內(nèi)網(wǎng)安全認(rèn)證機(jī)制的應(yīng)用實(shí)踐

1、內(nèi)網(wǎng)安全認(rèn)證機(jī)制的應(yīng)用實(shí)踐【摘 要】隨著信息網(wǎng)絡(luò)迅速發(fā)展，單純依賴傳統(tǒng)的網(wǎng)絡(luò)邊界安 全防護(hù)措施已經(jīng)不能有效保障各類系統(tǒng)的應(yīng)用，必須從網(wǎng)絡(luò)邊界安 全與內(nèi)網(wǎng)安全兩個方面綜合管理，建立可信的網(wǎng)絡(luò)安全認(rèn)證機(jī)制。 本文對如何構(gòu)建用戶安全認(rèn)證系統(tǒng)和完善內(nèi)網(wǎng)安全認(rèn)證體系進(jìn)行 了實(shí)踐探索。【關(guān)鍵詞】內(nèi)網(wǎng)安全認(rèn)證機(jī)制；實(shí)踐；探索隨著軍事信息網(wǎng)絡(luò)迅速發(fā)展，承載大量各類訓(xùn)練、后勤與裝備 管理等應(yīng)用系統(tǒng)。單純依賴傳統(tǒng)的網(wǎng)絡(luò)邊界安全防護(hù)措施已經(jīng)不能 有效保障各類系統(tǒng)的應(yīng)用，必須從網(wǎng)絡(luò)邊界安全與內(nèi)網(wǎng)安全兩個方 面綜合管理，建立可信的網(wǎng)絡(luò)安全認(rèn)證機(jī)制。如何構(gòu)建用戶安全認(rèn) 證系統(tǒng)，完善內(nèi)網(wǎng)安全認(rèn)證體系，已經(jīng)成為各級網(wǎng)絡(luò)安全管

2、理部門 面前的重要課題。內(nèi)網(wǎng)可信認(rèn)證機(jī)制的內(nèi)容體系從內(nèi)網(wǎng)安全管理的對象看，包括引起信息安全威脅的內(nèi)部網(wǎng)絡(luò) 用戶、應(yīng)用環(huán)境、應(yīng)用環(huán)境邊界和內(nèi)網(wǎng)通信安全。在現(xiàn)階段，內(nèi)網(wǎng) 安全不僅僅是安全產(chǎn)品的堆集，必須由傳統(tǒng)的、單純的安全產(chǎn)品部 署，拓展為構(gòu)建可信、可控的立體防護(hù)體系。綜合分析當(dāng)前信息安 全技術(shù)發(fā)展，要完善內(nèi)網(wǎng)安全管理機(jī)制，應(yīng)構(gòu)建四級可信認(rèn)證體系。一是實(shí)體可信，就是要建立基于硬件級別的安全防護(hù)和訪問控 制。在最底層對計(jì)算機(jī)終端進(jìn)行物理安全加固，使用安全防護(hù)卡要 從bios級實(shí)現(xiàn)登錄認(rèn)證和全盤數(shù)據(jù)保護(hù)，以杜絕非法用戶從光盤（或usb盤）啟動而繞過防護(hù)軟件竊取數(shù)據(jù)的現(xiàn)象，包括不讓用戶 隨意安裝操作系統(tǒng)

3、、卸載軟體等。二是系統(tǒng)可信，就是要建立基于操作系統(tǒng)的身份認(rèn)證和文件保 護(hù)。采用基于usb-key的雙因素認(rèn)證技術(shù)，實(shí)現(xiàn)操作系統(tǒng)登錄的可 信可控，即在計(jì)算機(jī)硬件啟動之后，可以限制用戶權(quán)限。此外，為 防止計(jì)算機(jī)終端發(fā)生系統(tǒng)癱瘓等故障，需要采取相應(yīng)的系統(tǒng)備份和 災(zāi)難恢復(fù)措施。三是應(yīng)用可信，就是要實(shí)現(xiàn)對程序安裝運(yùn)行的授權(quán)控制。對應(yīng) 用程序進(jìn)行黑白名單控制，只有經(jīng)過管理員簽名授權(quán)的應(yīng)用程序才 能運(yùn)行使用，未經(jīng)過安全認(rèn)證授權(quán)的應(yīng)用不能隨意入網(wǎng)，嚴(yán)格規(guī)范 終端用戶對軟件程序的使用行為。四是接入可信，就是要實(shí)現(xiàn)可信計(jì)算機(jī)接入內(nèi)網(wǎng)的認(rèn)證管理。網(wǎng)絡(luò)邊界的安全可控是內(nèi)網(wǎng)安全的基本問題，通過基于802.1x認(rèn) 證協(xié)議

4、的可信終端認(rèn)證子系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)的安全接入，確保未經(jīng)網(wǎng) 絡(luò)安全認(rèn)證的終端不能在網(wǎng)絡(luò)上運(yùn)行。統(tǒng)一身份認(rèn)證平臺的技術(shù)架構(gòu)建立四級可信認(rèn)證機(jī)制的縱深防御體系，實(shí)現(xiàn)身份鑒別、介質(zhì) 管理、數(shù)據(jù)保護(hù)、安全審計(jì)等基本防護(hù)要求，還必須有統(tǒng)一的身份 認(rèn)證系統(tǒng)，便于統(tǒng)一資源管理、統(tǒng)一訪問控制，實(shí)現(xiàn)單點(diǎn)管理，做 到一次登錄、全網(wǎng)通行。建立內(nèi)部網(wǎng)絡(luò)公共認(rèn)證信息服務(wù)，一個關(guān)鍵要素是整合各類業(yè) 務(wù)系統(tǒng)的認(rèn)證和登錄，實(shí)現(xiàn)統(tǒng)一認(rèn)證和單點(diǎn)登錄，保證各種應(yīng)用系 統(tǒng)以統(tǒng)一的接口嵌入各類應(yīng)用平臺。統(tǒng)一的身份認(rèn)證系統(tǒng)，獨(dú)立于 各部門應(yīng)用系統(tǒng)和綜合辦公系統(tǒng)，其總體架構(gòu)可采用b/s多層結(jié)構(gòu)， 特點(diǎn)是生產(chǎn)具有相對獨(dú)立的認(rèn)證功能構(gòu)件，獨(dú)立于操作

5、系統(tǒng)平臺， 便于實(shí)現(xiàn)重用，可在各類網(wǎng)絡(luò)環(huán)境下部署和實(shí)現(xiàn)。用戶身份信息存儲采用ldap目錄。將各類用戶和應(yīng)用系統(tǒng)信息， 通過ldap目錄服務(wù)，以層次結(jié)構(gòu)和面向?qū)ο髷?shù)據(jù)庫的方式進(jìn)行集 中管理，保證數(shù)據(jù)的一致性和完整性，為軍事信息網(wǎng)絡(luò)的各類應(yīng)用 系統(tǒng)提供統(tǒng)一的用戶身價信息。對ldap目錄中數(shù)據(jù)的訪問操作由統(tǒng)一身價認(rèn)證服務(wù)web services 接口實(shí)現(xiàn)。web services 接口實(shí)現(xiàn)。web services 向各 應(yīng)用系統(tǒng)和用戶管理模塊提供一致的身份認(rèn)證接口，應(yīng)用系統(tǒng)只要 調(diào)用web services，即可實(shí)現(xiàn)對ldap目錄中數(shù)據(jù)的訪問，完成身 份認(rèn)證功能。為保證數(shù)據(jù)庫管理系統(tǒng)可靠運(yùn)行，對認(rèn)

6、證用戶數(shù)據(jù)庫的管理功 能，通過用戶注冊、用戶管理和后臺維護(hù)三個模塊實(shí)現(xiàn)。（1）用戶注冊模塊。提供把用戶信息注冊到統(tǒng)一身份認(rèn)證平臺 的功能，注冊審核時使用內(nèi)部網(wǎng)絡(luò)辦公系統(tǒng)提供的基礎(chǔ)數(shù)據(jù)，進(jìn)行 身份信息比較。（2）用戶管理模塊。提供用戶登錄驗(yàn)證、用戶信息查詢、用戶 密碼更改等功能。可結(jié)合個人身份信息、認(rèn)證密鑰盤、指紋身份識 別等信息處理技術(shù)實(shí)現(xiàn)。（3）后臺維護(hù)模塊。提供用戶信息的檢索、審核、修改、平臺 維護(hù)等功能。為內(nèi)部網(wǎng)絡(luò)管理員建立后臺管理手段，處理用戶認(rèn)證 證書丟失、認(rèn)證信息更換等情況。內(nèi)網(wǎng)可信安全認(rèn)證的相關(guān)措施一是落實(shí)網(wǎng)絡(luò)實(shí)名制。要求上網(wǎng)用戶必須用真實(shí)的身份證明申 請網(wǎng)絡(luò)帳號，通過身份認(rèn)證后，才能使用網(wǎng)絡(luò)和信息資源。實(shí)現(xiàn)網(wǎng) 絡(luò)實(shí)名制，可有效加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理，防止非法網(wǎng)絡(luò)接入和竊密行 為?？刹扇』?02.1x協(xié)議終端訪問控制、個人生物特征身份簽 別和多重認(rèn)證密鑰等技術(shù)手段，確保網(wǎng)絡(luò)實(shí)名制有效落實(shí)。二是完善技術(shù)監(jiān)察機(jī)制。要綜合運(yùn)用各種技術(shù)監(jiān)察手段，加強(qiáng) 對內(nèi)部網(wǎng)絡(luò)流量的檢測、識別、統(tǒng)計(jì)，對網(wǎng)絡(luò)中的傳輸內(nèi)容和操作 行為進(jìn)行細(xì)粒度審計(jì)，掌握網(wǎng)絡(luò)入侵攻擊的特征、防范病毒傳播、 網(wǎng)絡(luò)破壞和竊密事件發(fā)生。加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全檢查，對終端接入 場所要進(jìn)行電磁探測，對終端接入線路要經(jīng)常巡查，及時發(fā)現(xiàn)和有 效排除安全隱患。三是健全安全責(zé)任制。要堅(jiān)持層次管理、按級負(fù)責(zé)的原則，指 定專人負(fù)責(zé)認(rèn)證