提升網絡應用系統可信性

2018-11-09 02:02:28

網絡安全和信息化 2018年5期

構建可信安全環境

從網絡安全管理的對象看，包括引起信息安全威脅的網絡用戶、應用環境、應用環境邊界和通信安全。應用安全不僅僅是安全產品的堆疊，必須由傳統單純的安全產品部署，拓展為構建可信、可控的立體防護體系。

首先是實體可信。可采取基于硬件級別的安全防護和訪問控制的方式，在最底層對終端進行物理安全加固，使用安全防護卡從BIOS級實現登錄認證和全盤數據保護，杜絕非法用戶從光盤（或USB盤）啟動繞過防護軟件竊取數據；網絡實名制方式，做好終端資源管理，認真普查、統計好網絡資源和用戶信息，確保每一個接入內網的用戶信息，未經授權的設備無法通過使用認真；同時用戶不能隨意安裝操作系統，卸載軟件等。對于應用服務器類設備，由于其對網絡穩定性要求較高，可通過“白名單”制度實施管控。

其次是接入可信。可采取計算機接入內網的認證管理方式，通過基于802.1X認證協議的可信終端認證子系統實現網絡的安全接入，確保未經網絡安全認證的終端不能在網絡上運行；對網絡打印機、網絡攝像頭、IP電話等，采用MAC地址認證方法；要選好認證策略，確保經過身份合法性驗證、經網絡管理員審批的主機終端安全接入，保障用戶身份合法可靠。

第三是系統可信。建立基于操作系統的身份認證和文件保護，采用基于USB-KEY的雙因素認證技術，實現操作系統登錄的可信可控，在計算機硬件啟動后限制其權限。依托準入代理對網內終端定時進行安全檢測，強制安裝、運行防護系統軟件，實施防病毒軟件、系統漏洞、注冊表監控、操作系統密碼、多網卡內網外聯等方面的健康檢測與評估。要健全安全聯動機制，實現系統狀態的健康檢測，對綜合評估分值過低（風險較高）的系統用戶，要強制推送至網絡隔離區域，通過隔離、下線等手段，強制漏洞修復。

第四是應用可信。采用數字安全證書，對網上辦公、網絡交易、申請報稅等進行數字加密和數字簽名，完成身份確認和資質審核；采取安裝、運行權限的授權對應用程序進行黑白名單控制，規范終端軟件程序使用行為；出現網絡安全問題時，可利用準入控制日志進行快速定位，優先排查曾經進入應用隔離區的問題終端。

部署統一認證平臺

建立可信認證平臺，利用統一的技術架構、統一的身份認證系統，實現身份鑒別、介質管理、數據保護、安全審計等防護功能，便于統一資源管理及統一訪問控制。統一的身份認證系統，獨立于各部門應用和綜合辦公系統，一個關鍵要素是整合各類業務系統的認證和登錄，實現統一認證和單點登錄；可采用B/S多層結構，開發具有相對獨立的認證功能構件，方便實現重用。

如圖1所示，用戶身份信息存儲采用LDAP目錄。將各類用戶和應用系統信息，通過LDAP目錄服務，以層次結構和面向對象數據庫的方式進行集中管理，保證數據的一致性和完整性，為各類應用系統提供統一的用戶身份信息。對LDAP目錄中數據的訪問操作由統一身份認證服務Web Services接口實現。Web Services向各應用系統和用戶管理模塊提供一致的身份認證接口，應用系統只要調用Web Services接口，即可實現對LDAP目錄中數據的訪問，完成身份認證功能。

為保證數據庫管理系統可靠運行，對認證用戶數據庫的管理功能，通過身份注冊、審核識別和管理維護等模塊來實現。

圖1 統一的身份認證平臺技術架構圖

1.身份注冊模塊。提供將用戶信息注冊到統一身份認證平臺的功能，注冊審核時，需要使用網絡辦公系統提供的基礎數據進行身份信息比對。

2.審核識別模塊。提供用戶登錄驗證、用戶信息查詢、用戶密碼更改等功能?？山Y合個人身份信息、認證密鑰盤、指紋身份識別等信息處理技術來實現。

3.管理維護模塊。提供用戶信息的檢索、審核、修改以及平臺維護等功能。為網絡管理員建立后臺管理手段，處理用戶認證證書丟失、認證信息更換等情況。

統一認證平臺部署，可結合802.1x的認證體系，采用“可控端口”和“不可控端口”的邏輯功能，充分實現業務與認證的分離，實現入網認證管理、網絡聯動控制、報警中心顯示等功能一體化，有效降低網管成本，增強擴展性和適應性。

實施網絡安全管控

首先要落實網絡實名制。要求上網用戶必須用真實身份證明申請網絡帳號，通過身份認證后才能使用網絡資源?？刹扇』?02.1X協議終端訪問控制、個人生物特征身份鑒別和多重認證密鑰等技術確保其有效落實。

其次要落實技術監察手段。組織網絡的檢查監督，對網絡流量進行檢測、識別、統計，對網絡傳輸內容和操作行為進行細粒度審計。加強網絡安全檢查，對終端接入場所要進行電磁探測，對終端接入線路要經常巡查，及時發現排除安全隱患。

第三要落實安全責任。按照層次管理、按級負責的原則，加強網絡認證設備的管理，把責任分解到具體部門、人員；要指定專人負責認證信息采集，網絡用戶各項登記信息要詳細、規范和準確；全時監控認證服務器的運行狀態；保護上網帳號、身份鑒別介質及證書信息，保證專網專用、專機專用，嚴防用戶帳號丟失、證書外泄等問題發生。