在新网络形势下浅谈企事业单位安全服务互联网络系统的建立

王泽岩

摘要：企事业单位安全服务互联网络系统的架设需要考虑硬件与软件两个层面的问题。在硬件层面，更多的应思考满足局内部用户的基本网络使用需求，并在保证正常互联网使用的前提下，提升网络的安全性、可靠性，并考虑每一台网络安全设备的兼容性。在软件层面，更多的应思考与硬件设备的协同能力，并确保防护软件涵盖每一用户。

关键词：企事业单位;网络;安全;硬件

中圖分类号：TP393        文献标识码：A

文章编号：1009-3044（2019）26-0277-02

开放科学（资源服务）标识码（OSID）：

Abstract： The establishment of Internet security service system in enterprises and institutions needs to consider two aspects： hardware and software. At the hardware， more consideration should be given to meeting the basic network use needs of users， and on the premise of guaranteeing the normal use of the Internet， improving the security and reliability of the network， and considering the compatibility of each network security device. At the software， more consideration should be given to the ability to cooperate with hardware devices and to ensure that protective software covers every user.

Key words： enterprises and institutions; network; safe; Hardware;

我们身处在一个网络技术高速发展的时代，在这个时代里，人们的生活越来越便捷，通过网络与传统办公方式的结合，人们的办公效率越来越高。然而，伴随着这些优点，网络系统安全威胁也迅速增加，各种网络攻击手段，极易造成重要文件外泄、网络被非法控制、软硬件损坏等一系列破坏性后果。与此同时，随着中美贸易战不断深化，外国敌对势力对中国的渗透活动继续加剧。因此，对于互联网用户数在中等规模的企事业单位，建立一个安全可靠的安全服务计算机网络系统便迫在眉睫。

1 硬件组成和结构

在网路的物理层部署若干Hub;在数据链路层部署两台汇聚交换机和多个接入交换机;在网络层部署一台核心交换机;会话层的网关设置为255.255.255.0，可用地址的最大数量为256-2=254个，可以保证一定数量用户的使用规模;在应用层部署1台防火墙、1台防毒墙、1台入侵防御设备、1台漏洞扫描安全设备、1台安全审计行为管理设备。OSI图如图1所示。

1.1 网络层及以下分析

因内部物理空间过大，用户分布零散，因此设立两个网段对于互联网进行管理，在用户所在办公室部署Hub提供多个用户的接入，并根据层数、办公室所在方位设立节点，部署多个接入交换机，并在机房部署汇聚交换机和核心交换机。以用于分割两个网段，并做好传输层以及以上层的连接工作。

1.2 应用层分析

1.2.1防火墙

在应用层部署防火墙，确保互联网运行的安全性，提升信息安全保护技术。防火墙性能参数应达到网络层吞吐量不少于两位数，单位为G，同时的并发连接不少于百万位，以秒为单位的新建立连接不少于十万位，以抵御最新的网络攻击;可手工指定、802.3ad协议等方式将多个物理口绑定为一个逻辑接口。可与桌面防病毒软件或终端管理软件连接;支持DS-Lite CPE B4功能，支持从DHCPv6服务器或手动方式获取AFTR参数。

1.2.2防毒墙

在应用层部署防毒墙，可提升互联网整体的防病毒能力。防火墙防毒性能应http≥4Gbps;处理能力满足万兆网络运行要求，能够对市面上主流的协议如TTP/FTP等进行病毒检测并隔离杀死的操作;在数据包和数据流的两个层次的病毒进行检查测试，有着庞大的病毒规则过滤;支持基于MD5的自定义病毒签名、支持设置异常功能、不检测和杀灭特定病毒功能;支持关联分析面板，可关联顶级威胁、顶级URL分类、顶级源地址、顶级目标地址等信息，支持任意数据钻取以过滤为条件的元素。

1.2.3入侵防御设备

在应用层部署入侵防御设备可以提高网络数据包的检测能力。入侵防御设备应满足网络层吞吐≥9Gbps，IPS吞吐≥5Gbps。可通过授权自动切换成入侵检测产品，并进行行为捕捉和发现。

1.2.4漏洞扫描安全设备

在应用层部署漏洞扫描安全设备，以增强对漏洞的网络扫描能力;系统扫描IP地址不限，支持扫描A、B、C类地址;在运行状态时，应支持百位数级别同时的IP地址扫描，并且可扫描的漏洞库列表应大于十万级别，可以提供详细的解决方案，应对措施。并且同样具备对主流的如FTP、SSH等协议进行的口令破解猜测;并且具备高度的兼容性，应包含操作系统以及各种网络设备等的漏洞库。

1.2.5安全审计行为管理

在应用层部署安全审计行为管理设备，可提升恶意程序管控能力和互联网网络安全;设备性能整机检测能力≥2Gbps，并发连接数为百万级别;安全审计行为管理的主要用处是配合同在应用层的其他网络安全设备，对用户的流量进行一个控制，因为有时网络攻击会披P2P的外衣，伪装成大流量的下载文件，而应用了安全审计行为管理设备，就可以对每一名用户的数据量进行限制，包含从软件层面（如最新的微信等）到网页层面全面监控，从而在网络攻击爆发时第一时间进行监测，并且也在日常工作中规范的网络使用环境，营造了一个高效舒适的办公互联网。

2 软件组成和结构

为配合硬件层面的网络防护设备更好的工作，在软件层面也部署了网络版杀毒软件。可以做到及时更新病毒库，消除网络安全隐患。

2.1网络版杀毒软件

网络版杀毒软件主要的用处是配合处在应用层的硬件防护系统从软件层面保护用户的计算机。因为有时病毒并不是从网络中经过网络体系结构入侵到用户电脑的，在实际应用中更多的是通过U盘等外置存储设备侵入到用户设备当中去的。因此在每一台用户计算机中都安装了网络版杀毒软件，可以有效地防止客户端的病毒扩散，并且在第一时间报警，上传病毒样本，采取最快的解决方案防止病毒的扩散。我们采用了自主架设网络版杀毒软件服务器的方法，将最新的病毒库下载到服务器中，再由服务器对每台用户电脑进行病毒库版本升级，这样确保统一了每台电脑的网络版杀毒软件都是最新的，并且也可以搜集用户数据，从而为以后的病毒防护工作打下坚实基础。

3 结论

本文讨论了中型企事业单位互联网方面的安全服务计算机网络系统建立的实际应用方法。相比于小型单位，中型企事业单位面临着网络系统相对复杂，网络规模相对大等问题，并且随着时间推移还有着系统硬件老化，软件兼容性差的困扰。因此建立一套更加安全、可靠、耐用性高的网络系统便尤为重要。本文给出了软硬件相结合的解决方案，并且网络系统设置相对全面，可以抵御一定的网络攻击，为企事业单位用户提供一定的防护保障。

参考文献：

[1] 张蒲生.政府机关网络的安全分析和对策研究[J].计算机工程，2002（8）：178-180.

[2] 汪玲，阎鹏.对机关事业单位计算机网络安全防护技术的几点探讨[J].电脑知识与技术，2015（3）：64-65.

【通联编辑：唐一东】