内外网改造安全解决方案

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,杭州华三通信技术有限公司,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,中石化内外网改造解决方案,杭州华三通信技术有限公司,公共事业技术部,内外网隔离各种方案介绍,电力信息网改造思路,参考案例分享,目录,物理隔离,内外网隔离方案,逻辑隔离,广域网、局域网均物理隔离,局域网物理隔离,两套有线网络,新建一套无线网络,MPLS VPN+EAD,隔离,VLAN+ACL,隔离,单机双网卡,+,硬盘隔离卡,双机单网卡,单机单网卡,+,硬盘隔离卡,双机单网卡,单机双网卡,+,硬盘隔离卡,物理隔离方案介绍,-,电力信息网内外网隔离方案,电力二次系统数据网络总体策略,4,、纵向认证,3,、横向隔离,电力通信,/,信息网,或,发电信息网,控制区,生产区,管理区,信息区,电力调度数据网,生产控制大区,管理信息大区,防火墙,2,、网络专用,1,、安全分区,现有电力数据网络隔离情况,本次关注区域,电力信息网络安全隔离现状总结,实现了调度与管理网络的横向物理隔离,国网,区域电网,省网,地市,纵向贯通,初步实现统一,Internet,出口,(,以省为单位,),管理信息网络与,Internet,有逻辑连接,绝大部分网省没有部署综合接入认证,上网行为审计系统缺乏,非法外联缺乏有效监控,安全事件管理与应急措施不健全,存在重要信息泄露的隐患,无法满足等级,保护的要求,改造目标,电力信息系统是涉及到国计民生的信息系统，一旦受到破坏，会对社会秩序和公共利益造成严重损害，或者对国家安全造成（严重）损害。根据国家对信息安全保障工作的要求，国家电网公司（以下简称,“,国网,”,）决定在全公司系统实施网络与信息安全隔离方案,通过技术改造将现有网络划分为信息内网和信息外网并实施有效的安全隔离。,根据要求，国网下属各网,XX,电力、地市电业局以及三产公司等国网系统内单位须在,2008,年,4,月前完成过渡方案的实施，在一年半内完成整体网络与信息安全隔离工作。根据国网公司下发文件的要求，各个网省、地区、县现有网络都不得与,Internet,互联网互通，必须建设与内网物理隔离的信息系统，以保障内网网络的信息安全性。新建的外网与内网采用网闸等设备进行物理隔离，与,Internet,采取逻辑隔离方式，确保外网信息正常发布（营销、信息、招投标等）及信息安全。国网将通过新建信息外网，完善域名解析、防病毒、补丁管理，加强终端管理等一系列措施实现网络与信息系统目标安全架构。,现有信息网络,改造后,信息内网,信息内网,信息外网,电力信息网络改造总体策略,改造思路,电力信息网络的安全合规改造除了借鉴以前的电力二次安全防护标准外,(,此规范重点在电力生产业务领域,对管理信息侧没有提出实施细则,),应更多地被动采纳国家计算机安全防护等级标准,其他重要行业如政府、金融、能源等已经建设的经验。,由于电力系统的行业特殊性及部分业务（如电力交易、营销、三公信息等）频繁网上交互的特点，电力信息网络的安全合规改造会把现有信息网络改造成为电力信息内网，断开与互联网的连接，重新规划一套网络作为信息外网，可能会部署独立的外网终端。,内网与外网之间的隔离方式目前存在争议，物理网闸的方式对现有应用会造成较大影响，尤其是影响,SG186,部分试点业务的推广，因此国家电网认为可采用防火墙,+,强安全策略的逻辑隔离方式。,加强信息内网和外网的安全审计工作，通过终端安全控制，上网行为监控，内部安全事件分析管理等手段加强信息网的可管理和可维护性。,国家电网公司信息网改造目标,H3C,电力内外网安全改造方案综述,SecBlade FW,SSL VPN,网关,H3C IPS,SecPath,IPS,EAD,终端控制软件,EAD,安全策略管理中心,SecCenter,安全管理中心,IMC,网络管理中心,网管中心,内网,服务器区,网通,电信,EAD,终端控制软件,H3C FW,信息内网,信息外网,H3C ACG,外网,服务器区,部署,ACG,应用控制产品实现,Internter,区域的上网行为监控,(,行为监管解决方案,),内外网之间使用,FW,和,SecBlade,核心交换机插卡产品完成内外网之间强策略控制,(,内网控制解决方案,),采用,EAD,实现接入综合认证,(,内网控制解决方案,),部署,FW/IPS/UTM,等安全产品实现信息外网,Internet,边界防护（边界防护解决方案）,部署,SSL VPN,完成信息外网的移动办公（远程安全接入解决方案）,部署,ASE/AFC/SecBalde FW,对,SG186,业务数据中心进行防护（数据中心保护解决方案）,部署,SecCenter,安全管理中心完成整网安全事件的分析和监控（统一安全管理平台）,改造范围,网络系统改造,将重新建设一张与内网隔离的网络（以下称,“,信息外网,”,），并部署相应安全防范设备和措施，保障信息、数据的安全发布，避免可能的信息泄密、黑客、病毒等安全威胁。网络主体可考虑用有线方式、,WLAN,无线方式或者两者相结合的方式来解决。,业务系统改造,对于现有网络的业务系统进行分析、评估，对于确实要对,Internet,发布信息的业务系统和服务器平台，规划搬迁部署方案，将业务系统转移到外网核心网络，对外网用户提供相应服务，如营销、招投标系统等。,接入终端改造,可采用单,PC,方式或者双,PC,方式解决。单,PC,方式下，采用,PC,机加装硬盘隔离卡的方式解决，终端改造投资低，但考虑到安装、维护复杂，管理不方便，建议采用双,PC,方式解决。,整个系统改造主要是网络系统和业务系统建设部分，尤其是业务系统，必须充分考虑现有部分业务移植到外网上以后，如何继续正常开展业务功能和提供必要的安全保障。,案 例,总结：,H3C,电力内外网安全方案,SecBlade FW,SSL VPN,网关,H3C IPS,SecPath,IPS,SecPath ASE,EAD,终端控制软件,EAD,安全策略管理中心,SecCenter,安全管理中心,IMC,网络管理中心,网管中心,内网,服务器区,网通,电信,EAD,终端控制软件,H3C FW,信息内网,信息外网,H3C ACG,外网,服务器区,边界防护解决方案,行为监控解决方案,远程安全接入解决方案,内网控制解决方案,数据中心保护解决方案,统一安全管理平台,佳木斯,牡丹江,大庆,绥化,哈尔滨,鸡西,鹤岗,齐齐哈尔,黑河,黑龙江省电力公司信息外网,大兴安岭,哈二局,伊春,千兆直连,155M ATM,省局,SR8805,核心路由器,ATM,西部环网,ATM,东部环网,155M POS,黑龙江省电力公司信息外网省局部署,H3C,万兆核心路由器,SR8805,，,11,个地市电业局部署,H3C,多核高端路由器,SR6608,；同时，省局局域网核心采用,H3C S9512,核心交换机，并且采用,S5500-EI,千兆接入。,地市局,SR6608,核心路由器,地市局,SR6608,核心路由器,地市局,SR6608,核心路由器,地市局,SR6608,核心路由器,地市局,SR6608,核心路由器,地市局,SR6608,核心路由器,地市局,SR6608,核心路由器,地市局,SR6608,核心路由器,地市局,SR6608,核心路由器,东电新大楼外网,服务器,SecCenter,S5100-EI,IMC,、,EAD,服务器,EAD,EAD,EAD,EAD,S5100-EI,SecBlade FW2,SecBlade IPS2,SecBlade LB,S9500,SecBlade FW,S9500,SecBlade FW,中电飞华,网通,S7506E,湖北电力公司总部信息外网,逻辑隔离方案介绍,园区网虚拟化关键技术,二层,VLAN,：二层隔离技术，在三层终结。不易扩展，,STP,维护复杂、难以管理和定位，适合小型网络,分布式,ACL,：需要严格的策略控制，灵活性差，可能配置错误，扩展性、管理性差，适合某些特定场合,VRF/MPLS VPN,：,三层隔离技术，业务隔离性好，每个,VPN,独立转发表，扩展性好。支持多种灵活的接入方式，配置管理简单、支持,QoS,，能够满足大型复杂园区的应用,推荐组合：,VRF+MPLS VPN,。二三层隔离的融合，安全性高，避免大量的,ACL,配置问题，直观、易维护、易扩展,架构分解,用户端点准入控制,对用户的安全认证和权限管理，使用,H3C EAD,解决方案（支持,portal,、,802.1X,、,VPN,等认证方式），在接入边缘设备作认证,可以与无线终端与,AP,联动，对无线接入用户进行认证,根据用户认证的结果动态下发,VPN,归属，控制访问权限,业务逻辑隔离,共用物理网络，逻辑隔离使用,VRF+MPLS VPN,技术,用户通过,CEMCE,设备接入，实现端到端的,VPN,隔离,核心用,MPLS,标签转发，控制,PE,设备,VPN,路由引入，建立专用的,VPN,转发通道，为数据中心提供,PE,或,MCE,接口，兼容数据中心内部业务逻辑隔离和物理隔离,支持端到端的,QoS,架构分解（续）,集中服务管理,为园区内用户提供统一的,InternetWAN,出口，进行集中监控、管理,网络管理使用,H3C iMC,智能管理中心，内嵌的,MPLS VPN Manager,支持对,MPLS VPN,的专业管理,各种管理,策略服务器、应用服务器、存储设备等统一部署在数据中心，为全网提供统一的应用和策略服务,数据中心逻辑上分成三个区域：,内部专有数据区：仅为单部门或业务提供服务,内部共享数据区：为网络内部全部或部分用户提供共享服务,外部服务区：为通过,Internet,接入的用户提供应用服务，如网上银行、门户网站等,接入控制,访问权限动态下发,PE,vpn1,VPN2,vpn3,VPN4,用户名：密码,下发,VLAN,CAMS,：,VLAN,对应,VPN,VLAN11,VPN1,VLAN22,VPN2,VLAN33,VPN3,VLAN44,VPN4,PE,：,vlan11,vlan22,vlan33,vlan44,用户名,1,：密码,VLAN11,用户名,2,：密码,VLAN22,用户名,3,：密码,VLAN33,用户名,4,：密码,VLAN44,通道隔离,端到端的业务逻辑隔离,核心交换层,网管中心,汇聚层,接入层,数据中心,FIT AP,FIT AP,MCE/CE,PE,EAD,认证,MPLS VPN,通道,企业,/,园区网,PE,PE,PE,MCE/CE,P,P,P,P,PE,OSPF,ospf/,静态路由,/RIP,MPLS L3 VPN,提供端到端的业务隔离能力，并且通过,RT,属性控制,VPN,间业务互访,方案讨论,灵活业务访问模式,园区网络,1.,用户,A,可访问,Internet,，不能访问办公网络,2.,用户,A,可访问办公网络，不能访问,Internet,3.,用户,B,可访问办公网络，,A,和,B,访问权限不同,用户,A,用户,B,用户,C,用户,D,办公网络,Internet,用户,A,、,B,、,C,、,D,分属不同的部门，访问权限不同,用户多次获取不同的访问权限，满足,Internet,、办公上网及隔离的要求,不同访问权限的用户安全隔离，以免资源被非法访问,CAMS,实现方式一：,Guest Vlan+EAD,园区网络,1.,用户默认属于,Guest Vlan,，无须认证,2.,Internet,与,Guest Vlan,能够互通,办公网络,G