《网络安全防护系统设计及应用分析》-工学论文，计算机论文-论文范文参考-科学狗论文网

标题

网络安全防护系统设计及应用分析

范文

尹然然

摘要：网络系统安全是一项系统的工程，不论是大型或小型企业，网络信息系统的安全问题一直是管理者重点关注的问题。因此，在创建网络安全防御系统时，不能单一从安全技术交底出发，而要综合考虑风险、需求、管理规范等内容，如此方可建立一个高效、性价比高的网络安全防护系统。本文则结合企业对网络安全防护系统设计及应用探讨。

关键词：企业；网络安全防护；设计

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）20-0067-02

随着计算机网络技术的快速发展，现代企业日常管理也向着信息化的方向发展，办公信息是在自动化基础上，将传统办公职能转移至网络上实施信息化拓展，从而提升企业管理和运营的效率。但部分企业由于并未对计算机网络系统做好针对性的防护措施，从而付出极其惨痛的代价。有些具有远见的企业领导逐渐意识到企业信息化建设的重要性，陆续创建自己的网站及Intranet，并借助各种WAN线路与互联网连接。本课题深入分析企业网络系统可能出现的安全隐患，对企业办公网络应用中存在的窃取文档、破坏系统、传播病毒等安全问题，提出企业办公网络身份认证和安全防护系统的设计构想，以此满足企业办公网络对安全性的要求。

1 网络安全防护系统的身份认证系统设计

身份认证作为网络安全的重要组成部分，企业网络安全系统中设计基于RSA的认证系统，该系统为三方身份认证协议，其认证流程如图1。

1.1 申请认证模块的设计与实现

CA设置在企业主服务器上，本系统主要包含申请认证、身份认证、通信模块。其中，申请认证完成与申请认证相关的操作，该模块实现流程如下：用鼠标点击菜单项中的“申请证书”，弹出相应的认证界面。在申请书界面内，输入用户的姓名及密码，传递至CA认证。

CA接收到认证方所发出的名称和明码后，并将认证结果发送至申请证书方，当通过用户验证将公钥传给CA。CA接收申请证书一方传来的公钥，把其制作为证书发送给申请方，完成CA各项功能。申请方接收CA传来的证书后，保存至初始化文件.ini内。在申请方.ini文件内可以看见用户设置的公钥。

1.2 身份认证模块

实施身份认证的双方，依次点击菜单项中的身份认证项，打开相应的身份认证对话框，提出验证方的请求连接，以此为双方创建连接。双方相互认证流程见图2。

实际认证过程中，采用产生的随机数字N1、N2来抵抗攻击。B验证A证书有效后，获取自己的证书，产生随机数N1对其实施签名。随之把证书、签名的N1两条信息一起传递至A。A接收B发出的信息后，将其划分为两个部分，并验证B的身份同时获取B公钥。A验证B证书属于有效后，取出N传出的随机数N1，并产生随机数字N2，把密钥采用B公钥加密，最终把加密后的密钥采用A传送至B。B接受A发出的信息后，对A签名数据串进行解签，对传输的数据进行验证。如果验证失败，必须重新实施认证。实现代码如下：

1.3 通信模块的设计及实现

身份认证要在网络上各主体之间进行，因此，不同主体之间的身份认证需不同功能的配合，上述操作均要借助网络通信实现。通信模块实现与各个主体的通信，以此配置相应的通信子模块向主体间传递信息。本次设计采用MFC中的CasyncCocket类提供相应的接口，以此实现基于C/S结构的局域网通信。借助服务器方监听用户机发出的请求信息，达到双方通信的目的。通信模块服务器接受客户端请求实现代码如下：

2 网络安全防护系统的设计和应用

在网络安全防护系统设计中，主要目的是对企业内部信息安全起到保护作用，实现对各个协议和端口过滤操作，并实时监测网络的安全性。

2.1 Windos网络接口标准

安全防护系统总设计方案是基于Windows内核内截取所有IP包。在Windows操作系统内，NDIS发挥着重要的作用，其是网络协议与NIC之间的桥梁，Windows网络接口见图3。其中，在MinpORT驱动程序上设置NDIS，那么Miniport也就能够作为是数据链路层介质，以此对子层访问实施控制。

2.2 建立安全策略及子程序

Intranet安全策略主要划分为网络层和应用层，在网络层中设置一道防火墙，检测分析之前的数据包，以免出现不必要供给，实现主动性检测。不管是网络运行之前，还是运行过程中，均能够实施自检，从而发现自身存在的问题，并开展针对性的补救措施。它不仅能够对网络安全漏洞实施检测，并且还能够有效发现系统配置中存在的错误。应用层主要是管理用户及资源授权问题，对事件发生过程进行记录，确保数据的安全性和保密性。

2.3 数据包子系统设计及实现

如果数据到达网络适配器，那么系统控制软件则可以实施过滤操作，数据包则可以通过适配器传递给Miniport Driver。之后Miniport Driver把数据向上传送给NDIS，从而实现合成数据操作，输送至合适的协议栈（TCP/IP）。系统发送数据中，发送过程是从应用层到网络层，最后是到NDIS。在此流程之后数据包则被向下传递，直到Miniport Driver，最后是到物理网络和适配器中。由网卡获取数据则为帧格式的内容，数据类型如表1。

数据包过滤系统主要过滤IP数据包、UDP数据包、传输层TCP、应用层HTTP等。包过滤技术遵循 “允许或不允许”部分数据包通过防火墙，数据包过滤流程见图6。包过滤装置对数据包筛选通过，采用检查数据量中各数据包后，依据数据包源地址、TCP链路状态等明确数据包是否通过。

3结论

本文企业网络系统常见的安全隐患入手，深入分析企业对网络安全系统的需求，提出设计与实现身份认证系统和安全防护系统的步骤，以此提升企业网络信息的安全性，为企业更好地发展提供重要支持和辅助。

参考文献：

[1]王松.基于企业网络安全防护系统的设计与实施[J].建筑工程技术与设计，2015，37（23）：783-783.

[2]徐哲明.企业网络系统安全修补程序构架的设计[J].计算机安全，2013，17（8）：47-50.

[3]朱朝阳.企业网络安全防护信息管理系统的设计与实现[J].消费电子，2013，17（4）：69.

[4]谢俊.企业涉密网络信息安全防护模型构建与实现[J].大观周刊，2013，13（4）：68.

[5]张二峰.大中型企业网络安全威胁与防护技术浅析[J].计算机光盘软件与应用，2013，23（11）：134-135.

随便看

科学优质学术资源、百科知识分享平台，免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。