管理終端接入信息的安全防護(hù)技術(shù)研究

呂旭明，李 釗，趙永彬，李 巍，陳曉光

(國(guó)網(wǎng)遼寧省電力有限公司，遼寧 沈陽(yáng) 110006)

終端接入是指各種用戶終端設(shè)備通過(guò)異步串口與路由器相連，實(shí)現(xiàn)終端設(shè)備之間及終端設(shè)備與業(yè)務(wù)服務(wù)平臺(tái)之間的數(shù)據(jù)交互。在企業(yè)網(wǎng)絡(luò)構(gòu)建過(guò)程中，最重要的是將各級(jí)用戶終端接入企業(yè)網(wǎng)中，實(shí)現(xiàn)企業(yè)業(yè)務(wù)的正常運(yùn)行。終端接入網(wǎng)絡(luò)的方式有多種： 通過(guò)TTY終端、Telnet終端、Enhanced Telnet終端、SSH終端、RTC終端、虛擬專用網(wǎng)絡(luò)(VPN)接入等。其中，VPN接入方式是應(yīng)用最廣泛的接入技術(shù)，也是最安全的接入方式。在國(guó)外，比較大的運(yùn)營(yíng)商如AT&T、Sprint、Verizon、BellSouth、NTT都已經(jīng)開始應(yīng)用VPN技術(shù)構(gòu)建企業(yè)級(jí)的終端接入方案[1-2]。

終端接入網(wǎng)絡(luò)中，在與其他設(shè)備和平臺(tái)通信的過(guò)程中，數(shù)據(jù)面臨著被網(wǎng)絡(luò)攻擊的可能性，造成數(shù)據(jù)被竊取、篡改，使終端安全接入問(wèn)題日趨嚴(yán)重。因此，終端安全接入技術(shù)是保證網(wǎng)絡(luò)安全性的主要目標(biāo)。本文主要研究終端接入企業(yè)網(wǎng)的架構(gòu)以及安全接入防護(hù)技術(shù)，實(shí)現(xiàn)終端的統(tǒng)一安全管理，保障企業(yè)運(yùn)營(yíng)業(yè)務(wù)的正常運(yùn)行。

1 終端接入架構(gòu)體系

接入企業(yè)網(wǎng)的終端包括各種類型，如筆記本、臺(tái)式機(jī)、打印機(jī)、智能手機(jī)、管理服務(wù)器、攝像頭、讀卡設(shè)備等。各種設(shè)備首先接入路由器，構(gòu)成一個(gè)小的分組網(wǎng)絡(luò)，路由器再接入交換機(jī)，最終連入互聯(lián)網(wǎng)。終端接入企業(yè)網(wǎng)的架構(gòu)如圖1所示。為實(shí)現(xiàn)對(duì)終端的安全統(tǒng)一管理，在設(shè)備接入網(wǎng)絡(luò)架構(gòu)中部署終端管理平臺(tái)和安全防護(hù)設(shè)備，保障終端接入設(shè)備的安全性[2-3]。

接入互聯(lián)網(wǎng)的終端種類多樣，型號(hào)豐富，設(shè)備標(biāo)識(shí)號(hào)各不相同。這些終端接入到互聯(lián)網(wǎng)時(shí)，終端管理平臺(tái)按照統(tǒng)一接口標(biāo)準(zhǔn)對(duì)終端進(jìn)行統(tǒng)一資源描述，為每個(gè)終端分配一個(gè)唯一的終端序列號(hào)，并進(jìn)行統(tǒng)一管理。終端管理平臺(tái)支持對(duì)終端設(shè)備進(jìn)行分組管理，為不同組別的終端分配不同的權(quán)限，做到權(quán)責(zé)分離。同時(shí)，網(wǎng)絡(luò)接入服務(wù)與終端分組密切相關(guān)，使特定分組終端接入對(duì)應(yīng)的業(yè)務(wù)服務(wù)，便于終端對(duì)接入業(yè)務(wù)的管理和應(yīng)用。

圖1 終端接入架構(gòu)

針對(duì)終端接入的安全性問(wèn)題，需要從接入終端、網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)邊界及企業(yè)業(yè)務(wù)進(jìn)行考慮，建立一種既能滿足企業(yè)業(yè)務(wù)正常運(yùn)行，又能保證終端和網(wǎng)絡(luò)安全性的技術(shù)體系，具體包括如下內(nèi)容[4-6]。

a. 防火墻，保證企業(yè)網(wǎng)內(nèi)部通信的安全性。

b. 入侵檢測(cè)，防止接入的設(shè)備受到網(wǎng)絡(luò)攻擊。

c. 惡意代碼檢測(cè)，防止接入的設(shè)備受到惡意代碼植入。

d. 訪問(wèn)控制，保證接入設(shè)備的可信性和權(quán)限可靠性。

e. 數(shù)據(jù)保護(hù)，防止敏感數(shù)據(jù)泄漏。

f. 安全審計(jì)，保證接入的設(shè)備可控。

2 信息安全關(guān)鍵技術(shù)

2.1 防火墻

防火墻部署于企業(yè)內(nèi)外網(wǎng)之間，隔離內(nèi)外網(wǎng)之間的直接聯(lián)系，通常內(nèi)網(wǎng)相對(duì)比較安全，外網(wǎng)安全性比較差。防火墻作為一個(gè)安全隔離點(diǎn)，所有內(nèi)外網(wǎng)交換的數(shù)據(jù)都從這個(gè)隔離點(diǎn)通過(guò)，同時(shí)，防火墻根據(jù)預(yù)設(shè)置好的本地安全策略對(duì)交互的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢查。外網(wǎng)數(shù)據(jù)包中只有符合安全策略的數(shù)據(jù)包才允許通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)，反之，不符合安全策略的數(shù)據(jù)包被丟棄而不能進(jìn)入內(nèi)網(wǎng)?？傊?，防火墻通過(guò)指定安全策略將非法訪問(wèn)和網(wǎng)絡(luò)攻擊的數(shù)據(jù)包阻擋在防火墻之外，進(jìn)而實(shí)現(xiàn)對(duì)企業(yè)內(nèi)網(wǎng)的安全防護(hù)。

2.2 入侵檢測(cè)

在企業(yè)外網(wǎng)中，存儲(chǔ)了大量有價(jià)值的信息，攻擊者為了謀取非法利益，通過(guò)多種網(wǎng)絡(luò)攻擊方式企圖獲取企業(yè)內(nèi)網(wǎng)信息。入侵檢測(cè)能夠在不影響網(wǎng)絡(luò)性能的情況下，對(duì)網(wǎng)絡(luò)流量通過(guò)旁路并進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)威脅，及時(shí)采取有效的防護(hù)措施。入侵檢測(cè)通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行收集和分析，統(tǒng)計(jì)出流量信息，提取網(wǎng)絡(luò)攻擊的行為特征，刻畫出網(wǎng)絡(luò)攻擊行為模式，進(jìn)而檢測(cè)出網(wǎng)絡(luò)流量中的入侵攻擊信息。在網(wǎng)絡(luò)攻擊被檢測(cè)出同時(shí)，應(yīng)當(dāng)采取相應(yīng)的安全防護(hù)措施，如斷開網(wǎng)絡(luò)連接、關(guān)閉網(wǎng)絡(luò)端口、發(fā)出告警等。入侵檢測(cè)是一種主動(dòng)安全防御措施，不依賴于本地安全策略，與防火墻起到互補(bǔ)作用，是網(wǎng)絡(luò)安全防護(hù)體系中不可或缺的一部分。

2.3 惡意代碼檢測(cè)

惡意代碼是一種會(huì)對(duì)企業(yè)網(wǎng)絡(luò)、終端造成破壞的一段代碼，有多種類型，包括木馬、病毒、蠕蟲、后門、惡意軟件、惡意應(yīng)用等，具有傳染性、隱蔽性、破壞性，會(huì)給網(wǎng)絡(luò)環(huán)境帶來(lái)嚴(yán)重危害。因此，要對(duì)惡意代碼進(jìn)行檢測(cè)。惡意代碼檢測(cè)方式主要有兩種：靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)。靜態(tài)檢測(cè)就是在不直接執(zhí)行代碼的情況下，對(duì)代碼逆向提取特征進(jìn)行分析，發(fā)現(xiàn)代碼中是否存在惡意特征。靜態(tài)檢測(cè)由于不直接運(yùn)行惡意代碼，所以不會(huì)對(duì)系統(tǒng)造成危害，檢測(cè)效率比較高。但是，靜態(tài)檢測(cè)主要采用的技術(shù)是反匯編技術(shù)，對(duì)加密、混淆等加固惡意代碼檢測(cè)無(wú)能為力。動(dòng)態(tài)檢測(cè)是將惡意代碼在沙箱中運(yùn)行起來(lái)，同時(shí)采集運(yùn)行環(huán)境中的行為特征和狀態(tài)特征，建立異常行為模型進(jìn)行惡意行為分析，發(fā)現(xiàn)代碼是否為惡意。動(dòng)態(tài)檢測(cè)的精確度較高，惡意代碼運(yùn)行起來(lái)能夠解決加固惡意應(yīng)用檢測(cè)的問(wèn)題。但是，代碼運(yùn)行起來(lái)需要耗費(fèi)較多資源，特征的收集時(shí)間較長(zhǎng)，效率不高，還有可能無(wú)法覆蓋所有的惡意代碼執(zhí)行路徑，獲取所有的行為特征，因此，比較難發(fā)現(xiàn)特定條件下發(fā)生的惡意代碼行為。

2.4 訪問(wèn)控制

訪問(wèn)控制，通過(guò)對(duì)不同終端和用戶進(jìn)行權(quán)限限制，允許或者拒絕訪問(wèn)網(wǎng)絡(luò)系統(tǒng)資源，是一種重要的企業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù)。訪問(wèn)控制技術(shù)能夠限制非法用戶的操作，只允許擁有合法權(quán)限的用戶才能在權(quán)限范圍內(nèi)利用系統(tǒng)資源，不允許非法用戶侵入系統(tǒng)，避免網(wǎng)絡(luò)資源被泄漏或破壞。最常用的訪問(wèn)控制技術(shù)有自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。

2.5 數(shù)據(jù)保護(hù)

企業(yè)內(nèi)網(wǎng)中存儲(chǔ)了大量的敏感數(shù)據(jù)，如企業(yè)生產(chǎn)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等。如果這些數(shù)據(jù)遭受外網(wǎng)中的威脅攻擊一旦被泄漏，將會(huì)給企業(yè)帶來(lái)巨大損失。

因此，敏感數(shù)據(jù)的存儲(chǔ)和備份都必須采取一些數(shù)據(jù)保護(hù)措施，使敏感數(shù)據(jù)的存儲(chǔ)、應(yīng)用、管理都是安全可控的。數(shù)據(jù)安全保護(hù)的措施有多種，如數(shù)據(jù)加密存儲(chǔ)/傳輸、訪問(wèn)控制限制、防泄漏傳輸?shù)?，?shí)現(xiàn)對(duì)數(shù)據(jù)整個(gè)生命周期的安全防護(hù)。

2.6 安全審計(jì)

安全審計(jì)通過(guò)對(duì)企業(yè)內(nèi)網(wǎng)資源操作的行為進(jìn)行監(jiān)控記錄，可以有針對(duì)性地對(duì)網(wǎng)絡(luò)運(yùn)行的狀況進(jìn)行記錄、跟蹤和審查，及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)中的用戶行為異常和網(wǎng)絡(luò)行為異常，對(duì)企業(yè)網(wǎng)絡(luò)安全運(yùn)維起到幫助作用。安全審計(jì)不僅能對(duì)潛在的網(wǎng)絡(luò)威脅起到震懾作用，還能為威脅追蹤溯源提供依據(jù)。另外，對(duì)一段時(shí)間內(nèi)的安全審計(jì)記錄的系統(tǒng)日志進(jìn)行關(guān)聯(lián)分析，有可能發(fā)現(xiàn)長(zhǎng)期潛伏在系統(tǒng)內(nèi)部的網(wǎng)絡(luò)攻擊和系統(tǒng)漏洞。

3 結(jié)束語(yǔ)

隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)威脅呈現(xiàn)多樣化趨勢(shì)，帶來(lái)的危害越來(lái)越嚴(yán)重。因此，企業(yè)在構(gòu)建網(wǎng)絡(luò)過(guò)程中，需要對(duì)接入的各種終端設(shè)備進(jìn)行安全防護(hù)，避免遭受來(lái)自互聯(lián)網(wǎng)的各種攻擊，造成設(shè)備被遠(yuǎn)程控制、信息泄漏、數(shù)據(jù)丟失等。終端接入安全防護(hù)技術(shù)包括防火墻、入侵檢測(cè)、惡意代碼檢測(cè)、訪問(wèn)控制、數(shù)據(jù)保護(hù)和安全審計(jì)等。未來(lái)，隨著終端接入量和交互數(shù)據(jù)量的增加，需要結(jié)合大數(shù)據(jù)分析技術(shù)，如數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)、模式識(shí)別等，增強(qiáng)對(duì)設(shè)備和網(wǎng)絡(luò)的管理能力。

[1] 張 云.電力營(yíng)銷終端安全接入系統(tǒng)的研究與實(shí)現(xiàn)[D].北京：華北電力大學(xué), 2013.

[2] 彭 竹.電力行業(yè)工控終端設(shè)備安全接入系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：中國(guó)科學(xué)院大學(xué)(工程管理與信息技術(shù)學(xué)院), 2015.

[3] 呂 楊.對(duì)企業(yè)網(wǎng)終端接入控制的研究和方案設(shè)計(jì)[D].北京：北京郵電大學(xué), 2014.

[4] 沈昌祥, 張煥國(guó), 馮登國(guó),等.信息安全綜述[J].中國(guó)科學(xué), 2007, 37(2):129-150.

[5] 張文艷.電力企業(yè)如何做好信息安全工作[J].東北電力技術(shù), 2010, 31(11):50-52.

[6] 王 楠, 陳曉光, 高明雙.建立可控的信息網(wǎng)絡(luò)安全準(zhǔn)入管理機(jī)制[J].東北電力技術(shù), 2014, 35(5):43-46.