安徽地震信息網的優化改造

王偉+萬杰+李英杰+孫靜+陶崇福

【摘要】 本文介紹了安徽地震信息網在原有網絡基礎上進行優化改造的情況，詳細闡述了優化改造的具措施，以及改造完成后對安徽地震監測預報工作產生的積極影響。

【關鍵詞】 地震 信息網 優化改造

安徽省地震信息網經過“十五”數字化地震臺網建設（圖1），建成了由蚌埠、銅陵兩個大中城市節點，阜陽、巢湖、滁州、馬鞍山四個縣級節點，以及廬江、蒙城、合肥、涇縣、金寨、佛子嶺、嘉山、淮北、安慶、黃山等10個臺站節點的地震通信網，由省局到中國局及信息節點的SDH、VPN信道有30條，到其它站點信道近50條。自2008年正式投入運行以來，為相關的科學研究提供高標準的基礎技術平臺與高質量的數據，為提高全社會對地震災害的綜合防御能力，有效地減輕地震災害提供了強有力的保障。為了更好的實現地震數據實時傳輸及共享，對傳輸網絡的穩定性和可靠性有了很大的要求，安徽省地震局在“十一五”建設中對安徽地震信息網進行了全面的升級改造。

一、系統現狀和主要問題（圖1）

1.1網絡沒有形成一體化的網絡平臺

網絡中存在多個廠商設備，組網方式較為混亂，沒有形成一體化的網絡平臺。SDH線路及Internet出口分別只有1臺路由器和公網互聯，存在單點故障隱患。

1.2網絡性能無法滿足目前和未來的需要

網絡中采用的出口路由器、核心交換機，以及安全設備都在老化，設備轉發性能正在持續降低，影響了整個信息網的數據傳輸。

1.3網絡中核心數據無法進行有效的保護

由于安徽地震信息網及外網既承載著日常辦公的數據，又承載著地震局許多內部信息，所以需要及時有效的保護關鍵數據，防止數據被惡意的竊取、篡改等。現在的安全設備性能以及特征庫、病毒庫等防護能力都較弱，無法對核心數據進行有效的可靠的持續保護。

1.4網絡規模龐大，網絡運維的管理難度加大

隨著信息網規模的不斷擴大，設備更替頻繁、組網越來越復雜，而且網絡平臺上應用系統的多樣化、信息量的成倍增加，都導致了網絡系統維護的工作量和難度進一步加劇，所以在確保信息網絕對安全可靠運行的前提下，如何進行集中統一的管理也是亟需解決的問題。

二、需求分析與建設原則

本次網絡系統的改造遵循統一規劃、分步實施的指導思想，網絡的設計應滿足當前需求的同時，充分考慮到將來整個網絡系統的投資保護和對新應用的支持。設計及實施充分遵循以下原則：

1、領先、標準的技術：整個網絡系統在選型上采用國際領先技術，符合有關國際標準，使網絡具有良好的開放性和兼容性。2、可擴展性：網絡必須能夠平穩地過渡到新的技術和設備，充分考慮到未來網絡升級的平穩銜接，保證網絡通訊介質、網絡設計核心的向后兼容性。3、安全性：在內部網與外部網之間，以及內部不同網段之間都需要建立安全控制機制；提供多種方式和層次的訪問控制、通過使用網絡用戶身份識別、VLAN、包過濾、入侵檢測及防火墻等技術來保證網絡系統的安全性。4、高可靠性：整個網絡系統有良好的可靠性及一定程度的冗余。5、高性能：為了及時迅速地處理網絡上傳送的數據，網絡設備必須具備高速處理能力，提供高速數據鏈路，保證網絡高吞吐能力，滿足各種應用對網絡帶寬的需求。

三、網絡方案設計與實施

3.1總體設計

本次網絡改造設計為萬兆光纖主干，千兆以太網接入到桌面的設計思路；在中心機房設立核心交換區，核心交換區的功能主要是實現網絡服務器區、各樓層網絡的互聯互通，保證網絡流量的優化傳輸，完成網絡間數據流的高速轉發。

3.2網絡系統改造

所有外聯路由器由1臺擴展為2臺；新增1臺保密路由器和現有的保密路由器實現冷備組網；新增1臺專網路由器和現有的專網路由器Cisco 3845實現主備和負載分擔；新增2臺VPN路由器替換原有的M582路由器，實現與防火墻互聯，通過VPN連接中國局和各臺站，實現主備以及負載均衡功能，避免了因為單臺設備引發的單點故障以及性能瓶頸問題。新增網絡管理軟件，實現對現有網絡設備的管理。

3.3網絡安全系統

新增入侵防御系統，IPS作為一種在線部署的產品，提供主動的、實時的防護，準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監測到惡意流量的同時或之后才發出告警。IPS是通過直接串聯到網絡鏈路中而實現這一功能的，即IPS接收到外部數據流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網絡。

新增上網行為管理系統，利用上網行為管理技術對所有訪問互聯網出口的用戶要進行記錄和安全審計，以符合公安部82號令關于“互聯網服務提供者和互聯網使用組織記錄并留存內網用戶發生的各種網絡行為日志，包括登錄和退出時間、賬號、互聯網地址或域名等信息，且行為日志至少保留60天以上”等要求。

3.4主機和存儲系統

新增磁盤陣列，將所有數據集中存儲，其中重要應用采用FC協議連接，普通應用采用ISCSI協議連接。

3.5備份容災系統

新增備份容災設備，通過專業的數據存儲管理軟件，結合相應的硬件和存儲設備，對前兆、測震、信息和辦公數據備份進行集中管理，從而實現自動化的備份、文件歸檔、數據分級存儲及災難恢復等。

安徽地震信息網于2012年4月全部完成（圖2），實現了重要設備在線式冗余，遠程網雙鏈路保護，重要應用雙機熱備，先進的網絡安全系統，容災備份系統，防震減災信息網負載均衡技術，全網實時監控報警管理，內網、外網、政務網、財務網四網物理隔離，萬兆主干、千兆桌面。極大改善了安徽省防震減災各類系統的基礎支撐條件，大大提高了系統的長期安全穩定運行和服務保障能力。

參 考 文 獻

[1] 蔣春曦. 省級行業信息服務系統的設計與實現.電腦知識與技術.2012.

[2] 王劍. 計算機網絡及信息安全體系研究. 信息通信.2014.

[3] 史勇軍. 新疆防震減災中心通訊網絡系統集成與應用. 西北地震學報.2010.

【摘要】 本文介紹了安徽地震信息網在原有網絡基礎上進行優化改造的情況，詳細闡述了優化改造的具措施，以及改造完成后對安徽地震監測預報工作產生的積極影響。

【關鍵詞】 地震 信息網 優化改造

安徽省地震信息網經過“十五”數字化地震臺網建設（圖1），建成了由蚌埠、銅陵兩個大中城市節點，阜陽、巢湖、滁州、馬鞍山四個縣級節點，以及廬江、蒙城、合肥、涇縣、金寨、佛子嶺、嘉山、淮北、安慶、黃山等10個臺站節點的地震通信網，由省局到中國局及信息節點的SDH、VPN信道有30條，到其它站點信道近50條。自2008年正式投入運行以來，為相關的科學研究提供高標準的基礎技術平臺與高質量的數據，為提高全社會對地震災害的綜合防御能力，有效地減輕地震災害提供了強有力的保障。為了更好的實現地震數據實時傳輸及共享，對傳輸網絡的穩定性和可靠性有了很大的要求，安徽省地震局在“十一五”建設中對安徽地震信息網進行了全面的升級改造。

一、系統現狀和主要問題（圖1）

1.1網絡沒有形成一體化的網絡平臺

網絡中存在多個廠商設備，組網方式較為混亂，沒有形成一體化的網絡平臺。SDH線路及Internet出口分別只有1臺路由器和公網互聯，存在單點故障隱患。

1.2網絡性能無法滿足目前和未來的需要

網絡中采用的出口路由器、核心交換機，以及安全設備都在老化，設備轉發性能正在持續降低，影響了整個信息網的數據傳輸。

1.3網絡中核心數據無法進行有效的保護

由于安徽地震信息網及外網既承載著日常辦公的數據，又承載著地震局許多內部信息，所以需要及時有效的保護關鍵數據，防止數據被惡意的竊取、篡改等。現在的安全設備性能以及特征庫、病毒庫等防護能力都較弱，無法對核心數據進行有效的可靠的持續保護。

1.4網絡規模龐大，網絡運維的管理難度加大

隨著信息網規模的不斷擴大，設備更替頻繁、組網越來越復雜，而且網絡平臺上應用系統的多樣化、信息量的成倍增加，都導致了網絡系統維護的工作量和難度進一步加劇，所以在確保信息網絕對安全可靠運行的前提下，如何進行集中統一的管理也是亟需解決的問題。

二、需求分析與建設原則

本次網絡系統的改造遵循統一規劃、分步實施的指導思想，網絡的設計應滿足當前需求的同時，充分考慮到將來整個網絡系統的投資保護和對新應用的支持。設計及實施充分遵循以下原則：

1、領先、標準的技術：整個網絡系統在選型上采用國際領先技術，符合有關國際標準，使網絡具有良好的開放性和兼容性。2、可擴展性：網絡必須能夠平穩地過渡到新的技術和設備，充分考慮到未來網絡升級的平穩銜接，保證網絡通訊介質、網絡設計核心的向后兼容性。3、安全性：在內部網與外部網之間，以及內部不同網段之間都需要建立安全控制機制；提供多種方式和層次的訪問控制、通過使用網絡用戶身份識別、VLAN、包過濾、入侵檢測及防火墻等技術來保證網絡系統的安全性。4、高可靠性：整個網絡系統有良好的可靠性及一定程度的冗余。5、高性能：為了及時迅速地處理網絡上傳送的數據，網絡設備必須具備高速處理能力，提供高速數據鏈路，保證網絡高吞吐能力，滿足各種應用對網絡帶寬的需求。

三、網絡方案設計與實施

3.1總體設計

本次網絡改造設計為萬兆光纖主干，千兆以太網接入到桌面的設計思路；在中心機房設立核心交換區，核心交換區的功能主要是實現網絡服務器區、各樓層網絡的互聯互通，保證網絡流量的優化傳輸，完成網絡間數據流的高速轉發。

3.2網絡系統改造

所有外聯路由器由1臺擴展為2臺；新增1臺保密路由器和現有的保密路由器實現冷備組網；新增1臺專網路由器和現有的專網路由器Cisco 3845實現主備和負載分擔；新增2臺VPN路由器替換原有的M582路由器，實現與防火墻互聯，通過VPN連接中國局和各臺站，實現主備以及負載均衡功能，避免了因為單臺設備引發的單點故障以及性能瓶頸問題。新增網絡管理軟件，實現對現有網絡設備的管理。

3.3網絡安全系統

新增入侵防御系統，IPS作為一種在線部署的產品，提供主動的、實時的防護，準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監測到惡意流量的同時或之后才發出告警。IPS是通過直接串聯到網絡鏈路中而實現這一功能的，即IPS接收到外部數據流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網絡。

新增上網行為管理系統，利用上網行為管理技術對所有訪問互聯網出口的用戶要進行記錄和安全審計，以符合公安部82號令關于“互聯網服務提供者和互聯網使用組織記錄并留存內網用戶發生的各種網絡行為日志，包括登錄和退出時間、賬號、互聯網地址或域名等信息，且行為日志至少保留60天以上”等要求。

3.4主機和存儲系統

新增磁盤陣列，將所有數據集中存儲，其中重要應用采用FC協議連接，普通應用采用ISCSI協議連接。

3.5備份容災系統

新增備份容災設備，通過專業的數據存儲管理軟件，結合相應的硬件和存儲設備，對前兆、測震、信息和辦公數據備份進行集中管理，從而實現自動化的備份、文件歸檔、數據分級存儲及災難恢復等。

安徽地震信息網于2012年4月全部完成（圖2），實現了重要設備在線式冗余，遠程網雙鏈路保護，重要應用雙機熱備，先進的網絡安全系統，容災備份系統，防震減災信息網負載均衡技術，全網實時監控報警管理，內網、外網、政務網、財務網四網物理隔離，萬兆主干、千兆桌面。極大改善了安徽省防震減災各類系統的基礎支撐條件，大大提高了系統的長期安全穩定運行和服務保障能力。

參 考 文 獻

[1] 蔣春曦. 省級行業信息服務系統的設計與實現.電腦知識與技術.2012.

[2] 王劍. 計算機網絡及信息安全體系研究. 信息通信.2014.

[3] 史勇軍. 新疆防震減災中心通訊網絡系統集成與應用. 西北地震學報.2010.

【摘要】 本文介紹了安徽地震信息網在原有網絡基礎上進行優化改造的情況，詳細闡述了優化改造的具措施，以及改造完成后對安徽地震監測預報工作產生的積極影響。

【關鍵詞】 地震 信息網 優化改造

安徽省地震信息網經過“十五”數字化地震臺網建設（圖1），建成了由蚌埠、銅陵兩個大中城市節點，阜陽、巢湖、滁州、馬鞍山四個縣級節點，以及廬江、蒙城、合肥、涇縣、金寨、佛子嶺、嘉山、淮北、安慶、黃山等10個臺站節點的地震通信網，由省局到中國局及信息節點的SDH、VPN信道有30條，到其它站點信道近50條。自2008年正式投入運行以來，為相關的科學研究提供高標準的基礎技術平臺與高質量的數據，為提高全社會對地震災害的綜合防御能力，有效地減輕地震災害提供了強有力的保障。為了更好的實現地震數據實時傳輸及共享，對傳輸網絡的穩定性和可靠性有了很大的要求，安徽省地震局在“十一五”建設中對安徽地震信息網進行了全面的升級改造。

一、系統現狀和主要問題（圖1）

1.1網絡沒有形成一體化的網絡平臺

網絡中存在多個廠商設備，組網方式較為混亂，沒有形成一體化的網絡平臺。SDH線路及Internet出口分別只有1臺路由器和公網互聯，存在單點故障隱患。

1.2網絡性能無法滿足目前和未來的需要

網絡中采用的出口路由器、核心交換機，以及安全設備都在老化，設備轉發性能正在持續降低，影響了整個信息網的數據傳輸。

1.3網絡中核心數據無法進行有效的保護

由于安徽地震信息網及外網既承載著日常辦公的數據，又承載著地震局許多內部信息，所以需要及時有效的保護關鍵數據，防止數據被惡意的竊取、篡改等。現在的安全設備性能以及特征庫、病毒庫等防護能力都較弱，無法對核心數據進行有效的可靠的持續保護。

1.4網絡規模龐大，網絡運維的管理難度加大

隨著信息網規模的不斷擴大，設備更替頻繁、組網越來越復雜，而且網絡平臺上應用系統的多樣化、信息量的成倍增加，都導致了網絡系統維護的工作量和難度進一步加劇，所以在確保信息網絕對安全可靠運行的前提下，如何進行集中統一的管理也是亟需解決的問題。

二、需求分析與建設原則

本次網絡系統的改造遵循統一規劃、分步實施的指導思想，網絡的設計應滿足當前需求的同時，充分考慮到將來整個網絡系統的投資保護和對新應用的支持。設計及實施充分遵循以下原則：

1、領先、標準的技術：整個網絡系統在選型上采用國際領先技術，符合有關國際標準，使網絡具有良好的開放性和兼容性。2、可擴展性：網絡必須能夠平穩地過渡到新的技術和設備，充分考慮到未來網絡升級的平穩銜接，保證網絡通訊介質、網絡設計核心的向后兼容性。3、安全性：在內部網與外部網之間，以及內部不同網段之間都需要建立安全控制機制；提供多種方式和層次的訪問控制、通過使用網絡用戶身份識別、VLAN、包過濾、入侵檢測及防火墻等技術來保證網絡系統的安全性。4、高可靠性：整個網絡系統有良好的可靠性及一定程度的冗余。5、高性能：為了及時迅速地處理網絡上傳送的數據，網絡設備必須具備高速處理能力，提供高速數據鏈路，保證網絡高吞吐能力，滿足各種應用對網絡帶寬的需求。

三、網絡方案設計與實施

3.1總體設計

本次網絡改造設計為萬兆光纖主干，千兆以太網接入到桌面的設計思路；在中心機房設立核心交換區，核心交換區的功能主要是實現網絡服務器區、各樓層網絡的互聯互通，保證網絡流量的優化傳輸，完成網絡間數據流的高速轉發。

3.2網絡系統改造

所有外聯路由器由1臺擴展為2臺；新增1臺保密路由器和現有的保密路由器實現冷備組網；新增1臺專網路由器和現有的專網路由器Cisco 3845實現主備和負載分擔；新增2臺VPN路由器替換原有的M582路由器，實現與防火墻互聯，通過VPN連接中國局和各臺站，實現主備以及負載均衡功能，避免了因為單臺設備引發的單點故障以及性能瓶頸問題。新增網絡管理軟件，實現對現有網絡設備的管理。

3.3網絡安全系統

新增入侵防御系統，IPS作為一種在線部署的產品，提供主動的、實時的防護，準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監測到惡意流量的同時或之后才發出告警。IPS是通過直接串聯到網絡鏈路中而實現這一功能的，即IPS接收到外部數據流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網絡。

新增上網行為管理系統，利用上網行為管理技術對所有訪問互聯網出口的用戶要進行記錄和安全審計，以符合公安部82號令關于“互聯網服務提供者和互聯網使用組織記錄并留存內網用戶發生的各種網絡行為日志，包括登錄和退出時間、賬號、互聯網地址或域名等信息，且行為日志至少保留60天以上”等要求。

3.4主機和存儲系統

新增磁盤陣列，將所有數據集中存儲，其中重要應用采用FC協議連接，普通應用采用ISCSI協議連接。

3.5備份容災系統

新增備份容災設備，通過專業的數據存儲管理軟件，結合相應的硬件和存儲設備，對前兆、測震、信息和辦公數據備份進行集中管理，從而實現自動化的備份、文件歸檔、數據分級存儲及災難恢復等。

安徽地震信息網于2012年4月全部完成（圖2），實現了重要設備在線式冗余，遠程網雙鏈路保護，重要應用雙機熱備，先進的網絡安全系統，容災備份系統，防震減災信息網負載均衡技術，全網實時監控報警管理，內網、外網、政務網、財務網四網物理隔離，萬兆主干、千兆桌面。極大改善了安徽省防震減災各類系統的基礎支撐條件，大大提高了系統的長期安全穩定運行和服務保障能力。

參 考 文 獻

[1] 蔣春曦. 省級行業信息服務系統的設計與實現.電腦知識與技術.2012.

[2] 王劍. 計算機網絡及信息安全體系研究. 信息通信.2014.

[3] 史勇軍. 新疆防震減災中心通訊網絡系統集成與應用. 西北地震學報.2010.