第三節 計算機網絡系統

導論：監獄計算機網絡系統要求建立覆蓋監獄機關辦公區與監管區范圍內的局域網絡，不僅要滿足所有子系統數據信息的高效傳遞，同時要能通過監獄內部網站這一公用平臺滿足同其他各種功能系統的集成與應用，并能實現全監所有聯機電腦、領導桌面終端、上級管理部門終端、其他相關業務機關（如駐監武警部隊、檢察院）終端之間的數據傳輸。隨著網絡新技術的出現和多種新業務應用的拓展，原有的計算機網絡應用的范圍擴大了。如圖1.4監獄網絡結構圖所示。

圖1.4 監獄網絡結構圖

一、業務需求

計算機局域網是監獄智能化監管控制系統的支持骨架、運行平臺，它的性能直接影響系統整體工作。局域網采用高速以太網的星型拓撲架構，在監獄監管指揮中心設立計算機網絡管理室；網絡主干采用萬兆位的光纖傳輸，通過光端機把各個信息點與網絡管理室相連接；監管指揮中心的信息端口可通過光纖直接與網絡管理室連接，預留端口與省監獄管理局等傳送信息。計算機網絡系統（CNS）是以網絡技術為依托，將分布在不同地點的計算機、終端、外部設備、服務器等設備，通過網絡設備和通訊線路連接起來，在網絡通信協議和網絡操作系統控制下，實現信息傳遞、資源共享的系統。

網絡系統設計時，要選擇合適的網絡拓撲結構，采用能夠滿足未來業務應用的組網技術，選取適合應用要求的網絡設備，充分考慮網絡安全和管理要求。

（一）組網技術

目前，網絡組網技術主要有百兆以太網、千兆以太網、萬兆以太網、ATM等。從組網技術的先進性、成熟實用性和經濟性角度綜合考慮，結合省局網絡管理規范、網絡應用需求、建設成本和目前建網的主流技術，網絡主干采用萬兆以太網技術，桌面采用千兆快速以太網技術。

（二）隔離技術

隔離從廣義上講分為網絡隔離和數據隔離，只有達到這兩種要求才是真正意義的隔離。實現隔離的方式有多種，如代理服務、網關、虛擬網絡（VLAN）、軟硬防火墻和從物理層到網絡層的物理隔離，以及這些隔離方式的組合應用。

由于監獄內網絡不允許與INTERNET有任何連接，如計算機有INTERNET的需要，則需從線路和網絡通路上與監獄內網作徹底的物理隔離。在與省局機關進行廣域連接時，采用專網和防火墻技術；監獄內網與監獄外網之間實現物理隔離。服刑指導網與監獄外網之間實現物理隔離。

監獄內網與監獄外網在網絡設備和布線層面實現物理隔離，即采用不同的布線系統，不同的網絡設備。因監獄存在一些跨監獄內網與監獄外網的應用（如某些監獄使用罪犯進行超市購物管理，以及罪犯進行遠程網上心理咨詢應用等），設計可將一些應用管理服務器跨網絡進行應用，即服務器上安裝兩個網卡，一個網卡屬于監獄內網，另一個網卡屬于服刑指導網。或者可以采用防火墻設備，跨兩個網絡，將服務器接到防火墻上，實現既對兩個網絡的隔斷，又能實現對服務器的共享訪問。同時，必須加強服刑指導網終端的管理，應設置桌面管理軟件，控制服刑指導網上計算機終端的使用功能，以最大限度地確保信息安全。

網絡系統由網絡交換機平臺、服務器、管理軟件平臺組成。網絡平臺由主干交換機組（核心層）和桌面接入交換機群（訪問層）構成，在邏輯上通過VLAN（虛擬專用子網）技術根據功能要求劃分子網；服務器包括數據庫服務器、業務應用文件服務器以及WEB應用等相關服務器；軟件平臺包括應用軟件和系統軟件，應用軟件主要有辦公自動化OA系統和各種專項及綜合應用系統等，系統軟件主要有網絡操作系統、數據庫系統、網管系統和網絡防病毒系統等。

二、系統部署

根據監獄局域網的網絡結構以及所選擇的網絡設備，考慮在核心交換機與接入交換機之間運行路由協議，而采用三層交換網絡。

（一）監獄內網

監獄內網是以核心交換機為中心，然后接入二級交換機，三級交換機，從而形成多層次的網絡體系。

內網采用三層交換機為核心交換機。接入交換機采用二層的VLAN隔離，從而形成VLAN隔離的局域網。也可在二層接入交換機上跑三層路由，核心交換機與接入交換機之間進行路由交換，并在核心交換機和接入交換機上劃分VLAN。

邊界接入：設置邊界接入路由器，邊界接入路由器與監獄內網核心交換機直接相連，也可在接入路由器與監獄內網核交換機之間安裝防火墻、防毒墻和抗攻擊等安全防護設備。

核心層：監獄內網應是以支持三層交換和VLAN功能，并帶網管功能的交換機為核心的局域網。從核心交換機到二級交換機之間支持達到萬兆。

二級/三級交換機：通過光纖或雙絞線與核心層交換機相連。選擇支持VLAN功能，并帶網管功能的交換機，并支持三層路由交換模式。下連信息點之間支持千兆速率。

（二）服刑指導網

在監獄內部是一個封閉的網絡，沒有與外界進行網絡互聯。以核心交換機為中心。然后接入二級交換機，再可接入三級交換機，以此類推。該網絡由罪犯使用，所有交換機之間支持端口隔離，使所有計算機只能與接入核心交換機上的服務器進行通信，而不能互相進行訪問。因此從二級交換以下與監獄內網進行物理隔離，但因一些信息化應用要跨服刑指導網和監獄內網，采用服務器通過核心交換機接入服刑指導網以接入監獄內網的辦法實現，同時設置，服刑指導網只能通過HTTP協議，即WEB方式，來訪問服務器。而監獄內網可通過多種方式來訪問服務器。如圖1.5服刑指導網架構示意圖所示。

核心層：核心交換機采用支持三層交換和VLAN功能，并以帶網管功能的交換機為核心。

二級交換機：通過光纖或雙絞線與核心交換機相連。一般此類交換機就是接入信息點的交換機，下連信息點之間支持千兆速率。

圖1.5 服刑指導網架構示意圖

（三）監獄外網

監獄外網主要用于監獄民警進行互聯網接入，不采用無線接入方式。可根據工作需要，采用多種互聯網接入辦法。一般不能覆蓋到監獄關押點之中，對于罪犯可能接觸到的地點要嚴格控制。該網絡必須與監獄內網和服刑指導網之間實行嚴格的物理隔離。一般采用多級交換機形成局域網，然后通過路由器與電信運營商之間的互聯網形成接入。如圖1.6監獄外網架構示意圖所示。

互聯網接入路由器：采用帶有ADSL功能的企業級路由器，具備動態路由能力并支持DNS中繼和DDNS，可以提供DHCP服務并支持NTP功能。也可以直接申請直接專線接入，但成本較高。

圖1.6 監獄外網架構示意圖

交換機：一般此類交換機就是接入信息點的交換機，下連信息點之間支持千兆速率。

（四）安防網具體參見視頻監控系統章節闡述

（五）服務器

服務器是整個網絡系統的核心部分，從功能上服務器可分為數據庫服務器、WEB服務器和應用服務器等。從服務器的應用級別上可分為工作組級服務器、部門級服務器和企業級服務器。

（六）不間斷電源

為了保護網絡系統平臺電源供應，避免因停電而造成設備、系統和數據受損，影響系統運行，應在中心機房和監控中心需要配置延時長的不間斷電源（UPS）。在市電斷電情況下保證系統正常工作4小時以上。如圖1.7發電機組與UPS的聯動所示。

UPS電源系統應與監獄后備的發電機組相連，確保斷電半小時內，接入后備發電。另外監獄提供配套備用電源。

圖1.7 發電機組與UPS的聯動

（七）操作系統

服務器操作系統主要分為四大流派：Windows Server、Netware、Unix、Linux。

（八）網管軟件

網管軟件是充分利用設備自己的管理信息庫完成設備配置、瀏覽設備配置信息、監視設備運行狀態等網管功能。

（九）防病毒軟件

目前，主流的網絡殺毒軟件產品有：瑞星公司瑞星殺毒軟件；Symantec公司的Norton AntiVirus 企業版等。

（十）系統安全

計算機網絡具有開放性、互連性等特征，計算機網絡系統的安全問題是人們在網絡系統建設時必須考慮的。

針對監獄的實際情況，網絡系統的安全構建，主要采用以下措施：

制定監獄計算機網絡系統使用安全管理制度；

在操作系統和數據庫一級采取措施，防止越權訪問、竊取數據、對系統訪問（尤其是非法訪問）的審計跟蹤；

在網絡系統中安裝網絡殺病毒軟件，對整個網絡系統進行網絡防殺毒處理，并及時更新升級；

邊界安全在廣域網絡接口采用防火墻進行網絡隔離，防火墻通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制。并且防火墻可以實現單向或雙向控制，對一些高層協議實現較細粒的訪問控制；

在局域網內部的入侵檢測與審計，在網絡中對于不同應用劃分VLAN；

網絡系統的網絡管理和監控；在進入網絡和應用軟件時，進行身份認證；

在應用系統中進行訪問權限限制；

目前關鍵數據安全采用本機上的冗余磁盤陣列，管理系統服務器采用雙機熱備份工作方式，數據存儲采用磁盤陣列柜，后期備份系統采用CA的備份和災難恢復系統；

建議采用第三方網絡平臺管理系統實現計算機認證管理、安全桌面管理、網絡安全監控、網絡分域管理、移動存儲管理、系統恢復等功能；

采用UPS提供的供電安全保證，同時提供防雷和接地保護。

（十一）網絡維護

對計算機網絡的維護必須制定相應的管理制度和指定專人來加強對網絡的管理，保障網絡系統安全。

（十二）軟件維護

對于所有的計算機一律要安裝殺毒軟件及軟件防火墻。由計算機維護人員不定期負責對所有計算機進行病毒檢測和清理。

對于聯網的計算機，任何人在未經批準的情況下，不得向網絡中任何計算機拷貝軟件或文檔。對于任何計算機，其軟件的安裝由計算機維護人員負責安裝。

數據的備份應由監獄計算機專業維護人員管理，備份用的軟盤由專業維護人員提供。所有光盤、軟盤在使用前，必須確保無病毒。

（十三）硬件維護及保養

除計算機專業維護人員外，任何人不得隨意拆卸所使用的計算機及相關的電腦設備。計算機維護人員在拆卸計算機時，必須采取必要的防靜電措施。計算機維護人員在作業完成后或準備離去時，必須將所拆卸的設備復原。要求計算機維護人員認真落實負責所轄計算機及配套設備的使用和保養工作。要求計算機維護人員采取必要措施，確保所用的計算機及外設始終處于良好的運行狀態。對于關鍵的電腦設備應配備必要的斷電保護電源。

（十四）保障維護管理

對于網絡系統的設置、改動和維護要作好記錄，形成維護檔案，該檔案是動態的，需要根據網絡應用需求的變化而改變，因此必須保留清晰的歷史維護痕跡，以便于日常維護工作的開展，同時可以避免出現因人員變動而使維護工作無法進行的情況。