0 前言
新疆伊局水利工程信息专网于20 06 组建,网络覆
盖乌鲁木齐和伊犁地区多个县市的13 个工程管理驻
地,由13 局域网,2 个数据中心和1个网络中心组成.
分布各地的局域网通过光纤传输系统连为一体,形成
了统一管理,资源共享的专用信息网络.
1 网络组建整体架构
依据网络功能划分将信息专网划分为3 个层次:
分别为核心网络层,主干网络层和用户接入层.网络
安全级别由高到底分别是核心网络层,主干网络层和
用户接入层.
核心网络层,为信息专网的核心区域,是指数据中
心,备用数据中心或管理驻地运管服务器接入的网络
部分.它所采用的应该是当前较先进的,性能稳定的
技术,设备.核心网络层的所有出口设置硬件防火墙
或数据隔离网闸.
主干网络层,主要是指连接各局域网络的核心层
次的网络设备和技术.它是专用信息网络的技术基
础,信息交换的主要链路.主干网一般采用星型或环
形网络拓扑结构,且在该层面上应该支持大型数据存
储和交换,虚拟网络技术,多媒体信息传输,远程网络
管理和等功能.
用户接入层,是指各管理驻地局域网络,为用户访
问专网信息提供基础接入服务.接入层网络是由一个
相对独立的物理网络构成,原则上同一区域在逻辑上
必须构成一个相对独立网络,必要时应采用虚拟网络
技术.
2 物理链路及机房安全设计
物理链路安全是保证专线内网络和数据安全,保
证各系统正常运行的基本前提.在建设初应考虑以下
几个方面的安全因素.首先要注重链路敷设物理位置
的选择,防止物理链路的损坏,窃听,攻击,干扰等.其
次要建设网络接入设备及线路监控系统,形成异常状
态报警,将从而保障网络硬件设施的安全,阻止盗窃和
非法闯入.
数据中心机房和网络机房是整个工程专网数据的
汇聚点,是关键设备的密集区和运行中枢,其物理安全
是否可靠,有效,将直接到影响整个专网的安全性.机
房整体设计除按国家有关计算机机房建设标准建设
外,还应具备机房环境及动力监控系统功能.水利工
程偏远地区的机房还应该配置防盗报警系统.
3 网络级安全设计
3.1 利用防火墙或隔离网闸保护专网统一出口
水利工程专网一般由多个安全区域构成,如生产
管理区域,行政办公区域等,为加强各类区域内信息的
安全性,可利用隔离安全设备对各个出口进行保护,加
强各局域网之间数据的安全性.此类设计,即实现了
各专用网络信息的交换与共享,现时也确保了各网络
运行的独立性.
3.2 通过VP N 技术组建虚拟专网
通过在主干网络层节点各互联端口实施VP N ,利
用VP N 的安全特性,使水利专网中的各局域网进行互
联时,对使用网络接入需求进行强制认证,从而确保信
息在传输过程中的安全性,防止外部攻击,窃取,伪造
