【51CTO.com 綜合消息】2006年4月29日，國家電網公司提出了在全系統實施“SG186工程”的規劃，力爭到“十一五”末，公司的信息化水平達到國內領先、國際先進，初步建成數字化電網、信息化企業。

經過近三年的應用系統建設, 國家電網公司在一體化信息集成平臺建設，八大業務應用推廣，安全防護與運維水平提升方面都取得了顯著的成效。而2009年更成為SG186工程的決勝年，國家電網公司明確了 “保竣工、促應用、抓安全、上臺階” 的總體工作思路，確保完成SG186工程，力促應用深化并快速見效，狠抓公司信息系統穩定運行與安全，推動公司信息化瞄準世界領先水平再上臺階。

隨著SG168工程的應用深化和擴展,其所面臨的信息安全威脅也日益復雜和多樣化。 安全威脅的來源基本可以分為內部和外部兩種。從內部角度講，操作權限管理、主機或網絡故障、數據備份及容災措施等都會產生安全隱患。從外部角度講，信息垃圾、直接攻擊和木馬攻擊等都會影響信息系統的穩定和運行效率。
   
安全威脅產生的后果從損失程度上分為拒絕服務、數據丟失、信息篡改三類。    拒絕服務主要表現為信息系統服務響應速度緩慢甚至停止服務。數據丟失表現為過程數據或關鍵原始數據丟失兩種，而后者如果沒有備份將是致命的。信息篡改是指非真實信息的呈現和使用，突出表現在企業門戶網站的頁面篡改，這對于企業將產生惡劣的社會影響。

立體安全網絡平臺是順應后網絡安全時代要求的整體安全解決方案，其核心思想是內外兼顧、多維防護，同時強調網絡安全投資針對企業安全需求的匹配性和擴展性。針對SG168工程的具體情況，需要從數據中心、多層防護、旁路威脅和負載均衡四個方面進行整體網絡安全方案的設計和部署。

一、構建新型數據中心，保證數據集中、安全和易用

在當今信息爆炸的時代，上百GB甚至TB的數據資料量已不稀奇，電力行業第一要務即是解決海量的數據存儲和安全問題。電力行業機構需要存儲的數據主要分為結構化數據和非結構化數據兩個部分。結構化數據是指各種ERP、CRM等企業應用相關的基于數據庫類型的數據；非結構化數據是指基于文件型的數據，如電子郵件、文檔、電子數據、數字媒體等。

數據管理要滿足集中、安全、易用三個方面的要求。通過集中存儲，容災備份等手段可以實現數據的集中和一定程度的安全，目前可選擇的解決方案也比較多。存儲的目的是為了使用，但目前大多數供應商提供的備份解決方案在易用性方面都存在問題。主要原因是大部分廠商是采取的線性存儲方式而不是邏輯存儲方式，用戶經常需要花比較大的成本才能在備份數據中找到想要的數據，特別是針對非結構化數據。

隨著網絡廠商和存儲廠商的融合，如存儲廠商BROCADE對Foundry展開全面收購，而作為網絡廠商梭子魚則并購了Yosemite，一種稱為“文件虛擬化”的解決方案也隨之產生。以梭子魚的數據安全解決方案為例，通過建立文件索引邏輯層，可實現對電子郵件、數字媒體等非結構化數據以及結構化數據的邏輯調用，并提供本地備份、異地容災和數據恢復。

二、建立多層安全保護體系，加強應用層安全防護
 
面對網絡的種種安全問題，大部分用戶對黑客、病毒攻擊的危險性早已有了深刻的認識，防火墻、防病毒軟件等也是信息安全的首選產品之一。但實際的實施效果卻并不理想，病毒依然時常泛濫，重要信息常被泄露，原因何在?

網絡安全是一個完整的體系，傳統的網絡安全產品（如防火墻）主要集中在網絡的第4層進行防護，對數據包也只能進行2—4層也就是數據鏈路層和網絡層的分析和處理，而隨著病毒及黑客技術的發展，為了達到穿越防火墻的目的，更多的網絡攻擊將目標瞄準了4-7層甚至直指應用層(即第7層)。

2007年，全球領先的網絡安全設備廠商梭子魚收購了應用層防火墻廠商Netcontinuum，并推出了世界上第一個被ICSA(互聯網計算機安全聯盟)認證的Web應用防火墻產品。梭子魚應用防火墻基于專利的NCOS系統，基于會話的雙向代理機制，對Web應用具備終止、防護和加速功能，防范對 Web 應用系統及基礎設施漏洞的攻擊。該產品能夠屏蔽如SQL注入、跨站腳本、進程竊取及緩存溢出等各類應用層攻擊。

三、防護企業桌面互聯網應用，減少旁路威脅

企業應用系統除了面臨外部直接攻擊外，企業內部的一些常用互聯網應用也會帶來較大的安全威脅。垃圾郵件除了會增加郵件服務器負載和令人不愉快外，也會帶來病毒和間諜軟件。常用的QQ、MSN等即時通訊工具也會傳播病毒和造成內部信息外泄。企業員工瀏覽外部網站時，也會引入病毒和木馬攻擊。

通過部署垃圾郵件防火墻，即時通信防火墻以及Web過濾器可以有效降低對企業信息系統的威脅。

此外，為了方便內部用戶訪問，許多企業采用了IPSec VPN技術，但同 SSL VPN相比，前者除了部署復雜外，也存在許多安全隱患。比如黑客想要攻擊應用系統，只要以遠程用戶身份通過IPSec VPN的方式與公司內部網絡建立聯機，就可以偵測得到內部網絡所連接的應用系統。

SSL VPN安全通道可以確保點到點的真正安全，用戶對資源的每一次操作都需要經過安全的身份驗證和加密。因此，采用SSL VPN將更在很大程度上減少企業面臨的安全威脅。

四、部署鏈路均衡和負載均衡，增強系統擴展性和強壯性

企業信息系統就好像一個人，感冒的原因除了外部氣溫或病毒外，自身抵抗能力也十分重要。企業信息系統自身的強壯性除了部署鏡像、容災等方案外，還需在網絡冗余和服務器冗余方面進行考慮，即所謂的鏈路均衡和負載均衡。

隨著企業業務的飛速增長，企業往往向多個電信運營商同時租用互聯網線路。但是由于多條鏈路互相之間沒有關聯，不僅帶寬無法充分的利用，而且由于缺乏容錯機制，任一條鏈路的中斷都會影響正常的工作。 在這種情況下，鏈路負載均衡機制應運而生。在這一機制下，可充分實現多條互聯網連接鏈路的優越性，實現多條互聯網連接鏈路的冗余備份和負載均衡，從而提高信息服務的性能和可用性。

隨著信息系統業務量的提高，其處理能力和計算強度也相應地增大，使得單一的服務器設備根本無法承擔。采用負載均衡技術管理服務器集群已經成為企業信息系統建設的標準配置。負載均衡器是一種采用各種分配算法把網絡請求分散到一個服務器集群中的可用服務器上去。當一個服務器出現故障時，負載均衡器會自動尋找可用的服務器，從而保證服務響應。

鏈路均衡器和負載均衡器除了可以避免單點故障引起的服務響應問題外，也可以通過增減鏈路資源和服務器資源以匹配應用系統在某一時間段的負荷。
 
從國家電網公司2009年SG186工程的總體工作思路可以看出，隨著工程的竣工，其應用廣度和深度必將進一步擴展，除了帶來內部管理效益外，在客戶關系，投資者關系，政府關系，企業社會責任方面也將逐步發揮作用。SG186工程的使用者將從國家電網內部擴展為外部，這就對整個信息系統的安全性提出了更高要求。

為保障SG168工程建設的成果，最大化的發揮其應用價值，應對日益多樣化和復雜化的內外部安全威脅，保證信息系統安全、穩定、高效的運轉，構建立體安全網絡平臺將會逐步提上日程。