随着电力企业信息化发展至高级应用阶段,电网应用及数据的安全性、业务连续性要求越来越高。但是,来自系统内部或外部的维护行为被给予了过分的信任,当前未受到应有重视,存在巨大的管理漏洞和潜在风险。
目前,各电力企业纷纷部署了防火墙、IPS、网
络防病毒系统、漏洞扫描系统等安全产品,建立了较为完善的信息安全防护体系,取得了一定效果,但网络安全故障仍时有发生。令人惊奇的是,造成这些不合规、不合法的行为很多来源于内部“合法”的用户操作。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作而导致数据误删除、数据破坏、数据泄密等致使企业利益、公众利益和国家利益受损的行为,却无能为力。
针对这一系统性风险,公安部在《信息系统安全等级保护基本要求》中明确要求,对于二级(含)以上的重要信息系统网络安全、主机安全、应用安全均要求具备安全审计功能。国家电网公司也根据自身需要对下属企业IT内控提出了相应的要求。因此,对设备维护行为采取行之有效的控制和审计措施,弥补这一信息化安全管理的盲区,是当前电力企业信息安全建设的当务之急。
从堡垒主机到内控堡垒主机
堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机安全的目的。其目标是通过综合采用虚拟化技术、协议代理技术和身份认证、访问控制与操作审计等多种信息安全技术,实现员工和管理人员对内部网络特定资源的安全访问,同时对访问和操作的过程进行完备的审计记录。
目前,各级电力企业均已部署了一系列安全设备,但传统的防护手段中,防火墙只能进行网络层访问控制,无法对系统层访问进行控制,更谈不上操作内容管理;而IDS、IPS侧重于系统层、网络层攻击事件的检测,缺乏对操作的控制能力;传统安全审计类产品无法实现对加密协议SSH、图形访问协议的识别和管理。
信息系统的运行由一系列的人员行为和系统行为组成,信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。 既然传统的安全设备都无法解决运维行为审计的问题,能否另辟蹊径,在维护人员(内部的、外部的)和信息系统(网络、主机、数据库等)之间搭建一个唯一的入口和统一的交互的界面?答案是肯定的。依托堡垒主机的理念,可以构造一种专门应用于信息系统运维行为控制和审计的堡垒主机。它作为一座桥梁,不但能够规范和控制所有维护人员的行为,而且具备强大的输入输出审计功能,能够详细记录用户操作的指令和操作过程,这就是内控堡垒主机,也可以称之为“运维审计系统”。
系统设计
1.系统架构
在电力企业IT 运维过程中,维护人员既有内部人员,也有来自外部的系统集成商、服务外包商、应用开发商、设备原厂商人员。维护对象主要包括:主机、网络设备、安全设备、数据库以及各类应用软件。维护人员主要通过Telnet、SSH、VNC、RDP等方式对维护对象进行维护操作,运维审计系统的功能重点是将这些管理员维护的过程进行记录,并提供客观的审计依据,便于企业对管理员行为进行高效审计,如下图所示。
系统应采用旁路部署方式,对网络原始结构不造成影响,用户只需为运维审计系统分配一个能够接入用户网络的IP地址即可,所有由客户端发起的服务器维护协议均通过运维审计系统进行转发,如SSH、Telnet、RDP等协议,而正常的服务器对外业务则不通过运维审计系统,因此,运维审计系统不会影响服务器的正常对外业务。运维审计系统采用B/S管理架构,管理员可以在远程通过浏览器进行管理。
2.系统自身安全性
内控堡垒主机是信息基础设施(服务器、网络设备等)维护的统一入口,是最容易遭受攻击的主机,其配置与通常的主机相比明显不同,所有不必要的服务、协议、程序和网络接口都将被禁用或删除,以达到“最小化安全”,以强化堡垒主机,极大地限制可能出现的网络攻击。
为此,运维审计系统采用软硬件一体化架构,基于嵌入式开发技术,将定制的64位Linux内核固化至硬件上,操作系统采用最小化安装,除了必要的内核、驱动等程序外,其他组件、程序包尽量去除。同时,关闭不必要的应用、服务、端口,开启自身的防火墙功能,提高堡垒主机自身的安全防护能力。
3.运维账号管理
运维审计系统可以统一管理所有信息系统的运维账号。为了强化安全性,运维审计系统另外为每一位运维人员分配一个运维账号并为其分配权限,这一套帐号并非信息系统真正的管理账号,但与信息系统真正的管理账号相关联。这样,每一位运维人员无须知道也无法知道系统真正的账号。运维审计系统支持多用户管理,企业可以根据自身组织情况设定配置管理员、审计员、操作管理员等角色,并为每个用户设定详细的访问控制规则。运维审计系统权限管理为细粒度控制方式,能够为每个用户分配任意功能模块组合权限,如:查询日志、回放文件查看、规则配置、用户管理、系统自身管理等等。运维审计系统密码策略管理对密码强度、密码使用期限、账号锁定、账号起/停、用户分组等进行管理,能够有效保证运维账号的安全。支持与RSA、安盟动态令牌等第三方认证系统结合,对系统用户进行认证。
4.维护协议支持
运维审计系统支持电力企业内部运维审计所要求的所有协议类型,主要包括:
①基本远程操作协议,如SSH、TELNET、Rlogin、FTP等;
②图形终端操作协议,如RDP(windows远程桌面)、VNC等;
③数据库远程协议,如ORACLE、DB2、MS-SQL SERVER、INFORMIX、MySQL、SYBASE等。
针对上述协议,运维审计系统能够记录整个会话的完整过程,并形成指令日志及回放文件两部分审计数据,指令日志供管理员针对操作指令进行快速审计,回放文件可供管理员针对特定的会话进行完整操作审计。
5.运维审计功能
运维审计系统支持针对Telnet、FTP、SSH、Rlogin各类服务器、网络及数据库操作行为记录并进行查询。运维审计系统查询模块采用了自主研发的强大检索引擎,可以根据上述操作协议中的用户名、IP、端口、时间、操作指令、返回结果等等信息进行多重组合查询。管理员可以通过运维审计系统强大的检索功能对关心的事件进行迅速定位。
6.视频回放功能
运维审计系统支持对各类支持的协议进行视频回放,管理员可以根据IP、时间段等信息查找关心的RDP、VNC等操作的回放文件并进行在线视频回放,也可以根据查询结果直接定位至TELNET、SSH、数据库、FTP等远程维护操作的回放文件直接进行回放审计。回放过程能够还原上述协议中的所有操作行为,就如同对管理员的操作显示器进行监控一样。
运维审计系统回放视频无需客户端安装第三方播放软件,直接内置于运维审计系统管理客户端中,回放系统支持常见的视频播放控制操作,如拖动进度条,播放速度加快/减慢,暂停等等。
7.异常操作阻断及告警
运维审计系统支持通过规则设定异常及非法操作行为,一旦检测到这些异常的操作行为,运维审计系统将直接阻断此操作,并断开该操作的TCP连接,因而能够有效防止各类违规操作事件的发生。同时运维审计系统也支持对危险指令的告警功能,能够通过短信、邮件等方式将告警信息及时发送给管理员。告警及阻断规则支持用户自定义,规则可以根据IP、用户名、指令、返回结果等信息进行。
8.统计报表功能
运维审计系统支持报表生成功能,内置了多种报表模板,同时支持用户自定义报表。报表符合萨班斯SOX法案审计需求,如《账号异常登录情况报表》、《操作系统危险指令报表》、《数据库危险指令报表》、《主机登录合法性审计报表》、《数据库登录合法性审计报表》、《特定用户操作审计报表》等。
实施效果
运维审计系统项目的实施有效地规范了内外部信息管理维护人员对服务器、数据库等IT基础设施的维护行为,弥补了对服务器等重要设施的维护行为的控制、审计的空白,强化了信息安全保护体系,有利于信息系统更好地运行,有利于保证企业运行的连续性和安全性,极大地减少了对信息化设施的误操作和恶意操作的概率,使企业IT基础设施维护行为的审计能力从无到有,节省了大量人力物力,缩短故障和安全事件的定位时间,大大提高了信息系统运行维护能力和效率。
同时,运维审计系统对所有的维护行为进行指令记录和录像,为信息网络故障的追溯提供了有力的技术性保障,为事前防范和事后定位信息系统故障提供可科学、高效的手段,降低了信息系统安全风险,避免了潜在的资产损失。
作为企业信息安全保障体系的重要组成部分之一,运维审计系统创新地采用堡垒主机的设计理念,在运维人员与IT设施之间设置了一道屏障、唯一入口,它可以有效提高服务器等重要信息基础架构的安全级别,辅助对信息安全故障和安全事件的全面记录和事后追溯定位,能够有效帮助电力企业弥补安全漏洞、完善系统安全防护体系,提高信息系统运行的安全性和事件的追溯能力。
(作者单位:浙江省杭州市萧山供电局)