能模型中的各个功能则纵向贯穿于服务模型。它们共同构成了面向业务的体系结构模型。
1.1服务模型
服务模型借鉴了电信信息网络体系结构(TINA)的分层的思想,整个体系结构分为三层:网元层、网络层和业务层,如图1所示。
在整个体系结构中,最底层的网元层是由网络元素构成的。包括路由器、交换机等物理设备。各种不同类型的网元共同组成了不同特色的专业网络,如ATM、GPRS网络等。网络层包括网络管理和网元管理,它负责对整个网络的管理,对从网元各个代理处收集到的信息进行存储和管理。该层是对整个网络资源的管理,包括底层网元的运行信息、网络的拓扑结构、端到端的连接性的维护和流量控制等。业务层实现对各种网络业务的管理,包括业务的配置管理和对提供业务的资源使用的管理。业务不仅包括如FTP、E-mail等Internet的基本业务,还包括网页拨号、SIP多媒体会议等新业务。
FCPAS指的是网络管理中的五大管理功能:故障管理(Fault)、配置管理(configuration)、性能管理(Performance)、计费管理(Accounting)和安全管理(security)。管理的对象涉及到底层网元设备信息,中间层的网络拓扑流量等信息以及上层的业务数据。业务层的五个管理模块分别对应于五大管理功能,是网络管理的目的和核心。每一个管理模块具体完成的任务将在下面的功能模型中详细叙述。
1.2组织模型
组织模型描述了用于完成网络管理各种功能的组件和组件之间的相互关系。组织模型更好地体现了分布式计算的思想:多个主动节点(AN)分布于网络管理层,对应于每个主动节点,有多个管理者(Manager)和其进行通信交换信息;同样地,管理者轮询多个网元上的代理从而收集所需要的信息。组织模型如图2所示。
在组织模型中,Agent是指在网络中分布的各种网元代理,代理接受轮询,担当被管理者的角色。Manager一般发送请求收集信息,充当管理者的角色,但它同时可以为上层Manager服务并提供信息,此时,它充当代理的角色。以静态代码驻留在网元设备中的Agent并无任何决策管理的能力,它们只是不断接受上层管理者(Manager)的轮询,把网元的状态信息传递给上层。Manag接收数据并把数据存储到管理信息库(MIB)中。管--理信息库是一个虚拟的信息存储数据库,也是4对网络设备状态变量进行描述的数据库。Manager和Agent之间通过SNMP协议来交互。
Manager把从网元代理处收集到的网元的状态信息传递给该管理者所在子网的主动节点,主动节点对这些数据进行处理,统—信息格式,屏蔽不需要的信息,从中得到与业务有关信息,比如:业务名称、业务编号、故障或性能信息、故障原因和时问、响应时间等等。主动节点把这些与业务有关的信息存储在信息数据库中。
管理者和主动节点之间的接口用互操作性比较好的CORBA来建立联系。ORB(对象请求代理)是CORBA的核心,它提供了一种机制,使得管理者和主动节点之间可以透明地发送请求和接受响应。为了支持ORB之间的互操作,CORBA规约定义了ORB之间通信的标准协议GIOP(General Inter-ORBProtoc01)——用于ORB间通信的一种标准传输语言与一组消息格式。GIOP主要由三部分组成:公共数据表示、GIOP消息格式和GIOP消息传递。GIOP只是建立在传输层协议之上的一种抽象协议,在实现时必须映射到具体的传输层协议或者特定
的传输机制上。因特网ORB互联协议(Intmet Inter-ORBProtocol,简称IIOP)就是GIOP在TCP/IP上的映像。
1.3信息模型
在信息模型(如图3所示)中,网络业务活动和各种完成业务的组件所需要的信息被模型化。不同内容的信息有不同的承载实体。信息模型是对这些信息承载实体之间的相互关系以及控制其行为的限制和规定。
SNMP代理轮询网元层的网元代理,得到网元设备MIB中的有关信息,包括设备标识,路由表的信息等,把收集到的网元信息存储在数据库DB中。在网络层,代理对这些网元信息进行分析计算,得到网络管理所需要的面向设备的信息,包括一些接口流量的统计数据如丢包率、误码率,网络拓扑结构等。每—个子网中的主动节点和SNMP代理进行交互。中间层用于完成数据的转换,也就是把网络层的信息变为业务层所感兴趣的信息。它将主动节点收集到的信息进行整理,对每个数据包中的控制信息和数据段的内容进行筛选,屏蔽掉无用的信息,抽选出与业务有关的数据,进行重新分析组合,形成业务数据。在业务层的管理模块中:主动节点位于每个模块中,收集相应模块需要的业务数据并存储在数据库中,包括业务名称、业务编号、故障或性能的标识、业务的响应时间等。
1.4功能模型
功能模型按照管理功能把业务管理划分为故障管理、性能管理、配置管理、计费管理和安全管理五大功能模块。网管系统通过监测与业务有关的设备及应用、业务服务、业务性能以及进行业务分析来进行全方位的管理。在故障管理中,管理员可以通过点击故障的业务发现与故障有关的设备和应用。在性能管理中,可以根据业务的响应时间、接入时间、可靠性以及影响业务的其他参数,分析出业务的性能指标。
2面向业务的网络管理系统中的故障管理系统
系统采用客户机,服务器模式,网管系统作为客户端,网元设备的各种代理和网络层的$NMP代理及其数据库作为服务器端。网管系统发送查询信息,服务器端接受请求报文,从管理信息库中取得管理变量的值。形成响应报文,再返回给网管系统,显示给用户的是业务的有关故障信息。故障管理系统如图4所示。
系统主要包括GUI(图形用户界面),后台数据库DB,信息分析与处理模块,收集信息的主动节点和对信息进行转换的SNMP/CORBA网关。业务信息的源数据是从SNMP代理处得到的网元信息。
以E-mail业务为例。用户在126上发送一封到sina的E-mail,主动节点跟踪并将E-mail数据包经过的路径存储在数据库中,若网络出现设备故障或数据包丢失或拥塞等其他情况,系统为业务编号,通过主动代码搜集数据包所经过路径的状态信息。在网络层,SNMP代理将收集到的网元信息通过SNMP/CORBA网关传送给主动节点.主动节点得到的数据包是面向业务的数据格式,包括业务编号、业务故障原因、故障发生的地点时间等等。信息分析与处理模块查询数据库.将用户需要的有关业务故障的原因、地点等信息显示给用户。
3结束语
主动式网络管理 篇4
浙江省电力公司信息技术中心(以下简称信息中心)负责浙江省电力公司(以下简称省公司)信息系统的建设及运行维护管理,并受省公司委托,对11个地市电力局、64个县级供电企业和直属单位进行信息业务指导和专业管理。
省公司从20世纪90年代就开始探索信息化应用,并通过信息化的应用不断提升和促进各项工作的水平。特别是在营销工作领域,经历了应用尝试、普及和提高3个阶段的信息化发展。但是随着营销信息系统的普及和深化应用,系统的运维工作出现了新需求和新情况,原有的运维模式迎来了新挑战,主要表现在事多人少,运维人员疲于奔命;需求变动由业务部门主导,运维部门缺少工作的计划性;系统技术架构采用多套标准,各种集成应用给信息系统的维护造成巨大压力。
究其原因是原有的营销系统运行维护工作仍然是按照“救火式”的模式组织,无法切断问题的源头;分割了运维部门和使用部门的职责分工,缺少统一规划和合理计划;运维部门在信息系统建设中介入太晚,缺乏对信息系统核心技术的了解。这些问题和缺陷的产生,根源在于对运维工作的认识和安排上存在着不足,因此迫切需要建设一个“主动式”的营销系统运维体系。
1 建设“主动式”营销系统运维体系
信息中心对“主动式”营销运维服务的各项手段、方法、制度的探索起步于2007年,到2010年,一个覆盖营销运维工作各个方面的“主动式”营销运维体系已基本形成。
1.1 指导思想
所谓建设“主动式”的IT运维管理模式,就是根据IT全生命周期管理的要求统一规划运行维护工作,而不是在项目建设完成之后被动地承接项目运维职责;建设主动式的IT运维管理模式就是改变运维工作原有等、靠、要的被动状态(例如:等项目、等需求、靠建设方提供、需求方决定、要资金、要人员、要技术),变为依托系统监控和故障分析,以可靠性分析和状态预警分析为核心的主动式的工作管理规划,消除故障的源头,切实加强系统运行的可控、在控和能控。
“主动式”运维理念是对以往运维工作管理思路的颠覆性调整,为确保整个管理理念能在营销运维团队的实际运维工作中落地并得到贯彻,信息中心制定了2条建设整个运维体系的指导思想,简而言之,就是要实现“2个转变”:运维管理的思路要转变为主动,运维工作的方法要转变为主动。
1.2 具体措施
按照“主动式”营销系统运维体系建设的指导思想,结合以往运维团队积累的运维经验,信息中心通过采取“12321”措施成功构建了“主动式”的营销系统运维体系:即搭建1个平台,实践2个服务,发展3个能力,形成2个网络,建设1个团队。
1.2.1 搭建1个平台
为了融入“主动式”运维的管理思路,原有的运维管理平台已不能满足当前的管理需求。为此,信息中心营销运维组重新自主开发了符合ITIL标准要求的省公司营销系统运维管理平台,该软件平台涵盖了事件管理、问题管理、发布管理、配置管理(由独立的配置管理工具提供,运维管理平台实现与其接口的功能)、变更管理等ITIL核心流程的相关功能。并在标准化流程的基础上,对每个环节的处理定义明确的角色权限。概括来说,整个平台是由“3流程,1个库”组成,即数据问题流程、问题消缺流程、需求变更流程和知识库。
1.2.2 实践2个服务
信息系统运维的2个重要出发点是“规范化”和“实用化”。规范化是从公司战略布局的角度出发,不能脱离信息化的总体方向;实用化是从应用的角度出发,即信息系统的建设和运维应当符合业务部门的需求。
运维工作既要使业务部门满意,又要做的正确规范。因此,建设“主动式”营销系统运维体系,就需要制定服务于营销系统的发展规划,利用运维自身优势,将营销系统性能、实际应用等数据进行整理、分析、提炼后,提供给业务部门作为参考,在系统的业务架构、技术架构、功能架构、IT架构、数据架构的设计上更趋于合理;还需服务于营销系统用户,满足使用营销系统28 534人的共性和个性需求。
1.2.3 发展3个能力
作为“主动式”营销运维体系的支柱,信息中心营销组运维团队一直致力于发展团队运维3个能力:系统实时监控能力、故障分析和预控能力、应急响应能力。它支撑起整个“主动式”营销系统运维体系,成为团队成员手中的利器。依托系统监控和故障分析以及状态预警分析建立起主动式的运维体系,不仅达到解决问题的目的,还通过监控问题、分析问题,找到风险点和潜在缺陷,提前做好预防性的完善工作,消除故障的源头,并通过强有力的应急响应能力,做到良好的服务响应和问题的及时解决,切实加强系统运行的可控,在控,能控。
1.2.4 形成2个网络
1)多层次的运维工作组织网络。通过运维管理方式的转变和运维团队的建设,形成了营销系统操作使用人员参与,县、市问题管理员配合,营销系统高级用户为补充,省级运维团队和业务专家为核心的多层次运维工作组织网络。
省公司营销系统运维的组织架构如图1所示。
2)多手段的通信保障网络。为提高沟通效率,及时了解、掌握系统运行情况,使用了即时通信工具RTX、统一的运维服务热线(5182186)和手机短信平台,实现了各级组织、各团队之间的信息交流和互动,形成和提供了多种手段的通信保障网络。
1.2.5 建设1个团队
营销系统虚拟团队是信息中心成立的第一批虚拟团队组织。团队成员构成主要由原系统运维的应用系统管理员组成,他们大多数在基层供电单位工作,多年的营销系统运维工作使得他们积累了非常丰富的营销业务知识和系统运维知识,正是当下运维最急缺的复合型人才。但集中式运维模式,使得他们从原先的主要运维人员变为目前的辅助运维人员。
为了发挥他们的经验才能,省公司信息中心通过成立营销虚拟团队,使他们成为营销系统高级用户,作为省级运维力量的有效补充。同时他们也是营销系统专家库成员,在营销项目建设时,他们作为建设的中坚力量集中到省公司项目组参与项目建设,承担重要职责。
2“主动式”营销运维体系的成效
2.1 管理效益
2.1.1 系统安全性、可靠性得到极大提升
1)安全性方面。在应用、数据、系统、网络、物理、接口等层次采用不同的安全防范措施,信息中心运维团队对整个系统规划、项目建设、系统推广、系统运行、系统维护等阶段全过程按照国家电网公司安全体系进行安全评估,并按照评估建议及时对系统安全体系进行整改,有效提高了系统的安全等级,保障了系统安全稳定运行。同时,通过精细化的权限管理,设置各级系统权限、各类操作权限、各种数据访问权限等,确保系统访问安全、业务处理安全、用户各类档案数据安全等,从而实现系统安全稳定运行。
2)可靠性方面。建立风险预警、识别模型,对系统运行风险进行规划、识别、分析,确定各类风险的应对策略,变“事后救火”为“事先控制”,预防为主,关口前移,防患于未然,且一直贯穿于整个系统生命周期内,全过程地进行风险管理,检查、监控、识别、控制解决可能出现的安全隐患。2010年,共识别风险1 538个,控制风险措施276条,解决风险1 078个,大大提高了系统运行的可靠性。
2.1.2 运维效率、服务质量得到极大提升
从“救火式”的运维模式转变到“主动式”运维模式后,通过运维流程的建设,将监控和运维流程高度关联,积极主动获取问题、快速响应解决问题成为运维工作的指导思想,同时将管理维护工作规范化、流程化,对服务管理进行改善,完善流程,使之更规范、更合理。主动机制的保证、运维人员能力的提升,不仅提高了工作效率,同时也提高了用户的满意度。表1为现在和传统运维工作量的对比情况。
2.1.3 运维队伍更加稳固
建立运维人才培养长效机制,除了计算机技能方面的前沿知识培训以外,业务知识的培训也不容忽视,通过2项结合培训,使运维人员进一步开拓了视野,丰富了知识,增长了才干。并把好的经验、知识等纳入知识库,成为共享,形成优势互补和有效合作,为营销系统运维提供强大的智力支持。同时建立合理的人才使用和激励机制,培养运维人员主动服务的意识,并根据知识结构和能力大小,将每个人安排在最适合的岗位上,营造尊重知识、尊重人才的良好氛围,充分调动运维人员的工作积极性、主动性和创造性,做到人尽其才。
2.1.4 工作质量显著提升
定期主动开展业务流转差错分析会议,建立数据核查常态工作机制。根据业务模型建立全省统一的数据核查标准、数据校验规则,及时发现业务差错原因,提出解决方案,通过各种技术手段建立数据核查工具。全方位监控问题数据整改情况,并纳入知识库进行管理,使得业务人员能全面了解出现差错的原因,避免类似的业务差错产生。传统的运维模式中,每年的退单工单数为723 089,年退单率为10.77%。通过引入主动式运维模式后,每年的退单工单数为447 653,年退单率为6.41%,降低了系统退单率,极大地提升了业务处理质量。
2.2 经济效益
2.2.1 直接经济效益
“主动式”营销运维模式实现减员增效,显著降低运维成本和费用。传统运维模式中的运维人员分布在各个地市县公司,每个单位都必须配备专门的营销系统运维人员进行日常的系统维护等工作。11个市局平均每个局要为营销系统的运行维护配备1.5名个专职的系统运维人员,32个分局平均每个局要为营销系统的运行维护配备1.5名个专职的系统运维人员,64个县局平均每个局配备2个专职的系统运维人员。全省合计需要配备约190人的系统运维人员。
主动式的运维模式中,系统日常运行维护由信息中心负责。“主动式”运维体系的引入使各地市县单位的日常运行维护工作大大减轻,由此每个地市局只需保留1个专职系统运维人员进行日常业务问题收集整理和数据分析即可,各县局的系统运维人员也只需保留1人即可。省级运维人员4人,和传统的运维模式相比,全省合计可以精简系统运维人员80人。2种运维模式下的支出估算如表2所示。
2.2.2 间接经济效益
“主动式”营销运维通过建立知识库、视频培训、基地集中培训、定期现场答疑等全方位培训体系,通过多层次、多渠道的培训手段,使得操作人员更加方便地获取培训材料、更及时得到培训,培训效率得到提高,传统模式下基地集中培训的次数明显减少,从而降低隐性运维成本。以培训为例,传统运维模式中,每年对运维人员集中培训2 900人次,主动式运维模式中,每年集中培训1 500人次,每年减少1 400人次,按每人次培训成本1 000元计算,每年可节约培训成本140万元。
单位:万元
3 结语
鉴于目前国网系统内尚无相同模式的运维体系,因此,省公司“主动式”营销系统运维体系的建立,标志着省公司运维工作迈入了一个崭新的“主动式”的时代,其意义不仅在于巩固了浙江电力营销信息化在全国的领先地位,同时其建设经验也对省公司乃至国网的相关系统运维体系建设具有良好的借鉴与推广作用。
摘要:随着浙江电力营销信息系统的普及和深化应用,原有的运维模式迎来了新挑战,浙江省电力信息技术中心秉承“核心技术掌控于我”的指导思想,在运维管理和运维工作上变被动为主动,建立了“主动式”营销运维的结构体系,在管理效益和经济效益方面成效显著,对相关系统运维体系建设具有良好的借鉴与推广作用。
管理就是激活人的主动精神 篇5
人是最重要的资源,对人的激励也是最重要的,对于这个方面的认识,管理者都不会缺少,而缺少的是对于员工成长的安排和支持,新希望六和也在推动内部创业计划,建立了四个平台,食品投资并购平台、农村互联网金融平台、养猪专业服务平台和“2030”计划,运营团队成员都可以持股,用海尔的话来说,这是一个人人都可以是创客的年代。只有适应这个变化,才不至于让对的人离开你,但是你不是完全“拥有”他,而是怎么跟他合作、共享。
任何一个组织或企业都是由许多不同个性和品格的个人所组成的。管理者的领导职能实质上就是一种影响力,它是艺术性地影响人们心甘情愿、满怀热情为实现组织的目标而努力奋斗的过程。更明确地说,成功的领导者依靠的是对突出强调企业文化体系的战略性创造,在这种体系下,人才能够真正发挥才能。激活个体与组织激活,成为我在新希望任期三年之内所珍藏的最大的一笔宝贵财富。
外储管理将更主动 篇6
尽管美国财政部在隔周就发布了这一数据的修正数字,表示中国的持有量仍然位居第一,但这仍然从侧面说明了我国外汇储备结构调整的策略正越来越积极。国家外汇管理局局长易纲3月9日在“两会”新聞中心接受记者采访时表示,将通过多元化配置等策略,保障外汇储备资产的安全、流动和保值增值。
其实,在2008年到2009年期间,中国已经开始了相应的准备。要积极参与货币抗争,首先是自己手里要有足够的“子弹”。这段时间,中国除了不断用新增的外汇储备买入美元主权类金融资产外,中国对持有的美国国债期限结构做了很大调整。
2009年6月份中国持有美国短期国债1585亿美元,是2008年同期的12倍,2009年底的数额可能更高。仅从收益性需求的角度根本不能解释这样异常的增持行为,因为美国短期国债的到期收益率几乎接近零点,甚至是中国扫货美国短债的行为压低了其到期收益率,因此这极有可能是中国正在囤积弹药的结果。
另外,大量从美国净购入国债的同时,却更大量地对其它实体抛出自己的存量,中国俨然成为了国际市场上美国国债的做市商。
实际上,中国正希望通过自己手中的储备筹码增强自己在国际金融市场中的发言权。中国真正需要的是通过积极利用外汇储备参与国际市场,在积累经验的同时积极探索,提高外汇储备的利用层次。
中国高额的外汇储备是非平衡的国际收支结构与特定的外汇管理制度共同作用的结果,是中国以牺牲本国消费,输出国内资源,放弃货币政策部分独立性,甚至是降低经济增长效率为代价换来的重要金融资源和30年改革开放的重要原始积累成果。占全球近三成的外汇储备规模,不仅是中国对外经济平稳运行的基本保障,更是中国参与国际资本市场的重要筹码,中国的国际金融话语权比想象中更大。
中国对美国国债态度的转变,可以说是中国外汇储备在市场参与方式及策略思维上的一个重要转折——由韬光养晦转入积极布局。目前的背景是:两大储备货币美元和欧元的汇率正处于胶着状态。
奥巴马政府刺激出口拉动就业的政策以及美国高额的负债和政府赤字导致市场对美元长期走低的预期,这也是美政府坚持“劝说”人民币升值的原因。
另一方面,希腊债务危机导致欧元区的不稳定性也为其经济复苏蒙上了阴影,美元兑欧元短期走高,长期来看,远期与即期汇率之间的差距很小,两种主要货币走软的趋势加大了人民币的升值压力。
从市场交易上看,中国的外汇储备就成了影响这两个货币之间汇率走势的潜在力量,以储备币种结构调整的名义进行大规模外汇资产买卖,可以在欧美汇率之间施加对中国有利的影响。
例如中国应该考虑驰援欧元,逻辑很简单,欧元是美元的竞争者,敌人的敌人是朋友。欧元的退却对中国并无益处,短期内应当保持现有国际货币次序的相对均衡,长期看逐渐削弱美元的影响力,用人民币进行替代,符合中国的战略利益。不过介入时机和方式的选择考验投资技术官员的能力。
主动式网络管理 篇7
1.1 职业学校校园网络应用平台发展现状
我国各级职业学校的校园网络建设及其应用已经历了十年之久, 正逐步发展成为以行政管理、教学管理、科研管理、学籍管理、总务后勤管理、资源库管理为主的数字化校园系统。实现了教育信息及资源的互联与共享, 给学校的校务管理、教学管理、信息化办公、师生交流等工作带来了极大的方便。然而, 这种校园网络应用平台系统的信息发布、管理、查询都是通过网络进行的, 学校师生获得信息必须通过PC终端和网络, 信息的即时性、随地性未能得到较好的解决。许多学校往往通过各种管理考核手段, 迫使师生及时访问校园网络应用平台获取各种校园网络信息, 很难最大限度的发挥平台的效益。我们称这种校园网络应用平台为被动式的信息平台。
近年来, 随着移动通讯, 特别是短信息技术的快速发展, 许多行业相继开发实现了借助短信息技术方便、快捷、随时、随地、费用低廉等特点的应用系统, 比较流行的有家校通、校讯通等成功案例。本人研读了这些成功案例的设计思想与实现手段后, 充分感觉应用短息技术设计一个适合职业学校情况的主动式校园网络应用平台是十分必要的。
1.2 职业学校主动式校园网络应用平台建设的优势
1) 开拓校园网络应用新思路:一直以来职业学校的校园网络应用平台常以单纯的WEB应用的形式存在, 而主动式校园网络应用平台则只要有一部手机, 用户便可以收到相关的会议通知、教务信息, 以及查询相应的教学安排、课程开设、日课安排、学业情况等相关信息。原先只能在联网电脑上进行的操作, 用手机短信息技术来实现, 是WEB应用在移动通讯设备上的延伸与补充。可以说开拓了校园网络应用新思路。
2) 突现信息应用平台的服务质量:学校管理部门可以运用该平台有针对性地向师生发送公告信息, 会议信息、教学安排、科研情况、文件收发信息等。师生也可以借助手机短信息查询与自己相关的课程信息、成绩信息、人事安排等。通过主动式校园网络应用平台为办公、教学、科研、的正常开展提供一种及时、高效的信息传输方式, 变被动信息访问为主动的信息服务。
2 职业学校主动式校园网络应用平台的模块设计
在分析了职业学校主动式校园网络应用平台实施的必要性之后, 我们着手进行总体规划, 进而从应用模块设计方面进行分析。
2.1 总体规划
职业学校主动式校园网络应用平台总体规划成四个层次, 分别是数据层、业务层、接口层、应用层。数据层是指校园网络应用的后台数据库, 主要为整个系统提供数据来源, 包括:用户数据、短信息收发数据、学生信息数据、教学管理数据、科研管理数据、后勤管理数据、行政管理数据等。通过它实现用户注册信息的存贮, 短信息收、发情况的存贮, 各种业务数据存贮。功能设计层, 则根据接口层的需要, 完成对数据层的各种操作。接口层是由软件系统、网络、通讯运营商提供的接口环境, 包括, WEB应用接口、计算机编程接口、数据库编程接口、GSM终端编程接口等, 通过此层实现用户与业务层之间的联系, 使用户的操作带至业务层进行实现, 而返回至用户层的数据则由该层传递。用户层实现的呈现在用户眼前的各种系统功能, 是其它三层协同工作后在终端的体现, 用户层包括管理员、教师、学生、其它等用户的各种操作界面与操作功能, 图1所示的是职业学校主动式校园网络应用平台总体规划层次。
2.2 应用模块设计
根据系统的总体规划, 我们设计了如图2所示的职业学校主动式校园网络应用平台的主要应用模块, 及相应的短信息提醒。主要涉及行政管理、招生管理、教务管理、教科研管理、学籍管理、家校系统、总务后勤管理、资源库管理等八大模块, 以及专门的信息查询接口。下面对各模块应用的功能分别进行介绍。
行政管理模块:包括学校各部门的通知公告、会议情况、主要文件等信息的管理, 办公室管理人员通过本平台发布通知公告、会议信息;教务处管理员发布选课通知、考试通知等其它教务信息, 这些信息一经发布会对相应的人员进行短信息提醒。
招生管理模块:招生管理模块实现了新生的报名录入, 录取考场的安排, 录取通知书的制作, 录取调整等功能, 该生一经录取, 会有一条录取提醒的短信息发至家长的手机里。
教务管理模块:教务管理实现了包括课业管理、排课管理、选课管理等在内的一系列操作。当课表排定、课程任课确定、选课成功, 这些信息便会发送到对应的师生手机里。
学籍管理模块:此模块含盖了成绩管理、成绩单管理、学籍信息管理等子模块, 此模块的成绩查询功能支持手机查询, 即发送查询码后, 系统便会在用户数据库里查询发送者的手机号, 然后进行查询操作, 把查询结果回复至该手机。由于学籍信息具有一定的保密性, 所以限定以注册的手机号作为查询关键字。当每学期成绩一经确定, 也会以短消息的形式提醒学生。
家校系统模块:家校系统模块主要实现了家庭、学校间的联系, 同时也作为学生用户通过Internet访问校园网络的入口。在这个模块中, 家校通知有短信提醒功能;同时家长可以通过相应的查询码查询自己孩子的成长档案信息。
教科研管理模块:该模块主要是对立项课题、论文等进行管理, 以及发布科研动态信息, 对于课题研究、科研动态信息, 支持短消息提醒功能。
总务后勤模块:此模块主要实现对校产的管理与维修, 当用户发布一条报修信息时, 维修人员的手机里便会产生一条提醒信息, 维修完成, 维修人员确认维修后, 会有一条提醒信息发至报修者手机。
资源库管理模块:这个模块实际上是校本资源库和个人空间的整合, 用户通过该模块管理个人资源, 管理员通过该模块管理学校资源, 同时实现了个人文件的存贮和用户间的文间共享功能。所以当学校的资源增加时, 会向教师进行短信提醒, 用户间传递个人文件时, 也会进行短信提醒。
这样, 在校园网络应用平台的各模块中, 溶入了短信提醒与短信查询的功能, 从而变被动为主动。使移动终端成为校园网络的延伸。
3 职业学校主动式校园网络应用平台的技术实现
主动式校园网络应用平台的技术实现分两部分, 即以WEB应用为基础的网络应用平台的系统设计, 和短信息收发服务的实现。而成熟的ASP.NET凭借其强大的功能在网络应用领域长期占据重要地位, 用它来实现网络应用平台的WEB应用是最适合的;而SMS (Short Message Service) 短信息服务是GSM系统提供的一种GSM终端之间通过服务中心来收发信息的应用服务, 短消息的收发都是通过GSM短信息Modem的AT命令来实现的, 运用这种技术使平台的短信息收发服务成为可能。
3.1 基于ASP.NET的WEB技术搭建平台应用。
主动式校园网络应用平台的主体采用ASP.NET和SQL Server2000开发。ASP.NET通过ADO.NET提供的数据控件与后台数据库联接, 在系统研发的过程中通过数据中间件的形式实现数据交换。ASP.NET是编译型的系统, 经过编译后的WEB应用程序会使系统在多次访问时速度上有极大提升。SQL Server产品是一个大型的关系型数据库系统, 它在安全性、可靠性方面都是有口皆碑的, 所以常用来搭建、部署数据处理要求较高的复杂应用。
1) 用户、手机号、信息发布三者联动的设计:本平台的多数信息与相应的用户具有对应关系, 而用户名和用户的手机号又是邦定的, 所以管理员通过网络登录后, 对办公信息、教务信息、科研信息等进行发布与处理后, 系统便会把发布的信息以数据记录的形式写至短信消息池, 收发模块会根据信息与用户的关系, 单发、组发、群发至相应的用户。除此以外, 用户间的文件共享、信息交流, 也是通过写短消息池的方法实现。同样的原理, 用户通过手机短消息进行查询操作时, 系统会把手机号转换成用户名, 系统以用户名为索引进行信息的查询, 把所查到的信息写至短消息池。从而使信息的组织, 通讯的组织, 做到统一有序。
2) 以师、生为主体的信息关联设计:本平台遵照数字校园开发原则, 以知识管理的做法来实现信息的关联设计, 资源系统、网络空间系统、科研系统、教务系统、家校系统皆以师、生为主体的信息关联。具体做法是课程信息, 教师发布的信息, 如教案、课件、论文、共享文件、科研项目等信息以教师用户为索引, 而与学生相关的学籍信息、成绩单信息、空间内的文件信息也与该学生用户也进行索引, 这样信息依附于一定的用户, 用户一经登录后, 也就决定了该用户所具有的操作仅限。
3) 操作骤最小化的实例设计:本平台面向用户的设计尽量做的操作简单, 从而方便使用与推广, 重视信息服务的质量, 特别是在一些细节上的设计犹为重要。如学生的选修课报名系统的前端程序, 则无需用户输入信息, 只需选择所报课程即可。具体的实现方法是在学生用户登录后记下该用户的ID号, 而用户的ID号则是一个唯一性的字段, 根据ID号进行查询, 自动填充姓名、性别、学号、班级等项, 把选修课库里的所有课程加载到一个DropDownlist控件里, 生成课程控件。
特别是排课功能的操作时更是体现了这种最简化的设计, 我们实现了课表的所见即所得的形象操作, 单击相应的时段区域, 便会产生两个DropDownlist控件, 一个是课程名, 另一个是根据所选的课程名而产生的教师名, 只要这个教师在该时段没有任课, 这种选择便会生效, 如果所选的教师在该时段已有任课, 则系统会出现相应的提示。其实, 该平台的学籍管理、成绩单管理、家校联系模块等都能体现这种人性化的设计。
3.2 短信息收发技术实现
短信息收发技术主要由GSM短信息收发软件和短信Modem硬件组成。短信息收发软件通过定时读取消息池中的信息, 一读到发送信息, 就使用AT指令由GSM Modem硬件部分通过GSM网络发送给相应用户的手机或终端, 同时做好日志记录, 用以信息备查。如果在读取消息池中发现接收到的信息时, 系统则会读出相应的操作码, 操作码是一个十进制数, 不同的数值代表着不同的模块, 如“0”表示通知公告模块、“1”表示课程安排模块、“2”表示成绩查询模块等。系统根据用户使用的手机号进行一系列的查询操作, 然后返回操作码和用户相对应的查询信息, 由短信Modem实现发送, 这样用户的手机上就会收到需查询的内容。 (短信息收发技术实现流程图如图3所示。)
3.3 系统接口技术
在服务端本平台是通过数据库系统与ASP.NET技术来实现WEB应用, 从而搭建了一个传统意义上的校园网络应用平台;而另一方面, 我们通过SMS技术以GSM短信收发软件和短信Modem硬件, 架设了一个短信息收发终端。信息服务端与信息收发端通过GSM短信Modem的接口技术进行数据交换。
本系统的接口模块选用GSM MODEM动态链接库进行设计, 此动态链接库适用于WAVECOM、西门子、诺基亚、摩托罗拉等支持标准AT指令的GSM短信息终端;在程序开发时, 将sms.dll文件拷贝到系统安装目录中的system32文件夹中, 然后便可以通过接口函数进行程序开发。本平台所用到的接口函数解绍如下:
1) 初始化函数:Sms_Connection (Com_Port As Integer, Com_BaudRate As Integer, Mobile_Type As String) As Integer:此函数用于初始化终端与串口的连接, 如返回值为0则连接终端失败, 返回值为1则连接终端成功。
2) 发送短信息函数:Sms_Send (Sms_TelNum As String, Sms_Text As String) As Integer:此函数的功能是向指定的终端号码发送信息, Sms_TelNum、Sms_Text分别传递接收的终端号码和发送的信息内容, Sms_Send函数返回0表示发送短信息失败, 1则表示发送短信息成功。
3) 接收短信息函数:Sms_Receive (Sms_Type As String, Sms_Text As String) As Integer:此函数的功能是接收指定类型的短信息Sms_Type为短信息类型, 0表示未读短信, 1表示已读短信, 2表示待发短信息, 3表示已发短信息;4表示全部短信息;Sms_Text则返回指定类型的短信息内容。
4) 自动收发短信息功能检测函数:Sms_AutoFlag () As Integer:此函数的功能是检测连接的终端是否支持自动收发短信息功能, 返回值为0表示不支持自动收发短信息功能, 返回值为1表示支持自动收发短信息功能。
5) 查询短信息函数:Sms_NewFlag () As Integer:此函数的功能是查询是否收到新的短信息, 返回值为0表示未收到新的短信息, 返回值为1表示收到了新的短信息。
6) 删除短信息函数:Sms_Delete (ByVal Sms_Index As String) As Integer:此函数的功能是查询并删除Sms_Index为索引号的短信息。
7) 断开终端函数:Sms_Disconnection () As Integer:此函数的功能是断开终端与串口的连接, 结束对短信息终端设备的操作。
通过这些接口函数, 可以架设短信息收发终端系统, 收发终端系统可以和WEB应用共用一台服务器, 也可以安装在不同的计算机上, 只要能连上WEB应用的后台数据库 (SQL Server) 即可。这样, 通过ASP.NET及其数据操作技术、SMS及GSM短信息收发技术、两者的编程接口技术, 便可设计成主动式校园网络应用平台。
4 总结与展望
随着各职业学校 (包括职业院校) 的不断发展, 校区不断扩大, 在校师生和其他人员对随时随地获得校园网络的各种信息的需求不断增加, 同时移动通讯的高速发展, 使得短信息服务的费用不断降低。在这种形势背景下, 我们来研究和应用职业学校主动式校园网络应用平台, 将会给师生及其它人员提供更方便, 更直接的信息服务, 把校园网络延伸至移动终端, 类同于实现了校园网络覆盖面的最大化。
摘要:该文通过对中等职业学校校园网络平台的需求分析, 以ASP.NET与SMS为技术手段, 构建了一种新型的以计算机网络为基础, 借助短信息服务技术, 主动实现计算机网络与用户移动设备间的数据通讯, 使中等职业学校校园网络应用系统由被动式向主动式发展, 提高了平台的服务质量。
关键词:ASP.NET,SMS,GSM,主动式校园网络应用平台,校园网络
参考文献
[1]杨晓明, 李小聪, 段渭军, 等.高校短信息服务平台的研究与设计[J].中国教育信息化:高教职教版, 2010 (12) .
[2]樊建永.基于SMS的网络故障自动报警系统的设计与实现[J].中国教育信息化:高教职教版, 2010 (11) .
网络管理中的主动网络技术探讨 篇8
当前计算机网络管理的主流模式仍是采用C/S技术为基础的集中式管理模式。SNMP协议仍是IP网络的标准网络管理协议, 其已成为事实上的网络管理工业标准。SNMP协议操作除了Trap外, 基本上均工作在请求/应答模式下, 网络管理模型是管理站/代理模型。
集中管理模式随着网络技术的不断发展, 网络规模逐渐变大, 其复杂性也增强。集中管理模式有以下几个弊病: (1) 管理端用轮询的方式来管理被管设备, 给网络造成很大负担。当网络规模很大时, 该管理方式的实施更加困难; (2) 网络管理工作均通过管理端进行, 管理端要收集所有设备信息。而当要收集的信息量较大时, 很可能成为网管系统的瓶颈。系统所能管理的网络设备的数量有限, 可扩展性差; (3) 固定的网络管理协议造成代理所能收集的信息也相对固定, 当增加新的管理功能时是受限制的, 灵活性较差; (4) 由于管理端要和代理传送大量的信息, 管理低速网络时很可能造成低速链路的拥塞。这既影响正常的网络流量, 又可能造成网管系统的失效; (5) 整个网管系统过分依赖于管理端, 当其出现错误时整个管理系统面临瘫痪, 故系统可靠性较差。
2 主动网络应用在网络管理中的优势
主动网络 (Active Network, AN) 的网络管理技术, 改变了传统网络中数据几乎原封不动地从一个节点传送至另一个节点的被动局面, 将程序、数据同时放入数据包中, 网络中的主动节点可执行数据包中的程序及计算数据包中的数据。主动网络的网络管理系统具有以下4个方面的优势:
(1) 占用较少网络资源。它避免了管理者和代理之间的通信占用过多的网络带宽, 因为主动包迁移到靠近被管设备的地点运行。而且可以根据需要进行裁剪返回到网管中心的信息内容, 会降低网络中的处理时间和流量。
(2) 减轻网管系统的负担。封装体具有一定的智能性, 它可以在本地完成能力范围内的管理操作, 对无法处理的事件交由网络管理系统完成。
(3) 网络管理协议的动态升级。利用AN技术, 新开发的协议模块可动态地部署到网络节点中, 去更替旧的网络管理协议模块, 升级十分方便。
(4) 动态配置。利用AN技术可根据实际需要, 动态配置各种新的网络管理策略, 具有很强的灵活性。
3 主动网络理论内容
主动网络节点 (Active Network Node, ANN) 可执行主动信包中携带的主动代码, 具有计算处理信包的能力, 这是AN最显著的特点。AN采用基于“存储—计算—转发”的网络传输模式, 是一种新的网络体系结构。
3.1 主动节点体系结构
主动网络工作组DARPA提出的主动节点的逻辑体系结构包括:节点操作系统 (Node OS) 、执行环境 (Execution Environment, EE) 和主动应用 (Active Application, AA) , 如图1所示。
节点操作系统如一般操作系统的内核, 通过固定的API为执行环境提供服务。它工作在底层物理资源 (如处理器、存储器等) 与执行环境之间, 主要进行传输、计算、资源管理和存储控制、代码和节点的安全等功能。基于主动技术的网络用户, 执行环境 (Executive Environment, EE) 定义了一个可编程接口和虚拟机, 用于完成主动报文的解释执行。各个执行环境之间相互独立, 同一主动节点可运行多个执行环境。利用EE为主动应用AA提供网络接口。主动应用是一系列用户定义的程序, 它透过执行环境提供的网络应用接口获取运行程序所需的相关资源, 实现特定的功能, 比如主动多播、网络管理、主动虚拟网络管理、主动存储网络、主动的时延抖动控制等等。主动应用程序的代码通过Capsule (主动报文) 携带, 执行环境决定了主动应用的执行过程。
3.2 几种封装协议方案
归纳起来封装体携带代码的方式有3种: (1) 将代码嵌入数据包中, 使之随封装体的传输到达各个节点, 封装中采用; (2) 在封装体头中加入一个Pointer, 代码从一个已定义的代码服务器中取得; (3) 通过管理的方式来装载事先由网络管理员已加入到网络节点上的代码, 这种方法只要在Header中添加新的特定网络服务即可实现, 仅限于网络管理员使用。为了保证主动节点能够动态加载和执行定制的程序, 主动网络工作组制定了主动网络封装协议 (Active Network Encapsulation Protoca1, ANEP) 。该报文的格式如表1所示。
其中Version域代表ANEP的版本信息, 当主动节点所使用的ANEP版本与到来的报文ANEP版本不一致时, 主动节点将丢弃该报文。标识位 (Flags) 规定当主动节点无法识别到来报文的类型域 (Type ID) 时的缺省处理, 0—调用缺省路由转发该报文, l—丢弃该报文。类型域 (Type ID) 用于指出主动报文的执行环境, 用户利用Type ID能够控制主动报文到达某个特定的执行环境。ANEP报头长度定义了包头的长度, 无选项时其值为2。ANEP报文长度定义包括负载在内的整个报文长度。选项域 (Option) 定义网络的源标识、目的标识、校验以及审计信息。另外两种报文格式方案为:Active IP报文格式和精明信息包 (Smart Packet) 方案, 这里不再详细论述。
3.3 数据包在主动节点中的处理过程
当一个主动网络报文到达主动网络节点之后, 主动网络节点将完成以下处理工作:先根据报文的特定信息对报文进行分类, 以决定将报文输入到哪一个输入处理通道。报文的分类由EE指定的模式控制。报文进入通道后, 进行相应的通道处理, 如计算校验和、去掉包头, 对IP网络一般是完成处理后输出。注意, 从任何一个通道输出的报文可以由不同的EE处理, 这由用户定义。每个EE也可处理来自不同通道的报文, 偶后可输出到一个或多个通道中去, 在同一个通道中也可以输出多个报文。在输出侧, 执行环境将报文送入输出通道, 经过协议处理和调度后传输。故主动报文的处理过程包括链路输入、分类、输入协议处理、EE/AA处理、输出协议处理、调度和链路传输等步骤。
4 结束语
将主动网络技术引进网络管理, 构建基于主动网络技术的网络管理模型, 具有“复杂的管理任务不由网络管理工作站负担, 而被分配被管理节点中和到网络中活动的主动报文完成”等优点。可以预言, 主动网络技术必将迎来应用的春天。
摘要:主动网络因占用较少的网络资源、动态配置、支持网络管理协议的动态升级等优点, 成为当前网络管理研究热点。介绍了传统的集中式网络管理的弊端以及主动网络应用在网络管理中的优势, 从三个方面介绍了主动网络理论的内容。
关键词:网络管理,集中式,主动网络
参考文献
[1]王斌, 李杰.基于移动代理的主动网络安全架构的研究[J].现代电子技术, 2008 (12) .
基于主动网络的MPLSVPN 篇9
近年来, Internet作为人们进行信息交流的重要手段, 除了用于日常的信息传递外, 许多商务活动也基于它进行重要的通信业务, 其中VPN (Virtual Private Network, 虚拟专用网) 的应用以其能在公网上建立专有性私网的特点而逐渐进入各公司企业、政府机关, 并成为一股潮流。
MPLS VPN是一种基于MPLS (Multi-Protocol Label Switching, 多协议标记交换) 技术的IP-VPN, 是在网络路由和交换设备上应用MPLS技术, 简化核心路由器的路由选择方式, 结合标记交换实现的IP虚拟专用网络, 可用来构造宽带的Internet、Extranet, 满足多种灵活的业务需求。因此, 目前MPLS VPN越来越被运营商看好, 成为IP网络运营商提供增值业务的重要手段。但由于MPLS VPN大大增加了Internet核心的复杂性, 使MPLS VPN的故障更具迷惑性, 更加难以分析和排除, 这就对Internet骨干网提供商的网络管理提出了严峻挑战。同时, 部署MPLS VPN的机构也会面临潜在的安全和保密问题, 而对于用户提出的较高要求, 如QoS、CE和PE间的动态路由等, 在现有MPLS VPN网络上实现还相当困难。这一系列的问题在一定程度上影响着MPLS VPN的发展。
主动网络 (Active Networks) 的概念是DARPA (Defense Advanced Research Projects Agency) 研究协会于1995年提出的。主动网络方案中网络节点不仅转发数据, 而且可以通过执行附加程序来对数据进行处理。网络中的主动节点是可编程的, 可以执行用户定义的数据处理程序。
本文提出一种将主动网络技术运用于MPLS VPN网络中的方案, 以探讨如何解决目前MPLS VPN在运营过程中所面临问题。
1 MPLS VPN的工作原理
1.1 MPLS VPN网络结构
M P L S V P N是指利用服务提供商的M P L S骨干网构架VPN的解决方案。其网络结构如图1所示。
在MPLS VPN网络中, 存在三种路由设备:客户网络边缘路由器CE (Customer Edge) 、MPLS骨干网边缘路由器PE (Provider Edge) 以及骨干网核心路由器P (Provider) 。CE是用户直接与服务提供商相连的边缘设备。PE是骨干网中的边缘设备, 它直接与用户的CE相连, 它根据存放的路由信息将来自CE路由器的VPN数据处理后进行转发, 同时负责和其他PE路由器交换路由信息;P路由器是运营商网络骨干路由器, 不与CE直接相连, 它根据分组的外层标签对VPN数据进行透明转发, P路由器只维护到P E路由器的路由信息而不维护VPN相关的路由信息。
1.2 MPLS VPN网络工作原理
在MPLS VPN体系中, CE路由器与PE路由器间运行EBGP协议或OSPF协议, PE路由器间运行MP-BGP协议, PE路由器与P路由器间运行OSPF协议和CD-LDP信令协议, 由此在P E内建立一个M P L S转发表和多个V P N路由转发表 (VRF) 。每一个VRF对应一个VPN, 并映射到PE的某一接口。
当CE路由器从一个接口将数据包发给入口PE路由器之后, 该PE路由器查找该接口对应的VRF表, 从中得到VPN标记 (称为内层标记) 、LSP标记 (也称外层标记) 以及该VPN的出口PE路由器。然后将数据包打上内、外两层标记后, 发送到外层标记所对应的LSP路径中的第一个P路由器中, 骨干网中的P路由器根据数据包的外层标记逐跳转发该数据包 (VPN分组) , 直到最后一个P路由器。在该P路由器中, 弹出外层标记, 将只包含VPN标记的数据包发给出口PE路由器。出口PE路由器根据VPN标记, 查找VRF, 得到其对应的输出接口, 在弹出VPN标记后通过该接口将数据包送给相应的CE路由器, 从而实现了数据的转发。
目前, MPLS VPN应用的实例越来越多, 也取得了一定的成功。同其他任何技术一样, BGP MPLS VPN还存在着一些问题或局限, 从而限制了它的发展。比如在多厂商环境下实现端到端的服务等级或QoS将面临许多困难, 而实现网络管理也会变得相当复杂。在数据的传输过程中, 由于数据是明文传输, 因此其安全性也受到质疑。
2 主动网络
主动网络是将网络中的一些重要节点设置成主动节点。主动网络的主要特征是可对主动节点编程。通常采用的方法是将主动代码和相关数据封装到主动包中, 当主动包到达主动节点时执行主动代码;或者通过分发或下载的方式将主动代码预先安装到主动节点, 主动节点按照主动包中所含标识调用主动代码对到达的包进行处理及转发。
主动节点由节点操作系统 (Node OS) 、执行环境EE (Execution Environment) 以及主动应用AA (Active Application) 组成。
执行环境EE:执行环境是主动节点的核心, 它的作用是管理和执行主动代码, 处理主动包和被动包, 提供网络服务。
主动应用A A:由一段主动代码和与主动代码相关的数据、状态参数等组成。通过EE对AA的调用和执行可以实现用户定制的网络服务。
节点操作系统:节点操作系统的作用是管理和使用系统资源, 并提供基本的安全保证。
3 主动网络在MPLS VPN中的应用
利用主动网络的可编程性, 可将网络管理程序动态部署到各主动节点上, 实现网络的智能化、分布式管理。同时, 可根据用户的需求, 调用主动节点中相关的主动代码, 动态配置业务执行环境, 满足用户的服务要求。
因此, 设想将MPLS VPN建构在可按需定制网络服务的主动网络上, 以解决当前MPLS VPN实现方案中的一些难点。
基于主动网络的MPLS VPN网络的体系结构如图2所示。
在该体系结构中, 将传统MPLS VPN网络中的骨干网边缘路由器PE及客户边缘路由器CE设置为主动节点。在这些主动节点中, 有一个或多个主动网络执行环境, 可动态部署主动网络服务及相关管理、安全机制, 为开展业务提供支持。
网络管理服务器 (N M S) —负责网络管理和V P N业务管理。网络管理主要针对网络本身 (包括网络的各个组成部分以及相关软件、规程协议系统) 的管理;VPN业务管理主要是在业务层面对网络进行管理 (如:存量管理、业务供给、业务保障、安全管理、客户网络管理 (CNM) 、系统功能等) , 为网络的VPN运营提供强有力的支持, 以实现全网性的VPN业务层管理。
代码服务器 (CS) —负责存储由运营商提供的可供主动节点使用的主动代码。在收到主动节点的请求后, 或根据NMS的需要, 将开展相应业务所需的主动代码动态部署到主动节点上, 为用户提供开展业务所需的网络环境。
由于主动网络用户可以将用户代码嵌入其数据报文中。因此, 在该体系结构中, 用户可以通过发送主动包, 将该用户本次连接需要网络提供的服务种类以及服务时间、流量等信息送到网络中。这样主动边缘节点PE通过综合分析, 可以得出网络即将发生的数据流量大小, 并根据这些流量的特点与大小, 动态制定与之相适应的服务原则, 动态选择合适的LSP, 实现用户端到端的QoS保证。
在MPLS VPN网络中, 为了实现VPN业务的全网管理, 其管理系统应该能够对VPN网络实时监控, 能及时发现VPN网络及客户VPN的故障, 并自动发现VPN网络的拓扑结构, 以快速定位故障点, 提高VPN网络的可用性。同时, 该管理系统能及时掌握客户端网络及服务水平, 了解PE到CE的连通情况, 实时监测V P N网络设备的性能指标及流经M P L S VPN网络的数据流量, 以动态进行VPN网络的配置。而传统的网络管理系统广泛使用的是简单网络管理协议SNMP。这种网络管理协议是一种集中式的、单序的、反应式的模式, 这种模式很难满足MPLS VPN网络对管理系统的需求。利用主动网络的可编程性, 将一部分网络管理功能动态地分布在主动节点上, 充分利用主动节点的计算能力, 使节点能够自动发现、解决问题, 从而能极大地优化网络管理。
NMS根据管理需要, 向各被管主动节点 (客户边缘节点或骨干网边缘节点) 部署相应的管理程序。同时, 主动节点根据用户需求, 动态调用相关的管理程序, 进行实时监测, 并将结果返回给网络管理服务器N M S或送到其他相关主动节点, 动态配置满足用户需求的网络环境。因此, 大量的网络管理功能可以在被管节点本地完成, 实现了分布式的网络管理, 减少了大量信息的传递, 节省了监控循环所需的时间, 提高了网络管理的效率。如果用户对于安全性的要求较高, 也可在主动用户边缘节点上定制加密/解密程序, 实现数据的加密传输。
4 结束语
基于MPLS的VPN网络是下一代增值IP服务的基础, 如多媒体/组播应用、VoIP等, 而这些服务都需要特殊的服务质量和安全性。充分利用主动网络技术的可编程性, 可实现智能化的网络管理。本文提出了一种在MPLS VPN中运用主动网络技术的方案, 可满足不同用户不同服务的需求, 因此具有比较广泛的适用性。但同时也会带来一些问题, 由于VPN的用户可以主动插入网络业务到中间节点并运行, 会给网络带来较严重的安全问题, 这将有待于进一步的研究。
参考文献
[1]任德玲, 韦卫.基于IPSec的MPLS IP VPN的设计与实现[J].计算机应用研究.2006.3.
[2]朱斌, 陈文正, 张朝阳.基于MPLS技术的VPN中提供商边缘路由器的实现[J].计算机工程.2003.7.
[3]吕芙蓉, 周宗平, 张弘.MPLS在虚拟专用网中的应用[J].山东科技大学学报 (自然科学版) .2002.
组织主动遗忘管理研究综述 篇10
但若组织不善于甄别知识的价值性, 无法避免损害组织竞争力的知识, 不遗忘已存在组织中的逐渐减弱组织竞争力的固有知识, 不会有选择性的遗忘, 企业竞争力的提升反而会受到阻碍。
一、组织主动遗忘的概念
Pablo Martin de Holan等在《管理组织遗忘》 (Managing Organizational Forgetting) 中, 对知识管理中的组织遗忘作了系统研究, 将组织遗忘从新旧知识来源和遗忘是否主动这两个维度分为记忆衰退、无法捕获、忘却学习、避免恶习四大类。其中组织主动遗忘分为两个方面:主动遗忘旧的过时知识和主动遗忘新的有害知识。
1、主动遗忘旧的过时知识:忘却学习
忘却学习是指主动遗忘旧的过时知识, 指组织能辨识已过时知识并将它们抛弃的一种工作方法。
在组织内部, 过去的学习并非完全正确。即使在特定时期, 组织的某种知识是积极正确的, 但是随着时间推移和需求转变紧密扎根在组织文化中的学习就很有可能从有用的向导的角色转变为阻碍组织前行的绊脚石。遇到这种情况的时候, 组织必须对过去观察和办事的方式提出质疑, 并且果断将不利的知识抛弃, 及时进行新知识的补充和更新。
2、主动遗忘新的有害的知识:避免恶习
尽管组织不具备个人那样的思维模式, 但是它同样可能学习到其反作用的知识。比如说, 不良的企业文化或者是较为落后的惯性行为。
公司必须必须辨认出有用的知识和可能有害的习惯之间的区别, 必须设置相应的体系, 确保组织记忆库当中没有这些恶劣知识的存在。
二、组织主动遗忘的管理
1、组织主动遗忘管理的流程
组织不能真正进行人脑如遗忘等那样的心智活动, 组织主动遗忘首先要靠个体成员去主动遗忘, 个体在很大程度上决定了组织主动遗忘的发生。企业的主动遗忘过程可以从结构上分为两个层次:
(1) 个体主动遗忘。主动遗忘首先要靠个体主动遗忘, 在很大程度上决定了组织主动遗忘的发生。
个体主动遗忘是指组织提供利于观点交流的环境, 从而促进个体主动遗忘。学习和变化都是从不满或困惑开始的, 创造性混乱可以被利用来产生张力激励组织成员进行主动变化。
(2) 群体主动遗忘。知识管理包括知识创造、知识整合、知识共享三个主要方面, 与此一致, 群体主动遗忘从结构上可分为知识分离、知识分享、知识丢弃三个阶段。
2、组织对知识好坏的辨别是关键工作
组织学习最大特点是以共享的知识基础为中心。组织遗忘与组织获取信息过程相反, 它是组织从已有的知识库、组织记忆中丢失知识的过程, 包含有意遗忘和无意遗忘。
企业进行主动遗忘管理的时候, 最重要的工作便是对知识好坏的识别能力。这种辨别主要建立在组织成员对企业精神文化和核心竞争能力的深刻认识理解之上。只有这样, 他们才会有明确的衡量标准, 借助自身的思维能力, 正确辨别好知识和损害企业核心竞争力的坏知识, 果断取舍。
三、组织主动遗忘管理和吸纳能力的关系
吸纳能力最初是用来标志企业的创新能力, 后来又定义为包含组织日常事务流程的一种动态能力, 吸纳能力最新的模型由Todorova和Durisin提出。该模型形象的解析了吸纳能力与组织主动遗忘管理之间的关系, 二者相关点在于价值识别和吸收变革这理解外部新知识的潜在价值而没有动力去吸收新知识的陷阱可能被忽视。只有通过主动遗忘管理后, 组织腾空了旧的过时的知识, 才可以留出空间去吸收新的知识。
四、影响组织主动遗忘管理的因素和解决方案
1、知识与权力
在组织当中, 很多重大的决策都需经高层管理人员审核、讨论而最终批准。但由于知识体系不一致, 以及各方面利益牵制, 还有旧组织机制制约, 导致对有用信息的筛选、转化、吸收过程出现偏差, 大大降低执行效率和主动遗忘管理的有效性。
2、文化价值观
企业文化所倡导的人生观价值观是大多成员都能接受和坚持的隐形的行为和思想准则。若组织文化开放度和包容度较低, 就会趋于保守, 在面临变革时固步自封, 难以及时更新和提升, 最终在竞争中被动受牵制。
3、激励程度
忘却学习避免恶习, 个体进行主动遗忘行为会耗费成本, 如果不能够有所补助和收获, 个体的积极性可能会削弱, 对组织主动遗忘管理产生不良影响。
4、其他因素
五、总结与展望
组织主动遗忘包括忘却学习和避免恶习, 由个体主动遗忘和群体主动遗忘两方面构成, 同时组织对知识好坏的识别是关键所在。组织主动遗忘管理与吸纳能力的相关点在于价值识别和吸收变革。组织应该从权利因素、文化因素和激励因素等多方面进行完善和提升。
组织主动遗忘比组织学习还重要, 极大的影响组织的竞争力, 必须作为企业的一项战略来管理。在以后的研究中, 可以将组织主动遗忘管理的研究进一步深化和推进, 丰富组织知识管理的理论研究和实际运用。
摘要:随着人类进入知识经济社会, 知识管理中的人性化模式起着举足轻重的作用。本文首先从忘却学习和避免恶习两个角度对组织主动遗忘管理进行阐述, 然后简要介绍知识管理中的组织主动遗忘管理流程和组织对知识好坏的识别, 论证主动遗忘管理和组织吸纳能力之间的相关性, 最后分析影响组织主动遗忘管理的因素, 提出解决方案。
关键词:知识管理,组织主动遗忘,模式策略,内部因素,吸纳能力
参考文献
[1]、张灿.基于行为的组织学习机理与过程研究[M].西安交通大学.2002
[2]、金智慧.施建军知识管理中的主动遗忘管理——员工情绪及主管行为的影响[J]-科技进步与对策2009 (13)
[3]、LINTHICUM The Dynamics of Organiza-tional Forgetting2004
浅谈网络安全的主动防护 篇11
【关键词】网络安全;主动防护
一、网络信息安全的现状
网络在给人们带来信息共享等种种方便的同时,也带来了较多的负面影响。主要面临的安全威胁有病毒入侵、黑客入侵、信息的丢失与篡改。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,或由于程序员在软件设计过程中的缺陷或疏忽等而存在的漏洞,也是网络安全的主要威胁之一。
1.物理传输对网络信息安全的威胁
网络通信都要通过通信线路、调制解调器(转换器)、网络级联设备等物理部件,而这些也往往成为攻击者的切入点。主要有以下几方面:
(1)非法监听:不法分子通过通信设备的监听功能,捕获无线网络传输信号,由于黑客和攻击者对于一些通用的加密算法,已有一整套完备的破解方案,因此能够较轻易地获取传输内容。
(2)非法终端:在现有终端上并接一个终端,或合法用户从网上断开时,非法用户乘机接入并操纵该计算机通信接口,或由于某种原因使信息传到非法终端。
2.软件对网络信息安全的威胁
现代通信系统如ATM、NGN、POS终端、智能手机等都使用大量的软件进行通信控制,因此软件方面的入侵也相当普遍。
(1)软件病毒攻击:软件病毒入侵后打开后门,利用网络软件的漏洞或缺陷、并不断繁殖,然后扩散到网上的计算机来破坏系统。轻者使系统出错,重者可使整个系统瘫痪或崩溃。
(2)网络攻击:如ARP风暴等小包攻击交换机等通信设备,引起网络拥塞或导致通信主机无法处理超量的请求,轻则网络服务不可用,重则整个系统死机瘫痪。
(3)通信系统或软件端口被暴露或未进行安全限制,导致黑客入侵,进而可以使用各种方式有选择地破坏对方信息的有效性和完整性,或者在不影响网络正常工作的情况下,进行截获、窃取、破译,以获得对方重要的机密信息。
由此可见,网络信息安全问题的产生主要是由于互联网基于的网络结构体系结构带来的。由于互联网的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏。网络安全问题已经成为信息时代人类共同面临的挑战。
二、主要防护技术
目前保证网络安全的方法主要有防火墙、入侵检测系统、网络隔离技术、物理传输媒介保障等。
1.防火墙技术
防火墙技术是近年发展起来的一种重要安全技术,主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,其共同特征是通过在网络边界上建立相应的网络通信监控系统,达到保障网络安全的目的。防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务,并且假定网络威胁仅来自外部网络,进而通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关被保护网络的信息、结构,实现对网络的安全保护。防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网段。它的防范对象是来自被保护网段外部的对网络安全的威胁。
防火墙技术是目前用来实现网络安全措施的一种主要手段,如果使用得当,可以在很大程度上提高网络安全。但是防火墙虽然能对来自外部网络的攻击进行有效的防护,却存在着局限性,其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全,且不能防御来自内部的攻击(据统计一半以上的网络安全问题来自网络内部)。同时防火墙也无法阻止那些绕过防火墙的攻击。
2.入侵检测技术
入侵检测技术与防火墙技术安全策略相比,是一种不同的安全策略,入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统在服务器的审计日志文件中寻找攻击特征,然后给出统计分析报告。基于网络的入侵检测系统主要是网络监控传感器监控包监听器收集的信息,用于保护整个网络不被破坏。
入侵检测技术是一种动态的网络检测技术,用于识别对网络系统的非法网络行为,它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,一旦发现网络入侵现象,则做出适当的反应。从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测方法分两种:误用检测和异常检测。大部分现有的入侵检测工具都是使用误用检测方法。误用检测技术应用了系统缺陷和特殊入侵的累积知识。入侵检测系统包含一个缺陷库并且检测出利用这些缺陷入侵的行為。当检测到入侵,系统就会报警。也就是不符合正常规则的所有行为都被认为是不合法的,所以误用检测的准确度很高,但是它的查全度能够检测所有入侵的能力和入侵规则的更新程度有密切关系。这种方法的缺陷就是入侵信息的收集和更新的困难,这需要很多的时间和大量的工作。
同时,入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而应只是一个参考工具。
3.网络隔离技术
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,出现了新安全防护防范理念的网络安全技术——“网络隔离技术”。网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网络数据的安全交换。
隔离概念的出现是为了保护高安全度的网络,其产品到现在共经历了五代。第一代是完全隔离。使网络处于信息孤岛状态,实现完全的物理隔离。第二代是硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问,在设计上还存在安全隐患。第三代数据转播隔离。在隔离的过程中切换时间较长,大大降低了访问速度,更不能支持常见的网络应用,应用面窄。第四代空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。第五代为安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
4.物理传输媒介保障
(1)减少电磁辐射。传输线路应有露天保护措施,并要求远离各种冲突频率及辐射源,以减少由于电磁干扰引起的数据错误乃至出现BUG。对无线传输设备更应使用高可靠性的加密手段,并隐藏链接名。
(2)采用数据加密技术,对传输内容使用加密算法将明文转换成无意义的密文,防止非法用户理解原始数据。数据加密技术是一种主动的信息安全防范措施,可大大加强数据的保密性。
(3)使用可信路由、专用网或采用路由隐藏技术,将通信系统隐匿在网络中,避免传输路径暴露,成为网络风暴、DDOS等攻击对象。
三、结束语
网络信息安全是一个综合性的课题,也越来越受到人们的重视,网络安全不仅仅是技术问题,同时也是一个安全管理问题。安全实际上就是一种风险管理,世界上不存在绝对安全的网络系统。随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。但任何技术手段都不能保证网络信息1OO%的安全。然而,网络安全的主动防护可以降低系统遭到破坏、攻击的风险,主动、积极地将各种方面的保障策略结合起来,形成一个高效、通用、安全的网络系统,将系统的风险要控制可控的范围之内,才是网络安全工作的必由之路。
参考文献
[1]丁常福,方敏.防火墙与网络入侵检测联动系统研究[J].航空计算技术.
[2]成卫青,龚俭.网络安全评估[J].计算机工程,2008(2).
[3]万平国.网络隔离与网闸[M].机械工业出版社,2005.
[4]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2011.
主动式网络管理 篇12
现有网络安全管理的不足
现有网络安全体系基本采取应对式的、以技术为中心的网络安全对策, 根据需要的功能增加设备或软件。为应对各种日益严重的网络威胁, 配置了大量防火墙、防病毒软件、入侵检测、漏洞扫描、灾难恢复等安全设备。这种安全解决方案对解决网络安全问题起到了重要的作用, 但也对网络安全管理造成严重的局限性。因为这些措施都是被动地去解决问题, 网络拥有者无法定义并有效实施自己的安全和管理需求, 只能被动地盲从新技术和新产品。这些产品从不同的侧面单一的、静态的保护着网络的安全, 缺乏融会贯通的策略管理能力。网络安全不能单靠简单地堆积安全产品, 也不能靠产品的缺省配置, 而要根据网络的需要, 制定相应的安全策略并灵活配置安全组件, 以实现在达到“整体”和“动态”安全功能的前提下, 使安全集成和性能达到一个良好的集成点。
主动网络安全管理方式总体设计
从上面的讨论中已经说到。现有网络安全体系基本采取应对式的、以技术为中心的网络安全对策, 都是被动地去解决问题。
这里, 提出一种基于网络行为监控的主动网络安全管理方式。
其总体设计如图1所示:
网络行为监控器负责监控用户的网络行为, 把监控得到的用户网络行为存入网络行为数据库;在网络行为监控器中, 通过一定的技术方法, 把用户中的网络行为记录下来, 并写入网络行为数据库, 为网络行为分析器的分析提供数据。
网络行为分析器从网络行为数据库中提取出需要的数据, 然后通过一定的方法对数据库的数据进行处理, 从而发现目前的网络中有哪些潜在的危险行为, 这些危险行为的趋势, 以及这些行为在将来会导致哪些安全问题。网络行为分析器得到这些报警信息后, 把这些信息发送给网络管理员, 为网络管理员提供决策信息。
网络行为分析器发送的报警信息, 包括了可能导致木马、病毒、入侵等各种威胁网络的因素。网络管理员根据这些报警信息, 来查询或配置相应的网络设备, 从而把这些网络隐患消灭在萌芽状态, 而不是在已经发生网络威胁事件之后再来查询或配置相应的网络设备。这就是本文所提出的主动网络安全管理方式。
在修改了网络设备的参数后, 还需要相应地修改网络行为监控器中的监控标识, 使网络行为监控器的监控标识与网络管理模块中的管理策略相匹配。
主动网络安全管理方式的技术设计
1 Winpcap工具
winpcap (windows packet capture) 是windows平台下一个免费、公共的网络访问系统, 是针对Win32平台上的抓包和网络分析的一个架构, 为win32应用程序提供访问网络底层的能力。Winpcap的优势在于它提供了一套标准的抓包接口, 充分考虑了各种性能和效率的优化, 包括对于NPF内核层次上的过滤器支持, 支持内核态的统计模式等, 还提供了发送数据包的能力。网络行为监控器使用Winpcap采集流过局域网的所有数据包, 并对其进行协议分析, 获取到数据包的起始地址、目的地址等网络行为, 从而实现对局域网内所有电脑上网行为的监控。
2网络行为监控器的组成
网络行为监控器要能够监测网络使用情况, 还要能把发现的危险网络行为记录到网络行为数据库。网络行为监控器主要包括探针 (即网络嗅探器) , 协议分析器。
(1) 探针
采集经过网络行为监控器的所有数据, 获取数据包的源地址和目的地址, 并对数据包的网络行为进行初步分类, 将分析结果送到协议分析器;
(2) 协议分析器
对探针初步分析的结果进行进一步分析, 获取具体的网络行为, 如果数据包与标识匹配成功, 则在网络行为数据库中进行记录;
整个网络行为监控流程如图2所示:
3网络行为分析器的实现方法
(1) 网络行为分析的现状
在当前情况下, 对网络行为的分析主要是通过统计分析网络行为数据库中的数据得到的。但这样的分析主要依赖于网络管理员的经验, 如果网络管理员对上网行为数据库的结构, IP协议等不是很清楚的话, 往往不能进行正确的统计分析。
(2) 知识发现
这里提出采用知识发现 (KDD) 的方法对网络行为进行分析。知识发现 (KDD) 是从数据中发现有用知识的整个过程, 是一个反复迭代的人机交互处理过程。该过程需要经历多个步骤, 并且很多决策需要由用户提供。从宏观上看, KDD过程主要由三个部分组成, 即数据整理、数据挖掘和结果的解释评估。其工作步骤参见图3。
其中, 数据挖掘 (DM) 是KDD过程中的一个特定步骤, 它用专门算法从数据中抽取模式 (patterns) , 就是从数据库中抽取隐含的、以前未知的、具有潜在应用价值的信息的过程。数据挖掘是KDD最核心的部分。数据挖掘与传统分析工具不同的是数据挖掘使用的是基于发现的方法, 运用模式匹配和其它算法决定数据之间的重要联系。
目前, 在数据挖掘方法中, 统计分析方法、神经元网络、决策树方法, 遗传算法等。决策树是一种常用于预测模型的算法, 它通过将大量数据有目的地分类, 从中找到一些具有价值的、潜在的信息。在网络行为的分析中, 可以选择采用决策树算法。目前常用的决策树算法有ID3、C4.5算法及CART算法等。
问题与讨论
【主动式网络管理】推荐阅读:
主动式网络管理方法05-24
主动式网络安全监控06-21
主动式计算机网络论文06-21
主动维护管理07-07
主动网络技术05-21
网络安全主动防御技术09-19
主动式采暖07-06
主动式项目驱动05-16
夹层主动脉瘤主动脉瘤06-26
主动式RFID技术06-30