对监狱局域网建设几点思考.doc

对监狱局域网建设几点思考 1.引言 监狱作为国家的刑罚执行 ，担负着关押罪犯、维护社会稳定安宁、警示罪犯的重要职能。目前，随着信息技术的发展，各级监狱管理机关加大对监狱信息化建设的认知和重视。监狱信息化建设的主要内容包括：一个平台、一个标准体系、三个信息资源库、十个应用系统。“一个平台”，即网络和硬件平台，因此，在监狱信息化建设中，安全可靠的基础网络建设时信息化建设的基础，是所有应用的根本，网络平台的建设必不可少。 从网络功能上分，监狱网络分为外网、内网和专网三大类。外网是处理非涉密信息的网络，主要作用是狱务公开、对外宣传、internet信息查询、非涉密信息传输等，由外网局域网接入互联网。内网是处理监狱涉密信息的网络，主要作用承载监区视频监控系统、门禁系统、对讲系统、生产改造业务系统、以及日常办公自动化系统等。专网是指监狱系统内部信息传输的涉密网络，一般以省级监狱管理局为中心构建的网络系统，又称广域专网，监狱专网上联至司法厅，和司法部构成更大的专网---全国司法网。监狱外网和监狱内网按照司法部《全国监狱信息化建设规划》相关要求，必须做到两网物理层面相互隔离。本文主要针对内网建设中的问题谈谈几点个人浅见。 2.网络的模式 监狱内网建设严格区分开来，主要包括监控安防网、办公网、生产改造网、财务网。网络建设的模式主要有如下三中模式： I类混合组网，网络配置虽然简单，但是网络的安全性以 及网络的可管理性极差类按类型对业务物理隔离，安全性好，管理也方便，但是不同网络间设备无法重用 增大了网络间信息共享的难度 类模式是所有业务承载在一张物理网络上，逻辑上进行隔离，这种模式的设备重用性及网络扩展性好，管理方便，节省投资。×24小时工作，对网络可靠性要求较高。如果网络设备发生设备故障，特别对于监控业务的持续会造成影响，尤其对于高清应用，短短几秒的中断，数据丢失可能高达数百兆甚至更多。网络可靠性方面基本做到： 1.重要链路多链路备份，比如汇集层和核心层之间互联。 2.重要设备板卡冗余备份，比如支持主控单元、电源模块、风扇模块冗余备份。 3.支持网络设备所有模块热插拔。 4.支持冗余备份板块自动倒换。 网络可靠性技术有多种，如何选择取决于业务对网络的需求、组网以及设备的能力。网络的可靠性是以各种投入为代价实现的，并不是越高越好。理论上，我们进行网络可靠性设计是，应该为所有的链路和设备都提供备份，这样无疑是最好的，但是这样大大增加了组网成本。在实际应用中，在投入固定的情况下，对网络关键链路和设备提供备份，已经可以最大程度的保证网络的可靠性。 5．网络的安全 监狱内网是和internet物理隔离的网络，所有网络受到的威胁一般来自其本身。常见网络威胁有，非授权终端接入、网络广播风暴、数据包截取和侦听、计算机病毒等。 目前，在内网中按承载业务划分不同的VLAN,将相同业务的流量和广播数据现在在同一个虚拟局域网内，并且实现了业务的虚拟隔离。利用VLAN技术建立内网安全保护的模式应用比较普遍。终端接入控制和统一防杀毒软件部署应用较少。造成终端接入不受控制，数据容易被截取，U盘病毒传播，全网受影响。 网络的安全不在于建设，而在于对网络的管理。在实际中，我们不能重建设，轻管理。目前，设备上常规技术就能很好解决网络安全方面的威胁。比如端口隔离、MAC地址绑定、关闭交换机上空余接口等等。 6.结束语 监狱局域网作为监狱信息化建设的重要部分，构建一张可承载多业务需求，高可靠性、高安全的、易升级扩容的高品质网络为监狱信息化建设打下坚实的基础。在网络建设中把握好“科学性”、“经济性”、“安全性”“实际性”原则，并且把有效的网络管理至始至终落实于网络的整个运行过程中，才能发挥好网络的作用。