信息網(wǎng)終端主動(dòng)式安全防護(hù)探究

葉水勇，張峻林，王文林，張 弛，李 瑩，宋浩杰，汪 靜

(國網(wǎng)黃山供電公司，安徽 黃山 245000)

電力信息網(wǎng)終端作為信息網(wǎng)的重要組成部分，直接承載了各類生產(chǎn)應(yīng)用開放的業(yè)務(wù)功能，給業(yè)務(wù)用戶帶來便捷的同時(shí)也面臨著許多不容忽視的安全威脅[1]。信息內(nèi)網(wǎng)終端由于病毒感染、移動(dòng)介質(zhì)的非法使用、內(nèi)外網(wǎng)互聯(lián)等行為給整個(gè)電力信息網(wǎng)帶來了極大的安全隱患。

1 電力信息網(wǎng)終端安全防護(hù)現(xiàn)狀

1.1 信息網(wǎng)及信息終端應(yīng)用現(xiàn)狀

國網(wǎng)黃山供電公司信息外網(wǎng)主要包括辦公桌面終端，方便專業(yè)管理人員接入互聯(lián)網(wǎng)，由省電力公司進(jìn)行安全防護(hù)管理；信息內(nèi)網(wǎng)包括市公司本部的局域網(wǎng)、變電站及營業(yè)廳使用的廣域網(wǎng)及縣公司網(wǎng)絡(luò)，并按照信息安全“分區(qū)、分級(jí)、分域”的防護(hù)規(guī)范要求，將信息內(nèi)網(wǎng)安全域劃分為網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、信息主機(jī)及應(yīng)用環(huán)境4個(gè)層次，各系統(tǒng)、網(wǎng)絡(luò)設(shè)備、終端劃分至相應(yīng)安全區(qū)域進(jìn)行防護(hù)[2-3]。

1.2 信息網(wǎng)終端安全防護(hù)現(xiàn)狀

隨著信息安全要求的不斷提升，電力信息網(wǎng)終端防護(hù)方法及技術(shù)也不斷提升，目前已形成基礎(chǔ)系統(tǒng)配置審計(jì)、終端行為審計(jì)及終端安全輔助支撐的三級(jí)主、被動(dòng)結(jié)合的防護(hù)機(jī)制。

(1)基礎(chǔ)系統(tǒng)配置審計(jì)。通過VRV客戶端定期對終端操作系統(tǒng)的Guest用戶、登錄口令強(qiáng)度、口令過期策略、系統(tǒng)補(bǔ)丁安裝情況進(jìn)行檢測，提示終端操作系統(tǒng)存在的安全風(fēng)險(xiǎn)；并由省電科院定期開展終端漏洞掃描工作，針對MS08-77、MS12-020等高危漏洞進(jìn)行掃描并提示整改。

(2)終端行為審計(jì)。通過VRV客戶端對終端用戶的違規(guī)內(nèi)外網(wǎng)互聯(lián)，使用非安全移動(dòng)存儲(chǔ)設(shè)備、趨勢防病毒客戶端對終端病毒感染情況進(jìn)行審計(jì)并提示終端用戶行為存在的安全風(fēng)險(xiǎn)。

(3)終端安全輔助支撐。為增加終端使用人員的信息安全意識(shí)，通過設(shè)置統(tǒng)一的安全警示屏保、公司內(nèi)網(wǎng)網(wǎng)站定期宣傳、辦公場所信息安全事故展等多種方式開展終端安全宣傳工作，進(jìn)一步提升人員信息安全意識(shí)。

1.3 信息網(wǎng)終端安全風(fēng)險(xiǎn)分析

在使用信息網(wǎng)終端時(shí)，部分員工的無意識(shí)行為和安全意識(shí)不足，給信息網(wǎng)安全帶來了一定的安全隱患，主要表現(xiàn)在以下幾個(gè)方面。

(1)日常終端安全維護(hù)不到位：部分員工疏于設(shè)置強(qiáng)口令密碼、定期更新密碼或者安裝最新補(bǔ)丁，對感染病毒也不做處理，終端使用處于亞健康狀態(tài)運(yùn)行。

(2)移動(dòng)存儲(chǔ)介質(zhì)使用規(guī)范性較差：移動(dòng)存儲(chǔ)介質(zhì)在信息內(nèi)、外網(wǎng)不同計(jì)算機(jī)終端之間頻繁使用，在無安全措施的情況下，給信息內(nèi)網(wǎng)帶來安全隱患。

(3) 有意無意的網(wǎng)絡(luò)行為：部分員工出于對網(wǎng)絡(luò)的興趣和愛好，在網(wǎng)絡(luò)中進(jìn)行認(rèn)證、注冊，從而構(gòu)成對網(wǎng)絡(luò)的威脅。如私自修改計(jì)算機(jī)終端IP地址、MAC地址等網(wǎng)絡(luò)配置，造成網(wǎng)絡(luò)IP地址沖突等問題；私自重裝操作系統(tǒng)，造成桌面注冊、防毒軟件等終端安全軟件缺失，帶來安全隱患。

針對信息網(wǎng)終端安全防護(hù)現(xiàn)狀及存在的安全問題，公司采取融合終端行為檢測、行為審計(jì)及網(wǎng)絡(luò)準(zhǔn)入的主動(dòng)式終端安全防護(hù)方法對網(wǎng)絡(luò)終端進(jìn)行管控。

2 終端主動(dòng)式安全防護(hù)方法

2.1 終端主動(dòng)式防御需求

由于信息網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)是非穩(wěn)定的，信息網(wǎng)信息終端的狀態(tài)隨著時(shí)間遷移、變遷到非安全狀態(tài)，從而給信息網(wǎng)帶來新的安全隱患；其次，信息網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)具有一定的可控性，當(dāng)在信息網(wǎng)中收集的網(wǎng)絡(luò)及用戶終端的狀態(tài)信息越多，越能夠準(zhǔn)確地判斷出終端給信息網(wǎng)帶來的安全風(fēng)險(xiǎn)，并及時(shí)給出應(yīng)對措施，控制網(wǎng)絡(luò)安全狀態(tài)[4]。及時(shí)并準(zhǔn)確地感知信息網(wǎng)及終端狀態(tài)是做好信息網(wǎng)安全的基礎(chǔ)，基于獲取的信息網(wǎng)運(yùn)行數(shù)據(jù)及終端狀態(tài)數(shù)據(jù)對終端接入進(jìn)行決策，將存在潛在安全風(fēng)險(xiǎn)的終端及非法終端進(jìn)行阻斷或隔離，可有效降低信息網(wǎng)存在的安全風(fēng)險(xiǎn)點(diǎn)，提升信息網(wǎng)的安全水平。

2.2 圍繞IP資源的終端主動(dòng)式防御建設(shè)方法

通過IP地址資源可以準(zhǔn)確掌握信息網(wǎng)接入的終端數(shù)目、接入位置、接入時(shí)間等數(shù)據(jù)，為終端安全準(zhǔn)入提供了基礎(chǔ)數(shù)據(jù)源[5-6]。圍繞IP資源的終端主動(dòng)式防御建設(shè)方法在已有VRV桌面管控系統(tǒng)及趨勢防病毒系統(tǒng)的基礎(chǔ)上建設(shè)終端接入管控體系，體系建設(shè)依據(jù)P2DR原理，通過建立合法終端設(shè)備臺(tái)賬形成準(zhǔn)入控制基線，以終端接入檢測及終端行為審計(jì)為監(jiān)測內(nèi)容，輔以終端準(zhǔn)入控制技術(shù)實(shí)現(xiàn)合法終端的準(zhǔn)入、未知終端及異常終端的接入阻斷，體系建設(shè)主要內(nèi)部如圖1所示。

圖1 地市電力公司終端接入管控體系

國網(wǎng)黃山供電公司從全局角度對信息網(wǎng)網(wǎng)絡(luò)資源及安全準(zhǔn)入行為進(jìn)行管理，首先圍繞IP地址梳理網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源及終端設(shè)備資產(chǎn)臺(tái)帳，并以此為基線建立合法接入設(shè)備集；再實(shí)時(shí)收集信息網(wǎng)中的接入IP地址表感知信息網(wǎng)中的接入設(shè)備，收集VRV桌面管控系統(tǒng)及趨勢防病毒系統(tǒng)中終端的審計(jì)數(shù)據(jù)，進(jìn)而檢測出非法接入終端及存在安全隱患的終端，最終依據(jù)審計(jì)策略對問題終端進(jìn)行隔離或阻斷。終端接入主動(dòng)式防御運(yùn)行流程見圖2。

圖2 終端接入主動(dòng)式防御運(yùn)行流程圖

2.2.1檢測基線建立與第一層接入防護(hù)

網(wǎng)絡(luò)接入設(shè)備類型包括電力信息網(wǎng)中接入的終端設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備等各類網(wǎng)絡(luò)接入對象，其中終端設(shè)備又包括臺(tái)式機(jī)、自助終端、打印機(jī)、網(wǎng)絡(luò)攝像頭等；網(wǎng)絡(luò)接入設(shè)備存在各個(gè)范疇的屬性，其中IP地址是設(shè)備接入到信息網(wǎng)必要的屬性之一。方法以IP為線索，建立區(qū)域-網(wǎng)絡(luò)地址資源段-VLAN-IP地址的樹形網(wǎng)絡(luò)地址資源管理模型，對市縣網(wǎng)絡(luò)地址資源地址段統(tǒng)一管理，形成可接入IP地址池，再以IP地址為索引對全網(wǎng)接入的物理設(shè)備、網(wǎng)關(guān)地址進(jìn)行梳理，理清IP地址、設(shè)備MAC地址、設(shè)備接入位置間的映射關(guān)系，并以此做為設(shè)備接入檢測的基線[7-8]。VLAN中的每個(gè)在用的IP地址與設(shè)備及設(shè)備接入位置關(guān)聯(lián)如圖3所示。

圖3 VLAN中終端臺(tái)賬、接入位置、使用人員及使用IP地址維護(hù)

建立終端準(zhǔn)入臺(tái)帳基線后，對信息網(wǎng)中的所有接入層交換機(jī)進(jìn)行接管。接入層交換機(jī)每個(gè)類型為access端口，通過端口安全規(guī)則限制該端口只能通過臺(tái)帳基線中接入位置為該端口的終端設(shè)備，當(dāng)端口下不存在基線中的接入設(shè)備時(shí)，關(guān)閉端口的自學(xué)習(xí)功能，保證未知設(shè)備在接入層無法接入信息網(wǎng)，給信息網(wǎng)安全帶來第一層防護(hù)。

2.2.2未知設(shè)備接入檢測及終端異常行為審計(jì)

信息網(wǎng)在運(yùn)行過程中網(wǎng)絡(luò)環(huán)境及終端狀態(tài)也在不斷發(fā)生變化，特別是存在通過匯聚層接入的未知設(shè)備以及存在異常行為的終端設(shè)備，給信息內(nèi)網(wǎng)安全帶來一定安全隱患；需要對未知接入設(shè)備及終端的異常行為進(jìn)行高效、準(zhǔn)確地自動(dòng)化檢測，及時(shí)發(fā)現(xiàn)潛在的終端安全隱患。

(1)未知接入終端檢測。雖然第一層安全防護(hù)可以主動(dòng)屏蔽多數(shù)未知設(shè)備的接入，但是對于惡意的mac地址模擬，或者通過未管控的端口還是可以接入設(shè)備，并通常伴隨有攻擊行為，為此需要快速檢測出未知的接入行為，為主動(dòng)防護(hù)提供決策數(shù)據(jù)。為快速發(fā)現(xiàn)未知設(shè)備，以接入設(shè)備臺(tái)賬基線為可信設(shè)備集合，通過后臺(tái)服務(wù)定期掃描所有的接入層交換機(jī)，獲取所有的接入層交換機(jī)當(dāng)前的接入設(shè)備mac表，通過比對可信設(shè)備集合和當(dāng)前的接入設(shè)備mac表，不屬于可信設(shè)備集合的mac地址對用設(shè)備認(rèn)定為未知設(shè)備；同時(shí)針對mac地址模擬行為，由于模擬mac接入的終端不會(huì)安裝VRV審計(jì)終端，在mac掃描完成后，從VRV服務(wù)器中讀取每個(gè)mac對應(yīng)終端的在線狀態(tài)，若設(shè)備已接入但VRV中顯示聯(lián)系，認(rèn)定為未知設(shè)備；通過mac比對及VRV在線情況分析最終得到未知的接入終端集合[9-10]。

(2)終端異常行為審計(jì)。終端運(yùn)行過程中的系統(tǒng)變化、用戶行為都會(huì)對信息網(wǎng)帶來安全隱患，需要及時(shí)檢測出終端的異常行為并依據(jù)策略處理[11]?，F(xiàn)有國網(wǎng)公司統(tǒng)一建設(shè)的VRV系統(tǒng)及趨勢防病毒系統(tǒng)已經(jīng)能夠較好地判斷出終端的部分異常行為，如違規(guī)外聯(lián)、弱口令、病毒感染等，但由于缺乏有效的聯(lián)動(dòng)機(jī)制，導(dǎo)致這些寶貴的數(shù)據(jù)只能用于告警，沒有充分發(fā)揮價(jià)值。通過整合VRV及趨勢系統(tǒng)的審計(jì)數(shù)據(jù)，在避免重復(fù)建設(shè)的情況下可有效獲取終端運(yùn)行狀態(tài)，檢測終端異常行為。VRV系統(tǒng)和趨勢防病毒系統(tǒng)在終端發(fā)生異常行為或感染病毒時(shí)會(huì)生成系統(tǒng)級(jí)告警日志，在數(shù)據(jù)整合時(shí)，通過數(shù)據(jù)庫觸發(fā)器技術(shù)，及時(shí)接入VRV系統(tǒng)及趨勢防病毒系統(tǒng)生成的告警日志記錄，并根據(jù)記錄內(nèi)容確定終端發(fā)生的異常行為類型，得到終端運(yùn)行過程數(shù)據(jù)，再依據(jù)審計(jì)規(guī)則對運(yùn)行過程數(shù)據(jù)進(jìn)行檢測，確認(rèn)終端的異常行為。審計(jì)項(xiàng)目見表1。

表1 終端行為審計(jì)項(xiàng)目

2.2.3基于檢測結(jié)果進(jìn)行主動(dòng)式防護(hù)

針對未知接入終端及發(fā)生異常行為的終端，采用在核心交換機(jī)ARP阻斷方法實(shí)現(xiàn)終端的準(zhǔn)入控制，通過將終端的mac地址綁定到未使用的IP地址實(shí)現(xiàn)對終端接入行為的控制。同時(shí)為增加ARP綁定操作的自動(dòng)化執(zhí)行程度，利用SNMP操作完成交換機(jī)的ARP綁定操作操作[12]。

ARP綁定操作步驟具體如下。

(1)記錄交換機(jī)的IP、SNMP讀串和寫串。

(2)在需要進(jìn)行ARP綁定時(shí)，首先利用SNMPwalk工具結(jié)合讀串獲取交換機(jī)的ARP表，按行對ARP表進(jìn)行解析，判斷待要綁定的ARP信息是否已存在，如果存在，則不再綁定，繼續(xù)下列步驟。

(3)根據(jù)待綁定的ARP對信息，利用SNMPwalk工具結(jié)合交換機(jī)寫串生成交換機(jī)ARP表增加操作，然后執(zhí)行；執(zhí)行完成后再次利用SNMPwalk工具結(jié)合讀串獲取交換機(jī)的ARP表，按行對ARP表進(jìn)行解析，判斷待要綁定的ARP信息是否已存在，如果存在，則綁定完成，否則綁定失敗。

3 實(shí)施效果

通過終端主動(dòng)防御建設(shè)，實(shí)現(xiàn)了地市公司終端接入的統(tǒng)一管理，有效地避免了未知終端及異常終端對整個(gè)網(wǎng)絡(luò)帶來的安全風(fēng)險(xiǎn)，提升了終端異常事件處理效率。國網(wǎng)黃山供電公司在實(shí)施終端主動(dòng)防御建設(shè)后，實(shí)現(xiàn)了終端異常事件的100%處理率。在實(shí)際運(yùn)行中，某終端插入了未注冊的U盤，體系支撐工具在10 s內(nèi)發(fā)現(xiàn)并進(jìn)行了阻斷，并在第一時(shí)間通過短信告警，此后運(yùn)行監(jiān)控組通過電話與終端使用人員進(jìn)行溝通確認(rèn)了未注冊U盤的使用。

4 結(jié)語

電力網(wǎng)絡(luò)終端接入的有效管控是日常網(wǎng)絡(luò)運(yùn)維中的重點(diǎn)工作。國網(wǎng)黃山供電公司依據(jù)P2DR理論并結(jié)合電力信息網(wǎng)終端接入及安全現(xiàn)狀給出了一種適合于地市電力公司使用的終端接入主動(dòng)式防御方法，通過建立終端臺(tái)賬基線，監(jiān)測未知接入及終端異常行為，并進(jìn)行合理阻斷，一方面保障了可信設(shè)備的安全接入，另一方面能及時(shí)發(fā)現(xiàn)未知接入設(shè)備，較好地實(shí)現(xiàn)了電力網(wǎng)絡(luò)接入設(shè)備的全面管控，具有較好的實(shí)用價(jià)值。