計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)VIP

1、 計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu) 彭曉輝Reference隨著社會經(jīng)濟的飛速發(fā)展以及移動互聯(lián)網(wǎng)技術(shù)的逐漸提升，計算機網(wǎng)絡(luò)開始在人們的日常工作生活占據(jù)著越來越重要的地位，也給人們的工作學(xué)習(xí)帶來了不少便利。但由于計算機網(wǎng)絡(luò)還存在著不少安全方面的漏洞容易遭受來自外界的攻擊和入侵，所以需要構(gòu)建好相應(yīng)的信息安全體系結(jié)構(gòu)來加強計算機網(wǎng)絡(luò)的信息安全。本文將就計算機網(wǎng)絡(luò)信息安全的背景等方面，就如何建立信息安全體系結(jié)構(gòu)進行一些分析及參考意見。【Keys】計算機網(wǎng)絡(luò) 信息安全體系 結(jié)構(gòu)1構(gòu)建計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)的必要性從上世紀(jì)八十年代出現(xiàn)計算機病毒以來，人類社會為戰(zhàn)勝信息網(wǎng)絡(luò)安全威脅付出了大量的努力，到目前

2、為止已經(jīng)取得了不錯的成效。但與此同時非法分子和黑客組織也在不斷地研究新的攻擊手段，制造新的安全威脅。近年來先后爆發(fā)的各種計算機病毒己經(jīng)給全球社會經(jīng)濟造成了嚴(yán)重的損失。來自網(wǎng)絡(luò)的安全威脅是實際存在的，特別是在網(wǎng)絡(luò)上運行關(guān)鍵業(yè)務(wù)時，解決網(wǎng)絡(luò)安全問題將是信息化發(fā)展過程中面臨的新問題和挑戰(zhàn)。隨著網(wǎng)絡(luò)接入用戶急劇增加，用戶的違規(guī)接入、非法攔截信息等不安全行為，都有可能影響計算機系統(tǒng)的正常運行和信息數(shù)據(jù)的泄露或丟失等安全問題。網(wǎng)絡(luò)惡意代碼、網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)擁堵等風(fēng)險問題日益突出，網(wǎng)絡(luò)安全日趨重要。所以運用適當(dāng)?shù)募夹g(shù)和安全產(chǎn)品，制定靈活的網(wǎng)絡(luò)安全策略，提供靈活可靠的網(wǎng)絡(luò)服務(wù)，有效降低網(wǎng)絡(luò)安全管理對網(wǎng)

3、絡(luò)性能的影響，降低管理費用，構(gòu)建一套合適的信息安全體系結(jié)構(gòu)具有重要意義。2國內(nèi)網(wǎng)絡(luò)安全體系發(fā)展現(xiàn)狀我國在系統(tǒng)安全的研究與應(yīng)用方面與先進國家和地區(qū)還存在著一定的差距。近幾年來，我國在安全操作系統(tǒng)、安全數(shù)據(jù)庫、多級安全機制的研究，防火墻技術(shù)的研究、虛擬專用網(wǎng)的監(jiān)測、黑客非法侵入防范等方面進行了有針對性的產(chǎn)品開發(fā)和研究。在網(wǎng)絡(luò)信息安全體系構(gòu)建的全面性、完整性、科學(xué)性以及針對性各方面還有所缺陷，尤其是對多平臺的兼容、多線程的應(yīng)對、多路線的需求等方面還有很多需要改善的地方。另外，網(wǎng)絡(luò)安全體系的相關(guān)理論知識以及人才培養(yǎng)也亟需加強和培養(yǎng)。目前，我國的網(wǎng)絡(luò)信息完全體系己初步完善，形成了定的建設(shè)基礎(chǔ)。3計算機網(wǎng)

4、絡(luò)的信息安全體系結(jié)構(gòu)的建設(shè)由于互聯(lián)網(wǎng)在其體系結(jié)構(gòu)上就存在著開放、脆弱、易受攻擊等安全缺陷；同時又是最快應(yīng)用先進網(wǎng)絡(luò)信息技術(shù)的地方、用戶密集且活躍、各種網(wǎng)絡(luò)應(yīng)用非常普及，這些都使得計算機網(wǎng)絡(luò)本文來自于的安全管理更為復(fù)雜和困難。在建設(shè)信息化網(wǎng)絡(luò)的同時，也不應(yīng)該放松對網(wǎng)絡(luò)信息安全的管理和防護。我國互聯(lián)網(wǎng)信息技術(shù)發(fā)展以來，本著技術(shù)和管理相輔相成的建設(shè)理念，圍繞著“依托技術(shù)優(yōu)勢、規(guī)范管理制度和健全保障體系”的建設(shè)方針，正逐步建立起一套比較完整的計算機網(wǎng)絡(luò)信息化安全保障體系，力爭從網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)和信息資源等多方面保障網(wǎng)絡(luò)信息、數(shù)據(jù)和管理信息化應(yīng)用的正常運行。3.1完整全面的技術(shù)保障（1）流量控制與管理

5、系統(tǒng)串聯(lián)部署在出口防火墻與出口邊界路由器之間。在對用戶上網(wǎng)行為進行充分的分析統(tǒng)計后，制訂了細(xì)致的管理策略。使用具備旁路監(jiān)聽技術(shù)的設(shè)備過濾、限制訪問不良網(wǎng)絡(luò)信息；隨著用戶對網(wǎng)絡(luò)需求的日益增加，人均帶寬越顯不足，各鏈路帶寬己經(jīng)接近飽和狀態(tài)，無法更好的服務(wù)用戶。根據(jù)網(wǎng)絡(luò)用戶訪問熱點資源的類型，訪問行為的特點。在核心路由器上旁路部署了內(nèi)容加速緩存系統(tǒng)，無論外網(wǎng)鏈路狀況如何，當(dāng)網(wǎng)絡(luò)用戶訪問熱點資源時，可以從本地直接讀取，以實現(xiàn)網(wǎng)絡(luò)的高速訪問體驗。（2）使用雙層防火墻防護托管服務(wù)器群，并自行開發(fā)了基于本文來自于WWw.zz-news.ComNetFlow的網(wǎng)絡(luò)流量監(jiān)控軟件，對服務(wù)器進行流量、CPU/內(nèi)存/

6、IO使用情況監(jiān)控；在服務(wù)器區(qū)域邊界部署IPS入侵檢測防御系統(tǒng)，這種基于應(yīng)用層的防御系統(tǒng)能夠識別常用的應(yīng)用層協(xié)議，通過事先的策略設(shè)置，可實現(xiàn)自動發(fā)現(xiàn)攻擊，主動攔截黑客對服務(wù)器區(qū)的SQL注入攻擊、蠕蟲、后門木馬、DDoS、Session偽造等惡意流量，阻斷攻擊源并且適時報警，從源頭上杜絕大部分的網(wǎng)絡(luò)入侵流量，有效過濾攻擊流量和病毒流量，保護信息的安全。（3）建立計算機網(wǎng)絡(luò)信息安全服務(wù)網(wǎng)站（FDU-CERT）發(fā)布計算機病毒預(yù)報和安全漏洞等安全公告、分發(fā)安全補丁并提供WSUS服務(wù)等；運維管理系統(tǒng)可以直觀的了解計算機網(wǎng)絡(luò)各個設(shè)備的具體情況，可以讀取每條鏈路上的即時流量及帶寬占用百分比，及時了解用戶的網(wǎng)絡(luò)

7、使用情況。當(dāng)某臺網(wǎng)絡(luò)設(shè)備故障時，運維管理系統(tǒng)中該設(shè)備和鏈路會顯示為紅色告警，同時通過短信和郵件的方式通知設(shè)備管理人員及時處理故障。（4）建立了異地數(shù)據(jù)備份和容災(zāi)方案、LogServer日志記錄和NTP服務(wù)器等。負(fù)載均衡設(shè)備部署在各鏈路與出口路由器之間。根據(jù)校內(nèi)用戶訪問目的地進行判斷，動態(tài)分配用戶上網(wǎng)鏈路，合理運用帶寬提升用戶訪問體驗。負(fù)載均衡設(shè)備自身雙機熱備，當(dāng)一臺機器意外故障宕機，另一臺可以接替其工作，保證網(wǎng)絡(luò)暢通。具體的計算機網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全保障體系結(jié)構(gòu)見圖1。3.2專業(yè)技術(shù)人員保障網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的建立可以依托虛擬團隊模式，成立相關(guān)網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組和安全工作小組，前者由網(wǎng)絡(luò)信息安全主管部門、領(lǐng)導(dǎo)階層組成；后者則從各地市網(wǎng)絡(luò)信息安全部門下屬各中心抽調(diào)對網(wǎng)絡(luò)、信息系統(tǒng)安全技術(shù)比較精通的技術(shù)骨干組成。由此，安全領(lǐng)導(dǎo)小組、安全工作小組和各中心安全工作執(zhí)行人員分別從決策、監(jiān)督和具體執(zhí)行三個層面為網(wǎng)絡(luò)信息安全工作提供了完整的人員保障。Refer