基于三層架構的企業網絡安全管理系統的設計

鄒佛新

摘要：該文為保證企業網絡安全性，實現對網絡資源的有效保護，應用三層架構，完成對企業網絡安全管理系統的設計。首先，設計和搭建系統架構和系統運行環境。其次，完成對探測器模塊設計、管理器模塊、控制臺模塊三大核心模塊的設計。最后，對系統進行測試。結果表明，在三層架構的應用背景下，該文所設計的企業網絡安全管理系統可以統一化、智能化監控和管理所有安全設備，保證安全設備運行性能，為用戶打造良好、安全的網絡環境。

關鍵詞：三層架構；企業網絡安全管理系統；設計

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2023）31-0104-03

開放科學（資源服務）標識碼（OSID）

0 引言

互聯網時代的到來給人們的日常生活和工作提供了極大的便利，但是也引發了一系列的網絡安全問題。在此背景下，出現了大量的網絡安全技術和網絡安全設備。為實現對網絡資源的有效保護，單個網絡中通常需要安裝和部署多個安全產品，這些安全設備安裝和應用存在一定的分散性[1]，出現了各自為政的現象，不利于后期各種入侵行為的發現和處理，而企業網絡安全管理系統的設計和應用可以有效地解決以上問題。該系統主要應用三層架構，可以實現對分布式系統設備的集中化、智能化管理，確保各個網絡安全設備之間保持相互協作關系，提高企業網絡安全性和可靠性[2]。所以，如何設計基于三層架構的企業網絡安全管理系統是技術人員必須思考和解決的問題。

1 系統總體設計

1.1 系統架構設計

系統架構設計示意圖如圖1所示，從圖1可以看出，該系統架構主要由以下幾部分組成：1） 探測器。探測器主要包含網絡探測器、設備探測器、其他廠商等部分組成。2） 管理中心。管理中心除了可以直接用于重要數據存儲外[3]，還用于對數據的系統化處理和安全化管理。3） 控制臺。通過運用控制臺，可以實現對多個用戶安全狀況分析、報警與統計等處理。該系統結合報警及配置情況，可以自動化響應事件，保證短消息和郵件發送的及時性以及與防火墻聯動的有效性。

1.2 系統運行環境搭建

1.2.1 硬件環境

在搭建系統硬件環境時，要重點做好對應用服務器、數據庫服務器、客戶端及其相關性能指標的設置，為后期系統功能運行提供良好的硬件環境。

1.2.2 軟件環境

在搭建系統軟件環境時，要重點做好對中間件、數據庫、開發工具、編程語言、系統架構、操作系統等工具的配置，為后期系統功能設計提供良好的軟件環境。

2 系統功能設計和實現

為了充分發揮和利用三層架構設計思想的應用優勢，提高企業網絡安全管理系統的穩定性和實用性，技術人員要重點做好對探測器模塊、管理器模塊、控制臺模塊的科學設計。這些功能在具體設計中，除了用到eclipse開發工具外，還用到JAVA編程語言以及JSP技術、Spring技術和Hibernate技術三種Web展示技術。

2.1 探測器模塊設計

探測器模塊在整個系統中主要承擔網絡入侵檢測角色，應用該模塊可以智能化監控某一具體網段。通過將探測器安裝和固定到所需要的監控網段上，可以及時發現和處理由病毒所形成的報警信息。應用探測器可以直接獲取相關網段上的數據包[4]，并進行協議分析。同時，結合協議分析結果，按照制定好的規則對其進行全面化檢查，從而形成相應的報警信息。探測器模塊結構示意圖如圖2所示。任意一種探測器均難以及時、有效地分析和處理網絡系統相關安全問題。例如：應用網絡探測器難以及時發現和處理主機內部非法訪問行為，只有應用掃描探測器才能智能化、主動化探測各種漏洞問題。網絡系統中，主要使用多種操作系統、應用系統等，可以全面化、細致化觀察和掌控系統網絡是否安全可靠，便于相關人員真實有效地了解和把握當前系統網絡安全現狀[5]。因此，為保證企業網絡安全性，要綜合應用網絡探測器、設備探測器等多種探測器，完成對探測器模塊的科學化設計。在設計該模塊時，要借助多種探測器，為特定的抽象操作提供一定的支持，便于相關人員統一化、智能化管理分級網絡安全綜合預警系統。此外，結合網絡入侵類型應用Snort軟件的開放源代碼，智能化檢測該系統，這是由于Snort軟件程序架構具有輕巧、靈活等特點，可以直接運行于不同平臺中[6]。

2.2 管理器模塊

管理器作為一種交互界面，可以與探測器直接交互操作。應用管理器可以將所發送的探測器命令直接傳輸和發布到相應的探測器中，各個探測器數據均被統一化發送和傳輸到鄰近的管理中心位置。各個控制臺所獲得數據主要來源于用戶成功登錄的管理中心處，應用管理中心可以間接傳輸探測器命令和策略[7]。管理中心主要用于對多種數據的統一化處理、存儲和分發。

結合網絡復雜度，可以采用級聯處理方式，對管理中心進行統一化處理，以保證多級預警功能實現效果。下級管理中心所報告的信息具有一定的精簡性、真實性和可靠性，管理器模塊結構示意圖如圖3所示。

2.2.1 數據包捕獲子模塊

數據包捕獲子模塊主要是指應用該系統物理網絡鏈路層，實現對所需網段原始數據的直接收集和整理。該模塊在保證整個系統可移植性和高效性方面發揮出重要作用，即運用該模塊，可以實現對不同系統鏈路系統差異性問題的有效屏蔽。運用混雜模式完成對探測器網卡的有效設置，可以全部抓取和整理整個網段上各項數據包。

2.2.2 入侵匹配子模塊

入侵匹配模塊主要指匹配處理所分類好的協議數據和攻擊特征庫信息，如果匹配成功，說明存在入侵行為，需要將相關信息安全、可靠地傳輸到相關模塊中，確保相關模塊與控制臺之間建立密切的連接關系，從而實現對這些信息的有效控制。如果匹配失敗，需要對其進行重新匹配，直到匹配成功為止。

2.2.3 異常處理子模塊

異常處理子模塊主要用于對部分統計功能的有效執行。僅運用部分規則，無法有效地判定部分入侵行為。例如：通過運用特定類型包的數量，判定分布式拒絕服務攻擊行為，當類型包數量超過所設置的入侵閾值時，可以將其視為“入侵行為”，并啟動相應的反應機制。

2.2.4 信息預處理子模塊

信息預處理子模塊主要指統一化處理探測器所獲取到的報警信息格式，便于用戶在融合處理探測器所形成的報警信息時，可以提供統一化的信息傳輸格式，從而實現對不同探測器所產生信息的統一化管理，這為后期報警信息過濾提供了重要的數據支持。

2.3 控制臺模塊

控制臺模塊主要用于對用戶信息、探測器配置信息等信息管理功能和響應功能的設計合和實現。對于探測器而言，其配置管理功能主要用于對探測器啟動、關閉操作；響應功能主要指當系統被網絡病毒、網絡黑客、網絡不法分子惡意攻擊和入侵后，需要第一時間做出報警、切斷網絡連接等響應。用戶直接操作和交互控制臺時，可以結合自身需求，實時發布和處理各種命令[8]。例如：應用安全化策略，可以實現對相關資產的安全化啟動和升級，并完成對相關屬性的有效設置。此外，運用B/S模式，可以保證控制管理界面設計效果。B/S模式具有以下應用優勢：1） 可以保證多用戶監控和管理的容易度，降低管控成本。2） 有利于更好地分離開發環境與應用環境，為后期系統管理和升級提供一定的便捷性。控制臺模塊結構示意圖如圖4所示。

控制臺作為一種信息操作界面，不能直接用于報警信息的處理和分析。控制臺運用多種形式可以向合法訪問用戶生動、形象地呈現相關報警信息，用戶在正式應用控制臺之前，需要運用合法的身份完成對管理中心的登錄和訪問。

3 系統運行性能測試

為了更好地考察該系統的負載能力，測試人員需要重視對該系統性能的測試。在測試系統運行性能時，要求1000名員工用戶同時在線登錄和訪問該系統。可以看出，當同時在線登錄系統的員工用戶總數達到1000位時，系統仍然可以正常、穩定地運行，這表明該系統表現出較高的負載能力和運行性能，完全可以滿足海量人員登錄和訪問系統需求。

4 結束語

綜上所述，在三層架構的應用背景下，本文所設計的企業網絡安全管理系統具有操作簡單、安全可靠、靈活性強等特點，該系統設計研究工作主要包含以下幾點：1） 該系統開發主要運用了基于探測器、管理中心、控制臺三層架構設計思想，通過運用多個探測器可以擴大數據來源，實現對企業網絡的信息化管理。該系統在實際設計中主要用到分級、樹狀層次結構，完全滿足多分級、跨地域網絡環境使用需求，有效保證了系統的擴展性和靈活性。2） 該系統設計可以實現對設備運行狀態、日志瀏覽、性能分析等信息的智能化管控，避免對單個安全設備過度依賴，從而實現各個設備的有效融合。3） 該系統具有強大的數據采集功能，不僅可以實現對安全設備信息的主動化、實時化獲取，還能向安全中心匯報所采集的安全設備信息，由安全中心分時處理所采集到的信息，避免因海量采集信息同時傳輸而增加網絡崩潰、堵塞風險，保證網絡運行性能。

參考文獻：

[1] 雷東.企業網絡安全信息管理系統設計[J].通信電源技術，2021，38（16）：110-112，118.

[2] 梁雅慶.關于電力企業信息網絡安全管理系統的設計與實現研究[J].數字化用戶，2017（28）：5.

[3] 胡漢賢.企業信息網絡安全管理系統的設計與實現[J].數字通信世界，2016（7）：86-86，87.

[4] 王玨.電力調度數據網網絡安全管理系統設計分析[J].數碼設計，2018（10）：144-145.

[5] 蔣宏林.淺談企業內部網絡安全管理系統搭建[J].中國新通信，2020，22（4）：130.

[6] 姚望.論企業內部網絡安全管理系統的搭建[J].網絡安全技術與應用，2020（10）：128-129.

[7] 李雨泰.電力企業信息網絡安全管理系統的構建分析[J].信息系統工程，2019（1）：74.

[8] 程偉.基于云計算技術下的企業網絡安全管理系統構建研究[J].科技展望，2016，26（5）：1，3.

【通聯編輯：代影】