- 智慧监狱安防应用
- 余莉琪 李永华 陈雪松
- 3966字
- 2020-08-27 15:35:26
第三节 计算机网络系统
导论:监狱计算机网络系统要求建立覆盖监狱机关办公区与监管区范围内的局域网络,不仅要满足所有子系统数据信息的高效传递,同时要能通过监狱内部网站这一公用平台满足同其他各种功能系统的集成与应用,并能实现全监所有联机电脑、领导桌面终端、上级管理部门终端、其他相关业务机关(如驻监武警部队、检察院)终端之间的数据传输。随着网络新技术的出现和多种新业务应用的拓展,原有的计算机网络应用的范围扩大了。如图1.4监狱网络结构图所示。
图1.4 监狱网络结构图
一、业务需求
计算机局域网是监狱智能化监管控制系统的支持骨架、运行平台,它的性能直接影响系统整体工作。局域网采用高速以太网的星型拓扑架构,在监狱监管指挥中心设立计算机网络管理室;网络主干采用万兆位的光纤传输,通过光端机把各个信息点与网络管理室相连接;监管指挥中心的信息端口可通过光纤直接与网络管理室连接,预留端口与省监狱管理局等传送信息。计算机网络系统(CNS)是以网络技术为依托,将分布在不同地点的计算机、终端、外部设备、服务器等设备,通过网络设备和通讯线路连接起来,在网络通信协议和网络操作系统控制下,实现信息传递、资源共享的系统。
网络系统设计时,要选择合适的网络拓扑结构,采用能够满足未来业务应用的组网技术,选取适合应用要求的网络设备,充分考虑网络安全和管理要求。
(一)组网技术
目前,网络组网技术主要有百兆以太网、千兆以太网、万兆以太网、ATM等。从组网技术的先进性、成熟实用性和经济性角度综合考虑,结合省局网络管理规范、网络应用需求、建设成本和目前建网的主流技术,网络主干采用万兆以太网技术,桌面采用千兆快速以太网技术。
(二)隔离技术
隔离从广义上讲分为网络隔离和数据隔离,只有达到这两种要求才是真正意义的隔离。实现隔离的方式有多种,如代理服务、网关、虚拟网络(VLAN)、软硬防火墙和从物理层到网络层的物理隔离,以及这些隔离方式的组合应用。
由于监狱内网络不允许与INTERNET有任何连接,如计算机有INTERNET的需要,则需从线路和网络通路上与监狱内网作彻底的物理隔离。在与省局机关进行广域连接时,采用专网和防火墙技术;监狱内网与监狱外网之间实现物理隔离。服刑指导网与监狱外网之间实现物理隔离。
监狱内网与监狱外网在网络设备和布线层面实现物理隔离,即采用不同的布线系统,不同的网络设备。因监狱存在一些跨监狱内网与监狱外网的应用(如某些监狱使用罪犯进行超市购物管理,以及罪犯进行远程网上心理咨询应用等),设计可将一些应用管理服务器跨网络进行应用,即服务器上安装两个网卡,一个网卡属于监狱内网,另一个网卡属于服刑指导网。或者可以采用防火墙设备,跨两个网络,将服务器接到防火墙上,实现既对两个网络的隔断,又能实现对服务器的共享访问。同时,必须加强服刑指导网终端的管理,应设置桌面管理软件,控制服刑指导网上计算机终端的使用功能,以最大限度地确保信息安全。
网络系统由网络交换机平台、服务器、管理软件平台组成。网络平台由主干交换机组(核心层)和桌面接入交换机群(访问层)构成,在逻辑上通过VLAN(虚拟专用子网)技术根据功能要求划分子网;服务器包括数据库服务器、业务应用文件服务器以及WEB应用等相关服务器;软件平台包括应用软件和系统软件,应用软件主要有办公自动化OA系统和各种专项及综合应用系统等,系统软件主要有网络操作系统、数据库系统、网管系统和网络防病毒系统等。
二、系统部署
根据监狱局域网的网络结构以及所选择的网络设备,考虑在核心交换机与接入交换机之间运行路由协议,而采用三层交换网络。
(一)监狱内网
监狱内网是以核心交换机为中心,然后接入二级交换机,三级交换机,从而形成多层次的网络体系。
内网采用三层交换机为核心交换机。接入交换机采用二层的VLAN隔离,从而形成VLAN隔离的局域网。也可在二层接入交换机上跑三层路由,核心交换机与接入交换机之间进行路由交换,并在核心交换机和接入交换机上划分VLAN。
边界接入:设置边界接入路由器,边界接入路由器与监狱内网核心交换机直接相连,也可在接入路由器与监狱内网核交换机之间安装防火墙、防毒墙和抗攻击等安全防护设备。
核心层:监狱内网应是以支持三层交换和VLAN功能,并带网管功能的交换机为核心的局域网。从核心交换机到二级交换机之间支持达到万兆。
二级/三级交换机:通过光纤或双绞线与核心层交换机相连。选择支持VLAN功能,并带网管功能的交换机,并支持三层路由交换模式。下连信息点之间支持千兆速率。
(二)服刑指导网
在监狱内部是一个封闭的网络,没有与外界进行网络互联。以核心交换机为中心。然后接入二级交换机,再可接入三级交换机,以此类推。该网络由罪犯使用,所有交换机之间支持端口隔离,使所有计算机只能与接入核心交换机上的服务器进行通信,而不能互相进行访问。因此从二级交换以下与监狱内网进行物理隔离,但因一些信息化应用要跨服刑指导网和监狱内网,采用服务器通过核心交换机接入服刑指导网以接入监狱内网的办法实现,同时设置,服刑指导网只能通过HTTP协议,即WEB方式,来访问服务器。而监狱内网可通过多种方式来访问服务器。如图1.5服刑指导网架构示意图所示。
核心层:核心交换机采用支持三层交换和VLAN功能,并以带网管功能的交换机为核心。
二级交换机:通过光纤或双绞线与核心交换机相连。一般此类交换机就是接入信息点的交换机,下连信息点之间支持千兆速率。
图1.5 服刑指导网架构示意图
(三)监狱外网
监狱外网主要用于监狱民警进行互联网接入,不采用无线接入方式。可根据工作需要,采用多种互联网接入办法。一般不能覆盖到监狱关押点之中,对于罪犯可能接触到的地点要严格控制。该网络必须与监狱内网和服刑指导网之间实行严格的物理隔离。一般采用多级交换机形成局域网,然后通过路由器与电信运营商之间的互联网形成接入。如图1.6监狱外网架构示意图所示。
互联网接入路由器:采用带有ADSL功能的企业级路由器,具备动态路由能力并支持DNS中继和DDNS,可以提供DHCP服务并支持NTP功能。也可以直接申请直接专线接入,但成本较高。
图1.6 监狱外网架构示意图
交换机:一般此类交换机就是接入信息点的交换机,下连信息点之间支持千兆速率。
(四)安防网具体参见视频监控系统章节阐述
(五)服务器
服务器是整个网络系统的核心部分,从功能上服务器可分为数据库服务器、WEB服务器和应用服务器等。从服务器的应用级别上可分为工作组级服务器、部门级服务器和企业级服务器。
(六)不间断电源
为了保护网络系统平台电源供应,避免因停电而造成设备、系统和数据受损,影响系统运行,应在中心机房和监控中心需要配置延时长的不间断电源(UPS)。在市电断电情况下保证系统正常工作4小时以上。如图1.7发电机组与UPS的联动所示。
UPS电源系统应与监狱后备的发电机组相连,确保断电半小时内,接入后备发电。另外监狱提供配套备用电源。
图1.7 发电机组与UPS的联动
(七)操作系统
服务器操作系统主要分为四大流派:Windows Server、Netware、Unix、Linux。
(八)网管软件
网管软件是充分利用设备自己的管理信息库完成设备配置、浏览设备配置信息、监视设备运行状态等网管功能。
(九)防病毒软件
目前,主流的网络杀毒软件产品有:瑞星公司瑞星杀毒软件;Symantec公司的Norton AntiVirus 企业版等。
(十)系统安全
计算机网络具有开放性、互连性等特征,计算机网络系统的安全问题是人们在网络系统建设时必须考虑的。
针对监狱的实际情况,网络系统的安全构建,主要采用以下措施:
制定监狱计算机网络系统使用安全管理制度;
在操作系统和数据库一级采取措施,防止越权访问、窃取数据、对系统访问(尤其是非法访问)的审计跟踪;
在网络系统中安装网络杀病毒软件,对整个网络系统进行网络防杀毒处理,并及时更新升级;
边界安全在广域网络接口采用防火墙进行网络隔离,防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制;
在局域网内部的入侵检测与审计,在网络中对于不同应用划分VLAN;
网络系统的网络管理和监控;在进入网络和应用软件时,进行身份认证;
在应用系统中进行访问权限限制;
目前关键数据安全采用本机上的冗余磁盘阵列,管理系统服务器采用双机热备份工作方式,数据存储采用磁盘阵列柜,后期备份系统采用CA的备份和灾难恢复系统;
建议采用第三方网络平台管理系统实现计算机认证管理、安全桌面管理、网络安全监控、网络分域管理、移动存储管理、系统恢复等功能;
采用UPS提供的供电安全保证,同时提供防雷和接地保护。
(十一)网络维护
对计算机网络的维护必须制定相应的管理制度和指定专人来加强对网络的管理,保障网络系统安全。
(十二)软件维护
对于所有的计算机一律要安装杀毒软件及软件防火墙。由计算机维护人员不定期负责对所有计算机进行病毒检测和清理。
对于联网的计算机,任何人在未经批准的情况下,不得向网络中任何计算机拷贝软件或文档。对于任何计算机,其软件的安装由计算机维护人员负责安装。
数据的备份应由监狱计算机专业维护人员管理,备份用的软盘由专业维护人员提供。所有光盘、软盘在使用前,必须确保无病毒。
(十三)硬件维护及保养
除计算机专业维护人员外,任何人不得随意拆卸所使用的计算机及相关的电脑设备。计算机维护人员在拆卸计算机时,必须采取必要的防静电措施。计算机维护人员在作业完成后或准备离去时,必须将所拆卸的设备复原。要求计算机维护人员认真落实负责所辖计算机及配套设备的使用和保养工作。要求计算机维护人员采取必要措施,确保所用的计算机及外设始终处于良好的运行状态。对于关键的电脑设备应配备必要的断电保护电源。
(十四)保障维护管理
对于网络系统的设置、改动和维护要作好记录,形成维护档案,该档案是动态的,需要根据网络应用需求的变化而改变,因此必须保留清晰的历史维护痕迹,以便于日常维护工作的开展,同时可以避免出现因人员变动而使维护工作无法进行的情况。