电力移动应用及终端安全溯源管控技术研究与实践*
2022-10-18李永发曹琳婧李琪瑶陈中伟
李永发,刘 锐,曹琳婧,高 隽,李琪瑶,陈中伟,李 树
(国网湖南省电力有限公司信息通信分公司,湖南 长沙 410004)
0 引 言
近年来,随着电力行业数字化转型发展[1]的需要及“新型电力系统[2-3]”概念的推出,使得移动业务的需求急剧增长,尤以移动办公、通信交流、电子签章等最为突出。
移动化的出现虽然在很大程度上助力了企业的转型和发展,但是其潜在的风险和安全隐患却在某种程度上给企业造成了极大的损失[4],例如企业关键基础应用控制、机密数据丢失、核心资产暴露等[5]。而现阶段电力行业更多的是依赖移动安全态势感知平台进行安全监测[6],缺乏对安全事件的溯源及管控能力,从而导致安全事件的链路难以追踪、溯源,事故终端难以做到有效的安全管控。
由此可见,加强溯源管控能力也是移动安全建设过程中的重要环节。因此,本文以电力行业移动安全建设的实际需求为出发点[7],结合防护现状,深入探索并研究溯源管控技术在电力移动应用及终端安全方向的应用。
1 电力行业移动安全现状
1.1 电力移动应用架构
电力行业移动应用一般是由客户端和服务端两个部分组成,如图1 所示。
从图1 可知,客户端是指用户自持的终端或电力专用的终端,然后在其上安装、运行电力行业移动应用;网络通道一般由互联网传输(3G/4G/5G)和电力专网两种模式组成,其中电力专网又分为运营商提供的专用通道和电力企业自行建造的网络通道两种类型;服务端是指承载具体业务的功能模块或系统,一般部署在电力企业的局域网内。同时,根据使用对象、使用场景的不同,电力行业移动应用分为互联网公共应用和专网专用应用两种类型,而专网的移动应用一般仅限在企业局域网内进行使用。
图1 电力移动应用架构
1.2 电力移动安全防护现状
电力行业移动应用除少部分是面向大众用户开放使用外,如电费缴纳App,其余的均服务于系统内部用户。但因其本身属性较多,涵盖了运检、调度、供电采集等众多业务领域,导致对移动应用的安全防护需求日益增长。这在一定程度上催生了电力行业内移动安全防护体系的建设[8],以移动安全态势感知平台为主[9],其具体部署模式如图2 所示。
从图2 可知,电力行业移动应用的安全防护一般实行分区分域的模式进行部署,内外网采用专用安全防护装置进行隔离,二者的边界均部署专用防护设备。外网通过前置服务采集移动终端及应用的安全监测数据,穿过隔离存储于内网数据库,内网移动终端及应用通过专网将监测数据进行收集并存储于数据库,然后,经内网统一的态势感知平台进行展示。
图2 电力移动应用安全防护部署模式
态势感知平台收集的监测数据主要包括运行环境安全、应用安全、终端安全、敏感行为4 类数据。其聚焦的仍然是移动应用或终端本体的安全,以安全态势监测为主,缺乏对发生安全事件的移动应用或终端进行事件的追踪、溯源及有效的安全管控。鉴于此不足,本文将在现有的移动安全防护的基础上提出并设计一种安全软件开发工具包(Software Development Kit,SDK),实现移动应用或终端与边界防护设备的联动,进而实现安全事件的溯源及应用终端的安全管控。
2 电力移动应用及终端安全溯源管控体系
2.1 整体体系架构
移动应用安全不仅仅是围绕应用及终端的安全监测[10],为了进一步完善现有安全态势感知平台的监测功能,提升移动安全的实战化攻防能力,本文提出并设计了针对电力移动应用及终端溯源管控模块。将其融合到现有的安全监测SDK 中,实现边界设备与终端应用的安全联动,从而达到溯源信息的采集、展示、追踪、管控及处置为一体的新型电力移动安全态势感知平台。其整体架构如图3 所示。
从图3 可知,新型电力态势感知平台的整体架构分别由客户端、数据采集端、服务端和展示端4 个部分组成。
(1)客户端。是指装有电力移动应用的终端,常见的电力移动应用主要包括独立App 应用和“H5 微应用程序”两类。二者的底座平台均集成了安全监测SDK 探针,用于采集上报安全监测及溯源类的数据信息,同时与服务端进行联动,执行安全管控策略。
(2)数据采集端。作为平台前置的数据收集模块,对来自客户端上报的原始终端基础数据、应用运行数据、安全监测数据及溯源数据进行统一的汇总,并存储于数据库。其中,溯源数据是本文研究和关心的重点,也是实现应用及终端溯源管控的基础。
(3)服务端。由安全策略、综合分析、情报库3 个模块组成。其中,综合分析模块是核心,可以实时分析处理运行信息、环境风险、应用威胁、安全事件和溯源信息等,对各类信息进行关联分析,触发安全事件,产生响应处置,并发送到客户端。安全策略模块主要是对各类攻击特征、安全事件、封禁规则及黑名单等策略进行配置。情报库模块支持常见的黑产信息存储,如设备ID、SIM 卡、IP 地址等,同时还可以将系统自身黑名单策略与外部情报数据等信息进行关联、存储。
(4)展示端。主要是对经过综合分析模块关联分析后的数据进行图形化的展示。其中,安全类的展示主要包括安全事件数、攻击威胁数、敏感行为数及各类安全威胁的趋势等信息;运行类的展示主要包括应用终端活跃数、高频更换Wi-Fi 数或IP 数及境外IP 设备数量等信息。
2.2 应用及终端溯源技术
针对溯源的实际需求,首先对安全监测SDK 探针进行适配改造,开发具备基础溯源信息的接口供应用及终端调用,并实现与边界安全设备的联动,其次将溯源信息上传至内网数据,最后经态势感知平台进行统一的展示。其数据传输的具体流程如图4 所示。
图4 应用及终端溯源数据流转
从图4 可知,应用及终端溯源技术主要包括采集上传、重构上传和态势感知平台展示3个部分。
(1)采集上传。安全监测SDK 通过溯源接口采集基础信息,主要包括毫秒级时间、终端唯一识别码、应用身份标识(APPlication Identificaton,AppID)、终端上下线的标识、终端本机的IP 地址、其对应的互联网IP地址、应用包名、业务用户名等。获取信息后,安全SDK 同边界防护设备进行安全通道的建设,然后将采集的信息进行统一的打包、上传,以备下一步的重构。
(2)重构上传。边界防护设备获取来自SDK 采集的溯源信息后,首先对数据的类型进行甄别、筛选,其次将应用或终端所处的网络基础信息和环境信息进行重新编排,放入重构报文自定的字段中,最后对剩余的数据进行统一的规约化编排,上传至数据库进行统一的存储。
(3)态势感知平台的展示。溯源数据在进行展示之前,平台侧的综合分析模块将结合情报库中已有的数据和安全策略模块中配置的各类合规性策略进行关联性分析,从而对应用或终端的风险等级进行研判,最后将分析结果做统一展示。
综上所述,溯源的成败在于是否可以将应用或终端的最初始的互联网IP 信息进行保存并重构上传至数据库。所有数据的采集及传输均是实时的,若出现攻击或断网等情况时,溯源数据将被统一加密保存至终端本体内,待网络恢复后立即上传,保证了溯源的有效性和可靠性。
2.3 应用及终端管控技术
为实现有效的安全管控,边界防护设备需要增加安全管控的接口,供服务端的安全管控、集中管控等服务调用。同时安全监测SDK 探针需要开发并提供安全管控接口,以备边界防护设备调用,用于接收并执行来自平台侧下发的管控指令。其安全管控的实现流程如图5 所示。
图5 应用及终端安全管控的实现流程
从图5 可知,应用及终端安全管控技术主要包括安全管控触发、安全管控指令下发及联动处置或恢复3 个部分。
(1)安全管控触发。当态势感知平台主站侧监测到安全事件或研判可能存在安全隐患时,将触发安全通知下发至安全管控服务中心。安全通知的触发采用“智能+人工”两种模式相结合的方式进行,其中,智能模式是指当平台侧监测到高危安全事件时,将自行生成安全管控的通知并下发;人工模式是指当平台侧无法研判安全事件或者研判为中低风险的安全事件时,将采用人工干预的方式进行分析并下达管控通知。两种模式的结合将最大限度地提升安全管控的通知触发的有效性,从而减少误报,提升用户的使用感。
(2)安全管控指令下发。管控服务中心在接收到安全管控的通知时,将调用本地安全管控的特征库数据,并生成对应的管控指令码。本地安全管控的特征库是根据实际需要进行自定义的,本文根据安全事件的风险等级定义了5 类管控指令,其中,高风险管控指令3 项,中风险管控指令2 项,具体内容如表1 所示。
表1 自定义特征库内容
(3)联动处置或恢复。当边界防护设备在执行具体的安全管控时,若需要客户端进行联动,则会调用安全监测SDK 的安全管控接口,执行对应的管控指令。从表1 可知,除了01 号管控指令“断开终端”是由边界防护设备自行完成的,其他4 类管控指令均为应用或终端侧进行执行、响应。例如,当应用面临高风险时,安全监测SDK 探针将对应用进行强制退出或锁定操作,限制用户的登录使用,直至危险解除后自动恢复;当应用面临或疑似存在中风险时,安全监测SDK 探针将进行弹框提醒,提示用户当前环境面临安全风险,同时调整应用权限及用户访问权限,最大限度地减少用户的损失。
2.4 溯源管控一体化
如果说溯源为应用及终端的安全提供了有效的取证信息,便于后期对安全事件的追踪,那么应用及终端安全管控技术则是为了在已经发生或即将发生安全事件时及时有效地阻断事件的进一步扩大,降低其所带来的安全风险和影响。为使二者成效最大化,本文将其进行了有效融合,均集成于安全监测SDK,并与边界防护设备进行联动。一体化流程如图6 所示。
图6 溯源管控一体化流程
从图6 可知,应用及终端既是数据采集的载体,也是管控的末端。安全监测SDK 实时检查应用或终端运行环境的安全及本体的安全,当出现异常或违规时,将主动采集并上报溯源信息,同时配合边界防护设备联动进行安全管控。
边界防护设备在整个一体化的流程中起到了承上启下的作用,一方面承担了溯源数据的重构、上传任务;另一方面联动应用或终端执行管控服务中心下发的管控指令。
3 应用效果
溯源管控技术能够实现对电力行业移动应用及终端的安全管控,为安全事件的追踪和溯源提供了更为丰富的信息。截至目前,该技术已经应用于湖南电力行业,实现了内外网企业级移动应用安全事件的溯源及管控,在近一年的实践中效果显著,有效提升了移动应用及终端安全风险管控的能力,如表2 所示。
从表2 可知,与传统的以常规的安全监测、分析(其中常规监测、分析一般包括应用威胁、环境风险、终端风险、运行风险和敏感行为5 类)及监测数据的收集、展示为主的安全态势感知平台相比,本文提出并实现的溯源管控技术一方面增加了溯源信息的监测、分析,提升了其对安全事件的定位、追溯;另一方面在应对安全事件的定位及处置时,平台侧根据溯源信息增加了安全事件的自动定位和处置功能。相比于传统的依赖于人工模式的安全态势感知平台,本文的溯源管控技术最大限度地提升了安全事件的应急响应能力,实现了威胁与管控的两级联动。
表2 技术与传统平台功能对比情况
截至目前,本文提出的溯源管控技术帮助企业累计产生溯源信息约30 余万条,极大地提升了移动安全事件的定位、管控能力;累计发现并有效管控的应用威胁安全事件约16 万余次,高风险事件占比10%;有效管控终端及应用运行环境异常事件约1 千余次,中风险事件占比超过80%,其余均为低风险事件;有效发现并阻断敏感行为约300 余次,均实现100%管控。同时,溯源管控技术的应用也极大地提升了监测处置效率,具体如表3 所示。
表3 技术与传统平台监测处置效率对比情况
从表3 可知,在处理中高风险级别事件时,溯源管控技术的应用可以提升约50%以上的效率,主要是因为其提供的溯源信息节省了人工分析、研判的时间;而在处理低风险级别事件时无明显差异,主要是因为在处理低风险事件时一般采取默认忽略的方式。
4 结 语
本文研究的电力移动应用及终端安全溯源管控技术,弥补了现有移动安全态势感知平台的不足,提升了电力行业移动安全整体的防护能力和水平。目前,该技术已经在电力行业中得到应用,有效提升电力移动应用及终端安全的事件分析、定位及风险管控的能力,真正实现了集安全监测、安全溯源和安全管控于一体的移动安全防护体系。