尹然然

摘要：網(wǎng)絡系統(tǒng)安全是一項系統(tǒng)的工程，不論是大型或小型企業(yè)，網(wǎng)絡信息系統(tǒng)的安全問題一直是管理者重點關注的問題。因此，在創(chuàng)建網(wǎng)絡安全防御系統(tǒng)時，不能單一從安全技術交底出發(fā)，而要綜合考慮風險、需求、管理規(guī)范等內(nèi)容，如此方可建立一個高效、性價比高的網(wǎng)絡安全防護系統(tǒng)。本文則結(jié)合企業(yè)對網(wǎng)絡安全防護系統(tǒng)設計及應用探討。

關鍵詞：企業(yè)；網(wǎng)絡安全防護；設計

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）20-0067-02

隨著計算機網(wǎng)絡技術的快速發(fā)展，現(xiàn)代企業(yè)日常管理也向著信息化的方向發(fā)展，辦公信息是在自動化基礎上，將傳統(tǒng)辦公職能轉(zhuǎn)移至網(wǎng)絡上實施信息化拓展，從而提升企業(yè)管理和運營的效率。但部分企業(yè)由于并未對計算機網(wǎng)絡系統(tǒng)做好針對性的防護措施，從而付出極其慘痛的代價。有些具有遠見的企業(yè)領導逐漸意識到企業(yè)信息化建設的重要性，陸續(xù)創(chuàng)建自己的網(wǎng)站及Intranet，并借助各種WAN線路與互聯(lián)網(wǎng)連接。本課題深入分析企業(yè)網(wǎng)絡系統(tǒng)可能出現(xiàn)的安全隱患，對企業(yè)辦公網(wǎng)絡應用中存在的竊取文檔、破壞系統(tǒng)、傳播病毒等安全問題，提出企業(yè)辦公網(wǎng)絡身份認證和安全防護系統(tǒng)的設計構(gòu)想，以此滿足企業(yè)辦公網(wǎng)絡對安全性的要求。

1 網(wǎng)絡安全防護系統(tǒng)的身份認證系統(tǒng)設計

身份認證作為網(wǎng)絡安全的重要組成部分，企業(yè)網(wǎng)絡安全系統(tǒng)中設計基于RSA的認證系統(tǒng)，該系統(tǒng)為三方身份認證協(xié)議，其認證流程如圖1。

1.1 申請認證模塊的設計與實現(xiàn)

CA設置在企業(yè)主服務器上，本系統(tǒng)主要包含申請認證、身份認證、通信模塊。其中，申請認證完成與申請認證相關的操作，該模塊實現(xiàn)流程如下：用鼠標點擊菜單項中的“申請證書”，彈出相應的認證界面。在申請書界面內(nèi)，輸入用戶的姓名及密碼，傳遞至CA認證。

CA接收到認證方所發(fā)出的名稱和明碼后，并將認證結(jié)果發(fā)送至申請證書方，當通過用戶驗證將公鑰傳給CA。CA接收申請證書一方傳來的公鑰，把其制作為證書發(fā)送給申請方，完成CA各項功能。申請方接收CA傳來的證書后，保存至初始化文件.ini內(nèi)。在申請方.ini文件內(nèi)可以看見用戶設置的公鑰。

1.2 身份認證模塊

實施身份認證的雙方，依次點擊菜單項中的身份認證項，打開相應的身份認證對話框，提出驗證方的請求連接，以此為雙方創(chuàng)建連接。雙方相互認證流程見圖2。

實際認證過程中，采用產(chǎn)生的隨機數(shù)字N1、N2來抵抗攻擊。B驗證A證書有效后，獲取自己的證書，產(chǎn)生隨機數(shù)N1對其實施簽名。隨之把證書、簽名的N1兩條信息一起傳遞至A。A接收B發(fā)出的信息后，將其劃分為兩個部分，并驗證B的身份同時獲取B公鑰。A驗證B證書屬于有效后，取出N傳出的隨機數(shù)N1，并產(chǎn)生隨機數(shù)字N2，把密鑰采用B公鑰加密，最終把加密后的密鑰采用A傳送至B。B接受A發(fā)出的信息后，對A簽名數(shù)據(jù)串進行解簽，對傳輸?shù)臄?shù)據(jù)進行驗證。如果驗證失敗，必須重新實施認證。實現(xiàn)代碼如下：

1.3 通信模塊的設計及實現(xiàn)

身份認證要在網(wǎng)絡上各主體之間進行，因此，不同主體之間的身份認證需不同功能的配合，上述操作均要借助網(wǎng)絡通信實現(xiàn)。通信模塊實現(xiàn)與各個主體的通信，以此配置相應的通信子模塊向主體間傳遞信息。本次設計采用MFC中的CasyncCocket類提供相應的接口，以此實現(xiàn)基于C/S結(jié)構(gòu)的局域網(wǎng)通信。借助服務器方監(jiān)聽用戶機發(fā)出的請求信息，達到雙方通信的目的。通信模塊服務器接受客戶端請求實現(xiàn)代碼如下：

2 網(wǎng)絡安全防護系統(tǒng)的設計和應用

在網(wǎng)絡安全防護系統(tǒng)設計中，主要目的是對企業(yè)內(nèi)部信息安全起到保護作用，實現(xiàn)對各個協(xié)議和端口過濾操作，并實時監(jiān)測網(wǎng)絡的安全性。

2.1 Windos網(wǎng)絡接口標準

安全防護系統(tǒng)總設計方案是基于Windows內(nèi)核內(nèi)截取所有IP包。在Windows操作系統(tǒng)內(nèi)，NDIS發(fā)揮著重要的作用，其是網(wǎng)絡協(xié)議與NIC之間的橋梁，Windows網(wǎng)絡接口見圖3。其中，在MinpORT驅(qū)動程序上設置NDIS，那么Miniport也就能夠作為是數(shù)據(jù)鏈路層介質(zhì)，以此對子層訪問實施控制。

2.2 建立安全策略及子程序

Intranet安全策略主要劃分為網(wǎng)絡層和應用層，在網(wǎng)絡層中設置一道防火墻，檢測分析之前的數(shù)據(jù)包，以免出現(xiàn)不必要供給，實現(xiàn)主動性檢測。不管是網(wǎng)絡運行之前，還是運行過程中，均能夠?qū)嵤┳詸z，從而發(fā)現(xiàn)自身存在的問題，并開展針對性的補救措施。它不僅能夠?qū)W(wǎng)絡安全漏洞實施檢測，并且還能夠有效發(fā)現(xiàn)系統(tǒng)配置中存在的錯誤。應用層主要是管理用戶及資源授權(quán)問題，對事件發(fā)生過程進行記錄，確保數(shù)據(jù)的安全性和保密性。

2.3 數(shù)據(jù)包子系統(tǒng)設計及實現(xiàn)

如果數(shù)據(jù)到達網(wǎng)絡適配器，那么系統(tǒng)控制軟件則可以實施過濾操作，數(shù)據(jù)包則可以通過適配器傳遞給Miniport Driver。之后Miniport Driver把數(shù)據(jù)向上傳送給NDIS，從而實現(xiàn)合成數(shù)據(jù)操作，輸送至合適的協(xié)議棧（TCP/IP）。系統(tǒng)發(fā)送數(shù)據(jù)中，發(fā)送過程是從應用層到網(wǎng)絡層，最后是到NDIS。在此流程之后數(shù)據(jù)包則被向下傳遞，直到Miniport Driver，最后是到物理網(wǎng)絡和適配器中。由網(wǎng)卡獲取數(shù)據(jù)則為幀格式的內(nèi)容，數(shù)據(jù)類型如表1。

數(shù)據(jù)包過濾系統(tǒng)主要過濾IP數(shù)據(jù)包、UDP數(shù)據(jù)包、傳輸層TCP、應用層HTTP等。包過濾技術遵循 “允許或不允許”部分數(shù)據(jù)包通過防火墻，數(shù)據(jù)包過濾流程見圖6。包過濾裝置對數(shù)據(jù)包篩選通過，采用檢查數(shù)據(jù)量中各數(shù)據(jù)包后，依據(jù)數(shù)據(jù)包源地址、TCP鏈路狀態(tài)等明確數(shù)據(jù)包是否通過。

3結(jié)論

本文企業(yè)網(wǎng)絡系統(tǒng)常見的安全隱患入手，深入分析企業(yè)對網(wǎng)絡安全系統(tǒng)的需求，提出設計與實現(xiàn)身份認證系統(tǒng)和安全防護系統(tǒng)的步驟，以此提升企業(yè)網(wǎng)絡信息的安全性，為企業(yè)更好地發(fā)展提供重要支持和輔助。

參考文獻：

[1]王松.基于企業(yè)網(wǎng)絡安全防護系統(tǒng)的設計與實施[J].建筑工程技術與設計，2015，37（23）：783-783.

[2]徐哲明.企業(yè)網(wǎng)絡系統(tǒng)安全修補程序構(gòu)架的設計[J].計算機安全，2013，17（8）：47-50.

[3]朱朝陽.企業(yè)網(wǎng)絡安全防護信息管理系統(tǒng)的設計與實現(xiàn)[J].消費電子，2013，17（4）：69.

[4]謝俊.企業(yè)涉密網(wǎng)絡信息安全防護模型構(gòu)建與實現(xiàn)[J].大觀周刊，2013，13（4）：68.

[5]張二峰.大中型企業(yè)網(wǎng)絡安全威脅與防護技術淺析[J].計算機光盤軟件與應用，2013，23（11）：134-135.