【51CTO.com 综合消息】2006年4月29日,国家电网公司提出了在全系统实施“SG186工程”的规划,力争到“十一五”末,公司的信息化水平达到国内领先、国际先进,初步建成数字化电网、信息化企业。
经过近三年的应用系统建设, 国家电网公司在一体化信息集成平台建设,八大业务应用推广,安全防护与运维水平提升方面都取得了显著的成效。而2009年更成为SG186工程的决胜年,国家电网公司明确了 “保竣工、促应用、抓安全、上台阶” 的总体工作思路,确保完成SG186工程,力促应用深化并快速见效,狠抓公司信息系统稳定运行与安全,推动公司信息化瞄准世界领先水平再上台阶。
随着SG168工程的应用深化和扩展,其所面临的信息安全威胁也日益复杂和多样化。 安全威胁的来源基本可以分为内部和外部两种。从内部角度讲,操作权限管理、主机或网络故障、数据备份及容灾措施等都会产生安全隐患。从外部角度讲,信息垃圾、直接攻击和木马攻击等都会影响信息系统的稳定和运行效率。
安全威胁产生的后果从损失程度上分为拒绝服务、数据丢失、信息篡改三类。 拒绝服务主要表现为信息系统服务响应速度缓慢甚至停止服务。数据丢失表现为过程数据或关键原始数据丢失两种,而后者如果没有备份将是致命的。信息篡改是指非真实信息的呈现和使用,突出表现在企业门户网站的页面篡改,这对于企业将产生恶劣的社会影响。
立体安全网络平台是顺应后网络安全时代要求的整体安全解决方案,其核心思想是内外兼顾、多维防护,同时强调网络安全投资针对企业安全需求的匹配性和扩展性。针对SG168工程的具体情况,需要从数据中心、多层防护、旁路威胁和负载均衡四个方面进行整体网络安全方案的设计和部署。
一、构建新型数据中心,保证数据集中、安全和易用
在当今信息爆炸的时代,上百GB甚至TB的数据资料量已不稀奇,电力行业第一要务即是解决海量的数据存储和安全问题。电力行业机构需要存储的数据主要分为结构化数据和非结构化数据两个部分。结构化数据是指各种ERP、CRM等企业应用相关的基于数据库类型的数据;非结构化数据是指基于文件型的数据,如电子邮件、文档、电子数据、数字媒体等。
数据管理要满足集中、安全、易用三个方面的要求。通过集中存储,容灾备份等手段可以实现数据的集中和一定程度的安全,目前可选择的解决方案也比较多。存储的目的是为了使用,但目前大多数供应商提供的备份解决方案在易用性方面都存在问题。主要原因是大部分厂商是采取的线性存储方式而不是逻辑存储方式,用户经常需要花比较大的成本才能在备份数据中找到想要的数据,特别是针对非结构化数据。
随着网络厂商和存储厂商的融合,如存储厂商BROCADE对Foundry展开全面收购,而作为网络厂商梭子鱼则并购了Yosemite,一种称为“文件虚拟化”的解决方案也随之产生。以梭子鱼的数据安全解决方案为例,通过建立文件索引逻辑层,可实现对电子邮件、数字媒体等非结构化数据以及结构化数据的逻辑调用,并提供本地备份、异地容灾和数据恢复。
二、建立多层安全保护体系,加强应用层安全防护
面对网络的种种安全问题,大部分用户对黑客、病毒攻击的危险性早已有了深刻的认识,防火墙、防病毒软件等也是信息安全的首选产品之一。但实际的实施效果却并不理想,病毒依然时常泛滥,重要信息常被泄露,原因何在?
网络安全是一个完整的体系,传统的网络安全产品(如防火墙)主要集中在网络的第4层进行防护,对数据包也只能进行2—4层也就是数据链路层和网络层的分析和处理,而随着病毒及黑客技术的发展,为了达到穿越防火墙的目的,更多的网络攻击将目标瞄准了4-7层甚至直指应用层(即第7层)。
2007年,全球领先的网络安全设备厂商梭子鱼收购了应用层防火墙厂商Netcontinuum,并推出了世界上第一个被ICSA(互联网计算机安全联盟)认证的Web应用防火墙产品。梭子鱼应用防火墙基于专利的NCOS系统,基于会话的双向代理机制,对Web应用具备终止、防护和加速功能,防范对 Web 应用系统及基础设施漏洞的攻击。该产品能够屏蔽如SQL注入、跨站脚本、进程窃取及缓存溢出等各类应用层攻击。
三、防护企业桌面互联网应用,减少旁路威胁
企业应用系统除了面临外部直接攻击外,企业内部的一些常用互联网应用也会带来较大的安全威胁。垃圾邮件除了会增加邮件服务器负载和令人不愉快外,也会带来病毒和间谍软件。常用的QQ、MSN等即时通讯工具也会传播病毒和造成内部信息外泄。企业员工浏览外部网站时,也会引入病毒和木马攻击。
通过部署垃圾邮件防火墙,即时通信防火墙以及Web过滤器可以有效降低对企业信息系统的威胁。
此外,为了方便内部用户访问,许多企业采用了IPSec VPN技术,但同 SSL VPN相比,前者除了部署复杂外,也存在许多安全隐患。比如黑客想要攻击应用系统,只要以远程用户身份通过IPSec VPN的方式与公司内部网络建立联机,就可以侦测得到内部网络所连接的应用系统。
SSL VPN安全通道可以确保点到点的真正安全,用户对资源的每一次操作都需要经过安全的身份验证和加密。因此,采用SSL VPN将更在很大程度上减少企业面临的安全威胁。
四、部署链路均衡和负载均衡,增强系统扩展性和强壮性
企业信息系统就好像一个人,感冒的原因除了外部气温或病毒外,自身抵抗能力也十分重要。企业信息系统自身的强壮性除了部署镜像、容灾等方案外,还需在网络冗余和服务器冗余方面进行考虑,即所谓的链路均衡和负载均衡。
随着企业业务的飞速增长,企业往往向多个电信运营商同时租用互联网线路。但是由于多条链路互相之间没有关联,不仅带宽无法充分的利用,而且由于缺乏容错机制,任一条链路的中断都会影响正常的工作。 在这种情况下,链路负载均衡机制应运而生。在这一机制下,可充分实现多条互联网连接链路的优越性,实现多条互联网连接链路的冗余备份和负载均衡,从而提高信息服务的性能和可用性。
随着信息系统业务量的提高,其处理能力和计算强度也相应地增大,使得单一的服务器设备根本无法承担。采用负载均衡技术管理服务器集群已经成为企业信息系统建设的标准配置。负载均衡器是一种采用各种分配算法把网络请求分散到一个服务器集群中的可用服务器上去。当一个服务器出现故障时,负载均衡器会自动寻找可用的服务器,从而保证服务响应。
链路均衡器和负载均衡器除了可以避免单点故障引起的服务响应问题外,也可以通过增减链路资源和服务器资源以匹配应用系统在某一时间段的负荷。
从国家电网公司2009年SG186工程的总体工作思路可以看出,随着工程的竣工,其应用广度和深度必将进一步扩展,除了带来内部管理效益外,在客户关系,投资者关系,政府关系,企业社会责任方面也将逐步发挥作用。SG186工程的使用者将从国家电网内部扩展为外部,这就对整个信息系统的安全性提出了更高要求。
为保障SG168工程建设的成果,最大化的发挥其应用价值,应对日益多样化和复杂化的内外部安全威胁,保证信息系统安全、稳定、高效的运转,构建立体安全网络平台将会逐步提上日程。
