內(nèi)外網(wǎng)改造安全解決方案

中石化內(nèi)外網(wǎng)改造解決方案杭州華三通信技術(shù)公共事業(yè)技術(shù)部內(nèi)外網(wǎng)隔離各種方案介紹電力信息網(wǎng)改造思路參考案例分享目錄物理隔離內(nèi)外網(wǎng)隔離方案邏輯隔離廣域網(wǎng)、局域網(wǎng)均物理隔離局域網(wǎng)物理隔離兩套有線網(wǎng)絡(luò)新建一套無線網(wǎng)絡(luò)MPLSVPN+EAD隔離VLAN+ACL隔離單機雙網(wǎng)卡+硬盤隔離卡雙機單網(wǎng)卡單機單網(wǎng)卡+硬盤隔離卡雙機單網(wǎng)卡單機雙網(wǎng)卡+硬盤隔離卡物理隔離方案介紹

----電力信息網(wǎng)內(nèi)外網(wǎng)隔離方案電力二次系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)總體策略4、縱向認證3、橫向隔離電力通信/信息網(wǎng)或發(fā)電信息網(wǎng)控制區(qū)生產(chǎn)區(qū)管理區(qū)信息區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)生產(chǎn)控制大區(qū)管理信息大區(qū)防火墻2、網(wǎng)絡(luò)專用1、安全分區(qū)現(xiàn)有電力數(shù)據(jù)網(wǎng)絡(luò)隔離情況本次關(guān)注區(qū)域電力信息網(wǎng)絡(luò)平安隔離現(xiàn)狀總結(jié)實現(xiàn)了調(diào)度與管理網(wǎng)絡(luò)的橫向物理隔離國網(wǎng)\區(qū)域電網(wǎng)\省網(wǎng)\地市…縱向貫穿初步實現(xiàn)統(tǒng)一Internet出口(以省為單位)管理信息網(wǎng)絡(luò)與Internet有邏輯連接絕大局部網(wǎng)省沒有部署綜合接入認證上網(wǎng)行為審計系統(tǒng)缺乏非法外聯(lián)缺乏有效監(jiān)控平安事件管理與應(yīng)急措施不健全存在重要信息泄露的隱患無法滿足等級保護的要求改造目標(biāo)電力信息系統(tǒng)是涉及到國計民生的信息系統(tǒng)，一旦受到破壞，會對社會秩序和公共利益造成嚴重損害，或者對國家平安造成〔嚴重〕損害。根據(jù)國家對信息平安保障工作的要求，國家電網(wǎng)公司〔以下簡稱“國網(wǎng)〞〕決定在全公司系統(tǒng)實施網(wǎng)絡(luò)與信息平安隔離方案——通過技術(shù)改造將現(xiàn)有網(wǎng)絡(luò)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)并實施有效的平安隔離。根據(jù)要求，國網(wǎng)下屬各網(wǎng)XX電力、地市電業(yè)局以及三產(chǎn)公司等國網(wǎng)系統(tǒng)內(nèi)單位須在2021年4月前完成過渡方案的實施，在一年半內(nèi)完成整體網(wǎng)絡(luò)與信息平安隔離工作。根據(jù)國網(wǎng)公司下發(fā)文件的要求，各個網(wǎng)省、地區(qū)、縣現(xiàn)有網(wǎng)絡(luò)都不得與Internet互聯(lián)網(wǎng)互通，必須建設(shè)與內(nèi)網(wǎng)物理隔離的信息系統(tǒng)，以保障內(nèi)網(wǎng)網(wǎng)絡(luò)的信息平安性。新建的外網(wǎng)與內(nèi)網(wǎng)采用網(wǎng)閘等設(shè)備進行物理隔離，與Internet采取邏輯隔離方式，確保外網(wǎng)信息正常發(fā)布〔營銷、信息、招投標(biāo)等〕及信息平安。國網(wǎng)將通過新建信息外網(wǎng)，完善域名解析、防病毒、補丁管理，加強終端管理等一系列措施實現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)目標(biāo)平安架構(gòu)?，F(xiàn)有信息網(wǎng)絡(luò)改造后信息內(nèi)網(wǎng)信息內(nèi)網(wǎng)信息外網(wǎng)電力信息網(wǎng)絡(luò)改造總體策略改造思路電力信息網(wǎng)絡(luò)的平安合規(guī)改造除了借鑒以前的電力二次平安防護標(biāo)準(zhǔn)外(此標(biāo)準(zhǔn)重點在電力生產(chǎn)業(yè)務(wù)領(lǐng)域,對管理信息側(cè)沒有提出實施細那么),應(yīng)更多地被動采納國家計算機平安防護等級標(biāo)準(zhǔn),其他重要行業(yè)如政府、金融、能源等已經(jīng)建設(shè)的經(jīng)驗。由于電力系統(tǒng)的行業(yè)特殊性及局部業(yè)務(wù)〔如電力交易、營銷、三公信息等〕頻繁網(wǎng)上交互的特點，電力信息網(wǎng)絡(luò)的平安合規(guī)改造會把現(xiàn)有信息網(wǎng)絡(luò)改造成為電力信息內(nèi)網(wǎng)，斷開與互聯(lián)網(wǎng)的連接，重新規(guī)劃一套網(wǎng)絡(luò)作為信息外網(wǎng)，可能會部署獨立的外網(wǎng)終端。內(nèi)網(wǎng)與外網(wǎng)之間的隔離方式目前存在爭議，物理網(wǎng)閘的方式對現(xiàn)有應(yīng)用會造成較大影響，尤其是影響SG186局部試點業(yè)務(wù)的推廣，因此國家電網(wǎng)認為可采用防火墻+強平安策略的邏輯隔離方式。加強信息內(nèi)網(wǎng)和外網(wǎng)的平安審計工作，通過終端平安控制，上網(wǎng)行為監(jiān)控，內(nèi)部平安事件分析管理等手段加強信息網(wǎng)的可管理和可維護性。國家電網(wǎng)公司信息網(wǎng)改造目標(biāo)H3C電力內(nèi)外網(wǎng)平安改造方案綜述SecBladeFWSSLVPN網(wǎng)關(guān)H3CIPSSecPathIPSEAD終端控制軟件EAD平安策略管理中心SecCenter平安管理中心IMC網(wǎng)絡(luò)管理中心網(wǎng)管中心內(nèi)網(wǎng)效勞器區(qū)網(wǎng)通電信EAD終端控制軟件H3CFW信息內(nèi)網(wǎng)信息外網(wǎng)H3CACG外網(wǎng)效勞器區(qū)部署ACG應(yīng)用控制產(chǎn)品實現(xiàn)Internter區(qū)域的上網(wǎng)行為監(jiān)控(行為監(jiān)管解決方案)內(nèi)外網(wǎng)之間使用FW和SecBlade核心交換機插卡產(chǎn)品完成內(nèi)外網(wǎng)之間強策略控制(內(nèi)網(wǎng)控制解決方案)采用EAD實現(xiàn)接入綜合認證(內(nèi)網(wǎng)控制解決方案)部署FW/IPS/UTM等平安產(chǎn)品實現(xiàn)信息外網(wǎng)Internet邊界防護〔邊界防護解決方案〕部署SSLVPN完成信息外網(wǎng)的移動辦公〔遠程平安接入解決方案〕部署ASE/AFC/SecBaldeFW對SG186業(yè)務(wù)數(shù)據(jù)中心進行防護〔數(shù)據(jù)中心保護解決方案〕部署SecCenter平安管理中心完成整網(wǎng)平安事件的分析和監(jiān)控〔統(tǒng)一平安管理平臺〕改造范圍網(wǎng)絡(luò)系統(tǒng)改造——將重新建設(shè)一張與內(nèi)網(wǎng)隔離的網(wǎng)絡(luò)〔以下稱“信息外網(wǎng)〞〕，并部署相應(yīng)平安防范設(shè)備和措施，保障信息、數(shù)據(jù)的平安發(fā)布，防止可能的信息泄密、黑客、病毒等平安威脅。網(wǎng)絡(luò)主體可考慮用有線方式、WLAN無線方式或者兩者相結(jié)合的方式來解決。業(yè)務(wù)系統(tǒng)改造——對于現(xiàn)有網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)進行分析、評估，對于確實要對Internet發(fā)布信息的業(yè)務(wù)系統(tǒng)和效勞器平臺，規(guī)劃搬遷部署方案，將業(yè)務(wù)系統(tǒng)轉(zhuǎn)移到外網(wǎng)核心網(wǎng)絡(luò)，對外網(wǎng)用戶提供相應(yīng)效勞，如營銷、招投標(biāo)系統(tǒng)等。接入終端改造——可采用單PC方式或者雙PC方式解決。單PC方式下，采用PC機加裝硬盤隔離卡的方式解決，終端改造投資低，但考慮到安裝、維護復(fù)雜，管理不方便，建議采用雙PC方式解決。整個系統(tǒng)改造主要是網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)建設(shè)局部，尤其是業(yè)務(wù)系統(tǒng)，必須充分考慮現(xiàn)有局部業(yè)務(wù)移植到外網(wǎng)上以后，如何繼續(xù)正常開展業(yè)務(wù)功能和提供必要的平安保障。案例總結(jié)：H3C電力內(nèi)外網(wǎng)平安方案SecBladeFWSSLVPN網(wǎng)關(guān)H3CIPSSecPathIPSSecPathASEEAD終端控制軟件EAD平安策略管理中心SecCenter平安管理中心IMC網(wǎng)絡(luò)管理中心網(wǎng)管中心內(nèi)網(wǎng)效勞器區(qū)網(wǎng)通電信EAD終端控制軟件H3CFW信息內(nèi)網(wǎng)信息外網(wǎng)H3CACG外網(wǎng)效勞器區(qū)邊界防護解決方案行為監(jiān)控解決方案遠程平安接入解決方案內(nèi)網(wǎng)控制解決方案數(shù)據(jù)中心保護解決方案統(tǒng)一平安管理平臺佳木斯牡丹江大慶綏化哈爾濱雞西鶴崗齊齊哈爾黑河黑龍江省電力公司信息外網(wǎng)大興安嶺哈二局伊春千兆直連155MATM省局SR8805核心路由器ATM西部環(huán)網(wǎng)ATM東部環(huán)網(wǎng)155MPOS

黑龍江省電力公司信息外網(wǎng)省局部署H3C萬兆核心路由器SR8805，11個地市電業(yè)局部署H3C多核高端路由器SR6608；同時，省局局域網(wǎng)核心采用H3CS9512核心交換機，并且采用S5500-EI千兆接入。地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器東電新大樓外網(wǎng)效勞器SecCenterS5100-EIIMC、EAD效勞器EADEADEADEADS5100-EISecBladeFW×2SecBladeIPS×2SecBladeLBS9500SecBladeFWS9500SecBladeFW中電飛華網(wǎng)通S7506E湖北電力公司總部信息外網(wǎng)邏輯隔離方案介紹

園區(qū)網(wǎng)虛擬化關(guān)鍵技術(shù)二層VLAN：二層隔離技術(shù)，在三層終結(jié)。不易擴展，STP維護復(fù)雜、難以管理和定位，適合小型網(wǎng)絡(luò)分布式ACL：需要嚴格的策略控制，靈活性差，可能配置錯誤，擴展性、管理性差，適合某些特定場合VRF/MPLSVPN：三層隔離技術(shù)，業(yè)務(wù)隔離性好，每個VPN獨立轉(zhuǎn)發(fā)表，擴展性好。支持多種靈活的接入方式，配置管理簡單、支持QoS，能夠滿足大型復(fù)雜園區(qū)的應(yīng)用推薦組合：VRF+MPLSVPN。二三層隔離的融合，平安性高，防止大量的ACL配置問題，直觀、易維護、易擴展架構(gòu)分解用戶端點準(zhǔn)入控制對用戶的平安認證和權(quán)限管理，使用H3CEAD解決方案〔支持portal、802.1X、VPN等認證方式〕，在接入邊緣設(shè)備作認證可以與無線終端與AP聯(lián)動，對無線接入用戶進行認證根據(jù)用戶認證的結(jié)果動態(tài)下發(fā)VPN歸屬，控制訪問權(quán)限業(yè)務(wù)邏輯隔離共用物理網(wǎng)絡(luò)，邏輯隔離使用VRF+MPLSVPN技術(shù)用戶通過CE\MCE設(shè)備接入，實現(xiàn)端到端的VPN隔離核心用MPLS標(biāo)簽轉(zhuǎn)發(fā)，控制PE設(shè)備VPN路由引入，建立專用的VPN轉(zhuǎn)發(fā)通道，為數(shù)據(jù)中心提供PE或MCE接口，兼容數(shù)據(jù)中心內(nèi)部業(yè)務(wù)邏輯隔離和物理隔離支持端到端的QoS架構(gòu)分解〔續(xù)〕集中效勞管理為園區(qū)內(nèi)用戶提供統(tǒng)一的Internet\WAN出口，進行集中監(jiān)控、管理網(wǎng)絡(luò)管理使用H3CiMC智能管理中心，內(nèi)嵌的MPLSVPNManager支持對MPLSVPN的專業(yè)管理各種管理\策略效勞器、應(yīng)用效勞器、存儲設(shè)備等統(tǒng)一部署在數(shù)據(jù)中心，為全網(wǎng)提供統(tǒng)一的應(yīng)用和策略效勞數(shù)據(jù)中心邏輯上分成三個區(qū)域：內(nèi)部專有數(shù)據(jù)區(qū)：僅為單部門或業(yè)務(wù)提供效勞內(nèi)部共享數(shù)據(jù)區(qū)：為網(wǎng)絡(luò)內(nèi)部全部或局部用戶提供共享效勞外部效勞區(qū)：為通過Internet接入的用戶提供給用效勞，如網(wǎng)上銀行、門戶網(wǎng)站等接入控制—訪問權(quán)限動態(tài)下發(fā)PEvpn1VPN2vpn3VPN4用戶名：密碼下發(fā)VLANCAMS：VLAN對應(yīng)VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE：vlan11vlan22vlan33vlan44用戶名1：密碼VLAN11用戶名2：密碼VLAN22用戶名3：密碼VLAN33用戶名4：密碼VLAN44通道隔離—端到端的業(yè)務(wù)邏輯隔離核心交換層網(wǎng)管中心會聚層接入層數(shù)據(jù)中心FITAPFITAPMCE/CEPEEAD認證MPLSVPN通道企業(yè)/園區(qū)網(wǎng)PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIPMPLSL3VPN提供端到端的業(yè)務(wù)隔離能力，并且通過RT屬性控制VPN間業(yè)務(wù)互訪方案討論—靈活業(yè)務(wù)訪問模式園區(qū)網(wǎng)絡(luò)1.用戶A可訪問Internet，不能訪問辦公網(wǎng)絡(luò)2.用戶A可訪問辦公網(wǎng)絡(luò)，不能訪問Internet3.用戶B可訪問辦公網(wǎng)絡(luò)，A和B訪問權(quán)限不同用戶A用戶B用戶C用戶D辦公網(wǎng)絡(luò)Internet用戶A、B、C、D分屬不同的部門，訪問權(quán)限不同用戶屢次獲取不同的訪問權(quán)限，滿足Internet、辦公上網(wǎng)及隔離的要求不同訪問權(quán)限的用戶平安隔離，以免資源被非法訪問CAMS實現(xiàn)方式一：GuestVlan+EAD園區(qū)網(wǎng)絡(luò)1.用戶默認屬于GuestVlan，無須認證2.Internet與GuestVlan能夠互通辦公網(wǎng)絡(luò)GVLAN10GVLAN20GVLAN30GVLAN40Internet用戶A用戶B用戶C用戶D實現(xiàn)方式一：GuestVlan+EAD園區(qū)網(wǎng)絡(luò)2.動態(tài)VLAN與辦公網(wǎng)絡(luò)互通辦公網(wǎng)絡(luò)Internet1.用戶啟動EAD認證，動態(tài)下發(fā)VLAN和ACL用戶A用戶B用戶C用戶DDVLAN110DVLAN120DVLAN130DVLAN140實現(xiàn)方式二：EAD多效勞認證園區(qū)網(wǎng)絡(luò)1.用戶分配多個域后綴@Internet，@shuiwu等，對應(yīng)多個效勞辦公網(wǎng)絡(luò)DVLAN10DVLAN20DVLAN30DVLAN140Internet用戶A用戶B用戶C用戶D2.用戶使用@Internet認證，下發(fā)Internet訪問權(quán)限3.用戶D使用@caizheng認證，下發(fā)財政訪問權(quán)限案例省網(wǎng)管電子政務(wù)中心SR8812SR8812SR8812內(nèi)網(wǎng)會聚1內(nèi)網(wǎng)會聚2內(nèi)網(wǎng)會聚3內(nèi)網(wǎng)會聚4內(nèi)網(wǎng)會聚5內(nèi)網(wǎng)會聚12內(nèi)網(wǎng)會聚11內(nèi)網(wǎng)會聚10內(nèi)網(wǎng)會聚9內(nèi)網(wǎng)會聚8內(nèi)網(wǎng)會聚6內(nèi)網(wǎng)會聚7行政中心原區(qū)外市級遠程接入單位網(wǎng)管中心市屬遠程撥號接入單位行政中心原區(qū)外縣區(qū)遠程接入單位MPLS-VPNP/PE區(qū)域核心設(shè)備會聚設(shè)備會聚設(shè)備S7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506E昆明市行政中心網(wǎng)絡(luò)海南電子政務(wù)網(wǎng)WX5002政務(wù)網(wǎng)核心AP效勞器區(qū)EADiMC病毒庫補丁海南行政大樓政務(wù)中心接入交換機S3600/PWR外聯(lián)單位接入會聚交換機S5626FS9512互聯(lián)網(wǎng)核心S7506E省數(shù)據(jù)中心效勞器接入交換機S5500EI海南省電子政務(wù)網(wǎng)絡(luò).淄博電子政務(wù)外網(wǎng).效勞器群廣州市電子MPLSVPN防火墻千兆光纖千兆電S5500EI-PWRS9508〔內(nèi)置防火墻〕S3600S9508〔內(nèi)置防火墻〕S3600S3600廣州市政務(wù)中心網(wǎng)