电力企业管理信息系统提供外网应用的安全防护技术研究

【摘要】按照电力监控系统安全防护要求，管理信息大区与外网边界需配置防火墙，随着国家信息安全重要性的不断提升，在保障电力监控系统系统安全的同时，确保企业敏感信息不被泄露变得尤其重要，早期的防火墙配置方案已无法满足网络信息安全防护要求，本文就如何提升管理信息大区与外网边界安全防护水平进行研究，为电力企业管理信息系统提供外网应用提出可行方案。【关键词】电力企业网络安全管理信息系统外网应用引言按照电力监控系统安全防护体系的结构基础，发电企业、电网企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。为满足企业生产管理需求，根据业务需在管理信息大区部署包括生产管理、企业综合业务管理等系统，为不影响生产控制大区的安全，该系统与生产控制大区独立组网。随着生产管理信息化、移动化建设发展，为提高生产管理便捷性，部分应用系统需要通过互联网采集气象数据、社会公开数据等信息，同时部分信息需要在互联网进行发布，用户通过互联网进行流程查看、审批，访问内部特定资源，需要与互联网进行数据信息交互。内外网之间需要有严格的安全防护措施，防止内部网络遭受来自外部互联网的网络攻击，部署在互联网上的外网应用也应具备防御来自互联网攻击的能力。1.安全防护总体要求根据《电力监控系统安全防护规定》的要求，电力监控系统安全防护总体方案的框架结构如图1所示。图1：电力监控系统安全防护总体方案的框架图管理信息大区是指生产控制大区外的电力企业管理业务系统的集合，管理信息大区的传统典型业务包括调度生产管理系统、行政电话网管系统、电力企业办公系统等，电力企业可以根据具体业务情况划分安全区，但不能影响生产控制大区的安全。生产控制大区与管理信息大区之间通过单向隔离装置进行物理隔离，管理信息大区与外部共用互联网之间通过防火墙进行逻辑隔离。2.优化方案传统防火墙仅能对外部网络攻击进行简单防御，对用户访问进行有限控制，无法抵御针对应用的SQL注入、网页篡改、网页挂马等各种拒绝服务攻击，存在应用服务宕机、数据泄露等风险，需在电力监控系统安全防护方案的基础上，对方案进行优化，提升管理信息大区的安全防护能力。2.1总体方案2.1.1将管理信息系统部署于内网核心区，在外网服务区设立外网安全接入服务器，在内网核心区和外网服务区之间部署安全隔离与信息交换设备（双向网闸），采用物理隔离技术，切断所有的TCP/IP协议，阻断一切来自外网服务区的攻击和威胁，通过双向网闸数据摆渡功能，实现内网核心区和外网服务区的数据交换，保障内网核心区业务系统安全。2.1.2在内网核心区和外网服务区物理隔离的基础之上，外网安全接入服务器实时调取内网核心区数据库数据，从而面向互联网提供服务，当外网安全接入服务器遭受攻击后，也不会影响业务系统的正常运行和数据安全。2.1.3在内网核心区和外网服务区物理隔离的基础之上，在内网交换机与网闸之间部署内网防火墙，实现访问内网业务时端口最小化控制以及入侵防御、防病毒检测等功能。2.1.4在外网服务区和互联网之间部署外网防火墙和WEB应用安全防护系统（WAF防火墙），外网防火墙通过NAT地址转换，将内部网络地址进行隐藏，实现访问业务时端口最小化控制以及入侵防御、防病毒检测等功能。WAF防火墙提供专门针对HTTP/HTTPS协议攻击的防御手段，可以有效的阻止针对WEB服务的SQL注入、网页篡改、网页挂马等各种拒绝服务攻击。2.1.5在内网交换机和外网服务交换机旁路部署流量分析、入侵检测和日志收集与分析系统，提供多视角的检测发现能力，及时发现针对网络的重要资产实施的多种形式的定向高级攻击。通过在主机上部署终端威胁防御系统，抵御网络攻击与渗透，保护重要资产信息与基础设施免遭窃取与破坏。管理信息业务系统外网服务拓扑如图2所示。图2：管理信息业务系统外网服务拓扑图2.2边界防护2.2.1外网防火墙和内网防火墙主要实现访问控制、入侵防御及恶意代码防护功能。访问控制：实现基于白名单的细粒度访问控制。可对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；控制细粒度为端口级，并根据会话状态信息为数据流提供明确的允许或拒绝访问处理，可将会话处于非活跃一定时间或会话结束后终止网络连接，并通过限制网络最大流量数及网络连接数以提升安全等访问控制能力。地址转换（NAT）:将对外的服务器地址进行网络地址转换（NAT），隐藏内部网络。入侵防范：通过防火墙上调用入侵检测策略，实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害。恶意代码防范：通过在防火墙上调用恶意代码防范策略实现对病毒的安全防护，避免病毒及蠕虫等恶意代码向其他子网迅速蔓延、发动网络攻击和数据窃密、占据正常业务带宽、造成网络中断等风险，保证业务的稳定性。2.2.2WAF防火墙提供事前预警、事中防御、事后审计等功能。事前预警：提供WEB应用漏洞扫描功能，事前检测WEB应用自身的脆弱性及漏洞，可利用该功能定期对网站进行“体检”，并根据报告内容对网站进行有针对性的“修补”，以达到各级监管机构的安全合规要求。事中防御：应用多维防护体系，有效应对多种WEB安全威胁，采用双向数据检测机制，对进出WEB服务器的HTTP/HTTPS相关内容进行深度分析。对于进站流量，提供对HTTP请求中URL、表单参数、报头及Cookie等内容的安全检查，过滤其中已被插入数据库命令、查询语句或各种恶意脚本的请求，防止SQL注入、XSS（跨站脚本）等攻击行为；而对于出站流量，可通过对HTTP响应报头、HTML内容进行过滤，实现对服务器返回错误码、用户等信息的监控与保护，确保敏感信息不被泄露。事后审计：对网站安全数据及网站业务数据进行智能分析，对不安全行为进行告警、记录。2.2.3双向网闸采用“2+1”系统架构，由内端机、外端机、隔离系统三部分实现内外网之间网络物理隔离。内端机和外端机具有独立的存储和运算单元，并具有独立总线，内外端机之间采用了具有互斥效果的隔离系统进行连接，内端机和外端机分别是内网和外网网络协议的终点，所有过往的应用层数据都从内网和外网的TCP/IP协议中剥离，被剥离的数据再通过隔离系统在内外端机之间进行传输。内端机与外端机之间采用专用传输隔离硬件和专用协议相连，从而阻断了任何从一端机攻击另外一端机的可能，且隔离系统使用专用的私有协议与内外端机进行通信，且其驱动程序模块也是独立编写，即使有人试图通过代码分析洞悉双向网闸一端机的接口，也无法通过控制单元攻击到另外一端机，从而实现内外网之间的物理安全隔离需求。2.3主机安全2.3.1身份鉴别：实现安全用户认证，采用数字证书认证和安全的用户鉴别协议。对访问接入平台的各类主机，在操作系统层面进行设置，进行强身份认证方可登录操作系统或相应的数据库系统，强制口令具有足够的复杂度并要求定期更换；并限制登录次数，多次输入错误锁定系统，禁用非安全的Telnet远程管理，最大限度保证其安全性。2.3.2访问控制：实施严格的安全访问策略，权限用户可访问有限资源，根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限，删除多余的、过期的账户，避免共享账户的存在。2.3.3安全审计：全面细粒度的审计，对系统管理员等重要账户、对系统资源的异常使用和重要系统命令的使用等重要的安全相关事件进行包括事件的日期、时间、类型、主体标识、客体标识和结果等审计，并生成详实的审计报表。2.3.4入侵防范：对重要的服务器进行入侵防御，各类操作系统遵循最小安装的原则，仅安装需要的组件和应用程序。尽可能采用Linux最新版本操作系统，严禁使用已经停服的windows操作系统，并定期进行操作系统补丁修复。2.3.5恶意代码防范：安装杀毒软件，并定期升级特征库，有效防范恶意代码。2.3.6资源控制：对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况，限制单个用户对系统资源的最大或最小使用限度，并到达下限进行实时报警。2.4应用安全（含移动APP应用）2.4.1应用设计到开发过程中，需要对安全需求进行详细分析，并将已确定的安全需求体现于应用程序设计中，包括安全架构的设计和安全功能的设计。2.4.2应用程序传输敏感信息过程中应采用SSL/TLS数据加密传输方式，并在客户端对SSL证书合法性进行校验。2.4.3业务应用系统具有用户身份鉴别功能，采用用户名/口令或数字证书方式，对各类应用的访问进行细粒度的访问控制，并授予不同账户为完成各自承担任务所需的最小权限，提供基于应用的安全审计能力。2.4.4应用正式上线前应对数据安全存储、数据安全传输、安全认证、数据传输安全监测等内容进行安全评估，修复完成后才可上线。2.5安全审计2.5.1开启安全设备、网络设备、操作系统日志审计功能，将日志信息接入日志服务器，实现日志信息的自动采集、整理与分析，实现全网的各类预警信息的统一预处理、汇总，对安全事件的统一响应与处置，要求日志保存周期不低于6个月。2.5.2将交换机流量通过旁路接入流量分析系统或态势感知系统，对用户数据、会话访问情况进行实时监测，实现对用户上网会话详细信息分析（内网IP—NAT—外网地址），会话记录溯源分析，业务系统用户访问群体分析，访问质量分析与业务系统本身健康度分析，对不安全行为进行预警、记录