構建可信安全環(huán)境

從網絡安全管理的對象看，包括引起信息安全威脅的網絡用戶、應用環(huán)境、應用環(huán)境邊界和通信安全。應用安全不僅僅是安全產品的堆疊，必須由傳統(tǒng)單純的安全產品部署，拓展為構建可信、可控的立體防護體系。

首先是實體可信。可采取基于硬件級別的安全防護和訪問控制的方式，在最底層對終端進行物理安全加固，使用安全防護卡從BIOS級實現(xiàn)登錄認證和全盤數(shù)據保護，杜絕非法用戶從光盤（或USB盤）啟動繞過防護軟件竊取數(shù)據；網絡實名制方式，做好終端資源管理，認真普查、統(tǒng)計好網絡資源和用戶信息，確保每一個接入內網的用戶信息，未經授權的設備無法通過使用認真；同時用戶不能隨意安裝操作系統(tǒng)，卸載軟件等。對于應用服務器類設備，由于其對網絡穩(wěn)定性要求較高，可通過“白名單”制度實施管控。

其次是接入可信。可采取計算機接入內網的認證管理方式，通過基于802.1X認證協(xié)議的可信終端認證子系統(tǒng)實現(xiàn)網絡的安全接入，確保未經網絡安全認證的終端不能在網絡上運行；對網絡打印機、網絡攝像頭、IP電話等，采用MAC地址認證方法；要選好認證策略，確保經過身份合法性驗證、經網絡管理員審批的主機終端安全接入，保障用戶身份合法可靠。

第三是系統(tǒng)可信。建立基于操作系統(tǒng)的身份認證和文件保護，采用基于USB-KEY的雙因素認證技術，實現(xiàn)操作系統(tǒng)登錄的可信可控，在計算機硬件啟動后限制其權限。依托準入代理對網內終端定時進行安全檢測，強制安裝、運行防護系統(tǒng)軟件，實施防病毒軟件、系統(tǒng)漏洞、注冊表監(jiān)控、操作系統(tǒng)密碼、多網卡內網外聯(lián)等方面的健康檢測與評估。要健全安全聯(lián)動機制，實現(xiàn)系統(tǒng)狀態(tài)的健康檢測，對綜合評估分值過低（風險較高）的系統(tǒng)用戶，要強制推送至網絡隔離區(qū)域，通過隔離、下線等手段，強制漏洞修復。

第四是應用可信。采用數(shù)字安全證書，對網上辦公、網絡交易、申請報稅等進行數(shù)字加密和數(shù)字簽名，完成身份確認和資質審核；采取安裝、運行權限的授權對應用程序進行黑白名單控制，規(guī)范終端軟件程序使用行為；出現(xiàn)網絡安全問題時，可利用準入控制日志進行快速定位，優(yōu)先排查曾經進入應用隔離區(qū)的問題終端。

部署統(tǒng)一認證平臺

建立可信認證平臺，利用統(tǒng)一的技術架構、統(tǒng)一的身份認證系統(tǒng)，實現(xiàn)身份鑒別、介質管理、數(shù)據保護、安全審計等防護功能，便于統(tǒng)一資源管理及統(tǒng)一訪問控制。統(tǒng)一的身份認證系統(tǒng)，獨立于各部門應用和綜合辦公系統(tǒng)，一個關鍵要素是整合各類業(yè)務系統(tǒng)的認證和登錄，實現(xiàn)統(tǒng)一認證和單點登錄；可采用B/S多層結構，開發(fā)具有相對獨立的認證功能構件，方便實現(xiàn)重用。

如圖1所示，用戶身份信息存儲采用LDAP目錄。將各類用戶和應用系統(tǒng)信息，通過LDAP目錄服務，以層次結構和面向對象數(shù)據庫的方式進行集中管理，保證數(shù)據的一致性和完整性，為各類應用系統(tǒng)提供統(tǒng)一的用戶身份信息。對LDAP目錄中數(shù)據的訪問操作由統(tǒng)一身份認證服務Web Services接口實現(xiàn)。Web Services向各應用系統(tǒng)和用戶管理模塊提供一致的身份認證接口，應用系統(tǒng)只要調用Web Services接口，即可實現(xiàn)對LDAP目錄中數(shù)據的訪問，完成身份認證功能。

為保證數(shù)據庫管理系統(tǒng)可靠運行，對認證用戶數(shù)據庫的管理功能，通過身份注冊、審核識別和管理維護等模塊來實現(xiàn)。

圖1 統(tǒng)一的身份認證平臺技術架構圖

1.身份注冊模塊。提供將用戶信息注冊到統(tǒng)一身份認證平臺的功能，注冊審核時，需要使用網絡辦公系統(tǒng)提供的基礎數(shù)據進行身份信息比對。

2.審核識別模塊。提供用戶登錄驗證、用戶信息查詢、用戶密碼更改等功能?？山Y合個人身份信息、認證密鑰盤、指紋身份識別等信息處理技術來實現(xiàn)。

3.管理維護模塊。提供用戶信息的檢索、審核、修改以及平臺維護等功能。為網絡管理員建立后臺管理手段，處理用戶認證證書丟失、認證信息更換等情況。

統(tǒng)一認證平臺部署，可結合802.1x的認證體系，采用“可控端口”和“不可控端口”的邏輯功能，充分實現(xiàn)業(yè)務與認證的分離，實現(xiàn)入網認證管理、網絡聯(lián)動控制、報警中心顯示等功能一體化，有效降低網管成本，增強擴展性和適應性。

實施網絡安全管控

首先要落實網絡實名制。要求上網用戶必須用真實身份證明申請網絡帳號，通過身份認證后才能使用網絡資源。可采取基于802.1X協(xié)議終端訪問控制、個人生物特征身份鑒別和多重認證密鑰等技術確保其有效落實。

其次要落實技術監(jiān)察手段。組織網絡的檢查監(jiān)督，對網絡流量進行檢測、識別、統(tǒng)計，對網絡傳輸內容和操作行為進行細粒度審計。加強網絡安全檢查，對終端接入場所要進行電磁探測，對終端接入線路要經常巡查，及時發(fā)現(xiàn)排除安全隱患。

第三要落實安全責任。按照層次管理、按級負責的原則，加強網絡認證設備的管理，把責任分解到具體部門、人員；要指定專人負責認證信息采集，網絡用戶各項登記信息要詳細、規(guī)范和準確；全時監(jiān)控認證服務器的運行狀態(tài)；保護上網帳號、身份鑒別介質及證書信息，保證專網專用、專機專用，嚴防用戶帳號丟失、證書外泄等問題發(fā)生。