伴随我国电力体制改革的发展步伐，电力企业竞争加剧，信息化建设作为电力企业优化升级的关键手段，成为电力企业谋求生存和发展的必然选择。其中，安全体系更是电力企业业务稳定的关键环节。

防御边界威胁保障电力调度

——H3C边界防护解决方案助力贵州电力网络建设

作为中国南方电网有限责任公司下属的全资子公司，贵州电网公司全面负责贵州省内的电网规划、建设、运行、管理和电力销售，近年来业绩显著。为了进一步强化电网安全稳定运行，持续为用户提供优质服务，贵州电力开始建设电力调度数据网络，保证贵州电网业务数据系统的通信安全。

稳定重于泰山边界不容有失

目前，贵州电网直属单位22个，并对全省88个县（市、区）供电（电力）局（公司）进行直管或代管。随着信息化建设和应用的深入，数据网络在贵州电力经营管理中的作用日益明显，也使得电力信息安全问题变得更加重要。

贵州电力相关负责人表示，对于贵州电力这样的大型企业来说，信息系统庞大、复杂，要保证网络稳定运行，网络边界不容有失。因此，面对层出不穷的网络威胁，贵州电力也在寻求最有效、最适当的防护手段，在网络边界进行安全策略和设备的部署，将来自外部的安全威胁阻挡在网络边界。

为了保证电力调度业务的稳定展开，贵州电力着手建设贵州电力调度数据网，从网络结构来看，网络包含骨干层网络和汇聚层网络，分别规划了7个骨干节点和15个汇聚节点。从贵州电力网络应用来看，整个网络包含省级和地级两级调度数据系统，在实际应用中划分为一区和二区，一区是实时调度控制区，二区是非实时被控制区，由于不同网络节点的地位和应用不尽相同，相互间的安全隔离和互信访问策略也形成差异，对于安全系统的构建提出了很高要求。

对于贵州电力来说，要实现整个电网的顺畅稳定运行，保证电力调度数据网的完整性，网络必须具有优秀的安全性策略，避免内部和外部的各种攻击可能带来的隐患。立足当前，着眼未来，贵州电力加快了电力系统安全防护系统的建设步伐。

统一安全策略扼守网络边界

针对贵州电力调度数据网的系统安全性需求，H3C提出了从防护到管理的完整安全解决方案，并重点采用统一边界防护解决方案确保电力系统所关注的边界安全，应用业界领先的安全网关、入侵防御系统和安全管理平台，强化网络边界安全能力，为贵州电力整个网络平台构建统一、完整的安全防护体系，赢得了贵州电力的认可。

从安全策略方面，贵州电力安全网络系统建设中，将多种安全策略集中部署，进行2-7层的整体安全防护，有效抵御各种网络攻击事件，并实现对安全网关、入侵防御系统以及网络设备的智能化统一管理。

具体到安全系统建设，贵州电力在省调数据中心的网络核心交换区，部署了入侵防御系统SecPath T1000-A和安全管理中心SecCenter A1000，并应用了基于H3C OAA开放应用架构理念的SecBlade II插卡，提供全面的防病毒保护，实现省调度中心全面可靠的安全防护功能。而在各供电局调度节点，则部署入侵防御系统SecPath T1000-S进行2-7层的全面安全防护，保障关键业务的安全可靠。

安全融入网络边界无忧更可靠

路由器、交换机、DNS 服务器以及防火墙都是有可能被攻击的网络设备，贵州电力在此次安全系统建设中，采用了基于标准SOA架构的MPLS VPN技术，提供各种网络资源的融合管理，优化和重整业务流程，将网络与安全深度融合，实现不同VPN间相同业务的穿透，构建起防护功能更加完备的安全体系。通过在核心交换机中增加万兆SecBlade模块提供完善的安全防护功能，并且有效简化网络结构，避免单点故障，更加便于网络管理。

针对入侵、病毒、蠕虫和拒绝服务攻击的新特点，贵州电力调度网络进行了更加主动的安全部署，在核心路由器和核心交换区之间部署业界唯一集成漏洞库、专业病毒库、协议库的IPS产品——SecPath T1000-A入侵防御系统，精确实时地识别并抵御各种网络攻击，为整个网络提供应用程序防护、网络架构防护与性能保护。并且，通过防火墙和IPS的有机结合和功能互补，为贵州电力提供网络2-7层的全面防护，有效的抵御来自网络边界的各种安全风险。

而且，整个系统通过设备的双机状态热备、L3 Monitor等先进技术，可实现双链路、双网关备份，在链路故障或设备故障的情况下，及时发现故障并快速自动切换，极大提高网络可靠性，保证贵州电力业务的不间断运行。

策略多样简化管理降低成本

根据贵州电力调度数据网的各个节点的实际状况，结合网络节点的级别和功能的差异化，贵州电力在边界安全防护体系建设中，在统一安全策略、构建可管理安全网络的理念下，成功应用了多样化的安全策略，针对性地进行安全策略部署，为整网安全提供保障。

通过H3C SecBlade II防火墙和SecPath T系列IPS产品的部署，贵州电力在数据调度系统中构建了虚拟化安全服务，通过虚拟系统对多个业务执行独立的安全策略。其中，在贵州电力省调节点，通过采用虚拟防火墙技术，将安全体系进行逻辑划分，实现VPN业务全面打通，在地调节点则应用了4-7层的IPS，实现边界的安全控制。依托灵活的安全策略，贵州电力在业务终端、数据中心、广域网都做到了有效的安全控制，不仅实现了安全策略的集中部署，还解决了后续网络扩展的问题，简化网络管理的复杂度，有效降低安全系统建设的成本。

安全评估防患于未然

由于贵州电力网络节点众多，来自内部、外部的安全威胁层出不穷，而且各种威胁的隐蔽性和危害也越来越大。此次安全建设中，针对大型网络中容易出现的网络和安全设备间缺乏信息沟通的实际情况，贵州电力应用SecCenter安全管理中心对网络和安全设备进行统一管理，通过对海量信息的采集、分析、关联、汇聚和统一处理，实时输出分析报告，帮助管理员及时地对网络安全状况进行分析与决策。

贵州电力相关负责人表示，除了安全事件和日志的集中收集和统一分析，H3C还为贵州电力每年提供一次的安全评估，帮助贵州电力更科学地评估网络安全状态，并根据电力系统业务运行状况，进行安全策略的针对性调整，让网络安全体系更好地满足贵州电力实际需求。这种从专家视角进行的安全评估，对于贵州电力来说，有十分重要的意义。

电网步入安全经济运行轨道

随着企业网络上承载的业务越来越多，数据安全更加重要，对于电力企业来说，构建一个安全、高效的网络环境势在必行。H3C的统一边界防护解决方案在贵州电力的实施和应用，将高性能的安全设备部署在网络边界上，通过集成和融合使安全设备的综合防御能力不断提升，最大程度地保护网络边界安全，为贵州电力供电调度自动化、电能量等电力生产实时及准实时数据提供高可靠、高性能、高安全的数据网络传送平台，保证电网的安全、经济运行。

关于H3C安全产品线

    经过四年高速发展，H3C形成了覆盖计算安全、通信安全以及数据安全端到端的业界最完整安全解决方案，并推出了包括防火墙、VPN、UTM、IPS、应用控制、应用加速、安全管理平台、终端安全以及安全服务在内的业界最完整的安全产品线。

2007年，H3C率先推出基于多核处理器技术的万兆防火墙，并将推出业界最高性能的FW和IPS产品，使安全不再是万兆网络的性能瓶颈。

    H3C安全产品和解决方案已广泛应用于电信、政府、金融、交通、电力、教育、医疗以及大型企业等各个行业，并且通过OAA开放应用架构，与微软、Intel、瑞星、卡巴斯基等众多厂商实现了最广泛的合作。

    2007年，H3C以“专业安全、应用为本”为发展理念，提出了iSPN“智能安全渗透网络”战略，从局部安全、全局安全、智能安全三个层面为用户提供了一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。