蘇巖

【摘 要】計算機網(wǎng)絡安全建設(shè)是涉及我國經(jīng)濟發(fā)展、社會發(fā)展和國家安全的重大問題。本文結(jié)合網(wǎng)絡安全建設(shè)的全面信息，在對網(wǎng)絡系統(tǒng)詳細的需求分析基礎(chǔ)上，依照計算機網(wǎng)絡安全設(shè)計目標和計算機網(wǎng)絡安全系統(tǒng)的總體規(guī)劃，設(shè)計了一個完整的、立體的、多層次的網(wǎng)絡安全防御體系。

【關(guān)鍵詞】網(wǎng)絡安全；設(shè)計實現(xiàn)；校園網(wǎng)絡

1 計算機網(wǎng)絡安全方案設(shè)計與實現(xiàn)概述

影響網(wǎng)絡安全的因素很多，保護網(wǎng)絡安全的技術(shù)、手段也很多。一般來說，保護網(wǎng)絡安全的主要技術(shù)有防火墻技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認證技術(shù)，等等。為了保護網(wǎng)絡系統(tǒng)的安全，必須結(jié)合網(wǎng)絡的具體需求，將多種安全措施進行整合，建立一個完整的、立體的、多層次的網(wǎng)絡安全防御體系，這樣一個全面的網(wǎng)絡安全解決方案，可以防止安全風險的各個方面的問題。

2 計算機網(wǎng)絡安全方案設(shè)計并實現(xiàn)

2.1 桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲在磁盤上，使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率，但同時也造成用戶的信息易受到攻擊，造成泄密。特別是對于移動辦公的情況更是如此。因此，需要對移動用戶的文件及文件夾進行本地安全管理，防止文件泄密等安全隱患。

2.2 病毒防護系統(tǒng)

（1）郵件防毒。采用趨勢科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件，實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒?？赏ㄟ^任何Notes工作站或Web界面遠程控管防毒管理工作，并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。

（2）服務器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，另一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署，管理和更新。

（3）客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡版的客戶端防毒系統(tǒng)，使管理者通過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。

（4）集中控管TVCS。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進行配置、監(jiān)視和維護趨勢科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務器的防病毒產(chǎn)品狀態(tài)。無論運行于何種平臺和位置，TVCS在整個網(wǎng)絡中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)代理部署，網(wǎng)絡的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報，給管理帶來極大的便利。

2.3 動態(tài)口令身份認證系統(tǒng)

動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上，結(jié)合生成動態(tài)口令的特點，加以精心修改，通過十次以上的非線性迭代運算，完成時間參數(shù)與密鑰充分的混合擴散。在此基礎(chǔ)上，采用先進的身份認證及加解密流程、先進的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。

2.4 訪問控制“防火墻”

單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡部分構(gòu)成，在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對網(wǎng)絡安全的重要隱患。本設(shè)計方案選用四臺網(wǎng)御防火墻，分別配置在高性能服務器和三個重要部門的局域網(wǎng)出入口，實現(xiàn)這些重要部門的訪問控制。

通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻，通過防火墻將網(wǎng)絡內(nèi)部不同部門的網(wǎng)絡或關(guān)鍵服務器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護了單位網(wǎng)絡服務器，使其不受來自內(nèi)部的攻擊，也保護了各部門網(wǎng)絡和數(shù)據(jù)服務器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡的攻擊。

2.5 信息加密、信息完整性校驗

為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的安全通道，通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。

SJW-22網(wǎng)絡密碼機系統(tǒng)組成

網(wǎng)絡密碼機（硬件）：是一個基于專用內(nèi)核，具有自主版權(quán)的高級通信保護控制系統(tǒng)。

本地管理器（軟件）：是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡或串口方式的網(wǎng)絡密碼機本地管理系統(tǒng)軟件。

中心管理器（軟件）：是一個安裝于中心管理平臺上的對全網(wǎng)的密碼機設(shè)備進行統(tǒng)一管理的系統(tǒng)軟件。

2.6 安全審計系統(tǒng)

根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法，“內(nèi)審”是對系統(tǒng)內(nèi)部進行監(jiān)視、審查，識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機密信息是否泄密，以解決內(nèi)層安全。

安全審計系統(tǒng)能幫助用戶對安全網(wǎng)的安全進行實時監(jiān)控，及時發(fā)現(xiàn)整個網(wǎng)絡上的動態(tài)，發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為，忠實記錄網(wǎng)絡上發(fā)生的一切，提供取證手段。作為網(wǎng)絡安全十分重要的一種手段，安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。 2.7 入侵檢測系統(tǒng)IDS

入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。從網(wǎng)絡安全的立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到人們的高度重視，這從國際入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。

根據(jù)網(wǎng)絡流量和保護數(shù)據(jù)的重要程度，選擇IDS探測器配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機處放置，核心交換機放置控制臺，監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。

2.8 漏洞掃描系統(tǒng)

聯(lián)動掃描系統(tǒng)支持多線程掃描，有較高的掃描速度，支持定時和多IP地址的自動掃描，網(wǎng)管人員可以很輕松的對自己的網(wǎng)絡進行掃描和漏洞的彌補。同時提供了Web方式的遠程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡拓撲結(jié)構(gòu)和添加其他的應用程序就可以輕輕松松的保證了網(wǎng)絡的安全性。另外對于信息點少、網(wǎng)絡環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻，對重點的服務器和網(wǎng)絡設(shè)備直接掃描防護，這樣保證了網(wǎng)絡安全隱患掃描儀和其他網(wǎng)絡安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能地消除安全隱患。

3 結(jié)束語

本文根據(jù)網(wǎng)絡安全系統(tǒng)設(shè)計的總體規(guī)劃，從桌面系統(tǒng)安全、病毒防護、身份鑒別、訪問控制、信息加密、信息完整性校驗、抗抵賴、安全審計、入侵檢測、漏洞掃描等方面安全技術(shù)和管理措施設(shè)計出一整套解決方案，目的是建立一個完整的、立體的、多層次的網(wǎng)絡安全防御體系。

【參考文獻】

[1]程艷旗.浙江大學智慧型校園探索[OL].百度文庫，2010，12：3-8.

[2]趙廣元.一種基于統(tǒng)一理念的整體數(shù)字校園構(gòu)建方案[J].西安郵電學院學報，2006，3（11）：131-134.

[3]陳洪濤.基于LDAP的空管用戶目錄服務系統(tǒng)構(gòu)建[J].計算機工程與設(shè)計，2010，31（19）：4205-4208.

[責任編輯：龐修平]