李鶴鳴 顧士書

1. 皖能合肥發(fā)電有限公司 安徽 合肥 230041；2. 科大國(guó)創(chuàng)軟件有限公司 安徽 合肥 230088

發(fā)電企業(yè)內(nèi)部網(wǎng)絡(luò)按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》要求，分為管理信息大區(qū)與生產(chǎn)控制大區(qū)。兩種網(wǎng)絡(luò)區(qū)域之間必須采用網(wǎng)閘進(jìn)行物理隔離。因通常只有管理信息大區(qū)與互聯(lián)網(wǎng)相連，受攻擊的風(fēng)險(xiǎn)較為突出，本文主要探討管理信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作[1]。

1 零信任安全體系基本原則

近年來(lái)，隨著永恒之藍(lán)等0day系統(tǒng)漏洞的利用，各種勒索病毒的流行，加上一些境外黑客組織針對(duì)性的滲透攻擊。發(fā)電企業(yè)的網(wǎng)絡(luò)安全，面臨著前所未有的挑戰(zhàn)。筆者所在單位對(duì)網(wǎng)絡(luò)安全工作較為重視，已在管理信息系統(tǒng)網(wǎng)絡(luò)中先后部署了SSL VPN設(shè)備、WEB應(yīng)用防護(hù)裝置、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、網(wǎng)絡(luò)行為管理系統(tǒng)、綜合業(yè)務(wù)監(jiān)管平臺(tái)、運(yùn)維管理審計(jì)系統(tǒng)、入侵防御系統(tǒng)、日志分析及審計(jì)系統(tǒng)、工控統(tǒng)一安全管理平臺(tái)、災(zāi)備系統(tǒng)并實(shí)現(xiàn)了異地備份。然而很多傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品，例如WEB應(yīng)用防護(hù)裝置（WAF）、入侵防御系統(tǒng)，都是對(duì)網(wǎng)絡(luò)上的行為特征按照預(yù)定的規(guī)則庫(kù)進(jìn)行對(duì)照匹配，識(shí)別出“壞人”進(jìn)而進(jìn)行行為阻斷。其規(guī)則庫(kù)原理是通過(guò)日積月累的“壞人庫(kù)”來(lái)勾畫各種“壞人”的特征。遺憾的是，海量的“壞人”特征依然無(wú)法幫我們識(shí)別出所有的“壞人”，內(nèi)網(wǎng)安全態(tài)勢(shì)仍然處在岌岌可危的情景之下。零信任安全的關(guān)鍵原則就是從不同的角度去看待“壞人”，我們不用去勾畫“壞人”的特征，只需要勾畫“好人”的特征，不符合“好人”特征的就默認(rèn)其為“壞人”即可。因?yàn)槔碚撋蟻?lái)說(shuō)，“壞人”的特征是無(wú)法窮盡的，而在特定場(chǎng)景下“好人”的特征則是可以窮盡的。采取白名單規(guī)則的思路可以更好地保障數(shù)據(jù)安全和業(yè)務(wù)安全。為了進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，以零信任體系為思想，結(jié)合本單位的實(shí)際情況，筆者做了具體的規(guī)劃與設(shè)置[2]。

2 零信任安全體系實(shí)踐

2.1 對(duì)內(nèi)部網(wǎng)絡(luò)零信任——管理信息系統(tǒng)網(wǎng)絡(luò)的分區(qū)

傳統(tǒng)發(fā)電企業(yè)管理信息網(wǎng)絡(luò)中的防火墻僅部署在互聯(lián)網(wǎng)出口處作為隔離。這種拓?fù)涞娜秉c(diǎn)是，重要信息系統(tǒng)服務(wù)器和普通辦公電腦同處一個(gè)網(wǎng)絡(luò)區(qū)域中。如果辦公電腦被網(wǎng)絡(luò)蠕蟲感染或被黑客滲透，則對(duì)服務(wù)器產(chǎn)生直接威脅。因此，需要對(duì)內(nèi)網(wǎng)施行 “零信任”。筆者將所有重要服務(wù)器劃分到一個(gè)單獨(dú)的網(wǎng)絡(luò)區(qū)域中，并在WEB應(yīng)用防護(hù)裝置之前添加部署一臺(tái)網(wǎng)絡(luò)防火墻（服務(wù)器區(qū)防火墻）將其與辦公電腦網(wǎng)絡(luò)之間做安全隔離。筆者稱此區(qū)域?yàn)椤胺?wù)器區(qū)”，相對(duì)于“辦公網(wǎng)絡(luò)區(qū)”而言屬于可信白名單區(qū)域。

2.2 對(duì)網(wǎng)絡(luò)設(shè)備零信任——聯(lián)網(wǎng)設(shè)備的地址綁定

為網(wǎng)絡(luò)中每一臺(tái)聯(lián)網(wǎng)設(shè)備一個(gè)“身份證”，配置固定的IP地址，并做好IP/MAC的靜態(tài)綁定工作。以此為基礎(chǔ)，可進(jìn)行進(jìn)一步精細(xì)化的策略設(shè)置。未登記綁定的設(shè)備一律零信任不允許聯(lián)網(wǎng)。此為聯(lián)網(wǎng)設(shè)備的白名單機(jī)制。

2.3 對(duì)辦公網(wǎng)絡(luò)區(qū)零信任——服務(wù)器區(qū)防火墻的精細(xì)化設(shè)置

因已實(shí)現(xiàn)所有聯(lián)網(wǎng)設(shè)備身份綁定，故可在“服務(wù)器區(qū)防火墻”中以“最小化權(quán)限”為原則設(shè)置精細(xì)化的包過(guò)濾規(guī)則，白名單只允許“特定的IP地址”訪問(wèn)“特定的服務(wù)器”的“特定端口”。在網(wǎng)絡(luò)第三層做到“服務(wù)IP端口-用戶IP綁定”。白名單規(guī)則以外的網(wǎng)絡(luò)行為一律拒絕。設(shè)置以后，即使辦公區(qū)的某一臺(tái)計(jì)算機(jī)因防護(hù)不力被感染或滲透，已無(wú)法直接對(duì)服務(wù)器區(qū)的重要設(shè)備產(chǎn)生直接威脅[3-5]。

2.4 對(duì)服務(wù)器區(qū)零信任——操作系統(tǒng)防火墻的精細(xì)化設(shè)置

在服務(wù)器區(qū)的每一臺(tái)服務(wù)器上，均開啟操作系統(tǒng)級(jí)的軟件防火墻，同樣以白名單方式進(jìn)行精細(xì)設(shè)置，仍按“最小化權(quán)限”為原則做到“服務(wù)IP端口-用戶IP綁定”。不但增強(qiáng)了服務(wù)器對(duì)系統(tǒng)級(jí)漏洞的抵御能力。即使某一臺(tái)服務(wù)器被成功滲透，也無(wú)法直接波及其他服務(wù)器。為網(wǎng)絡(luò)攻防戰(zhàn)役贏得時(shí)間，減少損失。

2.5 移動(dòng)辦公的零信任安全——雙層反向代理

網(wǎng)絡(luò)安全威脅最主要的渠道來(lái)自互聯(lián)網(wǎng)，因此發(fā)電企業(yè)的內(nèi)網(wǎng)信息系統(tǒng)是不允許對(duì)互聯(lián)網(wǎng)直接提供服務(wù)的。單位部署了SSLVPN設(shè)備來(lái)滿足部分遠(yuǎn)程辦公的需求。然而，在實(shí)際工作中，筆者發(fā)現(xiàn)VPN設(shè)備并不適合移動(dòng)設(shè)備接入使用，VPN協(xié)議在建立連接時(shí)耗費(fèi)大量的資源，用戶需要等待數(shù)秒甚至數(shù)十秒直到連接完成。在桌面環(huán)境，一旦建立VPN連接，短時(shí)間內(nèi)不會(huì)需要重連，用戶還可以接受這種連接耗時(shí)。但對(duì)于移動(dòng)設(shè)備來(lái)說(shuō)，每當(dāng)用戶的設(shè)備息屏進(jìn)入睡眠狀態(tài)時(shí)，VPN都將中斷并必須重新連接。此外，移動(dòng)應(yīng)用程序并不能識(shí)別VPN連接狀態(tài)的改變，因此當(dāng)VPN重新連接時(shí)，應(yīng)用程序的響應(yīng)速度可能會(huì)受到較大影響，甚至導(dǎo)致程序掛起失去響應(yīng)，用戶體驗(yàn)極差。這就需要一種新的安全方法來(lái)滿足移動(dòng)應(yīng)用程序遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)信息的要求。筆者所采用的方式是采用雙層反向代理：將移動(dòng)應(yīng)用程序服務(wù)器建立在云端，采用云的保護(hù)來(lái)進(jìn)行網(wǎng)絡(luò)流量的過(guò)濾并實(shí)現(xiàn)第一層反向代理，對(duì)移動(dòng)應(yīng)用客戶端隱藏企業(yè)的內(nèi)網(wǎng)位置信息；在企業(yè)內(nèi)網(wǎng)部署應(yīng)用服務(wù)代理系統(tǒng)，對(duì)請(qǐng)求進(jìn)行第二層反向代理。通過(guò)雙層反向代理，無(wú)需向互聯(lián)網(wǎng)暴露內(nèi)網(wǎng)服務(wù)器的任何端口，即可將內(nèi)網(wǎng)信息系統(tǒng)數(shù)據(jù)拉取至云端服務(wù)器反饋給移動(dòng)應(yīng)用客戶端。此外，按照零信任的原則，應(yīng)用服務(wù)代理服務(wù)器并不用建設(shè)在服務(wù)器區(qū)。服務(wù)器區(qū)防火墻將其視為普通內(nèi)網(wǎng)用戶終端，不給其任何訪問(wèn)的特權(quán)。在邊界防火墻上則設(shè)定白名單規(guī)則僅允許云服務(wù)器對(duì)其代理端口進(jìn)行訪問(wèn)，仍然符合“服務(wù)IP端口-用戶IP綁定”的具體要求[6-8]。

3 零信任安全體系實(shí)施結(jié)果

按照以保障“服務(wù)器區(qū)安全”為目標(biāo)，以零信任為思想體系，以第三方安全設(shè)備為基礎(chǔ)，以精細(xì)化規(guī)則設(shè)置為手段，以自主研發(fā)軟件系統(tǒng)為支持，從互聯(lián)網(wǎng)到云服務(wù)，從云端到互聯(lián)網(wǎng)邊界，從邊界防火墻到應(yīng)用服務(wù)代理系統(tǒng)，從應(yīng)用服務(wù)代理到服務(wù)器區(qū)防火墻，從服務(wù)器區(qū)防火墻再到服務(wù)器操作系統(tǒng)防火墻，層層設(shè)防，處處零信任。最大程度的降低網(wǎng)絡(luò)滲透攻擊的風(fēng)險(xiǎn)[9]。（見圖1）

圖1 網(wǎng)絡(luò)安全多層級(jí)防護(hù)示意圖

4 結(jié)束語(yǔ)

本文對(duì)在零信任安全體系下，發(fā)電企業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)多層級(jí)安全防護(hù)的思路與實(shí)踐方式進(jìn)行歸納與總結(jié)，希望能為網(wǎng)絡(luò)安全工作的思路起到拋磚引玉的效果。