王 軍 上海鐵路局信息技術(shù)所

上海鐵路局信息化工作經(jīng)過(guò)二十多年的努力，取得了蓬勃發(fā)展，在運(yùn)輸組織、客貨營(yíng)銷和經(jīng)營(yíng)管理領(lǐng)域發(fā)揮了重要作用，為華東鐵路現(xiàn)代化建設(shè)提供了強(qiáng)有力的信息技術(shù)支撐。隨著鐵路運(yùn)輸現(xiàn)代化的不斷提升，信息化工作直接關(guān)系到運(yùn)輸生產(chǎn)效率和社會(huì)服務(wù)形象，對(duì)信息系統(tǒng)的安全穩(wěn)定運(yùn)行提出了更高的要求，其中，加強(qiáng)網(wǎng)絡(luò)行為安全監(jiān)測(cè)，保障網(wǎng)絡(luò)與信息安全已成為一項(xiàng)緊迫的工作。

1 需求分析

當(dāng)前鐵路信息系統(tǒng)的現(xiàn)狀是：主機(jī)數(shù)量多、網(wǎng)絡(luò)分布廣，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜；網(wǎng)絡(luò)設(shè)備由不同廠商供應(yīng)，多種系統(tǒng)及網(wǎng)絡(luò)協(xié)議并存；系統(tǒng)和網(wǎng)絡(luò)維護(hù)人員數(shù)量有限，系統(tǒng)的日常管理和維護(hù)相當(dāng)困難。同時(shí)，隨著系統(tǒng)網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)環(huán)境更加復(fù)雜，不可避免地在管理上產(chǎn)生許多問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全管理等方面存在著以下薄弱環(huán)節(jié)。

1.1 數(shù)據(jù)庫(kù)操作缺乏有效管理機(jī)制

作為業(yè)務(wù)的核心與基石，數(shù)據(jù)庫(kù)系統(tǒng)在鐵路越來(lái)越多地被應(yīng)用和部署，由于目前數(shù)據(jù)大集中尚未完全實(shí)現(xiàn)，在電算站、重要站段等都部署有大量的數(shù)據(jù)庫(kù)系統(tǒng)，如何對(duì)這些數(shù)據(jù)庫(kù)進(jìn)行有效的監(jiān)控管理，防止數(shù)據(jù)的惡意篡改，杜絕惡性事件的產(chǎn)生，目前沒有較好的技術(shù)手段，僅僅依靠各地相關(guān)信息管理人員在本地進(jìn)行管理。

1.2 內(nèi)部人員操作隱患

在網(wǎng)絡(luò)安全行業(yè)內(nèi)流行著這樣一條80/20法則：80%的安全威脅來(lái)自網(wǎng)絡(luò)內(nèi)部。內(nèi)部安全危害分為三大類：操作失誤、存心破壞及內(nèi)部職工的安全意識(shí)淡薄。操作失誤包括用戶不經(jīng)意獲得了不應(yīng)該擁有的權(quán)限，雖然自己沒有惡意，但這些新授權(quán)的用戶無(wú)意中會(huì)給數(shù)據(jù)和系統(tǒng)帶來(lái)嚴(yán)重破壞，造成嚴(yán)重安全事件的產(chǎn)生。

1.3 第三方維護(hù)人員安全隱患

隨著鐵路信息系統(tǒng)的不斷發(fā)展，有越來(lái)越多的設(shè)備商和第三方公司參與到信息系統(tǒng)服務(wù)工作中來(lái)，這些服務(wù)商技術(shù)人員可能因責(zé)任心不強(qiáng)、工作不到位或操作不當(dāng)，產(chǎn)生人為的運(yùn)行故障、數(shù)據(jù)丟失或系統(tǒng)服務(wù)中斷，也可能增加被攻擊的風(fēng)險(xiǎn)或泄密威脅。

2 系統(tǒng)研究

通過(guò)對(duì)上海鐵路局現(xiàn)有網(wǎng)絡(luò)狀況的分析以及對(duì)市場(chǎng)上現(xiàn)有安全技術(shù)與產(chǎn)品的調(diào)研，研究建立上海鐵路局企業(yè)網(wǎng)網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)。該系統(tǒng)在當(dāng)前鐵路信息網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞，采用基于“IP數(shù)據(jù)俘獲→應(yīng)用層數(shù)據(jù)分析→審計(jì)和響應(yīng)”流程對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào)；在運(yùn)用常規(guī)審計(jì)技術(shù)手段的基礎(chǔ)上，引入并結(jié)合一些管控技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中各部分的系統(tǒng)狀態(tài)、安全事件，結(jié)合CA數(shù)字證書技術(shù)，能有效幫助安全管理人員了解、發(fā)現(xiàn)、追查網(wǎng)絡(luò)安全事故產(chǎn)生原因、過(guò)程和取證等。它主要由審計(jì)數(shù)據(jù)中心、審計(jì)引擎、控制中心組成（見圖1）。

圖1 系統(tǒng)體系結(jié)構(gòu)模型

2.1 控制中心

管理控制臺(tái)，提供管理控制界面，審計(jì)報(bào)表的輸出等。

2.2 審計(jì)引擎

基于專門硬件構(gòu)建，根據(jù)安全策略對(duì)俘獲的數(shù)據(jù)進(jìn)行比對(duì)、分析，并做出響應(yīng)動(dòng)作，如告警、阻斷等。審計(jì)引擎的“嗅探端口”需要連接到交換機(jī)的“鏡像目的”端口上，以獲取網(wǎng)絡(luò)通信數(shù)據(jù)；“管理和阻斷”端口需要分配一個(gè)合法的IP地址，連接到交換機(jī)的普通通信端口上。

2.3 審計(jì)數(shù)據(jù)中心

基于專門硬件構(gòu)建，主要用于接收審計(jì)引擎的數(shù)據(jù)、負(fù)責(zé)審計(jì)數(shù)據(jù)的存儲(chǔ)。需要分配一個(gè)合法的IP地址，連接到交換機(jī)的普通通信端口上。

3 系統(tǒng)設(shè)計(jì)

根據(jù)分析與研究，針對(duì)鐵路企業(yè)網(wǎng)中較大的信息訪問量，采用審計(jì)引擎與數(shù)據(jù)中心分離方式，甚至可以多引擎、多數(shù)據(jù)中心結(jié)構(gòu)，能有效提高系統(tǒng)整體數(shù)據(jù)吞吐量和管理效率，通過(guò)在鐵路實(shí)際的網(wǎng)絡(luò)中搭建了網(wǎng)絡(luò)行為檢測(cè)實(shí)施平臺(tái)，對(duì)系統(tǒng)的功能與性能進(jìn)行了相關(guān)測(cè)試，在基于實(shí)際網(wǎng)絡(luò)環(huán)境的測(cè)試后，為今后該系統(tǒng)在整個(gè)上海鐵路局網(wǎng)絡(luò)中進(jìn)行大規(guī)模的部署提供了依據(jù)和技術(shù)準(zhǔn)備。

圖2 實(shí)施部署圖

3.1 系統(tǒng)架構(gòu)

依據(jù)系統(tǒng)設(shè)計(jì)，在上海鐵路局核心交換機(jī)上部署了試驗(yàn)系統(tǒng)。

3.1.1 審計(jì)引擎

部署一臺(tái)網(wǎng)絡(luò)審計(jì)引擎對(duì)交換機(jī)上的流量進(jìn)行監(jiān)控，審計(jì)和訪問控制。

網(wǎng)絡(luò)審計(jì)引擎配置兩個(gè)端口，一個(gè)端口需要連接到被監(jiān)控交換機(jī)的“鏡像目的端口”上，以獲取原始的通信信息，從而實(shí)現(xiàn)各種審計(jì)和控制功能。另一個(gè)為“管理端口”，這個(gè)端口需要接入網(wǎng)絡(luò)，并分配一個(gè)合法的IP地址，以接收管理控制臺(tái)的管理，并且通過(guò)旁路對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別，對(duì)網(wǎng)絡(luò)中的可疑網(wǎng)絡(luò)行為、違規(guī)操作行為，進(jìn)行實(shí)施的記錄、告警和阻斷。審計(jì)引擎和審計(jì)數(shù)據(jù)中心采用獨(dú)立分開的硬件形式，一個(gè)審計(jì)數(shù)據(jù)中心可以支持多個(gè)審計(jì)引擎。測(cè)試數(shù)據(jù)表明，審計(jì)數(shù)據(jù)中心其數(shù)據(jù)入庫(kù)和查詢速度相當(dāng)快捷，特別是在當(dāng)審計(jì)引擎大流量處理時(shí)，審計(jì)引擎和數(shù)據(jù)中心分離式的設(shè)計(jì)保證了不會(huì)因?yàn)閷徲?jì)引擎的大CPU占用導(dǎo)致的數(shù)據(jù)處理的停滯。

3.1.2 數(shù)據(jù)中心

網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)的審計(jì)數(shù)據(jù)中心，是一臺(tái)具備大容量的存儲(chǔ)設(shè)備的計(jì)算機(jī)，數(shù)據(jù)中心的“管理端口”需要通過(guò)網(wǎng)絡(luò)方式與網(wǎng)絡(luò)審計(jì)引擎的“管理端口”進(jìn)行連接，以接收管理控制臺(tái)的管理。

3.1.3 控制中心

網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)的控制中心為一臺(tái)安裝有專用安全軟件的計(jì)算機(jī)，提供各種管理和操作界面，安裝有策略配置以及實(shí)時(shí)報(bào)警監(jiān)控的工具，能實(shí)時(shí)將監(jiān)控范圍內(nèi)的各種訪問行為逐條列出，并根據(jù)事件的安全等級(jí)進(jìn)行標(biāo)示；同時(shí)還可以在該界面上定義顯示客戶端IP、訪問的服務(wù)器IP、使用的通訊端口、操作類型、使用的賬戶以及策略中對(duì)此操作的響應(yīng)策略等信息。

3.2 系統(tǒng)安全體系結(jié)構(gòu)

網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)的功能基本覆蓋了網(wǎng)絡(luò)系統(tǒng)日常運(yùn)維方面的內(nèi)容，支持大部分的常用協(xié)議，可定制相關(guān)非標(biāo)協(xié)議的檢測(cè)，具備以下幾個(gè)方面的功能。

3.2.1 基于角色的授權(quán)與管控

網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)中可以對(duì)用戶賬號(hào)進(jìn)行詳細(xì)的定義和規(guī)劃，將用戶角色的授權(quán)、訪問控制及網(wǎng)絡(luò)內(nèi)容審計(jì)一體化，當(dāng)添加一個(gè)新業(yè)務(wù)用戶，可以對(duì)該用戶賬號(hào)進(jìn)行角色的定義，比如新開的這個(gè)賬號(hào)具有運(yùn)行什么業(yè)務(wù)的權(quán)限，勾選Telnet后，該用戶賬號(hào)只能進(jìn)行Telnet訪問，其它的協(xié)議不允許進(jìn)行操作，這種角色定義后，可以很大程度上杜絕內(nèi)部人員職責(zé)不清或者一個(gè)賬號(hào)隨意訪問網(wǎng)絡(luò)內(nèi)任意應(yīng)用的狀況。

對(duì)于日常網(wǎng)絡(luò)中當(dāng)前的每一個(gè)會(huì)話，管理員都可以進(jìn)行進(jìn)一步的操作，如不確定用戶訪問的內(nèi)容時(shí)，可以啟動(dòng)實(shí)施監(jiān)視功能，將訪問的每一個(gè)指令都同步顯示出來(lái)，管理人員可以據(jù)此判斷當(dāng)前正在進(jìn)行什么樣的操作，該行為是否合規(guī)，如果認(rèn)為該訪問屬于違規(guī)行為并可能帶來(lái)危害時(shí)，可以啟動(dòng)阻斷的功能，不允許遠(yuǎn)端操作者的這次訪問。

3.2.2 協(xié)議審計(jì)

網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)支持主流的應(yīng)用協(xié)議，如：HTTP、TELNET、FTP、SUNRPC、SMTP、POP3、Windows 網(wǎng) 上 鄰 居 、NFS、RLOGIN、SQLServer、ORACLE、Windows遠(yuǎn)程桌面、自定義協(xié)議、RADIUS等，針對(duì)這些應(yīng)用協(xié)議的審計(jì)網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)具備數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)運(yùn)維審計(jì)和OA及WEB應(yīng)用審計(jì)。

在進(jìn)行協(xié)議審計(jì)時(shí)，可以設(shè)定細(xì)粒度的命令級(jí)審計(jì)，如審計(jì)數(shù)據(jù)庫(kù)操作中的刪除指令（DELETE）或者TELNET中的關(guān)機(jī)指令（shutdown）；RLOGIN協(xié)議中，可以審計(jì)出用戶的操作行為，如登錄賬號(hào)，操作指令等；這些遠(yuǎn)程訪問者對(duì)目標(biāo)系統(tǒng)進(jìn)行了怎樣的操作，同時(shí)都被記錄下來(lái)，如果其中的一些指令在定義策略集時(shí)為禁止使用的，網(wǎng)絡(luò)安全行為檢測(cè)系統(tǒng)將會(huì)發(fā)出中斷操作數(shù)據(jù)包，不允許該連接對(duì)目標(biāo)機(jī)進(jìn)行操作。

3.2.3 仿真回放

網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)在處理完網(wǎng)絡(luò)內(nèi)的訪問行為之后，會(huì)將其轉(zhuǎn)換為數(shù)據(jù)信息，可以將查詢與分析的結(jié)果進(jìn)行展現(xiàn)，如以各種文檔格式導(dǎo)出查詢的結(jié)果，以便其他系統(tǒng)使用或作為證據(jù)提交，也可以立即查看事件。

對(duì)于Telnet等協(xié)議還支持動(dòng)態(tài)仿真回放和靜態(tài)回放兩種功能。動(dòng)態(tài)仿真回放會(huì)將該會(huì)話所有的內(nèi)容進(jìn)行交互式的回放，會(huì)話中操作者輸入的指令以及針對(duì)該指令目的系統(tǒng)的回應(yīng)都會(huì)以動(dòng)畫的方式逐一展現(xiàn)，就如同管理人員在回看當(dāng)時(shí)操作的屏幕錄像一樣；靜態(tài)回放會(huì)將當(dāng)時(shí)的操作以記錄的形式一次性的展現(xiàn)。管理人員可以通過(guò)拉動(dòng)窗口的滾動(dòng)條來(lái)查看整個(gè)會(huì)話的內(nèi)容。

3.2.4 告警與檢索

網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)能夠?qū)?shí)時(shí)流量進(jìn)行監(jiān)控，通過(guò)繪制流量曲線來(lái)反映網(wǎng)絡(luò)中訪問流量的變化情況，通過(guò)對(duì)流量曲線的分析，可以大致的了解網(wǎng)絡(luò)內(nèi)的突發(fā)事件情況。如某一時(shí)間段，網(wǎng)絡(luò)內(nèi)的流量突發(fā)，超出以往的平均值，根據(jù)持續(xù)的時(shí)間長(zhǎng)短，可以大致進(jìn)行一些故障的判斷和定位。如持續(xù)時(shí)間較長(zhǎng)，則有可能是蠕蟲病毒在網(wǎng)絡(luò)內(nèi)爆發(fā)和傳播，如持續(xù)時(shí)間較短，則有可能是一個(gè)大容量的數(shù)據(jù)傳輸。一些安全事件或者攻擊行為通常都伴隨著流量的變化，對(duì)于這些異常的突發(fā)流量，在該時(shí)間點(diǎn)上綜合分析網(wǎng)絡(luò)或安全設(shè)備的報(bào)警信息，可以及時(shí)發(fā)現(xiàn)安全事件防止損失。

4 研究效果

經(jīng)過(guò)研究，網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)針對(duì)目前上海鐵路局的網(wǎng)絡(luò)安全狀況，能有效解決當(dāng)前的一些安全隱患，規(guī)避人員操作風(fēng)險(xiǎn)，能有效提高網(wǎng)絡(luò)管理人員的工作效率和質(zhì)量，同時(shí)結(jié)合仿真回放功能可回放安全事件的過(guò)程，便于分析、舉證等工作。

4.1 減少數(shù)據(jù)庫(kù)操作安全隱患

針對(duì)數(shù)據(jù)庫(kù)方面的安全隱患，網(wǎng)絡(luò)安全行為檢測(cè)系統(tǒng)通過(guò)：

(1)設(shè)定數(shù)據(jù)庫(kù)訪問權(quán)限，對(duì)允許進(jìn)行數(shù)據(jù)庫(kù)操作的人員細(xì)分權(quán)限，比如某人僅允許訪問某個(gè)表而不允許訪問整個(gè)數(shù)據(jù)庫(kù)，某人僅允許查詢而不允許刪除或更改數(shù)據(jù)等操作。

(2)設(shè)置相關(guān)數(shù)據(jù)庫(kù)規(guī)則，防止內(nèi)部人員隨意操作數(shù)據(jù)庫(kù)，個(gè)人只允許訪問規(guī)定的受限數(shù)據(jù)，而不允許訪問其他數(shù)據(jù)內(nèi)容。

4.2 內(nèi)部人員操作安全隱患

網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)中可以通過(guò)角色授權(quán)、引入的強(qiáng)身份認(rèn)證和訪問控制功能進(jìn)行組合使用，通過(guò)數(shù)字證書的抗抵賴性來(lái)鎖定具體的操作人員；通過(guò)操作行為的規(guī)則約束操作人員的操作行為；記錄與回放功能可以還原整個(gè)安全事件的過(guò)程。

4.3 第三方維護(hù)人員安全隱患

網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)通過(guò)定義第三方外包人員的角色，設(shè)定相應(yīng)的控制策略，對(duì)第三方維護(hù)人員在網(wǎng)絡(luò)內(nèi)的訪問操作行為做一定的限制，防止第三方維護(hù)人員在網(wǎng)絡(luò)內(nèi)隨意訪問資源的隱患；并且網(wǎng)絡(luò)行為安全監(jiān)測(cè)系統(tǒng)可以設(shè)定第三方人員只能在網(wǎng)絡(luò)的指定區(qū)域活動(dòng)，不得進(jìn)入重要的或者敏感的網(wǎng)絡(luò)區(qū)域，這樣可以有效防止外部泄密等安全問題。

5 結(jié)束語(yǔ)

上海鐵路局企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜、范圍龐大，內(nèi)部應(yīng)用較多，而且隨著東部鐵路現(xiàn)代化的發(fā)展，今后必將會(huì)部署更多的應(yīng)用系統(tǒng)，以滿足不斷增長(zhǎng)的管理和業(yè)務(wù)需要；隨著網(wǎng)絡(luò)結(jié)構(gòu)的龐大、用戶群的增加，普通的網(wǎng)絡(luò)安全管理技術(shù)已經(jīng)無(wú)法滿足網(wǎng)絡(luò)與信息安全的需要，通過(guò)網(wǎng)絡(luò)行為安全監(jiān)測(cè)，應(yīng)用不同審計(jì)策略組合，可以做到對(duì)網(wǎng)絡(luò)內(nèi)重要數(shù)據(jù)、信息的訪問和人員操作安全的審計(jì)，可以大大提高網(wǎng)絡(luò)安全管理的工作效率和質(zhì)量，使我局鐵路企業(yè)網(wǎng)的信息安全防護(hù)工作水平達(dá)到更高的等級(jí)。