浅谈特种设备检验系统内部网络建设.doc

浅谈特种设备检验系统内部网络建设 【摘要】特种设备是国民经济建设和人民日常生活中不可或缺的重要基础设备设施，与人民生活息息相关。特种设备的安全，事关经济发展，事关两型社会建设，事关民生和谐安康，其安全性问题日益成为广大百姓关注的热点。新型的特种设备逐渐兴起，特种设备在我国国有经济中占据重要影响，促进了我国的经济建设发展，改善了人民的生活水平和质量。特种设备检验系统内部网络建设的安全、准确、稳定、高效直接影响着特种设备的安全，事关经济发展、社会和谐和百姓民生。 【关键词】特检系统；内部网络建设 一、网络建设的必要性 特检系统内部网络是单位十分重要的基础设施，可以实现单位内部相关部门及下属单位的数据共享、互联互通，为各类应用系统提供安全、稳定、可靠的工作环境，满足各种数据传输的需求。 1.节约成本。会议通知、最近公告等可以通过内部网络发布，从而减少笔墨纸张、电话费用等其他支出，为国家财政节约支出。 2.提高效率。通过内部网络能共享文件，所有的电脑都可以通过网络互访，实现各计算机之间信息的快速传递。 3.加强安全。各计算机之间有互访，可以通过设置密码来设置访问权限，从而使检验系统数据更为安全。 二、网络建设原则 特检系统网管部门在建设网络前，应先规划好网络规模，确定系统运作总体需求。这样既能满足特检系统当前检验运作需求，也能充分考虑到将来整个网络系统的投资保护和对新应用的支持。另外，网络建设还应具备以下几点要求： 1.应具备应急能力 特种设备检验系统因业务量大，后台操作繁琐，很有可能发生少量的交换机、防火墙等设备出现故障。网络管理系统应具备单点失效保护，能够实现故障预警、报警，以及良好的故障应急处理能力。方能保障若出现紧急情况，内部网络可以继续工作，不影响业务处理。 2.应具备高速处理能力 特种设备检验系统数据量大，为了及时、迅速、高效地处理网络上传送的各种数据，网络设备必须具备高速处理能力，提供高速数据链路，保证网络高运转能力，满足各种应用对网络带宽的需求。 3.应具备灵活扩展性 特种设备检验系统是一个长期使用重要的基础设施。日后随着特种设备规模的扩大和业务量的增长，对内部网络性能的需求可能会超出预期，当内部网络的处理能力不够时，要求可以在原有网络架构的基础上实现灵活扩展。 4.应具备相应的安全能力 特种设备检验系统的安全关乎着特种设备的安全，关乎着人民生命安全。检验系统应具备安全能力和应用灵活的安全策略。通过网络分区、防火墙策略、入侵检测、终端准入等手段来加强网络的安全性。 另外，也需要提供友好、全面的监控工具，从而减少网络管理的漏洞风险，提高安全性能。 三、建设内容 企业内部网络建设主要内容包括：网络平台、IP地址划分、桌面安全管理、网络安全等几方面： 1.网络平台 （1）网络平台的结构 特检系统网络平台建设通常三层架构，包括核心层、汇聚层和接入层。核心层通常部署两台核心交换机，实现负载均衡和单点失效保护，核心交换机通常部署在企业中心机房。汇聚层通常指楼层交换机，通常部署在楼层弱电间，每个汇聚交换机同时接入到两个核心交换机，以增强网络的可用性。如果一个楼层汇聚交换机的端口不够用时，可以放置多台交换机，通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于稳定性要求高的网络，亦可以在汇聚层放置冗余设备，以实现该层设备的负载均衡和单点失效保护。架构中的接入层通常是指办公室接入交换机，通常部署在工作区配线架或者弱电间，每台接入层交换机与一台或者多台汇聚层交换机连接。对于稳定性要求高的网络，亦可以在接入层放置冗余设备，以实现该层设备的负载均衡和单点失效保护。桌面客户端通过楼层布线或者网线接入该层。 （2）网络平台建设的优点 一是可用性高。 汇聚层（也是接入层）直接双上联核心，减少中间环节。传输路径短，数据流从一个区域到另一个区域，路径只需经过“接入核心接入”，数据就可以传输到对端，优化了网络路径。 二是性能高。 汇聚层（也是接入层）直接与核心交换机相连，带宽的收敛比小，实际分配给每一个终端的带宽大，保证时延最小。 三是可扩展性强。 当用户的数量增加时，可通过在接入层增加交换机，直接与汇聚层交换机相连提供扩展，扩展变更仅影响限定在此区域的汇聚层交换机，不会影响核心交换机。 四是安全性高。 安全策略可以分布在接入交换机、汇聚层交换机和核心交换机上。五是可维护性高。网络变更对核心交换机影响小，除了新增汇聚层交换机，需要对核心交换机进行配置外，一般只影响到汇聚层交换机。汇聚层交换机故障，只会影响汇聚区域内的接入，其他汇聚区域不受影响 （3）网络平台建设需要加强的方面 一是扩展性需要加强。当用户的数量增加时，需要在汇聚层增加交换机接入核心交换机，或者通过在汇聚层增加交换机，使用堆叠方式或级联方式实现。 二是可用性需要加强。数据传输路径变长，数据流从一个区域到另一个区域，需要经过“接入汇聚核心汇聚接入”，才能将数据传输到对端，增加了路径的物理长度。 三是性能需要加强。带宽相应降低，虽然汇聚到核心可通过链路捆绑或万兆接口的方式增加带宽，但仍会出现当区域之间的数据互通时，汇聚层到核心层带宽争用的问题。 2.IP地址划分 由于企业有若干个部门和若干个下属单位，将来组织结构也可能有变化，有必要对IP地址进行划分，来建立若干个子网，制定灵活、可扩展、安全的IP地址分配策略，以便于网络管理和增强网络安全性。 中心机房是一个十分重要的区域，需要对中心机房进行网络区域划分，以增强网络的安全性。通常划分几大区域：核心交换区、Internet访问接入区、广域网互联区、DMZ区、服务器区等。 3.桌面安全管理 内部网络绝大多数攻击来自于企业内部，所以桌面安全管理十分重要。桌面安全管理包括：安全接入控制、安全策略管理、资产管理、软件分发、补丁管理、员工行为管理。 4.网络安全 内部网络既要满足内部办公的需要，又要满足与因特网实现数据交换的需要。特别是，保证距离企业总部物理距离较远的下属单位能够有效地访问内部网络。各种场景让网络安全相对复杂，网络安全建设主要包括但不限于： （1）接入交换机的安全。包括：端口安全控制、端口流量控制、广播抑制、防范DHCP攻击、防范ARP欺骗/中间人攻击技术、配置VLAN ACL等。 （2）网络设备自身的安全。网络设备某些缺省设置会导致安全漏洞，变更这些设置。 （3）防火墙策略。制定精细的防火墙安全策略，不同端口根据区域不同划分不同的安全级别。 （4）入侵监测/防御系统。使用先进的、专用的入侵监测/防御设备，实现主动监测和防御，并及时将相关信息传送到网管区域，能对用户常用的通讯内容进行审计。 四、总结分析 展望未来，通信网络将向着综合业务数字网方向发展，数据、语音、图像等各种数据通信在各个层次、各个领域得到综合利用。信息高速公路通