某监狱信息化建设设计方案
三、服刑指导网
在监狱内部是一个封闭的网络,没有与外界进行网络互联。以核心交换机为中心。然后接入二级交换机,再可接入三级交换机,以此类推。该网络由罪犯使用,所有交换机之间支持端口隔离,使所有计算机只能与接入核心交换机上的服务器进行通信,而不能互相进行访问。因此从二级交换以下与监狱内网进行物理隔离,但因一些信息化应用要跨服刑指导网和监狱内网,采用服务器通过核心交换机接入服刑指导网以接入监狱内网的办法实现,同时设置,服刑指导网只能通过HTTP协议,即WEB方式,来访问服务器。而监狱内网可通过多种方式来访问服务器。
? 核心层:
核心交换机采用支持三层交换和VLAN功能,并带网管功能的交换机为核心,本次系统推荐选型华为LS-S5328C-EI-24S以太网交换机为管理主机,24个10/100Base-T,4个千兆Combo口。
? 二级交换机
通过光纤或双绞线与核心交换机相连。一般此类交换机就是接入信息点的交换机,下连信息点之间支持百兆或千兆速率。本次系统推荐选型华为LS-S3328TP-EI-AC、LS-S3352P-EI-AC以太网交换机,24/48个10/100Base-T,2个10/100/1000Base-T与1000Base-X SFP COMBO,交流供电。
服刑指导网架构示意图
31
某监狱信息化建设设计方案
四、监狱外网
监狱外网主要用于监狱民警进行互联网接入,不采用无线接入方式。可根据工作需要,采用多种互联网接入办法。一般不能覆盖到监狱关押点之中,对于罪犯可能接触到的地点要严格控制。该网络必须与监狱内网和服刑指导网之间实行严格的物理隔离。一般采用多级交换机形成局域网,然后通过路由器与电信运营商之间的互联网形成接入。
? 互联网接入路由器
采用带有ADSL功能的企业级路由器,具备动态路由能力并支持DNS中继和DDNS,可以提供DHCP服务并支持NTP功能。也可以直接申请直接专线接入,但成本较高,本系统推荐采用华为USG2220BSR。
? 交换机
一般此类交换机就是接入信息点的交换机,下连信息点之间支持百兆或千兆速率。系统配置参照服刑指导网交换机选型。
监狱外网架构示意图
32
某监狱信息化建设设计方案
五、服务器
服务器是整个网络系统的核心部分,从功能上服务器可分为数据库服务器、WEB服务器和应用服务器等。从服务器的应用级别上可分为工作组级服务器、部门级服务器和企业级服务器。
结合监狱系统实际应用需求和网络的规模,综合考虑服务器的性能、质量和价格,以及网络中各项应用,监狱在选择服务器时,对于全监狱应用和关键业务的服务器采用低端企业级服务器(如OA服务器)或高档部门级服务器,对于某个部门的专项应用采用部门级服务器或工作组级服务器。
? 数据库服务器
数据库服务器选用曙光系列服务器,服务器连接1台磁盘阵列柜。服务器配置为:
2*四核2.6GHz/4*2GB/2*300G 支持RAID0,1、1O/2*1000M/DVD-ROM/USB软驱/导轨单电源;
磁盘阵列柜为PROWARE OT-6604 硬盘配置为5*300GB(其中1个为热备盘) ? 应用服务器
专项业务应用服务器选用曙光系列服务器,服务器配置为:
33
某监狱信息化建设设计方案
2*四核2.6GHz/4*2GB/2*300G 支持RAID0,1、1O/2*1000M/DVD-ROM/USB软驱/导轨单电源;
? 服刑指导应用服务器 服刑指导应用服务器选用同上。 ? WEB服务器
WEB服务器选用IBM系列部门级服务器,服务器采用R5磁盘陈列,服务器配置为:
四核2.0G 4G 3*300G/RAID卡/10000M网卡” 六、不间断电源
为了保护网络系统平台电源供应,避免因停电而造成设备、系统和数据受损,影响系统运行,应在中心机房和监控中心需要配置长延时的不间断电源(UPS),主设备间设置一台220V AC UPS电源,功率为30KVA,配置100AH电池组。监舍、禁闭室、教学楼、会见楼、卫生所、监区大门等设备较多建筑物各设置一台功率为3KVA220V AC UPS,配置100AH电池组。车间、食堂等设备相对较少的建筑物各设置一台功率为2KVA220V AC UPS,配置100AH电池组。在市电断电情况下保证系统正常工作4小时以上。
UPS电源系统应与监狱后备的发电机组相联,确保断电半小时内,接入后备发电。另外监狱提供配套备用电源。 七、操作系统
服务器操作系统选用WINDOWS 2008 SERVER,工作站操作系统选用WINDOWS XP或WINDOWS7。 八、网管软件
网管软件是充分利用设备自己的管理信息库完成设备配置、浏览设备配置信息、监视设备运行状态等网管功能。网管系统国内有华信亿码公司NetWin2000、北大青鸟网软的网硕(NetSureXpert)、游龙科技的SiteView等,根据性价比、服务等因素综合考虑。 九、防病毒软件
目前,主流的网络杀毒软件产品有:瑞星公司瑞星杀毒软件;Symantec公司Norton AntiVirus 企业版;熊猫软件公司熊猫卫士;冠群金辰公司Kill IT 企业级防护套餐等。比较后采用瑞星企业版防病毒软件。 十、系统安全
34
某监狱信息化建设设计方案
计算机网络具有的开放性、互连性等特征,计算机网络系统的安全问题是人们在网络系统建设时必须考虑的。
针对监狱的实际情况,网络系统的安全的构建,主要采用以下措施: 制定监狱计算机网络系统使用安全管理制度;
在操作系统和数据库一级采取措施,防止越权访问、窃取数据、对系统访问(尤其是非法访问)的审计跟踪。
在网络系统中安装网络杀病毒软件,对整个网络系统进行网络防杀毒处理,并及时更新升级;
边界安全在广域网络接口采用防火墙进行网络隔离,防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制;
在局域网内部的入侵检测与审计,在网络中对于不同应用划分VLAN; 网络系统的网络管理和监控;在进入网络和应用软件时,进行身份认证; 在应用系统中进行访问权限限制;
目前关键数据安全采用本机上的冗余磁盘阵列;管理系统服务器采用双机热备援工作方式;数据存储采用磁盘阵列柜,后期备份系统采用CA的备份和灾难恢复系统。
建议采用第三方网络平台管理系统实现计算机认证管理、安全桌面管理、网络安全监控、网络分域管理、移动存储管理、系统恢复等功能
采用UPS提供的供电安全保证,同时提供防雷和接地保护。 十一、网络维护
对计算机网络的维护必须制定相应的管理制度和指定专人来加强对网络的管理,保障网络系统安全。 十二、软件维护
对于所有的计算机一律要装杀毒软件及软件防火墙。由计算机维护人员不定期负责对所有计算机进行病毒检测和清理。
对于联网的计算机,任何人在未经批准的情况下,不得向网络中任何计算机拷贝软件或文档。对于任何计算机,其软件的安装由计算机维护人员负责安装。
数据的备份应由监狱计算机专业维护人员管理,备份用的软盘由专业维护人员提供。所有光盘、软盘在使用前,必须确保无病毒。
35