1引言 近几年发生的网络安全事件表明,网络内部安全 防护手段的缺陷和人员的安全防护意识淡薄是引起网 络安全问题的重要原因。传统的网络安全睦疗护方法都 是注重在网络边界上采取防火墙、入侵检测、漏洞扫 描、防病毒、访问控制等手段,对网络夕卜部设备和人 员进行管控,却忽视了对网络内部用户和设备的管理。 虽然有的部门内网采取了安全防护措施,对内网用户 的身份进行了认证,强制用户安装防病毒软件、防火 墙软件、打补丁等,但是,由于用户网络安全防范意 识的差别,内网安全防护措施的实施缺乏必要的监控, 导致内网终端设备安全防护等级参差不罗半,这对内网 的安全造成了严重的威胁01。本文针对内网安全防护 的现状,防护措施进行了改进,改进后的内网安全防 护措施,对用户身份认证采用在线指纹认证的方式, 对全网统一部署的防护策略进行监控,确保全网安全 防护措施的统一性和用户、终端的可信边界,有效抵 御了对内网的攻击行为。 2内网安全防护措施 网络的安全程度遵循“木桶原理”,即:网络的 安全性是由网络中安全等级最薄弱的那台计算机的 防护水平决定的,网络中安全防护等级薄弱的计算 机往往是黑客、病毒、木马、蠕虫等入侵网络的突 破口,成为整个网络安全的短板。这也意味着,只 有整体提高网络中所有用户的安全防护意识和终端 的安全防护策略,才能最大限度地发挥整个网络的 安全防护性能,有效抵御网络外部和内部的恶意攻 击,防止网络失泄密事件的发生。内网安全防护的 理念也是基于“木桶原理”,即在内网部署全网统 一的防病毒、防火墙、补丁下载等安全防护策略, 对终端用户接入网络、访问网络资源等行为进行安 全审计。内部网络安全防护措施主要有:用户身份 认证、终端安全和安全审计等。 2.1用户身份认证 用户身份认证是指内网用户在登录系统时对用 户身份合法性的验证。目前普遍使用的身份认证方 法有“用户名+口令”的认证方法和基于USBKey 的认证方法。 ’ 1)“用户名+口令”的身份认证方式 “用户名+口令”是一种最基本的身份认证方 式,即用户在登录系统时,输入系统分配给用户 的用户名和密码,如果验证成功后允许用户登录 系统,否则拒绝用户登录。这种身份认证的方法 比较简单,易于操作,但是系统的安全性相对来 说也比较低,如果用户名和密码被泄露,很容易 导致非授权用户冒充合法用户使用系统,不利于 对系统进行安全审计。另外,针对这种认证方法 进行攻击的第三方软件也非常多,因此,在安全 性要求比较高的网络,这种认证方法逐渐被其他 认证方法所取代。 2)基于USBKey的身份认证方式犯1 基于USBKey的身份认证方式是近几年发展起 来的一种更加安全的身份认证技术。它采用软硬件 相结合、一次一密的强双因子认证模式,很好地解 决了安全性与易用性之间的矛盾。USBKey是一种 USB接口的硬件设备,它内置单片机或智能卡芯片, 可以存储用户的密钥或数字证书,利用USBKey内 置的密码算法可以实现对用户身份认证,USBKey 也称为网络内对用户进行身份认证的“电子钥匙”。 这种认证方法采取了RSA等密码加密算法,具有 双重验证机制,因此安全性较“用户名+口令”的 认证方式有了很大的提高,目前在电子政务、网上 银行以及军事等领域得到了广泛的应用。 这种认证方式在实际使用中也存在以下缺陷: USBKey中存储的用户私钥,一旦被窃取或破译, 后果将非常严重,如果USBKey丢失,而认证服 务器还没有来得及注销用户信息,那么将导致非 法用户冒充的情况。 2.2终端防护 内网中取得合法身份的用户并不一定是“守 ”的用户,当用户取得合法的身份以后,还必 须加强终端防护。终端防护的重点在于对用户行 为的管控,主要通过在全网内部署网络防病毒系 统、防火墙系统补丁分发系统以及网络监控系统, 在终端上设置统一的防病毒策略、防火墙策略和 补丁分发策略,监控和保护通信端口、协议、进 |