计算机网络发展及技术介绍.ppt

1、气象网络与网络安全介绍,郎洪亮 国家气象信息中心网络室 2009.8,内容,计算机网络技术概述 网络路由交换技术与设备 全国气象网络IP地址规划 信息安全等级保护与气象信息网络系统安全 全国气象网络安全架构 气象网络安全管理与技术策略,计算机网络技术概述,网络通信技术,网络通信技术的两种类型 Circuit-switched Packet-switched 局域网/城域网技术LAN/MAN 广域网技术WAN 无线通信技术 无线局域网络技术WLAN 无线广域网技术,网络连接介质,Thin-wire Ethernet Cable Twisted Pair Cat 3/4/5/5e/6/7. Opt

2、ical Fable,双绞线系统,Unshield Twist Pair Category 3 tested to 16 MHz 10BASE-T Ethernet and 4-Mbps Token Ring networks Category 4 tested at 20 MHz 16-Mbps Token Ring Category 5 tested at 100 MHz 100-Mbps Ethernet and FDDI. When four pairs are used, Category 5 supports Gigabit Ethernet. Category 5 Enhance

3、d (Category 5e) 350 MHz /100 MHz in standard 100-Mbps Ethernet, Gigabit Ethernet, and ATM Category 6 (ANSI/TIA/EIA-568-B.2-1) states 200 MHz 100-Mbps Ethernet, Gigabit Ethernet, and ATM Category 7 600MHz,光纤系统,光纤标准 单模：工作频率1310nm, 1550nm 8/125m 9/125m 10/125m 多模：工作频率850nm, 1310nm 50/125m, 欧洲标准 62.5/12

4、5m, 美国标准 光纤跳线 根据接头形状可分为： FC、SC、ST、LC等 根据插芯的端面类型可分为：PC（Physical Connector）、UPC、APC(Angle Physical Connector)等,光纤接口,LC,SC,ST,MT-RJ,MIC,FC,TOSLINK,网络配线系统,垂直系统 水平系统 工作区系统 工作区子系统是一个从信息插座延伸至终端设备的区域 工作区布线要求相对简单，容易移动、添加和变更设备 该子系统包括水平配线系统的信息插座、连接信息插座和终端设备的跳线以及适配器 工作区的每个信息插座都应该支持电话机、数据终端、计算机及监视器等终端设备 为了便于管理和识

5、别，有些厂家的信息插座做成多种颜色：黑、白、红、蓝、绿、黄，这些颜色的设置应符合TIA/EIA 606标准,局域网技术,以太网Ethernet 令牌环Token Ring FDDI ATM,城域网技术MAN,Ethernet以太网技术,CSMA/CD 10Base-T 100Base-TX 1000Base-SX, 1000Base-LX, 1000Base-T 10G Ethernet 10GBASE-CX4 10GBASE-T 10GBASE-LRM 220/300 meters over multimode fiber,网络标准与连接长度,100BASE-T以太网,千兆以太网,网络标准与

6、连接长度（2）,10G以太网,广域网技术,X.25 DDN Frame Relay ATM SDH/SONET MPLS Ethernet,Frame Relay,ATM,ATM（2）,SONET/SDH,Synchronous Optical Network-North America Synchronous Digital Hierarchy rest of world 分插复用器(ADM) 分插复用器用于SDH传输网络的转接点处，例如链的中间结点或环上结点，是SDH网上使用最多、最重要的一种网元 ADM有两个线路端口和一个支路端口。两个线路端口各接一侧的光缆(每侧收/发共两根光纤) AD

7、M的作用是将低速支路信号交叉复用到线路上去，或从线路端口收到的线路信号中拆分出低速支路信号 可将两侧线路的STM-N信号进行交叉连接 ADM是SDH最重要的一种网元，通过它可等效成其它网元，即能完成其它网元的功能,ADM - add/drop multiplexers,MPLS,多协议标签交换（Multi-Protocol Label Switch，简称MPLS）是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。多协议的含义是指MPLS不但可以支持多种网络层层面上的协议，还可以兼容第二层的多种链路层技术 它的价值在于能够在一个无连接的网络中引入连接模式的特性；其主要优点是减少了网络

8、复杂性，兼容现有各种主流网络技术，能降低网络成本，在提供IP业务时能确保QoS和安全性，具有流量工程能力。此外，MPLS能解决VPN扩展问题和维护成本问题 MPLS属于第三代网络架构，是新一代的IP高速骨干网络交换标准，由IETF所提出，由Cisco、ASCEND、3Com等网络设备大厂所主导 MPLS是集成式的IP Over ATM技术，即在Frame Relay及ATM Switch上结合路由功能，数据包通过虚拟电路来传送，只须在OSI第二层（数据链结层）执行硬件式交换（取代第三层（网络层）软件式路由），它整合了IP选径与第二层标记交换为单一的系统，因此可以解决Internet路由的问题，

9、使数据包传送的延迟时间减短，增加网络传输的速度，更适合多媒体讯息的传送。 MPLS最大技术特色为可以指定数据包传送的先后顺序 MPLS使用标记交换（Label Switching），网络路由器只需要判别标记后即可进行转送处理,MPLS发展历史,1996年，Ipsilon公司提出的一种专门在ATM网上传送IP分组的技术：IP Switching；Toshiba: cell switching router 1996年，Cisco: Tag Switching; IBM: Aggregate Route-based IP Switching 1997年，IETF: MPLS(Multiprotoc

10、ol Label Switching),MPLS 工作原理,当一个未被标记的分组（IP包、帧中继或ATM信元）到达MPLS 边缘标记交换路由器（LER）时，入口 LER根据输入分组头查找路由表以确定通向目的地的标记交换路径LSP，把查找到的对应LSP的标记插入到分组头中，完成端到端IP地址与MPLS标记的映射 分组头与label的映射规则不但考虑数据流目的地的信息，还考虑了有关QoS的信息；在以后网络中的转发，MPLS LSR就只根据数据流所携带的标签进行转发,MPLS 技术特点,MPLS简化了分组的转发 基于定长短标签完全匹配，MPLS易制造高速路由器 MPLS支持有效的显式路由（expli

11、cit routing） 显式路由在网络负荷调节，保证QoS要求等方面起着重要作用；传统IP网络中，每个分组头都携带显式路由是不可能的；MPLS只是在LSP建立时使用 MPLS有利于实现流量工程（Traffic Engineering） MPLS支持QoS选路 QoS选路是指对特定的数据流，按其QoS要求来为它选择路由的方法 从IP分组到转发等价类的映射 MPLS只需要在其域的入口进行一次从IP分组到FEC的映射，使得IP分组到FEC的复杂转换得以简化 MPLS支持多网络功能划分 MPLS引入了标记粒度的概念，使其能分层地将处理功能划分给不同的网络单元，让靠近用户的网络边缘节点承担更多的工作；

12、与此同时，核心网络则尽可能地简单 MPLS实现了用户不同服务级别要求的单一转发规范 MPLS提高了网络扩展性 传统的IP与ATM结合是依靠中间层的翻译，这种方式带来了一系列的后果，如虚电路的“N的平方”问题，MPLS通过减少对等实体的数量、去掉路由器之间全网格状的n频繁逻辑链路连接，提高了可扩展性,MPLS 术语,转发等效类（Forwarding Equivalence Class, FEC） 是一系列具有某些共性的数据流集合(目的地相同、使用的转发路径相同、具有相同的服务等级等)，这些数据在转发的过程中被LSR以相同的方式进行处理 标记（Tag或Label） 简短的、长度固定的、具有本地意义

13、的标识符，用以表征转发等价类（FEC） 边缘标记交换路由器（LER： Label Edge Router） 根据LSP等因素给分组加标签的路由器 标记交换路由器（LSR：Label Switched Router） 具有标记交换能力的路由器，它是标记交换的基本构成单元 Label Switched Path (LSP) An unidirectional path through an MPLS network, set up by a signaling protocol such as LDP, RSVP-TE, BGP or CR-LDP The path is set up based

14、 on criteria in the forwarding equivalence class (FEC),MPLS,MPLS: Multiprotocol Label Switching,Last Mile Connection,FTTB-Ethernet Cable Modem xDSL MSTP,xDSL,DSL: Digital Subscriber Line Access 对称DSL技术 HDSL-High-bit-rate DSL 利用两对双绞线传输 支持N64kbps各种速率,最高可达E1速率 SDSL-Single-line DSL 利用单对双绞线 支持多种速率到T1/E1,

15、xDSL（2）,非对称DSL技术 ADSLAsymmetric DSL 利用一对双绞线传输 上/下行速率从1.5Mbps/64Kbps到6Mbps/640Kbps RADSLRate Adaptive DSL 利用一对双绞线传输 支持同步和非同步传输方式 速率自适应,下行速率从640Kbps到12Mbps,上行速率从128Kbps到1Mbps VDSLVery High Data Rate DSL 传输距离约为300米1500米 非对称下行数据的速率为6.5M52Mbps，上行数据的速率为0.8M6.4Mbps 对称数据的速率为6.5M26Mbps，,WLAN-Mobile Network,8

16、02.11b/g/n Access Point 身份认证 兼容性问题 有线网络的补充,802.11 Technology,802.11n技术,IEEE 802.11n，是2004年1月时IEEE宣布组成一个新的单位来发展的新的802.11标准，目前在市面上零售的相关产品版本为草拟版本2.0。传输速度理论值为300Mbit/s，因此需要在物理层产生更高速度的传输率，此项新标准应该要比802.11b快上50倍，而比802.11g快上10倍左右。802.11n也将会比目前的无线网络传送到更远的距离 目前在802.11n有两个提议在互相竞争中： WWiSE (World-Wide Spectrum E

17、fficiency) 以Broadcom为首的一些厂商支持 TGn Sync 由Intel与Philips所支持 802.11n增加了对于MIMO的标准，使用多个发射和接收天线来允许更高的数据传输率，并使用了Alamouti coding coding schemes 来增加传输范围,Wireless LAN,Typical Wireless LAN Topology,WiMAX技术,WiMAX（Worldwide Interoperability for Microwave Access，全球互通微波存取），是一项高速无线数据网络标准，主要用在城域网络（MAN） 由 WiMAX 论坛（WiM

18、AX Forum）提出并于2001年6月成形。它可提供最后一公里无线宽带接入，作为电缆和DSL之外的选择 它在 IEEE 802.16 标准的多个版本和选项中做出唯一的选择，以保证不同厂商产品的互操作性 在 802.16 物理层的三个变体中，WiMAX 选择了 802.16-2004 版的 256 carrier OFDM，能够借由较宽的频带以及较远的传输距离，协助电信企业与 ISP构建无线网络的最后一公里，与主要以短距离区域传输为目的的 IEEE 802.11 通信协议有相当大的区别 WiMAX能提供许多种应用服务，包括最后一公里无线宽带接入、热点（hotspot）、蜂窝式回程线路以及作为商

19、业用途在企业间的高速连线 通过WiMAX一致性测试的产品都能够对彼此建立无线连接并传送互联网分组数据 在概念上类似WiFi，但WiMAX改善了性能，并允许使用更大传送距离,3G技术,WCDMA：宽带码分多址是一个ITU(国际电信联盟)标准，它是从码分多址（CDMA）演变来的，在官方上被认为是IMT-2000的直接扩展。W-CDMA能够支持移动/手提设备之间的语音、图象、数据以及视频通信，速率可达2Mb/s（对于局域网而言）或者384Kb/s（对于宽带网而言）。输入信号先被数字化，然后在一个较宽的频谱范围内以编码的扩频模式进行传输。W-CDMA使用一个5MHz宽度的载频。 CDMA2000 ：C

20、DMA2000是属于第三代移动通信系统IMT-2000系统的一种模式，它的原意是把CDMA2000分为多个阶段来实施，第一个过渡阶段称为CDMA20001X，速率高于IS-95，可支持308kibit/s的数据传输，网络部份引入分组交换，可支持移动IP业务。而另一个标准CDMA2000-1XEV是在CDMA2000-1X基础上进一步提高速率的增强体制，采用高速率数据(HDR)技术，能在1.25MHz(相同于CDMA2000-1X带宽)内提供2Mit/s以上的数据业务，是CDMA2000-1X的边缘技术。第二个阶段称为 CDMA2000-3X，它与CDMA2000-1X的主要区别是前向CDMA信

21、道采用3载波方式，而CDMA2000-1X用单载波方式。因此它的优势在于能提供更高的速率数据，但占用频谱资源也较宽。 TD-SCDMA：中文含义为时分同步码分多址接入，该项通信技术也属于一种无线通信的技术标准，它是由中国第一次提出并在此无线传输技术（RTT）的基础上与国际合作完成的标准。是集CDMA、TDMA、FDMA技术优势于一体、系统容量大、频谱利用率高、抗干扰能力强的移动通信技术。它采用了智能天线、联合检测、接力切换、同步CDMA、软件无线电、低码片速率、多时隙、可变扩频系统、自适应功率调整等技术。,移动系统标准比较,MSTP技术,MSTP可以将传统的SDH复用器、数字交叉链接器（DXC

22、）、WDM终端、网络二层交换机和IP边缘路由器等多个独立的设备集成为一个网络设备，即基于SDH技术的多业务传送平台（MSTP），进行统一控制和管理。 MSTP的实现基础是充分利用SDH技术对传输业务数据流提供保护恢复能力和较小的延时性能，并对网络业务支撑层加以改造，以适应多业务应用，实现对二层、三层的数据智能支持。即将传送节点与各种业务节点融合在一起，构成业务层和传送层一体化的SDH业务节点，称为融合的网络节点或多业务节点，主要定位于网络边缘。 基于SDH的MSTP最适合作为网络边缘的融合节点支持混合型业务，特别是以TDM业务为主的混合业务。 以SDH为基础的多业务平台可以更有效地支持分组数据

23、业务，将成为城域网近期的主流技术之一。,TCP/IP协议,随着Internet发展而普及 1980左右出现 是BSD（Berkeley Software Distribution）的一部分 事实的网络协议标准,TCP/IP协议的层次,Application,Transport,Internet,Network Interface,Reliable Stream (TCP),User Datagram (UDP),Hardware,TCP/IP应用层协议,DNS Telnet/SSH SMTP SNMP/RMON,IPv6技术,IPv6技术特点 128位地址空间 改善的服务质量控制 地址的自动配

24、置 增强的安全特性-缺省IPsec-VPN支持 IPv6与IPv4的过渡技术 双栈技术 隧道技术 应用层代理网关,Internet,ARPANET: 1970s National Science Foundation NFSNET-Internet Backbone: 1986 Internet2: 1990s,Internet面临的问题,地址空间 稳定/可靠性 带宽 服务质量保障/控制 网络安全 垃圾邮件 计算机病毒,网络路由交换技术与设备,路由技术,IP路由技术 解决的问题：网络寻径 为了适应网络规模扩大及网络互连而发展起来。 静态路由 动态路由 路由负载均衡和虚拟路由VRRP Multi

25、cast Routing,动态路由技术,距离-向量协议Distance-Vector RIP IGRP EIRGP BGP 链路-状态协议Link-State OSPF,路由器,传统的网络设备 具有三层（网络层）的智能 软件+CPU的处理方式，速度慢 基于查表的路由方式 具有丰富的接口，能够进行多种协议的转换网关Gateway。 路由器能够提供丰富的功能，精细化的QoS控制能力。 主要用于企业网络边界，用于网络互联。,网络交换技术802.3,SpanningTree Vlan 多链路（端口）绑定 Channel PAgP: Port Aggregate Protocol 组播支持-IGMP C

26、oS和端口速率控制,网络交换设备,Bridge Switch Layer 3 Switching,三层交换技术,防火墙,用于网络边界，分隔网络安全控制域，实现网络安全访问 通过配置的网络安全策略决定网络的访问关系 可通过多个网络连接构建多个网络安全域 对应用数据处理能力（延时、丢包）决定防火墙性能 达到IP和应用级网络安全控制 支持NAT和透明模式，一般集成VPN处理能力 应具备对网络安全攻击的防范能力 目前最大的问题是应对高优先级网络向低优先级网络的攻击防范以及对于非标准端口应用的控制,入侵检测/防御设备,基于定义对网络流量进行监测，并可直接或与网络设备及网络安全设备进行联动，实现对网络安全

27、的控制 并行接入网络边缘、网络核心或指定的区域（入侵检测）或串行接入到网络边界处（入侵防御） 需定时更新网络安全威胁定义 由于错误检测等原因一般不建议使用串行方式,全国气象网络IP地址规划,原有网络IP地址分配方案,1996年4月制定的9210工程计算机网络地址分配设计规范 网络系统包括国家级、区域级、省级和地（市）级的局域网络及基于VSAT的卫星数据网 各级网络系统均采用“双网”结构 B类保留地址172.16.0.0-172.31.0.0作为单播（Unicast）地址空间 组播地址（Multicast）224.x.92.10 区域中心局域网分配（相当于）16个C类地址 省级和计划单列市局域网

28、分配（相当于）8个C类地址 地（市）级局域网分配（相当于）2个C类地址,原有IP地址分配方案存在的问题,不适应整个网络拓扑结构的根本性变化 IP地址资源紧缺,对IP地址的需求,充足的IP地址空间 全网互连，统一编址 地址汇聚,IP地址分配涉及的主要技术因素,网络拓扑结构,国家级骨干网络系统,地市级网络系统,省级网络系统,县级网络系统,IP地址分配涉及的主要技术因素(2),IPv4与IPv6问题 地址分配空间的确定 IP地址汇聚,IP地址分配方案,与中国气象局骨干网络系统统一编址 为各级系统分配的IP地址空间为: 省级系统：（相当于）128个C类地址空间 地市级系统：（相当于）32个C类地址空间

29、 县级系统：（相当于）8个C类地址空间 区域中心和省级系统同等对待 在地址空间上依然保留区域中心的概念，将所有省分布到7个区域中心内,每个区域中心的IP地址空间连续。 根据网络规模和实际分配情况，在省与省之间、区域与区域之间都保留了约1个B类地址空间作为预留。,全国气象网络IP地址范围,全国气象网络IP地址范围（2）,新的IP地址使用方式,新分配方案主要用于省级及省级以下局域和广域网络系统 IP地址空间包括两类内容： 局域网络系统的IP地址 广域网互连部分的IP地址 局域网络系统建议使用C类地址掩码,广域网互连部分地址使用规定,网络系统互连时，对应的互连端口IP子网掩码建议为255.255.2

30、55.252（根据需要可自行调整） 省级、地市系统地址范围前2个C类地址用于互连 县级系统地址范围第1个C类地址用于互连 上下级互连时互连端口地址范围包含在互连的两点中下一级IP地址空间中 同级网络互连时可约定互连地址所属的系统范围，但应包含在本方案规定的互连地址空间内,全国气象部门域名系统初步规划,所有业务系统按照域名方式工作 四级域名体系 （xx：省级系统简写） （yy：地市级系统简写） 北京设置总域名解析服务器 各省设置本省域名解析服务器 三级域名体系 （xx：省级系统简写； yy：地市级系统简写） 北京设置总域名解析服务器 各地设置本地域名解析服务器,信息安全等级保护与气象信息网络系统

31、安全,气象信息网络系统安全现状,信息网络系统安全是关系到业务系统正常运行的关键核心问题 各级气象部门在网络整体安全防护、网络结构、网络设备、用户计算机安全管理方面针对网络正常、可靠运行都有一定程度的增强 气象部门内部也制定了一系列网络安全管理规范,气象信息网络系统安全现状（2）,气象信息网络安全整体上较为脆弱： 网络安全事件时有发生，影响业务系统正常运行 网络安全设施不够完善，基本安全防御能力有限 应用系统安全防御能力不足 业务数据流程给系统安全带来隐患 用户安全观念淡薄,信息系统安全内涵,信息系统安全包括两个层面的内容，分别为技术层面和管理层面的信息系统安全 技术层面： 物理安全、网络安全、

32、主机安全、应用安全和数据安全及备份恢复 管理层面的内容主要包括信息系统的管理机构、管理规范和与信息系统直接发生关系的人： 安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,气象网络系统安全分析,网络边界不清 网络角色不清 网络访问关系不清 应用与数据流程随意 安全管理规范缺乏 用户安全观念和意识亟待建立,信息系统安全等级保护,信息安全等级保护按标准建设安全保护措施，建立安全保护制度，落实安全责任，加强监督检查，有效保护重要信息系统安全，有效提高国家信息和信息系统安全建设的整体水平，有效体现“适度安全、重点保护”的目的 “自主定级、自主保护”与国家监管结合，信息系统运营使用单

33、位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，公安、密码和保密部门进行监督、检查、指导,信息系统安全等级保护（2）,根据信息系统在国家安全、经济建设和社会生活中的重要程度客体造，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度确定为五个级别 信息系统安全保护依据等级保护对象受到破坏时所侵害的客体和对成侵害的程度确定安全保护等级,气象网络系统安全目标,结合信息安全等级保护工作，充分分析现有气象网络系统特点和应用需求 通过网络系统适度调整和增强建设符合国家标准的网络安全基础体系 建立完善的网络安全管理规范 提高人员安全素质 增强气象网络安全整体能

34、力,气象网络系统安全工作思路,认真分析现有网络与应用系统需求，结合国家标准开展气象网络安全顶层设计工作 在顶层设计的框架内，确定各级网络系统边界、定义计算机网络角色、明确网络访问关系，控制应用与数据流程 制定各级气象网络系统安全策略与安全域边界防护策略 建立与完善各级气象网络系统管理与安全规范 按照“适度增强，重点保护”的原则完善气象网络系统基础设施 培养各级气象系统技术人员与用户，提高网络管理人员技能和用户安全意识,气象网络系统安全需求分析方法,根据等级保护确定基本安全要求，确定具体的业务信息和系统服务安全保护等级，根据系统面临的威胁特点调整安全要求 明确系统特殊安全需求 等级保护相应等级的

35、基本要求中某些方面无法满足系统要求 由于某种原因等级保护的基本要求中未提供所需的保护措施，如无线网络 调整后的信息系统等级保护基本安全要求与识别出的特殊安全需求共同确定该系统的安全需求,总体安全设计方法,局域网内部抽象处理 等级相同、安全需求类相同、安全策略一致的系统合并为一个安全域 局域网内部安全域之间互联的抽象处理 如果任意两个不同级别的子系统之间都有业务流程、数据交换、用户访问等要求，则两个模型要是之间有连接 局域网之间安全域互联的抽象处理 根据局域网之间的业务流程、数据交换和用户访问要求确定局域网之间的连接关系及数据访问关系 局域网安全域与外部单位互联的抽象处理 安全域内部抽象处理 安

36、全域内部抽象为网络设备、服务器设备和工作终端设备，建立访问关系,总体安全设计方法（2）,形成信息系统抽象模型 局域网之间及与骨干网、外部网络互联关系 局域网与定义安全域的包含与对应关系 不同级别安全域的互联与访问关系 局域网内部与外部的互连和访问关系等 制定总体安全策略 核心内容是安全域互连策略，通过限制多点外连、统一出口达到保护重点、优化配置，也体现纵深防御思想,总体安全设计方法（3）,制定安全控制策略与要求 等级边界安全控制规定 针对信息系统等级化抽象模型，根据总体安全策略、等级保护基本要求和系统的特殊安全需求，提出不同级别安全域边界的安全保护策略和安全技术措施 安全域内部的安全控制要求

37、针对信息系统等级化抽象模型，提出不同级别安全域内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施 等级安全域的管理策略 从全局角度出发提出单位的总体安全管理框架和总体安全管理策略，对每个等级安全域提出各自的安全管理策略，安全域管理策略继承单位的总体安全策略,实施方案设计内容,结构框架设计 功能要求设计 性能要求设计 部署方案设计 制定安全策略实现计划 管理措施实现内容设计 形成网络系统安全实施方案,全国气象网络安全架构,设计基本思路,按照信息系统安全等级保护工作的要求，考虑中国气象局全国网络系统长期可持续发展 确立中国气象局整体和各级网络系统宏观架构，建立相对独立的网络安全控制域和相

38、应的网络基础设施 明确网络边界，理顺业务数据流程，制定网络及网络安全系统管理规范 培养用户网络及信息安全意识 完善网络和网络应用监视系统 努力构建满足气象业务应用安全的国家级和各级网络安全系统,术语定义,办公网 中国气象局和各省气象局局机关内部局域网络系统，承载公文及办公信息，对网络安全要求较高的非涉密局域网络系统。中国气象局和各省气象局直属单位直接与办公网内部共享信息的计算机虽然不划归到办公网，但是这些计算机应该与办公网内部计算机按照同等安全要求进行管理 业务网 指连接中国气象局各业务系统服务器、公共计算与存储所属计算机或服务器、业务系统用户计算机，承载气象业务数据的网络系统。业务网是一个整

39、体的概念，既包括各级系统的局域网络，也包括相应的气象广域网络系统。业务网由于承载各种关键业务数据，所以其整体具有较高的安全要求 一般性网络 一般性网络是一个网络系统的描述概念，在全国气象网络系统中所有既不属于办公网也不属于业务网的网络系统，统称为一般性网络。一般性网络系统存在于气象网络系统内部，但是由于其应用范围与领域的原因，这部分网络系统无严格的网络安全要求。但是对这部分网络与其它网络系统共存，所以要加强对一般性网络的管理，防止影响其它网络系统,局域网络安全域,对气象局域网络系统应定义网络安全域，将办公、业务及其它应用根据其应用优先等级和重要程度进行明确划分，解决目前气象网络系统内各种应用及

40、网络系统混杂的问题。安全域之间应建立明确的网络边界，通过技术和管理手段对网络边界进行强化，实现安全域之间通信的单一点全面控制。 安全域是一个整体概念，包括其所涵盖的基础网络系统、计算机与服务器硬件与系统软件、应用系统、数据和用户。对安全域的控制实质上是对安全域内包含所有内容的全面控制。 局域网络安全域首先按照办公网、业务网和一般性网络的概念进行粗略划分，进而在某一类型网络系统内再根据实际情况进一步细化。网络安全域的划分可以跨行政机构进行，但是考虑具体的实现方式，可以在行政单位内各自划分，再通过技术手段实现整个局域网络系统内部同一安全等级安全域的互连。每个安全域需定义量化的安全等级，安全域等级的

41、定义可结合信息系统安全等级保护对各级气象信息系统的定义进行，但在等级保护定级的基础上还需细化。,安全域控制,各级气象局域网络系统按照办公网、业务网和一般性网络分为三类，每类网络内部根据实际情况和应用需求再划分若干等级的安全域 三类网络中办公网和业务网可建立数据共享，但一般性网络原则上不能与另两类网络之间存在任何形式的访问和数据传输，也不应使用同一网络布线基础设施和网络设备 办公网和业务网之间的数据共享应通过可管理的机制在特定的区域或通过特定的方式进行，办公网和业务网内部的计算机不能直接进行数据通信,安全域控制（2）,每类安全域内部不同安全级别的子域按照严格的安全级别进行访问 安全子域的访问控制

42、执行缺省禁止策略，即除了明确定义的访问外，其它访问一律禁止 “访问”仅定义网络层次的通信关系，各安全域之间其它任何形式和层次的数据交换限制至少应不弱于网络通信层次的要求 同一安全级别分布于不同位置的子域之间可根据需要直接访问，如无需要则应予以禁止 高安全级别的安全子域可与低安全级别的安全子域直接建立由高到低的单向数据访问关系 低安全级别的安全子域禁止直接访问高安全级别的安全子域，如确需访问需在高安全级别安全子域边界建立特定共享设施用于访问，但必须确保无任何形式的由低安全级别安全子域到高安全级别安全子域的数据流程,气象宽带网络安全区域,在安全域一般概念的基础上，根据气象业务系统的实际情况，基于安

43、全域与本地局域网络系统内的数据访问关系，定义“双向安全区域”和“单向安全区域”两个概念。 双向安全区域是指在全国气象宽带网络系统内能够与本地局域网络系统进行由安全域内系统主动发起的通信和能够由本地局域网络内部系统主动与之通信的安全域系统。 单向安全区域是指在全国气象宽带网络系统内仅能由本地局域网络内部系统主动发起向安全域的通信而不能主动与本地局域网络内部系统通信的安全域系统。 双向和单向安全区域的本质是与本地局域网络系统内部的访问关系： 单向安全区域无法主动与内部局域网络通信，外部系统对单向安全区域内系统的访问控制可以较为简单 双向安全区域内的系统能够获得较大的范围权限，与此相应，对双向安全区

44、域的访问控制则更为严格,气象宽带网络安全区域部署,安全区域范围 全国气象宽带网络各级系统均需构建安全区域以保障气象业务系统的正常运行。在具体实施上可根据实际情况分期分批实现。全国气象宽带网络主干系统所覆盖的国家级和省级系统需尽快完成安全区域的构建；地市级系统根据数据通信和网络安全管理需求逐步完成安全区域的构建；县级气象系统按照局域网络系统安全管理方式通过专用计算机访问气象内部网络系统，暂时不划分专用安全区域 安全区域内容 在构建安全区域的国家级和省级（包括今后的地市级）气象系统内，所有通过全国气象宽带网络系统提供服务的业务系统均应连接到相应的单向或双向安全区域内，且仅能连接到安全区域内。禁止安

45、全区域内的计算机与内部局域网络存在不经过安全设备的连接 安全区域位置 包括全国气象宽带网络系统在内的通信系统应位于局域网络系统外部，并通过简洁且明确的设备或网络线路连接。通信系统的边缘化有利于整体安全策略的制定和实施。安全区域应位于本地局域网络系统和全国气象宽带网络系统接入设备之间。安全区域与本地局域网络系统和宽带网络内的其它安全区域实现逻辑隔离，需要通过专用网络安全设备实现安全区域的隔离和访问控制 安全区域IP地址 安全区域与本地局域网络系统实施统一编址，安全区域IP地址空间位于规定的本地局域网络系统地址空间内。为了便于全国气象宽带网络系统统一安全管理，安全区域IP地址空间由国家级网络管理部

46、门按上述原则统一分配,双向安全区域访问规则,双向安全区域维持现有业务系统访问的层次关系，目前针对国家级和省级系统制定访问规则 双向安全区域原则上只连接必须使用双向业务流程的现有气象业务系统，对于新建气象业务系统建议放置到单向安全区域内 双向安全区域实施双向访问控制，即需在访问控制规则内明确定义允许通信的双方地址和应用端口，国家级和各省级系统对同一允许的通信内容同时实施访问控制 双向安全区域与本地局域网络的通信同样实施双向访问控制 同一级系统内的多个双向安全区域原则上禁止互相访问 国家级双向安全区域内的系统允许下列访问： 来自省级双向安全区域内系统的访问 来自国家级局域网络内部系统的访问 访问省

47、级双向安全区域内的系统 访问国家级局域网络内部的系统 访问国家级单向安全区域内的系统,双向安全区域访问规则（2）,省级双向安全区域内的系统允许下列访问： 来自国家级双向安全区域内系统的访问 来自其它省级双向安全区域内系统的访问 来自本省地市级系统的访问，有条件的地市级系统构建双向安全区域访问本省省级双向安全区域系统 来自本省县级系统的访问 来自本省级局域网络内部系统的访问 访问国家级双向安全区域内的系统 访问其它省级双向安全区域内的系统 访问本省地市级系统，对建立双向安全区域的地市级系统访问其双向安全区域内的系统 访问本省县级系统 访问本省级局域网络内部的系统 访问本省级单向安全区域内的系统,

48、单向安全区域访问规则,单向安全区域的访问规则在服务提供方仅定义允许提供服务系统的地址和服务端口，缺省允许所有全国气象宽带网络内部系统访问 使用单向安全区域内系统服务的客户端则需在本地的全国气象宽带网络系统接口安全设备上定义允许通信的客户端地址和服务器地址及服务端口 本地局域网络内部系统与单向安全区域内系统的通信需定义允许通信的双方地址和应用端口 同一系统内的多个单向安全区域原则上禁止互相访问,单向安全区域访问规则（2）,国家级单向安全区域内的系统允许下列访问： 来自省级、地市级和县级系统的访问 来自国家级局域网络内部系统的访问 省级单向安全区域内的系统允许下列访问： 来自国家级系统的访问 来自

49、其它省级系统的访问 来自本省地市级和县级系统的访问 来自其它省地市级和县级系统的访问 来自本省级局域网络内部系统的访问 来自本省级双向安全区域内系统的访问,全国气象宽带网络系统数据流程,互联网络系统,国家、省、地市和县级气象网络系统基本上建立了与互联网的连接 互联网对气象业务系统既有益又存在安全威胁 在国家级、省级和地市级局域网络系统内应建立专用的安全接入区用于与互联网连接，对互联网访问实施严格的安全控制 安全接入区应建立完善的网络安全设施，对互联网访问进行访问控制、入侵检测、漏洞扫描、病毒过滤和访问记录 禁止任何形式的由外部互联网到内部网络系统的访问，即使对于一般性网络系统也需同样要求 对内部网络访问互联网应达到主机级控制粒度 县级系统使用专用计算机访问互联网，