2010年11月广州将举办第十六届亚运会,地方政府和电网公司各级领导高度重视亚运会保供电各项工作的准备情况,对于电力行业的检查非常严格,东莞供电局网络与信息安全工作准备积极、进展有序。
以前,东莞供电局内网用户较多,计算机水平参差不齐,员工在上班期间随意访问互联网网站、使用下载、在线看视频等现象客观存在。网络应用越复杂,用户安全防范意识薄弱,导致用户中病毒感染网络的情况时有发生,因此网络管理一直是件难以合理解决的事情。供电局与省公司之间通过MPLS VPN连接,财务、人力、营销等业务数据和访问互联网的数据都通过VPN传输到省公司。业务数据和互联网数据相互混杂,互联网数据流量过大,挤占业务数据的流量,不仅导致了业务效率下降,而且互联网数据带来的中木马、感染病毒等一连串安全隐患,让业务数据的风险指数直线上升。
面对这些问题,我局展开了全面的研究讨论。网络管理力度不加大,后续产生的网络问题只会渐趋严重,互联网数据与业务数据不分开,业务终究会因此受到影响或者损失。加上亚运会的日益临近,我局必须保障在亚运会期间网络与信息系统均无故障运行。
最后我局决定从保障关键业务和加强企业文化管理两个方面来做。
数据分流 保障关键业务
我局使用的财务、人力、营销等系统的服务器和互联网出口都在省公司,内网所有的数据经过三层交换后通过VPN连接到省公司,省公司服务器返回或者转发数据。在我局与省公司之间,若访问互联网数据流量过大,将会抢占财务、人力等关键业务的带宽,容易出现一部分人悠闲的开着下载,一部分人却急着把重要邮件快点发送出去的极端现象。内网用户随意访问网站带来的病毒和木马造成的网络故障,使得业务数据的传输也受到中断,将会造成很大的损失。数据的集中管理在这时候显然遭遇了瓶颈,适当的分流才是解决之道。
因此,我局在核心三层交换机上将业务数据(财务、人力、营销等)与互联网访问数据分开,业务数据经过核心交换机后走自己的VPN线路到达省公司,省公司服务器返回的数据也通过业务数据的VPN通道返回,互联网访问数据经过三层交换机转发后,不直接到达省公司,而是经过上网行为管理设备和防火墙的安全过滤后再返回在三层交换,保障数据安全后再从省公司转发出去。
经过详细的数据分流措施,互联网数据必须经过上网行为管理和防火墙的过滤、记录后才转发,网络回转的中断不再影响业务数据正常流通。因此不仅保障了业务数据的带宽流量,提高了业务的工作效率,而且从安全方面为业务数据提供了隔离保护,真正解除网络流量方面最大的隐患。
规范化上网 加强企业文化管理
企业内部人多且杂,个人计算机水平不等,个别员工上班随意浏览各种网页、下载电影等现象屡禁不止,与我局企业文化大相径庭。加上亚运会临近,省公司对网络的检查力度不断加大,需要做到实名制上网,对用户上网的行为进行记录,如何才能达到如上要求?经过与同行的沟通和多家厂商的对比,我局与深信服进行了合作,利用他们的上网行为管理实现实名制上网、设定上网白名单并准确记录用户上网行为。
将上网行为管理设备放在三层交换和防火墙之间做网桥部署,所有互联网数据都流经该设备,内网用户上网,必须经过它的实名认证,否则不能上网。在这个设备上,通过设定上网白名单,将用户允许访问的网站类型做定义,因此防止用户随意点击非法、犯罪、色情等网站,在企业内部造成不良影响。同时,利用它限制用户的恣意下载,为业务数据保障流量。经此调整,以前每天高达90%的访问下载流量现在下降到了20%-30%左右,而发送邮件的流量上去了,大大减少了网络出口的压力。同时,该上网行为管理设备详细记录用户的上网数据,报表直观,支持关键字查询,满足了省公司的用户上网数据保留90天以上、发生关键事件有据可查的要求。
经过这些上网策略的制定,内网实现了规范化上网,为东莞供电局提供了一个可视可控的平台,减少了感染病毒、中木马的风险,提高了网络的安全,为我局的企业文化管理做好了重要的一步。
