基于“极简思维”的局域网安全控制策略研究

梁炜　李飞

摘要：信息化建设得到全面发展的同时，安全领域问题日趋繁重，层出不穷的各类应用管理压力，日趋复杂的网络空间安全态势，良莠不齐的安全服务和产品选择困难，专业人才缺乏，资金匮乏等突出等矛盾，成为了局域网安全发展的掣肘因素。本文提出在有限的条件下，充分发挥管理人员主观能动性，基于“极简思维”，高效解决局域网防护不力的问题。

关键词：局域网安全;极简思维;防护策略

近几年，信息化应用已经深入到人们日常学习、生活服务等各个层面。各行各业，都以信息化建设为突破口，竞相开展信息系统建设，都将信息化应用系统建设、应用水平作为核心竞争力提升的关键要素，信息化建设被提到了新的高度。与此同时，非法侵入、数据泄露、勒索病毒肆虐以及利用各类漏洞的网络攻击等安全事件频发，网络空间安全形势日趋复杂。面对来自各相关部门越来越高的安全工作要求，挑战与压力都是巨大的。

1  安全防护的现状

1.1重建设与轻安全

盘点各个单位的信息化资产，基础网络建设完善，视频监控覆盖无盲区，无线覆盖无死角;中心机房建设微模块、冷通道机柜、动环系统等应有尽有，豪华气派;信息系统建设、对外信息发布、人力资源管理、资产设备管理、协同办公系统、财务管理等力求业务全覆盖。但，针对安全方面的投入甚少，极少数单位可能配置了防火墙、WAF防火墙，配置漏扫、堡垒机、入侵检测、态势感知的更是凤毛麟角了，自觉完成等保测评、深入渗透检测与风险评估的就微乎其微了。总的来说，重基础建设、系统建设是主流，轻安全建设是普遍现象。

1.2资源配备严重不足

网络安全防护无外乎是人防和技防共同作用的一项工作。虽然资源配置上就是两样：高素质的管理人员和必要的技术设备支持，但实际工作环节中，这两项都未得到充分有效的配置。首先说高素质的管理人员，网络空间安全学科于2015年被教育部批准为一级学科，从当时的师资水平、人才培养周期、成才率来讲，信息安全从业人员供不应求，甚至可以说成“稀缺“，在市场这个杠杆作用下，信息安全从业人员成了香饽饽，“人才引进难”和“人才留不住”成了必然;依托单位业务开展培养的人员，大多因为起点低，工作繁多，只能“维持”，很难提升和突破。其次，资金在设备配置、技术落实上和服务购买上，功能实现层面的多，功能加固和安全防护上的很少。

1.3安全产品良莠不齐

网络安全管理不乐观的现状和日趋严重的态势并存，大多数管理者又把希望的目光投向安全产品和服务采购。但由于网络安全的范畴相对宽泛，包括了数据、系统、网络空间、人员等，单一产品很难解决问题。同时，我国市面上提供的网络产品和服务起步较晚，发展极其不平衡，给用户选择带来很大的麻烦以及决策风险。

2  极简思维的防护策略

网络威胁日趋严重，掣肘因素繁多，在各种条件不具备的情况下，唯有充分发挥管理人员的主观能动性，采取切实有效的应对措施，如系统极简、应用极简、边界控制极简的思路，不等不靠，方能主动解决一些实际问题。

2.1整体思路

以最小限度原则，即“够用维度”原则，配置满足安全策略、分配网络资源、控制用户权限、关闭非必要服务（端口）、删除无用账户，避免因提供网络服务过多而造成安全漏洞几率大，威胁增多，管理难度随之加大等不利因素，以便在无将威胁网络安全的风险降至最低。

2.2  最少用户

用户对系统的不当使用和滥用，是造成系统安全，甚至威胁其他发布应用的最主要因素之一，合法用户因为误操作也会对系统资源造成的破坏，当然恶意攻击者冒用攻击破坏，就更为严重了。因此，针对操作系统，采用“最少用户”的法则，对系统用户进行管理，建立安全防范的第一道防线，如Windows禁用guest用户，并且严格控制新增账户;Linux操作系统在安装完成后，默认会安装很多不必要的用户和用户组，及时进行删除，如adm，lp，news，uucp，games，dip，pppusers，popusers，slipusers等，账户越少，可能被黑客利用的机率就少，服务器的安全威胁因素就少。

2.3最小服务

Windows和Linux操作系统在安装完成后，默认开启了很多非必要服务，对于服务器来说，运行的服务越多，系统风险就越大。因此，部署完系统和应用后，进一步关闭一些不需要的服务，对系统安全有很大的帮助。具体关闭的服务，视服务器的用途而定，坚持“最小服务”的原则，即只要系统、服务都不必要的服务，一律关闭。如某台部署www应用的Linux主机，那么除了httpd服务和系统运行是必须的服务外，即可关停其他非必要服务。同时，一台服务器也不宜同时部署多个不同服务，如在同一台服务器下部署多个www服务，避免因“木桶效应”，拉低整体安全。

2.4最少权限

对于因管理维护必须开通的一切用户，按照“最小权限”的控制原则，即用户所需权利的最小化原则给与分配，既包括可以执行命令，也包括可访问目录及目录权限等最小化授权。

2.5  极简策略

在系统和本身安全上做好充分准备的同时，我们还可以通过方便易得的ACL（Access Control List）技术，加固网络的方法，管理局域网安全。局域网使用的交换机和路由器等网络设备，大多都具备ACL功能，采用严苛的、极简的控制策略，实现网络控制、限制流量、防止网络攻击，在提高网络性能的同时，强化网络安全。如，使用ACL针对源地址或目标进行报文过滤，放行仅允许的访问;使用ACL进行TCP、UDP端口限制限，避免病毒等经常调用的熟知端口等。

3  结束语

在日趋复杂的网络空间安全态势下，不增加人手、开销的前提，充分发挥管理人员的主观能动性，采用“极简”原则，提升全网安全防御能力，是有效解决局域网安全的有效途径之一，值得广泛使用。

參考文献：

[1]尚建人.计算机网络工程安全存在问题及其对策研究[J].电子测试，2018，（12）.130-131.

[2]罗剑文.计算机网络工程现状及其对策分析[J].科技创新与应用，2016，（26）.84.

[3]应旭锋，叶晓景，赵雪雷，等.ACL技术在医院局域网中的实施和应用[J].中国卫生产业，2016，13（12）：1-2.

作者简介：梁炜（1980-）男，汉族，陕西咸阳人，学士，工程师，从事气象服务与技术保障工作。