导语:如何才能写好一篇网络规划与设计方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
一、校园地理环境
我校分为南北两个校区,南区为教学区,包括:三栋教学楼、一栋图书馆、一栋教师办公楼、一栋教工宿舍、两栋学生宿舍;北区为实训中心,与南区相隔一条街道,包括:南北两栋实训楼。
二、校园网功能需求
学校是以现代化手段培养人才的地方。为了更好地使计算机及其网络在辅助教学、教学管理等方面发挥作用,我校计划在校内建立校园网,并与国际互联网相连。
校园网的信息点应该普及两个校园区所有教学楼的教室,实训中心的电脑室、实训室,教师办公楼,图书馆,宿舍楼等,同时教室办公楼应该提供无线网络接入。校园内每个信息点的电脑都可以相互访问,实现广泛的软件、硬件资源共享;同时每个信息点的电脑都能接入互联网,提供基本的Internet网络服务功能,如电子邮件、对外个人主页服务、ftp服务、域名服务等。
三、校园网网络规划设计
1.综合布线结构
根据学校的地理位置,各栋建筑物到网络中心的距离,以及数据的流量,采取光纤+超五类综合布线系统。
(1)主干网。网络中心在图书馆四楼,对于南区教学区,因为每栋楼到网络中心都在400米左右,所以每栋楼的交换机都用12芯的室外多模光缆与网络中心的核心交换机连接;而北区实训中心因为离网络中心太远,南北楼的交换机用12芯的室外单模光缆与网络中心的核心交换机连接。主干网是由光纤构成的1000M网。
(2)楼内网。每栋楼的交换机都放在四楼中间的一间房间里,各个信息点到交换机的距离都在100米内,楼内的布线用超五类线,为每间教室、实训室、办公室等提供两个信息点。楼里面则构成10―100M的网络。
2.设备选型
网络设备必须在技术上具有先进性、通用性,必须便于管理、维护。网络设备应该满足学校现有计算机设备的高速接入,应该具备未来良好的可扩展性、可升级性,保护学校的投资。网络设备必须在满足功能与性能的基础上价格最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须有良好的市场形象与售后技术支持。
根据多方面的考虑,我们确定选用华为三康的设备,路由器用MSR30-40,防火墙用F-1000A,核心交换机用S-7506,各栋楼的接入交换机用E-126A。这些设备完全满足校园各种功能需要,同时也满足未来扩展的需要。
3.Internet接入
根据对全校总出口流量的估算,为确保内部网站和外部网站的连接畅通,我们用电信20M带宽的光纤专线接入,有一个Internet固定的IP地址,所有计算机都通过NAT(网络地址转换)进入Internet。
4.VLAN规划
VLAN为虚拟局域网,它有如下优势:抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。基于这些优点,我们按照各栋楼的不同情况对交换机进行VLAN划分,具体是:VLAN1―设备管理、VLAN10―图书馆、VLAN11―教师办公楼、VLAN12―实训中心南、VLAN13―实训中心北、VLAN14―4号教学楼、VLAN15―5号教学楼、VLAN16―1号教学楼、VLAN17―教工宿舍。
5.路由规划
核心三层交换机S-7506实现VLAN之间的相互访问。对于三层交换机来讲,所有VLAN(网段)都是直连的,因此只需要启动路由,而不需要设置额外的静态或动态路由条目。我们在S-7506中创建VLAN10至VLAN17,并把与接入层交换机光纤连接的光纤端口添加到对应的VLAN中,同时给VLAN端口添加对应的网关IP作为虚拟端口的IP地址,实现整个校园网不同网段之间的相互访问。
6.无线接入
充分利用计算机辅助教学及利用网络软硬件的资源共享,是校园网为教学服务的一大特点,我校教师每人配备了一台手提电脑,手提电脑接入校园网,采取无线接入的方式。
构建“无线漫游”接入区,在办公楼放置三个TP-LINK841无线路由器,SSID都是BanGong,频道则分别为1、6、11三个互不干预的频道,不加密码是开放式,开启DHCP,地址池IP为192.168.1.50/24―192.168.1.200/24,这样教师可以很方便地接入到校园网。
7.开放计算机机房
学校内有大量的各种各样的开放式机房,是学生学习计算机的场所,通常这些计算机连成一个局域网,除具备一般的互访外,通常还要求这些计算机能够访问到Internet。为满足教学要求,我们作了如下规划:(1)IP地址用私有C类192.168.0.0/24。(2)实现Internet访问,实际上是一个局域网PC如何共享上网的问题。在每一个机房部署一个信息点,相当于Internet出口,用服务器的方式通过信息点接入校园网,从而实现访问Internet。
8.对外站点
对于一些外部站点的问题,通常放置在DMZ区内,DMZ区的安全等级高于外网,低于内网,防火墙的默认规则是允许安全等级高的访问安全等级低的,禁止安全等级低的访问安全等级高的。因此,防火墙不需要设置规则就可以实现内网访问到DMZ区,但外网不能访问到DMZ区。对于学校来讲,WWW站点的主要目的就是对外信息,必须让外网能够访问到,为了到达这个目的,可以在防火墙上添加一些规则,开放DMZ区所在服务器的IP,以及相应的端口。在DMZ区放置学校的服务器:邮件服务器、WWW服务器、数据服务器、文件服务器。
四、网络安全及管理需求
校园网是巨大的资源中心,存放着各方面的信息资源,涉及学校的方方面面,同时,校园网又是一个开放的系统,有不同的人员在校内或校外访问它,因此,校园网的建立不仅是网络硬件和应用的建立,还应该特别重视校园网的安全问题。网络安全是一个体系结构,涉及整个办公环境的各个方面,包括人员和设备,信息的驻留点,以及沿途经过的各个中间环节,从物理层到应用层都要小心对待。
1.设备级安全
包括网络中所有可管理的网络设备、服务器和网管工作站的安全。设备级安全是网络的第一道屏障,严格限制能够远程管理(包括Telnet方式和Web方式)网络设备的IP地址列表,必要时关闭部分或全部远程管理功能;对于核心网络设备,如骨干交换机和路由器,建议不设远程管理IP地址。
2.传输级安全
指敏感数据在传输线路中防止中途窃取或修改的安全性。解决办法包括室外线路尽可能采用无辐射抗干扰的光纤作为传输介质,室内明线使用屏蔽双绞线,中心机房加装屏蔽网,对远程传输的信息进行加密等。
3.网络层安全
是网络安全设计中的重要一环。网络层攻击是黑客最常用的攻击方式,如外部入侵。对付这种攻击方式最典型的解决方案是使用软件或硬件防火墙进行内外隔离,同时内网采用保留IP地址,访问外网时进行NAT转换(网络地址转换)。除了防止外部入侵外,也要注意防止内部的越权访问和故意破坏,一般在VLAN之间进行访问控制。
4.应用级安全
包括防病毒和认证体系。近年来病毒多如牛毛,如:熊猫烧香、ARP地址欺骗等。对于病毒问题,有效的解决方法是安装网络防病毒软件,修补系统漏洞。同时也要防范因内部人员不经意或故意“环路”,形成的“网络震荡”,解决办法是设置交换机STP协议(生成树协议)。
校园网是一个比较大型的网络,为了保证校园网更加有效、可靠地运行,我们配置了一台网络管理工作站,以便更有效地对校园网进行管理。根据网络设备选型,我们选择华为三康管理软件,同时用第三方管理软件一起管理网络,主要是solarwinds-toolset工具箱V9.2、超级PING、SnifferPortable4.8这三个软件。
五、方案规划设计特点
该校园网方案采用成熟的先进的技术,采用国际统一标准有广泛的支持厂商;所有设备都用华为三康一线产品。Internet带宽合理,确保网络不出现“塞车”现象;设置三层核心交换机,将整个网络划分为多个VLAN,从而使网络更加安全;同时本方案充分考虑了网络未来的升级与发展,把网络主干网构成了信息高速网,对未来的发展非常有利。
一、继续提高对审计信息化建设的认识
李金华审计长在2004年全国审计工作座谈会上指出,在当前“经验、开拓创新、不断深化、寻求进一步发展”的关键阶段,要加快审计事业发展,实现审计工作化,必须不断加快审计信息化建设。近些年来,各级审计机关的领导和审计人员对审计信息化建设重要意义的认识有了很大提高。但是,在对如何运用审计信息化手段,如何更新思想观念和思维方式,以适应和促进审计信息化进程等上,依然存在着一些模糊认识,并导致了各地方、各级审计机关审计信息化发展的不平衡。因此,我们要进一步解放思想,提高认识,克服阻力,树立起适应新形势的审计信息化建设的新观念。
审计信息化建设的思路,要从过去的各自独立开发,分别,转变到全国总体规划,优化结构,整体推进。在评价审计信息化建设的水准时,要改变过去那种以是否具有自行开发软件的能力为衡量标准的观念,确立重应用,重发挥信息技术对提高审计效率、质量和作用的观念。在审计信息化规划和建设方面,要确立全国审计系统“总体规划、系统设计、整体推进、分工协作、加强指导、分步实施、勤俭节约、严谨细致”的方针。
审计信息化建设的思路,要从过去单项业务和局部管理的需求驱动,转变到要符合信息化建设的整体需求和审计工作的。过去审计软件的开发,主要是依据单项业务和局部管理的需求来决定,或是依据新的单项业务和局部管理的需求来决定。这种建设思路造成了业务之间不能协同,业务和管理之间不能融合,信息资源不能共享,最终造成了重复开发,反复开发和资源浪费。因此,我们必须按照审计业务和审计管理的整体需求,按照能适应信息化的新型审计方式和审计管理方式,来确立信息化建设的思路。
审计信息资源的利用,要从过去局部的、地域性的,转变到能在国家审计系统总体范围内乃至与国家政务之间实现共享。审计信息化建设发展速度比较快的地区,信息资源的利用也还只是局部的。在各级审计机关的纵向和横向之间,以及审计系统内外之间,信息资源的共享程度也还很低,甚至是空白。当前,我国国家审计正处在重要的发展机遇期,审计工作面临的主客观环境发生了很大的变化,信息不灵、资源不活的状况已经对审计事业的发展产生了不良。因此,我们必须采取必要的措施,充分挖掘和利用信息资源,全力建设畅通的信息传递渠道,实现全国各级审计机关之间的信息资源共享。
审计信息化的人才建设,要从过去重少数人培养,转变到改善国家审计机关的整体知识结构和人才结构,提高全体人员信息化知识的素养。在信息化硬件环境基本完善之后,培养一批既精通审计和审计管理,又掌握信息化技术,具有信息化思维能力的审计人才,是审计信息化建设的关键。信息化人才的培养要注意防止实行“精英化”策略,防止只注重培养个别尖子人才的倾向。事实说明,这种做法是权宜之计,不能解决长远问题。近来,这种做法的弊端已经显现。因此我们一定要转变思路,在提高大部分审计人员和审计管理人员信息化知识素养的基础上,培养业务骨干,使我们的信息化建设和审计事业发展有一个比较坚实而且长效的基础。
二、搞好审计信息系统的规划和立项
审计署组织编制的《审计信息化建设指导书》(全书三册,共180万字,已印发至地市以上审计机关,以下简称《指导书》)提供了审计署和地方审计机关的信息化建设规划、金审工程一期项目建议书、可行性报告和初步设计方案的简本和范本。其中,审计署的信息化发展规划和信息化工作指导意见,各地审计机关要认真贯彻执行。在做地方金审工程立项工作时,可使用《指导书》所列各类立项报告。
各地审计机关要按照审计署信息化建设的总体规划,搞好本地区的审计信息化建设规划。审计署组织的金审工程二期建设立项报告完成后,以及国家关于电子政务工程建设项目立项的新规定出台后,将及时提供给各地审计机关。各地在使用上述文件时,要根据审计署的统一规划、设计方案,结合当地实际情况,积极做好与本级政府信息化主管部门的沟通协调,搞好信息系统的规划和立项工作,推进审计信息化建设工程。
三、搞好工程建设的政府采购和招标工作
《指导书》提供了金审工程的工程、货物、服务的招标和评标范本。各地审计机关在参考使用时,要严格执行国家和本级政府关于政府采购和招标工作的有关规定,参考范本提供的和样式,侧重注意政府采购和招标工作的法定程序、招标书的商务和技术要求、评标的纪律要求和技术设计,确保各项政府采购和招标工作做到公开、公正和公平。同时,要根据招标项目的需要,确定咨询、设计、集成、监理、工程和服务等供应商的资质,确保各项招标的质量和工程、货物、服务的质量达到规定的要求。
四、搞好工程建设的方案设计
《指导书》提供了中央金审工程的应用系统和系统(安全系统待发)的总体设计方案、系统集成方案(简本)和单项工程的设计范本,各地审计机关在实施工程建设时要参照执行。
中央金审工程的应用系统和网络系统的总体设计方案以及系统集成方案,是2002年工程启动时的版本,其内容在实际建设中有所调整。各地审计机关要按照总体设计框架和主要内容,规划设计好本地区的审计信息系统设计方案。
审计机关的局域网组网设计方案、网络布线设计方案和机房设计方案,是审计署对驻地方特派员办事处实施局域网建设的指导意见。各地审计机关在参照执行时,要根据实际情况进行适当调整。其中,省级审计机关建设计算机机房时,要从功能和面积上考虑到:审计内网、审计专网和审计机关门户网(因特网)的需要;审计内网、审计专网与审计署和下级审计机关的接入网的需要;审计机关与审计现场、联网审计的接入网的需要;网络监控、系统运行、数据中心、数据室、备份中心和各项保障措施的需要。
计算机机房的保障措施包括:供电系统、消防系统、防雷接地系统、新风空调系统、监控系统和门禁系统等。这些系统的建设要符合国家的有关规定。计算机机房的楼板承重,以每平方米不低于500公斤为宜,特殊部位还要适当增加。
网络布线的设计方案、线路材质和施工工艺,要按照国家关于涉密和非涉密的要求来严格实施。网络布线的信息点设计,要综合考虑岗位需要、“三网”需要和公共信息点需要,并根据适当冗余原则来搞好数量和布局的规划设计。计算机机房和网络布线的基础设施,至少要考虑满足10年的需要。地市级审计机关和有条件的县级审计机关应参考省级审计机关的设计方案,但可以适当简化。
中央和地方审计机关对接方案,是根据国家政务网络规划和审计机关之间信息资源共享的需要,在与省级审计机关协商基础上编制的,各地审计机关要参照执行。省级审计机关在做审计内网(涉密网)和审计专网(非涉密网)规划时,要考虑与上级和下级审计机关的网络互联和资源共享的需要。我们建议,可以设计小的审计内网(部分人员使用)、大的审计专网(本机关全体人员使用),以便有效地与审计署的涉密信息交互,与下级审计机关非涉密信息的资源共享。中央和省级、省级和市县级审计机关网络对接、信息共享方案,将通过试点建设、经验、完善制度、逐步推广。
地市级与县级审计机关的网络对接方案,建议采用《审计管理系统》“1拖N”方案,即系统设置在地市级审计机关,县级审计机关部署远程终端,以便减少县级审计机关信息化建设的投资和管理成本。少数省级审计机关(如西藏)和计划单列市审计机关,也可采用《审计管理系统》“1拖N”方案,地市级审计机关部署远程终端。审计署将根据《审计管理系统》“1拖N”方案的试点建设情况,适时组织交流,以推动基层审计机关的信息化建设。
五、搞好工程建设的组织实施
《指导书》提供了《金审工程建设管理暂行办法》、《金审工程项目管理办法》、《金审工程软件使用管理暂行办法》、《金审工程系统运行维护管理办法》等制度,还提供了审计署特派办局域网建设指导书、局域网组网技术和方案指导书、局域网配电指导书、金审工程应用系统推广使用技术配置等规范性文件,各地审计机关要参照执行。《指导书》提供的特派办和地方审计机关工程所使用的管理性文件,可使用。
审计信息系统建设是一项系统工程,要加强管理,讲究。各地审计机关要结合实际情况,制定和落实信息化建设的各项管理制度。局域网工程建设要按照审计署的各类指导书要求,结合本机关的实际情况,科学地组织规划、设计和实施。
六、搞好建设工程的标准规范
《指导书》提供了金审工程的应用系统技术规范、数据库设计规范、数据接口规范、审计机关组织机构编码规则、公文编码规则、审计计划项目编码规则、审计统计指标规范、被审计单位编码规则,还提供了金审工程的应用软件开发指南、《核算软件数据接口》国家标准等。其中,对于规范和规则类文件,各地审计机关在实施资源共享时要严格执行;对于国家标准,要做好宣传推广工作;对于应用软件开发指南可参照执行。
关于中央和地方审计机关信息资源共享目录和信息交换标准等细化要求文件和实施进度,审计署将根据国家电子政务工程建设、中央和地方金审工程建设进展情况,逐步建立和颁布。
七、搞好建设工程的验收
《指导书》提供了金审工程建设项目的验收文件,各地审计机关可参考使用。工程验收是确保工程质量的重要环节,务必严谨细致、严格要求。《指导书》提供的特派办局域网建设和工程验收、应用软件开发和验收的指导性文件是一个操作性很强的文件,各地审计机关可参照使用。
八、加强工程建设的制度管理
关键词:网络规划设计方案构建研究
1层次化的网络规划设计思想
1.1核心网络层
核心网络就是主干网络,在主干节点之间,进行最佳通信传输的提供。在核心网络层的设计过程中,最为重要的就是网络速度,通常采用的都是高速交换技术,该技术能够避免对信息包进行不必要的操作,从而有效的确保网络交换速度。具体的服务包括封装隧道、交换式访问、替代路径、负载平衡、流量优化、路径优化等内容。
1.2分布式网络
分布式网络也叫做接入网络层,其提供的连接具有策略性,对网络边界进行确定,同时负责对信息报进行处理。分布式网络主要包括本地接入和远程接入。在未来的网络当中,IP将会形成统一的形式,因此,主要采用交换式以太网、快速以太网、千兆以太网等以太网方式来进行网络接入。远程接入技术主要包括宽带IP接入和窄带IP接入。其具体的服务包括介质转换、协议路由再分配、网关服务、基于策略的分配、区域和应用服务过滤、主干宽带管理等[1]。
1.3本地网络
本地网络主要负责提供网络连接给用户端和工作组,对特定网络用户组合,利用访问列表和包过滤的方式进行优化。其在具体的网络当中,具有子网划分、MAC层过滤、交换式宽带、共享式宽带等功能。本地网络具体的服务包括路由发现、介质访问安全、本地高速缓存能力、服务、名字服务、广播域多点广播能力、网络划分、附加网络地址等多方面的内容。
2网络规划设计方法
2.1给定网络拓扑结构综合其他因素的网络设计
2.2考虑其他网络性能进行网络拓扑结构的设计
这种设计方法的目的是降低网络的费用,通常采用图论法、拉格朗日算法、聚类法、分割法、分支定界法等方法来进行处理。不过,这些方法大都采用了启发性的知识,因此其鲁棒性、通用性有所不足。可以采用分支定界法和对偶算法来对各节点类型和主次节点位置已知,对连接链路和设备类型确定的问题进行解决。而如果网络节点类型和链路连接都是未知的,那么为了保证网络的可靠性,可以利用层次化结构设计的方式,将网络划分为主干网络和用户访问网络两部分。以此来对各个网络之间互相连接设备的配置进行确定,从而达到降低费用的目的。
3进化网络的提出
3.1网络拓扑设计
在COST239欧洲光纤网的设计过程中,采用了进化规划和遗传算法,有效的降低了网络造价,同时具有网络冗余。其网络拓扑结构为网状,适用于具有对等关系、节点数较少的广域网拓扑的设计[3]。此外,网络拓扑的可靠性设计也十分重要。对此环形网络可靠性较高,但设计难度较高,尤其是双向自愈环形网络更为复杂。因此,可采用遗传算法来设计环形网,同时兼顾路由的选择和带宽的分配。
3.2子网划分
在子网划分的过程中,可以建立新的网络适应度函数,这样能够极大的提高子网划分的平衡性。结合实际情况,可对网络划分的方式进行优化和改进,使其能够自动进行网络的划分。由于遗传算法具有一定的局限性,容易引起局部最优的问题,可以在遗传算法中利用模拟退火法来改进其中的选择算子。同时在变异操作中,进行自适应控制技术的应用,能够有效提高收敛速度、改进子网划分的逼近精度[4]。
3.3路由选择
4结语
随着计算机技术和通信技术的不断发展,数据通信网络、视频通信网络、语音通信网络等,都将会最终在IP网络中进行汇聚。而网络的规模将会因此而越来越大、其拓扑结构也会越来越复杂,网络用户的接入数量也将会不断增长。因此,就给网络规划设计方案的构建带来了更大的挑战。对此,应当详细掌握网络规划设计的思想,采取正确的网络设计方法,同时与进化网络的概念和技术相结合。这样才能够推动网络规划设计方案构建的发展和优化。
参考文献
[1]熊伟成.无源光网络规划与管理的关键技术研究[D].武汉大学,2011.
[2]于洪波.3.5GHzWiMAX无线网络规划设计与实现[D].北京邮电大学,2012.
【关键词】TD-LTE异频组网PCI规划MIMO配置Atoll网络仿真
1引言
TD-LTE是中国具有自主知识产权并获得ITU认可的LTE技术,技术可靠、产业链完备,得到了国际一线设备厂商和运营商的支持,也是在国内主推的LTE技术。跟FDD-LTE相比,TD-LTE采用时分双工,占用的带宽是FDD-LTE的一半,频谱选择上也更为灵活,不需要对称频谱,因此频谱可用性更高。
因为国外频谱资源价格昂贵,运营商的TD-LTE网络主要是同频组网,同频组网小区间干扰只能协调而不能消除,导致小区边缘服务质量严重下降。中国政府为了支持推进TD-LTE的发展,给其划分了190MHz的可用频谱资源,而LTE能承载的最大带宽是20MHz。因此,有了充分的频谱资源,国内TD-LTE可以采用异频组网等方案,提高小区的总体吞吐量和改善小区边缘用户性能。而小区ID规划、MIMO配置也是影响LTE性能的重要因素,在网络规划设计时也需要给予重视,从而提高网络整体性能。
本文主要从TD-LTE组网原理和方案探讨基于Atoll的TD-LTE组网性能仿真与验证、TD-LTE现网性能分析与优化等方面对TD-LTE组网规划,特别是TD-LTE异频组网、PCI规划、MIMO配置进行分析验证,得出一些科学合理并能有效指导TD-LTE商用网建设的结论和建议。
2TD-LTE组网关键技术
2.1TD-LTE的频率规划
TD-LTE常见的频率复用方式分为同频组网和异频组网方式。其中,同频组网是指全网所有小区使用相同的频点,该方式频谱效率高,无需频率规划,但是会引入同频干扰,造成系统吞吐量下降,尤其是小区边缘性能下降。为此,频率软复用(SFR)、部分频率复用(FFR)(如图1)等技术被提出,解决了干扰问题,却牺牲了部分频谱资源,降低了传输能力。
异频组网是指同一基站的不同小区采用不同频率,该方式不会产生同频干扰。因此,对于网络总体吞吐量和边缘用户性能提升都有显著效果;但是需要的带宽较多,适合在频谱资源丰富的场景下使用。
2.2PCI规划
LTE系统中的PCI(PhysicalCellID,物理小区ID)共有504个,其中PSS号为0~2,SSS号为0~167,PCI=3*SSS+PSS。如果相邻小区PCI相同,会产生严重干扰,因此相邻小区PCI应规划成不同数值;此外,为避免PSS相同,相邻小区PCI模3也应不同,最大限度避免干扰。在PCI规划上不仅要相邻小区模3不同,还要进行不要的PCI资源预留,因此人工规划PCI的难度较大,难以实现最优规划,需要借助规划软件来实现。
2.3MIMO配置
3TD-LTE同频、异频组网方案仿真与
验证
Atoll是业界广泛使用的RF网络仿真规划、优化软件,最新版本的Atoll提供了对LTE网络ICIC、AMS等技术仿真的功能,可以较为准确地对LTE网络进行仿真,为了验证仿真结果我们还进行了现网测试。
3.1TD-LTE同频、异频组网性能分析
4结论
通过理论分析、软件仿真和现网测试,对TD-LTE组网的几个关键性技术——异频组网、PCI规划、MIMO配置做了较为深入的分析,得出了若干有应用价值的结论,从而为指导TD-LTE商用网的规划设计提出科学、可用的参考。同时为了简化分析,试验仿真中忽略了很多现实因素,在实际规划设计中需予以考虑才能达到最好的规划设计效果。
参考文献:
[1]高新,陈志成,宋永胜.LTE实验网在现网共享场景下的规划设计方案探讨[A].2012广东通信青年论坛优秀论文集[C].2012.
[2]曾哲君,宋永胜.TD-LTE室内外协同覆盖方案探讨[J].移动通信,2012(18):22-26.
[3]GaoXin.Restraint-awareCorrectnessAnalyzingofCompositeWebServicesBasedonOpenPetriNet[A].NewYork:DCABES2011,2011:195.
关键词:农网网架结构优化
1农网高压配电网结构特点
相对于城区电网来说,农网的拓扑结构要简单、清晰,但由于负荷对电能可靠性要求等其他原因,一般都会有小型发电厂,且通常均为小容量机组,即系统除了通过若干220kV、110kV变电所接受区域大电网电力以外,往往包括多个110kV及以下并网发电的若干电源点,从而使得电网不是单纯的放射型单方向模型,需要通过建立数学模型来确立电源点的建设和系统接线方式。
2农网网架结构优化方法的选择
2.1网架结构优化的一般方法
2.1.1启发式网架优化方法
根据所确定的衡量安全性指标的不同,启发式方法分为基于支路性能的启发式方法和基于系统性能指标的启发式方法。基于支路性能指标的启发式分析方法中,线路的选择是根据系统运行时线路功率传输情况来实现的,常选用的有线路是否能满足负荷要求或者线路过负荷程度等指标;而基于系统性能指标的启发式方法中,线路的选择是根据线路对系统运行时整个系统的一个特定运行性能指标的影响程度来实现的,常选用的指标有系统缺负荷大小指标等对线路的逐步选择。
基于线路指标的启发式网架规划方法分为逐步倒退法和逐步扩展法两种。逐步倒退法是根据目标年数据构成一个虚拟网络,该网络除了已有线路以外,包括所有待选的线路,这样,构成的就是一个冗余度很高但不经济的网络,然后采用潮流模型对该网络进行分析,比较各待选线路在系统中的作用和有效性,逐步去掉有效性低的线路,直到网络没有冗余线路为止。而采用逐步扩展法是根据各待选线路对过负荷线路的过负荷量的消除的有效度,选择适当的线路到现状网络上,直至网络无过负荷为止。为计算各待选线路的有效度,需要进行变结构时的潮流计算。
基于支路性能指标的启发式方法有计算简单灵活等优点,但由于通常是独立地考虑各待选线路的作用,无法直接体现系统充裕的大小等性能指标,而基于系统性能指标的启发式方法则能体现系统性能指标,从而可以从整体上识别薄弱环节并充分考虑各待选线路对系统的整体影响来选择最佳扩建线路。
2.1.2网架结构的数学优化方法
网络规划法是针对网络的拓扑特性所提出来的一种数学规划方法,也是在线形规划中专门处理网络问题的一种特殊算法。数学上把图看作节点和弧的集合,弧是连接在两个节点之间的有向线段。在电力系统中,节点就是接受电力或者发送功率的发电厂、变电所或者负荷点,弧就是线路。这种优化网架方法在电力系统网络优化中常用的数学模型有最少费用法、最短路径法、费用最小最大流法等方法。
2.2农网网架结构优化方法的选择
结合农网高压配电网结构特点,选用支路交换法来进行这种辐射式结构的高压配电网的优化计算较为适用。采用该方法是从一个既定的辐射式电网开始,增加一条闭合联络支路后使辐射型网络变成一个闭合回路,然后将某一条支路断开,恢复网络的辐射型结构,并按照给定的目标函数对新构成的辐射型网络进行计算。重复上述计算过程,直到目标函数值最好为止,对应的网络即为所选用网络接线。采用这种方法简单实用,但只能达到局部最优解,对于农网来说,一般规划年需要新建的高压(110kV及以上)线路是局部的,因而采用支路交换法可以满足其要求。一般地对于既定的系统接线,考虑到节约投资,其改建项目的实施相对于系统网损等指标来说往往是不经济的,且由于受电压、可靠性等电网分析计算的约束性条件的影响。在工程实际中,其高压配电网往往是通过对新增支路,以及由于负荷的增长需要改建的线路的多个建设方案的比较,来确定规划年内网络结构的优化方案。在分析中,我认为需引入动态经济比较的概念,而对于网络优化设计方案来说,结合个人设计方案比较的经验来看,最适用的经济方案比较以年费用比较法较为适合。
3计算框图设计
计算步骤一:目标函数的确定。
当新建或者改建线路对支路潮流仅是局部影响时,只需对所需考察的支路进行网损最小分析。采用最小网损作为目标函数,即函数为:
计算步骤三:第一次支路交换后,重新进行潮流计算后,在潮流计算结果的基础上进行支路交换后的辐射型网络网损计算。
重复以上支路交换计算,直至得出最优结论为止。
4经济比较方法引入网架结构优化
在电力系统规划设计的实际应用中,单纯采用以上支路交换法优化网络接线是不够的,应该结合经济比较,即在对方案进行投资分析计算的基础上进行比较,从而得出经济的方案。常用的方案比较方法有最小费用法、净现值法、内部收益率法、折返年限法,每种方法又可以演化成不同的表达式。最小费用法是电力系统规划中较为普遍的方法,适用于比较效益相同或者效益基本相同,但难以具体估算的方案。最小费用法通常有以下三种不同的方案:费用现值比较法、计算期不同的现值费用比较法和年费用比较法。费用现值比较法是将各个方案基本建设期和生产运行期的全部支出费用均折算到计算期的第一年,现值低的方案是可取方案。对于不同建设期的方案则一般按照方案中计算期最短的进行计算,及计算期不同的现值费用比较法。
年费用比较法是将参加比较的诸方案计算期的全部支出折算成年费用后进行比较,费用低的方案为经济上的优越方案。其表达式为:
在比较方案部分费用相同的情况下,可以采用只考虑有差别的费用的年费用比较法,即只考虑差别部分的费用的比较,这种方法将初始投资差额以及末期残值差额折合为年费用或者年值,再综合运行维护、改造等运行年需要投入的差别费用,比较即可以得出经济最优方案。对于农网电力建设项目,笔者推荐使用这种简化了的年费用比较法。
5总结
结合农网作为辐射型受端电网的特点,用支路交换法来进行这种辐射式结构的高压配电网的优化计算,虽只能达到局部最优解。对于农网来说,一般规划年需要新建的高压线路是局部的,因而采用支路交换法可以满足其要求。在工程实际中,其高压配电网往往是通过对新增支路,以及由于负荷的增长需要改建的线路的多个建设方案的比较,来确定规划年内网络结构的优化方案。在分析中,文中引入了动态经济比较,并提出对于农网采用有差别的年费用比较法最为适用。
[12]张焰.陈章潮.不确定性的电网规划研究.电网技术,1999.3.
[13]李林川.夏道止等.电力系统电压和网损优化计算.电力系统及其自动化,1995.7.
[5]中电联供电分会技术管理专委会.城市配电网优化的指导意见.2003年.
关键词:校园网;网络结构;IP地址;VLAN;路由
当前校园网系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息、远程教学和协作工作的阶段,发展校园网系统使得学校教学、科研、管理和决策更为有效,因此校园网系统的建设是非常必要的。
1网络现状分析
某职业学院已有部分楼宇内部单独组建了网络,但楼宇与楼宇之间并没有相互连接。它们主要分布在办公大楼、教学楼、图书馆、实验楼电脑室。另外,有部分楼宇需要建立网络,它们分别是教师宿舍,学生宿舍,饭堂,体育馆,实验楼的部分实验室。此职业学院校全院的信息点大概在900个左右。
2校园网络系统组成
校园网络系统由软件、硬件两个部分组成。
软件部分包括应用软件和系统软件。硬件部分主要由网络布线系统、网络设备、主机(服务器)系统以及各种外设(UPS、投影机、打印机、磁带备份设备等)组成。下面着重谈谈校园网络系统中网络设备的设计方案。
3网络结构设计方案
根据这次校园网的需求分析,网络应包括核心层、汇聚层、网络接入层三个层次,网络设备推荐配置如下:核心层由智能万兆以太网路由交换设备组成,汇聚层采用智能三层交换机,接入层都使用智能快速以太网交换设备。
核心层推荐使用万兆骨干智能路由交换机来完成职业技术学院校园网的各种业务的转发及全网的路由与交换。该核心交换机应支持10G以太网和10G广域网接口,采用分布式体系结构,可以提供高达1.6T背板带宽、768Gbps交换容量。并可提供高密度接口板,支持线速转发。为保证核心层的安全性、稳定性、高带宽,建议使用2台核心层交换机来实现校园网内部的流量分摊,设备间采用千兆以太网链路作为主用连接,采用千兆以太网链路作为备用链接,两台核心交换机通过千兆链路连接防火墙的千兆端口,实现整个校园网的地址翻译、VPN、ACL等功能。
汇聚层设备推荐选择可扩千兆多层路由交换机,在保证网络的安全性和稳定性的前提下,可以支持将汇聚节点分别以双归属性上联到核心设备,设备互联采用1000M以太网接口。根据地理位置和信息点密集程度,办公大楼、教学楼、图书馆、实验楼、教师宿舍,学生宿舍,饭堂,体育馆各布置一台汇聚交换机,用于汇聚附近用户的接入。
楼宇接入设备推荐选择智能快速以太网交换机,支持良好的带宽限速,防范、广播风暴抑制等功能。本方案接入设备的布置灵活多变,只要根据用户数量配置接入设备即可。
4IP地址规划
根据业界目前的情况和建设网络的经验,建议职业技术学院校园网保留类地址,如10.0.0.0~11.255.255.255,内部使用私网网段的IP地址,出口利用高性能的路由器/防火墙作NAT转换。
根据网络现有结构,设计比较适合的路由协议。能够实现优化的网络路径选择,在网络结构发生变化时路由能够快速收敛,保证网络的畅通。
IP地址的分配采用动态分配的方式。两种分配方案:
1)粗线条分配法:所有的用户都从地址池里面随即动态获取IP地址;
2)精细控制法:可以按照不同楼宇、或者不同院系学生的帐号(通过帐号后缀来区分)从不同的地址池里面获取IP地址。例如建议整网采用2个B类私有地址。
5VLAN规划
5.1VLAN的优点
校园网络不同于运营商网络,也不同于一般企事单位的内部办公网,而是二者的结合。可以划分为运营(学生宿舍区)和非运营(办公区)两个不同性质的网络。因此业务网及管理网通过VLAN在逻辑上分开,建成后校园网应能提供多个网段的划分和隔离,并能做到灵活改变配置,以适应教学办公环境的调整和变化,及实现移动教学办公的要求。
使用VLAN的优点如下:
1)VLAN能帮助控制流量,在传统网络中,不管是否必要,大量广播数据被直接送往所有网络设备,从而导致网络堵塞。而VLAN的设置能够使每个VLAN只包含那些必须相互通信的设备,从而减少广播、提高网络效率。
2)VLAN提供更高的安全性,每个VLAN中的设备只能与本VLAN中的设备通信。例如,如果VLANMarket的设备要和VLANSales的设备通信,则只有通过路由器才能进行,在没有三层路由设备的情况下两个部门不能直接通信,从而提高了网络安全性能。
5.2学校校园网VLAN规划建议
为了保证以后的管理方便,设备命名需有一定的规范性。
根据全网的命名规则,采用以下命名方法:AA-BBxyyyy-zz。
其中AA表示院系名全拼的第一个字母,
BB表班机名全拼的第一个字母,
x表示交换机(s)或路由器(r),
yyyy表示设备型号,如使用了CISCOCATALYST6509交换机则使用CT6509,
zz表示设备序号,用01,02等表示。
例如:计算机系1班所在接入的交换机命名JSJ-1BSUH-01。
6路由规划
针对校园网络状态,建议采用单播路由。在IP设备中,单播路由的获得通常有两种途径,一种是静态配置,由网络管理员通过命令行等手段明确定义,称为静态路由。在较复杂的网络上,静态配置负担太大,而且难以及时反映网络拓扑的动态变化,而且尤其针对校园网络这样超大型,这时可以使用动态路由协议,建议采用采用OSPF路由协议。动态路由协议通过网络设备之间的报文交互,动态地学习网络拓扑信息,自动生成路由信息。并且能够在网络拓扑变化时比较迅速地传播变动信息,更新每个设备上的路由表。
随着计算机多媒体和网络技术的不断发展与普及,校园网的建设是非常必要的,而采用先进的网络设备和网络技术是实现校园网络的基础,是现今和未来计算机网络和通信系统的有力支撑环境。所以在设计校园网系统的时候必须充分考虑所使用的网络设备和网络技术,才能为学校提供一个高性能、高可靠性、高稳定性、高安全性、易管理的骨干网络平台。
参考文献:
1.1EPON技术分析
所谓的EPON技术,其实是以千兆以太网技术为基础,利用MAC层上的点到多点控制协议进行PON点到多点传输实现的技术。就目前来看,虽然OAM能力稍弱,但是商用芯片和设备种类较多,可以进行IP业务的不同厂商OLT和ONU之间的互通问题的解决。
1.2GPON技术分析
在APON技术的基础上,ITU进行了GPON技术的发展。所以,GPON技术进行了APON的标准协议框架的沿用,并进行了GEM这一新的TC层帧封装方式的增加。此外,GPON技术对QoS和OAM有着严格的规定,并且具有较强的TDM业务承载能力,本身的协议也相对较为复杂[1]。在近几年里,GPON技术得到了快速发展,现有的GPON产品不仅可以进行话音、IPTV、Internet接入等多种业务的承载,还能够满足运营商的远程维护需求。
1.3E/GPON技术比较
EPON属于IEEE标准,强调技术“创新”及开放性。EPON技术具备较高带宽,很好的支持以太网业务,可以支持语音业务,技术成熟度较好,分光比1:32,下行带宽可达1.25G,在1:32分光比时可为用户提供30M以上带宽接入,可同时提供语音、数据、视频等多业务接入。GPON属于ITU-T标准,强调“可运营、可管理”的电信理念。GPON技术具备更高带宽,有高QoS保证的全业务接入,分光比1:64。下行带宽可达2.5G。GPON对综合业务支持好、分光比高、封装效率高,带宽利用率高。在设备互通,运营管理方面比EPON有优势。
2无源光纤接入网宽带PON网络设计方案
2.1PON网络结构分析
在PON网络系统中,OLT为光接入网提供网络侧与本地交换机之间的接口。而经过数个分光器,OLT可以与用户侧ONU进行通信。由于系统进行了PON技术的运用,所以光信号的传输没有中继,并且需要利用无源光器件进行物理分光。而在此基础上,则需要进行配线层技术的利用,以便根据光信号功率和光路衰减进行分光比和传输距离的确定。在实现光信号传输方面,系统需要利用光信号传输技术、TDM时分复用技术、WDM波分复用技术等多种技术[2]。而进行光信号交换时,则需要使用下行TDM时分复用技术。
2.2SDH宽带PON网络接入方案
在进行系统的SDH宽带PON网络接入时,可以采用PON接入模式。具体来讲,就是进行PON设备的应用,以便在电信公共网上进行终结服务和综合业务的提供。在该模式下,系统的PON网络结构为星型或簇型。因为,这样的结构具有灵活简便的特点,可以为扩展网络和进行光纤带宽的利用提供便利。而在SDH网上,该网络可以为用户提供E1、部分E1等专线业务,并为用户提供SDH节点接口。此外,在系统接入到SDH骨干网时,采用的为星型接入方式。而该种方式布线简便,光纤利用率也较高,并且容易得到维护。
2.3IP网络PON接入方案
系统在进行IP网络接入时,采用的PON结构与SDH结构大致相同,均为星型或簇型结构。而在IP网络的接入模式下,每个用户端设备都能够为用户提供相应的以太网接口[3]。此外,系统与IP网交汇层的交换机接口可以配置为N个GE。
2.4PON+XDSL层组网接入方案
系统在进行层组网接入时,可以采用PON+XDSL接入方案。具体来讲,就是在宽带接入层利用DSLAM进行用户的接近,并进行xDSL接入距离和带宽限制的克服。而在此基础上,则需要利用PON设备进行下移DSLAM的汇聚。就目前来看,该方案具有铜线投资保护,可以进行从铜线到FTTH的过渡的实现。
2.5移动基站互联方案
在系统进行移动基站的互联时,可以采用PON技术,并进行相应的移动基站互联方案的利用。相较于SDH/MSTP传输技术,PON技术在性价比上具有一定的优势,并且可以灵活的进行容量的扩展。而在进行新的扩容站点接入时,则只需要从就近的无源分光器预留分支口进行芯光纤的抽取,并将芯光纤引入到ONU设备中,就可以进行系统扩容的实现[4]。而采用该方案进行局端设备的扩容,不仅不需要使用硬件设备,还能够使原有ONU业务不受到新的ONU业务的影响。同时,在实现PICO和FEMTOCELL承载方面,PON技术也能够得到较好的应用。此外,PON技术可以进行3G部署的适应,并能够满足纯IP回程业务的承载。因此,在今后4G/5G移动/固定接入网络中,可以利用PON技术进行必要的网络资源的储备。
2.6光纤到大楼与光纤到户的接入方案
在进行光纤到大楼即FTTB/C+LAN&PBX的方案的实现时,可以进行PON技术的应用。而实现该方案,就可以为用户提供高带宽数据接入,并进行E1专线和PBX的接入,以便进行商业用户、高质客户和集团客户的需求的满足。就目前来看,FTTB在进行语音业务承载时,需要与软交换一起进行承载。此外,在进行FTTH光纤到户的综合业务接入时,则需要进行FTTH的网络部署[5]。相对来讲,FTTH较为适合与IMS一起进行语音业务的承载,以便进行用户的全业务需求的满足。
3结论
机械优化设计概念
解决优化设计问题的一般步骤
解决优化设计问题的一般步骤如下:
机械设计问题――建立数学模型――选择或设计算法――编码调试――计算结果的分析整理
优化设计中数学模型的建立
a设计变量
在最优化设计过程中需要调整和优选的参数,称为设计变量。设计变量是最优化设计要优选的量。最优化设计的任务,就是确定设计变量的最优值以得到最优设计方案。但是每一次设计对象不同,选取的设计变量也不同。它可以是几何参数,如零件外形尺寸、截面尺寸、机构的运动尺寸等;也可以是某些物理量,如零部件的重量、体积、力与力矩、惯性矩等;还可以是代表工作性能的导出量,如应力、变形等。总之,设计变量必须是对该项设计性能指标优劣有影响的参数。
b约束条件
设计空间是一切设计方案的集合,只要在设计空间确定一个点,就确定了一个设计方案。但是,实际上并不是任何一个设计方案都可行,因为设计变量的取值范围有限制或必须满足一定的条件。在最优化设计中,这种对设计变量取值时限制条件,称为约束条件,而约束条件是设计变量间或设计变量本身应该遵循的限制条件,而优化设计问题大多数是约束的优化问题。针对优化设计数学模型要素的不同情况,可将优化设计方法进行分类,约束条件的形式有显约束和隐约束两种,前者是对某个或某组设计变量的直接限制,后者则是对某个或某组变量的间接限制。等式约束对设计变量的约束严格,起着降低设计变量自由度的作用。优化设计的过程就是在设计变量自由的允许范围内,找出一组优化的设计变量值,使得目标函数达到最优值。
c目标函数
在优化设计过程中,每一个变量之间都存在着一定的相互关系着就是用目标函数来反映。他可以直接用来评价方案的好坏。在优化设计中,可以根据变量的多寡将优化设计分为单目标优化问题和多目标优化问题,而我们最常见的就是多目标函数优化。
一般而言,目标函数越多,设计的综合效果越好,但问题求解复杂。在实际的设计问题中,常常会遇到在多目标函数的某些目标之间存在矛盾的情况,这就要求设计者正确处理各目标函数之间的关系。对这类多目标函数的优化问题的研究,至今还没有单目标函数那样成熟
优化设计理论方法
优化准则法对于不同类型的约束、变量、目标函数等需导出不同的优化准则,通用性较
差,且多为近似最优解;规划法需多次迭代、重复分析,代价昂贵,效率较低,往往还要求目标函数和约束条件连续、可微,这都限制了其在实际工程优化设计中推广应用。因此遗传算法、神经网络、粒子群算法、进化算法等智能优化法于20世纪80年代相继提出,并且不需要目标函数和约束条件的导数信息,就可获得最优解,为机械优化设计提供了新的思路和方法,并在实践中得到成功应用。
a遗传算法
遗传算法起源于20世纪60年代对自然和人工自适应系统的研究,最早由美国密歇根大学Holland教授提出,是模拟生物化过程、高度并行、随机、自适应的全局优化概率搜索算法。它按照获得最大效益的原则进行随机搜索,不需要梯度信息,也不需要函数的凸性和连续性,能够收敛到全局最优解,具有很强的通用性、灵活性和全局性;缺点是不能保证下一代比上一代更好,只是在总趋势上不断优化,运行效率较低,局部寻优能力较差。
b神经网络法
神经网络是一个大规模自适应的非线性动力系统,具有联想、概括、类比、并行处理以
及很强的鲁棒性,且局部损伤不影响整体结果。美国物理学家Hopfield最早发现神经网络具有优化能力,并根据系统动力学和统计学原理,将系统稳态与最优化态相对应,系统能量函数与优化寻优过程相对应,与Tank在1986年提出了第一个求解线性优化问题的TH选型优化神经网络。该方法利用神经网络强大的并行计算、近似分析和非线性建模能力,提高优化计算的效率,其关键是神经网络的构造,多用于求解组合优化、约束优化和复杂优化。近些年,神经网络法有较大发展,Barker等将神经网络用于航空工程结构件的优化设计。
c粒子群算法
d多目标优化法
功能、强度和经济性等的优化始终是机械设计的追求目标,实际工程机械优化设计都属于多目标优化设计。多目标优化广泛的存在性与求解的困难性使其一直富有吸引力和挑战性,理论方法还不够完善,主要可分为两大类:①把多目标优化转化成一个或一系列单目标优化,将其优化结果作为目标优化的一个解;②直接求非劣解,然后从中选择较好的解作为最优解。具体有主要目标法、统一目标法、目标分层法和功效系数法。
优化设计方法的评价指标
根据优化设计中所以解决问题的特点,选择适当的优化方案是非常关键的。因为解决同
一个问题可能有多种方法,而每一种方法也有可能会导致不同的结果,而我们需要的是可以更加体现生产目标的最优方案。所以我们在选择方案时一定要考虑一下四个原则:
c采用成熟的计算程序。解题过程中要尽可能采用现有的成熟的计算程序,以使解题简便并且不容易出错。
d稳定性要高。稳定性好是指对于高度非线性偏心率大的函数不会因计算机字长截断误差迭代过程正常运行而中断计算过程。
另外选择适当的优化方法时要进行深入的分析优化模型的约束条件、约束函数及目标函
数,根据复杂性、准确性等条件结合个人的经验进行选择。优化设计的选择取决于数学模型的特点,通常认为,对于目标函数和约束函数均为显函数且设计变量个数不太多的问题,采用惩罚函数法较好;对于只含线性约束的非线性规划问题,最适应采用梯度投影法;对于求导非常困难的问题应选用直接解法,例如复合形法;对于高度非线性的函数,则应选用计算稳定性较好的方法,例如BFGS变尺度法和内点惩罚函数相结合的方法。
结论
机械优化设计作为传统机械设计理论基础上结合现代设计方法而出现的一种更科学的
优化设计方法,可使机械产品的质量达到更高的水平。近年来,随着数学规划理论的不断发展和工作站计算能力的不断挖掘,机械优化设计方法和手段都有非常大的突破,且优化设计思路不断的开阔。总之,每一种优化设计方法都是针对某一类问题而产生的,都有各自的特点,都有各自的应用领域,机械优化设计就是在给定的载荷和环境下,在对机械产品的性能、几何尺寸关系或其它因素的限制范围内,选取设计变量,建立目标函数并使其获得最优值得一种新的设计方法,其方法多样依据不同情形选择合理的优化方法才能更简便高效的达到目标。当今的优化正逐步的发展到多学科优化设计,充分利用了先进计算机技术和科学的最新成果。所以机械优化设计的研究必须与工程实践、数学、力学理论、计算机紧密联系起来,才能具有更广阔的发展前景。
参考:
[1]白新理.结构优化设计[M].河南:黄河水利出版社,2008.
【关键词】中小商业银行;等级保护;信息科技风险管理;信息安全体系框架
1中小银行等级保护咨询服务的背景
随着信息技术的不断进步与发展,信息系统的安全建设显得尤为重要。2012年6月29日人民银行下发了“银发【2012】163号”文件,为进一步落实《信息安全等级保护管理办法》(公通字〔2007〕43号文印发),加强对银行业信息安全等级保护工作的指导,结合近年来银行业信息安全等级保护工作开展情况,人民银行给出了银行业金融机构信息系统安全等级保护定级的指导意见,至此,正式的拉开了中小商业银行等级保护建设和整改工作的序幕。
2等级保护咨询服务的项目目标
国内中小银行在信息安全的发展程度,大部分处于自我认知的阶段,一边忙于业务发展的保障需要,一边又要应对上级监管部门的监督检查,对于安全建设来说,大部分没有纳入到战略的层面来考虑。因此,借助于等级保护咨询服务来建立的这样一套信息安全体系,必须同时满足公安部等级保护基本要求、人民银行等级保护的测评要求和银监会关于IT风险管理的要求。这些目标相辅相承,互为补充。只有将通用的要求、标准、规范落实到自己IT风险管理体系的各方面,建立适合自己业务特点与发展需求的信息安全体系,才能达到有效管理风险、进行IT治理的目的,并最终通过等级测评。
3等级保护咨询服务的总体思路
中小银行在咨询服务项目需要主动地全面的考量自身情况,综合分析人民银行、银监会和等级保护的要求,在现有的安全工作基础之上,建立统一的信息安全体系,同时满足这些主要的监管要求。这样面临检查时,只要客观反映出当前状态就可以,有效降低临时的材料组织工作。
同时满足三方面监管要求的信息安全体系,这个信息安全体系将以公安部的等级保护《基本要求》、人民银行的《等保测评指南》和银监会《管理指引》为主要依据来搭建起框架,以各专项监管指引为各个领域的具体工作指导,以ISO27000为代表的国内外信息安全标准为补充。
4等级保护咨询服务的内容
等级保护的咨询服务具体实施过程可参考公安部下发的《信息系统安全等级保护实施指南》,“指南”中将等级保护工作分为了定级备案、规划设计、建设整改和等级测评四大过程。
4.1系统定级
系统定级阶段需要完成的工作。
2)系统业务安全域划分:这个阶段需要进行信息搜集和资产调研。明确业务系统的范围、边界、功能、以及重要性等。
3)编写系统定级报告和备案表:定级报告和备案表都是按照公安部等保办公室的通用模版来编写的,内容包含了系统功能描述、网络拓扑、定级的理由和依据等。
4)召开专家评审会、获得备案证明:召开专家评审会并获得备案证明可视为一个里程碑式的阶段性成果,因为定级和备案是等级保护工作开展的前提,如果级别定错了,或者专家有不同的评审意见,则后续的设计方案、整改方案均无法执行。同时,对于银行信息科技部门的领导而言,服务工作做的怎么样无法量化,但是备案证书是看的见,摸的着的,如果能在评审会现场当场颁发,则意义更加重大。
4.2规划与设计
规划与设计阶段的主要工作就是进行等级差距分析和风险评估。
1)技术层面可直接参考人民银行关于金融行业的“测评指南”来完成,可操作性较强。可分物理、网络、主机、应用、数据五个层面进行差距评估,同时对网络流量和网络协议进行简单的分析,通过漏洞扫描设备、配置核查设备、渗透工具等进行风险分析,输出风险评估报告和技术层面的差距评估报告。
4.3实施与整改
实施与整改阶段需要按照规划阶段的设计方案进行实施,以满足等级保护安全体系的建设要求。
1)组织体系整改:安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式。可参考已成立的《等保领导小组》设立模式,但应具体到管理员岗位。
2)管理体系整改:按照等级保护的要求补充或重新制定管理制度,根据咨询方提供的制度模版,银行可根据自身的实际业务需求进行修改,并经内部讨论修订后,下文试运行。
3)技术体系整改:技术体系整改应从三个层面进行考虑。
制定技术规范:包括windows、AIX、Informix、tuxedo、cisco等主流设备的安全配置规范;可考虑聘请专业安全公司进行咨询服务,制定适合银行长期发展的安全策略和技术安全规范。
安全配置加固:根据已制定的技术规范进行主机、服务器、网络设备、安全设备的全面的安全加固。
安全设备采购:在安全技术体系的具体实现过程中,需要落实安全技术详细设计方案中的具体技术要求,将先进的信息安全技术落实到具体安全产品中,形成合理、有效、可靠的安全防护体系。
4.4等级测评
根据人民银行的《金融行业信息安全等级保护测评服务安全指引》选择具有资质的第三方测评机构进行等级测评,一般当地公安机关会指定2-3家评估中心进行等级测评,如果银行自行联系省外的测评机构,可能需要事先跟当地省公安厅取得联系,确保该测评机构的测评报告在本省是受到认可的。
5结束语
关于金融业等级保护的建设工作,是今后两年的一个重点工作,尤其是中小银行可借助合规要求,由信息科技部门立项,向行内申请更多的资源来完善自身的安全体系建设工作。
[1]武冬立.银行业安全防范建设指南.长安出版社,2008-11-1.
[2]李宗怡.中国银行安全网构建基础研究.经济管理出版社,2006-6-1.
[3]刘志友.商业银行安全问题研究.中国金融出版社,2010-3-1.
[4]曹子建,赵宇峰,容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.
[5]傅慧.动态包过滤防火墙规则优化研究[J].信息网络安全,2012,(12):12-14.
关键词:园区网;规划设计;项目实施;
根据实际企业园区网络规划设计,采用工程化设计方法、层次化网络设计模型,遵循最新版专业技术规范,以期规划设计出使用新技术的、快速安全的园区网络系统。本文以某某铝业集团天津公司新建企业园区网络项目为背景,论述园区网络规划设计的过程及项目的实施。
一、园区网络的规划设计
园区网设计采用层次化模式,通过允许网络满足日益发展的业务需求的可扩展“组件”来设计模块化拓扑。模块化设计允许设计者通过推行确定性的流量模式来轻松扩展、了解并排除网络故障。
(一)园区网设计过程
园区网的设计过程伴随着网络系统的生命周期。由于应用系统的不断更新,网络系统也需要不断的重复的设计、实施和维护。这是一个循环迭代的过程。“网络生命周期的迭代模型的核心思想是网络应用驱动理论和成本评价机制”。经过一轮迭代,满足用户需求;而当再利用成本大于新建成本,就该舍弃迭代升级,报废当前系统,新建一个新一代的网络系统。依据迭代周期划分方式,将网络设计过程划分为五个阶段:
1、需求规范。即需求分析,紧密联系客户与用户方的实际需求。从实际需求入手,最后着陆在需求上。适合用户使用,能够让用户满意的网络系统才是最好的网络设计。
2、通信规范。即通信规范分析,包括现有的网络体系分析。
3、逻辑网络设计。确定网络逻辑结构。
4、物理网络设计。确定网络物理结构。
5、实施与运维。采用项目管理方法论,有计划有步骤的推进网络设计实施,做到网络边界清晰,质量、成本、进度有效结合,使建设者和承建方均收到满意效果。
(二)园区网络需求分析
网络需求分析是网络开发和建设过程的起始阶段,应该明确客户和用户方所需的网络服务和性能。在需求分析过程中,需要注意以下几个方面的要求:(1)业务需求;(2)用户需求;(3)应用需求;(4)计算机平台需求;(5)网络需求。
(三)逻辑网络结构设计
网络结构是对网络结构进行逻辑抽象,描述网络中主要连接设备和网络计算机节点分布而形成的网络主体框架,一般采用网络拓扑图的形式描述出来。考虑本案中网络需求,采用层次化网络设计模型,以实现按层次设计的网络结构,并对不同层次赋予特定的功能,为不同层次选择正确的设备和系统。层次化网络设计模型已成为位于网络主流的园区网络的经典模型,而层次化模型中最为经典的是包括核心层、汇聚层、和接入层的三层网络层次化模型。
二、园区网络的项目实施
某某铝业集团天津公司园区网络规划设计方案设计完成后,建设方和承建方会商,并聘请权威专家共同评审和论证,经主管领导审批通过,该项目随即进入工程实施阶段。工程实施分三部分:(1)园区综合布线;(2)中心机房、二级机房及各配线间建设;(3)网络设备、预配置、上架安装、系统联调。建设方与承建方双方签订工程施工合同,成立工程领导小组和项目经理部,明确划分工作界面,制定项目管理计划,指导和管理项目执行,监督和控制项目工作,控制变更,项目收尾管理。
(一)制定项目管理计划
制定项目管理计划过程包括定义、准备、集成和协调所有子计划以形成项目管理计划所必要的所有行动。项目管理计划定义了项目如何执行、监督和控制,并通过整体变更控制过程进行更新和修订,包括范围、进度、成本、质量、人员、沟通和采购等子计划。在项目执行的全过程中,要识别风险,执行风险管理与控制。
(一)指导和管理项目执行
1、现场勘测。确定系统机房位置、朝向、面积,设备间位置,各工作站物理摆位,建筑结构;确定距子系统最近的端口和线缆距离,建筑物周围环境。
2、订货和采购。依据采购管理计划,通过招标或竞争性谈判选择商,签订订货合同,发出订货单,跟踪采购状态。
3、制定施工组织设计和施工方案。整理现场,展开工作作业面,合理有序推进施工工作。制定文明施工安全施工措施,制定现场管理制度。
4、IP地址规划,VLAN规划。以通过专家评审的网络系统规划设计方案为蓝本,进行IP地址规划和VLAN规划。
5、设备安装及设置。设备进场拆箱前检验,开箱点收,加电测试,预配置,设备上架安装、连接和设置。建立系统运行平台。
6、施工作业交付物的自检。
(一)整体变更控制
整体变更控制过程在整个项目过程中贯彻始终,并且应用于项目的各个阶段。成立由高层领导领衔的变更控制委员会,每项变更必须书面申请,经变更控制委员会审核,给出接受或拒绝意见,执行并跟踪控制变更。
(一)项目收尾
1、管理收尾。(1)网络系统试运行。网络系统经4周试运行(运行各种典型应用,测试和记录系统运行状况,调整系统参数),未出现设备故障或连接错误后,完成系统试运行。(2)工程验收。工程验收和工程文档归档,含网络蓝图、网络连接图、机器配置文档、应用系统设置、使用手册、测试和试运行报告等。(3)培训。在系统试运行期间,承建方向建设方移交之前,要对建设方系统管理人员和用户代表进行培训,培训期一般不少于2周,包括网络设备运行状态监测,秘钥管理,数据更新与备份,机房配套设施及布线线缆日常巡检与维护,应用系统、数据库系统管理维护的培训。
2、合同收尾
工程结束,工程尾款催收,进行整体移交,进入日常运营。网络系统进入管理与运维周期。