刘 夏, 江海敏, 胡 鑫
(国网滁州供电公司,安徽 滁州 239000)
随着业务领域的拓展,电力系统调度数据网在不断的扩展并且日趋复杂。若调度漏洞出现在调度数据网的安全方面,就有可能被黑客发现,进而截取帐号和密码、更改数据,这样的后果是相当严重的,会带来无法估量的直接经济损。
现有的单一网络准入技术被证明已无法满足现如今的需求,急需结合调度数据网终端复杂的安防实际工作,设计出一种综合性的调度数据网准入技术,以提高整体安全水平。
思科网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。从而降低病毒、蠕虫和木马软件等新兴安全威胁的破坏程度。实施NAC 的客户通过遵守安全策略的可信终端设备访问网络,并控制不符合策略或不可管理的设备访问网络.NAC 为完全符合安全策略的终端设备提供网络接入,且有助于确保拒绝不符合策略的设备接入,将其放入到隔离区进行修复,或仅允许其访问有限的资源。
NAC通过了2项最严格的 兼容性测试:防病毒软件状况和操作系统信息。它不但包括防病毒厂商的软件版本、机器等级和签名文件等级,还包括操作系统类型、补丁和热修复。以后还将继续扩大安全保护范。
微软网络准许接入保护的方案(NAP),架构的宗旨是为了帮助企业客户阻止病毒和蠕虫入侵企业网络,阻止来自多个区域、多个设备通过局域网或者广域网的连接,改善企业网络原本不充分及被动的防御。很多用户会认为NAP是防止恶意攻击手段,实际不尽然,虽然NAP确实能够辅助达到防范的目的,但NAP本身不是被设计用来防治恶意使用者破坏安全网络的,它被设计用于帮助管理员维护网络上的计算机的健康。它不能防治一个已经符合安全要求的计算机上的恶意用户释放攻击,或执行其他不适当的行为。
华为的端点准入防御(EAD)架构,是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架,其目的是整合孤立的单点安全部件,形成完整的网络安全体系,最终为用户提供端到端的安全防护。它从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强了用户终端的主动防御能力,大幅度提高网络安全。解决方案在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作,在保证用户终端具备自防御能力并安全接入的前提下,合理控制用户的网络行为,提升整网的安全防御能力。
思科的NAC以及华为的3Com系统,重点都在于阅读系统的规划与管理能力,两家公司主要都在现有的网络产品的架构上通过增加一些功能功能控制模块来实现终端准入控制。
微软的NAP方案,重点在整机系统状态的监控与矫正,显然,该方案只适用于计算机采用了微软的操作系统。思科NAC的国际优势非常明显,和第3方的资源整合相对具有优势,功能划分明确,显得更加专业。H3C EAD本土优势较为明显,设计的有些功能短小精悍,功能实用,而且中文的界面加上友好的设置也是他们在国内的优势。
综上所述,NAC和EAD的优势在于二者同为网络设备主流厂商,这些功能可以较好的和现有的必不可少的网络设备配合联动,而且二者均在不断的捆绑更多的第3方模块到自身的设备上来。NAP的优势显然在于目前微软在操作市场上的绝对垄断,而以后的产品必将如同IE一样持续同操作系统捆绑销售。目前思科和华为的3Com已经分别将NAC和EAD产品组合到自己的网络产品中进行销售,而微软在接下来主流的windows7操作系统中也将正式启用NAP功能。
在现有网络准入技术的基础上,本文提出了一种全新的中华行的网络准入技术,设计思路如图1所示。该网络准入技术的设计核心是:通过设计身份认证、安全认证和动态授权的形式进行调度数据网准入管控。说明如下:
图1 一种新型综合性网络准入技术设计思路
(1)身份认证。在新来设备进入调度数据网时,首先以网络接入请求发起形式,向调度数据网准入系统申请,调度数据网准入系统将检查申请用户的合法性及合规性,如果是非法用户,将拒绝入网并进行告警信息。
(2)安全认证。用户通过身份认证接入后,将进入安全认证阶段,在该阶段将结合根据公司安全规范制定的安全接入标准进行安全性检查,如果接入用户设备不满足安全检查标准,将视为不合格,进入隔离区,进行强制加固,直至合格后方可允许入网。
(3)动态授权。针对合格用户,结合公司对于用户的使用权限划分,为各用户配置相应的网络访问权限,细分网络访问区域,实现细致的调度数据网管控。
本设计方案将解决以下关键问题:
(1)未知端点接入调度数据网控制及预警。在正常模式下,端点接入前会对其进行验证,如果是未知端点,将不允许接入,这将是端点接入最基本的条件,而当出现非可信端点采用伪装、欺骗等方式试图接入时,本设计方案将对其进行控制与预警。
(2)有效节点多路径外联控制。调度数据网准入研究的前提是对现有网络进行接入控制,在日常工作中,本设计方案能确保已经满足要求的准入条件后,已经接入网络的有效节点不再通过其他网络途径进行外联,以及对于即将产生外联或已产生外联行为的终端进行监控、预警和风险点定位与排除。
(3)全天候无间断工作保障。本设计方案将控制整个网络终端接入及日常工作监控等工作,同时确保能够完全支持数据库同步、双机保活、宕机后自动切换备机等标准的主备冗余功能。
一种综合性网络准入技术的提出为调度数据网接入终端安全性验证与管理,主要针对现有的终端接入方式及其可能带来的隐患,设计一种调度数据网准入控制方法与模型,实现对于调度数据网接入终端的安全管控和非法与不合规行为预警。
[参 考 文 献]
[1] 童军.网络安全和数据加密技术浅析[J].教育信息化,2005,(7):42-45.
[2] 吕欣.我国信息网络安全现状与趋势[J].信息安全与通信保密,2007,(2):11-13.
[3] 梁志龙,张志浩.企业信息安全访问体系的实现[J=.计算机工程与应用,2002,(4):56-58.