苏 岩

（哈尔滨师范大学 网络信息中心，黑龙江 哈尔滨150025）

1 计算机网络安全方案设计与实现概述

影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。

2 计算机网络安全方案设计并实现

2.1 桌面安全系统

用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。 这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。

2.2 病毒防护系统

（1）邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino 的群件服务器无缝相结合并内嵌到Notes 的数据库中，可防止病毒入侵到LotueNotes 的数据库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes 工作站或Web 界面远程控管防毒管理工作， 并提供实时监控病毒流量的活动记录报告。ScanMail 是Notes Domino Server 使用率最高的防病毒软件。

（2）服务器防毒。 采用趋势科技的ServerProtect。 该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。 一方面减少了整个防毒系统对原系统的影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。

（3）客户端防毒。 采用趋势科技的OfficeScan。 该产品作为网络版的客户端防毒系统， 使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。 其最大特点是拥有灵活的产品集中部署方式，不受Windows 域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯Web 的部署方式。

（4)集中控管TVCS。 管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于服务器的防病毒产品状态。 无论运行于何种平台和位置，TVCS 在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。

2.3 动态口令身份认证系统

动态口令系统在国际公开的密码算法基础上，结合生成动态口令的特点，加以精心修改，通过十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。 在此基础上，采用先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证了系统的安全性。

2.4 访问控制“防火墙”

单位安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。 本设计方案选用四台网御防火墙，分别配置在高性能服务器和三个重要部门的局域网出入口，实现这些重要部门的访问控制。

通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。 这样不仅保护了单位网络服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。

2.5 信息加密、信息完整性校验

为有效解决办公区之间信息的传输安全，可以在多个子网之间建立起独立的安全通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。

SJW-22 网络密码机系统组成

网络密码机（硬件）:是一个基于专用内核，具有自主版权的高级通信保护控制系统。

本地管理器（软件）:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。

中心管理器（软件）:是一个安装于中心管理平台上的对全网的密码机设备进行统一管理的系统软件。

2.6 安全审计系统

根据以上多层次安全防范的策略，安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法，“内审”是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信息是否泄密，以解决内层安全。

安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。作为网络安全十分重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。

2.7 入侵检测系统IDS

入侵检测作为一种积极主动的安全防护技术， 提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国际入侵检测产品市场的蓬勃发展就可以看出。

根据网络流量和保护数据的重要程度，选择IDS 探测器配置在内部关键子网的交换机处放置，核心交换机放置控制台，监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

2.8 漏洞扫描系统

联动扫描系统支持多线程扫描，有较高的扫描速度，支持定时和多IP 地址的自动扫描， 网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。 同时提供了Web 方式的远程管理，网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。 另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II 型移动式扫描仪。 移动式扫描仪使用灵活，可以跨越网段、穿透防火墙，对重点的服务器和网络设备直接扫描防护，这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能地消除安全隐患。

3 结束语

本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案，目的是建立一个完整的、立体的、多层次的网络安全防御体系。

［1］程艳旗.浙江大学智慧型校园探索[OL].百度文库,2010，12:3-8.

［2］赵广元.一种基于统一理念的整体数字校园构建方案[J].西安邮电学院学报,2006,3(11):131-134.

［3］陈洪涛.基于LDAP 的空管用户目录服务系统构建[J].计算机工程与设计,2010,31(19):4205-4208.