san6for
蓮r l丁
深信服科技
供電企業雙網隔離工程在南
陽供電公司的實施
張庶(南陽供電公司資訊中心,河南南陽473000)
:摘要:雙網隔離建設是最近兩年國家電網公司(以下簡稱國網)所屬.nl ̄f7普遍實施的一項專項工程,
:即結合國網企業普遍存在的嚴峻的資訊保安現狀,以提高資訊網路安全為目的,將現有管理資訊網分
:為資訊內網和資訊外網,實行雙網隔離的一項工程。以南陽供電公司雙網隔離建設專案為例,詳細闡::
述了資訊外網建設的背景、原剛以及建設過程,並結合南陽供電公司實際情況,針對現有不同的網路 :
區域性情況提出了不同的改造思路關鍵詞:供電;雙網隔離;網路改造::
0引言隨著電網企業-n息化建設規模的不斷擴大,南陽供電公司近幾年來管理資訊網路規模也在迅速擴充套件,截至2009年底,企業網路規模覆蓋了1個1000kv南陽特高壓服務
網路應用的不斷深入,在網路管理維護中不斷遇到一系列新的問題,由於經驗不足和缺乏必要的技術手段,公司網路系統經常爆發區域性故障,有時甚至發生覆蓋面積較大的的網路癱瘓事件,嚴重影響了公司生產辦公效率和秩序。其中,病毒
基地、2個500kv變電站、16個220kv變電站、24個110kv變電站、
攻擊是引起網路故障的重要因素之一。
2005年,arp欺騙病毒曾經造
基於公司內部日益嚴峻的網路安全現狀,按照國家電網公司2007
公司主辦公大樓以及9個遠距離辦公部門的廣大區域。由於辦公生產的需要,公司於2003年在資訊網路核心交換機上通過防火牆接入互聯
成公司網路長達數週的網路通訊故障。經過長期總結分析,網際網路是絕大多數公司內部所查殺病毒的最終**;公司人員由於訪問網際網路
年11月資訊保安工作會議精神和網路安全隔離目標方案和計畫要求,南陽供電公司根據企業網路現狀,
網,以滿足公司人員的網際網路訪問需求。這種網際網路訪問方式的結構為:公司辦公網路和網際網路絡共用傳輸通道、共享交換裝置以及接入終端,即公司內部人員的辦公計算機,既是公司辦公網(內網)的終端微機,同時也是網際網路(外網)
一而使一些病毒感染電腦系統,進而通過網路檔案或是移動儲存介質進行相互傳遞再次感染到其他的辦公
計畫將現有管理資訊網路改造為資訊內網和資訊外網,兩網之間實現
電腦甚至資訊伺服器,造成病毒進步大範圍氾濫,從而威脅整個企
物理隔離,並以此為根本進一步採取措施在最大程度上杜絕辦公網路(-n息內網)的病毒**和資訊洩
業網路安全。2007年,資訊中心全
年故障報修**中,80%的事件是基於網路故障引起的。
密,提高資訊網路的安全性、穩定性、可靠性,保障供電企業正常的
2010年第8卷第6期
訪問的接入終端。但是,隨著公司
圇sangfor
灤僖服科技
交換裝置、防火牆、以及骨幹通道、配線
機房安裝外網核心交換機以及外網安全防禦系統和防病毒系統。因為外網核心交換機負責匯聚所有二級機房
(包括主樓二級機房和其他辦
通道將獨立使用,不再與資訊內網共享使
用。1實施主樓綜合
佈線根據工程設計方案,外網核心交換機及安全防禦系統是資訊外網建設的核心,需放置於主辦公樓中
心機房,因此,辦公
圖1資訊內網、資訊外網職能示意
主樓的外網建設必須
辦公生產秩序。雙網隔離工程實現首先啟動。
後的資訊內網、資訊外網各自所負南陽供電公司辦公主樓為24
責職能如圖1所示。
層,現設乙個中心機房以及6個二級
南陽供電公司雙網隔離工程於
機房。主樓內部現有的綜合佈線完2008年初開始實施,其實施的核心成於20世紀90年代中期,經過十幾
內容為建設資訊外網,實現內網應年的發展,主樓各辦公房間內所分用部分和外網互動部分分離。整個
布的可用資訊點較為緊張,已不能工程依次包括主辦公樓綜合佈線、滿足日常辦公需要;另外,主樓6個中心機房部署、主辦公樓二級機房
二級機房至中心機房的現有光纖通部署、外網範圍擴充套件等一系列建設道已經用盡;因此,主樓工程須要
環節。南陽供電公司雙網隔離建設進行新的綜合佈線。此項工程歷時2特點為:首先,此工程是在資訊內個月,完成了主樓從中心機房至6個
網、資訊外網共用通道、共用交換
二級機房的主通道佈線以及6個二級
機和終端、共同存在的情況下,實機房分別至各樓層房間的綜合布施單獨建設資訊外網,以達到兩網線。此分項工程結束後,共完成外
分離;其次,此工程所達到的效果網資訊點356個。通道敷設所使用的為,在建成後的整體資訊網路中,材料是:中心機房至6個二級機房主
內、外網終端計算機做到專網專
通道敷設材料為多模光纖(2處機房用,即在建成後的任何辦公房間之間最遠距離不超過50m),二級內,外網資訊點只能接人網際網路專機房間至各樓層辦公房間內敷設材用計算機,內網資訊點只能接入信
料為6類雙絞線。
息內網計算機;再者,此工程實施後,新的資訊外網系統將配備專用2實施中心機房部署
的核心交換機及網路安全防禦系
按照工程方案,在主樓佈線結統、防病毒系統,所有終端裝置、
束后,實施中心機房部署,在中心
2010年第8卷第6期
公區域二級機房)敷設過來的光纖通道,所以在專案此階段,中心機
房先期放置外網核心交換機,負責
一期匯聚6個主樓二級機房所部署的
6組二級交換機;從核心交換機到網際網路出口依次安裝網際網路訪問審計伺服器、入侵防禦系統和防火牆,
同時安裝防病毒管理伺服器,將該裝置直接接入外網核心交換機。該伺服器內裝防病毒軟體,專供外網計算機安裝使用。所有裝置集中在
乙個專用機櫃內。
3實施主樓二級機房部署
部署主樓二級機房是實現主辦
公樓外網建設的最後環節。在辦公主樓二級機房內,首先放置專門的外網機櫃,將光纖配線架等裝置進
行安裝,匯聚完成敷設至中心機房的光纖,同時安裝二級網路交換機至機櫃,利用光跳纖將其光纖介面
跳接至光配線架從而接入主幹通道;其次,在機櫃中安裝網線配線架,將各樓層辦公房間內敷設過來的雙絞線進行匯聚;最後,利用網
絡跳線,從網路配線架至二級網路交換機埠(電介面)進行跳接,從而完成了從房間內外網資訊插座至二級機房交換機的網路通道
(雙絞線)連線。二級網路交換機所採用裝置配置有2個光纖介面,乙個作為裝置級聯使用,另~個作為上聯至核心交換機使用。每個二級機房
內先期放置2臺二級網路交換機。按
照此方式,對主樓6個二級機房完成
部署。sangf0r
e}置g f≥ ≥
一深信服科技
主樓中心機房及二級機房部署完工後,主辦公樓的外網工程即實現完工。由於主樓外網建設是採用
機通過一對專用冗餘光纖通道,匯聚至主辦公大樓中心機房的外網核心交換機上。這種在機房進行的、利用現有內網冗餘資訊點進行網路
為「共享配架,各自接入」。
「共享配架,各自接人」示意
如圖3所示。
在此方案中,在該部門機房的
新的綜合佈線,並且所有的裝置及其整合都是獨立於現有資訊內網完成的,因此主樓的資訊外網與資訊
改造、實現「雙網隔離」的方式稱
配線架上,一部分資訊點負責專門
內網是物理隔離的,符合國網公司雙網隔離實施精神要求。主樓中心機房及二級機房部署如圖2所示。
4外網擴充套件工程
實施外網擴充套件,是南陽供電公
司雙網隔離建設專案的二期內容,即把資訊外網延伸到主辦公樓之外
的其他辦公院落。其建設原則為:首先要使用專用通道來連線這些單
位二級機房的二級交換機和中心機房的外網核心交換機;其次要在擴充套件單位辦公房間內,同樣要做到外網資訊點要專機專用,即外網的計
算機只能接人網際網路,內網計算機只能接入資訊內網。
南陽供電公司輸電工區坐落在2km ̄,b的辦公院落內,是進行外網擴充套件的第1個部門。在進行工程前期勘查時,工程人員發現,該部門的二級機房內存在有敷設至主辦公樓
圖2雙網隔離一主樓部署示意
千兆雙絞線光
纖外網網路跳線
中心機房的冗餘光纖,便決定採用
一對冗餘光纖作為該部門至主辦公
樓中心機房的外網專用通道;在勘查中,工程人員還了解到,該部f1所在樓字中分布的現有內網資訊
點,在每個房間內都存在或多或少內網交換機的冗餘,便決定利用每個房間內現
換有冗餘資訊點來作為外網專用資訊
點,同時在該部門(二級)機房內的網路配線架端,對這部分資訊點
內網網路跳線
也進行區別標識,將其網路跳線統
一歸攏,接入至新放置的外網二級
圖3雙網隔離示意
口配線架內網模組
口配線架外網模組
交換機中。新安裝的外網二級交換
2010年第8卷第6期
圈sangfor
深信服科技
接人內網,其網路跳線統一接入至各自接入」的方案;如果現有的資訊點不能滿足實際需要,則可以考
尚無放置於網際網路的業務伺服器,所以不需要在內、外網之間加裝邏輯強隔離裝置。建成後的外網與內網是物理隔離的。南陽供電公司外網拓撲圖如圖4所示。
內網交換機;而另一部分資訊點負責專門接入內網,其網路跳線統一接入至外網交換機。採用這種方法的實質是:將現有的網路配線系統從配線架上進行了相互分
(隔)慮重新進行該部門資訊外網的綜合佈線(雙絞線)。
依照此原則對南陽供電公司主辦公樓外9個辦公院落進行了外網建離,達到了各自(房間內)資訊點設,完成了外網擴充套件工程,在每個的各自接入。這種實施方案避免重辦公院落內都實現了雙網隔離。
新進行綜合佈線,從而節省了材料,也做到了資訊內網和資訊外網的物理分離。
5工程實施過程
南陽供電公司歷時5個月完成了然而,在雙網隔離建設過程雙網隔離專案,工程範圍覆蓋了主中,採用新的綜合佈線還是在現有
辦公樓(包括24個辦公樓層、6個二
配線系統上進行分離改造,建議根級機房)和9個遠距離辦公部門,完據具體部門的實際情況來定。例成外網資訊點部署896個,新增核心如:在光纖主幹通道建設方面,如交換機1臺,接入交換機30臺;全面
果1個二級機房不具備至核心交換機部署了網路版防病毒系統,網際網路的專用通道,則需要考慮重新敷設
審計系統、入侵檢測系統、防火
主樓圖4毅網隔離一外網拓撲圖
來滿足要求;在資訊點選取方面,牆,建成了完整的資訊外網網路和如果部門房間內的現有資訊點存在安全防禦系統,公司統一配置一批
整體性的冗餘,則可以考慮採用改辦公計算機,分配給各部門作為信造網路配線系統,即「共享配架,
息外網使用。現階段南陽供電公司
四2010年第8卷第6期
6結語雙網隔離專案完工後,外網即
投入使用,專門為公司人員提供互
聯網訪問等需求服務;資訊內網專門負責公司的辦公、生產等業務工作系統以及與省公司、縣供電局、**進行工作聯絡。南陽供電公司
在雙網隔離的基礎上,加強了網路查殺病毒管理、移動儲存介質使用、系統補丁統一分發等一系列措施,鞏固強壯了公司的內網和外網。外網投入執行一年多來,覆蓋
辦公大樓、二級辦公區域及變電站的資訊內網執行負載大大下降,
內、外網路均未發生過因病毒感
染、氾濫造成較大規模網路故障、
癱瘓等情況或其他安全資訊洩密情況;一年來,資訊中心故障報修中
屬於網路故障報修事件下降至l0%,且均屬於個別客戶端機器問題,網
絡故障率大大下降,內、外網路執行一直較為穩定,執行環境大為改善。
責任編輯楊娟
收稿日期
網路教育培訓系統在供電企業的構建與實踐
作者 呂鵬劉旭趙采珊 新一代 2009年第10期 摘要 佛山供電局始終把人才培養作為企業發展的重要戰略目標,按照現代人力資源管理對培訓的需要,構建起全員參與的網路教育培訓平台,配合傳統培訓,形成混合式的培訓方式,提公升培訓效能,解決工學矛盾。本文重點介紹了佛山供電局網路教育培訓系統的功能構成和推廣應...
芻議供電企業輸配電工程的建設管理
摘要 高壓輸電線路工程施工一般情況下都是在郊外作業,條件惡劣,交通不便,在山地 丘陵以及河谷 田野等地帶樹立桿塔,複雜多變的自然環境嚴重影響著輸配電工程的建設管理,另外,由於供電企業輸配電工程技術要求高,並且建設時間比較長,還有一些人為因素影響著工程的建設和管理,因此,我們必須加強管理,統籌規劃,合...
供電公司農網公升級改造工程施工組織設計
10kv 改造工程 施工組織設計 編制單位 公司 日期 2011年9月 編制 審核 批准 1 編制依據 2 工程概況及施工特點 3 施工方案 3.1線路複測 3.2工地運輸 3.3基礎施工 3.4電桿組立 3.5導線架設及附件安裝 4 工期 施工進度計畫安排 4.1施工計畫及保證工期的主要措施 5 ...