网络安全存在的问题及其对策

陈 信， 陈 伟， 白 涧

(国网滁州供电公司，安徽 滁州 239000)

网络准入技术的核心意义是阻止恶意程序如蠕虫、病毒等对用户的网络安全造成侵害。准入控制的目的是确保在终端用户接入网络之前，识别并判断用户的身份是否为可信，只放行合规的并且可信的终端设备访问网络，而阻止其它设备访问。另外，也能够阻止有重大安全漏洞存在安全隐患的终端设备访问网络。

1 突出问题

现实中的突出问题主要表现在10个方面(如图1所示)。

(1)私有设备接入网络。随着BYOD的流行，越来越多的职员将个人移动设备接入企业内部网络，然而由于个人移动设备先天的互联网属性，很容易感染如木马等各类病毒，一方面有对内网产生冲击的风险，另一方面可能会使企业关键核心数据的遭到泄漏。如何管理私有设备私自接入内部网络是网络管理员十分头疼的问题。

图1 网络准入技术可解决企业的十大突出问题

(2)私接网络设备。个别职员为了方便自己个人的多台终端设备上网，私自接HUB、无线AP等网络设备，然后将违规的私人终端接入内部网络，这种间接接入的方式绕过安全检查。另外，由于个人无线AP的不安全属性，其在电力行业是严格禁止的，同时也不满足网络安全等级保护要求，很容易造成关键数据被监听或受到攻击。

(3)主机规范不落地。电网公司设备都统一安装网络版杀毒软件等，防止病毒、木马等在网络中传播，但是这些硬性要求不能够百分百的落实，单纯靠人力去检查，免不了有麻痹大意疏忽的时候，因此总有漏网之鱼。主要原因就是缺乏有效的技术手段来规范入网设备。

(4)责任不能定位到人。电力公司的信息网络如电力调度数据网，是基于IP技术实现管理的，常用的网络安全设备，如入侵检测系统、入侵防御系统、防火墙、纵向加密认证装置、隔离网闸等都是基于IP地址运行的，但IP地址的修改和伪造是很容易的，一般人员都可以实现。例如，入侵防御系统发生告警后，只是提示某某IP地址发生了某某安全事件，但安全专责无法找到真正设备的操作员或运维员，无法责任到人。

(5)设备非法外联。电力调度数据网是严格禁止直接接入互联网的，但是有些职员为了快速并方便地在内网和互联网之间切换工作或通过互联网远程运维，从而在内网设备安装3G/4G移动无线上网卡，将其连接到互联网上。非法外联给网络安全埋下了严重的安全隐患，一旦发生就会造成内外网直接连通，使得内网和外网之间的物理和逻辑隔离装置形同虚设，造成巨大投入全部归零。

(6)仿冒问题。电力企业为了管理考虑一般采用统一的IP地址规划，然后通过配置访问控制策略来严格控制IP地址的访问权限。有些职员为了规避管理而修改IP地址甚至是MAC地址、使用某种技术手段进行非法接入。

(7)资产管理混乱。电力企业终端台账信息统计不全或不准的情况是客观存在的，同时限于人力不足的客观现实，大量新增或淘汰的设备信息不能及时在台账信息中体现，即使有所体现终端设备情况也是记录不全。造成台账信息跟实际情况不能完全匹配。

(8)外部人员随意访问网络。电力企业拥有庞大的信息网络和数量巨大的终端设备，运维外包逐渐成为趋势，因此除了自家职员外还有第三方公司的技术支持或运维人员参加到日常的管理工作中，为了安全起见除了和第三方公司签署保密协议外，应当采用技术手段来控制网络权限，只对第三方授予最小权限来访问指定的终端设备。这对网络管理人员来说是一项极为细致和复杂的工作，某些管理人员为了降低自己的工作难度干脆将权限放开，授予第三方与职员相同的网络访问权限，这带来极大的网络安全风险。

(9)缺少物理位置定位。当终端设备运行中出故障的时候，现场专责往往无法准确并快速定位终端设备的物理位置，而只能登录核心交换机并采用命令行方式一层层往下查找，然后配合网络拓扑图、台账等才能定位到终端设备的具体位置，工作效率很低。然而现场专责很多都不具备交换机技术，再加上网络拓扑图和台账信息更新不及时，这样故障发生时，更是不知所措。

(10)桌面客户端与日俱增。为了工作的便利性，终端设备上安装大量的客户端软件，对客户端软件的有效管理也是让管理员感到力不从心的事情。

上述问题产生的主要原因是没有对网络边界进行管理，没有对网络接入进行控制，没有对使用终端的人进行定位，这正是网络准入技术要解决的现实问题。

2 解决对策(多种技术融合)

新一代准入控制技术，不同于传统的单一准入局限性，需采用混合式准入原理，支持多种准入技术：802.1x、DHCP、ARP、SNMP、SPAN、SVB、SPS、AGENT兼容各种网络环境。

在实际应用中的网络环境各种各样，可简单归类为2种，即交换网(2层网络)，判断依据：网关都在核心交换机。路由网(3层网络)，判断依据：核心之间基于路由互联。需要考虑不同的准入技术，适应于哪种网络环境，具体分析如表1所列。

表1 不同准入技术适合的环境

结合部署便捷度、对网络影响程度、实现的准入效果及客户的喜好等多元素考虑，文章就不同的准入原理给予推荐，如表2所列。

表2 推荐使用融合技术

交换网环境，动态环境，推荐启用DHCP准入原理，静态环境推荐启用ARP准入原理，动静混合环境推荐启用DHCP+ARP。其次，在交换网中，本文推荐还可以使用SNMP/SVB/SPS/SPAN。

路由网，即核心之间基于路由互联的网络，本文推荐动态环境下使用DHCP，结合交换机特有的DHCP SNOOPING+DAI，打造严格的动态环境下的准入方案。静态环境下，推荐启用SNMP，SPAN+客户端的准入原理。其次，在路由网情况下还可以使用SPS。

3 结束语

在实际应用中，单一的准入技术的使用是无法解决企业面临的各种问题，需要支持多种准入控制技术，通过多种准入技术的混合融合方案，各种技术取长补短，达到良好的可兼容、可扩展和可适用来解决企业面临的难题。

[参 考 文 献]

[1] 聂元铭,董建锋,周小平.网络准入控制概论[M].北京:科学出版社,2012.

[2] 于微伟.网络准入控制系统关键技术研究与实现[D].国防科技大学,2010.

[3] 李凤华,熊金波.复杂网络环境下访问控制技术[M].北京:人民邮电出版社,2016.