基于端口的网络访问控制在油田信息网中的应用研究.doc

目 录 第一章 绪论 1 1.1 研究背景与意义 1 1.1.1 当前中石油信息网络系统存在的安全问题 1 1.1.2 论文依托项目情况简介 3 1.1.3 相关技术发展与现状分析 3 1.2 论文的研究内容与研究目标 5 1.2.1 面临的主要挑战 5 1.2.2 主要研究内容 6 1.2.3 研究目标 6 1.3 论文工作所取得的主要成果 6 1.4 论文的组织结构 7 第二章 PBNAC技术 9 2.1 IEEE 802.1X 标准概述 9 2.1.1 产生背景 9 2.1.2 主要内容 10 2.1.3 工作原理 12 2.2 IEEE 802.1X 标准关键技术 13 2.2.1 基于数据链路层的认证技术 13 2.2.2 认证流和用户业务数据流分离 14 2.3 存在的主要问题 15 2.3.1 技术问题 15 2.3.2 问题原因与解决思路 18 2.3.3 推广实施问题 19 2.4 主流IT厂商提供的PBNAC解决方案 20 2.4.1 网络设备厂商的方案 20 2.4.2 操作系统厂商的方案 23 2.4.3 安全厂商的方案 24 2.5 小结 26 第三章 PBNAC 应用模式分析 27 3.1 技术现状 27 3.1.1 端口 27 3.1.2 当前主流的 PBNAC 应用模式 27 3.1.3 存在的一些问题 28 3.1.4 标准中未在其它位置定义应用模式的原因 28 3.2 一种新的PBNAC应用模式 29 3.2.1 在接入层以外实施 PBNAC 的探索 29 3.2.2 PBNAC网桥应用模式 30 3.2.3 PBNAC混合应用模式 31 3.3 小结 31 第四章 大港油田信息网络PBNAC系统总体方案设计 32 4.1 总体方案设计 32 4.1.1 网络概况 32 4.1.2 总体架构设计 33 4.1.3 网桥应用模式设计 35 4.1.4 运维管理设计 36 4.2 系统高可靠性设计 37 4.2.1 系统出现问题可能导致的后果 37 4.2.2 系统安全预防措施 37 4.2.3 故障监测及恢复 39 4.3 小结 42 第五章 系统测试与部署 43 5.1 系统测试 43 5.1.1 客户端代理软件测试 43 5.1.2 策略管理器测试 44 5.1.3 接入层应用模式测试 45 5.1.4 网桥应用模式测试 45 5.2 网桥应用模式新方案 47 5.2.1 新方案设计 47 5.2.2 可行性分析 48 5.3 系统部署与实施效果 50 5.3.1 系统部署原则 50 5.3.2 系统实施效果 50 5.4 小结 51 第六章 结论与展望 52 6.1 结论 52 6.2 展望 52 绪论Port-Based Network Access Control，简称“PBNAC”）技术为基础的各种各样的解决方案。然而，目前还没有哪种方案是十分完美，可以直接适用于任何具体网络的。进行 PBNAC 系统方案设计时，需要结合各种实际情况，确保方案不仅在技术上正确，而且具有可实施性。 研究背景与意义 当前中石油信息网络系统存在的安全问题 中国石油天然气集团公司（以下简称“中石油”）是国家特大型国有企业，近年来信息化水平发展较快。在国务院国有资产监督管理委员会对中央企业2007年度信息化水平评价中，中石油的评价结果是A级[]。也就是说，中石油的信息化水平处于国内先进水平，部分达到或接近世界先进水平。随着越来越多的生产、管理等应用系统开始在油田信息网络上运行，油田员工的日常工作也越来越离不开网络。 然而，近年来油田信息网络上的各种安全事件时有发生，严重影响各项生产经营工作在网络上的正常开展。比如，ARP 欺骗类的网络病毒泛滥已有2年多的时间了，长时间未能得到有效地控制。这种病毒的发作，造成了网络大面积瘫痪，即使安全措施做到位的客户端也不能幸免，遭受攻击导致资料失窃的事件也时有发生，给企业造成的损失越来越大。类似的网络安全事件还有蠕虫、木马、恶意软件等很多种类。 油田信息网络从建网之初，就设计并采取了很多安全防范措施，比如防火墙、入侵检测、入侵防御等。但是，这些技术措施主要以防范来自网络外部的安全威胁为主，而目前遇到的这些网络系统安全问题，大多来源于网络内部。 网络安全事件的源头产生于网络内部的情况越来越多，这也是当前很多信息网络用户所面临的普遍问题。在国家公安部公共信息网络安全监察局2008年10月给出的《2008年全国信息网络安全状况与计算机病毒疫情调查分析报告》中指出：“在2007年5月至2008年5月发生的安全事件中，攻击或传播源涉及内部人员的达到54%，比去年激增了15％” []，如图1-1所示。 图1-1 网络安全事件可能的攻击来源 其实，只要网络上的终端计算机使用者能够做到及