應(yīng) 用 摘 要 
　　*電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個覆蓋整個*電力調(diào)度通信中心及其下級調(diào)度中心的局域網(wǎng)，是*系統(tǒng)網(wǎng)絡(luò)的一個重要的子系統(tǒng)，同時它與EMS相連接。這個系統(tǒng)的建立和應(yīng)用，對于*電力調(diào)度通信中心的現(xiàn)代化建設(shè)起到十分重要的作用。*電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用應(yīng)該主要包括兩個方面：其一是處理*業(yè)務(wù)信息（電力調(diào)度信息），其二是辦公自動化。無論是哪一種應(yīng)用都會涉及到一些敏感或涉密信息，所以，采取相應(yīng)的技術(shù)措施加強(qiáng)信息系統(tǒng)的安全保密是一項(xiàng)十分重要的工作。
　　應(yīng) 用 領(lǐng) 域
　　能源
　　方 案 內(nèi) 容
　　方案背景：
　　*電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)總體上是一個星型結(jié)構(gòu)的網(wǎng)絡(luò)，從管理的分工上可以分為三個層次：
　　*層次：*電力調(diào)度通信中心局域網(wǎng)，該局域網(wǎng)是省局網(wǎng)絡(luò)的心臟部分。
　　第二層：與*電力調(diào)度通信中心網(wǎng)絡(luò)相連的電力下級網(wǎng)。
　　第三層：與Internet連接的對外服務(wù)器網(wǎng)絡(luò)。
　　主要應(yīng)用包含：
　　? 基于數(shù)據(jù)交換的業(yè)務(wù)應(yīng)用
　　? 辦公自動化
　　? 郵件服務(wù)
　　? Web服務(wù)
　　? Internet
　　解決方案：
　　網(wǎng)絡(luò)風(fēng)險(xiǎn)分析及安全方案設(shè)計(jì)：
　　風(fēng)險(xiǎn)分析的一個步驟是判定需要保護(hù)的所有資源，特別是受安全問題影響的資源。這些資源包括：主機(jī)、工作站、各種網(wǎng)絡(luò)設(shè)備等硬件;源程序、應(yīng)用程序、操作系統(tǒng)等軟件;在線存儲、傳輸、及備份數(shù)據(jù);等等。
　　XX*電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個混合網(wǎng)絡(luò)，包含了上述幾乎所有的網(wǎng)絡(luò)資源，系統(tǒng)較為復(fù)雜，目前尚未建立系統(tǒng)的安全防護(hù)體制，存在著明顯的安全威脅。
　　1） 全網(wǎng)易受入侵。首先，網(wǎng)絡(luò)各個部分沒有按照其應(yīng)用的安全要求不同劃分為不同的安全域;同時，整個網(wǎng)絡(luò)通過基本簡單靜態(tài)的通行字進(jìn)行身份鑒別（可能），一旦身份鑒別通過，用戶即可訪問整個網(wǎng)絡(luò)。侵襲者可以通過三種方式很容易地獲取通行字：一是內(nèi)部的管理人員因安全管理不當(dāng)而造成泄密;二是通過在公用網(wǎng)上搭線竊取通行字;三是通過假冒，植入嗅探程序，截獲通行字。侵襲者一旦掌握了通行字，即可在任何地方通過網(wǎng)絡(luò)訪問全網(wǎng)，并可能造成不可估量的損失。而且由于不可控制的接入點(diǎn)比較多，導(dǎo)致全網(wǎng)受攻擊點(diǎn)明顯增多。
　　2） 與Internet的直接連接，如不采取有效的訪問控制措施，面臨著來自Internet網(wǎng)絡(luò)的安全威脅。
　　3） 系統(tǒng)保密性差。由于覆蓋全市的網(wǎng)絡(luò)系統(tǒng)大多是通過公用網(wǎng)絡(luò)連接，全部線路上的信息多以明文的方式傳送，其中包括登錄通行字和一些敏感信息（甚至是涉密信息，如電力調(diào)度信息），可能被侵襲者截獲、竊取和篡改，造成泄密。
　　4） 易受欺騙性。由于網(wǎng)絡(luò)主要采用的是TCP/IP協(xié)議，不法分子就可能獲取IP地址，在合法用戶關(guān)機(jī)時，冒充該合法用戶，從而竄入網(wǎng)絡(luò)服務(wù)或應(yīng)用系統(tǒng)，竊取甚至篡改有關(guān)信息，乃至?xí)茐恼麄€網(wǎng)絡(luò)。
　　5） 數(shù)據(jù)易損。由于目前尚無安全的數(shù)據(jù)庫及個人終端安全保護(hù)措施，還不能抵御來自網(wǎng)絡(luò)上的各種對數(shù)據(jù)庫及個人終端的攻擊;同時一旦不法分子針對網(wǎng)上傳輸數(shù)據(jù)作出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴(yán)重的影響和損失。
　　6） 缺乏對全網(wǎng)的安全控制與管理。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時的檢測、監(jiān)控、報(bào)告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。
　　7） 缺乏防范泄密行為的安全措施。XX*電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)目前應(yīng)該有一些涉密信息，如果這些信息由內(nèi)部工作人員有意或無意通過網(wǎng)絡(luò)傳播或擴(kuò)散出去，可能造成十分嚴(yán)重的影響和損失。
　　了解了攻擊手段和安全隱患之后，國恒聯(lián)合科技結(jié)合現(xiàn)有的網(wǎng)絡(luò)技術(shù)，設(shè)計(jì)了如下圖所示的動態(tài)安全防護(hù)體系。通過這樣的設(shè)計(jì)可以盡可能地阻止來著外部的攻擊、監(jiān)控和管理內(nèi)部的訪問，盡量杜絕現(xiàn)存的安全隱患。