程/服务、注册表、安全策略等操作系统关键资 源的,关闭不必要的进程、服务和端口,降低操 作系统的安全隐患131。 2.3安全审计 安全审计系统主要审计记录用户登录情况、用 户访问资源情况、内网安全攻击情况、数据传输 情况、网络行为识别、网络恶意代码检测、网络 协议检测,便于管理员事后审计以及事后追查。 通过行政和管理手段,在全网内部署统一的防 病毒策略、防火墙策略和网络监控系统,能有效 地约束用户的网络访问行为,提高内网的安全性。 但是,在实践中,由于缺乏必要的技术措施,导 致终端用户的个人行为往往难以管控。即使强制 终端安装杀毒软件、防火墙,及时打补丁,但是, 仍存在部分用户不更新病毒库,不打补丁,私自 下载来历不明的软件等恃况,使得建立全网统一 的安全防护策略的思想难以实现,对内网的安全 造成了极大的威胁。 3改进的内网安全防护策略 针对内网安全防护存在的问题,对目前内网安 全防护措施从用户身份认证方式、内网安全防护策 略验证、内网终端非法外联监控、权限检查、内网 安全审计、数据传输保护等方面进行了改进,如图 l所示。改进后的内网安全防护策略划分了内网可 信主机边界、内网可信用户边界、服务器可信使用 者边界,有效地增强了网络安全,抵御了来自网络 内部和外部的攻击。  3.1身份认证 身份认证包括“用户身份认证”和“终端主机 认证”。用户身份认证采用了用户指纹在线认证的 方式。这种认证方式利用了用户的生物特征,克服 了“用户名+口令”的认证方式和USBKey认证 方式的缺陷,有效地区分内网可信用户的边界,避 免了内网用户身份假冒的情况。终端主机认证采用 了“IP+MAC+端口”的认证方式,对用户终端主 机的合法性进行认证,有效地防止了终端私自连接 外网情况的发生。 用户权限分配将服务器资源与用户的访问角色 进行了绑定,使用户的访问限定在授权的范围之内, 阻断非法接入的主机、冒充的用户和越级越权的网 络访问行为。 3.2网络安全防护策略监控 近几年,用户的网络安全防护意识有了较大的 提高,许多部门的网络也强制用户安装防病毒软件 和防火墙等安全软件。但是,仍有部分用户不按照 规定,不及时更新病毒库、私自卸载杀毒软件和防 火墙。因此,除了对用户进行身份验证之外,还需 要对用户终端的安全防护策略进行监控。 1)防病毒策略验证 在线检测防病毒策略以及客户端防病毒系统病 毒库的更新情况,如果防病毒系统策略与全网统一 要求的防病毒策略设置得不一致或者病毒库没有及 时更新,则对用户进行提示并阻断用户的连接。 2)防火墙策略验证 在线检测防火墙安全策略的合法性,如果防火 墙安全策略与全网统一要求的防火墙安全策略设置 不一致,则对用户进行提示并阻断用户的连接。 3)系统漏洞和补丁检测 系统启动时,通过终端防护系统的漏洞扫描功 能,对所辖范围内的主机进行漏洞扫描,及时发现 操作系统存在的安全漏洞,未打补丁的终端接入内 网时,对其进行阻断,提示其先打补丁再接入网络, 并依托内网补丁下载服务器,为用户提供补丁下载 服务,实现操作系统加固。 3.3网络终端非法外联监控 局域网内部的台式计算机、移动设备、打印机 等终端设备的自我防护能力参差不齐,终端用户 的安全防护意识薄弱。主要表现为:局域网内的 用户随意安装来历不明的软件,随意使用光盘、U 盘,1394口,私接外网等。这些不受限制的网络 终端外联行为,会造成病毒、木马、蠕虫的传播, 以及网络失泄密、网络攻击等情况,严重地威胁 整个网络的安全。网络终端非法外联监控的理念 正是从终端防范入手,从根源上解决内部网络的 安全问题。 网络终端非法外联监控系统通过在局域网内部 部署网络终端非法外联监控服务器,对局域网内部 用户终端设置统一的终端非法外联监控策略,来达 |
