供应链网络安全管理篇1
关键词:供应链;信息共享;网络安全风险
一、引言
随着市场竞争日益激烈和多变,供应链的复杂性和不确定性也逐渐增加。杨中华指出供应链是一个由分布于全球的供应商、制造商、分销商、零售商,其中还包括提供物流服务的物流服务提供商等组成的系统,其中成员之间的相互依赖关系使得供应链系统变得更加复杂。信息作为供应链上各个环节的沟通载体,供应链节点成员企业间的信息共享可以提高供应链管理水平,减少节点成员间的分歧,提高整个供应链竞争力和运作效率。供应链节点成员通过一定的it技术进行一定程度的共享信息,减少企业和供应链面临的不确定性、提高企业和供应链绩效,但是随着供应链对互联网和信息技术越来越依赖,也使供应链企业暴露在互联网所衍生出来的一系列风险中,对供应链的网络安全产生威胁,可能导致供应链运行中断事件的发生。
近年来国内外供应链运行中断的事件频频发生,如“911”事件、2009年丰田的“召回门”事件、2000年作为爱立信供应商的飞利浦公司的火灾事件、2011年日本地震导致日系车辆零部件短缺事件等都造成了严重的后果。这些事件表明风险对供应链的破坏远大于对单个企业的危害,由于供应链的复杂性和不确定性,使供应链各个环节的链接变得很脆弱,导致供应链面临的风险在增大。除了环境风险、自然风险,还有如今信息共享所使用的信息技术也带来了一系列的风险,如网络攻击盗取供应链中传递的信息,从而使供应链传递的信息失真或者丢失,导致供应链运行延缓甚至中断,从而引起供应链信息风险。
因此,随着供应链的复杂性和不确定性增加,供应链变得越来越脆弱、越来越依赖互联网和信息技术实现信息共享,明确信息共享与供应链网络安全风险的关系应该给予足够的重视。
二、信息共享
在现在的信息时代,信息共享成了供应链各个企业间必不可少的环节,供应链企业通过共享信息给信息获得方带来一定边际效用的提高。不仅包含客观实际收益的提升,也包含信息的实用性、有效性、代表性等主观感觉上的效用提高和不确定性的降低。如果某一节点企业掌握的信息相对匮乏,在进行业务运作的过程中会因共享了不完全或不完美的信息而遭受高成本和低利润的风险,当然这种风险必定会传递给与之相关联的企业。叶飞认为企业运营绩效的提升是供应链伙伴间信息共享结果的最终体现,并且供应链伙伴间的信息共享可以以信任为中介而间接地作用于企业运营绩效,这表明加强供应链伙伴间信息共享不仅可以有效地提升企业间相互信任水平而且可以有效地提高供应链成员企业的运营绩效。
随着信息科技的发展,供应链管理越来越依赖互联网和信息技术,通过信息技术实现高效率、低成本实现信息的传递。如西班牙著名时尚品牌ZaRa利用信息技术实现了“快速供应链”,从设计到上架只需要10天,充分体现了it技术对企业的各个环节的重要性。供应链利用it技术实现商业过程标准化以及增加通讯、互联互通性和数据交换,但是供应链对这些系统的依赖导致供应链极易受到网络犯罪分子的网络攻击,使信息被盗取失真或是延误,引起供应链信息风险。倪燕领等从物流、资金流、信息流三方面分析了供应链风险的分类并强调供应链成员间合作过程中的信息风险。李琪将信息风险看作是供应链成员所面临的最大风险,并将信息风险等同于供应链风险。实际上供应链风险是由于节点企业之间的信息传递不及时或中断引起的,由于成员企业间彼此信息共享受到阻碍而造成了信息传递的中断,并认为信息风险是供应链风险的本质。
由此可见,信息共享可以提高效率、降低成本,但是信息共享过程越来越依赖互联网和it技术,这必然引起网络犯罪分子的攻击,故在互联网时代供应链的网络安全应该受到人们的重视。
三、供应链网络安全风险
信息共享对供应链网络安全风险具有正负两方面的影响,即适当的信息共享可以减少供应链中因信息不对称而引起的风险,如牛鞭效应等,但供应链越来越依赖信息技术而进行大量的信息共享则会带入一种新型供应链风险――网络风险。网络风险定义为“组织或企业由于一系列信息技术系统障碍所造成的任何财务损失或者名誉破坏的风险”。网络风险将导致极坏的效果,包括知识产权破坏,子标准或被阻断的运营,敏感性数据破坏,对最终消费者的服务水准降低。网络攻击的形式多样,其目的是窃取数据以得到丰厚的利益,如信用卡数据、医疗信息、公司商业机密等数据信息。网络攻击一旦成功,将会引起供应链信息的延误或企业丧失技术创新,从未导致很大的成本损失。
由于信息技术的发展,网络攻击的技术也越来越高超,则预测供应链产生中断的每个可能性越来越困难,很多网络攻击都超出了组织的预测分析能力,故有学者提出供应链网络弹性的概念。供应链网络弹性是指“一种当供应链面临网络攻击风险的时候能够维系其运营绩效的能力。”供应链管理者如果想要减少网络攻击给供应链带来的损失应该考虑如何加强供应链的网络弹性。
四、系统动力学的应用
系统动力学方法是一种以反馈控制理论为基础,以计算机仿真技术为手段,通常用以研究复杂的社会经济系统的定量方法,具有能研究动态的、非线性问题的特点。信息共享贯穿于供应链的各个环节,由于供应链的复杂动态结构,信息共享对供应链网络的安全风险影响具有复杂性,故采用系统动力学方法是可行的。
供应链节点之间通过信息技术进行高效率、低成本的信息共享,但是企业对信息技术的依赖性增强,加大了网络犯罪者对供应链的网络攻击。由于供应链各个环节紧密的合作关系加强了企业之间的关联性,一旦某一个环节遭遇网络攻击,将通过供应链系统传播影响其它相关企业,出现风险传递的现象,类似于多米诺效应。故为了保护信息资产的安全,企业应加大对信息安全的投入,其中包括技术方面、人力资源方面、安全管理方面等,从而加强供应链网络弹性的建设。供应链中的不同企业对信息安全的投入决策不同。熊强等通过Stackelberg博弈分析得出企业信息资产价值越高,遭受攻击后的损失期望越高。核心企业共享额度越大,其对信息安全的投入也越大;伙伴企业的投入额随核心企业的共享额增加而减少,当核心企业的共享额能够让其信息资产有足够安全时,伙伴企业共享额度为零;核心企业在信息安全投资和信息安全共享方面会随着供应链脆弱度增加而增加,而伙伴企业会随着脆弱度的增加而减少直至为零。由此可见,供应链中对供应链信息安全的投入具有一定的复杂性。
由于信息共享以及信息安全的投入与供应链风险管理的复杂关系,通过系统动力学对其进行分析,明确其利益相关者的相关关系以及回馈效应。根据信息共享引起的供应链网络安全风险的变化规律和系统动力学的反馈原理,应用系统动力学仿真软件vensimple建立系统动力学供应链网络安全风险影响的反馈图模型。通过vensimple仿真软件把信息共享和供应链网络安全风险关系联结形成回路,回路最简单的表示方法是图形,即因果关系图。如图所示:
五、结论
根据系统动力学分析得出的供应链网络安全风险与信息共享以及供应链企业对信息安全的投入的逻辑关系,信息共享对供应链存在利弊关系,适度的信息共享有利于供应链的高效率运作,但也应该明确信息共享带来的供应链网络安全风险,故除了传统风险管理对风险的防御措施还应该在权衡好投入成本与风险损失成本的基础上对供应链网络弹性进行建设。目前对于供应链信息安全的投入以及供应链的网络弹性建设的研究文献还比较偏少,故互联网安全威胁下供应链上各个合作伙伴对供应链弹性的建设如何投资分配才是供应链面临网路安全风险时整体成本降到最低的关键环节,还需要进一步的研究探索。
参考文献:
[1]杨中华.基于核心企业的供应链网络信息共享研究[D].华中科技大学,2013(4).
[2]叶飞,薛运普.供应链伙伴间信息共享对运营绩效的间接作用机理研究[J].中国管理科学,2011,19(5):112-125.
[3]倪燕翎,李海婴,燕翔.供应链风险管理与企业风险管理之比较[J].物流技术,2004(12):40-42.
[4]李琪.供应链管理中的信息风险及对策分析[J].北京工商大学学报,2002(124):32-35.
[5]iRm.2015.CyberRiskandmanagement.instituteforRiskmanagement.accessedapril1,2015:https:///knowledge-and-resources/thought-leadership/cyber-risk/.
[6]omera,K.&S.e.Daniela.SupplyChainCyber-Resilience:CreatinganagendaforFutureResearch.accessedapril,2015.
供应链网络安全管理篇2
4月28日,迈普通信在中国无线通信大会上推出了一款3G专业级路由器mp1800,吸引了大批观众及媒体的关注。这款产品全面融合了路由技术、交换技术、安全技术、统一通信、存储、视频、3G、wLan、流量控制以及上网行为监管等应用功能,可以帮助用户实现多种应用模式的融合。
强大的网络融合能力
迈普通信Ceo肖志辉在中国无线通信大会上的主题演讲中指出,3G的应用给企业带来了很多便利,迈普公司根据长期的观察和分析,发现了企业有许多可以应用3G无线网络的需求。面对市场的巨大需求,迈普及时推出了自己的全新的面向3G无线应用产品及解决方案。
这款mp1800提供了丰富的融合无线特性。系统整合的wLan功能支持802.11b/g标准,支持多SSiD隔离,并提供相关的接入认证和链路加密功能。同时系统还能够支持openSystem和ShareKey两种链路层认证方式。在广域网连接方面,mp1800支持无线3G接入,包括tD-SCDma、CDma2000、wCDma三种制式,能够满足用户对于无线上行主链路和备份链路的应用需求,同时还具备了向wimax无线接入扩展的能力。
mp1800针对企业用户的iCt应用趋势,提供了极其丰富的软件功能和扩展能力,是电信运营商全业务时代用户端的全能通信处理平台。mp1800能够为用户提供广域网、局域网一体化的安全防护和控制,提供防火墙、DDoS攻击防护、内容过滤、aRp攻击防护等全方位的安全机制,确保设备在恶劣的网络环境下安全免维护运行;支持基于Dpi技术的应用识别和流量分析控制,可以实现对网络流量的全面透析和监管,进而实现方便易用的上网行为管理。
据迈普公司路由器产品线总监马林介绍,mp1800能够有效支持SLa、oam、UDLD等丰富的metroe特性,全面适应基于电信级以太网技术的城域网接入需要,并创造性地提出“eB接口”技术为运营商在以太城域网下升级接入带宽和提高链路可靠性提供了便捷方式;通过智能弹性带宽和弹性连接技术,无论网络流量是高峰还是低峰,总能井井有条并行不悖,给网络使用者极佳的用户体验。迈普公司多年来在路由交换一体机的研发中积累了丰富的经验,mp1800在业界率先实现了路由器QoS和交换机QoS在一体机上的完全融合,为用户提供了强大的Lan到wan的QoS处理能力,为多业务的接入提供了可靠保证。
为了解决很多企业面临的网络管理难题,mp1800设备支持丰富的管理和监控功能,支持Shell、Snmp、web及tR069管理模式,各个管理模式都能够对设备进行本地维护、远程维护、集中维护等多种维护手段,并提供分级管理机制,提供完备的告警、测试、诊断、跟踪、日志等功能,能够实现可定位、可追溯的行为审计,强化了对内部网络的行为监管。
融合特性完美体现
在金融、电信等应用领域,业务发展已呈现出高度电子化和网络化的趋势。以金融电子化为例,atm业务近年来在我国得到迅速的发展,需求的增加必然会带来大量的atm接入路由器的市场需求,同时,随着无线接入技术3G的成熟应用,对接入路由器具备3G功能也提出了新的需求。
在实际应用中,mp1800主要有以下特性:
1.融合安全特性
产品为中小企业提供“一站式”数据、安全融合的解决方案,将安全功能轻松内嵌于整个网络之中。系统提供了包括防火墙、HttpS、pKi、aaa、SSH、攻击防护、内容过滤、应用识别和流量分析控制、上网行为管理、安全接入控制等多种功能模块,能够支持ipSecVpn、mpLSVpn、L2tp、GRe等多种隧道技术。
2.融合交换特性
系统支持丰富的交换模块功能,包括VLan、mStp、802.1X、iGmpSnoopinG、端口镜像、端口隔离、风暴抑制等,满足了中小企业对于数据交换“一站式”组网的需求。同时,系统交换口可根据需要灵活切换为广域以太口,广域以太口也能支持丰富的电信级以太网特性。
3.融合窄带特性
系统支持以太电缆、光纤两种方式的双线接入,支持扩展xDSL、xpon等宽带接入。产品通过模块扩展,也保持了V24/V35、e1/Ce1、iSDn等窄带接入能力,满足用户对于窄带备份链路的应用需求,适应运营商接入线路的过渡,也能给用户提供经济型的接入搭配选择。
4.融合语音特性
产品支持语音接口和Voip功能,提供H.323、Sip客户端功能。nat支持Sip、H.323aLG功能,并能进一步扩展为ippBX,满足运营商在宽带接入的同时开展固定话音业务,拓展运营商全业务空间。
5.融合多业务特性
系统路由、交换、无线模块具有全方位的QoS以及HQF特性,确保多业务的可靠控制。系统支持运营商iptV和视频监控业务的开展,将为运营商拓展中小企业iCt市场提供无尽的想象空间。
6.丰富多样的管理维护功能
系统支持命令行、Snmp模式、tR069、web四种管理模式,各个模式都能够对设备进行本地维护、远程维护、集中维护等多种维护手段并提供分级管理机制。系统能够根据运营商需要,提供基于Snmp或者tR069的网管平台对接支持,web管理支持HttpS加密模式,并能提供不同用户的分级管理权限控制。系统具有完备的告警、测试、诊断、跟踪、日志等功能,能够实现可定位、可追溯的内网行为审计,强化了对内部网络的行为监管。
广泛的应用模式
经过多年对企业数据通信市场的探索,迈普mp1800平台已经融入了许多人性化的特性,如统一的可视化管理、网络资源访问控制以及网络应用管理等,在市场上已得到了许多用户的认可。马林认为,mp18003G路由器平台的推出将极大地满足银行、运营商、中小企业分支接入及用户移动办公上行等宽带接入需求,配合自带的安全、语音、QoS及专业Vpn等多业务特性,mp1800无疑是国内目前极专业的企业级3G接入网关产品之一。
1.中小企业独立组网
当mp1800系列路由器作为一个独立的小企业综合接入设备时,系统可采用3G通信接口作为广域网链路的主通信接口,或作为有线链路的备份接口方便组网应用,适合于有线通信链路资源不足的中小企业用户。此时,用户可通过mp1800路由器实现企业内部联网,既可以采用以太网有线连接方式,也可以采用wLan无线连接方式。网络上行接入方面,系统可以采用独立的3G无线通信方式,也可以采用3G无线接口作为有线连接的备份及负载分担方式进行通信。
2.总部/分支型企业组网应用
对于总部/分支型企业的综合办公业务组网的应用,3G接入模块可以部署在企业的分支路由器上,3G通信接口作为主链路或作为有线链路的备份接口。此时,基于mp1800路由器的3G解决方案能够提供丰富的业务和功能,将可以满足用户更加多样化的应用需求。比如说,企业可以利用系统实现总部和分支之间的互连,而分支节点的设备可以采用3G无线或与有线通信结合的方式。此时,企业总部的网络运维中心同样可采用网管系统实现路由器设备及接口卡的集中管理。
供应链网络安全管理篇3
关键词:微机监测;铁路信号;设备安全
abstract:withtherapiddevelopmentofrailwaytransportation,allpartsofthecountryanewhigh-speedrailrailway.Speedisimproved,thesafetyproblemcannotbeignored.toensurethesafetyoftrainoperationprocess,signalinformationrequirestherailwaythroughoutthecorrect.Consolethroughsignalequipmentwillbeoperatinginstructionstotrain,soastoensuretheoveralloperationoftherailway.inthispaper,networksecurityprotectionofrailwaysignalcomputerdetectionsystemtoconductacomprehensiveanalysis.
Keywords:railwaysignalmicrocomputermonitoring;equipmentsafety;
中图分类号:F530.3文献标识码:a文章编号:
1微机监测系统网络安全防护现状
目前的微机监测系统一般都是三层次的网络结构,既由车站、领工区(车间)、电务段三级构成的计算机网络,电务段和领工区的管理人员可以通过微机监测网直接看到所辖各站信号设备和战场运作状况。目前网络遭受病毒侵袭的主要途径有:生产已经网络化,网络上任何一点感染病毒后,如不及时处理,容易全网蔓延;随着移动存储设备越来越广泛的使用,病毒通过移动设备感染的机率大大增加。一机多用,如某台终端机既用于调看生产监控,又兼作办公机;其他遭受恶意攻击等非正常感染病毒。
现阶段微机监测系统采取的网络安全防护措施包括以下几个方面。
1)要求把站机、终端机上的i/0接口,如光驱、欤驱、USB插口等用标签加封,并在主板BioS里修改相应项屏蔽设备端口,杜绝在站机、终端机上进行与业务无关的作业。
2)微机检测安全服务器,站机、终端机,安装有mCaFee网络版防毒软件或瑞星单机版杀毒软件,但没有建立专用的防病毒服务器,病毒库的更新不及时,单机版的软件只有维护人员到站上才能更新。
3)清理非法接入局域网的计算机,查清有无一机多用甚至多网的可能,并对非法接人的计算机进行屏蔽。
2现有系统存在的安全问题及改进的主要参考原则
设计新的网络安全防护系统,应确保运行数据的完整性、可用性、可控性、可审查性。安全系统的改进可参考以下几个原则。
1)体系化设计原则。通过分析网络系统的层次关系.提出科学的安全体系和安全构架,从中分析出存在的各种安全风险,充分利用现有投资,并合理运用当今主流的安全防护技术和手段,最大限度地解决网络中可能存在的安全问题。
2)全局性、均衡性、综合性设计原则。从网络整体建设角度出发,提供一个具有相当高度,可扩展性强的安全防护解决方案,应均衡考虑各种安全措施的效果,提供具有最优性价比的网络安全防护解决方案。
3)可行性、可靠性、可审查性原则。可行性是设计网络安全防护方案的根本,它将直接影响到网络通信平台的畅通,可靠性是安全系统和网络通信平台正常运行的保证,可审查性是对出现的安全问题提供依据与手段。
4)分步实施原则。分级管理,分步实施。
3系统改进可采取的的主要措施
维护管理方面我们可以做好以下几点改进。
1)微机监测增设防病毒服务器,定期升级服务器病毒库,将病毒入侵机率降至最低。安装防火墙,对连接网络中的计算机进行统一管理,确保网络安全。
2)科学处理补丁和病毒之间的矛盾。安装补丁时,应经过慎重的论证测试,可行在开发系统上进行测试,确保安全的前提下,再进行补丁安装,因为有些补丁可能与现行的操作系统发生冲突,进而影响整个系统的稳定性。
3)在生产网上组建Vpn,创建一个安全的私有链接。
同时,为保证系统的安全管理,避免人为的安全威胁,应根据运行工作的重要程度划分系统的安全等级,根据确定的安全等级确定该系统的管理范围和安全措施。对机房实行安全分区控制,根据工作人员权限限定其工作区域。机房的出入管理可以采取先进的证件识别或安装自动识别登记系统,采用磁卡,身份证等手段对工作人员进行识别、登记、管理。根据职责分离和多人负责的原则,确定工作系统人员的操作范围和管理,制定严格的操作规程。针对工作调动或离职人员要及时调整相应授权。
4可采用的网络安全新技术
建立完善的微机监测系统网络安全防护系统,需要现有网络安全防护系统的基础上,充分考虑防火墙、入侵检测/防护、漏洞扫描、防病毒系统等安全机制。由于网络技术的不断飞速发展,传统的防护技术已经不能适应复杂多变的新型网络环境,必须采用安全有效的网络安全新技术才能防患于未然,提高整个微机监测网络的安全性。可采用的新型网络安全技术包括以下几种。
1)链路负载均衡技术。链路负载均衡技术是建立在多链路网络结构上的一种网络流量管理技术。它针对不同链路的网络流量,通信质量以及访问路径的长短等诸多因素,对访问产生的径路流量所使用的链路进行调度和选择。可最大限度的扩展和利用链路的带宽,当某一链路发生故障中断时,可以自动将其访问流量分配给其它尚在工作的链路,避免ipS链路上的单点故障。
2)ipS入侵防御系统。网络入侵防御系统作为一种在线部署的产品,提供主动的,实时的防护,其设计目的旨在准确检测网络异常流量,自动应对各类攻击性的流量,不将攻击流量放进内部网络。
3)上网行为管理系统。上网行为管理系统能够提供全面的互联网控制管理,并能实现基于用户和各种网络协议的带宽控制管理。实时监控整个网络使用情况。
4)网络带宽管理系统。对整个网络状况进行细致管理,提高网络使用效率,实现对关键人员使用网络的保障,对关键应用性能的保护,对非关键应用性能的控制。可根据业务需求和应用自身需求进行带宽分配。
5)防毒墙。传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统,随着网络病毒的日益严重和各种网络威胁的侵害,需要将病毒在通过服务器后企业内部网关之前予以过滤,防毒墙就满足了这一需求。防毒墙是集成了强大的网络杀毒机制,网络层状态包过滤,敏感信息的加密传输,和详尽灵活的日志审计等多种安全技术于一身的硬件平台。在毁灭性病毒和蠕虫病毒进入网络前进行全面扫描,适用于各种复杂的网络拓扑环境。
5结束语
通过本文的分析,可以看出,我国铁路信号微机监测系统的应用得到了初步的效果,但是随着我国铁路系统的继续发展,网络安全是我们不得不考虑的问题,而且随着网络安全问题的越来越多,对我国铁路信号微机监测系统的安全性要求就越高,因此,在未来的发展过程中,我们需要进一步提升铁路信号微机监测系统的安全等级,只有这样才能促进我国铁路信号系统的安全,提升我国铁路信号系统的继续发展。
参考文献
[1]刘琦.铁路信号安全维护及监控系统设计思路及应用[J].安防科技,2011,03.
供应链网络安全管理篇4
数据中心基础网络设计
网络是连接数据中心所有资源的唯一通用实体,构建坚实的网络基础设施将为数据中心业务运行、管理与运维提供保障。浙江省人力社保数据中心采用同城双数据中心架构,之间配置4台CwDm设备,用裸光纤通过CwDm链路复用技术实现ip网络和San网络的互联互通。每一对裸光纤复用出4路1GB链路用于ip网络连接,4路2GB链路用于San网络连接,并将两对裸光纤复用的光纤通道进行捆绑,以提高互联链路可靠性。数据中心按照分区、分层、分级、高可用的建设原则,用于提升系统平台和业务数据集中运营的抗风险能力。
分区建设:良好的逻辑分区设计与安全域划分是数据中心网络的必备基础,根据业务系统的相关性、数据流的访问要求和系统安全控制的要求等,把数据中心基础网络分成内网区、外联区和互联网区,每个区有自己的核心交换、服务器、安全边界设备等,之间做好严格地逐级访问控制。
分层建设:建立核心、汇聚、接人三层网络,形成完整的网络架构体系,为以后数据中心资源“池化”打好坚实的网络基础;两个数据中心各部署两台高性能的H3C12508交换机构建网络核心层,实现各功能区域间的高速数据交换能力和突发流量适应能力;每一中心采用4台H3C7506e交换机作为汇聚层,采用虚拟化技术以及跨设备的链路聚合技术,在保障冗余性的同时合理规避环路可能带来的影响,提供大密度Ge/10Ge端口实现与接入层互联,并部署各类安全、应用优化业务,如在交换机上集成防火墙、负载均衡板卡等;接入层采用H3C5800系列,支持高密度千兆接入、万兆接入,支持堆叠,有较好扩展和上行双链路冗余能力。
分级建设:在网络上实现三级的服务器应用访问架构,web层、应用层和数据层之间通过交换网络的互连,层层的安全保护,形成结构清晰的易于部署的服务器接入架构。
高可用性建设:双中心通过良好的整体规划设计,实现汇聚层、接入层和服务器接入的高可用性。具体来说汇聚交换设备之间采用VRRp,而安全、应用优化设备之间的VRRp,则旁挂到汇聚交换机上,尽量消除性能瓶颈。接入到汇聚层采用三角型接法,VLan跨汇聚层交换机,链路冗余,故障收敛时间短,并采用iRF技术,实现分布式设备管理、分布式路由和跨设备链路聚合。服务器用两块甚至多网卡捆绑,采用多链路上行接入。另外,在设备及链路层面建设时考虑了以下因素:硬件设备冗余;物理链路冗余;二层路径冗余;三层路径冗余;快速故障检测技术;不间断转发技术。
数据中心网络安全体系设计
浙江省人力社保数据中心承载着浙江省人力社保核心业务系统和数据,同时与地税、公安、银行、医院等部门有业务交互和数据交换,因此数据中心的网络安全必须与业务系统实现融合,并且能够平滑的部署在网络中。浙江省人力社保数据中心的网络安全建设中的主要思想之一就是层次化的分级安全,把安全分成多个等级,划分不同的安全域,这与数据中心对安全的内在要求是相辅相成的。
数据中心在内网、外网、外联网等网络边界部署防火墙,用于对服务器访问的端口安全控制;在各个网络区域的访问接入处分别部署入侵防御系统,用来防御来自应用层的攻击,实现对网络应用、网络基础设施和网络性能的全面保护;通过网闸确保内网与外网网络隔离,同时实现数据的安全交换;在内、外网分别部署网络防病毒系统,保护全网的服务器和用户终端;制定一系列的安全管理策略,包括访问控制策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略、补丁管理策略等等。
具体来说,就是按照业务类型分为不同的逻辑区域,每个分区制定不同的安全策略和信任模型。从实际部署来看,又分为:边界访问控制、深度智能防御和智能安全管理。
边界控制是最基本的要求,用于控制各类用户对数据中心的访问。为此,在汇聚交换机上部署H3CSecBladeii万兆防火墙实现多业务集成,数据交互通过背板直接进行,具有高性能和高可靠的双重优势,避免交换机在线部署的性能瓶颈和单点故障;与防火墙旁挂部署方式相比,又具有配置策略简单、不改变数据转发路径、流量转发过程清晰、部署维护简单等渚多优点。
深度智能防御中,针对数据中心的各类DDoS攻击、木马、黑客入侵层出不穷,ipS部署在网络的关键路径上,通过对流经该关键路径上的网络数据流进行2到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、p2p、im、网游等网络攻击或网络滥用,从而可为客户网络提供三大保护功能:保护网络应用、保护网络基础设施、保护网络性能。
在智能安全管理领域,部署H3CSecCenter管理主流厂家的安全与网络产品、流量与攻击的实时监控、海量事件关联和威胁分析、安全审计分析与追踪溯源。数据中心除了大量的网络设备在运行外,更多是各类服务器、操作系统之间的业务交互,海量的告警、监控、Snmp、wmi等消息不断的在网络中传播,必须要对这些安全事件、网络事件、系统事件、应用事件进行统一的收集和管理,并通过智能化的分析把原始数据转换、筛选为智能安全的有效信息。
数据中心网络智能及虚拟化
供应链网络安全管理篇5
在今天网络设备的定义中,负载均衡设备并不属于基础网络设备的范畴,而是一种网络性能优化设备。对于网络应用而言,也并不是一开始就需要负载均衡,只有当网络应用的访问量不断增长,单个处理单元无法满足负载需求,网络应用流量将要出现瓶颈时,负载均衡才会起到作用。
梭子鱼中国区总经理何支涛告诉记者:“负载均衡一般包括了两方面的含义。首先,将单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,返回给用户,系统处理能力得到大幅度提高,这就是我们常说的集群(clustering)技术。而第二层含义指的是,大量的并发访问或数据流量需要合理分担到多台节点设备上分别处理,减少用户等待响应的时间,这主要针对web服务器、Ftp服务器、企业关键应用服务器等网络应用。”
通常,负载均衡会根据网络的不同层次(网络七层)来划分。其中,第二层的负载均衡指将多条物理链路当作一条单一的聚合逻辑链路使用,这就是链路聚合(trunking)技术,它不是一种独立的设备,而是交换机等网络设备的常用技术。现代负载均衡技术通常操作于网络的第四层或第七层,这是针对网络应用的负载均衡技术,它完全脱离于交换机、服务器而成为独立的技术设备。
近几年,四到七层网络负载均衡设备首先在电信、移动、银行、大型网站等单位进行了应用,因为这些行业中网络带宽瓶颈的问题表现得最突出。随着互联网应用及电子商务的发展,越来越多的中小企业网络也开始需要负载均衡设备,来解决网络用户对其网络访问所造成的流量过大等问题。
在中小企业中,通常情况下一台服务器只能支持2000~3000个用户同时访问,如果访问数量超过这个数字,将可能出现用户无法正常访问企业网络的情况,甚至可能使服务器宕机而导致服务终端无法正常使用的情况出现。
同时,由于中小企业互联网应用在今天的业务经营中发挥了越来越关键的作用,因此很多中小企业用户也需要对关键业务系统做备份处理,以应付灾难状态。例如,某外贸业务公司开设网上订单处理系统,以简化业务流程,节约办事人力。该业务对企业的经营非常关键,不能出现服务中断的现象,因而需要多台服务器备机。如何对这些服务器进行合理有效的调度也同样需要通过负载均衡设备来完成。
此外,中小企业对多链路优化的需求也在不断增加,因为网络的整合应用在发展。从技术角度看:链路数量多于2条、小于10条、总带宽不超过25m的客户,就会存在网络流量智能管理的需求;同时,对外网访问延时敏感的用户,也存在提升访问速度需求;此外,关键业务需要在多个运营商网络上、需要提升互联网用户访问关键业务速度的客户,也要通过链路优化技术来提供链路的定向选择。
究竟什么样的负载均衡设备可以帮助中小企业用户实现安全、高效的网络管理和应用,以较低的成本推动用户业务持续发展呢?本期中国计算机报将推出针对中小企业用户的负载均衡设备选型专题,帮助用户更好地了解业界优秀的解决方案和产品。
方案选型之市场:让独立的设备联动起来
尽管随着网络应用的进一步渗透普及,很多中小企业用户对负载均衡设备的需求不断增长,但这些用户对价格相对敏感,需要更多高性价比的产品,这就造成了这部分用户还在寻找一个真正适合他们的负载均衡产品,这也使得市场格局进一步多样化和复杂化,也给许多厂商带来了新的市场机遇。
中小企业it人员的数量有限,每个人都身兼多职,很难对某项信息技术和产品有深入的研究。因此,中小企业用户普遍倾向于使用“交换机”化的产品,也就是只需要配置ip地址等简单的几个操作就能正常使用的产品,他们同样希望安装简单、管理维护简单的负载均衡产品。
此外,中小企业用户在需要负载均衡设备时,也希望加强网站安全,避免网站遭受攻击。但中小企业一般不会增加专门的防止攻击的安全设备,而是希望负载均衡设备本身能提供相应的安全功能,以便节省投资。
从市场角度来看,由于目前国内服务器、路由交换设备市场同样高速发展,服务器每年的市场销售台数达到近100万台,超过20万家企业有超过10台以上的服务器对内对外提供各类应用服务,而所有这些企业随着网络应用的发展,都会对负载均衡有着越来越强烈的需求。这就意味着,负载均衡不再是一个阳春白雪的市场,而是应该考虑到性价比和普及性的,越来越“大众化”的市场。未来的负载均衡市场将以高性价比、大众化的负载均衡产品为主导,这不仅需要厂商有能力降低负载均衡产品的应用成本,同时在安全性、扩展性、可管理性、高可用性上也需要满足这些企业用户的需求。
据记者了解,对负载均衡产品的最初设计思路是将多台服务器组成一个群组,并通过技术手段将所有请求平均分配给所有服务器,那么这个系统就完全拥有每秒钟处理几百万个甚至更多请求的能力,从而避免由于客户的骤增导致通信量超负荷而引起的宕机。这就是负载均衡最初的设计思想。
我们可以简单地给针对中小企业用户的负载均衡产品下个定义,就是内网系统的控制服务器,采用分配算法把网络请求分散到一个服务器集群中的可用服务器上去,由此服务器根据各个实际处理服务器状态将请求具体分配到某个实际处理服务器中,通过管理进入的web数据流量和增加有效的网络带宽,从而使网络访问者获得接近最佳的联网体验的硬件设备。
随着企业信息化的不断进步,不仅大型企业,甚至越来越多的中小企业对负载均衡提出了迫切需求,用户希望能通过某一负载均衡设备实现企业服务器群组中所有的服务器、路由交换设备以及应用之间的通信负载平衡,并根据实时响应时间进行判断从而将任务交由负载最轻的服务器来处理,以实现真正的智能通信管理和最佳的服务器群性能。
新一代中小企业负载均衡产品在体现更高性能、更快速度的同时,还需要具备更高的智能化,例如一些智能化的负载均衡技术能够侦测到像数据库错误、服务器不可用等信息,从而采取措施使会话恢复和重定向服务器能够保障电子商务得以顺利进行。多址负载均衡器可以对客户发来的访问请求进行解析,计算出最佳地址,然后将该地址返回客户,使客户自动连接到对其请求来说最佳的数据中心。与此同时,多种应用优化技术的集成式平台将越来越完善,客户针对不同应用的细化,如反垃圾邮件等,将会产生更具体的需求。
方案选型之需求:简单实用是中小企业的首选
通过记者的实际调查,我们发现对于目前的中小型网络用户来说,在实施负载均衡策略时,往往被以下问题所困惑:
1.应用层链路负载均衡的问题难以解决。
由于广域网带宽不够,已经在原本的广域网连接由单条电信5mbps的ip专线的基础上再增加了一条网通的10mbps的ip专线,并且在路由器上设置了2条链路的负载共享(LoadShare)。但是网速还是没有提高,并且一条链路已经满负荷出现拥塞的情况下,另一条链路只跑了25%的带宽,租金浪费严重。
2.基于pC架构操作系统的软件解决方案本身成为瓶颈。
由于资金不足不能购买真正应用层链路负载均衡的硬件设备,而只能购买基于pC架构Linux或windows的软件解决方案,虽然能够提供负载均衡的功能,但是在流量刚刚达到总带宽50%的时候,这个系统本身却由于体系机构的限制,成了链路的瓶颈,影响了整个链路的畅通。
3.各种应用争抢带宽,导致重要的应用时断时续,反应极慢。
视频、语音等多媒体应用要求保证的带宽和时延;交易应用要求极短的反应时间;Ftp、Bt、电驴、网页浏览等传输应用却占据了90%以上的带宽和路由器的处理能力。结果,除了那些具有强悍带宽抢占能力的应用,其他应用一概断流!有时甚至连e-mail都发不出去,也收不下来。网络用户投诉不断。
4.网络蠕虫、后门、木马在广域网带宽大大增加后,给内部网络带来极大的威胁。
内部用户在浏览网页或用mSn与客户交换信息时存在着大量的内网安全隐患。虽然配置了防火墙,但是由于防火墙是基于网络tCp/ip层的过滤,对于应用层的攻击没有任何的阻挡功能,在这些应用层攻击下形同虚设。it人员隔三差五要对所有pC和服务器杀毒,工作量极其巨大!
由于以上原因,中小企业用户对负载均衡设备的需求与大型企业用户有所区别,因此,针对中小企业用户的负载均衡设备不仅要可以帮助中小企业用户实现安全、高效的网络管理和应用,更需要以较低的成本推动用户业务持续发展。
我们发现,目前针对中小企业的负载均衡产品设计主要体现以下方面:
1.功能全面但避免过于高精尖。我们对中小企业负载均衡的需求进行了调查,发现对于负载均衡的需求集中在几个方面:一是流量分配的方式,二是健康检查功能,三是ip保持功能,四是SSL加解密功能,五是ipS防护,六是双机部署高可用性的保障。至于应用交付方面的需求,如缓存,ip复用等功能,地址翻译,以及负载均衡的可编程性这些较为复杂的需求通常都不需要。因此设计负载均衡产品应能覆盖上述需求,满足中小企业的需求。
2.保证产品的易用性。产品需要经过严格设计,要简单易懂,容易安装,便于管理。对于具有一定it专业知识的用户,应当能自行安装设备,自行管理设备。对设备的管理者来说,不需要很专业的it或网络知识背景,不需要进行专门的培训,也不需要企业引进专门的技术人员进行管理维护。
3.合理的价格。产品的定价不应该成为使用负载均衡设备的门槛。产品应当设计简单,用户也不需要支付昂贵的服务或培训费用。这样只要有负载均衡需求的用户,都能轻松地选择一款适合本企业的负载均衡产品,享受负载均衡设备带来的便利。
目前的主流负载均衡产品大多着眼于更多的功能、更高的性能,这使得负载均衡产品日趋复杂,产品的价格、服务的开销也居高不下。一般中小型企业想真正实现负载均衡的应用则受到严重的制约。
不过目前,Radware、博威特等公司已经看到了这一点,并根据市场需求,各自推出了性价比更高的中小企业级负载均衡产品。从目前的使用情况来看,这些产品在一定程度上满足了绝大多数中小企业对负载均衡功能上的需求。
方案选型之策略:负载均衡设备选购指南
朱杰
网络系统的负载均衡和高效利用成为目前中小企业it运维部门当前急需解决的重要问题之一。不过如何选购适合自己的产品,对大多数中小企业的网络管理者来说还是比较陌生的事情。对此,我们通过咨询业内专家,给出了中小企业负载均衡设备选购的几点建议。
解决实际问题为先
在接受记者采访时,Radware产品经理李东强告诉记者:“考虑到我国的网络状况和安全性,一般企业网络都会有两个外部网络出口,例如一个电信线路和一个网通线路。同时,在企业中,也会包含web服务器、邮件服务器、应用服务器、数据库服务器以及虚拟主机服务器等多台服务器设备。”
李东强认为,目前用户需要解决的网络问题主要包括以下方面:
当一条链路出现故障时,如何快速切换,保证内网办公用户访问互联网资源、互联网用户访问企业内部的服务器资源都不受影响?
如何实现把内网用户以及互联网用户导向到服务器质量(QoS)最好的一条链路上,同时考虑网络的Latency、Load、Hops三大指标来综合进行链路的智能优选?
如何实现互联网上的一些合作方的服务器在限制必须使用现有的电信ip的情况下,访问这些特定服务器时,必须仍然使用电信链路出去?
如何实现服务器群的流量动态负载均衡,并保证系统具备完善的可扩展性?
如欲有效解决上述问题,企业在选购负载均衡解决方案或设备时需要具备如下功能:
静态和动态的就近性判断,保证内网的用户以及互联网用户永远都会选择最优最佳服务器质量的链路。
高级和智能的链路健康检测策略,针对每条链路各选择互联网十个左右的站点作为参照物进行健康检测,最终决定链路的可用性。
对两条链路实行动态负载均衡,在链路出现故障时实现智能快速的链路切换,保证用户的高可靠性接入。
在上述智能链路优选的基础之上,必须能够定制特定的策略路由,能够基于源地址、目的地址以及应用来命定链路,解决互联网上的一些合作单位的服务器在限制必须使用现有的电信ip的情况下,在增加网通链路之后,在访问这些特定服务器时,必须仍然使用电信链路出去的问题。
链路负载均衡交换机系统还应具有安全防范能力,升级后可支持对p2p软件数据包的拦截或者带宽限制,例如mSn、BittoRRent、SKYpe、eDonKeY、KaZaa、emULe等软件,以节省链路出口带宽。同时支持应用安全的功能,可以实时过滤不少于1500种目前最流行的病毒、蠕虫、木马、后门等入侵攻击。
技术标准应当关注
根据企业需求,李东强认为,一款可以满足中小企业正常负载均衡应用的设备须遵从以下标准:
出向流量路径和入向流量路径的优选:部署一台设备于internet出口处,实现对两条internet接入链路的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问数据中心内部服务器)的负载均衡。
就近性的算法必须支持动态的和静态的两种:动态就近性判断结果,根据延时、跳数以及链路负载,根据优化的算法,动态、智能地选择最佳链路;也可配置静态的入向和出向的就近性表,使用静态就近性来保证进出的双向流量的智能、动态的就近性选择,即访问不同运营商的服务器,选择相应运营商的internet链路,大大提高用户访问的服务质量和访问效率。
链路健康状态的检测:需要有链路健康检测的机制来保证用户选择的链路一定是一条健康的链路。应不光可以做网络层面的健康检查,也应可以做高级的健康检查。在做健康检查的时候,使用Http、DnS、Ftp等多种方式来进行健康检查。例如,为了确保健康检查的准确性,最多可以选择国内外10台不同业务的服务器作为参照物,作为健康检查点。链路负载均衡设备应每隔一定时间(缺省10秒钟),分别通过两条链路对十个站点进行对应的模拟业务访问。如果一个站点连续三次访问不可达,则认为这个站点是不能服务的站点。如果从一条链路出发的十个健康检测站点都不可访问,则这条链路将被认为不能提供服务。但是,只要有一个站点可以通过该iSp线路访问到,就认为该iSp线路可以提供互联网接入服务。
智能地址翻译:对于流出流量的智能地址管理,链路负载均衡设备应可以支持多种nat地址翻译的功能。当选定一个路由器(某一个iSp)传送流出流量时,将选择该iSp提供的地址。同样,如选择iSp2作为流出流量的路径,则它将把内部的主机地址翻译为iSp2,并作为流出数据包的源地址。
双机冗余性:由于处在出口关键位置,2台链路负载均衡设备必须支持VRRp协议,使用VRRp实现自身的冗余;2台设备工作在主备模式,做到高可靠性。保证系统中不会出现单点故障,当主设备出现故障时,可以在100ms之内切换到备设备上,保证网络的通畅。
考虑因素应当全面
用户在选购负载均衡产品时首先需要明确自己的网络架构和应用需求。是什么应用需要负载均衡设备?是web应用还是其他什么应用?除了流量分配和健康检查功能外还需要其他什么功能?这个应用是否需要ip保持功能?后台是否有数据库,是否需要对数据库进行均衡?以上信息能帮助用户确定什么产品能满足用户的需求,从而决定未来实施的时候应采用什么架构方式。
梭子鱼中国区总经理何支涛认为,负载均衡产品基本上可以分成软件和硬件两大类。基于软件的负载均衡产品唯一的问题就是它的速度比基于硬件的负载均衡产品要慢。用户之所以需要一个负载均衡产品,主要是因为网络以线速运行而服务器的速度却取决于应用的速度或应用传递内容的速度。采用基于软件的负载均衡产品,如果网络发生了变化,或者用户需要一些特殊的功能,软件能够非常快地进行升级并满足用户的需要。
基于硬件的负载均衡通常是由路由完成的。这些设备使用aSiC架构,以线速运行。这类负载均衡产品通常运行较快,不存在速率的问题,但是由于所有的功能都是由硬件完成的,如果用户的网络商业流程发生了改变,就只能等着设备供应商来满足用户的需求了,甚至可能会需要购买新的硬件。
其次,用户应该考虑流量问题。比如当前的流量有多大,当前的服务器数量有多少,以后将要发展到多少服务器,可能会达到多大的流量,高峰的流量有多少……这些问题可以帮助用户确定产品型号,甚至服务器群的规模,以免错选了型号,造成投资的浪费。
第三,用户应考虑价格问题。目前市场上有多款负载均衡产品,价格上有较大的差异。很多产品的价格计算比较复杂,某些功能需要支付模块费用。用户需要清楚除了购买产品的费用外,是否还需要模块费用。有的产品还需要培训费和服务费用,这些情况用户都应该问清楚,以避免出现用不起的尴尬。
第四,用户应该考虑服务。网络产品、安全产品很大程度上是个服务性的产品。供应商应当为购买产品的用户提供服务。用户应当明确供应商能提供哪些服务,哪些服务是免费的,哪些服务是收费的,那些服务是厂商提供的。用户还需要考虑,该产品需要的服务量的大小,以便买得放心,用得安心。
链接
三代不同的负载均衡方法
在市场上有几代不同的负载均衡的方案,它们的功能从简单逐渐变得更加复杂、强大。
第一代负载均衡产品只是简单的round-robinDnS机器,它能够把Http进程在几个ip主机里进行分配。这类系统使用简单的pinG命令来保证进程请求不会被送到一个状态不佳的服务器那里,并为多服务器引入了一个变量来表示容错率。
第二代负载均衡产品不仅仅检查服务器是否还在运行,它还要检查服务器的性能状态。也就是说,如果一台服务器负载过重,发进来的请求就会被转发到其他机器上以保证负载在所有能够获得的资源里均衡分配了。
第三代负载均衡产品覆盖了整个内容分发系统。随着web和网络服务变得越来越成熟,仅仅监视web服务器的某一层是远远不够的。如果一个web主机非常健康,但是它的后台服务器或/和应用有问题的话,把请求发给这台主机也是毫无意义的。新的服务,比如在线销售,都已经开始使用多层服务器来管理内容、数据库和事务处理引擎。由于电子商务目前已经关系到客户的钱,这就要求我们必须保证能够为客户提供尽可能好的性能和可靠性。因此,负载均衡厂商开发了第三代负载均衡产品以保证整个内容分发系统的健康、良好运行。
方案选型之产品:负载均衡设备产品选型
兆维Cw-mLB200多链路负载均衡器
系统特色
・支持智能负载平衡,实时备援
・具备防火墙功能,提高网络安全
兆维Cw-mLB200是一款入门级多链路负载均衡产品,能够有效护卫企业网络接入,有效解决企业因单链路网络
入出现问题而导致网络办公瘫痪的问题,并能最优化网络资源分配,大大提高企业网络的应用效率。
兆维Cw-mLB200产品是独特的具有高可用性的智能化负载均衡设备,放置在服务器阵列前端,自动把外来
internet/intranet服务请求分派到最可用的服务器上;同时它不间断地对每一台本地服务器进行监控,以确
它们都处于正常的工作状态。以兆维Cw-mLB为中心进行流量分配的集群系统是改善网站服务质量最有效的网络构架之一,可解决由于用户的访问量巨大而导致的服务器性能有限问题和网络拥塞问题,由于硬件或操作系统的故障而引起的服务器失败问题、软件和内容失败问题等。它可以被有效地应用于web、mail、Cache、Ftp、webHosting、DataCenter、mediaCluster等系统,是企业用户优化网络系统的理想选择之一。
兆维Cw-mLB200多链路负载均衡器支持多种智能负载均衡模式。用户可以选择适当的平衡方式,避免由于在同一条线路上的网络会话太多而导致的拥塞,从而实现网络利用的最大化。
信安世纪nSae负载均衡网关
系统特色
・灵活的快速缓存机制
・多达18种负载均衡策略,供用户选择
nSae产品系列提供一个将诸多复杂web设备化零为整的解决方案,可以完全解决客户应用服务系统存在的问题。它是一个真正的将众多重要的网络功能合为一体的集成化应用系统,这些网络功能包括服务器负载均衡(SLB),全局服务器负载均衡(GSLB),SSL加速,webwall安全,链路负载平衡(LLB),Http压缩、高速缓存等。
nSae还具有广域网负载均衡、集群、应用安全防火墙等多种功能可以自由选择,充分考虑了用户的实际需求,可以极大地改善企业应用的可靠性、性能和安全性,同时降低了整体成本和数据中心的复杂度,提高了应用的处理能力,为用户提供了全新的易用、高效、稳定的保障信息安全的屏障。
nSae采用aFe(应用前端加速)的设计理念,不仅在单台设备上实现了链路、广域网、服务器负载均衡的功能集成,更提供了Http压缩、高速Cache、连接复用等技术加速了用户的前端应用。
aboCommH1000多路负载均衡器
系统特色
・自行设定负载平衡规则
・安全功能配置全面
aboCommH1000多路负载均衡器,可立即提供企业建置联机负载平衡与实时热备方案,提升企业多路Vpn联机的质量保障。
aboCommH1000提供2个wanports可作多种负载平衡算法,企业可依需求自行设定负载平衡规则,而网络存取可参照所设定的规则,执行网络流量负载均衡导引策略。
同时,还可以提供联合防御机制,降低企业内部安全危害事件的发生,为企业提供更完善的网络安全措施。aboCommH1000全多路负载均衡器的联合防御机制,可以透过miS设定,主动察觉企业内部每位使用者的使用流量,当发现有异常封包传送或大量数据包产生时,可以在第一时间内主动发出提示给该用户及网管人员,并立即通知事先指定的交换器,联机阻断出现问题的网络使用者,以最快速的时间确保网络安全。
在处理性能、带宽允许的情况下,aboCommH1000除了可做负载均衡、链路的优化和管理,还可启动安全管理功能,确保第一线的应用安全,因此对用户的防火墙也起到一定的保护作用。对小企业用户来说,这是一款功能全面的负载均衡产品。
RadwareLinkproofBranch
系统特色
・保证链路的高利用率
・强大的系统拓展能力
针对中小企业网络的应用需求,Radware专门为中小型网络研发推出了LinkproofBranch产品,该产品定位于中小型企业组织、大型企业的远程机构和分支机构,可按照用户的要求提供企业与客户间、分支机构与总部间的无中断网络连接,确保多条链路的高效利用和网络应用的优化,并且可自动实现链路间的故障转移。
在功能方面,LinkproofBranch产品可以帮助中小企业用户在一台设备上同时实现inbound负载均衡和outbound负载均衡功能,实现双向的多链路之间故障冗余和智能快速切换功能。此外,在LinkproofBranch中还集成了多种安全功能,比如:ipS、防DoS/DDoS功能及防SYnFLooD功能。
对于流出流量的智能地址管理,LinkproofBranch多链路应用交换机使用了被称为Smartnat的算法。当选定一个路由器(iSp)传送流出流量时,LinkproofBranch多链路应用交换机将选择该iSp提供的地址。为了优化流量,LinkproofBranch对网络中的流量采用了就近运算的处理方式。如内部主机要访问某internet站点,可能通过一个iSp的路径比通过其他iSp的路径有效。因此,LinkproofBranch可以提供就近性算法,为流出到某一个站点的流量选择最佳的iSp路径。
从投资保护的角度看,LinkproofBranch并不会耗费用户太多投资。而中小企业用户通过部署LinkproofBranch解决方案却可以在很大程度上缩短互联网访问响应时间,提升客户满意度。同时,通过多链路的智能流量管理功能,用户也可以优化带宽利用,并降低链路不断扩容的成本。
BarracudaLoadBalancer
系统特色
・支持所有基于ip的应用程序负载均衡
・易于安装和维护
BarracudaLoadBalancer提供强大、易于使用、成本效益高的企业级服务器负载均衡设备,是当前负载均衡设备中比较适合中小企业用户使用的服务器负载均衡产品。
用户可以使用梭子鱼(Barracuda)构建负载均衡服务器集群,所有外部的请求将先连接在梭子鱼上,梭子鱼通过特定算法将服务请求分发到多台服务器上。在这种架构下,对外部而言,梭子鱼如同一台高性能的服务器;如果用户需要进一步扩大系统规模,只需要在梭子鱼下增加服务器即可,扩展十分方便。
供应链网络安全管理篇6
关键词:农产品;供应链;追溯;网络架构;信息查询;质量安全
中图分类号:S126;tp319文献标识码:a文章编号:0439-8114(2016)18-4814-05
Doi:10.14088/ki.issn0439-8114.2016.18.047
食品安全问题日益引起人们的广泛关注,欧盟、国际标准化组织和美国、日本、澳大利亚等相继了有关食品安全可追溯性的法规和标准,英国、美国、荷兰等率先建成了牲畜养殖和畜产品质量安全追溯系统。中国虽然起步较晚,但随着《中华人民共和国农产品质量安全法》、《农产品质量安全追溯操作规程》、《我国农产品质量快速溯源过程中电子标签应用指南》等一系列法规、标准的逐渐,国内的农产品质量安全追溯系统建设也在经历了试点、示范阶段之后逐渐进入应用、发展阶段。
从设备、技术、建设过程和应用管理诸方面来看,农产品质量安全追溯系统具有一定的复杂性。从尽量压缩系统规模、降低实现难度和节约建设成本的角度出发,实际的系统设计都不追求“大而全”,而以“精简、够用”为原则:它们或针对某类农产品[1,2],或采用单一编码标识方法[3,4],或设计为单一网络架构[5,6],或支持单一查询方式[7,8]。近年来,由于中国国民经济的发展、技术水平的提高和用户需求的更新,建设适用范围更广、使用更加灵活方便的农产品质量安全追溯系统已成新的目标。在此环境条件下,本研究借鉴已有成果,以农产品供应链模式为基础,综合应用当前主流技术和方法,研究了农产品质量安全追溯系统的混合模式――包括混合编码与标识、混合网络架构和混合查询模式。
1农产品供应链模式分析
不同地区、不同种类农产品供应链模式的差异,决定了追溯系统结构、溯源指标体系及其编码标识方法的不尽相同。以川东北地区为代表,调查、分析了多类农产品的生产和流通过程,其主要供应链模式如下:
Ⅰ.生产主导模式。生产者完成生产、粗加工和包装,通过物流直送到销售终端(或出口),主要适用于果蔬和水产品。该模式没有中间环节,溯源信息仅包括“生产+销售+物流”三部分内容;
Ⅱ.批发主导模式。粗加工并包装后的农产品经由批发中心(包括产地批发中心、销地批发中心等)配送到销售终端,适用于各类种植和养殖农产品。该模式流通环节增多,其间通常更换包装,发生质量安全问题的风险增大,相应的溯源信息包括“生产+批发+销售+物流”等更多内容;
Ⅲ.加工主导模式。加工者从生产者获取农产品原料进行深加工,产品通过批发中心或直接配送到销售终端(或出口),主要适用于粮油、茶叶、水产和畜禽类动物产品。该模式下农产品经过严格的检测并有完整的包装,质量安全较有保障,溯源信息则包括“生产+加工+批发+销售+物流”等内容[9]。
农产品供应链模式如图1所示。其中,①、④为农产品供应链的基本环节,前者为生产基地或农业合作社,后者包括超市、农贸市场和食堂、饭店等。环节①、④构成模式Ⅰ,加入环节③即成模式Ⅱ,再纳入环节②则为模式Ⅲ。
2农产品质量安全溯源信息的混合标识与编码
2.1溯源指标的确定
农产品供应链由多个环节构成,每个环节都会产生大量信息,不可能将其全部录入追溯系统。因此,必须依据HaCCp(Hazardanalysisandcriticalcontrolpoint,危害分析与关键控制点)、ChinaGap(Goodagriculturalpractices,良好农业规范)、Gmp(Goodmanufacturingpractice,良好加工操作规范)体系和其他相关标准、法规,对农产品供应链中各环节的关键信息进行筛选,形成一个合理有效的农产品质量安全溯源指标体系。
溯源指标体系应包括两部分内容:①用于追溯农产品的来源、目前位置和去向的过程溯源指标;②反映农产品安全相关信息的安全溯源指标。
以供应链模式Ⅰ的果蔬产品为例,筛选出各环节的溯源指标如下:
1)生产环节。对于主流的“公司+基地+农户”生产模式,其过程溯源指标包括公司、基地、农户、农田编号及责任人、种子来源、播种日期、采收日期、产品去向等,安全溯源指标则包括化肥和农药的名称、残留量等。
2)批发环节。对于各级农产品批发中心,过程溯源指标应为批发中心、供货单位、进货日期及数量、批销单位、批销日期及数量、批销去向等,安全溯源指标则有检验检疫结果、暂存温度、湿度等。
3)销售环节。对于各类销售终端,其过程溯源指标应有供货单位、进货日期及数量、销售单位、上架日期、销售日期及数量等,安全溯源指标则包括库存地点、温度和湿度等。
4)物流环节。对于贯穿于整个农产品供应链的各物流环节,其过程溯源指标包括物流企业、运输工具、货品数量及装箱规格、发货方与收货方、运输时间、路线、责任人等,安全溯源指标则有运输温度、湿度等。
2.2溯源信息的混合标识方案
目前主流的信息标识技术为RFiD(Radiofrequencyidentification,射频识别)和二维条码。射频识别利用无线电波对记录媒体进行自动读写,其优点为存储容量大、封装样式多、读取距离远、能同时识别多个标签、可用于灰尘、油污、雨水等恶劣环境;二维条码利用特定几何图形按照一定规则在平面上分布条、空相间的图形来记录信息,具有信息容量大、抗干扰能力强、纠错效果好、对网络数据库的依赖性低等优点。其中,QRCode(QuickResponseCode,快速响应矩阵码)能够超高速、全方位识读并有效表示汉字,因而在国内得到广泛应用。
基于对农产品供应链各环节的环境条件和系统建设成本的综合考虑,溯源信息可采用RFiD与QRCode混合标识方案,具体包括3种:
Ⅰ.畜禽、水产等农产品,因价值相对较高,且其供应链各环节所处环境“恶劣”,故宜采用RFiD标识技术。相比之下,粮食、果蔬类农产品则价值较低、各环节所处环境较好,可选择成本更低的QRCode标识方法。
Ⅱ.在同类农产品供应链的不同环节,其所处环境和操作条件也有差异,因此应选用不同的标识方法。如畜禽产品在屠宰、批发和物流环节通常需要更换包装,且环境相对“恶劣”,宜于采用RFiD标签;而养殖和销售环节则环境相对稳定,操作也较方便,可以换用QRCode标签。
Ⅲ.在批发和物流环节,大包装(如集装箱)使用RFiD标签,小包装(袋、包、盒等)粘贴QRCode标签。系统读取QRCode标签后自动链接到对应RFiD所关联的产品信息,因此无需在数据库中存储大量的小包装产品信息,这样既能节约标签使用成本,又可减少服务器存储空间的开销[10]。
2.3溯源信息的混合编码技术
将农产品供应链各环节的关键溯源指标信息按规则编码,即得农产品质量安全追溯码。编码规则既应遵从国际、国内标准,也要适应选定的标识方法,因此根据epC编码规范、采用混合编码技术来实现RFiD和QRCode标签中溯源信息的编码。
2.3.1epC256Ⅲ编码结构epC(electronicproductcode,产品电子编码)编码体系是全球统一标识系统ean.UCC的延续和扩展,能实现单个物理对象的全球惟一标识,应用广泛的主要为64位、96位和256位3类。其中,epC256Ⅲ编码结构宜于用作农产品质量安全追溯码结构,其由标头(版本号)和3个信息码段组成,如表1所示。
2.3.2溯源信息的编码设计
1)epC管理者码段用32位数字标识农产品供应链中各节点企业代码,这是实现追溯的关键,如表2所示。
2)对象分类码段用14位数字标识农产品的种类、名称和产地代码,如表3所示。
其中,农产品的类别、分组和名称根据GB2763-2014编码;产地编码由县级以上行政区划代码(6位)和乡镇代码(3位)组成,分别采用GB/t2260-2013、GB/t10114-2003的代码体系。
3)序列号码段用16位数字标识农产品的生产档案号、采收批次及其在供应链各环节的批次流水号,如表4所示。
其中,生产档案由产品备案号(3位)和生产批次号(3位)组成,前者的第1位为大类标识、后2位为流水号,后者的前2位为年份、后1位为年度批次;采收批次为生产环节的批次号;批次流水则依次由加工、批发和销售环节的批次号组成。
2.4混合标识与编码技术的应用
以混合标识方案Ⅱ为例,首先在生产环节直接使用QRCode标签记录编码,其中包括epC管理者码段的生产者代码、对象分类码段的全部编码和序列号码段的生产档案、采收批次代码;进入加工环节后,利用RFiD中间件系统将QRCode标签内容与本环节的关键信息转换写入RFiD标签的信息区域,添加的内容包括epC管理者码段的加工者代码和序列号码段的批次流水代码;在批发环节仅需向RFiD标签的epC管理者码段和序列号码段分别加入批发中心、供货商代码和批次流水代码;在最后的销售环节,再将RFiD标签内容、该环节的关键信息和溯源信息数据库中的部分内容转换输出为QRCode标签,以便消费者的追溯查询操作。
3农产品质量安全追溯系统的混合网络架构
3.1系统的功能结构及主要运行流程
1)溯源信息管理中心。是整个系统的核心,共享数据库中存储着农产品供应链各环节的溯源指标信息和政府监管部门(农业、质监等)、检验检疫部门提供的相关信息,实现整个系统的信息录入、分析与输出,并负责系统用户及其权限的管理。
2)生产经营单位管理子系统。既可作为本单位的管理信息系统独立运行,又能在登录系统后获得相应的溯源信息数据库访问权限,从而实现农产品供应链各环节的溯源指标信息录入与修改。
3)追溯信息查询子系统。允许消费者通过溯源网站、自助终端、手机短信和客服电话等多种途径进行农产品信息的追溯查询,并开展对外宣传、在线召回问题产品、受理消费者对问题产品的举报和投诉等服务[11]。
系统的功能结构及其运行流程如图2所示。
3.2系统的混合网络架构
3.2.1常用的两种网络模式目前的管理信息系统以B/S(浏览器/服务器)网络模式为主流,它是由数据层、服务层和应用层组成的三层结构,其客户端通过浏览器访问web服务器及其与之相连的数据库服务器。B/S模式系统的客户端只需安装浏览器,应用软件和后台程序都在服务器端运行,采用Http协议实现双方的信息传输,扩展及升级非常方便,但较多用户同时访问系统会导致响应速度变慢。
另一种常用的C/S(客户机/服务器)网络模式则为两层结构,其用户界面和业务处理在客户端进行,数据管理维护在服务器端完成。C/S模式系统的运算响应速度快,但应用软件和数据库管理系统分装在客户端和服务器端,故而系统的升级、维护较为困难。
3.2.2农产品质量安全追溯系统的混合架构由于两种网络模式各有优劣,农产品质量安全追溯系统宜于采用C/S模式与B/S模式的混合架构。具体方案为:①供应链中各节点企业的管理子系统采用C/S结构,以便高效地进行企业内部业务管理和溯源信息的输入;②溯源信息查询、公众信息等子系统的业务处理较简单,不会明显增加服务器的运行压力,采用B/S结构可以简化客户端的操作,并降低系统的维护成本;③系统以B/S结构为整体框架,通过Vpn(Virtualprivatenetwork,虚拟专用网络)或XmL数据交换技术将C/S结构的局域网接入,实现internet环境下的信息交互。这种混合架构将两种网络模式的优点集于一体,在响应速度、数据安全、系统维护等方面取得了较好的平衡,如图3所示。
4农产品质量安全追溯信息的混合查询模式
4.1追溯信息查询的流程
根据条码标签查询农产品质量安全溯源信息的流程如图4所示。
4.2追溯信息的混合查询模式
随着internet的发展、移动网络的提速和智能手机的普及,农产品质量安全追溯系统提供的溯源信息查询方式也应与之相适应,主要包括:①pC网站查询。在连接到internet的任何计算机上访问农产品质量安全追溯系统网站,消费者即可酥所购农产品的溯源信息;②自助终端查询。在批发中心、超市、农贸市场等场所,消费者可通过操作专用终端方便地查询农产品的溯源信息;③扫描QRCode标签查询。消费者使用智能手机扫描QRCode标签,可自动打开农产品质量安全追溯系统网站,或直接解码获得所购农产品的溯源信息;④客服电话或手机短信查询。消费者可使用任何手机,在任意时间、地点进行溯源信息查询。
在农产品质量安全追溯系统中将这些查询方式结合起来构成混合查询模式,既充分运用了现代科技发展的主流成果,也为消费者方便、灵活地进行溯源信息查询提供了更多的手段支持,如图5所示。
5结语
农产品作为食品的主要原料,其质量安全问题早已引起世界各国的高度重视,具体体现为相关法规、标准的大量出台和各种农产品质量安全追溯系统的立项建设。在这种有利环境下,本研究基于国内主流的农产品供应链及相应质量安全追溯系统的全面分析,依托计算机网络技术、物联网技术和二维条码技术的最新进展,从溯源信息的编码及其标识、系统网络架构和追溯信息查询等方面研究了农产品质量安全追溯系统的混合模式,为相关的研究和开发工作提供一种参考思路。
参考文献:
[1]冯恩东,钱卫红,张红生.南京蔬菜质量安全监管追溯系统设计与应用[J].江苏农业科学,2013,41(5):283-285.
[2]申艳光,马高庭,蒋万春.肉鸡产品质量控制与追溯系统的设计[J].湖北农业科学,2015,54(4):974-978.
[3]林宇洪,胡连珍,蒋新华,等.基于二维码的农超对接供应链追溯系统的设计[J].黑龙江八一农垦大学学报,2015,27(6):83-87.
[4]袁晓萍.基于RFiD的水产品追溯系统的研究与实现[D].山东青岛:中国海洋大学,2011.
[5]迟琳芯,苏微,赖庆辉.基于web的大米质量安全追溯系统的设计与实现[J].安徽农业科学,2016,44(5):302-304.
[6]吴倩,林佳丽,李臻,等.基于物联网的海产品质量追溯系统设计与实现[J].农业网络信息,2015(12):39-43.
[7]董玉德,丁保勇,张国伟,等.基于农产品供应链的质量安全可追溯系统[J].农业工程学报,2016,32(1):280-285.
[8]李健林.粮食质量安全溯源关键技术研究[D].长沙:中南林业科技大学,2013.
[9]张伟.果蔬农产品供应链追溯系统研究[D].成都:西南交通大学,2012.
供应链网络安全管理篇7
关键词:供应链;信息共享;信息泄露
实施信息共享是实现供应链体系高效、协调运转的关键所在。然而,在供应链实际运作过程中,看似有百利而无一害的信息共享实施起来却并不顺利,企业担心信息共享过程中共享的信息会被泄露给竞争对手,从而导致企业丧失竞争优势。因此,使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果,供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。
一、供应链信息泄露的概念
信息泄露最早见诸于经济学文献,grossman和stiglitz认为在市场中价格有信息收集者的功能,因此,可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在r&d的研究中,为了强调技术创新的私有性,学者们也引入了信息泄露的概念,它专指在r&d过程中研发信息的无意传播,因为从r&d中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。baccara认为信息泄露是指在企业委托承包商(contractor)生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为,若要委托承包商生产产品,则必须令其了解产品的生产技术,因此,承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。
在供应链中,信息共享不仅对于参与共享的零售商有“直接效应”(directeffect),而且由于制造商制定的批发价格是共享的需求信息的函数,没有参与共享的零售商可以通过它推断出共享信息的内容,从而信息共享对于没有参与其中的零售商也会产生“间接效应”(indirecteffect),也被称为“泄露效应”(leakageeffect),即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。
综合上述关于信息泄露的描述,所谓供应链信息泄露是指在供应链信息共享过程中,共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业,也包括供应链之外的企业。
从定义可以看出,供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应,只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息,即无意的信息泄露的过程,而忽略了制造商主动将信息泄露给没有参与共享的企业的过程。
二、供应链信息泄露的途径
(一)独立于供应链之外的第三方企业泄露信息
在供应链中,企业往往需要和第三方信息收集公司共享信息以便于更好的把握市场状况并进行决策。但是,掌握了供应链成员的信息以后很容易引发第三方信息收集公司的败德行为,比如有一些信息收集公司会将自己掌握的信息标价出售给共享信息企业的竞争对手。2001年wal-mart宣布不再和informationresourcesinc.和acnielsen等第三方信息收集公司共享销售数据,原因是这些公司将共享销售信息出售给了wal-mart的竞争对手,从而使walmart遭受了严重的经济损失[4]。第三方的信息泄露不仅来源于信息收集公司,还来源于第三方的外包加工企业以及咨询公司等。dye还提到当企业在委托第三方咨询公司对风险投资项目的价值进行评估的时候,往往由于咨询公司泄露了项目的内容而减少了项目的价值[5]。
(二)供应链上游企业泄露信息
供应链信息共享通常是指下游企业将信息和上游企业共享,下游零售商将其掌握的市场需求信息传递给上游制造商与之共享。但是,这也增加了零售商共享给制造商的信息被泄露的可能。原因在于,将共享信息泄露给下游零售商可以提高制造商对市场需求预测的精度,从而使制造商的产量更加接近于市场需求的真实水平,这样就会减少因缺货或者库存而产生的成本。因此,为了提高收益制造商往往会将共享的信息主动或者有意的泄露给没有参与共享的企业。由于泄露信息可以提高自己的收益,制造商往往是无偿披露零售商共享的信息,这一点也有别于baccara提到的标价出售的有意信息泄露行为。当然,在供应链中也存在供应商将零售商共享的信息出售给其他零售商的现象,比如由supplychainaccess.com进行的一项调查表明,有64%的供应链经理指出其共享信息被供应商出售给他们的竞争对手[6]。在前文音乐产业的例子中,泄露信息的不仅是soundscan,还有newburycomic的上游供应商——唱片公司。
另外,从supplychainaccess.com的调查不难看出,上游企业泄露下游企业的共享信息的现象在供应链中非常普遍。
(三)供应链下游企业泄露信息
在供应链中上游企业将产品出售给下游企业也往往会导致信息泄露的出现。出售给下游企业产品包含了上游制造商的很多技术创新,下游企业购买产品后为了促进上游企业之间的竞争以便获得更低廉的采购价格,往往会将产品中的技术创新故意泄露给其他的上游企业。这种现象在汽车产业中尤为明显,因此,产品创新的保护问题在汽车产业中是一个急需解决的问题。
福特在采购条款中明确说明任何应用与整车的部分设计或者修改必须给福特一个永久的非排他性的许可,这就从根本上给予了福特公司将这些设计和修改出售给其他供应商的可能。这样,福特就能将供应商的产品创新泄露给其他的供应商并获取更低廉的采购价格[7]。20世纪90年代,gm公司在没有得到许可的情况下将供应商的产品创新泄露给其他的供应商,以获得更低的采购价格,从而达到节约成本的目的。在ward2007年的一项针对447个汽车零配件供应商进行的关于产品创新保护的调查中,有超过28%的汽车零件供应商反应其知识产权至少被一家汽车制造商泄露过[7]。
(四)供应链管理系统泄露信息
供应链是一个极其复杂的信息管理系统,尤其当它发展到集成供应链阶段时,要靠计算机网络来传输和承载大量的数据。除了少数的信息安全要求特别高的供应链网络采用专网以外,绝大多数供应链是基于internet网络体系构建的。internet技术的注入,使得供应链上各个节点企业之间进行高质量的信息传递和信息共享成为可能。带来便利的同时,网络环境的开放性使供应链企业在利用internet进行信息共享的过程中不可避免的带来了信息泄露的隐患。在供应链信息共享过程中信息可能要通过多个网络设备,从这些网络设备上都能不同程度地截获信息的内容,这样就增加了信息泄露的可能。竞争对手或商业间谍可能从internet入侵企业内网,得到企业的私有信息,从而在市场竞争中获得主动。黑客也可以发起针对供应链网络服务器的攻击,给企业造成巨大的损失。在供应链的网络信息安全问题中,数据库的安全问题尤其需要格外重视,由于供应链中的各个企业往往需要共享库存信息、需求信息、销售信息、预测信息、客户资料和技术文档等信息,这些对各个企业及整个供应链至关重要的共享信息被大量的存储于数据库中,如果数据库遭受攻击,则供应链上所有的企业都将受到影响,如果数据库内的信息被无意或有意篡改,同样这些企业将无法进行正常的经营活动。
三、供应链信息泄露的防范措施
为了便于说明问题,现将在供应链信息共享中拥有信息的供应链成员称为委托人,接受共享信息的供应链成员称为人。在供应链信息共享过程中,人为了追求自身利益的增加,往往会将委托人共享的信息泄露给没有参与共享供应链成员,这样会导致委托人的收益的降低,从而打击委托人共享信息的积极性,最终导致供应链合作关系的破裂。因此,如何有效地防范信息共享过程中的信息泄露对于供应链信息共享以及供应链合作有着十分重要的意义。
(一)建立信息泄露识别机制
信息泄露识别是有效的预防供应链信息泄露的首要阶段,是发现潜在信息泄露风险、伴随整个供应链信息交换的关键过程。信息泄露识别是用感知、判断或归类的方式对现实的和潜在的可能发生的信息泄露进行鉴别的过程。只有在正确识别出信息泄露的基础上,供应链企业才能主动选择适当有效的方法进行相应的处理。信息泄露识别的主要任务是要从错综复杂的环境中找出供应链中所有可能发生的信息泄露。信息泄露识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和有关记录来分析、归纳和整理,以及必要的专家咨询,从而找出各种明显和潜在的信息泄露风险及其损失规律。
(二)签订保密协议
供应链运作过程中的信息共享涉及的很多信息是供应链成员的机密信息,但是机密并不意味着绝对不能与其他成员分享。对于要分享的信息,委托人和人之间一定要签订保密协议。保密协议应该是供应链合作的第一步,在保密协议中委托人要明确规定保密信息的类型、信息的使用范围及分享范围,不经委托人的(书面)同意,人不能将保密协议列出的保密信息的类型泄露给协议规定的信息分享范围以外的任何企业,保证仅限于人工作上确实需要知道此类信息的部门指导,并且对此类信息的保护程度要不下于对自己企业的同类信息的保护。
保密协议中还要明确规定,如果协议双方违反协议后应该承担的法律责任,这样就能使用法律武器保护企业的合法权益。不仅如此,委托人还要实施惩罚措施,一旦人违反保密协议就给出相应的惩罚。
除了和人签订保密协议外,委托人在企业内部也要制定严格的保密措施,限定知悉机密信息的人员,尽量缩小知悉机密信息的范围,严格限制知密人员以外的其他人员出入具有商业机密的场所。还要通过合理的竞业禁止,防止人才流动泄露企业机密信息。对于技术创新和知识产权要及时地申请专利,通过法律手段保护企业的合法权利。
(三)建立激励机制
信息泄露会影响供应链的整体效率。当然,通过供应链节点企业之间建立起良好的信用机制和合作氛围,使各成员的利益和目标相协调,可以在一定程度上减少信息泄露。但由于有限理性的存在,企业往往之关注自身效用和收益的最大化,因此,仅仅靠信用的约束是不够的,必须有一套行之有效的激励约束机制来制约和激励供应链节点企业的信息传递行为,促使人不泄露委托人的信息。激励机制可以通过提供合适的信息和激励措施,保证买卖双方协调优化销售渠道的有关条款。它可以在一定的信息结构下制约个体的行为,或者刺激个体提供良好的服务。同时供应链企业要加强对人的监督,建立一种全面的指标评价体系和有效的监督机制,有效的改进系统的整体性能。
(四)加强网络安全
构筑并维护供应链完善的网络安全体系是一个庞大而复杂的工程,能从根本上解决通过网络造成的信息泄露。首先必须在供应链构建中考虑信息安全性问题;其次要建立自主产权的网络操作系统,建立在他人操作系统之上的网络安全系统,无论从何角度上讲,安全性都值得怀疑;必须研制高强度的保密算法,网络安全从本质上说与数据加密息息相关,网络安全建设应与密码算法研制、密钥管理理论和安全性证明方法的研究同步发展;最后,可以针对供应链管理系统运行的实际信息安全需要,利用虚拟专用网vpn来构架信息安全框架。vpn可以提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。另外,研制专门针对供应链管理系统网络安全的杀毒软件也刻不容缓。
(五)建立应急处理机制
企业虽然采取了各种措施来规避和控制供应链中的信息泄露。但是,天有不测风云,一些意外的事件会时有发生。在信息泄露发生后,企业要有要采取一定的应急措施,将损失控制在最小范围内。这就要求企业在对供应链信息泄露充分认识的同时,预先建立应急处理机制,对紧急、突发的信息泄露进行应急处理,以避免给供应链中多个企业带来更大的损失。
四、结论
众所周知,信息共享不仅可以使供应链上企业更好的安排生产作业及库存配送计划,降低供应链的整体成本,还能促进合作企业间的相互信任,加快供应链整体对市场变化的响应。但是,由于信息泄露的影响使得信息共享实施起来并不顺利。本文结合前人的研究提出了供应链信息泄露的概念,通过一系列实例分析发现供应链中的共享信息会通过独立于供应链的第三方企业、供应链上游企业、供应链下游企业以及供应链管理系统等四种途径泄露给没有参与共享的其他企业,最后在此基础上提出了建立有效的信息泄露识别机制、签订保密协议、建立有效的激励机制、加强网络安全及建立应急处理机制等防范措施。通过实施这些措施可以有效地解决供应链运作过程中的信息泄露问题。
参考文献:
[1]grossmansj,stiglitzje.ontheimpossibilityofinformationallyefficientmarkets[j].americaneconomicreview,1980,70(3):393-408.
[2]baccaram.outsourcing,informationleakage,andconsultingfirms[j].randjournalofeconomics,2007,38(1):269-289.
[3]lil.informationsharinginasupplychainwithhorizontalcompetition[j].managementscience,2002,48(9):1196-1212.
[4]hayscl.whatwal-martknowsaboutcustomers′habits[n].thenewyorktimes,2004.
[5]dyera,sridharss.investmentimplicationsofinformationacquisitionandleakage[j].managementscience,2003,49(6):767-783.
供应链网络安全管理篇8
abstract:theprocessesandcharacteristicsofdairysupplychainbasedonRFiD(RadioFrequencyidentification)technologyareanalyzed.Fromthethreelevelsofperceptionlayer,networklayer,applicationlayer,thedairysupplychainriskisidentifiedandclassified.andthedairysupplychainriskindexsystembasedonRFiDtechnologyissetup.accordingtotheestimatedeconomiclossvalueandprobabilityofoccurrenceofarisk,thecomprehensiveattributevaluesforeachriskeventsaresortedwithowaoperatorriskassessmentmethods.andthemainexistingdairysupplychainriskisgot.Finallybasedontheanalysisoftheriskassessmentresults,thecontrolsuggestionsandstrategiesabouthowtocontrolthedairysupplychainriskareputforward,soastoprovidereferencevalueforthedevelopmentofdairyindustryinChina.
关键词:RFiD;供应链;风险识别;owa算子
Keywords:RFiD;Supplychain;Riskidentification;owaoperator
中图分类号:F274;F426文献标识码:a文章编号:1006-4311(2017)04-0062-03
0引言
我国物联网技术不断取得进步,RFiD技术在物流和供应链管理领域的应用越来越普遍。RFiD技术的应用实现了供应链中原料生产企业、加工企业、销售企业以及消费者的信息共享和交流,提高了产品信息管理的效率,加强了对供应链风险的控制。由于乳品行业的质量安全控制的迫切性和供应链风险管理的重要性,RFiD技术在乳品行业中的应用具有很大的适用性和必要性。RFiD技术的应用有利于建立可追溯的乳品供应体系,对各环节信息进行及时记录和分析,并实现不同主体之间的信息交换和反馈。
自从“三鹿事件”以来,乳制品的质量安全管理一直是研究的热点,同时,对于乳品供应链的分析和控制的研究也取得一定的进步。刘俊华,芦颖[1]综合评价了乳品供应链的安全状况,指出质量安全问题的关键环节。方升[2]分析了供应链各环节存在的质量安全隐患,提出了基于供应链的乳品质量安全控制的对策和建议。杨静,熊峻凌[3]分析了乳品供应链各环节的风险,同时提出乳品供应链的风险控制策略。姜方桃[4]以蒙牛企业为例,从奶源、仓储、配送、销售等方面探讨了蒙牛企业最新的供应链管理方法。另外,高永超[5]在乳品供应链中对RFiD应用标准中规定的射频系统的适用性进行分析和验证,为食品企业部署射频识别应用系统提供参考依据。李祁[6]基于物联网技术设计了乳制品追溯系统,实现了乳制品在整个产品供应链的全程追踪和溯源。张智勇[7]通过建立乳制品供应链的可追溯系统,利用RFiD技术实现乳制品安全风险的有效控制。RFiD技术的使用有利于加强乳品供应链的风险管理,但是学者对RFiD技术下的乳品供应链的风险特点和评估研究较少。本文对RFiD技术下的乳品供应链的风险进行分析,在RFiD乳品供应链运作流程的基础上,建立风险指标体系,对RFiD技术下乳品供应链的风险进行评估,并提出相关风险控制建议。
1RFiD下的乳品供应链运作流程
从感知层、网络层、应用层对RFiD技术下的乳品供应链运作流程进行分析,如图1所示。RFiD读写器有效记录乳品供应链各运作过程的质量安全信息:对养殖^程的信息进行记录,有效控制饲料质量、保证奶牛健康状况、卫生条件,从供应链上端加强质量的监控和风险的控制;对原料奶生产过程的信息进行及时记录和监控,提高生产过程操作的规范化、运输与储藏设备的合格化;对乳品加工过程的信息进行记录和分析,有效控制加工条件和包装条件;对销售过程信息进行记录,提高了配送的安全性和及时性,加强了对运输和储存条件的监控。同时,RFiD技术的使用,便于追溯产品质量问题的关键环节,有利于提高售后服务的效率和整个乳品供应链的产品质量监控。同时,RFiD读写器借助计算机系统、互联网、各环节服务器、中央服务器进,实现各环节主要信息的储存、传递和共享,加强了应用层各主体的供应链信息的交流以及政府管理部门对信息的监控。
2RFiD技术下的乳品供应链风险指标体系(图2)
RFiD乳品供应链的感知层存在以下风险:RFiD读写器故障风险,RFiD读写器负责各运作过程的信息记录和存储,RFiD读写器故障阻碍了整条供应链的质量可追溯功能的实现和对风险的有效控制;RFiD读写器对各环节信息记录不全面风险,乳品供应链各运作环节涉及到多方面的质量安全信息,信息记录不全面将影响到供应链对养殖条件、生产条件、加工条件等信息的全面监控;信息分析不准确风险、监控与修正不及时风险,RFiD技术的使用能较好实现对信息的记录,不能较好实现对信息的准确分析,同时不能规避信息分析、监控与修正不及时的风险。
RFiD乳品供应链网络层风险类型下的风险事件主要有:各环节之间的信息传递和交流不完全风险,由于RFiD技术的局限性,造成供应链中奶农、乳品加工和销售企业等主体之间的信息不对称;同时存在信息丢失、互联网故障、服务器运行技术等风险。
RFiD乳品供应链应用层层风险类型下的风险事件主要有:奶牛养殖和原料奶生产风险、乳品加工风险、乳品运输和配送风险、乳品市场变化的风险、售后风险以及环境风险。奶牛养殖和原料奶生产风险指奶牛健康状况风险、饲料来源风险、原料奶质量风险、奶农资金风险、信誉风险等;乳品加工风险指技术风险、设备更新风险、财务风险、劳动资源风险等;乳品运输和配送风险指运输和配送安全风险、效率风险、成本风险等;乳品市场风险指乳品市场需求风险、市场竞争风险等;售后风险主要指售后退换货、申诉等风险;环境风险主要指乳品行业环境风险、自然灾害、政策改变等风险。
3基于owa算子的RFiD技术下的乳品供应链风险评估
3.1owa算子的计算步骤
owa算子[8]对风险评估指标不确定性和波动性较强,且风险影响较大的风险评估,RFiD技术下的乳品供应链风险因素具有种类多、波动性大的特点,适合采用owa算子对其风险进行评估。
3.2基于owa算子的RFiD技术下的乳品供应链风险评估
根据供应链各主体企业历史数据和管理者的经验,总结得到RFiD技术下乳品供应链各风险事件发生造成的经济损失值和发生的概率(如表1所示),owa算子加权向量w=(0.75,0.25)t
在感知层风险事件中,对信息分析不准确、对各环节运作的监控和修正不及时两大风险最为突出;在网络层风险事件中,各环节之间信息传递不完全风险、服务器运行技术风险两大风险最为突出;在应用层风险中售后风险和运输风险较高。同时,在RFiD技术的使用下,感知层风险事件和网络层风险事件的综合属性值平均值水平均高于应用层风险事件。相比于应用层风险,乳品供应链的感知层风险和网络层风险处于较高水平。
3.3RFiD技术下的乳品供应链风险控制策略和建议
根据对RFiD技术下乳品供应链风险的排序和分析结果,提出以下风险控制策略和建议:
①完善信息管理体系。RFiD技术的使用,实现了乳品供应链信息的及时记录和各环节之间的信息传递和共享。从很大程度上规范了供应链信息的管理体系,有效降低了供应链的质量安全风险。RFiD技术下的乳品供应链应完善对信息的分析功能,加大信息的检查和审核力度,同时建立信息安全报警和反馈机制,在记录信息不符合各环节设定的质量安全条件时,能得到及时的监控和修正,从源头上减少供应链风险的发生。
②拓宽信息交流渠道,建立共赢机制。RFiD技术下的乳品供应链仍然面对着各环节信息传递不完全的风险。供应链各主体应加强信息沟通和交流,建立共赢机制,实现市场信息、生产信息、加工信息的共享,下游的乳品加工企业应加强和奶农的信息沟通,加强对奶牛养殖的资金扶持,实现供应链主体多方共赢。
③加强运输和配送管理。RFiD技术下乳品供应链仍然面临着较大的运输和配送风险,供应链运输主体应加强对运输和配送的管理,与第三方物流企业合作,降低运输、储存、配送的库存,提高物流效率;运输和配送主体应加强对于运输和配送的信息技术开发和使用,降低运输与配送的安全风险。
④提高售后服务水平,完善逆向物流系统。RFiD下乳品供应链应加强售后服务质量的改善和逆向物流体系的完善。乳品具有保质期短、消费者质量要求高、市场竞争激烈、品牌较多等特点,因此不合格乳产品的召回和逆向物流成为乳品供应链的一部分。供应链主体应加强逆向物流基础建设和路径的优化,加强逆向物流风险管理,从而减少整个供应链的资源浪费。
4结论
本文分析了RFiD技术下的乳品供应链的运作流程,并建立供应链风U指标体系,然后基于owa算子对RFiD技术下的乳品供应链风险进行量化分析,得到了各风险类型和风险事件的风险值大小排序结果,最后针对各风险的特点,提出加强乳品供应链风险控制的策略和建议。RFiD技术的使用加强了乳品供应链的信息管理和质量可追溯功能,然而该技术的使用下,供应链仍面临信息管理风险、运输风险、逆向物流风险等风险。我国乳品供应链各主体应不断加强信息技术的开发和使用、加强乳品供应链逆向物流管理、建立合作共赢机制,不断完善乳品供应链质量安全体系,加强对乳品供应链风险的重视和控制。
参考文献:
[1]刘俊华,芦颖,李燕霞,长青,白宝光.基于模糊测度的乳品供应链质量安全绩效评价与控制[J].内蒙古大学学报(自然科学版),2013(02):121-128.
[2]方升,周敏.基于供应链的我国乳品质量安全控制[J].广西轻工业,2008(12):6-7.
[3]杨静,熊峻凌.乳品供应链风险分析与控制研究[J].广东轻工职业技术学院学报,2009(01):31-34.
[4]姜方桃,程丹.我国乳品业供应链管理研究――以蒙牛集团为例[J].产业与科技论坛,2014(19):253-254.
[5]高永超,钱恒,刘丽梅,商昌彬,杨作明.射频识别应用标准在乳品供应链中的适用性分析和验证[J].中国乳品工业,2016(06):32-35.
[6]李祁.基于物联网的乳制品追溯系统研究与开发[J].农业网络信息,2014(05):21-24,29.
供应链网络安全管理篇9
传统的固定网和移动网是两个分离的网络,具有不同的体系架构。nGn将是一个有线、无线合一的网络,移动网将作为nGn的一个接入网而存在。因此,基于多种业务提供的软交换技术是nGn网络发展的基础,软交换技术的核心是控制、承载和业务三者分离的开放性网络。基于软交换技术构造的nGn网络从功能上可以分为4个层面:接入层、传送层、控制层和业务层,如图1所示。
接入层包括各种接入网关、中继网关、无线接入网关、智能终端以及与处理媒体有关的媒体服务器和多点处理器(mp)。各类网关和智能终端主要实现媒体流格式的转换和传送,实现语音分组在分组网的承载和传输。媒体资源服务器用于向用户提供丰富的信号音资源以及多方会话功能。mp是基于H.323的视频会议系统中实现混音和视频混合等多媒体会议媒体处理功能的设备,该设备用于向nGn网络内的H.323视频终端提供视频会议业务。
传送层即包括提供ip包转发的各种承载网功能实体。目前,nGn网络传送层技术发展包含两个层面:即以mpLS、ipv6为重点的下一代ip网和自动交换光传送网(aStn/aSon)。在ipv6网络暂时无法部署的前提下,基于私网地址的nat/Fw穿越是在nGn网络有效开展语音和视频业务的主要技术。
控制层是nGn网络的核心,主要包括软交换设备、信令网关和多点处理器。软交换设备是呼叫控制的核心,主要完成呼叫连接的建立和释放,以及媒体网关接入功能、媒体网关资源管理、带宽管理、选路、信令互通和安全管理等功能。信令网关则实现将传统no.7信令网信令适配成ip网传送的SiGtFLan信令的功能。mC是基于H.323的视频会议系统中实现会议控制和管理功能的实体。
业务层主要包括应用服务器、第三方应用接口和传统智能网功能。该业务层通过开放的业务层接口向用户提供传统智能网业务、多样化的第三方业务和增值业务。
nGn价值链
在传统的网络中,业务模式非常简单,都是基于通话时长的。在这种情况下,业务的价值链比较短。运营商关注的重点是如何扩充网络的容量和增加通话市场,业务的开发处于次要地位。nGn的业务模型变得比较复杂,除了传统的用户到用户的通信以外,大量的业务是信息提供和娱乐类的业务。这些业务的吸引用户的是内容,而不是通信能力,如图2所示。因此,业务的种数、业务的开发和提供的速度成为运营商的核心竞争力。
如此种类繁多的业务依靠运营商自己来开发、提供、维护是不现实的,由第三方来开发新的业务成为一种趋势。nGn的价值链和传统价值链相比更长,环节更多,需要有iSp、iCp、软件开发商、终端厂商等共同参与。在价值链中,运营商的使命不是为用户寻找业务,而是如何创造一个合适的土壤,让各种业务能够应运而生。
nGn的产业链
nGn产业链结构将呈现网络化和多元化趋势,直接面对用户的不再只是电信运营商,产业链的其他环节也将直接面对用户,细分用户,开发有针对性的业务。在nGn统一网络平台上,设备制造商提供nGn设备和解决方案;电信运营商铺设宽带网络,并基于nGn软交换技术,提供灵活的网络架构和方便的业务开发接口,供业务开发商开发有吸引力的新业务;业务开发/提供商通过租用电信运营商的网络,为客户提供个性化和灵活的电信服务;最终用户享受到个性化的新业务带来的便利,并为此付出额外的费用。另外各个环节也都要相互联系,例如制造商必须与软件开发商合作,使得业务得以实现。由此可见,在nGn时代一项创新业务要取得市场的成功,是一个庞大的系统工程。产业链各相关主体都要找准位置,着眼于各自的核心优势,展开纵向合作,做各自擅长的事。此时nGn的发展和规模应用需要一个产业链的合作来共同完成。
nGn产业链中的业务分类
下一代网络(nGn)是业务和应用驱动的网络。nGn将为用户提供话音、数据、多媒体等丰富多彩的业务和应用。nGn网络所提供的业务包括传输层、承载层、业务层三个方面。
1.传输层业务:传输层是网络的物理基础,主要提供网络物理安全保证以及业务承载层节点之间的连接功能,可以直接提供L1Vpn业务、带宽和电路批发业务、管道出租、设备出租、光纤基础设施和波长出租业务等。
2.承载层业务:承载层是基于分组的网络,提供分组寻址、统计复用及路由功能,为不同业务或用户提供所需的网络QoS保证和网络安全保证,可以提供宽带专线,atm/FR接入,L2Vpn,L3Vpn等互联网接入和承载业务。
3.业务层业务业务层控制和管理网络业务,为最终用户提供各种丰富多彩的语音、数据、视频等多媒体业务和应用。可以说业务层是nGn提供业务最丰富、最重要的层面。下面将进一步对业务层提供的业务/应用进行分类。从严格意义上讲,“业务”和“应用”是不同的,并且由于彼此之间的交叉重叠,很难将业务和应用做个清晰的界定,另外,目前很难预见到未来可能出现的所有应用和业务,进行准确的定义,并进行不重不漏非常准确的分类。
业务提供模式的变化
从根本上讲,nGn所提供的业务与现有的各个网络相比,从种类和特征上并没有很大的差异化,最主要的区别在于nGn业务和网络相对分离所导致的业务提供模式的变化,从而带来商业模型的变化。在nGn业务环境下,业务和网络独立提供、独立发展,多种角色通过多种方式参与业务提供,nGn业务市场份额不断扩大,价值链不断增长。
在nGn业务提供的价值链中,涉及业务用户、网络提供商、业务/应用提供商和内容提供商等多种角色。各方都将积极地推动和部署nGn业务及应用,主要体现在:业务提供更加开放、更加灵活。在nGn网络中,通过灵活的体系结构或业务引擎技术,开放业务平台,业务/服务提供商可以灵活、方便、高效地部署各种业务和应用,发挥各自的优势,降低业务部署成本。
多种角色参与业务提供。在nGn环境中,业务用户、网络提供商、业务/应用提供商和内容提供高可以作为独立的角色参与业务提供。业务用户可以定制自己的个性化业务,网络提供商为业务提供安全可靠的通信网络基础设施,而各种各样的业务,应用提供商则可以充分发挥自己的优势,为用户提供各种差异化和有竞争力的业务/应用,内容提供商则为网络和业务提供更加丰富更加专业的内容,进一步提升对用户的服务。众多的角色在价值链上彼此关联、互相作用,并且处于动态运动之中,随着市场、技术的不断发展,他们在价值链中会变换角色,不断改变合作模式,使各自处于最佳位置,互相支持、各取所得。
市场份额不断扩大。价值链不断增长nGn支持多种多样的商业模式,业务用户、业务/应用提供商、网络
运营商、业务商、业务批发商、iSp等各种角色都可以参与到业务市场中来,针对市场需求,发挥各自的特长,通过开放的平台快速地提供各种业务和应用,使电信市场更加开放,新业务在激烈的竞争环境中更加符合用户的需要,带来更多的收入。随着各种应用的推广实施,带动了电信、信息、消费、娱乐等相关行业的发展,形成了良性循环,市场份额不断扩大,价值链不断增长。
终端智能化。参与更多的业务提供随着网络和技术的发展,网络的智能逐渐从网络核心在向网络的边缘和终端转移,不再是单纯地由网络来提供业务,终端将越来越多地参与业务提供,并且用户操作简单,使用方便。业务将会有以网络为主和以终端为主不同的提供方式,终端作为业务提供的重要部分,与网络相互配合,共同提供业务,这对终端相关的存储技术、操作系统、显示方式、应用软件等方面提出了更高的要求。
新的业务提供模式下,需要探讨新的商业模式。资费模式和管理方式。nGn开放的体系架构,使得业务提供模式发生了变化,业务价值链上出现了终端/网络、业务用户/网络提供商/业务提供商/应用提供商/内容提供商等多种角色,共同参与和推动业务发展,打破了原有传统网络和业务的运营管理模式。nGn承载、会话/呼叫、业务控制分离的特点带来了组网和业务提供的灵活性,同时也带来了业务计费、运营、管理方式的变化,由于计费、管理等的需要,业务和会话可能需要实时感知会话过程中媒体流的变化,也需要不断探索合适的商业模式、资费模式和管理模式,充分考虑nGn这种分离的特点,发挥各种角色的优势,使得价值链上的各方都能够获得最大的收益。
展望
在产业价值链中,基础电信运营商拥有最重要的物理网络资源,任何一项设备业务都必须通过网络才能实现其价值和功能。不管是系统集成商、软件开发商还是内容提供商,都要通过电信运营商的网络向最终用户提供服务,他们的价值要通过电信运营商才能体现出来。电信运营商必须理性地思考和调整自己在产业链中的定位,以“开放、合作、共赢”为原则,在共同参与和合作中、在促进产业的繁荣中发展自己。
展望未来,nGn产业链中各方面将以下列形式参与合作和开展业务:
以满足用户差异化需要为目标开展nGn业务。
nGn由于采用软交换,业务与承载分离,因此可以提供更丰富的特色服务。在nGn中,运营商可以提供网络资源、用户信息、业务品牌,分销商和虚拟运营商能够充分地了解每一个群体用户的需求。通过运营商加强与分销商和虚拟运营商的合作,有针对性地发展特色业务,以提供更高质量的服务和用户的差异化需求。nGn运营商和设备商、开发商加强协作,形成“风险分担,利益共享”的产业链模式。
在下一代网络中,运营商提供接入平台和信息通道,服务商提供有价值的信息,设备商提供更多的系统设备,各方都可以与最终用户对话,互相协作开发业务,形成“风险分担、利益共享”的盈利模式,而最终的结果是都会获得利润而发展自己。
供应链网络安全管理篇10
传统的固定网和移动网是两个分离的网络,具有不同的体系架构。nGn将是一个有线、无线合一的网络,移动网将作为nGn的一个接入网而存在。因此,基于多种业务提供的软交换技术是nGn网络发展的基础,软交换技术的核心是控制、承载和业务三者分离的开放性网络。基于软交换技术构造的nGn网络从功能上可以分为4个层面:接入层、传送层、控制层和业务层,如图1所示。
接入层包括各种接入网关、中继网关、无线接入网关、智能终端以及与处理媒体有关的媒体服务器和多点处理器(mp)。各类网关和智能终端主要实现媒体流格式的转换和传送,实现语音分组在分组网的承载和传输。媒体资源服务器用于向用户提供丰富的信号音资源以及多方会话功能。mp是基于H.323的视频会议系统中实现混音和视频混合等多媒体会议媒体处理功能的设备,该设备用于向nGn网络内的H.323视频终端提供视频会议业务。
传送层即包括提供ip包转发的各种承载网功能实体。目前,nGn网络传送层技术发展包含两个层面:即以mpLS、ipv6为重点的下一代ip网和自动交换光传送网(aStn/aSon)。在ipv6网络暂时无法部署的前提下,基于私网地址的nat/Fw穿越是在nGn网络有效开展语音和视频业务的主要技术。
控制层是nGn网络的核心,主要包括软交换设备、信令网关和多点处理器。软交换设备是呼叫控制的核心,主要完成呼叫连接的建立和释放,以及媒体网关接入功能、媒体网关资源管理、带宽管理、选路、信令互通和安全管理等功能。信令网关则实现将传统no.7信令网信令适配成ip网传送的SiGtFLan信令的功能。mC是基于H.323的视频会议系统中实现会议控制和管理功能的实体。
业务层主要包括应用服务器、第三方应用接口和传统智能网功能。该业务层通过开放的业务层接口向用户提供传统智能网业务、多样化的第三方业务和增值业务。
nGn价值链
在传统的网络中,业务模式非常简单,都是基于通话时长的。在这种情况下,业务的价值链比较短。运营商关注的重点是如何扩充网络的容量和增加通话市场,业务的开发处于次要地位。nGn的业务模型变得比较复杂,除了传统的用户到用户的通信以外,大量的业务是信息提供和娱乐类的业务。这些业务的吸引用户的是内容,而不是通信能力,如图2所示。因此,业务的种数、业务的开发和提供的速度成为运营商的核心竞争力。
如此种类繁多的业务依靠运营商自己来开发、提供、维护是不现实的,由第三方来开发新的业务成为一种趋势。nGn的价值链和传统价值链相比更长,环节更多,需要有iSp、iCp、软件开发商、终端厂商等共同参与。在价值链中,运营商的使命不是为用户寻找业务,而是如何创造一个合适的土壤,让各种业务能够应运而生。
nGn的产业链
nGn产业链结构将呈现网络化和多元化趋势,直接面对用户的不再只是电信运营商,产业链的其他环节也将直接面对用户,细分用户,开发有针对性的业务。在nGn统一网络平台上,设备制造商提供nGn设备和解决方案;电信运营商铺设宽带网络,并基于nGn软交换技术,提供灵活的网络架构和方便的业务开发接口,供业务开发商开发有吸引力的新业务;业务开发/提供商通过租用电信运营商的网络,为客户提供个性化和灵活的电信服务;最终用户享受到个性化的新业务带来的便利,并为此付出额外的费用。另外各个环节也都要相互联系,例如制造商必须与软件开发商合作,使得业务得以实现。由此可见,在nGn时代一项创新业务要取得市场的成功,是一个庞大的系统工程。产业链各相关主体都要找准位置,着眼于各自的核心优势,展开纵向合作,做各自擅长的事。此时nGn的发展和规模应用需要一个产业链的合作来共同完成。
nGn产业链中的业务分类
下一代网络(nGn)是业务和应用驱动的网络。nGn将为用户提供话音、数据、多媒体等丰富多彩的业务和应用。nGn网络所提供的业务包括传输层、承载层、业务层三个方面。
1.传输层业务:传输层是网络的物理基础,主要提供网络物理安全保证以及业务承载层节点之间的连接功能,可以直接提供L1Vpn业务、带宽和电路批发业务、管道出租、设备出租、光纤基础设施和波长出租业务等。
2.承载层业务:承载层是基于分组的网络,提供分组寻址、统计复用及路由功能,为不同业务或用户提供所需的网络QoS保证和网络安全保证,可以提供宽带专线,atm/FR接入,L2Vpn,L3Vpn等互联网接入和承载业务。
3.业务层业务业务层控制和管理网络业务,为最终用户提供各种丰富多彩的语音、数据、视频等多媒体业务和应用。可以说业务层是nGn提供业务最丰富、最重要的层面。下面将进一步对业务层提供的业务/应用进行分类。从严格意义上讲,“业务”和“应用”是不同的,并且由于彼此之间的交叉重叠,很难将业务和应用做个清晰的界定,另外,目前很难预见到未来可能出现的所有应用和业务,进行准确的定义,并进行不重不漏非常准确的分类。
业务提供模式的变化
从根本上讲,nGn所提供的业务与现有的各个网络相比,从种类和特征上并没有很大的差异化,最主要的区别在于nGn业务和网络相对分离所导致的业务提供模式的变化,从而带来商业模型的变化。在nGn业务环境下,业务和网络独立提供、独立发展,多种角色通过多种方式参与业务提供,nGn业务市场份额不断扩大,价值链不断增长。
在nGn业务提供的价值链中,涉及业务用户、网络提供商、业务/应用提供商和内容提供商等多种角色。各方都将积极地推动和部署nGn业务及应用,主要体现在:业务提供更加开放、更加灵活。在nGn网络中,通过灵活的体系结构或业务引擎技术,开放业务平台,业务/服务提供商可以灵活、方便、高效地部署各种业务和应用,发挥各自的优势,降低业务部署成本。
多种角色参与业务提供。在nGn环境中,业务用户、网络提供商、业务/应用提供商和内容提供高可以作为独立的角色参与业务提供。业务用户可以定制自己的个性化业务,网络提供商为业务提供安全可靠的通信网络基础设施,而各种各样的业务,应用提供商则可以充分发挥自己的优势,为用户提供各种差异化和有竞争力的业务/应用,内容提供商则为网络和业务提供更加丰富更加专业的内容,进一步提升对用户的服务。众多的角色在价值链上彼此关联、互相作用,并且处于动态运动之中,随着市场、技术的不断发展,他们在价值链中会变换角色,不断改变合作模式,使各自处于最佳位置,互相支持、各取所得。
市场份额不断扩大。价值链不断增长nGn支持多种多样的商业模式,业务用户、业务/应用提供商、网络
运营商、业务商、业务批发商、iSp等各种角色都可以参与到业务市场中来,针对市场需求,发挥各自的特长,通过开放的平台快速地提供各种业务和应用,使电信市场更加开放,新业务在激烈的竞争环境中更加符合用户的需要,带来更多的收入。随着各种应用的推广实施,带动了电信、信息、消费、娱乐等相关行业的发展,形成了良性循环,市场份额不断扩大,价值链不断增长。
终端智能化。参与更多的业务提供随着网络和技术的发展,网络的智能逐渐从网络核心在向网络的边缘和终端转移,不再是单纯地由网络来提供业务,终端将越来越多地参与业务提供,并且用户操作简单,使用方便。业务将会有以网络为主和以终端为主不同的提供方式,终端作为业务提供的重要部分,与网络相互配合,共同提供业务,这对终端相关的存储技术、操作系统、显示方式、应用软件等方面提出了更高的要求。
新的业务提供模式下,需要探讨新的商业模式。资费模式和管理方式。nGn开放的体系架构,使得业务提供模式发生了变化,业务价值链上出现了终端/网络、业务用户/网络提供商/业务提供商/应用提供商/内容提供商等多种角色,共同参与和推动业务发展,打破了原有传统网络和业务的运营管理模式。nGn承载、会话/呼叫、业务控制分离的特点带来了组网和业务提供的灵活性,同时也带来了业务计费、运营、管理方式的变化,由于计费、管理等的需要,业务和会话可能需要实时感知会话过程中媒体流的变化,也需要不断探索合适的商业模式、资费模式和管理模式,充分考虑nGn这种分离的特点,发挥各种角色的优势,使得价值链上的各方都能够获得最大的收益。
展望
在产业价值链中,基础电信运营商拥有最重要的物理网络资源,任何一项设备业务都必须通过网络才能实现其价值和功能。不管是系统集成商、软件开发商还是内容提供商,都要通过电信运营商的网络向最终用户提供服务,他们的价值要通过电信运营商才能体现出来。电信运营商必须理性地思考和调整自己在产业链中的定位,以“开放、合作、共赢”为原则,在共同参与和合作中、在促进产业的繁荣中发展自己。
展望未来,nGn产业链中各方面将以下列形式参与合作和开展业务:
以满足用户差异化需要为目标开展nGn业务。
nGn由于采用软交换,业务与承载分离,因此可以提供更丰富的特色服务。在nGn中,运营商可以提供网络资源、用户信息、业务品牌,分销商和虚拟运营商能够充分地了解每一个群体用户的需求。通过运营商加强与分销商和虚拟运营商的合作,有针对性地发展特色业务,以提供更高质量的服务和用户的差异化需求。nGn运营商和设备商、开发商加强协作,形成“风险分担,利益共享”的产业链模式。
在下一代网络中,运营商提供接入平台和信息通道,服务商提供有价值的信息,设备商提供更多的系统设备,各方都可以与最终用户对话,互相协作开发业务,形成“风险分担、利益共享”的盈利模式,而最终的结果是都会获得利润而发展自己。