安全细分化

2013-11-05 10:41:04 EP电力信息化网  点击量: 评论 (0)
东北电网有限公司(以下简称东北公司)网络系统建于2001年,担负着东北公司的经营管理、生产、安全、办公、财务管理、视频传输等重要应用。随着信息技术的发展和业务需求的增加,信息网络结构中存在的单
        东北电网有限公司(以下简称东北公司)网络系统建于2001年,担负着东北公司的经营管理、生产、安全、办公、财务管理、视频传输等重要应用。随着信息技术的发展和业务需求的增加,信息网络结构中存在的单点故障和横向安全边界不清等问题已成为信息系统安全稳定运行的重大隐患。
        国家电网公司结合电网安全需求,对电网信息安全工作进行整体规划和体系设计,制定了《国家电网公司信息化“SG186”工程安全防护总体方案》,确定了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略,其核心内容为强化网络边界安全,结合信息安全等级对信息内、外网应用系统进行安全域划分,将各安全域按边界、网络、主机及应用四个层次实施安全防护。
 
        按照国家电网“三级系统独立成域、二级系统统一成域”的要求,需对东北公司内网信息系统进行统一部署与调整,使分区调整后的信息系统既符合国家电网网络分区分域的规定,又满足东北公司信息系统后续发展要求,对现有业务平台进行有效整合,优化东北公司所有信息系统的管理,增强服务器的安全稳定运行,为日后的管理、扩容提供方便,全面落实国家电网公司信息系统运行维护工作。同时,针对东北公司现有数据中心网络系统架构进行优化,保证数据中心网络系统所承载的应用系统稳定运行。
        2009年东北公司搬迁至沈阳浑南新办公大楼。在保留原有网络架构的基础上,针对公司本部核心接入设备进行了一次升级,与此同时,划分了独立的网络数据中心。
        东北公司信息内网网络技术选用万兆和千兆以太网络技术,所有的帧格式全部选用以太网格式。
        东北公司信息内网为双核心的负载均衡的结构,它综合了双星形结构和环状结构的优点,既节省了链路,又能起到环状结构的路由冗余与备份的作用。它分为核心层、接入层两个层面。
        核心层:采用两台高性能路由交换机Catalyst 6513,应用VSS(虚拟交换系统)技术连接成双核心,提供高效的数据交换,提供到数据中心的高速、稳健的连接。
        接入层:采用万兆链路实现与核心层的骨干互联,为办公区内用户提供高性能无阻塞的数据交换能力,实现办公区内的VLAN部署,提高办公区内数据交换的安全性与灵活的可管理性,在办公区内实现千兆接入,并提供数据流量与安全的控制管理功能,实现QoS,支持多媒体数据传输,提供骨干链路的冗余。
        数据中心交换机采用两台高性能交换机Catalyst 6509,内置FWSM防火墙模块和IDS入侵检测模块,应用VSS(虚拟交换系统)技术连接成双核心,与核心层连接成环形,提供高效的数据交换,提供到数据中心的高速、稳健的连接。数据中心交换机上承载着各类重要应用系统的运行。
        两台交换机Catalyst 4506连接到Catalyst 6509,提供更多服务器的接入。
        本次改造新增10台交换机,以每两台为一组分别与核心交换机相连;属于三级系统的服务器接入的交换机分别通过万兆线路、路由模式上联到核心交换机上,独立分域,并通过虚拟防火墙进行安全防御;其他应用系统服务器属于二级系统,统一成域,接入的交换机使用万兆线路、TRUNK方式上联到核心交换机上,并通过虚拟防火墙进行安全防御。
        采用“核心层+接入层”的两层结构免去了多余的转发时间损耗,使整个网络能更快地传输数据。以万兆交换设备构建主干,实现千兆交换到终端,主干支持第三层交换技术,具有良好的可扩展性。当网络规模扩大时,网络无须进行太大调整即可以继续使用,轻松实现升级扩充。服务器网段划分虚拟子网(VLAN),保证网络内部数据的安全,同时可控制服务的优先级和质量,满足重要应用的带宽需求。
        采用Catalyst 6509内置防火墙模块划分虚拟防火墙,实现横向分域。根据信息系统的安全等级,采用部署虚拟防火墙及设置访问控制策略等技术措施进行安全域划分,每一个服务器网段对应一个虚拟防火墙,对各个安全域采用符合等级保护要求的技术措施进行防护。虚拟防火墙解决方案减少了网络的总拥有成本,随着业务发展,当业务划分发生变化或者产生新业务部门时,可以通过添加或者减少虚拟防火墙的方式,十分灵活地解决后续网络扩展的安全问题,提高网络安全防护能力,简化对防火墙的管理,有效降低网络安全防护所需的投资,并在一定程度上降低网络安全设备部署的复杂度。
        东北公司信息系统分区分域的改造,构建了一个安全可靠、性能卓越、易于管理的承载内部业务系统的数据中心网络平台,满足企业公文流转、集团视频会议、基建和生产现场实时监控、生产、计划、财务、人事、档案数据的传输和展现等多种业务的需求。
大云网官方微信售电那点事儿

责任编辑:何健

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞