巧用VRV及一體化平臺(tái)數(shù)據(jù)發(fā)現(xiàn)、阻斷未知設(shè)備接入

宋華茂+陳浩

摘要：隨著信息化建設(shè)的不斷深入及發(fā)展，信息安全正面臨日益嚴(yán)峻的挑戰(zhàn)。計(jì)算機(jī)安全防御一直局限在常規(guī)的網(wǎng)關(guān)、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，來自網(wǎng)絡(luò)外部的安全威脅確實(shí)可以大大減小。可很大程度上增加終端的安全。對(duì)于沒有經(jīng)過注冊(cè)、認(rèn)證的終端設(shè)備沒接入網(wǎng)絡(luò)，給內(nèi)網(wǎng)安全造成風(fēng)險(xiǎn)。因此迫切需要開發(fā)相關(guān)一個(gè)工具來幫助相關(guān)人員，找出相應(yīng)的非法接入設(shè)備。

關(guān)鍵詞：終端；安全；優(yōu)化

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）09-0193-02

1 引言

隨著信息化建設(shè)的不斷深入及發(fā)展，信息安全正面臨日益嚴(yán)峻的挑戰(zhàn)，計(jì)算機(jī)安全防御一直局限在常規(guī)的網(wǎng)關(guān)、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，來自網(wǎng)絡(luò)外部的安全威脅確實(shí)可以大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)終端的安全威脅卻是眾多安全管理人員所普遍反映的問題。內(nèi)網(wǎng)安全管理系統(tǒng)、補(bǔ)丁及文件分發(fā)管理系統(tǒng)（VRV），以下簡(jiǎn)稱VRV?？珊艽蟪潭壬显黾咏K端的安全。對(duì)于沒有經(jīng)過注冊(cè)、認(rèn)證的終端設(shè)備沒接入網(wǎng)絡(luò)，給內(nèi)網(wǎng)安全造成風(fēng)險(xiǎn)。查找這些非法接入的設(shè)備終端是一個(gè)非常麻煩、繁瑣、又滯后的過程，而且容易遺漏。這時(shí)就需要這樣的一個(gè)工具來幫助相關(guān)人員，找出相應(yīng)的非法接入設(shè)備，這樣就可以達(dá)到既快速又準(zhǔn)確的效果。

為了幫忙網(wǎng)絡(luò)運(yùn)維人員及時(shí)掌握網(wǎng)絡(luò)非法接入的終端，利用一體化平臺(tái)和VRV對(duì)比分析工具，解決查找非法接入終端過于繁瑣，不利于管理的問題。

2 工具原理

數(shù)據(jù)庫是由多張表組成的存儲(chǔ)結(jié)構(gòu)，并通過多張表之間的關(guān)系建立起完整的有效的數(shù)據(jù)存儲(chǔ)形式，形成關(guān)系型數(shù)據(jù)庫。本次所需要比對(duì)的數(shù)據(jù)分散存儲(chǔ)在多張表中，通過分析多張表之間的聯(lián)系，構(gòu)建SQL查詢語句，查詢出設(shè)備中MAC地址數(shù)據(jù)、IP地址數(shù)據(jù)，見表1。

為了得到內(nèi)網(wǎng)VRV終端設(shè)備的IP地址和MAC地址，首先由網(wǎng)絡(luò)運(yùn)維人員給出“IP終端地址可段維護(hù)”網(wǎng)絡(luò)地址段范圍，可針對(duì)性的查詢指定IP地址的設(shè)備終端比對(duì)；再利用工具根據(jù)各個(gè)設(shè)備終端進(jìn)行分析，VRV數(shù)據(jù)庫里的設(shè)備終端和一體化數(shù)據(jù)庫里的設(shè)備終端一一比對(duì)。

3 應(yīng)用過程

通過自主研發(fā)的VRV及一體化平臺(tái)數(shù)據(jù)發(fā)現(xiàn)、阻斷未知設(shè)備計(jì)入工具，對(duì)比兩平臺(tái)指定IP地址段的設(shè)備終端為例進(jìn)行說明。

該工具整體操作方法為：

（1）比對(duì)設(shè)備終端所在IP地址段及無需比對(duì)終端設(shè)置。該步驟完成在終端IP區(qū)域地址段里指定要比對(duì)的設(shè)備終端所在IP地址段及在IP終端地址段白名單界面，去除不需要比對(duì)的設(shè)備終端。

（2）比對(duì)設(shè)備數(shù)據(jù)。點(diǎn)擊VRV對(duì)比IP管控，工具分別從兩平臺(tái)查詢?cè)O(shè)置終端信息；比對(duì)VRV設(shè)備終端的MAC和IP與一體化設(shè)備終端的MAC和IP是否一致；一致則認(rèn)為此設(shè)備終端是合法接入設(shè)備，在一體化平臺(tái)具有的終端設(shè)備，VRV沒有比對(duì)到則認(rèn)為此設(shè)備終端是非法接入設(shè)備。

（3）圖像化展示總體比對(duì)情況。點(diǎn)擊VRV對(duì)比IP管控，在其主頁顯示兩個(gè)平臺(tái)設(shè)備終端比對(duì)的總體情況。

如圖1所示。

（4）阻止非法接入的設(shè)備終端。在一體化平臺(tái)具有的終端設(shè)備，VRV沒有比對(duì)到則認(rèn)為此設(shè)備終端是非法接入設(shè)備，可通過一體化平臺(tái)操作，把此非法接入設(shè)備從綁定的交換機(jī)端口下移除。阻止此設(shè)備繼續(xù)接入網(wǎng)絡(luò)。

具體操作如圖2所示。

網(wǎng)絡(luò)管理人員，通過比對(duì)工具及時(shí)有效阻止非法接入設(shè)備終端。通過網(wǎng)絡(luò)管理人員整改后再給予計(jì)入，及接入終端解禁。

4 結(jié)語

VRV及一體化平臺(tái)數(shù)據(jù)發(fā)現(xiàn)、阻斷工具，通過數(shù)據(jù)庫方式和VRV系統(tǒng)數(shù)據(jù)進(jìn)行比對(duì)分析。能夠有效的對(duì)安徽省電力公司內(nèi)網(wǎng)非法接入終端及接入情況進(jìn)行分析和定位，并阻止非法設(shè)備終端接入網(wǎng)絡(luò)，通過工具的使用幫助網(wǎng)絡(luò)運(yùn)維人員快速掌握網(wǎng)絡(luò)中非法接入終端，并進(jìn)行加固和整改，提高工作效率，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]藍(lán)鵬.阻斷非法接入[J].網(wǎng)絡(luò)運(yùn)維與管理，2014，（21）：47-48.

[2]儲(chǔ)智廣，滕征岑，張志偉，等.企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)接入合規(guī)性檢測(cè)及違規(guī)阻斷實(shí)現(xiàn)[J].石油知識(shí)，2016（1）：48-51.

[3]韓少聰，陳玉慧，劉嘉華，等.基于ARP協(xié)議的非法主機(jī)接人監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)[J].現(xiàn)代電子技術(shù)，2015，38（16）：133-137.endprint