【摘 要】新北京電視中心信息系統(tǒng)是以北京電視臺(tái)在節(jié)目制作、管理、運(yùn)營(yíng)過程中所產(chǎn)生的各種信息為基礎(chǔ),實(shí)現(xiàn)各業(yè)務(wù)、職能部門的高效協(xié)同的信息管理系統(tǒng)。它直接服務(wù)于北京電視中心的節(jié)目生產(chǎn)、管理、決策的各個(gè)層次,貫穿于各業(yè)務(wù)層次的整個(gè)過程之中,實(shí)現(xiàn)對(duì)過程的有效監(jiān)控,目的是為降低成本、提高效益、增強(qiáng)綜合競(jìng)爭(zhēng)能力而服務(wù)。本文主要從網(wǎng)絡(luò)功能結(jié)構(gòu)、Internet接入網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器負(fù)載均衡的實(shí)現(xiàn)、用戶的遠(yuǎn)程維護(hù)、網(wǎng)絡(luò)安全系統(tǒng)幾個(gè)方面加以闡述。
【關(guān)鍵詞】IDC網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器負(fù)載均衡、網(wǎng)絡(luò)安全
一.概述
新北京電視中心信息系統(tǒng)是以北京電視臺(tái)在節(jié)目制作、管理、運(yùn)營(yíng)過程中所產(chǎn)生的各種信息為基礎(chǔ),實(shí)現(xiàn)各業(yè)務(wù)、職能部門的高效協(xié)同的信息管理系統(tǒng)。它直接服務(wù)于新北京電視中心的節(jié)目生產(chǎn)、管理、決策的各個(gè)層次,貫穿于各業(yè)務(wù)層次的整個(gè)過程之中,實(shí)現(xiàn)對(duì)過程的有效監(jiān)控,降低成本、提高效益、提升綜合競(jìng)爭(zhēng)能力。
新北京電視中心信息系統(tǒng)以計(jì)算機(jī)和通信技術(shù)為主要手段,結(jié)合廣播電視數(shù)字、網(wǎng)絡(luò)等前沿技術(shù),建設(shè)一個(gè)覆蓋北京電視臺(tái)各部門所有業(yè)務(wù),滿足采、編、播、存、節(jié)目管理、新增業(yè)務(wù)各個(gè)方面需求,具有良好的開放性、擴(kuò)展性、安全性,性能完善的綜合企業(yè)信息系統(tǒng)。另外新北京電視中心將建立高層決策系統(tǒng)信息系統(tǒng),加強(qiáng)中層控制信息系統(tǒng),完善基層管理信息系統(tǒng),為我臺(tái)各部門提供全面的節(jié)目生產(chǎn)和信息服務(wù),構(gòu)造我臺(tái)的業(yè)務(wù)協(xié)同。另外通過業(yè)務(wù)、管理以及決策支持系統(tǒng),對(duì)Internet技術(shù)和相關(guān)軟件系統(tǒng)的應(yīng)用,解決企業(yè)內(nèi)部信息的共享、協(xié)同工作等問題,提高節(jié)目生產(chǎn)、辦公和辦事的效率,降低運(yùn)營(yíng)成本,提高信息服務(wù)體系和決策支持系統(tǒng)的現(xiàn)代化水平,為領(lǐng)導(dǎo)決策和機(jī)關(guān)辦公提供良好的支持。該系統(tǒng)設(shè)計(jì)應(yīng)能夠滿足如下要求:
●滿足我臺(tái)信息的基本要求,讓各部門可以通過簡(jiǎn)單易用的操作界面(如瀏覽器等),查詢臺(tái)內(nèi)信息,為信息管理人員提供通用、友好的管理界面。
●建立我臺(tái)基礎(chǔ)實(shí)用的信息平臺(tái),方便地采用信息門戶發(fā)布信息和進(jìn)行各種業(yè)務(wù)擴(kuò)展。
●建立方便實(shí)用、安全可靠、分級(jí)權(quán)限管理的信息服務(wù)系統(tǒng)。
●以我臺(tái)采、編、播、存技術(shù)系統(tǒng)為基礎(chǔ),在不影響安全的前提下,提供各部門用戶桌面節(jié)目查詢檢索、文稿處理、移動(dòng)辦公、異地辦公等工作方式。
●在我臺(tái)綜合信息系統(tǒng)的基礎(chǔ)上,通過信息系統(tǒng)實(shí)現(xiàn)臺(tái)級(jí)領(lǐng)導(dǎo)對(duì)北京電視臺(tái)全面控制和督導(dǎo)。
●在我臺(tái)業(yè)務(wù)平臺(tái)的基礎(chǔ)上,建立企業(yè)級(jí)應(yīng)用,針對(duì)各管理層次的需要,完成相關(guān)信息的共享與傳遞(如數(shù)據(jù)查詢統(tǒng)計(jì)分析等)。
●信息資源的深層次綜合利用,為我臺(tái)各級(jí)領(lǐng)導(dǎo)和決策者服務(wù)。通過決策支持系統(tǒng)的建設(shè),解決信息協(xié)同、流程化管理問題;策略規(guī)劃落實(shí)與企業(yè)資源和效益的挖掘;業(yè)務(wù)信息統(tǒng)計(jì)的周期分析和預(yù)測(cè)分析等問題。
新北京電視中心信息網(wǎng)絡(luò)建設(shè)基礎(chǔ)核心為IDC(Internet Data Center)—Internet數(shù)據(jù)中心。它是傳統(tǒng)的數(shù)據(jù)中心與Internet的結(jié)合,除了具有傳統(tǒng)的數(shù)據(jù)中心所具有的數(shù)據(jù)集中、主機(jī)運(yùn)行可靠等特點(diǎn)外,還要適應(yīng)訪問方式的變化,要做到7×24小時(shí)服務(wù)、反應(yīng)速度快。IDC是一個(gè)提供信息數(shù)據(jù)資源服務(wù)的基地,具有非常好的機(jī)房環(huán)境、安全保證、網(wǎng)絡(luò)帶寬、主機(jī)的數(shù)量和主機(jī)的性能、大的存儲(chǔ)數(shù)據(jù)空間、優(yōu)秀的性能。IDC的基礎(chǔ)建設(shè)主要體現(xiàn)在IDC網(wǎng)絡(luò)建設(shè)、IDC基礎(chǔ)系統(tǒng)建設(shè)、IDC應(yīng)用服務(wù)系統(tǒng)建設(shè)、IDC綜合管理系統(tǒng)等幾個(gè)方面。IDC在前期建設(shè)中,首要任務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng),本文主要從技術(shù)系統(tǒng)DNS系統(tǒng)、目錄服務(wù)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、安全系統(tǒng)等幾個(gè)方面加以闡述。本文主要從網(wǎng)絡(luò)功能結(jié)構(gòu)、Internet接入網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器負(fù)載均衡的實(shí)現(xiàn)、用戶的遠(yuǎn)程維護(hù)、網(wǎng)絡(luò)安全系統(tǒng)幾個(gè)方面加以闡述。
二.新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)IDC網(wǎng)絡(luò)建設(shè)
新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)IDC主要是依靠其有一個(gè)高性能的網(wǎng)絡(luò)為其客戶提供服務(wù),這個(gè)高性能的網(wǎng)絡(luò)包括LAN、WAN和與Internet接入等幾個(gè)方面。IDC的網(wǎng)絡(luò)建設(shè)要求具體如下:
●IDC的LAN的建設(shè):包括其LAN的基礎(chǔ)結(jié)構(gòu),LAN的層次,LAN的性能。
●IDC的WAN的建設(shè):即IDC的各分支機(jī)構(gòu)之間相互連接的廣域網(wǎng)的建設(shè)。
●IDC的用戶接入系統(tǒng)建設(shè):即如何保證IDC的用戶以安全、可靠的方式把數(shù)據(jù)傳到IDC的數(shù)據(jù)中心,或?qū)Υ娣旁贗DC的用戶自己的設(shè)備進(jìn)行維護(hù),這需要IDC為用戶提供相應(yīng)的接入方式。
●IDC與Internet互聯(lián)的建設(shè):IDC的網(wǎng)絡(luò)管理建設(shè),由于IDC的網(wǎng)絡(luò)結(jié)構(gòu)相當(dāng)龐大而且復(fù)雜,要保證其網(wǎng)絡(luò)不間斷對(duì)外服務(wù),而且高性能,必須有一高性能的網(wǎng)絡(luò)管理系統(tǒng)。新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)IDC的服務(wù)器建設(shè)可分為多個(gè)方面,總體上分為基礎(chǔ)服務(wù)系統(tǒng)服務(wù)器和應(yīng)用服務(wù)系統(tǒng)服務(wù)器,詳細(xì)區(qū)分如下:
●基礎(chǔ)系統(tǒng)服務(wù)器:這類服務(wù)器是保障IDC為用戶提供各種服務(wù)的前提,這類服務(wù)器有DNS服務(wù)器、目錄服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、防火墻服務(wù)器、各類安全服務(wù)器、IDC系統(tǒng)性能監(jiān)控服務(wù)器等。
●數(shù)據(jù)庫(kù)服務(wù)器:它是保證IDC可以為用戶提供各種應(yīng)用服務(wù)的基礎(chǔ),IDC的數(shù)據(jù)庫(kù)服務(wù)器必須能支持大容量訪問、多種數(shù)據(jù)庫(kù)。
●數(shù)據(jù)備份服務(wù)器:它是IDC為用戶提供安全服務(wù)的內(nèi)容之一,保證用戶的數(shù)據(jù)安全可靠。由于IDC的服務(wù)器種類繁多、有多種數(shù)據(jù)庫(kù),所以數(shù)據(jù)備份要支持多機(jī)型、多種數(shù)據(jù)格式等,而且容量要大。
●應(yīng)用服務(wù)器:是IDC為電視中心各部門用戶提供相關(guān)部門級(jí)應(yīng)用服務(wù)的服務(wù)器。由于IDC的業(yè)務(wù)擴(kuò)展的需要,應(yīng)用服務(wù)器應(yīng)具有很好的擴(kuò)展性,支持各類應(yīng)用軟件的數(shù)量要多。
●服務(wù)器的負(fù)載均衡:這是IDC提供高性能、高可靠性服務(wù)的重要方法之一,服務(wù)器的負(fù)載均衡可由硬件設(shè)備(如網(wǎng)絡(luò)交換設(shè)備)或軟件的方法實(shí)現(xiàn)。
新中心信息網(wǎng)絡(luò)技術(shù)存儲(chǔ)系統(tǒng)是新中心IDC的重點(diǎn)建設(shè)內(nèi)容之一,作為一個(gè)IDC,其存儲(chǔ)系統(tǒng)是相當(dāng)龐大的,特別是根據(jù)新電視中心信息化、網(wǎng)絡(luò)化的需要,數(shù)據(jù)的容量已由GB級(jí)增長(zhǎng)到TB級(jí),如此大的數(shù)據(jù)需要有一個(gè)更加安全、可靠的存儲(chǔ)系統(tǒng),由于訪問的數(shù)量也是相當(dāng)龐大的,所以對(duì)存儲(chǔ)系統(tǒng)的效率也有很高的要求;另外存儲(chǔ)系統(tǒng)應(yīng)具有很好的擴(kuò)展性,以滿足IDC的發(fā)展的需求。
三.新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)Internet接入網(wǎng)絡(luò)結(jié)構(gòu)
新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)的核心交換使用兩臺(tái)Catalyst 6509構(gòu)成,形成全冗余的高速網(wǎng)絡(luò)核心。分布層交換機(jī)Catalyst 4006使用兩條千兆線路分別與兩臺(tái)6509相連,形成冗余的千兆主干。樓層交換機(jī)使用Catalyst 2924XL交換機(jī)。Cat6509上的千兆端口還用來連接其他的節(jié)點(diǎn),與其他節(jié)點(diǎn)的LAN一起構(gòu)成一個(gè)分布式的城域范圍的數(shù)據(jù)中心的結(jié)構(gòu)。圖1給出了新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)IDC網(wǎng)絡(luò)結(jié)構(gòu)。各部分具體功能如下:
[Page]
●核心交換層:由兩臺(tái)CISCO6509多層交換機(jī)構(gòu)成,實(shí)現(xiàn)雙機(jī)容錯(cuò)工作,保證數(shù)據(jù)的高速、無阻塞的交換。
●策略分布層:可以由一組CSS11000系列內(nèi)容交換機(jī)組成,負(fù)責(zé)完成服務(wù)器負(fù)載均衡和策略分布任務(wù)。
●服務(wù)器訪問層:由一組Cat3524交換機(jī)組成,完成托管服務(wù)器的高速接入工作。
●后端網(wǎng)絡(luò):由兩臺(tái)CISCO6509構(gòu)成,實(shí)現(xiàn)雙機(jī)容錯(cuò)工作,實(shí)現(xiàn)IDC管理中心,數(shù)據(jù)庫(kù)、郵件、應(yīng)用等服務(wù)器和存儲(chǔ)系統(tǒng)的連接,托管服務(wù)器通過第二塊網(wǎng)卡和后端網(wǎng)絡(luò)相連,保證獨(dú)立和高速的數(shù)據(jù)訪問。同時(shí),后端網(wǎng)絡(luò)通過防火墻和前端的核心網(wǎng)絡(luò)連接,實(shí)現(xiàn)IDC管理中心對(duì)前端網(wǎng)絡(luò)的管理,防火墻則為后端網(wǎng)絡(luò)提供更嚴(yán)格的保護(hù)。
●用戶訪問層:由若干臺(tái)Cat4000和一組Cat2924組成,提供用戶接入,提供INTERNET上網(wǎng),部門級(jí)托管用戶還可以通過VLAN和自己的托管服務(wù)器連接實(shí)現(xiàn)日常的維護(hù)工作。
1. 用CACHE方式加速新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)對(duì)INTERNET的訪問
由于新北京電視中心內(nèi)部用戶對(duì)INTERNET的訪問具有很大的重復(fù)性,所以有效地部署CACHE,可以大大地降低INTERNET接入的帶寬負(fù)荷,提高內(nèi)容的相應(yīng)速度。
新中心使用NetCache C1105來提供緩存服務(wù),將其連接在INTERNET接入路由器上提供服務(wù)。表1給出了緩存服務(wù)設(shè)備的主要特點(diǎn)。
2. 新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)WEB服務(wù)器的連接特點(diǎn)
為新中心IDC中的每臺(tái)WEB服務(wù)器配置兩組網(wǎng)卡:一組用于前端網(wǎng)絡(luò)的連接,提供WEB訪問;另一組用于后端網(wǎng)絡(luò)的連接,提供對(duì)數(shù)據(jù)庫(kù)、郵件等服務(wù)器以及存儲(chǔ)系統(tǒng)的訪問。通過使用不同的網(wǎng)絡(luò)通道,對(duì)新中心數(shù)據(jù)庫(kù)等后臺(tái)進(jìn)行訪問,可以使服務(wù)器更充分的利用網(wǎng)絡(luò)帶寬來響應(yīng)WEB請(qǐng)求;同時(shí),后端網(wǎng)絡(luò)與前端網(wǎng)絡(luò)的分離,可以讓高速、大容量的數(shù)據(jù)庫(kù)訪問、文件存取,享有更多的網(wǎng)絡(luò)帶寬。服務(wù)器通過一組接入交換機(jī)Cat3524連入主干交換網(wǎng)絡(luò)。
3. 新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)后端網(wǎng)絡(luò)的設(shè)計(jì)
由于新北京電視中心后端網(wǎng)絡(luò)連接IDC管理中心、數(shù)據(jù)庫(kù)、郵件等服務(wù)器和大容量存儲(chǔ)系統(tǒng),需要高速的交換系統(tǒng),所以新中心使用兩臺(tái)Cat6509交換機(jī)作冗余的核心,連接一組Cat3524提供與WEB服務(wù)器的連接;對(duì)于數(shù)據(jù)庫(kù)等服務(wù)器和存儲(chǔ)系統(tǒng),采用千兆寬帶方式直接連接。
4. 新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)服務(wù)器負(fù)載均衡的實(shí)現(xiàn)
新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)采用多個(gè)服務(wù)器而不是一臺(tái)大型服務(wù)器,可以提高服務(wù)器的響應(yīng)性能,減少服務(wù)器的單點(diǎn)故障。但多臺(tái)服務(wù)器的采用,必須考慮服務(wù)器的負(fù)載均衡問題。可以由CSS11000完成服務(wù)器的負(fù)載均衡。
通過ACA(Arrowpoint Content Assure protocol) 制定負(fù)荷參數(shù),選擇最小負(fù)荷的服務(wù)器提供用戶所需的內(nèi)容。
支持加權(quán)輪詢(Weighted Round Robin),最小連接機(jī)制,最大連接數(shù)限制等多種算法實(shí)現(xiàn)負(fù)載均衡。
動(dòng)態(tài)負(fù)載均衡。采用具有專利權(quán)的ACA算法,可以根據(jù)Cache服務(wù)器的命中率、流建立數(shù)和RTT(Round Trip Time),選擇最合適的服務(wù)器應(yīng)答用戶的請(qǐng)求。表2給出了CSS支持負(fù)載均衡的八種方式。
考慮到新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)的建設(shè)初期,負(fù)載均衡交換機(jī)不是必須的設(shè)備,可以先不采用負(fù)載均衡設(shè)備,等到有需求的時(shí)候再增加。
四.新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)用戶的遠(yuǎn)程維護(hù)及網(wǎng)絡(luò)安全考慮
一般情況下,新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)IDC托管用戶,會(huì)要求遠(yuǎn)程維護(hù)自己的托管服務(wù)器,由于用戶只允許對(duì)自己托管的服務(wù)器進(jìn)行訪問,因此,必須采用如:VPN、VLAN等技術(shù)保證這一點(diǎn)。通過連接到后端網(wǎng)絡(luò)的廣域網(wǎng)路由器及提供用戶通過專線、撥號(hào)、VPN等多種方式,實(shí)現(xiàn)遠(yuǎn)程維護(hù)。具體來講:
●DDN專線:用戶通過DDN專線連接到IDC中心,通過策略路由或VLAN被限制只能訪問自己的服務(wù)器,進(jìn)行維護(hù)。
●PSTN或ISDN撥號(hào):用戶通過撥號(hào)線路訪問IDC中心,身份認(rèn)證由AAA Server進(jìn)行,并進(jìn)行行為授權(quán),保證用戶只能訪問到自己的服務(wù)器進(jìn)行維護(hù)。
●VPN:用戶可能距離IDC中心太遠(yuǎn),從各方面不具備通過DDN或PSTN線路訪問IDC中心的條件,這時(shí)可以通過INTERNET采用VPN的方式與IDC中心連接并維護(hù)服務(wù)器。這種情況下,由VPN Server或VPN 路由器保證連接的安全性和可靠性。VPN的實(shí)現(xiàn),可以采用IPSec隧道和MPLS VPN技術(shù),在保證信息正確可達(dá)的情況下,對(duì)用戶信息進(jìn)行高強(qiáng)度的加密,保證用戶信息的不被竊取和完整性。
●VLAN:對(duì)于本地接入的電視中心各部門所托管的服務(wù)器,由于各部門信息網(wǎng)絡(luò)和托管服務(wù)器處于一個(gè)LAN結(jié)構(gòu)之內(nèi),所以,服務(wù)器運(yùn)行維護(hù)可以通過定義VLAN進(jìn)行。
五.新北京電視中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)
新北京電視中心技術(shù)網(wǎng)絡(luò)的安全主要通過防火墻和入侵檢測(cè)系統(tǒng)來體現(xiàn)。通過部署防火墻系統(tǒng),可以將網(wǎng)絡(luò)劃分成幾個(gè)安全等級(jí)不同的部分,對(duì)于要求安全等級(jí)高的部分,還可以通過部署多級(jí)防火墻來提供安全保護(hù)。入侵檢測(cè)系統(tǒng)則可以對(duì)惡意的入侵行為進(jìn)行探測(cè),進(jìn)行記錄。
1. 新北京電視中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)防火墻設(shè)計(jì)策略
結(jié)合新北京電視中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)的實(shí)際情況和需求,采用防火墻安放在新電視中心內(nèi)部網(wǎng)絡(luò)的出口處,用來隔離各網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)區(qū)域,構(gòu)成第一道安全防護(hù)體系。
防火墻的作用是對(duì)廣域網(wǎng)訪問內(nèi)部局域網(wǎng)、內(nèi)部局域網(wǎng)訪問廣域網(wǎng)實(shí)施訪問控制策略及包過濾等安全策略。由于新電視中心信息網(wǎng)絡(luò)與公網(wǎng)寬帶之間目前沒有任何的防護(hù)措施,因此非常有必要通過防火墻進(jìn)行隔離,實(shí)施訪問控制等安全策略,來保證:
●在本部網(wǎng)絡(luò)與廣域網(wǎng)絡(luò)彼此之間有合適、安全的界面;
●控制用戶訪問信息服務(wù);
●監(jiān)控非法入侵行為;
●防護(hù)來自廣域網(wǎng)(外網(wǎng))的非法入侵。
不安全地連接到網(wǎng)絡(luò)服務(wù)會(huì)影響整個(gè)機(jī)構(gòu)的安全。所以,只能讓用戶直接訪問已明確授權(quán)使用的服務(wù)和已明確授權(quán)使用的內(nèi)容。這種安全控制對(duì)連接敏感或重要業(yè)務(wù)的網(wǎng)絡(luò),或連接到在高風(fēng)險(xiǎn)地方(例如不在新電視中心安全管理及控制范圍的公用或外部地方)的用戶尤其重要。
2. 新北京電視中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)入侵檢測(cè)設(shè)計(jì)方案
入侵檢測(cè)系統(tǒng)分為兩類:一類是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),另一類是基于主機(jī)的入侵檢測(cè)系統(tǒng)。他們分別在入侵檢測(cè)中扮演角色不同,起的作用也不同。其中基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以對(duì)流經(jīng)的數(shù)據(jù)包進(jìn)行數(shù)據(jù)分析,過濾掉含有攻擊指令和操作的數(shù)據(jù)包,保護(hù)網(wǎng)絡(luò)的安全。提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。
入侵檢測(cè)系統(tǒng)是對(duì)入侵行為的檢測(cè)和控制,是實(shí)施網(wǎng)絡(luò)安全監(jiān)控與入侵檢測(cè)策略的核心手段。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā),對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù),它可在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。[Page]
根據(jù)新北京電視中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)安全的需求,我們建議采用基于網(wǎng)絡(luò)入侵檢測(cè),以便對(duì)網(wǎng)絡(luò)資源進(jìn)行全面的保護(hù)。對(duì)于有接入公網(wǎng)的區(qū)域,安放網(wǎng)絡(luò)入侵檢測(cè),從而實(shí)現(xiàn)對(duì)來自公網(wǎng)的入侵的主動(dòng)防護(hù),對(duì)來自外部和內(nèi)部的非法及異常情況進(jìn)行監(jiān)控,構(gòu)筑網(wǎng)絡(luò)安全監(jiān)控與管理體系。通過基于網(wǎng)絡(luò)入侵檢測(cè)裝置,監(jiān)視公網(wǎng)和內(nèi)部局域網(wǎng)之間、內(nèi)部局域網(wǎng)主機(jī)之間的網(wǎng)絡(luò)通信,從中發(fā)現(xiàn)網(wǎng)絡(luò)中是否有違反安全策略(包括攻擊、泄密、資源濫用等)的行為和被攻擊的跡象,一旦發(fā)現(xiàn)攻擊,能夠發(fā)出報(bào)警并采取相應(yīng)的措施,如阻斷、跟蹤等。同時(shí),記錄受到攻擊的過程,為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來源提供基本數(shù)據(jù)。同時(shí)把這些信息集中報(bào)告給新北京電視中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)管理控制中心。
3. 新北京電視中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)漏洞掃描設(shè)計(jì)
采用網(wǎng)絡(luò)隱患掃描系統(tǒng)。網(wǎng)絡(luò)用戶只要將掃描器接入網(wǎng)絡(luò)并進(jìn)行正常的配置(必須配置IP和網(wǎng)關(guān)地址)即可正常使用,其可掃描范圍為授權(quán)IP地址范圍。
4. 新北京電視中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)主機(jī)訪問控制系統(tǒng)設(shè)計(jì)
操作系統(tǒng)作為計(jì)算機(jī)系統(tǒng)的基礎(chǔ)軟件是用來管理計(jì)算機(jī)資源的,它直接利用計(jì)算機(jī)硬件并為用戶提供使用和編程接口。各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺(tái)之上,上層的應(yīng)用軟件要想獲得運(yùn)行的高可靠性和信息的完整性、保密性,必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件作為基礎(chǔ)。
主機(jī)訪問控制軟件是在操作系統(tǒng)的安全功能之上提供了一個(gè)安全保護(hù)層。通過從核心層截取文件訪問控制,以加強(qiáng)操作系統(tǒng)的安全性。它具有完整的用戶認(rèn)證,訪問控制及審計(jì)的功能,采用集中式管理,克服了分布式系統(tǒng)在管理上的許多問題。使用主機(jī)訪問控制軟件服務(wù)器自動(dòng)進(jìn)行自我保護(hù),避免了人工干預(yù)。
主機(jī)訪問控制系統(tǒng)完成的主要任務(wù)是:登陸控制、口令控制、文件訪問控制、把權(quán)限分解、程序控制、對(duì)被監(jiān)控文件的控制、進(jìn)程控制、網(wǎng)絡(luò)控制、審計(jì)控制等等。
六. 新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)網(wǎng)絡(luò)的擴(kuò)展性
新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)網(wǎng)絡(luò)良好的擴(kuò)展性可以使新電視中心IDC在相當(dāng)長(zhǎng)一段時(shí)間內(nèi)持續(xù)提供一致服務(wù),而無需進(jìn)行新的投資。
新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)網(wǎng)絡(luò)主交換機(jī)Cat6509采用模塊設(shè)計(jì),最多可以支持到384個(gè)10/100個(gè)快速以太端口,或130個(gè)千兆以太端口。其交換帶寬可以從32Gb/s(15Mp/s)擴(kuò)展到256Gb/s(150Mp/s),新中心可以根據(jù)需要選配端口。
新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)網(wǎng)絡(luò)分布主交換機(jī)Cat4006也采用模塊設(shè)計(jì),支持六個(gè)接口插槽,最多可以擴(kuò)展到240個(gè)快速以太端口,72個(gè)千兆以太端口。
新中心信息網(wǎng)絡(luò)技術(shù)系統(tǒng)樓層交換機(jī)Cat2924支持10/100自適應(yīng)端口速率,而且Cat2924支持多交換機(jī)堆疊,在端口數(shù)不夠時(shí),可以簡(jiǎn)便地?cái)U(kuò)充端口而無需增加上層交換機(jī)的端口。Cat4006可以通過千兆以太通道技術(shù)來提升主干連接速率,Cat2924也同樣支持快速以太通道和千兆的主干連接,可以在需要的時(shí)候平滑地從現(xiàn)在的10M/100M/1000M的交換結(jié)構(gòu)升級(jí)到100M/1000M/N×1000M的交換結(jié)構(gòu),成十倍地提升網(wǎng)絡(luò)速率。
以上是在設(shè)計(jì)新北京電視中心信息網(wǎng)絡(luò)IDC技術(shù)系統(tǒng)時(shí)的幾個(gè)方面的考慮,希望能對(duì)同行有參考作用。一個(gè)完整的數(shù)字電視中心還有許多方面有待于向大家逐一介紹。B&P
參考文獻(xiàn):
[1] 雷振甲 計(jì)算機(jī)網(wǎng)絡(luò)管理及系統(tǒng)開發(fā) 北京 電子工業(yè)出版社 2002
[2] 潘愛民(譯) 計(jì)算機(jī)網(wǎng)絡(luò)(第4版)清華大學(xué)出版社2004