安全細分化

2013-11-05 10:41:04 EP電力信息化網(wǎng)　點擊量：評論 (0)

東北電網(wǎng)有限公司（以下簡稱東北公司）網(wǎng)絡(luò)系統(tǒng)建于2001年，擔(dān)負著東北公司的經(jīng)營管理、生產(chǎn)、安全、辦公、財務(wù)管理、視頻傳輸?shù)戎匾獞?yīng)用。隨著信息技術(shù)的發(fā)展和業(yè)務(wù)需求的增加，信息網(wǎng)絡(luò)結(jié)構(gòu)中存在的單

國家電網(wǎng)公司結(jié)合電網(wǎng)安全需求，對電網(wǎng)信息安全工作進行整體規(guī)劃和體系設(shè)計，制定了《國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案》，確定了“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的信息安全防護總體策略，其核心內(nèi)容為強化網(wǎng)絡(luò)邊界安全，結(jié)合信息安全等級對信息內(nèi)、外網(wǎng)應(yīng)用系統(tǒng)進行安全域劃分，將各安全域按邊界、網(wǎng)絡(luò)、主機及應(yīng)用四個層次實施安全防護。

按照國家電網(wǎng)“三級系統(tǒng)獨立成域、二級系統(tǒng)統(tǒng)一成域”的要求，需對東北公司內(nèi)網(wǎng)信息系統(tǒng)進行統(tǒng)一部署與調(diào)整，使分區(qū)調(diào)整后的信息系統(tǒng)既符合國家電網(wǎng)網(wǎng)絡(luò)分區(qū)分域的規(guī)定，又滿足東北公司信息系統(tǒng)后續(xù)發(fā)展要求，對現(xiàn)有業(yè)務(wù)平臺進行有效整合，優(yōu)化東北公司所有信息系統(tǒng)的管理，增強服務(wù)器的安全穩(wěn)定運行，為日后的管理、擴容提供方便，全面落實國家電網(wǎng)公司信息系統(tǒng)運行維護工作。同時，針對東北公司現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)架構(gòu)進行優(yōu)化，保證數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)所承載的應(yīng)用系統(tǒng)穩(wěn)定運行。

2009年東北公司搬遷至沈陽渾南新辦公大樓。在保留原有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，針對公司本部核心接入設(shè)備進行了一次升級，與此同時，劃分了獨立的網(wǎng)絡(luò)數(shù)據(jù)中心。

東北公司信息內(nèi)網(wǎng)網(wǎng)絡(luò)技術(shù)選用萬兆和千兆以太網(wǎng)絡(luò)技術(shù)，所有的幀格式全部選用以太網(wǎng)格式。

東北公司信息內(nèi)網(wǎng)為雙核心的負載均衡的結(jié)構(gòu)，它綜合了雙星形結(jié)構(gòu)和環(huán)狀結(jié)構(gòu)的優(yōu)點，既節(jié)省了鏈路，又能起到環(huán)狀結(jié)構(gòu)的路由冗余與備份的作用。它分為核心層、接入層兩個層面。

核心層:采用兩臺高性能路由交換機Catalyst 6513，應(yīng)用VSS(虛擬交換系統(tǒng))技術(shù)連接成雙核心，提供高效的數(shù)據(jù)交換，提供到數(shù)據(jù)中心的高速、穩(wěn)健的連接。

接入層:采用萬兆鏈路實現(xiàn)與核心層的骨干互聯(lián)，為辦公區(qū)內(nèi)用戶提供高性能無阻塞的數(shù)據(jù)交換能力，實現(xiàn)辦公區(qū)內(nèi)的VLAN部署，提高辦公區(qū)內(nèi)數(shù)據(jù)交換的安全性與靈活的可管理性，在辦公區(qū)內(nèi)實現(xiàn)千兆接入，并提供數(shù)據(jù)流量與安全的控制管理功能，實現(xiàn)QoS，支持多媒體數(shù)據(jù)傳輸，提供骨干鏈路的冗余。

數(shù)據(jù)中心交換機采用兩臺高性能交換機Catalyst 6509，內(nèi)置FWSM防火墻模塊和IDS入侵檢測模塊，應(yīng)用VSS(虛擬交換系統(tǒng))技術(shù)連接成雙核心，與核心層連接成環(huán)形，提供高效的數(shù)據(jù)交換，提供到數(shù)據(jù)中心的高速、穩(wěn)健的連接。數(shù)據(jù)中心交換機上承載著各類重要應(yīng)用系統(tǒng)的運行。

兩臺交換機Catalyst 4506連接到Catalyst 6509，提供更多服務(wù)器的接入。

本次改造新增10臺交換機，以每兩臺為一組分別與核心交換機相連；屬于三級系統(tǒng)的服務(wù)器接入的交換機分別通過萬兆線路、路由模式上聯(lián)到核心交換機上，獨立分域，并通過虛擬防火墻進行安全防御；其他應(yīng)用系統(tǒng)服務(wù)器屬于二級系統(tǒng)，統(tǒng)一成域，接入的交換機使用萬兆線路、TRUNK方式上聯(lián)到核心交換機上，并通過虛擬防火墻進行安全防御。

采用“核心層＋接入層”的兩層結(jié)構(gòu)免去了多余的轉(zhuǎn)發(fā)時間損耗，使整個網(wǎng)絡(luò)能更快地傳輸數(shù)據(jù)。以萬兆交換設(shè)備構(gòu)建主干，實現(xiàn)千兆交換到終端，主干支持第三層交換技術(shù)，具有良好的可擴展性。當(dāng)網(wǎng)絡(luò)規(guī)模擴大時，網(wǎng)絡(luò)無須進行太大調(diào)整即可以繼續(xù)使用，輕松實現(xiàn)升級擴充。服務(wù)器網(wǎng)段劃分虛擬子網(wǎng)(VLAN)，保證網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的安全，同時可控制服務(wù)的優(yōu)先級和質(zhì)量，滿足重要應(yīng)用的帶寬需求。

采用Catalyst 6509內(nèi)置防火墻模塊劃分虛擬防火墻，實現(xiàn)橫向分域。根據(jù)信息系統(tǒng)的安全等級，采用部署虛擬防火墻及設(shè)置訪問控制策略等技術(shù)措施進行安全域劃分，每一個服務(wù)器網(wǎng)段對應(yīng)一個虛擬防火墻，對各個安全域采用符合等級保護要求的技術(shù)措施進行防護。虛擬防火墻解決方案減少了網(wǎng)絡(luò)的總擁有成本，隨著業(yè)務(wù)發(fā)展，當(dāng)業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新業(yè)務(wù)部門時，可以通過添加或者減少虛擬防火墻的方式，十分靈活地解決后續(xù)網(wǎng)絡(luò)擴展的安全問題，提高網(wǎng)絡(luò)安全防護能力，簡化對防火墻的管理，有效降低網(wǎng)絡(luò)安全防護所需的投資，并在一定程度上降低網(wǎng)絡(luò)安全設(shè)備部署的復(fù)雜度。

東北公司信息系統(tǒng)分區(qū)分域的改造，構(gòu)建了一個安全可靠、性能卓越、易于管理的承載內(nèi)部業(yè)務(wù)系統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)平臺，滿足企業(yè)公文流轉(zhuǎn)、集團視頻會議、基建和生產(chǎn)現(xiàn)場實時監(jiān)控、生產(chǎn)、計劃、財務(wù)、人事、檔案數(shù)據(jù)的傳輸和展現(xiàn)等多種業(yè)務(wù)的需求。

責(zé)任編輯：何健

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊