李 衛(wèi)，孫少華，孫曉東

（國(guó)網(wǎng)青海省電力公司信息通信公司 青海 西寧810008）

企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

李 衛(wèi)，孫少華，孫曉東

（國(guó)網(wǎng)青海省電力公司信息通信公司 青海 西寧810008）

隨著我國(guó)信息化建設(shè)進(jìn)程加快，企業(yè)核心資源的存儲(chǔ)已基本達(dá)到數(shù)字化要求，這些核心資源也成為非法分子竊取的主要目標(biāo)?，F(xiàn)階段，我國(guó)多數(shù)企業(yè)設(shè)置的安全防護(hù)系統(tǒng)主要預(yù)防外部人員的非法入侵和供給，對(duì)企業(yè)內(nèi)部人員發(fā)出的網(wǎng)絡(luò)攻擊、信息竊取無(wú)法起到防護(hù)的效果。因此，本文企業(yè)網(wǎng)絡(luò)系統(tǒng)常見的安全隱患入手，深入分析企業(yè)對(duì)網(wǎng)絡(luò)安全系統(tǒng)的需求，提出設(shè)計(jì)與實(shí)現(xiàn)身份認(rèn)證系統(tǒng)和安全防護(hù)系統(tǒng)的步驟，以此提升企業(yè)網(wǎng)絡(luò)信息的安全性，為企業(yè)更好地發(fā)展提供重要支持和輔助。

企業(yè)網(wǎng)絡(luò)系統(tǒng)隱患；身份認(rèn)證系統(tǒng)；防護(hù)系統(tǒng)；設(shè)計(jì)與實(shí)現(xiàn)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，現(xiàn)代企業(yè)日常管理也向著信息化的方向發(fā)展，辦公信息是在自動(dòng)化基礎(chǔ)上，將傳統(tǒng)辦公職能轉(zhuǎn)移至網(wǎng)絡(luò)上實(shí)施信息化拓展，從而提升企業(yè)管理和運(yùn)營(yíng)的效率。但部分企業(yè)由于并未對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)做好針對(duì)性的防護(hù)措施，從而付出極其慘痛的代價(jià)。有些具有遠(yuǎn)見的企業(yè)領(lǐng)導(dǎo)逐漸意識(shí)到企業(yè)信息化建設(shè)的重要性，陸續(xù)創(chuàng)建自己的網(wǎng)站及Intranet，并借助各種WAN線路與互聯(lián)網(wǎng)連接。此時(shí)，我們必須在積極建設(shè)企業(yè)網(wǎng)絡(luò)的同時(shí)，借鑒并吸收國(guó)外企業(yè)網(wǎng)絡(luò)建設(shè)和管理經(jīng)驗(yàn)，在網(wǎng)絡(luò)安全方面必須多考慮一些，把企業(yè)網(wǎng)絡(luò)中有可能存在的危險(xiǎn)、漏洞降低至最低層面。本課題深入分析企業(yè)網(wǎng)絡(luò)系統(tǒng)可能出現(xiàn)的安全隱患，對(duì)企業(yè)辦公網(wǎng)絡(luò)應(yīng)用中存在的竊取文檔、破壞系統(tǒng)、傳播病毒等安全問(wèn)題，提出企業(yè)辦公網(wǎng)絡(luò)身份認(rèn)證和安全防護(hù)系統(tǒng)的設(shè)計(jì)構(gòu)想，以此滿足企業(yè)辦公網(wǎng)絡(luò)對(duì)安全性的要求。

1 分析系統(tǒng)需求

早在20世紀(jì)90年代，企業(yè)就認(rèn)識(shí)到若想提升自身的競(jìng)爭(zhēng)力，必須針對(duì)市場(chǎng)需求做出針對(duì)性的響應(yīng)，這就引起借助互聯(lián)網(wǎng)獲取、共享信息的趨勢(shì)[4]?，F(xiàn)階段，越來(lái)越多企業(yè)領(lǐng)導(dǎo)者意識(shí)到，對(duì)企業(yè)未來(lái)增長(zhǎng)和生產(chǎn)效率具有最大約束的因素就是網(wǎng)絡(luò)系統(tǒng)的安全性和可用性。眾所周知，一個(gè)企業(yè)的生產(chǎn)效率與其收入增長(zhǎng)情況密切相關(guān)，若某企業(yè)生產(chǎn)效率增長(zhǎng)2.5%，那么，該企業(yè)的收入每隔30年就能翻一番。基于互聯(lián)網(wǎng)這種生產(chǎn)效率工具，網(wǎng)絡(luò)系統(tǒng)的安全性和可用性對(duì)其運(yùn)行效率產(chǎn)生直接的影響[5]。因此，本課題設(shè)計(jì)系統(tǒng)應(yīng)滿足以下需求：1）有效解決網(wǎng)絡(luò)的邊界安全問(wèn)題；2）保障網(wǎng)絡(luò)系統(tǒng)及內(nèi)部的安全；創(chuàng)建身份認(rèn)證系統(tǒng)，并對(duì)用戶實(shí)施統(tǒng)一的管理；3）融合先進(jìn)的技術(shù)和行政手段，組成全局的安全管理系統(tǒng)。

2 身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

身份認(rèn)證作為網(wǎng)絡(luò)安全的重要組成部分，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中設(shè)計(jì)基于RSA的認(rèn)證系統(tǒng)，該系統(tǒng)為三方身份認(rèn)證協(xié)議，其認(rèn)證流程如圖1所示。

圖1 系統(tǒng)總體設(shè)計(jì)簡(jiǎn)圖

2.1 申請(qǐng)認(rèn)證模塊的設(shè)計(jì)與實(shí)現(xiàn)

CA設(shè)置在企業(yè)主服務(wù)器上，本系統(tǒng)主要包含申請(qǐng)認(rèn)證、身份認(rèn)證、通信模塊[6]。其中，申請(qǐng)認(rèn)證完成與申請(qǐng)認(rèn)證相關(guān)的操作，該模塊實(shí)現(xiàn)流程如下：用鼠標(biāo)點(diǎn)擊菜單項(xiàng)中的“申請(qǐng)證書”，彈出相應(yīng)的認(rèn)證界面。在申請(qǐng)書界面內(nèi)，輸入用戶的姓名及密碼，傳遞至CA認(rèn)證，如圖2所示。

圖2 申請(qǐng)證書界面設(shè)置用戶名及密碼

CA接收到認(rèn)證方所發(fā)出的名稱和明碼后，并將認(rèn)證結(jié)果發(fā)送至申請(qǐng)證書方，當(dāng)通過(guò)用戶驗(yàn)證將公鑰傳給CA，如圖3所示。

圖3 生成公匙

CA接收申請(qǐng)證書一方傳來(lái)的公鑰，把其制作為證書發(fā)送給申請(qǐng)方，完成CA各項(xiàng)功能[7]。申請(qǐng)方接收CA傳來(lái)的證書后，保存至初始化文件.ini內(nèi)。在申請(qǐng)方.ini文件內(nèi)可以看見用戶設(shè)置的公鑰，如圖4所示。

圖4 .ini文件中證書截圖

2.2 身份認(rèn)證模塊

實(shí)施身份認(rèn)證的雙方，依次點(diǎn)擊菜單項(xiàng)中的身份認(rèn)證項(xiàng)，打開相應(yīng)的身份認(rèn)證對(duì)話框，提出驗(yàn)證方的請(qǐng)求連接，以此為雙方創(chuàng)建連接[8]。雙方相互認(rèn)證流程如圖5所示。

圖5 身份認(rèn)證流程圖

實(shí)際認(rèn)證過(guò)程中，采用產(chǎn)生的隨機(jī)數(shù)字N1、N2來(lái)抵抗攻擊。B驗(yàn)證A證書有效后，獲取自己的證書，產(chǎn)生隨機(jī)數(shù)N1對(duì)其實(shí)施簽名。隨之把證書、簽名的N1兩條信息一起傳遞至A。A接收B發(fā)出的信息后，將其劃分為兩個(gè)部分，并驗(yàn)證B的身份同時(shí)獲取B公鑰。A驗(yàn)證B證書屬于有效后，取出N傳出的隨機(jī)數(shù)N1，并產(chǎn)生隨機(jī)數(shù)字N2，把密鑰采用B公鑰加密，最終把加密后的密鑰采用A傳送至B[9]。B接受A發(fā)出的信息后，對(duì)A簽名數(shù)據(jù)串進(jìn)行解簽，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行驗(yàn)證。如果驗(yàn)證失敗，必須重新實(shí)施認(rèn)證。

2.3 通信模塊的設(shè)計(jì)及實(shí)現(xiàn)

身份認(rèn)證要在網(wǎng)絡(luò)上各主體之間進(jìn)行，因此，不同主體之間的身份認(rèn)證需不同功能的配合，上述操作均要借助網(wǎng)絡(luò)通信實(shí)現(xiàn)[10]。通信模塊實(shí)現(xiàn)與各個(gè)主體的通信，以此配置相應(yīng)的通信子模塊向主體間傳遞信息。本次設(shè)計(jì)采用MFC中的CasyncCocket類提供相應(yīng)的接口，以此實(shí)現(xiàn)基于C/S結(jié)構(gòu)的局域網(wǎng)通信。借助服務(wù)器方監(jiān)聽用戶機(jī)發(fā)出的請(qǐng)求信息，達(dá)到雙方通信的目的。通信模塊服務(wù)器接受客戶端請(qǐng)求實(shí)現(xiàn)代碼如下：

3 安全防護(hù)系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)

設(shè)計(jì)安全防護(hù)系統(tǒng)旨在保護(hù)企業(yè)內(nèi)部信息的安全，實(shí)現(xiàn)對(duì)各個(gè)協(xié)議和端口過(guò)濾操作，并實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)的安全性。

3.1 Windos網(wǎng)絡(luò)接口標(biāo)準(zhǔn)

安全防護(hù)系統(tǒng)總設(shè)計(jì)方案是基于Windows內(nèi)核內(nèi)截取所有IP包。在Windows操作系統(tǒng)內(nèi)，NDIS發(fā)揮著重要的作用，其是網(wǎng)絡(luò)協(xié)議與NIC之間的橋梁，Windows網(wǎng)絡(luò)接口見圖 6。其中，NDIS設(shè)置在MinpORT驅(qū)動(dòng)程序上，Miniport相當(dāng)于數(shù)據(jù)鏈路層的介質(zhì)訪問(wèn)控制子層[11]。

3.2 建立安全策略及子程序

Intranet安全策略主要?jiǎng)澐譃榫W(wǎng)絡(luò)層和應(yīng)用層，在網(wǎng)絡(luò)層中設(shè)置一道防火墻，對(duì)過(guò)去的數(shù)據(jù)包展開分析檢測(cè)，避免出現(xiàn)不必要的供給[12]。這種預(yù)防具有主動(dòng)的特點(diǎn)，在網(wǎng)絡(luò)運(yùn)行前、運(yùn)行過(guò)程中不斷實(shí)施自檢、自測(cè)便于發(fā)現(xiàn)問(wèn)題，并開展針對(duì)性的補(bǔ)救措施。它不僅具有檢測(cè)網(wǎng)絡(luò)安全漏洞的功能，也能及時(shí)檢測(cè)系統(tǒng)配置錯(cuò)誤情況。應(yīng)用層旨在對(duì)所有用戶和資源實(shí)施統(tǒng)一授權(quán)管理，創(chuàng)建一套事件發(fā)生記錄體制和分析，確保數(shù)據(jù)的安全性和保密性[13]。

圖6 Windows中網(wǎng)絡(luò)接口圖

3.3 數(shù)據(jù)包子系統(tǒng)設(shè)計(jì)及實(shí)現(xiàn)

如果數(shù)據(jù)到達(dá)網(wǎng)絡(luò)適配器，系統(tǒng)控制軟件方可實(shí)行相應(yīng)的過(guò)濾操作。允許數(shù)據(jù)包借助適配器向上傳遞至Miniport Driver。隨后，Miniport Driver把數(shù)據(jù)向上傳送給NDIS，從而實(shí)現(xiàn)合成數(shù)據(jù)操作，輸送至合適的協(xié)議棧（TCP/IP）。系統(tǒng)發(fā)送數(shù)據(jù)過(guò)程中，數(shù)據(jù)由應(yīng)用層至網(wǎng)絡(luò)層，最終達(dá)到NDIS，NDIS把數(shù)據(jù)向下傳遞至Miniport Driver，并將數(shù)據(jù)傳遞至物理網(wǎng)絡(luò)及適配器中[14]。由網(wǎng)卡所獲得的數(shù)據(jù)為幀格式的內(nèi)容，幀格式字段明幀數(shù)據(jù)類型如表1所示。

表1 幀的主要類型

3.4 數(shù)據(jù)包過(guò)濾系統(tǒng)

數(shù)據(jù)包過(guò)濾系統(tǒng)主要過(guò)濾IP數(shù)據(jù)包、UDP數(shù)據(jù)包、傳輸層TCP、應(yīng)用層HTTP等。包過(guò)濾技術(shù)遵循“允許或不允許”部分?jǐn)?shù)據(jù)包通過(guò)防火墻，數(shù)據(jù)包過(guò)濾流程見圖6。包過(guò)濾裝置對(duì)數(shù)據(jù)包進(jìn)行有選擇的通過(guò)，采用檢查數(shù)據(jù)量中各數(shù)據(jù)包后，依據(jù)數(shù)據(jù)包源地址、TCP鏈路狀態(tài)等明確數(shù)據(jù)包是否通過(guò)[15]。

4 結(jié) 論

網(wǎng)絡(luò)系統(tǒng)安全是一項(xiàng)系統(tǒng)的工程，不論是大型或小型企業(yè)，網(wǎng)絡(luò)信息系統(tǒng)的安全問(wèn)題一直是管理者重點(diǎn)關(guān)注的問(wèn)題。因此，在創(chuàng)建網(wǎng)絡(luò)安全防御系統(tǒng)時(shí)，不能單一從安全技術(shù)交底出發(fā)，而要綜合考慮風(fēng)險(xiǎn)、需求、管理規(guī)范等內(nèi)容，如此方可建立一個(gè)高效、性價(jià)比高的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。文中對(duì)網(wǎng)絡(luò)系統(tǒng)安全存在的安全風(fēng)險(xiǎn)展開分析，提出企業(yè)網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)和安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)步驟，從而保障企業(yè)網(wǎng)絡(luò)信息的保密性和安全性。

圖7 數(shù)據(jù)包過(guò)濾流程簡(jiǎn)圖

[1]王肖奕.公司信息網(wǎng)絡(luò)安全及防護(hù)方式研究[J].信息與電腦，2016，15（6）：216-217.

[2]謝俊.企業(yè)涉密網(wǎng)絡(luò)信息安全防護(hù)模型構(gòu)建與實(shí)現(xiàn)[J].大觀周刊，2013，13（4）：68.

[3]朱朝陽(yáng).企業(yè)網(wǎng)絡(luò)安全防護(hù)信息管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].消費(fèi)電子，2013，17（4）：69.

[4]付寧.企業(yè)網(wǎng)絡(luò)安全防護(hù)體系及企業(yè)郵箱的建立[J].科技傳播，2013，12（2）：214.

[5]徐哲明.企業(yè)網(wǎng)絡(luò)系統(tǒng)安全修補(bǔ)程序構(gòu)架的設(shè)計(jì)[J].計(jì)算機(jī)安全，2013，17（8）：47-50.

[6]勞偉強(qiáng).企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的研究與實(shí)現(xiàn)[J].電子世界，2013，35（22）：154-154.

[7]苗玉杰.油田企業(yè)信息化網(wǎng)絡(luò)安全策略[J].油氣田地面工程，2013，32（8）：80-81.

[8]王松.基于企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)施[J].建筑工程技術(shù)與設(shè)計(jì)，2015，37（23）：783-783.

[9]戴志國(guó).油田企業(yè)中的網(wǎng)絡(luò)安全問(wèn)題與防火墻安全防護(hù)策略[J].中國(guó)石油和化工標(biāo)準(zhǔn)與質(zhì)量，2013，16（5）：194.

[10]劉永彬，亓東峰，趙茂棟，等.基于企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)施[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014，17（3）：172-173.

[11]田吉鳳.油田企業(yè)網(wǎng)絡(luò)安全問(wèn)題及防火墻防護(hù)策略[J].油氣田地面工程，2013，21（11）：16-17.

[12]李曉娟，李強(qiáng)，劉永鋒，等.企業(yè)局域網(wǎng)安全管理策略探究[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2013，39（5）：61-63.

[13]張二峰.大中型企業(yè)網(wǎng)絡(luò)安全威脅與防護(hù)技術(shù)淺析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013，23（11）：134-135.

[14]錢勇萍，王光杰.基于網(wǎng)絡(luò)環(huán)境的企業(yè)數(shù)據(jù)庫(kù)安全策略與實(shí)踐[J].內(nèi)燃機(jī)與動(dòng)力裝置，2013，30（3）：44-47.

[15]劉曉燕，王恩輝，馮文玉，等.面向企業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)的探討[J].包頭職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013，14（1）：35-37.

Design and implementation of enterprise network security protection system

LI Wei，SUN Shao-hua，SUN Xiao-dong
（State Grid Qinghai Electric Power Company Information and Communication Company，Xining 810008，China）

Along with our country to speed up the informatization construction process，the enterprise core resources has basically meet the requirements of digital storage，these core resources has become the main target of illegal molecules to steal.Set safety protection system in the enterprises of our country most main supply and prevent illegal invasion of external personnel，to the enterprise internal personnel of network attack，information theft cannot play a protective effect.Therefore，the common enterprise network system security，in-depth analysis of enterprise demand for network security system，put forward the design and implementation of authentication system and steps of safety protection system，in order to enhance the security of network information，provide important support for the enterprises to better development and support.

enterprise network system hidden trouble；identity authentication system；protection system；design and implementation

TN99

：A

：1674－6236（2017）13-0009-04

2016-06-27稿件編號(hào)：201606212

國(guó)家電網(wǎng)科技基金（7128141500AK）

李 衛(wèi)（1988—），男，青海西寧人，碩士研究生，助工。研究方向：電力通信網(wǎng)絡(luò)。