胡萍萍
(桂林電子科技大學 廣西壯族自治區(qū)桂林市 541004)
大數(shù)據(jù)技術的應用和發(fā)展,海量數(shù)據(jù)的出現(xiàn),對網(wǎng)絡數(shù)據(jù)信息安全防護變得非常重要。數(shù)據(jù)安全防護是當代計算機網(wǎng)絡安全系統(tǒng)的重要問題,應用計算機技術解決大數(shù)據(jù)時代網(wǎng)絡數(shù)據(jù)安全的問題,構建計算機網(wǎng)絡安全防護系統(tǒng),防止網(wǎng)絡數(shù)據(jù)被非法竊取和攻擊,是保證數(shù)據(jù)安全的重要內(nèi)容。
大數(shù)據(jù)時代計算機網(wǎng)絡安全通過對計算機網(wǎng)絡安全系統(tǒng)架構進行設計,滿足大數(shù)據(jù)時代對信息安全的基本需要,在保證網(wǎng)絡物理安全的基礎上保證數(shù)據(jù)信息安全。在大數(shù)據(jù)時代,網(wǎng)絡安全策略是采用計算機技術手段對網(wǎng)絡安全實施管理,大數(shù)據(jù)時代采用網(wǎng)絡安全策略如圖1所示。
物理安全策略是保護計算機硬件設備,包括網(wǎng)絡服務器交換機以及通信線路的安全等,并對用戶權限進行驗證,建立完善的網(wǎng)絡安全管理制度,避免對計算機資源進行非法竊取,以及防止電磁泄漏等物理安全策略。訪問控制策略作為網(wǎng)絡安全防護的重要策略,主要是保護網(wǎng)絡資源不被非法訪問和竊取,并提高網(wǎng)絡系統(tǒng)安全性能,保護網(wǎng)絡資源的安全性。訪問控制策略是網(wǎng)絡安全策略中使用的核心策略,保護網(wǎng)絡數(shù)據(jù)資源的安全性。信息加密策略主要是對網(wǎng)絡內(nèi)部的數(shù)據(jù)信息進行保護,保證網(wǎng)絡數(shù)據(jù)在傳輸過程中的完整性和準確性。網(wǎng)絡信息加密策略采用鏈路加密可以提高網(wǎng)絡內(nèi)部結點之間數(shù)據(jù)在鏈路傳輸?shù)陌踩?,并對鏈路中從源?jié)點到目的結點傳輸?shù)臄?shù)據(jù)進行加密,提高數(shù)據(jù)加密保護服務。信息加密通過加密算法等方法實現(xiàn),對數(shù)據(jù)進行加密和解密,保護用戶數(shù)據(jù)的安全性。網(wǎng)絡安全管理策略包括對計算機機房管理制度的制定,以及網(wǎng)絡系統(tǒng)管理以及維護的相應措施設計,進而提高網(wǎng)絡安全等級,有效保護網(wǎng)絡數(shù)據(jù)安全及完整。
系統(tǒng)設計目標是在保護計算機網(wǎng)絡系統(tǒng)穩(wěn)定運行的基礎上,采用網(wǎng)絡安全策略對整個計算機網(wǎng)絡系統(tǒng)的數(shù)據(jù)信息進行保護,防止網(wǎng)絡數(shù)據(jù)信息泄露,構建一個完善的信息網(wǎng)絡安全系統(tǒng)。采用計算機網(wǎng)絡安全技術,保證數(shù)據(jù)交互的安全性,推動計算機信息安全系統(tǒng)的穩(wěn)定運行。大數(shù)據(jù)時代海量數(shù)據(jù)信息的發(fā)展,網(wǎng)絡安全逐漸側重對網(wǎng)絡信息數(shù)據(jù)安全的保護,因此系統(tǒng)設計上要按照統(tǒng)一的標準進行規(guī)劃設計,構建網(wǎng)絡信息安全保護平臺,實現(xiàn)計算機網(wǎng)絡安全系統(tǒng)的標準化和平臺化,提高網(wǎng)絡數(shù)據(jù)信息安全保護能力。在網(wǎng)絡安全保護功能上要建立多層級的等級保護策略,構建多元化的信道保護方法,并針對網(wǎng)絡安全保護的實際情況,采用計算機網(wǎng)絡安全技術,全方位的構建網(wǎng)絡安全體系,提高大數(shù)據(jù)時代計算機網(wǎng)絡安全系統(tǒng)的保護能力。
圖1:網(wǎng)絡安全策略
圖2:大數(shù)據(jù)時代計算機網(wǎng)絡安全系統(tǒng)功能架構圖
安全可靠原則,是計算機網(wǎng)絡安全系統(tǒng)的運行基礎原則。保護計算機網(wǎng)絡系統(tǒng)的安全性,采用信息安全產(chǎn)品以及信息安全技術構建網(wǎng)絡安全保護方案,保證系統(tǒng)的安全性。在系統(tǒng)設計過程中采用先進的網(wǎng)絡安全技術手段和高質(zhì)量的網(wǎng)絡安全產(chǎn)品,保證系統(tǒng)安全可靠的運行。一致性原則,根據(jù)網(wǎng)絡安全問題制定滿足網(wǎng)絡安全需求的網(wǎng)絡安全系統(tǒng)結構,在網(wǎng)絡安全運行周期內(nèi)制定相應的數(shù)據(jù)安全保護策略。易操作原則,系統(tǒng)在設計過程中要考慮到應用技術的可操作性,讓管理人員可以方便的對系統(tǒng)進行操作,這樣避免因為人為操作而導致系統(tǒng)的安全性下降。而且系統(tǒng)設計過程中,要充分考慮到系統(tǒng)的可擴展性,便于系統(tǒng)硬件和軟件的模塊功能擴展。采用標準化的技術和技術體系來實現(xiàn)對系統(tǒng)的設計,提高系統(tǒng)的標準化水平,以及提升系統(tǒng)的兼容性。風險平衡分析原則,網(wǎng)絡安全要實現(xiàn)絕對安全是很難到達的,只能最大化的提升網(wǎng)絡安全,網(wǎng)絡安全面臨的風險以及威脅很多,要采用定量和定性的分析方法,并制定相應的設計方案,保證網(wǎng)絡系統(tǒng)自身的安全。系統(tǒng)設計構建多重防護的體系,各層保護相互協(xié)調(diào),如果一層防護被攻破了那么可以采用其它層的防護來保護信息的安全。
如圖2所示。
3.1.1 物理隔離設計
物理隔離設計是構建內(nèi)網(wǎng)和外網(wǎng)數(shù)據(jù)隔離架構,從物理上對PC 隔離并建立虛擬工作站,設計獨立的硬盤數(shù)據(jù)存儲體系和操作系統(tǒng),并建立專用的數(shù)據(jù)接口以及網(wǎng)線接口,保證安全區(qū)和非安全區(qū)在環(huán)境上實現(xiàn)物理隔離。在主板和硬盤之間采用全控制方式,對硬盤通道實現(xiàn)全控制,硬盤數(shù)據(jù)轉(zhuǎn)換采用繼電器控制內(nèi)網(wǎng)和外網(wǎng)的切換,保證計算機系統(tǒng)的可靠性和穩(wěn)定性。設計中采用IDE-ATA硬盤的操作系統(tǒng),這樣可以在不同的局域網(wǎng)的網(wǎng)絡環(huán)境下運行,并保證數(shù)據(jù)存儲和處理的安全性。
3.1.2 桌面系統(tǒng)安全設計
數(shù)據(jù)桌面系統(tǒng)安全設計可以采用云計算數(shù)據(jù)服務,對海量的數(shù)據(jù)進行存儲,并實現(xiàn)用戶對數(shù)據(jù)的遠程操作和查詢。在計算機網(wǎng)絡安全系統(tǒng)中數(shù)據(jù)信息存儲主要是以文件的方式在硬盤中存儲,因此數(shù)據(jù)信息容易被泄露或者被供給,因此采用本地安全管理的方式對本地存儲的數(shù)據(jù)進行保護,采用清華紫光的桌面安全保護系統(tǒng),是本方案中重要的技術設計。桌面安全保護系統(tǒng)具有加密運行處理器以及中央處理器等功能,并在芯片內(nèi)部設計了秘鑰和加密算法等,防止非法數(shù)據(jù)對系統(tǒng)的入侵,清華紫光的桌面安全保護系統(tǒng)采用封裝的方式,可以有效的對物理和電子攻擊進行防范。
3.1.3 病毒防護系統(tǒng)設計
服務器病毒防護設計中對管理模塊和防毒模塊采用獨立安裝的方式,這樣病毒防護系統(tǒng)不會影響操作系統(tǒng)的穩(wěn)定運行,而且服務器的防毒系統(tǒng)可以部署到單點的位置。本方案采用ServerProtect 防毒產(chǎn)品,可以有效的支持Windows NT/2008 和Linux 等操作系統(tǒng)平臺。
客戶端病毒防護設計采用OfficeScan 網(wǎng)絡版的客戶端防毒體系,采用單點控制的模式對客戶端的防毒模塊進行管理和控制??蛻舳朔蓝灸K可以根據(jù)系統(tǒng)客戶端運行的情況進行集中部署,并且支持SMS 和登錄腳本等,而且在WEB 數(shù)據(jù)服務中也可以發(fā)揮防毒作用。
集中控制TVCS 工具設計方案,實現(xiàn)對整個系統(tǒng)的防毒軟件進行配置和管理,在不同的網(wǎng)段VLAN 內(nèi)實現(xiàn)控制,并在任何平臺都可以采用TVCS 網(wǎng)絡工具實現(xiàn)統(tǒng)一管理。
3.1.4 訪問控制設計
訪問控制設計中采用防火墻設備以及相關的訪問控制設備,并設置安全訪問規(guī)則實現(xiàn)對內(nèi)部網(wǎng)絡的保護,防火墻設置網(wǎng)絡地址轉(zhuǎn)換、數(shù)據(jù)信息過濾以及流量管控等基本的訪問控制功能,實現(xiàn)對系統(tǒng)數(shù)據(jù)訪問的安全防護。采用防火墻技術,對內(nèi)網(wǎng)進行網(wǎng)段劃分,這樣可以保護網(wǎng)絡數(shù)據(jù)服務器等設備的安全,采用網(wǎng)段劃分的方式防御外部攻擊。防火墻的設計要具有靈活部署的特點,可以在不同的網(wǎng)絡環(huán)境下運行,并支持多種動態(tài)協(xié)議和應用代理,為系統(tǒng)的整體安全設計提供VPN 客戶端,并采用增強型抗攻擊技術,對常見的網(wǎng)絡攻擊都可以起到良好的防范作用。
3.1.5 信息加密設計
本方案采用SJW-26 網(wǎng)絡密碼機,在局域網(wǎng)帶寬1000M 的不同的辦公區(qū)內(nèi)進行配置,這樣可以有效的保護數(shù)據(jù)信息在傳輸中的安全性和完整性。把內(nèi)網(wǎng)劃分為多個子網(wǎng)后,各個子網(wǎng)的數(shù)據(jù)安全傳輸問題解決方案,是采用構建獨立的信息安全通道,避免信息傳輸過程中的干擾,并對數(shù)據(jù)進行加密和數(shù)據(jù)認證,確保信息準確和安全。采用對稱加密算法和非對稱加密算法對傳輸?shù)臄?shù)據(jù)進行加密,采用秘鑰對加密數(shù)據(jù)進行解密,這樣數(shù)據(jù)安全性得到了保證。
3.1.6 入侵檢測設計
系統(tǒng)內(nèi)部子網(wǎng)按照部門進行網(wǎng)段劃分,每一個子網(wǎng)都配置一臺交換機,并由系統(tǒng)的網(wǎng)絡中心進行統(tǒng)一管理。子網(wǎng)匯聚到主干網(wǎng)絡中,連接高性能的數(shù)據(jù)服務器,并在數(shù)據(jù)服務器群設置DMZ 區(qū)。根據(jù)系統(tǒng)的網(wǎng)絡流量,以及數(shù)據(jù)保護的程度,設計IDS 入侵檢測系統(tǒng),并配置在關鍵的子網(wǎng)入口位置,對子網(wǎng)內(nèi)的數(shù)據(jù)進行監(jiān)測和管理,并對非法入侵的數(shù)據(jù)和訪問進行攔截,并生成安全訪問日志。入侵檢測實時的對網(wǎng)絡的數(shù)據(jù)流進行攔截,并對網(wǎng)絡數(shù)據(jù)進行分析,如果發(fā)現(xiàn)非法數(shù)據(jù)攻擊或者非授權訪問的數(shù)據(jù),那么就可以對網(wǎng)絡攻擊事件進行詳細的記錄,并具有對非法訪問采取網(wǎng)絡連接阻斷的操作功能?;赥CP/IP 協(xié)議的工作模式,對網(wǎng)絡端口、IP 目的地址和源地址進行過濾,提供遠程登錄和文件傳輸?shù)染W(wǎng)絡服務,并提供實時網(wǎng)絡安全事件的監(jiān)測功能。入侵監(jiān)測系統(tǒng)設計日志生成模塊,提供系統(tǒng)數(shù)據(jù)安全審計功能,為網(wǎng)絡數(shù)據(jù)安全提供保障。
3.1.7 漏洞掃描
網(wǎng)絡漏洞掃描針對網(wǎng)絡內(nèi)部信息點進行高速掃描,并結合IDS和防火墻技術,構建網(wǎng)絡安全策略。設計跨網(wǎng)段的移動掃描軟件實現(xiàn)對數(shù)據(jù)服務器等設備分布掃描方式,并配置IP 地址的掃描功能,具有針對性的實現(xiàn)對網(wǎng)絡內(nèi)部數(shù)據(jù)的掃描。構建三級漏洞掃描服務體系,內(nèi)網(wǎng)與外網(wǎng)設置為一級,內(nèi)網(wǎng)子網(wǎng)端口設置為二級,數(shù)據(jù)服務器等設備端口設置為三級,并部署漏洞掃描硬件和軟件,針對可疑漏洞和端口進行掃描,提高內(nèi)網(wǎng)的數(shù)據(jù)完全性。設計WEB 式的遠程管理,采用WEB 方式實現(xiàn)遠程漏洞掃描管理,并以HTTP 為技術支持,遠程聯(lián)控掃描設備,提高系統(tǒng)漏洞掃描效率。
大數(shù)據(jù)時代數(shù)據(jù)安全是當代網(wǎng)絡安全的重要問題,構建計算機網(wǎng)絡安全系統(tǒng),采用計算機技術對網(wǎng)絡安全系統(tǒng)進行設計,提高網(wǎng)絡數(shù)據(jù)的安全性,有效的保護大數(shù)據(jù)時代網(wǎng)絡數(shù)據(jù)安全,為今后計算機網(wǎng)絡安全系統(tǒng)的設計和應用提供了技術支持。