基于网络安全准入对终端设备的管控研究

1、基于网络安全准入对终端设备的管控研究摘 要】为了解决网络存在的安全隐患，通过网络安全准入系统的建设，从技术手段对接入的终端设备进行严 格的审批、授权，未经审批、授权的终端设备将无法接入到 企业的网络中，同时对发现有异常行为的终端设备迅速进行 网路隔离，从而可以立即消除网路上的安全隐患，使得电力 企业系统整体网络管理水平提升一个台阶。关键词】网络安全准入 地址资源管控 信息安全 终端设备1 引言 随着电力企业信息化建设的高速发展，网络、服务器、终端等设备不断增加，网路接入方式日益复杂，网络安全也 成为网络管理工作的重中之重 1-2 ，如何消除安全隐患，确 保企业网路和信息系统安全稳定运行，是当前

2、电力企业网络 管理工作的重点、难点。目前电力企业网路信息安全存在主 要问题有：1) 用户终端可以随意地接入企业的网路系统，开展各类业务活动。2) IP 地址用户可以自行分配和修改，不能实现有效的管理。3）终端用户在接入企业网路时，没有经过权限控制和身份鉴别就可以随意接入，任何终端只要接入到网络中就 能够访问业务系统或其他终端。4）用户权限控制不灵活，只能基于终端的IP 地址以及应用系统中的口令来限制，不能根据用户身份信息以及终 端安全信息灵活地定义。当前大部分的网络故障均由人为因素造成的，地市公司各办公区域、县公司接入企业网络后形成了局域网。作为整 个广域网的一个子网的状态，各局部区域网络的运

3、行稳定状 况会直接影响整个电力企业全网的运行，因此急需运用技术 手段和管理手段对接入设备的入网采取一定的安全检测以 及推行入网准许制度，实现信息网入网和运行的可控性，提 高信息网络的安全性。为此，本文接下来将研究如何根据供 电企业特点，实施符合供电企业的网络地址资源管控系统建 设3。2 网络安全准入的系统架构2.1 系统总体框架 目前，常见的网络准入技术方案主要有基于 IP-MAC 绑定的网络准入技术和 EAD 端点准入防御系统。本系统的总 体架构包括网络接入分级控制、终端安全评价平台及网络要 素资源库三大部分 4 ，核心建设范围如图 1 所示：其中网络要素资源库包括 IP 地址规划、 VLA

4、N 管理、终端管理、 IP 地址分配、 VRV 设备台账对标。 终端安全评价平 台包括安全评估策略、 VRV 数据监测数据接入、 防病毒系统数据接入 5 。网络接入分级控制包括交换机信息管理、交换机端口信息采集、未知设备接入控制、异常终端安全修复区控制、异常终端网路隔离区控制、联动控制策略6。同时系统在网络要素资源库及网络分级接入控制数据的基础上建设网络资源全景化展示，提升网络运维的工作效率，该部分及必要的系统管理模块建设范围如图2 所示：网络全景化信息展示模块从设备、IP资源、VLAN资源、IP 使用情况、信息点接入情况、告警等多个维度描述当前网 络的参与对象台账及其之间的对应关系，方便运维

5、人员全面 展望网络现状、排查网路故障。系统管理模块提供必要的组织机构维护、人员权限维护功能。同时由于市县公司垂直化管理工作的推进，系统需要 支持市县公司的分布式部署。此外系统拟建立一套深化应用 指标（包括网络接入要素数据库数据完整性指标、网络未知 接入处理情况、 分级控制故障率等） 来促进系统的深化应用。2.2 系统物理架构 当终端用户接入到网络中时，终端安全风险评平台会从防病毒系统及 VRV 管控系统中获取接入终端的安全数据， 并根据采集的终端数据与网络接入要素数据库进行终端安 全评价分析，如果其设备被批准接入，则直接分配网络VLAN ，如果其设备未被批准接入，则直接阻止该设备访问网络。系统

6、准入的原理如图3 所示。网络准入管控设备使用 VMPS 技术协同现有 VLAN 管理方式完成 VLAN 的管理 7 。系统网络接入要素数据库中维 护的终端设备， 系统会定期将终端 IP-MAC 信息写入交换机， 杜绝 IP 盗用和更改 MAC 地址的问题。 系统物理部署结构如 图 4 所示：系统可直接在企业内部局域网部署，直接使用旁路接入的方式布设在局域网中，并打通与交换机、 VRV 系统、防病 毒系统及第三方审计系统之间数据交互的网络通道。针对市县公司垂直一体化管理的方式，在局域网中，网络准入管控设备可能根据实际网段数目实现分级控制以实 现更好的效果，如图 5 所示。2.3 系统逻辑架构 网

7、络准入管控系统是基于 B/S 多层体系架构和 .NET 平台生成 SOA 逻辑架构，分为平台层、应用层、数据层、数 据接口层和展示层 8 。各层之间通过组件间的服务承载关系 实现外部数据与系统功能的接口交互。系统的逻辑架构如图6 所示：3 网络安全准入系统的关键技术3.1 网络接入要素模型 网络接入要素包括网络中所有接入的终端设备、服务器、网络设备等所有网络接入对象，例如服务器、台式机、 自助终端、 TTU 、打印机、交换机等。网络接入对象存在各 个范畴的属性，本系统关注于网络接入控制，因此需要抽象 出各类接入对象与网络接入相关的对象属性并建模，进而形 成所有对象台账维护的元数据。系统通过搜集

8、目前所有接入网络的设备类型，并选取设备类型与网络安全及网络拓扑分析的相关的属性参数， 形成 ?设备类型的接入要素模型，同时对于网络设备，通过建立端 口子模型以支撑整个网络拓扑数据的构建 9 。3.2 分级策略和终端安全评价模型 系统通过一组审计指标来构建安全评价模型，表达终端的安全风险，审计指标与目前企业的网络安全管理目标挂 钩，包括终端的内外网隔离、弱口令情况、病毒感染情况、 保密终端安装情况、违规外设使用情况等。安全审计结果根 据审计指标综合评估得到，分为可信终端、待修复终端、危险终端三类 10 。3.3 交换机分级控制交换机分级控制是实现终端分级安全接入的关键手段，针对终端安全评价平台的

9、三类 评估结果，系统利用 VMPS 服务器动态调整交换机端口所属VLAN ，实现三类终端的访问权限控制。系统通过创建一个Guest VLAN 建立待修复区域，所有安全状态评估为待修复 的终端均自动划分到 Guest VLAN 。3.4 第三方安全审计接入 终端安全涉及多个方面，除去 VRV 系统和趋势防病毒系统，还需要预留以后与其它第三方审计应用的数据交互，以实现终端安全评价基础数据的全方位接入11 。在系统实现时，首先建立较为完备的终端安全评价模型，对于模型中需要的数据，当前审计软件能提供的在当前 版本中实现数据接入，对于当前审计软件不能提供的，预留 数据接入接口，以备日后扩展。3.5 深化

10、应用指标体系设计 电力企业网络规模随着电网规模的发展不断扩大，系统内网络要素需及时维护，否则当系统基础数据与真实网络要 素数据差异很大时，系统不能正确控制网络接入行为，而且 还会由于错误的控制行为造成网络故障，为此系统设计了 套应用指标体系， 包括全网设备绑定率、 VRV 与系统间对标 统计、 系统 VLAN 维护率等， 通过对指标进行考核以促进系 统的深化应用 12 。4 网络安全准入系统的应用成效4.1 运维人员可以对数量众多的终端实现安全、 有效的准入控制 系统对接入的终端用户进行 IP 地址、 MAC 地址及交换机端口三项结合绑定，从技术手段对接入的终端设备进行严 格的审批、授权，未经

11、审批、授权的终端设备将无法接入到企业的网络中，运维人员可以对数量众多的终端实现安全、 有效的准入控制，从而确保电力企业系统的网络安全。4.2 提高终端异常行为的处理能力对于发生违规外联、弱口令、病毒攻击的异常终端，网络安全准入管控系统结合 VRV 桌面管控系统，可以及时将 其从网络中进行有效隔离，避免了传统的手动登录交换机操 作的复杂性，大幅提高了终端异常行为处理的时效性，降低 了终端异常行为在整个网络中扩散的风险，提升了网络安 全。同时利用系统提供的网络隔离功能，可有效督促用户进 行整改。4.3 对 IP 地址资源实现高效管控 系统对接入的终端用户进行 IP 地址、 MAC 地址及交换机端口

12、三项结合绑定， 确保终端用户与 IP 地址、 网络接入交 换机端口的唯一性， 从而使 IP 地址资源的分配摆脱原来的手 工管理方式，使得整个电力企业整体 IP 地址管理水平提升 个台阶，可以对 IP 地址资源进行更合理分配和使用。4.4 信息网络的管理成本可以大幅度降低网络管理人员可以更有效、更直接地制定各项网络管理策略，部署在系统中，在分析、查找信息网络故障时，网络 管理人员可以通过制定的各项策略对危险点进行快速查找 和定位，直接追踪到终端用户，从而大大缩短消除安全隐患 时间。同时还可以大幅提高 IP 地址的分配效率， 从而进一部降低信息网络的管理成本。4.5 产生的网络安全事件可以责任到人

13、 网络安全准入管控系统从技术手段对接入的终端设备进行严格的审批、授权，未经审批、授权的终端设备将无法接入到企业的网络中，这样就可以确保接入网路的终端用户和 IP 地址是对应。 企业通过部署防火墙、 IDS 等网络安全设备，可以记录下所有终端用户访问日志中的IP 地址信息，这样当发生安全事件时可以定位到具体的责任人，从而 可以进一步避免信息安全事件的发生。4.6 实现设备台账和网络地址之间的统一管理， 确保企业的考核指标 网络安全准入管控系统对接入的终端用户进行 IP 地址、MAC 地址及交换机端口三项结合绑定，确保了设备和网络 地址之间的一致性，同时通过实时切断告警的终端设备，实 现了网络管理

14、从异常发现、告警、处理及反馈的闭环处理。另外由于系统存在严格的考核指标体系，管理人员可清晰地 掌握系统的应用状况，大大促进了数据维护效率，提升了系 统的数据质量。5 结束语 针对网络存在的安全隐患，本文提出了一种网络安全准入系统架构，并对其系统架构和关键技术进行分析，通过具 体的应用表明，该系统能消除网路上的安全隐患，确保电力企业网路与各应用系统可以安全稳定运行，最终使整个电力企业整体网络管理水平提升一个台阶。参考文献：1 司徒健辉 . 企业网络安全准入控制技术设计与应用J. 大科技： 科技天地，2 钱杨 . 企业网网络准入控制及终端安全防护研究 D.2010（ 7）： 206-209.海：

15、华东理工大学， 2012.3 张涛 . 企业内网准入控制技术研究 J.中国信息化，2013（ 1）： 52-53.4 吕维新 . 网络准入系统在供电局终端安全管理中的应用 J. 电力信息化， 2011（6）： 94-97.5 于微伟，卢泽新，康东明， 等. 关于网络准入控制系统的分析与优化 J. 计算机工程与科学， 2011，33（ 8）：39-44.6 叶竞，叶水勇，陈清萍， 等. 云终端技术研究与系统建设 J. 电力信息与通信技术， 2015，13（5）： 77-82.7 徐沛沛 . 桌面终端远程运维管理系统研究与设计J.电力信息化， 2012， 10（6）： 16-20.8 张科， 董亮，邹澄澄 . 利用云计算技术建立电力信息系统硬件资源池 J. 湖北电