大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

葉其蕾 余霄

（1.溫州市大數(shù)據(jù)發(fā)展管理局 浙江省溫州市 325000 2.溫州科技職業(yè)學(xué)院 浙江省溫州市 325000）

近些年來(lái)，隨著我國(guó)新一代通信技術(shù)的不斷發(fā)展，以大數(shù)據(jù)技術(shù)為首的新一代通信技術(shù)逐漸應(yīng)用于各行業(yè)領(lǐng)域以及生活生產(chǎn)當(dāng)中。可以說(shuō)，在大數(shù)據(jù)等新一代通信技術(shù)的決策支持下，廣大受眾群體在獲取信息以及共享信息方面可選的渠道方式更多。然而，現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在運(yùn)行過(guò)程中所面臨的風(fēng)險(xiǎn)問(wèn)題較多，再加上各種接口以及網(wǎng)絡(luò)平臺(tái)存在安全漏洞，容易對(duì)信息共享以及傳輸過(guò)程構(gòu)成隱患威脅[1]。最重要的是，計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)在信息安全功能設(shè)計(jì)方面存在不同程度的缺失問(wèn)題，導(dǎo)致信息資源傳輸以及共享過(guò)程難以得到確切保障。如果不加以及時(shí)維護(hù)與管理，社會(huì)各行業(yè)以及機(jī)構(gòu)的安全有序運(yùn)行就會(huì)受到嚴(yán)重影響。同時(shí)，各行業(yè)領(lǐng)域機(jī)密信息以及個(gè)人信息都會(huì)被泄露掉。為及時(shí)解決這一隱患問(wèn)題，我們必須加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全系統(tǒng)構(gòu)建問(wèn)題的重視程度。

1 大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全方式分析

大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全功能的實(shí)現(xiàn)主要是根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)形式進(jìn)行統(tǒng)籌規(guī)劃與合理部署，以切實(shí)滿足大數(shù)據(jù)時(shí)代對(duì)信息安全的基本需求。且在設(shè)計(jì)過(guò)程中，應(yīng)該著重針對(duì)網(wǎng)絡(luò)物理安全以及數(shù)據(jù)信息安全內(nèi)容進(jìn)行重點(diǎn)規(guī)劃與設(shè)計(jì)。結(jié)合當(dāng)前設(shè)計(jì)經(jīng)驗(yàn)來(lái)看，網(wǎng)絡(luò)物理安全內(nèi)容主要針對(duì)計(jì)算機(jī)硬件設(shè)備保護(hù)工作設(shè)計(jì)工作而言，一般多圍繞網(wǎng)絡(luò)服務(wù)器交換機(jī)以及通信線路安全等內(nèi)容進(jìn)行合理設(shè)計(jì)。并在此基礎(chǔ)上，對(duì)用戶權(quán)限進(jìn)行合理驗(yàn)證，防止計(jì)算機(jī)資源被不法分子非法竊取。與此同時(shí)，數(shù)據(jù)信息安全內(nèi)容可從訪問(wèn)控制策略、信息加密策略等方面進(jìn)行統(tǒng)籌規(guī)劃與合理部署。

一方面，訪問(wèn)控制策略基本上可以視為網(wǎng)絡(luò)安全防護(hù)的重要策略表現(xiàn)。在應(yīng)用過(guò)程中，主要起到保護(hù)網(wǎng)絡(luò)資源不被非法訪問(wèn)和竊取的功能作用，在一定程度上可提高網(wǎng)絡(luò)系統(tǒng)安全性能以及網(wǎng)絡(luò)資源的安全性。結(jié)合當(dāng)前應(yīng)用情況來(lái)看，訪問(wèn)控制策略已經(jīng)逐步成為網(wǎng)絡(luò)安全策略的核心策略內(nèi)容，具有重要的應(yīng)用保護(hù)意義[2]。另一方面，信息加密策略主要針對(duì)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)信息保護(hù)工作進(jìn)行統(tǒng)籌規(guī)劃與合理設(shè)計(jì)，目的在于保障網(wǎng)絡(luò)數(shù)據(jù)在傳輸過(guò)程中可以始終保持完整性與高效性。在應(yīng)用實(shí)踐過(guò)程中，信息加密策略可利用鏈路加密方式增強(qiáng)網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)的傳輸安全性，保障用戶數(shù)據(jù)使用安全。除此之外，規(guī)劃設(shè)計(jì)人員也可以利用網(wǎng)絡(luò)安全策略進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全等級(jí)，保障網(wǎng)絡(luò)數(shù)據(jù)安全性與完整性。

2 大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)及原則分析

2.1 系統(tǒng)設(shè)計(jì)目標(biāo)

大數(shù)據(jù)時(shí)代下，計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在設(shè)計(jì)目標(biāo)的確立上應(yīng)該始終圍繞合理保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行等目標(biāo)內(nèi)容進(jìn)行統(tǒng)籌規(guī)劃與合理設(shè)計(jì)。在規(guī)劃設(shè)計(jì)過(guò)程中，設(shè)計(jì)人員可主動(dòng)利用網(wǎng)絡(luò)安全策略，實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)信息的全面保護(hù)，目的在于防止網(wǎng)絡(luò)數(shù)據(jù)信息資源泄露，增強(qiáng)系統(tǒng)整體的運(yùn)行安全性與科學(xué)性。與此同時(shí)，設(shè)計(jì)人員應(yīng)主動(dòng)運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，增強(qiáng)數(shù)據(jù)交互之間的安全性與高效性，保障計(jì)算機(jī)信息安全系統(tǒng)得以實(shí)現(xiàn)高效穩(wěn)定運(yùn)行目標(biāo)。

結(jié)合當(dāng)前發(fā)展情況來(lái)看，在海量數(shù)據(jù)信息資源的發(fā)展作用下，網(wǎng)絡(luò)安全設(shè)計(jì)在側(cè)重點(diǎn)方面逐漸轉(zhuǎn)移到網(wǎng)絡(luò)信息數(shù)據(jù)安全保護(hù)方面。因此在系統(tǒng)設(shè)計(jì)上，建議設(shè)計(jì)人員應(yīng)該按照統(tǒng)一規(guī)范標(biāo)準(zhǔn)實(shí)現(xiàn)有效設(shè)計(jì)過(guò)程。如可通過(guò)構(gòu)建網(wǎng)絡(luò)信息安全保護(hù)平臺(tái)，增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)標(biāo)準(zhǔn)化水平，確保網(wǎng)絡(luò)數(shù)據(jù)信息安全保護(hù)效果得以深化加強(qiáng)。除此之外，在網(wǎng)絡(luò)安全保護(hù)功能的確立上，設(shè)計(jì)人員應(yīng)該構(gòu)建多層級(jí)保護(hù)策略，通過(guò)借助多元化信道保護(hù)方法可達(dá)到增強(qiáng)網(wǎng)絡(luò)安全體系高效運(yùn)行的目的[3]。

2.2 系統(tǒng)設(shè)計(jì)原則

為確保計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)高效運(yùn)行目標(biāo)得以順利實(shí)現(xiàn)，設(shè)計(jì)人員在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的過(guò)程中，應(yīng)該嚴(yán)格遵循以下原則實(shí)現(xiàn)高效設(shè)計(jì)過(guò)程。

2.2.1 安全可靠原則

安全可靠原則基本上可以視為計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)體系的核心原則。從客觀角度上來(lái)講，合理保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行功能，在一定程度上可以增強(qiáng)系統(tǒng)安全可靠運(yùn)行效果。在實(shí)踐過(guò)程中，設(shè)計(jì)人員可通過(guò)利用信息安全產(chǎn)品以及信息安全技術(shù)，對(duì)網(wǎng)絡(luò)安全保護(hù)方案進(jìn)行統(tǒng)籌規(guī)劃與合理構(gòu)建，以增強(qiáng)系統(tǒng)整體的運(yùn)行安全性。

2.2.2 一致性原則

所謂的一致性原則主要是指設(shè)計(jì)人員應(yīng)該根據(jù)網(wǎng)絡(luò)安全問(wèn)題表現(xiàn)，對(duì)當(dāng)前網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)進(jìn)行合理構(gòu)建，并在滿足網(wǎng)絡(luò)安全需求的前提條件下，制定針對(duì)性數(shù)據(jù)安全保護(hù)策略[4]。

2.2.3 易操作原則

計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在設(shè)計(jì)過(guò)程中應(yīng)該綜合衡量應(yīng)用技術(shù)的可操作性，目的在于確保管理人員可按照一定原則要求，對(duì)當(dāng)前系統(tǒng)安全運(yùn)行情況進(jìn)行合理掌握。且在系統(tǒng)設(shè)計(jì)過(guò)程中，應(yīng)綜合考慮系統(tǒng)可拓展性以及系統(tǒng)硬件、軟件模塊功能情況，利用標(biāo)準(zhǔn)化技術(shù)手段對(duì)當(dāng)前系統(tǒng)架構(gòu)形式進(jìn)行合理設(shè)計(jì)，以增強(qiáng)系統(tǒng)整體的兼容性效果。

2.2.4 風(fēng)險(xiǎn)平衡分析原則

從客觀角度上來(lái)講，網(wǎng)絡(luò)安全若想達(dá)到絕對(duì)安全往往是有較大難度的，只能在原有基礎(chǔ)上不斷增強(qiáng)網(wǎng)絡(luò)安全性。究其原因，主要是因?yàn)榫W(wǎng)絡(luò)安全運(yùn)行期間所面臨的風(fēng)險(xiǎn)因素較多，我們難以對(duì)各類風(fēng)險(xiǎn)問(wèn)題進(jìn)行全面抵抗。為及時(shí)緩解不良因素對(duì)網(wǎng)絡(luò)安全運(yùn)行過(guò)程帶來(lái)的弊端影響，設(shè)計(jì)人員可利用定量與定性分析方法，對(duì)相應(yīng)的設(shè)計(jì)方案內(nèi)容進(jìn)行合理制定，以增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性與科學(xué)性。除此之外，系統(tǒng)設(shè)計(jì)工作應(yīng)構(gòu)建多重防護(hù)體系，通過(guò)不斷增強(qiáng)各層保護(hù)的協(xié)調(diào)交互性，確保信息安全得以有所保障[5]。

3 大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)功能框架設(shè)計(jì)及分析

計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在功能框架設(shè)計(jì)方面所涉及到的核心內(nèi)容較多，具體可以參照?qǐng)D1。因此在規(guī)劃設(shè)計(jì)過(guò)程中，設(shè)計(jì)人員應(yīng)該主動(dòng)結(jié)合各功能框架設(shè)計(jì)要點(diǎn)，對(duì)其所涉及到的涉及內(nèi)容進(jìn)行統(tǒng)籌規(guī)劃與合理部署。

3.1 物理隔離設(shè)計(jì)

所謂的物理隔離設(shè)計(jì)，主要是針對(duì)內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)隔離架構(gòu)設(shè)計(jì)工作而言。在具體設(shè)計(jì)過(guò)程中，設(shè)計(jì)人員可從物理隔離角度，利用PC 隔離方法構(gòu)建虛擬工作站。通過(guò)科學(xué)設(shè)計(jì)獨(dú)立硬盤數(shù)據(jù)儲(chǔ)存體系以及相關(guān)系統(tǒng)，確保安全區(qū)以及非安全區(qū)環(huán)境上可以滿足物理隔離條件。在此過(guò)程中，設(shè)計(jì)人員應(yīng)該建立專用的數(shù)據(jù)接口以及網(wǎng)線接口，以增強(qiáng)物理隔離效果。

與此同時(shí)，在主盤以及硬盤之間可利用全控制方式，完成對(duì)硬盤通道的全過(guò)程控制管理。在此過(guò)程中，硬盤數(shù)據(jù)轉(zhuǎn)換過(guò)程可利用繼電器控制方式實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的來(lái)回切換，保障計(jì)算機(jī)系統(tǒng)運(yùn)行的安全性與可靠性。除此之外，設(shè)計(jì)人員可利用IDE-ATA 硬盤操作系統(tǒng)，確保可以在不同局域網(wǎng)絡(luò)環(huán)境中安全運(yùn)行，實(shí)現(xiàn)對(duì)數(shù)據(jù)資源的存儲(chǔ)與保管[6]。

3.2 桌面系統(tǒng)安全設(shè)計(jì)

數(shù)據(jù)桌面系統(tǒng)安全設(shè)計(jì)可主動(dòng)利用云計(jì)算數(shù)據(jù)服務(wù)，實(shí)現(xiàn)對(duì)海量數(shù)據(jù)資源的存儲(chǔ)管理。與此同時(shí)，數(shù)據(jù)桌面系統(tǒng)安全設(shè)計(jì)可指導(dǎo)用戶完成對(duì)數(shù)據(jù)資源的遠(yuǎn)程操控與查詢管理。一般來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中所涉及到的數(shù)據(jù)信息儲(chǔ)存方式，主要以文件方式在硬盤中進(jìn)行存儲(chǔ)管理。而這種方式所呈現(xiàn)出的數(shù)據(jù)信息很容易被竊取，針對(duì)于此，設(shè)計(jì)人員可利用本地安全管理方式完成對(duì)本地?cái)?shù)據(jù)資源的存儲(chǔ)與保護(hù)。舉例而言，可利用北信源桌面安全保護(hù)系統(tǒng)完成對(duì)本地?cái)?shù)據(jù)資源的存儲(chǔ)與保護(hù)。除此之外，桌面安全保護(hù)系統(tǒng)本身具有中央處理器等功能優(yōu)勢(shì)，并且可利用加密運(yùn)行處理器在芯片內(nèi)部設(shè)計(jì)密鑰以及加密算法，這樣一來(lái)，可有效阻擋非法數(shù)據(jù)入侵系統(tǒng)。

3.3 病毒防護(hù)系統(tǒng)設(shè)計(jì)

服務(wù)器病毒防護(hù)設(shè)計(jì)中所涉及到的管理模塊以及防毒模塊，可利用獨(dú)立安裝方式增強(qiáng)系統(tǒng)整體的安全穩(wěn)定運(yùn)行效果。與此同時(shí)，服務(wù)器防毒系統(tǒng)在部署規(guī)劃方面可以采取單點(diǎn)位置方式進(jìn)行合理部署。結(jié)合實(shí)踐設(shè)計(jì)經(jīng)驗(yàn)來(lái)看，本方案所采用的深信服終端檢測(cè)響應(yīng)平臺(tái)EDR 產(chǎn)品可有效支持Linux 等操作系統(tǒng)平臺(tái)。在此過(guò)程中，建議設(shè)計(jì)人員可利用單點(diǎn)控制模式實(shí)現(xiàn)對(duì)EDR 客戶端防毒模塊的操控管理。需要注意的是，客戶端防毒模塊在集中部署方面，可按照系統(tǒng)客戶端運(yùn)行實(shí)際情況進(jìn)行合理部署。其中，利用EDR 的管理平臺(tái)對(duì)終端進(jìn)行合規(guī)檢查，微隔離的訪問(wèn)控制策略統(tǒng)一管理以及對(duì)安全事件的一鍵隔離處置。

3.4 訪問(wèn)控制設(shè)計(jì)

訪問(wèn)控制設(shè)計(jì)可利用NGAF 防火墻設(shè)備以及網(wǎng)絡(luò)安全準(zhǔn)入設(shè)備完成對(duì)內(nèi)部網(wǎng)絡(luò)運(yùn)行體系的全面保護(hù)。一般來(lái)說(shuō)，訪問(wèn)控制設(shè)計(jì)可重點(diǎn)針對(duì)NGAF 防火墻設(shè)備所涉及到的網(wǎng)絡(luò)地址轉(zhuǎn)換以及數(shù)據(jù)信息過(guò)濾等訪問(wèn)控制功能進(jìn)行統(tǒng)籌規(guī)劃與合理部署。從實(shí)踐情況上來(lái)看，計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)通過(guò)合理運(yùn)用NGAF 防火墻技術(shù)，基本上可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的網(wǎng)段劃分處理，不僅可以保障網(wǎng)絡(luò)數(shù)據(jù)服務(wù)器等設(shè)備運(yùn)行質(zhì)量安全，同時(shí)也可以加強(qiáng)對(duì)外部攻擊的防御處理。需要注意的是，NGAF 防火墻設(shè)計(jì)必須按照靈活部署原則，支持不同網(wǎng)絡(luò)環(huán)境運(yùn)行，以期可以對(duì)常見(jiàn)網(wǎng)絡(luò)攻擊起到良好的抵御作用[7]。

3.5 信息加密設(shè)計(jì)

本文所研究的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在信息加密設(shè)計(jì)方式的選用上，主要采用SJW07AII 型網(wǎng)絡(luò)密碼機(jī)。一般來(lái)說(shuō)，這種類型的網(wǎng)絡(luò)密碼機(jī)可在局域網(wǎng)帶寬千兆的辦公區(qū)域內(nèi)實(shí)現(xiàn)安全配置管理。這樣一來(lái)，不僅可以保障數(shù)據(jù)信息傳輸?shù)陌踩耘c科學(xué)性，同時(shí)也可以防止信息傳輸過(guò)程中存在干擾問(wèn)題。在加密設(shè)計(jì)過(guò)程中，內(nèi)網(wǎng)可通過(guò)劃分多個(gè)子網(wǎng)，完成對(duì)數(shù)據(jù)安全傳輸問(wèn)題的有效解決。并通過(guò)構(gòu)建獨(dú)立信息安全通道體系，完成對(duì)數(shù)據(jù)資源的加密以及認(rèn)證處理。除此之外，利用對(duì)稱加密算法以及非對(duì)稱加密算法，可大體上解決以往數(shù)據(jù)資源傳輸存在的弊端問(wèn)題。

3.6 入侵檢測(cè)與防御設(shè)計(jì)

關(guān)于入侵檢測(cè)與防御設(shè)計(jì)工作的部署與實(shí)施，系統(tǒng)內(nèi)部子網(wǎng)可按照部門實(shí)現(xiàn)網(wǎng)段劃分處理。要求各個(gè)子網(wǎng)都必須配置一臺(tái)交換機(jī)，以確保系統(tǒng)網(wǎng)絡(luò)中心可以實(shí)現(xiàn)對(duì)各子網(wǎng)的統(tǒng)一管理。在具體處理過(guò)程中，子網(wǎng)可匯集到主干網(wǎng)絡(luò)，并通過(guò)連接高性能數(shù)據(jù)服務(wù)器，增強(qiáng)數(shù)據(jù)保護(hù)程度。與此同時(shí)，利用IPS 入侵防御系統(tǒng)實(shí)現(xiàn)對(duì)子網(wǎng)內(nèi)數(shù)據(jù)資源的動(dòng)態(tài)監(jiān)測(cè)與管理，對(duì)于非法入侵的數(shù)據(jù)以及訪問(wèn)進(jìn)行自動(dòng)防御攔截。其中，可將攔截所得的數(shù)據(jù)以及訪問(wèn)進(jìn)行精準(zhǔn)記錄，并形成安全訪問(wèn)日志，根據(jù)等保要求，攔截?cái)?shù)據(jù)保留180 天以上。

3.7 漏洞掃描

一般來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)在運(yùn)行過(guò)容易受到不確定因素的影響而出現(xiàn)漏洞問(wèn)題。如果工作人員不及時(shí)排查漏洞問(wèn)題，就很容易導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行異常或者存在其他隱患問(wèn)題。為進(jìn)一步加強(qiáng)對(duì)系統(tǒng)漏洞問(wèn)題的排查與管理，設(shè)計(jì)人員主動(dòng)利用網(wǎng)絡(luò)漏洞掃描針實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部信息點(diǎn)到快速掃描，并根據(jù)掃描反饋結(jié)果對(duì)當(dāng)前網(wǎng)絡(luò)內(nèi)部信息點(diǎn)情況進(jìn)行合理把握。與此同時(shí)，網(wǎng)絡(luò)漏洞掃描針也可以主動(dòng)結(jié)合IPS 以及防火墻技術(shù)，形成網(wǎng)絡(luò)安全策略。并通過(guò)配置IP 地址掃描功能，加強(qiáng)對(duì)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的針對(duì)性掃描與管理。除此之外，也可以利用Web 式遠(yuǎn)程管理模實(shí)現(xiàn)遠(yuǎn)程漏洞掃描管理過(guò)程。

4 結(jié)論

總而言之，大數(shù)據(jù)時(shí)代的全面來(lái)臨無(wú)疑是對(duì)網(wǎng)絡(luò)安全帶來(lái)了全新的機(jī)遇與挑戰(zhàn)。在這樣的發(fā)展態(tài)勢(shì)下，計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)必須迎合大數(shù)據(jù)時(shí)代發(fā)展需求，對(duì)當(dāng)前結(jié)構(gòu)功能體系存在的滯后性問(wèn)題進(jìn)行及時(shí)改進(jìn)與優(yōu)化處理。除此之外，計(jì)算機(jī)行業(yè)內(nèi)部研究人員應(yīng)該主動(dòng)立足于大數(shù)據(jù)等新一代通信技術(shù)的前沿發(fā)展動(dòng)態(tài)，利用高效合理的技術(shù)內(nèi)容，增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性與合理性。相信在全體人員的不斷努力下，大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)將會(huì)得到進(jìn)一步高效穩(wěn)定運(yùn)行。