中国石化信息基础设施建设概况及安全建设策略
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。
视 点
安全专题·声音 安全专题·实践
中国石化信息基础设施建设概况 及安全建设策略
■ 李德芳 郭会
1999 年,新成立的中国石化集团 化建设的步伐,陆续投用了物资采购 和化工产品销售电子商务系统,销售 管理信息系统、 财务管理系统、 经济技 术指标统计系统、办公综合业务处理 系 统 等 大 型 信 息 系 统 ,开 展 了 企 业 E R P 和加油卡工程的试点和推广。这 些系统的推广和使用对提高中国石化 的生产、经营和管理水平发挥了巨大 的作用。这些信息系统的运行都离不 开石化内部网络的支撑,同时对网络 的带宽、安全性和可靠性等提出了更 高的要求。 首先, 加快总部及企业网络、 数据 中心和基础应用系统的建设,为 E R P 系统的实施和其他关键应用系统的建 设和运行提供稳定、 安全、 可靠和高效 的基础设施。实现对业务应用的全面 覆盖。 在总部和所有企业, 网络应覆盖 所有业务点, 包括办公地点、 厂区、 车 间、装置、油田、钻井平台、管道、码 头、油库、加油站等。 第二, 提高网络的高可用性。 网络 不只是信息基础设施,也是中国石化 生产经营管理的基础条件之一,要满 足生产和管理系统对其可用性的要求, 实现网络服务不中断和业务的连续性。 网络带宽满足关键应用系统对传输速 率、响应时间和误码率的要求。 第三,建立一体化的网络管理系 统。 实时监控总部及企业的网络设备、 重点服务器和关键应用系统。建立完 善的防病毒、 防窃密、 防入侵、 访问权 1. 中国石化基础设施总体建设思路 中国石化在最近几年加快了信息 限控制和认证体系,保证中国石化网 络和应用系统的整体安全性。
信息基础设施建设回顾
中国石化作为一个国有特大型企 业,一直非常重视企业的信息化工作, 其信息基础设施建设经历了三个阶段 : 1. 起步阶段(1990-1996) 从 1990 年到1992 年, 中国石化总 部建立了 3 +网络和相应的文件服务 器, 实现了数据文件服务器共享, 建立 了以点对点手动通信的方式与所属企 业的数据交换。 从 1993 年到1996 年, 企业建立了 不同规模的局域网络,采用的网络操 作系统有 NOVELL 、 DECNET 等。总 部建立了基于 N E T W A R E 的 N A S (NETWARE ACCESS SERVICE) 的远程访问系统,支持 PSTN, 卫星, X . 2 5 等多种通信方式,开始为统计、 调度
、财务和市场信息等应用系统提 供数据传输服务。 2. 发展阶段 (1996 - 2000) 1 9 9 6 年,通过微波实现了与 I N T E R N E T 的专线接入,建立了中国 石化的 INTERNET 节点,开始提供基 础应用服务。 1997 年初, 为配合建立集团企业 内部网, 发布了内部 IP 地址及域名管 理规范。 同年, 使用自有的卫星信道, 选择 6 家企业进行网络互联试点。 1998 年, 与中国电信签定合作协 议,利用中国石化的帧中继网络组建 中 国 石 化 的 计 算 机 互 联 网 络 SINOPECnet。
公司的内部网建设全面展开。随着销 售信息系统的建设,完成了所有销售 企业的内部网络和与总部的互联。 2000 年,完成了内部主干网的建 设,使所有企业与总部的网络实现了 互联,所用的信道为电信的帧中继和 中国石化的卫星通信系统。 3. 提升阶段 (2001 至今) 随着中国石化主干网的建成,销 售信息系统、 财务系统、 物资采购和化 工品销售的电子商务系统相继投入运 行。 中国石化股份公司成功上市后, 信 息化进入了快速发展阶段。 2 0 0 1 年,完成了对中国石化 I N T E R N E T 节点的改造和提升;并根 据中国石化的信息化需求,制定了主 干网络的建设规划和提升方案;制定 了中国石化网络安全建设规划,开始 实施中国石化网络安全一期工程。 2002年-2003年, 制定了中国石化 网络系统建设策略。以此为指导,完成 了一系列的网络系统建设工程。包括: (1)石化主干网络提升; (2)网络管理系统建设; (3 )配合 E R P 的试点和推广,加 快企业网络建设; (4 )以网络边界防护和病毒防护 为主要内容的网络安全一期工程建设。
基础设施建设成效
数字化工 /2 00 4 .1 0
1
安全专题·声音
第四, 实现运行管理规范化。建 立完善的运行管理制度和规范,建设 中国石化集中分布式的客户服务中心, 提高运行维护水平。 为完成基础设施体建设目标,我 们制定了系统建设策略。要点包括: (1 )评估现有的网络基础设施建 设现状, 分析各种应用特点, 明确对网 络设施的需求,确定未来网络系统建 设目标及整体思路。从中国石化和国 内公共通信设施的实际情况出发,结 合网络技术的现状及发展趋势,制定 总部和企业网络系统建设中有关网络 技术和设备、 传输链路、 卫星系统、 自 有输油管道光缆综合利用、 拓扑结构、 IP 地址规划、路由协议及带宽管理等 方面的原则和策略。为各级网络建设 提供实用和具有可
操作性的技术指导。 (2 )针对网络管理和网络安全系 统方面比较薄弱的现状,确立网络管 理平台建设的整体架构和实施步骤, 为下一阶段网络安全系统和网络管理 系统的建设和完善,提供清晰的实施 思路。 (3 )确定建立总部及企业两级数 据中心的总体目标,明确总部面向经 营管理数据、下属企业面向生产数据 的建设思路,对数据中心的网络、安 全、 数据存储、 备份、 容灾及恢复等系 统的建设提出了建设性的原则和意见, 为建立规范的数据中心提供系统化的 设计指导。 (4) 规范化的建设、 运行和管理是 发挥网络系统和数据中心作用的必要 保证; 从组织管理方面, 建立规范的运 行架构, 落实人员岗位和职责, 设立客 户服务中心;配合相应的 IT 技术支撑 系统,全面系统地提出运行管理的思路 和策略,实现规范化和高效化的运维 管理,保障应用系统的正常运行。 2. 中国石化主干网 中国石化主干网自1997年开始建
设以来,在信息化建设中发挥了重要 的作用。随着大型信息应用系统的陆 续投用, 对网络的需求不断增长, 原有 网络在性能(链路带宽只有 6 4 K ~ 128K)和可靠性方面越来越难以满足 信息化的要求。为此。在 2002 年对主 干网络进行了一次系统的提升。提升 后主干网络连接的远程节点达到了110 个,链路带宽提升到 512K~1 0 M。主 干网的核心设备、接入设备和信道实 现了冗余备份。总部采用信道化 E1 电 路和信道化 S T M - 1 电路作为企业的 D D N 和 S D H 电路 的接入。链路带宽 大于 5 1 2 K b p s - 1 0 M b p s 的企业采 用 S D H 电路为主 链 路 ; 小 于 512Kbps 的企业则 采用 D D N 传输技 术为主链路。备份 链路主要采用卫星 专网 ( V S A T ) 和 ISDN。当主链路或 主路由器出现问题时,企业的备份路 由器会主动拨号到总部,提供备份连 接。主干网络采用 O S P 路由协议,整 个主干网根据设备及不同的连接特点 被分成 8 个 O S P F 域。提高路由的稳 定性和效率。 设
3. 总部网络及 INTERNET 节点建 总部网络设备使用具有 X R N 功能 的 3com4060 核心交换机, 利用动态链 路聚合,实现汇聚交换机与核心交换 机的动态负载均衡和备份冗余。网络 覆盖 4 个办公楼,连接约 1800 台终端 设 备 ,根 据 楼 层 、设 备 等 划 分 不 同 V L A N 。规划出专门的交换机网管 V L A N 和安全管理网段。根据服务器 的不同应用目的划分不同的服务器区 域
, 以便进行不同的安全防护和管理。
总部局域网网拓扑结构图 为保证接入的可靠性,中国石化 I N T E R N E T 节点通过两条专线与两个 ISP 互联。为保证接入 I N T E R N E T 的 安全性, 划分不同的安全域, 部署了防 病毒、防火墙、IDS 等安全设施。 建立了内部和外部两套域名服务 系统, 提供可靠 的域名服务。 建 立电子邮件、 代 理服务和远程 访问等系统, 通 过统一的目录 服务实现了对 用户的统一管 理。 4. 企业网 络建设
中国石化主干网络结构示意图
中国石化
2
20 04.1 0/ 数字化工
安全专题·声音
所属企业按照产业链划分为油田企业、 炼油化工企业和销售企业。三类企业 对信息基础设施的需求不完全相同, 系统建设的起点不一样,近几年建设 的侧重点也有差别。 (1 )油田企业积极推进网络建设 工作,实现了油区范围内主要二级单 位与油田主干网的光纤宽带连接。其 中勘探、 开发、 科研等单位与主干网连 接达到千兆, 辅助生产、 专业施工等单 位与油田主干网连接达到百兆。利用 企业网络, 开通了电视会议系统, 加大 了数据源头采集的力度,实现了物探 施工数据自动采集、现场校验;钻井、 地质录井数据井上采集、 现场处理; 测 井数据自动采集、智能解释;采油队、 作业队生产运行数据源头采集、上网 共享。 (2) 炼化企业从 2002 年开始实施 E R P ,为满足生产管理和 E R P 系统的 需求, 对网络进行了重新规划、 设计和 改造, 将网络延伸到车间、 库房、 罐区 及码头,使网络覆盖到整个物流的信 息点和管理点。建立了生产装置实时 信息系统, 有力地支持了 MIS、 仿真培 训、先进控制、PIMS、OA 和 CIMS 等 系统。 (3)1999 年中国石化建设销售管 理信息系统,销售企业的网络设施建 设开始起步。 项目完成后, 初步建立起 了省、地和县级公司之间的数据传输 网络。伴随 E R P 和加油卡等系统的建 设,销售企业的网络建设又上一个新 台阶。目前省、地之间全部实现了 2M 的数字专线连接。部分企业通过多种 通信方式实现了县级公司、 油库、 销售 开票点、润滑油门市部和重要加油站 的网络实时互联,使分销、配送的进、 销、 存和财务数据都能及时进入各 调、 应用系统。部分销售企业还建立了基 于内部IP网络的语音通信系统和电视 会议系统。
5. 中国石化网管系统建设 中国石化网络管理系统采用集中 分布式结构,设立两级管理体系。 总部网管系统(一级) :位于中国 石化总部网管中
心,负责管理总部网 及主干网的网络设备、节点及主要应 用, 并对企业网管系统 (二级) 上传至 总部网管系统 (一级) 的重要消息进行 处理。 企业网管系统(二级) :位于企业 网管中心,负责管理本辖区范围内的 网络设备、 节点和主要应用, 本辖区内 出现的问题和故障由企业网管中心本 地处理。重要的管理信息或故障上传 至总部网管系统,并可以申请由总部 网管中心协助处理。 这样, 极大地减少 了对广域网资源的占用。
和关键服务器进行监控;2003 年为 12 家 E R P 试点单位和甬沪宁沿线的单位 实施了网络管理系统;2 0 0 4 年实施 E R P 的企业将全面建设本企业的网络 管理系统。 今后, 将逐步推广实施网络 管理,最终实现对中国石化网络的全 面监控和管理。 企业综合网管系统实现对企业的 IT 基础设施的综合管理,提供对网络 设备、服务器、应用系统的实时监控、 故障管理、性能管理和统计分析等功 能。 6.数据中心及服务器资源整合 随着信息系统的规模越来越大, 复杂度越来越高,需要综合考虑应用 系统对硬件资源的需求,改变目前分 散、 孤立, 基于单个应用系统配置硬件 资源的方式,以一种新的 理念去构建信息系统的硬 件平台。为此,根据中国 石化信息系统的特点和目 前的技术和产品发展特点 制定了中国石化数据中心 建设策略。 (1)数据中心及服务
中国石化一体化网络管理结构
器资源整合目标 整合总部及分(子) 公司硬件资源。 建立面向应用, 集 主机、存储和备份系统为 一体的数据中心平台。 改善机房环境。 实现生产、经营、 管理和决策数据的集中存 储和管理。 逐步建立异地数据
综合网络管理系统的逻辑结构 中国石化网络管理系统是按照统 一规划、分步实施的方法建设的。 2002年建立总部综合网络管理系 统, 部署基本的小型网管系统, 对网络
备份中心。 (2)建设思路 统一规划、统一标准、两级建设、 两级管理 。 我们订立了数据中心建设 规范, 实现统一规划。 逐步建立总部及 分(子)公司两级数据中心, 实行两级管
数字化工 /2 00 4 .1 0
3
安全专题·声音
理 总部数据中心服务于管理数据, 分(子)公司数据中心面向生产数据 。 分离信息系统与数据存储。数据 不必专属于任何特定信息系统 , 提高 数据共享性、可管理性及一致性 。 支持应用系统的数据存储需求 。 达到没有服务中断、数据存储容量扩 展 支持应用的数据备份需求,系统 化管理备份数据。 (3)总部服务器整合 200
2 年, 通过对总部机关 82 台服 务器的现状、 应用类型进行调查, 提出 了有效合并、 适度整合的原则, 制定了 应用系统和服务器的迁移计划和整合 方案。 目前, 总部数据中心已初具规模, 解决了服务器资源分散、性能落后的 现状,提高了系统的可靠性和总体利 用率,降低了系统的运行管理成本。 7.卫星网及视频会议建设 中国石化建立了专用的卫星通信 系统,目前共有地面站 70 个,提供语 音、视频和数据传输功能。 中国石化的视频会议系统以基于 卫星的 H . 3 2 0 系统为主,同时与 H .
星、 内部 IP 网络和 ISDN等召开各种类 型和规模的电视会议。 2003 年就召 仅 开电视会议 108 次, 参会人员 7.2万余 人次。取得了良好的效益。 8. 管理与应用成果 中国石化在信息化方面坚持五统 一的原则,统一制定了一系列的管理 制度、 建设规划和建设策略。 指导和规 划信息基础设施建设的文件包括: 《中国石化信息化管理办法》 《2002-2005年中国石化信息化建 设目标和任务》 《中国石化网络系统建设策略》 《中国石化信息系统安全建设策 略》 《中国石化网络安全规划》 《中国石化内部网管理办法》等。 根据“企业信息化,网络是基础; 实施 E R P ,网络要先行”的原则,近 几年加快进行基础设施建设,为中国 石化信息化打下良好基础。目前中国 石化的基础设施为下列重大应用提供 实时、稳定的通信服务: E R P 系统 加油 IC 卡系统 化工品销售电子商务 物资采购电子商务 办公自动化系统 人力资源管理信息系统 经济技术指标统计系统 甬沪宁原油管输指挥调度管理 系统 原油资源优化系统 成品油二次物流优化系统 略
在 2001 年, 开始实施网络安全建 设一期项目。 编制了中国石化信息系统安全建 设策略。制定了一系列的安全管理制 度和规范。 1.网络安全建设一期工程主要内 容主干网——采用IP加密技术对主干 传输线路进行加密,保证数据传输过 程中的保密性。 卫星电视会议系统——采用线路 加密机对卫星电视信号的传输加密, 提高了传输图像、语音和数据的安全 保密性。 总部网——采用防火墙、 防病毒、 入侵检测等技术, 进行了系统的防护。 企业网——大部分企业都部署防 病毒、入侵检测、漏洞扫描等。 2 .系统信息安全建设管理制度、 标准规范。包括: 《中国石化计算机信息系统安全管 理暂行规定》 《中国石化应用信息系统安全设计 规范》 《中国石化计算机网络互联网接口 安全建设规范》 《中国石
化信息系统关键岗位安全 管理办法》 《关于加强对外网站及网站信息发 布管理的暂行规定》 3.中国石化信息系统安全建设策
2003 年,信息系统管理部发布了 《中国石化信息系统安全建设策略》 (以下简称 《策略》 , ) 主要内容包括 “安 全现状及问题” 指导原则” 目标与 、 “ 、 “ 任务”“技术体系”“运维管理体系” 、 、 等。
信息安全建设策略
在信息化建设过程中,中国石化 中国石化视频会议网拓扑图 323进行了集成。 目前共有各类会议终 端 100 余个, 通过多种通信方式, 如卫 对信息安全非常重视,做到安全建设 与基础设施建设同步进行。 在 2000 年, 制定了中国石化网络 安全建设规划。
《策略》 在指导原则方面, 强调 32 字,即: 适度集中、分散风险 ; 突出重点、分级保护; 统筹规划、分步实施;
4
20 04.1 0/ 数字化工
安全专题·声音
五个安全属性: 可用性、 不可否认 性、完整性、保密性、可控性 五个动态反馈环节:预警、保护、 检测、反应、恢复 构建的信息安全技术体系划分为 安全管理层、 业务应用层、 安全服务层 和网络基础设施层四个层面。信息安 全技术包括下述功能模块: 基础平台加固 客户端安全 边界防御 认证与授权 数据加密和完整性校验 安全审计 预警与应急 信息安全技术平台可用下图表示。 整体防护、分级负责 。 《策略》 规定系统要实现的总体目 标为: 规划一个体系 信息安全体系。 : 夯实二个基础:技术体系、运 维体系。 抓好三个环节:规划、 建设、 运 行。 突出五个重点 内外网加固、 : 防 病毒、 桌面管理、 标准制订、 关键岗位 人员管理。 达到一个确保:确保以 ERP 为 代表的各种信息系统连续可靠运行。 《策略》 规定系统建设的具体目标 为: 建立健全信息系统安全相关的 标准、规范和管理制度 。 完善病毒防护、入侵检测、漏 洞扫描、因特网节点保护体系。 建立桌面计算机资源管理系统, 加强对上网计算机的管理和监控 。 建立统一的身份认证体系,统 一访问入口, 实现单点登录, 严格访问 权限, 为各种业务应用建立信任机制 。 建立健全信息系统安全运行维 护管理体系,包括强化计算机房运行 安全管理、 强化网络运行安全管理、 强 化服务器运行安全管理、强化应用系 统运行安全管理、强化信息存储、发 布、备份、恢复的安全管理。 加强队伍建设和关键岗位人员 管理, 加强技术培训和安全管理, 培养 一批建设人才、 运行维护
人才、 管理人 才和应用人才。 4.技术体系总体架构 《策略》的技术构架可用下图表 示。 一个宗旨:保证信息系统能够提 供高效的应用服务 两个依据:信息安全战略、方针、 政策、法规、标准和需求 三个要素:人才是根本, 技术是依 托,管理是核心。 对于安全域的划分原则,确定了 根据业务应用及计算机信息系统的重 要程度、敏感程度以及信息资产的客 观条件,确定相应的安全保护等级和 对不同级别的信息资产采用不同的安 全策略和防护机制进行保护。 保障信息系统安全的重要环节是 建立可靠实用的运维管理体系 。 《策 略》 “组织管理” 从 、 “运维管理” 、 “事 件响应与应急计划” “人员管理与教 、 育培训”四个方面提出了运维管理体 系的建立原则和方法。 (作者李德芳系中国石化信息系 统管理部主任 郭会系中国石化信息系 统管理部系统管理处处长)
数字化工 /2 00 4 .1 0
5
1