大连气象网络系统改造的技术实现
摘 要:
摘 要:气象基础网络是气象信息网络系统重要组成部分。随着信息技术发展,适时科学设计气象信息网络系统对于促进现代气象业务的发展,保障整个气象业务高效、稳定的运行具有十分重要的意义。本文是以大连气象基础网络系统改造为例,从三个主要方面说明地市级气象通信网络结构如何按照相关要求,并符合信息安全等级保护规定,进行设计和改造。
关键词:
关键词:气象基础网络 局域网 网络安全 安全域
随着气象业务技术体制改革的不断推进,新的传输业务和业务应用系统随之增加,对网络传输可靠性和网络安全系统的要求亦随之提高。信息系统交互性对网络带宽、系统健壮性和网络安全都提出了更高要求。另外,国家要求的信息系统安全等级保护工作也越来越受到各级领导的重视,网络安全提到了一个新的认识高度。2013-2014年,大连市气象局把“气象通信网络支撑”作为项目建设的一个重要内容,针对提高通信网络交换能力、增强信息网络安全性和业务系统安全性等方面做了统筹考虑和技术设计。
1 信息网络现状分析
大连市气象局信息网络系统在气象业务现代化建设中发挥着重要支撑作用。目前,随着气象业务现代化的推进,地市级网络普遍存在着系统建设缺乏统筹管理,网络建设标准不一,管理制度标准体系不完善等问题。大连气象网络的突出问题主要体现在以下几方面:
(1)市县地面宽带网络接口采用E1,扩展性不强;市-县地面专线带宽仅为4M,不能满足同时承载气象数据传输、信息共享系统访问、视频会商和实景监控的需求;同时,专线只有一家运营商提供,不满足主管部门对宽带网设计要求。
(2)局域网基础布线规格陈旧,部分旧楼布线满足不了业务需求;核心路由交换设备冗余热备不足。
(3)信息系统安全缺乏统一的规划和设计,涉及物理、网络、系统、应用和数据五个层面完整的信息系统安全体系尚未建立完善,信息系统安全防护能力较弱。
2 系统组成与技术实现
2.1 局域网改造子系统
2.1.1 各办公楼内进行综合布线改造
整个布线材料均采用六类产品,满足《智能建筑设计标准》中的甲级标准和《建筑与建筑群综合布线系统工程设计规范》中的综合配置标准要求。走廊内采用PVC耐火线槽吊棚内暗敷设,各个房间内采用PVC耐火线槽明敷设。信息点分布约有400个,前端信息点采用模块化的方式安装,后端采用配线架安装,配线架与网络设备间采用跳线连接。布线系统将电话系统与网络系统统一布置六类双绞线,用户可以自由定义布线的终端接口为电话接口或者网络接口,只要在后端跳线即可。
2.1.2 核心网络设备升级换代
将原来的博达6806核心交换机替换2台华为S7706交换机,实现核心交换机集群部署;更换网络机房、局机关、气象台等部门共10台华为S5700千兆交换机。网络拓扑的核心层采用两台核心交换机做冗余及负载均衡使用,每台核心交换机应配置双引擎备份及双电源备份,支持IPv6协议具备万兆及以上业务流量承载能力,保证系统的稳定性。接入层交换机支持丰富的二层功能、安全功能及QOS功能,通过光缆或者电缆上联到核心交换机,采用端口聚合技术,实现双千兆网络上联至核心交换机,主干网数据交换能力有了较大提升。对整个网络交换机进行了相应的安全配置,开启环路监测、三元素绑定(IPMAC接入端口)等功能,杜绝了许多常规安全隐患,使主干网络更加稳定可靠。
2.2 市-县地面宽带网重构
大连下辖8个区(市、县)气象局(站),每个县站有1-2条2M SDH 专线和市局相连,由独家通信运营商提供服务,主要承载报文传输、视频会商和气象办公Notes邮箱等业务。随着气象业务现代化建设和县级气象业务改革的推进,市县宽带网络除了承载资料传输和远程视频会商/会议数据传输业务之外,增加了预警信息、实景监控图像和气象信息共享系统访问等功能,原有的网络带宽资源远远满足不了现实需求。
根据《总体设计》要求和辽宁省局“十二五”信息网络建设规划,结合实际业务需求和网络规划,大连市-县气象宽带网进行了重构设计。县级接入由原来的SDH 方式变更为MSTP 方式,接入端口由E1改为FE端口,方便日后带宽升级。市县宽带网带宽提高至8兆。
市县宽带网重构后,市级MSTP 接入端要求通信运营商安装独立的用户端接入设备,且提供双局向、双路由的光纤接入,机房内须放置冷备传输设备或提出明确的故障恢复时间要求。由于线路类型和接入端口发生改变,必须更换市县两级的路由器。市级MSTP 接入端路由器提供24个FE端口,保证有 50%冗余备份。县级节点使用两个通信运营商提供的双局向、双路由的光纤接入,在市级接入端路由器上做端口聚合和自动备份切换,大大提高线路可靠性。另外使用基于互联网的虚拟专用网VPN和卫星通信网等作为备份手段。
2.3 信息网络安全系统建设
2.3.1 网络边界安全设备部署
在互联网接入、同城用户接入和宽带网连接处加装防火墙,将其他网络内的安全隐患阻隔到局内网之外。同时,互联网接入处还部署了IPS入侵检测、网络安全行为审计,保证内网信息安全。在应用网站之前部署网页防篡改系统,保证网站的安全访问。另外,互联网接入处部署VPN网关,为异地终端用户(出差人员)提供NOTES应用、办公系统WEB访问、MICAPS应用、气象信息综合显示平台浏览等功能。
2.3.2 网络系统分区防护措施
按照《总体设计》的要求,对市级局域网络系统进行分区,各网络分区设置不同的安全管理策略。网络进行分区隔离后,终端用户分为不同区域的用户,不允许在各分离区之间摆渡。
2.3.3 终端用户安全措施
终端用户电脑上安装正版杀毒软件,同时限制和规范员工上网行为,对网络使用进行统一管理,为终端电脑的网络安全提供了保障。对于用户的准入认证也需要采用内外网分离的方式进行认证,并增加用户系统补丁升级软件。
2.3.4 数据备份和恢复
数据备份方面,启用数据备份系统对重要服务器系统、数据库、重要业务计算机进行实时备份,以避免在各种极端情况下造成的重大损失。数据资料是整个系统运作的核心。一旦由于系统硬件的功能失效,存储介质的老化损坏,人为的错误操作,以及各种难以预料的外界因素导致数据意外丢失或损坏,那么将会对于业务运做造成无法估量的影响,所以必须对数据存储系统的完整性和可靠性给予高度重视。
2.4 建立和完善网络安全管理
“无规矩不成方圆”,严格规章制度使各项工作顺利完成的保障。从2013年开始,先后建立了《机房管理办法》《大连气象通信网络管理办法》《互联网使用安全管理制度》《网络安全管理制度》等。另外,还包括制订系统安全技术措施,制订口令管理制度、系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。
对各处室和直属单位,要求每台计算机必须有专人负责,要求操作系统加密、设置层层口令权限。除此之外,定期进行安全技能培训,使大家能掌握最新的网络安全现状,提高全体干部职工的安全防范技能。
参考文献:
[1]窦以文,刘旭林,沈波,等.气象信息安全建设探讨[J].气象与环境学报,2011,27(2):45-49.
[2]林伟,徐才.业务网与互联网物理安全隔离方法[J].气象,2003,29(9):56-57.
[作者简介] 邹杰(1971-),女,本科,高级工程师,主要从事气象信息网络技术工作。
(收稿日期:2014-11-07)
,本文编号:14910
本文链接:https://www.wllwen.com/kejilunwen/wltx/14910.html