邹佛新

摘要：该文为保证企业网络安全性，实现对网络资源的有效保护，应用三层架构，完成对企业网络安全管理系统的设计。首先，设计和搭建系统架构和系统运行环境。其次，完成对探测器模块设计、管理器模块、控制台模块三大核心模块的设计。最后，对系统进行测试。结果表明，在三层架构的应用背景下，该文所设计的企业网络安全管理系统可以统一化、智能化监控和管理所有安全设备，保证安全设备运行性能，为用户打造良好、安全的网络环境。

关键词：三层架构；企业网络安全管理系统；设计

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2023）31-0104-03

开放科学（资源服务）标识码（OSID）

0 引言

互联网时代的到来给人们的日常生活和工作提供了极大的便利，但是也引发了一系列的网络安全问题。在此背景下，出现了大量的网络安全技术和网络安全设备。为实现对网络资源的有效保护，单个网络中通常需要安装和部署多个安全产品，这些安全设备安装和应用存在一定的分散性[1]，出现了各自为政的现象，不利于后期各种入侵行为的发现和处理，而企业网络安全管理系统的设计和应用可以有效地解决以上问题。该系统主要应用三层架构，可以实现对分布式系统设备的集中化、智能化管理，确保各个网络安全设备之间保持相互协作关系，提高企业网络安全性和可靠性[2]。所以，如何设计基于三层架构的企业网络安全管理系统是技术人员必须思考和解决的问题。

1 系统总体设计

1.1 系统架构设计

系统架构设计示意图如图1所示，从图1可以看出，该系统架构主要由以下几部分组成：1） 探测器。探测器主要包含网络探测器、设备探测器、其他厂商等部分组成。2） 管理中心。管理中心除了可以直接用于重要数据存储外[3]，还用于对数据的系统化处理和安全化管理。3） 控制台。通过运用控制台，可以实现对多个用户安全状况分析、报警与统计等处理。该系统结合报警及配置情况，可以自动化响应事件，保证短消息和邮件发送的及时性以及与防火墙联动的有效性。

1.2 系统运行环境搭建

1.2.1 硬件环境

在搭建系统硬件环境时，要重点做好对应用服务器、数据库服务器、客户端及其相关性能指标的设置，为后期系统功能运行提供良好的硬件环境。

1.2.2 软件环境

在搭建系统软件环境时，要重点做好对中间件、数据库、开发工具、编程语言、系统架构、操作系统等工具的配置，为后期系统功能设计提供良好的软件环境。

2 系统功能设计和实现

为了充分发挥和利用三层架构设计思想的应用优势，提高企业网络安全管理系统的稳定性和实用性，技术人员要重点做好对探测器模块、管理器模块、控制台模块的科学设计。这些功能在具体设计中，除了用到eclipse开发工具外，还用到JAVA编程语言以及JSP技术、Spring技术和Hibernate技术三种Web展示技术。

2.1 探测器模块设计

探测器模块在整个系统中主要承担网络入侵检测角色，应用该模块可以智能化监控某一具体网段。通过将探测器安装和固定到所需要的监控网段上，可以及时发现和处理由病毒所形成的报警信息。应用探测器可以直接获取相关网段上的数据包[4]，并进行协议分析。同时，结合协议分析结果，按照制定好的规则对其进行全面化检查，从而形成相应的报警信息。探测器模块结构示意图如图2所示。任意一种探测器均难以及时、有效地分析和处理网络系统相关安全问题。例如：应用网络探测器难以及时发现和处理主机内部非法访问行为，只有应用扫描探测器才能智能化、主动化探测各种漏洞问题。网络系统中，主要使用多种操作系统、应用系统等，可以全面化、细致化观察和掌控系统网络是否安全可靠，便于相关人员真实有效地了解和把握当前系统网络安全现状[5]。因此，为保证企业网络安全性，要综合应用网络探测器、设备探测器等多种探测器，完成对探测器模块的科学化设计。在设计该模块时，要借助多种探测器，为特定的抽象操作提供一定的支持，便于相关人员统一化、智能化管理分级网络安全综合预警系统。此外，结合网络入侵类型应用Snort软件的开放源代码，智能化检测该系统，这是由于Snort软件程序架构具有轻巧、灵活等特点，可以直接运行于不同平台中[6]。

2.2 管理器模块

管理器作为一种交互界面，可以与探测器直接交互操作。应用管理器可以将所发送的探测器命令直接传输和发布到相应的探测器中，各个探测器数据均被统一化发送和传输到邻近的管理中心位置。各个控制台所获得数据主要来源于用户成功登录的管理中心处，应用管理中心可以间接传输探测器命令和策略[7]。管理中心主要用于對多种数据的统一化处理、存储和分发。

结合网络复杂度，可以采用级联处理方式，对管理中心进行统一化处理，以保证多级预警功能实现效果。下级管理中心所报告的信息具有一定的精简性、真实性和可靠性，管理器模块结构示意图如图3所示。

2.2.1 数据包捕获子模块

数据包捕获子模块主要是指应用该系统物理网络链路层，实现对所需网段原始数据的直接收集和整理。该模块在保证整个系统可移植性和高效性方面发挥出重要作用，即运用该模块，可以实现对不同系统链路系统差异性问题的有效屏蔽。运用混杂模式完成对探测器网卡的有效设置，可以全部抓取和整理整个网段上各项数据包。

2.2.2 入侵匹配子模块

入侵匹配模块主要指匹配处理所分类好的协议数据和攻击特征库信息，如果匹配成功，说明存在入侵行为，需要将相关信息安全、可靠地传输到相关模块中，确保相关模块与控制台之间建立密切的连接关系，从而实现对这些信息的有效控制。如果匹配失败，需要对其进行重新匹配，直到匹配成功为止。

2.2.3 异常处理子模块

异常处理子模块主要用于对部分统计功能的有效执行。仅运用部分规则，无法有效地判定部分入侵行为。例如：通过运用特定类型包的数量，判定分布式拒绝服务攻击行为，当类型包数量超过所设置的入侵阈值时，可以将其视为“入侵行为”，并启动相应的反应机制。

2.2.4 信息预处理子模块

信息预处理子模块主要指统一化处理探测器所获取到的报警信息格式，便于用户在融合处理探测器所形成的报警信息时，可以提供统一化的信息传输格式，从而实现对不同探测器所产生信息的统一化管理，这为后期报警信息过滤提供了重要的数据支持。

2.3 控制台模块

控制台模块主要用于对用户信息、探测器配置信息等信息管理功能和响应功能的设计合和实现。对于探测器而言，其配置管理功能主要用于对探测器启动、关闭操作；响应功能主要指当系统被网络病毒、网络黑客、网络不法分子恶意攻击和入侵后，需要第一时间做出报警、切断网络连接等响应。用户直接操作和交互控制台时，可以结合自身需求，实时发布和处理各种命令[8]。例如：应用安全化策略，可以实现对相关资产的安全化启动和升级，并完成对相关属性的有效设置。此外，运用B/S模式，可以保证控制管理界面设计效果。B/S模式具有以下应用优势：1） 可以保证多用户监控和管理的容易度，降低管控成本。2） 有利于更好地分离开发环境与应用环境，为后期系统管理和升级提供一定的便捷性。控制台模块结构示意图如图4所示。

控制台作为一种信息操作界面，不能直接用于报警信息的处理和分析。控制台运用多种形式可以向合法访问用户生动、形象地呈现相关报警信息，用户在正式应用控制台之前，需要运用合法的身份完成对管理中心的登录和访问。

3 系统运行性能测试

为了更好地考察该系统的负载能力，测试人员需要重视对该系统性能的测试。在测试系统运行性能时，要求1000名员工用户同时在线登录和访問该系统。可以看出，当同时在线登录系统的员工用户总数达到1000位时，系统仍然可以正常、稳定地运行，这表明该系统表现出较高的负载能力和运行性能，完全可以满足海量人员登录和访问系统需求。

4 结束语

综上所述，在三层架构的应用背景下，本文所设计的企业网络安全管理系统具有操作简单、安全可靠、灵活性强等特点，该系统设计研究工作主要包含以下几点：1） 该系统开发主要运用了基于探测器、管理中心、控制台三层架构设计思想，通过运用多个探测器可以扩大数据来源，实现对企业网络的信息化管理。该系统在实际设计中主要用到分级、树状层次结构，完全满足多分级、跨地域网络环境使用需求，有效保证了系统的扩展性和灵活性。2） 该系统设计可以实现对设备运行状态、日志浏览、性能分析等信息的智能化管控，避免对单个安全设备过度依赖，从而实现各个设备的有效融合。3） 该系统具有强大的数据采集功能，不仅可以实现对安全设备信息的主动化、实时化获取，还能向安全中心汇报所采集的安全设备信息，由安全中心分时处理所采集到的信息，避免因海量采集信息同时传输而增加网络崩溃、堵塞风险，保证网络运行性能。

参考文献：

[1] 雷东.企业网络安全信息管理系统设计[J].通信电源技术，2021，38（16）：110-112，118.

[2] 梁雅庆.关于电力企业信息网络安全管理系统的设计与实现研究[J].数字化用户，2017（28）：5.

[3] 胡汉贤.企业信息网络安全管理系统的设计与实现[J].数字通信世界，2016（7）：86-86，87.

[4] 王珏.电力调度数据网网络安全管理系统设计分析[J].数码设计，2018（10）：144-145.

[5] 蒋宏林.浅谈企业内部网络安全管理系统搭建[J].中国新通信，2020，22（4）：130.

[6] 姚望.论企业内部网络安全管理系统的搭建[J].网络安全技术与应用，2020（10）：128-129.

[7] 李雨泰.电力企业信息网络安全管理系统的构建分析[J].信息系统工程，2019（1）：74.

[8] 程伟.基于云计算技术下的企业网络安全管理系统构建研究[J].科技展望，2016，26（5）：1，3.

【通联编辑：代影】