引論:我們為您整理了13篇數據信息網絡報告范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
一、專項治理范圍及具體內容
對全局范圍內的應用系統、網站、電腦終端、電子郵件及個人電子信息等方面進行專項治理。一是應用系統及網站。重點排查處理、存儲公眾和個人信息及重要業務數據的服務器、存儲設備等。檢查日常運維制度落實情況,排查服務器操作系統、數據庫、中間件等系統軟件和應用軟件的漏洞修復、補丁安裝情況,排查服務器賬號、訪問日志及安全日志,確保無異常登錄,并杜絕使用弱口令、默認口令、通用口令等。二是電腦終端。排查個人電腦終端是否安裝殺毒軟件,是否定期更新病毒庫并查殺病毒、木馬等惡意程序。三是電子郵件。按照上級文件要求,禁止使用互聯網免費郵箱傳輸、存儲工作信息,因此各科室需排查使用互聯網免費郵箱(如qq郵箱、163郵箱等)處理工作信息的情況,若存在,應立即清理數據和注銷賬號。四是個人電子信息。排查本單位采集、處理、存儲、應用、廢棄個人信息的情況。排查涉及個人信息管理的應用系統、網站、服務器、數據庫等各環節管理制度和防護措施的有效性。排查在互聯網個人信息時,是否進行脫敏處理,不能把完整的身份證號碼、手機號碼等出來,明確個人信息防護責任和措施,確保個人信息安全。
二、專項治理結果
篇2
依據國際互聯網的相關權威性調查報告顯示,6.9%的互聯網行為來源于中國。在我國,將近95%的網絡曾經被國內外黑客攻擊,造成了極其嚴重的經濟損失。由此可知,我國互聯網絡中存在著極大的不安全因素。電力企業是我國的支柱型產業,是我國國民經濟快速發展的重要基礎性行業,對于計算機網絡的應用頻率也在不斷提升與增加,現已經能夠對電力企業的相關信息進行全面性的監管管理。因此,需要在電力信息網絡中增加相關的安全軟件,通過增設防火墻來提升整個網絡系統的安全性。
1 防火墻的分類
1.1 包過濾防火墻
包過濾防火墻的應用原理就是對流過防火墻的數據通過進行分析,并且按照原先制定的安全規則對相關的數據包進行拒絕或者是允許等情況的處理。其是根據相關IP、TCP、UDP等一系列的數據包頭來設定的安全規則,進而通過對相關協議類型、標準等來進行判斷,是否允許數據包通過。包過濾防火墻進行計算機保護的優勢在于不需要改動用戶機原本的應用程序,只需在網絡的層面進行設置。同時這種防火墻的價格相對低廉,相關性能的成本較低,對數據的處理速度快。但是包過濾防火墻在應用的過程中由于其定義較復雜,容易產生配置不當的現象,進而帶來一系列的問題。此外,包過濾防火墻對于待定服務的上下文環境的理解能力較弱,只能夠由高層來進行服務。與此同時,包過濾防火墻還可以分為靜態包過濾以及動態包過濾。
靜態包過濾的應用過濾規則是之前制定完成的,進而根據其中的規則來對每一個數據包進行檢查,由此來找出相匹配的包過濾規則。其中的規則是根據數據包的報頭信息來制定的,包括計算機中的IP源地址、IP目標地址以及相關的傳輸協議等信息。靜態包過濾防火墻在進行信息篩選的時候需要始終遵循“最小特權原則”,明確允許通過的數據包、禁止通過的數據包,工作情況如圖1所示。
動態包過濾的過濾規則采用的是動態化的設計方式,能夠有效地避免靜態化包過濾中出現的問題。通過應用動態化包過濾防火墻,能夠對每一個相關的連接進行跟蹤,并依據具體的情況來增加或者是更改過濾的規則條件,其工作情況如圖2所示:
1.2 防火墻
防火墻是代表客戶對服務器連接上的請求進行處理的一種程序,當服務器得到一個客戶連接的請示時,其對相關客戶的信息進行核實,并通過特定的安全化程序來對相關的請求連接進行處理,而后將處理的結果發送到服務器上。依據服務器做出的回復采取相應的處理措施。服務器在外部網絡及內部網絡中都能夠進行靈活的中間轉化。防火墻在應用過程中具有極大的安全性,能夠通過專門特定性的服務來編寫安全化的應用程序進行處理,而后通過防火墻自身的請求來做出相應的應答,外部網絡中的計算機根本沒有入侵的機會,從而能夠有效地避免不法分子通過數據驅動來對計算機進行攻擊。一般情況下,防火墻可以分為普通防火墻和自適應防火墻。
普通防火墻就是通過技術參與到計算機中的一個TCP連接的全過程中,進而能虼蛹撲慊內部發出相關的數據包,并通過防火墻進行數據的分析及處理,進而對計算機內部信息進行保護,這種類型的防火墻是網絡安全專家認為的安全系數最高的防火墻,地理服務器技術是其工作的核心技術,工作情況如圖3所示:
自適應防火墻是普通防火強的升級版本,能夠將普通防火墻的安全性以及包過濾防火墻的高速性等優點進行融合,進而在安全的基礎之上有效地提升運行速度。其工作情況如圖4所示:
2 防火墻技術在電力信息網絡中的應用
隨著現代信息技術的發展與提升,在人們日常的生產及生活過程中,所使用的網絡需要考慮到相關的安全性,針對其中的安全問題采取適當的解決方式。電力系統是我國國民經濟中十分重要的組成部分,電力系統的信息化應用在不斷發展。在電力信息網絡中應用防火墻能夠對現有的網絡結構進行加強與固定,使得相關的網絡結構無法進行隨意的更改。此外,通過應用防火墻還能夠對電力信息網絡中的模式進行合理的調整、優化。同時還能夠支持可信區、不可信區、非軍事化區、控制區這四個區域形成獨立的網絡接口,從物理結構上將受控網絡進行分離,進而提升整個網絡的安全性。通過應用防火墻系統,在計算機的非軍事化區域遭受到相關攻擊的時候,所入侵的病毒不會延伸到計算機的內部網絡結構之中。
2.1 技術手段方面
電力信息網絡在使用的過程中需要傳輸大量的電力企業數據信息,其中包含了企業內部及生產過程中的關鍵性數據信息。因此,在電力信息網絡中所應用的防火墻需要具有包過濾的功能,通過對電力信息網絡中的IP地址、協議類型以及TCP端口的信息等進行過濾判斷,檢查其是否符合所制定的標準、是否符合相關的規定,進而決定數據包是否能夠通過電力信息網絡。通過應用包過濾防火墻技術,能夠極大程度地提升電力信息網絡在傳輸過程中的安全性能,從而傳輸正確的數據信息,促使電力企業得以更好的提升與發展。
2.2 防火墻設置
在電力企業中,電力信息網絡中所應用的防火墻在設置的時候需要依據當前電力企業中的網絡結構進行。通過判斷該電力企業中所應用的網絡類型與規模來選擇適當的防火墻,設計與電力企業相適應的管理系統。由此不僅能夠提升整個電力信息網絡的安全性能,同時還能夠方便相關人員進行日常的維護與管理。例如,電力信息網絡中可以通過應用Web Base Managenment管理系統來對整個網絡界面進行有效的管理,還可以在網絡前臺Web中依據圖形來進行相關數據的顯示,不僅減少了網絡管理人員的工作量,還降低了相關的工作難度,進而提升了電力信息網絡管理的效果,增強網絡使用的安全性。
2.3 防火墻操作系統的選擇
在我國,大多數人們所應用的都是Windows操作系統,由于這種系統具有較強的廣泛性,在使用的過程中存在的系統漏洞較多,非常容易遭受到網絡攻擊。因此,在電力信息網絡中,可以使用日常人們較少使用的系統,例如Linux操作系統。這種系統相比于Windows系統有著較高的安全性及拓展性的特征,其中源代碼的下載是對外開放的,用戶能夠依據自身的實際情況及特點對代碼進行修改。此外,Linux操作系統沒有在我國進行推廣與普及,大多數人們對于這個系統的了解^少,對Linux系統進行網路攻擊的行為也比較少。因此,電力信息網絡通過應用Linux操作系統進行相關信息數據的傳輸能夠提升數據信息的安全性。
2.4 制定安全策略
對于電力信息網絡來說,所制定的安全策略需要從網絡服務訪問以及防火墻設計這兩個方面展開。其中網絡服務訪問策略是一個高層次、具體化的策略,主要對電力信息網絡中的相關服務進行允許或者是禁止的定義。通常情況下,一個防火墻只能夠執行一個訪問策略,即允許從內部網絡訪問外部網絡,不允許從外部網絡訪問內部網絡,例如在電力信息網絡中的電子郵件服務器。因此,電力信息網絡在設置防火墻之前需要制定出相應的服務訪問策略,由此才能夠對整個網絡進行更好的保護。
同時,防火墻的設計策略是針對電力信息網絡中的防火墻,通過制定相應的規章制度來進行安全服務。因此,在制定相關策略之前需要對所應用的防火墻性能及缺點進行明確,根據實際情況來設計防火墻策略。通過執行相關的策略能夠極大程度地提升防火墻的安全性能,進而保障了電力信息網絡的安全。
3 結語
電力信息網絡安全在我國的關注度越來越高,它與電力信息系統的正常運轉有著直接性的關聯,同時也與我國電力企業及個人的日常生活及學習工作有著一定的關聯。防火墻是一項能夠加強網絡信息安全傳輸及保護的重要技術手段,因此,在電力信息網絡中應用防火墻技術能夠有效地提升整個電力企業的網絡安全性能,由此促進我國電力企業的健康發展。
參考文獻
篇3
國家衛生信息網絡直報與管理系統主要依賴網絡平臺構建,基本思路是:構建國家、省級統一的衛生信息直報平臺和數據中心,實現衛生信息實施網上報告和數據采集,制定統一衛生信息標準,包括數據庫結構和信息交換標準,實現縱向化的國家、省、市、縣四級管理。
建立大吞吐量在線直報系統:每年產生大量基礎數據和統計數據,并在一定時期由各地區集中上報,這就要求系統必須具備在線大數據量查詢和統計功能,以保證業務查詢和統計效率。
建立統一安全網絡系統:覆蓋全國范圍的國家衛生信息網絡直報與管理系統,直報內容包括衛生機構、人力資源、設備和醫療運營情況,要求嚴格保證數據安全,防止數據丟失、泄漏和被仿冒、篡改。
建立多業務的處理系統:衛生信息網絡直報與管理系統是一個實時在線處理(OLTP)與實時在線分析處理(OLAP)相結合的應用系統。在系統部署中,充分考慮到這兩類處理模式的差異,采用先進成熟的多層體系來實現業務,保障業務的運行。
建立適應長期變化的業務系統:在系統架構方面,根據全國網絡應用平臺的要求,建立統一的國家級、省級應用系統平臺,實現各種應用的統一管理,簡單維護,高效運行和靈活配置。建立統一的業務運行平臺,實現各種業務功能的定制開發和靈活配置管理,并保證系統穩定、高效運行。建立完善的安全管理體系,保證系統和數據的安全,以適應長期發展變化的業務需求。
系統總體架構
總體架構:國家衛生信息網絡直報與管理系統由部、省二級系統組成,將這二級信息中心建立的數據庫視為信息節點,由此構成全國信息節點樹。在每個節點上構建衛生信息直報系統,其下掛接本地的數據庫,節點與節點之間通過應用路由聯接,形成一個可相互傳遞請求的樹型拓撲,這樣就構成了一個覆蓋全國、分布式的信息網絡。
系統層次結構:直報系統3個層次包括數據層、核心層、應用層。 ①數據層:衛生信息數據庫是信息直報系統的數據基礎,其數據主要由數個數據信息資源庫組成,這些數據不是簡單的集中存儲在部級綜合數據庫中,而是基于數據交換平臺提供的功能通過定時、實時導入工具將各省級數據庫數據集中到部級數據平臺中,供部級直報系統使用。②核心層:核心層基于直報系統提供各種查詢統計服務功能、數據管理功能和安全管理功能等。③應用層:應用層包括信息訪問門戶和外部系統接口。信息訪問門戶是供用戶登錄部級、省級直報系統。外部接口包括醫療救治信息系統接口、指揮決策系統接口和疾病監測系統接口。
系統功能設計
國家衛生信息網絡直報與管理系統主要依賴寬帶Internet網絡平臺構建,搭建國家、省級統一的衛生信息直報平臺和數據中心,實現衛生信息實時網上報告,制定統一衛生信息標準,包括數據庫結構和信息交換標準。通過權限設定,實現縱向化的國家、省、市、縣四級管理,實現動態統計分析、資源共享和數據交換。主要包括數據采集、數據審核與審批、數據匯總分析、系統管理、輔助功能和數據交換。
討 論
衛生信息網絡直報系統的設計和實現,完全改變了以往報告周期長、信息上傳下達慢、時效性差的局面。通過合理利用開放信息資源,提高了衛生信息的及時性、準確性、靈敏性、共享性和數據的分析能力,確保了醫院衛生信息網絡業務的快速安全運行。
參考文獻
篇4
1.2硬件防御系統不完善
互聯網、辦公網、業務網邊界不清,只在網絡之間以防火墻進行隔離,不能完全杜絕病毒及入侵行為的攻擊。對于非法的訪問行為和病毒沒有及時有效地進行監控,會導致網絡流量突增,占用大量氣象信息網絡帶寬從而影響業務的正常傳輸。
1.3應用軟件存在漏洞
操作系統有部分高危漏洞補丁未安裝,系統可能存在URL框架、鏈接和跨站漏洞等,這些都存在安全風險。應用軟件如ApacheTomcat、MySQL或SQLServer數據庫版本存在漏洞且未安裝補丁,這些都給黑客和病毒提供了一定的可趁之機。
2氣象信息網絡安全措施
2.1安全管理制度
氣象信息中心在網絡安全管理方面已經建立一整套相當完備的管理制度,包括:《網絡管理員日常工作流程》、《信息中心機房管理制度》、《信息中心密碼管理制度》、《技術保障科工作制度》、《技術保障科交接班制度》、《寧夏氣象信息中心技術保障管理規定》、《氣象信息傳輸業務運行管理規定》、《寧夏氣象信息中心安全事件報告和處置管理制度》、《寧夏氣象信息中心業務系統故障及信息安全事件分類分級制度》、《寧夏氣象信息中心信息網絡應急預案》等,為氣象信息系統安全工作的開展提供了制度保證。氣象信息中心規定非本單位人員進出機房必須按照《信息中心機房管理制度》的要求填寫登記表并由本單位人員陪同,機房和辦公樓內配有視頻監控系統進行24小時監控。電子郵箱(LotusNotes)的使用需要由管理員分配用戶ID方可使用,非本部門的人員不得使用。
2.2硬件防御系統
氣象信息中心建設了整套的安全防御系統來保障氣象信息網絡的安全。
2.2.1安全管理中心
安全管理中心(SMC)包括配置、監控、分析、響應等多個相關聯的部分,監控整個網絡設備、主機設備、安全設備、用戶終端等的安全狀態和安全趨勢;對全網安全事件進行采集、分析、關聯、匯聚、報表報告,對危害嚴重的安全事件及時做出反應;對所有監控指標產生的告警進行集中的響應。
2.2.2廣域網入侵防御系統
系統對過往包裹進行深層檢查,深入數據內部,查找實時更新的攻擊代碼特征、病毒特征和異常協議,過濾掉有害數據流,丟棄有害數據包,并進行記載以便事后分析;監視網絡資料傳輸行為,實現細粒度管理控制,能夠即時地中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為,提供了動態、深度的安全檢測及防御。
2.2.3安全隔離網閘
系統直接處理網絡間的應用層數據,利用存儲轉發的方法進行數據的交換,在交換的同時,對應用數據進行細粒度安全過濾;實現兩個不信任網絡間的高安全的隔離和實時的信息交換,防止內部信息泄漏和外部病毒、黑客程序的滲入。
2.2.4網絡防毒體系
殺毒系統可以預防、掃描和殺除計算機病毒,防止病毒的傳播擴散。網絡防毒體系主要分為服務器的防護和工作站的防護。防毒體系中的服務器端產品可為文件服務器的病毒防護和網絡工作站的病毒防護。我中心使用卡巴斯基網絡版殺毒軟件(170客戶端)和360企業版殺毒軟件(400客戶端)對全區業務提供計算機病毒防護,定期對信息系統進行漏洞掃描、病毒木馬檢測。
2.2.5城域網DMZ區
為保護氣象局區局業務網的安全,解決城域網用戶與業務網之間沒有安全隔離的問題,在城域網與綜合業務子網之間建設一個城域網用戶信息收集共享DMZ區,利用防火墻提供必要的網絡安全控制,從而保證業務網的安全,使得外網的訪問者可以獲得DMZ中的服務,但不能接觸到存放在氣象內網中的信息。
2.3安全技術防護
目前采用網絡安全的主要技術有訪問控制、入侵檢測、安全審計、數據加密、身份認證等等。
2.3.1防火墻
利用防火墻可以將氣象專網與互聯網進行有效隔離。防火墻通過控制和監測網絡之間進出的數據信息交換和封堵某些禁止行為來實現對網絡安全的有效管理,并且實現對網絡攻擊行為的檢測和告警等。
2.3.2訪問控制
訪問控制采用基于資源的集中式控制、基于源地址和目的地址的過濾管理、基于網絡簽證技術等多種手段來保證系統資源不被非法訪問和使用。氣象信息內網接入互聯網的終端計算機采取IP-Mac地址綁定的方式,嚴格限制業務用終端計算機接入互聯網。同時還利用靜態路由表,劃分不同的虛擬局域網等技術限制各網段之間互訪。
2.3.3入侵檢測
入侵檢測系統是從氣象信息網絡中的關鍵節點收集網絡中傳輸的數據報文及相關網絡會話,還有系統內部的審計數據,通過分析這些信息,查看網絡中是否存在違反相關安全策略的行為,是否存在異常的用戶行為及入侵事件。入侵檢測系統實時、動態地保護來自氣象信息網絡內部和外部的各種攻擊,同時有效地彌補了防火墻的不足。
2.3.4安全審計
系統采用旁路偵聽的方式對重要和敏感的業務系統數據流進行采集、分析和識別;通過監測網絡異常流量,實時監視用戶訪問氣象業務系統的狀態,記錄各種訪問行為,發現并及時制止用戶的誤操作、違規訪問或者可疑行為。
2.3.5身份認證
氣象信息中心有基于數字證書的身份認證系統(CA系統),提供了證書認證、數字簽名和數據加解密的安全服務,是信息網絡安全體系中保護應用和數據安全的重要手段。
2.3.6網絡流量控制
通常,在氣象信息網絡沒有感染病毒時網絡帶寬能夠滿足業務數據的正常傳輸。假如網絡中的終端計算機感染了“蠕蟲”病毒或一些木馬程序后,網絡流量會出現異動,嚴重的甚至會將氣象信息網絡的帶寬完全耗盡,并導致業務網絡的阻塞或完全癱瘓。由于天氣預報、氣候預測等氣象業務數據需要及時準確的傳輸,網絡流量耗盡或阻塞將給氣象業務的正常運行帶來巨大的隱患。因此,為確保常規氣象業務數據的準確、及時傳輸,必須要對一些非業務的數據流量加強管理和限制,防止因為少量終端計算機的不正常而殃及整個網絡。
2.3.7終端計算機的網絡安全管理
病毒、惡意軟件、木馬等電腦病毒以及終端本身的軟硬件故障,常常給整個氣象信息網絡帶來安全隱患,嚴重的甚至能導致系統崩潰。因此,要定期或不定期組織終端計算機系統的安全風險評估,檢查安全運行情況,并根據評估報告對系統安全措施進行完善與升級,及時排除安全隱患。
篇5
進入21世紀后,隨著國內信息化程度的快速提高,信息網絡信息安全越來越多受到關注,信息網絡安全產品和廠商短短幾年內大量涌現。但是,令人擔憂的是,雖然眾多的產品和廠商都以信息網絡安全的概念在提供服務,但其中包含的實際技術和內容卻千差萬別。這樣的情況,一方面對市場和用戶形成了誤導,不利于解決用戶的實際信息網絡安全問題,造成投資浪費;另一方面也不利于創造良性的競爭環境,阻遏了信息網絡安全市場的發展。
鑒于此,有必要對信息網絡安全進行成體系的理論探討,形成統一的共識和標準,這樣才能讓信息網絡安全產品和廠商真正滿足用戶的需求,解決用戶的實際問題,推動國家信息化的發展。
二、信息網絡安全問題的本質探討
1.信息網絡安全問題的形成原因
信息網絡安全問題的提出跟國家信息化的進程息息相關,信息化程度的提高,使得內部信息網絡具備了以下三個特點:
(1)隨著ERP、OA和CAD等生產和辦公系統的普及,單位的日程運轉對內部信息網絡的依賴程度越來越高,信息網絡已經成了各個單位的生命線,對信息網絡穩定性、可靠性和可控性提出高度的要求。
(2)內部信息網絡由大量的終端、服務器和網絡設備組成,形成了統一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發整個網絡的癱瘓,對信息網絡各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。
(3)由于生產和辦公系統的電子化,使得內部網絡成為單位信息和知識產權的主要載體,傳統的對信息的控制管理手段不再使用,新的信息管理控制手段成為關注的焦點。
上述三個問題,都是依賴于信息網絡,與信息網絡的安全緊密相連的,信息網絡安全受到廣泛的高度重視也就不以為奇。
2.信息網絡安全問題的威脅模型
相對于信息網絡安全概念,傳統意義上的網絡安全更加為人所熟知和理解,事實上,從本質來說,傳統網絡安全考慮的是防范互聯網對信息網絡的攻擊,即可以說是互聯網安全,包括傳統的防火墻、入侵檢察系統和VPN都是基于這種思路設計和考慮的。互聯網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內互聯網邊界出口。所以,在互聯網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。
而信息網絡安全的威脅模型與互聯網安全模型相比,更加全面和細致,它即假設信息網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自互聯網,也可能來自信息網絡的任何一個節點上。所以,在信息網絡安全的威脅模型下,需要對內部網絡中所有組成節點和參與者的細致管理,實現一個可管理、可控制和可信任的信息網絡。由此可見,相比于互聯網安全,企業的信息網絡安全具有以下特點:
(1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;
(2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理;
(3)要求對信息進行生命周期的完善管理。
三、現有信息網絡安全產品和技術分析
自從信息網絡安全概念提出到現在,有眾多的廠商紛紛自己的信息網絡安全解決方案,由于缺乏標準,這些產品和技術各不相同,但是總結起來,應該包括監控審計類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對這些產品和技術類型的特性做了簡單的分析和說明。
1.監控審計類
監控審計類產品是最早出現的信息網絡安全產品, 50%以上的信息網絡安全廠商推出的信息網絡安全產品都是監控審計類的。監控審計類產品主要對計算機終端訪問網絡、應用使用、系統配置、文件操作,以及外設使用等提供集中監控和審計功能,并可以生成各種類型的報表。
監控審計產品一般基于協議分析、注冊表監控和文件監控等技術,具有實現簡單和開發周期短的特點,能夠在信息網絡發生安全事件后,提供有效的證據,實現事后審計的目標。監控審計類產品的缺點是不能做到事情防范,不能從根本上實現提高信息網絡的可控性和可管理性。
2.桌面管理類
桌面管理類產品主要針對計算機終端實現一定的集中管理控制策略,包括外設管理、應用程序管理、網絡管理、資產管理以及補丁管理等功能,這類型產品通常跟監控審計產品有類似的地方,也提供了相當豐富的審計功能,
桌面監控審計類產品除了使用監控審計類產品的技術外,還可能需要對針對Windows系統使用鉤子技術,對資源進行控制,總體來說,技術難度也不是很大。桌面監控審計類產品實現了對計算機終端資源的有效管理和授權,其缺點不能實現對信息網絡信息數據提供有效的控制。
3.文檔加密類
文檔加密類產品也是信息網絡安全產品中研發廠商相對較多的信息網絡安全產品類型,其主要解決特定格式主流文檔的權限管理和防泄密問題,可以部分解決專利資料、財務資料、設計資料和圖紙資料的泄密問題。
文檔加密技術一般基于文件驅動和應用程序的API鉤子技術結合完成,具有部署靈活的特點。但是,因為文檔加密技術基于文件驅動鉤子、臨時文件和API鉤子技術,也具有軟件兼容性差、應用系統適應性差、安全性不高以及維護升級工作量大的缺點。
4.文件加密類
文件加密類產品類型繁多,有針對單個文件加密,也有針對文件目錄的加密,但是總體來說,基本上是提供了一種用戶主動的文件保護措施。
文件加密類產品主要基于文件驅動技術,不針對特定類型文檔,避免了文檔加密類產品兼容性差等特點,但是由于其安全性主要依賴于使用者的喜好和習慣,難以實現對數據信息的強制保護和控制。
5.磁盤加密類
磁盤加密類產品在磁盤驅動層對部分或者全部扇區進行加密,對所有文件進行強制的保護,結合用戶或者客戶端認證技術,實現對磁盤數據的全面保護。
磁盤加密技術由于基于底層的磁盤驅動和內核驅動技術,具有技術難度高、研發周期長的特點。此外,由于磁盤加密技術對于上層系統、數據和應用都是透明的,要實現比較好的效果,必須結合其他信息網絡安全管理控制措施。
四、構建完整的信息網絡安全體系
從前面的介紹可以看出,上述的信息網絡安全產品,都僅僅解決了信息網絡安全部分的問題,并且由于其技術的限制,存在各自的缺點。事實上,要真正構建一個可管理、可信任和可控制的信息網絡安全體系,應該統一規劃,綜合上述各種技術的優勢,構建整體一致的信息網絡安全管理平臺。
根據上述分析和信息網絡安全的特點,一個整體一致的信息網絡安全體系,應該包括身份認證、授權管理、數據保密和監控審計四個方面,并且,這四個方面應該是緊密結合、相互聯動的統一平臺,才能達到構建可信、可控和可管理的安全信息網絡的效果。
身份認證是信息網絡安全管理的基礎,不確認實體的身份,進一步制定各種安全管理策略也就無從談起。信息網絡的身份認證,必須全面考慮所有參與實體的身份確認,包括服務器、客戶端、用戶和主要設備等。其中,客戶端和用戶的身份認證尤其要重點關注,因為他們具有數量大、環境不安全和變化頻繁的特點。
授權管理是以身份認證為基礎的,其主要對內部信息網絡各種信息資源的使用進行授權,確定“誰”能夠在那些“計算機終端或者服務器”使用什么樣的“資源和權限”。授權管理的信息資源應該盡可能全面,應該包括終端使用權、外設資源、網絡資源、文件資源、服務器資源和存儲設備資源等。
數據保密是信息網絡信息安全的核心,其實質是要對信息網絡信息流和數據流進行全生命周期的有效管理,構建信息和數據安全可控的使用、存儲和交換環境,從而實現對信息網絡核心數據的保密和數字知識產權的保護。由于信息和數據的應用系統和表現方式多種多樣,所以要求數據保密技術必須具有通用性和應用無關性。
監控審計是信息網絡安全不可缺少的輔助部分,可以實現對信息網絡安全狀態的實時監控,提供信息網絡安全狀態的評估報告,并在發生信息網絡安全事件后實現有效的取證。
篇6
1.全面提高統計數據質量。央行建立健全提高金融統計工作質量的制度保證體系。一要規范金融統計操作規程,進一步做好數據搜集、匯總、上報,統計報表的編制、復核、審查和統計資料的備份等關鍵性基礎工作。二要改進和完善現行統計指標體系,擴大金融統計范圍,形成包括保險業、證券業在內的全社會的資金統計指標體系。三是解決由于信息不對稱造成的統計信息失真問題。從短期看,要及時了解它們的會計制度的變革,保持統計數據的連續性和可比性;從長遠看,要努力把統計元素還原到最小,直接采集會計信息,減少金融機構對統計元素的加工環節。四是制定實施一套切實可行的以反洗錢工作為重要內容的現金管理內控制度,強化對賬戶在開立和使用過程中所提供的證明文件和資料的審核工作,認真及時全面地做好大額和可疑現金支付交易報告工作。
2.加強金融統計執法。(1)統計人員要認真學習《統計法》和有關金融統計方面的法律法規,熟悉有關現金管理、反洗錢和大額現金支付的最新規定,依法對各金融機構的統計法律、制度執行情況,統計質量、統計真實性情況和統計工作情況進行監督檢查。(2)提高現場檢查的有效性。每次檢查的內容和重點要根據貨幣政策、統計法律法規和統計管理的各項制度在轄區實施的情況具體確定。可以采取上級行組織下查一級或交叉檢查的辦法,對檢查出來的問題要按有關規定嚴肅處理,避免出現人情干預。
3.提高統計分析質量。作為參謀部門,調查研究釣關鍵是要注重建設性,研究到底如何做、如何解決問題,防止做空、做虛,提高調查研究報告的邊際作用。統計調查要從過去側重于監測現金和信貸收支,逐漸向滿足中央銀行金融穩定工作的需要、為新形勢下各種信息需求者提供統計信息服務轉變。
4.構建金融統計信息網絡。要統籌考慮整合現有的金融統計資源,將貨幣統計、經濟統計和信貸登記統計系統的信息按同一統計標準和原則整合融通,形成金融統計信息網絡平臺,使領導足不出戶就可以得到所需要的各種信息資源,為各級領導提供更加方便、快捷的服務。要充分利用社會征信系統網絡,將外匯和人民幣、企業及個人金融信息綜合運用,貸款類指標的數據可以取自“信貸登記咨詢系統”。通過一定的技術手段,將該系統轉出的數據信息為金融統計信息網絡平臺所用,是高效利用信息資源的最佳選擇,使統計信息使用者可以得到一個視角更全面、更真實反映宏觀和微觀金融狀況的信息資源。
篇7
現代信息化;公安公文信息網絡管理系統
為適應新時期公安工作跨越式發展需要,實踐科技強警戰略,促進公安工作信息化、數字化,設計開發了公文自動化管理系統,實現網絡管理公文。通過網絡達到、簽收、查詢、管理公文數據。本系統易于操作、靈活直觀,通過該系統應用,經實踐大大減少了公文管理工作量,提高了管理水平及工作效率,充分發揮了信息網絡在公安工作中的作用。
1 系統設計
1.1 系統功能分析
系統開發的總體任務是實現公文管理的規范化、無紙化、自動化。
系統功能分析是在系統開發的總體任務基礎上進行的。本系統能實現如下功能:公文、公文查詢、公文簽發、公文簽收、故障登記、系統管理。將公安部門公文管理結合公安信息網絡,提高工作效率。具體功能如下:
(1)系統登錄:通過IP地址及系統口令驗證用戶的合法性,并通過判斷用戶的管理權限和級別調用不同的公文管理模式;
(2)公文:發文單位可按需要選擇所的文件類型、格式、發文范圍,并錄入文件信息,公文;
(3)公文簽發:具有公文簽發權限的用戶登錄后可使用該模塊(如單位領導),領導閱覽公文后,批準則可進行簽發操作;
(4)公文查閱:公文后未經簽發對于收文單位是不可見的,經簽發后,收文用戶進行后可查閱所有已簽發的公文;
(5)公文簽收:收文單位閱覽公文后,應對公文進行簽收,如系統故障不能簽收則需添寫故障登記表。簽收情況及故障情況將記錄在公文簽收表中,便于上級機關對收文單位簽收情況進行了解及考核。
(6)系統管理:包括數據庫管理、用戶管理、口令管理、系統日志管理。
注冊用戶可以根據權限,由系統自動鑒別并授權使用不同管理方式,及簽收公文。不同權限具有不同功能,寫權限可進行讀、寫功能,讀權限只能看,不能使用其他功能。有些系統功能面向所有用戶。不同級別用戶可訪問向其公開的信息。注冊用戶可更改密碼,保證自己信息安全。
1.2 系統功能模塊設計
對上述各項功能進行 集中、分塊,按照結構化程序設計要求,得到如圖所示系統功能模塊圖:
2 數據庫設計
數據庫在一個信息管理系統中占有非常重要的地位,數據庫結構設計的好壞直接對應用系統的效率以及實現的效果產生影響。在對用戶需求、管理過程進行充分了解的基礎上,對公文管理數據庫結構進行了如下分析及設計。
2.1 數據庫需求分析
在仔細分析調查公安公文信息管理需要的基礎上,得到如圖所示的本系統所處理的數據流程。
針對需求,通過對公文處理過程的內容和數據流程分析,設計如下所示的數據項和數據結構:
(1)公文數據信息:包括的數據項有:文號、公文類別、公文名稱、公文內容、發文部門、發文時間等。
(2)用戶信息:包括的數據項有:用戶編號、用戶名稱、密碼、權限、所屬部門等。
(3)簽收情況信息:包括的數據項有:簽收單位、簽收文號、簽收時間等。
(4)故障信息:包括的數據項有:故障單位、故障類別故障時間等。
(5)系統日志信息:包括的數據項有:日志編號、使用者名稱、時間、進行操作等。
根據以上的數據結構、數據項及數據流程,進行如下數據庫設計。
2.2 數據庫概念結構設計
根據以上數據項及數據結構,設計符合工作需要的各種實體,以及它們之間的關系。
本系統設計規劃實體如下:違法犯罪人員基本信息實體、強制措施實施情況實體、訴訟實施情況實體、用戶信息實體、系統日志實體。各實體具體描述圖如下:
3 系統功能設計
3.1 系統開發及運行環境
本系統開發及運行環境:Macromedia Dreamweaver:前臺頁面設計;ASP:應用程序開發;Microsoft SQL server 2000:后臺數據庫設計及支持;Microsoft Windows 2003:提供服務器支持。采用Web-Server模式(瀏覽器-服務器)模式。
3.2 系統登錄
根據系統用戶數據庫中情況,對用戶登錄進行判定,根據據用戶角色與權限的不同,選擇進入不同的用戶功能組應用界面。
3.3 系統管理
可設計對系統數據進行分析、統計、管理、備份、恢復。對用戶進行管理,可增加、刪除、設置角色、設置權限等。
3.4 公文
提供公文界面與環境,可錄入公文內容,設置字體、插入圖片,設置發文人、文章閱讀權限、是否需要按時簽收,發文范圍等。
篇8
在20*年和20*年,我委和各鄉鎮計生辦共投資五十多萬元,對縣人口計生委機房重新裝修,添置服務器;同時各鄉鎮計生辦也嚴格按照省市信息化創建標準重新裝修了微機房,并為委機關和各鄉鎮及時更換微機和其他設備。20*年,我委又新增信息化帶動工程建設專項資金13萬,用于更新設備和建立網絡安全互聯系統。
目前,我委已經擁有一間20平方米的獨立機房,基本達到了防塵、防潮、防火、防靜電、防雷電的要求。機房配置了二臺服務器并配有不間斷電源(其中一臺型號為ibm3650ipl)、一臺專用打印機、二臺工作打印機、三臺工作計算機,同時還配備了一臺掃描儀,一臺路由器和二只交換機(16口和24口)等。另外,我委機關其他股室均配備了1臺以上的品牌新電腦、打印機;縣計生服務站配備了5想電腦和2臺打印機。各鄉鎮微機房也均已達到了防塵、防潮、防火、防靜電、防雷電的要求。據統計,各鄉鎮計生辦、服務所各有1臺電腦、1臺打印機、1個攝像頭和1塊1g容量以上的u盤。縣鄉兩級硬件設施的配備,極大地提高了計生干部的電腦操作能力和工作效率。
二、管理規范,人員到位,網絡環境建設進一步完善
1、加強信息化隊伍建設。為適應新形勢下人口計生規劃統計工作的要求,去年我們從鄉鎮計生辦抽調了一名同志到規統股負責流動人口計劃生育信息平臺建立、微機錄入和相關報表工作;今年,我委又報請縣政府同意在全縣機關事業單位選調一名計算機管理員,已經過資格審查、筆試、面試,擬從教育系統選調了一名獲得《全國計算機四級證書》的計算機本科畢業的信息管理員,現正在辦理調動手續,為加強我縣信息化工程建設提供了人才保障。我們在積極參加全市統一組織的大培訓的同時,今年我們還將定期開展業務培訓、崗位練兵,提高信息隊伍的業務技能。
2、完善信息化管理制度。為確保原始數據的完整性、準確性,縣、鄉、村三級全部建立了每月定期的信息上報、變更、反饋例會制度。我們堅持“公安戶口、計生戶口和已婚育齡婦女實際生育節育情況”三對照,切實做到“村不漏組、組不漏戶、戶不漏人、人不漏項、項不出錯”。為加強對信息網絡的管理,制訂了委機關股室管理制度,確保信息管理得到安全有效管理。
3、建立了人口計生局域網。為了使各鄉鎮能夠接入政務網達到與縣計生委聯網的要求,我委從20*年初就開始著手這項工作;在去年下半年,我們多次與電信部門協商,希望通過電信部門在各鄉鎮的營業所,牽光纜到鄉計生辦,然后通過委服務器轉接到政務網,但是這種途徑費用高,每個鄉鎮一年要交7200元,全縣一年的費用高達十六萬多,經協商價格降不下來。今年,我們聯系到一家軟件公司,可以通過vpn網絡技術,通過一臺交換機把所有連接到內網的電腦形成一個辦公局域網;經過安裝初試,我縣十九個鄉(鎮)及璜溪管理處現在已可以同時登錄縣人口計生委信息平臺、網站,并能登錄省、市政務信息網。同時,縣計生服務站、計生協會也已接入政務專網。
通過加強信息化隊伍建成設,完善信息化管理制度,營造高效、快捷的網絡環境,我縣目前已經建立了育齡婦女信息管理平臺,各鄉鎮通過vpn網絡技術,基本上都能登入。我們在信息平臺和委網站上可以新的消息,指導各鄉鎮工作,各鄉鎮也能通過這個平臺及時獲取、及時更新,縣、鄉兩級已經達到了信息互通、信息共享的良好局面。
三、健全制度,責任到位,信息化應用程度進一步提高
一是健全制度。為實現信息化引導服務工作的規范化和優質化,我委先后制定了《*縣育齡婦女信息管理辦法》和《*縣、鄉、村資料管理規范》等一系列制度,進一步從制度上規范全縣計生系統的信息采集、錄入、核查等各個環節,提高信息的準確率,為科學決策提供可靠的數據支撐,從而更好地引導基層開展服務。
二是細化分工。每年年初,我委都要派出一名干部掛點一個鄉鎮,同時要求各科室按照職責分工對所有的數據進行分化,將核查、引導、帶動等各項任務細化到每一個掛點干部;委領導則定期抽查各項工作的落實情況。明確了各科室長為信息化帶動工程首要責任人,要求委機關每個干部都要熟練操作和運用wis系統。
三是規范運行。在委機關信息平臺建立以后,每月要求各鄉鎮從縣人口計生委網站下載當月育齡婦女信息和各科室核查出需調查落實的信息,由鄉鎮和村居專干一一核實并錄入wis系統,建立定期分析信息制度,嚴把“三關”,提高信息質量。
四是確保信息質量。信息質量的好壞,首先是信息采集的質量。為此,我們決定從源頭上提高信息質量,一方面針對上傳到縣人口計生委的數據信息中存在的問題,積極協調衛生、公安、民政等部門召開相關系統信息采集員工作調度會,提高數據采集準確率;另一方面,要求村(居)專干必須一個不漏的入戶采集數據信息,準確錄入到wis系統。其次是定期進行數據分析。各科室每月依據職責分工將各部門通報的信息及委機關干部上戶督查掌握的情況與wis系統中數據分析對比,評估數據質量,并將存在的問題和需要進一步調查核實的內容進行梳理,形成分析報告。再次是跟蹤落實服務。根據各科室每月數據分析報告,我委分別在每月召開的計生辦主任例會和統計員例會上進行通報,分析原因,找準對策;要求各鄉鎮將需要跟蹤服務的對象落實到鄉鎮分片蹲點干部和村組專干,進行逐一跟蹤服務到位。
四、依托網絡,服務到位,不斷開拓人口信息化服務新領域
我縣人口信息化網絡的建設,極大地促進了人口和計劃生育科學決策和宏觀調控,有效地加強和規范了基層管理,增強了計生服務的及時性、針對性和有效性。依托信息網絡,搭建信息平臺,充分挖掘和延伸信息系統功能,達到人口信息資源的部門間共享,全社會共享,開拓了為育齡群眾提供優質服務的新領域。
篇9
二、電力信息網安全防護方案
1.加強電力信息網安全教育
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。
2.電力信息髓安全防護技術措旌
(1)網絡防火墻:防火墻是企業局域網到外網的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。D M Z區放置了企業對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。
(2)物理隔離裝置:主要用于電力信息網的不同區之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統:部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。
(4)網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。
掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網絡防病毒:為保護電力信息網絡受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心,對整個網絡部署查、殺毒,服務器通過Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。
(6)數據加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高實時的信息傳播中的保密性和安全性。
(7)數據備份:對于企業來說,最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的,必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。
(8)數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
3.電力信息網安全防護管理措施
技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網絡安全的長期性和穩定性才能有所保證。
(1)要加強信息人員的安全教育,保持信息人員特別是網絡管理人員和安全管理人員的相對穩定,防止網路機密泄露,特別是注意人員調離時的網絡機密的泄露。
(2)對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調離時密碼一定要更新。
(3)技術管理,主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。
(4)數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。
(5)加強信息設備的物理安全,注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。
(6)注意信息介質的安全管理,備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀,特別要注意送出修理的設備上存儲的信息的安全。
三、電力信息網絡安全工作應注意的問題
(1)理順技術與管理的關系。
解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整,防止不斷改造,不斷投入。
篇10
近年來隨著氣象信息技術的發展和氣象服務領域的不斷擴大,氣象部門新建或已建的氣象信息系統所承載的業務、服務范圍、安全需求經常發生變化,各種信息系統的安全問題也逐漸暴露出來,很多單位和部門針對信息安全也作了大量的工作。本文在結合遼寧省氣象信息系統等級保護工作現狀的基礎上,通過對三級氣象信息系統進行測評,對其中發現的系統安全的共性問題做一些探討,提出了安全防護策略,對開展氣象信息系統等級保護工作和提高氣象信息系統安全性方面具有重要的意義。
2 氣象信息系統測評
信息等級保護測評即確定信息系統的安全保護等級,發現信息系統存在的漏洞與風險,提出針對性的整改措施;根據各信息系統安全保護等級的不同,確定其不同的能力目標以及所能應對的不同級別的安全威脅。
遼寧省氣象局三級氣象信息系統等級保護測評工作主要針對遼寧省氣象部門內部的重要信息系統,包括遼寧省氣象信息綜合分析處理系統(Micaps系統)、全國氣象寬帶網遼寧分系統、國內氣象通信系統遼寧分系統。測評工作主要分測評準備、測評方案方案編制、現場測試和測評分析與報告編制四個階段進行,內容涵蓋終端設備情況調查、網絡局域環境調查、業務應用服務情況調查、數據備份情況調查及相關安全人員訪談等多項內容,測評于7個工作日內完成。
2.1 測評準備
測評工作具體由遼寧省信息安全測評中心(具備等級測評資質)組織實施,在測評前,首先進行測評準備,確認了遼寧省三級氣象信息系統的功能組件,技術功能組件為232個,管理功能組件為154個,提交了具體的測評方案,簽訂了測評合同。
2.2 現場測試
現場測試主要是對網絡設備、主機設備、應用軟件的安全功能/策略的驗證性測試。在測試的廣度上,覆蓋到不同類型,在數量、范圍上進行抽樣;在測試的深度上,進行了系統功能測試,主要涉及到功能規范、高級設計和操作規程等內容。
2.3 單元測評
單元測評是把測評指標和測評方式等結合到氣象信息系統的功能組件上,構成了一個個可以具體測評實施的工作單元。從技術上的物理安全、網絡安全、主機安全、應用安全和數據安全五個層面和管理上的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理五個方面分別逐一進行測評。
2.4 系統整體測評
系統整體測評主要是在單元測評的基礎上,通過測評分析系統在安全控制間、層面間和安全區域間三個方面存在的關聯作用,驗證和分析不符合項是否影響系統的安全保護能力,同時分析系統與其他系統邊界安全性是否影響系統的安全保護能力,綜合測試分析系統的整體安全性是否合理。具體內容包括:安全控制間安全測評、層面間安全測評、區域間安全測評和系統結構安全測評。
在上述工作結束后,最終出具三級氣象信息系統等級保護測評報告。
3 氣象信息安全現狀及存在的問題
在對上述氣象信息系統測評過程中發現三類共性的安全問題。
3.1 信息安全問題
首先,是未在核心區與樓層接入區、下聯邊界區采取訪問控制措施;其次,是系統內未部署了入侵檢測系統,對服務器的網絡訪問進行監控;最后,是缺少必要的安全策略和操作規程,未形成完備的安全管理體系。
3.2 氣象信息安全需要多方參與
遼寧省氣象信息安全工作由省氣象信息中心承擔。在這種情況下,信息安全問題很可能沒有得到充分研究和支持。負責信息安全工作的管理及技術人員應在深入理解氣象信息系統的業務流程和目標的基礎下,積極參與分析系統所面臨的風險,及時了解可能給系統造成潛在影響的最新威脅和漏洞,提供權威的信息風險評估。省氣象信息中心通過對風險評估的正確理解,制定安全策略、標準和準則,進而保障信息系統的完整性、機密性和可用性。
3.3 氣象信息網絡內外網分離
為了有效地降低氣象信息系統遭受攻擊的風險,信息網絡應將信息內網和信息外網物理隔離。
黑客可以通過Internet公共信息網采用木馬、蠕蟲和病毒等攻擊手段,破壞辦公系統、竊取機密氣象資料、篡改氣象網站信息等等。所有這些攻擊行為都會對氣象信息系統造成損害。
為了保障氣象信息系統的安全,應分別建立兩套獨立的信息網絡。信息內網承載氣象核心業務系統、財務系統、辦公系統、內部視頻會議系統以及與上級機構的專線互聯系統。信息外網承載門戶網站系統、移動辦公系統以及對Internet公共信息網的訪問等等。信息內外網分離的方式有效地降低了來自Internet公共信息網對氣象信息系統的攻擊風險。
4 氣象信息安全分區分域和縱深防護策略
根據信息網絡的構成,信息網絡可以分為系統邊界、桌面終端域和應用系統域。根據國家等級保護工作的規范,應用系統域可以定級為二級系統域或三級系統域。我們可以在分區分域的基礎上,采用縱深的安全防護策略。
4.1 信息系統邊界
信息系統邊界是氣象信息系統和外界數據交互的邊界區域,是保障數據安全的第一道屏障。為了保障信息系統邊界的數據安全,需要部署安全設備和措施:
一要設置高效、安全的防火墻設備,通過訪問策略和阻斷策略對通過邊界的雙向流量進行網絡側過濾,阻止不明身份黑客對信息系統的訪問;
二要部署先進的IPS主動防攻擊設備,通過配置網絡常見攻擊匹配包對雙向流量進行應用層的檢測,可以有效地降低病毒、蠕蟲和木馬等攻擊風險;
三要配備主流的流量控制設備,通過檢查異常流量,保護邊界出口帶寬的正常使用;
四要部署邊界設備審計系統和日志分析系統,定期采集網絡設備和安全設備的操作日志和運行日志,出具日志報告。通過對日志報告的分析,信息安全管理人員可以對信息系統遭受的攻擊、網絡邊界的規則效用以及設備運行狀況進行評估,從而制定下一步相應的安全規劃。
4.2 桌面終端域
桌面終端域由氣象職工桌面工作終端構成,是信息安全事件的溫床。桌面終端域安全防護是安全防御的第二道屏障,主要包括三方面。
一是桌面終端操作系統安全。單位內部大部分PC機所使用的操作系統是微軟公司的Windows XP或者Windows Vista,針對黑客攻擊行為,微軟公司會定期系統安全補丁包。信息內外網應各部署一套微軟WSUS補丁服務器,定期統一下載操作系統安全補丁。
二是系統防病毒策略。計算機病毒是電腦系統癱瘓的元兇,防病毒策略由部署在信息內外網的防病毒服務器來實現。在信息內外網各部署一套防病毒服務器,信息內外網PC機設備安裝防病毒客戶端,定期自動從防病毒服務器更新防病毒庫。
三是移動存儲介質安全。缺乏有效保護的移動介質是傳播病毒的有效載體,是泄密的罪魁禍首。在單位可以部署安全移動存儲系統,對U盤進行加密處理。所有員工均使用安全U盤,規避移動介質風險。
4.3 應用系統域
應用系統域由運行應用系統的服務器和存儲應用數據的數據庫組成。應用系統域安全防護是安全防御的第三道屏障。應用系統域和系統邊界以及桌面終端之間需要部署防火墻設備,不同安全防護等級的應用系統域之間也需要部署防火墻設備。應用系統維護人員需要認真統計系統的應用情況,提供詳實的端口應用情況,制定實用的訪問和阻斷策略。
5 結束語
信息網絡已成為氣象部門開展氣象預報、業務應用運行和內部辦公的承載平臺,氣象信息安全也成為安全生產管理中不可或缺的一環。各種信息安全防護技術在氣象部門得到了比較廣泛的應用,也取得了很好的效果,為保障氣象業務安全、可靠、穩定運行,提供了有力的技術支撐。
但同時也應該看到將各種安全設備簡單地堆砌起來并不能達到預期的目標,必需根據氣象信息系統的特點、結合本單位的實際情況,做好中長期規劃。要以適度安全為原則,有針對性、分階段地部署適合本單位的安全防護技術,并強化管理措施,才能在成本投入和安全目標之間取得最佳平衡點,才能建設好具有氣象特色的信息安全防護系統。
參考文獻
[1] 信息安全技術信息系統安全等級保護基本要求GB-T 22239-2008,中華人民共和國國家質量監督檢驗檢疫總局,中國國家標準化管理委員會,2008-11-01.
[2] 周國勇,陳磊.信息系統安全檢查工作體系設計研究[J].信息網絡安全,2012(8):167-169.
[3] 韓阜業,陳震,梁勇等.基于覆蓋網的協同式網絡安全防護與分析系統[J].信息網絡安全,2012 (4):7-13.
篇11
結合電力生產特點,從電力信息系統和電力運行實時控制系統2個方面,分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系,將電力信息網絡和電力運行實時控制網絡進行隔離,網絡間設置了防火墻,購買了網絡防病毒軟件,有了數據備份設備。但電力信息網絡的安全是不平衡的,很多單位沒有網絡防火墻,沒有數據備份的概念,更沒有對網絡安全做統一,長遠的規劃,網絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求,對網絡安全進行了全方位的保護,防火墻、防病毒、入侵檢測、網管軟件的安裝、VerJtas備份系統的使用,確保了信息的安全,為生產、營業提供了有效的技術支持。但有些方面還不是很完善,管理起來還是很吃力,給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。
3電力信息網安全風險分析
計算機及信息網絡安全意識亟待提高。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大,對新出現的信息安全問題認識不足。
缺乏統一的信息安全管理規范。電力系統雖然對計算機安全一+直非常重視,但由于各種原因,目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。
急需建立同電力行業特點相適應的計算機信息安全體系。相對來說,在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統安全、穩定、高效運行,應建立一套結合電力計算機應用特點的計算機信息安全體系。
計算機網絡化使過去孤立的局域網在聯成廣域網后,面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網,并沒有同外界連接。所以,早期的計算機安全只是防止外部破壞或者對內部人員的安全控制就可以了,但現在就必須要面對國際互聯網上各種安全攻擊,如網絡病毒、木馬和電腦黑客等。
數據庫數據和文件的明文存儲。電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質的人可以讀出這些信息;黑客可以饒過操作系統,數據庫管理系統的控制獲取這些信息;系統后門使軟硬件系統制造商很容易得到這些信息。弱身份認證。電力行業應用系統基本上基于商業軟硬件系統設計和開發,用戶身份認證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應用系統還使用白己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中,這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數據備份措施。很多單位只是選擇一臺工作站備份一下數據就了事,沒有完善的數據備份設備、沒有數據備份策略、沒有備份的管理制度,沒有對數據備份的介質進行妥善保管。
4電力信息網安全防護方案
4.1加強電力信息網安全教育
安全意識和相關技能的教育是企業安全管理中重要的內容,其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效,高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。
主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。
4.2電力信息髓安全防護技術措旌
(1)網絡防火墻:防火墻是企業局域網到外網的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。DMZ區放置了企業對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。
(2)物理隔離裝置:主要用于電力信息網的不同區之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。(3)入侵檢測系統:部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。
(4)網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。
掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網絡防病毒:為保護電力信息網絡受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心,對整個網絡部署查、殺毒,服務器通過Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。
(6)數據加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高實時的信息傳播中的保密性和安全性。
(7)數據備份:對于企業來說,最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的,必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。
(8)數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
4.3電力信息網安全防護管理措施
技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網絡安全的長期性和穩定性才能有所保證。
(1)要加強信息人員的安全教育,保持信息人員特別是網絡管理人員和安全管理人員的相對穩定,防止網路機密泄露,特別是注意人員調離時的網絡機密的泄露。
(2)對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調離時密碼一定要更新。
(3)技術管理,主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。
(4)數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。
(5)加強信息設備的物理安全,注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。
(6)注意信息介質的安全管理,備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀,特別要注意送出修理的設備上存儲的信息的安全。
5電力信息網絡安全工作應注意的問題
(1)理順技術與管理的關系。解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統全面的信息安全管理體系,可以參照國際上通行的一些標準來實現。
篇12
新時展到了一個嶄新的信息經濟時代。高速發展的數字網絡使人類進入到一個信息化時代,使人類的主觀發生改變,從工業時代移位到信息網絡時代。數字信息化的快速發展將會把人類推進一個信息文明的社會體系。可見信息網絡將是未來社會發展的最前端的一個重要資源,現代社會經濟在數字網絡信息的高速傳輸效率和及時性面前將會發生不可阻擋的大變革。
一、傳統會計存在的問題
1.會計數據采集、處理不及時
原因一在有關貨幣、經濟業務往來后的數據沒能在第一時間及時收集,而且會計數據的處理過程本來就繁瑣復雜,才造成會計信息沒能及時處理,所以只能分為月底、季低、年底來提供貨幣、經濟業務的相關數據。原因二在傳統手工做賬的流程下一些紙面上的賬項沒能及時到賬沒辦法做到及時的更新數據,因而企業、銀行和客戶之間總會因時間問題出現未達賬項,使會計數據信息不能滿足決策層和管理層的需求。
2.管理層的需求不被滿足
傳統的手工會計流程主要針對外部信息用戶的需求上,主要提供會計報表。企業內部管理需求時很難從會計當前信息中取得其他信息分類,只能夠提供法定格式的會計信息報告。管理會計的出現雖然填補了一定的不足,因管理會計在一些信息數據的取得、途徑、處理方法方面與財務會計有很大的出入,這樣一來反倒加大會計工作的繁瑣,這樣傳統手工會計依然滿足不了管理層的決策需求。
3.只關注過去不關注未來
在今天經濟環境和信息技術都發生了很大的變化,但是在傳統會計里所顯現的信息數據的內容和形式在根本上沒有多大的進步。資產負債表、利潤表和現金流量表這些局限于形式上的數據滿足不了所需要的決策需求。會計系統的主要構架還是很早以前的帕喬利體系,企業的貨幣流通、經濟業務的管理還是局限于會計部門,所有信息還只是存在與紙面上的傳遞,以純手工制作、整理和統計會計憑證和會計報表為主。正因為會計流程和處理方法缺乏創新才導致會計信息處理系統裹足不前。
4.傳統會計信息系統不堪重負
在利益面前企業是經營者和客戶之間的介質,而財務部門是企業里一切貨幣流通、經濟業務的一個重要的計量部門,美國會計學會專家曾指出“確認、計量和傳達經濟信息的過程,以信息使用者做出明智的判斷和決策”。財務部門是為企業決策層提供重要數據信息的一個系統,其構成部分有確認、計量和提供三個流程。現在市場的競爭愈加的激烈,在信息飛速變化的網絡時代正確的、及時的會計數據對于管理層做出及時的、正確的決策的首要性愈加重要。財務部門也由管理貨幣流通和經濟業務的小范圍轉為與經營決策相關的大方向,而信息時代所需的大量多方面的數據信息致使傳統手工會計工作不堪重負,面臨前所未有的挑戰。
二、會計系統應當改進和優化
一致認為會計信息系統應該改進和進行優化。會計信息系統再造有三種研究思路。一是財務會計理論界,他們試圖重新構建全面的會計準則,通過改進會計信息的質量,更新現有的會計計量模式來實現。二是管理會計界和企業管理界,為了打開會計信息系統的全新視野他們創新了管理理論、管理思想和管理方式在傳統會計系統中不斷的試用,期望能給決策者在信息更新飛快的時代提供有效的數據。三是信息管理界,他們就企業管理研究出財務部門的整體解決方案,利用網絡信息技術提升企業整體的信息化能力,爭取整理合并企業的內部工作。
關于會計信息系統構建流程再造的問題,系統對事項會計和REA 會計、事件信息庫和事件驅動系統進行了比較透徹的研究,對事件驅動信息系統的全過程進行了深入分析,表明事件驅動信息體系結構給企業減少了傳統會計系統的結構的主要依賴,這樣給網絡財務的建立集成提供了很大的可能,相對的會計信息和非會計信息分析也擴大了范圍。通過對會計流程再造的基礎和目標的分析,解析了會計信息系統重新構造的產生的影響。并提出了在事件驅動體系結構和傳統會計系統重制系統的基礎上可以進行的合成的網絡信息財務系統。
實際證明了對傳統會計信息系統重構系統的可取性,通過對新開發的網絡信息系統進行實質性的運用,對網絡財務系統上的網上報銷流程進行了客觀的定性的分析,在提出一個標準和評價方法的平臺上,提取大量的數據信息樣本在傳統的手工會計流程和網絡財務報銷系統這兩種模式下進行多重樣的測試、比較,結果表明,經過系統流程改造之后的網絡報銷流程。此例證證明了會計流程再造和會計信息系統重構對于流程成本、流程效率和會計信息質量的影響。
網絡財務系統的無紙化將會影響會計信息系統。第一,紙張數據采集方式產生的信息不及時,不全面,效率低在無紙化網絡財務系統都被有效的克服,使得會計信息系統可以支持決策的目標又近了一步,第二,會計軟件使“會計確認”程序不再形同虛設。當前網絡財務系統把記賬憑證到編制會計報表之間所有的繁瑣工作都解決了,在財務軟件里會計確認在會計憑證到會計報表中充分發揮了會計人員的價值,把實際工作具體到個人。傳統的手工會計難以把握好會計確認這一大關,而會計確認又涉及的責任比較廣,在再造后的網絡財務中得到正確的運用。
三、結語
本文經過對傳統會計的處理數據方式和流程再造后的網絡財務系統的分析,顯示在管理思想、管理對象、組織結構和管理環境變化的影響下會計信息處理系統也在改變。以及會計數據信息的需求量和傳統會計數據處理系統面臨的跟不上時代的尷尬環境共同要求會計信息系統做出要求才能跟上現代信息化的需求。完善企業資源配置,實行統一的財務制度、管理和資源調配,加強了決策和經營考核,加強利潤目標和成本控制,賬務實行分立、責權相對獨立、計量單位和報表格式統一、考核決策一致的財務管理制度,為企業財務信息的采集提
參考文獻:
[1]藺玉,魏曦.會計信息化背景下高校財務績效管理流程重構[J].財會通訊,2011(09):55-67.
篇13
在HCN中,有兩種可能的傳輸媒介:有線和無線。分別構建家庭有線控制網絡(Wired Home Control Network)和家庭無線控制網絡(Wireless Home ControlNetwork)。
本文僅僅討論無線射頻媒介和無線收發器構建的網絡,這些接收器安置在家電上。本文稱無線媒介家庭控制網絡為WHCN(WirelessHomeControlNetwork)。
家庭無線控制網絡(WHCN)屬于IEEE標準定義的低數據率的無線個人域網絡Wireless Personal Access Network(WPAN)。這樣一個低數據率WPAN,也是一個簡單的、低成本的無線通信網絡,這種網絡支持低功率和允許要求靈活應用的無線聯接。WHCN的主要目標是在家電、傳感器和監視器之間,實現易安裝、可靠數據傳輸、短距離工作、低成本和低功耗的無線網絡。同時,支持簡單和靈活的網絡拓撲。
無線網絡支持無線通訊的功能,支持家庭控制子網設備之間的數據通信、實時傳輸數據信息、人機交互式操作和具有圖形用戶界面控制功能,使用戶方便直觀地操作和控制各個設備。
WHCN中的主要設備以及它們的關系
無線媒介家庭控制網絡由家庭控制子網網關、移動控制終端和多個通訊模塊組成,見圖1所示。各個部分的作用如下所述:
1.家庭控制子網網關
無線控制子網網關是家庭無線控制網絡的中心。主要有如下兩種作用:
(1)家庭無線控制網絡的信息和控制中心。
(2)外界信息網絡(如:以太網、電話系統等等)和家庭無線控制網絡之間的接口或信息交換中心,以及家庭信息網絡和家庭無線控制網絡之間的聯合點。
作為家庭無線控制網絡的信息和控制中心,通過無線通訊中心節點模塊提供如下功能:
給出友好的人機界面。用戶可以進入任一個電器的控制選項界面,控制各個家庭控制子網設備,操作簡單。
具有管理各種家庭控制子網設備的功能。當新的設備加入到家庭控制子網網絡系統時,家庭控制子網網關可以注冊新設備。當網絡中的設備要求從子網系統中斷開時,家庭控制子網網關可以刪除該設備
作為星狀網絡信息的互連器,所有信息都被發送到和轉送到子網網關。同時,子網網關再給預期節點發送已獲得的信息。與各個通訊模塊進行數據交換。家庭控制子網網關與各個通訊模塊之間的通訊協議遵從家庭控制子網通訊協議。
子網網關在家庭控制子網中作為設備的一個網關,主要功能是把家庭控制子網設備和家庭主網及主要的信息網絡(如:以太網)連接起來,并實現家庭控制子網內部設備的互連。子網網關是一個符合家庭控制子網通訊協議的設備,可以與家庭控制子網設備進行數據交換。
用戶可以通過以太網、電話線以及無線本地存儲網絡連接家庭主網關,家庭主網關可以是服務器、電話調制解調器和無線本地存儲網絡基站。
當用戶通過以太網或ADSL登錄到家庭主網關時,就可以進入一個數字家庭網絡的控制畫面,這個畫面出現當前家庭控制子網設備,點擊要控制的家電設備的圖標,可以進入此家電的控制界面。控制界面上顯示了此家電的所有控制選項,用戶點擊想要進行相應控制的選項,子網網關與主網關通過主網關與子網網關之間的通信協議獲得相關的控制信息,并使用家庭控制子網通信協議控制相關的設備。
用戶通過電話系統登錄到家庭主網關時,用戶可得到一個簡單聲音控制“聲音信息/控制命令”。有了這個“命令菜單”后,用戶獲得狀態查詢并設置控制命令。 這個子網網關所控制的設備的通訊模塊接收到這個數據幀,物理層對此數據幀進行基于MAC命令的處理,得到有效載荷。有效載荷再傳輸給MAC層,MAC層判斷其正確性和有效性,如正確,則得到控制命令和有效數據信息,再將它們傳輸給網絡層和設備的控制接口。如不正確,則不對此數據進行處理。
被控設備的控制接口層對所得到的控制命令和有效數據進行數據轉換,傳輸給此設備應用層,由此應用層得到控制此設備的相應控制命令和有效參數,此設備根據這些數據信息執行相應的動作,在此動作完成后,返回給子網網關相應的反饋信息,反饋信息指示了當前此家電的現行狀態,子網網關進而把信息傳遞給主網關。當主網關接收到反饋信息后,更新此家電的控制界面,顯示此家電當前的運行狀態。
運行狀態包括事件信息和警告信息,這些信息可以發送給用戶,用戶產生進一步的指示和命令。 這是子網網關在遵循家庭控制子網通信協議,進行的一次完整的通訊過程。
2.移動控制終端
移動控制終端在WHCN是一個專用和簡單的顯示器和控制終端,它不是網關。移動通信控制終端loaded加載一個無線模塊,它通過無線通訊方式與家庭控制子網設備通信。
移動控制終端具備三個主要功能:
(1) 用戶可以通過移動控制終端獲得各種服務的平臺;
(2)與家庭控制子網網關相互通訊,實現所有家庭控制子網設備的集中控制;
(3) 在緊急情況下,移動控制終端可以和各個節點直接通訊。
移動控制終端支持無線通訊的功能,支持家庭控制子網設備之間的數據通信、實時傳輸數據信息、人機交互式操作和具有圖形用戶界面控制功能,使用戶方便直觀地操作和控制各個設備。 移動控制終端與各個通訊模塊之間的通訊協議遵從家庭控制子網通信協議。
3.無線通訊模塊
無線通訊模塊是家庭控制子網設備的通訊核心,通訊模塊是各個家庭控制子網設備和無線網絡的無線通訊接口單元。無線通信模塊支持家庭控制子網內部各個設備之間的數據通信,通訊模塊遵從家庭控制子網通信協議。
在家庭無線控制子網中,無線通訊模塊是基本單元。在家庭控制子網網關和移動控制終端中,無線通訊模塊是部分功能模塊。一般來說,子網網關中的無線通訊模塊,叫做無線通訊中心節點模塊,發揮協調器的作用。
4.無線通訊轉發器
對于一個包含較大工作范圍的網絡或工作環境復雜(室內環境)的網絡,需要一種專用單元:無線通訊網絡轉發器。
無線通訊網絡轉發器是一個專用無線通訊模塊。它從一個或多個方向接收信號,然后向全部方向或特殊方向發射處理信號。
處理包括:
擴大收到信號的能量;
改變網絡中傳輸信號的路徑方向。
轉發器和無線通訊模塊的不同點:
轉發器不是全功能無線通訊模塊;
轉發器不與設備連接。
5.家庭控制子網網關和移動控制終端之間的關系
從功能方面來看,家庭控制子網網關和移動控制終端都是WHCN的控制終端,它們在無線網絡中發揮核心作用。
家庭控制子網網關是WHCN的控制中心,它不僅支持無線收發器的網絡管理,也支持設備的管理。同時,它是家庭控制子網和外界信息網絡的唯一網關。
在WHCN中,移動控制終端是一個特殊的無線收發器,是有較大存儲空間的專用無線通訊模塊。當網絡聯接建立起來后,移動控制終端從網關下載注冊信息,移動控制終端保存WHCN的所有信息。否則,移動控制終端對這個網絡來說可能是一個PDA或者打包PC機,也可能是一個監視終端。移動控制終端可以接收網絡設備的數據和狀態并且借助網關給每個設備發送控制命令。
無線家庭控制子網通信協議體系結構
家庭無線控制子網通訊協議使遵循規范的各個家庭控制子網設備之間實現無線通信。網絡結構不僅是WHCN數據/管理服務體系,也是WHCN中每個無線收發器的系統結構。
本規范將給出無線收發器的規范以及基于這種網絡結構WHCN規范。
子網的基本網絡體系結構包括:物理層、媒介訪問控制層、網絡層和應用層,前三層全部在無線模塊內。在應用層的頂部,有一個設備和模塊共同擁有的設備亞層。
設備亞層直接與設備(如:家用電器、感應器等)和制造商有關。在應用中其功能和界面是不同的。因此,本文不包含此層的研討。
子網從上至下劃分為以下層次(見圖二)
應用層(Application Layer)
負責處理特定的應用程序細節,實現設備與 WHCN連接的接口和信息交換。通過應用層,在WHCN中的其它設備只需了解虛擬的網絡對象描述而不必了解該設備的具體實現細節就能實現控制/狀態查詢。
網絡層(Network Layer, 簡稱NWK)
WHCN使用網絡層通訊中間件來實現統一的網絡通訊,網絡層隱藏了底層通訊媒介的復雜性,為應用層提供設備到設備的通信。它所做的工作包括:
數據管理是把應用程序交給它的數據傳送給下面的媒介通訊接口層 (MAC/PHY)。
傳輸服務管理:提供網絡路徑服務和網絡信息,傳輸控制信息/狀態查詢在此層中進行,以及網絡信息共同被傳送到預期設備。
MAC層(媒介存儲控制層,簡稱MAC)
由于不同的媒介所采用的碼元編碼方式,數據通訊速率、CSMA/CA實現方式、硬件連接方式等等各有不同。這一個層次就是根據不同的要求和網絡來確定不同的媒介通訊接口。在這一層中,實現了數據鏈路層部分,包括底層設備驅動程序和網絡接口硬件。
物理層(Physical Level, 簡稱PHY)
處于網絡通訊協議的最底層,在無線通信中,物理層負責射頻傳輸/接收端的啟動。物理數據服務有助于物理協議數據單元(PDUs)的傳輸/接收越過物理無線電信道。物理層的主要的流出是無線收發器的活動和釋放、能量探測、連接質量說明、頻道選擇、清晰頻道評估和越過物理媒介傳輸以及接收。
無線家庭控制網拓撲結構
為了本規范和IEEE定義的WPAN標準的兼容性,在PHY、MAC和網絡層規范中,不提及無線通訊模塊、子網網關,只使用中心節點和節點。
拓撲是網絡總體結構。為滿足實際應用的要求,WHCN有一種或兩種拓撲:星狀拓撲或對等拓撲,如圖3。在星狀拓撲中,通信建立在一個中心控制器和設備之間,中心控制器也叫WHCN中心節點。設備的典型應用是作為網絡通訊的起始節點或者終止節點。
WHCN中心節點的具體應用是能夠初始、終止或者路由網絡中的通信。WHCN中心節點是WHCN的主要控制中心。在兩種網絡拓撲中,節點必須有獨一無二的8比特地址。
星狀拓撲基本結構如圖3,全功能收發器第一次啟動后,就建立自己的網絡成為WHCN中心節點。所有的星狀網絡都獨立于正在工作的其它星狀網絡。在射頻通信范圍內,通過選擇沒有被別的網絡使用的WHCN標識,就可以建立一個新的網絡。一旦WHCN標識被選定,WHCN中心節點允許別的設備加入網絡。WHCN中心節點可以是由電力線供電,而節點可能是電池供電或電力線供電。
對等拓撲與星狀拓撲不同的是:如果任何其他節點在某節點無線電范圍內,這兩個節點會開始通信。對等布局可以產生更復雜的網絡形式,例如,網孔拓撲等。對等拓撲可以特設、自組織和自恢復,它也支持多跳躍實現信息從一個設備到另一個設備的路由。本文并不討論這種拓撲結構。
無線家庭控制網特征概述
WHCN所有的特征都基于用戶要求和無線個人域網的經驗積累(Wireless Personal Access Networks,簡稱WPAN)。WHCN基本特征如下:
無線模塊8比特地址尋址;
CSMA/CA方式訪問信道;
全握手協議確保傳輸的可靠性;
低功耗;
能量探測;
聯接質量指示;
有關允許無線頻道的多重通訊信道;
本版本支持星狀拓撲,將來的版本會支持網狀拓撲。
家庭無線控制子網通信功能
與流程的簡要說明
1.中心節點的功能與流程
中心節點是星狀拓撲網絡的中心點。一般情況下,子網網關的無線模塊是中心節點。 在無線網絡中,中心節點遵循家庭控制子網通信協議,可以與家庭控制子網設備通過無線的方式進行數據交換。中心節點是有足夠存儲空間的專用節點。 中心節點通過子網網關獲得用戶的查詢/控制命令。中心節點傳輸關于WHCN的這些查詢和控制命令并傳送到預期的節點。該節點與被控設備連接。
被控設備的控制接口層對所得到的控制命令和有效數據進行數據轉換,傳輸給此設備應用層,由此應用層得到控制此設備的相應控制命令和有效參數,此設備根據這些數據信息執行相應的動作,在此動作完成后,返回給中心節點相應的反饋信息,反饋信息指示了當前此家電的現行狀態。子網網關進而把信息傳遞給主網關。運行狀態包括事件信息和警告信息,這些信息可以發送給用戶,用戶產生進一步的指示和命令。
中心節點也從被控制設備接收信息,接收到的數據傳輸到物理層,物理層對此數據幀進行處理,得到有效載荷,有效載荷再傳輸給MAC層,MAC層對此有效載荷進行拆包,并判斷其正確性和有效性,如正確,則得到控制命令和有效數據信息。中心節點可以決定向控制網絡報告信息或轉寄信息給與被控制設備相連接的其他無線節點。
在星狀網絡中,中心節點提供必要的網絡功能如:
連接和分離
定時
路由路徑
2.子節點的功能與流程
無線通訊模塊是家庭無線控制子網設備的核心。無線收發器稱為子節點安置在每個設備上,子網網關和中心節點通過無線收發器來實現。
