一、  背景介绍

陕西省电力公司是国家电网公司的全资子公司，是陕西省电力建设、输送、销售的独立法人，承担着为陕西省经济社会发展和城乡广大电力客户提供安全可靠电力供 应和服务的主要职责。公司现有员工3.67万人，资产总额363亿元，年售电量542亿千瓦时。辖有直属单位33个,其中修造企业7个,施工企业5个,综 合单位9个。陕西电网统调发电装机容量1551万千瓦，最大负荷1062万千瓦；330千伏变电站39座，变电容量1863万千伏安，线路6825公 里；110千伏及以上变电站362座，变电容量2178万千伏安，线路12638公里。

省电力公司是全省电力信息系统的业务中心、信息交换中心、数据中心和备份中心，也是陕西电力信息广域网的核心。而电力市场的发展，要求在调度中心、电厂、变电站、用户等之间进行的数据交换也越来越频繁。

二、  连通、管理如何解决？

随着互联网的发展，省电力公司的信息化建设也需要与时俱进：怎样让出差在外的用户安全方便的接入内网处理业务，尤其是领导的公文审批、文件签发和决策等？如何解决P2P占用互联网带宽资源的问题？怎样解决病毒攻击、ARP欺骗、DOS攻击等安全威胁？这些都是摆在省电力公司面前的现实问题。

通过分析，省电力公司总结出了其亟待解决的2大问题：即“连通”和“管理”：

“连通”：

1.为出差在外的移动用户构建安全的远程接入平台。

2.该平台必须支持现有和未来可能出现的各种IT应用系统。

3.平台的构建是为了方便用户使用，要求简单易用。

“管理”：

1.优化带宽资源的使用，尤其是管理BT、电骡等P2P流量对带宽的占用。
2.降低内网被病毒、ARP欺骗、DOS攻击侵犯的几率。

3.员工网络访问行为的管理，提升工作效率，规避法律风险。

针对省电力公司信息化建设的最新着力点，交大捷普公司的SSL VPN和AC上网行为管理方案妥善的满足了其对“连通”和“管理”的需求。

针对电力系统网络数据交换的需求，省电力公司决定建立覆盖全省的电力四级网，西安交大捷普网络科技有限公司成功在此项目招标中中标，负责咸阳市、渭南市、宝鸡市、商洛市、汉中市的四级网安全建设。

三、措施及效果

实现“连通”

省电力公司部署了捷普公司的SSL VPN网关，并结合省电力公司现有AD域控服务器上的账户信息，让处于外网的领导等高权限用户采用USB-Key，其他用户采用“用户名/密码”和“硬件特征码”的识别方式，通过双因素认证保障安全。

“硬件特征码”验证技术将接入终端电脑的CPU、硬盘、主板等硬件信息与指定账户绑定，即使黑客得到了省电力公司的SSL VPN用户名/密码甚至是USB-key，由于无法窃取到硬件信息，都不能接入SSL VPN，全方位保障省电力公司办公网资源的安全性。

而通过SSL VPN的“端点安全检查”检测功能，通过审核接入终端的操作系统补丁、杀毒软件、注册表和进程等安全参数，SSL VPN系统进一步保证了用户接入终端的安全性。用户登录SSL VPN后的访问行为则按照省电力公司的要求，在SSL VPN中提供日志存储和图形化查询、审计等。

对于省电力公司部分采用非Windows桌面系统、PDA、SmartPhone的用户，同样可以使用这套SSL VPN访问包括VOIP和视频会议等复杂内网应用。借助标准浏览器、免客户端的安装和配置，捷普公司的SSL VPN降低了省电力公司的管理和维护工作量。

实现“网络行为管理”

BT、电骡、QQLive等P2P行为严重占用了带宽，省电力公司通过部署捷普公司的SSL VPN网关，对部分部门的P2P行为实施了全面封堵；而因业务需要使用P2P的部门和用户，则通过AC的流量控制功能，为不同用户预留相应的带宽，既保障了核心应用，又充分利用了带宽。

省电力公司发电厂也启用了AC的准入规则（NAC）功能，内网中不安装杀毒软件或没有定时更新、使用不安全软件的用户都将被禁止访问Internet，修复了内网的安全隐患点；同时，SSL VPN网关通过封堵无关网站，过滤特定文件的下载，查杀网页、邮件潜藏的病毒，为省电力公司内网全方位抵御病毒。

在日志方面，捷普公司的SSL VPN网关的部署让省电力公司全面记录了用户访问的URL、向公网发布的言论、收发的Email等所有行为，海量存储日志、图形化查询和审计，满足了公安部82号令的要求，规避了省电力公司的法律风险；而省电力公司高层领导的网络访问行为关乎企业发展和决策，通过使用免监控Key（俗称“老板key”，插入此key的用户将不经过AC审计），实现了更全面灵活的管控和审计。