顧浩 譚玉瑩 張銘倫

關(guān)鍵詞： 電力系統(tǒng)；外網(wǎng)；專網(wǎng)；違規(guī)外聯(lián)；綜合防護(hù)體系

0 引言

電力系統(tǒng)是國(guó)家能源命脈之一，其網(wǎng)絡(luò)運(yùn)行的可靠、穩(wěn)定和安全直接影響著全國(guó)電力能源的供應(yīng)和電力核心數(shù)據(jù)的安危。如今大變之世，和平中充滿著諸多動(dòng)蕩，網(wǎng)絡(luò)攻擊戰(zhàn)在無(wú)形中持續(xù)上演，因此保障電力系統(tǒng)網(wǎng)絡(luò)安全更是刻不容緩[1-2]。電力系統(tǒng)有其重要和特殊的地位，其專網(wǎng)覆蓋全國(guó)，它和運(yùn)營(yíng)商所部署的互聯(lián)網(wǎng)（下稱外網(wǎng)）天然物理隔絕，從而減少了大量的互聯(lián)網(wǎng)攻擊，但若由于電力員工的誤聯(lián)操作、接入外置網(wǎng)絡(luò)設(shè)備、違規(guī)外修、利用“數(shù)據(jù)線遠(yuǎn)程”繞過等原因，造成電力系統(tǒng)專網(wǎng)（下稱內(nèi)網(wǎng)）與外網(wǎng)直接或間接聯(lián)通起來(lái)，則使電力系統(tǒng)網(wǎng)絡(luò)失去了物理隔絕的保護(hù)，面臨著巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[3-5]。

為解決專網(wǎng)違規(guī)外聯(lián)問題，經(jīng)過諸多學(xué)者的努力，現(xiàn)已有多項(xiàng)研究成果。曲廣平等人[6]利用操作系統(tǒng)自身攜帶的訪問控制策略，通過限制數(shù)據(jù)包轉(zhuǎn)發(fā)范圍，從而切斷終端與互聯(lián)網(wǎng)之間的通路，但其并未考慮到安全策略本身的防護(hù)和接入合法問題。陳曉杰等人[7]通過融合代理和雙機(jī)監(jiān)控的優(yōu)勢(shì)，提出一種改進(jìn)的電力系統(tǒng)網(wǎng)絡(luò)違規(guī)外聯(lián)監(jiān)控方法，但其并未對(duì)違規(guī)外聯(lián)問題本身的解決給出方案。葉水勇等人[8]提出一種通過在計(jì)算機(jī)終端上安裝軟件防火墻的方式，過濾互聯(lián)網(wǎng)數(shù)據(jù)包，解決違規(guī)外聯(lián)問題，但其并未考慮軟件策略和網(wǎng)關(guān)防護(hù)問題。為了彌補(bǔ)上述方案的不足，文章提出一種兼具終端硬件、終端操作系統(tǒng)和網(wǎng)絡(luò)層面防護(hù)能力的綜合防護(hù)體系CPIO（Comprehen?sive Protection System for Illegal Outreach，CPIO） 。

1 違規(guī)外聯(lián)綜合防護(hù)體系CPIO

違規(guī)外聯(lián)綜合防護(hù)體系CPIO深入分析違規(guī)外聯(lián)發(fā)生的根本原因，分別從終端硬件、終端操作系統(tǒng)和網(wǎng)絡(luò)層面破除違規(guī)行為發(fā)生的必要條件，從而達(dá)到違規(guī)外聯(lián)防護(hù)的目的。違規(guī)外聯(lián)防護(hù)總體目標(biāo)分為兩點(diǎn)，一是實(shí)現(xiàn)內(nèi)網(wǎng)終端在物理接入外網(wǎng)時(shí)，無(wú)法訪問外網(wǎng)資源；二是實(shí)現(xiàn)外網(wǎng)終端在物理接入內(nèi)網(wǎng)時(shí)，無(wú)法訪問內(nèi)網(wǎng)資源。

通過防護(hù)總體目標(biāo)可知，違規(guī)外聯(lián)防護(hù)措施的核心在于阻斷非法接入設(shè)備的流量外出。為阻斷非法設(shè)備流量外出，CPIO從終端操作系統(tǒng)自身出發(fā)進(jìn)行第一道阻斷，然后從網(wǎng)絡(luò)層進(jìn)行第二道阻斷。在圖1 中，CPIO終端操作系統(tǒng)層阻斷主要是從避免終端接入非法流量收發(fā)設(shè)備（外置網(wǎng)卡等）、防止篡改終端網(wǎng)絡(luò)連接信息、消除非法路由、控制可達(dá)范圍和確保網(wǎng)關(guān)合法等方面著手，最大限度地降低非法流量外出的概率。除此之外，為保護(hù)上述加固措施不被破壞，依照按責(zé)賦權(quán)的原則，降低終端使用人員對(duì)操作系統(tǒng)的操作權(quán)限，同時(shí)為防止操作系統(tǒng)自身被非法篡改，CPIO增加了終端硬件層防護(hù)措施。在圖1中，CPIO 網(wǎng)絡(luò)層阻斷主要是從設(shè)備和用戶接入合法化校驗(yàn)入手，由于終端的網(wǎng)絡(luò)連接配置信息由網(wǎng)絡(luò)層固定分配，因此確保接入合法化也是保證終端操作層中網(wǎng)絡(luò)相關(guān)防護(hù)措施的有效性。

1.1 終端硬件層防護(hù)

在CPIO中，終端操作系統(tǒng)上需配置多項(xiàng)防護(hù)措施，為確保這些防護(hù)措施的安全有效，防止違規(guī)破解操作系統(tǒng)管理員賬戶密碼、重裝操作系統(tǒng)等行為的發(fā)生，需對(duì)終端操作系統(tǒng)進(jìn)行相關(guān)保護(hù)。通常情況下，若想實(shí)施上述重裝或破解密碼行為，首先需在終端主板BIOS系統(tǒng)中配置移動(dòng)存儲(chǔ)介質(zhì)引導(dǎo)啟動(dòng)順序，然后利用移動(dòng)存儲(chǔ)設(shè)備中已安裝的PE（PreinstallationEnvironment，PE） 引導(dǎo)終端啟動(dòng)或破解工具，以此來(lái)實(shí)現(xiàn)操作系統(tǒng)的重置或賬戶密碼變更。在CPIO中，通過設(shè)置CMOS密碼來(lái)防止BIOS配置被非法篡改，同時(shí)為避免利用主板電池放電或更改CMOS跳線來(lái)破解CMOS密碼，需將主機(jī)鎖入專用主機(jī)柜中，僅暴露必要的接口面板和按鍵。終端硬件層防護(hù)實(shí)現(xiàn)過程為：① 進(jìn)入終端主板BIOS系統(tǒng)，配置啟動(dòng)引導(dǎo)，將本機(jī)操作系統(tǒng)存儲(chǔ)設(shè)備設(shè)為第一啟動(dòng)項(xiàng)；②設(shè)置CMOS密碼；③保存配置退出；④將終端主機(jī)放于專用機(jī)柜中上鎖。

1.2 終端操作系統(tǒng)層防護(hù)

終端操作系統(tǒng)層防護(hù)基于終端硬件防護(hù)，分別從賬戶權(quán)限防護(hù)、設(shè)備接入防護(hù)、網(wǎng)絡(luò)連接防護(hù)、路由防護(hù)、訪問策略防護(hù)和網(wǎng)關(guān)防護(hù)6個(gè)方面對(duì)終端操作系統(tǒng)進(jìn)行違規(guī)外聯(lián)全面加固，其中賬戶權(quán)限防護(hù)又為其余5項(xiàng)提供安全保障。

1） 賬戶權(quán)限防護(hù)

賬戶權(quán)限防護(hù)是終端操作系統(tǒng)層防護(hù)的第一道防護(hù)措施，是其余防護(hù)措施的基礎(chǔ)。通常情況下，用戶使用Administrator管理員組賬號(hào)登錄系統(tǒng)，其權(quán)限過大，無(wú)法防御非法篡改系統(tǒng)防護(hù)配置。在電力系統(tǒng)一般辦公場(chǎng)景下，用戶僅需使用User用戶組賬號(hào)即可滿足正常需求。User用戶組賬號(hào)不能修改組策略、網(wǎng)絡(luò)連接屬性、路由配置、重新安裝操作系統(tǒng)等。在CPIO中，管理員賬戶僅作為專業(yè)運(yùn)維人員的運(yùn)維賬戶，為普通用戶日常辦公創(chuàng)建User組賬戶，通過配置管理員賬戶密碼禁止普通用戶使用管理員賬戶登錄。賬戶權(quán)限防護(hù)實(shí)現(xiàn)過程為：①進(jìn)入系統(tǒng)賬戶管理，創(chuàng)建普通賬戶；②進(jìn)入計(jì)算機(jī)管理，在本地用戶和組模塊中，將新創(chuàng)建的普通賬戶加入U(xiǎn)ser組；③更新管理員賬戶密碼并保密；④使用普通賬戶登錄系統(tǒng)。

2） 設(shè)備接入防護(hù)

設(shè)備接入防護(hù)主要為解決用戶違規(guī)使用外置網(wǎng)卡、藍(lán)牙、數(shù)據(jù)線遠(yuǎn)程控制設(shè)備等問題。每個(gè)接入計(jì)算機(jī)的設(shè)備在操作系統(tǒng)中都存在唯一的硬件ID屬性，通過配置準(zhǔn)入設(shè)備ID白名單，從而實(shí)現(xiàn)對(duì)接入設(shè)備的控制。設(shè)備接入防護(hù)實(shí)現(xiàn)過程為：①在計(jì)算機(jī)設(shè)備管理中確定許可安裝的設(shè)備硬件ID；②進(jìn)入系統(tǒng)組策略設(shè)備安裝模塊，啟用設(shè)備ID白名單訪問控制策略；③ 將許可安裝的設(shè)備ID配置于策略白名單中。

3） 網(wǎng)絡(luò)連接防護(hù)

網(wǎng)絡(luò)連接防護(hù)主要為解決用戶私自修改連接屬性，包括網(wǎng)關(guān)、DNS、IP地址等信息的問題。如果用戶非法私自修改網(wǎng)絡(luò)連接信息，則內(nèi)網(wǎng)終端可以訪問外網(wǎng)或是外網(wǎng)終端訪問內(nèi)網(wǎng)。在CPIO中，通過對(duì)網(wǎng)絡(luò)連接屬性權(quán)限進(jìn)行控制，實(shí)現(xiàn)只有管理員賬戶才可對(duì)其進(jìn)行運(yùn)維。其次，如果啟用動(dòng)態(tài)主機(jī)配置DHCP功能，一旦內(nèi)網(wǎng)主機(jī)連入外部網(wǎng)絡(luò)，則會(huì)直接獲取到正確的外網(wǎng)連接配置信息，從而導(dǎo)致違規(guī)外聯(lián)的發(fā)生，外網(wǎng)主機(jī)連入內(nèi)網(wǎng)亦是如此。在CPIO中，網(wǎng)絡(luò)連接屬性IP地址、掩碼和DNS通過靜態(tài)配置完成，不配置網(wǎng)關(guān)。網(wǎng)絡(luò)連接防護(hù)實(shí)現(xiàn)過程為：①在系統(tǒng)服務(wù)模塊中關(guān)閉DHCP Client服務(wù)；②在網(wǎng)絡(luò)連接屬性中，配置靜態(tài)連接信息；③進(jìn)入系統(tǒng)組策略用戶配置中的網(wǎng)絡(luò)連接模塊，啟用禁止訪問連接屬性策略；④啟用禁止創(chuàng)建新連接策略。

4） 路由防護(hù)

路由防護(hù)主要是為解決終端默認(rèn)路由訪問邊界過大的問題。由于電力內(nèi)網(wǎng)獨(dú)立于運(yùn)營(yíng)商外網(wǎng)，因此其不受局域網(wǎng)私有網(wǎng)段限制，這樣一來(lái)，內(nèi)網(wǎng)終端上可能存在和外網(wǎng)重疊的網(wǎng)段路由。如果該重疊路由不是按需配置，而是使用默認(rèn)路由，一旦內(nèi)網(wǎng)主機(jī)和外網(wǎng)網(wǎng)關(guān)一致，且內(nèi)網(wǎng)主機(jī)又接入外網(wǎng)時(shí)，內(nèi)網(wǎng)主機(jī)則擁有主動(dòng)訪問任何外網(wǎng)資源的路由，這無(wú)疑是非常危險(xiǎn)的。在CPIO中，由于不配置網(wǎng)關(guān)，因此不會(huì)產(chǎn)生指向網(wǎng)關(guān)的默認(rèn)路由，而是在終端上配置所需的靜態(tài)路由，從而縮小終端網(wǎng)絡(luò)暴露范圍，極大地降低了發(fā)生外聯(lián)時(shí)的威脅。路由防護(hù)實(shí)現(xiàn)過程為：①確定電力系統(tǒng)中內(nèi)網(wǎng)終端所需訪問網(wǎng)段；②在系統(tǒng)DOS界面中，使用route命令配置靜態(tài)路由，下一跳為實(shí)際網(wǎng)關(guān)地址。

5） 網(wǎng)關(guān)防護(hù)

網(wǎng)關(guān)防護(hù)的主要作用是：當(dāng)內(nèi)網(wǎng)和外網(wǎng)局域網(wǎng)網(wǎng)關(guān)IP地址重疊時(shí)，阻斷外聯(lián)流量，避免違規(guī)外聯(lián)發(fā)生。上述情境下，路由防護(hù)只是盡可能地降低終端網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)，但違規(guī)外聯(lián)依舊會(huì)發(fā)生。在CPIO中，通過在終端操作系統(tǒng)中綁定網(wǎng)關(guān)設(shè)備的IP和MAC地址，確保網(wǎng)關(guān)設(shè)備的唯一合法性，從而避免網(wǎng)關(guān)IP地址重疊時(shí)違規(guī)外聯(lián)事故的發(fā)生。網(wǎng)關(guān)防護(hù)實(shí)現(xiàn)過程為：①查看網(wǎng)關(guān)設(shè)備的IP 和MAC 地址；②在終端操作系統(tǒng)DOS界面上，使用“netsh interface ipv4 show in”命令查看網(wǎng)絡(luò)連接編號(hào)Idx；③使用netsh -c i i add neighbors “網(wǎng)絡(luò)連接編號(hào)Idx”“網(wǎng)關(guān)IP地址”“網(wǎng)關(guān)MAC地址”命令，進(jìn)行網(wǎng)關(guān)綁定。

6） 訪問策略防護(hù)

訪問策略防護(hù)是對(duì)路由防護(hù)的進(jìn)一步加固，防止在路由防護(hù)配置存在缺陷的情況下，確保內(nèi)網(wǎng)終端訪問范圍不擴(kuò)大，從而降低違規(guī)外聯(lián)風(fēng)險(xiǎn)。在CPIO中，采用終端操作系統(tǒng)自身的網(wǎng)絡(luò)訪問控制策略實(shí)現(xiàn)流量控制。首先，通過配置允許源為終端合法網(wǎng)絡(luò)連接中的IP地址，目標(biāo)地址為所需訪問的內(nèi)網(wǎng)地址段的控制策略，然后配置拒絕目的地址為任意的默認(rèn)控制策略，從而實(shí)現(xiàn)內(nèi)網(wǎng)終端只可訪問被許可的網(wǎng)段。訪問策略防護(hù)實(shí)現(xiàn)過程為：①在終端操作系統(tǒng)組策略中創(chuàng)建IP安全策略；②添加允許訪問的目標(biāo)網(wǎng)段的IP策略；③添加禁止一切訪問的默認(rèn)策略。

1.3 網(wǎng)絡(luò)層防護(hù)

網(wǎng)絡(luò)層防護(hù)以阻斷外網(wǎng)設(shè)備接入內(nèi)網(wǎng)為核心，精控網(wǎng)絡(luò)流量，細(xì)化防護(hù)粒度，從而防止內(nèi)網(wǎng)數(shù)據(jù)外泄和保證內(nèi)網(wǎng)終端的合法性。為實(shí)現(xiàn)網(wǎng)絡(luò)層防護(hù)需求，CPIO采用了靜態(tài)IP源防護(hù)和用戶級(jí)接入防護(hù)，其中靜態(tài)IP源防護(hù)以地址為防護(hù)粒度，確保入網(wǎng)設(shè)備和地址的合法性。用戶級(jí)接入防護(hù)則是在靜態(tài)IP源防護(hù)的基礎(chǔ)上，精細(xì)防護(hù)粒度，對(duì)網(wǎng)絡(luò)用戶的合法性進(jìn)行驗(yàn)證，降低外網(wǎng)終端冒充合法終端接入的可能性。

1） 靜態(tài)IP源防護(hù)

在網(wǎng)絡(luò)連接防護(hù)中，采用了靜態(tài)配置終端IP地址的方式，該IP是由運(yùn)維管理員固定分配，為了防止非法終端冒充接入內(nèi)網(wǎng)，CPIO在終端接入網(wǎng)絡(luò)設(shè)備上開啟靜態(tài)IP源防護(hù)。所謂靜態(tài)IP源防護(hù)，是通過手動(dòng)將用戶終端IP地址和MAC地址的映射關(guān)系寫入接入網(wǎng)絡(luò)設(shè)備的DHCP Snooping表中，當(dāng)用戶終端數(shù)據(jù)包到達(dá)接入層網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)對(duì)數(shù)據(jù)包的源IP地址和MAC地址的映射關(guān)系進(jìn)行檢測(cè)，若在DHCPSnooping 表存在記錄，則允許通過，反之則不允許通過。

相較在核心層網(wǎng)絡(luò)設(shè)備上配置ARP綁定來(lái)實(shí)現(xiàn)合法接入，CPIO中的靜態(tài)IP源防護(hù)有兩大關(guān)鍵優(yōu)勢(shì)。①可實(shí)現(xiàn)接入層IP地址合法接入，即可阻斷非法終端訪問同VLAN網(wǎng)絡(luò)終端，這對(duì)于電力系統(tǒng)網(wǎng)絡(luò)安全尤為重要。②可阻斷非法終端單向數(shù)據(jù)發(fā)送，即采用ARP綁定時(shí)。雖然非法客戶端無(wú)法收到遠(yuǎn)端網(wǎng)絡(luò)數(shù)據(jù)，但其仍可主動(dòng)將本地?cái)?shù)據(jù)發(fā)往遠(yuǎn)端網(wǎng)絡(luò)設(shè)備。靜態(tài)IP源防護(hù)實(shí)現(xiàn)過程為：①在接入網(wǎng)絡(luò)設(shè)備上開啟DHCP服務(wù)，但不啟用地址分配功能；②在接入網(wǎng)絡(luò)設(shè)備上開啟DHCP Snooping服務(wù)，在連接終端的接口下開啟IP地址源防護(hù)；③配置終端DHCP Snoop?ing靜態(tài)綁定表。

2） 用戶級(jí)接入防護(hù)

靜態(tài)IP源防護(hù)實(shí)現(xiàn)的是終端設(shè)備級(jí)接入防護(hù)，在電力系統(tǒng)中，為了更進(jìn)一步實(shí)現(xiàn)一人一機(jī)的網(wǎng)絡(luò)接入要求，避免非法終端冒充合法內(nèi)網(wǎng)終端接入內(nèi)網(wǎng)，CPIO采用802.1x技術(shù)實(shí)現(xiàn)用戶級(jí)合法接入，只有終端用戶輸入合法的用戶名和密碼，才可通過接入驗(yàn)證。用戶級(jí)接入防護(hù)實(shí)現(xiàn)過程為：①在接入層網(wǎng)絡(luò)設(shè)備上開啟802.1x認(rèn)證；②在接入層網(wǎng)絡(luò)設(shè)備上為終端用戶配置認(rèn)證用戶名和密碼；③在接入層網(wǎng)絡(luò)設(shè)備上激活認(rèn)證用戶，并在終端上認(rèn)證測(cè)試。

2 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是電力系統(tǒng)安全生產(chǎn)過程中的重要一環(huán)，而違規(guī)外聯(lián)防護(hù)又是其關(guān)鍵基礎(chǔ)。為解決違規(guī)外聯(lián)問題，保障內(nèi)網(wǎng)運(yùn)行和數(shù)據(jù)安全，文章綜合考慮了產(chǎn)生違規(guī)外聯(lián)的各種條件，針對(duì)性地從終端硬件設(shè)備、操作系統(tǒng)和網(wǎng)絡(luò)層三個(gè)方面著手，提出了一種可極大降低違規(guī)外聯(lián)發(fā)生概率的綜合防護(hù)體系CPIO，并給出了防護(hù)措施的實(shí)現(xiàn)方法，破除了產(chǎn)生違規(guī)外聯(lián)的必要條件，基本解決了電力系統(tǒng)中專網(wǎng)違規(guī)外聯(lián)的問題。