◆丁欣宇

基于CA技術的網(wǎng)絡信息安全系統(tǒng)設計與實現(xiàn)

◆丁欣宇

（遼寧財貿(mào)學院 遼寧 125105）

本文針對基于CA技術的網(wǎng)絡信息安全系統(tǒng)設計與實現(xiàn)進行分析探討，主要內容包括網(wǎng)絡信息安全系統(tǒng)設計需求分析、系統(tǒng)介紹以及安全系統(tǒng)的設計與實現(xiàn)，其中網(wǎng)絡信息安全系統(tǒng)設計中包含系統(tǒng)功能設計、CA數(shù)字證書系統(tǒng)、LDAP目錄服務系統(tǒng)、應用資源授權管理系統(tǒng)等內容，并且闡述了系統(tǒng)應用測試和系統(tǒng)應用效益分析，供相關讀者參考。

電子商務；信息安全；信息技術

在當前的時代背景下，計算機網(wǎng)絡技術的應用范圍逐步擴展，使社會各個領域的發(fā)展模式都出現(xiàn)了不同程度的變化。隨著網(wǎng)絡技術的應用發(fā)展，網(wǎng)絡安全問題也日益顯現(xiàn)出來。為了保證計算機網(wǎng)絡的安全，需要優(yōu)化設計完善的網(wǎng)絡信息安全系統(tǒng)，有效防范網(wǎng)絡信息安全隱患。為此，本文針對基于CA技術的網(wǎng)絡信息安全系統(tǒng)設計與實現(xiàn)制定系統(tǒng)設計方案，確保網(wǎng)絡信息安全系統(tǒng)能滿足使用需求。

1 網(wǎng)絡信息安全系統(tǒng)介紹

1.1 系統(tǒng)組成

網(wǎng)絡信息安全系統(tǒng)主要由CA數(shù)字證書系統(tǒng)、目錄服務系統(tǒng)、應用資源管理系統(tǒng)幾個模塊組成。在這個系統(tǒng)當中，CA數(shù)字證書管理系統(tǒng)是基礎模塊，目錄服務則是基于支撐作用。在運行過程中，目錄服務可以實現(xiàn)信息資源、用戶、應用程序的統(tǒng)一管理，并且根據(jù)使用需求制定針對性的管理方式。將特定接口包與方位控制服務中間設備進行管理，進而與其他設備進行管理。實現(xiàn)與Web應用、數(shù)據(jù)庫應用以及電子郵件等設備的應用管理的良好融合，呈現(xiàn)出完善的網(wǎng)絡應用安全基礎平臺體系[1]。

1.2 系統(tǒng)設計目標

在設計基于CA技術的網(wǎng)絡信息安全系統(tǒng)的過程中，需要對網(wǎng)絡信息安全系統(tǒng)設計需求進行分析，明確系統(tǒng)的設計目標。

第一，網(wǎng)絡信息安全體系是為了保證企業(yè)各類信息體系的安全性，因此，系統(tǒng)的設計應當滿足用戶對網(wǎng)絡資源進行存取的需求，為各項信息資源的安全性給予保障，降低信息資源泄露的可能性[2]。

第二，構建統(tǒng)一信任域，通過構建信任域來辨析用戶身份，以免因用戶身份多樣性造成使用受阻。在企業(yè)范圍內制定特定的身份認證，進而更好的辨析用戶身份。

第三，完善有效信息在應用、存儲、傳輸?shù)冗^程的保護措施，提升信息資源利用的可靠性、安全性以及抗否認性。

第四，解決應用系統(tǒng)授權機制混亂的狀況。在制定解決方案的過程中，需要加強相關目錄設計水平。根據(jù)使用需求構建應用系統(tǒng)用戶授權機制，這樣能夠為應用系統(tǒng)提供接口規(guī)范。

第五，解決各類信息數(shù)據(jù)分布散亂的情況，例如人員信息、硬件資源信息、軟件資源信息等，制定統(tǒng)一管理方式，運用分析管理的方式整合靜態(tài)信息資源。

2 安全系統(tǒng)的設計與實現(xiàn)

2.1 系統(tǒng)的總體設計結構

在此次系統(tǒng)設計過程中，基于CA技術來展開，借助C/S模式聯(lián)合B/S模式來推進。與此同時，運用CA技術、802.1X接入認證技術以及winpcap驅動軟件等重要技術，促進可信身份認證、可信設備接入認證、控制訪問權限等終端設備功能的實現(xiàn)。在這個系統(tǒng)架構當中，CA技術在數(shù)字證書管理系統(tǒng)內發(fā)揮著關鍵性作用，能夠根據(jù)目錄服務實現(xiàn)信息資源、用戶以及程序的統(tǒng)一管理。并且能夠根據(jù)系統(tǒng)運行需求，針對以上幾個方面制定相應的管理體系，進而促進網(wǎng)絡應用安全基礎平臺體系的完善，令網(wǎng)絡信息安全系統(tǒng)的技術作用得到提升[3]。

2.2 系統(tǒng)功能設計

（1）身份認證功能

采用密碼式的身份認證功能安全性不夠高，難以滿足大型企業(yè)以及政務內網(wǎng)的終端監(jiān)管需求。為此，需要對身份認證功能進行優(yōu)化設計，制定出終端節(jié)點、終端用戶身份認證得到融合的身份認證方式，提升身份認證的安全性。

（2）終端節(jié)點接入發(fā)現(xiàn)功能

終端節(jié)點接入發(fā)現(xiàn)功能會制定出系統(tǒng)終端的拓撲結構，這樣能夠對各個節(jié)點信息展開全面準備的收集工作，并且能夠對接入內網(wǎng)的終端設備進行身份驗證與分析，避免非法終端的接入，保證內部網(wǎng)絡的安全性。

（3）終端節(jié)點的安全性檢查控制功能

在基于CA技術的網(wǎng)絡信息安全系統(tǒng)當中，為了保證安全運行，需要確定終端是否存在NAT服務器或者代理服務器搭建情況，辨別有無外網(wǎng)接入的威脅。如果判定系統(tǒng)處于不安全的狀態(tài)，需要及時發(fā)出警報，以免系統(tǒng)受到外網(wǎng)攻擊和影響。

圖2 系統(tǒng)重點控制流程

（4）終端節(jié)點行為監(jiān)控功能

在當前的網(wǎng)絡信息安全系統(tǒng)當中，利用權限分配功能來監(jiān)控終端主機的各個端口，掌握端口的實際使用情況，及時了解和監(jiān)測終端主機的遠程運行情況。當發(fā)現(xiàn)違規(guī)操作行為或者異常情況的時候，能夠及時發(fā)出警報[4]。

2.3 CA數(shù)字證書系統(tǒng)

在CA數(shù)字證書系統(tǒng)方面，應當根據(jù)需求配備相應的根、子CA、RA服務器，完善相應的證書頒發(fā)機構和證書管理網(wǎng)站，確保CA數(shù)字證書擁有統(tǒng)一的證書認證標書。這項身份認證標識可以被用于用戶統(tǒng)一身份鑒別與認證，確保身份認證功能得到提升，以此來滿足企業(yè)范圍CA技術實際使用需求。在CA數(shù)字證書系統(tǒng)方面也可以根據(jù)企業(yè)特點與應用需求進行適當調整[5]。

在證書類型方面主要劃分兩種，分別是用戶證書、服務器證書。其中用戶證書通常是面向個人用戶，對用戶進行統(tǒng)一的身份驗證和加密措施。服務器證書則是用于網(wǎng)絡設備與服務器軟件當中。在申請CA數(shù)字證書的過程中，可以通過兩種方式，分別為面對面申請和網(wǎng)絡申請。面對面申請具有一定的標準要求，通常會只針對高級用戶的證書申請，而網(wǎng)絡申請則能夠面向所有的用戶。在進行CA數(shù)字證書面對面申請的過程中，需要由申請人向RA操作人員發(fā)出證書申請，并且根據(jù)規(guī)定提供相應的信息。RA管理人員在接收到這些信息之后，會將其錄入到RA工作站當中。申請過程中會先由二級審核員進行審核，審核通過之后轉交給以及審核員進行再一次的審核。在兩項審核均滿足相關標準的情況下，中心簽發(fā)員便會將CA證書頒發(fā)，將證書會送至目錄服務處，在此自后，RA操作員會將數(shù)字證書錄入到Skey，在將Skey交給申請人之后便完成了整個操作。在進行CA數(shù)字證書網(wǎng)絡申請的過程中，與面對面申請流程的主要區(qū)別在于RA操作員是否介入。在面對面申請過程中，用戶需要通過瀏覽器向CA Web服務器發(fā)出證書申請，Web在接收到申請信息之后會將其轉交于CA服務器。整個信息審核過程與面對面申請基本相同，在完成信息審核之后，子CA服務器會根據(jù)Web服務器發(fā)出的請求返回申請人證書。最后，Web服務器會根據(jù)申請人的請求將CA數(shù)字證書安裝到本地硬盤或者制定Key當中。

2.4 LDAP目錄服務系統(tǒng)

構建目錄服務信息樹，對信息資源和用戶進行統(tǒng)一授權與管理。根據(jù)使用需求設計目錄樹結構，對其布置輔目錄和服務器，這樣能夠確保主服務器與輔服務器之間的負載數(shù)據(jù)信息保持均衡和同步。通過對各類數(shù)據(jù)信息進行統(tǒng)一整合，制定出針對組織結構、人員信息表以及用戶方面的管理機制。

（1）目錄服務域后綴設計

根后綴與子后綴關系密切，其中根后綴為父項，也是目錄服務器的根節(jié)點。根后綴與子后綴的相關信息會存放在數(shù)據(jù)庫，其中目錄樹根后綴表現(xiàn)形式為o=company，根節(jié)點域后綴則為o=sdcompany，o=company。

（2）目錄部署設計

針對網(wǎng)絡配置當中兩個LDAP服務器進行設計，使這兩個服務器能夠分別設置在信息中心機房和網(wǎng)絡通常的遠地。在信息中心機房的目錄服務器是Master LDAP Server，而另一個目錄服務器則是Slave LDAP Sever，在運行過程中，同步復制機制會讓系統(tǒng)對整個用戶數(shù)據(jù)進行同步復制，保證信息負載的均衡，同時配置DNS來進一步輔助提升系統(tǒng)相應能力，在信息中心主目錄服務器當中來實現(xiàn)數(shù)據(jù)庫信息修改操作。

（3）目錄分級管理機制設計

在這項系統(tǒng)機制設計工作中，應當根據(jù)目錄分級管理機制的使用需求和功能需求來展開。在信息中心和二級單位分別設置超級管理員和二級管理員。超級管理員會依據(jù)根節(jié)點來梳理子樹，二級管理員則會進行二級單位目錄子樹的管理。在實際運行過程中，二級單位也可以制定三級單位階段并配備三級管理員。

（4）數(shù)據(jù)安全控制設計

在此過程中需要使用用戶提供的身份驗證信息以及服務器定義訪問控制指令來實現(xiàn)目錄信息的訪問控制。依據(jù)用戶的身份驗證信息，制定允許/拒絕讀、寫、搜索以及比較等四種權限。運用訪問控制功能來掌控整個目錄、目錄子樹、特定條目以及特定條目屬性集的訪問權，并且設定用戶組和用戶角色的方式來控制用戶訪問權限。

2.5 應用資源授權管理系統(tǒng)

應用資源授權管理系統(tǒng)設計需要根據(jù)企業(yè)應用需求，拓展目錄服務軟件的策略授權管理，針對系統(tǒng)授權情況制定分級授權方式，分級授權管理員能夠對資源系統(tǒng)進行用戶級的用戶授權和策略授權。為此，需要正確掌握應用系統(tǒng)的功能結構和資源結構。同時分析應用系統(tǒng)的訪問授權，了解不同模塊和資源的訪問類型。在此之后，在目錄服務當中對設計好的應用結構和訪問授權進行定義，完成管理權限的分配。如果企業(yè)自行開發(fā)Java接口包，將會為B/S和C/S結構的開發(fā)提供便利。

3 系統(tǒng)應用測試與結果分析

在系統(tǒng)應用測試過程中，需要細心觀察和測試系統(tǒng)運行的穩(wěn)定性，分析系統(tǒng)中各項功能模塊是否滿足系統(tǒng)設計目標。系統(tǒng)設計測試終端監(jiān)測組件部分會將應用程序和驅動程序轉變成.exe文件格式，雙擊.exe文件自動安裝。測試過程中，觀察系統(tǒng)在終端接入控制、設備端口關閉開啟等狀態(tài)，能夠確定工作狀態(tài)的良好，并且報警信息精準可靠。由此可以判斷身份認證、接入認證以及訪問權限控制等功能運行較為穩(wěn)定，有效保障網(wǎng)絡終端安全監(jiān)管，達到了網(wǎng)絡信息安全系統(tǒng)的設計目的。

4 結語

在構建基于CA技術的網(wǎng)絡信息安全系統(tǒng)的過程中，需要明確系統(tǒng)的設計目標，制定合理的系統(tǒng)結構與功能模塊，保證系統(tǒng)各項功能的穩(wěn)定運行。提升網(wǎng)絡信息安全系統(tǒng)設計效益，將系統(tǒng)設計價值充分展現(xiàn)出來。

[1]段友祥，相鵬，李緒亮. 基于CA技術的網(wǎng)絡信息安全系統(tǒng)設計實踐[J]. 計算機工程與設計，2006，27（6）：4.

[2]林睿，李豐，陸國生，等. 基于CA技術的網(wǎng)絡信息安全系統(tǒng)設計與實現(xiàn)[J]. 電子設計工程，2017，25（011）：157-159，163.

[3]張珊. 基于CA認證的網(wǎng)絡終端安全監(jiān)管技術研究[D]. 長安大學.

[4]丁穎，黃繼海，馬文越. 基于CA技術的無線傳感網(wǎng)絡安全自動鑒別系統(tǒng)設計[J]. 現(xiàn)代電子技術，2019，v.42；No.529（02）：54-56+61.

[5]潘獻威. 網(wǎng)絡信息安全系統(tǒng)規(guī)劃與設計研究[J]. 大科技，2019（3）.