石油天然气企业数据中心网络安全解决方案

责任编辑：王李通

2013-07-19 22:26:49

摘自：比特网

石油天然气企业具有全球化、多集团、多组织、流程复杂、成长性强的发展特点和管理特征。

石油天然气企业信息化现状

石油天然气企业具有全球化、多集团、多组织、流程复杂、成长性强的发展特点和管理特征。

全球化：企业的经营以一国为主，涉及多地域的全球市场，实施跨国经营;采用多种经济、贸易、会计、税务、劳务制度。

多集团、多组织：企业采用多级集团管控，经营多元化产业;业务组织单元多、形态多，变化频繁。组织与行业分工明显，组织间业务关系复杂;矩阵管理特色明显，组织间管理关系复杂。以石油行业为例，主要业务包括油气业务、石油工程技术服务、石油工程建设、石油装备制造、金融服务、新能源开发等，信息化的服务对象多而杂。

流程复杂：经营涉及行业多，业务流程复杂;业务流程变化多、变化快。同样以石油行业为例，涉及油气勘探开发、炼油化工、油品销售、油气储运、石油贸易、工程技术服务和石油装备制造等多个流程。

成长性强：企业还处于快速发展期，转型、升级、并购、管理模式变化多。

基于以上发展特点和管理特征，石油天然气企业的信息化建设面临严峻挑战：

原有业务系统分散，缺乏统一的访问入口。缺乏对员工协同工作的有效支撑;大量信息缺乏管理，知识利用率低;业务系统之间交互效率低下，存在信息孤岛。

新业务系统建设周期长，已有业务很难快速简单扩容。业务系统配置复杂，维护成本高。

业务系统分散建设，IT资源使用率低下;业务系统闲置，资源无法重复利用;业务系统老旧，无法平滑升级扩容;业务系统部署分散，整体管理难度大、效率低。

通过统一规划、统一标准、统一设计、统一管理的企业云数据中心，将公司的应用程序和数据整合到一起，提高系统间的交互效率;员工通过门户轻松地访问到公司所有信息资源和系统;通过一个有效的平台来发布和查询公司相关内容;为员工提供开放的协同工作环境，充分提高团队各成员的合作和沟通效率;为不同员工提供其最需要的信息，提高工作效率。因此，数据中心建设是石油天然气企业信息化建设的关键，实现敏捷运营、支持快速扩张、保障已有IT投资。

业务挑战近

十年来，随着企业的高速发展和经营对数据依赖性的增长，数据中心向着更大容量、更高能力、超大规模、多种业务模式和运营模式共存的方向发展。石油天然气企业数据中心网络安全面临严峻的挑战：

(一)DDoS攻击

DDoS攻击已经成为数据中心面临的最大威胁。攻击流量越来越大，由2005年的5G上升到2011年的100G;攻击手段越来越复杂，在2011年应用型攻击已经占到所有攻击中的71%;攻击越来越智能，能够模拟各种正常的上网行为。传统的网络安全设备难以防范，导致企业重要的业务中断，造成严重损失。

(二)黑客入侵

随着互联网的发展，黑客入侵行为越来越多。数据中心存储了企业的关键信息资产，成为黑客攻击的重点。由于服务器上安装的软件系统规模越来越大、复杂度越来越高，大量的漏洞不断涌现。2009年，Symantec公司记录的漏洞总数为4814个，2010年这个数字达到了6523;受漏洞影响的厂商由2009年的734个增加到了2010年的1914个，增长率达到了161%。入侵攻击带来的安全威胁飞速增长，尤其是混合威胁所带来的风险。黑客攻击、蠕虫病毒、木马后门、间谍软件等威胁泛滥，企业的机密数据被盗窃，重要数据被篡改、破坏，遭受了严重的经济损失。

(三)安全隔离

石油天然气企业业务复杂，各部门的安全需求和保护等级各不相同。企业需要对自身的网络资源进行有效的安全区域、等级划分。安全区域是指在网络中拥有相同网络资源访问权限的主机集合，安全区域的划分主要依据企业内部部门的划分，例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。只有这样才能保障网络安全运行，更好的保证企业正常运作。

(四)专属安全防护需求

大型石油天然气企业由多个成员企业和专业分公司组成，每个成员企业和分公司又细分为多个部门。对于跨国的石油天然气企业，部门的数量可达到成百上千。企业数据集中后，这些职能、权限各不相同的部门将共同使用同一个数据中心，它们都希望获得专属的安全防护服务。专属的服务是指自主的安全策略部署、独立的日志报表查看、独立的资源享用。如果为每个部门单独部署一台安全设备，成本将大大提高。

(五)网络性能瓶颈

企业应用整合、数据集中，为数据中心带来了更大的性能压力。一方面，所有的企业用户访问集中的数据中心，边界的网络流量激增;另一方面，计算、存储、网络资源的统一融合使数据中心内部的流量大大增加。无论是边界网络还是内部网络都面临性能瓶颈问题

综上，石油天然气企业的数据中心网络需要全面的安全防护：

(1)防御来自网络外部的DDoS攻击，保障数据中心的可用性;

(2)对应用层攻击进行预防和阻止，不仅能够检测入侵的发生，还要能通过一定的响应方式，实时地中止入侵行为的发生和发展，保护信息系统不受实质性的攻击;

(3)攻击防范及访问控制，抵御来自外部的各种攻击;在企业内部根据部门的不同安全区域、级别进行隔离;

(4)高密度部署，具备虚拟化能力，低成本地满足企业各部门专属安全防护的需要;

(5)高性能，适应数据中心大网络流量的特点;

高可靠，增加网络的可靠性。

解决方案

华为数据中心网络防护安全解决方案遵循模块分区的设计理念。根据企业自身特点，依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等，把数据中心分成外联区(Internet/Extranet外联区)、核心区，外联区的为用户提供web访问接入，核心作为用户业务中心，为租户和web服务提供业务支持，数据中心核心区聚集了企业大量生产、办公服务器，地理上一般集中部署在企业总部数据中心机房，安全程度要求更高。通过对数据中心的分析，目前对数据经中心的安全需求基本包括以下方面：

数据中心链路普遍采用10G链路，将要向40G/100G链路进行迁移，同时，数据中心的发展，使得大二层数据中心快速发展，东西向流量的交换集中汇聚到数据中心核心交换机，这种趋势必然要求信息安全产品需要有更高的处理能力，低性能的网络安全防护产品(如FW/IPS)制约了数据中心的平滑升级;

数据中心的发展规模越来越大，业务越来越多，企业数据的价值越来越高，各种对数据的攻击也日新月异。攻击呈现持续性、高流量、异变性等，如何防护这些种类繁多的攻击行为要求防护产品的快速反应和高性能的处理能力;

信息安全威胁的快速变化，需要网络安全产品具备快速的更新升级能力，以及要求安全厂商有更积极的更新升级策略;

网络安全产品能够感知不同的应用类型，在网络需要时可以对不同的应用给予不同的带宽保障，保障高价值业务的用户体验;以缓和数据中心出口带宽的压力，提升用户体验。

(一)外联区安全防护

华为高端防火墙部署在大型数据中心出口，为客户提供高性能、高密度、高可用性、高安全的网络安全基础架构。通过部署高性能的高端墙，实现了安全域隔离，将数据中心划分为外联区和核心区，对各个域之间的流量进行安全防护，有效避免网络风暴扩散，保障网络安全，通过配置高性能USG设备，可以实现屏蔽可疑源地址安全策略;配置虚拟防火墙，实现2层到7层的虚拟系统隔离;可以实现配置资源预分配，控制虚拟防火墙的进出流量和会话连接数;配置公网IP限流，防止某个IP占用过量带宽等能力。

在外联区部署IPS入侵防御系统，及时判断网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，并在发现威胁的情况下进行阻断或告警等措施，实现对网络的安全保护。通过在关键业务系统的入口交换机旁路部署NIP系统，对访问系统的网络流量进行实时入侵检测，实现了统计分析、入侵检测与防护、安全审计等功能。

同时在出口部署Anti-DDoS设备，可以有效识别DDoS攻击，减少恶意流量的冲击，实现对DDoS的攻击防护。通过在外联区部署Anti-DDoS设备，还可以采用运营模式，可以给用户提供个性化的安全保护，Anti-DDoS安全运营方案，可以为企业网用户、大客户、政府机关等提供安全防范。该解决方案通过旁路部署专业的Anti-DDoS设备，提供基于大客户的业务配置及管理，包括大客户的信息管理，大客户攻击事件管理，大客户攻击流量呈现管理等。

(二)核心区网络安全解决方案

通过在核心交换机上部署各种安全业务，如防火墙、IPS/IDS等为数据中心的业务提供内部网络安全解决方案。

在核心区部署高性能USG设备，将核心区按照业务模式划分不同的区域，如测试区、托管区、运行管理区等，对不同的区域实现不同的安全策略，为不同的区域提供不同的安全防护能力，同时USG可以支持多实例解决方案,如将一台防火墙从逻辑上划分为多台虚拟防火墙，为多用户提供独立的安全保障。

在核心区部署高性能的IPS设备，以旁路IDS方式部署NIP产品，监控内部的攻击行为，检测异常的数据流量，同时在业务服务器群前，防御DDoS攻击，以及各种黑客攻击行为和蠕虫等，以保护高安全业务区的业务安全。

方案亮点

多种专业防护能力：

采用“七层过滤”技术，秒级防御流量型、应用型、畸形报文等各种DoS/DDoS攻击;方案集成业务感知模块，超过1200多种应用识别能力，能够对业务做到应用层可视化管控。基于专业的IPS引擎和先进的漏洞检测技术，实现业界领先的高检出率和低误报率，可在线更新知识库。

高性能：

针对数据中心大数据、大流量的特点，华为数据中心网络安全解决方案依托电信级的硬件平台，提供高性能、高可靠的安全防护。在业务吞吐量、接口能力、漏洞检出率/误报率、防护响应速度等安全设备关键指标上全面领先业界水平。

高可靠：

方案涉及设备的电源/风扇/主控等关键部件冗余和可热插拔，业务板间均衡负载流量，多种容错设计保证在海量复杂网络流量下可靠性和可用性，保证业务永续。

易扩展：