文 華

（新疆交通職業(yè)技術(shù)學(xué)院，新疆 烏魯木齊 831401）

計算機網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)

文 華

（新疆交通職業(yè)技術(shù)學(xué)院，新疆 烏魯木齊 831401）

計算機網(wǎng)絡(luò)環(huán)境存在復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性等特點，所以說網(wǎng)絡(luò)安全威脅是每時每刻客觀存在的。文章主要結(jié)合網(wǎng)絡(luò)安全建設(shè)進程中對安全風(fēng)險的分析來給出基于物理層、系統(tǒng)層以及病毒防御方面的網(wǎng)絡(luò)安全設(shè)計與實現(xiàn)方案。

計算機網(wǎng)絡(luò)；安全方案；風(fēng)險；設(shè)計；實現(xiàn)

計算機網(wǎng)絡(luò)安全方案的構(gòu)建主要基于安全對象與安全機制來考慮，其中安全對象就主要包括了網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫、信息以及設(shè)備等方面，同時還有對計算機病毒的有效防治。如圖1所示，以網(wǎng)絡(luò)OSI的7層模型來看，優(yōu)秀的網(wǎng)絡(luò)安全方案應(yīng)該貫穿于計算機信息系統(tǒng)中的4個層，即應(yīng)用層、網(wǎng)絡(luò)層、鏈路層和物理層。

1 計算機系統(tǒng)網(wǎng)絡(luò)安全的相關(guān)風(fēng)險分析

計算機系統(tǒng)在建立網(wǎng)絡(luò)安全體系時應(yīng)該全面考慮其各個方面的安全要素，從網(wǎng)絡(luò)層到物理層再到系統(tǒng)層，要做到以不變應(yīng)萬變，明確網(wǎng)絡(luò)安全體系建設(shè)中所存在的風(fēng)險。

圖1 計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)圖

1.1 物理層

物理層是網(wǎng)絡(luò)系統(tǒng)安全的大前提，目前比較常見的計算機系統(tǒng)物理安全風(fēng)險就包括了諸如地震、臺風(fēng)、洪澇、火災(zāi)等不可避免的自然環(huán)境災(zāi)害。其次還包括了電源故障、設(shè)備故障、由操作系統(tǒng)引導(dǎo)失敗所造成的數(shù)據(jù)庫損壞與大量信息丟失。再者電磁輻射也是對計算機系統(tǒng)物理層傷害較大的風(fēng)險，最后就是某些企業(yè)的重大網(wǎng)絡(luò)信息數(shù)據(jù)庫不能保證高標(biāo)準(zhǔn)的機密信息物理隔離，造成安全風(fēng)險問題。總體而言，物理層安全威脅能夠直接導(dǎo)致設(shè)備及計算機系統(tǒng)損壞，致使網(wǎng)絡(luò)不可用，而數(shù)據(jù)信息也會丟失。

1.2 系統(tǒng)層

系統(tǒng)層主要由服務(wù)器、交換機、工作站等環(huán)節(jié)組成，而服務(wù)器上就包括了計算機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)與軟件系統(tǒng)這些關(guān)鍵環(huán)節(jié)。系統(tǒng)層一旦被利用或被攻擊，為企業(yè)所帶來的損失也是不可估量的，具體來說，系統(tǒng)層的風(fēng)險主要體現(xiàn)在以下3點。

第一，操作系統(tǒng)是存在安全風(fēng)險的，因為操作系統(tǒng)的安全性決定了系統(tǒng)安全管理的重要基礎(chǔ)，所以當(dāng)Web服務(wù)器、門戶服務(wù)器、外部數(shù)據(jù)交換服務(wù)器等存在信息安全漏洞時，就會導(dǎo)致安全操作系統(tǒng)崩潰，使計算機宕機。

第二，數(shù)據(jù)庫的安全風(fēng)險會影響企業(yè)的信息資產(chǎn)安全保護工作，如果企業(yè)沒有高可用性和備份恢復(fù)等安全保障機制，數(shù)據(jù)庫安全管理體系就會出現(xiàn)問題。

第三，桌面應(yīng)用系統(tǒng)也存在安全風(fēng)險。因為該系統(tǒng)是需要性能優(yōu)化的，無論它采用的是B/S抑或是C/S應(yīng)用模式，如果系統(tǒng)管理或使用不當(dāng)，非法信息就會通過系統(tǒng)安全管理員通道入口進入桌面應(yīng)用系統(tǒng)，造成系統(tǒng)口令或通信密碼的遺失各對外泄露。

1.3 病毒

計算機病毒是附著于系統(tǒng)文件上的小程序。病毒能夠以各種形態(tài)、各種渠道來進入計算機系統(tǒng)，造成系統(tǒng)安全威脅。例如病毒就能直接突破系統(tǒng)的訪問控制環(huán)節(jié)，直接進入系統(tǒng)竊取信息，導(dǎo)致文件丟失和計算機死機等問題發(fā)生，這是目前計算機網(wǎng)絡(luò)安全的最不安定因素［1］。

2 基于風(fēng)險防御的計算機網(wǎng)絡(luò)安全方案設(shè)計與應(yīng)用實現(xiàn)

影響網(wǎng)絡(luò)安全的因素眾多，為此也要提出相關(guān)的網(wǎng)絡(luò)安全保護技術(shù)措施，例如物理隔離系統(tǒng)、病毒防御、動態(tài)口令身份認(rèn)證系統(tǒng)等等。

2.1 物理隔離安全方案設(shè)計與實現(xiàn)

2.1.1 物理隔離的相關(guān)理論闡述

一般情況下物理隔離卡應(yīng)該應(yīng)用于雙布線網(wǎng)絡(luò)環(huán)境中，它是典型的數(shù)據(jù)安全設(shè)備，它擁有兩塊獨立硬盤以便于它能應(yīng)用于兩種網(wǎng)絡(luò)環(huán)境中，其中一塊硬盤應(yīng)用于外網(wǎng)，一塊硬盤應(yīng)用于內(nèi)網(wǎng)，且兩塊硬盤支持兩塊主板和兩個獨立操作系統(tǒng)，擁有單獨的專用接口與網(wǎng)絡(luò)連接，對硬盤通道實現(xiàn)完全控制。這樣的操作下，網(wǎng)絡(luò)連接與通訊線路是隔離的，繼電器與內(nèi)外網(wǎng)之間的網(wǎng)絡(luò)轉(zhuǎn)換連接也是隔離的，兩塊硬盤則絕對隔離。在這種多隔離環(huán)境下，兩塊硬盤之間就不存在任何共享數(shù)據(jù)，這樣做的好處就在于它能夠徹底阻擋外部黑客進入未授權(quán)區(qū)域通路，降低了信息泄露以及被破壞的可能性。而系統(tǒng)中的用戶也可以根據(jù)企業(yè)自身工作需要來進行內(nèi)外網(wǎng)絡(luò)之間的來回轉(zhuǎn)換。

2.1.2 物理隔離方案的設(shè)計及應(yīng)用

該套物理隔離方案在轉(zhuǎn)換方面相當(dāng)自由，可以在內(nèi)網(wǎng)與外網(wǎng)之間來回切換，而且它也提供兩種切換方式：以按鈕切換為主的硬切換方式以及以軟件切換為主的軟切換方式。另外，物理隔離層也不依賴任何操作系統(tǒng)，它不但可以應(yīng)用于IED-ATA硬盤的PC系統(tǒng)端，也可以應(yīng)用于局域網(wǎng)端，適應(yīng)不同網(wǎng)絡(luò)環(huán)境下的物理隔層設(shè)計及應(yīng)用。最后，它對網(wǎng)絡(luò)技術(shù)要求不高，且其網(wǎng)路IP協(xié)議也是完全透明可見的，在后期運維操作方面也相當(dāng)簡便，無需進行專門維護。

2.2 病毒防御安全方案設(shè)計與實現(xiàn)

目前企業(yè)計算機網(wǎng)絡(luò)安全方案設(shè)計在病毒防御這一塊主要基于4點設(shè)計：郵件防毒、服務(wù)器防毒、客戶端防毒以及趨勢病毒控制系統(tǒng)（Trend Virus Control System，TVCS）。

首先說郵件防毒，它所采用的是ScanMail for Lotus Notes技術(shù)產(chǎn)品，該產(chǎn)品能夠與Domino群件服務(wù)器形成無縫連接，并合理嵌入到Notes數(shù)據(jù)庫中，防止絕大多數(shù)病毒入侵Lotue Notes數(shù)據(jù)庫，杜絕電子郵件被盜取狀況的發(fā)生。這種技術(shù)能夠?qū)崿F(xiàn)實時掃描和清除隱藏于數(shù)據(jù)庫或郵件附件中的網(wǎng)絡(luò)木馬病毒，也可以通過遠(yuǎn)程管控來進行相應(yīng)的防毒管理工作，同時也能實時提供病毒流量活動監(jiān)控記錄，是非常好用的郵件防毒軟件。

其次是服務(wù)器防毒，它主要運用到了ServerProtect軟件，該軟件分為防毒與管理兩大模塊且分開安裝，它一方面能夠降低防毒系統(tǒng)對原系統(tǒng)的不利影響，一方面也能對服務(wù)器防毒系統(tǒng)進行行之有效的單點部署，實現(xiàn)軟件日常管理與更新行為。

第三是客戶端防毒，它所采用的是OfficeScan，它也擁有單點控制功能，可以控制所有客戶端上的防毒模塊，并進行自動的模塊更新和集中部署，最重要的是它并不受制于Windows域管理模式，除常規(guī)支持用戶登錄域腳本、SMS和共享安裝以外，它也支持單純的Web部署方式，應(yīng)用實用性很強。

最后是集中管控TVCS，它是典型的網(wǎng)絡(luò)防毒工具，而且它的可控制范圍及可配置范圍很大，可以監(jiān)視和維護整個企業(yè)區(qū)域的所有計算機系統(tǒng)，且它支持跨域、跨平臺、跨網(wǎng)段管理，實時顯示服務(wù)器防病毒產(chǎn)品工作狀態(tài)。當(dāng)TVCS運行于某一平臺時，它就會起到獨立的管理控制臺作用，實現(xiàn)對各類軟件的簡便安裝，同時分發(fā)代理部署各種數(shù)據(jù)信息，分析和統(tǒng)計病毒功能。另外，它還能自動下載病毒代碼文件，擁有病毒爆發(fā)報警設(shè)計，這也為計算機網(wǎng)絡(luò)系統(tǒng)管理帶來極大福音［2］。

2.3 動態(tài)口令身份認(rèn)證安全方案設(shè)計與實現(xiàn)

現(xiàn)有的計算機網(wǎng)絡(luò)安全方案有必要加入動態(tài)口令身份認(rèn)證系統(tǒng)，從而發(fā)揮它的抗截獲攻擊能力、抗實物解剖能力以及抗窮舉攻擊能力。

具體來說，企業(yè)網(wǎng)絡(luò)可以采用動態(tài)口令身份認(rèn)證安全系統(tǒng)，針對該系統(tǒng)主要包括以下4個模塊的設(shè)計：認(rèn)證系統(tǒng)管理模塊、UAM賬號管理服務(wù)器模塊、RADIU認(rèn)證服務(wù)器模塊以及帶有網(wǎng)絡(luò)接入服務(wù)器功能的虛擬專用網(wǎng)（Virtual Private Network，VPN）防火墻。

該動態(tài)口令身份認(rèn)證安全系統(tǒng)的設(shè)計主要希望實現(xiàn)以下4種應(yīng)用：第一，可以自由控制口令使用次數(shù)及時效，抵御重播攻擊行為；第二，采用開放應(yīng)用程序接口，與應(yīng)用系統(tǒng)形成聯(lián)動，更便于系統(tǒng)集成；第三，確保用戶端設(shè)計的精致小巧，同時保證系統(tǒng)運行性能穩(wěn)定；第四，彌補靜態(tài)口令中所存在的諸多缺陷，例如它優(yōu)化了網(wǎng)絡(luò)數(shù)據(jù)流竊聽功能、認(rèn)證信息截獲與重放功能、窮舉嘗試功能以及字典攻擊功能［3］。

3 結(jié)語

總而言之，對于特定的計算機系統(tǒng)而言，其網(wǎng)絡(luò)安全建設(shè)方案應(yīng)該基于對網(wǎng)絡(luò)風(fēng)險的有效分析上，并結(jié)合實際狀況來進行調(diào)整、規(guī)劃、設(shè)計和應(yīng)用?？紤]到系統(tǒng)中各個部分應(yīng)用功能不同，所以不能為計算機系統(tǒng)給出一個固定的安全設(shè)計方案，而是要審時度勢，根據(jù)新的計算機威脅來對癥下藥，制定一系列行之有效的計算機網(wǎng)絡(luò)安全方案。

［1］韓慧蓮，徐力，龔清勇，等.基于企業(yè)的計算機網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)［J］.華北工學(xué)院學(xué)報，2005（3）：187-192.

［2］謝雪勝.計算機網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)［D］.合肥：合肥工業(yè)大學(xué)，2006.

［3］秦靖偉.企業(yè)的計算機網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)分析［J］.科技與生活，2012（21）：142-142，153.

Design and implementation of computer network security

Wen Hua

（Xinjiang Vocational and Technical College of Communications，Urumqi 831401，China）

Because of the characteristics of complexity of network environment，variability and vulnerability of the information system，the network security threat is the objective existence in every moment.This paper combined with the analysis of security risk in the construction process of network，giving methods based on the physical layer，the design and implementation of network security system and virus defense layer.

computer network；safety scheme；risk；design；implementation

文華（1980—），女，四川遂寧，講師。