計算機網絡安全系統(tǒng)平臺設計分析

張芳

(河北興泰發(fā)電有限責任公司，河北 邢臺 054000)

摘要：隨著網絡技術的逐步發(fā)展和廣泛應用，復雜冗余的網絡在各個領域行業(yè)中都得到了廣泛的應用，因此簡單的網絡安全設計已經無法滿足現(xiàn)有網絡需求?，F(xiàn)基于網絡安全基礎設施，構建結合入侵監(jiān)測系統(tǒng)、防火墻系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)和安全審計系統(tǒng)的網絡安全體系，從而達到提升網絡安全防范能力的目的。

關鍵詞：復雜冗余；網絡安全；安全審計系統(tǒng)

收稿日期：2015-07-28

作者簡介：李威(1985—)，男，湖南長沙人，在讀碩士研究生，研究方向：機械工程。

收稿日期：2015-07-07

作者簡介：張芳(1970—)，女，河北邢臺人，工程師，研究方向：熱能動力。

接，結構簡單，鎖緊力矩大，可以很好地防護外界沖擊波的沖擊；

(2) 門鎖驅動機構采用手輪的方式，驅動力小，在危急時刻，大大減少了人員鎖門時消耗的體力；

(3) 門鎖具有調節(jié)機構，可根據門體高度上下移動十字中心支架，調節(jié)到合適的位置，達到最佳閉鎖效果。

(4) 本閉鎖機構的最大位移處設置有反向逆止機構，當人員進入門內鎖緊密閉門后，啟動逆止機構，可以防誤操作或者外力使得閉鎖機構下滑，從而失去密閉效果。

3設計總結

(1) 密閉門門鎖連桿全部采用高強度合金鋼，可有效防止長時間使用造成的結構變形，影響其位移；

(2) 門鎖中旋轉軸內安裝有進口軸承，旋轉靈活輕便；軸承與門框部分密封采用Y型密封方式，抗壓可達10 MPa；

(3) 門框部位安裝有楔形鎖套，使得閉鎖結構更加結實牢靠。

[參考文獻]

[1]彭然.井下緊急避險系統(tǒng)防護密閉門的研究[J].金屬礦山，2013(11).

[2]井婷婷，張廣勛，朱先國.礦用避難硐室防護密閉門的結構設

計[J].礦業(yè)安全與環(huán)保，2012，39(1).

[3]胡公才.井下炸藥庫抗沖擊波活門和密閉門的設計和應用[J].煤炭科學技術，1991(4).

[4]林志恩.對煤礦井下救生艙逃生門結構的研究[J].科技與企業(yè)，2012(13).

[5]方林中.防護密閉裝置門扇結構分析[J].安徽理工大學學報：自然科學版，2008(1).

[6]伯志革.避難硐室防護密閉門抗爆炸沖擊性能的研究[J].礦業(yè)安全與環(huán)保，2012(6).

[7]曹宏偉，劉榮第.一種用于立井防爆門的電(液)動反風裝置[J].煤礦安全，2003(8).

[8]陳仲春.基于ANSYS的升降式防護密閉門扇設計[J].池州師專學報，2005(5).

0引言

隨著網絡技術的逐步發(fā)展和廣泛應用，復雜冗余的網絡在各個領域行業(yè)中都得到了廣泛的應用，因此簡單的網絡安全設計已經無法滿足現(xiàn)有網絡需求。本文基于網絡安全基礎設施，構建結合入侵監(jiān)測系統(tǒng)、防火墻系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)和安全審計系統(tǒng)的網絡安全體系，從而達到提升網絡安全防范能力的目的。

1合理構建網絡安全基礎設施

1.1防火墻系統(tǒng)

防火墻是指隔離在本地網絡與外部網絡之間的一個執(zhí)行訪問控制策略的防御系統(tǒng)。防火墻部署在風險區(qū)域(例如Internet)和安全區(qū)域(例如內部網絡)之間，對流經它的網絡通信進行掃描，過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻系統(tǒng)作為維護網絡安全的第一屏障，其性能好壞直接關乎整個網絡安全的強度。具體防火墻系統(tǒng)的設計可以在網絡的不同外部接入網和核心網絡匯聚層之間采取硬件式防火墻，從而達到對外部接入網的相關網絡訪問進行全面監(jiān)測的目的，以保障網絡運行環(huán)境的安全。

1.2入侵監(jiān)測系統(tǒng)

防火墻實現(xiàn)的是網絡邊界安全防范，但由于各種原因總會有部分惡意訪問能夠突破邊界防護，對內部網絡構成威脅。入侵監(jiān)測系統(tǒng)能夠對進入受保護網絡的惡意流量實現(xiàn)監(jiān)測、報警，入侵防御系統(tǒng)甚至能夠與防火墻等邊界安全設備實施聯(lián)動，及時阻斷惡意流量，減輕惡意訪問對內部網絡所造成的破壞。入侵監(jiān)測系統(tǒng)設計的目的在于更好地應付網絡業(yè)務、規(guī)模的擴大趨勢，提升處理網絡攻擊事件的能力，從而最大程度上避免因各種操作風險而引發(fā)的各項潛在損失。具體的入侵監(jiān)測系統(tǒng)部署示意圖如圖1所示。

圖1　入侵監(jiān)測系統(tǒng)部署示意圖

1.3虛擬專用網(VPN)技術

虛擬專用網(Virtual Private Network，VPN)是一種基于公共數據網，給用戶一種直接連接到私人局域網感覺的服務。VPN技術是依靠Internet服務提供商(ISP)和其他網絡服務提供商(NSP)，在公用網絡中建立專用的數據通信網絡技術。在虛擬專用網中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態(tài)組成的。

1.4安全審計系統(tǒng)

雖然網絡安全的各類硬件部署可以很好地解決網絡安全相關問題，但由于網絡內部人員違規(guī)操作或過失行為造成的損失，是無法控制的。因而，需要構建安全審計系統(tǒng)，減少違規(guī)操作的潛在損失。安全審計系統(tǒng)的基本搭建方式是通過網絡并聯(lián)的方式，強化關鍵服務器對網絡路徑數據包的監(jiān)控力度，同時借助協(xié)議解析、狀態(tài)監(jiān)測等先進技術，實行對網絡數據包的再過濾，進而制定一個系統(tǒng)性審計制度，消除重要事件帶有攻擊性的特征。最后，安全審計系統(tǒng)需要對攻擊性網絡事件及時響應，阻斷未授權用戶的訪問，同時進行日志記錄工作，將攻擊事件按照嚴重程度打包并傳送到主界面，通過后期的人為操作，進一步強化對攻擊性事件的防護能力。

1.5內網安全風險管理系統(tǒng)

內網安全風險管理系統(tǒng)是基于對內網本身的安全性考慮而設計的，體現(xiàn)出內網大數據和分布性部署的特點，會經常疏忽系統(tǒng)的補丁、防病毒軟件的升級工作。另外，由于受到權限的影響，內網本身會在一定程度上降低防火墻系統(tǒng)的級別設置，形成寬松的內網環(huán)境，從而造成不明軟件惡意安裝、檢測內網系統(tǒng)數據，從而造成大量的內網安全漏洞以及管理真空的風險。在實際操作過程中，主要利用在內網安全風險管理系統(tǒng)的終端上嵌入式安裝AGENT的方式，實行對終端網絡的監(jiān)控，對于沒有安裝AGENT或是沒有達到內網安全要求的終端，禁止其對內網系統(tǒng)的訪問，以最終實現(xiàn)安全終端準入的要求。

2網絡安全管理平臺

2.1網絡安全事件管理

網絡安全事件管理平臺主要是將收集到的不同類型的信息，通過一種特定的方式分類、歸集，以減少事件風暴發(fā)生的概率。其通過對海量事件的整理，挖掘出真正值得關注的網絡安全事件，找出不同類別網絡攻擊對象的關聯(lián)與共同點，及時找到解決的應對措施，以提升整個網絡在甄別網絡安全事件上的準確率。在實際操作中可以看到，網絡安全事件管理的主要對象是全網性的安全威脅狀況，根據網絡潛在威脅的程度，系統(tǒng)性地進行預測，從而最大程度上保障網絡業(yè)務的正常運作。

對于威脅管理，主要是將網絡各個系統(tǒng)收集到的事件歸結到資產中，根據資產的價值規(guī)模以及關鍵程度，實行事件等級分類。另外，運用關聯(lián)性的分析引擎，進行關聯(lián)分析和映射，可以有效判定事件在處理操作上的優(yōu)先次序，適當評估出目前資產遭受攻擊的程度以及可能會發(fā)生經濟損失的程度。威脅管理可以精確評估出當下事件對目標資產的影響，對于事前的控制具有十分重要的作用。脆弱性管理是確定網絡資產安全威脅概率、發(fā)生威脅后的脆弱性，同時有效評估損失和后期影響的一個過程。脆弱性管理的對象是核心資產，方式是對網絡系統(tǒng)的核心資產、漏洞、威脅進行全面、綜合的監(jiān)控和管理。

2.2網絡安全信息管理

網絡安全信息管理主要包括網絡安全知識管理、資產信息管理兩個方面，方法是對于網絡安全基礎設施提供的信息，提供有針對性的信息管理平臺，對較少涉及的網絡安全事件做出具體分析。主要包括以下兩個核心庫：首先是資產信息庫，資產信息庫的構建目的是實現(xiàn)系統(tǒng)性的關聯(lián)性分析，作用是推動后期網絡安全事件管理定位，解決潛在性威脅；其次是安全知識庫，安全知識庫涵蓋了眾多的網絡安全知識以及網絡安全補丁，可以為網絡安全管理人員提供解決實際問題的參考信息。

3結語

本文從網絡安全基礎設施出發(fā)，從入侵監(jiān)測系統(tǒng)、防火墻系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、安全審計系統(tǒng)等方面對復雜冗余網絡下的網絡安全設計進行了深入分析，主要涵蓋了網絡安全事件管理和網絡安全信息管理兩個方面。本文設計能極大地提升網絡安全事件的監(jiān)控和防范能力，提高處理效率。另外，通過對網絡安全進一步的統(tǒng)一管理及配置，可以更好地降低復雜冗余網絡中的各項風險，改善網絡運用的安全環(huán)境。

[參考文獻]

[1]朱瑤.財務信息管理系統(tǒng)安全問題[J].黑龍江科技信息，2010(35).

[2]葉軍.基于防火墻技術的計算機網絡信息安全的探討[J].硅谷，2010(23).

[3]陳向陽，肖迎元，陳曉明，等.網絡工程規(guī)劃與設計[M].北京：清華大學出版社，2007.

[4]柳揚.計算機信息管理在網絡安全中的應用研究[J].電子制作，2013(16).