第一篇:高清播出系统网络安全架构设计研究论文
摘要:海南广播电视总台作为省级媒体,对于安全播出有较高的要求。目前,海南广播电视总台高清播出系统已实现了7个频道的高清播出、整备和缩编业务。在网络安全方面,系统已通过了三级等保测评。本文主要是介绍海南广播电视总台高清播出系统网络安全架构的设计。
关键词:高清播出;网络安全
一设计思路
海南广播电视总台高清播出系统网络安全架构的设计是以现有系统的实际情况和现实问题为基础,遵循国家网络安全法、广电总局62号令以及网络安全等级保护管理办法的要求,汲取近年来全国各大电视台网络安全的成熟经验,科学规范地建立集管理和技术为一体的符合自身实际情况的网络安全体系。海南广播电视总台一直非常重视网络安全工作,长期将网络安全摆在重要位置,此次高清播出系统网络安全架构设计的核心目标就是构建符合等级保护三级标准要求的系统,从而保障系统所包含业务的安全可靠运行,保证关键内部信息的保密性、完整性及可用性,同时建设完善的网络安全管理制度体系,包括制定、细化和修正各种在日常网络安全工作、系统建设工作以及系统运维工作中要求遵守的网络安全制度、操作规范等规定。高清播出系统网络安全总体框架如图1所示,分为五个部分,包括策略体系、技术体系、组织体系、运营体系、系统建设体系。策略体系主要是整体网络安全策略的规划。技术体系主要是高清播出系统所采用的网络安全技术、基础支撑设施以及各层次的安全。组织体系主要是网络安全的组织架构以及人员的管理。运营体系主要是管理高清播出系统网络安全策略在日常运行过程中的执行。系统建设体系主要是高清播出系统建设过程中的网络安全工程过程管理、项目管理以及质量的管理。
二设计要点
1.网络边界安全网络边界安全措施是保护高清播出系统的基本安全措施,也是保障系统安全的第一步。海南广播电视总台高清播出系统的边界安全措施主要从边界的定义、边界的隔离和访问控制、边界的入侵检测等方面入手,同时选用大吞吐量和高并发的网络防火墙,实现攻击防护、IPSECV*N、访问控制、用户认证、链路负载均衡等功能(图2)。
2.核心网络入侵检测海南广播电视总台高清播出系统与主干网相连,后者承载了各业务系统之间数据的共享、交换和传输,这对高清播出系统网络的传输安全提出了很高的要求。在高清播出系统核心网络设备上部署入侵检测引擎,实现对核心网2高清播出系统网络拓扑图络的访问进行实时监控,确保核心网络的安全,是保障海南广播电视总台高清播出系统业务可用性和传输安全性的基本监控措施。
3.系统平台安全系统平台安全主要是指主机设备配置安全,主要包括管理软件设置、运行日志,实行统一认证,设置、运行、维护权限控制和访问控制,监控运行情况等。在操作系统软件配置方面,要从正规渠道购置正版软件,并及时更新软件补丁,同时定期对系统内的操作系统、平台软件、应用软件进行安全性检查,关闭不需要的服务。在数据备份和系统恢复方面,要对重要的数据采用多种手段进行有效备份,以备在必要时进行恢复操作。
4.操作系统内核加固按照等级保护划分,早期的操作系统属于第一级用户自主保护级,目前使用的主流操作系统都属于第二级系统审计保护级。由于二级操作系统已经不能满足高清播出系统网络安全需要,因此,对操作系统进行内核加固,打造符合国家信息系统安全等级保护操作系统安全三级标准以及公安部GB/T20272-2006信息安全技术三级认证的安全操作系统是必须要做的。操作系统内核加固软件能够与当前各种主流硬件平台、操作系统以及应用系统有效结合,从而实现安全等级的动态提升。除对操作系统内核进行加固外,海南广播电视总台还对高清播出系统的服务器、工作站、数据库、网络设备、安全设备等进行了人工加固。
5.用户安全身份认证的应用是保障高清播出系统用户安全的重要手段,高清播出系统终端用户在认证中心注册并取得身份令牌后,访问高清播出系统的业务时,必须通过认证中心的认证之后,才能进行有效的数据交换和安全的数据共享。海南广播电视总台高清播出系统采用双因素身份认证系统,终端用户在进行系统登录时采用用户名+静态密码+动态口令登录,而且同一个用户名的登录是在2个操作界面内完成。身份认证系统还具备密码集成、在线/离线认证以及后台应急密码认证等功能。
6.日志审计在高清播出网络系统的各个关键节点中部署日志审计探针来采集日志数据,并上报日志审计管理中心,通过管理中心实现日志数据的分析和评估和网络安全响应,从而实现审计数据采集、分析、查阅、事件的选择和存储以及自动响应等功能。海南广播电视总台高清播出系统选用的日志审计平台可存储3亿条日志,并可同时审计100个对象,峰值处理能力可以达到5000EPS(EPS:每秒日志解析能力)。
7.数据库审计与风险控制数据库审计与风险控制系统可以有效管理数据库账号权限,识别越权使用和权限滥用,跟踪敏感数据访问行为并及时发现敏感数据泄漏,同时还可以检测数据库配置弱点和数据库漏洞,同时生产审计报告。海南广播电视总台高清播出系统的数据库审计与风险控制系统可以在无漏审的情况下同时审计4个数据库实例,吞吐量大于2000M,具备4亿条日志存储能力,峰值处理能力为2万条/秒,审计日志检索能力为1500万条/秒。
8.恶意代码防范根据GD/J038-2011基本要求,高清播出系统内部应具备恶意代码防范能力。海南广播电视总台高清播出系统在各安全域部署防病毒软件,对各安全域的终端和服务器进行恶意代码防范,同时在综合业务域和制播域边界部署UTM防火墙实现网关级恶意代码防护。
9.应用系统安全海南广播电视总台对高清播出系统的应用系统提出了必须符合《业务系统开发安全规范》的安全要求,要求应用系统在资源的控制、通信完整性保护和软件容错三个方面必须达到等级保护的要求。
10.安全管理体系海南广播电视总台明确网络安全建设的指导方针和总体安全策略,详细制定网络安全建设的总体规划,以等级保护的思路指导海南广播电视总台高清播出系统的网络安全建设工作。
三总结
网络安全策略是整体原则,网络安全技术和网络安全设施是设计基础,网络安全管理是实现网络安全的关键,网络安全体系建设是实现网络安全最为有效的手段。目前,海南广播电视总台高清播出系统已通过了广电总局监管中心的信息系统安全等级保护测评(三级)。通过高清播出系统网络安全体系的建设,海南广播电视总台建立起了完整的网络安全体系,打造了动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,实现了对高清播出系统网络安全多层次、全方位的防护,有效保障了高清播出系统的安全稳定运行。
第二篇:关于高清播控系统的安全播出分析
关于高清播控系统的安全播出分析
摘要网络时代,广播电视播出形式更加多样,并且能够全天不间断的播出,这就需要依托更加完善的系统,将已经排好的节目进行顺序播放。在这一过程中提高安全播出质量也就显得至关重要,依托于其本身较强的流程化特点,对其中涵盖的各个细化要素进行精准把控,就能进一步提升系统整体衔接能效,为后续节目的正常及安全播出夯实基础。文章就从不同的方面,对高清播控系统的安全播出进行了讨论及分析。
关键词高清;播控系统;安全播出
中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2018)211-0074-02
在新媒体技术渗透性应用的过程中,广播电视节目播出质量将直接影响品牌形象的塑造,因此,提升系统安全性及稳定性势在必行。为了进一步提升高清插播系统的整体能效,就需要将节目内容整合并统一编辑成呈现节目类型及主体的串联单,而后再在播出系统中将素材导入,这样系统就能按照既定标准对节目进行顺序播放。因此,对高清播控系统的安全播出进行探究具有重要意义,本文首先对安全播出的重要性进行了阐述及分析,而后提出了操作要点。高清播控系统在安全播出中的作用
从当前形势来看,电视节目的播出形式由以往的标清逐渐发展为高清,这同时也促使介质环境发生了较大改变,由于节目内容编辑及上传都需要工作人员来完成,这就需要工作人员能够肩负起自身职责,以更加积极的态度完成目标任务,为高清插播系统的安全播出提供积极有效的助推力。在信息技术应用背景下,播控系统也更具数字化及现代化优势,系统本身运行所依托的是自动化标准,在这一过程中涵盖的各类信息都能共享及传递,互通性指标普遍较强。
在高清播控系统运行阶段,具有一定的流程化特点,其中编制节目单及上传是较为关键的两项细化工作,二者的顺序不能颠倒,只有先完成节目单编辑再将其上传至系统中,才能对安全播出产生积极作用。
首先,在完成准备工作后,需要先将磁带等形式的节目内容传递到数据库中进行介质转化,而后以电视台的节目配置要求为基准,对与之对应的节目版面进行编排,而后将信息以磁带形式呈递上载环境下,当任务管理器接收到这一指令后,就能将磁带中的信息转换为适宜硬盘播出的素材,然后通过将其移动到播出视频服务器后,系统就能根据转化后的信息对节目进行自动化播放。
从本质上来看,编单系统的组成结构较为紧密,依托于节目播出需求,该系统一般由播出工作站及第三备控机组成,部分电视台为了进一步提升高清播出质量,还会在结合实际需求的基础上,创新及优化应用机制,促使其稳定性不断提升。实际上编单工作站与播控机并不属于同一应用范畴,二者都能够独立运行,满足不同的功能性需求,但是以上两个部分却都被设置在了机房中,无论是内部管理还是操作,都需要在这一环境下进行,为了避免出现设备故障导致节目播出受阻等问题的发生,还可以增设备用设备。
编单工作应当更加细致,并按照既定标准对其质量进行严格把控,节目单编制工作完成后,通过对提交的节目单进行校对及审批,在确保其精准度与预期目标高度相符后,就可以将其上传至播出工作站进行节目的自动化播出。
实现高清播控系统安全播出的重要性
在市场需求标准不断上升的同时,对播控系统的先进性提出了更高的要求,从标清转换至高清,再有高清向4K转换,不仅能够进一步提升播出质量,节目单编制及上传难度更是随之不断增加,这就需要以提高节目播出的安全指标为主导,为节目的高效能产出提供积极有效的助推力。不同的电视台由于需求方向及节目播出侧重点存在差异,在系统选择方面就应当做到结合自身实际,选择与之契合的播控系统,促使其架构体系更加完整,为节目单编制及上传提供安全保障。需要注意的是,在这一过程中工作人员的能动性作用不容忽视,这就需要他们具备较强的责任感及专业素质,能够始终保持积极向上的工作态度完成目标任务。
实际上在最初应用阶段,播控系统也并不完善,运行阶段也会出现各类问题,但是通过不断总结经验教训,再加之积极有效的技术改造,这就使得系统能效与节目播出需求高度一致,无论是节目单的编制还是上传,播控系统都能在更加安全、稳定的环境下运行。虽然部分播控系统在运行阶段具有较为显著的优势特点,但是要想从整体上提高其安全性及稳定性指标,就需要对系统进行调试,促使细节能够得到精准把控,这样节目单编制及上传效率才能进一步提升。在广播电视中,安全播出已经逐渐成为影响媒体技术发展的重点要素,而创建安全稳定的播控系统是安全播出的首要前提,因此不难发现,安全播出与播控系统本身就存在密切联系,二者缺一不可。
因此,提升节目播出的安全性指标,应当重点强化体系建设,促使系统运行流程更加规范、合理;构建应急机制,确保安全播出事故一旦发生就能够在第一时间得到解决;播控机房应当对设备运行情况进行实时监控,为安全播出工作的高效开展夯实基础。高清播控系统安全播出事故的原因
3.1 磁带信息被非常规修改
在高清播控系?y实际运行阶段,编辑节目素材,并将其上传,最后借助系统将其播出,具有一定流程化特点,一旦忽视这一问题,将前后顺序颠倒,很有可能导致磁带信息与播出时长难以相符,这就会导致播出事故的发生。
因此,为了合理规避时长改变问题,第一步就需要将磁带信息调取出来,在实际操作中应当现将播出分钟进行提取,而后根据任务目标对其进行确认,将其与硬盘中存在的素材衔接在一起。再次点击节目编制列表,将修改的时间对其进行设置,在确定准确无误后退出这一界面就可以。这样不仅能够促使素材磁带的信息不被损毁,更能为素材的正常应用带来基础保障,这是因为一旦将素材硬性的移动到硬盘视频播放器中,在缺少关联素材的基础上,将节目播出时间进行修改,后续再对该信息进行提取时,内容总量就会随之改变。
3.2 随意修改完成上载素材的名字,内容提取存在误差
一般情况下,大多数延长播出的带子都不能对日期进行重新修改及确认,这就需要按照标准流程重新进行操作,在这一过程中会耗费较多的时间,其效果也往往难以达到预期标准。但是如果只是针对部分段落进行修改,却同样需要将整盒带子重新打码及上载,这将会导致一系列关联的要素都随之再次入库,这不仅导致交叉工作频繁出现,更要对之前的条目进行格式化,这样才能防止后续应用阶段对该类条目进行错误调取。实际上将完成的素材上载至视频服务器中,需要经过层层审查,只有确保其质量及规格达到预期标准,才能允许进入高清播出视频服务器中。而高清上载系统本身并不具?湫薷乃夭拿?称的功能,相应权限也明确了这一细节问题,只有这样才能确保已经通过审查的信息无法被更改。
规范安全播出的编单和上载操作流程
4.1 提升磁带信息入库和提取操作的规范性及有效性
从本质上来看,对节目单进行编辑本身就涵盖较多关联内容,因此,这就需要对各个项目及要素进行重点控制,促使其流程化内容更加完善,从而进一步提升系统安全运行指标。提升系统安全,约束编单员工作行为,促使其专业素质不断提升是首要前提,只有他们能够按照既定标准进行操作,才能将人为误差控制在最小范围内。编单的第一步就是将磁带检查妥当并收入库中,当高清磁带到编播手中时,应当对节目审签人员的资质进行重点衡量,在通过审查后,则应当对磁带属性及特点进行全面了解,根据高清类型选择与之对应的磁带,提升选项与磁带的整体契合度,这是因为上载录制系统能效作用的发挥会受到磁带的直接影响,只有磁带与系统达到标准一致,素材才能被成功录制。
4.2 规范急送带的处理
高标清卫视急送带节目各有一盒带播出,如果高标卫视同时有急送带来不及上载,则可在卫视标清改版播带的情况下,高清卫视编单系统作出相应的版面调整,可把该急送带播出的信号源,从高清硬盘信号HDM改为转标清卫视信号WSM,发送节目单到主播控系统,实现高清不播带转标清播出。可把高清急送带先完成上载,标清带播完再上载,因为高清上载好的素材是用三倍速完成迁移的,先保障高清频道的重播。这样就能确保高标清安全播出,避免人工手动切标清卫视造成延迟和静帧在上一硬盘节目结束帧的可能。
结论
在信息化趋势不断蔓延的当今社会,优化高清播控系统具有重要意义,这就需要以实际需求为基准,衡量系统中各个涵盖因素,促使其关联性不断强化,从而进一步提升系统运行能效,提高安全播出质量,为高清播控系统的不断发展夯实基础。
参考文献
[1]袁长建.广播播控系统安全播出电子培训教材设计[J].视听界(广播电视技术),2014(4).[2]谭峰.大连广播电视台电视播控系统安全播出设计[J].电视技术,2017,41(2):88-92.[3]陈枫.广播电台播控系统安全播出设计方案和应急故障处理方法[J].科技传播,2016,8(7):54,73.
第三篇:系统架构设计典型案例
系统架构典型案例
一、共享平台逻辑架构
如上图所示为本次共享资源平台逻辑架构图,上图整体展现说明包括以下几个方面: 1 应用系统建设
本次项目的一项重点就是实现原有应用系统的全面升级以及新的应用系统的开发,从而建立行业的全面的应用系统架构群。整体应用系统通过SOA面向服务管理架构模式实现应用组件的有效整合,完成应用系统的统一化管理与维护。应用资源采集
整体应用系统资源统一分为两类,具体包括结构化资源和非机构化资源。本次项目就要实现对这两类资源的有效采集和管理。对于非结构化资源,我们将通过相应的资源采集工具完成数据的统一管理与维护。对于结构化资源,我们将通过全面的接口管理体系进行相应资源采集模板的搭建,采集后的数据经过有效的资源审核和分析处理后进入到数据交换平台进行有效管理。数据分析与展现
采集完成的数据将通过有效的资源分析管理机制实现资源的有效管理与展现,具体包括了对资源的查询、分析、统计、汇总、报表、预测、决策等功能模块的搭建。数据的应用 最终数据将通过内外网门户对外进行发布,相关人员包括局内各个部门人员、区各委办局、用人单位以及广大公众将可以通过不同的权限登录不同门户进行相关资源的查询,从而有效提升了我局整体应用服务质量。
综上,我们对本次项目整体逻辑架构进行了有效的构建,下面我们将从技术角度对相关架构进行描述。
二、一般性技术架构设计案例
如上图对本次项目整体技术架构进行了设计,从上图我们可以看出,本次项目整体建设内容应当包含了相关体系架构的搭建、应用功能完善可开发、应用资源全面共享与管理。下面我们将分别进行说明。
三、整体架构设计案例
上述两节,我们对共享平台整体逻辑架构以及项目搭建整体技术架构进行了分别的设计说明,通过上述设计,我们对整体项目的架构图进行了归纳如下:
综上,我们对整体应用系统架构图进行了设计,下面我们将分别进行说明。
1.应用层级说明
整体应用系统架构设计分为五个基础层级,通过有效的层级结构的划分可以全面展现整体应用系统的设计思路。
基础层
基础层建设是项目搭建的基础保障,具体内容包含了网络系统的建设、机房建设、多媒体设备建设、存储设备建设以及安全设备建设等,通过全面的基础设置的搭建,为整体应用系统的全面建设良好的基础。
应用数据层
应用数据层是整体项目的数据资源的保障,本次项目建设要求实现全面的资源共享平台的搭建,所以对于应用数据层的有效设计规划对于本次项目的建设有着非常重要的作用。
从整体结构上划分,我们将本次项目建设数据资源分为基础的结构型资源和非结构型资源,对于非结构型资源我们将通过基础内容管理平台进行有效的管理维护,从而供用户有效的查询浏览;对于结构型数据,我们进行了有效的分类,具体包括政务公开资源库、办公资源库、业务经办资源库、分析决策资源库、内部管理资源库以及公共服务资源库。通过对资源库的有效分类,建立完善的元数据管理规范,从而更加合理有效的实现资源的共享机制。
应用支撑层
应用支撑层是整体应用系统建设的基础保障,根据本次招标文件相关需求,我们进行了相关面向服务体系架构的设计,通过统一的企业级总线服务实现相关引用组件包括工作流、表单、统一管理、资源共享等应用组件进行有效的整合和管理,各个应用系统的建设可以右下基于基础支撑组件的应用,快速搭建相关功能模块。
由此可见,应用支撑层的建设是整体架构设计的核心部分,其关系到本次项目的顺利搭建以及今后区劳动局信息化的发展。
应用管理层
在3.3.3图中的设计中,应用管理层有效的承接了我局原有应用系统分类标准,将实际应用系统分成了八个应用体系,在实际应用系统的建设中,我们将全面传承原有应用分类标准规范的基础上实现有效的多维的应用资源分类方法,不仅如此,整体应用系统也可以通过多维的管理模式进行相关操作管理,如按照业务将应用系统进行划分,包括劳动管理和保险管理等。
应用管理层是实际应用系统的建设层,通过应用支撑层相关整合机制的建立,我们将实现应用管理层相关应用系统的有效整合,通过统一化的管理体系,全面提升我局应用系统管理效率,提升服务质量。
展现层 整体应用功能将通过门户方式进行展现,架构分别设计了内网门户和外网门户,不同的应用人员通过登录可以实现相关系统的应用和资源的浏览查询操作。
2.标准体系规范说明
大型的应用工程项目的建设必须遵照严格的标准体系建设规范,根据本次项目实际需求,我们通过三个规范体系对项目进行合理的保障,具体包括了安全标准管理系统、标准规范体系以及运行管理体系。
通过相关标准的制定、安全架构的保障以及管理规范的建设可以保障整体应用系统的设计、搭建、运维等全流程性工作。
3.应用用户设计
通过分析,我们将整体应用系统面向人群分为四类,具体包括广大公众、区内委办局、局内相关部门以及用人单位,不同对象通过访问不同门户可以进行全面的服务保障。
4.系统建设总结
在3.3.3图中对本次项目整体应用系统建设需求同样也进行了归纳,项目整体分为三个主体建设,即:共享信息平台的搭建、原有应用系统的改造以及新的应用系统的搭建。
共享信息平台的建设旨在全面整合相关应用系统资源,实现有效的浏览、查询检索机制,整体数据通过规范化的元数据管理机制,实现有效的梳理存储,为今后资源的整合奠定基础。不仅如此,在实际项目建设中还将引入商业智能应用模块,实现对共享资源的智能化分析,从而为决策预警等提供有力依据。
原有业务系统改造则是实现原有应用系统相关流程等的优化配置,并通过有效的数据梳理改造为信息资源的共享奠定良好的基础。本次项目中需要改造系统包括:政务公开系统、办公自动化系统、公众服务系统以及综合管理系统。
新的业务系统的建设则是要全面提升现阶段我局整体办公效率,继续加强信息化建设,通过更加全面合理的应用系统的建设,提升我局整体服务水平。本次项目需要建设系统包括:业务经办系统、社会保险系统、土地储备系统、企业监督系统、劳动监察系统、劳动关系与仲裁系统、就业和失业管理系统以及综合管理系统。5.应用接口管理
本次项目建设还涉及到整体应用系统与外部相关系统接口的管理,实际应用接口包括与税务接口、与财政部门接口、与民政部门接口、与基层单位接口与公安部门接口以及与其他部门的接口。
通过有效的接口管理机制,实现资源的互联互通,从而更加有效的提升我局无纸化办公机制,全面加强我局整体工作效率。
四、系统整体逻辑架构案例
规划一个成熟先进的XX市卫生人才交流服务中心网站平台系统框架是一切技术工作的先决条件,是奠定系统性能的基础,是至关重要的。
因此,本项目建设应首先考虑设计和建立一个统一的XX市卫生人才交流服务中心门户网站系统技术体系,能够支持政府信息资源的整合、管理及门户网站群的建设,提供统一的内容管理、资源整合、安全管理构架,并提供对应用服务的统一调度和管理,同时,系统体系结构应分层组织,系统功能模块化,系统集成松耦合,方便业务应用的修改、重用和部署,满足系统未来弹性扩展的要求。
系统逻辑框架如下图所示。
整体系统包括三个体系一个平台进行全面保障,其中三个体系包括: 运行管理体系; 标准规范体系; 安全保障体系;
具体平台根据新闻局实际需求建设网站群支撑管理平台,平台保障了相关招标文件中的采集管理、内容管理、统计管理、安全管理等功能需求,对于整体应用平台的支撑则通过中科软多年门户建设经验总结完成的相关应用组件包括工作流管理、元数据管理、电子表单等进行保障。
1.各主要组成部分概要描述
数据层
对结构化数据和非结构化数据进行调度和存储。结构化数据包括:XML 和DBMS。非结构化数据包括:文本文件、音视频文件、office 系列文件、图形图像文件及ZIP、PDF、SWF等其他格式文件等,在数据接口上支持WebService 模块化组件。
支撑层
支撑层通过应用服务器,提供对系统应用层强大的支持,包括:电子表单、工作流、元数据管理、安全审计等功能。并通过WEBSERVICE接口服务支持外部资源对内容管理基础数据以及内容管理对外部数据资源的应用数据集成。
应用层
应用层是政府门户网站群非常重要的组成部分,是对信息处理的重要环节,按功能的不同可以分为:信息发布管理、网站群管理、系统管理、外挂组件管理、交互功能、多媒体信息管理、内容聚合:RSS等。
展现层
政府门户网站群的最终表现是一组具有相同标准和相同规范体系的网站群体系。它涵盖主站、各级子网站、各类专题子网站等,同时系统为应用层的不同应用提供信息资源的不同表现形式,包括有Web、RSS等。
接入层
实现客户通过浏览器来访问表现层以获取信息资源。
五、系统技术架构案例
系统技术架构框架如图所示。
六、总体架构设计案例
应用支撑平台ETL工具统一应用支撑环境外汇局应用支撑平台门户BI展现、发布BI展现、发布 外汇局用户决策支持系统核查“一站式”网上服务平台ASL规则引擎内容管理统计分析系统国际收支网上申报系统数据仓库ETL工具ETL工具接口国际收支共享数据库申报、审核 申报主体(银行、企业、个人)数据整合与信息共享环境数据整合与交换系统总局整合库镜像网上申报数据库数据传输通道WebService 接入HTTP接入应用客户端接入DB AgentWebService 接入HTTP接入应用客户端接入国际收支统计监测系统(银行端)导入银行业务系统分支局汇总数据现有业务系统/业务数据金宏门户网站金宏信息共享平台应用接口信息资源目录共享平台存储系统 共建部委用户银行业务人员 应用系统总体架构图
如上图所示,本项目将采用数据与应用大集中的架构,即国际收支平衡管理管理信息系统只部署在国家外汇管理局,相关数据也集中存储在总局的国际收支平衡整合库中。整个系统采用B/S的结构,在进行数据清洗、转换,即ETL的时候会采用C/S结构,整个架构主要包括如下内容:
1、构建应用支撑平台,提供统一的人员、组织机构和权限管理,提供支持各种复杂业务系统的开发和组装框架,实现单点登录和目录服务,并提供对应用系统的运行监控,数据的备份恢复等功能。
国际收支平衡管理信息系统的各个子系统以及外汇局应用支撑平台门户都是基于应用支撑平台开发、组装和运行的。
2、数据整合与交换系统是整个国际收支平衡管理信息系统的基础,负责将从外汇局内部(主要是现有的业务系统或者业务数据)和外汇局外部(主要是共建部委的共享数据)的相关外汇数据采集、清洗、转换,并通过数据传输通道汇总至统一的国际收支信息的整合数据库中。
各分支局数据通过数据传输通道上传到国家外汇管理局,由数据整合和交换系统接收并处理数据,最终也汇总至总局的整合数据库中。
数据交换将以成熟、稳定的第三方产品为基础进行设计和开发。
3、开发新版国际收支网上申报系统,实现涉外收入申报业务网上受理,方便企业申报业务;建立与银行系统的接口,满足与银行的数据交换;方便银行的查询和审核操作。
网上申报数据将统一存储至网上申报数据库,并通过数据整合与交换系统与国际收支统计监测系统进行数据集成,同时申报数据最终汇总至总局的整合数据库中。
网上申报系统将与外汇局的“一站式”网上服务平台集成,申报主体和银行将通过服务平台登录系统,进行申报、审核、查询统计等操作。
外汇局人员也可通过服务平台或者外汇局的应用支撑平台门户登录系统,进行对申报数据的核查、查询统计操作。
4、在数据整合与交换系统上建设统计分析系统,根据基础指标和统计分析指标将整合数据库中的信息动态生成各类统计分析报表(如国际收支平衡表、国际投资头寸表、结售汇统计报表等)。
统计分析系统将利用数据仓库和多维联机在线分析技术,在对国际收支平衡状况的需求分析的基础上,提供面向主题的多种分析模型和分析方法,从多个角度分析国际收支平衡的状况和存在问题。统计分析结果将存储至外汇局数据仓库系统,为决策支持系统提供数据支撑,并可以通过BI工具在外汇局应用支撑平台门户进行展现。此外,统计报表信息通过数据整合与交换平台与金宏工程其他共建部委进行“共享”。
5、在统计分析系统和总局数据仓库的基础上建设决策支持系统,通过基础指标,统计分析指标和统计分析系统产生的结果,借助OLAP分析模型工具,产生决策支持信息和预警信息,进行经济分析和预警,辅助外汇管理政策的制定。
各类统计分析模型、预警模型将统一存放到“模型库”中,方便分析人员使用。此外还提供一套机制建设“知识库”,存储有关外汇管理的各类信息。
(2)-(4)这几个系统在支撑平台的数据整合与交换基础上提供统一的数据交换接口,同时支持以XML作为统一的数据接口格式。
6、建设外汇局应用支撑平台门户,通过门户对所有的系统进行统一管理,并且将统计分析、决策支持的结果和其他应用软件的功能模块通过信息集成门户提供给外汇局的领导、业务人员使用。
外汇局应用支撑平台门户就是建设在应用支撑平台门户基础上。
7、国际收支平衡管理系统与金宏共享平台、国际收支平衡共享数据库物理隔离,国际收支平衡管理系统中的数据通过涉密网和业务网之间的数据交换系统交换到金宏内网上的国际收支平衡共享数据库中,向共建部委提供数据服务。从共建部委获得的数据也通过涉密网和业务网交换系统,进入数据整合与交换系统中。
七、系统架构案例一
“一站式”信息服务门户统计查询跨境资金流入查询跨境资金流出查询单位基本情况表查银行基本情况表查审核信息查询询询结果打印访问企业用户跨境资金流出入统单位基本情况表统银行基本情况表跨境资金流入统计跨境资金流出统计到款信息统计计计统计 申报主体管理申报单位密码自动生成申报单位信息查询申报单位账户信息管理申报单位账户标记停用银行自身信息变更涉外收入申报涉外收入申报状态查询/修改涉外收入申报信息的录入/修改涉外收入到款信息状态的查询涉外收入到款信息的修改/删除数据管理申报数据下发数据接口银行用户涉外收入申跨境资金报单流入/流出申报数据下企业基本资发料审核数据上审核信息表传数据交换审核信息导入数据导入/导出国际收支统计银行监测系业务统(银系统行版)应用支撑平台国际收支网上申报系统技术架构图
企业用户可以通过“一站式”信息服务门户访问国际收支网上申报系统,完成涉外收支业务的申报,申报信息由数据管理模块通过特定的数据接口交换到银行业务系统,在银行业务系统进行审核。审核过后的结果信息再经过数据管理模块交换到网上申报系统供企业用户查询。
企业用户需要在银行业务系统完成账户开户,定时由银行业务系统交换到网上申报系统供企业用户登录。
八、系统架构案例二
外汇局应用支撑平台门户数据模型国际收支模型共(11个)国际投资模型共(3个)外债模型共(2个)经常项目分析净头寸分析债务类型分析经常项目占比分析国际投资资产分析服务项目分析债务人分析国际投资负债分析收益项目分析结售汇模型共(6个)银行结售汇项目分析利率与汇率相关分析汇率与物价相关分析功能层分析方法对外净头债务外汇依存寸分人分储备度分析析分析析国际收支平衡表编制工具报表定制国际结售外债投资汇统简报头寸计表表表数据模型管理数据模型定义分析方法定义模型参数定义模型管理统计分析指标国际投资头寸指标共(201个)国际收支指标共(28个)结售汇指标共(93个)外债指标共(42个)应用支撑平台R1 FrameworkR1 DataExchangeDB国际收支平衡表数据库国际投资头寸表数据库外债余额简表数据库银行结售汇表数据库Cognos Olap Server/BICube
统计分析系统技术架构图
1、统计分析系统的数据来源于数据仓库,通过条件查询模块从数据仓库得到满足用户的基础数据,由数据统计模块来对这部分基础数据进行汇总统计;
2、汇总统计的数据根据外汇局用户的需要可以由报表定制模块利用原有的报表工具实现对国际收支平衡表、国际投资头寸表、结售汇统计报表、外债余额简表的设计以及利用Cognos的BI工具完成展现以及经过OLAP分析转化成多维数据;
3、针对预先设计好的数据模型以及辅助模型管理模块来产生分析结果,供外汇局用户制定决策。
九、系统架构案例三
外汇局应用支撑平台门户综合分析功能层知识库管理知识分类管理知识查询知识维护常用知识模型经济分析政策模拟经济预测预警模型库(预警检测)监测预警指标结售汇率汇特相关点原性分因分析析进出口差增幅额变聚类化分分析析汇率变动率外汇储备变化率出口增长率分析结果管理分析结果维护分析结果查询分析结果保存分析结果导出ASL规则模型经常项目资本和金融双边清算应用支撑平台DBASL规则引擎R1 DataExchange专有算法工具R1 FrameworkCognos Olap Server/BI基础数据宏观经济数据指标数据CubeCubeCubeCubeCube决策信息库
决策支持系统技术架构图
1、决策支持系统利用从数据仓库获得的基础数据完成报表和查询,生成日、月、季报表供外汇局用户查询浏览;
2、通过ASL规则引擎对基础数据进行分析,以风险模型为依据生成分析报告;
3、利用数据挖掘模型对基础数据进行处理得到模型数据,与ASL分析信息共同生成分析报告,供外汇局用户来进行营运监管的管理;
4、“知识库”的信息同时也提供给营运监管模块来进行运作。
十、总体架构案例
国资委国有资产监督管理系统总体架构图 国资委国有资产监督管理系统的总体框架主要包含六个层次,即基础平台层、数据资源管理层、应用支撑层、业务实现层、门户展现层、终端接入层。
1.基础平台层:国资委IT基础平台主要包括网络系统、主机、存储系统、安全系统、配套的软件等。网络系统分为业务内网、业务外网和互联网。业务内网与业务外网物理隔离,互联网与业务外网通过防火墙配置实现逻辑隔离。
2.数据资源管理层:数据资源管理层主要由数据库组成,其中结构化数据库主要包括管人、管事、管资产、纪检监督业务数据库、共享数据库、基础数据库、原有系统数据库及其它信息资源库等。非结构数据库主要是由一些文件型的数据构成。信息资源库主要是应用系统的数据库,它是业务应用信息系统的组成部分和数据中心的基础。
3.应用支撑层:应用支撑层主要包括应用开发平台(基础数据管理、报表管理、工作流管理、表单工具、门户引擎、规则引擎、工作流引擎、用户权限管理、目录服务、内容管理、接口管理、预警平台)和中间件(应用服务器、消息中间件、WEB服务器)。通过建设应用支撑平台,实现界面集成、应用集成、数据集成及流程集成,通过四个集成来达到国资委所有系统的集成效果。
4.业务实现层:主要包括四大核心业务应用系统和数据中心。国资监管应用系统主要包括企业国有资产产权登记子系统、上市公司国有股权监督管理子系统、企业国有产权交易监督管理子系统、企业财务状况监督子系统设计、中央企业财务绩效评价子系统、中央企业财务预决算管理子系统、企业国有资产统计评价子系统、企业财务信息查询分析子系统、中央企业人员管理子系统、中央企业业绩考核子系统、中央企业重大投资管理子系统、中央企业经济运行监督子系统、纪检监察管理子系统等。
国有资产数据中心:主要包括元数据注册器、信息资源数据库、信息资源目录体系、信息资源交换体系等。国有资产信息资源库是数据中心的基础,为国资委业务监管提供数据支持,包括企业基本信息数据、企业绩效评价数据、企业人员管理数据、企业财务数据、国有产权数据、资产统计数据、企业重组与规划投资数据、纪检监察数据、政策法规文献数据和其他业务数据十大类。作为统一信息资源平台,国有资产信息资源库对国资委各类共享数据提供统一的存储和管理,是国资委委内各厅局之间以及与其它政府机关之间进行数据交换和共享的基础平台,为各类业务的开展提供完整、统一和准确的数据支持。
5.门户展现层:门户展现层主要由国资委数据采集门户构成、互联网门户、业务内网门户、业务外网门户组成。
6.终端接入层:中央企业、地方国资委、上市企业(含国有股)、其它部门及公众通过统一的身份认证、权限管理登录数据采集门户、国资委业务外网门户、国资委互联网,并实现统一的入口、出口和单点登录。
其中,中央企业、地方国资委、上市企业(含国有股)通过在线填报或离线填报(利用数据采集终端)的方式在数据采集门户上进行数据填报,数据采集门户及业务外网与内网物理隔离,通过应用支撑平台提供的数据交换组件实现内、外网的数据传输和交换。其它部门(包括金宏工程相关部门)也是通过应用支撑平台提供的数据交换组件实现内、外网的数据传输和交换。社会公众登录国资委互联网网站进行国资监管信息查询和交互。
除此之外,贯穿着六个层次的还有国资委信息安全保障体系、项目实施与运维管理,和相关的标准体系和管理规范。
十一、系统逻辑结构案例
国资监管信息系统主要作用体现为国资监管业务服务。一期工程建设6大应用系统,形成10个信息资源库。其总体逻辑结构图如下:
图5-1总体逻辑结构图
通过四大业务系统(共计13个子系统)覆盖国资委管资产、管人、管事、资产监督的四大业务。
其业务核心就是实现国有经济布局以及国有资产的增值保值。
实现国有经济布局,具体是通过产权登记系统,掌握所有国有股权的分布情况。通过上市公司国有股权交易监督和其他企业国有股权交易监督系统,对国有股权的交易进行监控,随时了解国有经济的布局情况,并加以控制。通过资产统计、企业财务监督、中央企业预决算管理,等3个系统,全面获得企业的实际财务资产情况。
另外通过中央企业经济运行管理系统,掌握中央企业的经济运行情况以及行业经济运行分析,从而对中央企业重大投资进行管理和监控,确保了解国有经济布局的运行情况和进行调整。
实现国有资产的增值保值,具体措施是通过管人来实现,通过中央企业人员管理系统,后备、任命、管理企业管理者。通过企业绩效考核系统来评价、更换人员,来实现国有资产的增值保值。但不是简单的通过管人来实现国有资产增值保值,任命、考核,需要从资产管理、资产监督、企业运行情况等三个方面不断地获取信息,对管理者进行监督和引导,即使发现问题,确保国有资产的增值保值。
通过13个业务应用系统覆盖四大业务职能,为解决目前监管业务中信息采集的问题、信息沟通的问题,需要建设13个业务应用系统统一的数据采集系统、信息发布系统。
针对13个业务应用,形成了10大国有资产信息资源库,包括监管企业方面获得的6种信息:
企业基本信息 企业产权信息 企业财务信息 企业人员信息
企业重组与规划投资信息 其他业务信息
以及国资委监管产生的4种信息: 政策法规信息 国有资产统计信息 企业业绩考核信息
纪检监察信息
十二、系统体系结构案例
本项目总体技术框架建立要遵循“整合资源,信息共享”、“统一架构,业务协同”的原则,应用系统采用多层架构,以信息资源库和公共服务为基础进行开发,实现资源和服务的共享,实现业务层和展现层的分离。总体技术框架如下图所示:
图5-2 国资委国有资产监督管理系统总体技术框架
总体框架主要包含六个层次:
国资委IT基础设施:主要包括网络、服务器、存储系统、配套的系统软件、数据库和机房等。网络系统为内、外网物理隔离的双网结构。IT基础设施是国资委国有资产监督管理系统的基础平台。
国有资产数据中心:主要包括元数据注册器、信息资源数据库、信息资源目录体系、信息资源交换体系等。国有资产信息资源库是数据中心的基础,为国资委业务监管提供数据支持,包括企业基本信息数据、企业绩效评价数据、企业人员管理数据、企业财务数据、国有产权数据、资产统计数据、企业重组与规划投资数据、纪检监察数据、政策法规文献数据和其他业务数据十大类。作为统一信息资源平台,国有资产信息资源库对国资委各类共享数据提供统一的存储和管理,是国资委委内各厅局之间以及与其它政府机关之间进行数据交换和共享的基础平台,为各类业务的开展提供完整、统一和准确的数据支持。
国资委应用系统支撑平台:主要包括由表单工具、系统集成组件、内容管理工具、工作流组件、消息交换工具、应用中间件、统一用户管理和其他组件工具构成的应用支撑平台,从整合、协同、管理和服务四个方面对业务系统的开发、部署和运行进行支持。
国有资产监督管理业务应用信息系统:主要包括搭建在应用支撑平台上的基础应用组件、通过基础应用组件组合成的企业国有资产产权登记子系统、上市公司国有股权监督管理子系统、企业国有产权交易监督管理子系统、企业财务状况监督子系统设计、中央企业财务绩效评价子系统、中央企业财务预决算管理子系统、企业国有资产统计评价子系统、企业财务信息查询分析子系统、中央企业人员管理子系统、中央企业业绩考核子系统、中央企业重大投资管理子系统、中央企业经济运行监督子系统、纪检监察管理子系统。
应用数据库:主要是应用系统的数据库,是业务应用信息系统的组成部分。国资委信息发布系统:主要包括国资委内网消息发布、外网消息发布和互联网消息发布。
除此之外,贯穿着六个层次的还有国资委信息安全保障体系、技术支持与运行维护体系。同时,国资委信息化相关的标准、规范、政策、法规也将在“国有资产监督管理系统”项目建设中必须加以重视,并积极推进。
第四篇:广播电视安全播出管理体系研究论文
摘要:电视节目作为广播电视台的主要内容,各大电视台为了增加收视率不断的推出新兴的节目类型,电视台之间的竞争日益加剧,如何构建广播电视安全播出的管理体系,确保各个电视台的节目顺利的播出,监管节目质量提升观众的观看感受,是各大电视台迫切关注的焦点。本文从广播电视安全播出管理体系中存在的问题,提出构建广播电视全出播出的管理体系有效建议与措施。
关键词:广播电视安全;管理体系;构建
电视台中的每一类电视节目、电视剧集、电视新闻以及电视广告,都需要从最基本素材收集、加工制作,到最后的发行播出等诸多环节。保障电视节目制作中每一步的环节顺利的进行,才能让电视节目最终在电视台中播出。由于我国现今的广播电视安全播出管理体系还没有完全的健全,使得电视节目制作过程中问题层出不穷,影响了电视节目的最终质量。通过将电视节目制作过程中出现的一系列问题进行总结,制定出相应的广播电视安全播出管理体系,确保电视节目的顺利制作,提升观众的观影体验度。
1.广播电视安全播出管理体系中存在的问题
根据现有的各大电视台电视节目制作过程中出现的问题,总结出这些问题在广播电视安全播出管理体系中相应的问题如下:
1.1广播电视安全播出技术还不完善
一档电视节目制作不仅仅需要影像、音频、字体等软件的应用,还需要相应的网络技术、信息技术等技术的支持。由于陷阱的广播电视安全播出技术尚未成熟技术仍处于开发阶段,这就使得电视节目的制作质量受到了阻碍。例如:电视节目制作水平与电视台安全播出技术的信号型号不相符合,无法完成音频、影像的完整转化,电视节目播出质量严重下降。节目质量与播出质量严重不符,导致了节目播出时的每一个环节之间不能有效的衔接,导致电视节目真是播出时的质量严重下降。
1.2广播电视安全播出管理制度不健全
我国的广播电视总局应对各个电视台制作节目与播出节目不同出台了一些的安全播出管理体系,在很大程度上确保了各大电视的电视制作与播出可以顺利的进行。但是其中也不乏出现没有效果的管理制度,某项制度无法起到实际效应,这将会严重影响广播电视安全管理体系的健全。同时,电视节目制作过程当中,需要涉及的部门十分的广泛,而这些部门通常都比较独立,不与其他部门进行互动联合,而且各部门的工作并没有进行详细的界定,者就导致在工作过程中互相推卸责任的情况,让节目制作过程中出现的问题不能有效的解决,影响节目制作进程与质量。另一方面,广播电视安全播出管理制度不能健全,也将影响到其他广播电视管理制度,造成恶性循环使得广播电视安全播出管理制度完善困难重重。
1.3广播电视安全播出管理工作人员素质有待提高
广播电视台作为一个地区、一个群体的电视形象,其投资巨大、影响深远等特殊的特点,也使得其管理工作人员必须具备较高的道德素养水平。只有管理人员的道德素养极高,才能确保电视节目的有序的制作与播出。但是如今电台中依然存在一些以个人利益为目标的工作人员,不能规范合理的进行管理工作,这就导致电视节目制作速度缓慢,质量下降,阻碍了广播电视安全播出管理体系的健全。
1.4广播电视安全播出管理中的审查制度有待提高
各大电视的节目的发行与播出都需要在广电总局进行审查,是电视节目播出的最后一道质量审核。但是一些地区存在,不守规矩的现象走后门、赛红包等等,使得广播电视台的声誉受损。
2.广播电视安全播出管理体系构建的建议
针对前文出现的种种问题,为构建广播电视安全播出管理体系提出以下几点建议:
2.1健全广播电视安全播出的管理制度
在健全广播电视安全播出管理机制的过程当中,需要建立完善的管理部门。让该部门的监管功能贯穿与节目制作的过程与播出当中。安排相应的专业人员对节目制作的每一关节进行分工指导工作,提高节目制作的水平与速度。另一个方面需要构建追责制度,在节目制作与播出过程中出现问题需要追究一定的责任,使制度可以具有实效的实施。
2.2加强管理工作人员的素质水平
广播电视安全播出管理体系中,管理工作人员的道德素质水平是健全管理体系的关键。只有工作人员具备相应的道德素质水平,认识广播电视安全播出管理的重要性,才能将使管理工作有效的展开。这一过程当中需要将工作人员的观念从工作者转变为电视制作人,让其认识自己的职能,体现自己的职能,通过参加多次培训为电视台提供创新人才。
2.3提升节目审查制度
作为电视节目播出的最后一道质量把关阶段,在审查的过程当中对滥制节目毫不留情的剔除,保证每一部电视剧作品对于观众思想有着积极向上的激发作用。例如:最近泛滥的抗日剧,不能因为是抗日爱国题材就对其采用放宽的审查制度,而是更加严格。
3.总结
一档优秀的电视节目的播出,需要先进的技术、优秀工作人员的同时,还需要广播电视安全管理体系的监管,确保电视节目的质量,提升观众的观影体验。
参考文献:
[1]卢晓健,何向晖.只有起点,没有终点——江西广播电视台做好安全播出经验谈[J].电视技术,2013,37(6):34-35,37.[2]王利.广播电视安全播出保障措施探讨[J].电视技术,2013,37(6):51-52,62.[3]王亚男,李晓鸣,郭沛宇等.广播电视安全播出管理考核评价体系概述[J].广播与电视技术,2013,40(3):135-140.[4]李海平.我国广播电视安全播出管理问题探讨[J].数字通信世界,2016,(1):343-343,347.
第五篇:基于IPv6网络安全的管理系统设计论文
0引言
当前信息技术快速发展,网络恶意攻击行为更为频繁,攻击形式也日趋多样化,如病毒、木马、蠕虫等,网络安全问题更加突出,互联网正面临着新的安全形势。实践证明,实时分析并检测网络流是加强网络安全的有效方法。入侵检测系统(IDS)正是在这个背景下应运而生的。其可以对网络环境状况进行积极主动、实时动态的检测,作为一种新型网络安全防范技术,在保障网络安全方面发挥着重要的作用。入侵检测系统主要通过判断网络系统中关键点是否正常运转以实现对网络环境的检测,其不但能够有效地打击网络攻击,还能够保证信息安全基础结构完整,实施保护互联网的安全。目前网络安全机制正在从IPV4向IPV6过渡,网络的安全性也在不断增强,深入分析IPV6安全机制具有重要意义。
1IPv4向IPv6过渡中存在的问题
IPv6安全机制是IPv4安全机制的强化,与IPv4相比,IPv6安全机制的网络结构更为复杂,应用范围更为广阔,但是IPv4向IPv6的过渡不是一蹴而就的,在这个过渡过程中会出现一些严重的问题,这就要求我们必须充分认识IPv4向IPv6过渡中的问题,尽量减小对网络安全的不良影响。
1.1翻译过渡技术
采用翻译过渡技术,必须关注翻译对数据包传输终端的破坏情况与网络层安全技术不匹配这两个问题。保护网络正常数据传送是网络层安全协议的主要职能,网络层协议中的地址翻译技术主要用于变更传送数据的协议与地址,这就容易使网络层协仪的地址翻译与网络安全协议出现冲突,使网络环境的安全面临威胁。
1.2隧道过渡技术
隧道过渡技术并不重视网络安全,其自身特点也使网络易遭受攻击,安装安全设备的网络应用隧道技术后,会影响原有的安全设备运作,并且在数据经过隧道时,隧道也不会检查数据,这就给恶意的数据提供了进入正常网络的机会,严重威胁网络安全。
1.3双栈过渡技术
双栈过渡技术是网络层协议的一种,两个网络层协议在一台主机上同时运行是其特点。但是同时运行的两个网络层协议在技术上并无联系,而且容易出现运作不协调的问题,导致网络安全存在漏洞,易被攻击者利用。但是与翻译过渡技术和隧道过渡技术比较,双栈过渡技术的安全性能要优于上边的两种技术,网络安全性相对较高,有其自身优势。
2IPv6的特点
IPv6是一种新型互联网协议,是IPv4互联网协议的革新。IPv6可以有效解决IPv4中存在的漏洞与缺陷,其改进方面主要体现在地址空间、IPSec协议、数据报头结构、服务质量(QoS)方面。其中数据报头结构和IPSec协议是影响入侵检测系统的主要方面。
2.1数据报头结构的更新
与IPv4数据报头结构相比,IPv6简化了IPv4的数据报头结构,IPv6的40节数据报头结构极大的提高了数据处理效率。此外,IPv6还增加了选项报头、分段报头、认证报头等多个扩展报头,入侵检测系统必须首先解析IPv6报头才能进行协议分析。
2.2IPSec协议
与IPv4相比,IPv6中还应用了IPSec协议,其可以有效实现网络层端到端的安全服务,并且IPSec协议中的两个安全封装载荷和认证头协议可以自由组合。IPSec协议实质上是对IPv6传输数据包的加密,这有利于提高数据传输过程的安全性,但是由于其对IPv6的报头也进行封装,入侵检测系统在进行检测时必须了解IPv6报头的源地址和目的地址,否则难以进行检测行为,这严重影响了入侵检测系统的正常运行。
3IPv4、IPv6入侵检测技术特点
以往技术多采用模式匹配技术,针对数据包和攻击数据库进行匹配对应是该模式的典型特点,这种模式特点是以数据库对应的情况来依次判断是否存在网络攻击。而现在,检测系统入侵的技术手段为BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定义为识别并处理那些以IPv6网络协议恶意使用网络资源的攻击者的技术,为IPv6入侵检测技术。IPv6与IPv4有很大的区别,两者在程序上不兼容,因此在这种情况下入侵技术的检测变得问题繁多。首先,两种协议在数据报头上变动明显,以往在IPv4上能用的检测产品在IPv6上无法直接使用。在使用IPv4协议的情况下,TCP头部紧紧连接着IP头部,不仅如此,他们的长度还是确定不变的。这样的连接模式和设置使得检测工作的开展变得更加简便。然而,另一种协议方式即IPv6却与此有很大的不同,它的这两个头部并不紧接,长度也不固定,在其中间还往往会有别的扩展头部等。经常见到的有路由选项头部等。尽管该协议下,数据包对应显得很复杂,若是防火墙没有完全读懂数据包则会发生不能过滤的情况,这在某些时候使得入侵的检测工作变得更加复杂。科研攻关人员目前已经针对IPv6协议下的接口函数做出了相应的科学的新改动。其次,在进行端到端的传输工作时,若为IPv6则IDS会由于无法解密而直接导致解读不了数据,此时的IDS不能有效的继续工作。虽然采取IDS数据包解密能够较为有效的解决这一问题,但这种解密情况下的安全又成了新的问题,对其是否可靠,时间会给予准确的答案。
3.1双栈入侵检测系统的实现
IPv6协议解码功能是实现双栈入侵检测的关键性因素。协议解码分析通常分为第二层、第三层。第二层主要是以太网,然而第三层的则大为不同,它不仅包含IPv4包类型,还同时兼有IPv6包类型,甚至还具有隧道方式。协议解码在数据结构、属性的基础上,注重数据包对号入座,一一对应。IPv6协议解码功能如图1所示。进行协议解码的首要步骤是抓包并解包,并且在解包时完善对应信息包。分析各个模块,以此判断是何种包,区分数据包是属于IPv4还是属于IPv6是至关重要的。在此之后,存档以太网的源地址和目的地址,并在接下来的工作中进行下一层解析,在第三层数据解析时包头结构是着重分析的对象。
3.2在IPv6环境中的NIDS模块设计
数据采集、分析,然后是结果输出,这三个方面组成了整个NIDS系统。对科学要求的CIDF规范完全符合。这个系统由数据包捕获的各种模块结合而成。
3.3NIDS模块功能
(1)数据包捕获模块数据包捕获模块在整个系统中居于关键地位,它是系统的基础,也是其重要组成部分。该模块的具体作用在于从以太网上获取数据包,根据实际情况和不同的系统,有相对性的捕获,相比之下,捕获方式会根据具体情况而有所不同。(2)协议解析模块协议解析是该模块的核心作用,该模块对数据层层分析最终得到解析目的,在此基础上分析是否有入侵情况以便进行制止防御。(3)规则处理模块提前制定的入侵规则存入库中,它的多少直接影响着整个入侵系统的性能。规则设置的越多越完善,对于入侵行为的检测就越精准。(4)分析检测模块查证是否有入侵行为发生是该模块儿的重要作用,该模块和规则库若匹配成功则证明系统正在遭受入侵。(5)存储模块存储信息和数据包是该模块的具体功能。有效储存信息对于系统对入侵行为的分析具有极强的帮助作用,储存的数据可供事后分析等。(6)响应模块响应模块是入侵行为的响应处理,它的响应能使防火墙及时对入侵行为进行制止和防御,是系统防御不可或缺的盾牌。
引用:
[1]邓生君,沈鑫,叶昭辉.一种基于IPv4/IPv6网络入侵检测系统的框架设计[J].电子世界,2012.[2]肖长水,谢晓尧.基于IPv6的网络入侵检测系统的设计与实现[J].计算机工程与设计,2007.