安徽地震信息网的优化改造
2014-10-15王伟万杰李英杰孙静陶崇福
王伟+万杰+李英杰+孙静+陶崇福
【摘要】 本文介绍了安徽地震信息网在原有网络基础上进行优化改造的情况,详细阐述了优化改造的具措施,以及改造完成后对安徽地震监测预报工作产生的积极影响。
【关键词】 地震 信息网 优化改造
安徽省地震信息网经过“十五”数字化地震台网建设(图1),建成了由蚌埠、铜陵两个大中城市节点,阜阳、巢湖、滁州、马鞍山四个县级节点,以及庐江、蒙城、合肥、泾县、金寨、佛子岭、嘉山、淮北、安庆、黄山等10个台站节点的地震通信网,由省局到中国局及信息节点的SDH、VPN信道有30条,到其它站点信道近50条。自2008年正式投入运行以来,为相关的科学研究提供高标准的基础技术平台与高质量的数据,为提高全社会对地震灾害的综合防御能力,有效地减轻地震灾害提供了强有力的保障。为了更好的实现地震数据实时传输及共享,对传输网络的稳定性和可靠性有了很大的要求,安徽省地震局在“十一五”建设中对安徽地震信息网进行了全面的升级改造。
一、系统现状和主要问题(图1)
1.1网络没有形成一体化的网络平台
网络中存在多个厂商设备,组网方式较为混乱,没有形成一体化的网络平台。SDH线路及Internet出口分别只有1台路由器和公网互联,存在单点故障隐患。
1.2网络性能无法满足目前和未来的需要
网络中采用的出口路由器、核心交换机,以及安全设备都在老化,设备转发性能正在持续降低,影响了整个信息网的数据传输。
1.3网络中核心数据无法进行有效的保护
由于安徽地震信息网及外网既承载着日常办公的数据,又承载着地震局许多内部信息,所以需要及时有效的保护关键数据,防止数据被恶意的窃取、篡改等。现在的安全设备性能以及特征库、病毒库等防护能力都较弱,无法对核心数据进行有效的可靠的持续保护。
1.4网络规模庞大,网络运维的管理难度加大
随着信息网规模的不断扩大,设备更替频繁、组网越来越复杂,而且网络平台上应用系统的多样化、信息量的成倍增加,都导致了网络系统维护的工作量和难度进一步加剧,所以在确保信息网绝对安全可靠运行的前提下,如何进行集中统一的管理也是亟需解决的问题。
二、需求分析与建设原则
本次网络系统的改造遵循统一规划、分步实施的指导思想,网络的设计应满足当前需求的同时,充分考虑到将来整个网络系统的投资保护和对新应用的支持。设计及实施充分遵循以下原则:
1、领先、标准的技术:整个网络系统在选型上采用国际领先技术,符合有关国际标准,使网络具有良好的开放性和兼容性。2、可扩展性:网络必须能够平稳地过渡到新的技术和设备,充分考虑到未来网络升级的平稳衔接,保证网络通讯介质、网络设计核心的向后兼容性。3、安全性:在内部网与外部网之间,以及内部不同网段之间都需要建立安全控制机制;提供多种方式和层次的访问控制、通过使用网络用户身份识别、VLAN、包过滤、入侵检测及防火墙等技术来保证网络系统的安全性。4、高可靠性:整个网络系统有良好的可靠性及一定程度的冗余。5、高性能:为了及时迅速地处理网络上传送的数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
三、网络方案设计与实施
3.1总体设计
本次网络改造设计为万兆光纤主干,千兆以太网接入到桌面的设计思路;在中心机房设立核心交换区,核心交换区的功能主要是实现网络服务器区、各楼层网络的互联互通,保证网络流量的优化传输,完成网络间数据流的高速转发。
3.2网络系统改造
所有外联路由器由1台扩展为2台;新增1台保密路由器和现有的保密路由器实现冷备组网;新增1台专网路由器和现有的专网路由器Cisco 3845实现主备和负载分担;新增2台VPN路由器替换原有的M582路由器,实现与防火墙互联,通过VPN连接中国局和各台站,实现主备以及负载均衡功能,避免了因为单台设备引发的单点故障以及性能瓶颈问题。新增网络管理软件,实现对现有网络设备的管理。
3.3网络安全系统
新增入侵防御系统,IPS作为一种在线部署的产品,提供主动的、实时的防护,准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
新增上网行为管理系统,利用上网行为管理技术对所有访问互联网出口的用户要进行记录和安全审计,以符合公安部82号令关于“互联网服务提供者和互联网使用组织记录并留存内网用户发生的各种网络行为日志,包括登录和退出时间、账号、互联网地址或域名等信息,且行为日志至少保留60天以上”等要求。
3.4主机和存储系统
新增磁盘阵列,将所有数据集中存储,其中重要应用采用FC协议连接,普通应用采用ISCSI协议连接。
3.5备份容灾系统
新增备份容灾设备,通过专业的数据存储管理软件,结合相应的硬件和存储设备,对前兆、测震、信息和办公数据备份进行集中管理,从而实现自动化的备份、文件归档、数据分级存储及灾难恢复等。
安徽地震信息网于2012年4月全部完成(图2),实现了重要设备在线式冗余,远程网双链路保护,重要应用双机热备,先进的网络安全系统,容灾备份系统,防震减灾信息网负载均衡技术,全网实时监控报警管理,内网、外网、政务网、财务网四网物理隔离,万兆主干、千兆桌面。极大改善了安徽省防震减灾各类系统的基础支撑条件,大大提高了系统的长期安全稳定运行和服务保障能力。
参 考 文 献
[1] 蒋春曦. 省级行业信息服务系统的设计与实现.电脑知识与技术.2012.
[2] 王剑. 计算机网络及信息安全体系研究. 信息通信.2014.
[3] 史勇军. 新疆防震减灾中心通讯网络系统集成与应用. 西北地震学报.2010.
【摘要】 本文介绍了安徽地震信息网在原有网络基础上进行优化改造的情况,详细阐述了优化改造的具措施,以及改造完成后对安徽地震监测预报工作产生的积极影响。
【关键词】 地震 信息网 优化改造
安徽省地震信息网经过“十五”数字化地震台网建设(图1),建成了由蚌埠、铜陵两个大中城市节点,阜阳、巢湖、滁州、马鞍山四个县级节点,以及庐江、蒙城、合肥、泾县、金寨、佛子岭、嘉山、淮北、安庆、黄山等10个台站节点的地震通信网,由省局到中国局及信息节点的SDH、VPN信道有30条,到其它站点信道近50条。自2008年正式投入运行以来,为相关的科学研究提供高标准的基础技术平台与高质量的数据,为提高全社会对地震灾害的综合防御能力,有效地减轻地震灾害提供了强有力的保障。为了更好的实现地震数据实时传输及共享,对传输网络的稳定性和可靠性有了很大的要求,安徽省地震局在“十一五”建设中对安徽地震信息网进行了全面的升级改造。
一、系统现状和主要问题(图1)
1.1网络没有形成一体化的网络平台
网络中存在多个厂商设备,组网方式较为混乱,没有形成一体化的网络平台。SDH线路及Internet出口分别只有1台路由器和公网互联,存在单点故障隐患。
1.2网络性能无法满足目前和未来的需要
网络中采用的出口路由器、核心交换机,以及安全设备都在老化,设备转发性能正在持续降低,影响了整个信息网的数据传输。
1.3网络中核心数据无法进行有效的保护
由于安徽地震信息网及外网既承载着日常办公的数据,又承载着地震局许多内部信息,所以需要及时有效的保护关键数据,防止数据被恶意的窃取、篡改等。现在的安全设备性能以及特征库、病毒库等防护能力都较弱,无法对核心数据进行有效的可靠的持续保护。
1.4网络规模庞大,网络运维的管理难度加大
随着信息网规模的不断扩大,设备更替频繁、组网越来越复杂,而且网络平台上应用系统的多样化、信息量的成倍增加,都导致了网络系统维护的工作量和难度进一步加剧,所以在确保信息网绝对安全可靠运行的前提下,如何进行集中统一的管理也是亟需解决的问题。
二、需求分析与建设原则
本次网络系统的改造遵循统一规划、分步实施的指导思想,网络的设计应满足当前需求的同时,充分考虑到将来整个网络系统的投资保护和对新应用的支持。设计及实施充分遵循以下原则:
1、领先、标准的技术:整个网络系统在选型上采用国际领先技术,符合有关国际标准,使网络具有良好的开放性和兼容性。2、可扩展性:网络必须能够平稳地过渡到新的技术和设备,充分考虑到未来网络升级的平稳衔接,保证网络通讯介质、网络设计核心的向后兼容性。3、安全性:在内部网与外部网之间,以及内部不同网段之间都需要建立安全控制机制;提供多种方式和层次的访问控制、通过使用网络用户身份识别、VLAN、包过滤、入侵检测及防火墙等技术来保证网络系统的安全性。4、高可靠性:整个网络系统有良好的可靠性及一定程度的冗余。5、高性能:为了及时迅速地处理网络上传送的数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
三、网络方案设计与实施
3.1总体设计
本次网络改造设计为万兆光纤主干,千兆以太网接入到桌面的设计思路;在中心机房设立核心交换区,核心交换区的功能主要是实现网络服务器区、各楼层网络的互联互通,保证网络流量的优化传输,完成网络间数据流的高速转发。
3.2网络系统改造
所有外联路由器由1台扩展为2台;新增1台保密路由器和现有的保密路由器实现冷备组网;新增1台专网路由器和现有的专网路由器Cisco 3845实现主备和负载分担;新增2台VPN路由器替换原有的M582路由器,实现与防火墙互联,通过VPN连接中国局和各台站,实现主备以及负载均衡功能,避免了因为单台设备引发的单点故障以及性能瓶颈问题。新增网络管理软件,实现对现有网络设备的管理。
3.3网络安全系统
新增入侵防御系统,IPS作为一种在线部署的产品,提供主动的、实时的防护,准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
新增上网行为管理系统,利用上网行为管理技术对所有访问互联网出口的用户要进行记录和安全审计,以符合公安部82号令关于“互联网服务提供者和互联网使用组织记录并留存内网用户发生的各种网络行为日志,包括登录和退出时间、账号、互联网地址或域名等信息,且行为日志至少保留60天以上”等要求。
3.4主机和存储系统
新增磁盘阵列,将所有数据集中存储,其中重要应用采用FC协议连接,普通应用采用ISCSI协议连接。
3.5备份容灾系统
新增备份容灾设备,通过专业的数据存储管理软件,结合相应的硬件和存储设备,对前兆、测震、信息和办公数据备份进行集中管理,从而实现自动化的备份、文件归档、数据分级存储及灾难恢复等。
安徽地震信息网于2012年4月全部完成(图2),实现了重要设备在线式冗余,远程网双链路保护,重要应用双机热备,先进的网络安全系统,容灾备份系统,防震减灾信息网负载均衡技术,全网实时监控报警管理,内网、外网、政务网、财务网四网物理隔离,万兆主干、千兆桌面。极大改善了安徽省防震减灾各类系统的基础支撑条件,大大提高了系统的长期安全稳定运行和服务保障能力。
参 考 文 献
[1] 蒋春曦. 省级行业信息服务系统的设计与实现.电脑知识与技术.2012.
[2] 王剑. 计算机网络及信息安全体系研究. 信息通信.2014.
[3] 史勇军. 新疆防震减灾中心通讯网络系统集成与应用. 西北地震学报.2010.
【摘要】 本文介绍了安徽地震信息网在原有网络基础上进行优化改造的情况,详细阐述了优化改造的具措施,以及改造完成后对安徽地震监测预报工作产生的积极影响。
【关键词】 地震 信息网 优化改造
安徽省地震信息网经过“十五”数字化地震台网建设(图1),建成了由蚌埠、铜陵两个大中城市节点,阜阳、巢湖、滁州、马鞍山四个县级节点,以及庐江、蒙城、合肥、泾县、金寨、佛子岭、嘉山、淮北、安庆、黄山等10个台站节点的地震通信网,由省局到中国局及信息节点的SDH、VPN信道有30条,到其它站点信道近50条。自2008年正式投入运行以来,为相关的科学研究提供高标准的基础技术平台与高质量的数据,为提高全社会对地震灾害的综合防御能力,有效地减轻地震灾害提供了强有力的保障。为了更好的实现地震数据实时传输及共享,对传输网络的稳定性和可靠性有了很大的要求,安徽省地震局在“十一五”建设中对安徽地震信息网进行了全面的升级改造。
一、系统现状和主要问题(图1)
1.1网络没有形成一体化的网络平台
网络中存在多个厂商设备,组网方式较为混乱,没有形成一体化的网络平台。SDH线路及Internet出口分别只有1台路由器和公网互联,存在单点故障隐患。
1.2网络性能无法满足目前和未来的需要
网络中采用的出口路由器、核心交换机,以及安全设备都在老化,设备转发性能正在持续降低,影响了整个信息网的数据传输。
1.3网络中核心数据无法进行有效的保护
由于安徽地震信息网及外网既承载着日常办公的数据,又承载着地震局许多内部信息,所以需要及时有效的保护关键数据,防止数据被恶意的窃取、篡改等。现在的安全设备性能以及特征库、病毒库等防护能力都较弱,无法对核心数据进行有效的可靠的持续保护。
1.4网络规模庞大,网络运维的管理难度加大
随着信息网规模的不断扩大,设备更替频繁、组网越来越复杂,而且网络平台上应用系统的多样化、信息量的成倍增加,都导致了网络系统维护的工作量和难度进一步加剧,所以在确保信息网绝对安全可靠运行的前提下,如何进行集中统一的管理也是亟需解决的问题。
二、需求分析与建设原则
本次网络系统的改造遵循统一规划、分步实施的指导思想,网络的设计应满足当前需求的同时,充分考虑到将来整个网络系统的投资保护和对新应用的支持。设计及实施充分遵循以下原则:
1、领先、标准的技术:整个网络系统在选型上采用国际领先技术,符合有关国际标准,使网络具有良好的开放性和兼容性。2、可扩展性:网络必须能够平稳地过渡到新的技术和设备,充分考虑到未来网络升级的平稳衔接,保证网络通讯介质、网络设计核心的向后兼容性。3、安全性:在内部网与外部网之间,以及内部不同网段之间都需要建立安全控制机制;提供多种方式和层次的访问控制、通过使用网络用户身份识别、VLAN、包过滤、入侵检测及防火墙等技术来保证网络系统的安全性。4、高可靠性:整个网络系统有良好的可靠性及一定程度的冗余。5、高性能:为了及时迅速地处理网络上传送的数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
三、网络方案设计与实施
3.1总体设计
本次网络改造设计为万兆光纤主干,千兆以太网接入到桌面的设计思路;在中心机房设立核心交换区,核心交换区的功能主要是实现网络服务器区、各楼层网络的互联互通,保证网络流量的优化传输,完成网络间数据流的高速转发。
3.2网络系统改造
所有外联路由器由1台扩展为2台;新增1台保密路由器和现有的保密路由器实现冷备组网;新增1台专网路由器和现有的专网路由器Cisco 3845实现主备和负载分担;新增2台VPN路由器替换原有的M582路由器,实现与防火墙互联,通过VPN连接中国局和各台站,实现主备以及负载均衡功能,避免了因为单台设备引发的单点故障以及性能瓶颈问题。新增网络管理软件,实现对现有网络设备的管理。
3.3网络安全系统
新增入侵防御系统,IPS作为一种在线部署的产品,提供主动的、实时的防护,准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
新增上网行为管理系统,利用上网行为管理技术对所有访问互联网出口的用户要进行记录和安全审计,以符合公安部82号令关于“互联网服务提供者和互联网使用组织记录并留存内网用户发生的各种网络行为日志,包括登录和退出时间、账号、互联网地址或域名等信息,且行为日志至少保留60天以上”等要求。
3.4主机和存储系统
新增磁盘阵列,将所有数据集中存储,其中重要应用采用FC协议连接,普通应用采用ISCSI协议连接。
3.5备份容灾系统
新增备份容灾设备,通过专业的数据存储管理软件,结合相应的硬件和存储设备,对前兆、测震、信息和办公数据备份进行集中管理,从而实现自动化的备份、文件归档、数据分级存储及灾难恢复等。
安徽地震信息网于2012年4月全部完成(图2),实现了重要设备在线式冗余,远程网双链路保护,重要应用双机热备,先进的网络安全系统,容灾备份系统,防震减灾信息网负载均衡技术,全网实时监控报警管理,内网、外网、政务网、财务网四网物理隔离,万兆主干、千兆桌面。极大改善了安徽省防震减灾各类系统的基础支撑条件,大大提高了系统的长期安全稳定运行和服务保障能力。
参 考 文 献
[1] 蒋春曦. 省级行业信息服务系统的设计与实现.电脑知识与技术.2012.
[2] 王剑. 计算机网络及信息安全体系研究. 信息通信.2014.
[3] 史勇军. 新疆防震减灾中心通讯网络系统集成与应用. 西北地震学报.2010.
