久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

    http://www.enet.com.cn/cio/   來源：eNet硅谷動力  

   【文章摘要】日前，一場未期而至的暴風雪給中國神州大地帶來很多煩憂，南方電網(wǎng)很多供電設施故障，搶修層面舉步為艱。但是，我們的故障基本上出現(xiàn)在線路的基礎設施方面，并沒有出現(xiàn)美國“紐約大停電”那樣的災難性的情況，線路故障解決后供電很快恢復。這與近年來我國電力企業(yè)注重信息化建設，注重科學的安全策略規(guī)劃密切相關(guān)。

   日前，一場未期而至的暴風雪給中國神州大地帶來很多煩憂，南方電網(wǎng)很多供電設施故障，搶修層面舉步為艱。但是，我們的故障基本上出現(xiàn)在線路的基礎設施方面，并沒有出現(xiàn)美國“紐約大停電”那樣的災難性的情況，線路故障解決后供電很快恢復。這與近年來我國電力企業(yè)注重信息化建設，注重科學的安全策略規(guī)劃密切相關(guān)?！　?

   電力信息網(wǎng)的“脆”性 

   提及信息網(wǎng)絡安全，常言“三分安全，其分管理”，這足以看出網(wǎng)絡安全管理的重要性。缺乏成體系的安全管理策略，在泛濫成災的互聯(lián)網(wǎng)攻擊面前，電力信息網(wǎng)絡往往表現(xiàn)出“脆”性的一面。

   因為有很多種攻擊工具都可以很容易地從互聯(lián)網(wǎng)上找到和下載。網(wǎng)絡攻擊的次數(shù)在迅速增多。考慮到業(yè)務的損失和生產(chǎn)效率的下降, 以及排除故障和修復損壞設備所導致的額外開支等方面，對網(wǎng)絡安全的破壞可以是毀滅性的。此外，嚴重的安全性攻擊還可導致電力企業(yè)的公眾形象的破壞、法律上的責任、乃至客戶信心的喪失，并進而造成無法估量的成本損失。　　

   在電力行業(yè)中，IT系統(tǒng)越來越復雜：

   數(shù)據(jù)中心的復雜度變大——今天的數(shù)據(jù)中心比以往擔負著更加復雜、重要的任務，我們生活中的吃、穿、住、行都離開不開各種各樣數(shù)據(jù)的支持。目前數(shù)據(jù)中心的發(fā)展已經(jīng)從數(shù)據(jù)集中走向整合，在整合過程中需要高密度集成，以前一個數(shù)據(jù)中心幾十臺，現(xiàn)在數(shù)據(jù)中心經(jīng)常是幾百臺，甚至上千臺、上萬臺。另一層面，“綠色數(shù)據(jù)中心”已經(jīng)成為數(shù)據(jù)中心建設的新趨勢。節(jié)能、簡潔、高效、高可靠等要求，對于數(shù)據(jù)中心的供電保障，基礎架構(gòu)（如網(wǎng)絡架構(gòu)等）的選擇來講，是個新挑戰(zhàn)。

   基礎設施的不斷升級——與基礎設施相關(guān)的產(chǎn)品/技術(shù)一直在發(fā)展。必須能夠快速反應，不斷優(yōu)化原有體系結(jié)構(gòu)，為應用服務。其中，應用正在向SOA架構(gòu)方向前進。SOA是以服務為核心的體系架構(gòu)，不是簡簡單單說企業(yè)內(nèi)部的數(shù)據(jù)庫業(yè)務，它往往是直接跟業(yè)務掛鉤，是整個跨行業(yè)的概念；基礎架構(gòu)的變化：網(wǎng)絡正在成為整個IT的基礎；安全成為網(wǎng)絡的特性，而不是一個單獨的應用；IT開發(fā)建設方法的變化。特別是由于中間件的發(fā)展，使打破“信息孤島”成為可能，也對基礎網(wǎng)絡的容量、可擴展性和智能化等提出了更高的要求。

    技術(shù)越來越復雜——技術(shù)/產(chǎn)品上一直在發(fā)展，其中：以太網(wǎng)：10Gbps端口卡已經(jīng)商業(yè)化；光纖（FC）: 4Gb接口正在逐步取代2Gb接口；融合了以太網(wǎng)、光纖網(wǎng)和InfiniBand等三種協(xié)議的10Gb卡07年4月底第一次出現(xiàn)；CPU向多內(nèi)核方向發(fā)展，而不是單純的追求GHz值；計算機系統(tǒng)的能耗及散熱，“綠色數(shù)據(jù)中心”成為一種訴求；數(shù)據(jù)存儲成本越來越昂貴（SAN占IT成本的比例逐年增高）；網(wǎng)絡產(chǎn)品處理能力和可靠性的提高，使網(wǎng)絡扁平化成為可能和一種趨勢。由于技術(shù)越來越復雜，導致企業(yè)原有信息架構(gòu)面臨考驗，如何進行系統(tǒng)升級，與原有應用軟件的對接、整體的安全性、管理人員的培訓等諸多問題都需要仔細斟酌。

   綜上所述，電力信息網(wǎng)絡彰顯脆性，安全管理刻不容緩。我們需要有效的安全策略以應對挑戰(zhàn)，以下我們從多個層面進行系統(tǒng)論述：

    SIMS彰顯“鋼韌”　

    打造電力智能網(wǎng)絡的安全體系，首先從安全信息管理（SIMS）解決方案入手。它以技術(shù)為基礎的實時安全數(shù)據(jù)監(jiān)控和關(guān)聯(lián)系統(tǒng)，能檢測出所發(fā)生（甚至發(fā)生前）的網(wǎng)絡攻擊或漏洞，可實時地收集、分析和關(guān)聯(lián)整個電力企業(yè)中的所有安全設備信息。

    在電力智能專網(wǎng)，SIMS彰顯“鋼韌”。它提供了一種簡單機制，可使安全團隊收集和分析極大量的安全告警數(shù)據(jù)，更具體地說，SIMS 解決方案可實時地收集、分析和關(guān)聯(lián)整個企業(yè)中的所有安全設點備信息?？梢苑炙膫€階段：

    1 過程規(guī)范——收集電力專網(wǎng)中每臺安全設備的數(shù)據(jù)，將這一數(shù)據(jù)放入更容易理解的背景中，并將關(guān)于相同安全事件的不同消息映射為一個通用警報ID。

    2 匯聚階段——從安全事件數(shù)據(jù)流中消除多余或重復的事件數(shù)據(jù)，并細化和優(yōu)化呈現(xiàn)給安全分析員的信息數(shù)量。

    3 關(guān)聯(lián)階段——采用軟件技術(shù)來實時分析所匯聚的數(shù)據(jù)以確定具體模式是否存在。相似安全事件的這些模式一般對應于具體安全攻擊。

    4 可視化——它是指在一個實時控制臺中以圖形方式來呈現(xiàn)所關(guān)聯(lián)的信息。行之有效的可視化可使安全操作員在安全事件發(fā)生時并在其對電力企業(yè)造成影響之前迅速地加以識別和響應。

    從這四個階段可以看出安全管理的行之有效。對于電力企業(yè)，SIMS 技術(shù)的強大威力在于，它可使人數(shù)相對較少的安全團隊極大縮短攻擊與響應之間的時間。電力企業(yè)可以利用現(xiàn)有人員妥善監(jiān)控更多的設備和告警；可為企業(yè)提供更好的安全保護；可降低企業(yè)的安全總擁有成本（TCO）。

    很多電力企業(yè)是通過實施外圍防御基礎設施（如防病毒軟件、防火墻、公鑰基礎設施（PKI）以及入侵檢測系統(tǒng)（IDS）等）來解決或?qū)崿F(xiàn)反應性數(shù)據(jù)安全功能的。響應規(guī)劃中缺乏有效的管理機制，最常見的欠缺在于全盤分析網(wǎng)絡防火墻攻擊的原因和結(jié)果所需要的專業(yè)技術(shù)和知識是散布在各處的。例如，企業(yè)不同部門的專家往往被要求獨立分析對他們自己部門的IT資源的破壞情況，然后再將他們所發(fā)現(xiàn)的問題或提出的建議報告給實際上實施該戰(zhàn)略的系統(tǒng)管理員。這一過程根本就不能解決安全攻擊的緊迫性。

    而SIMS 解決方案可以充分利用現(xiàn)有人員，只需配備一個實時控制臺就能實現(xiàn)針對整個電力企業(yè)發(fā)生的安全事件的集中檢測和響應。SIMS還可使機構(gòu)在安全威脅造成嚴重問題之前就對其加以解決。而安全團隊也會更加有效，因為無需添加更多人手它就能更有效地識別和應對更多威脅。

    SIMS是一種戰(zhàn)略性更強的方法。它可有效降低整個電力企業(yè)中日常安全監(jiān)控工作居高不下的成本，而且還可實現(xiàn)實時檢測和響應，能在安全威脅演變成代價高昂且很可能是災難性的事件之前就加以解決。

    安全監(jiān)控、分析和響應系統(tǒng)（MARS）

    從上述的分析可以看出，對于電力信息網(wǎng)絡的安全管理，監(jiān)控、分析和響應是重要。而安全監(jiān)控分析和響應系統(tǒng)(CS-MARS)（思科產(chǎn)品）是廣經(jīng)驗證的高性能、可擴展的威脅管理、監(jiān)控和防御設備系列，是架構(gòu)SONA立體防御體系的基礎。

    CS-MARS將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡智能、上下文關(guān)聯(lián)、因素分析、異常流量檢測、熱點識別自動防御功能相結(jié)合，可幫助電力客戶更為高效地使用網(wǎng)絡和安全設備。通過結(jié)合這些功能，可幫助電力企業(yè)準確識別和消除網(wǎng)絡攻擊，且保持網(wǎng)絡的安全策略符合性。

    對于電力信息網(wǎng)絡的安全管理，日常工作中時刻面臨著大量的挑戰(zhàn)，包括過量的安全和網(wǎng)絡信息；低劣的攻擊和故障識別、優(yōu)先級分配和響應能力；攻擊手段越來越高明、速度越來越快、補救成本越來越高；滿足規(guī)章制度和審計要求；從事安全工作的人員和預算受到限制等。

    CS-MARS 管理系統(tǒng)通過以下方式解決這些挑戰(zhàn)：

    ● 集成網(wǎng)絡智能，以便通過先進的方法將網(wǎng)絡異常與安全事件相關(guān)聯(lián)；

    ● 顯示得到確認的事故并進行自動調(diào)查；

    ● 充分利用您現(xiàn)有網(wǎng)絡和安全基礎設施，從而抵御攻擊；

    ● 監(jiān)控系統(tǒng)、網(wǎng)絡和安全運維，以幫助遵從規(guī)章要求；

    ● 以最低的TCO 提供易于部署和使用的可擴展的系統(tǒng)。

    CS-MARS可將原始的網(wǎng)絡和安全數(shù)據(jù)轉(zhuǎn)變成情報，以便終止實際的安全事故并保證符合安全規(guī)章要求。這個易用的威脅抵御產(chǎn)品系列允許操作人員使用基礎設施中現(xiàn)有的網(wǎng)絡和安全設備來集中、檢測、抵御并按嚴重性來報告威脅。 

  路由器和安全設備管理器 (SDM)

  電力智能網(wǎng)絡的安全管理有了監(jiān)控、分析和響應系統(tǒng)，下一步就要延展到各大核心路由交換設備。

   在電力智能網(wǎng)絡，從能夠提供10－Gbps接口的7600光纖業(yè)務路由器，到思科智能多層模塊化交換機Catalyst 6500系列，第2/3/4層的實施策略的核心Catalyst 4500系列產(chǎn)品，網(wǎng)絡安全策略得以有效分解。

   在這些產(chǎn)品中網(wǎng)絡安全模塊的嵌入可以保障設備的長久可用性；IOS軟件模塊化通過在最需要網(wǎng)絡可用性的環(huán)境中提供故障抑制和更快的故障恢復速度；設備級冗余性包括LAN交換機內(nèi)能夠防止交換機本身和相連網(wǎng)絡設備出現(xiàn)網(wǎng)絡故障或遭受攻擊，以保持連續(xù)網(wǎng)絡訪問的各種機制……從而確保電力專網(wǎng)安全可靠。

   另一層面，這樣復雜的安全體系如何架構(gòu)管理是個挑戰(zhàn)。SDM從管理角度使問題迎刃而解。SDM是為基于思科IOS的路由器開發(fā)的一種直觀 Web 設備管理工具。它能夠通過智能向?qū)Ш喕酚善骱桶踩渲?，使客戶和思科合作伙伴不需要了解命令行界?(CLI) 就能快速容易地部署配置和監(jiān)控思科路由器。

   對于電力企業(yè)的基層信息管理人員，可以獲得在安全管理方面的便利，SDM智能向?qū)е笇в脩敉ㄟ^系統(tǒng)地配置 LAN、WLAN 和 WAN 接口、防火墻、入侵防御系統(tǒng) (IPS) 和IP Securtiy (IPSec) VPN 來逐步完成路由器和安全配置工作。思科SDM智能向?qū)軌蛞灾悄芊绞綑z測到錯誤配置并提出修復建議，例如如果 WAN 接口由DHCP 定址，則允許動態(tài)主機配置協(xié)議 (DHCP) 流量通過防火墻。對于熟悉IOS及其安全特性的網(wǎng)絡專家，SDM提供了能夠快速配置和精確調(diào)整路由器安全特性的先進配置工具，以便網(wǎng)絡專家能夠先審核思科SDM生成的命令再提供路由器配置更改方案。

    在電力企業(yè)的成本控制方面，SDM獨具價值。對于建立了系統(tǒng)網(wǎng)絡的電力企業(yè)，思科SDM能夠通過與思科CNS配置引擎的集成以可擴展的方式容易地部署路由器。思科SDM生成的思科IOS Software配置可以導入到思科CNS配置引擎中，然后以“餅干模子 (cookie cutter)”方式部署到數(shù)千臺的思科路由器。

    堅不可摧的Oracle數(shù)據(jù)庫的安全承諾

   在電力行業(yè)軟件應用層面，不同的業(yè)務需求對應不同的軟件產(chǎn)品，而體系的核心大都靠Oracle 數(shù)據(jù)庫支撐，因而堅不可摧的Oracle數(shù)據(jù)庫的安全承諾尤為重要?！　?

    Oracle數(shù)據(jù)庫的堅不可摧包含以下因素：

    1 堅不可摧軟件的一個關(guān)鍵因素是對保證的獨立評定，即通過一系列正式地安全性評估，一個第三方組織可以證明我們的產(chǎn)品安全性聲明是有效的。對保證的獨立評定是堅不可摧的關(guān)鍵因素，因為，從安全性的角度出發(fā)，你如何建立自己的產(chǎn)品比你建立了何種產(chǎn)品更為重要，而且，只有當你了解了“如何建立”，“何種產(chǎn)品”才是有效的。

    2 堅不可摧的第二個因素是對安全產(chǎn)品生命周期的承諾。保證是生成和維護生命周期的重要部分；實際上，為了建立安全性的正確性，你必須保證安全產(chǎn)品的開發(fā)過程是可重復的，從而可以保證在追加新的功能的同時沒有破化原有的安全性機制。

    Oracle 的堅不可摧承諾意味著在缺省模式下產(chǎn)品的安全性會日益增加，因此產(chǎn)品具有無限的可被接受的安全性，而系統(tǒng)管理員將會為此付出極小的附加操作。甚至被發(fā)現(xiàn)的，實際上是配置問題的“薄弱環(huán)節(jié)”將成為導致開發(fā)變更的候選因素。在保證產(chǎn)品安全性問題上，如果能自動地完成的越多，系統(tǒng)管理員需要做的就越少。

    世上沒有安全性的魔術(shù)子彈，但Oracle 數(shù)據(jù)庫為電力企業(yè)的信息體系提供了可靠的保障，它是一個長期的承諾，它已經(jīng)在實施過程中，它將被擴展到對每個Oracle 產(chǎn)品的相同的開發(fā)方法和保障評定中。今天，所有強烈關(guān)注安全性的電力企業(yè)都會把他們的數(shù)據(jù)庫運行在Oracle 上?！　?

    安全是電力企業(yè)的生命線，信息化是承載電力企業(yè)未來發(fā)展的基礎，只有二者有機結(jié)合，才會綻放絢麗的亮彩。