部署应用论文(精选12篇)
部署应用论文 篇1
“互联网+”加速了中国市场新应用开发部署, 传统IT为了能增强用户体验、快速响应业务需求, 企业纷纷通过加快新应用开发部署, IT进入了应用的多元化和应用的新形态时代。新应用开发部署直接决定着通过IT创新的能力, 为了加快新应用开发部署, 越来越多的用户选择基于开源的容器技术, 开源技术的应用能力标志着企业通过IT创新的能力。伴随着移动互联网、物联网以及云计算的发展, 软件开源化将会迅速遍及众多行业, 将进一步变革IT技术趋势, 焕发IT技术内生力, 最大程度保障企业对自身解决方案和服务的弹性定制, 目前, 更多应用的开发商和IT的管理者通过开源平台实现灵活、简单、便捷的新应用开发部署和应用管理。营造开放的技术生态环境, 催化业务服务的新模式成为诸多IT企业的发展目标和方向。
就哪些应用使用开源技术这一问题, 中桥调研数据显示 (如上图) , 虚拟化应用使用开源技术排在首位, 其次是移动应用和云计算。开源不仅为用户提供可靠、高效和灵活的运行环境, 而且还能节约成本, 简化运维与管理, 实现绿色节能。随着虚拟化技术的发展与普及以及开源技术的进一步的成熟, 开源技术更是支撑企业通过新应用进行业务创新的关键和保证。
在数字化经济环境下, 基于开源的应用开发部署有多个层面, 其中对于IT开发者, 开源不仅最大限度降低开发难度, 提高应用开发速度和效率, 还能保证应用多元化和应用的安全稳定。在VMworld 2015上, VMware结合着新应用开发部署的需求, 推出了一系列开源技术, 如App Catalyst、VM-ware Photon和VMware Lightwave。其容器技术的轻量化、易用性和快速复制的优势已经赢得许多开发人员的青睐。App Catalyst平台能简化并加速新应用的快速开发部署, VMware Photon能帮助开发人员快速整合容器技术, VMware Lightwave帮助用户实现了应用的安全。
App Catalyst
App Catalyst是一套面向开发人员群体的桌面虚拟机管理程序与私有云, 开发人员能够在桌面上直接进行开发成果测试。该产品还将绑定面向容器方案的VMware Photon轻量级Linux系统, 同时与Docker以及Vagrant中的API相对接, 这样开发人员将能够轻松实现容器复制与自动化操作等日常需求。App Catalyst能够帮助开发人员高效快捷地完成测试。App Catalyst便于开发者编写代码和测试, 是开发者在本地MAC构建和测试原生云应用的快速和容易的方法。
VMware Photon
Project Photon是VMware为容器化应用而设计的轻量级的操作系统, 主要用于运行VMware v Sphere和VM-ware v Cloud, 它使得企业可以在单一平台上同时启动容器与虚拟机, 而且还可以实现在虚拟机中运行许多不同的容器, 支持多种主流容器 (Docker、Rocket与Garden) ;Photon OS系统是一个开放源码的技术, 一种优化Linux主机运行v Sphere的容器, 可使用Linux操作系统, 具有可扩展的、轻量级的特性。VMware Photon支持从开发到生产应用程序容器无缝迁移, 可以通过虚拟机技术或者集成Project Lightwave的授权来提高容器运行的安全隔离运行。
VMware Lightwave
企业采用云原生应用最大障碍之一是安全管理带来的挑战。Project Lightwave是VMware发布的容器识别与访问管理技术, 通过在彼此隔离的容器基础之上引入一个新的“容器安全层”来加强企业各部门之间的系统访问控制与身份验证能力。Project Lightwave是基于企业级的架构, 具有多租户、可扩展、高可用等特点。在企业环境, VMware实现使用VMware Lightwave技术用来解决新挑战, 通过提供关键的安全服务、简化管理和云本地应用程序为企业客户发挥核心作用。VMware Lightwave是一种面向提供身份认证服务包括大型分布式基础设施的认证和授权的软件, 主要有以下部件构成:虚拟目录服务 (vmdir) 、VMware的证书颁发机构 (VMCA) 、VMware认证框架进程/服务 (vmafd) 、VMware的安全令牌服务 (VMware STS) 。Project Lightwave™是一个开源的技术, 通过与VMware Photon集成, 可以为工作负载提供安全和管理。Project Lightwave™也可以各种情况下使用, 如单点登录, 身份验证, 授权和认证机构, 以及证书的密钥管理服务。
企业发展需要先进的IT技术作支撑, 需要持续不断地通过新应用开发部署提高IT创新能力, 开源能帮助用户有效利用现有资源发挥出最大的生产效率。开源不仅为用户提供可靠、安全、灵活的IT技术, 也为企业简化了运维和管理, 节约了空间和硬件成本。随着以移动互联、大数据、云计算为代表的“互联网+”时代的到来, 开源技术将进一步帮助企业实现IT的安全自主可控, 以及弹性定制与按需扩展, 使软、硬件资源获得更高的利用率。
部署应用论文 篇2
开始想用iptables来进行转发,这东东感觉及复杂 了,看了大半天的文档,还是没有搞懂,走其它的方式了。
google了一个叫rinetd的软件,支持windows,linux下进行端口转发,貌似不错。
下载地址:www.boutell.com/rinetd/http/rinetd.tar.gz
文档上说windows下需要VC++的支持,linux下应该就是gcc的支持了。
首行:yum install gcc*
tar zxvf rinetd.tar.gz
cd rinetd
修改源文件中的端口号:
vim rinetd.c
找到:bindPort >=65536 修改为:bindPort >= 65535
找到:connectPort >= 65536 修改为:connectPort >= 65535
在/usr目录下新建目录 man
make
make install
安装成功,
运行方式:
新建配置文件:vim /etc/rinetd.conf
这里是定制转发的规则。
格式是:源IP 源端口 目标IP 目标端口
我的配置是:
192.168.0.189 21 123.123.123.123 21
allow *.*.*.*
logfile /var/log/rinetd.log
启动rinetd
/usr/sbin/rinetd -c /etc/rinetd.conf
这样就可以了,目前看来效果还不错。特此记录。
数据库审计系统的部署与应用 篇3
【关键词】 数据库 审计系统 部署 应用
信息时代加速了信息技术与大数据技术的飞速发展,各个领域开始广泛应用数据库,但数据安全问题的频发,使人们高度关注各应用系统中数据库的行为审计,进行独立数据库审计系统的部署已成为必然趋势。下面文章将对基于旁路监听的数据库安全审计系统进行具体分析,希望对业内人士的相关研究提供一些思路。
一、概述数据库安全审计系统的基本功能
数据库存储着庞杂的数据信息,其操作和运行存在较大的风险。数据库安全审计系统通过有效的解析和智能关联,详细记录与数据库相关的各种操作痕迹,例如查询、新增、删除、修改等。审计系统可以实时查询引起数据异常或泄密的各种途径,包括远程恶意篡改、攻击以及人为失误操作等,为数据库管理人员追究肇事者责任以及挽回损失提供真实可靠、完整的依据,并且能够根据安全策略对数据库的异常情况进行有效的预警。其具体功能主要包括以下几方面:一是审计系统同时兼备远程操作和本地操作,有效结合了网络审计和数据库本地日志审计,能够详细审计远程用户与本地用户对数据库进行的各项操作,并为数据库管理者提供实时查询功能,便于数据库的管理与维护;二是审计系统开展各项活动不会影响数据库的正常运行,基于旁路式的审计系统,利用网络审计与本地审计日志分析技术,其中网络审计不用与数据库服务器进行网络连接;本地审计日志也可进行离线分析,所以数据库服务器的正常运行不会受到审计系统的影响。此外,审计系统还采用智能审计关联分析技术,实现关联分析,降低系统管理工作人员的工作量,提高工作效率,强化企业数据全面智能化处理的能力;三是强大的系统分析报表功能,审计系统的分析报表可以统计、汇总各种类型的报表,通过可视化的图表形式将统计结果呈现给数据用户;四是自身的安全保护,完善的审计系统设计了高效的安全保护性能。例如,采用强大的加密传输机制,加强系统内部相关组件的通讯功能,防止通讯信息的追踪、篡改等恶意操作;使用无IP地址方式,避免引擎探测口被直接攻击;信息存储采用合理的缓冲区设计技术,增强了安全性。
二、数据库审计系统的部署架构及应用
2.1基本架构
本文分析的数据库安全审计系统是基于旁路监听形式对数据库的网络数据进行实时采集与过滤;将过滤后的网络数据进行分析,并还原上级不同类型的数据库应用协议数据;之后进行SQL语法解析,存储审计记录并且及时警告存在的违规审计记录,同时自动生成审计报表和统计报表数据(详见图1)。通常业务量大的用户采用“二层”架构:一是审计引擎,其主要功能是实时监测网络流动数据信息及文件,实时上传符合规则的数据库操作到审计数据中心;二是审计数据中心,将审计引擎需要的规则文件进行下发,并设置综合性查询条件及直观的图形用户界面。
2.2具体应用
1、数据库系统管理角度审计。数据库安全审计系统能够详细记录通过网络对应用系统数据的各种操作,包括操作时间与方式、计算机名、数据库名、数据库用户名等众多方面的内容。另外,通过审计系统我们可以准确把握具体时间段内的不同数据库类型的操作量以及应用程序的使用频率、合法性等,都为后期的调查取证提供了便捷。同时还可以及时跟踪存在异常的计算机、用户、程序访问业务系统数据库,及数据库系统内置超级账户的操作,全面反映超级用户的各种操作以及带来的相关影响,提高数据库使用的合理合法性。
2、优化业务系统性能。业务系统的各个子系统或各个功能模块具体反映的数据库的访问量,体现了业务系统的性能。例如,统计业务系统中SQL命令语句的时长,耗时主要是根据网络上的时间差计算的,通过连续多天的观察对比、分析,准确判断系统是否存在性能问题。由于此方法不会修改应用系统配置,不消耗系统资源,所以该统计分析结果对于业务系统的细粒度优化具有很大的参考意义。再比如,统计业务系统SQL命令语句执行失败的情况,跟踪IP或应用程序,及时发现问题,查找原因并采取相应的措施予以改进和完善,促进业务系统的长期稳定运行。
参 考 文 献
[1]刘丹丹,刘同波.数据库安全审计系统在医院的部署与应用[J].中国医疗设备,2013,05:42-44.
[2]马骏.部署数据库安全审计系统能解决什么问题[J].信息安全与通信保密,2011,01:44-45.
高校网络防火墙部署应用 篇4
近年来教育主管部门对教育信息化建设高度重视。作为信息化网络安全基本防护设备的防火墙, 其安全性已经越来越受到重视[1]。由于信息化基于互联网, 因此, 隔离内部网络与外部不信任网络的防御技术是网络安全中的一个重要部分。本文通过对具体网络防火墙产品的部署, 实现对外部网络攻击的防御和对内部网络的保护。
1网络防火墙的部署
1.1防火墙拓扑结构及其相关接口信息
防火墙透明部署在负载均衡和核心交换机之间, 设计防火墙拓扑结构见图1。设置系统时钟信息, 该时间是记录日志、访问控制、报警等事件的时间基准。共使用了五个接口, ETH1为管理接口, ETH10、ETH12连接出口链路负载, ETH11、ETH13连接核心交换机, 接口统计信息内容:interface eth n receive packets、receive bytes、tcp receive packets、tcp receive bytes、udp receive packets、udp receive bytes、icmp receive packets、icmp receive bytes、transmit packets、transmit bytes、input rate、output rate、input rate pps、output rate pps。网络管理二层网络配置ARP、VLAN、MAC地址信息。配置VLAN001包含接口eth11、eth10, 配置VLAN002包含接口eth12、eth13。
1.2管理页面地址配置
本防火墙支持IE5.0, IE6.0, Mozilla firefox 1.0.2, Mozilla firefox1.0.3, Mozilla firefox 1.0.4, Mozilla firefox 1.0.5, Netscape7.1等, 使用安全套接字层超文本传输协议HTTPS访问, 在防火墙物理接口eth1配置特定的远程管理IP地址202.100.100.106, 此地址将作为防火墙的管理地址, 子网掩码255.255.255.0, 使用命令为命令如下network interface<eth1>ip add<202.100.100.106>mask<255.255.255.0>。在浏览器上输入防火墙的管理URL (https://202.100.100.106) 即可进入管理页面。
1.3防火墙账号配置
由管理页面添加并设置管理员账号和密码, 配置三级管理员权限, 三级权限分别为超级管理员、安全管理员和安全审计管理员。超级管理员具有最高权限, 能修改超级用户的相关信息, 能修改或删除配置信息。安全管理员可以访问除系统维护外的所有命令, 可以对访问规则进行调整, 对管理员的权限不能分配。安全审计管理员只能查看系统配置信息, 无权修改现有配置信息。具体配置信息见表1。
1.4系统可管理主要服务配置
配置系统可管理的主要服务GUI、WEBUI、SSH、UP-DATE、TELNET、PING。GUI服务允许通过防火墙管理器对设备进行配置和管理, WEBUI服务通过WEBUI的443端口对设备进行配置和管理, SSH实现以SSH方式管理配置设备, UPDATE服务实现远程升级, TELNET服务实现TELNET方式配置管理、PING服务实现PING到设备的物理地址。
1.5防火区IP规划
规划不同区域防火区IP地址见表2。
2管理页面服务配置
2.1开放服务
依据业务需要自行定义资源管理的相关服务, 服务参数包括服务名称、服务类型和端口。创建服务对象名称有:监控服务、WEB服务等, 协议类型按照开放服务所需协议选择TCP、UDP、ICMP、以太网协议等相关协议。选定协议后, 按照服务需求选择相应端口, 输入自定义服务占用的单个端口或端口范围。开放服务如见表3。
2.2路由配置
天融信防火墙的策略路由方式可以实现内部网络的指定对象使用特定外部线路与外部网络通信, 从而进一步增强网络的通信安全。策略路由优先于静态路由。为了由终端能够管理防火墙而设置添加路由, 添加目的地址202.100.100.106, 目的掩码32位的路由, 该路由只做管理使用, 不走别的数据。ISP路由表有中国电信、中国联通、中国移动、教育网带宽、中国铁通等信息。
2.3定义主机
添加主机资源, 主机属性包括主机名称、物理地址、IP地址。主机资源见表4。
该防火墙内置了IDS (入侵防御检测系统) 模块, 可以为防火墙及其所保护网络内的主机提供简单的抗网络攻击的功能。配置IDS规则, 并且在访问控制规则中引用规则, 实现对统计型攻击和异常包攻击的防护功能。对匹配ACL规则的数据包, 将按照所引用的IDS规则的配置, 保护设定的“目的地址对象”免于受到攻击。设置后可保护指定的网络主机免于受到以下类型的攻击: (1) 统计型攻击, 包括:SYN Flood、UDP Flood、ICMP Flood、IP Sweep和Port Scan; (2) 异常包攻击, 包括:Land、Smurf、Ping of Death、Win Nuke、TCP Scan、IP Option、Tear Of Drop和Targa3。
2.4病毒防御设置
为了避免病毒进入网络内部很快地在网络环境中传播, 造成网络阻塞甚至瘫痪。利用本产品的反病毒功能, 对通过HTTP、FTP传输的文件, 以及使用SMTP、POP3和IMAP协议传送的邮件正文、附件进行病毒检查过滤, 根据文件扩展名选择过滤的附件类型。同时, 开启APT (高级持续性威胁) 功能进行高级威胁防御检测, 增强病毒防御能力。
2.5其他设置
防火墙配置管理功能项除以上设置外还有访问控制、日志配置等。通过访问控制规则实现三到七层的访问控制, 还可以设置深度过滤策略针对应用层的内容进行更细颗粒度的访问控制。在管理页面选择日志与报警项, 设置已部署日志服务器地址202.100.101.X, 设置服务器端口, 选择日志类型:配置管理、系统运行、连接、访问控制、防攻击、端口流量、入侵防御、防病毒、反垃圾邮电等项。
3结语
防火墙配置管理的重要性对整个防火墙的功能执行和管理效率来说都是不言而喻的[2]。本文就高校信息化建设中网络安全建设的网络防火墙产品做了部署介绍, 设计了校园防火墙的拓扑结构, 对防火墙部署和服务配置做了介绍, 通过对防火墙合理部署, 实现了内网和外网的访问控制策略, 并有效阻止非法连接和外部攻击。提高了校园网络的安全防护能力。
摘要:为抵御互联网上的攻击, 保障数字校园网络安全, 部署天融信硬件防火墙。在部署过程中合理设计防火墙拓扑结构, 将防火墙透明部署在负载均衡和核心交换机之间, 通过防火墙防护网络边界这种安全保护机制, 保证了校园网络的安全防护能力。该机制具备安全防护能力, 是一种有效的网络安全机制。
关键词:防火墙,网络安全,校园网络,VLAN
参考文献
[1]谭湘.基于防火墙的企业网络安全设计与实现[D].西安电子科技大学, 2013.
部署应用论文 篇5
第一季度工作总结和第二季度工作部署
4月1日,省档案局局长李安全主持召开局务会,总结第一季度、部署第二季度的档案工作。李安全局长传达了延安干部学院正厅局长“加强党性修养、坚定理想信念、保持优良作风”培训班精神,巡视员阎中恒传达了省直单位机关效能年活动汇报会精神,各处、室、中心负责人汇报了一季度工作情况和二季度工作打算。副局长方维华参加了会议。
会议认为,今年一季度的工作,在去年工作的基础上,按照全省档案工作会议的部署,有计划、有步骤地组织实施,各项工作又有了新的发展、新的提高,有的工作具有一定的创新性,在全国具有一定的位置。
一是档案业务工作全面启动。省档案局对省直单位2009档案工作检查、国家档案局8号令的贯彻执行、机构改革中撤并单位档案的处理和档案规范化管理工作及时进行了部署和指导;将2009年中央新增投资项目的档案管理、省重点工程档案工作列入重点工程稽查内容,会同有关部门进行专项检查;在江中集团公司建立了国有企业档案工作联系示范点,以点带面推进国有企业档案工作再上一个新台阶;开展了新建县级档案馆情况调研指导,加强县级档案馆建设。
二是馆藏档案资源建设工作全面推进。省档案馆接收5个省直单位到期档案2666卷、昌金高速公路等重点项目档案2746卷,整合省属高校电子档案目录4188条,网上下载2008重大活动的报道内容,拍摄省人大第十一届二次会议、省政协第十届二次会议、环鄱阳湖生态经济区建设等重大活动照片档案800多张、视频档案500G、DVD视频文件300多分钟,征集知名画家熊德琪、万徐良和摄影家武敦瑜、吴先桂捐赠的画作、摄影作品53幅(件、本),收购日军侵华史料《画报跃进之日本》3册,修裱破损民国档案10331页。
三是档案利用服务工作全面拓展。完成了10809卷档案的初审鉴定,整合了全省劳模数据库,着手建设全省档案目录中心,与南昌大学、江西师范大学等院校建立了档案馆教学实践基地,接待查阅档案和参观档案展览687人次、查阅档案资料393卷(件)、复印档案资料1132页。省档案新馆被省委、省政府命名为爱国主义教育基地。
四是档案信息化建设全面推行。制定了《江西省档案馆电子档案与数据备份管理规范》和《江西省档案信息网站集中检查测评细则》;著录照片档案5300余张,扫描民国开放档案136732画幅,录入现行档案文件级目录数据35717条,整合省直25个立档单位档案目录数据65881条,导入省档案馆利用系统馆藏现行档案文件级目录数据39954条;组织了电子文件接收管理系统软件的研发,启动了《电子文件接收与管理办法研究》课题的研究。
五是档案宣传工作有声有色。全省在《中国档案报》和《中国档案》杂志刊登稿件59篇,在《国家档案局网》、《中国档案资讯网》、《中国档案网》刊登稿件122篇,订阅《中国档案报》895份、《中国档案》杂志800份,在全国刊稿排名第5名、报刊订阅排名第12名,较上年排名分别前6位和4位,是历年同期刊登稿件、订阅报刊最多的一年,得到了《中国档案报》通报表扬。与此同时,组织省市10家新闻媒体对档案工作集中采访报道,省委书记苏荣和省委常委、省委宣传部长刘上洋对南昌晚报报道的《神秘档案“开口”替百姓说话》一文引起关注并作出批示。《南昌晚报》、《江西日报》、《经济晚报》《江南都市报》等新闻单位对档案工作进行了连续报道,档案工作的影响面有了新的扩大。
六是机关效能建设初见成效。按照省委、省政府的统一部署,召开了动员大会,邀请了省委党校专家授课,组织学习了胡锦涛总书记春节期间视察江西时的重要讲话、全国“两会”、省“两会”精神,进一步完善了工作制度,实行了定岗、定员、定责制,细化了工作任务,把软任务做硬。为了提高服务质量,方便群众查阅利用档案信息,对上下班作息进行了合理调整和安排,实行了中午不休息连续接待。为提高行政效率,把仅有的3项行政许可项目审批权全部下放设区市,向社会承诺办理时间由20天缩减为10天。
会议要求,第二季度的工作要在第一季度的基础上,突出重点,抓住薄弱环节,注重整体效益,把档案工作推向深入。
一是着力抓好档案行政管理工作。制定出台一批指导性、政策性文件,开展全省城建房产档案执法调研;组织省直单位档案员集中培训,深入部分省直单位现场指导;建立1—2个国有企业档案工作规范化管理示范点,推动省重点骨干企业和省直属企业的档案工作规范化管理;搞好社会主义新农村建设档案工作调研和试点,修订《乡(镇)、村文件材料归档范围和档案保管期限表》,制定《乡(镇)、村档案工作规范化管理标准》;抓好省重点建设项目竣工档案登记和验收工作,实行跟踪服务、规范管理,迎接国家档案局的检查。
二是着力抓好档案信息化建设。组织全省档案网站检查评比,开展设区市档案馆信息化情况调研,改版提高“江西省档案局网站”;搞好江西省档案电子文件接收管理系统软件研发与试点,完成模块上线、试用、修改;录入到期新进馆档案、馆藏档案和全省目录中心现行档案等数据不少于3万条,完成民国开放档案数字化全文目录数据库80万画(幅)录入任务,卫星接收省电视台新闻联播内容。三是着力抓好档案馆业务。收集胡锦涛总书记春节期间视察我省等重大活动档案资料,拓展省党代会、省委全委会、省人大常委会等重大活动的现场拍摄,做好2009年国家重点档案抢救与保护项目申报,抓好档案抢救与保护项目的实施,整理省政府办公厅档案,完成档案开放鉴定2.5万卷,建好全省档案目录中心,办好《中国档案文献精品展》在线展览,编好《城市解放》系列丛书,开展庆祝建国60周年征文活动,组织档案学会会员学习交流活动,开展中小学生爱国主义教育和大学生实践活动,完善馆藏档案台帐,加强档案安全保管。
四是着力抓好机关效能建设。举办全省档案局馆长、信息化建设和档案员上岗培训班,组织兰台青年讲坛,强化思想教育,从严落实制度,从严管好机关,促进机关工作热情大提振、工作标准大提高、工作效率大提升。
美军亚太新部署 篇6
美国是世界上军费开支最多的国家,特别是在“9·11”事件之后,美国接连发动阿富汗战争和伊拉克战争,以及联合北约发动对利比亚的作战行动,导致其军费开支飞速增长。仅在伊拉克和阿富汗的战争中,美国每年的投入近1500亿美元,占其财政赤字的10%-15%。2008年次贷危机爆发后,久拖不决的伊拉克和阿富汗战事更是加重了美国的负担。2012年作为美国的大选之年,经济状况直接关乎奥巴马政府的政治命运。
在此背景下,奥巴马政府一方面不得不想办法尽快结束战争,另一方面,只能对已造成沉重负担的军费开支进行削减,并对美国全球军事战略作出新的调整。美国看中了经济军事同时崛起中的亚太地区,认为只有将战略重心东移至亚太地区才有可能获得军事经济的“双重转机”,才能扭转当前的政治经济被动局面。然而萧条的发展现状已无法有效依托经济措施进军亚太,军事成为其基本的突破口,并提出了“空海一体战”作战构想,加强与西太平洋地区有关国家的军事关系,依靠强大的武力高附加值寻求、获得其特殊经济利益。
冷战思想模式的惯性依赖
20世纪80年代,为应对苏联及华沙组织大规模战役机动集群构成的威胁,美国陆军提出了“空地一体战”理论,强调整合陆空作战力量,以空地联合作战的方式实施纵深打击,提高陆空力量的作战效能。苏联解体后,冷战虽然结束,但美国根深蒂固的冷战思维并没有结束,他们一直在寻找下一个冷战对手,“9·11”事件和随后进行的阿富汗战争、伊拉克战争一定程度上延缓了这一进程,但并没有改变这一趋势。在欧洲,“空地一体战”理论在1991年海湾战争和2003年伊拉克战争中得到了实战检验,取得了巨大成功,极大的提升了美国陆军的地位和信心。然而,随着中国综合国力的增长,特别是军事实力的增长,美国认为已经对其构成了严重威胁,是对其“毫无理由的挑战”。正如冷战时期前苏军是对美国陆军和空军最严重的威胁一样,美军认为当前我军军事实力的快速增长是对美国空军和海军最严重的挑战。因此,美军相应地进行全球军事战略调整,重新巩固和加强亚太地区军事力量。“空海一体战”理论的出台,既是美国“空地一体战”的思维模式延续,也是美国亚太平衡战略的有力支撑,其目的是以“空海一体战”作为支持美军在西太平洋军事行动的总体战略,进而遏制中国的崛起,确保形成美军所谓的“战略平衡”,巩固美国在亚太地区的根本战略利益。
平衡军种矛盾的无奈之举
美国各军种经过长期的发展,已经形成了相对独立的力量体系、指挥体系及具有各自特色的军事文化体系,追求本军种最大发展和利益最大化的趋势有增无减。当前,军种文化差异根深蒂固,门户之见和部门利益之争给美军造成了严重内耗,这也从根本上制约着其联合作战能力的生成。为此,如何在各军种之间实现平衡是美军战略规划需要解决的一个突出难题。“9·11”事件后,美国面临恐怖主义的现实威胁增大,军事战略的重点转向非传统战争,陆军和海军陆战队在旷日持久的伊拉克和阿富汗战争中发挥了至关重要的作用,地位日益上升,而处于传统优势地位的海军和空军则处境尴尬。按照计划,空军目前的61个战术航空中队到2017年将被裁减为54个,其F-22战斗机、C-17运输机等重大项目都遭到延迟或裁减,而海军的航空母舰、导弹驱逐舰也遭受了同样的待遇。在这种情况下,海军和空军不得不为本军种的生存和发展而寻找出路,而中国崛起、中国威胁则成为其很好的借口。美国认为,近年来随着中国的崛起和影响力的不断扩大,在西太平洋地区已出现了军力发展的不平衡性,必须通过抵消这种日益增长的不平衡性趋势,才能确保自身的“领导地位”,否则将面临退出亚太地区的危险。为此,提出了“空海一体战”战略构想,进而抵消中国日益增强的“反进入”和“区域拒止”作战能力,并以此为契机,借以加强海空军建设,平衡各军种利益关系。
提升联合作战能力的军力融合
美军认为,现代战争是不分地理区域、不分陆、海、空、天、信息等边界的全面战争,未来将是太空战、网络空间战、陆海空战场相融合的新型联合作战,客观要求各军种必须与其他军种密切协同实施联合作战,提高作战效能。同时,透过美军发展战略我们也可以清晰地看到,“一体化联合作战”是美军联合作战理论的核心思想,也是推动美军军事转型向纵深发展的重要依据。进入21世纪以来,美陆军提出“全方位作战”、“快速决定性作战”等思想,强调建设“目标部队”,要与空中、海上、太空和特种作战部队形成一体化联合作战能力;空军提出“空天一体战”理论,强调建设能够控制全球战场的航空航天一体化作战力量;海军提出了“网络中心战”理论,强调利用先进的信息技术,实现各军兵种一体化实时联动。但是,各军种间实现一体化联合作战易说难行,各军种之间本位主义依然盛行,强调从自身利益出发建立作战体系和发展军事装备,装备“烟囱”现象十分突出,激烈的利益之争也一时难以消弥,这也从根本上制约着美军联合作战能力的生成。同时,相应理论上的质疑之声也从未中断,认为过于夸大信息技术作用,夸大了联合作战效能。为此,美军必须突破联合作战理论和联合作战能力建设的现实和理论瓶颈。亚太战略平衡需求为其提供前所未有的机遇,基于空军和海军力量联合实施的“空海一体战”作战構想可谓是“雪中送炭”,成为美军推进联合作战理论深入发展、联合作战能力生成的有力抓手,必将推动美军海空军力量的有效整合,提升联合作战能力。
应对中国崛起的战略抉择
美军称中国在2007年用陆基导弹摧毁了报废的气象卫星,2010年实施了中段导弹拦截试验,针对航空母舰的“航母杀手”弹道导弹初步形成作战能力,新一代歼-20、歼-31隐形战机试飞成功,“北斗全球卫星导航系统”组网顺利,新型航母平台交付海军,歼-15舰载机成功在航母平台实现起降等等,认为中国初步形成了较为强大的“反进入/区域拒止”能力,这一能力在未来还将持续增强,这对美军在西太平洋的空、海军基地和驻军等前沿军事力量以及美军的力量投送能力构成巨大的现实威胁。强调一旦发生冲突,美军想介入或采取行动,必将付出严重的代价。基于对亚太地区整体战略形势的判断,美国强调必须加速实施亚太军事平衡战略,抵消中国军事实力提升造成的不平衡性。2020年前,美国海军改变目前在太平洋与大西洋分别部署50%战舰的整体格局,调整为太平洋60%对大西洋40%,其中10艘航空母舰的6艘部署在太平洋地区。同时,围绕有效实施“空海一体战”作战构想,对美军空军和海军的这两个原本隔阂很深的军种进行资源整合,打造高度一体化的联合作战能力,有效破解“反进入/区域拒止”威胁。
(作者均任教于第二炮兵工程大学)
浅析入侵检测系统的应用部署 篇7
随着因特网的快速发展和网络规模的不断扩大,针对网络和计算机系统的攻击已经屡见不鲜,国内外企业受到黑客攻击的事件时有发生,安全问题已经成为人们关注的焦点。传统的安全防护有防火墙等手段,但防火墙本身容易受到攻击,且对于内部网络出现的问题经常束手无策。根据CERT的报告,50%以上的攻击来自于内部。入侵检测系统采用的是一种较为主动的技术,可以有效地弥补防火墙的不足,能有效地发现入侵行为和合法用户滥用特权的行为。了解掌握入侵检测系统的相关技术,并将入侵检测系统合理的部署到现有网络当中来,是网络管理人员学习和探讨的一个问题。因此,有必要系统地研究一下相关技术和应用部署过程。
1 入侵检测技术简介
入侵检测(Intrusion Detection)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动),以减少系统损失。对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
2 入侵检测系统简介
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源;
(2)尽可能靠近受保护资源;
这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
入侵检测系统的工作流程大致分为以下几个步骤:
(1)信息收集入侵检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。
入侵检测利用的信息一般来自以下四个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)信号分析对上述收集到的信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
(3)实时记录、报警或有限度反击。
IDS根本的任务是要对入侵行为做出适当的反应,这些反应包括详细日志记录、实时报警和有限度的反击攻击源。对一个成功的入侵检测系统来讲,它不但可以使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。
3 基于入侵检测系统 IDS 的部署及应用实例
目前运行的网络时时刻刻存在被攻击(网络黑客、蠕虫病毒等攻击行为)的风险,某公司的网络管理人员想详细了解一下本公司的网络运行状况,看一看网络中有没有被攻击,是什么样的攻击,又来自于哪里呢?于是借来一台IDS设备,对公司的网络进行了测试,将怎么使用这台IDS设备进行测试呢?
3.1 实例分析并搭建实验环境
(1)设备与配线
交换机(一台)、IDS(一台)、计算机(三台)、RS-232电缆、RJ-45接头的网线。
(2)任务说明
将IDS设备连接到交换机上(所连接端口要设置为镜像端口)拓扑如图1所示,然后对IDS进行配置及服务器安装,数据库安装,和相关软件的安装,设置相关策略,最后形成报表文件。
3.2 实例具体操作
3.2.1 IDS 的安装部署与配置(在部署前应对交换机进行端口镜像设置)
IDS安装组件步骤如下,安装过程比较复杂。
第一步:安装RG IDS Sensor:传感器的标准出厂设置为:传感器的IP:192.168.0.254、默认网关:255.255.255.0、默认传感器密钥:demo、EC的IP:192.168.0.253、百兆传感器的名称:sensor。
选择Network Configuration配置IP:传感器的IP:192.168.1.254,EC 的 IP:192.168.3.180
第二步:安装DataB aser,这里我们安装微软MSDE组件。
第三步:安装RG IDS Log Server,注意服务器地址要与EC地址保持一致(为:192.168.3.180)。
第四步:安装RG IDS Event-Collector,当事件收集器和控制台安装完成后,必须安装许可密钥,否则控制台无法启动。
第五步:安装RG IDS Console,这是IDS的控制平台,是与IDS交互配置的主要场所。
第六步:RG IDS Report这是生成报告的部分
配置管理控制台:第一次登录系统后需要配置系统平台,进入组件管理窗口,在组件结构图中添加组件。然后选中组件,在属性窗口中配置组件属性,包括配置传感器、Log Server的属性。可以通过查看组件显示图标判断组件的状态(连通或断开)。
添加传感器,应用策略后会出现断开标志;大约2分钟时间,后出现编译签名标志;整个同步签名需要大约需要20分钟时间。添加Log Server,IP地址为192.168.3.180,端口默认,添加完成后重新配置,才能进行容量配置,这是的配置根据实际情况设置。
3.2.2 IDS 策略管理
第一步:策略编辑界面浏览:在主界面上的“策略”按钮,切换到策略编辑器界面。通过“策略编辑器”窗口,可以新建、派生、修改、删除、查看、导入和导出策略。
第二步:派生新策略:在策略模板区域选中一个预定义策略Attack Detector,在出现的菜单中选择“派生策略”,输入新策略的名称,点击“确定”按钮。
第三步:策略编辑:策略中可以选择用户所关注的事件签名进行检测,编辑策略内容包括:自定义策略、更改策略、攻击签名、响应方式、保存策略等信息。
第四步:策略锁定和解除策略锁定:(1)锁定策略在策略管理窗口点击快捷按钮“编辑锁定”,策略管理窗口被锁定。当多用户同时登录控制台时,当前用户可以编辑策略,其他用户不能修改。(2)解除策略锁定在策略管理窗口点击快捷按钮“解除锁定”,编辑权限被释放,当多用户同时登录控制台时,允许其他某个用户编辑策略。
第五步:导出策略:点击一个策略,选择“导出策略”,可将其保存为一个文件。
第六步:导入策略:点击某个策略选择“导入策略”,选择导入策略的位置,可将选中文件导入。
第七步:策略应用:打开“组件”,在EC引擎上点选“应用策略”,选择需要下发的策略,点击“应用”。控制台界面弹出命令处理的对话框,下发完毕后引擎会自动重启。
3.2.3 IDS 报表管理
分为登录报表管理器、报表查看、导出报表。
4 结语
勘探部署信息化研究与应用 篇8
油气勘探部署是指在一定时间内,在额定投资下,以一定地质单元为对象,以不同勘探阶段的地质任务或油气储量为目的,由物化探、钻井、录井、测井、试油和地质综合研究等工序所组成的综合勘探业务。 传统的勘探部署工作是由设计人员在查阅大量数据后人工录入,再逐一送交各级领导亲自审核签字后通过的纸质文档。
开展勘探部署信息化研究,目的是通过网上审批,无论身处何地都可以利用网络通过数字签名技术进行审批,避免审批延误,提高效率,同时利用勘探数据库对探井进行辅助设计,减少设计人员工作量,提高设计精度。
1需求调研
勘探部署信息化研究初期,数据中心对勘探处、研究院、钻采院三家单位共19 个核心部门开展业务调研。 通过调研确定业务对象和级别,在系统上线运行后的几年里,不断完善扩充,根据新的业务需求,又增加了东方物探和录井公司两家单位的审批单元。
2需求分析
2.1 业务需求分析
勘探部署审批业务分两部分,一是勘探部署基本信息和图件审批,二是地质设计的编写和审批。
勘探部署基本信息和图件审核流程共有五级。 设计人员编写部署附件基本信息, 上传图件后提交给室主任进行审核,审核通过的提交给院总地质师审核,有问题的退审给设计人员修改, 设计人员修改后直接提交到退审领导手中, 按照这个流程,还要经过勘探处、油田公司审核通过后方可归档,至此流程结束。
地质设计的编写和审批流程共有七级。 设计人员编写探井地质设计,上传后提交给室主任进行审核,审核通过的提交给所长审核,有问题的退审给设计人员进行修改,设计人员修改后直接提交到退审领导手中,按照这个流程,还要经过设计单位、院总地质师、勘探项目部、勘探处、油田公司领导审核通过后方可归档,至此流程结束。
2.2 系统主要功能
系统总体划分为基础业务、工作流、图件处理、文档处理、数据提取、电子签名、短信七个模块。
该系统设计的主要目的是将原有的探井设计整体流程完全实现网上进行,所以既要满足对基本信息的维护,同时也要满足部署图、地震剖面等图件的维护。 对部署信息的审核,可以通过实现坐标显示,测距、面积估测、井投影、部署图签名、批注留痕等完成。
地质设计辅助编写方面,可以实现模板创建、设计基本数据自动提取、邻井成果、试油成果、地层压力、钻井液使用等辅助编写。 同时也满足地质设计文档在线浏览,文档批注、电子签名、电子签章。
短信方面主要实现消息提醒,包括审批、修改、查看提醒,未处理重复提醒。
3关键技术
3.1 数据提取技术
(1) 分布式异构数据库的信息交互: 为了利用现有数据资源,与勘探数据库高效整合,通过配置数据源连接实现与不同业务数据库间的信息交互。
(2) 跨数据库查询: 地质设计编写通常要参考邻井信息, 为了使搜集信息工作更全面、省时,该系统应用了跨库查询技术,通过查询勘探数据库,提取出相应的结果就可以显示在勘探部署信息系统中。
3.2 工作流技术
为了实现勘探部署审批、地质设计审批流程的管理,数据中心采用了目前流行的工作流技术有效解决该问题。 该技术满足WFMC工作流管理联盟制定的标准,通过工作流建模,实现审批内容的自动流转。
3.3 图形审核技术
(1) 部署图坐标动态显示: 为了满足审核人员判断井位坐标是否正确,解决扫描图件在计算机中显示坐标的问题,我们通过建立位图图件坐标系与计算机屏幕坐标系之间的转换关系,实现捕获位图不同位置的坐标值。 设计人员通过输入位图上已知三个点的坐标,就可以将图矢量化,实现坐标跟随鼠标动态显示。
(2) 邻井投影: 审核井位坐标通常需要通过临井位置来判断,系统从技术上实现了邻井投影,该功能能够帮助审核人员轻松验证井位部署位置的正确性,从技术上避免了井位偏差造成生产事故的发生。
(3) 图件批注功能: 为保证审核人员可以随时随地留下审批意见,系统设计了批注功能,可以根据实际需要在图上任意位置留下修改意见。
3.4 控件技术
为了方便科研人员快速编写地质设计,不需排版,系统采用模板式辅助编写,所有格式都已定义好,井的基本信息和邻井信息可一键插入。 审批人员还可以利用批注留痕功能留下意见。
3.5 电子签名技术
包括图件签名和文档签名两部分。 前者是通过图片合成技术,将部署图与签名图片在服务器端动态合成,生成新的图片。后者使用Java,通过Word文档来实现,采用书签标记进行判断插入。
3.6 自动短信服务
为在第一时间通知设计人员和审核领导审批的信息,系统采用手机短信提醒方式。 通过调用GSM Moden接口驱动进行消息的发送,根据配置文件控制发送时间和间隔以及日志的存放。
4结语
自系统投入使用以来,完全实现探井地质设计业务的自动流转, 并把平面位图转换成有地理信息意义的模拟GIS图件。实现了无纸化、网络化部署审批,设计周期明显缩短,工作效率显著提高,目前依托该系统已经审批400 余口探井,发布纪要50 余批次。 该系统下一步将会在巩固现阶段成果之上,不断充实,使其功能越来越强大。
摘要:为解决辽河油田勘探部署审批工作处于人工编写送审阶段,审批周期长、时效性差等问题,本文提供一种解决方案,利用工作流和数字签名技术,实现勘探业务活动的网上办公自动化。
部署应用论文 篇9
东软集团股份有限公司高级副总裁兼首席运营官陈锡民表示, 各种手机平台并存导致了M o bile Widget引擎种类繁多, 在赢在应用的时代, 运营商需要统一引擎规范, 而WAC/JIL成为第一个被广泛应用的Widget引擎。
作为中国移动在Mobile Widget开发方面的主要合作伙伴, 东软集团认为Mobile Widget引擎应该具有基于浏览器、快速访问Web、个性化定制、集成性、本地功能调用、本地资源访问、多平台支持、终端安全等八大特性。通过在Mobile Widget方面的两年研发, 东软基本形成了遵从WAC/JIL规范的引擎和平台。同时, 东软在Mobile Widget上做了非常多功能的拓展和增强, 比如为开发者提供SDK、IDE和模拟器, 这样可构建出一个能够真正投入到实际运行和能够真正让开发者使用的一套平台, 并且这套平台可以部署到Android、OPhone等平台中。
陈锡民还表示, 东软并不是将自己的Mobile Widget引擎取代原有的引擎, 而是根据不同平台的特点来做相应的处理, 包括取代、增强和扩展, 从而保持最好的兼容和一致性。
.NET应用程序安装部署及更新 篇10
关键词:.NET应用程序,安装部署,更新
曾几何时, C/S系统在与B/S系统的竞争中败下阵来, 其中一个重要原因就是其安装、部署和更新都不太方便, 需要用户的一些参与甚至需要用户对计算机有较深入了解, 这显然对用户要求过高了, 而B/S系统中, 用户只需在浏览器中输入一个Wed地址就可使用最新的Web应用, 无疑具有巨大优势。然而时过境迁, .NET应用程序的安装、部署及更新随着Visual Studio的更新换代变得越来越简洁, 不过其中还是有一些值得注意的地方, 下面结合自己的经验予以详细说明。
1 安装部署
Visual Studio 2005已经提供了建立安装包的模板, 利用此模板可以方便地制作出一个标准的Windows安装程序, 如果不需要太多自定义的功能的话, 并不需要写任何代码, 只需在VS IDE中设置一些参数即可。在IDE中新建一个安装项目后 (图1所示) , 可以得到如下界面 (如图2所示) , 可以看到IDE自动准备好了最重要的安装目标, 应用程序文件夹 (X:Program Files) 、开始菜单、桌面, 其中应用程序文件夹是存放要部署的目标应用程序本身 (通常是*.exe) , 而开始菜单和桌面位置是存放要部署的应用程序的快捷方式的位置。设置这些内容都很直观, 只要拖动鼠标进行操作即可。这里值得一提的是属性设置中的Permanent一项, 此设置默认为False, 该项的含义是卸载应用程序时是否将文件删除, 如果希望在卸载应用程序时保留该文件, 请将此属性设置为True。另外在使用此模板时发现, 如果应用程序文件夹中间带有空格或有多极目录, 可能造成卸载过程中无法清楚目标程序的情况, 这是否是一个Bug, 请读者使用时自行验证并注意。
安装和部署过程中最关键的一个问题是程序集依赖问题, .NET应用程序推广中目前遇到最大的障碍之一无疑是用户计算机上没有.NET Runtime, 即.NET framework组件, 安装程序必须能自动识别用户计算机上的配置并能自动完成.NET Runtime的安装, 好在这一问题在VS 2005中已完美解决, 安装模板将自动识别出程序集依赖的组件 (包括每个.NET应用都必包括的.net framework) , 并自动打包集成到安装文件中, 当Build安装项目时, .NET framework被打包到dotnetfx目录下, 但是, 如果直接将包含此目录的安装包完全发送给每一个安装者, 可能面临一个问题, 那就是安装包过于庞大, 不便于分发, 另外, 部分用户可能已经装有.NET framework, 下载此巨大安装包无疑是一种浪费。如果是在单位的局域网环境下, 笔者认为最佳解决方案是将.NET framework包放在服务器上, 让确实需要的用户远程下载来安装, 要做到这一点, IDE已经提供了简便的方法, 打开项目属性页, 点击系统必备按钮, 得到图3界面, 选择其中的“从下列位置下载”, 并输入服务器的地址即可。使用IIS架设服务器, 限于篇幅, 这里不详细讨论如何安装配置IIS, 读者可参考其他资料, 需要注意的是, 架设网站后, 网站根目录下要建立dotnetfx目录并将生成在本地的dotnetfx目录里的所有文件上传到服务器上的目录里。目录名必须使用dotnetfx, 否则远程下载时会出错。至此, 可以使用Build命令打包出安装文件, 安装文件包括setup.exe、一个msi文件和dotnetfx目录 (如果还有其他依赖项, 可能还有其他内容) , 注意, 真正安装应用程序的文件是msi文件, 但用户应该使用setup.exe来启动安装程序, 因为setup.exe会检测目标计算机的配置并正确引导用户先安装依赖组件, 然后再启动真正的msi安装文件, 至于dotnetfx目录不必分发给用户, 因为此组件会通过刚才配置的远程服务器来下载安装。
2 更新
一个应用程序在其生命周期内, 更新是必不可少的, 也许是功能扩展, 也许是漏洞修补, 即使是一个小型应用, 也难免需要更新。更新应用时当然可以再次发放安装包, 并通知所有用户来重新安装, 但如果能做到用户使用应用程序时自动更新无疑是最佳方案。Visual Studio 2005提供了一种叫做ClickOnce的部署策略, 这种最新的部署方式有别于上述制作安装包的方法, 顾名思义, 这种方式的终极目标是更新过程只须Click Once, 但是此种方法对更新的自定义控制较弱, 例如需要向用户提示一下更新的内容等较难实现。笔者在此介绍通过简单编程, 自行设计一种可复用的更新方式。
首先仍然要准备好一个服务器, 完全可利用刚才提到的存放.NET framework的服务器, 在该网站上以应用程序的名字建立一个目录, 假设为ISOAlert, 在该目录下存放appver.txt, update.lst, 及更新的程序文件。其中appver.txt里存放如下内容:
x.y.z.v是新的版本号, 更新信息是提示用户的关于更新的内容。
update.lst文件存放下列内容:
filename1, filename2就是更新的程序文件的具体名字。在网站的根目录下存放一个程序文件updateapp.exe (下文具体说明此程序的设计) , 用于更新应用程序, 由于此程序文件可复用于多个不同的应用, 因此将其存放于网站根目录以便供所有应用程序使用。
接着在要更新的应用程序中插入自动更新的代码, 其基本思路是, 每次应用程序启动时首先读取appver.txt文件, 将版本号读入, 与自身版本号比较, 如果自身版本号已低于服务器上的版本号, 则将更新信息显示给用户, 并下载updateapp.exe到本地, 启动此exe, 并关闭自身以便updateapp.exe更新。下面给出一些示例代码:
注意, .NET程序有4个版本号, 判定时依次将其转换为数字来比较, 这里有一个问题, 例如1.2与1.21之间的判定可能有歧义, 读者可根据实际自己写新的判定函数。Update函数及updateapp, exe的调用都需要一个AppName的参数, 此参数即为要更新的应用的名字, 通过不同的参数传入, 可实现复用。
最后说明updateapp的设计思路, 此程序首先下载update.lst文件, 将其中包含的每行字符串作为文件名使用, 将所有文件下载覆盖到本地以完成更新操作。更新完成后, 利用传入的参数作为启动命令行来重起应用程序以给用户程序自动更新并重启的感觉。以下是示例代码:
为了提高复用程度, 上面代码里进行了一个特殊处理, 即如果在update.lst文件里的文件名后加上一个冒号, 则意味着此文件在下载到本地后将被运行, 这主要是考虑到有时更新操作不仅仅是文件的简单覆盖, 还需要注册表处理、数据库处理等高级操作, 可以通过自定义更高级的程序来传递给用户后运行程序来处理。
3 结语
美国部署战舰围堵中国? 篇11
美半数战舰将驻扎亚太
美国军方2012年1月10日公布舰队全球部署新战略。据称,未来美军高达1/3的战舰将转移至包括东海和南海在内的西太平洋海域。中国国防部此前已多次呼吁,美方应顺应潮流,客观理性地看待中国和中国军队,多做有利于两国两军关系和地区和平稳定的事情。
据报道,美国海军最高指挥官葛林奈特上将1月10日在华盛顿一场有关南海局势的大型演讲中,公开了美国未来10至15年全球海军战略布局。据他称,未来美军超过1/3数量的战舰将转移至西太平洋地区。据报道,根据美方的战略布局,再加上波斯湾驻扎的战舰数量,预计未来共有超过半数的美国海上军力将驻扎在亚太海域。
葛林奈特在新美国安全中心主办的该次演说中指出,将来美国在西太平洋地区将拉开由东京、釜山、冲绳、新加坡至澳大利亚达尔文港的海军基地线。他表示,美国并未调遣大量战舰,而是通过与盟友、伙伴国加强合作,保持南海局势稳定及航道畅通。
葛林奈特声称,中国军事崛起影响全球局势。维持美国海军在西太平洋地区的目的,“在于确保国际海运航道自由畅通”。他也称,美国将继续通过签署军事合作议定书,并与中国海军在国际场合保持对话,进行合作与交流。葛林奈特一再强调,美军舰队新战略的部署布局是针对未来,而非现在的形势。
近来,美国持续表态调整军力部署,总统奥巴马1月5日公布战略报告称,美国虽然面临预算压力,但将努力确保其“军事超强”地位,同时将美国军事重心转向亚太地区。有关报告还对中方横加指责。
中国国防部新闻发言人耿雁生回应指出,美国对中方有关指责毫无根据,中方将密切关注美军事战略调整对亚太地区乃至全球安全局势的影响。他指出,中国国防和军队建设的战略意图是一贯的、明确的,中国的和平发展对包括美国在内的国际社会是機遇而非挑战。耿雁生强调:亚太地区的和平稳定是大势所趋,发展繁荣是人心所向。我们希望美方顺应时代潮流,客观理性地看待中国和中国军队,谨言慎行,多做有利于两国两军关系发展和地区和平稳定的事情。
美国部署50艘战舰
美国海军最高指挥官格林纳特公开谈论美国在南海围堵中国的战略,表示美国现在在西太平洋部署了50艘战舰,占美国海外舰只部署的一半,而且还表示美国的海军不会因为军费削减而减少在海外的部署。他说美国现在准备拉起一条北起日本、韩国,南至新加坡和澳大利亚的海军基地线来确保国际航道的通畅,而这明显也是冲着中国而来的。
自从美国总统奥巴马上周公布了新的国防战略之后,中国外交部也发表声明指出美国扩大在亚太的军事存在是对中国国防现代化的一种误判,中国不会对任何国家构成威胁。 美国海军作战部部长乔纳森·格林纳特说,根据战略布局,美国超过1/3的战舰数量将转移至西太平洋地区,拉开由日本东京、韩国釜山、日本冲绳、新加坡至澳大利亚达尔文港的海军基地线。再加上波斯湾地区的战舰数量,未来,超过半数的美国海上力量将驻扎亚洲海域。
格林纳特透露,美军目前有285艘战舰正在服役,其中50艘战舰和潜水艇部署在西太平洋地区,而在中东地区的数量为30艘。“中国的军事崛起确实影响全球局势,维持美国海军在西太平洋地区的存在,目的在于确保国际海运航道的自由畅通。”格林纳特在新美国安全中心主办的美中南海局势演说上表示,“美国将继续与盟国伙伴签署军事合作协议,并与中国海军在国际场合保持对话,进行合作与交流。”
格林纳特强调,美国政府对国防预算的削减不会影响海军运作,关键在于如何正确分配预算,他有信心舰队有能力处理危机。美国国防部定于本月下旬公布2013年度海军部门预算的部分内容,美军将在今年春天完成有关海军力量的评估。
集结亚太力量 遏制战略对手
自冷战以来,从海上方向封锁中国,一直是美国海军的重要任务。随着中国海军频繁进出第一岛链,并在印度洋实施常态化海军编队护航,美军开始相应调整其海军部署,整个太平洋战区的轮换、轮训节奏加快,美军舰艇出现在中国近海的频率相应加大,熟悉、研究与应对中国海军,成为太平洋战区第3、第5、第7三大舰队的共同任务。
按照美国新的战略部署,2013年前后,美军在太平洋地区将实现冷战结束以来规模最大的调整,美军50%-60%的海军力量以及30%-40%的空中打击力量最终将集结于亚太地区。
目前,美军已经与新加坡、印度尼西亚、马来西亚等国谈判,试图在这些国家建立“全球鹰”以及MQ-1/RQ-1捕食者系列无人侦察机发射、指挥与回收基地。另据美国媒体披露,“美国国防部已制订了一项转移计划,要将大约1.5万名官兵从冲绳美军基地转向澳大利亚及亚洲其他地区的美军基地,转移所需的相关设施业已完工”。除了不断增加和调整在亚太地区的军事布局,通过构建亚太地区的连环联合军演,美军已经形成覆盖整个西太平洋地区的四连环军演布局,即太平洋西北部美日韩一环、太平洋中南部美日澳一环、太平洋西南部美菲新泰一环、太平洋中东部“环太”多国海上联合演习一环。四大系列演习不仅实现了美军主导的参演国家互派交叉,在演习区域上也覆盖了大半个太平洋,演习时间则几乎贯穿全年。
美无人机迅速增加
美国有线电视新闻网和《纽约时报》相继披露说,美国的新军事战略又被称为“国防预算缩减”,这或许只是为了方便媒体做标题,别以为美军真的什么都在缩减,它在亚洲的军力部署和开支是在提升的,同时增加的还有对特种部队、网络战的投入,以及情报收集和无人机开发。
《纽约时报》1月10日说,新一期美国国会报告显示,目前美国空军共拥有7494架无人机,占空军飞机总数的31%。而在7年之前,美国空军无人机的数量仅占空军飞机总数的5%。报道说,大部分的美军无人机都是用于航空侦察的小型间谍机,无法载货或载人。例如,美军总共拥有5346架“乌鸦(Raven)”无人侦察机,该机型也是迄今为止数量最多的美军便携式无人机。另据美国《连线》杂志报道,虽然美国国防部目前每年用于采购人工驾驶飞机的开销仍占总开销的92%,但自2000年起至上一个预算年,美国国防部每年用于采购无人机的开销已从2.84亿美元逐年迅速增加至33亿美元,总计已花费200多亿美元。
尽管无人机的使用价值和安全系数常被质疑,但美军仍对未来无人机在军事行动中广泛使用充满信心。美军还计划为无人机增添人脸识别功能和小型武器发射功能。此外,美国海军也正在研制一种能够在航空母舰上起降的新型无人机。
(据《参考消息》)
部署应用论文 篇12
关键词:协同办公,集中部署,缓存与拆分,负载均衡
0 引言
协同办公系统是公司重要的信息系统,承担着公司公文运转、任务协作等8 项管理支撑功能,在协调和推进公司日常工作并督促落实,保障政令畅通,整合电网公司系统资源,提升决策支持能力中发挥了重大作用。
“十二五”期间,国家电网公司在SG-ERP的发展规划中明确提出要在SG186 两级平台[1]的基础上,建设支撑智能电网和国家电网公司集约化管理的一体化平台,逐步达到大范围的统一集中、两级互联、数据共享。通过业务应用的一级部署实施[2],进一步规范业务流程,提升业务标准化水平,加强总部集约管控力度,提升效率节约资源,协同办公系统的一级部署应运而生,不仅实现资源的集约化与统一管理,同时也实现了应用级灾备,构建了一体化行政办公平台,满足建设“一流三化”办公系统的要求。
当前全网协同办公系统二级使用单位共2 300 余家,访问用户约51 万,高峰在线用户近15 万,日均处理文件3 万份以上。省市公司最大访问用户约为4.5 万,在线用户最高峰值约为1.5 万。在面对如此巨大的访问请求时,协同办公系统通过架构调整以及各节点的技术调优彻底解决各类瓶颈,保障该系统的稳定安全运行。
1 集中部署的调整
1.1 部署模式演变
“十一五”前,国家电网总部、省公司、地市公司协同办公彼此独立,各自建立系统与规则,无法实现纵向贯通,信息共享能力及总部管控能力弱;“十一五”期间实现了总部与省公司两级部署,其中省公司与地市公司合并使用一套系统;“十二五”期间系统全网集中部署,使用统一访问入口,公司各单位均远程访问,对系统的功能、流程进行统一规划设计,同时硬件的集中部署便于运维工作开展,但对网络及系统性能要求提出更大的挑战。
1.2 技术与架构调整
协同办公为Domino与J2EE相结合的系统,集中部署前以Domino平台为主,集中部署后重心则转向J2EE平台(见图1)。
Lotus Domino[3]平台是办公软件的群件标准,其文档型数据库操作灵活,擅长处理各类办公自动化业务;其权限控制机制完善,能有效控制访问与处理权限;非结构文档管理机制满足丰富的正文附件操作需求。而J2EE平台能弥补Domino在处理结构化、超大量数据、复杂计算逻辑等应用功能上的不足,同时其开放性便于外部集成,支持丰富的第三方组件,有效简化一级部署的复杂度。因此系统将首页框架、视图展现、搜索等大部分应用集中、高并发的非核心业务剥离出来在J2EE中实现,最大限度发挥平台各自优势。
除了使用Oracle关系型数据库和Web Logic组件外,还采用了Solr、NGINX[4]和No SQL等技术来优化系统性能。使用Solr解决大量带行级权限数据的查询性能问题,实现快速检索;使用NGINX管理静态元素的Web请求,用于分摊动态请求的高并发压力;采用No SQL处理登录和操作日志等事务性繁琐操作的数据。
2 集中部署的问题及解决
2.1 系统运行方面
2.1.1 高并发与高负载
通过优化服务器部署分区、应用功能的拆分来分担集中访问请求,避免单点故障或性能瓶颈造成的风险扩散,保障系统的全局可用性。
1)智能负载均衡。分别从中间件、数据库、物理部署等各层面入手,通过智能路由均衡分区内的服务器工作负载(见图2),提供实时转移机制,有效均衡负载,提高系统的水平扩展能力。
2)服务集群。服务集群一方面可对资源进行合理分区实现负载均衡,提升并行处理能力;另一方面可根据业务的增长对资源进行横向扩展,加强系统的健壮性与易维护性。协同办公系统在多个服务器集群的基础上,形成了复合集群,由调度管理程序根据调度策略匹配用户与服务器列表信息,将用户的访问引向相应区域的服务集群,再次在子服务集群中分配资源提供服务。J2EE提供前台展现与后台应用服务支撑,其横向扩展重点在于解决Web Logic集群会话处理机制。 协同办公系统采用分布式缓存Memcached[5]存储session数据信息,解决Web Logic集群横向扩展session节点复制的限制,不同业务模块之间使用cookie加密方式随机生成token应用于会话同步,取代session同步。Domino也采取相同的复合集群技术,解决names.nsf文件过大、文档条目数量太多造成的不稳定和性能下降,以及多服务器间频繁复制产生额外开销等问题。基于Domino服务器复合集群之间的无状态、无会话共享的特点,利用复合集群的相互独立,实现复合集群的动态伸缩,且隔离了区域复合集群出现的极端灾难,避免了问题传播。
3)应用功能拆分。基于J2EE架构的应用,根据业务或公共服务逻辑拆分成低度耦合的应用子系统或应用模块,分别处理各自的功能访问。在展现层,通过首页的统一资源展现实现J2EE与Domino功能的有效整合与拆分;通过客户端控件预处理降低服务器端的开销;通过Ukey辅助服务器端完成复杂安全计算;在应用层中划分档案管理子系统和任务协作子系统;在服务层中拆分各个公共业务组件服务功能。
2.1.2 高性能
通过资源拆分,发挥框架各自优势,采用合理的缓存策略并对数据进行压缩,提升系统性能水平。
1)动、静态资源拆分。针对动、静态资源的访问请求采用不同的技术框架处理,取长补短,降低资源的性能消耗,提高服务器业务处理的响应能力。如将Domino中的静态元素,包括CSS、JS、HTML、图片等资源分离出来,由NGINX承担对这些静态元素的HTTP请求。
2)缓存策略。系统采用本地缓存(Local Cache)和远程缓存(Remote Cache)策略来缓解数据库性能的压力。应用服务器本地缓存共享了自身的内存空间,可直接调用,性能高,无需序列化及网络传输,将读取频繁、量小、稳定的数据(如字典、功能菜单、角色等数据)放入本地缓存,加快响应速度;远程缓存具有独立内存服务器,提供更大的缓存区来存储数据,用于多应用系统快速共享,但需额外网络IO,数据对象需要序列化,因此适用于读取相对频繁、数据量大、不稳定的数据(如组织架构、人员信息、通知公告等)。动静态资源的分离缓解大并发量的http请求压力,进而减少Domino服务器的并发压力。静态缓存将页面内容以文件方式存放,请求页面时直接返回页面内容,无需执行业务逻辑或数据库操作;当页面内容发生改变时才更新页面内容。这种方式可减少复杂计算及获取数据所产生的性能消耗。此外为了提高系统的整体性能,将频繁访问且更新不频繁的数据(组织用户信息、流程模版、基础数据)放到基于Memcache实现的分布式数据缓存中进行管理。
3)数据压缩。将访问频繁,如由Java Script脚本编写的网页展示、数据校验和AJAX数据请求等操作对应的JS文件进行压缩,同时采用压缩传输方式,降低网络传输量,减少带宽占用,降低网页内容从服务器端传输到客户端的时间,加快客户端响应速度,提高客户体验。
2.2 数据处理方面
2.2.1结构化数据
协同办公系统具有大规模结构化数据集中存储、管理和访问需求,因此采用Oracle RAC完全共享的数据库集群方案。依据协同办公系统中不同应用功能所对应的数据结构和存储、访问等特点,采用以下数据库结构拆分或处理方式。
1)联机事务处理系统(On-Line TransactionProcessing,OLTP)/ 联机分析处理(Online Analyti-cal Processing,OLAP)拆分。集中部署后Domino系统增加了统一数据视图,用于收集所有Domino表单数据的关键字段和文档定位信息,实现数据视图的展现和文档定位。统一视图和流程引擎等数据符合OLTP特点,而带权限的统一搜索则带有OLAP的统计和查询特征,由此将2 类数据结构进行拆分。这种拆分克服了Oracle关系型数据库处理复杂数据权限的不足,同时将核心系统应用集中到Domino和流程引擎中,提高了整个协同办公系统的稳定性,且将统一视图与全文检索引擎的数据由同步改为异步,提高了OLAP类型业务操作的系统响应速度。
2)数据拆分。1冷/ 热数据拆分。随着时间的推移,系统数据量越来越大,既不利于保持查询效率,也提高了备份成本,因此将冷/ 热数据进行拆分,在数据库中只保留特定时长的热数据,超过时长的数据做冷却(归档化)处理。协同办公系统按“流程活动库→流程办结库→历史库(文件中心)”数据流转结构进行拆分,改善了RAC性能的同时,降低了数据存储成本,提高检索效率。2读/ 写数据拆分。系统不同模块数据读写的频率差异较大,因此根据不同的业务场景将读/ 写数据进行拆分。如文件中心中的历史数据读操作更频繁,平时将其相关表空间设置为Read Only,仅当数据归档时才改回ReadWrite。这种方式减少大量的全局访问,极大地提高Oracle数据库的读/ 写性能。
3)数据分区。将数据表选择性地分配于不同的表空间上,用分而治之的方法来支撑海量数据。将大表分割成较小的分区以改善表的维护、备份、恢复、事务操作及查询性能。Oracle分区技术分为范围分区、列表分区和混合分区。在协同办公系统中,由于统一视图、在办流程、办结流程相关的表按照组织单位进行了逻辑隔离,对时间条件并不敏感,因此有选择地进行基于组织机构列表分区;对文件中心的相关数据表,则同时基于年份进行范围分区,简化数据维护操作,提高查询效率,有利于数据的过期化处理。
2.2.2 半结构化数据
半结构化数据主要指由各类服务器及应用产生的系统运行日志、用户操作日志等数据。这部分数据的结构关系松散,并不完全符合关系型数据特征,也不适合传统结构化数据处理方式。通过分析日志数据的典型特征,协同办公系统采用基于No SQL技术的Mango DB[6]数据库作为解决方案。Mango DB支持更灵活的数据结构,甚至可随时增加字段到表结构;无需考虑存储空间的限制,通过设置存储文件的固定大小,可以按照近期最少使用算法(Least Recently Used,LRU)来自动复用空间,无需手工删除日志文件;异步的读写管理使数据写入无需延长请求响应时间;支持一般的查询条件和聚集操作,提供Java Script脚本,便于开发统计分析。
2.2.3 非结构化数据
非结构化数据主要为业务处理过程中产生的数据及归档的数据,如文件正文、文件附件、阅办单、图片文档等。办结的公文归档到档案管理,历史数据转移至文件中心,这些文件又转移至非结构化平台。
根据非结构化数据在Domino中存储和管理的生命周期,结合收文时非结构化数据的管理策略,为提高存储效率和I/O读写效率,采用“零共享”和“完全共享”的组合方案,并以区县组织作为分割点。
从总部到网省与网省到地市皆按照收文的单位数量复制多份文档,随机在该网省或地市所对应的Domino服务器复合集群中进行负载均衡;从地市到县公司,收文的所有区县单位只保存一份非结构化数据,禁止其他区县创建该文档的复本。公文传输模块记录同属区县中第一次成功接收文档的Domino服务器集群所在路径,其他同属区县请求该文档时,通过该路径访问。这种模式下,从总部到区县最多复制600 份相同文件,相比零共享方案的复制3 000 份文件,可节约80% 的资源开销。
为了降低共享文件的加载和阅读对网络带宽的要求,对大量只读查询访问的收文及档案逐步采用边下载边显示文件内容的流式文件方式解决。目前协同办公系统中大量的ceb格式文件不支持流式读取,需将ceb格式文件逐步转换为cebx流式文件,以提高用户体验,降低网络资源占用。
2.3 部署与集成
2.3.1 IT环境部署
协同办公系统的集中部署需全面考虑系统割接、版本更迭及后续功能新增完善对全网用户造成的影响,因而建立开发、测试、生产准备与生产4 个环境,且4 个环境具有一定的相似性、关联性和传导性,保证系统功能从开发到生产环境的有效快速部署,环境的趋同有利于开发、测试、部署人员在各环境中顺利开展工作。
同时,围绕系统建设运行的生命周期,采取代码版本管理控制的机制和流程,面对复杂的系统部署环境,采用基于分支的系统补丁管理和发布机制,将补丁包等快速部署于生产环境,用户可以连续不中断通过系统开展业务活动,降低系统割接、版本升级等对系统使用的影响。
2.3.2 与其他系统的集成
作为国网体系内的信息系统,协同办公系统集成关系和实现方式明确,采用了基于客户端浏览器cookie方式,实现企业门户单点登录的集成,总体分为展现层集成、应用层集成和数据层的集成(见图3)。
为了兼容统一权限平台提供的用户认证及权限管理方式,将协同办公系统中的历史登录用户名OA_User Id进行校验并清洗,使其与门户登录用户名Domain_User Id一致;其次将协同办公系统中的的组织、用户以及角色等历史数据转换为统一权限平台中用户相关的数据模型,再通过约定格式的数据模板将协同办公系统中的历史用户数据导入到统一权限平台中;最后将统一权限平台生成的新用户编码返回协同办公系统,由协同办公系统进行新旧用户编码关系的映射。
2.4 实时监控
为了降低复杂部署环境以及大量服务器资源和系统运行带来的运维风险和压力,在明确监控对象和指标基础上采用分层自动监控(见图4)。
系统监控可自动采集网络链路、操作系统、数据库、中间件及业务流程等各层次的运行数据,可对潜在问题进行预警,对发生问题及时通知,确保系统维护人员及时了解系统健康状况,并做出相应处理。
3 集中部署后的效果
3.1 系统持续稳定运行
协同办公系统集中部署后性能稳定,有力支撑业务开展。截止2015 年8 月,已上线网省单位16 家,直属单位3 家,包含省、市、县公司共计1 500 家,总用户数达到30 万人,办理文件共计217.9 万份,档案文件达1 632 万份,高峰在线用户数4 万人,流程实例平均办理时长190.8 h,流程待办平均办理时长45.2 h,总体较原来省级部署平均效率有所提升。
3.2 一级部署的经济效益
协同办公系统的一级部署,加快了集中式数据中心的建设,促进业务标准化,推动数据共享和业务融合,提高IT软硬件资源利用率,降低整体建设、运行成本,预计每年节约设备、机房建设、应用系统及运维人工费约800 万元。
通过多层权限设计、设计与数据分离、设计与配置分离,新部署工具、数据迁移工具的研发,一方面提升运维广度,支持一人维护多个单位;另一方面运维简易化,缩短运维时间,减少人力资源投入的同时还确保了系统的高效运行,预计每年可节约人力资源及设备投入约1 000 万元。
3.3 集中部署的优势
协同办公系统一级部署促进研发技术力量有效集中,大大提升系统的安全性、易用性与功能完整性。
1)实现了与门户、统一权限的集成,实现单点登录;支持集中、分级管理,根据策略提供用户分级操作权限并实现多级管理员分级授权机制。
2)对系统界面进行全面优化,数据可集中显示,统计结果展示形式及界面可定制。实现视图查询功能多样化(见图5),支持多条件查询、模糊查询,结果视图可升/ 降序排列等功能;新增文件查询库功能,可对现行、历史文件统一查询,可跨业务搜索,实现办公自动化、任务协作和档案管理的跨业务统一查询。
3)提升控件兼容性,可支持XP、Win7、Win8 等操作系统,支持IE6 至IE10 等浏览器版本;增强基础功能,解决复制保存冲突问题;建立Domino与流程引擎提交过程事务机制,避免单边提交出现的流程不同步问题;实现了跨单位业务跟踪功能,提供公文收发统计,并提供公文业务审计日志。
4 结语
协同办公系统的一级部署,不仅是应用上的迁移,而是从整体架构和技术路线上进行了调整,有效解决了巨大的用户访问与服务请求,提供安全稳定的业务支撑。通过智能路由的调配、服务集群的搭建、复合集群技术的应用,解决了系统集中部署所引起的高并发、高负载问题;对系统资源与功能的细化拆分,大量缓存与数据压缩技术的应用,对不同数据的分类采用相应的技术框架或平台来处理,充分发挥资源利用率,有效提升了系统的整体性能;遵循国家电网信息系统整体架构设计,实现了与其他信息系统的集成;合理设置物理环境,提速新功能开发到应用的部署或故障处理;综合考虑后期运维的便利性,实现了对系统的分层实时监控。