摘 ? ?要：針對在解決網(wǎng)絡(luò)安全問題中具有重要作用的網(wǎng)絡(luò)信息安全系統(tǒng)，在簡述系統(tǒng)設(shè)計(jì)基本要求的基礎(chǔ)上，對系統(tǒng)規(guī)劃設(shè)計(jì)和應(yīng)用進(jìn)行深入分析，以此為保證網(wǎng)絡(luò)信息安全提供有效的技術(shù)解決方案。

關(guān)鍵詞：網(wǎng)路安全;CA技術(shù);網(wǎng)絡(luò)信息安全系統(tǒng)

中圖分類號：TP393.08 ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A ? ? ? ? ? ? ? 文章編號：1004-7344（2019）03-0212-02

隨著社會向網(wǎng)絡(luò)時代的不斷邁進(jìn)，網(wǎng)絡(luò)安全這一問題日益突出，受到了很多人的高度重視。對此，需要根據(jù)網(wǎng)絡(luò)信息安全及其管理現(xiàn)狀，引入各項(xiàng)先進(jìn)技術(shù)，建立完善有效的網(wǎng)絡(luò)信息安全系統(tǒng)。

1 ?系統(tǒng)設(shè)計(jì)基本要求

利用CA等技術(shù)構(gòu)建系統(tǒng)時，其目的在于保障網(wǎng)絡(luò)信息及系統(tǒng)自身的安全，并通過對相應(yīng)數(shù)字證書的合理應(yīng)用，為用戶提供不同的安全服務(wù)，在系統(tǒng)設(shè)計(jì)過程中，需要切實(shí)滿足下列基本要求：

（1）由于不同用戶有不同身份，管理難度相對較大，因此要建立具有全局性與統(tǒng)一性的身份，以此提高用戶管理水平，并實(shí)現(xiàn)對信息的統(tǒng)一整合。

（2）由于信息資源較為混亂，所以要制定有效措施加以解決，比如對系統(tǒng)數(shù)據(jù)進(jìn)行統(tǒng)一管理，無論是硬件管理還是人員管理，都應(yīng)實(shí)現(xiàn)統(tǒng)一[1]。

（3）對信息進(jìn)行存儲、傳輸和應(yīng)用時，加強(qiáng)系統(tǒng)環(huán)境的有效保護(hù)，保證信息使用過程中的穩(wěn)定性與安全性。

（4）考慮到不同應(yīng)用系統(tǒng)間具有獨(dú)立性，使授權(quán)混亂，所以要制定專門的對策，采用目錄管理等有效方式，對用戶名進(jìn)行授權(quán)，以此對系統(tǒng)運(yùn)行各項(xiàng)資源進(jìn)行管理，從而為之后的系統(tǒng)開發(fā)提供各類全新的接口。

（5）因?qū)τ脩裟K進(jìn)行管理時所用系統(tǒng)較為混亂，所以應(yīng)采用建立分權(quán)的方法在全局范圍內(nèi)實(shí)施有效管理。

（6）對信息資源、用戶和應(yīng)用系統(tǒng)進(jìn)行管理時所使用的系統(tǒng)，應(yīng)建立關(guān)聯(lián)性來實(shí)現(xiàn)管理，于總體系統(tǒng)上實(shí)現(xiàn)集成。

對網(wǎng)絡(luò)信息安全系統(tǒng)進(jìn)行設(shè)計(jì)的過程中，建議采用兩種身份信息來驗(yàn)證，分別為常用的用戶名和口令驗(yàn)證與數(shù)字證書驗(yàn)證。

2 ?系統(tǒng)規(guī)劃設(shè)計(jì)

2.1 ?整體框架

系統(tǒng)建立時要用到CA等先進(jìn)技術(shù)，將B/S與C/S兩種模式結(jié)合到一起，實(shí)現(xiàn)系統(tǒng)開發(fā)。此時，將CA和802.1X兩項(xiàng)技術(shù)連接到一起，然后借助WinPcap，對用戶實(shí)施身份驗(yàn)證，通過檢查確認(rèn)是否存在違規(guī)操作，并確定用戶信息及其控制權(quán)限。

在本次系統(tǒng)規(guī)劃設(shè)計(jì)過程中，將CA技術(shù)作為基礎(chǔ)，其目錄服務(wù)功能主要為對各類信息資源、程序進(jìn)行管理。這一技術(shù)在數(shù)字證書系統(tǒng)中具有重要作用，可提供全面的目錄服務(wù)，這一部分可對多種應(yīng)用及用戶實(shí)施統(tǒng)一性與協(xié)調(diào)性管理。同時，CA技術(shù)還自帶接口包，利用該程序能對其它形式的中間服務(wù)予以訪問控制，并基于網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)和其它設(shè)備之間的充分結(jié)合，以此構(gòu)建一套完整的系統(tǒng)，保證系統(tǒng)設(shè)計(jì)可操作性及實(shí)效性[2]。

2.2 ?基于CA技術(shù)的數(shù)字證書系統(tǒng)

對系統(tǒng)進(jìn)行改善時，可借助CA技術(shù)進(jìn)行系統(tǒng)優(yōu)化，將證書管理與頒發(fā)機(jī)構(gòu)和標(biāo)準(zhǔn)服務(wù)器等作為依據(jù)，統(tǒng)一管理不同用戶的證書標(biāo)識，為用戶提供不同的身份驗(yàn)證功能，達(dá)到保證系統(tǒng)安全性目標(biāo)。系統(tǒng)設(shè)計(jì)過程中，利用證書具有的擴(kuò)展性，滿足不同用戶提出的個性化需求，從而保證系統(tǒng)的全面性。

2.3 ?功能設(shè)計(jì)

本次設(shè)計(jì)的系統(tǒng)，其功能主要包括以下幾種：

（1）身份認(rèn)證功能

傳統(tǒng)的密碼驗(yàn)證方法安全性較低，并且在大型企業(yè)與政府內(nèi)網(wǎng)中往往不適用。對此，應(yīng)對身份認(rèn)證與結(jié)點(diǎn)認(rèn)證進(jìn)行整合，以此保證系統(tǒng)的安全性。

（2）終端節(jié)點(diǎn)控制功能

對終端進(jìn)行檢測，確認(rèn)是否和現(xiàn)有代理服務(wù)器可靠連接，以及是否和外網(wǎng)間實(shí)現(xiàn)私連，若通過檢測確認(rèn)系統(tǒng)存在異常，則立即進(jìn)行自動報(bào)警。

（3）終端結(jié)點(diǎn)的接入檢查和發(fā)現(xiàn)

掃描系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，收集結(jié)點(diǎn)網(wǎng)中所有信息，并構(gòu)建以這一系統(tǒng)為基礎(chǔ)的拓?fù)浣Y(jié)構(gòu)，并對接入內(nèi)網(wǎng)各個節(jié)點(diǎn)進(jìn)行分析，確認(rèn)是否合法合規(guī)，最后對違法的和對網(wǎng)絡(luò)信息安全有威脅的行為予以限制。

（4）行為監(jiān)控節(jié)點(diǎn)

充分利用CA等先進(jìn)技術(shù)，于系統(tǒng)中實(shí)現(xiàn)權(quán)限分配，對所有主機(jī)端口予以動態(tài)監(jiān)控，并對主機(jī)運(yùn)行進(jìn)程進(jìn)行監(jiān)視。當(dāng)發(fā)現(xiàn)存在違規(guī)情況時，立即進(jìn)行報(bào)警[3]。

2.4 ?軟件設(shè)計(jì)

服務(wù)端系統(tǒng)主要利用Java來設(shè)計(jì)，但驅(qū)動和應(yīng)用程序都利用C++來開發(fā)，這主要是因?yàn)椴捎肅++能良好完成數(shù)據(jù)交互，并提高數(shù)據(jù)處理速度。對系統(tǒng)進(jìn)行軟件設(shè)計(jì)，實(shí)際上也是對用戶證書進(jìn)行認(rèn)證的具體過程。

（1）系統(tǒng)的客戶端可以向服務(wù)器傳輸請求;

（2）該服務(wù)器向以CA技術(shù)為核心的服務(wù)器傳輸請求;

（3）二級審核員開始檢查;

（4）一級審核員開始檢查;

（5）由簽發(fā)人員進(jìn)行證書簽字，同時把相應(yīng)的數(shù)據(jù)傳遞至目錄功能;

（6）對以CA技術(shù)為核心的服務(wù)器請求進(jìn)行顯示;

（7）將信息發(fā)送給系統(tǒng)客戶端，并于系統(tǒng)中除了能滿足申請人各項(xiàng)需求，還能把證書儲存至個人盤當(dāng)中。

2.5 ?目錄服務(wù)系統(tǒng)的規(guī)劃設(shè)計(jì)

構(gòu)建目錄信息樹，為用戶及各類資源實(shí)施集中管理與授權(quán)。以實(shí)際需求為依據(jù)，在目錄樹基礎(chǔ)上實(shí)現(xiàn)目錄服務(wù)構(gòu)建，通過這樣的方式，能使主、輔服務(wù)器均可使數(shù)據(jù)負(fù)載保持平衡，對組織機(jī)構(gòu)、信息表及用戶等施以集中管理，將所有人員的數(shù)據(jù)都整合到一起。

（1）擴(kuò)展目錄的設(shè)計(jì)

①應(yīng)用擴(kuò)展項(xiàng)：完成信息擴(kuò)展，和網(wǎng)路應(yīng)用系統(tǒng)及應(yīng)用模塊良好適應(yīng)。

②組織擴(kuò)展項(xiàng)：完成信息擴(kuò)展，使不同的單位及組織機(jī)構(gòu)能夠良好適應(yīng)。

③用戶擴(kuò)展項(xiàng)：完成信息擴(kuò)展，符合所有員工基本信息的需求。

④設(shè)備擴(kuò)展項(xiàng)：完成擴(kuò)展，滿足設(shè)備信息及靜態(tài)資源基本需求。

（2）部署目錄

配置網(wǎng)絡(luò)當(dāng)中必須有兩個不同的LDAP服務(wù)器，其中一個安裝于相對較遠(yuǎn)但網(wǎng)絡(luò)保持通暢的地方，另外一個安裝于信息中心。其中，信息中心服務(wù)器采用Master LDAP Server，設(shè)置在遠(yuǎn)地的服務(wù)器，采用Slave LDAP Server，使系統(tǒng)實(shí)現(xiàn)同步化復(fù)制，賦予同步的功能，然后進(jìn)行負(fù)載均衡的安裝，保證系統(tǒng)運(yùn)行效果。對數(shù)據(jù)庫進(jìn)行修改的過程中，由中心服務(wù)器實(shí)現(xiàn)。對部署目錄進(jìn)行設(shè)計(jì)實(shí)際上就是構(gòu)建具有集中式特征的主從結(jié)構(gòu)。

（3）數(shù)據(jù)安全控制

即用戶進(jìn)行身份驗(yàn)證的過程中，對綁定的信息與服務(wù)器予以定義，并通過ACI完成目錄信息瀏覽及管理。在用戶完成自身請求后，開始身份驗(yàn)證，此時服務(wù)器將采用搜索等有效方式來充分發(fā)揮自身權(quán)限。訪問時能對各條目集實(shí)施訪問權(quán)限有效控制。除此之外，還能通過用戶角色或用戶組等建立來達(dá)到權(quán)限訪問控制目標(biāo)[4]。

（4）目錄分級管理

以組織結(jié)構(gòu)為依據(jù)利用分級的方式進(jìn)行設(shè)計(jì)管理。構(gòu)建具有良好統(tǒng)一性的中心平臺，由此管理每一個節(jié)點(diǎn)子樹。與此同時，安排一名二級管理人員，對二級單位中所有子樹目錄進(jìn)行管理。對二級單位而言，可將自身結(jié)構(gòu)特征為依據(jù)，構(gòu)建三級單位及其節(jié)點(diǎn)和相應(yīng)的管理人員。

2.6 ?系統(tǒng)應(yīng)用

完成系統(tǒng)設(shè)計(jì)后，對其進(jìn)行測試，以確定系統(tǒng)能否達(dá)到實(shí)際要求。通過長時間和多次的檢測，判斷系統(tǒng)運(yùn)行是否穩(wěn)定，并對各個模塊實(shí)際應(yīng)用予以檢測。在本次系統(tǒng)設(shè)置當(dāng)中，與終端檢測時能將完成裝訂的程序采用exe的格式來打開。安裝前，實(shí)現(xiàn)自動安裝。經(jīng)測試發(fā)現(xiàn)，通過對這一系統(tǒng)的應(yīng)用，各個設(shè)備的端口能在開啟及關(guān)閉時穩(wěn)定、正常的工作，并在異常出現(xiàn)時立即報(bào)警。

對網(wǎng)絡(luò)信息安全系統(tǒng)進(jìn)行設(shè)計(jì)時，需要完成接入認(rèn)證功能設(shè)計(jì)、身份驗(yàn)證功能設(shè)計(jì)、網(wǎng)絡(luò)訪問限制功能設(shè)計(jì)。上述設(shè)計(jì)均能很好的滿足當(dāng)前需求，發(fā)揮出明顯的認(rèn)真效果，而且系統(tǒng)本身也具有良好穩(wěn)定性。通過測試可知，該系統(tǒng)的應(yīng)用能從根本上提高網(wǎng)絡(luò)信息安全性，使系統(tǒng)保持穩(wěn)定，符合各級用戶對網(wǎng)絡(luò)提出的安全需求。

3 ?結(jié)束語

通過構(gòu)建網(wǎng)絡(luò)信息安全系統(tǒng)，能有效保護(hù)各級用戶自身信息安全，限制未授權(quán)就進(jìn)行的用戶訪問行為，進(jìn)而為各級用戶提供安全可靠的網(wǎng)絡(luò)環(huán)境

參考文獻(xiàn)

[1]程 宇.電力系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險防范措施研究[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2018，8（16）：79～80.

[2]楊 洋.信息化管理視角下校園網(wǎng)絡(luò)信息安全問題探析[J].數(shù)字通信世界，2018（12）：153.

[3]吳祥龍，陸 燁，陳少達(dá).關(guān)于提高電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全水平的研究[J].中國新通信，2018，20（21）：169.

[4]張建生，張小紅，彭林華.大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)對策[J].信息與電腦（理論版），2018（20）：198～200.

收稿日期：2018-12-7

作者簡介：潘獻(xiàn)威（1986-），男，瑤族，廣西賀州人，本科，主要從事計(jì)算機(jī)信息安全及網(wǎng)絡(luò)規(guī)劃等工作。