安全細分化

2013-11-05 10:41:04 EP電力信息化網　點擊量：評論 (0)

東北電網有限公司（以下簡稱東北公司）網絡系統建于2001年，擔負著東北公司的經營管理、生產、安全、辦公、財務管理、視頻傳輸等重要應用。隨著信息技術的發展和業務需求的增加，信息網絡結構中存在的單

東北電網有限公司（以下簡稱東北公司）網絡系統建于2001年，擔負著東北公司的經營管理、生產、安全、辦公、財務管理、視頻傳輸等重要應用。隨著信息技術的發展和業務需求的增加，信息網絡結構中存在的單點故障和橫向安全邊界不清等問題已成為信息系統安全穩定運行的重大隱患。

國家電網公司結合電網安全需求，對電網信息安全工作進行整體規劃和體系設計，制定了《國家電網公司信息化“SG186”工程安全防護總體方案》，確定了“雙網雙機、分區分域、等級防護、多層防御”的信息安全防護總體策略，其核心內容為強化網絡邊界安全，結合信息安全等級對信息內、外網應用系統進行安全域劃分，將各安全域按邊界、網絡、主機及應用四個層次實施安全防護。

按照國家電網“三級系統獨立成域、二級系統統一成域”的要求，需對東北公司內網信息系統進行統一部署與調整，使分區調整后的信息系統既符合國家電網網絡分區分域的規定，又滿足東北公司信息系統后續發展要求，對現有業務平臺進行有效整合，優化東北公司所有信息系統的管理，增強服務器的安全穩定運行，為日后的管理、擴容提供方便，全面落實國家電網公司信息系統運行維護工作。同時，針對東北公司現有數據中心網絡系統架構進行優化，保證數據中心網絡系統所承載的應用系統穩定運行。

2009年東北公司搬遷至沈陽渾南新辦公大樓。在保留原有網絡架構的基礎上，針對公司本部核心接入設備進行了一次升級，與此同時，劃分了獨立的網絡數據中心。

東北公司信息內網網絡技術選用萬兆和千兆以太網絡技術，所有的幀格式全部選用以太網格式。

東北公司信息內網為雙核心的負載均衡的結構，它綜合了雙星形結構和環狀結構的優點，既節省了鏈路，又能起到環狀結構的路由冗余與備份的作用。它分為核心層、接入層兩個層面。

核心層:采用兩臺高性能路由交換機Catalyst 6513，應用VSS(虛擬交換系統)技術連接成雙核心，提供高效的數據交換，提供到數據中心的高速、穩健的連接。

接入層:采用萬兆鏈路實現與核心層的骨干互聯，為辦公區內用戶提供高性能無阻塞的數據交換能力，實現辦公區內的VLAN部署，提高辦公區內數據交換的安全性與靈活的可管理性，在辦公區內實現千兆接入，并提供數據流量與安全的控制管理功能，實現QoS，支持多媒體數據傳輸，提供骨干鏈路的冗余。

數據中心交換機采用兩臺高性能交換機Catalyst 6509，內置FWSM防火墻模塊和IDS入侵檢測模塊，應用VSS(虛擬交換系統)技術連接成雙核心，與核心層連接成環形，提供高效的數據交換，提供到數據中心的高速、穩健的連接。數據中心交換機上承載著各類重要應用系統的運行。

兩臺交換機Catalyst 4506連接到Catalyst 6509，提供更多服務器的接入。

本次改造新增10臺交換機，以每兩臺為一組分別與核心交換機相連；屬于三級系統的服務器接入的交換機分別通過萬兆線路、路由模式上聯到核心交換機上，獨立分域，并通過虛擬防火墻進行安全防御；其他應用系統服務器屬于二級系統，統一成域，接入的交換機使用萬兆線路、TRUNK方式上聯到核心交換機上，并通過虛擬防火墻進行安全防御。

采用“核心層＋接入層”的兩層結構免去了多余的轉發時間損耗，使整個網絡能更快地傳輸數據。以萬兆交換設備構建主干，實現千兆交換到終端，主干支持第三層交換技術，具有良好的可擴展性。當網絡規模擴大時，網絡無須進行太大調整即可以繼續使用，輕松實現升級擴充。服務器網段劃分虛擬子網(VLAN)，保證網絡內部數據的安全，同時可控制服務的優先級和質量，滿足重要應用的帶寬需求。

采用Catalyst 6509內置防火墻模塊劃分虛擬防火墻，實現橫向分域。根據信息系統的安全等級，采用部署虛擬防火墻及設置訪問控制策略等技術措施進行安全域劃分，每一個服務器網段對應一個虛擬防火墻，對各個安全域采用符合等級保護要求的技術措施進行防護。虛擬防火墻解決方案減少了網絡的總擁有成本，隨著業務發展，當業務劃分發生變化或者產生新業務部門時，可以通過添加或者減少虛擬防火墻的方式，十分靈活地解決后續網絡擴展的安全問題，提高網絡安全防護能力，簡化對防火墻的管理，有效降低網絡安全防護所需的投資，并在一定程度上降低網絡安全設備部署的復雜度。

東北公司信息系統分區分域的改造，構建了一個安全可靠、性能卓越、易于管理的承載內部業務系統的數據中心網絡平臺，滿足企業公文流轉、集團視頻會議、基建和生產現場實時監控、生產、計劃、財務、人事、檔案數據的傳輸和展現等多種業務的需求。