地市電力公司終端接入管控體系建設

劉年國 何兵兵 王芬

【摘 要】電力網絡終端接入的有效管控是日常網絡運維中的重點工作。本文依據P2DR理論給出了一種適合地市電力公司使用的終端接入管控體系，通過建立終端臺賬基線，監測未知接入及終端異常行為，并進行合理阻斷，一方面保障了可信設備的安全接入，同時也能及時發現未知接入設備，較好了實現了電力網絡接入設備的全面管控，具有較好的實用價值。

【關鍵詞】終端接入控制 終端行為審計 終端接入管控

1 引言

隨著智能電網的發展，電力信息網終端設備接入不斷增多，接入設備類型也趨向多樣化，對終端設備接入行為的有效管控，及時阻斷未知終端或非法終端接入、隔離存在異常異常行為的已接入終端成為日常信息安全運維的重點工作[1、3]。

以淮南供電公司為例，信息運維人員定期對各區域進行接入設備巡檢，確定未知接入設備并處理，無法對未知終端接入進行及時的感知進而采用有效的隔離，給信息內網帶來了一定的安全風險[4]。同時各終端上通過安裝北信源桌面行為管理軟件（簡稱VRV）對終端使用行為進行收集并告警，但目前告警由運維人員獲取后進行處理，存在一定的滯后，對終端異常行為管控力度較弱。為此，通過終端接入管控體系建設，以終端接入、終端行為監控為基礎，結合終端接入控制方法，實現對終端接入的全方位管控，提升電力信息網的終端安全管理水平。

2 地市電力公司終端接入管控體系方法

2.1體系建設目標

在已有VRV桌面管控系統及趨勢防病毒系統的基礎上建設終端接入管控體系，體系將圍繞網絡設備、網絡資源及終端設備三類網絡構成要素，建立公司的網絡構成要素臺賬數據庫及網絡接入安全策略憑條，以此為基礎對接入設備及終端設備進行安全審計，輔以交換機控制技術實現對網絡接入行為進行控制，以提升公司網絡管理效率，對網絡安全多重防護機制。

2.2體系建設方法

體系建設包括合法終端設備臺賬建設，終端接入檢測與終端行為審計以及終端準入控制技術三塊。

2.2.1檢測基線臺賬數據庫建設

網絡終端接入要素包括網絡中接入的終端設備、服務器、網絡設備等網絡接入對象，網絡接入對象存在各個范疇的屬性，體系關注于網絡接入控制，因此抽象出各類接入對象與網絡接入相關的對象屬性并建模，進而形成對象臺賬的元數據。再通過搜集目前所有接入網絡的設備類型，并選取設備類型與網絡安全及網絡拓撲分析相關的屬性參數形成該設備類型的接入要素模型，并依據接入要素模型對各類設備類型對應的設備集合進行梳理與錄入，形成檢測基線臺賬數據庫。

2.2.2設備接入及終端行為監測

未知接入設備及存在異常行為（違規外聯、弱口令、感染病毒、未安裝最新補丁等）的終端給信息網安全帶來一定安全隱患，需要對未知接入行為及終端的異常行為進行高效、準確的自動化監測，及時發現終端安全隱患。

（1）未知接入設備識別：通過接入層交換機接入網絡的未知設備是網絡中的潛在安全隱患，雖不能通過匯聚層交換機訪問整個網絡，但是能訪問匯聚層交換機下的局部網絡，因此給整個網絡帶來了潛在風險。為快速發現未知設備并進行阻斷，以接入設備臺賬基線為可信設備集合，通過后臺服務定期掃描所有接入層交換機，獲取接入層交換機的設備MAC表，通過比對可信設備集合和接入設備MAC表發現未知的接入設備及其所在端口，并通知網絡運維人員進行處理。

（2）終端異常行為審計：在運的VRV系統及趨勢防病毒系統能判斷出終端的部分異常行為，如違規外聯、弱口令、病毒感染等，但由于缺乏有效的聯動機制，導致審計數據只用于告警，不能對異常終端進行網絡接入審計并隔離，無法及時消除異常終端對網絡帶來的安全隱患。為此通過數據庫觸發器技術及時接入VRV系統及趨勢防病毒系統的終端審計記錄，并根據記錄級別確定終端的異常行為類型，作為觸發終端準入控制的源數據。

2.2.3終端接入準入控制

針對未知接入終端及發生異常行為的終端，采用在核心交換機ARP阻斷方法實現準入控制，通過將終端的MAC地址綁定到到未使用的IP地址實現對終端接入行為的控制。同時為增加ARP綁定操作的自動化執行程度，利用SNMP操作完成交換機的ARP綁定操作操作。

2.3建設效果

通過體系建設實現了地市公司終端接入的統一管理，有效避免了未知終端及異常終端對信息網帶來的安全風險，提高了終端異常處理效率。在實際運行中，某終端插入了未注冊的U盤，體系支撐工具在10秒內發現并進行了阻斷，并第一時間通過短信告警，此后運行監控組通過電話與終端使用人員進行溝通確認了未注冊U盤的使用，如圖1。

圖1 終端異常行為審計及阻斷控制實例

3 結語

電力網絡終端接入的有效管控是日常網絡運維中的重點工作。本文依據P2DR理論給出了一種適合地市電力公司使用的終端接入管控體系，通過建立終端臺賬基線，監測未知接入及終端異常行為，并進行合理阻斷，一方面保障了可信設備的安全接入，同時也能及時發現未知接入設備及異常設備，較好了實現了電力網絡接入設備的全面管控，具有較好的實用價值。

參考文獻：

[1] 張羽.基于IP接入實現桌面終端安全準入控制管理[J].電力信息化，2009.10.

[2] 周祥峰.基于802.1X協議的網絡準入控制技術在電力企業的推廣應用[J].現代計算機，2010年8期.

[3] 呂維新.網絡準入系統在供電局終端安全管理中的應用[J].電力信息化，2011年6期.

[4] 李偉.多類型終端的準入控制分析[J].數字化用戶，2014年7期.