隨著各地電力公司信息化的不斷發(fā)展和國家電網(wǎng)“SG168”工程的實施，越來越多的網(wǎng)絡(luò)應(yīng)用隨之投入使用。面對越來越豐富的網(wǎng)絡(luò)應(yīng)用，數(shù)據(jù)大集中是管理集約化、精細化的必然要求，是電力企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的必要手段，數(shù)據(jù)大集中已經(jīng)成為電力企業(yè)信息化建設(shè)的發(fā)展趨勢。目前，重慶市電力公司大部分應(yīng)用系統(tǒng)已經(jīng)實現(xiàn)了數(shù)據(jù)大集中，為重慶電力實現(xiàn)信息的集約化管理起到了非常積極的作用。但是，作為網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心無疑是個充滿著巨大誘惑的數(shù)字城堡，任何防護上的疏漏必將會導(dǎo)致不可估量的損失。因此，構(gòu)筑一道堅固的安全防御體系將是重慶電力數(shù)據(jù)中心必須面對的問題。

         數(shù)據(jù)中心安全迫在眉睫

        隨著電力企業(yè)應(yīng)用日益深化，基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，未實施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認識到來自網(wǎng)絡(luò)的惡意行為對數(shù)據(jù)中心造成的嚴重損害，但對于日趨成熟和危險的各類攻擊手段，目前的防御措施顯然力不從心。實現(xiàn)數(shù)據(jù)大集中之后，重慶電力數(shù)據(jù)中心需要根據(jù)以下的重要安全需求，設(shè)計自身的安全體系。

          訪問控制需求

         重慶電力數(shù)據(jù)中心面臨的網(wǎng)絡(luò)威脅情況是比較復(fù)雜的。如果在數(shù)據(jù)中心邊界沒有一個可集中控制訪問請求的措施，很容易被惡意攻擊者或有其它企圖的人員利用核心服務(wù)器的弱點進行非法入侵。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務(wù)攻擊、SYN Flood攻擊、IP欺騙攻擊等等獲取系統(tǒng)權(quán)限，進入系統(tǒng)內(nèi)部。所以需要在數(shù)據(jù)中心部署訪問控制系統(tǒng)，有效地監(jiān)控內(nèi)部網(wǎng)和公共網(wǎng)之間的活動，并對數(shù)據(jù)進行過濾與控制，保證內(nèi)部網(wǎng)絡(luò)的安全。

          入侵防御需求

          訪問控制系統(tǒng)可以靜態(tài)的實施訪問控制策略，防止一些非法的訪問等。但對利用合法的訪問手段或其它的攻擊手段(比如利用內(nèi)部系統(tǒng)的漏洞等)對系統(tǒng)入侵和內(nèi)部用戶的入侵等是沒有辦法控制的。因此系統(tǒng)內(nèi)需要建設(shè)統(tǒng)一的符合國家規(guī)定的安全檢測機制，實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)進行自動的入侵檢測和分析，對非法信息予以過濾，提高系統(tǒng)整體安全性。

         防病毒需求

         防病毒必須立足于系統(tǒng)全網(wǎng)的角度，除了在終端上部署放病毒產(chǎn)品控制病毒對終端的破壞之外，更應(yīng)該在數(shù)據(jù)中心出口部署安全產(chǎn)品，控制病毒的傳播。目前，病毒已經(jīng)不再是單純的蠕蟲，而是集合了木馬、間諜軟件等惡意代碼于一身的混合型病毒，破壞性更大，并且這種混合型的病毒傳播速度、傳播渠道都更快和更廣。因此，增加了檢測和防范的難度。病毒入侵網(wǎng)絡(luò)的主要途徑就是網(wǎng)關(guān)，因此，部署網(wǎng)關(guān)防病毒產(chǎn)品，控制網(wǎng)絡(luò)病毒的傳播至關(guān)重要。

        安全審計需求

        日志審計是信息安全的重要方面，它是實現(xiàn)安全事件的可追查性、不可否認性的重要數(shù)據(jù)環(huán)節(jié)。對于重慶電力數(shù)據(jù)中心由于數(shù)據(jù)來源多、數(shù)據(jù)量大、數(shù)據(jù)類型復(fù)雜，將面臨大量的攻擊事件。良好的安全審計能力是分析數(shù)據(jù)中心安全狀況的必要條件。

         “三重保護、一體防御”的防護思想

         針對前面對重慶電力數(shù)據(jù)中心安全需求的分析，一般情況下可能會采用多個安全產(chǎn)品組合的方式來應(yīng)對越來越復(fù)雜的安全威脅，也就是我們常說的“糖葫蘆”解決方案。這種解決方案給用戶網(wǎng)絡(luò)帶來了看似比較健全的安全體系，實際上卻帶來了許多潛在的問題，包括網(wǎng)絡(luò)時延加大、總體帶寬受限、采購成本提高、管理維護困難等。因此，“糖葫蘆”式的安全解決方案無法滿足重慶電力數(shù)據(jù)中心的安全需求。目前，重慶市電力公司數(shù)據(jù)中心需要一個全方位一體化的安全解決方案，將安全部署滲透到整個數(shù)據(jù)中心的設(shè)計、部署、運維中，為數(shù)據(jù)中心搭建起一個立體的、無縫的安全平臺，真正做到把安全從數(shù)據(jù)鏈路層貫穿到網(wǎng)絡(luò)應(yīng)用層的目標，使安全保護無處不在。啟明星的安全專家把整個數(shù)據(jù)中心的安全防御設(shè)計思想概括為“三重保護、一體防御”。

        以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護功能：依托高性能硬件的一體化安全網(wǎng)關(guān)的防火墻引擎提供了對網(wǎng)絡(luò)報文深度檢測的第一重防御;以具有全面掃描能力的病毒和惡意代碼檢測引擎作為構(gòu)成對數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護;依托精確的入侵防御引擎作為數(shù)據(jù)中心網(wǎng)絡(luò)的第三重保護。可以用一個形象的比喻來說明對數(shù)據(jù)中心的三重保護，數(shù)據(jù)中心就像一個國家，來往的商客就像訪問數(shù)據(jù)中心的報文;防火墻是駐守在國境線上的軍隊，一方面擔負著守衛(wèi)國土，防御外族攻擊(DDOS)的重任，另一方面負責檢查來往商客的身份(訪問控制);病毒和惡意代碼過濾是國家的警察，隨時準備捉拿雖然擁有合法身份，但仍在從事違法亂紀活動的商客(蠕蟲病毒)，以保衛(wèi)社會秩序;入侵防御系統(tǒng)(IPS)就像企業(yè)雇傭的保安，提供最基本的安全監(jiān)管，時刻提防由內(nèi)外部人員造成的破壞。

        “一體防御”讓用戶對日趨復(fù)雜的網(wǎng)絡(luò)威脅防御變得輕松從容。管理者不必再為選擇產(chǎn)品的部署方案而煩惱，只需要部署一套安全產(chǎn)品就可以防范混合型攻擊對網(wǎng)絡(luò)造成的危害。網(wǎng)絡(luò)管理員只需要熟悉一套安全產(chǎn)品的配置就可以輕松掌握整個網(wǎng)絡(luò)資源利用情況和面臨的威脅情況，在網(wǎng)絡(luò)出現(xiàn)故障的時候通過強大的安全審計日志系統(tǒng)能夠很快定位到出現(xiàn)問題的關(guān)鍵點。

         統(tǒng)一思想，實現(xiàn)有效部署

        根據(jù)“三重保護、一體防御”的設(shè)計思想，要使機關(guān)數(shù)據(jù)中心和公司各個網(wǎng)絡(luò)之間安全隔離，最安全、可靠、合理的解決方案就是在網(wǎng)絡(luò)的連接處配置一體化安全網(wǎng)關(guān)。天清漢馬USG一體化安全網(wǎng)關(guān)采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計，集防火墻、VPN、網(wǎng)關(guān)防病毒、入侵防御(IPS)、抗拒絕服務(wù)攻擊(Anti-DOS)、Web內(nèi)容過濾、反垃圾郵件等多種安全技術(shù)于一身，同時全面支持QoS、負載均衡、高可用性(HA)、日志審計等功能，為網(wǎng)絡(luò)邊界提供了全面實時的安全防護。

         在重慶電力數(shù)據(jù)中心與機關(guān)網(wǎng)絡(luò)之間部署兩臺天清漢馬USG一體化安全網(wǎng)關(guān)作為主要防護設(shè)備。兩臺天清漢馬USG互為冗余備份，為用戶帶來更加簡單且全面的安全體驗。

         天清漢馬USG實現(xiàn)的“三重保護”體系同時為數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過狀態(tài)防火墻引擎可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進行隔離，并提供對DDOS和多種畸形報文攻擊的防御。網(wǎng)關(guān)防病毒引擎和入侵防護引擎可以針對應(yīng)用流量做深度分析與檢測，同時配合精心研究的攻擊特征知識庫和用戶規(guī)則，既可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理，從而達到對網(wǎng)絡(luò)應(yīng)用層的保護。天清漢馬USG的“一體防御”體系中強大的日志審計系統(tǒng)可讓系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)的實時狀況，包括網(wǎng)絡(luò)流量、并發(fā)連接數(shù)、網(wǎng)絡(luò)入侵行為、病毒流量等，給網(wǎng)絡(luò)安全策略的制訂提供了指導(dǎo)性依據(jù)。

         應(yīng)用順暢，效果突顯

        根據(jù)“三重保護一體防御”的思想，重慶電力成功地為數(shù)據(jù)中心建立了一套完整的安全體系。利用這個安全體系，重慶電力不僅可以有效地阻擋病毒、黑客等惡意攻擊，而且還可以通過一體化的日志審計系統(tǒng)，及時掌握網(wǎng)絡(luò)的安全狀況和安全等級，適時地做出有效的防御方法。從目前重慶電力數(shù)據(jù)中心的運營來看，自從部署了啟明星辰的安全架構(gòu)以來，中心運營順暢，徹底遠離了惡意威脅的攻擊，使數(shù)據(jù)中心完全投入到業(yè)務(wù)的運營中來，為重慶電力的業(yè)務(wù)運營提供了強大的支持。