信息系統(tǒng)等級保護安全域隔離技術的探討

景 峰

(山西省電力公司,山西太原 030001)

0 引言

信息安全等級保護是指根據(jù)信息系統(tǒng)重要程度的不同,分等級、有針對性地對信息系統(tǒng)進行有效和適度防護。

2007年11月,國家電監(jiān)會發(fā)布 《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導意見》。2008年初,國家電網(wǎng)公司啟動SG186信息系統(tǒng)等級保護建設工作,組織專家開展了信息系統(tǒng) “統(tǒng)一定級、集中評審”,分析了國家等級保護建設要求和技術標準規(guī)范,并結合國家電網(wǎng)公司信息系統(tǒng)建設和安全防護目標,編發(fā)了 《信息化 “SG186”工程安全防護總體方案》,作為行業(yè)內等級保護要求的典型設計。

安全防護架構設計思路為 “分區(qū)、分層、分級、分域”的綜合防御體系。將信息管理信息網(wǎng)絡劃分為信息內網(wǎng)和信息外網(wǎng),根據(jù)業(yè)務重要和社會影響劃分了若干三級保護系統(tǒng)和二級保護系統(tǒng),三級系統(tǒng)獨立分域,其余二級系統(tǒng)統(tǒng)一成域,不同的安全域,從邊界安全、網(wǎng)絡安全、主機安全、應用安全等方面明確了防護要求。

在防護體系中,桌面終端域作為一種特殊的域。“總體防護方案”對桌面終端域提出了 “終端安全管理”和 “網(wǎng)絡準入控制”的要求,需要重點關注和分析。

1 獨立成域業(yè)務之間的橫向隔離

從等級保護建設的實際情況來看,三級要求的其他技術手段可以依托于設備和基礎方案來實現(xiàn)合規(guī)性建設。目前,棘手的問題是如何實現(xiàn)業(yè)務系統(tǒng)端到端的安全隔離,以及桌面域用戶如何在多個業(yè)務域隔離的情況下實現(xiàn)安全有效的互訪,既要實現(xiàn)業(yè)務隔離,確保業(yè)務的端到端訪問路徑有效隔離,又要充分節(jié)省桌面域內終端計算機的復用投資。

1.1 隔離的必要性和充分性

從業(yè)務訪問路徑上來看,主要是桌面主機通過網(wǎng)絡通道訪問應用系統(tǒng),通過網(wǎng)絡隔離措施對不同的應用、業(yè)務和群組用戶進行安全隔離,提高數(shù)據(jù)傳輸?shù)谋Ｃ苄院桶踩?為用戶業(yè)務傳輸提供端到端的安全保證。

現(xiàn)有的網(wǎng)絡隔離措施在兩個安全區(qū)域間的有效控制互訪上面較為全面和細致,但是要完成等級保護建設的要求,必須針對訪問路徑的各個關鍵節(jié)點,都能進行有效的訪問控制。網(wǎng)絡發(fā)展的趨勢是資源的集中與基礎設施的復用,在此之上虛擬化技術以1臺物理設備對應多個邏輯設備的優(yōu)越特點越來越多地被考慮到,對應到電力等級保護的建設要求,必須針對多種不同業(yè)務實現(xiàn)虛擬化技術基礎上的多通道隔離,特別是針對現(xiàn)有的數(shù)據(jù)大集中以后,在數(shù)據(jù)中心層面,如何實現(xiàn)隔離,也是端到端隔離技術選擇上需要重點考慮的問題。

1.2 幾種隔離技術的對比

虛擬局域網(wǎng)VLAN(Virtual Local Area Network)是現(xiàn)有局域網(wǎng)中最常用的隔離技術。VLAN適合小型網(wǎng)絡用戶邏輯隔離,但VLAN的廣播域占用帶寬資源,鏈路利用率低;二層網(wǎng)絡不適合大規(guī)模應用,網(wǎng)絡收斂速度慢,需要配置較多的二層特性,配置管理相對復雜。是一種最基本最常用的隔離方式,廣泛應用于網(wǎng)絡接入層。

分布式訪問控制列表 ACL(Access Control List)是另一種常見的隔離技術,適合一些規(guī)模不大的組網(wǎng)使用,需要嚴密地策略控制,配置管理復雜,無法提供端到端的隔離,業(yè)務或網(wǎng)絡調整時需要更改大量配置,并且嚴格限制可移動性。常見的防火墻采用的就是這種方式。

多協(xié)議標簽交換MPLS VPN(Multiprotocol Label Switching Virtual Private Network)是一種在大型園區(qū)網(wǎng)和廣域網(wǎng)內被普遍使用的隔離技術,支持園區(qū)內用戶群組互訪應用,能夠提供安全的端到端業(yè)務隔離,接入方式靈活,適合大規(guī)模網(wǎng)絡應用,可擴展性好,具有良好的可移動性。但其要求設備支持 VRF(VPN Routing Forwarding)/MPLS VPN,實際上主要依賴于核心交換機和骨干網(wǎng)路由器實現(xiàn)。

還有一些隔離技術本次不會考慮到,比如說,采用網(wǎng)閘進行物理隔離,采用入侵防御系統(tǒng)IPS(Intrusion Prevention System)等進行應用層安全隔離等。上述3種隔離技術在不同的應用場景下,都有不可取代的作用,在選用過程中,需要綜合考慮部署位置、部署靈活性以及隔離目標的達成性。

1.3 端到端的業(yè)務邏輯隔離方案

分析現(xiàn)有業(yè)務域劃分的特點,可以看到,幾個三級域都有跨廣域傳輸,且在局域網(wǎng)內使用過程中接入層角色不區(qū)分,數(shù)據(jù)中心級應用業(yè)務角色不區(qū)分。這就意味著端到端隔離的可行方案必須是一個綜合性的隔離方案,在原有各自為政的隔離基礎上,要實現(xiàn)動態(tài)配置可調整,以便適應同一個物理通道被多個邏輯業(yè)務所使用。各個隔離技術的部署位置如圖1所示。

圖1 獨立成域的業(yè)務系統(tǒng)間隔離示意圖

接入層各主機采用VLAN方式接入,以不同的VLAN號區(qū)分不同的業(yè)務,在匯聚層或核心層將VLAN與虛擬路由轉發(fā)VRF技術做一個映射,在跨廣域傳輸中以VRF來區(qū)別不同業(yè)務,在數(shù)據(jù)中心前端,通過多實例用戶網(wǎng)絡邊界設備MCE(Multi-VPN-Instance Customer Edge)連接技術,實現(xiàn)對不同來自VRF業(yè)務的安全策略控制,再以映射VLAN的方式訪問服務器資源。

整個過程中,廣域網(wǎng)VPN和數(shù)據(jù)中心VLAN可以一次配置后不需要調整,只需要調整映射關系即可,接入層VLAN作為選擇業(yè)務的發(fā)起者,需要實現(xiàn)對業(yè)務應用的智能識別和控制。

2 桌面域多用戶角色處理

網(wǎng)絡縱向邏輯隔離實現(xiàn)后,桌面域主機如何有控制地分別接入的不同業(yè)務域,成為實現(xiàn)端到端業(yè)務縱向隔離的關鍵。

2.1 桌面域接入網(wǎng)絡面臨的挑戰(zhàn)

等級保護屬于強制業(yè)務分區(qū)方式,三級業(yè)務完全隔離雖尚未有強制到桌面主機多機隔離的要求,但是必須確保同一個主機在滿足三級接入要求的前提下能夠同時以多個業(yè)務域主機的角色存在,所以,業(yè)務域的標記和識別是接入層最重要的工作。

現(xiàn)有的網(wǎng)絡終端準入系統(tǒng)常見的功能是用戶終端試圖接入網(wǎng)絡時,首先通過安全客戶端進行用戶身份認證,非法用戶將被拒絕接入網(wǎng)絡;合法用戶將被要求進行安全狀態(tài)認證,由安全策略服務器驗證補丁版本、病毒庫版本是否合格,不合格用戶將被安全聯(lián)動設備隔離到隔離區(qū);進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級,直到安全狀態(tài)合格,安全狀態(tài)合格的用戶將實施由安全策略服務器下發(fā)的安全設置,并由安全聯(lián)動設備提供基于身份的網(wǎng)絡服務。

分析現(xiàn)有的桌面域準入控制系統(tǒng),可以發(fā)現(xiàn)用戶的接入方式802.1x、門戶單點、VPN、無線局域網(wǎng)等,認證因子有用戶名+密碼、軟證書、硬證書等,認證可動態(tài)下發(fā)的安全策略有VLAN、ACL,其中ACL與接入層設備強相關。

由于業(yè)務接入的方式多種多樣,在接入方式尚不具備區(qū)分性,認證因子上如果選擇差異化較大的用戶名及登錄屬性,則會大大增加主機側的難度,需要以一個合理的方式表示出本次登錄用戶希望使用的是某個業(yè)務。

2.2 多角色主機解決方案

綜合考慮多種實現(xiàn)方式,選擇用戶名結合域名拼接的方式進行認證,由認證服務器配合進行用戶名和域名的獨立解析,然后下發(fā)動態(tài)的設備配置到主機所接入的交換機的對應端口,用戶認證通過后即實現(xiàn)了相應業(yè)務域資源的訪問,如圖2所示。

圖2 多角色主機登錄認證示意圖

在圖2中,用戶唯一,但通過后綴實現(xiàn)同一賬號在各個業(yè)務域內安全接入,通過身份實現(xiàn)控制權限動態(tài)下發(fā)ACL或VALN。

無論是ACL方式下發(fā)的,還是VLAN方式下發(fā)的,最終都可以映射到廣域網(wǎng)縱向隔離的MPLS VPN中去,所以也就完成了端到端業(yè)務發(fā)起者的業(yè)務動態(tài)識別和標記工作。

3 等級保護安全域隔離需考慮的其他問題

等級保護業(yè)務安全域隔離的問題在具體實施過程中應注意以下幾個關鍵要素。

a)接入層設備與網(wǎng)絡準入系統(tǒng)的配合上,必須支持ACL和VLAN的動態(tài)下發(fā)。

b)在匯聚設備或核心設備上,支持VLAN和ACL到MPLS VPN的VRF的映射的配置,以便能夠實現(xiàn)接入層到廣域傳輸層的對接。

c)在數(shù)據(jù)中心服務器前端,部署的安全設備必須支持MPLS VPN組網(wǎng)下的MCE功能,支持虛擬防火墻功能。

4 結束語

等級保護建設從根本意義上是合規(guī)性建設,一方面要充分利用現(xiàn)有的設備和技術手段解決問題;另一方面要針對多業(yè)務安全域間條塊化隔離和多角色主機復用問題,通過原有技術手段的進一步組合和創(chuàng)新性方案的提出,在生產(chǎn)中解決這些問題。虛擬化資源動態(tài)分配和桌面終端的一機多域的解決方案,可充分地利用現(xiàn)有的技術隔離措施以及設備,實現(xiàn)端到端的策略對接,多角色主機接入。