企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

曲佳偉

【摘 要】我國信息化技術(shù)的快速發(fā)展，推動了我國企業(yè)信息化技術(shù)的建設(shè)進(jìn)程，企業(yè)資源數(shù)字化存儲與管理已經(jīng)成為企業(yè)發(fā)展的重要戰(zhàn)略方式之一，為企業(yè)高效發(fā)展提供了強(qiáng)大的推動力，為此想要設(shè)計(jì)完善的網(wǎng)絡(luò)安全防護(hù)體系，需要分析企業(yè)常見的網(wǎng)絡(luò)系統(tǒng)安全隱患，并分析企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)需求，在此基礎(chǔ)之上對身份認(rèn)證系統(tǒng)與安全防護(hù)系統(tǒng)進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)，以此提升企業(yè)網(wǎng)絡(luò)安全防護(hù)效果，促進(jìn)企業(yè)實(shí)現(xiàn)可持續(xù)發(fā)展。

【Abstract】The rapid development of information technology in China has promoted the process of enterprise information technology construction. The digital storage and management of enterprise resources has become one of the important strategic ways of enterprise development， which provides a powerful driving force for the efficient development of enterprises. This need to design a sound network security protection system， it need to analyze the security risks of common network system， and analyze the needs of enterprise network security protection system， based on this， we design and implement the identity authentication system and security protection system， to enhance the effectiveness of enterprise network security protection， and promote the sustainable development of enterprises.

【關(guān)鍵詞】企業(yè)；網(wǎng)絡(luò)安全防護(hù)；系統(tǒng)設(shè)計(jì)；實(shí)現(xiàn)

【Keywords】enterprise； network security protection； system design； implementation

【中圖分類號】TP393 【文獻(xiàn)標(biāo)志碼】A 【文章編號】1673-1069（2017）10-0164-02

1 引言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展引領(lǐng)企業(yè)走向信息化的經(jīng)營管理方向，在信息化背景下，企業(yè)不斷將傳統(tǒng)辦公拓展到網(wǎng)絡(luò)職能上來，顯著提升了企業(yè)的經(jīng)營效率，但是由于計(jì)算機(jī)網(wǎng)絡(luò)存在一定的風(fēng)險(xiǎn)性，很多企業(yè)由于沒有建立完善的網(wǎng)絡(luò)防護(hù)體系，導(dǎo)致出現(xiàn)了嚴(yán)重的系統(tǒng)破壞、文檔竊取以及病毒侵入等問題，嚴(yán)重制約了企業(yè)數(shù)據(jù)信息的安全性，此為企業(yè)亟需設(shè)計(jì)完善的網(wǎng)絡(luò)安全防護(hù)體系，以便確保網(wǎng)絡(luò)信息安全性。

2 企業(yè)網(wǎng)絡(luò)安全防護(hù)體系需求分析

早在20世紀(jì)90年代企業(yè)紛紛意識到想要提升自身的競爭力就需要借助共享信息、互聯(lián)網(wǎng)獲取等技術(shù)對市場做出針對性的響應(yīng)，同時(shí)為了確保能夠?qū)崿F(xiàn)可持續(xù)戰(zhàn)略發(fā)展，企業(yè)需要確保網(wǎng)絡(luò)防護(hù)系統(tǒng)具有一定的可用性與安全性，很多企業(yè)設(shè)置的傳統(tǒng)邊界防火墻雖然可以起到隔離內(nèi)外部網(wǎng)絡(luò)的作用，但是無法有效防御內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的文件竊取、系統(tǒng)破壞等行為，為企業(yè)高效運(yùn)行埋下了嚴(yán)重的安全隱患，為此企業(yè)只有立足于內(nèi)部防護(hù)的短板，加強(qiáng)網(wǎng)絡(luò)系統(tǒng)邊界安全，建立身份認(rèn)證系統(tǒng)，提網(wǎng)絡(luò)系統(tǒng)內(nèi)部安全性，以實(shí)現(xiàn)全局化的網(wǎng)絡(luò)安全防護(hù)體系。

3 身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

3.1 認(rèn)證申請模塊的設(shè)計(jì)與實(shí)現(xiàn)

CA安置在企業(yè)主服務(wù)器上，系統(tǒng)中包含身份認(rèn)證、申請認(rèn)證以及通信模塊。模塊具體操作流程是：使用鼠標(biāo)在菜單選項(xiàng)中的“申請證書”上點(diǎn)擊，隨后認(rèn)證界面會顯現(xiàn)出來，用戶姓名與密碼可以輸入到申請書界面之內(nèi)，以將信息傳輸至CA認(rèn)證，CA接收到密碼與名稱之后，將認(rèn)證結(jié)構(gòu)傳輸?shù)缴暾堊C書方，用戶通過驗(yàn)證之后將公鑰傳遞至CA。CA接受申請證書一方的公鑰將其發(fā)送至申請方，以實(shí)現(xiàn)CA的多項(xiàng)功能[1]。申請方接收到證書之后，會將其保存在初始化文件當(dāng)中，在文件內(nèi)部可以查看用戶設(shè)置的公鑰。

3.2 身份認(rèn)證模塊

雙方實(shí)施身份認(rèn)證需要依次點(diǎn)擊菜單選項(xiàng)中的身份認(rèn)證選項(xiàng)，在打開的身份認(rèn)證對話框當(dāng)中提交驗(yàn)證方的請求連接，為雙方身份驗(yàn)證創(chuàng)建連接，在驗(yàn)證過程當(dāng)中，使用隨機(jī)數(shù)字來抵御攻擊，A證書被B證書驗(yàn)證有效之后，可以獲取自身的證書，并使用隨機(jī)數(shù)N1進(jìn)行簽名，然后將證書與簽名信息傳遞給A，A將接受的信息劃分成兩個(gè)部分，通過驗(yàn)證B來獲取B的身份與公鑰[2]。B證書經(jīng)A證書有效驗(yàn)證之后，獲取N產(chǎn)生的隨機(jī)數(shù)N1，然后再傳出隨機(jī)數(shù)據(jù)N2，使用B公鑰對密鑰進(jìn)行加密，并將密鑰從A傳遞到B，B接受信息之后解簽A簽名數(shù)據(jù)，并驗(yàn)證傳輸數(shù)據(jù)，驗(yàn)證結(jié)果失敗需要重新進(jìn)行驗(yàn)證。

3.3 通信模塊的設(shè)計(jì)與實(shí)現(xiàn)

身份認(rèn)證需要在網(wǎng)絡(luò)各個(gè)主體間進(jìn)行，不同主體間的身份認(rèn)證需要配合不同功能，其中網(wǎng)絡(luò)通信是實(shí)現(xiàn)不同主體間身份認(rèn)證的必要途徑，通信模塊可以在各個(gè)主體之間實(shí)現(xiàn)通信，并配置相應(yīng)的通信子模塊在主體之間傳遞信息[3]。本次利用MFC當(dāng)中的CasyncCocket類設(shè)計(jì)相應(yīng)的接口，在C/S結(jié)構(gòu)的基礎(chǔ)之上實(shí)現(xiàn)局域網(wǎng)通信。

4 安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

4.1 Windows網(wǎng)絡(luò)接口標(biāo)準(zhǔn)

安全防護(hù)系統(tǒng)總體設(shè)計(jì)方案是在Windows內(nèi)核當(dāng)中截獲全部IP包。NDIS在Windows操作系統(tǒng)中具有重要作用，充當(dāng)NIC與網(wǎng)絡(luò)協(xié)議之間的橋梁[4]。其中NDIS安置在MinpORT驅(qū)動程序之上，Miniport類似于數(shù)據(jù)鏈路層中界址訪問的控制子層。endprint

4.2 建立安全策略及子程序

Internet安全策略主要有應(yīng)用層與網(wǎng)絡(luò)層兩個(gè)部分，將防火墻安置在網(wǎng)絡(luò)層當(dāng)中，展開過去的數(shù)據(jù)包進(jìn)行分析檢測，避免網(wǎng)絡(luò)防護(hù)體系中出現(xiàn)不必要的供給，并在網(wǎng)絡(luò)運(yùn)行之前、運(yùn)行進(jìn)程中不斷進(jìn)行自檢，以發(fā)現(xiàn)存在的弊端與問題，并及時(shí)根據(jù)問題找到對應(yīng)的解決措施，通過這樣的自檢方式不但能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)具有的安全疏漏，同時(shí)還能夠檢查出網(wǎng)絡(luò)系統(tǒng)錯(cuò)誤配置情況[5]。應(yīng)用層對所有資源與用戶進(jìn)行全權(quán)授權(quán)管理，并對發(fā)生的事件創(chuàng)造一套記錄體制與分析體制，保證網(wǎng)絡(luò)數(shù)據(jù)的保密性與安全性。

4.3 數(shù)據(jù)包子系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

只有當(dāng)數(shù)據(jù)信息到達(dá)網(wǎng)絡(luò)適配器之后，系統(tǒng)控制軟件才可以啟動相關(guān)的過濾軟件，許可數(shù)據(jù)包通過適配器向上將數(shù)據(jù)信息傳遞給Miniport Driver，從而達(dá)到數(shù)據(jù)合成操作效果，并將數(shù)據(jù)傳輸?shù)竭m宜的協(xié)議棧當(dāng)中，系統(tǒng)在發(fā)送數(shù)據(jù)的過程當(dāng)中，數(shù)據(jù)從應(yīng)用層傳輸?shù)骄W(wǎng)絡(luò)層當(dāng)中，直至到達(dá)NDIS，NDIS接受數(shù)據(jù)之后繼續(xù)將其傳輸至Miniport Driver當(dāng)中，然后將數(shù)據(jù)進(jìn)一步傳遞到適配器以及物理網(wǎng)絡(luò)當(dāng)中，網(wǎng)卡獲取數(shù)據(jù)形式為幀格式。

4.4 不同類型防火墻的融合應(yīng)用

邊界防火墻是安置在企業(yè)網(wǎng)絡(luò)防護(hù)邊界的防火墻，邊界防火墻主要有應(yīng)用級網(wǎng)關(guān)、代理服務(wù)器以及包過濾集中類型，其通過隔離內(nèi)外網(wǎng)絡(luò)的方式有效保護(hù)內(nèi)邊界網(wǎng)絡(luò)的安全性，同時(shí)可以通過實(shí)時(shí)限制、檢測、更改跨越式防火墻數(shù)據(jù)流的方式，最大程度對外屏蔽網(wǎng)絡(luò)內(nèi)部運(yùn)行狀況、結(jié)構(gòu)以及信息等，同時(shí)防火墻也可以理解為分析器、限制器以及分離器，有效監(jiān)控內(nèi)部網(wǎng)絡(luò)與Internet的數(shù)據(jù)交互，以實(shí)現(xiàn)對企業(yè)信息數(shù)據(jù)的全面管理。但是隨著網(wǎng)絡(luò)安全技術(shù)的深入發(fā)展，邊界防火墻逐漸暴露出一定的缺陷，其內(nèi)部防護(hù)不完善、受網(wǎng)絡(luò)結(jié)構(gòu)約束、故障點(diǎn)多以及效率不高等問題為企業(yè)網(wǎng)絡(luò)防護(hù)體系安全性埋下了嚴(yán)重的安全隱患，分布式防火墻為提升企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性提供了有力保障。分布式防火墻由客戶端防火墻以及安全策略管理服務(wù)器組合而成，客戶端防火墻中的個(gè)人計(jì)算機(jī)、工作站以及服務(wù)站根據(jù)安全策略文件中的內(nèi)容采用腳本過濾、特洛伊木馬以及包過濾的方式進(jìn)行過濾檢查，在確保計(jì)算機(jī)能夠穩(wěn)定運(yùn)行的基礎(chǔ)之上防止計(jì)算機(jī)受到惡意侵襲，提升了企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的安全性，企業(yè)在經(jīng)營管理過程中采用不同防火墻優(yōu)勢融合互補(bǔ)的方式有效提升了企業(yè)網(wǎng)絡(luò)體系的防御能力，確保企業(yè)內(nèi)外部網(wǎng)絡(luò)的穩(wěn)定與安全。

5 結(jié)語

網(wǎng)絡(luò)安全防護(hù)體系是一項(xiàng)系統(tǒng)性的工程，在互聯(lián)網(wǎng)技術(shù)背景下，企業(yè)無論格局大小都需要高度重視網(wǎng)絡(luò)信息防護(hù)系統(tǒng)的安全性，以避免企業(yè)重大數(shù)據(jù)信息遭到不法分子的竊取與利用，影響企業(yè)的可持續(xù)戰(zhàn)略發(fā)展，為此企業(yè)需要根據(jù)網(wǎng)絡(luò)安全防護(hù)需求，創(chuàng)建高效的網(wǎng)絡(luò)安全防護(hù)體系，設(shè)計(jì)出身份認(rèn)證體系與網(wǎng)絡(luò)安全防護(hù)體系，以提升企業(yè)網(wǎng)絡(luò)內(nèi)外部防護(hù)能力，加強(qiáng)網(wǎng)絡(luò)信息的安全性與保密性。

【參考文獻(xiàn)】

【1】李常福.企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，12（03）：135+137.

【2】王堯.企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息與電腦（理論版），2017，13（06）：119-120.

【3】陳琳.網(wǎng)絡(luò)化軟件中個(gè)人信息安全防護(hù)系統(tǒng)設(shè)計(jì)[J].電子技術(shù)與軟件工程，2017，16（13）：207.

【4】林寬勝.基于內(nèi)部網(wǎng)絡(luò)安全防范方案的設(shè)計(jì)[J].無線互聯(lián)科技，2016，9（03）：45-46.

【5】尹然然.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)及應(yīng)用分析[J].電腦知識與技術(shù)，2016，12（20）：67-68.endprint