一,、電力跨網(wǎng)接入背景 

    目前電力公司下屬單位及外部人員業(yè)務(wù)層面部分涉及移動辦公的需求,，如何在安全的前提下實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的交互，成為集團領(lǐng)導(dǎo)考量的一個問題,。當前下屬單位項目涉及應(yīng)用移動辦公需求相對較多,，也在網(wǎng)絡(luò)規(guī)劃建設(shè)的開始階段,，那么如何在最大限度保障數(shù)據(jù)安全的前提下，實現(xiàn)便捷的移動辦公應(yīng)用,。

二,、電力行業(yè)跨網(wǎng)接入解決方案

1,、方案拓撲結(jié)構(gòu)

   注:1.Janeos安全堡壘平臺由接入服務(wù)器和虛擬應(yīng)用服務(wù)器組成,。

      2.虛擬應(yīng)用服務(wù)器發(fā)布應(yīng)用系統(tǒng)的鏈接地址,如OA協(xié)同辦公系統(tǒng)的鏈接地址。

2,、方案設(shè)計思想
   基于協(xié)議跳轉(zhuǎn)的跨網(wǎng)訪問模式,實現(xiàn)安全模式下,便捷的移動辦公訪問,。
3、方案技術(shù)實現(xiàn)
   1)基于服務(wù)器計算技術(shù),，實現(xiàn)應(yīng)用的集中部署管理,，應(yīng)用100％運行在服務(wù)器上，客戶端零維護,，徹底改變桌面管理的模式,，只需要維護服務(wù)器上的應(yīng)用，所有客戶端只要連接到Janeos安全堡壘平臺的服務(wù)器就可以使用最新版本的系統(tǒng),，同時也提供了一種新型的應(yīng)用安全模式,。

   2)采用虛擬化技術(shù)分離應(yīng)用的表現(xiàn)與計算，實現(xiàn)虛擬應(yīng)用交互,、本地化應(yīng)用體驗,，客戶端與服務(wù)器之間只傳遞鍵盤、鼠標和熒屏變化等交互信息，沒有實際的業(yè)務(wù)數(shù)據(jù)流到客戶端,，客戶端看到的只是服務(wù)器上應(yīng)用運行的顯示映像,。

三、方案應(yīng)用場景
1,、業(yè)務(wù)系統(tǒng)訪問
      以下以訪問OA協(xié)同辦公系統(tǒng)為例,示意圖如下:

     1)發(fā)起驗證請求:移動辦公人員輸入SSL VPN的用戶名和密碼進行撥入,，打開應(yīng)用平臺客戶端輸入用戶名和密碼(也可以根據(jù)需要采用雙因子認證方式)；

     2)防火墻進行端口驗證,驗證成功之后指向接入服務(wù)器,；

     3)接入服務(wù)器接到應(yīng)用平臺客戶端請求之后,進行用戶信息驗證(包括PC硬件信息或者雙因子信息)以及訪問授權(quán)(指向發(fā)布的OA協(xié)同辦公系統(tǒng)的虛擬應(yīng)用服務(wù)器),；

     4)移動辦公人員訪問發(fā)布的應(yīng)用系統(tǒng)(此例OA協(xié)同辦公系統(tǒng)為鏈接地址),通過鍵盤或者鼠標發(fā)送指令進行業(yè)務(wù)操作，應(yīng)用系統(tǒng)把相關(guān)操作的數(shù)據(jù)傳輸?shù)綄?yīng)的服務(wù)器,移動辦公人員的電腦顯示屏幕變化信息,；

     5)網(wǎng)閘接受虛擬應(yīng)用服務(wù)器應(yīng)用系統(tǒng)的信息,并以內(nèi)部機制進行信息的傳輸?shù)綄?yīng)的服務(wù)器,；

     6)應(yīng)用系統(tǒng)服務(wù)器(此例為OA協(xié)同辦公系統(tǒng)服務(wù)器)接受網(wǎng)閘傳輸?shù)男畔?并進行相關(guān)的處理。

2,、文件上傳
    在移動辦公訪問相關(guān)應(yīng)用系統(tǒng)的時候,，會涉及到把本地的文件傳到應(yīng)用系統(tǒng)中，比如發(fā)送郵件的時候,需要帶上附件,鑒于安全考慮,，必須對上傳的文件進行相關(guān)的審核,，針對這一情況，在Janeos安全堡壘平臺中中增加一臺次文件服務(wù)器,，在網(wǎng)閘內(nèi)部增加一臺主文件服務(wù)器,，并對文件服務(wù)器進行策略設(shè)置,使移動辦公人員只能看到自己的文件夾，示意圖如下：

   1)移動辦公人員上傳所需文件,；

   2)Janeos安全堡壘平臺中的接入服務(wù)器對上傳的文件進行訪問控制,把文件上傳到Janeos安全堡壘平臺的次文件服務(wù)器上,；

   3)次文件服務(wù)器通過策略,限制上傳的文件的類型.滿足要求的文件才可以上傳,同時對上傳的文件進行病毒查殺；

   4)兩臺文件服務(wù)器進行文件同步,網(wǎng)閘通過策略對同步的文件進行審查,；

   5)移動辦公人員打開發(fā)布的郵件系統(tǒng),如涉及添加附件,路徑選擇主文件服務(wù)器中的文件進行添加,。

四、安全控制措施

1,、安全策略的構(gòu)成
   安全策略由方案4大組件共同構(gòu)成,，包括Janeos安全堡壘平臺、網(wǎng)閘,、防火墻以及SSL VPN設(shè)備,。

2、實施安全策略

阻止非法用戶入侵策略

   1)SSL VPN認證系統(tǒng):只有擁有SSL VPN客戶端以及賬號和密碼才能夠撥入,；

   2)通過Janeos安全堡壘平臺策略,對客戶端身份進行雙因子認證,；

   3)通過Janeos安全堡壘平臺策略,綁定移動辦公人員PC的硬件信息；

   4)專有的Janeos安全堡壘平臺客戶端控件,。

   備注：通過以上四點防止非法用戶入侵,，反之一個的用戶必須具備以上四點,才能夠成為合法的用戶,。

防火墻策略

   在防火墻只開放Janeos安全堡壘平臺專有協(xié)議端口。

接入服務(wù)器策略

   1)配置管理平臺有自己獨有的管理賬號,負責添加用戶(所創(chuàng)建的用戶,全分布在虛擬應(yīng)用服務(wù)器上),、設(shè)置用戶策略,、應(yīng)用策略以及發(fā)布應(yīng)用；

   2)對用戶的信息進行驗證,包括PC硬件以及雙因子信息,；

   3)對合法用戶進行訪問授權(quán),；

   4)通過Janeos安全堡壘平臺策略的設(shè)置，確保數(shù)據(jù)不會泄露到客戶端,；

   5)用戶權(quán)限管理,實行權(quán)限分立,，預(yù)防移動辦公人員通過賬號進行權(quán)限的篡改,從而加強Janeos安全堡壘平臺安全可靠性；

     配置管理實行了三權(quán)分立,，不存在超級權(quán)限的管理員,，管理員分為三角色，配置管理員,、操作系統(tǒng)管理員,、審計管理員；

     移動辦公人員的賬號創(chuàng)建在虛擬應(yīng)用服務(wù)器上,，且為匿名用戶,；

     接入服務(wù)器沒有移動辦公人員賬號，只有配置管理員,、操作系統(tǒng)用戶,；

     Janeos安全堡壘平臺配置管理認證需通過配置管理員和操作系統(tǒng)兩層身份認證;

     應(yīng)用系統(tǒng)用戶(如OA協(xié)同辦公系統(tǒng))是內(nèi)部網(wǎng)管理，完全與Janeos安全堡壘平臺的用戶無關(guān),，且Janeos安全堡壘平臺與內(nèi)部網(wǎng)有網(wǎng)閘進行隔離,，使移動辦公人員無法通過Janeos安全堡壘平臺篡改應(yīng)用系統(tǒng)用戶權(quán)限；

   6)通過嚴格的安全策略與接入控制策略,，精確地對每一個人員進行有效的應(yīng)用訪問,、數(shù)據(jù)操作都進行錄像和審計；

   7)通過集群技術(shù),，實現(xiàn)的高可靠性，防止單點故障,；

   8)操作系統(tǒng)安全加固

     系統(tǒng)最小化安裝,，除安裝最基本的系統(tǒng)組件與本應(yīng)用平臺組件，不安裝任何其它組件與模塊,； 

     系統(tǒng)最小化服務(wù),，最對外僅提供應(yīng)用平臺一個服務(wù)，不對外提供任何其它服務(wù),，包括任何其它TCP/IP服務(wù)和端口,； 

     配制自動的系統(tǒng)災(zāi)難備份與恢復(fù)檢查機制。

  虛擬應(yīng)用服務(wù)器

     進入虛擬服務(wù)器的移動辦公人員為普通的用戶權(quán)限；

     所有應(yīng)用系統(tǒng)的訪問,，都是在精簡過的IE瀏覽器(隱藏IE瀏覽器地址欄,工具欄等菜單)進行訪問,；

     通過負載均衡技術(shù)以及集群技術(shù)，實現(xiàn)虛擬應(yīng)用服務(wù)器的高可靠性,，防止單點故障,；確保了移動辦公人員業(yè)務(wù)的連續(xù)性；

   網(wǎng)閘

     采用網(wǎng)閘把內(nèi)部網(wǎng)與Janeos安全堡壘平臺進行隔離,，確保內(nèi)部網(wǎng)絡(luò)資源安全,。

3、攻擊方法與應(yīng)對措施
    攻擊者攻擊Janeos安全堡壘平臺可能用到的四種途徑

DDOS攻擊

     DDOS是對服務(wù)的攻擊,，它的攻擊只會帶來對服務(wù)的不可能用性,，并不會對數(shù)據(jù)造成任何傷害，因此DDOS可以不在考慮之內(nèi)

利用操作系統(tǒng)漏洞攻擊

     對于這種攻擊的防護方法,，操作系統(tǒng)是最小化安裝與最小化服務(wù)的,，并進行過操作系統(tǒng)的安全加固，操作系統(tǒng)只對指定的管理控制臺機器提供最基本的B/S配置管理一個接口,，不對其它任何內(nèi)外部機器提供任何訪問接口

利用Janeos安全堡壘平臺客戶端或Janeos安全堡壘平臺發(fā)布的訪問接口攻擊

   1)Janeos安全堡壘平臺客戶端是不是一個通用的程序,，了解Janeos安全堡壘平臺客戶端的人非常少，因此研究Janeos安全堡壘平臺客戶端漏洞的人就很少,，使用者少,，相對攻擊者相講研究價值就越小,；

  2)Janeos安全堡壘平臺平臺最少由兩臺服務(wù)器組成,，認證服務(wù)器和發(fā)布服務(wù)器，攻擊者必須同時突破兩臺服務(wù)器才能完成一次完整的攻擊,，這在一定程度上也加大了攻擊的難度,；

  3)利用Janeos安全堡壘平臺開放的文件上傳接口進行攻擊，這部份放在后面詳細講解,。

利用B/S配置管理接口攻擊

  1)B/S配置管理接口只對指定的管理機器提供加密的SSL訪問接口,，不對其提供任何其它的訪問途徑，并不對其它任何內(nèi)外部機器提供任何的訪問途徑,；

  2)對Janeos安全堡壘平臺的SSL WEB服務(wù)端進行了安全加固,，WEB服務(wù)端啟用加密的SSL，禁用其它所有非必需的WEB組件,；

  3)Janeos安全堡壘平臺配置管理實行了三權(quán)分立,，不存在超級權(quán)限的管理員，管理員分為三角色,，配置管理員,、用戶管理員,、審計管理；

  4)Janeos安全堡壘平臺的配置管理認證需通過Janeos安全堡壘平臺和操作系統(tǒng)兩層身份認證,；

  5)Janeos安全堡壘平臺的日志任何用戶均不可刪除,，如有異常的訪問，一定可在日志中查找到記錄,。

4,、應(yīng)急響應(yīng)管理
   經(jīng)過前面的描述證明，Janeos安全堡壘平臺相對來說已經(jīng)是非常安全的,，要突破它幾乎是不可能的,，但電力非一般的企業(yè)，對安全的要求相對來說是非常高的,，雖然這幾乎不可能,，但我們也要考慮，Janeos安全堡壘平臺被攻破了怎么辦,？下面將從幾個方面來描述：

    利用以前配置的自動災(zāi)難備份與恢復(fù)檢測機制,，如果發(fā)現(xiàn)Janeos安全堡壘平臺被攻破，啟用以前正常時候的備份,，直接覆蓋當前的配備,，即Janeos安全堡壘平臺馬上就可以恢復(fù)到以前正常時候的狀態(tài)了；

    建立入侵分析團隊,，北京泰然神州科技有限公司必須提供入侵分析的技術(shù)支持,，這樣當Janeos安全堡壘平臺一旦被攻破，也可以馬上查找原因,，填補漏洞,，以防范下次再被攻破；

    僅僅是控制Janeos安全堡壘平臺顯然非攻擊者的最終目的,，應(yīng)用系統(tǒng)才是攻擊者的目的,，攻擊應(yīng)用系統(tǒng)亦然需要突破下一關(guān)，網(wǎng)閘,，攻擊者如不能突破網(wǎng)閘,，還是不能對應(yīng)用系統(tǒng)造成破壞的；

    部置入侵防御系統(tǒng),，一者可以防御攻擊,；二者既使未能成功防御攻擊，也可以在入侵防御系統(tǒng)的日志報告中查找攻擊源,，完成入侵索源和取證的工作；

     建立Janeos安全堡壘平臺的安全日常工作制度,，每日檢查Janeos安全堡壘平臺安全狀態(tài),，每周每月必須提交Janeos安全堡壘平臺安全狀態(tài)報告;

五,、電力行業(yè)成功客戶

   福建電力、上海電力,、內(nèi)蒙古電力,、云南電力、長江電力