内外网改造安全解决方案PPT幻灯片
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
双机单网卡
VLAN+ACL隔离
物理隔离方案介绍
----电力信息网内外网隔离方案
电力二次系统数据网络总体策略
1、安全分区
生产控制大区
控制区
生产区
管理信息大区
管理区
信息区
4、纵向认证
3、横向隔离
电力调度数据网
2、网络专用
防火墙
电力通信/信息网 或
发电信息网
现有电力数据网络隔离情况
本次关注 区域
安全区I (实时控制区)
内网服务器区
外网服务器区
H3C IPS H3C ACG
网通
EAD安全策略管理中心 SecCenter安全管理中心
IMC网络管理中心
SecPath IPS
网管中心
H3C FW
SSL VPN网关 SecBlade FW
电信
信息内网
信息外网
EAD终端控制软件
EAD终端控制软件
➢部署ACG应用控制产品实现Internter区域的上网行为监控(行为监管解决方案) ➢内外网之间使用FW和SecBlade核心交换机插卡产品完成内外网之间强策略控制(内网控制解决方案) ➢采用EAD实现接入综合认证(内网控制解决方案) ➢部署FW/IPS/UTM等安全产品实现信息外网Internet边界防护(边界防护解决方案) ➢部署SSL VPN完成信息外网的移动办公(远程安全接入解决方案) ➢部署ASE/AFC/SecBalde FW对SG186业务数据中心进行防护(数据中心保护解决方案) ➢部署SecCenter安全管理中心完成整网安全事件的分析和监控(统一安全管理平台)
无法满足等级 保护的要求
改造目标
电力信息系统是涉及到国计民生的信息系统,一旦受到破坏,会对社 会秩序和公共利益造成严重损害,或者对国家安全造成(严重)损害。根 据国家对信息安全保障工作的要求,国家电网公司(以下简称“国网”)决 定在全公司系统实施网络与信息安全隔离方案——通过技术改造将现有网 络划分为信息内网和信息外网并实施有效的安全隔离。
根据要求,国网下属各网XX电力、地市电业局以及三产公司等国网 系统内单位须在2008年4月前完成过渡方案的实施,在一年半内完成整体 网络与信息安全隔离工作。根据国网公司下发文件的要求,各个网省、地 区、县现有网络都不得与Internet互联网互通,必须建设与内网物理隔离 的信息系统,以保障内网网络的信息安全性。新建的外网与内网采用网闸 等设备进行物理隔离,与Internet采取逻辑隔离方式,确保外网信息正常 发布(营销、信息、招投标等)及信息安全。国网将通过新建信息外网, 完善域名解析、防病毒、补丁管理,加强终端管理等一系列措施实现网络 与信息系统目标安全架构。
11
改造范围
网络系统改造——将重新建设一张与内网隔离的网络(以下称“信息外网 ”),并部署相应安全防范设备和措施,保障信息、数据的安全发布,避 免可能的信息泄密、黑客、病毒等安全威胁。网络主体可考虑用有线方式、 WLAN无线方式或者两者相结合的方式来解决。
业务系统改造——对于现有网络的业务系统进行分析、评估,对于确实 要对Internet发布信息的业务系统和服务器平台,规划搬迁部署方案,将 业务系统转移到外网核心网络,对外网用户提供相应服务,如营销、招投 标系统等。
➢ 加强信息内网和外网的安全审计工作,通过终端安全控制,上网行 为监控,内部安全事件分析管理等手段加强信息网的可管理和可维护性。
9
国家电网公司信息网改造目标
目标架构:双网逻辑强隔离(双机)
生产控制大区 调度数据网
信息内网
管理信息大区 信息外网
调度生产
正向隔 离装置
反向隔 离装置
内网应用
外网交互
财务管理(内)
防 火
安全区II
(实时控制区) 墙 (非控制生产区)
防火墙
防火墙
物
理 隔 离 装 置
安全区III (生产管理区)
防 火 墙
安全区IV (管理信息区)
防 火 墙
电力信息网络安全隔离现状总结
➢实现了调度与管理网络的横向物理隔离 ➢国网\区域电网\省网\地市…纵向贯通 ➢初步实现统一Internet出口(以省为单位) ➢管理信息网络与Internet有逻辑连接 ➢绝大部分网省没有部署综合接入认证 ➢上网行为审计系统缺乏 ➢非法外联缺乏有效监控 ➢安全事件管理与应急措施不健全 ➢存在重要信息泄露的隐患
➢ 由于电力系统的行业特殊性及部分业务(如电力交易、营销、三公 信息等)频繁网上交互的特点,电力信息网络的安全合规改造会把现有信 息网络改造成为电力信息内网,断开与互联网的连接,重新规划一套网络 作为信息外网,可能会部署独立的外网终端。
➢ 内网与外网之间的隔离方式目前存在争议,物理网闸的方式对现有 应用会造成较大影响,尤其是影响SG186部分试点业务的推广,因此国家 电网认为可采用防火墙+强安全策略的逻辑隔离方式。
7
电力信息网络改造总体策略
现有 信息 网络
改造后
信息 内网
信息 外网
8
改造思路
➢ 电力信息网络的安全合规改造除了借鉴以前的电力二次安全防护标 准外(此规范重点在电力生产业务领域,对管理信息侧没有提出实施细则),应 更多地被动采纳国家计算机安全防护等级标准,其他重要行业如政府、金 融、能源等已经建设的经验。
营销管理(内)
电力市场交易(内)
招投标(内)
安全生产
协同办公
人力资源 项目管理 物资管理
内部门户 内部邮件
综合管理
逻辑 财务管理(外)
强隔离 设备
营销管理(外)
互
电力市场交易(外) 联
招投标(外)
网
接
入
外部网站
区
外部邮件
公司 互联网出口
互 联 网
防火墙
内网终端
外网终端
Baidu Nhomakorabea个人桌面(双机)
8
10
H3C电力内外网安全改造方案综述
中石化内外网改造解决方案
杭州华三通信技术有限公司 公共事业技术部
目录
内外网隔离各种方案介绍 电力信息网改造思路 参考案例分享
内外网隔离方案
物理隔离
广域网、局域网均物理隔离
单机双网卡+硬盘隔离卡
两套有线网络
局域网物理隔离
双机单网卡 新建一套无线网络
逻辑隔离
单机单网卡+硬盘隔离卡 MPLS VPN+EAD隔离 单机双网卡+硬盘隔离卡
防 火 墙
安全区II (非控制生产区)
IP认证加密装置
IP认证加密装置
实时VPN SPDnet 非实时VPN
物
理 隔 离 装
安全区III (生产管理区)
防 火 墙
安全区IV (管理信息区)
防 火 墙
置
防火墙
防火墙
外
部
公
生产VPN SPTnet 管理VPN
共 因
特
网
IP认证加密装置
IP认证加密装置
安全区I
VLAN+ACL隔离
物理隔离方案介绍
----电力信息网内外网隔离方案
电力二次系统数据网络总体策略
1、安全分区
生产控制大区
控制区
生产区
管理信息大区
管理区
信息区
4、纵向认证
3、横向隔离
电力调度数据网
2、网络专用
防火墙
电力通信/信息网 或
发电信息网
现有电力数据网络隔离情况
本次关注 区域
安全区I (实时控制区)
内网服务器区
外网服务器区
H3C IPS H3C ACG
网通
EAD安全策略管理中心 SecCenter安全管理中心
IMC网络管理中心
SecPath IPS
网管中心
H3C FW
SSL VPN网关 SecBlade FW
电信
信息内网
信息外网
EAD终端控制软件
EAD终端控制软件
➢部署ACG应用控制产品实现Internter区域的上网行为监控(行为监管解决方案) ➢内外网之间使用FW和SecBlade核心交换机插卡产品完成内外网之间强策略控制(内网控制解决方案) ➢采用EAD实现接入综合认证(内网控制解决方案) ➢部署FW/IPS/UTM等安全产品实现信息外网Internet边界防护(边界防护解决方案) ➢部署SSL VPN完成信息外网的移动办公(远程安全接入解决方案) ➢部署ASE/AFC/SecBalde FW对SG186业务数据中心进行防护(数据中心保护解决方案) ➢部署SecCenter安全管理中心完成整网安全事件的分析和监控(统一安全管理平台)
无法满足等级 保护的要求
改造目标
电力信息系统是涉及到国计民生的信息系统,一旦受到破坏,会对社 会秩序和公共利益造成严重损害,或者对国家安全造成(严重)损害。根 据国家对信息安全保障工作的要求,国家电网公司(以下简称“国网”)决 定在全公司系统实施网络与信息安全隔离方案——通过技术改造将现有网 络划分为信息内网和信息外网并实施有效的安全隔离。
根据要求,国网下属各网XX电力、地市电业局以及三产公司等国网 系统内单位须在2008年4月前完成过渡方案的实施,在一年半内完成整体 网络与信息安全隔离工作。根据国网公司下发文件的要求,各个网省、地 区、县现有网络都不得与Internet互联网互通,必须建设与内网物理隔离 的信息系统,以保障内网网络的信息安全性。新建的外网与内网采用网闸 等设备进行物理隔离,与Internet采取逻辑隔离方式,确保外网信息正常 发布(营销、信息、招投标等)及信息安全。国网将通过新建信息外网, 完善域名解析、防病毒、补丁管理,加强终端管理等一系列措施实现网络 与信息系统目标安全架构。
11
改造范围
网络系统改造——将重新建设一张与内网隔离的网络(以下称“信息外网 ”),并部署相应安全防范设备和措施,保障信息、数据的安全发布,避 免可能的信息泄密、黑客、病毒等安全威胁。网络主体可考虑用有线方式、 WLAN无线方式或者两者相结合的方式来解决。
业务系统改造——对于现有网络的业务系统进行分析、评估,对于确实 要对Internet发布信息的业务系统和服务器平台,规划搬迁部署方案,将 业务系统转移到外网核心网络,对外网用户提供相应服务,如营销、招投 标系统等。
➢ 加强信息内网和外网的安全审计工作,通过终端安全控制,上网行 为监控,内部安全事件分析管理等手段加强信息网的可管理和可维护性。
9
国家电网公司信息网改造目标
目标架构:双网逻辑强隔离(双机)
生产控制大区 调度数据网
信息内网
管理信息大区 信息外网
调度生产
正向隔 离装置
反向隔 离装置
内网应用
外网交互
财务管理(内)
防 火
安全区II
(实时控制区) 墙 (非控制生产区)
防火墙
防火墙
物
理 隔 离 装 置
安全区III (生产管理区)
防 火 墙
安全区IV (管理信息区)
防 火 墙
电力信息网络安全隔离现状总结
➢实现了调度与管理网络的横向物理隔离 ➢国网\区域电网\省网\地市…纵向贯通 ➢初步实现统一Internet出口(以省为单位) ➢管理信息网络与Internet有逻辑连接 ➢绝大部分网省没有部署综合接入认证 ➢上网行为审计系统缺乏 ➢非法外联缺乏有效监控 ➢安全事件管理与应急措施不健全 ➢存在重要信息泄露的隐患
➢ 由于电力系统的行业特殊性及部分业务(如电力交易、营销、三公 信息等)频繁网上交互的特点,电力信息网络的安全合规改造会把现有信 息网络改造成为电力信息内网,断开与互联网的连接,重新规划一套网络 作为信息外网,可能会部署独立的外网终端。
➢ 内网与外网之间的隔离方式目前存在争议,物理网闸的方式对现有 应用会造成较大影响,尤其是影响SG186部分试点业务的推广,因此国家 电网认为可采用防火墙+强安全策略的逻辑隔离方式。
7
电力信息网络改造总体策略
现有 信息 网络
改造后
信息 内网
信息 外网
8
改造思路
➢ 电力信息网络的安全合规改造除了借鉴以前的电力二次安全防护标 准外(此规范重点在电力生产业务领域,对管理信息侧没有提出实施细则),应 更多地被动采纳国家计算机安全防护等级标准,其他重要行业如政府、金 融、能源等已经建设的经验。
营销管理(内)
电力市场交易(内)
招投标(内)
安全生产
协同办公
人力资源 项目管理 物资管理
内部门户 内部邮件
综合管理
逻辑 财务管理(外)
强隔离 设备
营销管理(外)
互
电力市场交易(外) 联
招投标(外)
网
接
入
外部网站
区
外部邮件
公司 互联网出口
互 联 网
防火墙
内网终端
外网终端
Baidu Nhomakorabea个人桌面(双机)
8
10
H3C电力内外网安全改造方案综述
中石化内外网改造解决方案
杭州华三通信技术有限公司 公共事业技术部
目录
内外网隔离各种方案介绍 电力信息网改造思路 参考案例分享
内外网隔离方案
物理隔离
广域网、局域网均物理隔离
单机双网卡+硬盘隔离卡
两套有线网络
局域网物理隔离
双机单网卡 新建一套无线网络
逻辑隔离
单机单网卡+硬盘隔离卡 MPLS VPN+EAD隔离 单机双网卡+硬盘隔离卡
防 火 墙
安全区II (非控制生产区)
IP认证加密装置
IP认证加密装置
实时VPN SPDnet 非实时VPN
物
理 隔 离 装
安全区III (生产管理区)
防 火 墙
安全区IV (管理信息区)
防 火 墙
置
防火墙
防火墙
外
部
公
生产VPN SPTnet 管理VPN
共 因
特
网
IP认证加密装置
IP认证加密装置
安全区I