基于“極簡思維”的局域網(wǎng)安全控制策略研究

梁煒　李飛

摘要：信息化建設(shè)得到全面發(fā)展的同時(shí)，安全領(lǐng)域問題日趨繁重，層出不窮的各類應(yīng)用管理壓力，日趨復(fù)雜的網(wǎng)絡(luò)空間安全態(tài)勢(shì)，良莠不齊的安全服務(wù)和產(chǎn)品選擇困難，專業(yè)人才缺乏，資金匱乏等突出等矛盾，成為了局域網(wǎng)安全發(fā)展的掣肘因素。本文提出在有限的條件下，充分發(fā)揮管理人員主觀能動(dòng)性，基于“極簡思維”，高效解決局域網(wǎng)防護(hù)不力的問題。

關(guān)鍵詞：局域網(wǎng)安全;極簡思維;防護(hù)策略

近幾年，信息化應(yīng)用已經(jīng)深入到人們?nèi)粘W(xué)習(xí)、生活服務(wù)等各個(gè)層面。各行各業(yè)，都以信息化建設(shè)為突破口，競相開展信息系統(tǒng)建設(shè)，都將信息化應(yīng)用系統(tǒng)建設(shè)、應(yīng)用水平作為核心競爭力提升的關(guān)鍵要素，信息化建設(shè)被提到了新的高度。與此同時(shí)，非法侵入、數(shù)據(jù)泄露、勒索病毒肆虐以及利用各類漏洞的網(wǎng)絡(luò)攻擊等安全事件頻發(fā)，網(wǎng)絡(luò)空間安全形勢(shì)日趨復(fù)雜。面對(duì)來自各相關(guān)部門越來越高的安全工作要求，挑戰(zhàn)與壓力都是巨大的。

1? 安全防護(hù)的現(xiàn)狀

1.1重建設(shè)與輕安全

盤點(diǎn)各個(gè)單位的信息化資產(chǎn)，基礎(chǔ)網(wǎng)絡(luò)建設(shè)完善，視頻監(jiān)控覆蓋無盲區(qū)，無線覆蓋無死角;中心機(jī)房建設(shè)微模塊、冷通道機(jī)柜、動(dòng)環(huán)系統(tǒng)等應(yīng)有盡有，豪華氣派;信息系統(tǒng)建設(shè)、對(duì)外信息發(fā)布、人力資源管理、資產(chǎn)設(shè)備管理、協(xié)同辦公系統(tǒng)、財(cái)務(wù)管理等力求業(yè)務(wù)全覆蓋。但，針對(duì)安全方面的投入甚少，極少數(shù)單位可能配置了防火墻、WAF防火墻，配置漏掃、堡壘機(jī)、入侵檢測(cè)、態(tài)勢(shì)感知的更是鳳毛麟角了，自覺完成等保測(cè)評(píng)、深入滲透檢測(cè)與風(fēng)險(xiǎn)評(píng)估的就微乎其微了?？偟膩碚f，重基礎(chǔ)建設(shè)、系統(tǒng)建設(shè)是主流，輕安全建設(shè)是普遍現(xiàn)象。

1.2資源配備嚴(yán)重不足

網(wǎng)絡(luò)安全防護(hù)無外乎是人防和技防共同作用的一項(xiàng)工作。雖然資源配置上就是兩樣：高素質(zhì)的管理人員和必要的技術(shù)設(shè)備支持，但實(shí)際工作環(huán)節(jié)中，這兩項(xiàng)都未得到充分有效的配置。首先說高素質(zhì)的管理人員，網(wǎng)絡(luò)空間安全學(xué)科于2015年被教育部批準(zhǔn)為一級(jí)學(xué)科，從當(dāng)時(shí)的師資水平、人才培養(yǎng)周期、成才率來講，信息安全從業(yè)人員供不應(yīng)求，甚至可以說成“稀缺“，在市場(chǎng)這個(gè)杠桿作用下，信息安全從業(yè)人員成了香餑餑，“人才引進(jìn)難”和“人才留不住”成了必然;依托單位業(yè)務(wù)開展培養(yǎng)的人員，大多因?yàn)槠瘘c(diǎn)低，工作繁多，只能“維持”，很難提升和突破。其次，資金在設(shè)備配置、技術(shù)落實(shí)上和服務(wù)購買上，功能實(shí)現(xiàn)層面的多，功能加固和安全防護(hù)上的很少。

1.3安全產(chǎn)品良莠不齊

網(wǎng)絡(luò)安全管理不樂觀的現(xiàn)狀和日趨嚴(yán)重的態(tài)勢(shì)并存，大多數(shù)管理者又把希望的目光投向安全產(chǎn)品和服務(wù)采購。但由于網(wǎng)絡(luò)安全的范疇相對(duì)寬泛，包括了數(shù)據(jù)、系統(tǒng)、網(wǎng)絡(luò)空間、人員等，單一產(chǎn)品很難解決問題。同時(shí)，我國市面上提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)起步較晚，發(fā)展極其不平衡，給用戶選擇帶來很大的麻煩以及決策風(fēng)險(xiǎn)。

2? 極簡思維的防護(hù)策略

網(wǎng)絡(luò)威脅日趨嚴(yán)重，掣肘因素繁多，在各種條件不具備的情況下，唯有充分發(fā)揮管理人員的主觀能動(dòng)性，采取切實(shí)有效的應(yīng)對(duì)措施，如系統(tǒng)極簡、應(yīng)用極簡、邊界控制極簡的思路，不等不靠，方能主動(dòng)解決一些實(shí)際問題。

2.1整體思路

以最小限度原則，即“夠用維度”原則，配置滿足安全策略、分配網(wǎng)絡(luò)資源、控制用戶權(quán)限、關(guān)閉非必要服務(wù)（端口）、刪除無用賬戶，避免因提供網(wǎng)絡(luò)服務(wù)過多而造成安全漏洞幾率大，威脅增多，管理難度隨之加大等不利因素，以便在無將威脅網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)降至最低。

2.2? 最少用戶

用戶對(duì)系統(tǒng)的不當(dāng)使用和濫用，是造成系統(tǒng)安全，甚至威脅其他發(fā)布應(yīng)用的最主要因素之一，合法用戶因?yàn)檎`操作也會(huì)對(duì)系統(tǒng)資源造成的破壞，當(dāng)然惡意攻擊者冒用攻擊破壞，就更為嚴(yán)重了。因此，針對(duì)操作系統(tǒng)，采用“最少用戶”的法則，對(duì)系統(tǒng)用戶進(jìn)行管理，建立安全防范的第一道防線，如Windows禁用guest用戶，并且嚴(yán)格控制新增賬戶;Linux操作系統(tǒng)在安裝完成后，默認(rèn)會(huì)安裝很多不必要的用戶和用戶組，及時(shí)進(jìn)行刪除，如adm，lp，news，uucp，games，dip，pppusers，popusers，slipusers等，賬戶越少，可能被黑客利用的機(jī)率就少，服務(wù)器的安全威脅因素就少。

2.3最小服務(wù)

Windows和Linux操作系統(tǒng)在安裝完成后，默認(rèn)開啟了很多非必要服務(wù)，對(duì)于服務(wù)器來說，運(yùn)行的服務(wù)越多，系統(tǒng)風(fēng)險(xiǎn)就越大。因此，部署完系統(tǒng)和應(yīng)用后，進(jìn)一步關(guān)閉一些不需要的服務(wù)，對(duì)系統(tǒng)安全有很大的幫助。具體關(guān)閉的服務(wù)，視服務(wù)器的用途而定，堅(jiān)持“最小服務(wù)”的原則，即只要系統(tǒng)、服務(wù)都不必要的服務(wù)，一律關(guān)閉。如某臺(tái)部署www應(yīng)用的Linux主機(jī)，那么除了httpd服務(wù)和系統(tǒng)運(yùn)行是必須的服務(wù)外，即可關(guān)停其他非必要服務(wù)。同時(shí)，一臺(tái)服務(wù)器也不宜同時(shí)部署多個(gè)不同服務(wù)，如在同一臺(tái)服務(wù)器下部署多個(gè)www服務(wù)，避免因“木桶效應(yīng)”，拉低整體安全。

2.4最少權(quán)限

對(duì)于因管理維護(hù)必須開通的一切用戶，按照“最小權(quán)限”的控制原則，即用戶所需權(quán)利的最小化原則給與分配，既包括可以執(zhí)行命令，也包括可訪問目錄及目錄權(quán)限等最小化授權(quán)。

2.5? 極簡策略

在系統(tǒng)和本身安全上做好充分準(zhǔn)備的同時(shí)，我們還可以通過方便易得的ACL（Access Control List）技術(shù)，加固網(wǎng)絡(luò)的方法，管理局域網(wǎng)安全。局域網(wǎng)使用的交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備，大多都具備ACL功能，采用嚴(yán)苛的、極簡的控制策略，實(shí)現(xiàn)網(wǎng)絡(luò)控制、限制流量、防止網(wǎng)絡(luò)攻擊，在提高網(wǎng)絡(luò)性能的同時(shí)，強(qiáng)化網(wǎng)絡(luò)安全。如，使用ACL針對(duì)源地址或目標(biāo)進(jìn)行報(bào)文過濾，放行僅允許的訪問;使用ACL進(jìn)行TCP、UDP端口限制限，避免病毒等經(jīng)常調(diào)用的熟知端口等。

3? 結(jié)束語

在日趨復(fù)雜的網(wǎng)絡(luò)空間安全態(tài)勢(shì)下，不增加人手、開銷的前提，充分發(fā)揮管理人員的主觀能動(dòng)性，采用“極簡”原則，提升全網(wǎng)安全防御能力，是有效解決局域網(wǎng)安全的有效途徑之一，值得廣泛使用。

參考文獻(xiàn)：

[1]尚建人.計(jì)算機(jī)網(wǎng)絡(luò)工程安全存在問題及其對(duì)策研究[J].電子測(cè)試，2018，（12）.130-131.

[2]羅劍文.計(jì)算機(jī)網(wǎng)絡(luò)工程現(xiàn)狀及其對(duì)策分析[J].科技創(chuàng)新與應(yīng)用，2016，（26）.84.

[3]應(yīng)旭鋒，葉曉景，趙雪雷，等.ACL技術(shù)在醫(yī)院局域網(wǎng)中的實(shí)施和應(yīng)用[J].中國衛(wèi)生產(chǎn)業(yè)，2016，13（12）：1-2.

作者簡介：梁煒（1980-）男，漢族，陜西咸陽人，學(xué)士，工程師，從事氣象服務(wù)與技術(shù)保障工作。