基于TCP/IP企业局域网安全策略模型

摘 要 对于企业，局域网络已成为信息泄漏、病毒传播的主要途径。为了保证企业信息安全、信息资源有效率利用，针对企业局域网络，依据TCP/IP协议和网络攻击特征，提出了安全策略模型。给出不同的协议层的安全应用技术，有效防范外来攻击，保证企业局域网络的安全。

【关键词】局域网 协议 病毒 安全策略 安全模型

企业局域网作为分工协作、资源共享的一部分，对企业提高生产效率，扩大生产规模有着重要的作用，尤其私有云技术的应用更加凸现了企业局域网络安全的重要性。当前企业主要采用基于TCP/IP 协议组作为通信协议，这种开放式体系结构，势必导致安全隐患。因此采用有效的局域网络安全策略，保障终端安全可靠就显得十分重要。

1 局域网络安全威胁

局域网络所面临的威胁既有外部网络环境威胁，又有内部网络环境下的人为因素影响。外部网络环境威胁中，攻击者企图绕开防火墙，针对企业服务器实施的具有破坏的攻击。这类攻击也会带有利益目的，如爆发勒索病毒，通过外部网络，迅速感染大量终端，通过加密用户数据手段换取比特币。内部网络环境威胁中，人为操作不当或带有目的性的恶意操作。

外部攻击方法多，攻击效果明显，为了保证局域网的安全，需要认识到这些攻击的对象和和方法，才能有效制定安全策略。

内部网络环境威胁。大部分是由于人员操作不当导致，即人为因素造成。主要包括人为有意破坏，企业内部人员因自身原因而破壞内部服务器，用户实际操作不当等。因此，企业局域网安全问题既是内部人员无意识的操作所致，也是用户使用行为不规范的表现。

2 局域网络安全策略

由上文知道，企业内部网络安全策略可以通过个人行为规范来防范，而外部网络环境威胁大，且可控性差等因素，需要使用必要的技术和策略来保证网络安全。

外部网络安全策略，为了有效的防范外部网络攻击，以神州数码网络设备为网络基础，搭建linux环境下的服务器，描述网络安全策略。应用服务安全策略，包括了对Web、FTP、DNS安全等。Web安全策略以基于linux的Apache服务为例，对账号、权限、访问目录和端口配置。DNS安全策略以基于linux的bind服务为例，禁止网段访问，隐藏版本信息，启用日志功能。。网络防御安全策略，主要是通过漏洞检测技术、防火墙技术等发现系统、数据漏洞，预防网络攻击，最终给出安全防御策略。漏洞检测技术，以linux环境下的Nmap为例给出，Nmap漏洞扫描在确定了攻击目标和网络之后，就可以进行扫描。可以单机扫描，也可以这个网段扫描。基本功能有发现主机、端口扫描、版本侦测、操作系统侦测。防火墙技术以linux下的iptables为例，linux下的iptables根据规则所定义的方法来处理这些数据包，容许（accept）、拒绝（reject）和丢弃（drop）。配置防火墙的添加、修改和删除这些规则。

内部策略，为了有效防范企业员工无意识操作和有目的操作对内网的威胁，给出内部网络环境下的访问策略流程。

Step1 网络访问控制ACL。交换机实现的一种数据包过滤机制，通过容许或拒绝数据包进出网络，有效保证网络安全运行。以神舟数码设备为例实现，拒绝主机192.168.100.11对接入层的访问，给出拒绝访问特定端口，过滤特定病毒报文。

Step2 服务资源访问权限控制。Linux环境下，对于FTP访问控制，通过文件权限进行管理，对于除root外的其他用户仅有只读权限，即chmod 644 共享文件/数据。

Step3 数据访问权限及备份机制。对已获取ACL和服务资源访问权限的用户，对访问的数据也有可能造成威胁，因此控制数据目录的访问权限，并对数据进行差异备份。

3 局域网络安全策略模型

由上文所述，给出局域网络安全策略模型。汇聚层、接入层和数据层分别对应应用程序访问控制、ACL（访问控制）和系统权限控制。对局域网络环境，移动设备、二层交换机、三层交换机实体分别对应汇聚层、接入层、数据层。对于外网环境，攻击者的主要目的就是获取访问权限。因此依据上文介绍的局域网络安全策略和模型，为企业局域网制定强安全策略，有效的保证网络。

4 局域网络三层安全模型验证

为了验证三层安全模型的有效性，用网络损失率来描述局域网安全性，Uf为局域网中受到攻击终端总数，Ua为局域网内全部终端，网络损失率表示为：Cnet=Uf/Ua

实验比较使用三层安全模型（SEP）和没有使用三层安全模型制定（NSEP）策略，受到灰鸽子攻击，简单DOS攻击和口令攻击[7]时候的损失率比较，从图中我们可以看出，随着攻击次数的增加，以三层安全模型制定安全策略的网络环境更安全。

5 结束语

本文在论述企业局域网环境下的安全策略的基础上，给出了局域网环境下的三层安全模型，为企业局域网络安全提供了有效的安全策略制定方法。实验表明，以三层安全模型制定的安全策略有较低的损失率。

参考文献

[1]冯扬.云安全技术研究[J]. 电力信息与通信技术，2014，12（01）：22-27.

[2]代华.基于网络安全联动的重庆广电集团办公局域网络的构建[J].网络安全技术与应用，2014（07）：107-107.

[3]陈文杰.计算机局域网络维护以及网络安全探究[J].信息与电脑，2016（21）.

[4]孙宪波.企业内部网络安全威胁与防范措施[J].电子技术与软件工程，2015（24）：211-211.

[5]王永堃.计算机实验室中的网络安全策略[J].信息系统工程，2017（02）：39-39.

[6]徐明.网络安全挑战及技术与管理制衡[J].网络安全技术与应用，2017（02）：9-10.

[7]商炳楠.一次Linux系统被攻击的分析过程[J].科技创新与应用，2017（03）：84-84.

作者简介

卫星君（1983-），男，硕士学位。现为陕西能源职业技术学院讲师。主要研究方向为数据信息安全、网络安全。

焦娇（1988-）女，大学本科学历。现为陕西能源职业技术学院助教。主要研究方向计算机网络。

作者单位

陕西能源职业技术学院 陕西省咸阳市 712000endprint