加入收藏 |  企业邮箱  | 合作伙伴登录

新闻中心

上网行为与动态IP地址实名审计
日期:2013-03-24



随着网络与信息技术的飞速发展和广泛应用,企业信息化的进程日新月异。企业局域网从早期的文件共享、文件传输、静态网页浏览及Telnet命令等内容单一、静态简单、小规模较为封闭的应用模式,逐步发展到包括E-Mail、ERP、OA、CRM、视频会议、VoIP、电子商务等内容丰富、动态复杂、大规模日益开放的应用模式,成为提升企业核心竞争力的基础设施和必要保障。

研究小组从一个典型企业局域网的现状出发,提出当前网络行为管理难点并加以分析,同时借鉴成熟的信息化建设管理经验,从而进一步研究并探索网络行为管理在其拓扑结构中的规划设计和实施应用,对应用网络行为管理后的企业局域网进行评估,并给出思考和展望。

企业内网中网络行为管理难点的提出与解决:

目前,典型的企业局域网在网络运维和带宽控制等网络行为管理方面面临以下问题和挑战。

1. 内网历史遗留问题带来的负面影响

典型的企业局域网往往都是在早期简单的局域网基础上逐步扩建起来的,其扩建过程中随意性很大,给网络行为管理的应用带来了极大困难。

网络行为管理的应用要求企业局域网具有透明性,管理节点要求落实到网络终端设备,最好与使用管理人员相对应,要有网络与信息安全策略等。具体来说,有以下几方面的整合改造:

a) 终端设备要尽量使用固定IP地址,网络中各级IP地址分配策略尽量使用静态分配策略,最好是网络终端设备的IP地址和MAC地址相绑定等技术手段来实现管理节点与使用管理人员相对应;

b) 企业局域网中尽量不要使用路由器等网络转发设备,以防降低网络行为管理的可追溯性,同时也要做好NAT管理工作;

c) 针对具体企业部门尽量划分在一个逻辑IP地址段内,地理位置不同的企业区域采用不同数字开头的私有IP地址群显著标明,以有效阻断网络风暴及ARP病毒等在全网传播;

d) 建立健全IP地址与使用管理人员关系表并加以动态完善,这也是实施网络行为管理的基础性工作。

2. 如何打造动态实名制IP地址自动化审计平台

目前企业内网应用系统也越来越多,几乎所有内网业务全部转向IP网络,在终端IP地址管理方面,采用手工管理的方式,或通过Excel表格进行管理。部分办公网段采用了传统的DHCP进行地址分配,lP地址管理审计较为繁琐。

如何为企业打造安全、可控、强化的IP地址自动化管理平台,实现动态实名制的IP地址管理审计是本章节讨论的重点。

通过对现有地址管理方式和手段的简要分析,目前的管理风险主要体现以下几个方面。

a) 手工管理IP地址和维护复杂度高

b) 预防IP地址冲突、私设非法DHCP和ARP病毒

c) 缺乏统一全面的IP地址跟踪审计分析

d) 访客IP地址动态接入授权控制

e) IP地址回收与重复利用问题

f) 交换机配置巡检、备份与恢复

g) IPv6地址分配技术迁移问题

由于IP地址是信息化网络能够保持高效运行的关键。如果IP地管理不当,网络很容易出现IP地址冲突,影响网络正常业务的开展。即使网络管理员知道有人设置了错误的IP地址,也无法定位使用非法IP的终端设备;同时网络管理员通过对IP地址合法性的确认,保证接入网络系统的设备都是合法,防止因为非法设备的接入而造成运营的损耗。

同时IP地址管理审计平台还能满足国家相关安全部门对IP网络要有完善的系统运行及用户使用网络IP/MAC地址日志和网络用户的定位等措施的要求。

新一代网络核心服务自动化开通平台(CNS-APP)能自动、有效地管理访问网络的IP/MAC 资源,实时提供更新数据,控制未授权IP/MAC地址访问网络,从而提高内部网络的安全性,实现实名制地址分配与审计。