徐啸宇
(国网重庆综合能源服务有限公司,重庆 401121)
随着国家信息化程度要求的快速提高,企业的内部网络与应用系统也逐渐发展[1]。内网信息的安全设计也越来受到关注,传统意义上的网络安全早已被人们所熟识,即采用防火墙进行简单的阻止[2]。从内网安全的本质来说,内网安全就是阻止外部黑客的攻击,以及对内网系统的控制与监控等,从而抵御已知类型的网络攻击探测行为,在客户端的阻止过程中主要是采用防病毒软件进行识别,并将识别到的可疑对象与病毒库进行一一比对,如果存在相应的病毒风险并将其全部或者部分消除,如果消除不掉也可以采用隔离技术进行物理隔离,从而进一步阻止网络之间的相互通信。
根据国家电网公司“SG186” 工程安全防护方案要求[3],在防护方案中要求实现对服务器、桌面终端等进行接入控制,并建议采取以下几种方式:
1)采用网络准入控制手段进行认证后内网方可被允许接入网络;
2)应当采用IP与MAC地址绑定等手段以防止网络地址欺骗;
3)采用终端准入控制措施对主机的安全状态进行检查,只有桌面终端的安全状态(如是否安装安全防病毒软件,病毒特征码是否更新,是否安装主机防火墙)满足要求,并完成身份认证后方允许接入网络(有线连接、无线连接、拨号或以及VPN接入)或访问资源。
本文主要从内网安全中的防护功能与控制处理措施为切入点,并结合重庆电力信息内网安全管理的现状进行需求调研与挖掘工作,找出目前内网安全措施的不足,并根据国内现状的研究情况进行逐一分析,找出解决内网安全管理的办法,从而制订重庆电力信息内网安全接入管控系统的主要研究内容。
方案建设:主要制订内网安全管理的技术路线、解决方案,只有对解决方案进行合理的规划后,才能保障系统后期的功能模块、硬件设备得到整体的集成与应用。
系统架构设计:对系统的网络架构进行设计,对市公司、控投公司、下属单位的网络架构进行布局,以及完成各个设备对终端配置情况的分析与计算等,同时也应完成对各个直属单位的功能模块进行权限分配等。
行为管理模块建设:建立日常的行为保护机制,实现对电力企业内网系统的安全管理,防止因为行为上的操作而影响整个内网系统的安全,在日常的行为管理上实行主动控制,及时发现外联违规、用户使用流量越限、占用较高的带宽以及受到黑客木马程序的攻击等,并找出技术手段来解决日常行为上的缺陷,从而保护内网的安全。
准入控制管理模块建设: 实现对主机终端、企业客户端信息安全的建设与管理,通过准入控制的有效管理与检查,保障内网数据能够安全传递,不被黑客攻击,按日常应用系统划分可以完成WEB系统、邮件系统、域名解析系统、ISA Proxy等信息的接入控制,其按操作系统划分可以对Windows及Linux系统进行准入与控制。
终端配置管理建设: 实现终端信息的注册登录与信息查看,通过终端信息的查看能及时了解各个供电公司以及下属部门的终端配置情况与当前状态,同时通过终端信息的查看能了解各个终端设备的当前运行状态,如可以查看设备的在线信息、终端设备的服务信息、终端设备的进程信息、网络连接信息以及客户端通过终端设备下载与更新的补丁信息。
系统管理建设:实现系统内的数据管理,能进行自助的单位维护,完成用户的注册登记、权限分析,也能查看系统的各类相关日志信息。
国网重庆市电力公司目前将网络划分为信息内外网多个安全域,通过在网络边界部署隔离装置、防火墙,来隔离内外网。通过执行访问控制策略,将外部威胁隔离在外网之外,保护内部网络的安全。
随着信息网络技术的发展,网络安全的势态发现了变化,一个明显的特征是,终端成为新的网络边界。
首先,随着网络接入技术的发展,终端接入网络的方式已经不再局限于局域网接口,包括双网卡、Modem拨号、Wi-Fi、CDMA/GPRS上网卡、红外、蓝牙……这些接口已经成为信息内网的另一道边界[4],随时可能出现非法外联的情况。内部PC通过这些接口上网,若不能对此进行管理,就类似在防火墙的城堡下,存在很多没有安全警卫的后门、小道,内部网络的安全性无法保障。国网在信息安全监控工作中对非法外联也有严格的考核要求。
其次,传统的企业网络中,终端具有固定的办公位置,内部网络相对是静态的。然而随着移动终端的普及,产生了移动办公方式,内部网络上接入的终端变得动态化。一方面,员工的终端可能在多个位置动态接入内部网络;另一方面,各种非公终端也可能接入内网(包括员工个人PC,以及合作伙伴,客户的PC)。随着用户PC的不断接入,内部网络的边界在不断扩充。内部网络的动态化,需要我们从另外一个视角来看边界安全问题。在内网边界动态变化的过程中,必须在新加入的PC这一新的边界上,进行必要的安全接入管理,配置必要的安全防护,才能满足网络安全的需要。
通过对国网重庆市电力公司内网IT系统现状和安全问题的分析,归结起来,笔者认为,国网重庆市电力公司信息内网目前迫切需要解决以下几方面的安全问题:
1)计算机终端未经安全认证和授权即可随意接入内网;
2)个别用户未安装VRV客户端或趋势等杀毒软件就直接访问内网;
3)用户随意安装和运行各种软件,随意占用有限的带宽资源;
4)内部用户非法外联对本部KPI考核的影响。
综上所述,在这种严峻形势下,规划和建设内网终端安全管理体系,有效预防违规外联,加强信息内网安全接入管控,进行严格访问控制已刻不容缓[5]。
为了解决上述问题,笔者结合国网重庆市电力公司控股公司信息内网和应用特点,本着保护投资、节约成本和目标性能平衡的原则进行合理规划。对于国网重庆市电力公司21家信息内网控股公司终端管理模式和架构,系统遵循原则如下。
1)可靠性
国网重庆市电力公司21家控股公司信息内网接近9 000个终端。终端安全管理系统与公司的每个用户都直接相关,如果系统可靠性差,将产生非常负面的后果,因此系统的可靠性是最重要的。终端安全管理的客户端不能因为本身故障影响用户正常使用电脑,服务器也不能有任何单点故障影响客户端的使用。
2)有效性
终端安全管理系统因为要在用户电脑上安装客户端,容易遭到用户抵制而停用客户端软件,甚至卸载客户端软件,进而导致终端安全管理系统不能充分发挥作用,降低系统的有效性。终端安全管理应该使用准入控制技术,一旦发现没有安装运行终端安全管理系统客户端的电脑,将强制用户安装运行。并使用强制手段,确保其他的安全策略可以被有效执行。
3)选择架构,而不仅仅是工具
如果仅仅把网络管理及终端管理当成一个工具,就很难保证管理的有效性。如果管理工具不能充分发挥作用,只能成为另一个需要专人维护的软件,不仅不能帮助IT管理员减轻工作量,反而增加工作负担。只有用独特的架构才能保障管理的有效性。传统的管理工具一般是CS架构,这种架构对客户端的管理没有强制性,需要用户“自愿”配合才能进行管理。如果用户没有安装客户端或停用客户端,将成为管理的盲区。全新的基于可信任计算的CSC架构成为目前最适合做终端管理的系统架构。CSC架构在传统的CS架构基础上增加了Check Point(检查点)组件,Check Point组件强制保证用户电脑安装客户端,并且符合管理员制定的管理策略[6]。
4)其他规划考虑
为了提高总体性能和降低总拥有成本(TCO),还要兼顾以下目标:降低资金和运营成本;减少管理投入;尽量降低对总体性能的影响。
信息内网安全接入管控系统将采用分布式多级多服务器级联管理体系架构,可以支持无限级的中心服务器进行级联。当然,单级服务器分为中心服务器和多个本地服务器,结合无限级的服务器级联,对终端的管理规模可以无限扩展。分布式多级服务器级联管理架构,实现集中管理和分级控制,使系统具有优秀的容错性、可伸缩性。
本项目实施范围包括国网重庆市电力公司信息内网。其中重庆电力信息内网21家控股公司总共近9 000台终端,分布广且网点分散,为保障终端接入管控系统对所有终端的严密防护,也方便各级单位对终端的灵活管理,信息接入管控系统采用级属联架构,市公司本部为一级管理中心,各直属单位为二级管理中心。
其中市公司本部信通机房部署2台策略服务器和1台数据库服务器,2台策略服务器策略互通互备,且在2台策略服务器及数据库服务器之间开放必需的网络通信端口,由数据库服务器存储各基层单位终端信息及告警数据。
为防止违规外联事件发生,需要在VRV 服务器前部署USG防火墙或安全网关,并开启和中心服务器联动的功能。其中边界出口防火墙作为策略网关将检查访问市公司的终端是否安装客户端,并且检查其安全状态(装VRV软件和趋势杀毒软件)是否满足内网要求,如果不满足,则拒绝放行并提示终端修复该安全状态。而服务器汇聚的安全网关可防止未安装客户端的情况发生,但已经安装了VRV客户端的终端会因意外外联而报警。安全接入网关可以利用原来各单位通往市公司的边界防火墙。但是由于21家控股公司资产情况不尽相同,所以根据每个单位实际情况需要自行选择(注:有的单位有服务器区和边界都拥有安全网关,有的单位只在边界处有安全网关,还有的无设备)。
方案1:在各控股单位的服务器出口处和边界出口处分别部署1台USG防火墙作为接入管控联动策略网关,通过管理服务器下发策略后,服务器区和通往市公司边界出口的策略网关会对所有访问服务器区的终端电脑进行安全状态检测。
方案2:只在各控股单位的边界出口处部署一台USG防火墙作为接入管控联动策略网关,但是需要把原来位于服务器区的VRV服务器迁移到边界出口服务器后面。当通过管理服务器下发策略后,边界出口的策略网关会对所有访问市公司的终端电脑进行安全状态检测。
方案3: 对于没有安全网关的控股单位,将由市公司分发1台设备,然后采用方案2的方式进行部署。
2.5.1 硬件环境
应用服务器(HP DL580G5):CPU为双路四核 Intel(R) Xeon E7420 2.13 GHz ,内存为16 GB,硬盘为4×300 GB。
数据库服务器(HP DL580G5):CPU为双路四核 Intel(R) Xeon E7420 2.13 GHz ,内存为16 GB,硬盘为8×300 GB。
流媒体服务器(HP DL580G5):CPU为双路四核 Intel(R) Xeon E7420 2.13 GHz ,内存为32 GB,硬盘为8×300 GB。
2.5.2 软件环境
服务器:操作系统Windows 2000 Server,内网安全接入管控系统服务器软件、Microsoft SQLServer2000数据库服务器。
控制台:操作系统Windows XP,内网安全接入管控系统。
受控代理:操作系统Windows 2000 Professional或Windows XP Professional,内网安全接入管控系统受控代理软件系统。
Web服务器: Apache Tomcat 5.5.12。
运行环境:JDK1.5版本以上。
浏览器:IE6以上各版本。
2.5.3 网络环境
单位内网光纤系统作为系统运行的网络环境,在整个电力广域网范围内均可访问。
系统功能模块设计主要是根据系统需求分析中的用例分析、流程分析、功能分析等相结合的方式进行全面的功能模块设计。
2.7.1 系统功能包图设计
根据模块化的设计思想,将重庆电力信息内网安全接入管控系统分为多个子系统。系统功能包如图1所示。
图1 系统功能包图
2.7.2 类图设计
类图是最常见的UML图,它描述了系统的结构化设计。其中包括类与类之间的关系以及每个类关联的属性和行为。本系统中一级模块中的子模块相对较多,因此涉及的类图也多。
本模块主要是建立日常的行为保护机制,完成对电力企业内网系统的安全管理,防止因为行为上的操作而影响整个内网系统的安全生命,采用一定的技术手段来解决日常行为上的缺陷,以免影响内容的安全,其将采用以下功能来完成行业管理的控制如下。
1)模板管理设计
此模块主要完成对模板的集中统一管理与维护,可以对主机访问控制模板、外联控制模板、流量控制模板、攻击防护模板等进行数据管理。在主机终端的管理过程中选择此模块,可引用该模板中的各个子模板的定义规则执行相应的内网安全的各项控制与阻止功能。
2)主机访问控制设计
主机访问控制模块是完成主机防火墙的管理,达到内网访问控制策略的统一管理目的[7],一次性完成防火墙的管理创建后,下次就可以继续使用。
3)外联控制设计
外联控制模块主要是指内网计算机非法连接到外部网络或者使用非法未经验证的外部连接信息,通过系统的监控,能及时阻止相应的非法动作并给后端管理中心做出相应的预警提醒,采用非法外联多层防控技术,提供对非法外联的全程监视、阻断、审计和告警全过程的非法外联防控,能够杜绝终端非法外联的违规行为,保证终端始终在允许的网络范围内访问[8]。
4)流量控制设计
流量控制是现代化技术管理的需要,其首要工作是建设流量特征识别分析,能够主动发现诸如DDoS攻击、病毒和木马等异常流量,较好地弥补其他网络安全设备如防火墙、入侵防护系统(IPS)和统一威胁管理(UTM)等的不足,提升其主动发现安全威胁的能力,并能够及时向其他网络安全设备发出警告,从安全威胁源头开始就进行主动的防御。此外,具备流量识别能力的流量控制管理还能够获取并保存流量控制的网络层信息,通过这些信息,网络管理者能够对安全威胁进行溯源定位[9]。
5)攻击防护设计
攻击防护主要是阻止主机终端发送的各种欺骗包和攻击包以及未知的流量攻击包,只有通过一系列的技术手段来阻止传输的各程攻击,才能保证内网的安全性与可靠性。其主要有以下几种攻击方法。
防ARP欺骗:一种黑客攻击手段,分为对路由器ARP表的欺骗和对内网PC的网关欺骗,也用于将网络层的IP地址解析为数据链路层的物理地址,其主要完成ARP请求超时拒答、网关MAC自动绑定、限制隐藏进行网络访问、IP防冒限制,以及欺骗的阻止方法。
进程限制:主要分为TCP进程限制与UDP进程限制两种方式。TCP进程限制主要是设定按照TCP的传输方式进行相关的参数设置。UDP进程限制主要是设定按数据传输方式进行参数设置。
准入控制管理模块主要完成对主机终端、企业客户端信息安全的建设与管理,只有通过准入控制进行有效管理与检查后,才能保障内网数据的安全传递,不被黑客所攻击,按日常应用系统划分可以完成WEB系统、邮件系统、域名解析系统、ISA Proxy等信息的接入控制,其按操作系统划分可以对Windows及Linux系统进行准入与控制。
内网安全的应用准入控制,其操作过程是由企业客户端终端计算机访问应用服务器上的各种服务,服务包括应用系统的功能操作、企业级的数据库服务以及第三方软件功能操作。应用服务器根据客户终端的请求数据检查是否能正常访问客户端、能否弹出修复、能否弹出安装客户端的界面。如果检验出安装状态合规,则允许系统的正常访问;如果检验出安全状态不合规,则弹出相应的修改提示,指引各客户终端完成软件的修改操作;如果检验出没有安装客户端,则给予客户进行快速安装的信息提醒。
准入控制管理一般分为应用准入、网络准入、客户端准入。应用准入主要是指应用程序的访问权限;网络准入主要是指能否连接到相应的IP网络计算机中,只有网络准入后,才能完成应用准入的操作;客户端准入主要是指是否提供相应的客户端程序。
配置终端管理模块主要完成主机终端的注册登记与终端设备的信息查看,通过此模块的建设能实时了解到各个终端设备的当前状态以及在运行中的各种情况。其详细的功能模块如图2所示。
图2 配置管理主要功能
1)终端设备管理
主要是完成终端设备的采购登记、入库、出库,以及对终端设备的全生命周期管理,通过此模块能完成对终端设备的全过程跟踪与记录。
终端设备管理的操作流程过程主要由招标前的准备工作、设备采购、入库登记、终端领用、全过程跟踪等主要步骤构成,其各个步骤的详细功能如下所示。
招标前的准备工作:主要是招标工作,如技术规范的编制、商务招标文件编制、竞争性谈判或者比选等大量的商务与招标过程管理等。
设备采购:主要是完成主机终端的采购工作,在设备采购前及时了解各个单位上报的终端需求量,并做出详细的供货清单,以便于物资管理部门完成设备的采购工作。
入库登记:主要是指设备采购并到货后应立即完成设备的入库登记操作,为了方便设备的快速登记,可以通过同类型的设备进行分批入库,在入库的过程中应详细记录终端设备的供应商、设备名称、设备类型、规则、设备等级、出厂编号等相关信息,同时也应记录设备的入库人员与入库日期等相关信息。
终端领用:主要是指根据各个供电单位或者各部门上报的终端需求量进行领用工作,在领用的过程中应详细记录终端设备的领用单位、领用日期、领用人员等相关信息。
全过程跟踪:主要是对终端设备的全生命周期管理,如终端设备的更换、终端设备的报废、终端设备的维修等相关过程的记录与修复信息。
2)查看在线信息
本模块主要是查看终端设备上运行的应用服务情况,可以详细了解服务的名称、安装路径,并显示名称等相关信息的获取。
查看在线信息管理模块的设计过程有以下几个主要步骤,其详细说明如下。
功能菜单进入:主要指由系统的功能菜单进入到本模块,只有进入本模块后,才能完成后面的功能操作,本系统主要设计为-配置终端管理-查看在线信息。
设计搜索条件:在主要元素中进行关键字的筛选,通过筛选能快速查看到所有终端的在线信息,本系统主要有IP地址、策略模块、安装状态等3个主要关键字。
关键数据统计:主要对较为重要的数据完成统计的相关工作,通过数据的快速统计,能直观了解到主要数据的条件、合格数,如模块的关键数据总条目数量、符合安全状态的条目数、不符合安全状态的条目数。
列表显示:主要是根据在线信息的重要元素进行快速的筛选,由于重要元素较多,可以只显示重要的元素信息,若要看到全部的元素信息可以通过查看详情进行全部的获取。
操作按钮设计:主要设计在线信息查看模块的主要功能,如平常的新增、修改、删除、审核、审批、移交、导出、统计等相关功能的设计操作。
本文旨在建设一套内网安全接入管控系统。在系统的建设初期主要从系统的建设背景以及国内网的研究现状进行了大量的资料查阅与搜索。为了获取用户的需求,主要是根据电力企业用户现在的内网安全管理进行一一的比对与了解,详细地分析现有内网安全管理的解决办法与不足之处,通过系统的设计并提出系统的网络拓扑架构与终端主机的配置情况。在系统上线运行过程中应及时跟踪系统的缺陷漏洞,以便于及时修改,使系统真正发挥作用,进而提高电力企业内网数据安全。