企业网络安全防护系统设计与实现.docx

企业网络安全防护系统设计与实现 【摘 要】我国信息化技术的快速发展，推动了我国企业信息化技术的建设进程，企业资源数字化存储与管理已经成为企业发展的重要战略方式之一，为企业高效发展提供了强大的推动力，为此想要设计完善的网络安全防护体系，需要分析企业常见的网络系?y安全隐患，并分析企业网络安全防护系统需求，在此基础之上对身份认证系统与安全防护系统进行设计与实现，以此提升企业网络安全防护效果，促进企业实现可持续发展。 下载 【Abstract】The rapid development of information technology in China has promoted the process of enterprise information technology constructrces has become one of the important strategic ways of enterprise development， which provides a powerful driving force for the efficient development of enterprin system， it need to analyze the security risks of common network system， and analyze the needs of enterprise network security protection system， based on this， we design and implement the identity authentication system and security protection system， to enhance the effectiveness of enterprise network security protection， and promote the sustainable development of enterpri关键词】企业；网络安全防护；系统设计；实现 【Keywords】enterprise； network security protection； system design； implementation 【中图分类号】TP393 【文献标志码】A 【文章编号】1673-1069（2017）10-0164-02 1 引言 计算机网络技术的发展引领企业走向信息化的经营管理方向，在信息化背景下，企业不断将传统办公拓展到网络职能上来，显著提升了企业的经营效率，但是由于计算机网络存在一定的风险性，很多企业由于没有建立完善的网络防护体系，导致出现了严重的系统破坏、文档窃取以及病毒侵入等问题，严重制约了企业数据信息的安全性，此为企业亟需设计完善的网络安全防护体系，以便确保网络信息安全性。 2 企业网络安全防护体系需求分析 早在20世纪90年代企业纷纷意识到想要提升自身的竞争力就需要借助共享信息、互联网获取等技术对市场做出针对性的响应，同时为了确保能够实现可持续战略发展，企业需要确保网络防护系统具有一定的可用性与安全性，很多企业设置的传统边界防火墙虽然可以起到隔离内外部网络的作用，但是无法有效防御内部网络中出现的文件窃取、系统破坏等行为，为企业高效运行埋下了严重的安全隐患，为此企业只有立足于内部防护的短板，加强网络系统边界安全，建立身份认证系统，提网络系统内部安全性，以实现全局化的网络安全防护体系。 3 身份认证系统的设计与实现 3.1 认证申请模块的设计与实现 CA安置在企业主服务器上，系统中包含身份认证、申请认证以及通信模块。模块具体操作流程是：使用鼠标在菜单选项中的“申请证书”上点击，随后认证界面会显现出来，用户姓名与密码可以输入到申请书界面之内，以将信息传输至CA认证，CA接收到密码与名称之后，将认证结构传输到申请证书方，用户通过验证之后将公钥传递至CA。CA接受申请证书一方的公钥将其发送至申请方，以实现CA的多项功能。申请方接收到证书之后，会将其保存在初始化文件当中，在文件内部可以查看用户设置的公钥。 3.2 身份认证模块 双方实施身份认证需要依次点击菜单选项中的身份认证选项，在打开的身份认证对话框当中提交验证方的请求连接，为双方身份验证创建连接，在验证过程当中，使用随机数字来抵御攻击，A证书被B证书验证有效之后，可以获取自身的证书，并使用随机数N1进行签名，然后将证书与签名信息传递给A，A将接受的信息划分成两个部分，通过验证B来获取B的身份与公钥。B证书经A证书有效验证之后，获取N产生的随机数N1，然后再传出随机数据N2，使用B公钥对密钥进行加密，并将密钥从A传递到B，B接受信息之后解签A签名数据，并验证传输数据，验证结果失败需要重新进行验证。 3.3 通信模块的设计与实现 身份认证需要在网络各个主体间进行，不同主体间的身份认证需要配合不同功能，其中网络通信是实现不同主体间身份认证的必要途径，通信模块可以在各个主体之间实现通信，并配置相应的通信子模块在主体之间传递信息。本次利用MFC当中的CasyncCocket类设计相应的接口，在C/S结构的基础之上实现局域网通信。 4 安全防护系统的设计与实现 4.1 Windows网络接口标准 安全防护系统总体设计方案是在Windows内核当中截获全部IP包。NDIS在Windows操作系统中具有重要作用，充当NIC与网络协议之间的桥梁。其中NDIS安置在MinpORT驱动程序之上，Miniport类似于数据链路层中界址访问的控制子层。 4.2 建立安全策略及子程序 Internet安全策略主要有应用层与网络层两个部分，将防火墙安置在网络层当中，展开过去的?稻莅?进行分析检测，避免网络防护体系中出现不必要的供给，并在网络运行之前、运行进程中不断进行自检，以发现存在的弊端与问题，并及时根据问题找到对应的解决措施，通过这样的自检方式不但能够及时发现网络具有的安全疏漏，同时还能够检查出网络系统错误配置情况。应用层对所有资源与用户进行全权授权管理，并对发生的事件创造一套记录体制与分析体制，保证网络数据的保密性与安全性。 4.3 数据包子系统设计与实现 只有当数据信息到达网络适配器之后，系统控制软件才可以启动相关的过滤软件，许可数据包通过适配器向上将数据信息传递给Miniport Driver，从而达到数据合成操作效果，并将数据传输到适宜的协议栈当中，系统在发送数据的过程当中，数据从应用层传输到网络层当中，直至到达NDIS，NDIS接受数据之后继续将其传输至Miniport Driver当中，然后将数据进一步传递到适配器以及物理网络当中，网卡获取数据形式为帧格式。 4.4 不同类型防火墙的融合应用 边界防火墙是安置在企业网络防护边界的防火墙，边界防火墙主要有应用级网关、代理服务器以及包过滤集中类型，其通过隔离内外网络的方式有效保护内边界网络的安全性，同时可以通过实时限制、检测、更改跨越式防火墙数据流的方式，最大程度对外屏蔽网络内部运行状况、结构以及信息等，同时防火墙也可以理解为分析器、限制器以及分离器，有效监控内部网络与Internet的数据交互，以实现对企业信息数据的全面管理。但是随着网络安全技术的深入发展，边界防火墙逐渐暴露出一定的缺陷，其内部防护不完善、受网络结构约束、故障点多以及效率不高等问题为企业网络防护体系安全性埋下了严重的安全隐患，分布式防火墙为提升企业内部网络的安全性提供了有力保障。分布式防火墙由客户端防火墙以及安全策略管理服务器组合而成，客户端防火墙中的个人计算机、工作站以及服务站根据安全策略文件中的内容采用脚本过滤、特洛伊木马以及包过滤的方式进行过滤检查，在确保计算机能够稳定运行的基础之上防止计算机受到恶意侵袭，提升了企业网络安全防护体系的安全性，企业在经营管理过程中采用不同防火墙优势融合互补的方式有效提升了企业网络体系的防御能力，确保企业内外部网络的稳定与安全。 5 结语 网络安全防护体系是一项系统性的工程，在互联网技术背景下，企业无论格局大小都需要高度重视网络信息防护系统的安全性，以避免企业重大数据信息遭到不法分子的窃取与利用，影响企业的可持续战略发展，为此企业需要根据网络安全防护需求，创建高效的网络安全防护体系，设计出身份认证体系与网络安全防护体系，以提升企业网络内外部防护能力，加强网络信息的安全性与保密性。 【参考文献】 【1】李常福.企业网络安全方案设计分析J.网络安全技术与应用，2017，12（03）：135+137. 【2】王尧.企业信息网络安全系统的设计