周 波 羊 明
电力信息系统是电力企业业务正常开展的基础平台。如何保障电力系统长期安全、稳定、高效地运行,一直是电力系统IT部门所面临的最紧迫的任务。网络信息安全维护是一个动态的保障过程,对信息系统的日常操作都有可能影响到信息网络的正常、高效运行。因此,在电力系统网络信息安全保障中引入操作审计系统,规范管理人员的日常维护行为,防止恶意破坏行为的发生,防范误操作可能造成的风险,分析安全事件原由,是整个信息安全保障体系中重要的一环。
目前,国内外针对操作行为审计主要采用旁路镜像网络流量分析,分析的主要协议为诸如TELNET、FTP、HTTP等明文协议,然而为了对抗网络窃听,远程管理工具正逐步由明文协议转向加密协议,例如SSH已经基本上代替了Telnet的位置;Windows的主要远程维护工具远程桌面(RDP)也采用了加密协议。对于这些加密协议,目前主流的网络流量分析型行为审计系统都无能为力,只能望洋兴叹。新一代的网络安全产品——操作堡垒主机系统,不仅支持对明文的TELNET、FTP、数据库操作进行审计,也支持对加密的SSH、RDP等协议进行审计,消除了传统行为审计系统中的审计盲点,能够为信息安全保障体系建设提供全面的、完善的审计解决方案。
一、现有管理模式
为了系统安全,在安全策略中关闭了远程桌面等工具的运行端口,采用本地操作方式,在操作前使用工作票或操作票进行步骤记录与风险防范,在出现问题时按记录的关键操作步骤进行回退,如果记录步骤不详细的话,可能会导致回退困难。另外本地操作方式,人员频繁进出机房,对机房环境与安全带来一定的安全隐患。
二、审计堡垒系统概述
(一)系统架构
审计堡垒系统一般由三大模块组成:应用代理模块、协议控制模块、管理模块。
应用代理负责对各类操作协议进行代理转发,完成基本的通讯功能。
协议控制模块负责根据设定的规则对指定协议进行过程控制,主要完成操作指令还原、生成回放文件、阻断异常操作等功能。
管理模块主要功能为:为管理员提供管理接口,提供操作日志查询、回放文件查看、审计报表维护规则配置、系统自身维护等。
(二)系统功能
1、所有协议支持
审计堡垒系统支持基本的远程操作协议,包括:SSH、Telnet、Rlogin、FTP;常用图形终端远程操作协议:RDP、VNC、Pcanywhere、Radmin;主流数据库远程操作,包括DB2、ORACLE、MSSQL、INFORMIX、SYBASE数据库的常用版本。
2、操作日志查询和操作行为回放
针对上述协议,审计堡垒系统能够记录整个会话的完整过程,并形成指令日志及回放文件2部分审计数据,指令日志供管理员针对操作指令进行快速审计,回放文件可供管理员针对特定的会话进行完整操作审计。可以根据操作协议中的用户名、IP、端口、时间、操作指令、返回结果等等信息进行多重组合查询。管理员可以通过审计堡垒系统强大的检索功能对关心的事件进行迅速定位。
3、异常操作阻断及告警
操作堡垒系统可以通过规则定义异常及非法操作行为特征,一旦检测到这些异常的操作行为,系统将直接阻断此操作,并断开该操作的TCP连接,因而能够有效防止各类违规操作事件的发生。同时系统也支持对危险指令的告警功能,通过短信、邮件等方式将告警信息及时发送给管理员。
4、审计报表呈现
操作保垒系统的报表功能,对操作日志进行归并、关联分析,支持按天、星期、月、年等周期自动生成报表,也可以由管理员即时生成所需的报表。通过报表呈现及时了解网络操作行为明细,分析信息系统安全脆弱点,提供信息安全管理决策参考依据。
(三)部署方式
操作堡垒系统可以采用多种部署方式,充分满足不同网络对审计系统的需求。如支持Active-Active双机模式,避免产生单点故障而影响正常的维护通道。堡垒主机的部署应与网络访问控制列表、企业管理制度相结合,可以取得更好的审计效果。
透明模式:堡垒主机以桥接方式透明串入网络,此时主机维护人员依照原有方式进行服务器维护,堡垒主机将自动识别网络流中的操作数据并进行审计。
代理模式:堡垒主机只需要一个独立的IP即可。所有维护数据均通过此IP进行代理。维护人员只要登录该IP的指定端口即可直接访问到服务器,无须进行二次登录。
三、审计堡垒使用意义
(一)全面操作审计
操作堡垒系统不仅支持Telnet、FTP、Rlogin以及主流数据库(DB2、Oracle、MSSQL、Mysql等)远程访问协议审计,还提供SSH、RDP、VNC加密协议的审计支持;操作堡垒系统完整记录会话的整个过程,并形成会话日志和事件回放文件。消除安全审计盲点,全面审计网络操作行为。
(二)增强网络安全性
在代理模式下,通过堡垒主机的部署,网络中原来所有服务器都需要对外开放维护端口变为由单一的堡垒主机提供对外维护端口,减少了网络暴露,堡垒主机本身的安全性也大大高于服务器的安全性,因此,使用代理模式有助于增强网络安全。
此外,操作堡垒系统可以通过规则设定异常及非法操作行为,一旦检测到异常或黑客攻击性的操作行为,系统将直接阻断此操作,并断开该操作的TCP连接,因而能够有效防止各类违规操作事件的发生。
(三)规范人员操作行为
通过操作堡垒系统的部署,所有系统管理人员,第三方系统维护人员,都将通过堡垒系统来实施网络管理和服务器维护,对所有的操作行为,都做到可记录、可控制,审计人员通过定期对维护人员的操作审计,可以维护人员的操作规范性。
(作者单位:浙江富阳市供电局)