关键词电力二次系统;安全防护;电网安全;信息安全
中图分类号TM77文献标识码A文章编号1674-6708(2016)172-0283-02
目前,电力二次系统的信息安全与电网调度和控制系统等安全运行分不开,如何搭建安全可靠的电力二次安全防护系统,确保电网安全稳定运行,已成为迫在眉睫的问题。随着网络建设的快速发展,电力二次系统网络运行环境的安全性严重不足。在2003年的美加大停电中,蠕虫病毒阻碍了加拿大安大略省从停电事故中恢
复正常供电的进度[1]。
电力二次系统是电网安全稳定运行的前提,如果没有二次系统的保障,一次系统无保护运行将很容易造成系统性崩溃。因此,必须要防止病毒和黑客威胁电力二次系统数据网络,减少电力系统安全事故[2]。
1交换机技术
交换机工作在数据链路层,管理和共享多个计算机以及网络设备,其特点是对网络进行以微分段的方式进行数据通信[3]。交换机解决了两个相邻节点之间的通信问题,实现了邻节点链路上无差错、准确无误、高效快速的传输协议数据帧[4]。
如今已有能够支持各种局域网多层的路由技术,实现了数据快速和准确转发。多层交换技术具有性价比高、易于扩展等优点,成为主要的发展趋势。交换机在数据帧交换中的核心集成电路设计、硬件体系结构设计、虚拟局域网技术等方面都会有所改进。从整体来看,交换机是向更快、更可靠、带宽更大的方向发展。
2路由器技术
不同的网段或网络可以通过路由器连接Internet中各局域网的广域网的设备,从而构成一个更大的网络。它能够根据网络情况自动选择和设定路由,以最佳路径将数据包转发出去。
如图1所示,在TCP/IP网络中路由器是最主要的联网设备。IP路由协议中使用的度量有:跳数、带宽、负载、延迟和开销。未来路由器的设计和发展方向将趋向于高安全性、高可靠性、高性能和智能化4个方面。
3硬件防火墙技术
硬件防火墙作为一种重要的网络安全设备,主要用于实现网络地址转换、过滤规则配置等,其技术还在不断地发展进步[5]。为了提高防火墙的性和稳定性,一些防火墙厂商通过专用的集成电路或者网络处理芯片来实现防火墙的核心功能。由于采用了专门的硬件处理平台,防火墙的处理能力得到了很大的提高,降低了因为防火墙检测而导致的网络延时。在功能上,防火墙在保留其核心功能的基础上,增加了地址转换、虚拟专用网络、Qos、入侵检测和病毒防御等完善网络安全管理的功能,从而构建了一套以防火墙为核心的完全防御系统[6]。以防火墙为核心的安全防御系统是一个智能化的操作平台,能够准备地发现并及时阻挡入侵的发生和中止病毒的扩散等。
随着电子商务的蓬勃发展,作为其支撑的宽带和应用数据中心均对防火墙性能提出了更高要求,导致对高速防火墙的大量需求。高速防火墙是指那些吞吐量和处理速度非常优异的千兆防火墙。为了实现比普通防火墙更高的要求,高速防火墙采用了专用集成电路(ASIC)技术、集群技术的分布式技术。
4横向隔离技术
电力二次系统实现电网的实时监控、在线稳定控制预决策、继保信息管理、电量采集、在线生产交易等业务。由于关系到电力生产安全、社会生活稳定等重大问题,电力二次系统再长期的建设过程中,都要求与企业综合业务网和物流网进行隔离。但是信息管理系统与互联网连接,并与电力二次系统信息共享必然会引入外部安全威胁。而防火墙等在线防护技术采用逻辑隔离的方法,不能提供较高强度的安全。所以这种软隔离方法难以满足电力部门的高安全需求,必须采用一种能够提供高强度安全的技术,在保护电力二次统内部安全的同时,提供较好的数据交换功能。
网络隔离技术就是将网络与网络之间的连接分离,然而网络隔离后便不能实现数据信息共享的功能。网络隔离与数据交换本来就是一对矛盾,而网络隔离技术就是为了解决这一对矛盾,为网络提供一种安全交换方式而发展起来的[7]。由于网络近乎苛刻的安全性要求,网络隔离技术的设计思想与传统的网络防御技术有了较大的区别。
根据电力网络应用的特殊要求,厂商研发出了电力专用横向隔离装置。横向隔离装置使用网络安全技术和隔离交换技术,在内外网间断开OSI七层网络协议,实现了非网络数据的交换。为了解决计算机信息共享的问题,设计了基于TCP/IP模型的网络体系结构,它很好地解决了不同网络之间的兼容性问题,实现了网络间的互联互通。
5纵向加密认证技术
纵向加密认证装置负责保障网络内数据的安全传输,其设计及使用的原理涉及密码学和网络安全。纵向加密认证装置采用“统一协调,分级管理”,通过各级装置管理系统对不同厂商的设备进行统一管理。
除纵向加密认证装置外,“纵向认证”的实现还涉及调度证书服务系统和装置管理系统。装置管理系统位于电力调度中心,是对所辖多厂商的装置进行统一管理的计算机系统[8]。
6结论
综上所述,本文主要介绍了交换机、路由器、硬件防火墙、横向隔离装置和纵向加密认证装置等电力二次系统安全防护中五种主要安全防护和网络设备的技术原理,并阐述各设备在电力专用领域的安全技术。事实证明,电力二次安全防护在电力系统的正常运行中发挥着不可替代的作用,其不仅保障了电力系统二次信息传递的安全,为电力系统的正常运行营造了可靠安全的运行环境,还提高了电力系统二次信息传递的准确性和快速性,保证电力系统运行的安全性和可靠性,从而保证国民经济持续快速的增长。
参考文献
[1]天石.停电后蠕虫病毒使加拿大电力系统恢复受阻[EB/OL].[2011-10-18].http://.cn/o/2003-08-20/1004600489s.shtml.
[2]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.
[3]黎连业,王安,向东明.交换机及其应用技术[M].北京:清华大学出版社,2004.
[4]陈玉平.电力调度自动化二次系统安全防护初探[J].自动化技术与应用,2009,28(8):132-134.
[5]李劲.论述广西电力二次系统安全防护技术原则[J].广西电力,2005,28(4):18-21.
[6]黎连业,张维,向东明.防火墙及其应用技术[M].北京:清华大学出版社,2004.
“这是顺应行业变化趋势的选择。”迪普科技CEO王冰说:“现如今,用户对IT承载网络的期望早已不仅仅局限于互联互通,而是需要一张可以感知业务和应用,可管、可控的智能网络。如何让网络能够“理解”应用,更加高效、安全、可靠的把应用交付给用户,成为新时代智能网络的变革主题。“此时,迪普就是秉持“让网络变得简单、智能、可靠”的企业愿景,并根据多年践行提出“应用即网络”的技术理念,将安全、应用交付等应用层功能与网络深度融合,让网络天然地满足应用对于安全与效率的需求。
正是依附于这样的理念,迪普科技开发了业内第一个真正意义上的L2~7融合操作系统ConPlat,以及高性能硬件架构APP-X、应用识别与威胁特征库APP-ID等核心技术。而DPxFabric解决方案架构也是迪普科技“应用即网络”技术理念的进一步落实。
可以说,DPxFabric解决方案架构的核心实力是VSM虚拟交换矩阵、VEM虚拟扩展矩阵、OVC操作系统级虚拟化、紧耦合和流定义等多种创新技术的结合,不仅解决了传统IT网络、安全及应用交付系统建设模式中业务与网络割裂等种种弊端,也带来了全新的“智能网络”体验,并将应用支持能力从单设备扩展到整网。迪普科技市场部副总裁康亮表示:“当前网络建设模式开始从分系统建设的传统模式向多系统共享的云网模式转变,DPxFabric解决方案架构充分考虑了这些需求,以安全为核心重筑网络,致力为更多客户创造更高的价值。”
说到安全,外界很多人还在质疑迪普现在到底是一家安全企业还是网络企业。对此,迪普科技CEO王冰在接受本报记者采访时说道:“迪普是一家从安全公司起步,在网络和应用融合的趋势下,进行了自我定位和技术创新,现在已经成为的提供网络、安全和应用交付深度融合的产品和解决方案的公司。”
网络安全与管理专业方向的人才培养除了满足网络工程专业人才培养基本要求外,还需要注重培养两方面的专业能力:网络系统安全保障能力和网络管理维护能力[3]。网络系统安全保障能力是指熟悉信息安全基本理论和常见网络安全技术的工作原理,掌握主流网络安全产品的安装、配置和使用方法,能初步设计开发网络安全产品。网络管理维护能力是指熟悉常见网络设备与系统的工作原理,掌握网络管理的主流模型、系统功能、以及各类管理技术与方法,能初步管理和维护网络与信息系统。
2网络安全与管理方向专业课程体系
2.1知识结构
网络工程专业网络安全与管理专业方向人才要求具备的知识可分为三大类:公共基础知识、专业基础知识、专业知识。公共基础知识相对固定,具体知识包括政治理论知识、人文社科知识、自然科学知识。其中,政治理论知识包括马克思主义基本原理、中国近现代史纲要、思想和中国特色社会主义理论。人文社科知识包括大学英语、大学生心理健康、思想道德修养与法律基础、社会和职业素养、军事理论、体育。自然科学知识包括高等数学、线性代数、概率论与数理统计、大学物理、大学物理实验。专业基础知识根据网络工程专业人才的专业能力要求制定,具体包括电子技术基础、计算技术基础、计算机系统基础。其中,电子技术基础包括数字电路、模拟电路和电路基础,技术技术基础包括数据结构、离散数学、程序设计、算法分析与设计,计算机系统基础包括计算机组成原理、操作系统、数据库原理、软件工程。专业知识相对灵活,通常根据所在院校的专业特色和办学条件制定,具体包括专业核心知识、专业方向知识、专业实践环节[1]。下面重点讨论这部分内容。
2.2课程体系
依据上述知识结构,结合笔者所在学院的师资力量、办学条件和专业特色,制定了网络工程专业网络安全与管理方向的专业课程体系,如图1所示。由于公共基础课程基本固定不变,在此不再列出。图1所示的课程体系包括专业基础课程、专业核心课程、专业方向课程和专业实践环节。其中,专业核心课程包括计算机网络、网络编程技术、网络互联技术、网络工程设计。专业方向课程分为网络安全和网络管理两个分支。专业实践环节包括课程实验、课程设计、实习实训、毕业设计。我们认为专业核心课程的设置依据是,计算机网络是所有网络工程专业课程的核心基础,网络编程技术是网络工程专业各方向(包括网络安全与管理方向)的软件开发基础,网络互联技术是网络工程设计的基础,而网络工程设计是网络管理分支方向的基础。
2.3专业方向课程知识点
网络工程专业网络安全与管理方向可分为网络安全和网络管理两个分支。其中,网络安全分支课程包括信息安全基础[4]、网络安全技术[5]、网络攻防技术,每门课程的主要知识点如表1所示。网络管理分支课程包括网络管理[6]、网络性能测试与分析、网络故障诊断与排除,每门课程的主要知识点如表1所示。
关键词:联通;软交换技术;应用;实施方案
中图分类号:TN915文献标识码:A文章编号:1674-7712(2013)10-0099-01
随着通信网络的快速发展,为了顺应时代的发展,方便人们的生活,必须要提高通信网络技术。在联通通信网络中运用软交换技术可以有效的提高通信网络的网络结构,提高网络容量。因此,必须要使软交换技术在联通通信网络中更好的应用,制定有效的设计方案。
一、联通软交换技术的应用
(一)软交换技术对联通核心网的业务和功能的有效分析。联通传统交换设备完成的业务和功能,同时也可以由软交换技术进行完成。联通通信网络主要包括基本业务和补充业务这两个大的业务系统。基本业务主要是承载业务和电信业务,承载业务主要是对用户提高接入点间信号的传输功能;电信业务主要是为用户提供完整能力的通信业务。在提供基本业务时,必须要保证补充业务与其一起运行,补充业务主要是改进和补充承载业务和电信业务。
(二)软交换技术在联通2G核心网中的应用。联通2G核心网主要是利用软交换技术作为其主要的关口局、端局和汇接局等设备。软交换技术中所具备的分层网功能可以在2G核心网中进行有效的利用,可以成为分布式2G核心网络。分布式2G网络主要是对联通通信网络进行有效的维护和管理,能够使通信网络各个系统进行连接和互通。在分布式2G网络中,其中的MGW和MSCServer可以拉远设置,能够改善传统组网中的缺陷。
(三)软交换技术在联通3G核心网中的应用。随着通信网络的快速发展,软交换技术和IP技术都得到了有效的利用。在3G核心网中的核心网部分没有非常明显的差异,通常都是由网络结构和演进以此作为3G核心网的发展。
软交换技术在联通IP多媒体领域中得到了全面的应用。主要包括:多媒体网关、呼叫控制服务器、媒体网关控制服务器等。
二、联通软交换技术的实施方案
(一)对联通通信网络中的媒体网关的承载连接行为进行有效的控制和监督,利用媒体网关控制器对媒体网关MG进行有效的控制。对媒体网关的承载连接行为进行有效的控制和监督,必须要将呼叫逻辑系统从媒体网关中进行有效地分离,利用控制媒体网关系统代替媒体格式的转换功能,却要排除呼叫控制功能。
(二)呼叫控制主要的过程是建立、连接和中止。呼叫控制中的会话启动,主要利用IP网对网络双方或者是多方进行建立、修改和终止多媒体会话。主要是在利用软交换技术时对联通通信进行有效的控制和信息交互。软交换在实施过程中,可以制定一定的控制体系结构的核心协议,这个协议可以有效的适用在联通通信网络中的多媒体会议系统、远程教育等。
在NGN软交换系统中与其它的软交换系统设备进行相互连接后,可以将它们呼叫控制功能进行全面的实现。首先只需要建立一个基本呼叫、两个请求消息以及一个响应消息。便于对它们进行实现和调整,同时也很容易进行管理。其次,在分布式网络结构中有着极高的灵活性和可靠性,同时也具备着较为简单清晰的网络结构。其本身所具备的灵活性、协调性以及扩展性,可以在很大程度上不会影响联通通信网络的运行,也可以相应的提高联通通信网络的安全可靠性以及定位功能。
(三)多媒体通信主要是利用网络以此提供有效的音频、视频和数据通信的标准。在多媒体通信中呼叫控制是其最重要的组成部分,它可以有效的将点到点的媒体会话和多点媒体会议进行建立。但是它需要较长的时间周期,同时也很复杂,没有较好的扩展性。
(四)信令传输控制。信令传输控制主要是在IP网络上进行PSTN信令的传送,可以提高联通网信令中在IP网络中传输的可靠性以及时效性,确保电路交换网络的信令在IP网络中传输的安全可靠性。在信令传输控制中的流控制传输主要是在IP网络上提供安全可靠的信息传输。信令传输控制主要是利用分组交换的软交换体系,为信令传输提供业务。
(五)集合信道独立调用控制器与承载没有关系的呼叫控制。它主要是为了解决呼叫控制和承载控制分离的问题,可以保证呼叫控制信令站在各种网络上承载,能够确保电信网络向综合多业务网络演进的重要支撑工具。集合通道独立调用控制器可以支持宽带主骨干上的窄带服务,而且不会对网络与终端服务之间的接口产生干扰。
(六)全连通组网。全连通组网可以运用在小型软交换系统中,可以对联通用户进行快速及时的定位,同时也可以对联通通信网络进行扩展和协议互通。全连通组网中的每一个软交换服务器,通过网络使得软交换服务器相互连通。互通软交换层可以对外部不同网络提供不同的功能。这样可以不会出现太多的连接点,也使得原有的内部网络结构和内部网络结构不会发现变化,也确保了信息的安全。
联通软交换技术的应用,首先必须要对联通核心网的业务和功能的有效分析,软交换技术在联通2G核心网中的有效利用以及在联通3G核心网中的应用,从而提高联通通信网络的安全可靠性以及时效性。在实施方案中,对联通通信网络中的媒体网关的承载连接行为进行有效的控制和监督,对呼叫控制、多媒体通信、集合通道以及全连通组网等进行全面的分析,从而提高联通软交换技术的有效利用。
参考文献:
[1]赵美玲.软交换技术在通信系统中的应用[J].铁道通信信号,2013,25(02):56-58.
【关键词】网络安全计算机信息管理
在我国计算机技术快速普及的发展背景下,我国的各个不同领域都开始逐步加快了网络化和信息自动化管理的应用步伐,大数据时代的到来,给人们生活工作的各个方面带来了深刻变化,是人们生活水平提高和工作效率提高的重要原因,在如此影响广泛的前提下,计算机网络信息安全存在的问题必然会引发社会各界的重视和关注。因此,分析如何更为有效的解决好网络信息安全管理问题至关重要。
一、网络信息安全的含义
网络信息安全从广义上讲就是计算机信息使用管理者进行使用者IP锁定,从而对使用者的IP进行身份信息确认,防止一些负面的资源信息恶意入侵,迫坏计算机系统的正常运作,保证计算机使用者的信息数据使用安全性。较为系统的概括就是在网络系统的安全状态下,进行系统软件和硬件以及部分核心数据的管理。网络的信息安全包含了从信息储备状态下开始的安全储备,信息运行处理状态下的运行安全、信息传递和总结状态下的保持安全状态。为此,可以将网络信息安全高度概括为两个主要状态:首先是静态网络安全,静态网络安全是在没有进行网络信息交易和信息运用传递时,要保证信息不被任何外界信息和系统入侵病毒破坏和窃取。网络信息安全体系具有明显的可审计性和信息严控保密性,信息完整度高,可审计性主要是指网络信息进行交流以后,用户不可以随意对自己的接受内容进行另类操作;保密性就是指不可随意泄露网络信息内容给其他个体;完整性就是指用户不能擅自修改没有获得修改许可的网络信息。
二、计算机信息网络安全管理的现状
我国的网络信息管理技术在近些年不断发展和完善,同步带动了计算机网络技术的升级和深入的应用进展,但是发展进步同时必然才在随之而来的问题,各类非官方合法访问和恶意攻击也在不断增加,与之相对应的,各类防火墙和加密技术、安全登录验证和身份验证等也都需要不断进行改善和强化。但是由于不同技术特点各不相同,应用领域差距较大,我国在各个不同领域的应用行研究不够成熟,所以没有形成一个较为系统完善是应用管理机制。这些必然导致了各项网络信息安全管理制度的技术能力没有得到最大程度的发挥。现如今阶段,在所有的网络系统中黑客攻击手段远超过计算机的安全破坏病毒的数量,同时,很多的黑客攻击手段都是具有毁灭性影响的,这些都要求了我国的计算机网络信息安全管理工作需要尽快落实。互联网的最大优势就是可以实现跨越空间和地域的信息化时时交流,使用者可以实现在各个地区的沟通和交流,通过计算机网络信息技术的应用互联,可以为人们的生活和生产活动提供更为便捷的信息沟通。正是此种巨大便利的存在导致了互联网安全隐患的不断增加。
三、造成我国网络安全威胁的原因
(一)入侵计算机信息管理系统
现如今针对网络信息安全案例分析得出结论,多数的网络安全问题存在的因素来源于网络黑客和网络不法分子的入侵,会对整体的计算机信息网络安全造成巨大威胁。正是这些网络网络破坏因素的存在才导致了政府安全管理部门和计算机网络信息企业的经营管理系统安全风险加大。此外,部分的网络主页遭到黑客和不法分子的恶意篡改,在不同时间段一系列病毒信息,这些都会导致网络信息安全系统的正常运作受到威胁,继而会对政府以及相关的网络信息应用企业造成病毒入侵危害,严重者可能会导致整个企业管理的网络信息系统瘫痪,这些都会对国家政府和相关信息应用企业造成安全威胁,同时也会对国家信息安全和社会稳定造成影响。目前,非法入侵计算机安全管理系统已经被列入了我国法律管理范围之内。计算机网络信息安全管理系统是进行有效数据整合以及数据高效动态管理的重要内容和方法,伴随着我国计算机网络信息安全技术的不断进步和发展,计算机的网络信息安全管理系统的黑客入侵和病毒入侵事件也在不断增加,所以针对入侵计算机信息管理系统这一问题需要进行有效的入侵检测技术研发,虽然现有的计算机网络信息管理技术有所进步,但是对于实际的问题解决能力仍然有限。
(二)对于信息管理系统的恶意破坏
针对计算机管理系统的蓄意病毒入侵问题,计算机安全管理系统指出根本原因依旧集中在部分黑客和不法分子的利用系统存在的安全漏洞,非法进入国家政府网络系统中,随后对部分的核心信息以及文件进行内容盗取和改动。还存在部分网络黑客和网络信息破坏份子在进入相关网络系统后,对系统账号和系统内容进行非法篡改,同时加装一些密码破解软件和病毒入侵软件,从而达到对政府网络和目标企业信息网络的长期性操控,从中盗取一些核心企业信息和数据,此类不法分子就是通过对计算机网络信息安全管理系统的整体核心资源操控破坏信息安全,达到整体网络受制于个人操控的目的,这些都会对国家和网络信息应用企业带来重大影响和不可估量的安全隐患。计算机病毒也属于对信息管理系统进行恶意破坏的重要的因素,计算机病毒通俗角度分析就是对计算机各种数据的复制和修改各类程度代码,利用不同的程序编段对计算机系统进行数据破坏,进而对计算机系统造成严重的运行影响,导致无法再进行信息系统使用。例如:木马病毒,是很常见的信息管理系统恶意破坏病毒,主要是以计算机本身作为病毒传播载体,抓住计算机本身的系统漏洞进行病毒植入,所以对计算机的网络信息安全是更大的威胁。
(三)对于相关数据和程序的恶意破坏
很多的网络黑客和利用网络信息进行不法操作的分子在进入计算机系统软件以后,对计算机的相关应用数据和计算机应用程序进行恶意破坏,同时还会利用很多的远程操控系统软件进行计算机系统实施操控。这会严重导致计算机相关数据文件的永久性破坏控制,长期发展会造成计算机文件系统的安全保障系统无法恢复,进而会对计算机使用和操作者以及整体企业造成影响,无法正常进行工作系统安排。在相关数据程序遭到恶意破坏的案例中,很多木马程序和后门都会引发计算机病毒的感染,计算机一旦感染此类病毒就会很难进行阻止,病毒的传播速度极快。在计算机技术更新应用升级过程中,木马程序病毒也会随着计算机的系统更新而更新。病毒在更新发展后也会出现提供黑客的应用隐蔽。
四、计算机信息管理应用于网络安全的策略
(一)加强系统程序病毒风险防范意识
如果要达到计算机核心管理系统安全管理,首先就是要从主观观念上强化计算机信息管理相关应用工作者的风险防范意识,提高计算机信息安全管理人员对各类网络信息安全案例的了解,和相应解决措施的掌握,这些是进行计算机网络信息安全管理和安全运用首先要进行合理解决的重要问题,与此同时,不仅要对计算机网络信息安全管理的工作人员加强风险防范意识,还要同时提高计算机应用者的安全维护意识,注意网络安全的系统维护,对计算机安全管理问题进行系统认识,从核心的基础安全防范计算机病毒入侵入手分析,最基本做法就是要进行计算机核心划分部门的机密文件及时加密储存,进行合理的分类管理,这些都是政府部门进行企业计算机安全管理的重要内容和方法,同时也计算机应用者提高使用利用合理性和安全技术性的重要要求。
(二)管理系统技术严格把关
要达到对计算机管理应用安全维护,必须加强核心技术的严格控制和把握,对于网络安全工作者,最主要的职责和工作核心内容就是强化自身的信息网络管理技术技能,对核心管理技术进行及时把握。我们比较熟悉的几个计算机信息安全管理技术内容包括:计算机网络安全病毒查杀、计算机的防火墙功能、计算机的安全监测技术等等。在对计算机进行安全管理防护的同时,需要将各种风险影响因素考虑在内,只有对各类影响安全操作的因素有系统总结和理解,才能实现对计算机信息网络安全技术的合理使用。此外,在进行网络安全访问系统设置的同时,需要对重要数据与核心信息进行备份管理,应该重视和关注计算机系统操作的安全性和操作规范性,从而降低计算机病毒入侵的可能性和危险性。我们应该配套提高计算机病毒检测能力和手段,对可能的个人信息泄露做到及时发现及时处理。个人骚扰信息和诈骗电话很多都是因为个人网络信息的泄露,所以必须对网络安全管理技术严格把关。
通过对网络安全形势下计算机信息管理的深入分析可见,计算机网络应用技术的使用范围拓展和使用主体增加必然带来使用风险的同步上升。对于加强计算机网络信息应用安全的问题必须从技术影响实际入手,分析主要的风险来源和安全隐患,从而做到有针对性的网络安全进行维护,构建起安全可靠的网络环境,推动计算机网络更加稳定健康发展。
参考文献:
[1]迟洪伟.关于计算机信息网络安全管理的几点思考[J].硅谷,2015.
[关键词]中国电信IMS网络运维综合能力提升对策
中图分类号:TN919.8文献标识码:A文章编号:1009-914X(2015)13-0306-01
随着网络融合的深入推进,中国电信未来将拥有庞大复杂的IMS融合网络。当前IMS网络发展机遇与挑战并存,鉴于IMS与传统网络的巨大差异性,中国电信运营商应充分认清当前IMS网络运营问题和挑战,以便有的放矢地加以应对,更好地促进IMS网络运维能力、运营水平的整体提升。
一、中国电信IMS网络运营面临的问题
1.IMS技术层面问题
从IMS技术层面来看,IMS网络彻底IP化内核的技术特征,会增加网络和业务的运营风险与维护难度,给网络运营带来更大挑战。IMS技术对运营挑战主要包括以下方面:第一,IMS网络架构较软交换而言更复杂,运营难度增加。IMS网络涉及多个专业设备,且设备种类更多、网元间接口更复杂,如增加了IMS-SIPDiameter等协议,为故障定位、服务质量保障带来挑战。第二,IMS是基于全IP网内核的网络技术,带来新挑战。IMS网络实现了端到端信令与媒体全面扁平化,即除了媒体流实现扁平化外,网元间通过域名查找DNS做到端到端无连接状态的信令路由寻址,这种动念寻址链路较传统静态链而言,更完美,但也带来互通、安全、维护等风险,对网络方案提出更高的技术要求。第三,IMS网元容量大,接入客户类更多,设备故障对业务影响更大,这就要求故障发现更快,切换更快,但技术、设备代价也更大,因此对网络容灾安仝技术提出更高要求。第四,智能终端风暴的挑战。终端智能化、多元化、个性化趋势加快,各类软硬终端、智能手机层出不穷,由于IMS支持终端漫游,接入方式多样化,如EV-DO、Wi-Fi、ADSL及PON等,网络接入互通兼容性问题比较突出,故障定位难度加大,若终端通过非信任域IP接入也给核心网络引入一定风险,因此,对网络安全、运维能力提出新要求。第五,端到端的QoS服务能力不足。目前虽有规范,但技术还不够成熟,端到端QoS保证体系不完善,宽带业务和窄带业务在资费模式、业务模式,甚至商业模式上都有所不同,为新型宽带业务的运营带来挑战。
2.IMS网络层面问题
IMS网络运营时,在IMS应用模式、网络业务实现方案、技术规范方面尚待研究和优化;在运行质量指标、网络互通、业务实现、可靠性、接入维护、管理能力、支撑系统、维护队伍建设方面带来挑战。日前影响IMS网络运行质量的原因主要包括以下方面:一是IMS技术在网络组织、应用方案、运维功能上还需要通过运营不断验证、优化完善;网络运行质量指标体系有待研究建立与试验,目前部分统计能力还不具备,尤其是端对端的业务质量评估指标,为网络质革优化带来挑战;统一接入及新型智能终端带来新的维护能力需求、方式的挑战。二是网络跨网络、跨机型、跨域、跨平台的互通能力与稳定性有待提升,对网络服务质量带来影响;跨网络体制的融合业务实现方案有待研究优化,对业务开放带来挑战;设备网管系统能力有待规范统一,维护能力有待提升。三是配套支撑系统有待升级改造支持与IMS网络衔接,可能会影响业务受理、开放;维护队伍IMS维护技能与维护经验不足的挑战。
3.IMS安全运营层面问题
IMS安全运营是网络运营的重要基础。目前IMS组网方式、安全机制还不完善,例如,存在较多薄弱安全风险,S-CSCF间缺少容灾倒回能力,S-CSCF负荷均衡机制欠缺,网络中断SIP用户恢复耗时长,且依赖终端重注册,IMS还不具备对业务平台、DNS或关键网元的Bypass功能,用户账号密码存系统没加密,维护手段不足等。因此,需要提出IMS可靠性提升关键技术和运维管理手段措施,形成相关规范和指导方案,这就对运维监控、防瘫、应急维护能力提出更高要求。
二、中国电信IMS网络运维综合能力提升对策
1.IMS网络集约化运营能力的提升策略
目前中国电信IMS网络运营刚开始,急需尽早建立合理、规范的集约化运营体制,提升高效运营能力。具体包括:
(1)加强集约化运维体制的建设。通过有序推进IMS集约化运营试点工作,不断完善相关维护制度、维护方式,明确维护职责和分界面,研究形成测试规范、运行质量指标、日常维护计划、数据配置规范、应急预案等满足常规运营需要。
(2)强化集约化维护管理。对厂商统一网管能力提升,针对设备种类多的问题,需要制定相应网管规范,将配套数通设备、IT设备纳入厂商网管统一管理,同时实现标准化北向接口与综合网管系统的对接;系统性推进配套支撑系统与IMS衔接的改造升级,包括综合网管系统、信令监测系统、10000申诉处理系统、计费系统、业务受理支撑系统等。
(3)实现IMS网络与业务的统一。针对融合业务实现复杂的问题,要形成统一解决方案、配置方案;鉴于网络互通的复杂性,研究制定规范和指导原则,加强网络联调、业务互通、贯穿测试,在上线前尽量消除主要问题隐患。
(4)增强网络运维技术手段。如针对终端的深度分析管理平台、IP网业务流监测系统、业务质量自动拨测系统及时发现问题,控制影响范同,及早消除故障。
(5)规范集约化故障处理流程。对跨专业、跨网络、跨域、漫游时故障要及时发现、快速定位和应急疏通要求更高,应重视做好日常定时拨测、安全防护、例行维护、应急预案等。
(6)加强维护专家队伍建设,除了熟练掌握IMS等融合核心网络维护技术和经验技巧外,还应提升在IP网络、综合接入、新流程和融合网络业务等方面维护技能和经验。
2.IMS网络安全性与可靠性的提升策略
IMS网络安全性及可靠性的提升,可从组网建设、网络技术、维护管理等方面加以综合考虑。
(1)IMS容灾组网技术方案。组网时应根据IMS安全的薄弱环节,对核心网元的安全等级进行划分,对HSS、S/I/P-CSCF、DNS等重要性最高的A类网元选择Pool或1+1互备等组网方式,支持容灾数据实时或准实时同步;对MGCF、AGCF和大型BAC等B类网元采用双归属或负荷分担方式组网;域内采用有心跳检测的静态链路,当域内网元出现故障时,可快速告警和路由切换;域间通过软交换网、传统长途网做好动态链路失效的迂回保护。
(2)IMS快速旁路Bypass应急恢复技术。针对A类网元瘫痪,研究试验DNSBypass、ASBypass、HSSBypass、CCFBypass机制和维护规范,使得网元瘫痪后业务不受影响或影响最小,另外还应提升维护人员网络防瘫、应急恢复能力和维护水平。
(3)IP安全防护与漏洞封堵。针对业务开放与IP化系统的安全漏洞问题,应通过安全扫描等手段,发现和封堵系统漏洞,服务端口最小化;在网络边缘层配置防火墙功能阻隔非信任区域的风险。
(4)用户信息安全加密技术。账号密码等用户关键信息录入、传送、存储、维护全流程采用加密算法进行加密。
总之,IMS网络作为未来统一核心网络,其运营质量问题将关系整个电信网络、业务运营的质量,应引起足够重视,并充分研究IMS网络运营的关键问题,提出解决对策,实现IMS网络规范、高效、安全的运营目标。
参考文献
