網絡準入控制系統在供電企業中的應用

鄧成飛+史玉鋒

摘 要

隨著智能電網的發展，供電公司對信息網絡的依賴程度越來越高，各種不安全因素嚴重影響著公司的信息安全，本文結合網絡準入控制系統在供電公司的部署情況，介紹網絡準入控制的應用情況。

【關鍵詞】網絡準入控制 802.1X

1 引言

當前，隨著智能電網技術的迅猛發展，供電公司的信息化程度越來越高，供電公司通常都部署安裝了北信源的桌面終端管理系統、防火墻、IPS和防病毒系統，但網絡中仍存在如下威脅，比如各種網絡設備如監控、遠抄、繳費終端、考勤機、電能表周轉柜等需接入公司網絡來訪問內網資源，客戶到營業廳繳費、業務咨詢及廠家技術人員到現場提供服務等等，以上各種情況不可避免地存在外來非授權終端、移動存儲介質隨意接入公司網絡以及公司內網用戶私自接入外部網絡等行為。這些行為將有可能導致公司機密信息泄露、病毒感染、違規外聯、黑客入侵，給公司網絡帶來極大的安全隱患和損失。

2 當前供電企業網絡管理現狀

隨著公司國際業務、電商業務發展，大云物移的技術廣泛應用，分布式電源、電動汽車等新型電力設施的接入，網絡與信息安全防控難度陡增。現階段僅靠網絡邊緣的外圍安全配置已不能完全滿足我們對網絡安全的要求，病毒、木馬、后門、DDOS攻擊和其他流氓軟件通過各類辦公終端及移動終端滲入公司網絡系統內部，而目前大部分終端在接入網絡之前僅安裝殺毒軟件，由網絡管理員直接接入公司內網，沒有經過身份驗證程序，更沒有進行有效的終端系統安全基線測評及安全性檢查，因此被病毒感染的終端、未及時更新系統漏洞補丁的終端，不符合公司內網安全基線要求的各類終端隨意接入網絡，勢必給公司的網絡帶來極大的安全隱患。在管理方面我們從加強公司的信息安全培訓，提高人員的信息安全意識入手；技術方面我們進行網絡準入控制系統部署，實現合法用戶和安全終端能夠正常訪問授權的資源，提高公司信息網絡及應用的安全性。

3 網絡準入控制的相關理念

網絡準入控制采用的是主動式網絡安全管理技術，在我公司的應用體現在各類終端設備接入網絡時，必須先接受身份驗證識別和安全基線合規性檢查，安全基線通常包括賬戶弱口令、操作系統漏洞補丁、規定的殺毒軟件病毒庫版本的最基本安全要求，通過對終端接入設備的身份和安全合規性檢查，并根據檢查結果來實現對內網可使用資源的限制。對于外來終端，或不合規的非安全設備，可對其進行強制安全隔離，限制其可以訪問的網絡資源。而內部的身份可信任的安全終端，則可以授權訪問更多安全區域內的資源。從而達到保障整個網絡安全的目的

4 網絡準入控制運行機制

我們采用的是基于802.1X的網絡準入控制系統，準入控制系統對接入層網絡交換機的配置要求較高，需要交換機設備支持802.1x協議，可以更嚴格的控制接入終端對電力系統內網的訪問。準入控制組件包括計算機終端、準入控制設備（準入控制器、支持802.1x協議的交換機）、Radius服務器，以及認證服務器。在這四個組件中，終端設備需要安裝準入控制客戶端，在該客戶端上輸入用戶名、密碼，協助完成接入的身份驗證。準入控制設備主要提供準入控制的控制點，在該訪問點上，強制要求只有擁有合法身份的終端才能正確訪問規定的資源。Radius服務器主要與準入設備交互，準入控制設備將從準入控制終端上發送過來的用戶名、密碼轉發到radius服務器上進行驗證，radius服務器會根據驗證結果對終端進行可訪問資源的授權。為保證準入的高可用性，需部署兩臺radius服務器互為熱備狀態。

為了避免用戶名、密碼在不同的終端上都可以登錄，我們采取綁定終端機器碼的方式產生用戶名和密碼，將用戶名和密碼綁定在特定的終端上，保證只有通過指定的終端，使用指定的用戶名和密碼，才能正常訪問網絡資源。

5 終端類型劃分及網絡控制系統運用

我們將接入公司內部網絡的終端分為三類：

第一類：廠商技術人員終端，這類終端主要指對公司提供技術支持的廠商技術人員個人的筆記本電腦等，在接入公司網絡時沒有公司準入控制系統自動產生的用戶名、密碼，沒有安裝公司內部的準入控制系統客戶端。對這類終端，依據網絡準入控制系統的設置，我們按以下程序進行處置：

（1）對未履行手續私自接入公司網絡的終端，阻止接入公司內部網絡，此類終端所發的任何數據包都不會進入公司內部網絡，不會與網絡內任何終端或服務器等設備發生數據交互；

（2）如經過相關的審批手續后，在其接入公司網絡時打開瀏覽器訪問時，將其訪問重新定向到一個指定的提醒頁面，提醒其若需訪問公司內網資源需下載網絡準入控制系統客戶端軟件，安裝注冊后使用特定的用戶名、密碼并經管理員審批后方可訪問特定的內容；第二類：我們對公司內部計算機終端接入網絡時進行安全基線檢查，包括：是否安裝了指定的系統漏洞補丁，是否安裝了內部規定的殺毒軟件，是否設置系統登錄密碼，密碼是否是8位以上的字母、數字加特殊符號的組合，是否有設置共享，是否按照了北信源桌面管理終端等。

對不符合安全策略的終端在接入網絡時：

（1）檢測后給出提示，哪些項目不符合安全策略管理規定；

（2）限制該計算機終端只能訪問特定的服務器，該服務器提供符合安全策略的殺毒軟件程序、漏洞補丁程序等；符合安全策略的內部終端接入網絡時，第一次仍要由網絡管理員進行審批，準入控制系統可以依據用戶所屬的部門，決定該終端可以訪問哪些網絡資源。第三類我們稱之為啞終端，這類終端主要包括集抄設備、繳費終端、人臉識別考勤機等，這類設備無法安裝我們的網絡準入控制系統客戶端，我們在系統中將其設為可信，將其MAC地址與交換機端口進行綁定，防止隨意更換端口后仍可訪問網絡資源。

6 結論

我們通過部署網絡準入控制系統，對公司網絡的接入實現一個從終端網絡準入控制程序注冊、安全策略檢查、終端隔離、修復通知和進行修復的閉環型接入流程，最大限度將已知的安全威脅防御在網絡之外，在公司網絡邊界形成一面堅實的防火墻，提升公司網絡邊界的安全。

參考文獻

[1]周賢偉，劉寧，覃伯平.IEEE 802.1x協議的認證機制及其改進[J].計算機應用，2006（12）.

[2]周超，周城，丁晨路.計算機網絡準入控制技術[J].計算機系統應用，2011（01）.

作者單位

國網山東省電力公司乳山市供電公司 山東省乳山市 264500endprint