【51CTO.com 綜合消息】2006年4月29日，國(guó)家電網(wǎng)公司提出了在全系統(tǒng)實(shí)施“SG186工程”的規(guī)劃，力爭(zhēng)到“十一五”末，公司的信息化水平達(dá)到國(guó)內(nèi)領(lǐng)先、國(guó)際先進(jìn)，初步建成數(shù)字化電網(wǎng)、信息化企業(yè)。

經(jīng)過(guò)近三年的應(yīng)用系統(tǒng)建設(shè), 國(guó)家電網(wǎng)公司在一體化信息集成平臺(tái)建設(shè)，八大業(yè)務(wù)應(yīng)用推廣，安全防護(hù)與運(yùn)維水平提升方面都取得了顯著的成效。而2009年更成為SG186工程的決勝年，國(guó)家電網(wǎng)公司明確了 “保竣工、促應(yīng)用、抓安全、上臺(tái)階” 的總體工作思路，確保完成SG186工程，力促應(yīng)用深化并快速見(jiàn)效，狠抓公司信息系統(tǒng)穩(wěn)定運(yùn)行與安全，推動(dòng)公司信息化瞄準(zhǔn)世界領(lǐng)先水平再上臺(tái)階。

隨著SG168工程的應(yīng)用深化和擴(kuò)展,其所面臨的信息安全威脅也日益復(fù)雜和多樣化。 安全威脅的來(lái)源基本可以分為內(nèi)部和外部?jī)煞N。從內(nèi)部角度講，操作權(quán)限管理、主機(jī)或網(wǎng)絡(luò)故障、數(shù)據(jù)備份及容災(zāi)措施等都會(huì)產(chǎn)生安全隱患。從外部角度講，信息垃圾、直接攻擊和木馬攻擊等都會(huì)影響信息系統(tǒng)的穩(wěn)定和運(yùn)行效率。
   
安全威脅產(chǎn)生的后果從損失程度上分為拒絕服務(wù)、數(shù)據(jù)丟失、信息篡改三類。    拒絕服務(wù)主要表現(xiàn)為信息系統(tǒng)服務(wù)響應(yīng)速度緩慢甚至停止服務(wù)。數(shù)據(jù)丟失表現(xiàn)為過(guò)程數(shù)據(jù)或關(guān)鍵原始數(shù)據(jù)丟失兩種，而后者如果沒(méi)有備份將是致命的。信息篡改是指非真實(shí)信息的呈現(xiàn)和使用，突出表現(xiàn)在企業(yè)門戶網(wǎng)站的頁(yè)面篡改，這對(duì)于企業(yè)將產(chǎn)生惡劣的社會(huì)影響。

立體安全網(wǎng)絡(luò)平臺(tái)是順應(yīng)后網(wǎng)絡(luò)安全時(shí)代要求的整體安全解決方案，其核心思想是內(nèi)外兼顧、多維防護(hù)，同時(shí)強(qiáng)調(diào)網(wǎng)絡(luò)安全投資針對(duì)企業(yè)安全需求的匹配性和擴(kuò)展性。針對(duì)SG168工程的具體情況，需要從數(shù)據(jù)中心、多層防護(hù)、旁路威脅和負(fù)載均衡四個(gè)方面進(jìn)行整體網(wǎng)絡(luò)安全方案的設(shè)計(jì)和部署。

一、構(gòu)建新型數(shù)據(jù)中心，保證數(shù)據(jù)集中、安全和易用

在當(dāng)今信息爆炸的時(shí)代，上百GB甚至TB的數(shù)據(jù)資料量已不稀奇，電力行業(yè)第一要?jiǎng)?wù)即是解決海量的數(shù)據(jù)存儲(chǔ)和安全問(wèn)題。電力行業(yè)機(jī)構(gòu)需要存儲(chǔ)的數(shù)據(jù)主要分為結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)兩個(gè)部分。結(jié)構(gòu)化數(shù)據(jù)是指各種ERP、CRM等企業(yè)應(yīng)用相關(guān)的基于數(shù)據(jù)庫(kù)類型的數(shù)據(jù)；非結(jié)構(gòu)化數(shù)據(jù)是指基于文件型的數(shù)據(jù)，如電子郵件、文檔、電子數(shù)據(jù)、數(shù)字媒體等。

數(shù)據(jù)管理要滿足集中、安全、易用三個(gè)方面的要求。通過(guò)集中存儲(chǔ)，容災(zāi)備份等手段可以實(shí)現(xiàn)數(shù)據(jù)的集中和一定程度的安全，目前可選擇的解決方案也比較多。存儲(chǔ)的目的是為了使用，但目前大多數(shù)供應(yīng)商提供的備份解決方案在易用性方面都存在問(wèn)題。主要原因是大部分廠商是采取的線性存儲(chǔ)方式而不是邏輯存儲(chǔ)方式，用戶經(jīng)常需要花比較大的成本才能在備份數(shù)據(jù)中找到想要的數(shù)據(jù)，特別是針對(duì)非結(jié)構(gòu)化數(shù)據(jù)。

隨著網(wǎng)絡(luò)廠商和存儲(chǔ)廠商的融合，如存儲(chǔ)廠商BROCADE對(duì)Foundry展開(kāi)全面收購(gòu)，而作為網(wǎng)絡(luò)廠商梭子魚則并購(gòu)了Yosemite，一種稱為“文件虛擬化”的解決方案也隨之產(chǎn)生。以梭子魚的數(shù)據(jù)安全解決方案為例，通過(guò)建立文件索引邏輯層，可實(shí)現(xiàn)對(duì)電子郵件、數(shù)字媒體等非結(jié)構(gòu)化數(shù)據(jù)以及結(jié)構(gòu)化數(shù)據(jù)的邏輯調(diào)用，并提供本地備份、異地容災(zāi)和數(shù)據(jù)恢復(fù)。

二、建立多層安全保護(hù)體系，加強(qiáng)應(yīng)用層安全防護(hù)
 
面對(duì)網(wǎng)絡(luò)的種種安全問(wèn)題，大部分用戶對(duì)黑客、病毒攻擊的危險(xiǎn)性早已有了深刻的認(rèn)識(shí)，防火墻、防病毒軟件等也是信息安全的首選產(chǎn)品之一。但實(shí)際的實(shí)施效果卻并不理想，病毒依然時(shí)常泛濫，重要信息常被泄露，原因何在?

網(wǎng)絡(luò)安全是一個(gè)完整的體系，傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品（如防火墻）主要集中在網(wǎng)絡(luò)的第4層進(jìn)行防護(hù)，對(duì)數(shù)據(jù)包也只能進(jìn)行2—4層也就是數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的分析和處理，而隨著病毒及黑客技術(shù)的發(fā)展，為了達(dá)到穿越防火墻的目的，更多的網(wǎng)絡(luò)攻擊將目標(biāo)瞄準(zhǔn)了4-7層甚至直指應(yīng)用層(即第7層)。

2007年，全球領(lǐng)先的網(wǎng)絡(luò)安全設(shè)備廠商梭子魚收購(gòu)了應(yīng)用層防火墻廠商N(yùn)etcontinuum，并推出了世界上第一個(gè)被ICSA(互聯(lián)網(wǎng)計(jì)算機(jī)安全聯(lián)盟)認(rèn)證的Web應(yīng)用防火墻產(chǎn)品。梭子魚應(yīng)用防火墻基于專利的NCOS系統(tǒng)，基于會(huì)話的雙向代理機(jī)制，對(duì)Web應(yīng)用具備終止、防護(hù)和加速功能，防范對(duì) Web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊。該產(chǎn)品能夠屏蔽如SQL注入、跨站腳本、進(jìn)程竊取及緩存溢出等各類應(yīng)用層攻擊。

三、防護(hù)企業(yè)桌面互聯(lián)網(wǎng)應(yīng)用，減少旁路威脅

企業(yè)應(yīng)用系統(tǒng)除了面臨外部直接攻擊外，企業(yè)內(nèi)部的一些常用互聯(lián)網(wǎng)應(yīng)用也會(huì)帶來(lái)較大的安全威脅。垃圾郵件除了會(huì)增加郵件服務(wù)器負(fù)載和令人不愉快外，也會(huì)帶來(lái)病毒和間諜軟件。常用的QQ、MSN等即時(shí)通訊工具也會(huì)傳播病毒和造成內(nèi)部信息外泄。企業(yè)員工瀏覽外部網(wǎng)站時(shí)，也會(huì)引入病毒和木馬攻擊。

通過(guò)部署垃圾郵件防火墻，即時(shí)通信防火墻以及Web過(guò)濾器可以有效降低對(duì)企業(yè)信息系統(tǒng)的威脅。

此外，為了方便內(nèi)部用戶訪問(wèn)，許多企業(yè)采用了IPSec VPN技術(shù)，但同 SSL VPN相比，前者除了部署復(fù)雜外，也存在許多安全隱患。比如黑客想要攻擊應(yīng)用系統(tǒng)，只要以遠(yuǎn)程用戶身份通過(guò)IPSec VPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機(jī)，就可以偵測(cè)得到內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)。

SSL VPN安全通道可以確保點(diǎn)到點(diǎn)的真正安全，用戶對(duì)資源的每一次操作都需要經(jīng)過(guò)安全的身份驗(yàn)證和加密。因此，采用SSL VPN將更在很大程度上減少企業(yè)面臨的安全威脅。

四、部署鏈路均衡和負(fù)載均衡，增強(qiáng)系統(tǒng)擴(kuò)展性和強(qiáng)壯性

企業(yè)信息系統(tǒng)就好像一個(gè)人，感冒的原因除了外部氣溫或病毒外，自身抵抗能力也十分重要。企業(yè)信息系統(tǒng)自身的強(qiáng)壯性除了部署鏡像、容災(zāi)等方案外，還需在網(wǎng)絡(luò)冗余和服務(wù)器冗余方面進(jìn)行考慮，即所謂的鏈路均衡和負(fù)載均衡。

隨著企業(yè)業(yè)務(wù)的飛速增長(zhǎng)，企業(yè)往往向多個(gè)電信運(yùn)營(yíng)商同時(shí)租用互聯(lián)網(wǎng)線路。但是由于多條鏈路互相之間沒(méi)有關(guān)聯(lián)，不僅帶寬無(wú)法充分的利用，而且由于缺乏容錯(cuò)機(jī)制，任一條鏈路的中斷都會(huì)影響正常的工作。 在這種情況下，鏈路負(fù)載均衡機(jī)制應(yīng)運(yùn)而生。在這一機(jī)制下，可充分實(shí)現(xiàn)多條互聯(lián)網(wǎng)連接鏈路的優(yōu)越性，實(shí)現(xiàn)多條互聯(lián)網(wǎng)連接鏈路的冗余備份和負(fù)載均衡，從而提高信息服務(wù)的性能和可用性。

隨著信息系統(tǒng)業(yè)務(wù)量的提高，其處理能力和計(jì)算強(qiáng)度也相應(yīng)地增大，使得單一的服務(wù)器設(shè)備根本無(wú)法承擔(dān)。采用負(fù)載均衡技術(shù)管理服務(wù)器集群已經(jīng)成為企業(yè)信息系統(tǒng)建設(shè)的標(biāo)準(zhǔn)配置。負(fù)載均衡器是一種采用各種分配算法把網(wǎng)絡(luò)請(qǐng)求分散到一個(gè)服務(wù)器集群中的可用服務(wù)器上去。當(dāng)一個(gè)服務(wù)器出現(xiàn)故障時(shí)，負(fù)載均衡器會(huì)自動(dòng)尋找可用的服務(wù)器，從而保證服務(wù)響應(yīng)。

鏈路均衡器和負(fù)載均衡器除了可以避免單點(diǎn)故障引起的服務(wù)響應(yīng)問(wèn)題外，也可以通過(guò)增減鏈路資源和服務(wù)器資源以匹配應(yīng)用系統(tǒng)在某一時(shí)間段的負(fù)荷。
 
從國(guó)家電網(wǎng)公司2009年SG186工程的總體工作思路可以看出，隨著工程的竣工，其應(yīng)用廣度和深度必將進(jìn)一步擴(kuò)展，除了帶來(lái)內(nèi)部管理效益外，在客戶關(guān)系，投資者關(guān)系，政府關(guān)系，企業(yè)社會(huì)責(zé)任方面也將逐步發(fā)揮作用。SG186工程的使用者將從國(guó)家電網(wǎng)內(nèi)部擴(kuò)展為外部，這就對(duì)整個(gè)信息系統(tǒng)的安全性提出了更高要求。

為保障SG168工程建設(shè)的成果，最大化的發(fā)揮其應(yīng)用價(jià)值，應(yīng)對(duì)日益多樣化和復(fù)雜化的內(nèi)外部安全威脅，保證信息系統(tǒng)安全、穩(wěn)定、高效的運(yùn)轉(zhuǎn)，構(gòu)建立體安全網(wǎng)絡(luò)平臺(tái)將會(huì)逐步提上日程。