• Like
Архитектура Cisco Smart Grid
Upcoming SlideShare
Loading in...5
×

Архитектура Cisco Smart Grid

  • 1,814 views
Uploaded on

 

More in: Technology , Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,814
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
68
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Архитектура Cisco Smart Grid Безопасность инфраструктуры энергоснабжения Алексей Лукацкий, менеджер по развитию бизнесаPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
  • 2. Smart Grid Сквозные сетевые архитектуры Энерговыраба- Транзитные Распределяющие Службы и Конечные тывающие операторы операторы операторы сбыта потребители предприятия010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010 Надежность, безопасность, соответствие стандартам101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101 Центр Центр управления обработки Здания Сети передачи и данных клиентов подстанции Коммунальные (сети Линии передачи предприятия и BAN / HAN) региональные электроэнергии сети Безопасность | Сетевое управление | Распределенный интеллект Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2
  • 3. Проблемы безопасности сети электроснабжения  Высочайшая важность инфраструктуры и уникальные задачи Масштаб, устаревшие устройства, географическая распространенность, отсутствие согласованного следования стандартам  Сегодня безопасность большей части систем обеспечивается их недоступностью и запутанностью  Системы весьма уязвимы для атак Отсутствие независимого тестирования, уникальные решения  Сеть электроснабжения отличается от обычной ИТ-инфраструктуры Основной приоритет - надежность Необходимо разрабатывать как архитектуру безопасности, так и план действий при нарушении безопасности Сбои системы управления могут приводить к тяжелым последствиямPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
  • 4. Подход Cisco к обеспечению безопасности сетей энергоснабжения  Соответствие стандартам  Модернизация устаревших устройств  Архитектура для обеспечения Обеспечение надежности и отказоустойчивости доступности целостности,  Следование оптимальным методикам конфиденци- альности  Интеграция средств обеспечения ИБ  Применение опыта в сфере ЦОД Создание полномасштабной системы обеспечения безопасности ―Стандарты представляют собой надежную основу, но сами по себе не являются надежным средством борьбы с Обеспечение соответствия киберугрозами!‖ нормативным требованиям CIP —Michael J. Assante, NERC VP/CSOPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
  • 5. Обеспечение соответствия нормативнымтребованиямРеализация стандартов NERC CIP на подстанциях в центрах управления Физическая безопасность Информационная Управление безопасность безопасностью Контроль доступа, видео, Авторизация, целостность, Управление доступом, реакция на инциденты сегментация архитектурой, событиями CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009 Критически Отчеты об Управление Управление инцидентах и Планы важные ИТ- Персонал Информ. Физическая безопас- защитой планирование восстанов- ресурсы и обучение безопасность безопасность ответных ностью систем ления CCA (CCA) действий Подстанция Глобальная Центр управления Управление видео сеть Управление безопасностью Видеонаблюдение Контроль доступом к сети Контроль доступа ESP Управление событиями МСЭ/VPN ЦОД Защищенная Гибкий коммутация анализ пакетов Контроль доступа Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
  • 6. Помимо соответствия нормативным требованиямЭшелонированная оборона Люди, процесс, технологические решения Политика безопасности Безопасная платформа: маршрутизация, Информированность  Мобильность коммутация, серверы  Тренинги  Предотвращение утечки Средства обеспечения ИБ  Информация о рисках данных  Авторизация  Обнаружение  Программы «Чемпион в  Контроль угроз  Шифрование  Мониторинг сфере ИБ»  Контроль доступа  Защита от вторжений  Сегментация  Культура доверия Управление политиками и устройствами Обнаружение Защита Мониторинг Изоляция Мониторинг Управление Корреляция Обеспечение NERC/CIP Центр Под- Глоб. Корп. Домашн. Измер. Техн. Объекты ЦОД управ- станция сеть сеть сеть устройства спец. партнеров ления Защита уровня ядра Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
  • 7. Пример Обеспечение информационной безопасности Подстанция Центр управления подстанцией Центр управления корпоративной Защищенная AP вне помещений IP-трафик инфраструктурой и ЦОД Беспроводная Проводная • Сегментация сеть или беспроводная • Контроль доступа LMS, EMS • Шифрования сеть • МСЭ Центр. упр-яПрерыватели цепи, Защищенная APтрансформаторы, AAA, ACS, в помещениибанки конденсаторов ЦОДи т. п. Ноутбук инженера или техника Глоб. Корп. сеть Периметр сеть закрытой глоб. сети Si Ethernet Туннель IPsec ДМЗ Ноутбук инженера или техника Защищенный ПК Ноутбук инженера Интернет или техника ВОЛС Периметр безопасности Медь (NERC-CIP, ESP) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
  • 8. ПримерСистема обеспечения физической безопасности Подстанция Центр управления подстанцией ЦОД и центр управления Cisco Security Cisco Physical Cisco® VSM Manager Access Manager IP Модуль и сервер для подключения хранения видео IP-камеры IP ВОЛС Модуль подключения Коммутатор Маршру- Сеть IP центра ВОЛС ур. 2 тизатор IP- управления сеть (WAN) ВОЛС PoE IP Модуль IP подключения Ворота Модуль подстанции считыва- Шлюз управления теля LDAP физическим Двери центра Active доступом Cisco управления Directory подстанциейPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
  • 9. Согласованное обеспечение безопасностиКоординация действийПодготовкаи предотвращение Восстановление Открытая платформа Ответные действия Cisco Обнаружение решения Принятие ОценкаPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9
  • 10. Cisco Smart Grid Набор услуг Планирование Внедрение Эксплуатация  Услуги  Услуга оценки  Услуги по  Услуги  Техническая  Оптимизация консалтинга по архитектуры планированию и консалтинга по поддержка сети архитектуре сети проектированию внедрению SmartNetАрхитектура Connected Grid архитектуры сети Connected Grid • Управление  Оценка • Поддержка изменениями  Услуга вариантов оборудования определения виртуализации Сеть объекта  Удаленное архитектуры ЦОД Региональная сеть • Поддержка управление сети Глобальная сеть ПО и мониторинг  Оценка Сеть подстанции  Оценка эффективности Служебные сети  Обучение архитектуры ЦОД и ИТ- ЦОД ЦОД сетевым инфраструктуры технологиямБезопасность  Оценка  Анализ  Консалтинговые  Услуги  Оптимизация  Услуги Cisco архитектуры соответствия услуги по защите консалтинга по системы для поддержки безопасности требованиям сети внедрению электроснаб- защиты сети IPS IT GRC – NERC комплексной  Оценка уровня – CIP жения системы защиты  Услуга защищенности сети  Услуги по оценке IntelliShield  Оценка энергоснабжения  Оценка готовности к Alert Manager эффективности защищенности развертыванию системы сетевых Trustsec обеспечения и развертывание устройств физической Trustsec безопасности Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
  • 11. Cisco Smart Grid Действия по разработке политик и стандартов  Анализ политик  Стандарты обеспечения совместимости  Безопасность  ПотребителиPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
  • 12. История успеха Сеть энергоснабжения Oncor Задача  Перепроектирование архитектуры ЦОД для поддержки развертывания интеллектуальных счетчиков  Учет требований NERC-CIP в сфере информационной безопасности и соответствия нормативным требованиям Решение  Решение на базе архитектуры Cisco Data Center 3.0 (консолидация, виртуализация, защита данных)  Система обеспечения физической безопасности на базе системы IP-видеонаблюдения  Защита сети подстанции с помощью решения NAC Результаты  Защищенное подключение интеллектуальных счетчиков к ЦОД  Отказоустойчивая архитектура с возможностью как локального, так и удаленного восстановленияPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
  • 13. Cisco обеспечивает безопасность сетей электроснабжения Целостность Масштабируемость Совместимость Надежность Физич. безопасность Отказоустойчивость Информ. безопасность Открытость Соответствие требованиямPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
  • 14. Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
  • 15. Безопасность сетей электроснабжения Стандарты NERC и требованияCIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009 INCIDENT CRITICAL SECURITY PERSONNEL SYSTEMS RECOVERY ELECTRONIC PHYSICAL REPORTING & CYBER MANAGEMENT AND SECURITY PLANS FOR SECURITY SECURITY RESPONSE ASSETS CONTROLS TRAINING MANAGEMENT CCA PLANNING 1. CRITICAL 1. CYBER 1. AWARENESS 1. ELECTRONIC 1. PLAN 1. TEST 1. CYBER 1. RECOVERY ASSETS SECURITY SECURITY 2. PHYSICAL PROCEDURES SECURITY PLANS POLICY 2. TRAINING PERIMETER ACCESS 2. PORTS & INCIDENT 2. CRITICAL CONTROLS SERVICES RESPONSE 2. EXERCISES CYBER 2. LEADERSHIP 3. PERSONNEL 2. ELECTRONIC PLAN ASSETS RISK ACCESS 3. MONITORING 3. SECURITY 3. CHANGE 3. EXCEPTIONS ASSESSMENT CONTROLS PHYSICAL PATCH 2. DOCUMEN- CONTROL 3. ANNUAL ACCESS MANAGEMENT TATION REVIEW 4. INFORMATION 4. ACCESS 3. MONITORING 4. LOGGING 4. MALICIOUS 4. BACKUP & PROTECTION ELECTRONIC PHYSICAL SOFTWARE RESTORE 4. ANNUAL ACCESS ACCESS PREVENTION APPROVAL 5. ACCESS 5. ACCOUNT 5. TESTING 5. ACCESS LOG CONTROL 4. CYBER MANAGEMENT BACKUP RETENTION VULNER- MEDIA 6. CHANGE ABILITY 6. MAINTENANCE 6. SECURITY CONTROL ASSESSMENT & TESTING STATUS MONITORING 5. DOCUMEN- 7. DISPOSAL OR TATION REDEPLOY- MENT 8. CYBER VULNERABILITY ASSESSMENT 9. DOCUMEN- TATION Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15
  • 16. Безопасность сетей электроснабжения Решения Cisco в соответствии с требованиями NERC CIP MPLS и VRF (CIP 002, Надежный периметр на базе сегментация CIP-трафика на EVDO МСЭ IOS (CIP 005 R1) уровне 2) AMI/DA C IPVC DO 900M EV Hz Ra 3G dio AMI/DA Backhaul AP EVDO WAN Router MPLS WAN Router IDS обнаруживает Cisco MARS собирает Cisco ISR 2811 Cisco ISR 2811 вредоносное ПО данные журналов со Cisco IE3000 Switch Point-to-Point Routed Links (CIP 007) всех сетевых устройств Physical Security Perimeter (PSP) (CIP 005 R3) Electronic Security Perimeter (ESP) Badge Reader Substation Segment 1 C IP Relays Substation Gateway Cisco IE3000 Switch B Cisco Secure ACS CIP Router (IOS FW, IPS AIM) контролирует доступ Substation Gateway Substation Segment 2 приложений и Substation SCADA PMU Relays пользователей DFR (CIP 003 R5) SubstationРешения Cisco для MPLS with VRFs Transmission Control Centerконтроля доступа (CIP 006,физическая безопасность) Cisco ACS Резервное копирование конфигураций/образов Cisco NCM Cisco MARS (CIP 009 R4) Услуги Cisco для NERC CIP ASA Firewall •Услуги по оценке уязвимости и проектированию сети EMS в соответствии с NERC CIP (CIP 007 – R8) •Учебный курс по защите сетевых устройств (CIP 004) SCADA Control Network Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
  • 17. Пример Архитектура безопасности SAFE Контроль доступа к сети Защита основных механизмов сети Доступ в Интернет Аутентификация и обеспечение выполнения политики Повышение уровня защищенности Защита электронной почты и интернет-трафика. безопасности с помощью сетевых сервисов Cisco, устройств, сквозная защита уровня контроля МСЭ с учетом состояния сеансов. Предотвра- основанных на данных об идентификации (IBNS). и управления в рамках всей ИТ- щение вторжений, глобальная корреляция. Ролевая модель контроль доступа и контроль состояния Тонкая настройка контроля доступа. инфраструктуры. Повышение доступности и устройств с помощью Cisco NAC. отказоустойчивости. Обнаружение и отражение угроз Предотвращение вторжений, мониторинг ЦОД Уровень доступа сети на базе всей ИТ-инфраструктуры для Сервер данных обнаружения и отражения угроз. системы Средства обеспечения безопасности, видеонаблюдения встроенные в коммутаторы Catalyst NAC Manager Защита уровня 2: макросы port security, Уровень ядра динамический анализ ARP-трафика, IP Source guard, анализ DHCP-трафика. Сервер Устройство NAC Интернет-периметр Cisco ACS Server Cisco ASA Шлюз голосовой Интернет связи/ SRST V Cisco IPS Sensor Unified Устройство CallManager Устройство WSA Base ESA Повышенная доступность и Ядро MetroE Защита оконечных устройств отказоустойчивость (управляется Защита настольных компьютеров от Защищенные устройства и оператором) совершенно новых атак, утечки данных и архитектура с учетом требований NAC вирусов (вирусы обнаруживаются с высокой доступности обеспечивают NAC оптимальный уровень доступности. Server помощью сигнатур). Server Резервирование на уровнях Система унифицированных модулей и интерфейсов. коммуникаций Поддержка обращения в службу Система видеонаблюдения Cisco безопасности и экстренные службы, Мониторинг всей территории для расширенная поддержка 911. Средства предотвращения и обнаружения для совместной работы и проведения инцидентов. конференций для планирования и координации действий. www.cisco.com/go/designzonePresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17