网络安全周策划方案篇1
关键词:组网方案企业网设计思想
1引言
计算机网络专业是职业院校开设最多的一个专业,各学校关于网络专业的课程设置也比较完善。学生在校期间所学的相关专业知识是非常全面的,但大部分学生由于缺乏整体网络的设计思想,因此当他们需要设计一个组网方案时,仍感觉在学校学的知识用不上。
实际上分层网络设计模型是现代网络方案设计较常用的模型。该模型将网络分成三层:接入层、分布层、核心层。接入层的主要目的是提供一种将设备连接到网络并控制允许网络上的哪些设备进行通信的方法。分布层先汇聚接入层交换机发送的数据,再将其传输到核心层,最后发送到最终目的地。核心层的功能主要是实现骨干网络之间的优化传输
2方案设计
1)需求分析
总公司与分公司接入internet,采用nat方式上网,同时通过Vpn隧道,实现分公司访问总公司。
不同办公司之间数据不共享
保障网络基本的安全性,时时监控网络中的安全事件
分公司周一到周五9:00至于17:00上网,周六周日全天上网,用户采用无线上网,自动获得ip地址总公司网段10.0.0.0/16,分公司10.1.0.0/16。
2)网络拓扑如下
3)数据规划
4)设备功能实现
总公司局域网实施
防火墙Fw-1:安全功能配置Vpn使得总公司与分公司互通,实现数据的安全性和完整性。nat配置nat,实现内部网络访问互联网,和实现将内网的weB、Ftp等资源的互联上。
路由器R1:Sw1与R1线路为主用线路,承载正常数据流,Sw2与R2为备用线路,正常情况下不承载数据流。通过灵活配置VLan10,VLan20,VLan30网段的回程路由,实现当Sw1与R1链路down时,可以自动切换至R1与Sw2线路
三层交换机Sw-1:优化功能Sw1为主用交换机,正常情况下Sw1上承载VLan10,VLan20,VLan30的数据转发。只有当Sw1至R1互联线路down时,Sw2由备用转为主用交换机。划分VLan,配置VRRp,使得所有的VRRp组为master状态。(VRRp的组号即为该VLan的iD,如VLan10的VRRp组iD为10),配置trunk线路Fa0/1与Sw3Fa0/23以trunk方式互联。配置链路聚合,增加线路带宽及冗余性。配置端口镜像,将Fa0/24所有数据流镜像到Fa0/23口,配置mStp生成树协议。
三层交换机Sw-2:Sw-2为备用交换机,正常情况下Sw1上承载VLan10,VLan20,VLan30的数据转发。只有当Sw1至R1互联线路down时,Sw2由备用转为主用交换机。划分VLan,配置VRRp,使得所有的VRRp组backup状态。(VRRp的组号即为该VLan的iD,如VLan10的VRRp组iD为10),配置trunk线路Fa0/1与Sw3Fa0/24以trunk方式互联。配置链路聚合,配置mStp生成树协议。
接入层交换机Sw-3:
划分VLan,配置相关端口,启用端口安全功能,只允许特定主机接入。
配置mStp生成树协议。
入侵检测系统iDS:
安全功能:派生策略,需要监控tCp攻击、UDp攻击、DoS攻击、ip攻击。
管理功能:管理接口地址为192.168.9.254/24,网关192.168.9.1,管理服务器地
址为192.168.9.10/24
internet互联网实施
R2、R3、R4三台路由器模拟internet,三台路由器组成oSpF多区域,互联线路采用ppp线路chap认证,oSpF采用mD5认证。
分公司局域网实施
防火墙Fw-2:安全功能放行总公司、分公司互相访问进出Vpn数据流通过。
Fw-2地址转换配置nat,实现内部网络10.1.10.0/24,访问互联网,其使用合法的公网地址为50.0.0.2/30,上网时间为周一到周五9:00至于17:00上网,周六周日全天上网
Fw-2配置静态路由实现分公司上网数据流与分公司访问总公司数据流的分流。
路由器R5:配置简单的路由,使网络连通。配置DHCp为分公司动态分配地址。
入侵检测系统:安全功能:派生策略,需要监控tCp攻击、UDp攻击、DoS攻击、ip攻击。管理功能:管理接口地址为192.168.60.9/24,网关192.168.60.1,管理服务器地址为192.168.60.10/24
路由器R4:配置oSpF路由协议,配置基于接口验证功能,采用mD5方式。Fa0/0所在网段采用路由重方式,注入oSpF中,R4链路安全配置ppp实现CHap认证.
4)功能验证
根据以上网络方案进行实施,最后需通过实施验证看是否达到预期的效果。做以下简单的验证查看效果:
①mSw-1、mSw-2配置的VRRp组主备选举正常,当mSw-1上行端口Down时,可以正常切换
②各VLan用户可以ping通防火墙内网口ip192.168.50.2,断开Sw1上行线路断开,或者Sw1掉电,都可以正常ping通
③R2、R3、R4oSpF邻居建立正常
④在R4上可以正常ping通12.0.0.2,R2上可以正常ping通45.0.0.4
⑤查看R4路由表,通过oSpF只学习一条缺省路由
⑥在R5上查看DHCp绑定
3总结
本文通过一个具体的企业网的设计方案,体现了网络设计的思想和步骤,学生们在学校学了大量的关于进行设备配置的技术知识。对于网络方案的设计通过本文希望可以给大家以启示。
参考文献:
[1]李武,网络组建管理与维护,东南大学出版社
网络安全周策划方案篇2
2.基于3G用户测量报告精确定位网络问题的策略制定及应用黄必鑫,HuangBixin
3.基于双载波随机驻留策略的HSDpaRaB分配成功率优化刘占强,王斌,蒋振伟,LiuZhanqiang,wangBin,JiangZhenwei
4.基于DSR的wCDma软切换成功率的优化管纯辉,GuanChunhui
5.轨道交通覆盖设计及优化姚赛彬,飞,戚喜成,YaoSaibin,Lipengfei,QiXicheng
6.信息动态
7.异系统切换中的并发业务(multi-RaB)掉话研究和优化谭永全,tanYongquan
8.移动智能网组网方式升级为目标网对业务发展的意义韩永涛,曾庆文,徐若岚,HanYongtao,ZengQingwen,XuRuolan
9.wCDma异系统切换典型掉话实例分析付晓东,魏红强,FuXiaodong,weiHongqiang
10.GSm网络跳跃式频率优化方案黎宏曦,戴鹏,邓建峰,LiHongxi,Daipeng,DengJianfeng
11.wCDma地铁隧道覆盖的规划原则蒋振伟,王斌,刘占强,JiangZhenwei,wangBin,LiuZhanqiang
12.基于移动GSm900室内分布的多系统建设方案巫晨云,王旭,wuChenyun,wangXu
13.tD-SCDma网络商用初期的无线网络优化王剑锋,wangJianfeng
14.一体化监控支撑管理系统研究与实现赵旺飞,王齐,Zhaowangfei,wangQi
15.动环监控系统无线传输组网方案李加扬,李华军,杨楚,LiJiayang,LiHuajun,YangChu
16.面向数据中心的新一代交换架构杭州华三通信技术有限公司,H3C
17.基于虚拟mimo的tD-Lte终端省电机制李方伟,彭喻玮,LiFangwei,pengYuwei
18.windows平台下Voip语音引擎的框架设计陈亮篙,李炜,ChenLianghao,Liwei
19.基于RBaC的安全管理模块的设计与实现周志烽,王晶,ZhouZhifeng,wangJing
1.tD-SCDma网络tCp性能优化技术王晓东,张晟,wangXiaodong,ZhangSheng
2.3G系统中基于业务特性深度识别的应用张晟,孙伟,ZhangSheng,Sunwei
3.自适应上行链路增强技术张晟,贾思远,ZhangSheng,JiaSiyuan
4.信息动态
5.tD-SCDma网络小区合并技术及应用石浩,张晟,ShiHao,ZhangSheng
6.全面GpS授时优化解决方案贾思远,孙伟,JiaSiyuan,Sunwei
7.解决HSpa用户数受限的控制信道空分复用技术肖建华,石浩,XiaoJianhua,ShiHao
8.tD-SCDma系统频率规划创新方法研究徐德平,XuDeping
9.tD-SCDma三期室内分布系统设计探讨杨畅,YangChang
10.tD-SCDma网络优化增加邻区时的扰码规划方案郭宝,武峰,GuoBao,wuFeng
11.tD-Lte无线网络规划软件anpop介绍刘娜,李楠,Liuna,Linan
12.电信工程技术与标准化100Gbit/s速率标准最新进展施社平,ShiSheping
13.HSDpa关键参数及优化方法浅析黄翠琳,HuangCuilin
14.tD-SCDma系统密集市区的规划研究杨健,YangJian
15.tD-SCDma传送网规划建设探讨王立强,wangLiqiang
16.全业务接入光缆建设思路李昶,周洁娟,LiChang,ZhouJiejuan
17.场馆网络规划的思路及流程李懿,LiYi
18.移动县域客户接入能力提升探讨陈一伟,丁为民,邓也,ChenYiwei,Dingweimin,DengYe
19.面向电信运营商的系统漏洞分级体系研究张震,张洪刚,ZhangZhen,ZhangHonggang
20.梦网业务欠费风险控制系统研究马瑞瑾,maRuijin
21.tD-SCDma集群通信系统中的呼叫接纳控制策略研究谢静,唐宏,XieJing,tangHong
22.基于SCtp的异构网垂直切换研究吴财生,唐宏,何春燕,wuCaisheng,tangHong,HeChunyan
1.物联网与UHFRFiD频谱资源刘礼白,LiuLibai
2.Cm-imS点击拨号技术研究管晓培,王亚晨,俞承志,张明峻,严茂胜,GuanXiaopei,wangYachen,YuChengzhi,Zhangmingjun,Yanmaosheng
3.Cm-imS计费解决方案研究陈艾,袁向阳,俞承志,张晓京,Chenai,YuanXiangyang,YuChengzhi,ZhangXiaojing
4.Cm-imS视频会议技术甘亮,彭巍,解焱陆,杨波,尼凌飞,GanLiang,pengwei,XieYanlu,YangBo,niLingfei
5.基于Cm-imS网络架构的电话业务平台多归属解决方案赵瑞锋,ZhaoRuifeng
6.Cm-imS网络中重要网元容灾方案孙建强,吴丽华,SunJianqiang,wuLihua
7.Cm-imS与2G/tD-SCDma号码共享刘景磊,王亚晨,LiuJinglei,wangYachen
8.基于增强终端的统一Centrex组网实现李延东,LiYandong
9.中国移动电信级it服务管理平台的远景规划及演进策略高翔,侯春森,刘倩,张春,叶剑飞,段森,GaoXiang,HouChunsen,LiuQian,ZhangChun,YeJianfei,DuanSen
10.cdma1x手机射频性能入网测试刘立平,马治国,LiuLiping,maZhiguo
11.移动接入层拆环优化方法探讨张斌,韦宇,ZhangBin,weiYu
12.GSm网络无线利用率拐点及扩容门限的研究吴俊岭,杨朝晖,郭永明,高胜梅,wuJunling,YangZhaohu,GuoYongming,GaoShengmei
13.短信业务对GSm网络负荷的影响韩永涛,HanYongtao
14.信息动态
15.移机不改号业务方案董玲,DongLing
16.全业务运营背景下的高校区域网络建设方案王剑锋,wangJianfeng
17.彩铃系统数据库容灾解决方案孙忠岩,SunZhongyan
18.ipoe部署优化方案王云芳,赵霞,任念群,wangYunfang,ZhaoXia,Rennianqun
19.Lte中的SC-FDma技术研究郎为民,李建军,胡东华,高泳洪,Langweimin,LiJianjun,HuDonghua,GaoYonghong
20.imS中基于ReSt的wimS中间件平台设计与实现郑侃,王纯,ZhengKan,wangChun
21.一种新的智能网业务开发模式李广宇,王纯,刘国辉,LiGuangyu,wangChun,LiuGuohui
1.无线网络优化平台的规划与建设袁静,周胜,马华兴,YuanJing,ZhouSheng,maHuaxing
2.从wCDma跨iUR口切换失败案例谈RnC规划原则王晓龙,杨孝最,wangXiaolong,YangXiaozui
3.信息动态Http://
4.mSCpool规划中对话务潮汐效应的考虑李赟,刘宇,张奕,LiYun,LiuYu,ZhangYi
5.GSm位置区的规划及应用刘林春,韦雨涓,LiuLinchun,weiYujuan
6.移动城域传送网ptn网络规划方法探讨王刚,wangGang
7.tetRa集群通信系统空中接口协议徐小涛,XuXiaotao
8.tD-SCDma基站池方案探讨邓也,董鑫,王李勇,DengYe,DongXin,wangLiyong
9.远程光通信设备的供电方案探讨项磊,XiangLei
10.泄漏电缆轻轨干线覆盖工程设计研究郝云飞,李来杰,傅文中,HaoYunfei,LiLaijie,Fuwenzhong
11.7号信令承载ip化组网方案探讨孙媛,SunYuan
12.面向三网融合的广电网络发展探讨刘少宁,王锦龙,LiuShaoning,wangJinlong
13.绿色信息通信网络中的节能减排技术应用王洋,wangYang
14.SDCCH信道切换导致的短信错误优化分析毛里叶,黄建平,maoLiye,HuangJianping
15.ptn在深圳移动tD-SCDma中的应用方勇,FangYong
16.网间话务监控试议郭盛,GuoSheng
17.网络测量方法和关键技术王海涛,付鹰,wangHaitao,FuYing
18.微型光缆在电信基础设施共建共享中的应用戴广翀,田媛媛,李海滨,,DaiGuangchong,tianYuanyuan,LiHaibin,wangYi
19.tD-mBmS关键技术及Utn组网试验分析张高山,李楠,董炎杰,ZhangGaoshan,Linan,DongYanjie
20.号码携带业务彩信解决方案卢燕,李翠娟,王伟,LuYan,LiCuijuan,wangwei
21.基于路测数据的tD-SCDma网络室外传播模型校正研究许小婉,李嘉斌,王硕然,XuXiaowan,LiJiabin,wangShuoran
22.wLan网络中ap设备的覆盖能力分析电信工程技术与标准化田艳中,tianYanzhong
23.中兴力维移动视频运营系统黄小峰,HuangXiaofeng
1.tD-Lte网络演进关键问题研究陈其铭,罗伟民,孙炼,ChenQiming,Luoweimin,SunLian
2.基于imei的网络性能分析和优化李晖晖,黄继宁,孙炼,罗亚丹,LiHuihui,HuangJining,SunLian,LuoYadan
3.wLan与GSm、tD-SCDma室内覆盖分布系统合路试点及应用研究王应波,李挺,孙炼,罗亚丹,wangYingbo,Liting,SunLian,LuoYadan
4.wLan与GSm/tD-SCDma网络融合策略研究屈宏伟,李挺,孙炼,罗亚丹,QuHongwei,Liting,SunLian,LuoYadan
5.基于分级流量控制中心技术的短信池动态容灾备份解决方案郭红峰,潘毅,GuoHongfeng,panYi
6.限制用户超地域使用GpRS业务的研究及测试蔡家鹏,陈曦,陈伟栋,CaiJiapeng,ChenXi,Chenweidong
7.tD-SCDma室内覆盖快速优化方法黄翠琳,陈浩,HuangCuilin,ChenHao
8.2G/3G互操作策略的实施曾文豪,Zengwenhao
9.一种消除彩铃播放过程中铃音失真的方法尹旭雄,黄育平,YinXuxiong,HuangYuping
10.使用tD-HSDpa进行Ftp下载断流问题分析叶卉妍,许小婉,梁宇凯,YeHuiyan,XuXiaowan,LiangYukai
11.基于统一账号认证的无线接入综合管理平台陈亮,张鹏,陈旭翔,蔡世贵,毛仕文,ChenLiang,Zhangpeng,ChenXuxiang,CaiShigui,maoShiwen
12.面向大客户的iDC安全挑战及解决方案冯伟,张震,张红军,张洪刚,辛晓泳,何杰,Fengwei,ZhangZhen,ZhangHongjun,ZhangHonggang,XinXiaoyong,HeJie
13.一种与CatV共缆传输的tD-SCDma室分覆盖系统解决方案俞江汉,王尊义,刘海晨,高远,贺佳,YuJianghan,wangZunyi,LiuHaichen,GaoYuan,HeJia
14.关于GSm时钟同步标准及其影响于佳亮,于天泽,程华,YuJialiang,Yutianze,ChengHua
15.现有彩铃业务平台与imS融合方案研究汪崑,肖子玉,wangKun,XiaoZiyu
16.在城域网中进行ptn网络建设的模式李疆生,徐彬,张强强,LiJiangsheng,XuBin,ZhangQiangqiang
17.彩信用户满意度管理信息模型的建立与分析吴艳凌,周文安,卢宪祺,wuYanling,Zhouwenan,LuXianqi
18.tD-SCDma集群通信系统切换研究于晓,唐宏,何春燕,YuXiao,tangHong,HeChunyan
19.温控节能在通信基站中的应用迟洋,强应海,夏春,ChiYang,QiangYinghai,XiaChun
20.动态
1.上海世博tD-Lte演示网安全解决方案林良书,LinLiangshu
2.世博会tD-Lte视频通信业务应用研究卢姗,LuShan
3.上海世博会wLan与其他通信系统共用室外资源建设研究汪颖,汤利民,马向辰,徐德平,张海涛,邓安达,wangYing,tangLimin,maXiangchen,XuDeping,ZhangHaitao,Denganda
4.2010年上海世博会高话务密度移动网络解决方案谭皓,tanHao
5.世博会通信保障体系浅析李昊,LiHao
6.世博特殊场景下小型化智能天线的应用董鑫,邓也,潘浩,戴明艳,贾涛,DongXin,DengYe,panHao,Daimingyan,Jiatao
7.电信工程技术与标准化大型盛会综合指挥体系建设模式分析顾欣,GuXin
8.epon网络开通支撑系统的设计与实现崔锦娟,顾红霞,曹俊,陈建华,CuiJingjuan,GuHongxia,CaoJun,ChenJianhua
9.动态
10.基于pon的宽带接入覆盖及接入模式研究姜志远,王林,JiangZhiyun,wangLin
网络安全周策划方案篇3
关键词:建设项目;敏感资料;信息安全管理abstract:accordingtothemobileoperatorsinformationengineeringmanagementdepartment,inthesensitivedatamanagementintheapplicationofDLpstrategy,(DLp,Dataleakageprevention,namelydataleakageprevention),tosolveinformationloss,leakageofthescheme,withstrongguidingroleonimprovethespecificinformationofthelevelofsafetymanagement.
Keywords:constructionproject;sensitiveinformation;informationsecuritymanagement
中图分类号:tU714文献标识码:a文章编号:
1绪论
1.1背景
移动信息运营商,其网络工程项目主要以外包形式开展建设,其中工程管理部门作为建设单位代表,主要担负工程项目行政管理工作。工程管理部门在日常工作中,未直接接触公司业务及客户信息,信息安全管理被重视程度较低。但是工程管理部门参与工程建设项目合作单位招投标、设备采购,掌握公司网络规划信息等重要敏感数据,这些信息的不恰当泄露,将严重影响工程建设开展,损害公司利益。因此,需要针对工程管理部门资料信息安全管理的不足,落实一系列措施,提高信息安全管理水平。
1.2问题及目标要求
工程管理部门日常涉及的信息资料,包括网络战略规划、项目进度、质量、投资计划方案、工程管理方法、项目招投标事项、项目周期报告等。其中,网络战略规划、工程管理方法、项目招投标事项属于敏感资料,需重点保护,其他信息属于可公开资料。工程管理部门敏感资料管理要求较低,允许投入的管理成本少,在公司信息安全管理中,属于被动配合部门,普遍未建立适用工程管理部门敏感数据安全管理规范,存在比较严重的敏感数据泄露风险。
在本文中,将根据DLp策略原理,对工程管理部门在敏感资料管理方面的实际操作,提出完整解决预案,达到以较低成本、较易落实的方式,提高信息安全管理水平的目标。
2敏感资料DLp方案
根据DLp策略(DLp,Dataleakageprevention,即数据泄露防护),全面识别文档、邮件、文字等敏感信息,评估信息风险,统一制定防泄漏策略,监控信息泄密途径,采取适当的技术手段和管理手段进行阻止。根据“图1工程资料保护实施流程”,下面通过对内容进行分析,按照策略来识别、监控和保护静态存储的、使用中或动态传输的数据。
图1工程资料保护实施流程
根据上述流程图,以下说明各重要环节的措施。
2.1工程信息资料识别及安全要求分类:
表1工程信息资料分类管理要求
2.2针对不同密级信息资料的安全保护策略,包括管理手段及技术手段。
表2工程信息资料保护要求
表2保护要求中的具体技术手段及管理手段如下:
(1)公司内部人员使用专用认证帐号,才能登录办公网络(含局域网),认证帐号不能借与他人使用,否则一经发现通报批评,并考核处理。
(2)公司外部人员原则上不能登录办公网络(含局域网),特殊情况需要登录,须申请临时认证帐号,经项目主任、部门经理、公司安全管理部门审批。认证帐号专人使用,如借与他人使用,一经发现考核处理,直至取消参与公司项目资格。
(3)办公室电脑必须安装公司指定的防火墙及赛门铁克防病毒软件,安装软件必须及时升级更新(或自动更新)。所有电脑均设置帐号登录密码,并且要求在离开屏幕时退出登录或者锁屏。
(4)文件服务器使用访问控制机制,由公司安全管理部门部署防火墙,并且关闭所有外部访问端口,仅允许局域网访问。
(5)文件服务器使用授权机制,所有人须使用各自登录帐号才能登录访问,并根据各自权限对文件服务器上的文件,进行新建、修改、删除、阅读等。
(6)文件服务器对登录帐号活动进行日志记录,以便落实监控、审计机制。
(7)办公室为部分人员配备可上锁的文件柜,可密封文件袋。
(8)公司/部门档案室专人管理,文件的出入均实现审批、签收记录的制度。
(9)办公室开展密码学基础知识培训,关键岗位均应掌握并设置“易记且足够健壮”的密码。
2.3执行保护策略,审核与持续改进
从管理制度上规范保护策略,还要对相关人员进行宣贯教育,才能保证保护策略的有效落实。
为保证并评估策略的实施效果,开展周期性的检查审计,对发现问题及时整改,对发现不足进行改进,形成闭环管理。
(1)将上述保护策略的检查点,制作成标准的检查表。
表3工程信息安全检查表(部分)
检查内容检查描述检查结果
抽查不少于25%的办公电脑,检查是否规范使用网络登录认证帐号
抽查不少于20%的办公电脑,检查是否安装了防火墙及防病毒软件,防火球及防病毒软件是否及时更新
抽查不少于20%的办公电脑,检查是否设置了登录密码
抽查所有项目办公电脑,办公人员离开电脑时,是否退出系统登录或进行锁屏
检查当天接入办公网络的第三方电脑,是否按我公司规范正确使用认证帐号、安装防病毒软件等
随机询问办公室不少于10%的人员,结合个人岗位,讲述部门敏感资料管理要求
抽查一个项目,检查文件的存放及加密、传递记录,是否符合规范
…………
(2)由经理人员、信息安全管理员组成检查组,根据表3内容,周期性开展对保护策略落实情况的检查。
(3)根据保护策略实施结果、检查结果,阶段性开展保护策略总结分析,分析其中改进需求,持续改进。
3结论
在本文中,针对工程管理部门在敏感资料管理中面临的问题,根据DLp策略,在“预防为主、突出重点、便利工作、保障安全”的方针指导下,提出了解决的预案。解决预案,贴近实际工作,落实成本低,能够在较大程度上,满足工程管理部门目前信息安全管理要求,对实际工作具有较强指导意义。
受篇幅及作者水平的限制,本文中针对问题提出的解决预案未尽详细。如果在实际工作中落实,可根据解决预案,制定更加具体的方案措施。
网络安全周策划方案篇4
关键词数字化校园备份容灾
中图分类号:G640文献标识码:a
explorationofDataBackupandDisasterRecoveryinDigitalCampus
YoUJunhui
(Departmentofinformationengineering,Guangzhouinstituteoftechnology,Guangzhou,Guangdong510925)
abstractwiththewidelyuseofdigitalcampusincolleges,ensuringthedatasecurityofdatacenterbecomesespeciallyimportant.tolayafoundationforthespecificimplementationofdatabackupanddisasterrecoveryinthefuture,thispaperanalyzestherequirementfordatabackupanddisasterrecoveryofdigitalcampus,constitutethepreliminarybackupstrategyanddesignthebasicplanofdisasterrecovery.
Keywordsdigitalcampus;backup;disasterrecovery
0引言
近年来,随着高校信息化建设的不断深入,各种维持高校日常教学管理、学生管理、行政管理等正常工作的信息管理系统不断涌现,并逐渐形成公共数据库和数据交换平台,①由高校的数据中心进行统一管理。数据存储的集中度及庞大的数据量使数字化校园建设面临着数据安全要求高、数据管理难度高、系统维护成本高等各方面压力。而目前许多高校的数据中心仍存在一些硬件平台相互独立、产品质量参差不齐、存储管理软件功能不完善等缺陷,②这进一步增加了管理海量数据的难度和数据的运维成本,严重时可能会造成数据存储设备读写性能低下,存储服务器的可扩充性和兼容性差,数据可靠性低,不利于数据的备份与恢复等问题。针对这一系列问题,需要提出一套与之相适应的数据备份与容灾方案予以解决。
1备份与容灾应用需求
校园网数据中心承担着数据构建、保存、更新、集成、分发、共享的任务,同时提供容灾、备份等信息服务。③而数字化校园网络的数据存储与传输涉及的数据量大,数据类型复杂,构成数字化校园信息平台的教学系统、办公系统、图书馆管理系统等多个系统相互独立,数据共享难度大,信息存储分散在多个服务器上,存储资源浪费很大。这就要求数据中心具备较高的数据安全性、高可管理性、良好的可扩展性以及数据访问的连续性。
1.1安全性需求
从数据管理的角度看,小至人为误操作导致的系统破坏及数据丢失,大至自然因素导致的火灾、地震、水灾等突发事件,都会使数字化校园的数据安全受到威胁。④这就要求备份与容灾系统具备稳定的性能和良好的安全性,要能保证当意发生时,能够及时启动备用的存储系统,以保证整体系统能够继续平稳、正常运行;另外,需要制定严密的数据备份与容灾方案,作为系统出现故障时数据能够及时恢复业务能持续运行的保障。
数据安全的威胁主要来源于硬件故障、软件故障、人为操作失误、恶意删改、自然灾害等。
针对硬件故障,一种主要的解决方案是廉价磁盘冗余阵列(RedundantarrayofinexpensiveDisks,RaiD)。RaiD是一种通过逻辑或物理的方法将多个硬盘组建成一个新的逻辑阵列盘,将数据分散地储存在不同的磁盘中,存取数据时,阵列中的相关磁盘一起动作,以大幅减低数据的存取时间,同时获得更佳的空间利用率的技术。⑤该技术有多种级别,其中最常用的是RaiD1(磁盘镜像)和RaiD5(带分布式校验块的独立磁盘阵列)。RaiD1的每一个磁盘都具有一个对应的镜像盘,对任何一个磁盘的数据写入都会被复制到镜像盘中,系统可以从一组镜像盘中的任何一个磁盘读取数据。RaiD1的读性能好,可靠性很高,但由于其物理磁盘空间是逻辑空间的两倍,其成本也是磁盘阵列中最昂贵的一种。RaiD5是在同一阵列所有磁盘上交叉地存取数据及奇偶校验信息,每块磁盘上的校验信息由其他几块磁盘上对应数据块计算得出。因此,如果一块磁盘失效,其他盘上的校验信息和数据即可经过计算重新产生失效盘上的数据,这样既提高了数据安全性,又避免了单位成本过高的问题。
针对软件故障、操作失误及恶意删改等软故障,一般采取结合数据备份恢复软件,制定相应的数据备份计划和恢复方案的解决办法。在数据正常时做好有计划的备份,记录下当前数据的状态,当软故障引起数据丢失时,即可借助数据恢复方案把数据恢复到最近一次的备份,最大程度地减少数据的丢失,保证数据的安全性和可靠性。
1.2可管理性需求
要求整套数据备份与容灾方案能够提供人性化的可操作界面,以便对整个系统进行实时的监控、管理和维护。同时,由于存储设备多且位置分散,要求系统的管理功能能够轻易地对分散在各处的存储设备进行管理。
1.3可扩展性需求
要求整套存储备份系统能够在系统升级时平滑地接入新的系统,同时不增加服务器和局域网的负担,具备灵活的升级能力和良好的可扩展性。
1.4数据访问连续性需求
所设计的方案应满足整个系统不会因为某块板卡或连接线路故障而导致数据不可访问,在经费允许的情况下,应尽可能地减少系统的单点故障,最大限度地保障应用服务器对系统数据访问的连续性。
2备份策略的制定
备份策略是指确定需备份的内容、备份时间以及备份方式。备份策略关系到数据的完整性、安全性、可靠性和有效性,并在系统软硬件发生任何故障时可以快速恢复数据。⑥一个完整的备份策略是根据实际应用环境和备份系统的特点,对备份问题进行分析,最终决策形成的一个详细的备份内容分解机对应的备份调度计划,用以实现预期目标。
2.1备份方式的选择
目前采用的备份方式主要有以下3种:
完全备份:即对现有的所有文件都进行备份。其优点在于,当数据遭到破坏或丢失时,只要使用灾难发生前一天的备份磁带即可恢复丢失的数据(假设备份介质为磁带,且每天使用一盘磁带进行备份)。但如果每天都采用这种方式进行备份,其数据量之大可想而知,而且需要耗费大量的时间和服务器资源乃至网络资源。
增量备份:这种备份方式通常与完全备份结合使用。假设管理员在周日进行一次完全备份,在接下来的六天中每天都只对与前一天相比新增的或修改过的文件进行备份。这种备份方式既节省了存储设备的空间又大大缩短了备份处理时间。然而,一旦灾难发生,这种备份方式就会明显暴露出两大缺点:数据恢复操作繁琐和备份可靠性低。同样设每天备份都需要用到一盘磁带,假设周四早上系统发生故障造成大量数据丢失,那么数据恢复时就需要用到周日完全备份的磁带以恢复周日及之前的数据,除此之外还需用到接下来的周一、周二、周三晚上进行增量备份的3个磁带,分别用于恢复周一、周二、周三新增的或被修改过的数据,灾难发生的时间离完全备份的时间越远恢复起来就越麻烦,用到的磁带和恢复操作就越多。
差异备份:这种备份方式也通常与完全备份结合使用。同样假设管理员在周日进行一次完全备份,但与增量备份所不同的是,在接下来的六天中每天都只对与周日相比新增的或修改过的文件进行备份。这种备份方式与增量备份相比,同样也无需每日进行完全备份,能够大大节省备份的时间和存储设备空间,而且在进行数据恢复时避免了增量备份方式带来的操作繁琐,只需使用最近一次完全备份和最近一次差异备份的磁带就能进行数据恢复,所需的磁带少,且可靠性更高。
在实际应用中,备份策略通常采用完全备份+增量备份或完全备份+差异备份的结合形式,鉴于上面提及的增量备份的缺点,建议选择后者的结合形式。
2.2备份策略实施关键
备份策略具体应如何实施需与不同服务器的功能及其所存数据的用途和重要性相结合来进行安排。在进行具体实施时,需注意以下几个关键点:首先,由于数据量大,使用网络备份系统无可避免,但也不能完全依赖网络备份系统,尤其对关键数据而言,必需采用至少两种备份方法,比如除了借助网络备份系统进行备份之外,还可采用操作系统备份方法作为软件备份的补充,这样即使网络备份系统运作失效也可保证当日有一份备份成功。其次,备份时不要只备份到磁带,而应先备份到硬盘,再备份到磁带。数字化校园中某些重要系统如oa系统的数据实时性较强,需要在短时间内进行备份和恢复,要求取得较短的恢复时间。由于磁带是脱机存储介质,数据库崩溃时,若从磁带恢复数据到硬盘需要较长的传输时间,但如果备份时先备份到硬盘再备份到磁带,那么当数据库崩溃时就可以直接使用硬盘中的备份进行恢复,节省了数据从磁带读入到硬盘的时间,从而减少了平均恢复时间。再者,应考虑定期把关键应用数据转移到异地,以确保本地服务器遇到灾难性事件后本地关键数据能得以恢复。
3容灾方案初步设计
由于我校建有多个校区,为应对不可抗力灾难情况发生,除了需要进行常规的本地备份之外,还需进行异地灾难备份。为实现主校区和分校区间的数据级容灾,可将主存储系统设置在数据中心所在校区,备份存储系统放置在另一校区。
根据我校数字化校园建设现状及要求,初步建议数据中心配置一台在线主存储系统,该系统中配备一套虚拟化数据管理平台。而容灾中心的备份存储系统中设置一套虚拟化数据管理系统。
为保证对在线存储中重要数据的容灾,利用该虚拟化数据管理平台中的远程复制模块将现有存储设备中的数据按照事先设定的策略通过ip网络传输到远程容灾存储系统的存储池中。每次数据复制只复制上一次复制后的变量数据,以降低网络带宽占用量。由于数据直接通过虚拟化平台传输到远程,中途无需经过任何应用服务器,因此可以实现远程复制过程中对应用服务器的零干扰。
为主存储系统和备份存储系统配备时间点连续数据保护功能,对存储设备中的重要数据进行连续的时间点备份,保存数据在不同时间点的多个备份版本。一旦数据中心存储系统遭受灾难时,即可对不同备份版本的数据进行检查,最终把数据恢复到离灾难发生之前最近的时间点。
以上采用的主备存储方式理论上可支持各校区服务器的共同使用,遇到灾难可以快速恢复业务。
4结束语
以上所提出的备份与容灾方案仅为初步方案,理论上能够满足我院数字化校园对容灾备份的基本要求,可为日后的容灾方案详细设计及软硬件设备的选择提供参考方向。
注释
①左锋,宋艳.数字化校园数据备份体系建设探索[J].计算机与网络,2012(20):51-53.
②汪宏伟.基于San的高可靠性校园网络信息存储系统的设计[J].情报探索,2006(2):54-56.
③吝春妮.数字化校园中数据中心建设与数据库安全[J].软件导刊,2011(4):163-165.
④徐震.数字档案馆数据备份系统方案的规划[J].兰台世界(理论版),2006(9):21-22.
网络安全周策划方案篇5
2.流媒体技术在无线网络中的应用电信建设陈萍,CHenping
3.nGn中固定和移动网络融合左伯茹,庞韶敏,唐雄燕,ZUoBo-ru,panGShao-min,tanGXiong-yan
4.基于Sip协议的会话控制miB的实现肖修鹏,杨济安,XiaoXiu-peng,YanGJi-ani
5.软交换域间基于Sip-t协议互通的研究赵京玺,刘丽丽,崔文博,ZHaoJing-xi,LiuLi-li,Cuiwen-bo
6.epon接入何渭春,Hewei-chun
7.wCDma的软切换算法和tD-SCDma的接力切换算法的分析与比较郑中华,葛万成,ZHenGZhong-hua,Gewan-cheng
8.电信建设北京网通iBS合一帐务系统的网络性能评估和系统建模方法张瑛,宋建国,ZHanGYing,SonGJian-guo
9.全面推行社区经理制开辟企业发展之路张琳,ZHanGLin
10.电信运营企业大客户管理的策略研究张春雷,陈俊彬,ZHanGChun-lei,CHenJun-bin
11.基于事务处理的电信级业务控制系统张慧慧,董龙,姜建国,姚云,ZHanGHui-hui,DonGLong,JianGJian-guo,YaoYun
12.找准双模切入点开辟小灵通发展的新天地张琳,ZHanGLin
1.项目管理中如何识别客户的真实需求郑程军,韩春生,ZHenGCheng-jun,HanChun-sheng
2.组播技术在卫星DVB系统中应用吕可国,LUKe-guo
3.数字版权技术及其在iptV中的应用傅坚,FUJian
4.aSon架构及标准进展罗文辉,LUowen-hui
5.通信信令网中的Stp张永明,徐涛,郭学力,ZHanGYong-ming,XUtao,GUoXue-li
6.ipoverwDm解决方案的研究赵京玺,崔文博,刘丽丽,ZHaoJing-xi,CUiwen-bo,LiULi-li
7.用C/C++语言搭建网络平台仿真网络的阻塞率漆澍,李乐民,罗洪斌,虞红芳,QiShu,LiLe-min,LUoHong-bin,YUHong-fang
8.中国电信业海外直接投资研究杨挺,YanGting
9.aDSL服务张献春,ZHanGXian-Chun
10.大力推行预付费提升固话收入张琳,ZHanGLin
1.宽带业务网络的发展电信建设韩鼎金,HanDing-jin
2.智能化和综合化下域传送网规划设计苏辉,杜伟,刘越男,SUHui,DUwei,LiuYue-nan
3.DSLam中ip组播的实现龙楠楠,唐雄燕,LonGnan-nan,tanGXong-yan
4.组件GiS与webGiS应用研究之比较高勤,GaoQin
5.Voip关键协议研究与分析顾萍,王飞鹏,GUping,wangFei-peng
6.ipCentrex业务及实现庞韶敏,柯可,panGShao-min,KeKe
7.电信运营网络时间同步系统的建设王春芳,wanGChun-Fang
8.组播技术在流媒体业务中的应用陈萍,CHenping
9.小灵通网络资源管理系统建设探讨王爱敏,wanGai-min
10.浅谈ein1.0陈有珍,CHenYou-zhen
11.aDSL维护经验交流苏进,SUJin
12.浅谈视讯业务的发展李建国,LiJian-guo
13.宽带和网络的应用技巧崔国园
14.aDSL拨号中出现的错误代码解释苏进
1.探询中国3G决策思维陈金桥
2.aDSL2/2+关键技术的探讨柯可,唐雄燕
3.小灵通短信业务发展的可能瓶颈分析关欣欣,张小兵
4.oFDm在多径环境及多径衰落时的特性研究叶奕亮
5.环境动力集中监控系统组网及相关技术指标分析邢权
6.基于Jainapis的智能网技术陈燕勇
7.分级组织无线多跳网络路由协议HSR研究张现伟,杨济安,张高峰
8.移动位置服务王文宇
9.HSDpa关键技术演进的研究王建,李方伟
10.pHS无线网络覆盖优化北京东方信联科技有限公司
11.威奥特公司小灵通个性化回铃音系统张泽,王广荣
12.互联网数据中心电源系统设计方案探讨张炳华
13.电信建设华为aip和彩铃实现方案探讨傅晓红,李骏,张永明
14.pHS直放机在网络中的应用解决方案蔡世争
15.新型天线使小灵通活力倍增李知新
16.宽带业务用户常见问题解答高玉才
1.天线在移动通信网络中的应用李威
2.电信运营商与信息安全傅坚,陈斌
3.HSDpa--把3G推向3.5G周洁
4.网络安全漏洞主动分析及预测攻击的新模型汤云革,刘嘉勇
5.基于超宽带的高速无线个域网研究王建,李方伟
6.兼顾各方利益的移动互联网QoS定义、评估和体系结构王玉峰,王文东
7.浅谈移动蜂窝与adhoc网络的融合夏炜
8.中国海缆业"走出去"的研究杨挺
9.终端与业务创新--走出固网增值业务的困境陈山枝,韩敏霞
10.一种提高网管应用开发效率的新工具宋立华,王海涛
11.网络运营商部署mpLSVpn需考虑的问题及应用分析唐景莲
12.Voip在美国的动向及对我国的影响宋向东
13.对通信运营商大客户管理系统的分析和设计刘捷,余琦,邓炳光
1.在2008年奥运会固定通信合作伙伴庆功大会上的讲话
2.互联网骨干带宽测算模型研究李国瑞,马少武,包建军
3.无线adhoc网络李威
4.UmtS和wLan融合环境下基于策略的QoS管理体系万仁福,李方伟
5.宽带ip网的QoS控制机制夏俊杰,周雪峥
6.卫星多媒体数据广播业务分析及实现兰杰,张路Http://
7.智能建筑综合布线技术的应用马银伟,李国瑞,尤家锋
8.ipv6的实施及进行的研究与追踪王崛
9.HSDpa关键技术演进的研究王建,李方伟
10.电信运营企业信息化及CRm系统建设分析王菘,安峰,卢向群
11.充分挖掘用户主干电缆的潜力胡济生
12.浅述无线市话(pHS)实时计费技术的实现金叶
13.浅谈数据网络的优化工作刘振宇
14.浅谈GSm系统的单通问题林志宏
15.供应链管理模式下的采购管理肖广
16.宽带网常见故障及解决办法崔国园
1.创新奋进奔一流向综合型咨询公司迈进北京市电信规划设计院
2.基于mpLSVpn技术的H-Vpn业务韩鼎金,邹俊君
3.北京通信网络资源管理系统建设思路的探讨铁伟
4.当前大客户售前售中工作分析张郁安
5.奥运体验厅的技术应用电信建设张敬,周晓滢
6.mStp技术及其应用郭文宇
7.视频会议业务介绍李作林
8.城域以太网客户应用分析汤立
9.Dpn网络现状及特点张锦霞
10.mRtG技术在大客户专网中的应用和推广邵慧剑
11.应用层测试方案及某大客户专网故障案例分析周杲捷
12.酒店综合业务通信解决模式探索刘洪涛,陈渝
13.城域网解决方案对比分析贾鹏
14.建立综合网络监测系统进一步提升客户服务水平赵金阳
15.面向大客户本地atm网络业务发展思考戴红
16.从全国人大项目看客户项目管理于兰
17.针对校园和小区用户的nGn分组话音应用方案王亚利
18.城区覆盖难点的一种新型解决方案宇龙通信公司
1.关于企业战略管理体系的探讨牛俊岩
2.提升管理效率的关键点探讨王育民,杨子真
3.城域网中mStp技术的引入左鹏,温锋,魏春城
4.aDSL互通性探讨及测试解决方案栾文魁,李树明
5.运营商多播部署及业务管理策略王志灵,唐戎
6.web文本挖掘系统及聚类算法的研究唐菁
7.nGn中enUm技术的应用温锋
8.CR-LDp和RSVp-te重路由机制的比较张伦泳
9.webCache技术及其在电信运营商中的应用张震,饶光,唐戎
10.mpLSVpn技术综述及业务运营部署策略研究马少武
11.中国电信企业融资方式分析祝歆,周欣
12.aDSL用户需求解决方案刘大川
13.有关北京通信aDSL计费的一些问题胡汝赓
14.DDn面临的问题和解决方案霍颖丽
网络安全周策划方案篇6
目前,在激烈的电信业市场竞争环境下,传统电信业务正步入新的融合时代。电信、信息、数字媒体、消费电子等产业将走向更全面深入的融合与互通。这就促使运营商寻求新的运营模式,力争在产业变革的潮流中取得新商业成功。
ip技术已经成为下一代电信业务的承载技术。但众所周知,ip技术融开放性与复杂性于一体。目前,在基于该技术体系的新运营模式下的运维管理领域,普遍存在以下三方面的问题:
第一,多业务承载涉及网络环节增多,网络的高度灵活,路由自动计算,故障很难人工发现,从而导致故障定位效率低下,进而用户满意度持续降低;第二,对于共享式网络,难于获取实时精确的网络与业务性能数据,无法掌握网络性能kpi指标与业务的性能瓶颈,只有通过用户感受才能知道,以至于用户黏度持续降低;第三,缺乏科学实际的网络规划方法与工具,无法支撑构建科学的网络,难以保证网络与业务的健壮性。
因此,必须有“医护专家”式的运维管理解决方案解决上述问题,从而达到“精准诊断、高效治疗、提前预防”的良性循环。华为从以下三个方面提供高效、整合的解决方案服务于运营商的成功转型。
快速故障诊断提升用户满意度
华为医护专家解决方案通过业务层与网络层的联动实现了高度智能化与自动化的独特解决方案,从而实现快速故障定位,提高运维效率。具有华为特色的逐跳式端到端故障定位、逐层式联动故障定位形成矩阵化的故障定位模型,将业务与网络进行精准联动,提高了故障定位的准确性与效率。
逐跳式端到端故障定位是通过从网络的接入到汇聚再到核心的端到端逐点跟踪定位技术实现故障位置的精确定位,可定位到具体设备或路径。
逐层式联动故障定位是通过丰富的oam工具实现从接口、路径、管道、业务到应用的逐层联动诊断,精确判定ip语音、视频、数据等业务故障点,定位故障位置;再结合丰富的专家经验库,实现精准自动化的故障诊断,给出故障原因、危害等级与恢复措施。
在部署方面,提供内置软件探针和附加硬件探针两种更加灵活的部署形式。内置软件探针在成本方面有显著优势,而华为率先提出的附加硬件探针方案在多厂商设备复杂组网情况下具备领先优势。
这样就形成了矩阵式、灵活、全方位的故障诊断解决方案,通过该解决方案,一方面将运营商从枯燥繁重的故障诊断工作中解脱出来;另一方面快速与准确的故障定位,帮助运营商保证业务质量,提升用户满意度。
实时性能管理防患于未然
直观、层次化的性能数据统计与分析协助运营商对当前的业务与网络进行精确的评估,并为未来的业务与网络规划提供决策支持。华为医护专家解决方案提供网络、业务与用户的全方位实时监控,可以提前感知、发现网络的运行隐患,把脉网络运营状况,防患于未然:
首先,华为医护专家解决方案通过对网络与业务的实时性能kpi指标(网络时延、抖动、丢包、连通性)数据的挖掘分析,适时调整相关网络与业务的配置参数,改善其kpi指标,从而便捷地向用户提供满足特殊需要、差异化的服务;
其次,华为医护专家解决方案提供了完善的sla管理,使得运营商可以根据不同的用户类型、业务类型设定层次化的服务质量保证策略,实时监控网络与业务kpi指标同设定指标的对比差异,第一时间发现用户应用体验质量的下降,发出sla质量劣化预警,及时采取质量恢复措施并安抚客户,从而协助运营商加固客户关系,提升用户体验与忠诚度;
再次,借助网络与业务的历史性能趋势分析,提前感知网络与业务性能瓶颈,精确定位导致瓶颈的相关因素,及时制定预防措施(如升级、扩容规划等),防止重大故障的发生。
科学网络规划增强网络健壮性
人们在面对疾病时,不仅仅需要一剂良药,还需要一个完善的医护建议。同样,面对网络与业务的高效运维要求,运营商不再仅仅需要一个软件产品,还需要一个完善的解决方案,涵盖规划、仿真、实施、维护的全生命周期;并且运营商不仅关注具体的网络管理内容,而且更加关注面向生命周期和业务应用场景的管理模式。比如运营商在关注网络拓扑结构的同时,对业务是如何快速高效地在该网络环境下进行发放、运行与维护给予的关注也越来越多。
华为医护专家解决方案通过与业界领先的网络规划专家wandl的深度合作,提供全面整合、面向全生命周期的网络规划解决方案,从网络前期的规划到后面的部署,帮助运营商构建科学的网络,增强网络健壮性,使得网络的效率和效益达到最高。
网络安全周策划方案篇7
【关键词】网络建设网络规划网络优化双网运营
tD-SCDma是由我国自行提出并主导完成、被国际认可的第三代移动通信系统标准。发展tD-SCDma对于提高我国通信业自主创新能力、推动创新型国家建设具有重大意义。随着3G时代的到来,我国运营商机遇与挑战并存。运营商如何结合自身的特点,采用创新的工作模式,开展工程网络建设、网络规划优化、网络运营,做好网络支撑,充分发挥tD-SCDma的技术优势,提高客户感知,保持公司持续的竞争力,是亟待研究的课题。
1tD-SCDma网络建设
tD-SCDma网络建设是一个系统工程,涉及面广、投资大、周期长。如何通过有效的工程项目管理,保障网络的快速建设与部署,构建精品移动通信网络,成为运营企业关注的问题。我国目前tD商用网建设和运营刚刚开始,在tD建设与组网方面正处于探索阶段。如何构建一个性能优良,业务丰富,质量上乘的通信网络是决定其生存和后续发展的决定性因素之一。可以考虑从GSm系统建设中汲取和借鉴有价值的方法和思路,结合tD-SCDma本身的技术特点和网络建设的要求,从项目管理模式、管理内容、资源配置、建网思路等方面深入思考,探索出适合tD-SCDma网络初期建设的思路。
1.1工程项目管理
科学合理的工程项目管理是快速建设高品质tD-SCDma网络的保障。立足于2G网络建设、优化和运营中积累的工作经验,从概念、原理上与GSm系统区别开来,高效地完成工程建设任务,建设tD精品网络。tD-SCDma网络建设项目管理包括:
(1)科学的工程管理体系
以项目管理流程为核心,以工程质量管理、服务外包管理、文档信息管理、维修备件管理为依托的管理体系,保证项目顺利实施。在实际操作中,采用现场联动机制,开展经验交流活动,将优秀经验及时总结,及时分享,充分吸取及借鉴2G网络建设经验和优化经验,极大地推进了项目的建设进度和网络质量。具体措施包括:
建立专职支撑工程项目组,成立tD网络建设办公室。
分阶段工作目标管理。针对tD网络建设的新特点,结合各地区的建设现状,项目组形成“以簇顺序为核心,安排整体建设、统筹资源”的总体工作思路,并制定出分阶段的工作目标。
合理的资源配置管理。tD建设规模大、工期紧,需要调配大量的人力、物力资源,合理统筹资源是tD项目建设的有力保障。支撑项目组应在充分预估风险的前提下,对每道工序所需要的资源进行精准分析。
专业的技术工作团队。专业的队伍,合理的组织结构是保障项目完成的关键。网络规划组、工程实施组、网络维护组、测试优化组和设备物流组建设项目经理。
精细有效的项目控制。以里程碑为纲,逐层分解落实;制定总体预警与风险应对计划;定期召开项目例会,及时解决问题。
(2)因地制宜的建网思路
在tD-SCDma建网的思路上,应该因地制宜,充分考虑具体的场景。由于tD技术特点,基站需要成片开通、优化。为确保项目的进度和网络质量,项目组应制定以“簇”为单位进行工程建设部署的“片区簇”模式和“网中网”的建网思路,在保证总体进度的前提下,对具备开通条件的基站做到建好一个开通一个,边建设边优化,以保障建设完毕的网络经过短时间全网优化即可商用,大幅度缩短工期。
(3)全面的技术解决方案
在tD网络建设过程中,针对普遍场景提出了不同的组网方案,同时开展广泛的课题合作,针对各类特殊场景提出独到的解决方案,涵盖网络建设中遇到的各种场景。
(4)快速的工程实施
tD与2G共站址,解决站址困难,快速建网,以节约投资成本与运营成本。
(5)创新的工程改进和工程管理模式
根据工程实际情况,坚持不断创新的精神,持续进行多方面的工程机械设备改进,便于工程实施,有效加快了建网进程。在工程施工方面积累经验,为合理统筹安排建设资源,合理安排工序,项目组根据tD工程特点,提出创新的“平行流水”的工程建设方式。
1.2tD-SCDma网络规划
tD-SCDma规划包括网络规划和业务规划,网络规划又包括覆盖规划、容量规划、承载规划、局房规划等,其中覆盖、容量、业务是密不可分,相互影响、相互制约的。对于移动公司而言,tD网络不是孤立的,是依托于现有2G大网上的一个局部网络,应该将2G/3G统一规划、建设、维护和运营。
tD-SCDma网络规划与GSm遵循着基本相同的流程。通过无线网络规划和优化的各个环节的比较,在分析GSm网络规划特点的同时,不难发现许多可供tD-SCDma吸收和学习的经验。tD二期网络建设遵循的总体原则为:2G/3G协同发展,室内外相互兼顾,一次规划,分期建设,认真实施。
(1)总体规划原则
应该根据市场预测、设备状况、投资能力和盈利前景的差异,选择不同的建设策略。总体规划原则为:
统一规划:在规划中从全局的角度来着眼,把满足未来2~3年的业务发展作为系统目标进行规划设计,网络架构和基站布局尽量呈现相对稳定的格局;
分布实施:根据各个地区的差异,分期、分阶段、分区域地部署网络;
快速部署:根据市场竞争的需要,谁抢得先机谁就占主动;
规模发展:在局部区域形成竞争能力,网络覆盖效果较好,网络持续扩容能力较强。
许多网络问题在网络规划阶段造成的,高水平的无线网络规划为后期网络优化和维护奠定良好的基础。无线网络规划的主要思路为:建立全程全网的规划体系,确保网络质量;充分利用2G现有站址资源,加快建网进程;室内外协同规划,综合考虑;促进产品与周边环境和谐,注重环境保护;对特殊场景进行重点研究,提升现网性能;高性能的网优工具,助力精品网络建设。
(2)tD-SCDma无线网络规划流程
tD-SCDma网络应根据不同区域的重要程度,采用分步实施的规划和建设方式。网络规划遵从先覆盖后容量、先重点后连续、网络容量及质量先重点地区后一般地区的原则,分期规划和建设。在服从无线网络规划的总体原则情况下,tD-SCDma无线网络规划结合自身特征,主要包括六个阶段:网络发展规划、网络调研、网络规模估算、预仿真、站址勘查和详细规划。根据具体场景考虑实施室内特殊覆盖,应该采用合适的比例,体现出室内外平衡设计的思路。tD-SCDma无线网络规划的过程如图1所示。
tD-SCDma在中国的发展,不仅受到技术的影响,还受到产业链、产业政策、市场需求、网络现状等多方面的影响。tD-SCDma无线网络规划需要在实际的网络建设和运营中不断加以总结和完善。考虑到tD-SCDma网络规划灵活的特点,在建网初期可以重点考虑覆盖因素,后期可通过增加频点和补盲站点的方法增加系统容量。
1.3tD-SCDma网络的工程建设
tD-SCDma网络建设应遵循网络规划的原则下,在保证网络质量的前提下,充分利用现有各种资源和设施,包括室内分布系统、站址、机房、铁塔、天馈线系统、防护设备、传输设备、电源设备等,以便节省网络投资,加快建设进度。
(1)GSm/tD共站址,提高共站比例
充分利用现有的2G站址、室内分布等资源,尽最大可能共站址建设,努力提高共站比,解决站址选择难题,保障工程顺利实施。
建议在对2G室内分布系统改造时,兼顾wLan的需求,建设三网合一的融合网络。
借助tD网络建设时国家政策及地方政府的支持,在原先GSm网无法进入的区域新建tD基站,在后期GSm网络扩容时也会使用到新建设的tD基站站址资源,即所谓“反向共站”。
(2)施工经验的积累
根据tD设备、天馈线部分等施工特点,制定科学的施工方案。tD施工过程中应注意经验的积累,包括天馈安装,GpS安装,天面和机房资源,电源和传输资源,重新评估铁塔负荷和风荷,采用美化天线等。
2tD-SCDma网络优化
tD-SCDma无线网络优化是网络建设中一个非常重要的过程,需要在实际的网络建设和运营中不断加以总结和完善,在不断发现和解决问题的过程中不断探索积累经验。
2.1借鉴GSm优化经验
与网络规划相似,在网络优化的原则和流程上,许多宝贵的GSm优化经验是可资tD-SCDma网优工作参考和学习的。同时必须看到,运用不同的无线技术,在不同的网络环境下很多具体问题都有着不同的侧重点和优化策略,可以对2G/3G协同规划、总体优化的策略进行探索。
2.2规范化的网优管理
实施tD-SCDma网络优化维护工作的规范化管理,提高网优维护工作的效率,提升网络资源运行效率和质量,加强对优化工作的日常管理和考核。tD网优管理的主要内容包括:加强网络优化工作的日常管理;细化网优日常考核指标,提升优化工作效果;加强管理,细化对第三方优化服务公司考核。
2.3tD-SCDma网络优化步骤和流程
建网初期一般采用循序渐进的办法,分为几个阶段:
单站验证:对新开基站进行单站验证,检查基站发射功率,覆盖是否符合规划要求,基站参数设置是否合理,避免单站问题带入簇优化中;
分簇优化:进行分簇方式进行有效优化,及时跟踪;
片区优化:在簇优化完成的基础上,将几个簇联合在一起优化,重点考核簇边界切换等情况;
全网优化:全网优化在片区优化基础上完成,考核各个片区间的切换及参数的统一性。
tD-SCDma无线网络优化的流程如图2所示。
2.4tD-SCDma网络优化内容
tD-SCDma网络优化内容主要包括:天线调整,通过调整天线控制基站覆盖范围,减少干扰和导频污染;修改基站邻集,使切换合理,减少切换掉话;修改基站扰码,减少码字干扰;对覆盖盲区就规划方面提供建议;解决室内覆盖基站和室外基站邻区问题;参数优化,让接入、切换等参数最优化;采用“线-点-线”的优化实施办法,有效保证了建网进度和网络质量。
3tD-SCDma与GSm双网运营
对于中国移动而言,tD-SCDma的建设和运营对中移动而言是新网络、新思路、新挑战,其中涉及双网运营策略、融合组网问题。针对tD-SCDma与GSm双网运营,移动公司提出“新机制、新标准、新测量”解决方案。旨在将tD-SCDma的建设和运营纳入到全业务运营的重要组成部分考虑,2G/3G协同运营、共同发展,系统性考虑和探索发展路线,积极面对即将到来的挑战。
3.1tD-SCDma与GSm双模组网原则
tD-SCDma与GSm双模组网原则为:
(1)利用tD-SCDma与GSm进行双模组网,充分发挥tD-SCDma在数据业务方面的优势;
(2)在热点地区采用HSDpa进行覆盖,进一步增强数据业务的支持能力,引导高端用户使用数据卡,提升高端用户忠诚度,进一步提高用户的粘性;
(3)定制推广双模手机;
(4)2G与3G共组核心网、业务网和支撑系统等,实现2G业务向3G业务平滑迁移,提升用户体验。2G/3G互操作问题重点应该放在终端侧解决问题,包括各种切换、重选优化算法的制定。网络侧则重点考虑在以互通信令支撑系统、同步系统、计费、网管系统一体化问题。
3.22G/3G互操作策略
在现有2G网络上建设tD-SCDma需要考虑的问题:
(1)影响最小。尽量减少对目前已经成熟稳定的2G系统的影响,避免2G升级工作。
(2)质量最好。为3G用户获得更好更优质的服务提供良好保障,同时利用2G网络拓展3G覆盖,保持3G用户的语音业务连续性。
(3)切换最少。减少切换次数,降低系统处理负担,保持业务的稳定性系统间的互操作策略。
(4)针对语音业务。tD-SCDma覆盖边缘,支持tD-SCDma到GSm的切换,不必支持反向切换。
(5)针对数据业务。通过支持tD-SCDma到GSm小区重选,实现tD-SCDma到GSm/GpRS间的数据业务切换;话务热点地区利用tD-HSDpa组网,提高数据业务承载能力。
4tD-SCDma软课题研究
tD-SCDma网络的建设和运营对运营商而言是新生事物,无经验可以借鉴。移动公司只有集中优势资源,全力投入,在3G时代保持持续领先的优势,摸索和创新运营理念和工作模式,才能适应全业务运营的形势。目前tD-SCDma面临很多机会和挑战,许多问题对运营商、厂商而言,尚处于探索阶段。
(1)成立tD无线研究小组
建议省移动公司成立专门的tD无线研究小组,集中技术骨干,形成强大有效的合力,针对tD网络、规划、优化、关键技术、演进方向和2G/3G互操作方面等专题展开研究,承担软课题方面的研究,提升支撑网络和业务开展的能力和水平。
(2)软课题研究方向
在tD网络建设和运营过程中,进行相关软课题的研究,涉及2G/3G互操作、tD组网方案、工程实施、HSDpa技术测试、mBmS业务部署等多个领域。课题研究和现网测试可为网络建设积累宝贵经验,对未来tD网络发展提供指导和建议。
【作者简介】
李军:工学博士,现任职于中国移动通信集团河南有限公司网络管理中心,工程师,主要研究方向为下一代移动通信关键技术,已发表专著1本、学术论文三十余篇。
中兴通讯独家承建乌克兰wimaX项目
近日,中兴通讯宣布与俄罗斯著名投资公司iconpepe(以下简称icon)旗下乌克兰运营商UkrainianHightechnologies(简称UHt)合作,独家承建其在乌克兰的3.5GHzwimaX项目,首期网络建设将覆盖乌克兰首都基辅迪纳摩及其周边区域。据悉,该网络总共分为三期进行,目前首期工程建设顺利进行,已经完成全部核心网及部分基站的部署。未来将由乌克兰首都基辅迪纳摩向外延伸和扩展,逐步发展成覆盖乌克兰全境的wimaX网络,也是乌克兰最大的wimaX网络。UHt公司CeoevgueniLissitsin表示:“中兴通讯是wimaX行业的领先者,也是我们值得信赖的合作伙伴。因此我们有充分的信心来建设好这张wimaX网络,为乌克兰人民提供稳定、高速的wimaX无线宽带和Voip语音业务。”
网络安全周策划方案篇8
1.1建设周期与金融政策周期间的悖论按照规划,上海轨道交通网络建设时期是从2004年至2020年,需历时16年。其中,2010年世博会前及2020年前几年为投资建设高峰期,期间年度投资近300亿元。如2008年的投资就高达358亿元,相当于1天投资1亿元。上海轨道交通网络建设投资之巨、集中度之高实属罕见,需要金融行业全程支持。但是,众所周知,金融市场具有周期性变化特征,与经济周期密切相关。在我国,经济周期往往是宏观调控的周期,货币信贷政策又是宏观调控的最主要工具之一。在城市轨道交通网络建设周期内,货币信贷政策出现多次变化是完全可以预期的。只要货币信贷政策适度从紧,银行信贷规模就会收缩,城市轨道交通项目因其融资额巨大,受影响的程度也就更深,相应地享受下浮优惠利率会变得更加困难。2005年,国家正式批准上海轨道交通近期建设规划,但因缺乏网络融资机制,期望银行对轨道交通网络建设项目贷款作出一揽子承诺十分困难。这也是城市轨道交通网络建设已开始启动,但许多项目贷款合同却迟迟难以落实的原因之一。
1.2规划审批与项目审贷间的悖论国家对城市轨道交通近期建设规划的编报,有一套严格、完整、规范的体系。编报内容由城市社会经济发展和城市规划、城市综合规划、城市轨道交通近期建设项目线路总体规划方案、车辆及设备选择、城市轨道交通网络资源共享、项目实施规划、建设资金筹措及平衡等构成。对城市轨道交通近期建设规划的审批,国家重点关注的是城市轨道交通网络规划的整体合理性、必要性和可行性。对建设资金筹措及平衡部分的评审,通过城市轨道交通网络整体的投资估算及资金安排、资金筹措渠道和方式、投入产出、资金平衡分析等来衡量。这样的评审具有科学合理性。城市轨道交通的线路规划设计,只有服务和服从整个城市的功能定位和布局,才能实现整体效益的最大化;如一味追求每条线路的当期效益,必然牺牲未来的整体效益。对接国家审批要求,如依然采用项目融资模式,就会在项目贷款审批上,只见“树木”不见“森林”,将有机完整的城市轨道交通网络割裂成一个个项目。有的项目因经济性相对强而广受银行青睐,有的项目因经济性相对弱而少有银行问津。这不仅会严重影响项目建设资金的筹措,还会出现国家审批城市轨道交通网络规划时认为可行、但审批项目贷款时却认为部分可行的悖论。
1.3市区线路与郊区线路间的悖论从城市轨道交通规划与城市发展关系看,城市轨道交通线路的功能定位大体可以分为二类:一类是“线随人走”,城市轨道交通在中心城区集中布局,线路依人流走向规划设计;一类是“人随线走”,城市轨道交通线路向郊区延伸,引导中心城区人口和新增人口向郊区疏解,配合城市规划布局的整体调整。两种类型线路的客流增长特点有显著区别。中心城区线路除客流本来就集中外,还会吸纳郊区线路的换乘客流,经济效益十分突出。上海有的中心城区线路开通之日客流就井喷式爆满。而郊区线路客流则随着站点周边城市开发进程逐步增长,需要一定时间的客流培育期,初期经济效益不甚理想。两种线路不同的经济效益增长方式,让银行深感困惑:如以中心城区线路效益水平来评审郊区线路,郊区线路项目贷款审批将十分困难;而以郊区线路初期效益水平来统一把握审批条件,又不尽合理;若以城市轨道交通网络整体效益作为项目贷款的审批条件虽最为科学合理,但又缺乏依据。
1.4先建项目与后建项目间的悖论按照国际经验,随着城市轨道交通网络的逐步形成,便捷的换乘将满足更多人的出行需要,城市整体交通运行方式也将发生革命性变化。如伦敦、纽约、巴黎、莫斯科等城市的轨道交通占公共交通出行比例均在60%以上。上海轨道交通20多年的运营业绩也印证了这一规律。2004年,上海1、2、3、5号线的日均客流量为130万人次,占上海市公共交通出行的比例为11%;2014年,上海轨道交通网络运营日均客流量为774万人次,最高日客流量超过1028万人次,占上海市公共交通出行的比例为43%,已超过道路公交。照此发展,上海轨道交通占上海市公共交通出行的比例超过60%也为期不远。按一般理解,后期建设项目的投入产出能力会更强。但实际状况是:随着城市轨道交通网络建设,一方面是投资控制日趋成熟,项目工程建设费用、车辆机电设备采购费用等可控制在概算范围内,甚至更低;但另一方面,项目前期动拆迁、市政管线搬迁费用,以及防治噪声、沉降、振动等施工措施费用却与日俱增,难以控制。项目越晚建、建设成本越高,几乎是一条铁律。而投资的增加势必消减客流增长带来的效益,使后期项目的投入产出可能反不如前期项目。这种情况下,如继续采用项目融资模式,只会面对城市轨道交通网络经济效益越来越好,而项目贷款审批却越来越难的悖论和尴尬。
2全面创新的网络融资模式
2.1开创上海轨道交通网络融资特别授权模式通过对项目融资模式诸多悖论的深入分析,已经得出结论:众多项目融资相加并不等于网络融资,因此需要重新定义网络融资的内涵。网络融资应涵盖城市轨道交通网络的所有项目,以城市轨道交通网络整体投入产出及财务可行性作为各个项目贷款的统一审批条件,并对项目贷款总额、贷款期限、贷款利率等作出一揽子安排和承诺,以有效规避政策变化的不确定性和项目融资的不合理性。网络融资是对项目融资的根本性颠覆,大大突破了各银行分行的审批权限。网络融资要取得突破,势必先要惊动各银行的总行。所幸中国工商银行、中国农业银行、中国建设银行、中国银行、中国交通银行、上海浦东发展银行等银行都以极其认真负责的态度,对网络融资构想进行了全方位审视;一致认为这是用全新思维构建的融资模式,符合上海轨道交通网络建设的实际,也是一次深刻的金融体制改革和创新;并对将所有项目“装进一个篮子”的大胆设想所表现出来的远见和胆略,表示高度赞赏。各银行总行随后正式决定,将上海轨道交通网络融资统筹,申通集团分别作为特定业务、特定客户,给予地方分行特别授权,一期项目完成后续延二期项目。由此,网络融资的政策和体制取得重大突破,朝着组建城市轨道交通网络银团(以下简称“网络银团”)方向迈出最为重要的一步。
2.2创建“网络总银团加项目子银团”全新模式用一个网络银团来取代所有项目银团,是重塑银团架构最为简洁的做法,也是最容易想到的方法。但细细分析,这种方法也有不小难度:①网络银团组建时,许多项目尚处在投资估算阶段,项目工程实施方案和概预算尚未最终完善确定,许多不确定因素都可能引起网络银团整体的不稳定性;②网络银团涉及众多项目和银行,如仅以一个网络银团来运作,事无巨细,一项正常业务可能需经全体银行的协调审批流程,运转效率将大大降低;③以网络银团取代项目银团,还将打破申通集团为项目银团提供担保的既有格局,需改由政府为网络银团提供担保,这按照规定也是不可行的。只有一个网络银团显然不是可行的方法,而以网络银团覆盖项目银团则可兼顾融资统筹、具体运作等多重职能。由此,创建“网络总银团加项目子银团”的具体方案呼之而出,并很快取得各银行的共识。网络总银团全面负责确定项目贷款总额度,确保项目子银团贷款落实到位,并对项目贷款期限、贷款利率等作出统一规定和安排。其具体运作机制是:项目子银团负责项目融资各项业务;项目子银团如发生贷款困难,网络总银团负有落实责任;参与银行如发生贷款困难,牵头行负有落实责任;项目投资如有调整,贷款总额度相应调整;一期项目完成后续延二期项目。这样,网络银团不再是一般意义上的一个银团,而是一项开放式的机制安排。
2.3实现网络融资贷款的三个统一网络融资不但统筹特别授权和网络银团的组建,使项目融资贷款不再受一年一度基本授权的限制,而且可以放眼城市轨道交通网络建设全周期,制订中长期融资贷款计划,并对有关重大政策作出统一调整:(1)统一贷款审批条件。银行方面聘请第三方及申通集团参照国际经验分别对上海轨道交通网络中长期客流和财务状况进行预测。预测结果不仅完全可行,而且第三方的预测数据还好于申通集团的预测数据。由此决定,统一以城市轨道交通网络的投入产出、财务可行性作为各个项目贷款的审批条件。(2)统一贷款期限。城市轨道交通一条线路的建设期一般在5年左右,因此,以往项目贷款宽限期设定为5年,贷款期限为15年左右。实际上,城市轨道交通项目的投入产出期要更长,尤其是进入网络建设阶段后,项目投入产出周期还要相互交叉叠加,因此原有贷款期限不利于错开用款高峰与还款高峰。经调整,最后统一为:贷款宽限期为10年,贷款期限为25年。(3)统一贷款利率。利率是银团贷款中最为敏感的问题之一。巨额的网络银团贷款,让利率问题变得更为敏感。“长期贷款业务取得长期可预期收益”的理性认知成为取得共识的基础,从而决定各项目贷款统一享受同期同档次人民币贷款利率下浮10%的优惠。融资贷款政策的重大调整,为彻底消除项目融资诸多悖论铺平了道路。
3网络融资的成效及意义
网络安全周策划方案篇9
关键词:安全策略,边界安全,防火墙,安全管理中心
网络安全的概念
包括物理安全和逻辑安全
物理安全指网络系统中各通信计算机设备以及相关设备的物理保护,免予破坏、丢失等;逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人,完整性是指计算机系统能够防止非法修改和删除数据和程序,可用性是指系统能够防止非法防止非法独占计算机资源和数据,合法用户的正常请求能及时、正确、安全的得到服务或回应。
网络计算机中安全威胁主要有:身份窃取,身份假冒、数据窃取、数据篡改,操作否认、非授权访问、病毒等。
校园网络都是借助主干通信网,将各地的分部门和总部连接,同时与internet互联。这就存在着以下几方面的网络安全问题:
总部局域网和各分、子部门局域网之间,分、子部门与下属机构局域网之间广域网干线上信息传输的安全保密问题。
总部局域网及各分、子部门局域网自身的安全,要确保这些局域网不受网内用户非法授权访问和破坏。
来自外部的非授权用户非法攻击和破坏,以及内部用户对外部非法站点的访问。
2.解决方案的分类
解决网络安全问题涉及的范围广泛;不安全因素主要集中在网络传播介质及网络协议的缺陷、密码系统的缺陷、主机操作系统的缺陷上,因此在安全策略方面重点考虑:
2.1基础结构安全
主要包括:操作系统选择和问题规避;帐号设置、口令强度、网络参数、文件监测保护在现实运作中,密码系统已经非常完善,标准的DeS、RSa和其他相关认证体系已经成为公认的具有计算复杂性安全的密码标准协议,这个标准的健壮性也经受了成千上万网络主机的考验,但是在网络协议与操作系统本身上,仍然有很多可被攻击的入口。很多网络安全中的问题集中在操作系统的缺陷上。Unix及类Unix操作系统是在internet中非常普遍的操作系统,主要用于网络服务。它的源代码是公开的,所以在很多场合下使用者可以定制自己的Unix,操作系统,使它更适合网络相关的服务要求。
由于网络协议是独立与操作系统的,它的体系结构与操作系统端是无关的,网络协议所存在的安全隐患也是独立于操作系统来修正的。
2.2 管理安全
安全管理是网络必须考虑的,主要包括:权限管理,单点登录,安全管理中心等。
管理的技术手段很多,通过采用加强身份确认的方法获得网上资源控制权如智能iC身份卡,提供安全的远程接入手段;采用虚拟专网技术如网络保密机解决数据在公网传输的安全性;安全邮件和安全web服务器也是一类重要的安全产品。然而,对一个具体的网络系统,我们在安全风险评估确定合适的安全需求后,从技术上讲可以架构一个满足基本要求的安全设备平台。但是发生最频繁的安全威胁实际上是非技术因素,安全管理漏洞和疏忽才是最大的安全隐患。只有把安全管理制度与安全管理技术手段结合起来,这个网络信息系统的安全性才有保障。因此,采用集中统一的管理策略,以技术手段实现非技术的安全管理,主要由安全管理中心实现。
2.3边界安全
校园网络与外界的边界划分是否科学?it系统与外界、内部关键部门之间是否安全隔离?这都属于边界安全范围。可以在关心的实体之间安装防火墙产品和攻击检测软件,来加强边界安全,实施攻击防御方案。关于防火墙技术的使用成功与否对网络的安全有决定性作用,对此我们进行主要讨论
2.3.1防火墙的概念
当一个网络,接入internet以后,而系统的安全性除了考虑病毒、系统的健壮性之外,更主要的防止非法用户的入侵。而目前防制措施主要是靠防火墙技术完成。
防火墙是指由一个软件和硬件设备组合而成,处于网络群体计算机与外界通道之间,限制外界用户对于内部网络访问以及管理内部用户访问外界网络的权限。
实际上防火墙作为一种网络监视和过滤器,它监视每一个通过的数据报文和请求。一方面对可信赖的报文和应用请求允许通过,另一方面对有害的或可疑的报文禁止其通过。防火墙具有使用简便,高速、逻辑漏洞少等特点。
2.3.2防火墙在网络中的位置
为了达到对网络数据传输进行监视的目的,防火墙一般位于局域网和广域网之间或局域网与局域网之间。
防火墙位于局域网和广域网之间,如图。
intranetFinterant;
在这种情况之下,防火墙的主要作用是允许局域网内的用户访问internet,如浏览www网站,收发e-mail,并且禁止来自于internet上的未知用户闯入局网进行破坏或窃取机密信息。
防火墙在局网与局域网之间,如图:
intranetFintranet
在这种情况下,防火墙的作用是允许公用信息在两个网络中传输,保证每个网段的私有信息不被对方访问。
可以看出无论哪一种形式,防火墙都是数据报文进出网络的必经之路,这样才能保证防火墙对网络的监视保护作用。
2.3.3防火墙的分类
2.3.3.1按防火墙在网络中所起的作用,防火墙可以分成两种,一种是与路由设备合二为一,通常为过滤路由器或是网关主机防火墙,另一种叫做堡垒主机式防火墙,它不具有路由功能。
过滤路由器、网关主机防火墙是在路由器和网关主机上加上包过滤的功能,是网络中的第一道防线。因为它具有路由的功能,所以它的安全性较差。
堡垒主机式防火墙是网络中最为重要的安全设备,通常以桥接的方式安装在路由器和网络之间,它的唯一作用是保证网络的安全使用,这种防火墙在网络中的具体位置如图。
intranet<------>F<------>边界路由器<------>internet
2.3.3.2按照iSo所定义的网络层次,防火墙可分为网络层防火墙和应用层防火墙。
包过滤型防火墙是网络层防火墙,它以用户定义的过滤规则对每一个通过它的数据报文进行过滤,一般是检查一个ip报文的五个基本元素:源地址、目的地址、协议、源端口号、目的端口号。如果规则允许报文通过,报文就可以通过防火墙,反之则不能。包过滤不检查连接请求的会话状态,也不会对传输数据进行检查。
型防火墙,属于应用层防火墙,的功能是对来自局域网内用户的会话求进行会话请求转发。在转发过程中对会话进行过滤。因为在应用层,它可以对会话的状态和传输的数据进行检查和过滤。从安全上讲,的安全性要比包过滤功能更强,因为一个ip报文到了层,它的寿命就已经截止了,也就是说真正地阻断了网络的传输。
目前应用于网络安全的防火墙系统基本上属于上面所讲到的两种防火墙系统。但在实际应用中的防火墙经常是这两种方法的合体,即包过滤加行防火墙。
同时,为了防范黑客的各种各样攻击行为,通常的防火墙产品还要加上其他许多功能。
2.3.4.防火墙集中的主要功能
2.3.4.1.支持透明连接
透明性是指对客户的透明和对网络设备的透明。无论安装防火墙还是卸载防火墙,第一不必改变网络的拓扑结构,不需要修改网络设备的参数与设置。第二在用户端亦不必作任何修改和设置就可以实现基于ip协议的各种信息的传输。
2.3.4.2.带有DmZ区的连接
DmZ原意为停火区,在防火墙的应用中是指防火墙将逻辑上同一网段分成物理上的两个网段,其中一个物理网段为正常的受保护网段,另一个物理网段为DmZ,用来连接要对外开放的主机,防火墙对DmZ区只作少量的保护或不做保护。
2.3.4.3.包过滤功能
包过滤功能防火墙最主要的功能之一,是防火墙必备的功能模块。
包过滤指的是对ip数据包的过滤。对防火墙需要转发的数据包,先获取包头信息,包括ip层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口、目的端口等,然后和设定规则进行比较,根据比较的结果对数据包进行转发或者丢弃。大多数数据包过滤系统在数据本身上不作任何事,不作关于内容的决定。有了数据过滤包,可以不让任何人从外界使用telent登录,或者让每个人经Smtp向我们发送电子邮件,或者是某个机器经由nntp把新闻发给我,而其他机器不能这样做。但是你不能控制这个用户能从外部远程登录而他用户不能这样做,因为“用户”不是数据过滤包系统所能辨认的。同时你也不能做到发送这些文件而不是那些文件,因为“文件”也不是数据包过滤系统所能辨认的。
防火墙包过滤功能应具有的特点:支持对进入报文、转发报文和出去的报文的分别过滤。支持非操作符;支持端口范围的控制;支持iCmp报文类型的控制。
使用包过滤模块会对网络传输速率有影响,但速率的降低不能超过25%
2.3.4.4.应用层过滤
应用层的过滤是一种细粒度的过滤,实际上是对报文数据内容的过滤。在应用层可以实现对URL的过滤以及其它网络应用层协议(如Ftp)的协议命令的过滤和报文内容的过滤。通过应用层过滤,可以禁止非法站点的连接(这些站点通常是含有反动、黄色信息)达到对非法信息的过滤。
2.3.4.5.透明与控制功能
的功能是对来自局域网内的用户的会话请求进行会话规划请求转发。从安全角度讲,这样做有以下几个用处:
完全阻断了网络的传输通道。
可以进行访问控制。
隐藏内部网络结构,因为最终请求是由防火墙发出的,外面的主机并不知道与哪个用户通信。
解决ip地址紧缺的问题。使用服务器只需防火墙有一个公网的ip地址。
服务器优点在于:支持多种tCp上层协议,完全的透明性,对防火墙以外任何设备以及主机无需作任何修改。服务器不仅仅是为了接通网络,更重要的一点是为了保证网络的安全。层访问控制模块使服务器模块具有完整的安全手段。
2.3.4.6防止ip地址欺骗。
黑客的一种惯用手段是修改报文,使报文的源地址成为他要攻击的主机的同网段的地址。利用这种办法欺骗目标主机并取得目标主机的信任,达到为所欲为的目的。防火墙应能智能地判断数据报文的真正来源,对假冒报文予以,使黑客无法进入内部网络,做到防止外部用户盗用内部网段空闲的ip地址。
2.3.4.6.地址绑定功能
地址绑定即固定主机ip地址和网络适配器的maC地址的一一对应关系。地址绑定的主要作用是防止非法用户盗用合法用户的ip地址,由于每块网卡的maC地址都是固定的,经过地址绑定后,地址就与计算机或用户(若每台计算机的用户固定)的对应关系就固定了。也就是说,只有特定的主机才能使特定的ip地址,这就可以保证ip地址不盗用。
地址绑定加快了网络的速度,因为绑定之后,防火墙就不用定时地动态查询局域网内部主机的maC地址,这就减少了网络资源的浪费,加快了网络的速度。
2.3.4.7.地址转换功能
防火墙通过地址转换技术,将所有从内部发出的通过防火墙报文的源地址修改成为防火墙本身的ip地址,使得外部网络无法了解内部网络的结构使用地址转换技术,要求所有的网络连接只能从内部发起,这样更是极大的提高了网络安全性。另外除了安全性,地址转换,还有一个好处,解决ip地址缺乏的问题,如果一个园区只有少数的公网地址,利用地址转换技术,可以使所有连接到防火墙上的主机都可以与internet相连。局域网的用户认为在与internet之间通信,而internet上的主机以为是与防火墙通信。这样就因隐藏了网段的网络结构,因为只能见到防火墙的一个地址。
2.3.4.8.Vpn功能
Vpn是指虚拟专用网络。实际上是在公共网上建立内部网络。其重点就是保证在公众网上传播的内部信息不被外人获取。一般有专用的网络保密机与防火墙在此功能上有交叉 。
2.3.4.9.规则设施功能
网络安全管理人员想知道一个确定的包进入入防火墙后会发生什么事情,这时可以利用规则测试的功能。安全管理员可以设计一些虚拟的报文,利用规则测试功能来验证设计的规则是否正确,是否符合设计的目标。这样可以增加工作效率并保证规则设置的正确性。
2.3.4.10.支持远程在线状态管理、配置管理、审记管理
通过安全管理中心和其他管理软件可以对防火墙进行远程在线管理。既可以在远程非常直观的观察到防火墙的运行情况,也可以远程启动关闭防火墙和重新启动防火墙。
防火墙系统中运行的守护进程,通过守护进程管理程序,可以在远端对防火设备的各个功能模块进行设置和维护,以便于安全管理人员对防火墙的管理。
日志能记录完整的网络信息,包括建立的连接时间,双方地址,以及传输信息量。
支持远程审记日志是保障安全的重要手段,由于网络设备的审记信息通常大得惊人,观察分析审记日志是让管理人员非常头痛的是工作。好的防火墙应支持远程审记管理,使得管理人员能够在远端的GUi界面下轻松地观察和分析审记信息,使得审记的分析更加直观。从安全的角度讲,日志主要是起到抗抵赖的作用的,即防火墙记录了用户的网络使用情况,如果有人对网络进行了攻击或是有窃密的行为,事后使我们有据可查,对这样的人进行法律上的制裁或者防止他下一次的攻击。
2.3.1.11.支持安全管理中心集中统一管理
防火墙的管理守护进程为安全管理中心留有接口程序,能够实现安全管理中心对防火墙的安全管理。使用安全管理中心,好处在于它的安全性和集中统一管理能力。
其一、安全管理中心通过安全通道与网络安全设备通信来保证对防火墙设备设置和维护管理信息的安全。
其二、安全管理中心能够做到远程的统一管理,一台安全管理中心机可以管理多台防火墙以及其它网络安全设备。
3.安全方案实施的生命周期
安全管理的方案的实施需要正确的方法和次序,全面的网络信息安全方案需要在正确的企业安全策略的指导下按部就班地进行实施。网络安全方案实施生命周期如下所示
风险评估――>方案设计―――>方案实施―――>人员培训―――>安全监控―――>信息反馈――>重新评估
安全管理方案的核心是制定的安全策略。任何安全产品和方案都必须服从此安全策略。应由安全管理专家与领导者一同制定系统的安全管理策略。
在安全方案实施的第一步,是实施方案的风险评估。即对目前网络环境进行综合考察,发现安全隐患,分析可能面临的不安全因素,从而为将来的安全方案提供总体策略。从信息安全的角度来为校园it环境进行进行合理划分,找出边界因素,对症下药,并对指定的安全策略进行方案设计和具体实施。在实施的过程中或实施之后,必须重视人的因素。要对用户和相关人员进行有效的培训。为网络信息安全培养安全管理人员是安全方案中非常重要的一个方面。实施企业安全方案,对安全性进行总体监控是网络安全生命周期中的执行阶段,如果发生不安全事件,检查是否能够实施企业安全策略,能否进行正确的反应:安全防范的强度是否足够;是否有未能防止的入侵事件。定时或随时进行园区网络安全策略的检查,及时反馈安全信息,针对漏洞重新进行安全评估,网络安全方案周期重新开始。
参考资料:
1.《通信网的安全----理论与技术》王育民刘建伟西安电子科技大学出版社
网络安全周策划方案篇10
〔关键词〕图书馆;网络信息安全管理;模型
Doi:10.3969/j.issn.1008-0821.2014.02.016
〔中图分类号〕G250.7〔文献标识码〕a〔文章编号〕1008-0821(2014)02-0076-06
借助于网络高新技术的发展,新的信息资源形态和使用方式,给图书馆读者带来便利的同时也必然存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性,为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏,提供了极为方便且难以控制的可乘之机,图书馆信息服务的权益及监督得不到有效的保障;同时,由于计算机网络的脆弱性,图书馆的网络系统本身经常处于黑客的攻击之中,一旦图书馆网络出现故障,轻则信息服务得不到有效保障、数据丢失,重则整个图书馆处于瘫痪境地。因此,在信息化时代,图书馆信息安全显得尤为重要,构建图书馆网络信息安全管理模型来保证网络信息安全,使其高效运行是图书馆现代化建设中一项迫在眉睫的重要任务。
1信息安全管理概述信息安全管理,是指实施和维护信息安全的原则、规划、标准和内容的综合,包括信息安全策略、信息风险评估、信息技术控制和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明,从而为组织提供全面的信息安全规划。它结合技术、程序和人员,以培养信息安全文化为目的,最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解,本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述,从而为图书馆网络信息安全管理模型的构建提供理论上的指导。
1.1iSa信息安全原则为保护组织的信息资产免遭威胁,tudor提出了一个全面灵活的信息安全架构方法(informationSecurityarchitecture,简称iSa),这种方法提出5个关键性的信息安全原则(见表1)[1]。这些原则,可以了解组织工作的风险环境并对其实行评估和控制,从而减少这种风险;强调遵守国家信息安全法规的重要性,确保组织的机密信息受到国家的保护;涵盖信息安全技术与过程,满足组织信息安全的需要。表1iSa信息安全原则
原则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。
1.2Cmm信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划,mcCarthy和Campbell构建了能力成熟度模型(Capabilitymaturitymodel,简称Cmm)[2]。该模型包括7个信息安全规划内容(见表2),目标是从战略层面开始并用战略水平去指导技术等方面的工作,在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险,并在实践过程中对各解决方案集成应用与监控。表2Cmm信息安全规划
规划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境控制与持续规划控制。
3pRoteCt信息安全标准在eloff.J.H和eloff.m所主持研究的“pRoteCt”项目,是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写,对信息安全管理及标准进行了综合的介绍[3]。“pRoteCt”项目涉及各种集成控制的方法,在确保组织的有效性和效率的基础上尽量减少风险,目的是全方面解决信息安全的问题。为实现项目目标,该项目提出了7个信息安全标准(见表3),确保信息安全规划从技术术和人文角度得到有效的实施和管理。
1.4iSo/ieC17799和iSo/ieC27001信息安全内容国家标准组织(iSo)指出信息安全技术是实现信息安全管理的关键点,通过技术对信息系统进行安全性控制,是信息安全管理的重要内容。为了更好地实现信息安全控制,iSo提出了11个具体的信息安全控制内容(见表4),这些内容已成为国际上通用的信息安全内容的重要标准,即通常所说的iSo/ieC17799[4]。而iSo/ieC27001是iSo/ieC17799的第二部分,提出了包括操作、监控、审查、维护和提高等一系列持续改进信息安全管理系统的方法与过程[5]。表42图书馆网络信息安全内容的选取与管理模型的构建前文所述的信息安全管理的原则、规划、标准及内容是基于整个信息社会行业而言的,具有一定概括性且4个方面之间存在着重复性,为了构建出更具针对性的图书馆网络信息安全管理模型,笔者根据图书馆的特性对信息安全管理的原则、规划、标准和内容进行选取与整合,构建出符合图书馆应用要求的信息安全管理模型。
2.1图书馆网络信息安全内容的选取图书馆网络信息是对外开放并以支持教学和科研为目的。在这种情况下,网络信息安全是指读者未经授权无权使用、移动、修改和破坏图书馆信息。在对图书馆信息采取安全保护措施时必须确保其具有以下属性:①保密性:确保图书馆隐私信息的安全。此类信息必须严格控制读者访问量,只能授权一定级别的读者访问;同时,有权限访问图书馆隐私信息的读者也不能向公众透露相关的隐私信息。②完整性:确保图书馆信息是准确、完整并具有持久性。因此,图书馆信息安全管理要确保图书馆信息内容不是残缺不全的、失踪的、腐朽的、任意放置的,外借、故意或意外变化不会边缘化,在盗窃或破坏中具有安全性。③可用性:读者在授权时间内能无限制地访问并获取图书馆信息。图书馆必须有一个安全稳定的信息管理(网络)系统来支撑图书馆的运行,确保图书馆信息能及时传递而不会被延误。在维护图书馆信息安全的同时确保图书馆信息的保密性、完整性及可用性不缺失,这就要求在构建图书馆网络信息安全管理模型时对信息安全内容的确定带有一定的甄别性,不能将信息行业安全管理的所有原则、规划、标准及内容全部应用于图书馆安全管理。根据图书馆信息的特性,本文从管理、运行与操作、人员、建筑与技术及安全文化5个维度对图书馆信息安全的内容进行了选取,这5个维度的具体内容在图书馆网络信息安全管理模型中将会详细论述。
2.2图书馆网络信息安全管理模型的构建图书馆网络信息安全管理目标是为图书馆网络信息安全保护提供整体性方案,结合管理、运作流程、人文、建筑与文化氛围来保证图书馆信息安全管理达到一个合理水平,从而保证图书馆信息风险最小化。为实现这一目标,abasheatikumaidabino和Zainab在满足图书馆信息的特性上,将DaVeiga和eloff构建的“房屋模型”[6]加以简化与融合,构建出图书馆网络信息安全管理模型[7],见图1。该模型将所有信息安全因素集合,确保图书馆信息能够得到充分保护,同时为图书馆提供一个全面的方法和工具来实施和评估信息安全管理。模型内容主要集中于5个维度:(1)管理维度:正确的领导,政策与程序到位;(2)流程和操作维度:包括实施过程、政策;(3)人员维度:读者/馆员信息安全意识和图书馆信息安全项目培训;(4)建筑和技术维度:支持馆藏信息安全项目;(5)安全文化维度:将图书馆馆藏信息安全理念有意识地植入馆员日常工作中[8]。图1图书馆网络信息安全管理模型
管理维度是指一组角色的规定,信息安全政策制定与管理由负责制定目标和政策的安全管理团队成员行使,从而确保目标和政策的实现,信息风险的评估与管理。图书馆的安全管理团队由图书馆各部门高级管理人员和安全部门的人员组成。这些成员应具备必要的信息应用和安全管理方面的经验和知识,这些成员被授权管理时能够遵守信息安全政策。信息安全管理责任是模型中管理维度的重要部分,这就要求图书馆应规划与制定精确的信息安全管理策略,明确风险管理的目标和方向。信息安全风险评估在图书馆各级安全规划风险设置中处于优先级别。馆藏信息定期风险评估规则的编制涉及图书馆资产类型、收藏价值、识别可能出现风险的威胁、漏洞和成本分析等详细的情况。信息安全漏洞可以通过会议、问卷、观察和报告来确定。通过信息安全漏洞的监测和风险评估过程的完善可以降低图书馆信息安全的风险,并能缓解图书馆的一些过度的承诺。管理维度强调要为图书馆信息管理、记录、维护、审查、更新风险管理政策和程序编写报告,通过快讯、交互式网页及其他内部刊物在馆员与读者之间广泛宣传馆藏信息安全管理的必要性,将信息安全意识植入馆员与读者脑袋。这一维度有利于为图书馆提供良好的馆藏安全管理信息。流程与操作维度是指信息安全管理团队为图书馆各相关部门制定信息安全管理运行方案的过程。分别是:(a)采访部:参与接收,标记并建立可用于识别丢失、错放地方和费用的库存清单,以便于图书馆备份和恢复;(b)流通部:创建手工或计算机系统对图书馆纸质信息进行丢失、被盗、错位、滥用、损坏等方面进行盘点,通过访问控制和信息的记录与跟踪,确保图书馆信息安全系统的修理与维护;(c)编目、技术部:通过图书馆opaC系统对馆藏信息集合进行处理,应用图书馆识别标记建立和验证馆藏信息所有权,标识未经处理的信息并进行访问控制;(d)特藏部:对有价值的馆藏信息载体进行保护与保存,授权访问与监控。人员维度是指读者和执行安全管理政策与程序的馆员的安全意识。它规定图书馆需要阐明信息安全管理人员的角色和责任,对馆员进行有效的安全意识培训,帮助他们获得处理安全事件、准备可靠实用安全报告的知识。建筑与技术维度涉及信息安全管理所需要的建筑与技术氛围。建筑氛围是指信息安全管理措施应与图书馆建筑的物理结构和藏书空间融为一体:控制图书馆出入口;需要iD卡身份识别进入图书馆特别是特别馆藏区域;制定保安巡逻图书馆的时间表。技术氛围包括技术实践和嵌入到馆藏安全应用规划中的各种程序。它强调使用电子安全系统等技术设备来处理馆藏应用过程,控制安全漏洞,并在图书馆出入口点安装安全系统。这就意味着图书馆需要安装电子反盗窃设备、可视化相机、烟感探测及出入口、阅览区报警系统等安全设备。这将有助于防止图书馆藏书的丢失和对阅读区、参考咨询区及书库进行可行性监控和读者流量的检测。安全文化维度作为图书馆网络信息安全管理模型构成基础的安全文化,包括读者和馆员对图书馆信息重要性的态度、信息保护存在的安全漏洞、信息相关事件的意识、阻碍或限制信息安全管理系统有效性的意识。意识是一个看不见但可以通过行为来证明的元素,如(a)图书馆馆员的馆藏信息安全政策和管理过程的认识水平;(b)馆员对安全政策和程序重要性的态度;(c)安全漏洞和安全验收责任的意识[9]。图书馆网络信息安全管理模型中的安全文化是一种安全责任相互共享的文化,安全人员能够相互提供信息和工具来应对各种安全情况。这种态度与意识能够确保图书馆信息安全治理、管理和运行的有效性。图书馆网络信息安全管理系统在权重一致的5个维度的相互作用下,在馆藏信息得到安全管理的同时还能确保其在保密性、完整性和可用性上维持在一个合理的水平。
3图书馆网络信息安全管理模型应用方案目前,在图书馆的计算机网络上有馆藏书目信息、读者信息、各种电子文献数据库、光盘数据库检索系统、图书管理系统、特藏数据库等内容[10]。这些电子资源信息如果受到破坏,那么损失将会非常惨重,很可能会造成整个图书馆系统瘫痪。就目前的状况来看,图书馆所面临的网络信息安全问题主要有黑客攻击、计算机病毒、网络物理设备安全隐患、网络设备配置安全与人员造成的安全隐患等方面。为了预防与应对上述隐患对图书馆可能会带来的网络信息安全故障,图书馆应按照网络信息管理模型5维度的要求,建立起科学、规范、有效的网络信息安全管理流程(见图2),将网络信息安全隐患处理于萌芽之中。图2图书馆网络信息安全管理流程
应用图书馆网络信息安全模型处理网络信息安全故障,其管理流程可分为3个阶段:故障初排阶段、故障处理阶段与评估阶段。在故障初排阶段,图书馆工作人员或读者在应用图书馆的过程中,如果发现信息安全故障,应及时进行隐患初排并上报技术部,由技术部工作人员对该事件进行了解,并请求技术部主管上报给以馆领导为主的信息安全管理团队;在故障处理阶段,技术部工作人员根据事件了解进行安全故障检查并调查影响范围,从而形成第一次进程报告,并将其上报给馆领导,由馆领导进行资源调度后,技术部应急抢修;技术部附上应急抢修进程报告上报给馆领导形成第二次进程报告,然后结案、审核并归档;在评估阶段,各部门对此次信息安全故障事件进行评估总结。图书馆网络信息安全管理模型是以人为核心的信息安全保障体系,它强调的不是技术问题,而是管理的问题。图书馆网络信息安全在以馆领导为核心的安全管理团队的领导下,在工作人员、读者的共同配合下,依靠科学的管理流程,定能将图书馆网络信息安全管理达到一个全新的层次。
4结束语构建一个适应计算机网络普遍应用的图书馆网络信息安全管理模型,不仅是适应新形势的需要,也是图书馆信息数字化建设的重要组成部分。随着图书馆社交网络应用的普及,图书馆信息将面临更大的开放性和更多的安全方面的挑战。图书馆网络信息安全管理模型是一个包括技术、管理、人员和安全文化等多个环节整体性很强的体系,不能孤立或静止地看待和解决问题,网络信息安全性的提高依赖于不断的技术进步和应用,依赖于管理的逐步完善和人员素质的全面提升。相关人员应根据网络信息的特点和需求,进行有针对性的系统设计,不断地改进和完善网络技术的安全工作,更好地推动图书馆网络事业健康发展。
参考文献
[1]J.K.tudor.informationSecurityarchitecture—anintegratedapproachtosecurityinanorganization[m].BocaRaton,FL:auerbach.
[2]mcCarthym.p,CampbellS.Securitytransformation[m].mcGraw-Hill:newYork.
[3]eloffJ.H,eloffm.integratedinformationSecurityarchitecture[J].ComputerFraudandSecurity,2005,(11):10-16.
[4]iSo/ieC17799(BS7799-1).informationtechnology,Securitytechniques[S].Codeofpracticeforinformationsecuritymanagement,Britain.
[5]iSo/ieC27001(BS7799-2).informationtechnology,Securitytechniques[S].Codeofpracticeforinformationsecuritymanagement,Britain.
[6]a.DaVeiga,J.H.eloff.aninformationSecurityGovernanceFramework[J].informationSystemsmanagenment,2007,(4):361-372.
[7]abashemaidabino,a.n.Zainab.aholisticapproachtocollectionsecurityimplementationinuniversitylibraries[J].LibraryCollection,acquisitions&technicalServices,2012,(36):107-120.
[8]Siponem.t.Fivedimensionsofinformationsecurityawareness[J].ComputerandSociety,2000,(6):24-29.