Contenu connexe
Similaire à Архитектура Cisco Smart Grid
Similaire à Архитектура Cisco Smart Grid (20)
Plus de Cisco Russia (20)
Архитектура Cisco Smart Grid
- 1. Архитектура
Cisco Smart Grid
Безопасность
инфраструктуры
энергоснабжения
Алексей Лукацкий,
менеджер по развитию бизнеса
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
- 2. Smart Grid
Сквозные сетевые архитектуры
Энерговыраба- Транзитные Распределяющие Службы и Конечные
тывающие операторы операторы операторы сбыта потребители
предприятия
010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010
Надежность, безопасность, соответствие стандартам
101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010
101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010
101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101
Центр Центр
управления обработки Здания
Сети передачи и данных клиентов
подстанции
Коммунальные (сети
Линии передачи
предприятия и BAN / HAN)
региональные электроэнергии
сети
Безопасность | Сетевое управление | Распределенный интеллект
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2
- 3. Проблемы безопасности
сети электроснабжения
Высочайшая важность инфраструктуры и
уникальные задачи
Масштаб, устаревшие устройства,
географическая распространенность, отсутствие
согласованного следования стандартам
Сегодня безопасность большей части систем
обеспечивается их недоступностью и
запутанностью
Системы весьма уязвимы для атак
Отсутствие независимого тестирования,
уникальные решения
Сеть электроснабжения отличается
от обычной ИТ-инфраструктуры
Основной приоритет - надежность
Необходимо разрабатывать как архитектуру
безопасности, так и план действий при
нарушении безопасности
Сбои системы управления могут приводить
к тяжелым последствиям
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
- 4. Подход Cisco к обеспечению
безопасности сетей энергоснабжения
Соответствие стандартам
Модернизация устаревших устройств
Архитектура для обеспечения
Обеспечение
надежности и отказоустойчивости доступности
целостности,
Следование оптимальным методикам конфиденци-
альности
Интеграция средств обеспечения ИБ
Применение опыта в сфере ЦОД
Создание
полномасштабной
системы обеспечения
безопасности
―Стандарты представляют собой
надежную основу, но сами по себе не
являются надежным средством борьбы с
Обеспечение соответствия
киберугрозами!‖
нормативным требованиям CIP
—Michael J. Assante, NERC VP/CSO
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
- 5. Обеспечение соответствия нормативным
требованиям
Реализация стандартов NERC CIP на подстанциях в центрах управления
Физическая безопасность Информационная Управление
безопасность безопасностью
Контроль доступа, видео, Авторизация, целостность,
Управление доступом,
реакция на инциденты сегментация
архитектурой, событиями
CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009
Критически Отчеты об
Управление Управление инцидентах и Планы
важные ИТ- Персонал Информ. Физическая
безопас- защитой планирование восстанов-
ресурсы и обучение безопасность безопасность ответных
ностью систем ления CCA
(CCA) действий
Подстанция Глобальная Центр управления
Управление видео
сеть Управление
безопасностью
Видеонаблюдение
Контроль
доступом к сети
Контроль доступа
ESP Управление
событиями
МСЭ/VPN ЦОД
Защищенная Гибкий
коммутация анализ
пакетов
Контроль
доступа
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
- 6. Помимо соответствия нормативным требованиям
Эшелонированная оборона
Люди, процесс, технологические решения
Политика безопасности Безопасная платформа: маршрутизация, Информированность
Мобильность коммутация, серверы Тренинги
Предотвращение утечки Средства обеспечения ИБ Информация о рисках
данных Авторизация Обнаружение Программы «Чемпион в
Контроль угроз Шифрование Мониторинг сфере ИБ»
Контроль доступа Защита от вторжений Сегментация Культура доверия
Управление политиками и устройствами
Обнаружение Защита
Мониторинг Изоляция
Мониторинг Управление
Корреляция Обеспечение
NERC/CIP
Центр
Под- Глоб. Корп. Домашн. Измер. Техн. Объекты
ЦОД управ-
станция сеть сеть сеть устройства спец. партнеров
ления
Защита уровня ядра
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
- 7. Пример
Обеспечение информационной безопасности
Подстанция Центр управления подстанцией Центр управления
корпоративной
Защищенная AP
вне помещений IP-трафик
инфраструктурой и ЦОД
Беспроводная Проводная • Сегментация
сеть или беспроводная • Контроль доступа LMS, EMS
• Шифрования
сеть • МСЭ Центр. упр-я
Прерыватели цепи, Защищенная AP
трансформаторы,
AAA, ACS,
в помещении
банки конденсаторов
ЦОД
и т. п.
Ноутбук инженера
или техника Глоб.
Корп.
сеть Периметр
сеть
закрытой
глоб. сети
Si
Ethernet Туннель
IPsec ДМЗ
Ноутбук
инженера
или техника
Защищенный
ПК Ноутбук инженера Интернет
или техника
ВОЛС
Периметр безопасности
Медь (NERC-CIP, ESP)
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
- 8. Пример
Система обеспечения физической безопасности
Подстанция Центр управления подстанцией ЦОД и центр управления
Cisco Security Cisco Physical
Cisco® VSM Manager Access Manager
IP Модуль и сервер для
подключения
хранения видео
IP-
камеры IP ВОЛС
Модуль
подключения
Коммутатор Маршру- Сеть
IP центра
ВОЛС ур. 2 тизатор IP-
управления
сеть
(WAN)
ВОЛС
PoE
IP Модуль IP
подключения
Ворота Модуль
подстанции считыва-
Шлюз управления теля LDAP
физическим Двери центра Active
доступом Cisco управления Directory
подстанцией
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
- 9. Согласованное обеспечение безопасности
Координация действий
Подготовка
и предотвращение Восстановление
Открытая
платформа
Ответные действия
Cisco
Обнаружение
решения
Принятие
Оценка
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9
- 10. Cisco Smart Grid
Набор услуг
Планирование Внедрение Эксплуатация
Услуги Услуга оценки Услуги по Услуги Техническая Оптимизация
консалтинга по архитектуры планированию и консалтинга по поддержка сети
архитектуре сети проектированию внедрению SmartNet
Архитектура
Connected Grid архитектуры сети Connected Grid • Управление
Оценка • Поддержка изменениями
Услуга вариантов оборудования
определения виртуализации Сеть объекта Удаленное
архитектуры ЦОД Региональная сеть • Поддержка управление
сети Глобальная сеть ПО и мониторинг
Оценка Сеть подстанции
Оценка эффективности Служебные сети Обучение
архитектуры ЦОД и ИТ- ЦОД
ЦОД
сетевым
инфраструктуры
технологиям
Безопасность
Оценка Анализ Консалтинговые Услуги Оптимизация Услуги Cisco
архитектуры соответствия услуги по защите консалтинга по системы для поддержки
безопасности требованиям сети внедрению
электроснаб-
защиты сети IPS
IT GRC – NERC комплексной
Оценка уровня – CIP жения системы защиты Услуга
защищенности сети
Услуги по оценке IntelliShield
Оценка энергоснабжения
Оценка готовности к Alert Manager
эффективности
защищенности развертыванию
системы
сетевых Trustsec
обеспечения и развертывание
устройств физической Trustsec
безопасности
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
- 11. Cisco Smart Grid
Действия по разработке политик и стандартов
Анализ политик
Стандарты обеспечения
совместимости
Безопасность
Потребители
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
- 12. История успеха
Сеть энергоснабжения Oncor
Задача
Перепроектирование архитектуры ЦОД для
поддержки развертывания интеллектуальных
счетчиков
Учет требований NERC-CIP в сфере
информационной безопасности и соответствия
нормативным требованиям
Решение
Решение на базе архитектуры Cisco Data Center
3.0 (консолидация, виртуализация, защита
данных)
Система обеспечения физической безопасности
на базе системы IP-видеонаблюдения
Защита сети подстанции с помощью
решения NAC
Результаты
Защищенное подключение интеллектуальных
счетчиков к ЦОД
Отказоустойчивая архитектура с возможностью как
локального, так и удаленного восстановления
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
- 13. Cisco обеспечивает безопасность
сетей электроснабжения
Целостность Масштабируемость
Совместимость Надежность
Физич. безопасность Отказоустойчивость
Информ. безопасность Открытость
Соответствие требованиям
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
- 14. Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
- 15. Безопасность сетей электроснабжения
Стандарты NERC и требования
CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009
INCIDENT
CRITICAL SECURITY PERSONNEL SYSTEMS RECOVERY
ELECTRONIC PHYSICAL REPORTING &
CYBER MANAGEMENT AND SECURITY PLANS FOR
SECURITY SECURITY RESPONSE
ASSETS CONTROLS TRAINING MANAGEMENT CCA
PLANNING
1. CRITICAL 1. CYBER 1. AWARENESS 1. ELECTRONIC 1. PLAN 1. TEST 1. CYBER 1. RECOVERY
ASSETS SECURITY SECURITY 2. PHYSICAL PROCEDURES SECURITY PLANS
POLICY 2. TRAINING PERIMETER ACCESS 2. PORTS & INCIDENT
2. CRITICAL CONTROLS SERVICES RESPONSE 2. EXERCISES
CYBER 2. LEADERSHIP 3. PERSONNEL 2. ELECTRONIC PLAN
ASSETS RISK ACCESS 3. MONITORING 3. SECURITY 3. CHANGE
3. EXCEPTIONS ASSESSMENT CONTROLS PHYSICAL PATCH 2. DOCUMEN- CONTROL
3. ANNUAL ACCESS MANAGEMENT TATION
REVIEW 4. INFORMATION 4. ACCESS 3. MONITORING 4. LOGGING 4. MALICIOUS 4. BACKUP &
PROTECTION ELECTRONIC PHYSICAL SOFTWARE RESTORE
4. ANNUAL ACCESS ACCESS PREVENTION
APPROVAL 5. ACCESS 5. ACCOUNT 5. TESTING
5. ACCESS LOG
CONTROL 4. CYBER MANAGEMENT BACKUP
RETENTION
VULNER- MEDIA
6. CHANGE ABILITY 6. MAINTENANCE 6. SECURITY
CONTROL ASSESSMENT & TESTING STATUS
MONITORING
5. DOCUMEN- 7. DISPOSAL OR
TATION REDEPLOY-
MENT
8. CYBER
VULNERABILITY
ASSESSMENT
9. DOCUMEN-
TATION
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15
- 16. Безопасность сетей электроснабжения
Решения Cisco в соответствии с требованиями NERC CIP
MPLS и VRF (CIP 002,
Надежный периметр на базе
сегментация CIP-трафика на
EVDO МСЭ IOS (CIP 005 R1)
уровне 2)
AMI/DA
C
IPVC
DO
900M
EV
Hz Ra
3G
dio
AMI/DA Backhaul AP
EVDO WAN Router MPLS WAN Router IDS обнаруживает Cisco MARS собирает
Cisco ISR 2811 Cisco ISR 2811
вредоносное ПО данные журналов со
Cisco IE3000 Switch
Point-to-Point
Routed Links
(CIP 007) всех сетевых устройств
Physical Security Perimeter (PSP)
(CIP 005 R3)
Electronic Security Perimeter (ESP) Badge Reader
Substation Segment 1
C
IP Relays
Substation Gateway Cisco IE3000 Switch
B Cisco Secure ACS
CIP Router
(IOS FW, IPS AIM)
контролирует доступ
Substation Gateway Substation Segment 2 приложений и
Substation
SCADA
PMU
Relays пользователей
DFR (CIP 003 R5)
Substation
Решения Cisco для MPLS with VRFs Transmission Control Center
контроля доступа (CIP 006,
физическая безопасность)
Cisco ACS
Резервное копирование
конфигураций/образов
Cisco NCM Cisco MARS
(CIP 009 R4)
Услуги Cisco для NERC CIP ASA Firewall
•Услуги по оценке уязвимости и проектированию сети EMS
в соответствии с NERC CIP (CIP 007 – R8)
•Учебный курс по защите сетевых устройств (CIP 004) SCADA
Control
Network
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
- 17. Пример
Архитектура безопасности SAFE
Контроль доступа к сети Защита основных механизмов сети Доступ в Интернет
Аутентификация и обеспечение выполнения политики Повышение уровня защищенности Защита электронной почты и интернет-трафика.
безопасности с помощью сетевых сервисов Cisco, устройств, сквозная защита уровня контроля МСЭ с учетом состояния сеансов. Предотвра-
основанных на данных об идентификации (IBNS). и управления в рамках всей ИТ- щение вторжений, глобальная корреляция.
Ролевая модель контроль доступа и контроль состояния Тонкая настройка контроля доступа.
инфраструктуры. Повышение доступности и
устройств с помощью Cisco NAC.
отказоустойчивости. Обнаружение и отражение угроз
Предотвращение вторжений, мониторинг
ЦОД Уровень доступа сети на базе всей ИТ-инфраструктуры для
Сервер данных обнаружения и отражения угроз.
системы
Средства обеспечения безопасности,
видеонаблюдения
встроенные в коммутаторы Catalyst
NAC Manager Защита уровня 2: макросы port security,
Уровень ядра динамический анализ ARP-трафика, IP
Source guard, анализ DHCP-трафика.
Сервер
Устройство NAC Интернет-периметр
Cisco ACS Server Cisco ASA
Шлюз голосовой
Интернет
связи/ SRST V Cisco IPS
Sensor
Unified Устройство
CallManager Устройство WSA Base
ESA
Повышенная доступность и Ядро MetroE Защита оконечных устройств
отказоустойчивость (управляется Защита настольных компьютеров от
Защищенные устройства и оператором)
совершенно новых атак, утечки данных и
архитектура с учетом требований
NAC вирусов (вирусы обнаруживаются с
высокой доступности обеспечивают NAC
оптимальный уровень доступности. Server помощью сигнатур).
Server
Резервирование на уровнях Система унифицированных
модулей и интерфейсов. коммуникаций
Поддержка обращения в службу
Система видеонаблюдения Cisco безопасности и экстренные службы,
Мониторинг всей территории для расширенная поддержка 911. Средства
предотвращения и обнаружения для совместной работы и проведения
инцидентов. конференций для планирования и
координации действий.
www.cisco.com/go/designzone
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17