鄒佛新

摘要：該文為保證企業(yè)網(wǎng)絡(luò)安全性，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的有效保護(hù)，應(yīng)用三層架構(gòu)，完成對(duì)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)。首先，設(shè)計(jì)和搭建系統(tǒng)架構(gòu)和系統(tǒng)運(yùn)行環(huán)境。其次，完成對(duì)探測器模塊設(shè)計(jì)、管理器模塊、控制臺(tái)模塊三大核心模塊的設(shè)計(jì)。最后，對(duì)系統(tǒng)進(jìn)行測試。結(jié)果表明，在三層架構(gòu)的應(yīng)用背景下，該文所設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)可以統(tǒng)一化、智能化監(jiān)控和管理所有安全設(shè)備，保證安全設(shè)備運(yùn)行性能，為用戶打造良好、安全的網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：三層架構(gòu)；企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)；設(shè)計(jì)

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2023）31-0104-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）

0 引言

互聯(lián)網(wǎng)時(shí)代的到來給人們的日常生活和工作提供了極大的便利，但是也引發(fā)了一系列的網(wǎng)絡(luò)安全問題。在此背景下，出現(xiàn)了大量的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全設(shè)備。為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的有效保護(hù)，單個(gè)網(wǎng)絡(luò)中通常需要安裝和部署多個(gè)安全產(chǎn)品，這些安全設(shè)備安裝和應(yīng)用存在一定的分散性[1]，出現(xiàn)了各自為政的現(xiàn)象，不利于后期各種入侵行為的發(fā)現(xiàn)和處理，而企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)和應(yīng)用可以有效地解決以上問題。該系統(tǒng)主要應(yīng)用三層架構(gòu)，可以實(shí)現(xiàn)對(duì)分布式系統(tǒng)設(shè)備的集中化、智能化管理，確保各個(gè)網(wǎng)絡(luò)安全設(shè)備之間保持相互協(xié)作關(guān)系，提高企業(yè)網(wǎng)絡(luò)安全性和可靠性[2]。所以，如何設(shè)計(jì)基于三層架構(gòu)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是技術(shù)人員必須思考和解決的問題。

1 系統(tǒng)總體設(shè)計(jì)

1.1 系統(tǒng)架構(gòu)設(shè)計(jì)

系統(tǒng)架構(gòu)設(shè)計(jì)示意圖如圖1所示，從圖1可以看出，該系統(tǒng)架構(gòu)主要由以下幾部分組成：1） 探測器。探測器主要包含網(wǎng)絡(luò)探測器、設(shè)備探測器、其他廠商等部分組成。2） 管理中心。管理中心除了可以直接用于重要數(shù)據(jù)存儲(chǔ)外[3]，還用于對(duì)數(shù)據(jù)的系統(tǒng)化處理和安全化管理。3） 控制臺(tái)。通過運(yùn)用控制臺(tái)，可以實(shí)現(xiàn)對(duì)多個(gè)用戶安全狀況分析、報(bào)警與統(tǒng)計(jì)等處理。該系統(tǒng)結(jié)合報(bào)警及配置情況，可以自動(dòng)化響應(yīng)事件，保證短消息和郵件發(fā)送的及時(shí)性以及與防火墻聯(lián)動(dòng)的有效性。

1.2 系統(tǒng)運(yùn)行環(huán)境搭建

1.2.1 硬件環(huán)境

在搭建系統(tǒng)硬件環(huán)境時(shí)，要重點(diǎn)做好對(duì)應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、客戶端及其相關(guān)性能指標(biāo)的設(shè)置，為后期系統(tǒng)功能運(yùn)行提供良好的硬件環(huán)境。

1.2.2 軟件環(huán)境

在搭建系統(tǒng)軟件環(huán)境時(shí)，要重點(diǎn)做好對(duì)中間件、數(shù)據(jù)庫、開發(fā)工具、編程語言、系統(tǒng)架構(gòu)、操作系統(tǒng)等工具的配置，為后期系統(tǒng)功能設(shè)計(jì)提供良好的軟件環(huán)境。

2 系統(tǒng)功能設(shè)計(jì)和實(shí)現(xiàn)

為了充分發(fā)揮和利用三層架構(gòu)設(shè)計(jì)思想的應(yīng)用優(yōu)勢，提高企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的穩(wěn)定性和實(shí)用性，技術(shù)人員要重點(diǎn)做好對(duì)探測器模塊、管理器模塊、控制臺(tái)模塊的科學(xué)設(shè)計(jì)。這些功能在具體設(shè)計(jì)中，除了用到eclipse開發(fā)工具外，還用到JAVA編程語言以及JSP技術(shù)、Spring技術(shù)和Hibernate技術(shù)三種Web展示技術(shù)。

2.1 探測器模塊設(shè)計(jì)

探測器模塊在整個(gè)系統(tǒng)中主要承擔(dān)網(wǎng)絡(luò)入侵檢測角色，應(yīng)用該模塊可以智能化監(jiān)控某一具體網(wǎng)段。通過將探測器安裝和固定到所需要的監(jiān)控網(wǎng)段上，可以及時(shí)發(fā)現(xiàn)和處理由病毒所形成的報(bào)警信息。應(yīng)用探測器可以直接獲取相關(guān)網(wǎng)段上的數(shù)據(jù)包[4]，并進(jìn)行協(xié)議分析。同時(shí)，結(jié)合協(xié)議分析結(jié)果，按照制定好的規(guī)則對(duì)其進(jìn)行全面化檢查，從而形成相應(yīng)的報(bào)警信息。探測器模塊結(jié)構(gòu)示意圖如圖2所示。任意一種探測器均難以及時(shí)、有效地分析和處理網(wǎng)絡(luò)系統(tǒng)相關(guān)安全問題。例如：應(yīng)用網(wǎng)絡(luò)探測器難以及時(shí)發(fā)現(xiàn)和處理主機(jī)內(nèi)部非法訪問行為，只有應(yīng)用掃描探測器才能智能化、主動(dòng)化探測各種漏洞問題。網(wǎng)絡(luò)系統(tǒng)中，主要使用多種操作系統(tǒng)、應(yīng)用系統(tǒng)等，可以全面化、細(xì)致化觀察和掌控系統(tǒng)網(wǎng)絡(luò)是否安全可靠，便于相關(guān)人員真實(shí)有效地了解和把握當(dāng)前系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀[5]。因此，為保證企業(yè)網(wǎng)絡(luò)安全性，要綜合應(yīng)用網(wǎng)絡(luò)探測器、設(shè)備探測器等多種探測器，完成對(duì)探測器模塊的科學(xué)化設(shè)計(jì)。在設(shè)計(jì)該模塊時(shí)，要借助多種探測器，為特定的抽象操作提供一定的支持，便于相關(guān)人員統(tǒng)一化、智能化管理分級(jí)網(wǎng)絡(luò)安全綜合預(yù)警系統(tǒng)。此外，結(jié)合網(wǎng)絡(luò)入侵類型應(yīng)用Snort軟件的開放源代碼，智能化檢測該系統(tǒng)，這是由于Snort軟件程序架構(gòu)具有輕巧、靈活等特點(diǎn)，可以直接運(yùn)行于不同平臺(tái)中[6]。

2.2 管理器模塊

管理器作為一種交互界面，可以與探測器直接交互操作。應(yīng)用管理器可以將所發(fā)送的探測器命令直接傳輸和發(fā)布到相應(yīng)的探測器中，各個(gè)探測器數(shù)據(jù)均被統(tǒng)一化發(fā)送和傳輸?shù)洁徑墓芾碇行奈恢?。各個(gè)控制臺(tái)所獲得數(shù)據(jù)主要來源于用戶成功登錄的管理中心處，應(yīng)用管理中心可以間接傳輸探測器命令和策略[7]。管理中心主要用于對(duì)多種數(shù)據(jù)的統(tǒng)一化處理、存儲(chǔ)和分發(fā)。

結(jié)合網(wǎng)絡(luò)復(fù)雜度，可以采用級(jí)聯(lián)處理方式，對(duì)管理中心進(jìn)行統(tǒng)一化處理，以保證多級(jí)預(yù)警功能實(shí)現(xiàn)效果。下級(jí)管理中心所報(bào)告的信息具有一定的精簡性、真實(shí)性和可靠性，管理器模塊結(jié)構(gòu)示意圖如圖3所示。

2.2.1 數(shù)據(jù)包捕獲子模塊

數(shù)據(jù)包捕獲子模塊主要是指應(yīng)用該系統(tǒng)物理網(wǎng)絡(luò)鏈路層，實(shí)現(xiàn)對(duì)所需網(wǎng)段原始數(shù)據(jù)的直接收集和整理。該模塊在保證整個(gè)系統(tǒng)可移植性和高效性方面發(fā)揮出重要作用，即運(yùn)用該模塊，可以實(shí)現(xiàn)對(duì)不同系統(tǒng)鏈路系統(tǒng)差異性問題的有效屏蔽。運(yùn)用混雜模式完成對(duì)探測器網(wǎng)卡的有效設(shè)置，可以全部抓取和整理整個(gè)網(wǎng)段上各項(xiàng)數(shù)據(jù)包。

2.2.2 入侵匹配子模塊

入侵匹配模塊主要指匹配處理所分類好的協(xié)議數(shù)據(jù)和攻擊特征庫信息，如果匹配成功，說明存在入侵行為，需要將相關(guān)信息安全、可靠地傳輸?shù)较嚓P(guān)模塊中，確保相關(guān)模塊與控制臺(tái)之間建立密切的連接關(guān)系，從而實(shí)現(xiàn)對(duì)這些信息的有效控制。如果匹配失敗，需要對(duì)其進(jìn)行重新匹配，直到匹配成功為止。

2.2.3 異常處理子模塊

異常處理子模塊主要用于對(duì)部分統(tǒng)計(jì)功能的有效執(zhí)行。僅運(yùn)用部分規(guī)則，無法有效地判定部分入侵行為。例如：通過運(yùn)用特定類型包的數(shù)量，判定分布式拒絕服務(wù)攻擊行為，當(dāng)類型包數(shù)量超過所設(shè)置的入侵閾值時(shí)，可以將其視為“入侵行為”，并啟動(dòng)相應(yīng)的反應(yīng)機(jī)制。

2.2.4 信息預(yù)處理子模塊

信息預(yù)處理子模塊主要指統(tǒng)一化處理探測器所獲取到的報(bào)警信息格式，便于用戶在融合處理探測器所形成的報(bào)警信息時(shí)，可以提供統(tǒng)一化的信息傳輸格式，從而實(shí)現(xiàn)對(duì)不同探測器所產(chǎn)生信息的統(tǒng)一化管理，這為后期報(bào)警信息過濾提供了重要的數(shù)據(jù)支持。

2.3 控制臺(tái)模塊

控制臺(tái)模塊主要用于對(duì)用戶信息、探測器配置信息等信息管理功能和響應(yīng)功能的設(shè)計(jì)合和實(shí)現(xiàn)。對(duì)于探測器而言，其配置管理功能主要用于對(duì)探測器啟動(dòng)、關(guān)閉操作；響應(yīng)功能主要指當(dāng)系統(tǒng)被網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)不法分子惡意攻擊和入侵后，需要第一時(shí)間做出報(bào)警、切斷網(wǎng)絡(luò)連接等響應(yīng)。用戶直接操作和交互控制臺(tái)時(shí)，可以結(jié)合自身需求，實(shí)時(shí)發(fā)布和處理各種命令[8]。例如：應(yīng)用安全化策略，可以實(shí)現(xiàn)對(duì)相關(guān)資產(chǎn)的安全化啟動(dòng)和升級(jí)，并完成對(duì)相關(guān)屬性的有效設(shè)置。此外，運(yùn)用B/S模式，可以保證控制管理界面設(shè)計(jì)效果。B/S模式具有以下應(yīng)用優(yōu)勢：1） 可以保證多用戶監(jiān)控和管理的容易度，降低管控成本。2） 有利于更好地分離開發(fā)環(huán)境與應(yīng)用環(huán)境，為后期系統(tǒng)管理和升級(jí)提供一定的便捷性。控制臺(tái)模塊結(jié)構(gòu)示意圖如圖4所示。

控制臺(tái)作為一種信息操作界面，不能直接用于報(bào)警信息的處理和分析?？刂婆_(tái)運(yùn)用多種形式可以向合法訪問用戶生動(dòng)、形象地呈現(xiàn)相關(guān)報(bào)警信息，用戶在正式應(yīng)用控制臺(tái)之前，需要運(yùn)用合法的身份完成對(duì)管理中心的登錄和訪問。

3 系統(tǒng)運(yùn)行性能測試

為了更好地考察該系統(tǒng)的負(fù)載能力，測試人員需要重視對(duì)該系統(tǒng)性能的測試。在測試系統(tǒng)運(yùn)行性能時(shí)，要求1000名員工用戶同時(shí)在線登錄和訪問該系統(tǒng)?？梢钥闯?，當(dāng)同時(shí)在線登錄系統(tǒng)的員工用戶總數(shù)達(dá)到1000位時(shí)，系統(tǒng)仍然可以正常、穩(wěn)定地運(yùn)行，這表明該系統(tǒng)表現(xiàn)出較高的負(fù)載能力和運(yùn)行性能，完全可以滿足海量人員登錄和訪問系統(tǒng)需求。

4 結(jié)束語

綜上所述，在三層架構(gòu)的應(yīng)用背景下，本文所設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有操作簡單、安全可靠、靈活性強(qiáng)等特點(diǎn)，該系統(tǒng)設(shè)計(jì)研究工作主要包含以下幾點(diǎn)：1） 該系統(tǒng)開發(fā)主要運(yùn)用了基于探測器、管理中心、控制臺(tái)三層架構(gòu)設(shè)計(jì)思想，通過運(yùn)用多個(gè)探測器可以擴(kuò)大數(shù)據(jù)來源，實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的信息化管理。該系統(tǒng)在實(shí)際設(shè)計(jì)中主要用到分級(jí)、樹狀層次結(jié)構(gòu)，完全滿足多分級(jí)、跨地域網(wǎng)絡(luò)環(huán)境使用需求，有效保證了系統(tǒng)的擴(kuò)展性和靈活性。2） 該系統(tǒng)設(shè)計(jì)可以實(shí)現(xiàn)對(duì)設(shè)備運(yùn)行狀態(tài)、日志瀏覽、性能分析等信息的智能化管控，避免對(duì)單個(gè)安全設(shè)備過度依賴，從而實(shí)現(xiàn)各個(gè)設(shè)備的有效融合。3） 該系統(tǒng)具有強(qiáng)大的數(shù)據(jù)采集功能，不僅可以實(shí)現(xiàn)對(duì)安全設(shè)備信息的主動(dòng)化、實(shí)時(shí)化獲取，還能向安全中心匯報(bào)所采集的安全設(shè)備信息，由安全中心分時(shí)處理所采集到的信息，避免因海量采集信息同時(shí)傳輸而增加網(wǎng)絡(luò)崩潰、堵塞風(fēng)險(xiǎn)，保證網(wǎng)絡(luò)運(yùn)行性能。

參考文獻(xiàn)：

[1] 雷東.企業(yè)網(wǎng)絡(luò)安全信息管理系統(tǒng)設(shè)計(jì)[J].通信電源技術(shù)，2021，38（16）：110-112，118.

[2] 梁雅慶.關(guān)于電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)研究[J].數(shù)字化用戶，2017（28）：5.

[3] 胡漢賢.企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].數(shù)字通信世界，2016（7）：86-86，87.

[4] 王玨.電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計(jì)分析[J].數(shù)碼設(shè)計(jì)，2018（10）：144-145.

[5] 蔣宏林.淺談企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)搭建[J].中國新通信，2020，22（4）：130.

[6] 姚望.論企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的搭建[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（10）：128-129.

[7] 李雨泰.電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)的構(gòu)建分析[J].信息系統(tǒng)工程，2019（1）：74.

[8] 程偉.基于云計(jì)算技術(shù)下的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)構(gòu)建研究[J].科技展望，2016，26（5）：1，3.

【通聯(lián)編輯：代影】