蘇 巖

（哈爾濱師范大學(xué) 網(wǎng)絡(luò)信息中心，黑龍江 哈爾濱150025）

1 計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)概述

影響網(wǎng)絡(luò)安全的因素很多，保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來(lái)說(shuō)，保護(hù)網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù)，等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施進(jìn)行整合，建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系，這樣一個(gè)全面的網(wǎng)絡(luò)安全解決方案，可以防止安全風(fēng)險(xiǎn)的各個(gè)方面的問(wèn)題。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)

2.1 桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤(pán)上，使用戶可以方便地存取、修改、分發(fā)。 這樣可以提高辦公的效率，但同時(shí)也造成用戶的信息易受到攻擊，造成泄密。特別是對(duì)于移動(dòng)辦公的情況更是如此。因此，需要對(duì)移動(dòng)用戶的文件及文件夾進(jìn)行本地安全管理，防止文件泄密等安全隱患。

2.2 病毒防護(hù)系統(tǒng)

（1）郵件防毒。采用趨勢(shì)科技的ScanMail for Notes。該產(chǎn)品可以和Domino 的群件服務(wù)器無(wú)縫相結(jié)合并內(nèi)嵌到Notes 的數(shù)據(jù)庫(kù)中，可防止病毒入侵到LotueNotes 的數(shù)據(jù)庫(kù)及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)及信件附件中的病毒?？赏ㄟ^(guò)任何Notes 工作站或Web 界面遠(yuǎn)程控管防毒管理工作， 并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail 是Notes Domino Server 使用率最高的防病毒軟件。

（2）服務(wù)器防毒。 采用趨勢(shì)科技的ServerProtect。 該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開(kāi)安裝。 一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。

（3）客戶端防毒。 采用趨勢(shì)科技的OfficeScan。 該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)， 使管理者通過(guò)單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。 其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受Windows 域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web 的部署方式。

（4)集中控管TVCS。 管理員可以通過(guò)此工具在整個(gè)企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。 無(wú)論運(yùn)行于何種平臺(tái)和位置，TVCS 在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)，給管理帶來(lái)極大的便利。

2.3 動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)

動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開(kāi)的密碼算法基礎(chǔ)上，結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，通過(guò)十次以上的非線性迭代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。 在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。

2.4 訪問(wèn)控制“防火墻”

單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問(wèn)、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。 本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個(gè)重要部門(mén)的局域網(wǎng)出入口，實(shí)現(xiàn)這些重要部門(mén)的訪問(wèn)控制。

通過(guò)在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門(mén)之間部署防火墻，通過(guò)防火墻將網(wǎng)絡(luò)內(nèi)部不同部門(mén)的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。 這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來(lái)自內(nèi)部的攻擊，也保護(hù)了各部門(mén)網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來(lái)自單位網(wǎng)內(nèi)部其他部門(mén)的網(wǎng)絡(luò)的攻擊。

2.5 信息加密、信息完整性校驗(yàn)

為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道，通過(guò)嚴(yán)格的加密和認(rèn)證措施來(lái)保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。

SJW-22 網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成

網(wǎng)絡(luò)密碼機(jī)（硬件）:是一個(gè)基于專(zhuān)用內(nèi)核，具有自主版權(quán)的高級(jí)通信保護(hù)控制系統(tǒng)。

本地管理器（軟件）:是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。

中心管理器（軟件）:是一個(gè)安裝于中心管理平臺(tái)上的對(duì)全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。

2.6 安全審計(jì)系統(tǒng)

根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法，“內(nèi)審”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查，識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密，以解決內(nèi)層安全。

安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段，安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。

2.7 入侵檢測(cè)系統(tǒng)IDS

入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)， 提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從國(guó)際入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。

根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇IDS 探測(cè)器配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置，核心交換機(jī)放置控制臺(tái)，監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

2.8 漏洞掃描系統(tǒng)

聯(lián)動(dòng)掃描系統(tǒng)支持多線程掃描，有較高的掃描速度，支持定時(shí)和多IP 地址的自動(dòng)掃描， 網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。 同時(shí)提供了Web 方式的遠(yuǎn)程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。 另外對(duì)于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II 型移動(dòng)式掃描儀。 移動(dòng)式掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻，對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù)，這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能地消除安全隱患。

3 結(jié)束語(yǔ)

本文根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的總體規(guī)劃,從桌面系統(tǒng)安全、病毒防護(hù)、身份鑒別、訪問(wèn)控制、信息加密、信息完整性校驗(yàn)、抗抵賴、安全審計(jì)、入侵檢測(cè)、漏洞掃描等方面安全技術(shù)和管理措施設(shè)計(jì)出一整套解決方案，目的是建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。

［1］程艷旗.浙江大學(xué)智慧型校園探索[OL].百度文庫(kù),2010，12:3-8.

［2］趙廣元.一種基于統(tǒng)一理念的整體數(shù)字校園構(gòu)建方案[J].西安郵電學(xué)院學(xué)報(bào),2006,3(11):131-134.

［3］陳洪濤.基于LDAP 的空管用戶目錄服務(wù)系統(tǒng)構(gòu)建[J].計(jì)算機(jī)工程與設(shè)計(jì),2010,31(19):4205-4208.