您现在的位置是:首页 > 行业 > 制造 >
石化企业专注:如何为信息系统“上保险”
摘要 近年来,在中国石化信息工作“六统一”战略方针的引导下,河北石油从公司到遍布全省的油库、片区、开票点、加油站,全部实现了联网。二次物流、OA、ERP、加油卡、零售管理、非油品等一大批系统的应用,表明信息技术对企业日常经营管理工作的支持力度不断加大,应用风险也...
近年来,在中国石化信息工作“六统一”战略方针的引导下,河北石油从公司到遍布全省的油库、片区、开票点、加油站,全部实现了联网。二次物流、OA、ERP、加油卡、零售管理、非油品等一大批系统的应用,表明信息技术对企业日常经营管理工作的支持力度不断加大,应用风险也逐渐显现。如何实现信息安全高效的运转,成为企业需要研究的重要课题。
内外网分设和细分虚拟网,用“院墙”围出安全空间
经过近几年的建设,河北公司已经实现全省联网,网络节点多,接入方式多样,网络结构越来越复杂,对网络建设和维护提出了越来越高的要求。网络病毒传染速度快,波及范围广,传播途径多种多样,破坏性极大而且难以彻底清除,严重威胁着网络的稳定运行。
病毒肆虐的原因,很大程度要归结于病毒滋生的温床——企业局域网中能够访问因特网的微机。在企业中,员工素质良莠不齐,很多人网络知识有限,缺少病毒防范意识,一旦访问带毒的外部网站,下载带毒文件,染毒文件通过文件共享、邮件服务等方式在企业内部网传递,很容易造成一机中毒,全网传播的情况。
为了改变这种病毒泛滥—查杀—再次中毒的被动状况,公司从病毒的途径入手,积极在全省推动内外网隔离措施,彻底关闭病毒入侵的门户。省公司为每个处室设立一个上网室,配备专门的上网微机。上网微机单独划分为一个局域网,通过进行局域网间访问控制,使上网用微机不能访问办公网络,而办公微机不能访问因特网和上网微机,封杀私自架设代理服务器的功能。2009年,公司又在11个市公司推广了这种网络模式。市公司根据实际情况,共建立16个上网室,配备上网电脑100台,封闭了办公微机的上网功能,禁止上网室微机访问内部办公网。
为了进一步防范病毒传播,优化细分内网结构,省公司对办公楼的网络进行了全新的规划和设计,按照楼层和应用类别,采用VLAN划分局域网,将全楼划分为30个虚拟局域网,并且在VLAN间控制访问权限,终端所在VLAN可以自由访问服务器VLAN,而终端VLAN之间不能随意访问。此后,对11个市公司网络模式也进行了改造。市公司根据实际情况,采用按楼层、按处室、按功能等方式在本公司局域网划分了VLAN,进行相应的VLAN访问权限控制,有效抑制了病毒在终端微机之间的传播,排除网络故障的速度大大加快。同时,利用端口安全、限制MAC接入数量、端口MAC黏滞等技术手段,使交换机端口与上网微机一一绑定,杜绝了私自更换微机和接入设备的情况。
经过一段时间的使用,这种网络模式很好地抑制了网络病毒的传播和爆发,大大减轻了网络管理和维护工作的负担,提高了网络的整体性能和稳定运行的能力。
加强核心机房建设,靠“场地”保障设备有效运转
如果把服务器比做人,机房就是人工作的主要“场地”,保障机房安全高效运转的重要性不言而喻。河北石油制定执行规范的管理制度,做好机房基础设施的运行维护,不断提高机房的建设标准,用可靠的技术建设保障机房的安全运行。经过近几年的建设,河北石油中心机房已经具备了智能的视频监控和门禁系统,可靠的电力供应保障系统,精密的机房环境维持系统,精确的机房环境监控系统和响应及时的机房报警系统。
机房门禁系统由信息处统一分配权限,出入均需刷卡,刷卡记录永久保存,确保机房出入人员是经过授权的。机房除了安排正常人员值班以外,还安装了24小时实时在线的视频监控系统,对机房出入口、值班室、机柜走廊及UPS等关键位置进行全方位监控,录像可保存3个月。
机房的供电系统分为照明和动力两部分,其中照明部分与大楼照明相连;动力部分为两路市电输入,两路60千伏安的UPS输入,按机柜数目布置刀闸,机柜内两个UPS的电力独立输入对应的PDU,解决了服务器用电的后顾之忧。机房内安装了两台专用智能精密空调,采用了下送风的模式,可根据机房内环境调节送风量、制冷量、加湿量,既确保了设备运行的环境稳定舒适,又节省了电能的损耗。
机房设备区域部分有专门的气体灭火系统,惰性气体可在火灾发生后10秒内充满整个机房,可最大限度减少设备的损失;在空调四周安装了防水墙,杜绝了冷凝水与强电区的接触。
提高机房的自动化监控水平。室内温湿度、新风风量、UPS参数、配电柜参数、机柜PDU电量采集、空调运行状况等参数被采集后,以图形化的形式展现出来,为机房内环境及动力监控提供了有力帮助。借助环境监控系统的有利条件,为了能够准确定位故障发生的环节,公司为重要的环境参数和服务器设备设置了预警条件。在设备运行过程中,一旦发生超出预警条件的情况,机房预警系统会自动发出报警短信给值班人员,及时提醒值班人员关注机房环境和服务器设备的变化。
建设容灾备份体系,用“后花园”给信息上保险
过去,所有应用系统的服务器都放置在省公司,没有建立数据异地同步备份机制,一旦省公司中心机房出现不测,应用系统全部瘫痪,本地数据丢失后,全省经营管理会陷入混乱,造成公司重大损失。所有应用系统都是系统与数据同机,设备利用率低,系统和设备没有冗余,任何系统故障,都将造成停机,影响正常经营管理。建立容灾备份体系的紧迫性相当明显。
为了解决以上问题,公司决定建好系统远程容灾备份系统。技术人员对容灾备份体系进行了广泛市场调研,总结了国内外最新发展趋势,从中挑选出5种符合企业需求的产品,在对这5家产品初步了解的基础上,与5家产品的生产厂家或代理商逐个对接方案,用两个月的时间对家公司提供的方案和产品逐个进行了测试打分,最终经过专家评比,确定了中标公司。
整个存储系统采用IPSAN技术,主机端采用客户端进行备份,通过主机文件系统层下加载驱动,将数据抓取到容灾服务器连接的容灾盘阵中进行存储。所有的备份数据通过本地局域网络传输到本地备份盘阵,再通过省公司到张家口的广域网络同步到异地盘阵,共备份系统23个,服务器31台,其中Windows环境25台,LINUX环境3台,UNIX环境3台。23台有文件系统的主机容灾的策略主要为:每小时一份快照,保留一周的数据,可以实现任意快照的回滚追溯;UNIX和LINUX的裸设备环境下是一周一次全量备份,每天一次增量备份,保留两周的数据。
经过一段时间稳定运行,该系统每周的传输总量约150G,对现有各应用系统影响最小,不改变现有应用系统的架构、访问方式,不降低现有各系统的工作性能。系统稳定,设备可靠,运维操作简便,管理软件功能强大、设置方便,具备可扩展性,在不需要添加主要设备的情况下,可以任意增减备份系统的数目。该系统保证了重要系统数据的完整,所有在用信息系统的应用数据本地主系统、本地备份、异地备份各一份,能够实现数据在一段时期内的回滚追溯;该系统能快速恢复,一旦本地出现突发事件,异地能够在较短时间内恢复主要系统,保障主要系统能够在短时间内正常运行。
(本文不涉密)
责任编辑: