到控制局域网的用户非法使用外设的目的。终端非 法外联监控策略包括:登录时强制使用指纹在线认 证方式,禁止更改IP地址,禁止更改MAC地址, 禁止使用USB接口,禁止从安全模式登录系统等。 1)接入控制 接入控制主要对外设接口进行控制。控制终端 用户使用光驱、软驱、打印机等输入输出设备;控 制终端用户使用USB接口、串口、并口、1394接 口、无线网卡、MODEM、红外等接口。 2)介质管理 能够对单位内使用的移动介质进行分类管理, 只允许在内网使用已经授权的专用移动介质,禁止 使用未注册的U盘、移动硬盘、手机/MP3/MP4、 CF/MD/SD卡以及FlashDisk等未授权的普通介 质,并且能够审计移动介质的操作行为。 3.4内网安全审计 对内网访问行为从应用层、系统层、网络层进 行安全审计,记录计算机文件修改、删除、复翩、 移动的操作行为,记录统计用户访问过的网页,记 录计算机应用程序运行的日志H1。为系统管理员提 供有价值的系统使用日志,帮助管理员及时发现网 络入侵行为或潜在的系统漏洞。 4改进的内网安全防护策略的实现 我们在visual C#.net编程环境下,采用B/S 结构的设计模式,实现了改进后的“内网安全防护 策略监控系统”。系统部署在内网服务器区,在服 务端设置好全网的安全防护策略,并生成可执行的 客户端代理程序,然后强制在客户端安装代理程序。 代理程序以系统进程的方式驻留在系统内存,随系 统一起启动,在客户端启动的过程中,进行用户身 份认证、客户端认证、防病毒策略验证、防火墙策 略验证、系统漏洞和补丁检测、终端非法外联监控。 如果认证和策略验证均通过,则根据用户的角色进 行权限分配,用户在权限范围内访问网络资源,同 时对用户的网络访问行为进行审计。 5结束语 改进后的安全防护策略采用用户的生物特征指 纹对用户身份的合法性进行验证,增加了对内网中 安全防护策略的验证机制,克服了目前内网安全防 护中只部署策略但疏于监控策略的缺点,划分了内 网可信主机边界、内网可信用户边界、服务器可信 使用者边界,从整体上提高了内网安全防护的性能, 有效地增强了网络安全,抵御了来自网络内部和夕卜 部的攻击。作者:庞雄昌,王茄 |
