徐偉華

摘? 要：文章應(yīng)用網(wǎng)絡(luò)安全技術(shù)，運(yùn)用網(wǎng)絡(luò)監(jiān)控系統(tǒng)、防火墻、反病毒、VPN虛擬專用網(wǎng)、入侵檢測系統(tǒng)技術(shù)等，根據(jù)某銀行儲蓄業(yè)務(wù)的需求分析，結(jié)合該銀行的網(wǎng)絡(luò)環(huán)境，針對物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全等五個方面，建立相應(yīng)的網(wǎng)絡(luò)安全體系和完善的網(wǎng)絡(luò)安全解決方案。

關(guān)鍵詞：網(wǎng)絡(luò)安全;防火墻;安全技術(shù);安全體系

Abstract： This paper applies network security technology， network monitoring system， firewall， anti-virus， VPN， intrusion detection system technology， etc. According to the demand analysis of a bank's savings business， combined with the Bank's network environment， aiming at physical security， system security， network security， application security and management security， the corresponding network security system and perfect network security solution are established.

1 網(wǎng)絡(luò)安全建設(shè)需求分析

通過對銀行的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，提出如下的網(wǎng)絡(luò)安全建設(shè)方案：

（1）物理安全。網(wǎng)絡(luò)安全中存在著10%的硬件設(shè)備故障，所以方案應(yīng)包括保護(hù)計算機(jī)硬件設(shè)備以及通訊鏈路的安全和保障。

（2）系統(tǒng)安全。系統(tǒng)安全中主要的技術(shù)是安全掃描技術(shù)。安全掃描系統(tǒng)是目前最先進(jìn)的系統(tǒng)安全評估技術(shù)。雖然不能實時監(jiān)測網(wǎng)絡(luò)上的入侵，但通過掃描監(jiān)測，及時發(fā)現(xiàn)安全漏洞，并提出相應(yīng)的安全措施修補(bǔ)，能夠很好地測試和評估系統(tǒng)安全性。

（3）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是整個設(shè)計的關(guān)鍵和主要部分，實現(xiàn)網(wǎng)絡(luò)安全，更需要多種技術(shù)部署，設(shè)計主要以防火墻、入侵檢測系統(tǒng)、安全隔離網(wǎng)閘以及虛擬網(wǎng)技術(shù)這幾個方面實施。

企業(yè)防火墻是指由軟件和硬件設(shè)備構(gòu)成的用于限制企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間流量訪問的安全架構(gòu)，防火墻是一種訪問控制和隔離技術(shù)，是網(wǎng)絡(luò)安全區(qū)域和不安全區(qū)域的屏障;入侵檢測系統(tǒng)作為防火墻的合理補(bǔ)充，能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)安全狀態(tài)，智能發(fā)現(xiàn)入侵行為，記錄并發(fā)出報警信息，啟動響應(yīng)動作;在上述兩項技術(shù)的基礎(chǔ)上，加上安全隔離網(wǎng)閘，可以更深入地進(jìn)行網(wǎng)絡(luò)防御體系;VPN技術(shù)，即虛擬專用網(wǎng)絡(luò)，該技術(shù)用于實現(xiàn)局域網(wǎng)絡(luò)之間通過Internet公共網(wǎng)絡(luò)安全地傳遞數(shù)據(jù)。

（4）應(yīng)用安全。整個網(wǎng)絡(luò)中，員工需要利用多個應(yīng)用來配合銀行業(yè)務(wù)的運(yùn)作，但不合法的應(yīng)用會給網(wǎng)絡(luò)帶來較嚴(yán)重的影響，因此，網(wǎng)絡(luò)安全實施方案還應(yīng)包括應(yīng)用安全。本設(shè)計主要利用計算機(jī)病毒防范技術(shù)和網(wǎng)絡(luò)監(jiān)控技術(shù)。安裝網(wǎng)絡(luò)防病毒系統(tǒng)，主要針對員工上網(wǎng)應(yīng)用時的文件與郵件，帶來的病毒、木馬等入侵破壞，確保計算機(jī)應(yīng)用的安全。另一方面，通過網(wǎng)絡(luò)監(jiān)控技術(shù)，對員工的上網(wǎng)行為以及系統(tǒng)應(yīng)用進(jìn)行合理限制，從而提高應(yīng)用安全。

（5）管理安全。經(jīng)過制定有效的機(jī)房管理制度、系統(tǒng)管理員要求以及網(wǎng)絡(luò)設(shè)備應(yīng)用準(zhǔn)則，可以管理員工合理上網(wǎng)的行為、保證機(jī)器設(shè)備和人員的安全以及及時有效地處理突發(fā)事件等。

2 網(wǎng)絡(luò)安全建設(shè)方案設(shè)計與實現(xiàn)

根據(jù)對銀行實際情況的需求分析，本設(shè)計在其原有拓?fù)浣Y(jié)構(gòu)上增設(shè)了企業(yè)防火墻、入侵檢測等硬件設(shè)備，并在內(nèi)部用戶與資源區(qū)之間的交換機(jī)上增加了網(wǎng)絡(luò)管理中心，以及在與外部網(wǎng)絡(luò)設(shè)置VPN技術(shù)連接等部署。根據(jù)網(wǎng)絡(luò)部署，可以將其劃分為4個區(qū)域：設(shè)備區(qū)、資源區(qū)、用戶區(qū)、外部網(wǎng)絡(luò)。其中設(shè)備區(qū)與外網(wǎng)相連接，內(nèi)部用戶區(qū)實行對整個內(nèi)網(wǎng)的管理運(yùn)作和資源調(diào)度。所以，網(wǎng)絡(luò)安全的重點(diǎn)在于設(shè)備區(qū)、內(nèi)部用戶區(qū)和資源區(qū)。在與外網(wǎng)相連的設(shè)備區(qū)，通過使用防火墻技術(shù)來對內(nèi)網(wǎng)與外網(wǎng)間數(shù)據(jù)進(jìn)出的過濾，對訪問行為進(jìn)行管理等，安裝入侵檢測系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)測。在內(nèi)網(wǎng)中，本設(shè)計在網(wǎng)絡(luò)管理中心部署了網(wǎng)絡(luò)監(jiān)控系統(tǒng)等管理軟件，用以監(jiān)測和控制內(nèi)網(wǎng)中存在威脅的操作應(yīng)用活動。下面將針對各個實現(xiàn)的功能展開具體敘述：

2.1 物理安全

本方案設(shè)立以下6個保護(hù)網(wǎng)絡(luò)設(shè)備物理安全的機(jī)制。

（1）場地基礎(chǔ)設(shè)施應(yīng)符合網(wǎng)絡(luò)安全防范要求，預(yù)防數(shù)據(jù)被通過線路搭載等其它硬件連接手段而造成內(nèi)部信息泄密。

（2）部署網(wǎng)絡(luò)設(shè)備的地址以及周圍場地環(huán)境以及設(shè)施建設(shè)都必須符合國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)，具備防火、防雷、防水、防靜電、防鼠等硬件安全功能，并時刻維持電源和線路的健全，確保網(wǎng)絡(luò)能正常持續(xù)地運(yùn)行，確保網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全可靠。

（3）應(yīng)對突發(fā)事故，事前部署網(wǎng)絡(luò)設(shè)備應(yīng)急計劃。針對遭遇停電、線路斷開等情況，增設(shè)應(yīng)急電源以及備用線路，并按應(yīng)急計劃對網(wǎng)絡(luò)主機(jī)、服務(wù)器等重要設(shè)施采取備份、冗余技術(shù)保護(hù)措施;應(yīng)對設(shè)施被破壞等災(zāi)難事故，銀行應(yīng)部署備用設(shè)備中心，保證能第一時間對網(wǎng)絡(luò)系統(tǒng)運(yùn)作的恢復(fù)。

（4）網(wǎng)絡(luò)設(shè)施所在地應(yīng)禁止閑雜人員出入，工作人員亦應(yīng)注重進(jìn)出衛(wèi)生，避免重要設(shè)備因塵沙侵入而出現(xiàn)的故障。

（5）選擇網(wǎng)絡(luò)安全設(shè)備，應(yīng)符合銀行信息安全管理技術(shù)規(guī)范的安全標(biāo)準(zhǔn)，并核實是否具備安全部門的設(shè)備準(zhǔn)用證或國家有關(guān)部門的安全產(chǎn)品許可證書。

（6）工作人員應(yīng)熟悉網(wǎng)絡(luò)設(shè)施的操作，并定期對網(wǎng)絡(luò)設(shè)施進(jìn)行檢查、記錄維修情況、進(jìn)行設(shè)施維護(hù)、保養(yǎng)等操作。

2.2 系統(tǒng)安全

在網(wǎng)絡(luò)上設(shè)立安全掃描系統(tǒng)，制定程序計劃，對網(wǎng)絡(luò)上的終端機(jī)、服務(wù)器等設(shè)備進(jìn)行漏洞掃描，以預(yù)防因系統(tǒng)漏洞而造成的網(wǎng)絡(luò)入侵和信息泄密事件。系統(tǒng)中存在的漏洞和弱點(diǎn)是黑客最常利用的最有機(jī)可乘的地方，通過對系統(tǒng)的掃描，及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞，同時得到的結(jié)果報告和掃描日志還可以提供給網(wǎng)絡(luò)管理中心，作為對整個網(wǎng)絡(luò)現(xiàn)狀審查的部分，使得管理員能夠機(jī)智準(zhǔn)確的把握網(wǎng)絡(luò)的運(yùn)行狀況。

2.3 網(wǎng)絡(luò)安全

本設(shè)計選擇在網(wǎng)絡(luò)管理中心設(shè)置管理端和服務(wù)端，部署網(wǎng)絡(luò)型安全掃描器X-Scan 3.3-cn，掃描目標(biāo)為企業(yè)大型主機(jī)、企業(yè)服務(wù)器以及用戶區(qū)域計算機(jī)組。

安全掃描器首先在管理端做好相關(guān)配置以及指定掃描目標(biāo)，然后將掃描任務(wù)指令發(fā)送給服務(wù)端，服務(wù)端接收到管理端的掃描開始命令后立即對目標(biāo)發(fā)送檢測數(shù)據(jù)包，進(jìn)行掃描;此后，被掃描目標(biāo)會返回響應(yīng)信息，經(jīng)由服務(wù)端對信息進(jìn)行分析記錄以及向管理端傳回掃描結(jié)果。這時，網(wǎng)絡(luò)管理員可以根據(jù)傳回的掃描結(jié)果，針對發(fā)現(xiàn)的安全漏洞進(jìn)行安裝補(bǔ)丁、修復(fù)等操作，并結(jié)合下述的防火墻以及入侵檢測系統(tǒng)，對整個網(wǎng)絡(luò)進(jìn)行有效配置，以實現(xiàn)全面的網(wǎng)絡(luò)安全防御體系。

2.4 應(yīng)用安全

在與外網(wǎng)相連的設(shè)備區(qū)，使用防火墻技術(shù)來對內(nèi)網(wǎng)與外網(wǎng)間數(shù)據(jù)進(jìn)出的過濾，對訪問行為進(jìn)行管理等。企業(yè)防火墻是針對外部網(wǎng)絡(luò)的絕大部分攻擊，結(jié)合軟件和物理設(shè)備的安全防御措施。防火墻是一種訪問控制和隔離技術(shù)，是網(wǎng)絡(luò)安全區(qū)域的屏障。作為內(nèi)網(wǎng)的安全網(wǎng)關(guān)，企業(yè)防火墻可以確保內(nèi)網(wǎng)免受外網(wǎng)非法用戶的入侵。其主要通過服務(wù)訪問規(guī)則、驗證技術(shù)、包過濾和應(yīng)用網(wǎng)關(guān)等功能，使流入流出的所有信息被檢測被控制，所有具有安全隱患的流量都可以被拒絕轉(zhuǎn)發(fā)。

2.5 管理安全

本方案制定了網(wǎng)絡(luò)管理制度，內(nèi)容如下。

（1）機(jī)房管理制度。機(jī)房為網(wǎng)絡(luò)管理的中心，任何人不得隨意進(jìn)入，而機(jī)房人員不得擅自離崗或進(jìn)入與自己無關(guān)的區(qū)域。同時，機(jī)房電源開關(guān)應(yīng)妥善管理，不得隨意開關(guān);機(jī)房內(nèi)設(shè)備和線路保持整齊有序以及標(biāo)記識別等。另外，機(jī)房應(yīng)注重和保持衛(wèi)生清潔，盡量隔絕灰塵，地板和設(shè)備機(jī)柜等保持干凈干燥。網(wǎng)絡(luò)管理中心要嚴(yán)格遵守安全用電的有關(guān)規(guī)定，注重保證機(jī)器設(shè)備和人員的安全，避免造成損失。

（2）系統(tǒng)管理員要求。網(wǎng)絡(luò)管理中心應(yīng)加強(qiáng)對網(wǎng)絡(luò)的管理，維持整體網(wǎng)絡(luò)的穩(wěn)定運(yùn)轉(zhuǎn)，并應(yīng)能及時解決網(wǎng)絡(luò)故障，正確應(yīng)對網(wǎng)路突發(fā)事件。同時，管理員本身應(yīng)注重加強(qiáng)自身網(wǎng)絡(luò)安全技術(shù)的學(xué)習(xí)和提升，保證能對網(wǎng)絡(luò)系統(tǒng)進(jìn)行維護(hù)和更新工作。

（3）網(wǎng)絡(luò)設(shè)備應(yīng)用準(zhǔn)則。所有用戶應(yīng)明確網(wǎng)絡(luò)設(shè)備的操作規(guī)范，不得違反網(wǎng)絡(luò)管理中心制定的應(yīng)用規(guī)則，不得擅自改動計算機(jī)設(shè)備或破壞通信鏈路。突發(fā)事件發(fā)生時，優(yōu)先保證人員安全，接著應(yīng)保障數(shù)據(jù)安全，然后是設(shè)備安全。當(dāng)受到病毒、木馬攻擊或非法入侵時，應(yīng)冷靜判斷破壞的來源和性質(zhì)，斷開來源的網(wǎng)絡(luò)物理鏈接，并爭取及時恢復(fù)系統(tǒng)，修復(fù)信息。

3 結(jié)束語

總結(jié)全文，通過對某銀行的拓?fù)洮F(xiàn)狀分析，針對性地為網(wǎng)絡(luò)結(jié)構(gòu)的薄弱處增設(shè)安全設(shè)備及安裝軟件，加上整體安全規(guī)劃的結(jié)合，設(shè)計出來的網(wǎng)絡(luò)安全系統(tǒng)達(dá)到了研究目的，總體上完成了該銀行網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計。當(dāng)然，由于技術(shù)上的原因以及條件的限制等多方面影響，加上網(wǎng)絡(luò)技術(shù)的與時俱進(jìn)，以及網(wǎng)絡(luò)設(shè)計難以達(dá)到完美的客觀原因，設(shè)計出來的系統(tǒng)還存在很多不足的地方。

參考文獻(xiàn)：

[1]王瑞梁.新時期企業(yè)網(wǎng)絡(luò)管理的現(xiàn)狀及對策研究[J].電腦與電信，2017（02）：47-48.

[2]汪新輝.現(xiàn)代通信網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用[J].無線互聯(lián)科技，2016（14）：143-144.

[3]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社，2014.

[4]劉永華.計算機(jī)網(wǎng)絡(luò)信息安全[M].北京：清華大學(xué)出版社，2014.