Upload
cisco-russia
View
1.873
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1
Архитектура Cisco Smart Grid Безопасность инфраструктуры энергоснабжения
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1
Алексей Лукацкий,
менеджер по развитию бизнеса
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 2
Транзитные операторы
Распределяющие операторы
Конечные потребители
010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010
101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010
101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010
101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101
Надежность, безопасность, соответствие стандартам
Службы и операторы сбыта
Smart Grid Сквозные сетевые архитектуры
Здания
клиентов
(сети
BAN / HAN)
Центр
управления
Безопасность | Сетевое управление | Распределенный интеллект
Сети передачи и
подстанции
Коммунальные
предприятия и
региональные
сети
Линии передачи
электроэнергии
Центр
обработки
данных
Энерговыраба-тывающие предприятия
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 3
Проблемы безопасности сети электроснабжения
Высочайшая важность инфраструктуры и уникальные задачи
Масштаб, устаревшие устройства, географическая распространенность, отсутствие согласованного следования стандартам
Сегодня безопасность большей части систем обеспечивается их недоступностью и запутанностью
Системы весьма уязвимы для атак
Отсутствие независимого тестирования, уникальные решения
Сеть электроснабжения отличается от обычной ИТ-инфраструктуры
Основной приоритет - надежность
Необходимо разрабатывать как архитектуру безопасности, так и план действий при нарушении безопасности
Сбои системы управления могут приводить к тяжелым последствиям
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 4
Подход Cisco к обеспечению безопасности сетей энергоснабжения
Соответствие стандартам
Модернизация устаревших устройств
Архитектура для обеспечения
надежности и отказоустойчивости
Следование оптимальным методикам
Интеграция средств обеспечения ИБ
Применение опыта в сфере ЦОД
―Стандарты представляют собой
надежную основу, но сами по себе не
являются надежным средством борьбы с
киберугрозами!‖
—Michael J. Assante, NERC VP/CSO
Обеспечение соответствия
нормативным требованиям CIP
Создание
полномасштабной
системы обеспечения
безопасности
Обеспечение
доступности
целостности,
конфиденци-
альности
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 5
Обеспечение соответствия нормативным требованиям Реализация стандартов NERC CIP на подстанциях в центрах управления
Физическая безопасность
Контроль доступа, видео,
реакция на инциденты
Информационная
безопасность
Авторизация, целостность,
сегментация
Управление
безопасностью
Управление доступом,
архитектурой, событиями
Критически
важные ИТ-
ресурсы
(CCA)
Управление
безопас-
ностью
Персонал
и обучение
Информ.
безопасность
Физическая
безопасность
Управление
защитой
систем
Отчеты об
инцидентах и
планирование
ответных
действий
Планы
восстанов-
ления CCA
CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009
Глобальная
сеть Управление видео
МСЭ/VPN
Видеонаблюдение
Контроль доступа
ESP
Контроль
доступа
Защищенная
коммутация
Гибкий
анализ
пакетов
Подстанция
Контроль
доступом к сети
Управление
событиями
Управление
безопасностью
ЦОД
Центр управления
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 6
Помимо соответствия нормативным требованиям Эшелонированная оборона
Люди, процесс, технологические решения
Политика безопасности
Мобильность
Предотвращение утечки
данных
Контроль угроз
Контроль доступа
Средства обеспечения ИБ
Авторизация
Шифрование
Защита от вторжений
Безопасная платформа: маршрутизация,
коммутация, серверы
Обнаружение
Мониторинг
Сегментация
Информированность
Тренинги
Информация о рисках
Программы «Чемпион в
сфере ИБ»
Культура доверия
Защита уровня ядра
ЦОД Под-
станция
Глоб.
сеть
Центр
управ-
ления
Корп.
сеть
Домашн.
сеть
Измер.
устройства
Техн.
спец.
Объекты
партнеров
NERC/CIP
Обнаружение Мониторинг
Корреляция
Защита Изоляция
Обеспечение Мониторинг Управление
Управление политиками и устройствами
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 7
Центр управления
корпоративной
инфраструктурой и ЦОД
Центр управления подстанцией Подстанция
Пример Обеспечение информационной безопасности
Туннель IPsec
IP-трафик • Сегментация • Контроль доступа • Шифрования • МСЭ
Ethernet
AAA, ACS,
Беспроводная
сеть
Ноутбук инженера или техника
Защищенная AP в помещении
Проводная
или беспроводная
сеть
Ноутбук инженера или техника
Ноутбук инженера
или техника
Защищенный ПК
Защищенная AP вне помещений
ВОЛС
Медь
Глоб. сеть
Прерыватели цепи,
трансформаторы,
банки конденсаторов
и т. п.
Периметр безопасности (NERC-CIP, ESP)
Периметр закрытой глоб. сети
Корп. сеть
ДМЗ
Интернет
ЦОД
LMS, EMS
Центр. упр-я
SiSi
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 8
ЦОД и центр управления Центр управления подстанцией Подстанция
Пример Система обеспечения физической безопасности
Шлюз управления физическим
доступом Cisco
Коммутатор ур. 2 IP-
сеть (WAN)
LDAP Active
Directory
ВОЛС
Сеть центра
управления
Двери центра управления подстанцией
Ворота подстанции
Маршру- тизатор
PoE
Cisco® VSM и сервер для
хранения видео
IP
Cisco Physical Access Manager
IP- камеры
Cisco Security Manager
Модуль считыва-
теля
ВОЛС
ВОЛС
IP
IP
IP
IP
Модуль подключения
Модуль подключения
Модуль подключения
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 9
Согласованное обеспечение безопасности Координация действий
Об
на
руж
ени
е
Оц
енка
Пр
иняти
е
ре
ше
ни
я
Отв
етн
ые
де
йств
ия
Восстановление Подготовка
и предотвращение
Открытая
платформа
Cisco
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 10
Планирование Внедрение Эксплуатация
Cisco Smart Grid Набор услуг
Архи
тект
ура
Б
езо
пасность
Услуги
консалтинга по
архитектуре
Connected Grid
Услуга
определения
архитектуры
сети
Оценка
архитектуры
ЦОД
Оценка
архитектуры
безопасности
Оценка уровня
защищенности
Оценка
защищенности
сетевых
устройств
Услуга оценки
архитектуры
сети
Оценка
вариантов
виртуализации
ЦОД
Оценка
эффективности
ЦОД и ИТ-
инфраструктуры
Анализ
соответствия
требованиям
IT GRC – NERC
– CIP
Оценка
эффективности
системы
обеспечения
физической
безопасности
Услуги по
планированию и
проектированию
архитектуры сети
Сеть объекта
Региональная сеть
Глобальная сеть
Сеть подстанции
Служебные сети
ЦОД
Услуги
консалтинга по
внедрению
Connected Grid
Услуги
консалтинга по
внедрению
комплексной
системы защиты
сети
энергоснабжения
Оптимизация
сети
• Управление
изменениями
Удаленное
управление
и мониторинг
Обучение
сетевым
технологиям
Услуги Cisco
для поддержки
IPS
Услуга
IntelliShield
Alert Manager
Техническая
поддержка
SmartNet
• Поддержка
оборудования
• Поддержка
ПО
Оптимизация
системы
защиты сети
Консалтинговые
услуги по защите
сети
электроснаб-
жения
Услуги по оценке
готовности к
развертыванию
Trustsec
и развертывание
Trustsec
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 11
Cisco Smart Grid Действия по разработке политик и стандартов
Анализ политик
Стандарты обеспечения совместимости
Безопасность
Потребители
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 12
История успеха Сеть энергоснабжения Oncor
Задача Перепроектирование архитектуры ЦОД для
поддержки развертывания интеллектуальных счетчиков
Учет требований NERC-CIP в сфере информационной безопасности и соответствия нормативным требованиям
Решение Решение на базе архитектуры Cisco Data Center
3.0 (консолидация, виртуализация, защита данных)
Система обеспечения физической безопасности на базе системы IP-видеонаблюдения
Защита сети подстанции с помощью решения NAC
Результаты Защищенное подключение интеллектуальных
счетчиков к ЦОД
Отказоустойчивая архитектура с возможностью как локального, так и удаленного восстановления
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 13
Cisco обеспечивает безопасность сетей электроснабжения
Соответствие требованиям
Целостность
Совместимость
Физич. безопасность
Информ. безопасность
Масштабируемость
Надежность
Отказоустойчивость
Открытость
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 14
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 15
CRITICAL CYBER ASSETS
SECURITY MANAGEMENT CONTROLS
PERSONNEL AND
TRAINING
ELECTRONIC SECURITY
PHYSICAL SECURITY
SYSTEMS SECURITY MANAGEMENT
INCIDENT REPORTING & RESPONSE PLANNING
RECOVERY PLANS FOR CCA
CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009
1. PLAN
2. PHYSICAL ACCESS CONTROLS
3. MONITORING PHYSICAL ACCESS
4. LOGGING PHYSICAL ACCESS
5. ACCESS LOG RETENTION
6. MAINTENANCE & TESTING
1. TEST
PROCEDURES
2. PORTS & SERVICES
3. SECURITY PATCH MANAGEMENT
4. MALICIOUS SOFTWARE PREVENTION
5. ACCOUNT MANAGEMENT
6. SECURITY STATUS MONITORING
7. DISPOSAL OR REDEPLOY-MENT
8. CYBER VULNERABILITY ASSESSMENT
9. DOCUMEN-TATION
1. CYBER SECURITY INCIDENT RESPONSE PLAN
2. DOCUMEN-TATION
1. RECOVERY PLANS
2. EXERCISES
3. CHANGE CONTROL
4. BACKUP & RESTORE
5. TESTING BACKUP MEDIA
1. CRITICAL ASSETS
2. CRITICAL CYBER ASSETS
3. ANNUAL REVIEW
4. ANNUAL APPROVAL
1. ELECTRONIC SECURITY PERIMETER
2. ELECTRONIC ACCESS CONTROLS
3. MONITORING ELECTRONIC ACCESS
4. CYBER VULNER-ABILITY ASSESSMENT
5. DOCUMEN-TATION
1. AWARENESS
2. TRAINING
3. PERSONNEL RISK ASSESSMENT
4. ACCESS
1. CYBER SECURITY POLICY
2. LEADERSHIP
3. EXCEPTIONS
4. INFORMATION PROTECTION
5. ACCESS CONTROL
6. CHANGE CONTROL
Безопасность сетей электроснабжения Стандарты NERC и требования
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 16
Transmission Control Center
ASA Firewall
SCADAControl
Network
Cisco ACS
EMS
Cisco MARSCisco NCM
Substation
MPLS with VRFs
AMI/DA EVDO
SubstationSCADA
EVDO WAN Router
Cisco ISR 2811
3G
EV
DO
CIP Router
(IOS FW, IPS AIM)
AMI/DA Backhaul AP
C
IPVC
900M
Hz R
adio
B
CBadge ReaderElectronic Security Perimeter (ESP)
Physical Security Perimeter (PSP)
MPLS WAN Router
Cisco ISR 2811
Cisco IE3000 SwitchPoint-to-Point
Routed Links
IP Relays
PMU
Substation Segment 1
DFR
Relays
Cisco IE3000 SwitchSubstation Gateway
Substation Gateway Substation Segment 2
Решения Cisco для
контроля доступа (CIP 006,
физическая безопасность)
MPLS и VRF (CIP 002,
сегментация CIP-трафика на
уровне 2)
Надежный периметр на базе
МСЭ IOS (CIP 005 R1)
Cisco MARS собирает
данные журналов со
всех сетевых устройств
(CIP 005 R3)
Услуги Cisco для NERC CIP •Услуги по оценке уязвимости и проектированию сети в соответствии с NERC CIP (CIP 007 – R8) •Учебный курс по защите сетевых устройств (CIP 004)
Cisco Secure ACS
контролирует доступ
приложений и
пользователей
(CIP 003 R5)
IDS обнаруживает
вредоносное ПО
(CIP 007)
Резервное копирование
конфигураций/образов
(CIP 009 R4)
Безопасность сетей электроснабжения Решения Cisco в соответствии с требованиями NERC CIP
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 17
Пример Архитектура безопасности SAFE
www.cisco.com/go/designzone
Защита основных механизмов сети
Повышение уровня защищенности
устройств, сквозная защита уровня контроля
и управления в рамках всей ИТ-
инфраструктуры. Повышение доступности и
отказоустойчивости.
Средства обеспечения безопасности,
встроенные в коммутаторы Catalyst
Защита уровня 2: макросы port security,
динамический анализ ARP-трафика, IP
Source guard, анализ DHCP-трафика.
Защита оконечных устройств
Защита настольных компьютеров от
совершенно новых атак, утечки данных и
вирусов (вирусы обнаруживаются с
помощью сигнатур).
Повышенная доступность и
отказоустойчивость
Защищенные устройства и
архитектура с учетом требований
высокой доступности обеспечивают
оптимальный уровень доступности.
Резервирование на уровнях
модулей и интерфейсов.
Доступ в Интернет Защита электронной почты и интернет-трафика.
МСЭ с учетом состояния сеансов. Предотвра-
щение вторжений, глобальная корреляция.
Тонкая настройка контроля доступа.
Обнаружение и отражение угроз
Предотвращение вторжений, мониторинг
сети на базе всей ИТ-инфраструктуры для
обнаружения и отражения угроз.
Контроль доступа к сети Аутентификация и обеспечение выполнения политики
безопасности с помощью сетевых сервисов Cisco,
основанных на данных об идентификации (IBNS).
Ролевая модель контроль доступа и контроль состояния
устройств с помощью Cisco NAC.
Система унифицированных
коммуникаций
Поддержка обращения в службу
безопасности и экстренные службы,
расширенная поддержка 911. Средства
для совместной работы и проведения
конференций для планирования и
координации действий.
Система видеонаблюдения Cisco
Мониторинг всей территории для
предотвращения и обнаружения
инцидентов.
ЦОД
VVVV
Шлюз голосовой
связи/ SRST
Сервер данных
системы
видеонаблюдения
Устройство
Cisco ACS
NAC Manager
Unified
CallManager
Уровень доступа
Уровень ядра
Устройство WSA
Cisco ASA
Устройство
ESA
Sensor
Base
Интернет
NAC
Server
NAC
Server
Ядро MetroE
(управляется
оператором)
Cisco IPS
Интернет-периметр Сервер
NAC
Server