電力行業與其他行業相比具有分散控制、統一聯合運行的特點。系統的運行涉及到發電廠、變電站、調度中心;發、輸、配電系統一體化,系統中包括了各種獨立系統和聯合電網的控制保護技術、通信技術、運行管理技術等。
隨著電力行業的不斷發展,電力的關鍵業務不斷增長,因此信息化應用也不斷增強,網絡系統中的應用越來越多。同時,隨著Internet技術的發展,建立在Internet架構上的跨地區、全行業系統內部信息網開始逐步建立。網上的應用是有層次的,因此電力信息網絡系統的網絡安全“層次化”愈來愈顯得重要。
挑戰——打造“層次化”立體防御體系
對于電力企業而言,安全解決方案的焦點在于打造一個“層次化”立體防御體系。近年來,伴隨電力行業信息化建設投資力度的加大,計算機及信息網絡系統在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用,尤其在電網調度自動化、廠站自動控制、管理信息系統、電力市場技術支持系統、電力營銷系統、電力負荷管理、計算機輔助設計、科學計算以及教育培訓等方面取得了較好的應用效果,在安全生產、節能降耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益。但是伴隨應用的普及,對于網絡體系安全的挑戰也隨之而至。
首先是保障電力網絡體系的物理安全,也就是各種服務器、路由器、交換機、工作站等硬件設備和通信鏈路的安全,把水災、火災、雷擊等自然災害,人為的破壞或誤操作,外界的電磁干擾,設備固有的弱點或缺陷等對電力網絡的影響降低至最小。
其次是網絡體系的安全防范。在電力企業的系統的網絡中,從安全程度和安全角度的不同主要可以劃分為幾個不同的網絡安全區域:總部網絡是內網,而撥號用戶、各地分支機構/電廠的網絡、Internet等都是外網。開放的網絡容易受到來自外網的各種攻擊和威脅。入侵者可以利用各種工具掃描網絡及系統中存在的安全漏洞,并通過一些攻擊程序對網絡進行惡意攻擊,這樣的危害可以造成網絡的癱瘓,系統的拒絕服務,信息的被竊取、篡改等等。
對于電力網絡,破壞者進行的攻擊手段越來越復雜,從最早的猜密碼到擁塞路由致使線路癱瘓,到從多個服務器平臺向某一服務器平臺發動持續攻擊等等,在世界上即使像雅虎、微軟等安全體系完善的大型公司也飽受安全問題困擾。例如前段時間的紅色代碼病毒,融合病毒和黑客兩種手段,剛開始發作時是病毒發動攻擊,緊跟著多種手段綜合作用,把一臺機器屏蔽不起作用,而且很難用單一的殺毒軟件解決問題。
從另一方面看,破壞者需要掌握的知識越來越少,從書籍、網站、軟件光盤等多個渠道獲取手段,發動攻擊越來越容易。
這是一項真正的挑戰,必須建立“層次化”的安全防范體系。從電力用戶信息建設的經濟性角度看,安全的層次化也是重要的。安全與網絡是有關聯的,就象家里裝門鎖一樣,跟房屋的結構有很大關系,不可能全部安最貴的瑣,也不可能都安裝小鎖頭,在合適的場合進行合理配置很重要。
需求——意識、管理、體系
電力網絡的“層次化”的安全體系與電力網絡的應用需求是緊密相關的。
電力網絡安全的首要需求是提高信息網絡安全意識。由于近十幾年計算機信息技術高速發展,計算機信息安全策略和技術也取得了非常大的進展。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大,對新出現的信息安全問題認識不足。例如電力用戶應用視頻、語音、無線等新技術,而一些網絡安全廠商對新技術帶來的不安定因素估計不足,造成網絡安全體系的不健全。
其次電力網絡安全管理很重要。電力系統雖然對計算機安全一直非常重視,但由于各種原因,目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。
電力企業也急需建立同電力行業特點相適應的計算機信息安全體系。近幾年來,計算機在整個電力系統的生產、經營、管理等方面應用越來越多。但是,在計算機安全策略、安全技術、和安全措施投入較少。所以,為保證電力系統安全、穩定、高效運行,應建立一套結合電力計算機應用特點的計算機信息安全體系。
再有就是計算機網絡化使過去孤立的局域網在聯成廣域網后,面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網,并沒有同外界連接。所以,早期的計算機安全只是防止意外破壞或者內部人員的安全控制就可以了,但現在就必須要面對國際互聯網上各種安全攻擊,如網絡病毒和電腦“黑客”等。
這些需求使“層次化安全構架”成為電力網絡信息建設的焦點,目前很多電力企業在信息化建設中已經意識系統安全“層次化”的重要性,紛紛開展漏洞檢測工作,逐步完善信息網絡。
跨越——思科“一體化”安全策略架構未來
電力網絡的安全問題不是產品級能夠解決的,其特點在于在網絡建設和改造之前,要進行“評估”,確定一個“層次化”的網絡架構,再通過實施、再次評估、實施修正等循環進行,持續完善電力網絡的安全機制。在這個流程中“層次化”安全策略是焦點,透視思科公司的SAFE解決方案可以得到對網絡安全“層次化”的完美詮釋。
思科是網絡專家、安全專家,并且為電力用戶提供一體化的SAFE解決方案。
針對電力行業特點,思科首要的策略是網絡與安全很好地融合在一起。思科是世界上最大的網絡產品供應商,在網絡安全產品供應層面,思科是全球最大的防火墻、VPN產品廠商,IDS產品位列第二,其他網絡安全產品在占有重要的市場份額。這些網絡安全產品能夠與思科網絡構架無縫融合。
電力行業用戶需要跨平臺解決方案。從解決方案層面,網絡安全產品廠商大都只設計網絡產品,只有思科一家可以提供跨平臺行業解決方案,很好的策略造成了今天的優勢。思科有SAFE白皮書,并且從網絡的角度將安全模塊化,擁有50多項針對安全相關的VPN、Qos、IPT、無線等專業安全解決方案。并且在全球擁有網絡“生態合作伙伴”,與全球五大公司合作(在實驗室中)進行測試。共同研發安全解決方案。并且注重產品的兼容與互動,有各種安全產品白皮書,對用戶提供跨平臺的安全認證防毒,擁有幾十項認證。
在專業的電力解決方案上,思科在總結企業網設計與實施經驗的基礎上,提出的SAFE體系架構是層次化、模塊結構的模型,細分成管理安全模塊、核心和服務器模塊、大樓分布模塊、邊緣分布模塊、VPN和遠程接入模塊、WAN模塊等等。網絡安全模塊化有兩種主要優勢,首先,它允許體系結構實現網絡各功能塊間的安全關系,其次,它讓網管人員可逐個模塊地評估并實施安全性策略,而非試圖在一個階段就完成整個體系結構。
在產品理念方面,思科認為SAFE不是單點產品,思科的多層次內嵌式與其他廠商外掛式產品有著本質區別。思科的產品不但是防火墻,而且通過路由器交換機產品也支持安全策略,對用戶提供多層次投資保護。思科產品的安全特點可以歸納為三點:強調性能——確保系統安全的同時,不降低網絡的性能,例如服務器確保20G流量暢通,入侵測試時能夠600兆的流量暢通;強調智能——具體為支持多種環境、Qos、語音、無線等,為多種電力應用打下基礎;持久保障——這是指產品的可靠性,對于電力系統尤其重要,能夠對電力用戶進行投資保護。
在服務層面,思科有最好的服務支持體系,幫助電力用戶中立地進行評估,并得到后續服務支持。思科150多代理商均經過專業安全認證。
電力行業作為國家經濟基礎動脈,高可靠、高安全的“層次化”現代網絡體系是行業面向未來、實現跨越的基礎。保持前瞻性的方向投資很重要,要建立一個隊伍從管理的角度解決安全問題,思科的“一體化”網絡安全策略引領電力用戶實現跨越!
