网络边界违规内联检测、定位与阻断系统在电力内网中的应用研究

摘 要 随着智能电网不断发展，电力企业传统隔离网络的边界不断动态调整，存在着物理隔离网络被跨网入侵这一重大隐患风险。因此，确保电力信息网络边界完整性，实现内外网边界可感、可视和可知是电力企业安全防护迫切需要解决的难题。本文针对边界安全出现的新问题新隐患，通过对网络边界链路，端口，设备等边界节点的全方位安全要素获取、分析、展示和处置，实现了对电力企业网络边界违规内联检测、定位与阻断控制，系统的应用显著提升了电力企业网络安全的风险管控能力和安全防护能力。

【关键词】违规内联 边界完整性 协同防御

1 引言

网络应用技术的飞速发展给网络安全带来了极大的挑战，一方面网络安全技术已成为网络应用的制约因素和性能瓶颈，另一方面人们对网络安全的认识受传统意识的影响和商业化氛围的影响，存在较大的片面性和局限性，使得网络安全的形势不容乐观。同时，非授权设备（无线AP、随身Wi-Fi等）违规内联行为会大大扩展和破坏已有的网络边界，使得原本清晰的网络边界变得模糊和难以管控，会给企业现有内部网络带来巨大安全风险，使得在边界防护方面的努力付出和巨额投入都可能功亏一篑。

电网作为我国关键基础设施，其安全性是影响国家经济社会发展的全局性、战略性问题之一，因此，电网网络信息安全已成为国家安全的重要组成部分。“互联网+“业务不断推动和提升电力企业生产、运行和经营管理水平，电力企业网络边界不断发生变化和调整，无线Wi-Fi及智能终端技术的发展，使得网络边界遭受破坏的概率大幅提升，且隐蔽性极强，私接无线设备可使得网络边界完整性轻易遭受破坏，我们需要一种行之有效的检测技术和方法，能够有效识别非授权接入的无线AP及随身Wi-Fi等设备，同时提供针对违规接入设备的快速网络定位及阻断控制，可有效弥补当前网络违规内联检测、定位以及阻断控制能力的不足，加强和保护企业现有内部网络的边界安全。

2 网络边界面临的问题

随着智能电网建设的不断深入，電力信息网络逐渐成为承载电力企业生产、营销与企业经营管理关键基础平台。现如今，电力网络组成了一个边界巨大、多样的泛在广域网络，使得电力行业整体面临着随之而来的各种网络与信息安全攻击与威胁，功能强大的勒索病毒、变化多样的非法入侵方式，不断暴露出的安全漏洞极大地增强了电力企业网络安全风险，面对这些风险，建立一个可感、可知、可视的边界环境是做好安全防御的第一道门槛，只有安全的、完整的网络边界才能阻止非法的网络入侵和访问，建立相对良好的网络安全环境。

目前在网络边界安全防御中，存在不能有效的感知一个运行网络中边界状态的问题，而网络中任意的接入导致网络边界发生变化，从而引发越来越严峻的网络安全问题。主要问题体现在以下几点：

2.1 原有网络边界遭到成倍放大和破坏

私接设备尤其是私自将无线AP接入到内部网络，使得本应局限在内部建筑的网络边界，直接辐射到以建筑为核心的方圆50米甚至更远的距离，大大扩展及破坏了内网已有的网络边界，使得内部网络遭受攻击以及侵入的风险急剧增加，其危害相较于非法外联，引发的安全风险甚至更高。

2.2 易遭受入侵，安全风险极高

很多私接设备（如手机、平板等）的安全性本身很差，运行的应用鱼龙混杂，接入内部网络后，容易带入病毒或木马等，风险极高。其次，私接的无线AP虽提供了一定的安全措施，但常因使用者的安全意识及技术水平的限制，无法充分发挥AP自身的安全防护能力，加上AP常用的WEP加密的脆弱性，使得AP很容易遭受攻击和破解，外部入侵者可以轻易的在方圆50米甚至更远的距离上，通过破解以及欺骗的手段，通过AP直接侵入内部网络，轻易对内部网络实施其破坏行为。

2.3 难以监管，管理者很难发现私接设备的行为

对于网络内部还存在HUB或者类似HUB接入的网络，针对私接路由设备的监管非常困难，管理者很难区分清楚这些提供HUB接入的设备是合法的还是私接的。

更难以监管是通过NAT方式接入的路由设备，包括随身Wi-Fi设备，即使管理者通过MAC和设备端口绑定的方式进行限制，建立了基于802.1X的接入控制体系，此类设备仍可通过欺骗等手段方便的接入，这种接入的隐蔽性和欺骗性，使得管理者难以发现，更谈不上监管。

3 系统的总体架构设计

贵州电网有限责任公司贵阳供电局于2017年启动了从保护企业内部现有网络边界完整性、降低信息安全事件发生概率、弥补安全管理上的不足、完善安全管理体制建设等方面入手的网络边界违规内联检测、定位与阻断系统的应用研究工作。

系统包括主扫描检测系统（包括主扫描引擎系统、数据库系统和前台用户管理系统三部分）和无线扫描探针系统共两大部分，总体采用B/S架构。如图1所示。

3.1 扫描检测系统

扫描检测系统包括主扫描引擎系统、数据库系统和前台用户管理系统三部分，主要负责对电力信息网监控范围内的设备进行常规轮询式的远程扫描，针对违规事件进行发现、报警、存储以及对于违规事件的应急响应。该系统部署于需监控的内部网络，与监控对象网络无阻碍可达即可。在网络边界守护中边界节点主要涵盖网络中接入层设备与终端，网络设备异常状态的监测主要依靠SNMP协议中Trap信息来扫描完成；而网络拓扑结构变化的监测则通过扫描网络拓扑结构，将扫描到的实时网络拓扑结构与网络基准拓扑结构作比对，定位拓扑结构发生改变的位置。

3.2 无线扫描探针系统

无线扫描探针系统单独部署在Win8/Win10平板电脑或笔记本电脑上，主要负责无线Wi-Fi信号的自动收集，包括SSID、MAC地址、信号强度、加密方式等，包括未广播的SSID也要进行识别和收集。作为技术补充，对于已经建立电力企业无线局域网的用户，可以通过与AC联动直接获取流氓AP的相关信息，实现与Cisco、华为、华三以及锐捷AC等主流网络控制设备联动。endprint

4 研究过程中主要技术运用

4.1 NAT接入设备的远程扫描识别技术

UDP扫描最大的问题就是准确率不高，如何保证UDP端口扫描的准确性；个人终端安装的防火墙是否会对检测结果产生影响，如何降低防火墙对检测效果的影响；过度扫描会影响扫描效率，在检测包种类和数量有限前提下，如何高效准确识别远程主机的操作系统类型等；系统综合TCP/UDP端口扫描技术、远程操作系统识别技术、防火墙是否开启的甄别技术，综合上述技术来综合甄别路由设备是否经过NAT方式接入。无线AP或小型路由设备多数通过NAT（地址转换）方式接入网络，尤其是经过MAC克隆方式违规接入，管理者很难区分和鉴别，通过此技术可以进行实现以NAT方式接入的违规路由设备的进行快速检测。

4.2 大规模网络的快速扫描和探测技术

在保证扫描效率的前提下，系统需要完成IP地址是否在线的ICMP检测、通过SNMP自动发现网络设备并完成IP-MAC收集、主机名扫描、TCP端口扫描、UDP端口扫描、操作系统识别等一系列工作，如何保证和优化扫描效率是技术难点。在不影响网络性能的基础上，系统提供的多线程并发扫描机制，综合ICMP、SNMP、TCP等多种扫描检测技术，实现网络内部节点的快速准确的扫描探测。

4.3 交换机的下联端口定位技术

该技术的最大难点在于提供兼容性支持，因为不同厂商、甚至同一厂商不同类型的交换设备关于端口定位的内部处理技术都不尽相同，这就需要提供最大限度的设备兼容性，兼容主流的交换设备类型：Cisco、华为、华三、銳捷、3COM、北电、迈普等。解决违规接入设备的定位问题，利用SNMP进行网络交换设备的下联端口定位，该技术需要综合IP地址资源管理技术，直接完成网络交换设备端口和下联IP的自动关联定位。相对于无线Wi-Fi定位，该定位更为直接，而且易于管控。

4.4 IP回溯技术

该技术的最大难点在于将IP地址的使用和网络接入完成了自动关联，即可根据时间点，确认某一IP地址在此时间点所对应的MAC地址，以及在该时间点该MAC所连接的交换机端口；由于IP地址的可变性，使得在根据IP进行定位时，如果不考虑时间特性，定位结果容易出现严重偏离，尤其是实行DHCP进行IP管理的网络，IP的时间特性必须要纳入。IP回溯技术综合了IP地址使用的审计功能和网络接入的审计，通过详细记录每一MAC使用不同IP地址的时段，使得每一IP的使用都有其时间特性，结合网络接入审计，可以根据IP和时间点，关联该IP在该时间点被哪个MAC地址在用，网络的接入位置在哪个交换机端口。

4.5 拓扑自动发现技术

该技术最大难点在于拓扑的布局，尤其针对电力企业大型网络，拓扑如何布局，如何在拓扑中进行可视化的网络定位和管理；其次是拓扑的自我调整，包括拓扑的自动调整和人工调整，使得拓扑的展示更加接近用户实际网络拓扑。提供网络拓扑的自动发现能力，网络拓扑的变化和网络边界的变化息息相关，系统可以自动发现和绘制网络拓扑，并提供多种拓扑展示模式，帮助确认拓扑结构是否发生了变化。

5 结论

通过该在电力企业网络中网络边界内联检测、定位与阻断系统的应用研究，提升了电力企业在网络边界完整性方面的技术管理能力，增强了电力企业对边界完整性感知的能力，大大降低因边界遭受破坏而带来的电力网络安全风险，为电力企业网络正常运行提供更多安全保障。一方面，针对违规内联，尤其是私接无线AP、随身Wi-Fi等设备的检测与监管，防止网络边界的完整性因此而遭受破坏，保证网络边界安全，有力保障电力信息业务系统的正常运行。另一方面，有效保护电力企业网络边界防护上的已有投资，确保在网络边界保护上的安全投入和安全能力得到充分发挥，提升了电力企业网络信息安全水平。

参考文献

[1]杨峰，张浩军.无线局域网安全协议的研究和实现[J].计算机应用，2011.

[2]谭润芳.无线网络安全性探讨[J].信息科技，2008，37（06）：24-26.

[3]马建峰，吴振强.无线局域网安全体系结构[M].北京：高等教育出版社，2008.

[4]贺雪晨.信息对抗与网络安全[M].清华大学出版社（第2版），2010.

[5]潘爱民.徐明伟等.计算机网络[M]，第四版清华大学出版社，2014.

[6]王淑红.网络安全[M].北京市：机械工业出版社，2007.

作者简介

张盛安（1983-），男，高级工程师，硕士研究生。从事信息安全专业技术管理工作。

作者单位

贵州电网有限责任公司贵阳供电局 贵州省贵阳市 550001endprint