文 华

（新疆交通职业技术学院，新疆 乌鲁木齐 831401）

计算机网络安全方案的设计与实现

文 华

（新疆交通职业技术学院，新疆 乌鲁木齐 831401）

计算机网络环境存在复杂性、多变性以及信息系统的脆弱性等特点，所以说网络安全威胁是每时每刻客观存在的。文章主要结合网络安全建设进程中对安全风险的分析来给出基于物理层、系统层以及病毒防御方面的网络安全设计与实现方案。

计算机网络；安全方案；风险；设计；实现

计算机网络安全方案的构建主要基于安全对象与安全机制来考虑，其中安全对象就主要包括了网络、系统、数据库、信息以及设备等方面，同时还有对计算机病毒的有效防治。如图1所示，以网络OSI的7层模型来看，优秀的网络安全方案应该贯穿于计算机信息系统中的4个层，即应用层、网络层、链路层和物理层。

1 计算机系统网络安全的相关风险分析

计算机系统在建立网络安全体系时应该全面考虑其各个方面的安全要素，从网络层到物理层再到系统层，要做到以不变应万变，明确网络安全体系建设中所存在的风险。

图1 计算机网络安全体系结构图

1.1 物理层

物理层是网络系统安全的大前提，目前比较常见的计算机系统物理安全风险就包括了诸如地震、台风、洪涝、火灾等不可避免的自然环境灾害。其次还包括了电源故障、设备故障、由操作系统引导失败所造成的数据库损坏与大量信息丢失。再者电磁辐射也是对计算机系统物理层伤害较大的风险，最后就是某些企业的重大网络信息数据库不能保证高标准的机密信息物理隔离，造成安全风险问题。总体而言，物理层安全威胁能够直接导致设备及计算机系统损坏，致使网络不可用，而数据信息也会丢失。

1.2 系统层

系统层主要由服务器、交换机、工作站等环节组成，而服务器上就包括了计算机操作系统、数据库系统与软件系统这些关键环节。系统层一旦被利用或被攻击，为企业所带来的损失也是不可估量的，具体来说，系统层的风险主要体现在以下3点。

第一，操作系统是存在安全风险的，因为操作系统的安全性决定了系统安全管理的重要基础，所以当Web服务器、门户服务器、外部数据交换服务器等存在信息安全漏洞时，就会导致安全操作系统崩溃，使计算机宕机。

第二，数据库的安全风险会影响企业的信息资产安全保护工作，如果企业没有高可用性和备份恢复等安全保障机制，数据库安全管理体系就会出现问题。

第三，桌面应用系统也存在安全风险。因为该系统是需要性能优化的，无论它采用的是B/S抑或是C/S应用模式，如果系统管理或使用不当，非法信息就会通过系统安全管理员通道入口进入桌面应用系统，造成系统口令或通信密码的遗失各对外泄露。

1.3 病毒

计算机病毒是附着于系统文件上的小程序。病毒能够以各种形态、各种渠道来进入计算机系统，造成系统安全威胁。例如病毒就能直接突破系统的访问控制环节，直接进入系统窃取信息，导致文件丢失和计算机死机等问题发生，这是目前计算机网络安全的最不安定因素［1］。

2 基于风险防御的计算机网络安全方案设计与应用实现

影响网络安全的因素众多，为此也要提出相关的网络安全保护技术措施，例如物理隔离系统、病毒防御、动态口令身份认证系统等等。

2.1 物理隔离安全方案设计与实现

2.1.1 物理隔离的相关理论阐述

一般情况下物理隔离卡应该应用于双布线网络环境中，它是典型的数据安全设备，它拥有两块独立硬盘以便于它能应用于两种网络环境中，其中一块硬盘应用于外网，一块硬盘应用于内网，且两块硬盘支持两块主板和两个独立操作系统，拥有单独的专用接口与网络连接，对硬盘通道实现完全控制。这样的操作下，网络连接与通讯线路是隔离的，继电器与内外网之间的网络转换连接也是隔离的，两块硬盘则绝对隔离。在这种多隔离环境下，两块硬盘之间就不存在任何共享数据，这样做的好处就在于它能够彻底阻挡外部黑客进入未授权区域通路，降低了信息泄露以及被破坏的可能性。而系统中的用户也可以根据企业自身工作需要来进行内外网络之间的来回转换。

2.1.2 物理隔离方案的设计及应用

该套物理隔离方案在转换方面相当自由，可以在内网与外网之间来回切换，而且它也提供两种切换方式：以按钮切换为主的硬切换方式以及以软件切换为主的软切换方式。另外，物理隔离层也不依赖任何操作系统，它不但可以应用于IED-ATA硬盘的PC系统端，也可以应用于局域网端，适应不同网络环境下的物理隔层设计及应用。最后，它对网络技术要求不高，且其网路IP协议也是完全透明可见的，在后期运维操作方面也相当简便，无需进行专门维护。

2.2 病毒防御安全方案设计与实现

目前企业计算机网络安全方案设计在病毒防御这一块主要基于4点设计：邮件防毒、服务器防毒、客户端防毒以及趋势病毒控制系统（Trend Virus Control System，TVCS）。

首先说邮件防毒，它所采用的是ScanMail for Lotus Notes技术产品，该产品能够与Domino群件服务器形成无缝连接，并合理嵌入到Notes数据库中，防止绝大多数病毒入侵Lotue Notes数据库，杜绝电子邮件被盗取状况的发生。这种技术能够实现实时扫描和清除隐藏于数据库或邮件附件中的网络木马病毒，也可以通过远程管控来进行相应的防毒管理工作，同时也能实时提供病毒流量活动监控记录，是非常好用的邮件防毒软件。

其次是服务器防毒，它主要运用到了ServerProtect软件，该软件分为防毒与管理两大模块且分开安装，它一方面能够降低防毒系统对原系统的不利影响，一方面也能对服务器防毒系统进行行之有效的单点部署，实现软件日常管理与更新行为。

第三是客户端防毒，它所采用的是OfficeScan，它也拥有单点控制功能，可以控制所有客户端上的防毒模块，并进行自动的模块更新和集中部署，最重要的是它并不受制于Windows域管理模式，除常规支持用户登录域脚本、SMS和共享安装以外，它也支持单纯的Web部署方式，应用实用性很强。

最后是集中管控TVCS，它是典型的网络防毒工具，而且它的可控制范围及可配置范围很大，可以监视和维护整个企业区域的所有计算机系统，且它支持跨域、跨平台、跨网段管理，实时显示服务器防病毒产品工作状态。当TVCS运行于某一平台时，它就会起到独立的管理控制台作用，实现对各类软件的简便安装，同时分发代理部署各种数据信息，分析和统计病毒功能。另外，它还能自动下载病毒代码文件，拥有病毒爆发报警设计，这也为计算机网络系统管理带来极大福音［2］。

2.3 动态口令身份认证安全方案设计与实现

现有的计算机网络安全方案有必要加入动态口令身份认证系统，从而发挥它的抗截获攻击能力、抗实物解剖能力以及抗穷举攻击能力。

具体来说，企业网络可以采用动态口令身份认证安全系统，针对该系统主要包括以下4个模块的设计：认证系统管理模块、UAM账号管理服务器模块、RADIU认证服务器模块以及带有网络接入服务器功能的虚拟专用网（Virtual Private Network，VPN）防火墙。

该动态口令身份认证安全系统的设计主要希望实现以下4种应用：第一，可以自由控制口令使用次数及时效，抵御重播攻击行为；第二，采用开放应用程序接口，与应用系统形成联动，更便于系统集成；第三，确保用户端设计的精致小巧，同时保证系统运行性能稳定；第四，弥补静态口令中所存在的诸多缺陷，例如它优化了网络数据流窃听功能、认证信息截获与重放功能、穷举尝试功能以及字典攻击功能［3］。

3 结语

总而言之，对于特定的计算机系统而言，其网络安全建设方案应该基于对网络风险的有效分析上，并结合实际状况来进行调整、规划、设计和应用。考虑到系统中各个部分应用功能不同，所以不能为计算机系统给出一个固定的安全设计方案，而是要审时度势，根据新的计算机威胁来对症下药，制定一系列行之有效的计算机网络安全方案。

［1］韩慧莲，徐力，龚清勇，等.基于企业的计算机网络安全方案的设计与实现［J］.华北工学院学报，2005（3）：187-192.

［2］谢雪胜.计算机网络安全方案的设计与实现［D］.合肥：合肥工业大学，2006.

［3］秦靖伟.企业的计算机网络安全方案的设计与实现分析［J］.科技与生活，2012（21）：142-142，153.

Design and implementation of computer network security

Wen Hua

（Xinjiang Vocational and Technical College of Communications，Urumqi 831401，China）

Because of the characteristics of complexity of network environment，variability and vulnerability of the information system，the network security threat is the objective existence in every moment.This paper combined with the analysis of security risk in the construction process of network，giving methods based on the physical layer，the design and implementation of network security system and virus defense layer.

computer network；safety scheme；risk；design；implementation

文华（1980—），女，四川遂宁，讲师。