周麗麗 王洪祥 李永超

摘要 為實(shí)現(xiàn)氣象內(nèi)網(wǎng)與互聯(lián)網(wǎng)的雙網(wǎng)隔離，保障通信質(zhì)量及信息安全，大連市氣象信息中心設(shè)計(jì)規(guī)劃并建設(shè)完成了覆蓋全局的雙網(wǎng)隔離任務(wù)?；陔p網(wǎng)雙機(jī)物理隔離、單機(jī)安裝隔離卡及WLAN 無線全覆蓋等網(wǎng)絡(luò)技術(shù)方案，形成了較為完善的大連氣象通信網(wǎng)絡(luò)新格局，實(shí)現(xiàn)了滿足業(yè)務(wù)應(yīng)用需求與國家氣象局相關(guān)要求的雙重目標(biāo)。本文簡(jiǎn)要介紹了項(xiàng)目建設(shè)相關(guān)技術(shù)的工作原理，并闡述了其在大連市氣象局的設(shè)計(jì)方案和應(yīng)用效益。

關(guān)鍵詞 氣象內(nèi)網(wǎng)；互聯(lián)網(wǎng)；雙網(wǎng)隔離；隔離卡；WLAN；網(wǎng)絡(luò)安全

中圖分類號(hào) TP393；P409 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1007-5739（2018）04-0168-01

Abstract In order to realize the dual network isolation between the meteorological Intranet and the Internet，ensure the communication quality and information security，an all-round dual network isolation was designed and constructed in Dalian Meteorological Information Center. Based on the network technology schemes such as physical isolation of dual network and dual machine，isolation card of single-machine and full coverage of WLAN wireless，a relatively perfect and new pattern of Dalian meteorological communication network has been formed，the dual goal of meeting the requirements of the business application and the related requirements of the international meteorological bureau has been realized. In this paper，the working principle of related technology for project construction was briefly introduced，and its design scheme and application benefit were elaborated in Dalian Meteorological Bureau.

Key words meteorological Intranet；Internet；dual network isolation；isolation card；WLAN；network security

目前，大連市氣象局信息化建設(shè)正在不斷完善，已經(jīng)建成覆蓋大連市8個(gè)區(qū)、市、縣局的雙運(yùn)營商高速專用網(wǎng)絡(luò)以及具備高可用、高性能的計(jì)算數(shù)據(jù)中心和資源池。近年來，隨著氣象業(yè)務(wù)的發(fā)展，氣象數(shù)據(jù)傳輸網(wǎng)絡(luò)由氣象內(nèi)網(wǎng)擴(kuò)大到互聯(lián)網(wǎng)，形成了以CMACast衛(wèi)星接收、同城光纖、VPN專線和MSTP線路為主，以移動(dòng)、聯(lián)通、電子政務(wù)外網(wǎng)為輔的綜合業(yè)務(wù)通信網(wǎng)絡(luò)體系。因此，為保障大連市氣象網(wǎng)絡(luò)的安全、高效，根據(jù)有關(guān)要求，在確保不影響業(yè)務(wù)正常運(yùn)行的基礎(chǔ)上實(shí)現(xiàn)雙網(wǎng)隔離，建成集數(shù)據(jù)安全、信息安全、移動(dòng)辦公、服務(wù)質(zhì)量為一體的綜合氣象網(wǎng)絡(luò)新格局。

1 關(guān)鍵技術(shù)工作原理

1.1 隔離卡

隔離卡又稱安全隔離卡，是能夠使一臺(tái)電腦同時(shí)接入2個(gè)網(wǎng)絡(luò)，通過手工切換實(shí)現(xiàn)雙網(wǎng)互相轉(zhuǎn)化的物理設(shè)備。隔離卡安裝在主機(jī)主板上，有2個(gè)網(wǎng)絡(luò)接口與內(nèi)、外網(wǎng)連接。為實(shí)現(xiàn)雙網(wǎng)隔離時(shí)的數(shù)據(jù)安全，還需要安裝一個(gè)獨(dú)立的硬盤，實(shí)現(xiàn)系統(tǒng)和存儲(chǔ)完全獨(dú)立。另外，雙網(wǎng)共享內(nèi)存和CPU，無需關(guān)機(jī)即可實(shí)現(xiàn)雙網(wǎng)間的切換。相比雙網(wǎng)物理隔離的方式，使用隔離卡在網(wǎng)絡(luò)安全方面有一定的不足之處。

1.2 WLAN

WLAN（wireless local area networks），即無線局域網(wǎng)絡(luò)，是一種利用射頻技術(shù)進(jìn)行數(shù)據(jù)傳輸?shù)南到y(tǒng)。其彌補(bǔ)了有線局域網(wǎng)絡(luò)的不足，達(dá)到了延伸擴(kuò)展網(wǎng)絡(luò)覆蓋面的目的。WLAN網(wǎng)絡(luò)規(guī)劃流程按時(shí)間順利分為調(diào)研及勘查、覆蓋設(shè)計(jì)、頻率規(guī)劃、容量規(guī)劃和網(wǎng)絡(luò)優(yōu)化5個(gè)步驟。其中，覆蓋設(shè)計(jì)階段根據(jù)現(xiàn)場(chǎng)環(huán)境特點(diǎn)參數(shù)進(jìn)行鏈路預(yù)算，初步確定AP（access point）的分布；頻率規(guī)劃階段要盡量規(guī)避頻率干擾，如果無法合理規(guī)劃頻點(diǎn)，可以通過調(diào)整AP的點(diǎn)位或數(shù)量完成最優(yōu)化搭建[1]。

2 設(shè)計(jì)與部署

2.1 設(shè)計(jì)目標(biāo)

基于預(yù)防內(nèi)網(wǎng)保密資料泄露、建立信息安全網(wǎng)絡(luò)架構(gòu)的需要，大連市氣象局依托大連市氣象信息中心為建設(shè)單位，擬定按計(jì)劃完成雙網(wǎng)隔離改造任務(wù)。根據(jù)用戶上網(wǎng)安全要求級(jí)別劃分了3種用戶類型，在保證用戶基本業(yè)務(wù)工作正常開展的基礎(chǔ)上，通過綜合布線、布設(shè)路由器和布設(shè)交換機(jī)等網(wǎng)絡(luò)設(shè)備完成內(nèi)外網(wǎng)的線路分離。通過綜合利用上述3種隔離技術(shù)手段，在完成國家氣象局要求的網(wǎng)絡(luò)安全保密工作任務(wù)的同時(shí)，還能夠?yàn)榈厥屑?jí)氣象業(yè)務(wù)發(fā)展提供計(jì)算資源和支撐，在技術(shù)創(chuàng)新和綜合運(yùn)用的基礎(chǔ)上，推動(dòng)氣象信息現(xiàn)代化發(fā)展。由于雙網(wǎng)隔離造成的內(nèi)網(wǎng)機(jī)器系統(tǒng)漏洞無法修復(fù)等問題，可通過購買第三方軟件服務(wù)的方式解決。

2.2 架構(gòu)設(shè)計(jì)

2.2.1 雙網(wǎng)雙機(jī)物理隔離架構(gòu)。采用不同的網(wǎng)絡(luò)設(shè)備和線路，建立2套完全獨(dú)立的網(wǎng)絡(luò)，即內(nèi)網(wǎng)和外網(wǎng)。其中內(nèi)網(wǎng)用于傳輸、儲(chǔ)存或處理氣象內(nèi)部數(shù)據(jù)信息，確保氣象內(nèi)部數(shù)據(jù)的安全和設(shè)備的穩(wěn)定；外網(wǎng)中一部分用于為氣象服務(wù)器提供外部訪問服務(wù)，另一部分用于局機(jī)關(guān)用戶的網(wǎng)絡(luò)辦公或其他業(yè)務(wù)訪問互聯(lián)網(wǎng)。

2.2.2 WLAN無線外網(wǎng)架構(gòu)。整個(gè)系統(tǒng)采用“銳捷有線+無線”一體化設(shè)計(jì)方案，通過FIT+AC的組網(wǎng)結(jié)構(gòu)在各業(yè)務(wù)樓層的走廊天花板上方安裝11N吸頂式無線AP，密度基本控制為6～8 m間隔。每個(gè)樓層的AP上聯(lián)至接入層交換機(jī)，再匯聚接入核心交換機(jī)。用戶移動(dòng)設(shè)備接收AP無線信號(hào)上網(wǎng)時(shí)，需（下轉(zhuǎn)第170頁）

（上接第168頁）

經(jīng)過與核心相連的AC（access control）設(shè)備接入互聯(lián)網(wǎng)。核心交換機(jī)旁接AP控制器，可實(shí)現(xiàn)對(duì)所有AP設(shè)備的管理[2-3]。

3 典型應(yīng)用實(shí)例

經(jīng)過需求分析與方案設(shè)計(jì)部署，大連市氣象局緊緊圍繞相關(guān)規(guī)定要求完善了氣象內(nèi)網(wǎng)，鞏固了互聯(lián)網(wǎng)安全防護(hù)措施，實(shí)現(xiàn)了雙網(wǎng)隔離的目標(biāo)。

3.1 移動(dòng)終端應(yīng)用

大連市氣象局在部署WLAN項(xiàng)目以前，為了解決手機(jī)等移動(dòng)終端設(shè)備上外網(wǎng)，許多業(yè)務(wù)人員辦公室紛紛購買安裝家庭式路由器，通過內(nèi)網(wǎng)接入實(shí)現(xiàn)WIFI上網(wǎng)。然而，家庭式WIFI存在諸多缺陷，如無線信號(hào)覆蓋空間小、信號(hào)穿透性弱、上網(wǎng)行為無法審計(jì)、內(nèi)網(wǎng)安全存在隱患等。100 M移動(dòng)寬帶WLAN建設(shè)完成后，形成了獨(dú)立的外網(wǎng)線路。各樓層走廊天花板頂部安裝密度適當(dāng)?shù)腁P，手機(jī)、筆記本等移動(dòng)終端設(shè)備實(shí)現(xiàn)全局范圍內(nèi)無線信號(hào)覆蓋。

3.2 網(wǎng)絡(luò)設(shè)備負(fù)載應(yīng)用

在內(nèi)外網(wǎng)混用的網(wǎng)絡(luò)架構(gòu)中，無論用戶訪問內(nèi)網(wǎng)或外網(wǎng)均經(jīng)過同一條線路連接至同一臺(tái)接入層交換機(jī)，繼而接入到核心交換機(jī)。通常外網(wǎng)傳輸?shù)氖谴罅繄D片、視頻等，而內(nèi)網(wǎng)傳輸?shù)亩酁槲谋绢悩I(yè)務(wù)數(shù)據(jù)，數(shù)據(jù)量較小但重要程度較高、時(shí)效性強(qiáng)。外網(wǎng)集中訪問時(shí)，數(shù)據(jù)流量猛增，核心及接入交換機(jī)負(fù)載壓力變大，容易引起設(shè)備端口暫時(shí)堵塞，影響業(yè)務(wù)運(yùn)行，實(shí)現(xiàn)雙網(wǎng)分離架構(gòu)后則有效解決了這一難題[4]。

4 參考文獻(xiàn)

[1] 紀(jì)兆琳.內(nèi)外網(wǎng)雙網(wǎng)隔離方案淺析[J].內(nèi)燃機(jī)車，2011，9（9）：131-134.

[2] 賈晨剛，李珍，王壘，等.淺析陜西省氣象局雙網(wǎng)隔離解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（2）：71-72.

[3] 王國海.政府內(nèi)網(wǎng)與外網(wǎng)隔離探討[J].瓊州大學(xué)學(xué)報(bào)，2003，10（5）：53-55.

[4] 錢崢，曹艷艷，趙科科，等.私有云在市級(jí)氣象業(yè)務(wù)平臺(tái)的實(shí)現(xiàn)與應(yīng)用[J].氣象科技，2014，42（8）：641-646.