◆李繼勇 周迎輝 閆岳明

（1.中鐵信安（北京）信息安全技術(shù)有限公司 北京 100094；2.中國鐵路信息科技集團有限公司 北京 100844）

1 引言

1.1 研究背景

信息系統(tǒng)普遍存在于各行業(yè)網(wǎng)絡中，信息系統(tǒng)在使用的生命周期中不可避免會出現(xiàn)各種問題，需要對信息系統(tǒng)進行問題排查。此時，就需要用戶單位，甚至是信息系統(tǒng)開發(fā)廠商的人員到現(xiàn)場對信息系統(tǒng)進行運維工作，但由于運維中可接觸內(nèi)部網(wǎng)絡及關(guān)鍵信息數(shù)據(jù)，導致了運維中的各種安全風險，其突出體現(xiàn)在兩類：

（1）運維過程中不合規(guī)接入引入的風險：外部非可控計算機接入網(wǎng)絡，引入網(wǎng)絡攻擊風險；外部介質(zhì)接入計算機，引入病毒木馬；通過互聯(lián)網(wǎng)接入運維，引入攻擊風險。

（2）在線運維過程產(chǎn)生的風險：運維人員或計算機對業(yè)務服務器攻擊，破壞其可用性；核心業(yè)務服務被注入惡意代碼，竊取或破壞業(yè)務數(shù)據(jù)；以攻擊服務器為跳板，滲透攻擊內(nèi)部網(wǎng)絡。

以上風險在運維中都普遍存在，一般的解決辦法就是從管理和技術(shù)兩個角度考慮，管理角度會指定完善的運維規(guī)范和制度，采用限制互聯(lián)網(wǎng)運維，對現(xiàn)場維護履行登記審批手續(xù)，運維過程全程陪同等等方式；技術(shù)手段就是采用一定的安全控制措施，限制運維人員可接觸范圍及操作內(nèi)容等。

1.2 現(xiàn)狀及風險

目前國內(nèi)外典型的對運維安全的控制手段主要包括以下幾類：

（1）常規(guī)的訪問控制措施

指定運維人員在專門的網(wǎng)段計算機進行信息系統(tǒng)運維，通過交換機、防火墻等的訪問控制手段限制運維計算機只能訪問特定的信息系統(tǒng)。

（2）運維監(jiān)控系統(tǒng)

一般沒有專門針對運維的監(jiān)控產(chǎn)品，通過網(wǎng)絡審計、數(shù)據(jù)庫審計、應用審計等相關(guān)技術(shù)和產(chǎn)品，對關(guān)鍵信息系統(tǒng)及服務器的操作行為進行監(jiān)控審計，從中發(fā)現(xiàn)運維可能的風險。

（3）安全運維堡壘機[1]

這種產(chǎn)品是專門針對運維安全風險設(shè)計的，主要通過對運維協(xié)議的代理控制技術(shù)實現(xiàn)，在身份認證的基礎(chǔ)上，通過協(xié)議過濾、方法過濾、文件傳輸控制、錄屏審計等手段，一方面監(jiān)視運維的操作過程，另一方面對關(guān)鍵指令進行控制，研制運維人員的操作，避免越權(quán)訪問，達到安全運維控制效果。

以上運維控制技術(shù)手段雖然能緩解運維風險，但是隨著信息系統(tǒng)越來越復雜，運維方式越來越豐富，有時甚至需要應急進行互聯(lián)網(wǎng)運維等等情形，這些方式就存在不足：

（1）常規(guī)交換機、防火墻的訪問控制手段對運維協(xié)議無安全過濾措施，可形成無法控制風險的運維管道；

監(jiān)控手段并非專門為運維設(shè)計的，無法識別運維細節(jié)，無法實施細粒度的監(jiān)視及控制；

即使專門解決運維安全問題的運維堡壘機產(chǎn)品，也存在風險：

（2）代理風險：此類產(chǎn)品基于協(xié)議代理實現(xiàn)，運維協(xié)議（ssh、ftp 等）自身的安全風險無法阻斷，可被利用形成攻擊，尤其是在互聯(lián)網(wǎng)接入運維的情況下，這種風險更為突出；

運維過程中的上傳文件潛在的惡意病毒木馬可能感染被運維服務器，導致信息破壞及泄漏風險；

（3）自身風險：一旦堡壘機自身被攻擊，可被利用作為跳板攻擊內(nèi)部網(wǎng)絡。

鑒于目前運維技術(shù)面臨的風險，本文將研究一種新的安全運維控制技術(shù)，形成專用的、安全可控的運維通道，并基于此形成一套運維管控系統(tǒng)，實現(xiàn)安全的在線運維，甚至在互聯(lián)網(wǎng)下也可保障運維的安全可控。這項技術(shù)是一種基于單向傳輸，結(jié)合虛擬化技術(shù)的安全運維通道，在這種安全通道基礎(chǔ)上，將運維主機與操作主機分離，形成可控的運維環(huán)境，結(jié)合身份認證、操作控制、全程審計等技術(shù)實現(xiàn)對運維全過程的可視化管控，確保運維安全，保障被運維信息系統(tǒng)免受運維攻擊。

2 系統(tǒng)架構(gòu)與功能

2.1 系統(tǒng)架構(gòu)

系統(tǒng)分為4 層結(jié)構(gòu)，分別是基礎(chǔ)設(shè)施層、網(wǎng)絡防護層、應用防護層和運維對象層，同時監(jiān)控審計貫穿于各層。系統(tǒng)結(jié)構(gòu)如圖1 所示：

圖1 系統(tǒng)架構(gòu)圖

基礎(chǔ)設(shè)施層有服務器和網(wǎng)絡基礎(chǔ)設(shè)備組成，在基礎(chǔ)設(shè)施層的遠程終端都需要進行身份認證。網(wǎng)絡防護層提供訪問控制、邊界防護傳輸加密和單向隔離功能。應用防護層則提供用戶管理、身份認證、權(quán)限管理、運維代理等應用管理功能為運維對象提供支持。監(jiān)控審計則通過包括通過圖像捕獲技術(shù)，形成運維視頻記錄，對運維全程進行審計；實現(xiàn)運維視頻的查詢檢索功能，可按時間、人員、設(shè)備等多維度檢索；實現(xiàn)運維人員操作信息的捕獲及記錄，形成操作日志；實現(xiàn)運維操作日志的綜合審計；實現(xiàn)運維過程運維記錄的關(guān)聯(lián)分析及查詢，按時間軸回溯運維過程。

2.2 功能描述

系統(tǒng)虛擬桌面采用結(jié)合Linux 下的KVM 技術(shù)實現(xiàn)，在虛擬桌面內(nèi)部嵌入代理軟件，并與運維通道連接。系統(tǒng)運維人員通過右鍵快捷方式或者通過專用文件傳輸界面程序?qū)⑽募ㄟ^運維通道傳給操作主機。系統(tǒng)同時支持單個文件及批量文件的一次性傳輸，在傳輸過程中文件會受到安全過濾機制檢查。必要時操作主機還可以向運維主機單向傳輸文件，此時文件需要進行必要的安全檢查外還會經(jīng)過病毒掃描和人工審核以保證文件的安全上傳。

在安全控制功能方面系統(tǒng)實現(xiàn)了雙單向安全隔離、身份認證、運維審計、運維協(xié)議控制和文件內(nèi)容審查。

雙單向安全隔離通過構(gòu)造雙單向傳輸鏈路，將運維操作主機與運維主機物理隔離，切斷運維中的網(wǎng)絡協(xié)議，實現(xiàn)操作主機鍵盤、鼠標消息采集及傳輸，實現(xiàn)運維主機屏幕增量信息采集、傳輸及渲染展示，單向傳輸鏈路基于光單向技術(shù)實現(xiàn)，使用私有協(xié)議控制，實現(xiàn)運維通道的安全保障。

身份認證功能包含運維人員身份鑒別及管理員身份鑒別。運維人員管理通過注冊、注銷、更改、權(quán)限設(shè)置等，支持口令、證書、手機短信等認證方式；對內(nèi)部運維人員及外來運維人員進行統(tǒng)一管理以實現(xiàn)運維人員權(quán)限控制及限定可運維范圍。管理員身份鑒別則通過用戶名/口令的方式、基于數(shù)字證書的方式、支持硬件令牌的方式在管理員訪問系統(tǒng)時進行身份鑒別。

系統(tǒng)通過在單向柵欄設(shè)備部署實施運維協(xié)議過濾控制模塊，實現(xiàn)對FTP、SSH、HTTP、RDP 等運維協(xié)議的集中管理及控制，增強運維安全；同時支持授權(quán)啟用特定的運維協(xié)議；支持對運維協(xié)議命令、語法進行過濾，限制使用敏感方法；限制運維主機與被運維設(shè)備之間的文件傳輸。

系統(tǒng)還通過關(guān)鍵詞過濾、文件格式檢查、模糊查詢和病毒掃描方式對傳輸文件的內(nèi)容進行審查。

系統(tǒng)對運行內(nèi)容進行實時監(jiān)控功能，包括網(wǎng)絡接口監(jiān)視、CPU利用率監(jiān)視、內(nèi)存使用率監(jiān)視、網(wǎng)絡狀況監(jiān)視、硬件系統(tǒng)監(jiān)視、進程監(jiān)視、任務監(jiān)視等，并提供對監(jiān)控結(jié)果的多種圖表顯示方式。在審計方面則具備日志查詢、存儲并提供三權(quán)分立的審計功能，并支持系統(tǒng)日志上報，支持第三方軟件查看日志、支持日志分級和本機及遠程日志存儲，并提供對應用交換信息、安全控制信息、系統(tǒng)日志信息的記錄及審計功能。

3 關(guān)鍵技術(shù)

3.1 單向運維技術(shù)

本研究使用的單向運維技術(shù)的實現(xiàn)原理如圖2 所示：

圖2 單向運維技術(shù)原理

本技術(shù)將運維過程涉及的各個部份分為操作主機、單向運維通道、運維主機及運維對象，其中：

（1）操作主機：運維人員實際使用的計算機，運維人員通過該計算機進行運維操作，實現(xiàn)對運維對象的運維工作；

（2）單向運維通道：基于單向傳輸技術(shù)，通過雙單向傳輸架構(gòu)實現(xiàn)的安全運維通道，確保操作主機與運維主機之間的有效隔離，實現(xiàn)信息的單向傳輸；

（3）運維主機：進行實際運維操作的主機，運維人員在操作主機上的操作將由運維主機進行操作代理，實際的操作動作由運維主機執(zhí)行，運維結(jié)果展示也由運維主機反饋給操作主機；

（4）運維對象：被運維的目標信息系統(tǒng)，運維主機通過網(wǎng)絡實現(xiàn)對運維對象的操作，達到運維的目的。

為了實現(xiàn)單向通道下無協(xié)議的運維，其核心是操作主機的鍵盤、鼠標操作過程傳遞給運維主機釋放，運維主機的操作結(jié)果顯示信息傳輸給操作主機釋放，傳輸通道基于無協(xié)議的雙單向通道實現(xiàn)。

為此，在操作主機上具有鼠標鍵盤捕獲模塊及屏幕信息渲染展示模塊，其中鼠標鍵盤捕獲模塊負責實時獲取操作主機的鼠標及鍵盤操作，將操作信息進行記錄，并攔截操作在本地的釋放，然后將鼠標鍵盤操作信息發(fā)送給單向運維通道。屏幕信息渲染展示模塊負責接收單向運維通道發(fā)送過來的屏幕顯示信息，并解壓后進行屏幕渲染及顯示。

單向運維通道包含兩個單向傳輸通道，一個是操作主機向運維主機鼠標鍵盤信息傳輸通道，稱為鼠鍵通道；另一個是運維主機向操作主機的顯示信息傳輸通道，稱為顯示通道。兩個傳輸通道基于單向光信號通信原理實現(xiàn)，鼠鍵通道可基于光對管等低帶寬傳輸機制實現(xiàn)，在適應鼠標鍵盤消息傳輸?shù)耐瑫r，防止高帶寬下惡意信息傳輸風險，增強攻擊難度，顯示通道基于單向光模塊實現(xiàn)，高帶塊適應顯示信息的高效傳輸。鼠鍵通道與顯示通道均采用無協(xié)議的數(shù)據(jù)傳輸機制，避免網(wǎng)絡協(xié)議的攻擊風險。為了保證運維過程安全，在單向運維通道中傳輸信息的無協(xié)議單向傳輸外，還實現(xiàn)以下安全機制：

（1）鼠鍵信息過濾：進行操作主機傳輸信息檢查，確保只有鼠標及鍵盤信息能進行傳輸，其余信息一律拒絕；

（2）顯示信息過濾：進行運維主機傳輸信息檢查，只有運維主機的屏幕捕獲圖片信息能傳輸，其余信息一律拒絕。

在運維主機上具有鼠標鍵盤釋放模塊及屏幕信息捕獲模塊，其中鼠標鍵盤釋放模塊負責接收單向運維通道發(fā)動的操作主機的實際鼠標鍵盤操作信息，并在本地操作系統(tǒng)中釋放，成為本地的鼠標鍵盤操作。當運維主機對運維對象運維時，本地操作系統(tǒng)將顯示運維屏幕信息，屏幕信息捕獲模塊負責對運維屏幕進行捕獲，形成運維顯示信息，并通過單向運維通道發(fā)送給操作主機。為了提升運維屏幕捕獲及傳輸效率，可采用增量捕獲方式，減少捕獲信息量。另外，為了提供流暢的顯示效果，大約按每秒鐘30 張顯示鏡像的頻率進行捕獲。

3.2 基于虛擬化的在線運維技術(shù)

按如上的技術(shù)原理就實現(xiàn)了運維人員通過操作主機對運維對象的整個運維過程，其運維的流程如圖3：

圖3 運維過程流程圖

運維過程如下：

（1）運維人員通過鼠標鍵盤在操作主機上進行操作；

（2）操作主機上的鼠標鍵盤捕獲模塊自動捕獲運維人員的鼠鍵信息；

（3）操作主機將鼠鍵信息傳輸給單向運維通道，單向運維通道對鼠鍵進行安全過濾檢查；

（4）檢查不通過拒絕傳輸并告警，檢查通過，則將鼠鍵信息通過單向通道傳輸給運維主機；

（5）運維主機解析鼠鍵信息，并在本地進行釋放，達到對運維對象進行遠程操作的目的；

（6）運維主機操作運維對象后的顯示信息自動被運維主機的屏幕信息捕獲模塊增量捕獲，形成一幀幀的屏幕顯示圖片信息，這些信息通過運維主機發(fā)送給單向運維通道；

（7）單向運維通道對運維顯示信息進行過濾檢查，如不符合要求，拒絕傳輸并告警，如符合要求，屏幕信息通過單向通道傳輸給操作主機；

（8）操作主機接收屏幕信息并在本地進行渲染及展示，使得運維人員實時看到運維效果。

在某些運維場景中，往往同時會有多個人對相同或不同的運維對象進行運維，此時，可以采用如圖4 所示架構(gòu)進行運維。

圖4 多主機運維結(jié)構(gòu)

該模式下，運維主機將不是一個獨立的計算機，運維主機將由多個虛擬機[3]構(gòu)成，每個虛擬機具有獨立的操作系統(tǒng)，可成為獨立的運維主機。在使用時，每一臺操作主機與一個虛擬機對應，形成一對一的運維關(guān)系。根據(jù)操作主機的數(shù)量可以靈活擴展運維虛擬機的數(shù)量。單向運維通道可以由一臺設(shè)備組成，也可以適應更多主機運維，由多臺設(shè)備以集群方式部署。此模式通過橫向擴展，理論上可支持任意數(shù)量的操作主機同時進行運維工作。

為了進一步提升運維過程的安全，在單向無協(xié)議運維機制下可在運維主機與運維對象之間部署堡壘機產(chǎn)品，通過對運維協(xié)議的深度檢查及過濾，提升運維整體的可控性。

4 總結(jié)

相比于目前業(yè)界最安全的運維控制手段就是采用運維堡壘機產(chǎn)品，本次研究具有以下優(yōu)勢：

（1）運維數(shù)據(jù)不落地，確保運維信息安全。

可確保運維人員只能在操作主機上對運維對象進行運維，運維過程的任何數(shù)據(jù)只能在運維主機落地存儲，在操作主機上的僅是屏幕顯示信息。運維人員無法在操作主機上獲取任何運維中的數(shù)據(jù)信息，確保運維信息的泄密保護。

（2）運維過程無協(xié)議，防止網(wǎng)絡攻擊。

采用無協(xié)議運維技術(shù)，在操作主機與運維主機之間僅通過單向通道，采用非網(wǎng)絡協(xié)議傳輸鼠標鍵盤及屏幕顯示信息，運維過程中實際的運維協(xié)議（如SSH、FTP、HTTP 等）只在運維主機與運維對象之間傳輸，操作主機與運維主機間無任何協(xié)議，杜絕任何基于網(wǎng)絡協(xié)議的攻擊行為，避免運維協(xié)議的安全漏洞導致對運維對象的攻擊風險。

（3）基于單向運維架構(gòu)，確保結(jié)構(gòu)安全。

雙單向架構(gòu)實現(xiàn)操作主機與運維主機之間的隔離，單向通道無法傳輸網(wǎng)絡協(xié)議，兩個單向通道分離，采用不同單向技術(shù)，且其中一個單向通道采用窄帶傳輸技術(shù)，攻擊者很難利用，即使單向運維通道面向操作主機這一端被攻擊者攻破，攻擊者也無法利用單向通道向運維主機發(fā)起攻擊，確保整體運維結(jié)構(gòu)的安全。

本運維可廣泛應用于政府、軍隊軍工、企事業(yè)單位及其他對關(guān)鍵應用、服務器進行安全運維的場景，實現(xiàn)外部人員及內(nèi)部人員對關(guān)鍵設(shè)施運維全過程的可視、可控、可管。