胡萍萍
(桂林電子科技大學(xué) 廣西壯族自治區(qū)桂林市 541004)
大數(shù)據(jù)技術(shù)的應(yīng)用和發(fā)展,海量數(shù)據(jù)的出現(xiàn),對網(wǎng)絡(luò)數(shù)據(jù)信息安全防護變得非常重要。數(shù)據(jù)安全防護是當代計算機網(wǎng)絡(luò)安全系統(tǒng)的重要問題,應(yīng)用計算機技術(shù)解決大數(shù)據(jù)時代網(wǎng)絡(luò)數(shù)據(jù)安全的問題,構(gòu)建計算機網(wǎng)絡(luò)安全防護系統(tǒng),防止網(wǎng)絡(luò)數(shù)據(jù)被非法竊取和攻擊,是保證數(shù)據(jù)安全的重要內(nèi)容。
大數(shù)據(jù)時代計算機網(wǎng)絡(luò)安全通過對計算機網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)進行設(shè)計,滿足大數(shù)據(jù)時代對信息安全的基本需要,在保證網(wǎng)絡(luò)物理安全的基礎(chǔ)上保證數(shù)據(jù)信息安全。在大數(shù)據(jù)時代,網(wǎng)絡(luò)安全策略是采用計算機技術(shù)手段對網(wǎng)絡(luò)安全實施管理,大數(shù)據(jù)時代采用網(wǎng)絡(luò)安全策略如圖1所示。
物理安全策略是保護計算機硬件設(shè)備,包括網(wǎng)絡(luò)服務(wù)器交換機以及通信線路的安全等,并對用戶權(quán)限進行驗證,建立完善的網(wǎng)絡(luò)安全管理制度,避免對計算機資源進行非法竊取,以及防止電磁泄漏等物理安全策略。訪問控制策略作為網(wǎng)絡(luò)安全防護的重要策略,主要是保護網(wǎng)絡(luò)資源不被非法訪問和竊取,并提高網(wǎng)絡(luò)系統(tǒng)安全性能,保護網(wǎng)絡(luò)資源的安全性。訪問控制策略是網(wǎng)絡(luò)安全策略中使用的核心策略,保護網(wǎng)絡(luò)數(shù)據(jù)資源的安全性。信息加密策略主要是對網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)信息進行保護,保證網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中的完整性和準確性。網(wǎng)絡(luò)信息加密策略采用鏈路加密可以提高網(wǎng)絡(luò)內(nèi)部結(jié)點之間數(shù)據(jù)在鏈路傳輸?shù)陌踩?,并對鏈路中從源?jié)點到目的結(jié)點傳輸?shù)臄?shù)據(jù)進行加密,提高數(shù)據(jù)加密保護服務(wù)。信息加密通過加密算法等方法實現(xiàn),對數(shù)據(jù)進行加密和解密,保護用戶數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全管理策略包括對計算機機房管理制度的制定,以及網(wǎng)絡(luò)系統(tǒng)管理以及維護的相應(yīng)措施設(shè)計,進而提高網(wǎng)絡(luò)安全等級,有效保護網(wǎng)絡(luò)數(shù)據(jù)安全及完整。
系統(tǒng)設(shè)計目標是在保護計算機網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運行的基礎(chǔ)上,采用網(wǎng)絡(luò)安全策略對整個計算機網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)信息進行保護,防止網(wǎng)絡(luò)數(shù)據(jù)信息泄露,構(gòu)建一個完善的信息網(wǎng)絡(luò)安全系統(tǒng)。采用計算機網(wǎng)絡(luò)安全技術(shù),保證數(shù)據(jù)交互的安全性,推動計算機信息安全系統(tǒng)的穩(wěn)定運行。大數(shù)據(jù)時代海量數(shù)據(jù)信息的發(fā)展,網(wǎng)絡(luò)安全逐漸側(cè)重對網(wǎng)絡(luò)信息數(shù)據(jù)安全的保護,因此系統(tǒng)設(shè)計上要按照統(tǒng)一的標準進行規(guī)劃設(shè)計,構(gòu)建網(wǎng)絡(luò)信息安全保護平臺,實現(xiàn)計算機網(wǎng)絡(luò)安全系統(tǒng)的標準化和平臺化,提高網(wǎng)絡(luò)數(shù)據(jù)信息安全保護能力。在網(wǎng)絡(luò)安全保護功能上要建立多層級的等級保護策略,構(gòu)建多元化的信道保護方法,并針對網(wǎng)絡(luò)安全保護的實際情況,采用計算機網(wǎng)絡(luò)安全技術(shù),全方位的構(gòu)建網(wǎng)絡(luò)安全體系,提高大數(shù)據(jù)時代計算機網(wǎng)絡(luò)安全系統(tǒng)的保護能力。
圖1:網(wǎng)絡(luò)安全策略
圖2:大數(shù)據(jù)時代計算機網(wǎng)絡(luò)安全系統(tǒng)功能架構(gòu)圖
安全可靠原則,是計算機網(wǎng)絡(luò)安全系統(tǒng)的運行基礎(chǔ)原則。保護計算機網(wǎng)絡(luò)系統(tǒng)的安全性,采用信息安全產(chǎn)品以及信息安全技術(shù)構(gòu)建網(wǎng)絡(luò)安全保護方案,保證系統(tǒng)的安全性。在系統(tǒng)設(shè)計過程中采用先進的網(wǎng)絡(luò)安全技術(shù)手段和高質(zhì)量的網(wǎng)絡(luò)安全產(chǎn)品,保證系統(tǒng)安全可靠的運行。一致性原則,根據(jù)網(wǎng)絡(luò)安全問題制定滿足網(wǎng)絡(luò)安全需求的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu),在網(wǎng)絡(luò)安全運行周期內(nèi)制定相應(yīng)的數(shù)據(jù)安全保護策略。易操作原則,系統(tǒng)在設(shè)計過程中要考慮到應(yīng)用技術(shù)的可操作性,讓管理人員可以方便的對系統(tǒng)進行操作,這樣避免因為人為操作而導(dǎo)致系統(tǒng)的安全性下降。而且系統(tǒng)設(shè)計過程中,要充分考慮到系統(tǒng)的可擴展性,便于系統(tǒng)硬件和軟件的模塊功能擴展。采用標準化的技術(shù)和技術(shù)體系來實現(xiàn)對系統(tǒng)的設(shè)計,提高系統(tǒng)的標準化水平,以及提升系統(tǒng)的兼容性。風(fēng)險平衡分析原則,網(wǎng)絡(luò)安全要實現(xiàn)絕對安全是很難到達的,只能最大化的提升網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全面臨的風(fēng)險以及威脅很多,要采用定量和定性的分析方法,并制定相應(yīng)的設(shè)計方案,保證網(wǎng)絡(luò)系統(tǒng)自身的安全。系統(tǒng)設(shè)計構(gòu)建多重防護的體系,各層保護相互協(xié)調(diào),如果一層防護被攻破了那么可以采用其它層的防護來保護信息的安全。
如圖2所示。
3.1.1 物理隔離設(shè)計
物理隔離設(shè)計是構(gòu)建內(nèi)網(wǎng)和外網(wǎng)數(shù)據(jù)隔離架構(gòu),從物理上對PC 隔離并建立虛擬工作站,設(shè)計獨立的硬盤數(shù)據(jù)存儲體系和操作系統(tǒng),并建立專用的數(shù)據(jù)接口以及網(wǎng)線接口,保證安全區(qū)和非安全區(qū)在環(huán)境上實現(xiàn)物理隔離。在主板和硬盤之間采用全控制方式,對硬盤通道實現(xiàn)全控制,硬盤數(shù)據(jù)轉(zhuǎn)換采用繼電器控制內(nèi)網(wǎng)和外網(wǎng)的切換,保證計算機系統(tǒng)的可靠性和穩(wěn)定性。設(shè)計中采用IDE-ATA硬盤的操作系統(tǒng),這樣可以在不同的局域網(wǎng)的網(wǎng)絡(luò)環(huán)境下運行,并保證數(shù)據(jù)存儲和處理的安全性。
3.1.2 桌面系統(tǒng)安全設(shè)計
數(shù)據(jù)桌面系統(tǒng)安全設(shè)計可以采用云計算數(shù)據(jù)服務(wù),對海量的數(shù)據(jù)進行存儲,并實現(xiàn)用戶對數(shù)據(jù)的遠程操作和查詢。在計算機網(wǎng)絡(luò)安全系統(tǒng)中數(shù)據(jù)信息存儲主要是以文件的方式在硬盤中存儲,因此數(shù)據(jù)信息容易被泄露或者被供給,因此采用本地安全管理的方式對本地存儲的數(shù)據(jù)進行保護,采用清華紫光的桌面安全保護系統(tǒng),是本方案中重要的技術(shù)設(shè)計。桌面安全保護系統(tǒng)具有加密運行處理器以及中央處理器等功能,并在芯片內(nèi)部設(shè)計了秘鑰和加密算法等,防止非法數(shù)據(jù)對系統(tǒng)的入侵,清華紫光的桌面安全保護系統(tǒng)采用封裝的方式,可以有效的對物理和電子攻擊進行防范。
3.1.3 病毒防護系統(tǒng)設(shè)計
服務(wù)器病毒防護設(shè)計中對管理模塊和防毒模塊采用獨立安裝的方式,這樣病毒防護系統(tǒng)不會影響操作系統(tǒng)的穩(wěn)定運行,而且服務(wù)器的防毒系統(tǒng)可以部署到單點的位置。本方案采用ServerProtect 防毒產(chǎn)品,可以有效的支持Windows NT/2008 和Linux 等操作系統(tǒng)平臺。
客戶端病毒防護設(shè)計采用OfficeScan 網(wǎng)絡(luò)版的客戶端防毒體系,采用單點控制的模式對客戶端的防毒模塊進行管理和控制。客戶端防毒模塊可以根據(jù)系統(tǒng)客戶端運行的情況進行集中部署,并且支持SMS 和登錄腳本等,而且在WEB 數(shù)據(jù)服務(wù)中也可以發(fā)揮防毒作用。
集中控制TVCS 工具設(shè)計方案,實現(xiàn)對整個系統(tǒng)的防毒軟件進行配置和管理,在不同的網(wǎng)段VLAN 內(nèi)實現(xiàn)控制,并在任何平臺都可以采用TVCS 網(wǎng)絡(luò)工具實現(xiàn)統(tǒng)一管理。
3.1.4 訪問控制設(shè)計
訪問控制設(shè)計中采用防火墻設(shè)備以及相關(guān)的訪問控制設(shè)備,并設(shè)置安全訪問規(guī)則實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護,防火墻設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換、數(shù)據(jù)信息過濾以及流量管控等基本的訪問控制功能,實現(xiàn)對系統(tǒng)數(shù)據(jù)訪問的安全防護。采用防火墻技術(shù),對內(nèi)網(wǎng)進行網(wǎng)段劃分,這樣可以保護網(wǎng)絡(luò)數(shù)據(jù)服務(wù)器等設(shè)備的安全,采用網(wǎng)段劃分的方式防御外部攻擊。防火墻的設(shè)計要具有靈活部署的特點,可以在不同的網(wǎng)絡(luò)環(huán)境下運行,并支持多種動態(tài)協(xié)議和應(yīng)用代理,為系統(tǒng)的整體安全設(shè)計提供VPN 客戶端,并采用增強型抗攻擊技術(shù),對常見的網(wǎng)絡(luò)攻擊都可以起到良好的防范作用。
3.1.5 信息加密設(shè)計
本方案采用SJW-26 網(wǎng)絡(luò)密碼機,在局域網(wǎng)帶寬1000M 的不同的辦公區(qū)內(nèi)進行配置,這樣可以有效的保護數(shù)據(jù)信息在傳輸中的安全性和完整性。把內(nèi)網(wǎng)劃分為多個子網(wǎng)后,各個子網(wǎng)的數(shù)據(jù)安全傳輸問題解決方案,是采用構(gòu)建獨立的信息安全通道,避免信息傳輸過程中的干擾,并對數(shù)據(jù)進行加密和數(shù)據(jù)認證,確保信息準確和安全。采用對稱加密算法和非對稱加密算法對傳輸?shù)臄?shù)據(jù)進行加密,采用秘鑰對加密數(shù)據(jù)進行解密,這樣數(shù)據(jù)安全性得到了保證。
3.1.6 入侵檢測設(shè)計
系統(tǒng)內(nèi)部子網(wǎng)按照部門進行網(wǎng)段劃分,每一個子網(wǎng)都配置一臺交換機,并由系統(tǒng)的網(wǎng)絡(luò)中心進行統(tǒng)一管理。子網(wǎng)匯聚到主干網(wǎng)絡(luò)中,連接高性能的數(shù)據(jù)服務(wù)器,并在數(shù)據(jù)服務(wù)器群設(shè)置DMZ 區(qū)。根據(jù)系統(tǒng)的網(wǎng)絡(luò)流量,以及數(shù)據(jù)保護的程度,設(shè)計IDS 入侵檢測系統(tǒng),并配置在關(guān)鍵的子網(wǎng)入口位置,對子網(wǎng)內(nèi)的數(shù)據(jù)進行監(jiān)測和管理,并對非法入侵的數(shù)據(jù)和訪問進行攔截,并生成安全訪問日志。入侵檢測實時的對網(wǎng)絡(luò)的數(shù)據(jù)流進行攔截,并對網(wǎng)絡(luò)數(shù)據(jù)進行分析,如果發(fā)現(xiàn)非法數(shù)據(jù)攻擊或者非授權(quán)訪問的數(shù)據(jù),那么就可以對網(wǎng)絡(luò)攻擊事件進行詳細的記錄,并具有對非法訪問采取網(wǎng)絡(luò)連接阻斷的操作功能。基于TCP/IP 協(xié)議的工作模式,對網(wǎng)絡(luò)端口、IP 目的地址和源地址進行過濾,提供遠程登錄和文件傳輸?shù)染W(wǎng)絡(luò)服務(wù),并提供實時網(wǎng)絡(luò)安全事件的監(jiān)測功能。入侵監(jiān)測系統(tǒng)設(shè)計日志生成模塊,提供系統(tǒng)數(shù)據(jù)安全審計功能,為網(wǎng)絡(luò)數(shù)據(jù)安全提供保障。
3.1.7 漏洞掃描
網(wǎng)絡(luò)漏洞掃描針對網(wǎng)絡(luò)內(nèi)部信息點進行高速掃描,并結(jié)合IDS和防火墻技術(shù),構(gòu)建網(wǎng)絡(luò)安全策略。設(shè)計跨網(wǎng)段的移動掃描軟件實現(xiàn)對數(shù)據(jù)服務(wù)器等設(shè)備分布掃描方式,并配置IP 地址的掃描功能,具有針對性的實現(xiàn)對網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的掃描。構(gòu)建三級漏洞掃描服務(wù)體系,內(nèi)網(wǎng)與外網(wǎng)設(shè)置為一級,內(nèi)網(wǎng)子網(wǎng)端口設(shè)置為二級,數(shù)據(jù)服務(wù)器等設(shè)備端口設(shè)置為三級,并部署漏洞掃描硬件和軟件,針對可疑漏洞和端口進行掃描,提高內(nèi)網(wǎng)的數(shù)據(jù)完全性。設(shè)計WEB 式的遠程管理,采用WEB 方式實現(xiàn)遠程漏洞掃描管理,并以HTTP 為技術(shù)支持,遠程聯(lián)控掃描設(shè)備,提高系統(tǒng)漏洞掃描效率。
大數(shù)據(jù)時代數(shù)據(jù)安全是當代網(wǎng)絡(luò)安全的重要問題,構(gòu)建計算機網(wǎng)絡(luò)安全系統(tǒng),采用計算機技術(shù)對網(wǎng)絡(luò)安全系統(tǒng)進行設(shè)計,提高網(wǎng)絡(luò)數(shù)據(jù)的安全性,有效的保護大數(shù)據(jù)時代網(wǎng)絡(luò)數(shù)據(jù)安全,為今后計算機網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計和應(yīng)用提供了技術(shù)支持。