企業網絡安全防護系統設計與實現

曲佳偉

【摘 要】我國信息化技術的快速發展，推動了我國企業信息化技術的建設進程，企業資源數字化存儲與管理已經成為企業發展的重要戰略方式之一，為企業高效發展提供了強大的推動力，為此想要設計完善的網絡安全防護體系，需要分析企業常見的網絡系統安全隱患，并分析企業網絡安全防護系統需求，在此基礎之上對身份認證系統與安全防護系統進行設計與實現，以此提升企業網絡安全防護效果，促進企業實現可持續發展。

【Abstract】The rapid development of information technology in China has promoted the process of enterprise information technology construction. The digital storage and management of enterprise resources has become one of the important strategic ways of enterprise development， which provides a powerful driving force for the efficient development of enterprises. This need to design a sound network security protection system， it need to analyze the security risks of common network system， and analyze the needs of enterprise network security protection system， based on this， we design and implement the identity authentication system and security protection system， to enhance the effectiveness of enterprise network security protection， and promote the sustainable development of enterprises.

【關鍵詞】企業；網絡安全防護；系統設計；實現

【Keywords】enterprise； network security protection； system design； implementation

【中圖分類號】TP393 【文獻標志碼】A 【文章編號】1673-1069（2017）10-0164-02

1 引言

計算機網絡技術的發展引領企業走向信息化的經營管理方向，在信息化背景下，企業不斷將傳統辦公拓展到網絡職能上來，顯著提升了企業的經營效率，但是由于計算機網絡存在一定的風險性，很多企業由于沒有建立完善的網絡防護體系，導致出現了嚴重的系統破壞、文檔竊取以及病毒侵入等問題，嚴重制約了企業數據信息的安全性，此為企業亟需設計完善的網絡安全防護體系，以便確保網絡信息安全性。

2 企業網絡安全防護體系需求分析

早在20世紀90年代企業紛紛意識到想要提升自身的競爭力就需要借助共享信息、互聯網獲取等技術對市場做出針對性的響應，同時為了確保能夠實現可持續戰略發展，企業需要確保網絡防護系統具有一定的可用性與安全性，很多企業設置的傳統邊界防火墻雖然可以起到隔離內外部網絡的作用，但是無法有效防御內部網絡中出現的文件竊取、系統破壞等行為，為企業高效運行埋下了嚴重的安全隱患，為此企業只有立足于內部防護的短板，加強網絡系統邊界安全，建立身份認證系統，提網絡系統內部安全性，以實現全局化的網絡安全防護體系。

3 身份認證系統的設計與實現

3.1 認證申請模塊的設計與實現

CA安置在企業主服務器上，系統中包含身份認證、申請認證以及通信模塊。模塊具體操作流程是：使用鼠標在菜單選項中的“申請證書”上點擊，隨后認證界面會顯現出來，用戶姓名與密碼可以輸入到申請書界面之內，以將信息傳輸至CA認證，CA接收到密碼與名稱之后，將認證結構傳輸到申請證書方，用戶通過驗證之后將公鑰傳遞至CA。CA接受申請證書一方的公鑰將其發送至申請方，以實現CA的多項功能[1]。申請方接收到證書之后，會將其保存在初始化文件當中，在文件內部可以查看用戶設置的公鑰。

3.2 身份認證模塊

雙方實施身份認證需要依次點擊菜單選項中的身份認證選項，在打開的身份認證對話框當中提交驗證方的請求連接，為雙方身份驗證創建連接，在驗證過程當中，使用隨機數字來抵御攻擊，A證書被B證書驗證有效之后，可以獲取自身的證書，并使用隨機數N1進行簽名，然后將證書與簽名信息傳遞給A，A將接受的信息劃分成兩個部分，通過驗證B來獲取B的身份與公鑰[2]。B證書經A證書有效驗證之后，獲取N產生的隨機數N1，然后再傳出隨機數據N2，使用B公鑰對密鑰進行加密，并將密鑰從A傳遞到B，B接受信息之后解簽A簽名數據，并驗證傳輸數據，驗證結果失敗需要重新進行驗證。

3.3 通信模塊的設計與實現

身份認證需要在網絡各個主體間進行，不同主體間的身份認證需要配合不同功能，其中網絡通信是實現不同主體間身份認證的必要途徑，通信模塊可以在各個主體之間實現通信，并配置相應的通信子模塊在主體之間傳遞信息[3]。本次利用MFC當中的CasyncCocket類設計相應的接口，在C/S結構的基礎之上實現局域網通信。

4 安全防護系統的設計與實現

4.1 Windows網絡接口標準

安全防護系統總體設計方案是在Windows內核當中截獲全部IP包。NDIS在Windows操作系統中具有重要作用，充當NIC與網絡協議之間的橋梁[4]。其中NDIS安置在MinpORT驅動程序之上，Miniport類似于數據鏈路層中界址訪問的控制子層。endprint

4.2 建立安全策略及子程序

Internet安全策略主要有應用層與網絡層兩個部分，將防火墻安置在網絡層當中，展開過去的數據包進行分析檢測，避免網絡防護體系中出現不必要的供給，并在網絡運行之前、運行進程中不斷進行自檢，以發現存在的弊端與問題，并及時根據問題找到對應的解決措施，通過這樣的自檢方式不但能夠及時發現網絡具有的安全疏漏，同時還能夠檢查出網絡系統錯誤配置情況[5]。應用層對所有資源與用戶進行全權授權管理，并對發生的事件創造一套記錄體制與分析體制，保證網絡數據的保密性與安全性。

4.3 數據包子系統設計與實現

只有當數據信息到達網絡適配器之后，系統控制軟件才可以啟動相關的過濾軟件，許可數據包通過適配器向上將數據信息傳遞給Miniport Driver，從而達到數據合成操作效果，并將數據傳輸到適宜的協議棧當中，系統在發送數據的過程當中，數據從應用層傳輸到網絡層當中，直至到達NDIS，NDIS接受數據之后繼續將其傳輸至Miniport Driver當中，然后將數據進一步傳遞到適配器以及物理網絡當中，網卡獲取數據形式為幀格式。

4.4 不同類型防火墻的融合應用

邊界防火墻是安置在企業網絡防護邊界的防火墻，邊界防火墻主要有應用級網關、代理服務器以及包過濾集中類型，其通過隔離內外網絡的方式有效保護內邊界網絡的安全性，同時可以通過實時限制、檢測、更改跨越式防火墻數據流的方式，最大程度對外屏蔽網絡內部運行狀況、結構以及信息等，同時防火墻也可以理解為分析器、限制器以及分離器，有效監控內部網絡與Internet的數據交互，以實現對企業信息數據的全面管理。但是隨著網絡安全技術的深入發展，邊界防火墻逐漸暴露出一定的缺陷，其內部防護不完善、受網絡結構約束、故障點多以及效率不高等問題為企業網絡防護體系安全性埋下了嚴重的安全隱患，分布式防火墻為提升企業內部網絡的安全性提供了有力保障。分布式防火墻由客戶端防火墻以及安全策略管理服務器組合而成，客戶端防火墻中的個人計算機、工作站以及服務站根據安全策略文件中的內容采用腳本過濾、特洛伊木馬以及包過濾的方式進行過濾檢查，在確保計算機能夠穩定運行的基礎之上防止計算機受到惡意侵襲，提升了企業網絡安全防護體系的安全性，企業在經營管理過程中采用不同防火墻優勢融合互補的方式有效提升了企業網絡體系的防御能力，確保企業內外部網絡的穩定與安全。

5 結語

網絡安全防護體系是一項系統性的工程，在互聯網技術背景下，企業無論格局大小都需要高度重視網絡信息防護系統的安全性，以避免企業重大數據信息遭到不法分子的竊取與利用，影響企業的可持續戰略發展，為此企業需要根據網絡安全防護需求，創建高效的網絡安全防護體系，設計出身份認證體系與網絡安全防護體系，以提升企業網絡內外部防護能力，加強網絡信息的安全性與保密性。

【參考文獻】

【1】李常福.企業網絡安全方案設計分析[J].網絡安全技術與應用，2017，12（03）：135+137.

【2】王堯.企業信息網絡安全系統的設計與實現[J].信息與電腦（理論版），2017，13（06）：119-120.

【3】陳琳.網絡化軟件中個人信息安全防護系統設計[J].電子技術與軟件工程，2017，16（13）：207.

【4】林寬勝.基于內部網絡安全防范方案的設計[J].無線互聯科技，2016，9（03）：45-46.

【5】尹然然.網絡安全防護系統設計及應用分析[J].電腦知識與技術，2016，12（20）：67-68.endprint