發電企業基于零信任體系的網絡多層級安全防護探討

李鶴鳴 顧士書

1. 皖能合肥發電有限公司 安徽 合肥 230041；2. 科大國創軟件有限公司 安徽 合肥 230088

發電企業內部網絡按照《電力二次系統安全防護規定》要求，分為管理信息大區與生產控制大區。兩種網絡區域之間必須采用網閘進行物理隔離。因通常只有管理信息大區與互聯網相連，受攻擊的風險較為突出，本文主要探討管理信息系統網絡安全防護工作[1]。

1 零信任安全體系基本原則

近年來，隨著永恒之藍等0day系統漏洞的利用，各種勒索病毒的流行，加上一些境外黑客組織針對性的滲透攻擊。發電企業的網絡安全，面臨著前所未有的挑戰。筆者所在單位對網絡安全工作較為重視，已在管理信息系統網絡中先后部署了SSL VPN設備、WEB應用防護裝置、數據庫審計系統、網絡行為管理系統、綜合業務監管平臺、運維管理審計系統、入侵防御系統、日志分析及審計系統、工控統一安全管理平臺、災備系統并實現了異地備份。然而很多傳統網絡安全產品，例如WEB應用防護裝置（WAF）、入侵防御系統，都是對網絡上的行為特征按照預定的規則庫進行對照匹配，識別出“壞人”進而進行行為阻斷。其規則庫原理是通過日積月累的“壞人庫”來勾畫各種“壞人”的特征。遺憾的是，海量的“壞人”特征依然無法幫我們識別出所有的“壞人”，內網安全態勢仍然處在岌岌可危的情景之下。零信任安全的關鍵原則就是從不同的角度去看待“壞人”，我們不用去勾畫“壞人”的特征，只需要勾畫“好人”的特征，不符合“好人”特征的就默認其為“壞人”即可。因為理論上來說，“壞人”的特征是無法窮盡的，而在特定場景下“好人”的特征則是可以窮盡的。采取白名單規則的思路可以更好地保障數據安全和業務安全。為了進一步加強網絡安全防護，以零信任體系為思想，結合本單位的實際情況，筆者做了具體的規劃與設置[2]。

2 零信任安全體系實踐

2.1 對內部網絡零信任——管理信息系統網絡的分區

傳統發電企業管理信息網絡中的防火墻僅部署在互聯網出口處作為隔離。這種拓撲的缺點是，重要信息系統服務器和普通辦公電腦同處一個網絡區域中。如果辦公電腦被網絡蠕蟲感染或被黑客滲透，則對服務器產生直接威脅。因此，需要對內網施行 “零信任”。筆者將所有重要服務器劃分到一個單獨的網絡區域中，并在WEB應用防護裝置之前添加部署一臺網絡防火墻（服務器區防火墻）將其與辦公電腦網絡之間做安全隔離。筆者稱此區域為“服務器區”，相對于“辦公網絡區”而言屬于可信白名單區域。

2.2 對網絡設備零信任——聯網設備的地址綁定

為網絡中每一臺聯網設備一個“身份證”，配置固定的IP地址，并做好IP/MAC的靜態綁定工作。以此為基礎，可進行進一步精細化的策略設置。未登記綁定的設備一律零信任不允許聯網。此為聯網設備的白名單機制。

2.3 對辦公網絡區零信任——服務器區防火墻的精細化設置

因已實現所有聯網設備身份綁定，故可在“服務器區防火墻”中以“最小化權限”為原則設置精細化的包過濾規則，白名單只允許“特定的IP地址”訪問“特定的服務器”的“特定端口”。在網絡第三層做到“服務IP端口-用戶IP綁定”。白名單規則以外的網絡行為一律拒絕。設置以后，即使辦公區的某一臺計算機因防護不力被感染或滲透，已無法直接對服務器區的重要設備產生直接威脅[3-5]。

2.4 對服務器區零信任——操作系統防火墻的精細化設置

在服務器區的每一臺服務器上，均開啟操作系統級的軟件防火墻，同樣以白名單方式進行精細設置，仍按“最小化權限”為原則做到“服務IP端口-用戶IP綁定”。不但增強了服務器對系統級漏洞的抵御能力。即使某一臺服務器被成功滲透，也無法直接波及其他服務器。為網絡攻防戰役贏得時間，減少損失。

2.5 移動辦公的零信任安全——雙層反向代理

網絡安全威脅最主要的渠道來自互聯網，因此發電企業的內網信息系統是不允許對互聯網直接提供服務的。單位部署了SSLVPN設備來滿足部分遠程辦公的需求。然而，在實際工作中，筆者發現VPN設備并不適合移動設備接入使用，VPN協議在建立連接時耗費大量的資源，用戶需要等待數秒甚至數十秒直到連接完成。在桌面環境，一旦建立VPN連接，短時間內不會需要重連，用戶還可以接受這種連接耗時。但對于移動設備來說，每當用戶的設備息屏進入睡眠狀態時，VPN都將中斷并必須重新連接。此外，移動應用程序并不能識別VPN連接狀態的改變，因此當VPN重新連接時，應用程序的響應速度可能會受到較大影響，甚至導致程序掛起失去響應，用戶體驗極差。這就需要一種新的安全方法來滿足移動應用程序遠程訪問內網信息的要求。筆者所采用的方式是采用雙層反向代理：將移動應用程序服務器建立在云端，采用云的保護來進行網絡流量的過濾并實現第一層反向代理，對移動應用客戶端隱藏企業的內網位置信息；在企業內網部署應用服務代理系統，對請求進行第二層反向代理。通過雙層反向代理，無需向互聯網暴露內網服務器的任何端口，即可將內網信息系統數據拉取至云端服務器反饋給移動應用客戶端。此外，按照零信任的原則，應用服務代理服務器并不用建設在服務器區。服務器區防火墻將其視為普通內網用戶終端，不給其任何訪問的特權。在邊界防火墻上則設定白名單規則僅允許云服務器對其代理端口進行訪問，仍然符合“服務IP端口-用戶IP綁定”的具體要求[6-8]。

3 零信任安全體系實施結果

按照以保障“服務器區安全”為目標，以零信任為思想體系，以第三方安全設備為基礎，以精細化規則設置為手段，以自主研發軟件系統為支持，從互聯網到云服務，從云端到互聯網邊界，從邊界防火墻到應用服務代理系統，從應用服務代理到服務器區防火墻，從服務器區防火墻再到服務器操作系統防火墻，層層設防，處處零信任。最大程度的降低網絡滲透攻擊的風險[9]。（見圖1）

圖1 網絡安全多層級防護示意圖

4 結束語

本文對在零信任安全體系下，發電企業網絡實現多層級安全防護的思路與實踐方式進行歸納與總結，希望能為網絡安全工作的思路起到拋磚引玉的效果。