大数据时代计算机网络安全系统设计

2021-01-30胡萍萍

电子技术与软件工程 2020年22期

胡萍萍

（桂林电子科技大学广西壮族自治区桂林市 541004）

1 引言

大数据技术的应用和发展，海量数据的出现，对网络数据信息安全防护变得非常重要。数据安全防护是当代计算机网络安全系统的重要问题，应用计算机技术解决大数据时代网络数据安全的问题，构建计算机网络安全防护系统，防止网络数据被非法窃取和攻击，是保证数据安全的重要内容。

2 大数据时代计算机网络安全策略

大数据时代计算机网络安全通过对计算机网络安全系统架构进行设计，满足大数据时代对信息安全的基本需要，在保证网络物理安全的基础上保证数据信息安全。在大数据时代，网络安全策略是采用计算机技术手段对网络安全实施管理，大数据时代采用网络安全策略如图1所示。

物理安全策略是保护计算机硬件设备，包括网络服务器交换机以及通信线路的安全等，并对用户权限进行验证，建立完善的网络安全管理制度，避免对计算机资源进行非法窃取，以及防止电磁泄漏等物理安全策略。访问控制策略作为网络安全防护的重要策略，主要是保护网络资源不被非法访问和窃取，并提高网络系统安全性能，保护网络资源的安全性。访问控制策略是网络安全策略中使用的核心策略，保护网络数据资源的安全性。信息加密策略主要是对网络内部的数据信息进行保护，保证网络数据在传输过程中的完整性和准确性。网络信息加密策略采用链路加密可以提高网络内部结点之间数据在链路传输的安全性，并对链路中从源节点到目的结点传输的数据进行加密，提高数据加密保护服务。信息加密通过加密算法等方法实现，对数据进行加密和解密，保护用户数据的安全性。网络安全管理策略包括对计算机机房管理制度的制定，以及网络系统管理以及维护的相应措施设计，进而提高网络安全等级，有效保护网络数据安全及完整。

3 计算机网络安全系统设计

3.1 系统设计目标

系统设计目标是在保护计算机网络系统稳定运行的基础上，采用网络安全策略对整个计算机网络系统的数据信息进行保护，防止网络数据信息泄露，构建一个完善的信息网络安全系统。采用计算机网络安全技术，保证数据交互的安全性，推动计算机信息安全系统的稳定运行。大数据时代海量数据信息的发展，网络安全逐渐侧重对网络信息数据安全的保护，因此系统设计上要按照统一的标准进行规划设计，构建网络信息安全保护平台，实现计算机网络安全系统的标准化和平台化，提高网络数据信息安全保护能力。在网络安全保护功能上要建立多层级的等级保护策略，构建多元化的信道保护方法，并针对网络安全保护的实际情况，采用计算机网络安全技术，全方位的构建网络安全体系，提高大数据时代计算机网络安全系统的保护能力。

图1：网络安全策略

图2：大数据时代计算机网络安全系统功能架构图

3.2 系统设计原则

安全可靠原则，是计算机网络安全系统的运行基础原则。保护计算机网络系统的安全性，采用信息安全产品以及信息安全技术构建网络安全保护方案，保证系统的安全性。在系统设计过程中采用先进的网络安全技术手段和高质量的网络安全产品，保证系统安全可靠的运行。一致性原则，根据网络安全问题制定满足网络安全需求的网络安全系统结构，在网络安全运行周期内制定相应的数据安全保护策略。易操作原则，系统在设计过程中要考虑到应用技术的可操作性，让管理人员可以方便的对系统进行操作，这样避免因为人为操作而导致系统的安全性下降。而且系统设计过程中，要充分考虑到系统的可扩展性，便于系统硬件和软件的模块功能扩展。采用标准化的技术和技术体系来实现对系统的设计，提高系统的标准化水平，以及提升系统的兼容性。风险平衡分析原则，网络安全要实现绝对安全是很难到达的，只能最大化的提升网络安全，网络安全面临的风险以及威胁很多，要采用定量和定性的分析方法，并制定相应的设计方案，保证网络系统自身的安全。系统设计构建多重防护的体系，各层保护相互协调，如果一层防护被攻破了那么可以采用其它层的防护来保护信息的安全。

3.3 系统总体功能架构设计

如图2所示。

3.1.1 物理隔离设计

物理隔离设计是构建内网和外网数据隔离架构，从物理上对PC 隔离并建立虚拟工作站，设计独立的硬盘数据存储体系和操作系统，并建立专用的数据接口以及网线接口，保证安全区和非安全区在环境上实现物理隔离。在主板和硬盘之间采用全控制方式，对硬盘通道实现全控制，硬盘数据转换采用继电器控制内网和外网的切换，保证计算机系统的可靠性和稳定性。设计中采用IDE-ATA硬盘的操作系统，这样可以在不同的局域网的网络环境下运行，并保证数据存储和处理的安全性。

3.1.2 桌面系统安全设计

数据桌面系统安全设计可以采用云计算数据服务，对海量的数据进行存储，并实现用户对数据的远程操作和查询。在计算机网络安全系统中数据信息存储主要是以文件的方式在硬盘中存储，因此数据信息容易被泄露或者被供给，因此采用本地安全管理的方式对本地存储的数据进行保护，采用清华紫光的桌面安全保护系统，是本方案中重要的技术设计。桌面安全保护系统具有加密运行处理器以及中央处理器等功能，并在芯片内部设计了秘钥和加密算法等，防止非法数据对系统的入侵，清华紫光的桌面安全保护系统采用封装的方式，可以有效的对物理和电子攻击进行防范。

3.1.3 病毒防护系统设计

服务器病毒防护设计中对管理模块和防毒模块采用独立安装的方式，这样病毒防护系统不会影响操作系统的稳定运行，而且服务器的防毒系统可以部署到单点的位置。本方案采用ServerProtect 防毒产品，可以有效的支持Windows NT/2008 和Linux 等操作系统平台。

客户端病毒防护设计采用OfficeScan 网络版的客户端防毒体系，采用单点控制的模式对客户端的防毒模块进行管理和控制。客户端防毒模块可以根据系统客户端运行的情况进行集中部署，并且支持SMS 和登录脚本等，而且在WEB 数据服务中也可以发挥防毒作用。

集中控制TVCS 工具设计方案，实现对整个系统的防毒软件进行配置和管理，在不同的网段VLAN 内实现控制，并在任何平台都可以采用TVCS 网络工具实现统一管理。

3.1.4 访问控制设计

访问控制设计中采用防火墙设备以及相关的访问控制设备，并设置安全访问规则实现对内部网络的保护，防火墙设置网络地址转换、数据信息过滤以及流量管控等基本的访问控制功能，实现对系统数据访问的安全防护。采用防火墙技术，对内网进行网段划分，这样可以保护网络数据服务器等设备的安全，采用网段划分的方式防御外部攻击。防火墙的设计要具有灵活部署的特点，可以在不同的网络环境下运行，并支持多种动态协议和应用代理，为系统的整体安全设计提供VPN 客户端，并采用增强型抗攻击技术，对常见的网络攻击都可以起到良好的防范作用。

3.1.5 信息加密设计

本方案采用SJW-26 网络密码机，在局域网带宽1000M 的不同的办公区内进行配置，这样可以有效的保护数据信息在传输中的安全性和完整性。把内网划分为多个子网后，各个子网的数据安全传输问题解决方案，是采用构建独立的信息安全通道，避免信息传输过程中的干扰，并对数据进行加密和数据认证，确保信息准确和安全。采用对称加密算法和非对称加密算法对传输的数据进行加密，采用秘钥对加密数据进行解密，这样数据安全性得到了保证。

3.1.6 入侵检测设计

系统内部子网按照部门进行网段划分，每一个子网都配置一台交换机，并由系统的网络中心进行统一管理。子网汇聚到主干网络中，连接高性能的数据服务器，并在数据服务器群设置DMZ 区。根据系统的网络流量，以及数据保护的程度，设计IDS 入侵检测系统，并配置在关键的子网入口位置，对子网内的数据进行监测和管理，并对非法入侵的数据和访问进行拦截，并生成安全访问日志。入侵检测实时的对网络的数据流进行拦截，并对网络数据进行分析，如果发现非法数据攻击或者非授权访问的数据，那么就可以对网络攻击事件进行详细的记录，并具有对非法访问采取网络连接阻断的操作功能。基于TCP/IP 协议的工作模式，对网络端口、IP 目的地址和源地址进行过滤，提供远程登录和文件传输等网络服务，并提供实时网络安全事件的监测功能。入侵监测系统设计日志生成模块，提供系统数据安全审计功能，为网络数据安全提供保障。

3.1.7 漏洞扫描

网络漏洞扫描针对网络内部信息点进行高速扫描，并结合IDS和防火墙技术，构建网络安全策略。设计跨网段的移动扫描软件实现对数据服务器等设备分布扫描方式，并配置IP 地址的扫描功能，具有针对性的实现对网络内部数据的扫描。构建三级漏洞扫描服务体系，内网与外网设置为一级，内网子网端口设置为二级，数据服务器等设备端口设置为三级，并部署漏洞扫描硬件和软件，针对可疑漏洞和端口进行扫描，提高内网的数据完全性。设计WEB 式的远程管理，采用WEB 方式实现远程漏洞扫描管理，并以HTTP 为技术支持，远程联控扫描设备，提高系统漏洞扫描效率。