今年,承担着首都安全供电和整个华北地区电力供应与服务的华北电网做出了一项重要决定:引进全新的网络流量管理思路,在实现核心数据保护、关键业务带宽保障的同时,综合考虑绿色节能、总体拥有成本,通过员工“上网行为管理”来提高系统可用性及可靠性,实现企业内网的融合优化,形成整体、协调的数据管理、交换能力,以此提高系统效率。通过建立一个稳定、高效、智能的上网行为管理系统,促进华北电网“构筑数字化电网、建设信息化企业”目标的实现。
简而言之,就是要对原有的网络来次前瞻性地“变身”,加点“管理”的新元素。
“员工上网行为也可能存在问题,访问一些政治性宗教性网页会带来法律纠纷;通过邮件、BBS、博客等,企业内部关键信息也可能在无意识中泄露出去;而P2P下载、网络电视、在线炒股等应用,严重导致网络带宽有效利用率不高,还影响员工的工作效率。考虑到这些问题可能的影响,我们开始积极寻找解决对策——非得管理制度和技术手段并重才行。”一位当时的项目负责人一语道破华电部署上网行为管理系统的缘由。
流量的困惑
“华电旗下有30多家各级子公司,互联网出口为双线路冗余,总出口带宽高达255M,这样的信息化程度算得上很高了,可还是会存在带宽不够的现象。”这位项目负责人表示,考虑到信息化的发展方向,华电公司开始对网络拥塞、关键业务无法保证、异常流量不能有效定位和业务数据保密性难以保障等诸多方面问题进行重点关注。“这也算是未雨绸缪吧。”
网络拥塞比较容易理解。一般而言,任何企业或组织机构在构建自己的网络系统时,都会考虑到一定的前瞻性,但是受到当时环境、资金等局限性,都不会是“一劳永逸”的。虽然华北电网不停地增加带宽,但员工还是感觉网速不足。在网络使用高峰时,互联网带宽几乎被占满,经常没有富余。该负责人举了一个简单的例子,当网络出现拥堵时,网页打不开、邮件发不出,员工办公受到影响,企业业务也有可能损失。“碰上夏天这种用电高峰期,我们都会不转眼珠地盯紧网络,生怕出点什么乱子。”
正因为网络拥塞,关键业务无法保证和业务数据保密性难以保障等问题也都好理解了。员工在工作时间炒股、游戏、电子购物,严重影响工作效率。与此同时,网络中存在着大量的P2P类应用,(如BT、迅雷、网络电视等),也会侵蚀带宽,导致一些依托于互联网的业务系统无法正常工作。不仅如此,华电企业网信息审计(包括POST审计和邮件审计)系统还不能预警,网络中外发的文字没有记录,上传与下拉的文件没有记录,根本无法谈“阻断”。员工通过邮件、BBS、博客等方式,很有可能无意识地把公司最新动向和发展规划泄露出去,企业信息外发存在一定的安全风险。“这一切就像多米诺骨牌一样,形成了连锁反应。”更为重要的是,华电企业网系统承担信息并发访问和数据调度等多种服务,复杂的数据操作会给Web服务器系统造成一定的压力。如果异常流量不能有效定位的话,网管人员就只能够发现系统异常,却不能迅速及时地解决问题。为了加强对互联网使用的管控,保障关键业务顺畅,华电上网行为管理系统的部署势在必行。
因此,建立统一的网络控制管理平台,为业务应用提供丰富、高速的带宽,高效管理员工们迅速膨胀的上网行为,实现网络资源利用的最优化,已成为华北电网发展中的大问题。对此,网康科技的开发人员与华电相关人员共同商讨了一套高可用、高安全、高扩展的互联网控制管理方案,构建了精细的互联网管控平台,降低互联网接入风险,保护核心数据,提升网络效率,以保障电力服务的安全、可靠。
管理的魅力
通过对华电网络的前期审计评估,了解实际应用的分布情况,网康科技的工程师采用NS15000作为上网行为管理设备,针对华北电网的需求做了针对性的管控策略:加强用户入网认证,精细分配带宽流量,有效过滤不良网站,灵活控制网络应用,实现互联网使用状况全面管控、审计,从而规范内部上网行为,降低互联网接入风险,提升华电网络带宽使用价值。
那么,这样做有什么好处呢?华北电网如何从中受益呢?笔者了解到,改造后的网络管理系统在以下几个方面具有突出的特点:
业务系统使用无忧:通过自定义带宽通道,华电新建立的网络管理系统对HTTP及关键业务系统作了正常使用的评估及相应的带宽保障;同时通过强大的URL过滤数据库,有效过滤了与工作无关的网址,保障华电关键业务在任何状况下都不受影响,能够顺利进行,带宽资源得到合理分配。
审计内容纵深安全:系统针对华电敏感的POST关键字作了相应的阻塞及告警功能,杜绝了不良言论和法律纠纷。同时,系统提供的详尽的互联网活动审计日志,对外发言论(包括mail、论坛发贴,博客发文)实现全方位的内容记录,使所有言论有史可查,有据可依,从而在问题出现时能够及时定位,责任到人。最终为改变网络环境提供了有效的数据支持。工作效率有效提升:华电网络管理系统对员工上班时间炒股、网上购物,玩游戏(包括IM类游戏)等活动进行了管控,网络电视、电影、游戏等网络娱乐应用也被限制,这样一来,有效提升了员工的工作效率,有助于华电企业核心竞争力的提升。
流量控制清晰明了:系统对员工在上班时间使用P2P类软件进行了流量限制,同时禁止使用网络电视,降低了这些应用对企业互联网带宽的占用。实施以来,网络总流量下降50% 之多,华电网络管理工作也变得更加简单和智能,网管员能够通过报表统计直观地完成性能监控、流量管理。
动态监控实时预警:华电企业网是国家电网业务系统的基础支撑,也是国家重要的信息化基础设施,保障信息安全尤其重要。改造后的网络管理系统启用ICG的防护功能,针对员工机器中木马或病毒后产生的异常流量进行自动屏蔽,异常IP被实时监控,随时报警功能让网络安全事故得以及时解除。同时,管理系统给管理员定位网络故障提供快速有效的依据和手段,保证了华北电网业务系统的正常运行。
风险站点访问监管:系统还能够对高风险站点的访问进行监管,通过ICG的URL分类库对犯罪技能、病毒(木马类)网站进行控制管理,减少华电内网用户感染病毒及受到钓鱼式攻击的机率,也将华北电网的互联网管理条例落到实处,使员工的上网行为更加健康化、科学化。
电力行业正发生着一系列深刻的变革,伴随着管理观念和服务方式的转变,电力企业只有充分整合资源优势,运用先进的信息化技术提升经营管理理念,才能更好更快发展。几年来,完善的信息化建设全面提高了华北电网管理工作的效率,促进了业务向精益化、流程化管理的转变,增强了公司集团化管控和风险防范能力,提高了公司集团化运作和资源优化配置水平,并为公司生产经营决策提供支持,成为企业真正不可或缺的核心竞争力。在全新互联网络控制管理的旅程上,华北电网正在留下坚实的足迹。