1 引言
近幾年發(fā)生的網(wǎng)絡(luò)安全事件表明,網(wǎng)絡(luò)內(nèi)部安全防護(hù)手段的缺陷和人員的安全防護(hù)意識(shí)淡薄是引起網(wǎng)絡(luò)安全問題的重要原因。傳統(tǒng)的網(wǎng)絡(luò)安全睦療護(hù)方法都是注重在網(wǎng)絡(luò)邊界上采取防火墻、入侵檢測(cè)、漏洞掃描、防病毒、訪問控制等手段,對(duì)網(wǎng)絡(luò)夕卜部設(shè)備和人員進(jìn)行管控,卻忽視了對(duì)網(wǎng)絡(luò)內(nèi)部用戶和設(shè)備的管理。雖然有的部門內(nèi)網(wǎng)采取了安全防護(hù)措施,對(duì)內(nèi)網(wǎng)用戶的身份進(jìn)行了認(rèn)證,強(qiáng)制用戶安裝防病毒軟件、防火墻軟件、打補(bǔ)丁等,但是,由于用戶網(wǎng)絡(luò)安全防范意識(shí)的差別,內(nèi)網(wǎng)安全防護(hù)措施的實(shí)施缺乏必要的監(jiān)控,導(dǎo)致內(nèi)網(wǎng)終端設(shè)備安全防護(hù)等級(jí)參差不羅半,這對(duì)內(nèi)網(wǎng)的安全造成了嚴(yán)重的威脅。本文針對(duì)內(nèi)網(wǎng)安全防護(hù)的現(xiàn)狀,防護(hù)措施進(jìn)行了改進(jìn),改進(jìn)后的內(nèi)網(wǎng)安全防護(hù)措施,對(duì)用戶身份認(rèn)證采用在線指紋認(rèn)證的方式,對(duì)全網(wǎng)統(tǒng)一部署的防護(hù)策略進(jìn)行監(jiān)控,確保全網(wǎng)安全防護(hù)措施的統(tǒng)一性和用戶、終端的可信邊界,有效抵御了對(duì)內(nèi)網(wǎng)的攻擊行為。
2 內(nèi)網(wǎng)安全防護(hù)措施
網(wǎng)絡(luò)的安全程度遵循“木桶原理”,即:網(wǎng)絡(luò)的安全性是由網(wǎng)絡(luò)中安全等級(jí)最薄弱的那臺(tái)計(jì)算機(jī)的防護(hù)水平?jīng)Q定的,網(wǎng)絡(luò)中安全防護(hù)等級(jí)薄弱的計(jì)算機(jī)往往是黑客、病毒、木馬、蠕蟲等入侵網(wǎng)絡(luò)的突破口,成為整個(gè)網(wǎng)絡(luò)安全的短板。這也意味著,只有整體提高網(wǎng)絡(luò)中所有用戶的安全防護(hù)意識(shí)和終端的安全防護(hù)策略,才能最大限度地發(fā)揮整個(gè)網(wǎng)絡(luò)的安全防護(hù)性能,有效抵御網(wǎng)絡(luò)外部和內(nèi)部的惡意攻擊,防止網(wǎng)絡(luò)失泄密事件的發(fā)生。內(nèi)網(wǎng)安全防護(hù)的理念也是基于“木桶原理”,即在內(nèi)網(wǎng)部署全網(wǎng)統(tǒng)一的防病毒、防火墻、補(bǔ)丁下載等安全防護(hù)策略,對(duì)終端用戶接入網(wǎng)絡(luò)、訪問網(wǎng)絡(luò)資源等行為進(jìn)行安全審計(jì)。內(nèi)部網(wǎng)絡(luò)安全防護(hù)措施主要有:用戶身份認(rèn)證、終端安全和安全審計(jì)等。
2.1用戶身份認(rèn)證
用戶身份認(rèn)證是指內(nèi)網(wǎng)用戶在登錄系統(tǒng)時(shí)對(duì)用戶身份合法性的驗(yàn)證。目前普遍使用的身份認(rèn)證方法有“用戶名+口令”的認(rèn)證方法和基于USBKey的認(rèn)證方法!
1)“用戶名+口令”的身份認(rèn)證方式
“用戶名+口令”是一種最基本的身份認(rèn)證方式,即用戶在登錄系統(tǒng)時(shí),輸入系統(tǒng)分配給用戶的用戶名和密碼,如果驗(yàn)證成功后允許用戶登錄系統(tǒng),否則拒絕用戶登錄。這種身份認(rèn)證的方法比較簡(jiǎn)單,易于操作,但是系統(tǒng)的安全性相對(duì)來(lái)說也比較低,如果用戶名和密碼被泄露,很容易導(dǎo)致非授權(quán)用戶冒充合法用戶使用系統(tǒng),不利于對(duì)系統(tǒng)進(jìn)行安全審計(jì)。另外,針對(duì)這種認(rèn)證方法進(jìn)行攻擊的第三方軟件也非常多,因此,在安全性要求比較高的網(wǎng)絡(luò),這種認(rèn)證方法逐漸被其他認(rèn)證方法所取代。
2)基于USBKey的身份認(rèn)證方式
基于USBKey的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種更加安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法可以實(shí)現(xiàn)對(duì)用戶身份認(rèn)證,USBKey也稱為網(wǎng)絡(luò)內(nèi)對(duì)用戶進(jìn)行身份認(rèn)證的“電子鑰匙”。這種認(rèn)證方法采取了RSA等密碼加密算法,具有雙重驗(yàn)證機(jī)制,因此安全性較“用戶名+口令”的認(rèn)證方式有了很大的提高,目前在電子政務(wù)、網(wǎng)上銀行以及軍事等領(lǐng)域得到了廣泛的應(yīng)用。
這種認(rèn)證方式在實(shí)際使用中也存在以下缺陷:USBKey中存儲(chǔ)的用戶私鑰,一旦被竊取或破譯,后果將非常嚴(yán)重,如果USBKey丟失,而認(rèn)證服務(wù)器還沒有來(lái)得及注銷用戶信息,那么將導(dǎo)致非法用戶冒充的情況。
2.2終端防護(hù)
內(nèi)網(wǎng)中取得合法身份的用戶并不一定是“守法”的用戶,當(dāng)用戶取得合法的身份以后,還必須加強(qiáng)終端防護(hù)。終端防護(hù)的重點(diǎn)在于對(duì)用戶行為的管控,主要通過在全網(wǎng)內(nèi)部署網(wǎng)絡(luò)防病毒系統(tǒng)、防火墻系統(tǒng)補(bǔ)丁分發(fā)系統(tǒng)以及網(wǎng)絡(luò)監(jiān)控系統(tǒng),在終端上設(shè)置統(tǒng)一的防病毒策略、防火墻策略和補(bǔ)丁分發(fā)策略,監(jiān)控和保護(hù)通信端口、協(xié)議、進(jìn)程/服務(wù)、注冊(cè)表、安全策略等操作系統(tǒng)關(guān)鍵資源的,關(guān)閉不必要的進(jìn)程、服務(wù)和端口,降低操作系統(tǒng)的安全隱患。
2.3安全審計(jì)
安全審計(jì)系統(tǒng)主要審計(jì)記錄用戶登錄情況、用戶訪問資源情況、內(nèi)網(wǎng)安全攻擊情況、數(shù)據(jù)傳輸情況、網(wǎng)絡(luò)行為識(shí)別、網(wǎng)絡(luò)惡意代碼檢測(cè)、網(wǎng)絡(luò)協(xié)議檢測(cè),便于管理員事后審計(jì)以及事后追查。通過行政和管理手段,在全網(wǎng)內(nèi)部署統(tǒng)一的防病毒策略、防火墻策略和網(wǎng)絡(luò)監(jiān)控系統(tǒng),能有效地約束用戶的網(wǎng)絡(luò)訪問行為,提高內(nèi)網(wǎng)的安全性。但是,在實(shí)踐中,由于缺乏必要的技術(shù)措施,導(dǎo)致終端用戶的個(gè)人行為往往難以管控。即使強(qiáng)制終端安裝殺毒軟件、防火墻,及時(shí)打補(bǔ)丁,但是,仍存在部分用戶不更新病毒庫(kù),不打補(bǔ)丁,私自下載來(lái)歷不明的軟件等恃況,使得建立全網(wǎng)統(tǒng)一的安全防護(hù)策略的思想難以實(shí)現(xiàn),對(duì)內(nèi)網(wǎng)的安全造成了極大的威脅。
3 改進(jìn)的內(nèi)網(wǎng)安全防護(hù)策略
針對(duì)內(nèi)網(wǎng)安全防護(hù)存在的問題,對(duì)目前內(nèi)網(wǎng)安全防護(hù)措施從用戶身份認(rèn)證方式、內(nèi)網(wǎng)安全防護(hù)策略驗(yàn)證、內(nèi)網(wǎng)終端非法外聯(lián)監(jiān)控、權(quán)限檢查、內(nèi)網(wǎng)安全審計(jì)、數(shù)據(jù)傳輸保護(hù)等方面進(jìn)行了改進(jìn),如圖1所示。改進(jìn)后的內(nèi)網(wǎng)安全防護(hù)策略劃分了內(nèi)網(wǎng)可信主機(jī)邊界、內(nèi)網(wǎng)可信用戶邊界、服務(wù)器可信使用者邊界,有效地增強(qiáng)了網(wǎng)絡(luò)安全,抵御了來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的攻擊。
圖1 內(nèi)網(wǎng)安全防護(hù)措施
3.1身份認(rèn)證
身份認(rèn)證包括“用戶身份認(rèn)證”和“終端主機(jī)認(rèn)證”。用戶身份認(rèn)證采用了用戶指紋在線認(rèn)證的方式。這種認(rèn)證方式利用了用戶的生物特征,克服了“用戶名+口令”的認(rèn)證方式和USBKey認(rèn)證方式的缺陷,有效地區(qū)分內(nèi)網(wǎng)可信用戶的邊界,避免了內(nèi)網(wǎng)用戶身份假冒的情況。終端主機(jī)認(rèn)證采用了“IP+MAC+端口”的認(rèn)證方式,對(duì)用戶終端主機(jī)的合法性進(jìn)行認(rèn)證,有效地防止了終端私自連接外網(wǎng)情況的發(fā)生。
用戶權(quán)限分配將服務(wù)器資源與用戶的訪問角色進(jìn)行了綁定,使用戶的訪問限定在授權(quán)的范圍之內(nèi),阻斷非法接入的主機(jī)、冒充的用戶和越級(jí)越權(quán)的網(wǎng)絡(luò)訪問行為。
3.2網(wǎng)絡(luò)安全防護(hù)策略監(jiān)控
近幾年,用戶的網(wǎng)絡(luò)安全防護(hù)意識(shí)有了較大的提高,許多部門的網(wǎng)絡(luò)也強(qiáng)制用戶安裝防病毒軟件和防火墻等安全軟件。但是,仍有部分用戶不按照規(guī)定,不及時(shí)更新病毒庫(kù)、私自卸載殺毒軟件和防火墻。因此,除了對(duì)用戶進(jìn)行身份驗(yàn)證之外,還需要對(duì)用戶終端的安全防護(hù)策略進(jìn)行監(jiān)控。
1)防病毒策略驗(yàn)證
在線檢測(cè)防病毒策略以及客戶端防病毒系統(tǒng)病毒庫(kù)的更新情況,如果防病毒系統(tǒng)策略與全網(wǎng)統(tǒng)一要求的防病毒策略設(shè)置得不一致或者病毒庫(kù)沒有及時(shí)更新,則對(duì)用戶進(jìn)行提示并阻斷用戶的連接。
2)防火墻策略驗(yàn)證
在線檢測(cè)防火墻安全策略的合法性,如果防火墻安全策略與全網(wǎng)統(tǒng)一要求的防火墻安全策略設(shè)置不一致,則對(duì)用戶進(jìn)行提示并阻斷用戶的連接。
3)系統(tǒng)漏洞和補(bǔ)丁檢測(cè)
系統(tǒng)啟動(dòng)時(shí),通過終端防護(hù)系統(tǒng)的漏洞掃描功能,對(duì)所轄范圍內(nèi)的主機(jī)進(jìn)行漏洞掃描,及時(shí)發(fā)現(xiàn)操作系統(tǒng)存在的安全漏洞,未打補(bǔ)丁的終端接入內(nèi)網(wǎng)時(shí),對(duì)其進(jìn)行阻斷,提示其先打補(bǔ)丁再接入網(wǎng)絡(luò),并依托內(nèi)網(wǎng)補(bǔ)丁下載服務(wù)器,為用戶提供補(bǔ)丁下載服務(wù),實(shí)現(xiàn)操作系統(tǒng)加固。
3.3網(wǎng)絡(luò)終端非法外聯(lián)監(jiān)控
局域網(wǎng)內(nèi)部的臺(tái)式計(jì)算機(jī)、移動(dòng)設(shè)備、打印機(jī)等終端設(shè)備的自我防護(hù)能力參差不齊,終端用戶的安全防護(hù)意識(shí)薄弱。主要表現(xiàn)為:局域網(wǎng)內(nèi)的用戶隨意安裝來(lái)歷不明的軟件,隨意使用光盤、U盤,1394口,私接外網(wǎng)等。這些不受限制的網(wǎng)絡(luò)終端外聯(lián)行為,會(huì)造成病毒、木馬、蠕蟲的傳播,以及網(wǎng)絡(luò)失泄密、網(wǎng)絡(luò)攻擊等情況,嚴(yán)重地威脅整個(gè)網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)終端非法外聯(lián)監(jiān)控的理念正是從終端防范入手,從根源上解決內(nèi)部網(wǎng)絡(luò)的安全問題。
網(wǎng)絡(luò)終端非法外聯(lián)監(jiān)控系統(tǒng)通過在局域網(wǎng)內(nèi)部部署網(wǎng)絡(luò)終端非法外聯(lián)監(jiān)控服務(wù)器,對(duì)局域網(wǎng)內(nèi)部用戶終端設(shè)置統(tǒng)一的終端非法外聯(lián)監(jiān)控策略,來(lái)達(dá)到控制局域網(wǎng)的用戶非法使用外設(shè)的目的。終端非法外聯(lián)監(jiān)控策略包括:登錄時(shí)強(qiáng)制使用指紋在線認(rèn)證方式,禁止更改IP地址,禁止更改MAC地址,禁止使用USB接口,禁止從安全模式登錄系統(tǒng)等。
1)接入控制
接入控制主要對(duì)外設(shè)接口進(jìn)行控制?刂平K端用戶使用光驅(qū)、軟驅(qū)、打印機(jī)等輸入輸出設(shè)備;控制終端用戶使用USB接口、串口、并口、1394接口、無(wú)線網(wǎng)卡、MODEM、紅外等接口。
2)介質(zhì)管理
能夠?qū)挝粌?nèi)使用的移動(dòng)介質(zhì)進(jìn)行分類管理,只允許在內(nèi)網(wǎng)使用已經(jīng)授權(quán)的專用移動(dòng)介質(zhì),禁止使用未注冊(cè)的U盤、移動(dòng)硬盤、手機(jī)/MP3/MP4、CF/MD/SD卡以及FlashDisk等未授權(quán)的普通介質(zhì),并且能夠?qū)徲?jì)移動(dòng)介質(zhì)的操作行為。
3.4內(nèi)網(wǎng)安全審計(jì)
對(duì)內(nèi)網(wǎng)訪問行為從應(yīng)用層、系統(tǒng)層、網(wǎng)絡(luò)層進(jìn)行安全審計(jì),記錄計(jì)算機(jī)文件修改、刪除、復(fù)翩、移動(dòng)的操作行為,記錄統(tǒng)計(jì)用戶訪問過的網(wǎng)頁(yè),記錄計(jì)算機(jī)應(yīng)用程序運(yùn)行的日志。為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志,幫助管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為或潛在的系統(tǒng)漏洞。
4 改進(jìn)的內(nèi)網(wǎng)安全防護(hù)策略的實(shí)現(xiàn)
我們?cè)趘isual C#.net編程環(huán)境下,采用B/S結(jié)構(gòu)的設(shè)計(jì)模式,實(shí)現(xiàn)了改進(jìn)后的“內(nèi)網(wǎng)安全防護(hù)策略監(jiān)控系統(tǒng)”。系統(tǒng)部署在內(nèi)網(wǎng)服務(wù)器區(qū),在服務(wù)端設(shè)置好全網(wǎng)的安全防護(hù)策略,并生成可執(zhí)行的客戶端代理程序,然后強(qiáng)制在客戶端安裝代理程序。代理程序以系統(tǒng)進(jìn)程的方式駐留在系統(tǒng)內(nèi)存,隨系統(tǒng)一起啟動(dòng),在客戶端啟動(dòng)的過程中,進(jìn)行用戶身份認(rèn)證、客戶端認(rèn)證、防病毒策略驗(yàn)證、防火墻策略驗(yàn)證、系統(tǒng)漏洞和補(bǔ)丁檢測(cè)、終端非法外聯(lián)監(jiān)控。如果認(rèn)證和策略驗(yàn)證均通過,則根據(jù)用戶的角色進(jìn)行權(quán)限分配,用戶在權(quán)限范圍內(nèi)訪問網(wǎng)絡(luò)資源,同時(shí)對(duì)用戶的網(wǎng)絡(luò)訪問行為進(jìn)行審計(jì)。
5 結(jié)束語(yǔ)
改進(jìn)后的安全防護(hù)策略采用用戶的生物特征指紋對(duì)用戶身份的合法性進(jìn)行驗(yàn)證,增加了對(duì)內(nèi)網(wǎng)中安全防護(hù)策略的驗(yàn)證機(jī)制,克服了目前內(nèi)網(wǎng)安全防護(hù)中只部署策略但疏于監(jiān)控策略的缺點(diǎn),劃分了內(nèi)網(wǎng)可信主機(jī)邊界、內(nèi)網(wǎng)可信用戶邊界、服務(wù)器可信使用者邊界,從整體上提高了內(nèi)網(wǎng)安全防護(hù)的性能,有效地增強(qiáng)了網(wǎng)絡(luò)安全,抵御了來(lái)自網(wǎng)絡(luò)內(nèi)部和夕卜部的攻擊。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:一種改進(jìn)的內(nèi)網(wǎng)安全防護(hù)策略
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953511.html