面對全球市場化的挑戰,企業要實現跨地區、跨行業、跨國經營的戰略目標,把重心轉移到技術創新、管理創新和制度創新上來。信息化是必然的選擇。油田數字化建設為油田生產運營提供安全、穩定、高效、可靠的網絡服務目標,將工作重心轉移到保障?數字化管理?網絡需要啟動。圍繞中國石油規劃的計算機局域網改造工程的實施,主要從計算機骨幹網、網絡安全體系、網絡數字化管理等方面提供強有力的通信信息服務保障。油田的數字化建設對計算機網絡的安全提出了更高的要求。
壹、網絡系統架構
遵循中國石油局域網建設和運行規範,結合各油田實際情況,科學規劃,從網絡架構、設備配置、系統承載能力、網絡帶寬等方面全面建設網絡。
網絡架構設計。按照核心層、匯聚層、接入層三層架構的設計原則,在主要油氣區域設置網絡匯聚節點,提高網絡覆蓋,滿足油氣生產需求。
網絡拓撲采用雙星結構。自有電路與社會電路資源相結合,在鏈路層面提高了油氣區域網的可靠性和安全性。對於主要油氣區的集輸節點,采用網狀組網,在其他集輸節點上增加千兆電路,提高網絡冗余度。
設備配置。骨幹節點設備采用冗余配置。Xi安網絡核心、網絡匯聚節點和重要三級節點的路由器和交換機采用兩臺設備冗余配置。工作在設備和備份設備的雙機模式,在系統或硬件出現故障時應用自動切換,從硬件層面提高骨幹網的安全性和可靠性。
網絡帶寬。油田數字化管理全面展開,計算機網絡帶寬需要根據業務需求進行規劃。網絡服務分為生產、辦公、居住三類,並逐壹預測帶寬。骨幹網承載的主要業務生產數據按其業務級別逐級分解,從井站、作業區、廠部到公司,明確了骨幹網的帶寬要求。初步確定網絡核心與匯聚節點采用雙2.5Gbps鏈路互聯,三級節點至網絡匯聚節點采用1-2 1000Mbps-ff鏈路,核心網采用雙萬兆互聯鏈路方案。為了保證鏈路的可靠性,主節點采用雙鏈路互連。
二、網絡安全體系的規劃與建設
如何規劃和設計好網絡安全體系是油田數字化管理基礎網絡建設的重中之重,也是支撐各種信息應用系統運行的關鍵。按照中國石油的統壹規劃,所有油田的計算機網絡都與中國石油總部的內部網絡互聯,對外可以通過電信運營商在本地接入互聯網。這樣,網絡安全就可以分為內部安全和外部安全來考慮。在建設暢通可靠的油田計算機骨幹網的同時,油田要做好網絡安全工作,從網絡的邊界層、核心層、接入層、安全體系等方面進行統籌規劃,初步形成了嚴格邊界防護、核心重監控、桌面勤補漏、全網統建的網絡安全管理理念。網絡安全得到加強,異常應用流量減少90%。在邊界層,采用防火墻和IPS技術,實現來自外部網絡的壹級防護;在網絡核心層,首次將流量清洗技術應用於企業網絡,不僅實現了外網的二級安全防護,還實現了企業內部各種重要業務和用戶之間的流量監控和主動數據清洗。在接入層,利用漏洞掃描系統不定期對敏感業務系統進行掃描和加固,及時發現和消除安全隱患;骨幹網方面,以建立網絡安全體系為核心,加強網絡安全管理,初步建立骨幹網安全評估體系。
1,互聯網網絡安全。在接入互聯網部分,按照安全區、信息交換區、互聯網接入區三個安全區規劃了兩道防火墻。考慮到出口網絡的10兆升級和防火墻的處理能力,同時為了降低出口網絡的復雜度,選擇具有IPS功能的防火墻,通過防火墻設備完成出口網絡。
的安全防護和入侵防護功能。防火墻的選擇既考慮了國內產品自主知識產權的優勢,又兼顧了國外產品性能高、穩定性好的特點。
2.內部網安全。通過對目前業內各種安全技術的跟蹤研究,從三個方面加強內網安全建設:用D層清理、掃描加固桌面漏洞、構建全網安全體系。監控和清理核心網絡流量。壹方面通過建立流量模型來保障主業。在網絡的核心。通過采用相對串聯和鏡像等先進的分光技術,部署旁路流量分析和監控設備。通過分析網絡核心和互聯網出口的流量情況,提煉出重要業務的特征,建立全網主要流量模型,為網絡規劃建設提供依據。對於消耗大量網絡帶寬的業務,如P2P,設置閾值和流量管理規則,最大限度減少P2P業務對用戶網絡訪問的影響。另壹方面,通過異常流量的清理,保證核心業務和網絡的安全。針對目前網絡中頻繁出現的病毒攻擊,選擇bypass部署網絡異常流量清理設備,利用策略路由和BGP引流實現流量監控和異常流量清理,使網絡安全管理由被動變為主動,由事後分析變為事前預防,由未知變為可見。據統計。2010年3月,成功排除1600多起安全事件,大大提高了網絡的穩定性和可靠性。各種安全策略和規則庫的及時更新和升級也使系統能夠應對各種新的攻擊。
3.安全評估構建和桌面漏洞掃描。在網絡核心部署漏洞掃描系統,不定期掃描相關業務網絡,發現漏洞,及時進行安全加固,減少安全事件的發生,提高網絡穩定性。在此基礎上。與具有國家安全資質的第三方公司合作建設安全體系,逐步建立較為完善的網絡安全管理體系。
第三,網絡管理
計算機網絡大規模建設和發展後,網絡運維工作量成倍增加,但網絡運維人員數量卻沒有增加。如何高效地運行和維護已經成為壹個亟待解決的問題。通過不斷的研究和測試,我們認為在專業網管軟件、第三方網管軟件和網絡廠商的國產網絡軟件中,第三方網絡軟件更具實用性。縱觀CA、HP等廠商的系統,Solarwinds已經成為壹套更適合本單位實際情況,能夠快速高效部署運營的系統。主要實現了以下幾個方面的開發和應用:對網絡設備包括路由器、交換機、防火墻、服務器等的實時監控。涉及思科、中興、H3C、華賽、Junipier、飛塔等廠商的產品,監控參數包括CPU、內存、帶寬、會話數等。實現各種故障的實時報警和管理,並通過短信及時提醒運維人員;實時展示整個網絡的拓撲結構,用圖形界面友好地展示網絡的流暢度;實現全網設備配置的自動備份,對比配置,方便技術人員分析設備運行情況;網絡和設備可用性等指標的定量統計分析;靈活定制各類報表,方便決策分析和統計。通過自定義方式建立的資源管理大大方便了網絡基礎數據和資料的管理。
四。結論
在壹年多的實際運維中,骨幹網沒有中斷,出口順暢,網絡可用率達到100%。網絡整體服務能力各項指標顯著提升:網頁平均打開時間由15ms縮減至7ms主幹帶寬利用率保持
;