省地縣一體化網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)部署方案研究

引言：網(wǎng)絡(luò)安全接入管理是現(xiàn)代網(wǎng)絡(luò)安全發(fā)展趨勢(shì)下針對(duì)信息安全必用的管理手段。本文根據(jù)電力企業(yè)省地縣一體化運(yùn)維、分級(jí)管控的運(yùn)維需求，對(duì)網(wǎng)絡(luò)設(shè)備安全接入管理技術(shù)進(jìn)行研究，提出了適用于浙江電力省地縣一體化信息網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)部署方案。

引言

隨著國家電網(wǎng)公司“三集五大”體系建設(shè)不斷深入和浙江省電力公司信通業(yè)務(wù)省地縣一體化管理的實(shí)施，信息系統(tǒng)集中化程度日益提高，主要信息系統(tǒng)均采用國網(wǎng)公司一級(jí)部署或國網(wǎng)公司及省公司二級(jí)部署的模式，系統(tǒng)設(shè)備及數(shù)據(jù)均位于國網(wǎng)公司及省公司層面，數(shù)據(jù)集中度日益提高，信息網(wǎng)絡(luò)基礎(chǔ)平臺(tái)在電力企業(yè)信息化中發(fā)揮著越來越重要的支撐作用，信息網(wǎng)絡(luò)運(yùn)行管理、安全管理提出了更高的要求和標(biāo)準(zhǔn)，因此，建設(shè)一個(gè)一體化的網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一的、規(guī)范的安全運(yùn)維和管理，成為當(dāng)前信息網(wǎng)絡(luò)運(yùn)維支撐體系需要迫切解決的問題。

一、省地縣一體化信息網(wǎng)絡(luò)安全運(yùn)維需求

浙江省電力公司省地縣一體化信息網(wǎng)絡(luò)省地縣三級(jí)信息運(yùn)維部門按照一體化運(yùn)維、分級(jí)管控的原則，對(duì)各自所轄范圍內(nèi)的網(wǎng)絡(luò)設(shè)備進(jìn)行運(yùn)維工作。由于缺乏全省統(tǒng)一的信息網(wǎng)絡(luò)設(shè)備安全接入管控平臺(tái)，各級(jí)運(yùn)維單位采用自建AAA服務(wù)器、靜態(tài)維護(hù)網(wǎng)絡(luò)設(shè)備用戶名密碼等方式實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的接入管理，缺乏統(tǒng)一的安全基準(zhǔn)，信息網(wǎng)絡(luò)安全運(yùn)維面臨較高的風(fēng)險(xiǎn)，迫切需要建設(shè)從上到下一體貫通、分級(jí)管控、協(xié)同工作的網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)，并遵循以下原則：

1）統(tǒng)一性原則。信息網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)都建立在“一個(gè)整體”的基礎(chǔ)之上，以一體化運(yùn)作、集約化管理、分級(jí)管控為主導(dǎo)思想，實(shí)現(xiàn)一體化建設(shè)、一體化管理、一體化運(yùn)維、分級(jí)管控。

2）經(jīng)濟(jì)性原則。信息網(wǎng)絡(luò)整體規(guī)模龐大、運(yùn)維單位眾多，網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)建設(shè)時(shí)需充分考慮投資經(jīng)濟(jì)性，避免重復(fù)投資。

3）標(biāo)準(zhǔn)性原則。網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)必須遵循業(yè)界公認(rèn)的標(biāo)準(zhǔn)，制定一個(gè)高兼容性架構(gòu)，確保設(shè)備、技術(shù)的互通和互操作性，方便快速部署，以適應(yīng)業(yè)務(wù)的快速增長(zhǎng)。

4）安全性原則。能夠提供網(wǎng)絡(luò)設(shè)備運(yùn)維全面的安全接入防護(hù)策略，確保網(wǎng)絡(luò)設(shè)備“可控、能控、在控”。

二、AAA安全認(rèn)證接入技術(shù)

為了確保網(wǎng)絡(luò)接入安全可靠，目前國內(nèi)外各類大、中型公司企業(yè)基本采用的網(wǎng)絡(luò)設(shè)備安全接入管理方案是使用AAA身份認(rèn)證系統(tǒng)，即認(rèn)證、授權(quán)、統(tǒng)計(jì)，以此滿足公司企業(yè)的信息安全防護(hù)需求。

認(rèn)證（Authentication）：認(rèn)證用以決定用戶的身份，以及是否允許訪問設(shè)備及資源，阻止入侵者進(jìn)入網(wǎng)絡(luò)設(shè)備及系統(tǒng)。

授權(quán)（Authorization）：授權(quán)可以限制每個(gè)用戶可獲得的網(wǎng)絡(luò)服務(wù)及資源，有助于限制內(nèi)部網(wǎng)絡(luò)及資源對(duì)訪問者的暴露。網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)可以使用授權(quán)允許登陸的運(yùn)維人員只能執(zhí)行特定的命令，實(shí)現(xiàn)設(shè)備運(yùn)維的精細(xì)化管理。

統(tǒng)計(jì)（Accounting）：網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)對(duì)所有登錄到網(wǎng)絡(luò)設(shè)備的運(yùn)維人員及所進(jìn)行的操作進(jìn)行統(tǒng)計(jì)記錄。統(tǒng)計(jì)功能可以實(shí)現(xiàn)對(duì)運(yùn)維人員操作行為的跟蹤以及后期的行為審計(jì)。

當(dāng)前AAA身份認(rèn)證系統(tǒng)的采用的協(xié)議主要有RADIUS和DIAMETER，這兩個(gè)協(xié)議有其特定的產(chǎn)生背景，它們的技術(shù)特點(diǎn)、工作模式均有較大的差異，各有不同的適用范圍。

RADIUS協(xié)議基于UDP協(xié)議，采用C/S工作模式，適用于集中部署的工作方式，并且沒有定義重傳機(jī)制，不具備失敗恢復(fù)機(jī)制；DIAMETER協(xié)議是下一代AAA認(rèn)證協(xié)議，解決了RADIUS認(rèn)證協(xié)議存在的諸多不足之處，工作于TCP協(xié)議，采用peer-to-peer工作模式，定義了重傳機(jī)制并且具備失敗恢復(fù)機(jī)制。盡管DIAMETER協(xié)議存在諸多更有利的地方，但從目前的應(yīng)用環(huán)境來看，RADIUS協(xié)議的實(shí)現(xiàn)更加成熟，并且RADIUS有眾多優(yōu)秀的開源軟件。電力企業(yè)信息網(wǎng)絡(luò)中AAA身份認(rèn)證系統(tǒng)有其特殊的工作環(huán)境，重點(diǎn)需要解決的是面對(duì)眾多品牌設(shè)備的兼容性，系統(tǒng)應(yīng)具有良好的二次開發(fā)能力以便與眾多的運(yùn)維支撐系統(tǒng)實(shí)現(xiàn)互動(dòng)，在電力信息網(wǎng)絡(luò)可提供較大工作帶寬、較低網(wǎng)絡(luò)時(shí)延以及較高可靠性的前提下，RADIUS協(xié)議更適用于電力企業(yè)信息網(wǎng)絡(luò)的AAA身份認(rèn)證系統(tǒng)。

三、省地縣一體化信息網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備安全接入方案

目前IT行業(yè)基于AAA認(rèn)證管理的信息網(wǎng)絡(luò)接入管理有思科公司ACS（Access Control Server）、RSA數(shù)據(jù)安全有限公司的RSA SecurityID/ACE等成熟的商品化解決方案，此類網(wǎng)絡(luò)接入管理系統(tǒng)基本能夠解決現(xiàn)有網(wǎng)絡(luò)中認(rèn)證、授權(quán)、統(tǒng)計(jì)等問題，甚至提供雙因素認(rèn)證功能，但也有較大的不足之處，主要體現(xiàn)為不具備網(wǎng)絡(luò)設(shè)備管理的針對(duì)性，對(duì)于需要進(jìn)行操作審計(jì)、分級(jí)管理、系統(tǒng)級(jí)聯(lián)的一體化管控環(huán)境難以達(dá)到目的。

適用于省地縣一體化信息網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備安全接入AAA系統(tǒng)解決方案需求與普通的AAA系統(tǒng)存在較多的不同之處，主要體現(xiàn)在以下三點(diǎn)：（1）省地縣一體化信息網(wǎng)絡(luò)是一個(gè)規(guī)模龐大、結(jié)構(gòu)復(fù)雜的企業(yè)信息網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備安全接入管理需求遠(yuǎn)比普通AAA系統(tǒng)復(fù)雜和多元化；（2）省地縣一體化電力信息網(wǎng)絡(luò)采用一體化運(yùn)維、分級(jí)管控的運(yùn)維方式，AAA系統(tǒng)必須能夠適應(yīng)這種統(tǒng)一標(biāo)準(zhǔn)、分區(qū)分域管控的管理模式，能夠支持不同用戶及用戶組的分級(jí)管理及權(quán)限控制；（3）省地縣一體化信息網(wǎng)絡(luò)中，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、維護(hù)機(jī)構(gòu)眾多，要實(shí)現(xiàn)一體化運(yùn)維、分級(jí)管控，就必須實(shí)現(xiàn)多種品牌網(wǎng)絡(luò)設(shè)備接入的詳細(xì)授權(quán)和審計(jì)功能，具備針對(duì)新類型設(shè)備接入后的用戶自定義配置功能。

基于目前的主流AAA認(rèn)證平臺(tái)不能很好滿足浙江電力復(fù)雜環(huán)境下的信息網(wǎng)絡(luò)設(shè)備安全接入管控，因此需基于通用AAA認(rèn)證平臺(tái)根據(jù)浙江電力省地縣一體化運(yùn)維需求進(jìn)行定制開發(fā)，在現(xiàn)有基礎(chǔ)上采用集中部署分級(jí)管理模式，通過權(quán)組劃分、底層接口開發(fā)方式，通過用戶賬號(hào)、分組管理等方式支持省、地市、縣三級(jí)管理模式，同時(shí)對(duì)授權(quán)用戶的操作權(quán)限進(jìn)行分類約束，實(shí)現(xiàn)全省信息網(wǎng)絡(luò)的分級(jí)管控；此外采用橫向橋接技術(shù)增加針對(duì)電力信息網(wǎng)絡(luò)運(yùn)維系統(tǒng)的數(shù)據(jù)接口，保留雙因素認(rèn)證接口等，滿足電力企業(yè)一單兩票、ITSM信息運(yùn)維管理系統(tǒng)的聯(lián)動(dòng)操作需求。

四、結(jié)束語

省地縣一體化網(wǎng)絡(luò)設(shè)備安全接入管理系統(tǒng)能滿足浙江電力信息網(wǎng)在新形勢(shì)下的運(yùn)行支撐需求，實(shí)現(xiàn)省地縣三級(jí)運(yùn)維機(jī)構(gòu)的一體化管控、分區(qū)分域分級(jí)管控，并且在進(jìn)行二次定制開發(fā)后，滿足電力企業(yè)一單兩票的規(guī)范化要求，能夠與電力企業(yè)現(xiàn)有的ITSM信息運(yùn)維管理系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)，從而在信息網(wǎng)絡(luò)運(yùn)維的計(jì)劃制定、工作許可、工作執(zhí)行等環(huán)節(jié)實(shí)現(xiàn)全過程的規(guī)范化、精細(xì)化管理。

參考文獻(xiàn)

[1]賈賢偉，王淑偉，覃伯平.一種集成化的基于Diameter的AAA服務(wù)器設(shè)計(jì)方案[J].計(jì)算機(jī)應(yīng)用研究，2007（5）：253-255.

[2]崔曉波.RADIUS協(xié)議的研究.[J].中國數(shù)據(jù)通信，2010（2）.

（作者單位：國網(wǎng)浙江省電力公司杭州供電公司）