论文部分内容阅读
【摘 要】 结合舟山电力网络与信息系统安全隔离项目,采用MPLS-VPN技术和新建两种不同的方式,实现对信息内外网的安全隔离,使整个网络架构具备良好的安全风险控制和恢复能力,既保障了信息内网和关键信息系统的安全,又节约信息外网建设的投资成本,总结出一套切实可行的工作经验。
【关键词】 网络;信息系统;安全隔离;MPLS-VPN
1概况
根据国家电网公司信息安全工作会议《网络与信息系统安全隔离实施指导意见》的文件精神,舟山电力管理信息网络分为内、外信息网络,将上因特网功能和与因特网业务应用交互部分迁移至信息外网,原管理信息网络业务应用的其余部分保留在信息内网;切断内网终端与互联网的连接,根据需求为办公人员配置外网终端。
舟山电力网络与信息系统安全隔離项目实施内容主要包括:①外网网络核心层建设,②外网网络汇聚层建设,③外网网络接入层建设,④综合布线。
2设计要求
2.1设计思路
舟山电力网络与信息系统安全隔离项目具体包括外网地县城域网改造和外网市区接入网建设两个部分。外网城域网改造是在信息内网城域网基础上,通过采用国网公司认可的MPLS-VPN技术,同时实现信息内网和信息外网的强逻辑隔离。
舟山电力外网市区接入网采用新建的方式实现信息内外网的隔离。市区单位通过新建信息外网通道、增加外网交换机作为外网接入专用,实现外网和内网完全意义上的物理隔离。
2.2设计原则
(1)疏堵结合原则。既要禁止信息内网办公终端访问互联网,也要满足员工上网开展业务、浏览信息和查阅资料的需求;
(2)满足业务保障原则。确保公司各单位的客户服务、营销等重要业务应用系统对外提供服务,保障业务应用连续、稳定运行;
(3)平稳过渡原则。积极的开展研究与分析工作,保证网络分割、策略设置、业务改造调整等各项工作平稳、有序的开展,保证系统平稳过渡;
(4)管理同步原则。管理措施与目标方案要同时研究、同时到位,以管理措施促技术方案的实现,以技术方案的实现促进管理要求的落实。
(5)节约投资原则。本次安全隔离工作涉及的范围广,设备采购、安装和调试的工作量大,投资规模大,因此在满足国网公司隔离规范和进度要求的前提下,加强方案审批和把关,尽可能节约投资。
(6)统一出口原则。为便于统一管理,各单位所有外网终端必须通过省公司本部的统一出口访问互联网,各单位不得以任何方式私自接入互联网。
(7)分步实施原则。按照国网统一部署的进度要求,结合本局实际情况,有计划、有步骤、分阶段地在本局开展安全隔离工作。
3技术方案
3.1关键技术
在本次网络与信息系统隔离项目中,隔离改造的关键技术在于地县城域网使用一种基于MPLS的IP-VPN技术。目前网络路由和交换设备上广泛应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
MPLS/VPN技术根据PE(ProviderEdge)设备是否参与VPN路由处理又细分为二层VPN和三层VPN,一般而言,MPLS/BGPVPN指的是三层VPN。在MPLS/BGPVPN中,属于同一的VPN的两个site之间转发报文使用两层标签,在入口PE上为报文打上两层标签,外层标签在骨干网内部进行交换,代表了从PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着LSP到达对端PE,然后再使用内层标签决定报文应该转发到哪个site上。
通过MPLS/VPN技术在舟山电力城域网上的应用,降低了市局至县局信息通道建设的成本,极大地提高信息网络建设、运营和管理的灵活性,同时能够满足网络与信息系统安全隔离和系统用户对信息传输实时性、宽频带和方便性的需要。目前,在基于IP的网络中,MPLS具有很多优点:
(1)降低了成本,提高了资源利用率;
(2)安全性高:采用MPLS作为通道机制实现透明报文传输,MPLS的标签交换路径(LSP)具有与FR和ATMVC相类似的安全性;
(3)提高了灵活性和可扩展性从网络的带宽平滑升级到网络的新增接入节点都可以方便灵活的扩展。
3.2具体方案
(1)外网核心层建设
舟山电力外网网络,是省公司MPLSVPN网络的CE端,电力大楼机房部署两台核心交换机CISCOS6504作为整个外网VPNSITE,采用OSPF路由协议实现冗余,保证网络的安全可靠。
两台核心交换机,采用双链路分别与省公司M20路由器和M7I路由相连,从而进一步的保证了整个网络核心层次的可靠性。
由于原先舟山电力采用VPLS方式,实现由省公司统一出口的方式访问外部网络。所以现在新建的外网网络核心,暂时也采用两层VPLS方式来访问外部网络。后期省公司重新规划后,再统一调整为三层VPN。
舟山电力还新增了一台JuniperM10i路由器作为地县城域网核心路由器,与各县局边缘层设备JuniperM10i互联,采用MPLS/VPN技术,在地县城域网中隔离信息内网和信息外网数据流。
(2)外网汇聚层建设
外网市区接入网分别在电力大楼和电力调度所机房,部署H3CS3600交换机做为汇聚交换机,作为舟山电力城域网MPLS外网VPN的CE端,以CE-CE方式互联,并分别采用双链路连接到主用核心交换机和备用核心交换上,从而保证网络的可靠性。根据地理位置作为基层单位外网接入汇聚点。接入交换机与汇聚交换机之间采用传输100M线路互联。
(3)外网接入层建设
舟山电力外网城域网通过MPLSVPN建设CE端延伸至县公司,县公司采用H3C3600和思科3560交换机作为接入交换机,外网市区接入网负责市区各个信息站点的接入,并根据地理位置,通过传输通道连接到大楼汇聚交换机和调度所汇聚交换机上。其中电力大楼汇聚交换机主要负责公司大楼、修试工区、修造厂、监理公司、定海电厂、劳动服务公司、线路工区、普陀分公司、变电工区等信息点的接入。调度所汇聚交换机主要负责设计公司、启明楼、安装公司、承装公司、物资公司、计量中心、大永润公司、调度所、定海分公司等信息站点的接入,如如1所示。
4实施情况分析
网络与信息系统隔离前,舟山电力内外网之间仅仅通过防火墙进行安全隔离,信息安全管理技术手段相对不足,不能有效地阻止来自信息外网的各类攻击,信息系统安全得不到有效保障。通过舟山电力网络与信息系统安全隔离项目的实施,地县城域网上通过MPLSVPN技术、市区接入网上通过物理新建划分内外网业务,较好地阻隔了内外网数据的交互,较好的阻止了外部攻击,提高了内网信息的安全可靠性,有效地防止了病毒、恶意攻击等在内网造成的影响。使整个网络架构具备良好的安全风险控制和恢复能力,确保信息内网和关键信息系统安全。
参考文献:
[1]谷涛,鹿凯宁.网络隔离的技术分析[J].微处理机.2007(01)
[2]苏雪娟,黄玥,孙宇,MPLSVPN技术在电力企业广域网中的应用[J].电子科技,2013,(3)
[3]钟灿雄,基于MPLS与BGP的VPN构建与应用研究[J].湖南邮电职业技术学院学报,2014,(2)
[4]陈旻,何尚骏,基于MPLS的BGP-VPLS组网技术在电力数据通信网中的应用[J].电力信息化,2010,(1)
【关键词】 网络;信息系统;安全隔离;MPLS-VPN
1概况
根据国家电网公司信息安全工作会议《网络与信息系统安全隔离实施指导意见》的文件精神,舟山电力管理信息网络分为内、外信息网络,将上因特网功能和与因特网业务应用交互部分迁移至信息外网,原管理信息网络业务应用的其余部分保留在信息内网;切断内网终端与互联网的连接,根据需求为办公人员配置外网终端。
舟山电力网络与信息系统安全隔離项目实施内容主要包括:①外网网络核心层建设,②外网网络汇聚层建设,③外网网络接入层建设,④综合布线。
2设计要求
2.1设计思路
舟山电力网络与信息系统安全隔离项目具体包括外网地县城域网改造和外网市区接入网建设两个部分。外网城域网改造是在信息内网城域网基础上,通过采用国网公司认可的MPLS-VPN技术,同时实现信息内网和信息外网的强逻辑隔离。
舟山电力外网市区接入网采用新建的方式实现信息内外网的隔离。市区单位通过新建信息外网通道、增加外网交换机作为外网接入专用,实现外网和内网完全意义上的物理隔离。
2.2设计原则
(1)疏堵结合原则。既要禁止信息内网办公终端访问互联网,也要满足员工上网开展业务、浏览信息和查阅资料的需求;
(2)满足业务保障原则。确保公司各单位的客户服务、营销等重要业务应用系统对外提供服务,保障业务应用连续、稳定运行;
(3)平稳过渡原则。积极的开展研究与分析工作,保证网络分割、策略设置、业务改造调整等各项工作平稳、有序的开展,保证系统平稳过渡;
(4)管理同步原则。管理措施与目标方案要同时研究、同时到位,以管理措施促技术方案的实现,以技术方案的实现促进管理要求的落实。
(5)节约投资原则。本次安全隔离工作涉及的范围广,设备采购、安装和调试的工作量大,投资规模大,因此在满足国网公司隔离规范和进度要求的前提下,加强方案审批和把关,尽可能节约投资。
(6)统一出口原则。为便于统一管理,各单位所有外网终端必须通过省公司本部的统一出口访问互联网,各单位不得以任何方式私自接入互联网。
(7)分步实施原则。按照国网统一部署的进度要求,结合本局实际情况,有计划、有步骤、分阶段地在本局开展安全隔离工作。
3技术方案
3.1关键技术
在本次网络与信息系统隔离项目中,隔离改造的关键技术在于地县城域网使用一种基于MPLS的IP-VPN技术。目前网络路由和交换设备上广泛应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
MPLS/VPN技术根据PE(ProviderEdge)设备是否参与VPN路由处理又细分为二层VPN和三层VPN,一般而言,MPLS/BGPVPN指的是三层VPN。在MPLS/BGPVPN中,属于同一的VPN的两个site之间转发报文使用两层标签,在入口PE上为报文打上两层标签,外层标签在骨干网内部进行交换,代表了从PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着LSP到达对端PE,然后再使用内层标签决定报文应该转发到哪个site上。
通过MPLS/VPN技术在舟山电力城域网上的应用,降低了市局至县局信息通道建设的成本,极大地提高信息网络建设、运营和管理的灵活性,同时能够满足网络与信息系统安全隔离和系统用户对信息传输实时性、宽频带和方便性的需要。目前,在基于IP的网络中,MPLS具有很多优点:
(1)降低了成本,提高了资源利用率;
(2)安全性高:采用MPLS作为通道机制实现透明报文传输,MPLS的标签交换路径(LSP)具有与FR和ATMVC相类似的安全性;
(3)提高了灵活性和可扩展性从网络的带宽平滑升级到网络的新增接入节点都可以方便灵活的扩展。
3.2具体方案
(1)外网核心层建设
舟山电力外网网络,是省公司MPLSVPN网络的CE端,电力大楼机房部署两台核心交换机CISCOS6504作为整个外网VPNSITE,采用OSPF路由协议实现冗余,保证网络的安全可靠。
两台核心交换机,采用双链路分别与省公司M20路由器和M7I路由相连,从而进一步的保证了整个网络核心层次的可靠性。
由于原先舟山电力采用VPLS方式,实现由省公司统一出口的方式访问外部网络。所以现在新建的外网网络核心,暂时也采用两层VPLS方式来访问外部网络。后期省公司重新规划后,再统一调整为三层VPN。
舟山电力还新增了一台JuniperM10i路由器作为地县城域网核心路由器,与各县局边缘层设备JuniperM10i互联,采用MPLS/VPN技术,在地县城域网中隔离信息内网和信息外网数据流。
(2)外网汇聚层建设
外网市区接入网分别在电力大楼和电力调度所机房,部署H3CS3600交换机做为汇聚交换机,作为舟山电力城域网MPLS外网VPN的CE端,以CE-CE方式互联,并分别采用双链路连接到主用核心交换机和备用核心交换上,从而保证网络的可靠性。根据地理位置作为基层单位外网接入汇聚点。接入交换机与汇聚交换机之间采用传输100M线路互联。
(3)外网接入层建设
舟山电力外网城域网通过MPLSVPN建设CE端延伸至县公司,县公司采用H3C3600和思科3560交换机作为接入交换机,外网市区接入网负责市区各个信息站点的接入,并根据地理位置,通过传输通道连接到大楼汇聚交换机和调度所汇聚交换机上。其中电力大楼汇聚交换机主要负责公司大楼、修试工区、修造厂、监理公司、定海电厂、劳动服务公司、线路工区、普陀分公司、变电工区等信息点的接入。调度所汇聚交换机主要负责设计公司、启明楼、安装公司、承装公司、物资公司、计量中心、大永润公司、调度所、定海分公司等信息站点的接入,如如1所示。
4实施情况分析
网络与信息系统隔离前,舟山电力内外网之间仅仅通过防火墙进行安全隔离,信息安全管理技术手段相对不足,不能有效地阻止来自信息外网的各类攻击,信息系统安全得不到有效保障。通过舟山电力网络与信息系统安全隔离项目的实施,地县城域网上通过MPLSVPN技术、市区接入网上通过物理新建划分内外网业务,较好地阻隔了内外网数据的交互,较好的阻止了外部攻击,提高了内网信息的安全可靠性,有效地防止了病毒、恶意攻击等在内网造成的影响。使整个网络架构具备良好的安全风险控制和恢复能力,确保信息内网和关键信息系统安全。
参考文献:
[1]谷涛,鹿凯宁.网络隔离的技术分析[J].微处理机.2007(01)
[2]苏雪娟,黄玥,孙宇,MPLSVPN技术在电力企业广域网中的应用[J].电子科技,2013,(3)
[3]钟灿雄,基于MPLS与BGP的VPN构建与应用研究[J].湖南邮电职业技术学院学报,2014,(2)
[4]陈旻,何尚骏,基于MPLS的BGP-VPLS组网技术在电力数据通信网中的应用[J].电力信息化,2010,(1)