刘 新,马 雷,任天成
(山东电力集团公司电力科学研究院,山东 济南 250002)
电力行业是国民经济的基础行业,电力行业方方面面都离不开计算机的应用,财务报表、内部机密公文流转、工程图纸、设计方案等,无一不依赖于行业的电子信息化系统。 在国家政策的大力支持下,依托自身的产业优势,电力行业的信息化建设走在了大多数行业的前面,逐步形成了自己的信息化体系,信息安全建设就显得尤为重要。如何在当前的大环境下,保护企业的无形资产,尤其是以上提到的电子文档类资产,成为了摆在企业面前的重要课题。
电力是发展国民经济的重要基础,电力安全直接关系国计民生。随着通信技术和网络技术的快速发展和电力信息化工作的推进,因特网已得到了广泛使用,E-mail、Web和PC等也日益普及,但同时病毒和黑客也日益猖撅[1]。因此,研究电力系统信息安全问题,制定和实施电力系统信息安全战略,建立全方位动态纵深防御的电力系统安全保障体系,已成为当前电力系统信息化工作的重要内容。信息技术、通信技术、自动化技术飞速发展,极大地推动电力行业信息化进程[2]。电力实时信息处理将更有效、安全、方便。电力企业内部会有更多的信息点,生产效率大幅度提高。更重要的是,随着电力企业由行业管理向服务企业转制及电力市场研究的深入,电力行业信息化应用会大有作为。电力行业的计算机网络,大到国家电网的层面,小到电力分公司,已经根据国家政策和标准,全面进行了信息化网络建设[3]。
国家电网公司应用系统主要部署于信息内网,与互联网有交互的子系统或功能单元部署于信息外网。信息内网与信息外网以逻辑强隔离设备进行安全隔离,对于信息内外网分别进行安全域划分。
信息内网有以下安全域:电力市场交易系统域、财务(资金)管理系统域、营销管理系统域、ERP系统域、二级系统域(所有二级系统统一部署于二级系统域中进行安全防护建设)、内网桌面终端域(由于桌面终端的安全防护与应用系统不同,将其划分为独立区域进行安全防护,信息内网桌面终端用于内网业务操作及内网业务办公处理)。
信息外网存在如下安全域:外网应用系统域(需与互联网进行数据交换的系统部署于外网应用系统域进行安全防护)、外网桌面终端域(外网桌面终端用于外网业务办公及互联网访问)。
结合公安部颁发的《信息安全技术—信息系统安全保护等级定级指南评定标准》,电力系统的各级系统的安全级别多数评定为三级,建立了基于纵深防御模型的信息安全防护体系,如图1所示。
图1 电力系统信息安全防护体系
综合考虑整个纵深防护体系,在边界防御、网络防御、主机防御、应用防御等方面,信息安全的防护措施已经相当丰富和完善,不管是防火墙、防病毒、安全网关,还是漏洞扫描、入侵检测。所有的安全防御措施都偏向于对外部的防范。虽然到目前为止,也部署了类似防水墙的一系列对内防御的产品,但对于数据的根源保护,特别是加密存储和完整性保护方面,在整个安全防护体系里,还是一个比较薄弱的环节。
按照规定,所有涉密的电子文档都必须严格控制在信息内网系统内部流转,但是电力行业涉及到各式各样的机构和单位,一定会牵扯到内部涉密文档(如方案、商务合同)在合法批准的前提下,通过外网转发给客户的可能。整个系统架构里,一定需要一个完善的技术管理控制流程,保证信息内网数据到外网后的安全,不能只依托个人觉悟和人为管理制度来保障。
当前的内网和外网实现了逻辑上的强隔离,只有通过安全密保U盘的拷贝,才能将涉密文档从内网传输到外网,安全密保U盘的使用只依靠密码控制,并且领导批准的方式依赖于人为管理的手段。由于整个数据转移的过程,无法从技术手段上来实现流程的监控、管理,从而导致内部人员的主动泄密有了可乘之机。
一个无法否认的事实是外网时刻都有可能受到外部病毒、木马的攻击,即使电力系统的信息外网,势必也会涉及到敏感数据的永久或者临时存储,这些数据一旦泄露,会严重损害企业利益。归根结底,数据的加密存储和合法解密流程必须有完善的技术手段来控制,而不能单纯依靠人为管理制度。
因外网能够接入互联网,内部员工可以通过邮件、MSN、QQ、FTP下载等网络端口发送重要文档,造成泄密。
追溯到电力系统整个数据安全防御体系的根源,不管是内网还是外网,数据存储都是明文的,只要是明文存储,不管人为管理手段多严格,流程控制多复杂,都一定会存在被泄密的可能。病毒、木马、内部人员在巨大利益的诱惑下的主动泄密,每一种可能都是漏洞。
山东电力科学研究院数据安全管理系统(DSMS系统)由服务器控制台、客户端、解密端三个子系统组成。服务器控制台是其核心,安装在指定的服务器上,负责整个内网的涉密和控制策略的制定、分发、回收。 客户端是安装在系统内受控的计算机上的涉密控制软件,受服务器控制台管理,执行服务器端下发的一切涉密和控制策略。解密端是安装在系统内计算机上解密软件,分本地解密和审批解密两种,主要为了满足受控计算机的文档外发需求。具有以下功能。
1)DSMS系统提供了强大的内置文档格式,几乎囊括了业内所有的文档格式,同时支持自定义文件格式。不同于某些加密软件产品只支持固定的文件格式加密,解除了客户的后顾之忧。
2)透明加解密,不改变用户的任何操作习惯,加解密的过程自动在文件的创建、编辑、存储过程中,在驱动层自动实现。
3)支持双因素的身份认证体系,客户端涉密软件的运行可以选择受控于硬件USBKEY密匙和密码双重认证,或者域内随操作系统自动启动运行,即安全又灵活。
4)支持防非法复制、粘帖、打印、截屏拷贝功能。
5)防止内部员工通过邮件、MSN、QQ、FTP 下载等网络端口发送重要文档。
6)强大的防二次泄密功能,严格的外发控制管理,可设置是否指定电脑中的文件限时被正常打开使用,但不可进行删改、另存、复制、剪切、转发、打印等有可能造成二次泄密行为的操作,文件到期后会自动销毁,此文件将不再能被使用。
7)支持涉密客户端的离线授权功能,满足在家办公、出差等确实需要离线工作的需求。
8)灵活的涉密文件控制策略,同一种文件类型,可以依托USBKEY密匙和密码的控制,实现加密和不加密两种选择,即满足用户特殊需求的同时,又保证涉密文件的安全。拔掉USBKEY密匙,客户端可自动停止运行,此时原有涉密策略失效。在当前的非涉密状态下,正常编辑操作同一种涉密类型的文件,不会对此类型文件实施加密操作。原有涉密状态下的文件依然处于加密状态,无法访问。
9)打印监控功能,当客户端对涉密文件进行打印操作时,客户端会自动向服务器端发送打印记录,并对打印内容进行监控。
10)通过灵活的策略,对需要实施加密的客户端进行行为控制,针对涉密文件的另存为、复制、剪切、截屏、打印、外来设备、USB端口、网络方式传输等实时进行加密保护,并能够进行监控、审计、审批等策略控制。
11)完善的容灾备份机制,实时备份,备份文件可通过策略设定备份明文或密文,同时可设置备份文件发送到指定备份服务器或本地备份。 同时可设置一件多份备份方式,可自由定义。
12)完善的日志管理功能,分为服务器操作日志、客户端工作日志和风险操作日志。全面做到事前记录、事后控制、追踪。 服务器访问日志记录对服务器控制台的任何操作行为,包括管理员修改、权限下发、策略分配、登陆情况等;客户端工作日志记录对涉密文件的操作如删除、修改、复制、另存、移动等;风险操作日志记录对客户端的非法卸载、屏蔽客户端等行为。
基于双网强制隔离的机制,内、外网的数据交换必须依托移动存储设备传输,如当前的安全U盘,U盘不局限于安全U盘,可以是任意U盘。
内网、外网可以设置统一的管理密钥,保证在同一系统的外网和内网之间的涉密数据可以互相访问,网络内访问涉密数据的方式是完全透明的,但一旦离开限定的网络区域,文件仍然是加密的,未授权人员无法访问,做到“事前限制”。需要通过外网外发的涉密文档,外发前必须解密,解密流程可以选择本地解密和审批解密,解密过程自动创建详细的日志记录信息,做到“事后追踪”。明文外发文档可以设定明文生命周期,到期后自动销毁,无法继续访问,防止二次泄密。系统自动记录涉密文件的操作轨迹,包括复制、打印、删除等操作,杜绝了原有安全U盘拷贝文件时的安全漏洞。
部署DSMS的信息外网,通过服务器下发的涉密策略到管辖范围内的客户端,所有涉密文件在存储时都是自动透明加密的。不管是病毒、木马通过非法入侵的手段窃取,还是内部人员的主动泄密,一旦涉密文件离开当前网络系统,外部都是无法访问的。
1)每个限定的网络,都有自己的服务器授权密钥,只有自己网络的授权密钥才能解密管辖范围内的涉密文件。
2)即使都是部署星安数据安全管理系统的不同网络之间,因为服务器授权密钥的不同,相互之间也不能访问彼此的涉密文件。
3)病毒、木马盗取,或者内部员工非法外拷涉密文件,因为外部并没有对应的涉密策略和相同的授权密钥,涉密文件无法访问。
除了以上所述,可以通过服务器端的控制策略实现丰富的防泄密策略制定,包括:涉密终端可以绑定硬件USBKEY;禁止拷贝涉密内容到非涉密应用程序,比如禁止从word文档中拷贝文字到写字板;禁止打印涉密文件;禁止截屏拷贝操作;禁用USB设备;禁止删除密文;禁用光驱;禁用即时通信工具运行,如MSN、QQ。
山东电力科学研究院数据安全管理系统从技术手段,彻底封堵了任何可能的泄密途径,更高级别的网络控制系统,甚至可以通过支持硬件USBKEY和涉密终端绑定措施,实现涉密终端合法运行的双因素认证机制,全面保护电力企业资产的安全。