企業網絡安全防護系統設計與實現

李 衛，孫少華，孫曉東

（國網青海省電力公司信息通信公司 青海 西寧810008）

企業網絡安全防護系統設計與實現

李 衛，孫少華，孫曉東

（國網青海省電力公司信息通信公司 青海 西寧810008）

隨著我國信息化建設進程加快，企業核心資源的存儲已基本達到數字化要求，這些核心資源也成為非法分子竊取的主要目標。現階段，我國多數企業設置的安全防護系統主要預防外部人員的非法入侵和供給，對企業內部人員發出的網絡攻擊、信息竊取無法起到防護的效果。因此，本文企業網絡系統常見的安全隱患入手，深入分析企業對網絡安全系統的需求，提出設計與實現身份認證系統和安全防護系統的步驟，以此提升企業網絡信息的安全性，為企業更好地發展提供重要支持和輔助。

企業網絡系統隱患；身份認證系統；防護系統；設計與實現

隨著計算機網絡技術的快速發展，現代企業日常管理也向著信息化的方向發展，辦公信息是在自動化基礎上，將傳統辦公職能轉移至網絡上實施信息化拓展，從而提升企業管理和運營的效率。但部分企業由于并未對計算機網絡系統做好針對性的防護措施，從而付出極其慘痛的代價。有些具有遠見的企業領導逐漸意識到企業信息化建設的重要性，陸續創建自己的網站及Intranet，并借助各種WAN線路與互聯網連接。此時，我們必須在積極建設企業網絡的同時，借鑒并吸收國外企業網絡建設和管理經驗，在網絡安全方面必須多考慮一些，把企業網絡中有可能存在的危險、漏洞降低至最低層面。本課題深入分析企業網絡系統可能出現的安全隱患，對企業辦公網絡應用中存在的竊取文檔、破壞系統、傳播病毒等安全問題，提出企業辦公網絡身份認證和安全防護系統的設計構想，以此滿足企業辦公網絡對安全性的要求。

1 分析系統需求

早在20世紀90年代，企業就認識到若想提升自身的競爭力，必須針對市場需求做出針對性的響應，這就引起借助互聯網獲取、共享信息的趨勢[4]。現階段，越來越多企業領導者意識到，對企業未來增長和生產效率具有最大約束的因素就是網絡系統的安全性和可用性。眾所周知，一個企業的生產效率與其收入增長情況密切相關，若某企業生產效率增長2.5%，那么，該企業的收入每隔30年就能翻一番。基于互聯網這種生產效率工具，網絡系統的安全性和可用性對其運行效率產生直接的影響[5]。因此，本課題設計系統應滿足以下需求：1）有效解決網絡的邊界安全問題；2）保障網絡系統及內部的安全；創建身份認證系統，并對用戶實施統一的管理；3）融合先進的技術和行政手段，組成全局的安全管理系統。

2 身份認證系統的設計與實現

身份認證作為網絡安全的重要組成部分，企業網絡安全系統中設計基于RSA的認證系統，該系統為三方身份認證協議，其認證流程如圖1所示。

圖1 系統總體設計簡圖

2.1 申請認證模塊的設計與實現

CA設置在企業主服務器上，本系統主要包含申請認證、身份認證、通信模塊[6]。其中，申請認證完成與申請認證相關的操作，該模塊實現流程如下：用鼠標點擊菜單項中的“申請證書”，彈出相應的認證界面。在申請書界面內，輸入用戶的姓名及密碼，傳遞至CA認證，如圖2所示。

圖2 申請證書界面設置用戶名及密碼

CA接收到認證方所發出的名稱和明碼后，并將認證結果發送至申請證書方，當通過用戶驗證將公鑰傳給CA，如圖3所示。

圖3 生成公匙

CA接收申請證書一方傳來的公鑰，把其制作為證書發送給申請方，完成CA各項功能[7]。申請方接收CA傳來的證書后，保存至初始化文件.ini內。在申請方.ini文件內可以看見用戶設置的公鑰，如圖4所示。

圖4 .ini文件中證書截圖

2.2 身份認證模塊

實施身份認證的雙方，依次點擊菜單項中的身份認證項，打開相應的身份認證對話框，提出驗證方的請求連接，以此為雙方創建連接[8]。雙方相互認證流程如圖5所示。

圖5 身份認證流程圖

實際認證過程中，采用產生的隨機數字N1、N2來抵抗攻擊。B驗證A證書有效后，獲取自己的證書，產生隨機數N1對其實施簽名。隨之把證書、簽名的N1兩條信息一起傳遞至A。A接收B發出的信息后，將其劃分為兩個部分，并驗證B的身份同時獲取B公鑰。A驗證B證書屬于有效后，取出N傳出的隨機數N1，并產生隨機數字N2，把密鑰采用B公鑰加密，最終把加密后的密鑰采用A傳送至B[9]。B接受A發出的信息后，對A簽名數據串進行解簽，對傳輸的數據進行驗證。如果驗證失敗，必須重新實施認證。

2.3 通信模塊的設計及實現

身份認證要在網絡上各主體之間進行，因此，不同主體之間的身份認證需不同功能的配合，上述操作均要借助網絡通信實現[10]。通信模塊實現與各個主體的通信，以此配置相應的通信子模塊向主體間傳遞信息。本次設計采用MFC中的CasyncCocket類提供相應的接口，以此實現基于C/S結構的局域網通信。借助服務器方監聽用戶機發出的請求信息，達到雙方通信的目的。通信模塊服務器接受客戶端請求實現代碼如下：

3 安全防護系統的設計及實現

設計安全防護系統旨在保護企業內部信息的安全，實現對各個協議和端口過濾操作，并實時監測網絡的安全性。

3.1 Windos網絡接口標準

安全防護系統總設計方案是基于Windows內核內截取所有IP包。在Windows操作系統內，NDIS發揮著重要的作用，其是網絡協議與NIC之間的橋梁，Windows網絡接口見圖 6。其中，NDIS設置在MinpORT驅動程序上，Miniport相當于數據鏈路層的介質訪問控制子層[11]。

3.2 建立安全策略及子程序

Intranet安全策略主要劃分為網絡層和應用層，在網絡層中設置一道防火墻，對過去的數據包展開分析檢測，避免出現不必要的供給[12]。這種預防具有主動的特點，在網絡運行前、運行過程中不斷實施自檢、自測便于發現問題，并開展針對性的補救措施。它不僅具有檢測網絡安全漏洞的功能，也能及時檢測系統配置錯誤情況。應用層旨在對所有用戶和資源實施統一授權管理，創建一套事件發生記錄體制和分析，確保數據的安全性和保密性[13]。

圖6 Windows中網絡接口圖

3.3 數據包子系統設計及實現

如果數據到達網絡適配器，系統控制軟件方可實行相應的過濾操作。允許數據包借助適配器向上傳遞至Miniport Driver。隨后，Miniport Driver把數據向上傳送給NDIS，從而實現合成數據操作，輸送至合適的協議棧（TCP/IP）。系統發送數據過程中，數據由應用層至網絡層，最終達到NDIS，NDIS把數據向下傳遞至Miniport Driver，并將數據傳遞至物理網絡及適配器中[14]。由網卡所獲得的數據為幀格式的內容，幀格式字段明幀數據類型如表1所示。

表1 幀的主要類型

3.4 數據包過濾系統

數據包過濾系統主要過濾IP數據包、UDP數據包、傳輸層TCP、應用層HTTP等。包過濾技術遵循“允許或不允許”部分數據包通過防火墻，數據包過濾流程見圖6。包過濾裝置對數據包進行有選擇的通過，采用檢查數據量中各數據包后，依據數據包源地址、TCP鏈路狀態等明確數據包是否通過[15]。

4 結 論

網絡系統安全是一項系統的工程，不論是大型或小型企業，網絡信息系統的安全問題一直是管理者重點關注的問題。因此，在創建網絡安全防御系統時，不能單一從安全技術交底出發，而要綜合考慮風險、需求、管理規范等內容，如此方可建立一個高效、性價比高的網絡安全防護系統。文中對網絡系統安全存在的安全風險展開分析，提出企業網絡身份認證系統和安全防護系統設計與實現步驟，從而保障企業網絡信息的保密性和安全性。

圖7 數據包過濾流程簡圖

[1]王肖奕.公司信息網絡安全及防護方式研究[J].信息與電腦，2016，15（6）：216-217.

[2]謝俊.企業涉密網絡信息安全防護模型構建與實現[J].大觀周刊，2013，13（4）：68.

[3]朱朝陽.企業網絡安全防護信息管理系統的設計與實現[J].消費電子，2013，17（4）：69.

[4]付寧.企業網絡安全防護體系及企業郵箱的建立[J].科技傳播，2013，12（2）：214.

[5]徐哲明.企業網絡系統安全修補程序構架的設計[J].計算機安全，2013，17（8）：47-50.

[6]勞偉強.企業數據網安全防護體系的研究與實現[J].電子世界，2013，35（22）：154-154.

[7]苗玉杰.油田企業信息化網絡安全策略[J].油氣田地面工程，2013，32（8）：80-81.

[8]王松.基于企業網絡安全防護系統的設計與實施[J].建筑工程技術與設計，2015，37（23）：783-783.

[9]戴志國.油田企業中的網絡安全問題與防火墻安全防護策略[J].中國石油和化工標準與質量，2013，16（5）：194.

[10]劉永彬，亓東峰，趙茂棟，等.基于企業網絡安全防護系統的設計與實施[J].計算機光盤軟件與應用，2014，17（3）：172-173.

[11]田吉鳳.油田企業網絡安全問題及防火墻防護策略[J].油氣田地面工程，2013，21（11）：16-17.

[12]李曉娟，李強，劉永鋒，等.企業局域網安全管理策略探究[J].計算機與網絡，2013，39（5）：61-63.

[13]張二峰.大中型企業網絡安全威脅與防護技術淺析[J].計算機光盤軟件與應用，2013，23（11）：134-135.

[14]錢勇萍，王光杰.基于網絡環境的企業數據庫安全策略與實踐[J].內燃機與動力裝置，2013，30（3）：44-47.

[15]劉曉燕，王恩輝，馮文玉，等.面向企業網絡安全挑戰的探討[J].包頭職業技術學院學報，2013，14（1）：35-37.

Design and implementation of enterprise network security protection system

LI Wei，SUN Shao-hua，SUN Xiao-dong
（State Grid Qinghai Electric Power Company Information and Communication Company，Xining 810008，China）

Along with our country to speed up the informatization construction process，the enterprise core resources has basically meet the requirements of digital storage，these core resources has become the main target of illegal molecules to steal.Set safety protection system in the enterprises of our country most main supply and prevent illegal invasion of external personnel，to the enterprise internal personnel of network attack，information theft cannot play a protective effect.Therefore，the common enterprise network system security，in-depth analysis of enterprise demand for network security system，put forward the design and implementation of authentication system and steps of safety protection system，in order to enhance the security of network information，provide important support for the enterprises to better development and support.

enterprise network system hidden trouble；identity authentication system；protection system；design and implementation

TN99

：A

：1674－6236（2017）13-0009-04

2016-06-27稿件編號：201606212

國家電網科技基金（7128141500AK）

李 衛（1988—），男，青海西寧人，碩士研究生，助工。研究方向：電力通信網絡。