思科SAFE解决方案助电力客户建网腾飞

2013-10-10 15:45:05 EP电力信息化网　点击量：评论 (0)

当今的电力企业领导者们都非常重视盈亏问题。

，层层进行安全设置，从而确保整个网络的安全。

　　6、通过思科 PIX 专用网络防火墙控制网络边界的安全。PIX的NAT地址转换功能既对外部网络屏蔽了内部网络，又使内部网络用户可以有效地对外部网络进行访问，其ASA自适应算法杜绝了从外网发起的对于内网的访问，而对于内网发起的对外网的访问则可以不受限制。

　　7、进行黑客防范配置。通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置，对黑客进行监控。

　　8、使用思科的IDS保护电力中心网络。思科的IDS实时入侵检测系统可以通过对网络流量采样，来实时地监视网络流量和进行非授权使用检测。同时，它可以通过封锁网络访问或终止非法对话来主动响应非法活动。另外，它还能够检测各种攻击并提供高级的IP碎片重组功能和“扫除”反IDS检测的能力。

　　9、思科的CSPM(Cisco Security Policy Manager)网络安全管理软件可统一的定制管理网络安全策略，并从集中的图形化界面管理Cisco PIX防火墙、Cisco IDS入侵检测系统探头(Sensor)等重要的网络安全元素，并可监控网络当前或历史上发生的安全事件。

　　10、对操作系统和数据库管理系统的安全配置。操作系统/数据库系统是网络应用系统运行的基本支撑平台，其安全指根据具体的操作系统/数据库管理系统的选型，利用其本身提供的安全机制，通过系统配置实现规划的安全业务，避免攻击者绕过应用系统直接操作敏感数据。

针对电力行业的模块化实施策略

　　安全基础设施的建设是一个不断随技术进步而更新的长期过程。思科在总结企业网设计与实施经验的基础上，提出的SAFE体系架构是层次化、模块结构的模型。网络安全模块化有两种主要优势。首先，它允许体系结构实现网络各功能块间的安全关系，其次，它让网管人员可逐个模块地评估并实施安全性策略，而非试图在一个阶段就完成整个体系结构。如下图所示，对每个电力企业网的功能区模块进行了展示，这些模块在网络中扮演特定角色，有特定的安全需求。

一、在企业园区网中的模块的具体分析如下：

　　1、管理安全模块。在管理安全模块中通过思科IOS防火墙、SNMP 、NIDS、系统日志、系统管理、（带专用VLAN支持）的接入交换机、控制一次性口令（OTP）等手段组合完成安全策略实施。管理模块的主要目标是实现电力企业网中所有设备和主机的安全管理。记录和报告信息从设备流向管理主机，而内容、配置和新软件从管理主机流向设备。

　　企业管理网络一般有两个作为防火墙和VPN端接设备的IOS路由器分开的两个网段。防火墙外的网段连接到所有需要管理的设备。防火墙内的网段包括管理主机本身以及作为终端服务器的IOS路由器。其余接口连接到生产网络，但仅用于来自预定义主机、受IPSec保护的管理信息流。这样就可以管理没有足够物理接口来支持普通管理连接的思科设备。

　　2、核心和服务器模块。电力网络中的核心模块几乎与其它任意网络体系结构的核心模块一样。它主要是将信息流尽可能快速地从一个网络传送和交换至另一网络。服务器模块的主要目标是向最终用户和设备提供应用服务。服务器模块上的信息流由第3层交换机中的主板入侵检测进行检查。

　　服务器模块通常从安全角度会被忽略。在检查大多数员工对其所连服务器的接入水平时，服务器通常会成为内部攻击的主要目标。仅依靠有效口令不能提供全面的攻击缓解策略。使用基于主机和网络的IDS、专用VLAN、访问控制和出色的系统管理惯例（如使系统保持与最新补丁同步等），可实现对攻击的更全面响应。

　　3、大楼分布模块。此模块的目标是向构建交换机提供分布层服务，这其中包括路由、服务质量（QoS）和访问控制。数据请求流入这些交换机再传至核心，响应则以相反途径进行。

构建分布模块提供了针对内部发起的攻击的第一线防御。通过使用访问控制，它可减少一个部门访问另一部门服务器上保密信息的机会。例如，包含营销和财务的网络可以将财务的服务器分配到一个特定VLAN并过滤对其的访问，以确保只有财务人员能访问它。出于性能原因，重要的是，此访问控制应在能以近乎线速提供过滤信息流的硬件平台上实施。这一般是需使用第3层交换而非更多的传统专用路由设备。通过使用RFC2827过滤，同一访问控制也可防止源地址电子欺骗。最后，子网分