【文章摘要】riqian，yichangweiqierzhidebaofengxuegeizhongguoshenzhoudadidailaihenduofanyou
，nanfangdianwanghenduogongdiansheshiguzhang，qiangxiucengmianjubuweijian。danshi
，womendeguzhangjibenshangchuxianzaixianludejichusheshifangmian
，bingmeiyouchuxianmeiguo“紐約大停電”那樣的災難性的情況，線路故障解決後供電很快恢複。這與近年來我國電力企業注重信息化建設
，注重科學的安全策略規劃密切相關。

　　riqian
，yichangweiqierzhidebaofengxuegeizhongguoshenzhoudadidailaihenduofanyou，nanfangdianwanghenduogongdiansheshiguzhang，qiangxiucengmianjubuweijian。danshi，womendeguzhangjibenshangchuxianzaixianludejichusheshifangmian
，bingmeiyouchuxianmeiguo“紐約大停電”那樣的災難性的情況
，線路故障解決後供電很快恢複。這與近年來我國電力企業注重信息化建設，注重科學的安全策略規劃密切相關。

　　電力信息網的“脆”性

　　提及信息網絡安全，常言“三分安全，其分管理”，這足以看出網絡安全管理的重要性。缺乏成體係的安全管理策略，在泛濫成災的互聯網攻擊麵前，電力信息網絡往往表現出“脆”性的一麵。

　　因為有很多種攻擊工具都可以很容易地從互聯網上找到和下載。網絡攻擊的次數在迅速增多。考慮到業務的損失和生產效率的下降, 以yi及ji排pai除chu故gu障zhang和he修xiu複fu損sun壞huai設she備bei所suo導dao致zhi的de額e外wai開kai支zhi等deng方fang麵mian
，對dui網wang絡luo安an全quan的de破po壞huai可ke以yi是shi毀hui滅mie性xing的de。此ci外wai
，嚴yan重zhong的de安an全quan性xing攻gong擊ji還hai可ke導dao致zhi電dian力li企qi業ye的de公gong眾zhong形xing象xiang的de破po壞huai、法律上的責任、乃至客戶信心的喪失，並進而造成無法估量的成本損失。

　　在電力行業中
，IT係統越來越複雜：

　　數據中心的複雜度變大——今天的數據中心比以往擔負著更加複雜、重要的任務，我們生活中的吃、穿、住、行(xing)都(dou)離(li)開(kai)不(bu)開(kai)各(ge)種(zhong)各(ge)樣(yang)數(shu)據(ju)的(de)支(zhi)持(chi)。目(mu)前(qian)數(shu)據(ju)中(zhong)心(xin)的(de)發(fa)展(zhan)已(yi)經(jing)從(cong)數(shu)據(ju)集(ji)中(zhong)走(zou)向(xiang)整(zheng)合(he)，在(zai)整(zheng)合(he)過(guo)程(cheng)中(zhong)需(xu)要(yao)高(gao)密(mi)度(du)集(ji)成(cheng)，以(yi)前(qian)一(yi)個(ge)數(shu)據(ju)中(zhong)心(xin)幾(ji)十(shi)台(tai)，現(xian)在(zai)數(shu)據(ju)中(zhong)心(xin)經(jing)常(chang)是(shi)幾(ji)百(bai)台(tai)
，甚(shen)至(zhi)上(shang)千(qian)台(tai)、上萬台。另一層麵，“綠色數據中心”已經成為數據中心建設的新趨勢。節能、簡潔、高效、高可靠等要求，對於數據中心的供電保障，基礎架構（如網絡架構等）的選擇來講，是個新挑戰。

　　基礎設施的不斷升級——與基礎設施相關的產品/技術一直在發展。必須能夠快速反應
，不斷優化原有體係結構，為應用服務。其中，應用正在向SOA架構方向前進。SOA是以服務為核心的體係架構
，不是簡簡單單說企業內部的數據庫業務，它往往是直接跟業務掛鉤
，是整個跨行業的概念
；基礎架構的變化：網絡正在成為整個IT的基礎
；安全成為網絡的特性，而不是一個單獨的應用；IT開發建設方法的變化。特別是由於中間件的發展
，使打破“信息孤島”成為可能，也對基礎網絡的容量
、可擴展性和智能化等提出了更高的要求。

　　技術越來越複雜——技術/產品上一直在發展，其中：以太網：10Gbps端口卡已經商業化；光纖（FC）: 4Gb接口正在逐步取代2Gb接口
；融合了以太網
、光纖網和InfiniBand等三種協議的10Gb卡07年4月底第一次出現；CPU向多內核方向發展
，而不是單純的追求GHz值

；計算機係統的能耗及散熱，“綠色數據中心”成為一種訴求
；數據存儲成本越來越昂貴（SAN占IT成本的比例逐年增高）；wangluochanpinchulinenglihekekaoxingdetigao，shiwangluobianpinghuachengweikenengheyizhongqushi。youyujishuyuelaiyuefuza
，daozhiqiyeyuanyouxinxijiagoumianlinkaoyan
，ruhejinxingxitongshengji，yuyuanyouyingyongruanjiandeduijie、整體的安全性、管理人員的培訓等諸多問題都需要仔細斟酌。

　　綜上所述，電力信息網絡彰顯脆性，安全管理刻不容緩。我們需要有效的安全策略以應對挑戰，以下我們從多個層麵進行係統論述：

　　SIMS彰顯“鋼韌”

　　打造電力智能網絡的安全體係，首先從安全信息管理（SIMS）解決方案入手。它以技術為基礎的實時安全數據監控和關聯係統
，能檢測出所發生（甚至發生前）的網絡攻擊或漏洞
，可實時地收集、分析和關聯整個電力企業中的所有安全設備信息。

　　在電力智能專網，SIMS彰顯“鋼韌”。它提供了一種簡單機製，可使安全團隊收集和分析極大量的安全告警數據，更具體地說，SIMS 解決方案可實時地收集

、分析和關聯整個企業中的所有安全設點備信息。可以分四個階段：

　　1 過程規範——收集電力專網中每台安全設備的數據

，將這一數據放入更容易理解的背景中
，並將關於相同安全事件的不同消息映射為一個通用警報ID。

　　2 彙聚階段——從安全事件數據流中消除多餘或重複的事件數據
，並細化和優化呈現給安全分析員的信息數量。

　　3 關聯階段——采用軟件技術來實時分析所彙聚的數據以確定具體模式是否存在。相似安全事件的這些模式一般對應於具體安全攻擊。

　　4 可視化——tashizhizaiyigeshishikongzhitaizhongyituxingfangshilaichengxiansuoguanliandexinxi。xingzhiyouxiaodekeshihuakeshianquancaozuoyuanzaianquanshijianfashengshibingzaiqiduidianliqiyezaochengyingxiangzhiqianxunsudijiayishibiehexiangying。

　　從這四個階段可以看出安全管理的行之有效。對於電力企業
，SIMS 技ji術shu的de強qiang大da威wei力li在zai於yu
，它ta可ke使shi人ren數shu相xiang對dui較jiao少shao的de安an全quan團tuan隊dui極ji大da縮suo短duan攻gong擊ji與yu響xiang應ying之zhi間jian的de時shi間jian。電dian力li企qi業ye可ke以yi利li用yong現xian有you人ren員yuan妥tuo善shan監jian控kong更geng多duo的de設she備bei和he告gao警jing；可為企業提供更好的安全保護
；可降低企業的安全總擁有成本（TCO）。

　　很多電力企業是通過實施外圍防禦基礎設施（如防病毒軟件、防火牆
、公鑰基礎設施（PKI）以及入侵檢測係統（IDS）等）laijiejuehuoshixianfanyingxingshujuanquangongnengde。xiangyingguihuazhongquefayouxiaodeguanlijizhi，zuichangjiandeqianquezaiyuquanpanfenxiwangluofanghuoqianggongjideyuanyinhejieguosuoxuyaodezhuanyejishuhezhishishisanbuzaigechude。liru
，qiyebutongbumendezhuanjiawangwangbeiyaoqiudulifenxiduitamenzijibumendeIT資zi源yuan的de破po壞huai情qing況kuang

，然ran後hou再zai將jiang他ta們men所suo發fa現xian的de問wen題ti或huo提ti出chu的de建jian議yi報bao告gao給gei實shi際ji上shang實shi施shi該gai戰zhan略lve的de係xi統tong管guan理li員yuan。這zhe一yi過guo程cheng根gen本ben就jiu不bu能neng解jie決jue安an全quan攻gong擊ji的de緊jin迫po性xing。

　　而SIMS 解決方案可以充分利用現有人員，隻需配備一個實時控製台就能實現針對整個電力企業發生的安全事件的集中檢測和響應。SIMS還(hai)可(ke)使(shi)機(ji)構(gou)在(zai)安(an)全(quan)威(wei)脅(xie)造(zao)成(cheng)嚴(yan)重(zhong)問(wen)題(ti)之(zhi)前(qian)就(jiu)對(dui)其(qi)加(jia)以(yi)解(jie)決(jue)。而(er)安(an)全(quan)團(tuan)隊(dui)也(ye)會(hui)更(geng)加(jia)有(you)效(xiao)，因(yin)為(wei)無(wu)需(xu)添(tian)加(jia)更(geng)多(duo)人(ren)手(shou)它(ta)就(jiu)能(neng)更(geng)有(you)效(xiao)地(di)識(shi)別(bie)和(he)應(ying)對(dui)更(geng)多(duo)威(wei)脅(xie)。

　　SIMSshiyizhongzhanlvexinggengqiangdefangfa。takeyouxiaojiangdizhenggedianliqiyezhongrichanganquanjiankonggongzuojugaobuxiadechengben，erqiehaikeshixianshishijiancehexiangying，nengzaianquanweixieyanbianchengdaijiagaoangqiehenkenengshizainanxingdeshijianzhiqianjiujiayijiejue。

　　安全監控、分析和響應係統（MARS）

　　從上述的分析可以看出，對於電力信息網絡的安全管理，監控

、分析和響應是重要。而安全監控分析和響應係統(CS-MARS)（思科產品）是廣經驗證的高性能、可擴展的威脅管理、監控和防禦設備係列

，是架構SONA立體防禦體係的基礎。

　　CS-MARS將傳統安全事件監控與網絡智能、上下文關聯
、因素分析
、異常流量檢測、熱re點dian識shi別bie自zi動dong防fang禦yu功gong能neng相xiang結jie合he，可ke幫bang助zhu電dian力li客ke戶hu更geng為wei高gao效xiao地di使shi用yong網wang絡luo和he安an全quan設she備bei。通tong過guo結jie合he這zhe些xie功gong能neng
，可ke幫bang助zhu電dian力li企qi業ye準zhun確que識shi別bie和he消xiao除chu網wang絡luo攻gong擊ji，且qie保bao持chi網wang絡luo的de安an全quan策ce略lve符fu合he性xing。

　　對於電力信息網絡的安全管理
，日常工作中時刻麵臨著大量的挑戰，包括過量的安全和網絡信息；低劣的攻擊和故障識別、優先級分配和響應能力；攻擊手段越來越高明、速度越來越快、補救成本越來越高；滿足規章製度和審計要求

；從事安全工作的人員和預算受到限製等。

　　CS-MARS 管理係統通過以下方式解決這些挑戰：

　　● 集成網絡智能
，以便通過先進的方法將網絡異常與安全事件相關聯
；

　　● 顯示得到確認的事故並進行自動調查；

　　● 充分利用您現有網絡和安全基礎設施，從而抵禦攻擊；

　　● 監控係統、網絡和安全運維
，以幫助遵從規章要求；

　　● 以最低的TCO 提供易於部署和使用的可擴展的係統。

　　CS-MARS可(ke)將(jiang)原(yuan)始(shi)的(de)網(wang)絡(luo)和(he)安(an)全(quan)數(shu)據(ju)轉(zhuan)變(bian)成(cheng)情(qing)報(bao)，以(yi)便(bian)終(zhong)止(zhi)實(shi)際(ji)的(de)安(an)全(quan)事(shi)故(gu)並(bing)保(bao)證(zheng)符(fu)合(he)安(an)全(quan)規(gui)章(zhang)要(yao)求(qiu)。這(zhe)個(ge)易(yi)用(yong)的(de)威(wei)脅(xie)抵(di)禦(yu)產(chan)品(pin)係(xi)列(lie)允(yun)許(xu)操(cao)作(zuo)人(ren)員(yuan)使(shi)用(yong)基(ji)礎(chu)設(she)施(shi)中(zhong)現(xian)有(you)的(de)網(wang)絡(luo)和(he)安(an)全(quan)設(she)備(bei)來(lai)集(ji)中(zhong)
、檢測、抵禦並按嚴重性來報告威脅。

　　路由器和安全設備管理器 (SDM)

　　電力智能網絡的安全管理有了監控、分析和響應係統，下一步就要延展到各大核心路由交換設備。

　　在電力智能網絡，從能夠提供10－Gbps接口的7600光纖業務路由器，到思科智能多層模塊化交換機Catalyst 6500係列
，第2/3/4層的實施策略的核心Catalyst 4500係列產品，網絡安全策略得以有效分解。

　　在這些產品中網絡安全模塊的嵌入可以保障設備的長久可用性
；IOS軟件模塊化通過在最需要網絡可用性的環境中提供故障抑製和更快的故障恢複速度
；設備級冗餘性包括LAN交換機內能夠防止交換機本身和相連網絡設備出現網絡故障或遭受攻擊，以保持連續網絡訪問的各種機製……從而確保電力專網安全可靠。

　　另一層麵
，這樣複雜的安全體係如何架構管理是個挑戰。SDM從管理角度使問題迎刃而解。SDM是為基於思科IOS的路由器開發的一種直觀 Web 設備管理工具。它能夠通過智能向導簡化路由器和安全配置，使客戶和思科合作夥伴不需要了解命令行界麵 (CLI) 就能快速容易地部署配置和監控思科路由器。

　　對於電力企業的基層信息管理人員，可以獲得在安全管理方麵的便利，SDM智能向導指導用戶通過係統地配置 LAN
、WLAN 和 WAN 接口、防火牆、入侵防禦係統 (IPS) 和IP Securtiy (IPSec) VPN 來逐步完成路由器和安全配置工作。思科SDM智能向導能夠以智能方式檢測到錯誤配置並提出修複建議，例如如果 WAN 接口由DHCP 定址，則允許動態主機配置協議 (DHCP) 流量通過防火牆。對於熟悉IOS及其安全特性的網絡專家，SDM提供了能夠快速配置和精確調整路由器安全特性的先進配置工具，以便網絡專家能夠先審核思科SDM生成的命令再提供路由器配置更改方案。

　　在電力企業的成本控製方麵，SDM獨具價值。對於建立了係統網絡的電力企業，思科SDM能夠通過與思科CNS配置引擎的集成以可擴展的方式容易地部署路由器。思科SDM生成的思科IOS Software配置可以導入到思科CNS配置引擎中，然後以“餅幹模子 (cookie cutter)”方式部署到數千台的思科路由器。

　　堅不可摧的Oracle數據庫的安全承諾

　　在電力行業軟件應用層麵，不同的業務需求對應不同的軟件產品，而體係的核心大都靠Oracle 數據庫支撐
，因而堅不可摧的Oracle數據庫的安全承諾尤為重要。

　　Oracle數據庫的堅不可摧包含以下因素：

　　1 堅(jian)不(bu)可(ke)摧(cui)軟(ruan)件(jian)的(de)一(yi)個(ge)關(guan)鍵(jian)因(yin)素(su)是(shi)對(dui)保(bao)證(zheng)的(de)獨(du)立(li)評(ping)定(ding)，即(ji)通(tong)過(guo)一(yi)係(xi)列(lie)正(zheng)式(shi)地(di)安(an)全(quan)性(xing)評(ping)估(gu)
，一(yi)個(ge)第(di)三(san)方(fang)組(zu)織(zhi)可(ke)以(yi)證(zheng)明(ming)我(wo)們(men)的(de)產(chan)品(pin)安(an)全(quan)性(xing)聲(sheng)明(ming)是(shi)有(you)效(xiao)的(de)。對(dui)保(bao)證(zheng)的(de)獨(du)立(li)評(ping)定(ding)是(shi)堅(jian)不(bu)可(ke)摧(cui)的(de)關(guan)鍵(jian)因(yin)素(su)，因(yin)為(wei)
，從(cong)安(an)全(quan)性(xing)的(de)角(jiao)度(du)出(chu)發(fa)，你(ni)如(ru)何(he)建(jian)立(li)自(zi)己(ji)的(de)產(chan)品(pin)比(bi)你(ni)建(jian)立(li)了(le)何(he)種(zhong)產(chan)品(pin)更(geng)為(wei)重(zhong)要(yao)，而(er)且(qie)，隻(zhi)有(you)當(dang)你(ni)了(le)解(jie)了(le)“如何建立”，“何種產品”才是有效的。

　　2 堅不可摧的第二個因素是對安全產品生命周期的承諾。保證是生成和維護生命周期的重要部分；shijishang

，weilejianlianquanxingdezhengquexing，nibixubaozhenganquanchanpindekaifaguochengshikezhongfude
，congerkeyibaozhengzaizhuijiaxindegongnengdetongshimeiyoupohuayuanyoudeanquanxingjizhi。

　　Oracle dejianbukecuichengnuoyiweizhezaiqueshengmoshixiachanpindeanquanxinghuiriyizengjia，yincichanpinjuyouwuxiandekebeijieshoudeanquanxing
，erxitongguanliyuanjianghuiweicifuchujixiaodefujiacaozuo。shenzhibeifaxiande
，shijishangshipeizhiwentide“薄弱環節”將成為導致開發變更的候選因素。在保證產品安全性問題上，如果能自動地完成的越多，係統管理員需要做的就越少。

　　世上沒有安全性的魔術子彈，但Oracle 數據庫為電力企業的信息體係提供了可靠的保障，它是一個長期的承諾
，它已經在實施過程中
，它將被擴展到對每個Oracle 產品的相同的開發方法和保障評定中。今天
，所有強烈關注安全性的電力企業都會把他們的數據庫運行在Oracle 上。

　　安全是電力企業的生命線，信息化是承載電力企業未來發展的基礎，隻有二者有機結合，才會綻放絢麗的亮彩。