网络控制技术范文

网络控制技术范文（精选12篇）

网络控制技术 第1篇

1 访问控制相关概述

访问控制是为了保证网络信息系统的安全性, 而通过不同方法准许或限制网络访问能力及范围的技术, 旨在防止非法用户访问或入侵而造成对网络系统的肆意损坏。通俗的理解访问控制, 即规定了访问操作的用户主动方对网络信息资源客体的访问限制, 访问控制具有系统保密性、完整性、可用性及合法使用性等特征。访问控制技术中认证和授权是与其关系密切的技术, 前者是系统通过密码等相关设置而验证用户身份的合理性;后者即表明用户访问系统资源的权限及权限范围。实践证明, 对于共享资源和关键敏感数据集中存放的网络信息系统来说, 访问控制技术已成为其重要的安全保障。

2 常用网络安全访问控制技术分析

2.1 主动访问控制DAC

主动访问控制DAC是出现较早且在计算机系统中实现的最多的访问控制机制, 是主体建立者主动授权给其他用户访问并对其进行限制的方法。主动访问控制DAC的主动性在于主体能够自主的按其意愿对系统的参数做合适的改变, 以此较方便的判断出用户所需要的信息。主动访问控制DAC的最有效的实现方法是建立基于矩阵的主体或客体的访问控制方法。此访问控制方法以访问控制列表ALC (Access Control List) 为主要实现形式, ALC利用在客体上附加的主体明细表表示访问控制矩阵, 从而对某个资源信息指定访问权限, 访问控制系统则通过检ALC决定主体访问的授权或拒绝。通过ALC的实现方式, DAC访问控制实现访问操作的灵活性较高, 尤其体现在操作系统及关系数据库系统中。而主动访问控制DAC也存在一些缺点与不足, 表现为访问控制的自主性使得被传递出去的访问权限难以控制, 难以实现全局权限管理, 容易带来严重的安全问题。另外, DAC存在自身系统的不足, 容易遭受特洛伊木马的攻击, 信息容易被泄露。

2.2 强制访问控制MAC

强制访问控制MAC是在主动访问控制的基础上产生的, MAC增加了对网络资源的安全属性级别划分, 不同属性级别的访问权限受系统不同的访问控制强制规则的控制, 以防止用户无意或有意地使用自主访问的权利。在MAC的强制性控制规则中, 主要的关键规则是不向上读和不向下写, 意思是信息流只能从低安全级向高安全级流动, 一旦出现违反信息流的行为系统将自动禁止其访问行为。目前, 强制访问控制MAC在军事及安全部门应用较为广泛, 很大程度上保障了军方系统的安全运行。然而, 对MAC的应用具有一定的局限性, 其过于强调保密性, 对系统授权管理的灵活性欠缺。

3 新型网络安全访问控制技术探讨

3.1 基于角色的访问控制 (RBAC)

在新型网络环境下, 分布式多用户计算环境成为发展主流趋势, 网络安全访问控制质量有了更高的要求, 传统的DAC与MAC等集中式访问控制技术已不能满足信息完整性的要求, 不能完全适应新型网络环境的发展, 基于角色的访问控制 (RBAC) 技术应运而生。RBAC是指访问控制系统对用户授予角色, 并按照用户所承担角色的不同给与不同的操作集, 从而使用户通过其角色而获得访问权限。RBAC很好的解决了分布式环境下的访问控制问题, 是当前网络安全访问控制领域新兴的研究热点。对于RBAC访问控制技术的应用, 应重视对其模型及功能规范的了解, RBAC参考模型包含核心RBAC、等级RBAC、静态职能分离及动态职责分离等四部分, 而RBAC功能规范则为每个组件定义了关于创建和维护RBAC集合和关系的管理功能、系统支持功能和审查功能等。从目前各企业对RBAC访问控制技术的应用来看, 其模型设计及规范肝功能的建议还将会不断的得到扩充。

3.2 P2P网络访问控制

随着文件共享系统、及时消息分布等P2P系统的广泛应用, P2P网络访问控制技术逐渐成为t领域的重要技术。P2P网络访问控制技术主要包含认证和访问控制两方面, 对其研究则主要集中在如下方面:一方面, peer的选择问题, 主要是如何科学合理的选择peer而进行文件共享, 涉及到的peer身份认证问题较多, 一般主要研究基于基于可信和信誉的模型, 这两个模型可以更好的提高网络的安全性及通信效率, 使用于Ad Hoc等可信要求程度较高的网络。另一方面, peer的安全组问题, 主要是网络节点如何分组保证完全地共享网络信息资源, 一般对认真和动态安全组管理等方法应用较多。P2P系统安全的研究提出网络安全访问控制仅以用户身份和密码认证不足以保障网络的安全性, 因此P2P文件共享系统提出了可信访问控制框架, 包括可信和信誉模型、公平参与机制等其他安全技术和机制, 很好的将DAC扩展到P2P文件共享系统, 能更好的为用户提供访问控制服务和满足P2P的安全需求。对于P2P系统的可信和信誉访问控制模型研究是P2P网络安全访问控制技术的主要热点问题。

3.3 基于加密权限代码的访问控制技术

基于加密权限代码的访问控制技术是在被动式的基于角色访问控制在网络安全访问控制技术中的运用而提出的, 是将权限转化为相应的代码而实现的网络安全访问控制, 能更好的提高数据的安全性。其实现方式是通过对用户设定与之分配权限相对应的代码, 对代码的存/取进行加密处理, 进而实现信息保密。一般在编程过程中, 在需要加入<%%>的地方采取集中原则添加代码。例如:<%response.write”

设备编号:”&qdata (“sbbh”) &”

设备名称”&qdata (“sbmc”) &”

, 存放位置:”&qdata (“cfwz”) &”

”%>等。通过添加代码加密, 能非常简便地实现网络安全访问的控制, 提高访问控制的执行效率, 还能简化编程程序。

3.4 防火墙及专用访问控制服务器

防火墙是目前用于网络安全访问控制的有效产品技术, 防火墙设置在内部网络与外部网络之间, 主要便于对出入网用户的访问限制。防火墙主要在于对电路网关、应用网关、状态表检查、网络地址翻译等结合使用, 对于网络安全起到一定的保障作用。然而, 防火墙的安全防范也具有一定的局限性, 对未经过防火墙的信息流, 防火墙无法给与保护, 甚至对于有些经过防火墙的信息流, 防火墙也无法保证其防范能力能高效发挥。除此之外, 基于角色访问控制策略实现的专用访问控制服务器在当前的网络安全访问控制技术中也充当着重要的角色, 主要包含基于用户民加口令、基于PKI的技术方式。专用访问控制服务器主要是在确认访问者身份的基础上实现对不同访问者的权限控制。基于PKI技术方式还在实现用户身份认证和加密传输的同时实现加密传输的功能。Ever Link SRAC服务器是比较典型的基于PKI技术的专用访问控制服务器, 此服务器为用户提供使用远程访问、权限控制、加密传输等功能, 现已广泛利用于企业网络中。

4 结语

随着网络技术的不断更新与发展, 网络的安全性问题也逐渐增多并越来越威胁到网络系统的安全与稳定, 网络安全访问控制作为网络系统安全的核心应该被引起足够的重视。本文的论述旨在了解目前主要的网络安全访问技术及新时期网络安全访问控制技术发展趋势, 以此为网络访问控制技术的实际应用提供参考。为了保护网络系统的安全, 网络工作研发团队应该加强对网络访问控制技术的探讨与研发, 网络使用者则应该在日常的工作中进行规范操作, 安全访问。

参考文献

[1]訾小超, 张绍莲, 茅兵, 谢立.访问控制技术的研究和进展[J].计算机科学, 2001 (07) .

[2]封富君, 李俊山.新型网络环境下的访问控制技术[J].软件学报, 2007 (04) .

网络信息安全控制技术探讨论文 第2篇

淘宝、唯品会、当当等网络购物网站的成立，人们的购物活动变得更加方便，人们在购物的过程中多数都会选用信用卡作为付款的主要支付方式，这就会涉及到消费者的财产安全问题，也会存在消费者的信用卡账号被别人盗用的情况，造成消费者的经济损失。因此，为了保障消费者的财产安全，网络信息安全管理工作显得尤为重要。RSA加密技术的出现，极大的解决了消费者的信用卡支付安全问题，确保消费者的网络购物交易的安全性。

3.2VPN中的应用

一个单位区域内会设置多台互联网计算机组，被称之为局域网LAN。目前，很多国际化的公司，会在其他很多的国家内设置一个或者多个分公司，每个分公司都有属于自己的LAN，可以方便分公司和总公司的办公，会利用专门的线路来连接各个分公司的LAN，这时就会运用到虚拟的专用网VPN，这样可以有效的保护公司信息的安全性，也能给用户提供真实、可靠的信息。3.3其他方面的应用电子邮件的传递过程中，为了防止他人伪造客户的身份信息，造成一些不必要的麻烦，可以采用数字签名技术来保护客户的网络信息安全。在人们进行淘宝的网络购物支付时，可以运用电子交易协议和安全套接层协议，来确保消费者的信用卡信息安全。此外，为了确保消费者信用卡密码的安全性，专门研发出密码专用芯片，来保障消费者的网络信息安全。这些都是网络信息安全控制技术在实际生活中的应用，为人们的实际生活提供了便利，满足了人们的个性化需求，随着社会经济的不断发展，网络信息安全控制技术也在不断的改革和创新，为人们的信息安全提供更可靠的技术支持。

4结束语

综上所述，在网络时代的今天，网络信息安全涉及到多个层面，网络信息安全的重要性已经得到人们的普遍认同，都开始将网络信息安全控制技术运用于网络信息安全的相关工作中，逐渐网络信息的安全传递。同时，在网络信息安全控制技术发展的过程中，要根据时代的发展需求，不断对网络信息安全控制技术进行创新和改进，为不断变化的网络安全环境提供更好的网络信息安全控制技术，在实际的技术开发和研究过程中，要选择合适的研究方案，逐渐实现网络信息安全发展，推动网络信息的快速传递。

参考文献:

[1]陆莉芳.关于对网络信息安全控制技术及应用的分析[J].计算机光盘软件与应用,2012(18).

[2]李玉敏.工业控制网络信息安全的防护措施与应用[J].中国仪器仪表,2012(11).

[3]樊国根.互联网信息安全的控制技术及应用[J].信息与电脑(理论版),2015(08).

网络控制技术在凹印机上的应用 第3篇

远程站点控制系统

远程站点控制系统以网络通讯为前提，以全新的总线理论为基础，可为整台凹印机的自动化控制开拓出一条高速、稳定和安全的信息化道路。

我公司通过对多种PLC远程I/O处理方案的综合分析，结合目前包装印刷设备的实际配线需求，通过试验和现场测试，在机组式凹印机上成功应用了远程站点控制系统，有效解决了设备配线繁琐和故障多的问题。

远程站点控制系统具有以下优点：节省配线需求量，系统结构简单、装配方便；在实际生产中，其数据交换和信号传递更加可靠、更加省时；故障少且易于检修，不易受到外界干扰，能实现真正意义上的远程I/O控制；系统灵活性比较强，且易于功能扩展，可以和张力控制系统、无轴控制系统融为一体。

多屏通讯系统

PLC与人机界面的常规通讯方式一般采用RS232/485等，当凹印机采用多屏人机界面时，由于一般的通讯方式会受到通讯速度的影响，因此各人机界面的响应速度就会不同，导致传输速度不能达到一致，从而无法达到用户的要求。

对此，可以采用方便快捷的以太网作为多屏通讯系统（如图1），以实现多屏人机界面与PLC之间的数据传输，并能够保证传输速度的一致性，完全能够满足实际使用的要求。

远程诊断系统

越来越多的客户希望通过互联网对凹印机进行诊断和维护，以减少维修工程师到设备现场维修的时间和费用，这样不仅可以帮客户节省大量成本，减少损失，同时还能为客户提供更为快捷的服务。

基于互联网通讯技术的远程诊断系统，将工程师站（维修方）通过静态IP接入互联网，PLC站（用户方）则通过ADSL宽带接入互联网，维修工程师就可通过互联网实现对凹印机的远程访问，一旦发现用户方设备出现故障，维修工程师就能立刻进行在线诊断，在最短的时间内给出解决方案，既节省了时间，又不耽误用户方的生产任务。基于互联网通讯技术的远程诊断系统结构如图2所示。

生产管理系统

机组式凹印机生产管理系统是一个面向印刷企业管理者及操作人员的先进生产管理工具，可在生产过程中实现对信息的敏捷、智能化处理。其作用是连接并监控PLC等现场设备，使生产管理人员能够随时掌握设备工作状态、统计分析生产信息。

生产管理系统采用以太网连接PLC、远程监控计算机和现场计算机。远程监控计算机可作为生产管理人员的服务器，通过读取PLC中的统计信息，实现活件生成、运行管理、统计输出、浏览信息等功能；现场计算机作为生产管理人员的浏览器，实现作业浏览、卷信息上报、工单完成上报、工单检验等功能。生产管理系统结构如图3所示。

当前，网络控制技术在凹印机控制系统中的应用已经十分普遍，在这些高新技术的辅助下，可以进一步提高凹印机的控制性能，提高生产管理人员的工作效率，更快捷、方便地解决设备生产过程中的故障，使设备的自动化管理成为现实。

控制网络及其关键技术分析 第4篇

以计算机为核心的控制系统结构经历了“集中”、“分散”和“集散”等几个变化。采用先进的理论和技术,对控制系统进行研究,可以提高控制系统的性能。网络控制系统NCS(Networked Control Systems)是在网络环境下实现对生产对象的测量和控制,有狭义和广义之分。狭义的网络控制系统是某一区域内的传感器、执行器、控制器和通信网络的集合[1,2],如图1所示。

广义的网络控制系统不仅包括狭义的网络控制系统,还包括通过信息网络以及Internet实现的对工厂车间、生产线甚至现场设备的监视和控制等。可以把NCS分为节点和通信网络2部分,其中节点包括智能仪器仪表、自动化装置、计算机系统等设备。通信网络是用于控制系统以完成自动化任务的网络技术,也可以称之为控制网络、测控网络或工业网络等,是NCS的核心与纽带,它将网络控制系统中的各个节点连接,使网络控制系统成为一个整体。

控制网络与商用信息网络有相似也有不同,信息网络以传送信息为主要目的,控制网络传递信息是以引起物质或能量的运动为最终目标[3,4,5]。

结合工业控制的需要,控制网络的通信协议对ISO/OSI的7层体系结构进行了简化,一般省略了一些中间层,主要包括物理层、数据链路层和应用层,其定义与OSI模型的定义类似,另外为了适应控制领域的需要,可以在应用层之上又加一个用户层,以功能块为基础为整个控制系统提供更理想的应用环境。控制网络一般的通信协议模型如图2所示[4]。

现有的一些现场总线,如FF现场总线具有物理层、数据链路层和应用层,增加了用户层;Profibus具有物理层、数据链路层和应用层;控制器局域网(CAN)总线也只包括物理层、数据链路层和应用层;Lon Works现场总线有物理层、数据链路层、网络层、传输层、会话层、表示层和应用层7层[4]。

对一个控制系统的基本要求是“稳、快、准”。将通信网络引入控制系统不仅不能降低控制系统的性能,反而必须提高控制系统的性能。所以,对控制网络的研究主要围绕“实时性、可靠性和安全性”3个方面展开。

实时性是指系统应该具有的在限定时间内对外来事件作出反应的特性。控制网络对实时性有很高的要求,有时只好牺牲部分信道利用率以保证实时性。控制网络的实时性的一个最重要指标就是时间延迟(简称时延)。当数据在控制网络上传输时,会引起网络控制系统节点之间的时延,这种时延使传统控制系统的一些理想假设,如同步控制和无延迟的检测与执行,在应用到网络控制系统时必须重新评价。控制网络引起的时延会降低控制系统的性能,甚至动摇整个控制系统的稳定性[1]。

研究控制网络的实时性,可以从以下4个方面改善控制网络的实时性[5,6]。

a.网络本身的硬件性能。包括网络的拓扑结构、通信介质、网络接口的传送速率等。通信介质的传输速率高、网络接口的传送速率快,可以提高网络的实时性。

b.网络的通信协议。包括介质的存取控制技术、网络通信协议的层次结构、传输的可靠性、有无连接控制等。一般协议的层次结构越简单,通信系统对数据的封装和拆装的处理越少,网络对数据处理的时间越少。而可靠性与实时性是相互矛盾的,无连接、无应答的通信方式由于通信前不需要建立连接,通信完成后也不需要拆除连接,因而比有连接、有应答的通信方式的传输时延小,但可靠性较差。介质存取控制技术是分配与调度信道的规则与方法,它是LAN的核心,也是影响网络实时性各因素中最为关键的因素。

c.网络的数据量,也称为网络的负载,是指网络在一定时间内需要传送数据的多少。网络需要传送数据量少,可以提高网络的实时性。减少无效数据是提高实时性的一个措施,例外报告法是减少无效数据的一个有效途径。

d.分布式数据库。在工业控制网络中有些数据共享性比较高,如果在网络中的站点间反复交换,势必占用宝贵的通信资源,若采用分布式数据库技术,在系统的各站点内设置局部数据库,在每个局部数据库中皆存放共享数据,并使其具有较高的自治性,这样可以减轻网络负载,提高网络的实时性。

由于工业生产现场环境与一般商业环境不同,如温度与湿度变化范围大,空气污浊、粉尘污染大,振动、电磁干扰大,并常常伴随有腐蚀性、有毒气体等。由此,要求工业控制网络必须具有机械环境适应性(如耐振动、耐冲击)、气候环境适应性(工作温度要求为-40~85℃,至少为-20~70℃,并要耐腐蚀、防尘、防水)、电磁环境适应性或电磁兼容性EMC等要求。控制网络必须在工业环境下可靠地传输数据[7]。

控制系统的网络化使控制系统一方面向下将网络延伸至工业现场,另一方面向上构建信息网段。网络控制系统并不是一个封闭的自动化信息孤岛,完全与外界隔绝,相反,网络控制系统必须要与其他计算机网络互连,以便进行信息交换。因而控制系统存在通过控制网络被外界攻击和破坏的可能,这将对网络控制系统的安全构成极大的威胁。使用TCP/IP协议将工业现场控制设备通过Ethernet连接时,可能受到包括病毒、黑客的非法入侵与非法操作等网络安全威胁,所以,控制网络的安全性将是一个必须重视的问题。目前,尚没有针对工业自动化控制网络安全的成熟软件[7]。

控制网络是用于网络控制系统以完成自动化任务的通信网络技术,它的网络节点除一般计算机系统、工作站等自动化装置外,更大量包含具有网络接口的智能型传感器、现场智能仪器仪表及现场控制单元等。目前的控制网络有串行总线、现场总线、工业以太网、无线通信网络等几种主要类型。

2 现场总线

按照国际电工委员会(IEC)和现场总线基金会(FF)的定义,现场总线是位于智能测量和控制设备之间的数字式、双向传输、多支路的通信链路,是适用于高级过程控制、远程输入/输出和高速工厂自动化应用的局域网[8,9]。目前,现场总线的国际标准达十几种之多,如:IEC 61158(IEC/TC65/SC65C)规定了8种,FF、Control Net、Profibus、P-Net、Swift Net、World FIP、Interbus、Profinet;IEC 62026(IEC/TC17/SC 17B)有4种,AS-I、Device Net、SDS、Seripex以及ISO 11898与ISO 11519的CAN总线。另外,还有一些现场总线,虽然不是国际标准,但是使用相当广泛,如Lon Works等。几种现场总线对比如表1所示[3,4,9]。

介质访问方式是影响控制网络实时性的重要因素,可以分为事件触发式的总线竞争技术和时间触发式的令牌控制技术。现场总线FF、Profibus、HART等都是采用以令牌技术为主外加其他技术的介质访问方式,而现场总线CAN、Lon Works等采用的都是以竞争方式载波监听多路访问(CSMA)信道,其中CAN总线采用载波侦听多路访问/冲突避免的策略,而Lon Works采用的是可预测P-坚持CSMA方式。面对如此众多的现场总线标准,选择和使用哪种现场总线成为用户的一个难题。

3 工业以太网

将以太网Ethernet引入工业控制系统形成实时工业以太网是近来研究的热点。2003年5月,IEC、SC65C专门成立了WG11实时以太网工作组。目前,主要的实时工业以太网标准有:EPA(Ethernet for Plant Automation),Ether CAT(Ethernet for Control Automation Technology),TCnet(Time-critical Control network),EPL(Ethernet Power Link),PROFINET IO,Ether Net/IP等。将广泛使用的商用以太网技术引入网络控制系统,其优点在于价格低廉、通信速率高、技术成熟、软硬件资源丰富、易与Internet连接实现办公自动化网络与控制网络的无缝集成等,但下面几个问题必须予以考虑[7,10,11]。

3.1 实时性

以太网的介质访问控制(MAC)层协议是CSMA/CD(冲突检测),各个节点采用竞争方式使用信道,致使数据传输具有传输不确定性的特点,这在控制系统中是很不希望发生的。随着全双工通信技术、交换技术、信息优先级技术等的出现,以太网数据传输的实时性有了较大的改善。改进以太网实时性的方法有:采用以太网与TCP/IP相结合、直接修改以太网协议、在数据链路层增加实时调度层等。

3.2 应用层协议

以太网标准仅定义了OSI参考模型的物理层和数据链路层,即使再加上TCP/IP协议也只是在以太网上面提供了网络层和传输层的功能,2个设备要想正常通信必须使用相同的语言规则,即必须有统一的应用层协议。目前,商用计算机间是通过文件传送协议(FTP)、远程登录协议(Telnet)、简单邮件传送协议(SMTP)、WWW协议(HTTP)、简单网络管理协议(SNMP)等应用层协议进行信息透明访问的,这些协议所定义的数据结构等特性不适合应用于工业过程控制领域现场设备之间的实时通信。为此,研究将Ethernet技术应用于通信实时性要求较高的工业控制现场时,还必须建立基于Ethernet+TCP/IP协议之上的完整有效的通信服务模型,制定有效的实时通信服务机制,以满足工业现场控制系统的实时通信要求,并协调好工业现场控制系统中实时和非实时信息的传输服务,形成为广大工控生产厂商和用户所接受的应用层协议,进而形成开放的标准。

3.3 安全性

工业以太网已经把传统的3层网络系统(信息管理层、过程监控层、现场设备层)合成一体,同时它可以接入Internet,实现了数据的共享,使工厂高效率运作,但与此也引入了一系列的网络安全问题。对此,一般可采用网络隔离(如网关隔离)的办法,还可以通过引进防火墙机制。

3.4 服务质量

实时通信服务质量是指Ethernet应用于工业控制现场时,为满足工业自动化实时控制要求而提出的一系列通信特征,这些特征包括响应延迟、传输延迟、吞吐量、可靠性、传输失败率、优先级等。工业控制网络中传送的数据,除传统的测量数据、报警信号、组态监控和诊断测试信息外,还有历史数据备份、工业摄像数据、工业音频和视频数据等。这些数据对实时性和通信带宽的要求各不相同,因此要求工业控制网络能适应外部环境和各种数据通信要求的变化,为紧要任务提供最低限度的性能保证服务,同时为非紧要任务提供尽力服务,确保控制系统性能。

3.5 本质安全与安全防爆技术

在生产过程中,很多工业现场不可避免地存在易燃、易爆与有毒等场合。对应用于这些工业现场的智能装备以及通信设备,都必须采取一定的防爆技术措施以保证工业现场的安全生产。现场设备的防爆技术包括2类,即隔爆型(如增安、气密、浇封等)和本质安全型。实现本质安全的关键技术为低功耗技术和本安防爆技术。Ethernet系统的本质安全包括几个方面,即工业Ethernet交换机、传输媒体以及基于Ethernet的变送器和执行机构等现场设备。在目前的技术条件下,对以太网系统采用隔爆防爆的措施比较可行,即通过对以太网现场设备(包括安装在现场的以太网交换机)采取增安、气密、浇封等隔爆措施,使设备本身的故障产生的电火能量不会外泄,以保证系统使用的安全性。

4 无线通信网络

无线通信网络技术主要包括无线局域网(WLAN)、蓝牙技术、无线传感器网络等。

自从无线局域网的国际标准IEEE 802.11在1997年被公布以来,无线局域网技术以其布线简单、组网扩网方便等优点受到了青睐。无线局域网不但在公众多媒体通信领域如医院、宾馆等场合得到了很大的应用,而且逐渐进入工业控制领域。IEEE 802.11的MAC协议是基于CSMA/CA(冲突避免)的竞争性协议[12]。

蓝牙技术是一种新型的短距离无线通信技术,近年来得到了迅猛发展。蓝牙工作在全球通用的2.4 GHz ISM(工业、科学、医疗频段)频段,只要通过共同利益集团(SIG)的认证程序并符合蓝牙规范,所有的蓝牙产品之间都可以方便地实现互操作和资源共享。蓝牙技术特别设计了快速确认和调频方案以确保链路稳定:蓝牙调频频率数为79跳频点/MHz,调频数率1 600次/s,蓝牙调频快,数据包短,抗干扰能力强,蓝牙技术可移植性强,可应用于多种通信场合,如无线应用协议(WAP)、全球移动通信(GSM)、数字增强无绳通信(DECT)等,引入身份识别后可以灵活实现漫游,功耗低[13]。

无线传感器网络是当前在国际上备受关注的、涉及多学科高度交叉、知识高度集成的前沿热点研究领域,它综合了传感器技术、嵌入式计算技术、现代网络及无线通信技术、分布式信息处理技术等,能够通过各类集成化的微型传感器协作地实时监测、感知和采集各种环境或监测对象的信息,这些信息通过无线方式被发送,并以自组多跳的网络方式传送到用户终端,从而实现物理世界、计算世界及人类社会三元世界的连通。传感器网络节点的组成包括4个基本单元:传感单元(由传感器和模数转换功能模块组成)、处理单元(包括CPU、存储器、嵌入式操作系统等)、通信单元(由无线通信模块组成)以及电源。目前,国内外已经出现了许多种网络节点的设计,它们在实现原理上是相似的,只是分别采用了不同的微处理器或者不同的通信或协议方式,比如采用自定义协议、802.11协议、Zig Bee协议、蓝牙协议以及超宽带无线技术(UWB)通信方式等[14]。

将无线通信网络技术应用于控制系统,可使现场设备无需电缆即可相互通信,增加了现场设备的灵活性和可移动性,对于一些不可预知的环境下,尤其在不适合布线的强腐蚀恶劣环境下,使用无线网络技术完成设备之间的数据通信将具有很大的优势。

5 结语

网络控制技术 第5篇

城市污水泵站集中网络控制系统的防雷技术

摘要：依据《建筑物防雷设计规范》(GB 50057-94),对广西城市污水泵站集中网络控制系统防雷工程进行了设计.阐述了防雷措施的.整体构架策略和实现方法,详细介绍了系统信号部分的四种防雷措施、电源部分的三级防雷保护及等电位接地系统的设计方案.作 者：李纳璺 LI Na-wen 作者单位：桂林电子科技大学,设计系,广西,桂林,541004期 刊：中国给水排水 ISTICPKU Journal：CHINA WATER & WASTEWATER年，卷(期)：,22(22)分类号：X703.1关键词：污水泵站 防雷技术 等电位接地

网络控制技术 第6篇

摘 要：以PLC主站为中心，通过Profibus-DP总线连接大车、小车、起升变频器、各机构的远程I/O从站及编码器，并通过太网连接上位机和司机室的触摸屏， 构成了大型造船龙门起重机的智能网络控制系统.

关键词：造船龙门起重机；PLC ；变频器；触摸屏

中图分类号：U665 文献标识码： A

Abstract：Centering on the PLC master station， through the profibus-dp bus connected with cart， trolley， lifting of inverter， the agencies from remote I/O station and encoder， and through the mt net connected to the PC and the driver room touch screen， it constitutes the intelligent network control system of large shipbuilding gantry crane.

Key Words： Large shipbuilding gantry crane； PLC； Inverter； Touch screen

1 引言

随着我国船舶工业的快速发展，所建船舶的吨位也越来越大，带动了造船龙门起重机的快速发展，特别是大跨距、大吨位的大型造船龙门起重机广泛应用于船坞、船台等船体建造场地，完成船体分段垂直升起和下降、平移行走和空中翻身等功能的吊装任务。由于其结构复杂、机构多、机体庞大，负载吨位一般都在几百吨以上，所以它的电气控制系统必须要精准可靠。随着计算机技术和电力电子器件的迅猛发展，电气传动和自动控制领域也日新月异，大型造船龙门起重机大都采用PLC和交流变频智能化、网络化的控制系统，以降低投资成本，提高控制的可靠性，方便日常的维修保养。由于篇幅有限，本文以一台400 t大型造船龙门起重机为例 ，仅对其PLC网络控制系统进行论述。

2 PLC网络控制系统的组成

2.1 硬件构成

大型造船龙门起重机一般都是由上小车、下小车、大车刚性腿及其行走机构、大车柔性腿及其行走机构、主控室和各机构电控室、操作室和载人电梯等构成。其中上小车包括1#起升机构、2#起升机构和行走机构；下小车包括3#起升机构、副起升机构和行走机构。

大型造船龙门起重机的电气控制系统需要完成对上述各机构发出工作指令进行速度控制、位置检测以及安全保护等，完成升降、平移、分段空中翻身等吊装任务。

2.2 控制系统结构

该控制系统主要以可编程逻辑控制器为中心，组建以PLC主站为中心，通过Profibus-DP总线一部分连接大车、小车及起升变频器，一部分连接各机构的远程I/O从站及编码器，同时通过光缆建立以太网，连接上位机和司机室的触摸屏。整个网络控制系统见图1所示。

2.3 PLC的配置

PLC以OMRON公司的CSIG-CPU45H作为整个控制系统的主机， CSIG-CPU45H具有广泛的通讯功能、便于分布式控制的结构形式、简单便捷的操控界面。PLC系统的配置见下表1。

3 控制系统的工作分析

整个结构构成了一个分布式的网络控制系统，各部分的工作分析如下：

3.1 电气控制室

电气控制室作为整个电气控制系统的“大脑”，内部安装有PLC主站、上位机、刚柔腿大车行走控制柜、上下小车行走控制柜、上下小车起升控制柜。系统内各部件电气控制柜的接触器、断路器及熔断器组成信号采集系统，各内部信号的保护与采集、司机发出的操作命令等都通过I/O从站送入PLC主站内。

3.2 远程I/O从站

远程I/O从站完成信号的釆集，一方面将模拟量信号转换为开关量信号传给PLC主控制器，另一方面开关量信号直接进入PLC，远程从站将收集的信号反馈给PLC主站，PLC主站执行逻辑控制程序，通过现场总线实现对起升、小车、大车变频器的起动、停止、速度控制。

上小车I/O站的主要作用是将电机保护信号及其小车内机构的保护信号进行收集，如：上升终点信号、下降终点信号、起重量限制器超载信号等；

下小车中的远程I/O从站主要作用是对电机保护信号和相应的下小车机构中的保护信号进行收集，例如下降过程中的终点信号等；

大车刚性腿中的远程从站主要作用是电机保护信号的收集以及大车刚性腿中的机构保护信号的收集；

大车柔性腿的远程子站主要作用是对电动机中产生的保护信号及大车柔性腿中的机构保护信号进行收集。

3.3 司机室

司机室也是一个远程I/O从站，可以实现人机信息和指令的传递，操作者可以通过触摸屏了解到起重机的实时状态参数，通过操作界面实现工作状态显示及故障报警：可以使操作人员通过触摸屏画面观察到整机的运行状态，监控整个系统内的接触器、断路器、变频器等设备的运行状态，监控变频器的设定频率、转速及当前实际的频率和转速、系统工作状态等。

也可以根据用户授权设定对个别参数进行修改，各终端信号源根据控制精度和功能需要，在龙门起重机上安装检测元件和电气限位开关，检测元件主要是编码器，它是信号的发出端，也是控制指令的接收端。

3.4 变频器子站

在系统中设有绝对值编码器的子站，其作用主要是当其作为从站使用时，通过主站向变频器发送指令，并且可以接收其反馈的故障报告信号。龙门吊中的上小车1#号起升位置的编码设备以及2#号起升位置的编码设备和下小车主要的起升位置中的编码设备主要是测验各个起升位置并且传送到中央控制器。龙门吊中控制大车刚性腿运行状况的编码设备，主要作用是检验各自的运行状态，并将数据传送到中央存储器。

4 结束语

大型造船龙门起重机占地面积较大，各运行机构与中央处理器（CPU）主站的距离一般较远，所以需要相应的在各机构中设置远程I/O从站，PLC控制系统通过网络连接的通讯方式控制变频器，同时也釆集和读取变频器内部的信息。通过Profibus-DP网络安装触摸屏和工控机等设备，能完成对整机性能的动态监测和故障排查，同时还可将设备连入互联网，通过互联网的远程协助技术方便快捷地从专家那里获得帮助，能迅速判断事故原因，缩短维修时间。大型造船龙门起重机控制系统的网络化和智能化，是目前和今后一段时间的发展方向。

本网络控制系统通过在实验室反复测试、模拟运行，证明方案可行，能够实现控制要求。

参考文献

[1] 鞠俊. 大型造船造船龙门起重机电气控制设计[D]大连理工大学，2014.

[2] 刘普. 基于PLC和变频器的港口门座起重机控制系统研究[D].南京理工大学，2014.

[3] 张蓉，姜键. 基于现场总线的龙门起重机智能控制系统的设计[J]. 仪表技术与传感器，2003（3）.

[4] 龚春署. 浅析龙门吊机控制系统[J]. 广船科技，2008（3）.

网络访问控制技术及应用研究 第7篇

一、网络访问控制技术

1. 自主访问控制

自主访问控制技术的内容是指主体能够对访问的权限进行自主设置。也就是说, 能够赋予其他主体访问权限, 也可以对访问权限进行收回。但执行的主体为单个。这样的好处是, 通过矩阵来实现主体客体的排列, 虽然不需要将整个矩阵来进行保存, 但通过行列来进行访问控制, 因此能够让访问的操作更加有效率。而且, 自主访问控制能够很直观地将访问客体呈现出来, 而且更加迅速的查到所要查询的内容。但同时也暴露出一定的弊端, 就是这样的联系方式让整个系统的结构显得更加复杂繁琐。大量的主体要进行访问的时候都需要进行权限的关联。特别是在企业等比较复杂的网络结构中使用这项自主访问控制技术时, 因为网络中的信息不仅量大而且关系复杂, 网络覆盖整个企业的各个部门, 因此管理员不仅要负责对主体的访问权限进行设置, 也需要对信息进行管理和发布。不仅需要花费大量的人力和物力, 也对整个网络的安全性有一定程度的影响。尤其这样的企业往往网络结构复杂, 规模大, 用户对网络的需求也各有不同, 因此需要对这些方面进行注意。而且, 在访问权限的设置上还有一定的问题。网络的所有信息都属于企业, 但职员等所属的部门需要对这些信息进行访问, 这就存在着怎样让部门的职员能够访问自己领域所需要的信息, 但其他部门的信息并不对其进行公开。这就需要管理员在对其进行网络访问授权的时候进行限定, 这项工作不仅繁琐, 也容易出错。

2. 强制访问控制

强制访问控制是指主体按照系统事先的设置来进行访问。强制访问控制所涉及的信息中, 按照信息的保密度分了各种等级, 用户则根据权限也有不同的签证。签证能够决定用户对某一级别及其以下的等级信息进行访问, 但不能够对级别以上的信息进行访问。这种访问控制技术由于其自身的性质特点, 多运用于军事系统中, 但其明显的缺点在于, 由于是按照等级制度进行访问, 但在同级的信息没有能够得到明确的归类之分, 因此, 在同级间的访问没有限制。

3. 基于角色的访问控制

基于角色的访问控制, 主要的内容就是将用户进行分类, 同类的用户可以访问到相同分类的内容。这种方式的好处在于方便管理, 因为是通过对用户进行分类来确认访问的权限, 可以通过对用户的分类来对其访问权限进行限制, 也就是说, 如果要改变某用户的访问权限, 只需要对该用户的分类, 也就是角色来进行变更, 这就达到了更改其访问权限, 因为用户并没有直接跟权限进行关联, 而是通过角色来进行访问的设置。

4. 基于任务的访问控制

基于任务的访问控制是近年来才开始的一种访问控制技术。这种访问控制的好处在于能够适应分布式计算和信息处理的系统, 对任务采取的与传统的面向主体对象不同, 而是能够及时生成权限, 实现自我管理的模式, 从整体来说, 相对经济, 成本较低。虽然这种理念虽然还没有开始被具体化投入使用, 但其自身的特点决定了其对用户要求的满足有一定的针对性。

二、网络访问控制技术应用研究

网络访问控制技术对信息安全的可靠保障决定了其能够让网络的发展进入相对安全的环境之中。虽然在工程应用中, 网络访问控制技术还没有能够得到充分的运用, 只在基础网络中进行应用。但是在经过逐步的完善后, 已逐渐覆盖其他的区域。经过健康检查以及对系统性的修复后, 已在网络的管理和桌面管理, 以及信息的安全可靠性方面都有应用。

网络访问控制技术在经过系统的整合后, 将认证、目录、健康策略、防毒等多项功能进行完善, 并综合为用户服务, 形成一条龙。虽然单独的某家商家并不能够生产出包含所有功能的产品来为用户服务, 但通过多家的商品进行合理的配合, 就能够达到需要的效果。

三、常见的策略执行技术

就现在运用较广泛的控制技术来说, 802.1x网络接入控制严格, 对网络的影响小, 并且可以对接入层和汇聚层进行选择。但是相对来说操作的难度要高, 并且不易于维护, 适合政府等环境使用。。而SSL网关则是认证方式基于证书, 对硬件设备的兼容性要求不高, 应用的范围大, 技术要求不高, 比较经济。但缺点在于对网络性能的影响大。适合企业等环境的使用。防火墙的优点除了认证方式不是基于证书, 与SSL网关相同, 缺点就在于其需要与网络访问控制终端进行互操作, 这就对网络性能产生影响, 比较适合企业等环境使用。VPN的优点与防火墙相似, 缺点不光会影响网络性能, CA的集成问题也是要注意的方面, 因此比较适合远程接入。

摘要：本文主要围绕网络访问控制技术进行说明, 并从该技术的开放、兼容等多重特性结合实际应用, 简析其性质内容并进行总结。网络访问控制技术的设计研究牵涉到多个方面。最重要的是防火墙、网关等几项, 因此文章在最后分析网络访问控制技术研究的重要部分。

关键词：网络,访问,控制技术,应用

参考文献

[1]周益军, 黄本雄.网络端点接入控制的实现[J].计算机技术与发展, 2006 (9) :227-232.

[2]孔旭辉, 鲁辉.网络健康安全的保障——网络接入保护技术详解[EB/OL]. (2008-01-09) .[2009-04-12].

网络信息安全控制技术及应用 第8篇

1.1 网络安全概念

网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。

1.2 网络安全的特征

保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。

完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需网络安全解决措施的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。

可控性:对信息的传播及内容具有控制能力。

可审查性:出现安全问题时提供依据与手段。

从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。

随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。

2 Internet的不安全因素分析

2.1 Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。

2.2 Internet的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。

2.3 Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。

2.4 在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。

2.5 电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。

2.6 计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。

3 网络安全控制技术及特征

3.1 生物识别技术

生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案,由于人体特征具有不可复制的特性,这一技术的安全系数较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等,而其中指纹凭借其无可比拟的唯一性、稳定性、再生性倍受关注。除了指纹识别技术外,近年来视网膜识别技术和签名识别技术的研究也取得了骄人的成绩。

3.2 防火墙技术

防火墙是采用综合的网络技术设置在被保护网络和外部网络之间的一道屏障,用以分隔被保护网络与外部网络系统防止发生不可预测的、潜在破坏性的侵入。

3.3 数据加密技术

数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法将同一明文加密成不同的密文。

3.4 入侵检测技术

入侵检测技术是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。

3.5 网络安全漏洞扫描技术

漏洞检测和安全风险评估技术,因其可预知主体受攻击的可能性和具体地指证将要发生的行为和产生的后果,而受到网络安全业界的重视。这一技术的应用可帮助识别检测对名气的系统资源,分析这一资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。

3.6 安全审计技术

安全审计(Security Auditing)技术使用某种或几种安全检测工具(通常称为扫描器(Scanner),采取预先扫描漏洞的方法,检查系统的安全漏洞,得到系统薄弱环节的检查报告,并采用相应的增强系统安全性的措施。

4 加密技术的应用.

4.1 在电子商务方面的应用

为了保证顾客在网上进行各种商务活动,不必担心自己的信用卡会被人盗用,现在人们开始用RSA(一种公开/私有密钥)的加密技术,提高信用卡交易的安全性。NETSCAPE公司提供了一种基于RSA和保密密钥的应用于因特网的技术,被称为安全插座层(SSL)。SSL同时使用“对称”和“非对称”加密方法,在客户与电子商务的服务器进行沟通的过程中,客户会产生一个Session Key(SK),然后客户用服务器端的公钥将SK进行加密,再传给服务器端,在双方都知道SK后,传输的数据都是以SK进行加密与解密的,但服务器端发给用户的公钥必需先向有关发证机关申请,以得到公证。

4.2 加密技术在VPN中的应用

当数据离开发送者所在的局域网时,该数据首先被用户端连接到互联网上的路由器进行硬件加密,数据在互联网上是以加密的形式传送的,当达到目的LAN的路由器时,该路由器就会对数据进行解密,这样目的LAN中的用户就可以看到真正的信息了。

结束语

信息安全问题涉及到国家安全、社会公共安全,世界各国已经认识到信息安全涉及重大国家利益,随着互联网在各个领域的广泛应用,信息安全技术已成为目前面临的迫切需求。相信在21世纪,网络信息安全技术会有更大的提高,信息安全得到更大的发展。

参考文献

[1]刘益和.基于角色管理的安全模型[J].计算机应用研究,2007(05).

网络安全准入控制技术的应用 第9篇

传统的计算机网络是不设防的, 终端设备连接网线就可以进入网络。即使启用802.1X认证, 也只能防止非授权接入, 对授权用户终端的安全性并不进行检查。如果听任不安全的终端接入网络, 病毒、蠕虫和间谍软件在网络中蔓延, 将会使网络以及网络上的资源遭受损害与损失, 干扰企业业务的正常运作, 造成业务中断。与此同时, 移动计算的普及进一步加剧了这种威胁的可能。移动用户能够从家里或公共无线网络连接互联网, 常在无意中轻易地感染病毒并将其带进企业环境, 进而感染企业网络。业界对此提出的应对解决方案是部署网络安全准入控制, 不仅对终端接入进行认证, 而且进行安全检查。

2 网络安全准入控制技术

网络安全准入控制 (Network Access Control, NAC) 解决方案通常的组件包括:客户端软件、网络准入控制设备、认证与策略服务器。它们的作用分别如下:

客户端软件:主要负责对接入的终端进行802.1X接入认证与健康检查。

网络准入控制设备:可以是路由器、交换机、无线接入点和安全网关, 这些设备接受终端委托, 然后将信息传送到策略服务器, 并实施传回来的相应的准入控制决策:允许、拒绝、隔离或限制。

认证与策略服务器:认证服务器对终端进行用户认证, 策略服务器负责评估终端安全信息, 并决定应该使用哪种接入策略。

根据准入控制点位置的不同, 网络安全准入控制主要分为两大类:一类是在网络接入设备进行控制, 另一类是在网关处进行控制。

网关型准入控制的优点是对网络接入设备没有品牌限制, 通用性强;缺点是只对网络出口进行了控制, 没有对接入层进行控制, 使得病毒、蠕虫仍然可以进入网络内;同时, 控制网关是网络的性能瓶颈。

3 思科的网络安全准入控制

3.1 NAC设备的组成

思科的网络安全准入控制有基于设备和架构两个解决方案, 设备方案可以作为架构方案的组成部分。NAC设备 (称作Clean Access Appliance) 利用自带的终端评估、策略管理和修补服务支持快速部署。这种可快速部署的一体化解决方案可自动检测、隔离并清洁试图访问网络的已感染终端或易受攻击的有线或无线终端。

NAC设备包含以下主要组件 (见图1) :

CAS (Clean Access Server) :用于评估设备并基于终端的策略符合情况来执行访问权限, 每台可以有若干用户数许可, 全网可以有多台CAS;

CAM (Clean Access Manager) :每台可以管理若干台CAS并对网络接入设备进行操作, 包括执行策略和修补服务, 每台可以管理若干台CAS;CAM需要到厂商网站在线更新安全规则;

Clean Access Agent:客户端软件, 执行严格的终端策略符合评估, 并简化修补流程。

3.2 NAC设备的部署选项

NAC设备的CAS在具体设计部署时有多种选项, 列举如下:

(1) 单点登录 (SSO, Single Sign-On) 与二次登录

SSO是基于一种信任模式, 比如说AD域已经认证了用户身份, 那么NAC设备可以信任AD域的认证结果, 无须再次认证。使用SSO将提供便利, 增加客户的满意度。如果没有可用的SSO, 则只能使用二次登录方式。

(2) 带内与带外

带内与带外是针对CAS而言的。同一台CAS只能选择运行在其中一种模式;CAM管理下的多台CAS可以有的在带内模式, 有的在带外模式。CAS在功能、位置、操作方式上像是一个报文过滤防火墙。CAS的两个网卡连接到网络的非信任侧与信任侧, 让终端的流量通过它。它的主要工作是控制“谁”、“什么样的机器”可以从非信任侧到信任侧。当做完认证和安全评估后, 如果流量不再经过CAS (通过切换终端VLAN来实现) , 此种方式为带外方式;如果流量继续经过CAS, 则为带内方式。

一台CAS根据型号与许可不同, 支持的用户数从100到5 000不等, 因此园区网络通常采用带外模式, 以免造成流量瓶颈, 并减少CAS的数量;对于VPN、无线, 或者其他品牌的接入交换机, 则可以采用带内模式。

(3) 二层连接与三层连接

二层连接与三层连接是指CAS与终端的邻接关系。二层连接意味着终端与CAS在非信任侧以二层方式相邻接, 此时CAS是可以真正看到每个终端的MAC。三层连接意味着终端与CAS在非信任侧以三层方式相邻接, 也就说中间要经过路由;此时CAS不能直接看到终端的MAC地址, 但终端的MAC地址会通过客户端软件被CAS转发给CAM用来定位。

使用三层连接方式更具有可扩展性, 缺点是配置相对较复杂。

(4) 虚拟网关与真实网关

从非信任侧到信任侧, 如果CAS作为透明桥, 就是虚拟网关模式;如果作为路由网关, 就是真实网关模式。

3.3 NAC设备的工作原理

(1) 接入层交换机的接口预先设置为某个接口模板;

(2) 终端接入到接入层交换机时, 接入层交换机发送SNMP Trap通知给CAM, 包含终端的MAC地址与交换机接口;

(3) CAM首先要看这个MAC地址是否在认证列表中, 如果是曾经注销的机器, 则只需直接放到目标VLAN或者让它重新认证;如果重新认证的话, 一般不会再次做安检, 只需要认证即可。CAM的认证列表可以定期清理刷新;

(4) 如果是一台新终端, CAM发送一个SNMP写指令给交换机, 让交换机的接口处于认证VLAN;

(5) CAM同时会将这台终端的信息添加到自己的发现列表中;

(6) 此时终端已经被放到CAS非信任侧的认证VLAN, 从终端过来的流量都被强迫通过CAS (如果终端与CAS之间为三层连接, 需要在沿途交换机设置策略路由) 。当然CAS要设置允许DHCP和DNS请求信息通过;

(7) 终端从DHCP服务器上请求分配得到一个认证VLAN的IP地址;

(8) 随后终端上的NAC客户端程序CAA开始工作。CAA开始发送专用通信协议 (SWISS) 发现报文给缺省网关;

(9) CAS的SWISS端口一直在监听, 一旦收到CAA发过来的信息, 它马上会给一个反馈报文;

(10) CAS回送的信息促使CAA弹出登录窗口。用户名和口令将被CAS转发到CAM。如果采用SSO单点登录的方式, 则用户名与口令可以由CAA自动采用已经输入的用户名与口令, 避免二次输入;

(11) 如果CAA通过了认证则开始进行安检。CAM首先通过CAS告诉CAA要检测哪些内容, CAA负责收集终端上的信息;

(12) CAA收集终端上的信息然后通过CAS送给CAM;

(13) CAM会把CAA发过来的信息与已知的病毒版本、主机补丁信息进行比较, 如果不达标, 则CAM把终端放入“临时”角色, 指引CAA弹出修复窗, 此时终端只被允许进行补丁升级、防毒升级;

(14) 如果终端安检达标, 则作为“正常”角色下, 可以按用户组进一步划分到更细的角色, 以便对应到VLAN。CAM通知交换机改变VLAN号, 使得终端进入到正常VLAN, 并重新DHCP获取IP地址;如果是带外模式, 则此后终端的流量不再经过CAS。

4 NAC设备的应用

某工厂的园区网络采用思科交换机, 分别建设了内网与外网, 两网物理隔离, 禁止内网与外部通信。同时部署应用了NAC设备:内网1台NACMGR-20作为CAM, 1台NAC3350 (支持1500个用户) 作为CAS;外网1台NACMGR-3作为CAM, 1台NAC3310 (支持500个用户) 作为CAS。

内网的拓扑为核心层两台三层交换机冗余热备, 汇聚层若干台三层交换机各自双路上联到核心交换机, 之间以三层路由互联, 接入层为二层交换机;服务器集中在中心机房, 划分在多个VLAN, 接在防火墙的各安全区域。

外网的拓扑较为简单, 核心交换机下连若干接入二层交换机, 防火墙外接互联网。

4.1 NAC设备的部署设计

内网的CAS部署设计采用带外真实网关模式;由于汇聚交换机与核心交换机之间为路由连接, 终端与CAS之间为三层连接方式, 需要在汇聚交换机、核心交换机上做策略路由将认证VLAN的流量导向CAS的非信任接口。

外网的CAS部署采用OOB Real-IP GW模式;终端与CAS之间为二层连接方式, 不需要策略路由。

具体的拓扑见图2所示:

4.2 NAC设备的实施

在实施NAC设备时, 除了按照产品手册进行操作外, 还遇到一些需要克服的问题。

(1) 证书

在生产环境中, 应该使用第三方CA颁发的X.509证书, 取代NAC设备自行生成的临时证书, 作为SSL加密通信的基础。我们可以用Windows 2003或2008来做证书服务, 建立证书颁发机构, 作为企业CA、根CA, 颁发10年或更长有效期的证书。

(2) AD SSO

由于用户网络采用了Windows AD域控制, 用户在终端开机后先登录AD域, 需要在NAC实现AD SSO, 避免用户二次登录。NAC支持AD SSO, 要求在AD域控服务器运行KTPASS程序 (Windows2003需要补充安装Support Tools, Windows 2008缺省已经安装) , 指定CAM的账号采用DES加密算法。

在实施时, 采取相同的做法, Windows2003成功实现AD SSO, 而Windows 2008则失败。经过排查, 发现Kerberos客户端请求对Windows Server 2008的域控制器, 返回错误代码:“KERB5KDC_ERR_C_PRINICPAL_UNKNOWN”。查微软技术支持, 发现Windows2008有一个Bug, 需要先打补丁, 见http://support.microsoft.com/kb/951191。从上述网页下载相应版本的补丁文件, 打好补丁重新启动Windows 2008服务器后, AD SSO成功。

(3) 内网CAM的更新

CAM需要更新对终端的安全检查要求, 包括漏洞补丁、防病毒软件特征库版本。CAM可以手动或定期更新, 但必须联网到厂商指定网址进行在线更新。对于外网的CAM这不困难。对于内网的CAM, 由于禁止外联, 解决办法为:在外网也提供相同的IP网段、相同网关。需要更新时, 管理员到机房把CAM的网线改接到外网的相同IP网段, 手动执行更新, 之后再改接回来。

(4) 客户端软件的批量安装

NAC客户端软件有MSI与EXE格式, 在规模部署时, 应尽量利用可能的自动部署手段。本案例用户有一种远程终端管理软件, 在对NAC客户端软件进行打包之后, 利用远程自动安装功能, 可以轻松实现上千台终端的NAC客户端安装。

4.3 NAC设备故障应急处理

NAC设备上线运行后, 其运行状态关系到全网终端是否能正常接入。NAC设备支持双机冗余热备, 单机部署时必须做好故障应急预案。

首先要做好数据的备份, 包括输出设备的X.509证书、CAM设置快照, 以便在设备修复时可以快速复原。其次是设备发生故障时的应急处理。

(1) 事先将CAS的回滚设置为“允许所有”, 当CAM单机设备发生故障时, CAS联系不到CAM, CAS将对终端流量放行, 不影响终端的通信。要求认证VLAN对应的IP子网具有足够大的地址空间, 可以容纳该区域全部终端停留。

(2) 在CAS单机设备发生故障时, 如果是三层连接带外真实网关模式, 那么只要登录到三层交换机, 将认证VLAN对应IP子网接口的策略路由临时去除即可。此时, 已通过认证的就不经过CAS, 新接入的也不再被强制指向CAS, 而是直接进入到正常网络。

(3) 在CAS单机设备发生故障时, 如果是二层连接带外真实网关模式, 只要拔掉CAS的非信任侧网卡的网线, 在三层交换机上临时启用认证VLAN的IP接口, 设置IP地址与DHCP转发即可。此时, 已通过认证的就不经过CAS, 新接入的网关地址已被三层交换机取代, 可以直接进入到正常网络。

4.4 应用效果

在全厂网络部署实施NAC设备后, 终端的漏洞补丁、反病毒软件不达标不可接入, 外来终端不可接入, 保证了网络终端的安全与可控, 提高了网络的安全性。

5 结语

在当前病毒、蠕虫泛滥的情况下, 网络安全准入控制技术在提高网络安全性方面具有很大的作用。NAC设备能控制到接入层, 适用于思科设备网络环境下进行网络安全准入控制。

摘要：介绍了网络安全准入控制技术, 重点介绍NAC设备方案的组成、部署方式、工作原理, 并结合园区网络实际应用案例介绍其中一些特别的做法。

关键词：网络安全准入控制,802.1X认证,CAS,CAM,单点登录

参考文献

[1]Jamey Heary, Jerry Lin, Chad Sullivan, etal.Cisco NAC Appliance:Enforcing Host Security with Clean Access[M].USA:Cisco Press, 2008.

[2]Cisco Systems Inc.Cisco NAC Appliance-Clean Access Manager Configuration Guide Release 4.8[EB/OL].[2011-06-01].http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/48/cam/48cam-book.html, 2010.

[3]Cisco Systems Inc.Cisco NAC Appliance-Clean Access Server Configuration Guide Release 4.8[EB/OL].[2011-06-01].http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/48/cas/48cas-book.html, 2010.

[4]Cisco Systems Inc.Release Notes for Cisco NACAppliance Version 4.8[EB/OL].[2011-06-01]http://www.cisco.com/en/US/docs/security/nac/appliance/release_notes/48/48rn.html, 2010.

远程机电控制的网络接入技术研究 第10篇

1 远程控制技术发展概述

过去应用最为广泛的远程控制技术主要有以下几种类型。

1.1 集散式远程控制

集散式远程控制, 是为每一个监控对象, 即每一台机电设备都安装监测仪表, 将所有的监测仪表所采集到的数据全部发送到控制机上, 由控制机实现对全部机电设备的集中控制。这种远程控制模式应用方式简单, 组网成本较低, 但是由于全部数据由控制机进行操作, 实际上增大了控制机的负担, 导致整个系统的可靠性较低, 健壮性较差。

1.2 分布式远程控制

针对集散式远程控制模式在实际应用中所出现的问题, 逐渐出现了分布式远程控制代替了过去的集散式远程控制。分布式远程控制是将所有被监测的机电设备的相关参数进行采集与监测, 分别发送到几个分站进行集中控制, 通过通讯网络实现分站与主站之间的数据通讯, 从而完成主站对各个监测对象的远程监测与控制。分布式远程控制的最大优势就在于客观上降低了主站控制机的负担, 由各个分站控制机共同分担, 从而在一定程度上提高了系统的可靠性和健壮性。但是分布式远程控制模式在应用中也存在一定的弊端, 那就是组网复杂, 组网成本较高, 不适宜大规模应用。

1.3 现场总线式远程控制

现场总线式远程控制是近几年新发展起来并得到大规模应用的一种远程控制模式。这种控制模式能够根据现场需要被监测的机电设备的具体数据通讯接口分别设计不同的现场通讯总线, 从而将集散式远程控制和分布式远程控制的优势集于一身。

2 基于工业以太网的远程机电控制接入技术探讨

2.1 面向工业以太网的网络接入技术

目前机电设备接入工业以太网有以下几种技术模式。

(1) 通过传感仪表接入。

机电设备的自动化控制, 离不开传感监测, 因此很多机电控制系统都是通过传感仪表实现状态监测和数据的采集传输, 利用传感仪表的输出接口, 为其配置合适的网络接入接口, 从而实现将机电设备的状态参数接入工业以太网。

(2) 通过数据采集板卡接入。

在一些机电设备的自动化控制系统中, 出于数据管理的需求, 也会采用数据采集板卡的方式将机电设备接入以太网网络。将传感仪表所采集到的数据统一传输至数据采集板卡, 由数据采集板卡的输出接口, 根据工业以太网的传输规范, 为其配置合适的网络通讯接口, 例如普通的TCP/IP协议接口, 串口转以太网接口, ModbusTCP协议接口等等, 实现工业以太网对机电设备的网络远程化控制。

(3) 通过以太网接口模块接入。

有的机电设备, 其数据通讯接口不是标准接口, 这个时候就需要为其配置专用的以太网接口模块, 而这种以太网接口模块并不是标准件, 需要针对不同的机电设备的具体接口类型做有针对性的开发设计。但是不管用哪种类型的以太网接口模块, 模块内部的以太网电路都是一样的, 目前基本上都是采用RTL8019AS以太网通信控制器实现的, 再配合双绞线驱动器和标准的以太网RJ45接口, 从而完成由非标准的机电设备接口到标准的以太网通信接口的转换, 实现工业以太网对机电设备的远程化控制。

2.2 实际应用中需要注意的问题

(1) 网络迟延问题。

工业以太网由于采用的是侦听发送的机制, 因此在进行数据交换传输的时候, 会不可避免的产生延时的问题, 而对于远程机电控制系统而言, 控制的实时性要求非常严格, 有的机电设备其控制指令甚至要求必须在千分之一秒内完成, 因此这就对工业以太网的实时性提出了挑战。而事实上, 工业以太网在实际应用中, 也确实暴露出了迟延问题。为此, 对于一些实时性要求较高的机电控制系统, 必须采用合适的控制策略, 比如VPN技术、流量管理策略等等, 以提高工业以太网在机电设备自动化控制中的实时性。

(2) 数据丢包问题。

由于工业以太网的迟延问题, 所以数据丢包问题就不可避免, 这也就造成了工业以太网的可靠性问题。对于此, 必须要引入网络数据监管机制, 对数据丢包率进行严格控制, 尤其是对有可能会引发大规模数据丢包的网络载体和流量载体, 必须单独构建传输网络, 以提高工业以太网在机电设备自动化控制中的可靠性。

3 结语

基于工业以太网实现的远程无人值守自动化控制模式目前已经得到了大规模应用, 尽管工业以太网在数据通讯的实时性方面有待突破, 但是就目前的技术应用而言, 工业以太网应用于工矿自动化控制是完全可行可靠的。本论文在对比分析了目前几种主流的远程控制技术的基础上, 重点探讨了基于工业以太网实现的远程机电控制中的网络接入技术, 详细探讨了接口技术在实际中的应用, 对于进一步提高机电自动化控制的远程化、网络化、信息化水平具有很好的指导借鉴意义。当然, 要实现将工业以太网完全取代现有的现场总线技术还有很长的一段路要走, 其中需要攻克很多技术难关, 这有待于广大网络通信技术人员的共同努力, 才能够最终实现工业以太网在工矿自动化控制领域的大规模应用。

参考文献

[1]颜建军, 宋执环, 韩波.基于嵌入式Internet的远程监控系统设计[J].机电工程, 2003, 20 (5) :55-57.

[2]安娜.基于互联网的恒压供水远程监控系统设计[D].武汉:武汉理工大学, 2007.

网络控制技术 第11篇

关键词 远程控制 控制技术 应用

中图分类号：TP391.06 文献标识码：A

0 前言

1990年以来，随着计算机技术的普及、因特网与通信技术的发展，互联网与人类的生活、工作的结合日益紧密，而计算机网络远程控制技术得到应用。作为业界公认的实用技术，计算机网络远程控制和管理得到更多用户的重视，并广泛应用于各行各业。

1 计算机网络远程控制技术概述

1.1 计算机网络远程控制技术的定义

计算机网络远程控制技术是指，通过某台指定的远距离终端计算机依赖于网络，去控制及监视另一台或多台终端设备（如计算机、自动化设备等）的技术，其主要应用于远程监控、远程技术支持等。

如果从计算机控制技术的对象来看，早期的计算机控制技术主要是针对单变量线性的对象，而现代网络远程控制技术的对象则由一变多，也就是我们所谈到的多变量非线性的对象；而从实现远程控制技术的元器件来看，早期监控技术主要依赖于独立模拟元器件，而现代网络远程控制技术则建立在大规模集成电路的基础上。①互联网与通信科学的进步，一方面改变了控制技术早期的技术基础及系统结构，另一方面也使得控制技术与网络有了更好的融合，也就是我们现在所谈论的计算机网络远程控制技术。基于网络的远程控制技术，主要会使用四种网络接入模式，包括LAN、WAN、电话拨号及互联网接入。②

1.2 远程控制的关键技术

1.2.1 Web技术

Web技术起源于日内瓦某个粒子实验室，其主要基于超文本技术，包括HTTP（应用层协议-超文本传送协议）及HTML（表示层句法-超文本标记性语言）两大技术标准。

1.2.2 Activex技术

这一项技术主要是针对互联网相关应用开发出来的技术，包括Activex 控件、文档、脚本描述、服务器框架及Java虚拟机等五大部分，其主要依托于组件或分布式组件对象模型。该技术是微软早期创建的远程控制技术之一，被应用于常见的服务器及客户终端机中。

1.2.3 Magic Packet技术

Magic Packet技术是又AMD公司所开发的，又称作网络唤醒技术，其主要通过MAC地址来进行网络中计算机的辨识，即使客户端的计算机出于关机状态，Magic Packet也可以通过其标准的唤醒数据包来启动任一指定MAC地址的远程终端，开启电源并启动电脑。

1.2.4 远程屏幕监视技术

这一技术主要利用TCP/IP协议来完成远程监控，服务器端基于Winsock控件建立连接、发送指令到客户端，在完成监控屏幕指令后，客户端会通过图片格式的文件反馈回服务器。

1.2.5 Sockets技术

Sockets技术，又称为套接字技术，其主要分为流套接字及数据包套接字两大类。套接字技术是基于VC++的语言编程来完成远程控制过程中的信息传输和信通的，并且支持TCP/IP协议。

1.3 远程控制技术的原理及实现

1.3.1 远程控制技术的原理

远程控制技术可以帮助建立多台计算机之间的数据交换通道，从而使得专业工程师利用互联网或通信技术来进行多台计算机的控制成为可能。远程控制技术的实现需要依靠三大核心构成，包括互联网、远程控制软件、专业工程师。通常情况下，其实现原理如下：位于远程终端的计算机（称为服务器端或控制端），利用远程控制软件，向被控制的多台终端设备（称为客户端或被控制端）发出指令，并利用远程终端的计算机来进行各种程序的操作，比如针对客户端所在计算机文件的使用、查看及管理客户端的多个应用程序、远程使用与客户端所在计算机已建立連接相关外部设备等某些特定的工作。

但在使用远程控制技术前，有三点需要注意的地方：第一，“远程”不代表距离或位置的远近，客户端及服务器端所在的设备完全可以是在同一数据中心机房的任意设备，或通过互联网接入的任意设备；第二，如果需要通过互联网来使用远程控制技术，必须通过远程控制软件作为载体，即将远程控制软件预装或安装到需要被控制的终端设备上；第三，服务器端的主要职责是发送指令与最终执行结果的查看；客户端的主要作用是根据指令完成操作、反馈执行结果。为了便于专业IT人员的后续工作，很多现代远程控制技术，都会基于互联网技术、利用浏览器来运行相关程序。

1.3.2 远程控制系统实现框架

网络远程控制系统由三大核心系统组成，包括有现成设备检测与控制系统、远距离数据传输系统及远程监控终端系统。③在进行实际远程控制技术的实现时，需要注意以下两点：综合考虑整体远程控制系统的安全性及个性化操作需要，建议服务器端开发语言采用Linux系统下的C语言、客户端采用Windows系统下的C++语言；参照Socket技术及流程，并对所有远程控制指令进行加密，服务器及客户端仅识别加密语句；在Socket技术与数据库技术基础上，建立远程有效访问和监控机制，隔离并控制异常数据情况。

2 远程控制技术的应用

2.1 计算机网络远程控制技术的应用

计算机网络远程控制技术在实际生活和工作中的应用广泛，如远程的办公、远程教育、远程监控等多个方面。④其中前者在国内的应用较少，后两者应用居多。

2.1.1 远程办公

通过计算机网络远程控制技术，用户可以通过互联网随时随地地办公，实现办公自动化。远程技术可以帮助用户在任意地点通过internet接入办公室的工作计算机，使用计算机中的应用程序、计算机硬盘中存储的各种信息和数据，访问文件、共享资源等。远程办公不仅有利于加强公司内部人员的沟通、提高工作效率和工作兴趣，远程办公对于缓解一线城市交通压力、减少环境污染等大有益处。目前，在西方发达国家，如美国、德国、英国、瑞典等，对于远程办公的应用已经非常广泛，但国内在远程办公方面还处于非常初级的阶段，仅少量跨国企业采用了这样的模式。

nlc202309021616

2.1.2 遠程教育

计算机网络远程控制技术还应用在远程教育方面。国内在远程教育方面的应用主要包括企业e-learning平台的建设、培训学校远程教育平台的提供、互联网网站远程教育资源和内容的提供。国内的领先企业在远程平台建设方面的投资正如火如荼，其通过网络远程控制技术所建设的e-learning平台，可以供企业员工在远程接受企业内部的培训及相关学习资料、学习心得的分享；而在远程教育平台、远程教育资源和内容的提供方面，网络远程控制技术也是不可或缺的，一方面教师可以通过远程技术提供授课服务、加强与学生的互动与交流、增强学习频率与效率，另一方面远程模式对于学习成本的降低和优化也起到不可小觑的作用。对于偏远地区、教育资源稀缺地区，远程教育对于当地教育资源的补充也是未来政府关注的重点。目前我国在远程教育方面的投资还十分欠缺，希望在国家十二五发展包括2013年财政支出中，加大对远程控制技术在教育行业应用的投资于倾斜。

2.1.3 远程监控

除远程办公和远程教育以外，国内企业在远程监控方面的应用也较为广泛，尤其是在针对企业用户的企业级硬件运维方面的应用。对于银行、制造、电信、互联网等基础架构较为复杂、且企业硬件设备种类多样、数量庞大的企业而言，通常都会采购由原厂服务商提供的远程监控软件及服务，通过服务商远程的专业工程师和领先的技术工具，帮助企业实现24*7小时的实时监控，并针对性地找出系统日常运行中的问题，通过远程控制技术来提供相关的软硬件支持服务、日常的故障查询、常规故障修复等问题。远程监控可以大量降低企业的运维成本。此外，远程监控还应用于企业日常应用，使用规范监控、网络异常流量监控、员工行为监控、商业机密监控等方面，避免由于不规范操作或病毒感染等问题导致企业整体系统出现风险的问题，做到实时监控、遇到问题解决问题。

2.2 远程控制技术的主要功能和作用

远程控制系统的主要功能和作用主要包括实时响应、稳定可靠、可操作性强这三大方面。对于远程控制技术来说，需要满足以上三点才可能被广泛应用于实际生活和工作，远程控制技术为用户提供实时响应的功能，在远程终端的服务器或专业工程师具有自动辨识设备问题或系统风险的能力，能及时将有效信息反馈给客户端，或帮助客户端修复相关错误或提出警示；远程控制技术的可操作性和稳定可靠性对于用户来说是至关重要的，过于复杂的远程操作系统不适用于非专业人士的使用，因此在设计和实施远程控制技术时，需要考虑到操作的便捷性与稳定性。

3 结论

相比较于传统的控制技术，基于网络的远程控制技术更加的灵活，并且对于计算机信息的共享更加充分、降低了周期性专业工程师现场诊断及定期巡检的风险、对于企业的成本控制也大有裨益。

注释

① 陈希武.利用网络实现远程控制的技术分析[J].科技创新导报，2009（1）：34-35.

② 眭春辉.浅谈计算机远程控制技术及常见软件应用[J].电脑知识与技术，2010（27）：7654-7655.

③ 仝世君.网络远程控制系统关键技术设计[J].制造业自动化，2011（3）：204-206.

④ 彭建强.远程控制技术原理与应用[J].华章，2012（36）：306.

网络控制技术 第12篇

尽管如此, 中国人民银行阳江市中心支行 (以下简称“阳江中支”) 科技部门在进行检查时依然发现存在各种各样的问题, 如部分网络客户端缺少网络准入变更审批, 网络客户端清单并没有包含网络中所有使用的IP设备, 部分已经登记在簿的网络客户端使用责任人与当前实际使用人不一致等情况。

一、存在问题分析

(一) 与网络准入安全控制配套的管理制度执行不到位

1. 科技部门没有正式发布适合本单位的计算机系统信息安全管理实施细则、网络安全准入控制细则及流程, 也没有要求各部门必须遵照执行。

2. 科技部门对各部门信息安全日常管理工作缺乏有效的管理和激励措施, 对部门缺乏约束力, 导致强制执行力不足。

另外, 在网络准入控制过程中, 科技人员有时也没有严格按照流程操作, 存在“先接入, 后审批”的情况。

(二) 部门计算机安全员能力和安全规范意识仍待加强

1. 根据信息安全管理规定, 计算机安全使用应采用“谁使用, 谁负责”的原则, 但现实中依然存在人员岗位调动、部门调动后, 计算机使用责任人发生变动但没有向科技部门申请变更的情况。

2. 大部分科室仍然认为只要与计算机相关的理应由科技人员负责, 部门计算机安全员工作被动消极, 对科技人员依赖心理严重。

3. 部分科室由于对信息安全不重视或人员配备问题, 指派不熟悉计算机的人员担任部门计算机安全员, 待有相关工作需执行时, 仍将工作责任推还给科技部门。

(三) 网络客户端准入配置备案信息未及时进行信息同步

1. 在网络准入控制完成后, 需要备案及同步的资料有网络客户端准入审批表、网络客户端配置表、台账登记簿、网络客户端清单等, 由于这些资料均为纸质文档, 容易发生遗漏的情况。

2. 网络客户端配置表一般只有1份, 且由科技部门留存备案, 存在部门计算机安全员未能及时与科技部门进行信息同步的情况, 最终导致部门计算机安全员未能及时更新本部门网络客户端列表清单, 造成信息不正确。

(四) 网络客户端准入申请填写要素多, 缺乏可操作性

由于信息管理要求, 网络客户端配置在进行准入变更审批登记时填写的要素要求齐全, 但实际上很多情况只需要填写几个要素便可。如变更使用责任人, 只有计算机名称需要变更, 其他要素不变, 如果仍要使用工具检测要素并手工填写在审批表上, 则显得有些多余, 缺乏可操作性。

二、解决问题的思路和措施

在分析网络客户端准入控制管理遇到的这些问题时, 笔者认为主要存在两方面的原因, 一是制度管理, 二是技术管理。

技术与管理两者缺一不可, 因此阳江中支决定双管齐下, 以制度为先、技术为辅, 共同规范本单位的网络客户端准入控制管理工作。

(一) 完善网络准入制度相关管理制度建设并落实到位

梳理相关制度, 正式发布计算机系统信息安全管理实施细则、网络客户端接入管理制度及流程, 要求所有部门严格遵照执行。

1. 科技人员必须严格执行制度要求, 未经审批的网络准入变更申请一律不予实施, 防止再次出现“先接入, 后审批”的情况。

2. 加强对部门计算机安全员的能力培训, 鼓励工作认真、态度积极的部门计算机安全员, 对不认真履行计算机安全员职责的部门给予批评。

3. 加大相关信息的报送频率, 提高信息的准确性, 将原先各部门每个季度报送1次的部门网络客户端清单, 更改为每月报送1次。

(二) 使用技术手段协同制度进行网络准入控制管理

1. 阳江中支利用自身的科技力量, 开发了一个不需安装客户端的B/S模式下的“网络客户端准入管理辅助平台” (以下简称“网络准入平台”) 小型网络软件。该网络软件向本单位网络管理员以及部门计算机安全员开放, 各部门计算机安全员可以看到本部门的网络客户端详细清单及准入变更申请台账, 而网络管理员可以看到全辖的情况。阳江中支还将相关管理制度、填报表格、处理流程、要素检测工具、平台操作手册等资料上传到网络准入平台上面, 供各部门计算机安全员下载查阅和使用。通过这些措施解决了信息不能及时同步的问题。

2. 阳江中支要求所有的网络客户端准入变更必须在网络准入平台进行登记备案。而且部门计算机安全员通过网络准入平台可以非常方便地进行操作, 一键便可生成纸质审批表, 没有冗余的操作, 其余只需填写相关审批流程即可。

3. 阳江中支要求各部门每月报送的部门网络客户端清单必须通过网络准入平台打印。清单上面附有自动生成的打印日期, 客观上促使部门计算机安全员依时提交网络客户端清单。另外, 该网络客户端清单需经过本部门领导及科技部门信息安全员的审查, 如果该部门存在网络客户端使用责任人发生变动却没有向科技部门申请变更的情况, 一般都能被及时发现。

三、总结