信息安全运维审计模型研究

陈剑飞, 孙强, 孔德秋

(1. 国网山东省电力公司, 济南 250001; 2. 国网山东省电力公司 威海市文登区供电公司，威海 264400;3. 国网山东省电力公司 经济技术研究院， 济南 250001)

0 引言

随着智能化电力信息系统的发展，逐渐暴露了许多问题。由于电力行业信息安全的特殊性，其庞大的内部数据及各个层次子系统之间信息的交互一旦出现泄露或被篡改，将会造成不可挽回的损失。如何防范来自于系统外部及内部的风险是一个至关重要的问题[1-2]。信息安全是一项复杂的信息系统工程，其主要研究对象为网络环境中数据的安全性、可靠性以及完整性，并确保网络信息系统的软硬件及其系统中的数据不会受到破坏，保证网络信息系统可以连续稳定的运行[3]。随着信息系统所采用安全防御手段的更新迭代，来自系统外部的网络攻击等事件造成的危害变得越来越少，而来自内部的安全威胁则变得越来越不可忽视。在电力企业的信息系统安全方面，电力运维人员具有高度的系统权限，一旦出现恶意操作或行为将造成巨大的损失[4]。据调查统计，企业遭受的网络安全威胁中，约75%的来源于系统的内部违规和不正当行为，其危害程度已大大超过外部入侵所带来的损失[5-7]。因此，加强系统内部管理和运维人员行为的审计及管理是建立安全信息系统的必然趋势。信息安全的组成部分主要包含了系统本身所采用的安全防护技术，以及外部入侵检测等方面。其所有的技术手段的实施进行都应在信息安全模型的框架内进行。

目前，随着安全技术手段的更新，信息运维安全的范畴也在快速扩大，系统所遭受的安全风险也成倍增长。为了保障信息系统免受外部攻击及内部隐患的影响，必须同时从信息系统中的硬件及软件杜绝可能可能发生的危险。本文针对电力系统信息安全对运维审计的需求, 提出了运维审计的网络模型，通过对两种网络模型的分析，对信息安全运维审计模型作出了描述。

1 运维审计模型的研究

1.1 运维审计模型

运维是指运维人员为了保障系统的可持续运转而对系统进行的维护及远程操作。其流程图如图1所示。

(a)

第一步，运维人员在系统上输入身份信息，随后，所输入的身份信息经过系统的识别查验，如果身份信息正确，则运维人员可在系统上执行所需的操作，反之，则直接结束运维操作，如图1(a)所示。将以上运维操作流程图进行简化，得到运维操作模型，我们将运维开始到运维结束之间的整个过程称为运维过程，如图1(b)所示。

为了应对潜在的风险，需要在上述操作模型中加入审计模型，审计模型即在介于运维开始与运维结束之间的运维过程中增加了验证运维操作人员权限和管控运维操作行为这两个操作，其具体流程如图2所示。

同样，如图2(a)所示在上述运维操作流程中加入运维审计过程，即介于运维登录和运维结束之间的过程，并对其进行简化分析，得到了如图2(b)所示的运维审计模型。首先，在运维人员通过网络远程登录后，审计模型就会介入工作，对运维人员的运维权限进行验证。

1.2 经典的网络模型

网络模型指基于开放系统互联参考模型(OSI/RM)的7层网络参考模型以及基于TCP/IP的4层网络参考模型。在网络中，该两种网络模型应用最为广泛。OSI/RM的层次结构如图3所示。

它把整个网络通信功能分为7个具有独立功能的层次，每层都对应于一个实体。在这些独立的层次中，每一层是相互关联的，每一层的功能是用来为上一层使用并提供相关服务。其中，各个相邻层次实体之间的通信方式我们称之为接口，而同一层次中的通信称之为协议。

TCP/IP是传输控制协议/因特网互联协议的缩写，经过多年的发展，已成为应用最广泛的网络体系结构[8]。TCP/IP协议定义了设备与网络连接以及数据信息在网络中传输所用的标准，对其进行研究具有重要的现实意义，其层级结构如图4所示[9]。

(a)

(b)

图3 开放系统互联参考模型(OSI/RM)

图4 层级结构的TCP/IP网络参考模型

TCP的作用主要是负责检测传输中的所出现的问题，同时保证所需传输的数据可以安全无误的传输到目的设备，而IP则负责给网络中的每台联网设备提供地址。

在上述网络参考模型中，其中的每一层都与OSI体系结构中的某一层或几层很好的对应。OSI的优点较多，譬如其功能的多样性及架构的完整性，然而其缺点也很明显，主要体现在其体系的复杂性，使得其中的一些设计难以通过编写软件来直接实现。相较于OSI，TCP/IP体系结构较早的在计算机系统中，且该体系结构提供了编程接口以便在其上可以开发出多种多样的应用程序，因此，其应用范围较广，目前已经成为网际互连上的标准。在运维操作过程中，如果需要获取所产生的网络数据包，需采用基于旁路及代理的网络模型。

2.3 基于旁路的审计网络模型

在基于旁路的审计网络模型中，运维客户端、运维审计系统及运维服务器三者之间采用了分流器来实现连接，其模型图如图5所示。

图5 基于旁路方式的审计网络模型

首先，运维客户端与运维服务器进行通讯，然后在旁路模式的基础上，部署运行维护审计系统，并对运行维护数据进行分析和记录。

在基于旁路的运维审计模型中，数据的获取和内容的解析是主要的两大难题。在开放式的网络环境下，设备可以接收到网络上发送的所有数据。但若在交换式的以太网络环境中，该方式只可以捕捉到发送目标为本机的数据包，而无法捕捉目标为其他主机的数据。另一个亟需解决的问题是数据内容的解析。若运维客户端与运维服务器之间的数据内容是通过明文的方式传输，则运维系统可以较容易的将所传输的协议内容解析成功。然而多数情况下，为了保证数据传输的安全性，传输数据内容是加密的，此时运维审计系统接收到的数据是加密后的数据，则无法对其进行解析。如今，随着逃避检测的手段越来越复杂，以及用来加密数据内容的技术越来越完善，采用旁路方式可以获得有用处的信息越来越少，亟需借助其他手段来获取数据。

1.4 基于代理的审计网络模型

甚于代理的审计网络模型如图6所示。

图6 基干代理方式的运维审计网络模型

在该模型中，运维客户端通过运维审计代理与运维服务器进行连接。运维开始后，运维客户端首先将数据通过运维协议直接发送给运维审计代理，在运维审计代理对其进行处理之后将数据通过运维协议再转发给运维服务器[10]。运维审计代理在运维客户端及运维服务器之间转发数据的同时会对数据包进行分析及记录。相反的，当运维服务器将数据反馈到运维客户端时同样也经过运维审计代理发送。

在基于代理的运维审计模型中，运维审计代理作用不仅是转发运维客户端及运维服务器的数据内容，还需要对通过加密方式传输的数据内容进行解密，所以其采用了协议代理的方式对运维协议内容转发，并且在转发的过程中模拟了协议的客户端和服务端，具体如图7所示。

图7 基于代理的运维审计网络模型的运维审计代理过程

基于TCP/IP模型的运维审计代理的体系结构如图8所示。

图8 基于代理的详细运维审计网络模型

当运维开始后，运维审计系统首先模拟成服务端来接收客户端所发送的数据信息，运维审计系统对协议内容进行解析以及记录，并获取到客户端所发送的指令，然后运维审计系统模拟成操作的客户端与服务器建立联系，将解析出来的指令发送给服务器。随后服务器将信息返回到运维审计系统，反向执行此过程。在运维过程中，运维审计系统会对各种信息，包括客户端及服务器端发出的信息指令进行记录，同时，运维审计系统也会对其进行验证识别，如验证结果识别出包含有安全隐患的违规操作，审计系统会立刻终止数据包的发送，以确保系统的安全。整体来看，基于代理的运维审计模型可以很好与基于旁路的运维审计模型形成互补。

然而该审计模型也有其不可避免的缺点，由于采用了代理环节，使得运维审计代理需要在客户端与服务器之间处理双方的数据，如若此时的数据内容是加密的，运维审计代理还需对接收到数据进行解密，将数据解密记录验证后，还需对其进一步进行加密才能进行转发，这无形中会增加整个过程的复杂度。

2 基于角色的访问控制模型

基于角色的访问控制(RBAC)模型最早在上世纪七十年代被提出，当时的背景是为了使企业的计算机管理与其实际情况更加相符。与传统的访问控制方法相比，该方法是面向安全策略的一种有效的访问控制措施。其核心模型如图9所示。

图9 RBAC核心模型

RBAC核心模型是由用户、会话、角色及权限四种元素组成[11]。其中用户和角色的关系是多对多，角色承担为用户赋予权限的任务。首先，系统根据实际的需求，设立若干角色且为这些角色赋予权限，然后为不同用户赋予角色。该模型的核心思想是将权限与角色直接联系，通过角色的定义，实现了用户与权限在逻辑上的分离，进而使授权管理变得更加简便[12]。

3 基于GFAC的运维审计访问控制模型

基于通用访问控制模型(GFAC)是继RBAC访问控制模型后出现的一种更加完善的模型。该模型提供了一个可以支持多种安全政策的框架，可以使用户更加方便快捷的分析各种访问控制政策的优势及劣势，并甄选其中的一些政策进行配置进而获得所需要的安全政策[13]。已集成了RBAC的通用访问控制模型GFAC，如图10所示。

图10 基于RBAC核心模型的访问控制框架(GFAC)

GFAC模型可以有效的将系统的访问策略与其行为区分开来。其中的访问控制实施组件对应了系统操作模型，其主要功能为提取主体对客体的访问请求，提取到的请求后，将其转发到访问控制决定组件，请求判断访问是否被准许。访问控制决定组件判定后将决策反馈到访问控制实施组件，访问控制实施组件根据访问控制决定组件的判定结果进一步控制主体对客体的访问。

4 总结

基于信息系统运维审计的安全要求，本文提出了信息安全运维审计的网络模型，并分析对比了基于旁路及代理的运维审计网络模型，实现了对运维人员、主机及网络设备进行统一管理和授权，并对运维人员的操作过程进行控制、记录及回放。对运维审计模型的访问及控制机制作了详尽的描述分析。作为信息安全建设中不可或缺的部分，信息安全运维审计在保障企业信息安全及完整中起到了至关重要的作用。