思科SAFE解决方案助电力客户建网腾飞

当今的电力企业领导者们都非常重视盈亏问题。为了保持竞争力，他们必须想方设法提高营业收入并降低成本。建设承载现代电力营销管理体系的网络是实现这一目标的重要手段，但是病毒、黑客等等时时威胁着电力网络的安全，因而电力企业必须寻找确保网络安全的效率最高、成本最低的方法。

思科公司提供了多种不同的可帮助电力客户提高生产效率并降低各项成本的端到端SAFE解决方案。思科SAFE蓝图可确保将安全性功能内置到电力网络的每个部分之中，可将市场领先的安全产品、成熟可靠的网络安全性惯例和统一平台管理与电力客户现有的网络基础设施结合起来，进而为电力客户提供全面的网络保护。

电力行业对网络安全的需求

众所周知，伴随改革进程的推进，中国电力行业形成了厂、网分离和电网按区域划分的全新格局。同时计算机网络技术的发展为电力的管理和调度提供了先进的服务和支持手段，为电力新业务（如电力市场应用、电力营销业务等）的开展提供了条件。从国家电力公司到下属各电力子公司正在进行着信息网络化的推进工作，基于网络的各种业务应用（如电力调度、企业信息化管理ERP、财务信息化管理等）正在逐渐开展。

网上开展电力业务具有便捷、实时的巨大优势，同时黑客的入侵、内部人员的操作失误、怀有各种目的人对信息的侵害等问题也相伴而来。为了规避潜在的计算机网络业务风险，使网络系统能够安全及高效运行，就必须保证网络安全隔离，随时检测各种安全隐患，同时还要兼顾网络的高效时时通畅。

另一方面，随着电力调度业务、电力营销业务、电力市场业务等越来越广泛地开展，电力企业网和Internet的联系也越来越紧密。与此同时，Internet的自由性和先天的不安全性会给电力企业网造成越来越严重的隐患，并且有可能对电力业务造成极大的破坏，网络安全成为一个不容忽视且必须解决的问题。所以当前必须把安全问题作为网络建设和网络优化的关键来抓，必须建立一套完整的网络安全机制。

具体说来，电力网络系统包括各电力公司的局域网、广域网、数据中心、虚拟专用网（VPN）、Internet接入、网络管理等，必须从网络的总体角度来考虑网络的安全问题。

思科专业的电力SAFE解决方案

针对电力信息网络的发展现状，思科系统网络技术有限公司制定了专业的电力SAFE网络安全解决方案。

解决方案突出网络级的安全监控和预警体系，有效地提高了电力企业对计算机信息系统自身安全漏洞和内外部攻击行为的检测、管理、监控和实时处理能力，实现合理地评估信息系统安全事件、有效地实时阻断非法和违规网络活动、准确地提供违规行为的全部审计档案的目标。从用户权限的一致性、网络周边安全、数据加密、安全的监视和政策管理五个方面全面统筹电力网络的安全体系。

思科专业的电力SAFE解决方案技术特点如下：

1、针对电力网络安全的薄弱环节全方位统筹规划。解决方案注重防止非法入侵全网路由器；保护电力数据中心及其灾备？中心的网络、服务器系统不受侵犯——数据中心与Internet间必须有防火墙隔离，并且制定科学的安全策略；制定权限管理——这是对应用系统、操作系统、数据库系统的安全保障；考虑网络上设备安装后仍然可能存在的安全漏洞，并制定相应策略。

2、在网络设备的安全管理方面，将所有网络设备上的Console口加设密码进行屏蔽，配置管理全部采用OUT-BAND带外方式，并对每个被管理的设备均设置相应的帐户和口令，只有网络管理员具有对网络设备访问配置和更改密码的权力。

3、在网管中心通过划分VLAN来规范管理网络和工作网络，从逻辑上把每个部门的资源独立成一个VLAN， 对VLAN的划分基于安全性策略或规则，使VLAN的划分更具安全性。网络管理员可根据用户需求，把某些共享资源分配到单独的VLAN中，并控制VLAN间的访问。

4、VPN和IPsec加密的使用。电力网络将通过MPLS VPN把跨骨干的广域网络变成自己的私有网络。为保障数据经VPN承载商传输后不会对数据的完整与安全构成潜在危险，在数据进入MPLS VPN网络之前首先经过IPsec加密，在离开VPN网络后又再进行IPsec解密。

5、通过网络设置控制网络的安全。在交换机、路由器、数据库和各种认证上，层层进行安全设置，从而确保整个网络的安全。

6、通过思科 PIX 专用网络防火墙控制网络边界的安全。PIX的NAT地址转换功能既对外部网络屏蔽了内部网络，又使内部网络用户可以有效地对外部网络进行访问，其ASA自适应算法杜绝了从外网发起的对于内网的访问，而对于内网发起的对外网的访问则可以不受限制。

7、进行黑客防范配置。通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置，对黑客进行监控。

8、使用思科的IDS保护电力中心网络。思科的IDS实时入侵检测系统可以通过对网络流量采样，来实时地监视网络流量和进行非授权使用检测。同时，它可以通过封锁网络访问或终止非法对话来主动响应非法活动。另外，它还能够检测各种攻击并提供高级的IP碎片重组功能和“扫除”反IDS检测的能力。

9、思科的CSPM(Cisco Security Policy Manager)网络安全管理软件可统一的定制管理网络安全策略，并从集中的图形化界面管理Cisco PIX防火墙、Cisco IDS入侵检测系统探头(Sensor)等重要的网络安全元素，并可监控网络当前或历史上发生的安全事件。

10、对操作系统和数据库管理系统的安全配置。操作系统/数据库系统是网络应用系统运行的基本支撑平台，其安全指根据具体的操作系统/数据库管理系统的选型，利用其本身提供的安全机制，通过系统配置实现规划的安全业务，避免攻击者绕过应用系统直接操作敏感数据。

针对电力行业的模块化实施策略

安全基础设施的建设是一个不断随技术进步而更新的长期过程。思科在总结企业网设计与实施经验的基础上，提出的SAFE体系架构是层次化、模块结构的模型。网络安全模块化有两种主要优势。首先，它允许体系结构实现网络各功能块间的安全关系，其次，它让网管人员可逐个模块地评估并实施安全性策略，而非试图在一个阶段就完成整个体系结构。如下图所示，对每个电力企业网的功能区模块进行了展示，这些模块在网络中扮演特定角色，有特定的安全需求。

[1] [2] 下一页