国网内蒙古东部电力有限公司信息通信分公司内蒙古呼和浩特010010
摘要:近些年,我国的科学技术不断进步,计算机网络拓扑结构日益复杂的变化,公司的信息安全面临着更高的挑战。如何应对这种挑战,已经成为网络管理者亟待解决的问题。网络准入系统提供了事先审核控制,将系统的风险阻拦在公司的网络之外,从而保证了公司的信息安全。本文就网络准入系统如何在企业信息安全方面发挥更大的作用,提出了研究认识和实施要点。
关键词:准入控制;策略路由;网络安全
引言
近年来,随着信息技术的不断发展,网络技术发生了巨大的变革,正朝着高性能、综合化、智能化、易用化的方向演进,不断满足更有效、更灵活的业务通信和信息获取的需求。在网络变革的同时,非授权人员的网络非法接入问题已成为各企业信息化应用的重大威胁之一。如何有效地防范非授权人员私自接入企业网络,盗用他人身份获取信息,网络准入技术是重要手段之一。
1网络准入控制技术的简介
网络准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。网络准入控制主要思路:终端接入网络之前根据预定安全策略对其进行检查,只允许符合安全策略的终端接入网络,不安全的终端将被隔离于网络之外,自动拒绝不安全的终端接入保护网络,直到这些终端符合网络内的安全策略为止。网络准入控制技术在多年的发展中,经历了三代技术框架的变迁。第三代NAC产品本身是一个网络设备,对网络环境要求很低,一般需要接入层交换机以Trunk方式接入汇聚层即可,主要通过网络层的检测来实现终端接入网络的控制,具有代表性的有虚拟网关、网关、策略路由等技术。
2网络准入技术发展应用现状
目前网络准入技术发展较为成熟,实际应用范围也趋于广泛,正成为支撑信息安全的重要技术手段之一。同时与其它安全和信息化集成应用的典型案例也不乏经典之作。依据各类准入系统所采用的技术类型,当前网络准入应用系统主要可划分为:多链路虚拟网关(MVG)、策略路由、透明网桥、802.1X等类型。多链路虚拟网关(MVG):准入设备通过telnet或SSH的方式连接到接入层交换机,将没有认证或者隔离的设备切换到一个不能上网VLAN的方式,来实现网络准入,接入层交换机到汇聚层或者核心层必须是TRUNK方式连接。此种技术方式,需要将准入设备部署在网络汇聚层,适合有线局域网及家用无线路由器环境。但其部署工作量较大,需要前期配置隔离VLAN。不过这种方式隔离较为彻底,一旦隔离将不能与正常的设备进行网络通讯。策略路由:策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。通过核心交换机的策略路由功能,将用户数据路由的下一跳指向准入控制器,以达到控制网络准入。策略路由可以使数据包按照用户指定的策略进行转发。对于某些管理或者安全的目的,要求某些路由必须经过特定的路径,就可以使用策略路由。通过使用策略路由可以使得设备上的数据经过安全设备,由安全设备进行安全控制,但是可以不用对下行的数据进行控制,进而提高网络的性能。此种技术方式,部署较为灵活,适合企业级无线和小型分支机构环境,也可用于企业有线网络,但被隔离的设备可与本地网络设备进行网络通讯,同时对数流量过大的网络进行数据流重定向时易产生网络瓶颈。
3网络准入控制的实施
3.1基于策略路由的准入方案
该公司的网络交换机品牌以H3C为主,各层交换机之间兼容性好。此次部署的网络准入控制系统基于第三代准入控制技术,是软硬件集成的终端安全管理平台。根据公司的网络现状况与需求,采用基于策略路由的模式,物理旁路方式连接核心交换机。在核心交换机对所管控的网段配置策略路由,需要管控的地址段在相应的VLAN下启用。此模式不需改动网络的拓扑结构,支持的逃生机制简单。基于策略路由的准入方案,通过在核心交换机上利用ACL捕获所有访问核心业务服务器的数据流量,并通过策略路由将捕获的流量发送至已经配置好的下一跳地址。被管控设备的所有上行流量都将经过准入设备并接受安全准入管理,合规终端放行。其上行数据路由为:核心网关→准入设备→核心网关→目标资源。所有访问核心服务器的设备都会被准入设备所控制,从而达到保护核心资源,对入网设备进行准入控制的安全目标。策略路由部署方式只对终端上行流量做重定向,对数据量影响较小。
3.2信息安全管理常态督查
建立常态化信息安全督查机制,实行“分级管理、分类督查、层层递进、滚动整改”的策略,完善自上而下的信息安全管理体系;定量定性分析信息安全管理与技术措施,挖掘信息安全隐患整改深度,量化信息安全考核指标,加大考核力度。每日清理未递交内外网入网申请单,私自接入信息网络的设备、清理安全违规设备;每周清理防病毒软件不合格设备。按照各类要求对基层单位下发整改通知单,限期整改,保证桌面终端的信息实时性。对下线的IP地址及时进行断网绑定,保证IP地址的有效回收再利用。
3.3提升运维人员专业基本功,为桌面终端管控提供有力保障
3.3.1开展基层信息员技能培训针对基层信息员技术水平差异较大,维护区域设备状况不同的特点,开展分批分级的培训机制。机关部门和原区供单位桌面终端硬件配置相对较高,对这些单位信息员的培训主要注重桌面终端接入质量的方面。针对县供电公司桌面终端设备老旧,维护范围及数量比较巨大、信息员技术水平比较落后的特点,制定了详细的培训计划,包含桌面终端基础使用、桌面终端入网检查、网络故障简易维护等。培训有效提升了基层信息员的技术水平和信息安全意识,为今后信息网络安全准入的开展奠定了基础。
3.3.2提升专业运维人员技术水平按照国网公司信息通信普考要求,所有专业运维人员参加普考,全部合格通过。已达到熟练掌握桌面终端管理系统基础配置、策略执行参数配置,掌握系统升级、配置调优、数据备份以及运行故障排除等技术。运维人员技术水平的提高,使桌面终端标准化系统得以更好的利用,布置更合理的策略,使信息网络安全准入后的设备维持自动稳定运行。
4网络准入控制系统上线后的效果
4.1实现了对入网终端的可控管理,确保了每个接入网络的终端符合入网安全管理规范。可快速定位入网终端所属的交换机与端口,查看网络终端的信息和状态。将IP地址与MAC地址进行绑定管理,杜绝了随意更改IP地址的行为。
4.2利用准入控制系统的远程协助,解决终端常见故障,减少了维护量,提高了解决问题的效率。
4.3通过任务管理的软件分发,向客户端推送软件或补丁,便于软件与补丁的安装与更新。
4.4通过准入控制系统的查询统计,可以对入网计算机的硬件资产统计查询并导出资产报表,对硬件资产的管理提供了详实的记录。
结语
综上所述,信息安全对企业越来越重要,它已经成为公司生产安全的重要组成部分。对于笔者所供职的集装箱航运公司来说,更是如此,整个行业对于网络系统的依赖度也愈来愈高。NAC网络准入控制系统作为公司信息和网络的入口,就承担着更加重要的职责,如何用好这个系统,设计好符合公司的解决方案,提升整个公司的信息安全,已经成为一个非常重要的课题。
参考文献:
[1]周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机系统应用,2011,20(1):90.
[2]赵锐.电力信息系统的信息安全技术[J].电子技术与软件工程,2013,21(22):249-251.