網絡邊界違規內聯檢測、定位與阻斷系統在電力內網中的應用研究

摘 要 隨著智能電網不斷發展，電力企業傳統隔離網絡的邊界不斷動態調整，存在著物理隔離網絡被跨網入侵這一重大隱患風險。因此，確保電力信息網絡邊界完整性，實現內外網邊界可感、可視和可知是電力企業安全防護迫切需要解決的難題。本文針對邊界安全出現的新問題新隱患，通過對網絡邊界鏈路，端口，設備等邊界節點的全方位安全要素獲取、分析、展示和處置，實現了對電力企業網絡邊界違規內聯檢測、定位與阻斷控制，系統的應用顯著提升了電力企業網絡安全的風險管控能力和安全防護能力。

【關鍵詞】違規內聯 邊界完整性 協同防御

1 引言

網絡應用技術的飛速發展給網絡安全帶來了極大的挑戰，一方面網絡安全技術已成為網絡應用的制約因素和性能瓶頸，另一方面人們對網絡安全的認識受傳統意識的影響和商業化氛圍的影響，存在較大的片面性和局限性，使得網絡安全的形勢不容樂觀。同時，非授權設備（無線AP、隨身Wi-Fi等）違規內聯行為會大大擴展和破壞已有的網絡邊界，使得原本清晰的網絡邊界變得模糊和難以管控，會給企業現有內部網絡帶來巨大安全風險，使得在邊界防護方面的努力付出和巨額投入都可能功虧一簣。

電網作為我國關鍵基礎設施，其安全性是影響國家經濟社會發展的全局性、戰略性問題之一，因此，電網網絡信息安全已成為國家安全的重要組成部分。“互聯網+“業務不斷推動和提升電力企業生產、運行和經營管理水平，電力企業網絡邊界不斷發生變化和調整，無線Wi-Fi及智能終端技術的發展，使得網絡邊界遭受破壞的概率大幅提升，且隱蔽性極強，私接無線設備可使得網絡邊界完整性輕易遭受破壞，我們需要一種行之有效的檢測技術和方法，能夠有效識別非授權接入的無線AP及隨身Wi-Fi等設備，同時提供針對違規接入設備的快速網絡定位及阻斷控制，可有效彌補當前網絡違規內聯檢測、定位以及阻斷控制能力的不足，加強和保護企業現有內部網絡的邊界安全。

2 網絡邊界面臨的問題

隨著智能電網建設的不斷深入，電力信息網絡逐漸成為承載電力企業生產、營銷與企業經營管理關鍵基礎平臺。現如今，電力網絡組成了一個邊界巨大、多樣的泛在廣域網絡，使得電力行業整體面臨著隨之而來的各種網絡與信息安全攻擊與威脅，功能強大的勒索病毒、變化多樣的非法入侵方式，不斷暴露出的安全漏洞極大地增強了電力企業網絡安全風險，面對這些風險，建立一個可感、可知、可視的邊界環境是做好安全防御的第一道門檻，只有安全的、完整的網絡邊界才能阻止非法的網絡入侵和訪問，建立相對良好的網絡安全環境。

目前在網絡邊界安全防御中，存在不能有效的感知一個運行網絡中邊界狀態的問題，而網絡中任意的接入導致網絡邊界發生變化，從而引發越來越嚴峻的網絡安全問題。主要問題體現在以下幾點：

2.1 原有網絡邊界遭到成倍放大和破壞

私接設備尤其是私自將無線AP接入到內部網絡，使得本應局限在內部建筑的網絡邊界，直接輻射到以建筑為核心的方圓50米甚至更遠的距離，大大擴展及破壞了內網已有的網絡邊界，使得內部網絡遭受攻擊以及侵入的風險急劇增加，其危害相較于非法外聯，引發的安全風險甚至更高。

2.2 易遭受入侵，安全風險極高

很多私接設備（如手機、平板等）的安全性本身很差，運行的應用魚龍混雜，接入內部網絡后，容易帶入病毒或木馬等，風險極高。其次，私接的無線AP雖提供了一定的安全措施，但常因使用者的安全意識及技術水平的限制，無法充分發揮AP自身的安全防護能力，加上AP常用的WEP加密的脆弱性，使得AP很容易遭受攻擊和破解，外部入侵者可以輕易的在方圓50米甚至更遠的距離上，通過破解以及欺騙的手段，通過AP直接侵入內部網絡，輕易對內部網絡實施其破壞行為。

2.3 難以監管，管理者很難發現私接設備的行為

對于網絡內部還存在HUB或者類似HUB接入的網絡，針對私接路由設備的監管非常困難，管理者很難區分清楚這些提供HUB接入的設備是合法的還是私接的。

更難以監管是通過NAT方式接入的路由設備，包括隨身Wi-Fi設備，即使管理者通過MAC和設備端口綁定的方式進行限制，建立了基于802.1X的接入控制體系，此類設備仍可通過欺騙等手段方便的接入，這種接入的隱蔽性和欺騙性，使得管理者難以發現，更談不上監管。

3 系統的總體架構設計

貴州電網有限責任公司貴陽供電局于2017年啟動了從保護企業內部現有網絡邊界完整性、降低信息安全事件發生概率、彌補安全管理上的不足、完善安全管理體制建設等方面入手的網絡邊界違規內聯檢測、定位與阻斷系統的應用研究工作。

系統包括主掃描檢測系統（包括主掃描引擎系統、數據庫系統和前臺用戶管理系統三部分）和無線掃描探針系統共兩大部分，總體采用B/S架構。如圖1所示。

3.1 掃描檢測系統

掃描檢測系統包括主掃描引擎系統、數據庫系統和前臺用戶管理系統三部分，主要負責對電力信息網監控范圍內的設備進行常規輪詢式的遠程掃描，針對違規事件進行發現、報警、存儲以及對于違規事件的應急響應。該系統部署于需監控的內部網絡，與監控對象網絡無阻礙可達即可。在網絡邊界守護中邊界節點主要涵蓋網絡中接入層設備與終端，網絡設備異常狀態的監測主要依靠SNMP協議中Trap信息來掃描完成；而網絡拓撲結構變化的監測則通過掃描網絡拓撲結構，將掃描到的實時網絡拓撲結構與網絡基準拓撲結構作比對，定位拓撲結構發生改變的位置。

3.2 無線掃描探針系統

無線掃描探針系統單獨部署在Win8/Win10平板電腦或筆記本電腦上，主要負責無線Wi-Fi信號的自動收集，包括SSID、MAC地址、信號強度、加密方式等，包括未廣播的SSID也要進行識別和收集。作為技術補充，對于已經建立電力企業無線局域網的用戶，可以通過與AC聯動直接獲取流氓AP的相關信息，實現與Cisco、華為、華三以及銳捷AC等主流網絡控制設備聯動。endprint

4 研究過程中主要技術運用

4.1 NAT接入設備的遠程掃描識別技術

UDP掃描最大的問題就是準確率不高，如何保證UDP端口掃描的準確性；個人終端安裝的防火墻是否會對檢測結果產生影響，如何降低防火墻對檢測效果的影響；過度掃描會影響掃描效率，在檢測包種類和數量有限前提下，如何高效準確識別遠程主機的操作系統類型等；系統綜合TCP/UDP端口掃描技術、遠程操作系統識別技術、防火墻是否開啟的甄別技術，綜合上述技術來綜合甄別路由設備是否經過NAT方式接入。無線AP或小型路由設備多數通過NAT（地址轉換）方式接入網絡，尤其是經過MAC克隆方式違規接入，管理者很難區分和鑒別，通過此技術可以進行實現以NAT方式接入的違規路由設備的進行快速檢測。

4.2 大規模網絡的快速掃描和探測技術

在保證掃描效率的前提下，系統需要完成IP地址是否在線的ICMP檢測、通過SNMP自動發現網絡設備并完成IP-MAC收集、主機名掃描、TCP端口掃描、UDP端口掃描、操作系統識別等一系列工作，如何保證和優化掃描效率是技術難點。在不影響網絡性能的基礎上，系統提供的多線程并發掃描機制，綜合ICMP、SNMP、TCP等多種掃描檢測技術，實現網絡內部節點的快速準確的掃描探測。

4.3 交換機的下聯端口定位技術

該技術的最大難點在于提供兼容性支持，因為不同廠商、甚至同一廠商不同類型的交換設備關于端口定位的內部處理技術都不盡相同，這就需要提供最大限度的設備兼容性，兼容主流的交換設備類型：Cisco、華為、華三、銳捷、3COM、北電、邁普等。解決違規接入設備的定位問題，利用SNMP進行網絡交換設備的下聯端口定位，該技術需要綜合IP地址資源管理技術，直接完成網絡交換設備端口和下聯IP的自動關聯定位。相對于無線Wi-Fi定位，該定位更為直接，而且易于管控。

4.4 IP回溯技術

該技術的最大難點在于將IP地址的使用和網絡接入完成了自動關聯，即可根據時間點，確認某一IP地址在此時間點所對應的MAC地址，以及在該時間點該MAC所連接的交換機端口；由于IP地址的可變性，使得在根據IP進行定位時，如果不考慮時間特性，定位結果容易出現嚴重偏離，尤其是實行DHCP進行IP管理的網絡，IP的時間特性必須要納入。IP回溯技術綜合了IP地址使用的審計功能和網絡接入的審計，通過詳細記錄每一MAC使用不同IP地址的時段，使得每一IP的使用都有其時間特性，結合網絡接入審計，可以根據IP和時間點，關聯該IP在該時間點被哪個MAC地址在用，網絡的接入位置在哪個交換機端口。

4.5 拓撲自動發現技術

該技術最大難點在于拓撲的布局，尤其針對電力企業大型網絡，拓撲如何布局，如何在拓撲中進行可視化的網絡定位和管理；其次是拓撲的自我調整，包括拓撲的自動調整和人工調整，使得拓撲的展示更加接近用戶實際網絡拓撲。提供網絡拓撲的自動發現能力，網絡拓撲的變化和網絡邊界的變化息息相關，系統可以自動發現和繪制網絡拓撲，并提供多種拓撲展示模式，幫助確認拓撲結構是否發生了變化。

5 結論

通過該在電力企業網絡中網絡邊界內聯檢測、定位與阻斷系統的應用研究，提升了電力企業在網絡邊界完整性方面的技術管理能力，增強了電力企業對邊界完整性感知的能力，大大降低因邊界遭受破壞而帶來的電力網絡安全風險，為電力企業網絡正常運行提供更多安全保障。一方面，針對違規內聯，尤其是私接無線AP、隨身Wi-Fi等設備的檢測與監管，防止網絡邊界的完整性因此而遭受破壞，保證網絡邊界安全，有力保障電力信息業務系統的正常運行。另一方面，有效保護電力企業網絡邊界防護上的已有投資，確保在網絡邊界保護上的安全投入和安全能力得到充分發揮，提升了電力企業網絡信息安全水平。

參考文獻

[1]楊峰，張浩軍.無線局域網安全協議的研究和實現[J].計算機應用，2011.

[2]譚潤芳.無線網絡安全性探討[J].信息科技，2008，37（06）：24-26.

[3]馬建峰，吳振強.無線局域網安全體系結構[M].北京：高等教育出版社，2008.

[4]賀雪晨.信息對抗與網絡安全[M].清華大學出版社（第2版），2010.

[5]潘愛民.徐明偉等.計算機網絡[M]，第四版清華大學出版社，2014.

[6]王淑紅.網絡安全[M].北京市：機械工業出版社，2007.

作者簡介

張盛安（1983-），男，高級工程師，碩士研究生。從事信息安全專業技術管理工作。

作者單位

貴州電網有限責任公司貴陽供電局 貴州省貴陽市 550001endprint