油田企業(yè)局域網(wǎng)的設(shè)計(jì)和管理

1、油田企業(yè)局域網(wǎng)的設(shè)計(jì)和管理 油田企業(yè)局域網(wǎng)的設(shè)計(jì)和管理 摘要：在數(shù)字化油田大開展時(shí)代，有效的公司信息平安管理對(duì)企業(yè)的良好運(yùn)作至關(guān)重要，但在具體的實(shí)施過程中，企業(yè)平安管理需要從前期平安策略的具體制定、中期信息平安解決方案的選擇與實(shí)施、后續(xù)的平安效勞的跟進(jìn)等多方面、全方位予以重視，并作周到細(xì)致的考慮。這既涉及到企業(yè)系統(tǒng)如何在應(yīng)用中實(shí)現(xiàn)平安管理，同時(shí)又涉及到平安廠商如何提供全方位平安咨詢及后續(xù)平安效勞等方面的問題。 關(guān)鍵詞：石油通信；局域網(wǎng)；IP網(wǎng)絡(luò) Abstract: in the era of digital oilfield development, valid company informa

2、tion security management is very important to enterprise"s good operation, but in the concrete implementation process, the enterprise security management needs from previous security policy specific information security solution in the middle of the formulation, choice and implementation and su

3、bsequent follow up of the security service, attach importance to it in all directions, and thoughtful consideration. It involves how to implement safety management in the application of enterprise system, at the same time involves how the security vendor provides the omni-directional security consul

4、ting and follow-up security service, etc. Key words: oil communication; Local area network (LAN); IP network 中圖分類號(hào)：TE31 文獻(xiàn)標(biāo)識(shí)碼：A 一、油田企業(yè)聯(lián)網(wǎng)需求分析 概述 企業(yè)想增強(qiáng)競(jìng)爭(zhēng)實(shí)力，必須隨時(shí)改良和更新系統(tǒng)和網(wǎng)絡(luò)，但是時(shí)機(jī)增加常伴隨著平安風(fēng)險(xiǎn)的增加，尤其是機(jī)構(gòu)的數(shù)據(jù)對(duì)更多用戶開放的時(shí)候因?yàn)榧夹g(shù)越先進(jìn)，平安管理就越復(fù)雜。所以企業(yè)為了消除平安隱患，下一步就需要對(duì)現(xiàn)有的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評(píng)估，確定在企業(yè)的具體環(huán)境下到底存在哪些平安漏洞和平安隱患。再次是在此根底上，制

5、定并實(shí)施平安策略，完成平安策略的責(zé)任分配，設(shè)立平安標(biāo)準(zhǔn)：幾乎所有企業(yè)目前都有信息平安策略，只不過許多策略都沒有書面化，只作為完成任務(wù)的一種手段。恰當(dāng)?shù)男畔⑵桨膊呗员仨毰c機(jī)構(gòu)的所有業(yè)務(wù)需求直接相關(guān)。 二、關(guān)于油田企業(yè)局域網(wǎng)總體設(shè)計(jì) 網(wǎng)絡(luò)規(guī)劃 針對(duì)我公司的網(wǎng)絡(luò)需求及目前的網(wǎng)絡(luò)現(xiàn)狀，在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)改造時(shí)要綜合考慮以下的因素，從而建設(shè)一個(gè)平安、可靠、功能豐富的網(wǎng)絡(luò)系統(tǒng)： 廣域網(wǎng)絡(luò) 數(shù)據(jù)中心及備份中心 語音/視頻 網(wǎng)絡(luò)外聯(lián) 網(wǎng)絡(luò)平安 網(wǎng)絡(luò)管理 廣域網(wǎng)絡(luò) 在廣域網(wǎng)絡(luò)設(shè)計(jì)時(shí)，要考慮目前可用的網(wǎng)絡(luò)資源以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。根據(jù)目前的網(wǎng)絡(luò)資源以及地理分布情況，綜合考慮網(wǎng)絡(luò)資源的費(fèi)用、網(wǎng)上業(yè)務(wù)情況，以及今后的開展趨勢(shì)

6、。廣域網(wǎng)絡(luò)采用目前的樹型結(jié)構(gòu)，但要擴(kuò)展網(wǎng)絡(luò)資源的帶寬，使之滿足目前的數(shù)據(jù)、語音業(yè)務(wù)、客戶效勞中心業(yè)務(wù)數(shù)據(jù)集中業(yè)務(wù)的需求；同時(shí)為了滿足將來的視頻等其他應(yīng)用對(duì)目前的網(wǎng)絡(luò)設(shè)備應(yīng)考慮一定的擴(kuò)展性。 數(shù)據(jù)中心及備份中心 隨著數(shù)據(jù)的集中，公司的數(shù)據(jù)中心愈來愈重要，要求我們?cè)谠O(shè)計(jì)時(shí)要考慮到集中的或分散的數(shù)據(jù)中心的情況；但無論如何，數(shù)據(jù)中心都要保證數(shù)據(jù)的平安可靠、數(shù)據(jù)的高速訪問；對(duì)數(shù)據(jù)中心來說，它是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，要保證其他系統(tǒng)，包括廣域網(wǎng)系統(tǒng)、網(wǎng)管中心系統(tǒng)、外聯(lián)系統(tǒng)的授權(quán)用戶的高速的訪問。 對(duì)于目前的情況，數(shù)據(jù)分散到各個(gè)省公司，要求對(duì)各個(gè)省公司都設(shè)計(jì)相應(yīng)的數(shù)據(jù)中心，由于全公司的數(shù)據(jù)都會(huì)集中備份到總公司，

7、所以總公司的數(shù)據(jù)中心尤其重要，它是其他所有省公司的備份中心。 語音/視頻 在滿足業(yè)務(wù)運(yùn)行需要并考慮運(yùn)行維護(hù)本錢的前提下，可以考慮語音及視頻的應(yīng)用。 提供數(shù)據(jù)、語音和視頻的集成是整個(gè)網(wǎng)絡(luò)建設(shè)的重要因素，由于技術(shù)的進(jìn)步，在傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)上提供語音和視頻應(yīng)用也成為可行而普遍的趨勢(shì)。提供數(shù)據(jù)、語音和視頻的集成一方面可以降低語音通訊的本錢，滿足整個(gè)公司語音的需求，另一方面可以與客戶效勞中心結(jié)合在一起，提供一個(gè)以客戶為中心的綜合效勞系統(tǒng)。 網(wǎng)絡(luò)平安 對(duì)于我公司而言，網(wǎng)絡(luò)系統(tǒng)的平安是最重要的因素，應(yīng)該引起格外的重視；網(wǎng)絡(luò)的平安應(yīng)該包括認(rèn)證、授權(quán)和審計(jì)(AAA) 。其中認(rèn)證包括路由認(rèn)證、撥號(hào)備份認(rèn)證等；授權(quán)包

8、括權(quán)限控制、訪問控制等；審計(jì)包括對(duì)網(wǎng)絡(luò)系統(tǒng)的主動(dòng)掃描和被動(dòng)記錄等。 網(wǎng)絡(luò)總體設(shè)計(jì) 公司業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的核心就是廣域網(wǎng)絡(luò)骨干的建設(shè)，如何對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行改造以及對(duì)將來的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行規(guī)劃是當(dāng)前網(wǎng)絡(luò)改造的首要任務(wù)。 當(dāng)今網(wǎng)絡(luò)的開展遠(yuǎn)遠(yuǎn)超出了單純追求根本連通歷史階段。我們?cè)诰W(wǎng)絡(luò)連通根底上需要更高要求的網(wǎng)絡(luò)效勞內(nèi)容，它應(yīng)包括：-數(shù)據(jù)/圖象/話音、QoS、。我們必須要有清晰的網(wǎng)絡(luò)總體設(shè)計(jì)思路及原那么，遵循總體設(shè)計(jì)、分步實(shí)施的原那么，用新一代的網(wǎng)絡(luò)設(shè)計(jì)思想、最成熟的網(wǎng)絡(luò)技術(shù)對(duì)公司網(wǎng)絡(luò)進(jìn)行總體設(shè)計(jì)。 網(wǎng)絡(luò)資源以及網(wǎng)絡(luò)骨干技術(shù)的選擇 1、網(wǎng)絡(luò)骨干技術(shù)介紹 選擇合理的網(wǎng)絡(luò)主干技術(shù)對(duì)于一個(gè)核心網(wǎng)絡(luò)來說十分重要，它關(guān)系到

9、網(wǎng)絡(luò)的效勞品質(zhì)和可持續(xù)開展的特性。網(wǎng)絡(luò)主干包括主干網(wǎng)設(shè)備之間及其與會(huì)聚點(diǎn)核心設(shè)備之間的連接，寬帶IP網(wǎng)絡(luò)的主干必須選用相應(yīng)的寬帶主干技術(shù)。目前，可供選擇的寬帶技術(shù)包括以下幾種： 傳統(tǒng)電信資源。包括DS0(64Kbps)，nX64Kbps，PCM G.703/G.704、等 異步轉(zhuǎn)移模式(ATM技術(shù))。 采用信元傳輸和交換技術(shù)，減少處理時(shí)延，保障效勞質(zhì)量，使其端口可以支持從E1(2Mbps)到STM-1(155Mbps)、STM-4 (622Mbps)、STM-16(2.5Gbps)、STM-64(10Gbps)的傳輸速率。 SDH技術(shù)(或POS技術(shù))。采用高速光纖傳輸，以點(diǎn)對(duì)點(diǎn)方式提供從STM

10、1到STM64甚至更高的傳輸速率。 2、網(wǎng)絡(luò)骨干技術(shù)的選擇 公司租用電信運(yùn)營(yíng)商的SDH或一條E1/FR(2Mbps)構(gòu)成一級(jí)網(wǎng)絡(luò)骨干，對(duì)于接入層與骨干層以及根底層與接入層的的連接，可以租用ATM或傳統(tǒng)電信資源。 一級(jí)網(wǎng)和二級(jí)網(wǎng)由于數(shù)據(jù)流量大，承載的業(yè)務(wù)影響面大，應(yīng)該申請(qǐng)ATM/DDN/FR作為目前SDH的備份線路，兩條線路可以進(jìn)行負(fù)載均衡、互為備份；三級(jí)網(wǎng)由于數(shù)據(jù)量較小，建議考慮采用撥號(hào)備份作為主線路的備份線路，只有當(dāng)主線路發(fā)生故障時(shí)或者主線路負(fù)載超過設(shè)定范圍是，撥號(hào)備份線路才啟用，即保證了網(wǎng)絡(luò)的可靠性，又節(jié)省一定的費(fèi)用。 網(wǎng)絡(luò)設(shè)備 三類二級(jí)節(jié)點(diǎn)配備的路由器是不同的，主要是配備的數(shù)量以及模塊不

11、同。 一類二級(jí)節(jié)點(diǎn)配備兩臺(tái)中端路由器，分別連接兩條骨干線路，同時(shí)其中一臺(tái)通過撥號(hào)備份線路與相應(yīng)的一級(jí)節(jié)點(diǎn)連接；兩臺(tái)路由器分別配備一些向下連接的模塊，與下屬的三級(jí)節(jié)點(diǎn)連接，其中一臺(tái)同時(shí)為下屬三級(jí)節(jié)點(diǎn)提供撥號(hào)備份連接。 二類二級(jí)節(jié)點(diǎn)配備兩臺(tái)中端路由器，但與一級(jí)節(jié)點(diǎn)有一條骨干線路和一條撥號(hào)備份線路連接；兩臺(tái)路由器可以分工協(xié)作，也可以一臺(tái)是另一臺(tái)的冷備份；在前一種情況下，一臺(tái)路由器向上連接，另一臺(tái)路由器向下連接，或者把所有的連接分擔(dān)到兩臺(tái)路由器上，在后一種情況下，其中一臺(tái)負(fù)責(zé)所有的連接，另一臺(tái)完全作為冷備份使用。 三類節(jié)點(diǎn)配備一臺(tái)中端路由器，申請(qǐng)一條骨干線路和一條撥號(hào)備份線路。該路由器負(fù)責(zé)整個(gè)節(jié)點(diǎn)的上

12、連和下連的任務(wù)；可以配備相應(yīng)的同步模塊和異步模塊。 路由器根本配置要求如下： 兩個(gè)RJ-45 100Mbps端口 雙電源配置(可選) 支持PSTN/ISDN端口 支持標(biāo)準(zhǔn)協(xié)議如下： 網(wǎng)絡(luò)協(xié)議 廣域網(wǎng)協(xié)議 支持標(biāo)準(zhǔn)的動(dòng)態(tài)路由協(xié)議 Multicast 支持基于策略的路由 QoS管理機(jī)制 三、數(shù)據(jù)中心設(shè)計(jì) 效勞接入局域網(wǎng) 效勞接入局域網(wǎng)主要提供效勞器群局域網(wǎng)與總公司其他網(wǎng)絡(luò)的可靠連接，是整個(gè)數(shù)據(jù)中心的核心設(shè)備，要求提供最大的性能、平安性、可靠性和擴(kuò)展性能。配置兩臺(tái)高端局域網(wǎng)交換機(jī)，配上相關(guān)的千兆網(wǎng)或10/100M局域網(wǎng)模塊連接廣域骨干網(wǎng)、語音系統(tǒng)、視頻系統(tǒng)、網(wǎng)絡(luò)管理中心、外聯(lián)系統(tǒng)、樓內(nèi)用戶、客戶效勞

13、中心系統(tǒng)；并且通過千兆以太網(wǎng)透過防火墻與效勞器群局域網(wǎng)相連。 平安保護(hù)區(qū) 為保護(hù)整個(gè)公司的效勞器資源，在效勞接入?yún)^(qū)和效勞器群之間安置了平安保護(hù)區(qū)，該區(qū)提供效勞器與其他局部的平安隔離作用；在該區(qū)配備高性能防火墻來隔離效勞器與效勞接入?yún)^(qū)。兩臺(tái)防火墻為主動(dòng)/備份方式工作，當(dāng)主防火墻發(fā)生故障時(shí)，備份防火墻自開工作，保證整個(gè)網(wǎng)絡(luò)的高效運(yùn)行。 四.網(wǎng)絡(luò)平安及維護(hù)系統(tǒng) 方案設(shè)計(jì) 根據(jù)我公司的網(wǎng)絡(luò)狀況，在與Internet/Extranet等外網(wǎng)的接入、PSTN/ISDN的撥號(hào)接入、局域網(wǎng)接入控制等幾個(gè)方面的平安問題是需要著重考慮的，此外在內(nèi)部的局域網(wǎng)也應(yīng)有一定的平安措施以保護(hù)某些關(guān)鍵的信息。下面針對(duì)這幾個(gè)方

14、面做相應(yīng)的設(shè)計(jì)。 Internet/Extranet接入的平安設(shè)計(jì) 由于內(nèi)外網(wǎng)接入點(diǎn)是公司的企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet/Extranet外部網(wǎng)絡(luò)的連接處，該點(diǎn)承受著多種可能的對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊威脅，但由于業(yè)務(wù)的需要，又必須對(duì)外部網(wǎng)絡(luò)開通局部的網(wǎng)絡(luò)效勞，針對(duì)這種情況，要求采用目前常用的設(shè)計(jì)方法，采用防火墻這一平安隔離設(shè)備，將網(wǎng)絡(luò)隔離為三個(gè)平安等級(jí)不同的區(qū)域，即平安級(jí)別最高的內(nèi)部網(wǎng)絡(luò)、平安級(jí)別最低的外部網(wǎng)絡(luò)和非軍事化區(qū)。 對(duì)網(wǎng)絡(luò)設(shè)備和效勞的保護(hù) 包括： * 在所有路由器上設(shè)置控制臺(tái)口令； * 在所有路由器上設(shè)置特權(quán)用戶口令； * 在所有路由器上設(shè)置遠(yuǎn)程登錄口令； * 在所有路由器上設(shè)置分級(jí)用戶名和口令； * 在所有路由器上設(shè)置日志記錄, 建立單獨(dú)日志效勞器； * 在撥號(hào)接入路由