1. 客戶概況
      山西省電力公司是國家電網公司的全資子公司，承擔著全省3400萬人民和廣大電力客戶的電力供應及向京津唐、河北、江蘇、湖北、山東等地外送電力的重要任務。截止2009年底，全省擁有110KV以上各等級變電站近600座，形成500千伏“三縱四橫”主干網架和220千伏分區(qū)供電格局。同時，山西電網作為我國“西電東送”的北通道之一，已建成晉電外送6通道13回500千伏輸電線路，特別是世界上第一條商業(yè)化運行的晉東南-南陽-荊門1000千伏特高壓交流試驗示范工程落戶山西，在優(yōu)化配置全國電力能源的進程中將發(fā)揮越來越重要的作用。

2. 需求分析
      電力信息系統(tǒng)是涉及到國計民生的信息系統(tǒng)，一旦受到破壞，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成（嚴重）損害。

      根據(jù)國網公司下發(fā)文件的要求，各個網省、地區(qū)、縣現(xiàn)有網絡都不得與Internet互聯(lián)網互通，必須建設與內網物理隔離的信息系統(tǒng)，以保障內網網絡的信息安全性。為此，根據(jù)國網公司要求和網絡現(xiàn)狀，省公司網絡改造分為如下幾大部分：

●網絡系統(tǒng)改造——將重新建設一張與內網隔離的網絡（以下稱“信息外網”），并部署相應安全防范設備和措施。

●業(yè)務系統(tǒng)改造——對于現(xiàn)有網絡的業(yè)務系統(tǒng)進行分析、評估，對于確實要對Internet發(fā)布信息的業(yè)務系統(tǒng)和服務器平臺，將業(yè)務系統(tǒng)轉移到外網核心網絡。

●接入終端改造——可采用單PC方式或者雙PC方式解決。

3. H3C解決方案

圖1 山西省電力公司信息外網拓樸圖

信息外網主要分如下組成部分：

●核心交換區(qū)：采用高性能的萬兆雙核心交換機構成整個信息外網的數(shù)據(jù)交換中心，對其他各區(qū)域通過雙設備雙鏈路匯聚保證全網核心的可靠性；

●服務器區(qū)：存儲設備和各服務器通過兩臺匯聚交換機接入核心交換區(qū)，并在服務器區(qū)到核心交換區(qū)的匯聚鏈路上部署入侵防御系統(tǒng)；

●網絡管理區(qū)：部署先進的網絡管理軟件，對全網拓撲、設備、鏈路、性能、告警實施統(tǒng)一管理，并支持對業(yè)務管理的擴展；

●局域網接入區(qū)：根據(jù)整個調度大樓的信息點數(shù)，在各樓層豎井部署匯聚交換機和接入交換機；

●Internet接入區(qū)：采用路由器、防火墻、IPS入侵防御系統(tǒng)，保證對外訪問、門戶網站、外部訪問、面向Internet的電力系統(tǒng)業(yè)務等多種應用；

●內外網隔離區(qū)：通過安全網閘實現(xiàn)信息內網和信息外網的物理隔離，通過其中的交換矩陣保證二者之間的互訪。

4. 方案優(yōu)勢
4.1 全面的網絡可靠性
核心交換區(qū)和服務器區(qū)匯聚均采用雙機熱備；各區(qū)域到核心交換區(qū)均采用鏈

4.2 高性能的交換核心
采用高交換容量、雙設備、雙鏈路的核心交換機且每臺核心關鍵部件都雙冗余。

4.3 全面的網絡安全保障
提供了從核心、出口、服務器到終端的所有區(qū)所有節(jié)點的安全防護功能。

4.4 有線無線一體化的靈活接入
部署有線無線一體化接入方式，能保證信息外網建設很好的過渡。

4.5 全面ARP攻擊防御
接入交換機支持DHCP snooping特性，從而從接入層實施對非法ARP報文的過濾。

4.6 融合智能的網絡管理
iMC智能管理中心實現(xiàn)了對信息外網資源（拓撲、設備、流量、性能、告警）、用戶（安全）和業(yè)務的融合管理。

4.7 用戶上網事前認證與事后審計的完美結合
通過EAD實現(xiàn)用戶上網的事前認證，確保上網用戶的安全接入；

      通過XLog實現(xiàn)用戶上網的行為審計，確保用戶上網引發(fā)安全問題時可以追根溯源。

5. 運行效果
      山西省電力公司信息外網建設，符合國網公司對下屬公司網絡改造的“疏堵結合，業(yè)務保障，平穩(wěn)過渡，管理同步”十六字要求；即保護原有投資又融入了先進的網絡及安全技術和解決方案如:入侵防御、端點準入防御、ARP攻擊防御、安全事件統(tǒng)一分析與管理，網絡設備聯(lián)動保證電力生產、經營、管理及互聯(lián)網相關業(yè)務的安全穩(wěn)定可靠運行。

      山西省電力公司信息外網成功建設，探索了電力信息網絡主動安全防護的新思路，在整個電力行業(yè)也起到了良好的示范作用。