企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

曲佳偉

【摘 要】我國(guó)信息化技術(shù)的快速發(fā)展，推動(dòng)了我國(guó)企業(yè)信息化技術(shù)的建設(shè)進(jìn)程，企業(yè)資源數(shù)字化存儲(chǔ)與管理已經(jīng)成為企業(yè)發(fā)展的重要戰(zhàn)略方式之一，為企業(yè)高效發(fā)展提供了強(qiáng)大的推動(dòng)力，為此想要設(shè)計(jì)完善的網(wǎng)絡(luò)安全防護(hù)體系，需要分析企業(yè)常見(jiàn)的網(wǎng)絡(luò)系統(tǒng)安全隱患，并分析企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)需求，在此基礎(chǔ)之上對(duì)身份認(rèn)證系統(tǒng)與安全防護(hù)系統(tǒng)進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)，以此提升企業(yè)網(wǎng)絡(luò)安全防護(hù)效果，促進(jìn)企業(yè)實(shí)現(xiàn)可持續(xù)發(fā)展。

【Abstract】The rapid development of information technology in China has promoted the process of enterprise information technology construction. The digital storage and management of enterprise resources has become one of the important strategic ways of enterprise development， which provides a powerful driving force for the efficient development of enterprises. This need to design a sound network security protection system， it need to analyze the security risks of common network system， and analyze the needs of enterprise network security protection system， based on this， we design and implement the identity authentication system and security protection system， to enhance the effectiveness of enterprise network security protection， and promote the sustainable development of enterprises.

【關(guān)鍵詞】企業(yè)；網(wǎng)絡(luò)安全防護(hù)；系統(tǒng)設(shè)計(jì)；實(shí)現(xiàn)

【Keywords】enterprise； network security protection； system design； implementation

【中圖分類(lèi)號(hào)】TP393 【文獻(xiàn)標(biāo)志碼】A 【文章編號(hào)】1673-1069（2017）10-0164-02

1 引言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展引領(lǐng)企業(yè)走向信息化的經(jīng)營(yíng)管理方向，在信息化背景下，企業(yè)不斷將傳統(tǒng)辦公拓展到網(wǎng)絡(luò)職能上來(lái)，顯著提升了企業(yè)的經(jīng)營(yíng)效率，但是由于計(jì)算機(jī)網(wǎng)絡(luò)存在一定的風(fēng)險(xiǎn)性，很多企業(yè)由于沒(méi)有建立完善的網(wǎng)絡(luò)防護(hù)體系，導(dǎo)致出現(xiàn)了嚴(yán)重的系統(tǒng)破壞、文檔竊取以及病毒侵入等問(wèn)題，嚴(yán)重制約了企業(yè)數(shù)據(jù)信息的安全性，此為企業(yè)亟需設(shè)計(jì)完善的網(wǎng)絡(luò)安全防護(hù)體系，以便確保網(wǎng)絡(luò)信息安全性。

2 企業(yè)網(wǎng)絡(luò)安全防護(hù)體系需求分析

早在20世紀(jì)90年代企業(yè)紛紛意識(shí)到想要提升自身的競(jìng)爭(zhēng)力就需要借助共享信息、互聯(lián)網(wǎng)獲取等技術(shù)對(duì)市場(chǎng)做出針對(duì)性的響應(yīng)，同時(shí)為了確保能夠?qū)崿F(xiàn)可持續(xù)戰(zhàn)略發(fā)展，企業(yè)需要確保網(wǎng)絡(luò)防護(hù)系統(tǒng)具有一定的可用性與安全性，很多企業(yè)設(shè)置的傳統(tǒng)邊界防火墻雖然可以起到隔離內(nèi)外部網(wǎng)絡(luò)的作用，但是無(wú)法有效防御內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的文件竊取、系統(tǒng)破壞等行為，為企業(yè)高效運(yùn)行埋下了嚴(yán)重的安全隱患，為此企業(yè)只有立足于內(nèi)部防護(hù)的短板，加強(qiáng)網(wǎng)絡(luò)系統(tǒng)邊界安全，建立身份認(rèn)證系統(tǒng)，提網(wǎng)絡(luò)系統(tǒng)內(nèi)部安全性，以實(shí)現(xiàn)全局化的網(wǎng)絡(luò)安全防護(hù)體系。

3 身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

3.1 認(rèn)證申請(qǐng)模塊的設(shè)計(jì)與實(shí)現(xiàn)

CA安置在企業(yè)主服務(wù)器上，系統(tǒng)中包含身份認(rèn)證、申請(qǐng)認(rèn)證以及通信模塊。模塊具體操作流程是：使用鼠標(biāo)在菜單選項(xiàng)中的“申請(qǐng)證書(shū)”上點(diǎn)擊，隨后認(rèn)證界面會(huì)顯現(xiàn)出來(lái)，用戶(hù)姓名與密碼可以輸入到申請(qǐng)書(shū)界面之內(nèi)，以將信息傳輸至CA認(rèn)證，CA接收到密碼與名稱(chēng)之后，將認(rèn)證結(jié)構(gòu)傳輸?shù)缴暾?qǐng)證書(shū)方，用戶(hù)通過(guò)驗(yàn)證之后將公鑰傳遞至CA。CA接受申請(qǐng)證書(shū)一方的公鑰將其發(fā)送至申請(qǐng)方，以實(shí)現(xiàn)CA的多項(xiàng)功能[1]。申請(qǐng)方接收到證書(shū)之后，會(huì)將其保存在初始化文件當(dāng)中，在文件內(nèi)部可以查看用戶(hù)設(shè)置的公鑰。

3.2 身份認(rèn)證模塊

雙方實(shí)施身份認(rèn)證需要依次點(diǎn)擊菜單選項(xiàng)中的身份認(rèn)證選項(xiàng)，在打開(kāi)的身份認(rèn)證對(duì)話框當(dāng)中提交驗(yàn)證方的請(qǐng)求連接，為雙方身份驗(yàn)證創(chuàng)建連接，在驗(yàn)證過(guò)程當(dāng)中，使用隨機(jī)數(shù)字來(lái)抵御攻擊，A證書(shū)被B證書(shū)驗(yàn)證有效之后，可以獲取自身的證書(shū)，并使用隨機(jī)數(shù)N1進(jìn)行簽名，然后將證書(shū)與簽名信息傳遞給A，A將接受的信息劃分成兩個(gè)部分，通過(guò)驗(yàn)證B來(lái)獲取B的身份與公鑰[2]。B證書(shū)經(jīng)A證書(shū)有效驗(yàn)證之后，獲取N產(chǎn)生的隨機(jī)數(shù)N1，然后再傳出隨機(jī)數(shù)據(jù)N2，使用B公鑰對(duì)密鑰進(jìn)行加密，并將密鑰從A傳遞到B，B接受信息之后解簽A簽名數(shù)據(jù)，并驗(yàn)證傳輸數(shù)據(jù)，驗(yàn)證結(jié)果失敗需要重新進(jìn)行驗(yàn)證。

3.3 通信模塊的設(shè)計(jì)與實(shí)現(xiàn)

身份認(rèn)證需要在網(wǎng)絡(luò)各個(gè)主體間進(jìn)行，不同主體間的身份認(rèn)證需要配合不同功能，其中網(wǎng)絡(luò)通信是實(shí)現(xiàn)不同主體間身份認(rèn)證的必要途徑，通信模塊可以在各個(gè)主體之間實(shí)現(xiàn)通信，并配置相應(yīng)的通信子模塊在主體之間傳遞信息[3]。本次利用MFC當(dāng)中的CasyncCocket類(lèi)設(shè)計(jì)相應(yīng)的接口，在C/S結(jié)構(gòu)的基礎(chǔ)之上實(shí)現(xiàn)局域網(wǎng)通信。

4 安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

4.1 Windows網(wǎng)絡(luò)接口標(biāo)準(zhǔn)

安全防護(hù)系統(tǒng)總體設(shè)計(jì)方案是在Windows內(nèi)核當(dāng)中截獲全部IP包。NDIS在Windows操作系統(tǒng)中具有重要作用，充當(dāng)NIC與網(wǎng)絡(luò)協(xié)議之間的橋梁[4]。其中NDIS安置在MinpORT驅(qū)動(dòng)程序之上，Miniport類(lèi)似于數(shù)據(jù)鏈路層中界址訪問(wèn)的控制子層。endprint

4.2 建立安全策略及子程序

Internet安全策略主要有應(yīng)用層與網(wǎng)絡(luò)層兩個(gè)部分，將防火墻安置在網(wǎng)絡(luò)層當(dāng)中，展開(kāi)過(guò)去的數(shù)據(jù)包進(jìn)行分析檢測(cè)，避免網(wǎng)絡(luò)防護(hù)體系中出現(xiàn)不必要的供給，并在網(wǎng)絡(luò)運(yùn)行之前、運(yùn)行進(jìn)程中不斷進(jìn)行自檢，以發(fā)現(xiàn)存在的弊端與問(wèn)題，并及時(shí)根據(jù)問(wèn)題找到對(duì)應(yīng)的解決措施，通過(guò)這樣的自檢方式不但能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)具有的安全疏漏，同時(shí)還能夠檢查出網(wǎng)絡(luò)系統(tǒng)錯(cuò)誤配置情況[5]。應(yīng)用層對(duì)所有資源與用戶(hù)進(jìn)行全權(quán)授權(quán)管理，并對(duì)發(fā)生的事件創(chuàng)造一套記錄體制與分析體制，保證網(wǎng)絡(luò)數(shù)據(jù)的保密性與安全性。

4.3 數(shù)據(jù)包子系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

只有當(dāng)數(shù)據(jù)信息到達(dá)網(wǎng)絡(luò)適配器之后，系統(tǒng)控制軟件才可以啟動(dòng)相關(guān)的過(guò)濾軟件，許可數(shù)據(jù)包通過(guò)適配器向上將數(shù)據(jù)信息傳遞給Miniport Driver，從而達(dá)到數(shù)據(jù)合成操作效果，并將數(shù)據(jù)傳輸?shù)竭m宜的協(xié)議棧當(dāng)中，系統(tǒng)在發(fā)送數(shù)據(jù)的過(guò)程當(dāng)中，數(shù)據(jù)從應(yīng)用層傳輸?shù)骄W(wǎng)絡(luò)層當(dāng)中，直至到達(dá)NDIS，NDIS接受數(shù)據(jù)之后繼續(xù)將其傳輸至Miniport Driver當(dāng)中，然后將數(shù)據(jù)進(jìn)一步傳遞到適配器以及物理網(wǎng)絡(luò)當(dāng)中，網(wǎng)卡獲取數(shù)據(jù)形式為幀格式。

4.4 不同類(lèi)型防火墻的融合應(yīng)用

邊界防火墻是安置在企業(yè)網(wǎng)絡(luò)防護(hù)邊界的防火墻，邊界防火墻主要有應(yīng)用級(jí)網(wǎng)關(guān)、代理服務(wù)器以及包過(guò)濾集中類(lèi)型，其通過(guò)隔離內(nèi)外網(wǎng)絡(luò)的方式有效保護(hù)內(nèi)邊界網(wǎng)絡(luò)的安全性，同時(shí)可以通過(guò)實(shí)時(shí)限制、檢測(cè)、更改跨越式防火墻數(shù)據(jù)流的方式，最大程度對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部運(yùn)行狀況、結(jié)構(gòu)以及信息等，同時(shí)防火墻也可以理解為分析器、限制器以及分離器，有效監(jiān)控內(nèi)部網(wǎng)絡(luò)與Internet的數(shù)據(jù)交互，以實(shí)現(xiàn)對(duì)企業(yè)信息數(shù)據(jù)的全面管理。但是隨著網(wǎng)絡(luò)安全技術(shù)的深入發(fā)展，邊界防火墻逐漸暴露出一定的缺陷，其內(nèi)部防護(hù)不完善、受網(wǎng)絡(luò)結(jié)構(gòu)約束、故障點(diǎn)多以及效率不高等問(wèn)題為企業(yè)網(wǎng)絡(luò)防護(hù)體系安全性埋下了嚴(yán)重的安全隱患，分布式防火墻為提升企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性提供了有力保障。分布式防火墻由客戶(hù)端防火墻以及安全策略管理服務(wù)器組合而成，客戶(hù)端防火墻中的個(gè)人計(jì)算機(jī)、工作站以及服務(wù)站根據(jù)安全策略文件中的內(nèi)容采用腳本過(guò)濾、特洛伊木馬以及包過(guò)濾的方式進(jìn)行過(guò)濾檢查，在確保計(jì)算機(jī)能夠穩(wěn)定運(yùn)行的基礎(chǔ)之上防止計(jì)算機(jī)受到惡意侵襲，提升了企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的安全性，企業(yè)在經(jīng)營(yíng)管理過(guò)程中采用不同防火墻優(yōu)勢(shì)融合互補(bǔ)的方式有效提升了企業(yè)網(wǎng)絡(luò)體系的防御能力，確保企業(yè)內(nèi)外部網(wǎng)絡(luò)的穩(wěn)定與安全。

5 結(jié)語(yǔ)

網(wǎng)絡(luò)安全防護(hù)體系是一項(xiàng)系統(tǒng)性的工程，在互聯(lián)網(wǎng)技術(shù)背景下，企業(yè)無(wú)論格局大小都需要高度重視網(wǎng)絡(luò)信息防護(hù)系統(tǒng)的安全性，以避免企業(yè)重大數(shù)據(jù)信息遭到不法分子的竊取與利用，影響企業(yè)的可持續(xù)戰(zhàn)略發(fā)展，為此企業(yè)需要根據(jù)網(wǎng)絡(luò)安全防護(hù)需求，創(chuàng)建高效的網(wǎng)絡(luò)安全防護(hù)體系，設(shè)計(jì)出身份認(rèn)證體系與網(wǎng)絡(luò)安全防護(hù)體系，以提升企業(yè)網(wǎng)絡(luò)內(nèi)外部防護(hù)能力，加強(qiáng)網(wǎng)絡(luò)信息的安全性與保密性。

【參考文獻(xiàn)】

【1】李常福.企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，12（03）：135+137.

【2】王堯.企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息與電腦（理論版），2017，13（06）：119-120.

【3】陳琳.網(wǎng)絡(luò)化軟件中個(gè)人信息安全防護(hù)系統(tǒng)設(shè)計(jì)[J].電子技術(shù)與軟件工程，2017，16（13）：207.

【4】林寬勝.基于內(nèi)部網(wǎng)絡(luò)安全防范方案的設(shè)計(jì)[J].無(wú)線互聯(lián)科技，2016，9（03）：45-46.

【5】尹然然.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)及應(yīng)用分析[J].電腦知識(shí)與技術(shù)，2016，12（20）：67-68.endprint