基于網絡準入控制的調度專網流程化管理與實現

馬 淑 清

(內蒙古大學交通學院，內蒙古 呼和浩特 010020)

·計算機技術及應用·

基于網絡準入控制的調度專網流程化管理與實現

馬 淑 清

(內蒙古大學交通學院，內蒙古 呼和浩特 010020)

通過對調度專網的安全現狀進行分析，以當前主要的安全風險為對象，設計了一套基于網絡接入控制的入網流程管理安全技術體系，可作為調度專網信息安全建設與管理的參考和有效借鑒。

調度數據網，NACS，非法外聯，安全基線，VLAN隔離

0 引言

為保障電力調度數據網的安全、規避風險、強化網絡與信息安全管理，通過開展網絡準入控制、終端安全基線配置與加固、信息安全防護等多方面的建設研究，以當前主要的安全風險為對象設計了一套基于網絡準入控制(NACS)的內網流程化管理的安全規范管理技術體系。

通過網絡準入控制的全面部署，有效的杜絕了非法人員與終端的隨意接入，從網絡入口處把握住了“網絡安全關”；通過的入網終端的實名認證與安全檢查，做得到“違規不入網，入網必合規”，把握住了“終端安全規范關”；通過對內網終端的非法外聯行為和移動存儲介質的隨意使用、終端賬戶弱口令等行為進行實時監測與處理，把握住了“信息數據安全關”。

1 安全需求分析及研究背景

電力行業依據二次安防相關標準，在網絡、主機、應用、數據安全多個領域采取了安全防護措施，基本杜絕了來自外部攻擊的可能。但隨著內部網絡及各個系統建設的進一步深入，對于內部安全管理的壓力也逐步增加。

電力系統各級調度中心，擁有大量的業務系統及網絡設備。由于系統龐大，專業網絡、系統運維使用人員比較有限，絕大部分業務系統會委托第三方人員負責運維工作。這樣就造成極大的內部網絡安全風險。主要包括四個方面，終端設備不明、人員身份不明、終端安全不明、用戶操作不明。

由于網絡技術的發展以及以往安全產品自身的局限性，和各安全管理系統之間沒有統一的聯動管理響應機制，最終直接導致安全管理上的短板，而相應的信息安全管理規范由于沒有技術上的保障往往無法真正落到實處，內網的安全威脅仍然未做到真正意義上的解決，分析其主要原因有以下幾個方面：

1)非法接入問題：終端入網未進行實名登記與審批，存在非法終端隨意接入的安全風險與漏洞；

2)終端防御能力低下：終端安全基線配置并未按照統一要求進行完善，殺毒軟件、系統補丁等防護能力不足；

3)存在數據泄露的風險：使用人員安全意識不足、缺乏高效的非法外聯防護、移動存儲介質管理的機制，存在部分人員使用內網終端私自連接互聯網、使用移動存儲介質拷貝傳輸文件的違規行為。

2 研究目標

2.1 網絡準入控制流程化管理項目建設目標

為建立起一套有效的安全保障系統，對終端使用人、終端環境有一個全面、準確的把握，實現對調度專網終端的實名準入管理、促進入網終端安全基線的完善，杜絕弱口令、非法外聯、確保新部署的殺毒軟件的100%部署安裝、規范移動存儲介質使用、加強資產管理等，進行專項研究，最終制訂了最適合調度專網網絡準入控制的整體解決方案，加強了調度專網的安全防護措施，規范終端應用環境與使用行為。

2.2 網絡準入控制流程化管理的理念和策略

網絡準入控制流程化管理項目的建設，借助系統“入網設備識別—用戶身份認證—終端系統安全檢查—用戶網絡權限控制”等流程化企業內網終端安全管理模式，并結合網內已有的安全系統，相互配合、聯動形成統一的終端準入流程化管理系統方案。為解決內網非法網絡準入、防病毒軟件、終端漏洞修復、終端弱口令檢查等安全基線配置、內網終端非法外聯防護、移動存儲介質管理、細粒度用戶網絡權限控制等問題。

3 研究技術體系

3.1 網絡準入控制系統

調度專網的接入控制系統的實現，在核心交換機上旁路部署準入控制系統，實現強制準入控制，以“身份認證—終端注冊—管理員審核—終端安全檢查—網絡訪問權限控制—終端行為監測”的流程化部署，實現全網的網絡準入控制，規范入網使用、完善終端安全、提升整體的信息安全防御能力，結合調度專網的網絡結構，部署一臺NACS控制器(擴展網絡控制設備)，部署示意圖如圖1所示。

3.2 網絡準入控制流程化入網安全策略

根據內網信息安全建設需求和安全規范要求，在網絡準入控制系統NACS上統一配置安全策略，終端入網時，需要滿足以下要求，才能正常訪問網絡，否則網絡將會被及時阻斷，并上報管理員。

在終端第一次接入網絡時需要進行注冊登記并由管理員審核才能入網，杜絕非法接入。同時，要求入網終端必須符合安全規范要求。

3.3 基于網絡準入控制流程化管理實現的技術關鍵點

3.3.1 強制準入控制技術

1)VLAN隔離技術原理。

VLAN隔離技術的關鍵是VLAN切換，通過與接入交換機進行協議聯動，將未通過認證的終端設備的接入端口切換到隔離VLAN，認證通過的設備進入正常通信VLAN；在正常VLAN中數據流不經過準入設備。由接入準入控制系統維護正常VLAN與隔離VLAN的一對一的映射關系，如圖2所示。

2)跨越廣域網環境的準入控制實現——NACS。

獨立的網絡可擴展設備ASC控制器，對由3層網絡環境接入的各下屬分局的終端進行準入控制。NACS能夠通過與下級的交換機進行聯動，實現端口VLAN的切換，但各項安全規范策略均由部署在NACS系統進行統一管理。

3.3.2 流程化管理設計

通過網絡準入控制強制阻斷網絡后的WEB重定向，對入網終端通過WEB引導，安裝準入客戶端程序，進行終端注冊登記并等待管理員授權審批，最終根據事先配置的入網終端安全檢查規范，對終端的安全狀態進行檢查(防病毒、系統漏洞、弱口令等)，一旦發現安全檢查不合格，則阻斷網絡，并引導進行修復，直至安全檢查合規后，才能放開其網絡訪問權限。在強制控制基礎上來實現終端流程化管理。

3.3.3 內網終端非法外聯防護設計

違規外聯的檢測在宿主主機層面將主要通過設定內網安全域，采用基于驅動層的流量觸發機制進行監聽，一旦有訪問非內網的行為發生，則判定違規外聯發生，同時將違規外聯流量直接阻斷在硬件層，由于硬件層有統一接口和各網卡相連，因此無論是3G網卡、USB網卡、有線網卡、無線網卡，都能夠正確及時的阻斷,如圖3，圖4所示。

3.3.4 弱口令防護體系設計

NACS網絡準入控制系統的弱口令防護設計是通過字典庫識別的方式，設定好終端通過函HttpDownload從服務器下載該字典文件，然后通過API函數NetUserEnum枚舉當前所有的用戶，之后再通過API函數LogonUserA檢查，根據下載的字典文件遍歷非禁用賬戶的口令，禁用賬戶的口令則通過API函數NetUserChangePassword進行檢測。如果在遍歷過程中發現了匹配黑名單庫特征的弱口令，則強制終端修改后入網。

3.3.5 軟件安裝檢測設計

網絡準入控制系統通過終端安全檢查，能夠對終端是否安裝指定的殺毒軟件進行檢測。網絡準入控制系統NACS內置一個豐富的殺毒軟件特征庫，能夠識別出市面上主流的殺毒軟件及版本；同時，經過研究發現，所有的防病毒軟件在終端操作系統中均會調用同一個API接口，因此，利用這一技術攻關NACS系統能夠支持通用殺毒軟件檢測。同時支持終端軟件安裝的黑/白名單檢查，確保終端環境的安全、可控。

3.3.6 強大的網絡透視化功能

通過網絡準入控制系統的強大網絡透視功能，自動掃描、發現網絡設備，生成網絡拓撲，通過SNMP/TELNET/SSH方式與交換機進行聯動，呈現出交換機圖形化實時面板，面板圖形化展現各接口狀態(up，down，trunk等)以及各接口下聯的終端詳細信息(IP、地址、MAC地址等)，支持自上而下逐級查找終端的具體位置、安全狀態、認證用戶、上下線時間等信息。

4 調度專網安全框架總結

網絡準入技術能夠確保調度專網終端在入網時首先要進行終端實名，未實名的被禁止入網；在確認使用者身份后，通過對終端合規性(各種防病毒軟件、違規外聯、弱口令等)進行一系列的安全檢查，符合安全策略的終端方可入網，反之將其隔離進行修復。

通過準入系統的功能實現，使客戶端和外設管理得到加強，同時配合VLAN隔離技術，將不符合安全策略的客戶端拒之門外，提高了整個內網的安全水平，填補了客戶端和外設管理上存在的漏洞，進一步促進了電力終端管理的完善，實現了客戶端和外設準入的自動化管理，很好地保障了電力調度專網的安全。

[1] 聶元銘,董建鋒,周小平.網絡準入控制概論[M].北京：科學出版社,2012.

[2] Stuart McClure,Joel Scambray.黑客大曝光:網絡安全機密與解決方案[M].第7版.北京：清華大學出版社，2013.

[3] Gartner.Magic Quadrant for Network Access Control 2013[Z].2013.

The process management and realization of dispatching special net based on network admission control

Ma Shuqing

(TransportationSchool,InnerMongoliaUniversity,Hohhot010020,China)

Through the analysis on the safety status of dispatching special net, taking the present main security risk as the object, this paper designed a set of network process management security technology system based on network admission control, could be used as the reference and effectively reference for dispatching special net information security construction and management.

dispatching data network, NACS, illegal outreach, security baseline, VLAN isolation

1009-6825(2017)21-0253-02

2017-05-18

馬淑清(1965- )，女，副教授

TP319

A