信息安全運維審計模型研究

陳劍飛, 孫強, 孔德秋

(1. 國網山東省電力公司, 濟南 250001; 2. 國網山東省電力公司 威海市文登區供電公司，威海 264400;3. 國網山東省電力公司 經濟技術研究院， 濟南 250001)

0 引言

隨著智能化電力信息系統的發展，逐漸暴露了許多問題。由于電力行業信息安全的特殊性，其龐大的內部數據及各個層次子系統之間信息的交互一旦出現泄露或被篡改，將會造成不可挽回的損失。如何防范來自于系統外部及內部的風險是一個至關重要的問題[1-2]。信息安全是一項復雜的信息系統工程，其主要研究對象為網絡環境中數據的安全性、可靠性以及完整性，并確保網絡信息系統的軟硬件及其系統中的數據不會受到破壞，保證網絡信息系統可以連續穩定的運行[3]。隨著信息系統所采用安全防御手段的更新迭代，來自系統外部的網絡攻擊等事件造成的危害變得越來越少，而來自內部的安全威脅則變得越來越不可忽視。在電力企業的信息系統安全方面，電力運維人員具有高度的系統權限，一旦出現惡意操作或行為將造成巨大的損失[4]。據調查統計，企業遭受的網絡安全威脅中，約75%的來源于系統的內部違規和不正當行為，其危害程度已大大超過外部入侵所帶來的損失[5-7]。因此，加強系統內部管理和運維人員行為的審計及管理是建立安全信息系統的必然趨勢。信息安全的組成部分主要包含了系統本身所采用的安全防護技術，以及外部入侵檢測等方面。其所有的技術手段的實施進行都應在信息安全模型的框架內進行。

目前，隨著安全技術手段的更新，信息運維安全的范疇也在快速擴大，系統所遭受的安全風險也成倍增長。為了保障信息系統免受外部攻擊及內部隱患的影響，必須同時從信息系統中的硬件及軟件杜絕可能可能發生的危險。本文針對電力系統信息安全對運維審計的需求, 提出了運維審計的網絡模型，通過對兩種網絡模型的分析，對信息安全運維審計模型作出了描述。

1 運維審計模型的研究

1.1 運維審計模型

運維是指運維人員為了保障系統的可持續運轉而對系統進行的維護及遠程操作。其流程圖如圖1所示。

(a)

第一步，運維人員在系統上輸入身份信息，隨后，所輸入的身份信息經過系統的識別查驗，如果身份信息正確，則運維人員可在系統上執行所需的操作，反之，則直接結束運維操作，如圖1(a)所示。將以上運維操作流程圖進行簡化，得到運維操作模型，我們將運維開始到運維結束之間的整個過程稱為運維過程，如圖1(b)所示。

為了應對潛在的風險，需要在上述操作模型中加入審計模型，審計模型即在介于運維開始與運維結束之間的運維過程中增加了驗證運維操作人員權限和管控運維操作行為這兩個操作，其具體流程如圖2所示。

同樣，如圖2(a)所示在上述運維操作流程中加入運維審計過程，即介于運維登錄和運維結束之間的過程，并對其進行簡化分析，得到了如圖2(b)所示的運維審計模型。首先，在運維人員通過網絡遠程登錄后，審計模型就會介入工作，對運維人員的運維權限進行驗證。

1.2 經典的網絡模型

網絡模型指基于開放系統互聯參考模型(OSI/RM)的7層網絡參考模型以及基于TCP/IP的4層網絡參考模型。在網絡中，該兩種網絡模型應用最為廣泛。OSI/RM的層次結構如圖3所示。

它把整個網絡通信功能分為7個具有獨立功能的層次，每層都對應于一個實體。在這些獨立的層次中，每一層是相互關聯的，每一層的功能是用來為上一層使用并提供相關服務。其中，各個相鄰層次實體之間的通信方式我們稱之為接口，而同一層次中的通信稱之為協議。

TCP/IP是傳輸控制協議/因特網互聯協議的縮寫，經過多年的發展，已成為應用最廣泛的網絡體系結構[8]。TCP/IP協議定義了設備與網絡連接以及數據信息在網絡中傳輸所用的標準，對其進行研究具有重要的現實意義，其層級結構如圖4所示[9]。

(a)

(b)

圖3 開放系統互聯參考模型(OSI/RM)

圖4 層級結構的TCP/IP網絡參考模型

TCP的作用主要是負責檢測傳輸中的所出現的問題，同時保證所需傳輸的數據可以安全無誤的傳輸到目的設備，而IP則負責給網絡中的每臺聯網設備提供地址。

在上述網絡參考模型中，其中的每一層都與OSI體系結構中的某一層或幾層很好的對應。OSI的優點較多，譬如其功能的多樣性及架構的完整性，然而其缺點也很明顯，主要體現在其體系的復雜性，使得其中的一些設計難以通過編寫軟件來直接實現。相較于OSI，TCP/IP體系結構較早的在計算機系統中，且該體系結構提供了編程接口以便在其上可以開發出多種多樣的應用程序，因此，其應用范圍較廣，目前已經成為網際互連上的標準。在運維操作過程中，如果需要獲取所產生的網絡數據包，需采用基于旁路及代理的網絡模型。

2.3 基于旁路的審計網絡模型

在基于旁路的審計網絡模型中，運維客戶端、運維審計系統及運維服務器三者之間采用了分流器來實現連接，其模型圖如圖5所示。

圖5 基于旁路方式的審計網絡模型

首先，運維客戶端與運維服務器進行通訊，然后在旁路模式的基礎上，部署運行維護審計系統，并對運行維護數據進行分析和記錄。

在基于旁路的運維審計模型中，數據的獲取和內容的解析是主要的兩大難題。在開放式的網絡環境下，設備可以接收到網絡上發送的所有數據。但若在交換式的以太網絡環境中，該方式只可以捕捉到發送目標為本機的數據包，而無法捕捉目標為其他主機的數據。另一個亟需解決的問題是數據內容的解析。若運維客戶端與運維服務器之間的數據內容是通過明文的方式傳輸，則運維系統可以較容易的將所傳輸的協議內容解析成功。然而多數情況下，為了保證數據傳輸的安全性，傳輸數據內容是加密的，此時運維審計系統接收到的數據是加密后的數據，則無法對其進行解析。如今，隨著逃避檢測的手段越來越復雜，以及用來加密數據內容的技術越來越完善，采用旁路方式可以獲得有用處的信息越來越少，亟需借助其他手段來獲取數據。

1.4 基于代理的審計網絡模型

甚于代理的審計網絡模型如圖6所示。

圖6 基干代理方式的運維審計網絡模型

在該模型中，運維客戶端通過運維審計代理與運維服務器進行連接。運維開始后，運維客戶端首先將數據通過運維協議直接發送給運維審計代理，在運維審計代理對其進行處理之后將數據通過運維協議再轉發給運維服務器[10]。運維審計代理在運維客戶端及運維服務器之間轉發數據的同時會對數據包進行分析及記錄。相反的，當運維服務器將數據反饋到運維客戶端時同樣也經過運維審計代理發送。

在基于代理的運維審計模型中，運維審計代理作用不僅是轉發運維客戶端及運維服務器的數據內容，還需要對通過加密方式傳輸的數據內容進行解密，所以其采用了協議代理的方式對運維協議內容轉發，并且在轉發的過程中模擬了協議的客戶端和服務端，具體如圖7所示。

圖7 基于代理的運維審計網絡模型的運維審計代理過程

基于TCP/IP模型的運維審計代理的體系結構如圖8所示。

圖8 基于代理的詳細運維審計網絡模型

當運維開始后，運維審計系統首先模擬成服務端來接收客戶端所發送的數據信息，運維審計系統對協議內容進行解析以及記錄，并獲取到客戶端所發送的指令，然后運維審計系統模擬成操作的客戶端與服務器建立聯系，將解析出來的指令發送給服務器。隨后服務器將信息返回到運維審計系統，反向執行此過程。在運維過程中，運維審計系統會對各種信息，包括客戶端及服務器端發出的信息指令進行記錄，同時，運維審計系統也會對其進行驗證識別，如驗證結果識別出包含有安全隱患的違規操作，審計系統會立刻終止數據包的發送，以確保系統的安全。整體來看，基于代理的運維審計模型可以很好與基于旁路的運維審計模型形成互補。

然而該審計模型也有其不可避免的缺點，由于采用了代理環節，使得運維審計代理需要在客戶端與服務器之間處理雙方的數據，如若此時的數據內容是加密的，運維審計代理還需對接收到數據進行解密，將數據解密記錄驗證后，還需對其進一步進行加密才能進行轉發，這無形中會增加整個過程的復雜度。

2 基于角色的訪問控制模型

基于角色的訪問控制(RBAC)模型最早在上世紀七十年代被提出，當時的背景是為了使企業的計算機管理與其實際情況更加相符。與傳統的訪問控制方法相比，該方法是面向安全策略的一種有效的訪問控制措施。其核心模型如圖9所示。

圖9 RBAC核心模型

RBAC核心模型是由用戶、會話、角色及權限四種元素組成[11]。其中用戶和角色的關系是多對多，角色承擔為用戶賦予權限的任務。首先，系統根據實際的需求，設立若干角色且為這些角色賦予權限，然后為不同用戶賦予角色。該模型的核心思想是將權限與角色直接聯系，通過角色的定義，實現了用戶與權限在邏輯上的分離，進而使授權管理變得更加簡便[12]。

3 基于GFAC的運維審計訪問控制模型

基于通用訪問控制模型(GFAC)是繼RBAC訪問控制模型后出現的一種更加完善的模型。該模型提供了一個可以支持多種安全政策的框架，可以使用戶更加方便快捷的分析各種訪問控制政策的優勢及劣勢，并甄選其中的一些政策進行配置進而獲得所需要的安全政策[13]。已集成了RBAC的通用訪問控制模型GFAC，如圖10所示。

圖10 基于RBAC核心模型的訪問控制框架(GFAC)

GFAC模型可以有效的將系統的訪問策略與其行為區分開來。其中的訪問控制實施組件對應了系統操作模型，其主要功能為提取主體對客體的訪問請求，提取到的請求后，將其轉發到訪問控制決定組件，請求判斷訪問是否被準許。訪問控制決定組件判定后將決策反饋到訪問控制實施組件，訪問控制實施組件根據訪問控制決定組件的判定結果進一步控制主體對客體的訪問。

4 總結

基于信息系統運維審計的安全要求，本文提出了信息安全運維審計的網絡模型，并分析對比了基于旁路及代理的運維審計網絡模型，實現了對運維人員、主機及網絡設備進行統一管理和授權，并對運維人員的操作過程進行控制、記錄及回放。對運維審計模型的訪問及控制機制作了詳盡的描述分析。作為信息安全建設中不可或缺的部分，信息安全運維審計在保障企業信息安全及完整中起到了至關重要的作用。