陳劍飛, 孫強(qiáng), 孔德秋

(1. 國(guó)網(wǎng)山東省電力公司, 濟(jì)南 250001; 2. 國(guó)網(wǎng)山東省電力公司 威海市文登區(qū)供電公司，威海 264400;3. 國(guó)網(wǎng)山東省電力公司 經(jīng)濟(jì)技術(shù)研究院， 濟(jì)南 250001)

0 引言

隨著智能化電力信息系統(tǒng)的發(fā)展，逐漸暴露了許多問題。由于電力行業(yè)信息安全的特殊性，其龐大的內(nèi)部數(shù)據(jù)及各個(gè)層次子系統(tǒng)之間信息的交互一旦出現(xiàn)泄露或被篡改，將會(huì)造成不可挽回的損失。如何防范來(lái)自于系統(tǒng)外部及內(nèi)部的風(fēng)險(xiǎn)是一個(gè)至關(guān)重要的問題[1-2]。信息安全是一項(xiàng)復(fù)雜的信息系統(tǒng)工程，其主要研究對(duì)象為網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的安全性、可靠性以及完整性，并確保網(wǎng)絡(luò)信息系統(tǒng)的軟硬件及其系統(tǒng)中的數(shù)據(jù)不會(huì)受到破壞，保證網(wǎng)絡(luò)信息系統(tǒng)可以連續(xù)穩(wěn)定的運(yùn)行[3]。隨著信息系統(tǒng)所采用安全防御手段的更新迭代，來(lái)自系統(tǒng)外部的網(wǎng)絡(luò)攻擊等事件造成的危害變得越來(lái)越少，而來(lái)自內(nèi)部的安全威脅則變得越來(lái)越不可忽視。在電力企業(yè)的信息系統(tǒng)安全方面，電力運(yùn)維人員具有高度的系統(tǒng)權(quán)限，一旦出現(xiàn)惡意操作或行為將造成巨大的損失[4]。據(jù)調(diào)查統(tǒng)計(jì)，企業(yè)遭受的網(wǎng)絡(luò)安全威脅中，約75%的來(lái)源于系統(tǒng)的內(nèi)部違規(guī)和不正當(dāng)行為，其危害程度已大大超過外部入侵所帶來(lái)的損失[5-7]。因此，加強(qiáng)系統(tǒng)內(nèi)部管理和運(yùn)維人員行為的審計(jì)及管理是建立安全信息系統(tǒng)的必然趨勢(shì)。信息安全的組成部分主要包含了系統(tǒng)本身所采用的安全防護(hù)技術(shù)，以及外部入侵檢測(cè)等方面。其所有的技術(shù)手段的實(shí)施進(jìn)行都應(yīng)在信息安全模型的框架內(nèi)進(jìn)行。

目前，隨著安全技術(shù)手段的更新，信息運(yùn)維安全的范疇也在快速擴(kuò)大，系統(tǒng)所遭受的安全風(fēng)險(xiǎn)也成倍增長(zhǎng)。為了保障信息系統(tǒng)免受外部攻擊及內(nèi)部隱患的影響，必須同時(shí)從信息系統(tǒng)中的硬件及軟件杜絕可能可能發(fā)生的危險(xiǎn)。本文針對(duì)電力系統(tǒng)信息安全對(duì)運(yùn)維審計(jì)的需求, 提出了運(yùn)維審計(jì)的網(wǎng)絡(luò)模型，通過對(duì)兩種網(wǎng)絡(luò)模型的分析，對(duì)信息安全運(yùn)維審計(jì)模型作出了描述。

1 運(yùn)維審計(jì)模型的研究

1.1 運(yùn)維審計(jì)模型

運(yùn)維是指運(yùn)維人員為了保障系統(tǒng)的可持續(xù)運(yùn)轉(zhuǎn)而對(duì)系統(tǒng)進(jìn)行的維護(hù)及遠(yuǎn)程操作。其流程圖如圖1所示。

(a)

第一步，運(yùn)維人員在系統(tǒng)上輸入身份信息，隨后，所輸入的身份信息經(jīng)過系統(tǒng)的識(shí)別查驗(yàn)，如果身份信息正確，則運(yùn)維人員可在系統(tǒng)上執(zhí)行所需的操作，反之，則直接結(jié)束運(yùn)維操作，如圖1(a)所示。將以上運(yùn)維操作流程圖進(jìn)行簡(jiǎn)化，得到運(yùn)維操作模型，我們將運(yùn)維開始到運(yùn)維結(jié)束之間的整個(gè)過程稱為運(yùn)維過程，如圖1(b)所示。

為了應(yīng)對(duì)潛在的風(fēng)險(xiǎn)，需要在上述操作模型中加入審計(jì)模型，審計(jì)模型即在介于運(yùn)維開始與運(yùn)維結(jié)束之間的運(yùn)維過程中增加了驗(yàn)證運(yùn)維操作人員權(quán)限和管控運(yùn)維操作行為這兩個(gè)操作，其具體流程如圖2所示。

同樣，如圖2(a)所示在上述運(yùn)維操作流程中加入運(yùn)維審計(jì)過程，即介于運(yùn)維登錄和運(yùn)維結(jié)束之間的過程，并對(duì)其進(jìn)行簡(jiǎn)化分析，得到了如圖2(b)所示的運(yùn)維審計(jì)模型。首先，在運(yùn)維人員通過網(wǎng)絡(luò)遠(yuǎn)程登錄后，審計(jì)模型就會(huì)介入工作，對(duì)運(yùn)維人員的運(yùn)維權(quán)限進(jìn)行驗(yàn)證。

1.2 經(jīng)典的網(wǎng)絡(luò)模型

網(wǎng)絡(luò)模型指基于開放系統(tǒng)互聯(lián)參考模型(OSI/RM)的7層網(wǎng)絡(luò)參考模型以及基于TCP/IP的4層網(wǎng)絡(luò)參考模型。在網(wǎng)絡(luò)中，該兩種網(wǎng)絡(luò)模型應(yīng)用最為廣泛。OSI/RM的層次結(jié)構(gòu)如圖3所示。

它把整個(gè)網(wǎng)絡(luò)通信功能分為7個(gè)具有獨(dú)立功能的層次，每層都對(duì)應(yīng)于一個(gè)實(shí)體。在這些獨(dú)立的層次中，每一層是相互關(guān)聯(lián)的，每一層的功能是用來(lái)為上一層使用并提供相關(guān)服務(wù)。其中，各個(gè)相鄰層次實(shí)體之間的通信方式我們稱之為接口，而同一層次中的通信稱之為協(xié)議。

TCP/IP是傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議的縮寫，經(jīng)過多年的發(fā)展，已成為應(yīng)用最廣泛的網(wǎng)絡(luò)體系結(jié)構(gòu)[8]。TCP/IP協(xié)議定義了設(shè)備與網(wǎng)絡(luò)連接以及數(shù)據(jù)信息在網(wǎng)絡(luò)中傳輸所用的標(biāo)準(zhǔn)，對(duì)其進(jìn)行研究具有重要的現(xiàn)實(shí)意義，其層級(jí)結(jié)構(gòu)如圖4所示[9]。

(a)

(b)

圖3 開放系統(tǒng)互聯(lián)參考模型(OSI/RM)

圖4 層級(jí)結(jié)構(gòu)的TCP/IP網(wǎng)絡(luò)參考模型

TCP的作用主要是負(fù)責(zé)檢測(cè)傳輸中的所出現(xiàn)的問題，同時(shí)保證所需傳輸?shù)臄?shù)據(jù)可以安全無(wú)誤的傳輸?shù)侥康脑O(shè)備，而IP則負(fù)責(zé)給網(wǎng)絡(luò)中的每臺(tái)聯(lián)網(wǎng)設(shè)備提供地址。

在上述網(wǎng)絡(luò)參考模型中，其中的每一層都與OSI體系結(jié)構(gòu)中的某一層或幾層很好的對(duì)應(yīng)。OSI的優(yōu)點(diǎn)較多，譬如其功能的多樣性及架構(gòu)的完整性，然而其缺點(diǎn)也很明顯，主要體現(xiàn)在其體系的復(fù)雜性，使得其中的一些設(shè)計(jì)難以通過編寫軟件來(lái)直接實(shí)現(xiàn)。相較于OSI，TCP/IP體系結(jié)構(gòu)較早的在計(jì)算機(jī)系統(tǒng)中，且該體系結(jié)構(gòu)提供了編程接口以便在其上可以開發(fā)出多種多樣的應(yīng)用程序，因此，其應(yīng)用范圍較廣，目前已經(jīng)成為網(wǎng)際互連上的標(biāo)準(zhǔn)。在運(yùn)維操作過程中，如果需要獲取所產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包，需采用基于旁路及代理的網(wǎng)絡(luò)模型。

2.3 基于旁路的審計(jì)網(wǎng)絡(luò)模型

在基于旁路的審計(jì)網(wǎng)絡(luò)模型中，運(yùn)維客戶端、運(yùn)維審計(jì)系統(tǒng)及運(yùn)維服務(wù)器三者之間采用了分流器來(lái)實(shí)現(xiàn)連接，其模型圖如圖5所示。

圖5 基于旁路方式的審計(jì)網(wǎng)絡(luò)模型

首先，運(yùn)維客戶端與運(yùn)維服務(wù)器進(jìn)行通訊，然后在旁路模式的基礎(chǔ)上，部署運(yùn)行維護(hù)審計(jì)系統(tǒng)，并對(duì)運(yùn)行維護(hù)數(shù)據(jù)進(jìn)行分析和記錄。

在基于旁路的運(yùn)維審計(jì)模型中，數(shù)據(jù)的獲取和內(nèi)容的解析是主要的兩大難題。在開放式的網(wǎng)絡(luò)環(huán)境下，設(shè)備可以接收到網(wǎng)絡(luò)上發(fā)送的所有數(shù)據(jù)。但若在交換式的以太網(wǎng)絡(luò)環(huán)境中，該方式只可以捕捉到發(fā)送目標(biāo)為本機(jī)的數(shù)據(jù)包，而無(wú)法捕捉目標(biāo)為其他主機(jī)的數(shù)據(jù)。另一個(gè)亟需解決的問題是數(shù)據(jù)內(nèi)容的解析。若運(yùn)維客戶端與運(yùn)維服務(wù)器之間的數(shù)據(jù)內(nèi)容是通過明文的方式傳輸，則運(yùn)維系統(tǒng)可以較容易的將所傳輸?shù)膮f(xié)議內(nèi)容解析成功。然而多數(shù)情況下，為了保證數(shù)據(jù)傳輸?shù)陌踩?，傳輸?shù)據(jù)內(nèi)容是加密的，此時(shí)運(yùn)維審計(jì)系統(tǒng)接收到的數(shù)據(jù)是加密后的數(shù)據(jù)，則無(wú)法對(duì)其進(jìn)行解析。如今，隨著逃避檢測(cè)的手段越來(lái)越復(fù)雜，以及用來(lái)加密數(shù)據(jù)內(nèi)容的技術(shù)越來(lái)越完善，采用旁路方式可以獲得有用處的信息越來(lái)越少，亟需借助其他手段來(lái)獲取數(shù)據(jù)。

1.4 基于代理的審計(jì)網(wǎng)絡(luò)模型

甚于代理的審計(jì)網(wǎng)絡(luò)模型如圖6所示。

圖6 基干代理方式的運(yùn)維審計(jì)網(wǎng)絡(luò)模型

在該模型中，運(yùn)維客戶端通過運(yùn)維審計(jì)代理與運(yùn)維服務(wù)器進(jìn)行連接。運(yùn)維開始后，運(yùn)維客戶端首先將數(shù)據(jù)通過運(yùn)維協(xié)議直接發(fā)送給運(yùn)維審計(jì)代理，在運(yùn)維審計(jì)代理對(duì)其進(jìn)行處理之后將數(shù)據(jù)通過運(yùn)維協(xié)議再轉(zhuǎn)發(fā)給運(yùn)維服務(wù)器[10]。運(yùn)維審計(jì)代理在運(yùn)維客戶端及運(yùn)維服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)的同時(shí)會(huì)對(duì)數(shù)據(jù)包進(jìn)行分析及記錄。相反的，當(dāng)運(yùn)維服務(wù)器將數(shù)據(jù)反饋到運(yùn)維客戶端時(shí)同樣也經(jīng)過運(yùn)維審計(jì)代理發(fā)送。

在基于代理的運(yùn)維審計(jì)模型中，運(yùn)維審計(jì)代理作用不僅是轉(zhuǎn)發(fā)運(yùn)維客戶端及運(yùn)維服務(wù)器的數(shù)據(jù)內(nèi)容，還需要對(duì)通過加密方式傳輸?shù)臄?shù)據(jù)內(nèi)容進(jìn)行解密，所以其采用了協(xié)議代理的方式對(duì)運(yùn)維協(xié)議內(nèi)容轉(zhuǎn)發(fā)，并且在轉(zhuǎn)發(fā)的過程中模擬了協(xié)議的客戶端和服務(wù)端，具體如圖7所示。

圖7 基于代理的運(yùn)維審計(jì)網(wǎng)絡(luò)模型的運(yùn)維審計(jì)代理過程

基于TCP/IP模型的運(yùn)維審計(jì)代理的體系結(jié)構(gòu)如圖8所示。

圖8 基于代理的詳細(xì)運(yùn)維審計(jì)網(wǎng)絡(luò)模型

當(dāng)運(yùn)維開始后，運(yùn)維審計(jì)系統(tǒng)首先模擬成服務(wù)端來(lái)接收客戶端所發(fā)送的數(shù)據(jù)信息，運(yùn)維審計(jì)系統(tǒng)對(duì)協(xié)議內(nèi)容進(jìn)行解析以及記錄，并獲取到客戶端所發(fā)送的指令，然后運(yùn)維審計(jì)系統(tǒng)模擬成操作的客戶端與服務(wù)器建立聯(lián)系，將解析出來(lái)的指令發(fā)送給服務(wù)器。隨后服務(wù)器將信息返回到運(yùn)維審計(jì)系統(tǒng)，反向執(zhí)行此過程。在運(yùn)維過程中，運(yùn)維審計(jì)系統(tǒng)會(huì)對(duì)各種信息，包括客戶端及服務(wù)器端發(fā)出的信息指令進(jìn)行記錄，同時(shí)，運(yùn)維審計(jì)系統(tǒng)也會(huì)對(duì)其進(jìn)行驗(yàn)證識(shí)別，如驗(yàn)證結(jié)果識(shí)別出包含有安全隱患的違規(guī)操作，審計(jì)系統(tǒng)會(huì)立刻終止數(shù)據(jù)包的發(fā)送，以確保系統(tǒng)的安全。整體來(lái)看，基于代理的運(yùn)維審計(jì)模型可以很好與基于旁路的運(yùn)維審計(jì)模型形成互補(bǔ)。

然而該審計(jì)模型也有其不可避免的缺點(diǎn)，由于采用了代理環(huán)節(jié)，使得運(yùn)維審計(jì)代理需要在客戶端與服務(wù)器之間處理雙方的數(shù)據(jù)，如若此時(shí)的數(shù)據(jù)內(nèi)容是加密的，運(yùn)維審計(jì)代理還需對(duì)接收到數(shù)據(jù)進(jìn)行解密，將數(shù)據(jù)解密記錄驗(yàn)證后，還需對(duì)其進(jìn)一步進(jìn)行加密才能進(jìn)行轉(zhuǎn)發(fā)，這無(wú)形中會(huì)增加整個(gè)過程的復(fù)雜度。

2 基于角色的訪問控制模型

基于角色的訪問控制(RBAC)模型最早在上世紀(jì)七十年代被提出，當(dāng)時(shí)的背景是為了使企業(yè)的計(jì)算機(jī)管理與其實(shí)際情況更加相符。與傳統(tǒng)的訪問控制方法相比，該方法是面向安全策略的一種有效的訪問控制措施。其核心模型如圖9所示。

圖9 RBAC核心模型

RBAC核心模型是由用戶、會(huì)話、角色及權(quán)限四種元素組成[11]。其中用戶和角色的關(guān)系是多對(duì)多，角色承擔(dān)為用戶賦予權(quán)限的任務(wù)。首先，系統(tǒng)根據(jù)實(shí)際的需求，設(shè)立若干角色且為這些角色賦予權(quán)限，然后為不同用戶賦予角色。該模型的核心思想是將權(quán)限與角色直接聯(lián)系，通過角色的定義，實(shí)現(xiàn)了用戶與權(quán)限在邏輯上的分離，進(jìn)而使授權(quán)管理變得更加簡(jiǎn)便[12]。

3 基于GFAC的運(yùn)維審計(jì)訪問控制模型

基于通用訪問控制模型(GFAC)是繼RBAC訪問控制模型后出現(xiàn)的一種更加完善的模型。該模型提供了一個(gè)可以支持多種安全政策的框架，可以使用戶更加方便快捷的分析各種訪問控制政策的優(yōu)勢(shì)及劣勢(shì)，并甄選其中的一些政策進(jìn)行配置進(jìn)而獲得所需要的安全政策[13]。已集成了RBAC的通用訪問控制模型GFAC，如圖10所示。

圖10 基于RBAC核心模型的訪問控制框架(GFAC)

GFAC模型可以有效的將系統(tǒng)的訪問策略與其行為區(qū)分開來(lái)。其中的訪問控制實(shí)施組件對(duì)應(yīng)了系統(tǒng)操作模型，其主要功能為提取主體對(duì)客體的訪問請(qǐng)求，提取到的請(qǐng)求后，將其轉(zhuǎn)發(fā)到訪問控制決定組件，請(qǐng)求判斷訪問是否被準(zhǔn)許。訪問控制決定組件判定后將決策反饋到訪問控制實(shí)施組件，訪問控制實(shí)施組件根據(jù)訪問控制決定組件的判定結(jié)果進(jìn)一步控制主體對(duì)客體的訪問。

4 總結(jié)

基于信息系統(tǒng)運(yùn)維審計(jì)的安全要求，本文提出了信息安全運(yùn)維審計(jì)的網(wǎng)絡(luò)模型，并分析對(duì)比了基于旁路及代理的運(yùn)維審計(jì)網(wǎng)絡(luò)模型，實(shí)現(xiàn)了對(duì)運(yùn)維人員、主機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理和授權(quán)，并對(duì)運(yùn)維人員的操作過程進(jìn)行控制、記錄及回放。對(duì)運(yùn)維審計(jì)模型的訪問及控制機(jī)制作了詳盡的描述分析。作為信息安全建設(shè)中不可或缺的部分，信息安全運(yùn)維審計(jì)在保障企業(yè)信息安全及完整中起到了至關(guān)重要的作用。