電力IP城域網(wǎng)的內(nèi)部安全

1.MPLS VPN

電力行業(yè)的業(yè)務應用既需要通過網(wǎng)絡實現(xiàn)互聯(lián)，同時不同業(yè)務之間需要在網(wǎng)絡上安全隔離，通過VPN技術(shù)，在一個物理網(wǎng)絡上虛擬出多個邏輯私有網(wǎng)絡，為不同的業(yè)務提供承載服務，就成了必然之選。

目前已經(jīng)證明MPLS VPN技術(shù)是IP城域網(wǎng)建設的最好選擇，MPLS VPN在骨干網(wǎng)中使用LSP隧道進行標簽交換，較之普通的IP轉(zhuǎn)發(fā)具有更好的安全級別。它具有天然的安全特性，不同的VPN用戶之間由于無法獲知對方的路由信息，從而可以理解為存在于不同的私有網(wǎng)絡之中。

根據(jù)電力業(yè)務的需求，在電力IP城域網(wǎng)上通過MPLS技術(shù)劃分多個業(yè)務VPN，確保不同業(yè)務之間的設備無法獲知對方的路由信息。在同一種業(yè)務中通過合理設置，可以保證即使是相同的業(yè)務，如果沒有互訪需求。也無法相互訪問。

2.設備安全管理

通過設備訪問的控制以及SNMP協(xié)議安全，有效地實現(xiàn)對電力IP城域網(wǎng)中數(shù)量眾多的網(wǎng)絡設備進行安全管理。設備訪問控制。控制口、Telnet、Web等都是對設備進行訪問的手段之一，可以通過設置用戶訪問驗證、訪問權(quán)限管理、會話超時、密碼加密、帶外管理等技術(shù)來完成設備訪問的控制。

SNMP協(xié)議安全。SNMP的網(wǎng)管工作站通常有大量的關(guān)于驗證信息的數(shù)據(jù)庫，例如團體名。這些信息可以提供訪問許多路由器或者其他網(wǎng)絡設備的途徑。這使得網(wǎng)管站成為許多攻擊的目標，因此，必須要保證網(wǎng)管工作站的安全。SNMPv3提供了一個SNMP NMS和AGENT的完整的系統(tǒng)框架。從安全角度來講，SNMPv3使用了基于用戶的安全模式（USM）和基于視圖的訪問控制模式（VACM）。USM使用MD5或者SHA對報文進行驗證，使用DES對報文進行加密，這樣保證了數(shù)據(jù)的完整性和正確性。VACM則對當前用戶的訪問權(quán)限進行檢查，看當前用戶是否可以對管理數(shù)據(jù)進行操作。

3.路由認證

路由認證就是運行于不同設備的相同的動態(tài)路由協(xié)議之間，對相互傳遞的路由刷新報文進行的確認，以便使得設備能夠接受真正而安全的路由刷新報文。

路由協(xié)議的加密可以防止路由協(xié)議更新包的欺騙和偽造，從而保證全網(wǎng)路由的可靠性。目前，多數(shù)路由協(xié)議支持路由認證，并且實現(xiàn)的方式大體相同。認證過程有基于明文的，也有基于更安全的MD5校驗。

4.應用服務協(xié)議安全