引言
信息技術(shù)的發(fā)展歷來與軍事工業(yè)的進(jìn)步息息相關(guān)。1946年世界上第一臺(tái)計(jì)算機(jī)ENIAC在美國(guó)賓夕法尼亞大學(xué)誕生,其目的就是用來計(jì)算炮彈彈道。至今為止60多年過去了,信息技術(shù)已經(jīng)與軍事工業(yè)融為一體,密不可分。
近年來我國(guó)軍工單位的信息化水平越來越高,無論是日常辦公還是科研生產(chǎn),都離不開信息技術(shù)的支持,尤其是對(duì)網(wǎng)絡(luò)技術(shù)的依賴。通過網(wǎng)絡(luò)人們能夠快速的傳遞數(shù)據(jù),共享信息。但是,在網(wǎng)絡(luò)技術(shù)在給工作帶來方便的同時(shí),也給科研生產(chǎn)埋下了隱患。例如,不明身份的用戶進(jìn)入到涉密網(wǎng)絡(luò)中,就可能會(huì)發(fā)生泄密事件,給國(guó)家安全帶來巨大的威脅。
因此,網(wǎng)絡(luò)安全問題已經(jīng)成為軍工單位關(guān)心的焦點(diǎn)問題。目前,很多軍工涉密網(wǎng)絡(luò)的安全防御措施往往是防得住“外賊”防不住“內(nèi)鬼”,管得住網(wǎng)絡(luò)管不住主機(jī)。在上述背景下,本文通過分析常見身份認(rèn)證方式在軍工涉密網(wǎng)絡(luò)中存在的缺陷,進(jìn)一步提出定點(diǎn)登錄的概念,通過多系統(tǒng)聯(lián)動(dòng),形成對(duì)用戶身份、計(jì)算機(jī)及交換機(jī)端口的層層驗(yàn)證、匹配,為增強(qiáng)軍工涉密網(wǎng)絡(luò)的安全性提供了一種新的思路。
1 身份認(rèn)證
1.1 身份認(rèn)證的必要性
身份認(rèn)證是指在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過程。在計(jì)算機(jī)網(wǎng)絡(luò)世界中用戶的身份信息是用一組特定的數(shù)字來表示的,計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份而無法區(qū)別用戶的物理身份,即便是對(duì)用戶的授權(quán)也只是針對(duì)用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進(jìn)行操作的用戶就是這個(gè)數(shù)字身份合法擁有者,也就是說保證用戶的物理身份與數(shù)字身份相對(duì)應(yīng),身份認(rèn)證技術(shù)就是為了解決這個(gè)問題。作為網(wǎng)絡(luò)安全防護(hù)的第一道關(guān)口,身份認(rèn)證有著舉足輕重的作用。
1.2 身份認(rèn)證的現(xiàn)狀
目前,主要的身份認(rèn)證方式大致可分為三類:(1)只有該主體知道的密碼,如用戶口令;(2)主體擁有的物品,如智能卡或USB Key;(3)只有該主體具有的獨(dú)一無二的特征或能力,如指紋或聲音等。為了達(dá)到更高的身份認(rèn)證安全性,某些場(chǎng)景會(huì)將上面3種挑選兩種混合使用,即所謂的雙因素認(rèn)證。
表1 常見身份認(rèn)證方式對(duì)比表
但是,僅僅依靠用戶口令來進(jìn)行身份認(rèn)證,由于安全性較低,難以滿足一些安全性要求較高的應(yīng)用場(chǎng)合。使用智能卡進(jìn)行身份認(rèn)證,雖然安全性高,但需要專用讀卡器,使用起來不方便。利用指紋或聲音等手段的生物統(tǒng)計(jì)學(xué)設(shè)備由于價(jià)格和技術(shù)而使用得非常有限。相比之下,使用USB Key進(jìn)行身份認(rèn)證優(yōu)點(diǎn)更為明顯。
基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。筆者已知很多軍工單位都是采用USB Key身份認(rèn)證方式,本文身份認(rèn)證方式也以USB Key為例。
1.3 USB Key在軍上涉密網(wǎng)絡(luò)中存在的問題
由于軍工涉密網(wǎng)絡(luò)在管理要求和防護(hù)措施上與非涉密網(wǎng)絡(luò)相比存在差異,因此盡管常用的身份認(rèn)證技術(shù)在非涉密網(wǎng)絡(luò)中能夠廣泛使用,但應(yīng)用于軍工涉密網(wǎng)絡(luò)中就顯得有些捉襟見肘,常見問題如下:
(1)用戶可通過全網(wǎng)任意計(jì)算機(jī)登錄到軍工涉密網(wǎng)絡(luò)中。以USB Key身份認(rèn)證方式為例,合法用戶用自己的USBKey可以通過其他計(jì)算機(jī)登錄到軍工涉密網(wǎng)絡(luò)中,而并不一定要通過自己的計(jì)算機(jī)。由于在軍工涉密網(wǎng)絡(luò)中計(jì)算機(jī)的本地硬盤上存儲(chǔ)著大量涉密數(shù)據(jù)或文檔,這些數(shù)據(jù)或文檔雖然沒有上傳到服務(wù)器上進(jìn)入到涉密信息系統(tǒng)中,但也必須保護(hù)起來,禁止密級(jí)較低或是非授權(quán)人員查閱,避免產(chǎn)生泄密事件。鑒于軍工涉密網(wǎng)絡(luò)的特殊性,要求網(wǎng)絡(luò)安全防護(hù)措施,不但要能夠保護(hù)涉密信息系統(tǒng),還要能夠保護(hù)連接到軍工涉密網(wǎng)絡(luò)中的任意一臺(tái)計(jì)算機(jī),F(xiàn)在常用的身份認(rèn)證技術(shù)顯然達(dá)不到這個(gè)要求。
(2)用戶可通過全網(wǎng)任意交換機(jī)端口登錄到軍工涉密網(wǎng)絡(luò)中。這樣不便于用戶管理以及網(wǎng)絡(luò)資源管理。在軍工涉密網(wǎng)絡(luò)中,對(duì)于用戶的物理位置必須有精確的定位,這才能在違規(guī)事件發(fā)生的第一時(shí)間鎖定違規(guī)計(jì)算機(jī),控制或限制其行為。另外,對(duì)于閑置不用的交換機(jī)端口也應(yīng)該關(guān)閉,防止被惡意利用。
(3)外來計(jì)算機(jī)可以通過任意交換機(jī)端口登錄到軍工涉密網(wǎng)絡(luò)中.甚至進(jìn)入涉密應(yīng)用系統(tǒng)。如果不做限制,外來計(jì)算機(jī)隨便配置一個(gè)內(nèi)網(wǎng)IP就可接入軍工涉密網(wǎng)絡(luò),同時(shí)只要用戶的PIN碼和USB Key正確,還能訪問涉密應(yīng)用系統(tǒng)。這樣就可以不經(jīng)審批處理,直接把病毒或黑客工具帶入軍工涉密網(wǎng)絡(luò),或是將涉密文檔資料拷貝出去。對(duì)于軍工涉密網(wǎng)絡(luò)來說,如果發(fā)生這種情況,損失將是不可估量的。
2 定點(diǎn)登錄
2.1 定點(diǎn)登錄產(chǎn)生背景
用戶通過簡(jiǎn)單的身份認(rèn)證手段可以隨時(shí)隨地使用任意一臺(tái)計(jì)算機(jī)連接到網(wǎng)絡(luò)中進(jìn)行正常的工作,這在非涉密網(wǎng)絡(luò)中是有利于提高工作效率的,但是如果這種情況出現(xiàn)在軍工涉密網(wǎng)絡(luò)中,就會(huì)為科研生產(chǎn)埋下巨大的泄密隱患。根據(jù)國(guó)家對(duì)軍工涉密網(wǎng)絡(luò)管理的要求,結(jié)合軍工涉密網(wǎng)絡(luò)安全防護(hù)措施的實(shí)際需要,筆者融合工作實(shí)踐經(jīng)驗(yàn)提出“定點(diǎn)登錄”這一概念。
2.2 定點(diǎn)登錄的定義
定點(diǎn)登錄只是針對(duì)軍工涉密網(wǎng)絡(luò)而言,所謂定點(diǎn)登錄,就是指特定用戶只能使用特定計(jì)算機(jī),通過特定的交換機(jī)端口登錄到軍工涉密網(wǎng)絡(luò)中。
2.3 定點(diǎn)登錄的實(shí)現(xiàn)
2.3.1 實(shí)現(xiàn)前提
僅靠單一的身份認(rèn)證技術(shù),是無法實(shí)現(xiàn)定點(diǎn)登錄的,需要與其他的網(wǎng)絡(luò)安全系統(tǒng)相結(jié)合,各系統(tǒng)之間取長(zhǎng)補(bǔ)短,形成聯(lián)動(dòng)的防御體系來共同實(shí)現(xiàn),限制用戶只能夠使用特定的計(jì)算機(jī),通過特定的交換機(jī)端口登錄軍工涉密網(wǎng)絡(luò)。
2.3.2 多系統(tǒng)聯(lián)動(dòng)
要實(shí)現(xiàn)定點(diǎn)登錄可根據(jù)各單位實(shí)際。結(jié)合已有的網(wǎng)絡(luò)安全系統(tǒng)來完成。本文以結(jié)合身份認(rèn)證系統(tǒng)、域控系統(tǒng)及端點(diǎn)準(zhǔn)入防御系統(tǒng)為例,闡述定點(diǎn)登錄的具體實(shí)現(xiàn)。身份認(rèn)證系統(tǒng)用來完成軍工涉密網(wǎng)絡(luò)內(nèi)用戶身份的雙因素認(rèn)證;域控系統(tǒng)完成軍工涉密網(wǎng)絡(luò)內(nèi)用戶登錄計(jì)算機(jī)的統(tǒng)一管理;端點(diǎn)準(zhǔn)入防御系統(tǒng)實(shí)現(xiàn)用戶、計(jì)算機(jī)及交換機(jī)端口綁定功能。
2.3.3 實(shí)現(xiàn)方式
單位的網(wǎng)絡(luò)技術(shù)部門,首先應(yīng)該制作密鑰,將通過PKI生成的用戶私鑰存儲(chǔ)在USB Key中,其次收回用戶的登錄密碼及聯(lián)網(wǎng)密碼,第三由技術(shù)人員到每個(gè)客戶端去,把用戶的登錄密碼及聯(lián)網(wǎng)密碼用存儲(chǔ)在用戶USB Key中的私鑰加密存儲(chǔ)在硬盤上的特定位置。
用戶每次登錄計(jì)算機(jī),需要先插入U(xiǎn)SB Key并輸入pin碼,如果二者都正確,PKI系統(tǒng)的客戶端將會(huì)把硬盤上加密的聯(lián)網(wǎng)密碼和登錄密碼傳入U(xiǎn)SB Key進(jìn)行解密,然后把解密后的聯(lián)網(wǎng)密碼傳遞給端點(diǎn)準(zhǔn)入防御系統(tǒng),如果密碼正確.端點(diǎn)準(zhǔn)入防御系統(tǒng)會(huì)開啟交換機(jī)的相應(yīng)端口,打通網(wǎng)絡(luò)的物理鏈路,同時(shí)用戶的登錄密碼將被傳遞給域控服務(wù)器進(jìn)行用戶信息和計(jì)算機(jī)信息的匹配,如果正確,那么用戶可以正常開機(jī)上網(wǎng),如果其中任意信息有誤,用戶將無法開機(jī)。對(duì)于采用域管理模式的軍工涉密網(wǎng)絡(luò),在登錄驗(yàn)證的同時(shí)甚至還可以做用戶身份與指定計(jì)算機(jī)名的匹配(登錄流程見圖1)。
圖1 定點(diǎn)登錄實(shí)現(xiàn)方式
2.4 實(shí)際應(yīng)用效果
上述定點(diǎn)登錄方式在軍工涉密網(wǎng)絡(luò)中應(yīng)用的實(shí)際效果如下:
(1)由于用戶的登錄界面受到域控系統(tǒng)的統(tǒng)一管理,用戶的登錄密碼被用戶私鑰加密后存儲(chǔ)于計(jì)算機(jī)本地硬盤,所以用戶只能登錄自己的計(jì)算機(jī),而不能登錄他人的計(jì)算機(jī),從而有效保護(hù)了用戶計(jì)算機(jī)硬盤上的數(shù)據(jù)不被非授權(quán)人員查閱。
(2)由于用戶私鑰所加密的的聯(lián)網(wǎng)密碼只存儲(chǔ)在用戶本人的計(jì)算機(jī)上,所以該用戶只能通過本人的計(jì)算機(jī)連接軍工涉密網(wǎng)絡(luò),這就使用戶只能從固定位置接入軍工涉密網(wǎng)絡(luò),方便確定責(zé)任源頭,便于網(wǎng)絡(luò)資源的管理。
(3)避免了未經(jīng)單位網(wǎng)絡(luò)技術(shù)部門處理過的外來計(jì)算機(jī)隨意接入到軍工涉密網(wǎng)絡(luò)中,防止數(shù)據(jù)未經(jīng)審批,隨意進(jìn)出軍工涉密網(wǎng)絡(luò)。
2.5 存在的問題
定點(diǎn)登錄方式需要通過多個(gè)系統(tǒng)的驗(yàn)證,雖然安全性大大提高,但是其中任意一環(huán)出問題,部將會(huì)影響合法用戶的正常工作,這對(duì)整網(wǎng)穩(wěn)定性提出了較高的要求。而且如果客戶端出了問題,由于尚未進(jìn)入操作系統(tǒng),無法進(jìn)行遠(yuǎn)程支持,必須要單位的網(wǎng)絡(luò)技術(shù)人員現(xiàn)場(chǎng)支持,增加了網(wǎng)絡(luò)維護(hù)的成本。
3 總結(jié)
由于軍工單位軍工涉密網(wǎng)絡(luò)的安全防護(hù)要求立足點(diǎn)與非涉密網(wǎng)絡(luò)相比有很多不同,所以非涉密網(wǎng)絡(luò)中常用的身份認(rèn)證方式難以滿足軍工涉密網(wǎng)絡(luò)的防護(hù)要求。本文立足軍工涉密網(wǎng)絡(luò),通過研究分析常用的身份認(rèn)證方式在軍工涉密網(wǎng)絡(luò)中存在的問題,提出結(jié)合身份認(rèn)證、域控管理及端點(diǎn)準(zhǔn)入功能的定點(diǎn)登錄方式,為身份認(rèn)真技術(shù)在軍工涉密網(wǎng)絡(luò)中的推廣應(yīng)用開辟了一條新的道路。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:軍工涉密網(wǎng)絡(luò)中身份認(rèn)證的拓展應(yīng)用與研究
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083956471.html