一個信息中心網絡優化方案的設計

張敏 韓波 許翔 郭黎明

關鍵詞：網絡安全；優化方案；應對策略；物理隔離

衡陽市氣象局信息網絡機房于2000年建成并投入使用，是衡陽市、縣氣象部門氣象數據信息計算、交互和儲存的重要樞紐，是我市氣象部門開展所有業務的重要基石。市縣兩級氣象網絡雖然已運行多年，但網絡安全方面一直存在很多問題，原有網絡結構已不能滿足現今信息網絡安全需求，因此順應時代發展要求開展網絡安全現狀分析及改造升級顯得十分必要。以分析衡陽市氣象局信息網絡優化升級為例，作出一個網絡優化方案的設計，為市縣級氣象部門提供一些借鑒經驗，以便更好地服務氣象業務的發展。

1 市級氣象網絡業務分析

市級氣象業務網承擔著市縣級地面氣象觀測站及氣象雷達數據的接收和傳輸、氣象預報預警信息的發布，支持氣象業務系統正常運行，接收并存儲市縣兩級上百個自動氣象觀測站的觀測數據，并完成向省級上級氣象部門轉發的工作。隨著氣象事業高質量發展，對精細化天氣預報要求日益增強，全國自動氣象觀測站的觀測頻次也隨之提高，過去是每一個小時傳送一次數據，現已提升為國家站傳送頻次為每一分鐘次，其他站傳送頻次為每五分鐘次，國家氣象雷達每六分鐘一次掃描頻次，實時向省市氣象部門提供掃描圖像[1]。氣象基礎數據量大幅增加，對市級氣象網絡的承載能力、防護能力也是前所未有的考驗，氣象采集的各種數據為氣象業務開展提供數據支撐，數據的傳輸離不開信息網絡，所以保證氣象信息網絡的穩定安全是必不可少的。

2 網絡現狀及改造升級需求

市縣級信息網絡由兩部分組成，分別是氣象廣域網（簡稱“內網”） 和互聯網（簡稱“外網”） 。內網是由省級氣象局統一規劃建設，作用已在前面進行描述。外網主要用來跟其他單位進行資源共享及信息交換，輔助預警服務發布，提供精準專業預報服務等。在最開始網絡規劃設計上，為了方便，外網光纖直接入機房，通過網線接入防火墻，再連接至核心交換機，最后借助路由功能將內外網融合在一起，這種方式存在巨大隱患，是氣象數據泄密的最主要原因之一，加之市縣級氣象部門網絡安全防護設備匱乏，無法抵擋來自互聯網的惡意攻擊，網絡安全問題岌岌可危。

近年來國家還相繼出臺許多法律法規，要求加強網絡安全防護，各級部門必須緊跟時代的發展，對網絡安全防護能力予以重視[2]。特別是內外網數據安全隔離問題，要竭力保障氣象內網免受黑客的攻擊，原先的內外網融合方案已不能滿足網絡安全的需求，且存在嚴重的安全隱患，網絡優化已迫在眉睫。

3 網絡優化升級方案設計分析

下面以衡陽市氣象局為例，對網絡優化升級方案的設計進行簡單闡述。網絡優化目標分為兩個區域（新、老辦公樓），根據兩者各自的特點，分別規劃不同的方案，詳細設計見以下描述。

3.1 內外網物理隔離的方案設計

網絡升級最重要的部分應該要考慮如何提升網絡安全性，針對原有的網絡架構改變內外網融合在一起的設計，實現內外網物理隔離架構應該首先需要改造。從物理隔離技術的發展過程來看，大致可以分為三種方案：第一個方案是采用雙機技術，其原理主要是使用同一個機箱和顯示器，在機箱里安裝2套計算機硬件，包括硬盤、內存、主板、CPU等。用戶在客戶端上自主選擇使用哪套系統。該方案不足在于客戶端成本非常高，網絡布線必須是雙網線結構，優點在于操作簡便，技術水平也比較簡單。第二個方案是通過雙網線PCI卡來進行隔離，讓外設硬件先跟PCI卡進行連接，通過PCI卡將數據傳輸到主板。用戶通過PCI卡來選擇對應的硬盤和網絡接口，從而達到對外設硬件的控制。第三個方案是采用單網線布線，加入硬件網絡選擇器，與第二個方案相比，不同之處在于不是雙網線布線而是采用單網線布線，借助網線將客戶端的選擇信號轉換成高低電平信號傳輸給網絡選擇端，再根據電平信號來讓用戶選擇相應網絡，執行成本可控，且提高系統的安全性。

通過對上述幾種內外網隔離方案的分析可見，內外網隔離最根本方法，是通過物理手段對涉密和非涉密信息進行隔離處理。針對新老辦公樓不同的環境場景，設計不同的物理隔離方案來保證信息的安全，如下所述：方案一：在老辦公區，原有網絡線路改造困難，可采用單網線方法來實現內外網隔離改造。新增一臺內外網遠程端切換Hub，每臺PC加裝安全隔離卡，安全隔離卡可通過網線控制遠端內外網遠程切換Hub 實現通信，Hub上接口分別連接內網Hub和外網Hub。

在使用內外網的PC上加裝一塊硬盤，實現物理數據存儲隔離，PC在內網工作的時候，內網硬盤加電工作，外網硬盤不加電，PC在外網工作的時候是反過來的。通過內外網遠程端切換Hub可以靈活配置網絡設備和接口，這樣既可以節省成本，又可以構建安全適用的網絡，達到安全隔離的效果。物理隔離網絡拓撲圖（老區）見圖1所示。

方案二：在新辦公樓的網絡規劃建設中，不存在線路復雜、改造困難等歷史遺留問題，考慮網絡安全的可擴展性，采取兩套網線布點的辦法實現內外網隔離改造。通過配置雙硬盤和安全隔離卡，將內外網網線分別接到隔離卡的不同網卡口，用戶使用客戶端軟件控制隔離卡上的開關，選擇需要使用的網絡，也實現對應網絡硬盤的選擇，從而體現內外網的隔離效果。物理隔離網絡拓撲圖（新區）見圖2所示。

此方案設計非常適用于費用預算充足，新建辦公樓網絡建設，當然在涉密崗位也可以不使用安全隔離卡，配置兩臺獨立的計算機，專機專用，防止涉密資料外泄。其他非涉密崗可通過雙硬盤和加裝安全隔離卡來實現內外網隔離。

3.2 網絡安全設備保駕護航

在上述網絡安全優化方案中采取的辦法主要是通過物理隔離內外網來保障氣象數據的安全，但只靠內外網物理隔離來保障網絡安全是遠遠不夠的。因為物理隔離是一種被動式的隔離方法，沒有辦法實現安全狀態的檢測，很容易被黑客利用，所以增加一些必要的網絡安全及行為管理設備能夠大大提高網絡的安全性。目前市場上主流網絡安全設備有硬件防火墻、入侵檢測、審計系統、上網行為管理等設備。

在互聯網出口端可以配置防火墻，作為網絡安全的主要防線抵擋黑客的入侵[3]。但由于黑客攻擊技術在不停更新，攻擊手段也時刻在變化，單純地靠配置防火墻策略來防范黑客入侵，很明顯已經力不從心，還需要其他一些防御技術加入進來。入侵檢測技術與防火墻技術的結合，兩者形成互補，能夠更好地保障網絡正常運行，它可以通過對整個網絡系統中的某些關鍵點進行數據采樣，并且對采集到的信息進行數據建模，最后經過大數據分析，辨別是否存在違反安全策略以及現有系統網絡中是否存在遭到攻擊的征兆[4]，這種結合方式更加科學和智能。

3.3 網絡管理系統實時監管

安裝上網行為管控系統等類似的網絡管理系統，便于網絡管理員管控和規范對互聯網的訪問使用，所有上網記錄都會保存，用于事后審計、另外設置過濾規則對一些網站或App進行屏蔽，可以通過實時監控來管理單位網絡資源使用，外發文件和上網內容，有問題時可以及時預警，也便于管理員根據預案對發現問題及時處理。

4 網絡優化后可能存在問題及應對措施

4.1 外網對外服務問題

內外網實現物理隔離之后，對外服務業務將因為內外網分離帶來數據不能互通的問題，原本某些氣象資料可通過外網接口提供給用戶使用，也被封堵。針對此問題，可以在內外網之間設置DMZ區，配備公共服務器設備，用來存放對公服務的非機密數據或是WEB、FTP服務器。設置訪問控制策略，內網允許訪問外網、DMZ區，外網不允許訪問內網，只允許訪問DMZ區，而DMZ區只在符合某種條件下才能訪問內網。由此可見DMZ區是內外網通信的緩沖區，它是通過地址轉換（NAT） 來實現通信，對內映射成內網地址，對外映射成外網地址，該方式可以很好地保護內網的數據，外網使用者可以訪問DMZ區中的服務，卻不能接觸到存放在內網中的信息，大大降低網絡安全的風險，同時也達到了對外服務的目的。

4.2 內外網數據交互問題

內外網隔離之后給數據交互帶來不便，解決跨網數據文件傳輸的問題，使數據安全可靠地實現跨網數據傳輸，傳統的方式有：一是移動介質拷貝，指定專人負責使用專用移動硬盤或優盤在內外網間，按照操作規范流程，開展拷貝數據。這種方式全過程需要人工操作，效率低下，且整個過程無法管控，移動介質容易中毒，會成為病毒傳播的紐帶；二是FTP傳輸文件，設置FTP服務器用來實現內外網數據轉移，這種方式可解決數據傳輸問題，但FTP不穩定，在傳輸時容易中斷且傳輸大文件時比較慢，而且沒有審批流程，不可溯源，安全性很低。隨后又出現了一些安全性能高的跨網數據交互的產物，有通過網閘進行網間文件傳輸、企業網盤進行網間文件傳輸、中轉站跨網文件交換等實現跨網數據擺渡[5]，它們都有各自的優缺點。

要解決這個問題，我們可引進新興技術產品，搭建適合氣象行業數據交換的中轉站跨網文件交換系統，數據交換過程有審批流程環節，能完整地記錄數據交互過程，可隨時中斷數據傳輸，出現問題時可以追溯審計，并且對交換的內容進行病毒檢測、敏感內容檢測以及傳輸加密等，確保整個交換過程的數據安全性，以此來解決跨網數據傳輸問題。

5 結束語

衡陽市氣象局網絡升級優化后，很好地滿足氣象信息現代化的發展需求，符合預期要求，實現了內外網物理隔離，且部署必要的網絡安全設備，如硬件防火墻、入侵檢測系統、上網行為管理系統等[6]，為氣象業務的高速發展保駕護航，提供更加安全可靠的網絡環境。