電力內網違規外聯安全監控研究

陳曉杰，洪志華，孫夷澤，王勇

（寧波電業局，浙江寧波315010）

電力內網違規外聯安全監控研究

陳曉杰，洪志華，孫夷澤，王勇

（寧波電業局，浙江寧波315010）

電力信息化的發展，信息安全已經成為確保電網穩定安全運行的重要因素。隨著互聯網的不斷發展，新技術的廣泛應用，電力內網計算發生安全事件日益增多，違規外聯行為給內網保密帶來了巨大風險。違規外聯導致信息泄密，也為黑客攻擊提供了機會。通過對當前違規外聯監控方法的分析，提出了改進的違規外聯監控方案，該方案能夠全面監控內網計算機違規外聯和外部計算機違規接入內網，并能夠實時產生告警信息及時通知內網安全管理員。

網絡安全；違規外聯；違規接入；雙機方式；代理方式

根據國家信息安全防護要求，為提升企業信息安全防護能力，提高信息系統安全運行水平，電力企業已經實施了內外網隔離，實現了企業信息內網與互聯網的安全隔離，有效提升了企業內部信息網絡的安全性和保密性。隨著移動網絡的普及，互聯網覆蓋范圍越來越大，由于企業員工內網信息安全意識還不到位，違規外聯行為時有發生，防治違規外聯已經成為電力企業信息安全防護的重要課題。

1 主要的違規外聯監控技術

目前普遍采用的是雙機方式違規外聯監控和代理方式違規外聯監控這2種監控技術。雙機方式違規外聯監控技術主要通過在內外網部署探測服務器、探測數據包的方式來監控違規外聯行為。代理方式違規外聯監控技術主要通過在終端部署代理驅動軟件、監控終端數據包和路由表信息來監控違規外聯行為。

1.1 雙機方式違規外聯監控

雙機方式違規外聯監控是通過TCP/IP協議攻擊欺騙的方式來實現的，監控系統主要由內網發包服務器和外網監控報警服務器兩部分組成。系統部署比較簡單。

雙機方式違規外聯監控的過程如下：內網發包服務器向內網終端發送探測數據包，該數據包的源IP地址是外網監控報警服務器的IP地址，聯入外網的內網終端會把該回包響應發送給外網監控報警服務器，外網監控報警服務器即可將該違規外聯告警發送給安全管理員，并記錄該違規外聯內網終端的相關識別信息。

但雙機方式違規外聯監控存在以下缺陷：

（1）內網終端的安全防護阻斷了內網探測包，導致違規外聯的內網終端無法響應探測數據包。

（2）假使處于內部網絡的計算機先斷開內網，然后再接入外網，內網發包服務器的探測包就不會達到被監控的主機。

（3）如果違規外聯內網終端的防護軟件阻斷了告警數據包的發送，那么監控告警服務器就收不到告警數據包，也就無法檢測到違規外聯事件的發生。

（4）由于此技術類似于網絡攻擊，所以存在被誤報成病毒、惡意攻擊的可能。

（5）在具有一定規模的內網中部署內網發包服務器較為復雜。電力企業的信息內網規模都比較龐大，包含了各類局域網，這些隔離的子網會阻斷或者過濾內網發包服務器發送的探測數據包，導致探測數據包無法有效傳遞到各內網終端，需要在每個子網均部署發包服務器。

1.2 代理方式違規外聯監控

代理方式違規外聯監控通過部署在內網終端上的違規外聯監控代理軟件來實現監控。違規外聯監控代理和違規外聯監控報警中心是代理方式違規外聯監控系統的重要組成部分。

違規外聯代理監控代理軟件根據安全管理員設置的安全策略實時監控宿主內網終端的違規行為，并按照要求的格式和規定的頻度把該宿主內網終端的相關信息上傳至監控報警中心。當監測到內網終端有違規外聯行為時，違規外聯代理軟件就會主動切斷該內網終端的網絡連接。違規外聯代理軟件能根據監控報警中心發布的策略進行更新和升級，并具備進程保護能力，以防被用戶非法終止。

監控報警中心是指部署在內網服務器上對違規外聯代理進行監控管理的程序。監控報警中心能實時響應違規外聯代理發起的連接請求，并完成相應的信息傳遞，還能夠根據管理員的要求對接收到的信息進行分類歸檔，以供安全審計。

代理方式違規外聯監控過程如下：違規外聯監控代理實時監控所在內網終端的上網行為，定期將收集到的內網終端信息發送到監控報警中心。當監測到異常情況時，違規外聯代理就會立即上報監控報警中心，再由監控報警中心告知安全管理員。

相對于雙機方式，代理方式違規外聯監控的準確性有很大的提高，減少了誤報、漏報的概率，并能及時阻斷違規外聯終端的網絡連接。但這種方式也有其缺點：

（1）如果違規外聯監控代理保護不當，被用戶終止后，系統就無法再監控違規外聯行為。

（2）如果安裝在內網終端上的安全防護軟件阻斷了監控代理與監控報警中心之間的通信，那么監控代理就無法把監控到的異常信息上報給監控報警中心，將導致違規外聯監控的失效。

1.3 雙機方式與代理方式的優缺

代理方式相比雙機方式違規外聯監控，準確性高，但實現相對復雜。每臺被保護的內網主機都需要部署違規外聯監控代理程序，安裝部署的人力成本高，并且要保證該違規外聯監控代理進程不能被用戶終止。雙機方式違規外聯監控無需在被監控內網終端上安裝任何軟件，部署簡單方便。但雙機方式違規外聯監測方式也存在著以下難以解決的問題：

（1）違規外聯終端和外網監控報警服務器之間的信息傳遞必須選擇合適的網絡協議，以繞開防火墻等安全防護設施，確保通信的可達性。

（2）有些操作系統根據發送請求包設備的IP地址進行響應，而不是根據請求包的源IP進行響應。這將導致響應數據包被重新傳回內網，而不會被外網監控服務器接收。

1.4 內網違規接入控制

內網違規接入控制是違規外聯安全監控的基礎，內網違規接入行為是指主機或終端未經授權而非法接入內網，通過IP地址盜用非法接入是實現內網違規接入的主要手段。目前的解決方法是通過IP-MAC綁定來防止IP地址盜用進行非法接入。如果違規接入用戶同時修改了IP和MAC，使得IP-MAC配對信息與合法綁定列表一致，就可以有效避免內網接入控制。

2 混合方式違規外聯監控方案

2.1 混合方式違規外聯監控方案概述

在目前2種違規外聯監控解決方案的基礎上，各取其長，提出了混合方式違規外聯監控解決方案。混合方式解決方案由內網平臺和外網平臺組成，采取內網平臺為主、外網平臺為輔的系統架構，其中外網平臺是1臺獨立的外網違規外聯監控服務器；內網平臺由內網違規外聯監控代理和違規外聯監控服務器組成。

2.1.1 內網違規外聯監控服務器

內網違規外聯監控服務器應具備以下功能：

（1）掃描內網在線設備，收集內網在線設備信息，建立可信內網主機列表以提供初始數據。

（2）向內網的違規接入設備發送欺騙包，阻斷內網違規接入。

（3）向違規外聯監控代理發布違規外聯安全策略和升級文件。

（4）向信息安全管理員實時發送安全事件告警信息。

（5）接收內網違規外聯監控代理上報的安全事件信息。

（6）對收集信息進行分類歸檔，為信息事件安全審計提供依據。

2.1.2 違規外聯監控代理

違規外聯監控代理應具備以下功能：

（1）監測宿主主機的違規外聯情況。

（2）及時將發現的信息安全事件上報內網違規外聯監控服務器和外網違規外聯監控服務器。

（3）將宿主主機的運行信息和代理程序的運行信息周期性上報內網違規外聯監控服務器。

（4）向內網違規接入設備發送欺騙包，阻斷違規接入。

（5）記錄用戶斷開內網時期的違規外聯嫌疑行為日志。

（6）對斷開內網上外網、再重新聯入內網的行為進行上報。

外網違規外聯監控服務器是混合方式違規外聯監測方案的重要輔助系統，對違規外聯監控起到了重要的完善作用。在內網違規外聯監控服務器無法接收違規外聯代理上報的信息安全事件的情況下，外網違規外聯監控服務器可以通過外網接收違規外聯日志信息，并通告信息安全管理員。

2.2 混合方式違規外聯監控方案研究

2.2.1 違規外聯監控

違規外聯行為監控由監控內網主機路由表實現。任何主機要與其他網絡通信必須要有到這個目標網絡的路由。缺省情況下，企業內網主機的路由表中只有一條默認路由，其下一條地址就是本機網關地址。如果這個網關的IP地址或MAC地址出現錯誤，就會導致主機與其他網絡之間的通信不可達。所以，監控主機路由表是監控主機違規外聯的有效方法。具體過程如下：定義一條缺省的內網主機路由，包括網關的IP地址和MAC地址，作為基準路由。如果內網主機修改了該基準路由信息，說明該內網主機試圖連接未經授權的網絡，表明該內網主機具有違規外聯的傾向。

違規外聯監控代理定期輪詢宿主主機的路由表，并將該路由表與基準路由進行比對，一旦出現基準路由信息與內網主機路由信息不一致，就記錄該主機信息，并上報內網違規外聯監控服務器，同時刪除路由表，切斷該主機的網絡連接，阻斷這次違規外聯行為。如果無法上報內網違規外聯監控服務器，違規外聯代理就向外網違規外聯監控服務器上報，通過外網違規外聯監控服務器將告警發送至信息安全管理員。

2.2.2 違規外聯嫌疑監控

違規外聯嫌疑行為主要指內網主機中斷內網連接，再聯入外網的行為。違規外聯嫌疑監控是對違規外聯監控預警的完善和補充。違規外聯嫌疑行為一般發生在內網違規外聯監控代理與內網違規外聯監控服務器通信異常的情況下。當內網違規外聯監控服務器沒有收到內網違規外聯監控代理上傳信息，也沒有收到內網違規外聯監控代理上傳的關機信號時，內網違規外聯監控服務器就會向該主機的違規外聯監控代理發送TCP探測包。如果內網違規外聯監控服務器未收到回復包，就說明該主機的網絡連接已經斷開，或出現了非法關機的情況。如果收到了該主機TCP RST回包，則說明該主機上的違規外聯監控代理進程已經被屏蔽，系統就會生成違規外聯嫌疑記錄并上報網絡安全管理員。如果沒有收到回復，則說明該內網主機已經被防護屏蔽或網絡物理連接已斷開，監控代理將記錄在違規外聯嫌疑日志，待該內網主機聯入外網時，監控代理就會把違規外聯日志上報至外網違規外聯監控服務器；或待下次監控代理正常連接內網監測服務器時，將情況上報；如果內網違規外聯監控服務器監測到內網主機長期不在線，系統也會生成違規外聯嫌疑記錄并上報網絡安全管理員。

2.2.3 內網違規接入監控

本文在ARP欺騙偽造網關的基礎上，提出了一種改進的ARP欺騙方式來阻斷聯網計算機的正常通信。內網違規外聯監控服務器通過與內網違規外聯監控代理互動，建立了合法聯網計算機列表。內網違規外聯監控服務器周期性地對聯網設備進行輪詢，并把輪詢結果與可信任計算機清單進行比較。如果發現有未安裝違規外聯監控代理的聯網設備，違規外聯監控服務器就認為是違規接入設備，違規外聯監控服務器就會向該違規接入設備發送ARP欺騙包，把偽造的網關地址信息與合法聯網設備的地址信息發送給這臺違規接入設備，使該主機無法獲得正確的ARP列表，從而阻斷該主機與本地網絡及其他網絡的正常通信。還可以利用主機操作系統的IP控制列表，阻斷與其他主機的連接，從而阻斷其他主機通過本地主機進行違規內網接入。

3 結語

本文對違規外聯行為進行了分析，對當前的違規外聯監測方案進行了深入的比較研究。根據目前方案中的缺陷和不足，提出了改進的違規外聯監控方案，從技術層面斷絕了違規外聯事件的發生，可有效保障信息內網安全。

[1]謝家榮.涉密計算機保密防范技術研究[J].計算機與數字工程，2000，28（5）∶63-66.

[2]過莉.企業計算機網絡安全防護的幾點措施[J].廣東電力，2005，18（6）∶87-89.

[3]李建.計算機網絡安全的現狀及探討[J].職業技術，2008（1）∶86-86.

[4]隋廣涵.非法外聯監控系統的研究與實現[D].吉林大學，2005.

[5]禹曉慶.網絡物理隔離安全防御技術[J].中國電子出版，2000（6）∶59.

[6]杜虹.談談“內網”安全[J].信息安全與通信保密，2005（1）∶81-81.

[7]黃建輝.一個內網監控系統的研究與實現[D].浙江工業大學，2009.

（本文編輯：徐晗）

Research of Safety Supervision on Unauthorized External Connection in Inner Electric Power Networks

CHEN Xiao jie，HONG Zhi hua，SUN Yi ze，WANG Yong
（Ningbo Electric Power Bureau，Ningbo Zhejiang 315010，China）

With the development of electric informatization，information security has become an important factor for safe and stable operation of power grid.As the internet continues to develop and the extensive application of new technologies，security incidents increasingly take place in intranet computers，and unauthorized external connection brings significant risks to the confidentiality of intranet.Unauthorized external connection results in information leakage,which gives opportunity to hacker attack.By analyzing the method of monitoring unauthorized external connection,the paper proposes an improvement scheme，which enables comprehensive monitoring on unauthorized external connection of computers in intranet and unauthorized access of external computers to intranet；furthermore，the scheme enables the generation of warning information to inform safety administrator of intranet in due cause of time.

network security；unauthorized external connection；unauthorized access；two-machine mode；agent mode

TP311.563

：B

：1007-1881（2013）10-0070-04

2013-01-17

陳曉杰（1982-），男，浙江寧波人，工程師，從事信息網絡安全工作。