思科SAFE解決方案助電力客戶建網(wǎng)騰飛

2013-10-10 15:45:05 EP電力信息化網(wǎng)　點擊量：評論 (0)

當今的電力企業(yè)領導者們都非常重視盈虧問題。

，層層進行安全設置，從而確保整個網(wǎng)絡的安全。

　　6、通過思科 PIX 專用網(wǎng)絡防火墻控制網(wǎng)絡邊界的安全。PIX的NAT地址轉換功能既對外部網(wǎng)絡屏蔽了內部網(wǎng)絡，又使內部網(wǎng)絡用戶可以有效地對外部網(wǎng)絡進行訪問，其ASA自適應算法杜絕了從外網(wǎng)發(fā)起的對于內網(wǎng)的訪問，而對于內網(wǎng)發(fā)起的對外網(wǎng)的訪問則可以不受限制。

　　7、進行黑客防范配置。通過信息檢測、攻擊檢測、網(wǎng)絡安全性分析和操作系統(tǒng)安全性分析等一系列配置，對黑客進行監(jiān)控。

　　8、使用思科的IDS保護電力中心網(wǎng)絡。思科的IDS實時入侵檢測系統(tǒng)可以通過對網(wǎng)絡流量采樣，來實時地監(jiān)視網(wǎng)絡流量和進行非授權使用檢測。同時，它可以通過封鎖網(wǎng)絡訪問或終止非法對話來主動響應非法活動。另外，它還能夠檢測各種攻擊并提供高級的IP碎片重組功能和“掃除”反IDS檢測的能力。

　　9、思科的CSPM(Cisco Security Policy Manager)網(wǎng)絡安全管理軟件可統(tǒng)一的定制管理網(wǎng)絡安全策略，并從集中的圖形化界面管理Cisco PIX防火墻、Cisco IDS入侵檢測系統(tǒng)探頭(Sensor)等重要的網(wǎng)絡安全元素，并可監(jiān)控網(wǎng)絡當前或歷史上發(fā)生的安全事件。

　　10、對操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全配置。操作系統(tǒng)/數(shù)據(jù)庫系統(tǒng)是網(wǎng)絡應用系統(tǒng)運行的基本支撐平臺，其安全指根據(jù)具體的操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)的選型，利用其本身提供的安全機制，通過系統(tǒng)配置實現(xiàn)規(guī)劃的安全業(yè)務，避免攻擊者繞過應用系統(tǒng)直接操作敏感數(shù)據(jù)。

針對電力行業(yè)的模塊化實施策略

　　安全基礎設施的建設是一個不斷隨技術進步而更新的長期過程。思科在總結企業(yè)網(wǎng)設計與實施經(jīng)驗的基礎上，提出的SAFE體系架構是層次化、模塊結構的模型。網(wǎng)絡安全模塊化有兩種主要優(yōu)勢。首先，它允許體系結構實現(xiàn)網(wǎng)絡各功能塊間的安全關系，其次，它讓網(wǎng)管人員可逐個模塊地評估并實施安全性策略，而非試圖在一個階段就完成整個體系結構。如下圖所示，對每個電力企業(yè)網(wǎng)的功能區(qū)模塊進行了展示，這些模塊在網(wǎng)絡中扮演特定角色，有特定的安全需求。

一、在企業(yè)園區(qū)網(wǎng)中的模塊的具體分析如下：

　　1、管理安全模塊。在管理安全模塊中通過思科IOS防火墻、SNMP 、NIDS、系統(tǒng)日志、系統(tǒng)管理、（帶專用VLAN支持）的接入交換機、控制一次性口令（OTP）等手段組合完成安全策略實施。管理模塊的主要目標是實現(xiàn)電力企業(yè)網(wǎng)中所有設備和主機的安全管理。記錄和報告信息從設備流向管理主機，而內容、配置和新軟件從管理主機流向設備。

　　企業(yè)管理網(wǎng)絡一般有兩個作為防火墻和VPN端接設備的IOS路由器分開的兩個網(wǎng)段。防火墻外的網(wǎng)段連接到所有需要管理的設備。防火墻內的網(wǎng)段包括管理主機本身以及作為終端服務器的IOS路由器。其余接口連接到生產網(wǎng)絡，但僅用于來自預定義主機、受IPSec保護的管理信息流。這樣就可以管理沒有足夠物理接口來支持普通管理連接的思科設備。

　　2、核心和服務器模塊。電力網(wǎng)絡中的核心模塊幾乎與其它任意網(wǎng)絡體系結構的核心模塊一樣。它主要是將信息流盡可能快速地從一個網(wǎng)絡傳送和交換至另一網(wǎng)絡。服務器模塊的主要目標是向最終用戶和設備提供應用服務。服務器模塊上的信息流由第3層交換機中的主板入侵檢測進行檢查。

　　服務器模塊通常從安全角度會被忽略。在檢查大多數(shù)員工對其所連服務器的接入水平時，服務器通常會成為內部攻擊的主要目標。僅依靠有效口令不能提供全面的攻擊緩解策略。使用基于主機和網(wǎng)絡的IDS、專用VLAN、訪問控制和出色的系統(tǒng)管理慣例（如使系統(tǒng)保持與最新補丁同步等），可實現(xiàn)對攻擊的更全面響應。

　　3、大樓分布模塊。此模塊的目標是向構建交換機提供分布層服務，這其中包括路由、服務質量（QoS）和訪問控制。數(shù)據(jù)請求流入這些交換機再傳至核心，響應則以相反途徑進行。

構建分布模塊提供了針對內部發(fā)起的攻擊的第一線防御。通過使用訪問控制，它可減少一個部門訪問另一部門服務器上保密信息的機會。例如，包含營銷和財務的網(wǎng)絡可以將財務的服務器分配到一個特定VLAN并過濾對其的訪問，以確保只有財務人員能訪問它。出于性能原因，重要的是，此訪問控制應在能以近乎線速提供過濾信息流的硬件平臺上實施。這一般是需使用第3層交換而非更多的傳統(tǒng)專用路由設備。通過使用RFC2827過濾，同一訪問控制也可防止源地址電子欺騙。最后，子網(wǎng)分