李秀明 錢漢

摘要：隨著智能化業(yè)務(wù)的深入發(fā)展，接入調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的設(shè)備、終端和服務(wù)也越來越多。聯(lián)網(wǎng)設(shè)備的安全性檢查、合規(guī)性檢查是至關(guān)重要的，不安全的設(shè)備不僅有可能導(dǎo)致調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的癱瘓，使調(diào)度工作無法開展，還有可能引起電力網(wǎng)絡(luò)的送電故障、以及發(fā)生電力網(wǎng)絡(luò)安全事故，因此調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的準(zhǔn)入控制是關(guān)鍵。本分通過研究網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，提出了如何解決調(diào)度數(shù)據(jù)網(wǎng)的接入安全問題。

關(guān)鍵詞：技術(shù)；準(zhǔn)入控制

1引言

調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是電力的生產(chǎn)網(wǎng)絡(luò)，關(guān)系到電力輸送的安全，與老百姓的生活和工作、企業(yè)的生產(chǎn)等息息相關(guān)。調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是一個典型的分層分級網(wǎng)絡(luò)，全網(wǎng)主要分為五級：國家調(diào)度通信中心、省級（區(qū)級）調(diào)度通信網(wǎng)絡(luò)、地市、縣級調(diào)度通信網(wǎng)絡(luò)。每一級電力調(diào)度公司的本地網(wǎng)，根據(jù)業(yè)務(wù)重要性的不同，劃分為4個不同的區(qū)域，分別是I區(qū)（控制區(qū)）、II區(qū)（生產(chǎn)區(qū)）、III區(qū)（生產(chǎn)管理區(qū)）、Ⅳ區(qū)（管理信息區(qū)）。

1、聯(lián)網(wǎng)設(shè)備沒有做一個全面的安全性、合規(guī)性檢查，隨著設(shè)備接入越多，網(wǎng)絡(luò)安全隱患也越多，一旦設(shè)備投入運(yùn)行，后期進(jìn)行安全加固或整改難度很大。

2、私有設(shè)備接入網(wǎng)絡(luò)，將自己私人筆記本、手機(jī)、PAD等設(shè)備接入網(wǎng)絡(luò)，而由于私人終端的互聯(lián)網(wǎng)屬性，很可能攜帶了木馬病毒等，對內(nèi)網(wǎng)產(chǎn)生一定的沖擊，同時還可能造成內(nèi)網(wǎng)數(shù)據(jù)的泄漏。

3、私接網(wǎng)絡(luò)設(shè)備，為了方便，私自接HUB、無線AP等網(wǎng)絡(luò)設(shè)備，然后將違規(guī)的私人終端通過這些HUB、無線AP等接入網(wǎng)絡(luò)，從而繞過很多安全產(chǎn)品的檢查。

4、設(shè)備非法外聯(lián)，有人為了方便內(nèi)網(wǎng)和互聯(lián)網(wǎng)的切換工作，從而在內(nèi)網(wǎng)機(jī)器上插3G/4G網(wǎng)卡，或者通過代理、VPN繞過上網(wǎng)限制。非法外聯(lián)給企業(yè)安全埋下了巨大的安全隱患，一旦發(fā)生就會造成整體內(nèi)網(wǎng)與外網(wǎng)連通，使得內(nèi)外網(wǎng)隔離的巨大投入全部化為烏有。

5、仿冒問題，隨著計算機(jī)的普及以及人們技術(shù)能力的提升，修改IP地址變得輕而易舉，甚至于有些員工為了逃避管理而修改MAC地址、使用AP克隆MAC地址等手段進(jìn)行非法接入。

6、IP或MAC地址沖突，有人無意配錯了IP地址或者私自修改了MAC地址的設(shè)備接入網(wǎng)絡(luò)，造成了局域網(wǎng)的地址沖突，可能造成正在運(yùn)行的重要主機(jī)業(yè)務(wù)中斷，造成不可估量的損失。

2方案制定及實(shí)施

本方案技術(shù)路線是基于調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)絡(luò)特點(diǎn)，如屬于專網(wǎng)性質(zhì)、固定分配IP地址、通信采用縱向加密方式（IPsec加密）等，然后基于以上網(wǎng)絡(luò)準(zhǔn)入控制協(xié)議優(yōu)缺點(diǎn)綜合分析，選擇802.1X協(xié)議、策略路由（交換機(jī)配合）、SNMP/TELNET/SSH網(wǎng)絡(luò)準(zhǔn)入控制的優(yōu)點(diǎn)組合應(yīng)用，再輔助安全掃描技術(shù)實(shí)現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)準(zhǔn)入控制和檢查評估。創(chuàng)造性的用四元組（主機(jī)名、交換機(jī)端口、IP地址、MAC地址）解決了以前單個網(wǎng)絡(luò)準(zhǔn)入控制協(xié)議難以解決私接HUB或交換機(jī)、私接路由器問題、冒用IP地址和MAC地址等方面的難題。

a、事前控制措施

設(shè)備認(rèn)證中實(shí)施四元組進(jìn)行嚴(yán)格認(rèn)證，目的是解決私接HUB或交換機(jī)問題，原理是與交換機(jī)聯(lián)合查詢MAC地址在哪個交換的哪個端口下，如果查詢某個接口下有兩個以上的MAC地址或與以前的記錄查詢比較有重復(fù)，則可判斷此端口下私接了HUB或交換機(jī)設(shè)備；解決私接路由器問題，通過MAC地址分析與主機(jī)名分析，可以分析出設(shè)備制造商，然后確定設(shè)備是路由器；解決冒用IP地址或MAC地址的問題，分析接入交換機(jī)端口是否匹配，接入設(shè)備的主機(jī)名是否匹配，如果不匹配其中的某一項，則判斷設(shè)備是在冒用IP地址或MAC地址。設(shè)備符合安全性、合規(guī)性問題，通過安全掃描技術(shù)掃描主機(jī)是否有安全隱患，比如操作系統(tǒng)開放了不安全端口、操作系統(tǒng)和數(shù)據(jù)庫漏洞等，如果通過評估系統(tǒng)的評估，則服務(wù)系統(tǒng)授權(quán)接入網(wǎng)絡(luò)服務(wù)，否則拒絕接入。

b、事中控制措施

加強(qiáng)管理措施，在經(jīng)常使用的終端上或容易接觸到的終端上部署網(wǎng)絡(luò)準(zhǔn)入控制客戶端，通過客戶端程序?qū)崟r、嚴(yán)密監(jiān)控每個操作行為，如果操作行為觸發(fā)安全規(guī)則，則通過服務(wù)器進(jìn)行報警聯(lián)系管理員。

c、事后審計措施

根據(jù)策略，定期收集所有操作信息，包括設(shè)備的日志信息，并分類形成報告，進(jìn)行跟蹤審計，將審計結(jié)果或報告呈現(xiàn)給網(wǎng)絡(luò)管理者。

3結(jié)束語

本方案在調(diào)度數(shù)據(jù)網(wǎng)絡(luò)上應(yīng)用之后，取得了良好實(shí)用效果。實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)后，有效的防止了終端未經(jīng)過管理員授權(quán)，以及終端未經(jīng)過安全性、合規(guī)性檢查就進(jìn)入調(diào)度數(shù)據(jù)網(wǎng)，保障了調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全、運(yùn)行安全以及邊界安全。

（作者單位：國網(wǎng)江蘇省電力有限公司鎮(zhèn)江供電分公司）