统一维护平台范文(精选5篇)
统一维护平台 第1篇
依托丰富的网络资源,通过平台建设,为客户提供语音、数据、视频的融合通信服务,是青岛网通2008年为客户提供创造价值信息化方案的工作目标之一。2008年,青岛网通积极借鉴国外运营商的经验,努力为客户建设融合通信平台,提供先进的融合多媒体通信服务。
统一通信是现代企业信息化较为先进的融合通信技术,依托数据网络基础,通过统一集中的多媒体通信交换平台,承载语音、数据、视频、Web等多媒体通信,实现通信融合。
近年来,海尔、海信等集团客户普遍对广域网网络进行了升级改造,旨在提升通信应用。视频会议、IP语音等通信需求已在集团客户中逐渐展开使用,会议电话、Web会议、远程培训等多媒体通信需求也日趋迫切。
通过研究全球先进的统一通信技术,以满足海尔的需求为切入点,比较爱立信、北电、思科的融合通信方案,选择思科方案,青岛网通建设了统一通信平台,通过客户化需求的二次开发,为海尔、海信等集团客户提供先进的融合通信。
2 项目建设方案和内容
2.1 项目建设总体规划
本次青岛网通统一通信系统的总体架构设计,涵盖IP电话、多媒体会议系统(电话会议、视频会议、Web会议)和桌面会议系统(CUPC)。
根据客户的需求预测,统一通信平台建设分两阶段进行:
第一阶段:为客户提供高清视频会议服务,节省客户通信成本、培训成本及其他业务成本,为客户提供IP电话服务、电话会议协作服务、Web及桌面协作服务等多媒体通信服务。
第二阶段:通过客户初步的测试使用,逐渐实现IP电话的大规模部署;集成多种通信方式,全面提供统一消息、多媒体会议、移动通信、即时通信、语音留言、语音会议、Web会议、视频会议等多场景、多种方式的有机组合。
统一通信系统主要是解决以下两个问题:如何使语音网络和数据网络之间的信令、路由、地址解析等相关因素在同一网络中协调运作;如何将延迟敏感的语音和延迟不敏感的数据业务相互交织于同一网络并确保语音和视频业务的安全性。
2.2 项目建设总体原则
(1)高可用性
系统的全局可靠性,既包括网络连接的冗余,又包括通信系统的冗余。所涉及的服务器应该采用高可靠性结构、容错结构或其它可靠性技术;通信系统软件自身能够提供99.999%的高可用性,能够无缝进行故障切换和恢复,不会因为单点故障而影响到语音的呼叫建立和连接。能够提供不同级别的呼叫路由的备份。系统能够提供故障管理能力,保证各类被中断的数据传送的完整性和准确性。
(2)高可扩展性和兼容性
系统的设计不仅需要满足目前的容量和功能需求,而且必须考虑长期的战略规划,能够快速支持与现有语音通信系统的连接、设备的扩容和多种媒体协同通信功能。
系统应能容纳未来新增的不同品牌的设备,并充分保证异种系统的互操作性,以适应系统规模扩展的需求和平滑升级。
语音系统应支持国际主流标准IP通信协议,如H.323、SIP等,并能提供标准开放的接口,以保证今后新的媒体(Web、Email、PDA、IM等)应用的快速集成。
(3)可管理性
建立方便、全面的通信网络管理,对保证通信网络的安全、高效运行是非常重要的。系统必须易于使用,必须能够提供安全的远程Web登录管理方式,以减少员工培训费用。同时,系统维护应尽量集中、简单,尽量避免复杂系统和多系统组合的维护开销,减轻维护人员的负担,提高网管和决策的效率。
(4)全程全网服务质量保证
由于先进、交互式的关键业务应用与非关键业务的数据、带宽需求高等应用和对延迟敏感的应用(如话音、视频)共享网络资源,而每种应用使用网络的方式各不相同,在网络中使用多种互不相同的应用,或网络中存在传输速率发生变化的合并点,所以必须有一定的Qo S(服务质量)使业务能够流畅而平稳地传输,以防止业务拥挤(拥塞)及由此产生的会话、图像丢失或故障。通过Qo S机制,网管人员能够全面管理网络的带宽、延迟、抖动和包丢失等。
(5)系统级的安全性
有效的安全控制必须是端到端进行部署,并涵盖客户语音网络中的所有部件、系统和链路。具体来说,安全性必须考虑以下要素:网络基础设施(承载所有IP数据、语音和视频流量的基础网络,包括工作组交换机、路由器和连接的链路)、呼叫处理系统(传统语音交换机、服务器和相关的设备,提供呼叫管理、控制和计费功能)、端点(模拟电话、IP电话、视频终端和其他用户设施)以及应用(用户端应用,例如多方会议、统一消息和XML服务,也包括扩展IP通信系统功能的客户化工具)。
网络保护措施应该遵循三个基本原则:安全的连接和管理、威胁防御、管理信任关系和身份认证。针对传输语音的IP网络的安全措施主要保护四种设备:IP电话、呼叫管理器、语音信箱系统和语音网关。例如,应用一些措施区分、隔离语音呼叫和数据通信,以保障IP电话的安全,防止闯入数据网络的病毒渗入语音平台。
(6)统一的电话号码规划原则
根据统一通信系统的规模和范围,需要对IP电话号码进行统一规划。为方便理解和记忆,号码的规划要参考现有公网电话号码的编码规则,还应考虑今后IP通信系统的扩展性,如联络中心座席的编号和视频终端的编号等。
(7)先进性和成熟性
采用通信领域的最新技术,保证系统在建成后一段时间内不会因技术落后而大规模调整,并能通过升级保持系统的先进性,延长其生命周期,同时又要保证技术是稳定的、成熟的,能够支持现有的多种业务功能。
2.3 项目建设方案
统一通信系统的最大特点,就是语音和数据均采用IP承载,能够支持多种接入方式,增值应用广泛,具有完善的管理系统,以更好地满足多媒体通信的需求。总体构架如图1。
(1)在青岛中心部署2台呼叫控制设备组成一个组群和2台网守,控制所有IP电话机间的接续,CUCM支持5000部电话的核心呼叫处理,所有视频终端的继续,所有网关的呼入、呼出,产生CDR,由记费系统产生记费账单、统计报表。
(2)应用服务器本次统一部署多媒体会议服务器,包括Meeting Place和MCU。
(3)部署2台网关,与客户小交换机互联,实现与现有模拟电话的4位短号码互通。
(4)IP电话终端和视频终端部署,电话终端合计306部硬件IP电话,50部软件IP电话及其许可。
(5)一阶段部署的重点是呼叫控制设备、多媒体会议服务器和视频终端。
本项目完成第一阶段的工作目标。即:容量为视频会议86个点;电话会议支持210人在线同时召开会议;50部软电话具有移动办公功能;400部IP电话。
2.4 高通信质量和高可靠性的IP电话系统
青岛网通统一通信平台通过服务器集群及备份、自动替代路由功能,确保大规模容量的IP系统的高通信质量和高可靠性。
全部或部分的语音网关、IP电话等设备在系统或网络正常的情况下,注册到主服务器。一旦出现网络故障或服务器故障,全部设备和IP电话均自动转移到备用的Call Manager服务器上。在Call Manager服务器群集的内部,各个服务器之间实现呼叫控制和终端、网关状态等数据的数据库同步和分发机制。当发生服务器切换或IP电话转移服务器时,不会导致系统中断,甚至在两个或多个备份的服务器全部中断的情况下,已经建立的通话都不会受到影响。
一般情况下,建议有两种Call Manager服务器群集和备份的方法:
当一个服务器的容量不能支持大量的IP电话时,可配置多余一个的Call Manager服务器,实现群集。当多个服务器群集的总容量满足最终系统需求时,实际已经实现了一定意义上的Call Manager服务器冗余配置,即1:1冗余。因为一般不会出现每个服务器同时达到最大通信容量的情况,所以,当多个服务器群集的配置下,已实现了一定的备份机制。
当服务器群集的容量较大,而且基本达到群集后的满负荷容量时,为达到更高的可靠性要求,一般建议采用另外增加一个Call Manager服务器的方法,实现N:1方式的冗余配置。一般情况下,Cisco建议采用N+1备份的方式。
本项目中,在中心部署2台Cisco CUCM呼叫控制器作为统一通信系统的核心呼叫控制设备,2台CUCM组成一个呼叫控制集群,互相之间冗余备份,实现高可用性。
统一通信系统的自动替代路由(AAR)功能,让CUCM可以在集群内两个异地终端之间的Vo IP路径带宽不足时,为语音流建立一条PSTN替代路径。这种方式由CUCM的呼叫准入控制(CAC)的Location(位置)机制决定。AAR对用户完全透明。通过设置AAR,在网络带宽不足的情况下,IP电话用户还是拨打对方IP电话的网内号码,系统可以通过替代网络(PSTN)呼叫目的地用户,即拨号方案无需变化,从而保证IP电话的高可用性。
青岛网通统一通信系统的设计中,为所有7970/7985 IP电话设计了AAR自动替代路由,对语音信箱、多媒体会议也设计了AAR自动替代路由。
2.5 支持多种视频标准、图像格式的高清视频会议系统
依托IP网络,通过放在青岛中心的多点控制交换单元(MCU)完成多点会议,实现全国视频会议、数据双流、远程培训等功能,支持多种视频标准、图像格式,具有高清视频功能。
充分利用网络资源,构建基于H.323标准的视频会议系统。H.323标准会议电视系统构建在IP网络之上,H.323标准的两个设备互通时不关心物理连接的拓扑结构,只关心其连通性和通讯质量(包延迟、抖动等),其网络可以是星状、线状网、树状骨干网甚至网状结构等。其中,星状、线状网适合于集中式会议电视系统,可满足如机关、企业内部、部门内部会议电视系统的需要;而树状骨干网则适应分级会议电视系统的需要,适合多级MCU级连的会议电视系统采用。而且,在H.323环境下,视频会议电视系统的应用和目前网络上的其它数据应用可以并存,充分发挥了网络系统的作用。因此,视频会议网络系统选择了H.323标准。
2.5.1 MCU性能指标基本描述
(1)主体结构:采用电信级纯硬件结构设计;业内唯一CPCI模块化硬件结构设计,即插即用。
(2)操作系统:业内顶尖的第三代嵌入式实时操作系统Vxworks5.x+DSP设计。
(3)通信标准;权威的ITU-T H.323实时、交互性视讯平台系统;业内唯一同时支持ITU-T的H.323视频会议标准,兼容IETF SIP标准,兼容SCCP标准。
(4)视频标准:ITU-T H.264;ITU-T H.261/H.263/H.263++。
(5)图像格式:VGA/SVGA/XGA;720P/4CIF/CIF/QCIF。
(6)级联扩展功能:支持MCU的3级级联能力,同时支持单板及跨板的级联功能;支持MCU级联的分层显示功能,能清楚知道终端在各MCU上的分布;在一个会议管理界面即可管理所有级联的MCU和终端,包括对整个级联会议及被级联MCU上的某个终端进行相应的会议管理操作(如断开整个级联会议,对任意被级联MCU上的任意终端进行广播、静音等)。
(7)服务质量保证:支持业内最高级别的Diffserve QOS服务质量保证功能;是以业务进行区分的服务质量保证功能,综合视频业务平台,是语音、视频、数据协作等多功能的综合平台。毫无疑问,Diffserve QOS是唯一最适合的QOS技术。
(8)双路图像(双流):支持ITU-T H.239双视频流功能;支持双路视频流功能。
(9)系统管理及监控:提供对整体会议系统的状态监控能力,包括MCU、终端、连接链路等;提供对整体会议系统的管理能力,包括MCU、终端、会议等配置和管理。
(10)设备的可靠性:满足7X24X365不间断运营需求;业内最大20万小时MTBF值。
2.5.2 视频会议功能综述
(1)最具性价比的多功能综合视讯业务平台解决方案;
(2)权威的H.323实时、交互性视讯平台系统;
(3)支持ITU-T的H.323/H.320视频会议标准,兼容IETF SIP标准,兼容SSCP标准;
(4)灵活的组网模式,IP数据网全面的接入、兼容能力;
(5)最短的功能时延及Diffserv QOS保证;
(6)业内顶尖的第三代嵌入式实时操作系统Vxworks5.x+DSP设计;
(7)业内唯一CPCI模块化硬件结构设计,即插即用;
(8)支持56Kbps--2Mbps速率的视频会议;
(9)完全基于Web方式的管理及配置界面(中文的会议管理界面);
(10)ITU-T国际标准音频及视频编码,E.164国际标准命名格式;
(11)同时支持IP地址、别名、号码等多种呼叫方式;
(12)支持allseeone及seeyouseeme语音激励模式;
(13)良好的互操作性,简洁易用;
(14)支持自动轮循等会议模式,独有的开始、停止等单键控制功能;
(15)灵活的切换控制功能,独有的拖拽管理方式;
(16)会议密码强制及语音提示功能;
(17)支持会议锁功能;
(18)独有的单键全部静音、单键取消全部静音、单键静画功能;
(19)全面的终端通信状态数据显示及统计功能;
(20)支持ITU-T标准H.281远端镜头遥控FEC C功能;
(21)支持ITU-T标准的H.239动态双流功能;
(22)支持H.261/H.263/H.264等ITU-T视频编码格式;
(23)支持768Kbps/CIF/30fps多分屏会议功能;
(24)支持最大XGA高分辨率视频图像格式;
(25)支持Site name字幕功能,独有的单键控制功能;
(26)支持当前演讲者提示框功能;
(27)支持不中断会议的情况下,随意修改分屏模式;
(28)HTTP、FTP、SNMP、PING等安全访问机制;
(29)独有的Net Save网络优化功能,独有自动降速功能;
(30)独有的1Kbps粒度的速率调节功能;
(31)完善的Event Log机制;
(32)满足电信级7×24×365运营的稳定性、可靠性及冗余能力;
(33)支持服务级别冗余备份功能;
(34)在线升级与维护功能;
(35)最佳的H.323的兼容能力,最为出众的扩展性能;
(36)真正实现语音、图像和数据的多功能、综合业务视讯平台。
2.6 功能丰富的多媒体会议系统
实现多媒体Web会议。Web会议的功能更丰富,包括电子投票、电子白板、Web push、会议中的即时消息、分会场讨论、文档共享、桌面共享、会议录音、显示谁在讲话、谁在共享文档等等。
2.6.1 开发提供的功能
(1)演示:用户通过Windows或Mac OS环境中的一个Web浏览器,上传和共享Power Point演示、图形文件(jpg)、Flash内容(swf文件)和Flash电影(flv文件)。演示中的动画在播放幻灯片时保留。
(2)演讲者准备区:只有演讲者和会议组织者能看到和访问这部分屏幕,以便私下讨论,与普通视图隔离。
(3)注解和白板:用户能对共享应用、演示和白板进行注解。每个会议支持多个白板进程。
(4)应用和桌面共享:用户能通过Windows(Internet Explorer、Firefox或Netscape浏览器)和Mac OS(Safari或Firefox浏览器)共享任意文件、应用或桌面(包括双显示器系统)。共享内容根据浏览者的桌面分辨率进行自动调整。用户能在会议中同时共享多个应用,同时浏览,并同时参加多个Web会议。
(5)远程控制:在允许的情况下,用户能远程控制共享应用、演示、文件、网站或桌面,以便于协作或提供远程帮助。
(6)主持人交谈:演讲者和会议组织者能选择特定问题来回答,将答案回复给个人或整个小组。
(7)投票:与会者能在会议前投票,或在会议期间实时投票。演讲者能管理投票并使用条形图管理投票结果的显示。会议期间或之后提供投票结果。
(8)会议模板:为方便使用,提供标准模板(协作、演示或Web研讨会),配备预设置的工具和输出,以便访问。
(9)可定制输出:用户能创建喜好的会议输出格式并保存,以便在未来会议中使用。
(10)录音:用户能自动录制、播放同步的Web、语音会议内容,无需在桌面部署其他硬件或软件。录音能通过网络连接存储(NAS)和存储局域网(SAN)系统远程存储。语音录音能存储为MP3或Windows Media文件。
2.6.2 应用支持的Web会议类型
(1)开放式论坛会议;
(2)演讲风格会议;
(3)无需预约的会议;
(4)连续不间断会议;
(5)预留所有端口。
2.6.3 与IP电话系统集成
Meeting Place通过IP网关和Call Manager系统集成,IP电话7940、7960、7970和7971上能够不间断地获得会议设置、邀请和参与方面的信息。
客户可以在话机上完成如下操作:
(1)方便预定即时会议或是预约会议;
(2)方便加入会议;
(3)查询两天内的电话会议安排;
(4)删除明天的预约会议;
(5)申请MP的Dial-back。
3 项目评价分析
3.1 项目在技术、规模方面都处于业界领先
青岛网通统一通信平台采用思科统一通信产品,设备技术领先,功能丰富,通过客户化需求的各项业务充分融合开发,为客户提供了真正意义的全程全网的融合通信。
青岛网通统一通信建设规模较大,实现了IP语音、视频会议、多媒体会议等多种通信方式的融合,真正为客户提供了语音、数据、视频的融合通信。目前,该平台可谓国内规模最大、功能最强的统一通信应用平台。
3.2 项目为青岛网通创造良好经济效益的同时,带动了集团性客户信息化水平的大幅提升
系统建成后,首先为海尔集团提供服务。按照前期的需求预测,项目静态回收期为1.95年。同时,随着海信等其他集团客户的加入,项目收入较为可观。
怎样维护祖国统一 第2篇
反对民族分裂,维护祖国统一。民族团结是社会安定、国家昌盛和民族进步繁荣的必要条件。中国的民族团结与国家统一有着内在的联系。民族团结的原则要求各族人民热爱祖国、维护统一,反对一切破坏团结、分裂祖国的活动。
在中国的历史发展上,长期存在着民族压迫和民族歧视制度。新中国成立后,通过对民族地区进行民主改造和社会主义改造,从根本上废除了这一反动制度,开辟了民族平等团结的新纪元。此外,中国共产党和政府还运用行政和法律等手段禁止一切形式的民族压迫和歧视行为。
民族团结的主要范围
民族团结包括不同民族之间的团结,也包含着民族内部的团结。
水浒传》读后感
读了后,最大的感受就是书中的英雄们的豪情壮义,仗义疏财。先说智取生辰纲的七条好汉。智取生辰纲,是梁山好汉一番轰轰烈烈的事业的发端。这一段好汉壮举,轰动了水浒世界里的江湖。但是晁盖一伙,做下这桩弥天大案,背后 的真实动机又是什么?是为了劫富济贫?还是说为了准备“ 农民革命” ?显然都不是。黄泥冈上,这一伙好汉劫得了十万贯金珠,而后大概经过坐地分赃,晁盖、吴用等回了 晁家庄园,三阮则“ 得了钱财,自回石碣村去了。” 随后并没听说他们有济贫的打算,也没见他们准备扯旗造反(或曰起义),如果(转载自本网http://,请保留此标记。)不是东窗事发,保不准他们真的就此安心 做了富家翁,一世快活。因此,这桩大案,打劫的固然是不义之财,但其实质,说穿了,就是一次黑道行动。
再看鸳鸯楼上那幕血案,武松连刃十数人后,一片血泊之中,从容地将桌上银酒器 踏扁,揣入怀里带走;而即使粗心卤莽至极的角色如李逵,沂岭之上杀了假李逵后,也 没忘进房中搜看,“ 搜得些散碎银两并几件钗环”,都拿了──李逵虽极端厌烦女色,但也知这些沾满了脂粉气的钗环可以换钱换酒,照拿不误。而后,还去李鬼身边,搜回 了那锭被骗去的小银子,在这种事儿上,黑旋风也足够细心。
加强民族团结 维护国家统一 第3篇
2008年12月6日,法国总统萨科齐不顾中方多次严正交涉,执意同窜访欧洲的达赖喇嘛见面,严重伤害了中国人民的感情。涉藏问题事关中国的主权和领土完整,涉及中国的核心利益,中国政府和人民一贯坚决反对达赖以任何名义到其他国家从事分裂中国的活动,也坚决反对外国领导人同达赖进行任何形式的接触。法方不顾中方重大关切和中法关系大局,在涉藏问题上投机取巧,必将对中法关系造成损害。正如英国《金融时报》所说:“这种自我炫耀式的做法毫无必要,只能作茧自缚。”
[知识链接]
1、我国是统一的多民族国家。平等、团结、互助、和谐是我国社会主义民族关系的本质特征,平等是基础。各民族一律平等,不仅包括法律上、政治上的平等,也包括经济、文化各方面的平等。只有民族完全平等,国家才能实现长期稳定和持续发展。社会主义制度的建立,奠定了民族平等的政治基础,为少数民族的发展和各民族共同繁荣开辟了道路。解决民族地区的困难和问题,缩小民族地区与其他地区的差距,归根到底要靠发展经济。
2、公民要履行维护国家统一和民族团结的义务。每个公民都有责任维护各民族间的平等、团结、互助、和谐关系,积极同一切破坏民族团结、制造民族分裂的行为作斗争。
3、民族区域自治制度是我国的基本政治制度之一。民族平等、团结和共同繁荣作为处理民族关系的原则载入了宪法和法律,各族人民真正成了国家的主人。
4、维护民族团结,既是国家的事,也是我们应尽的责任和义务。在学校生活中,各民族同学之间要互相关心、互相帮助,尊重各民族的宗教信仰、风俗习惯和语言文字,以实际行动自觉履行维护各民族团结的义务。
[跟踪训练]
一、单项选择题
1、我国新型社会主义民族关系建立并得以维持的原因是()
①各民族人民的根本利益是一致的②我国各民族之间的差别已经完全消失③新中国成立后,各民族人民成为国家的主人④我国政府允许少数民族地区享有完全自治权
A.①②③B.①③④C.①③D.①②④
2、维护民族团结,建设和谐的民族关系()
①是新时期党执政兴国的第一要务②能充分调动各民族人民的积极性、主动性、创造性,增强中华民族凝聚力③是全面建设小康社会的必然要求④符合各民族的根本利益
A.①③④B.②③④C.①②④D.①②③
3、汉族青年张强到宁夏旅游,他来到一家清真餐馆,请你告诉他需要注意()
A.不要让服务员知道他是汉人
B.不能要求餐馆提供肉类食品
C.不能饮酒
D.不能将猪肉火腿肠带进餐馆
4、胡锦涛同志强调,要抓住国家实施西部大开发的历史机遇,牢固树立和落实科学发展观,加快少数民族地区经济社会发展的步伐,不断改善少数民族群众的生活。这样做()
①是促进区域经济协调发展的需要②是维护社会稳定的需要③是社会主义优越性的体现④少数民族群众的生活习惯就会发生较大改变⑤说明社会主义的本质是最终实现共同富裕
A.①②③⑤B.②③④⑤C.①②④⑤D.①③④⑤
二、材料分析题
5、材料一1965年至2004年,中央对西藏地方财政补助累计达968.72亿元,其中1994年至2004年达785.26亿元。对口支援西藏的中央部委、省市区、中央企业先后派出援藏干部2892人,支援自治区建设项目1698个,投入资金64亿多元。中央关心西藏,全国支援西藏,为西藏经济社会快速发展注入了强大动力,西藏在全面建设小康社会的道路上迈出新的步伐。
材料二事实上,达赖私人代表前段时间向中央提出的所谓《为全体藏人获得真正自治的备忘录》,实质就是企图先在占中国四分之一的国土上建立一个由达赖集团控制的“半独立”、“变相独立”的政治实体,条件成熟时再谋求实现“西藏完全独立”。而达赖一直坚持的所谓的“中间道路”,用中央参与接触谈判的统战部常务副部长朱维群的话说,更是彻头彻尾的“西藏独立”,只不过是加了一个“大藏区”、“高度自治”的包装而已。
阅读材料,回答问题:
(1)材料一反映了我国怎样的民族关系?材料二给了我们什么警示?
(2)多年来,西藏自治区多次严厉打击各种分裂活动,维护了社会稳定。维护西藏的稳定有何积极意义?
(3)结合自己的生活实际,谈谈中学生应该怎样履行维护民族团结的义务。
参考答案:
一、1.C2.B3.D4.A
4A统一安全平台设计方案 第4篇
随着企业业务发展迅速, 各种IT应用系统和用户数量不断增加, 分散的业务应用、信息孤岛存在安全和管理问题:各应用不在统一的安全平台上, 有不同的授权机制和验证方式, 开发和维护费用很大;没有统一的安全平台, 以后开发新的应用, 用户需要记忆多个用户名/和密码, 做多次登录, 用户满意度低;各应用条块分割, 封闭的用户验证方式, 不能安全和方便的扩展业务到合作伙伴, 不利于业务的扩展;没有集中统一安全管理机制, 管理费用很大;没有统一标准的安全验证、访问、授权、审计平台, 没有一致的安全等级保护, 没有统一的安全策略, 存在安全风险;没有集中的安全审计, 统一审计各应用的安全事件。所以需要建设集中统一的安全平台, 各个应用在统一平台上作认证和授权, 使得管理人员可以对IT系统的用户和各种资源进行集中安全管理、集中权限分配、集中审计, 从而保证业务的统一安全管理。统一安全平台包括认证 (Authentication) 管理、授权 (Authorization) 管理、用户 (Account) 管理、安全审计 (Audit) , 简称4A统一安全平台。
2 4A统一安全平台设计
2.1 整体设计
4A统一安全平台解决方案由3个模块组成: (1) 安全访问管理 (SAM) :提供统一认证、授权功能 (Authentication, Authorization) ; (2) 统一用户管理 (IAM) :提供统一用户管理功能 (Account) ; (3) 统一安全审计 (AUDIT) :提供统一审计功能 (Audit)
2.1.1 安全访问管理
(1) 统一身份认证。原来分散的各个应用分别验证, 统一到SAM平台。支持多种身份认证方式。
(2) 安全等级保护。不同等级的应用采用不同级别的权限控制和身份验证。
(3) 多种单点登录。实现多种环境和多种方式的单点登录。
(4) 统一访问控制、集中授权管理。以用户为中心的基于角色的安全策略管理。
(5) 统一密码策略管理。统一密码策略管理, 增强用户名/口令的安全性。
2.1.2 统一用户管理
(1) 用户自助服务:提供灵活的可定制的WEB界面, 用户可以自助更改信息, 统一更改密码等;提供用户自登记界面, 用户在网上自助登记信息后。
(2) 自动工作流:自动执行用户审批管理流程 (用户开户、改变、悬挂、删除等) , 为客户提供可定制的工作流程。
(3) 分权管理:可有选择性地向一些人员和部门 (无论内部与外部) 分派适当的管理权。可控制的用户管理委派功能能够显著改善IT组织及其他组织 (赋予了用户支持任务) 的管理伸缩性。
2.1.3 统一安全审计
Audit统一审计各个层面的安全事件, 包括用户认证证事件、用户访问事件等, 数据库的事件, 应用系统的事件等, 进行安全分析和报表。
2.2 部署架构图
4A平台部署示意图如图1:
(1) SAM:部署SAM Policy Server服务器, 在各应用系统的WEB Server/Web ApplicationServer上安装sam agent。通过SAM, 将各种应用系统整合成统一应用, 并且作统一授权和集中用户管理。
(2) Identity Manager:部署Identity Manager服务器, 可以通过LDAP或ODBC等方式集中管理用户。
(3) Audit:部署Audit统一安全审计服务器, 实时收集SAM的日志 (登录日志、验证日志、访问日志、授权日志等) , Identity Manager的日志 (增加用户、修改用户、删除用户等日志) , 应用系统的日志, 证书认证系统的日志, 实时处理, 统一日志格式, 统一查询过滤和分析。从不同的角度分析用户的行为。
3 关键业务流程介绍
3.1 统一认证
通过SAM整合各个应用的安全孤岛, 采用统一身份验证。采取多种安全认证方式, 丰富的认证策略支持。并且可以遵照国家信息安全等级保护条例的要求, 重要应用采用更高安全等级的身份验证 (双因素令牌卡或生物认证等) 。
如图2所示, SAM工作过程: (1) 用户试图访问某项受保护的资源; (2) 安装在web服务器上的agent要求用户认证; (3) 系统根据用户库对用户进行身份确认; (4) 策略服务器评估用户的权限, 并授予切当的访问; (5) 用户验证信息被传递给应用的Web Agent; (6) 用户获得对应用的访问, 该应用提供相应的内容。
3.2 单点登录
SAM实现多种环境和多种方式的单点登录, 例如: (1) 通过一次身份认证后, 在所有相同安全等级的应用中单点登录; (2) 通过一次高安全等级身份认证 (例如双因素令牌卡或生物认证等) 后, 在所有低安全等级 (例如证书认证) 或相同安全等级的应用中单点登录; (3) 支持多种域名之间的单点登录; (4) 支持WEB应用、J2EE应用、.Net应用、ERP/CRM (SAP, Siebel, PeopleSoft, Oracle) 应用的单点登录。
SAM实现单点登录, 用户的身份可以在服务器之间传递, 免去了重复登录。当一个用户在SAM得到认证之后, 一个包含用户必要区间信息的加密cookie就产生了。这个cookie通过128位对称密码加密。用户后来在访问由SAM保护的不同的资源时, 那些信息就被解密并用来识别用户的身份, 而不需要再次认证。
SAM同时也实现跨域的单点登录。当用户在单独的一个互联网域中得到认证以后, 在他们访问其他域的被保护的资源或应用软件时就不需要再次认证。这的确是一个关键的功能, 尤其对于那些拥有多个部门或是跨国业务的企业而言。
图3表明了SAM如何为不同平台, 服务器和不同域的应用程序提供单点登陆服务:
3.3 统一授权
基于角色的安全策略管理:SAM实现以用户为中心的基于角色的安全策略管理。SAM是一种以用户为中心, 基于角色的安全策略控制。“以用户为中心”是指对所有应用系统资源的安全访问控制管理是围绕用户和用户组或角色来进行的, “基于策略”意味着访问许可由一系列访问规则进行界定, 规则再与用户或用户组或角色相联系而形成了策略。
规则=资源+动作+区域+[规则扩展]
策略=用户组+规则+响应+IP地址+时间+[策略扩展]
系统采用的基于角色的用户管理策略。系统管理员把应用的资源化分成不同的资源域, 系统的用户被放在不同的用户目录中, 并具有不同的身份和其他属性。不同的应用定义不同的访问控制任务和访问控制角色。管理人员再定义一系列不同的访问规则, 如用户认证规则, 授权规则和响应规则, 实现应用的访问控制。
上面的公式就是统一用户权限管理的安全模型的核心。在技术上, 就是由策略服务器来容纳策略定义, 并通过连接插件连接到税务系统的数据库、目录服务器上, 再通过统一的元数据库来管理对机构的信息进行访问。从而实现以下功能:
用户授权管理:使管理者易于通过所有的应用软件和平台管理大量用户的特权和授权。
单点登录的认证管理:提供多种认证方法和用户跨平台、跨应用系统甚至是跨网域的单点登录能力。
3.4 统一审计
统一审计各个层面的安全事件, 包括证书系统的事件, IAM的授权事件、用户验证事件、用户访问事件等, Oracle数据库的事件, 应用系统的事件等。
3.4.1 跨平台事件管理
Audit收集来自异构环境的审计日志, 这些环境包括UNIX、Windows NT/2000、OS/390和Oracle, 还有Netscape、Apache等领先的网络服务器, 以及通过AP呼叫和支持SNMP的第三方应用环境。对于每天需要处理众多未经授权的访问和恶意侵袭的电子商务系统管理员而言, Audit所具有的跨平台关联事件和识别异常活动模式的能力使其成为一个十分有价值的解决方案。
Audit从各种数据源收集安全审计数据, 然后过滤这些数据, 根据这些数据自动进行处理, 将其在一个或多个位置展现出来;Audit提供将管理和安全审计记录跨平台合并到一个商业关系型数据库中的功能。客户可以从Microsoft Access、Oracle和SQL Server等版本中选取。
3.4.2 异常探测
通过现成的策略, 对主机异常进行探测, 通过关联分析, 可以判断是否有可疑的主机入侵行为。通过自动的模式匹配智能和鉴定侵袭模式语言, Audit能够在可疑事件发生时启动一系列防御措施, 例如向客户发送报警电子邮件或弹出报警窗口、生成SNMP Traps以及自动拒绝访问等。Audit还提供高效的预定义策略防止入侵并对损害进行自动控制。此外, 一旦由于侵袭而导致法律纠纷, Audit记录的信息还将成为非常重要的证据。
4 结束语
本方案的4A统一安全平台的建设, 对现有应用不需要大量改造, 快速把各现有应用的认证、授权、用户、审计整合统一;新的应用在统一安全平台上可以迅速部署, 从而形成构建在国际安全标准上的某客户业务应用的4A统一安全平台。
摘要:介绍了4A安全平台的必要性, 给出了安全平台的整体架构, 并对关键业务流程给予了说明。
用户统一认证平台设计与实现 第5篇
随着计算机各类应用系统的开发建设越来越多, 形成了不同的用户管理系统, 用户需要记忆众多的应用系统的用户名和口令, 不仅容易忘记, 而且也不利于管理。为了解决这个问题, 在很早以前就设想过建立统一用户管理系统的设计, 在“数字地宫”项目的实现过程中, 有幸承担了“用户统一认证平台”的开发工作, 它能够使众多系统共用一套用户管理方案, 以此为例, 论述如何使用ASP.NET和Oracle实现这一通用的用户统一认证平台。
2 技术特性
该用户管理系统为不同的系统提供了一套通用的用户管理功能和用于用户管理的数据结构, 它能够记载用户信息, 能够按角色即用户类进行授权, 并可将角色赋予不同的用户, 这样极大地增加了用户管理的灵活性。
.NET框架技术是基于Web服务模型的应用程序开发而量身定做的新一代开发工具和基本结构。随着.NET平台的逐步完善, .NET执行效率的大幅提高, 它简单并且易于学习, 具有高效可管理性、自定义性和可扩展性, 安全性也较之过去也改善不少。而Oracle在众多的网络数据库中性能优良, 为多系统共用一套用户管理系统提供了强有力的后台数据库支持, 因此系统选用ASP.NET和Oracle实现。
3 实现方法
以“数字地宫”成果为实例, 下面就“用户统一认证平台”功能分析概述。
3.1 功能描述
“户统一认证平台”主要功能是对全厂的数据使用用户进行统一的管理, 用户注册后, 通过管理员用户的授权后, 用户可以查询权限范围内的数据资源。该平台确保用户一次登录后, 未退出浏览器, 用户权限信息有效, 并逐渐过渡到多系统共用一套用户管理方案, 实现用户的统一认证管理。
3.2 功能结构图
如图1所示。
3.3 模块功能
3.3.1 注册管理
用户进入该平台, 本人注册用户信息, 提交后, 系统Email通知系统管理员, 系统管理员落实用户身份, 为其授权并Email通知用户本人, 用户注册成功 (如图2) 。
3.3.2 权限管理
功能说明
(1) 角色定义
系统角色即通常所指的具有相同权限的用户类或用户组, 系统缺省建立管理员用户, 管理员用户可以为不同的系统增加、修改、删除系统角色。
(2) 分配权限子集
通过访问数据表, 读取各节点信息, 为各角色分配不同的节点读写权限。
(3) 分配角色
通过访问数据表, 能够增加、删除、修改已注册用户信息, 由YHQX表形成功能节点树, 对已注册的用户分配角色;分配角色之后发邮件通知给用户。
数据结构如表1、表2、表3所示。
程序逻辑如图3所示。
3.3.3 用户口令管理
用户能够修改口令或系统, 管理员能够在用户管理模块中管理用户的口令。
3.3.4 用户登录
用户登录的主界面 (如图4) , 登录之后将信息存入Session["p_username"], Session["p_dwdm"], Session["p_yhlb"]中以备系统将来取用。
3.4 重点方法
在上网浏览时有时会看到一些网站在左边采用类似资源管理器的树形结构, 在树形结构中单击, 在右边显示内容, 层次清晰且方便快捷, 这就是TreeView控件。TreeView树型控件也是常用的一个控件, 它包含了称做“节点” (node) 的一些条目的一个列表。每一个节点都可以有自己的节点集合, 从而提供了一种更深层的数据定义。每个节点都可以被折叠起来, 从而允许访问者在一个TreevVew控件中查找, 只看所感兴趣的那一级的数据, 就像Windows的资源管理器一样。在“数字地宫”项目中除了应用TreeView以上的功能外, “用户统一认证平台”中还利用了TreeView形成权限节点树, 实现对角色进行授权等功能。
在“用户统一认证平台”用户权限管理模块中, 需要考虑在点选权限时如何保证点选节点同时对下属节点起关联作用, 在树上进行的授权如何保存, 以及当一类角色的权限已存入数据库中后, 当再次对此类角色进行授权时, 如何取出当前角色的权限, 表示在树上等几类关键的系统实现问题。
3.4.1 对节点关联授权
图5是角色权限管理的界面, 通过读授权或写授权对相应的角色详细设置权限, 以下过程是对于treeNode.Nodes集合中的每个节点设置与treeNode相同的权限。
在选择节点, 对节点进行赋权时, 通过为一个节点赋权或取消权限能够同时对下属节点进行权限赋值或取消。初始考虑树应该有一个联系各节点的线索, 在对树实际的研究中发现这样的联系并不存在。通过对树的存储结构观察, 发现每个节点后都会跟随nodes集合属性, Nodes属性可以包含其他TreeNode对象的集合, 集合中的每个树节点都有一个Nodes属性, 它可以包含其自己的TreeNodeCollection即节点集。通过对节点的递归调用遍历此树枝节点, 对所属节点进行授权或取消节点权限。
3.4.2 权限保存
在树上对节点进行授权之后, 需要将授予的权限进行保存 (如图6) 。首先, 需要删除存于数据库中已有的权限记录。
3.4.3 取出角色已存权限
当权限已经存入数据库中后, 再次对此类角色进行授权时需要取出当前角色的权限。
第一种方法:在形成树每个节点的时候, 同时去查数据库xtjsgn表, 若查到则将当前节点赋值。
第二种方法:在树已形成的基础上, 遍历每个节点, 对每个节点进行授权。第二种较第一种方法减少了数据库性能的消耗, 同时又可以增加系统的可读性。
下面是第二种的实现方法进行说明。
主要使用以上两个过程, 第一个是saveqs (strRejsdm, strRejsqx) , 将有权限的节点取出用“|”分割形成字符串;第二个是getAllCheckedNode (tvMenu.Nodes) , 对于每个节点, 在形成的代表有权限的字符串中检查。
此语句if (strqsbc.IndexOf ("|"+tmpNode.NodeData.ToUpper () +"|") >0) 中strqsbc.IndexOf (String) 报告指定Unicode字符在此实例中的第一个匹配项的索引, 该搜索从指定字符位置开始。如果找到该字符, 则为String的索引位置;如果未找到该字符, 则为-1。如果String为Empty, 则返回值为0, 在字符串前多加一个“|”形成“||”可以有效地避免字符串为空的情况。
采用树形节点为角色对功能节点进行授权, 以及为用户对角色进行授权, 层次清晰且方便快捷, 不仅形象直观地表明了属从关系, 而且易于为不同的部分分配权限, 当其他系统调用权限时只需调用XTJSGN表, 具有较强的通用和借鉴功能。
4 结论
【统一维护平台】相关文章:
维护祖国统一课件06-18
维护国家统一教案08-03
维护统一反对分裂08-03
维护民族团结与统一10-28
反对分裂维护祖国统一01-16
维护党的团结统一08-03
第七课维护祖国统一08-26
是维护党的团结统一10-21
专题三 维护民族团结 加强国家统一07-03
用铁的纪律维护党团结统一07-27