数控机床可维修性设计及其
关键技术研究
摘 要] 故障作为随机事件是不可避免的,而可靠性设计从某种意义上讲又是靠大量的可靠性测量
分析与储备。为此人们在设计中,在对关键的零部件进行适当的可靠性储备的同时,应更多地注重于产
品的可维修性设计,可维修性设计虽然会使成本有所增加,但较之在产品开始产生之后,再对设计进行
修改而带来的经济损失和声誉损失,仍然是相当经济的。本文重点从设计措施入手研究提高数控设备
维修性的新途径,使数控产品的故障诊断和维修既方便又快捷,并在此基础分析冗余设计的维修性设计
技术。
[关键词] 数控机床;可维修性设计;设计准则;技术分析;冗余设计
设计质量对于产品而言至关重要,而以最少的成本获
得高质量的产品已经成为当今产品设计的主要追求。可维
修性设计就是其中一个非常重要的内容,可维修性设计就
是把维修性纳入产品设计过程,通过设计与验证实现维修
性要求,这不仅是提高产品质量水平的客观需要,也是用户
的迫切需求。因为一件产品的维修工作越简单,那么它对
顾客的吸引力也就越大。
随着数控技术的发展,设计人员在产品设计中引入了
大量的电子技术元件,这一方面改善了数控产品的性能,而
另一方面给产品的可靠性设计也带来了新问题。因为故障
作为随机事件是不可避免的,而可靠性设计从某种意义上
讲又是靠大量的可靠性测量分析与储备。为此人们在设计
中,在对关键的零部件进行适当的可靠性储备的同时,应更
多地注重于产品的可维修性设计,使产品的故障诊断和维
修既方便又快捷。
1 维修性方案
人们现在所关心的已不仅仅是产品的初始性能,而是
产品在整个生命周期中的性能变化。而产品的使用性能受
到其使用方法的影响。因此一方面,我们需要知道产品是
如何被使用的,这些信息可以从它的前代产品中得到。另
一方面,设计者在设计时可以采取一定措施来改变产品将
来被使用以及维修的方式。例如,设计者需要判断那种零
件更加耐磨,以及零件的替换方式等等,这些都将直接关系
到产品的拆卸性能、维修性能。因此我们需要做的不仅仅
是预测产品或部件的故障发生率,则是要求以最少的操作
和成本完成一件产品或一个系统的维修工作。现在,制造
商们已经意识在产品设计和制造过程中考虑产品的可维
修性。
现代设计的数控设备不仅要功能佳,而且也要使用、维
修方便,这样整台设备的综合效率才高。在产品论证、方案
设计时,设计者要有现代设计意识,采用并行工程的原理,
考虑到从产品概念到投入使用过程中的整个寿命周期中所
有的因素,包括设计、制造、安装、调试、使用、维修等阶段。
因此,设计者在产品设计建模时,就应当考虑到产品拆卸的
可能性及修理的结构工艺性,整台设备不能有不可到达的
死角,所有部件尽量采用快速解脱装置,以便拆装。
2 维修性设计与分析
2. 1 可达性设计
可达性就是在进行设备维修、更换时,能够方便地接近
维修部位和进行维修作业,是一种设计布局与装配特性。
可达性又分为:安装场所可达性;设备外部可达性;内部可
达性三类。良好的可达性,能减少维修牵连和差错,使维修
作业方便舒适。在进行可达性设计过程中,可以重点从以
下几个方面去把握:
(1)所有的零部件都应在不拆卸其他零部件的情况下
也能直接看到或碰到; (2)更换零部件时间:为了缩短更换
零部件的时间,从布局观点应考虑,把故障出现频数多的零
部件、更换时间长的零部件,放在可达性好的部位; (3)零
部件的尺寸与质量:对于大的、重的零部件等,在布局时应
考虑尽可能放置在开口部分近旁;并且在更换时不致损坏
其他零部件的部位; (4)诊断的难易:机器内零部件配置应
多考虑进行诊断的程序,即维修人员一边直接检查零部件,
一边判定故障位置。一般来说,零部件的配置方法可分为
下面四类:A标准配置:配置零部件时,要考虑其重量、热分
布、工作性能等方面,也要考虑其强度、耐久性和制造工艺
性,但对下述方法不作考虑; B零部件的分类配置:把同类
的结构单元、零部件(例如继电器)等安装在一起,这种方
法对定期的预防维修(定期检果、定期更换等)是方便的; C
电路的分类配置:这是电子设备中常用的一种方法,它是把
由多个零部件组成的结构单元(用途不同也可以)集中在
一处。这样,有利于实现元部件的标准化,并可简化测试程
序和缩短测试时间;D逻辑式配置:按照功能方框图的各方
框来进行配置。维修人员在理解了工作原理之后,就能很
容易地对照框图来寻求故障位置。(5)设整检查的难易:
最现想的零部件配置是,不用打开机器就能检查或设整机
器。即使机器内有调整处,也必须使其不停机就能进行调
整; (6)零部件周围的空间:在更换零部件时,如无适当的
空间,就会严重妨碍作业。(7)目视:在配置零部件时为了
能用目视,应考虑以下几点:A、拆下盖板时,要能以正常的
视角看到所有的零部件; B、取放零部件时,要能从开口部
分看到零部件; C、配置零部件时,要使零部件上的金属件、
螺丝等能看到清而不受其他零部件遮蔽,也不受工作人员
的手和工具的遮蔽; D、为了能识别,要在机体上和零部件
上作出标记; E、需要调整的零部件,既要看得见调整外,又
要在机体上或对应的显示器上显示其调整范围。
2. 2 模快化设计
在整体式结构中,失效的零部件或元器件是分立而离
散分布的,判明故障点比较困难,在维修中往往需大拆大
卸,并受工具、测试设备、操作空间等维修条件的限制,不仅
修复和更换速度慢,而且易影响维修后的质量,并且对维修
人员的技术和技能要求比较高。
模块是将一个单元体、组件、部件或零部件,设计成一
个可以单独处理的单元,使其便于供应和安装、使用、维修。
由于整机中的模块便于拆装、测试,所以模块化对维修有特
别重大的意义,它使维修工作产生了革命性的变化,或者
说,模块化带来了维修工作的革命。
(1)简化维修,缩短维修时间:从维修着眼,模块是以
从整机上整个地拆下来的设计部件,维修是以模块为单位
进行的。由于模块易于从整机中拆卸和组装,简化了维修
工作,缩短了维修时间。(2)易于测试诊断:模块间有明确
的功能分割,能单独调试,且常有故障指示,出现故障后易
于判断,并迅速找到有故障模块,缩短了故障诊断、定位时
间。(3)降低对维修人员水平的要求:由于维修方式和维
修条件和改善,可大大降低对维修人员的技术水平和技能
的要求,并易于保证维修质量。如有备用模块、甚至设备的
操作者就可及时进行快速更换。(4)减少预防性维修工作
量:由于模块易于与产品剥离,许多模块可以拆下来,拿回
到维修室进行维修,维修环境良好,维修工具齐全,可减少
或避免现场维修;有时由于机器已装上备用模块而正常运
转,对损坏的模块可从容不迫地进行维修,有助于保证修复
性维修的质量。(5)有助于实施改进性维修:由于模块是
“黑箱”型部件,有确定的功能和输入、输出接口,新技术模
块只要功能与接口能相兼容,就可方便地用于改造老产品。
(6)有助于售后服务(维修):现代企业都有一支数量不小
的售后服务队伍,以便让用户满意。模块化产品不仅易于
测试、诊断,并且由于模块通用性大、寿命长、生产批量大,
大多数备件都是新产品上还在使用的零部件,易于取得,甚
至可在市场上购得。(7)模块化设计对维修除有上述的技
术性好处外,还可大大简化维修管理。
2. 3 测试诊断设计
最基本的要求就是,测试诊断应准确、迅速、简捷。
(1)对测试点配置的要求:A、测试点的种类与数量应
适应各维修级别的需求,并考虑到测试技术不断发展的要
求。B、测试点的布局要便于检测,并尽可能集中或分区集
中,且可达性良好。其排列应有利于进行顺序的检测与诊
断。C、测试点的选配应尽量适应原位检测的需要。产品
内部及需修复的可更换单元还应配备适应数量供修理使用
的测试点。D、测试点和测试基准不应设置在易损坏的部
位。(2)对测试方式和设备的要求:A、应尽量采取原位(在
线,实时与非实时的)测试方式。重要部位应尽量采用性能
监测(视)和故障报警装置。对危险的征兆应能自动显示,
自动报警。B、对复杂的设备系统,应采用机内测试(BIT),
外部自动测试设备,测试软件,人工测试等,形成高的综合
诊断能力,保证能迅速,准确地判明故障部位。要注意被测
单元与测试设备的接口匹配。C、在机内测试、外部自动测
试与人工测试之间要进行费用、效能的综合权衡,使系统诊
断能力与费用达到最优化。D、测试设备应与主装备同时
进行选配或研制、试验、交付使用。研制时应优先选用现行
系统中适用的或通用的测试设备;必要时考虑测试技术的
发展,研制新的测试设备。E、测试设备要求体积和质量
小、在各种环境条件下可靠性高、操作方便、维修简单和通
用化、多功能化。(3)故障诊断的一般要求:对于一个系统
来说,故障诊断应该满足以下要求:A、对系统在各种方式
和状态下均能可靠地进行检测,并能指出系统在各种方式
下处于正常工作、发生故障、抑或性能退化的状态。B、能
检测显示95%的系统故障,并能把其中90%的故障定位到
更换单元。C、避免或尽量少使用外部测试仪器。D、故障
检测和定位电路的失效率,不超过系统总失效率的5%。
E、错误告警概率应小于1%。错误告警包括: a虚警:监控
电路指示有故障,而实际上并不存在功能性故障; b故障没
有被发现:发生了故障,但未显示出来; c故障识别错误:故
障部位或性质显示的错误。(4)测试性设计一般准则:测
试性是指产品(系统、子系统、设备或模块)能及时准确地
确定其状态(可工作、不可工作、性能下降)和隔离其内部
故障的一种设计特性。也就是须在产品设计时就考虑测试
要素,使产品方便测试和(或)产品本身就能完成某些测试
功能。测试性设计的一般要求如下: A、合理划分功能单
元:只要有可能,应根据结构表示物理和电气的划分。因为
实际维修单元是结构分解所得的模块。B、应为诊断对象
配置内部和外部测试装置,并应确保BITE(内部测试装置)
性能的修复和校准。C、测试过程(程序)和外部激励源,对
部件本身及有关设备或整个系统不产生有害效果。尤其需
注意检查会否构成影响安全的潜在通路。D、所有的总线
系统对各种测量应都是可访问的。E、对于通用功能,应设
计和编写诊断应用软件,以便维修人员可以迅速进行检测。
F、应考虑维修中所需使用的外部设备及其测量过程,应考
虑与外部设备的兼容性和配备必要的测试点。G、诊断系
统应能通过相应的测量,对产品的使用功能、设计单元的状
态和输出特性作出评价。H、测试方式的转换:每个诊断系
统都不可能是完美无缺的,有时会造成对被测件(UUT)的
测试不准;此时,可应用常规的、功能定位的测试方法,在可
替换模块级确定故障位置,这些维修接口(测试点)也可用
来检测模块的运行数据。
2. 4 防差错的设计
防差错设计的一般要求如下: (1)设计时,应避免或消
除在使用操作和维修时造成人失误的可能,即使发生失误
也应不危机人机安全,并能立即发觉和纠正。(2)外形相
近而功能不同的零部件,重要连接部位和安装时容易发生
差错的零部件,应从构造上采取防差错措施或有明显的防
止差错识别标志。(3)产品上应有必要的为防止差错和提
高维修效率的标志。(4)测试点和与其他有关设备的连接
点处,均应标明名称或用途以及必要的数据等,也可标明编
号或代号。(5)需要进行注油保养的部位应设置永久性标
志,必要时应设置标牌。(6)对可能发生操作差错的装置
应有操作顺序号码和方向的标志。(7)对间隙较小,周围
产品较多且安装定位困难的组合件、零部件等应有定位销、
槽或安装位置的标志。(8)标志应根据产品的特点、使用、
维修的需要,按照有关标准的规定采用规范化的文字,数
字,颜色或光,图案或符号等表示。标志的大小和位置要适
当,鲜明醒目,容易看到和辨认。(9)标牌和标志在装备使
用、存放和运输条件下都必须是经久耐用的。
3 冗余设计
容错技术的关键是冗余技术,即采用备用的硬件或软
件参与系统的运行或处于准备状态,一旦系统出现故障,能
自动切换,保持系统不间断地正常工作。冗余控制的概念,
严格来讲是采用一定或成倍量的设备或元器件的方式组成
控制系统来参加控制。当某一设备或元器件发生故障而损
坏时,它可以通过硬件、软件或人为方式,相互切换作为后
备设备或元器件,替代因故障而损坏的设备或元器件,保持
系统正常工作,使控制设备因意外而导致的停机损失降到
最低。提到冗余,这里还有一个概念———同步(synchroniza-
tion)。它是指冗余系统的两个或多个处理器之间要经常比
较各自的状态,根据一定的规则以决定系统是否工作在正
常的状态。这种状态比较和系统可靠性的判定被称作
同步。
冗余控制的方式在工控领域根据不同的产品和客户不
同的需求有多种多样,采用的方式也不尽相同。
一般根据产品应用和客户需求的不同,冗余控制可分
为: (1)处理器冗余(CPU冗余); (2)通信冗余(网络冗
余); (3)I/O冗余; (4)电源冗余。
按冗余的实现方式来分大致可分为: (1)硬冗余(hard
-redundancy),即采用特殊的硬件模块或PLC中固化的程
序来实现PLC同步、故障切换的冗余方式。(2)软冗余
(soft-redundancy),即采用编程的方式来实现PLC同步、
故障切换的冗余方式。
按冗余的切换方式来分大致可分为: (1)热冗余(热备
hot-back),即硬冗余方式,当主设备故障时,通过特定硬
件判别、备份方式无间隙地自动切换到备用设备上,保持系
统正常运行。(2)暖冗余(暖备或温备warm-back),即软
冗余方式,主要通过编程方式来实现冗余。由于软冗余的
实现受多方因素制约,系统切换的时间较硬冗余稍长,因此
部分软冗余可能会使主设备在发生切换时有间隙或需要人
为简单干预或预置才得以完善。(3)冷冗余(冷备cold-
back),即一套或部分冗余的设备(如: CPU)不通电、不工
作,准备待命(人为预置好)。当主设备故障时需要人工恢
复系统运行。按照现在的严格定义,这种方式,并不算是冗
余,只作备件理解。这种冗余一般应用于实时性不强、工艺
连续性要求不高的场合。
I/O冗余、电源冗余大多数属于硬冗余范畴,而处理器
冗余、通信冗余(网络冗余)既可采用硬冗余实现也可以采
用软冗余实现。一般硬冗余与软冗余相比,硬冗余投入较
大,冗余实现和系统维护相对简单,系统性能较可靠,系统
的切换速度会较快。适合于生产工艺要求较高、反应速度
较快的装置和生产线。软冗余投入的成本比硬冗余小,软
冗余不需要特殊的冗余模块或软件支持,但在冗余实现和
系统维护方面比较繁琐并且一般的软冗余切换的速度稍
慢,系统性能主要取决于编程者的编程水平和所选硬件的
品质,这类冗余方式比较适用于生产工艺流程要求不太高、
反应速度较慢、开停要求不严的装置和生产线。
为了提高设备的可靠性,降低故障率,在设计时,对关
键的部件或分系统,可采取额外附加部件或采取其他手段。
其优点在于设备的一部分发生故障时,整个系统仍能正常
工作,改变传统的一坏就修的弊端。
冗余性设计有以下3种形式: (1)工作储备设计:对某
一关键部件,采用2个以上与其相同的单元,共同完成某一
功能的设计,并联、并串联、串并联等就是其常见的形式
(2)表决储备设计: n个相同的单元中,只要有k个以上的
单元不发生故障,系统就能正常工作,又称“n中取k”储备
设计。(3)非工作储备设计:当设备的一个单元(或分系
统)发生故障时,另一个未工作的单元(或分系统)通过故
障监测装置及转换进入工作状态的设计。这样设计的优点
是系统的可靠性高,缺点是增加了转换装置,若采用手动转
换,可能会造成暂短的停机损失;若采用自动转换,则会增
加设备的制造成本,因此,采用这种设计时,要在设备的高
性能与其生产成本之间求得平衡。
4 结束语
在生产过程开始之后再对设计进行修改必将会带来成
本的增加,因此设计者如果在设计的初始阶段就考虑到产
品的可维修性,那么此时更改设计所带来的损失相对较小。
可维修性设计所带来的收益包括:降低操作成本和生命周
期费用。实行可维修性设计的着眼点在于用户产品使用中
(上接第52页)的维修经济性,目的是获取潜在的、长期的
经济和社会效益。可维修性设计虽然会使成本有所增加,
但较之在产品开始产生之后,甚至在用户使用过程中发现
维修性问题,再对设计进行修改而来经济损失和声誉损失,
仍然是相当经济的。
[参考文献]
[1]甘茂治.维修性设计与验证[M].北京:国防工业出版社, 1995.
[2]童时中.模块化原理、设计方法及应用[M].北京:中国标准出
版社, 2000.
[3]陈璐,蔡建国.可维修性设计及其技术方法研究[J].机械设计
与研究, 2002, (2).
[4]范永海,齐铁力.液压系统可维修性设计研究[J].液压与气
动, 2003, (8).
[5]赵中敏.容错技术在数控机床中的应用研究[J].组合机床与
自动化加工技术, 2003, (10).
[6]张会奇,陈春良,高连华.维修性对装备维修工作量的影响分
析[J].装甲兵工程学院学报, 2005, (2).
[7]赵中敏. PLC控制系统的可靠性分析及其关键技术研究[J].
机床电器, 2006, (4).
目 录
第1章 绪论 3
1.1背景和意义 3
1.2研究综述和主要方法 4
1.2.1地址资源 4
1.2.2路由分析 4
1.2.3路由策略 5
1.2.4优化处理 6
1.3研究目标与内容 7
第2章 基于ENSP的校园网总体设计 9
2.1设计原则 9
2.2需求分析 9
2.3技术选型 9
2.3.1 VLAN 使用VLAN技术主要考虑到以下优势 9
2.3.2 STP生成树技术与HSRP热备份路由协议技术 10
2.3.3以太网捆绑技术 10
2.3.4 OSPF多出口技术 10
2.4设备选型 10
2.4.1核心层选型 10
2.4.2汇聚层 11
2.4.3接入层 11
2.5目标网络拓扑 11
第3章 基于ENSP的校园网的详细IP地址与VLAN的划分 12
3.1 IP地址划分原则 12
3.2 IP地址及主要VLAN划分 12
3.3三层链路地址划分 13
3.4设备命名及loopback地址 14
3.5网管地址划分及所属VLAN划分 15
3.6 DHCP服务器IP地址池划分 16
第4章 基于ENSP的校园网的局域网设计实施方案 17
4.1基本配置命令 17
4.1.1设置交换机的加密使能口令 17
4.1.2设置登录虚拟终端线时的口令 17
4.1.3设置终端线超时时间 17
4.1.4设置禁用IP地址解析特性 18
4.1.5设置启用消息同步特性 18
4.2配置接入层交换机 18
4.2.1设置接入层交换机的管理IP 18
4.2.2配置访问层交换机AccessSwitch1的访问端口 19
4.2.3设置快速端口 19
4.2.4配置访问层交换机AccessSwitch1的主干道端口 19
4.3 配置分布层交换机DistributeSwitch的VTP 20
4.4 核心层交换服务的实现-配置核心层交换机 20
4.4.1核心层上以太网接口捆绑技术 21
4.4.2 HSRP网关冗余技术 21
第5章 基于ENSP的校园网的策略路由实施方案 24
5.1 VLAN三层路由接入方案 24
5.2路由技术的比较与选择 24
5.3多出口OSPF的实施配置 26
第6章 基于ENSP的校园网的广域网Internet与服务器接入实施方案 29
6.1防火墙 29
6.2服务器模块 31
6.3 DHCP的部署 32
第7章 基于ENSP的校园网的仿真模拟实现 33
7.1仿真拓扑 33
7.2 VLAN仿真与测试 33
7.3 STP生成树仿真与测试 34
7.4 以太网捆绑测试 36
7.5网关冗余技术测试 38
7.6路由的仿真与测试 38
7.7 PAT仿真与测试 39
7.8 DHCP服务器测试 39
结 论 41
参考文献 42
致 谢 44
摘 要
基于策略的路由是一种比基于目的网络的路由更灵活的数据包路由和转发机制。路由器处理需要转发的数据包,通过路由图决策,路由图确定数据包的下一个路由器转发路径。该设计以校园网为背景,采用多出口周边网络方案,可以缓解CERNET与公网互联不畅的问题,但会导致周边网络路由复杂。
为此,您应该在实施此方案之前规划好您的周边网络路由,并通过掌握该流量在您的周边网络中的转发过程来有效地预留流量。外网只能访问内网记录服务器,内网主机可以自动选择出口访问外网。实验基于典型计算机网络环境对网络功能的要求,使用ENSP模拟器构建整个网络拓扑。在实现网络功能的过程中,策略路由主要用于完成组网设备的配置和最终结果的验证。
关键词:策略路由;网络多出口;校园网络;ENSP;仿真模拟
Abstract
Policy-based routing is a more flexible packet routing and forwarding mechanism than purpose-based routing.The router processes the packets that need forwarding, and the routing graph determines the next router of the packet forwarding path through the routing graph decision.The design takes the campus network as the background and adopts the multi-exit peripheral network scheme, which can alleviate the problem of poor interconnection between CERNET and public network, but will lead to complex surrounding network routing.
To this end, you should plan your peripheral network route before implementing this plan, and effectively reserve the traffic by mastering the forwarding process of the traffic in your peripheral network.The extranet can only access the Intranet record server, and the Intranet host can automatically select exits to access the extranet.Based on the functional requirements of a typical computer network environment, the whole network topology is constructed using the ENSP simulator.In the process of realizing network function, policy route is mainly used to complete the configuration and verification of final results.
Key words: strategic routing; network multi-exit; campus network; ENSP; simulation simulation
本文来自: 毕业作品网站(www.biyezuopin.vip) 详细出处参考:
摘 要
本组网主要完成对院校内网络的组网,步线组网及解决方案。
论文主要介绍了学院的组网,所要完成的是组网的整个过程。重点的说明了校园网的设计思想、难点技术和解决方案。
1.引言说明了校园网建设的目标。
2.校园网的设计需求,简明介绍了学院的设计需求。及接点数和大概的组网思路。
关键字:组网,方案,拓扑图,校园网
引言
在网络信息时代的今天,面向新的需求和挑战,为了学校的科研、教学、管理的技术水平,为研究开发和培养高层次人才建立现代化平台,Intranet/Internet技术的高速多媒体校园网。
整个高速多媒体校园网建设原则是"经济高效、领先实惠"。
校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统,逐步建立学校信息管理网络,实现办公自动化。
筹划校园网要讨论三个要素,运载基础设施、运载设施和运载信息。
需求分析
学院校园网一般为大中等规模的组网,节点数一般300到500个,网络应用也较中型校园网复杂,对通信的要求也较高,因此已经要求百兆交换到桌面,并要求支持多媒体的应用。
所以该校园网网络中心采用FlexHammer24交换机进行堆叠,提供高密度的10/100M自适应端口,二级节点交换机根据具体情况选择μHammer2或μHammer24交换机,对多媒体教室、电子阅览室等需要多媒体应用、要求较大带宽的二级节点则选用μHammer24交换机,提供10/100M兆端口接入用户桌面。普通教室选用μHammer2交换机,提供10M/100m端口接入用户桌面。
FlexHammer和μHammer交换机还具有划分VLAN的功能,使各部门的局域网可自成体系,隔离了广播风暴,同时FlexHammer的第三层交换功能又使不同用户群之间必要的限制性访问得到实现,从而使得应用网络的设计更加自由,更加灵活。
设计原则:
学校需求为前提原则
品质与成匹配原则
设备选型兼顾原则
技术应用全面原则
坚持标准原则
校园网建设的目标主要有两个:
一、是与外界的资源共享和信息共享,如通过Cernet(中教网)与国内外各院校、各部、各省等相连,又如通过Internet与各国相连;
二、校内的资源共享与信息交换,如校园行政管理系统、教学管理系统、各年级师生对图书馆资源的远程检索和资料阅读系统等等。
可以和企业的Internet/Intranet对比,但在应用中由于教学等需要而具有特殊性,如对多媒体教学传输的需求。 因此,我们充分考虑校园网应用需求来确定解决方案。
系统问题与用户需求
1.建立一个校园网综合布线系统
2.建立一套基于 Intranet的学校信息管理系统。
3.建立一套高速多媒体校园网教学系统。
4.具有完善的网络安全机制;
5.能够与原有的单机使用的计算机和独立的小型局域网平滑连接,保护原有的投资。 足够的Internet连接。
方 案 分 析:
1.在此校园网络中主干交换机是Ltnetcomm的千兆骨干LTS6808G,和IP Switch LTP9524x 给网络带来了,极高的背板带宽.其中LTP9524X支持IEEE802.1Q VLAN和IGMP协议,能够 划分VLAN,IP SWITCH的功能能使VLAN之间通信.并且支持VOD系统,使之运行更完美.
2.在每一座楼上放置一台千兆分支交换机.
3.在流量要求不大的地方,采用三级交换到桌面的方式,来扩展端口数量.
4.为使系统运行稳定、连续及安全,在本系统中采用北京科尔茂公司的高性能的数字化在线式UPS---Chroma 9100系列 DSP UPS。其采用DSP、大屏幕液晶显示、智能化电池管理等先进技术
,达成UPS的高性能化、高效率化、高可靠度化与智能化。为用户的重要设备提供绝对纯净稳定的不间断电源,结合双变换技术完全隔离不良电源如断电、尖峰、频率漂移、电源下陷、谐波
等对设备的损害及防止数据资料的损失,结合智能化电源监控软件,为网络中的服务器、网络设备及用户端设备提供可靠安全完整的电源保护。
5.SuperMicro 8060机架式服务器是采用4U机柜式机箱、支持四路PIII Xeon处理器的具有较高性能及可靠性的互联网机架式服务器,
它专门为服务提供商而精细设计,占地少、布线容易、而且管理和维护方便,用户可以根据自己的需要灵活安装、并且能够并行堆叠服务器,以提高可用性服务。高度集成的设计增强了系统的互操作性,以太网、SCSI、图形与服务器管理控制器均紧密集成于一个平台。互联网机架式服务器是服务提供商的最佳选择,大量的7U服务器可有前端为ISP/ICP的用户提供多种Internet服务,极大地扩充ISP/ICP的业务量。SuperMicro 8060机架式服务器可稳定运行于多种操作系统平台,它所采用的最新技术及高可靠性和高性能确保其能胜任WEB服务器、ERP、电子商务、数据中心服务器及其它关键领域
校园网建网原则
建网要遵循依据需求、统筹规划、分步实施、成熟可靠的原则。
校园网建网要求
软件方案概述
校园教学信息服务系统
多媒体课件制作室 多媒体电脑室
多媒体综合电教室 多媒体电子阅览室
虚拟因特网服务
校园内部通信服务系统
校园网络电子公告牌 校园内部电子邮件
校园主页
校园BBS
硬件方案概述
主要采用CISCO、3COM、ACCTON等公司的以太网网络设备,IBM、HP、CENTURY等公司或品牌的服务器、以及ORTRONICS、AMP等公司的综合布线产品。
主要设备有:
校园网的设计需求
一.现代教育中心(网管中心)
1.多媒体教室十个(10个机房,52台/个,带宽10K)
2.语音教室(10个,52台/个)
3.投影教室(6个,1台/个)
4.办公计算机(10台)
5.电子阅览室(100台)
6.机房(600台,一个200台,50台/个(有8个机房))
二.行政楼 行政管理中心 (86个信息点)
1.计划财务 5台
2.院办 2台
3.党办 2台
4.招生就业 1台
5.总务 3台
三.教学楼(3个教学楼(光纤))
一号教学楼(64个点)
二号教学楼(46个点)
三号教学楼(57个点)
四.实验楼(2个实验楼)
一号实验楼 114个点(专业)
二号实验楼 122个点 普通(化工,精工,办公之用)
五.图书馆
办公电脑 75台
电子阅览室2个 100台/个
设计说明
5.1系统概述
网络平台在整个校园网络系统中占有举足轻重的地位,它是整个网络的基础。在网络平台上,数据传输、信息发布、资源共享、学校以后的BBS、办公自动化系统、VOD系统、远程教学系统、NTERNET接口、以及与其他兄弟学校的数据交换都将运行在这个网络上。因此,主干网的好坏直接影响到以后网络系统的运行效率,速度快慢,网络性能等参数。因此,建立一条高速的、多能的、可靠的、易扩展的主干网络,解决目前存在的带宽问题,和适应未来发展的需要是校园网建设中一个重要的课题。
1.建设目标
校园网建设的总体目标是利用各种先进、成熟的网络技术和通信技术,采用统一的网络协议(TCP/IP),建设一个可实现各种综合网络应用的高速计算机网络系统,校内各部门通过网络连接起来。
网络不仅要现在网络上的一般功能:如E-MAIL、FTP、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询,还需要实现包括视频点播(VOD)、电话会议、网络电话(IP电话)等功能,是一个高速多媒体互联网络,并最终实现整个校园系统的资源共享。
通过网络系统资源的整合,传统的模式将改变,实现多层次、交互式,从而提高质量,扩大规模
2.建设原则
2.1 为校内各部门的行政管理、计算机辅助教学和领导决策服务。
2.2 统筹规划,统一标准,联合建设,滚动发展,边建设,边应用,边见效益,充分利用中国政府网的优势,逐步建立一个覆盖全市、县普通政府系统的高效的信息网络系统。
2.3 充分重视网络系统和信息的安全,建立先进的网络管理系统和安全管理系统。建立完整的信息控制和授权管理机制。
2.4 在限定的时间和规模内,努力降低费用支出,提高系统的性能价格比。
2.5 采用成熟的先进技术,兼顾未来的发展趋势,既量力而行,又适当超前,留有发展余地。
2.6 充分发挥各方面的积极性,计算机网、信息网同步建设。
3.实现功能
要求完全建成以后能实现除现在网络上的一般功能:如E-mail、FTP、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询外,还应包括视频点播(VOD)、电视会议、网络电话(IP电话)等功能,是一个高速多媒体互联网,实现整个校园系统的资源共享。
4.主要技术问题
4.1组建千兆位量级网络主干
从不拥堵的10Mbps共享型工作组LAN过渡到今天的高性能网络主干,随着网络演变到今天的任意点对点连接模型,边界应用的需要迫使网络厂家连续开发了几代更高性能的LAN技术。
第2层交换机开始提供基于硬件的数据包处理能力。第3层交换能力使它们可以取代LAN路由器的其它功能以加快主干的传输速度。今天,网络管理人员已把第3层交换看作是扩大主干核心性能的实际要求。
第三层交换。第3层交换机保留了第3层拓扑结构和服务的优点又没有传统LAN路由器那种基于软件进行数据包处理的缺点。第3层拓扑结构在网络分段、安全性、可管理性和抑制广播等方面有诸多有益的优势。此外,它鉴别各种应用层协议的能力有助于实行基于策略的网络控制。所以,下一代交换机必须支持基于硬件的数据包处理,以利于传输各种主要的可路由协议:IP、IPX和AppleTalk。
基于总线的交换机的主要设计限制是TDM必须采用的工作频率。在标准的19英寸背板上,频率极难超过50MHZ。由于这个限制,基于总线的交换机的背板实际最高容量平均为 2Gbps。此外,这种设计还存在许多方面的问题,包括接口卡带电更换能力,公平获得带宽、有效支持在并行背板上进行广播和多址联播,这些问题进一步增加了这种设计的固有复杂性。
4.2信息安全问题
用户信息的不安全性主要是由用户处于以太网环境中引起的,因此要保证用户信息的安全性,就必须实现以太网环境下的用户隔离,目前主要采用的技术为VLAN技术,VLAN技术是由IEEE802.3q和IEEE802.1q定义的,其基本思想是:对每一层上的设备,下行端口分别处于一个VLAN中,上行端口分别与每个端口处于一个VLAN中,传输的以太网帧为传统的以太网帧,不含VLAN ID,一方面可以使网络支持的用户数不受VLAN个数的限制,另一方面静态分配IP地址时只需要给用户分配一个IP地址。
5. 网络规划
校区内有南教学楼、北教学楼、实验楼、图书馆楼各1座。200余个信息点。对于如此规模点中型网络,一般来说出于网络安全和性能考虑,需要将网络划分为多个VLAN,要求既可按不同的班级、单位划分VLAN,也可按用户IP子网划分VLAN。计算机教室与各办公科室接入入用户之间不能互相通信,只能访问校园网资源,以此屏蔽广播风暴。借助三层交换机可实现跨VLAN访问。
楼宇接入交换机应具有千兆上联端口,能够通过堆叠或增加模块来提高接入端口密度,应支持SNMP等网管协议,以便通过网络对所有设备的状况进行监控和管理。在此推荐采用千兆通DES-3624系列交换机,采用1台主交换机DES-3624i,最多可与3台从交换机DES-3624组成堆叠组,提供94个10/100Base-TX端口。DES-3624i可选择1口1000Base-T模块DES-361T、1000Base-SX模块DES-361G以及1000Base-LX模块DES-361GL上联骨干网。当然也可以在DES-3624i和DES-3624的前面板插槽上扩展1口SC或2口MT-RJ 100Base-FX光纤模块,实现远距离百兆上联。
千兆通系列交换机支持端口聚合(Port Trunking)、VLAN、流量控制(Flow Control)、端口镜像(Port Mirror)等功能,可以增加网络连接带宽,提高网络性能,并使网络更易于监控, IGMP组播协议可以在多媒体传输时有效降低网络流量。支持SNMP和RMON网管协议,符合标准化网管要求,可以通过网络的D-View全中文网管系统进行监控、管理和远程配置。
如果学校暂不需要三次交换技术,在此我们提供两套方案以供比较选择,并对其网络设计分别进行阐述。
5.2主干网络设计
三层交换方案
1. 布线及网络规划
建立网络中心(试验楼),连接各建筑物(图书楼与南、北教学楼);网络中心、各建筑物之间布线根据距离采用室外铠装4芯单模光纤,以便采用链路聚合技术及备份线路。光纤布线采用星型结构,即由试验楼网络中心向其它建筑辐射。建筑内部布线采用6类双绞线进行垂直和水平布线,如建筑物规模较大,也可部分采用室内多模光纤。
网络结构包括网络中心、楼宇设备间两层结构,因北教学楼、南教学楼和试验楼的信息点数量少于90个,可在楼宇设备间采用堆叠交换机直接连接到桌面,从而减少网络层次,提高可靠性和可管理性。图书楼因信息点较多,建议采用DHS-3226作为楼宇接入交换机。
2. 核心交换机
中心交换机采用D-Link千兆通DGS-3308FG可网管独立型三层交换机。该交换机结合了二层三层交换机的性能,融合有IP路由选择功能,并且使用ASIC芯片代替CPU,大幅度增强楼交换机的楼数传输性能。据DGS-3308FG是一款全千兆接口的三层交换机,具有6个1000Base-SX端口和2个GBIC插槽,可根据实际需求选择DGS-701 1000Base-SX或DGS-702 1000Base-LX 用于连接GBIC接口的模块, 16Gbps交换背板可提供12Mpps的线速包转发速率,并支持RIP、RIP II以及OSPF路由协议,是一款性价比极高的校园网中心交换机。
IEEE802.3x流量控制能够允许多台服务器与该交换机连接,进行快速、可靠的数据传输。在2000M全双工模式下,该交换机能够向服务器提供高速率数据传输通道,使数据传输损失降到最底。DES-3624i交换机支持SNMP等网管协议,方便通过网络对所有设备的状况进行监控和管理。支持IEEE802.1d生成树(Spanning Tree)协议。
各楼宇接入交换机采用千兆通DES-3624系列或DES-3226支干交换机。
DES-3226是一款独立式交换机,具有24个10/100Base-TX端口,后面板可选插1口千兆模块,背板带宽8.8Gbps。DES-3226适合于用户数量较少的楼层接入。DES-3226可选择2口的1000Base-T模块DES-322T、2口1000Base-SX模块DES-132G以及2口1000Base-LX模块DES-132GL。前面板插槽可扩展1口或2口SC 100Base-FX多膜光纤模块DES-131F/132F,实现远距离百兆上联。前面板插槽还可扩展1口或2口SC 100Base-FX单膜光纤模块DES-131FL/132FL,实现超远距离百兆上联。
以校校通EDS-1624交换机作为极连交换机,连接100M到桌面。
3. 网管和存储
网管服务器安装D-View网管系统,可以对所有网络设备进行监控和管理。
在网络中心配置一台NL360网络存储服务器,用于存储课件及电子图书资料。
4. 与杭州远程教育网及Internet的连接
学校配有杭州远程教育网接收设备,除此之外,如果出于提高Internet访问自主权的考虑,可以申请租用ADSL专线,实现专线接入连接Internet。如有必要,还可安装1个ISDN模块,用于链路备份。
配置一台NL360网络存储服务器,作为WWW、FTP及E-mail服务器。
为确保网络安全,防止外部入侵,并控制内部用户的访问行为,可以在路由器或代理服务器与校园网之间安装DFL-2000防火墙。
5. 方案特点
采用高性能三层交换技术,确保大型校园网具备高性能、高安全性;
具备电信级的容错能力,确保网络的高可靠性;
支持丰富的网络接口类型,包括城域网远程连接;
强化的多媒体及QoS功能支持,可满足大流量的多媒体传输需求;
全中文网管系统,易于管理和维护。
采用DGS-3308FG和DES-3624堆叠组,可以根据校园网的发展来增加新模块和堆叠交换机数量,扩展性强。
可支持多种速率和介质类型,可以在充分利用原有设备的同时对网络主干进行升级和扩展,灵活性高。
支持D-View全中文网管系统,易于管理和维护;
6. 相关设备参数
DGS-3308FG
1个DB-9 RS232控制端口
交换方式:储存/转发
路由选择协议:RIP-1、RIP-2
MAC地址列表:每台设备8K
IP路由选择列表:每台设备2K
RMON组:1、2、3、9
IP地址自动识别:通过DHCP客户端、Bootp客户端
前面板故障诊断LED指示灯
内置通用电源
标准19英寸机架
EMI:FCC ClassA,C-Tick,VCCI ClassA,BSMI ClassA
安全性:UL/CUL,TUV/GS
5.3服务器技术参数
服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取决于中心客户的类型和应用种类。就中小学情况而言,Web应用和数据库应用仍然占整个数据中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组(SMP)对操作系统的进程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性,同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑,所选的服务器必须具有高可靠性,I/O吞吐能力强,数据处理快,可扩展性和可管理性良好的特点。
可靠性
冗余是消除系统单点故障的重要手段。它可分部件级和系统级两种。系统级冗余指整个服务器系统的冗余,部件级冗余主要包括如下几点:
1、可热插拔冗余电源
2、可热插拔冗余磁盘和RAID技术
3、带ECC校验的内存容错
4、支持SMP技术的CPU冗余
5、多I/O卡(网卡、磁盘控制器)冗余容错
6、多段PCI总线冗余
7、I/O吞吐能力
服务器可提供网络平台、文件服务、打印服务以及网站的信息浏览服务和其他的Internet/Intranet服务,为了加快访问速度,获得迅速的响应,要求网络、硬盘、I/O吞吐能力更大,可以从以下几方面来考虑:
1、 采用PCI总线并发操作以提高系统I/O吞吐量
2、 支持智能I/O技术,减轻主CPU的负担,优化总线的传输
3、 采用先进的SCSI技术
4、 支持10000转/秒以上的高速硬盘,巡道时间小于7ms
5、 具有以上先进技术的I/O吞吐能力的服务器,可完全满足校园网目前以及将来的所有服务要求。
强大的处理能力
服务器的数据处理能力主要由CPU的处理能力,可扩展大容量内存和系统带宽所决定。
1、CPU Pentium4 2.0双处理器;
1、 支持GB级的ECC、EDO内存;
2、 支持400 MHZ以上和高出并行FSB总线。
3、 只有满足上述条件的服务器才可以突破瓶颈,改善服务器的系统带宽。
4、集成双1000M网络控制器。
高扩展性
考虑到将来网络规模的扩大,服务器在选型时必须要兼顾高的扩展性,服务器通过外加设备的支持,可以支持更高要求的性能与速度。
可管理性
保证整个系统的正常运行和降低网络维护费用,需要使用具备优良系统管理功能的服务器,具体的指标如下所示:
1、支持外部管理总线(XIMB)和ISC(Intel Server Control)管理软件即可实现对系统进行远程管理;
2、 监控系统主板状态、电源状态、机箱内温度及风扇状态等,并能够及时的通过网络进行报警;
另一种常见的方法可以大幅提高服务器的安全性,这就是集群。
双机热备示意图:
浪潮英信NL360服务器技术指标:
高性能:NL360采用功能强大的Xeon处理器,支持超线程技术,可以在两路物理处理器的基础上模拟出四路处理器,具有极强事务处理能力;双通道Ultra160 SCSI控制器配合最新的DDR内存和PCI-X技术使数据传输速率得到极大提升,从而可把1000M网卡等高性能设备的能力发挥到极致,突破传统数据传输瓶颈。
高可靠性:NL360采用的ECC内存可纠正绝大多数内存错误,减少宕机时间;RAID技术为NL360提供绝对可靠的数据保护和加速传输功能;冗余双电源可使系统24*7不停顿运行,双千兆网卡在实现高速数据传输的同时可通过网卡冗余技术保证网路畅通无阻。
高可用性:NL360支持热插拔硬盘和热插拔电源,方便实现在线维护,可使用户关键业务不至与中断,杜绝了数据灾难的发生。
高扩展能力:NL360最高支持双路XEON处理器,存储最大可扩展至4个内置、9个热插拔硬盘,汇集最高近1000G的海量存储,DDR内存更可达到12GB,加上双电源的应用,用户可根据自身需要轻松升级,满足快速增长的商业数据、工作任务的苛刻需求。
可管理性:NL360采用标准的服务器管理:支持CPU温度、系统电压、风扇转速等的监控;支持AC掉电恢复;此外,NL360还支持浪潮自主开发的蓝海豚智能安装导航软件和猎鹰服务器管理软件。所有设计使缺乏专业管理人员的用户轻松管理自己的业务,极大降低总体拥有成本。
技术规格:
处理器 支持两路Intel Xeon处理器,主频最高可达2.2GHz
二级缓存 512KB
系统总线 400MHz
内存 ECC Registered DDR内存,最大容量可扩展到12GB
硬盘控制器 双通道Ultra160 SCSI控制器
存储 4块内置硬盘和9块热插拔硬盘,支持18G/36G/73G Ultra 160 SCSI硬盘
I/O扩展槽 1个64位133MHz PCI-X扩展槽; 2个64位100MHZ PCI-X扩展槽; 1个64位66MHz PCI-X扩展槽,2个32位33MHzPCI扩展槽
网络 集成两个Intel 1000Mbps网络控制器
显示 集成8M显存
电源 460W或550W单电源,可选1+1 400W塔式双电源
光驱 50X IDE光驱
软驱 1.44M 3.5"软驱
键盘鼠标 PS/2键盘和PS/2鼠标
I/O端口 1个串口,1个并口,2个USB口
监控管理特性 支持浪潮蓝海豚智能安装导航软件,可轻松完成系统设置、驱动程序制作及操作系统自动安装等工作;支持浪潮猎鹰服务器管理软件,可实现全面的服务器设备信息监控、自动报警和恢复、远程管理等功能。
操作系统 Windows NT4.0,Windows 2000 Server,Netware5.0,UnixWare7.11,Red Hat Linux7.3
工作环境温度 5℃~35℃
电源电压 220V 50Hz
系统尺寸 高467mm*宽376mm*深518mm
浪潮英信NP120服务器技术指标:
高性能 :NP120采用Xeon处理器,支持超线程技术,可在1颗物理处理器的基础上模拟出两颗逻辑处理器,有效提升资源利用率,同时Xeon处理器拥有512KB大容量二级缓存,减少了处理器到硬盘提取数据的时间,显著增强系统性能,DDR内存传输速率是SDRAM的两倍,在最容易出现性能瓶颈的磁盘系统,NP120采用10000转SCSI硬盘,通过双通道Ultra160 SCSI控制器,极大改善了数据的传输速率,作为网络的中心设备,服务器与外界进行数据交换的质量至关重要,NP120配备1个100M和1个1000M网络控制器,具有很高的网络带宽,同时支持网络的负载均衡,可合理地为不同任务分配网络带宽,提高工作效率。
高可靠性:NP120采用ECC DDR内存,可纠正绝大多数内存错误,减少宕机时间;
NP120支持网卡冗余,提供冗余链路,保证网络时刻畅通。
结束语
一个设计方案的好坏,特别是校园组网。与设计人员对其电脑硬件的方方面面地掌握程度息息相关。
在本组网过程中,由于本人对网络知识的掌握有限,又是完全独立完成,可以说整个的组网过程是一边摸索一边实践出来的。但令人高兴的是,通过这样一个边学习边应用的过程,本人完成了校园网的组网的工作。本人考虑到价格及性能的因素,在写这篇论文是,也去过了许多电脑硬件商,使我的对其也有一个很大的认识,也花费了一番功夫。
但总的来说,该方案仍然存在许多不足之处。如:
受开发条件和时间的限制,本方案只是反照小型局域网的步线方式,简单的操作。
这些都是需要完善的地方,该组网离实际还是有相当的距离,需要我进
行不断地补充和完善。通过本次毕业设计我学到了不少新的东西,也发现了大量的问题,有些在设计过程中已经解决,有些还有待今后慢慢学习
只要学习就会有更多的问题,有更多的难点,但也会有更多的收获。
参 考 文 献
[1] 网络基础 机械工业出版社,2002
[2] 局域网的连接与维护,电子工业出版社,2002
[3] 网络故障100例,机械工业出版社,2002
[4] 手把手教你--局域网的组装与维护,2001
[5] 校园网络技术与管理 张际平主编 东南大学出版社, 2001
[6] 局域网组建与管理 郝文化主编 机械工业出版社 2003
电子商务网站的平安控制
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以和之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的平安风险就构成了对电子商务的平安威胁。
从发展趋向来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的平安。
二、电子商务网站的平安控制
电子商务的基础平台是互联网,电子商务发展的核心和关键新问题就是交易的平安性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的平安控制要求。
下面从技术手段的角度,从系统平安和数据平安的不同层面来探索电子商务中出现的网络平安新问题。
(一)系统平安
在电子商务中,网络平安一般包括以下两个方面摘要:
1.信息保密的平安
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的平安
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的平安尤为重要,这种平安首先取决于系统的平安。系统平安主要包括网络系统、操作系统和应用系统三个层次。系统平安采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、平安评估技术等。
(1)网络系统
网络系统平安是网络的开放性、无边界性、自由性造成,平安解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络平安便成为首要新问题。解决网络平安主要方式有摘要:
网络冗余——它是解决网络系统单点故障的重要办法。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络平安等级考虑划分合理的网络平安边界,使不同平安级别的网络或信息媒介不能相互访问,从而达到平安目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据平安需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同平安域出入口处,对进出网络的IP信息包进行过滤并按企业平安政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输平安,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的平安标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到平安较大的回报,并保证用户的应用平安。
平安监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的平安漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成具体报告,包括位置、具体描述和建议的改进方案,使网管能检测和管理平安风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统平安性直接关系到应用系统的平安,操作系统平安分为应用平安和平安漏洞扫描。
应用平安——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护和恢复软件,并作相应的备份。
系统扫描——基于主机的平安评估系统是对系统的平安风险级别进行划分,并提供完整的平安漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的平安存储摘要:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA平安PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于平安存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的平安传送摘要:对通过网络(远程或近程)传送给他人的文件进行平安处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的平安鉴别机制(IC卡、PCMCIA PC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的平安摘要:主要面向业务管理和信息服务的平安需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发平安软件,如平安邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据平安
数据平安牵涉到数据库的平安和数据本身平安,针对两者应有相应的平安办法。
数据库平安——大中型企业一般采用具有一定平安级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些平安办法,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有平安数据库系统、数据库保密系统、数据库扫描系统等。
数据平安——指存储在数据库数据本身的平安,相应的保护办法有安装反病毒软件,建立可靠的数据备份和恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的平安
网上交易平安位于系统平安风险之上,在数据平安风险之下。只有提供一定的平安保证,在线交易的网民才会具有平安感,电子商务网站才会具有发展的空间。
交易平安标准——目前在电子商务中主要的平安标准有两种摘要:应用层的SET(平安电子交易)和会话层SSL(平安套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的平安标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的平安协议,事实上已成为WWW应用平安标准。
交易平安基础体系——交易平安基础是现代密码技术,依靠于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效平安的目的。
交易平安的实现——交易平安的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证实,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证实身份,也需要这些服务器向客户证实他们自己的身份。而保障身份平安的最有效的技术就是PKI技术。
PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(Certification Authorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证实—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证实的该用户。CA也要采取一系列相应的办法来防止电子证书被伪造或篡改。构建一个具有较强平安性的CA是至关重要的,这不仅和密码学有关系,而且和整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络平安中得到更广泛的应用,从而真正保障用户和商家的身份平安。
三、目前信息平安的探究方向
从历史角度看,我国信息网络平安探究历经了通信保密、数据保护两个阶段,正在进入网络信息平安探究阶段,现已开发研制出防火墙、平安路由器、平安网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络平安领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络平安的方案,从平安体系结构、平安协议、现代密码理论、信息分析和监控以及信息平安系统五个方面开展探究,各部分相互协同形成有机整体。
平安协议作为信息平安的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息平安关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息平安学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名新问题,它是当前探究的热点。
目前电子商务的平安性已是当前人们普遍关注的焦点,它正处于探究和发展阶段,并带动了论证理论、密钥管理等探究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络平安技术的探究和产品开发虽处于起步阶段,有大量的工作需要我们去探究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的平安,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展和普及,直接带动电子商务的发展。因此计算机网络平安的要求更高,涉及面更广,不但要求防治病毒,还要提高系统反抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身平安性,如服务器自身稳定性,增强自身反抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机
