1 引言

    近幾年發生的網絡安全事件表明，網絡內部安全防護手段的缺陷和人員的安全防護意識淡薄是引起網絡安全問題的重要原因。傳統的網絡安全睦療護方法都是注重在網絡邊界上采取防火墻、入侵檢測、漏洞掃描、防病毒、訪問控制等手段，對網絡夕卜部設備和人員進行管控，卻忽視了對網絡內部用戶和設備的管理。雖然有的部門內網采取了安全防護措施，對內網用戶的身份進行了認證，強制用戶安裝防病毒軟件、防火墻軟件、打補丁等，但是，由于用戶網絡安全防范意識的差別，內網安全防護措施的實施缺乏必要的監控，導致內網終端設備安全防護等級參差不羅半，這對內網的安全造成了嚴重的威脅。本文針對內網安全防護的現狀，防護措施進行了改進，改進后的內網安全防護措施，對用戶身份認證采用在線指紋認證的方式，對全網統一部署的防護策略進行監控，確保全網安全防護措施的統一性和用戶、終端的可信邊界，有效抵御了對內網的攻擊行為。

2 內網安全防護措施

    網絡的安全程度遵循“木桶原理”，即：網絡的安全性是由網絡中安全等級最薄弱的那臺計算機的防護水平決定的，網絡中安全防護等級薄弱的計算機往往是黑客、病毒、木馬、蠕蟲等入侵網絡的突破口，成為整個網絡安全的短板。這也意味著，只有整體提高網絡中所有用戶的安全防護意識和終端的安全防護策略，才能最大限度地發揮整個網絡的安全防護性能，有效抵御網絡外部和內部的惡意攻擊，防止網絡失泄密事件的發生。內網安全防護的理念也是基于“木桶原理”，即在內網部署全網統一的防病毒、防火墻、補丁下載等安全防護策略，對終端用戶接入網絡、訪問網絡資源等行為進行安全審計。內部網絡安全防護措施主要有：用戶身份認證、終端安全和安全審計等。

    2．1用戶身份認證

    用戶身份認證是指內網用戶在登錄系統時對用戶身份合法性的驗證。目前普遍使用的身份認證方法有“用戶名+口令”的認證方法和基于USBKey的認證方法。’

    1)“用戶名+口令”的身份認證方式

    “用戶名+口令”是一種最基本的身份認證方式，即用戶在登錄系統時，輸入系統分配給用戶的用戶名和密碼，如果驗證成功后允許用戶登錄系統，否則拒絕用戶登錄。這種身份認證的方法比較簡單，易于操作，但是系統的安全性相對來說也比較低，如果用戶名和密碼被泄露，很容易導致非授權用戶冒充合法用戶使用系統，不利于對系統進行安全審計。另外，針對這種認證方法進行攻擊的第三方軟件也非常多，因此，在安全性要求比較高的網絡，這種認證方法逐漸被其他認證方法所取代。

    2)基于USBKey的身份認證方式

    基于USBKey的身份認證方式是近幾年發展起來的一種更加安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法可以實現對用戶身份認證，USBKey也稱為網絡內對用戶進行身份認證的“電子鑰匙”。這種認證方法采取了RSA等密碼加密算法，具有雙重驗證機制，因此安全性較“用戶名+口令”的認證方式有了很大的提高，目前在電子政務、網上銀行以及軍事等領域得到了廣泛的應用。

    這種認證方式在實際使用中也存在以下缺陷：USBKey中存儲的用戶私鑰，一旦被竊取或破譯，后果將非常嚴重，如果USBKey丟失，而認證服務器還沒有來得及注銷用戶信息，那么將導致非法用戶冒充的情況。

    2．2終端防護

    內網中取得合法身份的用戶并不一定是“守法”的用戶，當用戶取得合法的身份以后，還必須加強終端防護。終端防護的重點在于對用戶行為的管控，主要通過在全網內部署網絡防病毒系統、防火墻系統補丁分發系統以及網絡監控系統，在終端上設置統一的防病毒策略、防火墻策略和補丁分發策略，監控和保護通信端口、協議、進程／服務、注冊表、安全策略等操作系統關鍵資源的，關閉不必要的進程、服務和端口，降低操作系統的安全隱患。

    2．3安全審計

    安全審計系統主要審計記錄用戶登錄情況、用戶訪問資源情況、內網安全攻擊情況、數據傳輸情況、網絡行為識別、網絡惡意代碼檢測、網絡協議檢測，便于管理員事后審計以及事后追查。通過行政和管理手段，在全網內部署統一的防病毒策略、防火墻策略和網絡監控系統，能有效地約束用戶的網絡訪問行為，提高內網的安全性。但是，在實踐中，由于缺乏必要的技術措施，導致終端用戶的個人行為往往難以管控。即使強制終端安裝殺毒軟件、防火墻，及時打補丁，但是，仍存在部分用戶不更新病毒庫，不打補丁，私自下載來歷不明的軟件等恃況，使得建立全網統一的安全防護策略的思想難以實現，對內網的安全造成了極大的威脅。

3 改進的內網安全防護策略

    針對內網安全防護存在的問題，對目前內網安全防護措施從用戶身份認證方式、內網安全防護策略驗證、內網終端非法外聯監控、權限檢查、內網安全審計、數據傳輸保護等方面進行了改進，如圖1所示。改進后的內網安全防護策略劃分了內網可信主機邊界、內網可信用戶邊界、服務器可信使用者邊界，有效地增強了網絡安全，抵御了來自網絡內部和外部的攻擊。

圖1 內網安全防護措施

    3．1身份認證

    身份認證包括“用戶身份認證”和“終端主機認證”。用戶身份認證采用了用戶指紋在線認證的方式。這種認證方式利用了用戶的生物特征，克服了“用戶名+口令”的認證方式和USBKey認證方式的缺陷，有效地區分內網可信用戶的邊界，避免了內網用戶身份假冒的情況。終端主機認證采用了“IP+MAC+端口”的認證方式，對用戶終端主機的合法性進行認證，有效地防止了終端私自連接外網情況的發生。

    用戶權限分配將服務器資源與用戶的訪問角色進行了綁定，使用戶的訪問限定在授權的范圍之內，阻斷非法接入的主機、冒充的用戶和越級越權的網絡訪問行為。

    3．2網絡安全防護策略監控

    近幾年，用戶的網絡安全防護意識有了較大的提高，許多部門的網絡也強制用戶安裝防病毒軟件和防火墻等安全軟件。但是，仍有部分用戶不按照規定，不及時更新病毒庫、私自卸載殺毒軟件和防火墻。因此，除了對用戶進行身份驗證之外，還需要對用戶終端的安全防護策略進行監控。

    1)防病毒策略驗證

    在線檢測防病毒策略以及客戶端防病毒系統病毒庫的更新情況，如果防病毒系統策略與全網統一要求的防病毒策略設置得不一致或者病毒庫沒有及時更新，則對用戶進行提示并阻斷用戶的連接。

    2)防火墻策略驗證

    在線檢測防火墻安全策略的合法性，如果防火墻安全策略與全網統一要求的防火墻安全策略設置不一致，則對用戶進行提示并阻斷用戶的連接。

    3)系統漏洞和補丁檢測

    系統啟動時，通過終端防護系統的漏洞掃描功能，對所轄范圍內的主機進行漏洞掃描，及時發現操作系統存在的安全漏洞，未打補丁的終端接入內網時，對其進行阻斷，提示其先打補丁再接入網絡，并依托內網補丁下載服務器，為用戶提供補丁下載服務，實現操作系統加固。

    3．3網絡終端非法外聯監控

    局域網內部的臺式計算機、移動設備、打印機等終端設備的自我防護能力參差不齊，終端用戶的安全防護意識薄弱。主要表現為：局域網內的用戶隨意安裝來歷不明的軟件，隨意使用光盤、U盤，1394口，私接外網等。這些不受限制的網絡終端外聯行為，會造成病毒、木馬、蠕蟲的傳播，以及網絡失泄密、網絡攻擊等情況，嚴重地威脅整個網絡的安全。網絡終端非法外聯監控的理念正是從終端防范入手，從根源上解決內部網絡的安全問題。

    網絡終端非法外聯監控系統通過在局域網內部部署網絡終端非法外聯監控服務器，對局域網內部用戶終端設置統一的終端非法外聯監控策略，來達到控制局域網的用戶非法使用外設的目的。終端非法外聯監控策略包括：登錄時強制使用指紋在線認證方式，禁止更改IP地址，禁止更改MAC地址，禁止使用USB接口，禁止從安全模式登錄系統等。

    1)接入控制

    接入控制主要對外設接口進行控制。控制終端用戶使用光驅、軟驅、打印機等輸入輸出設備；控制終端用戶使用USB接口、串口、并口、1394接口、無線網卡、MODEM、紅外等接口。

    2)介質管理

    能夠對單位內使用的移動介質進行分類管理，只允許在內網使用已經授權的專用移動介質，禁止使用未注冊的U盤、移動硬盤、手機／MP3／MP4、CF／MD／SD卡以及FlashDisk等未授權的普通介質，并且能夠審計移動介質的操作行為。

    3．4內網安全審計

    對內網訪問行為從應用層、系統層、網絡層進行安全審計，記錄計算機文件修改、刪除、復翩、移動的操作行為，記錄統計用戶訪問過的網頁，記錄計算機應用程序運行的日志。為系統管理員提供有價值的系統使用日志，幫助管理員及時發現網絡入侵行為或潛在的系統漏洞。

4 改進的內網安全防護策略的實現

    我們在visual C#．net編程環境下，采用B／S結構的設計模式，實現了改進后的“內網安全防護策略監控系統”。系統部署在內網服務器區，在服務端設置好全網的安全防護策略，并生成可執行的客戶端代理程序，然后強制在客戶端安裝代理程序。代理程序以系統進程的方式駐留在系統內存，隨系統一起啟動，在客戶端啟動的過程中，進行用戶身份認證、客戶端認證、防病毒策略驗證、防火墻策略驗證、系統漏洞和補丁檢測、終端非法外聯監控。如果認證和策略驗證均通過，則根據用戶的角色進行權限分配，用戶在權限范圍內訪問網絡資源，同時對用戶的網絡訪問行為進行審計。

5 結束語

    改進后的安全防護策略采用用戶的生物特征指紋對用戶身份的合法性進行驗證，增加了對內網中安全防護策略的驗證機制，克服了目前內網安全防護中只部署策略但疏于監控策略的缺點，劃分了內網可信主機邊界、內網可信用戶邊界、服務器可信使用者邊界，從整體上提高了內網安全防護的性能，有效地增強了網絡安全，抵御了來自網絡內部和夕卜部的攻擊。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：一種改進的內網安全防護策略

本文網址：http://www.guhuozai8.cn/html/consultation/1083953511.html