1. 客戶概況
      山西省電力公司是國家電網公司的全資子公司，承擔著全省3400萬人民和廣大電力客戶的電力供應及向京津唐、河北、江蘇、湖北、山東等地外送電力的重要任務。截止2009年底，全省擁有110KV以上各等級變電站近600座，形成500千伏“三縱四橫”主干網架和220千伏分區供電格局。同時，山西電網作為我國“西電東送”的北通道之一，已建成晉電外送6通道13回500千伏輸電線路，特別是世界上第一條商業化運行的晉東南-南陽-荊門1000千伏特高壓交流試驗示范工程落戶山西，在優化配置全國電力能源的進程中將發揮越來越重要的作用。

2. 需求分析
      電力信息系統是涉及到國計民生的信息系統，一旦受到破壞，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成（嚴重）損害。

      根據國網公司下發文件的要求，各個網省、地區、縣現有網絡都不得與Internet互聯網互通，必須建設與內網物理隔離的信息系統，以保障內網網絡的信息安全性。為此，根據國網公司要求和網絡現狀，省公司網絡改造分為如下幾大部分：

●網絡系統改造——將重新建設一張與內網隔離的網絡（以下稱“信息外網”），并部署相應安全防范設備和措施。

●業務系統改造——對于現有網絡的業務系統進行分析、評估，對于確實要對Internet發布信息的業務系統和服務器平臺，將業務系統轉移到外網核心網絡。

●接入終端改造——可采用單PC方式或者雙PC方式解決。

3. H3C解決方案

圖1 山西省電力公司信息外網拓樸圖

信息外網主要分如下組成部分：

●核心交換區：采用高性能的萬兆雙核心交換機構成整個信息外網的數據交換中心，對其他各區域通過雙設備雙鏈路匯聚保證全網核心的可靠性；

●服務器區：存儲設備和各服務器通過兩臺匯聚交換機接入核心交換區，并在服務器區到核心交換區的匯聚鏈路上部署入侵防御系統；

●網絡管理區：部署先進的網絡管理軟件，對全網拓撲、設備、鏈路、性能、告警實施統一管理，并支持對業務管理的擴展；

●局域網接入區：根據整個調度大樓的信息點數，在各樓層豎井部署匯聚交換機和接入交換機；

●Internet接入區：采用路由器、防火墻、IPS入侵防御系統，保證對外訪問、門戶網站、外部訪問、面向Internet的電力系統業務等多種應用；

●內外網隔離區：通過安全網閘實現信息內網和信息外網的物理隔離，通過其中的交換矩陣保證二者之間的互訪。

4. 方案優勢
4.1 全面的網絡可靠性
核心交換區和服務器區匯聚均采用雙機熱備；各區域到核心交換區均采用鏈

4.2 高性能的交換核心
采用高交換容量、雙設備、雙鏈路的核心交換機且每臺核心關鍵部件都雙冗余。

4.3 全面的網絡安全保障
提供了從核心、出口、服務器到終端的所有區所有節點的安全防護功能。

4.4 有線無線一體化的靈活接入
部署有線無線一體化接入方式，能保證信息外網建設很好的過渡。

4.5 全面ARP攻擊防御
接入交換機支持DHCP snooping特性，從而從接入層實施對非法ARP報文的過濾。

4.6 融合智能的網絡管理
iMC智能管理中心實現了對信息外網資源（拓撲、設備、流量、性能、告警）、用戶（安全）和業務的融合管理。

4.7 用戶上網事前認證與事后審計的完美結合
通過EAD實現用戶上網的事前認證，確保上網用戶的安全接入；

      通過XLog實現用戶上網的行為審計，確保用戶上網引發安全問題時可以追根溯源。

5. 運行效果
      山西省電力公司信息外網建設，符合國網公司對下屬公司網絡改造的“疏堵結合，業務保障，平穩過渡，管理同步”十六字要求；即保護原有投資又融入了先進的網絡及安全技術和解決方案如:入侵防御、端點準入防御、ARP攻擊防御、安全事件統一分析與管理，網絡設備聯動保證電力生產、經營、管理及互聯網相關業務的安全穩定可靠運行。

      山西省電力公司信息外網成功建設，探索了電力信息網絡主動安全防護的新思路，在整個電力行業也起到了良好的示范作用。