淺談操作堡壘系統(tǒng)在電力信息安全中的運(yùn)用

周　波　羊　明

電力信息系統(tǒng)是電力企業(yè)業(yè)務(wù)正常開展的基礎(chǔ)平臺(tái)。如何保障電力系統(tǒng)長(zhǎng)期安全、穩(wěn)定、高效地運(yùn)行，一直是電力系統(tǒng)IT部門所面臨的最緊迫的任務(wù)。網(wǎng)絡(luò)信息安全維護(hù)是一個(gè)動(dòng)態(tài)的保障過程，對(duì)信息系統(tǒng)的日常操作都有可能影響到信息網(wǎng)絡(luò)的正常、高效運(yùn)行。因此，在電力系統(tǒng)網(wǎng)絡(luò)信息安全保障中引入操作審計(jì)系統(tǒng)，規(guī)范管理人員的日常維護(hù)行為，防止惡意破壞行為的發(fā)生，防范誤操作可能造成的風(fēng)險(xiǎn)，分析安全事件原由，是整個(gè)信息安全保障體系中重要的一環(huán)。

目前，國(guó)內(nèi)外針對(duì)操作行為審計(jì)主要采用旁路鏡像網(wǎng)絡(luò)流量分析，分析的主要協(xié)議為諸如TELNET、FTP、HTTP等明文協(xié)議，然而為了對(duì)抗網(wǎng)絡(luò)竊聽，遠(yuǎn)程管理工具正逐步由明文協(xié)議轉(zhuǎn)向加密協(xié)議，例如SSH已經(jīng)基本上代替了Telnet的位置；Windows的主要遠(yuǎn)程維護(hù)工具遠(yuǎn)程桌面（RDP）也采用了加密協(xié)議。對(duì)于這些加密協(xié)議，目前主流的網(wǎng)絡(luò)流量分析型行為審計(jì)系統(tǒng)都無能為力，只能望洋興嘆。新一代的網(wǎng)絡(luò)安全產(chǎn)品——操作堡壘主機(jī)系統(tǒng)，不僅支持對(duì)明文的TELNET、FTP、數(shù)據(jù)庫(kù)操作進(jìn)行審計(jì)，也支持對(duì)加密的SSH、RDP等協(xié)議進(jìn)行審計(jì)，消除了傳統(tǒng)行為審計(jì)系統(tǒng)中的審計(jì)盲點(diǎn)，能夠?yàn)樾畔踩Ｕ象w系建設(shè)提供全面的、完善的審計(jì)解決方案。

一、現(xiàn)有管理模式

為了系統(tǒng)安全，在安全策略中關(guān)閉了遠(yuǎn)程桌面等工具的運(yùn)行端口，采用本地操作方式，在操作前使用工作票或操作票進(jìn)行步驟記錄與風(fēng)險(xiǎn)防范，在出現(xiàn)問題時(shí)按記錄的關(guān)鍵操作步驟進(jìn)行回退，如果記錄步驟不詳細(xì)的話，可能會(huì)導(dǎo)致回退困難。另外本地操作方式，人員頻繁進(jìn)出機(jī)房，對(duì)機(jī)房環(huán)境與安全帶來一定的安全隱患。

二、審計(jì)堡壘系統(tǒng)概述

（一）系統(tǒng)架構(gòu)

審計(jì)堡壘系統(tǒng)一般由三大模塊組成：應(yīng)用代理模塊、協(xié)議控制模塊、管理模塊。

應(yīng)用代理負(fù)責(zé)對(duì)各類操作協(xié)議進(jìn)行代理轉(zhuǎn)發(fā)，完成基本的通訊功能。

協(xié)議控制模塊負(fù)責(zé)根據(jù)設(shè)定的規(guī)則對(duì)指定協(xié)議進(jìn)行過程控制，主要完成操作指令還原、生成回放文件、阻斷異常操作等功能。

管理模塊主要功能為：為管理員提供管理接口，提供操作日志查詢、回放文件查看、審計(jì)報(bào)表維護(hù)規(guī)則配置、系統(tǒng)自身維護(hù)等。

（二）系統(tǒng)功能

1、所有協(xié)議支持

審計(jì)堡壘系統(tǒng)支持基本的遠(yuǎn)程操作協(xié)議，包括：SSH、Telnet、Rlogin、FTP；常用圖形終端遠(yuǎn)程操作協(xié)議：RDP、VNC、Pcanywhere、Radmin；主流數(shù)據(jù)庫(kù)遠(yuǎn)程操作，包括DB2、ORACLE、MSSQL、INFORMIX、SYBASE數(shù)據(jù)庫(kù)的常用版本。

2、操作日志查詢和操作行為回放

針對(duì)上述協(xié)議，審計(jì)堡壘系統(tǒng)能夠記錄整個(gè)會(huì)話的完整過程，并形成指令日志及回放文件2部分審計(jì)數(shù)據(jù)，指令日志供管理員針對(duì)操作指令進(jìn)行快速審計(jì)，回放文件可供管理員針對(duì)特定的會(huì)話進(jìn)行完整操作審計(jì)。可以根據(jù)操作協(xié)議中的用戶名、IP、端口、時(shí)間、操作指令、返回結(jié)果等等信息進(jìn)行多重組合查詢。管理員可以通過審計(jì)堡壘系統(tǒng)強(qiáng)大的檢索功能對(duì)關(guān)心的事件進(jìn)行迅速定位。

3、異常操作阻斷及告警

操作堡壘系統(tǒng)可以通過規(guī)則定義異常及非法操作行為特征，一旦檢測(cè)到這些異常的操作行為，系統(tǒng)將直接阻斷此操作，并斷開該操作的TCP連接，因而能夠有效防止各類違規(guī)操作事件的發(fā)生。同時(shí)系統(tǒng)也支持對(duì)危險(xiǎn)指令的告警功能，通過短信、郵件等方式將告警信息及時(shí)發(fā)送給管理員。

4、審計(jì)報(bào)表呈現(xiàn)

操作保壘系統(tǒng)的報(bào)表功能，對(duì)操作日志進(jìn)行歸并、關(guān)聯(lián)分析，支持按天、星期、月、年等周期自動(dòng)生成報(bào)表，也可以由管理員即時(shí)生成所需的報(bào)表。通過報(bào)表呈現(xiàn)及時(shí)了解網(wǎng)絡(luò)操作行為明細(xì)，分析信息系統(tǒng)安全脆弱點(diǎn)，提供信息安全管理決策參考依據(jù)。

（三）部署方式

操作堡壘系統(tǒng)可以采用多種部署方式，充分滿足不同網(wǎng)絡(luò)對(duì)審計(jì)系統(tǒng)的需求。如支持Active-Active雙機(jī)模式，避免產(chǎn)生單點(diǎn)故障而影響正常的維護(hù)通道。堡壘主機(jī)的部署應(yīng)與網(wǎng)絡(luò)訪問控制列表、企業(yè)管理制度相結(jié)合，可以取得更好的審計(jì)效果。

透明模式：堡壘主機(jī)以橋接方式透明串入網(wǎng)絡(luò)，此時(shí)主機(jī)維護(hù)人員依照原有方式進(jìn)行服務(wù)器維護(hù)，堡壘主機(jī)將自動(dòng)識(shí)別網(wǎng)絡(luò)流中的操作數(shù)據(jù)并進(jìn)行審計(jì)。

代理模式：堡壘主機(jī)只需要一個(gè)獨(dú)立的IP即可。所有維護(hù)數(shù)據(jù)均通過此IP進(jìn)行代理。維護(hù)人員只要登錄該IP的指定端口即可直接訪問到服務(wù)器，無須進(jìn)行二次登錄。

三、審計(jì)堡壘使用意義

（一）全面操作審計(jì)

操作堡壘系統(tǒng)不僅支持Telnet、FTP、Rlogin以及主流數(shù)據(jù)庫(kù)（DB2、Oracle、MSSQL、Mysql等）遠(yuǎn)程訪問協(xié)議審計(jì)，還提供SSH、RDP、VNC加密協(xié)議的審計(jì)支持；操作堡壘系統(tǒng)完整記錄會(huì)話的整個(gè)過程，并形成會(huì)話日志和事件回放文件。消除安全審計(jì)盲點(diǎn)，全面審計(jì)網(wǎng)絡(luò)操作行為。

（二）增強(qiáng)網(wǎng)絡(luò)安全性

在代理模式下，通過堡壘主機(jī)的部署，網(wǎng)絡(luò)中原來所有服務(wù)器都需要對(duì)外開放維護(hù)端口變?yōu)橛蓡我坏谋局鳈C(jī)提供對(duì)外維護(hù)端口，減少了網(wǎng)絡(luò)暴露，堡壘主機(jī)本身的安全性也大大高于服務(wù)器的安全性，因此，使用代理模式有助于增強(qiáng)網(wǎng)絡(luò)安全。

此外，操作堡壘系統(tǒng)可以通過規(guī)則設(shè)定異常及非法操作行為，一旦檢測(cè)到異常或黑客攻擊性的操作行為，系統(tǒng)將直接阻斷此操作，并斷開該操作的TCP連接，因而能夠有效防止各類違規(guī)操作事件的發(fā)生。

（三）規(guī)范人員操作行為

通過操作堡壘系統(tǒng)的部署，所有系統(tǒng)管理人員，第三方系統(tǒng)維護(hù)人員，都將通過堡壘系統(tǒng)來實(shí)施網(wǎng)絡(luò)管理和服務(wù)器維護(hù)，對(duì)所有的操作行為，都做到可記錄、可控制，審計(jì)人員通過定期對(duì)維護(hù)人員的操作審計(jì)，可以維護(hù)人員的操作規(guī)范性。

(作者單位：浙江富陽(yáng)市供電局)