|
中国石化信息基础设施建设概况及安全建设策略
李德芳 郭会
信息基础设施建设回顾
1.
起步阶段(1990-1996)
从1990年到1992年,中国石化总部建立了3+网络和相应的文件服务器,实现了数据文件服务器共享,建立了以点对点手动通信的方式与所属企业的数据交换。
从1993年到1996年,企业建立了不同规模的局域网络,采用的网络操作系统有NOVELL、DECNET
等。总部建立了基于NETWARE的NAS(NETWARE
ACCESS SERVICE)的远程访问系统,支持PSTN,卫星,X.25
等多种通信方式,开始为统计、调度、财务和市场信息等应用系统提供数据传输服务。
2.
发展阶段(1996-2000)
1996年,通过微波实现了与INTERNET
的专线接入,建立了中国石化的INTERNET
节点,开始提供基础应用服务。
1997年初,为配合建立集团企业内部网,发布了内部IP地址及域名管理规范。同年,使用自有的卫星信道,选择6
家企业进行网络互联试点。
1998年,与中国电信签定合作协议,利用中国石化的帧中继网络组建中国石化的计算机互联网络SINOPECnet。
1999年,新成立的中国石化集团公司的内部网建设全面展开。随着销售信息系统的建设,完成了所有销售企业的内部网络和与总部的互联。
2000年,完成了内部主干网的建设,使所有企业与总部的网络实现了互联,所用的信道为电信的帧中继和中国石化的卫星通信系统。
3.
提升阶段(2001至今)
随着中国石化主干网的建成,销售信息系统、财务系统、物资采购和化工品销售的电子商务系统相继投入运行。中国石化股份公司成功上市后,信息化进入了快速发展阶段。
2001年,完成了对中国石化INTERNET
节点的改造和提升;并根据中国石化的信息化需求,制定了主干网络的建设规划和提升方案;制定了中国石化网络安全建设规划,开始实施中国石化网络安全一期工程。
2002年-2003年,制定了中国石化网络系统建设策略。以此为指导,完成了一系列的网络系统建设工程。包括:
(1)石化主干网络提升;
(2)网络管理系统建设;
(3)配合ERP
的试点和推广,加快企业网络建设;
(4)以网络边界防护和病毒防护为主要内容的网络安全一期工程建设。
基础设施建设成效
1.
中国石化基础设施总体建设思路
中国石化在最近几年加快了信息化建设的步伐,陆续投用了物资采购和化工产品销售电子商务系统,销售管理信息系统、财务管理系统、经济技术指标统计系统、办公综合业务处理系统等大型信息系统,开展了企业ERP
和加油卡工程的试点和推广。这些系统的推广和使用对提高中国石化的生产、经营和管理水平发挥了巨大的作用。这些信息系统的运行都离不开石化内部网络的支撑,同时对网络的带宽、安全性和可靠性等提出了更高的要求。
首先,加快总部及企业网络、数据中心和基础应用系统的建设,为ERP系统的实施和其他关键应用系统的建设和运行提供稳定、安全、可靠和高效的基础设施。实现对业务应用的全面覆盖。在总部和所有企业,网络应覆盖所有业务点,包括办公地点、厂区、车间、装置、油田、钻井平台、管道、码头、油库、加油站等。
第二,提高网络的高可用性。网络不只是信息基础设施,也是中国石化生产经营管理的基础条件之一,要满足生产和管理系统对其可用性的要求,实现网络服务不中断和业务的连续性。网络带宽满足关键应用系统对传输速率、响应时间和误码率的要求。
第三,建立一体化的网络管理系统。实时监控总部及企业的网络设备、重点服务器和关键应用系统。建立完善的防病毒、防窃密、防入侵、访问权限控制和认证体系,保证中国石化网络和应用系统的整体安全性。
第四,
实现运行管理规范化。建立完善的运行管理制度和规范,建设中国石化集中分布式的客户服务中心,提高运行维护水平。为完成基础设施体建设目标,我们制定了系统建设策略。要点包括:
(1)评估现有的网络基础设施建设现状,分析各种应用特点,明确对网络设施的需求,确定未来网络系统建设目标及整体思路。从中国石化和国内公共通信设施的实际情况出发,结合网络技术的现状及发展趋势,制定总部和企业网络系统建设中有关网络技术和设备、传输链路、卫星系统、自有输油管道光缆综合利用、拓扑结构、IP
地址规划、路由协议及带宽管理等方面的原则和策略。为各级网络建设提供实用和具有可操作性的技术指导。
(2)针对网络管理和网络安全系统方面比较薄弱的现状,确立网络管理平台建设的整体架构和实施步骤,为下一阶段网络安全系统和网络管理系统的建设和完善,提供清晰的实施思路。
(3)确定建立总部及企业两级数据中心的总体目标,明确总部面向经营管理数据、下属企业面向生产数据的建设思路,对数据中心的网络、安全、数据存储、备份、容灾及恢复等系统的建设提出了建设性的原则和意见,为建立规范的数据中心提供系统化的设计指导。
(4)规范化的建设、运行和管理是发挥网络系统和数据中心作用的必要保证;从组织管理方面,建立规范的运行架构,落实人员岗位和职责,设立客户服务中心;配合相应的IT
技术支撑系统,全面系统地提出运行管理的思路和策略,实现规范化和高效化的运维管理,保障应用系统的正常运行。
2.
中国石化主干网
中国石化主干网自1997年开始建设以来,在信息化建设中发挥了重要的作用。随着大型信息应用系统的陆续投用,对网络的需求不断增长,原有网络在性能(链路带宽只有64
K~128K)和可靠性方面越来越难以满足信息化的要求。为此。在2002年对主干网络进行了一次系统的提升。提升后主干网络连接的远程节点达到了110个,链路带宽提升到512K~10M。主干网的核心设备、接入设备和信道实现了冗余备份。总部采用信道化E1
电路和信道化S T M-1
电路作为企业的DDN和SDH电路的接入。链路带宽大于512Kbps-10Mbps的企业采用SDH电路为主链路;小于512Kbps
的企业则采用DDN传输技术为主链路。备份链路主要采用卫星专网(VSAT)和ISDN。当主链路或主路由器出现问题时,企业的备份路由器会主动拨号到总部,提供备份连接。主干网络采用OSP
路由协议,整个主干网根据设备及不同的连接特点被分成8个OSPF域。提高路由的稳定性和效率。
3.
总部网络及INTERNET节点建设
总部网络设备使用具有XRN
功能的3com4060核心交换机,利用动态链路聚合,实现汇聚交换机与核心交换机的动态负载均衡和备份冗余。网络覆盖4个办公楼,连接约1800台终端设备,根据楼层、设备等划分不同VLAN。规划出专门的交换机网管VLAN和安全管理网段。根据服务器的不同应用目的划分不同的服务器区域,以便进行不同的安全防护和管理。
为保证接入的可靠性,中国石化INTERNET
节点通过两条专线与两个ISP
互联。为保证接入INTERNET
的安全性,划分不同的安全域,部署了防病毒、防火墙、IDS等安全设施。建立了内部和外部两套域名服务系统,提供可靠的域名服务。建立电子邮件、代理服务和远程访问等系统,通过统一的目录服务实现了对用户的统一管理。
4.
企业网络建设
中国石化所属企业按照产业链划分为油田企业、炼油化工企业和销售企业。三类企业对信息基础设施的需求不完全相同,系统建设的起点不一样,近几年建设的侧重点也有差别。
(1)油田企业积极推进网络建设工作,实现了油区范围内主要二级单位与油田主干网的光纤宽带连接。其中勘探、开发、科研等单位与主干网连接达到千兆,辅助生产、专业施工等单位与油田主干网连接达到百兆。利用企业网络,开通了电视会议系统,加大了数据源头采集的力度,实现了物探施工数据自动采集、现场校验;钻井、地质录井数据井上采集、现场处理;测井数据自动采集、智能解释;采油队、作业队生产运行数据源头采集、上网共享。
(2)炼化企业从2002年开始实施ERP,为满足生产管理和ERP
系统的需求,对网络进行了重新规划、设计和改造,将网络延伸到车间、库房、罐区及码头,使网络覆盖到整个物流的信息点和管理点。建立了生产装置实时信息系统,有力地支持了MIS、仿真培训、先进控制、PIMS、OA和CIMS等系统。
(3)1999年中国石化建设销售管理信息系统,销售企业的网络设施建设开始起步。项目完成后,初步建立起了省、地和县级公司之间的数据传输网络。伴随ERP
和加油卡等系统的建设,销售企业的网络建设又上一个新台阶。目前省、地之间全部实现了2M的数字专线连接。部分企业通过多种通信方式实现了县级公司、油库、销售开票点、润滑油门市部和重要加油站的网络实时互联,使分销、配送的进、销、调、存和财务数据都能及时进入各应用系统。部分销售企业还建立了基于内部IP网络的语音通信系统和电视会议系统。
5.
中国石化网管系统建设
中国石化网络管理系统采用集中分布式结构,设立两级管理体系。总部网管系统(一级):位于中国石化总部网管中心,负责管理总部网及主干网的网络设备、节点及主要应用,并对企业网管系统(二级)上传至总部网管系统(一级)的重要消息进行处理。
企业网管系统(二级):位于企业网管中心,负责管理本辖区范围内的网络设备、节点和主要应用,本辖区内出现的问题和故障由企业网管中心本地处理。重要的管理信息或故障上传至总部网管系统,并可以申请由总部网管中心协助处理。这样,极大地减少了对广域网资源的占用。
中国石化网络管理系统是按照统一规划、分步实施的方法建设的。
2002年建立总部综合网络管理系统,部署基本的小型网管系统,对网络和关键服务器进行监控;2003年为12家ERP试点单位和甬沪宁沿线的单位实施了网络管理系统;2004年实施ERP
的企业将全面建设本企业的网络管理系统。今后,将逐步推广实施网络管理,最终实现对中国石化网络的全面监控和管理。
企业综合网管系统实现对企业的IT基础设施的综合管理,提供对网络设备、服务器、应用系统的实时监控、故障管理、性能管理和统计分析等功能。
6.
数据中心及服务器资源整合
随着信息系统的规模越来越大,复杂度越来越高,需要综合考虑应用系统对硬件资源的需求,改变目前分散、孤立,基于单个应用系统配置硬件资源的方式,以一种新的理念去构建信息系统的硬件平台。为此,根据中国石化信息系统的特点和目前的技术和产品发展特点制定了中国石化数据中心建设策略。
(1)数据中心及服务器资源整合目标
·整合总部及分(子)公司硬件资源。
·建立面向应用,集主机、存储和备份系统为一体的数据中心平台。
·改善机房环境。
·实现生产、经营、管理和决策数据的集中存储和管理。
·逐步建立异地数据备份中心。
(2)建设思路
统一规划、统一标准、两级建设、两级管理。我们订立了数据中心建设规范,实现统一规划。逐步建立总部及分(子)公司两级数据中心,实行两级管理。
总部数据中心服务于管理数据,分(子)公司数据中心面向生产数据
。
分离信息系统与数据存储。数据不必专属于任何特定信息系统,提高数据共享性、可管理性及一致性
。
支持应用系统的数据存储需求。达到没有服务中断、数据存储容量扩展。
支持应用的数据备份需求,系统化管理备份数据。
(3)总部服务器整合
2002年,通过对总部机关82台服务器的现状、应用类型进行调查,提出了有效合并、适度整合的原则,制定了应用系统和服务器的迁移计划和整合方案。
目前,总部数据中心已初具规模,解决了服务器资源分散、性能落后的现状,提高了系统的可靠性和总体利用率,降低了系统的运行管理成本。
7.
卫星网及视频会议建设
中国石化建立了专用的卫星通信系统,目前共有地面站70个,提供语音、视频和数据传输功能。
中国石化的视频会议系统以基于卫星的H.320系统为主,同时与H.323进行了集成。目前共有各类会议终端100余个,通过多种通信方式,如卫星、内部IP网络和ISDN等召开各种类型和规模的电视会议。仅2003年就召开电视会议108次,参会人员7.2万余人次。取得了良好的效益。
8.
管理与应用成果
中国石化在信息化方面坚持五统一的原则,统一制定了一系列的管理制度、建设规划和建设策略。指导和规划信息基础设施建设的文件包括:
《中国石化信息化管理办法》
《2002-2005年中国石化信息化建设目标和任务》
《中国石化网络系统建设策略》
《中国石化信息系统安全建设策略》
《中国石化网络安全规划》
《中国石化内部网管理办法》等。
根据“企业信息化,网络是基础;实施E R P,网络要先行”的原则,近几年加快进行基础设施建设,为中国石化信息化打下良好基础。目前中国石化的基础设施为下列重大应用提供实时、稳定的通信服务:
·ERP
系统
·加油IC
卡系统
·化工品销售电子商务
·物资采购电子商务
·办公自动化系统
·人力资源管理信息系统
·经济技术指标统计系统
·甬沪宁原油管输指挥调度管理系统
·原油资源优化系统
·成品油二次物流优化系统
信息安全建设策略
在信息化建设过程中,中国石化对信息安全非常重视,做到安全建设与基础设施建设同步进行。
在2000年,制定了中国石化网络安全建设规划。在2001年,开始实施网络安全建设一期项目。
编制了中国石化信息系统安全建设策略。制定了一系列的安全管理制度和规范。
1.
网络安全建设一期工程主要内容主干网——采用IP加密技术对主干传输线路进行加密,保证数据传输过程中的保密性。
卫星电视会议系统——采用线路加密机对卫星电视信号的传输加密,提高了传输图像、语音和数据的安全保密性。
总部网——采用防火墙、防病毒、入侵检测等技术,进行了系统的防护。
企业网——大部分企业都部署防病毒、入侵检测、漏洞扫描等。
2.
系统信息安全建设管理制度、标准规范。包括:
《中国石化计算机信息系统安全管理暂行规定》
《中国石化应用信息系统安全设计规范》
《中国石化计算机网络互联网接口安全建设规范》
《中国石化信息系统关键岗位安全管理办法》
《关于加强对外网站及网站信息发布管理的暂行规定》
3.
中国石化信息系统安全建设策略
2003年,信息系统管理部发布了《中国石化信息系统安全建设策略》(以下简称《策略》),主要内容包括“安全现状及问题”、“指导原则”、“目标与任务”、“技术体系”、“运维管理体系”等。
《策略》在指导原则方面,强调32字,即:
适度集中、分散风险;
突出重点、分级保护;
统筹规划、分步实施;
整体防护、分级负责。
《策略》规定系统要实现的总体目标为:
·规划一个体系:信息安全体系。
·夯实二个基础:技术体系、运维体系。
·抓好三个环节:规划、建设、运行。
·突出五个重点:内外网加固、防病毒、桌面管理、标准制订、关键岗位人员管理。
·达到一个确保:确保以ERP
为代表的各种信息系统连续可靠运行。
《策略》规定系统建设的具体目标为:
建立健全信息系统安全相关的标准、规范和管理制度。
完善病毒防护、入侵检测、漏洞扫描、因特网节点保护体系。
建立桌面计算机资源管理系统,加强对上网计算机的管理和监控。
建立统一的身份认证体系,统一访问入口,实现单点登录,严格访问权限,为各种业务应用建立信任机制。
建立健全信息系统安全运行维护管理体系,包括强化计算机房运行安全管理、强化网络运行安全管理、强化服务器运行安全管理、强化应用系统运行安全管理、强化信息存储、发布、备份、恢复的安全管理。
加强队伍建设和关键岗位人员管理,加强技术培训和安全管理,培养一批建设人才、运行维护人才、管理人才和应用人才。
4.
技术体系总体架构
《策略》的技术构架可用下图表示。
一个宗旨:保证信息系统能够提供高效的应用服务。
两个依据:信息安全战略、方针、政策、法规、标准和需求。
三个要素:人才是根本,技术是依托,管理是核心。
五个安全属性:可用性、不可否认性、完整性、保密性、可控性。
五个动态反馈环节:预警、保护、检测、反应、恢复。
构建的信息安全技术体系划分为安全管理层、业务应用层、安全服务层和网络基础设施层四个层面。信息安全技术包括下述功能模块:
·基础平台加固
·客户端安全
·边界防御
·认证与授权
·数据加密和完整性校验
·安全审计
·预警与应急
信息安全技术平台可用下图表示。
对于安全域的划分原则,确定了根据业务应用及计算机信息系统的重要程度、敏感程度以及信息资产的客观条件,确定相应的安全保护等级和对不同级别的信息资产采用不同的安全策略和防护机制进行保护。
保障信息系统安全的重要环节是建立可靠实用的运维管理体系
。《策略》从“组织管理”、“运维管理”、“事件响应与应急计划”、“人员管理与教育培训”四个方面提出了运维管理体系的建立原则和方法。 |