思科SAFE解決方案助電力客戶建網(wǎng)騰飛

2013-10-10 15:45:05 EP電力信息化網(wǎng)　點擊量：評論 (0)

當(dāng)今的電力企業(yè)領(lǐng)導(dǎo)者們都非常重視盈虧問題。

，層層進(jìn)行安全設(shè)置，從而確保整個網(wǎng)絡(luò)的安全。

　　6、通過思科 PIX 專用網(wǎng)絡(luò)防火墻控制網(wǎng)絡(luò)邊界的安全。PIX的NAT地址轉(zhuǎn)換功能既對外部網(wǎng)絡(luò)屏蔽了內(nèi)部網(wǎng)絡(luò)，又使內(nèi)部網(wǎng)絡(luò)用戶可以有效地對外部網(wǎng)絡(luò)進(jìn)行訪問，其ASA自適應(yīng)算法杜絕了從外網(wǎng)發(fā)起的對于內(nèi)網(wǎng)的訪問，而對于內(nèi)網(wǎng)發(fā)起的對外網(wǎng)的訪問則可以不受限制。

　　7、進(jìn)行黑客防范配置。通過信息檢測、攻擊檢測、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置，對黑客進(jìn)行監(jiān)控。

　　8、使用思科的IDS保護(hù)電力中心網(wǎng)絡(luò)。思科的IDS實時入侵檢測系統(tǒng)可以通過對網(wǎng)絡(luò)流量采樣，來實時地監(jiān)視網(wǎng)絡(luò)流量和進(jìn)行非授權(quán)使用檢測。同時，它可以通過封鎖網(wǎng)絡(luò)訪問或終止非法對話來主動響應(yīng)非法活動。另外，它還能夠檢測各種攻擊并提供高級的IP碎片重組功能和“掃除”反IDS檢測的能力。

　　9、思科的CSPM(Cisco Security Policy Manager)網(wǎng)絡(luò)安全管理軟件可統(tǒng)一的定制管理網(wǎng)絡(luò)安全策略，并從集中的圖形化界面管理Cisco PIX防火墻、Cisco IDS入侵檢測系統(tǒng)探頭(Sensor)等重要的網(wǎng)絡(luò)安全元素，并可監(jiān)控網(wǎng)絡(luò)當(dāng)前或歷史上發(fā)生的安全事件。

　　10、對操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全配置。操作系統(tǒng)/數(shù)據(jù)庫系統(tǒng)是網(wǎng)絡(luò)應(yīng)用系統(tǒng)運(yùn)行的基本支撐平臺，其安全指根據(jù)具體的操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)的選型，利用其本身提供的安全機(jī)制，通過系統(tǒng)配置實現(xiàn)規(guī)劃的安全業(yè)務(wù)，避免攻擊者繞過應(yīng)用系統(tǒng)直接操作敏感數(shù)據(jù)。

針對電力行業(yè)的模塊化實施策略

　　安全基礎(chǔ)設(shè)施的建設(shè)是一個不斷隨技術(shù)進(jìn)步而更新的長期過程。思科在總結(jié)企業(yè)網(wǎng)設(shè)計與實施經(jīng)驗的基礎(chǔ)上，提出的SAFE體系架構(gòu)是層次化、模塊結(jié)構(gòu)的模型。網(wǎng)絡(luò)安全模塊化有兩種主要優(yōu)勢。首先，它允許體系結(jié)構(gòu)實現(xiàn)網(wǎng)絡(luò)各功能塊間的安全關(guān)系，其次，它讓網(wǎng)管人員可逐個模塊地評估并實施安全性策略，而非試圖在一個階段就完成整個體系結(jié)構(gòu)。如下圖所示，對每個電力企業(yè)網(wǎng)的功能區(qū)模塊進(jìn)行了展示，這些模塊在網(wǎng)絡(luò)中扮演特定角色，有特定的安全需求。

一、在企業(yè)園區(qū)網(wǎng)中的模塊的具體分析如下：

　　1、管理安全模塊。在管理安全模塊中通過思科IOS防火墻、SNMP 、NIDS、系統(tǒng)日志、系統(tǒng)管理、（帶專用VLAN支持）的接入交換機(jī)、控制一次性口令（OTP）等手段組合完成安全策略實施。管理模塊的主要目標(biāo)是實現(xiàn)電力企業(yè)網(wǎng)中所有設(shè)備和主機(jī)的安全管理。記錄和報告信息從設(shè)備流向管理主機(jī)，而內(nèi)容、配置和新軟件從管理主機(jī)流向設(shè)備。

　　企業(yè)管理網(wǎng)絡(luò)一般有兩個作為防火墻和VPN端接設(shè)備的IOS路由器分開的兩個網(wǎng)段。防火墻外的網(wǎng)段連接到所有需要管理的設(shè)備。防火墻內(nèi)的網(wǎng)段包括管理主機(jī)本身以及作為終端服務(wù)器的IOS路由器。其余接口連接到生產(chǎn)網(wǎng)絡(luò)，但僅用于來自預(yù)定義主機(jī) 、受IPSec保護(hù)的管理信息流。這樣就可以管理沒有足夠物理接口來支持普通管理連接的思科設(shè)備。

　　2、核心和服務(wù)器模塊。電力網(wǎng)絡(luò)中的核心模塊幾乎與其它任意網(wǎng)絡(luò)體系結(jié)構(gòu)的核心模塊一樣。它主要是將信息流盡可能快速地從一個網(wǎng)絡(luò)傳送和交換至另一網(wǎng)絡(luò)。服務(wù)器模塊的主要目標(biāo)是向最終用戶和設(shè)備提供應(yīng)用服務(wù)。服務(wù)器模塊上的信息流由第3層交換機(jī)中的主板入侵檢測進(jìn)行檢查。

　　服務(wù)器模塊通常從安全角度會被忽略。在檢查大多數(shù)員工對其所連服務(wù)器的接入水平時，服務(wù)器通常會成為內(nèi)部攻擊的主要目標(biāo)。僅依靠有效口令不能提供全面的攻擊緩解策略。使用基于主機(jī)和網(wǎng)絡(luò)的IDS、專用VLAN、訪問控制和出色的系統(tǒng)管理慣例（如使系統(tǒng)保持與最新補(bǔ)丁同步等），可實現(xiàn)對攻擊的更全面響應(yīng)。

　　3、大樓分布模塊。此模塊的目標(biāo)是向構(gòu)建交換機(jī)提供分布層服務(wù)，這其中包括路由、服務(wù)質(zhì)量（QoS）和訪問控制。數(shù)據(jù)請求流入這些交換機(jī)再傳至核心，響應(yīng)則以相反途徑進(jìn)行。

構(gòu)建分布模塊提供了針對內(nèi)部發(fā)起的攻擊的第一線防御。通過使用訪問控制，它可減少一個部門訪問另一部門服務(wù)器上保密信息的機(jī)會。例如，包含營銷和財務(wù)的網(wǎng)絡(luò)可以將財務(wù)的服務(wù)器分配到一個特定VLAN并過濾對其的訪問，以確保只有財務(wù)人員能訪問它。出于性能原因，重要的是，此訪問控制應(yīng)在能以近乎線速提供過濾信息流的硬件平臺上實施。這一般是需使用第3層交換而非更多的傳統(tǒng)專用路由設(shè)備。通過使用RFC2827過濾，同一訪問控制也可防止源地址電子欺騙。最后，子網(wǎng)分

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊