李艷麗 王真

鄂爾多斯職業(yè)學(xué)院 內(nèi)蒙古鄂爾多斯 017000

1 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是什么？網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷[1]。2017 年舉世矚目的十九大報(bào)告中，習(xí)近平總書記曾八次提到互聯(lián)網(wǎng)，并且圍繞其做出了一系列重大戰(zhàn)略部署安排。習(xí)近平總書記在十九大報(bào)告中具體提到：“加強(qiáng)互聯(lián)網(wǎng)內(nèi)容建設(shè)，建立網(wǎng)絡(luò)綜合治理體系，營造清朗的網(wǎng)絡(luò)空間”。營造清朗的網(wǎng)絡(luò)空間，即指安全的健康的網(wǎng)絡(luò)環(huán)境。

能不能達(dá)到網(wǎng)絡(luò)的絕對安全？對于目前的網(wǎng)絡(luò)環(huán)境下，答案是否定的。一臺計(jì)算機(jī)和另外一臺計(jì)算機(jī)交流信息資源共享所使用的網(wǎng)絡(luò)，除了物理線路外，還需采取相同的網(wǎng)絡(luò)協(xié)議，規(guī)定他們之間的共同語言，達(dá)到能夠交流的目的。從19 世紀(jì)70 年代開始，網(wǎng)絡(luò)使用TCP/IP 協(xié)議，即傳輸控制/ 網(wǎng)際協(xié)議，又叫網(wǎng)絡(luò)通訊協(xié)議，這個(gè)協(xié)議是地球上任何計(jì)算機(jī)設(shè)備想要互聯(lián)的協(xié)議族。TCP/IP 協(xié)議來源于OSI 參考模型，OSI 是什么？ OSI 是Open System Interconnect，即開放式系統(tǒng)互連參考模型。從名字也可得出，這是一個(gè)開放式的協(xié)議，而開放的必然無法做到完全安全。大家熟知的手機(jī)操作系統(tǒng)，蘋果操作系統(tǒng)是較為安全的，蘋果操作系統(tǒng)的安全性是由操作系統(tǒng)的封閉性所致；而安卓系統(tǒng)沒有那么安全，這是由其開放性所導(dǎo)致。簡單說來，蘋果系統(tǒng)中的任何一個(gè)軟件都需其后臺審核后才能使用，而安卓系統(tǒng)的軟件可能悄悄地就在你的手機(jī)中植入了木馬。

而那些黑客又是如何利用網(wǎng)絡(luò)協(xié)議的開放性進(jìn)行攻擊呢？具體如我們最常見的局域網(wǎng)網(wǎng)絡(luò)監(jiān)聽，它根據(jù)局域網(wǎng)交換機(jī)收到信息后直接轉(zhuǎn)發(fā)給局域網(wǎng)中的所有主機(jī)，主機(jī)網(wǎng)卡自行匹配MAC地址，合適的保留，不合適的丟棄，如果我們把MAC 地址核對這個(gè)過程改為保留所有收到的信息，即可輕松實(shí)現(xiàn)對同一網(wǎng)段主機(jī)的監(jiān)聽。又比如應(yīng)用層協(xié)議族的HTTP 協(xié)議，就過于寬松，我們?yōu)g覽網(wǎng)站時(shí)候可能會下載木馬病毒，電腦黑客也可通過HTTP協(xié)議尋找網(wǎng)站的漏洞，上傳木馬病毒到網(wǎng)站服務(wù)器，實(shí)現(xiàn)對服務(wù)器的攻擊[2]。

TCP/IP 協(xié)議在Internet 網(wǎng)絡(luò)中殘留了許多的網(wǎng)絡(luò)漏洞，漏洞只能一個(gè)一個(gè)補(bǔ)，沒辦法一步到位。目前常見的安全手段有防火墻技術(shù)、安全掃描和入侵檢測技術(shù)、數(shù)據(jù)備份技術(shù)、病毒防護(hù)技術(shù)、VPN 技術(shù)、VLAN 技術(shù)、加密解密技術(shù)、認(rèn)證簽名技術(shù)等等。

2 某職業(yè)學(xué)院網(wǎng)絡(luò)安全現(xiàn)狀

根據(jù)對內(nèi)蒙古某職業(yè)學(xué)院的調(diào)研，該職業(yè)學(xué)院所有的教學(xué)樓、辦公樓、實(shí)驗(yàn)實(shí)訓(xùn)樓、學(xué)生宿舍都實(shí)現(xiàn)了校園網(wǎng)接入，現(xiàn)有學(xué)生機(jī)3000 余臺，教師機(jī)數(shù)百臺，校園網(wǎng)接入聯(lián)通網(wǎng)，出口帶寬2．5個(gè)G，教師機(jī)學(xué)生機(jī)到戶的下載帶寬平均100M 左右，上載帶寬超過100M，服務(wù)器則實(shí)現(xiàn)了光纖直接接入，帶寬1G 左右，校園網(wǎng)中也根據(jù)用戶和機(jī)房實(shí)現(xiàn)了VLAN 的劃分。同時(shí)，該職業(yè)學(xué)院校內(nèi)署了校園網(wǎng)站群、學(xué)生教務(wù)系統(tǒng)、校園一卡通系統(tǒng)、圖書館管理系統(tǒng)、各類考試系統(tǒng)、數(shù)字化資源系統(tǒng)等，而大量的教學(xué)數(shù)據(jù)、科研數(shù)據(jù)、考務(wù)數(shù)據(jù)也散布于校園各個(gè)角落的服務(wù)器、計(jì)算機(jī)中。

近幾年，該職業(yè)學(xué)院先后引入了先進(jìn)的網(wǎng)絡(luò)安全設(shè)備，主網(wǎng)中使用了銳捷的防火墻，網(wǎng)神的入侵檢測系統(tǒng)（集成了部分入侵防護(hù)功能），VPN 設(shè)備（暫未使用），網(wǎng)站服務(wù)器邊緣部署安全防護(hù)體系（加強(qiáng)對內(nèi)網(wǎng)的安全防護(hù)），網(wǎng)絡(luò)服務(wù)器虛擬系統(tǒng)（實(shí)現(xiàn)服務(wù)器的相互備份），學(xué)生機(jī)噢易系統(tǒng)（實(shí)現(xiàn)學(xué)生機(jī)的管理及學(xué)生機(jī)病毒防護(hù)），學(xué)生機(jī)殺毒木馬防護(hù)軟件等[3]。

總體而言，該職業(yè)學(xué)院的校園網(wǎng)絡(luò)安全現(xiàn)狀處于較高水準(zhǔn)，除了該學(xué)院對網(wǎng)絡(luò)安全重視的提升和國家對安全違法行為打擊力度加大外，網(wǎng)絡(luò)設(shè)備的提升和網(wǎng)絡(luò)設(shè)備相互配合起了很大的作用。但也存在一定的問題，如該職業(yè)學(xué)院的網(wǎng)絡(luò)安全人員較緊張，對于技術(shù)人員需緊跟時(shí)代潮流，人員的再培訓(xùn)再提升無政策上的保證；安全防護(hù)很被動(dòng)，對人員的依賴強(qiáng)，主網(wǎng)中缺乏與外界學(xué)習(xí)和溝通的模塊，對于網(wǎng)絡(luò)安全沒有統(tǒng)一的管理平臺，各安全組件之間沒有主動(dòng)協(xié)同，需要人為干預(yù)實(shí)現(xiàn)配合。

3 校園網(wǎng)絡(luò)安全防護(hù)體系的進(jìn)一步完善

上文中的職業(yè)學(xué)院各級各類在籍學(xué)生10000 余人，在校教職工200 余人。

學(xué)院人員是流動(dòng)的，特別是學(xué)院的電大學(xué)員不是一直在校，但要保證這么多人的學(xué)習(xí)、考試、生活和日常工作的順利運(yùn)行，網(wǎng)絡(luò)的穩(wěn)定高速是必須的，網(wǎng)絡(luò)的安全也是必不可少的。

結(jié)合調(diào)查分析，以及實(shí)際的使用測試，該職業(yè)學(xué)院的校園網(wǎng)絡(luò)是穩(wěn)定高速的，網(wǎng)絡(luò)安全現(xiàn)狀也處于較高水準(zhǔn)。但由于網(wǎng)絡(luò)本身的保密性，我們調(diào)查得到的信息并不細(xì)節(jié)，具體的網(wǎng)絡(luò)安全策略筆者就更不清楚了?，F(xiàn)根據(jù)筆者已有知識對該院校網(wǎng)絡(luò)安全體系的構(gòu)建和完善提出進(jìn)一步的建議（可能有些措施他們已在使用中）：該職業(yè)學(xué)院入校網(wǎng)絡(luò)為聯(lián)通一條，建議在經(jīng)濟(jì)允許的條件下，采用電信、聯(lián)通、移動(dòng)網(wǎng)絡(luò)中的任意兩條網(wǎng)絡(luò)進(jìn)行雙備份。校園內(nèi)部網(wǎng)絡(luò)以信息中心的網(wǎng)絡(luò)機(jī)房為中心點(diǎn)，采用星形結(jié)構(gòu)分散，核心路由器和校園內(nèi)主干網(wǎng)絡(luò)需都采用雙備份，并采用網(wǎng)絡(luò)協(xié)議約束避免形成環(huán)路，保證設(shè)備、線路萬一損壞的情況下自動(dòng)實(shí)現(xiàn)高速切換，校園內(nèi)的路由表生成協(xié)議可用OSPF 動(dòng)態(tài)路由協(xié)議，快速生成路由表，避免廣播風(fēng)暴[4]。

目前主流的網(wǎng)絡(luò)安全防御體系為四個(gè)功能模塊，包括有策略模塊、防護(hù)模塊、檢測模塊、響應(yīng)恢復(fù)模塊四個(gè)模塊，筆者建議在原有四個(gè)功能模塊的基礎(chǔ)上增加預(yù)警和學(xué)習(xí)反饋兩個(gè)模塊，構(gòu)建校園網(wǎng)絡(luò)的動(dòng)態(tài)安全防御體系，保障網(wǎng)絡(luò)的高效實(shí)時(shí)安全。

3.1 策略模塊

網(wǎng)絡(luò)策略模塊包括有路由器、交換機(jī)的配置協(xié)議，校園VLAN 的劃分策略，防火墻的配置策略，數(shù)據(jù)庫的備份策略，網(wǎng)絡(luò)的認(rèn)證口令等。校園網(wǎng)絡(luò)是一個(gè)整體，從最初規(guī)劃校園網(wǎng)絡(luò)時(shí)就必須考慮到網(wǎng)絡(luò)的可擴(kuò)展性，網(wǎng)絡(luò)策略也必須保證相互之間的兼容性和整體性，相關(guān)技術(shù)人員也需做好文書，為后期維護(hù)和升級提供保證。

3.2 防護(hù)模塊

網(wǎng)絡(luò)防護(hù)模塊實(shí)現(xiàn)網(wǎng)絡(luò)防御功能，360 安全衛(wèi)士、360 殺毒即是最常見的防護(hù)模塊，它通過掃描本地計(jì)算機(jī)系統(tǒng)尋找可能的木馬病毒并匹配360 中心的終端病毒庫，掃描殺毒，降低用戶上網(wǎng)風(fēng)險(xiǎn)。校園網(wǎng)絡(luò)的防火墻是外網(wǎng)進(jìn)入內(nèi)網(wǎng)的第一道關(guān)口，是很重要的內(nèi)外網(wǎng)隔離工具，其合理的應(yīng)用將大大提升安全性。防火墻訪問權(quán)限策略主要為過濾進(jìn)出兩個(gè)方向的危險(xiǎn)協(xié)議和協(xié)議的域[5]。

建議防火墻的基本配置策略為：

①允許從校園網(wǎng)內(nèi)網(wǎng)訪問外網(wǎng)，禁止外網(wǎng)訪問內(nèi)網(wǎng)；

②校園網(wǎng)內(nèi)網(wǎng)中的網(wǎng)站群，允許外網(wǎng)通過授權(quán)訪問。

具體的端口如TELENET 的23 號端口、 FTP 的20 和21 號端口、SNTP 的25 號端口、RIP 的520 端口、DNS 的53 號端口和UUCP 的119 號端口等危險(xiǎn)端口建議阻塞掉，不允許外網(wǎng)訪問。具體的配置細(xì)節(jié)還有很多，不一一描述了。

3.3 檢測模塊

目前檢測模塊主要的應(yīng)用為入侵檢測系統(tǒng)。入侵檢測系，統(tǒng)是繼防火墻之后的第二道安全閥門。遠(yuǎn)程口令暴力破解行為、非授權(quán)的漏洞掃描行為、木馬蠕蟲攻擊行為等在一定程度上可被識別。入侵檢測系統(tǒng)需部署在防火墻和第一道核心路由器之間，現(xiàn)在的入侵檢測系統(tǒng)一般也集成了部分的入侵防御功能。入侵檢測系統(tǒng)通過掃描網(wǎng)絡(luò)中的數(shù)據(jù)流、主機(jī)日志等關(guān)鍵點(diǎn)的關(guān)鍵信息，分析有無異常行為和遭受攻擊的跡象，主動(dòng)預(yù)警報(bào)警，由技術(shù)人員采取對立措施或者由入侵防御系統(tǒng)主動(dòng)應(yīng)對。

目前，市面上有各類入侵檢測系統(tǒng)，其使用是非常人性化的，一般也是可視化的界面，我們可以設(shè)置為定期自動(dòng)掃描（如半夜）和不定時(shí)的人工掃描。

3.4 預(yù)警模塊

預(yù)警模塊是筆者構(gòu)思的模塊，預(yù)警模塊基于全世界網(wǎng)絡(luò)。安全的共同協(xié)作，收集分類各地的網(wǎng)絡(luò)攻擊，收集本地的網(wǎng)絡(luò)設(shè)備安全日志和故障日志，實(shí)時(shí)研究分析，并根據(jù)風(fēng)險(xiǎn)級別，實(shí)時(shí)預(yù)警可能的風(fēng)險(xiǎn)，并推送到對應(yīng)業(yè)務(wù)區(qū)域，驅(qū)動(dòng)相應(yīng)應(yīng)對組件啟動(dòng)工作。

3.5 響應(yīng)恢復(fù)模塊

網(wǎng)絡(luò)響應(yīng)恢復(fù)模塊是網(wǎng)絡(luò)、設(shè)備已經(jīng)遭受攻擊后，需即時(shí)恢復(fù)為攻擊前的狀況。最常見的是服務(wù)器、主機(jī)的ghost 功能和數(shù)據(jù)庫的備份功能。ghost 和備份功能可根據(jù)實(shí)時(shí)需要設(shè)置為定期自動(dòng)備份，或工作人員的人工備份，其中需特別注意的是重要數(shù)據(jù)的異地備份，防止硬件的不可恢復(fù)性的損壞。同時(shí)，響應(yīng)恢復(fù)模塊可配合預(yù)警模塊及早及時(shí)備份數(shù)據(jù)。

3.6 學(xué)習(xí)反饋模塊

學(xué)習(xí)反饋模塊也是筆者的一個(gè)構(gòu)思，鑒于目前網(wǎng)絡(luò)安全事故樣本數(shù)據(jù)依然較為局限，建議可在校園網(wǎng)絡(luò)的主干網(wǎng)絡(luò)上建立一個(gè)組件，專用于連接類似國家網(wǎng)絡(luò)安全中心的安全中心，當(dāng)然也可由網(wǎng)絡(luò)公司來搭建這個(gè)網(wǎng)絡(luò)安全中心，通過該組件實(shí)時(shí)上傳網(wǎng)絡(luò)樣本數(shù)據(jù)。網(wǎng)絡(luò)安全中心對樣本數(shù)據(jù)分類保存，進(jìn)行研究分析，并實(shí)時(shí)下發(fā)有意義的危險(xiǎn)網(wǎng)絡(luò)行為，下發(fā)網(wǎng)絡(luò)安全處理手段和防護(hù)方法。目前，360 安全中心的病毒庫也是類似這個(gè)功能，但筆者希望進(jìn)一步擴(kuò)充安全中心的作用范圍。

上文中，針對內(nèi)蒙古某職業(yè)學(xué)院校園網(wǎng)絡(luò)的安全防御體系的搭建和進(jìn)一步完善開展了論述。首先，對網(wǎng)絡(luò)的主干搭建提出了較為具體的建議；其實(shí)，為進(jìn)一步提升校園網(wǎng)絡(luò)安全防御功能的實(shí)時(shí)性，建議在主流四個(gè)模塊的基礎(chǔ)上增加兩個(gè)模塊，并對改進(jìn)的六個(gè)模塊的具體實(shí)施進(jìn)行了詳細(xì)論述。

4 論文小結(jié)和未來思考方向

本論文簡單論述了什么是網(wǎng)絡(luò)安全，現(xiàn)行條件下網(wǎng)絡(luò)無法達(dá)到絕對安全，研究了內(nèi)蒙古某職業(yè)學(xué)院的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全現(xiàn)狀，在此基礎(chǔ)上提出了對該校園網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建和進(jìn)一步完善的措施，同時(shí)提出了對主流網(wǎng)絡(luò)安全防御體系的改進(jìn)措施，建議在原有策略模塊、防護(hù)模塊、檢測模塊、響應(yīng)恢復(fù)模塊四個(gè)模塊的基礎(chǔ)上增加預(yù)警和學(xué)習(xí)反饋兩個(gè)模塊，構(gòu)建校園網(wǎng)絡(luò)的動(dòng)態(tài)安全防御體系，保障網(wǎng)絡(luò)的高效實(shí)時(shí)安全。

不過再優(yōu)秀的防御平臺，也還是防御，有沒有可能在保留目前網(wǎng)絡(luò)性能的基礎(chǔ)上從根本上保證網(wǎng)絡(luò)安全的絕對性，這就需要我們大家的深入思考了。