国防科技工业是国家战略性产业,是国家利益的重要体现。军工企业集中了大量的国家秘密信息。为了确保国家秘密的安全,国家对从事军工科研和生产的企业实行了保密资格认证制度,对涉密网络建设和使用提出相应要求。由于安全防护形势日益严峻,现在军工企业面临着越来越多难以防范的APT攻击。现有的网络安全保护系统中,系统登录认证存在身份认证审核不严的问题,网络接入认证存在接入端口缺少认证机制的问题、边界接入认证存在不同密级的安全域间缺乏有效防护边界的问题。针对现有研究的不足,本论文尝试采用一种新的APT攻击防范方式,将系统登录认证、网络接入认证和边界接入认证三种认证方式结合起来,针对APT攻击的特点,设计一个纵深防御的基于多重认证的军工网络安全保护系统(MNSP系统),该系统包含USB Key定点登录认证系统、端口绑定网络接入认证系统、虚拟应用模型边界接入认证系统三个功能模块。其中,USB Key定点登录认证系统是通过设计一种软硬件双因子认证的USB Key,实现特定用户使用指定USB Key和特定计算机定点登录到军工涉密网络中的功能,从登录认证方面对APT攻击进行防范。端口绑定网络接入认证系统是通过将认证系统的用户账号、计算机MAC地址、IP地址和交换机端口号四种信息一同绑定并存入数据库,通过对绑定的数据进行验证,避免非法用户通过端口私自接入内部网络,从网络接入认证方面对APT攻击进行防范。虚拟应用模型边界接入认证系统是通过基于VDI(虚拟桌面基础架构)的虚拟桌面技术,通过虚拟应用交互,实现计算与表现的分离,客户端与服务器之间不传递信息数据的实体,只传递屏幕变化的映像和键盘、鼠标的交互信息,从而避免跨域传输实体数据,从边界接入认证方面对APT攻击进行防范。本论文通过对MNSP系统中USB Key定点登录认证系统、端口绑定网络接入认证系统、虚拟应用模型边界接入认证系统功能的测试,验证了系统实现了设计的功能。