淺談特種設備檢驗系統內部網絡建設

【摘要】特種設備是國民經濟建設和人民日常生活中不可或缺的重要基礎設備設施，與人民生活息息相關。特種設備的安全，事關經濟發展，事關兩型社會建設，事關民生和諧安康，其安全性問題日益成為廣大百姓關注的熱點。新型的特種設備逐漸興起，特種設備在我國國有經濟中占據重要影響，促進了我國的經濟建設發展，改善了人民的生活水平和質量。特種設備檢驗系統內部網絡建設的安全、準確、穩定、高效直接影響著特種設備的安全，事關經濟發展、社會和諧和百姓民生。

【關鍵詞】特檢系統；內部網絡建設

一、網絡建設的必要性

特檢系統內部網絡是單位十分重要的基礎設施，可以實現單位內部相關部門及下屬單位的數據共享、互聯互通，為各類應用系統提供安全、穩定、可靠的工作環境，滿足各種數據傳輸的需求。

1.節約成本。會議通知、最近公告等可以通過內部網絡發布，從而減少筆墨紙張、電話費用等其他支出，為國家財政節約支出。

2.提高效率。通過內部網絡能共享文件，所有的電腦都可以通過網絡互訪，實現各計算機之間信息的快速傳遞。

3.加強安全。各計算機之間有互訪，可以通過設置密碼來設置訪問權限，從而使檢驗系統數據更為安全。

二、網絡建設原則

特檢系統網管部門在建設網絡前，應先規劃好網絡規模，確定系統運作總體需求。這樣既能滿足特檢系統當前檢驗運作需求，也能充分考慮到將來整個網絡系統的投資保護和對新應用的支持。另外，網絡建設還應具備以下幾點要求：

1.應具備應急能力

特種設備檢驗系統因業務量大，后臺操作繁瑣，很有可能發生少量的交換機、防火墻等設備出現故障。網絡管理系統應具備單點失效保護，能夠實現故障預警、報警，以及良好的故障應急處理能力。方能保障若出現緊急情況，內部網絡可以繼續工作，不影響業務處理。

2.應具備高速處理能力

特種設備檢驗系統數據量大，為了及時、迅速、高效地處理網絡上傳送的各種數據，網絡設備必須具備高速處理能力，提供高速數據鏈路，保證網絡高運轉能力，滿足各種應用對網絡帶寬的需求。

3.應具備靈活擴展性

特種設備檢驗系統是一個長期使用重要的基礎設施。日后隨著特種設備規模的擴大和業務量的增長，對內部網絡性能的需求可能會超出預期，當內部網絡的處理能力不夠時，要求可以在原有網絡架構的基礎上實現靈活擴展。

4.應具備相應的安全能力

特種設備檢驗系統的安全關乎著特種設備的安全，關乎著人民生命安全。檢驗系統應具備安全能力和應用靈活的安全策略。通過網絡分區、防火墻策略、入侵檢測、終端準入等手段來加強網絡的安全性。

另外，也需要提供友好、全面的監控工具，從而減少網絡管理的漏洞風險，提高安全性能。

三、建設內容

企業內部網絡建設主要內容包括：網絡平臺、IP地址劃分、桌面安全管理、網絡安全等幾方面：

1.網絡平臺

（1）網絡平臺的結構

特檢系統網絡平臺建設通常三層架構，包括核心層、匯聚層和接入層。核心層通常部署兩臺核心交換機，實現負載均衡和單點失效保護，核心交換機通常部署在企業中心機房。匯聚層通常指樓層交換機，通常部署在樓層弱電間，每個匯聚交換機同時接入到兩個核心交換機，以增強網絡的可用性。如果一個樓層匯聚交換機的端口不夠用時，可以放置多臺交換機，通過堆疊的方式虛擬成一臺更多端口的匯聚交換機。對于穩定性要求高的網絡，亦可以在匯聚層放置冗余設備，以實現該層設備的負載均衡和單點失效保護。架構中的接入層通常是指辦公室接入交換機，通常部署在工作區配線架或者弱電間，每臺接入層交換機與一臺或者多臺匯聚層交換機連接。對于穩定性要求高的網絡，亦可以在接入層放置冗余設備，以實現該層設備的負載均衡和單點失效保護。桌面客戶端通過樓層布線或者網線接入該層。

（2）網絡平臺建設的優點

一是可用性高。

匯聚層（也是接入層）直接雙上聯核心，減少中間環節。傳輸路徑短，數據流從一個區域到另一個區域，路徑只需經過“接入→核心→接入”，數據就可以傳輸到對端，優化了網絡路徑。

二是性能高。

匯聚層（也是接入層）直接與核心交換機相連，帶寬的收斂比小，實際分配給每一個終端的帶寬大，保證時延最小。

三是可擴展性強。

當用戶的數量增加時，可通過在接入層增加交換機，直接與匯聚層交換機相連提供擴展，擴展變更僅影響限定在此區域的匯聚層交換機，不會影響核心交換機。

四是安全性高。

安全策略可以分布在接入交換機、匯聚層交換機和核心交換機上。五是可維護性高。網絡變更對核心交換機影響小，除了新增匯聚層交換機，需要對核心交換機進行配置外，一般只影響到匯聚層交換機。匯聚層交換機故障，只會影響匯聚區域內的接入，其他匯聚區域不受影響

（3）網絡平臺建設需要加強的方面

一是擴展性需要加強。當用戶的數量增加時，需要在匯聚層增加交換機接入核心交換機，或者通過在匯聚層增加交換機，使用堆疊方式或級聯方式實現。

二是可用性需要加強。數據傳輸路徑變長，數據流從一個區域到另一個區域，需要經過“接入→匯聚→核心→匯聚→接入”，才能將數據傳輸到對端，增加了路徑的物理長度。

三是性能需要加強。帶寬相應降低，雖然匯聚到核心可通過鏈路捆綁或萬兆接口的方式增加帶寬，但仍會出現當區域之間的數據互通時，匯聚層到核心層帶寬爭用的問題。

2.IP地址劃分

由于企業有若干個部門和若干個下屬單位，將來組織結構也可能有變化，有必要對IP地址進行劃分，來建立若干個子網，制定靈活、可擴展、安全的IP地址分配策略，以便于網絡管理和增強網絡安全性。

中心機房是一個十分重要的區域，需要對中心機房進行網絡區域劃分，以增強網絡的安全性。通常劃分幾大區域：核心交換區、Internet訪問接入區、廣域網互聯區、DMZ區、服務器區等。

3.桌面安全管理

內部網絡絕大多數攻擊來自于企業內部，所以桌面安全管理十分重要。桌面安全管理包括：安全接入控制、安全策略管理、資產管理、軟件分發、補丁管理、員工行為管理。

4.網絡安全

內部網絡既要滿足內部辦公的需要，又要滿足與因特網實現數據交換的需要。特別是，保證距離企業總部物理距離較遠的下屬單位能夠有效地訪問內部網絡。各種場景讓網絡安全相對復雜，網絡安全建設主要包括但不限于：

（1）接入交換機的安全。包括：端口安全控制、端口流量控制、廣播抑制、防范DHCP攻擊、防范ARP欺騙/中間人攻擊技術、配置VLAN ACL等。

（2）網絡設備自身的安全。網絡設備某些缺省設置會導致安全漏洞，變更這些設置。

（3）防火墻策略。制定精細的防火墻安全策略，不同端口根據區域不同劃分不同的安全級別。

（4）入侵監測/防御系統。使用先進的、專用的入侵監測/防御設備，實現主動監測和防御，并及時將相關信息傳送到網管區域，能對用戶常用的通訊內容進行審計。

四、總結分析

展望未來，通信網絡將向著綜合業務數字網方向發展，數據、語音、圖像等各種數據通信在各個層次、各個領域得到綜合利用。信息高速公路通過同步數字體系（SDH）等大容量光纖、多媒體技術，把電話、傳真、數據、流媒體等各種通信業務綜合在一起，采用計算機綜合處理，以交互方式快速傳遞，使各類信息在不同層次上相互交流，實現信息資源共享。通過建立特檢系統內部信息網可以使特檢系統更快地融入到新的通信世界里面去，從而更好地服務人民，服務地方。