王澤巖

摘要：企事業(yè)單位安全服務(wù)互聯(lián)網(wǎng)絡(luò)系統(tǒng)的架設(shè)需要考慮硬件與軟件兩個(gè)層面的問題。在硬件層面，更多的應(yīng)思考滿足局內(nèi)部用戶的基本網(wǎng)絡(luò)使用需求，并在保證正常互聯(lián)網(wǎng)使用的前提下，提升網(wǎng)絡(luò)的安全性、可靠性，并考慮每一臺(tái)網(wǎng)絡(luò)安全設(shè)備的兼容性。在軟件層面，更多的應(yīng)思考與硬件設(shè)備的協(xié)同能力，并確保防護(hù)軟件涵蓋每一用戶。

關(guān)鍵詞：企事業(yè)單位;網(wǎng)絡(luò);安全;硬件

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）26-0277-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

Abstract： The establishment of Internet security service system in enterprises and institutions needs to consider two aspects： hardware and software. At the hardware， more consideration should be given to meeting the basic network use needs of users， and on the premise of guaranteeing the normal use of the Internet， improving the security and reliability of the network， and considering the compatibility of each network security device. At the software， more consideration should be given to the ability to cooperate with hardware devices and to ensure that protective software covers every user.

Key words： enterprises and institutions; network; safe; Hardware;

我們身處在一個(gè)網(wǎng)絡(luò)技術(shù)高速發(fā)展的時(shí)代，在這個(gè)時(shí)代里，人們的生活越來越便捷，通過網(wǎng)絡(luò)與傳統(tǒng)辦公方式的結(jié)合，人們的辦公效率越來越高。然而，伴隨著這些優(yōu)點(diǎn)，網(wǎng)絡(luò)系統(tǒng)安全威脅也迅速增加，各種網(wǎng)絡(luò)攻擊手段，極易造成重要文件外泄、網(wǎng)絡(luò)被非法控制、軟硬件損壞等一系列破壞性后果。與此同時(shí)，隨著中美貿(mào)易戰(zhàn)不斷深化，外國敵對(duì)勢(shì)力對(duì)中國的滲透活動(dòng)繼續(xù)加劇。因此，對(duì)于互聯(lián)網(wǎng)用戶數(shù)在中等規(guī)模的企事業(yè)單位，建立一個(gè)安全可靠的安全服務(wù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)便迫在眉睫。

1 硬件組成和結(jié)構(gòu)

在網(wǎng)路的物理層部署若干Hub;在數(shù)據(jù)鏈路層部署兩臺(tái)匯聚交換機(jī)和多個(gè)接入交換機(jī);在網(wǎng)絡(luò)層部署一臺(tái)核心交換機(jī);會(huì)話層的網(wǎng)關(guān)設(shè)置為255.255.255.0，可用地址的最大數(shù)量為256-2=254個(gè)，可以保證一定數(shù)量用戶的使用規(guī)模;在應(yīng)用層部署1臺(tái)防火墻、1臺(tái)防毒墻、1臺(tái)入侵防御設(shè)備、1臺(tái)漏洞掃描安全設(shè)備、1臺(tái)安全審計(jì)行為管理設(shè)備。OSI圖如圖1所示。

1.1 網(wǎng)絡(luò)層及以下分析

因內(nèi)部物理空間過大，用戶分布零散，因此設(shè)立兩個(gè)網(wǎng)段對(duì)于互聯(lián)網(wǎng)進(jìn)行管理，在用戶所在辦公室部署Hub提供多個(gè)用戶的接入，并根據(jù)層數(shù)、辦公室所在方位設(shè)立節(jié)點(diǎn)，部署多個(gè)接入交換機(jī)，并在機(jī)房部署匯聚交換機(jī)和核心交換機(jī)。以用于分割兩個(gè)網(wǎng)段，并做好傳輸層以及以上層的連接工作。

1.2 應(yīng)用層分析

1.2.1防火墻

在應(yīng)用層部署防火墻，確?；ヂ?lián)網(wǎng)運(yùn)行的安全性，提升信息安全保護(hù)技術(shù)。防火墻性能參數(shù)應(yīng)達(dá)到網(wǎng)絡(luò)層吞吐量不少于兩位數(shù)，單位為G，同時(shí)的并發(fā)連接不少于百萬位，以秒為單位的新建立連接不少于十萬位，以抵御最新的網(wǎng)絡(luò)攻擊;可手工指定、802.3ad協(xié)議等方式將多個(gè)物理口綁定為一個(gè)邏輯接口。可與桌面防病毒軟件或終端管理軟件連接;支持DS-Lite CPE B4功能，支持從DHCPv6服務(wù)器或手動(dòng)方式獲取AFTR參數(shù)。

1.2.2防毒墻

在應(yīng)用層部署防毒墻，可提升互聯(lián)網(wǎng)整體的防病毒能力。防火墻防毒性能應(yīng)http≥4Gbps;處理能力滿足萬兆網(wǎng)絡(luò)運(yùn)行要求，能夠?qū)κ忻嫔现髁鞯膮f(xié)議如TTP/FTP等進(jìn)行病毒檢測(cè)并隔離殺死的操作;在數(shù)據(jù)包和數(shù)據(jù)流的兩個(gè)層次的病毒進(jìn)行檢查測(cè)試，有著龐大的病毒規(guī)則過濾;支持基于MD5的自定義病毒簽名、支持設(shè)置異常功能、不檢測(cè)和殺滅特定病毒功能;支持關(guān)聯(lián)分析面板，可關(guān)聯(lián)頂級(jí)威脅、頂級(jí)URL分類、頂級(jí)源地址、頂級(jí)目標(biāo)地址等信息，支持任意數(shù)據(jù)鉆取以過濾為條件的元素。

1.2.3入侵防御設(shè)備

在應(yīng)用層部署入侵防御設(shè)備可以提高網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)能力。入侵防御設(shè)備應(yīng)滿足網(wǎng)絡(luò)層吞吐≥9Gbps，IPS吞吐≥5Gbps?？赏ㄟ^授權(quán)自動(dòng)切換成入侵檢測(cè)產(chǎn)品，并進(jìn)行行為捕捉和發(fā)現(xiàn)。

1.2.4漏洞掃描安全設(shè)備

在應(yīng)用層部署漏洞掃描安全設(shè)備，以增強(qiáng)對(duì)漏洞的網(wǎng)絡(luò)掃描能力;系統(tǒng)掃描IP地址不限，支持掃描A、B、C類地址;在運(yùn)行狀態(tài)時(shí)，應(yīng)支持百位數(shù)級(jí)別同時(shí)的IP地址掃描，并且可掃描的漏洞庫列表應(yīng)大于十萬級(jí)別，可以提供詳細(xì)的解決方案，應(yīng)對(duì)措施。并且同樣具備對(duì)主流的如FTP、SSH等協(xié)議進(jìn)行的口令破解猜測(cè);并且具備高度的兼容性，應(yīng)包含操作系統(tǒng)以及各種網(wǎng)絡(luò)設(shè)備等的漏洞庫。

1.2.5安全審計(jì)行為管理

在應(yīng)用層部署安全審計(jì)行為管理設(shè)備，可提升惡意程序管控能力和互聯(lián)網(wǎng)網(wǎng)絡(luò)安全;設(shè)備性能整機(jī)檢測(cè)能力≥2Gbps，并發(fā)連接數(shù)為百萬級(jí)別;安全審計(jì)行為管理的主要用處是配合同在應(yīng)用層的其他網(wǎng)絡(luò)安全設(shè)備，對(duì)用戶的流量進(jìn)行一個(gè)控制，因?yàn)橛袝r(shí)網(wǎng)絡(luò)攻擊會(huì)披P2P的外衣，偽裝成大流量的下載文件，而應(yīng)用了安全審計(jì)行為管理設(shè)備，就可以對(duì)每一名用戶的數(shù)據(jù)量進(jìn)行限制，包含從軟件層面（如最新的微信等）到網(wǎng)頁層面全面監(jiān)控，從而在網(wǎng)絡(luò)攻擊爆發(fā)時(shí)第一時(shí)間進(jìn)行監(jiān)測(cè)，并且也在日常工作中規(guī)范的網(wǎng)絡(luò)使用環(huán)境，營造了一個(gè)高效舒適的辦公互聯(lián)網(wǎng)。

2 軟件組成和結(jié)構(gòu)

為配合硬件層面的網(wǎng)絡(luò)防護(hù)設(shè)備更好的工作，在軟件層面也部署了網(wǎng)絡(luò)版殺毒軟件?？梢宰龅郊皶r(shí)更新病毒庫，消除網(wǎng)絡(luò)安全隱患。

2.1網(wǎng)絡(luò)版殺毒軟件

網(wǎng)絡(luò)版殺毒軟件主要的用處是配合處在應(yīng)用層的硬件防護(hù)系統(tǒng)從軟件層面保護(hù)用戶的計(jì)算機(jī)。因?yàn)橛袝r(shí)病毒并不是從網(wǎng)絡(luò)中經(jīng)過網(wǎng)絡(luò)體系結(jié)構(gòu)入侵到用戶電腦的，在實(shí)際應(yīng)用中更多的是通過U盤等外置存儲(chǔ)設(shè)備侵入到用戶設(shè)備當(dāng)中去的。因此在每一臺(tái)用戶計(jì)算機(jī)中都安裝了網(wǎng)絡(luò)版殺毒軟件，可以有效地防止客戶端的病毒擴(kuò)散，并且在第一時(shí)間報(bào)警，上傳病毒樣本，采取最快的解決方案防止病毒的擴(kuò)散。我們采用了自主架設(shè)網(wǎng)絡(luò)版殺毒軟件服務(wù)器的方法，將最新的病毒庫下載到服務(wù)器中，再由服務(wù)器對(duì)每臺(tái)用戶電腦進(jìn)行病毒庫版本升級(jí)，這樣確保統(tǒng)一了每臺(tái)電腦的網(wǎng)絡(luò)版殺毒軟件都是最新的，并且也可以搜集用戶數(shù)據(jù)，從而為以后的病毒防護(hù)工作打下堅(jiān)實(shí)基礎(chǔ)。

3 結(jié)論

本文討論了中型企事業(yè)單位互聯(lián)網(wǎng)方面的安全服務(wù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建立的實(shí)際應(yīng)用方法。相比于小型單位，中型企事業(yè)單位面臨著網(wǎng)絡(luò)系統(tǒng)相對(duì)復(fù)雜，網(wǎng)絡(luò)規(guī)模相對(duì)大等問題，并且隨著時(shí)間推移還有著系統(tǒng)硬件老化，軟件兼容性差的困擾。因此建立一套更加安全、可靠、耐用性高的網(wǎng)絡(luò)系統(tǒng)便尤為重要。本文給出了軟硬件相結(jié)合的解決方案，并且網(wǎng)絡(luò)系統(tǒng)設(shè)置相對(duì)全面，可以抵御一定的網(wǎng)絡(luò)攻擊，為企事業(yè)單位用戶提供一定的防護(hù)保障。

參考文獻(xiàn)：

[1] 張蒲生.政府機(jī)關(guān)網(wǎng)絡(luò)的安全分析和對(duì)策研究[J].計(jì)算機(jī)工程，2002（8）：178-180.

[2] 汪玲，閻鵬.對(duì)機(jī)關(guān)事業(yè)單位計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)的幾點(diǎn)探討[J].電腦知識(shí)與技術(shù)，2015（3）：64-65.

【通聯(lián)編輯：唐一東】