計算機網絡流量控制范文
時間:2024-03-08 18:03:23
導語:如何才能寫好一篇計算機網絡流量控制,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
1、限流指限制數據流量的速率。
2、限流又可以理解為一種流量整形,是一個計算機網絡的網絡交通管理技術,從而延緩部分或所有數據包,使之符合人們所需的網絡交通規則,速率限制的其中一種主要形式。
3、網絡流量控制是用來優化或保證性能,改善延遲,或增加某些類型的數據包延遲滿足某些條件下的可用帶寬。如果某一個環節趨于飽和點,網絡延遲可能大幅上升。因此,網絡流量控制可以利用以防止這種情況發生,并保持延遲性檢查。
4、現多指微博或者抖音等軟件或平臺里的博主或者其內容的閱讀量和推送量在一定時間內被限制,以使其熱度降低。
(來源:文章屋網 )
篇2
關鍵詞:網絡服務器;流量分析;流量監控
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2010) 05-0000-02
Network Server Traffic Analysis
Zhu Ye
(TravelSky Technology Limited,Beijing100029,China)
Abstract:This article analyzes the current status of the network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizes main content.Then,the article provides solutions on the server traffic based on the agreement of Net flow v9、IPFIX and PSAM.At last,proposes software framework design pattern.
KeyWord:Network Server;Server Traffic Analysis;Server Traffic Control
一、前言
今天的數據網絡給我們的生活、工作和人與人之間的溝通帶來了極大的方便,網絡業務日趨豐富,網絡流量高速增長。同時,網絡運營商之間的競爭也逐漸激烈,以高投資為特征,追求簡單規模擴張的粗放型競爭模式已經不適應當前的形式。挖掘現有網絡資源潛力,控制網絡互聯成本,提供有吸引力的增值業務,提高網絡運維水平成為在激烈競爭中的制勝策而要實現這些,都離不開可靠、有效的網絡流量監控的有力支撐。
二、網絡流量監控和分析的意義
用戶現有的網絡管理系統在長期的網絡流量分析方面存在不足。主要表現在如下方面:
(一)長期的網絡和應用問題分析能力不足
現有的網絡管理系統無法長期的紀錄網絡和應用的運行狀態,無法長期的保存網絡流量信息,在出現網絡或應用問題時,不能為網絡技術人員提供有效的信息依據,問題往往是依靠網絡技術人員通過推斷來分析,這樣網絡問題的分析效率很低,同時很難得到確實的分析結論。
(二)缺乏對網絡和應用間歇性問題的分析能力
網絡或應用可能出現間歇性故障,這種故障的出現一般很難判斷,在出現后很難分析其產生原因,而再次出現的時間無法確定,因此難以解決,好像網絡中存在一個不定時的炸彈,使用戶網絡和應用時刻處于危險之中。
(三)對網絡安全問題的分析能力不足
在發生網絡安全問題時,缺乏有效的監控分析手段,導致網絡的安全性降低,例如蠕蟲病毒的爆發,應該能夠對蠕蟲病毒的傳播情況進行有效的分析。
三、網絡流量分析內容
流量分析系統主要從帶寬的網絡流量分析、網絡協議流量分析、基于網段的業務流量分析、網絡異常流量分析、應用服務異常流量分析等五個方面對網絡系統進行綜合流量分析。
(一)帶寬的網絡流量分析
復雜的網絡系統上面,不同的應用占用不同的帶寬,重要的應用是否得到了最佳的帶寬?它占的比例是多少?隊列設置和網絡優化是否生效?通過基于帶寬的網絡流量分析會使其更加明確。工具主要有MRTG等,它是一個監控網絡鏈路流量負載的工具軟件, 它通過snmp協議從設備得到設備的流量信息,并將流量負載以包含PNG格式的圖形的HTML 文檔方式顯示給用戶,以非常直觀的形式顯示流量負載。
(二)網絡協議流量分析
對網絡流量進行協議劃分,真對不同的協議我們進行流量監控和分析,如果某一個協議在一個時間段內出現超常暴漲,就有可能是攻擊流量或蠕蟲病毒出現。Cisco NetFlow V5可以根據不同的協議對網絡流量進行劃分,對不同協議流量進行分別匯總。
(三)基于網段的業務流量分析
流量分析系統可以針對不同的VLAN來進行網絡流量監控,大多數組織,都是不同的業務系統通過VLAN來進行邏輯隔離的,所以可以通過流量分析系統針對不同的VLAN 來對不同的業務系統的業務流量進行監控。Cisco NetFlow V5可以針對不同的VLAN進行流量監控。
(四)網絡異常流量分析
異常流量分析系統,支持異常流量發現和報警,能夠通過對一個時間窗內歷史數據的自動學習,獲取包括總體網絡流量水平、流量波動、流量跳變等在內的多種網絡流量測度,并自動建立當前流量的置信度區間作為流量異常監測的基礎。能把焦點放在組織的核心業務上。通過積極主動鑒定和防止針對網絡的安全威脅,保證了服務水平協議(SLA)并且改進顧客服務, 從而為組織節約成本。異常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平臺、PeakFlow Traffic流量管理平臺等。
(五)應用服務異常流量分析
當應用層出現異常流量時,通過IDS&IPS的協議分析、協議識別技術可以對應用層進行深層的流量分析,并通過IPS的安全防護技術進行反擊。
四、網絡流量控制解決方案建議
對于目前運營商對網絡流量控制的需要,論文推薦的流量控制解決方案構架是:全網集中監視+重點控制。全網集中監視反映的是對整個網絡的性能監視和分析。重點控制是在網絡中的關鍵位置部署監控探針,在網絡中心設置管理系統,以實現運營商在遠程對重點地區進行更加細致的監視和控制作用。
(一)監控探針的放置點建議
國際出口、網絡互聯端口、骨干網的重要中繼、重要城市的城域網出口等位置。
(二)全網集中監視主要實現的功能
實時監測網絡狀況。能實時獲得網絡的當前運行狀況,減輕運維人員工作負擔。能在網絡出現故障或擁塞時自動告警,在網絡即將出現瓶頸前給出分析和預測。
合理規劃和優化網絡。通過對網絡流量的監視、數據采集和分析,給出詳細的鏈路和節點流量分析報告,獲得流量分布和流向分布、報文特性和協議協分布特性,為網絡規劃、路由策略、資源和容量升級提供依據。
引導提供網絡增值業務。通過對業務占用帶寬的分布、業務會話的統計分析,能夠了解和分析網絡特性和用戶使用偏好,引導開發和規劃新的網絡應用和業務平臺,進行增值業務的拓展和市場宣傳,引導用戶需求。
靈活的資費標準。通過對用戶上網時長、上網流量、網絡業務以及目的網站的數據分析,擺脫目前單一的包月制,實現基于時間段、帶寬、應用、服務質量等更加靈活的資費標準。
(三)重點控制實現的功能包括
提供主動的控制功能。不僅僅局限于對網絡流量狀況的獲得,還能夠提供基于網絡流量監測系統GATE 1000硬件平臺和業界領先算法的流量控制功能,主動改進網絡服務。
滿足重點監控需要。可以提供豐富的監控特征參數,可以進行靈活的復合設定,全面滿足運營商需要,也可以通過定制來實現特定要求。
降低互聯互通成本。獲得重點出口中繼鏈路的利用率、用戶和協議分布、源和目的網段間的流量分布和趨勢,提供運營和互聯成本分析。為網絡互通、租用中繼以及選擇商業戰略伙伴決策時提供科學依據,降低成本。
實現區分服務,保證服務質量。流量監控獲得的數據,可進行高低優先級客戶的網絡資源占用率分析、服務質量的監測。通過資費政策的調節、業務等級的區分、在中繼線路上實施流量控制,優先保證高優先客戶的服務質量。
網絡安全和抵御DOS攻擊。通過連接會話數的跟蹤,源目的地址對的分析,TCP流的分析,能夠及時發現網絡中的異常流量和異常連接,偵測和定位網絡潛在的安全問題和攻擊行為,保障網絡安全。
五、IPFIX與PSAMP標準
IPFIX(IP Flow Information Export,IP流動信息輸出)是IETF的技術人員2004年才制訂的一項規范,使得網絡中流量統計信息的格式趨于標準化。該協議工作于任何廠商的路由器和管理系統平臺之上,并用于輸出基于路由器的流量統計信息。
IPFIX定義的格式為Cisco的NetFlow Version 9數據輸出格式作為基礎,可使IP流量信息從一個輸出器(路由器或交換機)傳送到另一個收集器。因為IPFIX具有很強的可擴展性,因此網絡管理員們可以自由地添加或更改域(特定的參數和協議),以便更方便地監控IP流量信息。使用模板的方便之處在于網管和廠商不必為了用戶能夠查看流量統計信息,而每次都要更換軟件
為了完整地輸出數據,路由器一般以七個關鍵域來表示每股網絡流量:源IP地址、目的地IP地址、源端口、目的端口、三層協議類型、服務類型字節、輸入邏輯接口。如果不同的包中所有的七個關鍵域都匹配,那么所有這些包都將被視為屬于同一股流量。此外,一些系統中還有為了網絡統計進行跟蹤而附加的非關鍵域,包括源IP掩碼、目的地IP掩碼、源地址自治系統(autonomous system)、目的地自治系統、TCP flag、目的地接口以及IP next-hop等。按照IPFIX標準,如果網絡操作人員想以附加的非關鍵域來描述包,那么基于模板的格式會在輸出包的報頭之后插入一個新域,并新增新的模板記錄。
六、網絡監測系統框架
采用不同的檢測方法,通過分布式監測方式對通過高速IP網絡的數據包進行統計和分析。采集服務器搜集的數據包及統計數據被傳送到綜合服務器,經合并處理后存入數據庫,并進行進一步的分析處理。在這個過程中,可應用Netflow v9、IPFIX以及PSAMP等標準和協議,實現對采集數據的編碼與傳輸。與通常的SNMP、Netflow及其它網管標準不同的是,該框架采取了PSAMP標準及技術,在不降低監測與分析效果的情況下,盡量減少檢測數據量。
整個框架從總體看,可分為網絡流量數據采集和網絡數據分析兩大部分。
網絡流量數據采集:為適應不斷發展的高速網絡應用,框架中采用了分布式網絡流量數據采集方案,IP流數據可從不同的設備以不同的方法來獲取。利用路由器/交換機的數據流量采集功能或是從其他IPFIX/PSAMP數據采集設備,也可直接從網絡接口卡等網絡數據包攝入設備來得到網絡數據,然后再以不同的標準,最終由網絡流量數據采集服務器將所有傳來的不同格式的數據集中。
為體現現代計算機應用中的兼容性,框架中對網絡硬件接口的應用方面,突出了其應用多樣性。這樣,在原有硬件設備的基礎上,如普通的網卡(NIC)、基于硬件時間戳的Endace DAG卡或者其它的專用FPGA網絡接口設備,都可以在libpcap、winpcap等庫的支持下,由BPF虛擬處理器作為缺省的包捕獲工具。在包捕獲的軟件實現上,采用了多線程機制,使用不同形式的數據隊列和數據緩沖設備,以應對突發的大量數據包。
接下來對捕獲的數據包,分別交由兩種方法和途徑進行處理:在Netflow標準支持下,同步完成記帳業務。在這種操作模式下,傳送的總的數據量可以被統計下來。數據分析模塊利用PSAMP協議,根據不同的具體需求采取不同的取樣算法,對數據包進行過濾和抽取以進行分析處理。這樣就可以根據實際的需要來進行選擇,以減少傳輸和分析處理的數據量。
網絡數據分析:對采集來的網絡流量數據,根據不用的應用要進行詳細的分析處理。框架中這個部分的設計采用以SQL數據庫為中心的分布式數據集中和分析的方法。
以DBMS為中心的操作可以獲得更好的分析樣本以及統計粒度。此外,為便于網絡管理人員的操作,框架中應用基于Web的直觀的、圖形化的管理界面,所有數據輸出都以腳本語言(XML)的形式,直接在Web頁面中顯示。管理人員可以實時觀察網絡運行狀況,還可以對歷史數據進行瀏覽、分析,同時還可這些實時數據傳送到其他應用系統,如分布式入侵檢測系統、網絡跟蹤等。
七、結束語
總的來說,在網絡設備上配置網絡流量監控系統,對網絡流量進行分析和監控,好處還是顯而易見的。特別是對于網絡流量負荷比較大的網絡。可以有效的節省網絡帶寬和處理資源。也可以作為計費或者流量控制或者網絡規劃的參考。
參考文獻
[1]謝希仁.計算機網絡.大連理工大學出版社
篇3
關鍵詞:氣象信息網絡;安全;病毒
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 06-0101-01
一、引言
氣象信息網絡已經成為氣象業務正常運行的重要組成部分,它是相關人員了解氣象政務和天氣預報等信息的重要媒體。通過這一媒介,預報人員可通過氣象信息網絡傳輸的模式數據等,做出準確的天氣預報和氣候預測。決策服務人員可根據實際天氣情況,氣象災害預警和氣候預測等信息。公眾氣象信息網絡的這些信息來安排自己的工作、學習和生活。但隨著網絡病毒、計算機黑客的不斷入侵,互聯網的安全性越來越低,我們的氣象信息網絡正面臨日益嚴重的安全威脅。氣象信息網絡隨時都有可能遭到有意或無意的黑客攻擊或者病毒傳播。人們是如此地依賴氣象信息網絡,以至于任何因素網絡安全事故都可能造成無法估量的損失和社會影響。維護氣象信息網絡安全性已經刻不容緩。由于氣象網絡系統在管理和制度上普遍存在缺陷,一些條件較差的基層臺站甚至沒有專職計算機網絡管理人員。還有一些再基層氣象職工計算機水平較低,機房設備較差,這對氣象網絡的安全極為不利。
二、提高氣象信息網絡安全的幾個途徑
(一)加強路由器控制,防止IP地址非法探測
加強路由器控制,防止IP地址非法探測時提高氣象信息網絡安全的重要步驟之一。有時候非法黑客會采用“IP地址欺騙”的方法來進行網絡攻擊前的準備。其具體做法是:先假扮成氣象信息網絡內部的一個IP地址,通過Ping、traeeroute或其他命令探測網絡命令來探測網絡。一旦發現漏洞,黑客會利用這些漏洞對氣象信息網絡進行攻擊。針這類安全隱患,網絡管理人員應該在路由器上建立安全訪問控制列表,以防止IP地址非法探測。當建立安全訪問控制列表后,可將其放到路由器連接外網接口入口,形成一道控制墻,假如非法訪問者頻繁地利用Ping、traeeroute或其他網絡探測命令攻擊主機,可對其進行隔斷或阻斷處理。
(二)進行端口管理,阻止病毒傳播
很多網絡病毒利用固定的端口進行黑客攻擊和病毒傳播。例如,臭名昭著的Blaster蠕蟲病毒往往利用TCP 4444端口和UDP 69端口向網絡內部的正常主機傳播病毒。在氣象信息網絡安全管理時,加強計算機端口管理可在一定程度上阻礙病毒的傳播范圍。例如,網絡安全管理人員可在路由器的內、外網結構設置ACL,這樣當到達路由器時,病毒數據會被路由器的ACL設置過濾。因此,進行端口管理是一種“防患于未然”的安全策略。當發生端口攻擊等計算機信息系統安全事故和計算機違法犯罪案件時,網絡管理人員應該立即向單位信息安全責任人報告,并采取必要的措施,避免危害擴大,并編寫違章報告、運行日志和其他與計算機網絡端口攻擊有關的安全材料。
(三)提高內網安全級別,實行分級權限制度
氣象部門為維護常規氣象業務的正常運行,必須實行網絡安全級別的安全管理。一般來說,可將氣象部門的內部網絡按照安全級別分為三個級別:即業務子網級別、辦公子網級別和服務器級別,并實行分級權限制度。通過利用三層交換機策略對子網間的相互訪問進行權限控制安全級別高的子網可以訪問安全級別低的子網,同時禁止低級別的子網訪問高級別的子網。當低級別的子網網絡感染病毒后,不至于傳染至高級別子網,這樣可在很大程度上防止和阻斷網絡間病毒的傳播。網絡管理人員要執行氣象信息網絡安全的分級保護技術措施,對計算機信息系統安全運行情況進行檢查,及時查處不安全因素,排除安全隱患。
(四)實行網絡流量控制,確保業務數據正常通行
通常在氣象信息網絡沒有感染病毒時網絡帶寬應該能夠滿足業務數據的正常傳輸。假如網絡中的終端計算機感染了“蠕蟲”病毒或一些木馬程序后,網絡流量會出現異動。有時,網絡中會產生海量的數據流量,嚴重的甚至會將氣象信息網絡的帶寬完全耗盡,并導致業務網絡的阻塞或完全癱瘓。由于天氣預報、氣候預測等正常的氣象業務運行需要氣象數據及時準確的傳輸和傳達,網絡流量耗盡或阻塞將給氣象業務的正常運行帶來巨大的隱患。因此,為確保常規氣象業務數據的準確、及時傳輸,必須要對一些非業務的數據流量加強管理和限制,防止因為少量終端計算機的不正常而殃及整個網絡。氣象信息安全的相關人員應根據國家法律法規和有關政策要求,遵循國家“積極防御、綜合防范”的方針,確定氣象信息安全工作的策略、重點、制度和措施順利事實。
(五)終端計算機的網絡安全管理
計算機終端的安全是是氣象信息網絡安全的重要組成部分。病毒、惡意軟件、木馬等電腦病毒以及終端本身的軟硬件故障,常常給整個網絡帶來安全隱患,嚴重的甚至能導致系統崩潰。因此,對于終端計算機一定要加強網絡安全管理。因此要定期或不定期組織終端計算機系統的安全風險評估,檢查安全運行情況,并根據評估報告對系統安全措施進行完善與升級,及時排除安全隱患。具體的辦法和措施有:進入安全模式,使用殺毒軟件、360安全衛士、金山清理專家進行殺毒或者重裝系統等。
三、結語
總之,氣象信息網絡的安全保障工作是一項關系氣象業務健康穩定發展的長期任務,要充分認識加強信息安全保障工作的重要性和緊迫性,把信息安全工作列入重要議事日程,明確任務,落實責任,建立并認真落實信息安全責任制。在管理制度方面,要建立健全氣象信息安全組織機構、建立健全氣象信息網絡安全責任體系、建立一整套氣象信息網絡安全管理和信息安全應急處置等制度,最后,相關部門要宣傳貫徹國家信息安全相關法律、法規、規章和有關政策,并組織對氣象信息網絡管理人員進行信息安全教育建設并完善信息安全保障體系,推動信息安全工作的發展。信息網絡安全責任人要正確處理好安全與發展的關系,建立信息安全長效機制,落實信息安全措施,切實履行好信息安全保障責任。
參考文獻:
[1]陳曉字,王曉明,孫鵬.淺談廣東省氣象局網絡安全防護體系的部署[J].廣東氣象,2004,26(3):41-43
篇4
關鍵詞: 網絡安全;防入侵保護系統;防火墻的局限
中圖分類號:TU89 文獻標識碼:A 文章編號:1671-7597(2012)0220020-02
0 前言
越來越多的政府、企業組織建立了依賴于網絡的業務信息系統,比如電子政務、電子商務、網上銀行、網絡辦公等,隨著互聯網應用的迅速發展,計算機網絡在經濟和生活的各個領域使信息的獲取、共享和傳播更加方便。政府、企業對網絡的依賴程度越來越大,信息安全的重要性也在不斷提升。近年來,網絡所面臨的安全問題越來越復雜,安全威脅正在飛速增長,尤其混合威脅的風險,如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡、DDoS攻擊、垃圾郵件、網絡資源濫用(P2P下載、IM即時通訊、網游、視頻)等,極大地困擾著用戶,給信息網絡造成嚴重的破壞。能否及時發現并成功阻止網絡黑客的入侵、保證計算機和網絡系統的安全和正常運行便成為網絡我單位所面臨的一個重要問題。
說起網絡安全,相信許多人已經不陌生了。大家可能都曾遇到過下面這些情況:
1)沒有及時安裝新的一個安全補丁,造成服務器死機,網絡中斷;
2)蠕蟲病毒爆發,造成網絡癱瘓,無法網上辦公,郵件收不了,網頁打不開;
3)有的員工使用BT、電驢等P2P軟件下載電影或MP3,造成上網速度奇慢無比;
4)有的員工沉迷在QQ或MSN上聊天,或者玩反恐精英、傳奇等網絡游戲,或者看在線視頻,不專心工作;
5)由于員工電腦被植入間諜軟件,導致公司機密資料被竊;
6)公司WEB服務器遭受SQL注入攻擊,造成公司主頁內容被篡改;
7)部分員工電腦成為僵尸網絡的絞肉機,向外網發起DOS攻擊,引起公安部門注意并上門進行調查。
根據調查數據顯示,以上事件呈逐年上升趨勢,給網絡單位造成越來越大的直接和間接損失。對于上述威脅,傳統的安全手段(如防火墻、入侵檢測系統)都無法有效進行阻止。
1 防火墻的局限
絕大多數人在談到網絡安全時,首先會想到“防火墻”,網絡單位一般采用防火墻作為安全保障體系的第一道防線,防御黑客攻擊。但是,隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨復雜多樣,單純的防火墻已經無法滿足企業的安全需要,部署了防火墻的安全保障體系仍需要進一步完善。傳統防火墻的不足主要體現在以下幾個方面:
1)防火墻作為訪問控制設備,無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼,比如針對WEB服務的Code Red蠕蟲等。
2)有些主動或被動的攻擊行為是來自防火墻內部的,防火墻無法發現內部網絡中的攻擊行為。
3)作為網絡訪問控制設備,受限于功能設計,防火墻難以識別復雜的網絡攻擊并保存相關信息,以協助后續調查和取證工作的開展。
2 入侵檢測系統的不足
入侵檢測系統IDS(Intrusion Detection System)是繼防火墻之后迅猛發展起來的一類安全產品,它通過檢測、分析網絡中的數據流量,從中發現網絡系統中是否有違反安全策略的行為和被攻擊的跡象,及時識別入侵行為和未授權網絡流量并實時報警。IDS彌補了防火墻的某些設計和功能缺陷,側重網絡監控,注重安全審計,適合對網絡安全狀態的了解,但隨著網絡攻擊技術的發展,IDS也面臨著新的挑戰:
1)IDS旁路在網絡上,當它檢測出黑客入侵攻擊時,攻擊已到達目標造成損失。IDS無法有效阻斷攻擊,比如蠕蟲爆發造成企業網絡癱瘓,IDS無能為力。
2)蠕蟲、病毒、DDoS攻擊、垃圾郵件等混合威脅越來越多,傳播速度加快,留給人們響應的時間越來越短,使用戶來不及對入侵做出響應,往往造成企業網絡癱瘓,IDS無法把攻擊防御在企業網絡之外。
3 入侵保護系統的特點
基于目前網絡安全形勢的嚴峻,入侵保護系統IPS(Intrusion Prevention System)作為新一代安全防護產品應運而生。網絡入侵防御系統作為一種在線部署的產品,提供主動的、實時的防護,其設計目標旨在準確監測網絡異常流量,自動對各類攻擊性的流量,尤其是應用層的威脅進行實時阻斷,而不是簡單地在監測到惡意流量的同時或之后才發出告警。IPS是通過直接串聯到網絡鏈路中而實現這一功能的,即IPS接收到外部數據流量時,如果檢測到攻擊企圖,就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷,而不把攻擊流量放進內部網絡。
如何評價入侵保護系統:
針對越來越多的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等混合威脅及黑客攻擊,不僅需要有效檢測到各種類型的攻擊,更重要的是降低攻擊的影響,從而保證業務系統的連續性和可用性。
一款優秀的網絡入侵防御系統應該具備以下特征:
1)滿足高性能的要求,提供強大的分析和處理能力,保證正常網絡通信的質量;
2)提供針對各類攻擊的實時檢測和防御功能,同時具備豐富的訪問控制能力,在任何未授權活動開始前發現攻擊,避免或減緩攻擊可能給企業帶來的損失;
3)準確識別各種網絡流量,降低漏報和誤報率,避免影響正常的業務通訊;
4)全面、精細的流量控制功能,確保企業關鍵業務持續穩定運轉;
5)具備豐富的高可用性,提供BYPASS(硬件、軟件)和HA等可靠性保障措施;
6)可擴展的多鏈路IPS防護能力,避免不必要的重復安全投資;
7)提供靈活的部署方式,支持在線模式和旁路模式的部署,第一時間把攻擊阻斷在企業網絡之外,同時也支持旁路模式部署,用于攻擊檢測,適合不同客戶需要;
8)支持分級部署、集中管理,滿足不同規模網絡的使用和管理需求。
4 網絡防入侵保護系統產品綜述
針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等黑客攻擊,以及網絡資源濫用(P2P下載、IM即時通訊、網絡游戲、在線視頻、在線炒股…),應提供完善的安全防護方案。作為一種在線部署的產品,其設計目標旨在準確監測網絡異常流量,自動對各類攻擊性的流量,尤其是應用層的威脅進行實時阻斷,而不是在監測到惡意流量的同時或之后才發出告警。這類產品彌補了防火墻、入侵檢測等產品的不足,提供動態的、深度的、主動的安全防御,為企業提供了一個全新的入侵保護解決方案。
5 新一代網絡防入侵保護系統應具備的主要功能
網絡入侵保護系統融合高性能、高安全性、高可靠性和易操作性等特性,具備深度入侵防御、精細流量控制,以及全面用戶上網行為監管等三大功能,為客戶帶來了深度攻擊防御和應用帶寬保護的完美價值體驗。
5.1 入侵防御
實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、后門木馬、DDoS等惡意流量,保護企業信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機。
5.2 流量
阻斷一切非授權用戶流量,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。
5.3 上網行為監管
全面監測和管理IM即時通訊、P2P下載、網絡游戲、在線視頻,以及在線炒股等網絡行為,協助企業辨識和限制非授權網絡流量,更好地執行企業的安全策略。
6 新一代網絡防入侵保護系統的特點
基于高性能硬件處理平臺,為客戶提供從網絡層、到應用層,直至內容層的深度安全防御。
6.1 智能協議識別和分析
協議識別是新一代網絡安全產品的核心技術。傳統安全產品如防火墻,通過協議端口映射表(或類似技術)來判斷流經的網絡報文屬于何種協議。但是,事實上,協議與端口是完全無關的兩個概念,我們僅僅可以認為某個協議運行在一個相對固定的缺省端口。包括木馬、后門在內的惡意程序,以及基于Smart Tunnel(智能隧道)的P2P應用(如各種P2P下載工具、IP電話等),IMS(實時消息系統如MSN、Yahoo Pager),網絡在線游戲等應用都可以運行在任意一個指定的端口,從而逃避傳統安全產品的檢測和控制。新一代網絡防入侵保護系統采用獨有的智能協議識別技術,通過動態分析網絡報文中包含的協議特征,發現其所在協議,然后遞交給相應的協議分析引擎進行處理,能夠在完全不需要管理員參與的情況下,高速、準確地檢測出通過動態端口或者智能隧道實施的惡意入侵,可以準確發現綁定在任意端口的各種木馬、后門,對于運用Smart Tunnel技術的軟件也能準確捕獲和分析。新一代網絡防入侵保護系統具備極高的檢測準確率和極低的誤報率,能夠全面識別超過100種以上的應用層協議。
6.2 協議異常檢測
基于特征檢測(模式匹配)的NIPS產品可以精確地檢測出已知的攻擊。通過不斷升級的特征庫,NIPS可以在第一時間檢測到入侵者的攻擊行為。但是,事實上,存在三個方面的因素導致協議異常的誕生。
1)廠商從提取某個攻擊特征到最終用戶的NIPS產品升級需要一個時間間隔,在這個時間間隔內,基于特征檢測的NIPS產品是無法檢測到黑客的該攻擊行為的;
2)來自0-day或未公開exploit的隱蔽攻擊即使是安全廠商往往也無法第一時間獲得攻擊特征,通常NIPS無法檢測這類具有最高風險的攻擊行為;
3)Internet上蠕蟲在15分鐘內席卷全球,即使是最優秀的廠商也不能夠在這么短的時間內完成對其的發現和檢測。
協議異常檢測是新一代網絡防入侵保護系統應用的另外一項關鍵技術,以深度協議分析為核心的冰之眼NIPS,將發現的任何違背RFC規定的行為視為協議異常。協議異常最為重要的作用是檢測檢查特定應用執行缺陷(如:應用緩沖區溢出異常),或者違反特定協議規定的異常(如:RFC異常),從而發現未知的溢出攻擊、零日攻擊以及拒絕服務攻擊。作為一項成熟的技術,協議異常檢測技術使得冰之眼NIPS具有接近100%的檢測準確率和幾乎0的誤報率。
6.3 流量異常檢測
流量異常檢測主要通過學習和調整特定網絡環境下的正常流量值,來發現非預期的異常流量。一旦正常流量被設定為基準(baseline),新一代網絡防入侵保護系統會將網絡中傳輸的數據包與這個基準作比較,如果實際網絡流量統計結果與基準達到一定的偏離,則產生警報。在內置流量建模機制的同時,新一代網絡防入侵保護系統還提供可調整的門限閥值,供網管員針對具體環境做進一步調整,避免因為單純的流量過大而產生誤報。
參考文獻:
[1]曹天杰等編著,《計算機系統安全》,北京:高等教育出版社.
篇5
論文關鍵詞:IPv6,網絡安全,校園網
一、設計原則
高校的IPv6網絡建設是一個開放的,滿足學校的發展需要的同時還能夠為我國的下一代互聯網提供實驗,積累經驗和教訓。設計原則應該考慮到學校原有的網絡建設基礎,避免重復建設而造成浪費,同時還要考慮下一代互聯網必須保證具有較強的設備處理能力和可擴展能力。出于對學校資源的保護和網絡正常運行的保證,新建網絡還要有一定的設備備份和冗余。IPv6 校園網的安全性體現在網絡設備的安全性以及網絡層次的安全性兩方面。建立的IPv6校園網必須能夠運用相應的網絡管理軟件和監控軟件進行監控和管理。
二、網絡設計
1 網絡層次劃分
基于IPv6的校園網絡采用三層結構,在IPv6校園網絡三層體系結構中,核心層對數據留進行限速轉發并完成數據流量的路由控制,從而分擔數據傳輸的負載。匯聚層在接入層和核心層之間,數據處理的壓力比較大,其主要的功能在于完成對用戶網絡流量的匯聚,并在此基礎上進行控制和限制。而接入層是IPv6校園網絡三層體系結構中與用戶直接相連的那一層,其主要功能就是完成用戶流量的發送。
2 地址規劃
在IPv6校園網絡的規劃過程中,合理分配ip地址有效利用網絡資源是地址規劃的目的,通常在IP地址規劃分兩步進行,第一步iP地址分配,這里有包括普通的包含前綴的地址和僅用前綴表示的地址;第二步是進行子網劃分,這兩項內容的比例沒有明確劃分,都是在128位IPv6地址空間內,根據具體的實際情況來進行詳細的劃分,一般IPv6校園網絡地址規劃需要按照這樣5個原則進行:統一分配、靈活協調分配、節約性、層次性、就近性。
3 路由策略
IPv6 校園網絡中路由策略是指通過確定路由器之間進行連接的策略來保證IPv6校園網絡數據傳輸的有效性和簡單性,只有合理的路由策略才能保證校園網絡能夠暢通的進行數據傳遞,一般情況下在IPv6校園網絡規劃中,路由策略分為內部路由策略和外部路由策略。
內部路由協議:在新建的IPv6校園網絡內部路由協議要妥善的進行選取,目前很多協議基本班組開放性和標準化需求,諸如:靜態路由協議、RIPng 路由協議、OSPFv3 路由協議以及 IS-ISv6,但相對于校園網絡的地址規模比較大,那么在設計初期就必然考慮校園網絡要具有一定的可靠和可擴展性,那么選擇的 OSPF 路由協議和 IS-IS 路由協議是可以參考的。
外部路由策略:相對于內部路由協議,校園網的外部協議相對復雜一些,在IPv6校園網絡中,外部路由策略的主要功能是通過域間路由協議實現不同網絡之間的連接,IPv6 校園網絡外部路由策略的首選是BGP4+外部路由協議,因為他能夠支持多種路由策略的選擇而得到了廣泛的應用, BGP4+是以 BGP4 路由協議為基礎發展來的,并進行了改進從而全面支持IPv6協議的外部路由協議,BGP-4+路由協議的改進主要體現在為了能夠對IPv6 網絡中路由信息進行反應 BGP4+引入了兩個全新的 NLRI 屬性并對 Next_Hop 屬性進行了全新定義。其一是BGP4+協議加入 MP_REACH_NLRI 屬性,能夠實現了對 IPV6協議的支持以及完成路由信息的發送,其二引入 MP_UNREACH_NLRI 屬性完成路由信息的撤銷功能。除此之外,BGP4+協議還通過在 Next_Hop 屬性中對IPv6協議進行定義實行了對IPv6網絡的支持。
4 DNS 域名系統
傳統的 IPv4 協議的DNS域名解析過程中的域名查詢功能返回的地址是 32 位的,這就在全新的IPv6協議下遇到問題,因此必須實現 DNS 域名解析系統的改進,才能達到DNS 域名的雙向解析。IPv6協議通過采用了全新的 DNS 記錄格式來實現,其正向解析過程可以表示為 AAAA 與 A6,而反向解析過程則可以表示為 IP6.INT 與 IP6.ARPA。
5 過渡方案
目前IPv4協議的計算機網絡地址空間越來越匱乏、路由表暴增已經引起了網絡安全管理等問題,互聯網對人類的生活也越來越密不可分,人們開始依賴于網絡,因此新一代的基于IPv6協議的互聯網絡迫在眉睫,但是更新網絡協議帶來的網絡設備、系統及各種軟件燈應用會耗資巨大,因此全面更新換代是不現實的,這就必然要經過一個過渡階段,從IPv4 協議與IPv6協議共存到IPv6協議的發展過程。針對 IPv4 協議與IPv6協議的過渡問題,各國學者和機構都進行了大量的研究,其中最具有代表性兩種協議過渡技術是由 IETF 機構進行研究和提出的,它包括三大類(雙棧協議技術、隧道技術、網絡地址和協議轉換)。
四、運行管理體系
IPv6 校園網絡建設的最終目的是要供給學校使用的,對建好的IPv6校園網絡進行有效的管理,使其充分發揮在學校管理的作用,是設計階段必須考慮的問題,IPv6 校園網絡設計的合理性、適用性直接決定了所建立的校園網絡能夠實效經濟高效的運行和管理,決定著校園網絡建設的成敗。
1. 網絡故障管理
互聯網的數據量和用戶量與日俱增而且網絡環境越發復雜,計算機網絡經常會遇到各種突發事件,給計算機網絡的正常和使用帶來諸多影響,嚴重的情況往往是不可彌補的,對于這樣的損失計算機用戶是不可想象的,就目前網絡突發事故發生的突然性、高危性和復雜性,計算機的網絡故障管理就勢在必行,通過網絡故障管理能夠短時間內找到故障原因,找出解決辦法,從而以最短的時間恢復網絡的正常使用。
2. 網絡配置管理
所謂網絡配置管理是針對計算機網絡硬件設備的建設過程而言的,一般的計算機網絡所選用的網絡設備往往不會是一個廠家的,而不同廠家的網絡設備之間的兼容性問題必須在網絡建設過程中加以解決,尤其是隨著計算機網絡用戶的不斷增加和網絡應用的不斷擴大,使得相關的網絡設備更新速度加快,不同的設備在進行使用之前必須進行測試。
3. 網絡性能管理
為了使得網絡資源合理利用,滿足巨大的網絡需求的過程進行必要的網絡性能管理,能夠在網絡的使用過程中節約成本、減少資源浪費、優化流量控制,提升網絡運行的服務能力。
4. 網絡計費管理
校園網絡的計費管理系統針對兩方面的情況,針對于收費用戶的管理,可以根據使用的流量或者使用的時間來進行計費;而針對辦公等不需要進行收費的用戶在對用戶的上網行為并合理利用網絡資源的情況進行監管。
5. 網絡安全管理
網絡資源被合法、合理使用的前提是網絡的安全性,同時也能夠很好地維持網絡秩序,網絡的安全性包括兩個方面:系統安全性和傳輸安全性,也就是說網絡安全管理就要從這兩方面入手進行管理,包括數據傳輸的完整性、機密性和數據的身份驗證機制等方面。
五、面向下一代互聯網的網絡管理
下一代互聯網需要解決的問題很多,諸如:互聯網用戶激增、地址不足、網絡安全漏洞等問題,基于IPv6協議的計算機網絡的到來使得其綜合性和系統性大大增強,然而計算機網絡變得越來越復雜的同時也就給網絡管理帶來更大的挑戰。下一代計算機網絡必須解決的關鍵技術有互聯網管理技術的安全和質量,這就要求網絡管理必須從整體上進行規劃,這也關系到下一代互聯網建設的成敗。校園網的環境中相對管理較為簡單,用戶群體并不復雜,為了保證學校 IPv6 校園網絡的功能完備、性能先進、運行穩定、安全可靠以及效率高等要求,實現學校IPv6的過渡,并且針對當前網絡暴漏出來的各種問題有效的處理。學校勢必進行基于 IPv6 的系統基礎應用的開發,從而為下一代互聯網的平穩過渡打下基礎。
【參考文獻】
[1] 李哲夫. 基于 IPv6 的校園網用戶管理系統設計[J]. 微計算機應用. 2011(04)
篇6
浪潮電子信息產業股份有限公司總裁助理、系統軟件部總經理張東在接受本刊采訪時,辨析“開放”一詞,提供了又一個有趣的類別――同一個詞指代意思相近但程度不同的概念。人們喜歡說自己的技術是“開放”的,張東說開放有大有小,他舉例,Unix是開放的――和大型機相比,英特爾和微軟是開放的――指有標準接口,Linux、OpenStack是開放的――意思是公開源代碼并且擁有開放的開發者社區,“現在連硬件都出現開放了,像Facebook搞的那種開放服務器”。
云化業務
開放本身并不能給客戶帶來直接價值,張東認為,云計算意味著較高程度的開放,但可用性是第一位的。所以浪潮提出“云計算 2.0”,從業務云化轉向云化業務,落腳點是業務,而不是云。具體的思路是:構建開放平臺,實現IaaS層和PaaS層的層級間解耦,幫助用戶使用微服務來構建應用,需要時使用容器構建應用環境,以便結合大數據、AI、IOT等戰略性技術。
張東說,2010年前后浪潮做云海OS產品,主要考慮兼容性,應該叫“小開放”,現在浪潮云計算產品全面基于OpenStack,符合潮流(幾乎所有的主流IT廠商都在主動去兼容這個標準),開放的程度可以說是前所未有的。但客戶需要的硬件和軟件系統有多層,哪層需要什么程度的“開放”,這本身是開放的。浪潮的云計算策略不追求全局的、最高程度的開放。
既然要“云化業務”,提供OpenStack發行版必須做大量補足工作。從功能性、可用性、安全性和工具化4個層面對OpenStack進行優化,浪潮在發行版上新增了設備管理、混合云管理、底層存儲的多副本冗余、網絡設備的冗余堆疊、服務器的池化冗余等,支持Guest OS加固、有及無殺毒、數據保護、網絡流量控制等。
浪潮色彩
從用戶的需求出發而不是追求標準化和公開化,也體現在用戶界面上。張東說,實際上在浪潮的OpenStack發行版里面,用的是浪潮自己的界面,而沒有用OpenStack原生的。“為什么用我們自己的?因為這個界面,已經在實際業務中磨合了很多遍了,符合他們自己在應用場景下的申請資源的方式,他們的審批流程,他們的用戶管理,和實際需求融合得比較好。”
浪潮對待開源軟件的態度,是希望做到“源于開源,優于開源”。不僅是OpenStack,浪潮提供的Linux、Hadoop等基于開源技術的產品和服務,也采用了同樣的思路,染上了浪潮色彩。
篇7
關鍵詞:流控設備;帶寬;流量;策略;特征碼
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)16-3844-02
Flow Control Equipment in Campus Network
XIAO Cheng
(Southwest Petroleum University, Chengdu 610500, China)
Abstract: With the development of information technology and kinds of web applications, network architecture and traffic has become exceptionally complex. Especially in the campus network, the paper before loading flow control equipment, the use of the campus network to do a detailed comparison, and for the university, we proposed how to set the flow control device related strategies, to further explore the network application layer traffic Control of the foundation.
Key words: flow control equipment; bandwidth; flow; strategy; signature
1 概述
隨著網絡應用的多樣化發展,越來越多的帶寬被各種應用所占用。象高校校園網這樣大型的網絡主要目的是方便在校師生查閱科研資料、掌握實時信息[2]。然而在有限的帶寬中,這類基礎應用正被其他應用逐漸侵蝕,為了解決該問題,就必須識別出各種網絡應用。本文通過介紹流控設備的應用,介紹了其中一種有效控制網絡應用帶寬的方法。
2 未加載流控設備
未使用流控設備前,主要通過以下兩種手段監控校園網網絡情況。
1) 通過防火墻監控外網出口情況
在阿姆瑞特防火墻實時監控模塊中,可以查看各接口實時流量情況、防火墻CPU占用率和用戶會話連接數等信息[3]。圖1是未加載流控設備時,通過阿姆瑞特防火墻查看到的相關信息。
2) 通過網管軟件PRTG監控各區域網絡情況。圖2是學校某區域網絡流量情況(紅色代表下行流量,綠色代表上行流量)。
通過上面的圖例分析,可得出以下結論。
1) 防火墻CPU平均占用率處于較高的峰值狀態――接近90%,并且出現最高峰值99%的頻率非常高。由于阿姆瑞特防火墻自身機制特點:當CPU達到99%時將不轉發任何數據,因此,當CPU處于99%時,防火墻將丟棄數據包,用戶端可以明顯感覺到上網出現卡斷的現象。
2) 外網三個出口(教育網、電信、聯通)帶寬被占滿。比如:我校電信接口帶寬為200M,但是在網絡使用高峰期時,電信接口的上行和下行流量帶寬都超過了200M,部分用戶上網就會感覺到速度很慢,甚至打開網頁延時都很長。
3) 外網出口流量異常。由于對用戶網絡應用缺乏可控性,部分用戶(比如圖2所列區域)發送大量請求至外網,造成出口帶寬上行流量很大,甚至超過下行流量,這種非正常的流量形式嚴重影響了網絡速度。
3 加載流控設備
3.1 未配置任何策略
在核心交換機和防火墻之間串聯流控設備后,通過流控設備自帶流量分析功能,清晰查看整個校園網網絡應用分布情況。
通過圖3,可以看出該流控設備能以兩種形式對網絡流量進行分析。
1) 以IP模式分析,密切關注某個具體IP地址產生過大流量,網絡管理員可以通過跟蹤該IP地址的上下行流量狀況排查網絡故障,尤其定位大規模病毒爆發時的病毒源。
2) 以網絡應用模式分析,方便網絡管理員根據自身網絡帶寬調整網絡應用格局,保證關鍵業務的順暢。
3.2 根據校園網實際需求情況設置策略
考慮校園網應滿足全校師生日常辦公、實驗教學以及業余時間娛樂等方面的應用,分別從以下三方面對校園網網絡應用進行控制。
1) 按區域劃分,根據各區域的職能定位不同的網絡應用。
① 辦公區:經常上網查閱資料,首要保證瀏覽網頁速度快捷、收發郵件迅速、基于web的下載順暢。
② 實驗區:實驗教學場所,也應保證上網查閱資料、收發郵件、正常資料下載等應用,但是對于大量使用p2p下載電影、在線視頻以及網絡游戲等應用必須嚴格控制,限制在一個較小的范圍內。
③ 教工區:教師工作休息的地方,適當放寬娛樂等應用的帶寬,但是前提要保證辦公區、實驗區的關鍵應用。
④ 學生區:同教工區性質差不多,也應在保障相關應用前提下適當放寬娛樂業務的帶寬。
2) 按時間段劃分,首要保證白天辦公時間關鍵業務的開展。比如白天辦公時間對教工區和學生區要限制其p2p、在線視頻、網絡游戲等應用的帶寬,而在晚上可以適當放寬這些應用的帶寬。
3) 按應用劃分。該策略取決于流控設備廠商所搜集的各種網絡應用的特征碼,特征碼越多對網絡的控制力就越強。
3.3 加載策略后查看網絡流量
1) 在流控設備上查看網絡應用分布
通過流控設備可有效控制校園網網絡應用分布,使其結構布局更合理,讓用戶感覺到上網速度與學校外網帶寬大小相匹配。
2) 查看防火墻實時監控模塊
通過流控設備控制校園網網絡流量后,可以看到防火墻有兩處明顯變化:第一,防火墻CPU利用率不像之前那樣長期處于一個較高值狀態,并且出現峰值為99%的頻率很小。第二,外網三個出口帶寬有空余,并且上下行流量正常,上行流量小于下行流量。
3) 查看加載流控設備前流量異常區域的最新情況
加載流控設備后,校園網各區域上下行流量正常,同時網速較未加流控設備時,有明顯提升。
4 結束語
網絡發展日新月異,尤其是各種應用軟件更新快速,傳統的基于TCP/IP端口的ACL策略已經無法有效控制網絡應用[4],越來越多的應用,像p2p、在線視頻、網絡游戲等均可以通過一般的http端口(即80端口)進行數據的傳遞,并且這些應用占用帶寬很大,即使擁有較大的出口帶寬也會由于這類應用的大量使用,造成用戶不能順暢的打開網頁、收發郵件等基本業務操作。在這種形式下,流控設備很好幫助網絡管理員重新掌握主動權,根據校園網的定位去合理規劃網絡應用的分布比例。通過調整不同網絡應用的帶寬比例,保證用戶上網辦公服務的同時,適當利用充裕帶寬滿足像p2p、在線視頻等軟件應用。另一方面,流控設備有助于網絡管理員分析網絡異常流量,通過查看具體IP收發數據情況、未知應用所占帶寬比、上下行流量異常等手段,找出異常流量的根源,保障校園網的通暢。
參考文獻:
[1] 銳捷網絡.網絡應用控制引擎技術[EB/OL]..cn/Product/ace3000.
[2] 郭靜,肖誠.校園網多出口策略路由的應用研究[J].電腦知識與技術,2011,7(1):42-46.
[3] 熊暉.阿姆瑞特防火墻的管理器詳解[M].阿姆瑞特(亞洲)網絡有限公司,2008.
篇8
關鍵詞:網絡安全 簡單網絡管理協議 設備管理 拓撲發現 網絡監控
隨著互聯網的迅猛發展,高校作為培養人才的基地,對網絡的要求越來越高,對在互聯網上查找信息、在BBS上發表言論、發送郵件、建立博客、瀏覽網頁、看網上視頻等寬帶要求越來越高,這就在設備的管理、網絡安全與網絡監控上向校園網絡管理人員提出了更高的要求。在這里,校園網絡管理人員至少需要考慮四大問題:一是確保網絡設備管理正常工作,過濾非法用戶使用網絡資源情況的出現;二是檢測系統漏洞預防病毒和網絡黑客攻擊;三是實時做好在線遠程控制設備控制;四是監控當前網絡使用狀況,實現網絡流量的合理配置。而這一系列問題的根本性措施是要設計出合理的校園網絡安全管理系統。
一、校園網網絡安全環境概述
網絡軟、硬件存在的安全漏洞會導致網絡系統遇到各種威脅,導致絡安全事件發生,因此為維護這個網絡系統,要利用其他手段來創造一個良好的網絡環境。本文認為應該建立一個網絡安全防護體系,該系統既包括先進的技術,還包括安全教育、法律約束和嚴格的管理。也就是說,當前制定的網絡技術安全包括網絡安全、物理安全和信息安全。
1、網絡安全
網絡安全是指主機、網絡運行安全、服務器安全、子網安全及局域網安全。網絡安全的實現需要內部網與網絡安全域之間的隔離、內外網之間的隔離、還要對計算機網絡進行審計和監控、及時檢測網絡安全,同時做好了網絡系統備份和網絡反病毒。
要實現網絡安全,在內、外部網間設置防火墻是最有效、最主要、最經濟的措施之一。內部網的不同網段之間的敏感性和受信任度不同,存在很大的差異,所以非常有必要在它們之間設置防火墻,從而限制局部網絡的不安全因素影響到全局,以實現內外網的隔離與訪問控制。對網絡系統可以運用網絡安全檢測工具進行定期安全性檢測和分析,及時發現并修正其存在的弱點和問題。從而運用反病毒環節對網絡目錄和文件設置訪問權等,對網絡服務器中的文件進行頻繁掃描和監控。在網絡系統人為失誤或硬件故障的情況下,或者在對網絡進行攻擊破壞數據完整性或入侵者非授權訪問時,備份系統文件可以起到很好的保護作用。
2、物理安全
通過設置裝置和應用程序等方式方法來保護計算機和存儲介質的安全稱為物理安全。一般有兩層含義:一是環境安全,通過設立電子監控,設立災難的預警、應急處理和恢復機制,將災難發生時的損失盡可能減小,保障區域環境安全。二是設備安全,主要是防線路截獲、抗電磁干擾及電源、防電磁信息輻射泄漏、防盜、防毀等設備的安全保護。三是媒體安全,主要是指媒體數據的安全,即防復制、防消磁、防丟失等,另外是媒體本身的安全,包括防盜、防毀、防霉等。
3、信息安全
管理和技術兩方面的安全統稱為網絡安全。信息安全重要體現主要表現在數據的機密性、可用性、完整性和抗否認性等,包括用戶口令鑒別,計算機病毒防治,數據存取權限,用戶存取權限控制,方式控制、安全問題跟蹤、安全審計和數據加密等。
二、網絡安全系統設計開發的出發點
針對不同的網絡管理人員,網絡安全管理系統憑借著能夠提供不同的服務的應用功能,可以讓使用者在方便使用網絡資源庫的時候達到良好的管理效果。其關系如圖1所示。
圖1:人機交互關系圖
現在很多校園網絡管理者都能夠做到嚴格管理高校校園網網絡線路、設備和用戶。在整個高校,網絡安全管理是網絡安全管理系統的核心環節。但從上圖可以看出,網絡的管理應不限于此,還應該對于其他廠商設備以及網絡業務的擴展與應用等方面也相應地采取有效措施。
三、網絡安全管理系統功能及分類
路由管理、網絡安全審計、用戶認證管理、網絡故障管理、網絡監控等是整個網絡安全管理的重要組成成分。
圖2:網絡安全管理系統基本功能
檢測潛在的網絡安全隱患、及時監控和發現系統中的病毒,并及時查殺可疑的外來入侵者,并及時發現管理以及網絡的訪問熱點上的薄弱環節。為幫助網絡管理人員及時采取現場措施,收集來自路由器的重要信息(如用UDP或TCP協議受到的攻擊)數據,確保相關網絡安全信息,保障校園網的信息完整性。
(1)路由安全管理
網絡管理員可以用圖形化界面顯示各路由器所在物理位置,察看路由器的端口運行情況,核實路由器的CPU占用率和網絡路由拓撲結構,還可以核對路由器的MAC地址及路由協議的性能優化等功能,做到實時地對路由器信息進行添加、刪除、修改等操作。對全校所有路由器進行遠程管理的功能。
(2)用戶認證管理
校園網要實行有效的用戶管理。上網用戶提交的用戶信息可以在安全系統系統上進行修改、刪除等操作;對用戶提交的信息,可以提交至上層進行審批;查看網絡管理中心對申請上網的審批結果;可在校范圍內上查看全網登記用戶信息申請,一一查看和打印審批過程中的審批記錄,有效得出審批結果。
(3)網絡監控
安全系統對校園網目前所有環節,包括路由器、服務器、交換機客戶端等進行監控,可以使網絡管理人員對整個網絡在圖形化的界面下一目了然,直觀地表示當前各環節如路由器、服務器等是否處于正常工作狀態,便于管理人員進行查閱、統計等工作,詳細地記錄下監控數據后存放至后臺數據庫中,便于對其進行信息方面的統計。
(4)網絡故障管理
借助網絡安全系統,網絡中心管理人員可對用戶提交的信息進行及時處理,比如提供給用戶便捷查看學校網絡中心對各種申請的審批結和報修的新增網絡點的功能,修改、刪除網絡配置等各種申請,調整并反饋給用戶。
運用網絡安全系統,一旦發生網絡故障,網絡管理人員可啟動快速自動響應功能,實時鑒別和判斷故障發生的原因,從而將網絡故障時間或影響校園網的網絡問題降低到最小程度。
四、校園網絡安全體系的設計原則與任務
按照“統一規劃,分步實施”的原則,在建設網絡系統初期應著重考慮到安全性問題,同時要建立一個基礎的安全防護體系,再根據應用的變化,補充上防護體系并進一步增強。
(一)校園網絡安全體系的設計原則
設計網絡安全體系時應根據網絡安全性設計的要求,遵循可行性原則、多重保護原則、安全性原則、動態化原則、可承擔性原則等原則。
一是可行性原則:校園網用戶設計網絡安全體系不能純粹地從理論角度考慮,更應該考慮到設計網絡安全體系的目的是指導實施,設計方案在實施中需要切實可行。如果僅僅是為了追求理論上的完美以至于無法實施,那么網絡安全體系本身就毫無實際價值。
二是多重保護原則:在硬件上采取冗余、備份等技術多角度保護系統。因為任何安全措施都不能保證絕對安全,所以要建立一個多重保護系統,當一層保護被攻破時,其他層仍可保護信息安全。
三是安全性原則:安全性成為首要目標。原因在于設計網絡安全體系的最終目的是保障信息與網絡系統的安全。構建網絡安全體系的目的是保證系統的正常運行,需要進行權衡網絡安全是否影響系統的正常運行,必須選擇在安全和性能之間合適的平衡點。網絡安全體系包含一些硬件和軟件,它們會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。
四是動態化原則:安全防護隨著用戶的增加、網絡技術的快速發展也需要不斷地發展,所以制定安全措施要盡可能引入更多的可變因素,使之具有良好的擴展性。
五是可承擔性原則:考慮校園本身運行特點和實際承受能力,要切實可行,沒有必要按電信級、銀行級標準設計。
(二)校園網絡安全體系設計的任務
校園網絡安全體系設計的根本任務是為了讓高校網絡管理人員掌握各種網絡安全技術。具體在管理校園網中提供如下服務:
(1)為校園網用戶和網絡管理者之間提供一個動態網絡交流系統,同時,提供對用戶的管理功能,對用戶的網絡運行狀況進行動態判斷,并為將來創造用戶自主服務知識庫提供基本條件。
(2)建立能夠存放與網絡信息相關的各種數據,較為規范的網絡安全信息庫。
(3)全面管理網絡路由設置、網絡流量控制、用戶防火墻設置、系統漏洞、網絡版殺毒軟件安裝及工作情況等信息,并對網絡網絡故障響應、用戶報修登記等業務提供實時在線服務。
五、結束語
為了控制好一個復雜的計算機網絡并運行好其全過程,保證其效率,需要把高校校園網的安全作為一個龐大的系統工程來對待,需要全方位防范。因此,一定要在技術上和管理上強化基礎工作。從而達到一個好的網絡安全管理系統,即達到網絡可靠、安全和高效運行的目的,從而對對各種網絡設備及其軟件資源進行有效的監視、解釋和控制。
參考文獻:
[1]謝志強.IPv6過渡技術在高校網絡建設中的應用研究[J]. 福建電腦. 2009(02)
[2]吳建平,崔勇,李星,宋林健.??基于軟線的互聯網IPv6過渡技術構架[J]. 電信科學. 2008(10)
篇9
關鍵詞:差異化服務 提高客戶粘度 全業務經營 業務增長
中圖分類號:TN91 文獻標識碼:A 文章編號:1007-3973(2012)002-069-02
1 引言
中國經濟的高速增長,促進了互聯網業務的迅猛發展,寬帶業務和光纖業務的發展已經超過傳統數據業務,成為運營商主要收入來源之一。隨著互聯網的日新月異,用戶網絡行為模式也呈現多元化,比如P2P、視頻、bt、電影等難以控制的流量都是影響企業客戶局域網運行質量的主要因素。這種情況下,如何對現有網絡在業務承載和運營手段上進行完善,提升網絡對業務的承載能力和服務質量,走出IP網絡運營“增量不增收的困境”,用新的思路和策略來促進用戶增長和業務的拓展――為用戶提供差異化服務,進行精細化的多業務運營成為業界的共識。
2 寬帶差異化服務解決方案
互聯網上多種多樣IP業務在給用戶用戶帶來豐富多彩體驗的同時,對網絡帶寬、業務承載提出了更高的要求。在資源有限增長的條件下,采取提供差異化服務的方法,來應對不同層次的群體和應用,提高用戶業務感知和服務質量。
2.1 客戶網絡流量監控
計算機網絡的普及應用已滲透到社會各個層面,給社會帶來便利的同時也隨之帶來的安全和管理問題而利用局域網流量監控是非常有效的管理輔助手段并和企業的內部管理機制結合達到更加事半功倍的效果,已經成為大家的共識。武漢電信推出的“客戶網絡流量監控”服務,可以為用戶提供書面的流量監控報告,協助用戶查看程序下載或上傳的速度和流量信息。讓用戶知道自己的帶寬使用情況,為用戶網絡優化提供重要依據。此外,集團用戶可以租用IDC的網站流量統計系統,來對自己網站做實時監測,一方面可以了解自己網站的內容或功能是否滿足網民的需要,另一方面可以向第三方提供流量統計報表,來推動自己網站的廣告業務發展。
2.2 異常流量清洗服務
由于網絡安全技術和網絡攻擊手段的不斷發展和演變,使得這類用戶的互聯網業務面臨著極大的威脅和風險。其中,分布式拒絕服務型攻擊(Distributed Denial of Services,簡稱DDoS 攻擊)是目前互聯網中存在的最常見、危害性最大的攻擊形式之一。在這種緊迫形勢下,若具備建設專用的DDoS 攻擊流量監測和清洗平臺,一方面可以為電信自身的生產網絡提供安全保障,有效提高生產網絡的健壯性;另一方面能夠結合電信大客戶的安全需求提供DDoS 攻擊的防護業務,從而達到保存激增的目的。
網絡操作維護中心2009年在城域網出口處部署了專用的DDoS 攻擊流量監測和清洗平臺,清洗設備以旁路形式部署在城域網出口,不占用用戶帶寬,不影響用戶使用。2010年正式對外推出抗Ddos攻擊服務――異常流量清洗業務,贏得了市場的肯定和贊譽。該業務的推出,一方面為電信自身生產網絡提供安全保障,有效提高生產網絡的健壯性;另一方面也為電信大客戶和商務領航網吧聯盟客戶提供DDoS 攻擊的防護業務,從而達到保存激增的目的。
圖1 武漢電信流量清洗系統構成
2.2.1 系統部署
武漢電信城域網的流量清洗需求,建議部署在出口的兩臺GSR旁。如圖2。
圖2 武漢電信流量清洗系統部署示意圖
2.2.2 異常流量清洗實現步驟
(1)流量牽引
流量牽引主要指將去往被攻擊目標的流量重路由到一個用于攻擊緩解的流量清洗中心,以便在清洗中心中處理, 丟棄攻擊流量。系統采用分布式出發方式當清洗中心的清洗設備需要工作時,它們各自向網絡中的一個路由器發送一個BGP 更新,將到目標地址的下一跳設置為它們自身。采用分布式觸發的主要優勢在于,它能靈活地將清洗設備資源分配給遭受攻擊的特定用戶。
(2)流量清洗
流量“牽引”到清洗設備后,通過流量分析驗證技術對正常業務流量和惡意攻擊流量進行識別和分離,丟棄攻擊流量,保留正常流量。典型的流量清洗的過程由過濾、反欺騙、異常識別、協議分析和速率限制五個模塊(步驟)組成,經過這些模塊之后,流量傳輸到一個識別模塊,它可提取清潔數據,并不斷調整,以適應持續變化的DDoS 特性。清洗后的流量最后通過速率限制器,在注入回網絡前執行特定的防御策略中所定義的速率限制操作。
(3)流量回注
經過流量清洗后,正常流量被重新轉發回網絡,到達原來的目標地址。
通過網絡安全平臺檢測設備、清洗設備等聯動工作,采用基于Netflow 的流量監測技術實現來對自城域網內和城域網外的異常流量的牽引、清洗、回注,從而保障用戶網絡的正常運行。
2.3 用戶行為分析服務
隨著互聯網的日新月異,用戶網絡行為模式也呈現多元化。比如P2P、視頻、bt、電影等難以把握的流量都是影響企業客戶局域網運行質量的主要因素。蠕蟲病毒爆發,網絡流量急劇增大,網速減慢甚至堵塞,是不是感染蠕蟲病毒?有哪些鏈路受到了攻擊?難于了解網絡流量的現狀和應用偏好,網站偏好,等等這些問題無一不在困擾著我們。為滿足用戶和市場需求,網絡操作維護中心充分利用局端系統及平臺資源,通過專用設備可對用戶端口、數據包進行抓包分析、流量分析、流量控制,并提供業務應用的報表分析,包含出、入雙向流量、總流量、占比及TOPN。
2.3.1 產品部署及組網方式
圖3 武漢電信業務監控系統組網圖
2.3.2 產品實現功能
NTARS系統,能實現局域網內的全業務協議分析、應用流量、偏好分析、P2P分析等,從網絡中剔除不受歡迎的流量。協助用戶了解網絡帶寬使用情況、流量分布情況、網絡行為分析、確定攻擊地理位置、垃圾郵件自動報警。協助用戶實現局域網的管理安全和權限控制。對于指定的大客戶,提供各種網絡應用流量的實時曲線圖表;可以按小時、日、月等不同的時間段提供用曲線圖或餅圖顯示,也可生成Excel格式報表。
如果能夠把網絡流量按照應用業務種類區分開來,并適度控制消遣類流量對網絡資源的占用比重,那么將成倍提高現網對關鍵應用的承載容量。
2.4 雙路由熱冗余
當下各電信運營商正在為全業務經營作精心準備,隨著用戶逐步把互聯網作為自己的關鍵業務網絡平臺,寬帶互聯網必將是運營商爭奪高端客戶最激烈的戰場。中國電信的寬帶業務目前在各運營商中處于明顯的優勢地位,也將成為各運營商關注的焦點。用戶互聯網上的關鍵業務對聯網的質量保證要求越來越高。這正好給了其他運營商以介入的機會,目前,中國聯通(網通)正在積極介入高端寬帶客戶的爭奪,為用戶提供第二條互聯網電路作備份。
用戶在內網出口放置可以進行鏈路自動檢測的網絡設備,當電信線路中斷時該設備把路由切換到另一家網絡,保證網絡冗余可靠。目前其它運營商利用此種方案對用戶進行誘導,試圖說服用戶采納。發現這種情況后我們進行了仔細的分析,此種方案雖然可保證鏈路可靠性,但并不完美:(1)用戶需要購買鏈路檢測設備;(2)大部分網絡資源在中國電信的chinanet上,如果電信線路中斷,通過其它運營商的訪問質量將下降;(3)兩個運營商的鏈路無法做到有效的負載均衡。
針對以上方案的幾個缺陷,網絡操作維護中心利用chinanet寬帶互聯網網絡優勢,推出新的雙路由熱冗余產品。如圖4所示。
圖4 武漢電信雙冗余熱備部署圖
利用不同的局點接入,在核心網實現動態路由、負載分擔實現兩條線路的負載均衡和冗余。此方案功能主要在核心網實現,用戶不需購買另外設備,同時可以做到負載分擔和自動冗余,克服了其它運營商介入帶來的缺點,可以成為中國電信競爭高端客戶的有效手段。
3 差異化服務應用市場效應
2008年下半年,網絡操作維護中心推出了系列差異化服務,通過精確的數據分析和流量分析,為前端客戶經理提供潛在的目標客戶群體,前后聯動,一戶一案,實現針對性營銷。在黨政軍客戶、重要政企客戶、金融客戶和網吧聯盟等聚類客戶中取得了良好的銷售業績,尤其在2010年,我們完成拓展收入1126萬元,超年計劃12.6%。其中新增網盟雙冗余業務收入215萬,新增異常流量清洗收入約160萬元。 2011年為新增IDC托管客戶北京新網數碼、水務局、漢口銀行、湖北電力等政企用戶及39家網吧聯盟的網吧用戶實施異常流量清洗服務。
同時,將維護拓展差異化服務營銷和3G手機營銷、E9融合套餐營銷糅合起來、捆綁營銷,也獲得了意外的收獲:2010年二季度共計完成員工套餐營銷任務275件,占網絡操作維護中心發展量的72.6%,三季度完成員工套餐營銷任務214戶,占中心實際完成總量的87.7%,四季度完成員工套餐營銷100戶,有效出賬率97%。合計2010年,合計完成C網業務589件。
經過4年多的探索、推廣,成功樹立了雙路由冗余、異常流量清洗、用戶行為分析三大差異化服務品牌,增加了客戶粘度,提高了客戶滿意度和感知,提升了他網競爭的門檻。我們有理由相信差異化的服務,能使中國電信在高端客戶的競爭中取得勝利,成為鎖定高端客戶的利器。
4 結束語
寬帶差異化服務是一個系統工程,包括IP網絡承載差異化、內容應用差異化、客戶服務差異化等多個體系。本文主要討論了基于應用的流量監控、流量清洗、用戶行為分析等差異化的業務和服務。對于不斷增長互聯網業務需求和有限的運營資源之間的矛盾,只有在提高服務質量和差異化服務中尋找解決方案,才能同時滿足業務發展需求和業務經營,保證互聯網業務健康支持發展,保證客戶感知越來越好。
篇10
根據新近頒布的《建筑及居住區數字化技術應用》國家標準、《數字社區示范工程技術導則》、《智能建筑設計標準》的設計規范和技術要求,數字化系統設計和工程實施內容應包括:智能物業管理、安防與設備監控管理、網絡與信息服務、社區“一卡通”管理,以及綜合信息系統集成平臺五個方面。
本著切實可行,適度超前,可分階段逐步實施的原則建設處于目前國際上領先地位的基于信息化、網絡化、自動化綜合信息系統集成平臺(IBMS.省略)、綜合安防及設備監控管理系統(BMS.省略)、社區電子商務系統()。增強數字化的管理能力和提高社區優質與增值的服務水平。
數字化新技術應用
為了建設數字化與智能化,我們在設計與工程實施中應用目前國際上主流的新技術和選擇了具有數字化功能的系統產品,具體采用了以下的新技術:
1.省略網絡化信息集成技術
采用控制網絡與信息網絡綜合科技
應用最新網絡信息集成科技
應用控制網絡節點網關(eCG)技術
2.基于網絡化的智能物業管理技術
基于網絡化的遠程物業管理
網絡化智能物業管理與租戶之間的信息交互和服務
3.省略技術的信息集成與服務平臺
在數字化大樓內實現光纖到大樓每層(FTTB)
在數字化大樓內采用HFC/CATV雙向電視傳輸網絡
租戶數字化布線系統
4.感應式智慧卡”一卡通”技術
在數字化公寓樓門廳采用感應卡門禁對講系統
采用具有車牌識別保安功能的感應卡停車場管理系統
社區租戶會員制服務體系
數字化物業管理感應卡收費系統
5.省略)和監控自動化控制網絡(BMS.省略)、安防與設備監控系統(BMS.省略),為數字化的全體租戶提供高效率的優質服務,并通過數字化對智能物業管理的支撐,降低物業管理的運行費用和節省能源,提高數字化的經濟效益。
數字化與智能化的核心是信息化加自動化。在數字化寬頻網絡建設的同時,要特別注重控制網絡與信息網絡的綜合,使控制網絡和信息網絡融為一體,讓數字化自動化監控信息匯入信息網絡,從而進一步拓寬自動化監控的范圍和視野,豐富網絡系統的信息內容與應用領域。實現社區數字化物業管理計算機的協同工作和信息共享。
1.控制網絡與信息綜合的技術特點
將綜合監控系統分區域集成于統一的控制網絡平臺
分區域進行監控實時處理和聯動控制
將處理后的監控信息經控制網絡節點網關(eCG),通過數字化局域網將監控信息和數據傳送到數字化物業管理中心
2.控制網絡與信息網絡綜合的優越性
將控制網絡“化整為零”,大大改善了總線網絡受監控節點數限制的缺陷
提高了控制總線有效的信息傳輸距離和改善了總線網絡的通信機制
通過網關將數字化局域網上的一個監控信息Web服務器進行連接,便于數字化網絡化的物業管理和信息增值服務
改善了數字化各監控系統獨立布線的繁亂方式
3.控制網絡節點網關技術
實現控制網絡與信息網絡綜合的關鍵性設備
采用自主開發的網關實時管理軟件包
遵循BACnet信息交換和傳輸標準
多線程網絡數據實時通訊
兼容RS485和LonWorks現場總線通訊接口標準
實現區域性實時監控處理與信息綜合傳輸平臺
eCG網關提供現場總線與互連網絡有效的硬件安全隔離
4.省略),建立內部的光纖Intranet寬頻網絡上,采用 “信息系統集成平臺”(IBMS.省略應用信息集成的技術規范要求是完全基于數字化內部網Intranet之上,通過Web 服務器和瀏覽器技術來實現整個網絡上的信息交互、綜合和共享,實現統一的人機界面和跨平臺的數據庫訪問。因此可以真正做到局域和遠程信息的實時監控,數據資源的綜合共享,以及全局事件快速的處理和一體化的科學管理。
所采用的IBMS.省略全系統內統 一和便捷的信息交互平臺,各個信息子系統和監控自動化子系統的實時運行信息可通過網關上傳到網絡中心的系統集成中央服務器上,數字化內各職能部門領導和管理員均可以在授權下通過Web工具方便地瀏覽數字化內部網Intranet上豐富的信息資源,監控和管理各子系統的實時工況。通過開放數據庫互聯(ODBC)技術將系統集成SQL數據庫與大樓開發建設管理數據庫和物業管理數據庫互聯,提供綜合全面的信息與數據。
1.省略),包括以下功能應用子系統
智能物業管理系統(IPMS.省略)
數字化電子商務應用系統(eBS.省略)
2.省略),包括以下功能應用子系統
綜合保安監控管理系統(SMS)
閉路電視監控子系統(CCTV)
設備監控自動化子系統(BAS)
公共廣播子系統(PAS)
車輛管理系統(CPS)
數字化技術分類及實現功能說明
根據“數字化建設總體要求”并根據建設部最新公布的“數字社區示范工程技術導則”(試行)的規范標準,以及根據數字化技術應用和功能特點,提出了數字化系統組成和技術規范要求,對各應用子系統進行了實現功能的歸類。
1.省略)、智能物業管理系統(IPMS.省略)、大樓寬頻網絡(LAN+WLAN)、社區“一卡通”管理(ICMS.省略)
(2)智能物業管理系統()
(3)機電設備監控系統(BAS)
(4)綜合保安監控管理系統(SMS)
(5)電子巡更管理系統
(6)停車場管理系統(CPS)
(7)綜合布線子系統(PDS)
(8)寬頻網絡系統(LAN+
WLAN)
(9)電子會議系統
(10)電子公告及信息查詢系統(LCD/LED)
(11)社區弱電防雷系統(FLS)
(12)家庭智能化系統(IHS)
2.省略)
大樓綜合信息集成系統平臺功能包括以下系統的信息集成:物業管理信息,安防報警與設備監控管理信息,“一卡通”管理信息,電子商務信息、安防與自動化。用戶在IBMS.省略)
智能物業管理系統功能包括:物業管理與服務、物業管理數據庫、數字化各應用子系統物業管理信息集成。
(3)設備監控自動化系統(BAS)
設備監控自動化系統功能包括:網絡化設備監控管理平臺、大樓空調系統監控、大樓節能管理、給排水設備監控、變配電設備監控、照明及燈光控制管理、電梯運行監控。
(4)綜合保安監控管理系統(SMS+CCTV)
綜合保安監控管理系統功能包括:大樓綜合安防監控管理集成平臺、巡更管理,報警、閉路電視監控(電視監控、云臺控制、視頻矩陣切換、報警聯動、數碼錄象、圖像信號網絡傳輸)等綜合監控管理。
(5)巡更管理系統(PMS)
巡更管理系統功能包括:巡更點設置、巡更點路線設定和查詢、保安管理等
(6)車輛管理系統(CPS)
車輛管理系統功能包括:租戶車輛管理、停車收費管理、車票影像識別安全管理。
(7)綜合布線管理系統(PDS)
綜合布線系統包括以下系統的管線敷設:綜合弱電配線箱、計算機網絡、電視、電話、租戶10M/100M接入、單元每層1000M光纖接入。
(8)社區寬頻網絡系統(LAN+
WLAN)
寬頻網絡系統功能包括:核心與樓層交換機大容量數據交換功能、計算機局域網絡流量控制及計費、大堂無線局域網絡、多個寬帶運營商接入。
(9)電子會議系統(EMS)
電子會議系統功能包括:大屏幕顯示功能、發言功能、擴聲及音響功能、會議設備集控功能、考慮以后同聲傳譯擴展功能。
(10)電子公告及信息查詢系統(LCD/LED)
電子公告牌顯示系統功能包括:觸摸屏信息查詢終端、LED公告牌顯示屏。
免责声明
公务员之家所有资料均来源于本站老师原创写作和网友上传,仅供会员学习和参考。本站非任何杂志的官方网站,直投稿件和出版请联系杂志社。