童永強,何建成
浙江慶元縣氣象局,浙江 麗水 323800
隨著社會經濟的發展,廣大人民群眾以及各企事業單位對氣象信息的要求越來越高,大部分基層縣級氣象部門原有的信息網絡已經成為制約其發展的瓶頸。為加快發展充分發揮部門職能,對信息網絡進行重新設計建設十分必要。
縣級氣象部門的信息網絡是一個以信息服務為主體的應用系統。功能上分為內部應用、外部公共服務;應用涉眾方面,分為電子政務,收發郵件及公文,公眾服務,并與其他政府職能系統進行資源共享,互聯網訪問等多個層次;信息安全方面,分為涉密信息和非涉密信息等。因此,需要將網絡系統劃分為多區域、多層級結構。設計將整個網絡劃分為內、外網兩大部分,內網與外網物理隔離,外網與因特網邏輯隔離,內網為氣象業務網。
作為一個滿足未來縣級氣象業務應用的支撐網絡,需要能支持更多電子化的辦公服務。這些策略化的應用需要更高的帶寬、更好的網絡可靠性以及較好的應用響應時間。這就需要將氣象部門內各種不同應用的信息資源,通過高性能的網絡設備能夠做到互聯互通,需采用高性能千兆以太網技術,以充分滿足應用發展對主干帶寬的需求。鑒于以上,網絡需要實現“百兆桌面,千兆骨干”的網絡,為文件傳輸、多媒體應用以及視頻監控等服務提供充足的桌面帶寬。
根據不同的業務狀況建立了內外局域網,內外網處于不連接狀態。搭建整個安全系統,并針對應用和信息密級對安全子系統和安全邊界進行劃分,對不同的安全子系統,提出相應的安全策略和
內外網核心交換機能夠實現高可靠性,否則面臨“核心出現故障,全網癱瘓”的局面,因此核心交換機實現雙引擎,冗余電源和風扇。
建設后的網絡涉及到的設備種類、數量較多,要求維護人員耗費很多時間在日常管理中。因此,迫切需要建立統一的網絡管理平臺,能夠集成第三方的設備及網絡管理系統,實現設備和網絡的管理,保證整個網絡的正常運行。
根據設計要求,整個網絡采用扁平化設計理念,分成核心層、接入層,同時根據用途不同劃分為光纖接入、6類線接入這幾個區塊。
為了保證核心層的高性能、高可靠性,核心層采用高性能千兆路由交換機,該設備處于網絡的核心位置,可提供線速千兆接口,并可向更高容量平滑擴展。該設備要求基于分布式的硬件轉發和無阻塞交換技術,具有RRPP等可靠性保護機制,有效保證了全網運行的高速可靠。具備電信級可靠性,滿足不斷增長的數據和互聯網業務對網絡骨干設備的需求,可實現IPv4向IPv6的平滑過渡,是 IP全網向寬帶化、安全化、業務化發展的重要源動力。
網絡布6類線,且設備整體使用年限較長(10年~20年),設備具備大容量,達到單臺32G以上的背板容量,同時要具備完善的高可靠保護機制;支持BFD鏈路快速檢測,能為多種協議提供毫秒級檢測機制,提高網絡可靠性。能滿足用戶和設備安全管理需要,能保證了話音、視頻和數據等網絡業務質量。同時支持多種安全技術,為網絡穿上堅實的保護衣。
信息安全系統是信息化建設的重點工作之一,是信息安全的基本保障。針對網絡安全威脅分析,網絡安全系統主要從以下幾個方面入手:
1)部署網閘
內外網使用網閘嚴格物理隔離。為了徹底隔絕來自外網的攻擊以及病毒,內、外網嚴格物理隔離并做好屏蔽保護。服務器、網絡連接設備、終端計算機均不在內、外網混合使用。并通過網管軟件監測網絡使用及設備服務情況。
2)核心防火墻系統
在內外網入口處設置防火墻。防火墻可以確定哪些內部服務允許外部訪問,哪些外人被許可訪問所允許的內部服務,哪些外部服務可由內部人員訪問。服務器區設置硬件防火墻確保服務器內數據不被非法篡改。并且防火墻本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
3)核心IPS系統
內外網建立入侵防御系統(IPS)。IPS(Intrusion Prevention System)即入侵防御系統對網絡七個層次進行全面檢測以及防護的軟、硬結合的系統。部署入侵保護系統,能夠有效監控和審計各種網絡訪問行為,保證網絡系統的安全穩定運行,同時能夠及時掌握內網的安全隱患,采取措施,解決安全問題。在內外網中部署2臺入侵防御系統,綜合多種檢測和分析技術,最大限度降低了漏報和誤報發生的概率,實現針對這些核心交換機上的數據流進行深層分析,監控和審計這些線路上的網絡異常流量和異常網絡使用行為。
本文所描述網絡的網絡管理軟件和網絡硬件設備對SNMP網絡管理協議都必須有完備的支持,而且所支持的所有SNMP管理信息庫(MIB)的定義都可以免費提供給用戶或第三方。網絡管理軟件無須修改便能運行于當前主流的操作系統之上。包括Windows 2000 Server、SUN Solaris。通過使用面板管理,可以實現實時、歷史等多層面的性能監控和流量趨勢分析,從而對網絡調優、故障定位、擴容升級提供合理依據。運營商和客戶都十分關心業務的運行狀況,業務管理系統提供這些數據報表有利于雙方了解業務運行狀況,將大大提高運營商的客戶滿意度。
本文所述的局域網絡規劃、設計方案完全遵循當前縣級氣象部門的發展要求。隨著縣級氣象部門對業務網絡的重視,當前的局域網規劃設計是一項系統工程,本文淺談了滿足縣級氣象業務發展的局域網的需求分析和性能分析,最后提出解決方案,對局域網進行了總體結構設計。
[1]羅弘.局域網網絡安全建設中需要把握的三個技術環節[J].空中交通管理,2010,8:41-43.
[2]鄧鋒.企業局域網絡安全策略分析[J].科園月刊,2010,4:29-30.