為貫徹落實公安部、國家能源局關于發電站電力監控系統安全保護要求，增強光伏發電站電力監控系統安全防護能力，確保電力監控系統安全穩定運行。新能源電站、光伏電站的電力監控系統需要進行網絡安全等級保護測評和安全防護評估，對系統存在的威脅、脆弱性等進行分析，完善保護措施，使電力監控系統滿足國家關于等級保護相應級別的具體要求，增加電力監控系統安全管理的規范性和有效性，提高單位的安全意識，增強電力監控系統網絡抗攻擊的能力，保證網絡和信息系統正常運轉。

等保是等級保護的簡稱。是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

網絡安全等級保護為信息系統、云計算、移動互聯、物聯網、工業控制系統等定級對象的網絡安全建設和管理提供系統性、針對性、可行性的指導和服務，幫助用戶提高定級對象的安全防護能力。此外，《網絡安全法》第二十一條明確規定“國家實行網絡安全等級保護制度”。

做好等級保護工作除了滿足國家相關法律法規要求，還可以降低系統的信息安全風險，提升防護能力。

對企業和政府來說，等級保護是一個熱門話題。對于企業來說，網絡安全等級保護備案證書和測評報告不僅是對產品專業性、安全性和合規性的認可，也是業務發展過程中的重要資質證書。今天，小編將解釋為什么企業應該進行等級保護的重要性。

什么是等保？

等保即信息安全等級保護，是指在存儲、傳輸和處理這些信息時，對國家重要信息、法人、其他組織和公民的專有信息和公共信息進行安全保護；信息系統中使用的信息安全產品按等級管理；對信息系統中的信息安全事件進行分級響應和處理。

網絡安全等級保護是國家信息安全保障的基本制度、基本戰略和基本方法。網絡安全等級保護是根據重要性等級保護信息和信息載體的一項工作。信息系統的運行和使用單位應當選擇符合國家要求的測評根據《信息安全技術網絡安全等級保護基本要求》等技術標準，組織定期對信息系統進行測評工作。

對大多數中小企事業單位來說，等保建設都是一件頗為頭疼的事情，主要有兩個核心痛點：

1. 等保建設流程復雜

中小企事業單位缺乏專職負責安全甚至IT的人員，對等保不熟悉無從下手，部署運維管理成為很大負擔。

2. 等保建設投入高

等保建設購買服務和安全設備投入高、業務和政策變化又需要追加新的投入以滿足復評和合規要求。

基于等保流程復雜、等保建設投入高等痛點，中小企事業單位在考慮網絡安全建設方案時，會更偏好如何“省心省力”地進行等保建設，以及這一次網絡安全建設投入如何能持續有效，更具性價比。

因此一體化的等保一體機方案熱度不減，依舊是中小企事業單位等保建設的最佳選擇。

客戶在網絡安全建設時，采用等保一體機方案，可根據自己的需求定制所需的安全能力，如等保二級能力+行為管理能力，等保三級能力+遠程安全接入能力等，不止合規，更加滿足業務需求，同時機房也變得清爽，運維管理工作量大大降低。

為什么要做等級保護？

(一)法律規定的要求

《網絡安全法》明確規定，信息系統的運行和使用單位應當按照網絡安全等級保護制度的要求履行安全保護義務。如果他們拒絕履行，他們將受到相應的懲罰。

(二)行業要求

在金融、電力、廣播電視、醫療、教育等行業，主管單位明確要求從業人員的信息系統開展分級保護工作。

(三)企業系統安全的需求

信息系統的運行和使用單位可以發現系統內部的安全風險和不足，通過安全整改可以提高系統的安全保護能力，降低被攻擊的風險。

涉及等級保護的范圍

(一)省轄市以上黨政機關重要網站和辦公信息系統；

(二)電信、廣播電視行業的公共通信網絡、廣播電視傳輸網絡等基礎信息網絡，以及經營性公共互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統；

(三)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商業、水利、國土資源、能源、交通、文化、教育、統計、工商管理、郵政等行業和部門的生產、調度、管理、辦公等重要信息系統。

開展信息安全等級保護工作后，將有限的財力、物力和人力投入到重要信息系統的安全保護中，按照標準建立安全保護措施，建立安全保護制度，落實安全責任，加強監督檢查，有效保護重要信息系統的安全，可以大大提高我國信息系統安全建設的整體水平。

網絡架構，是數據中心的“神經脈絡”

如果把數據中心比作一個“人”，則服務器和存儲設備構成了數據中心的“器官”，而網絡（交換機，路由器，防火墻）就是這個數據中心的“神經脈絡”。那本節就針對數據中心的網絡架構和一般設計的套路來說了。

01 網絡分區與等保

一般情況下，本著靈活、安全、易管理的設計原則，企業都會對數據中心網絡的物理設備進行分區。通常情況下，數據中心都會采用核心—匯聚—接入三層的網絡結構，核心用于所有流量的快速轉發，而匯聚則是在每個網絡分區上，擔任網關的功能。

一般來說，數據中心的網絡分區中，每一個區域會根據預期的流量和服務器的數量，分配不同的業務網段。同時，在一些等保要求較高的區域，還會設置防火墻這樣的安全設備，來控制進出這個區域的流量，如下圖所示：

“等保”是等級保護的簡寫，在設置數據中心服務器區域的時候，不同業務的服務器的等級保護是不一樣的。比如后臺存儲，帶庫，數據庫這些服務器的等保和Web、前端、APP的等保就不一樣。而在數據中心網絡中，防火墻的功能，就是用來劃分“等保”，同時用來控制不同等保之間的互訪。

那如何更好的來理解這個“等保”的概念呢？

在目前的數據中心網絡架構中，要考慮到不同等保之間的流量控制，又要考慮到在設計路由的時候的簡便和快捷，目前數據中心的防火墻幾乎都會采用旁路的方式來部署，再配合匯聚交換機上的VRF來控制流量。

02 數據中心網絡分區的方式

分區的劃分方式有以下三種，不同分區方式各有優缺點，通常結合使用。

A.按照服務器類型分區

比如x86服務器、小型機、刀片機、大型機、虛擬機進行分類。完全按照服務器型號分類的話，在實際應用中，可能某個企業小型機被大量使用，而大型機幾乎沒用，就會導致小型機的網絡區域流量巨大而大型機這個區域閑置了。所以，現在的數據中心，幾乎看不見如此分配區域的情形了。

B.按照應用層次分區

比如Web、APP是前端服務器，而數據庫、存儲、NFS這些是后端服務器，所以把前端服務器放在一個區域，后端服務器放在一個區域。在有些企業的數據中心，也確實是這么分區的。比如，所有的Web服務器放在“綜合業務區”，把數據庫就放在“生產管理區”（你也看出來，連區域名字都起得那么“模糊” ）。如此分區的好處是便于管理，因為前端服務區域和后端服務區域不在一個等保內，前端服務區域直接面對辦公，后端區域則為前端區域服務，如下圖所示：

這種區域的設置方式的好處是便于分開管理，但是壞處也是運維起來屁事太多。比如，前端新上線了一個APP，后端需要相應的數據庫支持，此時系統運維人員就要找網絡運維人員，請他們在后端區的防火墻上開通相應的安全策略。考慮到前端和后端對接也有諸多非網絡的問題，加上前端和后端之間又有防火墻的“阻礙”，所以一旦前端和后端的通信出了問題，網絡運維人員就很容易“被背鍋”了。

C.按照應用類型劃分

例如核心服務，公共服務，辦公區域，隔離區域，開發測試區域進行劃分。這種分區的好處就是，一個“功能業務”的前端服務器和后端服務器都在一個等保內了，在前端和后端對接的時候，網絡運維人員不至于因為防火墻策略的原因而“背鍋”。但是這樣劃分又會顯得網絡規劃有點“混亂”。對于一些對前期IP地址規劃不太重視的管理員來說，可能會對前端服務器和后端服務器的IP地址規劃帶來些麻煩。比如，給核心服務器區的IP地址段是10.114.128.0/21，在這里有10.114.128.0/24---10.114.135.0/24，整整16個C段。但是對于不嚴謹的管理員來說，可能會讓10.114.128.0/24做前端的IP地址，10.114.129.0/24做后端的IP地址，這樣的話，前端和后端的IP地址段就“交叉”了。

如果遇到一種極端的情況，在多級數據中心使用MPLS V.PN網絡對接，讓前端和后端的流量“分流”時，這種前端和后端IP地址段一“交叉”，分流就會顯得極其麻煩。

綜上所述，每一種分區的方式，都有自己的優點和缺點，所以也要按照實際情況進行分區。

03 數據中心常用網絡架構

A.扁平化組網

對于功能單一，服務器數量小于300臺的小型數據中心來說，通常情況下都會采用兩層式的扁平化組網。也就是匯聚設備擔任網關，接入設備就是一個二層設備，打通二層通道的功能。對于扁平化的組網，也分為比較傳統的VRRP+MSTP，和“堆疊+鏈路捆綁”兩種方式進行組網設計。

第一種就是VRRP+MSTP的結構，如下圖所示：

相比起第一種非常傳統的MSTP+VRRP的架構，第二種“胖樹”結構，則是當前數據中心扁平化組網的常用結構。它的思路是：匯聚交換機必然堆疊，接入交換機按需堆疊，所有冗余鏈路必須捆綁，形成一個“胖樹”狀結構。它的優點就是，既保證了設備的冗余性，提升帶寬性能，也能從根本上防止二層環路。但是，要實現設備的堆疊，這個對硬件有要求，所以，這種“胖樹”狀結構的組網，成本比起第一種來說要高不少。

B.三層組網架構

對于大型數據中心，功能多樣，且要進行功能分區的場合，就會采用標準的三層架構。

在這種組網方式中，交換核心區是整個數據中心網絡的樞紐，核心設備通常部署2-4臺大容量高端框式交換機，可以是獨立部署，也可以通過堆疊技術后成組部署（但是考慮到核心和匯聚之間都是三層連接，且堆疊有一定裂開風險，所以一般核心都會采用獨立部署的方式，即核心之間只和匯聚之間有互聯，核心之間無互聯）

分區內的匯聚層和接入層通過堆疊實現二層破環。

下圖為大家展示了一個當前主流的數據中心三層組網架構圖：

剛才的拓撲圖中，各個大區域之間的防火墻采用了旁路的連接方式。防火墻采用旁路連接的目的，也是為了提升可擴展性，并且可以兼容動態路由。而這種結構，要想實現核心—匯聚—接入之間的流量進入防火墻，就需要使用VRF在匯聚交換機上隔離路由了。所以，VRF在這個地方，起到的作用是隔離路由，起到一個“化旁路為串聯”的作用。

本文的難點，也正好是匯聚交換機上使用VRF時，這個業務流的邏輯圖如何畫出。實際上，我本人在剛接到這個項目的時候，也是花了一段時間來理解這個VRF和旁路防火墻之間的關系的。下面我可以簡單為大家說一下劃業務流的方法。

所謂“單一等保”，實際上就是匯聚下方的所有業務網段可以直接訪問，流量無需經過防火墻控制。在這種情況下，就只需要一個VRF，把匯聚—核心和匯聚—防火墻之間的流量隔離開即可。

物理連接圖如下：

由于匯聚、接入，包括防火墻做了雙機或者堆疊，所以在此時可以將匯聚、接入先暫時畫成單個設備，這樣物理結構就不會太復雜了。

然后，去掉匯聚層設備的圖標，用一個方框來代替。在方框內部添加兩個小方框，代表兩個擁有獨立三層路由的虛擬設備，與核心連接的是全局路由，與接入連接的是VRF路由。然后，防火墻上“畫出”兩條線，分別與“全局路由”小框和“VRF”小框互聯。防火墻與匯聚連接的兩條線，可以是不同的物理接口，也可以是不同的子接口。如下圖所示：

最后，去掉匯聚層設備位置的大方塊，將防火墻“塞”在“全局路由”小框和“VRF”小框之間，這樣，一個單一等保級別的，化旁路為串聯的流量圖就完成了。

兩個等保級別，這就要求了兩個等保級別內的業務在互訪時，流量需要經過防火墻。這里你就要記?。阂粋€等保一個VRF，不同等保級別的流量要放在不同的VRF內。

在畫雙等保邏輯流量的時候，采用的方式和單一等保邏輯流量的方式是一樣的。第一步，仍然是把雙機結構改成單機結構，所不同的是，防火墻和匯聚之間，需要畫三條線?？傊瑓R聚下面有N個等保，匯聚和防火墻之間就畫N+1條線。

然后，去掉匯聚層設備的圖標，用一個方框來代替。在方框內部添加三個小方框，代表三個擁有獨立三層路由的虛擬設備，接入層交換機換成兩個，分別代表等保1的接入和等保2的接入。

然后，去掉大方框，將防火墻“塞”在“全局路由”小方框和“VRF-1”、“VRF-2”小方塊之間，先形成如下圖所示的結構：

最后，將兩個等保“VRF”的小方塊，分別連接在防火墻的兩邊，這樣，一個雙等保的化旁路為串聯的業務流邏輯圖就畫好了，根據標注的接口編號和規劃的IP地址，就可以寫配置腳本了。而且串聯的邏輯圖畫好以后，也立刻能夠知道靜態路由該如何規劃了。

記住一點：“全局”、“VRF-1”、“VRF-2”上標注的接口，其實全是匯聚交換機的。

記住這個方式，以后遇到旁路防火墻，下面有N多個等保的業務流，也可以按照這個方式去照葫蘆畫瓢了。

04 數據中心未來的發展

隨著大數據時代的到來，企業數據中心承載的業務越來越多，新業務上線越來越快。為了滿足業務的需要，傳統數據中心網絡將逐漸向具備彈性、簡單和開放特征的新一代數據中心網絡演進。

A.彈性

彈性是指網絡能夠實現靈活、平滑擴展以適應業務不斷發展的需要。彈性擴展包括設備級、系統級和數據中心級的擴展。

設備級彈性擴展：網絡設備需要具備持續的平滑擴容能力。例如接入交換機可以提供25GE/40GE的接入能力，核心交換機能提供百T以上的交換容量，高密度的100GE/400GE接口等。

系統級彈性擴展：數據中心網絡需要支持更大規模的二層網絡。例如提供X萬臺10GE服務器接入的能力。

數據中心級彈性擴展：數據中心互聯網絡要能夠支持多個數據中心的資源整合，實現更大規模虛擬機跨數據中心遷移。

B.簡單

簡單就在于要能夠讓網絡更好的為業務服務，能夠根據業務來調度網絡資源，例如要能夠實現網絡資源和IT資源的統一呈現與管理，能夠實現從業務到邏輯網絡再到物理網絡的平滑轉換等。

C.開放

傳統網絡的管理維護是封閉的，獨立于計算、存儲等IT資源。網絡開放以后，可以打破原有的封閉環境，使網絡設備可以與更多的SDN控制器、第三方管理插件、虛擬化平臺等協同工作，從而打造更靈活的端到端數據中心解決方案。