《内外网改造安全解决方案课件.pptx》由会员分享,可在线阅读,更多相关《内外网改造安全解决方案课件.pptx(34页珍藏版)》请在三一办公上搜索。
1、内外网隔离各种方案介绍电力信息网改造思路参考案例分享,目录,物理隔离,内外网隔离方案,逻辑隔离,广域网、局域网均物理隔离,局域网物理隔离,两套有线网络,新建一套无线网络,MPLS VPN+EAD隔离,VLAN+ACL隔离,单机双网卡+硬盘隔离卡,双机单网卡,单机单网卡+硬盘隔离卡,双机单网卡,单机双网卡+硬盘隔离卡,物理隔离方案介绍 -电力信息网内外网隔离方案,电力二次系统数据网络总体策略,现有电力数据网络隔离情况,本次关注区域,电力信息网络安全隔离现状总结,实现了调度与管理网络的横向物理隔离国网区域电网省网地市纵向贯通初步实现统一Internet出口(以省为单位)管理信息网络与Interne
2、t有逻辑连接绝大部分网省没有部署综合接入认证上网行为审计系统缺乏非法外联缺乏有效监控安全事件管理与应急措施不健全存在重要信息泄露的隐患,无法满足等级保护的要求,改造目标,电力信息系统是涉及到国计民生的信息系统,一旦受到破坏,会对社会秩序和公共利益造成严重损害,或者对国家安全造成(严重)损害。根据国家对信息安全保障工作的要求,国家电网公司(以下简称“国网”)决定在全公司系统实施网络与信息安全隔离方案通过技术改造将现有网络划分为信息内网和信息外网并实施有效的安全隔离。 根据要求,国网下属各网XX电力、地市电业局以及三产公司等国网系统内单位须在2008年4月前完成过渡方案的实施,在一年半内完成整体网
3、络与信息安全隔离工作。根据国网公司下发文件的要求,各个网省、地区、县现有网络都不得与Internet互联网互通,必须建设与内网物理隔离的信息系统,以保障内网网络的信息安全性。新建的外网与内网采用网闸等设备进行物理隔离,与Internet采取逻辑隔离方式,确保外网信息正常发布(营销、信息、招投标等)及信息安全。国网将通过新建信息外网,完善域名解析、防病毒、补丁管理,加强终端管理等一系列措施实现网络与信息系统目标安全架构。,现有信息网络,改造后,信息内网,信息内网,信息外网,电力信息网络改造总体策略,改造思路,电力信息网络的安全合规改造除了借鉴以前的电力二次安全防护标准外(此规范重点在电力生产业务
4、领域,对管理信息侧没有提出实施细则),应更多地被动采纳国家计算机安全防护等级标准,其他重要行业如政府、金融、能源等已经建设的经验。 由于电力系统的行业特殊性及部分业务(如电力交易、营销、三公信息等)频繁网上交互的特点,电力信息网络的安全合规改造会把现有信息网络改造成为电力信息内网,断开与互联网的连接,重新规划一套网络作为信息外网,可能会部署独立的外网终端。 内网与外网之间的隔离方式目前存在争议,物理网闸的方式对现有应用会造成较大影响,尤其是影响SG186部分试点业务的推广,因此国家电网认为可采用防火墙+强安全策略的逻辑隔离方式。 加强信息内网和外网的安全审计工作,通过终端安全控制,上网行为监控
5、,内部安全事件分析管理等手段加强信息网的可管理和可维护性。,国家电网公司信息网改造目标,H3C电力内外网安全改造方案综述,SecBlade FW,SSL VPN网关,H3C IPS,SecPath IPS,EAD终端控制软件,EAD安全策略管理中心SecCenter安全管理中心IMC网络管理中心,网管中心,内网服务器区,网通,电信,EAD终端控制软件,H3C FW,信息内网,信息外网,H3C ACG,外网服务器区,部署ACG应用控制产品实现Internter区域的上网行为监控(行为监管解决方案)内外网之间使用FW和SecBlade核心交换机插卡产品完成内外网之间强策略控制(内网控制解决方案)采
6、用EAD实现接入综合认证(内网控制解决方案)部署FW/IPS/UTM等安全产品实现信息外网Internet边界防护(边界防护解决方案)部署SSL VPN完成信息外网的移动办公(远程安全接入解决方案)部署ASE/AFC/SecBalde FW对SG186业务数据中心进行防护(数据中心保护解决方案)部署SecCenter安全管理中心完成整网安全事件的分析和监控(统一安全管理平台),改造范围,网络系统改造将重新建设一张与内网隔离的网络(以下称“信息外网”),并部署相应安全防范设备和措施,保障信息、数据的安全发布,避免可能的信息泄密、黑客、病毒等安全威胁。网络主体可考虑用有线方式、WLAN无线方式或者
7、两者相结合的方式来解决。业务系统改造对于现有网络的业务系统进行分析、评估,对于确实要对Internet发布信息的业务系统和服务器平台,规划搬迁部署方案,将业务系统转移到外网核心网络,对外网用户提供相应服务,如营销、招投标系统等。接入终端改造可采用单PC方式或者双PC方式解决。单PC方式下,采用PC机加装硬盘隔离卡的方式解决,终端改造投资低,但考虑到安装、维护复杂,管理不方便,建议采用双PC方式解决。 整个系统改造主要是网络系统和业务系统建设部分,尤其是业务系统,必须充分考虑现有部分业务移植到外网上以后,如何继续正常开展业务功能和提供必要的安全保障。,案 例,总结:H3C电力内外网安全方案,Se
8、cBlade FW,SSL VPN网关,H3C IPS,SecPath IPSSecPath ASE,EAD终端控制软件,EAD安全策略管理中心SecCenter安全管理中心IMC网络管理中心,网管中心,内网服务器区,网通,电信,EAD终端控制软件,H3C FW,信息内网,信息外网,H3C ACG,外网服务器区,边界防护解决方案,行为监控解决方案,远程安全接入解决方案,内网控制解决方案,数据中心保护解决方案,统一安全管理平台,佳木斯,牡丹江,大庆,绥化,哈尔滨,鸡西,鹤岗,齐齐哈尔,黑河,黑龙江省电力公司信息外网,大兴安岭,哈二局,伊春,千兆直连,155M ATM,省局SR8805核心路由器,
9、ATM西部环网,ATM东部环网,155M POS,黑龙江省电力公司信息外网省局部署H3C万兆核心路由器SR8805,11个地市电业局部署H3C多核高端路由器SR6608;同时,省局局域网核心采用H3C S9512核心交换机,并且采用S5500-EI千兆接入。,地市局SR6608核心路由器,地市局SR6608核心路由器,地市局SR6608核心路由器,地市局SR6608核心路由器,地市局SR6608核心路由器,地市局SR6608核心路由器,地市局SR6608核心路由器,地市局SR6608核心路由器,地市局SR6608核心路由器,东电新大楼外网,服务器,SecCenter,S5100-EI,IMC、
10、EAD服务器,EAD,EAD,EAD,EAD,S5100-EI,SecBlade FW2SecBlade IPS2SecBlade LB,S9500SecBlade FW,S9500SecBlade FW,中电飞华,网通,S7506E,湖北电力公司总部信息外网,逻辑隔离方案介绍,园区网虚拟化关键技术,二层VLAN:二层隔离技术,在三层终结。不易扩展,STP维护复杂、难以管理和定位,适合小型网络分布式ACL:需要严格的策略控制,灵活性差,可能配置错误,扩展性、管理性差,适合某些特定场合VRF/MPLS VPN:三层隔离技术,业务隔离性好,每个VPN独立转发表, 扩展性好。 支持多种灵活的接入方式
11、,配置管理简单、支持QoS,能够满足大型复杂园区的应用推荐组合:VRF+MPLS VPN。二三层隔离的融合,安全性高,避免大量的ACL配置问题,直观、易维护、易扩展,架构分解,用户端点准入控制对用户的安全认证和权限管理,使用H3C EAD解决方案(支持portal、802.1X、VPN等认证方式),在接入边缘设备作认证可以与无线终端与AP联动,对无线接入用户进行认证根据用户认证的结果动态下发VPN归属,控制访问权限业务逻辑隔离共用物理网络,逻辑隔离使用VRF+MPLS VPN技术用户通过CEMCE设备接入,实现端到端的VPN隔离核心用MPLS标签转发,控制PE设备VPN路由引入,建立专用的VP
12、N转发通道,为数据中心提供PE或MCE接口,兼容数据中心内部业务逻辑隔离和物理隔离支持端到端的QoS,架构分解(续),集中服务管理为园区内用户提供统一的InternetWAN出口,进行集中监控、管理网络管理使用H3C iMC智能管理中心,内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理各种管理策略服务器、应用服务器、存储设备等统一部署在数据中心,为全网提供统一的应用和策略服务数据中心逻辑上分成三个区域:内部专有数据区:仅为单部门或业务提供服务内部共享数据区:为网络内部全部或部分用户提供共享服务外部服务区:为通过Internet接入的用户提供应用服务,如网上银行、门户网站等
13、,接入控制访问权限动态下发,PE,vpn1,VPN2,vpn3,VPN4,CAMS:,PE:,vlan11,vlan22,vlan33,vlan44,用户名1:密码 VLAN11,用户名2:密码 VLAN22,用户名3:密码 VLAN33,用户名4:密码 VLAN44,通道隔离端到端的业务逻辑隔离,核心交换层,网管中心,汇聚层,接入层,数据中心,MCE/CE,PE,EAD认证,MPLS VPN通道,企业/园区网,PE,PE,PE,MCE/CE,P,P,P,P,PE,OSPF,ospf/静态路由/RIP,MPLS L3 VPN提供端到端的业务隔离能力,并且通过RT属性控制VPN间业务互访,方案讨
14、论灵活业务访问模式,园区网络,1.用户A可访问Internet,不能访问办公网络,2.用户A可访问办公网络,不能访问Internet,3.用户B可访问办公网络,A和B访问权限不同,用户A,用户B,用户C,用户D,办公网络,Internet,用户A、B、C、D分属不同的部门,访问权限不同,用户多次获取不同的访问权限,满足Internet、办公上网及隔离的要求,不同访问权限的用户安全隔离,以免资源被非法访问,CAMS,实现方式一:Guest Vlan+EAD,园区网络,1.用户默认属于Guest Vlan,无须认证,2. Internet与Guest Vlan能够互通,办公网络,GVLAN 10,
15、GVLAN 20,GVLAN 30,GVLAN 40,Internet,用户A,用户B,用户C,用户D,实现方式一:Guest Vlan+EAD,园区网络,2.动态VLAN与办公网络互通,办公网络,Internet,1.用户启动EAD认证,动态下发VLAN和ACL,用户A,用户B,用户C,用户D,DVLAN 110,DVLAN 120,DVLAN 130,DVLAN 140,实现方式二:EAD多服务认证,园区网络,1.用户分配多个域后缀Internet,shuiwu等,对应多个服务,办公网络,DVLAN 10,DVLAN 20,DVLAN 30,DVLAN 140,Internet,用户A,用
16、户B,用户C,用户D,2.用户使用Internet认证,下发Internet访问权限,3.用户D使用caizheng认证,下发财政访问权限,案 例,省网管电子政务中心,SR8812,SR8812,SR8812,内网汇聚1,内网汇聚2,内网汇聚3,内网汇聚4,内网汇聚5,内网汇聚12,内网汇聚11,内网汇聚10,内网汇聚9,内网汇聚8,内网汇聚6,内网汇聚7,行政中心原区外市级远程接入单位,网管中心,市属远程拨号接入单位,行政中心原区外县区远程接入单位,MPLS-VPN P/PE区域,核心设备,汇聚设备,汇聚设备,S7506E,S7506E,S7506E,S7506E,S7506E,S7506E
17、,S7506E,S7506E,S7506E,S7506E,S7506E,S7506E,S7506E,S7506E,昆明市行政中心网络,海南电子政务网,WX5002,政务网核心,AP,服务器区,EAD,iMC,病毒库,补丁,海南行政大楼政务中心,接入交换机S3600/PWR,外联单位接入,汇聚交换机S5626F,S9512,互联网核心,S7506E,省数据中心,服务器接入交换机S5500EI,海南省电子政务网络,淄博电子政务外网,服务器群,广州市电子MPLS VPN,防火墙,千兆光纤,千兆电,S5500EI-PWR,S9508(内置防火墙),S3600,S9508(内置防火墙),S3600,S3
18、600,广州市政务中心网络项目,整网采用H3C公司产品,涵盖交换、无线、安全、端点准入、网管等。核心为2台S9508高端路由交换机,且内置8G吞吐量防火墙插卡,启用MPLS功能;汇聚采用支撑远程供电的S5500EI,可对接入AP进行供电,且具备MCE功能,为MPLS提供良好扩展能力;接入采用EAD端点准入,提供良好的安全接入功能,配备无线AP提供FIT AP方案,为政务大厅提供灵活安全的无线接入;整网配置一套IMC智能管理中心,对所有设备、用户、业务进行统一管理。,S5500EI-PWR,S5500EI-PWR,EAD客户端,WA2110-AG,WA2110-AG,WA2110-AG,EAD客
19、户端,EAD客户端,IMC智能管理中心,H3C WX5002无线控制器,广州市政务服务中心,核心层,中心机房,大孤山矿机房,东矿机房,绿化街机房,眼矿机房,齐大山机房,iMC,S9508,S9508,S7506E,SDH,S7506E,S7506E,弓长岭,S9508,S9508,S9508,S9508,S7506E,S7506E,鞍钢ERP主交换机,S3126,SDH,SDH,大连矿,SDH,大连新矿,S3126,S3126,复洲弯矿,瓦房子锰矿,S3126,瓦房子协力,S3126,灯塔矿,选厂,S7506E,SDH,楼屋30台,S3126,SDH,接各厂矿等接入层,接各厂矿等接入层,接各厂矿等接入层,接各厂矿等接入层,接各厂矿等接入层,鞍钢矿山网络,
