发电企业基于零信任体系的网络多层级安全防护探讨
2020-12-29李鹤鸣顾士书
李鹤鸣 顾士书
1. 皖能合肥发电有限公司 安徽 合肥 230041;2. 科大国创软件有限公司 安徽 合肥 230088
发电企业内部网络按照《电力二次系统安全防护规定》要求,分为管理信息大区与生产控制大区。两种网络区域之间必须采用网闸进行物理隔离。因通常只有管理信息大区与互联网相连,受攻击的风险较为突出,本文主要探讨管理信息系统网络安全防护工作[1]。
1 零信任安全体系基本原则
近年来,随着永恒之蓝等0day系统漏洞的利用,各种勒索病毒的流行,加上一些境外黑客组织针对性的渗透攻击。发电企业的网络安全,面临着前所未有的挑战。笔者所在单位对网络安全工作较为重视,已在管理信息系统网络中先后部署了SSL VPN设备、WEB应用防护装置、数据库审计系统、网络行为管理系统、综合业务监管平台、运维管理审计系统、入侵防御系统、日志分析及审计系统、工控统一安全管理平台、灾备系统并实现了异地备份。然而很多传统网络安全产品,例如WEB应用防护装置(WAF)、入侵防御系统,都是对网络上的行为特征按照预定的规则库进行对照匹配,识别出“坏人”进而进行行为阻断。其规则库原理是通过日积月累的“坏人库”来勾画各种“坏人”的特征。遗憾的是,海量的“坏人”特征依然无法帮我们识别出所有的“坏人”,内网安全态势仍然处在岌岌可危的情景之下。零信任安全的关键原则就是从不同的角度去看待“坏人”,我们不用去勾画“坏人”的特征,只需要勾画“好人”的特征,不符合“好人”特征的就默认其为“坏人”即可。因为理论上来说,“坏人”的特征是无法穷尽的,而在特定场景下“好人”的特征则是可以穷尽的。采取白名单规则的思路可以更好地保障数据安全和业务安全。为了进一步加强网络安全防护,以零信任体系为思想,结合本单位的实际情况,笔者做了具体的规划与设置[2]。
2 零信任安全体系实践
2.1 对内部网络零信任——管理信息系统网络的分区
传统发电企业管理信息网络中的防火墙仅部署在互联网出口处作为隔离。这种拓扑的缺点是,重要信息系统服务器和普通办公电脑同处一个网络区域中。如果办公电脑被网络蠕虫感染或被黑客渗透,则对服务器产生直接威胁。因此,需要对内网施行 “零信任”。笔者将所有重要服务器划分到一个单独的网络区域中,并在WEB应用防护装置之前添加部署一台网络防火墙(服务器区防火墙)将其与办公电脑网络之间做安全隔离。笔者称此区域为“服务器区”,相对于“办公网络区”而言属于可信白名单区域。
2.2 对网络设备零信任——联网设备的地址绑定
为网络中每一台联网设备一个“身份证”,配置固定的IP地址,并做好IP/MAC的静态绑定工作。以此为基础,可进行进一步精细化的策略设置。未登记绑定的设备一律零信任不允许联网。此为联网设备的白名单机制。
2.3 对办公网络区零信任——服务器区防火墙的精细化设置
因已实现所有联网设备身份绑定,故可在“服务器区防火墙”中以“最小化权限”为原则设置精细化的包过滤规则,白名单只允许“特定的IP地址”访问“特定的服务器”的“特定端口”。在网络第三层做到“服务IP端口-用户IP绑定”。白名单规则以外的网络行为一律拒绝。设置以后,即使办公区的某一台计算机因防护不力被感染或渗透,已无法直接对服务器区的重要设备产生直接威胁[3-5]。
2.4 对服务器区零信任——操作系统防火墙的精细化设置
在服务器区的每一台服务器上,均开启操作系统级的软件防火墙,同样以白名单方式进行精细设置,仍按“最小化权限”为原则做到“服务IP端口-用户IP绑定”。不但增强了服务器对系统级漏洞的抵御能力。即使某一台服务器被成功渗透,也无法直接波及其他服务器。为网络攻防战役赢得时间,减少损失。
2.5 移动办公的零信任安全——双层反向代理
网络安全威胁最主要的渠道来自互联网,因此发电企业的内网信息系统是不允许对互联网直接提供服务的。单位部署了SSLVPN设备来满足部分远程办公的需求。然而,在实际工作中,笔者发现VPN设备并不适合移动设备接入使用,VPN协议在建立连接时耗费大量的资源,用户需要等待数秒甚至数十秒直到连接完成。在桌面环境,一旦建立VPN连接,短时间内不会需要重连,用户还可以接受这种连接耗时。但对于移动设备来说,每当用户的设备息屏进入睡眠状态时,VPN都将中断并必须重新连接。此外,移动应用程序并不能识别VPN连接状态的改变,因此当VPN重新连接时,应用程序的响应速度可能会受到较大影响,甚至导致程序挂起失去响应,用户体验极差。这就需要一种新的安全方法来满足移动应用程序远程访问内网信息的要求。笔者所采用的方式是采用双层反向代理:将移动应用程序服务器建立在云端,采用云的保护来进行网络流量的过滤并实现第一层反向代理,对移动应用客户端隐藏企业的内网位置信息;在企业内网部署应用服务代理系统,对请求进行第二层反向代理。通过双层反向代理,无需向互联网暴露内网服务器的任何端口,即可将内网信息系统数据拉取至云端服务器反馈给移动应用客户端。此外,按照零信任的原则,应用服务代理服务器并不用建设在服务器区。服务器区防火墙将其视为普通内网用户终端,不给其任何访问的特权。在边界防火墙上则设定白名单规则仅允许云服务器对其代理端口进行访问,仍然符合“服务IP端口-用户IP绑定”的具体要求[6-8]。
3 零信任安全体系实施结果
按照以保障“服务器区安全”为目标,以零信任为思想体系,以第三方安全设备为基础,以精细化规则设置为手段,以自主研发软件系统为支持,从互联网到云服务,从云端到互联网边界,从边界防火墙到应用服务代理系统,从应用服务代理到服务器区防火墙,从服务器区防火墙再到服务器操作系统防火墙,层层设防,处处零信任。最大程度的降低网络渗透攻击的风险[9]。(见图1)
图1 网络安全多层级防护示意图
4 结束语
本文对在零信任安全体系下,发电企业网络实现多层级安全防护的思路与实践方式进行归纳与总结,希望能为网络安全工作的思路起到抛砖引玉的效果。
