電力IP城域網(wǎng)的內(nèi)部安全

1.MPLS VPN

電力行業(yè)的業(yè)務(wù)應(yīng)用既需要通過網(wǎng)絡(luò)實現(xiàn)互聯(lián)，同時不同業(yè)務(wù)之間需要在網(wǎng)絡(luò)上安全隔離，通過VPN技術(shù)，在一個物理網(wǎng)絡(luò)上虛擬出多個邏輯私有網(wǎng)絡(luò)，為不同的業(yè)務(wù)提供承載服務(wù)，就成了必然之選。

目前已經(jīng)證明MPLS VPN技術(shù)是IP城域網(wǎng)建設(shè)的最好選擇，MPLS VPN在骨干網(wǎng)中使用LSP隧道進行標(biāo)簽交換，較之普通的IP轉(zhuǎn)發(fā)具有更好的安全級別。它具有天然的安全特性，不同的VPN用戶之間由于無法獲知對方的路由信息，從而可以理解為存在于不同的私有網(wǎng)絡(luò)之中。

根據(jù)電力業(yè)務(wù)的需求，在電力IP城域網(wǎng)上通過MPLS技術(shù)劃分多個業(yè)務(wù)VPN，確保不同業(yè)務(wù)之間的設(shè)備無法獲知對方的路由信息。在同一種業(yè)務(wù)中通過合理設(shè)置，可以保證即使是相同的業(yè)務(wù)，如果沒有互訪需求。也無法相互訪問。

2.設(shè)備安全管理

通過設(shè)備訪問的控制以及SNMP協(xié)議安全，有效地實現(xiàn)對電力IP城域網(wǎng)中數(shù)量眾多的網(wǎng)絡(luò)設(shè)備進行安全管理。設(shè)備訪問控制?？刂瓶凇elnet、Web等都是對設(shè)備進行訪問的手段之一，可以通過設(shè)置用戶訪問驗證、訪問權(quán)限管理、會話超時、密碼加密、帶外管理等技術(shù)來完成設(shè)備訪問的控制。

SNMP協(xié)議安全。SNMP的網(wǎng)管工作站通常有大量的關(guān)于驗證信息的數(shù)據(jù)庫，例如團體名。這些信息可以提供訪問許多路由器或者其他網(wǎng)絡(luò)設(shè)備的途徑。這使得網(wǎng)管站成為許多攻擊的目標(biāo)，因此，必須要保證網(wǎng)管工作站的安全。SNMPv3提供了一個SNMP NMS和AGENT的完整的系統(tǒng)框架。從安全角度來講，SNMPv3使用了基于用戶的安全模式（USM）和基于視圖的訪問控制模式（VACM）。USM使用MD5或者SHA對報文進行驗證，使用DES對報文進行加密，這樣保證了數(shù)據(jù)的完整性和正確性。VACM則對當(dāng)前用戶的訪問權(quán)限進行檢查，看當(dāng)前用戶是否可以對管理數(shù)據(jù)進行操作。

3.路由認(rèn)證

路由認(rèn)證就是運行于不同設(shè)備的相同的動態(tài)路由協(xié)議之間，對相互傳遞的路由刷新報文進行的確認(rèn)，以便使得設(shè)備能夠接受真正而安全的路由刷新報文。

路由協(xié)議的加密可以防止路由協(xié)議更新包的欺騙和偽造，從而保證全網(wǎng)路由的可靠性。目前，多數(shù)路由協(xié)議支持路由認(rèn)證，并且實現(xiàn)的方式大體相同。認(rèn)證過程有基于明文的，也有基于更安全的MD5校驗。

4.應(yīng)用服務(wù)協(xié)議安全