网络接入管理全文(5篇)

摘要：介绍了网络接入认证控制系统的原理，探讨了网络接入认证控制系统的核心技术、部署方式，通过网络接入控制系统的实施，实现对终端入网设备的安全认证、访问权限管理、上网行为审计等全过程的管控，从而杜绝非法终端设备的接入，防止黑客从网络底层进行攻击，进一步提高公司信息安全管控水平。

关键词：网络接入；认证控制；访问权限；行为审计；安全检查

引言

近年来，黑客技术的发展使得处在计算机信息系统环境下的企业和人们愈加缺乏安全感，越来越多的安全问题来自于企业或机构内部的终端系统［1-2］。人们逐渐意识到，在应对目前网络安全风险和威胁时，不仅需要自顶向下的网络安全体系设计，还需要自底向上保证计算机终端及计算机网络的安全可信，使得网络成为一个可信的应用环境。这其中包括在终端接入前对用户身份进行认证，对终端进行安全测量和评估，对终端可信状态进行审核，确保接入信息系统的终端是一个完全可信的终端。在新技术不断涌现的背景下，如何在不同的网络环境、应用环境以及业务环境的基础上营造信息系统的可信环境空间，是每一个信息安全从业者亟待考虑的问题。针对存在黑客从网络底层进行最直接、方便快捷攻击的问题，公司根据自身网络运行状况，开展网络接入控制技术（NetworkAccessControl，简称NAC）的研究，以实现对终端设备接入的全过程安全管控。本文以北信源网络接入控制系统为例进行阐述。

1系统原理

基于终端可信接入一站式解决方案，是北信源公司“VRVSpecSEC面向网络空间的终端安全管理体系”的重要组成部分［3-4］。系统原理如图1所示，主要包括北信源网络接入控制系统和网络接入控制模型两部分。其中网络接入控制模型包括身份认证、完整性测量、完整性评估、网络访问控制。北信源网络接入控制系统主要用于解决不可信终端的随意接入可能带来的企业网络及信息资源违规占用、病毒木马泛滥、企业资料泄密以及越权访问等诸多安全问题。这些不可信终端包括企业内部存在风险漏洞的终端（例如未安装杀毒软件、未安装关键补丁）存在不安全策略配置的终端、未经身份授权的终端、外来未经访问许可的终端、越权访问的终端［5-6］等。网络接入控制系统采用软硬件结合的方式，以终端验证和终端安全为基础，通过身份认证以及安全域控制等手段，从根本上保证接入网络终端的可信程度，并控制可信计算机的访问权限，为企业的终端入网安全管理提供强有力的保障，降低来自于企业内部的信息安全风险。

2核心技术

现阶段，智能电网的发展不仅是降低了电力企业的运营成本，还在较大程度上提升了电力企业的运营效率，为电力企业在复杂的市场环境中获得新的优势发挥了积极的作用。不可否认的是，移动应用的推广，也在一定程度上增加了电力企业不安全因素，这些因素对于电力企业的发展产生了消极的影响，需要在电力企业发展的过程中逐步建立起相应的移动应用安全体系，在解决安全问题的基础上满足电力企业移动应用的需求。

1电力行业移动应用安全发展现状

1.1电力行业移动应用优势

当前，随着5G时代的逐步到来，4G的不断完善，移动终端设备的爆炸式的增长，移动互联网行业获得了巨大的发展，不仅是实现了该行业量的变化，还实现了移动互联网质的飞跃。对于电力行业来说，智能电网已然成为其发展的重要趋势，大力推动行业内的移动信息化建设已成为行业发展的必然选择。落实到电力行业移动应用运营的过程中，以APP为载体，借助于3G、4G以及5G互联网、电力企业专网VPN与APN，还有Wi-Fi等网络接入形式对现有的业务服务器进行相关操作，实现了电力相关业务数据的上传、下载等功能。

1.2电力行业移动应用面临的安全问题

电力行业移动应用中面临的问题主要包括以下三种：1.2.1移动终端设备潜在的安全风险当前移动互联网的快速发展，智能手机的普及，移动终端设备日趋小型化的同时，由于设备丢失、遗失等问题引起的信息数据风险因素也是与日俱增。不仅如此，在移动设备操作的过程中，也是存在着一定的系统漏洞，电力企业用户在对其设备进行操作的过程中容易由于无意识的行为给网络黑客可乘之机。1.2.2安全接入中存在的风险电力企业当前还存在着安全等级按区划分的问题，虽然能够实现业务内网与业务外网之间的隔离。但是，由于网络区划过于复杂，用户访问较为困难，如果使用未采用安全网络传输通道进行数据的传输，就极为容易数据被窃取的风险。1.2.3服务端口的安全风险在电力行业中其企业服务器是黑客入侵的重点区域，借助于截取网络通信信息，业务系统漏洞或者是主机漏洞扫描等操作，能够让黑客暴力入侵。一旦发生这类问题，必然会破坏企业的服务器的安全体系，引起较大的企业损失。

2电力行业移动应用安全体系构建的关键技术

摘要：文章首先分析了第五代移动通信技术的开发现状，以及技术的主要应用范围，与4G网络通信技术相比较，整理出当前移动通讯技术发展所做出的改变。其次重点探讨第五代移动通信技术的应用模式，整理出技术应用的主要变化与应用过程中技术强化的要点部分，帮助读者对第五代移动通信技术形成更全面地理解。

关键词：第五代移动通信；通信技术；移动网络

一、第五代移动通信技术的开发

第五代移动通信技术，是基于4G网络所构建的高速度传输体系，将其定义为5G网络。5G技术在移动通讯体系中应用，属于一种比较新颖的技术模式，通常将其定义为传输速度可以提升到10GB/s以上的新一代通讯传输技术。5G技术在未来的移动通讯市场中将会得到广泛应用，该技术构建基于宽带网络框架与移动信息传输框架来进行，会对框架中原有的基础组件进行使用，同时由于5G技术信息传输速度更高。最初所构建的信息传输框架，在传输速度以及信息稳定性方面均落后于5G技术，5G技术应用需要结合GPRS定位卫星来进行信息传输，实现全球范围内的通讯定位。

二、第五代移动通信技术的应用

1.数据流量增长。由于第五代移动通信网络技术应用后，在通讯信息的传输速度方面有明显提升，因此在相等的单位时间内。5G通讯技术与4G通讯技术相比需要消耗更大的流量。这一变化并不是说明5G通讯技术需要占用更大的流量资源，而是在同等时间内用户可以浏览到的网络信息增多，在流量信息使用方面，同一下载内容在数据传输以及网络流量消耗方面仍然是相同的。介于一些移动通讯网络用户对流量的使用额度有特殊要求，5G移动通信网络中也体现出了网络信息传输的自动选择，用户可以根据自身的通讯需求来进行4G以及5G网络之间的切换。影响网络接入点选择的因素用户使用仅占一部分，在一些偏远地区5G网络上未能完全覆盖，用户在使用移动通讯网络时需要移动通讯设备自动切换到4G网络接入点中，以免网络环境中对数据资源的下载任务出现中断，影响到用户的上网使用体验[1]。2.联网设备数目扩大。第五代移动通信技术应用后，可以同时满足更多数量的联网设备运行使用。达到这一使用效果主要原因，是由于第五代移动通信网络技术的信息处理能力有明显增大，对于大量的数据信息分析处理任务。可以对数据整体进行层次划分，从而形成以数据库为核心的各个单元模块，所开展的信息分析处理运算任务也是基于各个单元模块来进行的。5G通信网络技术在信息处理后，能够将单元模块划分成为一个整体，形成整体后各项信息之间的关联性也会得到增加，从而实现联网设备与网络接入环境之间的结合。用户可以通过网络接入设备来选择稳定的接入点，不限时间与地点对网络环境中需要下载的信息资源进行使用，第五代移动通信网络技术形成后，信息接收卡也需要随之更新，选择可以识别5G网络的网卡来使用。这样移动通讯网络技术使用，也能够提升联网设备的信息下载速度，尤其是在视频信息的下载更新中，可以随着使用需求变化来不断下载更新内容，用户在这一环境中可以实现在线流量更新更完整的观看所需要使用的视频信息。3.峰值速率提升。移动通讯技术应用后在信息传输以及下载中，可以利用更短的时间进入到峰值标准上。与4G通讯网络技术相比，5G技术对于信息的整合能力更强，移动通讯设备接入到网络接入点后，可以在短时间内达到稳定的数据信息传输状态，从而减小了用户对网络使用的等待时间[2]。移动通讯技术与网络数据库进行连接，共同构建出稳定的数据运行环境，信息数据传输时也可以在峰值速率提升的前提下，根据移动通讯设备所发出的请求来选择网络环境中需要下载的数据。数据下载后便可以达到稳定的使用状态，对于未来的通讯技术发展，将会实现5G移动通信技术与移动网络接入设备，在信息处理运算速度上保持一致的状态，这样用户在上网时便可以体验到高速的数据传输。面向2020年的5G时代,在频谱的使用上将更加高效和灵活，核心技术和系统架构将进一步融合，全球共用一套通信标准将成为5G技术的发展趋势。

三、结语

随着移动智能设备的普及和无线网络技术的快速发展，用户的上网方式也发生了巨大改变，网络接入由传统的有线网络接入转为无线接入方式，上网终端也更加多样化。为了能随时随地接入网络，无线网络逐渐进入人们的学习生活中。无线网络作为一种短距离的无线传输技术，可为一定范围内的无线终端接入网络中，大大提高了便利性及体验度。但是，随着人们对无线网络使用度的提高，及移动电商、移动支付的兴起，无线网络的安全性日益重要。

1无线网络概述

无线网络是一种利用射频技术实现无线数据通信的网络，该技术的出现，弥补了传统有线网络的不足，达到了延伸网络的目的，使得用户实现了随时随地畅通网络。无线网络技术具有如下几个特点[1]。（1）布线灵活，施工成本低。传统的有线局域网需要穿墙挖洞，埋管布线，施工成本高。无线网络只需布线至无线接入点位置，就能实现该区域的网络覆盖，方便快捷的网络组建方式，大大降低了成本。（2）信号覆盖面广，上网方式灵活。无线网络信号覆盖广，普通的家用无线路由器能在空旷的地方传输100m，室内覆盖十几米，能穿透3~4堵砖墙，穿透1~2堵混凝土墙，用户在无线网络覆盖的地方，均可实现网络接入，上网方式灵活方便。（3）组网灵活。传统的有线网络在有信息点的地方才能接入网络，如果网络建设初期没有规划信息点，后期很难满足业务发展的需求，而无线网络只需要根据用户群实际需求进行规划，调整AP数量和位置，就可以实现网络的接入。

2无线网络安全标准

当前无线网络安全标准，有美国电气电子工程师协会（InstituteofElectricalandElectronicsEngineers，IEEE）制定的，也有我国制定的，大致有以下3种。2.1WEP协议。有线等效加密（WiredEquivalentPrivacy，WEP）是最基本的无线安全加密协议，对用户接入网络提供认证机制，防止未授权用户接入。在客户端和无线AP连接过程中，会有4次握手的过程：第一次握手，客户端发送认证请求给无线AP，帧控制头里面包括了源地址、目标地址等信息；第二次握手，无线AP收到请求后，发送一个包含64或者128位随机数列的挑战字符串给客户端；第三次握手，当客户端收到无线AP的响应帧后，用RC4算法对无线的密钥和挑战字符串进行加密，然后发回给无线AP；第四次握手，无线AP用RC4加密算法对自身的密钥和挑战字符串加密，并与客户端发来的信息进行对比，如果匹配正确，说明客户端的密钥和无线AP密钥相同，则发送认证成功的信息给客户端[2]，2.2WPA协议。无线保护接入安全机制（WiFiProtectedAccess，WPA）适用于中小型企业无线网络及家庭无线网络。WEP的加密机制存在着一些缺陷，如密钥管理简单，没有有效保护消息完整性等。WPA是对WEP加密方式的改进，有WPA和WPA2两个标准，WPA依然采用与WEP相同的加密算法，是在802.11i完备之前替代WEP的过渡方案。WPA2是WPA的第二代，在802.11i的标准上制定的，它采用更安全的加密算法，从而为企业提供了较安全的保护。例如WPA2-PSK加密方式采用PSK认证算法+TKIP加密算法，或CCMP加密算法，安全性较高，如果采用的是CCMP加密算法，目前还没有被破解[3]。2.3WAPI协议。无线局域网鉴别和保密的安全协议（WirelessLANAuthenticationandPrivacyInfrastructure，WAPI）由中国自主研发，拥有自主知识产权的无线局域网安全标准，在2003年5月，由我国科技部、信息产业部、国家发改委等部门联合为国家标准，是中国无线局域网安全的强制性标准。WAPI有两种鉴别方式：预共享密钥鉴别和证书鉴别。认证过程简单，预共享密钥鉴别通过配置无线密钥，用户输入密钥接入网络；证书鉴别方式通过数字证书作为无线设备和用户的身份认证，防止密钥被盗后未授权者访问网络，安全性更高。WAPI可实现双向身份鉴别，能对无线用户和无线AP之间进行双向认证，既可以防止未授权用于接入网络，又可以检测假冒AP伪装成合法设备，安全强度较高[4]。

3无线网络面临的安全问题

3.1盗用无线网络。非授权用户通过盗用无线网络，对正常用户上网造成影响。轻则占用用户带宽，影响正常用户的网络速度，重则盗用无线网络进行黑客攻击或者非法言论，使正常用户受牵连。3.2窃听无线网络。数据通信过程中很多都是以明文方式进行传输的，无线网络被入侵后，黑客可通过抓包软件，监听数据获得用户通信信息，关键性的数据会被泄露。例如，邮箱帐号密码、游戏帐号密码等未经加密传输的数据。3.3进行钓鱼攻击。此攻击手段主要是在公共无线网络中，黑客通过建立无线网络接入点，为用户提供无线网络接入。一旦用户接入了黑客所建立的无线网络，黑客就会诱使用户访问到被窜改的网页，植入木马。部分用户的系统就会遭受扫描、入侵和攻击，甚至被黑客控制计算机，信息遭受泄露[5]。

[摘要]电力用户用电信息采集系统是智能电网中的重要构成部分，涵盖主站层、通信信道层和终端设备层，系统底层的采集终端极易受到渗透和攻击，存在较大的信息安全隐患。为此，要引入可信计算技术，基于终端自身的安全角度进行用电信息采集终端的安全分析。

[关键词]用电信息；采集终端；安全

智能用电服务体系顺应发展要求，在用电信息采集系统“全覆盖、全采集、全费控”的目标下，电力用户用电信息在采集、处理、传输、使用过程中面临较大的信息安全风险，要在用电信息采集终端中引入可信计算技术，结合用电信息采集终端的设计要求和工作特性，构建可信的用电信息采集终端，提升用户用电信息采集系统的安全性。

1可信计算及相关技术

终端是存储数据和执行具体功能的重要区域，要关注和提高终端的安全性，从终端的底层入手，进行基本芯片、引导程序、系统启动扇区、磁盘目录的安全分析。可信计算是一种信息系统安全新技术，涵盖可信软/硬件、可信网络和可信计算应用等内容，突出可预测性和主动性防御，侧重于主动发现问题和直接禁止危险操作，通过嵌入式安全模块确保终端的安全性。当前的信息安全防护方法有多种，如：设备外壳包装、芯片封装保护、敏感操作、密钥算法、SSL协议等，然而这些信息安全防护浮于表象，缺乏深层次的防护，没有针对终端的信息安全根本性防护，对此可以在电力信息系统中应用可信计算，通过可信平台模块构建电力信息系统的可信终端，采用硬件和数据加密、签名认证、安全传输协议等方式，提高电力信息系统的安全性。

2用电信息采集终端的完整性检测部署

2.1采集终端本地完整性检测过程分析