網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電企業(yè)終端安全管理中的應(yīng)用

國網(wǎng)安徽省電力公司淮北供電公司 許春彩 胡賀軍 梁后健

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電企業(yè)終端安全管理中的應(yīng)用

國網(wǎng)安徽省電力公司淮北供電公司 許春彩 胡賀軍 梁后健

隨著社會(huì)和科學(xué)技術(shù)的不斷發(fā)展，進(jìn)年來，我國各個(gè)企業(yè)都實(shí)現(xiàn)了計(jì)算機(jī)辦公，在現(xiàn)代化社會(huì)的影響下，計(jì)算機(jī)終端系統(tǒng)開始在企業(yè)發(fā)展中被廣泛應(yīng)用，在一定程度上推動(dòng)了企業(yè)發(fā)展的步伐，然而，在計(jì)算機(jī)終端系統(tǒng)中存在的一些安全隱患，嚴(yán)重影響企業(yè)的發(fā)展，因此，要對(duì)計(jì)算機(jī)終端系統(tǒng)中的安全隱患進(jìn)行消除，防止一系列安全隱患對(duì)企業(yè)的發(fā)展造成重大的損害，對(duì)其內(nèi)部網(wǎng)絡(luò)運(yùn)行中的安全性作一保障逐漸被人們所重視。所謂網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，其主要是利用客戶身份的認(rèn)證方式，展開對(duì)用戶在接入設(shè)備中的狀態(tài)評(píng)估，促進(jìn)對(duì)用戶屬性和在線狀態(tài)以及流量限制方面的深入管理以及所掌握的一種技術(shù)。這一系統(tǒng)可以分析并彌補(bǔ)在終端系統(tǒng)中存在的漏洞，對(duì)用戶行為進(jìn)行控制并展開應(yīng)用管理，避免企業(yè)內(nèi)部的信息出現(xiàn)泄漏的問題，防止終端會(huì)在一定程度上受到來自病毒和蠕蟲以及木馬等方面的危害，加強(qiáng)對(duì)計(jì)算機(jī)終端系統(tǒng)的安全管理。

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)；供電企業(yè)；安全管理；應(yīng)用

近年來，對(duì)于供電企業(yè)來說，其在企業(yè)中存在的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)安全性的關(guān)注力度逐漸加強(qiáng)，正因?yàn)槿绱?，外部黑客并不能十分容易地突破供電企業(yè)在網(wǎng)絡(luò)中設(shè)立的安全防護(hù)。和外部的人員相比，供電企業(yè)出現(xiàn)的內(nèi)部泄密更加嚴(yán)重，這一問題直接關(guān)系著供電企業(yè)在競爭中的生存和發(fā)展，如果知道該數(shù)據(jù)在存儲(chǔ)中的準(zhǔn)確位置，那么，內(nèi)部泄密人員就非常容易對(duì)該信息進(jìn)行獲取。因此，為了對(duì)這樣的情況進(jìn)行應(yīng)對(duì)，供電企業(yè)的網(wǎng)絡(luò)終端要進(jìn)行嚴(yán)格地安全管理，并得到具體的實(shí)施，同時(shí)，還要在一定程度上對(duì)內(nèi)部員工自身的終端管理現(xiàn)狀進(jìn)行解決，加強(qiáng)泄密人員的技術(shù)門檻，進(jìn)而對(duì)數(shù)據(jù)出現(xiàn)泄露的概率進(jìn)行降低。

一、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電企業(yè)終端安全管理中的控制原理

在供電企業(yè)的發(fā)展中，實(shí)施網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的控制，其主要目的是指對(duì)病毒和黑客以及木馬等具有破壞性的程序在企業(yè)信息中所產(chǎn)生的安全威脅進(jìn)行降低和減少，這一系統(tǒng)在供電企業(yè)中的應(yīng)用，可以對(duì)沒有經(jīng)過授權(quán)和允許的終端設(shè)備在公司網(wǎng)絡(luò)中的接入現(xiàn)象進(jìn)行阻擾，也就是說，只有經(jīng)過企業(yè)的安全授權(quán)和許可的網(wǎng)絡(luò)終端，才能順利地和企業(yè)的網(wǎng)絡(luò)進(jìn)行連接。這在一定程度上對(duì)企業(yè)網(wǎng)絡(luò)終端的安全性能進(jìn)行了提高。就網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中的嶄新的構(gòu)架模式而言，其主要可以劃分成三個(gè)部分，即企業(yè)內(nèi)部網(wǎng)絡(luò)在外界中的安全防護(hù)，對(duì)在網(wǎng)絡(luò)外部中出現(xiàn)了安全威脅進(jìn)行實(shí)時(shí)地防護(hù)；還有對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)行安全威脅地防護(hù)，主要目的是對(duì)來自網(wǎng)絡(luò)中存在的安全威脅作一防護(hù)；對(duì)外網(wǎng)移動(dòng)終端的用戶安全進(jìn)行接入防護(hù)，主要目的是對(duì)內(nèi)部的移動(dòng)用戶能夠在各種網(wǎng)絡(luò)環(huán)境當(dāng)中的自身安全和企業(yè)發(fā)展的網(wǎng)絡(luò)安全作一保護(hù)。

二、網(wǎng)絡(luò)控制技術(shù)的類型

在供電企業(yè)的發(fā)展中，對(duì)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的應(yīng)用主要分為以下幾種。

（一）802.1x協(xié)議網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

所謂802.lx協(xié)議，其是指在在802.11協(xié)議的基礎(chǔ)上擴(kuò)展而來的，主要目的是對(duì)基于端口下的接入控制進(jìn)行解決的標(biāo)準(zhǔn)體系。

比較常用的控制技術(shù)就是802.1x協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，這一控制技術(shù)在運(yùn)行中有一定的要求，即網(wǎng)絡(luò)設(shè)備可以在一定程度上對(duì)802.1x進(jìn)行支持，并不需要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，也不會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行中的可靠性與其他性能進(jìn)行降低，同時(shí)，能夠在各種規(guī)模下的網(wǎng)絡(luò)用戶中進(jìn)行運(yùn)用，這是所有企業(yè)廣泛應(yīng)用的一種系統(tǒng)準(zhǔn)入模式的控制，具備一定的國際標(biāo)準(zhǔn)。

1.802.lx協(xié)議下的準(zhǔn)入控制技術(shù)的認(rèn)證體系

就802.lx而言，其主要目的是對(duì)用戶展開認(rèn)證，最終實(shí)現(xiàn)可用端口的確定。其結(jié)構(gòu)如圖1所示，主要?jiǎng)澐殖?個(gè)部分，請(qǐng)求者系統(tǒng)和認(rèn)證系統(tǒng)以及認(rèn)證服務(wù)器的系統(tǒng)。

2.802.lx協(xié)議下的準(zhǔn)入控制技術(shù)的認(rèn)證流程

在802.1x認(rèn)證系統(tǒng)下的客戶端以及認(rèn)證系統(tǒng)中對(duì)EAPOL格式封裝EAP協(xié)議對(duì)認(rèn)證信息進(jìn)行傳送，認(rèn)證系統(tǒng)和認(rèn)證的服務(wù)器在RADIUS協(xié)議作用下對(duì)認(rèn)證信息做一傳送，主要表現(xiàn)在兩個(gè)方面。一是在客戶端PAE以及設(shè)備端PAE兩者之間，對(duì)EAP協(xié)議的報(bào)文運(yùn)用EAPOI和封裝格式，其在LAN環(huán)境中被承載。二是在用戶認(rèn)證通過之后，服務(wù)器就會(huì)將用戶的基本信息在設(shè)備端中進(jìn)行傳送。

圖1 802.lx認(rèn)證的系統(tǒng)結(jié)構(gòu)

3.802.lx協(xié)議下的準(zhǔn)入控制技術(shù)認(rèn)證組網(wǎng)應(yīng)用

根據(jù)有所差異的組網(wǎng)方式和網(wǎng)絡(luò)規(guī)模，進(jìn)行802.1x認(rèn)證時(shí)，工作人員可以選擇集中式組網(wǎng)和分布式組網(wǎng)以及本地的認(rèn)證組網(wǎng)方式。不同組網(wǎng)方式的影響下，802.1x認(rèn)證系統(tǒng)所形成的網(wǎng)絡(luò)位置是存在區(qū)別的。主要表現(xiàn)在兩點(diǎn)，一是802.1x的集中式組網(wǎng)，該組網(wǎng)方式在運(yùn)用中的優(yōu)勢(shì)是指802.1x運(yùn)用的是集中式的管理手段，在一定程度上對(duì)管理與維護(hù)的成本進(jìn)行了降低；二是，802.1x分布式的組網(wǎng)，該組網(wǎng)模式運(yùn)用中的優(yōu)勢(shì)體現(xiàn)在，其運(yùn)用的是高、中端設(shè)備以及低端設(shè)備三者相互融合的手段，把認(rèn)證任務(wù)在比較多的設(shè)備中進(jìn)行分配，在一定程度上對(duì)核心設(shè)備自身的負(fù)荷進(jìn)行了降低，并符合相對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境下的認(rèn)證要求。

（二）思科EoU方式的網(wǎng)絡(luò)準(zhǔn)入控制

這一技術(shù)在供電企業(yè)中的運(yùn)用和802.1X的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)是非常相似的，對(duì)于供電企業(yè)網(wǎng)絡(luò)終端的安全管理具有非常重要的意義，其運(yùn)行原理和上述技術(shù)之間的共同性是一致的。

（三）網(wǎng)關(guān)型網(wǎng)絡(luò)準(zhǔn)入控制

該技術(shù)在應(yīng)用中的主要特點(diǎn)是指，沒有經(jīng)過授權(quán)的終端是沒有權(quán)限對(duì)網(wǎng)保護(hù)的網(wǎng)絡(luò)資源進(jìn)行訪問的，而且在終端間是能夠進(jìn)行相互訪問的。這一技術(shù)在運(yùn)行中的要求是對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行一定的調(diào)整，還要具備針對(duì)性地比較適用的網(wǎng)關(guān)，該技術(shù)在供電企業(yè)終端安全管理中的運(yùn)用能夠提高企業(yè)發(fā)展的可靠性和穩(wěn)定性。

（四）DHCP方式的網(wǎng)絡(luò)準(zhǔn)入控制

這一技術(shù)在供電企業(yè)網(wǎng)絡(luò)終端中安全管理的運(yùn)用是利用自行的IP等方式，不經(jīng)過DHCP的準(zhǔn)入控制，不需要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，主要的要求就是在各個(gè)網(wǎng)段中對(duì)專用的DHCP服務(wù)器進(jìn)行部署。在運(yùn)用的過程中，不會(huì)對(duì)網(wǎng)絡(luò)終端的可靠性進(jìn)行降低，能夠在中小規(guī)模類型的網(wǎng)絡(luò)中廣泛運(yùn)用。

（五）ARP方式的網(wǎng)絡(luò)準(zhǔn)入控制

該技術(shù)在運(yùn)行中的主要特點(diǎn)是指終端可以自行對(duì)路由器進(jìn)行設(shè)置，ARP映射等不經(jīng)過ARP的準(zhǔn)入控制，不需要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，要在各個(gè)網(wǎng)段中對(duì)ARP干擾器進(jìn)行設(shè)置，可以在小規(guī)模網(wǎng)絡(luò)中進(jìn)行應(yīng)用。

三、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電企業(yè)終端安全管理體系中的具體應(yīng)用

（一）在網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的作用下，對(duì)在網(wǎng)絡(luò)中接入的計(jì)算機(jī)終端的安全性進(jìn)行檢查

在這一過程中，主要的安全檢查項(xiàng)目有三個(gè)方面。一是對(duì)賬戶的檢查，也就是對(duì)用戶名與密碼進(jìn)行檢查，這一檢查的目的是避免來人員將同一個(gè)Agent在網(wǎng)絡(luò)中進(jìn)行接入。二是，對(duì)安全設(shè)置進(jìn)行規(guī)范性的檢查，也就是終端安全的設(shè)置，對(duì)系統(tǒng)賬戶安全作一檢查，主要有Gnest賬戶以及弱口令檢查與Windows域的檢查。在檢查終端對(duì)防病毒的安裝情況和病毒的特征庫能否得到快速的升級(jí)，在網(wǎng)絡(luò)終端中有沒有存在有問題的文件；在網(wǎng)絡(luò)終端有沒有對(duì)非法軟件進(jìn)行安裝等問題進(jìn)行檢查。三是在終端注冊(cè)的ID進(jìn)行檢查，主要是指對(duì)網(wǎng)絡(luò)終端中的內(nèi)部網(wǎng)絡(luò)是否已經(jīng)注冊(cè)登記進(jìn)行檢查。網(wǎng)絡(luò)的準(zhǔn)入控制能夠?qū)σ呀?jīng)和網(wǎng)絡(luò)進(jìn)行接入的網(wǎng)絡(luò)終端是不是合法并規(guī)范進(jìn)行檢查，同時(shí)，還對(duì)管理終端中存在的計(jì)算機(jī)終端進(jìn)行接受。

（二）對(duì)已經(jīng)和網(wǎng)路進(jìn)行接入的計(jì)算機(jī)終端，進(jìn)行安全管理并控制

1.對(duì)安全進(jìn)行加固，對(duì)網(wǎng)絡(luò)終端中存在的賬戶口令和屏?？诹钜约肮蚕砟夸浥c自動(dòng)加載的服務(wù)安全實(shí)行加固，對(duì)于強(qiáng)制型的在網(wǎng)絡(luò)終端中進(jìn)行接入設(shè)備的安裝，要對(duì)防病毒的軟件以及病毒的特征庫進(jìn)行更新，并能自動(dòng)化地對(duì)終端安裝比較性的補(bǔ)丁包，促進(jìn)終端抗攻擊性能的提升。

2.對(duì)安全進(jìn)行評(píng)估，對(duì)在連網(wǎng)終端中存在的安全設(shè)置以及運(yùn)行狀態(tài)展開詳細(xì)地評(píng)估。對(duì)管理人員來說，其可以對(duì)終端中的安全策略進(jìn)行評(píng)估，例如賬戶口令是不是強(qiáng)口令等。

3.對(duì)安全進(jìn)行審計(jì)，對(duì)內(nèi)部的網(wǎng)絡(luò)的終端設(shè)備在操作與網(wǎng)絡(luò)訪問中的行為實(shí)施安全審計(jì)。對(duì)終端文件的拷貝和FTP以及 Email的訪問進(jìn)行審計(jì)，對(duì)內(nèi)部終端的完全運(yùn)行進(jìn)行審計(jì)。

擋在評(píng)估與審計(jì)的過程中發(fā)現(xiàn)存在的問題，對(duì)管理人員來說，其可以在終端中展開集中式管理以及設(shè)置。在集中式的控制平臺(tái)影響下，也能夠展開批量查詢以及統(tǒng)計(jì)。主要表現(xiàn)在以下幾個(gè)方面。第一，策略分發(fā)，要運(yùn)用集中和批量以及分組的方法對(duì)桌面終端的計(jì)算機(jī)實(shí)施安全設(shè)置，并對(duì)安全狀態(tài)進(jìn)行查詢；第二，對(duì)補(bǔ)丁進(jìn)行管理，并對(duì)軟件進(jìn)行分發(fā)，有助于對(duì)管理者在日常中的維護(hù)工作進(jìn)行減少，并促進(jìn)工作效率的提高；第三，加強(qiáng)對(duì)遠(yuǎn)程的控制，能夠使得系統(tǒng)維護(hù)者對(duì)遠(yuǎn)程的終端設(shè)備進(jìn)行維護(hù)；第四，對(duì)設(shè)備進(jìn)行定位，對(duì)管理人員來說，可以快速地對(duì)入網(wǎng)絡(luò)中的設(shè)備安全性能進(jìn)行定位，運(yùn)用針對(duì)性地措施對(duì)其進(jìn)行控制，或者是對(duì)設(shè)備的連接進(jìn)行斷開；第五，對(duì)資產(chǎn)進(jìn)行管理，就管理人員而言，可以對(duì)和網(wǎng)絡(luò)連接的設(shè)備進(jìn)行統(tǒng)計(jì)。

四、結(jié)束語

綜上所述，在科學(xué)技術(shù)日益發(fā)展的大背景下，我國供電企業(yè)早已實(shí)現(xiàn)了現(xiàn)代化的計(jì)算機(jī)網(wǎng)絡(luò)終端辦公，這在一定程度上提高了我國供電企業(yè)的工作效率，然而，其中所存在的安全隱患也同樣給企業(yè)帶來了很大的困擾，因此，要從網(wǎng)絡(luò)終端信息被泄露的具體情況著手，把終端網(wǎng)絡(luò)的準(zhǔn)入控制系統(tǒng)看作是開端，對(duì)在安全性能比較高的網(wǎng)絡(luò)終端系統(tǒng)進(jìn)行建立，并完善對(duì)其的安全防護(hù)，在此基礎(chǔ)上，能夠行之有效地對(duì)終端網(wǎng)絡(luò)中存在的安全信息出現(xiàn)的非法外傳現(xiàn)象進(jìn)行制止。

[1]彭濤．自治域網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]．湖南大學(xué),2012．

[2]錢揚(yáng)．企業(yè)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入控制及終端安全防護(hù)研究[D]．華南理工大學(xué),2012．

[3]呂楊．對(duì)企業(yè)網(wǎng)終端接入控制的研究和方案設(shè)計(jì)[D]．北京郵電大學(xué),2014．

[4]林源．基于準(zhǔn)入控制技術(shù)的企業(yè)網(wǎng)絡(luò)安全的分析與優(yōu)化[D]．福州大學(xué),2014．