监控系统.docx
- 文档编号:9795381
- 上传时间:2023-02-06
- 格式:DOCX
- 页数:15
- 大小:67.08KB
监控系统.docx
《监控系统.docx》由会员分享,可在线阅读,更多相关《监控系统.docx(15页珍藏版)》请在冰豆网上搜索。
监控系统
总论
1.1项目建设背景
随着网络规模的不断扩大和网络具有的虚拟身份特性,网络社会与现实社会有机地融为一体。
现实社会中的问题会越来越多的在“网络社会”中集中反映,“网络社会”所带来的安全与诚信问题将会对现实社会产生深层次负面影响,甚至严重影响社会稳定。
如何对其实施有效管理,维护国家安全和社会稳定是当前部门机关所面临的重大课题。
实现互联网真实身份管理(即网络实名)是对“网络社会”进行管理和控制的有效手段,对整个公共社会领域而言,可以保证社会舆论的有序进行,尤其可以遏制互联网虚拟性滥用导致虚假信息、不良信息泛滥现象;对民生服务而言,可以提供社会公共服务,为公民提供便利;对于商业服务而言,可以提供多样性的电子商务服务,解决网络交易诚信问题。
其对网络的健康发展、发展信息安全技术、打击违法犯罪活动具有极其重要的意义,已刻不容缓。
但是如何行之有效的推进网络实名是国内外所共同面临的一个世界性难题,美国总统奥巴马上任伊始,美国“智库”国际战略研究中心(CSIS)向其提出了“针对网络安全建立完整的国家安全策略”的报告,内容重点是网络空间的身份管理。
该报告建议美国应该实行高强度网络身份认证,这种认证建立在健全的亲自检验和缜密的设备查证的基础之上,是一种针对关键网络基础设施(信息和通信技术,能源,政府服务)的强制性要求。
在欧盟“i2010:
促进增长和就业的欧洲信息社会”倡议背景之下,启动了一项关于电子政务中身份管理的研究,以便在欧洲联盟成员国现有专门知识和倡议的基础上,促进欧洲联盟电子政务身份管理方面找到一种协调统一办法。
英国、德国都将在其新一代身份证中加入电子身份标识。
韩国政府于今年九月底颁布了实施网络实名的《促进使用信息通信网络及信息保护关联法》,规定韩国各主要网站在网民留言之前,必须对留言者的身份证号码等信息进行记录和验证,否则对网站处以最高金额达3万美元的罚款。
但是在实施互联网身份管理的过程中,如果缺乏相关的技术实施手段和平台,将会对网络的发展产生消极的影响。
我国推行互联网真实身份管理也是举步维艰,其重要原因在于没有找准切入点和有效手段。
更深层的原因还是行政机构是从管控的思路出发,导致广大网民的暗中抵制,法规法令流于形式,法律的严肃性尽失。
例如,2009年5月1日,杭州人大通过并执行《杭州市计算机信息网络安全保护管理条例》,这是中国第一部要求“网络实名制”的地方性法规,要求发帖、写博、网游要提供有效身份证明。
实际效果经媒体测评,由于缺乏有效的基础设施和技术支撑平台,该法规形同虚设。
互联网真实身份管理以《居民身份证法》、《电子签名法》为依据,确保所有电子身份标识都是在严格认定真实身份的情况下签发的,代表了网络操作者的真实身份。
从而保护公民隐私,实现便民利民,解决电子商务、网银、网上支付等安全问题。
1.1.1eID服务审计系统
eID服务审计系统实现对eID身份标识服务系统的服务日志等各类信息的综合分析与审计。
主要包含:
eID身份标识服务日志数据收集,eID身份标识服务日志数据综合处理、eID服务审计数据分级存储、eID详细访问统计分析、eID访问行为分析、eID关联分析等。
1、简介
电子身份标识(eID)是设计成为全国公民的一个可信的网络身份标识,eID服务将是面向全国公民的服务。
随着eID的推广,作为公民的电子身份认证标识,就能避免很多网络安全问题.。
而作为一个为互联网提供服务的eID身份标识服务,要有专用的审计系统来汇聚、分析、整理eID服务的审计信息,从而为构建和谐诚信的互联网环境打下坚实的基础。
eID服务审计系统从收集到的eID身份标识服务系统的服务日志中提炼信息,并加以分析整理,还为审计管理员提供web审计页面。
eID服务审计系统主要提供以下功能服务:
收集eID身份标识服务日志数据、提炼eID身份标识服务日志数据、eID服务审计数据分级存储、eID详细访问统计分析、eID访问行为分析、eID关联分析、基于eID的信息布控、布控信息报警
2、架构
鉴于eID服务推广后,其审计数据每天都可能是千万级的原始信息。
各eID身份标识服务系统会将原始信息按一定格式先记录到本地磁盘。
eID服务审计系统,采用多进程和多线程相结合的形式并发的收集整理服务产生的原始信息。
对于接受到的信息数据,将经过预处理后.再进行存储。
例如:
一个eID10分钟内重复登入同一个应用,审计系统就只存储一次。
被记录下来的详细数据,过半年后,系统将进行归并,只要eID在一次上线情况中使用的设备、IP地址没有改变,并在一定时间范围内就归并成一条记录,存放到2级库中。
通过这些数据整理和归并措施,将需要的有效数据能够尽可能多的记录下来,这样既提高有效信息的存储数量,又提高了信息的精准性。
数据库将并且以2级库的形式建立。
一级库存放半年内的数据库,2级库存放2年内合并后的数据。
超过2年的数据,将被导出形成各个时间段的数据文件,并压缩存放,存档以备调用。
同时,数据库将以时间和地域来实现分区分表并结合,并为常用的查询字段建立索引,以提高数据存储量和访问性能;在处理数据关联和碰撞时,将结合内存表和独立开发的内存数据结构处理程序来加快数据分析。
3、技术路线
整体架构分4层:
WEB显示层:
实现界面展示和人机交互
逻辑层:
实现数据分析和业务功能
存储层:
实现数据集中存储
采集层:
接收eID服务系统的数据并初步整理入库
以下将描述主要的功能模块。
●数据采集
接收eID服务系统的数据,并进行格式检查过滤和初步整理,将有效的数据存储入库。
●eID访问统计
统计eID使用情况。
包括使用人数、使用次数。
统计eID访问的各类应用类型,例如民生、政府、金融、网游等的eID使用情况。
提供基于地域、时间、人物、应用等组合条件,详细统计查询eID使用信息。
●eID服务统计
按地域、时间等条件统计分析各eID服务运行情况,eID验证次数,eID验证成功率。
●eID分析
可按时间等条件对特定的eID的访问行为进行统计分析,并以图表展示出eID的网络应用访问行为情况。
可按某些规则来统计分析eID活动信息,例如:
同一时段内访问相同应用的eID等。
并支持以常用条件,自行定制分析规则。
还通过建立时间序列、空间序列、群体序列、复合序列、特定对象等分析模型,形成专题分析报告。
并依据这些报告进行趋势分析
●关联分析
可将外部数据信息以一定格式导入审计系统,审计系统可以按照一定规则来关联分析导入数据和eID服务审计信息。
并支持以常用条件,自行定制关联规则。
●系统管理
提供配置本系统的基本信息、用户管理、字典管理、信息归档导出等基本管理功能。
1.1.2eID读卡器
系统主要由MCU(微控制器)、ISO7816智能卡读写控制芯片、USB接口芯片以及一些外围功能电路如电源电路、在电路编程、液晶显示电路、蜂鸣器驱动电路、天线匹配电路、USB接口电路等部分组成。
读卡器部分,以单片机微控制器为核心部件,通过对读卡模块的控制和操作与非接触式智能卡进行无线通信,实现读卡和写卡的任务,整个读卡器其实是一个完整的可独立工作的单片机系统。
为了具有强大而完善的功能,紧紧依靠单片机系统是远远不够的,故系统通过USB接口芯片的转接,经USB总线与PC通信,由PC实现对大量用户数据的管理。
系统的工作方式是:
先由PC传达操作指示给MCU,MCU接收到命令后根据指示通过SPI通信方式控制读写控制模块对智能卡进行相关操作,然后根据从卡中取得的数据控制发光二极管和蜂鸣器等进行声光提示响应操作,同时MCU把用户数据或错误信息通过USB接口通信传给PC进行处理,由PC统一管理数据。
3、技术路线
读写符合ISO7816协议T=0,T=1的接触式CPU卡。
读写符合ISO14443TypeA、TypeB、TypeC;ISO15693的非接触式CPU卡。
pin码确认:
通过手动输入确认信息确认当前操作的手动验证功能
审计功能:
记录使用时间、环境信息、计算机软件信息、计算机硬件信息、身份信息等数字证书使用过程中的各项信息,将数字证书与真实的证据链互相关联并确保留下真实使用者信息的强审计功能
扩展项保护功能:
与控制端进行通讯,从密钥管理中心获取数字证书中相应扩展项信息的所对应的密钥,由此获取加密扩展项信息后的数字证书
适用IC卡:
ISO14443TypeA、TypeB、TypeC;ISO15693;ISO7816。
通讯接口:
USB无驱(即插即用)。
二次开发语言:
支持多种开发语言,提供相应的例程。
LED指示灯:
指示电源或通讯状态。
天线:
内置。
(非接触式)
传输距离:
80-150m
读卡时间:
0.1s
激发频率:
125Khz或13.56Mhz
工作电压:
DC6-18V
工作电流:
30-80ma
工作温度:
-40℃~150℃
工作湿度:
0%~95%
抗静电干扰:
±2.5KV
1.1.3客户端软件模块
3)智能卡管理工具
①智能卡管理工具的总体结构
智能卡管理工具采用MVC架构实现,其中,M指数据模型,V指用户界面,C则是指控制器,如下图2-16所示:
视图(View)代表用户交互界面,对于智能卡管理工具来说,可以概括为Windows图形界面。
模型(Model):
就是业务流程/状态的处理以及业务规则的制定。
业务流程的处理过程对其它层来说是黑箱操作,模型接受视图请求的数据,并返回最终的处理结果。
业务模型的设计可以说是MVC最主要的核心。
控制(Controller)可以理解为从用户接收请求,将模型与视图匹配在一起,共同完成用户的请求。
控制层并不做任何的数据处理。
模型、视图与控制器的分离,使得一个模型可以具有多个显示视图。
该模式下视图、控制器、模型三者之间的关系如下图所示。
图2-17智能卡管理工具的总体结构
②智能卡管理工具主要功能
●证书查看
用户可以使用智能卡管理工具中的该功能,查看eID智能卡中存在多少张数字证书,以及每张证书的具体内容。
●智能卡格式化
在eID智能卡的使用过程中,有可能eID智能卡中的证书不再使用了,或者用户想删除掉eID智能卡中的数据,这时可以使用eID智能卡的格式化功能。
●PIN码管理
修改用户PIN码;
修改ADMINPIN码。
1.1.4数据分析系统
●国内外现状
随着“大数据时代”来临,社会数据海量累计,将社会中的分散、零乱、标准不统一的数据整合到一起,为部门的决策提供分析依据。
它是整个部门数据的生命线,包括了数据清洗、整合、转换、等各个过程。
最终为形成专业的分析数据库为部门业务提供支持。
数据的清洗和整合目前在无锡、重庆、广州等地有巨大的需求。
按照《国家中长期科学和技术发展规划纲要(2006━2020年)》(以下简称《纲要》)总体战略部署,数据的汇聚集聚清洗和整合可以加速城市信息基础设施建设、提升城市管理和服务的智慧水平,促进形成信息服务新模式新业态,推动信息产业和现代服务业发展,加快培育战略性新兴产业。
下一代信息技术革命将是以数据为中心的革命(Data-CentricRevolution)。
《科学》2010年3月的文章指出科学技术的发展正在变得越来越依赖数据。
图灵奖获得者JimGray也指出,数据密集型科学发现(Data-IntensiveScientificDiscovery)将成为科学技术发展的第四范式。
《经济学人》2010年2月的专题文章提出需要解决当前“数据泛滥”(TheDataDeluge)的问题。
而对于数据清洗,尽管工业界已经开发了很多数据抽取、转化和装载工具(ETLtool),但是它并没有得到足够多的研究人员的关注。
●国外研究现状
国外对数据清洗整合的研究最早出现在美国,是从对全美的社会保险号错误的纠正开始。
美国信息业和商业的发展,极大地刺激了对数据清洗技术的研究,主要集中在以下4个方面:
(1)检测并消除数据异常。
采用统计方法来检测数值型属性,计算字段值的均值和标准差,考虑每个字段的置信区间来识别异常字段和记录。
将数据挖掘方法引入数据清理,如聚类方法用于检测异常记录、模型方法发现不符合现有模式的异常记录、关联规则方法发现数据集中不符合具有高置信度和支持度规则的异常数据。
(2)检测并消除近似重复记录。
即对重复记录进行清洗。
消除数据集中的近似重复记录问题是目前数据清洗领域中研究最多的内容。
为了从数据集中消除重复记录,首要的问题就是如何判断两条记录是否近似重复。
(3)数据的集成。
在数据仓库应用中,数据清洗首先必须考虑数据集成,主要是将数据源中的结构和数据映射到目标结构与域中。
在这方面已经开展了大量的研究工作。
(4)特定领域的数据清洗。
不少数据清洗方案和算法都是针对特定应用问题的,只适用于较小的范围。
通用的、与应用领域无关的算法和方案较少。
近年来,国外的数据清洗技术发展得很快,从市场上存在的数据清洗整合软件可以看出,其中包括商业上的数据清洗整合软件,也有大学和研究机构开发的数据清洗整合软件。
●国内研究现状
目前,国内对数据清洗技术的研究还处于初级阶段。
直接针对数据清洗整合,特别是针对中文数据清洗的研究成果并不多。
大多是在数据仓库、决策支持、数据挖掘研究中,对其做一些比较简单的阐述。
银行、保险和证券等对客户数据的准确性要求很高的行业,都在做各自的客户数据的清洗工作,针对各自具体应用而开发软件,而很少有理论性的成果见诸于报道。
●选题意义
随着信息化进程的推进,各单位建设的应用信息系统和业务系统日益增多,拥有了丰富的信息资源,对于提高行政效率和公共服务水平起到了积极的成效。
但由于信息技术的迅猛发展,各个不同阶段建设的信息系统的技术差异,加上多数单位的业务系统都是根据各自的业务实际情况自主开发,缺乏统一的标准和统一的规划,应用系统之间也普遍缺乏标准化的数据接口定义,而且由于部门垄断和行政体制条块分割现象的存在,各部门及相关企事业的社会信息资源无法为部门业务系统共享,彼此之间业务系统无法互联互通,形成“信息孤岛”,造成了社会信息资源的浪费和重复建设等弊端。
不仅如此,信息孤岛还导致了信息的多头采集、重复输入以及多头使用和维护,信息更新的同步性差,从而影响了数据的一致性和正确性,此外,社会信息资源无法共享和数据标准不规范,也已成为制约部门信息化建设向纵深发展的“瓶颈”问题,如何彻底消除信息孤岛,有效整合现有及未来的业务应用系统的信息数据已成为当前信息化建设的重点。
通过数据清洗、转换与整合,使存在于各分散系统中的信息平滑地在系统中流动与共享,消除系统内部信息数据异构问题,生成满足部门业务及社会公共民生服务需求的新的信息集合,实现数据的高度共享,具有现实的重大意义。
因此,立即对数据清洗、转换与整合等核心关键技术开展深入系统的研究,有助于培育和形成一个全新的部门业务工作模式,有利于占据前沿技术制高点,具有十分重要的战略意义。
●研究内容
数据汇集清洗整合总体方案研究,包括技术需求分析研究,关键技术、标准规范、知识产权等全面现状分析研究,制定项目总体详细研究方案。
关键技术研究,主要内容涉及:
1)数据汇集关键技术,
2)数据清洗关键技术,
3)数据整合关键技术,
4)示范动平台。
工具研究,研究适合部门业务的数据清洗整合软件。
1.1.5数据汇聚采集系统
1.1.1.1.系统总体设计
数据汇聚采集系统需要具备数据采集和汇聚数据的采集汇聚应该通过分布在各单位的数据采集汇聚子系统自动完成。
要能够定期地自动汇聚采集各部门的数据,实现内外网的数据交换,并能将采集到的数据上推到原始数据仓库以进一步集中存储。
同时,它也可以从采集汇聚平台接收数据更新,更新本地应用信息系统的数据。
另外,它还能实现数据采集日志记录与自动上传功能,并在数据交换的过程中起到安全网关的作用。
数据采集汇聚子系统管理员可以通过子系统对其管理的数据源单位的子系统进行统一管理和设置。
数据采集汇聚过程中需要对数据进行必要的预处理,并对数据交换进行管理和数据格式化标准设置。
在交换模式上应该支持混合交换模式。
数据交换的粒度可以根据数据种类的不同有所区别,可以深入到业务数据的细项。
另外,采集汇聚平台还应具有数据缓存、LRU等支持性能优化的功能和措施以提高采集汇聚的速度和效率。
1.1.1.1.功能设计
外部社会信息采集子系统需要实现的功能包括:
前端部分
前置系统部分实现了业务系统的桥接功能,需要实现以下具体功能:
支持业务系统和前置节点间的数据同步,方便抽取业务系统中的数据,包括数据库表数据和文件数据。
支持增量同步、数据抽取过程中的数据转换。
可以根据交换场景需要设置交换信息库,并支持交换信息库的配置。
提供可视化工具配置和修改桥接功能,包括数据源和目的地的定义、数据转换字段的定义、数据转换器的配置、同步时间的定义等。
数据转换
数据转换功能必须支持批量地自动将数据从一种格式转化为另一种格式。
在转换过程中应能支持按一定函数规则进行计算和处理。
应提供可视化工具对转换规则进行配置管理,且要求配置界面简单易学。
能提供多种数据适配与数据转换器。
提供多种数据适配接口支持各种异构数据。
提供对数据库表、Exeel文件、普通文件、JMS、JDBC、RMI、TCPSOCKET等标准适配器,提供适配器二次开发编程接口。
并且可以提供各种数据转换器,实现对数据格式的自动转换。
数据转换器可以自由地增删改。
数据传输
实现从一个(或多个)交换节点的数据传输到另外一个(或多个)交换节点上,支持HTTP/HTTPS、TCPSoeket、SSL、JMS、FTP、SOAP等传输协议。
交换数据类型包括数据库数据和文件数据。
支持可靠传输。
配置与管理
提供可视化采集汇聚流程配置工具,支持编程方式的流程开发。
可以远程控制流程的启停、查看流程的当前状态。
数据访问接口层
数据访问接口层为其他子系统和未来的外接系统提供了一系列统一的、规范的数据访问接口,一方面可以屏蔽内部的数据构造细节,提高数据安全性,另一方面可以降低子系统间的祸合性,有效地保证系统的可扩展性和功能组合的灵活性
管理接口
为共享平台管理系统提供统一的、规范的访问接口
1.1.6数据交换系统
简介
数据交换系统是用于对应用系统数据的抽取,转换,传输和集成。
采用XML文件封装数据,从数据交换和网络安全的角度出发,为网闸隔离环境下内外网数据交换提供一个安全的通道。
数据交换服务需要在内网同时部署,提供数据的采集和集成服务。
在通过接入平台进行数据传输时,由于数据库同步监控配置系统具有双向传输的能力,所以在通过接入平台时,源端和目标端都即可以在外网也可以在内网。
部署环境
如图所示,数据交换服务需要在内网同时部署,提供数据的采集和恢复服务。
图中的数据源服务器包括了数据库服务器,文件服务器(FTP、SAMBA、NFS)。
数据源分为数据库和文件两大类型:
数据库包括MSSQLServer,Oracle,Sybase,MySql等常用数据库,文件excel,txt,xml等格式
(图3-1)
使用流程
3.1在源端数据交换服务器上配置任务
3.1.1.设置源端数据结构
3.1.2.设置目的端数据结构
3.1.3.新建数据采集任务,设置数据交换的对应规则
3.1.4.部署数据采集任务,并导出数据集成的配置文件。
3.2在目的端数据交换服务器上配置任务
3.2.1新建数据与源端对应的集成任务(任务名相同)
3.2.2导入源端导出的数据集成的配置文件。
3.3运行任务
3.3.1启动目的端数据交换服务器上的数据集成任务
3.3.2启动源端数据交换服务器上的数据采集任务
1.1.7数据共享系统
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.
2.
3.
3.1.
3.2.
3.3.
3.3.1.
3.3.2.
3.3.3.
1.1.1.2.功能设计
采用面向服务架构(SOA,Service-OrientedArchitecture)构建数据共享系统,将共享数据仓库中的增值部分发布在对外共享服务平台上,供各部门各业务系统及社会应用系统调用。
主要功能包括:
1、数据汇交功能:
为网上科学数据共享服务系统提供一个直接在网上汇交数据的窗口,具有社会数据汇交权限的用户可以通过此项功能实现网上或是其他方式向数据中心平台提交数据,并可查询汇交数据的进程情况,通过数据的汇交,完成对数据共享资源的补充和更新,并具有数据共享交换服务、数据更新入库、数据转换等功能。
2、数据查询浏览和下载:
基于元数据服务和门户网站系统,开发一站式的共享数据资源发现定位和下载的用户访问界面系统,根据用户的请求提供共享数据集的查询浏览和下载服务。
3、数据发布共享:
利用门户网站技术开发一个支持多种数据资源共享的信息共享技术研发数据网站发布系统,它将数据按照要求进行发布共享,能将数据发送到用户端的前置机上。
发布子系统的功能包括:
主页定制、数据网站栏目管理、发布内容管理、数据检查系统、数据共享统计。
4、机构管理与认证:
主要包括机构用户注册管理、机构用户管理和事务日志的管理维护。
5、共享接口系统:
提供接口Http、Https、WebServices等传输方式的接口,可以和相关的资源单位进行交换。
6、身份认证权限管理:
包括权限管理(包括用户明/密码,证书认证等多种方式)其中身份认证与访问控制依托系统身份认证平台,提供统一的身份认证和授权机制,并可对数据的访问权限进行灵活的分级管理。
为了防止信息共享后的滥用,保证数据访问的安全。
1.1.8监控系统系统
1.7.
3.3.4.
1.1.1.2.1.功能设计
2、主要功能
1)探测点
探测点功能一方面是安全采集监控与审计系统所需要各种信息元素,并将采集到的信息传输到监控审计系统的监测服务;另一方面是将控制信息或轮询请求发送给目标单位。
能够监测目标单位的运行状况:
包括CPU使用率、内存占有率、网络流量、硬盘占有率等信息。
探测点还能向监控对象发出控制指令,例如:
重启、停止等,来实施远程管理。
探测点与监测服务之间采用安全的通讯传输通道来传输数据内容。
能实现远程在线探测规则配置与升级。
2)监测服务
监测服务能够与探测点进行安全信息交互。
收集探测点上报的监控信息,分析整合后,集中存入监控审计数据存储中。
支持以各类监控数据对象为分析元素,将探测点的数据整理分类,并进行格式化存储。
3)监控规则配置
提供符合社会信息采集监控系统需求、与探测点功能相符的全面监控规则配置,覆盖各类计算机设备、网络节点、链路状况、操作系统、应用服务的多视角全面的监控管理。
另外,要为用户提供简便的规则配置接口,提供监控规则常用配置模板,提供用户自定义监控规则模板。
4)报警处置
提供多级的报警设置与处置管理功能,提供图形、短信、e-mail等多形式的报警形式。
对报警处理提供自定义的管理流程,并能让用户灵活的定义与配置报警级别和处置方式。
对报警处置的整个流程提供全程追踪管理。
5)安全管理
基于XX网PKI/PMI系统的身份识别与访问权限控制,系统管理员至少分成2个等级、审计与操作权限分开,系统自身的用户行为实施全流程日志审计。
对重要数据实施安全存储和备份。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 监控 系统