干货分享|下一代远程安全访问护航电力仿真实验室

“在电力物联网环境下，异构、不同主体的终端广泛接入云端网络，其计算存储资源受限，且所处环境不可控，安全管理和防护技术难度大。设备数量呈数量级上升，安全风险积累后可能造成严重影响”，这是来自电力行业的安全专家赵老师在虎符网络主办的“零信任落地实践探索研讨会”上的分享。

电力系统是能源行业中的典型关键基础设施，其覆盖面之广、结构之复杂、层次之多是其他行业都无法比拟的。电能的安全传输依赖于电力信息系统的正常工作，而近年来随着电力行业信息化的不断发展，其面临的安全考验日益严峻，电力信息系统安全体系建设的重要性日益凸显。

国家高度重视电力等关键信息基础设施的网络安全工作。《中华人民共和国网络安全法》将抵御境内外网络安全威胁、保护关键信息基础设施、数据安全防护等工作上升至法律的层面，严格相关责任和处罚措施。国网公司作为国家特大型公用事业企业，被公安部列为国家网络安全重点保卫单位。各省公司作为国网公司的重要子公司，承担着确保网络与信息安全的重要职责，如有其中某一点被攻破，整个电网体系将面临巨大的挑战。

赵老师在题为《零信任技术的异构应用》的主题演讲中指出，对于电网的运营单位而言，需要重点关注国际甚至国内的各类网络攻击，坚持以“防护为主”的网络战应对原则，积极研究跟踪攻击新技术，研发部署针对性的安全防御措施。为此，国家电网有限公司某二级产业单位公司对国际各类网络攻击事件以及新型攻击手段进行研究，并提供国网系统内网络安全工作安全防护提升解决方案。其下创立了电力仿真实验室，针对电力系统经常被使用的供电系统、IT设备、中控设备等仿真环境开展技术研究，并设定攻防演练平台供信息安全红队人员开展场景性攻防演练工作。

为提供便利的业务服务环境，该单位部分应用部署在实验室边界防火墙后的DMZ区，通过大量安全防护设备进行权限管理。运维人员意识到远程访问无法针对操作者的审计以及操作人员的身份甄别，缺乏更安全更方便的远程访问方式，甚至应有一些对抗手段，比如攻击检测和预警。

其典型业务需要包括以下四点：

1、提供一种比较隐匿的远程访问方式，同时又不能被潜在的网络攻击者通过互联网出口嗅探到，减少暴露面。

2、能够实时有效的对接入的实验室人员终端设备做管控，可信的终端才能够访问到远程访问设备，其他终端自动拒绝；同时异常访问行为能被感知并预警，以方便甲方应急响应事件。

3、实验室中部署的攻防演练平台，在比赛期间需要对指定的信息安全红队人员临时开放账户，同时需要限制这些临时账户的访问权限，只允许访问特定的靶标系统，不能访问实验室内网中的其他应用。攻防演练比赛结束后，这些临时账户的权限能够自动回收，减少由于忘记删除账号而导致的数据泄漏风险。

4、解决传统VPN无法解决的问题。例如，传统VPN不支持自定义路由配置。如下图所示，甲方需要在其实验室的办公内网访问部署在公网上的培训系统，但办公内网使用172网段，无法直接通过防火墙开放到外网，需要系统支持路由配置。这种自定义路由配置，在传统VPN上实现难度较大。

针对上述需求和痛点，甲方采用了虎符网络的虎盾零信任远程访问系统（简称“虎盾ZRA”）。虎盾ZRA是可替代传统VPN设备的下一代远程安全访问系统，在提供远程访问通道的同时提供多种安全保障。部署完成后，所有流量均由虎盾ZRA代理进行访问，实验室内部应用需要与虎盾ZRA进行对接，同时虎盾ZRA通过企业内部、云端身份体系对用户访问应用权限按需分配。

针对远程访问实验室内部服务资源的全业务流程，虎盾ZRA提供基于设备侧环境信息和网络侧行为信息，覆盖网络层、登录层、访问层的一体化零信任防御体系。

· 采用流量代理模式对内部应用和数据访问流量进行收口，隐藏内部业务系统，收缩资产暴露面，整个网络去除匿名流量。同时仅对公网开放一个UDP端口，对于非法请求，端口保持静默，达到“隐身”的效果，让扫描器无从下手。以上措施解决了甲方所关心的“服务隐身”问题。

· 基于访问设备指纹信息的可信设备认证，结合对认证行为、访问行为、访问内容的审计，让访问可控、可感知。对于网络攻防演练场景，虎盾ZRA提供重保模式，非可信设备无法敲开网络，有效缓解各种网络扫描探测、漏洞攻击等风险；同时对凭证盗用、暴力破解、网络敲门暗语滥用等行为都有预警和相应的处置策略。以上措施解决了甲方所关心的接入设备有效管控问题。

· 在对外部人员临时开放实验室的内部CTF平台期间，虎盾ZRA允许通过Excel批量导入CTF参赛人员名单，将此批次人员加入到特定的用户组，并将该组的权限设置为仅访问CTF平台。该批次人员的身份和权限生效时间均可定制，赛后将该用户组的权限自动收回。以上措施解决了甲方所关心外部人员临时接入内网的账号和权限控制问题。

· 虎盾ZRA支持自定义路由条目。对于部署在公网上的培训系统的访问，通过在虎盾ZRA上添加路由条目以及在上一级路由器上配置路由策略，使得内网办公用的172网段也能被远程访问到，就可以让办公内网用户通过虎盾ZRA也可以访问培训系统。以上措施解决了甲方所关心的传统VPN部分功能不满足实际业务需求的问题。

方案优势分析

电力仿真实验室通过部署虎盾ZRA，解决了远程访问内网资源业务场景下所面临的风险隐患。对于运维人员，通过统一的安全访问策略集中管理所有内网资源，极大的降低了网络边界重新规划的复杂性和时间成本；简化业务合并管理，提高远程访问安全性的同时降低运维成本。虎符网络独家提出的重保模式，能够比较好的应对网络攻防演练场景下针对蓝队设备的检测、渗透和攻击。

总结

作为升级版的下一代VPN和零信任框架下更安全的远程访问解决方案，虎盾ZRA可在互联网上为企业架设一层以身份为边界的逻辑私有网络，实现四大安全目标：自身服务隐身、人员身份明确、可信设备防御、动态评估授权。