母繼元

(廣元電業(yè)局，四川 廣元 628000)

隨著電力系統(tǒng)信息化建設(shè)的不斷發(fā)展，其網(wǎng)絡(luò)規(guī)模也在不斷擴大，隨之而來的各種安全問題也日漸突出，尤其是網(wǎng)絡(luò)內(nèi)部的接入計算機或接入設(shè)備往往成為威脅的源頭。目前電力系統(tǒng)外網(wǎng)管理中較為普遍的安全問題包括:①無法發(fā)現(xiàn)是否有非法用戶進入外網(wǎng)占用網(wǎng)絡(luò)資源;②無法對入網(wǎng)人員進行身份驗證，進而無法統(tǒng)計入網(wǎng)的員工數(shù)量和每日的來賓數(shù)量;③無法控制來賓用戶的訪問權(quán)限;④無法要求所有終端遵守電力系統(tǒng)外網(wǎng)管理的基本安全規(guī)范，如安裝殺毒軟件、必須運行某些程序，必須更新windows操作系統(tǒng)補丁等。

為了解決上述問題，在部分電力系統(tǒng)中目前采用了較為流行的網(wǎng)絡(luò)準入控制(network access control，NAC)來防止非法用戶入網(wǎng)。網(wǎng)絡(luò)準入控制方案可以只允許合法的、值得信任的端點設(shè)備(例如PC、筆記本)接入網(wǎng)絡(luò)，而不允許其它不符合要求(未通過認證、安全性不符合要求等)的設(shè)備接入。但隨著消費化電子浪潮的影響，在電力系統(tǒng)內(nèi)購買和擁有最新型的個人移動設(shè)備的趨勢(bring your own device，BYOD)日益增長，包括 iphone、ipad、android等各種系統(tǒng)都已經(jīng)頻繁出現(xiàn)在電力系統(tǒng)外網(wǎng)的日常接入中，在這樣的新形勢下，傳統(tǒng)的網(wǎng)絡(luò)準入技術(shù)由于響應速度慢或者需要安裝客戶端等問題已經(jīng)無法滿足日益發(fā)展的安全需要。通過傳統(tǒng)準入方式與四川廣元電力所采用的一種新型準入平臺的比較，希望能夠為電力系統(tǒng)外網(wǎng)個人移動設(shè)備的管理提供一種更具通用性、更有效的網(wǎng)絡(luò)準入實現(xiàn)方法。

1 電力系統(tǒng)外網(wǎng)傳統(tǒng)準入控制方式的弊端

目前電力系統(tǒng)外網(wǎng)中比較常見的防止非法接入的網(wǎng)絡(luò)準入方式有如下兩種。

傳統(tǒng)技術(shù)1:DHCP結(jié)合IP－mac綁定的控制方案

由于在電力系統(tǒng)外網(wǎng)中大量采用了DHCP的IP地址分配方式，因此較多單位在初期考慮實現(xiàn)準入控制的時候也是以DHCP為出發(fā)點的。當網(wǎng)絡(luò)中假設(shè)好了DHCP服務器后，可以依據(jù)入網(wǎng)的mac地址來自動分配IP，而為了防止私自更改IP及網(wǎng)絡(luò)中出現(xiàn)非法的mac地址接入，則需要借助交換設(shè)備已有的一些安全屬性如DHCP snooping和DAI(dynamic arp inspection)來實現(xiàn)IP－mac綁定。而采用DHCP結(jié)合IP－mac綁定的控制方式，其本質(zhì)是基于mac地址也即是設(shè)備硬件地址的，對于目前電力系統(tǒng)外網(wǎng)的安全接入規(guī)范要求以及個人移動設(shè)備接入的管理而言，具有較多的安全管理弊端。

1)沒有對使用設(shè)備的人員進行身份認證的步驟;

2)命令配置量過多，對技術(shù)運行維護人員的要求較高，網(wǎng)絡(luò)中很多早期的交換設(shè)備并不支持DAI技術(shù)，在實際使用中的適應性和可推廣性較差;

3)對于外來需要入網(wǎng)的移動設(shè)備，比如來賓設(shè)備或員工自帶的移動設(shè)備(BYOD)，無法預先做到mac綁定，因此很難快速響應入網(wǎng)請求，這就極大地影響了工作業(yè)務的開展，很多電力單位因為這個原因停用了DHCP結(jié)合IP－mac綁定的準入;

4)由于全部管理都是采用交換機靜態(tài)命令行的方式進行配置的，在大量個人設(shè)備經(jīng)常性移動辦公或入網(wǎng)的情況下，無法預先靈活地設(shè)置例外設(shè)備，或依據(jù)權(quán)限或用戶的變化自動調(diào)整安全策略，telnet到交換設(shè)備進行變更時響應的效率非常低。

5)整個技術(shù)本身并沒有提供進行設(shè)備安全性檢查的實現(xiàn)方法，這一點就容易導致很嚴重的潛在安全漏洞，對于電力系統(tǒng)外網(wǎng)用戶而言，由于大部分的設(shè)備都是與公網(wǎng)直接相聯(lián)的，尤其是在大量個人移動設(shè)備入網(wǎng)的情況下，安全性一旦無法得到有效評估，對于整個系統(tǒng)的安全管理將可能產(chǎn)生嚴重的后果。

傳統(tǒng)技術(shù)2:標準IEEE 802.1x方案

802.1x稱為基于端口的訪問控制協(xié)議(portbased network access control protocol)，IEEE 802.1x技術(shù)由于是國際標準協(xié)議，因此大部分的主流廠商接入層交換機都能夠予以支持，并且在目前的電力系統(tǒng)外網(wǎng)中也得到了部分應用，但隨著安全趨勢的不斷發(fā)展，802.1x體系也逐漸顯示出了無法滿足個人移動設(shè)備逐漸增多的安全管理問題。

1)安裝客戶端軟件來實現(xiàn)準入控制的方式在應對個人移動設(shè)備接入時可用性差，基本上沒有可操作性;

2)電力系統(tǒng)外網(wǎng)在很多單位都存在hub接入的問題，但是由于交換機設(shè)備對802.1x支持的固有特性，大部分單位無法做到802.1x與hub接入共存;

3)命令配置量過多，每臺交換機上的配置量比前一種傳統(tǒng)準入技術(shù)還要多，對技術(shù)運行維護人員的要求較高;

4)無法預先靈活地設(shè)置例外設(shè)備，或臨時調(diào)整安全策略。在個人移動設(shè)備經(jīng)常性移動辦公或入網(wǎng)的情況下，無法依據(jù)需要對特殊設(shè)備臨時放開802.1x端口，任何人、任何設(shè)備都必須安裝客戶端、必須認證的管理策略在眾多個人移動設(shè)備入網(wǎng)的環(huán)境下很難真正應用起來。

5)與第一種傳統(tǒng)準入技術(shù)相似的是，整個802.1x技術(shù)本身并沒有提供具體的進行設(shè)備安全性檢查的實現(xiàn)方法，同樣容易導致很嚴重的潛在安全漏洞。

綜上所述，在當前多樣復雜的電力系統(tǒng)外網(wǎng)接入環(huán)境中，有必要采用更新型的網(wǎng)絡(luò)準入實現(xiàn)來解決大量個人移動設(shè)備接入的問題。

2 一種新型準入控制方式在電力系統(tǒng)外網(wǎng)的應用

依據(jù)目前在四川廣元電力公司外網(wǎng)中采用的部署實例(如圖1所示)，可以提供一種更有效的新型準入控制實現(xiàn)，并更好地滿足當下電力系統(tǒng)外網(wǎng)接入的特點。

圖1 四川廣元電力外網(wǎng)準入部署示意圖

在該準入部署方式中，采用了杭州盈高科技有限公司的準入平臺ASM(入網(wǎng)規(guī)范管理系統(tǒng))，準入設(shè)備ASM采用旁路方式接入到電力外網(wǎng)核心交換機上，并且在核心交換機上利用通用的策略路由(PBR)來實現(xiàn)3層引流。

(1)廣元電力外網(wǎng)準入方案的實現(xiàn)方法

策略路由PBR由于位于IP層，在做IP轉(zhuǎn)發(fā)前，如果報文命中某個策略路由對應的規(guī)則，則要進行相應的策略路由的動作。在廣元電力中采用的基于策略路由PBR的準入方案是在核心交換機上利用ACL捕獲所有訪問核心業(yè)務服務器以及外網(wǎng)的無差別數(shù)據(jù)流量，并通過已經(jīng)配置好的route－map將捕獲的流量引入網(wǎng)絡(luò)中的ASM準入設(shè)備，最終由ASM準入設(shè)備來控制所有需要訪問核心交換機后資源的數(shù)據(jù)流量，采用web重定向的方式推送認證和安全檢查頁面到用戶的接入設(shè)備上。這種對于無差別流量的控制，其設(shè)計思路就在于各種個人移動設(shè)備，不管是iphone、ipad還是android等非windows系統(tǒng)都自帶了web瀏覽器，能夠支持http協(xié)議，因此實現(xiàn)了既不需要安裝客戶端，又能夠保證身份認證和安全檢查的雙重保護目的。

(2)廣元電力外網(wǎng)準入方案的管理流程

①各種個人移動設(shè)備及內(nèi)部臺式機在接入外網(wǎng)時，自動在web頁面上獲得入網(wǎng)的提示，并且必須通過管理員的審核;

②各種個人移動設(shè)備及內(nèi)部臺式機在web頁面上進行身份認證，可以設(shè)置來賓設(shè)備或特殊設(shè)備不需要進行身份認證，但只授予有限訪問區(qū);

③可以在接入設(shè)備入網(wǎng)前檢查其是否安裝殺毒軟件、是否運行了必須的程序，以及是否更新了系統(tǒng)補丁(windows設(shè)備);

④入網(wǎng)后能夠依據(jù)用戶的認證角色派發(fā)其訪問權(quán)限，例如只能訪問特定服務器，非管理員允許不能訪問其他網(wǎng)絡(luò)資源。

(3)廣元電力外網(wǎng)準入方案的應用效果

廣元電力中利用ASM平臺實現(xiàn)的準入控制方案，能夠很好地區(qū)分外網(wǎng)中來自不同部門的終端設(shè)備及來賓設(shè)備，并能夠針對iphone、ipad、android等非windows系統(tǒng)實現(xiàn)全面的身份認證和訪問權(quán)限控制，禁止所有非法外來設(shè)備接入內(nèi)部網(wǎng)絡(luò)，使電力系統(tǒng)外網(wǎng)的安全管理制度得到了有效落實。同時，外網(wǎng)的管理員能夠及時了解新設(shè)備的入網(wǎng)情況，并控制各個部門以及來賓用戶的訪問權(quán)限，有效落實了電力系統(tǒng)外網(wǎng)的安全管理規(guī)范，對網(wǎng)絡(luò)中的許多安全風險都進行了預防和告警，對網(wǎng)絡(luò)的正常運行提供了十分有效的安全支撐。

(4)新技術(shù)在電力系統(tǒng)外網(wǎng)接入中的應用優(yōu)勢

依據(jù)對廣元電力外網(wǎng)準入方案的分析，可以看到該新型準入控制方案對其他電力系統(tǒng)外網(wǎng)移動設(shè)備接入管理的建設(shè)具有很高的參考價值，有如下優(yōu)勢。

①完全不需要安裝客戶端軟件。由于該方案中的認證是通過web重定向?qū)崿F(xiàn)的，因此全部的認證過程都只需要接入設(shè)備有支持http協(xié)議的瀏覽器即可，在這種情況下，目前電力系統(tǒng)外網(wǎng)中接入的iphone、ipad、android等非 windows系統(tǒng)都可以有效地利用自帶的各種瀏覽器來自動實現(xiàn)認證，入網(wǎng)快速，完全不需要管理員額外的干預，能夠節(jié)約外網(wǎng)管理員的大量時間和人力成本，更符合新形勢下電力系統(tǒng)外網(wǎng)個人移動設(shè)備接入管理的需要;

②由于策略路由技術(shù)是基于三層交換的，因此不會與接入層的hub連接產(chǎn)生沖突，電力系統(tǒng)外網(wǎng)中已有的hub設(shè)備可以與準入平臺共存，更有利于準入管理的推廣，整個技術(shù)實現(xiàn)也更貼近實際情況，在目前的網(wǎng)絡(luò)環(huán)境下更為實用;

③命令配置量極少，只需要在核心交換機上配置策略路由即可。對于目前電力系統(tǒng)分布較為廣泛的外部網(wǎng)絡(luò)而言，可以節(jié)省大量的配置和實施工作量。

④在該方案中，可以非常靈活的通過ACL來控制哪些終端需要受管理，哪些終端是可以例外的，外網(wǎng)管理員可以實現(xiàn)非常靈活的管理效果，比如對內(nèi)部員工機器進行較為嚴格的限制，而對部分特殊機器放開網(wǎng)絡(luò);

⑤可以靈活地在web頁面就實現(xiàn)對設(shè)備的安全狀況檢查，這一點完全彌補了電力系統(tǒng)中已有的傳統(tǒng)準入技術(shù)重認證輕安檢的缺陷，能夠迅速收集外網(wǎng)中全部個人移動設(shè)備的安全信息，并依據(jù)管理員預先制定的安全策略自動下發(fā)到個人移動設(shè)備上，實現(xiàn)權(quán)限的有效分配，并自動將高危設(shè)備置于外網(wǎng)預先設(shè)定的有限訪問區(qū)內(nèi)，從而實現(xiàn)了入網(wǎng)安全和主動防御的措施。

3 總結(jié)

總體來看，目前電力系統(tǒng)外網(wǎng)新形勢下個人移動設(shè)備接入管理的需要決定了必須改變傳統(tǒng)思路，采用更新型更有效的準入管理方式，針對個人移動設(shè)備輕便、靈活、快速的特點提供響應速度更快、策略更靈活和更高效的準入控制功能，這樣才能夠為電力系統(tǒng)的信息安全管理提供更具可操作性的解決方案。

［1］Tanenbaum A.S.計算機網(wǎng)絡(luò)［M］.北京:機械工業(yè)出版社，2011.

［2］Yusuf Bhaiji.網(wǎng)絡(luò)安全技術(shù)與解決方案(修訂版)［J］.北京:人民郵電出版社，2010.

［3］何俊.NAC準入控制指南［R］.盈高科技，2012.