國網安徽省電力公司淮北供電公司 許春彩 胡賀軍 梁后健

網絡準入系統在供電企業(yè)終端安全管理中的應用

國網安徽省電力公司淮北供電公司 許春彩 胡賀軍 梁后健

隨著社會和科學技術的不斷發(fā)展，進年來，我國各個企業(yè)都實現了計算機辦公，在現代化社會的影響下，計算機終端系統開始在企業(yè)發(fā)展中被廣泛應用，在一定程度上推動了企業(yè)發(fā)展的步伐，然而，在計算機終端系統中存在的一些安全隱患，嚴重影響企業(yè)的發(fā)展，因此，要對計算機終端系統中的安全隱患進行消除，防止一系列安全隱患對企業(yè)的發(fā)展造成重大的損害，對其內部網絡運行中的安全性作一保障逐漸被人們所重視。所謂網絡準入系統，其主要是利用客戶身份的認證方式，展開對用戶在接入設備中的狀態(tài)評估，促進對用戶屬性和在線狀態(tài)以及流量限制方面的深入管理以及所掌握的一種技術。這一系統可以分析并彌補在終端系統中存在的漏洞，對用戶行為進行控制并展開應用管理，避免企業(yè)內部的信息出現泄漏的問題，防止終端會在一定程度上受到來自病毒和蠕蟲以及木馬等方面的危害，加強對計算機終端系統的安全管理。

網絡準入系統；供電企業(yè)；安全管理；應用

近年來，對于供電企業(yè)來說，其在企業(yè)中存在的網絡準入系統安全性的關注力度逐漸加強，正因為如此，外部黑客并不能十分容易地突破供電企業(yè)在網絡中設立的安全防護。和外部的人員相比，供電企業(yè)出現的內部泄密更加嚴重，這一問題直接關系著供電企業(yè)在競爭中的生存和發(fā)展，如果知道該數據在存儲中的準確位置，那么，內部泄密人員就非常容易對該信息進行獲取。因此，為了對這樣的情況進行應對，供電企業(yè)的網絡終端要進行嚴格地安全管理，并得到具體的實施，同時，還要在一定程度上對內部員工自身的終端管理現狀進行解決，加強泄密人員的技術門檻，進而對數據出現泄露的概率進行降低。

一、網絡準入系統在供電企業(yè)終端安全管理中的控制原理

在供電企業(yè)的發(fā)展中，實施網絡準入系統的控制，其主要目的是指對病毒和黑客以及木馬等具有破壞性的程序在企業(yè)信息中所產生的安全威脅進行降低和減少，這一系統在供電企業(yè)中的應用，可以對沒有經過授權和允許的終端設備在公司網絡中的接入現象進行阻擾，也就是說，只有經過企業(yè)的安全授權和許可的網絡終端，才能順利地和企業(yè)的網絡進行連接。這在一定程度上對企業(yè)網絡終端的安全性能進行了提高。就網絡準入系統中的嶄新的構架模式而言，其主要可以劃分成三個部分，即企業(yè)內部網絡在外界中的安全防護，對在網絡外部中出現了安全威脅進行實時地防護；還有對內部網絡實行安全威脅地防護，主要目的是對來自網絡中存在的安全威脅作一防護；對外網移動終端的用戶安全進行接入防護，主要目的是對內部的移動用戶能夠在各種網絡環(huán)境當中的自身安全和企業(yè)發(fā)展的網絡安全作一保護。

二、網絡控制技術的類型

在供電企業(yè)的發(fā)展中，對網絡準入控制技術的應用主要分為以下幾種。

（一）802.1x協議網絡準入控制技術

所謂802.lx協議，其是指在在802.11協議的基礎上擴展而來的，主要目的是對基于端口下的接入控制進行解決的標準體系。

比較常用的控制技術就是802.1x協議的網絡準入控制技術，這一控制技術在運行中有一定的要求，即網絡設備可以在一定程度上對802.1x進行支持，并不需要對網絡結構進行調整，也不會對網絡運行中的可靠性與其他性能進行降低，同時，能夠在各種規(guī)模下的網絡用戶中進行運用，這是所有企業(yè)廣泛應用的一種系統準入模式的控制，具備一定的國際標準。

1.802.lx協議下的準入控制技術的認證體系

就802.lx而言，其主要目的是對用戶展開認證，最終實現可用端口的確定。其結構如圖1所示，主要劃分成3個部分，請求者系統和認證系統以及認證服務器的系統。

2.802.lx協議下的準入控制技術的認證流程

在802.1x認證系統下的客戶端以及認證系統中對EAPOL格式封裝EAP協議對認證信息進行傳送，認證系統和認證的服務器在RADIUS協議作用下對認證信息做一傳送，主要表現在兩個方面。一是在客戶端PAE以及設備端PAE兩者之間，對EAP協議的報文運用EAPOI和封裝格式，其在LAN環(huán)境中被承載。二是在用戶認證通過之后，服務器就會將用戶的基本信息在設備端中進行傳送。

圖1 802.lx認證的系統結構

3.802.lx協議下的準入控制技術認證組網應用

根據有所差異的組網方式和網絡規(guī)模，進行802.1x認證時，工作人員可以選擇集中式組網和分布式組網以及本地的認證組網方式。不同組網方式的影響下，802.1x認證系統所形成的網絡位置是存在區(qū)別的。主要表現在兩點，一是802.1x的集中式組網，該組網方式在運用中的優(yōu)勢是指802.1x運用的是集中式的管理手段，在一定程度上對管理與維護的成本進行了降低；二是，802.1x分布式的組網，該組網模式運用中的優(yōu)勢體現在，其運用的是高、中端設備以及低端設備三者相互融合的手段，把認證任務在比較多的設備中進行分配，在一定程度上對核心設備自身的負荷進行了降低，并符合相對復雜的網絡環(huán)境下的認證要求。

（二）思科EoU方式的網絡準入控制

這一技術在供電企業(yè)中的運用和802.1X的網絡準入控制技術是非常相似的，對于供電企業(yè)網絡終端的安全管理具有非常重要的意義，其運行原理和上述技術之間的共同性是一致的。

（三）網關型網絡準入控制

該技術在應用中的主要特點是指，沒有經過授權的終端是沒有權限對網保護的網絡資源進行訪問的，而且在終端間是能夠進行相互訪問的。這一技術在運行中的要求是對網絡結構進行一定的調整，還要具備針對性地比較適用的網關，該技術在供電企業(yè)終端安全管理中的運用能夠提高企業(yè)發(fā)展的可靠性和穩(wěn)定性。

（四）DHCP方式的網絡準入控制

這一技術在供電企業(yè)網絡終端中安全管理的運用是利用自行的IP等方式，不經過DHCP的準入控制，不需要對網絡結構進行調整，主要的要求就是在各個網段中對專用的DHCP服務器進行部署。在運用的過程中，不會對網絡終端的可靠性進行降低，能夠在中小規(guī)模類型的網絡中廣泛運用。

（五）ARP方式的網絡準入控制

該技術在運行中的主要特點是指終端可以自行對路由器進行設置，ARP映射等不經過ARP的準入控制，不需要對網絡結構進行調整，要在各個網段中對ARP干擾器進行設置，可以在小規(guī)模網絡中進行應用。

三、網絡準入系統在供電企業(yè)終端安全管理體系中的具體應用

（一）在網絡準入控制技術的作用下，對在網絡中接入的計算機終端的安全性進行檢查

在這一過程中，主要的安全檢查項目有三個方面。一是對賬戶的檢查，也就是對用戶名與密碼進行檢查，這一檢查的目的是避免來人員將同一個Agent在網絡中進行接入。二是，對安全設置進行規(guī)范性的檢查，也就是終端安全的設置，對系統賬戶安全作一檢查，主要有Gnest賬戶以及弱口令檢查與Windows域的檢查。在檢查終端對防病毒的安裝情況和病毒的特征庫能否得到快速的升級，在網絡終端中有沒有存在有問題的文件；在網絡終端有沒有對非法軟件進行安裝等問題進行檢查。三是在終端注冊的ID進行檢查，主要是指對網絡終端中的內部網絡是否已經注冊登記進行檢查。網絡的準入控制能夠對已經和網絡進行接入的網絡終端是不是合法并規(guī)范進行檢查，同時，還對管理終端中存在的計算機終端進行接受。

（二）對已經和網路進行接入的計算機終端，進行安全管理并控制

1.對安全進行加固，對網絡終端中存在的賬戶口令和屏?？诹钜约肮蚕砟夸浥c自動加載的服務安全實行加固，對于強制型的在網絡終端中進行接入設備的安裝，要對防病毒的軟件以及病毒的特征庫進行更新，并能自動化地對終端安裝比較性的補丁包，促進終端抗攻擊性能的提升。

2.對安全進行評估，對在連網終端中存在的安全設置以及運行狀態(tài)展開詳細地評估。對管理人員來說，其可以對終端中的安全策略進行評估，例如賬戶口令是不是強口令等。

3.對安全進行審計，對內部的網絡的終端設備在操作與網絡訪問中的行為實施安全審計。對終端文件的拷貝和FTP以及 Email的訪問進行審計，對內部終端的完全運行進行審計。

擋在評估與審計的過程中發(fā)現存在的問題，對管理人員來說，其可以在終端中展開集中式管理以及設置。在集中式的控制平臺影響下，也能夠展開批量查詢以及統計。主要表現在以下幾個方面。第一，策略分發(fā)，要運用集中和批量以及分組的方法對桌面終端的計算機實施安全設置，并對安全狀態(tài)進行查詢；第二，對補丁進行管理，并對軟件進行分發(fā)，有助于對管理者在日常中的維護工作進行減少，并促進工作效率的提高；第三，加強對遠程的控制，能夠使得系統維護者對遠程的終端設備進行維護；第四，對設備進行定位，對管理人員來說，可以快速地對入網絡中的設備安全性能進行定位，運用針對性地措施對其進行控制，或者是對設備的連接進行斷開；第五，對資產進行管理，就管理人員而言，可以對和網絡連接的設備進行統計。

四、結束語

綜上所述，在科學技術日益發(fā)展的大背景下，我國供電企業(yè)早已實現了現代化的計算機網絡終端辦公，這在一定程度上提高了我國供電企業(yè)的工作效率，然而，其中所存在的安全隱患也同樣給企業(yè)帶來了很大的困擾，因此，要從網絡終端信息被泄露的具體情況著手，把終端網絡的準入控制系統看作是開端，對在安全性能比較高的網絡終端系統進行建立，并完善對其的安全防護，在此基礎上，能夠行之有效地對終端網絡中存在的安全信息出現的非法外傳現象進行制止。

[1]彭濤．自治域網絡安全準入控制系統的設計與實現[D]．湖南大學,2012．

[2]錢揚．企業(yè)網網絡準入控制及終端安全防護研究[D]．華南理工大學,2012．

[3]呂楊．對企業(yè)網終端接入控制的研究和方案設計[D]．北京郵電大學,2014．

[4]林源．基于準入控制技術的企業(yè)網絡安全的分析與優(yōu)化[D]．福州大學,2014．