时间:2023-09-20 16:57:30
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络运维和网络安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、基于安全域的网络安全防护
在一个安全域内也可进一步细化,被划分为安全子域。从而,将复杂的网络简单化,保障网络安全防护的层次和深度,突出安全防护的重点,便于进行有效的运维管理,使得整体网络系统的安全和各应用系统安全都得到提高,抵御潜在威胁,降低安全风险。安全域的划分,应按照以下基本原则:业务保障原则:机房网络承载着很多业务系统,并且很多重要业务是需要不间断持续运行,安全域划分不仅要考虑到保障机房整体网络的安全可靠,还要保障单位重要业务系统的正常和高效运行。简化划分原则:安全域的划分是把原有复杂的网络进行简单化处理,使网络结构简单、边界清晰,易于部署。因此,划分安全域过多、过细,反而适得其反,造成设计上的繁冗,不利于在实施上进行防护部署,也给运维和管理带来不便。等级保护原则:安全域划分应综合考虑其承载的业务类型,信息系统、资产等的重要程度,明确不同安全等级。安全等级不同,需要设定的安全环境及安全策略等保护措施也不同,同一安全域的信息资产实施统一的保护。整体防御原则:根据网络实际情况,安全域划分要从网络实际出发,围绕网络防护重点,安全域需要考虑在网络的不同层次上进行安全防护设计,包括物理安全、网络安全、系统安全、应用安全等。并且运用多种安全技术与措施进行协防,达到整体防御的效果。
1.安全域划分把网络中的安全风险和隐患保持在一个合理范围,解决可能存在的风险和隐患,不应单一考虑安全产品的选择和安全设备的简单叠加,而是从实际现状出发,通过合理布局、有效防护、全局管理,才能提高安全性。因此,我们以安全域划分作为网络安全防护设计的基准,将各个应用系统分别划入不同的安全域,在根据每个安全域内部的特定安全需求进一步划分。经过对机房网络的综合考虑和分析,我们把安全域分为互联网域、核心交换域、服务域、接入域、安全管理域。互联网域:本区域是和互联网进行直接连接,主要放置互联网直接访问的设备。核心交换域:主要放置网络中的核心交换设备,是支撑整体网络的网络设备和网络拓扑。用于实现各业务系统的有效划分、安全隔离,不同系统之间通过安全策略进行有规则的信息交互。服务域:本区域包含了各业务应用服务器、重要信息系统、数据库系统等,通过基础网络设施的连接进行信息数据的存储及处理。需要注重的是防病毒攻击、数据篡改,保证数据完整性。接入域:包含了外部主机接入和局域网终端用户接入,需要注重的是加强认证、访问控制、统一部署防病毒等。安全管理域:由安全控制及管理维护平台等设备构成,主要提供对网络设备、安全设备、业务系统、终端用户的集中管理,提高网络风险分析和管理能力。
2.安全域基础防护策略通过对安全域的划分,便于我们清楚地明确网络的层次结构。然后,根据安全域边界和内部风险分析,制定网络安全系统的部署,解决安全域边界防护,安全域内防护问题。安全域边界:通过对安全域边界的控制,保护安全域不受来自其他域的安全威胁。采用的主要安全技术为边界隔离。安全产品部署:防火墙、VLAN划分相结合的方式进行访问控制。互联网域:此处是网络对外连接的重要出口,因此,也是对网络数据流入流出很好的监控位置。采用的安全技术是利用入侵防御系统,流量监控,对网络出口的数据流及网络攻击行为进行检测,防止DDOS攻击。安全产品部署:IPS设备、流控设备等。服务域内部:对于业务服务器及数据存储,通过防火墙制定对业务系统和数据的访问规则,过滤恶意代码的攻击,防御系统漏洞、数据篡改等,利用入侵检测系统监视网络攻击行为并进行报警。采用的安全技术有漏洞扫描系统和入侵检测系统。安全产品部署:防火墙、主机加固、IDS设备等。接入域:可以统一部署防病毒系统,用于对终端的病毒检测和清除,实现全网病毒防护,防止病毒大范围传播。严格控制局域网终端和外部终端的准入规则,建立完善的用户账号登录机制,避免闲置及过期的用户存在,控制权限操作范围。安全管理域:部署集中管控系统,管理划分的安全域和子域信息,实现日志管理、数据采集、网络管理和用户管理等功能,全面记录网络运行情况。对网络进行安全审计,有助于分析潜在风险。安全产品部署:集中管理平台,安全审计系统等。
二、采用基于安全域的网络安全防护设计,有以下优点
1.网络结构扩展性和易用性得到充分发挥通过对网络安全域的划分,不仅能较好地满足当前安全的需求,而且为今后新业务的扩展提供了有力的支撑。对于新增业务安全设计不必重新投入,只需将支撑该业务的应用系统接入不同的安全域,就能够满足基本的安全需求。不但节省投资,也适应业务的发展。
2.有利于网络安全事件的预警和处理通过对网络安全域的划分,我们可以清楚地了解网络的层次结构,更加深入地分析安全域中隐藏的漏洞及隐患。针对突发的各种网络安全事件,管理员可以尽快的判断问题所在,究其原因,及时处理,减小损失。
3.有利于网络的集中管理通过对网络安全域的划分,可以使分散单一的管理方式转换为统一集中的管理方式。安全管理域能把不同应用系统集中到该域的安全管理平台上来,对其进行统一的安全策略部署、监控及管理,有效地提高网络管理的工作效率。随着网络技术发展的逐步深入,网络应用范围的不断扩大,我们对网络的依赖性越来越强,所以完善网络结构安全,优化网络安全管理已越来越为人们所关注。通过安全域的划分,可以使网络区域清晰、扩展灵活,增强安全。通过对各个区域的风险分析,有针对性地进行防护部署,从而形成联合防御、立体防御。在以后的网络建设和应用中,如何完善网络结构的安全,提高抗攻击能力,降低安全风险,仍然是我们不断深入思考和解决的问题。
作者:张伟
“黑盒”挑战传统安全
企业云、政务云是目前云计算落地较为成熟的两个行业应用,但云计算的技术架构和运营方式的变化使得企业和政府用户面临新的安全问题,包括资源隔离问题,网络边界消失、虚拟化技术应用带来的新型攻击,以及多租户、动态资源调度带来的管理和运维问题等。
目前政务云通常采取租用第三方云服务的方式来提供服务,这使得云服务提供商对政务云中的资产和数据具有很高的访问和控制权限。
因此,安全管理的独立性就显得尤为重要,急需独立的云安全管理平台作为整个云管理的监护人,时刻保障政务云环境的安全和云环境中业务运行的安全。
大多数企业都以私有云为其首选的云计算建设方案。私有云中虚拟化技术的使用使得传统物理安全设备只能部署在云环境的物理边界,而无法监控云环境内部的安全状态。
这种情况下,从安全监控和管理的角度来看,云环境内部已然成为了一个黑盒。为了让这个黑盒变得透明,企业云不仅需要云管理来管理和调度业务资源,也需要有云安全管理来基于业务资源的弹性变化按需的配置和部署相应的安全防护功能。
为政企云安全护航
启明星辰近日在京CloudSOC云安全管理平台,为政企云安全护航。该平台可整合各类传统和虚拟化安全产品,独立构建完整的云安全解决方案。
启明星辰副总裁张颖在接受采访时提到:“CloudSOC云安全管理平台拥有先进的云安全监测、云安全审计、云安全防护、云安全运维等功能,能够很好地契合政务云的安全需求,构建立体化、多维度、敏捷快速的安全防护体系。”
正如启明星辰泰合产品本部产品总监叶蓬所言,“政企市场一直是启明星辰积累的市场,我们比附带云管理平台厂商更了解用户的需求。”
据了解,CloudSOC云安全管理平台利用分布式高性能的虚拟化数据采集技术,主动感知并跟踪云计算环境中各种资产、资源的变化,通过各种可视化的展现方式来提供全方位的实时云监测能力。
该平台通过自身提供的包括网络行为审计、大数据多维深度分析、业务应用监控等方面的安全分析、审计能力让安全“由虚转实”,不再不可见,用户可以真正看见云环境中的安全情报、态势,并能够基于各种分析、审计结果进行相应的安全响应和处理。
在安全防护体系的构建和整合方面,CloudSOC云安全管理平台以软件定义的方式提供对网络安全边界的管理,通过流量重编排技术,让传统网络安全设备不需要关注云环境中的资产和网络的变化情况也能够获取其需要分析和监测的网络流量。
基于此技术,CloudSOC云安全管理平台能够有效地整合和兼容市场上大多数品牌和型号的传统物理安全产品。
在云安全运维管理方面,启明星辰将通过其各行业的安全管理专家和专业的安全运维团队,借助CloudSOC云安全管理平台所提供的云安全运维管理功能和工具为用户提供最及时、最专业的云安全管理运维服务。
总之,结合CloudSOC提供的安全管理能力,启明星辰能够为政企云在安全方面构建可靠、可见、可信、可控的完善的云安全管理体系。
首次提出云安全管理平台
启明星辰泰合产品本部产品总监叶蓬谈到:“云安全管理平台这么正式的提出,我们是第一家。以前也有人提过但是它们的内涵是不一样的。很多云安全管理平台它实际上就是云管理平台,有一定的安全特性,但是更多强调的是虚机的部署、监控这样一些内容,我们第一次比较清晰的界定了什么叫云安全管理平台,尤其是云安全管理平台和传统的安全防护设施和云管理平台之间的区别。”
云安全管理平台的设计初衷即为了解决云计算环境中的安全防护体系的构建问题,并且通过其专业的安全管理和部署能力,实现按需的对安全资源的管理调度,以适应业务资源弹性动态变化的特性。
在所有安全产品中,云安全管理平台具备其他类安全设备所不具有的全景安全感知和分析能力,包括从云基建设施到虚拟机的深度视角,以及遍及整个网络环境中所有资产和业务应用的广度视角。
云安全管理平台可以通过对云管理平台、虚拟机和虚拟网络的全方位探测和感知,来发现任何的资产和网络的变化,从而按需的调整安全设备的部署,来保证安全防护的完整性和有效性。
从另一个角度说,云安全管理平台将负责整个云计算环境中安全资源的运维和生命周期的管理。这种安全运维和管理不应该由云管理方发起,而应该由云安全管理平台通过对云环境资产、网络等各种信息的独立的采集、汇总、分析、审计后,以从安全的专业视角来进行管控。
所以,在企业云和政务云的安全解决方案中,云安全管理平台应该成为云监测、云审计、云防护和云运维的中心。
“我们定义了云安全管理平台它应该具备的基本的几个特点,也第一个推出了这种涵盖了四个纬度的云安全管理平台。就这四个纬度,我们是最完整的提出来了,并且是了最完整的这样一个云安全管理平台的这样的产品。”叶蓬补充到。
杜绝“既当裁判也当运动员”
关键词: 数据资源中心;建设;维护;管理
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)27-0274-01
1 政府数据资源中心定义
政府数据资源中心是政府行业内的大数据中心,它负责存储和管理政府信息数据,负责在各级政府之间横向或纵向地进行数据交换。同时为电子政务,民生服务等众多应用系统提供IT基础设施。通过对各类资源信息库的挖掘,抽取,分析,产生可供会商、决策等上层应用系统使用的大数据信息。政府数据资源中心的建设,不仅解决了信息化建设过程中普遍存在的信息孤岛问题,同时也把政府行业的信息化建设从割裂建设、分散建设过度到了统筹规划、整体建设。
政府数据资源中心的建设大体上包括IT基础设施、信息资源库、安全与维护、业务系统四个方面。
1)IT基础设施。主要包括机房环境、服务器平台、网络安全平台、存储平台、数据库平台、备份平台、维护平台等。
2)信息资源库。常见的信息资源库有“人口信息库”、“法人信息库”和“空间地理信息库”。随着政府各部门信息化的不断推进,各种类型的信息资源库不断建立起来,如视频库、音频库、医疗、教育等。
3)安全与维护。主要包括资产安全、网络安全、数据安全、日常运维等。资产安全需要通过门禁,监控等手段进行保证,网络安全通过防火墙、入侵检测、审计等安全手段保证,数据安全通过数据备份实现,而日常的运维保证了中心稳定、可靠的运行。
4)业务系统。业务系统是政府数据资源中心建设的核心部分,作为中心的运维人员应在一定程度上熟悉业务流程,同时也要熟练掌握系统的使用,才能很好的协调业务单位和开发单位。
2 建设与管理的模式
目前,各地政府数据资源中心的建设比较多样化,根据地域、信息化程度、财政状况等不同特点,主要采用以下几种建设模式:
1)自主建设自主运维模式
该模式下,政府完全享有数据资源中心的所有权、使用权,可以由政府的人员来进行运维和管理,但是自建数据中心也需要花费大量的精力、时间和财力。此模式的好处显而易见:第一,数据资源中心的升级与扩容不受限制;第二,可以统一规划、统一部署,同时建设过程中可随时调整、改进建设方案;第三,安全性高,外界威胁较少;第四,享有数据资源中心的所有权和使用权。
2)共同建设模式
共建通常是由政府和第三方企业共同出资建设,建设完成后按照约定的比例共享数据资源中心的使用权。该模式适合财政不充裕,但又想建设数据资源中心的政府部门。共同建设模式也存在一定的弊端,由于双方甚至多方同时拥有数据资源中心的所有权和使用权,发生纠纷时,难以处理。
3)BT模式
BT模式即Build C Transfer(建设 C 移交)模式。是政府与第三方公司签订合同,由该公司筹资并建设数据资源中心,目前各地多以运营商承建为主。承建公司在约定期限内对数据资源中心进行运行、维护,回收投资进而获取利润。约定期满后,再将数据资源中心的所有权和使用权移交给政府。
4)租赁模式
租赁指的是政府租用第三方已建成的数据中心部分资源使用,政府业务系统运行所需的服务器、网络、存储、安全、备份等资源,完全由该数据中心提供,政府只需进行业务系统的部署和使用效果,该模式的好处是政府不需要培养专业技术人才,而只需将精力放在业务上,减少了部分开支。但是缺点是,政府对运行环境缺少了支配、控制的能力,业务的调整、故障的排查都会受到一定的限制,响应时间也会相应增加。当然最大的好处是减少了大量的开支,同时可以随时撤出而无需担心投资的浪费。
3 面临的问题
1)安全问题。数据资源中心的不断扩大的同时,也带来了严重的安全问题。设备的老化,系统的备份,不断更新的系统补丁,无数密码管理等等。这就需要管理人员制定有效的机制,确保数据资源中心的安全。
2)增长过快。随着数据资源中心规模的不断扩大,业务整合的规模也在已更大的规模增长,对服务器、网络、存储等IT基础设施的需求也大大增加。同时,对能源、空间等方面的需求也在不断增长。
3)运维效率低。数据资源中心的运维是一项相当复杂的工程,涉及众多领域的知识,甚至是多部门的协作。而政府部门自身的运维人员往往在专业领域里不够专业,这种情况下考察合适的外包单位进行运维将会是非常好的选择。
4 数据资源中心展望
1)绿色节能。大型数据资源中心运维成本中,能耗支出往往占据了比较大的比重。为了响应绿色节能,保护环境的大趋势,解决能耗高的难题,应尽量多采用节约能源,节约空间的新技术,将其应用到数据中心的升级建设中来。
2)虚拟化。虚拟化技术可以大大减少对硬件资源的需求,提高资源利用率。目前,针对大型数据中心的服务器虚拟化、存储虚拟化、网络虚拟化等技术已日渐成熟,必将为数据资源中心的建设带来崭新的亮点。
参考文献:
[1] 郭环.一种基于数据中心的政府信息资源整合系统架构设计[J].计算机应用研究,2005(9).
[2] 李峰.政府数据中心建设误区及建设方法浅析[J].电子政务,2008(2).
关键词:火电厂工控系统;安全分区;网络专用;横向隔离;纵向认证;综合防护
DOI:10.16640/ki.37-1222/t.2017.03.138
0 引言
在我国电力系统是由发电、输电、变电、配电、用电和调度组成。其中发电企业是整个电力系统中起始环节,是整个能源闭环系统中最主要的生产环节。发电企业通常情况下,主要的发电形式为火力发电、水利发电和核能发电。其中火力发电占据整个发电企业发电量的比重最高。而新型的火力发电控制系统已向数字化、智能化、网络化和人性化进行转变,这势必会将更多的IT技术应用到传统的逻辑控制和数字控制中。相比互联网信息安全领域的热络,工控安全作为信息安全的重要领域却一直“备受冷落”。直到近期国外发生多起因黑客网络攻击导致工控系统瘫痪的事件,才引起人们对工控系统信息安全得以重视。
2015年国家能源局下发36号文《电力监控系统安全防护总体方案》,通过认真学习发现安全防护的总体原则与之前的电力二次安全防护原则增加了“综合防护”。而“综合防护”是对工控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备用及容灾等多个层面进行信息安全防护的过程,目前在绝大多数火电厂都是未开展的工作,主要原因有两个,一是:国内工控安全产品研发刚刚起步,火电厂也没有成功实施的案例;二是:投资费用较高,风险预控把握不大。
1 工控系统信息安全方案的解决思路
在开展工控系统信息安全解决方案之前,有两件准备工作需要做,即定期进行安全意识培训和安全评估。
1.1 安全意识
生产系统的安全是建立在人员安全意识之上,一线生产人员应该保持一个良好的网络安全防范意识和和安全操作习惯,这需要借助工控网络安全培训来形成安全意识。
1.2 安全评估
在充分了解和掌握现场工控系统存在的风险和安全隐患之后,才能制定符合现场实际的防护措施。电力生产安全防护评估工作要贯穿整个电力生产系统的规划、设计、实施、运维和废弃阶段。
1.3 结构安全
“横向隔x、纵向认证”在火电厂工控系统结构已经做的很好了,即在生产大区与管理信息大区采用单向隔离装置,安全一区与安全二区之间有逻辑隔离的防火墙,而此防火墙只是基于四层以下进行访问控制,对于报文负载部分没有进行过滤,现实中的APT攻击完全可以利用防火墙的不足,在一区、二区之间进行传播。
2 火电厂工控系统信息安全现状及应对措施
2.1 火电厂工控系统安全及现状
典型的火电厂工控系统通常由控制回路、HMI(人机接口)、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI执行信息交互,远程诊断与维护工具确保出现异常的操作时进行诊断和恢复。与传统的信息系统安全需求不同,工控系统设计需要兼顾应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下,缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。
2.2 火电厂工控系统安全风险分析及应对措施
(1)安全风险一:操作系统与外接设备交互的风险性。追求可用性而牺牲安全,这是很多工业控制系统存在普遍现象,缺乏完整有效的安全策略与管理流程是当前我国工业控制系统的最大难题,很多已经实施了安全防御措施的工控网络仍然会因为管理或操作上的失误,造成系统出现潜在的安全短板。应对措施:制定关键设备信息安全的评测制度,防范关键设备中的预留后门及多余功能。对工控系统的设备、系统进行评测和检测,确保关键设备、软件没有预埋的、不为我们所知的一些功能。落实工控系统的信息安全检查制度,定期进行自查,这是加强信息安全工作的常规手段。加强工控系统病毒防治工作,落实工控系统防治病毒管理规定,控制系统访问权限严格控制,移动存储介质的使用应当符合管理规定。
(2)安全风险二:工控平台的风险性。随着TCP/IP等通用协议与开发标准引入工业控制系统,开放、透明的工业控制系统同样为物联网、云计算、移动互联网等新兴技术领域开辟出广阔的想象空间。理论上,绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。目前,多数工控网络仅通过部署防火墙(隔离网闸)来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制。应对措施:传统的IT防火墙已无法满足工业控制系统的需求,但越来越多的控制系统厂家注重网络安全,在控制层面就加装了防火墙。工业级防火墙的出现可以针对控制层的网络协议作出相应的防护,对Modbus和OPC的协议内容进行检查和连接管理。不管是控制系统本身自带的防火墙还是专业的工业级防火墙,都可以针对工控平台的风险性起到弥补作用。
(3) 安全风险三:网络的风险性。通用以太网技术的引入让工控系统变得更智能,也让工控网络愈发透明、开放、互联,TCP/IP存在的威胁同样会在工业网络中重现。当前工控网络主要的风险性集中体现为:边界安全策略缺失;系统安全防御机制缺失;管理制度缺失或不完善;网络配置规范缺失;监控与应急响应制度缺失;网络通信保障机制缺失。应对措施:针对TCP/IP存在的威胁只用运用原有的防火墙及防护方法采取应对措施,而工控网络的专属控制协议防护则应更加有针对性:控制层和数据层的隔离防护,控制层网络的冗余化等,都是可以有针对性的起到保护作用。
3 结语
其实不管是火电厂工控企业还是传统企业,随着信息化的深入,企业或多或少会遇到信息安全的问题,而随着数据价值的不断提高,这种影响对于企业来说也会越来越明显。所以保护企业的核心数据安全是未来所有企业面临的同样问题,而面对不同企业不同的防护需求,采用灵活而具有针对性的安全防护设施或许才是最好的选择。
参考文献:
中国普天的展台位于中国国际展览中心8号馆中心入口显著位置(展位号:8A001),展台按照信息通信与网络安全、互联网+创新行业应用、低碳绿色能源以及创新创业平台等参展重点业务分为四个展区,分别向观众展示普天在互联网+、智慧行业应用等领域给人们工作、生活所带来更科学、高效的创新体验。
互联网+更精彩
本次展会上,中国普天展示了智慧民生,以及信息技术在大扁平化调度指挥平台、智慧政务、智能电网及智慧交通、智慧城市、医用箱式物流等领域的应用解决方案,将全新的“互联网+”思维和体验带给观众。
针对“互联网+”普天智慧城市建设,中国普天创新提出了“平台+中心+智慧应用” 的整体解决方案架构,平台包括:公共数据交换平台(结构化数据)、城市视频共享平台(非结构化数据),在平台上进行数据采集、存储和分享;中心包括智慧城市云计算数据中心、智慧城市运营指挥中心,主导“一库一图一锁”的概念;智慧应用包括面向智慧政务、智慧平安、智慧管网、智慧交通、智慧社区、智慧园区、智慧城管、智慧农业、智慧医疗、智慧养老、智慧教育、智慧旅游等,与城市管理、产业经济和民生服务等相关的应用领域。目前,中国普天已在新疆、内蒙古、山东、湖南、江苏、云南、贵州、四川、广西等省市区推动智慧城市建设。
同时,中国普天作为国内LTE宽带集群产业领域进入最早、推出产品最早、首创标准的厂商,在国内率先采用TD-LTE技术体制,开发了满足政府和公共安全需要的4G LTE宽带多媒体集群专网,以及从系统、终端、网络、平台及业务应用端到端解决方案和高集成度的一体化基站产品。不仅能够提供可靠、及时、专业、高效的语音集群、宽带数据、高清视频及可视化指挥调度等丰富的综合业务,还可针对用户需求进行个性化定制,充分满足不同行业和客户的需要。
在智能电网和智慧交通领域,中国普天将新一代移动信息通信技术、网络和终端产品与电力信息化应用紧密结合,基于电网授权使用的230MHz频段,深度定制出具有知识产权的LTE230无线宽带通信系统,已在国网、南网、石油等行业建成多个无线专网,性能稳定可靠,为智能电网和能源互联网信息化提供了良好支撑。
普天本次展示的城市轨道交通LTE-M系统解决方案,是基于先进的TD-LTE技术的车地无线宽带通信系统。按照LTE-M规范设计,具备CBTC(基于通信的信号系统)、PIS(乘客信息系统)、集群调度功能,满足互联互通要求,能够应用于城市轨道的信号系统无线传输、PIS车地传输以及列调系统等重要方向,并以保证全线场强覆盖,提供性能稳定、高速率、高带宽的通信网络为最终目标,目前已在全国多地开展试验网建设。
信息通信,传承创新
本次展会上,中国普天在信息通信与网络安全领域重点展示:5G自动驾驶技术、基于NFV的增值业务云平台体系、政企虚拟专网安全接入解决方案、光纤网络管理系统、多业务超融合云平台、商品流通追溯体系管理平台、网络安全关键应用监测系统等。
在新一代通信技术的研发和创新领域,中国普天借助在4G通信技术研发的经验,依托国家重大专项《支持3D地图重构及自动驾驶的5G传输技术研发与验证》,积极投入面向自动驾驶的5G技术研发,引入先进的新型编译码及调制技术、新的帧结构设计技术,与国内知名车企和地图厂商合作集成高精度3D地图和自动驾驶应用平台,构建试验演示平台,打造更高的可靠性、更短的时延以及更快的传输效率的网络体验,增强5G关键技术创新能力,提升在5G自动驾驶领域的影响力。
政企虚拟专网安全接入解决方案是普天企业结合目前通信市场需求和未来发展趋势推出的一体化安全接入解决方案,可以提供对于车联网、移动OA、视频监控以及物联网等业务的安全接入与管理,可同时支持国内联通、电信、移动三大运营商以及虚拟运营商等多链路的接入,是企业的良好选择。
移动网络融合统计分析系统则是为满足电信运营商对各类移动网业务的使用及用户的发展的数据统计分析需求而开发的,提供各类移动网络业务的融合接入平台,涵盖C网、CCG内容计费、LTE网络话单及认证日志等各类数据的分析处理,实现针对业务使用量、用户、网络服务质量等各类统计、分析与查询功能,以及跨网络类型的功能融合,有效降低操作复杂度,提高运维及业务分析的工作效率。
新产业,也“智慧”
在低碳绿色能源以及创新创业平台区域,中国普天展出了拓展新产业、新领域的成果。
在新能源电动车运营领域,普天展出了自主研发的首个全国性的基于互联网的新能源汽车智能管理云平台。该平台实现了新能源电动汽车、电池、充电基础设施的数据采集、汇总和分析,并可为政府提供安全与行业信息监管分析、评价和考核的服务,有效推进我国充电设施的互联互通,缓解目前电动汽车推广的充电难问题。该平台还是普天新能源应用“互联网+”理念的成功案例,用户可通过普天充电助手APP,获得延伸至互联网、车联网的综合服务,实现个性化的充电设施运行信息查询、预约等服务。
普天智能家居系统解决方案则是将传统的家居“智慧化”,该系统在传统面板的基础上,融合了安防监控、环境监测、家电管理、智慧照明等智能家居功能。如用户在家中,可以通过环境监测面板查看PM2.5、可燃气体等是否超标,温湿度是否合适;可以通过智慧调光面板将灯具的照度、升温调节到合适状态;可以通过面板给手机无线充电等。离家时,则可以通过手机APP远程监控家中情况,并进行各种操作。
在能源智慧管理领域,普天提出了能源互联网的概念,自主研发了普天大数据能源管理平台即综合能源管理平台,采用创新的服务中心理念,采用云计算、大数据模式解决了目前监控平台的核心问题,通过远程服务和在线诊断结合,打造真正能使用、有效果的能效监控平台。
1、有线电视网络CDN系统信息安全边界
有线电视网络CDN系统的主要安全参考点以及安全区域边界如图1所示。可以看出,针对CDN系统的信息攻击主要体现在:(1)参考点I、J(CDN系统与外部互联网的连接点):从外部互联网发起,在没有安全区域边界或安全区域边界能力不足的情况下,对CDN系统中心节点或边缘节点进行入侵攻击,使CDN调度、控制环节瘫痪;非法中断、篡改、替换各种数据、文字、图片、视频等内容,使用户终端不能正常使用或显示非法信息;或非法盗取上述内容,用于非广电运营企业允许范围内的运营活动。(2)参考点E、F、G、H(CDN系统与广电内网业务系统、支撑系统的连接点):从广电网内业务系统或支撑系统发起,在没有安全区域边界或安全区域边界能力不足的情况下,入侵CDN中心节点,使CDN核心调度、控制环节瘫痪,或非法篡改、盗取、替换各种数据、文字、图片、视频等内容。(3)参考点A、B(CDN系统与用户终端的连接点):从用户终端发起,在没有安全区域边界或安全区域边界能力不足的情况下,入侵CDN边缘节点或中心节点,使CDN调度、控制环节瘫痪;非法中断、篡改、替换各种数据、文字、图片、视频等内容,使用户终端不能正常使用或显示非法信息;或非法盗取上述内容,用于非广电运营企业允许范围内的运营活动。
2、CDN系统信息安全架构
设计CDN系统的整体安全架构分为三个维度,从部署维度分为中心节点、边缘节点和安全管理中心等三部分;从逻辑维度分为统一呈现层、安全管理层、数据采集层和安全执行层等四个功能层;从技术维度分为物理安全、设备安全、网络安全、数据安全、应用安全和内容安全等六部分内容,如图2所示。2.1逻辑架构(1)统一呈现层对CDN系统采集、分析的安全数据进行统一呈现,包括但不限于报表、安全趋势分析图、流量分析结果等。(2)安全管理层以安全风险管理为核心,实现安全事件管理、安全审计管理、知识库管理、维护作业管理、安全响应管理、安全预警管理、安全告警管理、系统管理等功能。安全管理层主要功能由安全管理中心承载,在实现技术上向软件定义信息安全(SoftwareDefinedInfomationSecurity,SDIS)发展。(3)数据采集层对各类安全设备、网络设备的安全事件、安全漏洞、安全配置等安全信息进行采集,进行数据过滤、标准适配等预处理,并根据不同的安全应用场景进行关联分析。(4)安全执行层各类安全设备及网络设备中进行信息安全防护的功能实体,包括但不限于防火墙、IDS(入侵检测系统)、IPS(入侵防御系统)、WAF(应用防火墙)、SSL网关、病毒防护软件等。随着虚拟化技术与安全设备的融合,安全执行层技术向着SDV(SecurityDeviceVirtualization,安全设备虚拟化)方向发展。2.2部署架构(1)中心节点①参考点I、J:部署防火墙、IDS/IPS设备、WAF设备,重点对来自外部互联网的内容篡改、流量攻击等进行防护。②参考点E、F、G、H:部署防火墙、加密通信设备,重点对来自内部系统的内容篡改、非法访问等进行防护。③中心节点:部署内容审核子系统、内容加密子系统和漏洞评估子系统,并建立内部核心设备的冗灾机制,重点对内容篡改、服务器攻击、运营中断等进行防护。(2)边缘节点①参考点A、B:部署流量分析设备、访问控制设备,重点对来自用户端的内容篡改、DDOS攻击等进行防护。②边缘节点:部署数据校验子系统,对设备主机进行病毒防护,并建立防盗链机制,重点对内容篡改、内容盗链、服务器攻击、运营中断等进行防护。考虑到面向电视屏和面向多屏的不同信息安全要求,建议采取物理隔离、划分虚拟机、容器技术或进程隔离技术对本地调度引擎进行流量隔离,并通过划分不同的推流服务器集群,实现面向不同终端访问流量的安全隔离,具体如图3所示。(3)安全管理中心安全管理中心实现对CDN系统信息安全相关设备的统一安全管理和综合分析,是安全事件集中管理和监控的一体化支撑平台。安全管理中心主要部署系统联动、安全审计、安全分析、安全管理等功能模块。安全管理中心通过与综合网管系统、运维支撑系统之间的联动,实现了对安全事件的全局展现和快速响应,具体如图4所示。
3、防护措施
CDN系统在信息安全方面应做到“事前可感知、事中可阻断、事后可追溯”,信息安全措施应涉及信息网络单元的全生命周期过程,包括设计、开发、实施、运维和废弃等五个阶段,在各个阶段均采取相应的措施进行安全管理。从安全层次上分,CDN系统的信息安全包括内容安全、应用安全、数据安全、网络安全、设备安全以及物理安全等六方面内容,具体如图5所示。3.1内容安全(1)CDN系统必须保证业务内容的完整性,确保从内容提供方到最终用户传递的信息是未经改动的,并由完善的校验机制保证经篡改的信息无法通过校验。(2)CDN系统应提供合适的防盗链机制,防止业务内容不被第三方恶意引用或非法下载。3.2应用安全(1)CDN系统应提供独立的登录控制模块,并为不同的用户分配不同的用户名,保证系统中不存在重复的用户身份标识。(2)CDN系统应在合适的位置部署安全漏洞扫描系统,定期对系统进行安全漏洞扫描。(3)CDN系统应提供Web访问控制功能,依据安全策略控制用户对系统资源的访问。(4)CDN系统应提供覆盖每个用户的安全审计功能。(5)CDN系统应提供合适的软件容错能力,当故障发生时自动保护当前状态,保证系统能够进行恢复。(6)CDN系统应提供页面防篡改功能,可自动检测页面系统的任意变化,并具备告警和自动恢复功能。3.3数据安全(1)CDN系统能够检测系统管理数据、流量调度数据、节目流等重要业务数据在传输和存储过程中的完整性,避免来自基于通用通信协议的攻击破坏数据完整性。(2)CDN系统应具备一定强度的数据安全防护能力,可以有效控制数据扩散、非授权拷贝等数据泄露事件。(3)CDN系统的主要信息源,如中心内容存储,应建立异地冗灾备份中心,提高系统数据的高可用性。3.4设备安全CDN系统的存储、服务器、网络设备等设备应保证稳定可靠,需要具备如下安全要求。(1)登录所有设备必须进行身份认证和鉴别,按照不同管理人员的角色分级别、分权限管理。(2)设置设备IP登录规则,仅允许符合规则的IP安全登录设备进行相应操作。(3)定期对设备进行安全漏洞扫描,对扫描结果进行在/离线挖掘分析,并通过风险评估与措施整改,降低设备总体运行风险。(4)设备主机应安装并开启正版防病毒软件功能,定时升级病毒库及查杀系统病毒。(5)CDN系统关键设备,如全局智能调度引擎、存储设备等,应当采用冗余备份机制,故障发生时自动进行控制切换,保障系统整体可用度。(6)系统设备应可提供日志功能,并可对用户操作行为进行审计。3.5网络安全(1)CDN分发网络传输应相对独立,与外部网络系统互联应通过防火墙进行隔离,并应配置完备的安全策略。(2)CDN系统应具备入侵检测功能,对木马、恶意代码攻击、间谍软件等非法连接进行监控,并按照防护等级进行告警或阻断。(3)关键业务路由应具备冗余能力,当出现网络链路故障时具备路由自动切换能力。3.6物理安全(1)CDN系统机房出入口应设置电子门禁系统,控制、鉴别和记录进出人员,并对人员机房内活动进行监控。(2)系统主要设备应做好防盗窃、防破坏工作。(3)CDN系统机房内的温度、防尘、防静电、电磁防护、接地、布线措施等应按照有关国家标准执行。(4)机房内应配备火灾自动消防系统,能够自动检测火情、自动报警并自动灭火。(5)机房的配电应符合“广播电视安全播出管理规定实施细则”的相关要求。
4、总结
有线电视网络是党和国家的喉舌,信息安全工作一失万无。目前,有线电视网络CDN系统发展尚处于起步阶段,各地的有线电视运营商在进行系统架构规划设计时,应将信息安全纳入其中统筹考虑,并根据网络安全问题的变化持续演进、不断发展。
作者:陈益 陈起 沈燕 陈羽白 单位:江苏有线技术研究院有限公司
【关键词】设备级容灾 双归属 MSC POOL
1 引言
MSC(Mobile Switching Center,移动交换中心)是完成呼叫连接、过区切换控制、无线信道管理等功能的设备,同时也是移动网与公用电话交换网(PSTN)、综合业务数字网(ISDN)等固定网的接口设备。负责转换所有的移动电话和PSTN、移动电话之间的呼叫。
随着移动通信技术的发展,移动通信网络中核心网设备的安全性越来越受到关注。为防止由于人为操作失误、设备故障、自然灾害等原因而导致的宕机,需要核心网设备提供全方位、立体化备份机制。为进一步保证网络安全性运行、提升网络的可用性,打造安全、稳定、可靠的移动网络,对MSC进行容灾备份是非常必要的。
2 设备级容灾
MSC硬件系统采用单板的备份、负荷分担、冗余配置等可靠性设计方法,并通过优化单板和系统的故障检测/隔离技术来提高系统可维护性。软件系统采用模块化设计,通过专业的容错能力、对故障的监视系统及对故障的合理处理来保证设备的可靠性。
目前多数厂家在交换平台设计和规划时充分考虑了设备基于单板级的容灾,为所有的关键单板设计了冗余备份以此来确保设备的安全稳定运行。
常见的设备单板的冗余备份情况包括:
(1)主要业务接口板采用1+1负荷分担方式实现对单板的热备份。
(2)系统业务处理板采用1+1主备方式实现对单板的实时备份。
(3)业务处理板采用N+1主备方式实现对单板的实时备份。
以上三种冗余备份方式让系统内所有关键单板具备了强大的容灾能力,保证了系统设备的在网安全稳定运行。
3 双归属
3.1 “1+1”备份方案
“1+1”备份方案中,两套MSC Server以主备的方式工作,在正常情况下主用的MSC Server是激活的,完成所有的业务功能,备用MSC Server是主用MSC Server的镜像。当主用MSC Server出现故障时,所有的MGW重新注册到备用MSC Server上,备用MSC Server激活业务数据接管后续业务。待主用MSC Server恢复正常后,业务从备用MSC Server倒回,如图1所示:
3.2 “1+1”互助方案
“1+1”互助方案中,两套MSC Server没有主用与备用之分,每台MSC Server既是主用也是另外一台主用MSC Server的容灾MSC Server。在正常情况下两台MSC Server都承担各自的话务,当其中一方发生故障后,另一方会激活对方在本MSC Server上配置的业务数据,接管故障MSC Server上的业务。当都正常时可以利用冗余部分的处理能力应对节日话务尖峰的冲击,如图2所示:
3.3 “N+1”备份方案
“N+1”备份方案中,其中1个备份MSC Server作为其他N个MSC Server的冗余备份系统。N个MSC Server是激活的,另一个MSC Server完全处于备份状态。在正常情况下备份MSC Server不处理话务,当某一主用MSC Server故障后,相应的业务数据会在备份MSC Server上激活,备用MSC Server接管其后续的话务,如图3所示:
3.4 “N+1”互助方案
“N+1”互助方案中,其中1个互助MSC Server作为其他N个MSC Server冗余备份系统。正常情况下所有MSC Server各自处理所辖业务。当某一主用MSC Server故障后,相应的业务数据会在互助MSC Server上激活,互助MSC Server处理自己所辖业务的同时接管其故障MSC Server后续的话务,如图4所示:
3.5 注意问题
在工程设计中,容灾方式确定之后要注意以下问题:
(1)备份/互助MSC Server只能接管1个主用MSC Server的业务。
(2)发生归属倒换,原主用MSC Server的呼叫将全部中断,原主用MSC Server上的没有及时吐出的话单将丢失。
(3)因VLR数据不备份,倒换后在原主用MSC Server用户的VLR数据,在新激活的MSC Server中为空。当这批用户第一次做主叫时MSC会回拒绝消息,强迫手机位置更新,第二次做主叫即可正常通话。
(4)1+1备份方案、1+1互助方案中每2台MSC Server互为实时热备份,发生故障时互备的MSC Server可以接管故障MSC Server下所有的MGW,容灾效果最好,但设备建设容量为实际需求容量的2倍,相应的投资也最大,且由于1+1互助方案并无统一的国际标准,互助设备必须为同厂商设备,同时扩容时需成对扩容,对后期网络发展会产生一定的制约。但这两种方案可以做到零时间接管网络和业务,实现真正的实时容灾。
(5)N+1备份/互助方案只能在1个MSC Server发生故障的情况下提供容灾服务,容灾效果逊于1+1备份方案和1+1互助方案。
4 MSC POOL
4.1 MSC POOL基本概念
“MSC POOL”在软交换分离架构网元组网时,是指将若干个和BSC/RNC相连的MSC Server放在一个池(POOL)内,组成一个大的服务区域。当新用户进入到MSC POOL的覆盖区域时,RNC/BSC就会按照负载均衡的原则将用户的位置更新,请求随机地分配给池组中的某一个MSC Server,保持池中每个MSC Server的负荷大致相当。POOL中所有的MSC Server之间都是互为备份的。如果其中任何一个发生了故障,马上会被MSC POOL中其它MSC Server接管,实现了真正意义上的自动、实时冗余安全保障机制。其结构如图5所示:
4.2 MSC POOL关键技术
(1)NRI
NRI是网络资源标识(Network Resource Identifier),用于标识服务于一个特定MS/UE的MSC节点,一个NRI值在MSC POOL内唯一对应一个MSC。
(2)虚拟MGW
正常情况下,一个MGW只被一个MSC Server控制。但是可以把一个MGW划分为多个虚拟MGW,每个虚拟MGW可以被不同的MSC Server控制。通过虚拟MGW技术,可以实现一个物理的MGW多上联至不同的MSC Server。
(3)A/Iu-Flex
A/Iu-Flex指的是同一个域(CS/PS)内的一个BSC/RNC节点可以与多个CN节点进行连接。通过A/Iu-Flex技术,可以实现一个物理的BSC/RNC多上联至不同的CN节点。
(4)NNSF
由于一个BSC与MSC POOL内的多个MSC相连接,所以当该BSC下的MS发起业务时,需要BSC(或MGW)为该MS发起的业务选择一个服务的MSC;BSC(或MGW)为MS选择服务MSC的功能即为NNSF(非接入层节点选择功能)。
4.3 MSC POOL的优势
(1)MSC POOL内资源共享、负荷分担
避免网络资源的不均衡利用,提高了投资利用率,增强了对突发的话务高峰、节假日和大型活动等情况下网络的抗冲击能力。
(2)MSC POOL提供了网络级自动实时冗余备份机制
如果其中任何一个发生了故障,马上会被MSC POOL中其它MSC Server接管,实现了真正意义上的自动、实时冗余安全保障机制。
(3)MSC POOL内漫游不改变归属MSC
在POOL组内不会产生位置更新和局间切换,减少了MSC和HLR的系统信令开销,从而降低系统负荷,减轻了核心网信令的开销。
(4)简化网络设计
采用MSC POOL组网,网络规划按需要支持的总的用户话务需求来设计池的容量即可。核心网络的设计和容量需求不再受制于无线覆盖的具体情况,无需考虑某个特定MSC Server的容量匹配和端口限制。
(5)降低运维和扩容难度
MSC POOL技术是使基本不影响业务的网元离线扩容、测试和维护成为可能,大大降低了网络扩容、调整的实施难度。
4.4 MSC POOL的缺点
(1)MSC POOL跨本地网组网的计费
采用MSC POOL方式实现跨本地网组网时,要实现跨本地网计费,不能单纯用MSC-ID方式,需要利用MSC-ID+LAC号或用虚拟MSC-ID的方式,需要对计费系统进行改造。
(2)全网IP化之前的Nb口电路迂回
如果MGW与关口局间仍采用TDM/汇接局电路,就会带来Nb口电路迂回问题(电路迂回问题:当关口局、T局有呼入的电话时,T局或关口局会根据电路分配的比例路由至N个MGW,因此选中正确MGW的比例是1/N,当选择到其他MGW时,对应的MSS会将话务路由再指向正确的MGW。因此,会产生一定比例的话务迂回)。如果不引入IP/TDM互通节点,将可能出现局话务迂回问题,只能采用扩容Nb的方式解决。
(3)传输资源的占用
要实现MSC POOL,就要做到每个池中MSC Server和覆盖区中的所有BSC/RNC都有逻辑连接。在未来实现全IP的网络环境下,MSC POOL优势可以得到充分发挥。但在TDM网络部署传统MSC POOL时,无线基站控制器(BSC)必须与POOL内所有交换机保持全互连,需要消耗大量的TDM传输资源。
(4)用户被叫丢失
MSC POOL内某MSC故障后,HLR将无法发送PRN消息到该MSC,此时注册在该故障MSC中的用户无法做被叫。只有等待注册在该故障MSC中的用户主动做了位置更新或做了主叫而注册到MSCPOOL内其他有效的MSC后,才能够做被叫。
目前解决被叫丢失问题有两种方案:一是采用链式备份组网;二是采用集中备份组网方式。
1)链式备份
无专用的备份MSC/VLR,MSC POOL内的每个MSC/VLR均是主用MSC/VLR同时也是其他MSC/VLR的备份MSC/VLR。如图6箭头所示,MSC/VLR1为MSC/VLR3的备份,MSC/VLR2为MSC/VLR1的备份,MSC/VLR3为MSC/VLR2的备份。这种链式备份不是必需的,可以根据网络情况设定。
2)集中备份
采用专用的集中备份MSC/VLR。集中备份MSC/VLR只承担被叫恢复业务处理,不承担其他的业务处理,如图7所示:
(5)MSC POOL的运维管理
MSC POOL网络的数据配置需要接入网和核心网两者能够统一操作、协同配合。依据现有网元分布式的管理方式进行POOL级管理,如果仍然以网元为单位进行配置、统计和告警操作,不但在配合上工作量巨大,而且数据量大,易出错,给网络安全带来隐患。
4.5 2G/3G混合组POOL场景介绍
如图8所示,2G/3G混合组POOL分为三种场景:
场景1:
2G BSC和3G RNC都不支持A/Iu-Flex:全部由MGWA/Iu-Flex,提供NNSF功能。
场景2:
2G BSC不支持A-Flex,3G RNC支持Iu-Flex:由MGWA-Flex提供NNSF功能;RNC因支持Iu-Flex,由RNC提供NNSF功能。
场景3:
2G BSC和3G RNC都支持A/Iu-Flex:由BSC/RNC提供NNSF功能。
5 结束语
MSC设备的容灾,其重要性已经不言而喻,目前设备级容灾厂家已经考虑在设备侧实现。在做网络建设方案规划时,运营商应充分结合各省的实际情况,考虑自身的网络发展规模和厂家实现技术的成熟度和设备技术要求,规划出合理、可实施的核心网容灾组网方案。
参考文献:
[1] 田辉,康桂霞,李亦农,等. 3GPP核心网技术[M]. 北京: 人民邮电出版社, 2007.
一、指导思想
坚持稳中求进、稳扎稳打主基调,聚焦公司安全生产生命线,以夯实变电运维专业基础为主线,强化两票三制度执行,深化设备主人制落实,严肃变电五通标准化作业,强化技术技能培训,严明细实作风,精心操作、精细运维、精益管理,提升设备运维专业化、标准化、智能化水平,促进电网设备更加健康的运行。
二、工作目标及指标
(一)工作目标
“三杜绝、四防范”,严格防范五级信息系统事件和重大网络安全事件,严格防范较大火灾事故和本单位负同等及以上责任的较大交通事故,严格防范恶性误操作事故,严格防范其他对公司和社会造成重大影响的事故(事件),确保公司安全生产始终可控、能控、在控。
(二)主要指标
降低110千伏及以上变电设备故障停运率,小于**次/百台;提升变电站精益化覆盖率,220kV及以上变电站达到**%,110千伏变电站达到**%;消防隐患治理率达到***%;消防人员取证率达到**%;变电站消防验收备案率达到***%;防误闭锁三率(达到100%;两票合格率达到***%;标准化作业管理系统应用率达到1***%;pms台账及系统录入合格率达到***%,缺陷隐患消缺率提升**%;严防误操作事件。
三、组织机构及职责分工
1.工作领导小组
*************
职责分工:全面负责活动开展的组织领导、协调指导、监督落实,协调解决重大问题。
2.工作实施小组
*************
职责分工:落实领导小组工作部署,负责活动的组织、协调、指导督办、分解落实计划、监督检查等工作,逐条逐项的落实好相关工作,并对现场工作完成情况进行定期检查,并对检查问题进行逐项落实整改,定期组织开展相关内容完成情况总结分析会议。负责协调解决方案实施过程中的各类问题,确保任务按照时间节点按时完成并定期向领导小组汇报活动开展情况。
四、工作措施
(一)强化两票三制,提升岗位安全履职能力
1.强化岗位安全责任。一是,目前运维专责、班组长、主值、副值等岗位责任在日常运行维护过程中交叉重叠,岗位责任清单照单履职的规范性、主动性还不足,造成基础工作不扎实。需进一步明确各级运维人员岗位职责及安全职责,分解细化任务、逐级落实责任,做好“两单一表”梳理完善工作(岗位责任清单、安全责任清单、两单履职表),优化履职流程,每月开展一次履职评价并将结果纳入绩效考核,做到责任下沉、管理下沉、资源下沉,实现权责匹配,强化岗位及安全责任考试并纳入提岗条件,提升履职能力,确保全员照单履责。(责任单位:****中心,完成时间****)二是二是落实“一岗双责”,抓好安全责任清单执行监督,始终坚持“业务+安全”并行管理,提高员工安全履职意识。每月定期组织各级人员进行安全责任清单内容考试,逐步增强安全风险意识,坚决扼杀习惯性违章、经验主义、“差不多”等现象,每月将对考试结果进行通报。(责任单位:****,完成时间:****)
2. 严格工作票管理。一是组织开展典型工作票修订,明确票面填写规范,安全措施以及签字手续。(责任单位:****,完成时间****)二是统一工作票办票原则,制定办理工作票许可流程表,明确各类工作票许可流程以及填写规范,做好工作票审核、许可流程。对于现场勘察、四措一案审核、开工手续办理等关键环节进行明确。(责任单位:****,完成时间****)三是强化安全措施票的审核执行,加强各类作业风险评估、预警预控、隔离措施及一二次安全措施检查核对,严格执行运维和检修人员双检查、双签字制度,确保安全措施布置到位、拆除彻底,严防一二次设备感应电、反送电。(责任单位:****、****,完成时间****)
3.做好运行规程、操作票管理。按照“定期修订+动态修订”原则,一是在1-3月份前完成35千伏及以上变电站运行规程及典票定期修订,并经班组-中心-运检部运维管理人员审核后执行(责任单位:****,完成时间:****)。二是对于变电站内存在设备新投、改造、换型等情况,应在设备投运前1周完成动态修订,并经班组-中心-运检部运维管理人员审核后执行。结合变电站实际情况,将主变固定灭火装置、中性点隔直装置、SVG装置等设备系统的操作内容完善到运规及典型操作票中,尤其是变压器停、送电操作时,固定灭火装置要严格执行“先退先投”的操作原则。(责任单位:****)
4.规范交接班、定期切换及巡检管理。一是编制完善交接班标准化作业指导书及运维日志,规范签字确认流程,切实做好系统运行方式、缺陷、异常、故障处置及两票执行等有效交接。各个运维班应执行相同的交接班制度,规范交接班管理。(责任单位:****,完成时间:****)二是在****月份前修订完善变电站定期切换试验实施细则及事故应急预案修订,根据定期切换周期要求,制定定期切换月度计划,严格切换操作票执行,加强主变强油风冷、UPS系统、直流系统、高频通道对试等工作管控,每月将对执行情况进行通报考核。(责任单位:****,完成时间:****月)三是严格按照变电运维管理规定,结合年、月度停电检修计划,合理制定设备巡视计划,220千伏变电站每月执行例行巡视?次、全面巡视?次、熄灯巡视?次,110千伏及以下每月执行例行巡视?次、全面巡视?次、熄灯巡视?次,并使用标准化移动作业终端,确保巡视精准高效。每月将对巡视计划执行情况进行通报并纳入绩效考核。(责任单位:****,完成时间:****)
5.加大履职监督力度。严格落实《国网****公司各级运检管理人员现场履职责任指导意见(试行)》文件要求,以作业观察、监督巡视、监督检查及监督监护形式,做好运维工作全面、全员、全方位、全过程的管理,提升各级运维管理人员对一线班组、作业现场的掌控能力,确保秩序稳定、管理严谨。分管生产领导每月到现场?次,每次发现问题不少于?项,运维检修部管理人员每月到现场不少于?次,每次发现问题不少于?项,专业管理人员每月到现场不少于?次,每次发现问题不少于?项。(责任单位:****、完成时间:****)
(二)强化设备主人制,提升运维管理质效
6.严格设备主人制责任落实。深化“运行主人+检修专员”设备主人ABC模式,强化运维1主1副和检修1专员设备管理流程。编制制定设备主人制度,明确设备主人履职范围、管理流程、履职考评等内容,强化运维人员设备主人责任田意识,对自己责任范围内的设备运行状态了如指掌,逐步提升运维人员在一次、二次专业知识等方面宽度和广度,加大设备主人话语权和检修过程监管权,做好设备主动运维与状态管控,加强设备主人履职考评,突出目标、问题、结果导向,着力提升运行巡视、季节性运维、交接验收等管理水平。(责任单位:****,完成时间:****)
7.规范季节性运维。结合本地区气候特点,修编完善设备运维二十四节气表,针对春季风沙、夏季高温、秋冬季雨雪等季节性气候特点,重点做好迎峰度夏、迎峰过冬等季节性运维方案编制落实,建立高温、风沙区域变电站台账,严格落实防外绝缘闪络(冰、雪、雨、污闪)、防异物搭挂、防金具引线断裂、三箱防尘、防小动物等季节性反事故专项运维措施,严防季节性事故发生。(责任单位:****,完成时间:****)
8.提升设备巡视质量。一是严格变电运维巡视计划管理,根据《变电五项通用管理规定》要求,做好“年、月、周、日”计划管控,每日对巡视计划执行情况进行反馈,每周五结合周计划对巡视计划进行上报,每月对执行情况进行通报考核,切实加强巡视计划合理管控。(责任单位:****完成时间:****)二是组建公司各级变电专家队伍,开展“运维、检修、保护、厂家”四方联合专业巡视,实现220千伏变电站及重要枢纽变电站专业巡检(含厂家)年度不少于?次,剩余变电站三方联合巡检,切实发现问题。(责任单位:****,完成时间:****)三是结合电网风险预警、重要保电时段、极端恶劣天气等实际,修订完善特殊巡视内容,加强红外、SF6检漏、铁芯夹件测试等手段,提升发现缺陷隐患能力。(责任单位:****,完成时间:****)四是加强设备红外测温工作管控,在2个全面巡视周期内,逐步完善110千伏及以上变电站红外图库建立,按照设备命名规范要求,将图片上传至PNS2.0系统。(责任单位:****,完成时间:****)五是加强高空巡视管理。做好220千伏变电设备高清摄像头项目储备,利用“****”相结合原则,及时发现并处置高空隐患。(责任单位:****)
9.规范巡检机器人巡视管理。应用好220千伏??变智能巡检机器人以及后续租赁机器人的应用。按照“人工+机器”相结合的原则,完善设备例行巡视、特殊巡视计划,充分发挥机器人应用效率,机器人原则上不少于1次/天开展巡视,杜绝机器人“配而不巡、巡而不够”现象,对巡视结果与现场实际数据进行对比分析,提升发现缺陷隐患能力,减轻人工巡视压力。通知修编智能巡检机器人应用培训及维护记录手册。(责任单位:****)
(三)强化风险等级防控,提升电网设备安全能力
10.做好设备重要性等级管理。开展110千伏及以上“站点、间隔、设备”“状态+风险”评价,建立“一站一册”风险档案,分别对一、二次设备状态及风险进行评级,明确风险防控等级清单明细,实行分压分层分级管控,制定差异化运维保障策略,科学指导预警管控、运维检修及技改大修等工作,实现设备质量安全双提升。(责任单位:****)
11.强化电网风险预警响应。电网风险预警单是由调度根据检修计划,一般提前一周下发,由运检部门执行落实,而调度下发前运检人员并不清楚电网风险等级,造成在电网风险防控措施制定、人员到位安排等方面分析辨识不足,以至于在停电操作、检修作业期间存在风险辨识管控不到位的情况。密切关注电网N-1检修方式、特殊运行方式、保电、重过载等电网风险预警,加强与调控信息沟通,按照“分级预警、分层管控”要求,进一步规范风险辨识、预警、控制、评价等各环节工作,推动各层级各专业从前端(一线班组)落实管控措施,明确管控重点,切实做好风险预警响应工作。(责任单位:****)
12.防范人身事故。严格落实安规、运规、调规、“两票三制”、“十不干”、“十条禁令”等文件要求,制定修编各类现场作业“入场许可手续卡”,严格按照许可卡步骤对工作人员(外委人员)、工作票、到岗到位人员、四措一案等进行逐步审查,切实发挥变电运行人员“铁面包公”精神,坚决杜绝无票错票、到岗到位人员应到未到、四措一案未按要求审核等作业,只有在运行人员在验明“入场许可手续”符合要求并留存后方可进站作业。(责任单位:****)
13.防范误操作事故。做好防误闭锁装置管理,全面做好防误闭锁装置维护业务外委,严抓防误装置缺陷隐患排查治理成效,每月对防误闭锁缺陷及消缺情况进行上报,防误闭锁缺陷要按照危机缺陷进行对待,同时规范解锁钥匙审批流程,实现防误闭锁“三率”100%(安装率、投运率、完好率)。切实加强防误操作培训及账号管理,使运维人员熟练掌握防误装置管理规定和结构原理,切实做到“四懂三会”(懂原理、懂性能、懂结构和操作程序;会熟练操作、会处缺、会维护),同步对各变电站防误闭锁使用人员及账号权限进行修改。(责任单位:****)
(四)强化缺陷隐患治理,提升设备本质安全水平
14.规范设备缺陷管理。每月定期组织学习一次设备、二次设备、辅助设备缺陷标准库内容,明确缺陷分类、定性及评价标准,充分应用移动作业终端变电运维标准化作业管理系统,实现主辅设备生产、基建缺陷全部线上管理,严抓缺陷上报质量数量,缺陷描述应清晰明确,且附有相应照片,严格按照由班员-班组长-运维中心-运检部-变电检修中心的缺陷上报流程进行上报,强化缺陷过程跟踪分析,严重缺陷在一个检修周期内运维人员应加强跟踪,在一个检修周期内未消缺,由检修人员每日上报缺陷跟踪情况及防范措施,做到设备缺陷“日管控、周分析、月总结”,每月进行缺陷分析会,将发现率和消缺率进行通报并绩效考核。(责任单位:****)
15.防范信息安全事故。编制变电站信息网络防护工作方案,强化站端网络安全预警管控,推进变电站网络安全监测装置安装调试工作,确保202?年35千伏及以上变电站安装应用率达***%,严防违规外联和信息外漏,全面提升网络安全风险监测能力。(责任单位:****)
16.抓好变电运维专项隐患六治理,重点做好防风害异物故障治理,每月结合巡视计划及天气状况,做好变电站范围500米的异物清理工作;做好防站用交直流故障治理,对交直流系统配置图、级差配置等基础资料进行完善,同步做好交直流系统的定期切换及运行方式的培训学习;做好防三箱受潮故障治理,结合今年三箱治理项目的推进切实加强三箱密封的维护工作,定期对密封情况进行检查、清理并采取密封措施;做好防设备外绝缘闪落治理(污闪、冰闪、雨闪等),结合停电检修计划对设备外绝缘进行擦拭清扫,牢固树立“封停必扫”的理念,并根据外绝缘运行情况,进行评估,不符合要求的及时喷涂防污闪漆;做好防五防装置故障治理,实现防误闭锁“三率”100%;切实做好防隔离开关合闸不到位治理,利用望远镜,照相机等对刀闸分合闸情况进行确认,同步编制隔离开关分合闸检查卡,明确各类型刀闸分合闸检查要点及注意事项,不断提升设备健康水平。(责任单位:****)。
****
(五)强化标准化作业,提升现场作业可控能力。
17.强化操作计划管理。结合年、月度停电检修计划,操作中牢固树立“七分准备、三分工作”理念,逐条明确倒闸操作人员和现场到位人员,按照“月准备、周修订”的原则,每周提前就倒闸操作人员、现场到位人员以及操作准备情况进行上报,无特殊原因不得随意变更,提前开展倒闸操作过程中存在的人身、电网、设备风险辨识,提前编审倒闸操作风险交底卡,在正式操作前结合班前会进行安全交底,宣读风险点及管控措施,确保每一名操作人员确已知晓并完成签字手续后,方可开展倒闸操作。(责任单位:****)
18.抓好设备巡视标准化。一是深化“一板六卡”、变电“五通”应用,推广变电巡视移动终端应用,逐步推进“持作业卡巡视”向“移动终端巡视”转变,力争2020年5月底前基本实现无纸化巡视。二是在4底前,结合变电站设备实际,将一二次设备巡视要点巡视要点完善更新到标准化作业管理系统巡视卡中,不断提升运维巡视质量。三是加强变电巡视移动作业质量管控,将班组应用率、变电站应用率、巡视任务完成率、巡视卡维护率、标准卡维护率、缺陷录入率、巡视信息录入规范性、设备巡视时长合理性、缺陷质量数量等纳入月度通报,加大奖惩力度,并在月度考核中兑现。(责任单位:****)
22.强化操作程序化。一是严格执行公司到岗到位管理办法,分层分级做好倒闸操作的全过程履职监督管控,倒闸操作时优先采取遥控操作。二是严格执行“一停、二看、三想、四做、五检查”操作要求,严格落实二次倒闸操作票管理,严防继电保护防三误。三是操作前再次检查操作票三级审核及作设备运行状态缺陷隐患,操作中远离正在执行分、合闸指令的开关类设备(断路器、隔离开关)、操作后做好设备(压板)状态位置检查。(责任单位:****)
23.严抓现场作业标准化。一是严格执行停电、验电、接地作业次序,接地前必须验电,若现场条件允许,必须采取间隔验电+直接验电双重方式,严防发生设备反送电伤人事故。二是加强现场危险点分析,做好大型现场作业范围内硬质隔离措施,将临近带电区域等危险点备案在工作票中并告知工作负责人,明确控制措施及安全注意事项。三是配合做好一二次安全措施检查核对,尤其是停电后开工前和完工后送电前,要执行运维和检修人员双检查、双签字制度,确保安全措施布置、恢复到位。(责任单位:****)
24.加强标准化变电站建设。按照《国网****公司变电站标准化管理规范》工作要求,在220千伏****变深入推进标准化窗口变电站建设。从安全管理、运维管理、设备管理、培训管理、资料管理五个方面重点任务落实,同步做好班组建设及文明生产等工作整治,深入推进标准化变电站建设。(责任单位:****)
25.推进红旗运维班达标建设。加快推进红旗运维班组建设,重点做好“基础设施+基础管理”双提升工作,有序220千伏****运维班示范建设,在4月前制定红旗运维班组建设计划,每月推进建设进度,确保202?年红旗运维班达标率不低于?个,2021年不低于?个,202?年实现全覆盖。以严要求提升队伍建设水平。(责任单位:变****)
(六)强化细实要求,提升变电运维基础管理
26.严抓变电精益化查评治理。按照“全面覆盖、专业评价、精益管理、分级负责、整改闭环”的原则,深入分析历年精益化查评中存在的设备问题和管理短板,在?月前优化精益化查评工作方案,并组建精益化检查专家团队,制定自评计划,对照评价细则,提前推进,确保在?月底前完成自评任务,后续结合停电检修计划持续整改,每月对评价进度及整改情况进行通报。202?年110千伏及以上变电站精益化自评率达****%、35千伏变电站自评率不少于****%,精益化问题整改率达****%,实现220千伏变电站精益化达标率****%的目标,以高标准提升设备管理水平。(****)
27.规范系统记录管理。组织学习《202?年变电设备数据治理实施细则》,将PMS数据治理纳入常态化日常工作,同时再次明确收发信、防小动物、红外测温等?大类??小类运行维护记录录入标准,规范纸质版记录管理,剔除不必要的记录,规范记录填写。(责任单位:****)
28.加强运维装备管控。目前各运维班装备基本配置到位,但装备的维护、保管仍需进一步加强,将严格执行《国家电网公司运检装备配置使用管理规定》文件要求,加强装备进定期检查、检验、使用、保管、维护、报废等日常管理工作。(责任单位:****)
29.做好应急处置保障。全面梳理各变电站保险类备品的各种型号、数量,对缺少的备品备件进行及时补充,并做好台账。?月份前完善特殊天气、自然灾害、设备设施损坏等运检专业应急预案修编,优化应急演练流程,强化反事故措施落实,提升人员应急处置能力及反事故演习质量,同时积极和地区消防支队进行沟通,举办一次消防应急处置联合预演。(****)
(七)强化技术技能硬核,提升运维队伍素质能力
30.狠抓基础教育培训。抓好“专业技能+业务流程”双维度培训,拓宽变电运维业务范围,做好分层分级分类专题培训,重点要突出变电运维人员“六个能力”达标培训学习(设备巡视能力、倒闸操作能力、运行监控能力、检测维护能力、事故处置能力、消防管理能力),合理科学的制定相对应培训计划,通过月度技能考试、季度赛等方式进行,着力提升运维人员技能水平。(责任单位:****)
31.强化岗位练兵。一是结合工作实际,每月有针对性抽取??%的年度、月度计划检修作为现场技能培训平台,使青年职工在学中干、干中学,稳步提升运检人员基本功。通过现场“师带徒”方式,实行“一对一”、“多对一”的指导,共同提高新老员工理论水平和实操技能。(责任单位:****)
32.加强作风纪律整顿。提高政治站位,明确运维工作是党风政风的具体表现,是运维人员精神面貌、工作水平、服务质量的外在表现,切实做好35千伏变电站综合治理,全面提升站容站貌,做好设备运维管理的“吹哨人”,努力打造一支技能精益、作风优良、勇于担当的电力安全卫士队伍。(责任单位:****)
五、工作要求
(一)高度重视,周密组织。
各部门要高度重视本次设备运维管理提升年活动,加强组织领导,建立各部门主要负责人要亲自督办,周密部署实施方案中的每一项工作任务,明确每一项内容的责任人和工作具体措施。
(二)强化落实,务求实效。
各部门要逐条对细化的工作要求进行再细化,分解落实各项工作任务,制定重点各自的工作任务清单,明确工作负责人、计划完成时间,按周督办工作进度,每月****日前开月度会议进行专题推进,确保设备运维管理提升年活动取得实效。
(三)强化督查,考核通报。
公司将对本活动的实施情况进行全过程监督指导,对方案落实不到位、不及时不得力的部门进行通报考核。
(四)总结提炼,促进提升。
马广茹
(中国电信 吉林市分公司,吉林 吉林132000)
摘要:在移动互联网时代,基于3G的移动网络已经成为各种互联网应用的管道和平台载体,其网络运行的稳定性和可靠性,已经成为网络运营商的经营发展的基石,受到越来越多的重视,其维护方式、维护效率、效益,同样受到多方面的研讨。该文以中国电信集团北方某地市分公司(以下略称“电信”)为例,进行移动网络维护从分散代维向综合代维转变的可行性研究。
关键词:3G;移动网络;综合代维;可行性研究
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)19-4409-03
1 电信移动网络实施综合代维的背景
电信移动网络布局:按行政区划分为三区两县,其中市区基站(65) 个、甲县基站(49) 个、乙县基站(46) 个。
无线网基站160个,其中自有产权基站73个,共享联通基站79个,共享移动基站8个;射频拉远10个,其中自有产权5个,共享联通产权5个;室内分布15个;直放站2套; WIFI热点12个AP设备共计92个。
2008年电信与联通重组后,接手CDMA网络,网络维护采用分专业维护的方式。基站内无线主设备采用自维(电信公司员工维护),其它如动力环境、天馈系统、铁塔、分布系统等分专业进行代维。
2 电信移动网络分散代维的现状
2.1 多家代维单位格局
多家代维单位的格局的形成,缘于两方面原因:一是由于以往管线建设上电信多采取合建或跟建方式,电信所占管线比例较小,所以在维护上多采用主建方的维护单位。二是2008年随C网划分的光缆电信仅占光缆蕊数的三分之一,维护也选择联通的维护单位
2.2 分散代维的投入规模
共有代维单位8家,人力投入41人,车辆共计13台,电信主设备自维还需投入部分仪器仪表和发电机等。
2.3 分散代维存在的问题
随着网络用户数的持续增长,无线网络规模不断扩大,设备维护的压力也越来越大。分散代维逐渐暴露出一些问题,使得运维管理工作难度增加。多家代维方式,人为的增加了维护边界,而且管理上难以统一规范,常常费时、费力还不能有效的解决问题。
3 综合代维的实施内容
3.1 对代维单位的要求
3.1.1 资质要求
根据基站代维业务(基站代维、塔桅与天馈系统代维、基站环境、传输设备、直放站代维、WLAN、分布系统代维和网络优化)的工作特点和代维要求,代维企业应至少具备如下资质条件:
1) 必须是在中华人民共和国境内工商局登记注册、具有独立法人资格、根据中华人民共和国有关法律合法成立并存在的企业。
2) 从事基站代维、直放站代维和分布系统代维业务的,其经营范围须含有通信设备的施工或维护等内容;从事塔桅与天馈系统代维业务的,须具备铁塔、桅杆的安装许可证和建筑企业的安全资格证书。此外,投标人还须具备2年以上相关专业维护或3年以上相关专业施工经验。
3) 公司注册资金在1000万以上;
4) 有固定的办公场所和符合要求的硬件设施。
3.1.2 人员配置要求
人员数量:基站代维业务,每30个宏物理基站(拉远模块和微蜂窝折合方法同上)配备1名代维人员;塔桅与天馈系统代维业务,每50座铁塔或80座桅杆配备1名代维人员;室外直放站代维业务,每30个物理基站配备1名代维人员;室内分布系统和WLAN业务代维业务,每30个中等规模分布系统(大、小系统折合方法同上)配备1名代维人员。一个小组新增以上个人最大代维业务量的40%时,须按比例增配代维人员。对于空调代维、塔桅与天馈系统代维业务已与基站代维业务整合的代维企业,允许合设代维小组的部分代维人员最多兼任两项业务的岗位职务,但每项业务的兼任比例应控制在每小组不超过1个人,且不超过该两项代维业务小组总人数的30%。
人员结构:每小组配备1名巡视员,其余人员均要求为检测员。
学历与专业:协议签订后,新增代维人员必须具备高中以上学历,年龄在35周岁及以下的小组长,必须具备中专以上学历。对于基站代维、直放站和分布系统代维业务,1个小组内必须有2人以上(小组人数仅2人时,可以为1人)具有中专以上学历,且尽量属于通信、电子、电源类专业毕业。
操作证件:所有代维人员在岗前必须通过双方组织的上岗考试,以及电信组织的达标考试。此外,基站代维、直放站和分布系统代维业务,要求检测员均持有电工证;塔桅与天馈系统代维业务,要求所有代维人员持有由省、地劳动局或授权单位出具,并在有效期内的登高证。直放站和分布系统代维业务,每小组内要求有2人以上持有由省、地劳动局或授权单位出具,并在有效期内的登高证。
人员稳定性:以代维小组为单位,半年变动人数不得超过1个人,且更换人员素质须超过或与原有人员素质相同。
劳动合同:代维企业必须与骨干员工签定2年以上劳动合同,与其他代维人员签订1年以上劳动合同,骨干员工占检测员总数的50%以上。
3.1.3硬件资源配备要求
1) 车辆要求:除每小组配备1辆车外,每2个代维小组另配1辆车用于发电工作(150个宏基站以内的县市分公司,对第3辆车的配备可适当放宽要求);分布系统代维业务,每200个中等规模分布系统(大、小系统折合方法同上)配备1辆车;其余代维业务,每个代维小组配备1辆车。每个办事处至少配备1辆皮卡。
2) 办事处和代维小组驻地要在电信附近:办事处需设立24小时值班电话和传真,随时接受电信有关抢险救灾、投诉和故障处理等通知。办事处和代维小组均至少要配备电脑1台、手机1只、办公桌椅1套,各种柜子(包括仪器仪表、备品备件、工具、材料和资料等)1套,电脑需具备宽带上网功能,其中便携电脑的配备要满足各小组蓄电池容量测试等需要。办事处和代维小组合设的,办公设施可合用。
3) 要符合各项代维业务对仪器仪表和主要工具配备方面的要求。
3.2 代维单位的服务内容
3.2.1 服务范围
无线设备、动力设备、塔桅机房、传输设备、日常投诉实地测试、基站环境等包括C网宏基站环境、微蜂窝基站、室外直放站站点及室内分布站点内无线设备、电源设备、基站室外天馈部分(铁塔、天线及馈线等)、WLAN等配套设备(开关电源、整流器、蓄电池、空调、UPS、逆变器等)和机房周边环境和相关投诉处理等内容。
3.2.2服务内容
1) 代维工作计划巡检、故障抢修、安全保障、环境卫生;
2) 资产管理、配合验收移交、文档;
3) 应急演练、应急通信保障;
4) 投诉及工单处理。
3.3 代维单位的组织架构
综合代维公司设立综合代维管理调度岗,负责接应电信下达的各项工作任务。
代维公司组织机构下设巡检组、抢修组、投诉处理组、电费管理组。
1) 巡检组:负责日常网络巡检工作,共4个人,分为两个片区。
2) 抢修组:负责日常网络故障处理,共2个人。
3) 投诉处理组:负责日常网络投诉处理、配合网优进行网络测试,共1人。
4) 电费管理组:负责全网基站电费清缴、电费台账的管理;共1人。
3.4 电信对综合代维单位的管理模式
1) 采用一对一的管理模式,建立全面、完善的管理体系,出台了一系列管理标准和具体措施,综合代维工作逐步走向科学化、规范化轨道。
2) 建立全面、完善、统一的管理体系,促进代维工作标准化。
3) 制定《综合代维服务规范》、《代维工作技术规范》,统一服务内容和要求。
4) 制定《综合代维考核办法》,完善代维评估体系,从分散代维的“结果考核”向“过程及结果考核并重”转变。
5) 制定《代维管理办法》,明晰日常管理内容和工作流程。
4 实施综合代维后的效果预估
4.1 维护质量
采取同一地点、联合办公的形式,同步开展工作,使综合代维公司成为最基层的维护单位、电信的补充力量双重角色,为协调配合、高效维护,创造前提条件。
网络安全的基本保证:基站环境及安全的日常巡检,包含基站主设备、动力配套设备、基站传输设备、天馈、铁塔、通风节能设备的基本工作状态检查。综合代维的工作重点就是把基站动力环境工作做精、做细,确保无线网的稳定运行。
故障工单派障流程:电信通过管理系统对综合代维人员派工单,综合代维人员接单和回单全部通过智能手机来完成,可以大大提高故障响应与回复的速度。
科学配置人员,提高专业水平:
1) 进一步优化与整合电信的维护人力资源,集中维护力量到高层次的网络维护管理和优化工作上去。
2) 综合代维人员专注于日常维护工作,将简单重复的工作做到精准,有效提高工作质量,降低网络故障率。
4.2 成本效益
自维人员减少:通过综合代维,减少了电信自维人员,降低了人工成本,优化了维护队伍结构。比分散代维可节约费用11%。
设备维保取消:通过综合代维,取消设备维保,降低高额的设备维保费用,比分散代维可节约费用20%。
降低车辆使用:通过综合代维,降低使用车辆和燃油费,从而降低维护成本,比分散代维可节约费用9%。
维护成本总额可以降低40%。
5 结论
综上所述,3G移动网络的综合代维比分散代维具有很多优势,可以提高电信网络维护质量、优化资源配置、降低维护成本,具有可行性。
尽管如此,同时也会面临许多需要解决的问题,如:
代维人员属地化的问题 :需要有效保持代维队伍的稳定,做好维护人员储备工作,避免骨干力量流失, 逐步实现代维队伍本地化管理 。
代维技术水平的问题 :初期肯定会面临多专业维护的综合能力不足的问题,要通过企业内部培训、培训机构专业培训等渠道,加快现有综合人才知识结构与专业能力的自我转型和提升,从而打造一支技术过硬,整体素质较高的综合维护队伍。
目前,很多防范手段都是基于病毒或者威胁特征码进行分析、过滤、拦阻,而这种方式都是对已知的威胁进行防御的传统手段。而很多危害在发生前没有明显的预兆,尤其是入侵行为。据一些安全厂商统计,入侵行为被发现通常是在该入侵行为发生后的200天左右。这样的后知后觉造成的结果是损失惨重。如何才能在危险发生前做到提前预警,提前防范,这才是用户所关注的。
安全分析放首位
如何对来自各方面的可能的威胁进行分析是安全解决方案提供商所面临的第一个问题。它们有什么先进的技术呢?对于预先防范,它们通常要做的是对异常数据流进行分析。何谓异常数据流,简单来说就是有别于常规业务数据流的一些突然激增现象,这就有可能是异常行为。做到主动防御是关键的一步。通常情况下,当安全软硬件侦测到这种行为异常时,会做出一些反应:首先会进行记录,然后向管理员进行汇报,由管理员进行手动拦截。
如今的安全软硬件已经具备了很多自我分析和自我处置功能。它们一旦发现异常数据流激增变化,产生异常数据交换行为,就会对发出该命令的程序进行拦阻,或者对其进行封箱,与正常应用隔离开来,避免可能产生的严重后果。这就是所谓的沙箱技术。它可以将可能的威胁提前进行分析过滤,将可能带来的危害降低。这种方式事实上需要很强的分析能力。哪些是正常的数据流激增,而哪些又是异常的激增数据流,都需要安全软硬件来判断,这取决于安全软硬件的识别能力和感知能力。
写到这里,笔者联想到某些具有自我学习功能的软件,比如最近炒得很火的谷歌AlphaGo。如果安全软硬件都具备那么强的自我学习能力,确保信息安全应该就不用那么复杂了吧?错,信息安全并不仅仅是由一些软件和硬件堆砌起来的,物是死的,人是活的。人为的因素可能更容易带来危险。人为因素指的就是由于员工自我防范意识缺乏造成的危险,这其中就有很多查看钓鱼邮件所引发的危害事件。在这些钓鱼邮件所引发的事件中,近期出现比较多的就是CTB-Locky、CryptoLocker等加密勒索软件。
管理平台模块化
融合,当下人们谈论得多的就是融合架构。基础设施中的安全设施也需要融合架构。面对复杂的融合架构,安全解决方案提供商需要搭建一个行之有效,而且一目了然、容易理解的管理平台。近期,笔者看到了很多这样的平台,在这里笔者先介绍一下来自于Check Point的Check Point 15000、23000和Check Point R80等新一代安全设备和管理平台。前两个设备整合了防火墙、入侵防御系统(IPS)、反僵尸(anti-bot)、防病毒、应用控制、URL过滤和Check Point SandBlast沙箱技术;通过确保在不影响性能的基础上,对完全混合的加密流量(安全套接层 SSL )的检测来应对未来源自加密流量的针对企业的攻击;遵循集合冗余等创新的设计原则,拥有带外数据管理能力;采用40G扩展卡来管理持续增长的数据流量。
Check Point R80管理平台为企业提供了一个统一的安全方法来整合安全的各个方面,使管理者可以更加有效娴熟地为整个组织部署强大的安全保护。R80平台采用一个单一的控制台管理边界、数据中心分支和云部署,确保整个架构拥有持续的强大保护。这意味着将实现对安全管理的简化和更好的可视性,甚至允许多个管理员在同一策略下工作,而没有冲突,使整体安全策略可以更好地支持业务流程和网络架构。R80平台将安全策略分割成多个部分进行管理,使安全团队可以跟上不断改变的策略。同时,R80平台还将安全与IT流程相结合,帮助业务管理者授权安全平台实现自助服务,从而减少在安全运维和业务之间进行沟通的人员消耗,使主要的安全专家能够把精力集中于策略性的安全任务。通过R80,安全团队将对安全状态实现全面了解并且快速做出反应。监控、记录、报告和事件相关信息都会在同一、可视、定制的控制面板上显示。这不仅可以使管理员简单明了地了解问题所在并快速地应对事件,还允许他们为从关键业务人员到技术合作伙伴的每个人制作定制化的报告。
另外,以上这些设备和管理平台都是模块化的,就比如“软刀片”,可以较为随意地更换和增添。Check Point 北亚区总裁罗杉表示:“我们销售‘软刀片’其实是一个服务。我们第一年给用户免费提供所有‘软刀片’,第一年会全部激活给用户。我们的‘软刀片’是模块形式,用户可以随时添加。第二年用户可以根据自己的应用环境进行调整,付费激活相关模块。”
为了满足跨平台应用,除PC端管理平台外,Check Point还为这几种管理平台开发了相应的多操作系统简易版监管平台,方便不同系统用户使用。
增设服务中心 预测新一轮威胁
对于大而全的融合系统而言,调优工作谁来做,这也是用户所关注的。很多用户自己有实力做,但面对日益复杂的融合系统,很多用户就显得束手无策。此时,安全解决方案提供商就需要为其提供更为完善的运维服务。罗杉表示:“我们在全球有三个服务中心,分别在以色列、欧洲和美国。今年开始,我们将在中国设立第四个服务中心,主要负责售前调测和售后服务。此外,我们也通过合作伙伴和总去辅助完成这些工作,不仅仅卖产品和解决方案,还要完善服务。如果客户决定自己做,就由客户自己做,如果客户能力不足就由我们做。”
2015年发生了很多网络攻击事件,许多知名机构都发生了严重的数据泄露事件。黑客仍然不断地在探索用新的方式来攻击网络。一些安全解决方案提供商在预测未来还会有哪些危机出现在用户面前,它们都在积极主动地研发新的产品应对这些新威胁。Check Point也对此提出了自己的预测:
1. “Sniper”和“shotgun”恶意软件获取用户数据。黑客不但会定制恶意软件,还会越来越多地运用一些复杂的网络钓鱼和社会工程伎俩来获取敏感的数据。
2. 移动威胁加剧。2015年已经发现了多个重大的漏洞。移动漏洞的数目在2016年还会继续增长。
3. 越来越多的企业将采取先进的威胁防护措施。传统的沙箱已不能防御不断增长的恶意软件。CPU级别的沙箱使用将变得更加普遍,因为它是唯一可以检测和防御规避技术攻击、未知恶意软件和零日攻击的先进解决方案。
4. 关键基础设施将成为主要攻击目标。SCADA和ICS网络缺乏安全性,针对类似系统的攻击在最近这几年有所增加,这种情况只会变得更糟。
5. 物联网和智能设备仍存在风险。物联网将进一步发展,企业需要考虑如何保护自身的智能设备,并且做好广泛使用物联网的准备。
6. 可穿戴设备也存在风险。越来越多可穿戴设备如智能手表等将继续接入企业网络,这将带来新的安全风险和挑战,因为黑客可通过可穿戴设备捕获视频或音频信息。
7. 火车、飞机和汽车等易受攻击。2015年发生了首次黑客攻击汽车事件。新一代的汽车拥有许多配件和可连接的系统,这使汽车也很容易受到威胁攻击。
8. 虚拟环境遭遇威胁。越来越多的企业架构在向虚拟环境迁移,这一过程非常复杂并产生了新的网络层,而这也成为了一种攻击向量。保护虚拟环境需要新的网络安全策略。
1建立评价指标体系的基本原则
(1)科学性原则,指应充分注意指标的相关性、层次性,并保证同一类同一层次指标之间的相互独立性。(2)客观性原则,指在选取的每个指标能如实反映所需评价内容的客观本质。(3)完整性原则,指能全面反映研究内容的各方面情况。(4)可测性原则,指尽可能将指标量化,并用数字来表达。(5)简易性原则,要求在满足完整性原则的前提下,尽可能地减少指标的数量。
2评价指标的建立及解释
依据以上评价指标体系的设计原则,结合对健康教育网站现状的分析,尝试提出健康教育网站评价指标体系。该体系自顶向下划分为目标层、准则层和方案层,详见图1。体系的准则层由网站内容、界面形式、网站功能、规章制度、网站运维和社会影响6个准则指标构成,每个准则内容又有具体指标项。下面详细介绍每个指标的含义及评价的具体内容。(1)网站内容网站内容直接关系到网站的整体质量,由四个指标组成:资讯主要评价信息的更新度、权威性和时效性;保健知识和康复知识主要评价网站内容的覆盖度、实时性、权威性,是否有助于提高健康意识和自我医疗决策能力;内容维护评价信息的更新度、内容数量与年增长率,网站是否有专人维护并及时清除失效和错误信息。作为一个健康教育网站,可以多提供一些康复保健常识,在内容上可以做以下考虑:①加大对重大传染病、慢性病、职业病等疾病的普及健康教育;②加强各种传染病防治知识的宣传教育,增加如内、外、妇、儿科等常见病、多发病的防治知识和抢救措施;③增加合理用药知识,如药物的适应证、禁忌证、服法等;④加强就诊知识普及教育。(2)界面形式界面形式由三个指标组成:网页布局评价网站版面是否有统一的色彩风格和主色调;网页层次评价网站栏目、内容布局,内容层级复杂度和清晰度;健康教育特色评价网站的公众健康教育特色是否突出。(3)网站功能网站功能由五个指标组成:友情链接评价网站链接数量,包括链接相关的健康机构,加入微博、微信链接等,是否无死链、错链;网站导航评价网站是否提供网站地图、帮助、重要服务和栏目使用说明等;信息检索评价网站搜索便捷度和准确度。包括在显著位置提供搜索引擎,提供按标题、内容的关键字等检索方式,搜索结果的准确度、相关度排序等;新技术使用评价网站是否可使用人脸识别登录、绑定QQ、微博等账号登录,设置网站二维码等;网站交互性指有定制功能,网址是否容易被记住,能否支持用户留言、在线医生咨询等。(4)规则制度安全制度是指是否制定了网络安全制度、负责人是否明确;审核制度主要评价网站是否具有版权标注和有效的ICP备案号,是否有严格的资源审核制度;应急预案评价网站出现各种突发事件时的处理方案,如防止数据被侵入、破坏和灾难恢复措施;用户制度评价网站是否制定了用户管理规章制度。(5)网站运维人员资质指负责网站的技术人员是否具备网络管理、网站制作等相关专业技术资格证书;页面响应速度评价打开网页、搜索内容的响应时间;网站稳定性评价网站有无出现无法打开和打开网页错误的情况;信息安全性主要评价对有害信息及时处理、上报,并有完整的信息追寻机制和应对措施,定期进行后台程序、数据库、病毒防治更新和数据备份等。(6)社会影响日均访问量主要评价Alexa排名情况,用户是否经常浏览该网站,是否使用在线预约挂号、参与健康互动讨论;搜索引擎上出现率指以该网站名为关键词,在搜索引擎(如百度)搜索的结果情况,包括搜索条目数和准确性;用户满意度指用户对服务质量的总体性评价,包括是否有助于丰富健康知识、提高健康意识,满足个性化需求、保护个人隐私等。
3基于层次分析法的计算过程
根据AHP的理论和方法,分别建立各判断矩阵后,利用MATLAB软件计算各个判断矩阵的权重系数(表3-表9)。查表2知平均随机一致性指标RI,从而可检验矩阵一致性,判断矩阵一致性检验结果如表10所示。根据表10可知,所有判断矩阵的CR值均远小于0.1,满足判断矩阵整体一致性的要求,表明所构建的判断矩阵中各要素之间的逻辑关系成立,指标权重向量计算结果合理。经过总体目标的确定、指标体系的建立和权重分配,可计算出每个指标的合成权重,并根据评价体系使用百分制以便于网站实际的评价工作,根据上述计算结果,由此得出一个健康教育网站评价指标体系表。
4结语
本文将层次分析法应用于健康教育网站的评价,并建立起了一套量化的评价指标体系,具有较强的可操作性。这个评价指标体系的应用对健康教育网站具有规范和引导作用,对于网站管理者也有一定的参考价值。层次分析法作为一种科学的决策分析方法,能客观、合理地评价网站,但是其指标选取以及指标之间重要性的比较过程中,人的主观因素占主导地位,同时,由于网站发展和人们健康知识需求的不断变化,所以应根据实际情况对该评价体系的指标、指标权重、评价标准和决策分析方法进行不断调整和完善,提高其合理性和科学性。
作者:刘艳松 彭柳芬 杜珠英 单位:湖南中医药高等专科学校公共课部计算机教研室 广东药学院医药信息工程学院
“云计算是推动信息技术能力实现按需供给,促进信息技术和数据资源充分利用的全新业态,是信息化发展的重大变革和必然趋势。”在日前举行的以“可信融合、开放创新”为主题的2015可信云服务大会上,工业和信息化部总工程师张峰指出。
云发展仍处初级阶段
“我国云计算产业已经进入产业蓬勃发展、应用迅速普及的阶段。”云计算发展与政策论坛名誉理事长吴基传在大会上指出,“云计算的发展带动了信息制造业、软件和信息服务业的快速发展。”
张峰认为,现阶段我国云计算产业发展呈现出四个最主要的特征。
我国云计算产业规模持续快速增长,产业实力进一步夯实。根据中国信息通信研究院的调查显示,2014年我国公共云服务市场规模达到70亿元左右,增速达到47.5%,预计2015年市场规模将突破100亿元。不仅骨干互联网企业和电信运营商等云服务企业具备了很强的实力,还迅速地崛起了一批云计算初创企业。
云计算成为“互联网+”的基础平台,带动相关环节同步发展。在国内几家大型企业的云平台上,已经聚集了数以百万的创业者,基于云计算的“互联网+”新应用、新业态、新模式不断涌现。据了解,百度、腾讯、阿里三家云开放平台支持的中小开发者数量已经达到200万人,带动就业效果明显。云计算不仅向上支撑了应用创新,向下还拉动了数据中心设备水平的提升。
云计算正在向纵深发展,政府和金融等重点行业尝试拥抱云计算。当前,网购、电商、互联网金融、铁路余票查询等关系民生的重要业务已经开始尝试上云,洛阳“智慧旅游云”、杭州“电子政务云”、南京市政府“桌面云平台”等政府云应用也取得了良好的效果,云计算正在逐步赢得金融和政府等关键行业用户的信赖。
“不过要看到的是,我国云计算产业发展仍然处于初级阶段,业界各方还需继续努力,推动云计算信用体系建设的进一步完善,推动行业快速、健康、可持续发展。”张峰表示。经过几年的发展,我国云计算和大数据产业在技术、服务、能效水平等方面都实现了显著进展。但是必须清醒地看到,我国仍面临云计算服务能力较薄弱、云计算和大数据核心技术差距较大、信息数据资源开放共享不够、信息安全挑战等突出问题。下一步,业界还要与各方共同努力,扎扎实实落实好各项工作部署,系统推动我国云计算产业健康快速可持续发展。
呼吁云计算信用体系
今年1月初,国务院印发了《关于促进云计算创新发展培育信息产业新业态的意见》(以下简称《意见》),提出了云计算发展的原则、目标、任务和措施。后续的《中国制造2025》、“互联网+”行动计划也都把云计算作为基本要素优先发展。张峰指出,作为行业主管部门,工业和信息化部一直将云计算产业创新快速发展作为重点工作持续推进。
云计算各项政策的提出和技术标准的完善无疑增强了用户对于云服务的信心。但是在这样的环境下,如何让云服务更可信仍是业界面临的一大课题。中国信息通信研究院院长曹淑敏表示,推动云计算信用体系建设已经成为业界共识。她强调,《意见》中明确指出为促进我国云计算创新发展,积极培育信息产业新业态,应“支持第三方机构开展云计算服务质量、可信度和网络安全等评估测评工作”,“引导云计算服务企业加强内部管理,提升服务质量和诚信水平,逐步建立云计算信任体系”。
张峰认为,云计算信用体系的构建,将帮助用户和服务商之间建立公平、公正、透明的信任关系,有效消除用户疑虑,支撑云服务快速发展。
近百个云服务通过认证
由数据中心联盟和云计算发展与政策论坛共同推动的“可信云服务评估”就是业界推进云计算信用体系建设的积极努力和探索。据了解,目前可信云服务认证可以评估包括云主机服务、对象存储服务、云数据库服务、云引擎服务、块存储服务、云缓存服务、本地和全局负载均衡服务、云分发服务、在线应用服务、桌面云服务和企业移动化管理服务共十二大类云服务。在会上,数据中心联盟理事长、工信部信息通信发展司副司长陈家春对可信云服务认证的最新发展情况进行了通报,在第三批和第四批参评服务中,包括中移动、中联通、百度、浪潮、华为、奇虎360等共42家企业的65个云服务通过认证,与此前两批通过认证的服务一起,截至目前,共有46个云服务商的96个云服务通过了可信云服务认证,基本涵盖了主流的云服务类型。
开启2.0服务体系建设
在加快可信云服务认证工作的同时,评估体系和手段也在获得完善。“目前,我国云服务市场已进入细分市场的快速发展阶段,”陈家春表示,“为了适应云服务市场的发展需要,为不同需求的用户提供多种评估手段和数据依据,可信云评估体系正在向着更专业、更细致、更完善的目标迈进。”陈家春透露,可信云服务工作已经正式进入2.0体系建设阶段。而在可信云服务2.0体系中,关键就在于引入了性能和运维两项专项评估以及云保险增信机制。
据介绍,目前运维和性能专项已完成了评估测试方法的制定工作。与云计算的技术和规模发展相比,相对应的运维管理发展却难以匹配。因此,可信云服务工作组联合阿里、百度、奇虎360、IBM、世纪互联、中国移动、中国电信、中联润通等多家企业共同完成了《可信云服务认证专项评估-面向云服务提供商的运维管理指南》。同时的还有《可信云服务专项云服务性能基准测试方法第1部分:云主机和块存储》。