華為 x 東方電氣｜安全組“執勤”，實作業務随行、降本增效

數字經濟正在與我們日常的生産生活越來越密不可分，從國家層面看，數字經濟對于國民經濟生産總值所占的比重也越來越高。在當下全球背景下，誰能夠抓住數字經濟發展的機會，誰就能彎道超車，完成新一輪生産力的解放。也正因于此，大陸在“十四五”規劃和“2035年遠景目标”中均把大力發展數字經濟更新到了國家政策層面。

從大陸來看，央企和國企是推動經濟發展的主力軍，它們的數字化程度，決定着大陸數字經濟的發展。但在國有企業進行數字化轉型的過程中，并不是一帆風順，也面臨着不少問題，隻有沖破這些阻滞，才能夠實作降本增效的終極目标，最終助推國民經濟發展。

從“資訊化”向“數字化”

跨越過程中面臨三大挑戰

中國東方電氣集團有限公司（下文簡稱“東方電氣”），屬國務院國資委監管企業，是全球最大的發電裝置制造和電站工程總承包企業集團之一，發電裝置産量累計超過6億千瓦，已連續18年發電裝置産量位居世界前列。

數字化水準的提升，網絡基礎設施扮演着“資訊高速公路”的角色。東方電氣是較早一批實作資訊化的大型企業，其總部核心網于2009年建成，2013年前後又進一步進行了網絡架構的完善，為集團ERP、資金集中管理、集中采購等重要資訊系統的運作提供了穩定的IT基礎裝置保障。

經過十餘年的使用，從資訊化向數字化轉變的過程中，問題逐漸暴露了出來。首先，各部門網絡不間斷運作，核心裝置存在老化、故障率高的風險；其次，經過多年發展總部的網絡架構也暴露出拓撲複雜、維護困難、網絡安全防護能力不足的問題；最後，各地分支機構越來越多，各地員工、合作方均需要有專用通道接入企業網絡開展業務，如何保證員工“業務随行”成為了巨大的挑戰。

實作業務随行觸達

“降本增效”目标

為了實作從“資訊化”到“數字化”的跨越，從2020年開始，東方電氣集團開始逐漸對整個集團網絡和各個分公司進行全面改造和更新，最終標明使用華為的NCE-Campus解決方案。該方案可以通過與網絡裝置關聯，控制員工從不同的企業内部和企業外部網絡的通路，保證員工接入網絡能夠做到業務随行。

這一解決方案中，對于使用者在網絡權限上的控制，不再使用傳統的VLAN+ACL的手段，而是通過全新的安全組概念實作。在安全組概念中，所有的政策不再像傳統ACL一樣基于IP來實作。安全組是從安全角度出發，對使用者和使用者需要通路的資源的一個動态歸類，而這個動态的過程，通過使用者接入網絡的認證，由控制器根據管理者定制的規則，進行靈活比對。使用安全組以後，政策的定義不再依賴于傳統的IP，這樣使得網絡側的IP與實際的政策能夠解耦出來，不再根據使用者接入網絡後的IP來控制通路，這樣無論使用者如何接入網絡，其通路政策都是一緻的，做到真正的業務随行。

東方電氣的IT運維人員在實際使用中，根據安全需求的不同，可以劃分出不同的安全組，并對這些安全組進行通路權限的限制。當員工在内網或遠端接入企業網絡時，靈活控制器通過靈活的規則定義，讓接入網絡的使用者，動态劃分到不同的安全組。裝置根據管理者已經定義的政策，動态地對使用者的網絡通路進行控制。這樣一來，無論員工如何接入網絡，都能保證其業務随着接入網絡而動态調整。

當下，企業員工使用筆記本電腦、手機、平闆電腦等在辦公區使用無線網絡進行辦公已經成為常态。東方電氣部署華為NCE-Campus解決方案後，員工可以在企業内部或者家庭、差旅途中等随時接入辦公網絡，讓園區網絡失去明顯的邊界。得益于安全組的概念，可以将接入網絡的終端劃分到不同安全組，在提高協同效率的同時，實作使用者隔離，防止業務相關資料洩露。并且，通過安全組的設定，VIP使用者的流量可以優先轉發，保證了VIP使用者的網絡體驗。

上述解決方案對于使用者組的識别，基于全局的使用者組和SDN思想實作對政策和體驗的集中管控。東方電氣的集團核心交換機作為準入控制的認證點，負責對終端進行身份認證，并從iMasterNCE-Campus獲得終端的授權結果。華為iMasterNCE-Campus充當認證伺服器，同時也是業務随行的政策控制中心，維護全網的通信矩陣。最終核心交換機先從iMasterNCE獲得組間通信矩陣，在收到流量後，根據流量的源、目的IP位址對應的源、目的安全組執行政策，如果政策允許該流量，則進行轉發，否則進行丢棄。整個流量轉發控制政策由準入控制系統iMasterNCE-Campus下發，無需在每個硬體裝置上部署政策，極大地簡化配置與部署難度，并且其政策矩陣簡單形象，非常容易了解，極大減輕了IT運維人員的維護壓力。

通過部署新型網絡解決方案，不僅提高了協同工作的效率；而且通過安全組的引入，可以讓員工無論是在出差途中還是在公司的任意位置，都可以享受到相同的網絡體驗，開展業務更有效率；最後，通過使用者分級政策，消除了以往普通使用者和VIP使用者搶網速的現象，優先保障了VIP使用者的流量轉發，進而大幅提升重要業務開展的效率。如此一來，通過數字化技術，真正實作了“降本增效”的終極目标，幫助集團在未來的競争中處于領先地位。

網絡作為數字化轉型中的重要基礎設施，在企業中承擔着“血管”的角色，“血管”擁堵不暢，那麼業務開展起來也不會很順利。東方電氣集團在部署華為NCE-Campus解決方案後，打通了“血管”中不暢的位置，大幅提升了業務效率。員工可以随時随地接入企業網絡開展業務而無需擔心資料洩露的問題，在提升效率保證安全的同時，大幅減輕了IT運維人員的負擔，可以說是從根源上提升了自身數字化水準。

作為國有企業中的創新标杆，東方電氣集團提升自身的數字化水準，能夠在市場中取得更大的成績，進而占得領先地位。未來，東方電氣集團還将繼續開展數字化建設，踐行“創新、協調、綠色、開放、共享”的發展理念，助推企業可持續穩定發展，為國民經濟發展貢獻自己更多的力量。