实现企业IT设施安全的最优途径大型电力系统NERC法

1、实现企业IT设施安全的最优途径大型电力系统NERC法规白皮书垂直安全解决方案介绍在安全变得越来越被关注的大环境下，对关键设施的控制和监控至关紧要，这些设施往往也是最为易受攻击的目标。电气安全漏洞可能导致电源可靠性问题。即使是很轻微的性能下降或极短暂的断电都会对用户、公司及至外部产生影响。对公司及其用户而言，系统停机时间、数据丢失和设备控制故障迅速成为了商业中的关键问题。北美洲电力可靠性协会(NERC)重要基础设施保护(CIP)的电气安全标准(CIP 002到009)定义了可靠性需求，帮助北美及加拿大的大电力系统所有者、维护人员和用户解决网络安全弱点问题。违反NERC可能导致昂贵的经济制裁及要求

2、立即进行补救措施。此外，NERC可对每次违反标准评定最高一天一百万美金的罚金。通过美国联邦能源监管委员会(FERC)和加拿大国家能源局(NEB)的监督，电气安全标准法规对电力设备企业的优先级也越来越高。FERC对NERC标准的强制执行也用于对美国输送能源的加拿大发电厂。一些网络和应用层内的重要的电气安全投资可以有效简单化NERC法规。这篇文档描述了在不需要完全替换网络架构即可实现维护安全的高性能网络，通过统一威胁管理(UTM)方式及漏洞评估(VA)策略来实现企业信息技术(IT)基础设施安全的最优途径。大电力系统网络安全的挑战大电力系统的挑战是迎合或超过安全法规标准，阻挡网络中潜在的攻击，因此，

3、在平衡性能和总体拥有成本(TCO)的同时，需要实现全网可靠性保证。目前，企业需要警惕来自现有或以前员工及合作伙伴的有意或无意的内部威胁，同样，来自黑客及网络犯罪分子的外部威胁也同样重要。除了传输中的数据问题外，用户信息、记费财务系统数据库也可能存在漏洞。真实环境中的安全漏洞企业评估加强了有效的网络及应用安全需求。为了提升这个重要问题的透明度，美国审计署(GAO)与田纳西流域管理局(TVA)(一个完全由政府所有企业，为美国7个州的8,700,000居民提供电力)在2008年5月颁布了相关的报告。在报告中认为：“在控制系统网络内，防火墙配置不正确或已被旁路、密码没有被有效的执行、某些活动性日志被限

4、制、控制系统软件配置管理策略执行不一致、服务器及工作站缺少关键补丁和有效的病毒保护。”同时，入侵检测系统有严重的局限性，企业网络中的一些工作站有不适当的安全设置或缺少关键软件补丁，许多的网络基础设备在安全配置上被做了限制或根本无效。2007年3月在爱达荷州能源局的实验室里，一个发电站的复制控制系统被Aurora实验网络攻击行为破坏，造成了一台发电机自行损坏。一些专家认为，这种攻击的范围如果更广泛一些，可能要花费几个月的时间来修复。终端安全同样与之有关。在一次事件中，核工业安全协会报告员工的电脑可能通过点对点文件共享感染了病毒，造成数据泄漏，福井、新滹、静冈和鹿儿岛地区核电站的运行状况等敏感数据

5、和安全检查报表被窃取。数据库漏洞相关问题也越来越多。在2006年，爱达荷州电力公司，为大约460,000用户提供服务，约230块SCSI驱动器中的用户信件和其它私有信息等数据被泄漏。尽管这次泄漏是一个物理安全策略的案例，数据库泄漏的费用已升至接近每记录$200，2005-2007年间，在美国有150,000,000条数据库记录丢失。NERC CIP审计法规管理NERC通过事件报表和关键网络资产(CCAs)恢复为安全控制边界和访问管理提供了可靠的结构。CCA最简单的定义了使用非专用基于IP的资源连接到控制中心或其它外部机构的设备。通过统一威胁管理的方法为关键网络资产实现网络安全需求，可以节省时间

6、并减少复杂性。CIP描述概要NERC CIP-002-1关键网络资产鉴定基于风险的资产方法论的鉴定及文档资料用于鉴别关键网络资产NERC CIP-003-1安全管理控制网络安全策略的文档资料和执行带来的义务和能力，以实现关键网络资产安全NERC CIP-004-1人员及培训维护及安全意识规划文件编制以确保人员加强健全的安全习惯NERC CIP-005-1电子安全范围围绕关键网络资产和所有访问点位置的电子安全范围鉴定NERC CIP-006-1关键网络资产的物理安全物理安全计划的创建和维护，包括过程、工具及监控边界访问的程序NERC CIP-007-1系统安全管理确保在电子安全范围内的新的网络资

7、产和对现有网络资产的重要改变不对影响现有网络安全控制NERC CIP-008-1事件报告与响应计划开发及维护网络安全事件响应计划，包括地址分类、响应动作及报表NERC CIP-009-1关键网络资产的恢复计划关键网络资产的创建和恢复计划审查图1：NERC重要设备保护(CIP)表纵览CIP 002到009，CIP-005电子安全范围最适用于网络安全。根据CIP-005，在一个安全区域内实现整个范围内最小化所有的网络连接，必须有适当的防火墙配置，仅允许认证后的流量和连接通过。这个需求包括基于IP地址的数据包过滤、TCP和UDP传输层检查、应用层流量审查，如Telnet、 和 S。同样，大电力系统提

8、供商及相关实体必须在网络电子范围内对设备和应用进行鉴别，保护物理设备和软件定义的接口，并对必需的接口和服务基于指定的组进行认证。当使用公网或共享IP服务时，加密虚拟专用网(VPN)可能也是必要的。责任和审计是所有NERC需求的关键基础，因此，多层次和基于端到端的网络安全报表和监控是法律程序的主要组成部分，例如，对定期审计或实时分析的日志记录及告警，尤其是IP协议出现问题的时候。一个分阶段的时间表列出了NERC法规基于实体类型的转折点，2008年6月完成了一些必需的最初的执行阶段，其它的将在2009年6月或2010年6月完成：开始工作(阶段1)，充分符合法规(阶段2),符合法规(阶段3)及审计后

9、条例法规(阶段4)。尽管早期的罚款主要集中在一些表面问题上，例如巴尔的摩燃气及电力公司($180,000罚款)和中美能源公司($75,000罚款)，网络安全监督很快就会随着法规的时间表执行。统一威胁管理探讨为了遵循法规并保护控制系统，企业需要5个关键的网络安全组成部分。构建安全边界的防火墙通过隔离技术实现内部边界分割网络内的防病毒控制网络内的入侵保护系统(IPS)网络边界上基于组进行认证NERC CIP也考虑到了在一台主机内防病毒不能被执行的情况。通过在主机设备上安装保护措施并不能减轻风险。即使这种保护措施能实现安全，一些主机的操作系统已不再被基于主机的安全解决方案所支持。例如，象一些数据采集

10、与监视控制系统(SCADA)和可编程逻辑控制器(PLCs) 等终端解决方案，通常被企业用来自动控制各种工业程序，不允许在主机内运行防病毒程序，防病毒必须被应用在网络中。企业也需要通过把主机与其它主机或操作PC隔离，实现减少控制。例如使用内部边界分割隔离技术。还有就是一些设备放在很远的地方，只有少量或根本没有操作人员，当带内访问出现问题时，必须使用带外访问解决问题。尽量一些实例中会使用防火墙配合拨号Modem实现远程问题，但基于拨号Modem的解决方案有越来越多的安全问题。CIP要求使用防火墙建立安全边界，网络分区和基于组的认证，防病毒控制和IPS实现。要部署所有这些类型的安全技术可能需要六台或

11、更多分离的安全设备，过高的花费可能会被电厂管理人员阻止购买。多点产品解决方案也会带来管理困难，需要多个管理接口；因各厂商的产品没有集成，单独一个厂商无法提出问题解答。多点产品的部署维护花费也很高，如需要与多个厂商签定合同和更新进度，昂贵的支持许可，数据资源分配(电源、机架位置、风扇)，给网络性能带来负担的多个检查步骤等。此外，集成性的短缺可能导致安全性降低。因为企业控制系统需要一直顺畅运行，因此系统的可用性是所有安全网络架构中最重要的方面。因此，在大多数环境中的部署解决方案需要配置为高可性用，并降低复杂性及成本。统一威胁管理(UTM)平台，也被称为“下一代防火墙”，在传统防火墙上扩展了多种安全

12、技术。UTM平台被国际数据公司(IDC)定义为最低限度需要包含防火墙、VPN，入侵保护和防病毒功能。在网络中管理6个或更多各种有限集成的安全产品很困难，一种新型的在高可用性模式下运行的UTM平台能更有效的保护控制系统平台针对NERC法规包含了上述5种主要安全组成部分。UTM解决方案减少了厂商和设备的数量，提供全面的安全，宕机时间实现最小化，安全管理实现简单化，提供检测能力，并配备有安全告警、日志报表功能。表2 多点解决方案 vs. UTMFortinet解决方案通过在FortiGate设备中智能集成了定制的基于ASIC芯片的高速处理硬件，Fortinet UTM平台可提供高性能和最优网络安全。

13、Fortinet通过专用硬件、软件、先进安全内容处理的UTM解决方案，提供高效的安全防护及可升级的升级。Fortinet的第三方认证可确保安全功能都经过严格验证。统一管理的方式可实现多种安全报表，输出的日志/报表信息都使用公用的格式对所有大型企业都是核心要素。ASIC内容处理器(特殊引擎用以执行与已知威胁模板进行高速匹配)只是在硬件中实现逻辑扫描，不能用于存储威胁模板数据，连续存储是靠内存实现。因此，对新威胁的更新只是简单的更新软件。表3 内置内容处理器UTM高层架构此外，内容处理器也包含了加密引擎，在进行加密通信时，可减轻通用处理器高强度的运算工作。用于远程安全连接的VPN设备和日常维护会耗

14、费大量的系统资源，Fortinet的硬件加速在这方面是一个理想的选择。另一个同样需要注意的是，Fortinet取代了很容易被获得的现成产品(COTS)技术，这种技术会暴露系统的漏洞，Fortinet使用加固的FortiOS操作系统提供附加保护。针对NERC法规Fortinet解决方案Fortinet完善了大电力系统提供商目前NERC法规网络安全实现的全面评估，接着根据用户需求，提出了改进的解决方案细节，附有清晰的产品预算和项目服务。Fortinet针对NERC法规的企业安全解决方案由完整的产品包、专业服务、技术评估管理及客户培训服务解决方案组成。图4 Fortinet针对NERC法规定制解决方

15、案NERC CIP是有详细配置的综合要求。没有专业指导自己实现会导致浪费大量时间及过多缺陷。Fortinet专业服务通过设计、文档归纳、实现、针对网络安全的NERC法规培训包括专业培训服务、定制解决方案培训及认证培训(201, 301, FCNSP)，为企业IT设施提供最佳的方法。每次设计选用的产品包括FortiGate、FortiManager、FortiAnalyzer及FortiDB，以自动实现网络安全需求。企业技术客户管理及技术服务Fortinet直接服务级别协议(SLA)使产品包更加完善。NERC CIPFortinet解决方案(描述)NERC CIPFortinet解决方案(产品)

16、CIP-002架构设计/评估CIP-002Fortinet专业服务CIP-003数据库安全策略实现及漏洞评估CIP-005,CIP-006,CIP-007,CIP-008,CIP-009FortiGateCIP-004培训CIP-005,CIP-007,CIP-008,CIP-009FortiManager/FortiAnalizer/FortiDBCIP-005建立电子安全范围CIP-002,CIP-003,CIP-005,CIP-007FortiDBCIP-006物理安全资产电子保护CIP-004Fortinet培训服务CIP-007安全系统管理/数据库行为监控CIP-004, CIP-0

17、07Fortinet技术客户管理CIP-008事件报表CIP-009恢复计划及备份表5 Fortinet NERC定制解决方案CIP实现典型的Fortinet部署实例包括在控制中心的高可用性FortiGate UTM平台、用来记录日志和产生报表的FortiAnalyzer及用来集中管理的FortiManager。数据库安全产品FortiDB包含漏洞评估、数据库行为监控及审计报表，对存储在数据库中的用户信息、记费、安全报告及财务数据提供保护。远端不同型号的FortiGate UTM设备可以保护远程办公室及区域电站。图6 Fortinet部署举例Fortinet根据设计的架构和评估应对CIP-00

18、2关键网络资产鉴定。Fortinet专业服务与用户一起设计或重新设计网络解决方案，仅能使用可路由协议与电子安全范围(R3.1)外部或在控制中心(R3.2)内进行通讯，例如OSPF、BGP、RIP及PIM可路由协议。这方面还包括路由设计制定、消除拨号连接或提高拨号连接(R3.3)的安全性及基于内部或合作公司状态的访问控制。FortiDB通过自动发现功能帮助鉴定数据库资产。CIP描述Fortinet解决方案CIP-002, R3.1网络资产使用可路由协议与电子安全范围外部通讯Fortinet专业服务把网络设计为仅使用可路由协议与电子安全范围外部通讯CIP-002, R3.2网络资产在控制中心内部使

19、用可路由协议Fortinet专业服务把网络设计为在控制中心内仅能使用可路由协议通讯CIP-002, R3.3网络资产通过拨号访问Fortinet专业服务针对所有基于拨号Modem解决方案消除拨号连接或配置防火墙提高拨号连接的安全性图7 通过Fortinet针对NERC定制解决方案应对CIP-002FortiGate通过对所有鉴别的重要网络资产建立电子范围应对CIP-005。 关键独立CIP子需求包括访问控制、安全认证、单点入口问题，报表和文件归档也需要满足。CIP描述Fortinet解决方案CIP-005, R1.1到电子安全范围的访问应包括任意外部连接通讯终点(例如拨号Modem)终结在电子

20、安全范围内的任意设备Fortinet 防火墙为所有鉴定的网络安全资产建立边界；FortiClient为PC或远程设备等终端增加附加的安全保护建立安全的带外管理建立安全范围内对设备的安全访问控制通过SSL安全认证访问为合作公司和厂商(安全边界内设备支持)建立单点入口，提供基于角色认证的安全访问CIP-005, R1.2对可拨号访问的非路由协议的重要网络资产，责任实体应对拨号单访问点定义一个电子安全范围同CIP-005, R1.1CIP-005, R1.3分离的电子安全范围通讯链路连接不应该被视为电子安全范围的一部分。然而，这些在电子安全范围内通讯链路的终端应该被视为电子安全范围的访问点Forti

21、Gate协议访问点进入安全范围CIP-005, R1.4任意在指定电子安全范围内的非重要网络资产应被依照CIP-005标准需求鉴定并保护FortiGate带有访问控制的防火墙、物理或虚拟分区从所有的重要网络资产中分离出所有的非常重要网络资产CIP-005, R1.5在电子安全范围的访问控制和监控中使用网络资产，应提供在CIP-003标准、CIP-004标准需求R3、CIP-005标准需求R2和R3、CIP-006标准需求R2和R3、CIP-007标准需求R1，R3到R9、CIP-008标准及CIP-009标准中所指定的保护措施。FortiGateFortiManager、FortiAnalyz

22、er及第二级认证服务器的防火墙保护按照每个CIP认证安全访问控制的管理和日志记录CIP-005, R2.1这些过程和机制应该使用默认拒绝访问的访问控制模块，必须定义清晰的访问许可FortiGate防火墙访问控制、第二级认证服务器、安全的RADIUS认证、LDAP、本地数据库访问控制；FortiManager本地访问控制管理CIP-005, R2.2在所有去电子安全范围的访问点，责任实体仅应该开启电子安全范围内针对运行及监控网络资产所需的端口及服务，应该归档、个别或通过指定分组配置这些端口和服务FortiGate防火墙通过认证方法建立接口和服务当认证时，仅允许用户指定的必须的端口及服务；通过认证

23、阻止CIP-005, R2.3责任实体应针对到电子安全范围的安全拨号访问维护一个手续FortiGate通过SSL解决方案，带外解决方案，建立单点入口(拨号访问)CIP-005, R2.4在外部到电子安全范围内的访问已被开启的地方，责任实体应该在访问点执行有力的程序上或技术上的控制，在技术可行的前提下，确保访问人的真实性FortiGate单点访问单一化外部访问报表；通过可选2级认证SSL解决方案建立单入口访问点(拨号访问)；建立安全传输(VPN、按指定的每用户认证隔离到到内部设备的远程访问连接)CIP-005, R2.6适当的使用提示在技术可行前提下，电子访问控制设备应所有有访问尝试时在用户屏幕

24、显示适当的提示。责任实体应维护识别标题内容的文档FortiGate防火墙认证控制页眉和页脚(适当使用提示)CIP-005, R3监控电子访问责任实体应在访问点针对到电子安全范围全天候监控并记录日志执行和归档一份电子或手工的流程FortiManager, FortiAnalyzer 集中安全管理CIP-005, R3.1对使用非路由协议拨号访问重要网络资产，责任实体应在技术可靠的前提下，对访问拨号设备的访问点执行和归档监控流程FortiManager, FortiAnalyzer 通过可选2级认证SSL解决方案在建立的单点入口提供报表；记录所有访问方法，通过FortiAnalyzer记录所有访问

25、被拒绝或允许CIP-005, R3.2在技术上可行前提下，安全监控程序应该对当前企图非法认证的访问探测及告警。告警应该把适当的提示信息发送到指定的响应人员。告警在技术上不可行时，责任实体应对当前企图非法认证的访问日志最少每90天进行审查或其它评估访问FortiGate把认证失败报告发送到FortiAnalyzer和FortiManager，记录并为IT人员发送认证失败企图记录；FortiGate入侵检测和保护把入侵企图报告发送到FortiAnalyzer，记录并为IT人员发送对重要设备的入侵企图CIP-005, R4网络漏洞评估责任实体应实现至少每年一次对电子安全范围电子访问点的网络漏洞评估F

26、ortiDB数据库安全漏洞评估CIP-005, R5.3责任实体应至少保留90天电子访问日志。与报告事件相关的日志应依照CIP-008标准保存FortiAnalyzer日志保存能力由日志量和FortiAnalyzer能力决定近线或在线备份存储对网络安全的统一解决方案使Fortinet在不影响性能的前提下，不仅可以应对NERC法规，而且通过全面的功能有效的降低了网络安全风险。总结为大电力系统的控制和监控系统实现NERC法规，保证了可靠的能源产生及分配。使用定制的基于ASIC硬件处理器的FortiGate UTM解决方案可实现高速网络，如内网分区，并使用保护和处理接近线速的流量成为可能。为了实现最

27、大的益处并提供最高层的安全效能，专用硬件与软件和安全内容处理完美集成是根本。Fortinet在不牺牲性能的同时，使网络条例安全法规变得简单。参考文献Barbara A. Connors, B. (2007). Commission approves NERCs assignment of violation risk factors associated with approved reliability standards. FERC DocketNos: RR07-9-000 and RR07-10-000. Retrieved November 6, 2008, from :/ /new

28、s/news-releases/2007/2007-2/05-17-07-E-8.aspReport to Congressional Requesters: TVA Needs to Address Weaknesses in Control Systems and Networks (May 2008). Document GAO-08-526. U.S. Government Accountability Office. Retrieved November 6, 2008, from :/ /new.items/d08526.pdfJeanne Meserve, Mouse click

29、 could plunge city into darkness, experts say (September 2007). CNN. Available at :/www n /2007/US/09/27/power.at.risk/index.html?eref=rss_topstories (last visited November 6, 2008).Nuclear Power Plant Data Leaked Via Virus-Infected PC, Posted on Net (2005). Kyodo News International (RedOrbit). Retr

30、ieved November 6, 2008, from :/ redorbit /news/science/183189/ nuclear_power_plant_data_leaked_via_virusinfected_pc_posted_on/Bernard Woodall (2008). U.S. electricity watchdog issues first violations (June 2008). Reuters. Retrieved on November 13, 2008, from :/uk.reuters /article/rbssIndustryMaterialsUtilitiesNews/idUKN0431655020080604Idaho utility hard drives - and data - turn up on eBay (2006). Computerworld. Retried on November 17, 2008, from :/www puterworld /action/article.do?command=vi