邓成飞+史玉锋

摘 要

随着智能电网的发展，供电公司对信息网络的依赖程度越来越高，各种不安全因素严重影响着公司的信息安全，本文结合网络准入控制系统在供电公司的部署情况，介绍网络准入控制的应用情况。

【关键词】网络准入控制 802.1X

1 引言

当前，随着智能电网技术的迅猛发展，供电公司的信息化程度越来越高，供电公司通常都部署安装了北信源的桌面终端管理系统、防火墙、IPS和防病毒系统，但网络中仍存在如下威胁，比如各种网络设备如监控、远抄、缴费终端、考勤机、电能表周转柜等需接入公司网络来访问内网资源，客户到营业厅缴费、业务咨询及厂家技术人员到现场提供服务等等，以上各种情况不可避免地存在外来非授权终端、移动存储介质随意接入公司网络以及公司内网用户私自接入外部网络等行为。这些行为将有可能导致公司机密信息泄露、病毒感染、违规外联、黑客入侵，给公司网络带来极大的安全隐患和损失。

2 当前供电企业网络管理现状

随着公司国际业务、电商业务发展，大云物移的技术广泛应用，分布式电源、电动汽车等新型电力设施的接入，网络与信息安全防控难度陡增。现阶段仅靠网络边缘的外围安全配置已不能完全满足我们对网络安全的要求，病毒、木马、后门、DDOS攻击和其他流氓软件通过各类办公终端及移动终端渗入公司网络系统内部，而目前大部分終端在接入网络之前仅安装杀毒软件，由网络管理员直接接入公司内网，没有经过身份验证程序，更没有进行有效的终端系统安全基线测评及安全性检查，因此被病毒感染的终端、未及时更新系统漏洞补丁的终端，不符合公司内网安全基线要求的各类终端随意接入网络，势必给公司的网络带来极大的安全隐患。在管理方面我们从加强公司的信息安全培训，提高人员的信息安全意识入手；技术方面我们进行网络准入控制系统部署，实现合法用户和安全终端能够正常访问授权的资源，提高公司信息网络及应用的安全性。

3 网络准入控制的相关理念

网络准入控制采用的是主动式网络安全管理技术，在我公司的应用体现在各类终端设备接入网络时，必须先接受身份验证识别和安全基线合规性检查，安全基线通常包括账户弱口令、操作系统漏洞补丁、规定的杀毒软件病毒库版本的最基本安全要求，通过对终端接入设备的身份和安全合规性检查，并根据检查结果来实现对内网可使用资源的限制。对于外来终端，或不合规的非安全设备，可对其进行强制安全隔离，限制其可以访问的网络资源。而内部的身份可信任的安全终端，则可以授权访问更多安全区域内的资源。从而达到保障整个网络安全的目的

4 网络准入控制运行机制

我们采用的是基于802.1X的网络准入控制系统，准入控制系统对接入层网络交换机的配置要求较高，需要交换机设备支持802.1x协议，可以更严格的控制接入终端对电力系统内网的访问。准入控制组件包括计算机终端、准入控制设备（准入控制器、支持802.1x协议的交换机）、Radius服务器，以及认证服务器。在这四个组件中，终端设备需要安装准入控制客户端，在该客户端上输入用户名、密码，协助完成接入的身份验证。准入控制设备主要提供准入控制的控制点，在该访问点上，强制要求只有拥有合法身份的终端才能正确访问规定的资源。Radius服务器主要与准入设备交互，准入控制设备将从准入控制终端上发送过来的用户名、密码转发到radius服务器上进行验证，radius服务器会根据验证结果对终端进行可访问资源的授权。为保证准入的高可用性，需部署两台radius服务器互为热备状态。

为了避免用户名、密码在不同的终端上都可以登录，我们采取绑定终端机器码的方式产生用户名和密码，将用户名和密码绑定在特定的终端上，保证只有通过指定的终端，使用指定的用户名和密码，才能正常访问网络资源。

5 终端类型划分及网络控制系统运用

我们将接入公司内部网络的终端分为三类：

第一类：厂商技术人员终端，这类终端主要指对公司提供技术支持的厂商技术人员个人的笔记本电脑等，在接入公司网络时没有公司准入控制系统自动产生的用户名、密码，没有安装公司内部的准入控制系统客户端。对这类终端，依据网络准入控制系统的设置，我们按以下程序进行处置：

（1）对未履行手续私自接入公司网络的终端，阻止接入公司内部网络，此类终端所发的任何数据包都不会进入公司内部网络，不会与网络内任何终端或服务器等设备发生数据交互；

（2）如经过相关的审批手续后，在其接入公司网络时打开浏览器访问时，将其访问重新定向到一个指定的提醒页面，提醒其若需访问公司内网资源需下载网络准入控制系统客户端软件，安装注册后使用特定的用户名、密码并经管理员审批后方可访问特定的内容；第二类：我们对公司内部计算机终端接入网络时进行安全基线检查，包括：是否安装了指定的系统漏洞补丁，是否安装了内部规定的杀毒软件，是否设置系统登录密码，密码是否是8位以上的字母、数字加特殊符号的组合，是否有设置共享，是否按照了北信源桌面管理终端等。

对不符合安全策略的终端在接入网络时：

（1）检测后给出提示，哪些项目不符合安全策略管理规定；

（2）限制该计算机终端只能访问特定的服务器，该服务器提供符合安全策略的杀毒软件程序、漏洞补丁程序等；符合安全策略的内部终端接入网络时，第一次仍要由网络管理员进行审批，准入控制系统可以依据用户所属的部门，决定该终端可以访问哪些网络资源。第三类我们称之为哑终端，这类终端主要包括集抄设备、缴费终端、人脸识别考勤机等，这类设备无法安装我们的网络准入控制系统客户端，我们在系统中将其设为可信，将其MAC地址与交换机端口进行绑定，防止随意更换端口后仍可访问网络资源。

6 结论

我们通过部署网络准入控制系统，对公司网络的接入实现一个从终端网络准入控制程序注册、安全策略检查、终端隔离、修复通知和进行修复的闭环型接入流程，最大限度将已知的安全威胁防御在网络之外，在公司网络边界形成一面坚实的防火墙，提升公司网络边界的安全。

参考文献

[1]周贤伟，刘宁，覃伯平.IEEE 802.1x协议的认证机制及其改进[J].计算机应用，2006（12）.

[2]周超，周城，丁晨路.计算机网络准入控制技术[J].计算机系统应用，2011（01）.

作者单位

国网山东省电力公司乳山市供电公司 山东省乳山市 264500endprint