摘 要 隨著智能電網(wǎng)不斷發(fā)展，電力企業(yè)傳統(tǒng)隔離網(wǎng)絡(luò)的邊界不斷動態(tài)調(diào)整，存在著物理隔離網(wǎng)絡(luò)被跨網(wǎng)入侵這一重大隱患風(fēng)險。因此，確保電力信息網(wǎng)絡(luò)邊界完整性，實現(xiàn)內(nèi)外網(wǎng)邊界可感、可視和可知是電力企業(yè)安全防護迫切需要解決的難題。本文針對邊界安全出現(xiàn)的新問題新隱患，通過對網(wǎng)絡(luò)邊界鏈路，端口，設(shè)備等邊界節(jié)點的全方位安全要素獲取、分析、展示和處置，實現(xiàn)了對電力企業(yè)網(wǎng)絡(luò)邊界違規(guī)內(nèi)聯(lián)檢測、定位與阻斷控制，系統(tǒng)的應(yīng)用顯著提升了電力企業(yè)網(wǎng)絡(luò)安全的風(fēng)險管控能力和安全防護能力。

【關(guān)鍵詞】違規(guī)內(nèi)聯(lián) 邊界完整性 協(xié)同防御

1 引言

網(wǎng)絡(luò)應(yīng)用技術(shù)的飛速發(fā)展給網(wǎng)絡(luò)安全帶來了極大的挑戰(zhàn)，一方面網(wǎng)絡(luò)安全技術(shù)已成為網(wǎng)絡(luò)應(yīng)用的制約因素和性能瓶頸，另一方面人們對網(wǎng)絡(luò)安全的認(rèn)識受傳統(tǒng)意識的影響和商業(yè)化氛圍的影響，存在較大的片面性和局限性，使得網(wǎng)絡(luò)安全的形勢不容樂觀。同時，非授權(quán)設(shè)備（無線AP、隨身Wi-Fi等）違規(guī)內(nèi)聯(lián)行為會大大擴展和破壞已有的網(wǎng)絡(luò)邊界，使得原本清晰的網(wǎng)絡(luò)邊界變得模糊和難以管控，會給企業(yè)現(xiàn)有內(nèi)部網(wǎng)絡(luò)帶來巨大安全風(fēng)險，使得在邊界防護方面的努力付出和巨額投入都可能功虧一簣。

電網(wǎng)作為我國關(guān)鍵基礎(chǔ)設(shè)施，其安全性是影響國家經(jīng)濟社會發(fā)展的全局性、戰(zhàn)略性問題之一，因此，電網(wǎng)網(wǎng)絡(luò)信息安全已成為國家安全的重要組成部分?！盎ヂ?lián)網(wǎng)+“業(yè)務(wù)不斷推動和提升電力企業(yè)生產(chǎn)、運行和經(jīng)營管理水平，電力企業(yè)網(wǎng)絡(luò)邊界不斷發(fā)生變化和調(diào)整，無線Wi-Fi及智能終端技術(shù)的發(fā)展，使得網(wǎng)絡(luò)邊界遭受破壞的概率大幅提升，且隱蔽性極強，私接無線設(shè)備可使得網(wǎng)絡(luò)邊界完整性輕易遭受破壞，我們需要一種行之有效的檢測技術(shù)和方法，能夠有效識別非授權(quán)接入的無線AP及隨身Wi-Fi等設(shè)備，同時提供針對違規(guī)接入設(shè)備的快速網(wǎng)絡(luò)定位及阻斷控制，可有效彌補當(dāng)前網(wǎng)絡(luò)違規(guī)內(nèi)聯(lián)檢測、定位以及阻斷控制能力的不足，加強和保護企業(yè)現(xiàn)有內(nèi)部網(wǎng)絡(luò)的邊界安全。

2 網(wǎng)絡(luò)邊界面臨的問題

隨著智能電網(wǎng)建設(shè)的不斷深入，電力信息網(wǎng)絡(luò)逐漸成為承載電力企業(yè)生產(chǎn)、營銷與企業(yè)經(jīng)營管理關(guān)鍵基礎(chǔ)平臺。現(xiàn)如今，電力網(wǎng)絡(luò)組成了一個邊界巨大、多樣的泛在廣域網(wǎng)絡(luò)，使得電力行業(yè)整體面臨著隨之而來的各種網(wǎng)絡(luò)與信息安全攻擊與威脅，功能強大的勒索病毒、變化多樣的非法入侵方式，不斷暴露出的安全漏洞極大地增強了電力企業(yè)網(wǎng)絡(luò)安全風(fēng)險，面對這些風(fēng)險，建立一個可感、可知、可視的邊界環(huán)境是做好安全防御的第一道門檻，只有安全的、完整的網(wǎng)絡(luò)邊界才能阻止非法的網(wǎng)絡(luò)入侵和訪問，建立相對良好的網(wǎng)絡(luò)安全環(huán)境。

目前在網(wǎng)絡(luò)邊界安全防御中，存在不能有效的感知一個運行網(wǎng)絡(luò)中邊界狀態(tài)的問題，而網(wǎng)絡(luò)中任意的接入導(dǎo)致網(wǎng)絡(luò)邊界發(fā)生變化，從而引發(fā)越來越嚴(yán)峻的網(wǎng)絡(luò)安全問題。主要問題體現(xiàn)在以下幾點：

2.1 原有網(wǎng)絡(luò)邊界遭到成倍放大和破壞

私接設(shè)備尤其是私自將無線AP接入到內(nèi)部網(wǎng)絡(luò)，使得本應(yīng)局限在內(nèi)部建筑的網(wǎng)絡(luò)邊界，直接輻射到以建筑為核心的方圓50米甚至更遠的距離，大大擴展及破壞了內(nèi)網(wǎng)已有的網(wǎng)絡(luò)邊界，使得內(nèi)部網(wǎng)絡(luò)遭受攻擊以及侵入的風(fēng)險急劇增加，其危害相較于非法外聯(lián)，引發(fā)的安全風(fēng)險甚至更高。

2.2 易遭受入侵，安全風(fēng)險極高

很多私接設(shè)備（如手機、平板等）的安全性本身很差，運行的應(yīng)用魚龍混雜，接入內(nèi)部網(wǎng)絡(luò)后，容易帶入病毒或木馬等，風(fēng)險極高。其次，私接的無線AP雖提供了一定的安全措施，但常因使用者的安全意識及技術(shù)水平的限制，無法充分發(fā)揮AP自身的安全防護能力，加上AP常用的WEP加密的脆弱性，使得AP很容易遭受攻擊和破解，外部入侵者可以輕易的在方圓50米甚至更遠的距離上，通過破解以及欺騙的手段，通過AP直接侵入內(nèi)部網(wǎng)絡(luò)，輕易對內(nèi)部網(wǎng)絡(luò)實施其破壞行為。

2.3 難以監(jiān)管，管理者很難發(fā)現(xiàn)私接設(shè)備的行為

對于網(wǎng)絡(luò)內(nèi)部還存在HUB或者類似HUB接入的網(wǎng)絡(luò)，針對私接路由設(shè)備的監(jiān)管非常困難，管理者很難區(qū)分清楚這些提供HUB接入的設(shè)備是合法的還是私接的。

更難以監(jiān)管是通過NAT方式接入的路由設(shè)備，包括隨身Wi-Fi設(shè)備，即使管理者通過MAC和設(shè)備端口綁定的方式進行限制，建立了基于802.1X的接入控制體系，此類設(shè)備仍可通過欺騙等手段方便的接入，這種接入的隱蔽性和欺騙性，使得管理者難以發(fā)現(xiàn)，更談不上監(jiān)管。

3 系統(tǒng)的總體架構(gòu)設(shè)計

貴州電網(wǎng)有限責(zé)任公司貴陽供電局于2017年啟動了從保護企業(yè)內(nèi)部現(xiàn)有網(wǎng)絡(luò)邊界完整性、降低信息安全事件發(fā)生概率、彌補安全管理上的不足、完善安全管理體制建設(shè)等方面入手的網(wǎng)絡(luò)邊界違規(guī)內(nèi)聯(lián)檢測、定位與阻斷系統(tǒng)的應(yīng)用研究工作。

系統(tǒng)包括主掃描檢測系統(tǒng)（包括主掃描引擎系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和前臺用戶管理系統(tǒng)三部分）和無線掃描探針系統(tǒng)共兩大部分，總體采用B/S架構(gòu)。如圖1所示。

3.1 掃描檢測系統(tǒng)

掃描檢測系統(tǒng)包括主掃描引擎系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和前臺用戶管理系統(tǒng)三部分，主要負(fù)責(zé)對電力信息網(wǎng)監(jiān)控范圍內(nèi)的設(shè)備進行常規(guī)輪詢式的遠程掃描，針對違規(guī)事件進行發(fā)現(xiàn)、報警、存儲以及對于違規(guī)事件的應(yīng)急響應(yīng)。該系統(tǒng)部署于需監(jiān)控的內(nèi)部網(wǎng)絡(luò)，與監(jiān)控對象網(wǎng)絡(luò)無阻礙可達即可。在網(wǎng)絡(luò)邊界守護中邊界節(jié)點主要涵蓋網(wǎng)絡(luò)中接入層設(shè)備與終端，網(wǎng)絡(luò)設(shè)備異常狀態(tài)的監(jiān)測主要依靠SNMP協(xié)議中Trap信息來掃描完成；而網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化的監(jiān)測則通過掃描網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，將掃描到的實時網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與網(wǎng)絡(luò)基準(zhǔn)拓?fù)浣Y(jié)構(gòu)作比對，定位拓?fù)浣Y(jié)構(gòu)發(fā)生改變的位置。

3.2 無線掃描探針系統(tǒng)

無線掃描探針系統(tǒng)單獨部署在Win8/Win10平板電腦或筆記本電腦上，主要負(fù)責(zé)無線Wi-Fi信號的自動收集，包括SSID、MAC地址、信號強度、加密方式等，包括未廣播的SSID也要進行識別和收集。作為技術(shù)補充，對于已經(jīng)建立電力企業(yè)無線局域網(wǎng)的用戶，可以通過與AC聯(lián)動直接獲取流氓AP的相關(guān)信息，實現(xiàn)與Cisco、華為、華三以及銳捷AC等主流網(wǎng)絡(luò)控制設(shè)備聯(lián)動。endprint

4 研究過程中主要技術(shù)運用

4.1 NAT接入設(shè)備的遠程掃描識別技術(shù)

UDP掃描最大的問題就是準(zhǔn)確率不高，如何保證UDP端口掃描的準(zhǔn)確性；個人終端安裝的防火墻是否會對檢測結(jié)果產(chǎn)生影響，如何降低防火墻對檢測效果的影響；過度掃描會影響掃描效率，在檢測包種類和數(shù)量有限前提下，如何高效準(zhǔn)確識別遠程主機的操作系統(tǒng)類型等；系統(tǒng)綜合TCP/UDP端口掃描技術(shù)、遠程操作系統(tǒng)識別技術(shù)、防火墻是否開啟的甄別技術(shù)，綜合上述技術(shù)來綜合甄別路由設(shè)備是否經(jīng)過NAT方式接入。無線AP或小型路由設(shè)備多數(shù)通過NAT（地址轉(zhuǎn)換）方式接入網(wǎng)絡(luò)，尤其是經(jīng)過MAC克隆方式違規(guī)接入，管理者很難區(qū)分和鑒別，通過此技術(shù)可以進行實現(xiàn)以NAT方式接入的違規(guī)路由設(shè)備的進行快速檢測。

4.2 大規(guī)模網(wǎng)絡(luò)的快速掃描和探測技術(shù)

在保證掃描效率的前提下，系統(tǒng)需要完成IP地址是否在線的ICMP檢測、通過SNMP自動發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備并完成IP-MAC收集、主機名掃描、TCP端口掃描、UDP端口掃描、操作系統(tǒng)識別等一系列工作，如何保證和優(yōu)化掃描效率是技術(shù)難點。在不影響網(wǎng)絡(luò)性能的基礎(chǔ)上，系統(tǒng)提供的多線程并發(fā)掃描機制，綜合ICMP、SNMP、TCP等多種掃描檢測技術(shù)，實現(xiàn)網(wǎng)絡(luò)內(nèi)部節(jié)點的快速準(zhǔn)確的掃描探測。

4.3 交換機的下聯(lián)端口定位技術(shù)

該技術(shù)的最大難點在于提供兼容性支持，因為不同廠商、甚至同一廠商不同類型的交換設(shè)備關(guān)于端口定位的內(nèi)部處理技術(shù)都不盡相同，這就需要提供最大限度的設(shè)備兼容性，兼容主流的交換設(shè)備類型：Cisco、華為、華三、銳捷、3COM、北電、邁普等。解決違規(guī)接入設(shè)備的定位問題，利用SNMP進行網(wǎng)絡(luò)交換設(shè)備的下聯(lián)端口定位，該技術(shù)需要綜合IP地址資源管理技術(shù)，直接完成網(wǎng)絡(luò)交換設(shè)備端口和下聯(lián)IP的自動關(guān)聯(lián)定位。相對于無線Wi-Fi定位，該定位更為直接，而且易于管控。

4.4 IP回溯技術(shù)

該技術(shù)的最大難點在于將IP地址的使用和網(wǎng)絡(luò)接入完成了自動關(guān)聯(lián)，即可根據(jù)時間點，確認(rèn)某一IP地址在此時間點所對應(yīng)的MAC地址，以及在該時間點該MAC所連接的交換機端口；由于IP地址的可變性，使得在根據(jù)IP進行定位時，如果不考慮時間特性，定位結(jié)果容易出現(xiàn)嚴(yán)重偏離，尤其是實行DHCP進行IP管理的網(wǎng)絡(luò)，IP的時間特性必須要納入。IP回溯技術(shù)綜合了IP地址使用的審計功能和網(wǎng)絡(luò)接入的審計，通過詳細記錄每一MAC使用不同IP地址的時段，使得每一IP的使用都有其時間特性，結(jié)合網(wǎng)絡(luò)接入審計，可以根據(jù)IP和時間點，關(guān)聯(lián)該IP在該時間點被哪個MAC地址在用，網(wǎng)絡(luò)的接入位置在哪個交換機端口。

4.5 拓?fù)渥詣影l(fā)現(xiàn)技術(shù)

該技術(shù)最大難點在于拓?fù)涞牟季?，尤其針對電力企業(yè)大型網(wǎng)絡(luò)，拓?fù)淙绾尾季?，如何在拓?fù)渲羞M行可視化的網(wǎng)絡(luò)定位和管理；其次是拓?fù)涞淖晕艺{(diào)整，包括拓?fù)涞淖詣诱{(diào)整和人工調(diào)整，使得拓?fù)涞恼故靖咏咏脩魧嶋H網(wǎng)絡(luò)拓?fù)?。提供網(wǎng)絡(luò)拓?fù)涞淖詣影l(fā)現(xiàn)能力，網(wǎng)絡(luò)拓?fù)涞淖兓途W(wǎng)絡(luò)邊界的變化息息相關(guān)，系統(tǒng)可以自動發(fā)現(xiàn)和繪制網(wǎng)絡(luò)拓?fù)?，并提供多種拓?fù)湔故灸Ｊ剑瑤椭_認(rèn)拓?fù)浣Y(jié)構(gòu)是否發(fā)生了變化。

5 結(jié)論

通過該在電力企業(yè)網(wǎng)絡(luò)中網(wǎng)絡(luò)邊界內(nèi)聯(lián)檢測、定位與阻斷系統(tǒng)的應(yīng)用研究，提升了電力企業(yè)在網(wǎng)絡(luò)邊界完整性方面的技術(shù)管理能力，增強了電力企業(yè)對邊界完整性感知的能力，大大降低因邊界遭受破壞而帶來的電力網(wǎng)絡(luò)安全風(fēng)險，為電力企業(yè)網(wǎng)絡(luò)正常運行提供更多安全保障。一方面，針對違規(guī)內(nèi)聯(lián)，尤其是私接無線AP、隨身Wi-Fi等設(shè)備的檢測與監(jiān)管，防止網(wǎng)絡(luò)邊界的完整性因此而遭受破壞，保證網(wǎng)絡(luò)邊界安全，有力保障電力信息業(yè)務(wù)系統(tǒng)的正常運行。另一方面，有效保護電力企業(yè)網(wǎng)絡(luò)邊界防護上的已有投資，確保在網(wǎng)絡(luò)邊界保護上的安全投入和安全能力得到充分發(fā)揮，提升了電力企業(yè)網(wǎng)絡(luò)信息安全水平。

參考文獻

[1]楊峰，張浩軍.無線局域網(wǎng)安全協(xié)議的研究和實現(xiàn)[J].計算機應(yīng)用，2011.

[2]譚潤芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技，2008，37（06）：24-26.

[3]馬建峰，吳振強.無線局域網(wǎng)安全體系結(jié)構(gòu)[M].北京：高等教育出版社，2008.

[4]賀雪晨.信息對抗與網(wǎng)絡(luò)安全[M].清華大學(xué)出版社（第2版），2010.

[5]潘愛民.徐明偉等.計算機網(wǎng)絡(luò)[M]，第四版清華大學(xué)出版社，2014.

[6]王淑紅.網(wǎng)絡(luò)安全[M].北京市：機械工業(yè)出版社，2007.

作者簡介

張盛安（1983-），男，高級工程師，碩士研究生。從事信息安全專業(yè)技術(shù)管理工作。

作者單位

貴州電網(wǎng)有限責(zé)任公司貴陽供電局 貴州省貴陽市 550001endprint