陈大鹏 (安徽省陈村水电站)
1.概况
陈村水电站是一座梯级电站,一级陈村站装机容量为3×50MW,二级纪村站装机容量为2×17MW。陈村电站现已形成了泾县生活基地、纪村办公基地和陈村生产基地的格局。纪村与泾县相距6公里,纪村与陈村相距50公里。
陈村电站目前有一套400门程控电话,通过光缆联结纪村与基地通讯,陈村采用100门程控总机及10对音频电缆,完成陈村厂房、办公大楼、万上变电所之间的通信联系。电站于1998年完成了《陈村水电站管理信息系统总体方案》设计,并通过验收,99年完成了网络施工、调试工作,并进入试运行阶段。
2.网络设计原则
2.1 先进性。
除了准确地体现陈村水电站的管理思想和模式,还考虑了满足全省水电系统发展的共性要求。为此在网络设计时充分考虑了符合最新国际标准、工业标准、待业标准,开放性,高性能、易管理等因素。
2.2 实用性。
符合安徽省水电管理的业务需求。在需求调查时,我们立足于陈村电站,放眼于全省水电行业。在人机界面、功能设置方面以实用为主。
2.3 可靠性。
在硬件选型、网络设计和支撑环境的建设中就考虑这一问题,应用了容错技术、备份链路措施、服务器采用磁盘陈列技术等手段。
2.4 经济性。
在一定的资金资源下,尽量有效地利用,以适当的投入,建立一个尽可能高水平的、完善的计算机管理信息系统。而不是盲目追求先进性。
2.5 可变性、扩展性。
整个支撑平台采用了开放的结构,符合国际标准、行业标准的设计。网络用高速主干技术、智能化网络管理、虚拟网等技术,能灵活调整,适应业务发展和变化。
3.网络设备的考虑
3.1 局域网技术的考虑
FDDI是一种成熟可靠的技术,采用分时令牌协议控制网络访问,网络时延确定,适宜对时延敏感的数据传输,适用网络主干。但是成本高,特别是与以太网的桥接代价难以下降。
ATM是一种面向连接的网络技术。它的报文大小为固定长度的信元,可保证传输过程的低延迟能力。另外,在ATM的通讯架构中,建置了服务质量功能。ATM的缺点是规格及标准的制定困难。
1EEE802.3类快速以太网适用于以数据为主的应用环境中,并可搭配一些频宽管理的特性,也可使用部分的多媒体。它可以解决服务器的瓶颈问题,与交换技术的结合,适用作网络主干。另外它的性能价格比高。
综合考虑陈村电站实际情况和上述各种技术方案优缺点后,在纪村和陈村局域网中采用二级交换结构,以100M光纤为网络主干,纪村以10/100Mbps·Switch·Etherent到桌面,陈村以10 Mbps·Switch·Etherent到桌面。另外,陈村和纪村之间通过自建微波链路作为主通信链路,采用访问路由器实现网络互连;远程用户对水电站内部网络的访问,采用电话拨号方式,通过访问服务器连接入网。
3.2 服务器和路由器的选择
纪村局域网主机采用小型机作为数据服务器,型号为DS-20。PC服务器作为文件服务器,设一台主交换机和四台节点交换机,机房放在纪村办公大楼;陈村局域网主机用PC服务器,设一台主交换机和二台节点交换机,机房放在陈村载波楼。PC服务器型号为HP LH3 400。纪村主交换机型号为BAY STACK 1100R。在纪村和陈村之间采用了3COM RS1500路由器。拓扑图见图一.
4.网络安全的考虑
4.1 网络级安全控制
陈村水电站MIS网络内部应用系统的构成较为复杂。一方面,有整个机关公用的系统,如机关公文系统、电子邮件系统、公共住处查询系统等,要求网络上的每台计算机均可访问这些应用系统;另一方面,有各业务部门的业务系统,它们自成体系,通常不允许本业务部门外的其它用户访问。根据这种情况,首先根据部门分布将网络从物理上划分成若干独立的网段,控制部门间的访问;另外对公用系统的访问和物理划分有难度的网段,利用网络系统提供的虚拟局域网络进行网段及资源的逻辑划分,同时利用网络交换机提供的包过滤功能,限制不同业务部门间的信息传递和访问。
4.2 系统级安全控制
4.2.1 Widnous NT安全策略
域用户管理,使得安全控制已经不仅限制在上下级的访问关系,而是纵横发展的安全控制;服务器镜象和磁盘镜象保证了数据安全;NTFS特有的安全控制可以控制服务器上的所有资源的控制,从文件到包括Internet的各种服务,都可以在用户级上控制使用权限。
4.2.2 Proxy安全策略
它和NT的安全策略相结合,可实现:防止没有授权的用户连到你的私人网络上来,保证你的数据安全;与NT的用户验证紧密结合,使管理员能够设置何人使用INTERNET以及使用哪些服务;通过IP地址或域来阻止对限制的场点的访问。
4.2.3 IIS安全策略
IIS作为WEB服务器程序,提供了基于NT操作系统的安全策略,主要有:Internet Information Server安全机制的工作方式;控制匿名访问;设置文件夹和文件权限;设置WWW目录访问权;通过IP地址控制访问权;运行其它网络服务;用安全套按字(SSL)保护数据传输。
4.3 网络防病毒策略
防病毒软件从功能上可以分网络版防病毒软件和单机版防病毒软件。单机版病毒软件主要侧重于对本地和远程资源以静态分析扫描的方式检测、清除病毒。网络防病毒软件的一个重要特性就是“实时性”,一旦病毒侵入系统或者从系统向其它资源感染,网络防病毒软件会立刻检测到并加以清除。
对陈村MIS网络系统,采取了网络、单机相结合的方式来避免病毒的危害。一方面,利用网络防病毒软件保护服务器,同时实现对网络病毒的监控、报警和实时清除;另一方面定期使用单机版防病毒软件对工作站进行扫描、杀毒,以清除病毒隐患。
陈村水电站MIS网络中采用了两级防火墙体系。第一级防火墙通过设置路由器表,由路由器实现基于包过滤的网络级防火墙;第二级防火墙由应用层防火墙软件实现。在内部网和外部网之间设置一个高性能的应用防火墙,它是防火墙软件和一台高速工作站的结合体,它工作在应用层,可杜绝通过底层协议、欺骗手段来攻击内部网络的非法用户。
