思科SAFE解決方案助電力客戶建網騰飛

2013-10-10 15:45:05 EP電力信息化網　點擊量：評論 (0)

當今的電力企業領導者們都非常重視盈虧問題。

，層層進行安全設置，從而確保整個網絡的安全。

　　6、通過思科 PIX 專用網絡防火墻控制網絡邊界的安全。PIX的NAT地址轉換功能既對外部網絡屏蔽了內部網絡，又使內部網絡用戶可以有效地對外部網絡進行訪問，其ASA自適應算法杜絕了從外網發起的對于內網的訪問，而對于內網發起的對外網的訪問則可以不受限制。

　　7、進行黑客防范配置。通過信息檢測、攻擊檢測、網絡安全性分析和操作系統安全性分析等一系列配置，對黑客進行監控。

　　8、使用思科的IDS保護電力中心網絡。思科的IDS實時入侵檢測系統可以通過對網絡流量采樣，來實時地監視網絡流量和進行非授權使用檢測。同時，它可以通過封鎖網絡訪問或終止非法對話來主動響應非法活動。另外，它還能夠檢測各種攻擊并提供高級的IP碎片重組功能和“掃除”反IDS檢測的能力。

　　9、思科的CSPM(Cisco Security Policy Manager)網絡安全管理軟件可統一的定制管理網絡安全策略，并從集中的圖形化界面管理Cisco PIX防火墻、Cisco IDS入侵檢測系統探頭(Sensor)等重要的網絡安全元素，并可監控網絡當前或歷史上發生的安全事件。

　　10、對操作系統和數據庫管理系統的安全配置。操作系統/數據庫系統是網絡應用系統運行的基本支撐平臺，其安全指根據具體的操作系統/數據庫管理系統的選型，利用其本身提供的安全機制，通過系統配置實現規劃的安全業務，避免攻擊者繞過應用系統直接操作敏感數據。

針對電力行業的模塊化實施策略

　　安全基礎設施的建設是一個不斷隨技術進步而更新的長期過程。思科在總結企業網設計與實施經驗的基礎上，提出的SAFE體系架構是層次化、模塊結構的模型。網絡安全模塊化有兩種主要優勢。首先，它允許體系結構實現網絡各功能塊間的安全關系，其次，它讓網管人員可逐個模塊地評估并實施安全性策略，而非試圖在一個階段就完成整個體系結構。如下圖所示，對每個電力企業網的功能區模塊進行了展示，這些模塊在網絡中扮演特定角色，有特定的安全需求。

一、在企業園區網中的模塊的具體分析如下：

　　1、管理安全模塊。在管理安全模塊中通過思科IOS防火墻、SNMP 、NIDS、系統日志、系統管理、（帶專用VLAN支持）的接入交換機、控制一次性口令（OTP）等手段組合完成安全策略實施。管理模塊的主要目標是實現電力企業網中所有設備和主機的安全管理。記錄和報告信息從設備流向管理主機，而內容、配置和新軟件從管理主機流向設備。

　　企業管理網絡一般有兩個作為防火墻和VPN端接設備的IOS路由器分開的兩個網段。防火墻外的網段連接到所有需要管理的設備。防火墻內的網段包括管理主機本身以及作為終端服務器的IOS路由器。其余接口連接到生產網絡，但僅用于來自預定義主機、受IPSec保護的管理信息流。這樣就可以管理沒有足夠物理接口來支持普通管理連接的思科設備。

　　2、核心和服務器模塊。電力網絡中的核心模塊幾乎與其它任意網絡體系結構的核心模塊一樣。它主要是將信息流盡可能快速地從一個網絡傳送和交換至另一網絡。服務器模塊的主要目標是向最終用戶和設備提供應用服務。服務器模塊上的信息流由第3層交換機中的主板入侵檢測進行檢查。

　　服務器模塊通常從安全角度會被忽略。在檢查大多數員工對其所連服務器的接入水平時，服務器通常會成為內部攻擊的主要目標。僅依靠有效口令不能提供全面的攻擊緩解策略。使用基于主機和網絡的IDS、專用VLAN、訪問控制和出色的系統管理慣例（如使系統保持與最新補丁同步等），可實現對攻擊的更全面響應。

　　3、大樓分布模塊。此模塊的目標是向構建交換機提供分布層服務，這其中包括路由、服務質量（QoS）和訪問控制。數據請求流入這些交換機再傳至核心，響應則以相反途徑進行。

構建分布模塊提供了針對內部發起的攻擊的第一線防御。通過使用訪問控制，它可減少一個部門訪問另一部門服務器上保密信息的機會。例如，包含營銷和財務的網絡可以將財務的服務器分配到一個特定VLAN并過濾對其的訪問，以確保只有財務人員能訪問它。出于性能原因，重要的是，此訪問控制應在能以近乎線速提供過濾信息流的硬件平臺上實施。這一般是需使用第3層交換而非更多的傳統專用路由設備。通過使用RFC2827過濾，同一訪問控制也可防止源地址電子欺騙。最后，子網分