葉其蕾 余霄

（1.溫州市大數(shù)據(jù)發(fā)展管理局 浙江省溫州市 325000 2.溫州科技職業(yè)學(xué)院 浙江省溫州市 325000）

近些年來，隨著我國新一代通信技術(shù)的不斷發(fā)展，以大數(shù)據(jù)技術(shù)為首的新一代通信技術(shù)逐漸應(yīng)用于各行業(yè)領(lǐng)域以及生活生產(chǎn)當(dāng)中?？梢哉f，在大數(shù)據(jù)等新一代通信技術(shù)的決策支持下，廣大受眾群體在獲取信息以及共享信息方面可選的渠道方式更多。然而，現(xiàn)代計算機(jī)網(wǎng)絡(luò)系統(tǒng)在運(yùn)行過程中所面臨的風(fēng)險問題較多，再加上各種接口以及網(wǎng)絡(luò)平臺存在安全漏洞，容易對信息共享以及傳輸過程構(gòu)成隱患威脅[1]。最重要的是，計算機(jī)網(wǎng)絡(luò)平臺在信息安全功能設(shè)計方面存在不同程度的缺失問題，導(dǎo)致信息資源傳輸以及共享過程難以得到確切保障。如果不加以及時維護(hù)與管理，社會各行業(yè)以及機(jī)構(gòu)的安全有序運(yùn)行就會受到嚴(yán)重影響。同時，各行業(yè)領(lǐng)域機(jī)密信息以及個人信息都會被泄露掉。為及時解決這一隱患問題，我們必須加強(qiáng)對計算機(jī)網(wǎng)絡(luò)信息安全系統(tǒng)構(gòu)建問題的重視程度。

1 大數(shù)據(jù)時代計算機(jī)網(wǎng)絡(luò)安全方式分析

大數(shù)據(jù)時代計算機(jī)網(wǎng)絡(luò)安全功能的實(shí)現(xiàn)主要是根據(jù)計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)形式進(jìn)行統(tǒng)籌規(guī)劃與合理部署，以切實(shí)滿足大數(shù)據(jù)時代對信息安全的基本需求。且在設(shè)計過程中，應(yīng)該著重針對網(wǎng)絡(luò)物理安全以及數(shù)據(jù)信息安全內(nèi)容進(jìn)行重點(diǎn)規(guī)劃與設(shè)計。結(jié)合當(dāng)前設(shè)計經(jīng)驗(yàn)來看，網(wǎng)絡(luò)物理安全內(nèi)容主要針對計算機(jī)硬件設(shè)備保護(hù)工作設(shè)計工作而言，一般多圍繞網(wǎng)絡(luò)服務(wù)器交換機(jī)以及通信線路安全等內(nèi)容進(jìn)行合理設(shè)計。并在此基礎(chǔ)上，對用戶權(quán)限進(jìn)行合理驗(yàn)證，防止計算機(jī)資源被不法分子非法竊取。與此同時，數(shù)據(jù)信息安全內(nèi)容可從訪問控制策略、信息加密策略等方面進(jìn)行統(tǒng)籌規(guī)劃與合理部署。

一方面，訪問控制策略基本上可以視為網(wǎng)絡(luò)安全防護(hù)的重要策略表現(xiàn)。在應(yīng)用過程中，主要起到保護(hù)網(wǎng)絡(luò)資源不被非法訪問和竊取的功能作用，在一定程度上可提高網(wǎng)絡(luò)系統(tǒng)安全性能以及網(wǎng)絡(luò)資源的安全性。結(jié)合當(dāng)前應(yīng)用情況來看，訪問控制策略已經(jīng)逐步成為網(wǎng)絡(luò)安全策略的核心策略內(nèi)容，具有重要的應(yīng)用保護(hù)意義[2]。另一方面，信息加密策略主要針對網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)信息保護(hù)工作進(jìn)行統(tǒng)籌規(guī)劃與合理設(shè)計，目的在于保障網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中可以始終保持完整性與高效性。在應(yīng)用實(shí)踐過程中，信息加密策略可利用鏈路加密方式增強(qiáng)網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)的傳輸安全性，保障用戶數(shù)據(jù)使用安全。除此之外，規(guī)劃設(shè)計人員也可以利用網(wǎng)絡(luò)安全策略進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全等級，保障網(wǎng)絡(luò)數(shù)據(jù)安全性與完整性。

2 大數(shù)據(jù)時代計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計目標(biāo)及原則分析

2.1 系統(tǒng)設(shè)計目標(biāo)

大數(shù)據(jù)時代下，計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在設(shè)計目標(biāo)的確立上應(yīng)該始終圍繞合理保護(hù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行等目標(biāo)內(nèi)容進(jìn)行統(tǒng)籌規(guī)劃與合理設(shè)計。在規(guī)劃設(shè)計過程中，設(shè)計人員可主動利用網(wǎng)絡(luò)安全策略，實(shí)現(xiàn)對計算機(jī)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)信息的全面保護(hù)，目的在于防止網(wǎng)絡(luò)數(shù)據(jù)信息資源泄露，增強(qiáng)系統(tǒng)整體的運(yùn)行安全性與科學(xué)性。與此同時，設(shè)計人員應(yīng)主動運(yùn)用計算機(jī)網(wǎng)絡(luò)安全技術(shù)，增強(qiáng)數(shù)據(jù)交互之間的安全性與高效性，保障計算機(jī)信息安全系統(tǒng)得以實(shí)現(xiàn)高效穩(wěn)定運(yùn)行目標(biāo)。

結(jié)合當(dāng)前發(fā)展情況來看，在海量數(shù)據(jù)信息資源的發(fā)展作用下，網(wǎng)絡(luò)安全設(shè)計在側(cè)重點(diǎn)方面逐漸轉(zhuǎn)移到網(wǎng)絡(luò)信息數(shù)據(jù)安全保護(hù)方面。因此在系統(tǒng)設(shè)計上，建議設(shè)計人員應(yīng)該按照統(tǒng)一規(guī)范標(biāo)準(zhǔn)實(shí)現(xiàn)有效設(shè)計過程。如可通過構(gòu)建網(wǎng)絡(luò)信息安全保護(hù)平臺，增強(qiáng)計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)標(biāo)準(zhǔn)化水平，確保網(wǎng)絡(luò)數(shù)據(jù)信息安全保護(hù)效果得以深化加強(qiáng)。除此之外，在網(wǎng)絡(luò)安全保護(hù)功能的確立上，設(shè)計人員應(yīng)該構(gòu)建多層級保護(hù)策略，通過借助多元化信道保護(hù)方法可達(dá)到增強(qiáng)網(wǎng)絡(luò)安全體系高效運(yùn)行的目的[3]。

2.2 系統(tǒng)設(shè)計原則

為確保計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)高效運(yùn)行目標(biāo)得以順利實(shí)現(xiàn)，設(shè)計人員在構(gòu)建計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的過程中，應(yīng)該嚴(yán)格遵循以下原則實(shí)現(xiàn)高效設(shè)計過程。

2.2.1 安全可靠原則

安全可靠原則基本上可以視為計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計體系的核心原則。從客觀角度上來講，合理保護(hù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行功能，在一定程度上可以增強(qiáng)系統(tǒng)安全可靠運(yùn)行效果。在實(shí)踐過程中，設(shè)計人員可通過利用信息安全產(chǎn)品以及信息安全技術(shù)，對網(wǎng)絡(luò)安全保護(hù)方案進(jìn)行統(tǒng)籌規(guī)劃與合理構(gòu)建，以增強(qiáng)系統(tǒng)整體的運(yùn)行安全性。

2.2.2 一致性原則

所謂的一致性原則主要是指設(shè)計人員應(yīng)該根據(jù)網(wǎng)絡(luò)安全問題表現(xiàn)，對當(dāng)前網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)進(jìn)行合理構(gòu)建，并在滿足網(wǎng)絡(luò)安全需求的前提條件下，制定針對性數(shù)據(jù)安全保護(hù)策略[4]。

2.2.3 易操作原則

計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在設(shè)計過程中應(yīng)該綜合衡量應(yīng)用技術(shù)的可操作性，目的在于確保管理人員可按照一定原則要求，對當(dāng)前系統(tǒng)安全運(yùn)行情況進(jìn)行合理掌握。且在系統(tǒng)設(shè)計過程中，應(yīng)綜合考慮系統(tǒng)可拓展性以及系統(tǒng)硬件、軟件模塊功能情況，利用標(biāo)準(zhǔn)化技術(shù)手段對當(dāng)前系統(tǒng)架構(gòu)形式進(jìn)行合理設(shè)計，以增強(qiáng)系統(tǒng)整體的兼容性效果。

2.2.4 風(fēng)險平衡分析原則

從客觀角度上來講，網(wǎng)絡(luò)安全若想達(dá)到絕對安全往往是有較大難度的，只能在原有基礎(chǔ)上不斷增強(qiáng)網(wǎng)絡(luò)安全性。究其原因，主要是因?yàn)榫W(wǎng)絡(luò)安全運(yùn)行期間所面臨的風(fēng)險因素較多，我們難以對各類風(fēng)險問題進(jìn)行全面抵抗。為及時緩解不良因素對網(wǎng)絡(luò)安全運(yùn)行過程帶來的弊端影響，設(shè)計人員可利用定量與定性分析方法，對相應(yīng)的設(shè)計方案內(nèi)容進(jìn)行合理制定，以增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性與科學(xué)性。除此之外，系統(tǒng)設(shè)計工作應(yīng)構(gòu)建多重防護(hù)體系，通過不斷增強(qiáng)各層保護(hù)的協(xié)調(diào)交互性，確保信息安全得以有所保障[5]。

3 大數(shù)據(jù)時代計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)功能框架設(shè)計及分析

計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在功能框架設(shè)計方面所涉及到的核心內(nèi)容較多，具體可以參照圖1。因此在規(guī)劃設(shè)計過程中，設(shè)計人員應(yīng)該主動結(jié)合各功能框架設(shè)計要點(diǎn)，對其所涉及到的涉及內(nèi)容進(jìn)行統(tǒng)籌規(guī)劃與合理部署。

3.1 物理隔離設(shè)計

所謂的物理隔離設(shè)計，主要是針對內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)隔離架構(gòu)設(shè)計工作而言。在具體設(shè)計過程中，設(shè)計人員可從物理隔離角度，利用PC 隔離方法構(gòu)建虛擬工作站。通過科學(xué)設(shè)計獨(dú)立硬盤數(shù)據(jù)儲存體系以及相關(guān)系統(tǒng)，確保安全區(qū)以及非安全區(qū)環(huán)境上可以滿足物理隔離條件。在此過程中，設(shè)計人員應(yīng)該建立專用的數(shù)據(jù)接口以及網(wǎng)線接口，以增強(qiáng)物理隔離效果。

與此同時，在主盤以及硬盤之間可利用全控制方式，完成對硬盤通道的全過程控制管理。在此過程中，硬盤數(shù)據(jù)轉(zhuǎn)換過程可利用繼電器控制方式實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的來回切換，保障計算機(jī)系統(tǒng)運(yùn)行的安全性與可靠性。除此之外，設(shè)計人員可利用IDE-ATA 硬盤操作系統(tǒng)，確?？梢栽诓煌钟蚓W(wǎng)絡(luò)環(huán)境中安全運(yùn)行，實(shí)現(xiàn)對數(shù)據(jù)資源的存儲與保管[6]。

3.2 桌面系統(tǒng)安全設(shè)計

數(shù)據(jù)桌面系統(tǒng)安全設(shè)計可主動利用云計算數(shù)據(jù)服務(wù)，實(shí)現(xiàn)對海量數(shù)據(jù)資源的存儲管理。與此同時，數(shù)據(jù)桌面系統(tǒng)安全設(shè)計可指導(dǎo)用戶完成對數(shù)據(jù)資源的遠(yuǎn)程操控與查詢管理。一般來說，計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中所涉及到的數(shù)據(jù)信息儲存方式，主要以文件方式在硬盤中進(jìn)行存儲管理。而這種方式所呈現(xiàn)出的數(shù)據(jù)信息很容易被竊取，針對于此，設(shè)計人員可利用本地安全管理方式完成對本地數(shù)據(jù)資源的存儲與保護(hù)。舉例而言，可利用北信源桌面安全保護(hù)系統(tǒng)完成對本地數(shù)據(jù)資源的存儲與保護(hù)。除此之外，桌面安全保護(hù)系統(tǒng)本身具有中央處理器等功能優(yōu)勢，并且可利用加密運(yùn)行處理器在芯片內(nèi)部設(shè)計密鑰以及加密算法，這樣一來，可有效阻擋非法數(shù)據(jù)入侵系統(tǒng)。

3.3 病毒防護(hù)系統(tǒng)設(shè)計

服務(wù)器病毒防護(hù)設(shè)計中所涉及到的管理模塊以及防毒模塊，可利用獨(dú)立安裝方式增強(qiáng)系統(tǒng)整體的安全穩(wěn)定運(yùn)行效果。與此同時，服務(wù)器防毒系統(tǒng)在部署規(guī)劃方面可以采取單點(diǎn)位置方式進(jìn)行合理部署。結(jié)合實(shí)踐設(shè)計經(jīng)驗(yàn)來看，本方案所采用的深信服終端檢測響應(yīng)平臺EDR 產(chǎn)品可有效支持Linux 等操作系統(tǒng)平臺。在此過程中，建議設(shè)計人員可利用單點(diǎn)控制模式實(shí)現(xiàn)對EDR 客戶端防毒模塊的操控管理。需要注意的是，客戶端防毒模塊在集中部署方面，可按照系統(tǒng)客戶端運(yùn)行實(shí)際情況進(jìn)行合理部署。其中，利用EDR 的管理平臺對終端進(jìn)行合規(guī)檢查，微隔離的訪問控制策略統(tǒng)一管理以及對安全事件的一鍵隔離處置。

3.4 訪問控制設(shè)計

訪問控制設(shè)計可利用NGAF 防火墻設(shè)備以及網(wǎng)絡(luò)安全準(zhǔn)入設(shè)備完成對內(nèi)部網(wǎng)絡(luò)運(yùn)行體系的全面保護(hù)。一般來說，訪問控制設(shè)計可重點(diǎn)針對NGAF 防火墻設(shè)備所涉及到的網(wǎng)絡(luò)地址轉(zhuǎn)換以及數(shù)據(jù)信息過濾等訪問控制功能進(jìn)行統(tǒng)籌規(guī)劃與合理部署。從實(shí)踐情況上來看，計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)通過合理運(yùn)用NGAF 防火墻技術(shù)，基本上可以實(shí)現(xiàn)對內(nèi)網(wǎng)的網(wǎng)段劃分處理，不僅可以保障網(wǎng)絡(luò)數(shù)據(jù)服務(wù)器等設(shè)備運(yùn)行質(zhì)量安全，同時也可以加強(qiáng)對外部攻擊的防御處理。需要注意的是，NGAF 防火墻設(shè)計必須按照靈活部署原則，支持不同網(wǎng)絡(luò)環(huán)境運(yùn)行，以期可以對常見網(wǎng)絡(luò)攻擊起到良好的抵御作用[7]。

3.5 信息加密設(shè)計

本文所研究的計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在信息加密設(shè)計方式的選用上，主要采用SJW07AII 型網(wǎng)絡(luò)密碼機(jī)。一般來說，這種類型的網(wǎng)絡(luò)密碼機(jī)可在局域網(wǎng)帶寬千兆的辦公區(qū)域內(nèi)實(shí)現(xiàn)安全配置管理。這樣一來，不僅可以保障數(shù)據(jù)信息傳輸?shù)陌踩耘c科學(xué)性，同時也可以防止信息傳輸過程中存在干擾問題。在加密設(shè)計過程中，內(nèi)網(wǎng)可通過劃分多個子網(wǎng)，完成對數(shù)據(jù)安全傳輸問題的有效解決。并通過構(gòu)建獨(dú)立信息安全通道體系，完成對數(shù)據(jù)資源的加密以及認(rèn)證處理。除此之外，利用對稱加密算法以及非對稱加密算法，可大體上解決以往數(shù)據(jù)資源傳輸存在的弊端問題。

3.6 入侵檢測與防御設(shè)計

關(guān)于入侵檢測與防御設(shè)計工作的部署與實(shí)施，系統(tǒng)內(nèi)部子網(wǎng)可按照部門實(shí)現(xiàn)網(wǎng)段劃分處理。要求各個子網(wǎng)都必須配置一臺交換機(jī)，以確保系統(tǒng)網(wǎng)絡(luò)中心可以實(shí)現(xiàn)對各子網(wǎng)的統(tǒng)一管理。在具體處理過程中，子網(wǎng)可匯集到主干網(wǎng)絡(luò)，并通過連接高性能數(shù)據(jù)服務(wù)器，增強(qiáng)數(shù)據(jù)保護(hù)程度。與此同時，利用IPS 入侵防御系統(tǒng)實(shí)現(xiàn)對子網(wǎng)內(nèi)數(shù)據(jù)資源的動態(tài)監(jiān)測與管理，對于非法入侵的數(shù)據(jù)以及訪問進(jìn)行自動防御攔截。其中，可將攔截所得的數(shù)據(jù)以及訪問進(jìn)行精準(zhǔn)記錄，并形成安全訪問日志，根據(jù)等保要求，攔截數(shù)據(jù)保留180 天以上。

3.7 漏洞掃描

一般來說，計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在運(yùn)行過容易受到不確定因素的影響而出現(xiàn)漏洞問題。如果工作人員不及時排查漏洞問題，就很容易導(dǎo)致計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行異常或者存在其他隱患問題。為進(jìn)一步加強(qiáng)對系統(tǒng)漏洞問題的排查與管理，設(shè)計人員主動利用網(wǎng)絡(luò)漏洞掃描針實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)部信息點(diǎn)到快速掃描，并根據(jù)掃描反饋結(jié)果對當(dāng)前網(wǎng)絡(luò)內(nèi)部信息點(diǎn)情況進(jìn)行合理把握。與此同時，網(wǎng)絡(luò)漏洞掃描針也可以主動結(jié)合IPS 以及防火墻技術(shù)，形成網(wǎng)絡(luò)安全策略。并通過配置IP 地址掃描功能，加強(qiáng)對網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的針對性掃描與管理。除此之外，也可以利用Web 式遠(yuǎn)程管理模實(shí)現(xiàn)遠(yuǎn)程漏洞掃描管理過程。

4 結(jié)論

總而言之，大數(shù)據(jù)時代的全面來臨無疑是對網(wǎng)絡(luò)安全帶來了全新的機(jī)遇與挑戰(zhàn)。在這樣的發(fā)展態(tài)勢下，計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)必須迎合大數(shù)據(jù)時代發(fā)展需求，對當(dāng)前結(jié)構(gòu)功能體系存在的滯后性問題進(jìn)行及時改進(jìn)與優(yōu)化處理。除此之外，計算機(jī)行業(yè)內(nèi)部研究人員應(yīng)該主動立足于大數(shù)據(jù)等新一代通信技術(shù)的前沿發(fā)展動態(tài)，利用高效合理的技術(shù)內(nèi)容，增強(qiáng)計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性與合理性。相信在全體人員的不斷努力下，大數(shù)據(jù)時代計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)將會得到進(jìn)一步高效穩(wěn)定運(yùn)行。