制度,实现信息网入网和运行的可控性,提高信息网络的安全性。为此,本文接下来将研究如何根据供电企业特点,实施符合供电企业的网络地址资源管控系统建设[3]。
2 网络安全准入的系统架构
2.1 系统总体框架
目前,常见的网络准入技术方案主要有基于IP-MAC绑定的网络准入技术和EAD端点准入防御系统。本系统的总体架构包括网络接入分级控制、终端安全评价平台及网络要素资源库三大部分[4],核心建设范围如图1所示:
其中网络要素资源库包括IP地址规划、VLAN管理、终端管理、IP地址分配、VRV设备台账对标。终端安全评价平台包括安全评估策略、VRV数据监测数据接入、防病毒系统数据接入[5]。网络接入分级控制包括交换机信息管理、交换机端口信息采集、未知设备接入控制、异常终端安全修复区控制、异常终端网路隔离区控制、联动控制策略[6]。
同时系统在网络要素资源库及网络分级接入控制数据的基础上建设网络资源全景化展示,提升网络运维的工作效率,该部分及必要的系统管理模块建设范围如图2所示:
网络全景化信息展示模块从设备、IP资源、VLAN资源、IP使用情况、信息点接入情况、告警等多个维度描述当前网络的参与对象台账及其之间的对应关系,方便运维人员全面展望网络现状、排查网路故障。
系统管理模块提供必要的组织机构维护、人员权限维护功能。同时由于市县公司垂直化管理工作的推进,系统需要支持市县公司的分布式部署。此外系统拟建立一套深化应用指标(包括网络接入要素数据库数据完整性指标、网络未知接入处理情况、分级控制故障率等)来促进系统的深化应用。
2.2 系统物理架构
当终端用户接入到网络中时,终端安全风险评平台会从防病毒系统及VRV管控系统中获取接入终端的安全数据,并根据采集的终端数据与网络接入要素数据库进行终端安全评价分析,如果其设备被批准接入,则直接分配网络VLAN,如果其设备未被批准接入,则直接阻止该设备访问网络。系统准入的原理如图3所示。
网络准入管控设备使用VMPS技术协同现有VLAN管理方式完成VLAN的管理[7]。系统网络接入要素数据库中维护的终端设备,系统会定期将终端IP-MAC信息写入交换机,杜绝IP盗用和更改MAC地址的问题。系统物理部署结构如图4所示:
系统可直接在企业内部局域网部署,直接使用旁路接入的方式布设在局域网中,并打通与交换机、VRV系统、防病毒系统及第三方审计系统之间数据交互的网络通道。
针对市县公司垂直一体化管理的方式,在局域网中,网络准入管控设备可能根据实际网段数目实现分级控制以实现更好的效果,如图5所示。
2.3 系统逻辑架构
网络准入管控系统是基于B/S多层体系架构和.NET平台生成SOA逻辑架构,分为平台层、应用层、数据层、数据接口层和展示层[8]。各层之间通过组件间的服务承载关系实现外部数据与系统功能的接口交互。系统的逻辑架构如图6所示:
3 网络安全准入系统的关键技术
3.1 网络接入要素模型
网络接入要素包括网络中所有接入的终端设备、服务器、网络设备等所有网络接入对象,例如服务器、台式机、自助终端、TTU、打印机、交换机等。网络接入对象存在各个范畴的属性,本系统关注于网络接入控制,因此需要抽象出各类接入对象与网络接入相关的对象属性并建模,进而形成所有对象台账维护的元数据。
系统通过搜集目前所有接入网络的设备类型,并选取设备类型与网络安全及网络拓扑分析的相关的属性参数,形成該设备类型的接入要素模型,同时对于网络设备,通过建立端口子模型以支撑整个网络拓扑数据的构建[9]。
3.2 分级策略和终端安全评价模型
系统通过一组审计指标来构建安全评价模型,表达终端的安全风险,审计指标与目前企业的网络安全管理目标挂钩,包括终端的内外网隔离、弱口令情况、病毒感染情况、保密终端安装情况、违规外设使用情况等。安全审计结果根据审计指标综合评估得到,分为可信终端、待修复终端、危险终端三类[10]。
3.3 交换机分级控制
交换机分级控制是实现终端分级安全接入的关键手段,针对终端安全评价平台的三类评估结果,系统利用VMPS服务器动态调整交换机端口所属VLAN,实现三类终端的访问权限控制。系统通过创建一个Guest VLAN建立待修复区域,所有安全状态评估为待修复的终端均自动划分到Guest VLAN。
3.4 第三方安全审计接入
终端安全涉及多个方面,除去VRV系统和趋势防病毒系统,还需要预留以后与其它第三方审计应用的数据交互,以实现终端安全评价基础数据的全方位接入[11]。
在系统实现时,首先建立较为完备的终端安全评价模型,对于模型中需要的数据,当前审计软件能提供的在当前版本中实现数据接入,对于当前审计软件不能提供的,预留数据接入接口,以备日后扩展。
3.5 深化应用指标体系设计
电力企业网络规模随着电网规模的发展不断扩大,系统内网络要素需及时维护,否则当系统基础数据与真实网络要素数据差异很大时,系统不能正确控制网络接入行为,而且还会由于错误的控制行为造成网络故障,为此系统设计了一套应用指标体系,包括全网设备绑定率、VRV与系统间对标统计、系统VLAN维护率等,通过对指标进行考核以促进系统的深化应用[12]。
4 网络安全准入系统的应用成效
4.1 运维人员可以对数量众多的终端实现安全、
有效的准入控制
系统对接入的终端用户进行IP地址、MAC地址及交换机端口三项结合绑定,从技术手段对接入的终端设备进行严格的审批、授权,未经审批、授权的终端设备将无法接入到企业的网络中,运维人员可以对数量众多的终端实现安全、有效的准入控制,从而确保电力企业系统的网络安全。
4.2 提高终端异常行为的处理能力
对于发生违规外联、弱口令、病毒攻击的异常终端,网络安全准入管控系统结合VRV桌面管控系统,可以及时将其从网络中进行有效隔离,避免了传统的手动登录交换机操作的复杂性,大幅提高了终端异常行为处理的时效性,降低了终端异常行为在整个网络中扩散的风险,提升了网络安全。同时利用系统提供的网络隔离功能,可有效督促用户进行整改。
4.3 对IP地址资源实现高效管控
系统对接入的终端用户进行IP地址、MAC地址及交换机端口三项结合绑定,确保终端用户与IP地址、网络接入交换机端口的唯一性,从而使IP地址资源的分配摆脱原来的手工管理方式,使得整个电力企业整体IP地址管理水平提升一个台阶,可以对IP地址资源进行更合理分配和使用。
4.4 信息网络的管理成本可以大幅度降低
网络管理人员可以更有效、更直接地制定各项网络管理策略,部署在系统中,在分析、查找信息网络故障时,网络管理人员可以通过制定的各项策略对危险点进行快速查找和定位,直接追踪到终端用户,从而大大缩短消除安全隐患时间。同时还可以大幅提高IP地址的分配效率,从而进一部降低信息网络的管理成本。
4.5 产生的网络安全事件可以责任到人
网络安全准入管控系统从技术手段对接入的终端设备进行严格的审批、授权,未经审批、授权的终端设备将无法接入到企业的网络中,这样就可以确保接入网路的终端用户和IP地址是一一对应。企业通过部署防火墙、IDS等网络安全设备,可以记录下所有终端用户访问日志中的IP地址信息,这样当发生安全事件时可以定位到具体的责任人,从而可以进一步避免信息安全事件的发生。
4.6 实现设备台账和网络地址之间的统一管理,
确保企业的考核指标
网络安全准入管控系统对接入的终端用户进行IP地址、MAC地址及交换机端口三项结合绑定,确保了设备和网络地址之间的一致性,同时通过实时切断告警的终端设备,实现了网络管理从异常发现、告警、处理及反馈的闭环处理。另外由于系统存在严格的考核指标体系,管理人员可清晰地掌握系统的应用状况,大大促进了数据维护效率,提升了系统的数据质量。
5 结束语
针对网络存在的安全隐患,本文提出了一种网络安全准入系统架构,并对其系统架构和关键技术进行分析,通过具体的应用表明,该系统能消除网路上的安全隐患,确保电力企业网路与各应用系统可以安全稳定运行,最终使整个电力企业整体网络管理水平提升一个台阶。
参考文献:
[1] 司徒健辉. 企业网络安全准入控制技术设计与应用[J]. 大科技: 科技天地, 2010(7): 206-209.
[2] 钱杨. 企业网网络准入控制及终端安全防护研究[D]. 上海: 华东理工大学, 2012.
[3] 张涛. 企业内网准入控制技术研究[J]. 中国信息化, 2013(1): 52-53.
[4] 吕维新. 网络准入系统在供电局终端安全管理中的应用[J]. 电力信息化, 2011(6): 94-97.
[5] 于微伟,卢泽新,康东明,等. 关于网络准入控制系统的分析与优化[J]. 计算机工程与科学, 2011,33(8): 39-44.
[6] 叶竞,叶水勇,陈清萍,等. 云终端技术研究与系统建设[J]. 电力信息与通信技术, 2015,13(5): 77-82.
[7] 徐沛沛. 桌面终端远程运维管理系统研究与设计[J]. 电力信息化, 2012,10(6): 16-20.
[8] 张科,董亮,邹澄澄. 利用云计算技术建立电力信息系统硬件资源池[J]. 湖北电力, 2014,38(6): 1-3.
[9] 楊佩璐,白皓. 网络信息安全与防护[M]. 1版. 北京: 北京航空航天大学出版社, 2009: 3.
[10] 骆耀祖. 网络安全技术[M]. 1版. 北京: 北京大学出版社, 2009: 4.
[11] 龚俭,吴桦. 计算机网络安全导论[M]. 1版. 南京: 东南大学出版社, 2007: 5.
[12] 张鑫,陈雪华,刘新. 电力系统信息安全基线标准体系的构建[J]. 电力信息与通信技术, 2013,11(11): 110-114. ★
