網(wǎng)絡(luò)安全等保解決方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全等保解決方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全等保解決方案范文

關(guān)鍵詞：等級保護(hù)；方案；設(shè)計(jì)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 14-0000-01

Several Issues of the Level Protection Design

Qian Weixing

(People's Bank of China Branch in Suzhou City,Suzhou215011,China)

Abstract:The idea of understanding and other insurance,through insurance and other basic requirements of the specific content analysis,and other security technologies from the core,the terminal protection and security arrangements and other aspects were discussed,and the formation of a building security program design ideas,steps and areas of concern.

Keywords:Level protection;Program;Design

引言：人民銀行作為央行，負(fù)責(zé)協(xié)調(diào)和指導(dǎo)金融業(yè)信息安全，正在開展有關(guān)符合金融業(yè)的等保標(biāo)準(zhǔn)的制訂及自身等保的設(shè)計(jì)和實(shí)施，并且在信息安全的指導(dǎo)和監(jiān)管過程中引用等報(bào)作為相關(guān)依據(jù)已經(jīng)勢在必行。因此，作為基層央行的科技部門，在實(shí)際工作中，如何編寫一個(gè)適合本單位實(shí)際情況又符合等保要求的解決方案，我覺得應(yīng)該特別關(guān)注以下幾點(diǎn)。

一、等保的核心思想是不同業(yè)務(wù)系統(tǒng)分等級進(jìn)行保護(hù)

它根據(jù)信息系統(tǒng)的重要性和受破壞后的危害性，將信息系統(tǒng)劃分成不同的等級，不同等級有著不同的保護(hù)要求。系統(tǒng)越重要，受破壞后危害越大，則系統(tǒng)的安全等級就越高，保護(hù)的要求也就越高。等保不是“二級系統(tǒng)要有防火墻，三級系統(tǒng)要有IPS，四級系統(tǒng)要加密?！?/p>

等保涵蓋了信息安全的方方面面，希望通過一次性安全建設(shè)就可以實(shí)現(xiàn)等保合規(guī)是不現(xiàn)實(shí)的。一次性的安全建設(shè)只能為等保合規(guī)提供基本的條件，徹底的等保合規(guī)需要在系統(tǒng)日常運(yùn)維等方面做大量認(rèn)真細(xì)致的工作。因此，筆者覺得應(yīng)該從等保的思想來源和基本要求入手，結(jié)合行業(yè)特點(diǎn)深入分析以后，找到等保建設(shè)的要點(diǎn)，以等保建設(shè)要點(diǎn)為基礎(chǔ)，形成全局視角，然后在全局視角下形成方案框架，并最終形成建設(shè)方案。

二、等保內(nèi)容可以分為管理要求和技術(shù)要求

在等?；疽笾?，網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全等部分都提出了類似的安全要求（如訪問控制）。但是，對不同層次的類似要求是分別實(shí)現(xiàn)，還是在一個(gè)安全設(shè)備上統(tǒng)一實(shí)現(xiàn)，又或者結(jié)合安全設(shè)備和服務(wù)器以及應(yīng)用系統(tǒng)的策略配置來綜合實(shí)現(xiàn)，并沒有做具體的規(guī)定。這需要結(jié)合實(shí)際，具體分析而定。

因此，筆者以為，除了物理安全是個(gè)相對獨(dú)立的部分，可以單獨(dú)設(shè)計(jì)外，應(yīng)著眼實(shí)現(xiàn)等保合規(guī)的統(tǒng)一安全技術(shù)框架，在此框架之上，通過各種安全策略配置或者其它安全管理手段實(shí)現(xiàn)各種安全目標(biāo)，核心就是將安全策略與設(shè)備部署分開，一個(gè)設(shè)備可能需要實(shí)現(xiàn)很多種不同目的的安全策略，而一個(gè)具體的安全策略也可能會(huì)在不同的設(shè)備上實(shí)現(xiàn)。

三、等保的核心思想是不同業(yè)務(wù)系統(tǒng)分等級保護(hù)

其基本要求的內(nèi)容是對某一個(gè)具體的業(yè)務(wù)系統(tǒng)的安全要求，而實(shí)際網(wǎng)絡(luò)中不可能只有一個(gè)業(yè)務(wù)系統(tǒng)，對于多個(gè)業(yè)務(wù)系統(tǒng)，會(huì)有不同的安全級別，完全的獨(dú)立保護(hù)是不現(xiàn)實(shí)的。一方面，業(yè)務(wù)系統(tǒng)之間必然存在數(shù)據(jù)共享和交互，否則就是一個(gè)一個(gè)的信息孤島，與信息化建設(shè)的基本目標(biāo)背道而馳。另一方面，各自獨(dú)立保護(hù)所需要付出的代價(jià)也是巨大的，遠(yuǎn)遠(yuǎn)超出了實(shí)際承受能力。

解決這一矛盾的手段是分域保護(hù)，除安全級別特別高的業(yè)務(wù)系統(tǒng)需要與其他系統(tǒng)進(jìn)行物理隔離，單獨(dú)保護(hù)之外，可以將其它不同的業(yè)務(wù)系統(tǒng)劃分在不同的安全域中分別保護(hù)。安全域應(yīng)采用縱向結(jié)構(gòu)，應(yīng)包含某一業(yè)務(wù)所需要的終端、網(wǎng)路、服務(wù)器、存儲等全部內(nèi)容。不同的安全域之間進(jìn)行邏輯上的隔離，分別予以保護(hù)。同時(shí)，各個(gè)安全域共享統(tǒng)一的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)，以實(shí)現(xiàn)互聯(lián)互通并降低整體投資。

每個(gè)邏輯網(wǎng)絡(luò)都應(yīng)該具有獨(dú)立的資源、網(wǎng)絡(luò)帶寬與QoS保證等。同時(shí)，需要設(shè)計(jì)共享MPLS VPN等手段，以保證業(yè)務(wù)系統(tǒng)之間的互聯(lián)互通。

根據(jù)終端需要同時(shí)處理多業(yè)務(wù)的特性，最佳的處理方式應(yīng)該為動(dòng)態(tài)授權(quán)與保護(hù)，即根據(jù)其當(dāng)前所處理的業(yè)務(wù)的安全等級來動(dòng)態(tài)的確定安全保護(hù)強(qiáng)度?？刹捎貌渴饻?zhǔn)入控制（802.1x或Portal）作為具體實(shí)現(xiàn)，在終端接入時(shí)實(shí)現(xiàn)對終端的認(rèn)證和安全檢查，并根據(jù)認(rèn)證和檢查的結(jié)果將終端動(dòng)態(tài)劃分到某一安全域中。

四、通過上述設(shè)計(jì)以后，我們可以得到一個(gè)技術(shù)框架，并形成了基礎(chǔ)的網(wǎng)絡(luò)承載，它可以滿足等保最基本的出發(fā)點(diǎn)――不同業(yè)務(wù)系統(tǒng)分等級保護(hù)

而在等保建設(shè)中具體應(yīng)用的安全保護(hù)手段，與一般性的安全建設(shè)不會(huì)有本質(zhì)的區(qū)別。如通過防火墻進(jìn)行訪問控制；通過IPS對L4到L7層威脅進(jìn)行全面的深度防御；通過VPN/加密機(jī)實(shí)現(xiàn)加密訪問；通過CA系統(tǒng)實(shí)現(xiàn)認(rèn)證與授權(quán)等等，依然是等保建設(shè)中需要采用的具體技術(shù)手段。我們只需要將自身現(xiàn)狀與等保規(guī)范進(jìn)行對比，找到薄弱環(huán)節(jié)后提煉出技術(shù)需求，再根據(jù)技術(shù)需求匯總出產(chǎn)品部署需求即可。

第2篇：網(wǎng)絡(luò)安全等保解決方案范文

近年來，隨著我國社會(huì)經(jīng)濟(jì)的不斷發(fā)展，國家對教育事業(yè)的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡(luò)與計(jì)算機(jī)技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強(qiáng)有力的支持手段，為教育模式的創(chuàng)新、先進(jìn)教育理念提供了可靠的實(shí)現(xiàn)方法。

高校信息化主要以數(shù)字化校園建設(shè)為主，主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等；大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案，確定數(shù)字化校園的體系結(jié)構(gòu)，制定數(shù)字化校園的信息標(biāo)準(zhǔn)，以及各系統(tǒng)之間的接口標(biāo)準(zhǔn)，然后分階段實(shí)施。建立全校的網(wǎng)絡(luò)安全體系，保證校園網(wǎng)絡(luò)的安全，保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門的安全，實(shí)現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運(yùn)行。

1教育信息化中的安全體系建設(shè)

在教育信息化建設(shè)過程中，信息安全體系是保障教育信息系統(tǒng)的信息完整、系統(tǒng)可用和信息保密的重要支撐體系，對各級學(xué)校、職業(yè)教育、教育主管機(jī)構(gòu)的正常工作起到了至關(guān)重要的保障作用。各級教育主管部門對教育信息系統(tǒng)的安全體系建設(shè)給予了充分的重視，也是由于教育信息系統(tǒng)的復(fù)雜性、多樣性、異構(gòu)性和應(yīng)用環(huán)境的開放性，給整個(gè)信息系統(tǒng)帶來了巨大安全威脅。以高校數(shù)字校園信息系統(tǒng)為例，高校數(shù)字校園信息系統(tǒng)的建設(shè)是由高校業(yè)務(wù)需求驅(qū)動(dòng)的，初始的建設(shè)大多沒有統(tǒng)一規(guī)劃，有些系統(tǒng)是獨(dú)立的網(wǎng)絡(luò)，有些系統(tǒng)又是共用一個(gè)網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級、使用的對象、面對的威脅和風(fēng)險(xiǎn)各不相同。當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)是一個(gè)龐大復(fù)雜的系統(tǒng)，在支撐高校業(yè)務(wù)運(yùn)營、發(fā)展的同時(shí)，信息系統(tǒng)面臨的信息安全威脅也在不斷增長、被發(fā)現(xiàn)的脆弱性或弱點(diǎn)越來越多、信息安全風(fēng)險(xiǎn)日益突出，成為高校面臨的重要的、急需解決的問題之一。在進(jìn)行數(shù)字化校園建設(shè)的過程中，也曾發(fā)生不少信息安全事件，如某高校數(shù)據(jù)中心一臺服務(wù)器被黑客入侵，成為肉雞，被植入僵尸木馬程序，受黑客控制瘋狂往外網(wǎng)發(fā)包，導(dǎo)致學(xué)校網(wǎng)絡(luò)出口癱瘓；某高校在高招中發(fā)現(xiàn)網(wǎng)站被掛馬、篡改，并且學(xué)校內(nèi)部也曾經(jīng)發(fā)現(xiàn)學(xué)生成績的數(shù)據(jù)庫，有被惡意篡改的痕跡。

2網(wǎng)絡(luò)安全威脅分析

（1）高校網(wǎng)站的安全威脅，包括高校門戶網(wǎng)站、高校招生網(wǎng)站、二級各院系等網(wǎng)站，由于高考、招生、學(xué)生就業(yè)等敏感時(shí)期，聚集了大量的學(xué)生及家長訪問流量，也引起黑客的關(guān)注，高校網(wǎng)站面臨的主要安全威脅有：網(wǎng)頁被掛馬、被篡改，黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到高校網(wǎng)站的管理權(quán)限，進(jìn)而篡改網(wǎng)頁代碼；部分攻擊者將高校網(wǎng)站替換成黃色網(wǎng)站，影響極其惡劣。每年高考招生及高校重要節(jié)日期間，高校門戶網(wǎng)站極易被DDOS攻擊，這種由互聯(lián)網(wǎng)上發(fā)起的大量同時(shí)訪問會(huì)話，導(dǎo)致高校網(wǎng)站負(fù)載加劇，無法提供正常的訪問。入侵者成功獲取WEB服務(wù)器的控制權(quán)限后，以該服務(wù)器為跳板，對內(nèi)網(wǎng)進(jìn)行探測掃描，發(fā)起攻擊，對內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。（2）隨著校園網(wǎng)信息化的逐步深入，業(yè)務(wù)系統(tǒng)眾多，“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大高校采用，而這些系統(tǒng)由于管理及防護(hù)不到位，面臨著較嚴(yán)重的安全威脅：業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護(hù)手段，高校網(wǎng)絡(luò)規(guī)模擴(kuò)張迅速，網(wǎng)絡(luò)帶寬及處理能力都有很大的提升，但是管理和維護(hù)人員方面的投入明顯不足，沒有條件管理和維護(hù)數(shù)萬臺計(jì)算機(jī)的安全，一旦受到黑客攻擊，無法阻斷攻擊并發(fā)現(xiàn)攻擊源；部分高?！耙豢ㄍā背渲迪到y(tǒng)與銀行互聯(lián)，邊界缺乏必要的隔離和審計(jì)措施，出現(xiàn)問題不方便定位，難以追查取證；校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多，管理及維護(hù)方式也不盡相同，無法做到所有的系統(tǒng)實(shí)施統(tǒng)一的漏洞管理政策。同時(shí)，對于存在安全隱患的配置檢查，也缺乏自動(dòng)化的高效檢查工具和控制手段；業(yè)務(wù)系統(tǒng)權(quán)限控制不合理，有安全隱患。

3需求分析

根據(jù)對高校校園網(wǎng)絡(luò)的威脅分析，得出在校園網(wǎng)絡(luò)安全體系建設(shè)中，各個(gè)網(wǎng)絡(luò)區(qū)域和業(yè)務(wù)系統(tǒng)的安全需求如下：

（1）校園網(wǎng)絡(luò)出口應(yīng)對可能發(fā)生的拒絕服務(wù)攻擊進(jìn)行有效識別、過濾、清洗，保證網(wǎng)絡(luò)出口的暢通，保證骨干鏈路的負(fù)載處于正常范圍之內(nèi)。（2）網(wǎng)絡(luò)出口鏈路應(yīng)有相應(yīng)措施，對來源于公網(wǎng)或內(nèi)網(wǎng)的黑客入侵、病毒傳播等安全威脅進(jìn)行實(shí)時(shí)識別與阻斷。（3）DMZ區(qū)及內(nèi)網(wǎng)服務(wù)器區(qū)出口鏈路上，應(yīng)對針對WEB應(yīng)用的7層攻擊，如SQL注入、XSS、HTTP GET FLOOD等威脅進(jìn)行全面深入的防護(hù)。（4）應(yīng)對流經(jīng)核心交換區(qū)域的所有流量進(jìn)行深入的檢測，以識別內(nèi)部各網(wǎng)絡(luò)區(qū)域之間發(fā)生的入侵事件和可疑行為。（5）應(yīng)對內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為，如公網(wǎng)訪問、數(shù)據(jù)庫訪問等進(jìn)行全面的記錄和審計(jì)，以滿足違規(guī)事件發(fā)生后的追查取證。（6）應(yīng)在不同校區(qū)之間的鏈路接口進(jìn)行訪問控制、病毒檢測、入侵防護(hù)等安全控制措施。

應(yīng)對全網(wǎng)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行漏洞風(fēng)險(xiǎn)管理，實(shí)現(xiàn)漏洞預(yù)警、漏洞加固和漏洞審計(jì)的全程風(fēng)險(xiǎn)控制。（7）應(yīng)對全網(wǎng)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行配置合規(guī)管理，實(shí)現(xiàn)違規(guī)配置及時(shí)識別、配置整改全面深入、配置風(fēng)險(xiǎn)全程可控。（8）應(yīng)對運(yùn)維管理人員進(jìn)行詳細(xì)嚴(yán)格的權(quán)限劃分，并通過技術(shù)手段控制運(yùn)維行為權(quán)限，對運(yùn)維行為進(jìn)行全程審計(jì)，對違規(guī)運(yùn)維操作進(jìn)行實(shí)時(shí)告警。

4遵循等保要求

2009年11月，教育部為進(jìn)一步加強(qiáng)教育系統(tǒng)信息安全工作，由辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》（教辦廳函[2009]80號），決定在教育系統(tǒng)全面開展信息安全等級保護(hù)工作；等級保護(hù)不僅是對信息安全產(chǎn)品或系統(tǒng)的檢測、評估以及定級，更重要的是，等級保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度，是一項(xiàng)基礎(chǔ)性和制度性的工作。通過等級化方法和高校信息安全體系建設(shè)有效結(jié)合，設(shè)計(jì)一套符合高校需求的信息安全保障體系，是適合我國國情、系統(tǒng)化地解決高校信息安全問題的一個(gè)非常有效的方法。

5網(wǎng)絡(luò)安全建設(shè)方案

（1）在校園網(wǎng)出口處旁路部署抗拒絕服務(wù)攻擊系統(tǒng)（ADS）對拒絕服務(wù)攻擊流量進(jìn)行清洗，并且旁路部署網(wǎng)絡(luò)流量分析系統(tǒng)（NTA）對網(wǎng)絡(luò)流量組成和DDOS攻擊成分進(jìn)行分析和判斷。在正常環(huán)境下，旁路部署的ADS不參與網(wǎng)絡(luò)出口流量的路由和交換，邊界路由器通過NETFLOW等技術(shù)將流量信息發(fā)送給NTA，由NTA分析流量特征，判斷是否遭受DDOS攻擊。當(dāng)發(fā)現(xiàn)遭受DDOS攻擊時(shí)，NTA將激活A(yù)DS，由ADS向邊界路由器發(fā)送針對特定防護(hù)目標(biāo)IP的路由，將所有去往被攻擊目標(biāo)IP的流量牽引至ADS設(shè)備。ADS系統(tǒng)進(jìn)行惡意流量的識別和清洗，將不含有攻擊成分的合法流量回注至邊界路由器，按正常路由路徑發(fā)送至目標(biāo)IP。（2）在出口鏈路部署入侵防護(hù)系統(tǒng)，對接入互聯(lián)網(wǎng)的訪問流量進(jìn)行深入過濾，有效抵御源自公網(wǎng)的入侵威脅，消除安全風(fēng)險(xiǎn)。（3）在DMZ區(qū)和內(nèi)網(wǎng)服務(wù)器出口處部署WEB應(yīng)用防火墻，對服務(wù)器區(qū)的WEB服務(wù)器進(jìn)行全方面的防護(hù)，對針對WEB站點(diǎn)的黑客攻擊，惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網(wǎng)頁篡改等攻擊手段進(jìn)行深入防護(hù)。保障網(wǎng)站、電子教務(wù)系統(tǒng)、一卡通系統(tǒng)等應(yīng)用系統(tǒng)的正常工作。（4）在核心交換區(qū)旁路部署安全審計(jì)系統(tǒng)，通過將核心交換機(jī)上各端口的流量鏡像到安全審計(jì)系統(tǒng)的監(jiān)聽鏈路，實(shí)現(xiàn)對流經(jīng)核心交換機(jī)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行全程的審計(jì)和過濾。通過制定詳細(xì)的安全審計(jì)策略，對違反審計(jì)策略的網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)告警。此外，安全審計(jì)系統(tǒng)由部署在網(wǎng)絡(luò)運(yùn)維區(qū)的安全中心進(jìn)行統(tǒng)一監(jiān)控與策略下發(fā)，并實(shí)時(shí)收集網(wǎng)絡(luò)時(shí)間日志和告警信息。（5）在核心交換區(qū)域的出口鏈路部署下一代防火墻，實(shí)現(xiàn)出口鏈路的流量檢測和安全過濾，保護(hù)內(nèi)部網(wǎng)絡(luò)安全。建議在核心交換區(qū)域與各個(gè)校區(qū)的網(wǎng)絡(luò)邊界處部署下一代防火墻，通過下一代防火墻對應(yīng)用層攻擊、病毒進(jìn)行全面阻斷，可實(shí)現(xiàn)基于源/目的IP地址、協(xié)議/端口、時(shí)間、用戶、VLAN、VPN、安全區(qū)的訪問控制，保證不同網(wǎng)絡(luò)區(qū)域之間的安全防護(hù)邊界完整。同時(shí)，通過安全管理區(qū)的安全管理服務(wù)器上安裝安全中心對該設(shè)備進(jìn)行全面的管理。

第3篇：網(wǎng)絡(luò)安全等保解決方案范文

作者：謝建根 單位：上海電力環(huán)保設(shè)備總廠有限公司

為阻止公司內(nèi)部人員搶IP地址和網(wǎng)絡(luò)攻擊，對公司網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)進(jìn)行了改造，公司的主干網(wǎng)采用華三S5500SI千兆交換機(jī)，進(jìn)行劃分VLAN管理，VLAN按部門范圍劃分，不同的部門歸屬不同的VLAN。交換機(jī)啟用防網(wǎng)絡(luò)風(fēng)暴管理，并啟用安全管理策略。這樣即使某個(gè)部門遭受網(wǎng)絡(luò)攻擊，最壞的后果只是這個(gè)部門的網(wǎng)絡(luò)產(chǎn)生故障，不會(huì)蔓延到其它部門，不會(huì)造成整個(gè)公司的網(wǎng)絡(luò)癱瘓。在每個(gè)部門所在VLAN的網(wǎng)絡(luò)接入層采用華三S3600交換機(jī)，此交換機(jī)的每個(gè)端口一一對應(yīng)該部門的每個(gè)用戶，交換機(jī)的每個(gè)端口啟用固定的IP地址、與MAC地址綁定，并實(shí)施防廣播風(fēng)暴等策略，從根本上杜絕用戶隨意修改IP地址，搶占IP地址等事件。在交換機(jī)上啟用防網(wǎng)絡(luò)攻擊手段，避免遭受網(wǎng)絡(luò)攻擊，造成網(wǎng)絡(luò)故障。采用上網(wǎng)行為管控設(shè)備對上網(wǎng)行為進(jìn)行管控當(dāng)互聯(lián)網(wǎng)成為企業(yè)的必備資源，網(wǎng)絡(luò)應(yīng)用的“難管理”和“管理難”，成為管理者不可回避的問題。上班時(shí)間玩網(wǎng)游、下載電影、炒股票等，這些現(xiàn)象使得企業(yè)開始考慮，如何規(guī)范員工的上網(wǎng)行為，讓網(wǎng)絡(luò)幫助工作，而不是影響工作。

為更好地管理網(wǎng)絡(luò)，一套有效的、適合企業(yè)需要的上網(wǎng)行為管控設(shè)備必不可少。要有效地管理公司員工的上網(wǎng)行為，選用的上網(wǎng)行為管控設(shè)備應(yīng)具備以下功能：（1）有效過濾電驢、迅雷、快車等主流的P2P軟件。當(dāng)前，在單位內(nèi)部的局域網(wǎng)中，一種現(xiàn)象是，員工在上班時(shí)間，利用各種P2P軟件，如迅雷、電驢等P2P軟件下載各種信息，其中大部分都是與工作無關(guān)的娛樂、電影等。這些下載行為一方面大量占用了公司的互聯(lián)網(wǎng)資源和網(wǎng)絡(luò)帶寬；另一方面導(dǎo)致員工工作效率低下、工作紀(jì)律松散，不利于為企業(yè)提高經(jīng)濟(jì)效益。而且，如果個(gè)人下載的文件含有木馬等病毒，還可能引發(fā)局域網(wǎng)網(wǎng)絡(luò)風(fēng)暴，導(dǎo)致局域網(wǎng)大面積斷網(wǎng)和癱瘓，嚴(yán)重影響了企業(yè)的正常經(jīng)營活動(dòng)。（2）限制員工上班時(shí)間訪問與工作無關(guān)的網(wǎng)站。員工上班時(shí)間瀏覽各種門戶網(wǎng)站、娛樂網(wǎng)站、游戲網(wǎng)站、在線視頻網(wǎng)站等，嚴(yán)重影響了工作效率。（3）禁止登錄各種聊天軟件。一方面可以禁止員工利用聊天軟件聊天而浪費(fèi)工作時(shí)間，另一方面也可以防止員工使用聊天軟件將公司的商業(yè)機(jī)密傳輸出去。（4）對各工作組進(jìn)行流量控制?；ヂ?lián)網(wǎng)的帶寬資源是有限的，為了合理使用互聯(lián)網(wǎng)帶寬，按部門劃分工作組，對各工作組設(shè)置相應(yīng)的互聯(lián)網(wǎng)帶寬和訪問策略。深信服M5100AC上網(wǎng)行為管控設(shè)備具備以上功能，可在網(wǎng)頁過濾、行為控制、流量管理、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全等多個(gè)方面提供最有效的解決方案。我公司為規(guī)范員工的上網(wǎng)行為，決定采用深信服M5100AC上網(wǎng)行為管控設(shè)備，對公司員工的上網(wǎng)行為進(jìn)行管理。根據(jù)部門進(jìn)行劃分工作組管理，對每個(gè)工作組進(jìn)行上網(wǎng)流量控制，由于不同工作組因工作需求不一，上網(wǎng)權(quán)限、上網(wǎng)帶寬和策略也不一樣。如，財(cái)務(wù)部門可以開通網(wǎng)上銀行，采購部門可以開通購物網(wǎng)站，設(shè)計(jì)部門因要收發(fā)附件較大的電子郵件，其上網(wǎng)帶寬應(yīng)該設(shè)置大一些等。但是對股票、游戲、BT下載等與工作無關(guān)的應(yīng)用在所有工作組都禁止使用。

部署網(wǎng)絡(luò)版防病毒軟件，加固互聯(lián)網(wǎng)接入安全在互聯(lián)網(wǎng)接入處安裝諾基亞IP390防火墻和深信服M5100AC上網(wǎng)行為管控設(shè)備，并啟用管控策略。一方面是對互聯(lián)網(wǎng)入口入侵進(jìn)行防控，防止外網(wǎng)黑客攻擊；另一方面是規(guī)范員工的上網(wǎng)行為，禁止進(jìn)行工作無關(guān)的上網(wǎng)行為。為了防止網(wǎng)絡(luò)受到病毒攻擊，部署江民網(wǎng)絡(luò)版防病毒軟件，及時(shí)更新升級，定期對操作系統(tǒng)殺毒，確保操作系統(tǒng)的安全?！≈贫ㄇ袑?shí)可行的網(wǎng)絡(luò)管理制度，確保公司網(wǎng)絡(luò)安全為確保整個(gè)網(wǎng)絡(luò)安全正常有效地運(yùn)行，有必要對公司網(wǎng)絡(luò)進(jìn)行全面的分析和研究，制定出一套滿足公司網(wǎng)絡(luò)實(shí)際安全需要，切實(shí)可行的安全管理制度。對相關(guān)網(wǎng)絡(luò)管理人員進(jìn)行培訓(xùn)，對員工進(jìn)行網(wǎng)絡(luò)道德教育，提高網(wǎng)絡(luò)安全意識；對操作系統(tǒng)及時(shí)更新補(bǔ)丁，并修補(bǔ)系統(tǒng)漏洞，對重要文件要進(jìn)行備份。從多方面進(jìn)行防范，盡一切可能去制止、減少非法的訪問和操作，把企業(yè)網(wǎng)絡(luò)的不安全因素降到最低。計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用正處于一個(gè)飛速發(fā)展的時(shí)期，網(wǎng)絡(luò)的規(guī)模越來越大，網(wǎng)絡(luò)的復(fù)雜程度也越來越高。為適應(yīng)網(wǎng)絡(luò)不斷發(fā)展的需要，在組建計(jì)算機(jī)網(wǎng)絡(luò)時(shí)必須高度重視網(wǎng)絡(luò)管理的重要性，重點(diǎn)從網(wǎng)絡(luò)管理技術(shù)和網(wǎng)絡(luò)管理策略設(shè)計(jì)兩大方面全面規(guī)劃，設(shè)計(jì)好網(wǎng)絡(luò)管理的方方面面，以確保網(wǎng)絡(luò)系統(tǒng)高效、安全地運(yùn)行。

第4篇：網(wǎng)絡(luò)安全等保解決方案范文

行業(yè)云走向前臺

在云計(jì)算被熱炒并發(fā)展的這幾年，公有云和私有云技術(shù)已經(jīng)為企業(yè)級客戶和IT服務(wù)商所熟知。而近期，一批以“行業(yè)云”命名的云服務(wù)在IT業(yè)內(nèi)興起。那么，行業(yè)云與公有云有何不同？難道是對公有云的一次炒作？

追根溯源，這一概念的最先提出者IT解決方案提供商浪潮給出了標(biāo)準(zhǔn)答案?！靶袠I(yè)云就是由行業(yè)內(nèi)或某個(gè)區(qū)域內(nèi)起主導(dǎo)作用或者掌握關(guān)鍵資源的組織建立和維護(hù)，以公開或者半公開的方式，向行業(yè)內(nèi)部或相關(guān)組織和公眾提供有償或無償服務(wù)的云平臺?！蹦壳暗睦顺币褜⑿袠I(yè)云定義為其云計(jì)算業(yè)務(wù)的戰(zhàn)略市場。

那么，行業(yè)云與公有云的主要區(qū)別在哪里？“區(qū)別就在數(shù)據(jù)的來源及服務(wù)提供商的核心競爭力?！崩顺奔瘓F(tuán)云服務(wù)總監(jiān)顏亮在接受本報(bào)記者采訪時(shí)表示。浪潮認(rèn)為，公有云是公眾使用的云平臺，一般為一個(gè)專門出售云服務(wù)的機(jī)構(gòu)所擁有，例如Google、百度，其特點(diǎn)是數(shù)據(jù)來源是公開途徑，通過獨(dú)有的應(yīng)用，利用公開數(shù)據(jù)為客戶提供服務(wù)，其算法、業(yè)務(wù)系統(tǒng)是核心競爭力；而行業(yè)云的數(shù)據(jù)主要來源于行業(yè)內(nèi)部的核心組織，也有一部分會(huì)來自行業(yè)內(nèi)部的其他成員，絕大部分是私有數(shù)據(jù)，數(shù)據(jù)是其核心競爭力?！耙虼?，對于行業(yè)云客戶來說，他們的數(shù)據(jù)不可能提供給第三方卻又同時(shí)具有對云服務(wù)的需求。”顏亮解釋道。

如未來質(zhì)檢行業(yè)需要對外提供各類商品的信息查詢，但是數(shù)據(jù)又不可能交給第三方處理，所以質(zhì)監(jiān)系統(tǒng)會(huì)建立一個(gè)質(zhì)檢行業(yè)云，整合整個(gè)系統(tǒng)的信息來對外提供該類服務(wù)，類似的行業(yè)還有交通、環(huán)保等。

針對行業(yè)云的特點(diǎn)及該類客戶的需求特性，浪潮立足山東，于今年5月末正式推出了其在行業(yè)級云服務(wù)領(lǐng)域的解決方案與戰(zhàn)略布局。

浪潮實(shí)施的山東警務(wù)云服務(wù)也是典型的行業(yè)云落地應(yīng)用案例。山東公安通過建設(shè)統(tǒng)一的警務(wù)云計(jì)算中心將警務(wù)應(yīng)用系統(tǒng)全部遷移到“云”上。同時(shí)，利用大數(shù)據(jù)處理平臺，整合公安內(nèi)部數(shù)據(jù)、社會(huì)組織數(shù)據(jù)和互聯(lián)網(wǎng)數(shù)據(jù)，打破了部門警種界限，從而為深度挖掘并關(guān)聯(lián)多種信息創(chuàng)造條件。

政府采購安全為首

“行業(yè)級云服務(wù)出現(xiàn)后，對于政府和企業(yè)而言，信息系統(tǒng)建設(shè)完全可從傳統(tǒng)的自己購買設(shè)備及軟件變成購買服務(wù)。云計(jì)算數(shù)據(jù)中心好比一個(gè)大水庫，客戶可按自己需求，像擰開水龍頭用水一樣方便獲取，有效提高IT效率并節(jié)約運(yùn)營成本。同時(shí)，可以利用大數(shù)據(jù)技術(shù)，整合多方數(shù)據(jù)，創(chuàng)新智慧應(yīng)用。云計(jì)算帶來的社會(huì)資源節(jié)約是非?？捎^的?！眮碜员本┦薪?jīng)信委原副主任閻冠表示。

目前，政府采購云服務(wù)已成為國際通行做法，各國政府積極通過政策引導(dǎo)、制定標(biāo)準(zhǔn)、投入資金等方式加快本國云服務(wù)的布局形成和產(chǎn)業(yè)發(fā)展。

浪潮行業(yè)云服務(wù)最主要的內(nèi)容之一就是政務(wù)云應(yīng)用。以濟(jì)南市公用信息平臺為依托，由浪潮投資建設(shè)運(yùn)營的濟(jì)南政務(wù)云，是全國首個(gè)整體服務(wù)外包的政務(wù)云，開創(chuàng)了“濟(jì)南模式”。

據(jù)悉，浪潮還成立了專業(yè)的運(yùn)營團(tuán)隊(duì)，以保障濟(jì)南市政府53個(gè)部門、300多項(xiàng)業(yè)務(wù)應(yīng)用在云中心的高效運(yùn)行，并制定了云技術(shù)、安全標(biāo)準(zhǔn)，確定了計(jì)費(fèi)、服務(wù)等規(guī)范，為“濟(jì)南模式”的推廣打下基礎(chǔ)。自運(yùn)行以來，濟(jì)南全市年度電子政務(wù)建設(shè)及運(yùn)行成本降低了30%，新建業(yè)務(wù)系統(tǒng)部署時(shí)間降低了50%，市級部門主要業(yè)務(wù)信息共享率達(dá)70%以上，全市社會(huì)管理和公共服務(wù)電子政務(wù)幾乎實(shí)現(xiàn)全覆蓋。

在濟(jì)南政務(wù)云落地之后，起到了很好的示范效果，很多城市都將濟(jì)南模式作為自身政務(wù)云頂層設(shè)計(jì)的組成部分。目前，與浪潮達(dá)成戰(zhàn)略合作的城市已經(jīng)超過30個(gè)。

“比起個(gè)人云服務(wù)，政府在涉足云服務(wù)領(lǐng)域時(shí)需考慮的因素更為復(fù)雜，安全性、可定制以及合規(guī)性是政府最?？紤]的三大要素?！鳖伭撂嵝颜少徳品?wù)時(shí)，要建立在自主可控的基礎(chǔ)上，確保政府信息系統(tǒng)、數(shù)據(jù)資源的安全可控。

具體來說，一方面從供應(yīng)鏈安全角度對云服務(wù)背景和能力進(jìn)行審查，并從國別、可靠性、能力等方面綜合審查。另一方面對構(gòu)筑云計(jì)算中心的設(shè)備、軟件產(chǎn)品等加以限制，對來源和性能不能確保達(dá)到一定安全等級要求的產(chǎn)品，要限制使用，對于無法避免使用的要進(jìn)行風(fēng)險(xiǎn)分析，制定安全機(jī)制和應(yīng)急措施，在機(jī)制和措施建立的基礎(chǔ)上嚴(yán)格審批程序，由國家認(rèn)證機(jī)構(gòu)確認(rèn)并出具證明，報(bào)相關(guān)監(jiān)管機(jī)構(gòu)批準(zhǔn)。

第5篇：網(wǎng)絡(luò)安全等保解決方案范文

關(guān)鍵詞:網(wǎng)絡(luò)入侵;入侵檢測系統(tǒng);信息安全

中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)35-9947-05

Network Safety Technology Research

ZHENG Xiao-xia

(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)

Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.

Key words: network intrusion; intrusion detection systems; information security

1 前言

1.1 因特網(wǎng)的發(fā)展及其安全問題

隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的廣泛深入,網(wǎng)絡(luò)安全問題變得日益復(fù)雜和突出。網(wǎng)絡(luò)的資源共享、信息交換和分布處理提供了良好的環(huán)境,使得網(wǎng)絡(luò)深入到社會(huì)生活的各個(gè)方面,逐步成為國家和政府機(jī)構(gòu)運(yùn)轉(zhuǎn)的命脈和社會(huì)生活的支柱。這一方面提高了工作效率,另一方面卻由于自身的復(fù)雜性和脆弱性,使其受到威脅和攻擊的可能性大大增加。眾所周知,因特網(wǎng)是世界上最大的計(jì)算機(jī)網(wǎng)絡(luò),它連接了全球不計(jì)其數(shù)的網(wǎng)絡(luò)與電腦。同時(shí)因特網(wǎng)也是世界上最開放的系統(tǒng),任何地方的電腦,只要遵守共同的協(xié)議即可加入其中。因特網(wǎng)的特點(diǎn)就是覆蓋的地理范圍廣,資源共享程度高。由于因特網(wǎng)網(wǎng)絡(luò)協(xié)議的開放性,系統(tǒng)的通用性,無政府的管理狀態(tài),使得因特網(wǎng)在極大地傳播信息的同時(shí),也面臨著不可預(yù)測的威脅和攻擊。網(wǎng)絡(luò)技術(shù)越發(fā)展,對網(wǎng)絡(luò)進(jìn)攻的手段就越巧妙,越多樣性。一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性和信息共享促進(jìn)了網(wǎng)絡(luò)的飛速發(fā)展,另一方面也正是這種開放性以及計(jì)算機(jī)本身安全的脆弱性,導(dǎo)致了網(wǎng)絡(luò)安全方面的諸多漏洞?？梢哉f,網(wǎng)絡(luò)安全問題將始終伴隨著因特網(wǎng)的發(fā)展而存在。所以,網(wǎng)絡(luò)的安全性同網(wǎng)絡(luò)的性能、可靠性和可用性一起,成為組建、運(yùn)行網(wǎng)絡(luò)不可忽視的問題。

1.2 我國網(wǎng)絡(luò)安全現(xiàn)狀及其相關(guān)法律與制度

1.2.1 我國網(wǎng)絡(luò)安全現(xiàn)狀

2007年“熊貓燒香”病毒的制作者成功抓獲并被判刑,說明了政府高度重視網(wǎng)絡(luò)安全問題。目前,國家依據(jù)信息化建設(shè)的實(shí)際情況,制訂了一系列法律文件和行政法規(guī)、規(guī)章,為我國信息化建設(shè)的發(fā)展與管理起到了有利的促進(jìn)和規(guī)范作用,為依法規(guī)范和保護(hù)我國信息化建設(shè)健康有序發(fā)展提供了有利的法律依據(jù)。

1.2.2 我國網(wǎng)絡(luò)安全相關(guān)法律與原則

2003年中辦下發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》是目前我國信息安全保障方面的一個(gè)綱領(lǐng)性文件。

我國網(wǎng)絡(luò)信息安全立法的原則

1)國家利益原則。當(dāng)今天信息已成為社會(huì)發(fā)展的重要戰(zhàn)略資源,信息安全成為維護(hù)國家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)。信息安全首先要體現(xiàn)國家利益原則。

2)一致性原則。要與在我國現(xiàn)行法律和國際法框架下制定的法律法規(guī)相一致,避免重復(fù)立法和分散立法,增強(qiáng)立法的協(xié)調(diào)性,避免立法的盲目性、隨意性和相互沖突。

3)發(fā)展的原則。信息安全立法既要考慮規(guī)范行為,又要考慮促進(jìn)我國國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展。

4)可操作性原則。要對現(xiàn)實(shí)有針對性,對實(shí)踐有指導(dǎo)性。

5)優(yōu)先原則。急需的先立法、先實(shí)施,如信息安全等級保護(hù)、信息安全風(fēng)險(xiǎn)評估、網(wǎng)絡(luò)信任、信息安全監(jiān)控、信息安全應(yīng)急處理等方面要加緊立法。

2 網(wǎng)絡(luò)安全協(xié)議

2.1 網(wǎng)絡(luò)安全協(xié)議對維護(hù)網(wǎng)絡(luò)安全的作用

Internet的開放式信息交換方式使其網(wǎng)絡(luò)安全具有脆弱性,而實(shí)現(xiàn)網(wǎng)絡(luò)安全的關(guān)鍵是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。目前幾乎網(wǎng)絡(luò)的各個(gè)層次都指定了安全協(xié)議和具備了相應(yīng)的安全技術(shù),網(wǎng)絡(luò)安全協(xié)議可很好的保護(hù)信息在網(wǎng)絡(luò)中傳播。在安全領(lǐng)域,一種“安全協(xié)議”被定義為“一種控制計(jì)算機(jī)間數(shù)據(jù)傳輸?shù)陌踩^程。

2.1.1 第二層隧道協(xié)議(L2TP)

第2層隧道協(xié)議(L2TP)是點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)的一個(gè)擴(kuò)展,L2TP數(shù)據(jù)包在用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口1701進(jìn)行交換。ISP使用L2TP來建立VPN解決方案,使用該方案,用戶可以在載波網(wǎng)絡(luò)中更多地利用VPN的優(yōu)點(diǎn)。由于L2TP符合國際標(biāo)準(zhǔn),因此不同開發(fā)商所開發(fā)的L2TP設(shè)備的協(xié)同能力大大增強(qiáng)。L2TP VPN已經(jīng)成為提供商使用的產(chǎn)品。在裝有Cisco的網(wǎng)絡(luò)中,端到端的服務(wù)質(zhì)量(QoS)可以通過QoS技術(shù)的使用來保證IPSec負(fù)責(zé)數(shù)據(jù)加密,它同樣也是一種國際標(biāo)準(zhǔn)。IPSec對每個(gè)數(shù)據(jù)包的數(shù)據(jù)進(jìn)行初始認(rèn)證、數(shù)據(jù)完整性檢測、數(shù)據(jù)回放保護(hù)以及數(shù)據(jù)的機(jī)密性保護(hù)。從設(shè)計(jì)上來看,L2TP支持多協(xié)議傳輸環(huán)境,它能夠使用任何路由協(xié)議進(jìn)行傳輸,包括IP、IPX以及AppleTalk。同時(shí),L2TP也支持任何廣域網(wǎng)傳送技術(shù),包括幀中繼、ATM、X.25或SONET,它還能夠支持各種局域網(wǎng)媒質(zhì),如以太網(wǎng)、快帶以太網(wǎng)、令牌環(huán)以及FDDI。L2TP使用因特網(wǎng)及其網(wǎng)絡(luò)連接以使得終端能夠頒布在各個(gè)不同的地理位置上。L2TP的最大安全之處在于它使用了IPSec,IPSec可以為連接提供機(jī)密性、數(shù)據(jù)包的認(rèn),以及保護(hù)控制信息和數(shù)據(jù)包不被重新發(fā)送。

2.1.2 IPSec的技術(shù)優(yōu)勢:

為數(shù)據(jù)的安全傳輸提供了身份驗(yàn)證、完整性、機(jī)密性等措施,另外它的查驗(yàn)和安全與它的密鑰管理系統(tǒng)相連。因此,如果未來的密鑰管理系統(tǒng)發(fā)生變化時(shí),IPSec的安全機(jī)制不需要進(jìn)行修改。當(dāng)IPSec用于VPN網(wǎng)關(guān)時(shí),就可以建立虛擬專用網(wǎng)。在VPN網(wǎng)關(guān)的連內(nèi)部網(wǎng)的一端是一個(gè)受保護(hù)的內(nèi)部網(wǎng)絡(luò),另一端則是不安全的外部公共網(wǎng)絡(luò)。兩個(gè)這樣的VPN網(wǎng)關(guān)建立起一個(gè)安全通道,數(shù)據(jù)就可以通過這個(gè)通道從一個(gè)本地的保護(hù)子網(wǎng)發(fā)送到一個(gè)遠(yuǎn)程的保護(hù)子網(wǎng),這就形成了一條VPN。在這個(gè)VPN中,每一個(gè)具有IPSec的VPN網(wǎng)關(guān)都是一個(gè)網(wǎng)絡(luò)聚合點(diǎn),試圖對VPN進(jìn)行通信分析將會(huì)失敗。

目的是VPN的所有通信都經(jīng)過網(wǎng)關(guān)上的SA來定義加密或認(rèn)證的算法和密鑰等參數(shù),即從VPN的一個(gè)網(wǎng)關(guān)出來的數(shù)據(jù)包只要符合安全策略,就會(huì)用相應(yīng)的SA來加密或認(rèn)證(加上AH或ESP報(bào)頭)。整個(gè)安全傳輸過程由IKE控制,密鑰自動(dòng)生成,所有的加密和解密可由兩端的網(wǎng)關(guān),對保護(hù)子網(wǎng)內(nèi)的用戶而言整個(gè)過程都是透明的。

2.2 安全Shell(SSH)

安全Shell或者SSJ常用于遠(yuǎn)程登錄系統(tǒng),和過去使用的Telnet具有相同的目的。然而Telnet和SSH的最大區(qū)別是:SSH大大加強(qiáng)了其連接的安全性。SSH是一個(gè)應(yīng)用程序,它為不可靠的、存在潛在危險(xiǎn)的網(wǎng)絡(luò)(如因特網(wǎng))上的兩臺主機(jī)提供了一個(gè)加密的通信路徑。因此,SSH防止了用戶口令及其他敏感數(shù)據(jù)以明文方式在網(wǎng)絡(luò)中傳輸。SSH解決了在因特網(wǎng)中最重要的安全問題:黑客竊取或破解口令的問題。

SSH拒絕數(shù)據(jù)IP欺騙攻擊,保證能夠是哪臺主機(jī)發(fā)送了該數(shù)據(jù)。加密數(shù)據(jù)包,用以防止其他中間主機(jī)截取明文口令及其他數(shù)據(jù)。IP源路由選擇,可以防止某臺主機(jī)偽裝它的上IP數(shù)據(jù)包來源于另一臺可信主機(jī)。避免數(shù)據(jù)包傳送路徑上控制其他裝置的人處理數(shù)據(jù)。SSH給安全領(lǐng)域帶來一個(gè)很有趣的功能:即使用隧道的SSH技術(shù)轉(zhuǎn)發(fā)某些數(shù)據(jù)包。FTP協(xié)議和X Windows協(xié)議都采用了這一功能。這中轉(zhuǎn)發(fā)功能使SSH能夠利用其他一些協(xié)議來控制主機(jī)終端與SSH連接的操作。你可能認(rèn)為通過SSH連接的隧道將是一個(gè)很不錯(cuò)的VPN選擇,但事實(shí)并非如此。一種更好的解決方案就是通過VPN連接的SSH隧道技術(shù),因?yàn)檫@是一種很安全的連接發(fā)。總之,SSH是一個(gè)比較滸、用于加密網(wǎng)絡(luò)TCP會(huì)話的工具,它最常用于遠(yuǎn)程登錄以及增加網(wǎng)絡(luò)的安全性。

3 網(wǎng)絡(luò)安全技術(shù)

3.1 使用網(wǎng)絡(luò)安全技術(shù)的意義

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn),網(wǎng)絡(luò)安全的問題已經(jīng)日益突出地?cái)[在各類用戶的面前。據(jù)統(tǒng)計(jì)資料表明,目前在互聯(lián)網(wǎng)上大約有將近20%以上的用戶曾經(jīng)受過黑客的困擾。盡管黑客如此猖獗,但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn),這一點(diǎn)從大約有40%以上的用戶,特別是企業(yè)級用戶沒有安裝防火墻便可以窺見一斑,而所有的問題都在向大家證明一個(gè)事實(shí),大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻引發(fā)的。

3.2 防火墻

防火墻(Firewall )技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一,也是目前網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入,可有效地保證網(wǎng)絡(luò)安全。它是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。

3.2.1 防火墻的種類

第一:從防火墻產(chǎn)品形態(tài)分類,防火墻可分為3種類型:

1)軟件防火墻

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來說,這臺計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān),俗稱“個(gè)人防火墻”。軟件防火墻就像其他的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)軟件版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

2)硬件防火墻

硬件防火墻是指“所謂的硬件防火墻。之所以加上”所謂“二字是針對芯片級防火墻說的。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,它們都基于PC架構(gòu),也就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最常用的有老版本的UNIX、Linux和FreeBSD系統(tǒng)。值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會(huì)受到OS(操作系統(tǒng))本身的安全性影響。

傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口,分別接內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)(非軍事化區(qū)),現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口,常見的四端防火墻一般將第4個(gè)端口作為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。

3)芯片級防火墻

芯片級防火墻基于專門的硬件平臺及專用的操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價(jià)格相對比較高昂。

第二:從防火墻所采用的技術(shù)不同,可分為包過濾型、型和監(jiān)測型三大類型。

1)包過濾型

是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的他包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。優(yōu)點(diǎn)是:簡單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境簡單的情況下能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。缺點(diǎn)是:只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入。

2)型

“型”防火墻也可以稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始實(shí)行向應(yīng)用層發(fā)展。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機(jī)。監(jiān)測型

3)監(jiān)測型

“監(jiān)測型”防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻對各層的數(shù)據(jù)進(jìn)行主動(dòng)、實(shí)時(shí)的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,臨測型防火墻有效地判斷出各層中的非法侵入。同時(shí),這種檢測型防火墻產(chǎn)品一般還帶有分布式探器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)系統(tǒng)的節(jié)點(diǎn)之中,不僅檢測來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用

第三:從網(wǎng)絡(luò)體系結(jié)構(gòu)來進(jìn)行分類,可以將防火墻分為以下4種類型:

1)網(wǎng)絡(luò)級防火墻

一般是基于源地址和目的地址、應(yīng)用或協(xié)議,以及每個(gè)IP包的端口來做出通過與否的判斷。網(wǎng)絡(luò)級防火墻簡潔、速度快、費(fèi)用低,并且對用戶透明,但是對網(wǎng)絡(luò)的保護(hù)有限,因?yàn)樗粰z查地址和端口,對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。

2)應(yīng)用級網(wǎng)關(guān)

也稱“型”防火墻,它檢查進(jìn)出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制,并做精細(xì)的注冊和稽核。但每一種協(xié)議需要相應(yīng)的軟件,使用時(shí)工作量大,效率不如網(wǎng)絡(luò)級防火墻。

3)電路級網(wǎng)關(guān)

用來監(jiān)近代受信任的客戶機(jī)或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會(huì)話是否合法,電路級網(wǎng)關(guān)在OSI模型中會(huì)話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高兩層。另外,電路級網(wǎng)關(guān)還提供一個(gè)重要的安全功能:網(wǎng)絡(luò)地址轉(zhuǎn)換功能,將所有內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址,這個(gè)地址是由防火墻使用的。但是,作為電路級網(wǎng)關(guān)也存在著一睦缺陷,因?yàn)樵摼W(wǎng)關(guān)是在會(huì)話層工作的,它就無法檢查應(yīng)用層級的數(shù)據(jù)包。

4)規(guī)則檢查防火墻

該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣,規(guī)則檢查聞?dòng)嵒饓Υ驩SI網(wǎng)絡(luò)層上通過IP地址和端口號,過濾進(jìn)出的數(shù)據(jù)包?？梢栽贠SI應(yīng)用層下檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn),但是不同于一個(gè)應(yīng)用級網(wǎng)關(guān)的是,它并不打破客戶機(jī)/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù),它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與旅游區(qū)在用層有關(guān)的,而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級在過濾數(shù)據(jù)包上更有效。

第四:從防火墻的應(yīng)用部署位置來分,可將防火墻分為3種類型

1)邊界防火墻

這是最為傳統(tǒng)的那種,它們位于內(nèi)、外部網(wǎng)絡(luò)的邊蜀,所起的作用是對內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離,保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都是硬件類型的,價(jià)格較貴,性能較好。

2)個(gè)人防火墻

安裝于單臺主機(jī)中,防護(hù)的也只是單臺主機(jī)。這類防火墻應(yīng)于廣大的個(gè)人用戶,價(jià)格最便宜,性能也最差。

3)混合式防火墻

也可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個(gè)軟、硬件組件組成,分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間,既對內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾,又對網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一,性能最好,價(jià)格也最貴。

3.2.2 防火墻中的關(guān)鍵技術(shù)

在實(shí)現(xiàn)防火墻的眾多技術(shù)中,如下技術(shù)是其實(shí)現(xiàn)的關(guān)鍵技術(shù):

3.2.2.1 包過濾技術(shù)

包過濾技術(shù)是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢蒙蠈?shù)據(jù)包實(shí)施有選擇的過濾。采用這種技術(shù)的防火墻產(chǎn)品,通過在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包進(jìn)行過濾,根據(jù)所檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素,然后依據(jù)一組預(yù)定義的規(guī)則,以允許合乎邏輯的數(shù)據(jù)包通過防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò),而將不合乎邏輯的數(shù)據(jù)包加以刪除。

優(yōu)點(diǎn):采用包過濾技術(shù)的包過濾防火墻具有明顯的優(yōu)點(diǎn),

1)一個(gè)過濾由器協(xié)助防護(hù)整個(gè)網(wǎng)絡(luò)

2)數(shù)據(jù)包過濾對用戶透明

3)包過濾路由器速度快、效率高

缺點(diǎn):通常它沒有用戶的使用記錄,這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。配置煩瑣也是包過濾防火墻的一個(gè)缺點(diǎn)。沒有一定的經(jīng)驗(yàn),是不可能將過濾規(guī)則配置得完美的。

3.2.2.2 應(yīng)用技術(shù)

技術(shù)是針對每一個(gè)特定應(yīng)用服務(wù)的控制。它作用于應(yīng)用層。其具有狀態(tài)性的特點(diǎn),能提供部分與傳輸有關(guān)的狀態(tài),起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)的中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請求。提供服務(wù)的可以是一臺雙宿網(wǎng)關(guān),也可以是一臺保壘主機(jī)。

3.2.2.3 狀態(tài)檢查技術(shù)

狀態(tài)檢查技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù),是一種在網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻功能的技術(shù)。它是在應(yīng)用層實(shí)現(xiàn)防火墻的功能,針對每一個(gè)特定應(yīng)用進(jìn)行檢驗(yàn)。服務(wù)不允許直接與真正的服務(wù)通信,而是與服務(wù)器通信(用戶的默認(rèn)網(wǎng)關(guān)指向服務(wù)器)。各個(gè)應(yīng)用在用戶和服務(wù)之間處理所有的通信。

優(yōu)點(diǎn):1)易于配置。2)能生成各項(xiàng)記錄。3)能靈活、完全地控制進(jìn)出信息。4)能過濾數(shù)據(jù)內(nèi)容。

缺點(diǎn):1)速度比路由器慢。2)對用戶不透明。3)對于每項(xiàng)服務(wù),可能要求不同的服務(wù)器。4)服務(wù)通常要求對客戶或過程進(jìn)行限制。5)服務(wù)受協(xié)議弱點(diǎn)的限制。6)不能改進(jìn)底層協(xié)義的安全性。

3.2.2.4 地址轉(zhuǎn)換技術(shù)

地址轉(zhuǎn)換技術(shù)是將一個(gè)IP地址用另一個(gè)IP地址代替。它主要應(yīng)用于兩個(gè)方面,其一是網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)的IP地址。其二是內(nèi)部網(wǎng)的IP地址是無效的。在此情況下,外部網(wǎng)不能訪問內(nèi)部網(wǎng),而內(nèi)部網(wǎng)之間主機(jī)可以互助訪問。

3.2.2.5 內(nèi)容檢查技術(shù)

內(nèi)容檢查技術(shù)提供對高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控,以確保數(shù)據(jù)流的安全。它是一個(gè)利用智能方式來分析數(shù)據(jù),使系統(tǒng)免受信息內(nèi)容安全威脅的軟件組合。

3.3 網(wǎng)絡(luò)入侵檢測

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜,網(wǎng)絡(luò)攻擊方式的不斷翻新。網(wǎng)絡(luò)系統(tǒng)的安全管理,是一個(gè)非常復(fù)檢錄煩瑣的事情。入侵檢測技術(shù)和漏洞掃描技術(shù)通過從目標(biāo)系統(tǒng)和網(wǎng)絡(luò)資源中采集信息,分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號和網(wǎng)絡(luò)系統(tǒng)中的漏洞,甚至實(shí)時(shí)地對攻擊做了反應(yīng)。入侵檢測系統(tǒng)和入侵保護(hù)系統(tǒng)是防火墻極其有益的補(bǔ)充,它能對非法入侵行為進(jìn)行全面的臨測和防護(hù)。在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。入侵檢測技術(shù)被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)聽,從而提供針對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù),大大提高了網(wǎng)絡(luò)的安全性。

3.3.1 入侵檢測系統(tǒng)技術(shù)

入侵檢測系統(tǒng)技術(shù)可以采用概率統(tǒng)計(jì)方法、專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、模式匹配、行為分析等來實(shí)現(xiàn)入侵檢測系統(tǒng)的檢測機(jī)制,以分析事件的審計(jì)記錄、識別特定的模式、生成檢測報(bào)告和最終的分析結(jié)果。

3.3.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)的核心就是通過對系統(tǒng)數(shù)據(jù)的分析,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進(jìn)行組合便是入侵檢測系統(tǒng)。與其他安全產(chǎn)品不同的是入侵檢測系統(tǒng)需要更多的智能必須可以對得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果,一個(gè)合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作,保證網(wǎng)絡(luò)安全的運(yùn)行。其實(shí),入侵檢測系統(tǒng)是一個(gè)曲型的“窺探設(shè)備”。它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽端口,無須轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動(dòng)地、無聲無息地收集它所關(guān)心的報(bào)文即可。

3.4 虛擬專用網(wǎng)(VPN)

VPN是目前解決信息安全問題的一個(gè)最新、最成功的技術(shù)之一。所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò),但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)絡(luò)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商),在公有網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)絡(luò)中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。IETF草案理解基于IP的VPN為:“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”,通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。

一個(gè)典型VPN的組成部分如圖1所示。

圖1各個(gè)組件作用如下:VPN服務(wù)器:接受來自VPN客戶機(jī)的連接請求。VPN客戶機(jī):可以是終端計(jì)算機(jī)也可以是路由器。隧道:數(shù)據(jù)傳輸通道,在其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過封裝。VPN連接:在VPN連接中,數(shù)據(jù)必須經(jīng)過加密。隧道協(xié)議:封裝數(shù)據(jù)、管理隧道的通信標(biāo)準(zhǔn)。傳輸數(shù)據(jù):經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò):如Internet,也可以是其他共享網(wǎng)絡(luò)。

3.5 訪問控制的概念

訪部控制是通過一個(gè)參考監(jiān)視器,在每一次用戶對系統(tǒng)目標(biāo)進(jìn)行訪問時(shí),都由它來調(diào)節(jié),包括限制合法用戶的行為。訪問控制是信息安全保障機(jī)制的核心內(nèi)容,它是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要手段。訪問控制是為了限制訪問主體(或稱為發(fā)起者,是一個(gè)主動(dòng)的實(shí)體;如用戶、進(jìn)程、服務(wù)等),對訪問客體(需要保護(hù)的資源)的訪問權(quán)限,從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用;訪問控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么,及做到什么程度。所有的操作系統(tǒng)都支持訪問控制。

訪問控制的兩個(gè)重要過程:1)通過鑒別(authentication)來檢驗(yàn)主體的合法身份:2)通過授權(quán)(authorization)來限制用戶對資源的訪問級別。訪問包括讀取數(shù)據(jù),更改數(shù)據(jù),運(yùn)行程序,發(fā)起連接等。訪問控制所要控制的行為有以下幾類:1)讀取數(shù)據(jù);2)運(yùn)行可執(zhí)行文件;3)發(fā)起網(wǎng)絡(luò)連接等。

3.5.1 訪問控制應(yīng)用類型

根據(jù)應(yīng)用環(huán)境的不同,訪問控制主要有以下三種:1)網(wǎng)絡(luò)訪問控制;2)主機(jī)、操作系統(tǒng)訪問控制;3)應(yīng)用程序訪問控制。由于本文討論的主要為網(wǎng)絡(luò)中的訪問控制。所以主機(jī)、操作系統(tǒng)的訪問控制

及應(yīng)用程序的訪問控制在這里就不做討論。網(wǎng)絡(luò)訪問控制機(jī)制應(yīng)用在網(wǎng)絡(luò)安全環(huán)境中,主要是限制用戶可以建立什么樣的連接以及通過網(wǎng)絡(luò)傳輸什么樣的數(shù)據(jù),這就是傳統(tǒng)的網(wǎng)絡(luò)防火墻。此外,加密的方法也常被用來提供實(shí)現(xiàn)訪問控制。

3.5.2 強(qiáng)制訪問控制(MAC)

強(qiáng)制訪問控制與自主訪問控制因?qū)崿F(xiàn)的基本理念不同,訪問控制可分為強(qiáng)制訪問控制(Mandatory accesscontrol)和自主訪問控制(Discretionary access control)。用來保護(hù)系統(tǒng)確定的對象,對此對象用戶不能進(jìn)行更改。也就是說,系統(tǒng)獨(dú)立于用戶行為強(qiáng)制執(zhí)行訪問控制,用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩?。這樣的訪問控制規(guī)則通常對數(shù)據(jù)和用戶按照安全等級劃分標(biāo)簽,訪問控制機(jī)制通過比較安全標(biāo)簽來確定的授予還是拒絕用戶對資源的訪問。強(qiáng)制訪問控制進(jìn)行了很強(qiáng)的等級劃分,所以經(jīng)常用于軍事用途。在強(qiáng)制訪問控制系統(tǒng)中,所有主體(用戶,進(jìn)程)和客體(文件,數(shù)據(jù))都被分配了安全標(biāo)簽,安全標(biāo)簽標(biāo)識一個(gè)安全等級。主體(用戶,進(jìn)程)被分配一個(gè)安全等級,客體(文件,數(shù)據(jù))也被分配一個(gè)安全等級。訪問控制執(zhí)行時(shí)對主體和客體的安全級別進(jìn)行比較。

用一個(gè)例子來說明強(qiáng)制訪問控制規(guī)則的應(yīng)用,如WEB服務(wù)以“秘密”的安全級別運(yùn)行。例如WEB服務(wù)器被攻擊,攻擊者在目標(biāo)系統(tǒng)中以“秘密”的安全級別進(jìn)行操作,他將不能訪問系統(tǒng)中安全級為“機(jī)密”及“高密”的數(shù)據(jù)。

4 網(wǎng)絡(luò)安全策略

4.1 網(wǎng)絡(luò)安全系統(tǒng)策略

從根本意義上講,絕對安全的網(wǎng)絡(luò)是不可能有的。只要使用,就或多或少地存在安全問題。我們在探討安全問題的時(shí)候,實(shí)際上是指一定程度的網(wǎng)絡(luò)安全。一般說來,網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)的開放性、便利性和靈活性為代價(jià)的。計(jì)算機(jī)網(wǎng)絡(luò)信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,國際上普遍認(rèn)為:它不僅涉及到技術(shù)、設(shè)備、人員管理等范疇,還應(yīng)該依法律規(guī)范作保證,只有各方面結(jié)合起來,相互彌補(bǔ),不斷完善,才能有效地實(shí)現(xiàn)網(wǎng)絡(luò)信息安全。這里僅從技術(shù)的角度探討網(wǎng)絡(luò)信息安全的對策。

4.2 網(wǎng)絡(luò)安全系統(tǒng)策略的制定

4.2.1 物理安全策略

物理安全的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊;防止用戶越權(quán)操作;確保網(wǎng)絡(luò)設(shè)備有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入控制室和各種偷竊、破壞活動(dòng)的發(fā)生。抑制和防止電磁泄漏是物理安全策略的一個(gè)主要問題。

4.2.2 數(shù)據(jù)鏈層路安全策略

數(shù)據(jù)鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽,主要采用劃分VLAN(虛擬局域網(wǎng))、加密通信(遠(yuǎn)程網(wǎng))等手段。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。

4.2.3 網(wǎng)絡(luò)層安全策略

網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù),保證網(wǎng)絡(luò)路由正確,避免攔截或監(jiān)聽。用于解決網(wǎng)絡(luò)層安全性問題的主要有防火墻和VPN(虛擬專用網(wǎng))。防火墻是在網(wǎng)絡(luò)邊界上通過建立起惡報(bào)相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入。

4.2.4 遵循“最小授權(quán)”策略

“最小授權(quán)”原則指網(wǎng)絡(luò)中帳號設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時(shí)刪除不必要的帳號等措施可以將系統(tǒng)的危險(xiǎn)性大大降低。

4.2.5 建立并嚴(yán)格執(zhí)行規(guī)章制度的策略

在網(wǎng)絡(luò)安全中,除了采用技術(shù)措施之外,制定有關(guān)規(guī)章制度,對于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。規(guī)章制度作為一項(xiàng)核心內(nèi)容,應(yīng)始終貫穿于系統(tǒng)的安全生命周期。一般來說,安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務(wù)存在沖突的時(shí)候,網(wǎng)絡(luò)安全往往會(huì)作出讓步,或許正是由于一個(gè)細(xì)微的讓步,最終導(dǎo)致了整個(gè)系統(tǒng)的崩潰。因此,嚴(yán)格執(zhí)行安全管理制度是網(wǎng)絡(luò)可靠運(yùn)行的重要保障。

5 結(jié)論

當(dāng)前,如何確保計(jì)算機(jī)網(wǎng)絡(luò)的安全性是任何一個(gè)網(wǎng)絡(luò)的設(shè)計(jì)者和管理者都極為關(guān)心的熱點(diǎn)。由于因特網(wǎng)協(xié)議的開放性,使得計(jì)算機(jī)網(wǎng)絡(luò)的接入變得十分容易。正是在這樣得背景下,能夠威脅到計(jì)算機(jī)網(wǎng)絡(luò)安全的因素就非常多。因此,人們研究和開發(fā)了各種安全技術(shù)和手段,努力構(gòu)建一種可靠的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。這種安全系統(tǒng)的構(gòu)建實(shí)際上就是針對己經(jīng)出現(xiàn)的各種威脅(或者是能夠預(yù)見的潛在威脅),采用相應(yīng)的安全策略與安全技術(shù)解除這些威脅對網(wǎng)絡(luò)的破壞的過程。當(dāng)然,隨著計(jì)算機(jī)網(wǎng)絡(luò)的擴(kuò)大,威脅網(wǎng)絡(luò)安全因素的變化使得這個(gè)過程是一個(gè)動(dòng)態(tài)的過程。計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對抗過程。所以任何計(jì)算機(jī)網(wǎng)絡(luò)安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統(tǒng),人們力圖建立的只能是一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。它是一個(gè)動(dòng)態(tài)加靜態(tài)的防御,本文首先從多個(gè)角度研究了計(jì)算機(jī)網(wǎng)絡(luò)的安全性,針對各種不同的威脅與攻擊研究了解決它們的相應(yīng)安全技術(shù)與安全協(xié)議。接下來,在一般意義下制定計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的策略與原則,提出了計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)現(xiàn)模型。計(jì)算機(jī)網(wǎng)絡(luò)安全取決于安全技術(shù)與網(wǎng)絡(luò)管理兩大方面。從技術(shù)角度來講,計(jì)算機(jī)網(wǎng)絡(luò)安全又取決于網(wǎng)絡(luò)設(shè)備的硬件與軟件兩個(gè)方面,網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合才能較好地實(shí)現(xiàn)網(wǎng)絡(luò)安全。但是,由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù),人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸,因此,將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實(shí)現(xiàn),實(shí)現(xiàn)快速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個(gè)主要方向。另一方面,在安全技術(shù)不斷發(fā)展的同時(shí),全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容。因?yàn)榧词褂辛司W(wǎng)絡(luò)安全的理論基礎(chǔ),沒有對網(wǎng)絡(luò)安全的深刻認(rèn)識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中,那么談再多的網(wǎng)絡(luò)安全也是無用的。同時(shí),網(wǎng)絡(luò)安全不僅僅是防火墻,也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌,而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。除了網(wǎng)絡(luò)安全技術(shù),還要強(qiáng)調(diào)網(wǎng)絡(luò)安全策略和管理手段的重要性。只有做到這些的綜合,才能確保網(wǎng)絡(luò)安全。本文盡管對計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行了較深入的研究。但是,計(jì)算機(jī)網(wǎng)絡(luò)安全的問題是一個(gè)永久的課題,它將隨著計(jì)算機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)的關(guān)系就象是“矛”和“盾”的關(guān)系一樣,沒有無堅(jiān)不摧的矛、也沒有無法攻破的盾。從理論上講這種做法的正確的,但在具體的折中方法上就有大量的研究及實(shí)驗(yàn)工作可做。由于本文作者水平有限以及時(shí)間有限等的原因,本文的折中是有進(jìn)一步研究和改進(jìn)的必要的?？傊?計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)是個(gè)永無止境的研究課題。

參考文獻(xiàn):

[1] Stallings W.網(wǎng)絡(luò)安全要素一應(yīng)用與標(biāo)準(zhǔn)[M].北京:人民郵電出版社,2000.

[2] 張小斌,嚴(yán)望佳.黑客分析與防范技術(shù)[M].北京:清華大學(xué)出版社,1999.

[3] 余建斌,黑客的攻擊手段及用戶對策[M].北京:人民郵電出版社,1998.

[4] 彭杰.計(jì)算機(jī)網(wǎng)絡(luò)安全問題的探討[M].現(xiàn)代電子技術(shù),2002.

[5] 郝玉潔,.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電子科技大學(xué)學(xué)報(bào)社科版,2002,4(1).

[6] 陳朝陽,潘雪增,平鈴娣.新型防火墻的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2002(11).

[7] 劉美蘭,姚京松.入侵檢測預(yù)警系統(tǒng)及其性能設(shè)計(jì)[C]//卿斯?jié)h,馮登國.信息和通信安全CCICS'99:第1屆中國信息和通信安全學(xué)術(shù)會(huì)議論文集.北京:科學(xué)出版社,2000.

[8] 陳曉蘇,林軍,肖道舉.基于多的協(xié)同分布式入侵檢測系統(tǒng)模型[J].華中科技大學(xué)學(xué)報(bào):自然科學(xué)版,2002,30(2).

[9] 王惠芳.虛擬專用網(wǎng)的設(shè)計(jì)及安全性分析[J].計(jì)算機(jī)工程,2001(6).

第6篇：網(wǎng)絡(luò)安全等保解決方案范文

為了符合高端商務(wù)人士雙屏應(yīng)用的需求，C27A750X將無線顯示技術(shù)、USB3.0、網(wǎng)絡(luò)連接等多種功能集于一身。該顯示器最為重要的特色莫過于支持采用無線方式與電腦主機(jī)進(jìn)行連接的功能。普通顯示器在與電腦連接時(shí)，都需通過顯示接口（DVI、D-Sub和HDMI等）與筆記本電腦或臺式電腦相連。而C27A750X卻可以將這些顯示信號線拋開，與電腦主機(jī)進(jìn)行無線連接。用戶在使用該顯示器時(shí)，只需安裝隨顯示器附帶的軟件，并將USB無線信號發(fā)射器插在電腦的USB接口上，C27A750X就能通過內(nèi)置無線接收器接收并顯示畫面。實(shí)際測試發(fā)現(xiàn)，該無線顯示連接步驟簡便，靜態(tài)畫面的顯示效果頗為出色，用戶在上網(wǎng)沖浪、處理日常郵件或文檔工作時(shí)都可獲得較為優(yōu)秀的效果。但值得注意的是，在顯示動(dòng)作類高清電影時(shí)，畫面雖較流暢，但色階過渡略有斷層現(xiàn)象。

C27A750X除了能以無線方式進(jìn)行連接之外，還具備通過USB連接進(jìn)行顯示的功能。用戶只需使用隨機(jī)附帶的專用USB3.0線纜與電腦主機(jī)進(jìn)行連接，該顯示器就可顯示出電腦畫面。實(shí)際測試發(fā)現(xiàn)，通過USB3.0線纜進(jìn)行連接顯示的方式，即使在播放動(dòng)作類高清電影時(shí)也可獲得流暢與出色的顯示效果。另外，除了這兩種特色的顯示功能之外，該顯示器也支持標(biāo)準(zhǔn)的D-Sub和HDMI連接方式。該顯示器除了可實(shí)現(xiàn)采用無線的方式連接進(jìn)行顯示之外，還具備網(wǎng)絡(luò)信號轉(zhuǎn)發(fā)的功能。將顯示器連接網(wǎng)線后，用戶只需將筆記本電腦處于該顯示器的無線連接范圍內(nèi)，即可自動(dòng)檢測并將主機(jī)連接至互聯(lián)網(wǎng)。

在顯示質(zhì)量方面，C27A750X的亮度均勻性表現(xiàn)不俗，畫面的左上和右上部分的亮度有一定的下降，而左下和右下部分的亮度與中央相差不大，屬于主流27英寸顯示器中較高的水準(zhǔn)。此外，該顯示器在屏幕漏光方面的控制也較好，無明顯漏光現(xiàn)象。

三星SyncMaster C27A750X

價(jià)格（元）： 4399

屏幕實(shí)測亮度（lm）： 323.8

最大能耗（W）： 47.9

技術(shù)參數(shù)

最佳分辨率： 1920×1080

可視角度（水平/垂直）： 170°/160°

能效比（cd/W）： 1.36

屏幕實(shí)測最大對比度： 1182:1

OSD操作： 觸摸式按鍵

顯示接口： HDMI/D-Sub

USB接口： USB3.0×2/USB2.0×2

體積（mm）： 639×485×233

背光/面板類型： LED/TN

影馳樂享

價(jià)格（元）： 1699

信號接收器體積（mm）： 148×96×20

傳輸延時(shí)（ms）： ＜1

技術(shù)參數(shù)：

傳輸距離（m）： 10

無線頻段（GHz）： 5

128位數(shù)據(jù)加密： 支持

發(fā)射器體積（mm）： 107×44×16

發(fā)射器發(fā)射功率（dBm）： ＜12

發(fā)射器接口： HDMI/MiniUSB

發(fā)射器最大功耗（W）： 2.5

信號接收器接收靈敏度（dBm）： ≤-65

發(fā)射器供電方式： USB供電

無線高清：影馳樂享是一款全新概念的無線高清傳輸設(shè)備，它能夠在家居范圍內(nèi)無延時(shí)傳輸無壓縮的1080p全高清信號。影馳樂享基于WHDI 1.0無線傳輸協(xié)議，由一個(gè)普通閃存盤大小的發(fā)射端和一個(gè)類似普通家用路由器大小的接收端組成。該方案支持HDMI 1.3規(guī)范，在傳輸視頻的同時(shí)可傳輸7.1聲道AC3&DTS音頻，它最大可傳輸1080p、60Hz的視頻信號，并保證延遲小于1ms。它的工作頻段為5.1GHz~5.9GHz，與其他通常的無線設(shè)備如無線鍵鼠、耳機(jī)、路由器等工作在不同頻段，可以減少相互干擾。影馳樂享發(fā)射端的最大功耗僅為2.5W，普通USB接口的供電量即可滿足需要，而且使用這個(gè)設(shè)備不需要安裝任何驅(qū)動(dòng)，也不需進(jìn)行任何設(shè)置，即插即用。此外，樂享的一個(gè)接收端可以支持多個(gè)發(fā)射設(shè)備，為消費(fèi)者組建無線數(shù)字家庭提供了一個(gè)簡易的解決方案。

小結(jié)擺脫有線束縛，簡單、實(shí)用、便攜。

競爭產(chǎn)品暫無

富士施樂ApeosPort-IV C7780

價(jià)格（元）： 400 000

體積（mm）： 1004×804×1392

重量（kg）： 274

技術(shù)參數(shù)

首頁文本打印時(shí)間（s）： 2.5

10頁文本打印時(shí)間（s）： 15

首頁P(yáng)DF打印機(jī)時(shí)間（s）： 13

單頁圖文混排打印時(shí)間（s）： 21

200ppiA4灰度掃描單面/雙面（s）： 6/6

單頁黑白文本復(fù)?。╯）： 2.5

掃描分辨率（dpi）： 600×600

打印分辨率（dpi）： 2400×2400

標(biāo)稱功耗（KW）： ≤2.4

模塊化打印：富士施樂ApeosPort-IV C7780的掃描模塊支持雙面掃描，文稿正面的內(nèi)容由玻璃稿臺的CCD組件負(fù)責(zé)掃描，而文稿背面的內(nèi)容則由安置在進(jìn)紙路上的CIS高速掃描單元負(fù)責(zé)掃描，這樣紙張只需經(jīng)過進(jìn)紙路一次即可完成文稿兩面的掃描。實(shí)際在200ppiA4紙張灰度掃描測試中，單面掃描的速度與雙面掃描幾乎完全相同。另外，C7780的CCD掃描組件采用了PowerLED光源，采用這種光源使C7780與采用傳統(tǒng)氙氣光源的彩色數(shù)碼復(fù)合機(jī)相比啟動(dòng)速度更快，而且能耗更低。

C7780標(biāo)配了彩色控制面板，簡明的圖形化按鈕更容易操作，特別設(shè)計(jì)的供紙托盤鎖定扳手和托盤滾筒可以幫助用戶更方便地添加打印紙。3個(gè)大容量彩色墨粉倉和兩個(gè)獨(dú)立的黑色墨粉倉可以滿足企業(yè)大負(fù)荷打印的需求，為了滿足連續(xù)打印的需求，C7780還支持打印過程中的開倉換粉，也就是說在打印過程中一旦出現(xiàn)墨粉不足，用戶可以在不中斷甚至不影響打印速度的情況下更換舊的黑色粉盒。另外，富士施樂通過在墨粉中加入“快速溶解聚酯纖維”，使得墨粉需要的加熱溫度有近20°左右的降低，這既可提升預(yù)熱啟動(dòng)的速度，也可以明顯降低能耗。

C7780采用了富士施樂研發(fā)的智電技術(shù)，該技術(shù)可以自動(dòng)控制各個(gè)功能模塊的電力輸出，例如在用戶使用掃描功能時(shí)就只對掃描單元供電，而不啟用其他的模塊，以實(shí)現(xiàn)降低能耗和噪音的目的，在只開啟掃描模塊時(shí)可以減少20%~30%的能耗。

為了滿足不同企業(yè)的使用需求，C7780支持模塊化擴(kuò)展，用戶不但可以將安置于機(jī)身上的彩色控制面板更換為10.4英寸的觸摸控制屏，也可以連接專用的大容量紙盒以及專業(yè)的裝訂部件，借助該部件C7780在打印后可以自動(dòng)完成打釘、打孔、折頁和制作小冊子的工作。

小結(jié)節(jié)能環(huán)保特性突出，擴(kuò)展能力強(qiáng)，快速雙面復(fù)印功能十分實(shí)用。

競爭產(chǎn)品佳能智簡iR-ADV C5051，同樣提供多種功能的選配組件。

雷柏V7

價(jià)格（元）： 290

體積（mm）： 350×143×37

重量（g）： 860

技術(shù)參數(shù)：

按鍵標(biāo)稱壽命（萬次）： 5000

接口類型： USB2.0

鍵盤鍵數(shù)（個(gè)）： 92

按鍵行程（mm）： 4

觸發(fā)行程（mm）： 2

觸發(fā)壓力（g）： 50±15

報(bào)告速率（次/s）： 1000

多媒體鍵： 有

鍵位沖突： ＞9

黃軸機(jī)械鍵盤：雷柏V7是一款入門級的游戲機(jī)械鍵盤，它采用雷柏自主研發(fā)的機(jī)械黃軸，相比Cherry黑軸80g的壓力克數(shù)，雷柏黃軸50g的觸發(fā)壓力更小，手感更加輕盈。這款鍵盤去掉了傳統(tǒng)意義上的小鍵盤區(qū)，與正常鍵盤相比，它的體積更小，不會(huì)占用過多的桌面空間，攜帶起來也比較方便。鍵盤采用了標(biāo)準(zhǔn)的美式按鍵布局，更符合國內(nèi)用戶的使用習(xí)慣。它的鍵帽材質(zhì)采用了略帶磨砂質(zhì)感的ABS材質(zhì)，鍵帽的字符使用激光填料技術(shù)，具有清晰、耐磨的特點(diǎn)。

此外，鍵盤的每個(gè)按鍵均支持可編程設(shè)計(jì)，配合模式切換按鍵，可以讓玩家在普通模式和自定義模式之間輕松切換。該款鍵盤的按鍵手感介于黑軸和紅軸之間，比黑軸的起始下壓力更輕，比紅軸具有更高的中繼觸發(fā)力。雖然其按鍵行程較長，但只需按下一半（約2mm）的行程即可觸發(fā)。

小結(jié)手感輕盈、細(xì)膩，價(jià)格實(shí)惠。

競爭產(chǎn)品PLUM mini黑軸機(jī)械鍵盤，價(jià)格為260元。

諾頓網(wǎng)絡(luò)安全特警2012

價(jià)格（元）： 399（2年3用戶）

硬盤需求（MB）： 300

實(shí)際占用內(nèi)存（MB）： 34

技術(shù)參數(shù)

CPU需求： 主頻1GHz或更高

操作系統(tǒng)： Windows XP/Vista/7

瀏覽器插件支持： IE6或更高

最低內(nèi)存需求（MB）： 256

反垃圾郵件： Outlook 2002或更高

智能文件分析： 支持

云安全技術(shù)： 支持

父母管理控制： 支持

身份防護(hù)： 支持

在線身份安全：當(dāng)前，我們處在互聯(lián)網(wǎng)信息爆炸、網(wǎng)絡(luò)安全威脅層出不窮、智能移動(dòng)終端設(shè)備被廣泛應(yīng)用的時(shí)代，如何保護(hù)自己的個(gè)人賬戶、位置、隱私等信息不受侵犯是每個(gè)人都十分關(guān)心的問題。老牌的互聯(lián)網(wǎng)安全廠商賽門鐵克近期推出了諾頓網(wǎng)絡(luò)安全特警2012（以下簡稱諾頓2012），新版諾頓不僅通過基于云計(jì)算技術(shù)的防護(hù)組合繼續(xù)提升軟件整體的防護(hù)能力、保障用戶個(gè)人在線信息的安全，而且了針對Android系統(tǒng)的諾頓手機(jī)安全軟件，將傳統(tǒng)的安全防護(hù)從PC端引入移動(dòng)終端。

新版諾頓繼續(xù)保持簡潔高效的特性，其安裝過程不超過1分鐘，即便是性能較差的系統(tǒng)，運(yùn)行的速度也不會(huì)因?yàn)榘惭b諾頓2012而產(chǎn)生明顯的改變。諾頓2012的主界面為用戶提供了掃描、升級和高級3個(gè)功能的快速入口，整體界面延續(xù)了以往版本的風(fēng)格，但是優(yōu)化了多用戶狀態(tài)下的使用體驗(yàn)細(xì)節(jié)。諾頓2012將云安全理念進(jìn)一步深化，并結(jié)合到了身份安全、信譽(yù)掃描、網(wǎng)頁安全等模塊和技術(shù)當(dāng)中。在身份防護(hù)方面，除了繼續(xù)為用戶提供表單自動(dòng)填寫等實(shí)用功能外，還可以將用戶本地的身份數(shù)據(jù)上傳到諾頓云端保存，用戶在使用另外一臺電腦時(shí)可以不必再進(jìn)行重復(fù)配置。在網(wǎng)頁安全方面，新版諾頓進(jìn)行了大幅改進(jìn)，目前已經(jīng)支持Google、百度、雅虎、Ask和必應(yīng)五大搜索引擎以及IE、Firefox和Chrome等三大主流瀏覽器，覆蓋范圍更廣。

同期推出的Android版諾頓手機(jī)安全軟件支持防盜用、防惡意軟件、屏蔽電話和短信以及網(wǎng)頁防護(hù)功能。值得一提的是，防盜用功能可設(shè)置5個(gè)好友的手機(jī)號，通過向該手機(jī)發(fā)送短信代碼進(jìn)行手機(jī)遠(yuǎn)程定位、遠(yuǎn)程鎖定以及遠(yuǎn)程數(shù)據(jù)擦除，非常實(shí)用。

第7篇：網(wǎng)絡(luò)安全等保解決方案范文

關(guān)鍵詞：虛擬化;仿真模型;計(jì)算機(jī)網(wǎng)絡(luò);教學(xué)資源庫;行動(dòng)導(dǎo)向

中圖分類號：G712 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-0079（2014）33-0095-02

仿真模型利用高性能計(jì)算機(jī)系統(tǒng)的虛擬現(xiàn)實(shí)技術(shù)開發(fā)，具有高相似性、便于管理和低耗費(fèi)的特點(diǎn)，是教學(xué)資源庫建設(shè)的重要內(nèi)容。本文以高職計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)為例，進(jìn)行基于虛擬化技術(shù)的仿真網(wǎng)絡(luò)模型庫的開發(fā)與應(yīng)用。在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)課程體系建設(shè)中，采用工作過程系統(tǒng)化的方法對典型工作任務(wù)類聚重構(gòu)得到《網(wǎng)絡(luò)故障排除》、《網(wǎng)絡(luò)管理與維護(hù)》等學(xué)習(xí)領(lǐng)域來培養(yǎng)崗位能力[1]。而基于虛擬化技術(shù)的網(wǎng)絡(luò)模型庫在學(xué)習(xí)領(lǐng)域的教學(xué)中作為重要教學(xué)資源支持任務(wù)驅(qū)動(dòng)、行動(dòng)導(dǎo)向等教學(xué)方法的實(shí)施，為學(xué)生營造一個(gè)職業(yè)教育與工作世界和個(gè)體職業(yè)實(shí)踐活動(dòng)之間直接而緊密聯(lián)系的教學(xué)環(huán)境[2]。

一、必要性和可行性分析

開發(fā)應(yīng)用網(wǎng)絡(luò)模型庫是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生崗位能力培養(yǎng)的必要教學(xué)資源，成熟的虛擬化技術(shù)則提供了以較低的經(jīng)濟(jì)成本實(shí)現(xiàn)模型庫的方法。

1.培養(yǎng)崗位能力的需要

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生就業(yè)崗位的典型任務(wù)包括網(wǎng)絡(luò)建設(shè)、監(jiān)控、管理、維護(hù)等，其勝任力除了網(wǎng)絡(luò)專業(yè)知識和技能之外，還對溝通、學(xué)習(xí)、分析、決策及故障排除等能力有特殊要求[3]。在教學(xué)中培養(yǎng)上述關(guān)鍵能力，需要一個(gè)仿真的網(wǎng)絡(luò)環(huán)境，使學(xué)生能夠感性認(rèn)識崗位工作的特點(diǎn)，角色扮演來完成學(xué)習(xí)任務(wù)。以網(wǎng)絡(luò)管理員崗位所處的典型網(wǎng)絡(luò)為原型建設(shè)的網(wǎng)絡(luò)模型庫就是仿真工作環(huán)境、實(shí)施典型工作任務(wù)的有效載體。

2.教學(xué)模式改革的需要

學(xué)生在就業(yè)崗位從事網(wǎng)絡(luò)故障排除的事件是隨機(jī)、突發(fā)而無任何引導(dǎo)和提示的。而傳統(tǒng)方式的教學(xué)方法往往以知識和技能為切入點(diǎn)，遵循按部就班、先入為主的策略，這就約束了學(xué)生思維空間，降低思維鍛煉強(qiáng)度。在指導(dǎo)優(yōu)先與建構(gòu)優(yōu)先相融合教育理念的指導(dǎo)下展開行動(dòng)導(dǎo)向的校內(nèi)教學(xué)活動(dòng)，讓學(xué)生按照就業(yè)崗位的標(biāo)準(zhǔn)工作流程完成學(xué)習(xí)任務(wù)，就必須給學(xué)生創(chuàng)造一個(gè)“真實(shí)的虛擬”在崗工作氛圍和任務(wù)。傳統(tǒng)書本、圖示和靜態(tài)模型等形式只能提供抽象或者平面視覺，不能滿足環(huán)境觀察、實(shí)際操作的真實(shí)性要求。虛擬化網(wǎng)絡(luò)模型因?yàn)槠淞己玫南嗨菩院突?dòng)性而成為網(wǎng)絡(luò)管理課程開展教學(xué)模式改革的必要資源。

3.信息化教學(xué)資源庫建設(shè)的需要

進(jìn)行教學(xué)模式改革的同時(shí)，配套的教學(xué)資源也必須擺脫傳統(tǒng)形式、載體和結(jié)構(gòu)的局限，消除基于學(xué)科體系建立的資源孤島，在學(xué)習(xí)情境中融合典型工作任務(wù)的文檔、產(chǎn)品文獻(xiàn)資料、交互交流平臺和崗位環(huán)境等元素。利用虛擬化等現(xiàn)代信息技術(shù)建設(shè)仿真的模型庫以較低的經(jīng)濟(jì)成本實(shí)現(xiàn)仿真的崗位網(wǎng)絡(luò)環(huán)境，是實(shí)現(xiàn)形象、立體、開放的結(jié)構(gòu)化資源庫的必要組成部分[4]。

4.技術(shù)和經(jīng)濟(jì)上的可行性

模擬器和虛擬化技術(shù)能夠?qū)崿F(xiàn)在一臺PC上可以虛擬多臺路由、交換、安全或主機(jī)等網(wǎng)絡(luò)設(shè)備，并能夠彼此互連成比較復(fù)雜的網(wǎng)絡(luò)拓?fù)?，這就可以用較低的經(jīng)濟(jì)成本實(shí)現(xiàn)各種網(wǎng)絡(luò)模型。而且，虛擬化技術(shù)實(shí)現(xiàn)的仿真網(wǎng)絡(luò)以獨(dú)立文件存儲，既便于復(fù)制又便于訪問和分發(fā)，輔之以物理設(shè)備還可以完成網(wǎng)絡(luò)性能管理等多種典型崗位任務(wù)的仿真。

三、模型庫開發(fā)過程

為滿足上述要求，開發(fā)基于虛擬化技術(shù)的仿真網(wǎng)絡(luò)模型庫按照“崗位調(diào)研、模型精選、分類實(shí)現(xiàn)、部署分發(fā)”步驟來實(shí)現(xiàn)。

1.崗位調(diào)研

以就業(yè)為導(dǎo)向的職業(yè)教育活動(dòng)都應(yīng)該以崗位能力分析為邏輯起點(diǎn)，以達(dá)到崗位能力要求為目標(biāo)。崗位調(diào)研針對不同規(guī)模、不同類型和不同行業(yè)的企業(yè)進(jìn)行調(diào)研。調(diào)研內(nèi)容包括：企業(yè)網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、組成技術(shù)以及對網(wǎng)絡(luò)管理員的能力要求等。

2.模型精選

為了突出模型的典型性，對崗位調(diào)研結(jié)果進(jìn)行歸類匯總，化繁為簡，整理出具有代表性的網(wǎng)絡(luò)環(huán)境模型和能力需求，如表1所示：

3.分類實(shí)現(xiàn)

目前有多種手段和工具可以實(shí)現(xiàn)精選的網(wǎng)絡(luò)模型，這些工具又具有不同的特點(diǎn)，必須依據(jù)開放性和便于訪問分發(fā)的原則按照不同的優(yōu)先順序選擇。本文采用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)最常用的網(wǎng)絡(luò)模擬器GNS3，、Packet Tracer、ENSP和vmware workstation，再結(jié)合物理設(shè)備來分類實(shí)現(xiàn)網(wǎng)絡(luò)模型庫，如表2所示：

表1 學(xué)生就業(yè)崗位的網(wǎng)絡(luò)環(huán)境和能力要求

網(wǎng)絡(luò)類型 網(wǎng)絡(luò)特點(diǎn) 主要技術(shù)組成 能力要求

園區(qū)網(wǎng) 小型 結(jié)構(gòu)和功能簡單，管理人員少，沒有分工 布線系統(tǒng)、基本路由技術(shù)、基本交換技術(shù)、基本無線技術(shù)、桌面管理和安全等 專業(yè)能力要求較低，但必須全面;能夠進(jìn)行簡單的故障分析和排除;有較好的溝通能力

中型 結(jié)構(gòu)比較簡單，功能較多，管理人員分工不明確 布線系統(tǒng)、路由技術(shù)、交換技術(shù)、無線技術(shù)、服務(wù)器（主機(jī)）系統(tǒng)、網(wǎng)絡(luò)安全技術(shù)、數(shù)據(jù)庫等應(yīng)用和桌面管理等 專業(yè)能力要求較高，并且比較全面;能夠進(jìn)行故障分析和排除;有較好的溝通能力

大型 結(jié)構(gòu)復(fù)雜、功能繁多、網(wǎng)絡(luò)規(guī)模大、設(shè)備類型和數(shù)量多、對可靠性、安全性等有特殊要求，管理人員分工明確 布線系統(tǒng)、路由技術(shù)、交換技術(shù)、無線技術(shù)、冗余技術(shù)、服務(wù)器（主機(jī)）系統(tǒng)、網(wǎng)絡(luò)安全技術(shù)、數(shù)據(jù)庫等應(yīng)用和桌面管理等 專業(yè)能力要求高，在網(wǎng)絡(luò)技術(shù)、安全技術(shù)、主機(jī)（操作系統(tǒng)）等至少一方面精通;能夠進(jìn)行復(fù)雜故障分析和排除;有較好的溝通能力和團(tuán)隊(duì)協(xié)作能力

廣域網(wǎng) 結(jié)構(gòu)復(fù)雜、功能單一、網(wǎng)絡(luò)規(guī)模大、設(shè)備類型較少但數(shù)量多、對可靠性有特殊要求，管理人員分工明確 布線系統(tǒng)、路由技術(shù)、冗余技術(shù)、網(wǎng)絡(luò)安全技術(shù)等 專業(yè)能力要求高，在路由技術(shù)和VPN等方面特別精通;能夠進(jìn)行復(fù)雜故障分析和排除;有較好的溝通能力和團(tuán)隊(duì)協(xié)作能力

數(shù)據(jù)中心 結(jié)構(gòu)復(fù)雜、功能繁多、網(wǎng)絡(luò)規(guī)模不大但涉及存儲網(wǎng)絡(luò)等特殊類型、設(shè)備類型和數(shù)量多、對可靠性、安全性等有特殊要求，管理人員分工明確 布線系統(tǒng)、路由技術(shù)、交換技術(shù)、冗余技術(shù)、服務(wù)器（主機(jī)）系統(tǒng)、安全技術(shù)、存儲技術(shù)、虛擬化技術(shù)和數(shù)據(jù)庫技術(shù)等 專業(yè)能力要求高，在網(wǎng)絡(luò)技術(shù)、安全技術(shù)、主機(jī)（操作系統(tǒng)）、虛擬化技術(shù)或者數(shù)據(jù)庫等至少一方面精通;能夠進(jìn)行特別復(fù)雜故障分析和排除;有較好的溝通能力和團(tuán)隊(duì)協(xié)作能力

表2 實(shí)現(xiàn)不同類型網(wǎng)絡(luò)模型的方式一覽表

實(shí)現(xiàn)工具 功能 特點(diǎn) 實(shí)現(xiàn)模型種類

GNS3 網(wǎng)絡(luò)模擬器，采用虛擬化方法運(yùn)行真實(shí)IOS，模擬CISCO路由器、交換機(jī)、防火墻等 運(yùn)行真實(shí)IOS;功能完備;可與主機(jī)、Vmware workstation的虛擬網(wǎng)絡(luò)相互連接;占用系統(tǒng)資源較多 使用CISCO產(chǎn)品的廣域網(wǎng);路由高級功能、冗余;帶有防火墻/IDS;模擬連接vmware workstation的服務(wù)器等;但設(shè)備數(shù)量不能太多

Packet Tracer 模擬CISCO路由器、交換機(jī)、防火墻和簡單主機(jī)等 模擬CISCO網(wǎng)絡(luò)設(shè)備和主機(jī);占用資源較少，可以模擬大規(guī)模網(wǎng)絡(luò) 含有路由、交換、主機(jī)基本功能的大型廣域網(wǎng)、園區(qū)網(wǎng)等全景模型，但不支持冗余等高級功能

ENSP 模擬華為路由器、交換機(jī)和簡單主機(jī)等 模擬華為網(wǎng)絡(luò)設(shè)備;占用資源較多;可以與主機(jī)、Vmware workstation或者GNS3互連;占用系統(tǒng)資源較多 使用華為產(chǎn)品的廣域網(wǎng)、局域網(wǎng)等;模擬連接vmware workstation的服務(wù)器等;但設(shè)備數(shù)量不能太多

Vmware workstation 桌面虛擬環(huán)境，可以獨(dú)立運(yùn)行Windows、Linux等操作系統(tǒng)，實(shí)體機(jī)器上模擬完整的網(wǎng)絡(luò)環(huán)境 運(yùn)行真實(shí)操作系統(tǒng);功能完備;占用資源大;可與主機(jī)、GNS3、ENSP等虛擬網(wǎng)絡(luò)相互連接;占用系統(tǒng)資源較多 與GNS等連接使用，模擬數(shù)據(jù)中心主機(jī)系統(tǒng)，在操作系統(tǒng)上運(yùn)行數(shù)據(jù)庫、Apache等多種應(yīng)用軟件;多個(gè)vmware虛擬機(jī)可以構(gòu)建HA等冗余模型

物理設(shè)備 主機(jī)、交換機(jī)、路由器、防火墻等設(shè)備 真實(shí)設(shè)備;功能完整;但成本較高且數(shù)量有限 局域網(wǎng)、廣域網(wǎng)等局部場景的模型;需要性能測試的模型;與主機(jī)、vmware虛擬機(jī)連接使用可以構(gòu)建較復(fù)雜的數(shù)據(jù)中心模型

表2所示，盡管Packet Tracer模擬的路由、交換的基本功能，但其消耗主機(jī)CPU和內(nèi)存資源較少，可以在PC上模擬更多的路由器和交換機(jī)，所以本文采用Packet Tracer實(shí)現(xiàn)只有簡單路由和交換功能的大型園區(qū)網(wǎng)或廣域網(wǎng)的全景模型。針對功能復(fù)雜、設(shè)備類型較多、設(shè)計(jì)主機(jī)和應(yīng)用系統(tǒng)的網(wǎng)絡(luò)模型則需要主機(jī)、vmware workstation、網(wǎng)絡(luò)模擬器和物理設(shè)備等多個(gè)工具相連接來完成，如圖1所示：

三、模型庫的應(yīng)用

在教學(xué)中采用行動(dòng)導(dǎo)向的方法完成了某個(gè)項(xiàng)目，就意味著建立一種新的知識模型。本文中這個(gè)知識模型就是在應(yīng)用網(wǎng)絡(luò)模型庫的教學(xué)中建立起來的專業(yè)能力和知識體系。

1.在行動(dòng)導(dǎo)向教學(xué)中的應(yīng)用

如前所述，故障分析與排除能力是學(xué)生完成就業(yè)崗位運(yùn)行維護(hù)工作至關(guān)重要的能力，采用行動(dòng)導(dǎo)向教學(xué)模式可以提高這種隱性能力的培養(yǎng)效率。仿真網(wǎng)絡(luò)模型的應(yīng)用按照“咨詢、計(jì)劃、決策、實(shí)施、檢查和評估”的任務(wù)關(guān)鍵流程來實(shí)施[6]，貫穿于崗位任務(wù)實(shí)施的完整行動(dòng)思維過程。

在“資訊”環(huán)節(jié)中教師為學(xué)生描述工作場景，提供網(wǎng)絡(luò)案例，學(xué)生收集信息，認(rèn)識案例所代表的網(wǎng)絡(luò)任務(wù);在“計(jì)劃和決策”環(huán)節(jié)中學(xué)生分析網(wǎng)絡(luò)案例中的問題，制定解決方案;在“實(shí)施”環(huán)節(jié)中則要求學(xué)生直接在虛擬化的案例上進(jìn)行操作;在“檢查和評估”環(huán)節(jié)中驗(yàn)證、展示完成任務(wù)的網(wǎng)絡(luò)案例?！傲健苯虒W(xué)過程中均要求學(xué)生以在崗“網(wǎng)絡(luò)工程師”或者“網(wǎng)絡(luò)管理員”角色完成任務(wù)，教師則扮演“網(wǎng)絡(luò)用戶”或“企業(yè)管理者”角色進(jìn)行配合、輔助、指導(dǎo)或評價(jià)，強(qiáng)化學(xué)生對就業(yè)崗位認(rèn)知和職業(yè)能力培養(yǎng)。

2.調(diào)整完善

教學(xué)實(shí)踐是檢驗(yàn)仿真網(wǎng)絡(luò)模型在職業(yè)教育教學(xué)中是否實(shí)用性的主要途徑。所以在面向計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)崗位開發(fā)的課程體系中應(yīng)積極使用仿真網(wǎng)絡(luò)模型，模型在設(shè)計(jì)實(shí)現(xiàn)等方面存在的問題能夠被及時(shí)發(fā)現(xiàn)并解決。這些問題主要集中在網(wǎng)絡(luò)模型性能表現(xiàn)和故障難度等方面，分發(fā)涉及多種技術(shù)和工具實(shí)現(xiàn)的網(wǎng)絡(luò)模型會(huì)耗費(fèi)的時(shí)間較長，需要優(yōu)化分發(fā)策略，使學(xué)生分組提前做好準(zhǔn)備，課前在校園網(wǎng)下載相應(yīng)案例。在教學(xué)中高效應(yīng)用仿真模型還要考慮學(xué)生的認(rèn)知規(guī)律，要注意技術(shù)應(yīng)用、故障設(shè)置的繁簡和難易梯度。比如，有些網(wǎng)絡(luò)案例設(shè)置的復(fù)雜的故障，學(xué)生理解分析存在一定難度，就應(yīng)該拆分模型中復(fù)雜的故障使之難度降低。經(jīng)過調(diào)整完善及補(bǔ)充開發(fā)新網(wǎng)絡(luò)模型及時(shí)更新可以保網(wǎng)絡(luò)模型與就業(yè)崗位任務(wù)的同步，促進(jìn)虛擬化仿真網(wǎng)絡(luò)模型的發(fā)展。

四、結(jié)論與展望

采用虛擬化技術(shù)與物理設(shè)備相結(jié)合的方式開發(fā)網(wǎng)絡(luò)模型庫以崗位調(diào)研為基礎(chǔ)，為學(xué)生建立全景式的仿真網(wǎng)絡(luò)環(huán)境，結(jié)合行動(dòng)導(dǎo)向教學(xué)改變先入為主的傳統(tǒng)教學(xué)模式，突出方法和社會(huì)能力的培養(yǎng)，強(qiáng)化了教學(xué)活動(dòng)的針對性和職業(yè)性，在計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)人才培養(yǎng)中發(fā)揮資源支撐作用。然而，計(jì)算機(jī)網(wǎng)絡(luò)模型庫只是整個(gè)信息化教學(xué)資源庫的一個(gè)重要組成部分，應(yīng)該以之為基礎(chǔ)在企業(yè)產(chǎn)品信息、項(xiàng)目標(biāo)準(zhǔn)、多媒體素材和績效制度等方面進(jìn)一步完善豐富教學(xué)資源庫。

參考文獻(xiàn)：

[1]潘洪濤，王智明，左奕.工作過程系統(tǒng)化計(jì)算機(jī)網(wǎng)絡(luò)故障排除課程開發(fā)實(shí)踐[J].中國職業(yè)技術(shù)教育，2011，（2）：55-58.

[2]姜大源.職業(yè)教育學(xué)研究新論[M].北京：教育科學(xué)出版社，

2007：221-220.

[3]教育部.教育部關(guān)于全面提高高等職業(yè)教育教學(xué)質(zhì)量的若干意見[EB/OL]..

2013.3.

[4]李利平.高職教育專業(yè)教學(xué)資源庫建設(shè)的改革思考[J].中國高教研究，2011，（6）：90-91.

第8篇：網(wǎng)絡(luò)安全等保解決方案范文

【關(guān)鍵詞】移動(dòng)公共服務(wù)平臺 視頻云服務(wù)層 媒體混合云 智能家庭網(wǎng)關(guān)

doi：10.3969/j.issn.1006-1010.2016.12.019 中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-1010（2016）12-0086-6

引用格式：鐘文清，陳凱渝，姜寧. 基于移動(dòng)公共服務(wù)平臺的視頻云服務(wù)層設(shè)計(jì)[J]. 移動(dòng)通信， 2016，40（12）： 86-91.

1 引言

近年來，視頻業(yè)務(wù)是互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)最具增值能力的公共服務(wù)?？紤]到媒體融合發(fā)展的總體規(guī)劃，基于移動(dòng)公共服務(wù)平臺的視頻云總體規(guī)劃和設(shè)計(jì)方案，依托中國移動(dòng)“大云2.0”云計(jì)算平臺的已有資源，借力外部合作方的私有云/公用云資源，充分考慮到視頻業(yè)務(wù)大數(shù)據(jù)的特點(diǎn)，采用面向SaaS（Software as a Service，軟件即服務(wù)）的視頻云平臺架構(gòu)，以智能家庭網(wǎng)關(guān)為云端通信樞紐[1]，為未來的中國移動(dòng)用戶家庭接入便捷、實(shí)用、安全的視頻應(yīng)用類公共服務(wù)。

視頻云的基礎(chǔ)業(yè)務(wù)模式為：使用移動(dòng)用戶的各種家庭終端，如家庭電腦、智能電視、手機(jī)、平板、攝像頭等其他智能可聯(lián)網(wǎng)設(shè)備，連接到符合中國移動(dòng)通信集團(tuán)公司2014年的企業(yè)標(biāo)準(zhǔn)――《中國移動(dòng)家庭網(wǎng)關(guān)設(shè)備互通技術(shù)規(guī)范接入標(biāo)準(zhǔn)（版本號：1.0.0）》的智能家庭網(wǎng)關(guān)，訪問視頻云接入層接口，最終與視頻云服務(wù)層后臺系統(tǒng)實(shí)現(xiàn)互聯(lián)互通，從而開展流媒體（視頻直播、點(diǎn)播及交互業(yè)務(wù)）、全天候安防、家庭物聯(lián)網(wǎng)、健康醫(yī)療云服務(wù)等多種基礎(chǔ)業(yè)務(wù)[2]。

視頻云服務(wù)層的設(shè)計(jì)方案采用“媒體混合云”彈性架構(gòu)，實(shí)現(xiàn)了基于對象的云存儲網(wǎng)絡(luò)、基于海量數(shù)據(jù)檢索的云媒資系統(tǒng)、基于最新HEVC（High Efficiency Video Coding，高效率視頻編碼）編碼標(biāo)準(zhǔn)的云轉(zhuǎn)碼平臺、基于數(shù)字證書和數(shù)字水印的云安全技術(shù)、基于視頻檢測和大數(shù)據(jù)挖掘的云識別引擎，并通過定制的第三方云媒體CDN（Content Delivery Network，內(nèi)容分發(fā)網(wǎng)絡(luò)）對外提供實(shí)時(shí)高效的媒體數(shù)據(jù)公共服務(wù)。

2 業(yè)務(wù)架構(gòu)設(shè)計(jì)

基于移動(dòng)公共服務(wù)平臺的視頻云主要由家庭終端、智能家庭網(wǎng)關(guān)、視頻云接入層以及視頻云服務(wù)層四大部分組成?；谝曨l云的移動(dòng)公共服務(wù)平臺業(yè)務(wù)架構(gòu)如圖1所示：

2.1 家庭終端

家庭終端是移動(dòng)用戶連接智能家庭網(wǎng)關(guān)的交互工具，包括但不限于家庭電腦、電視、手機(jī)、平板、攝像頭等多種可聯(lián)網(wǎng)的智能終端設(shè)備。該類終端支持家庭場景中各類音視頻數(shù)據(jù)的采集、顯示以及雙向人機(jī)交互。不同的家庭終端之間如滿足指定的互聯(lián)互通協(xié)議支持，即可以實(shí)現(xiàn)家庭局域網(wǎng)的多屏融合業(yè)務(wù)應(yīng)用。

2.2 智能家庭網(wǎng)關(guān)

智能家庭網(wǎng)關(guān)是位于移動(dòng)用戶家庭的平臺配套設(shè)備，是家庭用戶日常使用的各類家庭終端與視頻云接入層之間的連接樞紐，也是家庭（個(gè)人）局域網(wǎng)設(shè)備連入移動(dòng)互聯(lián)網(wǎng)的接口控制點(diǎn)。該網(wǎng)關(guān)設(shè)備采用的精簡性設(shè)計(jì)體現(xiàn)在僅實(shí)現(xiàn)了網(wǎng)絡(luò)連接、視音頻解碼、雙向通信交互以及身份認(rèn)證等基本功能，而其他功能則全部交由上層計(jì)算能力、通信性能更為強(qiáng)大的優(yōu)勢資源，即視頻云接入層、視頻云服務(wù)層去完成。

2.3 視頻云接入層

視頻云接入層為移動(dòng)公共服務(wù)平臺視頻云服務(wù)提供了云端統(tǒng)一門戶。家庭用戶使用不同的家庭終端，通過各種類型網(wǎng)絡(luò)訪問云端統(tǒng)一門戶，可以控制智能家庭網(wǎng)關(guān)與視頻云接入層的雙總線進(jìn)行業(yè)務(wù)交互。

視頻云接入層雙總線包括視頻云服務(wù)總線、視頻云媒體總線，它們分別負(fù)責(zé)控制通訊數(shù)據(jù)、視音頻媒體數(shù)據(jù)這2種不同類型業(yè)務(wù)數(shù)據(jù)的處理。視頻云服務(wù)總線會(huì)根據(jù)來自云端統(tǒng)一門戶的不同類型業(yè)務(wù)的訪問請求，自動(dòng)轉(zhuǎn)發(fā)給相應(yīng)業(yè)務(wù)的云平臺服務(wù)器，啟動(dòng)該服務(wù)的接入應(yīng)答處理。視頻云媒體總線則根據(jù)云端統(tǒng)一門戶請求的媒體具體內(nèi)容，完成視音頻等媒體數(shù)據(jù)的文件上傳、下載服務(wù)或是文件流直播、點(diǎn)播分發(fā)服務(wù)。

2.4 視頻云服務(wù)層

視頻云服務(wù)層目前設(shè)計(jì)提供4種基于視頻云的移動(dòng)公共服務(wù)基礎(chǔ)業(yè)務(wù)：流媒體云服務(wù)、全天候安防云服務(wù)、家庭物聯(lián)網(wǎng)云服務(wù)及醫(yī)療健康云服務(wù)。其中，流媒體云服務(wù)是視頻云平臺最核心的增值業(yè)務(wù)，其業(yè)務(wù)需求決定了視頻云服務(wù)層技術(shù)架構(gòu)的設(shè)計(jì)思路。

視頻云服務(wù)層采用了基于“媒體混合云”彈性架構(gòu)的設(shè)計(jì)方案[3]，主體部分是依托現(xiàn)有移動(dòng)云計(jì)算平臺的基礎(chǔ)設(shè)施進(jìn)行升級改造而成，同時(shí)與第三方視頻內(nèi)容提供商云平臺實(shí)現(xiàn)媒體內(nèi)容對接，與第三方云媒體CDN網(wǎng)絡(luò)實(shí)現(xiàn)源站節(jié)點(diǎn)對接。中國移動(dòng)內(nèi)部的私有云與第三方視頻內(nèi)容提供商、云媒體CDN提供商的私有云/公有云之間，按各方的服務(wù)約定實(shí)現(xiàn)云平臺的存儲、網(wǎng)絡(luò)、媒體內(nèi)容及計(jì)算機(jī)硬件等各種資源的無縫對接，即該平臺混合云架構(gòu)的具體技術(shù)實(shí)現(xiàn)。彈性架構(gòu)設(shè)計(jì)中的“彈性”特點(diǎn)主要體現(xiàn)在云平臺之間資源的彈性調(diào)度。視頻云服務(wù)層基于自定義的彈性調(diào)度算法和策略實(shí)現(xiàn)了不同資源、不同場景下的調(diào)度框架，并依據(jù)此框架完成存儲資源池的動(dòng)態(tài)擴(kuò)容及跨池調(diào)度、網(wǎng)絡(luò)服務(wù)池動(dòng)態(tài)擴(kuò)縮容及跨IDC（Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）調(diào)度、媒體文件智能遷移調(diào)度、高可用調(diào)度等功能。

通過視頻云服務(wù)的云端統(tǒng)一門戶的接入，視頻云服務(wù)層構(gòu)建了直接面向移動(dòng)用戶家庭的多種云端視頻服務(wù)基礎(chǔ)業(yè)務(wù)，如視頻點(diǎn)播、視頻直播、互動(dòng)直播、視頻錄制回放、遠(yuǎn)程視頻通話、遠(yuǎn)程視頻會(huì)議、遠(yuǎn)程教育課堂、安防視頻監(jiān)控、安防智能報(bào)警、兒童老人遠(yuǎn)程看護(hù)、人體跌倒?fàn)顟B(tài)監(jiān)測報(bào)警、智能家居監(jiān)測控制、家庭成員基本健康狀況監(jiān)測、日常運(yùn)動(dòng)飲食情況監(jiān)測、醫(yī)療資源遠(yuǎn)程預(yù)約、遠(yuǎn)程醫(yī)療檢查及診斷等。

3 技術(shù)架構(gòu)設(shè)計(jì)

該平臺視頻云服務(wù)層的具體組成部分在本設(shè)計(jì)方案里主要包括五大部分：云存儲、應(yīng)用業(yè)務(wù)層、云媒體CDN、云安全、服務(wù)接口。視頻云服務(wù)層的技術(shù)架構(gòu)設(shè)計(jì)如圖2所示。

3.1 云存儲

云存儲即基于對象的分布式數(shù)據(jù)云存儲網(wǎng)絡(luò)，其主要功能組成包括元數(shù)據(jù)管理、存儲設(shè)備管理兩大部分。元數(shù)據(jù)管理功能通過元數(shù)據(jù)服務(wù)器集群實(shí)現(xiàn)，該集群提供名字服務(wù)和元數(shù)據(jù)服務(wù)，包括名字的組織、映射和查找，客戶端可以用名字來訪問文件或者目錄，而無需關(guān)心文件的實(shí)際存儲位置和給其提供服務(wù)的元數(shù)據(jù)服務(wù)器的物理位置。存儲設(shè)備管理功能通過基于對象的存儲設(shè)備分布式集群實(shí)現(xiàn)，提供數(shù)據(jù)的讀寫操作，能夠自動(dòng)管理其上的數(shù)據(jù)分布，支持?jǐn)?shù)據(jù)的預(yù)取，優(yōu)化磁盤的性能。

基于對象的云存儲網(wǎng)絡(luò)內(nèi)部原理圖如圖3所示。

基于對象的云存儲網(wǎng)絡(luò)方案實(shí)現(xiàn)了數(shù)據(jù)通路（數(shù)據(jù)的讀或?qū)懀┖涂刂仆罚ㄔ獢?shù)據(jù)）分離管理，可以有效地進(jìn)行負(fù)載均衡[4]，提高整個(gè)系統(tǒng)的可用性。通過存儲分配服務(wù)管理存儲設(shè)備，能夠在線擴(kuò)充存儲單元，完成有效地平滑線性擴(kuò)展，并支持混合云平臺的存儲資源池彈性擴(kuò)容以及跨池調(diào)度等特性。對于存儲組件的故障，不僅僅依賴于硬件本身的容錯(cuò)，還要在軟件層做到自動(dòng)容錯(cuò)，多文件副本管理以保證在磁盤損壞、節(jié)點(diǎn)失效、網(wǎng)絡(luò)中斷等情況下數(shù)據(jù)的高可用性。

元數(shù)據(jù)服務(wù)器集群采用動(dòng)態(tài)子樹劃分方法來管理文件系統(tǒng)的元數(shù)據(jù)[5]，文件系統(tǒng)的目錄被劃分為若干子樹，由不同的元數(shù)據(jù)服務(wù)器來管理，通過周期性比較元數(shù)據(jù)服務(wù)器的負(fù)載情況進(jìn)行目錄子樹的劃分和遷移，保證集群中負(fù)載的均勻分布和均衡。元數(shù)據(jù)請求多數(shù)由元數(shù)據(jù)內(nèi)存緩存來滿足，當(dāng)一個(gè)節(jié)點(diǎn)失敗時(shí)，分布式的元數(shù)據(jù)操作日志可以使另一個(gè)備用節(jié)點(diǎn)快速恢復(fù)失敗節(jié)點(diǎn)的內(nèi)存狀態(tài)。

基于對象的存儲設(shè)備分布式集群實(shí)現(xiàn)了數(shù)據(jù)的自動(dòng)分布和管理，將文件分割成若干個(gè)對象來存儲，可以保證數(shù)據(jù)的均勻分布。為了解決小文件對象的存儲低效問題，采用EBOFS（Extent and B-tree base Ojbect File System，擴(kuò)展的基于B+樹對象文件系統(tǒng)）為任意大小的對象在磁盤上分配連續(xù)的存儲空間，使對象存儲設(shè)備能夠具有良好的性能。

3.2 應(yīng)用業(yè)務(wù)層

應(yīng)用業(yè)務(wù)層的主要組成部分包括云媒資、云轉(zhuǎn)碼、云識別、流媒體播出以及計(jì)費(fèi)管理模塊，以此實(shí)現(xiàn)對視頻文件存儲管理、視頻實(shí)時(shí)轉(zhuǎn)碼、視頻文件轉(zhuǎn)碼、視頻內(nèi)容識別、監(jiān)測模型迭代、流媒體直播、流媒體點(diǎn)播、計(jì)費(fèi)管理等前端和后臺業(yè)務(wù)的應(yīng)用、管理及控制。

基于移動(dòng)公共服務(wù)平臺的視頻云這一新業(yè)務(wù)所構(gòu)建的完整生態(tài)鏈中，該層是最具投資和運(yùn)營價(jià)值的一部分，實(shí)現(xiàn)了服務(wù)平臺的計(jì)費(fèi)管理，獲取、存儲并深度挖掘了海量的用戶大數(shù)據(jù)，開設(shè)了智能家居人體跌倒檢測、電子尋物、日常健康監(jiān)測管理、遠(yuǎn)程醫(yī)療問診等新興的特色增值服務(wù)。

（1）云媒資

通過云計(jì)算平臺配置的媒資管理服務(wù)器虛擬集群實(shí)現(xiàn)，用于對所有的云存儲網(wǎng)絡(luò)中媒體內(nèi)容（包括視頻、音頻、圖片、字幕、圖文模板等）進(jìn)行導(dǎo)入、編目、檢索、存檔以及修改等工作。媒資管理系統(tǒng)使得其中的每個(gè)媒體內(nèi)容都具備唯一素材ID以及其他相關(guān)元數(shù)據(jù)。該媒體內(nèi)容在整個(gè)移動(dòng)公共服務(wù)視頻云平臺中，不管是存儲在第三方媒體內(nèi)容提供商私有云、移動(dòng)內(nèi)部私有云還是第三方媒體CDN公有云/私有云，也不管其數(shù)據(jù)文件遷移調(diào)度至任一服務(wù)器集群任一節(jié)點(diǎn)，均是依靠這個(gè)唯一的素材ID得以識別，以保證此視頻云平臺整體互操作流程的正常有序運(yùn)行。

（2）云轉(zhuǎn)碼

通過云計(jì)算平臺配置的轉(zhuǎn)碼服務(wù)器虛擬集群實(shí)現(xiàn)分布式實(shí)時(shí)、離線轉(zhuǎn)碼[6]。云轉(zhuǎn)碼的基本功能如下：

一是對來自外部的各家視頻內(nèi)容提供商，或來自云端各智能家庭網(wǎng)關(guān)的用戶帳號上傳的不同編碼、封裝格式、分辨率、幀率或幅型比的視頻文件或?qū)崟r(shí)視頻流，根據(jù)策略管理模塊的配置，按具體業(yè)務(wù)需求進(jìn)行統(tǒng)一切片、編碼或轉(zhuǎn)碼處理及輸出。

二是對來自云端各智能家庭網(wǎng)關(guān)的當(dāng)前網(wǎng)絡(luò)傳輸速率進(jìn)行自動(dòng)檢測識別，并采用自適應(yīng)碼率的智能控制策略，依靠云轉(zhuǎn)碼系統(tǒng)的實(shí)時(shí)轉(zhuǎn)碼功能，實(shí)現(xiàn)了系統(tǒng)自動(dòng)選擇與云端網(wǎng)絡(luò)環(huán)境匹配的合適碼率輸出。同時(shí)與云媒體CDN邊緣節(jié)點(diǎn)協(xié)同工作，充分利用其流媒體邊緣分發(fā)能力，實(shí)現(xiàn)了邊轉(zhuǎn)碼邊傳輸。

（3）云識別

通過云計(jì)算平臺配置的視頻檢測服務(wù)器集群、檢測模型迭代服務(wù)器集群等分布式云計(jì)算資源實(shí)現(xiàn)。對不同智能家庭網(wǎng)關(guān)的用戶帳號上傳的各種視頻文件或?qū)崟r(shí)視頻流，結(jié)合相應(yīng)家庭中不同位置、不同類型傳感器的回傳數(shù)據(jù)，根據(jù)相應(yīng)帳號和業(yè)務(wù)對應(yīng)的預(yù)置模型（如已配置個(gè)人相關(guān)數(shù)據(jù)信息的安防監(jiān)控模型、人體跌倒檢測模型、健康狀況模型等），自動(dòng)進(jìn)行視頻內(nèi)容及其他數(shù)據(jù)的特征提取、比對和識別，并對符合個(gè)人預(yù)定義閾值的識別結(jié)果進(jìn)行智能報(bào)警。

云識別的智能化體現(xiàn)在其對家庭個(gè)性化大數(shù)據(jù)的深度挖掘處理以及個(gè)人模型的自學(xué)習(xí)功能。云平臺會(huì)將有效的個(gè)性化最新數(shù)據(jù)與個(gè)人歷史數(shù)據(jù)、同類別的公共歷史大數(shù)據(jù)進(jìn)行數(shù)據(jù)融合和挖掘，同時(shí)利用最新最全的大數(shù)據(jù)訓(xùn)練集合對相應(yīng)模型不斷進(jìn)行訓(xùn)練，自動(dòng)完成各類檢測模型的自學(xué)習(xí)和快速迭代更新，使得模型的識別精確度、準(zhǔn)確率和速度得以逐步提升。

（4）流媒體播出

通過云計(jì)算平臺配置的流媒體服務(wù)器集群配置，實(shí)現(xiàn)對云轉(zhuǎn)碼系統(tǒng)生成的視音頻文件或?qū)崟r(shí)視音頻流進(jìn)行解碼和輸出，支持使用媒體混合云的彈性擴(kuò)縮網(wǎng)絡(luò)帶寬資源的調(diào)度框架。對于視頻云服務(wù)平臺提供的不同業(yè)務(wù)，流媒體播出核心服務(wù)器集群也采用了不同的設(shè)計(jì)架構(gòu)和工作模式。

對于各類視頻點(diǎn)播業(yè)務(wù)、OTT（Over The Top，通過互聯(lián)網(wǎng)向用戶提供各種應(yīng)用服務(wù)）直播、交互直播業(yè)務(wù)，流媒體核心服務(wù)器集群設(shè)計(jì)目標(biāo)為高并發(fā)性，部署專用的實(shí)時(shí)操作系統(tǒng)，單臺物理服務(wù)器支持9600個(gè)3.25 Mbps視頻流的高并發(fā)量輸出，可通過增加流媒體服務(wù)器集群中主機(jī)的物理數(shù)量，實(shí)現(xiàn)該播出集群的視頻流并發(fā)支持能力的線性擴(kuò)展。

對于IPTV視頻直播類業(yè)務(wù)，流媒體核心服務(wù)器集群設(shè)計(jì)目標(biāo)是采用低時(shí)延、高帶寬、高可用性的架構(gòu)。在外來直播節(jié)目源的接入方面，可以支持多種不同傳輸協(xié)議、編碼格式的源信號，其播出模塊輸出也全面支持RTMP（Real Time Messaging Protocol，實(shí)時(shí)消息傳輸協(xié)議）、HLS（HTTP Live Streaming，Apple的動(dòng)態(tài)碼率自適應(yīng)技術(shù)）、HTTP-FLV（Hyper Text Transfer Protocol-Flash Video，超文本傳輸協(xié)議-流媒體）、RTP（Real-time Transport Protocol，實(shí)時(shí)傳輸協(xié)議）等各類主流的流媒體直播協(xié)議，支持不同編碼格式、分辨率和碼率，確?？焖?、靈活、穩(wěn)定地實(shí)現(xiàn)視頻流的預(yù)處理、轉(zhuǎn)碼和輸出。

（5）計(jì)費(fèi)管理

通過云計(jì)算平臺配置的計(jì)費(fèi)管理服務(wù)器實(shí)現(xiàn)，支持對云端用戶消費(fèi)的各項(xiàng)不同業(yè)務(wù)進(jìn)行實(shí)時(shí)分項(xiàng)計(jì)費(fèi)，根據(jù)不同業(yè)務(wù)、不同時(shí)段、不同帳戶級別、關(guān)聯(lián)業(yè)務(wù)的計(jì)費(fèi)策略，在后臺生成相應(yīng)的計(jì)費(fèi)統(tǒng)計(jì)結(jié)果，并負(fù)責(zé)這些計(jì)費(fèi)結(jié)果的存儲、檢索和維護(hù)等管理工作。同時(shí)，移動(dòng)專用智能家庭網(wǎng)關(guān)的預(yù)置用戶帳號要求與移動(dòng)用戶的手機(jī)SIM卡帳號進(jìn)行一對一捆綁，從而支持對智能家庭網(wǎng)關(guān)用戶的帳號信息、計(jì)費(fèi)信息、業(yè)務(wù)權(quán)限、業(yè)務(wù)功能、私有空間等進(jìn)行管理。

3.3 云媒體CDN

CDN作為構(gòu)建于互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)之上的一層智能虛擬網(wǎng)絡(luò)，其核心技術(shù)為負(fù)載均衡、內(nèi)容分發(fā)加速，以此實(shí)現(xiàn)跨運(yùn)營商的互聯(lián)網(wǎng)云端應(yīng)用的內(nèi)容訪問加速。

與傳統(tǒng)CDN不同，云媒體CDN為獲取更高的內(nèi)容播出分發(fā)效率和可用性，引入了云計(jì)算、SDN（Software Defined Network，軟件定義網(wǎng)絡(luò)）技術(shù)，針對我國網(wǎng)絡(luò)流媒體業(yè)務(wù)的視頻數(shù)據(jù)量、節(jié)目內(nèi)容、業(yè)務(wù)類型、地域性等特點(diǎn)，通過使用CDN專用路由器、新一代智能分發(fā)策略算法[7-8]，實(shí)現(xiàn)了特有的“異地多中心多源站”分布式架構(gòu)。該架構(gòu)設(shè)計(jì)的指導(dǎo)思想是CDN節(jié)點(diǎn)“下沉”。使用了該架構(gòu)的CDN網(wǎng)絡(luò)，其全國網(wǎng)絡(luò)中任一位置的節(jié)點(diǎn)服務(wù)器都同時(shí)可以在一定條件下作為源站使用，單獨(dú)進(jìn)行其自有視音頻內(nèi)容的播出和。

3.4 云安全

由于移動(dòng)公共服務(wù)平臺的視頻云服務(wù)層采用了“混合云”架構(gòu)設(shè)計(jì)，除了原云平臺的信息安全措施外，還需重新制定信息安全對策。業(yè)務(wù)上涉及不同第三方內(nèi)容平臺的資源對接，其中最關(guān)鍵的就是媒體內(nèi)容版權(quán)保護(hù)、用戶帳戶信息等問題。

本部分云安全設(shè)計(jì)方案是基于視頻云服務(wù)層的業(yè)務(wù)需求，但實(shí)質(zhì)是面向平臺進(jìn)行全局規(guī)劃部署的。從邊界安全、數(shù)據(jù)安全、傳輸安全、主機(jī)安全、應(yīng)用安全方面入手，采用網(wǎng)絡(luò)安全區(qū)域劃分、高防一體化安全網(wǎng)關(guān)、數(shù)字版權(quán)保護(hù)系統(tǒng)、傳輸流加密加擾、雙因素身份認(rèn)證、敏感信息標(biāo)識保護(hù)、實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)控報(bào)警、日志集中審計(jì)等技術(shù)手段[9-10]，加上信息安全等保障體系的各類管理手段以及合作雙方簽署相關(guān)法律文件，嘗試為混合云架構(gòu)的平臺提出合理、有效、可控的信息安全解決方案。

3.5 服務(wù)接口

視頻云服務(wù)層在業(yè)務(wù)上需要與第三方內(nèi)容平臺、第三方CDN存在互聯(lián)互通，但其接口實(shí)現(xiàn)是由視頻云接入層負(fù)責(zé)完成的。作為整個(gè)視頻云核心組成的視頻云服務(wù)層，其服務(wù)接口主要是與視頻云接入層完成對接，負(fù)責(zé)視頻云接入層與視頻云服務(wù)層不同功能組件之間的數(shù)據(jù)或控制的接口實(shí)現(xiàn)，同時(shí)負(fù)責(zé)混合云平臺中跨平臺資源的彈性調(diào)度算法和策略的具體實(shí)現(xiàn)。

4 結(jié)束語

本文設(shè)計(jì)思路是立足于中國移動(dòng)已有成熟的公共服務(wù)云平臺，考慮將廣電系統(tǒng)豐富的視頻資源在中國移動(dòng)現(xiàn)時(shí)力推的智能家庭網(wǎng)關(guān)落地，從技術(shù)可行性及業(yè)務(wù)具體實(shí)現(xiàn)模式兩方面仔細(xì)考量提出了視頻云服務(wù)層設(shè)計(jì)方案。該方案便于中國移動(dòng)打造新一代獨(dú)具特色的上下游高清視頻業(yè)務(wù)全產(chǎn)業(yè)鏈，有利于中國移動(dòng)在移動(dòng)運(yùn)營業(yè)務(wù)“四網(wǎng)協(xié)同”發(fā)展過程中搶占相關(guān)產(chǎn)業(yè)鏈主導(dǎo)地位。

參考文獻(xiàn)：

[1] 董裕藝，黎福海，何凱青. 智能家居控制系統(tǒng)的設(shè)計(jì)研究[J]. 移動(dòng)通信， 2012（11）： 39-43.

[2] 肖陽，寧艷芝. 視頻云計(jì)算技術(shù)打造云時(shí)代互動(dòng)電視增值業(yè)務(wù)運(yùn)營平臺[J]. 廣播與電視技術(shù)， 2013，40（3）： 117-120.

[3] 偉，傅建明，李拴保，等. 彈性移動(dòng)云計(jì)算的研究進(jìn)展與安全性分析[J]. 計(jì)算機(jī)研究與發(fā)展， 2015，52（6）： 1362-1377.

[4] 熊安萍，劉進(jìn)進(jìn)，鄒洋. 基于對象存儲的負(fù)載均衡存儲策略[J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2012，33（7）： 2678-2682.

[5] 方圓，杜祝平，周功業(yè). 基于對象存儲的新型元數(shù)據(jù)管理策略[J]. 計(jì)算機(jī)工程， 2012，38（3）： 25-27.

[6] 李蕾. 基于分布式視頻轉(zhuǎn)碼技術(shù)的視頻云平臺[J]. 西部廣播電視， 2013（12）： 125.

[7] 盧笛，馬建峰，王一川，等. 云計(jì)算下保障公平性的多資源分配算法[J]. 西安電子科技大學(xué)學(xué)報(bào)： 自然科學(xué)版， 2014（3）： 162-168.

[8] 周景才，張滬寅，查文亮，等. 云計(jì)算環(huán)境下基于用戶行為特征的資源分配策略[J]. 計(jì)算機(jī)研究與發(fā)展， 2014，51（5）： 1108-1119.

第9篇：網(wǎng)絡(luò)安全等保解決方案范文

關(guān)鍵詞：本地網(wǎng)；通航；電信企業(yè)；戰(zhàn)略轉(zhuǎn)型

隨著市場競爭的激烈化和客戶需求的個(gè)性化，越來越多的企業(yè)開始關(guān)注對產(chǎn)品業(yè)務(wù)和服務(wù)模式進(jìn)行創(chuàng)新和升級，因此戰(zhàn)略轉(zhuǎn)型被越來越多的應(yīng)用于企業(yè)的實(shí)踐運(yùn)作中。戰(zhàn)略轉(zhuǎn)型指企業(yè)由傳統(tǒng)管理運(yùn)營模式轉(zhuǎn)變?yōu)榉衔磥戆l(fā)展要求的現(xiàn)代公司制模式，簡單理解就是從A戰(zhàn)略向B戰(zhàn)略的轉(zhuǎn)變，其中的A或者B可以是業(yè)務(wù)、邏輯、模式、能力等。在企業(yè)的實(shí)踐運(yùn)作過程中，很多企業(yè)都曾成功的進(jìn)行過戰(zhàn)略轉(zhuǎn)型，如海爾曾從家電制造商向營銷貿(mào)易型的能力轉(zhuǎn)型；吉利汽車從低端產(chǎn)品向中端汽車產(chǎn)品的轉(zhuǎn)變；基于PC業(yè)務(wù)利潤的下降，IBM于2004年宣布以12.5億美元的現(xiàn)金及股票向聯(lián)想出售其個(gè)人電腦業(yè)務(wù)，將集中精力做好IT咨詢、芯片設(shè)計(jì)和信息服務(wù)產(chǎn)業(yè)，實(shí)現(xiàn)由PC制造商到IT信息服務(wù)提供商的轉(zhuǎn)變，并邁出了非常堅(jiān)實(shí)和決定性的一步。當(dāng)前，中國電信企業(yè)正在加速企業(yè)轉(zhuǎn)型和戰(zhàn)略調(diào)整之中，如何從“傳統(tǒng)基礎(chǔ)網(wǎng)絡(luò)運(yùn)營商”向“現(xiàn)代綜合信息服務(wù)提供商”轉(zhuǎn)型是影響和困擾中國電信企業(yè)發(fā)展的瓶頸之一?；诖?，本文研究了基于“通航”業(yè)務(wù)為代表的電信企業(yè)戰(zhàn)略轉(zhuǎn)型及其有關(guān)策略和方法。

1　基于本地網(wǎng)推進(jìn)“通航”的電信企業(yè)戰(zhàn)略轉(zhuǎn)型現(xiàn)實(shí)背景

1.1　電信企業(yè)戰(zhàn)略轉(zhuǎn)型的國際背景

從國際市場上看，2004年12月以來，也就是中國WTO入市第3年，國外電信可以介入國內(nèi)電信市場，參與競爭。本土電信企業(yè)受到相關(guān)政策上的保護(hù)越來越弱，2005年12月后國外電信企業(yè)可在電信增值業(yè)務(wù)領(lǐng)域可占到49％的股份，2008年后在基礎(chǔ)電信領(lǐng)域可占有49％的股份。國外電信可通過資本運(yùn)營迅速介入中國電信市場，而我們國內(nèi)電信企業(yè)的網(wǎng)絡(luò)、品牌、客戶、資金等優(yōu)勢將逐步弱化。同時(shí)，國外電信企業(yè)跟我們國內(nèi)電信企業(yè)相比，有很多不可比擬的優(yōu)勢，如成熟的市場運(yùn)營經(jīng)驗(yàn)，強(qiáng)大的資本支撐，高素質(zhì)的人力資源。國外電信企業(yè)必將首先介入電信增值業(yè)務(wù)市場，搶占“通航”類增值業(yè)務(wù)發(fā)展制高點(diǎn)，從而獲得最具價(jià)值的高端用戶群及高額利潤。如果我們不能迅速占領(lǐng)高端業(yè)務(wù)市場，將會(huì)迅速被圈入低成本競爭中。因此，大力發(fā)展“通航”類轉(zhuǎn)型業(yè)務(wù)已不是高瞻遠(yuǎn)矚、未雨綢繆，而是箭在弦上，刻不容緩了。

1.2　電信企業(yè)戰(zhàn)略轉(zhuǎn)型的國內(nèi)背景

從國內(nèi)市場來看，隨著電信市場競爭日趨白熱化，同質(zhì)分流、異質(zhì)替代，用戶增長仍明顯放緩，用戶ARPU(Average Revenue Per User，即每用戶平均收入)值一降再降，利潤空間正逐步被侵蝕。更為嚴(yán)重的是，通航業(yè)務(wù)市場沒有蓬勃發(fā)展，而傳統(tǒng)業(yè)務(wù)增長陷入瓶頸。同時(shí)，與競爭對手相比，2005、2006年中國電信的經(jīng)營業(yè)績一般，用戶規(guī)模及市場占有率進(jìn)一步降低，業(yè)務(wù)收入增長和利潤增長都不是很高，月租風(fēng)險(xiǎn)、長話IP風(fēng)險(xiǎn)、區(qū)間通話風(fēng)險(xiǎn)、帶寬型業(yè)務(wù)高ARPU值風(fēng)險(xiǎn)等形勢更加嚴(yán)峻，轉(zhuǎn)型的迫切性勿庸置疑。中國電信要實(shí)現(xiàn)收入的穩(wěn)定增長，唯有精耕細(xì)作現(xiàn)有資源，積極培育以“商務(wù)領(lǐng)航”和“號碼百事通”為代表的種子業(yè)務(wù)，切實(shí)解除各個(gè)層面的制約因素。

2　基于本地網(wǎng)推進(jìn)“通航”的電信企業(yè)戰(zhàn)略轉(zhuǎn)型條件

2.1　戰(zhàn)略和策略調(diào)整

戰(zhàn)略和策略調(diào)整是實(shí)施本地網(wǎng)推進(jìn)“通航”的電信戰(zhàn)略轉(zhuǎn)移的根本?！艾F(xiàn)代綜合信息服務(wù)提供商”應(yīng)當(dāng)是3個(gè)方面的統(tǒng)一：提供綜合的信息內(nèi)容、采用綜合的服務(wù)手段和面向綜合的服務(wù)對象。中國電信企業(yè)要順利實(shí)施轉(zhuǎn)型，就必須從戰(zhàn)略層和策略層高度把握通信信息服務(wù)發(fā)展方向，按照信息業(yè)務(wù)經(jīng)營的客觀規(guī)律，向客戶提供完整、綜合、高附加值的信息服務(wù)；加大業(yè)務(wù)創(chuàng)新力度，不斷豐富內(nèi)容、應(yīng)用及新產(chǎn)品開發(fā)，培育新的業(yè)務(wù)亮點(diǎn)；積極拓展產(chǎn)業(yè)鏈合作與行業(yè)應(yīng)用，引導(dǎo)轉(zhuǎn)型業(yè)務(wù)價(jià)值鏈整合；全面推進(jìn)各項(xiàng)增值業(yè)務(wù)與基礎(chǔ)業(yè)務(wù)的捆綁營銷，提高增值業(yè)務(wù)的滲透率與基礎(chǔ)業(yè)務(wù)的粘性；加強(qiáng)實(shí)體渠道、直銷渠道、電子渠道和社會(huì)渠道等4大渠道營銷增值業(yè)務(wù)的力度，縮短產(chǎn)品與市場的距離。

2.2　組織和人力轉(zhuǎn)型

組織和人力轉(zhuǎn)型是實(shí)施本地網(wǎng)推進(jìn)“通航”的電信企業(yè)戰(zhàn)略轉(zhuǎn)移的保障。首先，在增值業(yè)務(wù)部基礎(chǔ)上，為加強(qiáng)通航類轉(zhuǎn)型業(yè)務(wù)與渠道、與后端的融合，在原有增值業(yè)務(wù)部的基礎(chǔ)上，構(gòu)建轉(zhuǎn)型業(yè)務(wù)專業(yè)部門――成立大客戶支撐中心及VIP網(wǎng)絡(luò)維護(hù)中心。尤其是在轉(zhuǎn)型業(yè)務(wù)實(shí)施初期，需要集中高素質(zhì)人力資源、專業(yè)的人做專業(yè)的事；通過實(shí)施項(xiàng)目負(fù)責(zé)制，重點(diǎn)項(xiàng)目重點(diǎn)攻關(guān)，集中優(yōu)勢兵力，重點(diǎn)突破。同時(shí)，轉(zhuǎn)型業(yè)務(wù)的實(shí)質(zhì)是避免“電話純語音、寬帶裸接入”，拓展轉(zhuǎn)型業(yè)務(wù)，就必須依托固定電話網(wǎng)、寬帶接入網(wǎng)(互聯(lián)網(wǎng)及政企專網(wǎng))、無線網(wǎng)(小靈通、農(nóng)話450M及3G)，并將電信接入網(wǎng)延伸至用戶端網(wǎng)絡(luò)，并拓展至用戶信息終端(IT信息系統(tǒng)、電腦、電話等)，以接入帶應(yīng)用，以應(yīng)用促接人。因此，大客戶支撐中心及VIP網(wǎng)絡(luò)維護(hù)中心前后聯(lián)動(dòng)，除了實(shí)施轉(zhuǎn)型業(yè)務(wù)營銷之外，還必須拓展用戶端網(wǎng)絡(luò)系統(tǒng)集成及運(yùn)維支撐服務(wù)能力，深度挖掘客戶綜合信息深層次需求，深度提升客戶服務(wù)能力。

對內(nèi)強(qiáng)化部門之間的交流與合作。細(xì)分化、多樣化、個(gè)性化的客戶需求對中國電信內(nèi)部運(yùn)營提出了更高的要求，必須通過組建跨部門的虛擬項(xiàng)目組或虛擬團(tuán)隊(duì)，加強(qiáng)跨部門合作的績效考核，強(qiáng)調(diào)內(nèi)部客戶導(dǎo)向等方式，強(qiáng)化部門間的交流與合作。對于參與價(jià)值創(chuàng)造的主要部門，如市場、建設(shè)、網(wǎng)保、客響、網(wǎng)維、物配等一線部門，需要打破部門界限，進(jìn)行流程重組和優(yōu)化?？梢栽谑袌黾?xì)分的基礎(chǔ)上，按照品牌和產(chǎn)品線，特別是新的轉(zhuǎn)型業(yè)務(wù)的產(chǎn)品線，重新梳理售前、售中和售后的流程，在此基礎(chǔ)上進(jìn)行部門的調(diào)整和設(shè)置。同時(shí)通過拓展轉(zhuǎn)型業(yè)務(wù)，在每一個(gè)工作流程中實(shí)施精確管理，進(jìn)一步提高工作效率，降低運(yùn)營成本。

對外建立戰(zhàn)略聯(lián)盟，提升綜合信息服務(wù)產(chǎn)業(yè)鏈的整體價(jià)值。企業(yè)在整個(gè)行業(yè)中處于一個(gè)動(dòng)態(tài)開放的鏈條上，企業(yè)必須在整個(gè)鏈條上處于有利地位才能獲得持續(xù)的競爭力。作為運(yùn)營商，在通信產(chǎn)業(yè)鏈中由于具有強(qiáng)大的網(wǎng)絡(luò)架構(gòu)和龐大的客戶資源，處于天然的壟斷地位。隨著客戶需求的多樣化和個(gè)性化，通信產(chǎn)業(yè)鏈的構(gòu)成也日趨復(fù)雜。在向現(xiàn)代綜合信息服務(wù)提供商轉(zhuǎn)型的過程中，中國電信將面臨很多不確定的風(fēng)險(xiǎn)，通過戰(zhàn)略聯(lián)盟一方面可以實(shí)現(xiàn)資源、技術(shù)的高度共享，縮短產(chǎn)品開發(fā)周期，降低產(chǎn)品提供成本；另一方面可以保持企業(yè)的核心競爭力，保持競爭優(yōu)勢。通過商務(wù)領(lǐng)航、號碼百事通、互連星空、大客戶ICT綜合信息服務(wù)等平臺，整合信

息服務(wù)商、系統(tǒng)集成商、設(shè)備制造商優(yōu)質(zhì)資源，共創(chuàng)價(jià)值。

2.3　網(wǎng)絡(luò)和技術(shù)轉(zhuǎn)型

網(wǎng)絡(luò)和技術(shù)轉(zhuǎn)型是實(shí)施本地網(wǎng)推進(jìn)“通航”的電信戰(zhàn)略轉(zhuǎn)移的有效手段，這需要提升網(wǎng)絡(luò)對于業(yè)務(wù)發(fā)展的快速支撐能力。適應(yīng)業(yè)務(wù)及服務(wù)從窄帶向?qū)拵У霓D(zhuǎn)變，從單一網(wǎng)絡(luò)向混合型網(wǎng)絡(luò)轉(zhuǎn)變，從城域接入網(wǎng)向客戶端網(wǎng)絡(luò)、客戶內(nèi)部網(wǎng)拓展，增強(qiáng)網(wǎng)絡(luò)對增值業(yè)務(wù)的支撐能力，滿足為客戶提供捆綁和融合業(yè)務(wù)的需要。順應(yīng)電信技術(shù)的變革趨勢，構(gòu)建下一代網(wǎng)絡(luò)體系架構(gòu)，推進(jìn)固定移動(dòng)網(wǎng)絡(luò)的融合，推進(jìn)網(wǎng)絡(luò)接人與信息服務(wù)的融合，初步實(shí)現(xiàn)網(wǎng)絡(luò)的轉(zhuǎn)型。響應(yīng)市場競爭和企業(yè)管理的需要，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，減少網(wǎng)絡(luò)層次，提高運(yùn)營效率，降低維護(hù)成本。

在本地網(wǎng)層面，很多核心設(shè)備、核心技術(shù)基本上都由設(shè)備商、集成商、服務(wù)商或者省級公司代維代管，因此，傳統(tǒng)電信的技術(shù)更多的是通信運(yùn)維層面的技術(shù)，而不是綜合信息服務(wù)開發(fā)、應(yīng)用層面的技術(shù)，很難適應(yīng)用戶端網(wǎng)絡(luò)多樣性、個(gè)性化的需求。因此，加速技術(shù)轉(zhuǎn)型一方面加大內(nèi)部人員培訓(xùn)力度，特別是綜合信息服務(wù)如微軟、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)安全等IT綜合信息技術(shù)方面的培訓(xùn)及認(rèn)證；另一方面加大與各類信息服務(wù)商、系統(tǒng)集成商、設(shè)備供應(yīng)商合作的深度與廣度，通過整合價(jià)值鏈提升技術(shù)轉(zhuǎn)型。

3　基于本地網(wǎng)推進(jìn)“通航”類業(yè)務(wù)的戰(zhàn)略轉(zhuǎn)型策略

電信企業(yè)轉(zhuǎn)型從戰(zhàn)略的角度看是“共享與世界同步的信息文明”，從戰(zhàn)術(shù)角度來看，就是以客戶為導(dǎo)向，通過優(yōu)化資源配置，實(shí)施精確管理，全面實(shí)現(xiàn)企業(yè)轉(zhuǎn)型。具體工作主要包括：組織及人力轉(zhuǎn)型、網(wǎng)絡(luò)及技術(shù)轉(zhuǎn)型、業(yè)務(wù)及服務(wù)轉(zhuǎn)型。

隨著市場競爭的加劇，同質(zhì)分流、異質(zhì)替代日趨嚴(yán)峻，大力拓展“商務(wù)領(lǐng)航、號碼百事通”等綜合信息服務(wù)的業(yè)務(wù)開發(fā)、推廣、營銷是保持企業(yè)核心競爭力的需要，是確保企業(yè)基業(yè)常青的需要。

3.1　融合產(chǎn)品渠道，合力推進(jìn)“通航”類轉(zhuǎn)型業(yè)務(wù)

“通航”類轉(zhuǎn)型業(yè)務(wù)應(yīng)將產(chǎn)品部門與渠道部門充分融合，形成合力，共同推進(jìn)。成立以市場擴(kuò)展部牽頭，以增值業(yè)務(wù)中心為主要負(fù)責(zé)人，組織大客、商客、公客、公話營銷策劃、方案設(shè)計(jì)的相關(guān)人員，成立“增值業(yè)務(wù)虛擬團(tuán)隊(duì)”，大力發(fā)展增值業(yè)務(wù)。加強(qiáng)4大渠道營銷“通航”類轉(zhuǎn)型業(yè)務(wù)的力度，縮短產(chǎn)品與市場的距離。

為有效融合產(chǎn)品渠道，需要從以下幾個(gè)方面著手：

①做小做廣，走“小業(yè)務(wù)，大規(guī)模”的發(fā)展之路，注重業(yè)務(wù)的快速滲透。電信業(yè)務(wù)具有典型的范圍經(jīng)濟(jì)性，轉(zhuǎn)型業(yè)務(wù)與基礎(chǔ)業(yè)務(wù)有著大量的共享成本，而額外添加的專門成本是很少的。發(fā)展轉(zhuǎn)型業(yè)務(wù)，就要充分發(fā)掘多年來電信企業(yè)積累下來的網(wǎng)絡(luò)資源、人才資源、客戶資源，細(xì)分市場，貼近應(yīng)用，發(fā)揮網(wǎng)絡(luò)的邊際效益，提高整體顧客盈利能力，提高或穩(wěn)定ARPU值。同時(shí)，因?yàn)槌浞指偁幍拇嬖?，不要指望從某一或少?shù)用戶身上獲取高額利潤，必須將“餅”做大，擴(kuò)大用戶群，形成消費(fèi)趨勢，產(chǎn)生滾雪球效應(yīng)。為了推進(jìn)轉(zhuǎn)型業(yè)務(wù)的發(fā)展，我們應(yīng)該同時(shí)開拓針對普通用戶的水平市場和針對大客戶的垂直市場，特別要適當(dāng)選擇大客戶和集團(tuán)客戶，盡快培育穩(wěn)定的轉(zhuǎn)型業(yè)務(wù)用戶群體，形成真正的持續(xù)性消費(fèi)潮流。重點(diǎn)在傳統(tǒng)網(wǎng)絡(luò)上拓展號碼百事通、集團(tuán)彩鈴、VPN、短信群發(fā)等高滲透率的業(yè)務(wù)。

②做精做優(yōu)，采取差異化營銷策略，注重品牌經(jīng)營。轉(zhuǎn)型業(yè)務(wù)是信息技術(shù)進(jìn)步和創(chuàng)新的結(jié)果，新陳代謝的速度很快，業(yè)務(wù)針對性極強(qiáng)，客戶對象是經(jīng)過不斷細(xì)分的用戶，因此在發(fā)展增值業(yè)務(wù)時(shí)必須進(jìn)行客戶細(xì)分、業(yè)務(wù)細(xì)化、貼近用戶需求，并注重以品牌經(jīng)營為依托，提供個(gè)性化的服務(wù)內(nèi)容和服務(wù)組合，提供差異化的業(yè)務(wù)品種和服務(wù)標(biāo)準(zhǔn)，進(jìn)一步豐富電信品牌內(nèi)涵、提升電信品牌含金量。對重點(diǎn)客戶群、重點(diǎn)業(yè)務(wù)進(jìn)行重點(diǎn)營銷，將有限的資源用于盈利能力強(qiáng)的用戶與業(yè)務(wù)量大的業(yè)務(wù)。重點(diǎn)拓展全球眼視頻監(jiān)控、新視通視頻會(huì)議等以應(yīng)用促接入的業(yè)務(wù)、4008／會(huì)議通呼叫中心等話務(wù)量匯聚型業(yè)務(wù)。

③做大做強(qiáng)，提升主導(dǎo)地位，加強(qiáng)電信對產(chǎn)業(yè)價(jià)值鏈的控制能力。在基于產(chǎn)業(yè)價(jià)值鏈的整個(gè)合作體系中，中國電信必須有效管理產(chǎn)業(yè)價(jià)值鏈各主體的競合關(guān)系，牢牢把握住平臺管理、品牌宣傳和營銷工作的主導(dǎo)權(quán)。充分利用電信的網(wǎng)絡(luò)和客戶資源，有效捆綁sP和大客戶，使信息價(jià)值化，提供更多企業(yè)級整體解決方案，為顧客提供更為便捷的服務(wù)。通過電子政務(wù)、3111平安城市、社區(qū)／教育信息化、建設(shè)社會(huì)主義新農(nóng)村等重點(diǎn)項(xiàng)目，搶占市場、業(yè)務(wù)制高點(diǎn)。

3.2　加強(qiáng)行業(yè)合作，構(gòu)建“通航”類轉(zhuǎn)型業(yè)務(wù)價(jià)值鏈

“通航”類轉(zhuǎn)型業(yè)務(wù)開發(fā)是一個(gè)產(chǎn)業(yè)價(jià)值鏈建設(shè)的系統(tǒng)工程，沒有一家實(shí)體能夠占據(jù)產(chǎn)業(yè)鏈的各個(gè)環(huán)節(jié)。關(guān)鍵是在于分析自己的優(yōu)勢和劣勢，創(chuàng)造多贏模式。語音信息業(yè)務(wù)的成功不是建立在與某一家聲訊分臺合作的基礎(chǔ)上，同樣，移動(dòng)、聯(lián)通短信項(xiàng)目的成功，也不是建立在與某一家短信sP合作的基礎(chǔ)上，他們的成功是建立在從網(wǎng)上到網(wǎng)下，從傳統(tǒng)媒體到互聯(lián)網(wǎng)新興媒體，從專業(yè)IT類sP公司到傳統(tǒng)行業(yè)信息源公司，從大的集團(tuán)公司到個(gè)人團(tuán)隊(duì)進(jìn)行廣泛合作的基礎(chǔ)之上。而且，隨著市場經(jīng)濟(jì)的飛速發(fā)展，社會(huì)化分工越來越細(xì)，任何一家公司都不可能將觸角涉及到所有用戶的所有需求，更不要說將每一個(gè)分項(xiàng)業(yè)務(wù)運(yùn)作得精細(xì)化，卓越化。

“通航”類轉(zhuǎn)型業(yè)務(wù)的健康可持續(xù)發(fā)展，需要一個(gè)良好的生態(tài)環(huán)境，需要產(chǎn)業(yè)鏈上企業(yè)的共同努力。因此，加大“通航”類轉(zhuǎn)型業(yè)務(wù)代辦、、SP合營的力度，充分挖掘自有渠道，合理利用社會(huì)渠道，建立新型跨行業(yè)合作不但是必要的，而且是必須的。

3.3　細(xì)分目標(biāo)客戶群，實(shí)施針對性營銷

通過電信轉(zhuǎn)型的逐步深化，將經(jīng)營的重點(diǎn)由以產(chǎn)品導(dǎo)向轉(zhuǎn)變成以客戶為導(dǎo)向。根據(jù)電信市場發(fā)展趨勢，中國電信將形成以政企、家庭、個(gè)人為特征的新的戰(zhàn)略分群，并針對以上3大類聚類用戶，實(shí)施“政府／企業(yè)信息化”、“社區(qū)信息化”、“個(gè)人信息化”。

通航類業(yè)務(wù)重點(diǎn)突破方向?yàn)椋?/p>

①以黨政軍為主的實(shí)施電子政務(wù)的政府部門：因?yàn)榇祟惪蛻粢话銢]有專業(yè)的IT部門，IT人力資源較為薄弱。。

②中小型商業(yè)客戶：因?yàn)榇祟惪蛻粜畔⒒J(rèn)知程度較高、需求旺盛，一般沒有自己的IT人員，而且絕大多數(shù)信息項(xiàng)目集成商沒有把他們作為營銷重點(diǎn)，因此競爭壓力較小。

③聚類個(gè)人用戶：主要包括對信息流要求較高以市場群為基礎(chǔ)的商務(wù)人士，對新業(yè)務(wù)接受能力較快的學(xué)生群體，以網(wǎng)吧為基礎(chǔ)的互聯(lián)網(wǎng)數(shù)字娛樂客戶群。

在此基礎(chǔ)上，從網(wǎng)絡(luò)及技術(shù)層面，為客戶提供綜合信息服務(wù)。重點(diǎn)發(fā)展方向?yàn)椋?/p>

①基于寬帶接入網(wǎng)的轉(zhuǎn)型業(yè)務(wù)：如VPN、內(nèi)網(wǎng)建設(shè)、網(wǎng)絡(luò)安全及代維服務(wù)、寬帶視頻監(jiān)控及會(huì)議業(yè)務(wù)、機(jī)房建設(shè)及IDC災(zāi)備服務(wù)等。

②基于固定電話網(wǎng)的轉(zhuǎn)型業(yè)務(wù)：如集團(tuán)彩鈴、會(huì)議通、固網(wǎng)支付等。

③基于無線網(wǎng)的轉(zhuǎn)型業(yè)務(wù)：如短信通、WAP業(yè)務(wù)、3G應(yīng)用平臺等。

④融合互聯(lián)網(wǎng)、無線網(wǎng)、固話網(wǎng)的信息服務(wù)轉(zhuǎn)

型業(yè)務(wù)：如網(wǎng)站建設(shè)、辦公自動(dòng)化、客戶資源管理等電子政務(wù)／電子商務(wù)行業(yè)信息化應(yīng)用系統(tǒng)集成等。

在本地網(wǎng)層面，逐步優(yōu)化資源配置，在網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)建設(shè)時(shí)逐步加大以上4大類業(yè)務(wù)的投資比重；同時(shí)妥善處理好傳統(tǒng)業(yè)務(wù)與“通航”業(yè)務(wù)的關(guān)系。傳統(tǒng)業(yè)務(wù)和“通航”業(yè)務(wù)不是斷然割裂、森嚴(yán)壁壘的兩大板塊，而是互有你我的聯(lián)系組合。企業(yè)轉(zhuǎn)型后出現(xiàn)的根本性變革將是建立于今天雄厚市場基礎(chǔ)之上的。企業(yè)轉(zhuǎn)型不是對傳統(tǒng)業(yè)務(wù)的放棄，而是對核心業(yè)務(wù)更高層次的揚(yáng)棄和升華。綜合信息提供商的角色，需要擔(dān)負(fù)起個(gè)性化服務(wù)和規(guī)?；ㄖ频幕韭毮?，滿足消費(fèi)者分散化的消費(fèi)需求。這就需要依賴原有的優(yōu)勢，用技術(shù)和需求驅(qū)動(dòng)，向產(chǎn)品和市場兩個(gè)方向展開。電信運(yùn)營企業(yè)轉(zhuǎn)型最為關(guān)鍵的是如何在傳統(tǒng)業(yè)務(wù)和網(wǎng)絡(luò)技術(shù)之間找到一個(gè)有機(jī)的鏈接通道和平臺，使得網(wǎng)絡(luò)技術(shù)依托原有的業(yè)務(wù)，生長出適應(yīng)發(fā)展趨勢的業(yè)務(wù)。尤其是處理好增量與存量、規(guī)模經(jīng)營與利潤經(jīng)營的關(guān)系。在量收方面，立足于量，注重于收，量收兼顧，以收為主；在增存量方面，保有存量，拓展增量，精確營銷，注重成效；在傳統(tǒng)業(yè)務(wù)和“通航”業(yè)務(wù)方面，突破傳統(tǒng)思維，盤活品牌業(yè)務(wù)，加快創(chuàng)新步伐，力推“通航”類轉(zhuǎn)型業(yè)務(wù)。

3.4　創(chuàng)新激勵(lì)機(jī)制。促使通航類業(yè)務(wù)快速發(fā)展

電信轉(zhuǎn)型業(yè)務(wù)普遍存在支撐不力、流程不暢、人力不足、政策不活等問題，要想更快更好的實(shí)施企業(yè)信息化業(yè)務(wù)轉(zhuǎn)型，需要給與轉(zhuǎn)型業(yè)務(wù)專業(yè)團(tuán)隊(duì)適當(dāng)優(yōu)惠政策，鼓勵(lì)轉(zhuǎn)型快速發(fā)展。傳統(tǒng)的電信主要業(yè)務(wù)(主線、寬帶、小靈通)主要是規(guī)模型經(jīng)營，更多的依托網(wǎng)絡(luò)(電話網(wǎng)、數(shù)據(jù)網(wǎng)、無線網(wǎng))運(yùn)營。各業(yè)務(wù)競爭對手主要集中在3～5個(gè)運(yùn)營商之間，單項(xiàng)業(yè)務(wù)需要依托網(wǎng)絡(luò)建設(shè)運(yùn)維 成本、終端設(shè)備成本的支撐，因此業(yè)務(wù)的營銷、服務(wù)的支撐不是單靠某個(gè)人、某個(gè)部門就能夠單獨(dú)完成?；谝陨显螂娦艂鹘y(tǒng)的分配體制主要是崗薪記件分配制。而信息化項(xiàng)目更多的是為政府企業(yè)、家庭個(gè)人提供差異化、個(gè)性化的產(chǎn)品及服務(wù)，業(yè)務(wù)類型主要包括系統(tǒng)集成類業(yè)務(wù)(ASP)、數(shù)據(jù)服務(wù)類業(yè)務(wù)(IDC／ITP)、信息服務(wù)類業(yè)務(wù)(cP／SP)，這些業(yè)務(wù)對網(wǎng)絡(luò)、成本的依賴性較小，對高端人力資源要求極高，面對的競爭對手更多――從本地到國內(nèi)甚至國外公司、從其他電信運(yùn)營商到中小公司甚至大的上市、外資IT公司，市場競爭更加充分激烈。因此在信息化項(xiàng)目運(yùn)營上打破傳統(tǒng)崗薪記件分配制，實(shí)行項(xiàng)目承包責(zé)任制是迅速實(shí)現(xiàn)轉(zhuǎn)型的捷徑。商務(wù)領(lǐng)航、號碼百事通、ICT綜合信息服務(wù)按照項(xiàng)目利潤比例給予項(xiàng)目責(zé)任團(tuán)隊(duì)分成。同時(shí)，建立新型的人才培養(yǎng)通道，為企業(yè)發(fā)展注入新鮮血液和活力。服從和服務(wù)于企業(yè)發(fā)展戰(zhàn)略，支撐業(yè)務(wù)轉(zhuǎn)型，實(shí)現(xiàn)人力資源配置與業(yè)務(wù)發(fā)展相匹配。建立員工能上能下、能進(jìn)能出體系，增強(qiáng)員工的專業(yè)能力和服務(wù)客戶能力，在為客戶創(chuàng)造價(jià)值的同時(shí)提升企業(yè)價(jià)值，實(shí)現(xiàn)員工與企業(yè)的共同成長。