“堡壘”一詞的含義是指用于防守的堅固建筑物或比喻難于攻破的事物,顧名思義,“堡壘機”是一種被強化的可以防御進攻的計算機,其作用主要是將需要保護的信息系統(tǒng)資源與安全威脅的來源進行隔離,從而在被保護的資源前面形成一個堅固的“堡壘”,并且在抵御威脅的同時又不影響普通用戶對資源的正常訪問。
隨著電力企業(yè)信息化需求程度的提高,電網(wǎng)業(yè)務邏輯與流程體系對于信息系統(tǒng)的依賴程度不斷增加,并逐漸推動信息價值的顯露和提升。電力企業(yè)信息安全作為電網(wǎng)生產(chǎn)安全的一部分,已成為影響電網(wǎng)生產(chǎn)、運行的重要安全因素。玉溪供電局在信息化建設的過程中非常注重信息系統(tǒng)的安全管理,逐步部署了防火墻、IPS、網(wǎng)絡防病毒系統(tǒng)、漏洞掃描系統(tǒng)、上網(wǎng)行為管理系統(tǒng)等一系列安全產(chǎn)品的運用,建立了較為完善的信息安全防護體系,能夠?qū)ν獠康陌踩L險進行有效控制和管理。
然而,這種傳統(tǒng)的安全防護手段只偏重外部的防御以及對普通用戶的行為管理,卻忽略對運維人員(網(wǎng)絡管理員、系統(tǒng)管理員)的運維行為的安全審計。據(jù)國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心的調(diào)查結(jié)果顯示,大約76%的網(wǎng)絡安全威脅來自于內(nèi)部,其危害程度遠遠超過黑客攻擊及病毒造成的損失。因內(nèi)部人員違規(guī)操作而導致的數(shù)據(jù)誤刪除、數(shù)據(jù)破壞、數(shù)據(jù)泄密等想象,對企業(yè)利益和公眾利益造成的影響是不容小覷的。對此,南方電網(wǎng)公司根據(jù)自身的需要對下屬企業(yè)IT內(nèi)控提出了相應的要求,對運維人員的維護行為采取行之有效的控制措施和審計措施,彌補這一信息化安全管理的盲區(qū),是當前電力企業(yè)信息安全建設的當務之急。
電網(wǎng)企業(yè)作為信息化程度較高的企業(yè)之一,擁有大量的網(wǎng)絡設備、主機系統(tǒng)和應用系統(tǒng)來支撐企業(yè)業(yè)務的順利開展。隨著信息系統(tǒng)規(guī)模越來越大,提供服務越來越多,安全運行要求越來越高,運維人員的構(gòu)成越來越復雜,隨之而來的是不斷增長的運維風險。
面對傳統(tǒng)運維模式帶來的風險,玉溪供電局信息中心借鑒先進的IT審計理念,實施了以運維人員操作行為管控為重點的IT運維審計管理項目,采用江南科友IT運維安全審計系統(tǒng)(HAC:Host Audit Control)。這是一種運維審計型堡壘機,項目的建設實現(xiàn)了玉溪供電局信息系統(tǒng)運維的事前預防、事中控制和事后審計,從技術層面化解IT運維風險。
IT運維安全審計系統(tǒng)主要用于解決內(nèi)部運行維護人員、第三方服務人員以及共用賬號、最高權(quán)限用戶遠程操作維護的安全隱患,通過對操作內(nèi)容和事件的回放與統(tǒng)計,提高運行維護的管理能力和降低風險。玉溪供電局采用堡壘機方式部署IT運維安全審計系統(tǒng),采用物理旁路,邏輯串聯(lián)的模式,不需要改變網(wǎng)絡拓撲結(jié)構(gòu),不需要在終端安裝客戶端軟件,不改變管理員、運維人員的操作習慣,也不影響正常業(yè)務運行。只需運維管理系統(tǒng)與被管理的設備之間IP可達,管理協(xié)議可訪問。在進行維護操作時,運維人員首先登錄到IT運維安全審計系統(tǒng),IT運維安全審計系統(tǒng)根據(jù)登錄用戶的權(quán)限,提供該用戶所能訪問的主機與網(wǎng)絡設備列表,運維人員被管的對象進行運維操作,IT運維安全審計系統(tǒng)根據(jù)預先設置好的審計規(guī)則,自動捕獲相關數(shù)據(jù)并保存。
堡壘機是信息基礎設施(服務器、網(wǎng)絡設備等)維護的統(tǒng)一入口,是最容易遭受攻擊的主機,其配置與通常的主機相比明顯不同,所有不必要的服務、協(xié)議、程序和網(wǎng)絡接口都將被禁用或者刪除,以達到“最小化安全”,以強化堡壘機、極大地限制可能出現(xiàn)的網(wǎng)絡攻擊。“最小化安全”是有名的安全理念,即只開放需要的功能或服務,其他與之無關的功能或服務均去掉,以此減少可能受到的攻擊風險。所謂最小化操作系統(tǒng),是為堡壘主機安裝最基本的操作系統(tǒng)環(huán)境,然后再根據(jù)具體情況逐漸安裝需要的服務組件[9]。
為此,IT運維安全審計系統(tǒng)采用軟硬件一體化架構(gòu),基于嵌入式技術開發(fā),將定制的64位Linux內(nèi)核固化至硬件上,操作系統(tǒng)采用最小化安裝,除了必要的內(nèi)核,驅(qū)動等程序外,其他組件、程序包盡量去除,同時,關閉不必要的應用、服務、端口。開啟自身的防火墻功能,提高堡壘主機自身的安全防護能力。此外,堡壘機作為服務器、網(wǎng)絡設備的唯一入口,為保證可靠性,采用雙機群集(HA),支持負載均衡,提高設備高可用性,保障業(yè)務連續(xù)運行。
玉溪供電局所運用的運維審計型堡壘機,是將人與目標設備進行邏輯上分離,建立“人→主賬號(堡壘機用戶賬號)→授權(quán)→從賬號(目標設備賬號)的模式。在這種模式下,基于唯一身份標識,通過集中管控安全策略的賬號管理、授權(quán)管理和審計,建立針對維護人員的“主賬號→登錄→訪問操作→退出”的全過程完整審計管理,實現(xiàn)對各種運維加密/非加密、圖形操作協(xié)議的命令級審計。
玉溪供電局自2013年8月實施IT運維安全審計系統(tǒng)以來,服務器、網(wǎng)絡設備等需要對外開放維護端口變?yōu)橛蓡我坏谋局鳈C對外提供的維護端口,減少了端口暴露,堡壘主機基于“最小化安全”理念,其自身安全性也大大高于普通服務器。此外,IT運維安全審計系統(tǒng)具有異常操作阻斷及劑告警功能,若果系統(tǒng)檢測到異常操作行為或黑客攻擊,則可以斷開相應操作的TCP連接,阻斷此操作,達到防止各類違規(guī)操作事件的發(fā)生。
堡壘機不僅增強了信息系統(tǒng)的安全性,同時提升了信息系統(tǒng)的運行維護能力和效率。IT運維安全審計系統(tǒng)對所有的維護行為進行指令記錄和錄像,為事前防范和事后定位信息系統(tǒng)的故障提供科學、高效的手段,提高信息系統(tǒng)運行的安全性和事件的追溯能力,降低了信息系統(tǒng)安全風險,避免了潛在的資產(chǎn)損失。所有運維賬號的管理在一個平臺上進行管理,賬號管理更加簡單有序,通過建立用戶與賬號的唯一對應關系,確保用戶擁有的權(quán)限是完成任務所需的最小權(quán)限。運維人員只需記憶一個賬號和口令,一次登錄,便可實現(xiàn)對其所維護的多臺設備的訪問,無須記憶多個賬號和口令,提高了工作效率,降低工作復雜度。
其次,系統(tǒng)內(nèi)部運維人員和第三方運維人員,對服務器、網(wǎng)絡設備進行的維護操作都將通過堡壘機,這樣就可以實現(xiàn)對運維人員所有操作行為,都做到可記錄、可控制,完善了玉溪供電局信息系統(tǒng)運維責任的認定體系,審計人員通過定期對維護人員的操作審計,提高維護人員的操作規(guī)范性。
根據(jù)《信息系統(tǒng)安全等級保護基本要求》,對于二級(含)以上的重要信息系統(tǒng)網(wǎng)絡安全、主機安全、應用安全均要求具備安全審計功能。IT運維安全審計管理項目的實施滿足了等級保護、企業(yè)內(nèi)控規(guī)范,進一步完善了玉溪供電局信息安全防護體系。
玉溪供電局實施的IT運維安全審計系統(tǒng)不僅支持Telnet、FTP以及主流數(shù)據(jù)庫(Oracle、SQL Server等)遠程訪問協(xié)議審計,還提供SSH、RDP、VNC加密協(xié)議的審計支持;系統(tǒng)會完整記錄會話的整個過程,并形成會話日志和事件回放文件,消除安全審計盲點,全面審計信息系統(tǒng)操作行為。通過運維人員操作行為細粒度的安全管控,保證企業(yè)的服務器、網(wǎng)絡設備、數(shù)據(jù)庫、安全設備等安全可靠運行,降低人為安全風險,避免不必要的損失,保障企業(yè)效益,讓運維操作更安全。
