張同升

(中國(guó)電子科技集團(tuán)公司第十六研究所 信息中心，安徽 合肥 230043)

0 引言

隨著互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)技術(shù)、通信技術(shù)的發(fā)展，信息化已經(jīng)滲透到我們的日常生活，改變了人們的生活方式和工作模式[1]，信息化程度已經(jīng)成為衡量企業(yè)集團(tuán)發(fā)展階段的重要標(biāo)志。人們?cè)诟惺艿叫畔⒒o日常生活、辦公帶來巨大變化的同時(shí)也應(yīng)該清醒的認(rèn)識(shí)到，信息系統(tǒng)安全問題已成為影響國(guó)家、政治、經(jīng)濟(jì)、文化、教育、企事業(yè)單位的發(fā)展的重要因素。尤其是涉及國(guó)防科技工業(yè)、軍隊(duì)的涉密企事業(yè)單位，信息系統(tǒng)的安全顯得尤為重要。在信息系統(tǒng)的日常運(yùn)行與維護(hù)中，外界入侵者利用操作系統(tǒng)或者應(yīng)用系統(tǒng)的自身缺陷進(jìn)行攻擊，內(nèi)部人員發(fā)泄性的惡意攻擊，系統(tǒng)管理人員的誤操作等等，這些都可能導(dǎo)致信息系統(tǒng)的數(shù)據(jù)丟失，情節(jié)嚴(yán)重的可能會(huì)導(dǎo)致系統(tǒng)癱瘓，進(jìn)而影響系統(tǒng)的運(yùn)行[2]。

1 信息系統(tǒng)的安全接入技術(shù)

信息系統(tǒng)的安全防護(hù)技術(shù)主要有VLAN劃分，MAC地址綁定，配置ACL等。其目的是確保接入該系統(tǒng)的終端設(shè)備是安全、可信的[3]。在圖1所示的拓?fù)鋱D中，由內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)域、外網(wǎng)區(qū)域三部分組成。左邊為內(nèi)部網(wǎng)絡(luò)[4]，我們也稱之為trust區(qū)域。即對(duì)于管理員來講是可信區(qū)域，內(nèi)部網(wǎng)絡(luò)中不同的部門被劃分在不同的VLAN中，VLAN之間不能相互通信，同一 VLAN成員之間可以相互通信，內(nèi)部成員可以訪問內(nèi)網(wǎng)郵件系統(tǒng)、OA系統(tǒng)等；將內(nèi)網(wǎng)與防火墻的內(nèi)網(wǎng)接口相連形成的區(qū)域稱之為非軍事區(qū)，即DMZ區(qū)域[5]。DMZ區(qū)域負(fù)責(zé)為外網(wǎng)提供WEB瀏覽服務(wù)；將防火墻的外網(wǎng)口與外部網(wǎng)絡(luò)相連稱之為外部區(qū)域，即 untrust區(qū)域，對(duì)于管理員來講是非可信區(qū)域，即可能存在外部的攻擊、入侵等行為的地方。

圖1 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意

2 訪問控制策略的設(shè)置

CISCO交換機(jī)將網(wǎng)絡(luò)模型分為三層:接入層、分配層、核心層[6]，其中接入層主要負(fù)責(zé)終端設(shè)備的安全接入，確保接入終端的合法、唯一、可靠、安全；分配層負(fù)責(zé)數(shù)據(jù)的路由和過濾功能；核心層主要負(fù)責(zé)數(shù)據(jù)的高速轉(zhuǎn)發(fā)，提高網(wǎng)絡(luò)的吞吐率。

本論文利用Cisco Packet Tracer 5.3模擬器對(duì)訪問接入控制策略進(jìn)行仿真，如圖2所示。市場(chǎng)部占用192.168.1.0/24，財(cái)務(wù)部占用192.168.2.0/24，科技部占用192.168.3.0/24，人力占用192.168.4.0/24。為內(nèi)網(wǎng)提供辦公系統(tǒng)服務(wù)器IP地址為192.168.10.1，ERP系統(tǒng)的IP地址為192.168.20.2，郵件系統(tǒng)為192.168.30.3，人力系統(tǒng)地址為192.168.40.4。

2.1 VLAN劃分

VLAN是Virtual Local Area Network的縮寫，在信息系統(tǒng)中，劃分VLAN有許多優(yōu)點(diǎn):

1) 隔離網(wǎng)絡(luò)廣播。

2) 簡(jiǎn)化網(wǎng)絡(luò)管理。

3) 增強(qiáng)網(wǎng)絡(luò)安全性。

4) 提高網(wǎng)絡(luò)管理的靈活性。

VLAN有靜態(tài)VLAN和動(dòng)態(tài)VLAN之分，靜態(tài)VLAN具有安全性高、更容易設(shè)置和監(jiān)控而被管理員經(jīng)常采用[7]。假設(shè)市場(chǎng)部占用 VLAN10，財(cái)務(wù)部占用 VLAN20，科技部占用 VLAN30，人力占用VLAN40。這便完成了各個(gè)部門之間廣播域的隔離。部分命令如下:

通過show vlan命令得到如圖3所示的信息。端口fa0/1、fa0/2已經(jīng)被劃分到VLAN10中，而其他端口仍然屬于VLAN1。其他端口采用類似的劃分。

圖3 VLAN劃分驗(yàn)證

2.2 MAC地址綁定

為交換機(jī)端口制定 MAC綁定策略是保證接入終端唯一性的保證，部分命令如下:

完成上述配置后，用show mac-address命令查看MAC表，該表中只有VLAN10的兩臺(tái)PC的MAC地址分別接入fa0/1和fa0/2。通過對(duì)端口進(jìn)行MAC地址綁定，sticky命令即可以將首次接入交換機(jī)的終端設(shè)備MAC地址記錄在MAC表中。當(dāng)有其他設(shè)備試圖接入網(wǎng)絡(luò)時(shí)，該端口會(huì)因違反該策略而被關(guān)閉。此時(shí)需要管理員手動(dòng)開啟該端口，并對(duì)違反該策略的終端設(shè)備的情況進(jìn)行備案。當(dāng)接入一臺(tái)未綁定策略的計(jì)算機(jī)試圖 ping 192.168.1.3時(shí)，返回 request timed out，即該設(shè)備不能訪問該網(wǎng)絡(luò)。如圖4所示。

圖4 MAC地址綁定策略

2.3 ACL規(guī)則

訪問控制列表對(duì)網(wǎng)絡(luò)的運(yùn)行效率和網(wǎng)絡(luò)運(yùn)轉(zhuǎn)方面具有特殊的貢獻(xiàn)，網(wǎng)絡(luò)管理員使用訪問控制列表對(duì)企業(yè)中的傳輸數(shù)據(jù)進(jìn)行過濾。管理員可以收集基本的數(shù)據(jù)包流量、統(tǒng)計(jì)數(shù)據(jù)和可實(shí)施的安全策略，保護(hù)敏感的設(shè)備遠(yuǎn)離未授權(quán)的訪問[8]。

標(biāo)準(zhǔn)訪問控制列表是利用源地址對(duì)數(shù)據(jù)包進(jìn)行過濾，以達(dá)到對(duì)進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)包控制的目的。要求財(cái)務(wù)ERP系統(tǒng)192.168.20.2只允許財(cái)務(wù)人員、市場(chǎng)部192.168.1.2和人力部192.168.4.2訪問，其他人員則禁止訪問。則ACL設(shè)置部分代碼如下:

將ACL應(yīng)用到接口上:

此時(shí)市場(chǎng)部的主機(jī)192.168.1.2、192.168.1.3和192.168.20.2 ERP服務(wù)器之間的網(wǎng)絡(luò)連通可以通過ping命令來測(cè)試，其結(jié)果如下:

市場(chǎng)部的主機(jī) 192.168.1.2能夠訪問192.168.20.2 ERP服務(wù)器，而主機(jī)192.168.1.3則不能訪問ERP服務(wù)器。其結(jié)果如圖5所示。

圖5 ACL允許仿真測(cè)試結(jié)果

同樣，人力 192.168.4.2、192.168.4.3主機(jī)和192.168.20.2服務(wù)器之間的網(wǎng)絡(luò)連通可以通過ping命令來測(cè)試，其結(jié)果如下:

192.16 8.4.2能夠訪問ERP，而192.168.4.3則不能訪問192.168.20.2。其結(jié)果如圖6所示。這樣便達(dá)到了控制內(nèi)網(wǎng)終端設(shè)備，提高網(wǎng)絡(luò)傳輸效率，節(jié)約資源的目的。

圖6 ACL拒絕仿真測(cè)試結(jié)果

3 結(jié)語

信息系統(tǒng)安全防護(hù)遵循“三分技術(shù)，七分管理”的原則，而安全防護(hù)策略是三分技術(shù)的關(guān)鍵，通過技術(shù)手段來加強(qiáng)信息系統(tǒng)的安全防護(hù)是確保信息系統(tǒng)安全的重要防線。通過仿真可以看出，設(shè)置正確、合理的安全策略能夠有效的阻止非法或者非籍終端的接入，可以對(duì)終端的訪問行為進(jìn)行限制，這樣便大大提了網(wǎng)絡(luò)可用性和安全性。此外，結(jié)合接入層的控制方法和加強(qiáng)制度的管理才能做到保障信息的安全，信息系統(tǒng)的安全防護(hù)是一個(gè)動(dòng)態(tài)的過程，只有定期的調(diào)整策略才能使系統(tǒng)處于最佳的運(yùn)行狀態(tài)。

[1]項(xiàng)力,吳學(xué)智,王斌.基于云計(jì)算的下一代數(shù)據(jù)中心設(shè)計(jì)[J].通信技術(shù),2012,45(06):107-108.

[2]楊正銀,張秦罡.網(wǎng)絡(luò)安全訪問策略規(guī)劃及其實(shí)施[J].測(cè)繪技術(shù)裝備,2010,12(04):45-48.

[3]何新華,春增軍,趙志中.淺談等保建設(shè)安全防護(hù)框架[J].通信技術(shù),2011,44(12):98-100.

[4]任海翔.內(nèi)網(wǎng)安全解決方案經(jīng)驗(yàn)談[J].信息安全與通信保密,2007(01):164-165.

[5]趙章界.網(wǎng)絡(luò)訪問控制的層次模型[J].信息安全與通信保密,2010(07):84-86.

[6]LAMMLE T.Cisco Certified Network Associate Study Guide[M].San Francisco: SYBEX,2010:51-54.

[7]陳鳴.網(wǎng)絡(luò)工程設(shè)計(jì)教程系統(tǒng)集成方法[M]北京:機(jī)械工業(yè)出版社,2010:39-41.

[8]王芳.路由器訪問控制列表及其應(yīng)用技術(shù)研究[D].鄭州:中國(guó)人民解放軍信息工程大學(xué),2007.