【51CTO.com 綜合消息】2006年4月29日，國家電網(wǎng)公司提出了在全系統(tǒng)實施“SG186工程”的規(guī)劃，力爭到“十一五”末，公司的信息化水平達到國內(nèi)領先、國際先進，初步建成數(shù)字化電網(wǎng)、信息化企業(yè)。

經(jīng)過近三年的應用系統(tǒng)建設, 國家電網(wǎng)公司在一體化信息集成平臺建設，八大業(yè)務應用推廣，安全防護與運維水平提升方面都取得了顯著的成效。而2009年更成為SG186工程的決勝年，國家電網(wǎng)公司明確了 “?？⒐ぁ⒋賾?、抓安全、上臺階” 的總體工作思路，確保完成SG186工程，力促應用深化并快速見效，狠抓公司信息系統(tǒng)穩(wěn)定運行與安全，推動公司信息化瞄準世界領先水平再上臺階。

隨著SG168工程的應用深化和擴展,其所面臨的信息安全威脅也日益復雜和多樣化。 安全威脅的來源基本可以分為內(nèi)部和外部兩種。從內(nèi)部角度講，操作權限管理、主機或網(wǎng)絡故障、數(shù)據(jù)備份及容災措施等都會產(chǎn)生安全隱患。從外部角度講，信息垃圾、直接攻擊和木馬攻擊等都會影響信息系統(tǒng)的穩(wěn)定和運行效率。
   
安全威脅產(chǎn)生的后果從損失程度上分為拒絕服務、數(shù)據(jù)丟失、信息篡改三類。    拒絕服務主要表現(xiàn)為信息系統(tǒng)服務響應速度緩慢甚至停止服務。數(shù)據(jù)丟失表現(xiàn)為過程數(shù)據(jù)或關鍵原始數(shù)據(jù)丟失兩種，而后者如果沒有備份將是致命的。信息篡改是指非真實信息的呈現(xiàn)和使用，突出表現(xiàn)在企業(yè)門戶網(wǎng)站的頁面篡改，這對于企業(yè)將產(chǎn)生惡劣的社會影響。

立體安全網(wǎng)絡平臺是順應后網(wǎng)絡安全時代要求的整體安全解決方案，其核心思想是內(nèi)外兼顧、多維防護，同時強調(diào)網(wǎng)絡安全投資針對企業(yè)安全需求的匹配性和擴展性。針對SG168工程的具體情況，需要從數(shù)據(jù)中心、多層防護、旁路威脅和負載均衡四個方面進行整體網(wǎng)絡安全方案的設計和部署。

一、構建新型數(shù)據(jù)中心，保證數(shù)據(jù)集中、安全和易用

在當今信息爆炸的時代，上百GB甚至TB的數(shù)據(jù)資料量已不稀奇，電力行業(yè)第一要務即是解決海量的數(shù)據(jù)存儲和安全問題。電力行業(yè)機構需要存儲的數(shù)據(jù)主要分為結構化數(shù)據(jù)和非結構化數(shù)據(jù)兩個部分。結構化數(shù)據(jù)是指各種ERP、CRM等企業(yè)應用相關的基于數(shù)據(jù)庫類型的數(shù)據(jù)；非結構化數(shù)據(jù)是指基于文件型的數(shù)據(jù)，如電子郵件、文檔、電子數(shù)據(jù)、數(shù)字媒體等。

數(shù)據(jù)管理要滿足集中、安全、易用三個方面的要求。通過集中存儲，容災備份等手段可以實現(xiàn)數(shù)據(jù)的集中和一定程度的安全，目前可選擇的解決方案也比較多。存儲的目的是為了使用，但目前大多數(shù)供應商提供的備份解決方案在易用性方面都存在問題。主要原因是大部分廠商是采取的線性存儲方式而不是邏輯存儲方式，用戶經(jīng)常需要花比較大的成本才能在備份數(shù)據(jù)中找到想要的數(shù)據(jù)，特別是針對非結構化數(shù)據(jù)。

隨著網(wǎng)絡廠商和存儲廠商的融合，如存儲廠商BROCADE對Foundry展開全面收購，而作為網(wǎng)絡廠商梭子魚則并購了Yosemite，一種稱為“文件虛擬化”的解決方案也隨之產(chǎn)生。以梭子魚的數(shù)據(jù)安全解決方案為例，通過建立文件索引邏輯層，可實現(xiàn)對電子郵件、數(shù)字媒體等非結構化數(shù)據(jù)以及結構化數(shù)據(jù)的邏輯調(diào)用，并提供本地備份、異地容災和數(shù)據(jù)恢復。

二、建立多層安全保護體系，加強應用層安全防護
 
面對網(wǎng)絡的種種安全問題，大部分用戶對黑客、病毒攻擊的危險性早已有了深刻的認識，防火墻、防病毒軟件等也是信息安全的首選產(chǎn)品之一。但實際的實施效果卻并不理想，病毒依然時常泛濫，重要信息常被泄露，原因何在?

網(wǎng)絡安全是一個完整的體系，傳統(tǒng)的網(wǎng)絡安全產(chǎn)品（如防火墻）主要集中在網(wǎng)絡的第4層進行防護，對數(shù)據(jù)包也只能進行2—4層也就是數(shù)據(jù)鏈路層和網(wǎng)絡層的分析和處理，而隨著病毒及黑客技術的發(fā)展，為了達到穿越防火墻的目的，更多的網(wǎng)絡攻擊將目標瞄準了4-7層甚至直指應用層(即第7層)。

2007年，全球領先的網(wǎng)絡安全設備廠商梭子魚收購了應用層防火墻廠商Netcontinuum，并推出了世界上第一個被ICSA(互聯(lián)網(wǎng)計算機安全聯(lián)盟)認證的Web應用防火墻產(chǎn)品。梭子魚應用防火墻基于專利的NCOS系統(tǒng)，基于會話的雙向代理機制，對Web應用具備終止、防護和加速功能，防范對 Web 應用系統(tǒng)及基礎設施漏洞的攻擊。該產(chǎn)品能夠屏蔽如SQL注入、跨站腳本、進程竊取及緩存溢出等各類應用層攻擊。

三、防護企業(yè)桌面互聯(lián)網(wǎng)應用，減少旁路威脅

企業(yè)應用系統(tǒng)除了面臨外部直接攻擊外，企業(yè)內(nèi)部的一些常用互聯(lián)網(wǎng)應用也會帶來較大的安全威脅。垃圾郵件除了會增加郵件服務器負載和令人不愉快外，也會帶來病毒和間諜軟件。常用的QQ、MSN等即時通訊工具也會傳播病毒和造成內(nèi)部信息外泄。企業(yè)員工瀏覽外部網(wǎng)站時，也會引入病毒和木馬攻擊。

通過部署垃圾郵件防火墻，即時通信防火墻以及Web過濾器可以有效降低對企業(yè)信息系統(tǒng)的威脅。

此外，為了方便內(nèi)部用戶訪問，許多企業(yè)采用了IPSec VPN技術，但同 SSL VPN相比，前者除了部署復雜外，也存在許多安全隱患。比如黑客想要攻擊應用系統(tǒng)，只要以遠程用戶身份通過IPSec VPN的方式與公司內(nèi)部網(wǎng)絡建立聯(lián)機，就可以偵測得到內(nèi)部網(wǎng)絡所連接的應用系統(tǒng)。

SSL VPN安全通道可以確保點到點的真正安全，用戶對資源的每一次操作都需要經(jīng)過安全的身份驗證和加密。因此，采用SSL VPN將更在很大程度上減少企業(yè)面臨的安全威脅。

四、部署鏈路均衡和負載均衡，增強系統(tǒng)擴展性和強壯性

企業(yè)信息系統(tǒng)就好像一個人，感冒的原因除了外部氣溫或病毒外，自身抵抗能力也十分重要。企業(yè)信息系統(tǒng)自身的強壯性除了部署鏡像、容災等方案外，還需在網(wǎng)絡冗余和服務器冗余方面進行考慮，即所謂的鏈路均衡和負載均衡。

隨著企業(yè)業(yè)務的飛速增長，企業(yè)往往向多個電信運營商同時租用互聯(lián)網(wǎng)線路。但是由于多條鏈路互相之間沒有關聯(lián)，不僅帶寬無法充分的利用，而且由于缺乏容錯機制，任一條鏈路的中斷都會影響正常的工作。 在這種情況下，鏈路負載均衡機制應運而生。在這一機制下，可充分實現(xiàn)多條互聯(lián)網(wǎng)連接鏈路的優(yōu)越性，實現(xiàn)多條互聯(lián)網(wǎng)連接鏈路的冗余備份和負載均衡，從而提高信息服務的性能和可用性。

隨著信息系統(tǒng)業(yè)務量的提高，其處理能力和計算強度也相應地增大，使得單一的服務器設備根本無法承擔。采用負載均衡技術管理服務器集群已經(jīng)成為企業(yè)信息系統(tǒng)建設的標準配置。負載均衡器是一種采用各種分配算法把網(wǎng)絡請求分散到一個服務器集群中的可用服務器上去。當一個服務器出現(xiàn)故障時，負載均衡器會自動尋找可用的服務器，從而保證服務響應。

鏈路均衡器和負載均衡器除了可以避免單點故障引起的服務響應問題外，也可以通過增減鏈路資源和服務器資源以匹配應用系統(tǒng)在某一時間段的負荷。
 
從國家電網(wǎng)公司2009年SG186工程的總體工作思路可以看出，隨著工程的竣工，其應用廣度和深度必將進一步擴展，除了帶來內(nèi)部管理效益外，在客戶關系，投資者關系，政府關系，企業(yè)社會責任方面也將逐步發(fā)揮作用。SG186工程的使用者將從國家電網(wǎng)內(nèi)部擴展為外部，這就對整個信息系統(tǒng)的安全性提出了更高要求。

為保障SG168工程建設的成果，最大化的發(fā)揮其應用價值，應對日益多樣化和復雜化的內(nèi)外部安全威脅，保證信息系統(tǒng)安全、穩(wěn)定、高效的運轉(zhuǎn)，構建立體安全網(wǎng)絡平臺將會逐步提上日程。