今日頭條
官方微信
官方抖音
資訊頻道 http://www.enet.com.cn/cio/ 來源:eNet硅谷動力
【文章摘要】日前,一場未期而至的暴風雪給中國神州大地帶來很多煩憂,南方電網很多供電設施故障,搶修層面舉步為艱。但是,我們的故障基本上出現在線路的基礎設施方面,并沒有出現美國“紐約大停電”那樣的災難性的情況,線路故障解決后供電很快恢復。這與近年來我國電力企業注重信息化建設,注重科學的安全策略規劃密切相關。
日前,一場未期而至的暴風雪給中國神州大地帶來很多煩憂,南方電網很多供電設施故障,搶修層面舉步為艱。但是,我們的故障基本上出現在線路的基礎設施方面,并沒有出現美國“紐約大停電”那樣的災難性的情況,線路故障解決后供電很快恢復。這與近年來我國電力企業注重信息化建設,注重科學的安全策略規劃密切相關。
電力信息網的“脆”性
提及信息網絡安全,常言“三分安全,其分管理”,這足以看出網絡安全管理的重要性。缺乏成體系的安全管理策略,在泛濫成災的互聯網攻擊面前,電力信息網絡往往表現出“脆”性的一面。
因為有很多種攻擊工具都可以很容易地從互聯網上找到和下載。網絡攻擊的次數在迅速增多。考慮到業務的損失和生產效率的下降, 以及排除故障和修復損壞設備所導致的額外開支等方面,對網絡安全的破壞可以是毀滅性的。此外,嚴重的安全性攻擊還可導致電力企業的公眾形象的破壞、法律上的責任、乃至客戶信心的喪失,并進而造成無法估量的成本損失。
在電力行業中,IT系統越來越復雜:
數據中心的復雜度變大——今天的數據中心比以往擔負著更加復雜、重要的任務,我們生活中的吃、穿、住、行都離開不開各種各樣數據的支持。目前數據中心的發展已經從數據集中走向整合,在整合過程中需要高密度集成,以前一個數據中心幾十臺,現在數據中心經常是幾百臺,甚至上千臺、上萬臺。另一層面,“綠色數據中心”已經成為數據中心建設的新趨勢。節能、簡潔、高效、高可靠等要求,對于數據中心的供電保障,基礎架構(如網絡架構等)的選擇來講,是個新挑戰。
基礎設施的不斷升級——與基礎設施相關的產品/技術一直在發展。必須能夠快速反應,不斷優化原有體系結構,為應用服務。其中,應用正在向SOA架構方向前進。SOA是以服務為核心的體系架構,不是簡簡單單說企業內部的數據庫業務,它往往是直接跟業務掛鉤,是整個跨行業的概念;基礎架構的變化:網絡正在成為整個IT的基礎;安全成為網絡的特性,而不是一個單獨的應用;IT開發建設方法的變化。特別是由于中間件的發展,使打破“信息孤島”成為可能,也對基礎網絡的容量、可擴展性和智能化等提出了更高的要求。
技術越來越復雜——技術/產品上一直在發展,其中:以太網:10Gbps端口卡已經商業化;光纖(FC): 4Gb接口正在逐步取代2Gb接口;融合了以太網、光纖網和InfiniBand等三種協議的10Gb卡07年4月底第一次出現;CPU向多內核方向發展,而不是單純的追求GHz值;計算機系統的能耗及散熱,“綠色數據中心”成為一種訴求;數據存儲成本越來越昂貴(SAN占IT成本的比例逐年增高);網絡產品處理能力和可靠性的提高,使網絡扁平化成為可能和一種趨勢。由于技術越來越復雜,導致企業原有信息架構面臨考驗,如何進行系統升級,與原有應用軟件的對接、整體的安全性、管理人員的培訓等諸多問題都需要仔細斟酌。
綜上所述,電力信息網絡彰顯脆性,安全管理刻不容緩。我們需要有效的安全策略以應對挑戰,以下我們從多個層面進行系統論述:
SIMS彰顯“鋼韌”
打造電力智能網絡的安全體系,首先從安全信息管理(SIMS)解決方案入手。它以技術為基礎的實時安全數據監控和關聯系統,能檢測出所發生(甚至發生前)的網絡攻擊或漏洞,可實時地收集、分析和關聯整個電力企業中的所有安全設備信息。
在電力智能專網,SIMS彰顯“鋼韌”。它提供了一種簡單機制,可使安全團隊收集和分析極大量的安全告警數據,更具體地說,SIMS 解決方案可實時地收集、分析和關聯整個企業中的所有安全設點備信息。可以分四個階段:
1 過程規范——收集電力專網中每臺安全設備的數據,將這一數據放入更容易理解的背景中,并將關于相同安全事件的不同消息映射為一個通用警報ID。
2 匯聚階段——從安全事件數據流中消除多余或重復的事件數據,并細化和優化呈現給安全分析員的信息數量。
3 關聯階段——采用軟件技術來實時分析所匯聚的數據以確定具體模式是否存在。相似安全事件的這些模式一般對應于具體安全攻擊。
4 可視化——它是指在一個實時控制臺中以圖形方式來呈現所關聯的信息。行之有效的可視化可使安全操作員在安全事件發生時并在其對電力企業造成影響之前迅速地加以識別和響應。
從這四個階段可以看出安全管理的行之有效。對于電力企業,SIMS 技術的強大威力在于,它可使人數相對較少的安全團隊極大縮短攻擊與響應之間的時間。電力企業可以利用現有人員妥善監控更多的設備和告警;可為企業提供更好的安全保護;可降低企業的安全總擁有成本(TCO)。
很多電力企業是通過實施外圍防御基礎設施(如防病毒軟件、防火墻、公鑰基礎設施(PKI)以及入侵檢測系統(IDS)等)來解決或實現反應性數據安全功能的。響應規劃中缺乏有效的管理機制,最常見的欠缺在于全盤分析網絡防火墻攻擊的原因和結果所需要的專業技術和知識是散布在各處的。例如,企業不同部門的專家往往被要求獨立分析對他們自己部門的IT資源的破壞情況,然后再將他們所發現的問題或提出的建議報告給實際上實施該戰略的系統管理員。這一過程根本就不能解決安全攻擊的緊迫性。
而SIMS 解決方案可以充分利用現有人員,只需配備一個實時控制臺就能實現針對整個電力企業發生的安全事件的集中檢測和響應。SIMS還可使機構在安全威脅造成嚴重問題之前就對其加以解決。而安全團隊也會更加有效,因為無需添加更多人手它就能更有效地識別和應對更多威脅。
SIMS是一種戰略性更強的方法。它可有效降低整個電力企業中日常安全監控工作居高不下的成本,而且還可實現實時檢測和響應,能在安全威脅演變成代價高昂且很可能是災難性的事件之前就加以解決。
安全監控、分析和響應系統(MARS)
從上述的分析可以看出,對于電力信息網絡的安全管理,監控、分析和響應是重要。而安全監控分析和響應系統(CS-MARS)(思科產品)是廣經驗證的高性能、可擴展的威脅管理、監控和防御設備系列,是架構SONA立體防御體系的基礎。
CS-MARS將傳統安全事件監控與網絡智能、上下文關聯、因素分析、異常流量檢測、熱點識別自動防御功能相結合,可幫助電力客戶更為高效地使用網絡和安全設備。通過結合這些功能,可幫助電力企業準確識別和消除網絡攻擊,且保持網絡的安全策略符合性。
對于電力信息網絡的安全管理,日常工作中時刻面臨著大量的挑戰,包括過量的安全和網絡信息;低劣的攻擊和故障識別、優先級分配和響應能力;攻擊手段越來越高明、速度越來越快、補救成本越來越高;滿足規章制度和審計要求;從事安全工作的人員和預算受到限制等。
CS-MARS 管理系統通過以下方式解決這些挑戰:
● 集成網絡智能,以便通過先進的方法將網絡異常與安全事件相關聯;
● 顯示得到確認的事故并進行自動調查;
● 充分利用您現有網絡和安全基礎設施,從而抵御攻擊;
● 監控系統、網絡和安全運維,以幫助遵從規章要求;
● 以最低的TCO 提供易于部署和使用的可擴展的系統。
CS-MARS可將原始的網絡和安全數據轉變成情報,以便終止實際的安全事故并保證符合安全規章要求。這個易用的威脅抵御產品系列允許操作人員使用基礎設施中現有的網絡和安全設備來集中、檢測、抵御并按嚴重性來報告威脅。
路由器和安全設備管理器 (SDM)
電力智能網絡的安全管理有了監控、分析和響應系統,下一步就要延展到各大核心路由交換設備。
在電力智能網絡,從能夠提供10-Gbps接口的7600光纖業務路由器,到思科智能多層模塊化交換機Catalyst 6500系列,第2/3/4層的實施策略的核心Catalyst 4500系列產品,網絡安全策略得以有效分解。
在這些產品中網絡安全模塊的嵌入可以保障設備的長久可用性;IOS軟件模塊化通過在最需要網絡可用性的環境中提供故障抑制和更快的故障恢復速度;設備級冗余性包括LAN交換機內能夠防止交換機本身和相連網絡設備出現網絡故障或遭受攻擊,以保持連續網絡訪問的各種機制……從而確保電力專網安全可靠。
另一層面,這樣復雜的安全體系如何架構管理是個挑戰。SDM從管理角度使問題迎刃而解。SDM是為基于思科IOS的路由器開發的一種直觀 Web 設備管理工具。它能夠通過智能向導簡化路由器和安全配置,使客戶和思科合作伙伴不需要了解命令行界面 (CLI) 就能快速容易地部署配置和監控思科路由器。
對于電力企業的基層信息管理人員,可以獲得在安全管理方面的便利,SDM智能向導指導用戶通過系統地配置 LAN、WLAN 和 WAN 接口、防火墻、入侵防御系統 (IPS) 和IP Securtiy (IPSec) VPN 來逐步完成路由器和安全配置工作。思科SDM智能向導能夠以智能方式檢測到錯誤配置并提出修復建議,例如如果 WAN 接口由DHCP 定址,則允許動態主機配置協議 (DHCP) 流量通過防火墻。對于熟悉IOS及其安全特性的網絡專家,SDM提供了能夠快速配置和精確調整路由器安全特性的先進配置工具,以便網絡專家能夠先審核思科SDM生成的命令再提供路由器配置更改方案。
在電力企業的成本控制方面,SDM獨具價值。對于建立了系統網絡的電力企業,思科SDM能夠通過與思科CNS配置引擎的集成以可擴展的方式容易地部署路由器。思科SDM生成的思科IOS Software配置可以導入到思科CNS配置引擎中,然后以“餅干模子 (cookie cutter)”方式部署到數千臺的思科路由器。
堅不可摧的Oracle數據庫的安全承諾
在電力行業軟件應用層面,不同的業務需求對應不同的軟件產品,而體系的核心大都靠Oracle 數據庫支撐,因而堅不可摧的Oracle數據庫的安全承諾尤為重要。
Oracle數據庫的堅不可摧包含以下因素:
1 堅不可摧軟件的一個關鍵因素是對保證的獨立評定,即通過一系列正式地安全性評估,一個第三方組織可以證明我們的產品安全性聲明是有效的。對保證的獨立評定是堅不可摧的關鍵因素,因為,從安全性的角度出發,你如何建立自己的產品比你建立了何種產品更為重要,而且,只有當你了解了“如何建立”,“何種產品”才是有效的。
2 堅不可摧的第二個因素是對安全產品生命周期的承諾。保證是生成和維護生命周期的重要部分;實際上,為了建立安全性的正確性,你必須保證安全產品的開發過程是可重復的,從而可以保證在追加新的功能的同時沒有破化原有的安全性機制。
Oracle 的堅不可摧承諾意味著在缺省模式下產品的安全性會日益增加,因此產品具有無限的可被接受的安全性,而系統管理員將會為此付出極小的附加操作。甚至被發現的,實際上是配置問題的“薄弱環節”將成為導致開發變更的候選因素。在保證產品安全性問題上,如果能自動地完成的越多,系統管理員需要做的就越少。
世上沒有安全性的魔術子彈,但Oracle 數據庫為電力企業的信息體系提供了可靠的保障,它是一個長期的承諾,它已經在實施過程中,它將被擴展到對每個Oracle 產品的相同的開發方法和保障評定中。今天,所有強烈關注安全性的電力企業都會把他們的數據庫運行在Oracle 上。
安全是電力企業的生命線,信息化是承載電力企業未來發展的基礎,只有二者有機結合,才會綻放絢麗的亮彩。
北京市公安局海淀分局備案號:11010802023656號