基于SSH运维代理调度数据网远程访问加固及集中监控工具.docVIP

基于SSH运维代理调度数据网远程访问加固及集中监控工具 　　[摘 要]针对传统安全审计类产品无法现实对调度数据网加密协议SSH、图形访问协议的识别和管理，通过基于SSH运维代理的调度数据网远程访问加固及集中监控工具的研制，利用堡垒机技术构建运维安全管控系统，实现对SSH会话的全周期监控、管理和审计，有效防范来自企业内网的安全威胁及风险，确保调度数据网的网络安全，保障电力调度自动化系统安全、稳定运行。 　　[关键词]调度数据网；堡垒机；运维审计；安全加固 　　中图分类号：S136 文献标识码：A 文章编号：1009-914X（2018）08-0096-02 　　0 引言 　　随着电力调度自动化水平不断深入，调度自动化系统的运维量持续增加，需内部运维人员及第三方厂商技术人员协同维?o各应用系统，运维人员潜在违规操作导致的安全问题日益突出，来自企业内的安全威胁日益增多，综合防护、内部威胁防护等思想越来越受到重视，而国网公司及省公司的政策也纷纷对运维人员的操作行为的监管与审计提出了明确要求。防火墙、防病毒、入侵检测系统等常规的安全产品可以防范来自外部的安全隐患，但对于内部人员的违规操作却无能为力。如何有效地监管第三方厂商及内部运维人员的操作行为，并进行严格的审计是电力调度数据网安全管控面临的一个关键问题。 　　1.调度数据网远程访问现状 　　随着网络防火墙、病毒防火墙、入侵检测等硬件设备的普及，企业信息安全视线逐渐转向IT运维人员。目前，设备调试厂家可以在其他地市、厂站等访问主站调度自动化系统及调度数据网中路由器、交换机等自动化基础设施，这些过程一般只有远程访问开始时有所记录，远程访问过程中对远端运维人员执行的命令、操作均无法进行核实、监控、督查。由于系统运维人员掌握着信息系统的最高权限，一旦运维操作出现安全问题将会给电网带来巨大的危害。加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。如何加强网络安全的监管，确保调度数据网的安全，是保障电力调度自动化系统安全稳定运行的前提。 　　国网阜阳供电公司虽已部署了一系列安全设备，但传统的防护手段中：防火墙只能进行网络层访问控制，无法对系统层访问进行控制，更谈不上操作内容管理；而IDS、IPS侧重于系统层、网络层攻击事件的检测，缺乏对操作的控制能力。各类运维人员的操作行为无专属的审计记录，审计力度不够。调度自动化各信息系统网络设备、主机系统、数据库分别单独记录日志，没有统一的审计策略，并且各系统自身日志记录深浅不一，难以及时通过系统自身日志发现违规操作行为和追查取证，无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计。 　　2.堡垒机简介及工作原理 　　（1）堡垒机的简介 　　堡垒机（也称堡垒主机）技术，成为国际内网安全研究前沿迅速崛起的“新星”，是管控IT运维人员访问核心IT资产的专用系统主机。目前主流的内控堡垒机所应用的主要技术包括：逻辑命令自动识别技术、分布式处理技术、图形协议代理、多进程/线程与同步技术、数据加密技术等。 　　堡垒机能够对日常所见到的运维协议如SSH/FTP/Telnet/SFTP/Http/Https/RDP/X11等会话过程进行完整的记录，以满足日后审计的需求；审计结果可以录像和日志方式呈现，录像信息包括运维用户名称、目标资源名称、客户端IP、客户端计算机名称、协议名、运维开始时间、结束时间、运维时长等信息。 　　（2）工作原理 　　堡垒机作为内控管理运维操作审计手段被部署在内网中的服务器和网络设备等核心资源的前面，对运维人员的操作权限进行控制和操作行为审计，即既解决了运维人员权限难以控制的混乱局面，又可对违规行为进行控制和审计。其对于运维操作人员相当于一台代理服务器（ProxyServer），其工作流程如图1所示： 　　a.运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求；b.该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设备完成该操作，之后目标设备将操作结果返回给堡垒机，最后堡垒机再将操作结果返回给运维操作人员。 　　通过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，建立了从“运维人员→堡垒机用户帐号→授权→目标设备帐号→目标设备”的管理模式，解决操作权限控制和行为审计问题的同时，也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。堡垒机运维审计的工作原理如图2所示： 　　一个好的运维审计堡垒机产品需实现对服务器、网络设备、安全设备等核心资产的运维管理帐号的集中认证和授权，通过单点登录，提供对操作行为的精细化管控和审计，达到对运维人员的远程访问集中管控和安全防护的作用。 　　3.工具研究内容 　　基于SSH运维代理的调度数据网远程访问加固及集