时间:2023-01-08 10:00:37
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络设备安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:交换机 路由器 安全技术 实施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)11-0185-01
目前大多数的企事业单位接入Internet网,通常都是在企业出口部署一台路由器与ISP连接实现。这台路由器就是沟通外部Internet和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。考虑到路由器的作用和位置,路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。交换机的安全性能已经成为网络建设必须考虑的重中之重。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
1 设置强壮的管理口令
口令是交换机用来防止非授权访问的主要手段,是交换机本身安全的一部分。必须修改默认的口令,并避免使用普通的口令,并且使用大小写字母+数字+特别符号混合的方式作为更强大的口令规则。尽可能使用Enable Secret特权加密密码,而不使用Enable Password创建的密码。
利用enable secret命令设置密码,并选择一个长的口令字(至少8位),该加密机制是IOS采用了MD5散列算法进行加密,这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。
2 控制VTY
(1)配置VTY的Telnet访问控制安全,利用ip access-class限制访问VTY的ip地址范围。
(2)建议用SSH代替Telnet
Telnet是管理员们连接至交换机的主要通道,但是在Telnet会话中输入的每个字节都将会被明文发送,这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息。因此,使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。
3 防止盗用内部IP地址
攻击者可以盗用内部IP地址进行非法访问。利用ARP命令在局域网内将MAC地址与IP地址进行绑定来解决这个问题。
4 确保SNMP协议的安全
如果没有用到SNMP功能,建议禁止SNMP协议服务。尽量采用Snmp V3。如果必需采用Snmp V1,必须修改默认的community,如public,private等。
5 禁用不必要的服务
由于早期版本的交换机操作系统存在多个严重的安全漏洞,使得攻击者可以远程越权获取到交换机的完整配置文件,因此建议在路由器上使用命令:no ip http server禁止HTTP服务。
Cisco公司的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。如禁止CDP、Finger服务、BOOTP服务、IP Source Routing、ARP-Proxy服务、IP Directed Broadcast、IP Classless、DNS查找等。
6 及时升级和修补IOS软件
IOS(Internetwork Operating System)是Cisco交换机和路由器中的操作系统,以映象文件(.bin格式)的形式保存在交换机的闪存中。同其它的操作系统一样,Cisco公司每年都会定期新的IOS操作系统,升级IOS的主要目的是:
6.1 修补漏洞,消除BUG
同其它的操作系统和应用软件一样,Cisco交换机和路由器的IOS操作系统,每年都会被发现大约几十个漏洞,通常情况下这些漏洞会带来严重的安全风险。因此,需要定期更新Cisco公司的新版IOS,来修补这些漏洞。
6.2 增加新功能
由于交换机和路由器的特殊性,新版IOS的,除了针对漏洞的修补以外,还会增加新的功能。如果交换机的功能无法满足工作需要,也可以升级IOS来解决。比如,早期的交换机不支持SSH、HTTPS、SNMP V3等安全功能,可以通过升级为支持加密功能的K9版IOS,来实现这些功能。
6.3 解决交换机兼容性问题
一个规模较大网络的交换机或路由器通常都是逐年分批采购的,不同批次交换机的IOS版本肯定不一样。通过将IOS全部升级为最新修订版,可以减少因IOS版本不同而引发交换机之间不兼容的隐患,避免配置管理上的不一致性。
在升级过程中,需要注意以下几点:
①尽力保障电力供应,避免升级过程中断电或重启交换机和路由器,否则会导致升级失败。②要从正规渠道获取IOS文件,如Cisco的官方网站和授权的经销商,以保证IOS的权威、干净和完整。③要注意版权问题,不要侵犯版权。④升级完成之后,一定要进行安全性、可靠性测试,密切注视升级后的网络运行情况,如有异常及时处理。
参考文献
[1]解艳.浅析网络设备安全[J].科技信息,2011,(25).
[2]覃毅,王欢.网络设备与网络安全[J].计算机安全,2010,(06).
1以地铁通信网络设备基础信息的分析为基础,确定维护工作重点
为了确保地铁通信网络设备维护工作的有效开展、避免设备故障对地铁列车运行的影响,在现代地铁通信网络设备维护前应强化对通信网络设备基础信息的分析。以地铁通信系统设备说明书等文件的分析为基础,结合实际使用过程中环境、使用频率、设备运行工况等内容,确定地铁通信网络设备维护工作的重点。根据地铁通信设备及线路的实际使用情况、设备的基础信息,确保地铁通信网络设备维护方案的科学性,提高维护工作效率。
2建立健全地铁通信网络设备维护管理体系,促进维护工作的开展
现代通信网络设备维护理论研究指出,科学的通信网络设备维护管理体系是提高维护工作效率、提高维护工作质量的关键。根据地铁通信网络设备维护需求、根据地铁通信网络设备特点,现代地铁运行管理中应强化地铁通信网络设备维护管理体系的建立。以地铁通信网络设备实际情况为基础、以设备维护部门组织架构为重点,建立符合地铁通信网络设备维护需求的管理体系。以管理体系的建立,规范和监督相关维护人员的具体工作,促进地铁通信网络设备维护工作的开展、确保设备维护管理工作目标的实现。
3以地铁通信网络设备实际情况为基础,确定维护周期及重点
在现代地铁通信网络设备维护中,科学的维护周期及维护重点是保障地铁通信网络设备运行的关键。因此,在现代地铁通信网络设备维护工作开展前,地铁通信网络设备维护部门应对通信网络设备的基础情况进行分析。在了解通信网络设备基础情况下,合理确定设备维护周期。通过维护周期的科学制定,保障地铁通信网络系统的正常运转、减少维护周期不科学造成的维护成本增加。通过科学的维护周期设置能够减少维护成本、减少维护工作对地铁运行的影响,保障地铁通信网络的通畅。在此基础上,地铁设备养护部门还应针对通信网设备的实际使用情况确定维护工作重点。针对地铁通信网络使用过程中易发故障点确定养护监控重点,避免通信系统故障对地铁运营的影响。
4建立预防性维护机制,提高地铁通信网络设备维护能力
在现代设备养护管理中,预防性养护管理机制能够降低设备故障发生率、保障生产运行活动的开展。这一理论在地铁通信网络设备维护中的应用能够保障地铁通信系统的安全与稳定、降低地铁通信网络设备故障率。根据预防性维护理论应用需求,现代地铁运营管理机构应在通信网络设备基础情况调研下强化设备常见故障的分析。根据地铁通信网络设备运行环境下易损部件的实际应用情况,确定预防性维护工作内容。以实际情况为出发点、确定预防性维护周期,避免零部件损坏对通信网络系统的硬性,保障地铁通信系统的稳定运行。
二、强化维修工作现场技术监督,保障地铁通信网络设备维护质量
在现代地铁通信网络设备维护中,设备维护现场的技术监督是保障地铁通信网络设备维护质量的关键。为了确保设备维修养护人员的操作质量,现代地铁运行管理部门应建立现场技术监督管理体系。通过设备维修过程中,现场技术人员、工程师的指导及监督保障维护工作质量,避免维护工作中安装操作等不规范造成的故障隐患。通过现场技术监督工作,规范地铁通信网络设备维护人员的具体操作、保障维护工作质量、保障地铁通信网络设备的安全稳定运行。
关键词:H3C;网络设备;监控
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)13-3052-03
Construction of Network Equipment Monitoring System Based on H3C
ZHAO Li-chun,LIANG Yi-ping,LIN Yue,LIANG Jian
(The Affiliated Ruikang Hospital of Guangxi Traditional Chinese Medical College,Nanning 530011,China)
Abstract: The construction of information systems can not be separated from the network equipment, network equipment, performance, security, fault monitoring is very important. Effective network equipment monitoring is important to reduce network failures, improve equipment utilization. H3C equipment, for example, discuss the structure of the monitor of network equipment.
Key words: H3C; network equipment; monitor
随着信息技术的发展,数据规模和网络规模均在不断地扩大,在给各单位的电子业务工作开展带来便利的同时也随之带来安全和管理问题。建设信息系统离不开网络设备,对网络设备进行性能、安全、故障等方面的监控是非常重要的[1]。行之有效的网络设备监控对降低网络故障,提高设备利用率有重要意义。H3C的网络设备品种齐全,价格适中,性能可靠,配置方便,在我国行业市场具有较高的占有率.本文以H3C设备为例,对网络设备监控的搭建过程的关键问题和技术进行讨论.
1基于H3C的网络设备监控系统的拓扑设计
要对H3C的网络设备的运行状况,流量,故障等情况进行监控,就必须选取网络中重要的位置安装搭建起监控服务器,并在监控服务器上安装相应的软件和硬件设备[2]。网络监控服务器的安装位置是比较重要的,最好安装在网络流量比较大的位置,最好和数据服务器同一网段,以方便监测数据并轮询H3C的网络设备。在单位局域网中,常见的网络设备是交换机,H3C的网络设备基本上支持SNMP的管理,为构建网络监控系统打下了基础。
图1网络监控系统示意图
如图1所示,这是某大型医疗单位的骨干网络示意图,网络设备监控服务器应在重要的位置。在本文的设计中,网络监控服务器和核心交换机进行连接。网管工作站可以不和核心交换机直连,可以通过楼层交换机访问到监控服务器,从而查询有关网络设备的运行状况。例如端口流量,端口UP或Down的情况等。
2基于H3C的网络设备监控系统的安装与配置
由于网管人员不可能太仔细对网络设备进行监控,这就必须通过网络设备监控服务器将网络设备的运行状况进行记录,这样,当网络管理人员需要对有关设备的运行状况进行查询时,只要登录到监控服务器,查询有关数据就可以了。因此,从理论上就必须在网络设备监控服务器上安装相应的操作系统,数据库系统和监控软件。
在本文的设计中,根据网络监控理论上的要求和华三官方的相关文档记述,在网络设备监控服务上安装的是Windows Server 2003,为了安全性和可靠性,最好是带SP2的。数据库是为了记录并保存网络设备运行状况,在本文的设计中,安装的是SQL Server 2005[2]。网管工作站需要通过WEB的方式来访问监控服务器,因此还必须在监控服务上安装IIS6。
虽然安装Windows Server 2003和SQL Server 2005对硬件的要求并不高,但由于网络设备监控服务器需要24小时不间断地运行,才能有效地对网络设备的运行状况进行记录。因此最好选取专业的服务器,在本文设计中选取部门级的服务器就够了。网管工作站主要用于查询数据,对硬件要求不高,一般的PC足够了。
在大型网络中,为了有效对网络进行管理,避免网络风暴,通常在交换上配置了VLAN。VLAN之间通常是隔离的[4]。为了使网络监控服务器能有效地对网络中的交换机和路由器等设备进行监控,需要在各交换机上配置好VLAN。VLAN 1是每台交换机上的默认具有的VLAN,因此推荐将网络监控服务器连接在配置了VLAN 1的端口上。例如在本文的设计中。网络设备监控服务连接在核心交换机的三十六号口,在配置交换机时就需要将三十六号口加入到VLAN 1中。网管工作站也是一样需要连接到对应楼层交换机VLAN 1上,这样以便于互访。当然,网络设备监控服务器的IP地址也应该与网管工作站IP地址属同一个网段。
为了对网络中的设备进行识别和监控,必须对网络设备设置IP址,通常IP地址是VLAN 1所规划网段的。例如,将191.168.21.0/24这个网段分配给VLAN 1。
H3C的网络设备缺省时并不开启SNMP协议,需要技术人员在配置交换机或路由器等网络设备时进行开启。以下是相关的配置命令及解释:
system-view//进入系统视图
[H3C] snmp-agent//启用SNMP
[H3C] snmp-agent sys-info version all//让设备支持能支持的所有版本SNMP协议
[H3C] snmp-agent community read public//设置读数据团体名为public
H3C] snmp-agent trap enable standard authentication //允许发陷入报文
[H3C] snmp-agent trap enable standard coldstart//允许发冷启动消息到监控服务器
[H3C] snmp-agent trap enable standard linkup//允许发端口UP的消息到监控服务器
[H3C] snmp-agent trap enable standard linkdown //允许发端口DOWN的消息到监控服务器
监控软件是选择是至关重要的,监控软件的作用是轮询被监控的设备[5],并记录相关信息保存在数据库中,也接受被监控网络设备发来的陷入信息,也记录在数据库中.。以便于网络管理工作站进行查询。在本文的设计中,采用的是H3C的局域网能网络设备监控软件。安装完毕之后,设置好IIS,在网管工作站上打开IE,输入监控服务器的IP址及端口,便可打开,例如,191.168.21.2: 8080/。图2是登录到监控服务器所看到的图形管理界面。由于该软件需要JAVA插件支持,如果网管工作站没有安装,会跳出下载提示框。
图2 WEB图形界面的网络设备监控软件
3总结与展望
对于中、大型的网络系统,及时了解网络设备状况,网络运行状态是非常重要的,这对于网络故障的排除提供了便利,对网络优化提供了依据。在本文的设计中,以H3C网络设备为例,分析并讨论网络设备监控系统软硬件的安装和配置,具有积极的意义。
如果想具有更灵活的管理手段,也可自主开发出服务器端的监控软件。例如使用MRTG来对网络设备的进行基于SNMP的管理。如果采用MRTG组件的方法,可以结合.NET等开发工具来开发出服务器端的网络设备监控软件。
参考文献:
[1]李维.医院网络监控软件部署方案探讨[J].医学信息,2009(7):1138-1140.
[2]刘桂峰,陶漪.网络服务运行状态监控技术研究[J].计算机与现代化,2011(2):131-134.
[3]刘宏,张晓云.SQL SERVER 2005数据库应用技术[M].北京:机械工业出版社,2011:5-21.
关键词:网络设备配置实训;课程建设;项目教学
中图分类号:G712 文献标识码:A 文章编号:1672-5727(2012)11-0166-02
网络设备配置实训是信息安全技术专业的一门核心课程。该课程旨在让学生了解常用网络设备的工作原理、工作方式、技术指标及参数等,熟悉调试网络设备的工作环境,掌握各网络设备的调试方法。本文主要介绍该课程建设的做法和体会,从课程的设置意义、教学方式与方法的制定、教学内容的编排与优化、教学环境的建设等方面进行阐述。
课程设置的意义
在学习本课程之前,学生学习了计算机网络相关基本知识,但对网络设备还没有任何学习经历。我们在信息安全技术专业的课程体系中加入网络设备配置实训课程,希望通过本课程的教学,使学生能够系统地掌握网络设备的配置方法,以及利用网络设备调试各种网络服务的方法。
在教学模式上,传统模式是教师以系统讲授课程的全部知识点为目标,部分动手练习也是验证性实验。这样培养出来的学生在完成实际技术工作任务时常感到无从下手,难以将学过的知识点融会贯通。因此,在教学中应根据学生的认知特点和心理规律,贯彻“以教师为主导、以学生为主体、以实际训练为主线”的原则,模拟真实的工作情境,让学生通过实践操作掌握课程内容,同时培养学生的团队协作等社会能力,还培养学生根据实际工作需要获取知识、应用所学知识的方法能力,从而达到教学目标。
教学方式与方法的制定
通过对多家信息安全技术相关企业进行调研,发现基础网络的建设是多个工作岗位所必需的一项基本技能,开设网络设备的配置与调试相关课程是十分必要的。在吸取Cisco CCNA培训等课程教学经验以及在企业调研结果的基础上,我们认为网络设备配置与调试技能的教学,实训是最好的方式,有利于学生学到更多的实际操作技能。
(一)教学方法
在教学方法上采用项目驱动教学法。项目驱动教学法是指由教师根据当前教学主题设计并提出项目任务,针对所提出的项目任务,采取演示或讲解等方式,给出完成该项目任务的思路和方法,然后引导学生边学边做,完成相应的学习任务。本课程根据网络设备的种类及网络功能分为四个项目,根据每个项目的特点又细化为多个学习任务。学生在学习时需要完成每个项目下的任务。
学生在学习本课程时以工作小组方式重新组合,组长负责小组的网络设备分配及组员的管理。在每个学习任务完成后,学生需要填写相应的工作单,将完成任务时的工作步骤、心得记录下来。组长对组员完成任务的工作态度、团队协作、应用的知识等进行评价,教师对每个学生完成任务的情况进行整体评价。
(二)考核评价
该课程的考核评价体系突出严格、全面两方面。严格是指有明确的考核机制,全面是指必须完成基本实训要求及内容。考核涉及内容有:每个项目下的学习任务完成情况,占60%,主要考查学生对每个学习任务的完成情况、熟练程度及组员团队配合等;平时出勤,占10%;阶段性考核,占30%,即在完成每个项目后,要对学生进行一次综合性考核。
教学内容的编排与优化
该课程讲授和实训的内容与基础网络建设密切相关。为对教学内容进行科学规划与设计,我们对相关企业进行了调研,并对网络工程师、网络管理员等岗位所需知识与技能进行了详细剖析,认为网络设备的配置与调试是信息安全技术专业毕业生必不可少的一项基本技能,并且总结出在相关岗位上,哪些网络设备调试是比较重要的,哪些网络服务调试是相关工作人员必须掌握的。因此,在网络设备的选择上,注意选择一些在基础网络建设中应用比较多的设备,重点放在交换机、路由器和三层交换机上。对教学内容的制定分为“智能型交换机的配置与调试”、“智能型路由器的配置与调试”、“网络功能的实现”以及“综合实践训练”四个项目,每个项目再细化为多个任务,如图1所示。在教学中,先针对每种网络设备进行基本功能的实践训练,然后再利用网络设备实现相应的网络功能,最终将各种设备综合起来进行综合应用。
(一)智能型交换机的配置与调试
交换机是局域网组建中非常重要的设备,是建立校园网、企业网的基础设备。因此,学习交换机的应用是一个重要且基础的教学环节。在这一项目中,我们针对交换机的常见与重要的应用进行训练。该部分的任务包括智能型交换机的基本配置、VLAN技术的应用、生成树协议的应用、交换机端口的安全设置等。
在这部分内容中,VLAN技术的应用是重要训练内容。要让学生理解VLAN技术的基本原理并掌握VLAN技术在实际中的应用。重点讲解VLAN的建立与管理方法,并在此基础上借助实际案例讲解VLAN技术的应用。除了讲解单交换机上的VLAN划分外,还要讲解跨交换机间的VLAN技术应用。
此外,该部分还要对交换机端口的冗余及安全等实践内容进行讲解和训练。
(二)智能型路由器的配置与调试
路由器是在网络间传送数据的关键设备,也是在网络建设中不可缺少的设备。很多网络功能是通过路由器来实现的,因此路由器的应用在网络建设中非常重要。目前,在很多基础网络中应用到了三层交换机,它是在交换机的基础上增加了路由器的相关功能,使得其功能应用比一般路由器要好很多。因此,在本项目中也要介绍三层交换机的配置与调试方法。
在本项目中包含的任务有智能型路由器的基本配置、静态路由的配置、三层交换机的基本配置、动态路由协议RIP的应用、动态路由协议OSPF的配置与应用、单臂路由的应用以及路由器的安全传输等。
在本项目中除了路由器和三层交换机的基本配置外,路由配置是重中之重。在路由器中,路由协议分为两种:静态路由和动态路由。静态路由的配置是目前基础网络建设中的一项基础技能。通过静态路由的配置训练,还可以加强学生对路由表概念的理解,增强学生网络路由规划能力。动态路由是在复杂网络情况下应用的路由协议。而RIP协议和OSPF是两种常见且比较典型的动态路由协议,在训练学生配置两种协议的同时,还要让学生理解这两种协议的工作原理。
单臂路由是解决VLAN间信息传输的重要方式,它在一个路由器的物理接口上划分多个逻辑子接口,为二层交换机上的每个VLAN分配一个子接口作为该VLAN的网关,以便这些VLAN能够在网络中互联。通过单臂路由的应用训练,学生可以真正理解网关的作用以及将VLAN加入到网络中互联的方法。
(三)网络功能的实现
通过前面两个项目的学习,学生已经掌握了各网络设备的基本配置方法。在此基础上,要让学生对一些常见的网络功能的配置进行训练,包括DHCP的应用、访问控制列表(ACL)的配置、NAT技术的应用以及VPN技术的应用四个任务。
这些网络功能在基础网络建设中是比较常见的,因此学生需要进行针对性训练,以掌握这些网络功能的配置方法,并在此基础上理解这些网络功能的原理。
(四)综合实践训练
在前面三个项目的基础上,我们准备了一些综合实践训练任务。这些任务都是在学生前面所学内容基础上组合而成的,并且训练内容与实际基础网络建设紧密联系。
教学环境的建设
作为一门实训课程,该课程教学环境的建设也是教学改革的重要部分。所需的教学仪器就是交换机、路由器和三层交换机。学生以小组的方式来完成实训项目。每个小组中配备路由器2台、二层交换机2台以及三层交换机1台,每个小组配备计算机4台,如图2所示。这样,每个小组的设备就可以供4~8人进行训练。训练中学生可根据项目内容对网络设备进行规划,根据拓扑图来搭建网络环境,进而对每台设备进行相应的配置,最终实现任务所要求的功能。这样,既可以训练学生配置网络设备的技能,也能培养学生的团队协作能力。
在每台计算机中,我们安装了相应的模拟软件,来方便学生学习。模拟软件的出现,不仅为该课程教学提供了一种有效的辅助工具,也为相关课程的教学提供了一个很好的平台。软件可以充分挖掘现有设备的潜力,提高现有系统的利用率,既缓解设备和场地不足的问题,又提高可操作性,降低设备的管理难度,而且在不添加硬件设备的条件下,可以增加学生的实践动手机会,加强学生的实践技能。
在实训中,学生可以在真实的环境中边学边做,较为系统地掌握实践操作技能。通过观察近几届学生学习该课程的情况,发现学生在学习完本课程后,能够较为熟练地配置与调试各种网络设备,具备一定的基础网络搭建能力,为学习后面的课程打下了坚实的基础。
参考文献:
[1]邹贤芳,肖传辉.“网络设备与互联”课程教学改革与实施[J].福建电脑,2011(3).
[2]叶延东,张蒲生,李永东.网络设备与技术课程实训教学的改革与探索[J].广东轻工职业技术学院学报,2010(3).
[3]马刚.浅谈模拟软件在计算机实践教学中的应用[J].科技信息,2010(11).
[4]吴刚.Cisco Packet Tracer在网络教学中的特殊应用[J].计算机时代,2011(4).
[5]宋梦华.基于Packet Tracer的虚拟通信仿真研究[J].天津职业院校联合学报,2010(3).
[6]杨彬.基于Packet Tracer环境下的网络课程考核平台构建[J].计算机教育,2010(23).
[7]郭亚利.基于Packet Tracer虚拟平台的校园网构建技术研究[J].信息通信,2011(2).
一、全球网络设备分类市场概述
(一)无线网络设备市场
2008年,全球无线网络设备市场的规模达到510.97亿美元,占全球电信设备投资总额的51.34%,比2007年增长了4.2%。由于受全球金融危机的影响,2009年的无线网络设备市场增速下降为0.07%,市场规模达到511.3l亿美元。根据Gartner研究报告显示,亚太、中东及非洲地区的网络设备投资增速明显,北美、西欧和日本等发达地区无线网络设备投资保持稳定。从市场份额而言,北电和摩托罗拉的无线网络业务开始萎缩,老牌厂商阿朗和爱立信等企业的市场份额逐渐在减少,而我国的中兴和华为的市场保持了增速。
(二)交换网络设备市场
2008年,全球交换网络设备市场的规模达到84.1l亿美元,占全球电信设备投资总额的8.4%,比2007年增长了2.9%。传统电路交换市场规模不断萎缩,2008年,电路交换市场规模为24.68亿美元,比2007年减少了22.2%;2009年,电路交换市场的规模仍在不断缩小。在软交换设备领域,全球厂商的市场份额差距不大,中西欧、北美和日本的发展速度较快,引领了全球软交换市场前行。由于各厂商之间的技术和市场实务基本相当,未来市场格局不会发生太大变动,其中华为以12.6%的份额占据第一的位置,北电以11%紧随其后。
(三)接入网络设备市场
2008年,全球接入网络设备市场的规模达到142.92亿美元,占全球电信设备投资总额的14.36%,比2007年增长了4.6%。目前,全球DSL接入市场发展较为平缓,发达国家DSL市场已接近饱和,而亚非拉等发展中国家地区的DSL仍然占据接入网络设备市场的绝对主导地位,并且这一态势在短期内不会发生变化。2009年,全球接入网络设备市场规模达到150.05亿美元,总体增长速度与2008年相当。目前,阿朗和华为占据了超过60%的市场份额,阿朗控制了欧州市场,华为则在亚太、中东以及非洲地区占有一定份额。
(四)光传输网络设备市场
2008年,全球光传输网络设备市场的规模达到149.2亿美元,占全球电信设备投资总额的14.99%,比2007年增长了4.6%。2009年,全球光传输网络设备市场规模达到151.94亿美元,增速仅为1.9%,主要是投资放缓所至。北美、西欧和中东欧投资规模基本保持稳定,亚太、非洲和拉美地区发展较快,日本的投资规模略有缩减。目前,在光传输网络设备市场,阿朗继续保持光传输网络设备市场霸主地位,北电和Tellabs公司由于战略转变而市场不佳。我国的华为和中兴排名靠后,但其发展势头强劲。
(五)数据通信网络设备市场
2008年,全球数据通信网络设备市场的规模达108.3亿美元。2009年其规模达到114.48亿美元。目前,凭借雄厚的技术实力和市场影响力,思科雄踞全球数据通信市场之首。Juniper以其核心层路由器领域开拓市场,以较高增速稳居市场第二位。阿朗则发展偏缓,而华为以边缘路由器为突破口,占据了一定的市场。
二、我国网络设备市场发展现状及存在的差距
近些年我国政府和企事业单位在信息化建设及改造上的投入逐年增加,电信运营商NGN/IP承载网的建设加快,网络设备市场呈现快速增长的局面,其发展蕴藏着巨大的潜力。但与发达国家相比,我国网络设备市场的发展还有较大差距,主要体现在: 转贴于
(一) 产品同质化,价格战此起彼伏
在网络设备行业竞争日益激烈的今天,产品已趋于同质化,价格战也时有发生,各品牌的促销大战也此起彼伏。比如服务外包、利用廉价劳动力、全球性供应、7×24小时不间断的软件开发等是设备商应对价格竞争和满足产品面市时间需求的重要措施。我国网络设备的竞争主要集中在中低端产品上,其技术已基本上标准化,各厂家的技术差距不大,这就更加催生了竞争的白热化。戴尔(Dell)的相关负责人曾经针对价格战做了一个精辟的定义,与其说是价格竞争,不如说是成本控制能力的竞争。众所周知,国内网络厂商在核心芯片技术方案上仍然是“拿来主义”方式,但“拿来”后是否具备快速吸收、转化的意识和能力就决定了网络厂商在市场上长期生存和发展的前提。
(二)国内高端产品市场认同程度偏低
就目前国内网络设备采购客户反馈信息来看,国外大品牌依然是首选,特别是服务器等核心设备,占据了70%以上的比例。一方面因为国内厂商向网络设备高端产品市场发展的核心技术力量不够;另一方面是客户对国产品牌的市场信心不足,同时,企业或政府采购产品的时候都讲究具有技术前瞻性,对产品的性能要求更加严格。一位负责某金融行业信息设备采购的人士表示:“之所以选择国外的产品,这缘于本行业是数据流和资金流充斥的场所,任何故障将导致无法弥补的损失,我们选用高端设备考虑的首要因素为设备的安全可靠性,其次在人们心目中国内厂商的产品大都集中在中低层次,在高端设备没有相应的产品,即使有产品,由于推出时间短,没有经过时间的检验,我们都很难采用。”所以目前高端市场仍由少数几家国外品牌把持,缺乏合理竞争,相对廉价的“国产服务”被国外品牌挤兑的度日艰难。如此的境遇却值得我们深刻反思。
(三)具备国际竞争力的民族品牌较少
目前国内大部分企业级网络设备市场份额仍被国外厂商把持,高性能的计算机和网络设备多被国外品牌的产品所垄断,在信息集成的增值领域,国内企业的服务水平也相对较低。比如美国的思科,是计算机网络设备的领航者,在技术和行业上都是老大,目前在支撑Internet运行的路由器中,有近70%的路由器来自思科公司。再如后起之秀Juniper公司的高端核心路由器,其销售收入的市场份额已提高到了30%左右,成为思科强有力的竞争者。而我国除华为和中兴这两大民族企业能够在技术资金密集度比较高的行业内获得国际话语权和国际市场份额外,其他公司进军国际市场的道路似乎显得比较艰难。
(四) 知识产权纷争不断
目前具有知识产权的核心技术多为国外研发机构或IT厂商所拥有,软件产品的关键部件或软件开发的基础平台多为国外厂商提供,技术标准也由国外制定,这让我国在网络设备市场上落后于人、失去主动权。最典型的案例是2003年,当华为进军欧美市场,逐渐占有一定的市场份额,可以和思科分享美国市场的时候,思科意识到华为对自己在美国的计算机网络设备市场构成了威胁,开始以侵犯专利技术为由制止华为在美国的市场运营。思科首先是从华为产品的代码入手,认为华为盗用了他的源代码,其理由是华为投入美国市场的产品代码与思科的产品代码相似,经过多次的交涉,华为还是不屈服于思科的挑衅,最后思科把华为告上了美国的法庭。最后由3COM公司出面调解,3com证明了华为的技术实力,没有盗用思科的源代码,最后在各种因素的调解之下华为和思科终于和解。
三、提升我国网络设备市场竞争力的应对策略
(一)加强自主创新,攻克核心技术
对于网络设备企业来说,谁掌握了核心技术,谁就掌握了市场竞争的战略高地,其赖以生存的根本就是技术的先进性和技术特色。目前我国在电信网络建设上,国外公司的设备产品占有相当比例,这给国内的互联网发展带来了相当多的安全隐患。一旦网络设备发生故障,首先需要和国外的相关设备提供商协商,等对方检测后,才能拿到最后的故障检测结果,这使得我国在面对网络安全危机时显得十分被动。华为3Com政府网络部相关负责人在谈到网络设备时就讲道,拥有自主知识产权的网络设备,是国家信息安全建设领域重中之重的发展课题。所以,作为“中国创造”的主体部分,中国企业必须把自主创新提高到企业发展的核心战略地位,投入核心力量去进行技术研发和技术创新。正如一位知名企业家所言,“技术创新并不仅仅是不断创造新的产品,采用新的技术手段不断提高产品的设计质量、制造质量以及检测质量也是一项重要内容。”同时,在行业内不断探索,逐步寻求技术方面的突破。这样,中国企业才能够挣脱国外技术的封锁与束缚,拥有行业发展的主动权。
(二)加大研发投入,加快民族品牌发展
企业加大研发投入,加快自主核心技术和自主品牌创新,是提升网络设备市场竞争力的关键。比如,中兴通讯研发投入力量一直处于国际领先水平,它依靠大量的研发投入使其拥有了五大核心技术:网络技术、软件技术光传输技术、射频与无线技术,芯片技术。 为了实现自我创新,中兴通讯每年确保在科研开发上的投入均保持在销售收入的10%左右。不仅有效推动了其在多个领域科技成果的取得,并为国家填补了多项技术领域空白。目前,中兴通讯拥有全球专利已超过16000件,并入围中国首批创新型企业名单。华为在这方面也做得十分出色,华为的交换机的出货量连续3年全球第一,数据通信路由器运营商市场全球排名第三,从技术实力方面来看,当前部分自主品牌的产品完全可以在政府用户中替代国外品牌。 所以政府在实际采购活动中,要加紧落实《实施〈国家中长期科学和技术发展规划纲要(2006-2020年)〉若干配套政策》的要求,在评审方法中,须考虑自主创新因素,优先采购自主创新国产产品。
(三)加强市场管理,杜绝造假谋利行为
在国内市场中网络设备的造假和售假现象比较严重,假货的超额利润、集成商的生存困境和法制的不完善是假货横行的三大主要原因。通过“软件技术升级”来造假的网络设备,即使是在低于原价二三千元的情况下销售,其超额利润也依然让人瞠目结舌。据某品牌的技术工程师介绍,该品牌的某个交换机的低级别版本的市场价格在3000多元,销售商的纯利大约在200多元,高级别版本市场价为8000多元,如果商通过软件升级,将低级别的产品升为高级别的产品,以5000多元的价格出售,利润率一下子就会涨到5-10倍。这给国内网络设备的发展带来了极大的伤害,所以规范市场管理,加强行业监督是国际化进程中的迫切任务。
(四)加强国际合作,制定国际发展战略
我国的高科技企业在决定国际化战略时,需全面考察目标市场的政治环境和文化环境,通过风险预警机制有效防止在国外水土不服的情况出现。华为在国际与国内建立了诸多研究所:美国硅谷研究所、美国达拉斯研究所、瑞典研究所、印度研究所、俄罗斯研究所等海外机构,华为技术(总部深圳)、北京研究所、上海研究所、西安研究所、成都研究所、杭州研究所、南京研究所等国内机构。华为最终成为中国网络设备技术的研发高地,以华为为代表的中国新兴网络设备企业在国际上正在快速崛起,其国际市场的争夺不可避免。如2010年4月30日,印度政府以国家安全为由,禁止从中国进口部分网络电信设备;2010年5月,华为和中兴参与印度北区和东区项目的竞标权被剥夺。从起初的“禁令”,到后来的“安全审查”和“黑名单”,中国电信企业在几个月内连遭重创,2010年上半年在印度市场几乎颗粒无收。国际市场竞争主要是靠实力说话,拥有竞争实力的中国网络电信企业只要有自己的长远国际发展战略,必然会不断地拓展国际空间。
:
[1] 覃毅,王欢.网络设备与网络安全[J].计算机安全,2010,6.
王育琨.华为武器:研发、联盟、制度整合化[J].管理与财富,2007,10.
孙杰贤. SOHO 级网络设备市场竞争格局面临变局[J].通讯世界, 2009,6 总173期.
【关键词】高职 网络实训室 管理 建设
【中图分类号】G 【文献标识码】A
【文章编号】0450-9889(2016)05C-0179-03
一、高职网络实训室现状
从目前高职院校专业布点来看,计算机网络技术专业是布点比较集中的专业,基本上每个高职院校均开设了计算机网络技术专业。为了保障专业实训的需要,各院校纷纷建立了计算机网络实训室。但通过调查了解,各院校网络实训室存在着四个方面的问题。
(一)实训设备数量较少,设备损坏多,影响学生实训
由于职业院校资金紧张,学生扩招数量大,网络实训室无法配置每个学生单独一组实训设备。实训过程中,每个学生按照自己的方式、方法进行调试设备,学生直接插拔设备,造成网络设备损坏现象很多,如CONSLE口,路由器的以太网口烧坏等,严重影响了学生实训的顺利开展。
(二)实训设备管理不到位,造成实训场面混乱,老师无法有效指导学生
一般学校网络实训室采取4-8个学生一组开展实训,由于没有统一管理设备,每组学生实训过程必须去插、拔自己的网线来更换到不同设备进行调试,这样不仅加快了网络设备端口的损坏速度,同时也影响学生的正常实训。而且每个班级学生实训完成后,还需要安排专门时间进行设备配置清除,占用了教师大量时间,老师指导实训时间很紧,无法有效地指导学生实训。
(三)实训设备无法赶上新技术发展,影响学生就业竞争力的提高
目前学校的网络实训室只能为学生提供基本的路由、交换的网络实验,当前网络技术在飞速发展,像安全、无线、语音等通讯技术的广泛应用,在就业竞争日益加剧的情况下,学生没有掌握到当今网络的主流技术,势必会影响到学生的就业竞争力。
(四)实训室的开放性不好,无法为学生的实习提供良好的平台
由于实训室的设备管理不到位,只能勉强保障专业实训要求,无法在课余时间向学生开放使用。实训室的构架固定,无法满足学生自己进行设计网络架构,模拟大型的网络环境来进行网络实训的需要。学生必须花费更多时间到校外去实训,花费大量的人力物力,还影响了学生实践能力的提升。
由此可见,要满足计算机网络专业学生的职业能力培养,必须改造现有网络实训室,引入新技术,构建一个开放性良好,可高效管理的网络实训室。
二、高职网络实训室建设目标
为了满足高职院校计算机网络技术专业实训要求,网络实训室总体设计应实现五个方面的完备,即实训类型的完备、实训模拟情境的完备、实训功能的完备、实训布局的完备、使用效益的完备。
实训类型的完备是指实训室可完成网络科研实验、网络教学实训和网络培训三种类型网络实训实验。实训模拟情境的完备是要求在网络实训室的构建中,要能够模拟局域网、校园网、大中型园区网及广域网等组网方式,并可构建相关的网络应用。实训功能的完备是要求实训室能构建网络设计、网络管理、网络应用、网络安全等实训环境,使学生通过一系列的专业实训操作,达到网络工程师职业岗位的技能要求。实训布局的完备是要求在实训室中构建包括接入层、汇聚层、核心层及广域网络接入的完整网络体系,并给学生提供完整的实训环境。使用效益的完备是要求实训室设计时充分考虑教学、培训、技能鉴定、科研四位一体的功能,实现实训资源的最大化利用。
通过五个方面的建设,可以把网络实训室建成为实训功能完善、组网方式多样化、使用效益良好的网络实训室,既满足校内计算机网络技术专业实训教学,也可面向全校学生及社会开放培训使用,成为学校计算机网络人才培养与培训基地。
三、网络实训室建设方案
(一)网络实训室拓扑图
为构建一个开放性良好、可高效管理的网络实训室,引入了国内星网锐捷网络公司的RACK实验台,并以此作为组建网络实训室的实训单元,从而实现对网络实训室的设备统一管理。笔者所在的广西职业技术学院原已建有网络实训室,但设备技术水平无法很好满足当前网络实训教学要求,最为关键的是由于无法对实训室的设备进行统一管理,严重影响了实训教学的效率。为此,学校决定在原有网络实训室的基础之上,引入RACK及对新型网络设备进行了升级改造,改造后的实训室网络拓扑图如图1所示。
整个实训室布局由教师机区域、学生机区域和实验台区域三个部分组成,各区域设备通过实训室内部局域网相互连接。教师机区域主要供教师教学使用设备,可借助PC直接访问控制实验台区域的任一组设备;学生机区域则由多组学生实训PC组成,每组由4-6台PC组成,学生通过PC可访问指定实验台区域的网络设备;实验台区域以RACK实验台为核心组建多组网络实训单元,每个区域设备均接入访问控制服务器(RCMS),实现网络拓扑动态调整和实验室设备统一管理。同时实训室还扩展了三层交换机、路由器、安全设备、无线网络设备、语音控制设备等,使实训室升级为功能强大、实训内容丰富的综合性网络实训室。
(二)网络实训单元的功能
网络实训室的每一个网络实训单元都是由RACK(实验台)构成,每个RACK又是以一台访问控制管理服务器(RCMS)为核心连接相应的网络设备组成的,因此RACK实施管理主要就是依靠RCMS来完成的。根据网络实训单元的不同实训功能要求,可以RCMS为中心连接不同网络设备,形成不同的设备组合,从而实现不同设备组网方式。网络实训单元要完成不同的网络实训,就是依靠RCMS控制相关的网络实训设备来完成指导的实训功能的。一般来说,一个实训单元可供4-10人同时实训,一个实训室可由4-10个实训单元组成,因此组建的实训室可满足40人实训教学与培训的要求。
网络实训单元的标准配置由2台二层安全接入交换机、2台三层交换机、4台模块化的路由器以及一台RCMS组成。在网络实训单元应用中,只要准确连接好各网络设备并正确配置RCMS,学生就可以通过WEB方式登陆RCMS,然后十分方便地配置接定的任何一台网络设备,而不需要插拔控制线和网络线。这种管理方式,既提高使用效率,也可以减少因线缆插拔而引起的损坏。网络实训单元在标准配置的基础之上,还可以增加无线网、安全和语音实验模块,从而使实训室可完成交换机、路由器、无线网、安全和语音的综合实训内容,为学生实训构建良好的环境。
(三)RCMS的实训管理应用
RCMS具有远程登陆管理、“一键清除”、多种登陆权限管理的三大功能,从而有效地解决学生实训插拔网线带来的设备损坏,教师清除实训设备配置花费时间多等常见难题,使实训室具有良好开放性和高可管理性。
1.RCMS的远程登陆管理功能
原有的网络实训过程中,学生必须通过串口线直接连接网络设备才能配置设备,因此就无法避免网络设备线缆的插拔。有了RCMS后,所有配置线缆及网络线均不需要插拔,学生可直接通过WEB方式方便登陆到RCMS设备上,就可以看到如图2所示网络设备的远程配置管理界面。该界面上显示了RCMS连接的所有网络设备,要使用某一个设备就直接点击设备相应图标,就可以登录到相应设备上。如果某一设备已被其他用户登录使用,则该设备图标就成为灰色,并且不能点击使用。由此可见,借助RCMS不仅能方便地组建各式各样的网络,还可以轻松配置网络。
2. RCMS的“一键清除”功能
原有网络实训室因缺乏统一的网络设备管理系统,因此实训设备配置的清除成为教师一个费时费力的工作,直接影响到实训室的开出率和教师的教学投入时间。实训室配置RCMS以后,所有网络设备可以做到统一管理。教师登录RCMS后,只需要执行一条专用指令就可以清除所有连接在RCMS上的网络设备的配置信息。RCMS的“一键清除”功能极大地减轻了教师维护网络实训的工作量,学生做完网络实训后,便可以快速地清除学生在网络设备上的配置信息,为下一组学生提供一个干净的环境。
3.RCMS的多种登陆权限管理功能
由于网络实训室具有良好的开放性,为了保障网络实训教学、管理的正常进行,必须对网络设备操作进行权限控制。RCMS提供了不同的用户访问权限,设置了学生和教师管理两种用户权限,只有教师管理员才可对RCMS进行配置管理,可以避免学生对网络设备乱操作。RCMS还可为连接的所有设备接口设置不同口令,使用者只有输入正确的口令,才可以连接使用相应网络设备,这样可对不同分组学生访问设备进行有效控制。RCMS还可为使用者的PC分配不同权限,只有通过认证的PC才可以登录使用设备,也对RCMS上的每个接口进行单独授权管理。
(四)网络实训教学内容设计
计算机网络组网应用具有多样性和复杂性,为了让学生在网络实训室中模拟真实的网络组网应用,必须针对性地设计一系列网络实训教学内容。笔者根据星网锐捷网络公司网络工程师认证培训标准,结合学校实际,设计了11种类型、50多种实训项目。整个实训教学内容主要分为五大模块,即基础实训、组网实训、出口配置实训、专项拓展实训、综合实训。基础实训主要包括设备连接、交换机配置、路由器配置;组网实训包括局域网组网、园区网组网、广域网组网、无线网组网实训;出口配置实训包括VPN配置、NAT配置等;专项拓展包括VOIP语音实训、网络安全实训、IPV6技术等;综合实训包括中小型企业网、大型网络、广域网、VPN拔号组网等项目实训。
【参考文献】
[关键词]计算机;网络管理员;信息技术
doi:10.3969/j.issn.1673 - 0194.2016.14.107
[中图分类号]TP393 [文献标识码]A [文章编号]1673-0194(2016)14-0-01
1 网络管理员承担的主要工作
网络管理人员主要承担网络的构建、维护及服务3个方面的工作。其中网络构建包括建设网络、规划网络、组建局域网、新增网络设备、升级网络设备等;网络的维护包括检测网络故障、维修计算机软硬件、确保网络环境安全等;网络服务包括远程登录,文件传输,电子邮件,资源共享,数据库服务器、路由器和交换机的设置、即时通讯(IM)软件的设置。网络管理员在工作过程中必须注意以下几点。
1.1 网络设备的管理
这主要是指对路由器、交换机、硬件防火墙及其网络线路的管理,对设备的配置数据信息以书面或者电子文档的形式进行归档存储。局域网正常运行的前提是网络设备的正常工作,因此网络管理员需要掌握网络设备的基本知识,了解设备之间的数据传输机制,例如:产生网络故障,能快速解决网络故障问题。
1.2 服务器的配置
服务器配置是指根据实际需求,对安装有服务器操作系统的设备进行软件或者硬件的相应设置、操作,从而满足业务活动的需求。服务器为网络用户提供重要数据存储、信息、访问及数据管理等服务。而这些服务功能是通过Web服务器、FTP服务器、Samba服务器、DNS服务器、EMAIL邮件服务器、数据库服务器来实现的,因此,网络管理员必须掌握这些服务器的安装和配置方法。
1.3 网络资源及其用户名的管理
网络资源主要包含IP地址、域名、硬盘等资源,管理员需要对病毒库及时进行更新升级,以保证网络安全;用户管理实际上就是添加用户或者删除用户,并授予用户相应的访问权,对他们分配级别不同的资源,并保障网络安全。
1.4 数据的备份
网络一旦有故障发生,往往会导致整个网络系统崩溃、信息数据丢失等,所以,对路由器、交换机、服务器资源进行数据备份是必不可少的一个步骤。网络一旦发生故障,可以通过备份数据方式及时恢复信息数据,在最大程度上降低损失,这也是防止主动型信息攻击的最后一道防线。
2 网络管理员应具备的素质
保管网络设备,安装、配置和调试网络设备,确保局域网在安全、稳定的网络环境中运行,合理运用网络管理软件,这些是考验网络管理员综合素质的重要方面。
2.1 硬件知识
网络管理员必须了解网络设备硬件的相关知识,例如:计算机的硬件、打印机、网络适配器、网线、网卡、路由器、交换机、硬件防火墙等网络设备的使用技术和调试管理知识。此外,还要了解网络设备的管理机制,保证网络正常的运行状态,根据故障的现象找到故障设备,及时进行修理或更换。除此之外,网络管理员也要掌握网络硬件设备在调试过程中需要用到一些命令语句,以便配置好网络设备。
2.2 软件知识
第一,管理员需要了解服务器操作系统、数据库系统的安装方法以及配置方法,数据备份与灾难恢复技术,应用软件、防火墙、杀毒软件的安装和配置方法。第二,掌握专门网络管理软件来排查故障、管理用户账户及权限、监控整个网络的运行情况等。第三,安装杀毒软件和入侵检测系统并开启系统的Update自动更新功能,限制服务器的端口开放,这是确保数据安全方面有效措施之一。
2.3 动手实践操作和工作方法
动手操作是网络管理员必备的技能,如组建网络时,网络设备的连接、网络的搭建、主机和路由器的设置、综合布线等都需要动手操作。请记住,在动手操作之前,事先应认真阅读说明手册,明确操作步骤要领,力争做到准确无误。在处理故障时,先分析故障的大概原因并写出解决方案后,再进行维护,这样会提高维护的质量,使工作更有条理。
3 提高网络管理员个人基本能力的方法
网络技术的迅速发展,对网络管理员的知识更新提出了更高的要求。网络管理员必须注意个人基本能力的提高。
第一,坚持阅读学习,更新网络知识。只有掌握大量的计算机专业词汇,才能流畅地阅读原版的白皮书和技术资料。同时,有些网络设备的说明书也涉及英文,掌握基础的计算机专业词汇,对网络设备的使用有很大帮助。
第二,要有良好的语言表达能力。网络管理员不仅仅限于技术方面的工作,作为服务人员平时与领导、同事及厂商的沟通交流是常事,具备有良好的语言表达能力,可以提高自己的工作效率。
第三,要有吃苦耐劳的精神。网络管理的岗位工作,是随时要加班加点的,因此,管理员必须具备有奉献的精神,能够吃苦,时刻保障网络的正常运转。
第四,要有团体协作精神。团队协作能力是做好工作的基本素质,网络管理员应与其他员工形成团队的力量,具有基本的协作能力,在工作中能够做到及时协调沟通。
4 结 语
网络管理员的基本技能要求就是大而全,不一定要精通,但要全面掌握。一个合格的网络管理员要在网络构建、网络故障维修、网络信息服务等方面具备扎实的理论知识和实际操作能力,才能在工作中得心应手,游刃有余。
【关键词】 SDN 网络架构 可靠性 可用性 策略
一、背景
随着互联网和移动互联网的高速发展,网络的灵活性和敏捷性要求更高,现有的传统分布式IP网络的局限性日益突显,主要表现为:
1.网络刚性。网络设备大量由单一功能的专用设备构成,造成网络复杂、无法协同、缺乏灵活性等弊端。
2.网元封闭。硬件和软件一体化的封闭结构,导致设备扩展性差、价格昂贵、不同厂家的网元互通困难。
3.业务僵硬。不同厂家的网元设备功能单一封闭,新业务开发周期长、成本高,难以满足快速灵活提供业务的要求。
4.运营复杂。大量厂家的各类专用设备以及相关的协议众多,网络规划复杂,整合难度高,运营复杂,造成运营成本居高不下。
多年来积累的问题已经使得今天的IP网络患有“动脉硬化症”,网络架构重构迫在眉睫。2006年,SDN概念于是应运而生。
SDN(Software Defined Network)即软件定义网络,是一种开放灵活和可持续演进的新型网络架构,采用软件化、虚拟化的“分离”方法,将现有传统的分布式网络架构进行重构,让网络中的控制面和数据转发面进行分离,由传统分布控制向集中控制的网络转变。
关于SDN网络架构,不同的组织有不同的定义,当前较为主流的是开放网络基金会ONF(Open Networking Foundation)对SDN分层架构的定义,如图1所示。
该分层架构模型得到了产业界的广泛认可和推广使用。
SDN的核心是“S”即软件,也就是网络不再是“硬”的,固化封闭的,难以扩展的,而是可以通过软件程序实现灵活的新I务开发和部署,网络资源可以灵活调度,使得网络作为一个管道变得更加智能和弹性可用,较好地解决运营商现有网络运营的痛点,因此,SDN概念一经提出,就受到了运营商的青睐和积极响应。2014年以来,随着SDN技术的逐步成熟,国内运营商开始进行局部试点商用。
二、传统分布式IP网络和SDN网络架构分析
SDN是对运营商现有网络架构进行重构,重构后的网络是否能够稳定运行,是否出了故障能及时恢复,是否能达到或接近传统分布式IP网络的可靠性可用性要求,是运营商关注的重点之一。
2.1可靠性、可用性
网络的可靠性使用网络运行阶段平均业务失效故障间隔时间来描述,用无故障运行时间来衡量。网络的可用性使用网络稳定不出现故障的时间与总的时间的百分比来表示。
从通俗的角度来理解,可靠性高是指网络持续一段较长时间(如一年或两年)运行稳定,不出现业务失效的故障;可用性高是指网络稳定运行不易出现故障,并且一旦出现故障能够快速恢复。
要提升网络的可靠性和可用性,通常采用冗错技术来实现,也就是在网络设计中增加冗余资源,避免单点故障造成业务失效。
2.2传统分布式IP网络基本架构分析
传统分布式IP网络的基本架构如图2所示,分为管理平面、控制平面和数据平面。管理平面为网管系统,负责网络监控和业务配置,当业务配置下发后即使脱网也不影响网络的正常运转。控制平面和数据平面由路由器等设备组成,路由器负责按路由表转发数据包,采用IGP和BGP两种核心分布式动态路由协议,当网管把业务配置上传到路由器后,如果网络状态发生变化,控制平面即路由器会在网络中自动扩散这些变化,各自根据新的状态自动重新计算路由,全网采用冗余路由技术和路由快速收敛技术,当故障发生时能够在秒级时间内使受到影响的业务得以恢复,网络具有故障快速自愈能力。
2.3 SDN网络基本架构分析
SDN网络的基本架构如下图3所示,分为应用层、控制层、基础设施层。应用层由各类商业应用软件程序组成,通过北向接口向控制器提交各种网络应用;控制层由SDN控制器组成,它是整个网络的控制中心和指挥中心,是整个网络的“大脑”,拥有全局网络视图,负责实时采集全网设备状态、网络拓扑和各链路流量,生成流表并通过南向接口下发给网络设备,同时根据网络状态变化或应用层提交的功能更改重新生成流表并下发;基础设施层由网络设备和线路组成,一方面负责接收控制器下发的流表并按之进行数据包转发,另一方面负责将网络资源信息和状态上报给SDN控制器,是执行单元,本身不做决策。
从SDN网络的架构来看,SDN控制器作为网络的“大脑”是关键部位,成为单点故障引发全网故障的风险点。
2.4两种架构的可靠性可用性比较
从传统分布式IP网络和SDN网络的基本架构来看,传统分布式IP网络的控制功能是分布式的,任何一个单点故障发生时网络具有快速自愈能力,而SDN网络的控制功能全部集中在SDN控制器,有单点故障引发所有业务失效风险,因此,传统分布式IP网络的可靠性和可用性较高,但是,SDN具有简化网络、快速业务开发和部署、低成本等核心价值,值得研究对策,让SDN网络可用。
三、提升SDN网络可靠性可用性的策略
可靠性和可用性是基于网络故障来考虑的,如果能够识别出各层可能发生的故障及对网络的影响程度,拿出应对策略,避免网络因单点故障而瘫痪。
从SDN网络架构来看,各层可能出现的故障如下:
应用层
设备方面:服务器故障、应用程序故障、服务器所在机房出现断电等故障。
链路方面:服务器与SDN控制器的通信链路故障。
安全方面:非法侵入等。
控制层
设备方面:服务器故障、SDN控制器软件故障、服务器所在机楼出现坍塌等故障。
链路方面:SDN控制器和网络设备之间的链路故障。
安全方面:非法接入或受DDOS攻击等。
基础设施层
设备方面:网络设备故障。
链路方面:网络设备之间的链路故障。
安全方面:非法侵入等。
针对以上各层可能出现的故障,以及各层在网络中的重要程度,权衡成本投入以及可接受的可靠性、可用性等因素采取以下的应对策略:
3.1应用层的应对策略
应用层的设备方面故障对网络的运行影响并不大,当应用需求通过北向接口提交给控制器,由控制器生成相关的业务逻辑变成相关流表下发给网络设备执行,此后,应用程序的服务器即使出现脱网等故障也暂时不会影响网络的运行。因此,用层的服务器、应用程序采用冷备份冗余设计,考虑到机房安全问题,在异地机楼部署冷备份系统。当主用系统出现异常时切换到冷备份系统上运行。
防范链路方面的故障,可采用一条主链路和一条备用链路。由于与应用程序通信的外部设备是可知的,因此,防范安全方面造成的故障,采取对连接的设备进行白名单设置并进行严格的身份认证。
3.2控制层的应对策略
SDN控制器是网络的控制中心和指挥中心,一旦SDN控制器无法提供服务,假设基础设施层的网络没有发生变化,网络设备仍按原有的流表进行转发,不影响网络运行,但是此时基础设施层的网络拓扑如果发生变化,没有SDN控制器重新计算路由生成新的转发流表,对网络的运行就会造成重大影响。因此,控制层健壮性设计非常关键。
防范设备方面的故障,采取SDN控制器异地机楼的热备份设计显得尤为重要,承载SDN控制器软件的服务器采用云化虚拟机集群,这些虚拟机独占物理设备不与其他用户分享,软件采用分布式部署,主用控制器和备份控制器同时运行,都在处理业务,是负载均担关系,因此具有超强的自愈能力来应对单台或多台服务器故障,冗余保护措施在故障情况下自动生效,对外服务不中断,故障服务器修复后重新上线,系统自动平衡工作负载。
控制器和网络设备之间的通信链路如果中断导致控制器无法控制网络,会造成重大影响,为了防范链路故障的影响,应采用控制器通过多条链路连接到网络设备,采取带外专门的链路通道,辅以带内控制通道作为冗余链路,使得任何一条链路故障,都不影响控制器与网络设备的通信。
为防范非法接入或受DDOS攻击,应采取在SDN控制器和网络边界处部署防火墙、入侵检测设备以及流量清洗系统。通过防火墙和入侵检测设备进行访问控制、病毒木马防治、非法入侵检测、安全漏洞扫描等,采取只对特定的IP地址提供服务并按需开放端口原则,阻断非法IP接入或攻击;通过清洗系统对进出控制器的流量进行分析,一旦发现非法攻击流量,立即引导非法流量到清洗部件。
3.3基础设施层的应对策略
基础设施层的网络设备或链路故障,会造成部分业务中断,故障发生后,SDN控制器会根据网络变化情况,重新进行路由计算并生成新的流表下发给在线运行的网络设备,实现网络收敛。在设计网络节点时采用传统的设备冗余、链路冗余技术,部署IP FRR快速重路由,一旦节点故障发生,网络设备在没有控制器控制下也能自动完成路径切换。适当加大资源冗余度,以轻载为主,链路带宽利用率控制在50%以下。防范非法侵入网络设备产生的故障,采取管理控制网络与公网隔离,对远程登录进行严格设置和身份认证。
四、SDN可靠性可用性策略在实际网络部署中的应用
中国电信广西公司从2014年以来,积极推进SDN网络的试点工作,在实际SDN试点网络部署中综合考虑以上可靠性可用性策略,采用如图4的方式部署:
应用层和控制层的软件使用云资源池分配的虚拟机来承载,同时在异地机楼云资源池上部署备用系统。应用层和控制层的虚拟机各自独占一个VLAN与云资源池中的其它网络进行隔离。这些虚拟机独占物理设备不与其他用户分享。SDN控制器采用热备份部署。
SDN控制器与网络设备的通信链路,采用带外管理控制网络和带内控制通道相结合的方式。
基础设施层采用设备、链路冗余配置。
在控制层部署防火墙、入侵检测设备和流量清洗系统,保障SDN控制器的安全。
通过在SDN试点网络进行了专线业务开通、业务流量优化、新业务开发和部署、模拟攻击、设备主备倒换等一系列实验,各项业务功能达到了预期效果,网络可靠性可用性也达到商用的要求。
五、结束语
SDN网络架构具有传统网络无可比拟的优势,虽然SDN网络的可靠性可用性相对于传统分布式IP网络而言,还有一些差距,但是可以通过以上的策略来提升SDN网络的可靠性可用性,从而使SDN网络达到可商用的目的。
参 考 文 献
[1]闫长江,吴东君,熊怡 .SDN原理解析―转控分离的SDN架构[M].北京:人民邮电出版社,2016
[2]刘文懋,裘晓峰,王翔 .软件定义安全:SDN/NFV新型网络的安全揭秘[M].北京:机械工业出版社,2016
关键词:可靠性;计算机网络;安全性;方法
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 14-0059-01
计算机网络的可靠性概念最早是在上世纪70年代出现,它具体是指计算机在给定的时间以及特定的环境内,保证所有业务可靠完成。计算机网络可靠性的决定因素有给定时间、特定环境以及业务完成能力,计算机网络可靠性可以对网络运行能力作有效反应,在此基础上实现网络的安全运行。当今人们生产生活对于网络依赖的程度进一步加高,网络的可靠性尤为重要。
一、计算机网络可靠性的影响因素
(一)计算机网络设备的因素。网络设备是直接面向用户的设备,是影响网络可靠性的最主要因素。对网络设备的日常维护就是对客户终端可靠性的保证,网络设备的交互连接能力越好,计算机网络的可靠性就越高。此外,传输设备是计算机信息的重要工具,承担着数据信号的接收和传输,在一定程度上保证着网络的畅通,对网络可靠性影响也比较大。
(二)网络管理因素。虽然计算机网络在近年得到了快速的发展,但是黑客的入侵手段也在不断的进行着更新,新的安全问题不断涌现,严重影响着计算机网络的可靠性。与此同时,计算机网路系统多缺乏有效的监视措施,不能对网络的安全性进行及时的分析和评估,黑客通过系统漏洞很容易侵入计算机内部,影响着网络的安全与可靠性。
(三)网络结构因素。计算机网络中的各部件连接通常都是拓扑结构,拓扑结构是网络内各个站点之间连接的形式,也就是指工作站、文件服务器和电缆的连接形式。拓扑结构是分析网络各种故障的前提,还是保证网络安全和可靠性的重要基础。
二、网络可靠性的设计原则
计算机网络是计算机之间进行信息联系的平台和基础,计算机网络的设计关系着网络的可靠性运行和网络故障的恢复,网络安全运行必须要解决的问题就是网络的可靠性问题,计算机网络在进行设计的时候必须要坚持以下的原则。
(一)容错技术和余度设计。容错设计是指允许操作者产生一定程度的失误行为,容错系统可以容忍或吸收失误的存在,帮助操作者在已发生的错误中获取信息。而余度设计是保证安全的设计手段,余度可以分为静态余度和动态余度。采用这两种设计原则的计算机网络可以保证网络在出现故障以后不出现网络瘫痪,提高网络可靠性。
(二)新技术应用。如上所述,黑客时刻都在进行着入侵技术的升级,计算机网络要想保障用户数据的安全性和可靠性,就要不断采用新技术,确保网络能够满足业务的要求,使网络具有较长使用周期。同时,计算机网络还要对系统的造价进行考虑,实现投资的最优性价比。
(三)网络设备的使用。计算机网络设备是计算机工作的基础,性能良好和质量信誉较高的产品才能满足用户的要求和网络可靠性的各项指标。计算机网络设备最好还能实现自动或人工的维护检查工作,方便数据的维护和灰度,进而提高网络可靠性。因此,计算机网络可靠性设计既要选用性能良好的设备,还要对系统进行容错和余度的设计,保证计算机网络无论是出现故障与否,都具有良好的运行能力。
三、计算机网络可靠性的设计
计算机网络可靠性的评价指标有很多,包括了用户对服务质量的满意度、网络故障率、网络交换设备和传输设备的可靠度、网络连通率以及故障的修复时间等。计算机网络无论是在何地何时出现了故障,其损失都十分巨大,因此,对于计算机网络的可靠性要进行以下的设计。
(一)双网络的结构设计。计算机双网络的结构设计是在现有的网络基础上增加一些备用网络模式,通过冗余计算方式提高网络的相关容错性能。在双网络的结构中,一个节点连接另外两个中心节点,节点在传输数据的时候只通过一个网络,另一个网络作为备份。这样的双网络结构不仅可以实现数据的同时传输,还可以为主网络提供备份。在主网络出现故障或者是不可用的时候,备份网络可以保证数据的传输,减少了计算机网络故障对网络稳定性和可靠性的影响。
(二)网络容错性设计。主干并行和双网络中心是网络容错性的设计原则,容错性设计的步骤是通过冗余计算的方法和并行设计的方式来实现用户终端和两个计算机网络的中心点的连接,实现双网络的连接方式,提高计算机网络容错性。路由器和计算机网络相连,计算机网络线路的设计采用多路由和多线路的互通模式,由此保证了用户终端故障不影响其他网络用户的使用安全,在此基础上提高计算机网络可靠性。
(三)计算机网络体系设计。网络的可靠性首先应该由拥有良好结构的体系结构和网络层次以及先进的网络设备组成,只有运行良好的网络才能有良好的计算机网络可靠性。随着网络需求量的增加和信息技术的发展,集中式计算机网络逐渐被分布式网络取代,分层设计的网络体系模式更能适应高速网络的要求和现代网络的发展。计算机网络系统可以分为应用层、服务层、操作系统层以及物理硬件层,服务层主要是提供网络的服务,应用层是满足用户的需求,操作系统层是各种网络软件,而物理硬件层则是拓扑结构。这样的分层布局设计可以明确个层析作用,实现网络的磁通,提高网络可靠性。
四、结语
计算机技术的发展和进步使终端网络用户对计算机网络的可靠性提出了进一步的要求,提高计算机网络可靠性,增强网络对于故障的恢复能力和处理能力,保障数据的传输已经显得尤为重要。为了减少或者是避免网络故障带来的损失,有必要在网络运行中使用先进的设计方案和网络设备,提高计算机网络的整体安全性。只有进一步的发挥计算机网络的优势,避免其故障对可靠性的影响,计算机网络的应用才能得到进一步的发展。
参考文献:
[1]赵文娟,李波.计算机网络可靠性优化对策[J].科技资讯,2008,21.
[2]高景明.计算机网络可靠性的提升策略分析[J].数字技术与应用,2012,2.
1 建设第三方网络设备监控和管理的必
要性
河南电信从2008年开始建设移动软交换网络,采用中兴先进的ZXC10系统构建移动网,通过中国电信CN2网络的承载来实现省内网络的互连和业务的转发功能。河南电信一期的网络结构如图1。
中兴移动网络设备包括MSCe、HLRe、EMS等,而每套设备均由前台系统和后台系统组成。其中前台系统为中兴自己生产的标准机架设备,通过插入各种功能单板来实现接入业务的处理功能,而后台系统则是以HP服务器、Sun服务器、Cisco交换机、Cisco路由器等设备组成,后台系统负责完成系统、业务和用户数据的处理和存储,担当着重要的核心功能。以MSCe前后台的组网为例,其前后台通信均通过两台Cisco 3400交换机相连,交换机中配置不同VLAN,区别不同的业务,其中MSCe_OMP、MSCe_CIB为前台与后台通信板卡,传送网管和计费信息;MSCe网管服务器、MSCe计费服务器等为后台服务器,负责前台设备数据管理、计费数据存储等。Cisco交换机与Cisco 2811路由器相连,通过CN2(IP承载网)与其它地市设备实现互连,网管网组网结构如图2。
目前不管是中兴的专业网管系统还是综合网管系统,都只能对中兴前台系统(也就是中兴自己的产品)和后台服务器上自身的软件进行监控;而对于后台组网的服务器、路由器和以太网交换机等设备,由于是采用第三方厂家的设备,中兴公司并没有提供对这些设备的硬件、性能等有效和全面的监控和管理手段,这就给日常维护埋下了较大的安全隐患。对于一个电信级业务运营商来说,网络监控手段的缺失是致命的,一旦这些盲区内的设备出现故障,很可能会因为无法及时发现而导致故障处理不及时,将会对运营商在全省的口碑、市场发展带来很大影响。因此,扫除网络盲区,完善网络管理,建设第三方网络设备监控和管理系统(以下简称第三方网管系统)就迫在眉睫。
2 第三方设备网管建设分析
2.1 网络特点
由于河南电信移动软交换网络运行在中国电信CN2网络上,CN2网络是一个公共的网络,它不但给CDMA软交换网络提供承载业务,同时也给电信公司其它业务网络(固网软交换、PDSN、DCN、计费等)提供承载业务,还面向用户提供接入服务。CN2网络通过VPN将各个业务进行隔离,以保证其安全性、专有性。对于移动软交换网络本身而言,也是通过建立专门的VPN与外网隔离,同时在网络内部通过子网划分、设置VLAN的方式,来实现网络内部信令、语音、网管、计费等网络的相互隔离,达到电信级运营网络的高可靠、高安全级别的网络运行。
由于移动网络的IP化,设备直接出IP口,摆脱了网管地域化、线缆专用化的束缚,传统通过专用管理口进行网络管理的方式已经不再使用,只要网络通达的地方,都可以随时随地实现对网络的管理。作为电信级运营商,网管网络必须与公用互联网及其他专用网络隔离,确保网络安全性,因此,要搭建第三方网管系统,就必须了解河南电信移动网网管网络的架构。中兴网管使用的IP地址包含3类:一类为CN2地址,这些地址是中兴内部组网的路由器、OMMServer网管系统使用的,通过在PE路由器上配置路由,实现全省CN2网内的互通;一类为DCN地址,这些地址是计费网络设备使用的,由于计费网络的高安全性要求,在CN2网内不能与其它网络互通;还有一类为中兴内部网络设备地址,这些地址是HP服务器、以太网交换机等使用的,是为了中兴内部组网、网络管理,不需要与外部互通。
2.2 第三方网管建设需求
要实现第三方网络设备的监控和管理,就需要建设一套网管系统,通过对河南电信移动网络的网络结构的分析和了解,可以得出建设网管需要满足的一些条件:
(1)设立一套第三方网络设备信息采集设备,通过该设备可以采集到所需的各种信息(告警、性能、配置等);
(2)第三方网络设备信息采集系统可以访问到各个需要管理和信息采集的第三方网络系统;
(3)针对被监控设备类型的不同,需要打开各种设备的被管协议,以便第三方网络设备信息采集设备的正常采集信息;
(4)提出第三方网管系统需要实现和满足的各类功能与需求;
(5)由于移动核心网部分被管第三方设备与外界不能互通,需要解决信息采集问题。
2.3 第三方网管建设可行性分析
针对以上条件,建设一套符合电信网络维护要求的第三方设备网管系统,下面为可行性分析。
(1)网络设备信息采集系统
由于被采集设备包括HP服务器、Sun服务器、以太网交换机、路由器,这些设备均为网络设备,支持信息采集功能,只要选择合适的采集系统即可,建议采用专用的服务器,譬如Sun、HP、IBM等生产的服务器。
(2)采集机与被采设备的网络互通
前面已经说过,中兴网络设备包含3类地址,CN2网管地址省内已经实现互通,但计费地址(计费服务器)和中兴内部网络设备地址(HP刀片机、以太网交换机等)不与外部网络互通,只能在本地局域网内访问。根据这种现状,可以将采集机放在CN2网管网内,在省中心集中放置一套数据采集机,用于采集全省移动网第三方设备信息。
对于如何实现采集机和各个地市计费设备、中兴内部网络设备互通问题,可以有两种方法:一种是采集机到各个专有网络建立物理连接,实现采集机到专有网络的直接互通。由于需要与17个地市的网络互通,这种方式投资量很大,需要在采集机上增加多网卡,增加所需的路由器、以太网交换机设备,还要占用省内传输资源等,不可取;另外一种方法就是布置,由于中兴网管服务器上配置有多网卡,同时配置有CN2地址、计费地址和DCN地址,这就可以在中兴网管机上布置,通过网管机跳转来访问这些专有网络设备,采集到所需的信息。
(3)不同类型设备需打开的被管协议
对于服务器使用Windows操作系统的,可采用WMI服务取得监控信息;对于服务器使用Solaris操作系统的,可采用SSH/Telnet获取监控信息;对于中兴网的专有网络设备,通过在中兴网管服务器OMMServer上安装DMS(工具),对处于中兴网内的网络设备(采用SNMP协议取值)和服务器(采用WMI或SSH/Telnet取值)进行监控信息的采集与处理,处理后的数据汇总到采集服务器进行集中监控管理。
(4)网管系统需要实现的功能和需求
第三方网管应能满足的基本功能和需求包括:
1)实现设备的实时告警信息采集和呈现;
2)实现对设备内存、CPU、硬盘空间的动态采集;
3)实现分权分域管理;
4)实现各类事件的汇总、报告。
通过以上分析,可以得出结论:在河南电信移动网内建设一套第三方网管系统是可行的。
图3是第三方网管系统在移动网络中的部署架构。
3 网管建设及应用
根据监控设备的数量(全网大约有160台设备)和网管功能需求,采购了IBM System X3850 X5服务器作为数据采集和处理设备,基本配置:RAM 16G,硬盘600G,CPU双核Intel Xeon E7520。
数据处理服务器放置于移动核心网机房,通过网线接入移动核心网的CN2网管网中,实现与移动网管服务器的互通。
在17个地市的中兴网管服务器上布置软件,数据处理服务器可以通过中兴网管服务器访问DCN网内计费服务器、中兴网络内部局域网的服务器、Cisco以太网交换机、HP以太网交换机等,实现全部网元的监控。
在实施阶段,通过在网络设备(路由器、交换机)上开启SNMP服务,并设置共同体名及访问权限;在运行Windows系统的服务器启动WMI服务,并设置防火墙允许WMI访问(默认135、445端口)和ping操作。在运行Solaris的服务器上开启防火墙,需要允许SSH(端口号:22)、telnet(端口号:23)的访问,确保数据采集机能够获取到各种类型网络设备、服务器的数据。
在建设和试用阶段,又对网管各项功能提出改善要求与建议,建设的第三方网管系统逐渐成为维护中的一个重要维护工具,发挥着越来越重要的作用。
参考文献:
[1] 中国电信股份有限公司河南分公司. 河南电信C网第三方设备网管系统技术规范书[Z].
【关键词】企业内网 安全风险 防范措施
1 企业内网安全的重要性
互联网全面渗透到经济社会的各个领域,对企业生产经营活动产生了举足轻重的作用。企业网络常采用路由器、防火墙、VPN、IDS、等众多设备布置在网络入口,在管控网络边界方面的工作比较重视,在内网安全方面的重视度往往做的不如前者。
随着企业发展的需求,内部网络越来越复杂,系统应用越来越多,一旦内网有不可控设备故障、病毒、、破坏以及断网等事件的发生,将会对企业的生产经营造成严重的后果。正是如此,企业内网安全的重要性也尤显突出。
2 企业内网目前存在的安全风险与防范措施
针对典型的企业内网结构现状,将从网络设备、机房设施、管理制度、系统应用及桌面终端五个方面分析内网安全风险与防范措施。
2.1 网络设备安全风险与防范措施
(1)常用网络设备包括:服务器、防火墙、路由器、交换机;存储、行为管理、入侵检测设备等。众多的网络设备都需要设置管理员用户与口令。而现实中管理员为了方便管理,存在使用简单密码、多个设备使用相同密码及长期不修改密码的现象,使服务器及其它网络设备处在不安全状态。
防范措施:制定网络安全员口令管理制度,严禁使用弱口令,要求口令长度不小于8位,且必须由大写、小写字母与数字共同组成,严禁使用重复或连续的字母与数字;不同的设备设立不同的密码,对密码加以时效性。
(2)网络设备硬件故障安全风险。防范措施:资金条件宽裕,尽量配备冗余设备;若无法配备冗余设备时,要制定相关紧急预案,并定期按照预案内容进行演练,以提高应对突发事件时的工作效率,保障网络设备快速恢复正常运行。
2.2 机房设施的安全风险与防范措施
网络机房是企业网络的核心部位,达标机房的建设也是一项庞大的系统工程,其中UPS供电、空调、自动防灭火报警、防静电及应急照明系统是最基本的组成部分。这里简要说一下这几个系统普遍存在的安全风险。
2.2.1 UPS供电系统安全风险
机房市电供电长期稳定,UPS系统存在不能单独放电现象;电池组长期使用,部分电池接线柱出现腐蚀不容易被发现或忽视此现象。
防范措施:定期断开UPS系统的市电,让UPS单独处在放电状态,同时记录系统放电时间情况,做到心中有数;定期对电池组接线柱及外观进行检查并形成记录日志,发现问题及时处理或上报。
2.2.2 空调系统安全风险
机房空调为专用空调,需7X24小时不间断工作,一旦空调中断,网络设备产生的热量在短时间足以使其工作性能降低或宕机;或有部分小型机房使用普通空调,无法做到断电自启功能,若有短时断电现象出现,网络设备将因机房温度过高存在宕机风险。
防范措施:定期对机房空调做好保养工作,尤其在夏季来临前做好室外机散热器与室内过滤网除尘工作,保障空调设备正常工作;对普通空调加装断电自动启动模块,确保来电后空调自动启动。
2.2.3 自动防灭火报警系统安全风险
机房自动防灭火报警系统很少启用,随着使用时间增长,部分设备达到或接近失效期,如灭火压力装置、报警感应装置等,一旦启用时发现失效则为时已晚。
防范措施:按设备说明书定期进行检测、检验与保养,做好设备检测记录,发现失效部件及时更换,不留后患。
2.2.4 防静电系统安全风险
防静电系统中金属接线部位随时间变化会产生氧化现象,电阻值会升高,再加以机房湿度过低,导致防静电系统成一摆设。
防范措施:使用摇表定期对地线阻值进行达标测量,形成记录文件。在北方冬季期间加强监测频次,减少静电导致设备故障的风险。
2.2.5 应急照明系统安全风险
机房应急照明系统由于市电线路正常,也会存在过充电现象。
防范措施:定期进行人为放电,测试并记录照明时长,以满足市电中断时机房照明亮度与照明时长的要求。
2.3 管理制度存在安全风险与整改措施
常说 “三分技术,七分管理”,由于管理制度上的不完善、人员责任心差而导致的网络安全事件层出不穷。另一方面执行意识差,造成“有章不循”,流于形式、成为摆设。
防范措施:企业信息管理部配备上网行为管理设备,规范员工网上行;同时制定适合本企业的网络安全制度,对执行力度采取奖罚措施,使“技术+管理”的方案得到全面落实。
2.4 系统应用存在安全风险与整改措施
应用服务器中超级管理员及应用系统用户存在弱口令现象、操作人员误操作、计算机病毒及网络黑客入侵、系统应用数据的不安全因素都会对内网安全产生较大影响。
防范措施:从系统应用中设置禁止使用弱口令,加强专业技能培训、应用服务器安装防病毒程序、关闭无用的服务与端口、关闭不必要的共享,重要数据采取进行定期备份与异地备份的措施。
2.5 桌面终端存在安全风险与防范措施
终端操作系统安全配置不健全、存在系统漏洞,或计算机受病毒感染导致数据泄露以及局域网受arp攻击;终端用户对数据安全意识不足,部分桌面终端“带毒”、“带马”运行;不良好的操作习惯,如重要数据文件长时间存放桌面、C盘或只用U盘保存;共享重要数据文件或目录等现象。
防范措施:对终端用户计算机设备安装病毒木马防护软件,定期修补系统漏洞;通过培训或讲解提高终端用户计算机操作水平与技能,进而提高安全防范意识,对于系统出现异常情况要及时反馈给信息管理部门;建立良了好的计算机使用习惯,重要数据要有备份,关闭计算机不必要的共享目录或对共享目录按读写权限设定复杂密码。
1.1企业信息安全管理的隐患
信息安全管理涉及油田生产、数据保存、办公区域保护等多个层面,在信息化时代,油田企业需要加强信息化网络安全管理。现阶段,油田企业信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏细化、具体化的网络安全措施,针对员工不合理使用信息设备、网络的惩罚机制不健全。②部分管理人员和员工信息素养较低,如他们不能全面掌握部分软件的功能,不重视企业网络使用规范,且存在随意访问网站,随意下载文件的现象,增加企业网络负担,影响网络安全。③信息系统管理员缺乏严格的管理理念。石油企业信息网络系统都设有管理员岗位,负责企业内部网络软硬件的配备与管理,但现阶段,该职位员工缺乏严格的管理理念,不能及时发现和解决信息安全隐患。④为方便员工使用移动终端设备办公上网,石油企业办公区域也设置了无线路由器。但是,员工自身的手机等设备存在很多不安全因素,会影响企业网络安全性。
1.2病毒入侵与软件漏洞
网络病毒入侵通常是通过访问网站、下载文件和使用等途径传播,员工如果访问不法链接或下载来源不明的文件,可能会导致病毒入侵,危害信息安全。病毒入侵的原因主要有两方面,一方面,员工的不良行为带来病毒;另一方面,系统自身的漏洞导致病毒入侵。由此看来,油田企业信息化软件自身存在的漏洞也具有安全隐患。其中,主要包括基础软件操作系统,也包括基于操作系统运行的应用软件,如Office办公软件、CAD制图软件、社交软件、油田监控信息系统、油田企业内部邮箱、财务管理软件、人事管理软件等。
1.3网络设备的安全隐患
现阶段,油田企业网络设备也存在不安全因素,主要表现在两方面:第一,油田企业无论是办公区还是作业区,环境都较为恶劣,部分重要企业信息网络设备放置环境的温度、湿度不合理,严重影响硬件的使用寿命和性能,存在信息数据丢失的危险;第二,企业内部网络的一些关键环节尚未引入备份机制,如服务器硬盘,若单个硬盘损坏缺乏备份机制,会导致数据永久性丢失。
2提高油田企业网络安全策略
2.1加强信息安全管理
基于现阶段油田企业信息网络安全管理现状,首先,油田企业要重新制定管理机制,对各个安全隐患进行具体化、细化规范,包括员工对信息应用的日常操作规范,禁止访问不明网站和打开不明链接。其次,油田企业要强化执行力,摒除企业管理弊端,对违规操作的个人进行严厉处罚,使员工意识到信息安全的重要性,提高其防范意识和能力。再次,油田企业要招聘能力强、素质高的信息系统管理员,使其能及时发现和整改系统安全隐患。最后,对员工使用智能终端上网的现象,则建议办公区配备无线路由器的宽带与企业信息网络要完全隔离,以避免对其产生负面影响。
2.2加强对软件安全隐患和病毒的防范
(1)利用好防火墙防范技术。现阶段,油田企业的网络建设虽然引入防火墙设备,但没有合理利用。因此,油田企业要全面监管和控制外部数据,防止不法攻击,防止病毒入侵。同时,定期更新防火墙安全策略。(2)对企业数据进行有效加密与备份。对油田企业来说,大部分数据具有保密性,不可对外泄密。因此,企业不仅要做好内部权限管理,还应要求掌握关键数据的员工对数据做好加密和备份工作。在传输和保存中利用加密工具进行加密,数据的保存则需要通过物理硬盘等工具进行备份。有条件的企业,可在不同地区进行备份,以防止不可抗拒外力作用下的数据丢失。(3)合理使用杀毒软件。企业要对内部计算机和移动终端安装杀毒软件,并高效运行,以加强对病毒的防范。
2.3提升网络设备安全
(1)由于油田企业内部信息网络规模较大,设备较多且部署复杂。因此,要及时解决硬件面临的问题,定期检查维修,提高硬件设备安全性。定期检修能准确掌握网络设备的运行状况,并能及时发现潜在隐患。(2)对处于恶劣环境中的网络设备,包括防火墙、服务器、交换机、路由器等,尽量为其提供独立封闭的空间,以确保温湿度合理。
3结语