網(wǎng)絡(luò)安全存在的問題及其對策

陳 信， 陳 偉， 白 澗

(國網(wǎng)滁州供電公司，安徽 滁州 239000)

網(wǎng)絡(luò)準(zhǔn)入技術(shù)的核心意義是阻止惡意程序如蠕蟲、病毒等對用戶的網(wǎng)絡(luò)安全造成侵害。準(zhǔn)入控制的目的是確保在終端用戶接入網(wǎng)絡(luò)之前，識別并判斷用戶的身份是否為可信，只放行合規(guī)的并且可信的終端設(shè)備訪問網(wǎng)絡(luò)，而阻止其它設(shè)備訪問。另外，也能夠阻止有重大安全漏洞存在安全隱患的終端設(shè)備訪問網(wǎng)絡(luò)。

1 突出問題

現(xiàn)實(shí)中的突出問題主要表現(xiàn)在10個(gè)方面(如圖1所示)。

(1)私有設(shè)備接入網(wǎng)絡(luò)。隨著BYOD的流行，越來越多的職員將個(gè)人移動(dòng)設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò)，然而由于個(gè)人移動(dòng)設(shè)備先天的互聯(lián)網(wǎng)屬性，很容易感染如木馬等各類病毒，一方面有對內(nèi)網(wǎng)產(chǎn)生沖擊的風(fēng)險(xiǎn)，另一方面可能會使企業(yè)關(guān)鍵核心數(shù)據(jù)的遭到泄漏。如何管理私有設(shè)備私自接入內(nèi)部網(wǎng)絡(luò)是網(wǎng)絡(luò)管理員十分頭疼的問題。

圖1 網(wǎng)絡(luò)準(zhǔn)入技術(shù)可解決企業(yè)的十大突出問題

(2)私接網(wǎng)絡(luò)設(shè)備。個(gè)別職員為了方便自己個(gè)人的多臺終端設(shè)備上網(wǎng)，私自接HUB、無線AP等網(wǎng)絡(luò)設(shè)備，然后將違規(guī)的私人終端接入內(nèi)部網(wǎng)絡(luò)，這種間接接入的方式繞過安全檢查。另外，由于個(gè)人無線AP的不安全屬性，其在電力行業(yè)是嚴(yán)格禁止的，同時(shí)也不滿足網(wǎng)絡(luò)安全等級保護(hù)要求，很容易造成關(guān)鍵數(shù)據(jù)被監(jiān)聽或受到攻擊。

(3)主機(jī)規(guī)范不落地。電網(wǎng)公司設(shè)備都統(tǒng)一安裝網(wǎng)絡(luò)版殺毒軟件等，防止病毒、木馬等在網(wǎng)絡(luò)中傳播，但是這些硬性要求不能夠百分百的落實(shí)，單純靠人力去檢查，免不了有麻痹大意疏忽的時(shí)候，因此總有漏網(wǎng)之魚。主要原因就是缺乏有效的技術(shù)手段來規(guī)范入網(wǎng)設(shè)備。

(4)責(zé)任不能定位到人。電力公司的信息網(wǎng)絡(luò)如電力調(diào)度數(shù)據(jù)網(wǎng)，是基于IP技術(shù)實(shí)現(xiàn)管理的，常用的網(wǎng)絡(luò)安全設(shè)備，如入侵檢測系統(tǒng)、入侵防御系統(tǒng)、防火墻、縱向加密認(rèn)證裝置、隔離網(wǎng)閘等都是基于IP地址運(yùn)行的，但I(xiàn)P地址的修改和偽造是很容易的，一般人員都可以實(shí)現(xiàn)。例如，入侵防御系統(tǒng)發(fā)生告警后，只是提示某某IP地址發(fā)生了某某安全事件，但安全專責(zé)無法找到真正設(shè)備的操作員或運(yùn)維員，無法責(zé)任到人。

(5)設(shè)備非法外聯(lián)。電力調(diào)度數(shù)據(jù)網(wǎng)是嚴(yán)格禁止直接接入互聯(lián)網(wǎng)的，但是有些職員為了快速并方便地在內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間切換工作或通過互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維，從而在內(nèi)網(wǎng)設(shè)備安裝3G/4G移動(dòng)無線上網(wǎng)卡，將其連接到互聯(lián)網(wǎng)上。非法外聯(lián)給網(wǎng)絡(luò)安全埋下了嚴(yán)重的安全隱患，一旦發(fā)生就會造成內(nèi)外網(wǎng)直接連通，使得內(nèi)網(wǎng)和外網(wǎng)之間的物理和邏輯隔離裝置形同虛設(shè)，造成巨大投入全部歸零。

(6)仿冒問題。電力企業(yè)為了管理考慮一般采用統(tǒng)一的IP地址規(guī)劃，然后通過配置訪問控制策略來嚴(yán)格控制IP地址的訪問權(quán)限。有些職員為了規(guī)避管理而修改IP地址甚至是MAC地址、使用某種技術(shù)手段進(jìn)行非法接入。

(7)資產(chǎn)管理混亂。電力企業(yè)終端臺賬信息統(tǒng)計(jì)不全或不準(zhǔn)的情況是客觀存在的，同時(shí)限于人力不足的客觀現(xiàn)實(shí)，大量新增或淘汰的設(shè)備信息不能及時(shí)在臺賬信息中體現(xiàn)，即使有所體現(xiàn)終端設(shè)備情況也是記錄不全。造成臺賬信息跟實(shí)際情況不能完全匹配。

(8)外部人員隨意訪問網(wǎng)絡(luò)。電力企業(yè)擁有龐大的信息網(wǎng)絡(luò)和數(shù)量巨大的終端設(shè)備，運(yùn)維外包逐漸成為趨勢，因此除了自家職員外還有第三方公司的技術(shù)支持或運(yùn)維人員參加到日常的管理工作中，為了安全起見除了和第三方公司簽署保密協(xié)議外，應(yīng)當(dāng)采用技術(shù)手段來控制網(wǎng)絡(luò)權(quán)限，只對第三方授予最小權(quán)限來訪問指定的終端設(shè)備。這對網(wǎng)絡(luò)管理人員來說是一項(xiàng)極為細(xì)致和復(fù)雜的工作，某些管理人員為了降低自己的工作難度干脆將權(quán)限放開，授予第三方與職員相同的網(wǎng)絡(luò)訪問權(quán)限，這帶來極大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

(9)缺少物理位置定位。當(dāng)終端設(shè)備運(yùn)行中出故障的時(shí)候，現(xiàn)場專責(zé)往往無法準(zhǔn)確并快速定位終端設(shè)備的物理位置，而只能登錄核心交換機(jī)并采用命令行方式一層層往下查找，然后配合網(wǎng)絡(luò)拓?fù)鋱D、臺賬等才能定位到終端設(shè)備的具體位置，工作效率很低。然而現(xiàn)場專責(zé)很多都不具備交換機(jī)技術(shù)，再加上網(wǎng)絡(luò)拓?fù)鋱D和臺賬信息更新不及時(shí)，這樣故障發(fā)生時(shí)，更是不知所措。

(10)桌面客戶端與日俱增。為了工作的便利性，終端設(shè)備上安裝大量的客戶端軟件，對客戶端軟件的有效管理也是讓管理員感到力不從心的事情。

上述問題產(chǎn)生的主要原因是沒有對網(wǎng)絡(luò)邊界進(jìn)行管理，沒有對網(wǎng)絡(luò)接入進(jìn)行控制，沒有對使用終端的人進(jìn)行定位，這正是網(wǎng)絡(luò)準(zhǔn)入技術(shù)要解決的現(xiàn)實(shí)問題。

2 解決對策(多種技術(shù)融合)

新一代準(zhǔn)入控制技術(shù)，不同于傳統(tǒng)的單一準(zhǔn)入局限性，需采用混合式準(zhǔn)入原理，支持多種準(zhǔn)入技術(shù)：802.1x、DHCP、ARP、SNMP、SPAN、SVB、SPS、AGENT兼容各種網(wǎng)絡(luò)環(huán)境。

在實(shí)際應(yīng)用中的網(wǎng)絡(luò)環(huán)境各種各樣，可簡單歸類為2種，即交換網(wǎng)(2層網(wǎng)絡(luò))，判斷依據(jù)：網(wǎng)關(guān)都在核心交換機(jī)。路由網(wǎng)(3層網(wǎng)絡(luò))，判斷依據(jù)：核心之間基于路由互聯(lián)。需要考慮不同的準(zhǔn)入技術(shù)，適應(yīng)于哪種網(wǎng)絡(luò)環(huán)境，具體分析如表1所列。

表1 不同準(zhǔn)入技術(shù)適合的環(huán)境

結(jié)合部署便捷度、對網(wǎng)絡(luò)影響程度、實(shí)現(xiàn)的準(zhǔn)入效果及客戶的喜好等多元素考慮，文章就不同的準(zhǔn)入原理給予推薦，如表2所列。

表2 推薦使用融合技術(shù)

交換網(wǎng)環(huán)境，動(dòng)態(tài)環(huán)境，推薦啟用DHCP準(zhǔn)入原理，靜態(tài)環(huán)境推薦啟用ARP準(zhǔn)入原理，動(dòng)靜混合環(huán)境推薦啟用DHCP+ARP。其次，在交換網(wǎng)中，本文推薦還可以使用SNMP/SVB/SPS/SPAN。

路由網(wǎng)，即核心之間基于路由互聯(lián)的網(wǎng)絡(luò)，本文推薦動(dòng)態(tài)環(huán)境下使用DHCP，結(jié)合交換機(jī)特有的DHCP SNOOPING+DAI，打造嚴(yán)格的動(dòng)態(tài)環(huán)境下的準(zhǔn)入方案。靜態(tài)環(huán)境下，推薦啟用SNMP，SPAN+客戶端的準(zhǔn)入原理。其次，在路由網(wǎng)情況下還可以使用SPS。

3 結(jié)束語

在實(shí)際應(yīng)用中，單一的準(zhǔn)入技術(shù)的使用是無法解決企業(yè)面臨的各種問題，需要支持多種準(zhǔn)入控制技術(shù)，通過多種準(zhǔn)入技術(shù)的混合融合方案，各種技術(shù)取長補(bǔ)短，達(dá)到良好的可兼容、可擴(kuò)展和可適用來解決企業(yè)面臨的難題。

[參 考 文 獻(xiàn)]

[1] 聶元銘,董建鋒,周小平.網(wǎng)絡(luò)準(zhǔn)入控制概論[M].北京:科學(xué)出版社,2012.

[2] 于微偉.網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].國防科技大學(xué),2010.

[3] 李鳳華,熊金波.復(fù)雜網(wǎng)絡(luò)環(huán)境下訪問控制技術(shù)[M].北京:人民郵電出版社,2016.