信息系統等級保護安全域隔離技術的探討

景 峰

(山西省電力公司,山西太原 030001)

0 引言

信息安全等級保護是指根據信息系統重要程度的不同,分等級、有針對性地對信息系統進行有效和適度防護。

2007年11月,國家電監會發布 《電力行業信息系統安全等級保護定級工作指導意見》。2008年初,國家電網公司啟動SG186信息系統等級保護建設工作,組織專家開展了信息系統 “統一定級、集中評審”,分析了國家等級保護建設要求和技術標準規范,并結合國家電網公司信息系統建設和安全防護目標,編發了 《信息化 “SG186”工程安全防護總體方案》,作為行業內等級保護要求的典型設計。

安全防護架構設計思路為 “分區、分層、分級、分域”的綜合防御體系。將信息管理信息網絡劃分為信息內網和信息外網,根據業務重要和社會影響劃分了若干三級保護系統和二級保護系統,三級系統獨立分域,其余二級系統統一成域,不同的安全域,從邊界安全、網絡安全、主機安全、應用安全等方面明確了防護要求。

在防護體系中,桌面終端域作為一種特殊的域。“總體防護方案”對桌面終端域提出了 “終端安全管理”和 “網絡準入控制”的要求,需要重點關注和分析。

1 獨立成域業務之間的橫向隔離

從等級保護建設的實際情況來看,三級要求的其他技術手段可以依托于設備和基礎方案來實現合規性建設。目前,棘手的問題是如何實現業務系統端到端的安全隔離,以及桌面域用戶如何在多個業務域隔離的情況下實現安全有效的互訪,既要實現業務隔離,確保業務的端到端訪問路徑有效隔離,又要充分節省桌面域內終端計算機的復用投資。

1.1 隔離的必要性和充分性

從業務訪問路徑上來看,主要是桌面主機通過網絡通道訪問應用系統,通過網絡隔離措施對不同的應用、業務和群組用戶進行安全隔離,提高數據傳輸的保密性和安全性,為用戶業務傳輸提供端到端的安全保證。

現有的網絡隔離措施在兩個安全區域間的有效控制互訪上面較為全面和細致,但是要完成等級保護建設的要求,必須針對訪問路徑的各個關鍵節點,都能進行有效的訪問控制。網絡發展的趨勢是資源的集中與基礎設施的復用,在此之上虛擬化技術以1臺物理設備對應多個邏輯設備的優越特點越來越多地被考慮到,對應到電力等級保護的建設要求,必須針對多種不同業務實現虛擬化技術基礎上的多通道隔離,特別是針對現有的數據大集中以后,在數據中心層面,如何實現隔離,也是端到端隔離技術選擇上需要重點考慮的問題。

1.2 幾種隔離技術的對比

虛擬局域網VLAN(Virtual Local Area Network)是現有局域網中最常用的隔離技術。VLAN適合小型網絡用戶邏輯隔離,但VLAN的廣播域占用帶寬資源,鏈路利用率低;二層網絡不適合大規模應用,網絡收斂速度慢,需要配置較多的二層特性,配置管理相對復雜。是一種最基本最常用的隔離方式,廣泛應用于網絡接入層。

分布式訪問控制列表 ACL(Access Control List)是另一種常見的隔離技術,適合一些規模不大的組網使用,需要嚴密地策略控制,配置管理復雜,無法提供端到端的隔離,業務或網絡調整時需要更改大量配置,并且嚴格限制可移動性。常見的防火墻采用的就是這種方式。

多協議標簽交換MPLS VPN(Multiprotocol Label Switching Virtual Private Network)是一種在大型園區網和廣域網內被普遍使用的隔離技術,支持園區內用戶群組互訪應用,能夠提供安全的端到端業務隔離,接入方式靈活,適合大規模網絡應用,可擴展性好,具有良好的可移動性。但其要求設備支持 VRF(VPN Routing Forwarding)/MPLS VPN,實際上主要依賴于核心交換機和骨干網路由器實現。

還有一些隔離技術本次不會考慮到,比如說,采用網閘進行物理隔離,采用入侵防御系統IPS(Intrusion Prevention System)等進行應用層安全隔離等。上述3種隔離技術在不同的應用場景下,都有不可取代的作用,在選用過程中,需要綜合考慮部署位置、部署靈活性以及隔離目標的達成性。

1.3 端到端的業務邏輯隔離方案

分析現有業務域劃分的特點,可以看到,幾個三級域都有跨廣域傳輸,且在局域網內使用過程中接入層角色不區分,數據中心級應用業務角色不區分。這就意味著端到端隔離的可行方案必須是一個綜合性的隔離方案,在原有各自為政的隔離基礎上,要實現動態配置可調整,以便適應同一個物理通道被多個邏輯業務所使用。各個隔離技術的部署位置如圖1所示。

圖1 獨立成域的業務系統間隔離示意圖

接入層各主機采用VLAN方式接入,以不同的VLAN號區分不同的業務,在匯聚層或核心層將VLAN與虛擬路由轉發VRF技術做一個映射,在跨廣域傳輸中以VRF來區別不同業務,在數據中心前端,通過多實例用戶網絡邊界設備MCE(Multi-VPN-Instance Customer Edge)連接技術,實現對不同來自VRF業務的安全策略控制,再以映射VLAN的方式訪問服務器資源。

整個過程中,廣域網VPN和數據中心VLAN可以一次配置后不需要調整,只需要調整映射關系即可,接入層VLAN作為選擇業務的發起者,需要實現對業務應用的智能識別和控制。

2 桌面域多用戶角色處理

網絡縱向邏輯隔離實現后,桌面域主機如何有控制地分別接入的不同業務域,成為實現端到端業務縱向隔離的關鍵。

2.1 桌面域接入網絡面臨的挑戰

等級保護屬于強制業務分區方式,三級業務完全隔離雖尚未有強制到桌面主機多機隔離的要求,但是必須確保同一個主機在滿足三級接入要求的前提下能夠同時以多個業務域主機的角色存在,所以,業務域的標記和識別是接入層最重要的工作。

現有的網絡終端準入系統常見的功能是用戶終端試圖接入網絡時,首先通過安全客戶端進行用戶身份認證,非法用戶將被拒絕接入網絡;合法用戶將被要求進行安全狀態認證,由安全策略服務器驗證補丁版本、病毒庫版本是否合格,不合格用戶將被安全聯動設備隔離到隔離區;進入隔離區的用戶可以進行補丁、病毒庫的升級,直到安全狀態合格,安全狀態合格的用戶將實施由安全策略服務器下發的安全設置,并由安全聯動設備提供基于身份的網絡服務。

分析現有的桌面域準入控制系統,可以發現用戶的接入方式802.1x、門戶單點、VPN、無線局域網等,認證因子有用戶名+密碼、軟證書、硬證書等,認證可動態下發的安全策略有VLAN、ACL,其中ACL與接入層設備強相關。

由于業務接入的方式多種多樣,在接入方式尚不具備區分性,認證因子上如果選擇差異化較大的用戶名及登錄屬性,則會大大增加主機側的難度,需要以一個合理的方式表示出本次登錄用戶希望使用的是某個業務。

2.2 多角色主機解決方案

綜合考慮多種實現方式,選擇用戶名結合域名拼接的方式進行認證,由認證服務器配合進行用戶名和域名的獨立解析,然后下發動態的設備配置到主機所接入的交換機的對應端口,用戶認證通過后即實現了相應業務域資源的訪問,如圖2所示。

圖2 多角色主機登錄認證示意圖

在圖2中,用戶唯一,但通過后綴實現同一賬號在各個業務域內安全接入,通過身份實現控制權限動態下發ACL或VALN。

無論是ACL方式下發的,還是VLAN方式下發的,最終都可以映射到廣域網縱向隔離的MPLS VPN中去,所以也就完成了端到端業務發起者的業務動態識別和標記工作。

3 等級保護安全域隔離需考慮的其他問題

等級保護業務安全域隔離的問題在具體實施過程中應注意以下幾個關鍵要素。

a)接入層設備與網絡準入系統的配合上,必須支持ACL和VLAN的動態下發。

b)在匯聚設備或核心設備上,支持VLAN和ACL到MPLS VPN的VRF的映射的配置,以便能夠實現接入層到廣域傳輸層的對接。

c)在數據中心服務器前端,部署的安全設備必須支持MPLS VPN組網下的MCE功能,支持虛擬防火墻功能。

4 結束語

等級保護建設從根本意義上是合規性建設,一方面要充分利用現有的設備和技術手段解決問題;另一方面要針對多業務安全域間條塊化隔離和多角色主機復用問題,通過原有技術手段的進一步組合和創新性方案的提出,在生產中解決這些問題。虛擬化資源動態分配和桌面終端的一機多域的解決方案,可充分地利用現有的技術隔離措施以及設備,實現端到端的策略對接,多角色主機接入。