企业网络安全防护系统设计探讨.docVIP

企业网络安全防护系统设计探讨 　　摘要：随着计算机网络技术的快速发展，现代企业日常管理也向着信息化的方向发展，但部分企业并未对计算机网络系统做好针对性的防护措施，存在较大的网络安全风险。积极构建企业网络安全防护系统对企业经济及核心信息的安全管理与运行具有巨大的保障作用。本文围绕当前企业网络常见的安全隐患，进一步探讨了其身份认证系统和安全防护系统的设计。 　　关键词：网络系统；身份认证系统；防护系统 　　网络系统安全是一项系统的工程，不论是大型或小型企业，网络信息系统的安全问题一直是管理者重点关注的问题。本文深入分析企业网络系统可能出现的安全隐患，对企业办公网络应用中存在的窃取文档、破坏系统、传播病毒等安全问题，提出企业办公网络身份认证和安全防护系统的设计构想，以此满足企业办公网络对安全性的要求。 　　一、企业网络系统存在的安全隐患 　　企业网络安全系统就是企业借助计算机、通信设施等现代设备，构建相应的满足企业日常经营和管理需求的系统模式。随着信息技术的快速发展，企业网络建设更加成熟和完善。整个网络系统能够跨越多个地区、覆盖千家企业和大量用户，网络比较庞大且复杂，不管网络构架多么的复杂，其应用系统种类更加繁多，各系统间关联性更强[1]。目前，企业网络安全系统主要面临以下威胁：（1）物理层安全威胁会导致设备损坏，系统或网络不可用，数据损坏、丢失等。（2）因企业管理人员水平不高，引发企业内部信息泄露的威胁。同时，在整个网络中，内部员工对企业网络结构、应用比较熟悉，自己攻击或泄露内部信息，也会导致系统遭受致命的安全威胁。（3）计算机病毒是一种可以将自身附加值目标机系统的文件程序，其对系统的破坏性非常严重，会导致服务拒绝、破坏数据或导致整个系统面临瘫痪。当病毒释放至网络环境内，其无法预测其产生的危害。 　　二、企业网络安全防护系统设计 　　1 身份认证系统的设计与实现 　　身份认证作为网络安全的重要组成部分，企业网络安全系统中设计基于RSA的认证系统，该系统为三方身份认证协议。 　　（1）申请认证模块的设计与实现 　　CA设置在企业主服务器上，本系统主要包含申请认证、身份认证、通信模块。其中，申请认证完成与申请认证相关的操作，该模块实现流程如下：用鼠标点击菜单项中的“申请证书”，弹出相应的认证界面。在申请书界面内，输入用户的姓名及密码，传递至CA认证。 　　CA接收到认证方所发出的名称和明码后，并将认证结果发送至申请证书方，当通过用户验证将公钥传给CA。 　　CA接收申请证书一方传来的公钥，把其制作为证书发送给申请方，完成CA各项功能。申请方接收CA传来的证书后，保存至初始化文件.ini内。在申请方.ini文件内可以看见用户设置的公钥。 　　（2）身份认证模块 　　实施身份认证的双方，依次点击菜单项中的身份认证项，打开相应的身份认证对话框，提出验证方的请求连接，以此为双方创建连接[2]。 　　实际认证过程中，采用产生的随机数字N1、N2来抵抗攻击。B验证A证书有效后，获取自己的证书，产生随机数N1对其实施签名。随之把证书、签名的N1两条信息一起传递至A。A接收B发出的信息后，将其划分为两个部分，并验证B的身份同时获取B公钥。A验证B证书属于有效后，取出N传出的随机数N1，并产生随机数字N2，把密钥采用B公钥加密，最终把加密后的密钥采用A传送至B。B接受A发出的信息后，对A签名数据串进行解签，对传输的数据进行验证。如果验证失败，必须重新实施认证。实现代码如下： 　　UCHAR data[1024]={0}：//解密后的私钥文件 　　UINT4 datalen=10224//解密后私钥文件长度 　　if（RTN_OK！=Cryption Proe（ATTRIB_SDBI_KEY，Dec_keylen，DNCRY 　　PT，kk-length，data，datalen）） 　　{ 　　m_List.AddMSg（解密私钥失败”，M_ERROR）： 　　delete kk； 　　retllrn； 　　} 　　e1se. 　　2 安全防护系统的设计及实现 　　设计安全防护系统旨在保护企业内部信息的安全，实现对各个协议和端口过滤操作，并实时监测网络的安全性。 　　（1）Windos网络接口标准 　　安全防护系统总设计方案是基于Windows内核内截取所有IP包。在Windows操作系统内，NDIS发挥着重要的作用，其是网络协议与NIC之间的桥梁，Windows网络接口见图1。其中，NDIS设置在MinpORT驱动程序上，Miniport相当于数据链路层的介质访问控制子层。 　　（2）数据包过滤系统 　　数据包过滤系统主要过滤IP数据包、UDP数据包、传输层TCP、应用层HTTP等