呂旭明,李 釗,趙永彬,李 巍,陳曉光
(國網(wǎng)遼寧省電力有限公司,遼寧 沈陽 110006)
終端接入是指各種用戶終端設(shè)備通過異步串口與路由器相連,實現(xiàn)終端設(shè)備之間及終端設(shè)備與業(yè)務(wù)服務(wù)平臺之間的數(shù)據(jù)交互。在企業(yè)網(wǎng)絡(luò)構(gòu)建過程中,最重要的是將各級用戶終端接入企業(yè)網(wǎng)中,實現(xiàn)企業(yè)業(yè)務(wù)的正常運行。終端接入網(wǎng)絡(luò)的方式有多種: 通過TTY終端、Telnet終端、Enhanced Telnet終端、SSH終端、RTC終端、虛擬專用網(wǎng)絡(luò)(VPN)接入等。其中,VPN接入方式是應(yīng)用最廣泛的接入技術(shù),也是最安全的接入方式。在國外,比較大的運營商如AT&T、Sprint、Verizon、BellSouth、NTT都已經(jīng)開始應(yīng)用VPN技術(shù)構(gòu)建企業(yè)級的終端接入方案[1-2]。
終端接入網(wǎng)絡(luò)中,在與其他設(shè)備和平臺通信的過程中,數(shù)據(jù)面臨著被網(wǎng)絡(luò)攻擊的可能性,造成數(shù)據(jù)被竊取、篡改,使終端安全接入問題日趨嚴(yán)重。因此,終端安全接入技術(shù)是保證網(wǎng)絡(luò)安全性的主要目標(biāo)。本文主要研究終端接入企業(yè)網(wǎng)的架構(gòu)以及安全接入防護技術(shù),實現(xiàn)終端的統(tǒng)一安全管理,保障企業(yè)運營業(yè)務(wù)的正常運行。
接入企業(yè)網(wǎng)的終端包括各種類型,如筆記本、臺式機、打印機、智能手機、管理服務(wù)器、攝像頭、讀卡設(shè)備等。各種設(shè)備首先接入路由器,構(gòu)成一個小的分組網(wǎng)絡(luò),路由器再接入交換機,最終連入互聯(lián)網(wǎng)。終端接入企業(yè)網(wǎng)的架構(gòu)如圖1所示。為實現(xiàn)對終端的安全統(tǒng)一管理,在設(shè)備接入網(wǎng)絡(luò)架構(gòu)中部署終端管理平臺和安全防護設(shè)備,保障終端接入設(shè)備的安全性[2-3]。
接入互聯(lián)網(wǎng)的終端種類多樣,型號豐富,設(shè)備標(biāo)識號各不相同。這些終端接入到互聯(lián)網(wǎng)時,終端管理平臺按照統(tǒng)一接口標(biāo)準(zhǔn)對終端進行統(tǒng)一資源描述,為每個終端分配一個唯一的終端序列號,并進行統(tǒng)一管理。終端管理平臺支持對終端設(shè)備進行分組管理,為不同組別的終端分配不同的權(quán)限,做到權(quán)責(zé)分離。同時,網(wǎng)絡(luò)接入服務(wù)與終端分組密切相關(guān),使特定分組終端接入對應(yīng)的業(yè)務(wù)服務(wù),便于終端對接入業(yè)務(wù)的管理和應(yīng)用。
圖1 終端接入架構(gòu)
針對終端接入的安全性問題,需要從接入終端、網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)邊界及企業(yè)業(yè)務(wù)進行考慮,建立一種既能滿足企業(yè)業(yè)務(wù)正常運行,又能保證終端和網(wǎng)絡(luò)安全性的技術(shù)體系,具體包括如下內(nèi)容[4-6]。
a. 防火墻,保證企業(yè)網(wǎng)內(nèi)部通信的安全性。
b. 入侵檢測,防止接入的設(shè)備受到網(wǎng)絡(luò)攻擊。
c. 惡意代碼檢測,防止接入的設(shè)備受到惡意代碼植入。
d. 訪問控制,保證接入設(shè)備的可信性和權(quán)限可靠性。
e. 數(shù)據(jù)保護,防止敏感數(shù)據(jù)泄漏。
f. 安全審計,保證接入的設(shè)備可控。
防火墻部署于企業(yè)內(nèi)外網(wǎng)之間,隔離內(nèi)外網(wǎng)之間的直接聯(lián)系,通常內(nèi)網(wǎng)相對比較安全,外網(wǎng)安全性比較差。防火墻作為一個安全隔離點,所有內(nèi)外網(wǎng)交換的數(shù)據(jù)都從這個隔離點通過,同時,防火墻根據(jù)預(yù)設(shè)置好的本地安全策略對交互的網(wǎng)絡(luò)數(shù)據(jù)包進行檢查。外網(wǎng)數(shù)據(jù)包中只有符合安全策略的數(shù)據(jù)包才允許通過防火墻進入內(nèi)網(wǎng),反之,不符合安全策略的數(shù)據(jù)包被丟棄而不能進入內(nèi)網(wǎng)??傊阑饓νㄟ^指定安全策略將非法訪問和網(wǎng)絡(luò)攻擊的數(shù)據(jù)包阻擋在防火墻之外,進而實現(xiàn)對企業(yè)內(nèi)網(wǎng)的安全防護。
在企業(yè)外網(wǎng)中,存儲了大量有價值的信息,攻擊者為了謀取非法利益,通過多種網(wǎng)絡(luò)攻擊方式企圖獲取企業(yè)內(nèi)網(wǎng)信息。入侵檢測能夠在不影響網(wǎng)絡(luò)性能的情況下,對網(wǎng)絡(luò)流量通過旁路并進行檢測,一旦發(fā)現(xiàn)威脅,及時采取有效的防護措施。入侵檢測通過對網(wǎng)絡(luò)數(shù)據(jù)包進行收集和分析,統(tǒng)計出流量信息,提取網(wǎng)絡(luò)攻擊的行為特征,刻畫出網(wǎng)絡(luò)攻擊行為模式,進而檢測出網(wǎng)絡(luò)流量中的入侵攻擊信息。在網(wǎng)絡(luò)攻擊被檢測出同時,應(yīng)當(dāng)采取相應(yīng)的安全防護措施,如斷開網(wǎng)絡(luò)連接、關(guān)閉網(wǎng)絡(luò)端口、發(fā)出告警等。入侵檢測是一種主動安全防御措施,不依賴于本地安全策略,與防火墻起到互補作用,是網(wǎng)絡(luò)安全防護體系中不可或缺的一部分。
惡意代碼是一種會對企業(yè)網(wǎng)絡(luò)、終端造成破壞的一段代碼,有多種類型,包括木馬、病毒、蠕蟲、后門、惡意軟件、惡意應(yīng)用等,具有傳染性、隱蔽性、破壞性,會給網(wǎng)絡(luò)環(huán)境帶來嚴(yán)重危害。因此,要對惡意代碼進行檢測。惡意代碼檢測方式主要有兩種:靜態(tài)檢測和動態(tài)檢測。靜態(tài)檢測就是在不直接執(zhí)行代碼的情況下,對代碼逆向提取特征進行分析,發(fā)現(xiàn)代碼中是否存在惡意特征。靜態(tài)檢測由于不直接運行惡意代碼,所以不會對系統(tǒng)造成危害,檢測效率比較高。但是,靜態(tài)檢測主要采用的技術(shù)是反匯編技術(shù),對加密、混淆等加固惡意代碼檢測無能為力。動態(tài)檢測是將惡意代碼在沙箱中運行起來,同時采集運行環(huán)境中的行為特征和狀態(tài)特征,建立異常行為模型進行惡意行為分析,發(fā)現(xiàn)代碼是否為惡意。動態(tài)檢測的精確度較高,惡意代碼運行起來能夠解決加固惡意應(yīng)用檢測的問題。但是,代碼運行起來需要耗費較多資源,特征的收集時間較長,效率不高,還有可能無法覆蓋所有的惡意代碼執(zhí)行路徑,獲取所有的行為特征,因此,比較難發(fā)現(xiàn)特定條件下發(fā)生的惡意代碼行為。
訪問控制,通過對不同終端和用戶進行權(quán)限限制,允許或者拒絕訪問網(wǎng)絡(luò)系統(tǒng)資源,是一種重要的企業(yè)網(wǎng)絡(luò)安全防護技術(shù)。訪問控制技術(shù)能夠限制非法用戶的操作,只允許擁有合法權(quán)限的用戶才能在權(quán)限范圍內(nèi)利用系統(tǒng)資源,不允許非法用戶侵入系統(tǒng),避免網(wǎng)絡(luò)資源被泄漏或破壞。最常用的訪問控制技術(shù)有自主訪問控制、強制訪問控制和基于角色的訪問控制。
企業(yè)內(nèi)網(wǎng)中存儲了大量的敏感數(shù)據(jù),如企業(yè)生產(chǎn)數(shù)據(jù)、財務(wù)數(shù)據(jù)等。如果這些數(shù)據(jù)遭受外網(wǎng)中的威脅攻擊一旦被泄漏,將會給企業(yè)帶來巨大損失。
因此,敏感數(shù)據(jù)的存儲和備份都必須采取一些數(shù)據(jù)保護措施,使敏感數(shù)據(jù)的存儲、應(yīng)用、管理都是安全可控的。數(shù)據(jù)安全保護的措施有多種,如數(shù)據(jù)加密存儲/傳輸、訪問控制限制、防泄漏傳輸?shù)龋瑢崿F(xiàn)對數(shù)據(jù)整個生命周期的安全防護。
安全審計通過對企業(yè)內(nèi)網(wǎng)資源操作的行為進行監(jiān)控記錄,可以有針對性地對網(wǎng)絡(luò)運行的狀況進行記錄、跟蹤和審查,及時發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)中的用戶行為異常和網(wǎng)絡(luò)行為異常,對企業(yè)網(wǎng)絡(luò)安全運維起到幫助作用。安全審計不僅能對潛在的網(wǎng)絡(luò)威脅起到震懾作用,還能為威脅追蹤溯源提供依據(jù)。另外,對一段時間內(nèi)的安全審計記錄的系統(tǒng)日志進行關(guān)聯(lián)分析,有可能發(fā)現(xiàn)長期潛伏在系統(tǒng)內(nèi)部的網(wǎng)絡(luò)攻擊和系統(tǒng)漏洞。
隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展,網(wǎng)絡(luò)威脅呈現(xiàn)多樣化趨勢,帶來的危害越來越嚴(yán)重。因此,企業(yè)在構(gòu)建網(wǎng)絡(luò)過程中,需要對接入的各種終端設(shè)備進行安全防護,避免遭受來自互聯(lián)網(wǎng)的各種攻擊,造成設(shè)備被遠(yuǎn)程控制、信息泄漏、數(shù)據(jù)丟失等。終端接入安全防護技術(shù)包括防火墻、入侵檢測、惡意代碼檢測、訪問控制、數(shù)據(jù)保護和安全審計等。未來,隨著終端接入量和交互數(shù)據(jù)量的增加,需要結(jié)合大數(shù)據(jù)分析技術(shù),如數(shù)據(jù)挖掘、機器學(xué)習(xí)、模式識別等,增強對設(shè)備和網(wǎng)絡(luò)的管理能力。
[1] 張 云.電力營銷終端安全接入系統(tǒng)的研究與實現(xiàn)[D].北京:華北電力大學(xué), 2013.
[2] 彭 竹.電力行業(yè)工控終端設(shè)備安全接入系統(tǒng)的設(shè)計與實現(xiàn)[D].北京:中國科學(xué)院大學(xué)(工程管理與信息技術(shù)學(xué)院), 2015.
[3] 呂 楊.對企業(yè)網(wǎng)終端接入控制的研究和方案設(shè)計[D].北京:北京郵電大學(xué), 2014.
[4] 沈昌祥, 張煥國, 馮登國,等.信息安全綜述[J].中國科學(xué), 2007, 37(2):129-150.
[5] 張文艷.電力企業(yè)如何做好信息安全工作[J].東北電力技術(shù), 2010, 31(11):50-52.
[6] 王 楠, 陳曉光, 高明雙.建立可控的信息網(wǎng)絡(luò)安全準(zhǔn)入管理機制[J].東北電力技術(shù), 2014, 35(5):43-46.