新时代企业计算机网络安全系统构建原则与策略

陈臻

摘要：从理论分析以及案例分析的角度入手，阐述了计算机网络安全系统建立的背景以及相关概念，围绕着计算机网络安全管控的关键技术进行细节梳理，主要突出防火墙技术、虚拟专用网技术、入侵检查技术体系、网络访问控制技术的应用价值，从具体案例的层面出发，探究了计算机网络安全系统的平台以及实际功能，致力于打造立体化的计算机网络安全管控机制，为企业发展与企业生产运营建设奠定基础。

关键词：新时代；企业；计算机网络安全系统；构建

一、前言

计算机网络安全系统是整合了大量应对网络安全问题的技术体系，并且按照企业自身运营发展的实际需求打造的集成性系统，不仅可以防控常规的网络安全问题，也可以迎合企业的发展需求，制定一系列优化对策。针对其细节以及安全系统的功能进行分析，明确建构原则以及应用策略，对于目前企业网络信息体系的升级和创新有一定促进作用。

二、计算机网络安全系统建构的背景及理论基础

（一）核心背景

互联网的普及为人们的生产生活以及社会发展带来了更为便利的途径，是提升生活质量、催生企业升级、提升社会科技发展水平的重点工具，但信息化水平的不断提升也导致信息安全问题更为突出，黑客的非法入侵、网络病毒的蔓延、数据泄露以及互联网体系的不正当运维，导致部分企业的线上运维管理面临较大的压力。一部分企业在运营的过程中缺乏计算机网络安全系统，其功能较为单一，难以实现全方位的网络安全防控，必然会造成惨痛的网络安全问题。因此加大力度做好企业计算机网络安全系统的建构，丰富系统功能，明确建构原则，是目前大数据时代各个企业发展期间的核心任务。

（二）计算机网络安全的核心概念

计算机网络安全管理主要是通过硬件设备、软件系统等进行计算机网络平台的全方面安全防控，避免出现异常变化或者外部攻击，能够保护原有数据不被篡改、丢失、搬运、替换。在大数据时代下，计算机网络安全管理是时代发展的新课题，而安全管控也是具备较强复杂性的工程，其中涵盖计算机基础科学、信息技术、电子通信，加密技术、网络通信技术等多项技术体系，还包含了部分端口加密、信息理论、应用数学等领域的知识[1]。结合这些知识和技术的应用，可以将计算机网络安全系统划分为两个不同的类别。其一是建立在网络安全管理的基础上打造的网络信息安全系统，其二是针对网络中所有的数据进行合理利用和管理的网络安全分类系统。两个系统在当前企业生产运营的过程中都有较强的应用价值，能够应对不同的环境、不同的业务以及不同的安全管控需求，确保企业的数据信息资源具备完整性、日常的线上运作和管理具备安全性。

三、计算机网络安全系统的技术分支

网络安全技术与众多基础学科都有直接的关联，综合目前绝大部分企业所使用的计算机网络安全系统架构来看，其涉及的安全技术通常为以下几种。

（一）防火墙技术

可以将防火墙技术理解成一种安全门禁，是建立在独立网络信息系统与整体互联网基础上形成的屏障，能够将独立网络信息系统中的数据信息和各项子系统保护起来，是防止外部用户非法入侵、非法攻击的核心技术体系，也是目前在网络安全管控中应用最为广泛的核心技术。综合技术升级和开发的方向来看，目前防火墙技术也可以划分为以下几个类别。

1.包过滤防火墙技术

该项技术体系依托路由器展开，在服务器以及计算机上可以安装防火墙软件，通过单个IP进行网络管控。在包过滤防火墙技术的管理下，所有妄图通过路由器网端进行传输的文件、数据包、源地址、目的地址以及信息的各项参数都可以被精准识别，按照提前设定的安全防范标准和典型的案例信息，能够识别出信息中是否夹带病毒，判断信息传输行为是否是非法攻击行为和窃取行为，然后实现自动拦截。包过滤防火墙技术的核心优点在于透明性较好、运行简单方便，对于网络性能并不会产生较大影响，是禁止非法外部用户访问独立网络信息系统的核心技术体系，因此大部分应用在企业内部网络安全防护领域。

2.代理服务器防火墙

该种类型的防火墙更倾向于将安全防护的责任交给代理服务程序，将其安装在特定的网络系统上，因此也被称为应用层网关及防火墙。该项技术的核心是代理服务器，能够为防火墙主机运行提供基础。代理服务器能够建立外部网络和内部网络的连接通道，所有的访问行为和数据传输行为都会通过该通道进行详细的检查，可以提供完善的用户认证、审计跟踪、详细日志、数据加密等安全服务，灵活性较强，且可以结合不同网络系统的运行需求进行功能上的调整。

但是，该技术体系在实际应用的过程中具备较强的不透明性，每一个IP地址或者TCP服务器需要设置单独的代理模块，导致网关系统更为复杂，通常会应用在大型且具备技術和经济基础的企业中。

3.复合型防火墙技术

该类型的防火墙技术集成了包过滤技术以及代理技术，最终打造的防火墙系统安全性和灵活性更强，通常有两个不同的选择方案。

其一，屏蔽主机防火墙架构。从安全防控结构的角度来看，防火墙或者分组过滤路由器会和互联网连接，在企业内网中安装堡垒机，利用包括过滤路由器或者防火墙进行规则级过滤，让堡垒成为只有互联网上其他节点能够访问的节点。其优势在于具备较强的隔绝性，能够确保内部网络不会受到恶意的外部攻击。

其二，屏蔽子网防火墙架构。将网络系统分为主网和子网，子网中安装堡垒机，堡垒主机以及过滤路由器形成了完善的安全防火墙系统，能够将子网与内部网以及互联网完全分隔，形成一个单独的网络系统，该方式主要应用在企业的高精密文件领域，能够完全杜绝外部恶意攻击导致的信息泄露。

（二）虚拟专用网技术

虚拟专用网技术，主要是利用公共网络打造穿透公共网络的逻辑隧道，建立虚拟通道，该项技术体系是在原有局域网技术的基础上进行的拓展成果，可以实现远程终端的互联，是目前网络技术体系升级换代的标志性技术。该项技术的应用需要结合隧道技术、用户认证技术、加密技术、访问控制技术展开，在实际应用的过程中可以划分成三个不同类别[2]。首先是内网 VPN，在不同的内网子系统之间建立连接，保证了内网中的信息传输稳定性；其次是外联网VPN，能够和内部网络构成外网，也可以和其他网络进行连接；再次是远程访问VPN，通过远程控制进行虚拟专用数据的传输，针对不同的客户和不同的应用主体设置不同的虚拟专用设备，每一台设备之间可以通过 VPN交换机、防火墙以及路由器进行安全防控。

该项技术可以应用在集团性企业中，集团企业与各个分支企业之间的网络系统形成了网络通信，保证用户和总部之间的信息传输最佳选项。该项技术的核心优势在于成本较低，建立VPN网络的便捷程度较强，不仅可以保证数据传输的机密性和安全性，也可以简化原有的网络架构。

（三）入侵检测技术

该项技术主要针对非法入侵进行精准检测和拦截，是在防火墙技术的基础上打造的附属性技术，由于防火墙技术会受到未知行为的攻击导致网络运行受到影响，配合入侵检测技术能够快速判断入侵检测的端口和来源，也可以判断不同的入侵行为是否完全是威胁行为，入侵检测技术通常分为三种类别：

1.基于主机型IDS

主要针对网络事件、日志记录以及网络操作环境进行检测，比如分析信息文档是否被修改判断日记条目以及现有的攻击事件目录。主要应用在部分企业的IDS产品端口上，如果检测到未能满足安全标准和规格的信息，会快速告警。

2.基于网络IDS

该项技术体系主要对网络信息系统中大部分信息源进行检测，主动收集网络系统中的各项信息流，通过数据信息匹配和对比的方式识别是否存在攻击行为。

3.基于主机和网络集成的IDS

基于主机的IDS和基于网络的IDS都有自己的优势，一部分企业基于这两项技术的应用优势进行了融合分析，通过技术合并，打通了互联网和主机之间的通道，在部署基于主机的IDS时，也可以同步部署基于网络的IDS。 IDS可以检测所有网络的 ID和权限，并且针对不同的业务类型选择不同的检测体系，常规的邮件、DNS、网络服务器都可以和互联网实现数据链接，基于主机的IDS会部署在服务器。

（四）网络访问控制技术

该技术是进行信息网络终端保护的常见技术体系，会直接安装在硬件设备的网络检测软件中，可以和其他的安全防控技术共同使用，能够为计算机以及网络系统提供全自动化的安全信息检测流程。从实际应用的层面来讲，该项技术的优势在于能够防止未安装病毒以及入侵防御软件的中断信息接入网络资源，从源头上控制危险信息的产生[3]。另外，该技术可以大幅提升网络运行安全性，比如允许管理员设置权限，按照前期设置的规则清除网络交换设备中的部分违规操作和信息，通过身份和访问管理员模块可以设置用户权限，确保不同用户在访问网络时仅能执行自身职能内的操作，这样可以避免越级访问或者非法访问。

总体来讲，目前的计算机网络安全管控技术体系存在多元化的特点，企业可以结合自身的实际情况，针对性地选择不同的技术来构建计算机网络安全防护系统，发挥最大的安全防护效能，可以为企业的运行和发展提供安全保障。

四、企业计算机网络安全防护系统的建构案例及细节分析

为了进一步提升文章论述的科学性和有效性，本文建立在具体案例的基础上，进行计算机网络安全防护系统的性能和作用分析，以此来为企业的网络系统管理提供参考。

（一）企业计算机网络安全防控的背景分析

随着我国社会产业结构的逐步调整，高精尖企业的数量逐步增加，这种类型的企业在生产运营的过程中产生的数据信息涉及较多的机密文件以及技术专利，目前企业的整体管理模式已经向数据化和智能化方向转型，通过内网系统进行生产运营管理是未来发展的核心方向。但是为了避免企业用户在内网中非法使用计算机系统，导致信息泄露以及非法入侵行为的出现，要严格按照相关部门制定科学的管理制度，但是在执行的过程中依旧会发现非法复制文件、安装非法软件等行为。这对于企业自身的发展和技术研发会造成较为严重的影响，因此通过在内网系统中建立小型的监控体系，来实现业务网络和数据网络之间的隔离不仅可以为企业日常运营提供良好环境，也可以最大限度地保证信息的安全性。这一系统的建立主要是针对办公主机系统展开，利用Windows系统操作，通过交换机将网络建立起联系，主机会通过路由器访问外部网络，作为企业日常工作、学习的平台。但是在网络主机上无法直接访问机密内网，这就需要建立网络安全管理拓扑系统。

（二）系统拓扑结构以及逻辑分析

1.安全防控系统的拓扑结构

该企业的网络安全系统选择了C/S模式，主要分为两层不同的系统结构，第1层是以客户端为主和企业的日常运营业务进行对接，第2层则是以网络和数据库为主，以数据库服务器作为核心。为了满足企业日常生产经营的需求，该系统包含了客户应用端、服务器管理以及中间层三层结构[4]。一方面，该类型的结构具备较大的固有优势，客户端会保留一套完整的程序，其中涉及错误提示以及安全预警，在系统运行的过程中，一旦出现非法操作行为，会快速弹出警示，另外也可以实现子程序的自由切换。另一方面，该结构提供了较为完善的安全访问体系。C/S配置最大的优势是能够实现点对点的信息传输，主要应用在局域网内部，可以确保子系统之间相对独立，并且提升数据安全管控的合理性，由于该系统主要应用在企业的内网领域，因此规模不用过大，具备最基础的网络安全防护作用即可，其实际结构和逻辑关系见图1。

2.系统的管理流程分析

整体软件系统分为三层结构，首先是起到安全信息检测的结构，为安全检测代理系统，安装在数控机器上。另外两个则是安全检测服务器上设置的主程序以及系统数据库。核心控制方案的运行需要依托企业的政策、控制要求展开，安全检测代理会读取执行管理策略，然后带动终端程序进行响应，实现数据信息的储存和读取，其具体的逻辑关系和流程见图2。

3.系统的功能

为了提升计算机网络安全管控的全面性，整体系统的功能分为6个不同的模块，详细分析如下。

（1）用户身份管理功能

用户身份管理主要是针对企业内网的各项用户进行权限管理，其中使用的技术为网络访问控制技术，能够针对不同的系统用户进行添加和删除。控制规则主要由选定的策略进行开发，可以作为用户身份管理的依据。在操作的过程中可以通过删除角色和新建角色确定不同用户的操作权限，并且将制定好的新策略写入数据库以及安全检测代理应用系统中。在用户使用网络时可以判断用户在注册自身账号时的各项信息，检测管理员、普通用户、重点用户等，有助于实现针对性的权限管控。

（2）实时监控模块

实时监控模块主要针对网络系统的硬件设备以及软件体系进行在线控制，可以了解员工办公桌面以及文件目录的具体信息，确保在日常办公的过程中不会浏览其他网站和软件。其设计思路在于利用udp部署控制主机检测代理发送监控命令。结合执行指令读取计算机的本地列表、实时桌面截图、文件信息、服务器进程，并且通过桌面快照进行逻辑关系的分析，能够判断当时电脑所处的状态。

（3）软件系统管理模块

软件系统管理的核心功能在于将安全检测服务器中的检测策略发送到受控主机上，在策略实施的过程中可以判断系统黑名单和白名单，设置了黑名单之后，软件向检测代理发送列表时可以更新通知，及时接收新的数据和信息，通过读取黑名单以及白名单，可以按照新的功能执行软件对象控制的策略。

（4）硬件设备管理模块

该模块主要针对局域网内部的所有硬件设备进行管理，包含了硬件清单的生成、硬件设备的非法更改、硬件设备的状态使用等。可以了解当前局域网内部的设备是否经过了非法篡改和网络攻击，一旦出现攻击行为防火墙，系统会自动启动进行安全防控，避免受到安全威胁。

（5）网络对象管理体系

网络对象管理主要是建立在区域网络所有受控网络行为的基础上进行管理，比如包含了网站的黑名单设置以及白名单设置分析控制机的流量，并且对其进行审计。这种管理体系更强调精准判断企业局域网内部的各项变量因素，对于判定外界系统攻击以及隐藏病毒有一定促进作用。

五、结语

综上所述，信息技术的繁荣发展离不开计算机网络安全防控系统的升级和更新，从企业生产运营的角度来看，计算机安全防控系统的落实往往以安全防控技术为依托，可以结合企业自身的实际情况，合理选择技术体系，建立在多项技术穿插融合的层面，打造网络安全防控方案，本文介绍了企业的计算机网络安全系统的具体架构以及相关功能，能够提供全方位的安全防控，也有助于增强企业生产运维的稳定性。

参考文献

[1]刘科.计算机信息化技术应用研究及风险防控[J].软件，2022，43（12）：123-125.

[2]陈大亨.企业网络信息建设中网络安全研究[J].信息系统工程，2022（01）：117-120.

[3]朱坤福.互联网环境下企业信息安全管理对策[J].国际公关，2021（02）：88-89.

[4]丁丁.企业计算机网络安全风险防控研究[J].才智，2016（03）：268.