【文章摘要】日(ri)前(qian)，一(yi)場(chang)未(wei)期(qi)而(er)至(zhi)的(de)暴(bao)風(feng)雪(xue)給(gei)中(zhong)國(guo)神(shen)州(zhou)大(da)地(di)帶(dai)來(lai)很(hen)多(duo)煩(fan)憂(you)
，南(nan)方(fang)電(dian)網(wang)很(hen)多(duo)供(gong)電(dian)設(she)施(shi)故(gu)障(zhang)，搶(qiang)修(xiu)層(ceng)麵(mian)舉(ju)步(bu)為(wei)艱(jian)。但(dan)是(shi)
，我(wo)們(men)的(de)故(gu)障(zhang)基(ji)本(ben)上(shang)出(chu)現(xian)在(zai)線(xian)路(lu)的(de)基(ji)礎(chu)設(she)施(shi)方(fang)麵(mian)，並(bing)沒(mei)有(you)出(chu)現(xian)美(mei)國(guo)“紐約大停電”那樣的災難性的情況
，線路故障解決後供電很快恢複。這與近年來我國電力企業注重信息化建設
，注重科學的安全策略規劃密切相關。

　　日(ri)前(qian)，一(yi)場(chang)未(wei)期(qi)而(er)至(zhi)的(de)暴(bao)風(feng)雪(xue)給(gei)中(zhong)國(guo)神(shen)州(zhou)大(da)地(di)帶(dai)來(lai)很(hen)多(duo)煩(fan)憂(you)
，南(nan)方(fang)電(dian)網(wang)很(hen)多(duo)供(gong)電(dian)設(she)施(shi)故(gu)障(zhang)，搶(qiang)修(xiu)層(ceng)麵(mian)舉(ju)步(bu)為(wei)艱(jian)。但(dan)是(shi)

，我(wo)們(men)的(de)故(gu)障(zhang)基(ji)本(ben)上(shang)出(chu)現(xian)在(zai)線(xian)路(lu)的(de)基(ji)礎(chu)設(she)施(shi)方(fang)麵(mian)，並(bing)沒(mei)有(you)出(chu)現(xian)美(mei)國(guo)“紐約大停電”那樣的災難性的情況，線路故障解決後供電很快恢複。這與近年來我國電力企業注重信息化建設
，注重科學的安全策略規劃密切相關。

　　電力信息網的“脆”性

　　提及信息網絡安全，常言“三分安全，其分管理”
，這足以看出網絡安全管理的重要性。缺乏成體係的安全管理策略，在泛濫成災的互聯網攻擊麵前


，電力信息網絡往往表現出“脆”性的一麵。

　　因為有很多種攻擊工具都可以很容易地從互聯網上找到和下載。網絡攻擊的次數在迅速增多。考慮到業務的損失和生產效率的下降, 以(yi)及(ji)排(pai)除(chu)故(gu)障(zhang)和(he)修(xiu)複(fu)損(sun)壞(huai)設(she)備(bei)所(suo)導(dao)致(zhi)的(de)額(e)外(wai)開(kai)支(zhi)等(deng)方(fang)麵(mian)，對(dui)網(wang)絡(luo)安(an)全(quan)的(de)破(po)壞(huai)可(ke)以(yi)是(shi)毀(hui)滅(mie)性(xing)的(de)。此(ci)外(wai)，嚴(yan)重(zhong)的(de)安(an)全(quan)性(xing)攻(gong)擊(ji)還(hai)可(ke)導(dao)致(zhi)電(dian)力(li)企(qi)業(ye)的(de)公(gong)眾(zhong)形(xing)象(xiang)的(de)破(po)壞(huai)
、法律上的責任
、乃至客戶信心的喪失，並進而造成無法估量的成本損失。

　　在電力行業中，IT係統越來越複雜：

　　數據中心的複雜度變大——今天的數據中心比以往擔負著更加複雜
、重要的任務，我們生活中的吃、穿

、住
、行xing都dou離li開kai不bu開kai各ge種zhong各ge樣yang數shu據ju的de支zhi持chi。目mu前qian數shu據ju中zhong心xin的de發fa展zhan已yi經jing從cong數shu據ju集ji中zhong走zou向xiang整zheng合he，在zai整zheng合he過guo程cheng中zhong需xu要yao高gao密mi度du集ji成cheng
，以yi前qian一yi個ge數shu據ju中zhong心xin幾ji十shi台tai，現xian在zai數shu據ju中zhong心xin經jing常chang是shi幾ji百bai台tai
，甚shen至zhi上shang千qian台tai、上萬台。另一層麵
，“綠色數據中心”已經成為數據中心建設的新趨勢。節能、簡潔
、高效、高可靠等要求，對於數據中心的供電保障，基礎架構（如網絡架構等）的選擇來講，是個新挑戰。

　　基礎設施的不斷升級——與基礎設施相關的產品/技術一直在發展。必須能夠快速反應，不斷優化原有體係結構，為應用服務。其中，應用正在向SOA架構方向前進。SOA是以服務為核心的體係架構，不是簡簡單單說企業內部的數據庫業務，它往往是直接跟業務掛鉤，是整個跨行業的概念；基礎架構的變化：網絡正在成為整個IT的基礎
；安全成為網絡的特性，而不是一個單獨的應用
；IT開發建設方法的變化。特別是由於中間件的發展，使打破“信息孤島”成為可能
，也對基礎網絡的容量、可擴展性和智能化等提出了更高的要求。

　　技術越來越複雜——技術/產品上一直在發展

，其中：以太網：10Gbps端口卡已經商業化；光纖（FC）: 4Gb接口正在逐步取代2Gb接口

；融合了以太網、光纖網和InfiniBand等三種協議的10Gb卡07年4月底第一次出現；CPU向多內核方向發展，而不是單純的追求GHz值；計算機係統的能耗及散熱，“綠色數據中心”成為一種訴求
；數據存儲成本越來越昂貴（SAN占IT成本的比例逐年增高）；網wang絡luo產chan品pin處chu理li能neng力li和he可ke靠kao性xing的de提ti高gao，使shi網wang絡luo扁bian平ping化hua成cheng為wei可ke能neng和he一yi種zhong趨qu勢shi。由you於yu技ji術shu越yue來lai越yue複fu雜za
，導dao致zhi企qi業ye原yuan有you信xin息xi架jia構gou麵mian臨lin考kao驗yan，如ru何he進jin行xing係xi統tong升sheng級ji
，與yu原yuan有you應ying用yong軟ruan件jian的de對dui接jie、整體的安全性
、管理人員的培訓等諸多問題都需要仔細斟酌。

　　綜上所述，電力信息網絡彰顯脆性，安全管理刻不容緩。我們需要有效的安全策略以應對挑戰，以下我們從多個層麵進行係統論述：

　　SIMS彰顯“鋼韌”

　　打造電力智能網絡的安全體係
，首先從安全信息管理（SIMS）解決方案入手。它以技術為基礎的實時安全數據監控和關聯係統

，能檢測出所發生（甚至發生前）的網絡攻擊或漏洞
，可實時地收集、分析和關聯整個電力企業中的所有安全設備信息。

　　在電力智能專網
，SIMS彰顯“鋼韌”。它提供了一種簡單機製，可使安全團隊收集和分析極大量的安全告警數據，更具體地說，SIMS 解決方案可實時地收集

、分析和關聯整個企業中的所有安全設點備信息。可以分四個階段：

　　1 過程規範——收集電力專網中每台安全設備的數據，將這一數據放入更容易理解的背景中
，並將關於相同安全事件的不同消息映射為一個通用警報ID。

　　2 彙聚階段——從安全事件數據流中消除多餘或重複的事件數據，並細化和優化呈現給安全分析員的信息數量。

　　3 關聯階段——采用軟件技術來實時分析所彙聚的數據以確定具體模式是否存在。相似安全事件的這些模式一般對應於具體安全攻擊。

　　4 可視化——它ta是shi指zhi在zai一yi個ge實shi時shi控kong製zhi台tai中zhong以yi圖tu形xing方fang式shi來lai呈cheng現xian所suo關guan聯lian的de信xin息xi。行xing之zhi有you效xiao的de可ke視shi化hua可ke使shi安an全quan操cao作zuo員yuan在zai安an全quan事shi件jian發fa生sheng時shi並bing在zai其qi對dui電dian力li企qi業ye造zao成cheng影ying響xiang之zhi前qian迅xun速su地di加jia以yi識shi別bie和he響xiang應ying。

　　從這四個階段可以看出安全管理的行之有效。對於電力企業，SIMS 技ji術shu的de強qiang大da威wei力li在zai於yu
，它ta可ke使shi人ren數shu相xiang對dui較jiao少shao的de安an全quan團tuan隊dui極ji大da縮suo短duan攻gong擊ji與yu響xiang應ying之zhi間jian的de時shi間jian。電dian力li企qi業ye可ke以yi利li用yong現xian有you人ren員yuan妥tuo善shan監jian控kong更geng多duo的de設she備bei和he告gao警jing；可為企業提供更好的安全保護；可降低企業的安全總擁有成本（TCO）。

　　很多電力企業是通過實施外圍防禦基礎設施（如防病毒軟件、防火牆、公鑰基礎設施（PKI）以及入侵檢測係統（IDS）等）來lai解jie決jue或huo實shi現xian反fan應ying性xing數shu據ju安an全quan功gong能neng的de。響xiang應ying規gui劃hua中zhong缺que乏fa有you效xiao的de管guan理li機ji製zhi
，最zui常chang見jian的de欠qian缺que在zai於yu全quan盤pan分fen析xi網wang絡luo防fang火huo牆qiang攻gong擊ji的de原yuan因yin和he結jie果guo所suo需xu要yao的de專zhuan業ye技ji術shu和he知zhi識shi是shi散san布bu在zai各ge處chu的de。例li如ru
，企qi業ye不bu同tong部bu門men的de專zhuan家jia往wang往wang被bei要yao求qiu獨du立li分fen析xi對dui他ta們men自zi己ji部bu門men的deITziyuandepohuaiqingkuang，ranhouzaijiangtamensuofaxiandewentihuotichudejianyibaogaogeishijishangshishigaizhanlvedexitongguanliyuan。zheyiguochenggenbenjiubunengjiejueanquangongjidejinpoxing。

　　而SIMS 解決方案可以充分利用現有人員，隻需配備一個實時控製台就能實現針對整個電力企業發生的安全事件的集中檢測和響應。SIMS還hai可ke使shi機ji構gou在zai安an全quan威wei脅xie造zao成cheng嚴yan重zhong問wen題ti之zhi前qian就jiu對dui其qi加jia以yi解jie決jue。而er安an全quan團tuan隊dui也ye會hui更geng加jia有you效xiao
，因yin為wei無wu需xu添tian加jia更geng多duo人ren手shou它ta就jiu能neng更geng有you效xiao地di識shi別bie和he應ying對dui更geng多duo威wei脅xie。

　　SIMS是(shi)一(yi)種(zhong)戰(zhan)略(lve)性(xing)更(geng)強(qiang)的(de)方(fang)法(fa)。它(ta)可(ke)有(you)效(xiao)降(jiang)低(di)整(zheng)個(ge)電(dian)力(li)企(qi)業(ye)中(zhong)日(ri)常(chang)安(an)全(quan)監(jian)控(kong)工(gong)作(zuo)居(ju)高(gao)不(bu)下(xia)的(de)成(cheng)本(ben)，而(er)且(qie)還(hai)可(ke)實(shi)現(xian)實(shi)時(shi)檢(jian)測(ce)和(he)響(xiang)應(ying)，能(neng)在(zai)安(an)全(quan)威(wei)脅(xie)演(yan)變(bian)成(cheng)代(dai)價(jia)高(gao)昂(ang)且(qie)很(hen)可(ke)能(neng)是(shi)災(zai)難(nan)性(xing)的(de)事(shi)件(jian)之(zhi)前(qian)就(jiu)加(jia)以(yi)解(jie)決(jue)。

　　安全監控
、分析和響應係統（MARS）

　　從上述的分析可以看出，對於電力信息網絡的安全管理，監控、分析和響應是重要。而安全監控分析和響應係統(CS-MARS)（思科產品）是廣經驗證的高性能
、可擴展的威脅管理
、監控和防禦設備係列，是架構SONA立體防禦體係的基礎。

　　CS-MARS將傳統安全事件監控與網絡智能
、上下文關聯
、因素分析、異常流量檢測
、熱re點dian識shi別bie自zi動dong防fang禦yu功gong能neng相xiang結jie合he
，可ke幫bang助zhu電dian力li客ke戶hu更geng為wei高gao效xiao地di使shi用yong網wang絡luo和he安an全quan設she備bei。通tong過guo結jie合he這zhe些xie功gong能neng，可ke幫bang助zhu電dian力li企qi業ye準zhun確que識shi別bie和he消xiao除chu網wang絡luo攻gong擊ji，且qie保bao持chi網wang絡luo的de安an全quan策ce略lve符fu合he性xing。

　　對於電力信息網絡的安全管理，日常工作中時刻麵臨著大量的挑戰，包括過量的安全和網絡信息；低劣的攻擊和故障識別、優先級分配和響應能力；攻擊手段越來越高明、速度越來越快、補救成本越來越高；滿足規章製度和審計要求
；從事安全工作的人員和預算受到限製等。

　　CS-MARS 管理係統通過以下方式解決這些挑戰：

　　● 集成網絡智能，以便通過先進的方法將網絡異常與安全事件相關聯
；

　　● 顯示得到確認的事故並進行自動調查；

　　● 充分利用您現有網絡和安全基礎設施，從而抵禦攻擊
；

　　● 監控係統
、網絡和安全運維
，以幫助遵從規章要求；

　　● 以最低的TCO 提供易於部署和使用的可擴展的係統。

　　CS-MARS可(ke)將(jiang)原(yuan)始(shi)的(de)網(wang)絡(luo)和(he)安(an)全(quan)數(shu)據(ju)轉(zhuan)變(bian)成(cheng)情(qing)報(bao)，以(yi)便(bian)終(zhong)止(zhi)實(shi)際(ji)的(de)安(an)全(quan)事(shi)故(gu)並(bing)保(bao)證(zheng)符(fu)合(he)安(an)全(quan)規(gui)章(zhang)要(yao)求(qiu)。這(zhe)個(ge)易(yi)用(yong)的(de)威(wei)脅(xie)抵(di)禦(yu)產(chan)品(pin)係(xi)列(lie)允(yun)許(xu)操(cao)作(zuo)人(ren)員(yuan)使(shi)用(yong)基(ji)礎(chu)設(she)施(shi)中(zhong)現(xian)有(you)的(de)網(wang)絡(luo)和(he)安(an)全(quan)設(she)備(bei)來(lai)集(ji)中(zhong)
、檢測、抵禦並按嚴重性來報告威脅。

　　路由器和安全設備管理器 (SDM)

　　電力智能網絡的安全管理有了監控、分析和響應係統，下一步就要延展到各大核心路由交換設備。

　　在電力智能網絡
，從能夠提供10－Gbps接口的7600光纖業務路由器，到思科智能多層模塊化交換機Catalyst 6500係列，第2/3/4層的實施策略的核心Catalyst 4500係列產品，網絡安全策略得以有效分解。

　　在這些產品中網絡安全模塊的嵌入可以保障設備的長久可用性；IOS軟件模塊化通過在最需要網絡可用性的環境中提供故障抑製和更快的故障恢複速度；設備級冗餘性包括LAN交換機內能夠防止交換機本身和相連網絡設備出現網絡故障或遭受攻擊
，以保持連續網絡訪問的各種機製……從而確保電力專網安全可靠。

　　另一層麵，這樣複雜的安全體係如何架構管理是個挑戰。SDM從管理角度使問題迎刃而解。SDM是為基於思科IOS的路由器開發的一種直觀 Web 設備管理工具。它能夠通過智能向導簡化路由器和安全配置，使客戶和思科合作夥伴不需要了解命令行界麵 (CLI) 就能快速容易地部署配置和監控思科路由器。

　　對於電力企業的基層信息管理人員，可以獲得在安全管理方麵的便利，SDM智能向導指導用戶通過係統地配置 LAN、WLAN 和 WAN 接口、防火牆、入侵防禦係統 (IPS) 和IP Securtiy (IPSec) VPN 來逐步完成路由器和安全配置工作。思科SDM智能向導能夠以智能方式檢測到錯誤配置並提出修複建議，例如如果 WAN 接口由DHCP 定址，則允許動態主機配置協議 (DHCP) 流量通過防火牆。對於熟悉IOS及其安全特性的網絡專家，SDM提供了能夠快速配置和精確調整路由器安全特性的先進配置工具，以便網絡專家能夠先審核思科SDM生成的命令再提供路由器配置更改方案。

　　在電力企業的成本控製方麵，SDM獨具價值。對於建立了係統網絡的電力企業
，思科SDM能夠通過與思科CNS配置引擎的集成以可擴展的方式容易地部署路由器。思科SDM生成的思科IOS Software配置可以導入到思科CNS配置引擎中


，然後以“餅幹模子 (cookie cutter)”方式部署到數千台的思科路由器。

　　堅不可摧的Oracle數據庫的安全承諾

　　在電力行業軟件應用層麵，不同的業務需求對應不同的軟件產品
，而體係的核心大都靠Oracle 數據庫支撐，因而堅不可摧的Oracle數據庫的安全承諾尤為重要。

　　Oracle數據庫的堅不可摧包含以下因素：

　　1 jianbukecuiruanjiandeyigeguanjianyinsushiduibaozhengdedulipingding
，jitongguoyixiliezhengshidianquanxingpinggu

，yigedisanfangzuzhikeyizhengmingwomendechanpinanquanxingshengmingshiyouxiaode。duibaozhengdedulipingdingshijianbukecuideguanjianyinsu，yinwei
，conganquanxingdejiaoduchufa，niruhejianlizijidechanpinbinijianlilehezhongchanpingengweizhongyao
，erqie，zhiyoudangnilejiele“如何建立”，“何種產品”才是有效的。

　　2 堅不可摧的第二個因素是對安全產品生命周期的承諾。保證是生成和維護生命周期的重要部分
；實shi際ji上shang，為wei了le建jian立li安an全quan性xing的de正zheng確que性xing，你ni必bi須xu保bao證zheng安an全quan產chan品pin的de開kai發fa過guo程cheng是shi可ke重zhong複fu的de，從cong而er可ke以yi保bao證zheng在zai追zhui加jia新xin的de功gong能neng的de同tong時shi沒mei有you破po化hua原yuan有you的de安an全quan性xing機ji製zhi。

　　Oracle 的de堅jian不bu可ke摧cui承cheng諾nuo意yi味wei著zhe在zai缺que省sheng模mo式shi下xia產chan品pin的de安an全quan性xing會hui日ri益yi增zeng加jia，因yin此ci產chan品pin具ju有you無wu限xian的de可ke被bei接jie受shou的de安an全quan性xing

，而er係xi統tong管guan理li員yuan將jiang會hui為wei此ci付fu出chu極ji小xiao的de附fu加jia操cao作zuo。甚shen至zhi被bei發fa現xian的de，實shi際ji上shang是shi配pei置zhi問wen題ti的de“薄弱環節”將成為導致開發變更的候選因素。在保證產品安全性問題上
，如果能自動地完成的越多
，係統管理員需要做的就越少。

　　世上沒有安全性的魔術子彈
，但Oracle 數據庫為電力企業的信息體係提供了可靠的保障，它是一個長期的承諾
，它已經在實施過程中，它將被擴展到對每個Oracle 產品的相同的開發方法和保障評定中。今天
，所有強烈關注安全性的電力企業都會把他們的數據庫運行在Oracle 上。

　　安全是電力企業的生命線
，信息化是承載電力企業未來發展的基礎，隻有二者有機結合，才會綻放絢麗的亮彩。