電力監(jiān)控系統(tǒng)終端非法外聯(lián)管控關(guān)鍵技術(shù)研究

徐光亮 馬鋒 王健 劉會強

摘?要：當(dāng)前電力公司的信息化和數(shù)字化的發(fā)展伴隨著信息泄露、數(shù)據(jù)丟失、病毒入侵、網(wǎng)絡(luò)癱瘓等不安全事件對信息系統(tǒng)的挑戰(zhàn)。結(jié)合全網(wǎng)信息網(wǎng)絡(luò)現(xiàn)狀及需求，從管理及技術(shù)上阻止入侵信息系統(tǒng)事件的發(fā)生，有效控制違規(guī)外聯(lián)，提高公司信息內(nèi)網(wǎng)的安全性。本文簡要分析了內(nèi)網(wǎng)外聯(lián)面臨的嚴(yán)峻形勢以及當(dāng)前違規(guī)外聯(lián)的監(jiān)控手段，以技術(shù)為主，管理為輔的方式，減少違規(guī)外聯(lián)引發(fā)的內(nèi)網(wǎng)安全隱患，確保內(nèi)網(wǎng)的信息安全。文章深入研究了違規(guī)外聯(lián)發(fā)現(xiàn)與阻斷技術(shù)，針對傳統(tǒng)違規(guī)外聯(lián)監(jiān)控系統(tǒng)的不足，設(shè)計了一種新的內(nèi)網(wǎng)計算機和移動設(shè)備違規(guī)外聯(lián)行為監(jiān)控系統(tǒng)。該系統(tǒng)構(gòu)建了全方位、實時性、精確化的信息內(nèi)網(wǎng)管理方式，通過實時阻斷違規(guī)外聯(lián)的技術(shù)手段，有效避免了漏報、誤報的問題，通過寫入機器碼方式將終端信息錄入數(shù)據(jù)庫，極大程度簡化了硬件部署、縮短了響應(yīng)時間，通過雙進程對進程的保護確保防護能夠?qū)崟r常態(tài)化運行，通過對Linux平臺底層數(shù)據(jù)包管控手段，確保違規(guī)外聯(lián)的有效性。

關(guān)鍵詞：信息泄露;Linux平臺;違規(guī)外聯(lián)監(jiān)控

一、背景

一些保密性極高的單位，為了保證數(shù)據(jù)和信息的安全，進行了內(nèi)網(wǎng)和外網(wǎng)的物理隔離。但是有些內(nèi)網(wǎng)用戶可能會違反安全性的規(guī)定，私自插外網(wǎng)線或USB設(shè)備分享等方式連接到互聯(lián)網(wǎng)，黑客就可以攻擊這臺機器，并通過這臺機器訪問內(nèi)部網(wǎng)絡(luò)，竊取機密資料，惡意的攻擊甚至造成網(wǎng)絡(luò)癱瘓。由于私插網(wǎng)線或USB設(shè)備共享上網(wǎng)不經(jīng)過防火墻，所以防火墻對于這種方式的攻擊無能為力;另外，通過這臺機器訪問內(nèi)部網(wǎng)的其他機器，完全可以通過合法身份進行，對于這種訪問，IDS也不會發(fā)現(xiàn)，當(dāng)前很多安全產(chǎn)品都無法處理這種非法外聯(lián)漏洞。

本公司研究一種非法外聯(lián)監(jiān)控技術(shù)作為管理者有效的技術(shù)手段，可以全面、實時地監(jiān)控整個單位網(wǎng)絡(luò)內(nèi)部的非法外聯(lián)行為。本文對非法外聯(lián)監(jiān)控技術(shù)進行了深入研究，關(guān)鍵技術(shù)主要體現(xiàn)在以下幾個方面：

（1）本研究是在Linux環(huán)境中一種新型的C/S架構(gòu)技術(shù)，在傳統(tǒng)模式上提出更完善的管控技術(shù)，彌補安全事件漏報、誤報、上傳不及時的問題。

（2）實現(xiàn)非法外聯(lián)阻斷和報警、非法接入阻斷和報警以及安全策略驅(qū)動底層防護的多機制管控技術(shù)。

（3）終端信息孤立機制，驅(qū)動低層非法外聯(lián)攔截技術(shù)能夠及時切斷終端與內(nèi)網(wǎng)聯(lián)系，使其成為信息孤島。

（4）安全日志集中處理與查看，能夠掌握公司安全態(tài)勢。

二、常見違規(guī)外聯(lián)防護技術(shù)

目前很多公司都采用雙機模式或代理模式管控違規(guī)外聯(lián)行為，甚至通過員工的自覺來避免違規(guī)外聯(lián)。比較來看，代理模式需要在每臺終端安裝非法外聯(lián)管控軟件，這樣做既可以監(jiān)控又可以阻斷違規(guī)外聯(lián)，但在使用過程中可能被用戶卸載或屏蔽，并且安全警報無法統(tǒng)一收集。而雙機模式不需要在每臺終端上進行監(jiān)控操作，但需要在內(nèi)網(wǎng)部署掃描服務(wù)器和外網(wǎng)檢測服務(wù)器，這種方式部署簡單，不占用終端資源。而雙機部署只能監(jiān)測不能阻斷，并且不能選擇探測使用的網(wǎng)絡(luò)協(xié)議，例如內(nèi)網(wǎng)為了安全考慮，防火墻通常會關(guān)閉ICMP協(xié)議數(shù)據(jù)包，那么探測服務(wù)器無法自己選擇協(xié)議類型，將存在漏報風(fēng)險，除此之外也存在被惡意攻擊的可能性。

針對當(dāng)前的違規(guī)外聯(lián)管控方式，總結(jié)幾種管控技術(shù)的優(yōu)缺點，本公司著力研究一種基于內(nèi)網(wǎng)掃描和終端管控，并適用于Linux平臺的新型管控技術(shù)，主要完成了下面幾個功能：

（一）C / S部署方式

終端軟件端，服務(wù)器控制臺

（二）監(jiān)控功能

對直接插入外網(wǎng)線非法外聯(lián)，共享網(wǎng)絡(luò)非法外聯(lián)，非法USB接入進行監(jiān)控。

（三）監(jiān)控內(nèi)容

對內(nèi)網(wǎng)終端網(wǎng)絡(luò)狀態(tài)、用戶名、Mac地址、IP地址以及非法外聯(lián)事件進行監(jiān)控。

（四）報警方式

控制臺報警。

（五）日志處理

終端安全日志顯示用戶名、Mac地址、IP地址以及非法外聯(lián)事件類型。

本創(chuàng)新技術(shù)研究是基于內(nèi)網(wǎng)掃描和終端防護，實時監(jiān)測終端數(shù)據(jù)包，在驅(qū)動上進行攔截，技術(shù)包括以下優(yōu)點：

（1）完全適應(yīng)物理隔離的內(nèi)網(wǎng)環(huán)境;

（2）能夠?qū)崟r監(jiān)測并迅速阻斷;

（3）內(nèi)網(wǎng)有沒有監(jiān)測防火墻都不會漏報;

（4）終端信息孤立，黑客無法攻擊，無法滲入內(nèi)網(wǎng);

（5）占用終端資源少，部署簡單

（6）軟件端靜默安裝，掃描過程不影響終端用戶;

（7）軟件端進程保護，無法卸載與阻斷。

三、創(chuàng)新型管控技術(shù)引入

新型的違規(guī)外聯(lián)管控技術(shù)由監(jiān)控內(nèi)網(wǎng)主機路由表實現(xiàn)。任何主機要與其它網(wǎng)絡(luò)通信要有到這個目標(biāo)網(wǎng)絡(luò)的路由，企業(yè)內(nèi)網(wǎng)主機的路由表只是一條靜默路由，其下一跳就是本機網(wǎng)關(guān)。如果這個主機網(wǎng)關(guān)的IP地址或者Mac出現(xiàn)錯誤，就無法與其它主機進行通信。所以監(jiān)控主機路由表可以有效的監(jiān)測違規(guī)外聯(lián)行為。定義一條缺省內(nèi)網(wǎng)主機路由，包括網(wǎng)關(guān)IP地址、MAC地址，作為基準(zhǔn)路由。如果內(nèi)網(wǎng)主機修改了該基準(zhǔn)路由，說明該主機試圖連接未授權(quán)網(wǎng)絡(luò)，視為違規(guī)外聯(lián)，阻斷連接。

技術(shù)引入：本新型管控系統(tǒng)僅用一臺內(nèi)網(wǎng)服務(wù)器，并在每臺內(nèi)網(wǎng)終端主機上靜默安裝客戶端。監(jiān)測內(nèi)網(wǎng)違規(guī)外聯(lián)，并可以向服務(wù)器控制臺發(fā)送安全日志進行安全報警。如下圖：

服務(wù)器：網(wǎng)卡配置內(nèi)網(wǎng)IP地址為10.10.10.1，能夠訪問到全部需要管控的IP地址范圍。

工作組1：終端主機IP為10.10.10.2——10.10.10.100，能夠與服務(wù)器端通訊。終端沒有安裝軟件客戶端。

工作組2：終端主機IP為10.10.10.101——10.10.10.254，能夠與服務(wù)器端通訊。終端安裝有軟件客戶端，能夠檢測并阻斷違規(guī)外聯(lián)。

軟件客戶端：監(jiān)控終端違規(guī)外聯(lián)，雙進程保護軟件客戶端。

服務(wù)器端配置IP地址為10.10.10.1，通過流向，向10.10.10.X段主機IP逐個發(fā)送探測報文進行全網(wǎng)掃描，并取得通信。被探測的主機將回應(yīng)報文返回給服務(wù)器端，服務(wù)器端將得到的主機信息列表出來。工作組1終端主機沒有安裝軟件客戶端，工作組2終端主機裝有軟件客戶端。服務(wù)器端通過流向可以對工作組2里面的終端主機下發(fā)策略與遠程控制操作。服務(wù)器端對工作組1里面的終端主機只做內(nèi)網(wǎng)掃描，IP地址、MAC地址等信息收集。如果軟件客戶端監(jiān)測到工作組2的終端主機有違規(guī)外聯(lián)發(fā)生，會阻斷終端主機的外聯(lián)行為，并通過流向向服務(wù)器端發(fā)送安全日志和警報信息。

具體完成功能如下：

（1）掃描內(nèi)網(wǎng)中的終端主機信息，包括IP地址、MAC地址、主機名、違規(guī)外聯(lián)事件等;

（2）監(jiān)控內(nèi)網(wǎng)非法直接外聯(lián);

（3）U盤管控，通過驅(qū)動控制，允許合法U盤接入終端，禁止非法U盤接入內(nèi)網(wǎng);

（4）USB通訊類設(shè)備（手機等）管控，通過驅(qū)動控制，禁止使用移動設(shè)備共享接入內(nèi)網(wǎng);

（5）檢測到違規(guī)外聯(lián)時，阻斷違規(guī)外聯(lián)終端通信，記錄安全日志，控制臺報警。

四、新型管控技術(shù)介紹

本研究通過對當(dāng)前兩種違規(guī)外聯(lián)管控方式的比較，總結(jié)各自優(yōu)點研發(fā)出一種新型的管控違規(guī)外聯(lián)方式。

（一）新型違規(guī)外聯(lián)管控技術(shù)方案

新型的違規(guī)外聯(lián)管控技術(shù)是在Linux平臺上的C/S架構(gòu)系統(tǒng)，包括終端軟件端和內(nèi)網(wǎng)服務(wù)器控制端。形成軟件端功能為主，服務(wù)器端為輔的全方位實時違規(guī)外聯(lián)管控技術(shù)。解決了非法外聯(lián)的漏報、誤報現(xiàn)象，網(wǎng)管員可以通過服務(wù)器控制端查看內(nèi)網(wǎng)的每一天外聯(lián)記錄，便于信息內(nèi)網(wǎng)安全態(tài)勢的分析。系統(tǒng)由服務(wù)器管理端和終端軟件端組成：

終端軟件端與服務(wù)器管理端作用如下：

軟件端：

1）監(jiān)控終端，阻斷違規(guī)外聯(lián)（包括非法直接外聯(lián)、非法共享外聯(lián)）;

2）U盤管控，允許合法U盤接入終端，禁止非法終端接入外網(wǎng);

3）禁止USB智能設(shè)備接入，阻斷共享上網(wǎng)外聯(lián);

4）發(fā)生違規(guī)外聯(lián)生成安全日志，并上報服務(wù)器控制端。

服務(wù)器控制端：

1）掃描內(nèi)網(wǎng)終端和網(wǎng)絡(luò)設(shè)備，并能保存到本地數(shù)據(jù)庫;

2）掃描并識別內(nèi)網(wǎng)終端和網(wǎng)絡(luò)設(shè)備的IP地址、Mac地址、用戶名等信息，保存本地形成內(nèi)網(wǎng)主機列表庫;

3）為安裝過軟件端的終端生成機器碼，便于查看內(nèi)網(wǎng)客戶端的安裝情況，查看安裝率。并可以用excel導(dǎo)出客戶端的安裝情況;

4）接收客戶端發(fā)出的違規(guī)事件安全日志，發(fā)出警報。并可以導(dǎo)出安全日志。

（二）數(shù)據(jù)包處理模塊

數(shù)據(jù)包接收處理模塊是判斷內(nèi)網(wǎng)主機發(fā)生非法外聯(lián)的參照，如果內(nèi)網(wǎng)主機發(fā)生違規(guī)外聯(lián)，終端軟件客戶端將會進行阻斷攔截，同時向服務(wù)器端發(fā)生警報，并將記錄有違規(guī)外聯(lián)終端主機IP地址、MAC地址、賬戶名以及違規(guī)外聯(lián)類型發(fā)送到服務(wù)器控制端。流程如下圖：

（三）安全事件處理模塊

安全事件指的是違規(guī)外聯(lián)行為事件，如果軟件端檢測到內(nèi)網(wǎng)終端有違規(guī)外聯(lián)企圖，雖然并沒有成功違規(guī)外聯(lián)，但軟件客戶端還會直接進行阻斷攔截，生成基于這臺終端IP地址、MAC地址、用戶名以及發(fā)生違規(guī)外聯(lián)時間和類型信息的安全日志，便于網(wǎng)管員分析內(nèi)網(wǎng)安全態(tài)勢。

（四）報警模塊

終端軟件客戶端生成的安全日志會直接傳送給控制臺并彈出報警頁面，為管理員記錄和查詢內(nèi)網(wǎng)違規(guī)外聯(lián)安全事件提供很大方便，可以按照內(nèi)網(wǎng)IP地址、MAC地址、用戶名和違規(guī)外聯(lián)事件來進行查詢，這樣可以讓網(wǎng)管員實時了解內(nèi)網(wǎng)違規(guī)外聯(lián)的薄弱環(huán)節(jié)以及把握內(nèi)網(wǎng)安全態(tài)勢。

（五）功能實現(xiàn)

本次研究的新型違規(guī)外聯(lián)管控系統(tǒng)對內(nèi)網(wǎng)主機進行監(jiān)測，需要在內(nèi)網(wǎng)終端主機上安裝違規(guī)外聯(lián)軟件端，主要用于違規(guī)外聯(lián)行為的檢測和阻斷，以及安全警報作用。服務(wù)器控制端在掃描內(nèi)網(wǎng)之后可以看到內(nèi)網(wǎng)主機IP地址、MAC地址等信息，并可以對安裝過客戶端的終端主機下發(fā)策略。服務(wù)器控住端能夠接受違規(guī)外聯(lián)安全報警和安全日志。

（六）系統(tǒng)配置

（1）硬件需求。本新型違規(guī)外聯(lián)管控極少占用主機資源。

（2）軟件配置：系統(tǒng)模式：C/S;終端軟件端：Linux操作系統(tǒng);服務(wù)器控制端：Linux操作系統(tǒng)。

五、結(jié)論

在分析過內(nèi)網(wǎng)違規(guī)外聯(lián)行為特點后，經(jīng)過深入了解當(dāng)前內(nèi)網(wǎng)違規(guī)外聯(lián)管控方式的不足之處后，研究一種新型的管控違規(guī)外聯(lián)的方式。本研究能夠在技術(shù)層面上保障內(nèi)網(wǎng)信息安全，并能準(zhǔn)確的把握內(nèi)網(wǎng)外聯(lián)的薄弱環(huán)節(jié)，方便網(wǎng)管人員履行職能，把握內(nèi)網(wǎng)安全態(tài)勢。本次研究是將整個內(nèi)網(wǎng)監(jiān)測工作轉(zhuǎn)換到每一臺終端主機上，并能將違規(guī)外聯(lián)的終端主機成為信息孤島，實際上是縮小的信息安全管控范圍，降低被黑客攻擊的風(fēng)險，減少了內(nèi)網(wǎng)信息泄露的出口，保障了內(nèi)網(wǎng)信息的安全性。

參考文獻：

[1]孫娜.非法外聯(lián)技術(shù)研究與實現(xiàn)[D].北京郵電大學(xué)，2006.

[2]張鴻雁，郭東偉.非法外聯(lián)檢測系統(tǒng)的設(shè)計與實現(xiàn)[J].工業(yè)技術(shù)經(jīng)濟，2005（05）.

[3]趙永勝，谷利澤.基于路由表的主機非法外聯(lián)監(jiān)控技術(shù)研究與分析.

[4]TOM GB910：The Telecom Operations Map，version2.1.The TeleManagement.

[5]劉桂棟，莊毅，王雷.內(nèi)網(wǎng)非法接入監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn).2006南京通信年會.

[6]W.Richard Stevent，TCP/IP Illustracted Volune 1[M].Addison Wesley，2000.

[7]魯士文.計算機網(wǎng)絡(luò)協(xié)議與實現(xiàn)技術(shù).清華大學(xué)出版社，2000.