安全細分化

2013-11-05 10:41:04 EP電力信息化網(wǎng)　點擊量：評論 (0)

東北電網(wǎng)有限公司（以下簡稱東北公司）網(wǎng)絡系統(tǒng)建于2001年，擔負著東北公司的經(jīng)營管理、生產(chǎn)、安全、辦公、財務管理、視頻傳輸?shù)戎匾獞谩ｋS著信息技術的發(fā)展和業(yè)務需求的增加，信息網(wǎng)絡結構中存在的單

東北電網(wǎng)有限公司（以下簡稱東北公司）網(wǎng)絡系統(tǒng)建于2001年，擔負著東北公司的經(jīng)營管理、生產(chǎn)、安全、辦公、財務管理、視頻傳輸?shù)戎匾獞谩ｋS著信息技術的發(fā)展和業(yè)務需求的增加，信息網(wǎng)絡結構中存在的單點故障和橫向安全邊界不清等問題已成為信息系統(tǒng)安全穩(wěn)定運行的重大隱患。

國家電網(wǎng)公司結合電網(wǎng)安全需求，對電網(wǎng)信息安全工作進行整體規(guī)劃和體系設計，制定了《國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案》，確定了“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的信息安全防護總體策略，其核心內(nèi)容為強化網(wǎng)絡邊界安全，結合信息安全等級對信息內(nèi)、外網(wǎng)應用系統(tǒng)進行安全域劃分，將各安全域按邊界、網(wǎng)絡、主機及應用四個層次實施安全防護。

按照國家電網(wǎng)“三級系統(tǒng)獨立成域、二級系統(tǒng)統(tǒng)一成域”的要求，需對東北公司內(nèi)網(wǎng)信息系統(tǒng)進行統(tǒng)一部署與調(diào)整，使分區(qū)調(diào)整后的信息系統(tǒng)既符合國家電網(wǎng)網(wǎng)絡分區(qū)分域的規(guī)定，又滿足東北公司信息系統(tǒng)后續(xù)發(fā)展要求，對現(xiàn)有業(yè)務平臺進行有效整合，優(yōu)化東北公司所有信息系統(tǒng)的管理，增強服務器的安全穩(wěn)定運行，為日后的管理、擴容提供方便，全面落實國家電網(wǎng)公司信息系統(tǒng)運行維護工作。同時，針對東北公司現(xiàn)有數(shù)據(jù)中心網(wǎng)絡系統(tǒng)架構進行優(yōu)化，保證數(shù)據(jù)中心網(wǎng)絡系統(tǒng)所承載的應用系統(tǒng)穩(wěn)定運行。

2009年東北公司搬遷至沈陽渾南新辦公大樓。在保留原有網(wǎng)絡架構的基礎上，針對公司本部核心接入設備進行了一次升級，與此同時，劃分了獨立的網(wǎng)絡數(shù)據(jù)中心。

東北公司信息內(nèi)網(wǎng)網(wǎng)絡技術選用萬兆和千兆以太網(wǎng)絡技術，所有的幀格式全部選用以太網(wǎng)格式。

東北公司信息內(nèi)網(wǎng)為雙核心的負載均衡的結構，它綜合了雙星形結構和環(huán)狀結構的優(yōu)點，既節(jié)省了鏈路，又能起到環(huán)狀結構的路由冗余與備份的作用。它分為核心層、接入層兩個層面。

核心層:采用兩臺高性能路由交換機Catalyst 6513，應用VSS(虛擬交換系統(tǒng))技術連接成雙核心，提供高效的數(shù)據(jù)交換，提供到數(shù)據(jù)中心的高速、穩(wěn)健的連接。

接入層:采用萬兆鏈路實現(xiàn)與核心層的骨干互聯(lián)，為辦公區(qū)內(nèi)用戶提供高性能無阻塞的數(shù)據(jù)交換能力，實現(xiàn)辦公區(qū)內(nèi)的VLAN部署，提高辦公區(qū)內(nèi)數(shù)據(jù)交換的安全性與靈活的可管理性，在辦公區(qū)內(nèi)實現(xiàn)千兆接入，并提供數(shù)據(jù)流量與安全的控制管理功能，實現(xiàn)QoS，支持多媒體數(shù)據(jù)傳輸，提供骨干鏈路的冗余。

數(shù)據(jù)中心交換機采用兩臺高性能交換機Catalyst 6509，內(nèi)置FWSM防火墻模塊和IDS入侵檢測模塊，應用VSS(虛擬交換系統(tǒng))技術連接成雙核心，與核心層連接成環(huán)形，提供高效的數(shù)據(jù)交換，提供到數(shù)據(jù)中心的高速、穩(wěn)健的連接。數(shù)據(jù)中心交換機上承載著各類重要應用系統(tǒng)的運行。

兩臺交換機Catalyst 4506連接到Catalyst 6509，提供更多服務器的接入。

本次改造新增10臺交換機，以每兩臺為一組分別與核心交換機相連；屬于三級系統(tǒng)的服務器接入的交換機分別通過萬兆線路、路由模式上聯(lián)到核心交換機上，獨立分域，并通過虛擬防火墻進行安全防御；其他應用系統(tǒng)服務器屬于二級系統(tǒng)，統(tǒng)一成域，接入的交換機使用萬兆線路、TRUNK方式上聯(lián)到核心交換機上，并通過虛擬防火墻進行安全防御。

采用“核心層＋接入層”的兩層結構免去了多余的轉(zhuǎn)發(fā)時間損耗，使整個網(wǎng)絡能更快地傳輸數(shù)據(jù)。以萬兆交換設備構建主干，實現(xiàn)千兆交換到終端，主干支持第三層交換技術，具有良好的可擴展性。當網(wǎng)絡規(guī)模擴大時，網(wǎng)絡無須進行太大調(diào)整即可以繼續(xù)使用，輕松實現(xiàn)升級擴充。服務器網(wǎng)段劃分虛擬子網(wǎng)(VLAN)，保證網(wǎng)絡內(nèi)部數(shù)據(jù)的安全，同時可控制服務的優(yōu)先級和質(zhì)量，滿足重要應用的帶寬需求。

采用Catalyst 6509內(nèi)置防火墻模塊劃分虛擬防火墻，實現(xiàn)橫向分域。根據(jù)信息系統(tǒng)的安全等級，采用部署虛擬防火墻及設置訪問控制策略等技術措施進行安全域劃分，每一個服務器網(wǎng)段對應一個虛擬防火墻，對各個安全域采用符合等級保護要求的技術措施進行防護。虛擬防火墻解決方案減少了網(wǎng)絡的總擁有成本，隨著業(yè)務發(fā)展，當業(yè)務劃分發(fā)生變化或者產(chǎn)生新業(yè)務部門時，可以通過添加或者減少虛擬防火墻的方式，十分靈活地解決后續(xù)網(wǎng)絡擴展的安全問題，提高網(wǎng)絡安全防護能力，簡化對防火墻的管理，有效降低網(wǎng)絡安全防護所需的投資，并在一定程度上降低網(wǎng)絡安全設備部署的復雜度。

東北公司信息系統(tǒng)分區(qū)分域的改造，構建了一個安全可靠、性能卓越、易于管理的承載內(nèi)部業(yè)務系統(tǒng)的數(shù)據(jù)中心網(wǎng)絡平臺，滿足企業(yè)公文流轉(zhuǎn)、集團視頻會議、基建和生產(chǎn)現(xiàn)場實時監(jiān)控、生產(chǎn)、計劃、財務、人事、檔案數(shù)據(jù)的傳輸和展現(xiàn)等多種業(yè)務的需求。