基于TCP/IP企業(yè)局域網(wǎng)安全策略模型

摘 要 對于企業(yè)，局域網(wǎng)絡(luò)已成為信息泄漏、病毒傳播的主要途徑。為了保證企業(yè)信息安全、信息資源有效率利用，針對企業(yè)局域網(wǎng)絡(luò)，依據(jù)TCP/IP協(xié)議和網(wǎng)絡(luò)攻擊特征，提出了安全策略模型。給出不同的協(xié)議層的安全應(yīng)用技術(shù)，有效防范外來攻擊，保證企業(yè)局域網(wǎng)絡(luò)的安全。

【關(guān)鍵詞】局域網(wǎng) 協(xié)議 病毒 安全策略 安全模型

企業(yè)局域網(wǎng)作為分工協(xié)作、資源共享的一部分，對企業(yè)提高生產(chǎn)效率，擴大生產(chǎn)規(guī)模有著重要的作用，尤其私有云技術(shù)的應(yīng)用更加凸現(xiàn)了企業(yè)局域網(wǎng)絡(luò)安全的重要性。當(dāng)前企業(yè)主要采用基于TCP/IP 協(xié)議組作為通信協(xié)議，這種開放式體系結(jié)構(gòu)，勢必導(dǎo)致安全隱患。因此采用有效的局域網(wǎng)絡(luò)安全策略，保障終端安全可靠就顯得十分重要。

1 局域網(wǎng)絡(luò)安全威脅

局域網(wǎng)絡(luò)所面臨的威脅既有外部網(wǎng)絡(luò)環(huán)境威脅，又有內(nèi)部網(wǎng)絡(luò)環(huán)境下的人為因素影響。外部網(wǎng)絡(luò)環(huán)境威脅中，攻擊者企圖繞開防火墻，針對企業(yè)服務(wù)器實施的具有破壞的攻擊。這類攻擊也會帶有利益目的，如爆發(fā)勒索病毒，通過外部網(wǎng)絡(luò)，迅速感染大量終端，通過加密用戶數(shù)據(jù)手段換取比特幣。內(nèi)部網(wǎng)絡(luò)環(huán)境威脅中，人為操作不當(dāng)或帶有目的性的惡意操作。

外部攻擊方法多，攻擊效果明顯，為了保證局域網(wǎng)的安全，需要認(rèn)識到這些攻擊的對象和和方法，才能有效制定安全策略。

內(nèi)部網(wǎng)絡(luò)環(huán)境威脅。大部分是由于人員操作不當(dāng)導(dǎo)致，即人為因素造成。主要包括人為有意破壞，企業(yè)內(nèi)部人員因自身原因而破壞內(nèi)部服務(wù)器，用戶實際操作不當(dāng)?shù)取Ｒ虼耍髽I(yè)局域網(wǎng)安全問題既是內(nèi)部人員無意識的操作所致，也是用戶使用行為不規(guī)范的表現(xiàn)。

2 局域網(wǎng)絡(luò)安全策略

由上文知道，企業(yè)內(nèi)部網(wǎng)絡(luò)安全策略可以通過個人行為規(guī)范來防范，而外部網(wǎng)絡(luò)環(huán)境威脅大，且可控性差等因素，需要使用必要的技術(shù)和策略來保證網(wǎng)絡(luò)安全。

外部網(wǎng)絡(luò)安全策略，為了有效的防范外部網(wǎng)絡(luò)攻擊，以神州數(shù)碼網(wǎng)絡(luò)設(shè)備為網(wǎng)絡(luò)基礎(chǔ)，搭建linux環(huán)境下的服務(wù)器，描述網(wǎng)絡(luò)安全策略。應(yīng)用服務(wù)安全策略，包括了對Web、FTP、DNS安全等。Web安全策略以基于linux的Apache服務(wù)為例，對賬號、權(quán)限、訪問目錄和端口配置。DNS安全策略以基于linux的bind服務(wù)為例，禁止網(wǎng)段訪問，隱藏版本信息，啟用日志功能。。網(wǎng)絡(luò)防御安全策略，主要是通過漏洞檢測技術(shù)、防火墻技術(shù)等發(fā)現(xiàn)系統(tǒng)、數(shù)據(jù)漏洞，預(yù)防網(wǎng)絡(luò)攻擊，最終給出安全防御策略。漏洞檢測技術(shù)，以linux環(huán)境下的Nmap為例給出，Nmap漏洞掃描在確定了攻擊目標(biāo)和網(wǎng)絡(luò)之后，就可以進行掃描。可以單機掃描，也可以這個網(wǎng)段掃描。基本功能有發(fā)現(xiàn)主機、端口掃描、版本偵測、操作系統(tǒng)偵測。防火墻技術(shù)以linux下的iptables為例，linux下的iptables根據(jù)規(guī)則所定義的方法來處理這些數(shù)據(jù)包，容許（accept）、拒絕（reject）和丟棄（drop）。配置防火墻的添加、修改和刪除這些規(guī)則。

內(nèi)部策略，為了有效防范企業(yè)員工無意識操作和有目的操作對內(nèi)網(wǎng)的威脅，給出內(nèi)部網(wǎng)絡(luò)環(huán)境下的訪問策略流程。

Step1 網(wǎng)絡(luò)訪問控制ACL。交換機實現(xiàn)的一種數(shù)據(jù)包過濾機制，通過容許或拒絕數(shù)據(jù)包進出網(wǎng)絡(luò)，有效保證網(wǎng)絡(luò)安全運行。以神舟數(shù)碼設(shè)備為例實現(xiàn)，拒絕主機192.168.100.11對接入層的訪問，給出拒絕訪問特定端口，過濾特定病毒報文。

Step2 服務(wù)資源訪問權(quán)限控制。Linux環(huán)境下，對于FTP訪問控制，通過文件權(quán)限進行管理，對于除root外的其他用戶僅有只讀權(quán)限，即chmod 644 共享文件/數(shù)據(jù)。

Step3 數(shù)據(jù)訪問權(quán)限及備份機制。對已獲取ACL和服務(wù)資源訪問權(quán)限的用戶，對訪問的數(shù)據(jù)也有可能造成威脅，因此控制數(shù)據(jù)目錄的訪問權(quán)限，并對數(shù)據(jù)進行差異備份。

3 局域網(wǎng)絡(luò)安全策略模型

由上文所述，給出局域網(wǎng)絡(luò)安全策略模型。匯聚層、接入層和數(shù)據(jù)層分別對應(yīng)應(yīng)用程序訪問控制、ACL（訪問控制）和系統(tǒng)權(quán)限控制。對局域網(wǎng)絡(luò)環(huán)境，移動設(shè)備、二層交換機、三層交換機實體分別對應(yīng)匯聚層、接入層、數(shù)據(jù)層。對于外網(wǎng)環(huán)境，攻擊者的主要目的就是獲取訪問權(quán)限。因此依據(jù)上文介紹的局域網(wǎng)絡(luò)安全策略和模型，為企業(yè)局域網(wǎng)制定強安全策略，有效的保證網(wǎng)絡(luò)。

4 局域網(wǎng)絡(luò)三層安全模型驗證

為了驗證三層安全模型的有效性，用網(wǎng)絡(luò)損失率來描述局域網(wǎng)安全性，Uf為局域網(wǎng)中受到攻擊終端總數(shù)，Ua為局域網(wǎng)內(nèi)全部終端，網(wǎng)絡(luò)損失率表示為：Cnet=Uf/Ua

實驗比較使用三層安全模型（SEP）和沒有使用三層安全模型制定（NSEP）策略，受到灰鴿子攻擊，簡單DOS攻擊和口令攻擊[7]時候的損失率比較，從圖中我們可以看出，隨著攻擊次數(shù)的增加，以三層安全模型制定安全策略的網(wǎng)絡(luò)環(huán)境更安全。

5 結(jié)束語

本文在論述企業(yè)局域網(wǎng)環(huán)境下的安全策略的基礎(chǔ)上，給出了局域網(wǎng)環(huán)境下的三層安全模型，為企業(yè)局域網(wǎng)絡(luò)安全提供了有效的安全策略制定方法。實驗表明，以三層安全模型制定的安全策略有較低的損失率。

參考文獻

[1]馮揚.云安全技術(shù)研究[J]. 電力信息與通信技術(shù)，2014，12（01）：22-27.

[2]代華.基于網(wǎng)絡(luò)安全聯(lián)動的重慶廣電集團辦公局域網(wǎng)絡(luò)的構(gòu)建[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（07）：107-107.

[3]陳文杰.計算機局域網(wǎng)絡(luò)維護以及網(wǎng)絡(luò)安全探究[J].信息與電腦，2016（21）.

[4]孫憲波.企業(yè)內(nèi)部網(wǎng)絡(luò)安全威脅與防范措施[J].電子技術(shù)與軟件工程，2015（24）：211-211.

[5]王永堃.計算機實驗室中的網(wǎng)絡(luò)安全策略[J].信息系統(tǒng)工程，2017（02）：39-39.

[6]徐明.網(wǎng)絡(luò)安全挑戰(zhàn)及技術(shù)與管理制衡[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（02）：9-10.

[7]商炳楠.一次Linux系統(tǒng)被攻擊的分析過程[J].科技創(chuàng)新與應(yīng)用，2017（03）：84-84.

作者簡介

衛(wèi)星君（1983-），男，碩士學(xué)位。現(xiàn)為陜西能源職業(yè)技術(shù)學(xué)院講師。主要研究方向為數(shù)據(jù)信息安全、網(wǎng)絡(luò)安全。

焦嬌（1988-）女，大學(xué)本科學(xué)歷。現(xiàn)為陜西能源職業(yè)技術(shù)學(xué)院助教。主要研究方向計算機網(wǎng)絡(luò)。

作者單位

陜西能源職業(yè)技術(shù)學(xué)院 陜西省咸陽市 712000endprint