电力IP城域网的内部安全

1.MPLS VPN

电力行业的业务应用既需要通过网络实现互联，同时不同业务之间需要在网络上安全隔离，通过VPN技术，在一个物理网络上虚拟出多个逻辑私有网络，为不同的业务提供承载服务，就成了必然之选。

目前已经证明MPLS VPN技术是IP城域网建设的最好选择，MPLS VPN在骨干网中使用LSP隧道进行标签交换，较之普通的IP转发具有更好的安全级别。它具有天然的安全特性，不同的VPN用户之间由于无法获知对方的路由信息，从而可以理解为存在于不同的私有网络之中。

根据电力业务的需求，在电力IP城域网上通过MPLS技术划分多个业务VPN，确保不同业务之间的设备无法获知对方的路由信息。在同一种业务中通过合理设置，可以保证即使是相同的业务，如果没有互访需求。也无法相互访问。

2.设备安全管理

通过设备访问的控制以及SNMP协议安全，有效地实现对电力IP城域网中数量众多的网络设备进行安全管理。设备访问控制。控制口、Telnet、Web等都是对设备进行访问的手段之一，可以通过设置用户访问验证、访问权限管理、会话超时、密码加密、带外管理等技术来完成设备访问的控制。

SNMP协议安全。SNMP的网管工作站通常有大量的关于验证信息的数据库，例如团体名。这些信息可以提供访问许多路由器或者其他网络设备的途径。这使得网管站成为许多攻击的目标，因此，必须要保证网管工作站的安全。SNMPv3提供了一个SNMP NMS和AGENT的完整的系统框架。从安全角度来讲，SNMPv3使用了基于用户的安全模式（USM）和基于视图的访问控制模式（VACM）。USM使用MD5或者SHA对报文进行验证，使用DES对报文进行加密，这样保证了数据的完整性和正确性。VACM则对当前用户的访问权限进行检查，看当前用户是否可以对管理数据进行操作。

3.路由认证

路由认证就是运行于不同设备的相同的动态路由协议之间，对相互传递的路由刷新报文进行的确认，以便使得设备能够接受真正而安全的路由刷新报文。

路由协议的加密可以防止路由协议更新包的欺骗和伪造，从而保证全网路由的可靠性。目前，多数路由协议支持路由认证，并且实现的方式大体相同。认证过程有基于明文的，也有基于更安全的MD5校验。

4.应用服务协议安全