基于TCP/IP企業局域網安全策略模型

摘 要 對于企業，局域網絡已成為信息泄漏、病毒傳播的主要途徑。為了保證企業信息安全、信息資源有效率利用，針對企業局域網絡，依據TCP/IP協議和網絡攻擊特征，提出了安全策略模型。給出不同的協議層的安全應用技術，有效防范外來攻擊，保證企業局域網絡的安全。

【關鍵詞】局域網 協議 病毒 安全策略 安全模型

企業局域網作為分工協作、資源共享的一部分，對企業提高生產效率，擴大生產規模有著重要的作用，尤其私有云技術的應用更加凸現了企業局域網絡安全的重要性。當前企業主要采用基于TCP/IP 協議組作為通信協議，這種開放式體系結構，勢必導致安全隱患。因此采用有效的局域網絡安全策略，保障終端安全可靠就顯得十分重要。

1 局域網絡安全威脅

局域網絡所面臨的威脅既有外部網絡環境威脅，又有內部網絡環境下的人為因素影響。外部網絡環境威脅中，攻擊者企圖繞開防火墻，針對企業服務器實施的具有破壞的攻擊。這類攻擊也會帶有利益目的，如爆發勒索病毒，通過外部網絡，迅速感染大量終端，通過加密用戶數據手段換取比特幣。內部網絡環境威脅中，人為操作不當或帶有目的性的惡意操作。

外部攻擊方法多，攻擊效果明顯，為了保證局域網的安全，需要認識到這些攻擊的對象和和方法，才能有效制定安全策略。

內部網絡環境威脅。大部分是由于人員操作不當導致，即人為因素造成。主要包括人為有意破壞，企業內部人員因自身原因而破壞內部服務器，用戶實際操作不當等。因此，企業局域網安全問題既是內部人員無意識的操作所致，也是用戶使用行為不規范的表現。

2 局域網絡安全策略

由上文知道，企業內部網絡安全策略可以通過個人行為規范來防范，而外部網絡環境威脅大，且可控性差等因素，需要使用必要的技術和策略來保證網絡安全。

外部網絡安全策略，為了有效的防范外部網絡攻擊，以神州數碼網絡設備為網絡基礎，搭建linux環境下的服務器，描述網絡安全策略。應用服務安全策略，包括了對Web、FTP、DNS安全等。Web安全策略以基于linux的Apache服務為例，對賬號、權限、訪問目錄和端口配置。DNS安全策略以基于linux的bind服務為例，禁止網段訪問，隱藏版本信息，啟用日志功能。。網絡防御安全策略，主要是通過漏洞檢測技術、防火墻技術等發現系統、數據漏洞，預防網絡攻擊，最終給出安全防御策略。漏洞檢測技術，以linux環境下的Nmap為例給出，Nmap漏洞掃描在確定了攻擊目標和網絡之后，就可以進行掃描。可以單機掃描，也可以這個網段掃描。基本功能有發現主機、端口掃描、版本偵測、操作系統偵測。防火墻技術以linux下的iptables為例，linux下的iptables根據規則所定義的方法來處理這些數據包，容許（accept）、拒絕（reject）和丟棄（drop）。配置防火墻的添加、修改和刪除這些規則。

內部策略，為了有效防范企業員工無意識操作和有目的操作對內網的威脅，給出內部網絡環境下的訪問策略流程。

Step1 網絡訪問控制ACL。交換機實現的一種數據包過濾機制，通過容許或拒絕數據包進出網絡，有效保證網絡安全運行。以神舟數碼設備為例實現，拒絕主機192.168.100.11對接入層的訪問，給出拒絕訪問特定端口，過濾特定病毒報文。

Step2 服務資源訪問權限控制。Linux環境下，對于FTP訪問控制，通過文件權限進行管理，對于除root外的其他用戶僅有只讀權限，即chmod 644 共享文件/數據。

Step3 數據訪問權限及備份機制。對已獲取ACL和服務資源訪問權限的用戶，對訪問的數據也有可能造成威脅，因此控制數據目錄的訪問權限，并對數據進行差異備份。

3 局域網絡安全策略模型

由上文所述，給出局域網絡安全策略模型。匯聚層、接入層和數據層分別對應應用程序訪問控制、ACL（訪問控制）和系統權限控制。對局域網絡環境，移動設備、二層交換機、三層交換機實體分別對應匯聚層、接入層、數據層。對于外網環境，攻擊者的主要目的就是獲取訪問權限。因此依據上文介紹的局域網絡安全策略和模型，為企業局域網制定強安全策略，有效的保證網絡。

4 局域網絡三層安全模型驗證

為了驗證三層安全模型的有效性，用網絡損失率來描述局域網安全性，Uf為局域網中受到攻擊終端總數，Ua為局域網內全部終端，網絡損失率表示為：Cnet=Uf/Ua

實驗比較使用三層安全模型（SEP）和沒有使用三層安全模型制定（NSEP）策略，受到灰鴿子攻擊，簡單DOS攻擊和口令攻擊[7]時候的損失率比較，從圖中我們可以看出，隨著攻擊次數的增加，以三層安全模型制定安全策略的網絡環境更安全。

5 結束語

本文在論述企業局域網環境下的安全策略的基礎上，給出了局域網環境下的三層安全模型，為企業局域網絡安全提供了有效的安全策略制定方法。實驗表明，以三層安全模型制定的安全策略有較低的損失率。

參考文獻

[1]馮揚.云安全技術研究[J]. 電力信息與通信技術，2014，12（01）：22-27.

[2]代華.基于網絡安全聯動的重慶廣電集團辦公局域網絡的構建[J].網絡安全技術與應用，2014（07）：107-107.

[3]陳文杰.計算機局域網絡維護以及網絡安全探究[J].信息與電腦，2016（21）.

[4]孫憲波.企業內部網絡安全威脅與防范措施[J].電子技術與軟件工程，2015（24）：211-211.

[5]王永堃.計算機實驗室中的網絡安全策略[J].信息系統工程，2017（02）：39-39.

[6]徐明.網絡安全挑戰及技術與管理制衡[J].網絡安全技術與應用，2017（02）：9-10.

[7]商炳楠.一次Linux系統被攻擊的分析過程[J].科技創新與應用，2017（03）：84-84.

作者簡介

衛星君（1983-），男，碩士學位。現為陜西能源職業技術學院講師。主要研究方向為數據信息安全、網絡安全。

焦嬌（1988-）女，大學本科學歷。現為陜西能源職業技術學院助教。主要研究方向計算機網絡。

作者單位

陜西能源職業技術學院 陜西省咸陽市 712000endprint