省地縣一體化網絡設備安全接入管理系統部署方案研究

引言：網絡安全接入管理是現代網絡安全發展趨勢下針對信息安全必用的管理手段。本文根據電力企業省地縣一體化運維、分級管控的運維需求，對網絡設備安全接入管理技術進行研究，提出了適用于浙江電力省地縣一體化信息網絡的網絡設備安全接入管理系統部署方案。

引言

隨著國家電網公司“三集五大”體系建設不斷深入和浙江省電力公司信通業務省地縣一體化管理的實施，信息系統集中化程度日益提高，主要信息系統均采用國網公司一級部署或國網公司及省公司二級部署的模式，系統設備及數據均位于國網公司及省公司層面，數據集中度日益提高，信息網絡基礎平臺在電力企業信息化中發揮著越來越重要的支撐作用，信息網絡運行管理、安全管理提出了更高的要求和標準，因此，建設一個一體化的網絡設備安全接入管理系統，對網絡設備進行統一的、規范的安全運維和管理，成為當前信息網絡運維支撐體系需要迫切解決的問題。

一、省地縣一體化信息網絡安全運維需求

浙江省電力公司省地縣一體化信息網絡省地縣三級信息運維部門按照一體化運維、分級管控的原則，對各自所轄范圍內的網絡設備進行運維工作。由于缺乏全省統一的信息網絡設備安全接入管控平臺，各級運維單位采用自建AAA服務器、靜態維護網絡設備用戶名密碼等方式實現網絡設備的接入管理，缺乏統一的安全基準，信息網絡安全運維面臨較高的風險，迫切需要建設從上到下一體貫通、分級管控、協同工作的網絡設備安全接入管理系統，并遵循以下原則：

1）統一性原則。信息網絡和網絡設備安全接入管理系統都建立在“一個整體”的基礎之上，以一體化運作、集約化管理、分級管控為主導思想，實現一體化建設、一體化管理、一體化運維、分級管控。

2）經濟性原則。信息網絡整體規模龐大、運維單位眾多，網絡設備安全接入管理系統建設時需充分考慮投資經濟性，避免重復投資。

3）標準性原則。網絡設備安全接入管理系統必須遵循業界公認的標準，制定一個高兼容性架構，確保設備、技術的互通和互操作性，方便快速部署，以適應業務的快速增長。

4）安全性原則。能夠提供網絡設備運維全面的安全接入防護策略，確保網絡設備“可控、能控、在控”。

二、AAA安全認證接入技術

為了確保網絡接入安全可靠，目前國內外各類大、中型公司企業基本采用的網絡設備安全接入管理方案是使用AAA身份認證系統，即認證、授權、統計，以此滿足公司企業的信息安全防護需求。

認證（Authentication）：認證用以決定用戶的身份，以及是否允許訪問設備及資源，阻止入侵者進入網絡設備及系統。

授權（Authorization）：授權可以限制每個用戶可獲得的網絡服務及資源，有助于限制內部網絡及資源對訪問者的暴露。網絡設備安全接入管理系統可以使用授權允許登陸的運維人員只能執行特定的命令，實現設備運維的精細化管理。

統計（Accounting）：網絡設備安全接入管理系統對所有登錄到網絡設備的運維人員及所進行的操作進行統計記錄。統計功能可以實現對運維人員操作行為的跟蹤以及后期的行為審計。

當前AAA身份認證系統的采用的協議主要有RADIUS和DIAMETER，這兩個協議有其特定的產生背景，它們的技術特點、工作模式均有較大的差異，各有不同的適用范圍。

RADIUS協議基于UDP協議，采用C/S工作模式，適用于集中部署的工作方式，并且沒有定義重傳機制，不具備失敗恢復機制；DIAMETER協議是下一代AAA認證協議，解決了RADIUS認證協議存在的諸多不足之處，工作于TCP協議，采用peer-to-peer工作模式，定義了重傳機制并且具備失敗恢復機制。盡管DIAMETER協議存在諸多更有利的地方，但從目前的應用環境來看，RADIUS協議的實現更加成熟，并且RADIUS有眾多優秀的開源軟件。電力企業信息網絡中AAA身份認證系統有其特殊的工作環境，重點需要解決的是面對眾多品牌設備的兼容性，系統應具有良好的二次開發能力以便與眾多的運維支撐系統實現互動，在電力信息網絡可提供較大工作帶寬、較低網絡時延以及較高可靠性的前提下，RADIUS協議更適用于電力企業信息網絡的AAA身份認證系統。

三、省地縣一體化信息網絡的網絡設備安全接入方案

目前IT行業基于AAA認證管理的信息網絡接入管理有思科公司ACS（Access Control Server）、RSA數據安全有限公司的RSA SecurityID/ACE等成熟的商品化解決方案，此類網絡接入管理系統基本能夠解決現有網絡中認證、授權、統計等問題，甚至提供雙因素認證功能，但也有較大的不足之處，主要體現為不具備網絡設備管理的針對性，對于需要進行操作審計、分級管理、系統級聯的一體化管控環境難以達到目的。

適用于省地縣一體化信息網絡的網絡設備安全接入AAA系統解決方案需求與普通的AAA系統存在較多的不同之處，主要體現在以下三點：（1）省地縣一體化信息網絡是一個規模龐大、結構復雜的企業信息網絡，網絡設備安全接入管理需求遠比普通AAA系統復雜和多元化；（2）省地縣一體化電力信息網絡采用一體化運維、分級管控的運維方式，AAA系統必須能夠適應這種統一標準、分區分域管控的管理模式，能夠支持不同用戶及用戶組的分級管理及權限控制；（3）省地縣一體化信息網絡中，網絡結構復雜、維護機構眾多，要實現一體化運維、分級管控，就必須實現多種品牌網絡設備接入的詳細授權和審計功能，具備針對新類型設備接入后的用戶自定義配置功能。

基于目前的主流AAA認證平臺不能很好滿足浙江電力復雜環境下的信息網絡設備安全接入管控，因此需基于通用AAA認證平臺根據浙江電力省地縣一體化運維需求進行定制開發，在現有基礎上采用集中部署分級管理模式，通過權組劃分、底層接口開發方式，通過用戶賬號、分組管理等方式支持省、地市、縣三級管理模式，同時對授權用戶的操作權限進行分類約束，實現全省信息網絡的分級管控；此外采用橫向橋接技術增加針對電力信息網絡運維系統的數據接口，保留雙因素認證接口等，滿足電力企業一單兩票、ITSM信息運維管理系統的聯動操作需求。

四、結束語

省地縣一體化網絡設備安全接入管理系統能滿足浙江電力信息網在新形勢下的運行支撐需求，實現省地縣三級運維機構的一體化管控、分區分域分級管控，并且在進行二次定制開發后，滿足電力企業一單兩票的規范化要求，能夠與電力企業現有的ITSM信息運維管理系統實現聯動，從而在信息網絡運維的計劃制定、工作許可、工作執行等環節實現全過程的規范化、精細化管理。

參考文獻

[1]賈賢偉，王淑偉，覃伯平.一種集成化的基于Diameter的AAA服務器設計方案[J].計算機應用研究，2007（5）：253-255.

[2]崔曉波.RADIUS協議的研究.[J].中國數據通信，2010（2）.

（作者單位：國網浙江省電力公司杭州供電公司）