周力峰，李青松，王 奔

(長江科學院科技成果推廣及信息中心，武漢 430010)

信息化是水利科研現(xiàn)代化的標志之一，計算機網(wǎng)絡(簡稱網(wǎng)絡)是信息化的基礎設施。長江科學院(以下簡稱“長科院”)歷來重視網(wǎng)絡建設，從20世紀90年代初開始，先后經(jīng)歷了總線網(wǎng)、星型網(wǎng)、樹型網(wǎng)等階段，經(jīng)過近20年的不斷發(fā)展，形成了目前規(guī)模適度、功能比較齊備、性能穩(wěn)定、安全度較高的科研局域網(wǎng)［1］。回顧長科院科研局域網(wǎng)的建設發(fā)展里程，有些經(jīng)驗值得總結，一些主要技術問題需要研究分析。

網(wǎng)絡建設要以規(guī)劃為先導。隨著信息技術日新月異的發(fā)展，網(wǎng)絡需求也在不斷變化，規(guī)劃不能一成不變，必須分階段與時俱進地適應需求按專題來進行。這些年來，長科院從規(guī)劃、設計、到實施，比較注意滿足科研主體需求，比較注意優(yōu)化網(wǎng)絡結構擴充網(wǎng)絡功能，同時，更注重提高網(wǎng)絡性能，主要是保障其暢通性、安全性、可靠性、穩(wěn)定性及可擴展性［2］。本文主要論述這些問題。

1 網(wǎng)絡結構與布線

網(wǎng)絡建設要注重結構、合理劃分層次。首先要確定網(wǎng)絡拓撲，即要根據(jù)本單位的地理分布情況、用戶分布規(guī)模等來具體確定網(wǎng)絡結構。長科院科研局域網(wǎng)的網(wǎng)絡拓撲如圖1所示，總體為樹型結構，即復合的星型結構。樹型結構與目前的結構化布線技術、網(wǎng)絡交換設備水平相適應，能較好地滿足網(wǎng)絡功能性能要求。

1.1 網(wǎng)絡主干

如圖1所示，科研局域網(wǎng)為“1+4結構”，即由院本部、加上4個科研基地(九萬方、沌口、宜昌、重慶)的子網(wǎng)所組成。

院本部的核心交換機(千兆級標準)為科研局域網(wǎng)的中心節(jié)點，通過城域專線(千兆)與九萬方科研基地相聯(lián)，滿足水利部巖土力學與工程重點實驗室、國家大壩安全工程技術研究中心等單位的需要;通過城域網(wǎng)的VPN與漢陽的沌口科研基地相聯(lián)，滿足水利部水工程安全與病害防治工程技術研究中心等單位基于長江防洪模型的科研需要;通過廣域網(wǎng)的VPN與宜昌、重慶的科研基地相聯(lián)，滿足長科院在三峽前方及重慶開發(fā)中的水利科研需要。

1.2 子 網(wǎng)

這里的子網(wǎng)是指以樓宇為單元的局域網(wǎng)。長科院樓宇按標準(ANSI/EIA—568—A商業(yè)建筑電信布線標準)實施結構化布線工程，每個子網(wǎng)內(nèi)部也為星型結構。全院在核心交換機之下，共有匯聚層交換機4臺，樓層(桌面)交換機60余臺，連接終端節(jié)點1 200余個，劃分為13個VLAN。另外，長科院還為水工河工模型實驗大廳、主要會議室配備了內(nèi)部無線網(wǎng)(Aruba設備)。對有特殊保密要求的財務、人事、空間信息等單位建設了與科研局域網(wǎng)物理隔離的專業(yè)子網(wǎng)。子網(wǎng)的主干為千兆單模光纜，樓宇內(nèi)綜合布線為超5類線。子網(wǎng)匯聚交換為具有千兆級標準，目前使用為百兆。用戶終端為百兆到桌面。

1.3 院網(wǎng)絡出口

網(wǎng)絡出口指科研局域網(wǎng)的Internet出口。為了保障科研人員與部委及社會的科技交流，同時保證出口的高可靠性，長科院采用中國電信等2家運營商提供互聯(lián)網(wǎng)咨詢服務，分別提供帶寬并互為鏈路備份。在出口處，使用綜合網(wǎng)關限制訪問內(nèi)容，使用行為管理軟件限制科研局域網(wǎng)用戶的上網(wǎng)行為(在首先保證IE瀏覽速度之后，再依次滿足流媒體播放、數(shù)據(jù)下載的需要)，使用負載均衡設備調(diào)節(jié)2條出口鏈路的流量達到合理的均衡程度。

圖1 科研局域網(wǎng)主干結構圖Fig.1 Structure of the intranet backbone

2 網(wǎng)絡主要業(yè)務應用

長江科學院作為國家公益性水利科研機構，科研的前瞻性、開放性要求科研局域網(wǎng)要便捷、暢通、穩(wěn)定、安全。在院本部設有中心機房，統(tǒng)一處理對外信息交換;在4個科研基地都設有核心機房，承擔各區(qū)域內(nèi)的科研與管理業(yè)務。科研局域網(wǎng)承載的主要業(yè)務是科學實驗、綜合管理信息系統(tǒng)及科技(公共)信息服務。目前科研局域網(wǎng)能夠較好滿足科研的要求。

2.1 科學實驗系統(tǒng)［3］

水利科研的研究手段主要是模型試驗與數(shù)值計算。

在模型試驗中，近些年普遍采用了基于網(wǎng)絡的計算機數(shù)據(jù)采集技術，實現(xiàn)了從數(shù)據(jù)采集、傳輸、數(shù)據(jù)處理與分析一條龍的信息化實驗流程，在數(shù)據(jù)處理的基礎上還開展了數(shù)值仿真，大大提高了試驗成果的可視化程度。

數(shù)值計算采用工程計算與分析軟件，定量研究工程水利、生態(tài)水利中的科研問題。近年，長科院基于網(wǎng)絡的水資源分布、空間信息處理等取得了長足進展。引進了曙光TC4000L、曙光PHCP100等3臺高性能并行計算系統(tǒng)，在有限元法、差分法與DDA計算方面也發(fā)揮了重要的作用。

長科院基于網(wǎng)絡的計算機軟件應用與開發(fā)很普及，2012年審核使用的有效版本軟件達到132項。

2.2 綜合管理信息系統(tǒng)

綜合管理信息系統(tǒng)是長科院于2009年正式投入使用的管理軟件，其包括院務、科研、人事、財務、資產(chǎn)、黨群、科技信息及后勤服務等8個子系統(tǒng)，同時設有綜合查詢模塊、個人中心模塊。該系統(tǒng)基本涵蓋了長科院科研管理內(nèi)容，為流程化運作。流程運作的實時性對網(wǎng)絡的速度及可靠性提出了很高的要求。在該系統(tǒng)運行以后，長科院對網(wǎng)絡性能做了新的評估，并擴展增加了備份服務器、主輔網(wǎng)絡存儲設備等關鍵設備。

此外，作為綜合管理信息系統(tǒng)的配套工程，長科院還建設了基于網(wǎng)絡的一卡通工程，使用“長江卡”實現(xiàn)食堂進餐、考勤與會議簽到、門禁、車閘等。一卡通數(shù)據(jù)中心由1臺數(shù)據(jù)服務器(linx操作系統(tǒng))及2臺前置服務器組成，通過專用網(wǎng)關連至各前段設備。

2.3 科技(公共)信息服務

為滿足科研人員網(wǎng)絡辦公的需要，長科院自主開發(fā)了《長江水利科技網(wǎng)》(院外網(wǎng))、《長江科學院辦公網(wǎng)》(院內(nèi)網(wǎng))，引進了敏迅電子郵件系統(tǒng)、深圳大學圖書館系統(tǒng)、騰訊通(RTX)即時通訊軟件等。為滿足科研人員需求，長科院訂購了若干套專業(yè)相關的中英文數(shù)據(jù)庫，并引進了5萬余冊超星電子圖書，開通了科技檔案資料的網(wǎng)絡查詢。

3 網(wǎng)絡安全

網(wǎng)絡安全是近些年受到廣泛關注的問題。使用TIP/IP協(xié)議的互聯(lián)網(wǎng)在給人們帶來前所未有的開放性同時，也在保護信息安全方面顯現(xiàn)出弱點?？蒲芯钟蚓W(wǎng)的科研環(huán)境，對網(wǎng)絡安全性要求極高。長科院在網(wǎng)絡安全方面，著重考慮內(nèi)網(wǎng)安全、出口安全2方面的問題，按照水利部的2級網(wǎng)絡安全等級達標建設［4］。

3.1 內(nèi)網(wǎng)安全

內(nèi)網(wǎng)安全是根本。長科院從線路保障、子網(wǎng)管理、病毒防范等方面加強內(nèi)網(wǎng)安全保護。

首先，嚴格采用標準的結構化布線技術，構造科研局域網(wǎng)，網(wǎng)絡主干線路采用單模光纜并復線架設。子網(wǎng)間光纜走弱電地溝或弱電豎井，相對封閉以防止損壞。各樓宇布線垂直與水平系統(tǒng)嚴格按規(guī)范架設，并保證防雷擊設施到位。

長科院內(nèi)網(wǎng)被劃分為13個VLAN。VLAN劃分可以有效抑制廣播風暴，提高內(nèi)網(wǎng)數(shù)據(jù)交換效率，控制病毒傳播，并為專業(yè)用戶、特殊用戶(如視頻會議)使用指定IP，提供有效帶寬。長科院部署在綜合管理信息系統(tǒng)、網(wǎng)站等多臺服務器上安裝了瑞星網(wǎng)絡防病毒軟件(企業(yè)版)，從網(wǎng)絡服務的角度抑制病毒的侵害。

3.2 網(wǎng)絡出口安全

網(wǎng)絡出口是內(nèi)網(wǎng)安全威脅的主要來源。針對網(wǎng)絡出口直接面對黑客攻擊、非法訪問、病毒侵襲等危險，長科院采用防火墻技術、入侵檢測技術、行為管理技術等對科研局域網(wǎng)實施重點防范與保障。

防火墻是網(wǎng)絡安全領域首要的基礎性設備，利用防火墻可以有效地劃分網(wǎng)絡不同安全級別區(qū)域間的邊界，并在邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別和審計等安全功能;入侵檢測系統(tǒng)是一種主動保護網(wǎng)絡資源的網(wǎng)絡安全系統(tǒng)，它從計算機網(wǎng)絡中的關鍵點收集信息，并進行分析，查看網(wǎng)絡中是否有違反安全策略的行為和受到攻擊的跡象。入侵檢測設備是防火墻的合理補充，能幫助系統(tǒng)對付網(wǎng)絡攻擊。長科院使用天融信綜合網(wǎng)關(TopGate500)，實現(xiàn)防火墻功能，同時還實現(xiàn)網(wǎng)絡入侵檢測、防病毒網(wǎng)關等出口風險控制管理。

針對科研局域網(wǎng)眾多用戶同時上網(wǎng)，需要在網(wǎng)絡出口處限制上網(wǎng)行為。要配備相應管理設備，防止非法訪問，產(chǎn)生行為日志，通過限制行為，保障有效工作帶寬。長科院使用深信服AC系列上網(wǎng)行為管理器，較好地實現(xiàn)網(wǎng)頁過濾、行為控制、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風險、互聯(lián)網(wǎng)訪問行為記錄等。

4 網(wǎng)絡運行維護

網(wǎng)絡運行維護是與網(wǎng)絡規(guī)劃建設同等重要的工作，因為網(wǎng)絡的效力只有在高效、穩(wěn)定、安全的運行中才能得到體現(xiàn)。長科院科研局域網(wǎng)運行維護包括2方面的工作:一是明確網(wǎng)絡管理要素，二是動態(tài)實施網(wǎng)絡升級改造。

4.1 網(wǎng)絡管理要素

明確網(wǎng)絡的管理要素主要包括，健全規(guī)章制度，完善運行管理機制，配備網(wǎng)絡管理軟件，落實運行維護費等。

長科院為保障網(wǎng)絡設施的正常運行，編制發(fā)布了《長江科學院網(wǎng)絡與通訊管理辦法》。為了防范突發(fā)故障，制訂了《長江科學院網(wǎng)絡安全事故應急預案》。院信息中心是網(wǎng)絡運行維護的責任單位，使用13種運行維護記錄表(如表1所示)，常年堅持規(guī)范化管理。

表1 科研局域網(wǎng)運行維護記錄清單Table 1 List of intranet operation and maintenance records

長科院科研局域網(wǎng)的規(guī)模與性質(zhì)，需要實行正規(guī)的網(wǎng)絡管理。長科院引進了北塔網(wǎng)絡運維管理系統(tǒng)(BTNM 3.9.2)，可以將全院的IT設備納入到統(tǒng)一物理拓撲圖進行管理，能可視化地實時顯示各網(wǎng)段的流量分布情況及負載飽和度，同時在拓撲圖上可以對設備的狀況及性能進行相應管理，通過關聯(lián)分析能夠提示網(wǎng)絡可能存在的故障點，預知告警，有效提高網(wǎng)絡和業(yè)務系統(tǒng)的健康運行率。此外，報表運行管理還能提供網(wǎng)絡歷史數(shù)據(jù)的分析報告，為IT投資和優(yōu)化架構提供參考數(shù)據(jù)。

4.2 網(wǎng)絡升級改造

隨著網(wǎng)絡行為的豐富、用戶數(shù)量的增加，科研局域網(wǎng)所承載的業(yè)務也在不斷發(fā)展。最近幾年，在水利部的直接安排下，長科院先后實施了“長江科學院沌口科研基地信息系統(tǒng)升級項目配置”、“長江科學院九萬方科研基地網(wǎng)絡通訊與電力增容改造項目”［5］等，并在每年安排信息化專項經(jīng)費，每隔1～2年就要更換或增加網(wǎng)絡交換設備、網(wǎng)絡服務器等，同時配合新建樓宇實施網(wǎng)絡建設工程。

5 結語

在2003年科研體制改革之后，長科院科研局域網(wǎng)作為科研十分重要的基礎設施，規(guī)模不斷增加，檔次逐步提高，通過規(guī)范管理與運行維護，穩(wěn)定性、可靠性、安全性不斷提高，較好地滿足科研與管理的需要。

但是，在運行過程中我們感覺也存在一些薄弱環(huán)節(jié)，如長科院科研局域網(wǎng)沒有形成與部委多樣化的對外通道，對外提供的公益性水利科研基礎信息較少，網(wǎng)絡的安全等級評估還沒有完成等，這些都需要我們在今后認真研究解決。

［1］周力峰.以信息化應用技術促進管理現(xiàn)代化［G］∥科技治江成就輝煌.武漢:長江出版社，2011:257－266.(ZHOU Li-feng.Information Technology to Enhance the Modernization of Management［G］∥Science and Technology to Achieve Splendid River Management.Wuhan:Changjiang Press，2011:257－266.(in Chinese))

［2］周力峰.2010—2011年長江水利委員會長江科學院信息化建設概況［G］∥湖北信息年鑒.武漢:湖北科學技術出版社，2011:194－197.(ZHOU Li-feng.Overview of the CRSRI’s Informatization from 2010 to 2011［G］∥ Yearbook of Hubei Information.Wuhan:Hubei Science and Technology Press，2011:194－197.(in Chinese))

［3］郭熙靈，林紹忠，周力峰.扎實推進信息化建設 努力構建創(chuàng)新型強院［J］.人民長江，2009，(4):10－12.(GUO Xi-ling，LIN Shao-zhong，ZHOU Li-feng.Informatization to Build a Strong Scientific Research Institute［J］.Yangtze River，2009，(4):10－12.(in Chinese))

［4］周維續(xù)，付 靜.淺析水利部信息系統(tǒng)安全等級保護工作［J］.信息網(wǎng)絡安全，2011，(12):18－19.(ZHOU Wei-xu，F(xiàn)U Jing.Protection of Information System Security of the Ministry of Water Resources［J］.Netinfo Security，2011，(12):18－19.(in Chinese))

［5］武漢城市建筑設計院.長江科學院九萬方科研基地網(wǎng)絡通訊與電力增容改造項目設計報告［R］.武漢:長江科學院，2011.(CITIC General Institute of Architectural Design and Research.Report on the Design of Networking Improvement and Power Capacity Expansion for Jiuwanfang Research Base of CRSRI［R］.Wuhan:Yangtze River Scientific Research Institute，2011.(in Chinese))