思科SAFE解決方案助電力客戶建網騰飛

　　當今的電力企業們都非常重視盈虧問題。為了保持競爭力，他們必須想方設法提高營業收入并降低成本。建設承載現代電力營銷管理體系的網絡是實現這一目標的重要手段，但是病毒、黑客等等時時威脅著電力網絡的安全，因而電力企業必須尋找確保網絡安全的效率、成本的方法。

　　思科公司提供了多種不同的可幫助電力客戶提高生產效率并降低各項成本的端到端SAFE解決方案。思科SAFE藍圖可確保將安全性功能內置到電力網絡的每個部分之中，可將市場的安全產品、成熟可靠的網絡安全性慣例和統一平臺管理與電力客戶現有的網絡基礎設施結合起來，進而為電力客戶提供全面的網絡保護。

　　電力行業對網絡安全的需求

　　眾所周知，伴隨改革進程的推進，中國電力行業形成了廠、網分離和電網按區域劃分的全新格局。同時計算機網絡技術的發展為電力的管理和調度提供了先進的服務和支持手段，為電力新業務（如電力市場應用、電力營銷業務等）的開展提供了條件。從國家電力公司到下屬各電力子公司正在進行著信息網絡化的推進工作，基于網絡的各種業務應用（如電力調度、企業信息化管理ERP、財務信息化管理等）正在逐漸開展。

　　網上開展電力業務具有便捷、實時的巨大優勢，同時黑客的入侵、內部人員的操作失誤、懷有各種目的人對信息的侵害等問題也相伴而來。為了規避潛在的計算機網絡業務風險，使網絡系統能夠安全及高效運行，就必須保證網絡安全隔離，隨時檢測各種安全隱患，同時還要兼顧網絡的高效時時通暢。

　　另一方面，隨著電力調度業務、電力營銷業務、電力市場業務等越來越廣泛地開展，電力企業網和Internet的聯系也越來越緊密。與此同時，Internet的自由性和先天的不安全性會給電力企業網造成越來越嚴重的隱患，并且有可能對電力業務造成極大的破壞，網絡安全成為一個不容忽視且必須解決的問題。所以當前必須把安全問題作為網絡建設和網絡優化的關鍵來抓，必須建立一套完整的網絡安全機制。

　　具體說來，電力網絡系統包括各電力公司的局域網、廣域網、數據中心、虛擬專用網（VPN）、Internet接入、網絡管理等，必須從網絡的總體角度來考慮網絡的安全問題。

　　思科專業的電力SAFE解決方案

　　針對電力信息網絡的發展現狀，思科系統網絡技術有限公司制定了專業的電力SAFE網絡安全解決方案。

　　解決方案突出網絡級的安全監控和預警體系，有效地提高了電力企業對計算機信息系統自身安全漏洞和內外部攻擊行為的檢測、管理、監控和實時處理能力，實現合理地評估信息系統安全事件、有效地實時阻斷非法和違規網絡活動、準確地提供違規行為的全部審計檔案的目標。從用戶權限的一致性、網絡周邊安全、數據加密、安全的監視和政策管理五個方面全面統籌電力網絡的安全體系。

　　思科專業的電力SAFE解決方案技術特點如下：

　　1、針對電力網絡安全的薄弱環節全方位統籌規劃。解決方案注重防止非法入侵全網路由器；保護電力數據中心及其災備？中心的網絡、服務器系統不受侵犯——數據中心與Internet間必須有防火墻隔離，并且制定科學的安全策略；制定權限管理——這是對應用系統、操作系統、數據庫系統的安全保障；考慮網絡上設備安裝后仍然可能存在的安全漏洞，并制定相應策略。

　　2、在網絡設備的安全管理方面，將所有網絡設備上的Console口加設密碼進行屏蔽，配置管理全部采用OUT-BAND帶外方式，并對每個被管理的設備均設置相應的帳戶和口令，只有網絡管理員具有對網絡設備訪問配置和更改密碼的權力。

　　3、在網管中心通過劃分VLAN來規范管理網絡和工作網絡，從邏輯上把每個部門的資源獨立成一個VLAN， 對VLAN的劃分基于安全性策略或規則，使VLAN的劃分更具安全性。網絡管理員可根據用戶需求，把某些共享資源分配到單獨的VLAN中，并控制VLAN間的訪問。

　　4、VPN和IPsec加密的使用。電力網絡將通過MPLS VPN把跨骨干的廣域網絡變成自己的私有網絡。為保障數據經VPN承載商傳輸后不會對數據的完整與安全構成潛在危險，在數據進入MPLS VPN網絡之前首先經過IPsec加密，在離開VPN網絡后又再進行IPsec解密。

　　5、通過網絡設置控制網絡的安全。在交換機、路由器、數據庫和各種認證上，層層進行安全設置，從而確保整個網絡的安全。

　　6、通過思科 PIX 專用網絡防火墻控制網絡邊界的安全。PIX的NAT地址轉換功能既對外部網絡屏蔽了內部網絡，又使內部網絡用戶可以有效地對外部網絡進行訪問，其ASA自適應算法杜絕了從外網發起的對于內網的訪問，而對于內網發起的對外網的訪問則可以不受限制。

　　7、進行黑客防范配置。通過信息檢測、攻擊檢測、網絡安全性分析和操作系統安全性分析等一系列配置，對黑客進行監控。

　　8、使用思科的IDS保護電力中心網絡。思科的IDS實時入侵檢測系統可以通過對網絡流量采樣，來實時地監視網絡流量和進行非授權使用檢測。同時，它可以通過封鎖網絡訪問或終止非法對話來主動響應非法活動。另外，它還能夠檢測各種攻擊并提供的IP碎片重組功能和“掃除”反IDS檢測的能力。

　　9、思科的CSPM(Cisco Security Policy Manager)網絡安全管理軟件可統一的定制管理網絡安全策略，并從集中的圖形化界面管理Cisco PIX防火墻、Cisco IDS入侵檢測系統探頭(Sensor)等重要的網絡安全元素，并可監控網絡當前或歷史上發生的安全事件。

　　10、對操作系統和數據庫管理系統的安全配置。操作系統/數據庫系統是網絡應用系統運行的基本支撐平臺，其安全指根據具體的操作系統/數據庫管理系統的選型，利用其本身提供的安全機制，通過系統配置實現規劃的安全業務，避免攻擊者繞過應用系統直接操作敏感數據。

　　針對電力行業的模塊化實施策略

　　安全基礎設施的建設是一個不斷隨技術進步而更新的長期過程。思科在總結企業網設計與實施經驗的基礎上，提出的SAFE體系架構是層次化、模塊結構的模型。網絡安全模塊化有兩種主要優勢。首先，它允許體系結構實現網絡各功能塊間的安全關系，其次，它讓網管人員可逐個模塊地評估并實施安全性策略，而非試圖在一個階段就完成整個體系結構。如下圖所示，對每個電力企業網的功能區模塊進行了展示，這些模塊在網絡中扮演特定角色，有特定的安全需求。

　　一、在企業園區網中的模塊的具體分析如下：


　　1、管理安全模塊。在管理安全模塊中通過思科IOS防火墻、SNMP 、NIDS、系統日志、系統管理、（帶專用VLAN支持）的接入交換機、控制一次性口令（OTP）等手段組合完成安全策略實施。管理模塊的主要目標是實現電力企業網中所有設備和主機的安全管理。記錄和報告信息從設備流向管理主機，而內容、配置和新軟件從管理主機流向設備。

　　企業管理網絡一般有兩個作為防火墻和VPN端接設備的IOS路由器分開的兩個網段。防火墻外的網段連接到所有需要管理的設備。防火墻內的網段包括管理主機本身以及作為終端服務器的IOS路由器。其余接口連接到生產網絡，但僅用于來自預定義主機 、受IPSec保護的管理信息流。這樣就可以管理沒有足夠物理接口來支持普通管理連接的思科設備。

　　2、核心和服務器模塊。電力網絡中的核心模塊幾乎與其它任意網絡體系結構的核心模塊一樣。它主要是將信息流盡可能快速地從一個網絡傳送和交換至另一網絡。服務器模塊的主要目標是向終用戶和設備提供應用服務。服務器模塊上的信息流由第3層交換機中的主板入侵檢測進行檢查。

　　服務器模塊通常從安全角度會被忽略。在檢查大多數員工對其所連服務器的接入水平時，服務器通常會成為內部攻擊的主要目標。僅依靠有效口令不能提供全面的攻擊緩解策略。使用基于主機和網絡的IDS、專用VLAN、訪問控制和出色的系統管理慣例（如使系統保持與補丁同步等），可實現對攻擊的更全面響應。

　　3、大樓分布模塊。此模塊的目標是向構建交換機提供分布層服務，這其中包括路由、服務質量（QoS）和訪問控制。數據請求流入這些交換機再傳至核心，響應則以相反途徑進行。

　　構建分布模塊提供了針對內部發起的攻擊的線防御。通過使用訪問控制，它可減少一個部門訪問另一部門服務器上保密信息的機會。例如，包含營銷和財務的網絡可以將財務的服務器分配到一個特定VLAN并過濾對其的訪問，以確保只有財務人員能訪問它。出于性能原因，重要的是，此訪問控制應在能以近乎線速提供過濾信息流的硬件平臺上實施。這一般是需使用第3層交換而非更多的傳統專用路由設備。通過使用RFC2827過濾，同一訪問控制也可防止源地址電子欺騙。，子網分隔可將IP語音（VoIP）信息路由到呼叫管理器（Call Manager）及其相關語音網關。這可阻止VoIP信息穿過其它數據流穿過的網段，降低了竊聽語音通信的可能性，可更平穩地實現QoS。

　　4、大樓接入模塊。SAFE將構建模塊定義為包括終用戶工作站、電話及其相關第2層接入點的擴展網絡部分。其主要目的是向終用戶提供服務。

　　因為用戶設備一般來說是網絡中的規模組成，以簡潔、有效的方式實現安全性是極具挑戰性的。從安全角度來說，是在分布模塊而不是在大樓接入模塊中對終用戶實施的訪問控制。這是因為工作站和電話與其相連的第2層交換機沒有第3層訪問控制功能?；谥鳈C的病毒搜索在工作站級實施。

　　二、邊緣分布模塊。此模塊的目標是在邊緣集中來自各元素的連接。信息流從邊緣模塊過濾和路由并送至核心。

　　邊緣分布模塊在整體功能方面與大樓分布模塊有些類似。這兩個模塊都采用接入控制來過濾信息流，但邊緣分布模塊在一定程度上可依賴整個邊緣功能區域來執行附加安全功能。這兩個模塊均使用第3層交換來獲得高性能，但邊緣分布模塊可添加附加安全功能，這是因為其性能要求不高的緣故。邊緣分布模塊為從邊緣模塊發送到園區網模塊的所有信息流提供了一道防線。這可以減少電子欺騙分組、錯誤路由升級和對網絡層訪問控制的配置。

　　三、對企業邊緣中包含的模塊的具體分析如下：

　　1、公司互聯網模塊。公司互聯網模塊為內部用戶提供了到互聯網服務的連接并使互聯網用戶訪問公共服務器上的信息。信息也可從此模塊流向VPN和遠程接入模塊（VPN在這兩個模塊終結）。 通過SMTP、 DNS、 FTP/HTTP、防火墻、NIDS應用和URL過濾等手段實現體系的安全。

　　本模塊的核心是一對高可用的防火墻，它們為互聯網公共服務和內部用戶提供保護。狀態檢查會檢驗所有方向的信息流，從而確保只有合法信息流穿過防火墻。除模塊中的第2層和第3層的高可用以及防火墻的狀態故障轉換功能，所有其它設計考慮也都圍繞安全性和攻擊緩解進行。

　　2、VPN和遠程接入模塊。此模塊的主要目標有三個：從遠程用戶處端接VPN信息流、為從遠程站點端點VPN信息流提供一個集中器，以及端接傳統撥號接入用戶。所有傳送至邊緣分布的信息流來自于遠程公司用戶，他們在被認可進入防火墻之前以某種方式進行了驗證。

　　設計指南

　　除了高可用以外，此模塊的核心要求是擁有三個獨立外部用戶服務驗證和端接。因為信息流來自于企業網絡外的不同來源，故此應決定為這三種服務的每一種提供防火墻上的獨立接口。

　　3、WAN模塊。此模塊并不是潛在WAN設計的完全專用部分，它為WAN端接提供了高可用和安全性。采用幀中繼封裝，信息流可在遠程站點和中央站點間傳輸。電信服務供應商的雙連接通過路由器向邊緣分布模塊提供了高可用性。安全性由IOS安全特性提供。輸入訪問列表可用于阻塞來自遠程分支機構的所有不必要的信息流。

　　電力行業青睞思科的理由

　　眾多電力行業用戶選擇思科安全解決方案的根本原因在于提高自身競爭優勢的真實保障：

　　思科公司在全球技術支持方面是行業，因此可幫助客戶極大地節省總體擁有成本。思科公司的獲獎服務包括了快速安裝、維護和提升思科安全產品所必須的工具、專業技術和資源。

　　盡管思科公司提供了PIX防火墻、入侵檢測系統(IDS)、訪問控制列表(ACL)和VPN集中器等產品并籍此成為安全性市場中的，但必須認識到，行業目前所面對的全球安全性問題只能通過政府與企業間的合作才能得到解決。所以，思科公司與其他主要網絡提供商及政府開展了密切協作，目的就是要開發和提供能解決這一全行業難題的聯合解決方案。

　　思科認為網絡安全是一個復雜的問題，要考慮安全層次、技術難度及經費支出等因素，因此在設計方案時遵循了如下設計思想：盡可能地提高系統的安全性和可靠性；保持網絡原有的性能特點，即對網絡的協議和傳輸具有很好的透明性；易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；盡量不影響原網絡拓撲結構，便于系統結構及系統功能的擴展；安全保密系統應具有較好的性能價格比，一次性投資，可以長期使用。

　　安全護航 面向未來

　　安全不是產品的堆砌。思科公司制定的面向電力企業網絡的安全藍圖（SAFE）的主要目標是，為用戶提供有關設計和實施安全網絡的實踐信息。SAFE可作為正考慮其網絡安全性要求的網絡設計人員的指南。SAFE在網絡安全設計方面采用了深入防御的方式。這類設計的重點在于所預測出的威脅及減輕威脅的方法，而不是單純地“將防火墻放在這兒，將入侵檢測系統放在那兒”等。該策略帶來了一種安全分層方式，這樣，一個安全系統的故障就不大可能引發對整個網絡資源的損壞。

　　對于企業家來講，面向未來的網絡建設充滿了一系列性能權衡?？梢愿鶕唧w的資金情況來進行靈活的設計選擇。無論是將分布模塊拆分到核心模塊中，還是將VPN和遠程接入模塊的功能與公司互聯網模塊的功能合并，或者根據您的威脅響應策略的不同，合理配置NIDS應用，都需要一個科學的規劃。