摘要：介紹了網(wǎng)絡接入認證控制系統(tǒng)的原理，探討了網(wǎng)絡接入認證控制系統(tǒng)的核心技術、部署方式，通過網(wǎng)絡接入控制系統(tǒng)的實施，實現(xiàn)對終端入網(wǎng)設備的安全認證、訪問權限管理、上網(wǎng)行為審計等全過程的管控，從而杜絕非法終端設備的接入，防止黑客從網(wǎng)絡底層進行攻擊，進一步提高公司信息安全管控水平。

關鍵詞：網(wǎng)絡接入；認證控制；訪問權限；行為審計；安全檢查

引言

近年來，黑客技術的發(fā)展使得處在計算機信息系統(tǒng)環(huán)境下的企業(yè)和人們愈加缺乏安全感，越來越多的安全問題來自于企業(yè)或機構內(nèi)部的終端系統(tǒng)［1-2］。人們逐漸意識到，在應對目前網(wǎng)絡安全風險和威脅時，不僅需要自頂向下的網(wǎng)絡安全體系設計，還需要自底向上保證計算機終端及計算機網(wǎng)絡的安全可信，使得網(wǎng)絡成為一個可信的應用環(huán)境。這其中包括在終端接入前對用戶身份進行認證，對終端進行安全測量和評估，對終端可信狀態(tài)進行審核，確保接入信息系統(tǒng)的終端是一個完全可信的終端。在新技術不斷涌現(xiàn)的背景下，如何在不同的網(wǎng)絡環(huán)境、應用環(huán)境以及業(yè)務環(huán)境的基礎上營造信息系統(tǒng)的可信環(huán)境空間，是每一個信息安全從業(yè)者亟待考慮的問題。針對存在黑客從網(wǎng)絡底層進行最直接、方便快捷攻擊的問題，公司根據(jù)自身網(wǎng)絡運行狀況，開展網(wǎng)絡接入控制技術（NetworkAccessControl，簡稱NAC）的研究，以實現(xiàn)對終端設備接入的全過程安全管控。本文以北信源網(wǎng)絡接入控制系統(tǒng)為例進行闡述。

1系統(tǒng)原理

基于終端可信接入一站式解決方案，是北信源公司“VRVSpecSEC面向網(wǎng)絡空間的終端安全管理體系”的重要組成部分［3-4］。系統(tǒng)原理如圖1所示，主要包括北信源網(wǎng)絡接入控制系統(tǒng)和網(wǎng)絡接入控制模型兩部分。其中網(wǎng)絡接入控制模型包括身份認證、完整性測量、完整性評估、網(wǎng)絡訪問控制。北信源網(wǎng)絡接入控制系統(tǒng)主要用于解決不可信終端的隨意接入可能帶來的企業(yè)網(wǎng)絡及信息資源違規(guī)占用、病毒木馬泛濫、企業(yè)資料泄密以及越權訪問等諸多安全問題。這些不可信終端包括企業(yè)內(nèi)部存在風險漏洞的終端（例如未安裝殺毒軟件、未安裝關鍵補丁）存在不安全策略配置的終端、未經(jīng)身份授權的終端、外來未經(jīng)訪問許可的終端、越權訪問的終端［5-6］等。網(wǎng)絡接入控制系統(tǒng)采用軟硬件結合的方式，以終端驗證和終端安全為基礎，通過身份認證以及安全域控制等手段，從根本上保證接入網(wǎng)絡終端的可信程度，并控制可信計算機的訪問權限，為企業(yè)的終端入網(wǎng)安全管理提供強有力的保障，降低來自于企業(yè)內(nèi)部的信息安全風險。

2核心技術

現(xiàn)階段，智能電網(wǎng)的發(fā)展不僅是降低了電力企業(yè)的運營成本，還在較大程度上提升了電力企業(yè)的運營效率，為電力企業(yè)在復雜的市場環(huán)境中獲得新的優(yōu)勢發(fā)揮了積極的作用。不可否認的是，移動應用的推廣，也在一定程度上增加了電力企業(yè)不安全因素，這些因素對于電力企業(yè)的發(fā)展產(chǎn)生了消極的影響，需要在電力企業(yè)發(fā)展的過程中逐步建立起相應的移動應用安全體系，在解決安全問題的基礎上滿足電力企業(yè)移動應用的需求。

1電力行業(yè)移動應用安全發(fā)展現(xiàn)狀

1.1電力行業(yè)移動應用優(yōu)勢

當前，隨著5G時代的逐步到來，4G的不斷完善，移動終端設備的爆炸式的增長，移動互聯(lián)網(wǎng)行業(yè)獲得了巨大的發(fā)展，不僅是實現(xiàn)了該行業(yè)量的變化，還實現(xiàn)了移動互聯(lián)網(wǎng)質的飛躍。對于電力行業(yè)來說，智能電網(wǎng)已然成為其發(fā)展的重要趨勢，大力推動行業(yè)內(nèi)的移動信息化建設已成為行業(yè)發(fā)展的必然選擇。落實到電力行業(yè)移動應用運營的過程中，以APP為載體，借助于3G、4G以及5G互聯(lián)網(wǎng)、電力企業(yè)專網(wǎng)VPN與APN，還有Wi-Fi等網(wǎng)絡接入形式對現(xiàn)有的業(yè)務服務器進行相關操作，實現(xiàn)了電力相關業(yè)務數(shù)據(jù)的上傳、下載等功能。

1.2電力行業(yè)移動應用面臨的安全問題

電力行業(yè)移動應用中面臨的問題主要包括以下三種：1.2.1移動終端設備潛在的安全風險當前移動互聯(lián)網(wǎng)的快速發(fā)展，智能手機的普及，移動終端設備日趨小型化的同時，由于設備丟失、遺失等問題引起的信息數(shù)據(jù)風險因素也是與日俱增。不僅如此，在移動設備操作的過程中，也是存在著一定的系統(tǒng)漏洞，電力企業(yè)用戶在對其設備進行操作的過程中容易由于無意識的行為給網(wǎng)絡黑客可乘之機。1.2.2安全接入中存在的風險電力企業(yè)當前還存在著安全等級按區(qū)劃分的問題，雖然能夠實現(xiàn)業(yè)務內(nèi)網(wǎng)與業(yè)務外網(wǎng)之間的隔離。但是，由于網(wǎng)絡區(qū)劃過于復雜，用戶訪問較為困難，如果使用未采用安全網(wǎng)絡傳輸通道進行數(shù)據(jù)的傳輸，就極為容易數(shù)據(jù)被竊取的風險。1.2.3服務端口的安全風險在電力行業(yè)中其企業(yè)服務器是黑客入侵的重點區(qū)域，借助于截取網(wǎng)絡通信信息，業(yè)務系統(tǒng)漏洞或者是主機漏洞掃描等操作，能夠讓黑客暴力入侵。一旦發(fā)生這類問題，必然會破壞企業(yè)的服務器的安全體系，引起較大的企業(yè)損失。

2電力行業(yè)移動應用安全體系構建的關鍵技術

摘要：文章首先分析了第五代移動通信技術的開發(fā)現(xiàn)狀，以及技術的主要應用范圍，與4G網(wǎng)絡通信技術相比較，整理出當前移動通訊技術發(fā)展所做出的改變。其次重點探討第五代移動通信技術的應用模式，整理出技術應用的主要變化與應用過程中技術強化的要點部分，幫助讀者對第五代移動通信技術形成更全面地理解。

關鍵詞：第五代移動通信；通信技術；移動網(wǎng)絡

一、第五代移動通信技術的開發(fā)

第五代移動通信技術，是基于4G網(wǎng)絡所構建的高速度傳輸體系，將其定義為5G網(wǎng)絡。5G技術在移動通訊體系中應用，屬于一種比較新穎的技術模式，通常將其定義為傳輸速度可以提升到10GB/s以上的新一代通訊傳輸技術。5G技術在未來的移動通訊市場中將會得到廣泛應用，該技術構建基于寬帶網(wǎng)絡框架與移動信息傳輸框架來進行，會對框架中原有的基礎組件進行使用，同時由于5G技術信息傳輸速度更高。最初所構建的信息傳輸框架，在傳輸速度以及信息穩(wěn)定性方面均落后于5G技術，5G技術應用需要結合GPRS定位衛(wèi)星來進行信息傳輸，實現(xiàn)全球范圍內(nèi)的通訊定位。

二、第五代移動通信技術的應用

1.數(shù)據(jù)流量增長。由于第五代移動通信網(wǎng)絡技術應用后，在通訊信息的傳輸速度方面有明顯提升，因此在相等的單位時間內(nèi)。5G通訊技術與4G通訊技術相比需要消耗更大的流量。這一變化并不是說明5G通訊技術需要占用更大的流量資源，而是在同等時間內(nèi)用戶可以瀏覽到的網(wǎng)絡信息增多，在流量信息使用方面，同一下載內(nèi)容在數(shù)據(jù)傳輸以及網(wǎng)絡流量消耗方面仍然是相同的。介于一些移動通訊網(wǎng)絡用戶對流量的使用額度有特殊要求，5G移動通信網(wǎng)絡中也體現(xiàn)出了網(wǎng)絡信息傳輸?shù)淖詣舆x擇，用戶可以根據(jù)自身的通訊需求來進行4G以及5G網(wǎng)絡之間的切換。影響網(wǎng)絡接入點選擇的因素用戶使用僅占一部分，在一些偏遠地區(qū)5G網(wǎng)絡上未能完全覆蓋，用戶在使用移動通訊網(wǎng)絡時需要移動通訊設備自動切換到4G網(wǎng)絡接入點中，以免網(wǎng)絡環(huán)境中對數(shù)據(jù)資源的下載任務出現(xiàn)中斷，影響到用戶的上網(wǎng)使用體驗[1]。2.聯(lián)網(wǎng)設備數(shù)目擴大。第五代移動通信技術應用后，可以同時滿足更多數(shù)量的聯(lián)網(wǎng)設備運行使用。達到這一使用效果主要原因，是由于第五代移動通信網(wǎng)絡技術的信息處理能力有明顯增大，對于大量的數(shù)據(jù)信息分析處理任務。可以對數(shù)據(jù)整體進行層次劃分，從而形成以數(shù)據(jù)庫為核心的各個單元模塊，所開展的信息分析處理運算任務也是基于各個單元模塊來進行的。5G通信網(wǎng)絡技術在信息處理后，能夠將單元模塊劃分成為一個整體，形成整體后各項信息之間的關聯(lián)性也會得到增加，從而實現(xiàn)聯(lián)網(wǎng)設備與網(wǎng)絡接入環(huán)境之間的結合。用戶可以通過網(wǎng)絡接入設備來選擇穩(wěn)定的接入點，不限時間與地點對網(wǎng)絡環(huán)境中需要下載的信息資源進行使用，第五代移動通信網(wǎng)絡技術形成后，信息接收卡也需要隨之更新，選擇可以識別5G網(wǎng)絡的網(wǎng)卡來使用。這樣移動通訊網(wǎng)絡技術使用，也能夠提升聯(lián)網(wǎng)設備的信息下載速度，尤其是在視頻信息的下載更新中，可以隨著使用需求變化來不斷下載更新內(nèi)容，用戶在這一環(huán)境中可以實現(xiàn)在線流量更新更完整的觀看所需要使用的視頻信息。3.峰值速率提升。移動通訊技術應用后在信息傳輸以及下載中，可以利用更短的時間進入到峰值標準上。與4G通訊網(wǎng)絡技術相比，5G技術對于信息的整合能力更強，移動通訊設備接入到網(wǎng)絡接入點后，可以在短時間內(nèi)達到穩(wěn)定的數(shù)據(jù)信息傳輸狀態(tài)，從而減小了用戶對網(wǎng)絡使用的等待時間[2]。移動通訊技術與網(wǎng)絡數(shù)據(jù)庫進行連接，共同構建出穩(wěn)定的數(shù)據(jù)運行環(huán)境，信息數(shù)據(jù)傳輸時也可以在峰值速率提升的前提下，根據(jù)移動通訊設備所發(fā)出的請求來選擇網(wǎng)絡環(huán)境中需要下載的數(shù)據(jù)。數(shù)據(jù)下載后便可以達到穩(wěn)定的使用狀態(tài)，對于未來的通訊技術發(fā)展，將會實現(xiàn)5G移動通信技術與移動網(wǎng)絡接入設備，在信息處理運算速度上保持一致的狀態(tài)，這樣用戶在上網(wǎng)時便可以體驗到高速的數(shù)據(jù)傳輸。面向2020年的5G時代,在頻譜的使用上將更加高效和靈活，核心技術和系統(tǒng)架構將進一步融合，全球共用一套通信標準將成為5G技術的發(fā)展趨勢。

三、結語

[摘要]電力用戶用電信息采集系統(tǒng)是智能電網(wǎng)中的重要構成部分，涵蓋主站層、通信信道層和終端設備層，系統(tǒng)底層的采集終端極易受到滲透和攻擊，存在較大的信息安全隱患。為此，要引入可信計算技術，基于終端自身的安全角度進行用電信息采集終端的安全分析。

[關鍵詞]用電信息；采集終端；安全

智能用電服務體系順應發(fā)展要求，在用電信息采集系統(tǒng)“全覆蓋、全采集、全費控”的目標下，電力用戶用電信息在采集、處理、傳輸、使用過程中面臨較大的信息安全風險，要在用電信息采集終端中引入可信計算技術，結合用電信息采集終端的設計要求和工作特性，構建可信的用電信息采集終端，提升用戶用電信息采集系統(tǒng)的安全性。

1可信計算及相關技術

終端是存儲數(shù)據(jù)和執(zhí)行具體功能的重要區(qū)域，要關注和提高終端的安全性，從終端的底層入手，進行基本芯片、引導程序、系統(tǒng)啟動扇區(qū)、磁盤目錄的安全分析。可信計算是一種信息系統(tǒng)安全新技術，涵蓋可信軟/硬件、可信網(wǎng)絡和可信計算應用等內(nèi)容，突出可預測性和主動性防御，側重于主動發(fā)現(xiàn)問題和直接禁止危險操作，通過嵌入式安全模塊確保終端的安全性。當前的信息安全防護方法有多種，如：設備外殼包裝、芯片封裝保護、敏感操作、密鑰算法、SSL協(xié)議等，然而這些信息安全防護浮于表象，缺乏深層次的防護，沒有針對終端的信息安全根本性防護，對此可以在電力信息系統(tǒng)中應用可信計算，通過可信平臺模塊構建電力信息系統(tǒng)的可信終端，采用硬件和數(shù)據(jù)加密、簽名認證、安全傳輸協(xié)議等方式，提高電力信息系統(tǒng)的安全性。

2用電信息采集終端的完整性檢測部署

2.1采集終端本地完整性檢測過程分析

1.供電公司網(wǎng)絡安全改造中的常見問題

第一，通過本地認證方式進行本地登陸。供電公司對于這一問題的規(guī)定為：管理SNMP和SSH交換機，SNMP啟用訪問控制列表模式，以Radius認證為基礎實現(xiàn)遠程登錄，全部系統(tǒng)應用者均有獨立賬號，從console進行本地認證能夠由網(wǎng)絡設備登陸本地電腦。第二，ARP攻擊的有效預防。供電公司對于這一問題的規(guī)定為：將DHCPSnooping應用于全部供電設備，DAI應用于全部新設備，避免受到ARP攻擊。通過保留IP的形式，通過DHCP服務器分配地址。第三，HUB（HUB是一個多端口的轉發(fā)器，當以HUB為中心設備時，網(wǎng)絡中某條線路產(chǎn)生了故障，并不影響其他線路的工作）的混接控制。該現(xiàn)象所導致的安全隱患表現(xiàn)為：供電公司的網(wǎng)絡與路由器、HUB等設備相互連接，這就容易增加用戶用電的困難。供電網(wǎng)絡安全改造過程中，利用人工檢查與網(wǎng)管系統(tǒng)相結合的方式，確定相關的UB端口，一次接入，將HUB這一環(huán)節(jié)撤銷，保證增加端口，經(jīng)8換機網(wǎng)管，替代傳統(tǒng)設備，保證網(wǎng)絡與全部交換機接入端口相互連接。第四，為多個部門建立Radius服務器的賬號。供電公司對于這一問題的規(guī)定為：建立獨立的桌面管理系統(tǒng)數(shù)據(jù)庫或是部門之間關聯(lián)的數(shù)據(jù)庫，驗證全部部門用戶密碼和賬戶基本相同。第五，網(wǎng)絡接入認證，確保桌面管理系統(tǒng)的安裝率。供電公司對于這一問題的規(guī)定為：桌面管理系統(tǒng)安裝率100%，嚴格認證網(wǎng)絡和計算機之間的連接。其主要的安全問題是：不安裝桌面客戶端的電腦，電腦終端會自動化分和修復VLAN，訪問服務器，自動將客戶端、殺毒軟件和補丁安裝在電腦上。客戶端安裝后，各部門可以由客戶端進入并選擇，則獲取其中的地址和系統(tǒng)用戶名。

2.供電公司網(wǎng)絡安全的解決途徑

交換機在接入后，IEEE802.1x協(xié)議將會生效，并從Radius服務器中認證用戶。802.1x計算機客戶端軟件在一般狀態(tài)下，與終端接換機接入后，802.1x協(xié)議則會生效，并設定各個端口只能夠認證通過一臺終端。對于相同的HUB和交換，因其不能提供協(xié)議認證端口，能夠進行暫時性的uilt-auth認證，從而確保通過所有終端認證。交換機更換后，取消端口認證，并配置下級交換機認證。將Radius服務器設置于信息中心，從而確保Radius服務器工作的可靠性，并保證2臺以上的Radius服務器，使其實現(xiàn)賬號的自動同步。在配置交換機時，對各個端口的MAC地址數(shù)量進行嚴格控制，設置值默認為1。通過對登陸交換機進行檢查，確定HUB的端口，通過分線的方法達到接入要求，也可用管理交換機替換原來的HUB，從而確保交換機接入端口僅僅存在一臺認證通過的終端與網(wǎng)絡相互連接，也可下接設備為802.1x接入認證提供支持。Cisco交換機與終端端口相互連接后，會將BPDUGUARD功能啟動，進而避免計算機端口與HUB或交換機隨意連接，進而形成網(wǎng)絡環(huán)路。在網(wǎng)絡監(jiān)察過程中，終端可能并未打開，這就容易形成端口與多臺計算機相互連接的現(xiàn)象，需要進行嚴格控制，在其他終端開機后，無法實現(xiàn)網(wǎng)絡連接。信息中心技術支持人員需要配置交換機，保證其與網(wǎng)絡的順利連接。在交換機端口與管理交換機相互連接，而非終端時，需要將BPDPGUARD功能關閉，避免交換機端口的自動關閉。建立每個VLAN獨立的ACL并應用后，實現(xiàn)VLAN之間三層隔離的目標。因為目前的業(yè)務主要體現(xiàn)為信息中心機房內(nèi)，因而VLAN只能夠訪問信息中心服務器，且不限制訪問其他兄弟單位網(wǎng)絡。自動綁定交換機端口和MAC地址，通過“port-securitymaximum”對所有交換機端口接入終端的數(shù)量進行控制。利用DHCP服務器內(nèi)的IP地址保留方式，綁定MAC地址和IP地址，而且，在開啟交換機DAI功能后，只能允許終端以過DHCP方式獲取IP地址，避免終端手動指定IP地址，進而出現(xiàn)IP地址沖突或是盜用問題。聯(lián)合應用DAI和DHCPSnooping，有助于ARP攻擊的控制。以保留IP的形式在DHCP服務器上對IP地址進行重新分配，從而實現(xiàn)綁定IP地址和MAC地址的目標。為了對非法DHCP服務器進行限制，應控制交換機，確保全部終端均獲得合法DHCP服務器的地址。少數(shù)計算機需要經(jīng)常性與各個VLAN網(wǎng)絡接入，應實現(xiàn)VLAN內(nèi)各個IP地址的分配。

3.結語

綜上所述，隨著供電公司網(wǎng)絡安全改造過程的逐步深入，由此所導致的困難和問題也逐步凸顯，并引起了相關企業(yè)管理人員的關注。因為變電站漫游障礙是供電公司網(wǎng)絡安全改造中最經(jīng)常遇到的問題，所以維操隊工作人員需要收集各種筆記本電腦的MAC地址，并綁定需要介入的電站內(nèi)交換機指定端口。維操隊工作人員的筆記本只能夠與特定端口相連接，這一處理方法能夠最大限度地提高操作站內(nèi)筆記本應用的安全性和便利性。

作者：曾隆豐 單位：江西煤業(yè)集團有限公司豐城電力分公司