摘　要：

摘　要：氣象基礎(chǔ)網(wǎng)絡(luò)是氣象信息網(wǎng)絡(luò)系統(tǒng)重要組成部分。隨著信息技術(shù)發(fā)展，適時(shí)科學(xué)設(shè)計(jì)氣象信息網(wǎng)絡(luò)系統(tǒng)對(duì)于促進(jìn)現(xiàn)代氣象業(yè)務(wù)的發(fā)展，保障整個(gè)氣象業(yè)務(wù)高效、穩(wěn)定的運(yùn)行具有十分重要的意義。本文是以大連氣象基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)改造為例，從三個(gè)主要方面說(shuō)明地市級(jí)氣象通信網(wǎng)絡(luò)結(jié)構(gòu)如何按照相關(guān)要求，并符合信息安全等級(jí)保護(hù)規(guī)定，進(jìn)行設(shè)計(jì)和改造。

關(guān)鍵詞：

關(guān)鍵詞：氣象基礎(chǔ)網(wǎng)絡(luò)　局域網(wǎng)　網(wǎng)絡(luò)安全　安全域

隨著氣象業(yè)務(wù)技術(shù)體制改革的不斷推進(jìn)，新的傳輸業(yè)務(wù)和業(yè)務(wù)應(yīng)用系統(tǒng)隨之增加，對(duì)網(wǎng)絡(luò)傳輸可靠性和網(wǎng)絡(luò)安全系統(tǒng)的要求亦隨之提高。信息系統(tǒng)交互性對(duì)網(wǎng)絡(luò)帶寬、系統(tǒng)健壯性和網(wǎng)絡(luò)安全都提出了更高要求。另外，國(guó)家要求的信息系統(tǒng)安全等級(jí)保護(hù)工作也越來(lái)越受到各級(jí)領(lǐng)導(dǎo)的重視，網(wǎng)絡(luò)安全提到了一個(gè)新的認(rèn)識(shí)高度。2013-2014年，大連市氣象局把“氣象通信網(wǎng)絡(luò)支撐”作為項(xiàng)目建設(shè)的一個(gè)重要內(nèi)容，針對(duì)提高通信網(wǎng)絡(luò)交換能力、增強(qiáng)信息網(wǎng)絡(luò)安全性和業(yè)務(wù)系統(tǒng)安全性等方面做了統(tǒng)籌考慮和技術(shù)設(shè)計(jì)。

　　1　信息網(wǎng)絡(luò)現(xiàn)狀分析

　　大連市氣象局信息網(wǎng)絡(luò)系統(tǒng)在氣象業(yè)務(wù)現(xiàn)代化建設(shè)中發(fā)揮著重要支撐作用。目前，隨著氣象業(yè)務(wù)現(xiàn)代化的推進(jìn)，地市級(jí)網(wǎng)絡(luò)普遍存在著系統(tǒng)建設(shè)缺乏統(tǒng)籌管理，網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)不一，管理制度標(biāo)準(zhǔn)體系不完善等問(wèn)題。大連氣象網(wǎng)絡(luò)的突出問(wèn)題主要體現(xiàn)在以下幾方面：

　　(1)市縣地面寬帶網(wǎng)絡(luò)接口采用E1，擴(kuò)展性不強(qiáng);市-縣地面專(zhuān)線帶寬僅為4M，不能滿足同時(shí)承載氣象數(shù)據(jù)傳輸、信息共享系統(tǒng)訪問(wèn)、視頻會(huì)商和實(shí)景監(jiān)控的需求;同時(shí)，專(zhuān)線只有一家運(yùn)營(yíng)商提供，不滿足主管部門(mén)對(duì)寬帶網(wǎng)設(shè)計(jì)要求。

　　(2)局域網(wǎng)基礎(chǔ)布線規(guī)格陳舊，部分舊樓布線滿足不了業(yè)務(wù)需求;核心路由交換設(shè)備冗余熱備不足。

　　(3)信息系統(tǒng)安全缺乏統(tǒng)一的規(guī)劃和設(shè)計(jì)，涉及物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)五個(gè)層面完整的信息系統(tǒng)安全體系尚未建立完善，信息系統(tǒng)安全防護(hù)能力較弱。

　　2　系統(tǒng)組成與技術(shù)實(shí)現(xiàn)

　　2.1　局域網(wǎng)改造子系統(tǒng)

　　2.1.1　各辦公樓內(nèi)進(jìn)行綜合布線改造

　　整個(gè)布線材料均采用六類(lèi)產(chǎn)品，滿足《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》中的甲級(jí)標(biāo)準(zhǔn)和《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》中的綜合配置標(biāo)準(zhǔn)要求。走廊內(nèi)采用PVC耐火線槽吊棚內(nèi)暗敷設(shè)，各個(gè)房間內(nèi)采用PVC耐火線槽明敷設(shè)。信息點(diǎn)分布約有400個(gè)，前端信息點(diǎn)采用模塊化的方式安裝，后端采用配線架安裝，配線架與網(wǎng)絡(luò)設(shè)備間采用跳線連接。布線系統(tǒng)將電話系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)統(tǒng)一布置六類(lèi)雙絞線，用戶可以自由定義布線的終端接口為電話接口或者網(wǎng)絡(luò)接口，只要在后端跳線即可。

　　2.1.2　核心網(wǎng)絡(luò)設(shè)備升級(jí)換代

　　將原來(lái)的博達(dá)6806核心交換機(jī)替換2臺(tái)華為S7706交換機(jī)，實(shí)現(xiàn)核心交換機(jī)集群部署;更換網(wǎng)絡(luò)機(jī)房、局機(jī)關(guān)、氣象臺(tái)等部門(mén)共10臺(tái)華為S5700千兆交換機(jī)。網(wǎng)絡(luò)拓?fù)涞暮诵膶硬捎脙膳_(tái)核心交換機(jī)做冗余及負(fù)載均衡使用，每臺(tái)核心交換機(jī)應(yīng)配置雙引擎?zhèn)浞菁半p電源備份，支持IPv6協(xié)議具備萬(wàn)兆及以上業(yè)務(wù)流量承載能力，保證系統(tǒng)的穩(wěn)定性。接入層交換機(jī)支持豐富的二層功能、安全功能及QOS功能，通過(guò)光纜或者電纜上聯(lián)到核心交換機(jī)，采用端口聚合技術(shù)，實(shí)現(xiàn)雙千兆網(wǎng)絡(luò)上聯(lián)至核心交換機(jī)，主干網(wǎng)數(shù)據(jù)交換能力有了較大提升。對(duì)整個(gè)網(wǎng)絡(luò)交換機(jī)進(jìn)行了相應(yīng)的安全配置，開(kāi)啟環(huán)路監(jiān)測(cè)、三元素綁定(IPMAC接入端口)等功能，杜絕了許多常規(guī)安全隱患，使主干網(wǎng)絡(luò)更加穩(wěn)定可靠。

　　2.2　市-縣地面寬帶網(wǎng)重構(gòu)

　　大連下轄8個(gè)區(qū)(市、縣)氣象局(站)，每個(gè)縣站有1-2條2M SDH 專(zhuān)線和市局相連，由獨(dú)家通信運(yùn)營(yíng)商提供服務(wù)，主要承載報(bào)文傳輸、視頻會(huì)商和氣象辦公Notes郵箱等業(yè)務(wù)。隨著氣象業(yè)務(wù)現(xiàn)代化建設(shè)和縣級(jí)氣象業(yè)務(wù)改革的推進(jìn)，市縣寬帶網(wǎng)絡(luò)除了承載資料傳輸和遠(yuǎn)程視頻會(huì)商/會(huì)議數(shù)據(jù)傳輸業(yè)務(wù)之外，增加了預(yù)警信息、實(shí)景監(jiān)控圖像和氣象信息共享系統(tǒng)訪問(wèn)等功能，原有的網(wǎng)絡(luò)帶寬資源遠(yuǎn)遠(yuǎn)滿足不了現(xiàn)實(shí)需求。

　　根據(jù)《總體設(shè)計(jì)》要求和遼寧省局“十二五”信息網(wǎng)絡(luò)建設(shè)規(guī)劃，結(jié)合實(shí)際業(yè)務(wù)需求和網(wǎng)絡(luò)規(guī)劃，大連市-縣氣象寬帶網(wǎng)進(jìn)行了重構(gòu)設(shè)計(jì)�？h級(jí)接入由原來(lái)的SDH 方式變更為MSTP 方式，接入端口由E1改為FE端口，方便日后帶寬升級(jí)。市縣寬帶網(wǎng)帶寬提高至8兆。

　　市縣寬帶網(wǎng)重構(gòu)后，市級(jí)MSTP 接入端要求通信運(yùn)營(yíng)商安裝獨(dú)立的用戶端接入設(shè)備，且提供雙局向、雙路由的光纖接入，機(jī)房?jī)?nèi)須放置冷備傳輸設(shè)備或提出明確的故障恢復(fù)時(shí)間要求。由于線路類(lèi)型和接入端口發(fā)生改變，必須更換市縣兩級(jí)的路由器。市級(jí)MSTP 接入端路由器提供24個(gè)FE端口，保證有 50%冗余備份。縣級(jí)節(jié)點(diǎn)使用兩個(gè)通信運(yùn)營(yíng)商提供的雙局向、雙路由的光纖接入，在市級(jí)接入端路由器上做端口聚合和自動(dòng)備份切換，大大提高線路可靠性。另外使用基于互聯(lián)網(wǎng)的虛擬專(zhuān)用網(wǎng)VPN和衛(wèi)星通信網(wǎng)等作為備份手段。

　　2.3　信息網(wǎng)絡(luò)安全系統(tǒng)建設(shè)

　　2.3.1　網(wǎng)絡(luò)邊界安全設(shè)備部署

　　在互聯(lián)網(wǎng)接入、同城用戶接入和寬帶網(wǎng)連接處加裝防火墻，將其他網(wǎng)絡(luò)內(nèi)的安全隱患阻隔到局內(nèi)網(wǎng)之外。同時(shí)，互聯(lián)網(wǎng)接入處還部署了IPS入侵檢測(cè)、網(wǎng)絡(luò)安全行為審計(jì)，保證內(nèi)網(wǎng)信息安全。在應(yīng)用網(wǎng)站之前部署網(wǎng)頁(yè)防篡改系統(tǒng)，保證網(wǎng)站的安全訪問(wèn)。另外，互聯(lián)網(wǎng)接入處部署VPN網(wǎng)關(guān)，為異地終端用戶(出差人員)提供NOTES應(yīng)用、辦公系統(tǒng)WEB訪問(wèn)、MICAPS應(yīng)用、氣象信息綜合顯示平臺(tái)瀏覽等功能。

　　2.3.2　網(wǎng)絡(luò)系統(tǒng)分區(qū)防護(hù)措施

　　按照《總體設(shè)計(jì)》的要求，對(duì)市級(jí)局域網(wǎng)絡(luò)系統(tǒng)進(jìn)行分區(qū)，各網(wǎng)絡(luò)分區(qū)設(shè)置不同的安全管理策略。網(wǎng)絡(luò)進(jìn)行分區(qū)隔離后，終端用戶分為不同區(qū)域的用戶，不允許在各分離區(qū)之間擺渡。

　　2.3.3　終端用戶安全措施

　　終端用戶電腦上安裝正版殺毒軟件，同時(shí)限制和規(guī)范員工上網(wǎng)行為，對(duì)網(wǎng)絡(luò)使用進(jìn)行統(tǒng)一管理，為終端電腦的網(wǎng)絡(luò)安全提供了保障。對(duì)于用戶的準(zhǔn)入認(rèn)證也需要采用內(nèi)外網(wǎng)分離的方式進(jìn)行認(rèn)證，并增加用戶系統(tǒng)補(bǔ)丁升級(jí)軟件。

　　2.3.4　數(shù)據(jù)備份和恢復(fù)

　　數(shù)據(jù)備份方面，啟用數(shù)據(jù)備份系統(tǒng)對(duì)重要服務(wù)器系統(tǒng)、數(shù)據(jù)庫(kù)、重要業(yè)務(wù)計(jì)算機(jī)進(jìn)行實(shí)時(shí)備份，以避免在各種極端情況下造成的重大損失。數(shù)據(jù)資料是整個(gè)系統(tǒng)運(yùn)作的核心。一旦由于系統(tǒng)硬件的功能失效，存儲(chǔ)介質(zhì)的老化損壞，人為的錯(cuò)誤操作，以及各種難以預(yù)料的外界因素導(dǎo)致數(shù)據(jù)意外丟失或損壞，那么將會(huì)對(duì)于業(yè)務(wù)運(yùn)做造成無(wú)法估量的影響，所以必須對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)的完整性和可靠性給予高度重視。

　　2.4　建立和完善網(wǎng)絡(luò)安全管理

　　“無(wú)規(guī)矩不成方圓”，嚴(yán)格規(guī)章制度使各項(xiàng)工作順利完成的保障。從2013年開(kāi)始，先后建立了《機(jī)房管理辦法》《大連氣象通信網(wǎng)絡(luò)管理辦法》《互聯(lián)網(wǎng)使用安全管理制度》《網(wǎng)絡(luò)安全管理制度》等。另外，還包括制訂系統(tǒng)安全技術(shù)措施，制訂口令管理制度、系統(tǒng)補(bǔ)丁的管理制度，確定系統(tǒng)補(bǔ)丁的更新、安裝、發(fā)布措施，及時(shí)堵住系統(tǒng)漏洞。

　　對(duì)各處室和直屬單位，要求每臺(tái)計(jì)算機(jī)必須有專(zhuān)人負(fù)責(zé)，要求操作系統(tǒng)加密、設(shè)置層層口令權(quán)限。除此之外，定期進(jìn)行安全技能培訓(xùn)，使大家能掌握最新的網(wǎng)絡(luò)安全現(xiàn)狀，提高全體干部職工的安全防范技能。

　　參考文獻(xiàn)：

　　[1]竇以文,劉旭林,沈波,等.氣象信息安全建設(shè)探討[J].氣象與環(huán)境學(xué)報(bào),2011,27(2):45-49.

　　[2]林偉,徐才.業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)物理安全隔離方法[J].氣象,2003,29(9):56-57.

　　[作者簡(jiǎn)介]　鄒杰(1971-)，女，本科，高級(jí)工程師，主要從事氣象信息網(wǎng)絡(luò)技術(shù)工作。

　　(收稿日期：2014-11-07)