安全接入平台在电力行业的应用研究.docVIP

安全接入平台在电力行业的应用研究 [摘要]电力行业信息化程度不断提高，越来越多的公司管理者、员工需要通过远程网络连接进公司内网，访问企业内网的财务管控、营销、ERP、邮件服务器等业务应用系统，进行远程移动办公。因此，以现有业务需求为基础，以智能电网发展为导向，建立内网安全接入平台，实现分支机构、外出员工与企业内网之间的安全通信，是公司信息化安全建设的重要内容。 [关键词]安全接入平台；移动办公；电力行业；安全通信 1.安全接入平台应用背景简介 电力行业移动办公平台运行营销业务系统、ERP系统等多套应用系统，面向本部和下属公司用户提供服务，接入方式为互联网的移动接入。传统的移动办公系统（如笔记本电脑+VPN模式，或者WAP手机）在使用中往往面临着如下问题： 1.客户端差异化问题：办公系统往往是基于PC机Windows系统开发的，但是数量最大的移动终端往往是手机和PDA，将办公系统移植到手机上既费时费力，又带来了额外的开发、维护和重新用户培训等一系列问题。 2.网络及性能问题：办公软件的运行往往是基于局域网设计的，因此很多应用在移动办公使用时因网络而产生性能瓶颈，比如当邮件有比较大的附件时，局域网内可以马上打开，但是广域网上需要等很长时间才能下载后进行处理。 3.安全性问题：移动办公是将企业关键信息传递在公共网络上，数据有被截获的危险，同时如果外部终端接入企业内网，会对企业内部造成系统级的安全威胁。 通过采用移动办公安全接入保证移动接入用户的身份可靠认证，保障接入终端的合法性，防止非法移动终端接入。在移动办公终端接入信息网之前，安全接入认证客户端能够对移动办公终端进行安全性检查，实现物理和操作系统等各个层面的安全防护，保证接入终端的本地安全性；对接入内网用户身份进行核实，确保通信用户身份的合法性和认证性；能够在移动办公终端通过安全接入平台与信息内网通信时建立安全通信通道，防止数据泄密和第三方攻击。 2.安全接入平台技术简介 2.1安全接入平台结构概述 安全接入平台设计结合智能电网发展需求，将以各种复杂组网方式提供通信信道从而构建物理接入层。安全接入平台在此基础上，依托电网原有的防火墙、IDS等物理安全基础设施、PKI/PMI 等信息安全基础设施等，基于统一安全策略和统一安全管理的思想进行系统架构设计，有效、安全地承载各种电力业务应用，对外统一提供“安全通道、身份认证、安全接入、访问控制、数据交换、集中监管”等核心功能。 安全接入平台在第三方网络与电力信息网络之间构建安全接入区，进行网络的安全分隔。通过平台的安全接入、认证、访控服务等进行安全接入。从体系结构上主要分为接入服务层、应用接口层。 2.1.1接入服务层 接入服务层是安全接入平台的核心组成部分，主要包括安全接入网关系统、身份认证系统、安全数据过滤系统、集中监管系统四大逻辑功能组件，功能组件之间通过高速消息总线进行通信，实现各种安全服务。 （1）安全接入网关是接入平台的核心功能组件，位于第三方网络和内网业务系统之间，通过对终端进行强身份认证，在终端和接入网关之间建立双向加密隧道来保障数据通讯安全。针对不同种类终端的接入需求，业务安全接入与逻辑分隔需求、安全访问控制需求、接入性能要求等将安全接入网关系统分为PDA安全接入网关、PC安全接入网关、采集接入网关三类。 （2）身份认证系统是对终端身份认证的关键设备，依据安全接入网关对终端的认证信息，并依据制定的安全策略，以数字证书系统为基础，对终端身份进行高强度认证和接入仲裁，确保只有合法终端才能接入。 （3）安全数据过滤系统主要实现对终端和业务系统的安全隔离，防止非法链接穿透内网进行访问。同时在确保安全前提下，实现终端和业务系统的安全、正确的数据交换。该系统是电网信息网络和第三方网络的重要边界和核心防护功能组件。 （4）集中监管服务器主要对网关服务器的运行状况进行实时监控，并产生报表。 2.1.2应用接口层 应用接口层为安全接入平台逻辑层，应用服务需经安全接入平台进行安全策略定制、授权给特定终端访问，同时经安全数据过滤系统进行应用插件定制，对应用进行访问控制授权、并进行双向安全数据交互。应用接口层主要包括安全接入平台和生产管理、营销管理、物资管理、协同办公等系统的应用数据接口，对终端和主站应用系统间传输的数据进行安全地数据交换和过滤。 3.安全接入流程概述 安全终端和安全接入平台共同构成完整的安全接入体系。安全接入平台内部各功能组件通过平台总线进行高速消息、数据通讯，对外提供一致的安全服务，并和外围的第三方系统进行有机集成通讯。 移动安全客户端请求连接安全接入网关的站点服务，身份认证系统负责审核用户的身份是否合法，审核通过以后，安全接入网关站点服务器会向客户端分配虚拟IP，客户端依据分配的IP连接安全接入网关服务器，连接成功之后安全