国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于網(wǎng)絡(luò)準(zhǔn)入控制的調(diào)度專網(wǎng)流程化管理與實(shí)現(xiàn)

2017-09-03 10:29:20
山西建筑 2017年21期
關(guān)鍵詞:外聯(lián)流程化專網(wǎng)

馬 淑 清

(內(nèi)蒙古大學(xué)交通學(xué)院,內(nèi)蒙古 呼和浩特 010020)

·計(jì)算機(jī)技術(shù)及應(yīng)用·

基于網(wǎng)絡(luò)準(zhǔn)入控制的調(diào)度專網(wǎng)流程化管理與實(shí)現(xiàn)

馬 淑 清

(內(nèi)蒙古大學(xué)交通學(xué)院,內(nèi)蒙古 呼和浩特 010020)

通過(guò)對(duì)調(diào)度專網(wǎng)的安全現(xiàn)狀進(jìn)行分析,以當(dāng)前主要的安全風(fēng)險(xiǎn)為對(duì)象,設(shè)計(jì)了一套基于網(wǎng)絡(luò)接入控制的入網(wǎng)流程管理安全技術(shù)體系,可作為調(diào)度專網(wǎng)信息安全建設(shè)與管理的參考和有效借鑒。

調(diào)度數(shù)據(jù)網(wǎng),NACS,非法外聯(lián),安全基線,VLAN隔離

0 引言

為保障電力調(diào)度數(shù)據(jù)網(wǎng)的安全、規(guī)避風(fēng)險(xiǎn)、強(qiáng)化網(wǎng)絡(luò)與信息安全管理,通過(guò)開(kāi)展網(wǎng)絡(luò)準(zhǔn)入控制、終端安全基線配置與加固、信息安全防護(hù)等多方面的建設(shè)研究,以當(dāng)前主要的安全風(fēng)險(xiǎn)為對(duì)象設(shè)計(jì)了一套基于網(wǎng)絡(luò)準(zhǔn)入控制(NACS)的內(nèi)網(wǎng)流程化管理的安全規(guī)范管理技術(shù)體系。

通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制的全面部署,有效的杜絕了非法人員與終端的隨意接入,從網(wǎng)絡(luò)入口處把握住了“網(wǎng)絡(luò)安全關(guān)”;通過(guò)的入網(wǎng)終端的實(shí)名認(rèn)證與安全檢查,做得到“違規(guī)不入網(wǎng),入網(wǎng)必合規(guī)”,把握住了“終端安全規(guī)范關(guān)”;通過(guò)對(duì)內(nèi)網(wǎng)終端的非法外聯(lián)行為和移動(dòng)存儲(chǔ)介質(zhì)的隨意使用、終端賬戶弱口令等行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)與處理,把握住了“信息數(shù)據(jù)安全關(guān)”。

1 安全需求分析及研究背景

電力行業(yè)依據(jù)二次安防相關(guān)標(biāo)準(zhǔn),在網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全多個(gè)領(lǐng)域采取了安全防護(hù)措施,基本杜絕了來(lái)自外部攻擊的可能。但隨著內(nèi)部網(wǎng)絡(luò)及各個(gè)系統(tǒng)建設(shè)的進(jìn)一步深入,對(duì)于內(nèi)部安全管理的壓力也逐步增加。

電力系統(tǒng)各級(jí)調(diào)度中心,擁有大量的業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)設(shè)備。由于系統(tǒng)龐大,專業(yè)網(wǎng)絡(luò)、系統(tǒng)運(yùn)維使用人員比較有限,絕大部分業(yè)務(wù)系統(tǒng)會(huì)委托第三方人員負(fù)責(zé)運(yùn)維工作。這樣就造成極大的內(nèi)部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。主要包括四個(gè)方面,終端設(shè)備不明、人員身份不明、終端安全不明、用戶操作不明。

由于網(wǎng)絡(luò)技術(shù)的發(fā)展以及以往安全產(chǎn)品自身的局限性,和各安全管理系統(tǒng)之間沒(méi)有統(tǒng)一的聯(lián)動(dòng)管理響應(yīng)機(jī)制,最終直接導(dǎo)致安全管理上的短板,而相應(yīng)的信息安全管理規(guī)范由于沒(méi)有技術(shù)上的保障往往無(wú)法真正落到實(shí)處,內(nèi)網(wǎng)的安全威脅仍然未做到真正意義上的解決,分析其主要原因有以下幾個(gè)方面:

1)非法接入問(wèn)題:終端入網(wǎng)未進(jìn)行實(shí)名登記與審批,存在非法終端隨意接入的安全風(fēng)險(xiǎn)與漏洞;

2)終端防御能力低下:終端安全基線配置并未按照統(tǒng)一要求進(jìn)行完善,殺毒軟件、系統(tǒng)補(bǔ)丁等防護(hù)能力不足;

3)存在數(shù)據(jù)泄露的風(fēng)險(xiǎn):使用人員安全意識(shí)不足、缺乏高效的非法外聯(lián)防護(hù)、移動(dòng)存儲(chǔ)介質(zhì)管理的機(jī)制,存在部分人員使用內(nèi)網(wǎng)終端私自連接互聯(lián)網(wǎng)、使用移動(dòng)存儲(chǔ)介質(zhì)拷貝傳輸文件的違規(guī)行為。

2 研究目標(biāo)

2.1 網(wǎng)絡(luò)準(zhǔn)入控制流程化管理項(xiàng)目建設(shè)目標(biāo)

為建立起一套有效的安全保障系統(tǒng),對(duì)終端使用人、終端環(huán)境有一個(gè)全面、準(zhǔn)確的把握,實(shí)現(xiàn)對(duì)調(diào)度專網(wǎng)終端的實(shí)名準(zhǔn)入管理、促進(jìn)入網(wǎng)終端安全基線的完善,杜絕弱口令、非法外聯(lián)、確保新部署的殺毒軟件的100%部署安裝、規(guī)范移動(dòng)存儲(chǔ)介質(zhì)使用、加強(qiáng)資產(chǎn)管理等,進(jìn)行專項(xiàng)研究,最終制訂了最適合調(diào)度專網(wǎng)網(wǎng)絡(luò)準(zhǔn)入控制的整體解決方案,加強(qiáng)了調(diào)度專網(wǎng)的安全防護(hù)措施,規(guī)范終端應(yīng)用環(huán)境與使用行為。

2.2 網(wǎng)絡(luò)準(zhǔn)入控制流程化管理的理念和策略

網(wǎng)絡(luò)準(zhǔn)入控制流程化管理項(xiàng)目的建設(shè),借助系統(tǒng)“入網(wǎng)設(shè)備識(shí)別—用戶身份認(rèn)證—終端系統(tǒng)安全檢查—用戶網(wǎng)絡(luò)權(quán)限控制”等流程化企業(yè)內(nèi)網(wǎng)終端安全管理模式,并結(jié)合網(wǎng)內(nèi)已有的安全系統(tǒng),相互配合、聯(lián)動(dòng)形成統(tǒng)一的終端準(zhǔn)入流程化管理系統(tǒng)方案。為解決內(nèi)網(wǎng)非法網(wǎng)絡(luò)準(zhǔn)入、防病毒軟件、終端漏洞修復(fù)、終端弱口令檢查等安全基線配置、內(nèi)網(wǎng)終端非法外聯(lián)防護(hù)、移動(dòng)存儲(chǔ)介質(zhì)管理、細(xì)粒度用戶網(wǎng)絡(luò)權(quán)限控制等問(wèn)題。

3 研究技術(shù)體系

3.1 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

調(diào)度專網(wǎng)的接入控制系統(tǒng)的實(shí)現(xiàn),在核心交換機(jī)上旁路部署準(zhǔn)入控制系統(tǒng),實(shí)現(xiàn)強(qiáng)制準(zhǔn)入控制,以“身份認(rèn)證—終端注冊(cè)—管理員審核—終端安全檢查—網(wǎng)絡(luò)訪問(wèn)權(quán)限控制—終端行為監(jiān)測(cè)”的流程化部署,實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入控制,規(guī)范入網(wǎng)使用、完善終端安全、提升整體的信息安全防御能力,結(jié)合調(diào)度專網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu),部署一臺(tái)NACS控制器(擴(kuò)展網(wǎng)絡(luò)控制設(shè)備),部署示意圖如圖1所示。

3.2 網(wǎng)絡(luò)準(zhǔn)入控制流程化入網(wǎng)安全策略

根據(jù)內(nèi)網(wǎng)信息安全建設(shè)需求和安全規(guī)范要求,在網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)NACS上統(tǒng)一配置安全策略,終端入網(wǎng)時(shí),需要滿足以下要求,才能正常訪問(wèn)網(wǎng)絡(luò),否則網(wǎng)絡(luò)將會(huì)被及時(shí)阻斷,并上報(bào)管理員。

在終端第一次接入網(wǎng)絡(luò)時(shí)需要進(jìn)行注冊(cè)登記并由管理員審核才能入網(wǎng),杜絕非法接入。同時(shí),要求入網(wǎng)終端必須符合安全規(guī)范要求。

3.3 基于網(wǎng)絡(luò)準(zhǔn)入控制流程化管理實(shí)現(xiàn)的技術(shù)關(guān)鍵點(diǎn)

3.3.1 強(qiáng)制準(zhǔn)入控制技術(shù)

1)VLAN隔離技術(shù)原理。

VLAN隔離技術(shù)的關(guān)鍵是VLAN切換,通過(guò)與接入交換機(jī)進(jìn)行協(xié)議聯(lián)動(dòng),將未通過(guò)認(rèn)證的終端設(shè)備的接入端口切換到隔離VLAN,認(rèn)證通過(guò)的設(shè)備進(jìn)入正常通信VLAN;在正常VLAN中數(shù)據(jù)流不經(jīng)過(guò)準(zhǔn)入設(shè)備。由接入準(zhǔn)入控制系統(tǒng)維護(hù)正常VLAN與隔離VLAN的一對(duì)一的映射關(guān)系,如圖2所示。

2)跨越廣域網(wǎng)環(huán)境的準(zhǔn)入控制實(shí)現(xiàn)——NACS。

獨(dú)立的網(wǎng)絡(luò)可擴(kuò)展設(shè)備ASC控制器,對(duì)由3層網(wǎng)絡(luò)環(huán)境接入的各下屬分局的終端進(jìn)行準(zhǔn)入控制。NACS能夠通過(guò)與下級(jí)的交換機(jī)進(jìn)行聯(lián)動(dòng),實(shí)現(xiàn)端口VLAN的切換,但各項(xiàng)安全規(guī)范策略均由部署在NACS系統(tǒng)進(jìn)行統(tǒng)一管理。

3.3.2 流程化管理設(shè)計(jì)

通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制強(qiáng)制阻斷網(wǎng)絡(luò)后的WEB重定向,對(duì)入網(wǎng)終端通過(guò)WEB引導(dǎo),安裝準(zhǔn)入客戶端程序,進(jìn)行終端注冊(cè)登記并等待管理員授權(quán)審批,最終根據(jù)事先配置的入網(wǎng)終端安全檢查規(guī)范,對(duì)終端的安全狀態(tài)進(jìn)行檢查(防病毒、系統(tǒng)漏洞、弱口令等),一旦發(fā)現(xiàn)安全檢查不合格,則阻斷網(wǎng)絡(luò),并引導(dǎo)進(jìn)行修復(fù),直至安全檢查合規(guī)后,才能放開(kāi)其網(wǎng)絡(luò)訪問(wèn)權(quán)限。在強(qiáng)制控制基礎(chǔ)上來(lái)實(shí)現(xiàn)終端流程化管理。

3.3.3 內(nèi)網(wǎng)終端非法外聯(lián)防護(hù)設(shè)計(jì)

違規(guī)外聯(lián)的檢測(cè)在宿主主機(jī)層面將主要通過(guò)設(shè)定內(nèi)網(wǎng)安全域,采用基于驅(qū)動(dòng)層的流量觸發(fā)機(jī)制進(jìn)行監(jiān)聽(tīng),一旦有訪問(wèn)非內(nèi)網(wǎng)的行為發(fā)生,則判定違規(guī)外聯(lián)發(fā)生,同時(shí)將違規(guī)外聯(lián)流量直接阻斷在硬件層,由于硬件層有統(tǒng)一接口和各網(wǎng)卡相連,因此無(wú)論是3G網(wǎng)卡、USB網(wǎng)卡、有線網(wǎng)卡、無(wú)線網(wǎng)卡,都能夠正確及時(shí)的阻斷,如圖3,圖4所示。

3.3.4 弱口令防護(hù)體系設(shè)計(jì)

NACS網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的弱口令防護(hù)設(shè)計(jì)是通過(guò)字典庫(kù)識(shí)別的方式,設(shè)定好終端通過(guò)函HttpDownload從服務(wù)器下載該字典文件,然后通過(guò)API函數(shù)NetUserEnum枚舉當(dāng)前所有的用戶,之后再通過(guò)API函數(shù)LogonUserA檢查,根據(jù)下載的字典文件遍歷非禁用賬戶的口令,禁用賬戶的口令則通過(guò)API函數(shù)NetUserChangePassword進(jìn)行檢測(cè)。如果在遍歷過(guò)程中發(fā)現(xiàn)了匹配黑名單庫(kù)特征的弱口令,則強(qiáng)制終端修改后入網(wǎng)。

3.3.5 軟件安裝檢測(cè)設(shè)計(jì)

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)通過(guò)終端安全檢查,能夠?qū)K端是否安裝指定的殺毒軟件進(jìn)行檢測(cè)。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)NACS內(nèi)置一個(gè)豐富的殺毒軟件特征庫(kù),能夠識(shí)別出市面上主流的殺毒軟件及版本;同時(shí),經(jīng)過(guò)研究發(fā)現(xiàn),所有的防病毒軟件在終端操作系統(tǒng)中均會(huì)調(diào)用同一個(gè)API接口,因此,利用這一技術(shù)攻關(guān)NACS系統(tǒng)能夠支持通用殺毒軟件檢測(cè)。同時(shí)支持終端軟件安裝的黑/白名單檢查,確保終端環(huán)境的安全、可控。

3.3.6 強(qiáng)大的網(wǎng)絡(luò)透視化功能

通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的強(qiáng)大網(wǎng)絡(luò)透視功能,自動(dòng)掃描、發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備,生成網(wǎng)絡(luò)拓?fù)?,通過(guò)SNMP/TELNET/SSH方式與交換機(jī)進(jìn)行聯(lián)動(dòng),呈現(xiàn)出交換機(jī)圖形化實(shí)時(shí)面板,面板圖形化展現(xiàn)各接口狀態(tài)(up,down,trunk等)以及各接口下聯(lián)的終端詳細(xì)信息(IP、地址、MAC地址等),支持自上而下逐級(jí)查找終端的具體位置、安全狀態(tài)、認(rèn)證用戶、上下線時(shí)間等信息。

4 調(diào)度專網(wǎng)安全框架總結(jié)

網(wǎng)絡(luò)準(zhǔn)入技術(shù)能夠確保調(diào)度專網(wǎng)終端在入網(wǎng)時(shí)首先要進(jìn)行終端實(shí)名,未實(shí)名的被禁止入網(wǎng);在確認(rèn)使用者身份后,通過(guò)對(duì)終端合規(guī)性(各種防病毒軟件、違規(guī)外聯(lián)、弱口令等)進(jìn)行一系列的安全檢查,符合安全策略的終端方可入網(wǎng),反之將其隔離進(jìn)行修復(fù)。

通過(guò)準(zhǔn)入系統(tǒng)的功能實(shí)現(xiàn),使客戶端和外設(shè)管理得到加強(qiáng),同時(shí)配合VLAN隔離技術(shù),將不符合安全策略的客戶端拒之門外,提高了整個(gè)內(nèi)網(wǎng)的安全水平,填補(bǔ)了客戶端和外設(shè)管理上存在的漏洞,進(jìn)一步促進(jìn)了電力終端管理的完善,實(shí)現(xiàn)了客戶端和外設(shè)準(zhǔn)入的自動(dòng)化管理,很好地保障了電力調(diào)度專網(wǎng)的安全。

[1] 聶元銘,董建鋒,周小平.網(wǎng)絡(luò)準(zhǔn)入控制概論[M].北京:科學(xué)出版社,2012.

[2] Stuart McClure,Joel Scambray.黑客大曝光:網(wǎng)絡(luò)安全機(jī)密與解決方案[M].第7版.北京:清華大學(xué)出版社,2013.

[3] Gartner.Magic Quadrant for Network Access Control 2013[Z].2013.

The process management and realization of dispatching special net based on network admission control

Ma Shuqing

(TransportationSchool,InnerMongoliaUniversity,Hohhot010020,China)

Through the analysis on the safety status of dispatching special net, taking the present main security risk as the object, this paper designed a set of network process management security technology system based on network admission control, could be used as the reference and effectively reference for dispatching special net information security construction and management.

dispatching data network, NACS, illegal outreach, security baseline, VLAN isolation

1009-6825(2017)21-0253-02

2017-05-18

馬淑清(1965- ),女,副教授

TP319

A

猜你喜歡
外聯(lián)流程化專網(wǎng)
外聯(lián)內(nèi)和:中小學(xué)合唱教育高水平發(fā)展的區(qū)域行動(dòng)
企業(yè)人才招聘流程化管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
昆鋼科技(2021年4期)2021-11-06 05:31:04
基于IDF技術(shù)實(shí)現(xiàn)違規(guī)外聯(lián)控制探究
電力與能源(2021年3期)2021-03-25 04:20:05
院前急救護(hù)理流程化對(duì)急性顱腦損傷患者急救效果的影響
無(wú)線專網(wǎng)通信在武漢配電自動(dòng)化中的應(yīng)用
活力(2019年21期)2019-04-01 12:17:12
無(wú)線通信技術(shù)在電力通信專網(wǎng)中的應(yīng)用
“具化 瘦身 流程化”責(zé)任落實(shí)3步走
我國(guó)警用通信專網(wǎng)與公網(wǎng)比較研究
PTN在京津塘高速公路視頻專網(wǎng)中的應(yīng)用
手術(shù)分級(jí)流程化管理的實(shí)踐探索
精河县| 静乐县| 临西县| 许昌市| 嵊州市| 怀柔区| 泸溪县| 司法| 禹州市| 富民县| 奈曼旗| 德阳市| 扶风县| 鄂托克旗| 濉溪县| 慈利县| 江陵县| 河源市| 易门县| 新蔡县| 峨眉山市| 昭苏县| 理塘县| 连州市| 常熟市| 顺义区| 新丰县| 阿巴嘎旗| 德格县| 抚松县| 渝北区| 迁安市| 纳雍县| 五台县| 新野县| 花莲市| 徐汇区| 上饶市| 闵行区| 二连浩特市| 诏安县|