2007年网典杂志

构筑电力网络安全“长城”

理想的网络境界—它的力量能实现自我保护,它能确保你的业务万无一失,它使你的通信系统融合于一体,它将更进一步地解放你的生产力,使你轻松获取一切信息—以你自己的方式,构建你想要的网络!

构筑电力网络安全“长城”


安全不是产品的堆砌。思科公司所提供的安全管理解决方案在各个环节都采取了基于用户的安全防护措施,形成了安全分层方式,从而确保了电力SONA架构的稳定。

伴随改革进程的推进,中国电力行业形成了厂、网分离和电网按区域划分的全新格局。同时计算机网络技术的发展为电力的管理和调度提供了先进的服务和支持手段,为电力新业务(如电力市场应用、电力营销业务等)的开展提供了条件。从国家电力公司到下属各电力子公司正在进行着信息网络化的推进工作,基于网络的各种业务应用(如电力调度、企业信息化管理ERP、财务信息化管理等)正在逐渐开展。

网络开展电力业务具有便捷、实时的巨大优势,同时黑客的入侵、内部人员的操作失误、怀有各种目的人对信息的侵害等问题也相伴而来。为了规避潜在的计算机网络业务风险,使网络系统能够安全及高效运行,就必须保证网络安全隔离,随时检测各种安全隐患,同时还要兼顾网络的高效时时通畅。可是从另一方面来看,随着电力调度业务、电力营销业务、电力市场业务等越来越广泛地开展,电力企业网和Internet的联系也越来越紧密。Internet的自由性和先天的不安全性会给电力企业网造成越来越严重的隐患,并且有可能对电力业务造成极大的破坏,网络安全成为一个不容忽视且必须解决的问题。

恰当地处理好安全问题,确保电力企业能够在合理利用网络提高效率、产生效益的基础上免除外部攻击和内部操作所引起的不必要损失,成为电力行业的重要安全策略。

构筑电力网络安全“长城”

SIMS网络监测岗哨

目前,很多电力企业都是通过实施外围防御基础设施(如防病毒软件、防火墙、公钥基础设施(PKI)以及入侵检测系统(IDS)等)来解决或实现反应性数据安全功能的。这种方法的缺点在于,其响应规划中缺乏有效的管理机制,最常见的欠缺在于全盘分析网络防火墙攻击的原因和结果所需要的专业技术和知识是散布在各处的。例如,企业不同部门的专家往往被要求独立分析对他们自己部门的IT资源的破坏情况,然后再将他们所发现的问题或提出的建议报告给实施该战略的系统管理员,这一复杂的过程根本就不能解决安全攻击的紧迫性。

而思科的安全信息管理解决方案(SIMS)可以充分解决这些问题。SIMS它是以技术为基础的实时安全数据监控和关联系统,能检测出所发生(甚至发生前)的网络攻击或漏洞,并可实时地收集、分析和关联整个电力企业中的所有安全设备信息。

在利用现有人员,SIMS只需配备一个实时控制台就能实现针对整个电力企业发生的安全事件的集中检测和响应。SIMS还可使机构在安全威胁造成严重问题之前就对其加以解决。而安全团队也会更加有效,因为无需添加更多人手就能更有效地识别和应对更多威胁。

在电力智能专网方面,SIMS提供了一种简单机制,可使安全团队收集和分析海量的安全告警数据,更具体地说,SIMS解决方案可实时地收集、分析和关联整个企业中的所有安全设备信息,该过程可以分为过程规范、汇聚阶段、关联阶段、可视化四个部分。完成对安全数据的收集、筛选、分析,并以可视化模式形式提交分析员。

四个阶段充分反映出安全管理的意义所在。对于电力企业来说,SIMS技术的强大威力在于,它可使人数相对较少的安全团队极大缩短攻击与响应之间的时间。电力企业可以利用现有人员妥善监控更多的设备和告警,在为企业提供更好的安全保护的同时,降低企业的安全总拥有成本(TCO)。

SIMS是一种战略性更强的方法。它可有效降低整个电力企业中日常安全监控工作居高不下的成本,而且还可实现实时检测和响应,能在安全威胁演变成代价高昂且很可能是灾难性的事件之前就加以解决。

思科安全监控、分析和响应系统(MARS)

在电力信息网络的安全管理的日常工作中,时刻面临着大量的挑战:过量的安全和网络信息;低劣的攻击和故障识别、优先级分配和响应能力;攻击手段越来越高明、速度越来越快、补救成本越来越高;满足规章制度和审计要求;从事安全工作的人员和预算受到限制等等因素,都在时刻威胁着网络安全。

所以,对于电力信息网络来说,安全管理,监控、分析和响应是至关重要的。而思科安全监控分析和响应系统(CS-MARS)是广经验证的高性能、可扩展的威胁管理、监控和防御设备系列,是架构网络安全立体防御体系的基础。

思科CS-MARS系统能够将传统安全事件监控与网络智能、上下文关联、因素分析、异常流量检测、热点识别自动防御功能相结合,可帮助电力客户更为高效地使用网络和安全设备。通过结合这些功能,电力企业能够准确识别和消除网络攻击,并同时保持网络的安全策略符合性。

思科CS-MARS可将原始的网络和安全数据转变成情报,以便终止实际的安全事故并保证符合安全规章要求。这个易用的威胁抵御产品系列允许操作人员使用基础设施中现有的网络和安全设备来集中、检测、抵御并按严重性来报告威胁。

CS-MARS还与思科主要的安全管理套件Cisco Security Manager(CSM)紧密集成。这种集成可将与流量相关的系统日志消息映射到CSM中定义的防火墙策略中以触发事件。策略查找功能支持快速的端到端分析,以便排除与防火墙配置相关的网络故障和策略配置错误,并对定义好的策略进行进一步的优化。

路由器和安全设备管理器(SDM)

在电力智能网络,从能够提供10-Gbps接口的7600光纤业务路由器,到思科智能多层模块化交换机Catalyst 6500系列,以及第2/3/4层的实施策略的核心Catalyst 4500系列产品等,都设置了专门的安全模块保障电力企业安全。

在这些产品中嵌入网络安全模块可以保障设备的长久可用性;IOS软件模块化能够最需要网络可用性的环境中提供故障抑制和更快的故障恢复速度;设备级冗余性包括LAN交换机内能够防止交换机本身和相连网络设备出现网络故障或遭受攻击,以保持连续网络访问的各种机制 这些特性都进一步确保了电力专网的安全性与可靠性。而思科SDM则负责管理这个复杂的基于核心路由和交换系统的安全体系。

思科CS-MARS 管理系统通过以下方式解决这些挑战:

  • 集成网络智能,以便通过先进的方法将网络异常与安全事件相关联;
  • 显示得到确认的事故并进行自动调查;
  • 充分利用您现有网络和安全基础设施,从而抵御攻击;
  • 监控系统、网络和安全运维,以帮助遵从规章要求;
  • 以最低的TCO 提供易于部署和使用的可扩展的系统。

思科SDM是为基于思科IOS的路由器开发的一种直观Web设备管理工具。它能够通过智能向导简化路由器和安全配置,使客户和思科合作伙伴不需要了解命令行界面(CLI)就能快速容易地部署配置和监控思科路由器。

对于电力企业的基层信息管理人员而言,思科SDM可以获得在安全管理方面的便利。思科SDM智能向导可以指导用户通过系统地配置LAN、WLAN和WAN接口、防火墙、入侵防御系统(IPS)和IP Securtiy (IPSec) VPN来逐步完成路由器和安全配置工作,并能够以智能方式检测到错误配置并提出修复建议,例如如果WAN接口由DHCP定址,则允许动态主机配置协议(DHCP)流量通过防火墙来传输。

对于熟悉思科IOS及其安全特性的网络专家来说,思科SDM则提供了能够快速配置和精确调整路由器安全特性的先进配置工具,以便网络专家能够先审核思科SDM生成的命令再提供路由器配置更改方案。

在电力企业的成本控制方面,思科SDM独具价值。对于建立了系统网络的电力企业,思科SDM能够通过与CNS配置引擎的集成及其可扩展的方式,更容易地部署路由器。思科SDM生成的思科IOS Software配置可以导入到思科CNS配置引擎中,然后以“饼干模子(cookie cutter)”的方式,方便快捷的部署到数千台的思科路由器。

思科ASA5500的价值

思科ASA 5500系列自适应安全设备是思科专门设计的解决方案,能够将最高的安全性和VPN服务与全新的自适应识别和防御(AIM)架构有机地结合在一起。作为思科自防御网络的关键组件,思科ASA 5500系列能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连接,不但能为保护电力网络提供广泛而深入的安全功能,还能降低与实现这种安全性相关的总体部署和运营成本及复杂性。

思科ASA 5500系列能够在一个平台中提供多种已经过市场验证的技术,无论从技术角度还是从经济角度看,都能够为多个地点部署各种安全服务。利用ASA 5500系列的多功能安全组件,企业几乎不需要作任何两难选择,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。

思科ASA 5500系列产品具有以下优势:

  • 最值得信赖、广为部署的防火墙技术—Cisco ASA 5500系列构建于Cisco PIX. 安全设备系列经过市场验证的功能的基础之上,在阻挡不受欢迎的来访流量的同时,允许合法业务流量进入。凭借其应用控制功能,该解决方案可限制对等(P2P)和即时消息和恶意流量的传输,因为它们可能会导致安全漏洞,进而威胁到网络。
  • 市场领先的Anti-X功能—在Cisco ASA 5500系列中,Trend Micro屡获大奖的网关安全技术与思科威胁防御功能相结合,提供了一个全面的恶意软件防御解决方案,通过集成URL和内容过滤,有效地防御间谍软件、病毒、垃圾邮件和与业务无关的内容。
  • 威胁防御VPN—Cisco ASA 5500系列 Anti-X版构建于Cisco VPN 3000集中器系列经过市场验证的VPN 功能的基础之上,提供了对公司网络和服务的安全站点间访问和远程用户访问。此解决方案在单一最佳解决方案中结合了SSL VPN和IPSec VPN功能的支持,为企业获得安全连接提供了最高灵活性。通过利用Cisco ASA 5500系列Anti-X版提供的所有服务,企业可确保VPN流量不会为它们的网络带来恶意软件或其他威胁。
  • 方便部署和管理—集中管理和监控套件可在投入最少的人员和运营开支的情况下,实现Cisco ASA 5500系列Anti-X版的大规模部署和运行。思科提供了包括管理和监控的全面解决方案。随此解决方案,还提供了思科自适应安全设备管理器(ASDM),它为独立设备提供了一个基于浏览器的、功能强大、易于使用的管理和监控界面。

思科ASA 5500系列拥有思科在开发业界领先、屡获大奖的安全和VPN解决方案方面的丰富经验,且集成了思科IX 500系列安全设备、思科IPS 4200系列入侵防御系统和思科VPN 3000系列集中器的最新技术。通过结合这些技术,思科ASA 5500系列为电力行业客户提供了一个无与伦比的解决方案,能终止范围最为广泛的威胁,并为企业提供灵活、安全的连接选项。思科ASA 5500系列提供的安全和网络服务的深度和广度使其能保护网络的任意区域,包括最常见的威胁对象,如移动用户、远程地点,以及不可管理的桌面和服务器。作为思科自适应威胁防御和统一安全接入策略的关键组件之一,思科ASA 5500系列结合了多种安全和VPN技术,提供了丰富的应用安全、Anti-X防御、网络控制和抑制,以及安全连接特性。

安全不是产品的堆砌。思科公司所提供的安全管理解决方案在各个环节都采取了基于用户的安全防护措施,形成了安全分层方式,从而确保了电力SONA架构的稳定。思科电力专网解决方案中在强调应用、高效、增值的同时彰显者安全策略优势,实践着现代电力信息化发展战略的宏伟蓝图。


其他封面故事

联系我们