網絡信息安全系統規劃與設計研究

摘 " "要：針對在解決網絡安全問題中具有重要作用的網絡信息安全系統，在簡述系統設計基本要求的基礎上，對系統規劃設計和應用進行深入分析，以此為保證網絡信息安全提供有效的技術解決方案。

關鍵詞：網路安全;CA技術;網絡信息安全系統

中圖分類號：TP393.08 " " " " " "文獻標識碼：A " " " " " " " 文章編號：1004-7344（2019）03-0212-02

隨著社會向網絡時代的不斷邁進，網絡安全這一問題日益突出，受到了很多人的高度重視。對此，需要根據網絡信息安全及其管理現狀，引入各項先進技術，建立完善有效的網絡信息安全系統。

1 "系統設計基本要求

利用CA等技術構建系統時，其目的在于保障網絡信息及系統自身的安全，并通過對相應數字證書的合理應用，為用戶提供不同的安全服務，在系統設計過程中，需要切實滿足下列基本要求：

（1）由于不同用戶有不同身份，管理難度相對較大，因此要建立具有全局性與統一性的身份，以此提高用戶管理水平，并實現對信息的統一整合。

（2）由于信息資源較為混亂，所以要制定有效措施加以解決，比如對系統數據進行統一管理，無論是硬件管理還是人員管理，都應實現統一[1]。

（3）對信息進行存儲、傳輸和應用時，加強系統環境的有效保護，保證信息使用過程中的穩定性與安全性。

（4）考慮到不同應用系統間具有獨立性，使授權混亂，所以要制定專門的對策，采用目錄管理等有效方式，對用戶名進行授權，以此對系統運行各項資源進行管理，從而為之后的系統開發提供各類全新的接口。

（5）因對用戶模塊進行管理時所用系統較為混亂，所以應采用建立分權的方法在全局范圍內實施有效管理。

（6）對信息資源、用戶和應用系統進行管理時所使用的系統，應建立關聯性來實現管理，于總體系統上實現集成。

對網絡信息安全系統進行設計的過程中，建議采用兩種身份信息來驗證，分別為常用的用戶名和口令驗證與數字證書驗證。

2 "系統規劃設計

2.1 "整體框架

系統建立時要用到CA等先進技術，將B/S與C/S兩種模式結合到一起，實現系統開發。此時，將CA和802.1X兩項技術連接到一起，然后借助WinPcap，對用戶實施身份驗證，通過檢查確認是否存在違規操作，并確定用戶信息及其控制權限。

在本次系統規劃設計過程中，將CA技術作為基礎，其目錄服務功能主要為對各類信息資源、程序進行管理。這一技術在數字證書系統中具有重要作用，可提供全面的目錄服務，這一部分可對多種應用及用戶實施統一性與協調性管理。同時，CA技術還自帶接口包，利用該程序能對其它形式的中間服務予以訪問控制，并基于網絡環境實現和其它設備之間的充分結合，以此構建一套完整的系統，保證系統設計可操作性及實效性[2]。

2.2 "基于CA技術的數字證書系統

對系統進行改善時，可借助CA技術進行系統優化，將證書管理與頒發機構和標準服務器等作為依據，統一管理不同用戶的證書標識，為用戶提供不同的身份驗證功能，達到保證系統安全性目標。系統設計過程中，利用證書具有的擴展性，滿足不同用戶提出的個性化需求，從而保證系統的全面性。

2.3 "功能設計

本次設計的系統，其功能主要包括以下幾種：

（1）身份認證功能

傳統的密碼驗證方法安全性較低，并且在大型企業與政府內網中往往不適用。對此，應對身份認證與結點認證進行整合，以此保證系統的安全性。

（2）終端節點控制功能

對終端進行檢測，確認是否和現有代理服務器可靠連接，以及是否和外網間實現私連，若通過檢測確認系統存在異常，則立即進行自動報警。

（3）終端結點的接入檢查和發現

掃描系統的拓撲結構，收集結點網中所有信息，并構建以這一系統為基礎的拓撲結構，并對接入內網各個節點進行分析，確認是否合法合規，最后對違法的和對網絡信息安全有威脅的行為予以限制。

（4）行為監控節點

充分利用CA等先進技術，于系統中實現權限分配，對所有主機端口予以動態監控，并對主機運行進程進行監視。當發現存在違規情況時，立即進行報警[3]。

2.4 "軟件設計

服務端系統主要利用Java來設計，但驅動和應用程序都利用C++來開發，這主要是因為采用C++能良好完成數據交互，并提高數據處理速度。對系統進行軟件設計，實際上也是對用戶證書進行認證的具體過程。

（1）系統的客戶端可以向服務器傳輸請求;

（2）該服務器向以CA技術為核心的服務器傳輸請求;

（3）二級審核員開始檢查;

（4）一級審核員開始檢查;

（5）由簽發人員進行證書簽字，同時把相應的數據傳遞至目錄功能;

（6）對以CA技術為核心的服務器請求進行顯示;

（7）將信息發送給系統客戶端，并于系統中除了能滿足申請人各項需求，還能把證書儲存至個人盤當中。

2.5 "目錄服務系統的規劃設計

構建目錄信息樹，為用戶及各類資源實施集中管理與授權。以實際需求為依據，在目錄樹基礎上實現目錄服務構建，通過這樣的方式，能使主、輔服務器均可使數據負載保持平衡，對組織機構、信息表及用戶等施以集中管理，將所有人員的數據都整合到一起。

（1）擴展目錄的設計

①應用擴展項：完成信息擴展，和網路應用系統及應用模塊良好適應。

②組織擴展項：完成信息擴展，使不同的單位及組織機構能夠良好適應。

③用戶擴展項：完成信息擴展，符合所有員工基本信息的需求。

④設備擴展項：完成擴展，滿足設備信息及靜態資源基本需求。

（2）部署目錄

配置網絡當中必須有兩個不同的LDAP服務器，其中一個安裝于相對較遠但網絡保持通暢的地方，另外一個安裝于信息中心。其中，信息中心服務器采用Master LDAP Server，設置在遠地的服務器，采用Slave LDAP Server，使系統實現同步化復制，賦予同步的功能，然后進行負載均衡的安裝，保證系統運行效果。對數據庫進行修改的過程中，由中心服務器實現。對部署目錄進行設計實際上就是構建具有集中式特征的主從結構。

（3）數據安全控制

即用戶進行身份驗證的過程中，對綁定的信息與服務器予以定義，并通過ACI完成目錄信息瀏覽及管理。在用戶完成自身請求后，開始身份驗證，此時服務器將采用搜索等有效方式來充分發揮自身權限。訪問時能對各條目集實施訪問權限有效控制。除此之外，還能通過用戶角色或用戶組等建立來達到權限訪問控制目標[4]。

（4）目錄分級管理

以組織結構為依據利用分級的方式進行設計管理。構建具有良好統一性的中心平臺，由此管理每一個節點子樹。與此同時，安排一名二級管理人員，對二級單位中所有子樹目錄進行管理。對二級單位而言，可將自身結構特征為依據，構建三級單位及其節點和相應的管理人員。

2.6 "系統應用

完成系統設計后，對其進行測試，以確定系統能否達到實際要求。通過長時間和多次的檢測，判斷系統運行是否穩定，并對各個模塊實際應用予以檢測。在本次系統設置當中，與終端檢測時能將完成裝訂的程序采用exe的格式來打開。安裝前，實現自動安裝。經測試發現，通過對這一系統的應用，各個設備的端口能在開啟及關閉時穩定、正常的工作，并在異常出現時立即報警。

對網絡信息安全系統進行設計時，需要完成接入認證功能設計、身份驗證功能設計、網絡訪問限制功能設計。上述設計均能很好的滿足當前需求，發揮出明顯的認真效果，而且系統本身也具有良好穩定性。通過測試可知，該系統的應用能從根本上提高網絡信息安全性，使系統保持穩定，符合各級用戶對網絡提出的安全需求。

3 "結束語

通過構建網絡信息安全系統，能有效保護各級用戶自身信息安全，限制未授權就進行的用戶訪問行為，進而為各級用戶提供安全可靠的網絡環境

參考文獻

[1]程 宇.電力系統網絡信息安全風險防范措施研究[J].現代工業經濟和信息化，2018，8（16）：79～80.

[2]楊 洋.信息化管理視角下校園網絡信息安全問題探析[J].數字通信世界，2018（12）：153.

[3]吳祥龍，陸 燁，陳少達.關于提高電力系統計算機網絡信息安全水平的研究[J].中國新通信，2018，20（21）：169.

[4]張建生，張小紅，彭林華.大數據背景下計算機網絡信息安全及防護對策[J].信息與電腦（理論版），2018（20）：198～200.

收稿日期：2018-12-7

作者簡介：潘獻威（1986-），男，瑤族，廣西賀州人，本科，主要從事計算機信息安全及網絡規劃等工作。