辛平安 李昆華 王元冬 王杰鴻 周艷平

（云南電網(wǎng)有限責(zé)任公司昆明供電局 云南省昆明市 650000）

1 引言

近年來，隨著網(wǎng)絡(luò)的發(fā)展和壯大,網(wǎng)絡(luò)安全問題成為現(xiàn)代信息安全所要解決的主要問題[1]。針對不同的網(wǎng)絡(luò)環(huán)境，防火墻策略的配置不僅越來越復(fù)雜，而且多域間各策略之間的沖突時有發(fā)生，嚴(yán)重影響安全策略的執(zhí)行效率，因此，如何保證不同安全域之間的防火墻策略的一致性、可靠性，以及同一安全域內(nèi)安全策略的正確性、可靠性，成為防火墻安全策略配置的關(guān)鍵[2]。因此，防火墻設(shè)備的安全性及其配置參數(shù)和策略的可靠性管理日益重要，其管理的內(nèi)容主要包括接入者賬號權(quán)限安全性、路由的訪問控制策略、確保信息傳輸?shù)谋Ｃ芘c完整性、是否具備入侵檢測配套或手段、防火墻設(shè)備防病毒措施是否具備等。

針對調(diào)度數(shù)據(jù)網(wǎng)設(shè)備安全防護(hù)，很多單位開展了相關(guān)工作和研究：例如在安防配置管理方面，國網(wǎng)濟(jì)南供電公司提出對網(wǎng)絡(luò)設(shè)備的安全運(yùn)行管理，從賬號安全、配置安全、審計(jì)安全和維護(hù)安全四個方面考慮，其中配置安全的方法是對電力數(shù)據(jù)網(wǎng)內(nèi)的重要數(shù)據(jù)信息定期實(shí)行備份處理，并且對每一次關(guān)鍵設(shè)備上的配置修改都進(jìn)行記錄，這種方法較為原始，完全依賴運(yùn)維人員操作正確性，一旦運(yùn)維人員配置錯誤或未及時備份配置記錄，產(chǎn)生的影響不可預(yù)估[3]。在安防配置檢測方面，華北電力大學(xué)對防火墻、隔離裝置等網(wǎng)絡(luò)設(shè)備給出了具體的配置及檢測內(nèi)容（對象、服務(wù)、策略），根據(jù)這些配置命令基本滿足安防配置要求，但需要運(yùn)維人員全程手動操作，運(yùn)維工作量大[4]。在安防配置分析方面，國網(wǎng)宣城供電公司中提出基于Syslog 協(xié)議的日志自動采集及存儲服務(wù)，記錄設(shè)備的任何時間發(fā)生的大小事件日志，通過分析這些網(wǎng)絡(luò)行為日志，追蹤掌握設(shè)備的運(yùn)行狀態(tài)，能夠及時識別調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中可能發(fā)生的安全隱患，但很多發(fā)現(xiàn)都是基于已經(jīng)出現(xiàn)的事件，從側(cè)面反映問題，只實(shí)現(xiàn)對問題的快速監(jiān)測和識別，且事件的定義不能完全覆蓋很多隱患[5]。

2 研究思路

2.1 自動化推送SSH命令與采集回顯信息，程序化比對分析，實(shí)現(xiàn)防火墻設(shè)備安防配置主動分析

SSH 協(xié)議是專為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供的安全性協(xié)議，利用SSH協(xié)議可以有效的防止遠(yuǎn)程管理過程中的信息泄露問題，在進(jìn)行數(shù)據(jù)傳輸之前，SSH 先對聯(lián)機(jī)數(shù)據(jù)包通過加密技術(shù)進(jìn)行加密處理，加密后再進(jìn)行數(shù)據(jù)傳輸[6]。

通過網(wǎng)絡(luò)通道中傳送SSH 協(xié)議加密過的命令和防火墻返回的應(yīng)答信息，能夠?qū)崿F(xiàn)防火墻設(shè)備安防配置的主動分析，比如圖1所示，在以主機(jī)自動化推送命令和采集回顯信息的方案中，需要掃描主機(jī)首先通過SSH 協(xié)議發(fā)送登錄命令至防火墻設(shè)備，在登錄成功后通過輸入基線配置命令來獲取回顯結(jié)果，最后通過與基線配置規(guī)則模板進(jìn)行校驗(yàn)比對得出分析結(jié)果。

圖1：主動推送命令腳本檢測配置過程

圖2：定制自動巡檢任務(wù)功能截圖

在此基礎(chǔ)上，對防火墻設(shè)備安防配置檢測內(nèi)容的反饋信息增加邏輯研判及相關(guān)處置功能，即根據(jù)反饋信息中的相關(guān)內(nèi)容，按照自定義的邏輯處置功能，執(zhí)行相應(yīng)的操作。最終，融合防火墻設(shè)備安防配置數(shù)據(jù)獲取、問題分析判定方法，將設(shè)備安防配置策略與主動分析技術(shù)相結(jié)合，形成可編程可定義可識別的安防配置檢測策略，對防火墻設(shè)備安防配置問題進(jìn)行自動研判，并滿足可編程可自定義的要求。

2.2 結(jié)合主動網(wǎng)絡(luò)探測分析技術(shù)分析防火墻配置問題

對防火墻的配置進(jìn)行比對分析是直接分析對象的“白盒”方案，但是仍然有很多隱性問題通過“白盒分析”難以發(fā)現(xiàn)，卻可以通過側(cè)面或其他數(shù)據(jù)來反映防火墻的問題，比如多個防火墻之間的策略影響，通過直接分析配置難以較大，卻可以通過測試數(shù)據(jù)包是否通達(dá)的現(xiàn)象發(fā)現(xiàn)問題所在。因此，通過網(wǎng)絡(luò)主動探測發(fā)現(xiàn)防火墻安全配置的不足，如同軟件的黑盒測試一樣，可以更直接和快速的發(fā)現(xiàn)問題。

3 關(guān)鍵技術(shù)

表1：防火墻設(shè)備安防基線配置要求表

3.1 SSL主動腳本基線配置校驗(yàn)技術(shù)

根據(jù)當(dāng)前防火墻設(shè)備數(shù)量和配置檢查項(xiàng)多，調(diào)試設(shè)備策略變更閉環(huán)管理困難，需要人工逐一檢查核對、記錄，較為繁瑣，設(shè)計(jì)設(shè)備程序化的防火墻配置策略自動化檢測方案。該方案利用計(jì)算機(jī)模擬人工，按照規(guī)則自動進(jìn)行條件篩選，形成自動執(zhí)行的任務(wù)，自動發(fā)送命令并等待搜集設(shè)備回顯進(jìn)行判定。該任務(wù)支持安全配置基線掃描，能根據(jù)設(shè)備IP 列表、安防基線檢測項(xiàng)（參考表1 防火墻設(shè)備安防基線配置要求）、掃描周期等進(jìn)行檢查。開啟掃描任務(wù)后，會先檢測所需進(jìn)行的防火墻設(shè)備和安防基線檢測項(xiàng)，并將任務(wù)設(shè)置存入數(shù)據(jù)庫中，根據(jù)設(shè)置的掃描周期定時進(jìn)行掃描，在主站通過網(wǎng)絡(luò)以多個線程同時運(yùn)行，快速獲取設(shè)備內(nèi)部通信策略并替代人工進(jìn)行問題分析判定。在掃描完成后，根據(jù)獲取到的檢測信息與設(shè)置的信息結(jié)果相比較，看是否在需要的回顯結(jié)果范圍內(nèi)，并將檢測項(xiàng)的結(jié)果和該問題的修復(fù)處置方案添加進(jìn)報(bào)表中，短時間將所有設(shè)備最新狀態(tài)與問題顯示在報(bào)表中。

3.2 可編程柔性自動化技術(shù)

由于目前國內(nèi)外防火墻設(shè)備安防配置檢測策略需要支持的廠商、設(shè)備型號、設(shè)備類型較多且后期會不斷擴(kuò)增數(shù)量，通常這些不同廠商、類型的設(shè)備指令存在差異，研究并得出這些指令的共通之處是個難點(diǎn)，即需要在應(yīng)用中開展?jié)M足絕大部分防火墻設(shè)備指令的適配方法研究。

對于一些不能通用的指令可以通過建立一個設(shè)備與指令的對應(yīng)關(guān)系庫，將設(shè)備型號與指令關(guān)聯(lián)起來，指明那種設(shè)備型號對應(yīng)著那些指令，在進(jìn)行安防基線配置檢測時提前獲取設(shè)備型號，再根據(jù)設(shè)備型號查找相應(yīng)的檢測命令，最后通過檢測指令獲取基線配置獲取命令的回顯結(jié)果，再進(jìn)行校驗(yàn)。

3.3 與網(wǎng)絡(luò)探針的主動融合分析

網(wǎng)絡(luò)探針目前尚未由很明確的定義，從類型分主要包括測試探針和流量探針，從工作方式來看主要包括主動型探針和被動型探針，顧名思義，主動型探針是可以主動和定時的開展網(wǎng)絡(luò)性能、質(zhì)量測試的裝置或程序，實(shí)時性較強(qiáng)，而被動型探針是通過接入網(wǎng)絡(luò)后，通過流經(jīng)的流量或者外在設(shè)備對其反饋得出結(jié)論的裝置和程序，因此，探針的用途十分豐富和靈活。在防火墻分析方面，主動型探針可以通過預(yù)先定義或者輪詢的測試，發(fā)現(xiàn)單一通過防火墻基線配置規(guī)則校驗(yàn)難以發(fā)現(xiàn)的問題。

（1）可以解決不同域防火墻隱性沖突的發(fā)現(xiàn)困難問題。如果防火墻上下級或者橫向多域之間存在另一個或者多個防火墻，那么理清他們之間基于源、目的直接的端口和數(shù)據(jù)流訪問控制比較困難，存在相互沖突的可能，如上級防火墻限制的，下級防火墻放開，那么下級防火墻管理網(wǎng)絡(luò)的數(shù)據(jù)不可達(dá)問題排查就較困難和費(fèi)事；又如上級防火墻允許的，下級防火墻限制了，上級防火墻的配置問題也很難發(fā)現(xiàn)。通過不同域之間探針的主動可達(dá)測試，可以有效的發(fā)現(xiàn)這些問題，并通知管理人員。

（2）可主動定期對服務(wù)進(jìn)行訪問，可發(fā)現(xiàn)防火墻配置變更和薄弱部分對主機(jī)服務(wù)產(chǎn)生的影響。電網(wǎng)內(nèi)部服務(wù)較多，通過定期對服務(wù)的測試分析，可以有效的防止服務(wù)本身運(yùn)行異常、內(nèi)部局域網(wǎng)DDos 攻擊造成的響應(yīng)、防火墻DDos 攻擊配置不合規(guī)或未生效、防火墻配置后造成的應(yīng)用訪問IP 不可達(dá)等問題，及時的通知管理人員，及時更新，杜絕發(fā)生故障事后處理的現(xiàn)象。

（3）主動發(fā)現(xiàn)防火墻在數(shù)據(jù)流控制配置方面的漏洞。網(wǎng)內(nèi)軟件系統(tǒng)的大量部署并不總能保障不出現(xiàn)漏洞，通過主動探針進(jìn)行服務(wù)的發(fā)現(xiàn)和定向測試，可以快速告知管理員，建議其進(jìn)行防火墻訪問控制，最大限度減少風(fēng)險，為后期軟件與系統(tǒng)整改爭取時間。

（4）在保障安全的前提下，通過主動探針模擬少量異常報(bào)文、攻擊性報(bào)文測試穿透防火墻、看是否存在相應(yīng)告警與防護(hù)措施（比如入侵檢測是否配置或者入侵檢測策略是否有效），可以有效的發(fā)現(xiàn)網(wǎng)內(nèi)不足，后期通過升級改造或者配置優(yōu)化，杜絕以上問題。被動型探針可以對流量進(jìn)行精細(xì)化分析，由于防火墻對于合法的TCP數(shù)據(jù)流是放行的，所以難以發(fā)現(xiàn)合法地址流量的異常，比如攻擊者或者病毒程序，非法控制了某個合法終端的服務(wù)，發(fā)射探測數(shù)據(jù)的現(xiàn)象。針對特定服務(wù)的流量開展分析，能夠通過流量映射行為，分析來自客戶端外掛程序的頻繁訪問、異常訪問現(xiàn)象；也能發(fā)現(xiàn)測試性、探測類的黑客行為，形成告警提供給管理人員。

4 應(yīng)用情況分析

當(dāng)前，昆明供電局調(diào)度中心自動化班組需要運(yùn)維主站與廠站近百臺防火墻設(shè)備，運(yùn)維人員每次對所有防火墻設(shè)備的安防配置檢測需要逐個人工操作、效率低?，F(xiàn)場控制口接入操作方式需要監(jiān)控人員在筆記本手動輸入命令，查看回顯結(jié)果然后規(guī)則逐條比對，操作不方便，費(fèi)時費(fèi)力。按照這樣的檢查方式單臺設(shè)備每次進(jìn)行檢測需要大約1 個小時，所有設(shè)備全部檢測完成共計(jì)需要100 小時左右。

由于全面檢查費(fèi)時費(fèi)力，日常多通過管理手段控制，即對防火墻配置記錄，形成版本。由于缺乏及時主動的分析，每次對防火墻配置維護(hù)后，若產(chǎn)生配置冗余、沖突等問題，發(fā)現(xiàn)困難且分析解決時間長。防火墻設(shè)備安防基線主動分析方案在昆明供電局的應(yīng)用，從防火墻設(shè)備配置直接比對和其管理的網(wǎng)內(nèi)運(yùn)行現(xiàn)象側(cè)面分析，主動發(fā)現(xiàn)隱患和問題。日常實(shí)際應(yīng)用中，單臺防火墻設(shè)備配置讀取與分析時長控制在不超過1 分鐘，可以協(xié)助自動化工作人員快速精確的維護(hù)防火墻設(shè)備安防基線，提高自動化人員工作效能，大大減少人工重復(fù)勞動，有效提高調(diào)度自動化人員對防火墻設(shè)備安防維護(hù)和處置效率。

利用系統(tǒng)的自動巡檢功能，如圖2 可以對巡檢項(xiàng)目、巡檢頻率、巡檢開始時間進(jìn)行設(shè)置，自動開展掃描，根據(jù)管理需要，設(shè)置多個不同的巡檢任務(wù)，系統(tǒng)將自動開展分析，形成結(jié)果報(bào)告，減輕自動化運(yùn)維人員在防火墻安全基線管理這方面的工作壓力。

5 結(jié)束語

本文主要闡述防火墻設(shè)備安防基線配置數(shù)據(jù)主動獲取、問題分析與判定方法，將設(shè)備安防配置策略與主動分析技術(shù)相結(jié)合，形成可編程可定義可識別的安防配置檢測策略，對調(diào)防火墻設(shè)備安防基線配置問題進(jìn)行自動研判。同時，利用網(wǎng)絡(luò)探針在線主動探測技術(shù)，分析反映防火墻設(shè)備的基線安防配置情況，生成防火墻設(shè)備安全基線配置報(bào)告，輔助調(diào)度網(wǎng)絡(luò)運(yùn)維工作的開展。最終，形成多方位的防火墻安全防護(hù)配置主動分析應(yīng)用。同時，根據(jù)問題的安全等級（告知、嚴(yán)重、危急等）生成相應(yīng)的告知方式，提供一份全面的檢測處置報(bào)告及相關(guān)修復(fù)建議，從而有效的提高對防火墻設(shè)備安防配置正確性、網(wǎng)絡(luò)設(shè)備運(yùn)行穩(wěn)定性，保障電力調(diào)度數(shù)據(jù)網(wǎng)穩(wěn)定可靠運(yùn)行。