梁煒　李飛

摘要：信息化建設(shè)得到全面發(fā)展的同時，安全領(lǐng)域問題日趨繁重，層出不窮的各類應(yīng)用管理壓力，日趨復(fù)雜的網(wǎng)絡(luò)空間安全態(tài)勢，良莠不齊的安全服務(wù)和產(chǎn)品選擇困難，專業(yè)人才缺乏，資金匱乏等突出等矛盾，成為了局域網(wǎng)安全發(fā)展的掣肘因素。本文提出在有限的條件下，充分發(fā)揮管理人員主觀能動性，基于“極簡思維”，高效解決局域網(wǎng)防護不力的問題。

關(guān)鍵詞：局域網(wǎng)安全;極簡思維;防護策略

近幾年，信息化應(yīng)用已經(jīng)深入到人們?nèi)粘W(xué)習、生活服務(wù)等各個層面。各行各業(yè)，都以信息化建設(shè)為突破口，競相開展信息系統(tǒng)建設(shè)，都將信息化應(yīng)用系統(tǒng)建設(shè)、應(yīng)用水平作為核心競爭力提升的關(guān)鍵要素，信息化建設(shè)被提到了新的高度。與此同時，非法侵入、數(shù)據(jù)泄露、勒索病毒肆虐以及利用各類漏洞的網(wǎng)絡(luò)攻擊等安全事件頻發(fā)，網(wǎng)絡(luò)空間安全形勢日趨復(fù)雜。面對來自各相關(guān)部門越來越高的安全工作要求，挑戰(zhàn)與壓力都是巨大的。

1? 安全防護的現(xiàn)狀

1.1重建設(shè)與輕安全

盤點各個單位的信息化資產(chǎn)，基礎(chǔ)網(wǎng)絡(luò)建設(shè)完善，視頻監(jiān)控覆蓋無盲區(qū)，無線覆蓋無死角;中心機房建設(shè)微模塊、冷通道機柜、動環(huán)系統(tǒng)等應(yīng)有盡有，豪華氣派;信息系統(tǒng)建設(shè)、對外信息發(fā)布、人力資源管理、資產(chǎn)設(shè)備管理、協(xié)同辦公系統(tǒng)、財務(wù)管理等力求業(yè)務(wù)全覆蓋。但，針對安全方面的投入甚少，極少數(shù)單位可能配置了防火墻、WAF防火墻，配置漏掃、堡壘機、入侵檢測、態(tài)勢感知的更是鳳毛麟角了，自覺完成等保測評、深入滲透檢測與風險評估的就微乎其微了。總的來說，重基礎(chǔ)建設(shè)、系統(tǒng)建設(shè)是主流，輕安全建設(shè)是普遍現(xiàn)象。

1.2資源配備嚴重不足

網(wǎng)絡(luò)安全防護無外乎是人防和技防共同作用的一項工作。雖然資源配置上就是兩樣：高素質(zhì)的管理人員和必要的技術(shù)設(shè)備支持，但實際工作環(huán)節(jié)中，這兩項都未得到充分有效的配置。首先說高素質(zhì)的管理人員，網(wǎng)絡(luò)空間安全學(xué)科于2015年被教育部批準為一級學(xué)科，從當時的師資水平、人才培養(yǎng)周期、成才率來講，信息安全從業(yè)人員供不應(yīng)求，甚至可以說成“稀缺“，在市場這個杠桿作用下，信息安全從業(yè)人員成了香餑餑，“人才引進難”和“人才留不住”成了必然;依托單位業(yè)務(wù)開展培養(yǎng)的人員，大多因為起點低，工作繁多，只能“維持”，很難提升和突破。其次，資金在設(shè)備配置、技術(shù)落實上和服務(wù)購買上，功能實現(xiàn)層面的多，功能加固和安全防護上的很少。

1.3安全產(chǎn)品良莠不齊

網(wǎng)絡(luò)安全管理不樂觀的現(xiàn)狀和日趨嚴重的態(tài)勢并存，大多數(shù)管理者又把希望的目光投向安全產(chǎn)品和服務(wù)采購。但由于網(wǎng)絡(luò)安全的范疇相對寬泛，包括了數(shù)據(jù)、系統(tǒng)、網(wǎng)絡(luò)空間、人員等，單一產(chǎn)品很難解決問題。同時，我國市面上提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)起步較晚，發(fā)展極其不平衡，給用戶選擇帶來很大的麻煩以及決策風險。

2? 極簡思維的防護策略

網(wǎng)絡(luò)威脅日趨嚴重，掣肘因素繁多，在各種條件不具備的情況下，唯有充分發(fā)揮管理人員的主觀能動性，采取切實有效的應(yīng)對措施，如系統(tǒng)極簡、應(yīng)用極簡、邊界控制極簡的思路，不等不靠，方能主動解決一些實際問題。

2.1整體思路

以最小限度原則，即“夠用維度”原則，配置滿足安全策略、分配網(wǎng)絡(luò)資源、控制用戶權(quán)限、關(guān)閉非必要服務(wù)（端口）、刪除無用賬戶，避免因提供網(wǎng)絡(luò)服務(wù)過多而造成安全漏洞幾率大，威脅增多，管理難度隨之加大等不利因素，以便在無將威脅網(wǎng)絡(luò)安全的風險降至最低。

2.2? 最少用戶

用戶對系統(tǒng)的不當使用和濫用，是造成系統(tǒng)安全，甚至威脅其他發(fā)布應(yīng)用的最主要因素之一，合法用戶因為誤操作也會對系統(tǒng)資源造成的破壞，當然惡意攻擊者冒用攻擊破壞，就更為嚴重了。因此，針對操作系統(tǒng)，采用“最少用戶”的法則，對系統(tǒng)用戶進行管理，建立安全防范的第一道防線，如Windows禁用guest用戶，并且嚴格控制新增賬戶;Linux操作系統(tǒng)在安裝完成后，默認會安裝很多不必要的用戶和用戶組，及時進行刪除，如adm，lp，news，uucp，games，dip，pppusers，popusers，slipusers等，賬戶越少，可能被黑客利用的機率就少，服務(wù)器的安全威脅因素就少。

2.3最小服務(wù)

Windows和Linux操作系統(tǒng)在安裝完成后，默認開啟了很多非必要服務(wù)，對于服務(wù)器來說，運行的服務(wù)越多，系統(tǒng)風險就越大。因此，部署完系統(tǒng)和應(yīng)用后，進一步關(guān)閉一些不需要的服務(wù)，對系統(tǒng)安全有很大的幫助。具體關(guān)閉的服務(wù)，視服務(wù)器的用途而定，堅持“最小服務(wù)”的原則，即只要系統(tǒng)、服務(wù)都不必要的服務(wù)，一律關(guān)閉。如某臺部署www應(yīng)用的Linux主機，那么除了httpd服務(wù)和系統(tǒng)運行是必須的服務(wù)外，即可關(guān)停其他非必要服務(wù)。同時，一臺服務(wù)器也不宜同時部署多個不同服務(wù)，如在同一臺服務(wù)器下部署多個www服務(wù)，避免因“木桶效應(yīng)”，拉低整體安全。

2.4最少權(quán)限

對于因管理維護必須開通的一切用戶，按照“最小權(quán)限”的控制原則，即用戶所需權(quán)利的最小化原則給與分配，既包括可以執(zhí)行命令，也包括可訪問目錄及目錄權(quán)限等最小化授權(quán)。

2.5? 極簡策略

在系統(tǒng)和本身安全上做好充分準備的同時，我們還可以通過方便易得的ACL（Access Control List）技術(shù)，加固網(wǎng)絡(luò)的方法，管理局域網(wǎng)安全。局域網(wǎng)使用的交換機和路由器等網(wǎng)絡(luò)設(shè)備，大多都具備ACL功能，采用嚴苛的、極簡的控制策略，實現(xiàn)網(wǎng)絡(luò)控制、限制流量、防止網(wǎng)絡(luò)攻擊，在提高網(wǎng)絡(luò)性能的同時，強化網(wǎng)絡(luò)安全。如，使用ACL針對源地址或目標進行報文過濾，放行僅允許的訪問;使用ACL進行TCP、UDP端口限制限，避免病毒等經(jīng)常調(diào)用的熟知端口等。

3? 結(jié)束語

在日趨復(fù)雜的網(wǎng)絡(luò)空間安全態(tài)勢下，不增加人手、開銷的前提，充分發(fā)揮管理人員的主觀能動性，采用“極簡”原則，提升全網(wǎng)安全防御能力，是有效解決局域網(wǎng)安全的有效途徑之一，值得廣泛使用。

參考文獻：

[1]尚建人.計算機網(wǎng)絡(luò)工程安全存在問題及其對策研究[J].電子測試，2018，（12）.130-131.

[2]羅劍文.計算機網(wǎng)絡(luò)工程現(xiàn)狀及其對策分析[J].科技創(chuàng)新與應(yīng)用，2016，（26）.84.

[3]應(yīng)旭鋒，葉曉景，趙雪雷，等.ACL技術(shù)在醫(yī)院局域網(wǎng)中的實施和應(yīng)用[J].中國衛(wèi)生產(chǎn)業(yè)，2016，13（12）：1-2.

作者簡介：梁煒（1980-）男，漢族，陜西咸陽人，學(xué)士，工程師，從事氣象服務(wù)與技術(shù)保障工作。