蔡蕓

摘要：隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，現(xiàn)代企業(yè)日常管理也向著信息化的方向發(fā)展，但部分企業(yè)并未對計算機(jī)網(wǎng)絡(luò)系統(tǒng)做好針對性的防護(hù)措施，存在較大的網(wǎng)絡(luò)安全風(fēng)險。積極構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)對企業(yè)經(jīng)濟(jì)及核心信息的安全管理與運(yùn)行具有巨大的保障作用。本文圍繞當(dāng)前企業(yè)網(wǎng)絡(luò)常見的安全隱患，進(jìn)一步探討了其身份認(rèn)證系統(tǒng)和安全防護(hù)系統(tǒng)的設(shè)計。

關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng)；身份認(rèn)證系統(tǒng)；防護(hù)系統(tǒng)

網(wǎng)絡(luò)系統(tǒng)安全是一項系統(tǒng)的工程，不論是大型或小型企業(yè)，網(wǎng)絡(luò)信息系統(tǒng)的安全問題一直是管理者重點關(guān)注的問題。本文深入分析企業(yè)網(wǎng)絡(luò)系統(tǒng)可能出現(xiàn)的安全隱患，對企業(yè)辦公網(wǎng)絡(luò)應(yīng)用中存在的竊取文檔、破壞系統(tǒng)、傳播病毒等安全問題，提出企業(yè)辦公網(wǎng)絡(luò)身份認(rèn)證和安全防護(hù)系統(tǒng)的設(shè)計構(gòu)想，以此滿足企業(yè)辦公網(wǎng)絡(luò)對安全性的要求。

一、企業(yè)網(wǎng)絡(luò)系統(tǒng)存在的安全隱患

企業(yè)網(wǎng)絡(luò)安全系統(tǒng)就是企業(yè)借助計算機(jī)、通信設(shè)施等現(xiàn)代設(shè)備，構(gòu)建相應(yīng)的滿足企業(yè)日常經(jīng)營和管理需求的系統(tǒng)模式。隨著信息技術(shù)的快速發(fā)展，企業(yè)網(wǎng)絡(luò)建設(shè)更加成熟和完善。整個網(wǎng)絡(luò)系統(tǒng)能夠跨越多個地區(qū)、覆蓋千家企業(yè)和大量用戶，網(wǎng)絡(luò)比較龐大且復(fù)雜，不管網(wǎng)絡(luò)構(gòu)架多么的復(fù)雜，其應(yīng)用系統(tǒng)種類更加繁多，各系統(tǒng)間關(guān)聯(lián)性更強(qiáng)[1]。目前，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)主要面臨以下威脅：（1）物理層安全威脅會導(dǎo)致設(shè)備損壞，系統(tǒng)或網(wǎng)絡(luò)不可用，數(shù)據(jù)損壞、丟失等。（2）因企業(yè)管理人員水平不高，引發(fā)企業(yè)內(nèi)部信息泄露的威脅。同時，在整個網(wǎng)絡(luò)中，內(nèi)部員工對企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉，自己攻擊或泄露內(nèi)部信息，也會導(dǎo)致系統(tǒng)遭受致命的安全威脅。（3）計算機(jī)病毒是一種可以將自身附加值目標(biāo)機(jī)系統(tǒng)的文件程序，其對系統(tǒng)的破壞性非常嚴(yán)重，會導(dǎo)致服務(wù)拒絕、破壞數(shù)據(jù)或?qū)е抡麄€系統(tǒng)面臨癱瘓。當(dāng)病毒釋放至網(wǎng)絡(luò)環(huán)境內(nèi)，其無法預(yù)測其產(chǎn)生的危害。

二、企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計

1 身份認(rèn)證系統(tǒng)的設(shè)計與實現(xiàn)

身份認(rèn)證作為網(wǎng)絡(luò)安全的重要組成部分，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中設(shè)計基于RSA的認(rèn)證系統(tǒng)，該系統(tǒng)為三方身份認(rèn)證協(xié)議。

（1）申請認(rèn)證模塊的設(shè)計與實現(xiàn)

CA設(shè)置在企業(yè)主服務(wù)器上，本系統(tǒng)主要包含申請認(rèn)證、身份認(rèn)證、通信模塊。其中，申請認(rèn)證完成與申請認(rèn)證相關(guān)的操作，該模塊實現(xiàn)流程如下：用鼠標(biāo)點擊菜單項中的“申請證書”，彈出相應(yīng)的認(rèn)證界面。在申請書界面內(nèi)，輸入用戶的姓名及密碼，傳遞至CA認(rèn)證。

CA接收到認(rèn)證方所發(fā)出的名稱和明碼后，并將認(rèn)證結(jié)果發(fā)送至申請證書方，當(dāng)通過用戶驗證將公鑰傳給CA。

CA接收申請證書一方傳來的公鑰，把其制作為證書發(fā)送給申請方，完成CA各項功能。申請方接收CA傳來的證書后，保存至初始化文件.ini內(nèi)。在申請方.ini文件內(nèi)可以看見用戶設(shè)置的公鑰。

（2）身份認(rèn)證模塊

實施身份認(rèn)證的雙方，依次點擊菜單項中的身份認(rèn)證項，打開相應(yīng)的身份認(rèn)證對話框，提出驗證方的請求連接，以此為雙方創(chuàng)建連接[2]。

實際認(rèn)證過程中，采用產(chǎn)生的隨機(jī)數(shù)字N1、N2來抵抗攻擊。B驗證A證書有效后，獲取自己的證書，產(chǎn)生隨機(jī)數(shù)N1對其實施簽名。隨之把證書、簽名的N1兩條信息一起傳遞至A。A接收B發(fā)出的信息后，將其劃分為兩個部分，并驗證B的身份同時獲取B公鑰。A驗證B證書屬于有效后，取出N傳出的隨機(jī)數(shù)N1，并產(chǎn)生隨機(jī)數(shù)字N2，把密鑰采用B公鑰加密，最終把加密后的密鑰采用A傳送至B。B接受A發(fā)出的信息后，對A簽名數(shù)據(jù)串進(jìn)行解簽，對傳輸?shù)臄?shù)據(jù)進(jìn)行驗證。如果驗證失敗，必須重新實施認(rèn)證。實現(xiàn)代碼如下：

UCHAR data[1024]={0}：//解密后的私鑰文件

UINT4 datalen=10224//解密后私鑰文件長度

if（RTN_OK！=Cryption Proe（ATTRIB_SDBI_KEY，Dec_keylen，DNCRY

PT，kk->length，data，&datalen））

{

m_List.AddMSg（解密私鑰失敗”，M_ERROR）：

delete kk；

retllrn；

}

e1se.

2 安全防護(hù)系統(tǒng)的設(shè)計及實現(xiàn)

設(shè)計安全防護(hù)系統(tǒng)旨在保護(hù)企業(yè)內(nèi)部信息的安全，實現(xiàn)對各個協(xié)議和端口過濾操作，并實時監(jiān)測網(wǎng)絡(luò)的安全性。

（1）Windos網(wǎng)絡(luò)接口標(biāo)準(zhǔn)

安全防護(hù)系統(tǒng)總設(shè)計方案是基于Windows內(nèi)核內(nèi)截取所有IP包。在Windows操作系統(tǒng)內(nèi)，NDIS發(fā)揮著重要的作用，其是網(wǎng)絡(luò)協(xié)議與NIC之間的橋梁，Windows網(wǎng)絡(luò)接口見圖1。其中，NDIS設(shè)置在MinpORT驅(qū)動程序上，Miniport相當(dāng)于數(shù)據(jù)鏈路層的介質(zhì)訪問控制子層。

（2）數(shù)據(jù)包過濾系統(tǒng)

數(shù)據(jù)包過濾系統(tǒng)主要過濾IP數(shù)據(jù)包、UDP數(shù)據(jù)包、傳輸層TCP、應(yīng)用層HTTP等。包過濾技術(shù)遵循 “允許或不允許”部分?jǐn)?shù)據(jù)包通過防火墻，數(shù)據(jù)包過濾流程見圖2。包過濾裝置對數(shù)據(jù)包進(jìn)行有選擇的通過，采用檢查數(shù)據(jù)量中各數(shù)據(jù)包后，依據(jù)數(shù)據(jù)包源地址、TCP鏈路狀態(tài)等明確數(shù)據(jù)包是否通過[3]。

綜上所述，現(xiàn)階段，我國多數(shù)企業(yè)設(shè)置的安全防護(hù)系統(tǒng)主要預(yù)防外部人員的非法入侵和供給，對企業(yè)內(nèi)部人員發(fā)出的網(wǎng)絡(luò)攻擊、信息竊取無法起到防護(hù)的效果。文中對網(wǎng)絡(luò)系統(tǒng)安全存在的安全風(fēng)險展開分析，提出企業(yè)網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)和安全防護(hù)系統(tǒng)設(shè)計與實現(xiàn)步驟，以此提升企業(yè)網(wǎng)絡(luò)信息的安全性，為企業(yè)更好地發(fā)展提供安全支持。

參考文獻(xiàn)：

[1]徐哲明.企業(yè)網(wǎng)絡(luò)系統(tǒng)安全修補(bǔ)程序構(gòu)架的設(shè)計[J].計算機(jī)安全，2013，17（8）：47-50.

[2]勞偉強(qiáng).企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的研究與實現(xiàn)[J].電子世界，2013，35（22）：154-154.

[3]付寧.企業(yè)網(wǎng)絡(luò)安全防護(hù)體系及企業(yè)郵箱的建立[J].科技傳播，2013，12（2）：214-215.