1. 客戶概況
      山西省電力公司是國家電網(wǎng)公司的全資子公司，承擔(dān)著全省3400萬人民和廣大電力客戶的電力供應(yīng)及向京津唐、河北、江蘇、湖北、山東等地外送電力的重要任務(wù)。截止2009年底，全省擁有110KV以上各等級變電站近600座，形成500千伏“三縱四橫”主干網(wǎng)架和220千伏分區(qū)供電格局。同時，山西電網(wǎng)作為我國“西電東送”的北通道之一，已建成晉電外送6通道13回500千伏輸電線路，特別是世界上第一條商業(yè)化運行的晉東南-南陽-荊門1000千伏特高壓交流試驗示范工程落戶山西，在優(yōu)化配置全國電力能源的進(jìn)程中將發(fā)揮越來越重要的作用。

2. 需求分析
      電力信息系統(tǒng)是涉及到國計民生的信息系統(tǒng)，一旦受到破壞，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成（嚴(yán)重）損害。

      根據(jù)國網(wǎng)公司下發(fā)文件的要求，各個網(wǎng)省、地區(qū)、縣現(xiàn)有網(wǎng)絡(luò)都不得與Internet互聯(lián)網(wǎng)互通，必須建設(shè)與內(nèi)網(wǎng)物理隔離的信息系統(tǒng)，以保障內(nèi)網(wǎng)網(wǎng)絡(luò)的信息安全性。為此，根據(jù)國網(wǎng)公司要求和網(wǎng)絡(luò)現(xiàn)狀，省公司網(wǎng)絡(luò)改造分為如下幾大部分：

●網(wǎng)絡(luò)系統(tǒng)改造——將重新建設(shè)一張與內(nèi)網(wǎng)隔離的網(wǎng)絡(luò)（以下稱“信息外網(wǎng)”），并部署相應(yīng)安全防范設(shè)備和措施。

●業(yè)務(wù)系統(tǒng)改造——對于現(xiàn)有網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)進(jìn)行分析、評估，對于確實要對Internet發(fā)布信息的業(yè)務(wù)系統(tǒng)和服務(wù)器平臺，將業(yè)務(wù)系統(tǒng)轉(zhuǎn)移到外網(wǎng)核心網(wǎng)絡(luò)。

●接入終端改造——可采用單PC方式或者雙PC方式解決。

3. H3C解決方案

圖1 山西省電力公司信息外網(wǎng)拓樸圖

信息外網(wǎng)主要分如下組成部分：

●核心交換區(qū)：采用高性能的萬兆雙核心交換機構(gòu)成整個信息外網(wǎng)的數(shù)據(jù)交換中心，對其他各區(qū)域通過雙設(shè)備雙鏈路匯聚保證全網(wǎng)核心的可靠性；

●服務(wù)器區(qū)：存儲設(shè)備和各服務(wù)器通過兩臺匯聚交換機接入核心交換區(qū)，并在服務(wù)器區(qū)到核心交換區(qū)的匯聚鏈路上部署入侵防御系統(tǒng)；

●網(wǎng)絡(luò)管理區(qū)：部署先進(jìn)的網(wǎng)絡(luò)管理軟件，對全網(wǎng)拓?fù)?、設(shè)備、鏈路、性能、告警實施統(tǒng)一管理，并支持對業(yè)務(wù)管理的擴(kuò)展；

●局域網(wǎng)接入?yún)^(qū)：根據(jù)整個調(diào)度大樓的信息點數(shù)，在各樓層豎井部署匯聚交換機和接入交換機；

●Internet接入?yún)^(qū)：采用路由器、防火墻、IPS入侵防御系統(tǒng)，保證對外訪問、門戶網(wǎng)站、外部訪問、面向Internet的電力系統(tǒng)業(yè)務(wù)等多種應(yīng)用；

●內(nèi)外網(wǎng)隔離區(qū)：通過安全網(wǎng)閘實現(xiàn)信息內(nèi)網(wǎng)和信息外網(wǎng)的物理隔離，通過其中的交換矩陣保證二者之間的互訪。

4. 方案優(yōu)勢
4.1 全面的網(wǎng)絡(luò)可靠性
核心交換區(qū)和服務(wù)器區(qū)匯聚均采用雙機熱備；各區(qū)域到核心交換區(qū)均采用鏈

4.2 高性能的交換核心
采用高交換容量、雙設(shè)備、雙鏈路的核心交換機且每臺核心關(guān)鍵部件都雙冗余。

4.3 全面的網(wǎng)絡(luò)安全保障
提供了從核心、出口、服務(wù)器到終端的所有區(qū)所有節(jié)點的安全防護(hù)功能。

4.4 有線無線一體化的靈活接入
部署有線無線一體化接入方式，能保證信息外網(wǎng)建設(shè)很好的過渡。

4.5 全面ARP攻擊防御
接入交換機支持DHCP snooping特性，從而從接入層實施對非法ARP報文的過濾。

4.6 融合智能的網(wǎng)絡(luò)管理
iMC智能管理中心實現(xiàn)了對信息外網(wǎng)資源（拓?fù)洹⒃O(shè)備、流量、性能、告警）、用戶（安全）和業(yè)務(wù)的融合管理。

4.7 用戶上網(wǎng)事前認(rèn)證與事后審計的完美結(jié)合
通過EAD實現(xiàn)用戶上網(wǎng)的事前認(rèn)證，確保上網(wǎng)用戶的安全接入；

      通過XLog實現(xiàn)用戶上網(wǎng)的行為審計，確保用戶上網(wǎng)引發(fā)安全問題時可以追根溯源。

5. 運行效果
      山西省電力公司信息外網(wǎng)建設(shè)，符合國網(wǎng)公司對下屬公司網(wǎng)絡(luò)改造的“疏堵結(jié)合，業(yè)務(wù)保障，平穩(wěn)過渡，管理同步”十六字要求；即保護(hù)原有投資又融入了先進(jìn)的網(wǎng)絡(luò)及安全技術(shù)和解決方案如:入侵防御、端點準(zhǔn)入防御、ARP攻擊防御、安全事件統(tǒng)一分析與管理，網(wǎng)絡(luò)設(shè)備聯(lián)動保證電力生產(chǎn)、經(jīng)營、管理及互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)的安全穩(wěn)定可靠運行。

      山西省電力公司信息外網(wǎng)成功建設(shè)，探索了電力信息網(wǎng)絡(luò)主動安全防護(hù)的新思路，在整個電力行業(yè)也起到了良好的示范作用。