电力行业集中安全管理解决方案

　　安全管理中心以安全策略管理系统为核心，相互协作构成一个集成的安全体系架构。

　　近年来，我国电力工业在不断发展壮大，电力信息化建设已初具规模，电力行业广域网的建设已日趋成熟。作为国家的资源命脉，电力系统的安全级别毫无疑问要比其他行业更高，因此，如何保证电力系统的安全成为一个倍受关注的焦点。

　　行业分析

　　分析起来，电力行业的信息化安全应该在安全信息管理、身份识别管理与权限控制、自动化补丁与资产管理及防病毒及垃圾邮件这四个领域下功夫。

　　安全信息管理

　　很多电力企业为了给IT信息资产提供更安全的防护，应用了多家厂商的产品和解决方案，包括反病毒、防火墙、入侵检测、安全扫描器、访问控制、认证、单点登录、VPN 和加密网关等。多样性的安全技术也为企业带来了安全信息过载与及时响应的矛盾: 各种解决方案投入应用后产生了一个饱和的安全环境，导致了整个系统信息安全响应速度的下降。

　　为解决目前复杂的企业安全环境面临的挑战，CA推出了eTrust Security Commend Center。这套基础架构能把各种安全解决方案集成为单个安全管理平台，并提供企业资源目录。

　　身份识别管理与权限控制

　　据调查，电力系统75%以上的威胁来自于内部。对电力企业来说，用户的身份识别与权限管理分为两个方面，即内部和外部的管理。相对而言，对内部用户的访问管理比对外部用户的管理来得容易，而对来自Internet的外部用户的管理却困难得多。

　　在这方面，CA公司的身份识别与权限控制解决方案集中并自动实现用户账户和批准工作流程的创建，从整体角度设置IT和非IT资源，并通过流程自动化降低成本。

　　自动化补丁与资产管理

　　电力企业的IT环境一般由各种不同的服务器、桌面PC、交换机、路由器等组成，分别运行着各种不同的操作系统、数据库和应用软件，属于典型的复杂、异构条件下的网络环境。在现实中，补丁和漏洞管理已经成为电力企业一个很大的资源漏斗，不但费用昂贵，而且费时费力，实施复杂。

　　为实现补丁的自动化管理，CA公司去年推出了漏洞管理工具eTrust Vulnerability Manager，可以自动确定哪些漏洞将影响哪些资产，并为管理者提供一份实时的关键性业务资产的风险评估。

　　防病毒及垃圾邮件

　　病毒和垃圾邮件随着网络疯狂传播，查杀病毒和删除垃圾邮件除了浪费时间和降低效率外，病毒使系统崩溃、垃圾邮件堵塞邮件服务器和局域网、使邮箱超载，浪费巨大的IT 资源，消耗宝贵的带宽并对网络性能造成负面影响。

　　为针对病毒和垃圾邮件这些网络“毒瘤”，减少因网络受阻而产生的系统宕机风险，CA最新推出了eTrust Secure Content Manager解决方案，以全面保护企业免遭来自Internet的各种危险攻击。

　　方案介绍

　　怎样才能有效地面对如此众多的安全管理方案，将安全管理得滴水不漏，使电力企业面对来自各方面的安全威胁而高枕无忧呢?CA 公司提出了安全管理中心(Security Management Center，简称SMC)这一信息安全管理解决方案。安全管理中心体系模型是基于安全信任模型建立的安全管理中心系统体系架构模板。该模板包括4个体系架构，如图所示。

　　安全管理中心的建设将以安全策略管理系统为核心，相互协作构成一个集成的安全体系架构。其中安全事件处理系统，在各类安全设备、安全软件、系统软件之上建立安全事件的集中监控体系; 资产与风险管理系统为建立统一的信息资产安全管理和信息安全风险评估与管理体系提供技术支撑平台; 企业用户管理系统建立统一的用户信息库，提供对用户的集中鉴别、授权、访问控制与审核体系; 安全策略管理系统为整个信息安全体系中管理和技术两个层面如何贯穿起来提供有效的保障，使整个安全事件的处理和相应成为一个流程化、可管理、可考核的完整体系，使整个安全管理中心成为一个动态的保障体系。

　　专家点评

　　优点 冠群电脑(中国)有限公司提供了一套面向电力行业的安全管理解决方案。方案对电力行业安全管理需求有着较切合实际的分析，可以看出对于电力的管理特点及需求特点比较了解。方案在安全管理方面提出了一些独特的看法，并从几个大的方面有层次地进行了安全管理的设计，经过调查之后提出电力系统75%以上的威胁来自于内部，并针对这种状况，提出了身份识别管理与权限控制、自动化补丁与资产管理、防病毒及垃圾邮件等安全解决方案，并提出了安全管理中心(SMC)的安全信任体系架构，基于SMC建立起来的安全管理体系，可以实现动态的安全保障。

　　不足 该方案有几点可以改进。

　　1.该方案对电力系统的定位过于粗放。电力行业的信息系统至少分为电力调度和电力行业管理部门的办公系统。在我国，电力调度系统通常是一个专用网络，不仅与互联网是物理隔离的，还采用了大量的专用设备，其信息安全问题具有相当的特殊性。该方案中提到的嘉兴电力局网络系统，更大程度上是一个办公自动化系统。此外，对国内成功案例介绍太简略。因此，感觉该方案的行业针对性欠佳。

　　2.也许是因为CA公司是一家国外的公司，感觉自己的技术实力较强，产品线较丰富的缘故，对自己产品的技术特点，尤其是安全管理产品eTrust的优势，反而没有给出更具体的描述。CA公司提供的仅5页篇幅的方案读完后，与其他几家厂商的提交的50～70页的方案相比，技术方面介绍得不够充分。