彭曉輝

摘要

隨著社會經(jīng)濟(jì)的飛速發(fā)展以及移動互聯(lián)網(wǎng)技術(shù)的逐漸提升，計(jì)算機(jī)網(wǎng)絡(luò)開始在人們的日常工作生活占據(jù)著越來越重要的地位，也給人們的工作學(xué)習(xí)帶來了不少便利。但由于計(jì)算機(jī)網(wǎng)絡(luò)還存在著不少安全方面的漏洞容易遭受來自外界的攻擊和入侵，所以需要構(gòu)建好相應(yīng)的信息安全體系結(jié)構(gòu)來加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的信息安全。本文將就計(jì)算機(jī)網(wǎng)絡(luò)信息安全的背景等方面，就如何建立信息安全體系結(jié)構(gòu)進(jìn)行一些分析及參考意見。

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò) 信息安全體系 結(jié)構(gòu)

1構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)的必要性

從上世紀(jì)八十年代出現(xiàn)計(jì)算機(jī)病毒以來，人類社會為戰(zhàn)勝信息網(wǎng)絡(luò)安全威脅付出了大量的努力，到目前為止已經(jīng)取得了不錯的成效。但與此同時非法分子和黑客組織也在不斷地研究新的攻擊手段，制造新的安全威脅。近年來先后爆發(fā)的各種計(jì)算機(jī)病毒己經(jīng)給全球社會經(jīng)濟(jì)造成了嚴(yán)重的損失。來自網(wǎng)絡(luò)的安全威脅是實(shí)際存在的，特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時，解決網(wǎng)絡(luò)安全問題將是信息化發(fā)展過程中面臨的新問題和挑戰(zhàn)。隨著網(wǎng)絡(luò)接入用戶急劇增加，用戶的違規(guī)接入、非法攔截信息等不安全行為，都有可能影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行和信息數(shù)據(jù)的泄露或丟失等安全問題。網(wǎng)絡(luò)惡意代碼、網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)擁堵等風(fēng)險問題日益突出，網(wǎng)絡(luò)安全日趨重要。所以運(yùn)用適當(dāng)?shù)募夹g(shù)和安全產(chǎn)品，制定靈活的網(wǎng)絡(luò)安全策略，提供靈活可靠的網(wǎng)絡(luò)服務(wù)，有效降低網(wǎng)絡(luò)安全管理對網(wǎng)絡(luò)性能的影響，降低管理費(fèi)用，構(gòu)建一套合適的信息安全體系結(jié)構(gòu)具有重要意義。

2國內(nèi)網(wǎng)絡(luò)安全體系發(fā)展現(xiàn)狀

我國在系統(tǒng)安全的研究與應(yīng)用方面與先進(jìn)國家和地區(qū)還存在著一定的差距。近幾年來，我國在安全操作系統(tǒng)、安全數(shù)據(jù)庫、多級安全機(jī)制的研究，防火墻技術(shù)的研究、虛擬專用網(wǎng)的監(jiān)測、黑客非法侵入防范等方面進(jìn)行了有針對性的產(chǎn)品開發(fā)和研究。在網(wǎng)絡(luò)信息安全體系構(gòu)建的全面性、完整性、科學(xué)性以及針對性各方面還有所缺陷，尤其是對多平臺的兼容、多線程的應(yīng)對、多路線的需求等方面還有很多需要改善的地方。另外，網(wǎng)絡(luò)安全體系的相關(guān)理論知識以及人才培養(yǎng)也亟需加強(qiáng)和培養(yǎng)。目前，我國的網(wǎng)絡(luò)信息完全體系己初步完善，形成了—定的建設(shè)基礎(chǔ)。

3計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)的建設(shè)

由于互聯(lián)網(wǎng)在其體系結(jié)構(gòu)上就存在著開放、脆弱、易受攻擊等安全缺陷；同時又是最快應(yīng)用先進(jìn)網(wǎng)絡(luò)信息技術(shù)的地方、用戶密集且活躍、各種網(wǎng)絡(luò)應(yīng)用非常普及，這些都使得計(jì)算機(jī)網(wǎng)絡(luò)的安全管理更為復(fù)雜和困難。在建設(shè)信息化網(wǎng)絡(luò)的同時，也不應(yīng)該放松對網(wǎng)絡(luò)信息安全的管理和防護(hù)。我國互聯(lián)網(wǎng)信息技術(shù)發(fā)展以來，本著技術(shù)和管理相輔相成的建設(shè)理念，圍繞著“依托技術(shù)優(yōu)勢、規(guī)范管理制度和健全保障體系”的建設(shè)方針，正逐步建立起一套比較完整的計(jì)算機(jī)網(wǎng)絡(luò)信息化安全保障體系，力爭從網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)和信息資源等多方面保障網(wǎng)絡(luò)信息、數(shù)據(jù)和管理信息化應(yīng)用的正常運(yùn)行。

3.1完整全面的技術(shù)保障

（1）流量控制與管理系統(tǒng)串聯(lián)部署在出口防火墻與出口邊界路由器之間。在對用戶上網(wǎng)行為進(jìn)行充分的分析統(tǒng)計(jì)后，制訂了細(xì)致的管理策略。使用具備旁路監(jiān)聽技術(shù)的設(shè)備過濾、限制訪問不良網(wǎng)絡(luò)信息；隨著用戶對網(wǎng)絡(luò)需求的日益增加，人均帶寬越顯不足，各鏈路帶寬己經(jīng)接近飽和狀態(tài)，無法更好的服務(wù)用戶。根據(jù)網(wǎng)絡(luò)用戶訪問熱點(diǎn)資源的類型，訪問行為的特點(diǎn)。在核心路由器上旁路部署了內(nèi)容加速緩存系統(tǒng)，無論外網(wǎng)鏈路狀況如何，當(dāng)網(wǎng)絡(luò)用戶訪問熱點(diǎn)資源時，可以從本地直接讀取，以實(shí)現(xiàn)網(wǎng)絡(luò)的高速訪問體驗(yàn)。

（2）使用雙層防火墻防護(hù)托管服務(wù)器群，并自行開發(fā)了基于NetFlow的網(wǎng)絡(luò)流量監(jiān)控軟件，對服務(wù)器進(jìn)行流量、CPU/內(nèi)存/IO使用情況監(jiān)控；在服務(wù)器區(qū)域邊界部署IPS入侵檢測防御系統(tǒng)，這種基于應(yīng)用層的防御系統(tǒng)能夠識別常用的應(yīng)用層協(xié)議，通過事先的策略設(shè)置，可實(shí)現(xiàn)自動發(fā)現(xiàn)攻擊，主動攔截黑客對服務(wù)器區(qū)的SQL注入攻擊、蠕蟲、后門木馬、DDoS、Session偽造等惡意流量，阻斷攻擊源并且適時報警，從源頭上杜絕大部分的網(wǎng)絡(luò)入侵流量，有效過濾攻擊流量和病毒流量，保護(hù)信息的安全。

（3）建立計(jì)算機(jī)網(wǎng)絡(luò)信息安全服務(wù)網(wǎng)站（FDU-CERT）發(fā)布計(jì)算機(jī)病毒預(yù)報和安全漏

洞等安全公告、分發(fā)安全補(bǔ)丁并提供WSUS服務(wù)等；運(yùn)維管理系統(tǒng)可以直觀的了解計(jì)算機(jī)網(wǎng)絡(luò)各個設(shè)備的具體情況，可以讀取每條鏈路上的即時流量及帶寬占用百分比，及時了解用戶的網(wǎng)絡(luò)使用情況。當(dāng)某臺網(wǎng)絡(luò)設(shè)備故障時，運(yùn)維管理系統(tǒng)中該設(shè)備和鏈路會顯示為紅色告警，同時通過短信和郵件的方式通知設(shè)備管理人員及時處理故障。

（4）建立了異地數(shù)據(jù)備份和容災(zāi)方案、LogServer日志記錄和NTP服務(wù)器等。負(fù)載均衡設(shè)備部署在各鏈路與出口路由器之間。根據(jù)校內(nèi)用戶訪問目的地進(jìn)行判斷，動態(tài)分配用戶上網(wǎng)鏈路，合理運(yùn)用帶寬提升用戶訪問體驗(yàn)。負(fù)載均衡設(shè)備自身雙機(jī)熱備，當(dāng)一臺機(jī)器意外故障宕機(jī)，另一臺可以接替其工作，保證網(wǎng)絡(luò)暢通。

具體的計(jì)算機(jī)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全保障體系結(jié)構(gòu)見圖1。

3.2專業(yè)技術(shù)人員保障

網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的建立可以依托虛擬團(tuán)隊(duì)模式，成立相關(guān)網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組和安全工作小組，前者由網(wǎng)絡(luò)信息安全主管部門、領(lǐng)導(dǎo)階層組成；后者則從各地市網(wǎng)絡(luò)信息安全部門下屬各中心抽調(diào)對網(wǎng)絡(luò)、信息系統(tǒng)安全技術(shù)比較精通的技術(shù)骨干組成。由此，安全領(lǐng)導(dǎo)小組、安全工作小組和各中心安全工作執(zhí)行人員分別從決策、監(jiān)督和具體執(zhí)行三個層面為網(wǎng)絡(luò)信息安全工作提供了完整的人員保障。

參考文獻(xiàn)

[1]陳波，朱宏.信息安全體系結(jié)構(gòu)現(xiàn)狀的研究[J].電腦知識與技術(shù)，2011（12）：2818-2819.

[2]吳輝明，徐彬.探析計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)[J].中國科技博覽，2015（33）：131-131.endprint