李艷麗 王真

鄂爾多斯職業(yè)學(xué)院 內(nèi)蒙古鄂爾多斯 017000

1 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是什么？網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷[1]。2017 年舉世矚目的十九大報告中，習(xí)近平總書記曾八次提到互聯(lián)網(wǎng)，并且圍繞其做出了一系列重大戰(zhàn)略部署安排。習(xí)近平總書記在十九大報告中具體提到：“加強互聯(lián)網(wǎng)內(nèi)容建設(shè)，建立網(wǎng)絡(luò)綜合治理體系，營造清朗的網(wǎng)絡(luò)空間”。營造清朗的網(wǎng)絡(luò)空間，即指安全的健康的網(wǎng)絡(luò)環(huán)境。

能不能達到網(wǎng)絡(luò)的絕對安全？對于目前的網(wǎng)絡(luò)環(huán)境下，答案是否定的。一臺計算機和另外一臺計算機交流信息資源共享所使用的網(wǎng)絡(luò)，除了物理線路外，還需采取相同的網(wǎng)絡(luò)協(xié)議，規(guī)定他們之間的共同語言，達到能夠交流的目的。從19 世紀70 年代開始，網(wǎng)絡(luò)使用TCP/IP 協(xié)議，即傳輸控制/ 網(wǎng)際協(xié)議，又叫網(wǎng)絡(luò)通訊協(xié)議，這個協(xié)議是地球上任何計算機設(shè)備想要互聯(lián)的協(xié)議族。TCP/IP 協(xié)議來源于OSI 參考模型，OSI 是什么？ OSI 是Open System Interconnect，即開放式系統(tǒng)互連參考模型。從名字也可得出，這是一個開放式的協(xié)議，而開放的必然無法做到完全安全。大家熟知的手機操作系統(tǒng)，蘋果操作系統(tǒng)是較為安全的，蘋果操作系統(tǒng)的安全性是由操作系統(tǒng)的封閉性所致；而安卓系統(tǒng)沒有那么安全，這是由其開放性所導(dǎo)致。簡單說來，蘋果系統(tǒng)中的任何一個軟件都需其后臺審核后才能使用，而安卓系統(tǒng)的軟件可能悄悄地就在你的手機中植入了木馬。

而那些黑客又是如何利用網(wǎng)絡(luò)協(xié)議的開放性進行攻擊呢？具體如我們最常見的局域網(wǎng)網(wǎng)絡(luò)監(jiān)聽，它根據(jù)局域網(wǎng)交換機收到信息后直接轉(zhuǎn)發(fā)給局域網(wǎng)中的所有主機，主機網(wǎng)卡自行匹配MAC地址，合適的保留，不合適的丟棄，如果我們把MAC 地址核對這個過程改為保留所有收到的信息，即可輕松實現(xiàn)對同一網(wǎng)段主機的監(jiān)聽。又比如應(yīng)用層協(xié)議族的HTTP 協(xié)議，就過于寬松，我們?yōu)g覽網(wǎng)站時候可能會下載木馬病毒，電腦黑客也可通過HTTP協(xié)議尋找網(wǎng)站的漏洞，上傳木馬病毒到網(wǎng)站服務(wù)器，實現(xiàn)對服務(wù)器的攻擊[2]。

TCP/IP 協(xié)議在Internet 網(wǎng)絡(luò)中殘留了許多的網(wǎng)絡(luò)漏洞，漏洞只能一個一個補，沒辦法一步到位。目前常見的安全手段有防火墻技術(shù)、安全掃描和入侵檢測技術(shù)、數(shù)據(jù)備份技術(shù)、病毒防護技術(shù)、VPN 技術(shù)、VLAN 技術(shù)、加密解密技術(shù)、認證簽名技術(shù)等等。

2 某職業(yè)學(xué)院網(wǎng)絡(luò)安全現(xiàn)狀

根據(jù)對內(nèi)蒙古某職業(yè)學(xué)院的調(diào)研，該職業(yè)學(xué)院所有的教學(xué)樓、辦公樓、實驗實訓(xùn)樓、學(xué)生宿舍都實現(xiàn)了校園網(wǎng)接入，現(xiàn)有學(xué)生機3000 余臺，教師機數(shù)百臺，校園網(wǎng)接入聯(lián)通網(wǎng)，出口帶寬2．5個G，教師機學(xué)生機到戶的下載帶寬平均100M 左右，上載帶寬超過100M，服務(wù)器則實現(xiàn)了光纖直接接入，帶寬1G 左右，校園網(wǎng)中也根據(jù)用戶和機房實現(xiàn)了VLAN 的劃分。同時，該職業(yè)學(xué)院校內(nèi)署了校園網(wǎng)站群、學(xué)生教務(wù)系統(tǒng)、校園一卡通系統(tǒng)、圖書館管理系統(tǒng)、各類考試系統(tǒng)、數(shù)字化資源系統(tǒng)等，而大量的教學(xué)數(shù)據(jù)、科研數(shù)據(jù)、考務(wù)數(shù)據(jù)也散布于校園各個角落的服務(wù)器、計算機中。

近幾年，該職業(yè)學(xué)院先后引入了先進的網(wǎng)絡(luò)安全設(shè)備，主網(wǎng)中使用了銳捷的防火墻，網(wǎng)神的入侵檢測系統(tǒng)（集成了部分入侵防護功能），VPN 設(shè)備（暫未使用），網(wǎng)站服務(wù)器邊緣部署安全防護體系（加強對內(nèi)網(wǎng)的安全防護），網(wǎng)絡(luò)服務(wù)器虛擬系統(tǒng)（實現(xiàn)服務(wù)器的相互備份），學(xué)生機噢易系統(tǒng)（實現(xiàn)學(xué)生機的管理及學(xué)生機病毒防護），學(xué)生機殺毒木馬防護軟件等[3]。

總體而言，該職業(yè)學(xué)院的校園網(wǎng)絡(luò)安全現(xiàn)狀處于較高水準，除了該學(xué)院對網(wǎng)絡(luò)安全重視的提升和國家對安全違法行為打擊力度加大外，網(wǎng)絡(luò)設(shè)備的提升和網(wǎng)絡(luò)設(shè)備相互配合起了很大的作用。但也存在一定的問題，如該職業(yè)學(xué)院的網(wǎng)絡(luò)安全人員較緊張，對于技術(shù)人員需緊跟時代潮流，人員的再培訓(xùn)再提升無政策上的保證；安全防護很被動，對人員的依賴強，主網(wǎng)中缺乏與外界學(xué)習(xí)和溝通的模塊，對于網(wǎng)絡(luò)安全沒有統(tǒng)一的管理平臺，各安全組件之間沒有主動協(xié)同，需要人為干預(yù)實現(xiàn)配合。

3 校園網(wǎng)絡(luò)安全防護體系的進一步完善

上文中的職業(yè)學(xué)院各級各類在籍學(xué)生10000 余人，在校教職工200 余人。

學(xué)院人員是流動的，特別是學(xué)院的電大學(xué)員不是一直在校，但要保證這么多人的學(xué)習(xí)、考試、生活和日常工作的順利運行，網(wǎng)絡(luò)的穩(wěn)定高速是必須的，網(wǎng)絡(luò)的安全也是必不可少的。

結(jié)合調(diào)查分析，以及實際的使用測試，該職業(yè)學(xué)院的校園網(wǎng)絡(luò)是穩(wěn)定高速的，網(wǎng)絡(luò)安全現(xiàn)狀也處于較高水準。但由于網(wǎng)絡(luò)本身的保密性，我們調(diào)查得到的信息并不細節(jié)，具體的網(wǎng)絡(luò)安全策略筆者就更不清楚了。現(xiàn)根據(jù)筆者已有知識對該院校網(wǎng)絡(luò)安全體系的構(gòu)建和完善提出進一步的建議（可能有些措施他們已在使用中）：該職業(yè)學(xué)院入校網(wǎng)絡(luò)為聯(lián)通一條，建議在經(jīng)濟允許的條件下，采用電信、聯(lián)通、移動網(wǎng)絡(luò)中的任意兩條網(wǎng)絡(luò)進行雙備份。校園內(nèi)部網(wǎng)絡(luò)以信息中心的網(wǎng)絡(luò)機房為中心點，采用星形結(jié)構(gòu)分散，核心路由器和校園內(nèi)主干網(wǎng)絡(luò)需都采用雙備份，并采用網(wǎng)絡(luò)協(xié)議約束避免形成環(huán)路，保證設(shè)備、線路萬一損壞的情況下自動實現(xiàn)高速切換，校園內(nèi)的路由表生成協(xié)議可用OSPF 動態(tài)路由協(xié)議，快速生成路由表，避免廣播風(fēng)暴[4]。

目前主流的網(wǎng)絡(luò)安全防御體系為四個功能模塊，包括有策略模塊、防護模塊、檢測模塊、響應(yīng)恢復(fù)模塊四個模塊，筆者建議在原有四個功能模塊的基礎(chǔ)上增加預(yù)警和學(xué)習(xí)反饋兩個模塊，構(gòu)建校園網(wǎng)絡(luò)的動態(tài)安全防御體系，保障網(wǎng)絡(luò)的高效實時安全。

3.1 策略模塊

網(wǎng)絡(luò)策略模塊包括有路由器、交換機的配置協(xié)議，校園VLAN 的劃分策略，防火墻的配置策略，數(shù)據(jù)庫的備份策略，網(wǎng)絡(luò)的認證口令等。校園網(wǎng)絡(luò)是一個整體，從最初規(guī)劃校園網(wǎng)絡(luò)時就必須考慮到網(wǎng)絡(luò)的可擴展性，網(wǎng)絡(luò)策略也必須保證相互之間的兼容性和整體性，相關(guān)技術(shù)人員也需做好文書，為后期維護和升級提供保證。

3.2 防護模塊

網(wǎng)絡(luò)防護模塊實現(xiàn)網(wǎng)絡(luò)防御功能，360 安全衛(wèi)士、360 殺毒即是最常見的防護模塊，它通過掃描本地計算機系統(tǒng)尋找可能的木馬病毒并匹配360 中心的終端病毒庫，掃描殺毒，降低用戶上網(wǎng)風(fēng)險。校園網(wǎng)絡(luò)的防火墻是外網(wǎng)進入內(nèi)網(wǎng)的第一道關(guān)口，是很重要的內(nèi)外網(wǎng)隔離工具，其合理的應(yīng)用將大大提升安全性。防火墻訪問權(quán)限策略主要為過濾進出兩個方向的危險協(xié)議和協(xié)議的域[5]。

建議防火墻的基本配置策略為：

①允許從校園網(wǎng)內(nèi)網(wǎng)訪問外網(wǎng)，禁止外網(wǎng)訪問內(nèi)網(wǎng)；

②校園網(wǎng)內(nèi)網(wǎng)中的網(wǎng)站群，允許外網(wǎng)通過授權(quán)訪問。

具體的端口如TELENET 的23 號端口、 FTP 的20 和21 號端口、SNTP 的25 號端口、RIP 的520 端口、DNS 的53 號端口和UUCP 的119 號端口等危險端口建議阻塞掉，不允許外網(wǎng)訪問。具體的配置細節(jié)還有很多，不一一描述了。

3.3 檢測模塊

目前檢測模塊主要的應(yīng)用為入侵檢測系統(tǒng)。入侵檢測系，統(tǒng)是繼防火墻之后的第二道安全閥門。遠程口令暴力破解行為、非授權(quán)的漏洞掃描行為、木馬蠕蟲攻擊行為等在一定程度上可被識別。入侵檢測系統(tǒng)需部署在防火墻和第一道核心路由器之間，現(xiàn)在的入侵檢測系統(tǒng)一般也集成了部分的入侵防御功能。入侵檢測系統(tǒng)通過掃描網(wǎng)絡(luò)中的數(shù)據(jù)流、主機日志等關(guān)鍵點的關(guān)鍵信息，分析有無異常行為和遭受攻擊的跡象，主動預(yù)警報警，由技術(shù)人員采取對立措施或者由入侵防御系統(tǒng)主動應(yīng)對。

目前，市面上有各類入侵檢測系統(tǒng)，其使用是非常人性化的，一般也是可視化的界面，我們可以設(shè)置為定期自動掃描（如半夜）和不定時的人工掃描。

3.4 預(yù)警模塊

預(yù)警模塊是筆者構(gòu)思的模塊，預(yù)警模塊基于全世界網(wǎng)絡(luò)。安全的共同協(xié)作，收集分類各地的網(wǎng)絡(luò)攻擊，收集本地的網(wǎng)絡(luò)設(shè)備安全日志和故障日志，實時研究分析，并根據(jù)風(fēng)險級別，實時預(yù)警可能的風(fēng)險，并推送到對應(yīng)業(yè)務(wù)區(qū)域，驅(qū)動相應(yīng)應(yīng)對組件啟動工作。

3.5 響應(yīng)恢復(fù)模塊

網(wǎng)絡(luò)響應(yīng)恢復(fù)模塊是網(wǎng)絡(luò)、設(shè)備已經(jīng)遭受攻擊后，需即時恢復(fù)為攻擊前的狀況。最常見的是服務(wù)器、主機的ghost 功能和數(shù)據(jù)庫的備份功能。ghost 和備份功能可根據(jù)實時需要設(shè)置為定期自動備份，或工作人員的人工備份，其中需特別注意的是重要數(shù)據(jù)的異地備份，防止硬件的不可恢復(fù)性的損壞。同時，響應(yīng)恢復(fù)模塊可配合預(yù)警模塊及早及時備份數(shù)據(jù)。

3.6 學(xué)習(xí)反饋模塊

學(xué)習(xí)反饋模塊也是筆者的一個構(gòu)思，鑒于目前網(wǎng)絡(luò)安全事故樣本數(shù)據(jù)依然較為局限，建議可在校園網(wǎng)絡(luò)的主干網(wǎng)絡(luò)上建立一個組件，專用于連接類似國家網(wǎng)絡(luò)安全中心的安全中心，當然也可由網(wǎng)絡(luò)公司來搭建這個網(wǎng)絡(luò)安全中心，通過該組件實時上傳網(wǎng)絡(luò)樣本數(shù)據(jù)。網(wǎng)絡(luò)安全中心對樣本數(shù)據(jù)分類保存，進行研究分析，并實時下發(fā)有意義的危險網(wǎng)絡(luò)行為，下發(fā)網(wǎng)絡(luò)安全處理手段和防護方法。目前，360 安全中心的病毒庫也是類似這個功能，但筆者希望進一步擴充安全中心的作用范圍。

上文中，針對內(nèi)蒙古某職業(yè)學(xué)院校園網(wǎng)絡(luò)的安全防御體系的搭建和進一步完善開展了論述。首先，對網(wǎng)絡(luò)的主干搭建提出了較為具體的建議；其實，為進一步提升校園網(wǎng)絡(luò)安全防御功能的實時性，建議在主流四個模塊的基礎(chǔ)上增加兩個模塊，并對改進的六個模塊的具體實施進行了詳細論述。

4 論文小結(jié)和未來思考方向

本論文簡單論述了什么是網(wǎng)絡(luò)安全，現(xiàn)行條件下網(wǎng)絡(luò)無法達到絕對安全，研究了內(nèi)蒙古某職業(yè)學(xué)院的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全現(xiàn)狀，在此基礎(chǔ)上提出了對該校園網(wǎng)絡(luò)安全防護體系的構(gòu)建和進一步完善的措施，同時提出了對主流網(wǎng)絡(luò)安全防御體系的改進措施，建議在原有策略模塊、防護模塊、檢測模塊、響應(yīng)恢復(fù)模塊四個模塊的基礎(chǔ)上增加預(yù)警和學(xué)習(xí)反饋兩個模塊，構(gòu)建校園網(wǎng)絡(luò)的動態(tài)安全防御體系，保障網(wǎng)絡(luò)的高效實時安全。

不過再優(yōu)秀的防御平臺，也還是防御，有沒有可能在保留目前網(wǎng)絡(luò)性能的基礎(chǔ)上從根本上保證網(wǎng)絡(luò)安全的絕對性，這就需要我們大家的深入思考了。