基于單向鏈路的無協議安全運維技術研究

◆李繼勇 周迎輝 閆岳明

（1.中鐵信安（北京）信息安全技術有限公司 北京 100094；2.中國鐵路信息科技集團有限公司 北京 100844）

1 引言

1.1 研究背景

信息系統普遍存在于各行業網絡中，信息系統在使用的生命周期中不可避免會出現各種問題，需要對信息系統進行問題排查。此時，就需要用戶單位，甚至是信息系統開發廠商的人員到現場對信息系統進行運維工作，但由于運維中可接觸內部網絡及關鍵信息數據，導致了運維中的各種安全風險，其突出體現在兩類：

（1）運維過程中不合規接入引入的風險：外部非可控計算機接入網絡，引入網絡攻擊風險；外部介質接入計算機，引入病毒木馬；通過互聯網接入運維，引入攻擊風險。

（2）在線運維過程產生的風險：運維人員或計算機對業務服務器攻擊，破壞其可用性；核心業務服務被注入惡意代碼，竊取或破壞業務數據；以攻擊服務器為跳板，滲透攻擊內部網絡。

以上風險在運維中都普遍存在，一般的解決辦法就是從管理和技術兩個角度考慮，管理角度會指定完善的運維規范和制度，采用限制互聯網運維，對現場維護履行登記審批手續，運維過程全程陪同等等方式；技術手段就是采用一定的安全控制措施，限制運維人員可接觸范圍及操作內容等。

1.2 現狀及風險

目前國內外典型的對運維安全的控制手段主要包括以下幾類：

（1）常規的訪問控制措施

指定運維人員在專門的網段計算機進行信息系統運維，通過交換機、防火墻等的訪問控制手段限制運維計算機只能訪問特定的信息系統。

（2）運維監控系統

一般沒有專門針對運維的監控產品，通過網絡審計、數據庫審計、應用審計等相關技術和產品，對關鍵信息系統及服務器的操作行為進行監控審計，從中發現運維可能的風險。

（3）安全運維堡壘機[1]

這種產品是專門針對運維安全風險設計的，主要通過對運維協議的代理控制技術實現，在身份認證的基礎上，通過協議過濾、方法過濾、文件傳輸控制、錄屏審計等手段，一方面監視運維的操作過程，另一方面對關鍵指令進行控制，研制運維人員的操作，避免越權訪問，達到安全運維控制效果。

以上運維控制技術手段雖然能緩解運維風險，但是隨著信息系統越來越復雜，運維方式越來越豐富，有時甚至需要應急進行互聯網運維等等情形，這些方式就存在不足：

（1）常規交換機、防火墻的訪問控制手段對運維協議無安全過濾措施，可形成無法控制風險的運維管道；

監控手段并非專門為運維設計的，無法識別運維細節，無法實施細粒度的監視及控制；

即使專門解決運維安全問題的運維堡壘機產品，也存在風險：

（2）代理風險：此類產品基于協議代理實現，運維協議（ssh、ftp 等）自身的安全風險無法阻斷，可被利用形成攻擊，尤其是在互聯網接入運維的情況下，這種風險更為突出；

運維過程中的上傳文件潛在的惡意病毒木馬可能感染被運維服務器，導致信息破壞及泄漏風險；

（3）自身風險：一旦堡壘機自身被攻擊，可被利用作為跳板攻擊內部網絡。

鑒于目前運維技術面臨的風險，本文將研究一種新的安全運維控制技術，形成專用的、安全可控的運維通道，并基于此形成一套運維管控系統，實現安全的在線運維，甚至在互聯網下也可保障運維的安全可控。這項技術是一種基于單向傳輸，結合虛擬化技術的安全運維通道，在這種安全通道基礎上，將運維主機與操作主機分離，形成可控的運維環境，結合身份認證、操作控制、全程審計等技術實現對運維全過程的可視化管控，確保運維安全，保障被運維信息系統免受運維攻擊。

2 系統架構與功能

2.1 系統架構

系統分為4 層結構，分別是基礎設施層、網絡防護層、應用防護層和運維對象層，同時監控審計貫穿于各層。系統結構如圖1 所示：

圖1 系統架構圖

基礎設施層有服務器和網絡基礎設備組成，在基礎設施層的遠程終端都需要進行身份認證。網絡防護層提供訪問控制、邊界防護傳輸加密和單向隔離功能。應用防護層則提供用戶管理、身份認證、權限管理、運維代理等應用管理功能為運維對象提供支持。監控審計則通過包括通過圖像捕獲技術，形成運維視頻記錄，對運維全程進行審計；實現運維視頻的查詢檢索功能，可按時間、人員、設備等多維度檢索；實現運維人員操作信息的捕獲及記錄，形成操作日志；實現運維操作日志的綜合審計；實現運維過程運維記錄的關聯分析及查詢，按時間軸回溯運維過程。

2.2 功能描述

系統虛擬桌面采用結合Linux 下的KVM 技術實現，在虛擬桌面內部嵌入代理軟件，并與運維通道連接。系統運維人員通過右鍵快捷方式或者通過專用文件傳輸界面程序將文件通過運維通道傳給操作主機。系統同時支持單個文件及批量文件的一次性傳輸，在傳輸過程中文件會受到安全過濾機制檢查。必要時操作主機還可以向運維主機單向傳輸文件，此時文件需要進行必要的安全檢查外還會經過病毒掃描和人工審核以保證文件的安全上傳。

在安全控制功能方面系統實現了雙單向安全隔離、身份認證、運維審計、運維協議控制和文件內容審查。

雙單向安全隔離通過構造雙單向傳輸鏈路，將運維操作主機與運維主機物理隔離，切斷運維中的網絡協議，實現操作主機鍵盤、鼠標消息采集及傳輸，實現運維主機屏幕增量信息采集、傳輸及渲染展示，單向傳輸鏈路基于光單向技術實現，使用私有協議控制，實現運維通道的安全保障。

身份認證功能包含運維人員身份鑒別及管理員身份鑒別。運維人員管理通過注冊、注銷、更改、權限設置等，支持口令、證書、手機短信等認證方式；對內部運維人員及外來運維人員進行統一管理以實現運維人員權限控制及限定可運維范圍。管理員身份鑒別則通過用戶名/口令的方式、基于數字證書的方式、支持硬件令牌的方式在管理員訪問系統時進行身份鑒別。

系統通過在單向柵欄設備部署實施運維協議過濾控制模塊，實現對FTP、SSH、HTTP、RDP 等運維協議的集中管理及控制，增強運維安全；同時支持授權啟用特定的運維協議；支持對運維協議命令、語法進行過濾，限制使用敏感方法；限制運維主機與被運維設備之間的文件傳輸。

系統還通過關鍵詞過濾、文件格式檢查、模糊查詢和病毒掃描方式對傳輸文件的內容進行審查。

系統對運行內容進行實時監控功能，包括網絡接口監視、CPU利用率監視、內存使用率監視、網絡狀況監視、硬件系統監視、進程監視、任務監視等，并提供對監控結果的多種圖表顯示方式。在審計方面則具備日志查詢、存儲并提供三權分立的審計功能，并支持系統日志上報，支持第三方軟件查看日志、支持日志分級和本機及遠程日志存儲，并提供對應用交換信息、安全控制信息、系統日志信息的記錄及審計功能。

3 關鍵技術

3.1 單向運維技術

本研究使用的單向運維技術的實現原理如圖2 所示：

圖2 單向運維技術原理

本技術將運維過程涉及的各個部份分為操作主機、單向運維通道、運維主機及運維對象，其中：

（1）操作主機：運維人員實際使用的計算機，運維人員通過該計算機進行運維操作，實現對運維對象的運維工作；

（2）單向運維通道：基于單向傳輸技術，通過雙單向傳輸架構實現的安全運維通道，確保操作主機與運維主機之間的有效隔離，實現信息的單向傳輸；

（3）運維主機：進行實際運維操作的主機，運維人員在操作主機上的操作將由運維主機進行操作代理，實際的操作動作由運維主機執行，運維結果展示也由運維主機反饋給操作主機；

（4）運維對象：被運維的目標信息系統，運維主機通過網絡實現對運維對象的操作，達到運維的目的。

為了實現單向通道下無協議的運維，其核心是操作主機的鍵盤、鼠標操作過程傳遞給運維主機釋放，運維主機的操作結果顯示信息傳輸給操作主機釋放，傳輸通道基于無協議的雙單向通道實現。

為此，在操作主機上具有鼠標鍵盤捕獲模塊及屏幕信息渲染展示模塊，其中鼠標鍵盤捕獲模塊負責實時獲取操作主機的鼠標及鍵盤操作，將操作信息進行記錄，并攔截操作在本地的釋放，然后將鼠標鍵盤操作信息發送給單向運維通道。屏幕信息渲染展示模塊負責接收單向運維通道發送過來的屏幕顯示信息，并解壓后進行屏幕渲染及顯示。

單向運維通道包含兩個單向傳輸通道，一個是操作主機向運維主機鼠標鍵盤信息傳輸通道，稱為鼠鍵通道；另一個是運維主機向操作主機的顯示信息傳輸通道，稱為顯示通道。兩個傳輸通道基于單向光信號通信原理實現，鼠鍵通道可基于光對管等低帶寬傳輸機制實現，在適應鼠標鍵盤消息傳輸的同時，防止高帶寬下惡意信息傳輸風險，增強攻擊難度，顯示通道基于單向光模塊實現，高帶塊適應顯示信息的高效傳輸。鼠鍵通道與顯示通道均采用無協議的數據傳輸機制，避免網絡協議的攻擊風險。為了保證運維過程安全，在單向運維通道中傳輸信息的無協議單向傳輸外，還實現以下安全機制：

（1）鼠鍵信息過濾：進行操作主機傳輸信息檢查，確保只有鼠標及鍵盤信息能進行傳輸，其余信息一律拒絕；

（2）顯示信息過濾：進行運維主機傳輸信息檢查，只有運維主機的屏幕捕獲圖片信息能傳輸，其余信息一律拒絕。

在運維主機上具有鼠標鍵盤釋放模塊及屏幕信息捕獲模塊，其中鼠標鍵盤釋放模塊負責接收單向運維通道發動的操作主機的實際鼠標鍵盤操作信息，并在本地操作系統中釋放，成為本地的鼠標鍵盤操作。當運維主機對運維對象運維時，本地操作系統將顯示運維屏幕信息，屏幕信息捕獲模塊負責對運維屏幕進行捕獲，形成運維顯示信息，并通過單向運維通道發送給操作主機。為了提升運維屏幕捕獲及傳輸效率，可采用增量捕獲方式，減少捕獲信息量。另外，為了提供流暢的顯示效果，大約按每秒鐘30 張顯示鏡像的頻率進行捕獲。

3.2 基于虛擬化的在線運維技術

按如上的技術原理就實現了運維人員通過操作主機對運維對象的整個運維過程，其運維的流程如圖3：

圖3 運維過程流程圖

運維過程如下：

（1）運維人員通過鼠標鍵盤在操作主機上進行操作；

（2）操作主機上的鼠標鍵盤捕獲模塊自動捕獲運維人員的鼠鍵信息；

（3）操作主機將鼠鍵信息傳輸給單向運維通道，單向運維通道對鼠鍵進行安全過濾檢查；

（4）檢查不通過拒絕傳輸并告警，檢查通過，則將鼠鍵信息通過單向通道傳輸給運維主機；

（5）運維主機解析鼠鍵信息，并在本地進行釋放，達到對運維對象進行遠程操作的目的；

（6）運維主機操作運維對象后的顯示信息自動被運維主機的屏幕信息捕獲模塊增量捕獲，形成一幀幀的屏幕顯示圖片信息，這些信息通過運維主機發送給單向運維通道；

（7）單向運維通道對運維顯示信息進行過濾檢查，如不符合要求，拒絕傳輸并告警，如符合要求，屏幕信息通過單向通道傳輸給操作主機；

（8）操作主機接收屏幕信息并在本地進行渲染及展示，使得運維人員實時看到運維效果。

在某些運維場景中，往往同時會有多個人對相同或不同的運維對象進行運維，此時，可以采用如圖4 所示架構進行運維。

圖4 多主機運維結構

該模式下，運維主機將不是一個獨立的計算機，運維主機將由多個虛擬機[3]構成，每個虛擬機具有獨立的操作系統，可成為獨立的運維主機。在使用時，每一臺操作主機與一個虛擬機對應，形成一對一的運維關系。根據操作主機的數量可以靈活擴展運維虛擬機的數量。單向運維通道可以由一臺設備組成，也可以適應更多主機運維，由多臺設備以集群方式部署。此模式通過橫向擴展，理論上可支持任意數量的操作主機同時進行運維工作。

為了進一步提升運維過程的安全，在單向無協議運維機制下可在運維主機與運維對象之間部署堡壘機產品，通過對運維協議的深度檢查及過濾，提升運維整體的可控性。

4 總結

相比于目前業界最安全的運維控制手段就是采用運維堡壘機產品，本次研究具有以下優勢：

（1）運維數據不落地，確保運維信息安全。

可確保運維人員只能在操作主機上對運維對象進行運維，運維過程的任何數據只能在運維主機落地存儲，在操作主機上的僅是屏幕顯示信息。運維人員無法在操作主機上獲取任何運維中的數據信息，確保運維信息的泄密保護。

（2）運維過程無協議，防止網絡攻擊。

采用無協議運維技術，在操作主機與運維主機之間僅通過單向通道，采用非網絡協議傳輸鼠標鍵盤及屏幕顯示信息，運維過程中實際的運維協議（如SSH、FTP、HTTP 等）只在運維主機與運維對象之間傳輸，操作主機與運維主機間無任何協議，杜絕任何基于網絡協議的攻擊行為，避免運維協議的安全漏洞導致對運維對象的攻擊風險。

（3）基于單向運維架構，確保結構安全。

雙單向架構實現操作主機與運維主機之間的隔離，單向通道無法傳輸網絡協議，兩個單向通道分離，采用不同單向技術，且其中一個單向通道采用窄帶傳輸技術，攻擊者很難利用，即使單向運維通道面向操作主機這一端被攻擊者攻破，攻擊者也無法利用單向通道向運維主機發起攻擊，確保整體運維結構的安全。

本運維可廣泛應用于政府、軍隊軍工、企事業單位及其他對關鍵應用、服務器進行安全運維的場景，實現外部人員及內部人員對關鍵設施運維全過程的可視、可控、可管。