鄧成飛+史玉鋒

摘 要

隨著智能電網(wǎng)的發(fā)展，供電公司對(duì)信息網(wǎng)絡(luò)的依賴程度越來越高，各種不安全因素嚴(yán)重影響著公司的信息安全，本文結(jié)合網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在供電公司的部署情況，介紹網(wǎng)絡(luò)準(zhǔn)入控制的應(yīng)用情況。

【關(guān)鍵詞】網(wǎng)絡(luò)準(zhǔn)入控制 802.1X

1 引言

當(dāng)前，隨著智能電網(wǎng)技術(shù)的迅猛發(fā)展，供電公司的信息化程度越來越高，供電公司通常都部署安裝了北信源的桌面終端管理系統(tǒng)、防火墻、IPS和防病毒系統(tǒng)，但網(wǎng)絡(luò)中仍存在如下威脅，比如各種網(wǎng)絡(luò)設(shè)備如監(jiān)控、遠(yuǎn)抄、繳費(fèi)終端、考勤機(jī)、電能表周轉(zhuǎn)柜等需接入公司網(wǎng)絡(luò)來訪問內(nèi)網(wǎng)資源，客戶到營業(yè)廳繳費(fèi)、業(yè)務(wù)咨詢及廠家技術(shù)人員到現(xiàn)場(chǎng)提供服務(wù)等等，以上各種情況不可避免地存在外來非授權(quán)終端、移動(dòng)存儲(chǔ)介質(zhì)隨意接入公司網(wǎng)絡(luò)以及公司內(nèi)網(wǎng)用戶私自接入外部網(wǎng)絡(luò)等行為。這些行為將有可能導(dǎo)致公司機(jī)密信息泄露、病毒感染、違規(guī)外聯(lián)、黑客入侵，給公司網(wǎng)絡(luò)帶來極大的安全隱患和損失。

2 當(dāng)前供電企業(yè)網(wǎng)絡(luò)管理現(xiàn)狀

隨著公司國際業(yè)務(wù)、電商業(yè)務(wù)發(fā)展，大云物移的技術(shù)廣泛應(yīng)用，分布式電源、電動(dòng)汽車等新型電力設(shè)施的接入，網(wǎng)絡(luò)與信息安全防控難度陡增。現(xiàn)階段僅靠網(wǎng)絡(luò)邊緣的外圍安全配置已不能完全滿足我們對(duì)網(wǎng)絡(luò)安全的要求，病毒、木馬、后門、DDOS攻擊和其他流氓軟件通過各類辦公終端及移動(dòng)終端滲入公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部，而目前大部分終端在接入網(wǎng)絡(luò)之前僅安裝殺毒軟件，由網(wǎng)絡(luò)管理員直接接入公司內(nèi)網(wǎng)，沒有經(jīng)過身份驗(yàn)證程序，更沒有進(jìn)行有效的終端系統(tǒng)安全基線測(cè)評(píng)及安全性檢查，因此被病毒感染的終端、未及時(shí)更新系統(tǒng)漏洞補(bǔ)丁的終端，不符合公司內(nèi)網(wǎng)安全基線要求的各類終端隨意接入網(wǎng)絡(luò)，勢(shì)必給公司的網(wǎng)絡(luò)帶來極大的安全隱患。在管理方面我們從加強(qiáng)公司的信息安全培訓(xùn)，提高人員的信息安全意識(shí)入手；技術(shù)方面我們進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)部署，實(shí)現(xiàn)合法用戶和安全終端能夠正常訪問授權(quán)的資源，提高公司信息網(wǎng)絡(luò)及應(yīng)用的安全性。

3 網(wǎng)絡(luò)準(zhǔn)入控制的相關(guān)理念

網(wǎng)絡(luò)準(zhǔn)入控制采用的是主動(dòng)式網(wǎng)絡(luò)安全管理技術(shù)，在我公司的應(yīng)用體現(xiàn)在各類終端設(shè)備接入網(wǎng)絡(luò)時(shí)，必須先接受身份驗(yàn)證識(shí)別和安全基線合規(guī)性檢查，安全基線通常包括賬戶弱口令、操作系統(tǒng)漏洞補(bǔ)丁、規(guī)定的殺毒軟件病毒庫版本的最基本安全要求，通過對(duì)終端接入設(shè)備的身份和安全合規(guī)性檢查，并根據(jù)檢查結(jié)果來實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)可使用資源的限制。對(duì)于外來終端，或不合規(guī)的非安全設(shè)備，可對(duì)其進(jìn)行強(qiáng)制安全隔離，限制其可以訪問的網(wǎng)絡(luò)資源。而內(nèi)部的身份可信任的安全終端，則可以授權(quán)訪問更多安全區(qū)域內(nèi)的資源。從而達(dá)到保障整個(gè)網(wǎng)絡(luò)安全的目的

4 網(wǎng)絡(luò)準(zhǔn)入控制運(yùn)行機(jī)制

我們采用的是基于802.1X的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，準(zhǔn)入控制系統(tǒng)對(duì)接入層網(wǎng)絡(luò)交換機(jī)的配置要求較高，需要交換機(jī)設(shè)備支持802.1x協(xié)議，可以更嚴(yán)格的控制接入終端對(duì)電力系統(tǒng)內(nèi)網(wǎng)的訪問。準(zhǔn)入控制組件包括計(jì)算機(jī)終端、準(zhǔn)入控制設(shè)備（準(zhǔn)入控制器、支持802.1x協(xié)議的交換機(jī)）、Radius服務(wù)器，以及認(rèn)證服務(wù)器。在這四個(gè)組件中，終端設(shè)備需要安裝準(zhǔn)入控制客戶端，在該客戶端上輸入用戶名、密碼，協(xié)助完成接入的身份驗(yàn)證。準(zhǔn)入控制設(shè)備主要提供準(zhǔn)入控制的控制點(diǎn)，在該訪問點(diǎn)上，強(qiáng)制要求只有擁有合法身份的終端才能正確訪問規(guī)定的資源。Radius服務(wù)器主要與準(zhǔn)入設(shè)備交互，準(zhǔn)入控制設(shè)備將從準(zhǔn)入控制終端上發(fā)送過來的用戶名、密碼轉(zhuǎn)發(fā)到radius服務(wù)器上進(jìn)行驗(yàn)證，radius服務(wù)器會(huì)根據(jù)驗(yàn)證結(jié)果對(duì)終端進(jìn)行可訪問資源的授權(quán)。為保證準(zhǔn)入的高可用性，需部署兩臺(tái)radius服務(wù)器互為熱備狀態(tài)。

為了避免用戶名、密碼在不同的終端上都可以登錄，我們采取綁定終端機(jī)器碼的方式產(chǎn)生用戶名和密碼，將用戶名和密碼綁定在特定的終端上，保證只有通過指定的終端，使用指定的用戶名和密碼，才能正常訪問網(wǎng)絡(luò)資源。

5 終端類型劃分及網(wǎng)絡(luò)控制系統(tǒng)運(yùn)用

我們將接入公司內(nèi)部網(wǎng)絡(luò)的終端分為三類：

第一類：廠商技術(shù)人員終端，這類終端主要指對(duì)公司提供技術(shù)支持的廠商技術(shù)人員個(gè)人的筆記本電腦等，在接入公司網(wǎng)絡(luò)時(shí)沒有公司準(zhǔn)入控制系統(tǒng)自動(dòng)產(chǎn)生的用戶名、密碼，沒有安裝公司內(nèi)部的準(zhǔn)入控制系統(tǒng)客戶端。對(duì)這類終端，依據(jù)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的設(shè)置，我們按以下程序進(jìn)行處置：

（1）對(duì)未履行手續(xù)私自接入公司網(wǎng)絡(luò)的終端，阻止接入公司內(nèi)部網(wǎng)絡(luò)，此類終端所發(fā)的任何數(shù)據(jù)包都不會(huì)進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，不會(huì)與網(wǎng)絡(luò)內(nèi)任何終端或服務(wù)器等設(shè)備發(fā)生數(shù)據(jù)交互；

（2）如經(jīng)過相關(guān)的審批手續(xù)后，在其接入公司網(wǎng)絡(luò)時(shí)打開瀏覽器訪問時(shí)，將其訪問重新定向到一個(gè)指定的提醒頁面，提醒其若需訪問公司內(nèi)網(wǎng)資源需下載網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)客戶端軟件，安裝注冊(cè)后使用特定的用戶名、密碼并經(jīng)管理員審批后方可訪問特定的內(nèi)容；第二類：我們對(duì)公司內(nèi)部計(jì)算機(jī)終端接入網(wǎng)絡(luò)時(shí)進(jìn)行安全基線檢查，包括：是否安裝了指定的系統(tǒng)漏洞補(bǔ)丁，是否安裝了內(nèi)部規(guī)定的殺毒軟件，是否設(shè)置系統(tǒng)登錄密碼，密碼是否是8位以上的字母、數(shù)字加特殊符號(hào)的組合，是否有設(shè)置共享，是否按照了北信源桌面管理終端等。

對(duì)不符合安全策略的終端在接入網(wǎng)絡(luò)時(shí)：

（1）檢測(cè)后給出提示，哪些項(xiàng)目不符合安全策略管理規(guī)定；

（2）限制該計(jì)算機(jī)終端只能訪問特定的服務(wù)器，該服務(wù)器提供符合安全策略的殺毒軟件程序、漏洞補(bǔ)丁程序等；符合安全策略的內(nèi)部終端接入網(wǎng)絡(luò)時(shí)，第一次仍要由網(wǎng)絡(luò)管理員進(jìn)行審批，準(zhǔn)入控制系統(tǒng)可以依據(jù)用戶所屬的部門，決定該終端可以訪問哪些網(wǎng)絡(luò)資源。第三類我們稱之為啞終端，這類終端主要包括集抄設(shè)備、繳費(fèi)終端、人臉識(shí)別考勤機(jī)等，這類設(shè)備無法安裝我們的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)客戶端，我們?cè)谙到y(tǒng)中將其設(shè)為可信，將其MAC地址與交換機(jī)端口進(jìn)行綁定，防止隨意更換端口后仍可訪問網(wǎng)絡(luò)資源。

6 結(jié)論

我們通過部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，對(duì)公司網(wǎng)絡(luò)的接入實(shí)現(xiàn)一個(gè)從終端網(wǎng)絡(luò)準(zhǔn)入控制程序注冊(cè)、安全策略檢查、終端隔離、修復(fù)通知和進(jìn)行修復(fù)的閉環(huán)型接入流程，最大限度將已知的安全威脅防御在網(wǎng)絡(luò)之外，在公司網(wǎng)絡(luò)邊界形成一面堅(jiān)實(shí)的防火墻，提升公司網(wǎng)絡(luò)邊界的安全。

參考文獻(xiàn)

[1]周賢偉，劉寧，覃伯平.IEEE 802.1x協(xié)議的認(rèn)證機(jī)制及其改進(jìn)[J].計(jì)算機(jī)應(yīng)用，2006（12）.

[2]周超，周城，丁晨路.計(jì)算機(jī)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2011（01）.

作者單位

國網(wǎng)山東省電力公司乳山市供電公司 山東省乳山市 264500endprint