网络边界违规内联检测定位与阻断系统在电力内网中应用研究.docVIP

网络边界违规内联检测定位与阻断系统在电力内网中应用研究 　　摘 要 随着智能电网不断发展，电力企业传统隔离网络的边界不断动态调整，存在着物理隔离网络被跨网入侵这一重大隐患风险。因此，确保电力信息网络边界完整性，实现内外网边界可感、可视和可知是电力企业安全防护迫切需要解决的难题。本文针对边界安全出现的新问题新隐患，通过对网络边界链路，端口，设备等边界节点的全方位安全要素获取、分析、展示和处置，实现了对电力企业网络边界违规内联检测、定位与阻断控制，系统的应用显著提升了电力企业网络安全的风险管控能力和安全防护能力。 　　【关键词】违规内联 边界完整性 协同防御 　　1 引言 　　网络应用技术的飞速发展给网络安全带来了极大的挑战，一方面网络安全技术已成为网络应用的制约因素和性能瓶颈，另一方面人们对网络安全的认识受传统意识的影响和商业化氛围的影响，存在较大的片面性和局限性，使得网络安全的形势不容乐观。同时，非授权设备（无线AP、随身Wi-Fi等）违规内联行为会大大扩展和破坏已有的网络边界，使得原本清晰的网络边界变得模糊和难以管控，会给企业现有内部网络带来巨大安全风险，使得在边界防护方面的努力付出和巨额投入都可能功亏一篑。 　　电网作为我国关键基础设施，其安全性是影响国家经济社会发展的全局性、战略性问题之一，因此，电网网络信息安全已成为国家安全的重要组成部分。“互联网+“业务不断推动和提升电力企业生产、运行和经营管理水平，电力企业网络边界不断发生变化和调整，无线Wi-Fi及智能终端技术的发展，使得网络边界遭受破坏的概率大幅提升，且隐蔽性极强，私接无线设备可使得网络边界完整性轻易遭受破坏，我们需要一种行之有效的检测技术和方法，能够有效识别非授权接入的无线AP及随身Wi-Fi等设备，同时提供针对违规接入设备的快速网络定位及阻断控制，可有效弥补当前网络违规内联检测、定位以及阻断控制能力的不足，加强和保护企业现有内部网络的边界安全。 　　2 网络边界面临的问题 　　随着智能电网建设的不断深入，?力信息网络逐渐成为承载电力企业生产、营销与企业经营管理关键基础平台。现如今，电力网络组成了一个边界巨大、多样的泛在广域网络，使得电力行业整体面临着随之而来的各种网络与信息安全攻击与威胁，功能强大的勒索病毒、变化多样的非法入侵方式，不断暴露出的安全漏洞极大地增强了电力企业网络安全风险，面对这些风险，建立一个可感、可知、可视的边界环境是做好安全防御的第一道门槛，只有安全的、完整的网络边界才能阻止非法的网络入侵和访问，建立相对良好的网络安全环境。 　　目前在网络边界安全防御中，存在不能有效的感知一个运行网络中边界状态的问题，而网络中任意的接入导致网络边界发生变化，从而引发越来越严峻的网络安全问题。主要问题体现在以下几点： 　　2.1 原有网络边界遭到成倍放大和破坏 　　私接设备尤其是私自将无线AP接入到内部网络，使得本应局限在内部建筑的网络边界，直接辐射到以建筑为核心的方圆50米甚至更远的距离，大大扩展及破坏了内网已有的网络边界，使得内部网络遭受攻击以及侵入的风险急剧增加，其危害相较于非法外联，引发的安全风险甚至更高。 　　2.2 易遭受入侵，安全风险极高 　　很多私接设备（如手机、平板等）的安全性本身很差，运行的应用鱼龙混杂，接入内部网络后，容易带入病毒或木马等，风险极高。其次，私接的无线AP虽提供了一定的安全措施，但常因使用者的安全意识及技术水平的限制，无法充分发挥AP自身的安全防护能力，加上AP常用的WEP加密的脆弱性，使得AP很容易遭受攻击和破解，外部入侵者可以轻易的在方圆50米甚至更远的距离上，通过破解以及欺骗的手段，通过AP直接侵入内部网络，轻易对内部网络实施其破坏行为。 　　2.3 难以监管，管理者很难发现私接设备的行为 　　对于网络内部还存在HUB或者类似HUB接入的网络，针对私接路由设备的监管非常困难，管理者很难区分清楚这些提供HUB接入的设备是合法的还是私接的。 　　更难以监管是通过NAT方式接入的路由设备，包括随身Wi-Fi设备，即使管理者通过MAC和设备端口绑定的方式进行限制，建立了基于802.1X的接入控制体系，此类设备仍可通过欺骗等手段方便的接入，这种接入的隐蔽性和欺骗性，使得管理者难以发现，更谈不上监管。 　　3 系统的总体架构设计 　　贵州电网有限责任公司贵阳供电局于2017年启动了从保护企业内部现有网络边界完整性、降低信息安全事件发生概率、弥补安全管理上的不足、完善安全管理体制建设等方面入手的网络边界违规内联检测、定位与阻断系统的应用研究工作。 　　系统包括主扫描检测系统（包括主扫描引擎系统、数据库系统和前台用户管理系统三部分）和无线扫描探针系统共两大部分，总体采用B/S架构。如图1所示。