1. VR台風颶風模擬體驗館可以還原台風災害現場嗎
可以的,現在的VR台風颶風模擬體驗館都是可以體驗台風來臨時的場景,普樂蛙VR台風颶風模擬體驗館採用先進的多媒體和實景結合技術,讓人對台風敬生畏懼,震撼的影響效果,實景式的視覺,聽覺,觸覺使體驗者得到全方面的感受。普樂蛙VR台風體驗館依照歷史中台風真實數據為依據,台風即將來臨徵兆,刮風下雨,台風持續到來,狂風閃電暴雨,陷入台風中心,下一波風暴前的寧靜,台風漸息,度過災難。
2. 技術宅!VPS開伺服器求解!高分懸賞!
沒有vps開伺服器在回事,伺服器開vps倒有,伺服器指的是一台物理主機,VPS伺服器(虛擬專用伺服器)("Virtual Private Server",或簡稱 "VPS")是利用虛擬伺服器軟體(如微軟的Virtual Server、VMware的ESX server、SWsoft 的Virtuozzo)在一台物理伺服器上創建多個相互隔離的小伺服器
這些小伺服器(VPS)本身就有自己操作系統,它的運行和管理與獨立伺服器完全相同。 因為每一個VPS伺服器均可獨立進行重啟並擁有自己的root訪問許可權、用戶、IP地址、內存、過程、文件、應用程序、系統函數庫以及配置文件。虛擬專用伺服器確保所有資源為用戶獨享,給用戶最高的服務品質保證,讓用戶以虛擬主機的價格享受到獨立主機的服務品質。
每個VPS伺服器都可分配獨立公網IP地址、獨立操作系統、獨立超大空間、獨立內存、獨立CPU資源、獨立執行程序和獨立系統配置等。VPS用戶除了可以分配多個虛擬主機及無限企業郵箱外, 更具有獨立伺服器功能, 可自行安裝程序, 單獨重啟伺服器。
VPS伺服器的運行和管理與一台獨立主機完全相同, 但是在節約成本上有著獨有的優勢:
伺服器零宕機, 確保每個VPS伺服器獨占資源
為什麼用戶往往會鍾情於獨立主機服務呢? 最重要的原因之一就是對伺服器有完全的控制權並且不受外界其他因素的干擾. 而VPS主機則具有同樣的功能! VPS實現了兩個隔離,軟體和硬體的隔離以及客戶和客戶的隔離。
iDNS
ISP服務商之間的互聯瓶頸和伺服器集中服務的巨大訪問壓力,不少網站按地域劃分或按ISP建設了鏡像站點。但當用戶訪問網站時,網站的授權DNS伺服器是以傳統的解析方式即DNS輪詢(ROUND ROBIN)的方式來響應用戶本地的DNS解析請求的,所以,用戶不一定能夠訪問到對自己最合適的主站或鏡像站點。全球智能DNS負載均衡服務(iDNS),充分考慮用戶發起請求的地點、鏡像站點健康情況以及當時網路的情況,可以自動將用戶請求定向到最合適的鏡像站點,使得用戶訪問過程透明化,避免用戶自己選擇鏡像站點過程,有效提升服務質量。還可以通過監控所有鏡像站點可用狀態,避免將用戶訪問定向到失效的鏡像站點上。iDNS由三部分組成:域名服務模塊,資料庫模塊,管理模塊。
VPS伺服器採用操作系統虛擬化技術實現了軟體和硬體的隔離, 從而增強了伺服器的安全性, 這意味著VPS主機可以被快速而容易地從一台伺服器遷移至另一台伺服器上. 由於基於操作系統虛擬化技術, VPS主機完全與底層硬體隔離, 通過操作系統模版輕松實現VPS主機的開通, 可以通過拖拽方式瞬間實現VPS主機的伺服器遷移, 從而真正實現伺服器維護和更新時零宕機。
每一個VPS伺服器擁有獨立的伺服器的資源(包括驅動器、CPU、內存、硬碟和網路I/O), 由於採用動態的分區隔離, VPS主機實現不同客戶之間的隔離. 客戶之間的隔離確保每個VPS主機都能獨占自己的伺服器資源, 而且針對單個用戶的DDos攻擊不會影響同一物理伺服器的其他用戶, 將DDos的攻擊危害降至最少, 從而提高了伺服器的安全性。而且如果其中一個VPS主機宕機, 其它的VPS伺服器不會受到影響, 仍舊可以正常運行。
VPS伺服器是一項伺服器虛擬化和自動化技術,它採用的是操作系統虛擬化技術。操作系統虛擬化的概念是基於共用操作系統內核,這樣虛擬伺服器就無需額外的虛擬化內核的過程,因而虛擬過程資源損耗就更低,從而可以在一台物理伺服器上可以實現更多的虛擬化伺服器。這些VPS伺服器以最大化的效率共享硬體、軟體許可證以及管理資源。每一個VPS伺服器均可獨立進行重啟,並擁有自己的root訪問許可權、用戶、IP地址、內存、過程、文件、應用程序、系統函數庫以及配置文件。
VPS伺服器技術同時支持Linux和Windows平台。Linux版Virtuozzo伺服器還支持在虛擬伺服器上實現同版本內核的不同Linux發行版。
DNS組成和原理:
1.iDNS由三部分組成:域名服務模塊,資料庫模塊,管理模塊。
(1)域名服務模塊:負責響應DNS查詢請求;分析請求源地址;到對應資料庫中查找記錄。
(2)資料庫模塊:負責存儲DNS記錄,DNS記錄是按照不同的地理臨近性組織的。
(3)管理模塊:啟動、停止DNS服務;修改DNS記錄;修改地理臨近性配置。
2.工作原理:iDNS系統對請求的處理將不同於普通DNS。當iDNS收到一個DNS解析請求時,它將首先判斷請求的源地址,根據源地址的不同,iDNS將到不同的DNS資料庫表中查找相應記錄,返回地理臨近的解析結果。源地址不同,返回的結果也不盡相同。
3.地理臨近性:iDNS對於地理臨近性的理解並非物理上的臨近性,而是網路中虛擬的臨近性。我們知道,在目前國內的互聯網環境中,處於同一個自治域系統(如中國網通集團)中計算機之間的訪問效率,要遠遠高於跨自治域系統(如中國網通集團和教育網)的訪問效率,即使在地理上處於同自治域的兩台計算機的位置要遠於處於跨自治域系統的兩台計算機。換句話說,就是處於北京網通的一台計算機訪問處於河北網通的計算機的速度,要快於它訪問處於北京教育網的計算機。
VPS虛擬伺服器技術可以通過多種不同的方式靈活的分配
伺服器資源,每個虛擬化伺服器的資源都可以有很大的不同,可以靈活的滿足各種高端用戶的需求。通過在一台伺服器上創建10個左右的VPS伺服器,可以確保每一個用戶獨享VPS資源,其運行和管理完全和獨立主機相同。VPS伺服器可以為高端用戶提供安全、可靠、高品質的主機服務。
可以將它用在以下幾個方面:
虛擬主機空間:
VPS伺服器非常適合為中小企業、小型門戶網站、個人工作室、SOHO一族提供網站空間,較大獨享資源,安全可靠的隔離保證了用戶對於資源的使用和數據的安全。
電子商務平台:
VPS伺服器與獨立伺服器的運行完全相同,中小型服務商可以以較低成本,通過VPS伺服器建立自己的電子商務、在線交易平台。
ASP應用平台:
VPS伺服器特有的應用程序模板,可以快速的進行批量部署,再加上獨立主機的品質和極低的的成本是中小型企業進行ASP應用的首選平台。
數據共享平台:
完全的隔離,無與倫比的安全,使得中小企業、專業門戶網站可以使用VPS伺服器提供數據共享、數據下載服務。對於大型企業來說,可以作為部門級應用平台。
在線游戲平台:
低廉的價格,優秀的品質,獨享的資源使得VPS伺服器可以作為在線游戲伺服器,為廣大的互聯網用戶提供游戲服務。
資料庫存儲平台:
可以為中小企業提供數據存儲數據功能。由於成本比獨立伺服器低,安全性高做為小型資料庫首選。
VPS伺服器是一種介於傳統虛擬主機和獨立主機之間的特殊伺服器託管技術,它通過特殊的伺服器管理技術把一台大型Internet主機虛擬化成多個具有獨立IP地址的伺服器系統,這些系統無論從性能、安全及擴展性上同獨立伺服器沒有實質性的差別,而費用僅相當於租用獨立伺服器的1/4或1/5,並且無須額外支出後續的硬體維護管理成本 。
VPS伺服器擁有傳統虛擬主機所不具備的系統獨立管理權,解決了那些既需要獨立主機性能、財力又不夠充裕的網站的運營發展問題,無疑是一種比較實惠的選擇。
與傳統的虛擬主機相比,VPS伺服器由於不是採用大量虛擬主機共享同一個主機硬體資源的形勢,因此在帶寬、速度、網站和郵件的安全性等方面都具有較為明顯的優勢,並且支持超級管理員實現有效的遠程管理,使企業能夠更加有效地控制自己購買的CGI程序、資料庫的等互聯網資源。
做一個形象的比喻:採用虛擬主機的企業就象住進了集體宿舍,雖然擁有自己的床位,卻無法避免由於過度擁擠而帶來的困擾;而採用VPS伺服器的企業就好比住進了獨立的單元,雖然與其他單元的住戶仍舊共享一些重要的公用設施 (CPU和匯流排) ,但安全性和方便程度已經大大地改善了。
VPS伺服器是繼獨立伺服器租用服務之後,為迫切需要更完善的電子商務平台、而又不願租用昂貴的獨立伺服器的企業架構了一種全新的互聯網業務模式,尤其是對迫切需要互聯網服務的中小企業而言,具有非常高的實用商業價值。
用戶間的彼此隔離:
靈活性和直接控制VPS。對VPS的全面控制:運行任意應用軟體、創建任意定製的配置
高安全性
更高的安全性同時意味著更高的服務可靠性。
資源控制和峰值性
確保用戶得到更高水平的服務和資源。允許峰值性使用閑置的伺服器資源,提供了一個好於獨立主機水平的服務(許多低端的獨立伺服器資源都次於DS所用伺服器的水平)。
模板和應用程序套件
獲得新的應用操作系統和應用軟體能及時更新,降低安全風險。
客戶VPS控制面板
使用自助管理和故障診斷工具,如國內眾所周知的VPS管理面板XenSystem和國外的SolusVM,在一個控制面板上可進行重啟動、修復、重裝、備份、實時監測VPS運行的操作。操作日誌和資源利用統計功能幫助管理員發現和排除故障。
輕松遷移
進行升級和遷移時無需停止服務。服務商可滿足從低到高幾乎全部主機服務的需求。
備份和恢復
具有備份和恢復功能。許多的DS服務方案都包括了為用戶進行備份的空間。
vps常見問題
第一,信息殘缺。信號接收不全、或信號傳播不穩定都可能引起信息殘缺。
第二,信息堵塞。寬頻限制,或者服務請求響應最大限制。
第三,機房環境。機房環境的配置,如通風條件,防火條件,空調等,這些外在因素也有可能影響到伺服器的穩定性。
第四,黑客攻擊。黑客現在是越來越流行的,伺服器應裝有高性能的防火牆和必備的殺毒軟體。
第五,硬體故障。比如硬碟故障,網卡故障等。所以必須有備份。
第六,安全管理失誤。比如火災、人為因素引起的硬體損壞等。
第七,不可抗力因素。比如戰爭、地震、洪水等。
3. 虛擬地震台網——JOPENS自動定位測試系統有沒有軟體模式的是下載到電腦的
有,我前年用過,不過做系統的時候沒有了,那個軟體很好用,平時圖標就在電腦右下角,全球哪裡震了,過幾分鍾吧就聲音提示,還可以設置震級,小的可以設置不用報,現在我找不到那個軟體了
4. VR地震體驗館有什麼功能
我要計算題當晚的功能非常多 而且這個功能會很沒有感覺過多的吧
5. 什麼事虛擬地震台
虛擬的,通過網路信息進行預測,演示地震相關的事宜。
6. 如何在短短48小時內用雲計算給地球做b超
今年杭州雲棲大會上,中國館地震局的地球物理科學家王偉濤博士在Tech Insight的數據存儲技術實戰專場做了一場主題分享:名為《雲計算在地震學研究中的應用-利用bcs和海量數據創建虛擬地震》。 他介紹,原本需要一年計算時間的整個中國數千個地震台兩兩之間的五年數據的計算任務,在雲計算中狂飆,48小時之內就計算完成了。
這到底是如何實現的呢?
我們的祖先凝望星河閃耀,卻花費萬年時間才摸索出天體運行規律。
我們的前輩坐看潮湧潮平,卻歷經千秋萬代才能航行到大洋彼岸。
而我們自己,在這片土地上繁衍至今,卻仍舊對腳下的大地懵然無知。
從觀察記錄到規律預測,幾乎是人類科學史的全部邏輯。
但每次我們拼盡全力記下的數據,都只是抬高知識瀚海的涓涓細流。
當我們提筆開始繁復演算的時候,期待的是阿基米德跳出浴缸、牛頓舉起蘋果的那一刻。
王偉濤博士正是這樣計算的執筆人,他來自中國地震局。他想知道的,是我們腳下大地的每個細節。
浩如煙海的計算
我們經歷的每一次地震,都在提醒自己預測和預警這種災害的迫切性。但是,我們距離這個目標還很遠。
為更好的認識地震這一物理現象,需要極其的詳細的地殼結構影像,而為了繪制這張地下地圖,又需要詳盡的數據計算。 目前為止人類打到地下最深的井是前蘇聯鑽探的科拉超深井,約12.2公里,但是地震的震源深度往往在地下十幾到幾十公里,當前的科技根本無法在震源深度開展直接觀測。
所以我們需要依靠分布在全國的數千個地震台來對地震波進行探測,震波在地下的傳播特性,受到地質結構的影響,這也是地震波可以用來繪制地底圖像的原理。這些地震台可以感知地震的「大震波」,也同樣可以捕捉日常的「大地雜訊」,例如海潮拍擊大陸的震動。
根據地震波進行地底成像的原理
王偉濤告訴記者,像他這樣的地球物理科學家幾乎都是半個程序員。 因為從地震波到地底成像,中間要經過超越一般人想像的大規模程序計算。他的計算模型是這樣的: 每一次震動都會由近至遠依次傳遞到各個地震台,所以理論上來說,每個地震台都會對同一次震動做出自己的記錄,這些數據既有差異有又聯系。
利用這些數據,可以計算出一些「虛擬地震」。 用每兩個地震台之間進行數據互相關對比計算,就可以獲取研究中國地下的總體結構所需要的寶貴數據。
虛擬地震可以模擬出和真實地震一樣的數據,所以可以用於本來沒有發生地震的地區的地底成像 每個地震波數據都有 E,N,Z(東西,南北,垂直)三個向度的分量,全國2000多個永久和臨時地震台就是 6000 個分量,每年的數據量大概是 30TB,而我們的總數據量已經到了 PB 級別。
由於我們要相互對比每一個地震台每個時間點的每個分量數據,這些計算量是呈指數級增長的。 王偉濤的智慧和經驗,恰恰表現在他所設計的程序和演算法之上。 但耗費很大心力完成這個演算法的王偉濤博士發現,他才踏上了萬里長征的第一步,還有一個巨大的困難橫亘在面前。
圖中每兩個地震台之間的連線(灰色)都是需要計算的數據,總計算量極其龐大。如果使用單機對這些數據進行計算,大概需要七年時間。按照一個人的職業生涯二十年計算的話,我在退休前只能完成三次計算。在這種情況下,大規模分布式的雲計算似乎成為了唯一的選擇。
然而,雲計算的機理絕不像聽起來這么輕盈。記者也采訪到了中國地震局的合作夥伴阿里雲的童鞋們,在他們眼裡,雲計算和科學研究一樣,集合了人類最頂尖的智慧。
所需存儲空間、計算量和預計單機計算所需的時間
分布式存儲:有關農場的游戲
雲存儲就像一個大的農場,每個伺服器就像一個工人,而你的數據就是羊。阿里雲存儲高級專家承宗說。看來他是個牧場達人。「分布式存儲」,可以看作分布式計算的基礎條件。也就是說,你的羊要先放進阿里雲的「農場」,它的工人才會幫你照料、喂養、剪毛、紡線。
對於王偉濤博士的數據來說,僅僅是存儲在雲端,就需要無數「黑科技」。
在將要進行的計算中,計算系統會對存儲系統進行大規模的訪問。而這些訪問必須要平均地打到伺服器上,絕不能存在熱點。而這還不夠,由於伺服器的硬體故障在大規模集群中會變成一個常態事件,所以必須做好資源的實時調度和提供故障容忍能力。
例如保證在摘掉一塊硬碟的時候,其餘的硬碟要迅速用備份數據把存儲追齊。
承宗舉了以上兩個例子。這兩個例子換成農場的比喻,大概是如下表述: 農場對於工人的工作量要平均分配,絕不能出現「對著一個羊薅羊毛」的情況發生。另外,農場每天都有工人病倒、請假,要在最短的時間把他的工作合理分配給很多人,這樣別的工人也不至於負荷過大。
整個阿里雲的分布式文件系統,被命名為盤古。在承宗心裡,盤古還有很多智能化的「黑科技」。
他舉例了一個例子: 我們人類看到的磁碟都一樣,但是盤古看到的磁碟各不相同。它會根據歷史訪問數據的積累,例如寫入的速度和效率,對每一塊磁碟的健康度進行打分。
對於健康狀況不好的磁碟,就相應減輕一些工作分配。這些底層的技術,都可以為王偉濤博士下一步真正的計算做准備。
承宗說,在分布式計算中,數據帶寬成為了一個重要的參數。從王偉濤博士的角度來看,如果把數據存儲在自己的伺服器上,僅僅利用阿里雲的計算能力進行結果輸出,是不能實現的。原理很簡單,分布式計算的所有伺服器都向一個存儲單位發送數據讀取請求,帶寬會被瞬間堵死,再強大的算力都無法發揮。
至於具體數據,百兆光纖的帶寬一般是 100Mb/s,而硬碟的帶寬最高可達幾Gb/s,而阿里雲存儲內網訪問帶寬(雲計算系統內部)可以高達Tb/s級別。
批量計算:建造一座金字塔
接下來,王偉濤博士的數據就會進入最終計算的環節。我熟悉了自己習慣的 Linux 系統,所有的計算代碼都是在這個環境中完成的,如何讓我的代碼在雲計算的環境中發揮作用,是一個很重要的問題。
地底成像數據的計算流程
在地震科學研究方面,阿里雲顯然沒辦法提出演算法建議,所以他們需要做的是,提供一個通用的介面,讓王偉濤可以使用自己機房中的電腦、界面和Linux 系統,來對雲上的計算進行控制。
阿里雲提供的兼容和適配能力,是阿里計算專家林河山頗為驕傲的地方。 王博士在此之前沒有使用過分布式集群,也沒有使用過「超算」,所以直接跨越到雲上,從操作和控制層面來說,對他來說會是個挑戰。
我們提供的計算介面可以讓單機程序不做修改就高效執行在雲環境下。用戶通過幾句簡單的命令就能在雲上調動大規模的計算資源進行分析,而不需要學習復雜的分布式計算知識。其實很多從其他地方過渡到雲計算的人都會有這樣的問題,所以不僅是王博士,很多其他用戶也會用到我們的通用計算介面。他說。 這個時候,大規模計算的障礙基本被掃清了。
不過,林河山告訴記者,雲計算真正的核心技術,還在於批量計算的算力調度之上。
大規模計算的加速流程和模式 計算規模擴大之後,就會造成對存儲資源的訪問非常頻繁,這時,對於訪問的並發量的控制就要非常「小心」了。
王博士的應用有非常多的小I/O請求,如果每一次I/O請求都直接訪問雲存儲,由此帶來的延時會對計算效率造成影響。為了進一步優化計算性能,批量計算採取了「分布式緩存」的策略,把有可能會用到的數據,提前緩存到計算節點周圍。這樣,就可以讓計算能力不受集群規模的限制。林河山說。
而即使是這樣,還遠遠不夠,對於數據訪問究竟採取多大「粒度」,是考驗系統智能的重要時刻。如果一次讀取過多,可能造成帶寬擁堵,如果一次讀取過少,又會造成頻繁訪問。而針對不同類型的數據,都要做出合理的預判,自動地讀取,是一項艱巨的任務。
打個比方: 這如同建造一座金字塔,數萬名「奴隸」要分工合作。工程師要決定:是犧牲速度一次性運輸多個石塊到現場,還是犧牲數量,一次快速運輸一塊石頭到現場。
同樣,面對浩瀚的金字塔工程,每時每刻要分配多少奴隸來攪拌砂漿,分配多少奴隸來搬運石塊,分別分配多少奴隸來負責建造各個區塊,這個即使是工程師都需要仔細考量才能完成的任務,都要交給系統自動完成,難度可想而知。
當然,如此繁復的計算過程,出錯是經常會發生的。
林河山舉了一個例子: 在渲染追光動畫的動畫片《小門神》時,阿里雲的容錯機制就發揮了作用。(當時在峰值有 2000台伺服器參與了大規模批量計算。)一般情況下, 對於視頻的渲染工作是一個連續的長流程。如果某一幀渲染中哪怕只有一個節點出問題,都會造成訪問的大規模延時,造成邏輯上的擁堵,產生「熱點」。
林河山說:「阿里雲的做法是,在計算出錯之後,在最短的時間內重跑,如果在跑的過程中確認節點存在問題,還會自動調度到另一個地方,這些對於用戶來說都是沒有感知的,但是在背後,我們必須做出大量的努力。
繪制地下的世界
原本需要一年計算時間的整個中國數千個地震台兩兩之間的五年數據的計算任務,在雲計算中狂飆,48小時之內就計算完成了。
地球內部成像,恰似人體的B超
這在雲計算時代來臨以前是無法想像的。 從科學研究的角度來看,這些數據是原始的地震觀測數據的數據產品,同時也是後續科學研究所依賴的重要數據,可以很好地支撐王偉濤進行接下來的研究。 從外界看來計算過程非常順利,而剛才我們所感受的一切艱辛,都只發生在背後的代碼世界。
借用阿里雲產品總監李津的話: 當計算結果輸出的時候,我們所有的技術人員都沉默了。
我們多麼渴望這樣的數據早幾十年被計算出來,這樣我們就能為人類認識地震這一自然災害爭取寶貴的時間。
拋開商業的雲霧,可以看到雲計算真正的的鋒利所在。
王偉濤的研究並沒有停止,他說: 目前為止,我只做了2011年到2015年的一個向度上的數據分析,未來還會繼續把更多向度和頻率上的數據進行計算。科學研究的精確度是可以一直提高的。越來越精確的地底數據,會為礦產勘探、防震減災和地震科學研究提供非常強的支持。
科學的有趣之處,正是在於不斷地嘗試。有可能一覺醒來想到新的方法,就要重新改寫公式和代碼,通過計算進行驗證。
也許有一天,屬於王偉濤的那隻蘋果會悄然落下。那一刻,是王偉濤的勝利,也同樣是人類計算力的勝利。 我們傾盡全力提高算力,把數據的涓涓細流匯聚成洪荒之力,只是因為我們不願對腳下的大地懵然無知。
7. 地震局網路
電信系統網路解決方案
第一章 前 言
第二章 網路安全概述
第三章 網路安全解決方案
第四章 典型應用案例
第五章 未來網路安全解決方案發展趨勢
第一章 前 言
當今的網路運營商正在經歷一個令人振奮的信息爆炸時代,網路骨幹帶寬平均每六到九個月就要增加一倍。數據業務作為其中起主導作用的主要業務類型,要求並驅動網路結構開始發生根本性的改變。光互聯網的出現為基於IP技術的網路應用奠定了新的基礎。伴隨網路的普及,信息網路技術的應用、關鍵業務系統擴展,電信部門業務系統安全成為影響網路效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。由於國際形勢的變化,加劇了爆發"網路戰爭"的可能性,保障網路及信息安全直接關繫到國家的經濟安全甚至國家安全。因此如何使信息網路系統不受黑客和間諜的入侵,已成為國家電信基礎網路健康發展所要考慮的重要問題。
在新的電信市場環境中,需求的多元化和信息消費的個性化逐漸成為必然趨勢,這一點在數據通信領域體現得尤為明顯。經過幾年努力,公用數據通信網路在規模上和技術層次上都有了一個飛躍,用戶數持續高速增長,信息業務用戶發展尤為迅猛,全國性大集團性用戶不斷增加,並且開始向企業用戶轉移;政府上網工程進展順利,電子商務已全面啟動,中國電信安全認證體系通過了中國密碼管理委員會和信息產業部舉行的聯合鑒定,並與金融部門開展了有效的合作。電信同時提供Internet接入業務,IP電話業務以及其他業務.該IP承載網承載圖象、語音和數據的統一平台,強調Qos,VPN和計費等,成為新時代的多業務承載網。中國電信數據通信的發展定位於網路服務,實現個性化的服務。事實上,這一類網路功能非常豐富,如儲值卡業務、電子商務認證平台、虛擬專用網等。而這一切都依賴於網路安全的保障,如果沒有安全,個性化服務就根本無從談起。只有電信的基礎平台完善了,功能強化了,安全問題得到保障了,才能夠提供真正個性化的服務。
由於電信部門的特殊性,傳遞重要信息、是整個國民通信系統的基礎。它的安全性是尤其重要的。由於我們的一些技術和國外還有一定差距,國內現有的或正在建設中的網路,採用的網路設備和網路安全產品幾乎全是國外廠家的產品。而只有使用國內自主研製的信息安全產品、具有自主版權的安全產品,才能真正掌握信息戰場上的主動權,才能從根本上防範來自各種非法的惡意攻擊和破壞。現今大多數計算機網路都把安全機制建立在網路層安全機制上,認為網路安全就僅僅是防火牆、加密機等設備。隨著網路的互聯程度的擴大,具體應用的多元化,這種安全機制對於網路環境來講是十分有限的。面對種種威脅,必須採取有力的措施來保證計算機網路的安全。必須對網路的情況做深入的了解,對安全要求做嚴謹的分析,提出一個完善的安全解決方案。本方案根據電信網路的具體網路環境和具體的應用,介紹如何建立一套針對電信部門的完整的網路安全解決方案。
第二章 網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
傳送時延
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS (Reliability, Availability, Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1 公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2 病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4 管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
安全目標
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。
8. 地震台風體驗館是如何虛擬場景
「普樂蛙」地震台風體驗館VR地震逃生模擬系統將VR技術與地震結合在一起,高清的畫質、逼真的音效讓體驗者彷彿身臨其境地「親身」感受地震、「親歷」地震逃生過程。
9. 星門事件的數據統計
美國地震信息網統計
從北京時間2010年11月15日14點半左右至今,亞丁灣附近已發生41次5級左右的地震。最新一次地震發生在北京時間2010年11月16日15點36分,地震強度4.9級,震發位置為葉門近海。
虛擬地震台網數據
從北京時間2010年11月14日14點半左右到今為止,共發生45次5級左右地震。最新地震發生在2010年11月15日15點36,地震強度4.9級,震發位置為葉門近海。
歐洲地震局數據
從北京時間11.14 9點47 開始至今
共發生55次4級以上地震
最新地震發生在11.15 15點36 4.7級 亞丁灣
歐洲地震監測中心數據
從北京時間11.14 9點47 開始至今
共發生56次4級以上地震
最新地震發生在11.15 19點12 4.4級吉布地深源地震第56次
原數據為4.4級 震源地底217km
已修正為4.5級 震源地底30km
10. 地震台網如何控制資料庫存儲數據時間長度
這一點不太清楚,一般異常資料根據異常時存儲資料,有長有短不一樣的。先行列印長期保存,