项目背景

　　就目前的电力行业用户而言，电网和电厂无疑是电力行业用户的核心，而两者之间的信息沟通不可或缺。自从电力行业组织机构重组和区域重新划分之后，厂网拆分以及三网融合，数据打击众等多种IT应用出现，不仅要求电厂，电网用户内部网络的互联互通，还要求二者开放更多的外界网络端口。这种网络端口开放使用使得电力行业的信息安全问题由原来的仅限于内部事件，专变为现在来自外界的攻击将越来越多，原有的网络安全设计很难满足这种变化。

　　作为内蒙古自治区唯一独资大型电力企业，内蒙古电力资产总额348亿元，所属单位29个，员工28000人。近年来内蒙古电力的信息化建设取得了快速的发展，目前已建起覆盖内蒙古所有12家供电企业及相关单位的宽带IP数据广域网。该网络以省公司信息中心、包头供电局为核心节点，其他单位就近接入核心节点，主干带宽为622M，二级节点到主干带宽为155M，并采用千兆网络来构建城域网。

　　随着内蒙古电力信息网络业务的进一步推进和发展，网络安全建设成为重点。来自外部网络的病毒和进攻不断增加，特别是大规模网络蠕虫病毒的泛滥，为内蒙古电力原有的安全设备造成了不小压力。特别是全网的网络层和应用层的安全问题更是安全改造的重点。

　　为了加强并巩固广域网的信息安全，同时避免将来扩展和部署网络的复杂性，Juniper公司对内蒙古电力公司数据中心网络平台的可靠运行进行了全面评测，并进一步分析出存在的安全隐患。通过部署Juniper公司的ISG系列防火墙与IDP的最佳组合，把网络攻击有效地控制在小型的局域网范围内，确保了信息网络的正常运转。解决全网的网络层和应用层安全防护问题。

　　根据安全域部署安全网关：ISG+IDP最佳组合

　　内蒙古电力网络安全一期建设将全网划分为核心交换区、IDC应用区、办公区、Internet区等区域。此次Juniper公司采用安全网关/防火墙系统来对企业网络的所有不用安全域互联接口进行安全控制，包括Internet进出口控制，广域网进出口控制以及IDC进出口控制。内蒙古电力网络安全一期建设的主安全域的划分主要通过安全网管以及入侵检测防御系统（IDP）实现。

　　根据Juniper对电力系统实际需求的分析并结合内蒙古电力对二次系统地相关建设要求，Juniper公司提供的方案中采用了千兆安全网关/防火墙系列产品：ISG1000、ISG2000与IDP。ISG1000/2000是代表全球最先进网络安全技术的产品，最有价值的优势在于其卓越的实际环境性能，稳定性以及与IDP硬件集成的特性，能够全面适应电网安全发展的需要。JuniperISG系列防火墙将访问控制（FW）和入侵保护（IDP）功能无缝集成在一个安全平台上，很好的平衡了两者之间的关系，并优化网络结构，方便网络运维，有效保护用户的投资。ISG1000和ISG2000集成了最佳的深层检测防火墙、VPN和DoS解决方案，齐全的高密端口布局，体现了软硬兼施、内外统一、应用灵活、集中管理等多种设计优点。能够为关键的高流量网络分段提供安全可靠的连接以及网络层和应用层保护。同时Juniper公司的IDP产品可在网络和应用层攻击产生任何损害前有效识别并终止它们，从而最大限度的减少与入侵相关的时间和成本。

核心节点防火墙部署

骨干和接入节点防火墙部署

　　实施效果

　　内蒙古电力通过架设Juniper防火墙产品，对全网的网络层和应用层提供了进一步的安全保护，隔离把网络攻击有效地控制在小型的局域网范围内，降低了网络面临的各种潜在安全威胁，极大地提高了主干网的信息安全防护水平，并有效保护了业务的安全和连续进行，以及信息网络的正常运转。内蒙古电力IT信息部门相关负责人表示：“我们选择Juniper网络公司的防火墙产品是因为其防火墙产品拥有高可靠性，为我们主干网日益增长的安全管理问题提供了最好的解决方案，使内蒙古电力的信息安全防护水平得到了进一步的加强。未来我们还会考虑继续采用Juniper的其它安全产品，进一步加固内蒙古电力全网的安全水平。”