電力系統外網一種控制個人移動設備的網絡準入實現

母繼元

(廣元電業局，四川 廣元 628000)

隨著電力系統信息化建設的不斷發展，其網絡規模也在不斷擴大，隨之而來的各種安全問題也日漸突出，尤其是網絡內部的接入計算機或接入設備往往成為威脅的源頭。目前電力系統外網管理中較為普遍的安全問題包括:①無法發現是否有非法用戶進入外網占用網絡資源;②無法對入網人員進行身份驗證，進而無法統計入網的員工數量和每日的來賓數量;③無法控制來賓用戶的訪問權限;④無法要求所有終端遵守電力系統外網管理的基本安全規范，如安裝殺毒軟件、必須運行某些程序，必須更新windows操作系統補丁等。

為了解決上述問題，在部分電力系統中目前采用了較為流行的網絡準入控制(network access control，NAC)來防止非法用戶入網。網絡準入控制方案可以只允許合法的、值得信任的端點設備(例如PC、筆記本)接入網絡，而不允許其它不符合要求(未通過認證、安全性不符合要求等)的設備接入。但隨著消費化電子浪潮的影響，在電力系統內購買和擁有最新型的個人移動設備的趨勢(bring your own device，BYOD)日益增長，包括 iphone、ipad、android等各種系統都已經頻繁出現在電力系統外網的日常接入中，在這樣的新形勢下，傳統的網絡準入技術由于響應速度慢或者需要安裝客戶端等問題已經無法滿足日益發展的安全需要。通過傳統準入方式與四川廣元電力所采用的一種新型準入平臺的比較，希望能夠為電力系統外網個人移動設備的管理提供一種更具通用性、更有效的網絡準入實現方法。

1 電力系統外網傳統準入控制方式的弊端

目前電力系統外網中比較常見的防止非法接入的網絡準入方式有如下兩種。

傳統技術1:DHCP結合IP－mac綁定的控制方案

由于在電力系統外網中大量采用了DHCP的IP地址分配方式，因此較多單位在初期考慮實現準入控制的時候也是以DHCP為出發點的。當網絡中假設好了DHCP服務器后，可以依據入網的mac地址來自動分配IP，而為了防止私自更改IP及網絡中出現非法的mac地址接入，則需要借助交換設備已有的一些安全屬性如DHCP snooping和DAI(dynamic arp inspection)來實現IP－mac綁定。而采用DHCP結合IP－mac綁定的控制方式，其本質是基于mac地址也即是設備硬件地址的，對于目前電力系統外網的安全接入規范要求以及個人移動設備接入的管理而言，具有較多的安全管理弊端。

1)沒有對使用設備的人員進行身份認證的步驟;

2)命令配置量過多，對技術運行維護人員的要求較高，網絡中很多早期的交換設備并不支持DAI技術，在實際使用中的適應性和可推廣性較差;

3)對于外來需要入網的移動設備，比如來賓設備或員工自帶的移動設備(BYOD)，無法預先做到mac綁定，因此很難快速響應入網請求，這就極大地影響了工作業務的開展，很多電力單位因為這個原因停用了DHCP結合IP－mac綁定的準入;

4)由于全部管理都是采用交換機靜態命令行的方式進行配置的，在大量個人設備經常性移動辦公或入網的情況下，無法預先靈活地設置例外設備，或依據權限或用戶的變化自動調整安全策略，telnet到交換設備進行變更時響應的效率非常低。

5)整個技術本身并沒有提供進行設備安全性檢查的實現方法，這一點就容易導致很嚴重的潛在安全漏洞，對于電力系統外網用戶而言，由于大部分的設備都是與公網直接相聯的，尤其是在大量個人移動設備入網的情況下，安全性一旦無法得到有效評估，對于整個系統的安全管理將可能產生嚴重的后果。

傳統技術2:標準IEEE 802.1x方案

802.1x稱為基于端口的訪問控制協議(portbased network access control protocol)，IEEE 802.1x技術由于是國際標準協議，因此大部分的主流廠商接入層交換機都能夠予以支持，并且在目前的電力系統外網中也得到了部分應用，但隨著安全趨勢的不斷發展，802.1x體系也逐漸顯示出了無法滿足個人移動設備逐漸增多的安全管理問題。

1)安裝客戶端軟件來實現準入控制的方式在應對個人移動設備接入時可用性差，基本上沒有可操作性;

2)電力系統外網在很多單位都存在hub接入的問題，但是由于交換機設備對802.1x支持的固有特性，大部分單位無法做到802.1x與hub接入共存;

3)命令配置量過多，每臺交換機上的配置量比前一種傳統準入技術還要多，對技術運行維護人員的要求較高;

4)無法預先靈活地設置例外設備，或臨時調整安全策略。在個人移動設備經常性移動辦公或入網的情況下，無法依據需要對特殊設備臨時放開802.1x端口，任何人、任何設備都必須安裝客戶端、必須認證的管理策略在眾多個人移動設備入網的環境下很難真正應用起來。

5)與第一種傳統準入技術相似的是，整個802.1x技術本身并沒有提供具體的進行設備安全性檢查的實現方法，同樣容易導致很嚴重的潛在安全漏洞。

綜上所述，在當前多樣復雜的電力系統外網接入環境中，有必要采用更新型的網絡準入實現來解決大量個人移動設備接入的問題。

2 一種新型準入控制方式在電力系統外網的應用

依據目前在四川廣元電力公司外網中采用的部署實例(如圖1所示)，可以提供一種更有效的新型準入控制實現，并更好地滿足當下電力系統外網接入的特點。

圖1 四川廣元電力外網準入部署示意圖

在該準入部署方式中，采用了杭州盈高科技有限公司的準入平臺ASM(入網規范管理系統)，準入設備ASM采用旁路方式接入到電力外網核心交換機上，并且在核心交換機上利用通用的策略路由(PBR)來實現3層引流。

(1)廣元電力外網準入方案的實現方法

策略路由PBR由于位于IP層，在做IP轉發前，如果報文命中某個策略路由對應的規則，則要進行相應的策略路由的動作。在廣元電力中采用的基于策略路由PBR的準入方案是在核心交換機上利用ACL捕獲所有訪問核心業務服務器以及外網的無差別數據流量，并通過已經配置好的route－map將捕獲的流量引入網絡中的ASM準入設備，最終由ASM準入設備來控制所有需要訪問核心交換機后資源的數據流量，采用web重定向的方式推送認證和安全檢查頁面到用戶的接入設備上。這種對于無差別流量的控制，其設計思路就在于各種個人移動設備，不管是iphone、ipad還是android等非windows系統都自帶了web瀏覽器，能夠支持http協議，因此實現了既不需要安裝客戶端，又能夠保證身份認證和安全檢查的雙重保護目的。

(2)廣元電力外網準入方案的管理流程

①各種個人移動設備及內部臺式機在接入外網時，自動在web頁面上獲得入網的提示，并且必須通過管理員的審核;

②各種個人移動設備及內部臺式機在web頁面上進行身份認證，可以設置來賓設備或特殊設備不需要進行身份認證，但只授予有限訪問區;

③可以在接入設備入網前檢查其是否安裝殺毒軟件、是否運行了必須的程序，以及是否更新了系統補丁(windows設備);

④入網后能夠依據用戶的認證角色派發其訪問權限，例如只能訪問特定服務器，非管理員允許不能訪問其他網絡資源。

(3)廣元電力外網準入方案的應用效果

廣元電力中利用ASM平臺實現的準入控制方案，能夠很好地區分外網中來自不同部門的終端設備及來賓設備，并能夠針對iphone、ipad、android等非windows系統實現全面的身份認證和訪問權限控制，禁止所有非法外來設備接入內部網絡，使電力系統外網的安全管理制度得到了有效落實。同時，外網的管理員能夠及時了解新設備的入網情況，并控制各個部門以及來賓用戶的訪問權限，有效落實了電力系統外網的安全管理規范，對網絡中的許多安全風險都進行了預防和告警，對網絡的正常運行提供了十分有效的安全支撐。

(4)新技術在電力系統外網接入中的應用優勢

依據對廣元電力外網準入方案的分析，可以看到該新型準入控制方案對其他電力系統外網移動設備接入管理的建設具有很高的參考價值，有如下優勢。

①完全不需要安裝客戶端軟件。由于該方案中的認證是通過web重定向實現的，因此全部的認證過程都只需要接入設備有支持http協議的瀏覽器即可，在這種情況下，目前電力系統外網中接入的iphone、ipad、android等非 windows系統都可以有效地利用自帶的各種瀏覽器來自動實現認證，入網快速，完全不需要管理員額外的干預，能夠節約外網管理員的大量時間和人力成本，更符合新形勢下電力系統外網個人移動設備接入管理的需要;

②由于策略路由技術是基于三層交換的，因此不會與接入層的hub連接產生沖突，電力系統外網中已有的hub設備可以與準入平臺共存，更有利于準入管理的推廣，整個技術實現也更貼近實際情況，在目前的網絡環境下更為實用;

③命令配置量極少，只需要在核心交換機上配置策略路由即可。對于目前電力系統分布較為廣泛的外部網絡而言，可以節省大量的配置和實施工作量。

④在該方案中，可以非常靈活的通過ACL來控制哪些終端需要受管理，哪些終端是可以例外的，外網管理員可以實現非常靈活的管理效果，比如對內部員工機器進行較為嚴格的限制，而對部分特殊機器放開網絡;

⑤可以靈活地在web頁面就實現對設備的安全狀況檢查，這一點完全彌補了電力系統中已有的傳統準入技術重認證輕安檢的缺陷，能夠迅速收集外網中全部個人移動設備的安全信息，并依據管理員預先制定的安全策略自動下發到個人移動設備上，實現權限的有效分配，并自動將高危設備置于外網預先設定的有限訪問區內，從而實現了入網安全和主動防御的措施。

3 總結

總體來看，目前電力系統外網新形勢下個人移動設備接入管理的需要決定了必須改變傳統思路，采用更新型更有效的準入管理方式，針對個人移動設備輕便、靈活、快速的特點提供響應速度更快、策略更靈活和更高效的準入控制功能，這樣才能夠為電力系統的信息安全管理提供更具可操作性的解決方案。

［1］Tanenbaum A.S.計算機網絡［M］.北京:機械工業出版社，2011.

［2］Yusuf Bhaiji.網絡安全技術與解決方案(修訂版)［J］.北京:人民郵電出版社，2010.

［3］何俊.NAC準入控制指南［R］.盈高科技，2012.