呂旭明，李 釗，趙永彬，李 巍，陳曉光

(國網(wǎng)遼寧省電力有限公司，遼寧 沈陽 110006)

終端接入是指各種用戶終端設(shè)備通過異步串口與路由器相連，實現(xiàn)終端設(shè)備之間及終端設(shè)備與業(yè)務(wù)服務(wù)平臺之間的數(shù)據(jù)交互。在企業(yè)網(wǎng)絡(luò)構(gòu)建過程中，最重要的是將各級用戶終端接入企業(yè)網(wǎng)中，實現(xiàn)企業(yè)業(yè)務(wù)的正常運行。終端接入網(wǎng)絡(luò)的方式有多種： 通過TTY終端、Telnet終端、Enhanced Telnet終端、SSH終端、RTC終端、虛擬專用網(wǎng)絡(luò)(VPN)接入等。其中，VPN接入方式是應(yīng)用最廣泛的接入技術(shù)，也是最安全的接入方式。在國外，比較大的運營商如AT&T、Sprint、Verizon、BellSouth、NTT都已經(jīng)開始應(yīng)用VPN技術(shù)構(gòu)建企業(yè)級的終端接入方案[1-2]。

終端接入網(wǎng)絡(luò)中，在與其他設(shè)備和平臺通信的過程中，數(shù)據(jù)面臨著被網(wǎng)絡(luò)攻擊的可能性，造成數(shù)據(jù)被竊取、篡改，使終端安全接入問題日趨嚴(yán)重。因此，終端安全接入技術(shù)是保證網(wǎng)絡(luò)安全性的主要目標(biāo)。本文主要研究終端接入企業(yè)網(wǎng)的架構(gòu)以及安全接入防護技術(shù)，實現(xiàn)終端的統(tǒng)一安全管理，保障企業(yè)運營業(yè)務(wù)的正常運行。

1 終端接入架構(gòu)體系

接入企業(yè)網(wǎng)的終端包括各種類型，如筆記本、臺式機、打印機、智能手機、管理服務(wù)器、攝像頭、讀卡設(shè)備等。各種設(shè)備首先接入路由器，構(gòu)成一個小的分組網(wǎng)絡(luò)，路由器再接入交換機，最終連入互聯(lián)網(wǎng)。終端接入企業(yè)網(wǎng)的架構(gòu)如圖1所示。為實現(xiàn)對終端的安全統(tǒng)一管理，在設(shè)備接入網(wǎng)絡(luò)架構(gòu)中部署終端管理平臺和安全防護設(shè)備，保障終端接入設(shè)備的安全性[2-3]。

接入互聯(lián)網(wǎng)的終端種類多樣，型號豐富，設(shè)備標(biāo)識號各不相同。這些終端接入到互聯(lián)網(wǎng)時，終端管理平臺按照統(tǒng)一接口標(biāo)準(zhǔn)對終端進行統(tǒng)一資源描述，為每個終端分配一個唯一的終端序列號，并進行統(tǒng)一管理。終端管理平臺支持對終端設(shè)備進行分組管理，為不同組別的終端分配不同的權(quán)限，做到權(quán)責(zé)分離。同時，網(wǎng)絡(luò)接入服務(wù)與終端分組密切相關(guān)，使特定分組終端接入對應(yīng)的業(yè)務(wù)服務(wù)，便于終端對接入業(yè)務(wù)的管理和應(yīng)用。

圖1 終端接入架構(gòu)

針對終端接入的安全性問題，需要從接入終端、網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)邊界及企業(yè)業(yè)務(wù)進行考慮，建立一種既能滿足企業(yè)業(yè)務(wù)正常運行，又能保證終端和網(wǎng)絡(luò)安全性的技術(shù)體系，具體包括如下內(nèi)容[4-6]。

a. 防火墻，保證企業(yè)網(wǎng)內(nèi)部通信的安全性。

b. 入侵檢測，防止接入的設(shè)備受到網(wǎng)絡(luò)攻擊。

c. 惡意代碼檢測，防止接入的設(shè)備受到惡意代碼植入。

d. 訪問控制，保證接入設(shè)備的可信性和權(quán)限可靠性。

e. 數(shù)據(jù)保護，防止敏感數(shù)據(jù)泄漏。

f. 安全審計，保證接入的設(shè)備可控。

2 信息安全關(guān)鍵技術(shù)

2.1 防火墻

防火墻部署于企業(yè)內(nèi)外網(wǎng)之間，隔離內(nèi)外網(wǎng)之間的直接聯(lián)系，通常內(nèi)網(wǎng)相對比較安全，外網(wǎng)安全性比較差。防火墻作為一個安全隔離點，所有內(nèi)外網(wǎng)交換的數(shù)據(jù)都從這個隔離點通過，同時，防火墻根據(jù)預(yù)設(shè)置好的本地安全策略對交互的網(wǎng)絡(luò)數(shù)據(jù)包進行檢查。外網(wǎng)數(shù)據(jù)包中只有符合安全策略的數(shù)據(jù)包才允許通過防火墻進入內(nèi)網(wǎng)，反之，不符合安全策略的數(shù)據(jù)包被丟棄而不能進入內(nèi)網(wǎng)?？傊阑饓νㄟ^指定安全策略將非法訪問和網(wǎng)絡(luò)攻擊的數(shù)據(jù)包阻擋在防火墻之外，進而實現(xiàn)對企業(yè)內(nèi)網(wǎng)的安全防護。

2.2 入侵檢測

在企業(yè)外網(wǎng)中，存儲了大量有價值的信息，攻擊者為了謀取非法利益，通過多種網(wǎng)絡(luò)攻擊方式企圖獲取企業(yè)內(nèi)網(wǎng)信息。入侵檢測能夠在不影響網(wǎng)絡(luò)性能的情況下，對網(wǎng)絡(luò)流量通過旁路并進行檢測，一旦發(fā)現(xiàn)威脅，及時采取有效的防護措施。入侵檢測通過對網(wǎng)絡(luò)數(shù)據(jù)包進行收集和分析，統(tǒng)計出流量信息，提取網(wǎng)絡(luò)攻擊的行為特征，刻畫出網(wǎng)絡(luò)攻擊行為模式，進而檢測出網(wǎng)絡(luò)流量中的入侵攻擊信息。在網(wǎng)絡(luò)攻擊被檢測出同時，應(yīng)當(dāng)采取相應(yīng)的安全防護措施，如斷開網(wǎng)絡(luò)連接、關(guān)閉網(wǎng)絡(luò)端口、發(fā)出告警等。入侵檢測是一種主動安全防御措施，不依賴于本地安全策略，與防火墻起到互補作用，是網(wǎng)絡(luò)安全防護體系中不可或缺的一部分。

2.3 惡意代碼檢測

惡意代碼是一種會對企業(yè)網(wǎng)絡(luò)、終端造成破壞的一段代碼，有多種類型，包括木馬、病毒、蠕蟲、后門、惡意軟件、惡意應(yīng)用等，具有傳染性、隱蔽性、破壞性，會給網(wǎng)絡(luò)環(huán)境帶來嚴(yán)重危害。因此，要對惡意代碼進行檢測。惡意代碼檢測方式主要有兩種：靜態(tài)檢測和動態(tài)檢測。靜態(tài)檢測就是在不直接執(zhí)行代碼的情況下，對代碼逆向提取特征進行分析，發(fā)現(xiàn)代碼中是否存在惡意特征。靜態(tài)檢測由于不直接運行惡意代碼，所以不會對系統(tǒng)造成危害，檢測效率比較高。但是，靜態(tài)檢測主要采用的技術(shù)是反匯編技術(shù)，對加密、混淆等加固惡意代碼檢測無能為力。動態(tài)檢測是將惡意代碼在沙箱中運行起來，同時采集運行環(huán)境中的行為特征和狀態(tài)特征，建立異常行為模型進行惡意行為分析，發(fā)現(xiàn)代碼是否為惡意。動態(tài)檢測的精確度較高，惡意代碼運行起來能夠解決加固惡意應(yīng)用檢測的問題。但是，代碼運行起來需要耗費較多資源，特征的收集時間較長，效率不高，還有可能無法覆蓋所有的惡意代碼執(zhí)行路徑，獲取所有的行為特征，因此，比較難發(fā)現(xiàn)特定條件下發(fā)生的惡意代碼行為。

2.4 訪問控制

訪問控制，通過對不同終端和用戶進行權(quán)限限制，允許或者拒絕訪問網(wǎng)絡(luò)系統(tǒng)資源，是一種重要的企業(yè)網(wǎng)絡(luò)安全防護技術(shù)。訪問控制技術(shù)能夠限制非法用戶的操作，只允許擁有合法權(quán)限的用戶才能在權(quán)限范圍內(nèi)利用系統(tǒng)資源，不允許非法用戶侵入系統(tǒng)，避免網(wǎng)絡(luò)資源被泄漏或破壞。最常用的訪問控制技術(shù)有自主訪問控制、強制訪問控制和基于角色的訪問控制。

2.5 數(shù)據(jù)保護

企業(yè)內(nèi)網(wǎng)中存儲了大量的敏感數(shù)據(jù)，如企業(yè)生產(chǎn)數(shù)據(jù)、財務(wù)數(shù)據(jù)等。如果這些數(shù)據(jù)遭受外網(wǎng)中的威脅攻擊一旦被泄漏，將會給企業(yè)帶來巨大損失。

因此，敏感數(shù)據(jù)的存儲和備份都必須采取一些數(shù)據(jù)保護措施，使敏感數(shù)據(jù)的存儲、應(yīng)用、管理都是安全可控的。數(shù)據(jù)安全保護的措施有多種，如數(shù)據(jù)加密存儲/傳輸、訪問控制限制、防泄漏傳輸?shù)龋瑢崿F(xiàn)對數(shù)據(jù)整個生命周期的安全防護。

2.6 安全審計

安全審計通過對企業(yè)內(nèi)網(wǎng)資源操作的行為進行監(jiān)控記錄，可以有針對性地對網(wǎng)絡(luò)運行的狀況進行記錄、跟蹤和審查，及時發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)中的用戶行為異常和網(wǎng)絡(luò)行為異常，對企業(yè)網(wǎng)絡(luò)安全運維起到幫助作用。安全審計不僅能對潛在的網(wǎng)絡(luò)威脅起到震懾作用，還能為威脅追蹤溯源提供依據(jù)。另外，對一段時間內(nèi)的安全審計記錄的系統(tǒng)日志進行關(guān)聯(lián)分析，有可能發(fā)現(xiàn)長期潛伏在系統(tǒng)內(nèi)部的網(wǎng)絡(luò)攻擊和系統(tǒng)漏洞。

3 結(jié)束語

隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)威脅呈現(xiàn)多樣化趨勢，帶來的危害越來越嚴(yán)重。因此，企業(yè)在構(gòu)建網(wǎng)絡(luò)過程中，需要對接入的各種終端設(shè)備進行安全防護，避免遭受來自互聯(lián)網(wǎng)的各種攻擊，造成設(shè)備被遠(yuǎn)程控制、信息泄漏、數(shù)據(jù)丟失等。終端接入安全防護技術(shù)包括防火墻、入侵檢測、惡意代碼檢測、訪問控制、數(shù)據(jù)保護和安全審計等。未來，隨著終端接入量和交互數(shù)據(jù)量的增加，需要結(jié)合大數(shù)據(jù)分析技術(shù)，如數(shù)據(jù)挖掘、機器學(xué)習(xí)、模式識別等，增強對設(shè)備和網(wǎng)絡(luò)的管理能力。

[1] 張 云.電力營銷終端安全接入系統(tǒng)的研究與實現(xiàn)[D].北京：華北電力大學(xué), 2013.

[2] 彭 竹.電力行業(yè)工控終端設(shè)備安全接入系統(tǒng)的設(shè)計與實現(xiàn)[D].北京：中國科學(xué)院大學(xué)(工程管理與信息技術(shù)學(xué)院), 2015.

[3] 呂 楊.對企業(yè)網(wǎng)終端接入控制的研究和方案設(shè)計[D].北京：北京郵電大學(xué), 2014.

[4] 沈昌祥, 張煥國, 馮登國,等.信息安全綜述[J].中國科學(xué), 2007, 37(2):129-150.

[5] 張文艷.電力企業(yè)如何做好信息安全工作[J].東北電力技術(shù), 2010, 31(11):50-52.

[6] 王 楠, 陳曉光, 高明雙.建立可控的信息網(wǎng)絡(luò)安全準(zhǔn)入管理機制[J].東北電力技術(shù), 2014, 35(5):43-46.