Архитектура Cisco Smart Grid

© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1

Архитектура Cisco Smart Grid Безопасность инфраструктуры энергоснабжения


Алексей Лукацкий,

менеджер по развитию бизнеса


Транзитные операторы

Распределяющие операторы

Конечные потребители

010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010

101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010

101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010

101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101

Надежность, безопасность, соответствие стандартам

Службы и операторы сбыта

Smart Grid Сквозные сетевые архитектуры

Здания

клиентов

(сети

BAN / HAN)

Центр

управления

Безопасность | Сетевое управление | Распределенный интеллект

Сети передачи и

подстанции

Коммунальные

предприятия и

региональные

сети

Линии передачи

электроэнергии

Центр

обработки

данных

Энерговыраба-тывающие предприятия


Проблемы безопасности сети электроснабжения

Высочайшая важность инфраструктуры и уникальные задачи

Масштаб, устаревшие устройства, географическая распространенность, отсутствие согласованного следования стандартам

Сегодня безопасность большей части систем обеспечивается их недоступностью и запутанностью

Системы весьма уязвимы для атак

Отсутствие независимого тестирования, уникальные решения

Сеть электроснабжения отличается от обычной ИТ-инфраструктуры

Основной приоритет - надежность

Необходимо разрабатывать как архитектуру безопасности, так и план действий при нарушении безопасности

Сбои системы управления могут приводить к тяжелым последствиям


Подход Cisco к обеспечению безопасности сетей энергоснабжения

Соответствие стандартам

Модернизация устаревших устройств

Архитектура для обеспечения

надежности и отказоустойчивости

Следование оптимальным методикам

Интеграция средств обеспечения ИБ

Применение опыта в сфере ЦОД

―Стандарты представляют собой

надежную основу, но сами по себе не

являются надежным средством борьбы с

киберугрозами!‖

—Michael J. Assante, NERC VP/CSO

Обеспечение соответствия

нормативным требованиям CIP

Создание

полномасштабной

системы обеспечения

безопасности

Обеспечение

доступности

целостности,

конфиденци-

альности


Обеспечение соответствия нормативным требованиям Реализация стандартов NERC CIP на подстанциях в центрах управления

Физическая безопасность

Контроль доступа, видео,

реакция на инциденты

Информационная

безопасность

Авторизация, целостность,

сегментация

Управление

безопасностью

Управление доступом,

архитектурой, событиями

Критически

важные ИТ-

ресурсы

(CCA)


безопас-

ностью

Персонал

и обучение

Информ.


Физическая



защитой

систем

Отчеты об

инцидентах и

планирование

ответных

действий

Планы

восстанов-

ления CCA

CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009

Глобальная

сеть Управление видео

МСЭ/VPN

Видеонаблюдение

Контроль доступа

ESP

Контроль

доступа

Защищенная

коммутация

Гибкий

анализ

пакетов

Подстанция

Контроль

доступом к сети


событиями


безопасностью

ЦОД

Центр управления


Помимо соответствия нормативным требованиям Эшелонированная оборона

Люди, процесс, технологические решения

Политика безопасности

Мобильность

Предотвращение утечки

данных

Контроль угроз

Контроль доступа

Средства обеспечения ИБ

Авторизация

Шифрование

Защита от вторжений

Безопасная платформа: маршрутизация,

коммутация, серверы

Обнаружение

Мониторинг

Сегментация

Информированность

Тренинги

Информация о рисках

Программы «Чемпион в

сфере ИБ»

Культура доверия

Защита уровня ядра

ЦОД Под-

станция

Глоб.

сеть

Центр

управ-

ления

Корп.

сеть

Домашн.

сеть

Измер.

устройства

Техн.

спец.

Объекты

партнеров

NERC/CIP

Обнаружение Мониторинг

Корреляция

Защита Изоляция

Обеспечение Мониторинг Управление

Управление политиками и устройствами


Центр управления

корпоративной

инфраструктурой и ЦОД

Центр управления подстанцией Подстанция

Пример Обеспечение информационной безопасности

Туннель IPsec

IP-трафик • Сегментация • Контроль доступа • Шифрования • МСЭ

Ethernet

AAA, ACS,

Беспроводная

сеть

Ноутбук инженера или техника

Защищенная AP в помещении

Проводная

или беспроводная

сеть

Ноутбук инженера или техника

Ноутбук инженера

или техника

Защищенный ПК

Защищенная AP вне помещений

ВОЛС

Медь

Глоб. сеть

Прерыватели цепи,

трансформаторы,

банки конденсаторов

и т. п.

Периметр безопасности (NERC-CIP, ESP)

Периметр закрытой глоб. сети

Корп. сеть

ДМЗ

Интернет

ЦОД

LMS, EMS

Центр. упр-я

SiSi


ЦОД и центр управления Центр управления подстанцией Подстанция

Пример Система обеспечения физической безопасности

Шлюз управления физическим

доступом Cisco

Коммутатор ур. 2 IP-

сеть (WAN)

LDAP Active

Directory

ВОЛС

Сеть центра

управления

Двери центра управления подстанцией

Ворота подстанции

Маршру- тизатор

PoE

Cisco® VSM и сервер для

хранения видео

IP

Cisco Physical Access Manager

IP- камеры

Cisco Security Manager

Модуль считыва-

теля

ВОЛС

ВОЛС

IP

IP

IP

IP

Модуль подключения




Согласованное обеспечение безопасности Координация действий

Об

на

руж

ени

е

Оц

енка

Пр

иняти

е

ре

ше

ни

я

Отв

етн

ые

де

йств

ия

Восстановление Подготовка

и предотвращение

Открытая

платформа

Cisco


Планирование Внедрение Эксплуатация

Cisco Smart Grid Набор услуг

Архи

тект

ура

Б

езо

пасность

Услуги

консалтинга по

архитектуре

Connected Grid

Услуга

определения

архитектуры

сети

Оценка


ЦОД

Оценка



Оценка уровня

защищенности

Оценка

защищенности

сетевых

устройств

Услуга оценки


сети

Оценка

вариантов

виртуализации

ЦОД

Оценка

эффективности

ЦОД и ИТ-

инфраструктуры

Анализ

соответствия

требованиям

IT GRC – NERC

– CIP

Оценка

эффективности

системы

обеспечения

физической


Услуги по

планированию и

проектированию

архитектуры сети

Сеть объекта

Региональная сеть

Глобальная сеть

Сеть подстанции

Служебные сети

ЦОД

Услуги


внедрению

Connected Grid

Услуги


внедрению

комплексной

системы защиты

сети

энергоснабжения

Оптимизация

сети

• Управление

изменениями

Удаленное

управление

и мониторинг

Обучение

сетевым

технологиям

Услуги Cisco

для поддержки

IPS

Услуга

IntelliShield

Alert Manager

Техническая

поддержка

SmartNet

• Поддержка

оборудования

• Поддержка

ПО

Оптимизация

системы

защиты сети

Консалтинговые

услуги по защите

сети

электроснаб-

жения

Услуги по оценке

готовности к

развертыванию

Trustsec

и развертывание

Trustsec


Cisco Smart Grid Действия по разработке политик и стандартов

Анализ политик

Стандарты обеспечения совместимости

Безопасность

Потребители


История успеха Сеть энергоснабжения Oncor

Задача Перепроектирование архитектуры ЦОД для

поддержки развертывания интеллектуальных счетчиков

Учет требований NERC-CIP в сфере информационной безопасности и соответствия нормативным требованиям

Решение Решение на базе архитектуры Cisco Data Center

3.0 (консолидация, виртуализация, защита данных)

Система обеспечения физической безопасности на базе системы IP-видеонаблюдения

Защита сети подстанции с помощью решения NAC

Результаты Защищенное подключение интеллектуальных

счетчиков к ЦОД

Отказоустойчивая архитектура с возможностью как локального, так и удаленного восстановления


Cisco обеспечивает безопасность сетей электроснабжения

Соответствие требованиям

Целостность

Совместимость

Физич. безопасность

Информ. безопасность

Масштабируемость

Надежность

Отказоустойчивость

Открытость



CRITICAL CYBER ASSETS

SECURITY MANAGEMENT CONTROLS

PERSONNEL AND

TRAINING

ELECTRONIC SECURITY

PHYSICAL SECURITY

SYSTEMS SECURITY MANAGEMENT

INCIDENT REPORTING & RESPONSE PLANNING

RECOVERY PLANS FOR CCA

CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009

1. PLAN

2. PHYSICAL ACCESS CONTROLS

3. MONITORING PHYSICAL ACCESS

4. LOGGING PHYSICAL ACCESS

5. ACCESS LOG RETENTION

6. MAINTENANCE & TESTING

1. TEST

PROCEDURES

2. PORTS & SERVICES

3. SECURITY PATCH MANAGEMENT

4. MALICIOUS SOFTWARE PREVENTION

5. ACCOUNT MANAGEMENT

6. SECURITY STATUS MONITORING

7. DISPOSAL OR REDEPLOY-MENT

8. CYBER VULNERABILITY ASSESSMENT

9. DOCUMEN-TATION

1. CYBER SECURITY INCIDENT RESPONSE PLAN

2. DOCUMEN-TATION

1. RECOVERY PLANS

2. EXERCISES

3. CHANGE CONTROL

4. BACKUP & RESTORE

5. TESTING BACKUP MEDIA

1. CRITICAL ASSETS

2. CRITICAL CYBER ASSETS

3. ANNUAL REVIEW

4. ANNUAL APPROVAL

1. ELECTRONIC SECURITY PERIMETER

2. ELECTRONIC ACCESS CONTROLS

3. MONITORING ELECTRONIC ACCESS

4. CYBER VULNER-ABILITY ASSESSMENT

5. DOCUMEN-TATION

1. AWARENESS

2. TRAINING

3. PERSONNEL RISK ASSESSMENT

4. ACCESS

1. CYBER SECURITY POLICY

2. LEADERSHIP

3. EXCEPTIONS

4. INFORMATION PROTECTION

5. ACCESS CONTROL

6. CHANGE CONTROL

Безопасность сетей электроснабжения Стандарты NERC и требования


Transmission Control Center

ASA Firewall

SCADAControl

Network

Cisco ACS

EMS

Cisco MARSCisco NCM

Substation

MPLS with VRFs

AMI/DA EVDO

SubstationSCADA

EVDO WAN Router

Cisco ISR 2811

3G

EV

DO

CIP Router

(IOS FW, IPS AIM)

AMI/DA Backhaul AP

C

IPVC

900M

Hz R

adio

B

CBadge ReaderElectronic Security Perimeter (ESP)

Physical Security Perimeter (PSP)

MPLS WAN Router

Cisco ISR 2811

Cisco IE3000 SwitchPoint-to-Point

Routed Links

IP Relays

PMU

Substation Segment 1

DFR

Relays

Cisco IE3000 SwitchSubstation Gateway

Substation Gateway Substation Segment 2

Решения Cisco для

контроля доступа (CIP 006,

физическая безопасность)

MPLS и VRF (CIP 002,

сегментация CIP-трафика на

уровне 2)

Надежный периметр на базе

МСЭ IOS (CIP 005 R1)

Cisco MARS собирает

данные журналов со

всех сетевых устройств

(CIP 005 R3)

Услуги Cisco для NERC CIP •Услуги по оценке уязвимости и проектированию сети в соответствии с NERC CIP (CIP 007 – R8) •Учебный курс по защите сетевых устройств (CIP 004)

Cisco Secure ACS

контролирует доступ

приложений и

пользователей

(CIP 003 R5)

IDS обнаруживает

вредоносное ПО

(CIP 007)

Резервное копирование

конфигураций/образов

(CIP 009 R4)

Безопасность сетей электроснабжения Решения Cisco в соответствии с требованиями NERC CIP


Пример Архитектура безопасности SAFE

www.cisco.com/go/designzone

Защита основных механизмов сети

Повышение уровня защищенности

устройств, сквозная защита уровня контроля

и управления в рамках всей ИТ-

инфраструктуры. Повышение доступности и

отказоустойчивости.

Средства обеспечения безопасности,

встроенные в коммутаторы Catalyst

Защита уровня 2: макросы port security,

динамический анализ ARP-трафика, IP

Source guard, анализ DHCP-трафика.

Защита оконечных устройств

Защита настольных компьютеров от

совершенно новых атак, утечки данных и

вирусов (вирусы обнаруживаются с

помощью сигнатур).

Повышенная доступность и

отказоустойчивость

Защищенные устройства и

архитектура с учетом требований

высокой доступности обеспечивают

оптимальный уровень доступности.

Резервирование на уровнях

модулей и интерфейсов.

Доступ в Интернет Защита электронной почты и интернет-трафика.

МСЭ с учетом состояния сеансов. Предотвра-

щение вторжений, глобальная корреляция.

Тонкая настройка контроля доступа.

Обнаружение и отражение угроз

Предотвращение вторжений, мониторинг

сети на базе всей ИТ-инфраструктуры для

обнаружения и отражения угроз.

Контроль доступа к сети Аутентификация и обеспечение выполнения политики

безопасности с помощью сетевых сервисов Cisco,

основанных на данных об идентификации (IBNS).

Ролевая модель контроль доступа и контроль состояния

устройств с помощью Cisco NAC.

Система унифицированных

коммуникаций

Поддержка обращения в службу

безопасности и экстренные службы,

расширенная поддержка 911. Средства

для совместной работы и проведения

конференций для планирования и

координации действий.

Система видеонаблюдения Cisco

Мониторинг всей территории для

предотвращения и обнаружения

инцидентов.

ЦОД

VVVV

Шлюз голосовой

связи/ SRST

Сервер данных

системы

видеонаблюдения

Устройство

Cisco ACS

NAC Manager

Unified

CallManager

Уровень доступа

Уровень ядра

Устройство WSA

Cisco ASA

Устройство

ESA

Sensor

Base

Интернет

NAC

Server

NAC

Server

Ядро MetroE

(управляется

оператором)

Cisco IPS

Интернет-периметр Сервер

NAC

Server

Technology

Архитектура Cisco Smart Grid