胡萍萍

（桂林電子科技大學(xué) 廣西壯族自治區(qū)桂林市 541004）

1 引言

大數(shù)據(jù)技術(shù)的應(yīng)用和發(fā)展，海量數(shù)據(jù)的出現(xiàn)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息安全防護(hù)變得非常重要。數(shù)據(jù)安全防護(hù)是當(dāng)代計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的重要問題，應(yīng)用計(jì)算機(jī)技術(shù)解決大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)數(shù)據(jù)安全的問題，構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，防止網(wǎng)絡(luò)數(shù)據(jù)被非法竊取和攻擊，是保證數(shù)據(jù)安全的重要內(nèi)容。

2 大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全策略

大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)進(jìn)行設(shè)計(jì)，滿足大數(shù)據(jù)時(shí)代對(duì)信息安全的基本需要，在保證網(wǎng)絡(luò)物理安全的基礎(chǔ)上保證數(shù)據(jù)信息安全。在大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)安全策略是采用計(jì)算機(jī)技術(shù)手段對(duì)網(wǎng)絡(luò)安全實(shí)施管理，大數(shù)據(jù)時(shí)代采用網(wǎng)絡(luò)安全策略如圖1所示。

物理安全策略是保護(hù)計(jì)算機(jī)硬件設(shè)備，包括網(wǎng)絡(luò)服務(wù)器交換機(jī)以及通信線路的安全等，并對(duì)用戶權(quán)限進(jìn)行驗(yàn)證，建立完善的網(wǎng)絡(luò)安全管理制度，避免對(duì)計(jì)算機(jī)資源進(jìn)行非法竊取，以及防止電磁泄漏等物理安全策略。訪問控制策略作為網(wǎng)絡(luò)安全防護(hù)的重要策略，主要是保護(hù)網(wǎng)絡(luò)資源不被非法訪問和竊取，并提高網(wǎng)絡(luò)系統(tǒng)安全性能，保護(hù)網(wǎng)絡(luò)資源的安全性。訪問控制策略是網(wǎng)絡(luò)安全策略中使用的核心策略，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)資源的安全性。信息加密策略主要是對(duì)網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)信息進(jìn)行保護(hù)，保證網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中的完整性和準(zhǔn)確性。網(wǎng)絡(luò)信息加密策略采用鏈路加密可以提高網(wǎng)絡(luò)內(nèi)部結(jié)點(diǎn)之間數(shù)據(jù)在鏈路傳輸?shù)陌踩?，并?duì)鏈路中從源節(jié)點(diǎn)到目的結(jié)點(diǎn)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，提高數(shù)據(jù)加密保護(hù)服務(wù)。信息加密通過加密算法等方法實(shí)現(xiàn)，對(duì)數(shù)據(jù)進(jìn)行加密和解密，保護(hù)用戶數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全管理策略包括對(duì)計(jì)算機(jī)機(jī)房管理制度的制定，以及網(wǎng)絡(luò)系統(tǒng)管理以及維護(hù)的相應(yīng)措施設(shè)計(jì)，進(jìn)而提高網(wǎng)絡(luò)安全等級(jí)，有效保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全及完整。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

3.1 系統(tǒng)設(shè)計(jì)目標(biāo)

系統(tǒng)設(shè)計(jì)目標(biāo)是在保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)上，采用網(wǎng)絡(luò)安全策略對(duì)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)信息進(jìn)行保護(hù)，防止網(wǎng)絡(luò)數(shù)據(jù)信息泄露，構(gòu)建一個(gè)完善的信息網(wǎng)絡(luò)安全系統(tǒng)。采用計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，保證數(shù)據(jù)交互的安全性，推動(dòng)計(jì)算機(jī)信息安全系統(tǒng)的穩(wěn)定運(yùn)行。大數(shù)據(jù)時(shí)代海量數(shù)據(jù)信息的發(fā)展，網(wǎng)絡(luò)安全逐漸側(cè)重對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)安全的保護(hù)，因此系統(tǒng)設(shè)計(jì)上要按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行規(guī)劃設(shè)計(jì)，構(gòu)建網(wǎng)絡(luò)信息安全保護(hù)平臺(tái)，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的標(biāo)準(zhǔn)化和平臺(tái)化，提高網(wǎng)絡(luò)數(shù)據(jù)信息安全保護(hù)能力。在網(wǎng)絡(luò)安全保護(hù)功能上要建立多層級(jí)的等級(jí)保護(hù)策略，構(gòu)建多元化的信道保護(hù)方法，并針對(duì)網(wǎng)絡(luò)安全保護(hù)的實(shí)際情況，采用計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，全方位的構(gòu)建網(wǎng)絡(luò)安全體系，提高大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的保護(hù)能力。

圖1：網(wǎng)絡(luò)安全策略

圖2：大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)功能架構(gòu)圖

3.2 系統(tǒng)設(shè)計(jì)原則

安全可靠原則，是計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的運(yùn)行基礎(chǔ)原則。保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，采用信息安全產(chǎn)品以及信息安全技術(shù)構(gòu)建網(wǎng)絡(luò)安全保護(hù)方案，保證系統(tǒng)的安全性。在系統(tǒng)設(shè)計(jì)過程中采用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)手段和高質(zhì)量的網(wǎng)絡(luò)安全產(chǎn)品，保證系統(tǒng)安全可靠的運(yùn)行。一致性原則，根據(jù)網(wǎng)絡(luò)安全問題制定滿足網(wǎng)絡(luò)安全需求的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)，在網(wǎng)絡(luò)安全運(yùn)行周期內(nèi)制定相應(yīng)的數(shù)據(jù)安全保護(hù)策略。易操作原則，系統(tǒng)在設(shè)計(jì)過程中要考慮到應(yīng)用技術(shù)的可操作性，讓管理人員可以方便的對(duì)系統(tǒng)進(jìn)行操作，這樣避免因?yàn)槿藶椴僮鞫鴮?dǎo)致系統(tǒng)的安全性下降。而且系統(tǒng)設(shè)計(jì)過程中，要充分考慮到系統(tǒng)的可擴(kuò)展性，便于系統(tǒng)硬件和軟件的模塊功能擴(kuò)展。采用標(biāo)準(zhǔn)化的技術(shù)和技術(shù)體系來實(shí)現(xiàn)對(duì)系統(tǒng)的設(shè)計(jì)，提高系統(tǒng)的標(biāo)準(zhǔn)化水平，以及提升系統(tǒng)的兼容性。風(fēng)險(xiǎn)平衡分析原則，網(wǎng)絡(luò)安全要實(shí)現(xiàn)絕對(duì)安全是很難到達(dá)的，只能最大化的提升網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)以及威脅很多，要采用定量和定性的分析方法，并制定相應(yīng)的設(shè)計(jì)方案，保證網(wǎng)絡(luò)系統(tǒng)自身的安全。系統(tǒng)設(shè)計(jì)構(gòu)建多重防護(hù)的體系，各層保護(hù)相互協(xié)調(diào)，如果一層防護(hù)被攻破了那么可以采用其它層的防護(hù)來保護(hù)信息的安全。

3.3 系統(tǒng)總體功能架構(gòu)設(shè)計(jì)

如圖2所示。

3.1.1 物理隔離設(shè)計(jì)

物理隔離設(shè)計(jì)是構(gòu)建內(nèi)網(wǎng)和外網(wǎng)數(shù)據(jù)隔離架構(gòu)，從物理上對(duì)PC 隔離并建立虛擬工作站，設(shè)計(jì)獨(dú)立的硬盤數(shù)據(jù)存儲(chǔ)體系和操作系統(tǒng)，并建立專用的數(shù)據(jù)接口以及網(wǎng)線接口，保證安全區(qū)和非安全區(qū)在環(huán)境上實(shí)現(xiàn)物理隔離。在主板和硬盤之間采用全控制方式，對(duì)硬盤通道實(shí)現(xiàn)全控制，硬盤數(shù)據(jù)轉(zhuǎn)換采用繼電器控制內(nèi)網(wǎng)和外網(wǎng)的切換，保證計(jì)算機(jī)系統(tǒng)的可靠性和穩(wěn)定性。設(shè)計(jì)中采用IDE-ATA硬盤的操作系統(tǒng)，這樣可以在不同的局域網(wǎng)的網(wǎng)絡(luò)環(huán)境下運(yùn)行，并保證數(shù)據(jù)存儲(chǔ)和處理的安全性。

3.1.2 桌面系統(tǒng)安全設(shè)計(jì)

數(shù)據(jù)桌面系統(tǒng)安全設(shè)計(jì)可以采用云計(jì)算數(shù)據(jù)服務(wù)，對(duì)海量的數(shù)據(jù)進(jìn)行存儲(chǔ)，并實(shí)現(xiàn)用戶對(duì)數(shù)據(jù)的遠(yuǎn)程操作和查詢。在計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中數(shù)據(jù)信息存儲(chǔ)主要是以文件的方式在硬盤中存儲(chǔ)，因此數(shù)據(jù)信息容易被泄露或者被供給，因此采用本地安全管理的方式對(duì)本地存儲(chǔ)的數(shù)據(jù)進(jìn)行保護(hù)，采用清華紫光的桌面安全保護(hù)系統(tǒng)，是本方案中重要的技術(shù)設(shè)計(jì)。桌面安全保護(hù)系統(tǒng)具有加密運(yùn)行處理器以及中央處理器等功能，并在芯片內(nèi)部設(shè)計(jì)了秘鑰和加密算法等，防止非法數(shù)據(jù)對(duì)系統(tǒng)的入侵，清華紫光的桌面安全保護(hù)系統(tǒng)采用封裝的方式，可以有效的對(duì)物理和電子攻擊進(jìn)行防范。

3.1.3 病毒防護(hù)系統(tǒng)設(shè)計(jì)

服務(wù)器病毒防護(hù)設(shè)計(jì)中對(duì)管理模塊和防毒模塊采用獨(dú)立安裝的方式，這樣病毒防護(hù)系統(tǒng)不會(huì)影響操作系統(tǒng)的穩(wěn)定運(yùn)行，而且服務(wù)器的防毒系統(tǒng)可以部署到單點(diǎn)的位置。本方案采用ServerProtect 防毒產(chǎn)品，可以有效的支持Windows NT/2008 和Linux 等操作系統(tǒng)平臺(tái)。

客戶端病毒防護(hù)設(shè)計(jì)采用OfficeScan 網(wǎng)絡(luò)版的客戶端防毒體系，采用單點(diǎn)控制的模式對(duì)客戶端的防毒模塊進(jìn)行管理和控制?？蛻舳朔蓝灸K可以根據(jù)系統(tǒng)客戶端運(yùn)行的情況進(jìn)行集中部署，并且支持SMS 和登錄腳本等，而且在WEB 數(shù)據(jù)服務(wù)中也可以發(fā)揮防毒作用。

集中控制TVCS 工具設(shè)計(jì)方案，實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的防毒軟件進(jìn)行配置和管理，在不同的網(wǎng)段VLAN 內(nèi)實(shí)現(xiàn)控制，并在任何平臺(tái)都可以采用TVCS 網(wǎng)絡(luò)工具實(shí)現(xiàn)統(tǒng)一管理。

3.1.4 訪問控制設(shè)計(jì)

訪問控制設(shè)計(jì)中采用防火墻設(shè)備以及相關(guān)的訪問控制設(shè)備，并設(shè)置安全訪問規(guī)則實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)，防火墻設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換、數(shù)據(jù)信息過濾以及流量管控等基本的訪問控制功能，實(shí)現(xiàn)對(duì)系統(tǒng)數(shù)據(jù)訪問的安全防護(hù)。采用防火墻技術(shù)，對(duì)內(nèi)網(wǎng)進(jìn)行網(wǎng)段劃分，這樣可以保護(hù)網(wǎng)絡(luò)數(shù)據(jù)服務(wù)器等設(shè)備的安全，采用網(wǎng)段劃分的方式防御外部攻擊。防火墻的設(shè)計(jì)要具有靈活部署的特點(diǎn)，可以在不同的網(wǎng)絡(luò)環(huán)境下運(yùn)行，并支持多種動(dòng)態(tài)協(xié)議和應(yīng)用代理，為系統(tǒng)的整體安全設(shè)計(jì)提供VPN 客戶端，并采用增強(qiáng)型抗攻擊技術(shù)，對(duì)常見的網(wǎng)絡(luò)攻擊都可以起到良好的防范作用。

3.1.5 信息加密設(shè)計(jì)

本方案采用SJW-26 網(wǎng)絡(luò)密碼機(jī)，在局域網(wǎng)帶寬1000M 的不同的辦公區(qū)內(nèi)進(jìn)行配置，這樣可以有效的保護(hù)數(shù)據(jù)信息在傳輸中的安全性和完整性。把內(nèi)網(wǎng)劃分為多個(gè)子網(wǎng)后，各個(gè)子網(wǎng)的數(shù)據(jù)安全傳輸問題解決方案，是采用構(gòu)建獨(dú)立的信息安全通道，避免信息傳輸過程中的干擾，并對(duì)數(shù)據(jù)進(jìn)行加密和數(shù)據(jù)認(rèn)證，確保信息準(zhǔn)確和安全。采用對(duì)稱加密算法和非對(duì)稱加密算法對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，采用秘鑰對(duì)加密數(shù)據(jù)進(jìn)行解密，這樣數(shù)據(jù)安全性得到了保證。

3.1.6 入侵檢測(cè)設(shè)計(jì)

系統(tǒng)內(nèi)部子網(wǎng)按照部門進(jìn)行網(wǎng)段劃分，每一個(gè)子網(wǎng)都配置一臺(tái)交換機(jī)，并由系統(tǒng)的網(wǎng)絡(luò)中心進(jìn)行統(tǒng)一管理。子網(wǎng)匯聚到主干網(wǎng)絡(luò)中，連接高性能的數(shù)據(jù)服務(wù)器，并在數(shù)據(jù)服務(wù)器群設(shè)置DMZ 區(qū)。根據(jù)系統(tǒng)的網(wǎng)絡(luò)流量，以及數(shù)據(jù)保護(hù)的程度，設(shè)計(jì)IDS 入侵檢測(cè)系統(tǒng)，并配置在關(guān)鍵的子網(wǎng)入口位置，對(duì)子網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)和管理，并對(duì)非法入侵的數(shù)據(jù)和訪問進(jìn)行攔截，并生成安全訪問日志。入侵檢測(cè)實(shí)時(shí)的對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行攔截，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析，如果發(fā)現(xiàn)非法數(shù)據(jù)攻擊或者非授權(quán)訪問的數(shù)據(jù)，那么就可以對(duì)網(wǎng)絡(luò)攻擊事件進(jìn)行詳細(xì)的記錄，并具有對(duì)非法訪問采取網(wǎng)絡(luò)連接阻斷的操作功能?；赥CP/IP 協(xié)議的工作模式，對(duì)網(wǎng)絡(luò)端口、IP 目的地址和源地址進(jìn)行過濾，提供遠(yuǎn)程登錄和文件傳輸?shù)染W(wǎng)絡(luò)服務(wù)，并提供實(shí)時(shí)網(wǎng)絡(luò)安全事件的監(jiān)測(cè)功能。入侵監(jiān)測(cè)系統(tǒng)設(shè)計(jì)日志生成模塊，提供系統(tǒng)數(shù)據(jù)安全審計(jì)功能，為網(wǎng)絡(luò)數(shù)據(jù)安全提供保障。

3.1.7 漏洞掃描

網(wǎng)絡(luò)漏洞掃描針對(duì)網(wǎng)絡(luò)內(nèi)部信息點(diǎn)進(jìn)行高速掃描，并結(jié)合IDS和防火墻技術(shù)，構(gòu)建網(wǎng)絡(luò)安全策略。設(shè)計(jì)跨網(wǎng)段的移動(dòng)掃描軟件實(shí)現(xiàn)對(duì)數(shù)據(jù)服務(wù)器等設(shè)備分布掃描方式，并配置IP 地址的掃描功能，具有針對(duì)性的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的掃描。構(gòu)建三級(jí)漏洞掃描服務(wù)體系，內(nèi)網(wǎng)與外網(wǎng)設(shè)置為一級(jí)，內(nèi)網(wǎng)子網(wǎng)端口設(shè)置為二級(jí)，數(shù)據(jù)服務(wù)器等設(shè)備端口設(shè)置為三級(jí)，并部署漏洞掃描硬件和軟件，針對(duì)可疑漏洞和端口進(jìn)行掃描，提高內(nèi)網(wǎng)的數(shù)據(jù)完全性。設(shè)計(jì)WEB 式的遠(yuǎn)程管理，采用WEB 方式實(shí)現(xiàn)遠(yuǎn)程漏洞掃描管理，并以HTTP 為技術(shù)支持，遠(yuǎn)程聯(lián)控掃描設(shè)備，提高系統(tǒng)漏洞掃描效率。

4 總結(jié)

大數(shù)據(jù)時(shí)代數(shù)據(jù)安全是當(dāng)代網(wǎng)絡(luò)安全的重要問題，構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，采用計(jì)算機(jī)技術(shù)對(duì)網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行設(shè)計(jì)，提高網(wǎng)絡(luò)數(shù)據(jù)的安全性，有效的保護(hù)大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)數(shù)據(jù)安全，為今后計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)和應(yīng)用提供了技術(shù)支持。