论文部分内容阅读
摘 要:针对在解决网络安全问题中具有重要作用的网络信息安全系统,在简述系统设计基本要求的基础上,对系统规划设计和应用进行深入分析,以此为保证网络信息安全提供有效的技术解决方案。
关键词:网路安全;CA技术;网络信息安全系统
中图分类号:TP393.08 文献标识码:A 文章编号:1004-7344(2019)03-0212-02
随着社会向网络时代的不断迈进,网络安全这一问题日益突出,受到了很多人的高度重视。对此,需要根据网络信息安全及其管理现状,引入各项先进技术,建立完善有效的网络信息安全系统。
1 系统设计基本要求
利用CA等技术构建系统时,其目的在于保障网络信息及系统自身的安全,并通过对相应数字证书的合理应用,为用户提供不同的安全服务,在系统设计过程中,需要切实满足下列基本要求:
(1)由于不同用户有不同身份,管理难度相对较大,因此要建立具有全局性与统一性的身份,以此提高用户管理水平,并实现对信息的统一整合。
(2)由于信息资源较为混乱,所以要制定有效措施加以解决,比如对系统数据进行统一管理,无论是硬件管理还是人员管理,都应实现统一[1]。
(3)对信息进行存储、传输和应用时,加强系统环境的有效保护,保证信息使用过程中的稳定性与安全性。
(4)考虑到不同应用系统间具有独立性,使授权混乱,所以要制定专门的对策,采用目录管理等有效方式,对用户名进行授权,以此对系统运行各项资源进行管理,从而为之后的系统开发提供各类全新的接口。
(5)因对用户模块进行管理时所用系统较为混乱,所以应采用建立分权的方法在全局范围内实施有效管理。
(6)对信息资源、用户和应用系统进行管理时所使用的系统,应建立关联性来实现管理,于总体系统上实现集成。
对网络信息安全系统进行设计的过程中,建议采用两种身份信息来验证,分别为常用的用户名和口令验证与数字证书验证。
2 系統规划设计
2.1 整体框架
系统建立时要用到CA等先进技术,将B/S与C/S两种模式结合到一起,实现系统开发。此时,将CA和802.1X两项技术连接到一起,然后借助WinPcap,对用户实施身份验证,通过检查确认是否存在违规操作,并确定用户信息及其控制权限。
在本次系统规划设计过程中,将CA技术作为基础,其目录服务功能主要为对各类信息资源、程序进行管理。这一技术在数字证书系统中具有重要作用,可提供全面的目录服务,这一部分可对多种应用及用户实施统一性与协调性管理。同时,CA技术还自带接口包,利用该程序能对其它形式的中间服务予以访问控制,并基于网络环境实现和其它设备之间的充分结合,以此构建一套完整的系统,保证系统设计可操作性及实效性[2]。
2.2 基于CA技术的数字证书系统
对系统进行改善时,可借助CA技术进行系统优化,将证书管理与颁发机构和标准服务器等作为依据,统一管理不同用户的证书标识,为用户提供不同的身份验证功能,达到保证系统安全性目标。系统设计过程中,利用证书具有的扩展性,满足不同用户提出的个性化需求,从而保证系统的全面性。
2.3 功能设计
本次设计的系统,其功能主要包括以下几种:
(1)身份认证功能
传统的密码验证方法安全性较低,并且在大型企业与政府内网中往往不适用。对此,应对身份认证与结点认证进行整合,以此保证系统的安全性。
(2)终端节点控制功能
对终端进行检测,确认是否和现有代理服务器可靠连接,以及是否和外网间实现私连,若通过检测确认系统存在异常,则立即进行自动报警。
(3)终端结点的接入检查和发现
扫描系统的拓扑结构,收集结点网中所有信息,并构建以这一系统为基础的拓扑结构,并对接入内网各个节点进行分析,确认是否合法合规,最后对违法的和对网络信息安全有威胁的行为予以限制。
(4)行为监控节点
充分利用CA等先进技术,于系统中实现权限分配,对所有主机端口予以动态监控,并对主机运行进程进行监视。当发现存在违规情况时,立即进行报警[3]。
2.4 软件设计
服务端系统主要利用Java来设计,但驱动和应用程序都利用C++来开发,这主要是因为采用C++能良好完成数据交互,并提高数据处理速度。对系统进行软件设计,实际上也是对用户证书进行认证的具体过程。
(1)系统的客户端可以向服务器传输请求;
(2)该服务器向以CA技术为核心的服务器传输请求;
(3)二级审核员开始检查;
(4)一级审核员开始检查;
(5)由签发人员进行证书签字,同时把相应的数据传递至目录功能;
(6)对以CA技术为核心的服务器请求进行显示;
(7)将信息发送给系统客户端,并于系统中除了能满足申请人各项需求,还能把证书储存至个人盘当中。
2.5 目录服务系统的规划设计
构建目录信息树,为用户及各类资源实施集中管理与授权。以实际需求为依据,在目录树基础上实现目录服务构建,通过这样的方式,能使主、辅服务器均可使数据负载保持平衡,对组织机构、信息表及用户等施以集中管理,将所有人员的数据都整合到一起。 (1)扩展目录的设计
①应用扩展项:完成信息扩展,和网路应用系统及应用模块良好适应。
②组织扩展项:完成信息扩展,使不同的单位及组织机构能够良好适应。
③用户扩展项:完成信息扩展,符合所有员工基本信息的需求。
④设备扩展项:完成扩展,满足设备信息及静态资源基本需求。
(2)部署目录
配置网络当中必须有两个不同的LDAP服务器,其中一个安装于相对较远但网络保持通畅的地方,另外一个安装于信息中心。其中,信息中心服务器采用Master LDAP Server,设置在远地的服务器,采用Slave LDAP Server,使系统实现同步化复制,赋予同步的功能,然后进行负载均衡的安装,保证系统运行效果。对数据库进行修改的过程中,由中心服务器实现。对部署目录进行设计实际上就是构建具有集中式特征的主从结构。
(3)数据安全控制
即用户进行身份验证的过程中,对绑定的信息与服务器予以定义,并通过ACI完成目录信息浏览及管理。在用户完成自身请求后,开始身份验证,此时服务器将采用搜索等有效方式来充分发挥自身权限。访问时能对各条目集实施访问权限有效控制。除此之外,还能通过用户角色或用户组等建立来达到权限访问控制目标[4]。
(4)目录分级管理
以组织结构為依据利用分级的方式进行设计管理。构建具有良好统一性的中心平台,由此管理每一个节点子树。与此同时,安排一名二级管理人员,对二级单位中所有子树目录进行管理。对二级单位而言,可将自身结构特征为依据,构建三级单位及其节点和相应的管理人员。
2.6 系统应用
完成系统设计后,对其进行测试,以确定系统能否达到实际要求。通过长时间和多次的检测,判断系统运行是否稳定,并对各个模块实际应用予以检测。在本次系统设置当中,与终端检测时能将完成装订的程序采用exe的格式来打开。安装前,实现自动安装。经测试发现,通过对这一系统的应用,各个设备的端口能在开启及关闭时稳定、正常的工作,并在异常出现时立即报警。
对网络信息安全系统进行设计时,需要完成接入认证功能设计、身份验证功能设计、网络访问限制功能设计。上述设计均能很好的满足当前需求,发挥出明显的认真效果,而且系统本身也具有良好稳定性。通过测试可知,该系统的应用能从根本上提高网络信息安全性,使系统保持稳定,符合各级用户对网络提出的安全需求。
3 结束语
通过构建网络信息安全系统,能有效保护各级用户自身信息安全,限制未授权就进行的用户访问行为,进而为各级用户提供安全可靠的网络环境
参考文献
[1]程 宇.电力系统网络信息安全风险防范措施研究[J].现代工业经济和信息化,2018,8(16):79~80.
[2]杨 洋.信息化管理视角下校园网络信息安全问题探析[J].数字通信世界,2018(12):153.
[3]吴祥龙,陆 烨,陈少达.关于提高电力系统计算机网络信息安全水平的研究[J].中国新通信,2018,20(21):169.
[4]张建生,张小红,彭林华.大数据背景下计算机网络信息安全及防护对策[J].信息与电脑(理论版),2018(20):198~200.
收稿日期:2018-12-7
作者简介:潘献威(1986-),男,瑶族,广西贺州人,本科,主要从事计算机信息安全及网络规划等工作。
关键词:网路安全;CA技术;网络信息安全系统
中图分类号:TP393.08 文献标识码:A 文章编号:1004-7344(2019)03-0212-02
随着社会向网络时代的不断迈进,网络安全这一问题日益突出,受到了很多人的高度重视。对此,需要根据网络信息安全及其管理现状,引入各项先进技术,建立完善有效的网络信息安全系统。
1 系统设计基本要求
利用CA等技术构建系统时,其目的在于保障网络信息及系统自身的安全,并通过对相应数字证书的合理应用,为用户提供不同的安全服务,在系统设计过程中,需要切实满足下列基本要求:
(1)由于不同用户有不同身份,管理难度相对较大,因此要建立具有全局性与统一性的身份,以此提高用户管理水平,并实现对信息的统一整合。
(2)由于信息资源较为混乱,所以要制定有效措施加以解决,比如对系统数据进行统一管理,无论是硬件管理还是人员管理,都应实现统一[1]。
(3)对信息进行存储、传输和应用时,加强系统环境的有效保护,保证信息使用过程中的稳定性与安全性。
(4)考虑到不同应用系统间具有独立性,使授权混乱,所以要制定专门的对策,采用目录管理等有效方式,对用户名进行授权,以此对系统运行各项资源进行管理,从而为之后的系统开发提供各类全新的接口。
(5)因对用户模块进行管理时所用系统较为混乱,所以应采用建立分权的方法在全局范围内实施有效管理。
(6)对信息资源、用户和应用系统进行管理时所使用的系统,应建立关联性来实现管理,于总体系统上实现集成。
对网络信息安全系统进行设计的过程中,建议采用两种身份信息来验证,分别为常用的用户名和口令验证与数字证书验证。
2 系統规划设计
2.1 整体框架
系统建立时要用到CA等先进技术,将B/S与C/S两种模式结合到一起,实现系统开发。此时,将CA和802.1X两项技术连接到一起,然后借助WinPcap,对用户实施身份验证,通过检查确认是否存在违规操作,并确定用户信息及其控制权限。
在本次系统规划设计过程中,将CA技术作为基础,其目录服务功能主要为对各类信息资源、程序进行管理。这一技术在数字证书系统中具有重要作用,可提供全面的目录服务,这一部分可对多种应用及用户实施统一性与协调性管理。同时,CA技术还自带接口包,利用该程序能对其它形式的中间服务予以访问控制,并基于网络环境实现和其它设备之间的充分结合,以此构建一套完整的系统,保证系统设计可操作性及实效性[2]。
2.2 基于CA技术的数字证书系统
对系统进行改善时,可借助CA技术进行系统优化,将证书管理与颁发机构和标准服务器等作为依据,统一管理不同用户的证书标识,为用户提供不同的身份验证功能,达到保证系统安全性目标。系统设计过程中,利用证书具有的扩展性,满足不同用户提出的个性化需求,从而保证系统的全面性。
2.3 功能设计
本次设计的系统,其功能主要包括以下几种:
(1)身份认证功能
传统的密码验证方法安全性较低,并且在大型企业与政府内网中往往不适用。对此,应对身份认证与结点认证进行整合,以此保证系统的安全性。
(2)终端节点控制功能
对终端进行检测,确认是否和现有代理服务器可靠连接,以及是否和外网间实现私连,若通过检测确认系统存在异常,则立即进行自动报警。
(3)终端结点的接入检查和发现
扫描系统的拓扑结构,收集结点网中所有信息,并构建以这一系统为基础的拓扑结构,并对接入内网各个节点进行分析,确认是否合法合规,最后对违法的和对网络信息安全有威胁的行为予以限制。
(4)行为监控节点
充分利用CA等先进技术,于系统中实现权限分配,对所有主机端口予以动态监控,并对主机运行进程进行监视。当发现存在违规情况时,立即进行报警[3]。
2.4 软件设计
服务端系统主要利用Java来设计,但驱动和应用程序都利用C++来开发,这主要是因为采用C++能良好完成数据交互,并提高数据处理速度。对系统进行软件设计,实际上也是对用户证书进行认证的具体过程。
(1)系统的客户端可以向服务器传输请求;
(2)该服务器向以CA技术为核心的服务器传输请求;
(3)二级审核员开始检查;
(4)一级审核员开始检查;
(5)由签发人员进行证书签字,同时把相应的数据传递至目录功能;
(6)对以CA技术为核心的服务器请求进行显示;
(7)将信息发送给系统客户端,并于系统中除了能满足申请人各项需求,还能把证书储存至个人盘当中。
2.5 目录服务系统的规划设计
构建目录信息树,为用户及各类资源实施集中管理与授权。以实际需求为依据,在目录树基础上实现目录服务构建,通过这样的方式,能使主、辅服务器均可使数据负载保持平衡,对组织机构、信息表及用户等施以集中管理,将所有人员的数据都整合到一起。 (1)扩展目录的设计
①应用扩展项:完成信息扩展,和网路应用系统及应用模块良好适应。
②组织扩展项:完成信息扩展,使不同的单位及组织机构能够良好适应。
③用户扩展项:完成信息扩展,符合所有员工基本信息的需求。
④设备扩展项:完成扩展,满足设备信息及静态资源基本需求。
(2)部署目录
配置网络当中必须有两个不同的LDAP服务器,其中一个安装于相对较远但网络保持通畅的地方,另外一个安装于信息中心。其中,信息中心服务器采用Master LDAP Server,设置在远地的服务器,采用Slave LDAP Server,使系统实现同步化复制,赋予同步的功能,然后进行负载均衡的安装,保证系统运行效果。对数据库进行修改的过程中,由中心服务器实现。对部署目录进行设计实际上就是构建具有集中式特征的主从结构。
(3)数据安全控制
即用户进行身份验证的过程中,对绑定的信息与服务器予以定义,并通过ACI完成目录信息浏览及管理。在用户完成自身请求后,开始身份验证,此时服务器将采用搜索等有效方式来充分发挥自身权限。访问时能对各条目集实施访问权限有效控制。除此之外,还能通过用户角色或用户组等建立来达到权限访问控制目标[4]。
(4)目录分级管理
以组织结构為依据利用分级的方式进行设计管理。构建具有良好统一性的中心平台,由此管理每一个节点子树。与此同时,安排一名二级管理人员,对二级单位中所有子树目录进行管理。对二级单位而言,可将自身结构特征为依据,构建三级单位及其节点和相应的管理人员。
2.6 系统应用
完成系统设计后,对其进行测试,以确定系统能否达到实际要求。通过长时间和多次的检测,判断系统运行是否稳定,并对各个模块实际应用予以检测。在本次系统设置当中,与终端检测时能将完成装订的程序采用exe的格式来打开。安装前,实现自动安装。经测试发现,通过对这一系统的应用,各个设备的端口能在开启及关闭时稳定、正常的工作,并在异常出现时立即报警。
对网络信息安全系统进行设计时,需要完成接入认证功能设计、身份验证功能设计、网络访问限制功能设计。上述设计均能很好的满足当前需求,发挥出明显的认真效果,而且系统本身也具有良好稳定性。通过测试可知,该系统的应用能从根本上提高网络信息安全性,使系统保持稳定,符合各级用户对网络提出的安全需求。
3 结束语
通过构建网络信息安全系统,能有效保护各级用户自身信息安全,限制未授权就进行的用户访问行为,进而为各级用户提供安全可靠的网络环境
参考文献
[1]程 宇.电力系统网络信息安全风险防范措施研究[J].现代工业经济和信息化,2018,8(16):79~80.
[2]杨 洋.信息化管理视角下校园网络信息安全问题探析[J].数字通信世界,2018(12):153.
[3]吴祥龙,陆 烨,陈少达.关于提高电力系统计算机网络信息安全水平的研究[J].中国新通信,2018,20(21):169.
[4]张建生,张小红,彭林华.大数据背景下计算机网络信息安全及防护对策[J].信息与电脑(理论版),2018(20):198~200.
收稿日期:2018-12-7
作者简介:潘献威(1986-),男,瑶族,广西贺州人,本科,主要从事计算机信息安全及网络规划等工作。