1 信息网络的现状与特点
陈村电站管理机关设置于安徽省泾县县城,下设有陈村和纪村两个水电站。其信息网络平台于1999年建设完成,网络区域跨越陈村、泾县县城及纪村三地,陈村至纪村50公里,泾县县城至纪村6公里,陈村、泾县县城和纪村三地采用单模光缆连接。网络主干连接100MHz,10/100M MHz连接工作站。具体网络拓扑见图1,主要网络内部业务有生产数据管理系统、办公系统、内外部视频会议系统、上级主管单位生产整合平台等。
图1 大唐陈村水力发电厂骨干网拓朴(改造前)
陈村电站划归大唐集团公司管理以来,企业内部信息管理系统、实时数据传输、多媒体系统不断增加,无论是企业内部管理还是外部环境越来越离不开信息网络的支撑。信息化管理业务的不断扩展,内部信息节点的增加,网络规模逐步扩大。加之大唐VPN网络、大唐多媒体广域网和互联网业务的接入,网络结构日趋复杂。企业对信息网络这一基础信息流通平台的安全性、畅通率和稳定性要求不断增加,但是资金、设备和技术的投入未及时跟上快速增长的业务需求和急剧扩大的网络规模,使得网络结构不合理,企业信息资源得不到保障,个人安全受到威胁,陈村电站信息系统安全面临严重挑战和干扰。
2 网络安全需求情况分析
(1)陈村、泾县县城及纪村三地的地理位置分散,相互之间通过光缆连接。主干之间的连接采用百兆光电转换器方式,由于光电转换器故障率高,导致主干链路故障率高。
(2)纪村主机房内的服务器全部通过百兆连接至BAY交换机。未能充分发挥服务器1000MHz连接性能。使得服务器吞吐量、网络响应、处理性能等降低。
(3)网络出口安装在泾县县城交换机上,其它位置用户访问出口,需先访问纪村主机房交换机再访问基地交换机,造成网络迂回。
(4)陈村、纪村用户及服务器没有划分VLAN,没有限制IP地址的使用和限制固定的端口。当有用户擅自修改自己的IP为服务器IP后,会导致IP地址冲突,导致其它用户不能正常访问服务器资源。
(5)部分不属于厂内管理的工作站与办公区的工作站属于同一个LAN。由于这些工作站远离办公区域,管理松散,不安全因素较多,一旦发生问题会造成整个网络运行的安全风险。
(6)交换机及其他重要网络设备管理地址没有经过科学规划,造成访问用户的不方便。
(7)没有设计集中网络管理体系,网络运行情况不可控。
(8)没有设计网络的防病毒体系,系统受病毒入侵和感染的风险很大,计算机网络安全无法保障。
(9)没有统一的集中数据备份系统,一旦发生数据丢失,会引发灾难性后果。
(10)边界防火墙安全设置和管理不严密,存在潜在的网络安全风险。
(11)部分服务器磁盘单点运行,容错性能差。
3 网络安全解决方案
总体设计集成了最先进的系统安全技术和产品,提出了一整套先进、完整、实用、完全满足电力行业需求的系统安全解决方案,主要包括网络安全方案、数据安全方案、容错技术方案、网络监控系统和病毒防范方案等。
网络安全方案包括网络防火墙系统和网内VLAN设置。
3.1 建立和完善网络防火墙系统
对安徽省电力公司、大唐集团公司和互联网三个网络出口设置了防火墙和相应的访问控制策略。陈村电站具体方案如下:
(1)同安徽省电力公司和大唐集团公司连接均属专用链路。分别通过防火墙和路由器并经2M专用链路和对端联通。除企业内部主要生产数据传输和业务关联信息外,阻止其他数据传输,针对该应用,仅开放了业务范围内的几个特定目的地址,其他关闭,专线专用,以保证数据传输安全和内部网络安全并降低网络连接风险。
(2)同互联网连接是内部和Internet通信的唯一通道。采用业界领先的PIX防火墙,通过配置PIX OUTBOUND访问控制列表,允许内部指定IP访问Internet。同时根据用户需求,开通公共指定网站(如邮件服务网站),满足内部用户合法使用网络资源。另外,陈村电站对信息网络安全高度重视,实行开通IP访问权限审批制,用户申请、部门审核并经厂领导批准后,方可开通。从管理上严把出口关,把通过该出口的内部数据流出和外部不良数据流入做为抓网络安全的一项重点工作。
3.2 网内VLAN方案设置
陈村电站网络地理位置分散并且网络规模不大,因此划分VLAN采用分应用和分区域划分相结合的方式。将纪村13个集中服务器群、分散在各地的5个服务器、所有重要网络设备(交换机、防火墙、VPN)和分布在三地的3个视频会议终端划分为一个VLAN;将陈村和纪村办公用户划分为一个VLAN;将泾县县城住户划分为一个VLAN;将泾县办公区划分为一个VLAN;将泾县干部楼划分为一个VLAN。为了尽量减少网络地址变动,在省电力公司统一分配的IP上进行IP统一划分,根据各VLAN大小合理划分地址段。
(1)数据安全方案包括数据备份管理和存储区域物理隔离
众所周知,数据备份不可或缺。当发生数据丢失,能快速进行数据恢复十分必要。陈村电站数据服务器后台数据库主要为SQLSERVER和ORACLE两大类型。其中后台数据库为SQLSERVER的有大唐两票(工作票和操作票)系统、内部网站、生产实时数据系统、清化紫光档案系统,共4个;后台数据库为ORACLE的有生产数据管理信息系统、文明考核系统、星级评定系统、办公自动化系统,共4个。本备份系统考虑4台SQLSERVER数据库服务器及4台ORACLE数据库服务器,但要求为后续可能增加的服务器留有扩展空间。
调查部分企业数据备份系统,备份介质通常有磁带库和磁盘两种类型。同磁盘比较,磁带库费用相对高、读写速度慢且故障频繁。总结经验,陈村电站数据备份做LAN备份,数据备份到磁盘,备份磁盘是备份服务器和控制服务器。针对各服务器数据特性制定相应数据备份策略。
充分考虑数据异地备份原则,建立了信息备用机房,两地机房1000MHz连接,将备份服务器放置异地备份,做到存储区域物理隔离。
(2)容错技术方案
根据RAID5自身特性和陈村电站实际使用经验,RAID5磁盘阵列在一定程度上极大提高了数据存储安全性能和容错能力。本次网络改造考虑将陈村电站剩余3台未采用RAID5存储的服务器进行更换和调整。服务器均采用此存储方式,提升数据容错能力和存储安全性能。
(3)网络监控方案
对网络与系统进行综合监控和管理的网管平台是不可缺少的。网络监控系统不但可以优化网络和有效的利用系统资源,保障网络和应用系统正常地运行,而且能够直接地支撑和监控网上业务(服务),保证其高质量地实现。
建立将陈村电站13台服务器和12台网络交换机、3台防火墙及2台路由器重要网络设备实时性能和运行状况列入监控范围的监控体系。建立监控重点用户的桌面监控和管理体系。
(4)病毒防范方案
①计算机病毒对计算机网络系统的影响可以称得上是灾难性的。尽管人类已和计算机病毒斗争了数年,并已取得了可喜的成绩,但是随着Internet的发展,计算机病毒的种类急聚增多,扩散速度大大加快,对企业及个人用户的破坏性加大。
②建立覆盖全厂的、易于集中管理和部署、病毒处理能力强的网络版病毒防范体系。
4 具体改进措施
(1)针对3台防火墙,分别制定严密的访问控制策略,并通过青鸟网硕进行实时性能监控和管理。
(2)增加3台CISCO交换机,分别为1台WS-C3750G-24TS-E Catalyst3750和两台WS-C3560G-24TS-E Catalyst3560和相应的1000MHz模块和附属材料。核心交换机Catalyst3750位于纪村主信息机房,有24个千兆口+4个千兆光口。纪村主机房的服务器全部连接至主交换的千兆端口,实现服务器内网的1000MHz访问。两台Catalyst3560交换机分别位于陈村通讯机房、纪村通讯楼机房,通过各自千兆模块与核心交换机相连,原位于泾县(生活基地)的Catalyst3560通过千兆模块与核心交换机千兆端口相连,实现主干1000MHz网络,并把更换下来的交换机进行调整。
(3)按照网络VLAN方案设置,根据应用系统不同安全保障等级,划分多个VLAN。将192.168.1.0/24(本文中使用保留IP代替真实IP)网段划分3个VLAN,把服务器和主要网络设备单独划出,为尽量减少客户端应用系统网络配置的修改(服务器使用地址基本不变),服务器和主要网络设备使用192.168.1.1-192.168.1.62网段,并在纪村Catalyst3750主交换机上划分了端口。保证了服务器资源的独占使用,具体VLAN地址划分见表1。
表1 VLAN地址划分
(4)增加CommVault数据备份软件和相应备份模块,增加1台DELL2950做为备份服务器和控制服务器。充分考虑网络流量、数据量和数据安全等级,合理制定备份策略,在不影响网络正常使用的情况下,保障数据备份高质量运行。
(5)增加3台DELL2950服务器,配置RAID5卡和磁盘阵列,代替原服务器。
(6)增加青鸟网硕NetSureXpert标准版(30个点)。管理、监控网络设备和服务器网管软件,实施网络运行和服务器性能的实时管理和控制。
(7)增加青鸟网硕桌面管理软件,对重点用户实施监控桌面管理。
(8)建设覆盖全网络集中监控、统一管理的卡巴斯基网络版病毒防护系统。
5 网络安全成果分析
为了顺应信息化潮流和实现办公自动化,解决目前所存在的设备老化以及网络安全等各个方面的问题,在已经建设好的网络基础上,再次进行网络的升级及优化,以适合现代化信息的需求。在新的网络基础上重新改建了一套网络系统以改变旧有的管理模式、提高办事效率、实现各部门之间以及企业与社会之间资讯的互通。同时通过新增加的网络管理系统使得陈村电站的网络管理更为简便和易于维护。另外增加的网络防病毒系统增加了网络的安全性,增强了系统的病毒防护能力。保障用户系统和服务器系统资源的安全。网络改造后具体网络拓扑见图2。
图2 大唐陈村水力发电厂骨干网拓朴(改造后)
6 网络改造后所达到的效果
(1)实现陈村、纪村、泾县和备用机房为网络主干1000MHz连接。实现服务器1000MHz接入。
(2)采用VLAN网络技术保证了服务器资源的独占使用,并且可以有效的减少网络中的广播风暴,并减少网络蠕虫病毒对系统的危害。如果有用户擅自将工作站IP修改成服务器使用IP,将不能联入网络,不会导致服务器的禁止访问。
(3)建立数据备份系统,达到关键业务数据的集中存储,统一管理,异地备份,并能实现数据的容灾策略,确保数据存取的高效及安全,同时也达到了数据管理整体费用的最优化。
(4)建设网络管理系统,全面而又统一的集中综合网络管理平台,适应网络规模的发展和系统功能的扩展要求。系统能够对IP地址进行有效管理,对重要IP地址能够进行绑定,有效保护重要IP地址(如服务器、交换机、路由器等重要设备的IP),如果发生冲突,可以对非法地址进行阻断,能够对网际IP数据流动状态进行有效分析。
(5)针对陈村电站的具体应用情况和网络环境,建立完全满足全厂需求卡巴斯基网络版病毒防护系统。■