電力系統專網違規外聯綜合防護體系研究

顧浩 譚玉瑩 張銘倫

關鍵詞： 電力系統；外網；專網；違規外聯；綜合防護體系

0 引言

電力系統是國家能源命脈之一，其網絡運行的可靠、穩定和安全直接影響著全國電力能源的供應和電力核心數據的安危。如今大變之世，和平中充滿著諸多動蕩，網絡攻擊戰在無形中持續上演，因此保障電力系統網絡安全更是刻不容緩[1-2]。電力系統有其重要和特殊的地位，其專網覆蓋全國，它和運營商所部署的互聯網（下稱外網）天然物理隔絕，從而減少了大量的互聯網攻擊，但若由于電力員工的誤聯操作、接入外置網絡設備、違規外修、利用“數據線遠程”繞過等原因，造成電力系統專網（下稱內網）與外網直接或間接聯通起來，則使電力系統網絡失去了物理隔絕的保護，面臨著巨大的網絡安全風險[3-5]。

為解決專網違規外聯問題，經過諸多學者的努力，現已有多項研究成果。曲廣平等人[6]利用操作系統自身攜帶的訪問控制策略，通過限制數據包轉發范圍，從而切斷終端與互聯網之間的通路，但其并未考慮到安全策略本身的防護和接入合法問題。陳曉杰等人[7]通過融合代理和雙機監控的優勢，提出一種改進的電力系統網絡違規外聯監控方法，但其并未對違規外聯問題本身的解決給出方案。葉水勇等人[8]提出一種通過在計算機終端上安裝軟件防火墻的方式，過濾互聯網數據包，解決違規外聯問題，但其并未考慮軟件策略和網關防護問題。為了彌補上述方案的不足，文章提出一種兼具終端硬件、終端操作系統和網絡層面防護能力的綜合防護體系CPIO（Comprehen?sive Protection System for Illegal Outreach，CPIO） 。

1 違規外聯綜合防護體系CPIO

違規外聯綜合防護體系CPIO深入分析違規外聯發生的根本原因，分別從終端硬件、終端操作系統和網絡層面破除違規行為發生的必要條件，從而達到違規外聯防護的目的。違規外聯防護總體目標分為兩點，一是實現內網終端在物理接入外網時，無法訪問外網資源；二是實現外網終端在物理接入內網時，無法訪問內網資源。

通過防護總體目標可知，違規外聯防護措施的核心在于阻斷非法接入設備的流量外出。為阻斷非法設備流量外出，CPIO從終端操作系統自身出發進行第一道阻斷，然后從網絡層進行第二道阻斷。在圖1 中，CPIO終端操作系統層阻斷主要是從避免終端接入非法流量收發設備（外置網卡等）、防止篡改終端網絡連接信息、消除非法路由、控制可達范圍和確保網關合法等方面著手，最大限度地降低非法流量外出的概率。除此之外，為保護上述加固措施不被破壞，依照按責賦權的原則，降低終端使用人員對操作系統的操作權限，同時為防止操作系統自身被非法篡改，CPIO增加了終端硬件層防護措施。在圖1中，CPIO 網絡層阻斷主要是從設備和用戶接入合法化校驗入手，由于終端的網絡連接配置信息由網絡層固定分配，因此確保接入合法化也是保證終端操作層中網絡相關防護措施的有效性。

1.1 終端硬件層防護

在CPIO中，終端操作系統上需配置多項防護措施，為確保這些防護措施的安全有效，防止違規破解操作系統管理員賬戶密碼、重裝操作系統等行為的發生，需對終端操作系統進行相關保護。通常情況下，若想實施上述重裝或破解密碼行為，首先需在終端主板BIOS系統中配置移動存儲介質引導啟動順序，然后利用移動存儲設備中已安裝的PE（PreinstallationEnvironment，PE） 引導終端啟動或破解工具，以此來實現操作系統的重置或賬戶密碼變更。在CPIO中，通過設置CMOS密碼來防止BIOS配置被非法篡改，同時為避免利用主板電池放電或更改CMOS跳線來破解CMOS密碼，需將主機鎖入專用主機柜中，僅暴露必要的接口面板和按鍵。終端硬件層防護實現過程為：① 進入終端主板BIOS系統，配置啟動引導，將本機操作系統存儲設備設為第一啟動項；②設置CMOS密碼；③保存配置退出；④將終端主機放于專用機柜中上鎖。

1.2 終端操作系統層防護

終端操作系統層防護基于終端硬件防護，分別從賬戶權限防護、設備接入防護、網絡連接防護、路由防護、訪問策略防護和網關防護6個方面對終端操作系統進行違規外聯全面加固，其中賬戶權限防護又為其余5項提供安全保障。

1） 賬戶權限防護

賬戶權限防護是終端操作系統層防護的第一道防護措施，是其余防護措施的基礎。通常情況下，用戶使用Administrator管理員組賬號登錄系統，其權限過大，無法防御非法篡改系統防護配置。在電力系統一般辦公場景下，用戶僅需使用User用戶組賬號即可滿足正常需求。User用戶組賬號不能修改組策略、網絡連接屬性、路由配置、重新安裝操作系統等。在CPIO中，管理員賬戶僅作為專業運維人員的運維賬戶，為普通用戶日常辦公創建User組賬戶，通過配置管理員賬戶密碼禁止普通用戶使用管理員賬戶登錄。賬戶權限防護實現過程為：①進入系統賬戶管理，創建普通賬戶；②進入計算機管理，在本地用戶和組模塊中，將新創建的普通賬戶加入User組；③更新管理員賬戶密碼并保密；④使用普通賬戶登錄系統。

2） 設備接入防護

設備接入防護主要為解決用戶違規使用外置網卡、藍牙、數據線遠程控制設備等問題。每個接入計算機的設備在操作系統中都存在唯一的硬件ID屬性，通過配置準入設備ID白名單，從而實現對接入設備的控制。設備接入防護實現過程為：①在計算機設備管理中確定許可安裝的設備硬件ID；②進入系統組策略設備安裝模塊，啟用設備ID白名單訪問控制策略；③ 將許可安裝的設備ID配置于策略白名單中。

3） 網絡連接防護

網絡連接防護主要為解決用戶私自修改連接屬性，包括網關、DNS、IP地址等信息的問題。如果用戶非法私自修改網絡連接信息，則內網終端可以訪問外網或是外網終端訪問內網。在CPIO中，通過對網絡連接屬性權限進行控制，實現只有管理員賬戶才可對其進行運維。其次，如果啟用動態主機配置DHCP功能，一旦內網主機連入外部網絡，則會直接獲取到正確的外網連接配置信息，從而導致違規外聯的發生，外網主機連入內網亦是如此。在CPIO中，網絡連接屬性IP地址、掩碼和DNS通過靜態配置完成，不配置網關。網絡連接防護實現過程為：①在系統服務模塊中關閉DHCP Client服務；②在網絡連接屬性中，配置靜態連接信息；③進入系統組策略用戶配置中的網絡連接模塊，啟用禁止訪問連接屬性策略；④啟用禁止創建新連接策略。

4） 路由防護

路由防護主要是為解決終端默認路由訪問邊界過大的問題。由于電力內網獨立于運營商外網，因此其不受局域網私有網段限制，這樣一來，內網終端上可能存在和外網重疊的網段路由。如果該重疊路由不是按需配置，而是使用默認路由，一旦內網主機和外網網關一致，且內網主機又接入外網時，內網主機則擁有主動訪問任何外網資源的路由，這無疑是非常危險的。在CPIO中，由于不配置網關，因此不會產生指向網關的默認路由，而是在終端上配置所需的靜態路由，從而縮小終端網絡暴露范圍，極大地降低了發生外聯時的威脅。路由防護實現過程為：①確定電力系統中內網終端所需訪問網段；②在系統DOS界面中，使用route命令配置靜態路由，下一跳為實際網關地址。

5） 網關防護

網關防護的主要作用是：當內網和外網局域網網關IP地址重疊時，阻斷外聯流量，避免違規外聯發生。上述情境下，路由防護只是盡可能地降低終端網絡暴露風險，但違規外聯依舊會發生。在CPIO中，通過在終端操作系統中綁定網關設備的IP和MAC地址，確保網關設備的唯一合法性，從而避免網關IP地址重疊時違規外聯事故的發生。網關防護實現過程為：①查看網關設備的IP 和MAC 地址；②在終端操作系統DOS界面上，使用“netsh interface ipv4 show in”命令查看網絡連接編號Idx；③使用netsh -c i i add neighbors “網絡連接編號Idx”“網關IP地址”“網關MAC地址”命令，進行網關綁定。

6） 訪問策略防護

訪問策略防護是對路由防護的進一步加固，防止在路由防護配置存在缺陷的情況下，確保內網終端訪問范圍不擴大，從而降低違規外聯風險。在CPIO中，采用終端操作系統自身的網絡訪問控制策略實現流量控制。首先，通過配置允許源為終端合法網絡連接中的IP地址，目標地址為所需訪問的內網地址段的控制策略，然后配置拒絕目的地址為任意的默認控制策略，從而實現內網終端只可訪問被許可的網段。訪問策略防護實現過程為：①在終端操作系統組策略中創建IP安全策略；②添加允許訪問的目標網段的IP策略；③添加禁止一切訪問的默認策略。

1.3 網絡層防護

網絡層防護以阻斷外網設備接入內網為核心，精控網絡流量，細化防護粒度，從而防止內網數據外泄和保證內網終端的合法性。為實現網絡層防護需求，CPIO采用了靜態IP源防護和用戶級接入防護，其中靜態IP源防護以地址為防護粒度，確保入網設備和地址的合法性。用戶級接入防護則是在靜態IP源防護的基礎上，精細防護粒度，對網絡用戶的合法性進行驗證，降低外網終端冒充合法終端接入的可能性。

1） 靜態IP源防護

在網絡連接防護中，采用了靜態配置終端IP地址的方式，該IP是由運維管理員固定分配，為了防止非法終端冒充接入內網，CPIO在終端接入網絡設備上開啟靜態IP源防護。所謂靜態IP源防護，是通過手動將用戶終端IP地址和MAC地址的映射關系寫入接入網絡設備的DHCP Snooping表中，當用戶終端數據包到達接入層網絡設備時，網絡設備會對數據包的源IP地址和MAC地址的映射關系進行檢測，若在DHCPSnooping 表存在記錄，則允許通過，反之則不允許通過。

相較在核心層網絡設備上配置ARP綁定來實現合法接入，CPIO中的靜態IP源防護有兩大關鍵優勢。①可實現接入層IP地址合法接入，即可阻斷非法終端訪問同VLAN網絡終端，這對于電力系統網絡安全尤為重要。②可阻斷非法終端單向數據發送，即采用ARP綁定時。雖然非法客戶端無法收到遠端網絡數據，但其仍可主動將本地數據發往遠端網絡設備。靜態IP源防護實現過程為：①在接入網絡設備上開啟DHCP服務，但不啟用地址分配功能；②在接入網絡設備上開啟DHCP Snooping服務，在連接終端的接口下開啟IP地址源防護；③配置終端DHCP Snoop?ing靜態綁定表。

2） 用戶級接入防護

靜態IP源防護實現的是終端設備級接入防護，在電力系統中，為了更進一步實現一人一機的網絡接入要求，避免非法終端冒充合法內網終端接入內網，CPIO采用802.1x技術實現用戶級合法接入，只有終端用戶輸入合法的用戶名和密碼，才可通過接入驗證。用戶級接入防護實現過程為：①在接入層網絡設備上開啟802.1x認證；②在接入層網絡設備上為終端用戶配置認證用戶名和密碼；③在接入層網絡設備上激活認證用戶，并在終端上認證測試。

2 結束語

網絡安全是電力系統安全生產過程中的重要一環，而違規外聯防護又是其關鍵基礎。為解決違規外聯問題，保障內網運行和數據安全，文章綜合考慮了產生違規外聯的各種條件，針對性地從終端硬件設備、操作系統和網絡層三個方面著手，提出了一種可極大降低違規外聯發生概率的綜合防護體系CPIO，并給出了防護措施的實現方法，破除了產生違規外聯的必要條件，基本解決了電力系統中專網違規外聯的問題。