网络专线实施方案范文

时间:2023-10-31 17:59:45

导语:如何才能写好一篇网络专线实施方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络专线实施方案

篇1

第二条政务信息查询服务坚持统筹规划、便民利民、资源共享的原则。

第三条我局的局办公室负责政务信息查询制度的推进工作,具体包括统筹规划网络查询系统建设,并极积争取县人民政府网络管理中心提供技术支持和保障。

政务信息查询、政府信息公开网站信息管理、96128政务专线信息联络员明确专人负责。

我局专门设立政务信息查询服务电话:6621667

第四条公民、法人和其他组织可以依照本实施办法获取下列信息:

(一)《中华人民共和国政府信息公开条例》规定应当公开的政府信息;

(二)全县经济社会发展、计划规划及其进展和完成情况;

(三)我局制定的规范性文件;

(四)我局的服务承诺事项及其办理情况;

(五)群众关注和普遍需要了解依法可公开的信息;

(六)法律、法规、规章规定的应当主动公开的其他政务信息。

第五条公民、法人和其他组织可以采取下列方式查询政务信息:

(一)通过××县统计局政务信息公开网查询;

(二)登陆××县统计局政务信息网。

(三)通过政务信息专线电话“96128”,进行电话查询;

(四)其他查询方式。

第六条我局将按照省、州、县有关“统一规划、统一号码、统一平台和分级负责”的要求,安排专人负责“96128”政务信息电话专线,并负责解答政务信息查询电话。

第七条我局指定熟悉统计工作业务的信息联络员,并设立服务电话,在法定工作时间内负责解答“96128”话务员转接的涉及我局工作职能的公众查询事项。对于一时不能解答的问题,信息联络员将会认真记录,在5个工作日内进行解答;在法定工作日内,信息联络员因事外出时,须将服务电话转移至个人移动电话上。对于涉及多个部门的问题,在10个工作日内协调有关行政部门进行解答。

第八条我局要把政务信息查询服务作为重要职责,利用服务窗口受理服务事项、提供服务事项办理咨询、结果查询等政务信息查询。

第九条提高政务信息查询服务质量,认真接待并解答群众来访和信函查询的问题。要按照“首问责任制”和“限时办结制”的要求,认真办理和解答公众查询事项。

第十条局办公室应当按照县政府的有关要求,依托县政府信息网络查询系统平台,按照统一系统软件、统一数据库的要求,统一规划,建设完善我局的政务信息网络查询系统。

第十一条按照统一标准和规范整理的要求,在××县统计局政务信息公开网站上公开统计公报、规范性文件等政务信息,并适时更新。

第十二条按照限时办结制要求和网络查询的相关规定,及时回复公众通过网络提交的查询,并将答复信息添加到查询信息库。

第十三条对于依法申请公开的信息,应当按照依法申请公开的程序办理。

第十四条我局应当确保网络连接的畅通和热线电话在法定工作时间的及时响应,热线回答用语规范。能回复或者解答的及时给予回复或者解答;不能及时回复或者解答的,告知查询人其他查询的方式、程序等信息。

第十五条对应当依法公开的政务信息,在查询人履行有关手续后能够当场提供的当场提供;不能当场提供的将在5个工作日内提供。

第十六条政务信息查询实行无偿服务。应当收取的政务信息打印、复制等成本费用,按照财政和物价主管部门制定的收费标准执行。

第十七条已移交档案局及档案工作机构保管的政务信息,依照《中华人民共和国档案法》和有关规定查询。

第十八条建立网络查询系统的查询、受理、转交等工作流程的信息跟踪、统计制度和政务信息专线电话解答服务评价、通话记录制度。

篇2

一、指导思想

以科学发展观为统领,以创新虚拟社会综合管控机制为目标,以国务院《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和公安部《互联网安全保护技术措施规定》等有关法律、法规为依据,进一步加强我县互联网专线接入单位落实安全保护技术措施工作,夯实互联网基础管理,防范和减少各类违法犯罪活动,维护我县虚拟社会稳定和经济发展。

二、工作步骤

(一)自查排摸阶段(2011年8月10日-8月31日)。各互联网专线用户单位要依法落实互联网用户备案工作。未向公安机关备案联网使用情况的单位,确定专人向县公安局网络警察大队报备本单位联网使用情况(见附件一);已备案单位的网络情况如有变更,需及时向公安机关报备更新信息。各互联网专线用户单位要积极开展信息安全保护措施自查工作。仔细对照《方案》要求迅速开展自查和整改工作,认真填写自查回执(见附件二),于8月15日前将自查回执书面材料加盖单位公章后反馈至县公安局网络警察大队。

(二)组织实施阶段(2011年9月1日-2011年10月31日)。全县各互联网专线用户(含政府、企事业联网单位、社区、学校、宾馆酒店、休闲会所、餐厅、电子阅览室、图书馆)要于今年10月底前落实安全保护技术措施各项工作:1、建立安全管理组织,落实专门人员负责网络安全管理工作;2、建立和落实各项安全保护管理制度,建立完善网络安全事故应急处置和责任追究机制、涉网违法事件和网络安全事故通报机制;3、安装安全保护技术措施设备。各专线用户应在本单位网络与互联网的出入口加装前端监测系统并必须符合《互联网安全保护技术措施规定》的要求:(1)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的安全审计技术措施;(2)记录并留存用户注册信息并向报警处置中心上传数据;(3)在公共信息服务中发现、停止传输违法信息,并保留相关记录;(4)具有至少60天的记录备份功能。按统一平台、统一标准、统一接口的要求,各非经营性互联网上网服务单位必须选择安装经省公安厅认证通过的网络安全产品(杭州迪普科技有限公司的UMC管理平台、上海新网程信息技术有限公司的网络警察V7.5、上海汉景信息科技有限公司的网路盔甲V7.5)。全县政府部门、事业单位的安全建设由县政府统一进行技术谈判,确定安全技术产品后供各建设单位选购安装。其他互联网专线用户单位要按本方案要求,落实专项建设资金,自主采购相关产品,确保按时、按要求完成建设任务。

(三)检查验收阶段(2011年11月1日-11月30日)。领导小组办公室对各镇(街道)、各部门工作进展情况进行检查验收,按完成的百分比进行排名并通报,并对安全责任和安全保护技术措施不落实的单位,要及时提出整改意见,限期整改。

三、工作要求

(一)加强领导。落实安全技术措施是防范网上有害信息传播,净化境内互联网环境的一项重要的基础工作,是加强互联网管理的一项重要任务。为加强组织领导,成立县互联网专线用户安全保护措施建设工作领导小组,由县委常委、常务副县长陈建良担任组长,县府办、县纪委、县委宣传部、县委政法委、县公安局、县财政局、县信息办为成员单位,领导小组下设办公室,地点设在县公安局。各级各部门要统一认识,高度重视,按照县政府的统一部署,结合工作实际,制定具体的实施方案,成立由主要负责人担任组长的领导小组和相关组织机构,切实加强组织领导和协调配合,认真开展安全保护技术措施建设工作。

(二)强化协作。各单位要迅速组织开展本单位落实安全保护技术措施情况的调查摸底和专项整改工作,依法履行安全保护职责,加强与县领导小组、县各电信运营商协调,研究本单位建设模式。同时要参照“谁主管、谁负责,谁使用、谁负责”的原则,根据方案要求,建立安全管理审计制度,建立完善安全保护技术措施。

篇3

关键词:OLT,10GE,华为MA5680T

1 说明

本方案为“北辰分公司OLT设备10GE上联改造”实施方案,天津联通为进一步提升宽带品质,为用户提供高速率的服务优势,实现天津联通“匠心光网,极速宽带”这一目标,解决接入设备带宽上联带宽瓶颈,全网OLT设备宽带端口上联优化改造已成为亟待解决的问题。

2 OLT上联改造实施方案

2.1 改造范围及目的

(1)改造范围及规模

本次改造的设备涉及北辰分公司33台OLT的19、20槽位上行板更换,将之前的组网模式改成2条10GE上联聚合,上联设备至各点位9306的原端口会更换到新的10GE端口,上联设备数据需提前配置完成。

(2)目的

由于天津联通接入网业务的不断提升,上行带宽速率无法满足需求,所以要将原GE上行优化调改为10GE上行。

(3)业务影响

更换上联板期间,相关OLT的管理和业务会中断,中断时间根据单板加载、上联光路连接、上联设备的数据配置时间长短、宽带窄带上联数据割接有关,预计120至150分钟,操作完成管理和业务能够恢复正常。

(4)北辰分公司组网情况

北辰分公司现有北仓、青光、双街、小淀、铁东路、王秦庄、韩家墅、双口、河头、霍庄子、南王平、西堤头、科技园、大张庄综合接入点位14个,碧龙园OLT接入点位1个;其中,烽火AN5116-02型OLT设备6台,中兴C220型OLT设备2台,中兴C300型OLT设备9台,华为MA5680T型OLT设备113台,共计132台OLT设备;华为ME60-X8型设备2台,中兴M6000型设备1台,共计3台BAS设备;华为NE40e-x16型设备2台。上联软交换的语音业务通过OLT连接至CX300B经8912E进入NGN的IP承载网连接至软交换核心设备实现语音通话,上联IMS的语音业务通过IPRAN网络连接至月纬路IMS设备实现语音通话;宽带业务通过OLT连接至10G环网或大二层经BAS设备进入IP城域网实现宽带上网;IPTV业务通过OLT连接至10G环网或大二层经NE40e-x16设备进入城域网实现电视观看。

2.2 上联改造的OLT机框改造原则及测算方法

北辰分公司上联改造的OLT机框按照如下改造原则计算:

宽带业务上联带宽=接入宽带用户数*20M每个用户接入带宽*25%带宽利用率*50%并发率。目前每台OLT设备所能达到宽带上联最大带宽为4G,若计算后宽带上联中继峰值利用率超过80%以上,需考虑对其进行宽带业务10G上联扩容。

以北仓局BCBC_HW_OLT02设备为例,其接入宽带用户数量为1389户,按用户接入带宽为20M估算,则宽带业务上联带宽为:1389用户*20M带宽*25%带宽利用率*50%并发率=3473M,目前本OLT设备所能达到宽带上联最大带宽为4G,宽带上联中继峰值会达到最大带宽的85%,考虑对其进行宽带业务10G上联扩容。

现分公司将宽带上联链路带宽占用率超过70%预警门限值的OLT设备列为改造对象。

2.3 10GE上联改造涉及网元及改造方案

北辰分公司14个局点33台OLT设备扩容10G上联,主要分为三种场景:

(1)场景一(华为)

北辰分公司26台华为OLT设备,将原有的GICF上联板卡更换为X2CS。其中宽带业务通过新增X2CS上联板卡的10GE光口完成上联,进入IP城域网,实现宽带接续;窄带业务上联端口保持位于18槽位ETHB板卡P00端口现状,无变化。

(2)场景二(华为)

北辰分公司6台华为OLT设备,将原有的GICG、GICF上联板卡分别更换为X2CS;16槽的EPBC更换成EPSD;将18槽的业务割接到16槽的4-7PON端口;17槽的EPBC业务保持不变;将原来18槽位的EPBC业务板更换为现网优化的ETHB板卡。其中宽带业务通过新增X2CS上联板卡的10GE光口完成上联,进入IP城域网,实现宽带接续;窄带业务通过ETHB板卡的FE光口完成上联,进入IP承载网,实现窄带接续。

(3)场景三(中兴)

北辰分公司中兴OLT设备1台,将原有GUFQ和HUGQ上联板卡分别更换为HUVQ板卡。其中宽带业务通过新增HUVQ上联板卡的10GE光口完成上联,进入IP城域网,实现宽带接续;窄带业务通过新增HUVQ上联板卡的FE光口完成上联,进入IP承载网,实现窄带接续。

2.4 华为MA5680T设备介绍及改造风险评估

(1)华为MA5680T设备介绍

SmartAX MA5680T光接入设备是华为技术有限公司研究开发的EPON接入产品,作为EPON系统中OLT设备,和终端ONU设备配合使用,可以支持以下功能:提供EPON接入业务;提供大容量、高速率和高带宽的数据、语音和视频业务接入;提供FTTH光纤到户、FTTB光纤到楼、基站传输、IP专线互联、TDM专线互联、批发等组网需求。

华为MA5680T设备总容量为二个用户框,单框最多可支持16块用户接口卡,单框最多可接入用户为16×4×32=2048户,2200mm高机柜最多可接入用户4096户。

(2)改造风险评估

MA5680T加载包文件对业务没有影响,加载用时大概40分钟左右,加载包文件完成需要重启MA5680T激活版本包,重启过程管理和业务会中断30至60分钟左右。

将19和20槽位单板更换成X2CS板,管理和业务中断120至180分钟左右。

3 结束语

随着我国经济的发展和人们生活水平的提高,人们对通信的需求在日益增长,对通信质量和速度的要求越来越高。天津联通在固网业务上的大力投入,全光纤网络的实现,各类新技术的应用,使天津联通在这样一张“高速大网”上开展4K视频等各类大带宽业务充满无限可能。

参考文献

[1]辛化梅,李忠.《论光纤通信技术的现状及发展[J]》.山东师范大学学报(自然科学版) ,2003,(04).

[2]胡庆.《光纤通信系统与网络(修订版)》电子工业出版社2010-08

[3]尹浩,韩阳 .《量子通信原理与技术》电子工业出版社2013-01-01

篇4

关键词:光传输网;优化;改造

0引言

电力通信网是电网的基础设施。光纤通信作为电力通信网的主要传输方式,不但承载着电网调度指挥的调度电话、综合自动化等实时业务,还承载着电网生产经营的行政电话、办公自动化、视频会议等多媒体业务。随着电网 “三集五大”管理体系的建设,全网营销、财务系统垂直一体化的实施,地区汇聚层传输网的稳定运行越发重要。

1地区汇聚层传输网的现状

南通地区汇聚层传输网于2004年初建成并投入运行,采用基于MSTP技术的中兴ZXSM-390多业务的SDH光传输平台设备,以地调站和500kV三官殿变为中心组建了两个二纤单向通道保护的2.5G相交环网,系统拓扑结构现状如图1所示。

图1. 地区汇聚层传输网系统拓扑结构现状图

地区汇聚层光传输网承载了市县两级供电公司间接入PCM、调度交换网中继、行政交换网中继、电视会议等2M业务电路和地区调度数据网百兆以太网专线、地区电网信息内网、外网千兆以太网专线(GE)通道,同时承载了变电站综合自动化104网络、接入PCM及信息内网等业务。全网百兆以太网专线及2M电路按业务流向配置为以地调为中心的点到点的树状星型结构,千兆以太网专线配置为点到点的交互结构。

受设备槽位及背板总线容量的限制,地调站配置了两台ZXSM-390设备,其中地调2(主机架)承载大颗粒的网络业务,地调1(扩展机架)承载2M小颗粒业务,两台设备间采用2*622M光路互联。随着网络业务安全隔离要求的提高,地调1承载信息外网GE通道业务。

地区汇聚层传输网投入运行后,为地区电网调度指挥和生产运营系统畅通提供了强大的技术支撑。但随着电网规模的不断扩大,新业务的不断应用,设备长期运行老化,加上单网络运行,特别是近一两年设备故障率明显增多,甚至发生过导致全网业务全部中断的通信障碍。表现在如下几方面:

1.1设备老化,公共控制板卡故障。

尽管网元设备公共控制板卡已按1+1热备份配置,但在2009~2010年期间,发生过两次因地调2网元失效导致全网业务中断的通信障碍。2009年5月,因地调2网元交叉连接(CS)板卡CPU吊死,全网通信中断。2010年3月因地调2主备时钟(SC)板卡同时发生故障,全网通信中断。

1.2地调站设备交叉控制(CS)板交叉容量小,新增业务,下载配置数据时交叉控制板CPU吊死故障。

地区汇聚层传输网建设时,按1个地区公司、6个县公司、1个500kV变电站共7个网元站点设计。配置的CSA交叉板可提供256*256个VC-4空分和32*32个VC-4时分交叉能力。随着电网建设发展,先后又插入两个网元站点,同时又拓展了信息外网业务、备用调度点接入设备网管通道、地县一体化自动化网络通道等新的业务。因上下支路的VC-12小颗粒业务需要占用大量的时分交叉容量,交叉板的容量渐渐不能满足业务发展的需要,主要表现为,网管经常上报交叉板容量溢出告警,配置基于VC-12的小颗粒业务下发配置数据时,往往发生下发数据失败,部分业务电路中断。

1.3承载综合信息网业务的TGE物理端口安排不合理,存在同一环网上综合信息网业务同时中断的隐患。

地调2网元承载南、北环综合信息网业务的南通至如东方向与南通至如皋方向及南通至海门方向与南通至通州方向的千兆以太网专线物理端口,工程建设时,配置在同一块TGE板卡上两个不同端口上,一旦板卡故障,就会发生一个环网上的综合信息网业务全部中断的故障。

为保证电网的安全稳定运行,需要对地区汇聚层传输网进行必要的优化和改造。

2、传输网优化方案

2.1 网络拓扑结构的优化

针对地调2网元公共控制板卡或电源失电故障,导致全网业务中断问题,调整地调站两个网元的运行方式。将原两张相交环+链路连接的拓扑结构改为环网+网状连接结构。即将原地调2至三官殿两条2.5G光路之一调整到地调1与三官殿网元上运行。改造后的汇聚层传输网系统拓扑结构如图2所示。

图2. 改造后的地区汇聚层传输网系统拓扑结构图

改造后,地调1由原有的单纯扩展业务功能网元,升级为环网上地调站两个承载不同业务、地位同等的网元。地调1网元承载的业务具备了光路通道保护功能,可有效抗地调2网元单点失效,业务全部中断的功能。

2.2 地调站两台网元设备公共控制板卡的优化

将地调1、地调2网元的交叉板升级改造为支持512*512个VC-4空分和64*64个VC-4时分交叉能力的CSE版本的交叉板,同时升级时钟板。可避免在进行网管配置数据过程中,因交叉板容量不够,导致业务中断的缺陷。

2.3综合信息网业务配置的优化

(1)调整地调站两个网元上两块双端口TGE板卡端口的业务配置流向,将地调2网元的两块板卡分别配置为南通至如东、南通至海门的综合信息内、外网千兆以太网通道。而地调1网元分别配置为南通至通州、南通至如皋的综合信息内、外网千兆以太网通道。

(2)将各县调站网元上两块TGE板卡,同一板卡的两个端口配置为同一方向的综合信息内、外网千兆以太网通道。

这样,从物理连接及通道上,大大提高了网络通道的安全性。

3、传输网优化改造的实施

在传输网优化改造期间,为保证地区电网的安全运行,需要制定切实可行的改造实施方案,以缩短电路中断的时间。

改造前的准备工作

1)将电路业务文档配置资料与网管配置数据进行核对,并编排出正确的整网改造前后的电路配置数据表,调整时配置数据修改的顺序表。

2)核对主站ODF配线资料和光纤跳纤位置,确保正确无误,并编排出改造前后光纤跳纤资料。

3)将新增的光纤提前布放到位,并做好跳纤的测试工作,确保光路切换顺畅。

4)将交叉板、时钟板备件送厂检测并进行硬件、软件升级,确保可用。

5)做好电路检修申请

3.2改造时段的选择

根据电力生产的特点应选择电网负荷低、操作少、业务量小的时段进行改造,一般选择双休日的午夜时段进行。

3.3改造工作实施中的注意事项

1)将网管与全网所有网元内配置数据进行上载比较,确保网元数据与网管数据的一致性。并做好网管配置数据的备份(包括外置移动介质的备份)。

2)改造开始前,检查传输网电路和网元的运行状态,确保全网运行正常方可开始进行工作。

3)为保证改造顺利进行,防止改造中,发生配置数据下发超时失败,导致业务中断,必须先升级交叉、时钟板卡,再进行传输网拓扑调整,最后调整承载信息网络的TGE板卡及端口。

4)从地调站两个网元临时接入两台网管,按照光路、业务切换的顺序,由两个网管员同时进行数据配置操作,特别是数据下发时间更应保持同步,以保证少中断业务电路,甚至可让业务使用者感觉不到电路发生过中断。

5)硬件与软件同时进行调整,以减少业务电路中断时间。

6)同步修改配置、ODF资料及设备、跳纤标识标签。

更换CS、SC板卡的技术要求

1)在更换CS、SC板卡前,需检查并确认配置为热备份的两块单板(CSE,SCE)软、硬件版本完全一致,并保证它们的PCB版本、软件版本与当前网元、网管兼容。

2)更换中佩带防静电手环,正确插拔单板。

3)对业务功能进行倒换,依次更换,确保拔板不会引起业务中断。

更换SC板时,先检查网管上待更换SC板所在网元的时钟单板工作状态,并与网元单板实际运行指示灯状态进行比较,确保一致。再在网管上将时钟源锁定在当前工作单板上。并检查确认所有业务时钟总线已正确切换。拔出待更换的非工作SCA板,插入备板SCE,待板卡上电正常运行后(网管可读到板卡特殊版本信息,板卡正常运行指示灯状态如表1所示)将系统时钟手动倒换至更换后的SCE板,单板更换成功后按相同方法更换另一块SCA板,确证业务不中断。

表1SC板正常运行指示灯状态说明

更换CS板时,检查网管上待更换网元的业务总线和开销总线当前工作CSA卡,并进行手动锁定操作。拔出待更换CSA,插入备用CSE板卡,待板卡上电正常运行后(网管可读到板卡特殊版本信息,板卡正常运行指示灯状态如表2所示),将业务总线和开销总线倒换回更换后的CSE板。按相同方法更换另一块SCA板,确证业务不中断。

表2CS板正常运行指示灯状态说明

核对业务电路状态,最后在网管上取消主备CS、SC板卡手动强制工作倒换操作,确保板卡故障时,主备板卡能进行自动倒换,不导致业务中断。

4、传输网优化后的运行状况

传输网优化改造后,经过近一年运行,系统一直平稳,地调站未发生一起网元公共控制板卡缺陷引起的大范围业务中断故障。特别是今年,在江苏公司“三集五大”体系的建设和调度数据网一平面的改造、二平面建设的工程的实施过程中,地区汇聚层传输网新增了承载了大量的业务电路,在数据配置过程中为未发生一起因设备CS板卡CPU吊死而导致业务中断的故障。

5结束语

SDH光纤通信是实现电力业务传输的有效方式。一个优质而稳定的传输网是我们的目标和希望。

参考文献:

[1] 孙学康,毛京丽.SDH技术.北京:人民邮电出版社,2003

篇5

关键词:安防监控系统;传输网络;城市

中图分类号: X924.3 文献标识码: A 文章编号:

安防监控系统的种类和技术多种多样,怎样才能在这些质量不一、价格不一、种类不一的安防监控系统选择最适合自身的呢?本文在选择系统和确定当地地区的实施方案方面介绍了一些依据的原则,这也是文章主要要阐述的地方。

一 城市安防监控系统的决策重心是传输网络

城市安防监控系统在本质上看就是把摄像机的动作控制和视频信号进行传输和存储。所以虽然城市安防监控系统包含的内容很多,但最主要最核心的内容是把汇集到监控前端的各个监控摄像机的信号进行存储和观察。随着社会信息化的发展,计算机技术已经不再是很高端很困难的技术,所以对摄像机的运行控制和存储其中的视频信号已经不再是非常困难的事情了。虽然现在不是很困难,但是对于城市安防监控系统来说,它就有一些困难,它的困难主要体现在视频信号的传输方面,这个方面也是整个安防监控系统的重点,而导致困难的主要原因就是整个监控系统的分布范围很广,而且系统内的摄像机的数量又非常的多,少的时候也有几百台,多的时候数量能够达到好几千,要把范围在几十公里甚至数百公里的摄像机的信号能够及时并且具有很高清晰度的传输到监控的前端,这是很困难的事情,但这也是整个安防监控系统成功的关键方面。

二 现存的各种传输网咯

在过去差不多在八十年代的时候我国实行的还是群防、群治的社会治安系统,这种系统具有一定的义务性,但是随着社会和经济的发展,我国现在实行的是信息化的监控报警系统,它是通过各种高科技手段来实现的,而且这种系统更能提高社会治安的防控能力。现在使用的城市安防监控系统中信号传输最常见的实施方案是视频直传、光端机、以太网等等。下面就对这些方案进行详细的分析:

1 视频直传

在传统的视频信号同轴电缆直传方式中就有现在所说的这种视频直传方案,这种方案一般适用于高楼的内部监控系统。因为这种系统中的同轴电缆在视频信号的传输过程中衰减大、均衡难而且抗干扰的能力很差,在传输距离上只能达到几百米,所以说对于城市安防监控系统中摄像机和监控前端进行信号传输,这种方案不可行

2 光端机

首先在衰减程度上,光纤的衰减度仅为同轴电缆的百分之一,所以光纤的衰减度很小,而且抗干扰的能力很强,在均衡方面则不存在任何问题,所以这种方案可以应用在城市安防监控系统中摄像机和监控前端的信号传输。

光端机的工作原理在本质上就是借用光信号的收发来进行视频信号的传递。详细的来说,在光端机上通过连接三根不同专线组成多路的视频光端机,这三根专线长度一般分别为几百米,每一根专线的连接的信号不同,它们分别是摄像机的视频、音频以及控制信号。多路的视频光端机分为两种,一种是数字式光端机,另一种是模拟式光端机。前一种可以进行4路以上的视频传输而且每一根专线的长度也会降低很多,但是它的成本非常高;后一种的成本比较低,而且目前工程中常用的也是能够传输1、2、4路视频信号的模拟式光端机。

模拟式光端机线路的传输距离一般是20~40㎞,它的图像清晰度则为D1的标准,与DVD的标准相当接近。

虽然光端机方案在不需要扩充规模,一次成型的安防监控系统中很有优势,但是如果范围扩大到几十甚至是数百公里就存在很多的问题了,这些问题主要体现在以下几个方面:

在结构和目的上存在着很大的弊端

在大型的城市安防监控系统中,摄像机的数量是非常多的,从数百到上千台不等,而一根光纤只能控制1~4台摄像机,所以光纤的数量也就可想而知了,一旦一根光纤出现问题那就不再只是这一根光纤的问题了而是整个光缆的问题,这样的话很容易引发监控系统的全面瘫痪。所以说光纤的脆弱性以及难修复性,再加上光端机对光纤的依赖性决定了光端机这种方案在应对突发事故时存在着很大的弊端。

在成本和美观设计方面不具有优势

在成本和美观设计方面不具有优势主要体现在三个方面:一是每根光纤都有一块光的收、发模块,而且每块的价格也不便宜;二是在维护和修理方面,光端机的复杂性决定了它的这一块费用也比较高;三是每台光端机最后都需要连接一根为以后修复所用的光缆但是这根光缆还需要预留10㎞的余缆,这样既浪费也不美观。

不能适用于野外的长期工作

光端机设备都不是密封结构,而且有的外部插件要求的技术标准很高,在野外根本不能满足这些条件。

从以上看来,光端机虽然有一定的作用但是它存在的问题很多,不能成为最实用的方案,也就只能称之为一种过渡性的方案。

3 以太网方案

宽带数据方案能够应用于城市安防监控系统主要是得益于在互联网信号的传输方面宽带数据网取得了很高的成就,在目前的社会上,因为电讯业早已掌握了网络传输以及技术上的实力所以具有这些优势的宽带数据网几乎已经占据了整个城市安防监控市场。但是在这美好现实的背后还存在着很多的问题,这主要表现在四个方面:

图像信号的传输清晰度

在城市安防监控系统中,摄像机的传输清晰度一般要达到DVD级别,这就要求它的传输码率最少要在2Mb以上,但是宽带数据传输中虽然有三种线路但是只有一种线路可以达到,一是ADSL线路,在这种线路中能够传输摄像机信号的只有上行通道,但它的传输速度永远也不可能达到2Mb;二是上下通道都可以的HDSL,这种线路也行不通,因为这种线路的最大速率只能达到1.5Mb,而且还会慢慢的递减;三是以太网,但是用以太网进行视频信号的传输需要用到网络视频服务器,而这种服务器每台的价格都非常的昂贵,而且还是要提前定制。

以太网的传输速率

宽带信号的传输速率一般为0.5左右,但是城市安防监控系统中要求的DVD的传输速率却为2.4~3.2之间,两者之间的距离相差甚远,要想实现这一要求就需要耗费巨大的资金和成本,但是这种情况很不现实,目前的传输速率只是到达了VCD级别,也就是0.6~0.8之间。

以太网传输的安全性比较差

宽带数据传输的整个过程中包括压缩、解压、复接、分接、包交换、差错控制等等,在这些过程中有很多的外界干扰,而以太网的安全性比较差导致信号因为受到干扰而产生延时。

以太网的专业性太强,这主要体现在一是施工和维护的人员必须具备很高的专业知识;二是在运行过程中,整个过程的维护费用很高;三是因数字技术的发展迅速导致网络更新的频率很高。

三 CATV监控传输方案

上面介绍了三个方案,但是每一个方案都存在着这样那样的问题,所以说什么样的方案才是目前真正适合的方案呢,那就是有线电视监控传输方案也就是CATV监控传输方案。

CATV监控传输方案使用的原理是有线电视的双向传输的道理,从而对摄像机的信号进行清晰的、实时的传输,它的整个的传输过程不受摄像机数量的控制,它采用频分复用的方式对摄像机信号进行传输,它可以在同一根电缆上进行上百路信号的传输。

小结:近几年来,我国的城市安防监控系统在每个城市都取得了巨大的成就,但是在感受成功的同时也要发现其中存在的问题,并不断在实践中解决问题,使我国的城市安防监控系统更上一层楼。

参考文献:

[1] 邱鑫,王华金. 光纤多业务平台在安防监控中的应用[J]. 科技经济市场. 2010(07)

篇6

关键词:哈大铁路 物资设备 采购 供应 结算

0 引言

哈大高铁指在中国黑龙江省哈尔滨市与辽宁省大连市之间建设的高速客运专用铁路。哈大客运专线(高铁)是我国中长期铁路规划中“四纵四横”高速铁路网的“一纵”,是京哈高铁的重要组成部分。该客运专线是“十一五”规划重点工程项目,于2012年12月1日正式开通运营。它北起黑龙江省哈尔滨市,南抵大连,全程921公里,属双线电气化铁路。全线建设所需的物资设备需求数量大、供应难度大、技术含量高、质量要求严、物资品种多、工作要求细、差异大,管理要求高等特点。因此,高效的物资设备管理方案是保证哈大铁路建设质量和按期运营的重要前提。根据哈大铁路客运专线的实际工作经验,对物资设备管理的系列工作进行浅析,以期为奋斗在铁路建设一线的同仁们些许启示。

1 物资设备采购方案

1.1 市场经济体制下的物资采购。市场经济是通过计划和市场两种手段实现社会资源合理配置的经济运动形态。市场经济的基本特征是:自主经济、平等经济、竞争经济、效益经济、服务经济、网络经济、开放经济、动态经济,主要是通过市场调节来优化资源配置,促使企业通过转变运营管理策略,最大限度的降低成本、提高效益。铁路企业的运营规模相对较大,自身运营管理的系统性决定着市经济体制下铁路企业的物资采购应按规模化、集约化的方式来进行。铁路物资设备采购采用招标制,这不仅是铁道部的要求,更是改革发展的需要,是企业深化资产经营责任制、提高收益、降低成本的要求,也是党风廉政和抓源头反腐败治理工作的需要。在市场竞争越来越激烈的情况下,铁路物资设备的采购要降低产品成本就必须严把物资材料采购关,招标采购就是一种好办法,真正能够做到国家财产的节约。

1.2 规范的招标采购步骤及优势

1.2.1 规范的招标采购步骤:首先建立一支专业化的铁路招标采购团队,加强专业化队伍建设,他别是负责大宗采购或特殊商品采购的人员要严格引进,针对铁路建设的具体内容进行分层次培训,造就一批从事招标的专门人才。其次,编制系统规范的招标文件,一方面使得供应商根据具体的需求作出实质性的响应;另一方面运用规范的标书,严肃招标进程。招标文件的质量直接关系到采购活动的成败。再次,制定严谨的招标管理制度,这是一项系统工程,规范铁路建设招标行为,要用制度去约束和规范,使招标人员和评标人员做到有法可依,一方面使广大供应商信服,另一方面提高铁路自身采购质量。

1.2.2 招标采购的优势在于通过招标采购可以做到择优选择供应商,有效地降低采购成本,更好地利用竞争机制,争取市场价格优惠和国家政策优惠,降低物资设备采购供应费用,减少铁路运营成本,保证物资质量减少事故隐患和工程质量隐患;优势二在于采购模式合理合法,监督到位,采购全过程严格按照中华人民共和国招投标法,过程有法可依,监管部门配合全面监督。

2 物资设备供应方案

物资设备供应管理实施方案设计,按照设计项目物资管理实施方案的基本原则,以铁道部相关规定为基准,结合物资设备的特点以及在工程建设过程中的重要程度,将其分为甲供、甲控、自购三种物资采购方式。

2.1 甲供物资设备。该方式涉及造价控制、工程质量及安全生产过程,构成工程实体的各项专用物资设备,如钢轨及其联接件、道岔及其配件、轨枕及其扣配件、外购桥梁及其支座、铁路专用光缆电缆、承力索,以及工程概算设备采购费用中罗列的所有设备等,以及进口物资设备。甲供物资设备均由建设单位自己组织采购供应,由建设单位通过集中招标采购,按照中标结果与供货厂家签订合同并组织供货。

2.2 甲控物资设备。甲控物资设备即对工程质量、安全和造价有直接影响,构成工程实体的水泥、钢材、丝、钢绞线、土工材料和防水材料等通用物资。甲控物资设备均由建设单位牵头与施工单位共同集中招标采购,选择合适的供应商。施工单位与中标供应商按照招标结果签订供货合同并自行组织供应,但材料价款纳入施工单位工程承包合同中,建设单位仅仅通过牵头集中招标采购控制物资的进料渠道和质量,代付合同货款。

2.3 自购物资设备。乙方自购物资设备是指除一类、二类以外由施工单位自行采购的其他所需物资。

与前两种方式相比该方案的优点在于:①建设单位业务简捷,人员精干,管理费用通过物流业务外包,大大降低自己的责任与风险;②兼顾了施工单位在利益预算中甲控物资采购管理费,该方式可以适当预留一部分费用给施工单位,充分发挥两个积极性;③从根本上实现了物资供应管理的科学化、规范化、标准化,使全线的物资供应管理工作迅速步入正轨。

3 物资设备结算管理

甲供物资设备供应、结算管理铁路建设物资设备采购合同管理依据国家和铁道部相关文件执行。建设指挥部是合同管理的主体,其职责是建立健全合同管理制度和台帐,定期督促检查反馈合同履行情况,实时解决合同履约过程中出现的问题,随时接受上级主管部门的检查和监督。在日常工作中要注意以下几点:

3.1 建立健全项目甲供物资设备台账,实时办理超概甲供物资设备的变更手续,及时与主管验工计价和合同的相关人员进行沟通,做到早发现早解决,为调整合同做好充分准备。

3.2 及时办理变更手续。甲供物资设备的费用是概算内相应物资设备的费用,合同变更的审核必须按照相关规定进行,如有必要合同应该签署补充协议,根据合同规定的费用计算原则确定调整费用。由于变更费用是分年度上报,这就要求物资管理人员认真做好每一个批次招标物资的台帐管理,为做好报批手续提前做好准备。

3.3 严格甲供物资设备支付签证采用现场签证,要及时组织监理单位、施工单位、供货单位以及物资公司根据相关技术标准和规定进行检查验收,检验结果不合格的物资设备由采购单位负责处理。

3.4 物资设备采用动态管理,保证现场物资供应衔接。督促、监管供货单位按时认真履行合同的约定,及时准确掌握供货单位所供货的数量、种类、货运时间、运输安全、交货地点等信息,并逐项落实。另外还要建立健全和规范合同管理台帐,合同承办部门要配合收集、整理有关合同的档案资料并做好归档管理和定期统计分析。

4 结论

综上所述,个人在实际工作中整理并总结的关于铁路建设物资设备管理的想法:物资设备管理工作是一项系统的、科学的工程,需要在工作中不断丰富实践经验巩固其理论知识,在物资设备采购方面不断地提升创新能力。

参考文献:

[1]宋子东.浅谈降低铁路物资采购成本的措施和方法[J].铁路采购与物流.2007(12).

[2]林.创新铁路建设用钢材采购供应管理[J].铁路采购与物流,2007(11).

篇7

【关键词】国外项目部;内部网络;系统构建

为了适应业务的发展和国际化的需要,积极参与公司信息化进程,提高管理水平,展现全新的项目部形象,项目部需构建内部网络,实现信息的共享、协作和通讯,并和总部互连,并在此基础上开发建设项目部办公系统,实现智能型、信息化、快节奏、高效率的管理模式。本文以山东电建三公司沙特拉比格项目部的内部网络构建为例,对项目部构建内部网络做探讨分析。

1.计算机系统需求

山东电建三公司沙特拉比格项目部为新成立项目部,总共有500多个点需要进行网络规划,所以待建网络系统的目标是: 建立内部网(Intranet)。通过内部网络系统,建立现代化的办公环境,同时提供丰富的信息运行网络平台。与公司总部连接,加入公司整体办公网络平台。上连Internet,通过Internet,与业主、bv公司、分包商进行网络资料传输以及e-mail等信息交流。

2.网络系统设计

2.1网络系统的特点和要求

沙特项目部网路是与公司总部进行计算机信息交流的平台,是一个跨国家的大型网络系统。项目部将通过专线或者卫星信号的方式连入Internet,进行信息的,也可以通过Internet与公司总部及其他公司进行信息的交互。

在局域网平台建设方面,经过具体需求进行分析之后,我们建立一个主干10M三级以太网结构,并能在未来平滑地升级到千兆以太网。网络系统要求能够支持视频会议、视频点播、网上实时交流以及BBS、新闻组等功能。

2.2网络系统实施方案

根据项目部网络的实际需要以及现有的布线情况,我们设计的项目部的网络结构如下:一台中兴5252作为中心交换机,以太网连接到各个点;一台UTM作为Internet 接入路由器以及防火墙;在中兴5252上的各个模块之间以及模块上的各个端口之间都可以通过划分VLAN的方式实现广播风暴的控制以及网络安全的实现,当然中兴5252可以支持基于MAC地址、基于端口、以及基于政策的VLAN。各个VLAN之间的通信通过路由交换模块实现线速路由。

网络设备的连接如下:整座楼的各个点直接与Catalyst的工作组交换10BaseT以太网模块相连;主干服务器以100BASE-TX的方式接在UTM的内网口上;Internet接入通过UTM外网口接到Internet;UTM接入中兴5252的路由交换模块上;项目部网络通过国际专线与公司总部相连接。

3.UPS电源系统设计

3.1设计原则

当互连网络设备供电中断时,所有数据通信都将中止。即使电力恢复,其连接也要在一段时间后才能恢复。因此,在网络环境下,躲避电力故障,保证系统连续运行是至关重要的。不间断电源可用来保证关键网络设备的安装、运行及有效性。

3.2产品选择

我们选择美国APC公司的UPS产品。这是因为:APC是全球最大的UPS厂商,APC所获美国权威中介机构的各种奖励超过所有其他UPS厂商之和APC是唯一有能力提供完整的容错系统的UPS公司.APC的产品还得到大多数世界著名的计算机软硬件厂商的认证,如Novell、Microsoft、IBM、SCO、SUN等等。

4.Intranet平台系统设计

4.1服务平台的建立原则

项目部信息系统服务平台根据下列原则来建立:

4.1.1保密性

本方案中所用的产品以及所构建的应用系统都是基于国际标准,但只能对内部访问,外部用户不能访问。

4.1.2可伸缩性

本方案采用的设计和产品均基于模块化设计,可根据不同需求灵活配置,并且在平台上的修改和扩充不用手工修改客户端设置。所选的Internet/Intranet服务器产品提供了很好的服务性能。本方案支持集中和分布计算的灵活分配。

4.1.3互操作性

本服务平台所选产品可以和其他厂家的产品通过开放标准实现互连。

4.1.4跨数据库

数据库连接支持INFORMIX,ORACLE,SYBASE,SQLServer,DB2,以及通过ODBC支持十多种其他厂商的数据库。

4.1.5扩展性

由于基于标准和模块化设计,服务平台从功能、性能和服务内容上都具有扩展性。

4.1.6高性价比

方案中所采用的产品都是业界成熟和先进的产品,同时具有很高的性价比;各种平台服务器支持大容量用户访问,灵活的模块化设计,因而显著地提高其性能价格比。

4.1.7统一性

本方案在很多方面体现出统一性,包括平台管理的统一性、用户管理的统一性、资源管理的统一性。产品选择时,考虑到各种产品有机集成。

4.1.8可靠性

服务平台具有很高的可靠性。在方案设计时,考虑到每层的可靠性以及系统的可靠性。包括网络层的可靠性、服务平台的可靠性、主机的可靠性;采用了HA技术、负载平衡和冗余技术、分布技术等来实现高的可靠性。

4.1.9可管理性

本方案采用多种标准技术来完成项目部信息系统的管理。如关系数据库技术、Java、SNMP、http、LDAP等。支持项目部信息系统主机管理、IP和域名管理、网络服务管理、应用服务管理、应用系统管理及客户端管理。

4.1.10可维护性

服务平台提供了系统维护工具,供系统维护人员来维护和保证系统的正常运行。

4.2产品选型

我们选用windows2003 server的iis6来构建web网站。

平台系统设计:我们设计项目部目前的INTERENT/INTRANET系统主要完成以下几个比较典型的、切合目前应用需要的服务。

WWW服务:通过该服务在项目部内部网上的应用系统可以实现三层结构,便于应用系统的开发和使用、方便员工使用网络资源,在INTERNET部分通过WWW服务,可以提供全国建筑工程系统对中国项目部信息资源的充分利用(这种信息服务当然也可以采取有偿方式),同时也提高了项目部在国际、国内的知名度。同时可以通过虚拟主机服务,为公司不同的部门提供信息的条件。

E-MAIL服务:E-Mail服务是Internet上最重要的服务之一,它改变了人们的通信方式。通过该服务项目部的全体员工能够方便快捷地与国内、外的人员进行电子通信,方便信息的交流与共享。

PROXY服务:为公司内部没有真实IP的主机提供Internet访问功能,实现访问流量过滤,访问信息的缓存以及流量统计功能,从而提高系统的效率和安全性。

5.网络安全设计

本项目部采用UTM集成防火墙的功能来实现网络安全。华盾UTM网关内置基于状态的包过滤型防火墙,可以自动识别基于IP的多种通讯协议,对应用同一种协议的各种服务进行分别控制。

UTM网关设备的防火墙控制策略描述为:基于IP的网络协议在防火墙规则表中有匹配项的,按先匹配上的规则进行网络访问控制;没有匹配项的,按防火墙系统默认规则进行网络访问控制。系统默认规则为“允许通过”。

篇8

国土资源网络信息化建设,对于提高工作效能,节约行政成本,更好地保护资源、保障发展、维护权益、服务社会,有着重要的实用价值和现实意义。为此,我局在国土资源信息化建设中,投入了一定的资金、人力和物力,做了大量的工作和探索,有力的促进了国土资源管理工作的开展,为国土资源业务网建设奠定了一定地基础。

一、信息化建设尝试

根据省国土资源厅、市国土资源局及区委政府等有关文件精神,我局于年成立了以局长为组长的信息化建设工作领导小组,设立了局信息网络中心,自行设计开发了区国土资源信息网站,含政策法规、政务信息、办事指南、国土新闻、局领导班子成员及相关科室简介、执法监察、在线举报和咨询七大版块26个子栏目,能够从多角度及时地反映国土资源管理工作的进展情况和相关法律、法规和政策,深化政务公开。同时与区委区政府建立起与互联网等公共网络物理隔离的办公自动化网络专线,方便了工作,节约了成本,基本实现了无纸化办公。随着国土资源系统体制改革的深化和办公场所的迁移,我局于年对国土资源信息化和办公自动化建设进行了进一步健全和完善,自主设计开发了内部办公自动化系统,在局内部实现了资源共享,信息互传,基本实现系统内部无纸化办公。

二、目前现状

组织机构:成立了以局长为组长,副局长为副组长,各科室、各二级事业单位负责人为成员的信息化工作领导小组办公室,办公室设在局办公室,并专门抽调精通网络管理和计算机操作的工作人员统管全局的国土资源信息化建设,并在各科室、各事业单位确定了专门的计算机管理和维护人员。

信息化建设:租用电信网络专线,建立了国土分局门户网站,共7大板块26个子栏目,其内容丰富,涵盖面广,基本能够全面反映辖区国土资源管理工作现状和进展情况,承担国土资源管理法律法规的宣传教育和连接社会各界及广大人民群众的桥梁作用。建立了独立于互联网等公共网络的局域网络和与区委区政府相连的办公自动化网络,全部进行了物理隔离,确保了各项工作数据传输的安全性和保密性。

应用系统:局信息网络中心服务器,应用windows操作系统,其余电脑应用windowsXP操作系统。采用的是诺顿、江民、360安全卫士等防护系统,做到了机机有杀毒软件,防火墙,保证了局系统的网络和计算机安全。

自建系统:我局于年完成了规划管理信息系统软件开发和规划管理数据库建设,并通过国土资源部验收。该系统已全面服务于辖区的经济建设工作。如市城市总体规划修编用地预测、基本农田面积的核实、检查、上轮土地利用总体规划的实施分析等,都能快速、准确的提供数据服务,为土地管理工作提供高效、稳定、准确的工作平台。

其他设施:在我局中大型会议室都设有网络插口和投影设备,同时投资30万元建立了gps连续运行工作站,即cors基站,为视频会议系统和业务网建设奠定了一定的设施基础。

制度规定:为了适应国土资源信息化管理的需求,构建网络环境下新的管理模式和运行机制,我局先后制定出台了《国土分局关于推进全局电子政务信息化建设的实施意见》,《机房管理人员工作制度》、《网络安全防护措施》等一整制度和规定,使网络和计算机管理和应用更加规范、科学。

三、业务网建设设想

篇9

关键词:远程安全接入;SSL VPN;应用系统;信息资源;B/S;C/S 文献标识码:A

中图分类号:TD636 文章编号:1009-2374(2015)29-0054-02 DOI:10.13535/ki.11-4406/n.2015.29.027

近年来、随着信息技术的飞速发展和公司信息化建设的不断深入,在公司办公网络中已经建成了许多关键应用系统,这些关键的应用系统如OA办公、ERP、调度报表、主数据、邮件、病毒防护、财务管理、人力资源管理等系统。公司员工可以轻松通过公司内部网访问这些应用系统资源,不仅提高了公司的管理效率,而且促进了各项业务的发展,保证了公司的安全生产。

随着公司驻外分公司及办事处的设立以及远程办公、移动办公人员的增加,使用远程办公和移动办公的人也越来越多,更多驻外办公需要接入到公司的内部网络中,访问这些应用系统,公司网络应用中实现远程接入的需求变得日益迫切。

1 现状及存在问题

目前大屯煤电集团所有的应用系统和信息资源均布置在集团总部,驻外分公司及办事处通过网络运营商的10M专线接入互联网。随着集团信息化的进一步深入,积累的应用系统和信息资源越来越多,包括文件共享、调度报表、MRP、ERP、主数据、OA、邮件、WEB应用、病毒防护系统等,这些应用系统基于B/S和C/S架构。

集团所属驻外分公司、各办事处员工及出差人员仅能通过公网访问有限的资源,而对于只面向内部的大多数应用系统和信息资源,则无法获取。对外开放的应用系统如OA办公自动化系统、邮件系统、MRP系统、ERP系统、法律事务系统等所使用的公网地址和端口,很容易被黑客或不怀好意的人入侵,易感染病毒,用户及其访问的内容没有审计,缺少对访问内部资源用户身份认证和授权机制,整体安全性较低。这些关键的应用系统有些需要使用到某些特殊应用端口,而往往这些端口在许多地方被封掉,从而造成移动办公的人员不能正常访问一部分公司的关键应用系统。

2 SSL VPN远程安全接入的必要性

考虑到安全、高可用、实用、可管理、可扩展等因素,为了满足该集团驻外分公司、各办事处员工及出差人员访问内部资源其日常办公的需求,急需建立一个远程安全接入的平台。

VPN是一种在公用网络上建立专用网络的技术,VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,它可以提供远程的安全接入,而终端用户无需安装或设置客户端软件。目前,对SSL VPN公认的三大好处是:第一个好处来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何终端及操作系统。所有的远程用户只需要打开浏览器即可成功接入集团总部内部网络。

采用SSL VPN接入方式不需要再安装任何客户端软件,操作使用方便,另外,SSL VPN对接入用户的访问权限可以进行控制,可以做到严格授权。

3 方案设计

本次安全接入的目标是应用远程接入技术实现驻外分公司及各办事处对公司关键应用系统的安全访问,使驻外人员可随时接入到公司内部网络中,并建成一个统一、便捷、高效的内部网络平台。

SSL VPN与IPSec VPN是目前流行的两种因特网远程安全接入技术,它们之间具有类似的功能特性,但也存在很大不同。

IPSec VPN提供完整的网络层连接功能,是实现多专用网安全连接的最佳选项,而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。IPSec VPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。

因此,集团公司选定了SSL VPN方式,同时,为了避免网络冲突,集团对所属企业、驻外分公司及各办事处的网络进行统一部署方案,系统的结构如图1所示:

总体设计思路如下:(1)在集团总部内网部署高性能的SSL VPN网关;(2)在驻外机构及各办事处,办公人员通过远程接入到公司内部网,访问关键应用系统资源;(3)在集团总部SSL VPN网关上配置用户角色及相应的访问权限;(4)网关上设置可以自动生成系统日志和用户操作日志等。

4 实施方案

根据总体部署,我们在公司现有的防火墙后面部署了一台SSL VPN-Plus设备,由防火墙来转发所有对内部应用系统的SSL连接请求到SSL VPN-Plus上,由SSL VPN-Plus来处理用户的认证、授权以及信息的加/解密工作,而正常的网络访问流量通过防火墙的相关策略直接处理,由于防火墙的安全隔离作用,可以有效隔离大部分来自网络的攻击扫描行为,一方面保障了内部网络及服务器的安全,另一方面也可以有效保障VPN-Plus本身的安全性。SSL VPN-Plus工作在单臂模式,远程用户通过HTTPS协议安全连接到SSL VPN-Plus进行加/解密信息交换以及用户认证,并获得应用资源访问授权。当应用服务器增加时,不需要更改任何防火墙或者路由器策略,也不需要更改任何网络拓扑,只需要在SSL VPN-Plus上增加相应的策略,即可实现远程用户的安全访问,大大提高了易用性。

对于一般的用户而言,由于防火墙的NAT以及访问控制策略的限制,用户能够接触到的只是SSL VPN-Plus,而不可能接触到实际的内部网络应用服务器,所有对内网应用的请求会被防火墙直接强制转移到SSL VPN-Plus上,SSL VPN-Plus此时会和用户端发起SSL-VPN协商并进行进一步的通讯处理,由于防火墙的隔离以及SSL-VPN的限制,用户不会直接访问到应用服务器,大大提高了系统的安全性。

5 实施效果

采用SSL VPN-Plus远程安全接入方案后,实现了大屯煤电集团驻外分公司、各办事处员工及出差人员对集团OA办公自动化系统、财务系统、ERP系统、主数据等关键应用系统的安全访问,员工无论是在驻外分公司、各办事处,还是任何可以访问INTERNET的地方都可以进行安全的应用操作和业务处理,大大降低了管理维护成本,提高了大屯煤电集团内部应用系统和信息资源的处理能力,提高了工作效率。

项目的实施不仅满足了大屯煤电集团远程安全接入的需求,填补了驻外分支、办事处及出差人员无法安全访问集团内部全部应用系统及信息资源的空缺,同时系统还支持Telnet、SSH、VNC和windows RDP等应用,降低了管理和维护成本,减少了很多对内网的攻击,达到了对集团公司内部网的最大防护。

参考文献

[1] 介斐.企业远程接入方式[J].石油化工建设,2007,2009,(3).

[2] 郑洁.VPN技术在图书馆网络互联中的应用[J].中小企业管理与科技,2009,(24).

篇10

【关键词】中小型企业 信息化 网络系统

一、建设内容概述

建设内容:构建中型企业的计算机局域网,搭建安全的网络访问出口和网络服务体系,实现管理网、生产网、安防网之间的安全隔离和逻辑互通,具体包括设备部署、安装、调试、测试和用户培训等;对企业管理网、安防网和生产网等有线及无线网络的深化设计、IP规划和配置,建立良好的网络管理机制,满足网络系统信息的存储与备份,维保服务及为完成本建设内容内容所必须的各项工作。

(一)建设目标

建设目标:建设覆盖全企业所有建筑物的高速企业局域网络,满足企业目前及未来5年内信息化、自动化、智能化相关系统的需求,保证局域网能与企业广域网之间进行数据信息的准确、完整、快速、安全地传递,能够通过安全机制访问互联网,保证提供安全畅通的信息传输渠道。

(二)建设原则

1.实用性:系统的配置和设计应最大限度的满足企业的相关业务系统的各项需求,充分考虑长远发展。

2.安全性:系统需提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作。

3.可靠性:系统须能有效避免单点故障,最大限度地减少故障出现的可能性,同时保障网络能在最短时间内修复。系统通过完备的网络策略,保障网络物理及逻辑设计的可靠性。

4.先进性:系统结构设计、系统配置、系统管理方式等方面应采用国际上先进、成熟、实用的技术。通过智能化管理平台构建智能化管理网络,提升内部的管理效率以及对外的服务水平。

5.可管理性:整个系统须易于管理和维护,配置易学易用,并可以进行远程管理和故障诊断。建立统一的网络管理平台,实现对有线无线接入网络设备、网络策略、网络协议的多级维护,实现便捷管理。

6.可扩充性:充分考虑到未来技术和业务的发展,支持核心业务系统的不断扩展,保证网络设备可以扩充和升级,保护投资。

7.规范性:采用国际及行业开放的技术标准和产品,设备的各种接口满足开放性和标准化原则,保证在系统集成、互联和扩展时能够相互兼容。

(三)建设依据

依据与本建设内容有关的国家、地方及国外工程技术规范标准;参照国际上通行的管理方法,在国内外规范标准发生矛盾时,以国内规范标准为准。

二、总体实施方案

本次建设内容涉及企业广域网、互联网及内部网络的各个区域。

具体包括:协助企业与线路运营商的衔接,完成线路的调试工作;负责完成企业确立网络建设方案;负责完成IP地址、VLAN及设备命名等数据参数的规划与分配的解决方案;协助广域端口参数的确立;负责完成路由交换设备广域端口、局域端口的设置和路由策略的设计等,以及其它保证网络完整性的相应集成工作。

无线网络系统包括:协助完成无线AP点的位置规划及设备安装调试;负责完成无线AP所用到的数据参数的规划;负责实现无线AP接入点的安全访问控制及高效的可管理性;负责实现无线AP下挂终端与内网各个区域间及互联网等网络间的互联互通。

网络安全体系括:广域网出口、互联网出口及内网各个区域间的网络访问限制;从网络安全、主机安全、网络应用、防病毒、接入认证、数据安全几个层面对安全进行全面防护,同时要进行安全的集中管理。

网络管理体系包括:规划企业的网络管理体系,建立企业的综合统一网络管理平台,实现对网络系统的有效监控和预警,实现网络系统的故障管理、事件管理、性能管理,拓扑管理和链路流量管理;实现对主机故障和性能指标的监控管理、事件管理;建立综合报表平台,实现网络管理、主机管理、服务流程管理的报表系统。

(一)实施流程

实施流程分为如下四个阶段:准备阶段、网络建设、系统调试、测试运行

(二)环境调研

环境调研分为两部分:基础环境调研、网络结构调研。

基础环境调研包括:机房平面图、新增机柜位置、运营商机柜位置、地板承重、供电环境、走线方式、机房温湿度等;

网络结构调研主要包括:新企业区内网各个区域网络拓扑图、设备类型、型号数量及设备配置、端口类型、终端数量等。

(三)设备订货

将购置设备及时、无故障、顺利的运抵合同中规定的安装或联调现场,并负责故障设备的返修工作。

(四)详细方案编写

工程前期调研结束后,根据用户的要求以及调研结果,进行详细技术方案的设计和编写工作,包括详尽的安装顺序及技术参数,以作为现场施工安装的依据。

(五)设备到货及验收

设备到货验收的主要内容包括:1.设备已全部送达至用户指定机房;2.依照《设备到货验收报告》对设备进行核对,并记录产品序列号;3.设备加电测试;4.设备随箱资料整理;5.确认设备到货内容无误后,实施人员与用户共同签署《设备到货验收报告》。

(六)设备安装调试

设备到货验收完成后,实施人员在用户技术人员的监督指导下,将设备部署到各指定机房指定位置。进行现场设备的安装、施工和调试工作。工作过程和内容主要包括:

1.到达施工现场,向用户方配合人员介绍施工安排

2.设备安装上架、加固、接地等工作

3.终端设备和系统安装、调试完成,双方签署有关安装完成的证明书

4.详细解释并移交技术文件、配置手册等给节点配合人员

5.通过《测试报告》测试内容后,实施人员与用户共同签署《测试报告》,并需用户盖章确认。

(七)网络联调测试

设备安装调试完成后展开联调,进一步确认系统的每一部分都符合建设要求。

(八)系统联调测试

网络联调完成后,承载系统模拟真实生产环境,对各个生产区域进行功能测试,进一步完善网络安全设备访问控制策略。

(九)用户培训

在实施过程中,现场对相关技术人员进行培训。使用户维护及技术人员能够最直观的感受。培训的主要内容包括:工程实施技术培训;设备安装、配置培训;日常维护管理知识培训;简单故障的判断和处理方法。

(十)系统初验

设备安装、调试达到技术规范书规定的指标后,建设内容组将进行系统的验收测试(初验),以确保系统涉及的各个分区域和其他区域及广域网和互联网间的通信都能通畅无阻,安全设备能提供有效的安全防护,如果发现问题,将及时解决。

在初验前建设内容组将向用户提交初验的验收规范(包括建设内容、指标、方式和测试仪器等),用户方可根据技术规范书的有关规定进行修改和补充, 经双方协商确认后形成验收文件作为验收依据。验收测试合格后, 双方签署验收协议, 设备入网开通试运行。

(十一)系统试运行

系统初验通过后,进入试运行阶段,试运行时间为3个月。在试运行期内建设内容组将跟踪设备运行状态,及时发现并解决问题,消除故障隐患。

(十二)系统终验

系统试运行结束后,双方应进行系统的终验工作,以确保解决了前期测试和验收中遗留的问题,并满足了用户的所有需求。在全部达到要求时,双方签署最终验收文件。在终验完成后,将提供详细的终验报告,报告经用户方确认后,现场验收即告完成,系统进入质量保证期阶段。

(十三)网络出口组网及路由协议规划

1.广域网出口规划

企业广域网网络采用双出口设计,使用两台高性能路由器(含IPS板卡)+双防火墙分别上行至中烟公司广域网。

2.互联网出口规划

为了保证接入Internet后的安全性,在网络内部与出口之间设置防火墙、入侵检测、防毒墙等安全设备。SSL VPN设备放置在DMZ区域中。

互联网出口区部署一台高性能防火墙设备,以路由方式工作,将互联网出口划分为三个安全区域,保护内部终端和服务器不受外部非法攻击和访问,同时对DMZ区的Web和邮件等服务器提供有限访问保护,Internet以及企业内网用户均可正常访问DMZ区中的设备。

IPS的连接方式为双路连接,即:IPS分别连接两台物理核心交换机,在提高数据转发性能的同时,也可避免单链路或其中一台核心故障(端口或机框)而导致的互联网业务中断。

结合互联网业务和运营商互联网专线的特点,互联网出口路由协议规划如下:(1)在出口防火墙配置缺省静态路由指向运营商城域网设备;(2)出口防火墙向内起OSPF动态路由协议,并将向外的缺省静态路由引入OSPF。

三、QoS规划

本次网络规划时在提供充足带宽的前提下,还需要实施端到端的QoS机制。

我们可以用丢弃率、时延、时延抖动等几个关键参数来描述一个业务的QoS,当一个网络提供某类QoS的服务时,就是在网络中的结点设备上设置该类业务的带宽、发送优先级、丢弃优先级等来控制业务的丢弃率、时延、时延抖动等业务参数在承诺的范围内。

四、QoS设计原则

企业网络系统的QoS设计符合下面的原则:

差异性:为不同用户,不同业务提供不同的QoS保证;

可管理:灵活的带宽控制;

经济性:有效利用网络资源,包括带宽、VLAN、端口等;

高可用性:设计备份路径,采用具备热备份、热插拔能力的设备,并对关键的网络节点进行冗余备份;

可扩展性:采用能够在带宽、业务种类增加时平滑扩容、升级的设备。

五、QoS部署策略

企业网络系统的设计要求符合下列QoS设计特点:

吞吐量达到万兆级,完全保障正常带宽,且能轻松应对突发带宽;可用硬件实现业务优先级等级区分,QoS处理不占用设备CPU资源,不会影响性能;毫秒级保护倒换机制,保证链路中断后快速自愈,视频、语音业务的中断与恢复在50ms内完成,人类感官无法察觉,数据业务几乎无丢包;具有硬件的带宽预留机制,保障企业关键业务的畅通无阻;

具有先进的流控与反压机制,具备虚拟输出队列机制。

六、无线网络实施手册

(一)整网逻辑拓扑图

本建设内容基础网络系统已实现千兆到桌面,万兆连接核心。在汇聚交换机上分别部署一套无线控制器,作为整个无线局域网络的中央管理控制器。

(二)无线用户认证解决方案

针对无线用户,无线控制器作为802.1x认证的终结点,iMC认证计费系统作为最后的鉴权点,当用户在AP内进行切换时,此时的主要工作由无线交换机进行统一调度,当用户在不同的端口下的不同AP的覆盖范围时,此时用户不会再次触发认证。

(三)无线网络安全解决方案

企业新企业区无线局域网络主要服务于企业办公人员以及外来单位办公人员,也是规模的公众型网络,网络安全问题在建网时必须充分考虑,安全方式主要侧重几个方面:用户安全、网络安全,而在园区网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:MAC地址)及用户的帐号、密码,而对于企业内部用户来,帐号信息都是一个实名原则,与员工实名信息进行关联的,这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题;

(四)无线AP供电解决方案