基于網(wǎng)絡(luò)安全準(zhǔn)入對終端設(shè)備的管控研究

1、基于網(wǎng)絡(luò)安全準(zhǔn)入對終端設(shè)備的管控研究摘 要】為了解決網(wǎng)絡(luò)存在的安全隱患，通過網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)的建設(shè)，從技術(shù)手段對接入的終端設(shè)備進(jìn)行嚴(yán) 格的審批、授權(quán)，未經(jīng)審批、授權(quán)的終端設(shè)備將無法接入到 企業(yè)的網(wǎng)絡(luò)中，同時(shí)對發(fā)現(xiàn)有異常行為的終端設(shè)備迅速進(jìn)行 網(wǎng)路隔離，從而可以立即消除網(wǎng)路上的安全隱患，使得電力 企業(yè)系統(tǒng)整體網(wǎng)絡(luò)管理水平提升一個(gè)臺階。關(guān)鍵詞】網(wǎng)絡(luò)安全準(zhǔn)入 地址資源管控 信息安全 終端設(shè)備1 引言 隨著電力企業(yè)信息化建設(shè)的高速發(fā)展，網(wǎng)絡(luò)、服務(wù)器、終端等設(shè)備不斷增加，網(wǎng)路接入方式日益復(fù)雜，網(wǎng)絡(luò)安全也 成為網(wǎng)絡(luò)管理工作的重中之重 1-2 ，如何消除安全隱患，確 保企業(yè)網(wǎng)路和信息系統(tǒng)安全穩(wěn)定運(yùn)行，是當(dāng)前

2、電力企業(yè)網(wǎng)絡(luò) 管理工作的重點(diǎn)、難點(diǎn)。目前電力企業(yè)網(wǎng)路信息安全存在主 要問題有：1) 用戶終端可以隨意地接入企業(yè)的網(wǎng)路系統(tǒng)，開展各類業(yè)務(wù)活動(dòng)。2) IP 地址用戶可以自行分配和修改，不能實(shí)現(xiàn)有效的管理。3）終端用戶在接入企業(yè)網(wǎng)路時(shí)，沒有經(jīng)過權(quán)限控制和身份鑒別就可以隨意接入，任何終端只要接入到網(wǎng)絡(luò)中就 能夠訪問業(yè)務(wù)系統(tǒng)或其他終端。4）用戶權(quán)限控制不靈活，只能基于終端的IP 地址以及應(yīng)用系統(tǒng)中的口令來限制，不能根據(jù)用戶身份信息以及終 端安全信息靈活地定義。當(dāng)前大部分的網(wǎng)絡(luò)故障均由人為因素造成的，地市公司各辦公區(qū)域、縣公司接入企業(yè)網(wǎng)絡(luò)后形成了局域網(wǎng)。作為整 個(gè)廣域網(wǎng)的一個(gè)子網(wǎng)的狀態(tài)，各局部區(qū)域網(wǎng)絡(luò)的運(yùn)

3、行穩(wěn)定狀 況會直接影響整個(gè)電力企業(yè)全網(wǎng)的運(yùn)行，因此急需運(yùn)用技術(shù) 手段和管理手段對接入設(shè)備的入網(wǎng)采取一定的安全檢測以 及推行入網(wǎng)準(zhǔn)許制度，實(shí)現(xiàn)信息網(wǎng)入網(wǎng)和運(yùn)行的可控性，提 高信息網(wǎng)絡(luò)的安全性。為此，本文接下來將研究如何根據(jù)供 電企業(yè)特點(diǎn)，實(shí)施符合供電企業(yè)的網(wǎng)絡(luò)地址資源管控系統(tǒng)建 設(shè)3。2 網(wǎng)絡(luò)安全準(zhǔn)入的系統(tǒng)架構(gòu)2.1 系統(tǒng)總體框架 目前，常見的網(wǎng)絡(luò)準(zhǔn)入技術(shù)方案主要有基于 IP-MAC 綁定的網(wǎng)絡(luò)準(zhǔn)入技術(shù)和 EAD 端點(diǎn)準(zhǔn)入防御系統(tǒng)。本系統(tǒng)的總 體架構(gòu)包括網(wǎng)絡(luò)接入分級控制、終端安全評價(jià)平臺及網(wǎng)絡(luò)要 素資源庫三大部分 4 ，核心建設(shè)范圍如圖 1 所示：其中網(wǎng)絡(luò)要素資源庫包括 IP 地址規(guī)劃、 VLA

4、N 管理、終端管理、 IP 地址分配、 VRV 設(shè)備臺賬對標(biāo)。 終端安全評價(jià)平 臺包括安全評估策略、 VRV 數(shù)據(jù)監(jiān)測數(shù)據(jù)接入、 防病毒系統(tǒng)數(shù)據(jù)接入 5 。網(wǎng)絡(luò)接入分級控制包括交換機(jī)信息管理、交換機(jī)端口信息采集、未知設(shè)備接入控制、異常終端安全修復(fù)區(qū)控制、異常終端網(wǎng)路隔離區(qū)控制、聯(lián)動(dòng)控制策略6。同時(shí)系統(tǒng)在網(wǎng)絡(luò)要素資源庫及網(wǎng)絡(luò)分級接入控制數(shù)據(jù)的基礎(chǔ)上建設(shè)網(wǎng)絡(luò)資源全景化展示，提升網(wǎng)絡(luò)運(yùn)維的工作效率，該部分及必要的系統(tǒng)管理模塊建設(shè)范圍如圖2 所示：網(wǎng)絡(luò)全景化信息展示模塊從設(shè)備、IP資源、VLAN資源、IP 使用情況、信息點(diǎn)接入情況、告警等多個(gè)維度描述當(dāng)前網(wǎng) 絡(luò)的參與對象臺賬及其之間的對應(yīng)關(guān)系，方便運(yùn)維

5、人員全面 展望網(wǎng)絡(luò)現(xiàn)狀、排查網(wǎng)路故障。系統(tǒng)管理模塊提供必要的組織機(jī)構(gòu)維護(hù)、人員權(quán)限維護(hù)功能。同時(shí)由于市縣公司垂直化管理工作的推進(jìn)，系統(tǒng)需要 支持市縣公司的分布式部署。此外系統(tǒng)擬建立一套深化應(yīng)用 指標(biāo)（包括網(wǎng)絡(luò)接入要素?cái)?shù)據(jù)庫數(shù)據(jù)完整性指標(biāo)、網(wǎng)絡(luò)未知 接入處理情況、 分級控制故障率等） 來促進(jìn)系統(tǒng)的深化應(yīng)用。2.2 系統(tǒng)物理架構(gòu) 當(dāng)終端用戶接入到網(wǎng)絡(luò)中時(shí)，終端安全風(fēng)險(xiǎn)評平臺會從防病毒系統(tǒng)及 VRV 管控系統(tǒng)中獲取接入終端的安全數(shù)據(jù)， 并根據(jù)采集的終端數(shù)據(jù)與網(wǎng)絡(luò)接入要素?cái)?shù)據(jù)庫進(jìn)行終端安 全評價(jià)分析，如果其設(shè)備被批準(zhǔn)接入，則直接分配網(wǎng)絡(luò)VLAN ，如果其設(shè)備未被批準(zhǔn)接入，則直接阻止該設(shè)備訪問網(wǎng)絡(luò)。系統(tǒng)

6、準(zhǔn)入的原理如圖3 所示。網(wǎng)絡(luò)準(zhǔn)入管控設(shè)備使用 VMPS 技術(shù)協(xié)同現(xiàn)有 VLAN 管理方式完成 VLAN 的管理 7 。系統(tǒng)網(wǎng)絡(luò)接入要素?cái)?shù)據(jù)庫中維 護(hù)的終端設(shè)備， 系統(tǒng)會定期將終端 IP-MAC 信息寫入交換機(jī)， 杜絕 IP 盜用和更改 MAC 地址的問題。 系統(tǒng)物理部署結(jié)構(gòu)如 圖 4 所示：系統(tǒng)可直接在企業(yè)內(nèi)部局域網(wǎng)部署，直接使用旁路接入的方式布設(shè)在局域網(wǎng)中，并打通與交換機(jī)、 VRV 系統(tǒng)、防病 毒系統(tǒng)及第三方審計(jì)系統(tǒng)之間數(shù)據(jù)交互的網(wǎng)絡(luò)通道。針對市縣公司垂直一體化管理的方式，在局域網(wǎng)中，網(wǎng)絡(luò)準(zhǔn)入管控設(shè)備可能根據(jù)實(shí)際網(wǎng)段數(shù)目實(shí)現(xiàn)分級控制以實(shí) 現(xiàn)更好的效果，如圖 5 所示。2.3 系統(tǒng)邏輯架構(gòu) 網(wǎng)

7、絡(luò)準(zhǔn)入管控系統(tǒng)是基于 B/S 多層體系架構(gòu)和 .NET 平臺生成 SOA 邏輯架構(gòu)，分為平臺層、應(yīng)用層、數(shù)據(jù)層、數(shù) 據(jù)接口層和展示層 8 。各層之間通過組件間的服務(wù)承載關(guān)系 實(shí)現(xiàn)外部數(shù)據(jù)與系統(tǒng)功能的接口交互。系統(tǒng)的邏輯架構(gòu)如圖6 所示：3 網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)的關(guān)鍵技術(shù)3.1 網(wǎng)絡(luò)接入要素模型 網(wǎng)絡(luò)接入要素包括網(wǎng)絡(luò)中所有接入的終端設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備等所有網(wǎng)絡(luò)接入對象，例如服務(wù)器、臺式機(jī)、 自助終端、 TTU 、打印機(jī)、交換機(jī)等。網(wǎng)絡(luò)接入對象存在各 個(gè)范疇的屬性，本系統(tǒng)關(guān)注于網(wǎng)絡(luò)接入控制，因此需要抽象 出各類接入對象與網(wǎng)絡(luò)接入相關(guān)的對象屬性并建模，進(jìn)而形 成所有對象臺賬維護(hù)的元數(shù)據(jù)。系統(tǒng)通過搜集

8、目前所有接入網(wǎng)絡(luò)的設(shè)備類型，并選取設(shè)備類型與網(wǎng)絡(luò)安全及網(wǎng)絡(luò)拓?fù)浞治龅南嚓P(guān)的屬性參數(shù)， 形成 ?設(shè)備類型的接入要素模型，同時(shí)對于網(wǎng)絡(luò)設(shè)備，通過建立端 口子模型以支撐整個(gè)網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)的構(gòu)建 9 。3.2 分級策略和終端安全評價(jià)模型 系統(tǒng)通過一組審計(jì)指標(biāo)來構(gòu)建安全評價(jià)模型，表達(dá)終端的安全風(fēng)險(xiǎn)，審計(jì)指標(biāo)與目前企業(yè)的網(wǎng)絡(luò)安全管理目標(biāo)掛 鉤，包括終端的內(nèi)外網(wǎng)隔離、弱口令情況、病毒感染情況、 保密終端安裝情況、違規(guī)外設(shè)使用情況等。安全審計(jì)結(jié)果根 據(jù)審計(jì)指標(biāo)綜合評估得到，分為可信終端、待修復(fù)終端、危險(xiǎn)終端三類 10 。3.3 交換機(jī)分級控制交換機(jī)分級控制是實(shí)現(xiàn)終端分級安全接入的關(guān)鍵手段，針對終端安全評價(jià)平臺的

9、三類 評估結(jié)果，系統(tǒng)利用 VMPS 服務(wù)器動(dòng)態(tài)調(diào)整交換機(jī)端口所屬VLAN ，實(shí)現(xiàn)三類終端的訪問權(quán)限控制。系統(tǒng)通過創(chuàng)建一個(gè)Guest VLAN 建立待修復(fù)區(qū)域，所有安全狀態(tài)評估為待修復(fù) 的終端均自動(dòng)劃分到 Guest VLAN 。3.4 第三方安全審計(jì)接入 終端安全涉及多個(gè)方面，除去 VRV 系統(tǒng)和趨勢防病毒系統(tǒng)，還需要預(yù)留以后與其它第三方審計(jì)應(yīng)用的數(shù)據(jù)交互，以實(shí)現(xiàn)終端安全評價(jià)基礎(chǔ)數(shù)據(jù)的全方位接入11 。在系統(tǒng)實(shí)現(xiàn)時(shí)，首先建立較為完備的終端安全評價(jià)模型，對于模型中需要的數(shù)據(jù)，當(dāng)前審計(jì)軟件能提供的在當(dāng)前 版本中實(shí)現(xiàn)數(shù)據(jù)接入，對于當(dāng)前審計(jì)軟件不能提供的，預(yù)留 數(shù)據(jù)接入接口，以備日后擴(kuò)展。3.5 深化

10、應(yīng)用指標(biāo)體系設(shè)計(jì) 電力企業(yè)網(wǎng)絡(luò)規(guī)模隨著電網(wǎng)規(guī)模的發(fā)展不斷擴(kuò)大，系統(tǒng)內(nèi)網(wǎng)絡(luò)要素需及時(shí)維護(hù)，否則當(dāng)系統(tǒng)基礎(chǔ)數(shù)據(jù)與真實(shí)網(wǎng)絡(luò)要 素?cái)?shù)據(jù)差異很大時(shí)，系統(tǒng)不能正確控制網(wǎng)絡(luò)接入行為，而且 還會由于錯(cuò)誤的控制行為造成網(wǎng)絡(luò)故障，為此系統(tǒng)設(shè)計(jì)了 套應(yīng)用指標(biāo)體系， 包括全網(wǎng)設(shè)備綁定率、 VRV 與系統(tǒng)間對標(biāo) 統(tǒng)計(jì)、 系統(tǒng) VLAN 維護(hù)率等， 通過對指標(biāo)進(jìn)行考核以促進(jìn)系 統(tǒng)的深化應(yīng)用 12 。4 網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)的應(yīng)用成效4.1 運(yùn)維人員可以對數(shù)量眾多的終端實(shí)現(xiàn)安全、 有效的準(zhǔn)入控制 系統(tǒng)對接入的終端用戶進(jìn)行 IP 地址、 MAC 地址及交換機(jī)端口三項(xiàng)結(jié)合綁定，從技術(shù)手段對接入的終端設(shè)備進(jìn)行嚴(yán) 格的審批、授權(quán)，未經(jīng)

11、審批、授權(quán)的終端設(shè)備將無法接入到企業(yè)的網(wǎng)絡(luò)中，運(yùn)維人員可以對數(shù)量眾多的終端實(shí)現(xiàn)安全、 有效的準(zhǔn)入控制，從而確保電力企業(yè)系統(tǒng)的網(wǎng)絡(luò)安全。4.2 提高終端異常行為的處理能力對于發(fā)生違規(guī)外聯(lián)、弱口令、病毒攻擊的異常終端，網(wǎng)絡(luò)安全準(zhǔn)入管控系統(tǒng)結(jié)合 VRV 桌面管控系統(tǒng)，可以及時(shí)將 其從網(wǎng)絡(luò)中進(jìn)行有效隔離，避免了傳統(tǒng)的手動(dòng)登錄交換機(jī)操 作的復(fù)雜性，大幅提高了終端異常行為處理的時(shí)效性，降低 了終端異常行為在整個(gè)網(wǎng)絡(luò)中擴(kuò)散的風(fēng)險(xiǎn)，提升了網(wǎng)絡(luò)安 全。同時(shí)利用系統(tǒng)提供的網(wǎng)絡(luò)隔離功能，可有效督促用戶進(jìn) 行整改。4.3 對 IP 地址資源實(shí)現(xiàn)高效管控 系統(tǒng)對接入的終端用戶進(jìn)行 IP 地址、 MAC 地址及交換機(jī)端口

12、三項(xiàng)結(jié)合綁定， 確保終端用戶與 IP 地址、 網(wǎng)絡(luò)接入交 換機(jī)端口的唯一性， 從而使 IP 地址資源的分配擺脫原來的手 工管理方式，使得整個(gè)電力企業(yè)整體 IP 地址管理水平提升 個(gè)臺階，可以對 IP 地址資源進(jìn)行更合理分配和使用。4.4 信息網(wǎng)絡(luò)的管理成本可以大幅度降低網(wǎng)絡(luò)管理人員可以更有效、更直接地制定各項(xiàng)網(wǎng)絡(luò)管理策略，部署在系統(tǒng)中，在分析、查找信息網(wǎng)絡(luò)故障時(shí)，網(wǎng)絡(luò) 管理人員可以通過制定的各項(xiàng)策略對危險(xiǎn)點(diǎn)進(jìn)行快速查找 和定位，直接追蹤到終端用戶，從而大大縮短消除安全隱患 時(shí)間。同時(shí)還可以大幅提高 IP 地址的分配效率， 從而進(jìn)一部降低信息網(wǎng)絡(luò)的管理成本。4.5 產(chǎn)生的網(wǎng)絡(luò)安全事件可以責(zé)任到人

13、 網(wǎng)絡(luò)安全準(zhǔn)入管控系統(tǒng)從技術(shù)手段對接入的終端設(shè)備進(jìn)行嚴(yán)格的審批、授權(quán)，未經(jīng)審批、授權(quán)的終端設(shè)備將無法接入到企業(yè)的網(wǎng)絡(luò)中，這樣就可以確保接入網(wǎng)路的終端用戶和 IP 地址是對應(yīng)。 企業(yè)通過部署防火墻、 IDS 等網(wǎng)絡(luò)安全設(shè)備，可以記錄下所有終端用戶訪問日志中的IP 地址信息，這樣當(dāng)發(fā)生安全事件時(shí)可以定位到具體的責(zé)任人，從而 可以進(jìn)一步避免信息安全事件的發(fā)生。4.6 實(shí)現(xiàn)設(shè)備臺賬和網(wǎng)絡(luò)地址之間的統(tǒng)一管理， 確保企業(yè)的考核指標(biāo) 網(wǎng)絡(luò)安全準(zhǔn)入管控系統(tǒng)對接入的終端用戶進(jìn)行 IP 地址、MAC 地址及交換機(jī)端口三項(xiàng)結(jié)合綁定，確保了設(shè)備和網(wǎng)絡(luò) 地址之間的一致性，同時(shí)通過實(shí)時(shí)切斷告警的終端設(shè)備，實(shí) 現(xiàn)了網(wǎng)絡(luò)管理

14、從異常發(fā)現(xiàn)、告警、處理及反饋的閉環(huán)處理。另外由于系統(tǒng)存在嚴(yán)格的考核指標(biāo)體系，管理人員可清晰地 掌握系統(tǒng)的應(yīng)用狀況，大大促進(jìn)了數(shù)據(jù)維護(hù)效率，提升了系 統(tǒng)的數(shù)據(jù)質(zhì)量。5 結(jié)束語 針對網(wǎng)絡(luò)存在的安全隱患，本文提出了一種網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)架構(gòu)，并對其系統(tǒng)架構(gòu)和關(guān)鍵技術(shù)進(jìn)行分析，通過具 體的應(yīng)用表明，該系統(tǒng)能消除網(wǎng)路上的安全隱患，確保電力企業(yè)網(wǎng)路與各應(yīng)用系統(tǒng)可以安全穩(wěn)定運(yùn)行，最終使整個(gè)電力企業(yè)整體網(wǎng)絡(luò)管理水平提升一個(gè)臺階。參考文獻(xiàn)：1 司徒健輝 . 企業(yè)網(wǎng)絡(luò)安全準(zhǔn)入控制技術(shù)設(shè)計(jì)與應(yīng)用J. 大科技： 科技天地，2 錢楊 . 企業(yè)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入控制及終端安全防護(hù)研究 D.2010（ 7）： 206-209.海：

15、華東理工大學(xué)， 2012.3 張濤 . 企業(yè)內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)研究 J.中國信息化，2013（ 1）： 52-53.4 呂維新 . 網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電局終端安全管理中的應(yīng)用 J. 電力信息化， 2011（6）： 94-97.5 于微偉，盧澤新，康東明， 等. 關(guān)于網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的分析與優(yōu)化 J. 計(jì)算機(jī)工程與科學(xué)， 2011，33（ 8）：39-44.6 葉競，葉水勇，陳清萍， 等. 云終端技術(shù)研究與系統(tǒng)建設(shè) J. 電力信息與通信技術(shù)， 2015，13（5）： 77-82.7 徐沛沛 . 桌面終端遠(yuǎn)程運(yùn)維管理系統(tǒng)研究與設(shè)計(jì)J.電力信息化， 2012， 10（6）： 16-20.8 張科， 董亮，鄒澄澄 . 利用云計(jì)算技術(shù)建立電力信息系統(tǒng)硬件資源池 J. 湖北電