上海鐵路局企業網網絡行為安全監測系統研究

王 軍 上海鐵路局信息技術所

上海鐵路局信息化工作經過二十多年的努力，取得了蓬勃發展，在運輸組織、客貨營銷和經營管理領域發揮了重要作用，為華東鐵路現代化建設提供了強有力的信息技術支撐。隨著鐵路運輸現代化的不斷提升，信息化工作直接關系到運輸生產效率和社會服務形象，對信息系統的安全穩定運行提出了更高的要求，其中，加強網絡行為安全監測，保障網絡與信息安全已成為一項緊迫的工作。

1 需求分析

當前鐵路信息系統的現狀是：主機數量多、網絡分布廣，網絡結構復雜；網絡設備由不同廠商供應，多種系統及網絡協議并存；系統和網絡維護人員數量有限，系統的日常管理和維護相當困難。同時，隨著系統網絡規模的擴大，網絡環境更加復雜，不可避免地在管理上產生許多問題，在計算機網絡安全管理等方面存在著以下薄弱環節。

1.1 數據庫操作缺乏有效管理機制

作為業務的核心與基石，數據庫系統在鐵路越來越多地被應用和部署，由于目前數據大集中尚未完全實現，在電算站、重要站段等都部署有大量的數據庫系統，如何對這些數據庫進行有效的監控管理，防止數據的惡意篡改，杜絕惡性事件的產生，目前沒有較好的技術手段，僅僅依靠各地相關信息管理人員在本地進行管理。

1.2 內部人員操作隱患

在網絡安全行業內流行著這樣一條80/20法則：80%的安全威脅來自網絡內部。內部安全危害分為三大類：操作失誤、存心破壞及內部職工的安全意識淡薄。操作失誤包括用戶不經意獲得了不應該擁有的權限，雖然自己沒有惡意，但這些新授權的用戶無意中會給數據和系統帶來嚴重破壞，造成嚴重安全事件的產生。

1.3 第三方維護人員安全隱患

隨著鐵路信息系統的不斷發展，有越來越多的設備商和第三方公司參與到信息系統服務工作中來，這些服務商技術人員可能因責任心不強、工作不到位或操作不當，產生人為的運行故障、數據丟失或系統服務中斷，也可能增加被攻擊的風險或泄密威脅。

2 系統研究

通過對上海鐵路局現有網絡狀況的分析以及對市場上現有安全技術與產品的調研，研究建立上海鐵路局企業網網絡行為安全監測系統。該系統在當前鐵路信息網絡環境下，為了保障網絡和數據不受來自外網和內網用戶的入侵和破壞，采用基于“IP數據俘獲→應用層數據分析→審計和響應”流程對被授權人員和系統的網絡行為進行解析、分析、記錄、匯報；在運用常規審計技術手段的基礎上，引入并結合一些管控技術手段實時收集和監控網絡環境中各部分的系統狀態、安全事件，結合CA數字證書技術，能有效幫助安全管理人員了解、發現、追查網絡安全事故產生原因、過程和取證等。它主要由審計數據中心、審計引擎、控制中心組成（見圖1）。

圖1 系統體系結構模型

2.1 控制中心

管理控制臺，提供管理控制界面，審計報表的輸出等。

2.2 審計引擎

基于專門硬件構建，根據安全策略對俘獲的數據進行比對、分析，并做出響應動作，如告警、阻斷等。審計引擎的“嗅探端口”需要連接到交換機的“鏡像目的”端口上，以獲取網絡通信數據；“管理和阻斷”端口需要分配一個合法的IP地址，連接到交換機的普通通信端口上。

2.3 審計數據中心

基于專門硬件構建，主要用于接收審計引擎的數據、負責審計數據的存儲。需要分配一個合法的IP地址，連接到交換機的普通通信端口上。

3 系統設計

根據分析與研究，針對鐵路企業網中較大的信息訪問量，采用審計引擎與數據中心分離方式，甚至可以多引擎、多數據中心結構，能有效提高系統整體數據吞吐量和管理效率，通過在鐵路實際的網絡中搭建了網絡行為檢測實施平臺，對系統的功能與性能進行了相關測試，在基于實際網絡環境的測試后，為今后該系統在整個上海鐵路局網絡中進行大規模的部署提供了依據和技術準備。

圖2 實施部署圖

3.1 系統架構

依據系統設計，在上海鐵路局核心交換機上部署了試驗系統。

3.1.1 審計引擎

部署一臺網絡審計引擎對交換機上的流量進行監控，審計和訪問控制。

網絡審計引擎配置兩個端口，一個端口需要連接到被監控交換機的“鏡像目的端口”上，以獲取原始的通信信息，從而實現各種審計和控制功能。另一個為“管理端口”，這個端口需要接入網絡，并分配一個合法的IP地址，以接收管理控制臺的管理，并且通過旁路對網絡數據流進行采集、分析和識別，對網絡中的可疑網絡行為、違規操作行為，進行實施的記錄、告警和阻斷。審計引擎和審計數據中心采用獨立分開的硬件形式，一個審計數據中心可以支持多個審計引擎。測試數據表明，審計數據中心其數據入庫和查詢速度相當快捷，特別是在當審計引擎大流量處理時，審計引擎和數據中心分離式的設計保證了不會因為審計引擎的大CPU占用導致的數據處理的停滯。

3.1.2 數據中心

網絡行為安全監測系統的審計數據中心，是一臺具備大容量的存儲設備的計算機，數據中心的“管理端口”需要通過網絡方式與網絡審計引擎的“管理端口”進行連接，以接收管理控制臺的管理。

3.1.3 控制中心

網絡行為安全監測系統的控制中心為一臺安裝有專用安全軟件的計算機，提供各種管理和操作界面，安裝有策略配置以及實時報警監控的工具，能實時將監控范圍內的各種訪問行為逐條列出，并根據事件的安全等級進行標示；同時還可以在該界面上定義顯示客戶端IP、訪問的服務器IP、使用的通訊端口、操作類型、使用的賬戶以及策略中對此操作的響應策略等信息。

3.2 系統安全體系結構

網絡行為安全監測系統的功能基本覆蓋了網絡系統日常運維方面的內容，支持大部分的常用協議，可定制相關非標協議的檢測，具備以下幾個方面的功能。

3.2.1 基于角色的授權與管控

網絡行為安全監測系統中可以對用戶賬號進行詳細的定義和規劃，將用戶角色的授權、訪問控制及網絡內容審計一體化，當添加一個新業務用戶，可以對該用戶賬號進行角色的定義，比如新開的這個賬號具有運行什么業務的權限，勾選Telnet后，該用戶賬號只能進行Telnet訪問，其它的協議不允許進行操作，這種角色定義后，可以很大程度上杜絕內部人員職責不清或者一個賬號隨意訪問網絡內任意應用的狀況。

對于日常網絡中當前的每一個會話，管理員都可以進行進一步的操作，如不確定用戶訪問的內容時，可以啟動實施監視功能，將訪問的每一個指令都同步顯示出來，管理人員可以據此判斷當前正在進行什么樣的操作，該行為是否合規，如果認為該訪問屬于違規行為并可能帶來危害時，可以啟動阻斷的功能，不允許遠端操作者的這次訪問。

3.2.2 協議審計

網絡行為安全監測系統支持主流的應用協議，如：HTTP、TELNET、FTP、SUNRPC、SMTP、POP3、Windows 網 上 鄰 居 、NFS、RLOGIN、SQLServer、ORACLE、Windows遠程桌面、自定義協議、RADIUS等，針對這些應用協議的審計網絡安全檢測系統具備數據庫審計、網絡運維審計和OA及WEB應用審計。

在進行協議審計時，可以設定細粒度的命令級審計，如審計數據庫操作中的刪除指令（DELETE）或者TELNET中的關機指令（shutdown）；RLOGIN協議中，可以審計出用戶的操作行為，如登錄賬號，操作指令等；這些遠程訪問者對目標系統進行了怎樣的操作，同時都被記錄下來，如果其中的一些指令在定義策略集時為禁止使用的，網絡安全行為檢測系統將會發出中斷操作數據包，不允許該連接對目標機進行操作。

3.2.3 仿真回放

網絡行為安全監測系統在處理完網絡內的訪問行為之后，會將其轉換為數據信息，可以將查詢與分析的結果進行展現，如以各種文檔格式導出查詢的結果，以便其他系統使用或作為證據提交，也可以立即查看事件。

對于Telnet等協議還支持動態仿真回放和靜態回放兩種功能。動態仿真回放會將該會話所有的內容進行交互式的回放，會話中操作者輸入的指令以及針對該指令目的系統的回應都會以動畫的方式逐一展現，就如同管理人員在回看當時操作的屏幕錄像一樣；靜態回放會將當時的操作以記錄的形式一次性的展現。管理人員可以通過拉動窗口的滾動條來查看整個會話的內容。

3.2.4 告警與檢索

網絡行為安全監測系統能夠對實時流量進行監控，通過繪制流量曲線來反映網絡中訪問流量的變化情況，通過對流量曲線的分析，可以大致的了解網絡內的突發事件情況。如某一時間段，網絡內的流量突發，超出以往的平均值，根據持續的時間長短，可以大致進行一些故障的判斷和定位。如持續時間較長，則有可能是蠕蟲病毒在網絡內爆發和傳播，如持續時間較短，則有可能是一個大容量的數據傳輸。一些安全事件或者攻擊行為通常都伴隨著流量的變化，對于這些異常的突發流量，在該時間點上綜合分析網絡或安全設備的報警信息，可以及時發現安全事件防止損失。

4 研究效果

經過研究，網絡行為安全監測系統針對目前上海鐵路局的網絡安全狀況，能有效解決當前的一些安全隱患，規避人員操作風險，能有效提高網絡管理人員的工作效率和質量，同時結合仿真回放功能可回放安全事件的過程，便于分析、舉證等工作。

4.1 減少數據庫操作安全隱患

針對數據庫方面的安全隱患，網絡安全行為檢測系統通過：

(1)設定數據庫訪問權限，對允許進行數據庫操作的人員細分權限，比如某人僅允許訪問某個表而不允許訪問整個數據庫，某人僅允許查詢而不允許刪除或更改數據等操作。

(2)設置相關數據庫規則，防止內部人員隨意操作數據庫，個人只允許訪問規定的受限數據，而不允許訪問其他數據內容。

4.2 內部人員操作安全隱患

網絡行為安全監測系統中可以通過角色授權、引入的強身份認證和訪問控制功能進行組合使用，通過數字證書的抗抵賴性來鎖定具體的操作人員；通過操作行為的規則約束操作人員的操作行為；記錄與回放功能可以還原整個安全事件的過程。

4.3 第三方維護人員安全隱患

網絡行為安全監測系統通過定義第三方外包人員的角色，設定相應的控制策略，對第三方維護人員在網絡內的訪問操作行為做一定的限制，防止第三方維護人員在網絡內隨意訪問資源的隱患；并且網絡行為安全監測系統可以設定第三方人員只能在網絡的指定區域活動，不得進入重要的或者敏感的網絡區域，這樣可以有效防止外部泄密等安全問題。

5 結束語

上海鐵路局企業網網絡系統結構復雜、范圍龐大，內部應用較多，而且隨著東部鐵路現代化的發展，今后必將會部署更多的應用系統，以滿足不斷增長的管理和業務需要；隨著網絡結構的龐大、用戶群的增加，普通的網絡安全管理技術已經無法滿足網絡與信息安全的需要，通過網絡行為安全監測，應用不同審計策略組合，可以做到對網絡內重要數據、信息的訪問和人員操作安全的審計，可以大大提高網絡安全管理的工作效率和質量，使我局鐵路企業網的信息安全防護工作水平達到更高的等級。