安全細(xì)分化

2013-11-05 10:41:04 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

東北電網(wǎng)有限公司（以下簡(jiǎn)稱東北公司）網(wǎng)絡(luò)系統(tǒng)建于2001年，擔(dān)負(fù)著東北公司的經(jīng)營(yíng)管理、生產(chǎn)、安全、辦公、財(cái)務(wù)管理、視頻傳輸?shù)戎匾獞?yīng)用。隨著信息技術(shù)的發(fā)展和業(yè)務(wù)需求的增加，信息網(wǎng)絡(luò)結(jié)構(gòu)中存在的單

國家電網(wǎng)公司結(jié)合電網(wǎng)安全需求，對(duì)電網(wǎng)信息安全工作進(jìn)行整體規(guī)劃和體系設(shè)計(jì)，制定了《國家電網(wǎng)公司信息化“SG186”工程安全防護(hù)總體方案》，確定了“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)防護(hù)、多層防御”的信息安全防護(hù)總體策略，其核心內(nèi)容為強(qiáng)化網(wǎng)絡(luò)邊界安全，結(jié)合信息安全等級(jí)對(duì)信息內(nèi)、外網(wǎng)應(yīng)用系統(tǒng)進(jìn)行安全域劃分，將各安全域按邊界、網(wǎng)絡(luò)、主機(jī)及應(yīng)用四個(gè)層次實(shí)施安全防護(hù)。

按照國家電網(wǎng)“三級(jí)系統(tǒng)獨(dú)立成域、二級(jí)系統(tǒng)統(tǒng)一成域”的要求，需對(duì)東北公司內(nèi)網(wǎng)信息系統(tǒng)進(jìn)行統(tǒng)一部署與調(diào)整，使分區(qū)調(diào)整后的信息系統(tǒng)既符合國家電網(wǎng)網(wǎng)絡(luò)分區(qū)分域的規(guī)定，又滿足東北公司信息系統(tǒng)后續(xù)發(fā)展要求，對(duì)現(xiàn)有業(yè)務(wù)平臺(tái)進(jìn)行有效整合，優(yōu)化東北公司所有信息系統(tǒng)的管理，增強(qiáng)服務(wù)器的安全穩(wěn)定運(yùn)行，為日后的管理、擴(kuò)容提供方便，全面落實(shí)國家電網(wǎng)公司信息系統(tǒng)運(yùn)行維護(hù)工作。同時(shí)，針對(duì)東北公司現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)架構(gòu)進(jìn)行優(yōu)化，保證數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)所承載的應(yīng)用系統(tǒng)穩(wěn)定運(yùn)行。

2009年東北公司搬遷至沈陽渾南新辦公大樓。在保留原有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，針對(duì)公司本部核心接入設(shè)備進(jìn)行了一次升級(jí)，與此同時(shí)，劃分了獨(dú)立的網(wǎng)絡(luò)數(shù)據(jù)中心。

東北公司信息內(nèi)網(wǎng)網(wǎng)絡(luò)技術(shù)選用萬兆和千兆以太網(wǎng)絡(luò)技術(shù)，所有的幀格式全部選用以太網(wǎng)格式。

東北公司信息內(nèi)網(wǎng)為雙核心的負(fù)載均衡的結(jié)構(gòu)，它綜合了雙星形結(jié)構(gòu)和環(huán)狀結(jié)構(gòu)的優(yōu)點(diǎn)，既節(jié)省了鏈路，又能起到環(huán)狀結(jié)構(gòu)的路由冗余與備份的作用。它分為核心層、接入層兩個(gè)層面。

核心層:采用兩臺(tái)高性能路由交換機(jī)Catalyst 6513，應(yīng)用VSS(虛擬交換系統(tǒng))技術(shù)連接成雙核心，提供高效的數(shù)據(jù)交換，提供到數(shù)據(jù)中心的高速、穩(wěn)健的連接。

接入層:采用萬兆鏈路實(shí)現(xiàn)與核心層的骨干互聯(lián)，為辦公區(qū)內(nèi)用戶提供高性能無阻塞的數(shù)據(jù)交換能力，實(shí)現(xiàn)辦公區(qū)內(nèi)的VLAN部署，提高辦公區(qū)內(nèi)數(shù)據(jù)交換的安全性與靈活的可管理性，在辦公區(qū)內(nèi)實(shí)現(xiàn)千兆接入，并提供數(shù)據(jù)流量與安全的控制管理功能，實(shí)現(xiàn)QoS，支持多媒體數(shù)據(jù)傳輸，提供骨干鏈路的冗余。

數(shù)據(jù)中心交換機(jī)采用兩臺(tái)高性能交換機(jī)Catalyst 6509，內(nèi)置FWSM防火墻模塊和IDS入侵檢測(cè)模塊，應(yīng)用VSS(虛擬交換系統(tǒng))技術(shù)連接成雙核心，與核心層連接成環(huán)形，提供高效的數(shù)據(jù)交換，提供到數(shù)據(jù)中心的高速、穩(wěn)健的連接。數(shù)據(jù)中心交換機(jī)上承載著各類重要應(yīng)用系統(tǒng)的運(yùn)行。

兩臺(tái)交換機(jī)Catalyst 4506連接到Catalyst 6509，提供更多服務(wù)器的接入。

本次改造新增10臺(tái)交換機(jī)，以每?jī)膳_(tái)為一組分別與核心交換機(jī)相連；屬于三級(jí)系統(tǒng)的服務(wù)器接入的交換機(jī)分別通過萬兆線路、路由模式上聯(lián)到核心交換機(jī)上，獨(dú)立分域，并通過虛擬防火墻進(jìn)行安全防御；其他應(yīng)用系統(tǒng)服務(wù)器屬于二級(jí)系統(tǒng)，統(tǒng)一成域，接入的交換機(jī)使用萬兆線路、TRUNK方式上聯(lián)到核心交換機(jī)上，并通過虛擬防火墻進(jìn)行安全防御。

采用“核心層＋接入層”的兩層結(jié)構(gòu)免去了多余的轉(zhuǎn)發(fā)時(shí)間損耗，使整個(gè)網(wǎng)絡(luò)能更快地傳輸數(shù)據(jù)。以萬兆交換設(shè)備構(gòu)建主干，實(shí)現(xiàn)千兆交換到終端，主干支持第三層交換技術(shù)，具有良好的可擴(kuò)展性。當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí)，網(wǎng)絡(luò)無須進(jìn)行太大調(diào)整即可以繼續(xù)使用，輕松實(shí)現(xiàn)升級(jí)擴(kuò)充。服務(wù)器網(wǎng)段劃分虛擬子網(wǎng)(VLAN)，保證網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的安全，同時(shí)可控制服務(wù)的優(yōu)先級(jí)和質(zhì)量，滿足重要應(yīng)用的帶寬需求。

采用Catalyst 6509內(nèi)置防火墻模塊劃分虛擬防火墻，實(shí)現(xiàn)橫向分域。根據(jù)信息系統(tǒng)的安全等級(jí)，采用部署虛擬防火墻及設(shè)置訪問控制策略等技術(shù)措施進(jìn)行安全域劃分，每一個(gè)服務(wù)器網(wǎng)段對(duì)應(yīng)一個(gè)虛擬防火墻，對(duì)各個(gè)安全域采用符合等級(jí)保護(hù)要求的技術(shù)措施進(jìn)行防護(hù)。虛擬防火墻解決方案減少了網(wǎng)絡(luò)的總擁有成本，隨著業(yè)務(wù)發(fā)展，當(dāng)業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新業(yè)務(wù)部門時(shí)，可以通過添加或者減少虛擬防火墻的方式，十分靈活地解決后續(xù)網(wǎng)絡(luò)擴(kuò)展的安全問題，提高網(wǎng)絡(luò)安全防護(hù)能力，簡(jiǎn)化對(duì)防火墻的管理，有效降低網(wǎng)絡(luò)安全防護(hù)所需的投資，并在一定程度上降低網(wǎng)絡(luò)安全設(shè)備部署的復(fù)雜度。

東北公司信息系統(tǒng)分區(qū)分域的改造，構(gòu)建了一個(gè)安全可靠、性能卓越、易于管理的承載內(nèi)部業(yè)務(wù)系統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)，滿足企業(yè)公文流轉(zhuǎn)、集團(tuán)視頻會(huì)議、基建和生產(chǎn)現(xiàn)場(chǎng)實(shí)時(shí)監(jiān)控、生產(chǎn)、計(jì)劃、財(cái)務(wù)、人事、檔案數(shù)據(jù)的傳輸和展現(xiàn)等多種業(yè)務(wù)的需求。

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊