电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。
随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多。同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立。网上的应用是有层次的,因此电力信息网络系统的网络安全“层次化”愈来愈显得重要。
挑战——打造“层次化”立体防御体系
对于电力企业而言,安全解决方案的焦点在于打造一个“层次化”立体防御体系。近年来,伴随电力行业信息化建设投资力度的加大,计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,尤其在电网调度自动化、厂站自动控制、管理信息系统、电力市场技术支持系统、电力营销系统、电力负荷管理、计算机辅助设计、科学计算以及教育培训等方面取得了较好的应用效果,在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益。但是伴随应用的普及,对于网络体系安全的挑战也随之而至。
首先是保障电力网络体系的物理安全,也就是各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全,把水灾、火灾、雷击等自然灾害,人为的破坏或误操作,外界的电磁干扰,设备固有的弱点或缺陷等对电力网络的影响降低至最小。
其次是网络体系的安全防范。在电力企业的系统的网络中,从安全程度和安全角度的不同主要可以划分为几个不同的网络安全区域:总部网络是内网,而拨号用户、各地分支机构/电厂的网络、Internet等都是外网。开放的网络容易受到来自外网的各种攻击和威胁。入侵者可以利用各种工具扫描网络及系统中存在的安全漏洞,并通过一些攻击程序对网络进行恶意攻击,这样的危害可以造成网络的瘫痪,系统的拒绝服务,信息的被窃取、篡改等等。
对于电力网络,破坏者进行的攻击手段越来越复杂,从最早的猜密码到拥塞路由致使线路瘫痪,到从多个服务器平台向某一服务器平台发动持续攻击等等,在世界上即使像雅虎、微软等安全体系完善的大型公司也饱受安全问题困扰。例如前段时间的红色代码病毒,融合病毒和黑客两种手段,刚开始发作时是病毒发动攻击,紧跟着多种手段综合作用,把一台机器屏蔽不起作用,而且很难用单一的杀毒软件解决问题。
从另一方面看,破坏者需要掌握的知识越来越少,从书籍、网站、软件光盘等多个渠道获取手段,发动攻击越来越容易。
这是一项真正的挑战,必须建立“层次化”的安全防范体系。从电力用户信息建设的经济性角度看,安全的层次化也是重要的。安全与网络是有关联的,就象家里装门锁一样,跟房屋的结构有很大关系,不可能全部安最贵的琐,也不可能都安装小锁头,在合适的场合进行合理配置很重要。
需求——意识、管理、体系
电力网络的“层次化”的安全体系与电力网络的应用需求是紧密相关的。
电力网络安全的首要需求是提高信息网络安全意识。由于近十几年计算机信息技术高速发展,计算机信息安全策略和技术也取得了非常大的进展。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。例如电力用户应用视频、语音、无线等新技术,而一些网络安全厂商对新技术带来的不安定因素估计不足,造成网络安全体系的不健全。
其次电力网络安全管理很重要。电力系统虽然对计算机安全一直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。
电力企业也急需建立同电力行业特点相适应的计算机信息安全体系。近几年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、安全技术、和安全措施投入较少。所以,为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
再有就是计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
这些需求使“层次化安全构架”成为电力网络信息建设的焦点,目前很多电力企业在信息化建设中已经意识系统安全“层次化”的重要性,纷纷开展漏洞检测工作,逐步完善信息网络。
跨越——思科“一体化”安全策略架构未来
电力网络的安全问题不是产品级能够解决的,其特点在于在网络建设和改造之前,要进行“评估”,确定一个“层次化”的网络架构,再通过实施、再次评估、实施修正等循环进行,持续完善电力网络的安全机制。在这个流程中“层次化”安全策略是焦点,透视思科公司的SAFE解决方案可以得到对网络安全“层次化”的完美诠释。
思科是网络专家、安全专家,并且为电力用户提供一体化的SAFE解决方案。
针对电力行业特点,思科首要的策略是网络与安全很好地融合在一起。思科是世界上最大的网络产品供应商,在网络安全产品供应层面,思科是全球最大的防火墙、VPN产品厂商,IDS产品位列第二,其他网络安全产品在占有重要的市场份额。这些网络安全产品能够与思科网络构架无缝融合。
电力行业用户需要跨平台解决方案。从解决方案层面,网络安全产品厂商大都只设计网络产品,只有思科一家可以提供跨平台行业解决方案,很好的策略造成了今天的优势。思科有SAFE白皮书,并且从网络的角度将安全模块化,拥有50多项针对安全相关的VPN、Qos、IPT、无线等专业安全解决方案。并且在全球拥有网络“生态合作伙伴”,与全球五大公司合作(在实验室中)进行测试。共同研发安全解决方案。并且注重产品的兼容与互动,有各种安全产品白皮书,对用户提供跨平台的安全认证防毒,拥有几十项认证。
在专业的电力解决方案上,思科在总结企业网设计与实施经验的基础上,提出的SAFE体系架构是层次化、模块结构的模型,细分成管理安全模块、核心和服务器模块、大楼分布模块、边缘分布模块、VPN和远程接入模块、WAN模块等等。网络安全模块化有两种主要优势,首先,它允许体系结构实现网络各功能块间的安全关系,其次,它让网管人员可逐个模块地评估并实施安全性策略,而非试图在一个阶段就完成整个体系结构。
在产品理念方面,思科认为SAFE不是单点产品,思科的多层次内嵌式与其他厂商外挂式产品有着本质区别。思科的产品不但是防火墙,而且通过路由器交换机产品也支持安全策略,对用户提供多层次投资保护。思科产品的安全特点可以归纳为三点:强调性能——确保系统安全的同时,不降低网络的性能,例如服务器确保20G流量畅通,入侵测试时能够600兆的流量畅通;强调智能——具体为支持多种环境、Qos、语音、无线等,为多种电力应用打下基础;持久保障——这是指产品的可靠性,对于电力系统尤其重要,能够对电力用户进行投资保护。
在服务层面,思科有最好的服务支持体系,帮助电力用户中立地进行评估,并得到后续服务支持。思科150多代理商均经过专业安全认证。
电力行业作为国家经济基础动脉,高可靠、高安全的“层次化”现代网络体系是行业面向未来、实现跨越的基础。保持前瞻性的方向投资很重要,要建立一个队伍从管理的角度解决安全问题,思科的“一体化”网络安全策略引领电力用户实现跨越!
