信息網(wǎng)終端主動式安全防護探究

葉水勇，張峻林，王文林，張 弛，李 瑩，宋浩杰，汪 靜

(國網(wǎng)黃山供電公司，安徽 黃山 245000)

電力信息網(wǎng)終端作為信息網(wǎng)的重要組成部分，直接承載了各類生產(chǎn)應用開放的業(yè)務功能，給業(yè)務用戶帶來便捷的同時也面臨著許多不容忽視的安全威脅[1]。信息內(nèi)網(wǎng)終端由于病毒感染、移動介質(zhì)的非法使用、內(nèi)外網(wǎng)互聯(lián)等行為給整個電力信息網(wǎng)帶來了極大的安全隱患。

1 電力信息網(wǎng)終端安全防護現(xiàn)狀

1.1 信息網(wǎng)及信息終端應用現(xiàn)狀

國網(wǎng)黃山供電公司信息外網(wǎng)主要包括辦公桌面終端，方便專業(yè)管理人員接入互聯(lián)網(wǎng)，由省電力公司進行安全防護管理；信息內(nèi)網(wǎng)包括市公司本部的局域網(wǎng)、變電站及營業(yè)廳使用的廣域網(wǎng)及縣公司網(wǎng)絡，并按照信息安全“分區(qū)、分級、分域”的防護規(guī)范要求，將信息內(nèi)網(wǎng)安全域劃分為網(wǎng)絡邊界、網(wǎng)絡環(huán)境、信息主機及應用環(huán)境4個層次，各系統(tǒng)、網(wǎng)絡設備、終端劃分至相應安全區(qū)域進行防護[2-3]。

1.2 信息網(wǎng)終端安全防護現(xiàn)狀

隨著信息安全要求的不斷提升，電力信息網(wǎng)終端防護方法及技術(shù)也不斷提升，目前已形成基礎(chǔ)系統(tǒng)配置審計、終端行為審計及終端安全輔助支撐的三級主、被動結(jié)合的防護機制。

(1)基礎(chǔ)系統(tǒng)配置審計。通過VRV客戶端定期對終端操作系統(tǒng)的Guest用戶、登錄口令強度、口令過期策略、系統(tǒng)補丁安裝情況進行檢測，提示終端操作系統(tǒng)存在的安全風險；并由省電科院定期開展終端漏洞掃描工作，針對MS08-77、MS12-020等高危漏洞進行掃描并提示整改。

(2)終端行為審計。通過VRV客戶端對終端用戶的違規(guī)內(nèi)外網(wǎng)互聯(lián)，使用非安全移動存儲設備、趨勢防病毒客戶端對終端病毒感染情況進行審計并提示終端用戶行為存在的安全風險。

(3)終端安全輔助支撐。為增加終端使用人員的信息安全意識，通過設置統(tǒng)一的安全警示屏保、公司內(nèi)網(wǎng)網(wǎng)站定期宣傳、辦公場所信息安全事故展等多種方式開展終端安全宣傳工作，進一步提升人員信息安全意識。

1.3 信息網(wǎng)終端安全風險分析

在使用信息網(wǎng)終端時，部分員工的無意識行為和安全意識不足，給信息網(wǎng)安全帶來了一定的安全隱患，主要表現(xiàn)在以下幾個方面。

(1)日常終端安全維護不到位：部分員工疏于設置強口令密碼、定期更新密碼或者安裝最新補丁，對感染病毒也不做處理，終端使用處于亞健康狀態(tài)運行。

(2)移動存儲介質(zhì)使用規(guī)范性較差：移動存儲介質(zhì)在信息內(nèi)、外網(wǎng)不同計算機終端之間頻繁使用，在無安全措施的情況下，給信息內(nèi)網(wǎng)帶來安全隱患。

(3) 有意無意的網(wǎng)絡行為：部分員工出于對網(wǎng)絡的興趣和愛好，在網(wǎng)絡中進行認證、注冊，從而構(gòu)成對網(wǎng)絡的威脅。如私自修改計算機終端IP地址、MAC地址等網(wǎng)絡配置，造成網(wǎng)絡IP地址沖突等問題；私自重裝操作系統(tǒng)，造成桌面注冊、防毒軟件等終端安全軟件缺失，帶來安全隱患。

針對信息網(wǎng)終端安全防護現(xiàn)狀及存在的安全問題，公司采取融合終端行為檢測、行為審計及網(wǎng)絡準入的主動式終端安全防護方法對網(wǎng)絡終端進行管控。

2 終端主動式安全防護方法

2.1 終端主動式防御需求

由于信息網(wǎng)的網(wǎng)絡安全狀態(tài)是非穩(wěn)定的，信息網(wǎng)信息終端的狀態(tài)隨著時間遷移、變遷到非安全狀態(tài)，從而給信息網(wǎng)帶來新的安全隱患；其次，信息網(wǎng)的網(wǎng)絡安全狀態(tài)具有一定的可控性，當在信息網(wǎng)中收集的網(wǎng)絡及用戶終端的狀態(tài)信息越多，越能夠準確地判斷出終端給信息網(wǎng)帶來的安全風險，并及時給出應對措施，控制網(wǎng)絡安全狀態(tài)[4]。及時并準確地感知信息網(wǎng)及終端狀態(tài)是做好信息網(wǎng)安全的基礎(chǔ)，基于獲取的信息網(wǎng)運行數(shù)據(jù)及終端狀態(tài)數(shù)據(jù)對終端接入進行決策，將存在潛在安全風險的終端及非法終端進行阻斷或隔離，可有效降低信息網(wǎng)存在的安全風險點，提升信息網(wǎng)的安全水平。

2.2 圍繞IP資源的終端主動式防御建設方法

通過IP地址資源可以準確掌握信息網(wǎng)接入的終端數(shù)目、接入位置、接入時間等數(shù)據(jù)，為終端安全準入提供了基礎(chǔ)數(shù)據(jù)源[5-6]。圍繞IP資源的終端主動式防御建設方法在已有VRV桌面管控系統(tǒng)及趨勢防病毒系統(tǒng)的基礎(chǔ)上建設終端接入管控體系，體系建設依據(jù)P2DR原理，通過建立合法終端設備臺賬形成準入控制基線，以終端接入檢測及終端行為審計為監(jiān)測內(nèi)容，輔以終端準入控制技術(shù)實現(xiàn)合法終端的準入、未知終端及異常終端的接入阻斷，體系建設主要內(nèi)部如圖1所示。

圖1 地市電力公司終端接入管控體系

國網(wǎng)黃山供電公司從全局角度對信息網(wǎng)網(wǎng)絡資源及安全準入行為進行管理，首先圍繞IP地址梳理網(wǎng)絡設備、網(wǎng)絡資源及終端設備資產(chǎn)臺帳，并以此為基線建立合法接入設備集；再實時收集信息網(wǎng)中的接入IP地址表感知信息網(wǎng)中的接入設備，收集VRV桌面管控系統(tǒng)及趨勢防病毒系統(tǒng)中終端的審計數(shù)據(jù)，進而檢測出非法接入終端及存在安全隱患的終端，最終依據(jù)審計策略對問題終端進行隔離或阻斷。終端接入主動式防御運行流程見圖2。

圖2 終端接入主動式防御運行流程圖

2.2.1檢測基線建立與第一層接入防護

網(wǎng)絡接入設備類型包括電力信息網(wǎng)中接入的終端設備、服務器、網(wǎng)絡設備等各類網(wǎng)絡接入對象，其中終端設備又包括臺式機、自助終端、打印機、網(wǎng)絡攝像頭等；網(wǎng)絡接入設備存在各個范疇的屬性，其中IP地址是設備接入到信息網(wǎng)必要的屬性之一。方法以IP為線索，建立區(qū)域-網(wǎng)絡地址資源段-VLAN-IP地址的樹形網(wǎng)絡地址資源管理模型，對市縣網(wǎng)絡地址資源地址段統(tǒng)一管理，形成可接入IP地址池，再以IP地址為索引對全網(wǎng)接入的物理設備、網(wǎng)關(guān)地址進行梳理，理清IP地址、設備MAC地址、設備接入位置間的映射關(guān)系，并以此做為設備接入檢測的基線[7-8]。VLAN中的每個在用的IP地址與設備及設備接入位置關(guān)聯(lián)如圖3所示。

圖3 VLAN中終端臺賬、接入位置、使用人員及使用IP地址維護

建立終端準入臺帳基線后，對信息網(wǎng)中的所有接入層交換機進行接管。接入層交換機每個類型為access端口，通過端口安全規(guī)則限制該端口只能通過臺帳基線中接入位置為該端口的終端設備，當端口下不存在基線中的接入設備時，關(guān)閉端口的自學習功能，保證未知設備在接入層無法接入信息網(wǎng)，給信息網(wǎng)安全帶來第一層防護。

2.2.2未知設備接入檢測及終端異常行為審計

信息網(wǎng)在運行過程中網(wǎng)絡環(huán)境及終端狀態(tài)也在不斷發(fā)生變化，特別是存在通過匯聚層接入的未知設備以及存在異常行為的終端設備，給信息內(nèi)網(wǎng)安全帶來一定安全隱患；需要對未知接入設備及終端的異常行為進行高效、準確地自動化檢測，及時發(fā)現(xiàn)潛在的終端安全隱患。

(1)未知接入終端檢測。雖然第一層安全防護可以主動屏蔽多數(shù)未知設備的接入，但是對于惡意的mac地址模擬，或者通過未管控的端口還是可以接入設備，并通常伴隨有攻擊行為，為此需要快速檢測出未知的接入行為，為主動防護提供決策數(shù)據(jù)。為快速發(fā)現(xiàn)未知設備，以接入設備臺賬基線為可信設備集合，通過后臺服務定期掃描所有的接入層交換機，獲取所有的接入層交換機當前的接入設備mac表，通過比對可信設備集合和當前的接入設備mac表，不屬于可信設備集合的mac地址對用設備認定為未知設備；同時針對mac地址模擬行為，由于模擬mac接入的終端不會安裝VRV審計終端，在mac掃描完成后，從VRV服務器中讀取每個mac對應終端的在線狀態(tài)，若設備已接入但VRV中顯示聯(lián)系，認定為未知設備；通過mac比對及VRV在線情況分析最終得到未知的接入終端集合[9-10]。

(2)終端異常行為審計。終端運行過程中的系統(tǒng)變化、用戶行為都會對信息網(wǎng)帶來安全隱患，需要及時檢測出終端的異常行為并依據(jù)策略處理[11]。現(xiàn)有國網(wǎng)公司統(tǒng)一建設的VRV系統(tǒng)及趨勢防病毒系統(tǒng)已經(jīng)能夠較好地判斷出終端的部分異常行為，如違規(guī)外聯(lián)、弱口令、病毒感染等，但由于缺乏有效的聯(lián)動機制，導致這些寶貴的數(shù)據(jù)只能用于告警，沒有充分發(fā)揮價值。通過整合VRV及趨勢系統(tǒng)的審計數(shù)據(jù)，在避免重復建設的情況下可有效獲取終端運行狀態(tài)，檢測終端異常行為。VRV系統(tǒng)和趨勢防病毒系統(tǒng)在終端發(fā)生異常行為或感染病毒時會生成系統(tǒng)級告警日志，在數(shù)據(jù)整合時，通過數(shù)據(jù)庫觸發(fā)器技術(shù)，及時接入VRV系統(tǒng)及趨勢防病毒系統(tǒng)生成的告警日志記錄，并根據(jù)記錄內(nèi)容確定終端發(fā)生的異常行為類型，得到終端運行過程數(shù)據(jù)，再依據(jù)審計規(guī)則對運行過程數(shù)據(jù)進行檢測，確認終端的異常行為。審計項目見表1。

表1 終端行為審計項目

2.2.3基于檢測結(jié)果進行主動式防護

針對未知接入終端及發(fā)生異常行為的終端，采用在核心交換機ARP阻斷方法實現(xiàn)終端的準入控制，通過將終端的mac地址綁定到未使用的IP地址實現(xiàn)對終端接入行為的控制。同時為增加ARP綁定操作的自動化執(zhí)行程度，利用SNMP操作完成交換機的ARP綁定操作操作[12]。

ARP綁定操作步驟具體如下。

(1)記錄交換機的IP、SNMP讀串和寫串。

(2)在需要進行ARP綁定時，首先利用SNMPwalk工具結(jié)合讀串獲取交換機的ARP表，按行對ARP表進行解析，判斷待要綁定的ARP信息是否已存在，如果存在，則不再綁定，繼續(xù)下列步驟。

(3)根據(jù)待綁定的ARP對信息，利用SNMPwalk工具結(jié)合交換機寫串生成交換機ARP表增加操作，然后執(zhí)行；執(zhí)行完成后再次利用SNMPwalk工具結(jié)合讀串獲取交換機的ARP表，按行對ARP表進行解析，判斷待要綁定的ARP信息是否已存在，如果存在，則綁定完成，否則綁定失敗。

3 實施效果

通過終端主動防御建設，實現(xiàn)了地市公司終端接入的統(tǒng)一管理，有效地避免了未知終端及異常終端對整個網(wǎng)絡帶來的安全風險，提升了終端異常事件處理效率。國網(wǎng)黃山供電公司在實施終端主動防御建設后，實現(xiàn)了終端異常事件的100%處理率。在實際運行中，某終端插入了未注冊的U盤，體系支撐工具在10 s內(nèi)發(fā)現(xiàn)并進行了阻斷，并在第一時間通過短信告警，此后運行監(jiān)控組通過電話與終端使用人員進行溝通確認了未注冊U盤的使用。

4 結(jié)語

電力網(wǎng)絡終端接入的有效管控是日常網(wǎng)絡運維中的重點工作。國網(wǎng)黃山供電公司依據(jù)P2DR理論并結(jié)合電力信息網(wǎng)終端接入及安全現(xiàn)狀給出了一種適合于地市電力公司使用的終端接入主動式防御方法，通過建立終端臺賬基線，監(jiān)測未知接入及終端異常行為，并進行合理阻斷，一方面保障了可信設備的安全接入，另一方面能及時發(fā)現(xiàn)未知接入設備，較好地實現(xiàn)了電力網(wǎng)絡接入設備的全面管控，具有較好的實用價值。