劉年國(guó) 何兵兵 王芬

【摘 要】電力網(wǎng)絡(luò)終端接入的有效管控是日常網(wǎng)絡(luò)運(yùn)維中的重點(diǎn)工作。本文依據(jù)P2DR理論給出了一種適合地市電力公司使用的終端接入管控體系，通過(guò)建立終端臺(tái)賬基線，監(jiān)測(cè)未知接入及終端異常行為，并進(jìn)行合理阻斷，一方面保障了可信設(shè)備的安全接入，同時(shí)也能及時(shí)發(fā)現(xiàn)未知接入設(shè)備，較好了實(shí)現(xiàn)了電力網(wǎng)絡(luò)接入設(shè)備的全面管控，具有較好的實(shí)用價(jià)值。

【關(guān)鍵詞】終端接入控制 終端行為審計(jì) 終端接入管控

1 引言

隨著智能電網(wǎng)的發(fā)展，電力信息網(wǎng)終端設(shè)備接入不斷增多，接入設(shè)備類型也趨向多樣化，對(duì)終端設(shè)備接入行為的有效管控，及時(shí)阻斷未知終端或非法終端接入、隔離存在異常異常行為的已接入終端成為日常信息安全運(yùn)維的重點(diǎn)工作[1、3]。

以淮南供電公司為例，信息運(yùn)維人員定期對(duì)各區(qū)域進(jìn)行接入設(shè)備巡檢，確定未知接入設(shè)備并處理，無(wú)法對(duì)未知終端接入進(jìn)行及時(shí)的感知進(jìn)而采用有效的隔離，給信息內(nèi)網(wǎng)帶來(lái)了一定的安全風(fēng)險(xiǎn)[4]。同時(shí)各終端上通過(guò)安裝北信源桌面行為管理軟件（簡(jiǎn)稱VRV）對(duì)終端使用行為進(jìn)行收集并告警，但目前告警由運(yùn)維人員獲取后進(jìn)行處理，存在一定的滯后，對(duì)終端異常行為管控力度較弱。為此，通過(guò)終端接入管控體系建設(shè)，以終端接入、終端行為監(jiān)控為基礎(chǔ)，結(jié)合終端接入控制方法，實(shí)現(xiàn)對(duì)終端接入的全方位管控，提升電力信息網(wǎng)的終端安全管理水平。

2 地市電力公司終端接入管控體系方法

2.1體系建設(shè)目標(biāo)

在已有VRV桌面管控系統(tǒng)及趨勢(shì)防病毒系統(tǒng)的基礎(chǔ)上建設(shè)終端接入管控體系，體系將圍繞網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源及終端設(shè)備三類網(wǎng)絡(luò)構(gòu)成要素，建立公司的網(wǎng)絡(luò)構(gòu)成要素臺(tái)賬數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)接入安全策略憑條，以此為基礎(chǔ)對(duì)接入設(shè)備及終端設(shè)備進(jìn)行安全審計(jì)，輔以交換機(jī)控制技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)接入行為進(jìn)行控制，以提升公司網(wǎng)絡(luò)管理效率，對(duì)網(wǎng)絡(luò)安全多重防護(hù)機(jī)制。

2.2體系建設(shè)方法

體系建設(shè)包括合法終端設(shè)備臺(tái)賬建設(shè)，終端接入檢測(cè)與終端行為審計(jì)以及終端準(zhǔn)入控制技術(shù)三塊。

2.2.1檢測(cè)基線臺(tái)賬數(shù)據(jù)庫(kù)建設(shè)

網(wǎng)絡(luò)終端接入要素包括網(wǎng)絡(luò)中接入的終端設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)接入對(duì)象，網(wǎng)絡(luò)接入對(duì)象存在各個(gè)范疇的屬性，體系關(guān)注于網(wǎng)絡(luò)接入控制，因此抽象出各類接入對(duì)象與網(wǎng)絡(luò)接入相關(guān)的對(duì)象屬性并建模，進(jìn)而形成對(duì)象臺(tái)賬的元數(shù)據(jù)。再通過(guò)搜集目前所有接入網(wǎng)絡(luò)的設(shè)備類型，并選取設(shè)備類型與網(wǎng)絡(luò)安全及網(wǎng)絡(luò)拓?fù)浞治鱿嚓P(guān)的屬性參數(shù)形成該設(shè)備類型的接入要素模型，并依據(jù)接入要素模型對(duì)各類設(shè)備類型對(duì)應(yīng)的設(shè)備集合進(jìn)行梳理與錄入，形成檢測(cè)基線臺(tái)賬數(shù)據(jù)庫(kù)。

2.2.2設(shè)備接入及終端行為監(jiān)測(cè)

未知接入設(shè)備及存在異常行為（違規(guī)外聯(lián)、弱口令、感染病毒、未安裝最新補(bǔ)丁等）的終端給信息網(wǎng)安全帶來(lái)一定安全隱患，需要對(duì)未知接入行為及終端的異常行為進(jìn)行高效、準(zhǔn)確的自動(dòng)化監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)終端安全隱患。

（1）未知接入設(shè)備識(shí)別：通過(guò)接入層交換機(jī)接入網(wǎng)絡(luò)的未知設(shè)備是網(wǎng)絡(luò)中的潛在安全隱患，雖不能通過(guò)匯聚層交換機(jī)訪問(wèn)整個(gè)網(wǎng)絡(luò)，但是能訪問(wèn)匯聚層交換機(jī)下的局部網(wǎng)絡(luò)，因此給整個(gè)網(wǎng)絡(luò)帶來(lái)了潛在風(fēng)險(xiǎn)。為快速發(fā)現(xiàn)未知設(shè)備并進(jìn)行阻斷，以接入設(shè)備臺(tái)賬基線為可信設(shè)備集合，通過(guò)后臺(tái)服務(wù)定期掃描所有接入層交換機(jī)，獲取接入層交換機(jī)的設(shè)備MAC表，通過(guò)比對(duì)可信設(shè)備集合和接入設(shè)備MAC表發(fā)現(xiàn)未知的接入設(shè)備及其所在端口，并通知網(wǎng)絡(luò)運(yùn)維人員進(jìn)行處理。

（2）終端異常行為審計(jì)：在運(yùn)的VRV系統(tǒng)及趨勢(shì)防病毒系統(tǒng)能判斷出終端的部分異常行為，如違規(guī)外聯(lián)、弱口令、病毒感染等，但由于缺乏有效的聯(lián)動(dòng)機(jī)制，導(dǎo)致審計(jì)數(shù)據(jù)只用于告警，不能對(duì)異常終端進(jìn)行網(wǎng)絡(luò)接入審計(jì)并隔離，無(wú)法及時(shí)消除異常終端對(duì)網(wǎng)絡(luò)帶來(lái)的安全隱患。為此通過(guò)數(shù)據(jù)庫(kù)觸發(fā)器技術(shù)及時(shí)接入VRV系統(tǒng)及趨勢(shì)防病毒系統(tǒng)的終端審計(jì)記錄，并根據(jù)記錄級(jí)別確定終端的異常行為類型，作為觸發(fā)終端準(zhǔn)入控制的源數(shù)據(jù)。

2.2.3終端接入準(zhǔn)入控制

針對(duì)未知接入終端及發(fā)生異常行為的終端，采用在核心交換機(jī)ARP阻斷方法實(shí)現(xiàn)準(zhǔn)入控制，通過(guò)將終端的MAC地址綁定到到未使用的IP地址實(shí)現(xiàn)對(duì)終端接入行為的控制。同時(shí)為增加ARP綁定操作的自動(dòng)化執(zhí)行程度，利用SNMP操作完成交換機(jī)的ARP綁定操作操作。

2.3建設(shè)效果

通過(guò)體系建設(shè)實(shí)現(xiàn)了地市公司終端接入的統(tǒng)一管理，有效避免了未知終端及異常終端對(duì)信息網(wǎng)帶來(lái)的安全風(fēng)險(xiǎn)，提高了終端異常處理效率。在實(shí)際運(yùn)行中，某終端插入了未注冊(cè)的U盤(pán)，體系支撐工具在10秒內(nèi)發(fā)現(xiàn)并進(jìn)行了阻斷，并第一時(shí)間通過(guò)短信告警，此后運(yùn)行監(jiān)控組通過(guò)電話與終端使用人員進(jìn)行溝通確認(rèn)了未注冊(cè)U盤(pán)的使用，如圖1。

圖1 終端異常行為審計(jì)及阻斷控制實(shí)例

3 結(jié)語(yǔ)

電力網(wǎng)絡(luò)終端接入的有效管控是日常網(wǎng)絡(luò)運(yùn)維中的重點(diǎn)工作。本文依據(jù)P2DR理論給出了一種適合地市電力公司使用的終端接入管控體系，通過(guò)建立終端臺(tái)賬基線，監(jiān)測(cè)未知接入及終端異常行為，并進(jìn)行合理阻斷，一方面保障了可信設(shè)備的安全接入，同時(shí)也能及時(shí)發(fā)現(xiàn)未知接入設(shè)備及異常設(shè)備，較好了實(shí)現(xiàn)了電力網(wǎng)絡(luò)接入設(shè)備的全面管控，具有較好的實(shí)用價(jià)值。

參考文獻(xiàn)：

[1] 張羽.基于IP接入實(shí)現(xiàn)桌面終端安全準(zhǔn)入控制管理[J].電力信息化，2009.10.

[2] 周祥峰.基于802.1X協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在電力企業(yè)的推廣應(yīng)用[J].現(xiàn)代計(jì)算機(jī)，2010年8期.

[3] 呂維新.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電局終端安全管理中的應(yīng)用[J].電力信息化，2011年6期.

[4] 李偉.多類型終端的準(zhǔn)入控制分析[J].數(shù)字化用戶，2014年7期.