今日頭條
官方微信
官方抖音
資訊頻道 http://www.enet.com.cn/cio/ 來(lái)源:eNet硅谷動(dòng)力
【文章摘要】日前,一場(chǎng)未期而至的暴風(fēng)雪給中國(guó)神州大地帶來(lái)很多煩憂,南方電網(wǎng)很多供電設(shè)施故障,搶修層面舉步為艱。但是,我們的故障基本上出現(xiàn)在線路的基礎(chǔ)設(shè)施方面,并沒有出現(xiàn)美國(guó)“紐約大停電”那樣的災(zāi)難性的情況,線路故障解決后供電很快恢復(fù)。這與近年來(lái)我國(guó)電力企業(yè)注重信息化建設(shè),注重科學(xué)的安全策略規(guī)劃密切相關(guān)。
日前,一場(chǎng)未期而至的暴風(fēng)雪給中國(guó)神州大地帶來(lái)很多煩憂,南方電網(wǎng)很多供電設(shè)施故障,搶修層面舉步為艱。但是,我們的故障基本上出現(xiàn)在線路的基礎(chǔ)設(shè)施方面,并沒有出現(xiàn)美國(guó)“紐約大停電”那樣的災(zāi)難性的情況,線路故障解決后供電很快恢復(fù)。這與近年來(lái)我國(guó)電力企業(yè)注重信息化建設(shè),注重科學(xué)的安全策略規(guī)劃密切相關(guān)。
電力信息網(wǎng)的“脆”性
提及信息網(wǎng)絡(luò)安全,常言“三分安全,其分管理”,這足以看出網(wǎng)絡(luò)安全管理的重要性。缺乏成體系的安全管理策略,在泛濫成災(zāi)的互聯(lián)網(wǎng)攻擊面前,電力信息網(wǎng)絡(luò)往往表現(xiàn)出“脆”性的一面。
因?yàn)橛泻芏喾N攻擊工具都可以很容易地從互聯(lián)網(wǎng)上找到和下載。網(wǎng)絡(luò)攻擊的次數(shù)在迅速增多。考慮到業(yè)務(wù)的損失和生產(chǎn)效率的下降, 以及排除故障和修復(fù)損壞設(shè)備所導(dǎo)致的額外開支等方面,對(duì)網(wǎng)絡(luò)安全的破壞可以是毀滅性的。此外,嚴(yán)重的安全性攻擊還可導(dǎo)致電力企業(yè)的公眾形象的破壞、法律上的責(zé)任、乃至客戶信心的喪失,并進(jìn)而造成無(wú)法估量的成本損失。
在電力行業(yè)中,IT系統(tǒng)越來(lái)越復(fù)雜:
數(shù)據(jù)中心的復(fù)雜度變大——今天的數(shù)據(jù)中心比以往擔(dān)負(fù)著更加復(fù)雜、重要的任務(wù),我們生活中的吃、穿、住、行都離開不開各種各樣數(shù)據(jù)的支持。目前數(shù)據(jù)中心的發(fā)展已經(jīng)從數(shù)據(jù)集中走向整合,在整合過(guò)程中需要高密度集成,以前一個(gè)數(shù)據(jù)中心幾十臺(tái),現(xiàn)在數(shù)據(jù)中心經(jīng)常是幾百臺(tái),甚至上千臺(tái)、上萬(wàn)臺(tái)。另一層面,“綠色數(shù)據(jù)中心”已經(jīng)成為數(shù)據(jù)中心建設(shè)的新趨勢(shì)。節(jié)能、簡(jiǎn)潔、高效、高可靠等要求,對(duì)于數(shù)據(jù)中心的供電保障,基礎(chǔ)架構(gòu)(如網(wǎng)絡(luò)架構(gòu)等)的選擇來(lái)講,是個(gè)新挑戰(zhàn)。
基礎(chǔ)設(shè)施的不斷升級(jí)——與基礎(chǔ)設(shè)施相關(guān)的產(chǎn)品/技術(shù)一直在發(fā)展。必須能夠快速反應(yīng),不斷優(yōu)化原有體系結(jié)構(gòu),為應(yīng)用服務(wù)。其中,應(yīng)用正在向SOA架構(gòu)方向前進(jìn)。SOA是以服務(wù)為核心的體系架構(gòu),不是簡(jiǎn)簡(jiǎn)單單說(shuō)企業(yè)內(nèi)部的數(shù)據(jù)庫(kù)業(yè)務(wù),它往往是直接跟業(yè)務(wù)掛鉤,是整個(gè)跨行業(yè)的概念;基礎(chǔ)架構(gòu)的變化:網(wǎng)絡(luò)正在成為整個(gè)IT的基礎(chǔ);安全成為網(wǎng)絡(luò)的特性,而不是一個(gè)單獨(dú)的應(yīng)用;IT開發(fā)建設(shè)方法的變化。特別是由于中間件的發(fā)展,使打破“信息孤島”成為可能,也對(duì)基礎(chǔ)網(wǎng)絡(luò)的容量、可擴(kuò)展性和智能化等提出了更高的要求。
技術(shù)越來(lái)越復(fù)雜——技術(shù)/產(chǎn)品上一直在發(fā)展,其中:以太網(wǎng):10Gbps端口卡已經(jīng)商業(yè)化;光纖(FC): 4Gb接口正在逐步取代2Gb接口;融合了以太網(wǎng)、光纖網(wǎng)和InfiniBand等三種協(xié)議的10Gb卡07年4月底第一次出現(xiàn);CPU向多內(nèi)核方向發(fā)展,而不是單純的追求GHz值;計(jì)算機(jī)系統(tǒng)的能耗及散熱,“綠色數(shù)據(jù)中心”成為一種訴求;數(shù)據(jù)存儲(chǔ)成本越來(lái)越昂貴(SAN占IT成本的比例逐年增高);網(wǎng)絡(luò)產(chǎn)品處理能力和可靠性的提高,使網(wǎng)絡(luò)扁平化成為可能和一種趨勢(shì)。由于技術(shù)越來(lái)越復(fù)雜,導(dǎo)致企業(yè)原有信息架構(gòu)面臨考驗(yàn),如何進(jìn)行系統(tǒng)升級(jí),與原有應(yīng)用軟件的對(duì)接、整體的安全性、管理人員的培訓(xùn)等諸多問(wèn)題都需要仔細(xì)斟酌。
綜上所述,電力信息網(wǎng)絡(luò)彰顯脆性,安全管理刻不容緩。我們需要有效的安全策略以應(yīng)對(duì)挑戰(zhàn),以下我們從多個(gè)層面進(jìn)行系統(tǒng)論述:
SIMS彰顯“鋼韌”
打造電力智能網(wǎng)絡(luò)的安全體系,首先從安全信息管理(SIMS)解決方案入手。它以技術(shù)為基礎(chǔ)的實(shí)時(shí)安全數(shù)據(jù)監(jiān)控和關(guān)聯(lián)系統(tǒng),能檢測(cè)出所發(fā)生(甚至發(fā)生前)的網(wǎng)絡(luò)攻擊或漏洞,可實(shí)時(shí)地收集、分析和關(guān)聯(lián)整個(gè)電力企業(yè)中的所有安全設(shè)備信息。
在電力智能專網(wǎng),SIMS彰顯“鋼韌”。它提供了一種簡(jiǎn)單機(jī)制,可使安全團(tuán)隊(duì)收集和分析極大量的安全告警數(shù)據(jù),更具體地說(shuō),SIMS 解決方案可實(shí)時(shí)地收集、分析和關(guān)聯(lián)整個(gè)企業(yè)中的所有安全設(shè)點(diǎn)備信息。可以分四個(gè)階段:
1 過(guò)程規(guī)范——收集電力專網(wǎng)中每臺(tái)安全設(shè)備的數(shù)據(jù),將這一數(shù)據(jù)放入更容易理解的背景中,并將關(guān)于相同安全事件的不同消息映射為一個(gè)通用警報(bào)ID。
2 匯聚階段——從安全事件數(shù)據(jù)流中消除多余或重復(fù)的事件數(shù)據(jù),并細(xì)化和優(yōu)化呈現(xiàn)給安全分析員的信息數(shù)量。
3 關(guān)聯(lián)階段——采用軟件技術(shù)來(lái)實(shí)時(shí)分析所匯聚的數(shù)據(jù)以確定具體模式是否存在。相似安全事件的這些模式一般對(duì)應(yīng)于具體安全攻擊。
4 可視化——它是指在一個(gè)實(shí)時(shí)控制臺(tái)中以圖形方式來(lái)呈現(xiàn)所關(guān)聯(lián)的信息。行之有效的可視化可使安全操作員在安全事件發(fā)生時(shí)并在其對(duì)電力企業(yè)造成影響之前迅速地加以識(shí)別和響應(yīng)。
從這四個(gè)階段可以看出安全管理的行之有效。對(duì)于電力企業(yè),SIMS 技術(shù)的強(qiáng)大威力在于,它可使人數(shù)相對(duì)較少的安全團(tuán)隊(duì)極大縮短攻擊與響應(yīng)之間的時(shí)間。電力企業(yè)可以利用現(xiàn)有人員妥善監(jiān)控更多的設(shè)備和告警;可為企業(yè)提供更好的安全保護(hù);可降低企業(yè)的安全總擁有成本(TCO)。
很多電力企業(yè)是通過(guò)實(shí)施外圍防御基礎(chǔ)設(shè)施(如防病毒軟件、防火墻、公鑰基礎(chǔ)設(shè)施(PKI)以及入侵檢測(cè)系統(tǒng)(IDS)等)來(lái)解決或?qū)崿F(xiàn)反應(yīng)性數(shù)據(jù)安全功能的。響應(yīng)規(guī)劃中缺乏有效的管理機(jī)制,最常見的欠缺在于全盤分析網(wǎng)絡(luò)防火墻攻擊的原因和結(jié)果所需要的專業(yè)技術(shù)和知識(shí)是散布在各處的。例如,企業(yè)不同部門的專家往往被要求獨(dú)立分析對(duì)他們自己部門的IT資源的破壞情況,然后再將他們所發(fā)現(xiàn)的問(wèn)題或提出的建議報(bào)告給實(shí)際上實(shí)施該戰(zhàn)略的系統(tǒng)管理員。這一過(guò)程根本就不能解決安全攻擊的緊迫性。
而SIMS 解決方案可以充分利用現(xiàn)有人員,只需配備一個(gè)實(shí)時(shí)控制臺(tái)就能實(shí)現(xiàn)針對(duì)整個(gè)電力企業(yè)發(fā)生的安全事件的集中檢測(cè)和響應(yīng)。SIMS還可使機(jī)構(gòu)在安全威脅造成嚴(yán)重問(wèn)題之前就對(duì)其加以解決。而安全團(tuán)隊(duì)也會(huì)更加有效,因?yàn)闊o(wú)需添加更多人手它就能更有效地識(shí)別和應(yīng)對(duì)更多威脅。
SIMS是一種戰(zhàn)略性更強(qiáng)的方法。它可有效降低整個(gè)電力企業(yè)中日常安全監(jiān)控工作居高不下的成本,而且還可實(shí)現(xiàn)實(shí)時(shí)檢測(cè)和響應(yīng),能在安全威脅演變成代價(jià)高昂且很可能是災(zāi)難性的事件之前就加以解決。
安全監(jiān)控、分析和響應(yīng)系統(tǒng)(MARS)
從上述的分析可以看出,對(duì)于電力信息網(wǎng)絡(luò)的安全管理,監(jiān)控、分析和響應(yīng)是重要。而安全監(jiān)控分析和響應(yīng)系統(tǒng)(CS-MARS)(思科產(chǎn)品)是廣經(jīng)驗(yàn)證的高性能、可擴(kuò)展的威脅管理、監(jiān)控和防御設(shè)備系列,是架構(gòu)SONA立體防御體系的基礎(chǔ)。
CS-MARS將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡(luò)智能、上下文關(guān)聯(lián)、因素分析、異常流量檢測(cè)、熱點(diǎn)識(shí)別自動(dòng)防御功能相結(jié)合,可幫助電力客戶更為高效地使用網(wǎng)絡(luò)和安全設(shè)備。通過(guò)結(jié)合這些功能,可幫助電力企業(yè)準(zhǔn)確識(shí)別和消除網(wǎng)絡(luò)攻擊,且保持網(wǎng)絡(luò)的安全策略符合性。
對(duì)于電力信息網(wǎng)絡(luò)的安全管理,日常工作中時(shí)刻面臨著大量的挑戰(zhàn),包括過(guò)量的安全和網(wǎng)絡(luò)信息;低劣的攻擊和故障識(shí)別、優(yōu)先級(jí)分配和響應(yīng)能力;攻擊手段越來(lái)越高明、速度越來(lái)越快、補(bǔ)救成本越來(lái)越高;滿足規(guī)章制度和審計(jì)要求;從事安全工作的人員和預(yù)算受到限制等。
CS-MARS 管理系統(tǒng)通過(guò)以下方式解決這些挑戰(zhàn):
● 集成網(wǎng)絡(luò)智能,以便通過(guò)先進(jìn)的方法將網(wǎng)絡(luò)異常與安全事件相關(guān)聯(lián);
● 顯示得到確認(rèn)的事故并進(jìn)行自動(dòng)調(diào)查;
● 充分利用您現(xiàn)有網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施,從而抵御攻擊;
● 監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運(yùn)維,以幫助遵從規(guī)章要求;
● 以最低的TCO 提供易于部署和使用的可擴(kuò)展的系統(tǒng)。
CS-MARS可將原始的網(wǎng)絡(luò)和安全數(shù)據(jù)轉(zhuǎn)變成情報(bào),以便終止實(shí)際的安全事故并保證符合安全規(guī)章要求。這個(gè)易用的威脅抵御產(chǎn)品系列允許操作人員使用基礎(chǔ)設(shè)施中現(xiàn)有的網(wǎng)絡(luò)和安全設(shè)備來(lái)集中、檢測(cè)、抵御并按嚴(yán)重性來(lái)報(bào)告威脅。
路由器和安全設(shè)備管理器 (SDM)
電力智能網(wǎng)絡(luò)的安全管理有了監(jiān)控、分析和響應(yīng)系統(tǒng),下一步就要延展到各大核心路由交換設(shè)備。
在電力智能網(wǎng)絡(luò),從能夠提供10-Gbps接口的7600光纖業(yè)務(wù)路由器,到思科智能多層模塊化交換機(jī)Catalyst 6500系列,第2/3/4層的實(shí)施策略的核心Catalyst 4500系列產(chǎn)品,網(wǎng)絡(luò)安全策略得以有效分解。
在這些產(chǎn)品中網(wǎng)絡(luò)安全模塊的嵌入可以保障設(shè)備的長(zhǎng)久可用性;IOS軟件模塊化通過(guò)在最需要網(wǎng)絡(luò)可用性的環(huán)境中提供故障抑制和更快的故障恢復(fù)速度;設(shè)備級(jí)冗余性包括LAN交換機(jī)內(nèi)能夠防止交換機(jī)本身和相連網(wǎng)絡(luò)設(shè)備出現(xiàn)網(wǎng)絡(luò)故障或遭受攻擊,以保持連續(xù)網(wǎng)絡(luò)訪問(wèn)的各種機(jī)制……從而確保電力專網(wǎng)安全可靠。
另一層面,這樣復(fù)雜的安全體系如何架構(gòu)管理是個(gè)挑戰(zhàn)。SDM從管理角度使問(wèn)題迎刃而解。SDM是為基于思科IOS的路由器開發(fā)的一種直觀 Web 設(shè)備管理工具。它能夠通過(guò)智能向?qū)Ш?jiǎn)化路由器和安全配置,使客戶和思科合作伙伴不需要了解命令行界面 (CLI) 就能快速容易地部署配置和監(jiān)控思科路由器。
對(duì)于電力企業(yè)的基層信息管理人員,可以獲得在安全管理方面的便利,SDM智能向?qū)е笇?dǎo)用戶通過(guò)系統(tǒng)地配置 LAN、WLAN 和 WAN 接口、防火墻、入侵防御系統(tǒng) (IPS) 和IP Securtiy (IPSec) VPN 來(lái)逐步完成路由器和安全配置工作。思科SDM智能向?qū)軌蛞灾悄芊绞綑z測(cè)到錯(cuò)誤配置并提出修復(fù)建議,例如如果 WAN 接口由DHCP 定址,則允許動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 流量通過(guò)防火墻。對(duì)于熟悉IOS及其安全特性的網(wǎng)絡(luò)專家,SDM提供了能夠快速配置和精確調(diào)整路由器安全特性的先進(jìn)配置工具,以便網(wǎng)絡(luò)專家能夠先審核思科SDM生成的命令再提供路由器配置更改方案。
在電力企業(yè)的成本控制方面,SDM獨(dú)具價(jià)值。對(duì)于建立了系統(tǒng)網(wǎng)絡(luò)的電力企業(yè),思科SDM能夠通過(guò)與思科CNS配置引擎的集成以可擴(kuò)展的方式容易地部署路由器。思科SDM生成的思科IOS Software配置可以導(dǎo)入到思科CNS配置引擎中,然后以“餅干模子 (cookie cutter)”方式部署到數(shù)千臺(tái)的思科路由器。
堅(jiān)不可摧的Oracle數(shù)據(jù)庫(kù)的安全承諾
在電力行業(yè)軟件應(yīng)用層面,不同的業(yè)務(wù)需求對(duì)應(yīng)不同的軟件產(chǎn)品,而體系的核心大都靠Oracle 數(shù)據(jù)庫(kù)支撐,因而堅(jiān)不可摧的Oracle數(shù)據(jù)庫(kù)的安全承諾尤為重要。
Oracle數(shù)據(jù)庫(kù)的堅(jiān)不可摧包含以下因素:
1 堅(jiān)不可摧軟件的一個(gè)關(guān)鍵因素是對(duì)保證的獨(dú)立評(píng)定,即通過(guò)一系列正式地安全性評(píng)估,一個(gè)第三方組織可以證明我們的產(chǎn)品安全性聲明是有效的。對(duì)保證的獨(dú)立評(píng)定是堅(jiān)不可摧的關(guān)鍵因素,因?yàn)椋瑥陌踩缘慕嵌瘸霭l(fā),你如何建立自己的產(chǎn)品比你建立了何種產(chǎn)品更為重要,而且,只有當(dāng)你了解了“如何建立”,“何種產(chǎn)品”才是有效的。
2 堅(jiān)不可摧的第二個(gè)因素是對(duì)安全產(chǎn)品生命周期的承諾。保證是生成和維護(hù)生命周期的重要部分;實(shí)際上,為了建立安全性的正確性,你必須保證安全產(chǎn)品的開發(fā)過(guò)程是可重復(fù)的,從而可以保證在追加新的功能的同時(shí)沒有破化原有的安全性機(jī)制。
Oracle 的堅(jiān)不可摧承諾意味著在缺省模式下產(chǎn)品的安全性會(huì)日益增加,因此產(chǎn)品具有無(wú)限的可被接受的安全性,而系統(tǒng)管理員將會(huì)為此付出極小的附加操作。甚至被發(fā)現(xiàn)的,實(shí)際上是配置問(wèn)題的“薄弱環(huán)節(jié)”將成為導(dǎo)致開發(fā)變更的候選因素。在保證產(chǎn)品安全性問(wèn)題上,如果能自動(dòng)地完成的越多,系統(tǒng)管理員需要做的就越少。
世上沒有安全性的魔術(shù)子彈,但Oracle 數(shù)據(jù)庫(kù)為電力企業(yè)的信息體系提供了可靠的保障,它是一個(gè)長(zhǎng)期的承諾,它已經(jīng)在實(shí)施過(guò)程中,它將被擴(kuò)展到對(duì)每個(gè)Oracle 產(chǎn)品的相同的開發(fā)方法和保障評(píng)定中。今天,所有強(qiáng)烈關(guān)注安全性的電力企業(yè)都會(huì)把他們的數(shù)據(jù)庫(kù)運(yùn)行在Oracle 上。
安全是電力企業(yè)的生命線,信息化是承載電力企業(yè)未來(lái)發(fā)展的基礎(chǔ),只有二者有機(jī)結(jié)合,才會(huì)綻放絢麗的亮彩。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)