论文部分内容阅读
引言:网络安全接入管理是现代网络安全发展趋势下针对信息安全必用的管理手段。本文根据电力企业省地县一体化运维、分级管控的运维需求,对网络设备安全接入管理技术进行研究,提出了适用于浙江电力省地县一体化信息网络的网络设备安全接入管理系统部署方案。
引言
随着国家电网公司“三集五大”体系建设不断深入和浙江省电力公司信通业务省地县一体化管理的实施,信息系统集中化程度日益提高,主要信息系统均采用国网公司一级部署或国网公司及省公司二级部署的模式,系统设备及数据均位于国网公司及省公司层面,数据集中度日益提高,信息网络基础平台在电力企业信息化中发挥着越来越重要的支撑作用,信息网络运行管理、安全管理提出了更高的要求和标准,因此,建设一个一体化的网络设备安全接入管理系统,对网络设备进行统一的、规范的安全运维和管理,成为当前信息网络运维支撑体系需要迫切解决的问题。
一、省地县一体化信息网络安全运维需求
浙江省电力公司省地县一体化信息网络省地县三级信息运维部门按照一体化运维、分级管控的原则,对各自所辖范围内的网络设备进行运维工作。由于缺乏全省统一的信息网络设备安全接入管控平台,各级运维单位采用自建AAA服务器、静态维护网络设备用户名密码等方式实现网络设备的接入管理,缺乏统一的安全基准,信息网络安全运维面临较高的风险,迫切需要建设从上到下一体贯通、分级管控、协同工作的网络设备安全接入管理系统,并遵循以下原则:
1)统一性原则。信息网络和网络设备安全接入管理系统都建立在“一个整体”的基础之上,以一体化运作、集约化管理、分级管控为主导思想,实现一体化建设、一体化管理、一体化运维、分级管控。
2) 经济性原则。信息网络整体规模庞大、运维单位众多,网络设备安全接入管理系统建设时需充分考虑投资经济性,避免重复投资。
3) 标准性原则。网络设备安全接入管理系统必须遵循业界公认的标准,制定一个高兼容性架构,确保设备、技术的互通和互操作性,方便快速部署,以适应业务的快速增长。
4) 安全性原则。能够提供网络设备运维全面的安全接入防护策略,确保网络设备“可控、能控、在控”。
二、AAA安全认证接入技术
为了确保网络接入安全可靠,目前国内外各类大、中型公司企业基本采用的网络设备安全接入管理方案是使用AAA身份认证系统,即认证、授权、统计,以此满足公司企业的信息安全防护需求。
认证(Authentication):认证用以决定用户的身份,以及是否允许访问设备及资源,阻止入侵者进入网络设备及系统。
授权(Authorization):授权可以限制每个用户可获得的网络服务及资源,有助于限制内部网络及资源对访问者的暴露。网络设备安全接入管理系统可以使用授权允许登陆的运维人员只能执行特定的命令,实现设备运维的精细化管理。
统计(Accounting):网络设备安全接入管理系统对所有登录到网络设备的运维人员及所进行的操作进行统计记录。统计功能可以实现对运维人员操作行为的跟踪以及后期的行为审计。
当前AAA身份认证系统的采用的协议主要有RADIUS和DIAMETER,这两个协议有其特定的产生背景,它们的技术特点、工作模式均有较大的差异,各有不同的适用范围。
RADIUS协议基于UDP协议,采用C/S工作模式,适用于集中部署的工作方式,并且没有定义重传机制,不具备失败恢复机制;DIAMETER协议是下一代AAA认证协议,解决了RADIUS认证协议存在的诸多不足之处,工作于TCP协议,采用peer-to-peer工作模式,定义了重传机制并且具备失败恢复机制。尽管DIAMETER协议存在诸多更有利的地方,但从目前的应用环境来看,RADIUS协议的实现更加成熟,并且RADIUS有众多优秀的开源软件。电力企业信息网络中AAA身份认证系统有其特殊的工作环境,重点需要解决的是面对众多品牌设备的兼容性,系统应具有良好的二次开发能力以便与众多的运维支撑系统实现互动,在电力信息网络可提供较大工作带宽、较低网络时延以及较高可靠性的前提下,RADIUS协议更适用于电力企业信息网络的AAA身份认证系统。
三、省地县一体化信息网络的网络设备安全接入方案
目前IT行业基于AAA认证管理的信息网络接入管理有思科公司ACS(Access Control Server)、RSA数据安全有限公司的RSA SecurityID/ACE等成熟的商品化解决方案,此类网络接入管理系统基本能够解决现有网络中认证、授权、统计等问题,甚至提供双因素认证功能,但也有较大的不足之处,主要体现为不具备网络设备管理的针对性,对于需要进行操作审计、分级管理、系统级联的一体化管控环境难以达到目的。
适用于省地县一体化信息网络的网络设备安全接入AAA系统解决方案需求与普通的AAA系统存在较多的不同之处,主要体现在以下三点:(1)省地县一体化信息网络是一个规模庞大、结构复杂的企业信息网络,网络设备安全接入管理需求远比普通AAA系统复杂和多元化;(2)省地县一体化电力信息网络采用一体化运维、分级管控的运维方式,AAA系统必须能够适应这种统一标准、分区分域管控的管理模式,能够支持不同用户及用户组的分级管理及权限控制;(3)省地县一体化信息网络中,网络结构复杂、维护机构众多,要实现一体化运维、分级管控,就必须实现多种品牌网络设备接入的详细授权和审计功能,具备针对新类型设备接入后的用户自定义配置功能。
基于目前的主流AAA认证平台不能很好满足浙江电力复杂环境下的信息网络设备安全接入管控,因此需基于通用AAA认证平台根据浙江电力省地县一体化运维需求进行定制开发,在现有基础上采用集中部署分级管理模式,通过权组划分、底层接口开发方式,通过用户账号、分组管理等方式支持省、地市、县三级管理模式,同时对授权用户的操作权限进行分类约束,实现全省信息网络的分级管控;此外采用横向桥接技术增加针对电力信息网络运维系统的数据接口,保留双因素认证接口等,满足电力企业一单两票、ITSM信息运维管理系统的联动操作需求。
四、结束语
省地县一体化网络设备安全接入管理系统能满足浙江电力信息网在新形势下的运行支撑需求,实现省地县三级运维机构的一体化管控、分区分域分级管控,并且在进行二次定制开发后,满足电力企业一单两票的规范化要求,能够与电力企业现有的ITSM信息运维管理系统实现联动,从而在信息网络运维的计划制定、工作许可、工作执行等环节实现全过程的规范化、精细化管理。
参考文献
[1]贾贤伟,王淑伟,覃伯平.一种集成化的基于Diameter的AAA服务器设计方案[J].计算机应用研究,2007(5):253-255.
[2]崔晓波.RADIUS协议的研究.[J].中国数据通信,2010(2).
(作者单位:国网浙江省电力公司杭州供电公司)
引言
随着国家电网公司“三集五大”体系建设不断深入和浙江省电力公司信通业务省地县一体化管理的实施,信息系统集中化程度日益提高,主要信息系统均采用国网公司一级部署或国网公司及省公司二级部署的模式,系统设备及数据均位于国网公司及省公司层面,数据集中度日益提高,信息网络基础平台在电力企业信息化中发挥着越来越重要的支撑作用,信息网络运行管理、安全管理提出了更高的要求和标准,因此,建设一个一体化的网络设备安全接入管理系统,对网络设备进行统一的、规范的安全运维和管理,成为当前信息网络运维支撑体系需要迫切解决的问题。
一、省地县一体化信息网络安全运维需求
浙江省电力公司省地县一体化信息网络省地县三级信息运维部门按照一体化运维、分级管控的原则,对各自所辖范围内的网络设备进行运维工作。由于缺乏全省统一的信息网络设备安全接入管控平台,各级运维单位采用自建AAA服务器、静态维护网络设备用户名密码等方式实现网络设备的接入管理,缺乏统一的安全基准,信息网络安全运维面临较高的风险,迫切需要建设从上到下一体贯通、分级管控、协同工作的网络设备安全接入管理系统,并遵循以下原则:
1)统一性原则。信息网络和网络设备安全接入管理系统都建立在“一个整体”的基础之上,以一体化运作、集约化管理、分级管控为主导思想,实现一体化建设、一体化管理、一体化运维、分级管控。
2) 经济性原则。信息网络整体规模庞大、运维单位众多,网络设备安全接入管理系统建设时需充分考虑投资经济性,避免重复投资。
3) 标准性原则。网络设备安全接入管理系统必须遵循业界公认的标准,制定一个高兼容性架构,确保设备、技术的互通和互操作性,方便快速部署,以适应业务的快速增长。
4) 安全性原则。能够提供网络设备运维全面的安全接入防护策略,确保网络设备“可控、能控、在控”。
二、AAA安全认证接入技术
为了确保网络接入安全可靠,目前国内外各类大、中型公司企业基本采用的网络设备安全接入管理方案是使用AAA身份认证系统,即认证、授权、统计,以此满足公司企业的信息安全防护需求。
认证(Authentication):认证用以决定用户的身份,以及是否允许访问设备及资源,阻止入侵者进入网络设备及系统。
授权(Authorization):授权可以限制每个用户可获得的网络服务及资源,有助于限制内部网络及资源对访问者的暴露。网络设备安全接入管理系统可以使用授权允许登陆的运维人员只能执行特定的命令,实现设备运维的精细化管理。
统计(Accounting):网络设备安全接入管理系统对所有登录到网络设备的运维人员及所进行的操作进行统计记录。统计功能可以实现对运维人员操作行为的跟踪以及后期的行为审计。
当前AAA身份认证系统的采用的协议主要有RADIUS和DIAMETER,这两个协议有其特定的产生背景,它们的技术特点、工作模式均有较大的差异,各有不同的适用范围。
RADIUS协议基于UDP协议,采用C/S工作模式,适用于集中部署的工作方式,并且没有定义重传机制,不具备失败恢复机制;DIAMETER协议是下一代AAA认证协议,解决了RADIUS认证协议存在的诸多不足之处,工作于TCP协议,采用peer-to-peer工作模式,定义了重传机制并且具备失败恢复机制。尽管DIAMETER协议存在诸多更有利的地方,但从目前的应用环境来看,RADIUS协议的实现更加成熟,并且RADIUS有众多优秀的开源软件。电力企业信息网络中AAA身份认证系统有其特殊的工作环境,重点需要解决的是面对众多品牌设备的兼容性,系统应具有良好的二次开发能力以便与众多的运维支撑系统实现互动,在电力信息网络可提供较大工作带宽、较低网络时延以及较高可靠性的前提下,RADIUS协议更适用于电力企业信息网络的AAA身份认证系统。
三、省地县一体化信息网络的网络设备安全接入方案
目前IT行业基于AAA认证管理的信息网络接入管理有思科公司ACS(Access Control Server)、RSA数据安全有限公司的RSA SecurityID/ACE等成熟的商品化解决方案,此类网络接入管理系统基本能够解决现有网络中认证、授权、统计等问题,甚至提供双因素认证功能,但也有较大的不足之处,主要体现为不具备网络设备管理的针对性,对于需要进行操作审计、分级管理、系统级联的一体化管控环境难以达到目的。
适用于省地县一体化信息网络的网络设备安全接入AAA系统解决方案需求与普通的AAA系统存在较多的不同之处,主要体现在以下三点:(1)省地县一体化信息网络是一个规模庞大、结构复杂的企业信息网络,网络设备安全接入管理需求远比普通AAA系统复杂和多元化;(2)省地县一体化电力信息网络采用一体化运维、分级管控的运维方式,AAA系统必须能够适应这种统一标准、分区分域管控的管理模式,能够支持不同用户及用户组的分级管理及权限控制;(3)省地县一体化信息网络中,网络结构复杂、维护机构众多,要实现一体化运维、分级管控,就必须实现多种品牌网络设备接入的详细授权和审计功能,具备针对新类型设备接入后的用户自定义配置功能。
基于目前的主流AAA认证平台不能很好满足浙江电力复杂环境下的信息网络设备安全接入管控,因此需基于通用AAA认证平台根据浙江电力省地县一体化运维需求进行定制开发,在现有基础上采用集中部署分级管理模式,通过权组划分、底层接口开发方式,通过用户账号、分组管理等方式支持省、地市、县三级管理模式,同时对授权用户的操作权限进行分类约束,实现全省信息网络的分级管控;此外采用横向桥接技术增加针对电力信息网络运维系统的数据接口,保留双因素认证接口等,满足电力企业一单两票、ITSM信息运维管理系统的联动操作需求。
四、结束语
省地县一体化网络设备安全接入管理系统能满足浙江电力信息网在新形势下的运行支撑需求,实现省地县三级运维机构的一体化管控、分区分域分级管控,并且在进行二次定制开发后,满足电力企业一单两票的规范化要求,能够与电力企业现有的ITSM信息运维管理系统实现联动,从而在信息网络运维的计划制定、工作许可、工作执行等环节实现全过程的规范化、精细化管理。
参考文献
[1]贾贤伟,王淑伟,覃伯平.一种集成化的基于Diameter的AAA服务器设计方案[J].计算机应用研究,2007(5):253-255.
[2]崔晓波.RADIUS协议的研究.[J].中国数据通信,2010(2).
(作者单位:国网浙江省电力公司杭州供电公司)