第一篇:高清播出系統網絡安全架構設計研究論文
摘要:海南廣播電視總臺作為省級媒體,對于安全播出有較高的要求。目前,海南廣播電視總臺高清播出系統已實現了7個頻道的高清播出、整備和縮編業務。在網絡安全方面,系統已通過了三級等保測評。本文主要是介紹海南廣播電視總臺高清播出系統網絡安全架構的設計。
關鍵詞:高清播出;網絡安全
一設計思路
海南廣播電視總臺高清播出系統網絡安全架構的設計是以現有系統的實際情況和現實問題為基礎,遵循國家網絡安全法、廣電總局62號令以及網絡安全等級保護管理辦法的要求,汲取近年來全國各大電視臺網絡安全的成熟經驗,科學規范地建立集管理和技術為一體的符合自身實際情況的網絡安全體系。海南廣播電視總臺一直非常重視網絡安全工作,長期將網絡安全擺在重要位置,此次高清播出系統網絡安全架構設計的核心目標就是構建符合等級保護三級標準要求的系統,從而保障系統所包含業務的安全可靠運行,保證關鍵內部信息的保密性、完整性及可用性,同時建設完善的網絡安全管理制度體系,包括制定、細化和修正各種在日常網絡安全工作、系統建設工作以及系統運維工作中要求遵守的網絡安全制度、操作規范等規定。高清播出系統網絡安全總體框架如圖1所示,分為五個部分,包括策略體系、技術體系、組織體系、運營體系、系統建設體系。策略體系主要是整體網絡安全策略的規劃。技術體系主要是高清播出系統所采用的網絡安全技術、基礎支撐設施以及各層次的安全。組織體系主要是網絡安全的組織架構以及人員的管理。運營體系主要是管理高清播出系統網絡安全策略在日常運行過程中的執行。系統建設體系主要是高清播出系統建設過程中的網絡安全工程過程管理、項目管理以及質量的管理。
二設計要點
1.網絡邊界安全網絡邊界安全措施是保護高清播出系統的基本安全措施,也是保障系統安全的第一步。海南廣播電視總臺高清播出系統的邊界安全措施主要從邊界的定義、邊界的隔離和訪問控制、邊界的入侵檢測等方面入手,同時選用大吞吐量和高并發的網絡防火墻,實現攻擊防護、IPSECV*N、訪問控制、用戶認證、鏈路負載均衡等功能(圖2)。
2.核心網絡入侵檢測海南廣播電視總臺高清播出系統與主干網相連,后者承載了各業務系統之間數據的共享、交換和傳輸,這對高清播出系統網絡的傳輸安全提出了很高的要求。在高清播出系統核心網絡設備上部署入侵檢測引擎,實現對核心網2高清播出系統網絡拓撲圖絡的訪問進行實時監控,確保核心網絡的安全,是保障海南廣播電視總臺高清播出系統業務可用性和傳輸安全性的基本監控措施。
3.系統平臺安全系統平臺安全主要是指主機設備配置安全,主要包括管理軟件設置、運行日志,實行統一認證,設置、運行、維護權限控制和訪問控制,監控運行情況等。在操作系統軟件配置方面,要從正規渠道購置正版軟件,并及時更新軟件補丁,同時定期對系統內的操作系統、平臺軟件、應用軟件進行安全性檢查,關閉不需要的服務。在數據備份和系統恢復方面,要對重要的數據采用多種手段進行有效備份,以備在必要時進行恢復操作。
4.操作系統內核加固按照等級保護劃分,早期的操作系統屬于第一級用戶自主保護級,目前使用的主流操作系統都屬于第二級系統審計保護級。由于二級操作系統已經不能滿足高清播出系統網絡安全需要,因此,對操作系統進行內核加固,打造符合國家信息系統安全等級保護操作系統安全三級標準以及公安部GB/T20272-2006信息安全技術三級認證的安全操作系統是必須要做的。操作系統內核加固軟件能夠與當前各種主流硬件平臺、操作系統以及應用系統有效結合,從而實現安全等級的動態提升。除對操作系統內核進行加固外,海南廣播電視總臺還對高清播出系統的服務器、工作站、數據庫、網絡設備、安全設備等進行了人工加固。
5.用戶安全身份認證的應用是保障高清播出系統用戶安全的重要手段,高清播出系統終端用戶在認證中心注冊并取得身份令牌后,訪問高清播出系統的業務時,必須通過認證中心的認證之后,才能進行有效的數據交換和安全的數據共享。海南廣播電視總臺高清播出系統采用雙因素身份認證系統,終端用戶在進行系統登錄時采用用戶名+靜態密碼+動態口令登錄,而且同一個用戶名的登錄是在2個操作界面內完成。身份認證系統還具備密碼集成、在線/離線認證以及后臺應急密碼認證等功能。
6.日志審計在高清播出網絡系統的各個關鍵節點中部署日志審計探針來采集日志數據,并上報日志審計管理中心,通過管理中心實現日志數據的分析和評估和網絡安全響應,從而實現審計數據采集、分析、查閱、事件的選擇和存儲以及自動響應等功能。海南廣播電視總臺高清播出系統選用的日志審計平臺可存儲3億條日志,并可同時審計100個對象,峰值處理能力可以達到5000EPS(EPS:每秒日志解析能力)。
7.數據庫審計與風險控制數據庫審計與風險控制系統可以有效管理數據庫賬號權限,識別越權使用和權限濫用,跟蹤敏感數據訪問行為并及時發現敏感數據泄漏,同時還可以檢測數據庫配置弱點和數據庫漏洞,同時生產審計報告。海南廣播電視總臺高清播出系統的數據庫審計與風險控制系統可以在無漏審的情況下同時審計4個數據庫實例,吞吐量大于2000M,具備4億條日志存儲能力,峰值處理能力為2萬條/秒,審計日志檢索能力為1500萬條/秒。
8.惡意代碼防范根據GD/J038-2011基本要求,高清播出系統內部應具備惡意代碼防范能力。海南廣播電視總臺高清播出系統在各安全域部署防病毒軟件,對各安全域的終端和服務器進行惡意代碼防范,同時在綜合業務域和制播域邊界部署UTM防火墻實現網關級惡意代碼防護。
9.應用系統安全海南廣播電視總臺對高清播出系統的應用系統提出了必須符合《業務系統開發安全規范》的安全要求,要求應用系統在資源的控制、通信完整性保護和軟件容錯三個方面必須達到等級保護的要求。
10.安全管理體系海南廣播電視總臺明確網絡安全建設的指導方針和總體安全策略,詳細制定網絡安全建設的總體規劃,以等級保護的思路指導海南廣播電視總臺高清播出系統的網絡安全建設工作。
三總結
網絡安全策略是整體原則,網絡安全技術和網絡安全設施是設計基礎,網絡安全管理是實現網絡安全的關鍵,網絡安全體系建設是實現網絡安全最為有效的手段。目前,海南廣播電視總臺高清播出系統已通過了廣電總局監管中心的信息系統安全等級保護測評(三級)。通過高清播出系統網絡安全體系的建設,海南廣播電視總臺建立起了完整的網絡安全體系,打造了動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式,實現了對高清播出系統網絡安全多層次、全方位的防護,有效保障了高清播出系統的安全穩定運行。
第二篇:關于高清播控系統的安全播出分析
關于高清播控系統的安全播出分析
摘要網絡時代,廣播電視播出形式更加多樣,并且能夠全天不間斷的播出,這就需要依托更加完善的系統,將已經排好的節目進行順序播放。在這一過程中提高安全播出質量也就顯得至關重要,依托于其本身較強的流程化特點,對其中涵蓋的各個細化要素進行精準把控,就能進一步提升系統整體銜接能效,為后續節目的正常及安全播出夯實基礎。文章就從不同的方面,對高清播控系統的安全播出進行了討論及分析。
關鍵詞高清;播控系統;安全播出
中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708(2018)211-0074-02
在新媒體技術滲透性應用的過程中,廣播電視節目播出質量將直接影響品牌形象的塑造,因此,提升系統安全性及穩定性勢在必行。為了進一步提升高清插播系統的整體能效,就需要將節目內容整合并統一編輯成呈現節目類型及主體的串聯單,而后再在播出系統中將素材導入,這樣系統就能按照既定標準對節目進行順序播放。因此,對高清播控系統的安全播出進行探究具有重要意義,本文首先對安全播出的重要性進行了闡述及分析,而后提出了操作要點。高清播控系統在安全播出中的作用
從當前形勢來看,電視節目的播出形式由以往的標清逐漸發展為高清,這同時也促使介質環境發生了較大改變,由于節目內容編輯及上傳都需要工作人員來完成,這就需要工作人員能夠肩負起自身職責,以更加積極的態度完成目標任務,為高清插播系統的安全播出提供積極有效的助推力。在信息技術應用背景下,播控系統也更具數字化及現代化優勢,系統本身運行所依托的是自動化標準,在這一過程中涵蓋的各類信息都能共享及傳遞,互通性指標普遍較強。
在高清播控系統運行階段,具有一定的流程化特點,其中編制節目單及上傳是較為關鍵的兩項細化工作,二者的順序不能顛倒,只有先完成節目單編輯再將其上傳至系統中,才能對安全播出產生積極作用。
首先,在完成準備工作后,需要先將磁帶等形式的節目內容傳遞到數據庫中進行介質轉化,而后以電視臺的節目配置要求為基準,對與之對應的節目版面進行編排,而后將信息以磁帶形式呈遞上載環境下,當任務管理器接收到這一指令后,就能將磁帶中的信息轉換為適宜硬盤播出的素材,然后通過將其移動到播出視頻服務器后,系統就能根據轉化后的信息對節目進行自動化播放。
從本質上來看,編單系統的組成結構較為緊密,依托于節目播出需求,該系統一般由播出工作站及第三備控機組成,部分電視臺為了進一步提升高清播出質量,還會在結合實際需求的基礎上,創新及優化應用機制,促使其穩定性不斷提升。實際上編單工作站與播控機并不屬于同一應用范疇,二者都能夠獨立運行,滿足不同的功能性需求,但是以上兩個部分卻都被設置在了機房中,無論是內部管理還是操作,都需要在這一環境下進行,為了避免出現設備故障導致節目播出受阻等問題的發生,還可以增設備用設備。
編單工作應當更加細致,并按照既定標準對其質量進行嚴格把控,節目單編制工作完成后,通過對提交的節目單進行校對及審批,在確保其精準度與預期目標高度相符后,就可以將其上傳至播出工作站進行節目的自動化播出。
實現高清播控系統安全播出的重要性
在市場需求標準不斷上升的同時,對播控系統的先進性提出了更高的要求,從標清轉換至高清,再有高清向4K轉換,不僅能夠進一步提升播出質量,節目單編制及上傳難度更是隨之不斷增加,這就需要以提高節目播出的安全指標為主導,為節目的高效能產出提供積極有效的助推力。不同的電視臺由于需求方向及節目播出側重點存在差異,在系統選擇方面就應當做到結合自身實際,選擇與之契合的播控系統,促使其架構體系更加完整,為節目單編制及上傳提供安全保障。需要注意的是,在這一過程中工作人員的能動性作用不容忽視,這就需要他們具備較強的責任感及專業素質,能夠始終保持積極向上的工作態度完成目標任務。
實際上在最初應用階段,播控系統也并不完善,運行階段也會出現各類問題,但是通過不斷總結經驗教訓,再加之積極有效的技術改造,這就使得系統能效與節目播出需求高度一致,無論是節目單的編制還是上傳,播控系統都能在更加安全、穩定的環境下運行。雖然部分播控系統在運行階段具有較為顯著的優勢特點,但是要想從整體上提高其安全性及穩定性指標,就需要對系統進行調試,促使細節能夠得到精準把控,這樣節目單編制及上傳效率才能進一步提升。在廣播電視中,安全播出已經逐漸成為影響媒體技術發展的重點要素,而創建安全穩定的播控系統是安全播出的首要前提,因此不難發現,安全播出與播控系統本身就存在密切聯系,二者缺一不可。
因此,提升節目播出的安全性指標,應當重點強化體系建設,促使系統運行流程更加規范、合理;構建應急機制,確保安全播出事故一旦發生就能夠在第一時間得到解決;播控機房應當對設備運行情況進行實時監控,為安全播出工作的高效開展夯實基礎。高清播控系統安全播出事故的原因
3.1 磁帶信息被非常規修改
在高清播控系?y實際運行階段,編輯節目素材,并將其上傳,最后借助系統將其播出,具有一定流程化特點,一旦忽視這一問題,將前后順序顛倒,很有可能導致磁帶信息與播出時長難以相符,這就會導致播出事故的發生。
因此,為了合理規避時長改變問題,第一步就需要將磁帶信息調取出來,在實際操作中應當現將播出分鐘進行提取,而后根據任務目標對其進行確認,將其與硬盤中存在的素材銜接在一起。再次點擊節目編制列表,將修改的時間對其進行設置,在確定準確無誤后退出這一界面就可以。這樣不僅能夠促使素材磁帶的信息不被損毀,更能為素材的正常應用帶來基礎保障,這是因為一旦將素材硬性的移動到硬盤視頻播放器中,在缺少關聯素材的基礎上,將節目播出時間進行修改,后續再對該信息進行提取時,內容總量就會隨之改變。
3.2 隨意修改完成上載素材的名字,內容提取存在誤差
一般情況下,大多數延長播出的帶子都不能對日期進行重新修改及確認,這就需要按照標準流程重新進行操作,在這一過程中會耗費較多的時間,其效果也往往難以達到預期標準。但是如果只是針對部分段落進行修改,卻同樣需要將整盒帶子重新打碼及上載,這將會導致一系列關聯的要素都隨之再次入庫,這不僅導致交叉工作頻繁出現,更要對之前的條目進行格式化,這樣才能防止后續應用階段對該類條目進行錯誤調取。實際上將完成的素材上載至視頻服務器中,需要經過層層審查,只有確保其質量及規格達到預期標準,才能允許進入高清播出視頻服務器中。而高清上載系統本身并不具?湫薷乃夭拿?稱的功能,相應權限也明確了這一細節問題,只有這樣才能確保已經通過審查的信息無法被更改。
規范安全播出的編單和上載操作流程
4.1 提升磁帶信息入庫和提取操作的規范性及有效性
從本質上來看,對節目單進行編輯本身就涵蓋較多關聯內容,因此,這就需要對各個項目及要素進行重點控制,促使其流程化內容更加完善,從而進一步提升系統安全運行指標。提升系統安全,約束編單員工作行為,促使其專業素質不斷提升是首要前提,只有他們能夠按照既定標準進行操作,才能將人為誤差控制在最小范圍內。編單的第一步就是將磁帶檢查妥當并收入庫中,當高清磁帶到編播手中時,應當對節目審簽人員的資質進行重點衡量,在通過審查后,則應當對磁帶屬性及特點進行全面了解,根據高清類型選擇與之對應的磁帶,提升選項與磁帶的整體契合度,這是因為上載錄制系統能效作用的發揮會受到磁帶的直接影響,只有磁帶與系統達到標準一致,素材才能被成功錄制。
4.2 規范急送帶的處理
高標清衛視急送帶節目各有一盒帶播出,如果高標衛視同時有急送帶來不及上載,則可在衛視標清改版播帶的情況下,高清衛視編單系統作出相應的版面調整,可把該急送帶播出的信號源,從高清硬盤信號HDM改為轉標清衛視信號WSM,發送節目單到主播控系統,實現高清不播帶轉標清播出。可把高清急送帶先完成上載,標清帶播完再上載,因為高清上載好的素材是用三倍速完成遷移的,先保障高清頻道的重播。這樣就能確保高標清安全播出,避免人工手動切標清衛視造成延遲和靜幀在上一硬盤節目結束幀的可能。
結論
在信息化趨勢不斷蔓延的當今社會,優化高清播控系統具有重要意義,這就需要以實際需求為基準,衡量系統中各個涵蓋因素,促使其關聯性不斷強化,從而進一步提升系統運行能效,提高安全播出質量,為高清播控系統的不斷發展夯實基礎。
參考文獻
[1]袁長建.廣播播控系統安全播出電子培訓教材設計[J].視聽界(廣播電視技術),2014(4).[2]譚峰.大連廣播電視臺電視播控系統安全播出設計[J].電視技術,2017,41(2):88-92.[3]陳楓.廣播電臺播控系統安全播出設計方案和應急故障處理方法[J].科技傳播,2016,8(7):54,73.
第三篇:系統架構設計典型案例
系統架構典型案例
一、共享平臺邏輯架構
如上圖所示為本次共享資源平臺邏輯架構圖,上圖整體展現說明包括以下幾個方面: 1 應用系統建設
本次項目的一項重點就是實現原有應用系統的全面升級以及新的應用系統的開發,從而建立行業的全面的應用系統架構群。整體應用系統通過SOA面向服務管理架構模式實現應用組件的有效整合,完成應用系統的統一化管理與維護。應用資源采集
整體應用系統資源統一分為兩類,具體包括結構化資源和非機構化資源。本次項目就要實現對這兩類資源的有效采集和管理。對于非結構化資源,我們將通過相應的資源采集工具完成數據的統一管理與維護。對于結構化資源,我們將通過全面的接口管理體系進行相應資源采集模板的搭建,采集后的數據經過有效的資源審核和分析處理后進入到數據交換平臺進行有效管理。數據分析與展現
采集完成的數據將通過有效的資源分析管理機制實現資源的有效管理與展現,具體包括了對資源的查詢、分析、統計、匯總、報表、預測、決策等功能模塊的搭建。數據的應用 最終數據將通過內外網門戶對外進行發布,相關人員包括局內各個部門人員、區各委辦局、用人單位以及廣大公眾將可以通過不同的權限登錄不同門戶進行相關資源的查詢,從而有效提升了我局整體應用服務質量。
綜上,我們對本次項目整體邏輯架構進行了有效的構建,下面我們將從技術角度對相關架構進行描述。
二、一般性技術架構設計案例
如上圖對本次項目整體技術架構進行了設計,從上圖我們可以看出,本次項目整體建設內容應當包含了相關體系架構的搭建、應用功能完善可開發、應用資源全面共享與管理。下面我們將分別進行說明。
三、整體架構設計案例
上述兩節,我們對共享平臺整體邏輯架構以及項目搭建整體技術架構進行了分別的設計說明,通過上述設計,我們對整體項目的架構圖進行了歸納如下:
綜上,我們對整體應用系統架構圖進行了設計,下面我們將分別進行說明。
1.應用層級說明
整體應用系統架構設計分為五個基礎層級,通過有效的層級結構的劃分可以全面展現整體應用系統的設計思路。
基礎層
基礎層建設是項目搭建的基礎保障,具體內容包含了網絡系統的建設、機房建設、多媒體設備建設、存儲設備建設以及安全設備建設等,通過全面的基礎設置的搭建,為整體應用系統的全面建設良好的基礎。
應用數據層
應用數據層是整體項目的數據資源的保障,本次項目建設要求實現全面的資源共享平臺的搭建,所以對于應用數據層的有效設計規劃對于本次項目的建設有著非常重要的作用。
從整體結構上劃分,我們將本次項目建設數據資源分為基礎的結構型資源和非結構型資源,對于非結構型資源我們將通過基礎內容管理平臺進行有效的管理維護,從而供用戶有效的查詢瀏覽;對于結構型數據,我們進行了有效的分類,具體包括政務公開資源庫、辦公資源庫、業務經辦資源庫、分析決策資源庫、內部管理資源庫以及公共服務資源庫。通過對資源庫的有效分類,建立完善的元數據管理規范,從而更加合理有效的實現資源的共享機制。
應用支撐層
應用支撐層是整體應用系統建設的基礎保障,根據本次招標文件相關需求,我們進行了相關面向服務體系架構的設計,通過統一的企業級總線服務實現相關引用組件包括工作流、表單、統一管理、資源共享等應用組件進行有效的整合和管理,各個應用系統的建設可以右下基于基礎支撐組件的應用,快速搭建相關功能模塊。
由此可見,應用支撐層的建設是整體架構設計的核心部分,其關系到本次項目的順利搭建以及今后區勞動局信息化的發展。
應用管理層
在3.3.3圖中的設計中,應用管理層有效的承接了我局原有應用系統分類標準,將實際應用系統分成了八個應用體系,在實際應用系統的建設中,我們將全面傳承原有應用分類標準規范的基礎上實現有效的多維的應用資源分類方法,不僅如此,整體應用系統也可以通過多維的管理模式進行相關操作管理,如按照業務將應用系統進行劃分,包括勞動管理和保險管理等。
應用管理層是實際應用系統的建設層,通過應用支撐層相關整合機制的建立,我們將實現應用管理層相關應用系統的有效整合,通過統一化的管理體系,全面提升我局應用系統管理效率,提升服務質量。
展現層 整體應用功能將通過門戶方式進行展現,架構分別設計了內網門戶和外網門戶,不同的應用人員通過登錄可以實現相關系統的應用和資源的瀏覽查詢操作。
2.標準體系規范說明
大型的應用工程項目的建設必須遵照嚴格的標準體系建設規范,根據本次項目實際需求,我們通過三個規范體系對項目進行合理的保障,具體包括了安全標準管理系統、標準規范體系以及運行管理體系。
通過相關標準的制定、安全架構的保障以及管理規范的建設可以保障整體應用系統的設計、搭建、運維等全流程性工作。
3.應用用戶設計
通過分析,我們將整體應用系統面向人群分為四類,具體包括廣大公眾、區內委辦局、局內相關部門以及用人單位,不同對象通過訪問不同門戶可以進行全面的服務保障。
4.系統建設總結
在3.3.3圖中對本次項目整體應用系統建設需求同樣也進行了歸納,項目整體分為三個主體建設,即:共享信息平臺的搭建、原有應用系統的改造以及新的應用系統的搭建。
共享信息平臺的建設旨在全面整合相關應用系統資源,實現有效的瀏覽、查詢檢索機制,整體數據通過規范化的元數據管理機制,實現有效的梳理存儲,為今后資源的整合奠定基礎。不僅如此,在實際項目建設中還將引入商業智能應用模塊,實現對共享資源的智能化分析,從而為決策預警等提供有力依據。
原有業務系統改造則是實現原有應用系統相關流程等的優化配置,并通過有效的數據梳理改造為信息資源的共享奠定良好的基礎。本次項目中需要改造系統包括:政務公開系統、辦公自動化系統、公眾服務系統以及綜合管理系統。
新的業務系統的建設則是要全面提升現階段我局整體辦公效率,繼續加強信息化建設,通過更加全面合理的應用系統的建設,提升我局整體服務水平。本次項目需要建設系統包括:業務經辦系統、社會保險系統、土地儲備系統、企業監督系統、勞動監察系統、勞動關系與仲裁系統、就業和失業管理系統以及綜合管理系統。5.應用接口管理
本次項目建設還涉及到整體應用系統與外部相關系統接口的管理,實際應用接口包括與稅務接口、與財政部門接口、與民政部門接口、與基層單位接口與公安部門接口以及與其他部門的接口。
通過有效的接口管理機制,實現資源的互聯互通,從而更加有效的提升我局無紙化辦公機制,全面加強我局整體工作效率。
四、系統整體邏輯架構案例
規劃一個成熟先進的XX市衛生人才交流服務中心網站平臺系統框架是一切技術工作的先決條件,是奠定系統性能的基礎,是至關重要的。
因此,本項目建設應首先考慮設計和建立一個統一的XX市衛生人才交流服務中心門戶網站系統技術體系,能夠支持政府信息資源的整合、管理及門戶網站群的建設,提供統一的內容管理、資源整合、安全管理構架,并提供對應用服務的統一調度和管理,同時,系統體系結構應分層組織,系統功能模塊化,系統集成松耦合,方便業務應用的修改、重用和部署,滿足系統未來彈性擴展的要求。
系統邏輯框架如下圖所示。
整體系統包括三個體系一個平臺進行全面保障,其中三個體系包括: ? 運行管理體系; ? 標準規范體系; ? 安全保障體系;
具體平臺根據新聞局實際需求建設網站群支撐管理平臺,平臺保障了相關招標文件中的采集管理、內容管理、統計管理、安全管理等功能需求,對于整體應用平臺的支撐則通過中科軟多年門戶建設經驗總結完成的相關應用組件包括工作流管理、元數據管理、電子表單等進行保障。
1.各主要組成部分概要描述
? 數據層
對結構化數據和非結構化數據進行調度和存儲。結構化數據包括:XML 和DBMS。非結構化數據包括:文本文件、音視頻文件、office 系列文件、圖形圖像文件及ZIP、PDF、SWF等其他格式文件等,在數據接口上支持WebService 模塊化組件。
? 支撐層
支撐層通過應用服務器,提供對系統應用層強大的支持,包括:電子表單、工作流、元數據管理、安全審計等功能。并通過WEBSERVICE接口服務支持外部資源對內容管理基礎數據以及內容管理對外部數據資源的應用數據集成。
? 應用層
應用層是政府門戶網站群非常重要的組成部分,是對信息處理的重要環節,按功能的不同可以分為:信息發布管理、網站群管理、系統管理、外掛組件管理、交互功能、多媒體信息管理、內容聚合:RSS等。
? 展現層
政府門戶網站群的最終表現是一組具有相同標準和相同規范體系的網站群體系。它涵蓋主站、各級子網站、各類專題子網站等,同時系統為應用層的不同應用提供信息資源的不同表現形式,包括有Web、RSS等。
? 接入層
實現客戶通過瀏覽器來訪問表現層以獲取信息資源。
五、系統技術架構案例
系統技術架構框架如圖所示。
六、總體架構設計案例
應用支撐平臺ETL工具統一應用支撐環境外匯局應用支撐平臺門戶BI展現、發布BI展現、發布 外匯局用戶決策支持系統核查“一站式”網上服務平臺ASL規則引擎內容管理統計分析系統國際收支網上申報系統數據倉庫ETL工具ETL工具接口國際收支共享數據庫申報、審核 申報主體(銀行、企業、個人)數據整合與信息共享環境數據整合與交換系統總局整合庫鏡像網上申報數據庫數據傳輸通道WebService 接入HTTP接入應用客戶端接入DB AgentWebService 接入HTTP接入應用客戶端接入國際收支統計監測系統(銀行端)導入銀行業務系統分支局匯總數據現有業務系統/業務數據金宏門戶網站金宏信息共享平臺應用接口信息資源目錄共享平臺存儲系統 共建部委用戶銀行業務人員 應用系統總體架構圖
如上圖所示,本項目將采用數據與應用大集中的架構,即國際收支平衡管理管理信息系統只部署在國家外匯管理局,相關數據也集中存儲在總局的國際收支平衡整合庫中。整個系統采用B/S的結構,在進行數據清洗、轉換,即ETL的時候會采用C/S結構,整個架構主要包括如下內容:
1、構建應用支撐平臺,提供統一的人員、組織機構和權限管理,提供支持各種復雜業務系統的開發和組裝框架,實現單點登錄和目錄服務,并提供對應用系統的運行監控,數據的備份恢復等功能。
國際收支平衡管理信息系統的各個子系統以及外匯局應用支撐平臺門戶都是基于應用支撐平臺開發、組裝和運行的。
2、數據整合與交換系統是整個國際收支平衡管理信息系統的基礎,負責將從外匯局內部(主要是現有的業務系統或者業務數據)和外匯局外部(主要是共建部委的共享數據)的相關外匯數據采集、清洗、轉換,并通過數據傳輸通道匯總至統一的國際收支信息的整合數據庫中。
各分支局數據通過數據傳輸通道上傳到國家外匯管理局,由數據整合和交換系統接收并處理數據,最終也匯總至總局的整合數據庫中。
數據交換將以成熟、穩定的第三方產品為基礎進行設計和開發。
3、開發新版國際收支網上申報系統,實現涉外收入申報業務網上受理,方便企業申報業務;建立與銀行系統的接口,滿足與銀行的數據交換;方便銀行的查詢和審核操作。
網上申報數據將統一存儲至網上申報數據庫,并通過數據整合與交換系統與國際收支統計監測系統進行數據集成,同時申報數據最終匯總至總局的整合數據庫中。
網上申報系統將與外匯局的“一站式”網上服務平臺集成,申報主體和銀行將通過服務平臺登錄系統,進行申報、審核、查詢統計等操作。
外匯局人員也可通過服務平臺或者外匯局的應用支撐平臺門戶登錄系統,進行對申報數據的核查、查詢統計操作。
4、在數據整合與交換系統上建設統計分析系統,根據基礎指標和統計分析指標將整合數據庫中的信息動態生成各類統計分析報表(如國際收支平衡表、國際投資頭寸表、結售匯統計報表等)。
統計分析系統將利用數據倉庫和多維聯機在線分析技術,在對國際收支平衡狀況的需求分析的基礎上,提供面向主題的多種分析模型和分析方法,從多個角度分析國際收支平衡的狀況和存在問題。統計分析結果將存儲至外匯局數據倉庫系統,為決策支持系統提供數據支撐,并可以通過BI工具在外匯局應用支撐平臺門戶進行展現。此外,統計報表信息通過數據整合與交換平臺與金宏工程其他共建部委進行“共享”。
5、在統計分析系統和總局數據倉庫的基礎上建設決策支持系統,通過基礎指標,統計分析指標和統計分析系統產生的結果,借助OLAP分析模型工具,產生決策支持信息和預警信息,進行經濟分析和預警,輔助外匯管理政策的制定。
各類統計分析模型、預警模型將統一存放到“模型庫”中,方便分析人員使用。此外還提供一套機制建設“知識庫”,存儲有關外匯管理的各類信息。
(2)-(4)這幾個系統在支撐平臺的數據整合與交換基礎上提供統一的數據交換接口,同時支持以XML作為統一的數據接口格式。
6、建設外匯局應用支撐平臺門戶,通過門戶對所有的系統進行統一管理,并且將統計分析、決策支持的結果和其他應用軟件的功能模塊通過信息集成門戶提供給外匯局的領導、業務人員使用。
外匯局應用支撐平臺門戶就是建設在應用支撐平臺門戶基礎上。
7、國際收支平衡管理系統與金宏共享平臺、國際收支平衡共享數據庫物理隔離,國際收支平衡管理系統中的數據通過涉密網和業務網之間的數據交換系統交換到金宏內網上的國際收支平衡共享數據庫中,向共建部委提供數據服務。從共建部委獲得的數據也通過涉密網和業務網交換系統,進入數據整合與交換系統中。
七、系統架構案例一
“一站式”信息服務門戶統計查詢跨境資金流入查詢跨境資金流出查詢單位基本情況表查銀行基本情況表查審核信息查詢詢詢結果打印訪問企業用戶跨境資金流出入統單位基本情況表統銀行基本情況表跨境資金流入統計跨境資金流出統計到款信息統計計計統計 申報主體管理申報單位密碼自動生成申報單位信息查詢申報單位賬戶信息管理申報單位賬戶標記停用銀行自身信息變更涉外收入申報涉外收入申報狀態查詢/修改涉外收入申報信息的錄入/修改涉外收入到款信息狀態的查詢涉外收入到款信息的修改/刪除數據管理申報數據下發數據接口銀行用戶涉外收入申跨境資金報單流入/流出申報數據下企業基本資發料審核數據上審核信息表傳數據交換審核信息導入數據導入/導出國際收支統計銀行監測系業務統(銀系統行版)應用支撐平臺國際收支網上申報系統技術架構圖
企業用戶可以通過“一站式”信息服務門戶訪問國際收支網上申報系統,完成涉外收支業務的申報,申報信息由數據管理模塊通過特定的數據接口交換到銀行業務系統,在銀行業務系統進行審核。審核過后的結果信息再經過數據管理模塊交換到網上申報系統供企業用戶查詢。
企業用戶需要在銀行業務系統完成賬戶開戶,定時由銀行業務系統交換到網上申報系統供企業用戶登錄。
八、系統架構案例二
外匯局應用支撐平臺門戶數據模型國際收支模型共(11個)國際投資模型共(3個)外債模型共(2個)經常項目分析凈頭寸分析債務類型分析經常項目占比分析國際投資資產分析服務項目分析債務人分析國際投資負債分析收益項目分析結售匯模型共(6個)銀行結售匯項目分析利率與匯率相關分析匯率與物價相關分析功能層分析方法對外凈頭債務外匯依存寸分人分儲備度分析析分析析國際收支平衡表編制工具報表定制國際結售外債投資匯統簡報頭寸計表表表數據模型管理數據模型定義分析方法定義模型參數定義模型管理統計分析指標國際投資頭寸指標共(201個)國際收支指標共(28個)結售匯指標共(93個)外債指標共(42個)應用支撐平臺R1 FrameworkR1 DataExchangeDB國際收支平衡表數據庫國際投資頭寸表數據庫外債余額簡表數據庫銀行結售匯表數據庫Cognos Olap Server/BICube
統計分析系統技術架構圖
1、統計分析系統的數據來源于數據倉庫,通過條件查詢模塊從數據倉庫得到滿足用戶的基礎數據,由數據統計模塊來對這部分基礎數據進行匯總統計;
2、匯總統計的數據根據外匯局用戶的需要可以由報表定制模塊利用原有的報表工具實現對國際收支平衡表、國際投資頭寸表、結售匯統計報表、外債余額簡表的設計以及利用Cognos的BI工具完成展現以及經過OLAP分析轉化成多維數據;
3、針對預先設計好的數據模型以及輔助模型管理模塊來產生分析結果,供外匯局用戶制定決策。
九、系統架構案例三
外匯局應用支撐平臺門戶綜合分析功能層知識庫管理知識分類管理知識查詢知識維護常用知識模型經濟分析政策模擬經濟預測預警模型庫(預警檢測)監測預警指標結售匯率匯特相關點原性分因分析析進出口差增幅額變聚類化分分析析匯率變動率外匯儲備變化率出口增長率分析結果管理分析結果維護分析結果查詢分析結果保存分析結果導出ASL規則模型經常項目資本和金融雙邊清算應用支撐平臺DBASL規則引擎R1 DataExchange專有算法工具R1 FrameworkCognos Olap Server/BI基礎數據宏觀經濟數據指標數據CubeCubeCubeCubeCube決策信息庫
決策支持系統技術架構圖
1、決策支持系統利用從數據倉庫獲得的基礎數據完成報表和查詢,生成日、月、季報表供外匯局用戶查詢瀏覽;
2、通過ASL規則引擎對基礎數據進行分析,以風險模型為依據生成分析報告;
3、利用數據挖掘模型對基礎數據進行處理得到模型數據,與ASL分析信息共同生成分析報告,供外匯局用戶來進行營運監管的管理;
4、“知識庫”的信息同時也提供給營運監管模塊來進行運作。
十、總體架構案例
國資委國有資產監督管理系統總體架構圖 國資委國有資產監督管理系統的總體框架主要包含六個層次,即基礎平臺層、數據資源管理層、應用支撐層、業務實現層、門戶展現層、終端接入層。
1.基礎平臺層:國資委IT基礎平臺主要包括網絡系統、主機、存儲系統、安全系統、配套的軟件等。網絡系統分為業務內網、業務外網和互聯網。業務內網與業務外網物理隔離,互聯網與業務外網通過防火墻配置實現邏輯隔離。
2.數據資源管理層:數據資源管理層主要由數據庫組成,其中結構化數據庫主要包括管人、管事、管資產、紀檢監督業務數據庫、共享數據庫、基礎數據庫、原有系統數據庫及其它信息資源庫等。非結構數據庫主要是由一些文件型的數據構成。信息資源庫主要是應用系統的數據庫,它是業務應用信息系統的組成部分和數據中心的基礎。
3.應用支撐層:應用支撐層主要包括應用開發平臺(基礎數據管理、報表管理、工作流管理、表單工具、門戶引擎、規則引擎、工作流引擎、用戶權限管理、目錄服務、內容管理、接口管理、預警平臺)和中間件(應用服務器、消息中間件、WEB服務器)。通過建設應用支撐平臺,實現界面集成、應用集成、數據集成及流程集成,通過四個集成來達到國資委所有系統的集成效果。
4.業務實現層:主要包括四大核心業務應用系統和數據中心。國資監管應用系統主要包括企業國有資產產權登記子系統、上市公司國有股權監督管理子系統、企業國有產權交易監督管理子系統、企業財務狀況監督子系統設計、中央企業財務績效評價子系統、中央企業財務預決算管理子系統、企業國有資產統計評價子系統、企業財務信息查詢分析子系統、中央企業人員管理子系統、中央企業業績考核子系統、中央企業重大投資管理子系統、中央企業經濟運行監督子系統、紀檢監察管理子系統等。
國有資產數據中心:主要包括元數據注冊器、信息資源數據庫、信息資源目錄體系、信息資源交換體系等。國有資產信息資源庫是數據中心的基礎,為國資委業務監管提供數據支持,包括企業基本信息數據、企業績效評價數據、企業人員管理數據、企業財務數據、國有產權數據、資產統計數據、企業重組與規劃投資數據、紀檢監察數據、政策法規文獻數據和其他業務數據十大類。作為統一信息資源平臺,國有資產信息資源庫對國資委各類共享數據提供統一的存儲和管理,是國資委委內各廳局之間以及與其它政府機關之間進行數據交換和共享的基礎平臺,為各類業務的開展提供完整、統一和準確的數據支持。
5.門戶展現層:門戶展現層主要由國資委數據采集門戶構成、互聯網門戶、業務內網門戶、業務外網門戶組成。
6.終端接入層:中央企業、地方國資委、上市企業(含國有股)、其它部門及公眾通過統一的身份認證、權限管理登錄數據采集門戶、國資委業務外網門戶、國資委互聯網,并實現統一的入口、出口和單點登錄。
其中,中央企業、地方國資委、上市企業(含國有股)通過在線填報或離線填報(利用數據采集終端)的方式在數據采集門戶上進行數據填報,數據采集門戶及業務外網與內網物理隔離,通過應用支撐平臺提供的數據交換組件實現內、外網的數據傳輸和交換。其它部門(包括金宏工程相關部門)也是通過應用支撐平臺提供的數據交換組件實現內、外網的數據傳輸和交換。社會公眾登錄國資委互聯網網站進行國資監管信息查詢和交互。
除此之外,貫穿著六個層次的還有國資委信息安全保障體系、項目實施與運維管理,和相關的標準體系和管理規范。
十一、系統邏輯結構案例
國資監管信息系統主要作用體現為國資監管業務服務。一期工程建設6大應用系統,形成10個信息資源庫。其總體邏輯結構圖如下:
圖5-1總體邏輯結構圖
通過四大業務系統(共計13個子系統)覆蓋國資委管資產、管人、管事、資產監督的四大業務。
其業務核心就是實現國有經濟布局以及國有資產的增值保值。
實現國有經濟布局,具體是通過產權登記系統,掌握所有國有股權的分布情況。通過上市公司國有股權交易監督和其他企業國有股權交易監督系統,對國有股權的交易進行監控,隨時了解國有經濟的布局情況,并加以控制。通過資產統計、企業財務監督、中央企業預決算管理,等3個系統,全面獲得企業的實際財務資產情況。
另外通過中央企業經濟運行管理系統,掌握中央企業的經濟運行情況以及行業經濟運行分析,從而對中央企業重大投資進行管理和監控,確保了解國有經濟布局的運行情況和進行調整。
實現國有資產的增值保值,具體措施是通過管人來實現,通過中央企業人員管理系統,后備、任命、管理企業管理者。通過企業績效考核系統來評價、更換人員,來實現國有資產的增值保值。但不是簡單的通過管人來實現國有資產增值保值,任命、考核,需要從資產管理、資產監督、企業運行情況等三個方面不斷地獲取信息,對管理者進行監督和引導,即使發現問題,確保國有資產的增值保值。
通過13個業務應用系統覆蓋四大業務職能,為解決目前監管業務中信息采集的問題、信息溝通的問題,需要建設13個業務應用系統統一的數據采集系統、信息發布系統。
針對13個業務應用,形成了10大國有資產信息資源庫,包括監管企業方面獲得的6種信息:
? 企業基本信息 ? 企業產權信息 ? 企業財務信息 ? 企業人員信息
? 企業重組與規劃投資信息 ? 其他業務信息
以及國資委監管產生的4種信息: ? 政策法規信息 ? 國有資產統計信息 ? 企業業績考核信息
? 紀檢監察信息
十二、系統體系結構案例
本項目總體技術框架建立要遵循“整合資源,信息共享”、“統一架構,業務協同”的原則,應用系統采用多層架構,以信息資源庫和公共服務為基礎進行開發,實現資源和服務的共享,實現業務層和展現層的分離。總體技術框架如下圖所示:
圖5-2 國資委國有資產監督管理系統總體技術框架
總體框架主要包含六個層次:
國資委IT基礎設施:主要包括網絡、服務器、存儲系統、配套的系統軟件、數據庫和機房等。網絡系統為內、外網物理隔離的雙網結構。IT基礎設施是國資委國有資產監督管理系統的基礎平臺。
國有資產數據中心:主要包括元數據注冊器、信息資源數據庫、信息資源目錄體系、信息資源交換體系等。國有資產信息資源庫是數據中心的基礎,為國資委業務監管提供數據支持,包括企業基本信息數據、企業績效評價數據、企業人員管理數據、企業財務數據、國有產權數據、資產統計數據、企業重組與規劃投資數據、紀檢監察數據、政策法規文獻數據和其他業務數據十大類。作為統一信息資源平臺,國有資產信息資源庫對國資委各類共享數據提供統一的存儲和管理,是國資委委內各廳局之間以及與其它政府機關之間進行數據交換和共享的基礎平臺,為各類業務的開展提供完整、統一和準確的數據支持。
國資委應用系統支撐平臺:主要包括由表單工具、系統集成組件、內容管理工具、工作流組件、消息交換工具、應用中間件、統一用戶管理和其他組件工具構成的應用支撐平臺,從整合、協同、管理和服務四個方面對業務系統的開發、部署和運行進行支持。
國有資產監督管理業務應用信息系統:主要包括搭建在應用支撐平臺上的基礎應用組件、通過基礎應用組件組合成的企業國有資產產權登記子系統、上市公司國有股權監督管理子系統、企業國有產權交易監督管理子系統、企業財務狀況監督子系統設計、中央企業財務績效評價子系統、中央企業財務預決算管理子系統、企業國有資產統計評價子系統、企業財務信息查詢分析子系統、中央企業人員管理子系統、中央企業業績考核子系統、中央企業重大投資管理子系統、中央企業經濟運行監督子系統、紀檢監察管理子系統。
應用數據庫:主要是應用系統的數據庫,是業務應用信息系統的組成部分。國資委信息發布系統:主要包括國資委內網消息發布、外網消息發布和互聯網消息發布。
除此之外,貫穿著六個層次的還有國資委信息安全保障體系、技術支持與運行維護體系。同時,國資委信息化相關的標準、規范、政策、法規也將在“國有資產監督管理系統”項目建設中必須加以重視,并積極推進。
第四篇:廣播電視安全播出管理體系研究論文
摘要:電視節目作為廣播電視臺的主要內容,各大電視臺為了增加收視率不斷的推出新興的節目類型,電視臺之間的競爭日益加劇,如何構建廣播電視安全播出的管理體系,確保各個電視臺的節目順利的播出,監管節目質量提升觀眾的觀看感受,是各大電視臺迫切關注的焦點。本文從廣播電視安全播出管理體系中存在的問題,提出構建廣播電視全出播出的管理體系有效建議與措施。
關鍵詞:廣播電視安全;管理體系;構建
電視臺中的每一類電視節目、電視劇集、電視新聞以及電視廣告,都需要從最基本素材收集、加工制作,到最后的發行播出等諸多環節。保障電視節目制作中每一步的環節順利的進行,才能讓電視節目最終在電視臺中播出。由于我國現今的廣播電視安全播出管理體系還沒有完全的健全,使得電視節目制作過程中問題層出不窮,影響了電視節目的最終質量。通過將電視節目制作過程中出現的一系列問題進行總結,制定出相應的廣播電視安全播出管理體系,確保電視節目的順利制作,提升觀眾的觀影體驗度。
1.廣播電視安全播出管理體系中存在的問題
根據現有的各大電視臺電視節目制作過程中出現的問題,總結出這些問題在廣播電視安全播出管理體系中相應的問題如下:
1.1廣播電視安全播出技術還不完善
一檔電視節目制作不僅僅需要影像、音頻、字體等軟件的應用,還需要相應的網絡技術、信息技術等技術的支持。由于陷阱的廣播電視安全播出技術尚未成熟技術仍處于開發階段,這就使得電視節目的制作質量受到了阻礙。例如:電視節目制作水平與電視臺安全播出技術的信號型號不相符合,無法完成音頻、影像的完整轉化,電視節目播出質量嚴重下降。節目質量與播出質量嚴重不符,導致了節目播出時的每一個環節之間不能有效的銜接,導致電視節目真是播出時的質量嚴重下降。
1.2廣播電視安全播出管理制度不健全
我國的廣播電視總局應對各個電視臺制作節目與播出節目不同出臺了一些的安全播出管理體系,在很大程度上確保了各大電視的電視制作與播出可以順利的進行。但是其中也不乏出現沒有效果的管理制度,某項制度無法起到實際效應,這將會嚴重影響廣播電視安全管理體系的健全。同時,電視節目制作過程當中,需要涉及的部門十分的廣泛,而這些部門通常都比較獨立,不與其他部門進行互動聯合,而且各部門的工作并沒有進行詳細的界定,者就導致在工作過程中互相推卸責任的情況,讓節目制作過程中出現的問題不能有效的解決,影響節目制作進程與質量。另一方面,廣播電視安全播出管理制度不能健全,也將影響到其他廣播電視管理制度,造成惡性循環使得廣播電視安全播出管理制度完善困難重重。
1.3廣播電視安全播出管理工作人員素質有待提高
廣播電視臺作為一個地區、一個群體的電視形象,其投資巨大、影響深遠等特殊的特點,也使得其管理工作人員必須具備較高的道德素養水平。只有管理人員的道德素養極高,才能確保電視節目的有序的制作與播出。但是如今電臺中依然存在一些以個人利益為目標的工作人員,不能規范合理的進行管理工作,這就導致電視節目制作速度緩慢,質量下降,阻礙了廣播電視安全播出管理體系的健全。
1.4廣播電視安全播出管理中的審查制度有待提高
各大電視的節目的發行與播出都需要在廣電總局進行審查,是電視節目播出的最后一道質量審核。但是一些地區存在,不守規矩的現象走后門、賽紅包等等,使得廣播電視臺的聲譽受損。
2.廣播電視安全播出管理體系構建的建議
針對前文出現的種種問題,為構建廣播電視安全播出管理體系提出以下幾點建議:
2.1健全廣播電視安全播出的管理制度
在健全廣播電視安全播出管理機制的過程當中,需要建立完善的管理部門。讓該部門的監管功能貫穿與節目制作的過程與播出當中。安排相應的專業人員對節目制作的每一關節進行分工指導工作,提高節目制作的水平與速度。另一個方面需要構建追責制度,在節目制作與播出過程中出現問題需要追究一定的責任,使制度可以具有實效的實施。
2.2加強管理工作人員的素質水平
廣播電視安全播出管理體系中,管理工作人員的道德素質水平是健全管理體系的關鍵。只有工作人員具備相應的道德素質水平,認識廣播電視安全播出管理的重要性,才能將使管理工作有效的展開。這一過程當中需要將工作人員的觀念從工作者轉變為電視制作人,讓其認識自己的職能,體現自己的職能,通過參加多次培訓為電視臺提供創新人才。
2.3提升節目審查制度
作為電視節目播出的最后一道質量把關階段,在審查的過程當中對濫制節目毫不留情的剔除,保證每一部電視劇作品對于觀眾思想有著積極向上的激發作用。例如:最近泛濫的抗日劇,不能因為是抗日愛國題材就對其采用放寬的審查制度,而是更加嚴格。
3.總結
一檔優秀的電視節目的播出,需要先進的技術、優秀工作人員的同時,還需要廣播電視安全管理體系的監管,確保電視節目的質量,提升觀眾的觀影體驗。
參考文獻:
[1]盧曉健,何向暉.只有起點,沒有終點——江西廣播電視臺做好安全播出經驗談[J].電視技術,2013,37(6):34-35,37.[2]王利.廣播電視安全播出保障措施探討[J].電視技術,2013,37(6):51-52,62.[3]王亞男,李曉鳴,郭沛宇等.廣播電視安全播出管理考核評價體系概述[J].廣播與電視技術,2013,40(3):135-140.[4]李海平.我國廣播電視安全播出管理問題探討[J].數字通信世界,2016,(1):343-343,347.
第五篇:基于IPv6網絡安全的管理系統設計論文
0引言
當前信息技術快速發展,網絡惡意攻擊行為更為頻繁,攻擊形式也日趨多樣化,如病毒、木馬、蠕蟲等,網絡安全問題更加突出,互聯網正面臨著新的安全形勢。實踐證明,實時分析并檢測網絡流是加強網絡安全的有效方法。入侵檢測系統(IDS)正是在這個背景下應運而生的。其可以對網絡環境狀況進行積極主動、實時動態的檢測,作為一種新型網絡安全防范技術,在保障網絡安全方面發揮著重要的作用。入侵檢測系統主要通過判斷網絡系統中關鍵點是否正常運轉以實現對網絡環境的檢測,其不但能夠有效地打擊網絡攻擊,還能夠保證信息安全基礎結構完整,實施保護互聯網的安全。目前網絡安全機制正在從IPV4向IPV6過渡,網絡的安全性也在不斷增強,深入分析IPV6安全機制具有重要意義。
1IPv4向IPv6過渡中存在的問題
IPv6安全機制是IPv4安全機制的強化,與IPv4相比,IPv6安全機制的網絡結構更為復雜,應用范圍更為廣闊,但是IPv4向IPv6的過渡不是一蹴而就的,在這個過渡過程中會出現一些嚴重的問題,這就要求我們必須充分認識IPv4向IPv6過渡中的問題,盡量減小對網絡安全的不良影響。
1.1翻譯過渡技術
采用翻譯過渡技術,必須關注翻譯對數據包傳輸終端的破壞情況與網絡層安全技術不匹配這兩個問題。保護網絡正常數據傳送是網絡層安全協議的主要職能,網絡層協議中的地址翻譯技術主要用于變更傳送數據的協議與地址,這就容易使網絡層協儀的地址翻譯與網絡安全協議出現沖突,使網絡環境的安全面臨威脅。
1.2隧道過渡技術
隧道過渡技術并不重視網絡安全,其自身特點也使網絡易遭受攻擊,安裝安全設備的網絡應用隧道技術后,會影響原有的安全設備運作,并且在數據經過隧道時,隧道也不會檢查數據,這就給惡意的數據提供了進入正常網絡的機會,嚴重威脅網絡安全。
1.3雙棧過渡技術
雙棧過渡技術是網絡層協議的一種,兩個網絡層協議在一臺主機上同時運行是其特點。但是同時運行的兩個網絡層協議在技術上并無聯系,而且容易出現運作不協調的問題,導致網絡安全存在漏洞,易被攻擊者利用。但是與翻譯過渡技術和隧道過渡技術比較,雙棧過渡技術的安全性能要優于上邊的兩種技術,網絡安全性相對較高,有其自身優勢。
2IPv6的特點
IPv6是一種新型互聯網協議,是IPv4互聯網協議的革新。IPv6可以有效解決IPv4中存在的漏洞與缺陷,其改進方面主要體現在地址空間、IPSec協議、數據報頭結構、服務質量(QoS)方面。其中數據報頭結構和IPSec協議是影響入侵檢測系統的主要方面。
2.1數據報頭結構的更新
與IPv4數據報頭結構相比,IPv6簡化了IPv4的數據報頭結構,IPv6的40節數據報頭結構極大的提高了數據處理效率。此外,IPv6還增加了選項報頭、分段報頭、認證報頭等多個擴展報頭,入侵檢測系統必須首先解析IPv6報頭才能進行協議分析。
2.2IPSec協議
與IPv4相比,IPv6中還應用了IPSec協議,其可以有效實現網絡層端到端的安全服務,并且IPSec協議中的兩個安全封裝載荷和認證頭協議可以自由組合。IPSec協議實質上是對IPv6傳輸數據包的加密,這有利于提高數據傳輸過程的安全性,但是由于其對IPv6的報頭也進行封裝,入侵檢測系統在進行檢測時必須了解IPv6報頭的源地址和目的地址,否則難以進行檢測行為,這嚴重影響了入侵檢測系統的正常運行。
3IPv4、IPv6入侵檢測技術特點
以往技術多采用模式匹配技術,針對數據包和攻擊數據庫進行匹配對應是該模式的典型特點,這種模式特點是以數據庫對應的情況來依次判斷是否存在網絡攻擊。而現在,檢測系統入侵的技術手段為BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定義為識別并處理那些以IPv6網絡協議惡意使用網絡資源的攻擊者的技術,為IPv6入侵檢測技術。IPv6與IPv4有很大的區別,兩者在程序上不兼容,因此在這種情況下入侵技術的檢測變得問題繁多。首先,兩種協議在數據報頭上變動明顯,以往在IPv4上能用的檢測產品在IPv6上無法直接使用。在使用IPv4協議的情況下,TCP頭部緊緊連接著IP頭部,不僅如此,他們的長度還是確定不變的。這樣的連接模式和設置使得檢測工作的開展變得更加簡便。然而,另一種協議方式即IPv6卻與此有很大的不同,它的這兩個頭部并不緊接,長度也不固定,在其中間還往往會有別的擴展頭部等。經常見到的有路由選項頭部等。盡管該協議下,數據包對應顯得很復雜,若是防火墻沒有完全讀懂數據包則會發生不能過濾的情況,這在某些時候使得入侵的檢測工作變得更加復雜。科研攻關人員目前已經針對IPv6協議下的接口函數做出了相應的科學的新改動。其次,在進行端到端的傳輸工作時,若為IPv6則IDS會由于無法解密而直接導致解讀不了數據,此時的IDS不能有效的繼續工作。雖然采取IDS數據包解密能夠較為有效的解決這一問題,但這種解密情況下的安全又成了新的問題,對其是否可靠,時間會給予準確的答案。
3.1雙棧入侵檢測系統的實現
IPv6協議解碼功能是實現雙棧入侵檢測的關鍵性因素。協議解碼分析通常分為第二層、第三層。第二層主要是以太網,然而第三層的則大為不同,它不僅包含IPv4包類型,還同時兼有IPv6包類型,甚至還具有隧道方式。協議解碼在數據結構、屬性的基礎上,注重數據包對號入座,一一對應。IPv6協議解碼功能如圖1所示。進行協議解碼的首要步驟是抓包并解包,并且在解包時完善對應信息包。分析各個模塊,以此判斷是何種包,區分數據包是屬于IPv4還是屬于IPv6是至關重要的。在此之后,存檔以太網的源地址和目的地址,并在接下來的工作中進行下一層解析,在第三層數據解析時包頭結構是著重分析的對象。
3.2在IPv6環境中的NIDS模塊設計
數據采集、分析,然后是結果輸出,這三個方面組成了整個NIDS系統。對科學要求的CIDF規范完全符合。這個系統由數據包捕獲的各種模塊結合而成。
3.3NIDS模塊功能
(1)數據包捕獲模塊數據包捕獲模塊在整個系統中居于關鍵地位,它是系統的基礎,也是其重要組成部分。該模塊的具體作用在于從以太網上獲取數據包,根據實際情況和不同的系統,有相對性的捕獲,相比之下,捕獲方式會根據具體情況而有所不同。(2)協議解析模塊協議解析是該模塊的核心作用,該模塊對數據層層分析最終得到解析目的,在此基礎上分析是否有入侵情況以便進行制止防御。(3)規則處理模塊提前制定的入侵規則存入庫中,它的多少直接影響著整個入侵系統的性能。規則設置的越多越完善,對于入侵行為的檢測就越精準。(4)分析檢測模塊查證是否有入侵行為發生是該模塊兒的重要作用,該模塊和規則庫若匹配成功則證明系統正在遭受入侵。(5)存儲模塊存儲信息和數據包是該模塊的具體功能。有效儲存信息對于系統對入侵行為的分析具有極強的幫助作用,儲存的數據可供事后分析等。(6)響應模塊響應模塊是入侵行為的響應處理,它的響應能使防火墻及時對入侵行為進行制止和防御,是系統防御不可或缺的盾牌。
引用:
[1]鄧生君,沈鑫,葉昭輝.一種基于IPv4/IPv6網絡入侵檢測系統的框架設計[J].電子世界,2012.[2]肖長水,謝曉堯.基于IPv6的網絡入侵檢測系統的設計與實現[J].計算機工程與設計,2007.
點擊咨詢 