摘 要 隨著智能電網(wǎng)不斷發(fā)展，電力企業(yè)傳統(tǒng)隔離網(wǎng)絡(luò)的邊界不斷動態(tài)調(diào)整，存在著物理隔離網(wǎng)絡(luò)被跨網(wǎng)入侵這一重大隱患風(fēng)險(xiǎn)。因此，確保電力信息網(wǎng)絡(luò)邊界完整性，實(shí)現(xiàn)內(nèi)外網(wǎng)邊界可感、可視和可知是電力企業(yè)安全防護(hù)迫切需要解決的難題。本文針對邊界安全出現(xiàn)的新問題新隱患，通過對網(wǎng)絡(luò)邊界鏈路，端口，設(shè)備等邊界節(jié)點(diǎn)的全方位安全要素獲取、分析、展示和處置，實(shí)現(xiàn)了對電力企業(yè)網(wǎng)絡(luò)邊界違規(guī)內(nèi)聯(lián)檢測、定位與阻斷控制，系統(tǒng)的應(yīng)用顯著提升了電力企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管控能力和安全防護(hù)能力。

【關(guān)鍵詞】違規(guī)內(nèi)聯(lián) 邊界完整性 協(xié)同防御

1 引言

網(wǎng)絡(luò)應(yīng)用技術(shù)的飛速發(fā)展給網(wǎng)絡(luò)安全帶來了極大的挑戰(zhàn)，一方面網(wǎng)絡(luò)安全技術(shù)已成為網(wǎng)絡(luò)應(yīng)用的制約因素和性能瓶頸，另一方面人們對網(wǎng)絡(luò)安全的認(rèn)識受傳統(tǒng)意識的影響和商業(yè)化氛圍的影響，存在較大的片面性和局限性，使得網(wǎng)絡(luò)安全的形勢不容樂觀。同時，非授權(quán)設(shè)備（無線AP、隨身Wi-Fi等）違規(guī)內(nèi)聯(lián)行為會大大擴(kuò)展和破壞已有的網(wǎng)絡(luò)邊界，使得原本清晰的網(wǎng)絡(luò)邊界變得模糊和難以管控，會給企業(yè)現(xiàn)有內(nèi)部網(wǎng)絡(luò)帶來巨大安全風(fēng)險(xiǎn)，使得在邊界防護(hù)方面的努力付出和巨額投入都可能功虧一簣。

電網(wǎng)作為我國關(guān)鍵基礎(chǔ)設(shè)施，其安全性是影響國家經(jīng)濟(jì)社會發(fā)展的全局性、戰(zhàn)略性問題之一，因此，電網(wǎng)網(wǎng)絡(luò)信息安全已成為國家安全的重要組成部分。“互聯(lián)網(wǎng)+“業(yè)務(wù)不斷推動和提升電力企業(yè)生產(chǎn)、運(yùn)行和經(jīng)營管理水平，電力企業(yè)網(wǎng)絡(luò)邊界不斷發(fā)生變化和調(diào)整，無線Wi-Fi及智能終端技術(shù)的發(fā)展，使得網(wǎng)絡(luò)邊界遭受破壞的概率大幅提升，且隱蔽性極強(qiáng)，私接無線設(shè)備可使得網(wǎng)絡(luò)邊界完整性輕易遭受破壞，我們需要一種行之有效的檢測技術(shù)和方法，能夠有效識別非授權(quán)接入的無線AP及隨身Wi-Fi等設(shè)備，同時提供針對違規(guī)接入設(shè)備的快速網(wǎng)絡(luò)定位及阻斷控制，可有效彌補(bǔ)當(dāng)前網(wǎng)絡(luò)違規(guī)內(nèi)聯(lián)檢測、定位以及阻斷控制能力的不足，加強(qiáng)和保護(hù)企業(yè)現(xiàn)有內(nèi)部網(wǎng)絡(luò)的邊界安全。

2 網(wǎng)絡(luò)邊界面臨的問題

隨著智能電網(wǎng)建設(shè)的不斷深入，電力信息網(wǎng)絡(luò)逐漸成為承載電力企業(yè)生產(chǎn)、營銷與企業(yè)經(jīng)營管理關(guān)鍵基礎(chǔ)平臺。現(xiàn)如今，電力網(wǎng)絡(luò)組成了一個邊界巨大、多樣的泛在廣域網(wǎng)絡(luò)，使得電力行業(yè)整體面臨著隨之而來的各種網(wǎng)絡(luò)與信息安全攻擊與威脅，功能強(qiáng)大的勒索病毒、變化多樣的非法入侵方式，不斷暴露出的安全漏洞極大地增強(qiáng)了電力企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，面對這些風(fēng)險(xiǎn)，建立一個可感、可知、可視的邊界環(huán)境是做好安全防御的第一道門檻，只有安全的、完整的網(wǎng)絡(luò)邊界才能阻止非法的網(wǎng)絡(luò)入侵和訪問，建立相對良好的網(wǎng)絡(luò)安全環(huán)境。

目前在網(wǎng)絡(luò)邊界安全防御中，存在不能有效的感知一個運(yùn)行網(wǎng)絡(luò)中邊界狀態(tài)的問題，而網(wǎng)絡(luò)中任意的接入導(dǎo)致網(wǎng)絡(luò)邊界發(fā)生變化，從而引發(fā)越來越嚴(yán)峻的網(wǎng)絡(luò)安全問題。主要問題體現(xiàn)在以下幾點(diǎn)：

2.1 原有網(wǎng)絡(luò)邊界遭到成倍放大和破壞

私接設(shè)備尤其是私自將無線AP接入到內(nèi)部網(wǎng)絡(luò)，使得本應(yīng)局限在內(nèi)部建筑的網(wǎng)絡(luò)邊界，直接輻射到以建筑為核心的方圓50米甚至更遠(yuǎn)的距離，大大擴(kuò)展及破壞了內(nèi)網(wǎng)已有的網(wǎng)絡(luò)邊界，使得內(nèi)部網(wǎng)絡(luò)遭受攻擊以及侵入的風(fēng)險(xiǎn)急劇增加，其危害相較于非法外聯(lián)，引發(fā)的安全風(fēng)險(xiǎn)甚至更高。

2.2 易遭受入侵，安全風(fēng)險(xiǎn)極高

很多私接設(shè)備（如手機(jī)、平板等）的安全性本身很差，運(yùn)行的應(yīng)用魚龍混雜，接入內(nèi)部網(wǎng)絡(luò)后，容易帶入病毒或木馬等，風(fēng)險(xiǎn)極高。其次，私接的無線AP雖提供了一定的安全措施，但常因使用者的安全意識及技術(shù)水平的限制，無法充分發(fā)揮AP自身的安全防護(hù)能力，加上AP常用的WEP加密的脆弱性，使得AP很容易遭受攻擊和破解，外部入侵者可以輕易的在方圓50米甚至更遠(yuǎn)的距離上，通過破解以及欺騙的手段，通過AP直接侵入內(nèi)部網(wǎng)絡(luò)，輕易對內(nèi)部網(wǎng)絡(luò)實(shí)施其破壞行為。

2.3 難以監(jiān)管，管理者很難發(fā)現(xiàn)私接設(shè)備的行為

對于網(wǎng)絡(luò)內(nèi)部還存在HUB或者類似HUB接入的網(wǎng)絡(luò)，針對私接路由設(shè)備的監(jiān)管非常困難，管理者很難區(qū)分清楚這些提供HUB接入的設(shè)備是合法的還是私接的。

更難以監(jiān)管是通過NAT方式接入的路由設(shè)備，包括隨身Wi-Fi設(shè)備，即使管理者通過MAC和設(shè)備端口綁定的方式進(jìn)行限制，建立了基于802.1X的接入控制體系，此類設(shè)備仍可通過欺騙等手段方便的接入，這種接入的隱蔽性和欺騙性，使得管理者難以發(fā)現(xiàn)，更談不上監(jiān)管。

3 系統(tǒng)的總體架構(gòu)設(shè)計(jì)

貴州電網(wǎng)有限責(zé)任公司貴陽供電局于2017年啟動了從保護(hù)企業(yè)內(nèi)部現(xiàn)有網(wǎng)絡(luò)邊界完整性、降低信息安全事件發(fā)生概率、彌補(bǔ)安全管理上的不足、完善安全管理體制建設(shè)等方面入手的網(wǎng)絡(luò)邊界違規(guī)內(nèi)聯(lián)檢測、定位與阻斷系統(tǒng)的應(yīng)用研究工作。

系統(tǒng)包括主掃描檢測系統(tǒng)（包括主掃描引擎系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和前臺用戶管理系統(tǒng)三部分）和無線掃描探針系統(tǒng)共兩大部分，總體采用B/S架構(gòu)。如圖1所示。

3.1 掃描檢測系統(tǒng)

掃描檢測系統(tǒng)包括主掃描引擎系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和前臺用戶管理系統(tǒng)三部分，主要負(fù)責(zé)對電力信息網(wǎng)監(jiān)控范圍內(nèi)的設(shè)備進(jìn)行常規(guī)輪詢式的遠(yuǎn)程掃描，針對違規(guī)事件進(jìn)行發(fā)現(xiàn)、報(bào)警、存儲以及對于違規(guī)事件的應(yīng)急響應(yīng)。該系統(tǒng)部署于需監(jiān)控的內(nèi)部網(wǎng)絡(luò)，與監(jiān)控對象網(wǎng)絡(luò)無阻礙可達(dá)即可。在網(wǎng)絡(luò)邊界守護(hù)中邊界節(jié)點(diǎn)主要涵蓋網(wǎng)絡(luò)中接入層設(shè)備與終端，網(wǎng)絡(luò)設(shè)備異常狀態(tài)的監(jiān)測主要依靠SNMP協(xié)議中Trap信息來掃描完成；而網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化的監(jiān)測則通過掃描網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，將掃描到的實(shí)時網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與網(wǎng)絡(luò)基準(zhǔn)拓?fù)浣Y(jié)構(gòu)作比對，定位拓?fù)浣Y(jié)構(gòu)發(fā)生改變的位置。

3.2 無線掃描探針系統(tǒng)

無線掃描探針系統(tǒng)單獨(dú)部署在Win8/Win10平板電腦或筆記本電腦上，主要負(fù)責(zé)無線Wi-Fi信號的自動收集，包括SSID、MAC地址、信號強(qiáng)度、加密方式等，包括未廣播的SSID也要進(jìn)行識別和收集。作為技術(shù)補(bǔ)充，對于已經(jīng)建立電力企業(yè)無線局域網(wǎng)的用戶，可以通過與AC聯(lián)動直接獲取流氓AP的相關(guān)信息，實(shí)現(xiàn)與Cisco、華為、華三以及銳捷AC等主流網(wǎng)絡(luò)控制設(shè)備聯(lián)動。endprint

4 研究過程中主要技術(shù)運(yùn)用

4.1 NAT接入設(shè)備的遠(yuǎn)程掃描識別技術(shù)

UDP掃描最大的問題就是準(zhǔn)確率不高，如何保證UDP端口掃描的準(zhǔn)確性；個人終端安裝的防火墻是否會對檢測結(jié)果產(chǎn)生影響，如何降低防火墻對檢測效果的影響；過度掃描會影響掃描效率，在檢測包種類和數(shù)量有限前提下，如何高效準(zhǔn)確識別遠(yuǎn)程主機(jī)的操作系統(tǒng)類型等；系統(tǒng)綜合TCP/UDP端口掃描技術(shù)、遠(yuǎn)程操作系統(tǒng)識別技術(shù)、防火墻是否開啟的甄別技術(shù)，綜合上述技術(shù)來綜合甄別路由設(shè)備是否經(jīng)過NAT方式接入。無線AP或小型路由設(shè)備多數(shù)通過NAT（地址轉(zhuǎn)換）方式接入網(wǎng)絡(luò)，尤其是經(jīng)過MAC克隆方式違規(guī)接入，管理者很難區(qū)分和鑒別，通過此技術(shù)可以進(jìn)行實(shí)現(xiàn)以NAT方式接入的違規(guī)路由設(shè)備的進(jìn)行快速檢測。

4.2 大規(guī)模網(wǎng)絡(luò)的快速掃描和探測技術(shù)

在保證掃描效率的前提下，系統(tǒng)需要完成IP地址是否在線的ICMP檢測、通過SNMP自動發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備并完成IP-MAC收集、主機(jī)名掃描、TCP端口掃描、UDP端口掃描、操作系統(tǒng)識別等一系列工作，如何保證和優(yōu)化掃描效率是技術(shù)難點(diǎn)。在不影響網(wǎng)絡(luò)性能的基礎(chǔ)上，系統(tǒng)提供的多線程并發(fā)掃描機(jī)制，綜合ICMP、SNMP、TCP等多種掃描檢測技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)的快速準(zhǔn)確的掃描探測。

4.3 交換機(jī)的下聯(lián)端口定位技術(shù)

該技術(shù)的最大難點(diǎn)在于提供兼容性支持，因?yàn)椴煌瑥S商、甚至同一廠商不同類型的交換設(shè)備關(guān)于端口定位的內(nèi)部處理技術(shù)都不盡相同，這就需要提供最大限度的設(shè)備兼容性，兼容主流的交換設(shè)備類型：Cisco、華為、華三、銳捷、3COM、北電、邁普等。解決違規(guī)接入設(shè)備的定位問題，利用SNMP進(jìn)行網(wǎng)絡(luò)交換設(shè)備的下聯(lián)端口定位，該技術(shù)需要綜合IP地址資源管理技術(shù)，直接完成網(wǎng)絡(luò)交換設(shè)備端口和下聯(lián)IP的自動關(guān)聯(lián)定位。相對于無線Wi-Fi定位，該定位更為直接，而且易于管控。

4.4 IP回溯技術(shù)

該技術(shù)的最大難點(diǎn)在于將IP地址的使用和網(wǎng)絡(luò)接入完成了自動關(guān)聯(lián)，即可根據(jù)時間點(diǎn)，確認(rèn)某一IP地址在此時間點(diǎn)所對應(yīng)的MAC地址，以及在該時間點(diǎn)該MAC所連接的交換機(jī)端口；由于IP地址的可變性，使得在根據(jù)IP進(jìn)行定位時，如果不考慮時間特性，定位結(jié)果容易出現(xiàn)嚴(yán)重偏離，尤其是實(shí)行DHCP進(jìn)行IP管理的網(wǎng)絡(luò)，IP的時間特性必須要納入。IP回溯技術(shù)綜合了IP地址使用的審計(jì)功能和網(wǎng)絡(luò)接入的審計(jì)，通過詳細(xì)記錄每一MAC使用不同IP地址的時段，使得每一IP的使用都有其時間特性，結(jié)合網(wǎng)絡(luò)接入審計(jì)，可以根據(jù)IP和時間點(diǎn)，關(guān)聯(lián)該IP在該時間點(diǎn)被哪個MAC地址在用，網(wǎng)絡(luò)的接入位置在哪個交換機(jī)端口。

4.5 拓?fù)渥詣影l(fā)現(xiàn)技術(shù)

該技術(shù)最大難點(diǎn)在于拓?fù)涞牟季?，尤其針對電力企業(yè)大型網(wǎng)絡(luò)，拓?fù)淙绾尾季?，如何在拓?fù)渲羞M(jìn)行可視化的網(wǎng)絡(luò)定位和管理；其次是拓?fù)涞淖晕艺{(diào)整，包括拓?fù)涞淖詣诱{(diào)整和人工調(diào)整，使得拓?fù)涞恼故靖咏咏脩魧?shí)際網(wǎng)絡(luò)拓?fù)?。提供網(wǎng)絡(luò)拓?fù)涞淖詣影l(fā)現(xiàn)能力，網(wǎng)絡(luò)拓?fù)涞淖兓途W(wǎng)絡(luò)邊界的變化息息相關(guān)，系統(tǒng)可以自動發(fā)現(xiàn)和繪制網(wǎng)絡(luò)拓?fù)洌⑻峁┒喾N拓?fù)湔故灸Ｊ剑瑤椭_認(rèn)拓?fù)浣Y(jié)構(gòu)是否發(fā)生了變化。

5 結(jié)論

通過該在電力企業(yè)網(wǎng)絡(luò)中網(wǎng)絡(luò)邊界內(nèi)聯(lián)檢測、定位與阻斷系統(tǒng)的應(yīng)用研究，提升了電力企業(yè)在網(wǎng)絡(luò)邊界完整性方面的技術(shù)管理能力，增強(qiáng)了電力企業(yè)對邊界完整性感知的能力，大大降低因邊界遭受破壞而帶來的電力網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，為電力企業(yè)網(wǎng)絡(luò)正常運(yùn)行提供更多安全保障。一方面，針對違規(guī)內(nèi)聯(lián)，尤其是私接無線AP、隨身Wi-Fi等設(shè)備的檢測與監(jiān)管，防止網(wǎng)絡(luò)邊界的完整性因此而遭受破壞，保證網(wǎng)絡(luò)邊界安全，有力保障電力信息業(yè)務(wù)系統(tǒng)的正常運(yùn)行。另一方面，有效保護(hù)電力企業(yè)網(wǎng)絡(luò)邊界防護(hù)上的已有投資，確保在網(wǎng)絡(luò)邊界保護(hù)上的安全投入和安全能力得到充分發(fā)揮，提升了電力企業(yè)網(wǎng)絡(luò)信息安全水平。

參考文獻(xiàn)

[1]楊峰，張浩軍.無線局域網(wǎng)安全協(xié)議的研究和實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2011.

[2]譚潤芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技，2008，37（06）：24-26.

[3]馬建峰，吳振強(qiáng).無線局域網(wǎng)安全體系結(jié)構(gòu)[M].北京：高等教育出版社，2008.

[4]賀雪晨.信息對抗與網(wǎng)絡(luò)安全[M].清華大學(xué)出版社（第2版），2010.

[5]潘愛民.徐明偉等.計(jì)算機(jī)網(wǎng)絡(luò)[M]，第四版清華大學(xué)出版社，2014.

[6]王淑紅.網(wǎng)絡(luò)安全[M].北京市：機(jī)械工業(yè)出版社，2007.

作者簡介

張盛安（1983-），男，高級工程師，碩士研究生。從事信息安全專業(yè)技術(shù)管理工作。

作者單位

貴州電網(wǎng)有限責(zé)任公司貴陽供電局 貴州省貴陽市 550001endprint