购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 网络安全状态监测范文

网络安全状态监测精选(九篇)

网络安全状态监测

第1篇:网络安全状态监测范文

关键词:通风系统、在线监测及动态分析预警技术研究

中图分类号:O741+.2 文献标识码:A 文章编号:

1 项目研究目标、研究内容及主要技术指标

1.1 研究目标

通过在井下安设监测传感器,并将监测到的信息通过综合监控系统传输到地面监控中心,同时结合通风网络在线监测及预警分析软件,对通风网络的实时变化进行动态解算,并在系统图上清晰、直观、动态地显示各巷道的风量、风速等,便于通风管理人员实时了解井下通风情况;另一方面实现井下巷道、采掘工作面通风安全状况的预警,提醒技术人员及时采取治理措施,防范事故发生,为矿井通风安全管理及安全生产提供科学、先进的管理工具及技术手段。

1.2 研究内容及技术关键

1.2.1 研究内容

①井下主要通风巷道阻力参数考察

巷道通风摩擦阻力是通风网络解算的基础,为了掌握通风状况和通风阻力参数,必须对通风阻力参数进行测定。通风阻力测定方法主要有压差计法和气压计法,其中压差计法数据处理简单且精度高,但所用设备软件多、携带不便、操作复杂,影响测试效率;气压计方法操作简便,省时省力,但测试数据受风流波动影响大,精度较差。考虑到杉木树煤矿实际情况,加之受到现场实际情况的制约,因此在测试中,两种测试方法同时使用。

②通风网络解算模型建立

网络解算模型的建立是进行通风网络解算的前提条件。利用测风求阻法借助测定的巷道风量推算出该部分的阻力参数,力求在工作量最小的情况下得到全部巷道的风阻;利用计算机技术快速便捷的进行测风路线的选择、原始数据处理、精度检验和平差处理,使测量数据满足解算的需要,在此基础上建立通风网络解算模型。

③通风异常监测及识别模型研究

一是考察通风条件发生变化时,通风监测参数的变化与井下生产的耦合规律,如巷道风阻、风量、风压的变化与采掘、运输、行人、开关风门等的关系,从而建立基于实时监测的通风异常识别模型;二是研究煤与瓦斯突出、风流短路、循环风、风路阻塞等异常情况对通风系统的影响规律,并建立相应识别模型,形成通风系统可靠性动态评价模型。

④矿井通风监测传感器安设

考察、测试通风监测传感器(风速、风流压力传感器)的监测精度、灵敏度及位置、安装方式对监测数据的影响,研究监测位置通风参数变化对其它通风地点的影响规律及范围,调整通风监测传感器布置形式,并规范传感器安设及维护方案。

⑤通风在线监测及分析预警系统建设

利用传感器监测到的实时数据,结合通风网络在线监测动态解算功能,实现动态解算,并在通风系统图上清晰、直观的动态显示各巷道的风量、风速等,便于通风管理人员实时了解井下各巷道的通风情况;同时实现井下巷道通风情况、采掘工作面通风安全状况的预警,以及矿井通风系统可靠性指标的动态计算。

1.2.2 技术关键

①通风网络动态解算技术及解算效率与精度研究;②采掘工作面风压、风量变化与巷道风阻的耦合关系、影响因素等;③巷道风量变化预警研究。

1.3 主要技术指标

①以“采掘工程平面图”为底图,绘制通风系统图;②建立如风门、调节风窗、密闭、主通风机、局部通风机等通风设施图例库;③根据矿井已知风量、主通风机负压、某支路需风量等进行网络解算;④按通风网路解算结果对分支的风流方向、风量、风阻和风压等进行标注;⑤实现根据巷道实时监测及动态解算结果进行风速、风量超限或不足等异常情况的预警。

2通风网络建设方案

2.1基本思路

①测定通风系统基本参数:考察矿井通风系统,对井下主要通风巷道阻力参数进行测定,获取矿井通风系统网络结算基础数据。

②建设矿井通风在线监测分析系统:结合矿井通风系统特征,在现有矿井通风在线监测分析系统基础上,开发矿井通风在线监测分析系统软件,并通过在矿井通风系统主要巷道及关键地点增设风速、风压等传感器,构建矿井通风在线监测分析系统,实现各项功能。

2.2实施步骤

①矿井通风系统基础参数测试;②矿井通风在线监测分析系统构建;③通风系统在线监测;④通风网络动态结算;⑤通风状态异常及通风隐患预警。

2.3关键环节

2.3.1测定通风阻力

①测定方法

包括压差计法和气压计法。

②阻力测定设备

③测定内容

测点绝对静压、基点大气压、测点平均风速、测点大气状态、测点距离、测点巷道断面规格、各测点的标高(由矿方提供)、倾斜压差计系数及刻度读数。

2.3.2 在线监控方案

①矿井通风系统在线监控

在矿井的主要进、回风及风流波动较大的巷道安装风速传感器,监控风量变化,利用通风网络解算软件动态解算风量的变化对其它巷道的影响,并对供风达不到要求的进行提示报警。

②采掘工作面通风在线监控

选取回采工作面和防突掘进工作面作为研究试点,布置相关传感器,进行通风参数监控,研究通风监控参数的变化规律,如采掘、运输、行人、开关风门与巷道风阻、风量、风压的变化等的关系,利用该规律和监控数据对工作面通风安全状况进行评价。

③关键点监控

根据杉木树矿实际生产的需要,在矿井范围内选取关键点连接处进行风压传感器安装,对这些处于非采掘面的区域的突发瓦斯突出或爆炸事故的风压进行监控。一旦发生该类突发事故,且该处风压传感器报警,说明突发事故会进入进风巷,从而可以及时的进行灾变报警。

3项目设备配置要求

除服务器存放机柜和UPS不间断电源、网线、插线板等辅助设备外,另配置设备如下:

4、项目实施效果

通过建立与矿井现有监控系统兼容的矿井通风在线监测分析系统,实时地采集井下通风监控数据,能实时掌握矿井通风系统安全状况,提出矿井风网监测与动态分析预警技术,对矿井通风系统进行动态解算,对风流状态异常及通风隐患进行预警,取得良好效果,为实时掌握矿井通风安全状况提供了技术手段。从而提高了矿井通风系统可靠性。

杉木树矿业公司矿井通风在线监测分析系统建设成功后,将从根本上增强企业安全防护实力,提升矿井安全生产管理水平,提高抵御自然灾害能力,进一步提升矿井管控一体化水平。展望明天,杉木树矿业公司在川煤集团芙蓉公司领导下,切实发挥系统在煤矿安全生产中的组织智囊、管理精英、安全保障作用,为把杉木树矿井建设成真正“高产高效、本质安全、质量效益”的现代化矿井而努力!

参考文献:

第2篇:网络安全状态监测范文

关键词:铁路GSM-R 监控系统 接口监测技术 监测系统的发展

中图分类号: TN929文献标识码:A文章编号:1672-3791(2015)01(c)-0000-00

1 网络概述

随着近年来铁路客运专线及高速铁路不断建设发展,铁路GSM-R通信网络覆盖里程及用户数量大量增加,组网规模日益扩大,网络的安全稳定运行面临越来越多的挑战。此外,在高速铁路区段GSM-R网络还承载了CTCS-3级列车控制、机车同步操控等重要系统的车-地信息传输业务,是列车行车控制系统中的重要组成部分,因而对网络的安全性及可靠性提出了更高的要求。合理有效的配置监控系统及监控手段能够在不影响系统运用的情况下,实时采集数据和信令,快速定位故障点,辅助进行网络分析,最大限度的保障整个网络的安全性和可靠性。

2 目前GSM-R网络中的监控方法

GSM-R网络构成设计的子系统与网元功能实体纷繁复杂,在不同功能实体的设备之间,通过定义不同的接口及特定的协议类型来进行通信。现阶段网络运营管理体系已经采用以下几大类工具。

2.1 设备厂商提供的配套网管系统

网管系统大部分功能是针对各个网元硬件设备运行状态的一种监控,能够提供详细的管理维护指导和描述,但需要通过预先配置用户数据参数才可以对相应的用户消息进行跟踪。对具体问题需要联合多种类网管系统分析才能处理解决。同时要求网络维护人员具有一定的网络维护经验和铁路业务知识。

2.2 信令消息监测分析设备

信令消息分析设备使用比较灵活,一般通过高阻跨接方式对信令传输通道上的消息进行接收和分析。通过配置不同的板卡及内部的协议可以对多种网络接口进行监测,是网络运营维护工作中非常重要的工具和手段。但这类大多侧重于临时性数据分析,接口数量非常有限,不能满足铁路通信网络对涉及行车安全的重点业务流程全程监控的要求。

2.3 针对具体业务流程的监测和记录系统。

此类设备以呼叫确认中心(AC)为代表,能够反应紧急呼叫业务的应用和组织情况记录。但由于触发机制、分析层次等原因,不能够提供业务异常状态的实时网络监控,缺少与网络状态联系的实时有效的分析依据。

2.4 针对GSM-R网络接口的监测监控系统。

2.4.1 GRIS接口服务器

GRIS接口服务器GSM-R核心网分组域的重要组成部分,采用存储转发机制,完成各种应用数据的传送。在GRIS监控终端可以查看车-地之间业务的实时运用情况,通过监测数据流向,判断数据发送异常的故障点。这些数据能够实时显示,并有存储记录,能够为日后分析故障及事故提供可靠的分析材料。GRIS接口服务器还有一定的综合查询统计功能,通过设置不同的参数,能够统计分析进路预告发送成功率、调度命令发送成功率等网络指标,为网络的管理维护提供了依据。

2.4.2 Gb接口监测设备

Gb接口是分组域设备SGSN与基站控制设备BSC之间的接口,是核心网与无线接入网的重要分界。Gb接口监测系统可以方便的实现对移动台的状态跟踪,完成对移动台移动性管理和会话管理,实时查看移动台分组域各种业务的应用情况,通过分析监测数据,可以快速定位故障点。

2.4.3 C3接口监测系统

C3接口监测系统是针对高速铁路列车运行主要涉及的A接口、Abis接口及PRI接口进行实时监测的重要设备,是及时发现处理各种运用障碍,快速定位故障点的重要手段。

C3接口监测系统一般由信号采集部分,信号数据处理系统部分,数据存储部分、综合分析处理部分等构成。数据采集电缆以高阻跨接在链路上,实时采集链路上的消息,在汇接处理后进入数据处理系统;数据处理系统对采集设备收集到的数据进行解析处理,并将处理后的数据存储到数据库,为综合分析系统提供数据源;分析处理系统利用存储的数据进行综合分析、汇总统计,经过处理后提供给维护人员大量实用的数据和分析结果。

系统以预设的用户参数为标识,对所有被监测用户的网络信令进行全程在线实时跟踪,在进行条件查询时,可以关联显示A接口、Abis接口及PRI接口上的相关用户信令消息,使得整个业务流程处于一种可查、可控的状态。同时,由于C3接口监测的结构优势,整个系统在进行基本的信令消息监控之外,还能够实现许多网管设备不具备的功能:

(1)真正实现机车车辆的实时监控,通过综合分析送来最终显示的消息实时监测机车的运行信息,包括机车位置、所在小区电平情况、以及各个接口的状态信息。

(2)可以对网络信令链路的状态进行监测,对话务负荷进行统计,方便对整个网络性能进行统计,分析网络“瓶颈”;

(3)为网络优化提供了参考和依据;有助于用户数据统一管理与报表统计。

3 GSM-R 网络接口监测系统的发展

随着GSM-R铁路移动通信事业的蓬勃发展, GSM-R 网络接口监测系统也在不断的改进和完善。今后的发展方向主要由以下几个方面:

3.1 多样化

能够监控更加丰富和全面的接口种类。目前整个网络分组域的监控手段还较为单一,既有铁路区段也没有配置相关的接口监测设备,随着铁路运输对GSM-R网络安全性和可靠性的不断提高,网络监控系统的也必将不断发展和完善。

3.2 智能化

通过完善综合分析功能,将人工智能中专家系统技术和铁路GSM-R移动通信网络优化技术相结合。通过建立合理的网络优化及故障处理知识库,运用有效的推理机制,增强和丰富系统的分析能力。针对网络中存在的问题,智能化的专家分析系统能够快速定位故障并提供解决方案,分析网络运营数据,向网络优化人员提供合适的优化建议。

3.3 综合化

通过完善的监控网络结构和功能、利用数据资源的优势,可以对网络信令链路的状态进行监测,对话务负荷进行统计、对整个网络性能进行统计,分析网络“瓶颈”,有助于对用户数据进行统一管理和有针对性的报表统计。

参考文献

[1] 丁建文,钟章队,接口监测系统在GSM-R运营维护中的应用[J].中国铁路,2011,8

[2] 董丽,GSM-R数字移动通信网络接口监测系统的完善与应用[J].铁道通信信号,2014,7

第3篇:网络安全状态监测范文

1.1调度数据网结构

广西电网调度数据网络以星型结构组网,依次分为核心层、汇聚层和接入层。核心层为广西电网公司电力调度控制中心(以下简称中调),是整个调度数据网的核心。汇聚层包括南宁等14个供电局电力调度控制中心(以下简称地调)及其第2汇聚节点,采用双归属方式连接至核心节点,其汇聚层网络流量向中调汇集。接入层节点主要包括广西电网内的500kV、220kV变电站及部分接入电厂。各接入节点按2点接入原则就近接入地调汇聚节点和该地区第2汇聚节点,其接入层网络流量向汇聚节点汇集。广西电网调度数据网络如图1所示。图1广西电网调度数据网络

1.2网络环境分析

从业务的角度分析,根据南方电网《二次系统安全防护总体方案》的要求,广西电网调度数据网在业务侧已经基本实现了“横向隔离、纵向认证”。利用MPLSVPN技术在业务侧划分为安全I区和安全II区,其中,安全I区是电力生产的实时业务,纵向上通过加密装置进行安全认证;安全II区是电力生产的非实时业务,纵向上部署了硬件防火墙作安全防护。在I区与II区、II区与其他网络之间部署了电力系统专用的隔离装置进行隔离。从设备管理的角度分析,广西电网调度数据网还存在网络设备管理区。网络设备管理区主要用于管理整个调度数据网的网络设备,对接入到设备管理区的网络设备可直接控制。日常可对网络设备进行配置更改,同时还可查看网络设备的配置、故障、运行情况和网络链路情况等。业务安全方面,调度数据网划分的2个安全分区已具备一定的安全防护能力,且配置了网络安全隔离策略,但缺乏入侵检测、行为审计、流量监测以及链路管理等安全防护手段。调度数据网设备管理区是设备安全管理最重要的环节,但也是目前比较薄弱的环节,这是因为对接入设备管理区的网络设备可以直接进行更改配置和重启等危险操作。除通过建立运维管理制度进行规范外,还需要对网络设备进行实时监测,统一展示全网设备的运行情况,保证网络出现故障或安全事件时运维人员可知、可控和可查。根据以上分析,调度数据网安全分区和网络设备管理区均存在网络安全防备不足的问题,难以保障调度数据网长期、安全、稳定运行。

2广西电网调度数据网网络安全风险分析

调度数据网关注的网络安全课题有:保障调度数据网每台网络设备运行稳定;监测核心链路流量传输情况;预防每台网络设备故障和网络安全风险的发生;快速应对网络设备故障或者网络安全事件的发生;利用收集到的数据快速定位到导致网络设备故障和网络风险的源头;加强调度数据网入侵防御体系等。根据广西电网调度数据网的实际情况,下面列出几种潜在的网络安全风险。

2.1网络设备运行情况不明

路由器和交换机等网络设备是调度数据网的基础组成部分,只有这些网络设备稳定运行,才能保证整个网络数据业务的实效性和连续性。目前,尚未实现对网络设备进行全方位监测,设备发生故障后,管理员才发现该设备出现问题,设备的管理方式很被动。在被动的管理方式下,管理员难以掌握设备的CPU利用率、内存占用率、双电源、风扇、温度等日常运行指标信息,无法判断设备是否运行良好,从而难以预防网络设备故障或网络安全风险的发生。

2.2网络设备故障管理方式不科学

调度数据网遵循“抓大放小”的原则,对设备脱管、链路通断和设备宕机等大故障会进行及时处理,而对设备CPU超标、内存超标、端口流量超标和温度超标等小故障未进行有效管理,这种故障管理方式不够科学。网络设备具有数量庞大、品牌众多和使用时间较长等特点,由于处理设备大故障需要花费较多的人力和物力,因此设备小故障的监测与处理常被忽视。如果设备的小故障不加以防范及处理,往往会导致大故障的发生,例如:设备温度过高会导致设备不停地重启,进而导致业务数据传输时断时续。不对设备大、小故障进行全方位管理,很难防范导致故障发生的潜在问题和安全隐患。

2.3网络缺乏主动的入侵防御

分析广西电网调度数据网网络结构,无论是核心层到汇聚层,还是汇聚层到接入层,均缺乏一套积极主动的入侵防御技术体系,仅依靠二次系统安全防护中的横向隔离、纵向认证来进行安全防护,难以达到入侵防御“零安全事件”的最高要求。无法识别数量庞大的业务数据是否携带潜在的安全威胁,如常见的木马、蠕虫和黑客病毒等。网页浏览、电子邮件、文件传输和网络下载是感染病毒最常见的途径,木马、蠕虫和黑客病毒等网络安全威胁往往隐藏其中。而防火墙(或加密装置)通常只是业务数据的第一道防线,起到流量流入、流出过滤的作用,无法识别流量包裹中的网络安全威胁,不能起到有效的防御作用。不利用认证、预警、病毒扫描和流量检查等多元化的手段建立一个横纵、有效的入侵防御体系,难以预防调度数据网潜在的网络安全隐患。

2.4整网缺乏网络内部安全防护

广西电网调度数据网是独立的电力广域网,与和互联网连接的网络相比,相对较安全、干净,易于管理,但存在网络内部安全威胁。网络内部安全威胁大致分为3种:人为恶意攻击、人为无意失误、应用系统存在的漏洞。人为恶意攻击是网络安全面临的最大威胁,即在不影响网络的情况下,破坏电网业务系统和数据的有效性和完整性或者通过截取、窃取、破译等手段获取系统重要信息。人为无意失误如管理员进行了非常规操作,会威胁网络安全运行。而应用系统存在的漏洞多为应用系统开发人员为了方便而设置的“后门”或者系统本身存在的漏洞,会成为黑客攻击的首选目标。调度数据网的安全防护系统既要对网络外部建立入侵防御,还要在网络内部做好安全威胁防护。目前,调度数据网络安全防护体系未对网络内部的正常WEB页面访问、非法授权访问、用户数据访问、系统数据库操作审计和网络设备操作审计等进行多种手段的流量监测,当网络出现内部安全威胁时无法有效防御和控制,事后也无据可查,这是调度数据网内部的重大网络安全隐患。

2.5网络运维工作量大

运维人员负责保障全网的调度数据业务稳定、安全运行,但整个调度数据网近400台网络设备,运维人员要高效、出色地完成电网调度数据网的运维任务,工作量很大。使用目前的网络管理软件,除每日正常网络维护工作外,需要1个运维人员花费2~3天完成每月的定期检查工作,此外,还需要3~5个运维人员花费约1个月时间完成每年一次的调度数据网近400多台设备的定检工作。每月定期检查内容包括检查中调到14个地调(包括第1、2汇聚节点)链路运行情况;查看链路峰值比特率、峰值利用率;统计中调到各地调实时业务和非实时业务时延情况。年度设备检查包括核心层路由表检查、物理链路状态检查、链路性能检查、设备日记信息检查、设备运行状态、配置检查和网络路由协议状态检查等20多项定检内容,这也是网络运维工作量最大的一项。

2.6网络运维与网络安全缺乏集中管理

为了满足广西电网调度数据网信息安全建设工作的需要,专业的网络管理系统和网络安全系统投入使用。但在系统的应用过程中,发现网络管理系统只负责网络维护和设备故障处理,而网络安全系统只负责处理网络中的安全事件,两者间并无联系,调度数据网同时运用多套系统反而增加了网络管理上的难度。不同的系统无法通过网络安全管理平台进行集中管理,降低了运维工作效率,增加了工作量,是调度数据网安全建设急需解决的问题。

3广西电网调度数据网网络安全管理探讨

广西电网调度数据网的安全防护遵循“只监视、不控制”的原则,要求网络可靠、稳定、安全运行,确保调度数据业务稳定、不间断运行。为了不影响调度数据网业务数据正常运行,网络安全管理平台采用旁路部署方式挂在中调的核心路由器下。广西电网调度数据网网络安全管理的目标是,通过采取适当的控制措施,保障基础网络的安全性,确保调度数据网网络不发生安全事件、少发生安全事件,即使发生安全事件也能有效降低事件造成的影响并快速应急响应。通过建设集中的网络安全管理平台,实现对调度数据网网络设备状态的监测,对安全事件、设备故障、入侵行为、网络流量和链路状态等进行统一管理、分析和监测,再通过关联分析技术,使系统管理人员能够迅速发现、定位、解决问题,有效应对安全事件的发生。

3.1设备故障管理

网络安全管理平台可对所有网络设备进行实时监视,对设备故障进行统一管理。网络安全管理平台采用SNMP技术分地区获取网络设备的性能状态信息,并写入数据库由平台统一进行处理、分析,对满足故障条件的信息按地区进行展示和通知,便于管理员及时、准确地发现各地区的故障情况。同时,当网络安全管理平台监控到设备持续故障数超过规定阈值时,这类故障将上升为安全事件,会按地区进行展示和通知。网络安全管理平台故障管理的对象除网络设备外,还有安全设备、主机系统、应用系统等多种类型的设备,管理员可根据网络需要灵活应用。

3.2设备状态监视

为使设备自身故障或人为误操作造成的设备运行异常有据可依、可查,网络安全管理平台对设备运行状态了进行全程、多维监视。

1)设备系统监视。设备系统日志会记录系统中硬、软件和系统问题的信息。网络安全管理平台可通过设备Syslog的外发方式或Telnet的主动获取方式收集设备的系统日志。中调到各地调汇聚节点的链路带宽充足,汇聚层以上的设备采用Syslog外发方式获取系统日志。由于中调到各接入层设备带宽一般为4Mbit/s或2Mbit/s,为防止多台设备出现异常时大量外发日志占用接入层链路带宽的特殊情况发生,接入层设备采用Telnet的主动方式获取系统日志,只有当平台探测这条链路为空闲时才允许平台执行Telnet操作。网络安全管理平台对收集到的系统日志进行统一处理、分析,可按电网告警级别与系统日志级别,对应在各地区的安全事件或者告警信息中进行显示,显示内容包括设备自身告警记录和人为操作记录的详细信息。

2)设备配置监视。网络设备配置分为:运行配置,即设备当前运行的配置;启动配置,即设备启动时加载的配置。网络安全管理平台可以通过手动获取或定时获取等方式,利用Telnet技术主动连接设备,获取当前设备的运行配置和启动配置。设备配置监视的主要作用有:对比当前设备运行配置与启动配置是否一致,如配置不一致,说明该设备配置被更改后未进行保存;自定义选择近期设备运行配置或启动配置历史版本进行对比,由此可掌握近期设备的运行配置或启动配置历史变化情况;自定义选择2个及以上设备的运行配置或启动配置进行对比,由此可发现各设备配置的区别。

3.3入侵防御检测

为应对调度数据网的内部威胁,防火墙对流入、流出调度数据流量进行过滤,但这不是防护入侵行为的有效手段。入侵检测防御系统不仅能针对数据流量IP进行过滤,还能对基于应用层出现的木马、后门及各种恶意代码、远程恶意控制等进行检测。入侵检测防御系统采用旁路部署的方式,使用流量镜像技术将核心路由器上中调与各地调间的流量镜像连接到入侵检测系统进行统一处理、分析,将分析结果及已获取的安全事件传递至网络安全管理平台进行展示,确保被发现的入侵检测行为能得到有效控制。

3.4流量和链路监测

如果不对调度数据网的网络流量进行监测和跟踪,网络安全管理员就无法掌握中调到各地调网络流量的情况,为此,引入流量监测系统。该系统采用旁路部署的方式,通过采集中调与各地调间(包括第2汇聚点)的镜像流量进行统一处理、分析和统计。该系统除了能对网络流量进行监测外,还能对通道链路进行监测,降低了广西电网调度数据网的安全风险,防患于未然。

1)网络流量监测,监测、采集网络流量并进行处理、分析和统计,展示最近1h的流量趋势,也可基于源IP、目的IP、应用协议和会话等多维角度展示网络流量的排名情况。为满足网络防护的工作需要,管理员可自定义时间段、源IP、目的IP和应用协议等条件查看具体网络流量的记录。

2)通道链路监测,与网络流量监测一样需要对采集的网络流量进行处理、分析和统计,不同之处在于流量监测系统对中调与各地调间的链路比特率进行采样(5min/次),同时通过Ping对应地调网关的方式计算出此链路的响应时间。系统获取通道链路的比特率和响应时延后,以图表方式展示指定时间或1个月内链路峰值比特率、链路响应时延趋势。

3.5设备一键定检功能

调度数据网需要进行每月链路定期检查及设备年度检查,以往是靠人工手动来完成大量设备的数据采集、处理、统计和整理等工作,花费时间长、投入人力多。而网络安全管理平台提供了设备一键定检功能,大大提高了运维人员的工作效率。利用网络安全管理平台,每月链路定期检查实现了中调到14个地调56条链路数据实时检查,包括链路峰值比特率、峰值利用率、实时业务时延和非实时业务时延等,实现数据实时业务采样,并在安全管理平台上以动态图形展示。数据输出方式简单、灵活、易操作,输出时间只需几分钟。链路检查报表能按指定时间段输出链路的检查结果。每年设备定检实现了“一次录入,多年受益”的效果,只需将所有的网络设备录入到网络安全管理平台,24h后即可在平台中输出设备链路状态检查、链路性能检查、设备日志信息检查、设备运行状态、配置检查、端口资源统计和网络路由协议运行情况检查等结果报表。运维人员对报表中结果异常的设备进行核查,核查结束后关闭设备定检日志源,设备年检工作完成。使用网络安全管理平台,每年全网设备定检工作只需几天时间就可完成,大大减轻了运维人员的工作量。

4结语

第4篇:网络安全状态监测范文

关键词:防火墙;包过滤;;网络安全

中图分类号:TP393.03 文献标识码:A 文章编号:1674-7712 (2012) 10-0138-01

一、防火墙的概念和原理

防火墙原来就是在保护房屋安全的一到屏障,在当今网络社会,防火墙就是各个计算机与互联网连接方面通过一系列的软硬件设备组成的访问控制技术,用于防止外面的互联网对局域网的威胁与入侵,位计算机正常运行提供安全保障。防火墙的主要目的就是为保护网络安全而把内网和外网分隔开的。

二、防火墙的分类

防火墙技术可以分为好多类,但是根据防火墙对数据的处理,我们可以把防火墙大致分为包过滤防火强和型防火墙两大体系。

(一)包过滤防火墙:数据包过滤技术是防火墙位系统提供安全保障的主要技术,主要是通过对进出网络的数据包进行检查过滤控制,从而对数据进行选择。包过滤型防火墙是作用于网络层与传输层之间通过路由来检测数据包的技术。因为每个数据包都包含有特定信息,而路由器就只是对数据包包头的信息进行检测,具有较高性价比。包过滤防火墙又分为静态包过滤、动态包过滤技术和状态监测防火墙。

1.静态包过滤:最传统的包过滤防火墙就是静态包过滤防火墙,静态包过滤规则是在启动配置好的,只有系统管理员才可以修改的一种过滤规则。这种防火墙就好似根据原来定义好的过滤规则来审查每一个数据包,把每个数据包与规则表中的信息进行匹配来审核,以便确定其中是否与某一条包过滤规则匹配。

2.动态包过滤:这种防火墙相比较静态包过滤防火墙来说最大的有点就是他可以动态的监测用户可以使用的服务范围,比较灵活,而且只有符合条件的网络服务才被防火墙打开端口允许访问,在结束后再关闭端口。这种技术的包过滤防火墙是对通过的每一条连接进行跟踪监测,然后再根据需要在过滤规则中可以动态的增加或者更新规则条目。这就是采用了基于连接状态的监测和动态设置包过滤规则的方法。

3.状态监测防火墙:状态监测防火墙把网络中的不同链接阶段表现为状态,状态的改变表现为连接数据包不同标志位参数的不同。状态监测防火墙在根据规则表检查完数据包后,再根据状态的变化检查各个数据包之间的关联性。防火墙的内部放置了分布探测器,这些探测器安置在各种应用服务器和其他网络节点上,不仅能防范外网的入侵也能制止内患,具有双重防范作用。

(二)型防火墙:防火墙是为对每一个用户的请求进行处理,是用一个比较安全的应用程序来处理,然后再传递到真实的服务器上,就是通过先处理安全后再转发。真实的服务器应答后再将答复发给最终用户。型防火墙工作在应用层上,这样就使内网外网间阻断,任何想进入内网的数据流都必须经过审核,使得系统更安全不易遭受攻击。应用网关防火墙起到了一个特殊的作用,它首先对用户发来的服务请求进行解析,当服务通过审核后防火墙就再把数据封装成数据包,让防火墙代替用户把服务进行转发。电路级网关防火墙是工作在传输层上的,在传输层上对通信端点之间转换数据包。自适应服务器和动态包过滤组成自适应型防火墙。

三、几种防火墙的技术比较

(一)包过滤防火墙是对数据包本身进行过滤的而不是针对具体的网络服务,所以包过滤防火墙能适应于所有的网络。而且包过滤防火墙主要是通过路由器进行数据包检测的,大多数路由器都集成了数据包检测的功能,所以包过滤型防火墙的价格比较低,性价比很高,处理速度也比较快。但是,这种防火墙安全性并不是很高,难以对用户的身份进行辨别等缺点。

(二)型防火墙是工作在应用层上的,对网络连接中的内容可以进行监控,他在一定程度上断开了内外网络的连接,使得网络活动更安全,但是它在对网络中更深的内容进行检测的时候也使得它的速度减慢,当数据的吞吐量比较大事容易出现问题,所以不适用于高速网。

四、防火墙的局限性

防火墙对我们信息的正确性与安全性有着重要的作用,防火墙是网络安全不可或缺的一部分,那么防火墙的局限性在哪呢?1.防火墙是防外不防内——防火墙可以阻止外部网上的不安全用户对内网的攻击和危险入侵,也可以对内屏蔽内网上连接外网的重要站点和端口。但是却很难解决内部网的管理人员的安全问题,便是防外不防内。而有些统计表明,网络上的安全问题绝大一部分就是来自于内部网络管理人员。2.防火墙管理和配置有难度——相信第一次配置防火墙的人员都有这样经验,它的配置和管理相当复杂,有一系列的问题。因此对于管理人员来说它的维护就更要求要熟悉防火墙的系统配置,对它要有深刻了解才能更好的对它进行安全的管理。它的安全策略无法集中地管理。3.防火墙的访问控制不够彻底——防火墙不能对网络连接中的所有数据包进行拆分检查只能实现粗粒度的访问控制,并且不能与网络内部的其他安全措施进行集中使用。

五、防火墙未来的展望

防火墙是整个网络安全系统中很重要的一部分。在现实生活中,要把防火墙与其他技术进行配合使用才能更好地保证网络安全,当今社会,最重要最有价值的就是数据,要保证它的安全与正确,要更加注重防火墙的发展,才更能保证在信息安全系统中的堡垒作用。各种防火墙技术各有各的优缺点,防火墙技术的发展可以从这几个方面着手:1.改进防火墙的体系结构,防火墙是防外不防内的,在防止外部危险网络入侵的同时也要加强对内网的管理和控制,可以对防火墙进行分布式的管理。内部网中对防火墙造成的安全隐患更大些,因此要即时改进更新防火墙的体系结构来保障局域网的安全。2.深度过滤与检测速度的提高。深度过滤技术是对数据进行更深层次的检测,要是进行深度过滤就是要以付出检测速度为代价,要实现两者的结合就是最好。

参考文献:

[1]马春光,郭芳芳.防火墙、入侵检测与VPN[M].北京邮电大学出版社

[2]宁章.计算机及网络安全与防护基础[M].北京航空航天出版社

第5篇:网络安全状态监测范文

Talking about Industrial Internet Security Service Cloud Construction

郭宾、雷濛、朱奕辉

(杭州木链物联网科技有限公司,杭州余杭 311100)

摘要

本文基于对工业互联网安全的调研结果,梳理了工业互联网安全的发展现状及面临的四个安全问题,创造性地提出工业互联网安全服务云的概念,旨于满足企业端和监管单位在工业互联网建设中提出的安全新需求。同时,深入探讨了安全服务云的五个发展方向,为工业互联网安全发展提供一个新的思路。

Abstract

Based on the survey results of industrial Internet security, this paper combs the development status of industrial Internet security and the four security issues it faces, and creatively proposes the concept of industrial Internet security service cloud, which aims to meet the needs of enterprises and regulatory units in the construction of industrial Internet New security requirements. At the same time, the five development directions of the security service cloud are discussed in depth to provide a new idea for the development of industrial Internet security.

关键字:态势感知;工业互联网安全;云服务

Key words:NSSA;Industrial Internet Security;Cloud services

一、前言

工业互联网是智能制造发展的基础,可以提供共性的基础设施和能力。我国已经将工业互联网作为重要基础设施,为工业智能化提供支撑。然而近年来工业互联网安全威胁和风险日益突出,各种网络安全事件日益频发,高危系统安全漏洞威胁不断。网络安全已经上升为国家安全的核心组成部分,并在经济和社会发展的关键环节和基础保障方面发挥日益重要的作用。

二、工业互联网安全现状

在工业互联网总体框架下,安全既是一套独立功能体系,又渗透融合在网络和平台建设使用的全过程,为网络、平台提供安全保障。工业互联网实现了全系统、全产业链和全生命周期的互联互通,但打破传统工业相对封闭可信的生产环境的同时也导致被攻击机会的增加。

目前工业互联网安全问题主要体现在以下四个方面:

(1)安全责任界定和安全监管难度大。工业互联网业务和数据在工控系统层、业务监管层、云平台层、工业应用层等多个层级间流转,安全责任主体涉及工业企业、设备供应商、工业互联网平台运营商、工业应用提供商等。

(2)平台结构复杂,问题涉及面广。海量设备和系统的接入、云及虚拟化平台自身的安全脆弱性、API接口利用、云环境下安全风险跨域传播的级联效应、集团网络安全顶层设计缺失都会带来新的风险与挑战。

(3)终端安全形势严峻。传统工业环境中海量工业软硬件在生产设计时并未过多地考虑安全问题,可能存在大量安全漏洞;大部分核心设备以国外设备为主;重要工业设备日常运维和设备维修严重依赖国外厂商,存在远程操控的风险。

(4)数据本质安全得不到保障。通过工业数据的分析和应用,对生产进行降本增效是目前的主流思路,但数据来源涉及各个网络层级和业务环节,导致数据存在的范围和边界发生了根本变化,给数据安全带来巨大挑战。

 

三、安全服务云建设需求分析

基于上述现状,本文提出互联网安全服务云的概念,积极构建一个面向关键信息基础设施的立体化、实时化和智能化的网络安全保障系统,持续加强工业互联网安全防御能力、感知能力、管控能力、处置能力和威慑能力,提高企业抗网络安全威胁风险能力,设计需求主要来自企业和监管部门两方面。

企业端:

(1)现阶段主流的安全产品以单兵作战为主,只能对区域的流量信息进行分析处理,对于未知威胁的处理能力则非常弱。需要有效利用云端威胁情报数据,从同类企业数据中进行发掘和分析攻击线索,极大提升未知威胁和APT攻击的检出效率。

(2)传统安全防御体系的重要思想是防御,处于攻击最前沿的网端是安全建设的重点。但随着APT攻击的发展,这样的防御思路已逐渐不能满足要求,需要通过引入威胁情报和规则链技术,提升企业积极防御的能力。

(3)传统安全防护设备进行监测时一般使用通用规则,这种规则库对于与企业业务关联性较强的个性化安全异常识别能力较弱。需要结合场景化威胁检测技术,基于企业用户的业务环境构建威胁检测和响应模型,及时发现企业内部的业务安全风险。

监管部门:

(1)工业互联网安全法规陆续,监管部门存在网络监管的刚性要求,需要对所辖企业中的威胁事件、重要网络资产和终端三个维度的结合,输出各个层面的统计分析结果,实现全方位的网络安全态势感知,协助企业信息部门看清业务与网络安全的关系。

(2)利用数据采集、数据流检测、威胁情报等技术手段,分析和发现攻击行为、流量异常等安全威胁,可以综合判断安全态势,弥补单一企业用户在信息安全数据整合能力、威胁行为预判能力上存在的短板。

(3)需要建立研究成果、威胁情报、漏洞等最新安全信息推送机制。监管单位一般建有完善的安全知识库,推送机制有助于知识库发挥最大功效,帮助企业运维人员安全意识和技能素养,增强企业安全工业互联网防护。

 

四、           安全服务云发展方向

(1) 强化核心信息基础设施网络安全态势监测能力建设

对信息基础设施网络安全防护措施进行改造升级,采取技术手段健全对漏洞嗅探、攻击侵入、病毒传播等危害网络安全行为的防范措施;实现对网络管理对象的全面纳管和实时监测,建立统一的网络安全运行状态监测记录、操作日志、应用性能和流量数据采集机制。

(2) 强化网络安全威胁信息通报能力建设

对关键信息化基础设施、传输网络和信息应用进行统计和梳理,建立健全备案登记制度,明确网络安全主责单位和责任人。依托对国家权威部门及市网信办监测预警和信息通报系统,建立统一的网络安全威胁情报、系统漏洞和恶意软件收集、评估和分发工作平台。

(3)强化网络安全隐患分析预判能力建设

在实时采集网络运行状态监测记录,全面收集网络安全威胁情报基础上,利用大数据分析技术构建统一的网络安全态势实时分析和监测预警平台。通过分布式实时计算框架对全网全量安全基础信息进行关联分析,及时发现已知安全威胁,确定安全事件的攻击阶段、攻击路线与影响范围,为应急处置提供科学的决策依据。通过基于机器学习构建的网络安全风险评估模型,预测网络安全未知隐患发生的可能性、影响范围和危害程度,有效强化技术威慑与主动防御能力。

(3) 强化网络安全攻击应急处置能力建设

建立健全网络安全事件应急预案,按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施;建立健全网络安全攻击事件应急处置工作平台和技术手段,发生网络安全事件,能够立即启动网络安全事件应急预案,快速组织应急响应专业技术人员,对网络安全攻击阶段进行精准评估,对网络安全来源进行快速研判,采取技术措施和其他必要措施及时消除安全隐患,防止危害扩大,并按照有关法律、行政法规的规定进行上报。

(4) 强化网络安全事件留存取证能力建设

在落实《网络安全法》相关规定基础上,对系统采集的关键信息基础设施、网络和业务应用安全运行状态监测记录、操作日志和流量数据进行全量留存,建立网络安全数据检索和关联查询平台。支持在发生涉及违法违规网络安全事件时配合相关部门进行调查取证;对重要应用系统和数据库进行定期容灾备份和统一归档存储;支持在发生重大网络安全事件时能够快速进行系统恢复,减少可能的数据丢失风险和损失。

(5) 强化网络安全服务能力建设

围绕企业安全能力提升各环节将面临的需求,提供全方位的安全服务。通过安全咨询切入,帮助企业了解安全相关的政策要求;通过风险评估帮助企业梳理清晰安全现状,并进行有针对性的安全建设对现有问题进行整改;通过渗透测试对建设后的安全防护能力进行准确评估;通过提供安全运维和漏洞扫描服务,协助企业开展日常网络安全工作;通过应急演练提高企业人员安全技能;通过安全培训提高企业人员整体安全意识和技能水平。

 

五、           结语

为切实保障工业互联网建设稳步推进,提高企业工业互联网安全防护能力,在充分调研企业工业互联网安全现状和需求后,发现普遍存在“数据采不上、状态看不到、建设成本高、安全服务少,安全隐患多”等典型问题,工业互联网安全工作难以开展。

本文提出的工业互联网安全服务云概念,可以整合区域内工业企业共性需求,改变传统一个单位建立一套态势感知平台的模式,充分发挥工业互联网的共享特性,将区域内的企业看作一个整体,每个企业作为一个节点,通过部署多维探针设备,监测并汇总数据后由监管单位进行统一态势感知分析,提升整个区域内的安全态势感知水平。通过与国家监测预警网络、应急资源库、信息共享平台和信息通报平台进行技术对接,协同企业开展工业信息安全治理工作,实现信息的安全、可靠、及时共享,形成快速高效、各方联动的信息通报预警体系。

 

[1] 工业互联网产业联盟(AII). 工业互联网体系架构[R]. 北京:工业互联网产业联盟, 2016

[2] 工业和信息化部.工业和信息化部贯彻落实《国务院关于积极推进“互联网+”行动的指导意见》的行动计划(2015-2018)

第6篇:网络安全状态监测范文

【关键词】全寿命周期 管理 智能 变电站

智能变电站由先进、可靠、节能、环保、集成的设备组成,以高速网络通信平台为基础,自动完成信息采集、测量、控制、保护、计量和监测等基本功能,并可根据需要支持电网实时自动控制、智能调节、在线分析决策、协调互动等高级应用功能。

一、全寿命周期成本设计理念在变电站设计中的应用

根据以往的工程数据统计表明,在整个工程项目全寿命周期中,早期设计阶段是节约投资的最佳阶段;随着项目进展,投资节约的可能性也逐渐减少。

由此可以看出,工程设计是工程建设的灵魂,是工程寿命周期的起点。将全寿命周期管理理念引入设计环节,能够有效地避免设计阶段可能发生的短期行为,使设计人员从一开始就立足于工程项目的全寿命,提出多种技术方案进行比较,从中选出技术可靠、经济合理的最佳方案,从而实现项目整个寿命周期内的效益最大化。

变电站全寿命周期成本设计的目标是在保证变电站可靠运行的基础上,使变电站全寿命周期成本最低,而全寿命周期成本需综合考虑变电站建设费用及运行、维护、改造、更新,直至报废的全过程费用。因此变电站的LCC包括初期建设投资、运行和维护、故障损失成本。其LCC的表达式为:

式中各分项分别表示:CI为最初建设投资成本,包括购买设备和安装、调试费;CO,CM,CF,CE分别是从变电站系统调试后算起,整个经济运行期间所支付的运行成本(含定期巡视、检修等)、维修成本和故障引起中断供电的损失成本及扩建成本;CD是工程的残值,即报废成本。工程项目的最初建设费用往往得到重视而工程项目的使用费用及故障损失成本容易被忽视。实际上,许多变电站工程项目的使用成本大于制造成本。在资产使用过程中,因发生故障进行修理而不能正常使用所造成的损失,也要计入全寿命周期费用之中。

考虑初始成本时间和未来成本时间的时间周期是不同的,即初始成本发生在工程寿命周期的基年,未来成本可能在基年至工程寿命周期末之间的任何一个时间发生。因此在工程项目的LCC比较中,考虑资金的时间价值,通常以净现值(NPV)来表示LCC分析的结果。项目全寿命周期的净现值计算公式为:

保证产品质量,提升其可靠性是变电站设计的重中之重。基于全寿命周期成本设计理念的智能变电站设计目标是优化各项成本:一方面尽量控制必须增加的成本(如大量采用新设备面临的成本增加);另一方面充分利用智能变电站因提高系统整体的集成度、实现状态检修等而降低的成本,使工程的LCC最小,使整体经济效益最优。

二、智能变电站网络化保护及一、二次设备状态检修技术方案

1、智能变电站网络化保护方案

网络化保护及控制技术是指利用变电站中过程层GOOSE机制、间隔层GOOSE机制,对变电站自动化系统进行保护与控制。GOOSE网络机制能够实现变电站间隔层二次设备的信息传递,为二次设备的应用功能提供技术支持。该技术主要功能包括网络化备自投。网络化母线保护、网络化低频低压减载、网络化间隔层五防、网络化录波及电表等,以上所有网络化保护控制出口均采用GOOSE机制的跳合闸技术,能够自动化实施跳合闸操作。在智能变电站中,为网络化的母线保护提供了便利,在间隔保护单元可以实现母线保护功能,根据GOOSE网络机制将各间隔故障信息收集并输送间隔层设备,由间隔层对其运行状态进行鉴别和诊断,若发现母线故障,便自动跳闸,从而保护母线的安全,网络化的母线保护配置原理

网络化保护与控制技术有利于保障母线保护的快速性与及时性,提高系统集成性,减少设备数量与电缆用量,节省了占地空间,降低初期建设项目成本。智能化的操作系统人工干扰小,自动化水平高,缩短了电力系统恢复时间,降低故障带来的损失,使管理效率得到提高。

2、智能化的高压设备

智能化的高压设备是智能变电站的主要组成部分,能够对设备的运行状态进行实时监测和控制,设备状态检修是根据监测设备运行状态,自动做出一系列的诊断状态信息,对设备的状态进行评估,将运行风险控制在设备故障发生前,设备状态检修是一种事前的检修防范方法。高压设备状态检修可分为实时网络监测、故障诊断、实施维修这三个阶段,高压设备状态监测涉及变压器、断路器、母线、避雷器、直流电源系统、容性设备等电力设施的监测。高压设备状态检测是通过计算机技术、传感器技术、控制器技术、数据采集技术等对各项高压设备进行状态监测,监测范围包括压力、温度、密度、机械性能、工作状态、绝缘性等数据的手机,通过分析和研究这些实时收集的设备状态数据,对一次设备的异常情况、具置、严重性、发展等进行评估,采取相应的措施,将风险隐患进行规避。

3、智能化的变电站二次设备

智能变电站二次设备包括继电保护装置、监控装置、远动装置等,在变电站运行的过程中,一旦二次设备发生故障,就会对一次设备安全运行带来一定的威胁,由此可见,二次设备的状态检修对智能变电站设备的稳定、可靠运行有着重要的作用。二次设备状态监测包括交流测量采样系统、通信管理系统、微机继电保护装置的自检、直流控制及信号系统等内容,对流变、压边的二次回路进行监测,保证其良好的绝缘性,不存在线路故障问题,监测直流控制及信号系统,保证直流操作回路、分合闸回路指示正常。对二次设备状态进行实时监测,并将监测信息输送至控制中心,由工作人员对二次设备的运行状况进行分析和评估,观测二次设备是否存在潜在故障,及时调整检修计划,制定相应的解决措施,降低风险事故发生率,故障电力系统的安全运行,延长设备的使用周期,降低变电站全寿命周期成本。

结束语:

智能变电站主要技术方案体现了全寿命周期理念的充分应用。并通过详细的技术经济比较,得出了推荐的全寿命周期成本最优的方案,使工程全寿命期内整体的技术性和经济性都得到明显的优化和提高。由此可见,运用全寿命周期理念指导工程建设,从工程项目的整体出发,反映项目全寿命期的要求,可大大提高项目管理的整体效率和效益。

参考文献:

[1]宋焕东 变电站全寿命周期管理探索[J] 科技创新与应用 2013(12)

[2]宋友文 智能变电站一次设备智能化技术探讨[J] 中国电力教育 2012(6)

第7篇:网络安全状态监测范文

【关键词】网络运行状态;网络管理软件;主动监测;被动监测

随着网络技术的发展,网络产品性能不断提升,价格不断下降,很多中小企业都建立了自己的企业网络,大学校园更是很早就建成了自己的校园网络并且功能在不断的丰富。网络的正常运行离不开管理人员对网络运行状态的实时监测,小型局域网网络状态发生改变时用户会立即察觉到,但如果是规模较大的网络发生故障,用户就很难察觉到。网络管理员作为网络用户的一员,如果没有有效的监测手段同样很难察觉到哪部分网络已出现故障。对于规模较大的校园网,对网络运行状态进行实时监测是快速发现问题,处理问题的有效手段,同时也能避免重大故障的出现。

一、校园网构成

(1)网络结构。校园网络通常分为三层结构:接入层、汇聚层和核心层。接入层为用户提供网络接入端口,主要用于接收来自用户的信息,是离用户最近的网络设备。接入层设备功能简单,一般使用二层交换机即可。该层设备出现故障影响的只是接入该设备的用户,损失较小。汇聚层位于接入层和核心层之间,连接多台接入层设备,提供各种安全策略和路由决策功能,数据处理运算能力强大,端口转发数据速率快,通常使用三层交换设备作为网络的汇聚层。汇聚层设备一旦出现故障,将造成大范围内的用户网络中断,甚至全网部分业务中断,损失较大。核心层在校园网络中的核心位置,负责高速转发全网的数据,要求数据转发能力强大,延时尽可能的小,同时具有苛刻的稳定性要求,一旦核心设备出现故障,将导致全网业务中断。(2)网络资源。完整的网络由硬件设备和网络服务两大部分组成,网络硬件设备是网络服务运行的基础,缺少网络设备,再好的网络服务也无法让用户享用,同样的,缺少网络服务,即使设备再高档也无法发挥作用。校园网在各种硬件设备的基础上,为用户提供多种服务,包括内部服务,如教学管理系统、人事管理系统、办公系统等,它们运行在各自的服务器上,这些系统同时处于安全设备的保护之下。

二、校园网监测内容及实现技术

1.监测设备通达情况。大规模的网络需要组建网络管理平台来管理,网络管理平台也叫网管工作站,主要功能是管理整个网络的设备及配置信息,同时还要监测整个网络的运行状态,而监测设备的通达情况是其中一项最基本的任务。很多厂商开发了针对自家网络产品的网络管理软件,笔者单位使用的是H3C公司的“H3C智能管理中心”,设备运行故障会导致该设备及该设备的下连设备出现设备不可达的现象发生,监测设备通达情况是网络管理软件最基本的功能,一旦出现异常便将故障以各种形式表现出来,如声音告警,屏幕上的色彩变化等,以最直观、最快速的形式通知管理员,一些网络管理软件更可以向指定管理员发送短信息和电子邮件,以达到告警目的。网络通达情况监测不仅简单检测某台设备是否可达,更要监测连接该设备的链路质量,一般通过测试数据传送延时和丢包率来计算,如果某条链路的延时或丢包率超出阈值,软件便会向管理员发送告警信息,让管理员及时了解情况,进行相关检查,以排除潜在故障。大多数网络管理软件在监测设备通达情况时,多采用主动监测方式,也叫轮询方式,即管理中心按照固定的时间间隔向指定设备发送指令,通过回应来判断指定设备是否可达。这中监测方式在小型网络中运行良好,但是在大型网络中,网络设备数量众多,多达几百上千台,主动监测方式的监测指令会占用较大链路带宽,从而降低线路的利用率,因此在大型网络中,可以采取分布式监测方法,将多个网管工作站放置在网络不同区域,有效降低网管中心的数据对链路的带宽占用。主动监测还有另外一点不足就是设备状态在时间间隔期间发生改变时,不会立即发出告警,直到下一次监测到该设备时才能发现故障,对于关键性业务来说,这是不能容忍的,因此网管软件还提供被动监测方式,即当设备状态发生改变时才发出告警信息,否则视为正常状态,这样既能将异常状态信息及时告知管理员,也节约了因主动监测所占用的不必要的带宽。但是要实现被动监测,前提是被监测设备能够运行SNMP程序,对于一些低端设备来说这是不具备的。

2.监测设备健康状态。如今很多设备都支持健康状态监测功能,常见的如电压、温度监测、状态指示灯等等,这些信息对设备管理帮助很大,当设备出现故障时,利用它们能够快速定位故障,较少管理员工作量。通过网络协议,设备还能将健康状态数据通过网络主动发送到控制中心,实现远程监测。很多网络设备厂商开发了自己的网络管理软件,比如H3C公司的“H3C智能管理中心”,可以对其品牌下的网络设备进行详尽的设备健康状态检查,包括CPU利用率,内存利用率等性能数据,还包括对硬件故障的监测,如电源、风扇等故障告警。校园网覆盖范围较广,楼宇间的距离也较远,很多网络设备离管理中心很远,管理员不可能逐个监测设备的健康状况,因此通过网络管理软件可以实时掌握各设备的健康状况,一旦有设备出现异常便能立即发现,减少了故障的查找时间,降低网络的业务中断时间。

3.监测业务运行状态。校园网的质量和网络资源的丰富与否常常通过网络上运行的业务体现出来,一旦某种业务中断,用户也就无法访问对应的资源。校园网大多拥有自己的服务器向全网用户提供服务,笔者所在学校就具有多台服务器提供服务,如DHCP服务器,DNS服务器,WEB服务器,邮件服务器和认证服务器等提供各种网络服务,某些关键器如果出现故障,将导致整个网络业务中断,对服务器运行状态的监测也是每一位网络管理员肩负的重要职责。前文提及的Nagios软件提供了多种插件用于监测服务器的业务运行状态,比如常见的HTTP、SMTP、POP3、FTP等服务监测。这些插件可以透过上述协议来监测服务的响应时间、错误代码等关键性信息,方便系统管理员及时了解服务器运行状态。在监测服务器业务运行状态的同时,Nagios还对服务器自身的运行状态进行监测,监测项目包括服务器的CPU利用率、内存利用率和磁盘剩余空间等相关数据,并根据设置好的阈值进行告警处理。

第8篇:网络安全状态监测范文

【关键词】煤矿安全生产物联系统 专用APN 煤矿安全管理 物联网

1 引言

尽管我国煤矿安全生产已取得了不小的进步,但是从横向比较,其总体水平还比较低,与国际上煤矿安全生产先进水平相比还有较大差距,尤其是重特大煤矿安全事故还屡有发生。如何利用信息化产品,保障煤矿安全生产,预防事故发生,在事故发生后快速、准确定位,进行应急抢救抢修,成为摆在我们面前的重大课题。

2 煤矿安全监测监控存在的问题

我国大多数煤矿安全监测监控系统存在的问题不容忽视,主要有以下问题:

(1)煤矿井下作业远离地面,地形复杂、环境恶劣,与地面人员问沟通不便、不及时,地面人员难以及时动态掌握井下人员的分布及作业情况;

(2)煤矿事故发生后,抢险救灾、安全救护的效率低,搜救效果差:

(3)大部分煤矿安全监测监控设备落后且老化,不能很好地适应井下环境,不能很好满足煤矿安全生产需要;

(4)现有煤矿安全监测监控系统各成体系,没有统一标准和接口,造成了监测工程中数据漏报、系统间无法正常通信等问题,导致安全隐患的出现。

3 煤矿安全生产物联系统方案设计

针对以上问题,本文提出一种煤矿安全生产物联系统,按照统一规划、统一部署、统一管理、统一接口与标准的要求进行设计,其设计分成三个层次,分别是感知层、网络层、应用层,如图1所示。

感知层主要由传感器组成,将传感器检测到的数据通过通讯模块传送至控制计算机,实现数据检测与采集。感知层包括:1)传感器等数据采集设备,如地面井口、煤台、井下等场所安装的视频监控和传感设备;2)数据接入到网关之前的传感器网络,包括矿井传感设备的数据接入、传输和汇总。

网络层通过各种电信网络与互联网的融合,实现物体信息实时准确地传输与交互。网络层采用三级架构,即煤矿企业、市级分控中心、省级监控中心,以“分级监管,分级响应”的机制,搭建煤矿安全生产的物联网架构,实现煤矿安全生产的监控监管。网络层包括:1)矿井监控数据的上传;2)煤矿企业的数据专线;3)省监控中心以及煤炭集团、市分控中心的宽带数据专线。

应用层利用云计算、模式识别等各种智能计算技术,对海量数据与信息进行分析和处理,对物体实施智能化的控制,包括远程监测与控制、煤矿安全事故应急指挥、信息上传与共享等。应用层包括:1)主机与存储系统建设;2)煤矿企业、市级、省级监控中心显示、调度、指挥系统;3)煤矿企业上报信息的标准化工作;4)门户网站及安全系统建设。

按照以上设计,整体网络图如图2所示,实现以下目标:

(1]煤矿井下瓦斯、风速、设备开停等运转情况的适时监测、分析和控制,同时将以上监测数据通过公用电话网络、无线网络、光纤光缆传送到各级煤炭安全生产管理部门;

(2)煤矿安全生产监察监管动态管理,实时了篇煤矿的安全生产工作状态,随时掌握煤矿的有关安全按术工作参数(包括安全技术参数、安全监察监管要求数据)的情况,各煤矿点能够实施有效的日常安全管理,煤监部门能够对各煤矿点的安全生产工作实施有效的监督管理;

(3)在煤矿发生事故时,可提供煤矿点的基本技术数据、企业和政府的事故应急处理预案、事故救援资源的分布信息等,为市、省级公共安全应急指挥系统提供相应基础信息支持,为科学决策实施有效救援提供技术支持。

4 煤矿安全生产物联系统建设

煤矿安全生产物联系统建设方案如图3所示,整体上按以下三个层面进行:

感知层主要由计算机、主控接口、分站及各种传感器组成,如图4所示。主控接口不断地轮流与各个分站进行通信,各分站接到主控接口的询问后,立即将收到的各测点(开关量、模拟量)进行检测变换和处理,同时就地时刻等待主控接口的询问以便把检测的参数送到地面主控接口,主控接口将收到的各种数据处理后同时传给计算机。计算机将收到的实时信息进行处理和存储,并通过显示器显示各种测量参数、实时或历史数据、曲线、图形和报表等。

把感应器嵌入或装配到矿山设备、油气管道、矿工设备中,可以感知危险环境中工作人员、设备机器、周边环境等方面的安全状态信息,将现有的网络监管平台提升为系统、开放、多元的综合网络监管平台,实现实时感知、准确辨识、快捷响应及有效控制。感知层建设包括:

(1)井下人员登记、考勤、定位。采用RFID卡,记录工作人员卡号信息,读取卡号,声光提示。用户卡可以放在安全帽内,或者携带在身上可靠部位。被动定位,主动考勤。井下人员定位系统,是矿井地面监控中心主计算机在软件数据库的支持下,通过传输接口和巷道铺设的通讯光缆,对井下员工进行实时跟踪,数据信息经软件处理转换成数字信号,使井下人员动态分布或环境安全状态在主计算机中得以实时反映,从而实现井下安全状态在井上数字化管理的目的。

(2)扇风机状态显示及远控。风机在运转过程中,对电机电流、电压、轴承温度、压风流量、风速、压力等参数在线连续监测与保护。在扇风机控制柜上加装状态智能仪表,实时显示每台扇风机的工作状态;在地面上位机以多种形式显示电机电流、电压、功率因数,比如以表格、曲线形式显示、柱状形式显示等;在主控机上设置就地、远控转换开关,通过上位机可实现对每台扇风机的远方控制。

(3)风速、风量、负压、轴温在线检测。在扇风机控制柜处设置控制主机一台,主机上设置智能仪表,实时显示巷道中的风速、风量、负压、轴温。

(4)水泵控制系统监测与远控。结合矿井排水特点,新增加自动控制功能。由各种先进可靠的传感器、保护装置、电动闸阀、电磁阀等设备组成矿井主排水自动控制系统,通过智能测控器的接口和光纤适配器与井下以太网联接,将信息传输到地面主机,构成监控系统。

(5)传感设备的数据接入、传输方面,对于固定的井口、风机、风门等,采用光缆或双绞线等有线传输进行连接;对于需要经常移动的工作面和特别监控点,可采用wcDMA/GPRS或wfF喊zfgbee等无线传输,实现监控点快速部署。

对于监控数据的上传,具备有线传输条件的,可采用有线传输;不具备有线传输条件,可采用WCDMA/GPRS VPN方案,将监控数据上传到上级监控中心。VPN方案是为确保网络安全,在现有物理网络的基础上建立VPN逻辑虚拟专网。VPN可采用基于L2TP协议和专用APN(APN,Access Point Name)的方案。基于L2TP 协议的方案需要煤矿/煤监中心自建RadIus服务,与运营商AAA(Authentlcatl。n Authorizatlon Accountlra)共同完成无线拨入用户的认证和鉴权。

这里采用专用APN的方案,如图5所示。地面监控中心通过WCDMA/GPRS网络分配的专用APN进行拨号,通过DNS(Demain Name Server)解析APN对应的企业接入端的GGSN(Gateway GPRS Support Node)。GGSN将用户的认证请求送给AAA服务器完成用户身份的认证和IP等的授权。如果认证通过,GGSN通过GRE封装与煤矿企业VPN路由器建立隧道连接,实现地面监控中心与上级监控中心的通信。

应用层实现远程监测与控制、安全事故应急指挥、数据上报与信息共享等功能。应用层的建设以云计算为框架进行规划,搭建统一的数据存储中心、数据共享中心、视频转发平台和统一展现门户等,提供统一、易用、便捷的业务功能。

远程监测与控制可通过网络访问监控中心的数字视频服务器,监看井上、井下视频,监测井上、井下环境参数。图像监视系统分为前端和客户端。前端单元负责采集各监视点的视频信号,并将视频信号压缩编码传送到视频监控中心。工作人员可通过客户端来监视各种设备的运行状况,并可对前端的摄像机控制命令,对图像进行诸如取景、定位、光圈大小、聚焦远近和变倍等操作。

安全事故应急指挥可随时视频监视矿井情况,并通过双向对讲机进行远程指挥、调度,实现整体协同作战,指导施救人员和井下作业人员进行抢险救灾。

数据上报与信息共享用于上报异常报警、设备运行状况、人员考勤与进出记录等数据,下达上级的安全生产指示、应急预案等信息,实现各煤矿企业、监控中心间的信息共享。

5 结束语

煤矿安全生产物联系统,可为煤炭安全生产监管提供准确的信息,丰富了煤炭安全生产监管手段,将有效地提高煤矿安全监察部门的工作效率、监管能力和服务水平,提高处置煤矿安全生产事故的能力。

本文所述为物联网的理论应用于实际的一个案例。从整体上来看,我国物联网还处于起步阶段,物联网在工业领域的大规模应用还面临一些关键技术问题,包括统一标准、技术产业能力、盈利模式、行业壁垒、隐私与安全保护等问题。

参考文献

[1]Rob van Kranenbu rg The Inte rnet 0f Things[Rl2008

[2]Goran Strbac,Nlck JenkIns,Tjm Green Futu re NetworkTechno 0qIes[R]2006

[3]Masayoshi Ohashi(KDDI R&D Laborato rIes)UblauitousNetwork[R]2008

[4]Go rdon A Gow P rivacy and Ublaultous Netwo rksSocleties[R],2005

[5]Lara Srivastava(ITU),Ubiquitou s N etwo rk sSocIetles The case of Radio Frequency ldentificatlon[R12005。

[6]国家安全生产监督管理总局煤矿安全规程[S]2010

第9篇:网络安全状态监测范文

关键词:配电设备 物联网 中压电力线载波

中图分类号:TP205 文献标识码:A 文章编号:1674-098X(2016)12(c)-0063-02

我国物联网应用总体上还处于发展初期,在许多领域上积极开展了物联网的应用探索与试点,但在应用水平上与发达国家仍有一定差距。目前已开展了一系列的试点和示范项目,在电网、交通、物流、智能家居、节能环保、工业自动控制、医疗卫生、精细农牧业、金融服务业、公共安全等领域取得了初步进展。在电网领域上,2009年国家电网公布了智能电网发展计划、智能变电站、配网自动化、智能用电、智能调度、风光储等示范工程先后启动。

1 物联网技术在电力行业的应用现状

目前,物联网中的射频识别、无线传感器网络、全球定位技术等技术在电力系统生产、管理等各个环节都有所应用,协助实现有效的电网感知,提高了电力规范化管理能力。在发电环节,物联网技术已应用于环境监测、设备状态监测、水情监测等场景;在输电环节,物联网技术已应用于线路状态监测、线路环境监测、雷电定位、智能巡检等场景;在变电环节,物联网技术已应用于变电环境监测、设备状态监测、变电站安全防护等场景;在配电环节,物联网技术已应用于线路状态监测、设备状态监测、线路故障定位及报警等场景;在用电环节,物联网技术已应用于用电信息采集、智能家居/小区、智能楼宇/园区等场景。

2 应用技术

2.1 物联网感知层技术

物联网感知层一般包括数据采集和数据短距离传输两部分,其关键技术主要包括:无线传感器网络技术(WSN)、RFID技术、二维码技术、蓝牙(Blueteeth)技术等。

2.1.1 自组织组网技术

在物联网感知层中应用到了自组织组网技术,自组织组网技术的起源可追溯到1968年的ALOHA网络和1973年美国国防部高级研究计划署(DARPA)资助研究的“无线分组数据网(PRNET)”。主要的特点是网络拓扑结构动态变化,分布式控制方式,自组织性,多跳通信,节点的处理能力和能源受限,信道质量较差。在物联网中主要是应用在一些企业中,它通过自组织组网技术,组织、创建了公司内部的网络,在与外界进行信息交换,特别是在物联网的应用中需要了解这样的组网技术,以便于其公司信息的采集。

2.1.2 无线传感器网络技g

(1)无线温度传感器:实现温度、温升和相间温差的高可靠实时在线监测,实现设备运行温度的自动管理,为设备的安全运行提供数据支持。

(2)无线水浸传感器:实时在线监测传感器安装位置(场所)是否浸(积)水,并实时地将水浸信息通过数据传输基站上传到控制主机,以达到监控告警的目的。

(3)无线杆塔倾斜传感器:可以在线监测杆塔倾斜状态,当倾斜角度达到阀值时,向监控主机发送告警信号。

(4)无线故障电流传感器:主要实现现场的电流取样及分析,判断出当前的电流是否为故障电流,并采集周边其他无线传感器发送的数据,通过无线传感网把电流、谐波等数据传输出去。后台软件结合GIS进行故障点的定位,从而通知检修人员到现场进行故障排除。

(5)无线门磁传感器:安装在柜门上,与永磁铁或电磁线圈等器件配合使用,能够实时在线监测柜门的开、关状态以及开关次数。不影响柜门的正常使用。

(6)无线温湿度传感器:实时、准确地测量环境温度和环境相对湿度。可以实现现场环境远程数据采集和监测。

(7)配变综测骨干节点:采用无线组网协议来实现节点之间的通信,同时具有线路电流、电压、谐波等线路参数的在线测量功能,支持有线485通信和以太网通信,同时内部集成标准101和104通信协议。

2.1.3 RFID技术

RFID射频识别是一种非接触式的自动识别技术,它通过射频信号自动识别目标对象并获取相关数据,识别工作无须人工干预,可工作于各种恶劣环境。RFID技术可识别高速运动物体并可同时识别多个标签,操作快捷方便。RFID是一种简单的无线系统,只有两个基本器件,该系统用于控制、检测和跟踪物体。

2.2 物联网网络层技术

2.2.1 中压电力线载波

中压电力线通信是指综合运用多种调制解调技术、信道编码技术、网络通信技术、模拟前端技术以及耦合结合技术,实现以中压配电网为传输介质的通信。

国内外相关企业一直致力于中压配电线路的载波通信领域研究,在载波调制和组网技术研究方面进行不断的探索,在传输速率、可靠性方面已取得了较大进展。

BPLC依托电力线,可部署在变电站、环网柜直至用户建筑内,构成可靠的配用电网信息的传输网络,传输距离超过500 m。提供配电信息等宽带接入,同时兼顾原有设备低速业务(RS-232/ RS-485)数据的接入。

2.2.2 线通信技术

无线通信技术可根据使用者类型分为无线公网和无线专网。对于无线专网来说,需要自身架设整套通信网络,包括基站、终端和网管等,而无线公网仅仅租用运营商的现有网络通道,由运营商负责运维即可。

相比较光网来说,架设无线链路则无需架线挖沟,线路开通速度快;无线扩频能随时架设,随时增加链路,安装、扩容方便;无线通信覆盖范围大,几乎不受地理环境限制。缺点是采用逻辑隔离,相比有线网络的物理隔离,安全性较差;无线传输速率最高不超过几百兆每秒,相比光网络传输速率较低。

2.2.3 xPON无源光网络

以太网无源光网络是一种特殊光纤以太网组网模式,采用点到多点(P2MP)结构的单纤双向光接入网络,是常采用IEEE802.3以太网帧来承载业务的PON系统。PON技术经历了APON、BPON、EPON、GPON等阶段。其中的EPON技术已经比较成熟,产品已开始规模商业应用。

3 实现方案

传感器采集配电设备的运行环境数据和运行状态数据,然后通过自身的无线通信模块传输到就近的短距离无线传输骨干节点,通过多个骨干节点组成的自组织网络传输到数据传输基站,然后通过配电自动化系统配套光通信ONU将配网设备状态信息接入变电站,在变电站经数据汇聚控制器进入电力安全III区送至主站数据采集服务器。传感器和骨干节点的传输频率采用2.4 GHz,传感器网路采用了WSN(无线自组织网络)。骨干节点之间可以直接通信,采用MESH网络。

现场作业终端采集的RFID设备标识信息,采用GPRS无线公网通信方式,通过安全接入平台,访问系统主站,获取设备台账信息、监测信息和运行信息;并可将现场收集的设备状态信息、设备评价信息及时传回主站系统。

其中感知层实现各环节数据统一感知与表达,建立统一信息模型,规范感知层的数据接入,是对SG-ERP架构的补充和完善。网络层将不同的通信技术屏蔽,按照规范化的统一通信规约实现对数据的传送,则丰富了SG-ERP架构。应用层完全遵循SG-ERP的体系架构,将多种数据信息统一管理并向外提供统一数据服务,支撑各类业务应用,基于统一应用平台,开发各类电力物联网应用服务,供其他业务系统调用。

感知层主要利用各种传感识别设备实现信息的采集、识别和汇集。其重点是实现统一的信息模型,具体包括对统一标识、统一语义、统一数据表达格式等方面。

网络层主要负责由感知层获取信息的传输和承载。网络层旨在多种融合通信技术的引入,丰富通信方式。应用中传感器与汇聚节点间多通过微功率无线通信等技术互联,解决信息采集覆盖及灵活性问题,汇聚节点与接入网关之间通过光网络、PLC、无线宽带等技术互联,解决信息远距离传输及可靠性问题。

用层基于国网SG-ERP架构,研究电力物联网的统一数据模型,实现统一的数据服务并封装系统功能,为现有业务系统提供各类的统一应用服务,也可以为其他业务系统提供更高等级的服务功能。

4 结语

通过物联网技术的在智能电网建设中的应用,将会在电网建设、安全生产管理、运行维护、信息采集、安全监控、计量应用、用户交互等方面发挥巨大作用,可以全方位地提高智能电网各个环节信息感知的深度和广度,为实现电力系统的智能化以及“信息流、业务流、电力流的高度融合”提供基础数据支持。通过针对物联网WSN(无线传感器网络)组网技术的研究,能够实现智能电网通讯网络的快速和智能组网,从而增强智能电网状态监测和数据传输的安全性、可靠性,可以方便快捷地增加网络节点和监控测点,加快智能电网建设的步伐。

参考文献

[1] 任伟.物联网安全[M].北京:清华大学出版社,2012.

相关热门标签
相关文章阅读
精选范文推荐
相关期刊推荐