电力内网违规外联安全监控研究

陈晓杰，洪志华，孙夷泽，王勇

（宁波电业局，浙江宁波315010）

电力内网违规外联安全监控研究

陈晓杰，洪志华，孙夷泽，王勇

（宁波电业局，浙江宁波315010）

电力信息化的发展，信息安全已经成为确保电网稳定安全运行的重要因素。随着互联网的不断发展，新技术的广泛应用，电力内网计算发生安全事件日益增多，违规外联行为给内网保密带来了巨大风险。违规外联导致信息泄密，也为黑客攻击提供了机会。通过对当前违规外联监控方法的分析，提出了改进的违规外联监控方案，该方案能够全面监控内网计算机违规外联和外部计算机违规接入内网，并能够实时产生告警信息及时通知内网安全管理员。

网络安全；违规外联；违规接入；双机方式；代理方式

根据国家信息安全防护要求，为提升企业信息安全防护能力，提高信息系统安全运行水平，电力企业已经实施了内外网隔离，实现了企业信息内网与互联网的安全隔离，有效提升了企业内部信息网络的安全性和保密性。随着移动网络的普及，互联网覆盖范围越来越大，由于企业员工内网信息安全意识还不到位，违规外联行为时有发生，防治违规外联已经成为电力企业信息安全防护的重要课题。

1 主要的违规外联监控技术

目前普遍采用的是双机方式违规外联监控和代理方式违规外联监控这2种监控技术。双机方式违规外联监控技术主要通过在内外网部署探测服务器、探测数据包的方式来监控违规外联行为。代理方式违规外联监控技术主要通过在终端部署代理驱动软件、监控终端数据包和路由表信息来监控违规外联行为。

1.1 双机方式违规外联监控

双机方式违规外联监控是通过TCP/IP协议攻击欺骗的方式来实现的，监控系统主要由内网发包服务器和外网监控报警服务器两部分组成。系统部署比较简单。

双机方式违规外联监控的过程如下：内网发包服务器向内网终端发送探测数据包，该数据包的源IP地址是外网监控报警服务器的IP地址，联入外网的内网终端会把该回包响应发送给外网监控报警服务器，外网监控报警服务器即可将该违规外联告警发送给安全管理员，并记录该违规外联内网终端的相关识别信息。

但双机方式违规外联监控存在以下缺陷：

（1）内网终端的安全防护阻断了内网探测包，导致违规外联的内网终端无法响应探测数据包。

（2）假使处于内部网络的计算机先断开内网，然后再接入外网，内网发包服务器的探测包就不会达到被监控的主机。

（3）如果违规外联内网终端的防护软件阻断了告警数据包的发送，那么监控告警服务器就收不到告警数据包，也就无法检测到违规外联事件的发生。

（4）由于此技术类似于网络攻击，所以存在被误报成病毒、恶意攻击的可能。

（5）在具有一定规模的内网中部署内网发包服务器较为复杂。电力企业的信息内网规模都比较庞大，包含了各类局域网，这些隔离的子网会阻断或者过滤内网发包服务器发送的探测数据包，导致探测数据包无法有效传递到各内网终端，需要在每个子网均部署发包服务器。

1.2 代理方式违规外联监控

代理方式违规外联监控通过部署在内网终端上的违规外联监控代理软件来实现监控。违规外联监控代理和违规外联监控报警中心是代理方式违规外联监控系统的重要组成部分。

违规外联代理监控代理软件根据安全管理员设置的安全策略实时监控宿主内网终端的违规行为，并按照要求的格式和规定的频度把该宿主内网终端的相关信息上传至监控报警中心。当监测到内网终端有违规外联行为时，违规外联代理软件就会主动切断该内网终端的网络连接。违规外联代理软件能根据监控报警中心发布的策略进行更新和升级，并具备进程保护能力，以防被用户非法终止。

监控报警中心是指部署在内网服务器上对违规外联代理进行监控管理的程序。监控报警中心能实时响应违规外联代理发起的连接请求，并完成相应的信息传递，还能够根据管理员的要求对接收到的信息进行分类归档，以供安全审计。

代理方式违规外联监控过程如下：违规外联监控代理实时监控所在内网终端的上网行为，定期将收集到的内网终端信息发送到监控报警中心。当监测到异常情况时，违规外联代理就会立即上报监控报警中心，再由监控报警中心告知安全管理员。

相对于双机方式，代理方式违规外联监控的准确性有很大的提高，减少了误报、漏报的概率，并能及时阻断违规外联终端的网络连接。但这种方式也有其缺点：

（1）如果违规外联监控代理保护不当，被用户终止后，系统就无法再监控违规外联行为。

（2）如果安装在内网终端上的安全防护软件阻断了监控代理与监控报警中心之间的通信，那么监控代理就无法把监控到的异常信息上报给监控报警中心，将导致违规外联监控的失效。

1.3 双机方式与代理方式的优缺

代理方式相比双机方式违规外联监控，准确性高，但实现相对复杂。每台被保护的内网主机都需要部署违规外联监控代理程序，安装部署的人力成本高，并且要保证该违规外联监控代理进程不能被用户终止。双机方式违规外联监控无需在被监控内网终端上安装任何软件，部署简单方便。但双机方式违规外联监测方式也存在着以下难以解决的问题：

（1）违规外联终端和外网监控报警服务器之间的信息传递必须选择合适的网络协议，以绕开防火墙等安全防护设施，确保通信的可达性。

（2）有些操作系统根据发送请求包设备的IP地址进行响应，而不是根据请求包的源IP进行响应。这将导致响应数据包被重新传回内网，而不会被外网监控服务器接收。

1.4 内网违规接入控制

内网违规接入控制是违规外联安全监控的基础，内网违规接入行为是指主机或终端未经授权而非法接入内网，通过IP地址盗用非法接入是实现内网违规接入的主要手段。目前的解决方法是通过IP-MAC绑定来防止IP地址盗用进行非法接入。如果违规接入用户同时修改了IP和MAC，使得IP-MAC配对信息与合法绑定列表一致，就可以有效避免内网接入控制。

2 混合方式违规外联监控方案

2.1 混合方式违规外联监控方案概述

在目前2种违规外联监控解决方案的基础上，各取其长，提出了混合方式违规外联监控解决方案。混合方式解决方案由内网平台和外网平台组成，采取内网平台为主、外网平台为辅的系统架构，其中外网平台是1台独立的外网违规外联监控服务器；内网平台由内网违规外联监控代理和违规外联监控服务器组成。

2.1.1 内网违规外联监控服务器

内网违规外联监控服务器应具备以下功能：

（1）扫描内网在线设备，收集内网在线设备信息，建立可信内网主机列表以提供初始数据。

（2）向内网的违规接入设备发送欺骗包，阻断内网违规接入。

（3）向违规外联监控代理发布违规外联安全策略和升级文件。

（4）向信息安全管理员实时发送安全事件告警信息。

（5）接收内网违规外联监控代理上报的安全事件信息。

（6）对收集信息进行分类归档，为信息事件安全审计提供依据。

2.1.2 违规外联监控代理

违规外联监控代理应具备以下功能：

（1）监测宿主主机的违规外联情况。

（2）及时将发现的信息安全事件上报内网违规外联监控服务器和外网违规外联监控服务器。

（3）将宿主主机的运行信息和代理程序的运行信息周期性上报内网违规外联监控服务器。

（4）向内网违规接入设备发送欺骗包，阻断违规接入。

（5）记录用户断开内网时期的违规外联嫌疑行为日志。

（6）对断开内网上外网、再重新联入内网的行为进行上报。

外网违规外联监控服务器是混合方式违规外联监测方案的重要辅助系统，对违规外联监控起到了重要的完善作用。在内网违规外联监控服务器无法接收违规外联代理上报的信息安全事件的情况下，外网违规外联监控服务器可以通过外网接收违规外联日志信息，并通告信息安全管理员。

2.2 混合方式违规外联监控方案研究

2.2.1 违规外联监控

违规外联行为监控由监控内网主机路由表实现。任何主机要与其他网络通信必须要有到这个目标网络的路由。缺省情况下，企业内网主机的路由表中只有一条默认路由，其下一条地址就是本机网关地址。如果这个网关的IP地址或MAC地址出现错误，就会导致主机与其他网络之间的通信不可达。所以，监控主机路由表是监控主机违规外联的有效方法。具体过程如下：定义一条缺省的内网主机路由，包括网关的IP地址和MAC地址，作为基准路由。如果内网主机修改了该基准路由信息，说明该内网主机试图连接未经授权的网络，表明该内网主机具有违规外联的倾向。

违规外联监控代理定期轮询宿主主机的路由表，并将该路由表与基准路由进行比对，一旦出现基准路由信息与内网主机路由信息不一致，就记录该主机信息，并上报内网违规外联监控服务器，同时删除路由表，切断该主机的网络连接，阻断这次违规外联行为。如果无法上报内网违规外联监控服务器，违规外联代理就向外网违规外联监控服务器上报，通过外网违规外联监控服务器将告警发送至信息安全管理员。

2.2.2 违规外联嫌疑监控

违规外联嫌疑行为主要指内网主机中断内网连接，再联入外网的行为。违规外联嫌疑监控是对违规外联监控预警的完善和补充。违规外联嫌疑行为一般发生在内网违规外联监控代理与内网违规外联监控服务器通信异常的情况下。当内网违规外联监控服务器没有收到内网违规外联监控代理上传信息，也没有收到内网违规外联监控代理上传的关机信号时，内网违规外联监控服务器就会向该主机的违规外联监控代理发送TCP探测包。如果内网违规外联监控服务器未收到回复包，就说明该主机的网络连接已经断开，或出现了非法关机的情况。如果收到了该主机TCP RST回包，则说明该主机上的违规外联监控代理进程已经被屏蔽，系统就会生成违规外联嫌疑记录并上报网络安全管理员。如果没有收到回复，则说明该内网主机已经被防护屏蔽或网络物理连接已断开，监控代理将记录在违规外联嫌疑日志，待该内网主机联入外网时，监控代理就会把违规外联日志上报至外网违规外联监控服务器；或待下次监控代理正常连接内网监测服务器时，将情况上报；如果内网违规外联监控服务器监测到内网主机长期不在线，系统也会生成违规外联嫌疑记录并上报网络安全管理员。

2.2.3 内网违规接入监控

本文在ARP欺骗伪造网关的基础上，提出了一种改进的ARP欺骗方式来阻断联网计算机的正常通信。内网违规外联监控服务器通过与内网违规外联监控代理互动，建立了合法联网计算机列表。内网违规外联监控服务器周期性地对联网设备进行轮询，并把轮询结果与可信任计算机清单进行比较。如果发现有未安装违规外联监控代理的联网设备，违规外联监控服务器就认为是违规接入设备，违规外联监控服务器就会向该违规接入设备发送ARP欺骗包，把伪造的网关地址信息与合法联网设备的地址信息发送给这台违规接入设备，使该主机无法获得正确的ARP列表，从而阻断该主机与本地网络及其他网络的正常通信。还可以利用主机操作系统的IP控制列表，阻断与其他主机的连接，从而阻断其他主机通过本地主机进行违规内网接入。

3 结语

本文对违规外联行为进行了分析，对当前的违规外联监测方案进行了深入的比较研究。根据目前方案中的缺陷和不足，提出了改进的违规外联监控方案，从技术层面断绝了违规外联事件的发生，可有效保障信息内网安全。

[1]谢家荣.涉密计算机保密防范技术研究[J].计算机与数字工程，2000，28（5）∶63-66.

[2]过莉.企业计算机网络安全防护的几点措施[J].广东电力，2005，18（6）∶87-89.

[3]李建.计算机网络安全的现状及探讨[J].职业技术，2008（1）∶86-86.

[4]隋广涵.非法外联监控系统的研究与实现[D].吉林大学，2005.

[5]禹晓庆.网络物理隔离安全防御技术[J].中国电子出版，2000（6）∶59.

[6]杜虹.谈谈“内网”安全[J].信息安全与通信保密，2005（1）∶81-81.

[7]黄建辉.一个内网监控系统的研究与实现[D].浙江工业大学，2009.

（本文编辑：徐晗）

Research of Safety Supervision on Unauthorized External Connection in Inner Electric Power Networks

CHEN Xiao jie，HONG Zhi hua，SUN Yi ze，WANG Yong
（Ningbo Electric Power Bureau，Ningbo Zhejiang 315010，China）

With the development of electric informatization，information security has become an important factor for safe and stable operation of power grid.As the internet continues to develop and the extensive application of new technologies，security incidents increasingly take place in intranet computers，and unauthorized external connection brings significant risks to the confidentiality of intranet.Unauthorized external connection results in information leakage,which gives opportunity to hacker attack.By analyzing the method of monitoring unauthorized external connection,the paper proposes an improvement scheme，which enables comprehensive monitoring on unauthorized external connection of computers in intranet and unauthorized access of external computers to intranet；furthermore，the scheme enables the generation of warning information to inform safety administrator of intranet in due cause of time.

network security；unauthorized external connection；unauthorized access；two-machine mode；agent mode

TP311.563

：B

：1007-1881（2013）10-0070-04

2013-01-17

陈晓杰（1982-），男，浙江宁波人，工程师，从事信息网络安全工作。