一种改进的内网安全防护策略

1 引言

    近几年发生的网络安全事件表明，网络内部安全防护手段的缺陷和人员的安全防护意识淡薄是引起网络安全问题的重要原因。传统的网络安全睦疗护方法都是注重在网络边界上采取防火墙、入侵检测、漏洞扫描、防病毒、访问控制等手段，对网络夕卜部设备和人员进行管控，却忽视了对网络内部用户和设备的管理。虽然有的部门内网采取了安全防护措施，对内网用户的身份进行了认证，强制用户安装防病毒软件、防火墙软件、打补丁等，但是，由于用户网络安全防范意识的差别，内网安全防护措施的实施缺乏必要的监控，导致内网终端设备安全防护等级参差不罗半，这对内网的安全造成了严重的威胁。本文针对内网安全防护的现状，防护措施进行了改进，改进后的内网安全防护措施，对用户身份认证采用在线指纹认证的方式，对全网统一部署的防护策略进行监控，确保全网安全防护措施的统一性和用户、终端的可信边界，有效抵御了对内网的攻击行为。

2 内网安全防护措施

    网络的安全程度遵循“木桶原理”，即：网络的安全性是由网络中安全等级最薄弱的那台计算机的防护水平决定的，网络中安全防护等级薄弱的计算机往往是黑客、病毒、木马、蠕虫等入侵网络的突破口，成为整个网络安全的短板。这也意味着，只有整体提高网络中所有用户的安全防护意识和终端的安全防护策略，才能最大限度地发挥整个网络的安全防护性能，有效抵御网络外部和内部的恶意攻击，防止网络失泄密事件的发生。内网安全防护的理念也是基于“木桶原理”，即在内网部署全网统一的防病毒、防火墙、补丁下载等安全防护策略，对终端用户接入网络、访问网络资源等行为进行安全审计。内部网络安全防护措施主要有：用户身份认证、终端安全和安全审计等。

    2．1用户身份认证

    用户身份认证是指内网用户在登录系统时对用户身份合法性的验证。目前普遍使用的身份认证方法有“用户名+口令”的认证方法和基于USBKey的认证方法。’

    1)“用户名+口令”的身份认证方式

    “用户名+口令”是一种最基本的身份认证方式，即用户在登录系统时，输入系统分配给用户的用户名和密码，如果验证成功后允许用户登录系统，否则拒绝用户登录。这种身份认证的方法比较简单，易于操作，但是系统的安全性相对来说也比较低，如果用户名和密码被泄露，很容易导致非授权用户冒充合法用户使用系统，不利于对系统进行安全审计。另外，针对这种认证方法进行攻击的第三方软件也非常多，因此，在安全性要求比较高的网络，这种认证方法逐渐被其他认证方法所取代。

    2)基于USBKey的身份认证方式

    基于USBKey的身份认证方式是近几年发展起来的一种更加安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法可以实现对用户身份认证，USBKey也称为网络内对用户进行身份认证的“电子钥匙”。这种认证方法采取了RSA等密码加密算法，具有双重验证机制，因此安全性较“用户名+口令”的认证方式有了很大的提高，目前在电子政务、网上银行以及军事等领域得到了广泛的应用。

    这种认证方式在实际使用中也存在以下缺陷：USBKey中存储的用户私钥，一旦被窃取或破译，后果将非常严重，如果USBKey丢失，而认证服务器还没有来得及注销用户信息，那么将导致非法用户冒充的情况。

    2．2终端防护

    内网中取得合法身份的用户并不一定是“守法”的用户，当用户取得合法的身份以后，还必须加强终端防护。终端防护的重点在于对用户行为的管控，主要通过在全网内部署网络防病毒系统、防火墙系统补丁分发系统以及网络监控系统，在终端上设置统一的防病毒策略、防火墙策略和补丁分发策略，监控和保护通信端口、协议、进程／服务、注册表、安全策略等操作系统关键资源的，关闭不必要的进程、服务和端口，降低操作系统的安全隐患。

    2．3安全审计

    安全审计系统主要审计记录用户登录情况、用户访问资源情况、内网安全攻击情况、数据传输情况、网络行为识别、网络恶意代码检测、网络协议检测，便于管理员事后审计以及事后追查。通过行政和管理手段，在全网内部署统一的防病毒策略、防火墙策略和网络监控系统，能有效地约束用户的网络访问行为，提高内网的安全性。但是，在实践中，由于缺乏必要的技术措施，导致终端用户的个人行为往往难以管控。即使强制终端安装杀毒软件、防火墙，及时打补丁，但是，仍存在部分用户不更新病毒库，不打补丁，私自下载来历不明的软件等恃况，使得建立全网统一的安全防护策略的思想难以实现，对内网的安全造成了极大的威胁。

3 改进的内网安全防护策略

    针对内网安全防护存在的问题，对目前内网安全防护措施从用户身份认证方式、内网安全防护策略验证、内网终端非法外联监控、权限检查、内网安全审计、数据传输保护等方面进行了改进，如图1所示。改进后的内网安全防护策略划分了内网可信主机边界、内网可信用户边界、服务器可信使用者边界，有效地增强了网络安全，抵御了来自网络内部和外部的攻击。

图1 内网安全防护措施

    3．1身份认证

    身份认证包括“用户身份认证”和“终端主机认证”。用户身份认证采用了用户指纹在线认证的方式。这种认证方式利用了用户的生物特征，克服了“用户名+口令”的认证方式和USBKey认证方式的缺陷，有效地区分内网可信用户的边界，避免了内网用户身份假冒的情况。终端主机认证采用了“IP+MAC+端口”的认证方式，对用户终端主机的合法性进行认证，有效地防止了终端私自连接外网情况的发生。

    用户权限分配将服务器资源与用户的访问角色进行了绑定，使用户的访问限定在授权的范围之内，阻断非法接入的主机、冒充的用户和越级越权的网络访问行为。

    3．2网络安全防护策略监控

    近几年，用户的网络安全防护意识有了较大的提高，许多部门的网络也强制用户安装防病毒软件和防火墙等安全软件。但是，仍有部分用户不按照规定，不及时更新病毒库、私自卸载杀毒软件和防火墙。因此，除了对用户进行身份验证之外，还需要对用户终端的安全防护策略进行监控。

    1)防病毒策略验证

    在线检测防病毒策略以及客户端防病毒系统病毒库的更新情况，如果防病毒系统策略与全网统一要求的防病毒策略设置得不一致或者病毒库没有及时更新，则对用户进行提示并阻断用户的连接。

    2)防火墙策略验证

    在线检测防火墙安全策略的合法性，如果防火墙安全策略与全网统一要求的防火墙安全策略设置不一致，则对用户进行提示并阻断用户的连接。

    3)系统漏洞和补丁检测

    系统启动时，通过终端防护系统的漏洞扫描功能，对所辖范围内的主机进行漏洞扫描，及时发现操作系统存在的安全漏洞，未打补丁的终端接入内网时，对其进行阻断，提示其先打补丁再接入网络，并依托内网补丁下载服务器，为用户提供补丁下载服务，实现操作系统加固。

    3．3网络终端非法外联监控

    局域网内部的台式计算机、移动设备、打印机等终端设备的自我防护能力参差不齐，终端用户的安全防护意识薄弱。主要表现为：局域网内的用户随意安装来历不明的软件，随意使用光盘、U盘，1394口，私接外网等。这些不受限制的网络终端外联行为，会造成病毒、木马、蠕虫的传播，以及网络失泄密、网络攻击等情况，严重地威胁整个网络的安全。网络终端非法外联监控的理念正是从终端防范入手，从根源上解决内部网络的安全问题。

    网络终端非法外联监控系统通过在局域网内部部署网络终端非法外联监控服务器，对局域网内部用户终端设置统一的终端非法外联监控策略，来达到控制局域网的用户非法使用外设的目的。终端非法外联监控策略包括：登录时强制使用指纹在线认证方式，禁止更改IP地址，禁止更改MAC地址，禁止使用USB接口，禁止从安全模式登录系统等。

    1)接入控制

    接入控制主要对外设接口进行控制。控制终端用户使用光驱、软驱、打印机等输入输出设备；控制终端用户使用USB接口、串口、并口、1394接口、无线网卡、MODEM、红外等接口。

    2)介质管理

    能够对单位内使用的移动介质进行分类管理，只允许在内网使用已经授权的专用移动介质，禁止使用未注册的U盘、移动硬盘、手机／MP3／MP4、CF／MD／SD卡以及FlashDisk等未授权的普通介质，并且能够审计移动介质的操作行为。

    3．4内网安全审计

    对内网访问行为从应用层、系统层、网络层进行安全审计，记录计算机文件修改、删除、复翩、移动的操作行为，记录统计用户访问过的网页，记录计算机应用程序运行的日志。为系统管理员提供有价值的系统使用日志，帮助管理员及时发现网络入侵行为或潜在的系统漏洞。

4 改进的内网安全防护策略的实现

    我们在visual C#．net编程环境下，采用B／S结构的设计模式，实现了改进后的“内网安全防护策略监控系统”。系统部署在内网服务器区，在服务端设置好全网的安全防护策略，并生成可执行的客户端代理程序，然后强制在客户端安装代理程序。代理程序以系统进程的方式驻留在系统内存，随系统一起启动，在客户端启动的过程中，进行用户身份认证、客户端认证、防病毒策略验证、防火墙策略验证、系统漏洞和补丁检测、终端非法外联监控。如果认证和策略验证均通过，则根据用户的角色进行权限分配，用户在权限范围内访问网络资源，同时对用户的网络访问行为进行审计。

5 结束语

    改进后的安全防护策略采用用户的生物特征指纹对用户身份的合法性进行验证，增加了对内网中安全防护策略的验证机制，克服了目前内网安全防护中只部署策略但疏于监控策略的缺点，划分了内网可信主机边界、内网可信用户边界、服务器可信使用者边界，从整体上提高了内网安全防护的性能，有效地增强了网络安全，抵御了来自网络内部和夕卜部的攻击。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：一种改进的内网安全防护策略

本文网址：http://www.toberp.com/html/consultation/1083953511.html