1 引言
随着智能电网的发展,电力信息网终端设备接入不断增多,接入设备类型也趋向多样化,对终端设备接入行为的有效管控,及时阻断未知终端或非法终端接入、隔离存在异常异常行为的已接入终端成为日常信息安全运维的重点工作[1、3]。
以淮南供电公司为例,信息运维人员定期对各区域进行接入设备巡检,确定未知接入设备并处理,无法对未知终端接入进行及时的感知进而采用有效的隔离,给信息内网带来了一定的安全风险[4]。同时各终端上通过安装北信源桌面行为管理软件(简称VRV)对终端使用行为进行收集并告警,但目前告警由运维人员获取后进行处理,存在一定的滞后,对终端异常行为管控力度较弱。为此,通过终端接入管控体系建设,以终端接入、终端行为监控为基础,结合终端接入控制方法,实现对终端接入的全方位管控,提升电力信息网的终端安全管理水平。
2 地市电力公司终端接入管控体系方法
2.1体系建设目标
在已有VRV桌面管控系统及趋势防病毒系统的基础上建设终端接入管控体系,体系将围绕网络设备、网络资源及终端设备三类网络构成要素,建立公司的网络构成要素台账数据库及网络接入安全策略凭条,以此为基础对接入设备及终端设备进行安全审计,辅以交换机控制技术实现对网络接入行为进行控制,以提升公司网络管理效率,对网络安全多重防护机制。
2.2体系建设方法
体系建设包括合法终端设备台账建设,终端接入检测与终端行为审计以及终端准入控制技术三块。
2.2.1检测基线台账数据库建设
网络终端接入要素包括网络中接入的终端设备、服务器、网络设备等网络接入对象,网络接入对象存在各个范畴的属性,体系关注于网络接入控制,因此抽象出各类接入对象与网络接入相关的对象属性并建模,进而形成对象台账的元数据。再通过搜集目前所有接入网络的设备类型,并选取设备类型与网络安全及网络拓扑分析相关的属性参数形成该设备类型的接入要素模型,并依据接入要素模型对各类设备类型对应的设备集合进行梳理与录入,形成检测基线台账数据库。
2.2.2设备接入及终端行为监测
未知接入设备及存在异常行为(违规外联、弱口令、感染病毒、未安装最新补丁等)的终端给信息网安全带来一定安全隐患,需要对未知接入行为及终端的异常行为进行高效、准确的自动化监测,及时发现终端安全隐患。
(1)未知接入设备识别:通过接入层交换机接入网络的未知设备是网络中的潜在安全隐患,虽不能通过汇聚层交换机访问整个网络,但是能访问汇聚层交换机下的局部网络,因此给整个网络带来了潜在风险。为快速发现未知设备并进行阻断,以接入设备台账基线为可信设备集合,通过后台服务定期扫描所有接入层交换机,获取接入层交换机的设备MAC表,通过比对可信设备集合和接入设备MAC表发现未知的接入设备及其所在端口,并通知网络运维人员进行处理。
(2)终端异常行为审计:在运的VRV系统及趋势防病毒系统能判断出终端的部分异常行为,如违规外联、弱口令、病毒感染等,但由于缺乏有效的联动机制,导致审计数据只用于告警,不能对异常终端进行网络接入审计并隔离,无法及时消除异常终端对网络带来的安全隐患。为此通过数据库触发器技术及时接入VRV系统及趋势防病毒系统的终端审计记录,并根据记录级别确定终端的异常行为类型,作为触发终端准入控制的源数据。
2.2.3终端接入准入控制
针对未知接入终端及发生异常行为的终端,采用在核心交换机ARP阻断方法实现准入控制,通过将终端的MAC地址绑定到到未使用的IP地址实现对终端接入行为的控制。同时为增加ARP绑定操作的自动化执行程度,利用SNMP操作完成交换机的ARP绑定操作操作。
2.3建设效果
通过体系建设实现了地市公司终端接入的统一管理,有效避免了未知终端及异常终端对信息网带来的安全风险,提高了终端异常处理效率。在实际运行中,某终端插入了未注册的U盘,体系支撑工具在10秒内发现并进行了阻断,并第一时间通过短信告警,此后运行监控组通过电话与终端使用人员进行沟通确认了未注册U盘的使用,如图1。
图1 终端异常行为审计及阻断控制实例
3 结语
电力网络终端接入的有效管控是日常网络运维中的重点工作。本文依据P2DR理论给出了一种适合地市电力公司使用的终端接入管控体系,通过建立终端台账基线,监测未知接入及终端异常行为,并进行合理阻断,一方面保障了可信设备的安全接入,同时也能及时发现未知接入设备及异常设备,较好了实现了电力网络接入设备的全面管控,具有较好的实用价值。
