针对军工单位参与国防科研的现实,为了实现信息化建设要求,建立覆盖全局的安全、可靠、保密、实用、经济、合理的网络信息平台,以实现WEB浏览、邮件服务等基本网络应用,并在此基础上实现OA、CAD/CAM系统应用、CAPP/PDM、管理信息系统(包括ERP系统)等的网络应用,必须在网络建设的同时,设计安全可靠的安全系统,以保证国家秘密的安全和信息传输的完整性。
现阶段,保证计算机网络安全的主要方法和途径包括有实体保护、加密技术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复等。但网络安全是一个系统工程,不能仅仅依靠防火墙、防病毒等单个的系统,而需要仔细考虑整个系统的安全需求,并将各种安全技术和管理手段结合在一起才能生成一个高效、通用、安全的网络系统。
一、网络总体设计——涉密兼顾联通
由于军工科研机构的性质,所属计算机网络必须保证相应的安全等级。同时,由于地理位置的原因,为了实现与上级机关和所属分部之间的联系,必须设置广域网外联结构。所以,网络总体设计应包括:
1、局域网设计
在网络内部实现互联互通,必须考虑网络中合法用户的身份验证、网络中数据传输的完整性和隐秘性以及内网行为的内部审计,以保证内部网络安全可信。
2、广域网接入设计
为了实现到上级机关或分支机构的连接,必须敷设光缆或租用公用线路以实现安全接入。
3、互联网接入设计
主要实现如收发Email、客户联系、对外宣传(WWW)、查阅资料等应用。按保密要求,不能直接将Internet接入研究所内网之中。
二、网络拓扑结构
1、局域网拓扑结构
局域网以高速以太网技术构建,并以TCP/IP作为网络传输协议,提供各建筑物内信息点的高速网络连接。整个网络采用星型层次结构,根据各主要建筑物内用户对流量以及对带宽方面的需求情况,在网络中心设立互为冗余、备份的核心交换机,两台核心交换机之间采用GEC技术进行连接,以防止单链路或者单台设备出现故障造成对正常业务的影响,为了保证科研楼的日常的设计、开发工作。
同时,在科研楼设立分中心核心交换机,三台核心交换机之间采用环状连接进一步保证内部关键业务的开展,核心交换机和服务器设在网络中心,核心交换机到服务器之间采用1000M以太网技术、链路冗余技术实现连接,核心以及分核心交换机通过1000M光缆直接连接到各主要建筑物配线间的汇聚/接入层交换机。接入交换机设在各主要建筑物的配线间和子配线间,各主要建筑物的接入交换机,通过六类双绞线直接连接到各信息点,个别距离过远的信息点采用光缆和交换机通过级联进行扩展。网络整体采用集中式管理,室外主干光缆架设一次到位。
网络整体设计采用层次化的网络结构,即包括核心(Core)层、汇聚(Distribution)层和接入(Access)层。网络层次化设计有利于当局部网络环境发生变化时不影响其它无关的层次,也便于发现和隔离故障。其中核心层提供网络系统高效、可靠的数据交换;汇聚层提供网络系统网管中心与各部门网络交换设备之间高效率、高可靠性的数据传输服务;接入层提供各专业系统的接入。
最终的网络方案是网络内网系统在核心层采用千兆以太网技术(将来可以顺利平滑过渡到万兆以太网),通过千兆链路将各汇聚层的交换设备连接到网络系统的核心层次,同时在汇聚层和接入层采用100兆到桌面(将来可以顺利过渡到千兆以太网)的以太网络交换技术来完成部门专业化的各类应用。网络拓扑图如图1所示。
图1 园区网网络拓扑图
2、广域网规划和设计
由于军工性质的原因,在对外连接、数据访问方面,对数据、信息安全方面的要求很高。为了实现到上级机关和分支机构的广域连接,考虑到经济成本因素,租用公用线路必须采用路由器、防火墙、密码机、入侵检测等产品实现安全接入。出差在外的员工与内部局域网通信,采用VPN技术接入。
3、互联网接入设计
为了满足保密规定不能直接将Internet接入内网,所以对于必须访问Internet进行资料查询、Email、信息共享等应用的用户,在不违反保密规定、条例的前提下,由其自行通过拨号或ADSL等方式解决,所使用的计算机与企业内网物理隔离
