雷 東

（蘭州生物制品研究所有限責(zé)任公司，甘肅 蘭州 730046）

0 引 言

隨著企業(yè)的發(fā)展和規(guī)模的不斷擴(kuò)大，企業(yè)對(duì)商業(yè)信息的需求越來(lái)越明顯[1]。針對(duì)企業(yè)在網(wǎng)絡(luò)安全信息管理系統(tǒng)方面的優(yōu)勢(shì)，結(jié)合先進(jìn)的項(xiàng)目管理理念，梳理出各種流程和系統(tǒng)，以滿足企業(yè)發(fā)展的需要[2]。計(jì)算機(jī)網(wǎng)絡(luò)信息已滲透到人們的工作和學(xué)習(xí)中，成為不可缺少的一部分，但是系統(tǒng)也存在一些問(wèn)題，所以網(wǎng)絡(luò)安全需引入先進(jìn)的網(wǎng)絡(luò)信息安全管理理念，結(jié)合企業(yè)實(shí)際情況，形成具有企業(yè)自身特點(diǎn)的流程和系統(tǒng)[3]。通過(guò)對(duì)系統(tǒng)的分析和設(shè)計(jì)，最終實(shí)現(xiàn)了一套可用且易用的企業(yè)網(wǎng)絡(luò)安全信息管理系統(tǒng)，支持企業(yè)的各項(xiàng)工作[4]。就現(xiàn)狀而言，國(guó)內(nèi)的防火墻技術(shù)、Web風(fēng)險(xiǎn)管理模塊以及數(shù)據(jù)庫(kù)安全管理的安全策略研究還不算先進(jìn)[5]。國(guó)外研究表明，針對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行監(jiān)管，其主要監(jiān)管內(nèi)容包括客戶信息管理、系統(tǒng)攔截設(shè)置以及局域網(wǎng)監(jiān)控3個(gè)核心功能模塊。對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)智能安全監(jiān)控，這些數(shù)據(jù)便可以作為分析的依據(jù)，為公司制定戰(zhàn)略目標(biāo)和銷(xiāo)售策略提供數(shù)據(jù)依據(jù)，使決策更加科學(xué)合理，同時(shí)也為數(shù)據(jù)挖掘和商業(yè)智能分析提供了基礎(chǔ)。設(shè)計(jì)合理優(yōu)秀的網(wǎng)絡(luò)安全信息管理系統(tǒng)，是目前各個(gè)企業(yè)需要完成的一項(xiàng)重大任務(wù)。

1 企業(yè)網(wǎng)絡(luò)安全信息管理系統(tǒng)設(shè)計(jì)

1.1 硬件設(shè)計(jì)

可以采用兩種方式進(jìn)行硬件設(shè)計(jì)，第一種是使用如ARM結(jié)構(gòu)的專(zhuān)用嵌入式處理器進(jìn)行處理，第二種是使用英特爾處理器的X86構(gòu)架進(jìn)行處理[6,7]。不同的選擇會(huì)有不一樣的效果，需要按照所需內(nèi)容進(jìn)行處理器的挑選和使用。ARM和X86的硬件設(shè)計(jì)比較如表1所示。

表1 不同CPU結(jié)構(gòu)的比較

因?yàn)橐褂?jì)算機(jī)系統(tǒng)能夠?qū)崿F(xiàn)信息在傳輸過(guò)程中的安全，所以采用X86 CPU的計(jì)算機(jī)設(shè)備，搭配N(xiāo)ET1711的硬件使用平臺(tái)。系統(tǒng)運(yùn)行的計(jì)算機(jī)內(nèi)存模式為DDR，最大運(yùn)行內(nèi)存量為348 MB，結(jié)合278 MB的CF卡進(jìn)行運(yùn)作。此外選擇Intel Pentium4 2.8G CPU，160 GB硬盤(pán)用于存儲(chǔ)海量數(shù)據(jù)庫(kù)數(shù)據(jù)。該設(shè)備采用的硬件系統(tǒng)框架如圖1所示，硬件設(shè)備屬于P4級(jí)，VGA和PS/2接口預(yù)留給外部監(jiān)視器和鍵盤(pán)。

圖1 硬件系統(tǒng)框架

1.2 軟件設(shè)計(jì)

1.2.1 防火墻設(shè)計(jì)

在企業(yè)網(wǎng)絡(luò)安全信息管理系統(tǒng)設(shè)計(jì)中，防火墻是企業(yè)網(wǎng)絡(luò)的出口，是一個(gè)屏蔽主機(jī)的工具，也可以說(shuō)是溝通Internet主機(jī)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)之間的橋梁。防火墻的配置包括安全區(qū)域配置、接口配置、VLAN配置、路由配置、DNS配置以及NAT配置。目前，網(wǎng)絡(luò)安全區(qū)域發(fā)生了變化，不僅包括唯一信任區(qū)、不信任區(qū)域和DMZ區(qū)域，還包括用戶自定義的安全區(qū)域。每個(gè)安全區(qū)域可以匹配多個(gè)物理接口和VLAN子接口，最大匹配數(shù)為兩個(gè)接口的和。當(dāng)防火墻接收到以tag報(bào)文形式顯示的信號(hào)時(shí)，會(huì)自動(dòng)查找對(duì)應(yīng)的VLAN接口。

VLAN接口個(gè)數(shù)不能為單個(gè)，需要至少兩個(gè)接口對(duì)信息進(jìn)行接收，并且信息的輸入是無(wú)規(guī)則的。在接收到信息后將信息轉(zhuǎn)換為明文，再通過(guò)隨機(jī)路線將明文輸入。在輸入端口需要設(shè)置TAG接口，經(jīng)由該接口將信息進(jìn)行原始數(shù)據(jù)轉(zhuǎn)換，實(shí)現(xiàn)信息的完整傳輸。NAT的工作原理是利用一個(gè)獨(dú)立的IP地址對(duì)其他IP地址進(jìn)行補(bǔ)充和填充，阻斷外部的不安全信息和惡意病毒。NAT還可以保證內(nèi)部IP地址不被泄露。防火墻的設(shè)置是整個(gè)企業(yè)網(wǎng)絡(luò)安全體系的核心，其設(shè)計(jì)結(jié)構(gòu)如圖2所示。

圖2 防火墻設(shè)計(jì)結(jié)構(gòu)

防火墻訪問(wèn)中最重要的部分是策略配置，網(wǎng)絡(luò)配置中定義對(duì)象提供給策略配置中使用，它可以根據(jù)需要定義防火墻資源的訪問(wèn)。在多端口防火墻中，網(wǎng)絡(luò)不再是單純“受信任的”和“不受信任的”，轉(zhuǎn)變成了授權(quán)用戶創(chuàng)建屬于自己的安全體系，并對(duì)經(jīng)過(guò)該安全體系的數(shù)據(jù)信息進(jìn)行嚴(yán)格把控。

1.2.2 Web風(fēng)險(xiǎn)管理模塊設(shè)計(jì)

Web風(fēng)險(xiǎn)管理模塊的主要作用是對(duì)企業(yè)的數(shù)據(jù)資料進(jìn)行風(fēng)險(xiǎn)評(píng)估管理[8,9]。該數(shù)據(jù)資料涵蓋了企業(yè)交往資料、客戶管理資料、企業(yè)內(nèi)部人員資料、企業(yè)資金流水資料、高層會(huì)議資料、企業(yè)運(yùn)行系統(tǒng)bug資料、企業(yè)核心管理資料以及企業(yè)固定資產(chǎn)資料等，是在企業(yè)網(wǎng)絡(luò)信息中最龐大的資料群。

Web風(fēng)險(xiǎn)管理模塊對(duì)進(jìn)入系統(tǒng)的人員進(jìn)行授權(quán)，只有獲得授權(quán)的人員才能進(jìn)入該模塊進(jìn)行操作。該模塊會(huì)對(duì)客戶信息等數(shù)據(jù)資料進(jìn)行終極加密，并授權(quán)管理人員對(duì)該資料的審核權(quán)限，保證客戶資料能夠得到及時(shí)的更新和更改。

該模塊下分為對(duì)外管理部門(mén)和對(duì)內(nèi)管理部門(mén)，系統(tǒng)會(huì)分別對(duì)這兩個(gè)部門(mén)進(jìn)行權(quán)限設(shè)置。將兩個(gè)部分的信息進(jìn)行分類(lèi)處理，確保系統(tǒng)的不規(guī)則性，使病毒不能輕易侵犯系統(tǒng)。此外，該模塊會(huì)不定時(shí)采集兩個(gè)部分的補(bǔ)丁信息，并將漏洞數(shù)據(jù)整合傳送至重點(diǎn)系統(tǒng)，由系統(tǒng)授權(quán)發(fā)出指令完善不同漏洞，時(shí)刻優(yōu)化安全系統(tǒng)。

1.2.3 數(shù)據(jù)庫(kù)安全管理設(shè)計(jì)

在對(duì)系統(tǒng)進(jìn)行配置時(shí)，運(yùn)用MySQL數(shù)據(jù)庫(kù)進(jìn)行信息的儲(chǔ)存。與系統(tǒng)的安全屬性相配合，按照使用要求進(jìn)行相關(guān)配置。在進(jìn)行配置時(shí)，還應(yīng)該設(shè)置企業(yè)整體運(yùn)行系統(tǒng)的特色，根據(jù)不同企業(yè)的相關(guān)性進(jìn)行不同配置[10]。將復(fù)雜化的系統(tǒng)在保證質(zhì)量的前提下精簡(jiǎn)步驟，深度分析客戶的需求，實(shí)現(xiàn)系統(tǒng)特色化。將系統(tǒng)數(shù)據(jù)進(jìn)行分類(lèi)處理，根據(jù)不同類(lèi)型的數(shù)據(jù)進(jìn)行信息管理，細(xì)化數(shù)據(jù)細(xì)節(jié)，維護(hù)系統(tǒng)數(shù)據(jù)的精確度，將企業(yè)網(wǎng)絡(luò)安全的核心數(shù)據(jù)信息進(jìn)行加密封鎖。

2 測(cè)試實(shí)驗(yàn)

2.1 實(shí)驗(yàn)準(zhǔn)備

系統(tǒng)在Windows XP，Internet Explorer6.0及以上版本進(jìn)行測(cè)試，服務(wù)器為Web服務(wù)器或更高。測(cè)試可根據(jù)程序需要分為靜態(tài)或動(dòng)態(tài)，本次測(cè)試選擇動(dòng)態(tài)測(cè)試，這種軟件開(kāi)發(fā)中非常有效的質(zhì)量控制方法，通過(guò)運(yùn)行軟件來(lái)檢測(cè)其行為活動(dòng)及結(jié)果的準(zhǔn)確性。動(dòng)態(tài)測(cè)試必須包括測(cè)試軟件的數(shù)據(jù)以及少量的測(cè)試數(shù)據(jù)。運(yùn)行軟件并不是測(cè)試的目的，檢查軟件是否正確才是動(dòng)態(tài)測(cè)試的真正目標(biāo)。運(yùn)行軟件的具體操作和試驗(yàn)前準(zhǔn)備是動(dòng)態(tài)測(cè)試的第一步，具體如圖3所示。

圖3 試驗(yàn)前具體操作及準(zhǔn)備流程

動(dòng)態(tài)測(cè)試第一步完成，被測(cè)試的軟件已操作準(zhǔn)備完畢，下一步是得出用于運(yùn)行軟件的數(shù)據(jù)。為了測(cè)試系統(tǒng)的管理能力，賦值3個(gè)數(shù)據(jù)進(jìn)行數(shù)據(jù)對(duì)比?；拘畔⑹占头峙浣o網(wǎng)絡(luò)安全信息系統(tǒng)，在此系統(tǒng)中，網(wǎng)絡(luò)安全管理信息的負(fù)責(zé)人在內(nèi)部網(wǎng)絡(luò)根據(jù)信息安全在內(nèi)部網(wǎng)絡(luò)的重要性，結(jié)合5級(jí)分類(lèi)和分類(lèi)價(jià)值信息所設(shè)計(jì)的有關(guān)安全信息管理分配列表如表2所示。

表2 安全信息管理賦值列表

2.2 實(shí)驗(yàn)結(jié)果

設(shè)置3輪試驗(yàn)中的病毒數(shù)量為5個(gè)，系統(tǒng)在3次測(cè)試下獲得的結(jié)果如表3、表4以及表5所示。

表3 第一次測(cè)試下客戶機(jī)病毒收集結(jié)果

表4 第二次測(cè)試下客戶機(jī)病毒收集結(jié)果

表5 第三次測(cè)試下客戶機(jī)病毒收集結(jié)果

從以上3次實(shí)驗(yàn)可以看出，每次服務(wù)器從A1客戶端機(jī)器收集到的感染病毒總數(shù)始終都是5個(gè)，第一次和第三次試驗(yàn)檢測(cè)出全部病毒，第二次當(dāng)天檢測(cè)出4個(gè)病毒。A3客戶端機(jī)器存在的病毒數(shù)為6個(gè)，第一次和第三次檢測(cè)出全部病毒，第二次遺漏一個(gè)。服務(wù)器沒(méi)有檢測(cè)到A2客戶端機(jī)器感染病毒，數(shù)據(jù)始終顯示為0，A2客戶端機(jī)不被病毒所感染。系統(tǒng)及時(shí)檢測(cè)病毒，實(shí)驗(yàn)數(shù)值的誤差很小，當(dāng)日病毒會(huì)在第一時(shí)間檢測(cè)出來(lái)，降低了內(nèi)網(wǎng)安全信息的風(fēng)險(xiǎn)，證明了企業(yè)網(wǎng)絡(luò)安全信息管理系統(tǒng)的設(shè)計(jì)是成立的，運(yùn)行正常，可以按照客戶的需求和企業(yè)的規(guī)定進(jìn)行設(shè)置。

2.3 實(shí)驗(yàn)結(jié)論

以上測(cè)試結(jié)果表明，被測(cè)試企業(yè)的網(wǎng)絡(luò)安全信息管理系統(tǒng)可適應(yīng)該企業(yè)的運(yùn)行系統(tǒng)，并能夠?qū)崿F(xiàn)對(duì)信息的安全管理。企業(yè)通過(guò)本文所設(shè)計(jì)的系統(tǒng)對(duì)信息進(jìn)行網(wǎng)絡(luò)安全管理，極大程度地減少了信息丟失的風(fēng)險(xiǎn)，還能夠?qū)⑵髽I(yè)信息的安全程度更加直觀簡(jiǎn)明的表現(xiàn)出來(lái)。因此，正確的網(wǎng)絡(luò)配置可以有效阻止大部分網(wǎng)絡(luò)病毒等惡意攻擊，不同的防御設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)攻擊不同，不同軟件的攻擊效果也不同。本系統(tǒng)是基于企業(yè)網(wǎng)絡(luò)安全信息管理系統(tǒng)的設(shè)計(jì)，在測(cè)試中具有良好的反映性，界面友好易于操作，性能方便實(shí)用，取得了較好的實(shí)驗(yàn)效果，使人員辦公效率有所提升。

3 結(jié) 論

系統(tǒng)建設(shè)的成功，實(shí)現(xiàn)了企業(yè)網(wǎng)絡(luò)安全的全生命周期和全過(guò)程管理。對(duì)于企業(yè)網(wǎng)絡(luò)安全信息系統(tǒng)的構(gòu)建使得企業(yè)在運(yùn)行過(guò)程中減小了因?yàn)閿?shù)據(jù)信息丟失等原因?qū)е碌慕?jīng)濟(jì)紛爭(zhēng)。一方面通過(guò)安全的信息管理系統(tǒng)側(cè)面使得企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力大大提高。另一方面企業(yè)人員在利用該系統(tǒng)進(jìn)行辦公時(shí)的工作效率也大大提升。本文重點(diǎn)研究網(wǎng)絡(luò)安全策略，通過(guò)分析不同的網(wǎng)絡(luò)策略來(lái)了解公司網(wǎng)絡(luò)安全信息管理系統(tǒng)的設(shè)計(jì)。隨著企業(yè)的發(fā)展，規(guī)模越來(lái)越大，對(duì)使用的要求也越來(lái)越高，只有系統(tǒng)能夠順利擴(kuò)展，才能應(yīng)對(duì)這種趨勢(shì)。由于目前設(shè)備有限，資金要求高，暫時(shí)不能滿足實(shí)驗(yàn)的全部要求，因此實(shí)驗(yàn)所得數(shù)據(jù)與實(shí)際數(shù)據(jù)仍有一定差距，希望在未來(lái)有機(jī)會(huì)和能力得到更準(zhǔn)確的實(shí)驗(yàn)結(jié)果。