電力內網違規(guī)外聯(lián)安全監(jiān)控研究

陳曉杰，洪志華，孫夷澤，王勇

（寧波電業(yè)局，浙江寧波315010）

電力內網違規(guī)外聯(lián)安全監(jiān)控研究

陳曉杰，洪志華，孫夷澤，王勇

（寧波電業(yè)局，浙江寧波315010）

電力信息化的發(fā)展，信息安全已經成為確保電網穩(wěn)定安全運行的重要因素。隨著互聯(lián)網的不斷發(fā)展，新技術的廣泛應用，電力內網計算發(fā)生安全事件日益增多，違規(guī)外聯(lián)行為給內網保密帶來了巨大風險。違規(guī)外聯(lián)導致信息泄密，也為黑客攻擊提供了機會。通過對當前違規(guī)外聯(lián)監(jiān)控方法的分析，提出了改進的違規(guī)外聯(lián)監(jiān)控方案，該方案能夠全面監(jiān)控內網計算機違規(guī)外聯(lián)和外部計算機違規(guī)接入內網，并能夠實時產生告警信息及時通知內網安全管理員。

網絡安全；違規(guī)外聯(lián)；違規(guī)接入；雙機方式；代理方式

根據國家信息安全防護要求，為提升企業(yè)信息安全防護能力，提高信息系統(tǒng)安全運行水平，電力企業(yè)已經實施了內外網隔離，實現(xiàn)了企業(yè)信息內網與互聯(lián)網的安全隔離，有效提升了企業(yè)內部信息網絡的安全性和保密性。隨著移動網絡的普及，互聯(lián)網覆蓋范圍越來越大，由于企業(yè)員工內網信息安全意識還不到位，違規(guī)外聯(lián)行為時有發(fā)生，防治違規(guī)外聯(lián)已經成為電力企業(yè)信息安全防護的重要課題。

1 主要的違規(guī)外聯(lián)監(jiān)控技術

目前普遍采用的是雙機方式違規(guī)外聯(lián)監(jiān)控和代理方式違規(guī)外聯(lián)監(jiān)控這2種監(jiān)控技術。雙機方式違規(guī)外聯(lián)監(jiān)控技術主要通過在內外網部署探測服務器、探測數據包的方式來監(jiān)控違規(guī)外聯(lián)行為。代理方式違規(guī)外聯(lián)監(jiān)控技術主要通過在終端部署代理驅動軟件、監(jiān)控終端數據包和路由表信息來監(jiān)控違規(guī)外聯(lián)行為。

1.1 雙機方式違規(guī)外聯(lián)監(jiān)控

雙機方式違規(guī)外聯(lián)監(jiān)控是通過TCP/IP協(xié)議攻擊欺騙的方式來實現(xiàn)的，監(jiān)控系統(tǒng)主要由內網發(fā)包服務器和外網監(jiān)控報警服務器兩部分組成。系統(tǒng)部署比較簡單。

雙機方式違規(guī)外聯(lián)監(jiān)控的過程如下：內網發(fā)包服務器向內網終端發(fā)送探測數據包，該數據包的源IP地址是外網監(jiān)控報警服務器的IP地址，聯(lián)入外網的內網終端會把該回包響應發(fā)送給外網監(jiān)控報警服務器，外網監(jiān)控報警服務器即可將該違規(guī)外聯(lián)告警發(fā)送給安全管理員，并記錄該違規(guī)外聯(lián)內網終端的相關識別信息。

但雙機方式違規(guī)外聯(lián)監(jiān)控存在以下缺陷：

（1）內網終端的安全防護阻斷了內網探測包，導致違規(guī)外聯(lián)的內網終端無法響應探測數據包。

（2）假使處于內部網絡的計算機先斷開內網，然后再接入外網，內網發(fā)包服務器的探測包就不會達到被監(jiān)控的主機。

（3）如果違規(guī)外聯(lián)內網終端的防護軟件阻斷了告警數據包的發(fā)送，那么監(jiān)控告警服務器就收不到告警數據包，也就無法檢測到違規(guī)外聯(lián)事件的發(fā)生。

（4）由于此技術類似于網絡攻擊，所以存在被誤報成病毒、惡意攻擊的可能。

（5）在具有一定規(guī)模的內網中部署內網發(fā)包服務器較為復雜。電力企業(yè)的信息內網規(guī)模都比較龐大，包含了各類局域網，這些隔離的子網會阻斷或者過濾內網發(fā)包服務器發(fā)送的探測數據包，導致探測數據包無法有效傳遞到各內網終端，需要在每個子網均部署發(fā)包服務器。

1.2 代理方式違規(guī)外聯(lián)監(jiān)控

代理方式違規(guī)外聯(lián)監(jiān)控通過部署在內網終端上的違規(guī)外聯(lián)監(jiān)控代理軟件來實現(xiàn)監(jiān)控。違規(guī)外聯(lián)監(jiān)控代理和違規(guī)外聯(lián)監(jiān)控報警中心是代理方式違規(guī)外聯(lián)監(jiān)控系統(tǒng)的重要組成部分。

違規(guī)外聯(lián)代理監(jiān)控代理軟件根據安全管理員設置的安全策略實時監(jiān)控宿主內網終端的違規(guī)行為，并按照要求的格式和規(guī)定的頻度把該宿主內網終端的相關信息上傳至監(jiān)控報警中心。當監(jiān)測到內網終端有違規(guī)外聯(lián)行為時，違規(guī)外聯(lián)代理軟件就會主動切斷該內網終端的網絡連接。違規(guī)外聯(lián)代理軟件能根據監(jiān)控報警中心發(fā)布的策略進行更新和升級，并具備進程保護能力，以防被用戶非法終止。

監(jiān)控報警中心是指部署在內網服務器上對違規(guī)外聯(lián)代理進行監(jiān)控管理的程序。監(jiān)控報警中心能實時響應違規(guī)外聯(lián)代理發(fā)起的連接請求，并完成相應的信息傳遞，還能夠根據管理員的要求對接收到的信息進行分類歸檔，以供安全審計。

代理方式違規(guī)外聯(lián)監(jiān)控過程如下：違規(guī)外聯(lián)監(jiān)控代理實時監(jiān)控所在內網終端的上網行為，定期將收集到的內網終端信息發(fā)送到監(jiān)控報警中心。當監(jiān)測到異常情況時，違規(guī)外聯(lián)代理就會立即上報監(jiān)控報警中心，再由監(jiān)控報警中心告知安全管理員。

相對于雙機方式，代理方式違規(guī)外聯(lián)監(jiān)控的準確性有很大的提高，減少了誤報、漏報的概率，并能及時阻斷違規(guī)外聯(lián)終端的網絡連接。但這種方式也有其缺點：

（1）如果違規(guī)外聯(lián)監(jiān)控代理保護不當，被用戶終止后，系統(tǒng)就無法再監(jiān)控違規(guī)外聯(lián)行為。

（2）如果安裝在內網終端上的安全防護軟件阻斷了監(jiān)控代理與監(jiān)控報警中心之間的通信，那么監(jiān)控代理就無法把監(jiān)控到的異常信息上報給監(jiān)控報警中心，將導致違規(guī)外聯(lián)監(jiān)控的失效。

1.3 雙機方式與代理方式的優(yōu)缺

代理方式相比雙機方式違規(guī)外聯(lián)監(jiān)控，準確性高，但實現(xiàn)相對復雜。每臺被保護的內網主機都需要部署違規(guī)外聯(lián)監(jiān)控代理程序，安裝部署的人力成本高，并且要保證該違規(guī)外聯(lián)監(jiān)控代理進程不能被用戶終止。雙機方式違規(guī)外聯(lián)監(jiān)控無需在被監(jiān)控內網終端上安裝任何軟件，部署簡單方便。但雙機方式違規(guī)外聯(lián)監(jiān)測方式也存在著以下難以解決的問題：

（1）違規(guī)外聯(lián)終端和外網監(jiān)控報警服務器之間的信息傳遞必須選擇合適的網絡協(xié)議，以繞開防火墻等安全防護設施，確保通信的可達性。

（2）有些操作系統(tǒng)根據發(fā)送請求包設備的IP地址進行響應，而不是根據請求包的源IP進行響應。這將導致響應數據包被重新傳回內網，而不會被外網監(jiān)控服務器接收。

1.4 內網違規(guī)接入控制

內網違規(guī)接入控制是違規(guī)外聯(lián)安全監(jiān)控的基礎，內網違規(guī)接入行為是指主機或終端未經授權而非法接入內網，通過IP地址盜用非法接入是實現(xiàn)內網違規(guī)接入的主要手段。目前的解決方法是通過IP-MAC綁定來防止IP地址盜用進行非法接入。如果違規(guī)接入用戶同時修改了IP和MAC，使得IP-MAC配對信息與合法綁定列表一致，就可以有效避免內網接入控制。

2 混合方式違規(guī)外聯(lián)監(jiān)控方案

2.1 混合方式違規(guī)外聯(lián)監(jiān)控方案概述

在目前2種違規(guī)外聯(lián)監(jiān)控解決方案的基礎上，各取其長，提出了混合方式違規(guī)外聯(lián)監(jiān)控解決方案。混合方式解決方案由內網平臺和外網平臺組成，采取內網平臺為主、外網平臺為輔的系統(tǒng)架構，其中外網平臺是1臺獨立的外網違規(guī)外聯(lián)監(jiān)控服務器；內網平臺由內網違規(guī)外聯(lián)監(jiān)控代理和違規(guī)外聯(lián)監(jiān)控服務器組成。

2.1.1 內網違規(guī)外聯(lián)監(jiān)控服務器

內網違規(guī)外聯(lián)監(jiān)控服務器應具備以下功能：

（1）掃描內網在線設備，收集內網在線設備信息，建立可信內網主機列表以提供初始數據。

（2）向內網的違規(guī)接入設備發(fā)送欺騙包，阻斷內網違規(guī)接入。

（3）向違規(guī)外聯(lián)監(jiān)控代理發(fā)布違規(guī)外聯(lián)安全策略和升級文件。

（4）向信息安全管理員實時發(fā)送安全事件告警信息。

（5）接收內網違規(guī)外聯(lián)監(jiān)控代理上報的安全事件信息。

（6）對收集信息進行分類歸檔，為信息事件安全審計提供依據。

2.1.2 違規(guī)外聯(lián)監(jiān)控代理

違規(guī)外聯(lián)監(jiān)控代理應具備以下功能：

（1）監(jiān)測宿主主機的違規(guī)外聯(lián)情況。

（2）及時將發(fā)現(xiàn)的信息安全事件上報內網違規(guī)外聯(lián)監(jiān)控服務器和外網違規(guī)外聯(lián)監(jiān)控服務器。

（3）將宿主主機的運行信息和代理程序的運行信息周期性上報內網違規(guī)外聯(lián)監(jiān)控服務器。

（4）向內網違規(guī)接入設備發(fā)送欺騙包，阻斷違規(guī)接入。

（5）記錄用戶斷開內網時期的違規(guī)外聯(lián)嫌疑行為日志。

（6）對斷開內網上外網、再重新聯(lián)入內網的行為進行上報。

外網違規(guī)外聯(lián)監(jiān)控服務器是混合方式違規(guī)外聯(lián)監(jiān)測方案的重要輔助系統(tǒng)，對違規(guī)外聯(lián)監(jiān)控起到了重要的完善作用。在內網違規(guī)外聯(lián)監(jiān)控服務器無法接收違規(guī)外聯(lián)代理上報的信息安全事件的情況下，外網違規(guī)外聯(lián)監(jiān)控服務器可以通過外網接收違規(guī)外聯(lián)日志信息，并通告信息安全管理員。

2.2 混合方式違規(guī)外聯(lián)監(jiān)控方案研究

2.2.1 違規(guī)外聯(lián)監(jiān)控

違規(guī)外聯(lián)行為監(jiān)控由監(jiān)控內網主機路由表實現(xiàn)。任何主機要與其他網絡通信必須要有到這個目標網絡的路由。缺省情況下，企業(yè)內網主機的路由表中只有一條默認路由，其下一條地址就是本機網關地址。如果這個網關的IP地址或MAC地址出現(xiàn)錯誤，就會導致主機與其他網絡之間的通信不可達。所以，監(jiān)控主機路由表是監(jiān)控主機違規(guī)外聯(lián)的有效方法。具體過程如下：定義一條缺省的內網主機路由，包括網關的IP地址和MAC地址，作為基準路由。如果內網主機修改了該基準路由信息，說明該內網主機試圖連接未經授權的網絡，表明該內網主機具有違規(guī)外聯(lián)的傾向。

違規(guī)外聯(lián)監(jiān)控代理定期輪詢宿主主機的路由表，并將該路由表與基準路由進行比對，一旦出現(xiàn)基準路由信息與內網主機路由信息不一致，就記錄該主機信息，并上報內網違規(guī)外聯(lián)監(jiān)控服務器，同時刪除路由表，切斷該主機的網絡連接，阻斷這次違規(guī)外聯(lián)行為。如果無法上報內網違規(guī)外聯(lián)監(jiān)控服務器，違規(guī)外聯(lián)代理就向外網違規(guī)外聯(lián)監(jiān)控服務器上報，通過外網違規(guī)外聯(lián)監(jiān)控服務器將告警發(fā)送至信息安全管理員。

2.2.2 違規(guī)外聯(lián)嫌疑監(jiān)控

違規(guī)外聯(lián)嫌疑行為主要指內網主機中斷內網連接，再聯(lián)入外網的行為。違規(guī)外聯(lián)嫌疑監(jiān)控是對違規(guī)外聯(lián)監(jiān)控預警的完善和補充。違規(guī)外聯(lián)嫌疑行為一般發(fā)生在內網違規(guī)外聯(lián)監(jiān)控代理與內網違規(guī)外聯(lián)監(jiān)控服務器通信異常的情況下。當內網違規(guī)外聯(lián)監(jiān)控服務器沒有收到內網違規(guī)外聯(lián)監(jiān)控代理上傳信息，也沒有收到內網違規(guī)外聯(lián)監(jiān)控代理上傳的關機信號時，內網違規(guī)外聯(lián)監(jiān)控服務器就會向該主機的違規(guī)外聯(lián)監(jiān)控代理發(fā)送TCP探測包。如果內網違規(guī)外聯(lián)監(jiān)控服務器未收到回復包，就說明該主機的網絡連接已經斷開，或出現(xiàn)了非法關機的情況。如果收到了該主機TCP RST回包，則說明該主機上的違規(guī)外聯(lián)監(jiān)控代理進程已經被屏蔽，系統(tǒng)就會生成違規(guī)外聯(lián)嫌疑記錄并上報網絡安全管理員。如果沒有收到回復，則說明該內網主機已經被防護屏蔽或網絡物理連接已斷開，監(jiān)控代理將記錄在違規(guī)外聯(lián)嫌疑日志，待該內網主機聯(lián)入外網時，監(jiān)控代理就會把違規(guī)外聯(lián)日志上報至外網違規(guī)外聯(lián)監(jiān)控服務器；或待下次監(jiān)控代理正常連接內網監(jiān)測服務器時，將情況上報；如果內網違規(guī)外聯(lián)監(jiān)控服務器監(jiān)測到內網主機長期不在線，系統(tǒng)也會生成違規(guī)外聯(lián)嫌疑記錄并上報網絡安全管理員。

2.2.3 內網違規(guī)接入監(jiān)控

本文在ARP欺騙偽造網關的基礎上，提出了一種改進的ARP欺騙方式來阻斷聯(lián)網計算機的正常通信。內網違規(guī)外聯(lián)監(jiān)控服務器通過與內網違規(guī)外聯(lián)監(jiān)控代理互動，建立了合法聯(lián)網計算機列表。內網違規(guī)外聯(lián)監(jiān)控服務器周期性地對聯(lián)網設備進行輪詢，并把輪詢結果與可信任計算機清單進行比較。如果發(fā)現(xiàn)有未安裝違規(guī)外聯(lián)監(jiān)控代理的聯(lián)網設備，違規(guī)外聯(lián)監(jiān)控服務器就認為是違規(guī)接入設備，違規(guī)外聯(lián)監(jiān)控服務器就會向該違規(guī)接入設備發(fā)送ARP欺騙包，把偽造的網關地址信息與合法聯(lián)網設備的地址信息發(fā)送給這臺違規(guī)接入設備，使該主機無法獲得正確的ARP列表，從而阻斷該主機與本地網絡及其他網絡的正常通信。還可以利用主機操作系統(tǒng)的IP控制列表，阻斷與其他主機的連接，從而阻斷其他主機通過本地主機進行違規(guī)內網接入。

3 結語

本文對違規(guī)外聯(lián)行為進行了分析，對當前的違規(guī)外聯(lián)監(jiān)測方案進行了深入的比較研究。根據目前方案中的缺陷和不足，提出了改進的違規(guī)外聯(lián)監(jiān)控方案，從技術層面斷絕了違規(guī)外聯(lián)事件的發(fā)生，可有效保障信息內網安全。

[1]謝家榮.涉密計算機保密防范技術研究[J].計算機與數字工程，2000，28（5）∶63-66.

[2]過莉.企業(yè)計算機網絡安全防護的幾點措施[J].廣東電力，2005，18（6）∶87-89.

[3]李建.計算機網絡安全的現(xiàn)狀及探討[J].職業(yè)技術，2008（1）∶86-86.

[4]隋廣涵.非法外聯(lián)監(jiān)控系統(tǒng)的研究與實現(xiàn)[D].吉林大學，2005.

[5]禹曉慶.網絡物理隔離安全防御技術[J].中國電子出版，2000（6）∶59.

[6]杜虹.談談“內網”安全[J].信息安全與通信保密，2005（1）∶81-81.

[7]黃建輝.一個內網監(jiān)控系統(tǒng)的研究與實現(xiàn)[D].浙江工業(yè)大學，2009.

（本文編輯：徐晗）

Research of Safety Supervision on Unauthorized External Connection in Inner Electric Power Networks

CHEN Xiao jie，HONG Zhi hua，SUN Yi ze，WANG Yong
（Ningbo Electric Power Bureau，Ningbo Zhejiang 315010，China）

With the development of electric informatization，information security has become an important factor for safe and stable operation of power grid.As the internet continues to develop and the extensive application of new technologies，security incidents increasingly take place in intranet computers，and unauthorized external connection brings significant risks to the confidentiality of intranet.Unauthorized external connection results in information leakage,which gives opportunity to hacker attack.By analyzing the method of monitoring unauthorized external connection,the paper proposes an improvement scheme，which enables comprehensive monitoring on unauthorized external connection of computers in intranet and unauthorized access of external computers to intranet；furthermore，the scheme enables the generation of warning information to inform safety administrator of intranet in due cause of time.

network security；unauthorized external connection；unauthorized access；two-machine mode；agent mode

TP311.563

：B

：1007-1881（2013）10-0070-04

2013-01-17

陳曉杰（1982-），男，浙江寧波人，工程師，從事信息網絡安全工作。