为安全生产保驾护航.doc

为安全生产保驾护航 国家安全生产信息系统是为便于全国安全生产管理部门开展安全生产检查、落实、监督等工作设计的管理信息系统。该系统包括若干子系统的建设，而网络子系统是该系统的重要建设内容，本文对该子系统的部分内容进行了探讨。 国家安全生产信息系统是国家安全生产监督管理总局为便于全国安全生产管理部门开展安全生产检查、落实、监督等工作设计的管理信息系统。系统的建设目标是充分利用现有的信息化基础，通过对国家安全生产信息系统的建设，提高安全监管和监察信息采集、处理、加工的能力，实现煤矿安全监察、监督和行政执法工作的信息化，推动安全生产管理工作的科学发展，并为国家实时预测事故、消除隐患、分析安全生产形势和及时决策提供服务。该系统主要包括应用子系统、网络子系统、数据库子系统、网站子系统、视频子系统、远程教育培训子系统、存储备份子系统、标准规范子系统等建设内容。网络子系统是该系统的重要建设内容，为其它系统提供通道服务。 网络子系统需求分析 新建网络子系统的主要需求为: 依托国家电子政务外网和电信专网，建立安全生产监督管理广域网传输平台，实现总局与各省地县机构的网络互联; 建立、健全各级安全生产监督管理、监察机构局域网络; 实现与国务院各有关部门、国务院安委会成员单位的信息传输和信息共享，为各有关部门提供服务; 为企业及公众访问国家安全生产信息系统提供基于互联网的接入方式; 实现总局与各省级机构之间的视频传输。 网络子系统建设的目标是: 提供国家安全生产监督管理总局到省级机构（共45个）、部分地市机构（共116个）和县级机构（共900个）以及地区煤矿监察分局机构（共71个）的应用系统之间数据交换的需求，并且为各机构的视频会议系统和VOIP系统提供承载平台。该子系统的设计主要包括广域网和局域网两部分。这里探讨的是理想的设计方案。 广域网方案设计 根据国家安全生产监督监察管理的特点，网络结构应采用具有单一中心节点的星型拓扑结构。主干网络辐射到全国各个省会城市，各省级节点负责本省范围内各地市县级节点的连接。采用四级五层结构。 国家安全生产监督管理总局为核心节点，作为四级五层结构中的第一级和第一层; 省安监局节点和省级煤监节点，作为四级五层结构中的第二级和第二层; 地级安监局节点和煤监分局节点，作为四级五层结构中的第三级和第三层; 县级安监局节点，作为四级五层结构中的第四级和第四层; 各个县所属的生产经营单位，作为信息采集层，是整个五层结构中的最后一层。 核心节点至二级节点的广域网连接可以说是国家安全生产信息网的一级骨干网络，由于总局汇聚了全国的业务应用数据，因此在一级骨干网建设上必须采用高性能的路由设备和高带宽的通信链路以满足数据交换的需求。 一级骨干网络的核心节点配置了两台路由器汇聚45个二级节点的接入，两台路由器之间互为备份，并且能够实现负载分担。在各二级节点侧配置了一台上行路由器和一台下行路由器，分别向上连接总局节点，向下连接三级节点。 在链路选择方面，由于一级骨干网不仅承载着数据业务，而且有视频业务和语音业务通过其流转，其中视频业务和语音业务对带宽需求比较大、网络性能要求比较高，因此考虑以上因素核心节点与每个二级节点的主链路采用22M链路进行连接。由于与核心节点连接的有45个二级节点，核心节点端共需要290M带宽与二级节点进行连接，所以核心节点主从路由器各配置一个通道化155M POS端口就可以满足带宽的需求。为了保证一级骨干网的可靠性，在核心节点配置2台路由器，只要有任意一条链路和一台路由器完好，系统就可正常工作。 二级节点至三级节点构成国家安全生产信息网的二级广域网络，该广域网主要实现以二级节点为汇聚中心覆盖全省各三级节点互连互通的网络，网络主要运行数据、语音、视频等业务，其中省煤监局节点与煤监分局节点之间传输数据、语音和视频业务，省安监局节点与地市安监局节点之间只传输数据和语音业务。 在链路的选择方面，由于三级节点与二级节点之间传输数据和语音业务，同时三级节点还需汇聚四级节点的数据流，所以两个节点之间的广域网连接链路采用2M带宽的E1线路实现连接。三级节点与二级节点之间传输数据、视频、语音业务，所以两个节点之间的广域网链路也采用2M带宽的E1线路实现连接。 三级节点至四级节点广域网主要实现以三级节点为汇聚中心覆盖地市下辖各县级安监局节点的广域连接网络，本广域网主要承载的是数据业务，不部署视频会议系统，三级节点至四级节点的广域网链路采用DDN链路或拨号连接。 局域网方案设计 一级节点局域网设计 国家安全生产监督管理总局局域网采用核心层、汇聚层和和接入层的三层网络结构，其中核心层包括2台核心交换机、2台路由器和2台防火墙设备，汇聚层完成核心设备与接入设备的衔接，接入层负责对用户桌面终端的接入。两台核心交换机之间进行负载均衡和冗余备份，以保证网络的可靠性，并且提高了网络性能。核心层的防火墙与核心交换机构成口字型结构，同时防火墙和路由器构成口字型连接，在该种结构下两台防火墙可以实现失效备援模式进行防火墙间的设备冗余备份，通过防火墙的控制策略，对来自广域网的数据访问进行限制。两台核心交换机分别通过千兆光口下联汇聚层交换机呈星型连接，每个汇聚层双千兆链路连接到核心交换机，汇聚层具有三层功能。接入层由多台三层交换机组成，接入交换机为机关用户提供端口。总局节点使用两台路由器与各省局的广域网路由器连接，这两台路由器互为主从，同时工作。 二级节点局域网设计 二级节点包括省安监局节点和省煤监局节点，由于二级节点在管理功能上基本相同，所以局域网的网络设备配置也大致相同。 每一个二级节点配置的设备有2台路由器、2台交换机、2台防火墙、1台VPN网关。其中，一台路由器作为上行路由器通过两个2M带宽链路与总局连接; 另一台路由器作为下行路由器，通过155M拆分成若干个2M带宽与三级节点连接。二级节点的局域网通过防火墙达到专网与外网之间的隔离，对专网进行保护。防火墙与上下行这两台路由器呈三角连接，对内下联交换机，这台交换机作为二级节点的核心交换机。为了方便移动用户对网内数据的访问，在二级节点配置了一台VPN网关，合法的移动用户可以通过互联网以及VPN网关访问二级节点网内数据。 三级节点局域网设计 三级节点包括地市级安监局节点和煤监分局节点，由于三级节点的机构功能和工作内容上基本上相同，所以三级节点内网采用相同的网络拓扑。每一个三级节点配置有1台路由器、1台三层交换机、一台防火墙、若干服务器和PC机。其中交换机连接本地用户，路由器作为广域网设备实现与省局以及县局的连接。服务器作为应用服务器并存放本地市的安全生产监督管理数据。 四级节点局域网设计 由于四级节点在整个系统的功能相同，所以采用相同的网络拓扑。四级节点配置的设备为1台路由器、1台交换机、1台防火墙和配套设备等。其中交换机连接本地用户，路由器作为广域网设备实现与地级安监局节点的连接。在广域网链路上，开通DDN专线的区域，采用DDN方式，没有开通DDN专线的区域采用拨号的方式连接到所属地市核心路由器。 各级节点网络设备选型原则 1.满足性能要求，实用先进。选择的设备必须满足国家安全生产信息系统对处理速度的要求。 2.可靠性。选用的产品要求比较成熟，产品可用性经受过考验，设备能可靠运行。 3.可扩展性。产品具备相应的升级能力，便于今后随着业务的发展而扩充。 4.服务质量。由于设备分布在全国各地，所以要求厂商的售后服务反应迅速，服务质量好。 网络子系统管理 国家安全生产信息网网络管理网络中设备多、范围大，而且呈四级结构，为了简化管理，在网络管理上，采用分级的管理方式，在总局核心部署一台网管服务器，在每个省部署一台网管服务器，总局的网管系统管理总局和各省级节点的上行路由器，二级节点的网管软件管理除本级上行路由器以外的本省范围内的网络设备。 管理主要实现的功能: 实时显示网络设备及其分布图; 对网络运行状态和流量进行动态监测; 提供网络事件的报警和处理; 网络设备性能参数的实时监控以及对历史数据的收集; 对于第三方和网络硬件生产厂家的管理工具的集成支持; 分层次的管理模式，对于较大的网络环境提供更好的管理效率; 提供网络设备的权限管理功能。 网络管理的上述功能主要从以下4个方面来考虑: (1) 性能管理 性能管理主要负责网络的性能监视、性能控制和性能分析来完成网络性能测试，以及各类性能信息的收集、统计、存储，性能信息数据库的维护，性能管理阈值的设置与阈值超限产生的性能报告。为操作人员和管理部门提供网络运行状态、报文数据统计情况、处理器负荷能力等信息，借此来识别特定问题和进行质量分析。必要时可通过运行管理功能和配置管理功能对网络进行调整，以改善网络的总体性能水平，保证网络的正常高效运行，为用户提供满意的服务。 (2) 故障管理 故障和告警管理主要负责告警监测、故障定位，配合运行管理功能进行故障排除和系统设备复测，能收集、处理、表示各网络单元的各种故障、告警及网络状态异常信息，并具有各种分类统计和指导分析的功能。 (3) 配置管理 配置管理功能主要负责全面动态的管理网络单元设备的配置数据，网络单元的保障、状态检查和安装功能能够以图形、文字等形式分层显示，并且具有编辑、增加、删除、更改、分类统计和打印输出这些功能。 设备配置数据应包括系统内各网络单元己生成的设备配置参数，也包括根据设计文件及管理资料人工生成的参数两部分内容。为使配置数据与实际配置情况始终保持一致，对于能从网络单元设备输出的配置信息，提供定时和手工启动方式的自动核对; 其他配置信息，提供录入、编辑等手段由操作员及时更正以反映实际情况。 配置管理也提供对特定配置的分析和管理工具。该工具可以对一组相关设备进行配置策略的分析，并能模拟配置后所产生的结果。同时对配置的变动自动生成报告，为管理员提供配置优化的依据。 （4) 安全管理 所采用的网管系统具备完善的权限管理功能。可实现基于用户的权限管理，基于用户组的权限管理，基于访问时间的权限管理，基于访问网络单元组的权限管理以及对以上几类访问的组合。 在系统中对各种操作功能的权限进行详细的划分，包括告警取消、告警确认、告警预处理的权限; 数据查询、增加、修改、删除的权限; 网络单元登录、发送人机命令、使用批命令的权限;用户资料查询、增加用户、修改用户资料、删除用户资料的权限。 系统每一个网管用户综合上述的类别和功能级别进行设定，规定其授权、时间限制、制定授权范围。当用户违权操作时，系统能及时产生告警信息，并禁止当前用户的进一步操作。 国家安全生产信息系统的建设符合国家对安全生产管理的战略发展规划，它的建成将极大地提高安全生产管理规范化、科学化和信息化的水平，为安全生产的真正改善和好转打下良好的基础。 链接:网络子系统特点 可扩充性强: 随着网络建设规模的逐步增大，用户数量逐步增加，网络具备较强的扩充能力，方便用户对系统功能的扩展。 可靠性强: 网络能够提供较丰富的服务功能，核心网络设备采用关键部件冗余和链路备份技术，保障核心设备的稳定可靠 安全性高: 采用最先进的安全认证手段，整个网络具备防火、防盗、防病毒侵害、防黑客入侵等能力，确保系统安全。 开放性高: 采用标准的协议保护用户的投资，提高设备的互操作性。网络系统的设备采用主流技术、开发的标准协议，具有良好的互操作性，能够支持同一厂家的不同系列产品，不同厂家的产品