尹然然

摘要：網(wǎng)絡(luò)系統(tǒng)安全是一項(xiàng)系統(tǒng)的工程，不論是大型或小型企業(yè)，網(wǎng)絡(luò)信息系統(tǒng)的安全問題一直是管理者重點(diǎn)關(guān)注的問題。因此，在創(chuàng)建網(wǎng)絡(luò)安全防御系統(tǒng)時(shí)，不能單一從安全技術(shù)交底出發(fā)，而要綜合考慮風(fēng)險(xiǎn)、需求、管理規(guī)范等內(nèi)容，如此方可建立一個(gè)高效、性價(jià)比高的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。本文則結(jié)合企業(yè)對(duì)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)及應(yīng)用探討。

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)安全防護(hù)；設(shè)計(jì)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）20-0067-02

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，現(xiàn)代企業(yè)日常管理也向著信息化的方向發(fā)展，辦公信息是在自動(dòng)化基礎(chǔ)上，將傳統(tǒng)辦公職能轉(zhuǎn)移至網(wǎng)絡(luò)上實(shí)施信息化拓展，從而提升企業(yè)管理和運(yùn)營(yíng)的效率。但部分企業(yè)由于并未對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)做好針對(duì)性的防護(hù)措施，從而付出極其慘痛的代價(jià)。有些具有遠(yuǎn)見的企業(yè)領(lǐng)導(dǎo)逐漸意識(shí)到企業(yè)信息化建設(shè)的重要性，陸續(xù)創(chuàng)建自己的網(wǎng)站及Intranet，并借助各種WAN線路與互聯(lián)網(wǎng)連接。本課題深入分析企業(yè)網(wǎng)絡(luò)系統(tǒng)可能出現(xiàn)的安全隱患，對(duì)企業(yè)辦公網(wǎng)絡(luò)應(yīng)用中存在的竊取文檔、破壞系統(tǒng)、傳播病毒等安全問題，提出企業(yè)辦公網(wǎng)絡(luò)身份認(rèn)證和安全防護(hù)系統(tǒng)的設(shè)計(jì)構(gòu)想，以此滿足企業(yè)辦公網(wǎng)絡(luò)對(duì)安全性的要求。

1 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的身份認(rèn)證系統(tǒng)設(shè)計(jì)

身份認(rèn)證作為網(wǎng)絡(luò)安全的重要組成部分，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中設(shè)計(jì)基于RSA的認(rèn)證系統(tǒng)，該系統(tǒng)為三方身份認(rèn)證協(xié)議，其認(rèn)證流程如圖1。

1.1 申請(qǐng)認(rèn)證模塊的設(shè)計(jì)與實(shí)現(xiàn)

CA設(shè)置在企業(yè)主服務(wù)器上，本系統(tǒng)主要包含申請(qǐng)認(rèn)證、身份認(rèn)證、通信模塊。其中，申請(qǐng)認(rèn)證完成與申請(qǐng)認(rèn)證相關(guān)的操作，該模塊實(shí)現(xiàn)流程如下：用鼠標(biāo)點(diǎn)擊菜單項(xiàng)中的“申請(qǐng)證書”，彈出相應(yīng)的認(rèn)證界面。在申請(qǐng)書界面內(nèi)，輸入用戶的姓名及密碼，傳遞至CA認(rèn)證。

CA接收到認(rèn)證方所發(fā)出的名稱和明碼后，并將認(rèn)證結(jié)果發(fā)送至申請(qǐng)證書方，當(dāng)通過用戶驗(yàn)證將公鑰傳給CA。CA接收申請(qǐng)證書一方傳來的公鑰，把其制作為證書發(fā)送給申請(qǐng)方，完成CA各項(xiàng)功能。申請(qǐng)方接收CA傳來的證書后，保存至初始化文件.ini內(nèi)。在申請(qǐng)方.ini文件內(nèi)可以看見用戶設(shè)置的公鑰。

1.2 身份認(rèn)證模塊

實(shí)施身份認(rèn)證的雙方，依次點(diǎn)擊菜單項(xiàng)中的身份認(rèn)證項(xiàng)，打開相應(yīng)的身份認(rèn)證對(duì)話框，提出驗(yàn)證方的請(qǐng)求連接，以此為雙方創(chuàng)建連接。雙方相互認(rèn)證流程見圖2。

實(shí)際認(rèn)證過程中，采用產(chǎn)生的隨機(jī)數(shù)字N1、N2來抵抗攻擊。B驗(yàn)證A證書有效后，獲取自己的證書，產(chǎn)生隨機(jī)數(shù)N1對(duì)其實(shí)施簽名。隨之把證書、簽名的N1兩條信息一起傳遞至A。A接收B發(fā)出的信息后，將其劃分為兩個(gè)部分，并驗(yàn)證B的身份同時(shí)獲取B公鑰。A驗(yàn)證B證書屬于有效后，取出N傳出的隨機(jī)數(shù)N1，并產(chǎn)生隨機(jī)數(shù)字N2，把密鑰采用B公鑰加密，最終把加密后的密鑰采用A傳送至B。B接受A發(fā)出的信息后，對(duì)A簽名數(shù)據(jù)串進(jìn)行解簽，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行驗(yàn)證。如果驗(yàn)證失敗，必須重新實(shí)施認(rèn)證。實(shí)現(xiàn)代碼如下：

1.3 通信模塊的設(shè)計(jì)及實(shí)現(xiàn)

身份認(rèn)證要在網(wǎng)絡(luò)上各主體之間進(jìn)行，因此，不同主體之間的身份認(rèn)證需不同功能的配合，上述操作均要借助網(wǎng)絡(luò)通信實(shí)現(xiàn)。通信模塊實(shí)現(xiàn)與各個(gè)主體的通信，以此配置相應(yīng)的通信子模塊向主體間傳遞信息。本次設(shè)計(jì)采用MFC中的CasyncCocket類提供相應(yīng)的接口，以此實(shí)現(xiàn)基于C/S結(jié)構(gòu)的局域網(wǎng)通信。借助服務(wù)器方監(jiān)聽用戶機(jī)發(fā)出的請(qǐng)求信息，達(dá)到雙方通信的目的。通信模塊服務(wù)器接受客戶端請(qǐng)求實(shí)現(xiàn)代碼如下：

2 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)和應(yīng)用

在網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)中，主要目的是對(duì)企業(yè)內(nèi)部信息安全起到保護(hù)作用，實(shí)現(xiàn)對(duì)各個(gè)協(xié)議和端口過濾操作，并實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)的安全性。

2.1 Windos網(wǎng)絡(luò)接口標(biāo)準(zhǔn)

安全防護(hù)系統(tǒng)總設(shè)計(jì)方案是基于Windows內(nèi)核內(nèi)截取所有IP包。在Windows操作系統(tǒng)內(nèi)，NDIS發(fā)揮著重要的作用，其是網(wǎng)絡(luò)協(xié)議與NIC之間的橋梁，Windows網(wǎng)絡(luò)接口見圖3。其中，在MinpORT驅(qū)動(dòng)程序上設(shè)置NDIS，那么Miniport也就能夠作為是數(shù)據(jù)鏈路層介質(zhì)，以此對(duì)子層訪問實(shí)施控制。

2.2 建立安全策略及子程序

Intranet安全策略主要?jiǎng)澐譃榫W(wǎng)絡(luò)層和應(yīng)用層，在網(wǎng)絡(luò)層中設(shè)置一道防火墻，檢測(cè)分析之前的數(shù)據(jù)包，以免出現(xiàn)不必要供給，實(shí)現(xiàn)主動(dòng)性檢測(cè)。不管是網(wǎng)絡(luò)運(yùn)行之前，還是運(yùn)行過程中，均能夠?qū)嵤┳詸z，從而發(fā)現(xiàn)自身存在的問題，并開展針對(duì)性的補(bǔ)救措施。它不僅能夠?qū)W(wǎng)絡(luò)安全漏洞實(shí)施檢測(cè)，并且還能夠有效發(fā)現(xiàn)系統(tǒng)配置中存在的錯(cuò)誤。應(yīng)用層主要是管理用戶及資源授權(quán)問題，對(duì)事件發(fā)生過程進(jìn)行記錄，確保數(shù)據(jù)的安全性和保密性。

2.3 數(shù)據(jù)包子系統(tǒng)設(shè)計(jì)及實(shí)現(xiàn)

如果數(shù)據(jù)到達(dá)網(wǎng)絡(luò)適配器，那么系統(tǒng)控制軟件則可以實(shí)施過濾操作，數(shù)據(jù)包則可以通過適配器傳遞給Miniport Driver。之后Miniport Driver把數(shù)據(jù)向上傳送給NDIS，從而實(shí)現(xiàn)合成數(shù)據(jù)操作，輸送至合適的協(xié)議棧（TCP/IP）。系統(tǒng)發(fā)送數(shù)據(jù)中，發(fā)送過程是從應(yīng)用層到網(wǎng)絡(luò)層，最后是到NDIS。在此流程之后數(shù)據(jù)包則被向下傳遞，直到Miniport Driver，最后是到物理網(wǎng)絡(luò)和適配器中。由網(wǎng)卡獲取數(shù)據(jù)則為幀格式的內(nèi)容，數(shù)據(jù)類型如表1。

數(shù)據(jù)包過濾系統(tǒng)主要過濾IP數(shù)據(jù)包、UDP數(shù)據(jù)包、傳輸層TCP、應(yīng)用層HTTP等。包過濾技術(shù)遵循 “允許或不允許”部分?jǐn)?shù)據(jù)包通過防火墻，數(shù)據(jù)包過濾流程見圖6。包過濾裝置對(duì)數(shù)據(jù)包篩選通過，采用檢查數(shù)據(jù)量中各數(shù)據(jù)包后，依據(jù)數(shù)據(jù)包源地址、TCP鏈路狀態(tài)等明確數(shù)據(jù)包是否通過。

3結(jié)論

本文企業(yè)網(wǎng)絡(luò)系統(tǒng)常見的安全隱患入手，深入分析企業(yè)對(duì)網(wǎng)絡(luò)安全系統(tǒng)的需求，提出設(shè)計(jì)與實(shí)現(xiàn)身份認(rèn)證系統(tǒng)和安全防護(hù)系統(tǒng)的步驟，以此提升企業(yè)網(wǎng)絡(luò)信息的安全性，為企業(yè)更好地發(fā)展提供重要支持和輔助。

參考文獻(xiàn)：

[1]王松.基于企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)施[J].建筑工程技術(shù)與設(shè)計(jì)，2015，37（23）：783-783.

[2]徐哲明.企業(yè)網(wǎng)絡(luò)系統(tǒng)安全修補(bǔ)程序構(gòu)架的設(shè)計(jì)[J].計(jì)算機(jī)安全，2013，17（8）：47-50.

[3]朱朝陽.企業(yè)網(wǎng)絡(luò)安全防護(hù)信息管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].消費(fèi)電子，2013，17（4）：69.

[4]謝俊.企業(yè)涉密網(wǎng)絡(luò)信息安全防護(hù)模型構(gòu)建與實(shí)現(xiàn)[J].大觀周刊，2013，13（4）：68.

[5]張二峰.大中型企業(yè)網(wǎng)絡(luò)安全威脅與防護(hù)技術(shù)淺析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013，23（11）：134-135.