新時代企業計算機網絡安全系統構建原則與策略

陳臻

摘要：從理論分析以及案例分析的角度入手，闡述了計算機網絡安全系統建立的背景以及相關概念，圍繞著計算機網絡安全管控的關鍵技術進行細節梳理，主要突出防火墻技術、虛擬專用網技術、入侵檢查技術體系、網絡訪問控制技術的應用價值，從具體案例的層面出發，探究了計算機網絡安全系統的平臺以及實際功能，致力于打造立體化的計算機網絡安全管控機制，為企業發展與企業生產運營建設奠定基礎。

關鍵詞：新時代；企業；計算機網絡安全系統；構建

一、前言

計算機網絡安全系統是整合了大量應對網絡安全問題的技術體系，并且按照企業自身運營發展的實際需求打造的集成性系統，不僅可以防控常規的網絡安全問題，也可以迎合企業的發展需求，制定一系列優化對策。針對其細節以及安全系統的功能進行分析，明確建構原則以及應用策略，對于目前企業網絡信息體系的升級和創新有一定促進作用。

二、計算機網絡安全系統建構的背景及理論基礎

（一）核心背景

互聯網的普及為人們的生產生活以及社會發展帶來了更為便利的途徑，是提升生活質量、催生企業升級、提升社會科技發展水平的重點工具，但信息化水平的不斷提升也導致信息安全問題更為突出，黑客的非法入侵、網絡病毒的蔓延、數據泄露以及互聯網體系的不正當運維，導致部分企業的線上運維管理面臨較大的壓力。一部分企業在運營的過程中缺乏計算機網絡安全系統，其功能較為單一，難以實現全方位的網絡安全防控，必然會造成慘痛的網絡安全問題。因此加大力度做好企業計算機網絡安全系統的建構，豐富系統功能，明確建構原則，是目前大數據時代各個企業發展期間的核心任務。

（二）計算機網絡安全的核心概念

計算機網絡安全管理主要是通過硬件設備、軟件系統等進行計算機網絡平臺的全方面安全防控，避免出現異常變化或者外部攻擊，能夠保護原有數據不被篡改、丟失、搬運、替換。在大數據時代下，計算機網絡安全管理是時代發展的新課題，而安全管控也是具備較強復雜性的工程，其中涵蓋計算機基礎科學、信息技術、電子通信，加密技術、網絡通信技術等多項技術體系，還包含了部分端口加密、信息理論、應用數學等領域的知識[1]。結合這些知識和技術的應用，可以將計算機網絡安全系統劃分為兩個不同的類別。其一是建立在網絡安全管理的基礎上打造的網絡信息安全系統，其二是針對網絡中所有的數據進行合理利用和管理的網絡安全分類系統。兩個系統在當前企業生產運營的過程中都有較強的應用價值，能夠應對不同的環境、不同的業務以及不同的安全管控需求，確保企業的數據信息資源具備完整性、日常的線上運作和管理具備安全性。

三、計算機網絡安全系統的技術分支

網絡安全技術與眾多基礎學科都有直接的關聯，綜合目前絕大部分企業所使用的計算機網絡安全系統架構來看，其涉及的安全技術通常為以下幾種。

（一）防火墻技術

可以將防火墻技術理解成一種安全門禁，是建立在獨立網絡信息系統與整體互聯網基礎上形成的屏障，能夠將獨立網絡信息系統中的數據信息和各項子系統保護起來，是防止外部用戶非法入侵、非法攻擊的核心技術體系，也是目前在網絡安全管控中應用最為廣泛的核心技術。綜合技術升級和開發的方向來看，目前防火墻技術也可以劃分為以下幾個類別。

1.包過濾防火墻技術

該項技術體系依托路由器展開，在服務器以及計算機上可以安裝防火墻軟件，通過單個IP進行網絡管控。在包過濾防火墻技術的管理下，所有妄圖通過路由器網端進行傳輸的文件、數據包、源地址、目的地址以及信息的各項參數都可以被精準識別，按照提前設定的安全防范標準和典型的案例信息，能夠識別出信息中是否夾帶病毒，判斷信息傳輸行為是否是非法攻擊行為和竊取行為，然后實現自動攔截。包過濾防火墻技術的核心優點在于透明性較好、運行簡單方便，對于網絡性能并不會產生較大影響，是禁止非法外部用戶訪問獨立網絡信息系統的核心技術體系，因此大部分應用在企業內部網絡安全防護領域。

2.代理服務器防火墻

該種類型的防火墻更傾向于將安全防護的責任交給代理服務程序，將其安裝在特定的網絡系統上，因此也被稱為應用層網關及防火墻。該項技術的核心是代理服務器，能夠為防火墻主機運行提供基礎。代理服務器能夠建立外部網絡和內部網絡的連接通道，所有的訪問行為和數據傳輸行為都會通過該通道進行詳細的檢查，可以提供完善的用戶認證、審計跟蹤、詳細日志、數據加密等安全服務，靈活性較強，且可以結合不同網絡系統的運行需求進行功能上的調整。

但是，該技術體系在實際應用的過程中具備較強的不透明性，每一個IP地址或者TCP服務器需要設置單獨的代理模塊，導致網關系統更為復雜，通常會應用在大型且具備技術和經濟基礎的企業中。

3.復合型防火墻技術

該類型的防火墻技術集成了包過濾技術以及代理技術，最終打造的防火墻系統安全性和靈活性更強，通常有兩個不同的選擇方案。

其一，屏蔽主機防火墻架構。從安全防控結構的角度來看，防火墻或者分組過濾路由器會和互聯網連接，在企業內網中安裝堡壘機，利用包括過濾路由器或者防火墻進行規則級過濾，讓堡壘成為只有互聯網上其他節點能夠訪問的節點。其優勢在于具備較強的隔絕性，能夠確保內部網絡不會受到惡意的外部攻擊。

其二，屏蔽子網防火墻架構。將網絡系統分為主網和子網，子網中安裝堡壘機，堡壘主機以及過濾路由器形成了完善的安全防火墻系統，能夠將子網與內部網以及互聯網完全分隔，形成一個單獨的網絡系統，該方式主要應用在企業的高精密文件領域，能夠完全杜絕外部惡意攻擊導致的信息泄露。

（二）虛擬專用網技術

虛擬專用網技術，主要是利用公共網絡打造穿透公共網絡的邏輯隧道，建立虛擬通道，該項技術體系是在原有局域網技術的基礎上進行的拓展成果，可以實現遠程終端的互聯，是目前網絡技術體系升級換代的標志性技術。該項技術的應用需要結合隧道技術、用戶認證技術、加密技術、訪問控制技術展開，在實際應用的過程中可以劃分成三個不同類別[2]。首先是內網 VPN，在不同的內網子系統之間建立連接，保證了內網中的信息傳輸穩定性；其次是外聯網VPN，能夠和內部網絡構成外網，也可以和其他網絡進行連接；再次是遠程訪問VPN，通過遠程控制進行虛擬專用數據的傳輸，針對不同的客戶和不同的應用主體設置不同的虛擬專用設備，每一臺設備之間可以通過 VPN交換機、防火墻以及路由器進行安全防控。

該項技術可以應用在集團性企業中，集團企業與各個分支企業之間的網絡系統形成了網絡通信，保證用戶和總部之間的信息傳輸最佳選項。該項技術的核心優勢在于成本較低，建立VPN網絡的便捷程度較強，不僅可以保證數據傳輸的機密性和安全性，也可以簡化原有的網絡架構。

（三）入侵檢測技術

該項技術主要針對非法入侵進行精準檢測和攔截，是在防火墻技術的基礎上打造的附屬性技術，由于防火墻技術會受到未知行為的攻擊導致網絡運行受到影響，配合入侵檢測技術能夠快速判斷入侵檢測的端口和來源，也可以判斷不同的入侵行為是否完全是威脅行為，入侵檢測技術通常分為三種類別：

1.基于主機型IDS

主要針對網絡事件、日志記錄以及網絡操作環境進行檢測，比如分析信息文檔是否被修改判斷日記條目以及現有的攻擊事件目錄。主要應用在部分企業的IDS產品端口上，如果檢測到未能滿足安全標準和規格的信息，會快速告警。

2.基于網絡IDS

該項技術體系主要對網絡信息系統中大部分信息源進行檢測，主動收集網絡系統中的各項信息流，通過數據信息匹配和對比的方式識別是否存在攻擊行為。

3.基于主機和網絡集成的IDS

基于主機的IDS和基于網絡的IDS都有自己的優勢，一部分企業基于這兩項技術的應用優勢進行了融合分析，通過技術合并，打通了互聯網和主機之間的通道，在部署基于主機的IDS時，也可以同步部署基于網絡的IDS。 IDS可以檢測所有網絡的 ID和權限，并且針對不同的業務類型選擇不同的檢測體系，常規的郵件、DNS、網絡服務器都可以和互聯網實現數據鏈接，基于主機的IDS會部署在服務器。

（四）網絡訪問控制技術

該技術是進行信息網絡終端保護的常見技術體系，會直接安裝在硬件設備的網絡檢測軟件中，可以和其他的安全防控技術共同使用，能夠為計算機以及網絡系統提供全自動化的安全信息檢測流程。從實際應用的層面來講，該項技術的優勢在于能夠防止未安裝病毒以及入侵防御軟件的中斷信息接入網絡資源，從源頭上控制危險信息的產生[3]。另外，該技術可以大幅提升網絡運行安全性，比如允許管理員設置權限，按照前期設置的規則清除網絡交換設備中的部分違規操作和信息，通過身份和訪問管理員模塊可以設置用戶權限，確保不同用戶在訪問網絡時僅能執行自身職能內的操作，這樣可以避免越級訪問或者非法訪問。

總體來講，目前的計算機網絡安全管控技術體系存在多元化的特點，企業可以結合自身的實際情況，針對性地選擇不同的技術來構建計算機網絡安全防護系統，發揮最大的安全防護效能，可以為企業的運行和發展提供安全保障。

四、企業計算機網絡安全防護系統的建構案例及細節分析

為了進一步提升文章論述的科學性和有效性，本文建立在具體案例的基礎上，進行計算機網絡安全防護系統的性能和作用分析，以此來為企業的網絡系統管理提供參考。

（一）企業計算機網絡安全防控的背景分析

隨著我國社會產業結構的逐步調整，高精尖企業的數量逐步增加，這種類型的企業在生產運營的過程中產生的數據信息涉及較多的機密文件以及技術專利，目前企業的整體管理模式已經向數據化和智能化方向轉型，通過內網系統進行生產運營管理是未來發展的核心方向。但是為了避免企業用戶在內網中非法使用計算機系統，導致信息泄露以及非法入侵行為的出現，要嚴格按照相關部門制定科學的管理制度，但是在執行的過程中依舊會發現非法復制文件、安裝非法軟件等行為。這對于企業自身的發展和技術研發會造成較為嚴重的影響，因此通過在內網系統中建立小型的監控體系，來實現業務網絡和數據網絡之間的隔離不僅可以為企業日常運營提供良好環境，也可以最大限度地保證信息的安全性。這一系統的建立主要是針對辦公主機系統展開，利用Windows系統操作，通過交換機將網絡建立起聯系，主機會通過路由器訪問外部網絡，作為企業日常工作、學習的平臺。但是在網絡主機上無法直接訪問機密內網，這就需要建立網絡安全管理拓撲系統。

（二）系統拓撲結構以及邏輯分析

1.安全防控系統的拓撲結構

該企業的網絡安全系統選擇了C/S模式，主要分為兩層不同的系統結構，第1層是以客戶端為主和企業的日常運營業務進行對接，第2層則是以網絡和數據庫為主，以數據庫服務器作為核心。為了滿足企業日常生產經營的需求，該系統包含了客戶應用端、服務器管理以及中間層三層結構[4]。一方面，該類型的結構具備較大的固有優勢，客戶端會保留一套完整的程序，其中涉及錯誤提示以及安全預警，在系統運行的過程中，一旦出現非法操作行為，會快速彈出警示，另外也可以實現子程序的自由切換。另一方面，該結構提供了較為完善的安全訪問體系。C/S配置最大的優勢是能夠實現點對點的信息傳輸，主要應用在局域網內部，可以確保子系統之間相對獨立，并且提升數據安全管控的合理性，由于該系統主要應用在企業的內網領域，因此規模不用過大，具備最基礎的網絡安全防護作用即可，其實際結構和邏輯關系見圖1。

2.系統的管理流程分析

整體軟件系統分為三層結構，首先是起到安全信息檢測的結構，為安全檢測代理系統，安裝在數控機器上。另外兩個則是安全檢測服務器上設置的主程序以及系統數據庫。核心控制方案的運行需要依托企業的政策、控制要求展開，安全檢測代理會讀取執行管理策略，然后帶動終端程序進行響應，實現數據信息的儲存和讀取，其具體的邏輯關系和流程見圖2。

3.系統的功能

為了提升計算機網絡安全管控的全面性，整體系統的功能分為6個不同的模塊，詳細分析如下。

（1）用戶身份管理功能

用戶身份管理主要是針對企業內網的各項用戶進行權限管理，其中使用的技術為網絡訪問控制技術，能夠針對不同的系統用戶進行添加和刪除。控制規則主要由選定的策略進行開發，可以作為用戶身份管理的依據。在操作的過程中可以通過刪除角色和新建角色確定不同用戶的操作權限，并且將制定好的新策略寫入數據庫以及安全檢測代理應用系統中。在用戶使用網絡時可以判斷用戶在注冊自身賬號時的各項信息，檢測管理員、普通用戶、重點用戶等，有助于實現針對性的權限管控。

（2）實時監控模塊

實時監控模塊主要針對網絡系統的硬件設備以及軟件體系進行在線控制，可以了解員工辦公桌面以及文件目錄的具體信息，確保在日常辦公的過程中不會瀏覽其他網站和軟件。其設計思路在于利用udp部署控制主機檢測代理發送監控命令。結合執行指令讀取計算機的本地列表、實時桌面截圖、文件信息、服務器進程，并且通過桌面快照進行邏輯關系的分析，能夠判斷當時電腦所處的狀態。

（3）軟件系統管理模塊

軟件系統管理的核心功能在于將安全檢測服務器中的檢測策略發送到受控主機上，在策略實施的過程中可以判斷系統黑名單和白名單，設置了黑名單之后，軟件向檢測代理發送列表時可以更新通知，及時接收新的數據和信息，通過讀取黑名單以及白名單，可以按照新的功能執行軟件對象控制的策略。

（4）硬件設備管理模塊

該模塊主要針對局域網內部的所有硬件設備進行管理，包含了硬件清單的生成、硬件設備的非法更改、硬件設備的狀態使用等。可以了解當前局域網內部的設備是否經過了非法篡改和網絡攻擊，一旦出現攻擊行為防火墻，系統會自動啟動進行安全防控，避免受到安全威脅。

（5）網絡對象管理體系

網絡對象管理主要是建立在區域網絡所有受控網絡行為的基礎上進行管理，比如包含了網站的黑名單設置以及白名單設置分析控制機的流量，并且對其進行審計。這種管理體系更強調精準判斷企業局域網內部的各項變量因素，對于判定外界系統攻擊以及隱藏病毒有一定促進作用。

五、結語

綜上所述，信息技術的繁榮發展離不開計算機網絡安全防控系統的升級和更新，從企業生產運營的角度來看，計算機安全防控系統的落實往往以安全防控技術為依托，可以結合企業自身的實際情況，合理選擇技術體系，建立在多項技術穿插融合的層面，打造網絡安全防控方案，本文介紹了企業的計算機網絡安全系統的具體架構以及相關功能，能夠提供全方位的安全防控，也有助于增強企業生產運維的穩定性。

參考文獻

[1]劉科.計算機信息化技術應用研究及風險防控[J].軟件，2022，43（12）：123-125.

[2]陳大亨.企業網絡信息建設中網絡安全研究[J].信息系統工程，2022（01）：117-120.

[3]朱坤福.互聯網環境下企業信息安全管理對策[J].國際公關，2021（02）：88-89.

[4]丁丁.企業計算機網絡安全風險防控研究[J].才智，2016（03）：268.