网络专线安全范文
发布时间:2023-10-08 17:40:13
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇网络专线安全范例,将为您的写作提供有力的支持和灵感!
篇1
1.网络系统在稳定性和可扩充性方面存在
由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
2.网络硬件的配置不协调
一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是工作站选配不当导致网络不稳定。
3.缺乏安全策略
许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。
4.访问控制配置的复杂性
容易导致配置错误,从而给他人以可乘之机。
5.管理制度不健全
网络管理、维护没有严格的规章制度。
二、确保计算机网络安全的防范措施
1.网络系统结构设计合理与否是网络安全运行的关键
全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真的基础上下大气力抓好网络运行质量的设计方案。在总体设计时要注意以下几个问题:由于局域网采用的是以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅被两个节点的网卡所接收,同时也被处在同一以太网上的任何一个节点的网卡所截取。
因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。为解除这个网络系统固有的安全隐患,可采取以下措施:网络分段技术的应用将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。
以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。
2.强化计算机管理是网络系统安全的保证
(1)加强设施管理,确保计算机网络系统实体安全
建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等外部设备和能信链路上狠下功夫,并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、传输设备)进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。
(2)强化访问控制,力促计算机网络系统运行正常
访问控制是网络安全防范和保护的主要措施,它的任务是保证网络资源不被非法用户使用和非常访问,是网络安全最重要的核心策略之一。
①建立入网访问功能模块
入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户帐号的检查。在3个过程中如果其中一个不能成立,系统就视为非法用户,则不能访问该。网络用户的用户名与口令进行验证是防止非法访问的第一道防线。网络用户注册时首先输入用户名与口令,远程服务器将验证所输入的用户名是否合法,如果验证合法,才能进一步验证口令。否则,用户将被拒之门外。
②建立网络的权限控制模块
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
③建立属性安全服务模块
属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
④建立网络服务器安全设置模块
网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KILL等。
⑤建立档案信息加密制度
保密性是机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。
⑥建立网络智能型日志系统
日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的有执行某操作的用户保执行操作的机器IP地址、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。
⑦建立完善的备份及恢复机制
为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。
⑧建立安全管理机构
安全管理机构的健全与否,直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统、软硬件、通信、保安等有关人员组成。
参考文献:
[1]陈爱民.计算机的安全与保密.科学出版社,2004.
[2]殷伟.计算机安全与病毒防治.安徽技术出版社,2005.
篇2
委托人:高学庆、霍力钢,北京市惠中律师事务所律师。
被告:北京讯能网络有限公司。住所地:北京市东城区东长安街。
法定代表人:张培薇,该公司董事长。
被告:汤姆有限公司( TOM . COM LIM ITED)。住所地:香港特别行政区中环皇后大道。
法定代表人:王先先,该公司行政总裁兼执行董事。
两被告的共同委托人:于明燕,北京市陆通联合律师事务所律师。
两被告的共同委托人:胡蓉晖,北京市中伦金通律师事务所律师。
原告博库股份有限公司(以下简称博库公司)因与被告北京讯能网络有限公司(以下简称讯能公司)、汤姆有限公司(以下简称汤姆公司)发生侵犯作品专有使用权纠纷,向北京市第二中级人民法院提起诉讼。
原告诉称:被告讯能公司将作家周洁茹的 26篇作品提供给被告汤姆公司开办的网站登载,侵害了本公司对这些作品电子版的专有使用权。请求判令二被告立即停止侵权行为,公开赔礼道歉,共同给本公司赔偿经济损失 42620元,并承担本案诉讼费。
原告博库公司向法庭提交了该公司与周洁茹签订的《著作权使用许可合同》文本、周洁茹于 2000年 2月 6日签署的《授权书》文本、北京市公证处作出的(2000)京证经字第 17185号公证书和(2000)京证经字第 32341号公证书等证明材料。
两被告辩称:本案涉及的周洁茹作品登载于今日作家网,汤姆公司的网站只是链接了今日作家网的网页,而这种链接是汤姆公司根据讯能公司与今日作家网的主管单位北京市今日视点文化事务发展中心(以下简称今日视点)签订的合同设置的。汤姆网站本身没有登载周洁茹的作品,故二被告的行为不构成侵权,法院应当驳回原告的诉讼请求。
被告讯能公司与汤姆公司向法庭提交了以下证明材料:1、讯能公司与今日视点签订的《文学频道及文化活动合作合同》文本,用以证明设置链接的原因;2、2000年 12月 18日长安公证处根据讯能公司的申请,对汤姆网上有关周洁茹作品的内容进行证据保全后出具的(2000)长证内经字第 04026号公证书。公证书证明,在涉及周洁茹作品的网页上均标明了“本专栏内容由今日作家网提供”,同时证明点击作品名称看到有作品内容的网页时,每页的下端均能够显示出今日作家网的资源定位符,说明本案涉及的作品登载于今日作家网,汤姆网是通过与今日作家网链接得到这些网页。
北京市第二中级人民法院主持庭审质证。在质证过程中,二被告仅对原告博库公司提交的《著作权使用许可合同》、《授权书》中周洁茹署名签字的真实性表示怀疑,但没有提交反驳证据,该异议不能成立,故博库公司提交的全部证明均能作为认定本案事实的根据。博库公司对二被告提交的只是链接并非登载的证明提出异议,但也没有提交反驳的证据,异议不能成立。二被告提交的全部证明也能作为认定本案事实的根据。
诉讼中根据被告讯能公司的申请,法院要求今日视点就涉及本案的有关事实予以说明。今日视点证明,今日作家网系该单位开办的以登载文学作品为主要内容的网站;本案涉及的周洁茹作品,曾登载于今日作家网的服务器;汤姆网对今日作家网上周洁茹的作品设置了链接;对这种链接,双方在合同中没有明确的约定。讯能公司就今日作家网是否有权登载周洁茹的作品一事向今日视点提出质询。今日视点证明,今日作家网登载周洁茹的作品,曾得到过周洁茹的授权,但现在已无法证实。
北京市第二中级人民法院经审理查明:
原告博库公司于 1999年 12月 1日与作者周洁茹签订了《著作权使用许可合同》,约定:周洁茹许可博库公司于签订合同后的 6年里,在全球范围内独家拥有被授权使用作品的电子版权。合同开列的授权使用作品,包括了本案涉及的《我们干点什么吧》、《长袖善舞》两部小说集。 2000年 2月 6日,周洁茹向博库公司出具授权书,进一步明确了授权内容,即“博库公司作为全球独家的合法受许人,独家拥有并使用授权作品之电子版权,可以对授权作品进行数字化,通过磁盘、光盘或因特网,以电子出版物的形式出版、复制、传输、发行、播放、展览,并可以现在已有的及将来技术发展所产生的电子的或数字方式自由使用授权作品”。周洁茹在授权书中表示没有授权给其他任何第三方。
2000年 6月 1日,被告讯能公司与今日视点签订了一份《文学频道及文化活动合作合同》,约定双方合作为讯能公司的关联公司网站设计文学频道、制作有关栏目内容和开展相关文化活动。在合同的附随义务条款中,约定讯能与其控股公司应在讯能网站文学频道的显著位置显示其文学频道的合作伙伴为“今日作家网”,并制作链接。今日视点保证其签订和履行本合同对任何第三方均不构成侵权或违约,亦不会使讯能公司或讯能网站因签订和履行本合同而对任何第三方承担任何责任。双方没有在合同中约定合作活动涉及的具体作品。讯能公司与今日视点签订的合同中所指“讯能的关联公司网站”或“讯能网站”,即指被告汤姆公司开办的汤姆网站。
被告讯能公司与今日视点根据合作合同的约定,合作在被告汤姆公司开办的汤姆网( w w w . t om . com)内的中文简体版( w w w . cn . t om . com)上开设了中国文学频道,在该频道内设有名为“小妖周洁茹的网”栏目,该栏目网页上载有《我们干点什么吧》(珠海出版社)和《长袖善舞》(华文出版社)两部小说集的作品目录,目录页下方均标注“本专栏内容由今日作家网提供”。在小说集《我们干点什么吧》书目下,列有《点灯说话》、《熄灯做伴》、《飞》、《鱼》、《乱》、《你疼吗》、《我们干点什么吧》、《抒情时代》、《午夜场》、《预谋》、《肉香》和《像离了婚那么自在》等 12部小说的书名;在小说集《长袖善舞》书目下,列有《不活了》、《再活几天》、《一棵烟》、《家事》、《到南京去》、《回忆做一个问题少女的时代》、《到常州去》、《看我,在看我,还在看我》、《西边》、《长袖善舞》、《小林和小林的房子》、《做伴》、《梅兰梅兰我爱你》、《脖子扭了》、《出手》和《淹城》等 16部小说的书名。访问者点击除《你疼吗》和《像离了婚那么自在》以外的其他作品名称后,均可阅读到作品内容。
原告博库公司通过汤姆网站发现上述作品在网上传播后,于 2000年 7月 12日申请北京市公证处对汤姆网上所载相关作品内容进行证据保全,又于同年 10月 19日申请北京市公证处对汤姆网上所载能够证明该网站权利主体的相关内容进行证据保全。02-12-24 15:25另查明,2000年 7月间,原告博库公司曾就登载周洁茹作品一事,通过电子邮件向今日作家网主张过权利,但被告讯能公司、汤姆公司对博库公司的这一举措均不知情。得知博库公司提起诉讼后,讯能公司立即对汤姆网上有关周洁茹作品的内容进行证据保全。讯能公司完成证据保全后,汤姆网站立即取消了与今日作家网的链接。博库公司承认起诉前没有向讯能公司或汤姆公司主张过权利。
上述事实,有双方当事人提交的证明、今日视点出具的证明和双方当事人的当庭陈述证实。
北京市第二中级人民法院认为:
原告博库公司通过签订《著作权使用许可合同》,取得了周洁茹作品电子版的专有使用权。目前,我国法律对网络环境中的著作权如何保护,因链接而涉及著作权问题时行为人应承担何种义务,尚无具体规定。但是根据《中华人民共和国著作权法》的立法精神,既使在网络环境中,著作权人的合法权益也应当得到保护,未经许可不得使用他人的作品。处理网络环境中发生的著作权纠纷,应当遵循合理地平衡双方当事人权利义务的原则。
被告汤姆公司经营的网站,通过被告讯能公司与今日视点签订的合同授权,链接了今日作家网上登载周洁茹作品的网页。对这种按照授权链接而引起的著作权纠纷,设链者是否承担法律责任,是本案双方当事人争议的焦点。
链接,作为一种便利访问者获取网上信息的技术手段,目前已被互联网站经营者广泛应用。从技术角度看,链接的功能在于引导访问者的浏览器去访问上载被链接内容的网站。在网站间设置链接的情况下,互联网的访问者虽然是通过设链者看到了在网上传播的内容,但这些被链接的内容并非由设链者“复制”上载于网络,设链者也没有把这些内容存储于自己的服务器中。从使用作品的角度看,在网络环境中,只有将作品登载到自己的服务器并将其上载到网络中的网站,才是作品的使用人。设置链接,既没有直接使用作品,也没有直接传播作品,只是在为访问者提供一种浏览网上既有内容的便捷手段的同时,帮助登载作品的网站传播了作品,因此设链者并非作品使用人。
原告博库公司指控被告讯能公司、汤姆公司侵犯专有使用权,其主要理由是:讯能公司既然与今日视点签订了合作协议共同为汤姆网站提供网站内容,授权汤姆网站链接今日作家网,就应当对链接来的网页内容负有事先审查的义务。他们疏于履行此项义务,造成作品被非法传播,主观上对侵权的发生存在过错,因此应当承担责任。
目前,由于网站之间普遍存在链接关系,才使互联网能够快捷地传播数量巨大的各种信息。如果要求设链者设置链接时,必须对链接来的内容承担事先审查的义务,无疑会使链接的功能受到阻碍,这对于促进互联网业的发展是不利的。同时也应看到,设链者是为了增加本网站的访问量,力图获取更大的经济利益才设置链接。设链者在获得利益的同时,应当按照权利与义务对等的原则,对设置链接是否会妨害他人行使权利履行适当的注意义务。
在授权链接的情况下,设链者是否承担责任,可以分两种情形:如果设链者明知链接的作品存在权利上的瑕疵,仍然予以链接,其行为无疑帮助了侵权人传播,扩大了侵权结果,登载该作品的网站和设链者都应当承担侵权责任。如果设链者事先不知道链接来的作品存在权利上的瑕疵而予以链接,其主观上就没有侵权的故意,当然无需承担民事责任,该责任只能由登载作品的网站承担。被告讯能公司与今日视点签订的合作合同中,只约定合作为汤姆网站设计文学频道、制作有关栏目内容和开展相关文化活动,由汤姆网站与今日作家网链接以取得这些栏目内容,没有约定栏目中使用哪些作品,因此讯能公司、汤姆公司无法在设置链接前就知道被链接的作品存在权利瑕疵。讯能公司在签订合同时,注意到以链接的方式传播他人作品,可能涉及到作品权利人的权利保护问题,所以在订立合同时即向对方提出了明确的权利保证要求,已经尽到适当注意的义务。讯能公司、汤姆公司与登载该作品的网站之间,对传播侵犯原告博库公司专有使用权的作品不存在共同的故意。博库公司起诉后,讯能公司、汤姆公司得知链接妨害了他人行使权利后,就及时地断开了链接。因此,讯能公司、汤姆公司没有实施侵权的行为,不应承担侵权的民事责任。博库公司主张讯能公司、汤姆公司侵权,理由不能成立,其诉讼请求不予支持。
综上所述,北京市第二中级人民法院于 2001年 4月 27日判决:
篇3
中图分类号:F626.5
前言:近年来,各个行业信息化建设越来越完整,除了各大中小型企业都有自己专线网络、利于工作的交流及服务自己的客户。以前都是接入组网进行单一的语音功能就能满足企业集团的需要,现在却大不相同,而是由单一的语音功能业务扩展到数据传输、视频会议及视频监控等多项业务,来完善企业集团信息化建设。同时。政企大客户也参与建设,最近已然建立政企专线网络,来开展自己的工作。对专线组网业务的要求甚高,所以各大运营商来改善接入网络的方式,来提高网络质量,来满足政企大客户的业务要求,来争取政企客户这一市场。
1.政企专线组网的含义
政企都存在自己的总部、分部。而分部遍及大江南北,为了满足自己的工作需要,方便进行数据传输等业务,与像中国移动、中国联通、中国电信这样的运营商达成协议,进行使用它提供的虚拟专用网络的形式来组成政企内部的通信网络,这样就与各个分部联系紧密,在这网络中可以进行语音、传输数据、视频集普通的办公通信等,这样的话组建的网络不仅仅遍及整个城市,而是遍及整个世界的广域网络。
2.剖析政企专线组网的几个类别
现在政企客户和自己的分部之间进行着越来越多的数据传输,所以需要组建自己的专线网络,因为专线接入网需要满足各种政企客户业务的承载需求,不同的政企有不同的业务需要。因此具体分为以下几种类别。
2.1光纤接入的专线方式
光纤接入的专线组网方式是政企使用的一种普遍方式,它是主要结合具体的光电终端配置方式,但是光纤接入的方式具体划分又为、光Modem、光纤收发器等。现在很多的政企用户大多数愿意采用SDH、PDH 这两种方式,也有部分政企在太网电路连接的基础上,来配置光纤收发器。光纤接入的方式现在很使用于广域网的专线组建网络。
2.2 光缆接入的专线方式
现在这种接入方式是有要求的,它需要建立在城域网接入传输节点的基础上,政企能选用这种接入方式的,通常是本城市的政企建立一个城域网,来和本城市的各个分部进行组建网络进行数据的传输和通过网络来管理自己相应的分部,直接面向分部以太网的接入方式,而采用同轴射频电缆。现在很少有政企使用这种接入方式,因为它的使用范围小。
2.3无线接入的专线方式
无线接入主要分为无线网桥方式、LMDS方式、PDH微波方式等,不过现在很多的政企都是使用小型微波点来接入,这样更方便使用。所以说政企的业务需求量不一样,他们会使用不同的专线组网方式,根据自己政企的特点,来灵活地选择,以满足自己工作的需要。
3.探究政企专线的承载方式
现在政企内部的信息网络对专线的要求:现在政企的总部、分部之间进行的信息数据传输量相当大,所以需要百兆以上的接入带宽的高宽带才能满足政企的工作需要;以前的网络是点对点的对接,非常影响工作效率,这就需要通过一个点连接,各个内部的点都能关联到网络信息;现在电视会议代替了人力,节省了大量的实践,所以专线要求QoS能力高。安全性是政企最关心的一个重要因素,这涉及的某些保密性数据。下面简单介绍下政企专线使用的几种承载方式。
3.1关于政企专线使用MPLS-VPN网络的承载网技术
使用MPLS-VPN的承载网技术具体是通过在宽带IP网络上的基础上组建政企IP专网,这样的内部网络可以在跨地域实现传输数据、进行语音、电视会议等业务,并且能够保证高速、安全。现在的政企网络分为两类,一般是属于自己内部信息的网络和向大众公开的网络,管理比较麻烦,而MPLS-VPN的承载网技术可以将两者有效地结合起来,降低了运营成本,而且管理灵活,使内部的数据信息具有安全性,同时不影响公共网络的建设。
3.2简单介绍下政企专线使用MSTP网络的承载网技术
MSTP网络是建立在SDH技术的基础上,它只是SDH技术的业务平台,只因为产生了MSTP,是为了应对现在的业务需要,随着高科技的快速发展,各个用户的专线组建的网络(包括政企专线网络)之间传输的数据急剧增加,SDH技术就是为了维持数据业务而增设了这一个业务平台,它适应着数据量大的业务环境,这也是它成为政企专线使用的承载网技术之一的原因。
3.3浅析政企专线使用的其他几种承载网技术
传统的运营商经过多年经营,一般保有完备和丰富的中继和接入光缆网络,能够实现城域范围内直接光纤互连。裸光纤直接互联方案是一种最透明的传送方式,业务带宽仅受限于光纤物理性能和光纤信号调制技术。专线两点之间的传送距离限制,一般不超过70公里。还有关于政企专线的承载网技术分别是PTN网络、OTN网络、光纤网络等三种技术。随着IP环境的慢慢地趋于成熟,就这样的环境下,PTN网络的优越性被放大了,因为现在传输数据已然转变成为了众多业务的内核适应的特性,所以PTN不仅仅具备MSTP网络的特点,如在传输数据的可靠、安全性,便于管理等等,还具备成本低的特点,让它迅速成为了政企专线所青睐的承载网方式之一。接着分析下OTN网络,它是人们所期待的承载网技术,因为它是未来的传输数据的网络,所谓的光传送网,拥有的是所有承载网技术具备的有点,管理便利性、可操作性、传输数据的安全性,传送的数据容量无法估计。它的超高宽带性是其他承载网技术无法比拟的。而光纤网络是一套很成熟的光缆网络,但是它跨域范围比较狭窄,受很多因素影响如受光信号传播等,一般不超过75公里。但是在城域网中的应用相当广泛,是城域网的政企专线的最佳选择之一。
4.探讨下政企专线的几种应用情景
现在政企加强自己行业信息化建设,就是为了拉近总部与分部之间的距离,可以间接地进行对分部进行管理和工作的交流,这就是政企组建自己的专线网络的目的所在,专线网络也就是内部的信息通道,通过电视会议,可以提高领导的决策效率,也节省了工作时间,这也是有效提高政企竞争力的措施之一。但是主要专线组网技术应用与不同的行业,所以建设自己内部信息平台,应该分析下每种专线组网技术的特点和优势来选择自己的应用场景。比如说中贞中继专线技术只适用于金融行业的自助存取款机接入,而中小型企业应该选择IP-SEC专线组网技术等等,而适用与政企的应用情景的专线组网技术有SDH专线技术、MSTP专线技术等。
5.结语
近年来,我国信息化建设脚步加快,促进信息化行业的发展,各个行业都进行组建自己的内部信息网络,以政企组建自己的专线网络为代表,通过网络来传输工作数据,进行语音、视频开会、也极大地提高了工作效率。各大运营商涉及服务的客户群体比较特殊,属于政企大客户。他们对业务的需求较高,需要高安全性、高宽带等等,这就需要对该类群体的专网组技术进行研究,适合政企业务的发展需要。所以以后关于政企专线的技术研究还需要一段时间进行完善。
篇4
GPRS(General Packet Radio Service)通用无线分组业务,是一种基于GSM系统的无线分组交换技术,提供端到端的、广域的无线IP连接。通俗地讲,GPRS是一项高速数据处理的技术,以"分组数据包"的形式传送资料至用户的手机或网络终端上。
VPN(Virtual Private Network)虚拟专用网络,是指通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。传统的VPN接入方式是在台式计算机上设置专用的IP地址,通过专用的账号接入Internet的方式来实现。
一、GPRS VPN专线网络组成
GPRS核心网主要包括SGSN和GGSN等设备,SGSN为用户提供服务,与MSC/VLR/EIR配合完成移动性、逻辑链路、无线资源等的管理功能;GGSN是网关或路由器,它提供GPRS和公共分组数据网以X.25或X.75协议互联,也支持GPRS和其它GPRS的互联;GGSN和SGSN一起配合完成GPRS的路由功能。另外还包括计费CG服务器,DNS解析设备,OMC网管设备,核心组网交换机/服务器和出口防火墙等。现网GPRS核心网组网拓扑简图如下:
目前,移动公司建设的GPRS VPN专线系统主要包含用户核心、VPN专线接入、GPRS核心网、无线接入和用户终端等几部分。用户核心是VPN用户的业务核心服务器设备,用于处理和存储用户的各种业务内容、信息的数据;VPN专线接入是系统的核心部分,负责将用户侧设备接入GPRS核心网,实现用户的GPRS VPN专线的接入;GPRS核心网和无线接入是无线通信网络的核心部分和接入部分,负责核心数据交换处理和用户终端接入;用户终端是指移动用户的手机或笔记本电脑等设备。组网拓扑简图如下:
GPRS VPN专线的实现方式是先由GPRS核心网分配给用户接入点名称APN,然后通过DNS解析APN对应的用户接入端GGSN,GGSN会根据APN建立到用户核心侧的VPN隧道。用户数据首先在GPRS网内通过GTP(GPRS隧道协议)传输,最后在用户接入端GGSN和用户核心侧之间通过GRE隧道协议或L2TP隧道协议进行传输。
二、GPRS VPN专线系统接入设备及组网要求
GPRS VPN专线系统接入设备主要包括用户侧接入路由器/交换机、VPN接入路由器/交换机、VPN接入防火墙等设备。
用户侧接入设备是为用户提供至VPN专线系统的输出接口,一般采用三层网络交换机或路由器。由于现网至用户侧的专线主要为E1和FE的形式,该设备必须支持E1口和FE电口;另外该设备还需支持L2TP、GRE等VPN功能,支持各类标准网络协议,MPLS L3 VPN/VPLS等多种技术。
VPN接入设备是为用户侧接入设备提供VPN专线系统的输入接口,并将多个用户的接入端口进行汇聚,一般采三层网络交换机或路由器。现网至用户侧的专线主要为E1和FE的形式,该设备必须支持E1口和FE电口,另该设备还需支持GE电/光口,作为汇聚后的输出端口。另外该设备还需支持L2TP、GRE等VPN功能,全面支持各类网络协议、MPLS L2/L3 VPN/VPLS等多种技术,支持大容量VPN隧道及并发会话数量等多种功能。
VPN接入防火墙是将VPN接入设备汇聚后的输出端口接入GPRS核心网的设备,采用主流防火墙设备。其必须支持FE/GE电/光口的接入形式,支持多种网络协议,支持多种IP VPN接入方式,支持多种加密算法等。
用户接入设备至VPN接入设置间传输网络配置根据用户的实际业务需求进行安排,对于网页浏览类型等业务,采用E1电路可满足用户需求;而对于需要进行网络下载、网络监控、网络视频等实时性要求较高的业务,采用FE/GE电路才能满足用户需求。
VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置,两台设备通过GE电/光口互联,处于相互热备份状态,可随时相互倒换。用户侧接入设备至VPN接入设备间的电路也按照主、备用设置。
三、GPRS VPN专线系统安全组成
GPRS VPN专线系统安全保障包括以下几个方面:
设备组网
VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置,两台设备通过GE电/光口互联,处于相互热备份状态,可随时相互倒换,以保证核心系统的安全运行。
网络接入层的安全性保障
在GPRS核心网中,APN是用来实现用户IP报文路由至相应GGSN及外部网络的必不可少的标识。SGSN根据APN,向特定DNS服务器查询该APN对应的GGSN IP地址,以确定用户应接入的GGSN;GGSN再根据相应APN,将用户的业务流送到不同的业务域,而不同的业务域则对应了不同的业务承载组网方式、用户标识获取方式、计费模式等。
GPRS VPN专线接入在网络层采用“APN+用户名+密码”的三重鉴权模式。由移动公司在GPRS核心网侧为VPN专线用户建立指定的APN,该APN需要RADIUS(远端授权者拨入用户系统)的认证,只允许指定的SIM卡才可以通过该系统接入网络。对此,移动公司需要在核心网HLR侧为手机号和APN做绑定,只有用户指定的手机号才能通过GPRS VPN专线系统访问用户的APN,其他用户的手机号无法通过RADIUS的认证,不能接入用户的APN和用户内网。另外当用户接入内网后,用户侧还可以通过用户名、密码等身份确认的方式,才可最终接入内网业务系统。
随着3G网络的推广,无线传输速率提升了数倍,VPN专线用户也会逐渐需要开通网络视频、高质量语音等大流量的业务。移动公司至用户侧的专线会逐步升级为FE/GE通道,随着VPN专线网络的逐渐扩大,可采用建设MPLS VPN的接入方式。
另外,对于用户指定要求较高安全性的特殊业务类型,可考虑单独为具
体业务配置专用的IPSec VPN,如可以为银行、政府的专用信息等配置专用的专线资源,而对于安全性要求较低、流量较大的业务,可采用MPLS VPN接入方式,这样既可提升资源利于率,也达到了用户的安全要求。
四、GPRS 核心网系统的补充说明
现网中,GPRS核心网经过多年的建设和扩容,设备往往分布在多个设备机房中,SGSN与GGSN的业务接入按照地区进行划分。
GPRS VPN专线系统由于规模不大,一般只设置在单个机房内,就近接入GPRS核心网,与就近机房的GGSN和SGSN直接相连,与非就近机房的GGSN和SGSN设备则通过CMNET网络进行转接后相连。由于CMNET网络为开放式公用网络,安全性不高,并且数据传送需要经过防火墙、CMNET路由器等更多的设备进行转发,造成一定的时延。对此,建议将不同GPRS核心网机房的GGSN与SGSN通过传输专线进行连接,以提高GPRS核心网和VPN专线系统的安全性,并且可以减少路由转发,为用户提供更流畅的服务。
另随着VPN专线用户的逐渐增多,可考虑在GPRS核心网中为VPN专线用户设置专用的GGSN,针对VPN专线用户进行路由、接入PDN,计费等数据进行优化和配置,可提升VPN专线系统的服务质量,并减少对GPRS核心网系统的GGSN占用,还可以为VPN用户设置定制服务,多方面满足用户需求,可作为集团类用户的新业务开发点。■
参考文献
篇5
随着网络信息技术与通信服务技术的不断发展提升以及铁路客运通信服务需求的不断变化,铁路客运中不仅要求通信系统能够提供基本的语音以及数据、多媒体通信功能服务,还需要满足铁路客运列车运行控制和信息管理、运营调度等不同结构层次功能需求下的数据信息网络通信和共享服务,以满足铁路客运发展需求,推动铁路客运的发展进步。通常情况下,在进行铁路客运发展所需的通信服务系统构建中,首先需要进行一个基于SDH所业务传输系统的设计构建,以作为铁路通信服务的基础平台,同时,将铁路通信服务中的IP作为其通信服务开展中数据业务承载和交换实现的主要平台,从而实现铁路客运通信服务中的SDH传输网络和IP数据网络的构建,以满足铁路客运通信服务和发展需求,并对于铁路客运服务发展中的固定通信业务网络以及会议电视系统、救援指挥通信系统、移动通信业务网络、综合视频监控系统铁路客运通信系统业务网络结构的功能服务进行承载。
通常情况下,进行铁路客运通信服务系统的构建需要包括铁路客运的运输组织以及营销结构、运营管理三大结构部分,并且每个结构领域中包含有其他的子系统结构,以构成铁路客运的通信系统。其中,在铁路客运通信系统中,营销结构主要包括有铁路营销管理系统以及车票发售和预定系统、铁路客运中的旅客服务信息系统等各个子系统;而铁路客运通信系统的经营管理结构部分主要包含有办公自动化系统、公共安全管理信息系统、铁路客运经营管理决策支持系统和客运资源调配管理系统等系统结构;最后,在铁路客运通信系统的运营调度系统结构部分,主要是铁路客运的运营调度计划编制以及运营管理、车辆使用管理、综合维修与调度管理、客运调度管理、供电调度管理等各个调度管理子系统,通过这些调度管理子系统实现对于铁路客运的运营控制和管理,保证其运营安全与稳定。
二、铁路客运中通信技术的应用实现分析
1、铁路客运专线通信系统的设计构建分析
结合上述对于铁路客运通信技术的发展应用需求分析,在实际运营生产中,通信技术在铁路客运中的应用实现主要体现为应用信息通信技术实现铁路客运通信系统的设计构建。
根据上述铁路客运通信系统的设计构建需求,进行铁路客运通信系统的设计建设,首先要进行铁路客运专线通信平台的设计构建。通常情况下,铁路客运专线通信使用的公共基础平台主要包括通信网络基础设施以及通信数据信息的共享平台、通信使用的公用基础信息平台和信息安全保障、铁路运营门户网站平台等。
其中,铁路客运专线公共基础平台的通信网络结构平台的具体结构如图1所示,主要由骨干层、汇聚层以及接入层三个结构层次构成,同时包括数据网络以及通信网络、计算机网络三个基础网络平台。在铁路客运专线通信公共基础平台中,通信网络基础平台中的通信网络主要是结合铁路客运数据业务传输的相关要求,进行通信网络基础平台汇聚结构层路由之间的高速连接实现,并在骨干层进行SDH传输系统的设计构建,同时利用两条光缆形成一种通信网络保护环,实现ADM设备的安装设置,从而构成整个铁路客运通信系统的环形拓扑通信网络结构形式。此外,铁路客运专线通信公共基础平台的通信网络基础平台通信网还具有进行铁路客运通信系统基于内嵌RPR技术的接入网设计构建功能作用,以对于铁路客运专线通信系统的通信传输功能需求进行满足和实现。其次,铁路客运通信网络基础平台中的数据网主要是进行IP数据网的构建设计,同时根据铁路客运专线通信系统的通信网络基础平台汇聚层以及接入层要求进行网络结构的设计构建,其设计构建内容包括在通信网络基础平台的汇聚层枢纽进行路由器设置,并在通信网络基础平台的接入层各站点与通信站点位置处进行路由器设置。最后,铁路客运通信网络基础平台的计算机网络基础平台,主要包括广域网以及局域网、IP地址、域名等的设计实现。
此外,在铁路客运专线的通信公共基础平台中,除通信网络基础平台外,还包括数据信息共享平台、公共信息基础平台、数据信息安全保障平台以及铁路客运门户等。其中,铁路客运专线的信息共享平台主要是进行通信系统数据信息的传输交换以及共享满足,而公共信息基础平台则是实现公共信息的统一维护与管理同时为各信息系统进行标准中间件服务提供,信息安全保障平台是进行通信数据信息的安全保护实现,铁路门户则是铁路信息系统的统一对外服务通道。
2、铁路客运专线通信系统建设的作用意义分析
