叶水勇,张峻林,王文林,张 弛,李 莹,宋浩杰,汪 静
(国网黄山供电公司,安徽 黄山 245000)
电力信息网终端作为信息网的重要组成部分,直接承载了各类生产应用开放的业务功能,给业务用户带来便捷的同时也面临着许多不容忽视的安全威胁[1]。信息内网终端由于病毒感染、移动介质的非法使用、内外网互联等行为给整个电力信息网带来了极大的安全隐患。
国网黄山供电公司信息外网主要包括办公桌面终端,方便专业管理人员接入互联网,由省电力公司进行安全防护管理;信息内网包括市公司本部的局域网、变电站及营业厅使用的广域网及县公司网络,并按照信息安全“分区、分级、分域”的防护规范要求,将信息内网安全域划分为网络边界、网络环境、信息主机及应用环境4个层次,各系统、网络设备、终端划分至相应安全区域进行防护[2-3]。
随着信息安全要求的不断提升,电力信息网终端防护方法及技术也不断提升,目前已形成基础系统配置审计、终端行为审计及终端安全辅助支撑的三级主、被动结合的防护机制。
(1)基础系统配置审计。通过VRV客户端定期对终端操作系统的Guest用户、登录口令强度、口令过期策略、系统补丁安装情况进行检测,提示终端操作系统存在的安全风险;并由省电科院定期开展终端漏洞扫描工作,针对MS08-77、MS12-020等高危漏洞进行扫描并提示整改。
(2)终端行为审计。通过VRV客户端对终端用户的违规内外网互联,使用非安全移动存储设备、趋势防病毒客户端对终端病毒感染情况进行审计并提示终端用户行为存在的安全风险。
(3)终端安全辅助支撑。为增加终端使用人员的信息安全意识,通过设置统一的安全警示屏保、公司内网网站定期宣传、办公场所信息安全事故展等多种方式开展终端安全宣传工作,进一步提升人员信息安全意识。
在使用信息网终端时,部分员工的无意识行为和安全意识不足,给信息网安全带来了一定的安全隐患,主要表现在以下几个方面。
(1)日常终端安全维护不到位:部分员工疏于设置强口令密码、定期更新密码或者安装最新补丁,对感染病毒也不做处理,终端使用处于亚健康状态运行。
(2)移动存储介质使用规范性较差:移动存储介质在信息内、外网不同计算机终端之间频繁使用,在无安全措施的情况下,给信息内网带来安全隐患。
(3) 有意无意的网络行为:部分员工出于对网络的兴趣和爱好,在网络中进行认证、注册,从而构成对网络的威胁。如私自修改计算机终端IP地址、MAC地址等网络配置,造成网络IP地址冲突等问题;私自重装操作系统,造成桌面注册、防毒软件等终端安全软件缺失,带来安全隐患。
针对信息网终端安全防护现状及存在的安全问题,公司采取融合终端行为检测、行为审计及网络准入的主动式终端安全防护方法对网络终端进行管控。
由于信息网的网络安全状态是非稳定的,信息网信息终端的状态随着时间迁移、变迁到非安全状态,从而给信息网带来新的安全隐患;其次,信息网的网络安全状态具有一定的可控性,当在信息网中收集的网络及用户终端的状态信息越多,越能够准确地判断出终端给信息网带来的安全风险,并及时给出应对措施,控制网络安全状态[4]。及时并准确地感知信息网及终端状态是做好信息网安全的基础,基于获取的信息网运行数据及终端状态数据对终端接入进行决策,将存在潜在安全风险的终端及非法终端进行阻断或隔离,可有效降低信息网存在的安全风险点,提升信息网的安全水平。
通过IP地址资源可以准确掌握信息网接入的终端数目、接入位置、接入时间等数据,为终端安全准入提供了基础数据源[5-6]。围绕IP资源的终端主动式防御建设方法在已有VRV桌面管控系统及趋势防病毒系统的基础上建设终端接入管控体系,体系建设依据P2DR原理,通过建立合法终端设备台账形成准入控制基线,以终端接入检测及终端行为审计为监测内容,辅以终端准入控制技术实现合法终端的准入、未知终端及异常终端的接入阻断,体系建设主要内部如图1所示。
图1 地市电力公司终端接入管控体系
国网黄山供电公司从全局角度对信息网网络资源及安全准入行为进行管理,首先围绕IP地址梳理网络设备、网络资源及终端设备资产台帐,并以此为基线建立合法接入设备集;再实时收集信息网中的接入IP地址表感知信息网中的接入设备,收集VRV桌面管控系统及趋势防病毒系统中终端的审计数据,进而检测出非法接入终端及存在安全隐患的终端,最终依据审计策略对问题终端进行隔离或阻断。终端接入主动式防御运行流程见图2。
图2 终端接入主动式防御运行流程图
2.2.1检测基线建立与第一层接入防护
网络接入设备类型包括电力信息网中接入的终端设备、服务器、网络设备等各类网络接入对象,其中终端设备又包括台式机、自助终端、打印机、网络摄像头等;网络接入设备存在各个范畴的属性,其中IP地址是设备接入到信息网必要的属性之一。方法以IP为线索,建立区域-网络地址资源段-VLAN-IP地址的树形网络地址资源管理模型,对市县网络地址资源地址段统一管理,形成可接入IP地址池,再以IP地址为索引对全网接入的物理设备、网关地址进行梳理,理清IP地址、设备MAC地址、设备接入位置间的映射关系,并以此做为设备接入检测的基线[7-8]。VLAN中的每个在用的IP地址与设备及设备接入位置关联如图3所示。
图3 VLAN中终端台账、接入位置、使用人员及使用IP地址维护
建立终端准入台帐基线后,对信息网中的所有接入层交换机进行接管。接入层交换机每个类型为access端口,通过端口安全规则限制该端口只能通过台帐基线中接入位置为该端口的终端设备,当端口下不存在基线中的接入设备时,关闭端口的自学习功能,保证未知设备在接入层无法接入信息网,给信息网安全带来第一层防护。
2.2.2未知设备接入检测及终端异常行为审计
信息网在运行过程中网络环境及终端状态也在不断发生变化,特别是存在通过汇聚层接入的未知设备以及存在异常行为的终端设备,给信息内网安全带来一定安全隐患;需要对未知接入设备及终端的异常行为进行高效、准确地自动化检测,及时发现潜在的终端安全隐患。
(1)未知接入终端检测。虽然第一层安全防护可以主动屏蔽多数未知设备的接入,但是对于恶意的mac地址模拟,或者通过未管控的端口还是可以接入设备,并通常伴随有攻击行为,为此需要快速检测出未知的接入行为,为主动防护提供决策数据。为快速发现未知设备,以接入设备台账基线为可信设备集合,通过后台服务定期扫描所有的接入层交换机,获取所有的接入层交换机当前的接入设备mac表,通过比对可信设备集合和当前的接入设备mac表,不属于可信设备集合的mac地址对用设备认定为未知设备;同时针对mac地址模拟行为,由于模拟mac接入的终端不会安装VRV审计终端,在mac扫描完成后,从VRV服务器中读取每个mac对应终端的在线状态,若设备已接入但VRV中显示联系,认定为未知设备;通过mac比对及VRV在线情况分析最终得到未知的接入终端集合[9-10]。
(2)终端异常行为审计。终端运行过程中的系统变化、用户行为都会对信息网带来安全隐患,需要及时检测出终端的异常行为并依据策略处理[11]。现有国网公司统一建设的VRV系统及趋势防病毒系统已经能够较好地判断出终端的部分异常行为,如违规外联、弱口令、病毒感染等,但由于缺乏有效的联动机制,导致这些宝贵的数据只能用于告警,没有充分发挥价值。通过整合VRV及趋势系统的审计数据,在避免重复建设的情况下可有效获取终端运行状态,检测终端异常行为。VRV系统和趋势防病毒系统在终端发生异常行为或感染病毒时会生成系统级告警日志,在数据整合时,通过数据库触发器技术,及时接入VRV系统及趋势防病毒系统生成的告警日志记录,并根据记录内容确定终端发生的异常行为类型,得到终端运行过程数据,再依据审计规则对运行过程数据进行检测,确认终端的异常行为。审计项目见表1。
表1 终端行为审计项目
2.2.3基于检测结果进行主动式防护
针对未知接入终端及发生异常行为的终端,采用在核心交换机ARP阻断方法实现终端的准入控制,通过将终端的mac地址绑定到未使用的IP地址实现对终端接入行为的控制。同时为增加ARP绑定操作的自动化执行程度,利用SNMP操作完成交换机的ARP绑定操作操作[12]。
ARP绑定操作步骤具体如下。
(1)记录交换机的IP、SNMP读串和写串。
(2)在需要进行ARP绑定时,首先利用SNMPwalk工具结合读串获取交换机的ARP表,按行对ARP表进行解析,判断待要绑定的ARP信息是否已存在,如果存在,则不再绑定,继续下列步骤。
(3)根据待绑定的ARP对信息,利用SNMPwalk工具结合交换机写串生成交换机ARP表增加操作,然后执行;执行完成后再次利用SNMPwalk工具结合读串获取交换机的ARP表,按行对ARP表进行解析,判断待要绑定的ARP信息是否已存在,如果存在,则绑定完成,否则绑定失败。
通过终端主动防御建设,实现了地市公司终端接入的统一管理,有效地避免了未知终端及异常终端对整个网络带来的安全风险,提升了终端异常事件处理效率。国网黄山供电公司在实施终端主动防御建设后,实现了终端异常事件的100%处理率。在实际运行中,某终端插入了未注册的U盘,体系支撑工具在10 s内发现并进行了阻断,并在第一时间通过短信告警,此后运行监控组通过电话与终端使用人员进行沟通确认了未注册U盘的使用。
电力网络终端接入的有效管控是日常网络运维中的重点工作。国网黄山供电公司依据P2DR理论并结合电力信息网终端接入及安全现状给出了一种适合于地市电力公司使用的终端接入主动式防御方法,通过建立终端台账基线,监测未知接入及终端异常行为,并进行合理阻断,一方面保障了可信设备的安全接入,另一方面能及时发现未知接入设备,较好地实现了电力网络接入设备的全面管控,具有较好的实用价值。