基于网络安全准入对终端设备管控研究.docVIP

基于网络安全准入对终端设备管控研究 　　【摘 要】为了解决网络存在的安全隐患，通过网络安全准入系统的建设，从技术手段对接入的终端设备进行严格的审批、授权，未经审批、授权的终端设备将无法接入到企业的网络中，同时对发现有异常行为的终端设备迅速进行网路隔离，从而可以立即消除网路上的安全隐患，使得电力企业系统整体网络管理水平提升一个台阶。 　　【关键词】网络安全准入 地址资源管控 信息安全 终端设备 　　1 引言 　　随着电力企业信息化建设的高速发展，网络、服务器、终端等设备不断增加，网路接入方式日益复杂，网络安全也成为网络管理工作的重中之重[1-2]，如何消除安全隐患，确保企业网路和信息系统安全稳定运行，是当前电力企业网络管理工作的重点、难点。目前电力企业网路信息安全存在主要问题有： 　　（1）用户终端可以随意地接入企业的网路系统，开展各类业务活动。 　　（2）IP地址用户可以自行分配和修改，不能实现有效的管理。 　　（3）终端用户在接入企业网路时，没有经过权限控制和身份鉴别就可以随意接入，任何终端只要接入到网络中就能够访问业务系统或其他终端。 　　（4）用户权限控制不灵活，只能基于终端的IP地址以及应用系统中的口令来限制，不能根据用户身份信息以及终端安全信息灵活地定义。 　　当前大部分的网络故障均由人为因素造成的，地市公司各办公区域、县公司接入企业网络后形成了局域网。作为整个广域网的一个子网的状态，各局部区域网络的运行稳定状况会直接影响整个电力企业全网的运行，因此急需运用技术手段和管理手段对接入设备的入网采取一定的安全检测以及推行入网准许制度，实现信息网入网和运行的可控性，提高信息网络的安全性。为此，本文接下来将研究如何根据供电企业特点，实施符合供电企业的网络地址资源管控系统建设[3]。 　　2 网络安全准入的系统架构 　　2.1 系统总体框架 　　目前，常见的网络准入技术方案主要有基于IP-MAC绑定的网络准入技术和EAD端点准入防御系统。本系统的总体架构包括网络接入分级控制、终端安全评价平台及网络要素资源库三大部分[4]，核心建设范围如图1所示： 　　其中网络要素资源库包括IP地址规划、VLAN管理、终端管理、IP地址分配、VRV设备台账对标。终端安全评价平台包括安全评估策略、VRV数据监测数据接入、防病毒系统数据接入[5]。网络接入分级控制包括交换机信息管理、交换机端口信息采集、未知设备接入控制、异常终端安全修复区控制、异常终端网路隔离区控制、联动控制策略[6]。 　　同时系统在网络要素资源库及网络分级接入控制数据的基础上建设网络资源全景化展示，提升网络运维的工作效率，该部分及必要的系统管理模块建设范围如图2所示： 　　网络全景化信息展示模块从设备、IP资源、VLAN资源、IP使用情况、信息点接入情况、告警等多个维度描述当前网络的参与对象台账及其之间的对应关系，方便运维人员全面展望网络现状、排查网路故障。 　　系统管理模块提供必要的组织机构维护、人员权限维护功能。同时由于市县公司垂直化管理工作的推进，系统需要支持市县公司的分布式部署。此外系统拟建立一套深化应用指标（包括网络接入要素数据库数据完整性指标、网络未知接入处理情况、分级控制故障率等）来促进系统的深化应用。 　　2.2 系统物理架构 　　当终端用户接入到网络中时，终端安全风险评平台会从防病毒系统及VRV管控系统中获取接入终端的安全数据，并根据采集的终端数据与网络接入要素数据库进行终端安全评价分析，如果其设备被批准接入，则直接分配网络VLAN，如果其设备未被批准接入，则直接阻止该设备访问网络。系统准入的原理如图3所示。 　　网络准入管控设备使用VMPS技术协同现有VLAN管理方式完成VLAN的管理[7]。系统网络接入要素数据库中维护的终端设备，系统会定期将终端IP-MAC信息写入交换机，杜绝IP盗用和更改MAC地址的问题。系统物理部署结构如图4所示： 　　系统可直接在企业内部局域网部署，直接使用旁路接入的方式布设在局域网中，并打通与交换机、VRV系统、防病毒系统及第三方审计系统之间数据交互的网络通道。 　　针对市县公司垂直一体化管理的方式，在局域网中，网络准入管控设备可能根据实际网段数目实现分级控制以实现更好的效果，如图5所示。 　　2.3 系统逻辑架构 　　网络准入管控系统是基于B/S多层体系架构和.NET平台生成SOA逻辑架构，分为平台层、应用层、数据层、数据接口层和展示层[8]。各层之间通过组件间的服务承载关系实现外部数据与系统功能的接口交互。系统的逻辑架构如图6所示： 　　3 网络安全准入系统的关键技术 　　3.1 网络接入要素模型 　　网络接入要素包括网络中所有接入的终端设备、服务器、网络设备等所有网络接入