虚拟专用网(简称VPN)是一种利用公共网络来构建私有数据传输通道,将远程的用户端连接起来,提供端到端的服务质量(QoS)保证以及安全服务的私有专用网络。目前,能够用于构建VPN的公共网络包括Internet和服务提供商(ISP)所提供的DDN专线、帧中继(FR)、ATM等,构建在这些公共网络上的VPN将给企业提供集安全性、可靠性、可管理性、互操作性于一身的私有专用网络。
2VPN的要求
2.1安全性
VPN提供用户一种私人专用的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在IntranetVPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可靠的认证机制。
2.2性能
VPN要发展,其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此,VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理策略来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”低优先级的应用。
2.3管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络进行管理,网络安全处理能力的大小是VPN解决方案好坏至关紧要的区分。因此,VPN要有一个固定的管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全策略的简单方法,将安全策略进行分布,并管理大量设备。
2.4互操作
在ExtranetVPN中,企业要与不同的客户及合作伙伴建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec(Internet安全协议)、PPTP(点到点隧道协议)、L2TP(第二层隧道协议)等。
3VPN的实现技术
3.1隧道技术
VPN区别于一般网络互联的关键是隧道的建立,然后数据包经过加密,按隧道协议进行封装、传送以保证安全性。
现有两种类型的隧道协议,一种是二层隧道协议,用于传输第二层网络协议,它主要应用于构建远程访问VPN;另一种是三层隧道协议,用于传输第三层网络协议,它主要应用于构建IntranetVPN和ExtranetVPN。
3.2加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于保护敏感的商业信息。
加密技术可以在协议栈的任意层进行,可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此,所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
3.3QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
QoS机制具有通信处理机制以及供应和配置机制。网络资源是有限的,有时用户要求的网络资源得不到满足,管理员基于一定的策略进行QoS机制配置,通过QoS机制对用户的网络资源分配进行控制以满足应用的需求,这些QoS机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。
除了这3种主要技术以外,还有如备份技术,流量控制技术,包过滤技术,网络地址转换技术,抗击打能力和网络监控和管理技术等。
4VPN的应用模式
4.1远程访问
为克服传统远程访问的问题,推出了基于VPN的远程访问解决方案。如图1所示,这种方案充分利用了公共基础设施和ISP,远程用户通过ISP接入Internet,再穿过Internet连接与Internet相连的企业VPN服务器,来访问位于VPN服务器后面的内部网络。一旦接入VPN服务器,就在远程用户与VPN服务器之间建立一条穿越Internet的专用隧道连接。这样,远程客户到当地ISP的连接和VPN服务器到当地ISP的连接都是本地网内通信,虽然Internet不够安全,但是由于采用加密技术,远程客户到VPN服务器之间的连接是安全的。
4.2远程网络互联
基于VPN的网络互联已成为一种热门的新型WAN技术,它利用专用隧道取代长途线路来降低成本,提高效率。两端的内部网络通过VPN服务器接入本地网内的ISP,通过Internet建立虚拟的专用连接,如图2所示。特别是宽带网业务的发展,为基于VPN的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。
关键词VPN;技术方案;比较
中图分类号TP39文献标识码A文章编号1674-6708(2010)33-0224-02
VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。我们根据企业实际需求,对现有常用的3种VPN技术方案做分析比较,选择适合外服应用的方案,再在方案基础上考虑其它功能集合。
1IPSECVPN方案
IPSEC是一套比较完整成为体系的VPN技术,它规定了一系列的协议标准。它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。IPSEC通过包封装包的方法,通过Internet建立了一个通讯的隧道,通过这个通讯的隧道,就可以建立起网络的连接。
IPSEC协议支持几种操作模式,通信双方要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSEC协议中,一旦IPSEC通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP、SNMP、HTTP、POP、AIM、KaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。
我们设计IPSEC方案中,中心和分支机构分别采用IPSECVPN网关设备,中心为每个节点分配一套密码,各个节点通过密码与中心交换机互相认证,建立IPSECVPN虚拟通路,这条通路的特性,如带宽、何时可以建立等通过中心统一管理。还可以通过双密钥机制实现更加可靠的认证。
2SSLVPN方案
SSL的英文全称是“SecureSocketsLayer,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
从简单而一言,SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL网关或接入服务器设备。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL服务器取得,并验证该用户的身份,然后SSL服务器将提供一个远程用户与各种不同的应用服务器之间连接。
几乎所有的主流商业浏览器都集成了SSL,实施SSLVPN不需要再安装额外的软件。绝大多数SSLVPN的生产厂商都通过“signedplugins”提供其他的功能,“signedplugins”可以跟随浏览器自动传输给客户端。
SSL实现了客户端零安装,零配置。但其功能和应用也受到限制。它适合B/S模式,移动用户通过浏览器访问WEB服务应用,有的SSLVPN还对其他非B/S等进行有限扩充,增强了其可用性,可是在通用性、兼容性方面还存在很多不确定性,在认证方式、应用程序类型上限制很多。
按照SSLVPN设计的外服网络方案,中心和各分支节点采用专用SSLVNP设备连接Internet,要求设备兼容外服各项专用应用,系统要求较高,没有统一的扩展应用标准,存在是否能支持今后业务发展各项新应用等相关问题。方案中移动用户和家庭用户无需客户端连接SSLVPN服务器,经安全认证后使用各项B/S模式应用,解决较为理想,基本不用考虑计算机维护和相关网络问题,也较安全的隔离了病毒传播和木马程序等问题。
3MPLSVPN方案
MPLSVNP是一种基于MPLS技术的IPVPN,是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN)。
MPLS技术通过标签的引入,将IP路由网络中“数据报”的转发方式转变为类似于“虚电路”VC的转发方式。VC的方式在数据包转发只前先由IP网络建立一条从源端到目的端的唯一路径,一旦这条路径确定,所有的数据包将通过这条路径传输。在MPLS网络中,路径即是由“标签”来表示的。在路由器中,每个目的网络由一个标签表示,所有到此目的网络的数据包被打上此标签转发到目的地。MPLS类似“虚电路”的标签转发方式保证两个VNP节点之间的流量经过唯一路径,不会被转发到其它节点,保证了用户数据包的安全性。
MPLSVPN能够利用电信运营商公用骨干网络强大的传输能力,为企业构建内部Intranet,同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。
在基于IP的网络中,MPLS具有很多优点,也有明显的缺点:
1)相对降低了成本
MPLSVPN方式支持路由器方式连接,能保护用户的以前专线方式设备投资;其运营租金与专线相比下降很多,降低了一定成本,但国内电信运营商还处于相对垄断阶段,租金还相对偏高。
2)提高了资源利用率,提高了网络速度
由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。由于使用标签交换,缩短了每一跳过程中地址搜索的时间,减少了数据在网络传输中的时间,提高了网络速度。
3)系统应用支持能力强
网络对C/S、B/S和其他应用支持较好,保障业务开展和新信息系统今后支持。
4)MPLS具有QOS保证
网络通过电信运营商骨干城域网络实现,并由运营商提供24小时网管监控服务,保证了网络的服务质量。相对于其优点,MPLS的缺点也是明显的:
1)价格高
相对于使用IPSec、SSL方式通过Intranet组网,MPLS的代价比较高。相当于一种准专线。
2)跨运营商不便
由于需支持全国网络,可能会跨越不同运营商,运营商之间还有很多协调工作没有完成,中国电信、网通等巨头之间,互联互通并不完美,网络堵塞时有发生。从以上总结可以看出,MPLS更适应比较高端的大型用户。
参考文献
[1]白木,周洁.浅谈VPDN与VPN技术[J].有线电视技术,2003(4).
从2011年开始,西门子将其网络外包服务正式带入中国市场,从集成、运维、咨询、培训等方面为用户提供全面的服务解决方案。
西门子IT解决方案和服务集团网络外包服务中心经理关浩表示,其实网络外包服务没有门槛,只要是有这方面需求的企业,无论规模大小,都可以放心地采用西门子的网络外包服务。但考虑到企业自身的实际情况,具备一定技术和资金实力,已建立起规范业务流程,对外包服务理念有较高认同度,并能与外包服务商进行无障碍沟通的企业,最有可能率先从网络外包服务中受益。在中国,像电信运营商、能源企业、钢铁企业、大型央企这类拥有一定专业技术基础和经验的企业,都可能成为网络外包服务的第一批用户。
关浩表示:“目前,西门子在全球80多个国家管理和运维着220多个站点。”西门子IT解决方案和服务集团的客户主要包括AMD、奥迪、北京首都机场、中国移动、中国联通、可口可乐、微软MSN中国公司等。在网络外包服务方面,西门子可以为用户提供一站式的服务:一方面可以为用户提供从零开始的全套的IT解决方案和服务;另一方面,也能提供包括设计、咨询、构建、监控、预警、快速响应、故障排除等在内的全套网络外包服务。
对于外包服务来说,安全是第一位的。网络外包服务商提供的服务一定要能通过技术手段来证明其能够保证系统的安全、可靠,满足用户对SLA的要求。关浩强调:“西门子网络外包服务的流程能够经得起全程审核,能够确保服务的安全性,将所有的流程、操作步骤都记录在案,还可根据用户对SLA要求的不同,协商确定安全保障的范围,并制定双方认可的赔偿条款。”
Abstract:Landmanagementonadrawingisabusinessinnovationmodeloflandresourcemanagementinthenewera.Ithasitsownneedswhichdifferentfromthepreviouslandmanagement.Therefore,asapartofitscoresupportingtechnologies,thecomputernetworksystemshouldaccordinglyconstantimprovementanddevelopmentinordertoensurethatitscontentscanberealized.Inthisregard,thispaper,fromafigureonthegoalsofthreeinterconnectionnetwork,thethreenetworkarchitecture,networkconstructionprogramanditssecuritywereanalysedasemphasiscontents,thusformingacompletesetofconstructionsolutionsofthreeinterconnectionnetworkoflandresources.
关键词:一张图管地;国土资源;计算机网络;土地管理
Keywords:landmanagementonadrawing;landresources;computernetwork;landmanagement
中图分类号:TP311文献标识码:A文章编号:1006-4311(2013)27-0187-03
0引言
近年来,随着我国经济建设的飞速发展,国土资源管理所涉及的土地利用、耕地保护、地价与土地市场管理、建设用地规模的变化日益频繁,各种用地申请与审批工作量逐年上升。为解决经济社会快速发展带来的国土资源管理压力与管理手段之间日益突出的矛盾,2004年曾培炎副总理在国土资源部视察工作时要求国土资源管理工作要能够实现“天上看、地上查、网上管”。由此,国土资源部围绕“以图管地”和“一张图管地”相继出台了相关的规定和要求。
“一张图管地”其核心是利用网络技术、遥感监测、GPS定位技术,将土地计划、审批、供应、利用、整理开发等整合到一个平台上,叠加相关信息系统,制作全国土地利用“一张图”,建立国家建设用地信息监管平台,实现“以图管地”,实施联动监督检查机制[1]。
目前,随着WEBGIS技术[2]、WEBSERVICE技术[3]及CDN技术[4]的不断成熟,计算机网络体系建设得到了进一步提升,网络互联更加快捷高效,使得国土资源信息更加方便、快速和高效地互访及成为可能。国土资源计算机网络体系建设业已成为实现国土资源各级业务系统互联互通的基础条件,也成为“一张图管地”内容真正得以实现的前提基础。
因此,在这种背景下开展国土资源省、市、县三级互联的计算机网络体系建设研究,构建申报、审查、审批和供应于一体的网络运行体系,无疑具有较强的现实意义。
1三级网络互联建设的目标
一张图管地包括纵向和横向两个层面的实际需求:纵向上,从县、州市、省、国家逐级汇总上报数据,实现上下级数据间的一致性;横向上,则指在不同级别国土资源管理部门内部,实现以基础图形为基础,叠加土地管理的各种专题图形,做到一个基准、一套数据管地。
根据一张图管地的实际需求,为确保“一张图管地”内容的真正实现,国土资源省、市、县三级联网的网络体系建设目标可归结如下几个方面:①采用当前成熟的网络技术,纵向上建立覆盖省、市、县国土资源管理部门并支持省、市、县综合协同办公的三级联网的网络体系;②实现“一张图管地”横向之间及与上下级纵向之间的业务协作、并联审批等网上业务办理需求;③满足“一张图管地”大数据量的传输和共享、海量数据更新需要。另外,具体实施过程中还要结合省、市、县三级国土资源管理业务实际,以需求定应用,充分利用现有的电子政务网或国土专网实现互联,尽量避免资源浪费和重复建设。
2三级互联网络的体系结构
基于一张图管地纵向和横向两个层面的实际需求,国土资源三级网络系统互联建设相应的也需从纵向和横向两个层面考虑。
纵向网络应由省到市和市到县两级网络构成。其中,省到市纵向网络可基于省级电子政务网或国土专网与市级电子政务网互联,这两级间主干网络目前全国范转内均已基本建成;市到县纵向网络可采取市级电子政务网与县级电子政务网互联方式实现。
横向网络建设方面:省本级横向网络系统主要包括省国土资源厅内部局域网、省级数据中心和接入省国土资源厅的所属事业单位内部局域网;市级横向网络系统包括市国土资源局内部局域网、辖区分局内部局域网、市级数据中心和接入州市局的所属事业单位内部局域网;县级横向网络系统由县级内部局域网组成。各级信息中心负责本级数据中心的建设、管理和维护工作。国土资源三级联网的网络总体结构如图1所示。
3三级互联网络建设方案
3.1国土资源业务网系统部署方案由图1可知,由于系统采用的是三层分布式应用架构,因而根据不同的硬件情况,制定了灵活的部署策略。本研究中采用了将独立的业务模块分别部署在不同硬件设备中这一方式。按照硬件设备所实现的不同功能,整个业务网部署方案分为三个层次:业务逻辑层、集成层和数据资源层。
业务逻辑层:主要部署与业务逻辑实现相关的硬件设备,包括门户服务器、应用服务器、工作流服务器、地图操作服务器、事务处理服务器、查询/报表服务器、表单解析服务器和即时通信服务器;
集成层:主要部署与数据集成和应用集成相关的硬件设备,包括数据集成服务器和应用集成服务器,分别与国土资源数据交互体系和内、外部应用系统进行相关交互;
数据资源层:主要部署的是与国土资源局域网应用系统相关的关系数据和非关系数据存储设备,包括基础数据库服务器、平台支撑数据库服务器、业务数据库服务器和文件服务器。
3.2网络信息服务系统部署方案网络信息服务系统部署方案与国土资源业务网系统部署方案大致类似,除了功能服务器类型和数目有所减少外,只是少了集成层,这主要考虑信息安全问题,即为了保证数据处理的一致性和系统的安全性,网络信息服务系统所需要的数据主要都通过电子网闸由内部局域网(国土资源内网)获取。
3.3硬件及网络环境建设网络互联硬件环境主要包括国土资源基础数据库服务器、共享数据库服务器、应用服务器、WEB服务器、邮件服务器等服务器、网络设备、工作站与设备等。①多级服务器与工作站配置。国土资源数据交换中心的主机主要有国土资源基础数据库服务器、共享数据库服务器、应用服务器、WEB服务器、邮件服务器等服务器。其中,国土资源基础数据库服务器是系统的核心,国土资源基础数据库服务器采用互为备份,双机集群的构建方式构建;②国土资源基础数据库服务器配置。服务器系统要求服务器主机性能能够满足数据存储与管理要求,采用小型机分区技术满足系统的灵活性,采用双机热备份技术提高系统的可靠性;③系统群集。服务器以负载均衡的方式为客户端提供服务,就像冗余部件可以使你免于硬件故障一样,群集技术则可以免于整个系统的瘫痪以及操作系统和应用层次的故障。一台服务器集群包含多台拥有共享数据存储空间的服务器,各服务器之间通过内部局域网进行互相连接。当其中一台服务器发生故障时,它所运行的应用程序将与之相连的服务器自动接管;④应用服务器与WEB服务器配置。应用服务器承担应用平台运行、业务应用等功能,WEB服务器提供WEB访问等。基于应用的应用层服务器更强调CPU处理能力,因此应用层服务器的配置应相对较高,以提高WEB访问能力大大增强;⑤数据存储设备配置。因一张图管地数据量极其巨大,因此对数据的存储与传输要求较高,需有大容量、稳定的、高速、可扩展的存储传输设备,以满足未来较长一段时间的数据存储要求。
4网络安全机制建设
网络安全建设对保证三级联网的网络系统的安全、平稳、可靠运行至关重要。另外,要确保网络传输中信息的完整性、可用性和保密性,也必须加强网络安全建设。国土资源省、市、县三级网络安全建设从技术层面和管理制度两方面着手,主要考虑以下几点[5][6]:
构建多重技术防护体系:
①在网络内部边界和子网边界处部署防火墙。防火墙能有效控制对系统的访问,提供集中的安全管理、增强保密性,能够记录和统计网络使用数据情况,为网络管理员提供必要的分析数据。而且,可以将整个网络有效的划分出各个安全域,一旦某一区域发生网络病毒突发事件,可以迅速对该安全域进行隔离,将风险和影响控制在最小范围,防止波及整个三级网络。②各服务器和工作站安装正版反病毒软件和漏洞扫描程序。定期进行系统扫描和查杀,以便及时发现安全隐患,将危害排除在发生之外,从而保证整个局域网系统的安全运行。③部署入侵检测系统。入侵检测以探测控制为技术本质,起主动防御的作用,能够有效地抵御来自网络外部或内部的非法入侵,尤其是他很好地弥补了防火墙完全不能阻止网络内部袭击的缺陷,是保证网络安全的又一道坚强屏障。④加强网络安全管理制度建设。实际情况表明,网络安全威胁很多时候来源于单位内部管理上的松懈和对安全威胁的认识不足,所以加强网络安全管理制度建设也是三级联网的网络安全建设必不可少的内容。首先,各级单位应根据单位内部实际情况制定完善的网络使用规范和相应的网络管理措施,做到操作有章可循、管理有序可依。同时,单位局域网应指定专人专业管理,一旦故障发生,保证能在第一时间内排除。其次,做好用户管理和权限管理,只有对符合身份验证和授权的用户才允许获得相应资源的权限,对调动部门职员和离职人员要及时注销。
5结语
本文基于“一张图管地”宏观背景,探讨了国土资源三级网络的互联问题。由“一张图管地”纵向、横向两方面的实际需求,确立了三级网络互联建设的目标,针对该网络建设目标,着重就三级互联网络的体系架构、网络建设方案及其安全机制进行了重点分析,从而形成了一套完整的国土资源三级互联网络建设方案。初步应用表明,该方案大大促进了国土资源申报、审查、审批和供应等业务一体化网络协同办公运行体系的形成,为“一张图管地”的深入实施提供了安全稳定的硬件环境,推动了国土资源信息化建设步伐。
参考文献:
[1]赵俊三,赵乔贵,赵生恩.一张图管地新模式的理论与技术问题探讨[C].2009年中国土地学会学术年会.中国江苏杨州,2009.
[2]赵锐,赵凤禹.基于WebGIS的基础地理信息数据与应用服务[J].价值工程,2011(25):146.
[3]袁磊,赵俊三,李付伟.基于WebServices的国土资源信息服务系统的架构研究[J].信阳师范学院学报(自然科学版),2010,23(3):458-462.
[4]袁磊,赵俊三,徐艳红.国土资源信息服务系统建设[J].计算机应用与软件,2011,28(8):60-63.
无线网络;百兆网;快速以太网;百兆以太网
1.百兆网功能及建设原则
百兆网络的主要功能。连接企业办公楼中的PC连接点;同时支持约500用户浏览Internet;提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括办公系统应用、提供基本的Internet网络服务功能:如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。
百兆网对主机系统的主要要求。主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力;主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;支持通用大型数据库,如SQL、Oracle等;具有广泛的软件支持,软件兼容性好,并支持多种传输协议;能与Internet互联,可提供互联网的应用,如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务、NEWS新闻组讨论等服务;支持SNMP网络管理协议,具有良好的可管理性和可维护性。
百兆网络系统设计方案应满足如下要求。网络方案应采用成熟的技术,并尽可能采用先进的技术;采用国际统一标准,以拥有广泛的支持厂商,最大限度的采用同一厂家的产品;方案应合理分配带宽,使用户不受网上“塞车”的影响;应充分考虑未来可能的应用,如桌面将承受大型应用软件和多媒体传输需求的压力;该网络方案要具有高扩展性。能为用户未来数目的扩展具有调整、扩充的手段和方法;该网络应是面向连接的,能够实现虚拟网(VLAN)连接。
百兆网络数据流量类型及需求情况分析。百兆网功能需求具有如下特点:为实现网上多媒体数据信息的实时播放,要求主干网具有100Mbps以上的网络传输带宽;从各部门局域网的安全性和数据传输效力考虑,要求系统能以多种方式实现虚网设置,即具有很强的虚网技术;具有方便地从100Mbps网络向百兆位以太网升级的能力。
百兆网对网络设备的要求。高性能;所有网络设备都应足够的吞吐量;高可靠性和高可用性;应考虑多种容错技术;可管理性;所有网络设备均可用适当的网管软件进行监控、管理和设置;采用国际统一的标准。
2.网络规划
下图是一个典型的网络结构方案示意图,结合用户的实际情况,充分利用现有先进技术,为用户“精打细算”,只有这样,才能为用户“度身定制”一个既有最好的性能价格比,又有最好的可扩展性的真正切实可行的技术方案。
3.百兆网采用的网络操作系统
百兆网的网络操作系统以MicrosoftWindowsNTServer4.0为主,它是发展速度最快的集成了Web应用的网络操作系统。具有界面友好、系统强壮、稳定可靠、与桌面主流操作系统相容性好等优点。并拥有大量的基于NT的服务器端软件,是Intranet网络中最佳的网络操作系统平台。
4.网络架构中的产品定型
主干交换机的定型。主干交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备。在INTELEXPRESS500系列百兆堆叠交换机组的基础上采用世界上目前第一个真正已经投放市场的百兆模块把百兆交换机组通过光纤相连到IntelExpressGigabit百兆交换机上,通过百兆交换机实现和WEB服务器百兆带宽的主干连接。
接入交换机的定型。采用IntelExpress510TSwitches作为百兆网工作组级接入交换机,直接连接各站点。通过Intel先进的、独特的堆叠背板技术(SST)将第一期的600个站点分成若干个网段,即3-6个510T交换机堆叠在一起的独立组群,这样就在每个交换组中最多144个站点提供高达15Gb的带宽,因此形成的交换网络就能够满足不断增长的流量需求。通过虚网技术,可以使每个办公室和不同楼层之间的互访得到有效的管理和控制,提高网络的安全性。
服务器网卡的定型。IntelExpressPRO/100服务器网卡是唯一的一种支持标准10BASE-T、100BASE-TX、和100BASE-FX以太网的网卡。这是一种智能的网卡,它能够利用其内置的Inteli960RP处理器最大限度地优化服务器资源。
它的独特性能包括:负载平衡(LoadBalance)技术,支持网络负载均衡;网卡容错(AFT)功能,可以增加链路冗余性,提高可用程度;高性能驱动程序,包括WindowsNT*(NDIS4.0)和NetWare*(ODI3.3);通过RJ-45和MII连接器支持100Base-TX和100Base-FX;支持全双工和半双工操作。
百兆网络出口设备。考虑到Internet和其他网络的连接(如CHINANET等),目前设计的局域网都要考虑对广域网络的连接,更广的资源和更多的应用将是在各种广域连接中发现。目前,越来越多的企业建立了自己的WEB。因此,能否有效地连接Internet是百兆网建立的一个重要的目标。
网络设备的选择和配置。网络中心交换机:主交换机配置具备第3层交换功能的CoreBuilder4007,可以在主干网上实现虚拟网、流量控制、组播以及防火墙等多种功能,大大提高了公司企业网的性能。4007交换机包含一个分布式网管而统一网管接口的网管体系。4007交换机具有处理优先级的能力,使网络可以支持时间敏感型的应用。
网络二级交换机:2级交换机均采用3Com推出的24口SuperStackSwitch3300型。根据SuperStackSwitch3300的可堆叠特性,在配线间3组成2层堆叠。并利用100Mbps端口上连到网络中心交换机CoreBuilder4007。
网络服务器:网络主服务器采用HPLT6000R机柜优化服务器。配置4路IntelPentiumⅢXeon处理器,集成双通道RAID(RedundentArrayofInexpensiveDisks,廉价冗余磁盘阵列)控制器),冗余电源冗余风扇,1000M网卡连接4007交换机。
网络系统平台。WindowsNTServer4.0是适用的最完善的服务器平台,它提供了一个在建构您的企业内部网络方面健全、可靠的基础。除了它集成的应用程序、通讯处理和文件/打印支持以外,WindowsNTServer4.0是唯一一个具有完善的、集成的内置式企业内部网络服务集的服务器操作系统,使它成为在使用、管理方面最方便的企业内部网络服务器。通过WindowsNTServer4.0,为您提供了可利用的一种完善的企业内部网络服务器—它是“插接和运行”式企业内部网络服务器。
5.安全系统—防火墙
随着INTERNET的迅速发展,如何保证信息和网络的自身安全性问题,尤其是在开发互联环境中进行商务等机密信息的交换中,如何保证信息存取和舆中不被窃取篡改,已成为企业非常关注的问题。CHECKPOINT防火墙FIREWALL-1V3.0的主要特点分为三大类,第一类为安全性类,包括访问控制、授权论证、加密、内容安全等;第二类是管理和记帐包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制,主要为企业消息的服务器提供可靠的连接服务,包括负载均衡、高可靠性等。
[1]张浩军.计算机网络实训教程[M].北京:高等教育出版社,2001.07
(一)现行网络环境的特点随着数据库技术的广泛应用和存储介质容量的不断增加,现行的网络环境呈现出应用系统的高度集成化和存储的高度集中化的特点。
1.应用系统的高度集成化。传统网络环境下的应用系统是相互独立的,一般分为办公系统、事务管理系统、业务管理系统、档案系统等,这些系统一般由多个独立的数据库和多立的服务器支持,而随着技术的进步上述系统逐步整合集中,形成一个包含多项功能的复合的系统。
2.存储的高度集中化。传统的数据存储方式下,受到存储介质容量和网络传输速率的限制,一般采取分散存储的方式,每个基层单位、每个应用系统都有自己的服务器用于存储数据,而在现行的网络存储模式下,数据存储逐步集中到市一级、省一级甚至是大区一级,基层单位不再有独立的存储设备,各个应用系统也不再有专门的存储设备。
(二)现行网络条件对档案工作的影响
现行的网络技术环境对档案工作有较大的影响,这些影响主要是存进档案工作发展的,但也有一些影响如果不加以重视,会妨碍档案工作的有序开展。
1.现行网络环境下电子档案的存储与档案管理分工不相符。由于数据的集中存储,基层单位的电子档案存储在市级、省级乃至大区级的服务器上,这些服务器的管理权限不在基层,势必影响基层单位对本单位电子档案的管理。
2.现行网路环境下的档案安全完整性需要引起重视。一是伴随着系统的高度集成,电子档案的生成渠道则是复杂多样;二是由于电子档案必须依赖特定的技术环境才能使用,但是信息技术的不断进步,系统的不断更新,导致老系统中生成的电子档案无法利用。
二、创新思想、强化服务,做好网络环境下的档案管理和服务工作
(一)不断创新档案管理和服务的理念
在信息化条件下,要做好档案管理和服务,档案部门必须创新理念,不断强化档案信息开发与利用的广度和深度,使其发挥更大的效益。首先,档案管理部门应该以档案信息化建设为契机,认真分析信息化建设对传统档案管理模式的影响,充分认识和了解信息化建设所引发的理论与方法的变革。其次,积极应用信息技术,实现档案资源的合理配置,不断提高档案管理与利用现代化水平。再次,根据档案信息管理与服务的现状,客观分析影响档案利用与信息共享的诸多因素,深入研究利用者及其利用需求特点,寻求适应档案利用需求实际情况的服务模式,进一步促进档案资源共享。
(二)积极构建信息档案服务体系
首先,构建信息化档案信息管理体系。一是建立档案信息资源体系,集中管理档案资料,对档案信息进行整体开发、综合管理,形成档案编研材料,为领导决策、直属直管各单位数据需求做好服务。二是建立信息化综合档案资源服务体系。形成以档案管理部门为中心,辐射直属直管各单位的管理模式,形成资源共享的格局,以利于档案信息的整体开发,统一运用。三是建立信息化档案信息网络,以利于提高档案信息开发的经济效益和社会效益。其次,建立专门的档案管理数据库,实现档案数据全息化管理,客户端查询,并开展档案咨询服务。再次,充分运用信息技术进行档案信息开发。这是提高档案信息开发和利用质量的重要手段,档案管理人员可以从传统的归类、审核、整理工作中解脱出来,集中精力从事档案分析、评价,更好的发挥档案资料的作用。
(三)提高信息化档案信息的安全防护水平
信息技术条件下,档案管理的安全问题不仅局限于传统的档案安全,更要重视网络和数据安全。和互联网安全一样,由于档案信息实现网络管理、资源共享,极易引发外部入侵,导致数据被破坏,档案资源被非法外泄。首先为保证档案资源的安全性,必须建立局域网,局域网与广域网不在同一台计算机中使用,并严格限制外部设备接入计算机。其次外部计算机如果需要访问档案管理系统,要加装防火墙,严格身份认证、访问权限设置,并且不允许外部计算机直接访问档案管理服务器,只允许其访问专门的外网服务器。再次在网络内各个终端要安装桌面管理系统、防火墙及防病毒软件,保证信息安全。
(四)畅通网络环境下档案服务的反馈渠道
档案利用效果的信息反馈,是了解和掌握档案价值的客观依据,也是进一步做好档案信息利用与开发的重要保障。特别是信息技术条件下,档案使用者来自多个方面,每个方面的档案使用者对信息的要求也不尽相同,比如管理者更关注宏观的、连续的、趋势性的信息,技术人员更关注档案信息的准确性、完整性。因此,及时收集、整理档案利用效果信息,也是提高档案信息服务的重要组成部分。做好信息技术条件下档案利用效果反馈收集工作的关键在于三。一是对档案工作者加强职业道德教育、强化责任意识和服务意识,增强档案工作人员的主动性。二是加大对利用者的宣传教育力度,提高利用者做好档案利用效果信息反馈工作的自觉性,积极配合档案部门做好这一工作。三是开发具有互动和反馈功能的档案信息管理系统,使档案使用者的意见和建议能够第一时间反馈上来,便于档案管理人员及时改进。
(五)着力打造档案信息服务的人才队伍
【关键词】互动电视;融合网络
BroadbandInteractiveTVSystemBasedonFusionNetworks
ShiJing-liang
(TheTVstationinSheyangCountyofJiangsuProvinceJiangsuYancheng224300)
【Abstract】ThispaperintroducesabroadbandinteractiveTVsystembasedonfusionnetworks,andanalysisthedesignofthesystem,thecharacteristicsofthesystem,aswellasthestructureofthesystemandotheraspects.
【Keywords】interactivetelevision;fusionnetwork
1引言
互动电视是基于数字电视和网络宽带技术的一项新技术,涉及到网络技术、计算机技术、网络传输技术等多种技术领域。互动电视系统能够进行视频的直播、点播和录制,还能够对已经收看的电视节目进行回看。目前随着数字电视技术的不断成熟,三网融合技术的发展,加之高清电视系统的普及,互动电视技术与网络融合技术的结合速度随之加快。
2系统设计方案简介
2.1系统设计方案简介
融合网络宽带互动电视系统充分利用广电有线网络资源,通过双向的有线电视网,建立具有异域管理、扩展性强的技术方案。该系统由硬件系统和软件系统组成,通过运营商提供网络服务,然后软件在硬件系统上运行得以实现。主要目的就是向用户提供高质量、高水平、控制更加灵活的视频服务以改善用户对电视节目的收看效果。融合网络宽带互动电视系统的层次结构图如图1所示。
本技术方案支持直播、点播、增值等应用,这些服务全部由同一个平台实现;此外此系统还可以统一管理机顶盒、PC以及机动设备等。在设计方案上,该方案采用了国际标准和基于标准协议的设计,避免了供应商之间的壁垒。在传输内容的管理上,该系统使视频传输与获得区分开来,便于内容管理及传送。
该系统管理内容不仅包括直播、点播以及录制等传统视频,还包括游戏、音乐及电视与互联网的结合等新媒体内容。同一内容可以面对不同的传输网络,同一网络也可以同时接收不同的节目内容,这样便可以大大提高内容与管理的灵活性,加强运营商的可操作性。
2.2系统方案特点
(1)视频传输自适应能力强,可以通过多种不同的网络进行传输。本系统是以网络IP为核心的传输机制,能够根据网络的部署结构、宽带以及服务质量的不同,为用户提供不同种类的节目流。该系统能够检测终端网络的介入状态及节目质量,然后将检测信息反馈到前端服务器,服务器接收到信息后,为了保证用户在任何网络环境中收看到流畅的节目,该系统能够自动调整节目的播出码率,然后根据网络环境进行传输。
(2)跨多种终端开发环境。传统的应用开发是单纯的基于机顶盒的中间件开发,已经不能使用网络融合环境下的多种终端要求。网络融合宽带互动电视系统支持基于的网络开发,支持多种视图混合技术,能够实现一种应用显示在多种终端服务器上,如电视机、计算机、手机等。
(3)与互联网业务兼容。融合网络宽带互动电视系统与互联网通过接口连接,系统可以将互联网中的主流应用很好的呈现出来,也就是将互联网中的内容与电视节目进行无缝整合,成为功能更加强大的综合性节目,便于用户更加方便的使用。此系统将互联网中内容作为独立的应用服务展现出来,如互联网的搜索功能、图片、音乐、视频等内容。融合网络宽带互动电视系统将WindowsLive功能与电视相整合,体现在电视上面,也就是WindowsLiveonTV。
3系统设计技术
3.1逻辑结构
该系统包括三个逻辑结构组,包括视频后台、分支和数据服务终端。分支主要视频服务的管理、用户的管理、用户定制视频及其他服务的提交工作;数据服务终端包含了向用户传送的服务内容。
(1)后台。视频后台主要的职责是对直播和点播视频内容的处理。后台可以对节目内容进行加密以及再封装等工作。直播后台包括直播获取服务器、控制器、数据库以及直播管理接口服务器等。点播后台主要负责管理点播视频节目、导入点播视频节目、分配到数据服务中心等。点播后台的工作内容是对资源进行检查、对节目进行必要的加密、封装等,点播后台包括数据库、视频点播控制管理以及资源共享、点播视频的存放等。
(2)分支。分支主要负责对用户的管理、服务的管理以及服务的分配等工作。一个后台可能会部署到一个或者多个分支,一个分支也可能与多个后台的服务相连。分支与分支之间不能互相通信,每个分支所包含的服务器数目可以不同。一个分支可以包含多个不同的服务组,每个服务组又有自己独立的分支数据库和Web服务器。视频机电通常离用户最近,可以向用户提供视频服务的物理节点。运营商可以将其尽可能的部署到网络的边缘,以便有效利用网络资源。
(3)数据服务中心。分支和服务组是运营商向管理的终端用户提供服务的核心部位,而数据服务中心则是能够将运营商的服务更加方便的扩展到互联网中的服务支撑部分。
3.2方案的部署方式
融合网络宽带互动电视系统的技术方案部署方式灵活,不仅能够在业务模块上可以定制,在规模上通过分布式部署方式和集中式部署方式均可满足各种部署的需要。通常情况下,后台、分支中的大部分以及数据服务中心都会部署在网络公司的总前端。署结构、宽带以及服务质量的不同,为用户提供不同种类的节目流。该系统能够检测终端网络的介入状态及节目质量,然后将检测信息反馈到前端服务器,服务器接收到信息后,为了保证用户在任何网络环境中收看到流畅的节目,该系统能够自动调整节目的播出码率,然后根据网络环境进行传输。
(2)跨多种终端开发环境。传统的应用开发是单纯的基于机顶盒的中间件开发,已经不能使用网络融合环境下的多种终端要求。网络融合宽带互动电视系统支持基于的网络开发,支持多种视图混合技术,能够实现一种应用显示在多种终端服务器上,如电视机、计算机、手机等。
(3)与互联网业务兼容。融合网络宽带互动电视系统与互联网通过接口连接,系统可以将互联网中的主流应用很好的呈现出来,也就是将互联网中的内容与电视节目进行无缝整合,成为功能更加强大的综合性节目,便于用户更加方便的使用。此系统将互联网中内容作为独立的应用服务展现出来,如互联网的搜索功能、图片、音乐、视频等内容。融合网络宽带互动电视系统将WindowsLive功能与电视相整合,体现在电视上面,也就是WindowsLiveonTV。
3系统设计技术
3.1逻辑结构
该系统包括三个逻辑结构组,包括视频后台、分支和数据服务终端。分支主要视频服务的管理、用户的管理、用户定制视频及其他服务的提交工作;数据服务终端包含了向用户传送的服务内容。
(1)后台。视频后台主要的职责是对直播和点播视频内容的处理。后台可以对节目内容进行加密以及再封装等工作。直播后台包括直播获取服务器、控制器、数据库以及直播管理接口服务器等。点播后台主要负责管理点播视频节目、导入点播视频节目、分配到数据服务中心等。点播后台的工作内容是对资源进行检查、对节目进行必要的加密、封装等,点播后台包括数据库、视频点播控制管理以及资源共享、点播视频的存放等。
(2)分支。分支主要负责对用户的管理、服务的管理以及服务的分配等工作。一个后台可能会部署到一个或者多个分支,一个分支也可能与多个后台的服务相连。分支与分支之间不能互相通信,每个分支所包含的服务器数目可以不同。一个分支可以包含多个不同的服务组,每个服务组又有自己独立的分支数据库和Web服务器。视频机电通常离用户最近,可以向用户提供视频服务的物理节点。运营商可以将其尽可能的部署到网络的边缘,以便有效利用网络资源。
(3)数据服务中心。分支和服务组是运营商向管理的终端用户提供服务的核心部位,而数据服务中心则是能够将运营商的服务更加方便的扩展到互联网中的服务支撑部分。
3.2方案的部署方式
融合网络宽带互动电视系统的技术方案部署方式灵活,不仅能够在业务模块上可以定制,在规模上通过分布式部署方式和集中式部署方式均可满足各种部署的需要。通常情况下,后台、分支中的大部分以及数据服务中心都会部署在网络公司的总前端。
存入我的阅览室
(1)分布式部署。图3表示分布式部署的体系结构图,在此部署方式中,各逻辑组的服务器计算机分布在不同的物理机房。直播和点播的后台在视频处理中心机房;分支、服务组和数据服务中心在总前端机房;视频节点在分前端机房;而且为外部用户的公共数据将通过公共的CDN资源进行基于云计算的平台进行分发。
(2)集中式部署。图3概括了适用于该方案系统的集中式参考体系结构的概念。在此体系结构中,全部3个逻辑组的服务器计算机都位于1个前端机房中,如图3所示。
3.3技术中的安全问题
(1)内容保护。融合网络宽带互动电视系统为多层次平台,层与层之间具有单独缩放功能,互不干扰,每层也指定执行特定功能。融合网络宽带互动电视技术将Microsoft的数字版权管理以及新一代的PlayReady整合在一起,为传播内容进行全面保护。不管是直播、点播、录制,或者是将媒体到数据服务中心,对其均采用了相同的保护机制进行保护,对于直播系统的保护,将密钥的更新时间设置为6到8小时。
(2)传输安全。融合网络宽带互动电视系统的网络传输通讯安全采用基于公钥的安全体系,此安全体系完全符合国际标准规范。在客户端及服务器端均安装数字证书,不同服务器之间及机顶盒与系统之间需进行双向认证,才可享受服务。融合网络宽带互动电视系统需对机顶盒进行合法性验证,同时机顶盒也要对融合网络宽带互动电视系统的合法性进行检验,使双方建立安全通信,传输安全得到保证。
(3)系统安全。在融合网络宽带互动电视系统中,客户终端只能访问客户端网关、数据服务中心以及视频和应用服务器,其他服务器均处于保护之中,这样有效避免了来自终端的各种攻击。在此系统中,微软活动目录和证书认证对系统安全起到了至关重要的作用,由于每个服务器均具有独特的身份证书,使得服务器之间的相互访问需要得到彼此的认证才可进行。为了保证机顶盒自身的安全性,其内部的安全芯片保证了机顶盒的软件不能发生任何更改。此外,此系统包含完善的监控管理机制,处于系统中任何应用平台的所有服务均受到监控,一旦发生异常,就会将异常信息反馈到系统管理员,保证系统的安全运行。
4结论
随着数字电视技术的不断成熟,三网融合技术的发展,加之高清电视系统的普及,互动电视技术与网络融合技术的结合速度随之加快。目前,新媒体技术的发展不断加快,互动电视技术与新媒体技术的结合也日趋完善。在发展互动电视技术的基础上,还要发展其适应不同的网络,支持多种终端技术,使互动电视技术成为大众的需要。
参考文献
[1]招斯喆.解析电视与网络的融合[J].电影评价,2010(11):64-65.
[2]王水飞.数字电视与Pl宽带网络融合的关键技术及其应用研究.硕士学位论文,2006.
[3]夏勇,何晶.融合网络宽带IP互动电视技术方案设计[J].电视技术,2010(34):10-13.
[4]孟建.媒介融合理论在中国电视界的实践[J].新闻传播学研究,2009,(2).
[5]李纬明.电视与网络的共生分析[J].新闻世界,2009,(5).
作者简介:
施锦亮(1963-),男,汉族,江苏射阳人,工程师;主要研究方向:广播电视。
(1)分布式部署。图3表示分布式部署的体系结构图,在此部署方式中,各逻辑组的服务器计算机分布在不同的物理机房。直播和点播的后台在视频处理中心机房;分支、服务组和数据服务中心在总前端机房;视频节点在分前端机房;而且为外部用户的公共数据将通过公共的CDN资源进行基于云计算的平台进行分发。
(2)集中式部署。图3概括了适用于该方案系统的集中式参考体系结构的概念。在此体系结构中,全部3个逻辑组的服务器计算机都位于1个前端机房中,如图3所示。
3.3技术中的安全问题
(1)内容保护。融合网络宽带互动电视系统为多层次平台,层与层之间具有单独缩放功能,互不干扰,每层也指定执行特定功能。融合网络宽带互动电视技术将Microsoft的数字版权管理以及新一代的PlayReady整合在一起,为传播内容进行全面保护。不管是直播、点播、录制,或者是将媒体到数据服务中心,对其均采用了相同的保护机制进行保护,对于直播系统的保护,将密钥的更新时间设置为6到8小时。
(2)传输安全。融合网络宽带互动电视系统的网络传输通讯安全采用基于公钥的安全体系,此安全体系完全符合国际标准规范。在客户端及服务器端均安装数字证书,不同服务器之间及机顶盒与系统之间需进行双向认证,才可享受服务。融合网络宽带互动电视系统需对机顶盒进行合法性验证,同时机顶盒也要对融合网络宽带互动电视系统的合法性进行检验,使双方建立安全通信,传输安全得到保证。
(3)系统安全。在融合网络宽带互动电视系统中,客户终端只能访问客户端网关、数据服务中心以及视频和应用服务器,其他服务器均处于保护之中,这样有效避免了来自终端的各种攻击。在此系统中,微软活动目录和证书认证对系统安全起到了至关重要的作用,由于每个服务器均具有独特的身份证书,使得服务器之间的相互访问需要得到彼此的认证才可进行。为了保证机顶盒自身的安全性,其内部的安全芯片保证了机顶盒的软件不能发生任何更改。此外,此系统包含完善的监控管理机制,处于系统中任何应用平台的所有服务均受到监控,一旦发生异常,就会将异常信息反馈到系统管理员,保证系统的安全运行。
4结论
随着数字电视技术的不断成熟,三网融合技术的发展,加之高清电视系统的普及,互动电视技术与网络融合技术的结合速度随之加快。目前,新媒体技术的发展不断加快,互动电视技术与新媒体技术的结合也日趋完善。在发展互动电视技术的基础上,还要发展其适应不同的网络,支持多种终端技术,使互动电视技术成为大众的需要。
参考文献
[1]招斯喆.解析电视与网络的融合[J].电影评价,2010(11):64-65.
[2]王水飞.数字电视与Pl宽带网络融合的关键技术及其应用研究.硕士学位论文,2006.
[3]夏勇,何晶.融合网络宽带IP互动电视技术方案设计[J].电视技术,2010(34):10-13.
[4]孟建.媒介融合理论在中国电视界的实践[J].新闻传播学研究,2009,(2).
[5]李纬明.电视与网络的共生分析[J].新闻世界,2009,(5).
作者简介:
施锦亮(1963-),男,汉族,江苏射阳人,工程师;主要研究方向:广播电视。
存入我的阅览室
(1)分布式部署。图3表示分布式部署的体系结构图,在此部署方式中,各逻辑组的服务器计算机分布在不同的物理机房。直播和点播的后台在视频处理中心机房;分支、服务组和数据服务中心在总前端机房;视频节点在分前端机房;而且为外部用户的公共数据将通过公共的CDN资源进行基于云计算的平台进行分发。
(2)集中式部署。图3概括了适用于该方案系统的集中式参考体系结构的概念。在此体系结构中,全部3个逻辑组的服务器计算机都位于1个前端机房中,如图3所示。
3.3技术中的安全问题
(1)内容保护。融合网络宽带互动电视系统为多层次平台,层与层之间具有单独缩放功能,互不干扰,每层也指定执行特定功能。融合网络宽带互动电视技术将Microsoft的数字版权管理以及新一代的PlayReady整合在一起,为传播内容进行全面保护。不管是直播、点播、录制,或者是将媒体到数据服务中心,对其均采用了相同的保护机制进行保护,对于直播系统的保护,将密钥的更新时间设置为6到8小时。
(2)传输安全。融合网络宽带互动电视系统的网络传输通讯安全采用基于公钥的安全体系,此安全体系完全符合国际标准规范。在客户端及服务器端均安装数字证书,不同服务器之间及机顶盒与系统之间需进行双向认证,才可享受服务。融合网络宽带互动电视系统需对机顶盒进行合法性验证,同时机顶盒也要对融合网络宽带互动电视系统的合法性进行检验,使双方建立安全通信,传输安全得到保证。
(3)系统安全。在融合网络宽带互动电视系统中,客户终端只能访问客户端网关、数据服务中心以及视频和应用服务器,其他服务器均处于保护之中,这样有效避免了来自终端的各种攻击。在此系统中,微软活动目录和证书认证对系统安全起到了至关重要的作用,由于每个服务器均具有独特的身份证书,使得服务器之间的相互访问需要得到彼此的认证才可进行。为了保证机顶盒自身的安全性,其内部的安全芯片保证了机顶盒的软件不能发生任何更改。此外,此系统包含完善的监控管理机制,处于系统中任何应用平台的所有服务均受到监控,一旦发生异常,就会将异常信息反馈到系统管理员,保证系统的安全运行。
4结论
随着数字电视技术的不断成熟,三网融合技术的发展,加之高清电视系统的普及,互动电视技术与网络融合技术的结合速度随之加快。目前,新媒体技术的发展不断加快,互动电视技术与新媒体技术的结合也日趋完善。在发展互动电视技术的基础上,还要发展其适应不同的网络,支持多种终端技术,使互动电视技术成为大众的需要。
参考文献
[1]招斯喆.解析电视与网络的融合[J].电影评价,2010(11):64-65.
[2]王水飞.数字电视与Pl宽带网络融合的关键技术及其应用研究.硕士学位论文,2006.
[3]夏勇,何晶.融合网络宽带IP互动电视技术方案设计[J].电视技术,2010(34):10-13.
[4]孟建.媒介融合理论在中国电视界的实践[J].新闻传播学研究,2009,(2).
[5]李纬明.电视与网络的共生分析[J].新闻世界,2009,(5).
作者简介:
施锦亮(1963-),男,汉族,江苏射阳人,工程师;主要研究方向:广播电视。
(1)分布式部署。图3表示分布式部署的体系结构图,在此部署方式中,各逻辑组的服务器计算机分布在不同的物理机房。直播和点播的后台在视频处理中心机房;分支、服务组和数据服务中心在总前端机房;视频节点在分前端机房;而且为外部用户的公共数据将通过公共的CDN资源进行基于云计算的平台进行分发。
(2)集中式部署。图3概括了适用于该方案系统的集中式参考体系结构的概念。在此体系结构中,全部3个逻辑组的服务器计算机都位于1个前端机房中,如图3所示。
3.3技术中的安全问题
(1)内容保护。融合网络宽带互动电视系统为多层次平台,层与层之间具有单独缩放功能,互不干扰,每层也指定执行特定功能。融合网络宽带互动电视技术将Microsoft的数字版权管理以及新一代的PlayReady整合在一起,为传播内容进行全面保护。不管是直播、点播、录制,或者是将媒体到数据服务中心,对其均采用了相同的保护机制进行保护,对于直播系统的保护,将密钥的更新时间设置为6到8小时。
(2)传输安全。融合网络宽带互动电视系统的网络传输通讯安全采用基于公钥的安全体系,此安全体系完全符合国际标准规范。在客户端及服务器端均安装数字证书,不同服务器之间及机顶盒与系统之间需进行双向认证,才可享受服务。融合网络宽带互动电视系统需对机顶盒进行合法性验证,同时机顶盒也要对融合网络宽带互动电视系统的合法性进行检验,使双方建立安全通信,传输安全得到保证。
(3)系统安全。在融合网络宽带互动电视系统中,客户终端只能访问客户端网关、数据服务中心以及视频和应用服务器,其他服务器均处于保护之中,这样有效避免了来自终端的各种攻击。在此系统中,微软活动目录和证书认证对系统安全起到了至关重要的作用,由于每个服务器均具有独特的身份证书,使得服务器之间的相互访问需要得到彼此的认证才可进行。为了保证机顶盒自身的安全性,其内部的安全芯片保证了机顶盒的软件不能发生任何更改。此外,此系统包含完善的监控管理机制,处于系统中任何应用平台的所有服务均受到监控,一旦发生异常,就会将异常信息反馈到系统管理员,保证系统的安全运行。
4结论
随着数字电视技术的不断成熟,三网融合技术的发展,加之高清电视系统的普及,互动电视技术与网络融合技术的结合速度随之加快。目前,新媒体技术的发展不断加快,互动电视技术与新媒体技术的结合也日趋完善。在发展互动电视技术的基础上,还要发展其适应不同的网络,支持多种终端技术,使互动电视技术成为大众的需要。
参考文献
[1]招斯喆.解析电视与网络的融合[J].电影评价,2010(11):64-65.
[2]王水飞.数字电视与Pl宽带网络融合的关键技术及其应用研究.硕士学位论文,2006.
[3]夏勇,何晶.融合网络宽带IP互动电视技术方案设计[J].电视技术,2010(34):10-13.
[4]孟建.媒介融合理论在中国电视界的实践[J].新闻传播学研究,2009,(2).
[5]李纬明.电视与网络的共生分析[J].新闻世界,2009,(5).
作者简介:
关键词:电子政务;信息安全;OAERP
1.背景
随着电子政府的飞速发展,在带来办公便利的同事,也使政务信息面临前所未有的网络信息安全的威胁。电子政务系统一旦发生信息被窃取,网络瘫痪,将瘫痪政府职能的履行,对政府职能部门以及社会公众产生严重的危害。
2.系统安全现状
根据省电子政务内外网的建设目标和建设原则,充分利用现有网络资源,充分整合市政府原有的办公资源网,公务外网,将原办公系统整合到统一的办公业务资源平台上。将办公业务资源网与公务外网、互联网实施物理隔离,公务外网与国际互联网实施逻辑隔离。
电子政务的网络平台,承载多个业务单位系统数据传输,核心交换区应具有良好的安全可控性,实现各业务网络的安全控制。由于安全防护为整个网络提供NET、防火墙、VPN、IDS、上网行为管理、防病毒、防垃圾邮件等功能,因此,政府建立办公业务资源网的工程虽是非涉密网,但安全保密仍然是工程建设的重点内容。存在的问题如下图:
图2.1
(1)缺乏统一的访问控制平台,各系统分别管理所属的系统资源,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;
(2)缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为;
(3)缺乏统一的权限管理,各应用系统有一套独立的授权管理,随着用户数据量的增多,角色定义的日益复杂,用户授权的任务越来越重;
(4)缺乏统一内部安全规范。为了保证生产、办公系统的稳定运行,总部及各部门制定了大量的安全管理规定,这些管理规定的执行和落实与标准的制定初衷存在一定距离。
3.网络与信息安全平台设计方案
3.1设计思路
信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念,即信息保障的WPDRR模型。
3.2安全体系设计方案
综合安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。目前,政府网络中心安全设计主要包括:信息安全基础设施和网络安全防护体系的建设。
3.3.1信息安全基础设施设计方案
信息安全基础设施总体设计方案架构如下图:
图3.1信息安全基础设施设计方案
基于PKI/PMI的信任体系和授权体系提供了基本PKI数字证书认证机制的试题身份鉴别服务,建立全系统范围一致的新人基准,为整个政府信息化提供支撑。
网络病毒防治服务体系采取单机防病毒和网络防病毒两类相结合的形式来实施。网络防病毒用来检测网络各节点病毒入侵情况,保护网络操作系统不受病毒破坏。作为网络防病毒的补充,在终端部署单机反病毒软件,实现动态防御与静态杀毒相结合,有效防止病毒入侵。
边界访问采取防火墙和网闸来实施。网闸可以切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。可以根据需求采取不同的方案。
3.3.2网络安全防护体系设计方案
图3.2网络安全防护体系设计方案
由于网络是承载各种应用系统的载体,因而网络系统的安全是十分重要的,必须从访问控制、入侵检测、安全扫描、安全审计、VPN等方面来进行网络安全设计。
在应用层,根据网络的业务和服务,采用身份认证技术、防病毒技术、网站监控与恢复系统以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。
在应用系统的开发过程中,要充分考虑到系统安全,采用先进的身份认证和加密技术,为整个系统提供一套完整的安全身份认证机制,以确保每个用户在合法的授权范围内对系统进行相应的操作。
3.3.3灾难备份系统设计方案
灾难备份是为在生产中心现场整体发生瘫痪故障时,备份中心以适当方式接管工作,从而保证业务连续性的一种解决方案。
备份中心具备与主中心相似的网络环境,例如光纤,E3/T3,ATM,确保数据的实时备份;具备日常维护条件;与主中心相距足够安全的距离。
当灾难情况发生,可以立即在备份中心的备份服务器上重新启动主中心应用系统,依靠实时备份数据恢复主中心业务。
4.网络架构
针对办公业务资源网和公务外网既要相互隔离又有数据交互的特点,在两网之间部署网闸;为了分别保证两网的安全,在核心交换区分别进行防火墙的部署,在核心交换区和应用服务器区分别部署IDS;建立智能安全管理中心,在办公业务资源、公务外网部署流量检测系统,于公务外网设置流量清洗系统,抗DDOS攻击。在系统安全方面部署防病毒系统,另外公务外网部署了Web应用防火墙、网页防篡改系统。通过安全集成在办公业务资源、公务外网各部署一套网络管理平台系统和安全管理平台系统。为防止外来终端接入对内部网络安全的影响,将引入终端准入产品。
5.电子政务公务外网安全设计总结
综上所述,根据市政府网络中心功能需求,我们在网络中心建立入侵监测系统、防火墙系统、防病毒系统、内网管理系统。在通过一系列技术手段对电子政务网络防护的同事,加强了安全管理手段。实现技术和行政双重方式来维护整个系统的安全,在通过对网络使用人员、管理人员进行信息安全知识培训,有效的发挥了网络安全防护效果,达到了放牧目的。
参考文献:
[1]龚俭.计算机网络安全导论[M].东南大学出版社.
[2]闫宏生,等.计算机网络安全与防护[M].电子工业出版社.
【关键词】档案信息网络化问题对策
1档案信息网络化
档案信息网络化是全面运用现代信息和网络技术,对档案信息资源进行管理和利用的过程,档案信息系统是一项复杂并需要运用各种学科知识、多专业配合、多部门协作、多环节配套的系统工程。信息化、网络化是现代经济社会发展的方向,经过多年的不断发展,档案信息网络化管理不断完善,及时保留了各个方面所需要的重要、珍贵的档案资料,避免了档案资料的遗失,为人们提供了方便快捷的服务。
2存在的问题
近年来,档案信息网络化得到了较快的发展,但仍存在着一些不尽如人意的问题,不仅影响正常工作的开展,更会影响到档案信息网络化的管理和发展。
缺乏规范的档案信息网络化法规和标准。近年来,国家已相继出台了一些管理标准,仍然满足不了档案信息网络化的快速发展,时至今日,尚无专门关于档案信息网络化管理工作的法律、法规,已有的一些标准远远无法满足档案信息网络化的快速发展。适用于档案信息网络化建设的法律、法规、政策等管理手段仍有待于进一步的健全和完善。作为档案信息网络化建设主要形式的电子文件的法律地位还未正式确立,造成了部分电子文件的原始性、真实性、可靠性难以确定。
缺乏资金的支持。档案信息网络化的建设离不开计算机网络技术,数字化网络的建设和发展需要大量的资金支持,在资源库、基础设备、转换费用、人员培养费用等方面都需要大量资金的支持与投入。但目前情况,国家的投入力度有限,地方财政也存在着“顾此失彼”的现象。有的地区对档案信息网络化的建设缺乏足够的重视,有的贫困地区财政捉襟见肘,有的地区资金挪用等现象依然存在,严重影响了档案信息网络化的建设和发展。
对档案信息网络化建设重视不够。现代社会是信息发展的社会,档案信息资源的数量迅速增加,档案内容种类多样,纷繁复杂。目前,存在着对档案信息网络化建设不够重视的现象。使得档案信息网络化建设没有与时俱进,没有跟上时展的步伐,传统的档案信息网络服务管理模式无法适应现代社会发展的需要。造成了档案信息未能得到及时有效的处理,不能在最短的时间范围内为用户提供所需的信息内容,无法很好的实现档案信息的管理与档案利用的结合,造成档案信息网络化无法为人们提供最佳的服务。
缺乏技术全面的专业人才。档案信息网络化建设是一项复杂的系统性工程,涉及到计算机技术、网络技术、信息安全技术等方面的专业技术。实现档案信息网络化,离不开技术全面的专业人才,不仅仅要熟练操作计算机,更要掌握一定的信息技术、档案管理等知识。但由于档案信息网络化的发展时间较晚,目前人员配备不合理,仍然缺少技术全面的人才,档案人员技术单一,
不仅无法满足档案信息网络化建设的需要,还会严重影响正常工作的开展,使得一些网站得不到及时更新与维护,未能更好地服务于社会。
3解决对策
完善档案信息网络化体系,健全法规标准。要进一步完善档案信息网络化体系,按现有的规定实行科学、系统的标准化管理,将电子档案信息资料进行归档、整理、分类,使档案信息数据库得到适时的补充,丰富数据库的信息量,为档案信息网络化的应用提供真实、可靠、详尽的资料。同时,档案信息与国家、社会、集体、个人秘密有关的档案因其合法权益受到法律的保护,均属于限制利用的范围。因此,应制定出相应的法律法规及政策,对现存档案信息进行适时的鉴定,并按级别进行分类管理,使国家、集体、个人的重要档案资料得到及时有效的保护,维护社会的稳定和谐。
加大支持力度,给予资金支持。档案信息网络化的建设和发展,既离不开法律及政策面的支持,更离不开资金的支持。仅仅依靠国家财政的支持还远远不够,各地方政府在加大人力投入的同时,还要加大资金的支持力度,在档案信息网络化的建设发展过程中,及时引入必要的先进设备。相关部门的领导要进一步重视此项工作,做到专款专用,避免挪用现象的发生,为档案信息网络化的建设给予强有力的资金支持,为档案信息网络化的发展打下坚实的物质基础。
加强人才培养,提高人员素质。档案信息网络化建设是一项长期、持久、重要的工作,需要全面的技术型人才。因此,要加强专业人才的培养,逐步提高档案人员的专业技能与专业水平,提高人员的综合素质,使其具有良好的职业道德和崇高的敬业精神。档案管理人员在具备档案专业知识的同时,还要熟练掌握计算机技术、网络技术、光盘技术等,及时更新自己的专业知识,以适应现代档案工作的发展要求。
提高安全意识,做好防范工作。档案信息网络化必须依靠网络技术,随着网络技术的快速发展,其安全问题日显突出。网络安全问题主要来自黑客、病毒以及系统本身的故障,而影响档案信息服务安全的主要是操作系统、硬件设备、网络黑客等,一旦疏忽网络系统的安全问题,极易造成数据丢失、信息损毁、设备损坏等问题,无法保证档案信息服务网络的安全和正常运转。因此,日常工作中,要牢固树立网络安全意识,并要做好防范工作及信息的备份,规避各类风险的发生。
总之,加强档案信息网络化建设是社会发展的需要,也是社会发展的必然趋势。做好档案信息工作,为用户提供方便快捷的信息服务,以适应现代社会快速发展的需要,对促进经济发展、社会发展都具有一定的推动作用。
参考文献:
[1]于进川.档案信息系统建设的效益管理研究[D].四川大学,2005.
[2]刘国能.当前全国档案工作的几点思考[J].档案学研究,2002,(3).
关键词:ASP数字档案馆业务外包SaaS
信息技术的发展,既为档案馆提出了挑战,也带来了发展新契机,我国数字档案馆建设就是档案馆面对这种挑战的回应。数字档案馆是网络环境下分布式档案信息资源的数字化整合、与共享系统[1]。它的建设必须面临和解决的难点就是数字资源的有效保存和提供利用,而档案信息资源安全管理离不开强有力的网络存储软硬件环境。因此,档案馆需要从网络存储的硬件和应用系统的软件两方面加以应对,而数字档案馆运行的整个软硬件平台和应用系统的建设与升级需要大量资金与人员的投入。基于ASP模式实现数字档案馆的运营管理与服务,是解决这一问题最有力的方法。云计算的蓬勃发展,更为这一模式锦上添花。
1.ASP模式的特点及其意义
1.1ASP模式
ASP(ApplicationServiceProvider,即应用服务提供商)是指:在共同签署的外包协议或合同的基础上,客户将其部分或全部与业务流程相关的应用委托给服务提供商[2]。服务提供商不仅担负着整个系统的运营维护、数据备份、安全管理、技术支持和应用软件的升级与改进,还要对应用系统进行管理,以确保这些业务流程的安全运转。ASP实际上是一种应用服务外包的概念,强调以网络为核心,替用户部署、管理、维护应用软件,而用户要使用这些服务,只需通过网络租用ASP的计算机及软件系统,以实现自己企业的信息化。简单说ASP就是以“软件租赁”为基础来支持和帮助任何客户进行电子商务的专业企业。
ASP的运营模式主要分为两类:其一,提供商既是应用软件的开发者,又是应用服务的提供者;其二,提供商只负责开发应用软件,其他工作由中间商来运营,中间商充当了应用服务的提供商[3]。因此,ASP模式对于提供商来说,是一种新的商业机会,或者自己从事ASP服务,或者把软件卖给ASP服务商,把软件以服务的形式“卖”给用户。形象地说,这正如“私家车”和“出租车”的差别。ASP的运营模式如图1所示:
1.2数字档案馆建设应用ASP模式的意义
网络的发展使得信息的获取越来越迅速和方便,生产和流通成本的降低,对于提高档案信息化进程具有举足轻重的作用,而档案馆从制定信息化建设规划到咨询、建设,一般要花费漫长的时间。此外,数字档案馆的建设需要对系统的维护和开发投入大量的物力与人力资源,这必须以巨额的资金作为保障。因此,迫切需要一个高效的信息化解决方案——ASP模式:档案馆无需购置新的软硬件设施,只需利用现有的电脑通过互联网接入服务商的服务器及服务器上的软件,数据保存在服务器内,并进行处理和利用。这种模式大大减少了档案馆在资金和专业技术上的投入,使数字档案信息的数据安全得到有力的保障。
应用服务提供商是一种创新的企业运营与管理方式,其内涵是将企业内部的管理和应用服务通过委托授权的形式交给提供商来完成,以降低企业运营成本。在档案领域,业务外包模式已日趋成熟,一定程度上,应用服务提供商模式是业务外包模式的一种升华。作为ASP服务公司,它不仅要向档案馆提供软硬件系统、安全的网络环境和可靠的存放海量档案信息资源的设施,还需要拥有一支高水平IT人才和档案领域专业人才的队伍来保障整个系统的有效运行。基于ASP的这种思想,拓展开来,它实际上就是为档案馆数字化建设提供服务的供应商,这种服务是一种"大服务"的概念,它不仅仅是一种应用软件的服务,更多意义上应该是一种企业管理、信息整合的服务。
2.ASP模式在数字档案馆运营管理与服务中的应用
2.1云技术的优势
根据CNNIC的《第29次中国互联网发展状况报告统计》,截至到2012年1月,我国网民总数达到5.13亿[4]。如此庞大的网民总数,带来了更为惊叹的呈几何级数增长的数据量,云计算的蓬勃发展,使计算机的终端处理数据的能力如日中天。云计算正深刻影响着互联网的运作和服务模式,为ASP模式的发展带来了充沛的养料。数字档案馆承载着海量的数据信息,为了实现其资源共享与网络化服务的目标,基于ASP模式的运营管理与服务的可行性尤为凸显。
云计算的本质是一种信息技术服务,它具有超大规模、可动态扩展、低成本、高可靠性等特点,鉴于此,应用服务提供商推出了自己的云计算产品与服务,为档案馆提供IT资源管理与服务平台。云计算提供服务的形式主要包括设施作为服务(IaaS)、平台作为服务(PaaS)和软件作为服务(SaaS)。软件作为服务是指服务提供商为用户提供应用软件服务,用户以按需付费的方式向服务提供商获取相应的应用软件服务,而无需购买软件及其相关的基础设施,也无需对其进行维护与升级[5]。可以看出,SaaS正是ASP模式的进化,这种方式的优点主要体现在以下几个方面:
(1)节省了数字档案馆建设的资金投入,包括数字档案馆软硬件系统的运营维护、升级成本、IT技术人力方面的投入等等;
(2)确保服务器的可靠运行,最大限度的降低服务器的出错概率[6]。
(3)数据集中存储,容易实现安全检测,保障数字档案馆档案信息数据的安全。
(4)提供丰富的终端设备,极大限度的扩展档案信息资源的共享范围。
(5)保障传统档案馆的工作人员专注于档案业务的精细化开展。
(6)促进档案资源趋于标准规范化管理,为档案信息资源的整合工作奠定基础。
(7)使档案馆信息化实施周期大大缩短,数字档案馆的长期建设和持续发展获得了保障。
2.2ASP模式的具体应用
ASP可以由具有完备设施的、已初具规模的数字档案馆担负,也可由应用服务提供商独自承担,即上文中提到的提供商既是应用软件的开发者,又是应用服务的提供者的经营模式;也可以是提供商只负责开发应用软件,其他工作由中间商来运营,中间商充当应用服务的提供商的经营模式。笔者认为在档案领域,前者更具有可行性。
提供商既是应用软件的开发者,又是应用服务的提供者,应用服务提供商由已初具规模的数字档案馆承担。这种模式下实现的数字档案馆运营管理与服务,能够为众多实体档案馆节省IT投入:只需要一个档案馆一次性的建设数字档案馆系统,其他档案馆无需购买任何架构数字档案馆系统的硬件设施和组织IT人原来设计、开发应用系统,从而以廉价的租赁方式来共享数字档案馆提供的集中服务。青岛市数字档案馆的平台建设包括数字档案信息传输平台、数字档案信息采集平台、数字档案信息存储管理平台和数字档案信息应用平台[7]。各部分建设所涉及的软硬件IT资源、网络环境、技术支持、安全管理等都是由档案馆自身解决。这样建立起来的数字档案馆极具地方性特色,从切身经验出发不断更新,取得了显著的社会效益和经济效益。设想在此基础上,青岛市数字档案馆可以作为应用服务提供商,向中小型档案馆或企业提供自己的这套软硬件运行平台和应用系统,以一对多租赁的形式为使用者提供共享平台和应用程序。在一定程度上,不仅带动了其他档案馆的数字化进程,通过收取租金,自身也获得了利益,从而更好地完善整个数字化系统的建设。这种模式的特点是能及时的从本行业的角度发现运行中的问题,但资金与人员投入的巨大,IT技术问题的难攻破是不可忽视的绊脚石。
提供商既是应用软件的开发者,又是应用服务的提供者,各应用服务提供商独自承担数字档案馆建设所需的软硬件基础设施、网络环境以及应用系统。这种模式里ASP向服务器供应商、网络通讯设备供应商、操作系统开发商、数据库系统开发商、网络安全系统开发商、网络管理系统开发商以及通讯线路运营商等等租用各种设备、软件系统与通讯线路,以构建应用系统运行平台,该系统集中部署ASP提供的网络环境,实行统一管理,并按照各档案馆数字化不同的需求,提供高品质、高安全保证的共享平台和应用程序。整个系统的运营维护、数据备份、安全管理、技术支持和应用软件升级与改进的工作,都由ASP与各供应商自行承担。例如,2008年,信雅达公司与国泰君安签订档案扫描外包服务合作协议,信雅达作为国内最大的扫描外包服务公司,不仅为国泰君安提供专业的扫描服务,而且除客户开户资料外,还把文书、科技、会计档案等也一并纳入到信雅达专门为其定制的影像管理系统中,为国泰君安提供了一个完整的档案影像解决方案[8]。鉴于此,各档案馆可根据自己的需求定制影像管理系统模板,要求信雅达公司按照模板制定出符合本馆数字化建设的数字影像解决方案。这种模式的特点是对市场信息能快速地做出响应,及时处理数字档案馆建设过程中各种IT难题。
3.我国ASP模式应用面临的困境与对策
3.1资源的选择问题与对策
档案馆中,有一部分档案信息是涉及国家秘密、商业秘密及个人隐私的,对公开的人群也是有选择性的。显然,档案信息的保密性和实效性决定了数字档案馆绝对不能把所有的数据资源都提供给应用服务提供商。因此,实施ASP模式的数字档案馆建设的关键:一定要保护好档案的实体安全与信息安全,严格遵循《中华人民共和国保密法》、《中华人民共和国政府信息公开条例》等法律法规,有选择的、有针对性的整合资源库,利用好应用服务供应商提供的服务。
3.2数据的安全问题与对策
档案信息保密性和实效性的特点,决定了数据安全对数字档案馆的重要性。虽然从理论上讲,云环境下的ASP模式使得档案馆的数据变得更加安全,但是,我们不能忽略ASP的管理策略和企业信誉对档案信息的数据安全带来的影响。因此,基于云计算的网络安全体系的建设,采用防火墙技术、入侵监测技术、审计跟踪技术、数据加密技术、身份认证技术等一系列手段加强安全管理,保证内部网络及数据的安全,引进先进科学的管理规范,建立健全的网络安全管理制度;同时,作为ASP的企业要加强员工的职业道德素质建设,提高保密信用意识,向麦肯锡公司的保密诚信文化学习,发展壮大自己的服务市场[9]。对于档案馆自身还要提前建立应急响应机制,主要包括:档案馆计算机病毒应急响应服务机制、档案馆网络安全事件应急响应服务机制和档案馆灾难数据恢复机制[10],全方位的保障数字档案信息的安全。
3.3服务质量的问题与对策
衡量一个ASP服务质量高低的重要标准是:响应能力、扩展能力、通信带宽,以及数据和网络的可靠性。通常情况下,用户需要要求ASP达到98.9%的系统可用率,还要考察系统、能够顺利地度过网络的拥塞,在本地系统上的良好使用感觉等等。云服务最大的优势就是极高的可扩展性,用户能够随时随地访问所需的服务,根据用户系统的规模和需求自由伸缩,鉴于此,档案馆可以按照各自的需求和特色向ASP寻求满意的服务。工信部2012年工作会议上指出,将加大电信运营企业网速提速降价的建设,力争到2015年末,城市家庭带宽达到20Mbp[11],这就很好的解决了ASP模式所需的带速带宽问题。
3.4相关法律及信息政策的问题与对策
在ASP模式中,各档案馆可通过有关的协议共享彼此的信息资源,但有可能引起档案文献版权纠纷的问题。此外,采用ASP模式的数字档案馆在为用户服务的过程中,也应解决用户的隐私、安全、匿名访问、使用限制,以及政府的监控等问题。这就需要从国家层面入手,建立统一的法律法规、标准机制,完善审计监管机构以及第三方认证机构的功能,与时俱进,解决ASP模式下各种突发的问题。
网络环境为信息技术支持的第三方服务提供了平台,进而为数字信息的管理提供了低成本的管理模式[12]。据计世资讯的研究,2010年之后,中国软件运营服务市场将进入快速增长期,到2013年,整个市场的规模将达到613亿元[13]。这无疑为ASP模式的发展与完善提供了充足的养料。ASP模式从本质上讲是社会分工的进一步细化,极大地提高社会资源配置效率,从而推动社会经济加速向前发展。ASP作为数字档案馆管理与服务的新模式,必定会大大降低档案馆IT应用的一次性投资成本与投资风险,同时也大大地降低了服务器与数据信息的维护成本,从而有利于档案信息化进程的快速发展。
*本文系2010年国家社科基金项目,基金项目号:10BTQ039,也是河北大学档案系2010级硕士研究生专业课程“信息管理应用技术专题”结课论文之一。
参考文献:
[1].谢海洋,王素娟.数字档案馆知识讲座.
省略.cn/news.aspx?id=1842
[2].张译,杨德华.ASP模式在企业信息化中的应用[J].时代经贸,2007(5):77.
[3].杨升山.基于应用服务提供商模式的ASVS平台的设计与实现[D].太原:太原理工大学,2008:6.
[4].中国互联网络信息中心.第29次中国互联网络发展状况统计报告[R].2012.
[5].LuisM.Vaquero,LuisRodero-Merino,JuanCaceres,etal.ABreakintheClouds:TowardsaCloudDefinition[J].ACMSIGCOMMComputerCommunicationReview,2009,39(1):50-55.
[6].文杰.基于云计算的数字档案馆建设研究[J].档案建设,2011(1):47.
[7].宋艳萍.青岛档案信息网建设的成功经验[J].山东档案,2006(4):12.
[8].国泰君安业务档案电子化外包服务合同正式签订[EB/OL].(2008-01-10).省略/press_release/21305.htm
[9].卞昭玲.论企业档案管理者的职业道德建设[J].档案学通讯,2003(6):6.
[10].谢海洋.数字档案馆网络安全技术初探[J].档案学研究,2005(3):53.
[11].工信部长苗圩谈工业和信息化领域热点话题[EB/OL].(2010-03-13).news.省略/politics/2012lh/2012-03/13/c_111648735.htm
【关键词】vpn隧道ipsecqos
1概述
虚拟专用网(简称vpn)是一种利用公共网络来构建私有数据传输通道,将远程的用户端连接起来,提供端到端的服务质量(qos)保证以及安全服务的私有专用网络。目前,能够用于构建vpn的公共网络包括internet和服务提供商(isp)所提供的ddn专线、帧中继(fr)、atm等,构建在这些公共网络上的vpn将给企业提供集安全性、可靠性、可管理性、互操作性于一身的私有专用网络。
2vpn的要求
2.1安全性
vpn提供用户一种私人专用的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。vpn的安全性可通过隧道技术、加密和认证技术得到解决。在intranetvpn中,要有高强度的加密技术来保护敏感信息;在远程访问vpn中要有对远程用户可靠的认证机制。
2.2性能
vpn要发展,其性能至少不应该低于传统方法。尽管网络速度不断提高,但在internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给vpn性能的稳定带来极大的影响。因此,vpn解决方案应能够让管理员进行通信控制来确保其性能。通过vpn平台,管理员定义管理策略来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”低优先级的应用。
2.3管理问题
由于网络设施、应用不断增加,网络用户所需的ip地址数量持续增长,对越来越复杂的网络进行管理,网络安全处理能力的大小是vpn解决方案好坏至关紧要的区分。因此,vpn要有一个固定的管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全策略的简单方法,将安全策略进行分布,并管理大量设备。
2.4互操作
在extranetvpn中,企业要与不同的客户及合作伙伴建立联系,vpn解决方案也会不同。因此,企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec(internet安全协议)、pptp(点到点隧道协议)、l2tp(第二层隧道协议)等。
3vpn的实现技术
3.1隧道技术
vpn区别于一般网络互联的关键是隧道的建立,然后数据包经过加密,按隧道协议进行封装、传送以保证安全性。
现有两种类型的隧道协议,一种是二层隧道协议,用于传输第二层网络协议,它主要应用于构建远程访问vpn;另一种是三层隧道协议,用于传输第三层网络协议,它主要应用于构建intranetvpn和extranetvpn。
3.2加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次des。rc4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;des和三次des强度比较高,可用于保护敏感的商业信息。
加密技术可以在协议栈的任意层进行,可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,vpn安全粒度达到个人终端系统的标准;而“隧道模式”方案,vpn安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此,所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
3.3qos技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的vpn。但是该vpn性能上不稳定,管理上不能满足企业的要求,这就要加入qos技术。实行qos应该在主机网络中,即vpn所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
qos机制具有通信处理机制以及供应和配置机制。网络资源是有限的,有时用户要求的网络资源得不到满足,管理员基于一定的策略进行qos机制配置,通过qos机制对用户的网络资源分配进行控制以满足应用的需求,这些qos机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。
除了这3种主要技术以外,还有如备份技术,流量控制技术,包过滤技术,网络地址转换技术,抗击打能力和网络监控和管理技术等。
4vpn的应用模式
4.1远程访问
为克服传统远程访问的问题,推出了基于vpn的远程访问解决方案。如图1所示,这种方案充分利用了公共基础设施和isp,远程用户通过isp接入internet,再穿过internet连接与internet相连的企业vpn服务器,来访问位于vpn服务器后面的内部网络。一旦接入vpn服务器,就在远程用户与vpn服务器之间建立一条穿越internet的专用隧道连接。这样,远程客户到当地isp的连接和vpn服务器到当地isp的连接都是本地网内通信,虽然internet不够安全,但是由于采用加密技术,远程客户到vpn服务器之间的连接是安全的。
4.2远程网络互联
基于vpn的网络互联已成为一种热门的新型wan技术,它利用专用隧道取代长途线路来降低成本,提高效率。两端的内部网络通过vpn服务器接入本地网内的isp,通过internet建立虚拟的专用连接,如图2所示。特别是宽带网业务的发展,为基于vpn的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。
(第二炮兵工程学院,西安710025)
摘要:虚拟专用网(VPN)是利用公共网络构建私有专用网络的技术,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的虚拟专用网络。无论是企业还是高校都希望能够构建一种网络,既确保安全,又便于维护。VPN能够帮助企业通过一个公用网络建立一个临时的、安全稳定的通讯隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。本文结合几种VPN技术设计了一种内部网络的构建方案,既保证了协议之间的兼容,又实现了安全传输。
关键词:VPN技术;MPLSVPN;SSL;IPSec;VOIPVPN;基于VPN的安全多播
0引言
随着Internet和信息化技术的发展,企业和个人在Internet上的交易日益频繁,随之而来的安全问题也日益突出。虚拟专用网就是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的一种专用网络。
近年来,宽带接入的蓬勃发展带动了VPN在宽带网络平台上的各种应用飞速发展,反过来,VPN的应用又促进宽带内容的不断丰富。
在国外网络通信发达的围家,VPN应用已经非常普及。国外的VPN技术发展较快,基于标准的虚拟专用网技术近年来己成为网络界的新热点,这是因为它有着无可比拟的优势:通过整合几种数据保护的方式,使用户可以在开放的Internet上轻松地交换私有数据,而无需高昂的专用网络及设备。它带来的好处不仅是成本的降低,更重要的是将服务质量也带给了用户。
我国的IP网络安全研究起步晚、投入少、研究力量分散,与技术先进国家有较大的差距,特别是在系统安全和安全协议方面。目前,国内市场对信息安全的需求日益强烈,尤其是颇具规模的客户对网络安全的需求越来越紧迫,因此,需要加大力度,研发方便、安全和适合自己的VPN解决方案。近两年来,一些大中型企业已建立VPN网络,一些学校的校园网也正在尝试使用VPN技术提供远程连接服务。一些高校和公司也正在研究VPN技术,开发实用的VPN软件产品,提高全方位的VPN技术服务。
1VPN技术简介
1.1IPSecVPNIPSec是由IETF(因特网工程任务组)于1998年11月公布的开放性IP安全标准,用于保护IP数据包或上层数据。IPSec在IP层上对数据包进行高强度的安全处理,提供访问控制、数据源验证、无连接数据完整性、数据机密性、抗重播和有限的通信流机密性等安全服务,具有较好的安全一致性、共享性及应用范围。这是因为,IP层可为上层协议无缝地提供安全保障,各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥协商的开销,也降低了产生安全漏洞的可能性。
1.1.1IPSecVPN的优点①通用性好。IPSec是与应用无关的技术,因此IPSecVPN的客户端支持所有IP层协议,并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议,这使得客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的。而且IPSecVPN支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性,以确保数据没有被篡改;②整合性好。IPSecVPN网关整合了网络防火墙的功能,还可与个人防火墙等其他安全功能一起销售。因此,可保证配置、预防病毒,并进行入侵检测。并且IPSec可在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性;③透明性。IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置,即使在终端系统中执行IPSec,应用程序一类的上层软件也不会受到影响。
1.1.2IPSecVPN的缺点①IPSecVPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSecVPN的客户端程序;②IPSecVPN的连接性会受到网络地址转换的影响,或受网关设备的影响;③IPSecVPN需要先完成客户端配置才能建立通信信道,并且配置比较复杂。
1.2SSLVPNSSL协议的英文全称是“SecureSocketsLayer”,中文名为“安全套接层协议层”。SSL协议是网景公司设计的基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。作为应用层之下的协议,SSL使用公开密钥体制和数字证书技术保护信息传输的机密性和完整性,但它不能保证信息的不可抵赖性。
SSLVPN作为一种新的VPN技术,相对于传统的IPSecVPN等有其自身的技术特点。
1.2.1SSLVPN的主要优点:①客户端支撑维护简单;②良好的安全性;③提供更细粒度的访问控制;④能够穿越NAT和防火墙设备;⑤能够较好地抵御外部系统和病毒攻击;⑥网络部署灵活方便;⑦适用大多数设备。
1.2.2SSLVPN的主要缺点:①安全认证方式比较单一,只能够使用证书方式,而且一般是单向认证;②SSLVPN应用受到限制。一般都用于B/S模式,用户只能访问基于Web服务器的应用;③SSLVPN是应用层加密,性能相对来说可能会受到较大影响。
1.3MPLSVPNMPLS(multi-protocollabelswitch)是Internet核心多层交换计算的最新发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起,加快了转发速度,而且,MPLS可以运行在任何链接层技术之上。
MPLSVPN网络主要由CE(CustomEdgeRouter,用户网络边缘路由器)、PE(ProviderEdgeRouter,骨干网边缘路由器)和P(ProviderRouter,骨干网核心路由器)等3部分组成:CE设备直接与服务提供商网络相连,它“感知”不到VPN的存在;PE设备与用户的CE直接相连,负责VPN业务接入,处理VPN-Ipv6路由,是MPLS三层VPN的主要实现者;P负责快速转发数据,不与CE直接相连。在整个MPLSVPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
MPLSVPN构建在专用网络上,能够保证很好的服务质量,而且价格与传统专线在同一水平。IPSec/SSLVPN承载在公众互联网上,成本相对比较低,但服务质量基本无法保证。服务供应商当然可以部署一种或者同时部署多种VPN架构来支持其新型增值服务,但是,如果能够把各类VPN融合起来更可以获得优势互补所带来的巨大利益。提供设计优良、运行正常和综合性的VPN服务可以同时提升IPsec和MPLS的应用层次。
1.4内部网VPN构建方案VPN系统的首要职责是保障安全,保障互联网数据传输安全的基本机制包括:身份认证、信息保密和信息完整。
内部网VPN的设计须遵循以下原则:①保障安全;②保证多平台兼容;③提供有效的访问控制;④有效的管理平台。
MPLSVPN主要解决的是固定站点间的互联问题,一般不借助Internet来实现,服务质量和安全性的保障比较方便,适用于中大型客户的组网;而IPSecVPN和SSLVPN主要解决的是基于互联网的远程接入和互联,虽然在技术上来说,它们也可以部署在其它的网络上(如专线),但那样就失去了其应用的灵活性,它们更适用于商业客户等对价格特别敏感的客户。比较前面的几种VPN技术,我们发现,作为SSLVPN产品的一个重要指标就是要能够作到在任何时间及任何地点进行访问,使得移动办公用户能够随时随地地保持联网以及保证安全的网络连接。内部网VPN系统为多种应用服务提供保护,因此应该提供一定的访问控制策略,让不同的用户有不同的访问权限。而SSLVPN较之于IPSecVPN的一个优势就在于,SSLVPN能够提供更细粒度的访问控制管理,即针对具体应用程序实施访问控制策略。SSLVPN服务器同时可以提供客户方和服务器方友好而有效的管理配置界面,方便用户的使用。
虽然目前企业应用最广泛的是IPSecVPN,然而研究表明,在未来的几年中IPSec的市场份额将下降,而SSLVPN将逐渐上升。由于技术进步,用户更愿将应用外包给运营商来提供,或是自己选择部署成本低且应用方便的VPN。
综上所述,内部网的构建方案如下:①对于那些需要较高认证和私密性、而对服务质量要求不高的数据流采用IPsec解决方案,而对网络的带宽和服务质量(QoS)要求较高的需求则采用MPLS解决方案。②对于内部网络中,安全要求较高的局域网选择部署MPLSVPN来支持SitestoSites间且具有QoS等级的VPN连接;而对于内部网络中涉密级别较低的可以选择SSL这类部署简单、维护成本低、使用方便的VPN。③对于语音业务,可以利用VoIP技术使企业利用IPVPN来传送语音业务,允许语音传送就像一种数据业务一样通过IP网络。基于VPN路由器,通过使用服务类型字段对语音和视频流量作标记,将其显示为IPSec报头的一部分发向网络,使其享有更高的优先级,这样企业可利用IP电话建立起自己的远程家庭办公网络系统。VoIPVPN使企业不必为语音和数据分别建立网络,大大节省了开销。④为更好得实现与IPSec协议的兼容,可以采用基于VPN的安全多播技术。它由安全多播网关和安全多播主机组成,充分利用现有的基于IPSec协议的VPN系统的体系结构,来实现多播数据的安全传输,实现简单,结构灵活。
基于VPN安全多播系统的安全多播网关中有一个网关充当多播组的控制器,一个网关充当多播组的备份控制器。组控制器对整个多播组的安全策略进行管理,备份控制器在主控制器失效时充当多播组的主控制器。多播报文在安全多播网关之间采用隧道进行传输。在多播安全网关和多播安全主机之间采用多播传输。基于VPN的安全多播系统提高了多播数据传输时的安全性和可靠性。