近年來，隨著我國電力系統走向市場步伐的加快，國家電力工業體制開始向市場轉變，各級供電企業紛紛建立信息系統和基于Internet的管理應用，以提高勞動生產率，提高管理水平，加強信息反饋，提高決策的科學性和準確性，提高企業的綜合競爭力。但是，電力企業網絡的發展，也面臨日益突出的信息系統安全問題。在電力企業的綜合信息管理系統中，必須從網絡、操作系統、應用程序和業務需求等各方面來保證系統的安全。
　　華工安鼎:系統安全專家
　　華工安鼎應用信息系統本部致力于為電力企業提供最好的安全解決方案，讓各電力企業創造更好的社會效益和經濟效益。多年來，華工安鼎專注于電力行業，提供從網絡平臺到應用系統的行業全面解決方案，先后在數十家電力企業中成功完成對電力行業系統安全解決方案的設計和實施工作，積累了廣泛的行業經驗，深入、全面和準確地把握了電力行業的需求。同時，華工安鼎擁有一大批既熟悉電力行業業務和發展現狀、精通系統安全設計、實施的技術人員，締結了一大批系統安全方面的合作伙伴，建立了良好的市場形象和卓越的技術實力。
　　多層保護:實現電力系統無憂運行
　　華工安鼎應用信息系統本部集成了最先進的系統安全技術和產品，提出了一整套先進、完整、實用，完全滿足電力行業需求的系統安全解決方案，主要包括網絡安全方案，數據安全方案，容錯技術方案和病毒防范方案等。
　　網絡層安全方案
　　華工安鼎應用信息系統本部在網絡層采用了防火墻技術。由于電力企業對于數據的實時性要求較高，數據的傳輸量也較大，因此對于電力網絡的性能有很高的要求。另外，電力企業涉及到電網供電，其安全性也必須得到切實保證，目前大多數的電力企業均已不同程度地使用了網絡安全技術和產品來進行保護。華工安鼎應用信息系統本部為電力系統提供的網絡安全層解決方案具備易用性和易管理性和良好的擴展性等特點，不但適應網絡層安全技術未來發展的需求，而且還能保證電力企業現有的投資不被浪費。
　　應用層安全方案
　　在網絡的應用層上，華工安鼎應用信息系統本部對電力行業系統安全解決方案采用了嚴格的身份認證，不同粒度的訪問控制，數據完整性、保密性和非否認性檢測以及安全審計記錄等技術。其中身份認證可以支持基于對稱密鑰的Kerberos V5和基于公鑰的X.509證書等在內的各種身份認證技術。而不同粒度的訪問控制則可以根據不同網絡應用提供文件、頁面或端口級的訪問控制。而在數據完整性、保密性和非否認性檢測中，采用了高強度加密算法，數字簽名、時間戳和會話密鑰等技術。該網絡安全解決方案的另一個突出優點是除了能進行入侵檢測和漏洞掃描外，還能無縫地集成到第三方應用系統的安全機制中，做到統一管理。
　　數據安全及容錯方案
　　對于企業來說，最珍貴的不是計算機、硬盤、CPU和顯示器等硬件設備，而是存儲在存儲介質中的數據信息。因此對于一個信息管理系統來說，數據備份和容錯方案是必不可少的。華工安鼎應用信息系統本部對電力行業系統安全解決方案的數據備份采用軟、硬結合的全面解決方案，包括磁帶機、備份管理軟件和存儲區域網絡在內的各種技術，具有可靠性高、速度快、性能價格比高等特點。先進的系統體系結構，使其可以支持包括SAN在內的各種網絡備份技術;支持各種主流計算機操作系統、各種操作系統文件、各種主流數據庫系統;支持非結構化數據(如Lotus Notes)的數據備份、系統在線數據備份和完全、增量和差分等各種備份策略，備份過程中，支持各種數據校驗技術。另外，華工安鼎應用信息系統本部的電力行業系統安全解決方案的數據備份還提供了先進的備份管理功能，實現備份、恢復智能化和操作故障的自動提示。其具有的可擴展性，可根據電力企業業務的擴大，平滑擴展，保護已有投資。關于容錯，該解決方案中的容錯方案可實行實時監控，能自動后援切換，支持雙機熱備份和雙機互備援等各種規劃方式，具有伸縮能力強，對現有系統影響小，管理簡單方便等特點。
　　病毒防范方案針對在Internet上，病毒肆虐，企業信息系統每天都有面臨預測的可能，華工安鼎應用信息系統本部對電力行業系統安全解決方案提供了病毒防范方案，其技術特點是:企業級網絡防毒;病毒庫網絡自動更新;管理簡單有效。
　　第一部分基本解決方案
　　第一道安全屏障網絡防火墻系統防火墻通過網絡地址轉換(NAT)功能來隱藏內部網絡的IP地址;通過其動態訪問過濾功能動態檢查流經的IP數據包，根據設定的規則決定數據包是否可以通過，并將不合法的數據包過濾掉;通過其URL地址限定功能限制對某些站點的訪問，防止內部網絡對外部網絡進行不安全的訪問。
　　第二道安全屏障網絡防毒系統網絡防毒系統可以采用C/S模式，在網絡防毒服務器中安裝殺毒軟件服務器端程序，并通過Internet利用LiveUpdate功能，從免疫中心實時獲取最新的病毒碼信息。服務器和網絡工作站都安裝客戶端軟件，利用從服務器端獲取的病毒碼信息對本地工作站進行病毒掃描，并對發現的病毒采取相應措施進行清除。客戶端根據需要可用三種方式進行病毒掃描:實時掃描、預置掃描和人工掃描。由于病毒掃描可能帶來服務器性能上的降低，因此可采用預置掃描方式，將掃描時間設定在服務器訪問率最低的夜間。網絡工作站可根據各自需要，選擇合適的方式進行病毒掃描。
　　第三道安全屏障入侵檢測系統安全漏洞掃描入侵檢測系統是專門針對黑客攻擊行為而研制的網絡安全產品。國際上先進的分布式入侵檢測構架，可最大限度地、全天候地實施監控，提供企業級的安全檢測手段。在事后分析的時候，可以清楚地界定責任人和責任事件，為網絡管理人員提供強有力的保障。
　　入侵檢測系統采用攻擊防衛技術，具有高可靠性、高識別率、規則更新迅速等特點。系統具有強大的功能、方便友好的管理機制，可廣泛應用于電力行業各單位。
　　漏洞檢測和安全風險評估技術，因其可預知主體受攻擊的可能性和具體的指證將要發生的行為和產生的后果，而受到網絡安全業界的重視。這一技術的應用可幫助識別檢測對象的系統資源，分析這一資源被攻擊的可能指數，了解支撐系統本身的脆弱性，評估所有存在的安全風險。
　　漏洞掃描系統就是這一技術的實現，她包括了網絡模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等功能，幫助用戶控制可能發生的安全事件，最大可能的消除安全隱患。
　　第二部分增強解決方案
　　以上看到，該網絡綜合采用了各種網絡安全技術，包括防火墻、入侵檢測、安全漏洞掃描、網絡防病毒等。在電力系統的一些網絡中還采用VPN等技術。這些安全技術在一定程度上保護了網絡、主機和系統服務免受來自外部的攻擊和破壞，對病毒的危害也能夠起到一定的防范效果。但是，這些安全措施在防范來自內部的攻擊，保護應用系統和信息安全方面卻無能為力?！昂罄m的工作將是在逐步完善安全體系的基礎上，把建設重點由以網絡安全為主應用安全為輔轉入以應用安全為主網絡安全為輔的階段。”一、信息安全隱患分析我們可以從信息在網絡系統中的存儲、處理、傳輸和用戶對這些信息的訪問活動等方面來分析這些信息潛在的安全威脅。
　　數據庫數據和文件的明文存儲:電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。這些以明文形式存儲的信息存在泄漏的可能，因為拿到存儲介質的人可以讀出這些信息;黑客可以繞過操作系統、數據庫管理系統的控制獲取這些信息;系統后門使軟硬件系統制造商很容易得到這些信息…
　　信息的明文傳輸:現代應用系統一般采用C/S(客戶/服務器)或B/S(瀏覽器/服務器)結構，都在網絡上運行，所處理的信息也必須在網絡主機間頻繁傳輸。在電力行業的計算機網絡系統中，信息傳輸基本上是明文方式。偶有采用SSL(安全套接字層)等加密傳輸的，但由于外國安全系統出口的限制，所能夠用到的SSL是低安全級別的。這些明文或只受到低安全保護的信息在網絡上傳輸，不具有信息安全所要求的保密、完整和發送方的不可抵賴性要求。
　　弱身份認證:電力行業應用系統基本上基于商用軟硬件系統設計和開發，用戶身份認證基本上采用基于口令的鑒別模式，而這種模式很容易被攻破。有的應用系統還使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高，信息敏感性不斷增強的今天不能再用了。
　　二、安鼎信息安全增強解決方案
　　信息安全解決方案應該全面考慮信息存儲、傳輸、處理和訪問等各環節的安全要求，使信息安全方案沒有攻擊者可以利用的安全薄弱環節。
　　按照信息安全全面性要求原則，信息安全方案必須包括如下組成部分:
　　安全的身份認證:安全的身份認證是安全的第一步，不安全的身份認證可能造成用戶假冒，使其它安全措施失去作用。
　　通信安全:采用數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護，實現數據在通信中的保密、完整和不可抵賴性安全要求。
　　文件安全:通過文件加密、信息摘要和訪問控制等安全措施，來實現文件存儲和傳輸的保密和完整性要求，并實現對文件訪問的控制。
　　數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性，并實現數據庫數據的訪問安全。
　　安全審計:通過記錄審計信息來為信息安全問題的分析和處理提供線索。
　　安鼎公司針對信息安全的要求，結合自身技術特點開發出了有關身份認證、通信安全、文件安全、數據庫安全等的信息安全產品，并在這些產品中集成了審計功能。
　　1、安鼎KDC
　　安鼎KDC(Key Distribution Center)是Kerberos第5版的實現和增強，可以為企業提供集中的用戶管理、服務管理和通信安全服務。其功能包括:
　　用戶管理票據授權服務應用服務管理服務器票據管理用戶鑒別安全審計安鼎KDC不但可以和安鼎其他安全產品集成使用，也可以和支持Kerberos的其他產品集成，如Oracle 8i等。
　　安鼎KDC提供了調用接口(API)，用戶可以在應用中調用KDC的安全功能。
　　安鼎KDC使“一次登錄”成為可能，即用戶在使用所有可以訪問的數據和系統時只需要登錄一次。
　　2、安鼎安全通信代理
　　安鼎除在自己的信息安全產品中包含了通信安全功能外，還為不具備通信安全的系統提供了一個可配置的通信安全解決方案，即安鼎安全通信代理。
　　安鼎安全通信代理包括客戶端和服務器兩部分。
　　安全代理結構通信安全代理客戶端運行在應用系統客戶機上。當客戶機要向服務器發送信息時，信息不直接發送到服務器，而是發送到通信安全代理客戶端?？蛻舳藢⑿畔⒓用芎蟀l送到通信安全代理服務器。通信安全代理服務器將請求脫密后發給真正的服務器并獲取返回的內容，將返回內容加密并返回給通信安全代理客戶機。通信安全代理客戶機將通信安全代理服務器返回的內容脫密并返回給請求者。
　　通信安全代理客戶端與服務端之間的通信過程采用一次會話一個密鑰的動態密鑰加密方式，并通過會話標識、請求序號、完整性校驗碼等來實現防重放、防篡改。
　　3、安鼎文件保密柜
　　安鼎文件保密柜可分為企業文件保密柜和個人文件保密柜兩種。
　　安鼎企業文件保密柜安鼎企業文件保密柜包括文件柜服務器和文件柜客戶機，功能包括:
　　文件加密存儲:文件以加密的形式存儲在文件柜中，防止文件內容的泄漏。
　　文件傳輸加密:文件從服務器傳輸到客戶機過程中采用加密保護措施。
　　訪問控制:企業文件柜允許多用戶共享文件，企業文件柜提供訪問控制功能，防止文件的非授權訪問。
　　安全審計:記錄用戶對文件的訪問，提供安全審計記錄查詢功能。
　　文件查詢:可以根據查詢條件來查找相關的文件，包括全文查找。
　　文件組織與管理:以層次形式顯示和組織文件，支持文件在層次結構中的拖動。
　　安鼎個人文件保密柜
　　安鼎個人文件保密柜功能包括:
　　加密存儲:文件以加密的形式存儲在文件柜中，防止文件內容的泄漏。
　　文件查詢:可以根據查詢條件來查找相關的文件，包括全文查找。
　　文件組織與管理:以層次形式顯示和組織文件，支持文件在層次結構中的拖動。
　　作為企業文件保密柜客戶機使用。
　　安鼎文件保密柜的特點安全:采用182位密鑰長度加密，且不同文件采用不同密鑰。
　　全文查找:自主研制的加密算法支持快速全文查找功能。
　　多平臺支持:支持Unix / Linux / Microsoft OS。
　　操作方便:支持右鍵和拖放操作。
　　支持二次開發:通過編程接口支持二次開發。
　　4、安鼎數據庫加密系統
　　安鼎數據庫加密系統包括數據庫加密服務器、安鼎ODBC驅動器、安鼎JDBC驅動器和一個工具集。
　　數據庫安全體系結構
　　安鼎數據庫加密系統能夠適應C/S和B/S兩種應用形式。
　　數據庫安全C/S模式系統結構
　　在C/S模式應用系統中，客戶端應用(包括開發工具)與安鼎ODBC驅動器交互來訪問數據庫加密系統服務器。
　　數據庫安全B/S模式系統結構
　　在B/S模式系統中，瀏覽器與Web服務器采用Http進行交互。為解決瀏覽器與Web服務器間的通信安全問題，采用代理技術來實現瀏覽器與Web服務器間的通信安全。在瀏覽器中使用代理功能，將請求發往本機的安全代理客戶端，安全代理客戶端將請求加密后發往安全代理服務器。安全代理服務器依次脫密請求、將請求交給Web服務器、獲取Web服務器返回內容、加密返回內容、發送加密后的內容到安全代理客戶端。安全代理客戶端脫密返回的內容并交給瀏覽器。瀏覽器則將內容顯示出來。
　　數據庫加密服務器
　　數據庫加密服務器主要由服務管理、SQL執行引擎、數據字典管理、DBMS訪問接口、數據備份與恢復、其他系統服務等模塊組成。從客戶端來的請求首先交給服務管理模塊，服務管理模塊將請求分派到實際的服務模塊執行。
　　有關密文數據訪問的請求交給SQL執行引擎。SQL執行引擎對到來的SQL進行詞法和語法分析。通過了詞法、語法檢查SQL請求在SQL執行引擎中形成執行計劃并被執行。在SQL執行過程中會調用數據加密功能對寫入數據庫的數據進行加密，對從數據中取出的數據進行脫密。
　　安鼎ODBC驅動器
　　安鼎ODBC驅動器符合Microsoft ODBC標準，并在內部實現了與服務器間的安全通信。因此，任何可以通過ODBC工作的應用系統和開發工具都可以通過這個驅動器訪問數據庫加密系統，即數據庫數據的通信和存儲安全對應用系統是透明的。
　　安鼎JDBC驅動器
　　安鼎JDBC驅動器符合JDBC標準，并在內部實現了與服務器間的安全通信。因此，任何可以通過JDBC工作的應用系統和開發工具都可以通過這個驅動器訪問數據庫加密系統，即數據庫數據的通信和存儲安全對應用系統是透明的。
　　工具集
　　企業管理器:以一種集成的方式實現系統的所有管理工作。管理器功能包括節點管理、服務器配置、停止服務器、活動用戶管理、數據庫中對象及其加密屬性管理、密文數據的明文備份與恢復。
　　交互命令處理器:執行命令來完成系統管理和數據操縱功能。這些命令包括連接命令、服務器配置與管理命令、表的安全屬性管理命令、備份與恢復命令、SQL等。命令處理器可以直接執行命令腳本文件，以批量化和自動化一些管理工作和數據操縱工作。
　　安鼎數據庫加密系統的特點高安全性:128位密鑰長度，數據項級數據加密，即不同數據項采用不同密鑰加密。用戶還可選擇安鼎硬件加密卡來執行加/脫密等安全操作，保證密鑰不出現在硬件加密卡以外的任何地方，使系統更加安全。
　　高效率:自主研制的密文查詢算法保證密文訪問的效率。
　　安全功能透明性:系統通過標準的ODBC和JDBC接口給應用提供了透明的數據庫存儲加密和通信加密功能。
　　多平臺支持:支持的操作系統平臺包括各種Unix、Linux、Microsoft OS;支持的數據庫管理系統有Oracle、DB2、Sybase、Microsoft SQL Server。
　　安鼎公司在分析電力行業計算機網絡系統中信息安全需求的基礎上，結合自身技術特點，針對信息存儲、傳輸和處理過程中的安全隱患開發了相應安全產品，并形成了信息安全整體解決方案。該方案對電力行業信息的存儲、處理、傳輸、訪問等各環節實施安全保護和控制，構筑了一個全面、開放而不可繞過的信息安全保密平臺。