企业网络安全准入控制技术设计和应用.docVIP

企业网络安全准入控制技术设计和应用 　　摘 要:随着信息技术的快速发展,信息网络局域网接入安全问题越来越突出,尤其网络内部不安全因素对信息安全的危害更大。本文结合电力企业进行的电力信息网络用户准入及实时控制系统的研究与实践,阐述了从信息网络安全防范的源头入手,解决电力企业信息网络用户接入和网络用户安全行为管理控制问题。 　　关键词:网络安全 信息安全 用户准入 实时控制 　　 　　在信息网络应用技术快速发展的今天,网络安全问题显得越来越突出。据权威统计显示,83%的信息安全事故是由内部人员和内外勾结所为,80% 以上的企事业单位内部网络曾遭受过病毒的肆虐,60%以上的企事业网站受过黑客的攻击,从这一些数字足见内部网络安全管理问题的重要性。电力企业是信息技术应用比较普及的单位,内部网络具有网络覆盖面广、应用复杂、微机数量众多等特点。如何阻止非法用户接入网络、限制企业用户的安全行为、加强内部用户的网络接入控制已成为电力信息网络安全防御体系必须重点考虑的问题。 　　1 网络访问系统的访问权限控制[1] 　　企业在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问,访问控制的目的是为了保护企业在信息系统中存储和处理信息的安全,它是计算机网络信息安全最重要的核心策略之一,是通过某种途径显式地准许或限制用户、组、角色对信息资源的访问能力和范围的一种方法。由于网络传输的需要,访问控制的研究发展很快,有许多访问控制模型被提出来。建立规范的访问控制模型,是实现严格访问控制策略所必须的。访问控制技术有多种,如基于策略的访问控制、基于角色的访问控制和基于任务的访问控制等。 　　1.1 基于角色的访问控制模型 　　Ferraiolo和Kuhn在1992年提出了如图1所示的基于角色的权限控制模型(Role-Based Access Control,RBAC),随后得到了广泛的认可和应用。RBAC的基本思想是根据组织视图中不同的职能岗位划分角色,资源访问权限被封装在角色中,用户通过赋予的角色间接地获得访问系统资源和对系统资源进行操作的许可。 　　图1 RBAC模型结构 　　RBAC模型包含三个实体:用户(User)、角色(Role)和权限(Privilege)。 　　?用户是对数据对象进行操作的主体。 　　?权限是对某一数据对象可操作的权利。 　　?角色的概念源于实际工作中的职务,一个职务就代表了在工作中处理某些事务的权利。 　　在权限管理中,角色被作为中间桥梁将用户和权限联系起来。一个角色可以看成是一组权限的集合。在RBAC模型中,一个用户可以被赋予多个角色,一个角色也可以被赋予多个用户;同样,一个角色可以拥有多项权限,一个权限也可以分配给多个角色。系统可以通过用户具有的角色的权限来判断他可以访问的系统资源和对该资源可进行的操作,这就是RBAC最基本的工作原理。 　　1.2准入控制技术分为两大类 　　(1)基于网络的准入控制。基于网络的准入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术、网络Plug-in技术。 　　(2)基于主机的准入控制。基于主机的准入控制主要有系统及应用准入、客户端准入。该技术在终端接入网络后,能继续管理终端的进程级别网络访问,对已知或未知的蠕虫木马的防治能起到很好的作用。 　　1.3各种技术特点 　　(1)EAPOL技术 　　EAP是Extensible Authentication Protocol的缩写,EAP最初是用作为PPP的扩展认证协议,使PPP的认证更具安全性。最初的局域网的接入并没有提供安全认证,无线局域网的兴起对接入终端的身份认证提出了新的需求。在基于无线局域网接入领域引入了EAP认证的同时设计了专门封装和传送EAP认证数据的IEEE 802.1x协议格式。 　　(2)EAPOU 技术及工作原理 　　网络准入的概念是由Cisco普及的,Cisco的NAC除了包含EAPOL,还有EAPOU(EAP Over UDP)。与EAPOL是国际标准的协议不同,EAPOU基本上是Cisco的专有协议或独家技术。EAPOL是在网络的接入层进行准入控制,而EAPOU是在网络的汇聚层或核心层进行准入控制。 　　其原理是当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时,汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内,在EAP认证的内容中,身份认证其实并不重要,重要的是安全状态认证。如果安全状态不符合企业策略,汇聚层EAPOU设备将从策略服务器上下载ACL,限制不安全的客