一種綜合性網(wǎng)絡(luò)準入技術(shù)設(shè)計

劉 夏， 江海敏， 胡 鑫

(國網(wǎng)滁州供電公司，安徽 滁州 239000)

隨著業(yè)務(wù)領(lǐng)域的拓展，電力系統(tǒng)調(diào)度數(shù)據(jù)網(wǎng)在不斷的擴展并且日趨復(fù)雜。若調(diào)度漏洞出現(xiàn)在調(diào)度數(shù)據(jù)網(wǎng)的安全方面，就有可能被黑客發(fā)現(xiàn)，進而截取帳號和密碼、更改數(shù)據(jù)，這樣的后果是相當嚴重的，會帶來無法估量的直接經(jīng)濟損。

現(xiàn)有的單一網(wǎng)絡(luò)準入技術(shù)被證明已無法滿足現(xiàn)如今的需求，急需結(jié)合調(diào)度數(shù)據(jù)網(wǎng)終端復(fù)雜的安防實際工作，設(shè)計出一種綜合性的調(diào)度數(shù)據(jù)網(wǎng)準入技術(shù)，以提高整體安全水平。

1 現(xiàn)有技術(shù)分析

1.1 思科的NAC方案

思科網(wǎng)絡(luò)準入控制 (NAC) 是一項由思科發(fā)起、多家廠商參加的計劃，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。借助NAC，客戶可以只允許合法的、值得信任的端點設(shè)備(例如PC、服務(wù)器、PDA)接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。從而降低病毒、蠕蟲和木馬軟件等新興安全威脅的破壞程度。實施NAC 的客戶通過遵守安全策略的可信終端設(shè)備訪問網(wǎng)絡(luò)，并控制不符合策略或不可管理的設(shè)備訪問網(wǎng)絡(luò).NAC 為完全符合安全策略的終端設(shè)備提供網(wǎng)絡(luò)接入，且有助于確保拒絕不符合策略的設(shè)備接入，將其放入到隔離區(qū)進行修復(fù)，或僅允許其訪問有限的資源。

NAC通過了2項最嚴格的 兼容性測試：防病毒軟件狀況和操作系統(tǒng)信息。它不但包括防病毒廠商的軟件版本、機器等級和簽名文件等級，還包括操作系統(tǒng)類型、補丁和熱修復(fù)。以后還將繼續(xù)擴大安全保護范。

1.2 微軟的NAP方案

微軟網(wǎng)絡(luò)準許接入保護的方案(NAP)，架構(gòu)的宗旨是為了幫助企業(yè)客戶阻止病毒和蠕蟲入侵企業(yè)網(wǎng)絡(luò)，阻止來自多個區(qū)域、多個設(shè)備通過局域網(wǎng)或者廣域網(wǎng)的連接，改善企業(yè)網(wǎng)絡(luò)原本不充分及被動的防御。很多用戶會認為NAP是防止惡意攻擊手段，實際不盡然，雖然NAP確實能夠輔助達到防范的目的，但NAP本身不是被設(shè)計用來防治惡意使用者破壞安全網(wǎng)絡(luò)的，它被設(shè)計用于幫助管理員維護網(wǎng)絡(luò)上的計算機的健康。它不能防治一個已經(jīng)符合安全要求的計算機上的惡意用戶釋放攻擊，或執(zhí)行其他不適當?shù)男袨椤?/p>

1.3 華為的EAD方案

華為的端點準入防御(EAD)架構(gòu)，是一套融合網(wǎng)絡(luò)設(shè)備、用戶終端和第三方安全產(chǎn)品的全網(wǎng)安全體系框架，其目的是整合孤立的單點安全部件，形成完整的網(wǎng)絡(luò)安全體系，最終為用戶提供端到端的安全防護。它從用戶終端準入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡(luò)使用行為，加強了用戶終端的主動防御能力，大幅度提高網(wǎng)絡(luò)安全。解決方案在用戶接入網(wǎng)絡(luò)前，強制檢查用戶終端的安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果，強制實施用戶接入控制策略，對不符合企業(yè)安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統(tǒng)補丁安裝等操作，在保證用戶終端具備自防御能力并安全接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的安全防御能力。

1.4 幾種技術(shù)的對比

思科的NAC以及華為的3Com系統(tǒng)，重點都在于閱讀系統(tǒng)的規(guī)劃與管理能力，兩家公司主要都在現(xiàn)有的網(wǎng)絡(luò)產(chǎn)品的架構(gòu)上通過增加一些功能功能控制模塊來實現(xiàn)終端準入控制。

微軟的NAP方案，重點在整機系統(tǒng)狀態(tài)的監(jiān)控與矯正，顯然，該方案只適用于計算機采用了微軟的操作系統(tǒng)。思科NAC的國際優(yōu)勢非常明顯，和第3方的資源整合相對具有優(yōu)勢，功能劃分明確，顯得更加專業(yè)。H3C EAD本土優(yōu)勢較為明顯，設(shè)計的有些功能短小精悍，功能實用，而且中文的界面加上友好的設(shè)置也是他們在國內(nèi)的優(yōu)勢。

綜上所述，NAC和EAD的優(yōu)勢在于二者同為網(wǎng)絡(luò)設(shè)備主流廠商，這些功能可以較好的和現(xiàn)有的必不可少的網(wǎng)絡(luò)設(shè)備配合聯(lián)動，而且二者均在不斷的捆綁更多的第3方模塊到自身的設(shè)備上來。NAP的優(yōu)勢顯然在于目前微軟在操作市場上的絕對壟斷，而以后的產(chǎn)品必將如同IE一樣持續(xù)同操作系統(tǒng)捆綁銷售。目前思科和華為的3Com已經(jīng)分別將NAC和EAD產(chǎn)品組合到自己的網(wǎng)絡(luò)產(chǎn)品中進行銷售，而微軟在接下來主流的windows7操作系統(tǒng)中也將正式啟用NAP功能。

2 一種綜合性網(wǎng)絡(luò)準入技術(shù)

在現(xiàn)有網(wǎng)絡(luò)準入技術(shù)的基礎(chǔ)上，本文提出了一種全新的中華行的網(wǎng)絡(luò)準入技術(shù)，設(shè)計思路如圖1所示。該網(wǎng)絡(luò)準入技術(shù)的設(shè)計核心是：通過設(shè)計身份認證、安全認證和動態(tài)授權(quán)的形式進行調(diào)度數(shù)據(jù)網(wǎng)準入管控。說明如下：

圖1 一種新型綜合性網(wǎng)絡(luò)準入技術(shù)設(shè)計思路

(1)身份認證。在新來設(shè)備進入調(diào)度數(shù)據(jù)網(wǎng)時，首先以網(wǎng)絡(luò)接入請求發(fā)起形式，向調(diào)度數(shù)據(jù)網(wǎng)準入系統(tǒng)申請，調(diào)度數(shù)據(jù)網(wǎng)準入系統(tǒng)將檢查申請用戶的合法性及合規(guī)性，如果是非法用戶，將拒絕入網(wǎng)并進行告警信息。

(2)安全認證。用戶通過身份認證接入后，將進入安全認證階段，在該階段將結(jié)合根據(jù)公司安全規(guī)范制定的安全接入標準進行安全性檢查，如果接入用戶設(shè)備不滿足安全檢查標準，將視為不合格，進入隔離區(qū)，進行強制加固，直至合格后方可允許入網(wǎng)。

(3)動態(tài)授權(quán)。針對合格用戶，結(jié)合公司對于用戶的使用權(quán)限劃分，為各用戶配置相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限，細分網(wǎng)絡(luò)訪問區(qū)域，實現(xiàn)細致的調(diào)度數(shù)據(jù)網(wǎng)管控。

本設(shè)計方案將解決以下關(guān)鍵問題：

(1)未知端點接入調(diào)度數(shù)據(jù)網(wǎng)控制及預(yù)警。在正常模式下，端點接入前會對其進行驗證，如果是未知端點，將不允許接入，這將是端點接入最基本的條件，而當出現(xiàn)非可信端點采用偽裝、欺騙等方式試圖接入時，本設(shè)計方案將對其進行控制與預(yù)警。

(2)有效節(jié)點多路徑外聯(lián)控制。調(diào)度數(shù)據(jù)網(wǎng)準入研究的前提是對現(xiàn)有網(wǎng)絡(luò)進行接入控制，在日常工作中，本設(shè)計方案能確保已經(jīng)滿足要求的準入條件后，已經(jīng)接入網(wǎng)絡(luò)的有效節(jié)點不再通過其他網(wǎng)絡(luò)途徑進行外聯(lián)，以及對于即將產(chǎn)生外聯(lián)或已產(chǎn)生外聯(lián)行為的終端進行監(jiān)控、預(yù)警和風險點定位與排除。

(3)全天候無間斷工作保障。本設(shè)計方案將控制整個網(wǎng)絡(luò)終端接入及日常工作監(jiān)控等工作，同時確保能夠完全支持數(shù)據(jù)庫同步、雙機保活、宕機后自動切換備機等標準的主備冗余功能。

3 結(jié)束語

一種綜合性網(wǎng)絡(luò)準入技術(shù)的提出為調(diào)度數(shù)據(jù)網(wǎng)接入終端安全性驗證與管理，主要針對現(xiàn)有的終端接入方式及其可能帶來的隱患，設(shè)計一種調(diào)度數(shù)據(jù)網(wǎng)準入控制方法與模型，實現(xiàn)對于調(diào)度數(shù)據(jù)網(wǎng)接入終端的安全管控和非法與不合規(guī)行為預(yù)警。

[參 考 文 獻]

[1] 童軍.網(wǎng)絡(luò)安全和數(shù)據(jù)加密技術(shù)淺析[J].教育信息化，2005，(7):42-45.

[2] 呂欣.我國信息網(wǎng)絡(luò)安全現(xiàn)狀與趨勢[J].信息安全與通信保密，2007，(2):11-13.

[3] 梁志龍，張志浩.企業(yè)信息安全訪問體系的實現(xiàn)[J=.計算機工程與應(yīng)用，2002，(4):56-58.