网络安全规划与设计汇总十篇
网络安全规划与设计篇(1)
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6262-03
1 概述
有别于有线网络的设备可利用线路找寻设备信息,无论是管理、安全、记录信息,比起无线网络皆较为方便,相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于,无线网络仅透过无线电波透过空气传递讯号,一旦内部架设发射讯号的仪器,在收讯可及的任一节点,都能传递无线讯号,甚至使用接收无线讯号的仪器,只要在讯号范围内,即便在围墙外,都能截取讯号信息。
因此管理无线网络安全维护比有线网络更具挑战性,有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求,本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨,以下将分别探讨无线网络传输可能产生的风险,以及减少风险产生的可能性,进而提出建议之无线网络建置规划检查项目。
2 无线网络传输风险
现今无线网络装置架设便利,简单设定后即可进行网络分享,且智能型行动装置已具备可架设热点功能以分享网络,因此皆可能出现不合法之使用者联机合法基地台,或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务,或者考虑网络存取便利性,架设无线网络基地台,皆须评估当内部使用者透过行动装置联机机关所提供之无线网络,所使用之联机传输加密机制是否合乎信息安全规范。
倘若黑客企图伪冒企业内部合法基地台提供联机时,势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台,以及非法使用者透过加密机制的弱点破解无线网络基地台,针对这2个情境加以分析其风险。
2.1 伪冒基地机风险
目前黑客的攻击常会伪冒正常的无线网络基地台(Access Point,以下简称AP),而伪冒的AP在行动装置普及的现今,可能会让用户在不知情的情况下进行联机,当连上线后,攻击者即可进行中间人攻击(Man-in-the-Middle,简称MitMAttack),取得被害人在网络上所传输的数据。情境之架构详见图1,利用伪冒AP攻击,合法使用者无法辨识联机上的AP是否合法,而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据,造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时,需考虑该类风险问题。
2.2 弱加密机制传输风险
WEP (Wired Equivalent Privacy)为一无线加密协议保护无线局域网络(Wireless LAN,以下简称WLAN)数据安全的加密机制,因WEP的设计是要提供和传统有线的局域网络相当的机密性,随着计算器运算能力提升,许多密码分析学家已经找出WEP好几个弱点,但WEP加密方式是目前仍是许多无线基地台使用的防护方式,由于WEP安全性不佳,易造成被轻易破解。
许多的无线破解工具皆已存在且纯熟,因此利用WEP认证加密之无线AP,当破解被其金钥后,即可透过该AP连接至该无线局域网络,再利用探测软件进行无线局域网络扫描,取得该无线局域网络内目前有哪些联机的装置。
当使用者使用行动装置连上不安全的网络,可能因本身行动装置设定不完全,而将弱点曝露在不安全的网络上,因此当企业允许使用者透过行动装置进行联机时,除了提醒使用者应加强自身终端安全外,更应建置安全的无线网络架构,以提供使用者使用。
3 无线网络安全架构
近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时,如何达到无线局域网络之安全,亦为重要。
3.1 企业无线局域网安全目标
企业之无线网络架构应符合无线局域网络安全目标:机密性、完整性与验证性。
机密性(Confidentiality)
无线网络安全架构应防范机密不可泄漏给未经授权之人或程序,且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被破解的方式,并可对无线网络使用进行稽核。
完整性(Integrity)
无线网络安全架构应确认办公室环境内无其它无线讯号干扰源,并保证员工无法自行架设非法无线网络存取点设备,以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者,可建立一个隔离区之无线网络,仅提供外部网际网络连路连接,并禁止存取机关内部网络。
认证性(Authentication)
建议无线网络安全架构应提供使用者及设备进行身份验证,让使用者能确保自己设备安全性,且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管,以杜絶他人(允许的访客除外)擅用机关的无线网络。
因应以上无线局域网络安全目标,应将网络区分为内部网络及一般网络等级,依其不同等级实施不同的保护措施及其应用,说明如下。
内部网络:
为网络内负责传送一般非机密性之行政资料,其系统能处理中信任度信息,并使用机关内部加密认证以定期更变密码,且加装防火墙、入侵侦测等作业。
一般网络:
主要在提供非企业内部人员或访客使用之网络系统,不与内部其它网络相连,其网络系统仅能处与基本信任度信息,并加装防火墙、入侵侦测等机制。
因此建议企业在建构无线网络架构,须将内部网络以及提供给一般使用者之一般网络区隔开,以达到无线网络安全目标,以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。
3.2内部网络安全架构
减轻无线网络风险之基础评估,应集中在四个方面:人身安全、AP位置、AP设定及安全政策。人身安全方面,须确保非企业内部使用者无法存取办公室范围内之无线内部网络,仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内,且使用者须经过适当的身份验证才允许进入,而只有企业信息管理人员允许存取并管理无线网络设备。
企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低,评估每台AP有可能造成的网络安全漏洞,可请网络工程师进行现场调查,确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力,攻击者仍有机会窃听办公室无线网络通讯,建议企业将无线网络架构放置于防火墙外,并使用高加密性VPN以保护流量通讯,此配置可降低无线网络窃听风险。
企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码,企业信息管理人员需使用复杂度高之密码以确保密码安全,并定期更换密码。企业应制定相关无线内部网络安全政策,包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。
为提供安全无线办公室环境,企业应进行使用者MAC控管,并禁用远程SNMP协议,只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥,未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络,因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。
企业应增加额外政策,要求存取无线内部网络之设备系统需进行安全性更新和升级,定期更新系统安全性更新和升级有助于降低攻击之可能性。此外,政策应规定若企业内部使用者之无线装置遗失或被盗,企业内部使用者应尽快通知企业信息管理人员,以防止该IP地址存取无线内部网络。
为达到一个安全的无线内部网络架构,建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御之策略。
考虑前述需求,本篇论文列出建构无线内部网络应具备之安全策略,并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考,详见表1。
企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险,始可进行无线内部网络架构建置。然而,尽管在风险评估上实行彻底,但无线网络环境之技术不断变化与更新,安全漏洞亦日新月异,使用者始终为安全链中最薄弱的环节,建议企业必须持续对企业内部使用者进行相关无线安全教育,以达到纵深防御之目标。
另外,企业应定期进行安全性更新和升级会议室公用网络之系统,定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构,建议企业采用IPS设备以进行无线环境之防御。
IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御策略。
4 结论
由于无线网络的存取及使用上存在相当程度的风险,更显无线局域网络的安全性之重要,本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求,有鉴于目前行动装置使用量大增,企业可能面临使用者要求开放无线网络之需求,应建立相关无线网络方案,本研究针对目前常见之无线网络风险威胁为出发,以及内部网络与外部网络使用者,针对不同安全需求强度,规划无线网络使用方案,提供作为建置参考依据,进而落实传输风险管控,加强企业网络安全强度。
参考文献:
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
网络安全规划与设计篇(2)
2 计算机网络规划设计基本原则
计算机网络规划设计具有较强的复杂性和专业性,涉及方案规划设计、实施,包括网络设备、网络软件、网络结构、硬件系统、网络安全等多方面内容,任何方面存在缺失或设计不规范,都可能带来网络安全问题,影响计算机网络正常使用,好的规划与设计方案是构建一个成功计算机网络的关键。因此,计算机网络规划设计中,必须坚持规划设计基本原则。在计算机网络规划设计中,应保持网络的先进性、实用性、扩充性、开放性,要便于维护,各节点微机和工作站都应该建立有效联接,从而组成一个高性能的计算机网络。为了保障计算机网络运行速度,保障网络稳定性,应统一调控和管理,并做好网络安全防护措施。具体规划设计应根据用户需要,考虑计算机网络使用长期目标和近期目标,明确使用需要目标,确定规划设计目标,保障计算机网络规划设计针对性。因此,要考虑到用户需要什么,如何才能满足用户需要。再根据分析,结合用户需要,确定协议集、网络规模、节点数量、覆盖范围。从先进性原则来看,计算机网络设计规划应尽可能采用先进网络技术,从而保障网络能够长时间保持先进性和可用性,避免建设后短时间内被淘汰,造成资源和成本浪费。从扩充性原则来讲,网络规划设计中应采取模块化设计思路,提高网络系统配置的灵活性,为了应对未来计算机网络应用的需要,预留合理的扩充余地,保障系统能够简单扩充新的设备,降低计算机网络改造与更新成本。从安全性原则来讲,安全是计算机网络使用的前提条件,不论广域网,还是局域网都要满足安全、可靠的基本要求。网络具有一定的开放性,易受到攻击和破坏,造成数据的损坏或丢失。若企业计算机网络受到攻击,导致商业机密丢失后果不堪设想,往往会给企业造成巨大的经济损失,保障网络安全事关重要。网络安全部件要考虑网络组件、网络节点,还要考虑通信线路、拓扑结构、应用软件等方面,确保网络安全性和保密性,应设置防火墙和防护软件,对网络安全进行控制,从而抵御外部网络攻击。从实用性原则角度来讲,是计算机网络设计规避中必须遵守的基本原则,计算机网络的建设要保障性价比,在有限的资金投入下,尽可能规划能够满足用户使用要求的网络系统和结构,压缩成本,提高实用性。另外,还要保障网络的可维护性,建立合理的问题解决方案和定期维护方案,以提高维护效率,降低故障率,避免影响网络的正常使用。在设计中只有遵循规划设计的基本原则,才能设计出高性能的网络。
3 计算机网络规划设计及实施方案
3.1 总体规划设计
通过前文的分析,不难看出做好计算机网络规划设计及实施方案的重要性和必要性。企业网络、校园网络、局域网络都要做好网络设计与规划。具体网络设计与实施中,要先考虑计算机网络通信业务需求,选取合适的网络硬件设施,以模块化组合方式,把语言、数据、图像及控制信号系统用统一的传输媒介进行规划设计,使其形成一套标准的综合布线系统,将各子系统与模块连接起来,为整个计算机网络系统提供物理介质。综合布线系统设计与实施成功与否,影响着整个网络系统的成败,影响着网络传输速度与稳定性及抗干扰能力,它是信息数据传递的通道,负责数据信息管理系统与网络硬件设备的连接,整个网络都需要依靠综合布线系统作为网络连接的物理基础。总体规划设计中,要尽可能提高综合布线系统集成度,对网络结构进行整理与优化,保障网络通用性、扩展性、灵活性,降低维护与管理成本,提高传输速率。除了要对综合布线系统进行考虑外,通信协议方面与网络管理软件方面也应进行设计。具体设计中要以国际通信标准为依据,参考11801,ISO,IEC,TIA,ANSI等标准,采用符合6类标准的布线线缆,根据配网结构进行统一规划设计,从而进一步提高计算机网络兼容性,以满足不同的网络使用要求。网络硬件方面,要选择先进的交换机、路由器、服务器,尤其是服务器的选择非常重要。IBM System x3850X6和ThinkServer RD450都有较高的性价比。IBM Systemx3850 X6采用了4U结构和SAS接口,完全能够满足各类局域网络应用需求。想要降低网络建设成本,可考虑租用云服务器。云服务器无需维护和管理,能够节省维护与管理费用。但云服务由云商运营,若云商出现问题将可能造成数据信息的泄漏或丢失,所以做好云商选择非常重要。企业应根据自身经济实力和实际使用需求选择设计方案和思路,进行合理的网络建设。
网络安全规划与设计篇(3)
影响通信网络安全的因素主要是技术因素、环境因素。因此,安全的通信网络规划设计需要对这两个因素重点关注。要综合的分析考虑,进行整体性的规划,使通信网络的规划设计满足安全性的要求。
1通信网络的保障方式
通信网络包括网络信息以及用户信息,因此,通信网络的安全非常重要。通信网络的保障方式包括:(1)实时对信息的完整性进行监控;(2)确保信息传输的安全;(3)信息的操控需要进行身份认证;(4)设定安全级别,控制非法访问;(5)对信息的传输、操作进行实时、详细的记录。
2通信网络的安全需求
信息网络是信息传输的载体,在信息的传输过程没有被用户掌控,因此,用户会担心信息在传输过程中被非法访问、窃取、破坏等,因而产生了对通信网络安全的需求,也就是通过通信网络进行信息的传输,信息的机密性、完整性、不可破坏性能够得到相应的安全保证。
3通信网络安全分析
综上所述,必须要考虑通信网络的安全性,依据实际情况,进行安全的通信网络规划设计。安全的通信网络规划设计方案如表1所示。下面将从通信网络的安防工程、信息安全、网络安全、链路安全四个方面,对通信网络的安全进行具体的分析:(1)通信网络的安防工程。通信网络的安防工程是安全的通信网络的根本保障,为通信网络提供了一个安全的环境。其环境有以下几个明显的特点:传输设备随着信息的增多而增加,环境复杂化;空间容量随信息的增加以及通信网络结构的变化而逐渐增加;通信设备趋向于智能化、模块化;体积随着空间容量的增多反而逐渐减少。随着通信网络环境的改变,其规划设计对安全的要求也逐渐的提高,因此通信网络的安防工程显得十分重要。(2)信息安全。网络具有开放性的特点,导致信息的容易被非法非法访问、窃取、破坏等,因此,需要特别关注用户身份识别、信息的存储、信息传输等关键点,确保信息安全。例如,采取创建公钥密码的身份识别方式,确保信息的机密性;构建信息数据库,信息管理系统化,保证信息的完整性;对信息内容进行审计,对信息进行安全的管理,防止非法入侵破坏信息的完整性,保证信息的机密性。(3)网络安全。网络其开发性的特点,使之安全性受到一定的威胁。要达到网络安全的要求,需要对通信网络加强控制和管理。例如,可以使用防火墙技术将内外网络分离开来,对网络进行管理和控制,并不断根据实际的情况提高防火墙技术、加密技术、入侵检测等相关技术,提升网络安全。(4)链路安全。通信网络中链路安全会受到设备所用技术的影响。因此,应从以下几点加强链路安全:降低其维修的难度,对附加操作量进行一定的控制;保留网络本身的性能特点;为了实现系统的拓展,保持拓扑结构的原型;合理、合法的使用一些密码产品等。通过以上方法,对链路安全进行加密,信息送达后再进行解密。
4结束语
对于安全的通信网络规划设计,可以从以下五个方面入手:①对在通信网络中进行传输的信息进行加密设计;②针对通信网络入侵检测技术进行相关的研发,提升技术水平,提高通信网络的防御水平;③构建安全网管系统,确保通信网络的安全;④对通信网络中节点内系统进行重塑,提高安全防控能力;⑤对通信内部网络协议进行规划,确保通信网络内部协议的安全性,使通信网络安全运行。总而言之,进行通信网络规划设计时,一定要对其安全性进行科学、合理、深入的分析,采取具体措施提高通信网络的安全性,构建科学、合理,安全、稳定、高效的通信网络系统。
作者:李英峰 张志科 单位:广州杰赛科技股份有限公司通信规划设计院
参考文献
[1]陶卓.关于通信光缆网络线路规划设计问题的思考[J].通讯世界,2015,24:15~16.
网络安全规划与设计篇(4)
计算机网络的连接方式主要是由网络设备和通信电缆组成的,伴随着新型设备的开发和广泛利用,在使用过程中,我们发现计算机网络中由于结构不同,会造成性能的不同差异,网络规划问题逐渐引起我们的注意。好的规划对于网络的发展来说至关重要,无论是对原有的计算机系统进行升级,还是新建网络系统,都要充分考虑网络规划问题。要做好网络规划问题,我们要了解和掌握网络规划的设计原则,明确设计思路,采取切实可行的措施做好网络规划。
1 网络规划设计的原则
1.1 目标原则
用户的需求是我们工作的目标,用户满意不满意是衡量我们工作质量好坏的尺度。网络规划的设计要充分考虑用户的近期目标和长远目标,明确不同阶段的建设目标,根据实际情况确定协议集、计算模式、体系结构和网络上最多站点数目等,对整个网络系统的数据量、数据流量和流向有个清晰的估计。
1.2 先进性、安全可靠性、开放性和实用性相结合的原则
⑴网络规划的先进性。网络系统的先进性是网络规划设计人员首先要考虑的原则,采用先进的组网技术,能够使所建网络在长时间内保持先进性,在以后相当长的一段时间内可以不被淘汰,既节省了资金又能适应网络规划中长期的发展。
⑵网络规划的安全可靠性。安全和可靠是组网非常重要的因素。为了保证组网的安全性,网络规划者应当从系统的安全性、拓扑结构、网络节点和通信线路等多方面考虑,保证整个系统的安全性和保密性,在多层次上以多种方式实现安全控制。
⑶开放互联性。要保证计算机有良好的通信互联能力,就必须采用当前最新的符合国际标准通信的通信协议和设备,支持开放的技术、系统组件和用户接口。
⑷经济实用性。组网的重要原则之一就是要考虑系统的性价比,考虑它的经济实用性。我们应当充分利用所投入的资金,根据用户的需求,在满足系统性能和可预见期内不失先进性的前提下,选择性价比最高、最经济实用性的网络规划方式。
1.3 功能最完善、整体性能最佳原则
网络系统在规划时应当对主干网络和本地网的连接、技术的匹配、数据传输和网络操作系统的选择仔细论证,保证网络系统功能最完善。
2 计算机网络规划的方法和实现方案
2.1 需求分析
⑴环境需求。计算机网络规划需要考虑环境需求的因素,它既包括内部环境,也包括外部环境。
⑵设备需求。对于设备需求,我们应当从业务需求出发,考虑与原有系统的兼容问题,以及设备电源、个人计算机、主机和服务器、防火墙等网络设备。
⑶功能需求。功能需求要求我们考虑用户主要的网络应用和网络所传输的数据量,同时,分析网络总数据量和网络应用高峰的分布,关注网络应用的安全性和可靠性。
2.2 可行性分析
可行性分析主要是根据用户目标、网络系统的目标和网络系统的集成要求,判断在现有的资金和技术环境下是否可行,能否达到系统目标的要求。
2.3 网络总体设计
网络设计的任务是制定网络系统总体实施方案,主要是根据需求分析中提出的技术规范和种种性能要求以及设备选型和经费预算。总体规划设计的内容包括传输方式和传输速率;网络系统体系结构和拓扑结构;网络系统的基本结构和类型;功能和服务项目。
2.4 网络分层拓扑结构
实现网络规划的重要一步就是做好网络分层拓扑结构,包括对核心层、分布层和接入层的选择和设计。对于核心层,考虑的因素包括地理距离、信息流量和数据负载等,主要做法通过千兆以太网来实现;分布层主要是根据网络信息流的特点,在整个设计中确定分布层是否需要,采用级联还是堆叠;接入层主要考虑布线系统费用和实现上的限制等因素,对于零散的远程用户接入,可以采用市话网络进行远程拨号访问。
2.5 网络设备的选型和比较
构成计算机网络的设备比较复杂,包括网卡、网桥、网关、路由器、集线器、服务器、工作站、网络打印机、网络操作系统、管理系统以及应用软件、存储器等。在网络规划设计时,我们要充分考虑到这些问题,选择一种性价比最高、功能最全、最经济实用的规划设计方案。
综上所述,我们应当重视网络规划设计,在网络规划设计中,我们要遵循“强调总体规划、重视具体规划,利用分层规划,合理布线”的原则,设计时要综合考虑各方面的因素,在充分比较和反复论证的基础上,根据用户的要求选择一种性价比最高、功能最全、最经济实用的最佳方案。同时,了解和掌握网络规划的设计原则,明确设计思路,采取切实可行的措施做好网络规划,以最大努力建立一个功能完善、安全可靠、性能稳定的网络系统。
网络安全规划与设计篇(5)
中图分类号 TP308 文献标识码 A 文章编号 1673-9671-(2013)011-0143-01
1 网络机房科学建设
为实现网络机房的优质、科学规划,应组建专项机构,强化各领域交流合作,集成建筑、网络、设计装饰、电工电子、弱电、安全环保防护等学科领域,做好机房工程系统良好设计规划。可在设计施工阶段中优选供配电模式、做好空气净化、制定预防事故安全措施,完善静电、电磁辐射预防以及干扰影响。同时应提升防雷防火重视力度,保证网络机房系统的持续安全可靠运行。该类工作并不能依靠单一的部门实施,因此应做好多方协调,基于全局视角完善综合管控。另外,应严格遵循设计要求规范,吸引全员积极实施网络机房的图纸设计规划,完善机房地址选择,实施科学安全防护,优选施工设计技术,营造优质机房网络环境。同时,应树立战略化目标,为扩容及机房管理维护提供便利,令设计规划整体面积、具体线路、管、槽、相关仪器设备均具有一定冗余。在预埋各个管路阶段中,应综合考量后续具体实施与良好位置布设。明确方案阶段中应体现各类合理规范要求,确保维护管理科学权威性。还应尽量令机房应用人员与管控部门积极参与到工程项目建设施工阶段中,尤其应吸引网络控制管理机构人员,令其明确细化了解机房之中各类设施的布设、具体线路的走向、设计布局事项,进而全面明确图纸规划设计与实践施工状况,进而快速满足应用需求,便于后续的维护应用管理。
2 网络机房优质规划设计
2.1 优选网络机房布设方位,做好整体规划装修
网络机房应布设选址在建筑二层以及六层位置,全面靠近系统总体线路中位,并同弱电竖井缩短距离,进而便于各类干线的良好引入。同时应远离卫生间、食堂、储备具有粉尘物质、或散发毒害气体的储物室,进而令机房避免受到潮湿、污染、腐蚀影响。还应避免强振动与噪声源的不良影响,降低电磁场干扰。机房选址应考量具体层高,基于机柜的高度标准与整体机房的通风需求,完成装修建设的机房净高度应控制在两米五至三米范围。再者应做好良好的平面功能规划布局。网络机房应具体涵盖配电设施、电话系统、ups电源、保安、电视监控与网络系统等设施,应依据具体功能及其相互联系,做好主体设备区域、设施、监控管理系统区域的优质划分,确保各区域良好有秩序的衔接。同时可自成体系,应确保流线合理清晰、畅通便捷。网络机房应设计单独的进出口,进而抑制无关人员自由的进出。网络机房整体装修应制定严格要求,做好墙壁、吊顶、活动区域、空间地面、隔断等的科学布设装饰,并做好保温防护、防潮隔热的优质规划。可利用性能优越、不产生尘埃、易于维护清洁、稳固耐用的节能环保材料做好饰面设计,并符合相应防火标准。应依据设计安装方位做好严格合理的放线,并实施防锈涂层施工。各类灯具设施、风口位置、防火喷头、电路箱盒应做好相互协调设计,并同机房龙骨以及吊顶做到优质配合与紧凑的垂直装设。
2.2 电气系统与防雷接地科学设计
网络机房之中电气系统尤为重要,因此设计阶段中应确保线路的具体负载水平与功率标准保持良好平衡。应采用耐火及阻燃铜芯进行线缆的屏蔽设置,并应考量接通设备阶段中的瞬间峰值,做好负载平衡,预防偏相引发供电体系的不良瘫痪。布线设计阶段中应确保其具备良好的安全密度,应与信号线保持足够距离,不应进行并排敷设。应用配电材料应确保具有一定冗余,进而有效预防电气火灾事故的发生。针对雷击对网络机房的不良危害影响,应明确感应雷的防护重点,做好电源、信号、接地连接系统与等电位的科学防雷设计。另外,机房之中各类电气设施、金属材质管路、吊顶、隔断均应做好安全综合接地设计。接地电阻应依据最小值明确。直流接地适宜应用截面积35 m2通信绝缘线路连接引入弱电设备。
2.3 预防停电及屏蔽电磁体系规范设计
网络机房电源系统应保持持续不间断的安全稳定供电,倘若电源中断,各类设施仪器骤然暂停运行,将引发信息数据的不良丢失,造成重大影响。为此应做好预防停电系统的科学设计,可引入ups系统,做好功率水平、供电、接入方式的科学规划,并优选电池总体容量。还应考量系统的后期优化管理维护,配设必要的维修应用独立UPS系统插座,提升安全管理效益。网络机房各类计算机仪器设施服务运行阶段中包含显著的电磁影响辐射与泄露问题,对于相关工作人员身体健康、各类仪器运行可靠性与信息系统安全均形成了一定威胁。因此规划设计阶段中,应做好电磁屏蔽设计,预防泄露辐射影响。应优化屏蔽层布设,做好接地规划。屏蔽材料应优选具备高水平导电率的金属,天花可应用铝合金做吊顶板材,而机房地板可应用金属屏蔽预防静电安全层,四壁可应用内设镀锌铁网做好安全屏蔽。接地设计应利用焊接实现良好连接,确保等电位。在间隔三米位置则应布设接地引线,确保同屏蔽网体系实现紧密的焊接。另外应避免同防雷接地互联,进而预防雷电不良入侵,对各类重要设施仪器产生不良
影响。
3 结束语
总之,网络机房科学建设规划尤为重要,我们只有针对网络机房建设应用需求,制定科学规划设计策略,优选布设方位、做好整体装修规划、实施电气与防雷接地系统科学设计、布设预防停电以及屏蔽电磁体系,方能提升网络机房安全、高效、有序应用水平,令其发挥核心价值优势。
网络安全规划与设计篇(6)
中图分类号:U412 文献标识码:A
0.引言
通信管道是通信网络基础设施建设体系中非常重要的构成元素之一,是指通信网络体系中专门用于通信光缆与电缆布放的通道。既往大量工程实践经验中显示:通信线路的发展规模、覆盖范围、容纳能力、乃至设施质量等均会对城市现代化建设中通信网络体系的发展情况产生重要影响。为确保通信网络的安全、高效运行,必须高度重视对通信线路的规划与设计,并加强通信管理方面的工作,以促进通信工程系统产生良好的社会效益与经济效益。正因为如此,在通信产业不断发展的背景下,地下通信线路数量持续增加,对通信管理以及线路规划、设计进行全盘考虑与统筹分析,是业内相关人员必须高度重视的课题所在。
一、通信管理概述
在信息技术快速发展的背景下,我国通信市场的整体发展格局日趋完善与健全,特别是在通信网络发展日益复杂的大环境下,通信管道建设以及通信线路的规划设计项目不断涌现。受此因素影响,如何进一步提高通信系统管理效率,已成为业内规划设计人员必须高度重视的一项课题。
在通信系统管理过程中,为进一步提高管理质量与工作效率,要求业内人士高度重视以下几个方面的问题:
(1)以国家现行相关法规标准中所制定的工作流程为依据,科学制定各类通信网络项目操作流程,并配套建设相关监督管理工作机制,以促进通信管理措施的有效落实。
(2)在通信系统管理实践中,必须充分遵循安全性、规范性的基本原则,加强通信管理系统内部各个机构部门的沟通与协调,以促进通信网络建设项目的有序开展。
(3)在相关人员展开通信业务管理工作的过程中,必须遵循统筹兼顾的基本原则,将网络信息技术在通信系统建设方面的优势充分展现出来,实现与通信网络规划设计的有机结合,以达到提高通信系统建设安全性、技术性以及拓展性的目的。
(4)通信管理必须以现代化技术为主导,通过引入先进设备的方式及时发现通信管理中存在的问题,及时排除安全隐患,最大限度地降低通信管理成本,促进通信管理实践操作经济化水平的提高,以达到更为确切的效益目标。
二、通信线路规划与设计
在通信网络系统建设过程中,针对通信线路的规划设计必须充分尊重城市发展规划以及通信系统建设的总体要求,从全面规划的角度入手,兼顾近远期功能,最大限度地利用现有设施,及时跟进市政建设步伐,从网络安全性、技术可行性以及投资经济性等多个层面入手,综合考虑通信线路的规划与设计方案,以促进通信网络系统的健全与完善。在通信线路规划与设计作业中,必须着重关注如下两个方面的问题:
1.通信线路规划
针对通信线路的规划必须在政府相关职能部门所出台的政策标准基础之上执行,在符合安全管理这一前提条件的基础之上,确保通信网络通信质量的稳定与可靠。在通信线路规划操作实践中,必须实现与现有通信网络技术的结合,以通信线路工程施工规划成本管理为约束条件,提高通信线路规划的合理性水平。从整个通信网络线路规划的情况来分析,通信线路是由光缆线路以及电缆线路这两个部分所构成的。其中,光缆线路指的是在局站内进行通信光缆及其相关终端设备的规划,避免光缆、管道、杆路等设备之间出现干扰,保证通信网络系统建设的正常执行。同样,电缆线路的规划需要综合考量的内容更多,因其除了要满足电缆配线驾到用户端口的途径路线规划要求以外,还需要考虑杆路以及分线设备等规划内容的合理性与安全性,避免造成影响电缆线路合理规划的安全隐患。
2.通信线路设计
在确定通信线路整体规划方案后,必须通过科学合理的设计,以确保通信网络平台中各条线路运行的正常与稳定。在通信线路设计过程中,必须特别关注如下几个方面的问题:(1)在通信路方案设计阶段中,必须对同一路由上的光缆容量加以限制,以免出现多条散置小锌数光缆的问题;(2)通信系统光缆线路必须确保性能安全与可靠,并面向通信系统业务最终端口进行延伸;(3)在对通信系统光缆线路网络路由以及容量进行选择与设计的过程中,必须确保网络路由及其容量符合通信系统业务规定标准,设计前期即需要确定通信系统网络建设规模。在通信系统经过一段时间的试运行后,应确保通信系统线路科学合理后方可进一步对通信线路各个模块的稳定性进行考量;(4)在通信系统线路设计中,设计方案必须与通信系统发展相互结合,在网络发展规划基础之上确定最终的技术与建设方案,并合理选择配套通信系统设施以及通信光缆线路,考虑通信系统长远发展的功能要求;(5)在通信系统线路设计过程中,相关电信设备必须具备信息产业部电信设备的许可证以及其他证明文件,严禁尚未取得许可证的电信设备投入通信系统运行过程中;(6)通信系统线路应当尽量选择地上、地下障碍物较少的街道进行埋设。同时,管道应尽量建设于人行道下,若客观条件无法满足这一要求,则应尽可能地避免在快行车道下埋设通信管道。除此以外,针对高等级公路、铁路沿线所涉及到的通信系统建设项目,管道埋设过程中垂直过应采用拉管或顶管的敷设方式,在沿道路建设的情形下可优先选择将通信线路管道埋设于路肩或中央分隔带下方。
结语
综上所述,在通信管理工作的开展过程中,规划设计以及项目建设必须以确保通信线路规划可行与合理为基础。相关工作人员应当重视对通信系统以及通信线路的规划设计工作,加强各个环节的配合,强化对通信系统的管理,实现各个通信模块的有效连接,以确保通信系统整体安全且可靠地运行。本文上述分析中围绕通信管理的基本内容进行分析,并重点探讨了通信线路规划与设计方面的措施、途径,望能够促进通信管理水平的进一步提升,并促进通信线路发展的健全与完善。
参考文献
[1]杨晓东,张有兵,赵波,等.考虑规划需求的EV充电桩集群管理系统通信方式综合评价[J].电力系统自动化,2015,39(24):63-71.
[2]陈如波,傅晓东.智慧城市建设要求下的通信基础设施规划标准修订[J].规划师,2013,29(6):62-65.
网络安全规划与设计篇(7)
中图分类号:G642.0 文献标识码:A 文章编号:1671-0568(2013)29-0094-03
作者简介:徐慧,女,博士,讲师,研究方向为网络与服务管理;邵雄凯,男,博士,教授,硕士生导师,教学副院长,研究方向为计算机网络、移动数据库技术和Web信息服务;陈卓,女,博士,教授,硕士生导师,研究方向为信息安全;阮鸥,男,博士,讲师,研究方向为网络安全。
作为一所地方工科院校,湖北工业大学(以下简称“我校”)目前面向本科生稳步推进“721”梯级、分类、多元人才培养模式改革:针对70%左右的本科生,以就业为导向,实施以培养实践动手能力为主体、创新创业精神为两翼的高素质应用型人才培养模式;针对20%左右的本科生,培养具有一专多能、湖北工业经济发展急需的复合型中坚人才;针对10%左右的本科生,扎实推进卓越工程师项目计划,培养高素质创新型的、未来湖北工业经济发展的领军人物。在这一背景下,网络工程专业与物联网工程专业在培养方案设置和修订的过程中,考虑利用科研平台、培训、竞赛等方式,切实加强实践环节的设计,进一步推进我校“721”人才培养模式改革,并以此为契机,进行培养和提高学生的创新精神和实践动手能力的教学改革与实践。本文旨在讨论网络工程专业与物联网工程专业的网络管理与安全综合课程设计的改革实践。
一、网络管理与安全综合课程设计的定位
按照“721”梯级、分类、多元人才培养模式改革思路,我校依据学科专业特点探索实施“实验教学――实习实训――毕业设计(论文)――创新教育――课外科技活动――社会实践”六元结合的实践教学体系。在这一实践教学体系的规划下,网络工程专业与物联网工程专业的人才培养方案都明确规定六大内容的基本要求和学分,并分为基础层次(基础课程实验、生产劳动、认知实习等)、提高层次(学科基础实验、课程设计、专业实习或生产实习、学年论文等)、综合层次(设计性实验及科研训练、学科竞赛、毕业实习、毕业设计或论文等)三个层次,从低年级到高年级前后衔接,循序渐进,贯穿整个本科生培养过程,旨在增强本科生的创新意识,提高他们的实践能力。
面向网络工程专业本科生的网络管理与安全课程群,主要包括“信息安全概论”、“应用密码学”、“计算机网络管理”、“网络防御技术”、“网络性能分析”和“网络安全编程与实践”这六门专业课程。在课程安排上,“信息安全概论”课程首先引入信息安全的基本概念和基本原理,包括消息鉴别与数字签名、身份认证、操作系统安全、数据库安全技术以及数据的备份与恢复等知识点;而“应用密码学”课程则介绍密码学基本概念、基本理论以及主要密码体制的算法与应用;更进一步,“计算机网络管理”课程以协议分析为导向讲授网络管理的相关理论,包括功能域、体系结构、协议规范、信息表示等知识点;“网络防御技术”课程以统一网络安全管理能力作为培养目标,阐述网络攻击的手段和方法以及网络防御的基本原理;在此基础上,“网络性能分析”课程着重讨论网络性能管理的理论与应用;“网络安全编程与实践”课程讨论网络安全编程实现的基本技术。值得注意的是,网络工程专业的网络管理与安全课程群建设成果,目前正在为面向物联网工程专业的相关课程体系设置与教学方法改革所借鉴。
网络管理与安全综合课程设计介于实践教学体系中提高层次到综合层次的过渡阶段,作为网络工程专业与物联网工程专业本科生第四学年实践能力培养的一个重要环节,有利于深入培养相关专业本科生的网络管理与安全综合实践能力。
二、基于项目角色划分的实施方案
为了培养网络工程专业与物联网工程专业本科生的工程实践能力,网络管理与安全综合课程设计实施过程的改革思路是:采用自主团队方式,选择并完成一个网络管理与安全项目。对于相关专业本科生而言,因为是自由组成团队,项目角色划分显得尤为重要。在这一背景下,提出基于项目角色划分的网络管理与安全综合课程设计实施方案。
网络管理与安全综合课程设计并不是要求本科生在短时间内便可以完成一个很大的网络管理与安全项目,主要是希望他们能够利用已有网络管理与安全课程群的知识基础,按照软件工程的思路合作完成一个规模适中的网络管理与安全项目,提高网络管理与安全综合实践能力。基于不太大的项目规模,网络管理与安全综合课程设计的项目角色划分与相应职责见表1。
三、网络工程专业与物联网工程专业的协同设计
作为一所地方工科院校,我校自2008年开始面向本科生开设网络工程专业,并于2012年面向本科生开设物联网工程专业,同时已获批“湖北省高等学校战略性新兴(支柱)产业人才培养计划本科项目”。网络工程专业与物联网工程专业虽然是两个不同的专业,却具有一定的关联性,如何保证网络管理与安全综合课程设计的实施方案对于这两个专业的协同设计,是专业改革实践过程中需要考虑的问题。图1给出网络管理与安全综合课程设计在实施过程中网络工程专业与物联网工程专业的协同设计方案:
如图1所示,网络工程专业的网络管理与安全综合课程设计的选题主要包括四个方向,即“信息安全与密码学”、“网络防御技术”、“计算机网络管理”与“统一网络安全管理”。其基本的选题思路在于帮助本科生熟悉常用的网络管理与安全编程开发包,并掌握网络管理与安全项目实践的基本技术,为将来从事网络管理与安全方面的研发工作打下一定的基础,各方向的参考选题见表2。
更进一步,较之网络工程专业,物联网工程专业具有更强的整合性与自身的特色,见图1,物联网工程专业的网络管理与安全综合课程设计的选题主要包括两个方向,即“物联网安全”与“物联网管理”,各方向的参考选题如表3所示。[1,2]
按照我校“721”梯级、分类、多元人才培养模式改革思路,作为实践教学体系中提高层次到综合层次过渡阶段的一个重要环节,网络管理与安全综合课程设计在改革实践过程中,考虑采用基于项目角色划分的实施方案,并尝试实现该方案在网络工程专业与物联网工程专业的协同设计,同时给出这两个专业不同方向的参考选题。
网络安全规划与设计篇(8)
0 引言
由现在网络技术和其在以后的发展方向可以看出,IMS会成为下一代网络的核心技术,其可以使移动与固网融合,引进多种融合业务。IMS越来越被运营商接受,未来基于IMS的网络及业务应用将为用户提供更好的业务体验。IMS网络的优点突出,但同时建设的难度和风险也大为增加,这就对IMS的网络规划工作提出了更高的要求。本文对这方面进行讨论分析。
1 IMS核心网的总体结构
IMS网络是一个开放、分层的体系架构,整个网络包括业务应用层、核心会话控制层、承载与接入层和运营支撑等4个层面。由IMS网络提供统一的会话控制,采纳全IP的宽带承载方法;网络核心接入层同控制层之间通过标准的SIP接口协议,实现接入的无关性,可适应各种的固定移动、宽窄带接入方式;架构在核心网络之上的业务应用层接口更加标准和开放,业务能力部件向第三方网络开放,将便于新业务的快速成长和安排。
2 IMS核心网规划的前提条件
进行IMS网络规划和设计工作必不可少的前提条件包括IMS建网策略、用户及业务发展需求、技术发展预测等影响因素进行充分的分析是。
2.1 明确总体建网策略
对于固定运营商而言,由于受移动替代和VoIP的挑战,IMS建设重点关注于PSTN改造、IP语音及增值业务;对于移动运营商,则重点关注业务差异化及移动互联网的发展;对于综合运营商,重点关注实现固移接入融合业务以发挥全业务运营的竞争优势。
2.2 用户预测及接入类型分析
用户预测应首先根据上述网络建设策略以确定IMS终端用户类型。从IMS自身的网络特性来看,IMS用户是由多种不同的用户群体构成的。IMS用户可包括传统固网POTS用户、PBX用户、软交换IAD/AG用户、xDSL/xPON/LAN宽带用户、无线WLAN用户以及2G/3G移动CS及PS域用户等多种。因此,需要针对上述不同用户类型,在分别采用合理方法预测的基础上,对各种用户数进行累加,得到总的IMS用户预测规模。
2.3 业务需求的规划分析
IMS的网络规划建设必将以用户及业务为中心展开。规划前期需要对用户的业务需求及业务部署有一个详细的规划分析,明确目前市场上IMS相关业务的需求度及各省和各地区的差异,从而决定:哪些业务属于基本业务,可以全面部署;哪些业务属于特色业务,可以由个别有需求的省单独部署。IMS建网初期,可考虑针对集团、家庭和个人客户的业务需求,在全网提供多媒体电话业务、企业统一Centrex业务、多媒体彩铃业务;局部区域可开展融合一号通业务等自有特色业务。
2.4 业务模型分析
业务模型是用户在系统忙时的表现,它主要包括话务模型和信令模型2个方面。每种业务有自己独特的话务模型,话务模型包括每用户忙时话务量、各种业务的比例、话务的流向、业务速率、会话持续时长等指标;信令模型对于不同的业务来说具有普遍性,一般包括忙时注册(鉴权)/注销/订阅/通知请求次数、忙时呼叫次数、每呼叫消息数量以及消息长度等参数。有了这些业务模型,可以计算出每种业务的平均话务量和接口带宽,进而根据全网支持的总的用户规模数量计算出全网的话务量和对承载网的带宽需求,根据这些计算结果就可以作出最优化的网络规划和设计。
3 核心网的规划流程及规划内容
3.1 IMS核心网规划流程
IMS核心网规划应该是从业务需求入手,结合IMS网络特性,并充分考虑现网情况和演进策略等因素,按自顶向下,逐步分解的过程进行,IMS核心网规划流程基本包括以下几个步骤。
(1)确定IMS总体建网策略及制定网络建设原则、明确IMS的整体网络架构和总体规划思路。
(2)信息收集:包括现网网络信息、用户业务发展信息等,根据收集的信息对现网网络拓扑、网络容量扩展、承载网、业务发展等几个方面来进行详细分析。
(3)业务需求分析:对用户需求及业务部署进行规划分析,进行业务预测、取定业务模型及话务分布模型。
(4)网络资源规划:根据上述的现网分析和业务预测结果,进行网络开销预算及容量分析,结合现有IMS厂家的设备处理能力,进行合理的网络设置及资源分配。
(5)确定网络建设方案:对IMS网络具体网元的配置、容量、质量及安全性等方面进行分析及规划,包括核心网方案、业务网方案、接入网方案、承载网方案及网络安全方案等。
3.2 IMS网络规划的主要内容
IMS核心网规划设计工作主要包括以下内容。
(1)根据建设方要求,明确目标IMS网络需要具备的业务能力,并确定核心网规划建设总体原则,明确核心网技术版本和总体网络架构,确定相关总体建设原则。
(2)对现有网络情况、网络资源现状以及国内外其他运营商IMS网络商用部署情况进行调查分析。
(3)根据对现网及其他运营商IMS网络相关业务数据的采集分析,结合现网用户业务发展信息,进行IMS业务预测。
(4)进行网元节点设置的规划设计,具体包括HSS的设置方案、I/P/S-CSCF的设置方案、MGCF/IMS-MGW的设置方案、业务网AS的设置方案以及现网关口局等网元的改造需求方案等。
(5)进行IMS核心网络的网络组织方案的规划设计,包括IMS域内网络组织方案、IMS域间网络组织方案、IMS网络与业务平台的网络组织方案、相关IMS业务路由策略以及漫游/游牧方案等。
(6)进行IP承载网对接的规划设计,具体包括IP承载网的解决方案、核心网络与IP承载网互联方案、MPLSVPN的部署方案、不同业务QoS的保证策略、IP地址规划等。
(7)进行IMS核心网流量带宽计算和接口配置,主要包括核心网各网元间IP带宽需求计算、核心网元与业务平台AS间带宽需求计算以及核心网与接入网间带宽需求计算等。
(8)根据IMS网络容量设置,以及码号分配原则,对IMS用户的码号资源进行分配,包括用户标识、公共业务标识、信令点编码、APN等。
(9)提出核心网规划对相关配套资源的需求,具体包括对传输的配套要求、对同步网的配套要求、对信令网的配套要求、对局房的配套要求,以及对网管、计费、支撑系统改造等方面的要求。
4 核心网规划关注的相关问题
IMS核心网的规划和设计具体体现在以下几个方面。
4.1 网络结构规划
核心网采用何种网络结构将直接影响到整个网络的规划设计,目前IMS网络组织可采用2种方式,一种是单域集中式组网,另一种是多域分布式组网。单域组网即只集中建设全国性的IMS核心网网络及业务平台,省内建设IMS接入网和互通节点;多域组网即采用分省或分大区独立建设方式进行IMS部署。采用不同的组网结构所要求的IMS网络设备类型和数量都不一样,对业务部署和承载要求也有很大的差异。
4.2 漫游方式
移动IMS用户处于漫游状态时,所有会话业务均需路由至归属域网络的S-CSCF进行会话控制和注册服务,但对于以GPRS/WCDMA分组域网络作为IPCAN的IMS核心网,存在2种漫游方式。一种是IPCAN漫游(GPRS漫游),即通过漫游地的SGSN和归属地的GGSN为IMS用户提供IP-CAN接入,然后直接连接到归属网络的IMS域;另一种是IMS漫游,即用户附着在拜访地IP-CAN的GPRS/WCDMA分组网时,用户将通过拜访地P-CSCF接入到IMS网络,并由归属地S-CSCF进行用户注册和会话控制,漫游用户发起主被叫业务时,所有信令也均由拜访地P-CSCF进行转发。
4.3 网络安全保障
由于IMS核心网络采用全IP承载,且采取开放的网络架构,可以将语音、数据、多媒体等多种不同业务,通过采用多种不同的接入方式来共享业务平台,增加了网络的灵活性和业务互通性。但这也使得IMS的安全性要求比传统运营商在独立网络上运营要高得多,IMS的安全保障问题不容忽视。除了采取标准协议规定的IPSec、AKA鉴权等SA机制实现接入安全和网络安全外,IMS核心网规划中可将IMS核心网划分为多个安全域,包括接入网络域、核心网络域、承载网络域、业务应用域、运营支撑域以及与其他网络互通等安全域,对于各个安全域间采取各种隔离技术,包括物理隔离(如防火墙、SBC等)和逻辑隔离(MPLSVPN、THIG、VLAN)等,并执行一定的QoS控制机制,实现不同域间的信息拓扑隐藏、业务开关控制等功能,充分保障IMS核心网络的安全性和可靠性。
4.4 IMS核心网元的容灾建设
在IMS网络商用初期,建议对IMS所有核心网元(包括CM-IMS核心网元、AS、SBC、ENUM/DNS)均实现设备级容灾备份;CSCF、HSS、MGCF/IM-MGW要求实现网元级容灾备份。对于设备级容灾,主要功能模块可以采用1+1(N+N)方式,也可以采用N+1备份机制;保证单模块故障情况下,系统容量仍旧能够满足需求。若设备为服务器架构,应采用双机热备。
对于CSCF设备,建议采用1+1或N+1工作方式;在相关技术成熟的条件下,对于S-CSCF设备,可以采用池组(Pool)方式进行网元级容灾备份;对于MGCF/IM-MGW建议采用成对设置方式,并设置在不同局址;成对MGCF/IM-MGW采用负荷分担方式,为保证互通安全性,MGCF/IM-MGW应至少选择连接两个异网关口局设备。
5 结语
由上可见,文章主要分析和探讨了IMS网络规划流程、规划内容,对IMS规划设计中所涉及到的相关问题进行了研究和探讨,能够为以后的IMS网络规划和网络建设提供有益的借鉴和参考,对网络技术的发展有所裨益。
网络安全规划与设计篇(9)
随着计算机科学技术、网络技术与通信技术的发展,网络应用已经深入到社会生活的各个领域,各行各业开始大量需要网络工程技术人才,为了满足这种社会需求,网络工程专业应运而生。该专业以培养应用型人才为主要目标,要求所培养的人才全面系统地掌握计算机科学、计算机网络与通信技术等领域的基本理论知识,深入理解网络体系结构和通信系统原理,掌握各类网络的规划、设计、组网、集成、开发和管理等实用技术,能够从事网络编程、网络的规划和组网设计、网络工程设计和建设、网络管理及维护、网络安全防护以及网络性能分析等工作。虽然许多学校早在2001年就在计算机科学技术本科专业内设置网络技术方向,但仅仅通过删减或调整几门课程,试图将计算机科学技术专业的网络方向简单地过渡为网络工程专业,显然是不能形成网络工程专业的知识体系。网络工程作为一门横跨学科的新兴计划外专业,还没有形成相对标准的课程体系,是我们需要研究的重要课题。
1网络工程专业的培养目标
我校2002年在计算机科学技术专业中设置网络技术方向,2005年正式获批组建网络工程专业,至今教学运行已接近7年,其间根据技术发展、用人需求对专业培养目标、课程体系做过几次调整和改进,已趋于稳定。根据这几年的毕业设计和学生毕业反馈情况,充分肯定了目前的课程体系和培养目标。
高等教育的目的是培养高等技术人才,网络工程专业主要是为了培养网络工程师,目前网络工程专业的培养方向主要有网络工程管理与规划设计、网络维护与管理以及网络应用程序开发等方向[1-5]。根据普通工科高校办学层次和培养对象,我们立足于“宽口径,厚基础,高素质,强能力,突出创新意识”的教学理念,确立该专业的培养目标为:培养系统掌握计算机技术、通信技术及网络技术的基本理论、基本知识,掌握计算机网络系统分析和设计的基本方法,具备计算机应用、网络编程与应用开发、网络规划设计部署、网络管理等基本能力,具有较强创新意识的计算机网络工程技术人才。
2网络工程专业的课程体系设置
高等教育的专业培养目标是设置课程体系的基础,课程体系是专业培养目标的具体体现,因此课程设置必须以专业培养目标为依据,同时以社会需求为导向,体现自己的培养特色[2]。针对我校网络工程专业的培养目标,在制定教学计划时,以培养学生的计算机网络规划设计能力、网络管理能力以及网络应用开发能力为主线,以计算机技术及网络通信技术理论为基础,全方位的构建与网络工程内容相关的计算机网络系统结构、网络规划、设计、管理、Web应用技术、网页设计与网站开发、网络信息安全等方面的课程体系。目的在于加强基础理论、拓宽专业口径、突出素质教育,提高学生的实际动手能力。
2.1调整课程结构,优化课程体系
我院对专业基础课程及专业课程进行知识点的归类整合,在全校工科学生培养的框架内,重新组织课程,增强课程教学的一致性和连贯性,减少不必要的重复。课程体系如图1所示,在课程结构调整方面,以课群为基础组织和建设课程内容,这样既便于同类相关课程之间的知识衔接,又便于在课群内组织任课教师开展课程建设等教学研究活动。同时,专业课群也体现了培养目标所确定的学生应具备的主要技能,便于在课群的基础上通过修订课程内容,调整学生的知识结构,完善培养目标的具体内涵。
2.2专业基础课程的设置
由于网络技术是由计算机技术和通信技术等发展而来,网络工程专业与计算机专业有着非常紧密的联系,因此在课程设置方面,除了人文和社会科学基础课程、理工科的基础课程以外,首先要开设计算机类和通信类的基础课程。
2.3专业课程的设置
教学计划以计算机网络规划、网络管理及应用开发能力培养为特色,加强包括计算机网络总体规划设计、网络管理、网站开发设计及维护等教学环节,涉及网络协议与路由技术、网络与信息安全、网络系统应用软件的设计开发等内容。专业课程主要分为以下三个课群:1)网络设计与规划课群;2)网络管理课群;3)网络应用技术课群。
2.4前沿与特色选修课程
随着网络的普及,网络安全问题成为当前面临的紧迫问题。我校在网络工程专业课程体系设置中,强化网络安全特色方向,通过该专业特色方向的学习,使学生具有网络安全应用的配置和开发能力。同时,我院将前沿技术课程设置为专业选修课。
3实践课环节建设
3.1实验课程设置
网络技术是一门实践性很强的技术,要求技术人员具有很强的实践能力和应用能力,因此根据专业的工程特点和培养目标,结合我校实际,在制定培养计划时,注重培养学生的动手能力、应用能力,以便为社会培养高质量的网络工程技术及网络应用人才。通过各种实践教学环节,使得学生在学习期间较好地熟悉并掌握实际的网络系统的规划、设计、管理、维护等工作过程,培养学生进行系统需求调研和需求分析、网络环境安装调试、网络设备参数设置、综合布线等实际操作能力。
网络工程专业培养方案中的实践教学课时占总教学课时的18%,实践环节主要分为课内实验、实验课程、综合实践三大模块,具体安排如表1所示。
主要专业基础课和专业课都包含一定比例的课程内实验,这些涉及基本技能和初步综合技能的实验教学内容,属于基础性实验,其目的是为了加深对课程理论知识的理解及应用。如程序设计类课程、通信原理、网络路由原理、TCP/IP协议、网页设计与网站开发、综合布线系统、局域网络技术与组网工程等课程,均包含理论教学和实践教学两部分。
为了让学生系统掌握专业技能,还独立开设了一些实验课,主要涉及一些提高性、综合性实验内容,目的是为了培养学生的设计和应用能力,如数据结构课程设计、网络工程综合实验等。在实验课程中,可以采用一些小型或中型案例来实施,如在网络规划与设计课程中,结合计算机网络技术、网络安全技术、Web应用技术、路由与交换技术等内容,以实际的计算机网络系统规划设计方案为模板,让学生调研和分析网络系统的需求,完成该网络的规划设计,从而启发学生掌握网络系统的规划与设计方法,培养学生实际应用能力。
除教学计划中规定的实践环节外,采用开放实验、项目开发、学科竞赛、职业认证等多种形式,在内容上以成熟应用网络技术为主。鼓励学生参加网络工程师认证资格考试,采取的具体措施是开放网络实验室,并开设工程实验课程,由持有思科、华为、神州数码网络工程师认证证书的教师讲授,为学生提供课外实践动手机会,提高本专业学生对基于Unix、Linux、Windows环境下的局域网、校园网、园区网、广域网构建、规划方面的动手能力,增强学生网络应用系统开发的能力;同时,配合校团委、社团成立活动小组,组织大学生课外科技活动,开展个人主页或网站设计竞赛等,发挥学生个性,使学生在各个不同层次得到全方位训练,达到提高学生综合实践能力的目的。
3.2实验室建设
对于实验室建设,我们遵循两个步骤:确定实验内容和实验方式、确定实验环境和实验设备[2-3]。根据课程体系确定网络工程专业学生必须掌握的实验内容包括:网络组建/规划、网络设备配置/设置、网络操作系统使用/配置、网络管理、网络协议分析。对于实验方式,应采用分组进行,这样既便于实验课管理,也具有较好的课堂气氛,并且学生可以独自动手在真实设备上操作、配置,教师可以控制和检查学生配置、实验结果是否正确。但由于设备的各种接口易损坏,所以需要限制教师和学生此类操作。根据实验内容和实验方式,确定实验环境,网络工程训练中心的拓扑示意图如图2所示。
主要实验设备包括:入侵检测系统、网络服务器、(无线)网络路由及交换设备、网络管理平台、网络协议仿真分析平台、网络语音模块实验设备,可以同时满足8组共64名学生进行广域网、局域网、无线网络、路由/交换网络设备配置、网络安全、网络管理、网络协议仿真分析等各类型实验。同时,随着需要进行网络实验的专业数量以及学生数量的增加,实验室建设中也需要高效、可行的管理手段。在实验室建设方面,我院将重点放在建社实验环境、提供实验内容上,设立网络工程独立实验课[3],在实验课中设置协议仿真类实验、交换机类实验、路由器类实验及网络综合实验。
整个实验环境与设备都是模拟目前成熟的网络及网络应用环境设计,不但能满足目前网络技术实验室需要,而且可以后期进行平滑升级,通过添加部分网络设备和模块来组建更为复杂的网络技术实验室,为学生提供更多的实验内容,实现更复杂的网络实验。
4结语
作为一所地方性本科院校,在网络工程专业培养模式制定过程中,我们以为企、事业单位培养从事网络工程技术、网络管理及网络应用与开发工作的工程技术人才为目标,以专业培养目标为基础,以社会需求为导向,体现专业特色,加强实践教学环节,注重专业技能、动手能力、应用能力和创新能力的培养。专业培养方案需要在实践中检验,,要根据教学实践中的经验教训和社会需求的变化不断地完善。
参考文献:
[1] 吴怡,蔡坚勇,洪亲. 论网络工程专业实践环节教学体系及改革方案[J]. 电气电子教学学报,2007,29(3):87-89.
[2] 焦炳连,浦江. 网络工程专业实验室的建设[J]. 实验室研究与探索,2006,25(3):315-318.
[3] 王亚文,容晓峰,范会敏,等. 论网络工程独立实验课程的建设[J]. 实验科学与技术,2009,7(4):122-125.
[4] 张远,杨F. 网络工程专业本科教学改革的探索与实践[J]. 黑龙江高教研究,2006(4):155-157.
[5] 姜腊林,易建勋,陈倩诒,等. 网络工程专业培养方案的研究与实践[J]. 高等教育研究学报,2005,28(3):67-69.
Construction of the Curriculum System of Network Engineering
RONG Xiao-feng , TANG Jun-yong, ZHAO Yu-feng, XIAO Feng
网络安全规划与设计篇(10)
什么是计算机网络,表面意思就是将多台计算机相连接,进而实现计算机与计算机之间的交流。其实,计算机网络的真正意思是指,由多台相对独立的计算机个体通过通信线路进行连接,并且必须遵守相关的通信协议,由专门的网络管理软件进行管理,最终达到各计算机之间的资源共享和数据传递的目的。随着信息技术的发展,信息时代已经全面到来,彻底颠覆了人们传统的生活观念和方式,借助计算机网络,人们在相隔千里之外也能进行商业合作与交流,网络促进了经济的繁荣,推动了社会的发展。同时,现代社会对于网络的依赖程度已经达到了无法分割的地步,因此,对于计算机网络的研究成为现代人们最为重视的项目之一。根据不同的用户群体的体验方式,计算机网络规划与设计应该更加具有针对性,提高用户的体验感,带给人们更多的便捷,以及优雅的生活态度。
1.计算机网络的发展及分类
其实,计算机网络之所以能够达到今天的先进程度,同样经历了漫长的发展阶段,总的来说,一共分为三个阶段。首先是一九六八年至一九八六的ARPAnet阶段,一共历经十八年,这个阶段是网络的初始状态,主要用于研究和试验。其次,是一九八六年至一九九五年的NSF网路阶段,这个阶段是计算机网络发展中最重要的,很多互联网的核心问题得以攻克,并提出了开放式系统互联参考模型。最后是从一九九五年发展至今的第三阶段,也是互联网在全球迅速扩张的阶段,在之后的时间里计算机网络就像搭乘了快速动车一样迅速在全球得到普及,将全世界紧密的联系在一起。
要对计算机网络进行规划设计,前提是必须对网络分类有足够的认识和了解。本文介绍两种最常规的分类方式。第一种是按地域分类,根据网络的地理位置和范围,可以将其划分为局域网、城域网和广域网。局域网范围最小,同时也是最重要的,是城域网和广域网的基础。第二种是根据网络拓扑结构进行分类,比如根据拓扑结构可以分为环形网络、星形网络和总线型网络。
2.计算机网络规划与设计重点问题
计算机网络规划设计是一个繁杂的过程,需要注意的问题非常多,以下为笔者认为最重要的问题,故而重点提出和大家进行讨论。
第一,安全问题。众所周知,网络安全一直是网络用户最为关切的问题,我们在现实生活中也会经常提到网络诈骗、病毒等字眼,作为关乎所有网络用户切身利益的安全问题应该如何解决呢?因此,我们应该将安全问题作为网络规划中的首要问题进行讨论。社区网络作为提供网络接入服务的管理平台,在保证用户的高速接入的同时,要确保通信的安全性。对于社区用户的内部通信的安全性上,在网络设计时可以考虑使用宽带以太网VCN交换机,各个端口的数据流借助VCN交换机加以隔离,从而保证各用户的数据安全,此方案关键在于借助硬件保证网络的安全性,因此对整体网络的稳定没有太大影响。至于内部用户在社区外访问社区网络时的安全性,就要借助虚拟私有网络来实现,也就是说,在社区网与公网之间,由PPTP或L2TP提供VPN隧道,由IPSec对网络传输数据进行加密封装,从而实现网络通信的安全性。
第二,认证与计费。丰富的网络服务,需要完善的网络管理,这就建立在高速的物理网络基础之上,以及借助于强大的后台系统,总体算下来投入成本过高。为了降低成本投入,可以在城域网中心集中计费管理,不但解决了成本问题,还促进了网络运营商之间的竞争。
第三,组播。拓扑结构对组播Multicast提供两方面的支持,即路由网络以及二层交换网络。其中,路由网络要支持MOSPF、DVMRP或者PIM;后者主要借助IGMPSnooping标准协议才能实现。
第四,网络管理。一般而言,网络系统的稳定运行是需要维护和管理的,如果缺乏有效的管理,网络环境将变得混乱,严重影响网络的正常运转。这是,就需要专业的网络管理软件大显身手,管理软件能够对网络进行实时监控,主要起到三个方面的作用。第一,保证网络安全。网络系统的运行需要遵守相关的网络协议, 只有在协议框架内的活动才是正常合法的,反之,一旦有人试图破坏协议进行一些违法活动,网络管理软件将在第一时间发现,并发出警报,迅速锁定。第二,网络管理软件会将网络的运行情况记录下来,在分配网络资源时可以将记录作为重要的参考依据。第三,根据对流量数据的统计,可以知道网络用户应该承担的费用。
3.不同密度用户的网络规划与设计方案
下面,笔者将利用局域网中的太网技术,根据小区用户的密度规划网络方案。什么是小区用户的密度?这里的密度其实是指小区内的住房密度。每个用户家里都接入一个RJ45信息插座,直接连到社区网络,用户立马能够体验到100M的网络速率。注意,我们应该重视本方案中的一些实际问题,首先,我们采用的是传统的太网技术,必须加强安全性的考虑。其次,社区网络接入提供的各种网络服务,需要进行运营管理,用户的计费问题需要解决。最后,社区网络的基础设备需要长期进行维护和管理。
将网络交换机直接连到中心交换机上,是低密度社区用户的最佳选择。如果社区密度较高,可以将VCN10/100M交换机作为边缘交换机,采用10/100M到户。
总之,我们应该深刻了解计算机网络对我们的重要意义,不断优化网络规划与设计,为人们的生活带来便利,为企业的发展提供保障,充分发挥计算机网络的功能和作用。
参考文献:
[1]杨民东,杨伟鲁.面对知识经济挑战的计算机教育问题[J].生产力研究,2008(6).
[2]郭善渡.计算机教学与创造教育[J].课程·教材·教法,2009(5).
[3]许金普,徐鹏民,孙晓梅,马德新.“计算机网络技术”课程建设与教学改革研究[J].现代教育技术,2008(7).
