王澤巖

摘要：企事業(yè)單位安全服務互聯(lián)網絡系統(tǒng)的架設需要考慮硬件與軟件兩個層面的問題。在硬件層面，更多的應思考滿足局內部用戶的基本網絡使用需求，并在保證正?；ヂ?lián)網使用的前提下，提升網絡的安全性、可靠性，并考慮每一臺網絡安全設備的兼容性。在軟件層面，更多的應思考與硬件設備的協(xié)同能力，并確保防護軟件涵蓋每一用戶。

關鍵詞：企事業(yè)單位;網絡;安全;硬件

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）26-0277-02

開放科學（資源服務）標識碼（OSID）：

Abstract： The establishment of Internet security service system in enterprises and institutions needs to consider two aspects： hardware and software. At the hardware， more consideration should be given to meeting the basic network use needs of users， and on the premise of guaranteeing the normal use of the Internet， improving the security and reliability of the network， and considering the compatibility of each network security device. At the software， more consideration should be given to the ability to cooperate with hardware devices and to ensure that protective software covers every user.

Key words： enterprises and institutions; network; safe; Hardware;

我們身處在一個網絡技術高速發(fā)展的時代，在這個時代里，人們的生活越來越便捷，通過網絡與傳統(tǒng)辦公方式的結合，人們的辦公效率越來越高。然而，伴隨著這些優(yōu)點，網絡系統(tǒng)安全威脅也迅速增加，各種網絡攻擊手段，極易造成重要文件外泄、網絡被非法控制、軟硬件損壞等一系列破壞性后果。與此同時，隨著中美貿易戰(zhàn)不斷深化，外國敵對勢力對中國的滲透活動繼續(xù)加劇。因此，對于互聯(lián)網用戶數在中等規(guī)模的企事業(yè)單位，建立一個安全可靠的安全服務計算機網絡系統(tǒng)便迫在眉睫。

1 硬件組成和結構

在網路的物理層部署若干Hub;在數據鏈路層部署兩臺匯聚交換機和多個接入交換機;在網絡層部署一臺核心交換機;會話層的網關設置為255.255.255.0，可用地址的最大數量為256-2=254個，可以保證一定數量用戶的使用規(guī)模;在應用層部署1臺防火墻、1臺防毒墻、1臺入侵防御設備、1臺漏洞掃描安全設備、1臺安全審計行為管理設備。OSI圖如圖1所示。

1.1 網絡層及以下分析

因內部物理空間過大，用戶分布零散，因此設立兩個網段對于互聯(lián)網進行管理，在用戶所在辦公室部署Hub提供多個用戶的接入，并根據層數、辦公室所在方位設立節(jié)點，部署多個接入交換機，并在機房部署匯聚交換機和核心交換機。以用于分割兩個網段，并做好傳輸層以及以上層的連接工作。

1.2 應用層分析

1.2.1防火墻

在應用層部署防火墻，確?；ヂ?lián)網運行的安全性，提升信息安全保護技術。防火墻性能參數應達到網絡層吞吐量不少于兩位數，單位為G，同時的并發(fā)連接不少于百萬位，以秒為單位的新建立連接不少于十萬位，以抵御最新的網絡攻擊;可手工指定、802.3ad協(xié)議等方式將多個物理口綁定為一個邏輯接口?？膳c桌面防病毒軟件或終端管理軟件連接;支持DS-Lite CPE B4功能，支持從DHCPv6服務器或手動方式獲取AFTR參數。

1.2.2防毒墻

在應用層部署防毒墻，可提升互聯(lián)網整體的防病毒能力。防火墻防毒性能應http≥4Gbps;處理能力滿足萬兆網絡運行要求，能夠對市面上主流的協(xié)議如TTP/FTP等進行病毒檢測并隔離殺死的操作;在數據包和數據流的兩個層次的病毒進行檢查測試，有著龐大的病毒規(guī)則過濾;支持基于MD5的自定義病毒簽名、支持設置異常功能、不檢測和殺滅特定病毒功能;支持關聯(lián)分析面板，可關聯(lián)頂級威脅、頂級URL分類、頂級源地址、頂級目標地址等信息，支持任意數據鉆取以過濾為條件的元素。

1.2.3入侵防御設備

在應用層部署入侵防御設備可以提高網絡數據包的檢測能力。入侵防御設備應滿足網絡層吞吐≥9Gbps，IPS吞吐≥5Gbps?？赏ㄟ^授權自動切換成入侵檢測產品，并進行行為捕捉和發(fā)現(xiàn)。

1.2.4漏洞掃描安全設備

在應用層部署漏洞掃描安全設備，以增強對漏洞的網絡掃描能力;系統(tǒng)掃描IP地址不限，支持掃描A、B、C類地址;在運行狀態(tài)時，應支持百位數級別同時的IP地址掃描，并且可掃描的漏洞庫列表應大于十萬級別，可以提供詳細的解決方案，應對措施。并且同樣具備對主流的如FTP、SSH等協(xié)議進行的口令破解猜測;并且具備高度的兼容性，應包含操作系統(tǒng)以及各種網絡設備等的漏洞庫。

1.2.5安全審計行為管理

在應用層部署安全審計行為管理設備，可提升惡意程序管控能力和互聯(lián)網網絡安全;設備性能整機檢測能力≥2Gbps，并發(fā)連接數為百萬級別;安全審計行為管理的主要用處是配合同在應用層的其他網絡安全設備，對用戶的流量進行一個控制，因為有時網絡攻擊會披P2P的外衣，偽裝成大流量的下載文件，而應用了安全審計行為管理設備，就可以對每一名用戶的數據量進行限制，包含從軟件層面（如最新的微信等）到網頁層面全面監(jiān)控，從而在網絡攻擊爆發(fā)時第一時間進行監(jiān)測，并且也在日常工作中規(guī)范的網絡使用環(huán)境，營造了一個高效舒適的辦公互聯(lián)網。

2 軟件組成和結構

為配合硬件層面的網絡防護設備更好的工作，在軟件層面也部署了網絡版殺毒軟件?？梢宰龅郊皶r更新病毒庫，消除網絡安全隱患。

2.1網絡版殺毒軟件

網絡版殺毒軟件主要的用處是配合處在應用層的硬件防護系統(tǒng)從軟件層面保護用戶的計算機。因為有時病毒并不是從網絡中經過網絡體系結構入侵到用戶電腦的，在實際應用中更多的是通過U盤等外置存儲設備侵入到用戶設備當中去的。因此在每一臺用戶計算機中都安裝了網絡版殺毒軟件，可以有效地防止客戶端的病毒擴散，并且在第一時間報警，上傳病毒樣本，采取最快的解決方案防止病毒的擴散。我們采用了自主架設網絡版殺毒軟件服務器的方法，將最新的病毒庫下載到服務器中，再由服務器對每臺用戶電腦進行病毒庫版本升級，這樣確保統(tǒng)一了每臺電腦的網絡版殺毒軟件都是最新的，并且也可以搜集用戶數據，從而為以后的病毒防護工作打下堅實基礎。

3 結論

本文討論了中型企事業(yè)單位互聯(lián)網方面的安全服務計算機網絡系統(tǒng)建立的實際應用方法。相比于小型單位，中型企事業(yè)單位面臨著網絡系統(tǒng)相對復雜，網絡規(guī)模相對大等問題，并且隨著時間推移還有著系統(tǒng)硬件老化，軟件兼容性差的困擾。因此建立一套更加安全、可靠、耐用性高的網絡系統(tǒng)便尤為重要。本文給出了軟硬件相結合的解決方案，并且網絡系統(tǒng)設置相對全面，可以抵御一定的網絡攻擊，為企事業(yè)單位用戶提供一定的防護保障。

參考文獻：

[1] 張蒲生.政府機關網絡的安全分析和對策研究[J].計算機工程，2002（8）：178-180.

[2] 汪玲，閻鵬.對機關事業(yè)單位計算機網絡安全防護技術的幾點探討[J].電腦知識與技術，2015（3）：64-65.

【通聯(lián)編輯：唐一東】