思科SAFE解決方案助電力客戶建網(wǎng)騰飛

2013-10-10 15:45:05 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

當(dāng)今的電力企業(yè)領(lǐng)導(dǎo)者們都非常重視盈虧問題。

，層層進(jìn)行安全設(shè)置，從而確保整個(gè)網(wǎng)絡(luò)的安全。

　　6、通過思科 PIX 專用網(wǎng)絡(luò)防火墻控制網(wǎng)絡(luò)邊界的安全。PIX的NAT地址轉(zhuǎn)換功能既對(duì)外部網(wǎng)絡(luò)屏蔽了內(nèi)部網(wǎng)絡(luò)，又使內(nèi)部網(wǎng)絡(luò)用戶可以有效地對(duì)外部網(wǎng)絡(luò)進(jìn)行訪問，其ASA自適應(yīng)算法杜絕了從外網(wǎng)發(fā)起的對(duì)于內(nèi)網(wǎng)的訪問，而對(duì)于內(nèi)網(wǎng)發(fā)起的對(duì)外網(wǎng)的訪問則可以不受限制。

　　7、進(jìn)行黑客防范配置。通過信息檢測(cè)、攻擊檢測(cè)、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置，對(duì)黑客進(jìn)行監(jiān)控。

　　8、使用思科的IDS保護(hù)電力中心網(wǎng)絡(luò)。思科的IDS實(shí)時(shí)入侵檢測(cè)系統(tǒng)可以通過對(duì)網(wǎng)絡(luò)流量采樣，來實(shí)時(shí)地監(jiān)視網(wǎng)絡(luò)流量和進(jìn)行非授權(quán)使用檢測(cè)。同時(shí)，它可以通過封鎖網(wǎng)絡(luò)訪問或終止非法對(duì)話來主動(dòng)響應(yīng)非法活動(dòng)。另外，它還能夠檢測(cè)各種攻擊并提供高級(jí)的IP碎片重組功能和“掃除”反IDS檢測(cè)的能力。

　　9、思科的CSPM(Cisco Security Policy Manager)網(wǎng)絡(luò)安全管理軟件可統(tǒng)一的定制管理網(wǎng)絡(luò)安全策略，并從集中的圖形化界面管理Cisco PIX防火墻、Cisco IDS入侵檢測(cè)系統(tǒng)探頭(Sensor)等重要的網(wǎng)絡(luò)安全元素，并可監(jiān)控網(wǎng)絡(luò)當(dāng)前或歷史上發(fā)生的安全事件。

　　10、對(duì)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全配置。操作系統(tǒng)/數(shù)據(jù)庫系統(tǒng)是網(wǎng)絡(luò)應(yīng)用系統(tǒng)運(yùn)行的基本支撐平臺(tái)，其安全指根據(jù)具體的操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)的選型，利用其本身提供的安全機(jī)制，通過系統(tǒng)配置實(shí)現(xiàn)規(guī)劃的安全業(yè)務(wù)，避免攻擊者繞過應(yīng)用系統(tǒng)直接操作敏感數(shù)據(jù)。

針對(duì)電力行業(yè)的模塊化實(shí)施策略

　　安全基礎(chǔ)設(shè)施的建設(shè)是一個(gè)不斷隨技術(shù)進(jìn)步而更新的長(zhǎng)期過程。思科在總結(jié)企業(yè)網(wǎng)設(shè)計(jì)與實(shí)施經(jīng)驗(yàn)的基礎(chǔ)上，提出的SAFE體系架構(gòu)是層次化、模塊結(jié)構(gòu)的模型。網(wǎng)絡(luò)安全模塊化有兩種主要優(yōu)勢(shì)。首先，它允許體系結(jié)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)各功能塊間的安全關(guān)系，其次，它讓網(wǎng)管人員可逐個(gè)模塊地評(píng)估并實(shí)施安全性策略，而非試圖在一個(gè)階段就完成整個(gè)體系結(jié)構(gòu)。如下圖所示，對(duì)每個(gè)電力企業(yè)網(wǎng)的功能區(qū)模塊進(jìn)行了展示，這些模塊在網(wǎng)絡(luò)中扮演特定角色，有特定的安全需求。

一、在企業(yè)園區(qū)網(wǎng)中的模塊的具體分析如下：

　　1、管理安全模塊。在管理安全模塊中通過思科IOS防火墻、SNMP 、NIDS、系統(tǒng)日志、系統(tǒng)管理、（帶專用VLAN支持）的接入交換機(jī)、控制一次性口令（OTP）等手段組合完成安全策略實(shí)施。管理模塊的主要目標(biāo)是實(shí)現(xiàn)電力企業(yè)網(wǎng)中所有設(shè)備和主機(jī)的安全管理。記錄和報(bào)告信息從設(shè)備流向管理主機(jī)，而內(nèi)容、配置和新軟件從管理主機(jī)流向設(shè)備。

　　企業(yè)管理網(wǎng)絡(luò)一般有兩個(gè)作為防火墻和VPN端接設(shè)備的IOS路由器分開的兩個(gè)網(wǎng)段。防火墻外的網(wǎng)段連接到所有需要管理的設(shè)備。防火墻內(nèi)的網(wǎng)段包括管理主機(jī)本身以及作為終端服務(wù)器的IOS路由器。其余接口連接到生產(chǎn)網(wǎng)絡(luò)，但僅用于來自預(yù)定義主機(jī) 、受IPSec保護(hù)的管理信息流。這樣就可以管理沒有足夠物理接口來支持普通管理連接的思科設(shè)備。

　　2、核心和服務(wù)器模塊。電力網(wǎng)絡(luò)中的核心模塊幾乎與其它任意網(wǎng)絡(luò)體系結(jié)構(gòu)的核心模塊一樣。它主要是將信息流盡可能快速地從一個(gè)網(wǎng)絡(luò)傳送和交換至另一網(wǎng)絡(luò)。服務(wù)器模塊的主要目標(biāo)是向最終用戶和設(shè)備提供應(yīng)用服務(wù)。服務(wù)器模塊上的信息流由第3層交換機(jī)中的主板入侵檢測(cè)進(jìn)行檢查。

　　服務(wù)器模塊通常從安全角度會(huì)被忽略。在檢查大多數(shù)員工對(duì)其所連服務(wù)器的接入水平時(shí)，服務(wù)器通常會(huì)成為內(nèi)部攻擊的主要目標(biāo)。僅依靠有效口令不能提供全面的攻擊緩解策略。使用基于主機(jī)和網(wǎng)絡(luò)的IDS、專用VLAN、訪問控制和出色的系統(tǒng)管理慣例（如使系統(tǒng)保持與最新補(bǔ)丁同步等），可實(shí)現(xiàn)對(duì)攻擊的更全面響應(yīng)。

　　3、大樓分布模塊。此模塊的目標(biāo)是向構(gòu)建交換機(jī)提供分布層服務(wù)，這其中包括路由、服務(wù)質(zhì)量（QoS）和訪問控制。數(shù)據(jù)請(qǐng)求流入這些交換機(jī)再傳至核心，響應(yīng)則以相反途徑進(jìn)行。

構(gòu)建分布模塊提供了針對(duì)內(nèi)部發(fā)起的攻擊的第一線防御。通過使用訪問控制，它可減少一個(gè)部門訪問另一部門服務(wù)器上保密信息的機(jī)會(huì)。例如，包含營(yíng)銷和財(cái)務(wù)的網(wǎng)絡(luò)可以將財(cái)務(wù)的服務(wù)器分配到一個(gè)特定VLAN并過濾對(duì)其的訪問，以確保只有財(cái)務(wù)人員能訪問它。出于性能原因，重要的是，此訪問控制應(yīng)在能以近乎線速提供過濾信息流的硬件平臺(tái)上實(shí)施。這一般是需使用第3層交換而非更多的傳統(tǒng)專用路由設(shè)備。通過使用RFC2827過濾，同一訪問控制也可防止源地址電子欺騙。最后，子網(wǎng)分

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊