内外网改造安全解决方案

《内外网改造安全解决方案》由会员分享，可在线阅读，更多相关《内外网改造安全解决方案（35页珍藏版）》请在装配图网上搜索。

1、中 石 化 内 外 网 改 造 解 决 方 案 n 内 外 网 隔 离 各 种 方 案 介 绍n 电 力 信 息 网 改 造 思 路n 参 考 案 例 分 享目 录 物 理 隔 离内 外 网 隔 离 方 案逻 辑 隔 离 广 域 网 、 局 域 网 均 物 理 隔 离局 域 网 物 理 隔 离 两 套 有 线 网 络新 建 一 套 无 线 网 络MPLS VPN+EAD隔 离VLAN+ACL隔 离 单 机 双 网 卡 +硬 盘 隔 离 卡双 机 单 网 卡单 机 单 网 卡 +硬 盘 隔 离 卡双 机 单 网 卡单 机 双 网 卡 +硬 盘 隔 离 卡 物 理 隔 离 方 案 介 绍 -电 力

2、 信 息 网 内 外 网 隔 离 方 案 电 力 二 次 系 统 数 据 网 络 总 体 策 略4、 纵 向 认 证 生 产 控 制 大 区 管 理 信 息 大 区 防 火 墙 实 时 VPN SPDnet 非 实 时 VPN IP认 证 加 密 装 置 安 全 区 I (实 时 控 制 区 ) 安 全 区 II (非 控 制 生 产 区 ) 安 全 区 III (生 产 管 理 区 ) 物理隔离装 置 安 全 区 IV (管 理 信 息 区 ) 外部公 共因特 网 生 产 VPN SPTnet 管 理 VPN 防火 墙 防 火 墙 防 火 墙 IP认 证 加 密 装 置 IP认 证 加 密

3、装 置 IP认 证 加 密 装 置 防 火 墙 防 火 墙 安 全 区 I (实 时 控 制 区 ) 防火墙 安 全 区 II (非 控 制 生 产 区 ) 物理隔 离装置 安 全 区 III (生 产 管 理 区 ) 防火墙 防火 墙 防火 墙 防火 墙 安 全 区 IV (管 理 信 息 区 ) 现 有 电 力 数 据 网 络 隔 离 情 况本 次 关 注区 域 电 力 信 息 网 络 安 全 隔 离 现 状 总 结实 现 了 调 度 与 管 理 网 络 的 横 向 物 理 隔 离国 网 区 域 电 网 省 网 地 市 纵 向 贯 通初 步 实 现 统 一 Internet出 口 (以 省

4、 为 单 位 )管 理 信 息 网 络 与 Internet有 逻 辑 连 接绝 大 部 分 网 省 没 有 部 署 综 合 接 入 认 证上 网 行 为 审 计 系 统 缺 乏非 法 外 联 缺 乏 有 效 监 控安 全 事 件 管 理 与 应 急 措 施 不 健 全 存 在 重 要 信 息 泄 露 的 隐 患 无 法 满 足 等 级保 护 的 要 求 改 造 目 标 电 力 信 息 系 统 是 涉 及 到 国 计 民 生 的 信 息 系 统 ， 一 旦 受 到 破 坏 ， 会 对 社会 秩 序 和 公 共 利 益 造 成 严 重 损 害 ， 或 者 对 国 家 安 全 造 成 （ 严 重

5、） 损 害 。 根据 国 家 对 信 息 安 全 保 障 工 作 的 要 求 ， 国 家 电 网 公 司 （ 以 下 简 称 “国 网 ”） 决定 在 全 公 司 系 统 实 施 网 络 与 信 息 安 全 隔 离 方 案 通 过 技 术 改 造 将 现 有 网络 划 分 为 信 息 内 网 和 信 息 外 网 并 实 施 有 效 的 安 全 隔 离 。 根 据 要 求 ， 国 网 下 属 各 网 XX电 力 、 地 市 电 业 局 以 及 三 产 公 司 等 国 网系 统 内 单 位 须 在 2008年 4月 前 完 成 过 渡 方 案 的 实 施 ， 在 一 年 半 内 完 成 整 体网

6、络 与 信 息 安 全 隔 离 工 作 。 根 据 国 网 公 司 下 发 文 件 的 要 求 ， 各 个 网 省 、 地区 、 县 现 有 网 络 都 不 得 与 Internet互 联 网 互 通 ， 必 须 建 设 与 内 网 物 理 隔 离的 信 息 系 统 ， 以 保 障 内 网 网 络 的 信 息 安 全 性 。 新 建 的 外 网 与 内 网 采 用 网 闸等 设 备 进 行 物 理 隔 离 ， 与 Internet采 取 逻 辑 隔 离 方 式 ， 确 保 外 网 信 息 正 常发 布 （ 营 销 、 信 息 、 招 投 标 等 ） 及 信 息 安 全 。 国 网 将 通 过

7、新 建 信 息 外 网 ， 完 善 域 名 解 析 、 防 病 毒 、 补 丁 管 理 ， 加 强 终 端 管 理 等 一 系 列 措 施 实 现 网 络与 信 息 系 统 目 标 安 全 架 构 。 现 有信 息网 络 改 造 后 信 息内 网信 息内 网 信 息外 网电 力 信 息 网 络 改 造 总 体 策 略 改 造 思 路 电 力 信 息 网 络 的 安 全 合 规 改 造 除 了 借 鉴 以 前 的 电 力 二 次 安 全 防 护 标准 外 (此 规 范 重 点 在 电 力 生 产 业 务 领 域 ,对 管 理 信 息 侧 没 有 提 出 实 施 细 则 ),应更 多 地 被 动

8、采 纳 国 家 计 算 机 安 全 防 护 等 级 标 准 ,其 他 重 要 行 业 如 政 府 、 金融 、 能 源 等 已 经 建 设 的 经 验 。 由 于 电 力 系 统 的 行 业 特 殊 性 及 部 分 业 务 （ 如 电 力 交 易 、 营 销 、 三 公信 息 等 ） 频 繁 网 上 交 互 的 特 点 ， 电 力 信 息 网 络 的 安 全 合 规 改 造 会 把 现 有 信息 网 络 改 造 成 为 电 力 信 息 内 网 ， 断 开 与 互 联 网 的 连 接 ， 重 新 规 划 一 套 网 络作 为 信 息 外 网 ， 可 能 会 部 署 独 立 的 外 网 终 端 。

9、 内 网 与 外 网 之 间 的 隔 离 方 式 目 前 存 在 争 议 ， 物 理 网 闸 的 方 式 对 现 有应 用 会 造 成 较 大 影 响 ， 尤 其 是 影 响 SG186部 分 试 点 业 务 的 推 广 ， 因 此 国 家电 网 认 为 可 采 用 防 火 墙 +强 安 全 策 略 的 逻 辑 隔 离 方 式 。 加 强 信 息 内 网 和 外 网 的 安 全 审 计 工 作 ， 通 过 终 端 安 全 控 制 ， 上 网 行为 监 控 ， 内 部 安 全 事 件 分 析 管 理 等 手 段 加 强 信 息 网 的 可 管 理 和 可 维 护 性 。 国 家 电 网 公 司

10、信 息 网 改 造 目 标 H3C电 力 内 外 网 安 全 改 造 方 案 综 述 SecBlade FW SSL VPN网 关H3C IPSSecPath IPSEAD终 端 控 制 软 件EAD安 全 策 略 管 理 中 心SecCenter安 全 管 理 中心IMC网 络 管 理 中 心网 管 中 心 内 网 服 务 器 区 网 通电 信EAD终 端 控 制 软 件H3C FW信 息 内 网 信 息 外 网H3C ACG外 网 服 务 器 区部 署 ACG应 用 控 制 产 品 实 现 Internter区 域 的 上 网 行 为 监 控 (行 为 监 管 解 决 方 案 )内 外 网

11、 之 间 使 用 FW和 SecBlade核 心 交 换 机 插 卡 产 品 完 成 内 外 网 之 间 强 策 略 控 制 (内 网 控 制 解 决 方 案 )采 用 EAD实 现 接 入 综 合 认 证 (内 网 控 制 解 决 方 案 )部 署 FW/IPS/UTM等 安 全 产 品 实 现 信 息 外 网 Internet边 界 防 护 （ 边 界 防 护 解 决 方 案 ）部 署 SSL VPN完 成 信 息 外 网 的 移 动 办 公 （ 远 程 安 全 接 入 解 决 方 案 ） 部 署 ASE/AFC/SecBalde FW对 SG186业 务 数 据 中 心 进 行 防 护

12、（ 数 据 中 心 保 护 解 决 方 案 ）部 署 SecCenter安 全 管 理 中 心 完 成 整 网 安 全 事 件 的 分 析 和 监 控 （ 统 一 安 全 管 理 平 台 ） 改 造 范 围l网 络 系 统 改 造 将 重 新 建 设 一 张 与 内 网 隔 离 的 网 络 （ 以 下 称 “信 息 外网 ”） ， 并 部 署 相 应 安 全 防 范 设 备 和 措 施 ， 保 障 信 息 、 数 据 的 安 全 发 布 ，避 免 可 能 的 信 息 泄 密 、 黑 客 、 病 毒 等 安 全 威 胁 。 网 络 主 体 可 考 虑 用 有 线 方式 、 WLAN无 线 方 式

13、 或 者 两 者 相 结 合 的 方 式 来 解 决 。l业 务 系 统 改 造 对 于 现 有 网 络 的 业 务 系 统 进 行 分 析 、 评 估 ， 对 于 确 实要 对 Internet发 布 信 息 的 业 务 系 统 和 服 务 器 平 台 ， 规 划 搬 迁 部 署 方 案 ， 将业 务 系 统 转 移 到 外 网 核 心 网 络 ， 对 外 网 用 户 提 供 相 应 服 务 ， 如 营 销 、 招 投标 系 统 等 。l接 入 终 端 改 造 可 采 用 单 PC方 式 或 者 双 PC方 式 解 决 。 单 PC方 式 下 ，采 用 PC机 加 装 硬 盘 隔 离 卡 的

14、 方 式 解 决 ， 终 端 改 造 投 资 低 ， 但 考 虑 到 安 装 、维 护 复 杂 ， 管 理 不 方 便 ， 建 议 采 用 双 PC方 式 解 决 。 整 个 系 统 改 造 主 要 是 网 络 系 统 和 业 务 系 统 建 设 部 分 ， 尤 其 是 业 务 系 统 ，必 须 充 分 考 虑 现 有 部 分 业 务 移 植 到 外 网 上 以 后 ， 如 何 继 续 正 常 开 展 业 务 功能 和 提 供 必 要 的 安 全 保 障 。 案 例 总 结 ： H3C电 力 内 外 网 安 全 方 案 SecBlade FW SSL VPN网 关H3C IPSSecPath

15、IPSSecPath ASEEAD终 端 控 制 软 件EAD安 全 策 略 管 理 中 心SecCenter安 全 管 理 中心IMC网 络 管 理 中 心网 管 中 心 内 网 服 务 器 区 网 通电 信EAD终 端 控 制 软 件H3C FW信 息 内 网 信 息 外 网H3C ACG外 网 服 务 器 区 边 界 防护 解 决方 案 行 为 监控 解 决方 案 远 程 安全 接 入解 决 方案 内 网 控制 解 决方 案数 据 中心 保 护解 决 方案统 一 安全 管 理平 台 佳 木 斯 牡 丹 江大 庆 绥 化 哈 尔 滨 鸡 西 鹤 岗 齐 齐 哈 尔 黑 河黑 龙 江 省 电

16、 力 公 司 信 息 外 网 大 兴 安 岭 哈 二 局 伊 春 千 兆 直 连155M ATM省 局 SR8805核 心 路 由 器ATM西部 环 网 ATM东部 环 网 155M POS 黑 龙 江 省 电 力 公 司 信 息 外 网 省 局 部 署 H3C万 兆 核 心 路 由 器 SR8805， 11个 地 市 电 业 局 部 署 H3C多 核 高端 路 由 器 SR6608； 同 时 ， 省 局 局 域 网 核 心 采 用 H3C S9512核 心 交 换 机 ， 并 且 采 用 S5500-EI千 兆 接 入 。 地 市 局 SR6608核 心 路 由 器 地 市 局 SR6608

17、核 心 路 由 器地 市 局 SR6608核 心 路 由 器 地 市 局 SR6608核 心 路 由 器 地 市 局 SR6608核 心 路 由 器 地 市 局 SR6608核 心 路 由 器地 市 局 SR6608核 心 路 由 器地 市 局 SR6608核 心 路 由 器 地 市 局 SR6608核 心 路 由 器 东 电 新 大 楼 外 网 服 务 器SecCenterS5100-EI IMC、 EAD服 务 器 EAD EAD EAD EAD S5100-EI SecBlade FW2SecBlade IPS2SecBlade LBS9500SecBlade FW S9500SecBl

18、ade FW中 电 飞 华 网 通 S7506E 逻 辑 隔 离 方 案 介 绍 n 二 层 VLAN： 二 层 隔 离 技 术 ， 在 三 层 终 结 。 不 易 扩 展 ， STP维 护 复 杂 、难 以 管 理 和 定 位 ， 适 合 小 型 网 络n 分 布 式 ACL： 需 要 严 格 的 策 略 控 制 ， 灵 活 性 差 ， 可 能 配 置 错 误 ， 扩展 性 、 管 理 性 差 ， 适 合 某 些 特 定 场 合n VRF/MPLS VPN： 三 层 隔 离 技 术 ， 业 务 隔 离 性 好 ， 每 个 VPN独 立转 发 表 ， 扩 展 性 好 。 支 持 多 种 灵 活

19、 的 接 入 方 式 ， 配 置 管 理 简 单 、 支持 QoS， 能 够 满 足 大 型 复 杂 园 区 的 应 用n 推 荐 组 合 ： VRF+MPLS VPN。 二 三 层 隔 离 的 融 合 ， 安 全 性 高 ， 避免 大 量 的 ACL配 置 问 题 ， 直 观 、 易 维 护 、 易 扩 展 n用 户 端 点 准 入 控 制n对 用 户 的 安 全 认 证 和 权 限 管 理 ， 使 用 H3C EAD解 决 方 案 （ 支 持portal、 802.1X、 VPN等 认 证 方 式 ） ， 在 接 入 边 缘 设 备 作 认 证n可 以 与 无 线 终 端 与 AP联 动

20、， 对 无 线 接 入 用 户 进 行 认 证n根 据 用 户 认 证 的 结 果 动 态 下 发 VPN归 属 ， 控 制 访 问 权 限n业 务 逻 辑 隔 离n共 用 物 理 网 络 ， 逻 辑 隔 离 使 用 VRF+MPLS VPN技 术n用 户 通 过 CEMCE设 备 接 入 ， 实 现 端 到 端 的 VPN隔 离n核 心 用 MPLS标 签 转 发 ， 控 制 PE设 备 VPN路 由 引 入 ， 建 立 专 用 的VPN转 发 通 道 ， 为 数 据 中 心 提 供 PE或 MCE接 口 ， 兼 容 数 据 中 心 内部 业 务 逻 辑 隔 离 和 物 理 隔 离 n支 持

21、 端 到 端 的 QoS n集 中 服 务 管 理n为 园 区 内 用 户 提 供 统 一 的 InternetWAN出 口 ， 进 行 集 中 监 控 、 管理n网 络 管 理 使 用 H3C iMC智 能 管 理 中 心 ， 内 嵌 的 MPLS VPN Manager支 持 对 MPLS VPN的 专 业 管 理n各 种 管 理 策 略 服 务 器 、 应 用 服 务 器 、 存 储 设 备 等 统 一 部 署 在 数据 中 心 ， 为 全 网 提 供 统 一 的 应 用 和 策 略 服 务n数 据 中 心 逻 辑 上 分 成 三 个 区 域 ：n内 部 专 有 数 据 区 ： 仅 为

22、单 部 门 或 业 务 提 供 服 务n内 部 共 享 数 据 区 ： 为 网 络 内 部 全 部 或 部 分 用 户 提 供 共 享 服 务 n外 部 服 务 区 ： 为 通 过 Internet接 入 的 用 户 提 供 应 用 服 务 ， 如 网 上 银 行 、门 户 网 站 等 PE vpn1 VPN2 vpn3 VPN4 用 户 名 ： 密 码 下 发 VLANCAMS：VLAN 对 应 VPNVLAN11 VPN1VLAN22 VPN2VLAN33 VPN3VLAN44 VPN4PE：vlan11vlan22vlan33vlan44 用 户 名 1： 密 码 VLAN11用 户 名

23、 2： 密 码 VLAN22用 户 名 3： 密 码 VLAN33用 户 名 4： 密 码 VLAN44 核 心 交 换 层网 管 中 心 汇 聚 层接 入 层数 据 中 心 FIT APFIT AP MCE/CEPEEAD认 证 MPLS VPN通 道企 业 /园 区 网 PE PEPE MCE/CE PP PPPE OSPFospf/静 态 路 由 /RIP MPLS L3 VPN提 供 端 到端 的 业 务 隔 离 能 力 ，并 且 通 过 RT属 性 控 制VPN间 业 务 互 访 园 区 网 络1.用 户 A可 访 问Internet， 不 能访 问 办 公 网 络2.用 户 A可

24、访 问办 公 网 络 ， 不 能访 问 Internet 3.用 户 B可 访 问办 公 网 络 ， A和 B访 问 权 限 不 同 用 户 A 用 户 B 用 户 C 用 户 D 办 公 网 络Internet 用 户 A、 B、 C、 D分 属 不 同 的 部 门 ，访 问 权 限 不 同用 户 多 次 获 取 不 同的 访 问 权 限 ， 满 足Internet、 办 公 上网 及 隔 离 的 要 求不 同 访 问 权 限 的 用户 安 全 隔 离 ， 以 免 资 源 被 非 法 访 问CAMS 园 区 网 络1.用 户 默 认 属 于Guest Vlan， 无须 认 证2. Inter

25、net与Guest Vlan能够 互 通 办 公 网 络GVLAN 10 GVLAN 20 GVLAN 30 GVLAN 40Internet 用 户 A 用 户 B 用 户 C 用 户 D 园 区 网 络2.动 态 VLAN与办 公 网 络 互 通 办 公 网 络Internet1.用 户 启 动 EAD认 证 ， 动 态 下 发VLAN和 ACL 用 户 A 用 户 B 用 户 C 用 户 DDVLAN 110 DVLAN 120 DVLAN 130 DVLAN 140 园 区 网 络1.用 户 分 配 多 个域 后 缀Internet，shuiwu等 ， 对应 多 个 服 务 办 公 网

26、 络DVLAN 10 DVLAN 20 DVLAN 30 DVLAN 140Internet 用 户 A 用 户 B 用 户 C 用 户 D2.用 户 使 用Internet认 证 ，下 发 Internet访问 权 限 3.用 户 D使 用caizheng认证 ， 下 发 财 政 访问 权 限 案 例 省 网 管 电 子 政务 中 心 SR8812 SR8812SR8812 内 网 汇 聚 1 内 网 汇 聚 2 内 网 汇 聚 3 内 网 汇 聚 4 内 网 汇 聚 5 内 网 汇 聚 12 内 网 汇 聚 11 内 网 汇 聚 10 内 网 汇 聚 9 内 网 汇 聚 8内 网 汇 聚

27、6内 网 汇 聚 7行 政 中 心 原 区 外 市级 远 程 接 入 单 位 网 管 中 心 市 属 远 程 拨 号 接入 单 位行 政 中 心 原 区 外 县区 远 程 接 入 单 位 MPLS-VPN P/PE区 域 核 心 设 备汇 聚 设 备 汇 聚 设 备 S7506E S7506E S7506E S7506E S7506ES7506E S7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506E昆 明 市 行 政 中 心 网 络 海 南 电 子 政 务 网WX5002 政 务 网 核 心 AP EADiMC 病 毒 库 补 丁 海 南 行 政 大

28、 楼 政 务 中 心接 入 交 换 机S3600/PWR 外 联 单 位 接 入 汇 聚 交 换 机S5626F S9512互 联 网 核 心S7506E 省 数 据 中 心服 务 器 接 入 交 换 机S5500EI 海 南 省 电 子 政 务 网 络 淄 博 电 子 政 务 外 网 服 务 器 群 广 州 市 电 子MPLS VPN防 火 墙 千 兆 光 纤千 兆 电S5500EI-PWR S9508（ 内 置 防 火 墙 ） S3600 S9508（ 内 置 防 火 墙 ）S3600S3600广 州 市 政 务 中 心 网 络 项 目 ， 整 网 采 用 H3C公 司 产 品 ， 涵 盖

29、 交 换 、 无 线 、 安 全 、 端 点 准 入 、 网 管 等 。 核 心 为 2台 S9508高 端 路 由 交换 机 ， 且 内 置 8G吞 吐 量 防 火 墙 插 卡 ， 启 用 MPLS功 能 ； 汇 聚 采 用 支 撑 远 程 供 电 的 S5500EI， 可 对 接 入 AP进 行 供 电 ， 且 具 备 MCE功能 ， 为 MPLS提 供 良 好 扩 展 能 力 ； 接 入 采 用 EAD端 点 准 入 ， 提 供 良 好 的 安 全 接 入 功 能 ， 配 备 无 线 AP提 供 FIT AP方 案 ， 为 政 务 大 厅 提供 灵 活 安 全 的 无 线 接 入 ； 整

30、 网 配 置 一 套 IMC智 能 管 理 中 心 ， 对 所 有 设 备 、 用 户 、 业 务 进 行 统 一 管 理 。S5500EI-PWR S5500EI-PWREAD客 户 端 WA2110-AGWA2110-AGWA2110-AG EAD客 户 端 EAD客 户 端 IMC智 能 管 理 中 心 H3C WX5002无 线 控 制 器广 州 市 政 务 服 务 中 心 中 心 机 房 大 孤 山 矿 机 房东 矿 机 房 绿 化 街 机 房 眼 矿 机 房 齐 大 山 机 房 iMC S9508 S9508 S7506ESDH S7506ES7506E弓 长 岭 S9508 S9508 S9508S9508 S7506E S7506E鞍 钢 ERP主 交 换 机 S3126SDH SDH大 连 矿 SDH 大 连 新 矿S3126S3126 复 洲 弯 矿瓦 房 子 锰 矿S3126 瓦 房 子 协 力S3126灯 塔 矿 选 厂 S7506ESDH 楼 屋 30台S3126 SDH 接 各 厂 矿 等 接 入 层 接 各 厂 矿 等 接 入 层 接 各 厂 矿 等 接 入 层 接 各 厂 矿 等 接 入 层接 各 厂 矿 等 接 入 层 鞍 钢 矿 山 网 络