【摘 要】隨著信息網(wǎng)絡(luò)迅速發(fā)展，單純依賴(lài)傳統(tǒng)的網(wǎng)絡(luò)邊界安全防護(hù)措施已經(jīng)不能有效保障各類(lèi)系統(tǒng)的應(yīng)用，必須從網(wǎng)絡(luò)邊界安全與內(nèi)網(wǎng)安全兩個(gè)方面綜合管理，建立可信的網(wǎng)絡(luò)安全認(rèn)證機(jī)制。本文對(duì)如何構(gòu)建用戶(hù)安全認(rèn)證系統(tǒng)和完善內(nèi)網(wǎng)安全認(rèn)證體系進(jìn)行了實(shí)踐探索。

【關(guān)鍵詞】?jī)?nèi)網(wǎng)安全認(rèn)證機(jī)制；實(shí)踐；探索

隨著軍事信息網(wǎng)絡(luò)迅速發(fā)展，承載大量各類(lèi)訓(xùn)練、后勤與裝備管理等應(yīng)用系統(tǒng)。單純依賴(lài)傳統(tǒng)的網(wǎng)絡(luò)邊界安全防護(hù)措施已經(jīng)不能有效保障各類(lèi)系統(tǒng)的應(yīng)用，必須從網(wǎng)絡(luò)邊界安全與內(nèi)網(wǎng)安全兩個(gè)方面綜合管理，建立可信的網(wǎng)絡(luò)安全認(rèn)證機(jī)制。如何構(gòu)建用戶(hù)安全認(rèn)證系統(tǒng)，完善內(nèi)網(wǎng)安全認(rèn)證體系，已經(jīng)成為各級(jí)網(wǎng)絡(luò)安全管理部門(mén)面前的重要課題。

1.內(nèi)網(wǎng)可信認(rèn)證機(jī)制的內(nèi)容體系

從內(nèi)網(wǎng)安全管理的對(duì)象看，包括引起信息安全威脅的內(nèi)部網(wǎng)絡(luò)用戶(hù)、應(yīng)用環(huán)境、應(yīng)用環(huán)境邊界和內(nèi)網(wǎng)通信安全。在現(xiàn)階段，內(nèi)網(wǎng)安全不僅僅是安全產(chǎn)品的堆集，必須由傳統(tǒng)的、單純的安全產(chǎn)品部署，拓展為構(gòu)建可信、可控的立體防護(hù)體系。綜合分析當(dāng)前信息安全技術(shù)發(fā)展，要完善內(nèi)網(wǎng)安全管理機(jī)制，應(yīng)構(gòu)建四級(jí)可信認(rèn)證體系。

一是實(shí)體可信，就是要建立基于硬件級(jí)別的安全防護(hù)和訪問(wèn)控制。在最底層對(duì)計(jì)算機(jī)終端進(jìn)行物理安全加固，使用安全防護(hù)卡要從BIOS級(jí)實(shí)現(xiàn)登錄認(rèn)證和全盤(pán)數(shù)據(jù)保護(hù)，以杜絕非法用戶(hù)從光盤(pán)（或USB盤(pán)）啟動(dòng)而繞過(guò)防護(hù)軟件竊取數(shù)據(jù)的現(xiàn)象，包括不讓用戶(hù)隨意安裝操作系統(tǒng)、卸載軟體等。

二是系統(tǒng)可信，就是要建立基于操作系統(tǒng)的身份認(rèn)證和文件保護(hù)。采用基于USB-KEY的雙因素認(rèn)證技術(shù)，實(shí)現(xiàn)操作系統(tǒng)登錄的可信可控，即在計(jì)算機(jī)硬件啟動(dòng)之后，可以限制用戶(hù)權(quán)限。此外，為防止計(jì)算機(jī)終端發(fā)生系統(tǒng)癱瘓等故障，需要采取相應(yīng)的系統(tǒng)備份和災(zāi)難恢復(fù)措施。

三是應(yīng)用可信，就是要實(shí)現(xiàn)對(duì)程序安裝運(yùn)行的授權(quán)控制。對(duì)應(yīng)用程序進(jìn)行黑白名單控制，只有經(jīng)過(guò)管理員簽名授權(quán)的應(yīng)用程序才能運(yùn)行使用，未經(jīng)過(guò)安全認(rèn)證授權(quán)的應(yīng)用不能隨意入網(wǎng)，嚴(yán)格規(guī)范終端用戶(hù)對(duì)軟件程序的使用行為。

四是接入可信，就是要實(shí)現(xiàn)可信計(jì)算機(jī)接入內(nèi)網(wǎng)的認(rèn)證管理。網(wǎng)絡(luò)邊界的安全可控是內(nèi)網(wǎng)安全的基本問(wèn)題，通過(guò)基于802.1X認(rèn)證協(xié)議的可信終端認(rèn)證子系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)的安全接入，確保未經(jīng)網(wǎng)絡(luò)安全認(rèn)證的終端不能在網(wǎng)絡(luò)上運(yùn)行。

2.統(tǒng)一身份認(rèn)證平臺(tái)的技術(shù)架構(gòu)

建立四級(jí)可信認(rèn)證機(jī)制的縱深防御體系，實(shí)現(xiàn)身份鑒別、介質(zhì)管理、數(shù)據(jù)保護(hù)、安全審計(jì)等基本防護(hù)要求，還必須有統(tǒng)一的身份認(rèn)證系統(tǒng)，便于統(tǒng)一資源管理、統(tǒng)一訪問(wèn)控制，實(shí)現(xiàn)單點(diǎn)管理，做到一次登錄、全網(wǎng)通行。

建立內(nèi)部網(wǎng)絡(luò)公共認(rèn)證信息服務(wù)，一個(gè)關(guān)鍵要素是整合各類(lèi)業(yè)務(wù)系統(tǒng)的認(rèn)證和登錄，實(shí)現(xiàn)統(tǒng)一認(rèn)證和單點(diǎn)登錄，保證各種應(yīng)用系統(tǒng)以統(tǒng)一的接口嵌入各類(lèi)應(yīng)用平臺(tái)。統(tǒng)一的身份認(rèn)證系統(tǒng)，獨(dú)立于各部門(mén)應(yīng)用系統(tǒng)和綜合辦公系統(tǒng)，其總體架構(gòu)可采用B/S多層結(jié)構(gòu)，特點(diǎn)是生產(chǎn)具有相對(duì)獨(dú)立的認(rèn)證功能構(gòu)件，獨(dú)立于操作系統(tǒng)平臺(tái)，便于實(shí)現(xiàn)重用，可在各類(lèi)網(wǎng)絡(luò)環(huán)境下部署和實(shí)現(xiàn)。

用戶(hù)身份信息存儲(chǔ)采用LDAP目錄。將各類(lèi)用戶(hù)和應(yīng)用系統(tǒng)信息，通過(guò)LDAP目錄服務(wù)，以層次結(jié)構(gòu)和面向?qū)ο髷?shù)據(jù)庫(kù)的方式進(jìn)行集中管理，保證數(shù)據(jù)的一致性和完整性，為軍事信息網(wǎng)絡(luò)的各類(lèi)應(yīng)用系統(tǒng)提供統(tǒng)一的用戶(hù)身價(jià)信息。

對(duì)LDAP目錄中數(shù)據(jù)的訪問(wèn)操作由統(tǒng)一身價(jià)認(rèn)證服務(wù)Web Services接口實(shí)現(xiàn)。Web Services 接口實(shí)現(xiàn)。Web Services向各應(yīng)用系統(tǒng)和用戶(hù)管理模塊提供一致的身份認(rèn)證接口，應(yīng)用系統(tǒng)只要調(diào)用Web Services，即可實(shí)現(xiàn)對(duì)LDAP目錄中數(shù)據(jù)的訪問(wèn)，完成身份認(rèn)證功能。

為保證數(shù)據(jù)庫(kù)管理系統(tǒng)可靠運(yùn)行，對(duì)認(rèn)證用戶(hù)數(shù)據(jù)庫(kù)的管理功能，通過(guò)用戶(hù)注冊(cè)、用戶(hù)管理和后臺(tái)維護(hù)三個(gè)模塊實(shí)現(xiàn)。

（1）用戶(hù)注冊(cè)模塊。提供把用戶(hù)信息注冊(cè)到統(tǒng)一身份認(rèn)證平臺(tái)的功能，注冊(cè)審核時(shí)使用內(nèi)部網(wǎng)絡(luò)辦公系統(tǒng)提供的基礎(chǔ)數(shù)據(jù)，進(jìn)行身份信息比較。

（2）用戶(hù)管理模塊。提供用戶(hù)登錄驗(yàn)證、用戶(hù)信息查詢(xún)、用戶(hù)密碼更改等功能?？山Y(jié)合個(gè)人身份信息、認(rèn)證密鑰盤(pán)、指紋身份識(shí)別等信息處理技術(shù)實(shí)現(xiàn)。

（3）后臺(tái)維護(hù)模塊。提供用戶(hù)信息的檢索、審核、修改、平臺(tái)維護(hù)等功能。為內(nèi)部網(wǎng)絡(luò)管理員建立后臺(tái)管理手段，處理用戶(hù)認(rèn)證證書(shū)丟失、認(rèn)證信息更換等情況。

3.內(nèi)網(wǎng)可信安全認(rèn)證的相關(guān)措施

一是落實(shí)網(wǎng)絡(luò)實(shí)名制。要求上網(wǎng)用戶(hù)必須用真實(shí)的身份證明申請(qǐng)網(wǎng)絡(luò)帳號(hào)，通過(guò)身份認(rèn)證后，才能使用網(wǎng)絡(luò)和信息資源。實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)名制，可有效加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理，防止非法網(wǎng)絡(luò)接入和竊密行為?？刹扇』?02.1X協(xié)議終端訪問(wèn)控制、個(gè)人生物特征身份簽別和多重認(rèn)證密鑰等技術(shù)手段，確保網(wǎng)絡(luò)實(shí)名制有效落實(shí)。

二是完善技術(shù)監(jiān)察機(jī)制。要綜合運(yùn)用各種技術(shù)監(jiān)察手段，加強(qiáng)對(duì)內(nèi)部網(wǎng)絡(luò)流量的檢測(cè)、識(shí)別、統(tǒng)計(jì)，對(duì)網(wǎng)絡(luò)中的傳輸內(nèi)容和操作行為進(jìn)行細(xì)粒度審計(jì)，掌握網(wǎng)絡(luò)入侵攻擊的特征、防范病毒傳播、網(wǎng)絡(luò)破壞和竊密事件發(fā)生。加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全檢查，對(duì)終端接入場(chǎng)所要進(jìn)行電磁探測(cè)，對(duì)終端接入線路要經(jīng)常巡查，及時(shí)發(fā)現(xiàn)和有效排除安全隱患。

三是健全安全責(zé)任制。要堅(jiān)持層次管理、按級(jí)負(fù)責(zé)的原則，指定專(zhuān)人負(fù)責(zé)認(rèn)證信息采集，網(wǎng)絡(luò)用戶(hù)各項(xiàng)登記信息要準(zhǔn)確；要全時(shí)監(jiān)控認(rèn)證服務(wù)器的運(yùn)行狀態(tài)，保障認(rèn)證渠道的暢通；要加強(qiáng)對(duì)終端用戶(hù)上網(wǎng)帳號(hào)、身份鑒別介質(zhì)及證書(shū)信息的管理，做到專(zhuān)網(wǎng)專(zhuān)用、專(zhuān)機(jī)專(zhuān)用，嚴(yán)防用戶(hù)帳號(hào)丟失、證書(shū)信息泄漏等問(wèn)題的發(fā)生。