淺談操作堡壘系統在電力信息安全中的運用

周　波　羊　明

電力信息系統是電力企業業務正常開展的基礎平臺。如何保障電力系統長期安全、穩定、高效地運行，一直是電力系統IT部門所面臨的最緊迫的任務。網絡信息安全維護是一個動態的保障過程，對信息系統的日常操作都有可能影響到信息網絡的正常、高效運行。因此，在電力系統網絡信息安全保障中引入操作審計系統，規范管理人員的日常維護行為，防止惡意破壞行為的發生，防范誤操作可能造成的風險，分析安全事件原由，是整個信息安全保障體系中重要的一環。

目前，國內外針對操作行為審計主要采用旁路鏡像網絡流量分析，分析的主要協議為諸如TELNET、FTP、HTTP等明文協議，然而為了對抗網絡竊聽，遠程管理工具正逐步由明文協議轉向加密協議，例如SSH已經基本上代替了Telnet的位置；Windows的主要遠程維護工具遠程桌面（RDP）也采用了加密協議。對于這些加密協議，目前主流的網絡流量分析型行為審計系統都無能為力，只能望洋興嘆。新一代的網絡安全產品——操作堡壘主機系統，不僅支持對明文的TELNET、FTP、數據庫操作進行審計，也支持對加密的SSH、RDP等協議進行審計，消除了傳統行為審計系統中的審計盲點，能夠為信息安全保障體系建設提供全面的、完善的審計解決方案。

一、現有管理模式

為了系統安全，在安全策略中關閉了遠程桌面等工具的運行端口，采用本地操作方式，在操作前使用工作票或操作票進行步驟記錄與風險防范，在出現問題時按記錄的關鍵操作步驟進行回退，如果記錄步驟不詳細的話，可能會導致回退困難。另外本地操作方式，人員頻繁進出機房，對機房環境與安全帶來一定的安全隱患。

二、審計堡壘系統概述

（一）系統架構

審計堡壘系統一般由三大模塊組成：應用代理模塊、協議控制模塊、管理模塊。

應用代理負責對各類操作協議進行代理轉發，完成基本的通訊功能。

協議控制模塊負責根據設定的規則對指定協議進行過程控制，主要完成操作指令還原、生成回放文件、阻斷異常操作等功能。

管理模塊主要功能為：為管理員提供管理接口，提供操作日志查詢、回放文件查看、審計報表維護規則配置、系統自身維護等。

（二）系統功能

1、所有協議支持

審計堡壘系統支持基本的遠程操作協議，包括：SSH、Telnet、Rlogin、FTP；常用圖形終端遠程操作協議：RDP、VNC、Pcanywhere、Radmin；主流數據庫遠程操作，包括DB2、ORACLE、MSSQL、INFORMIX、SYBASE數據庫的常用版本。

2、操作日志查詢和操作行為回放

針對上述協議，審計堡壘系統能夠記錄整個會話的完整過程，并形成指令日志及回放文件2部分審計數據，指令日志供管理員針對操作指令進行快速審計，回放文件可供管理員針對特定的會話進行完整操作審計。可以根據操作協議中的用戶名、IP、端口、時間、操作指令、返回結果等等信息進行多重組合查詢。管理員可以通過審計堡壘系統強大的檢索功能對關心的事件進行迅速定位。

3、異常操作阻斷及告警

操作堡壘系統可以通過規則定義異常及非法操作行為特征，一旦檢測到這些異常的操作行為，系統將直接阻斷此操作，并斷開該操作的TCP連接，因而能夠有效防止各類違規操作事件的發生。同時系統也支持對危險指令的告警功能，通過短信、郵件等方式將告警信息及時發送給管理員。

4、審計報表呈現

操作保壘系統的報表功能，對操作日志進行歸并、關聯分析，支持按天、星期、月、年等周期自動生成報表，也可以由管理員即時生成所需的報表。通過報表呈現及時了解網絡操作行為明細，分析信息系統安全脆弱點，提供信息安全管理決策參考依據。

（三）部署方式

操作堡壘系統可以采用多種部署方式，充分滿足不同網絡對審計系統的需求。如支持Active-Active雙機模式，避免產生單點故障而影響正常的維護通道。堡壘主機的部署應與網絡訪問控制列表、企業管理制度相結合，可以取得更好的審計效果。

透明模式：堡壘主機以橋接方式透明串入網絡，此時主機維護人員依照原有方式進行服務器維護，堡壘主機將自動識別網絡流中的操作數據并進行審計。

代理模式：堡壘主機只需要一個獨立的IP即可。所有維護數據均通過此IP進行代理。維護人員只要登錄該IP的指定端口即可直接訪問到服務器，無須進行二次登錄。

三、審計堡壘使用意義

（一）全面操作審計

操作堡壘系統不僅支持Telnet、FTP、Rlogin以及主流數據庫（DB2、Oracle、MSSQL、Mysql等）遠程訪問協議審計，還提供SSH、RDP、VNC加密協議的審計支持；操作堡壘系統完整記錄會話的整個過程，并形成會話日志和事件回放文件。消除安全審計盲點，全面審計網絡操作行為。

（二）增強網絡安全性

在代理模式下，通過堡壘主機的部署，網絡中原來所有服務器都需要對外開放維護端口變為由單一的堡壘主機提供對外維護端口，減少了網絡暴露，堡壘主機本身的安全性也大大高于服務器的安全性，因此，使用代理模式有助于增強網絡安全。

此外，操作堡壘系統可以通過規則設定異常及非法操作行為，一旦檢測到異常或黑客攻擊性的操作行為，系統將直接阻斷此操作，并斷開該操作的TCP連接，因而能夠有效防止各類違規操作事件的發生。

（三）規范人員操作行為

通過操作堡壘系統的部署，所有系統管理人員，第三方系統維護人員，都將通過堡壘系統來實施網絡管理和服務器維護，對所有的操作行為，都做到可記錄、可控制，審計人員通過定期對維護人員的操作審計，可以維護人員的操作規范性。

(作者單位：浙江富陽市供電局)