1、n 内外网隔离各种方案介绍内外网隔离各种方案介绍n 电力信息网改造思路电力信息网改造思路n 参考案例分享参考案例分享目录目录物理隔离物理隔离内外网隔离方案逻辑隔离逻辑隔离广域网、局域网均物理隔离广域网、局域网均物理隔离局域网物理隔离局域网物理隔离两套有线网络两套有线网络新建一套无线网络新建一套无线网络MPLS VPN+EADMPLS VPN+EAD隔离隔离VLAN+ACLVLAN+ACL隔离隔离单机双网卡单机双网卡+硬盘隔离卡硬盘隔离卡双机单网卡双机单网卡单机单网卡单机单网卡+硬盘隔离卡硬盘隔离卡双机单网卡双机单网卡单机双网卡单机双网卡+硬盘隔离卡硬盘隔离卡物理隔离方案介绍物理隔离方案介绍 -
2、电力信息网内外网隔离方案电力信息网内外网隔离方案电力二次系统数据网络总体策略4 4、纵向认证、纵向认证生产控制大区生产控制大区管理信息大区管理信息大区防火墙防火墙 实时VPN SPDnet 非实时VPN IP认证加密装置 安安全全区区I(实实时时控控制制区区)安安全全区区II(非非控控制制生生产产区区)安安全全区区III(生生产产管管理理区区)物理隔离装置 安安全全区区IV(管管理理信信息息区区)外部公共因特网 生产VPN SPTnet 管理VPN 防火墙 防火墙 防火墙 IP认证加密装置 IP认证加密装置 IP认证加密装置 防火墙 防火墙 安安全全区区I(实实时时控控制制区区)防火墙 安安全
3、全区区II(非非控控制制生生产产区区)物理隔离装置 安安全全区区III(生生产产管管理理区区)防火墙 防火墙 防火墙 防火墙 安安全全区区IV(管管理理信信息息区区)现有电力数据网络隔离情况本次关注区域电力信息网络安全隔离现状总结实现了调度与管理网络的横向物理隔离国网区域电网省网地市纵向贯通初步实现统一Internet出口(以省为单位)管理信息网络与Internet有逻辑连接绝大部分网省没有部署综合接入认证上网行为审计系统缺乏非法外联缺乏有效监控安全事件管理与应急措施不健全存在重要信息泄露的隐患无法满足等级无法满足等级保护的要求保护的要求6改造目标 电力信息系统是涉及到国计民生的信息系统,一旦
4、受到破坏,会对社会秩序和公共利益造成严重损害,或者对国家安全造成(严重)损害。根据国家对信息安全保障工作的要求,国家电网公司(以下简称“国网”)决定在全公司系统实施网络与信息安全隔离方案通过技术改造将现有网络划分为信息内网和信息外网并实施有效的安全隔离。根据要求,国网下属各网XX电力、地市电业局以及三产公司等国网系统内单位须在2008年4月前完成过渡方案的实施,在一年半内完成整体网络与信息安全隔离工作。根据国网公司下发文件的要求,各个网省、地区、县现有网络都不得与Internet互联网互通,必须建设与内网物理隔离的信息系统,以保障内网网络的信息安全性。新建的外网与内网采用网闸等设备进行物理隔离
5、,与Internet采取逻辑隔离方式,确保外网信息正常发布(营销、信息、招投标等)及信息安全。国网将通过新建信息外网,完善域名解析、防病毒、补丁管理,加强终端管理等一系列措施实现网络与信息系统目标安全架构。7现有现有信息信息网络网络改造后信息信息内网内网信息信息内网内网信息信息外网外网电力信息网络改造总体策略8改造思路 电力信息网络的安全合规改造除了借鉴以前的电力二次安全防护标准外(此规范重点在电力生产业务领域,对管理信息侧没有提出实施细则),应更多地被动采纳国家计算机安全防护等级标准,其他重要行业如政府、金融、能源等已经建设的经验。由于电力系统的行业特殊性及部分业务(如电力交易、营销、三公信
6、息等)频繁网上交互的特点,电力信息网络的安全合规改造会把现有信息网络改造成为电力信息内网,断开与互联网的连接,重新规划一套网络作为信息外网,可能会部署独立的外网终端。内网与外网之间的隔离方式目前存在争议,物理网闸的方式对现有应用会造成较大影响,尤其是影响SG186部分试点业务的推广,因此国家电网认为可采用防火墙+强安全策略的逻辑隔离方式。加强信息内网和外网的安全审计工作,通过终端安全控制,上网行为监控,内部安全事件分析管理等手段加强信息网的可管理和可维护性。9国家电网公司信息网改造目标国家电网公司信息网改造目标10H3C电力内外网安全改造方案综述SecBlade FWSSL VPN网关网关H3
7、C IPSSecPath IPSEAD终端控制软件EAD安全策略管理中心安全策略管理中心SecCenter安全管理中安全管理中心心IMC网络管理中心网络管理中心网管中心内网服务器区网通电信EAD终端控制软件H3C FW信息内网信息外网H3C ACG外网服务器区部署部署ACG应用控制产品实现应用控制产品实现Internter区域的上网行为监控区域的上网行为监控(行为监管解决方案行为监管解决方案)内外网之间使用内外网之间使用FW和和SecBlade核心交换机插卡产品完成内外网之间强策略控制核心交换机插卡产品完成内外网之间强策略控制(内网控制解决方案内网控制解决方案)采用采用EAD实现接入综合认证实
8、现接入综合认证(内网控制解决方案内网控制解决方案)部署部署FW/IPS/UTM等安全产品实现信息外网等安全产品实现信息外网Internet边界防护(边界防护解决方案)边界防护(边界防护解决方案)部署部署SSL VPN完成信息外网的移动办公(远程安全接入解决方案)完成信息外网的移动办公(远程安全接入解决方案)部署部署ASE/AFC/SecBalde FW对对SG186业务数据中心进行防护(数据中心保护解决方案)业务数据中心进行防护(数据中心保护解决方案)部署部署SecCenter安全管理中心完成整网安全事件的分析和监控(统一安全管理平台)安全管理中心完成整网安全事件的分析和监控(统一安全管理平台
9、)11改造范围l网络系统改造网络系统改造将重新建设一张与内网隔离的网络(以下称“信息外网”),并部署相应安全防范设备和措施,保障信息、数据的安全发布,避免可能的信息泄密、黑客、病毒等安全威胁。网络主体可考虑用有线方式、WLAN无线方式或者两者相结合的方式来解决。l业务系统改造业务系统改造对于现有网络的业务系统进行分析、评估,对于确实要对Internet发布信息的业务系统和服务器平台,规划搬迁部署方案,将业务系统转移到外网核心网络,对外网用户提供相应服务,如营销、招投标系统等。l接入终端改造接入终端改造可采用单PC方式或者双PC方式解决。单PC方式下,采用PC机加装硬盘隔离卡的方式解决,终端改造
10、投资低,但考虑到安装、维护复杂,管理不方便,建议采用双PC方式解决。整个系统改造主要是网络系统和业务系统建设部分,尤其是业务系统,必须充分考虑现有部分业务移植到外网上以后,如何继续正常开展业务功能和提供必要的安全保障。12案案 例例13总结:H3C电力内外网安全方案SecBlade FWSSL VPN网关网关H3C IPSSecPath IPSSecPath ASEEAD终端控制软件EAD安全策略管理中心安全策略管理中心SecCenter安全管理中安全管理中心心IMC网络管理中心网络管理中心网管中心内网服务器区网通电信EAD终端控制软件H3C FW信息内网信息外网H3C ACG外网服务器区边界
11、防边界防护解决护解决方案方案行为监行为监控解决控解决方案方案远程安远程安全接入全接入解决方解决方案案内网控内网控制解决制解决方案方案数据中数据中心保护心保护解决方解决方案案统一安统一安全管理全管理平台平台14佳木斯佳木斯牡丹江牡丹江大庆大庆绥化绥化哈尔滨哈尔滨鸡西鸡西鹤岗鹤岗齐齐哈尔齐齐哈尔黑河黑河黑龙江省电力公司信息外网黑龙江省电力公司信息外网大兴安岭大兴安岭哈二局哈二局伊春伊春千兆直连千兆直连155M ATM省局省局SR8805核心路由器核心路由器ATM西西部环网部环网 ATM东东部环网部环网 155M POS 黑龙江省电力公司信息外网省局部署黑龙江省电力公司信息外网省局部署H3C万兆核心
12、路由器万兆核心路由器SR8805,11个地市电业局部署个地市电业局部署H3C多核高多核高端路由器端路由器SR6608;同时,省局局域网核心采用;同时,省局局域网核心采用H3C S9512核心交换机,并且采用核心交换机,并且采用S5500-EI千兆接入。千兆接入。地市局地市局SR6608核心路由器核心路由器地市局地市局SR6608核心路由器核心路由器地市局地市局SR6608核心路由器核心路由器地市局地市局SR6608核心路由器核心路由器地市局地市局SR6608核心路由器核心路由器地市局地市局SR6608核心路由器核心路由器地市局地市局SR6608核心路由器核心路由器地市局地市局SR6608核心路
13、由器核心路由器地市局地市局SR6608核心路由器核心路由器15东电新大楼外网东电新大楼外网服务器SecCenterS5100-EIIMC、EAD服务器EADEADEADEADS5100-EISecBlade FW2SecBlade IPS2SecBlade LBS9500SecBlade FWS9500SecBlade FW中电飞华网通S7506E17逻辑隔离方案介绍逻辑隔离方案介绍 18n二层二层VLANVLAN:二层隔离技术,在三层终结。不易扩展,STP维护复杂、难以管理和定位,适合小型网络n分布式分布式ACLACL:需要严格的策略控制,灵活性差,可能配置错误,扩展性、管理性差,适合某些特
14、定场合nVRF/MPLS VPNVRF/MPLS VPN:三层隔离技术,业务隔离性好,每个VPN独立转发表,扩展性好。支持多种灵活的接入方式,配置管理简单、支持QoS,能够满足大型复杂园区的应用n推荐组合:推荐组合:VRF+MPLS VPN。二三层隔离的融合,安全性高,避免大量的ACL配置问题,直观、易维护、易扩展19n用户端点准入控制用户端点准入控制n对用户的安全认证和权限管理,使用H3C EAD解决方案(支持portal、802.1X、VPN等认证方式),在接入边缘设备作认证n可以与无线终端与AP联动,对无线接入用户进行认证n根据用户认证的结果动态下发VPN归属,控制访问权限n业务逻辑隔离
15、业务逻辑隔离n共用物理网络,逻辑隔离使用VRF+MPLS VPN技术n用户通过CEMCE设备接入,实现端到端的VPN隔离n核心用MPLS标签转发,控制PE设备VPN路由引入,建立专用的VPN转发通道,为数据中心提供PE或MCE接口,兼容数据中心内部业务逻辑隔离和物理隔离n支持端到端的QoS20n集中服务管理集中服务管理n为园区内用户提供统一的InternetWAN出口,进行集中监控、管理n网络管理使用H3C iMC智能管理中心,内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理n各种管理策略服务器、应用服务器、存储设备等统一部署在数据中心,为全网提供统一的应用和策略服务n数
16、据中心逻辑上分成三个区域:n内部专有数据区:仅为单部门或业务提供服务n内部共享数据区:为网络内部全部或部分用户提供共享服务n外部服务区:为通过Internet接入的用户提供应用服务,如网上银行、门户网站等21PEPEvpn1VPN2vpn3VPN4用户名:密码下发VLANCAMS:VLAN对应VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE:vlan11vlan22vlan33vlan44用户名1:密码 VLAN11用户名2:密码 VLAN22用户名3:密码 VLAN33用户名4:密码 VLAN22核心交换层网管中心网管中心汇聚层接入层数据中心数据中心
17、FIT APFIT APMCE/CEMCE/CEPEPEEADEAD认证认证MPLS VPNMPLS VPN通道通道企业企业/园区网园区网PEPEPEPEPEPEMCE/CEMCE/CEP PP PP PP PPEPEOSPFospf/静态路由/RIPMPLS L3 VPNMPLS L3 VPN提供端到提供端到端的业务隔离能力,端的业务隔离能力,并且通过并且通过RTRT属性控制属性控制VPNVPN间业务互访间业务互访23园区网络园区网络1.1.用户用户A A可访问可访问InternetInternet,不能,不能访问办公网络访问办公网络2.2.用户用户A A可访问可访问办公网络,不能办公网络,
18、不能访问访问InternetInternet3.3.用户用户B B可访问可访问办公网络,办公网络,A A和和B B访问权限不同访问权限不同用户用户A A用户用户B B用户用户CC用户用户D D办公网络办公网络InternetInternet用户用户A A、B B、CC、D D分属不同的部门,分属不同的部门,访问权限不同访问权限不同用户多次获取不同用户多次获取不同的访问权限,满足的访问权限,满足InternetInternet、办公上、办公上网及隔离的要求网及隔离的要求不同访问权限的用不同访问权限的用户安全隔离,以免户安全隔离,以免资源被非法访问资源被非法访问CAMS24园区网络园区网络1.1.
19、用户默认属于用户默认属于Guest VlanGuest Vlan,无,无须认证须认证2.2.Internet Internet与与Guest VlanGuest Vlan能能够互通够互通办公网络办公网络GVLAN 10GVLAN 10GVLAN 20GVLAN 20GVLAN 30GVLAN 30GVLAN 40GVLAN 40InternetInternet用户用户A A用户用户B B用户用户CC用户用户D D25园区网络园区网络2.2.动态动态VLANVLAN与与办公网络互通办公网络互通办公网络办公网络InternetInternet1.1.用户启动用户启动EADEAD认证,动态下发认证,
20、动态下发VLANVLAN和和ACLACL用户用户A A用户用户B B用户用户CC用户用户D DDVLAN 110DVLAN 110DVLAN 120DVLAN 120DVLAN 130DVLAN 130 DVLAN 140DVLAN 26园区网络园区网络1.1.用户分配多个用户分配多个域后缀域后缀InternetInternet,shuiwushuiwu等,对等,对应多个服务应多个服务办公网络办公网络DVLAN 10DVLAN 10DVLAN 20DVLAN 20DVLAN 30DVLAN 30DVLAN 140DVLAN 140InternetInternet用户用户A A用户用户B B用户
21、用户CC用户用户D D2.2.用户使用用户使用InternetInternet认证,认证,下发下发InternetInternet访访问权限问权限3.3.用户用户D D使用使用caizhengcaizheng认认证,下发财政访证,下发财政访问权限问权限27案案 例例28省网管电子政省网管电子政务中心务中心SR8812SR8812SR8812SR8812SR8812SR8812内网汇聚内网汇聚1 1 内网汇聚内网汇聚2 2内网汇聚内网汇聚3 3内网汇聚内网汇聚4 4内网汇聚内网汇聚5 5内网汇聚内网汇聚1212内网汇聚内网汇聚1111内网汇聚内网汇聚1010内网汇聚内网汇聚9 9内网汇聚内网汇聚
22、8 8内网汇聚内网汇聚6 6内网汇聚内网汇聚7 7行政中心原区外市行政中心原区外市级远程接入单位级远程接入单位网管中心网管中心市属远程拨号接市属远程拨号接入单位入单位行政中心原区外县行政中心原区外县区远程接入单位区远程接入单位MPLS-VPN P/PE区域核心设备核心设备汇聚设备汇聚设备汇聚设备汇聚设备S7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES750
23、6ES7506ES7506ES7506E昆明市行政中心网络昆明市行政中心网络29海南电子政务网海南电子政务网WX5002WX5002政务网核心政务网核心APEAD iMC 病毒库补丁海南行政大楼政务中心海南行政大楼政务中心接入接入交换机交换机S3600/PWRS3600/PWR外联单位接入外联单位接入汇聚交换机汇聚交换机S5626FS5626FS9512S9512互联网核心互联网核心S7506ES7506E省数据中心省数据中心服务器接入交换机服务器接入交换机S5500EIS5500EI海南省电子政务网络海南省电子政务网络30淄博电子政务外网淄博电子政务外网31服务器群服务器群广州市电子广州市电
24、子MPLS VPN防火墙防火墙千兆光纤千兆光纤千兆电千兆电S5500EI-PWRS9508(内置防火墙)(内置防火墙)S3600S9508(内置防火墙)(内置防火墙)S3600S3600广州市政务中心网络项目,整网采用H3C公司产品,涵盖交换、无线、安全、端点准入、网管等。核心为2台S9508高端路由交换机,且内置8G吞吐量防火墙插卡,启用MPLS功能;汇聚采用支撑远程供电的S5500EI,可对接入AP进行供电,且具备MCE功能,为MPLS提供良好扩展能力;接入采用EAD端点准入,提供良好的安全接入功能,配备无线AP提供FIT AP方案,为政务大厅提供灵活安全的无线接入;整网配置一套IMC智能
25、管理中心,对所有设备、用户、业务进行统一管理。S5500EI-PWRS5500EI-PWREAD客户端客户端 WA2110-AGWA2110-AGWA2110-AGEAD客户端客户端 EAD客户端客户端 IMC智能管理中心智能管理中心H3C WX5002无线控制器无线控制器广州市政务服务中心广州市政务服务中心32中心机房中心机房大孤山矿机房大孤山矿机房东矿机房东矿机房绿化街机房绿化街机房眼矿机房眼矿机房齐大山机房齐大山机房iMCS9508S9508S7506ESDHS7506ES7506E弓长岭弓长岭S9508S9508S9508S9508S7506ES7506E鞍钢鞍钢ERPERP主交换机主交换机S3126SDHSDH大连矿大连矿SDH大连新矿大连新矿S3126S3126复洲弯矿复洲弯矿瓦房子锰矿瓦房子锰矿S3126瓦房子协力瓦房子协力S3126灯塔矿灯塔矿选厂选厂S7506ESDH楼屋楼屋30台台S3126SDH接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层鞍钢矿山网络鞍钢矿山网络杭州华三通信技术有限公司