企業網絡安全信息管理系統設計

雷 東

（蘭州生物制品研究所有限責任公司，甘肅 蘭州 730046）

0 引 言

隨著企業的發展和規模的不斷擴大，企業對商業信息的需求越來越明顯[1]。針對企業在網絡安全信息管理系統方面的優勢，結合先進的項目管理理念，梳理出各種流程和系統，以滿足企業發展的需要[2]。計算機網絡信息已滲透到人們的工作和學習中，成為不可缺少的一部分，但是系統也存在一些問題，所以網絡安全需引入先進的網絡信息安全管理理念，結合企業實際情況，形成具有企業自身特點的流程和系統[3]。通過對系統的分析和設計，最終實現了一套可用且易用的企業網絡安全信息管理系統，支持企業的各項工作[4]。就現狀而言，國內的防火墻技術、Web風險管理模塊以及數據庫安全管理的安全策略研究還不算先進[5]。國外研究表明，針對企業網絡安全進行監管，其主要監管內容包括客戶信息管理、系統攔截設置以及局域網監控3個核心功能模塊。對企業網絡進行實時智能安全監控，這些數據便可以作為分析的依據，為公司制定戰略目標和銷售策略提供數據依據，使決策更加科學合理，同時也為數據挖掘和商業智能分析提供了基礎。設計合理優秀的網絡安全信息管理系統，是目前各個企業需要完成的一項重大任務。

1 企業網絡安全信息管理系統設計

1.1 硬件設計

可以采用兩種方式進行硬件設計，第一種是使用如ARM結構的專用嵌入式處理器進行處理，第二種是使用英特爾處理器的X86構架進行處理[6,7]。不同的選擇會有不一樣的效果，需要按照所需內容進行處理器的挑選和使用。ARM和X86的硬件設計比較如表1所示。

表1 不同CPU結構的比較

因為要使計算機系統能夠實現信息在傳輸過程中的安全，所以采用X86 CPU的計算機設備，搭配NET1711的硬件使用平臺。系統運行的計算機內存模式為DDR，最大運行內存量為348 MB，結合278 MB的CF卡進行運作。此外選擇Intel Pentium4 2.8G CPU，160 GB硬盤用于存儲海量數據庫數據。該設備采用的硬件系統框架如圖1所示，硬件設備屬于P4級，VGA和PS/2接口預留給外部監視器和鍵盤。

圖1 硬件系統框架

1.2 軟件設計

1.2.1 防火墻設計

在企業網絡安全信息管理系統設計中，防火墻是企業網絡的出口，是一個屏蔽主機的工具，也可以說是溝通Internet主機和內部網絡系統之間的橋梁。防火墻的配置包括安全區域配置、接口配置、VLAN配置、路由配置、DNS配置以及NAT配置。目前，網絡安全區域發生了變化，不僅包括唯一信任區、不信任區域和DMZ區域，還包括用戶自定義的安全區域。每個安全區域可以匹配多個物理接口和VLAN子接口，最大匹配數為兩個接口的和。當防火墻接收到以tag報文形式顯示的信號時，會自動查找對應的VLAN接口。

VLAN接口個數不能為單個，需要至少兩個接口對信息進行接收，并且信息的輸入是無規則的。在接收到信息后將信息轉換為明文，再通過隨機路線將明文輸入。在輸入端口需要設置TAG接口，經由該接口將信息進行原始數據轉換，實現信息的完整傳輸。NAT的工作原理是利用一個獨立的IP地址對其他IP地址進行補充和填充，阻斷外部的不安全信息和惡意病毒。NAT還可以保證內部IP地址不被泄露。防火墻的設置是整個企業網絡安全體系的核心，其設計結構如圖2所示。

圖2 防火墻設計結構

防火墻訪問中最重要的部分是策略配置，網絡配置中定義對象提供給策略配置中使用，它可以根據需要定義防火墻資源的訪問。在多端口防火墻中，網絡不再是單純“受信任的”和“不受信任的”，轉變成了授權用戶創建屬于自己的安全體系，并對經過該安全體系的數據信息進行嚴格把控。

1.2.2 Web風險管理模塊設計

Web風險管理模塊的主要作用是對企業的數據資料進行風險評估管理[8,9]。該數據資料涵蓋了企業交往資料、客戶管理資料、企業內部人員資料、企業資金流水資料、高層會議資料、企業運行系統bug資料、企業核心管理資料以及企業固定資產資料等，是在企業網絡信息中最龐大的資料群。

Web風險管理模塊對進入系統的人員進行授權，只有獲得授權的人員才能進入該模塊進行操作。該模塊會對客戶信息等數據資料進行終極加密，并授權管理人員對該資料的審核權限，保證客戶資料能夠得到及時的更新和更改。

該模塊下分為對外管理部門和對內管理部門，系統會分別對這兩個部門進行權限設置。將兩個部分的信息進行分類處理，確保系統的不規則性，使病毒不能輕易侵犯系統。此外，該模塊會不定時采集兩個部分的補丁信息，并將漏洞數據整合傳送至重點系統，由系統授權發出指令完善不同漏洞，時刻優化安全系統。

1.2.3 數據庫安全管理設計

在對系統進行配置時，運用MySQL數據庫進行信息的儲存。與系統的安全屬性相配合，按照使用要求進行相關配置。在進行配置時，還應該設置企業整體運行系統的特色，根據不同企業的相關性進行不同配置[10]。將復雜化的系統在保證質量的前提下精簡步驟，深度分析客戶的需求，實現系統特色化。將系統數據進行分類處理，根據不同類型的數據進行信息管理，細化數據細節，維護系統數據的精確度，將企業網絡安全的核心數據信息進行加密封鎖。

2 測試實驗

2.1 實驗準備

系統在Windows XP，Internet Explorer6.0及以上版本進行測試，服務器為Web服務器或更高。測試可根據程序需要分為靜態或動態，本次測試選擇動態測試，這種軟件開發中非常有效的質量控制方法，通過運行軟件來檢測其行為活動及結果的準確性。動態測試必須包括測試軟件的數據以及少量的測試數據。運行軟件并不是測試的目的，檢查軟件是否正確才是動態測試的真正目標。運行軟件的具體操作和試驗前準備是動態測試的第一步，具體如圖3所示。

圖3 試驗前具體操作及準備流程

動態測試第一步完成，被測試的軟件已操作準備完畢，下一步是得出用于運行軟件的數據。為了測試系統的管理能力，賦值3個數據進行數據對比。基本信息收集和分配給網絡安全信息系統，在此系統中，網絡安全管理信息的負責人在內部網絡根據信息安全在內部網絡的重要性，結合5級分類和分類價值信息所設計的有關安全信息管理分配列表如表2所示。

表2 安全信息管理賦值列表

2.2 實驗結果

設置3輪試驗中的病毒數量為5個，系統在3次測試下獲得的結果如表3、表4以及表5所示。

表3 第一次測試下客戶機病毒收集結果

表4 第二次測試下客戶機病毒收集結果

表5 第三次測試下客戶機病毒收集結果

從以上3次實驗可以看出，每次服務器從A1客戶端機器收集到的感染病毒總數始終都是5個，第一次和第三次試驗檢測出全部病毒，第二次當天檢測出4個病毒。A3客戶端機器存在的病毒數為6個，第一次和第三次檢測出全部病毒，第二次遺漏一個。服務器沒有檢測到A2客戶端機器感染病毒，數據始終顯示為0，A2客戶端機不被病毒所感染。系統及時檢測病毒，實驗數值的誤差很小，當日病毒會在第一時間檢測出來，降低了內網安全信息的風險，證明了企業網絡安全信息管理系統的設計是成立的，運行正常，可以按照客戶的需求和企業的規定進行設置。

2.3 實驗結論

以上測試結果表明，被測試企業的網絡安全信息管理系統可適應該企業的運行系統，并能夠實現對信息的安全管理。企業通過本文所設計的系統對信息進行網絡安全管理，極大程度地減少了信息丟失的風險，還能夠將企業信息的安全程度更加直觀簡明的表現出來。因此，正確的網絡配置可以有效阻止大部分網絡病毒等惡意攻擊，不同的防御設備對應的網絡攻擊不同，不同軟件的攻擊效果也不同。本系統是基于企業網絡安全信息管理系統的設計，在測試中具有良好的反映性，界面友好易于操作，性能方便實用，取得了較好的實驗效果，使人員辦公效率有所提升。

3 結 論

系統建設的成功，實現了企業網絡安全的全生命周期和全過程管理。對于企業網絡安全信息系統的構建使得企業在運行過程中減小了因為數據信息丟失等原因導致的經濟紛爭。一方面通過安全的信息管理系統側面使得企業的市場競爭力大大提高。另一方面企業人員在利用該系統進行辦公時的工作效率也大大提升。本文重點研究網絡安全策略，通過分析不同的網絡策略來了解公司網絡安全信息管理系統的設計。隨著企業的發展，規模越來越大，對使用的要求也越來越高，只有系統能夠順利擴展，才能應對這種趨勢。由于目前設備有限，資金要求高，暫時不能滿足實驗的全部要求，因此實驗所得數據與實際數據仍有一定差距，希望在未來有機會和能力得到更準確的實驗結果。