李艳丽 王真

鄂尔多斯职业学院 内蒙古鄂尔多斯 017000

1 网络安全概述

网络安全是什么？网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断[1]。2017 年举世瞩目的十九大报告中，习近平总书记曾八次提到互联网，并且围绕其做出了一系列重大战略部署安排。习近平总书记在十九大报告中具体提到：“加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间”。营造清朗的网络空间，即指安全的健康的网络环境。

能不能达到网络的绝对安全？对于目前的网络环境下，答案是否定的。一台计算机和另外一台计算机交流信息资源共享所使用的网络，除了物理线路外，还需采取相同的网络协议，规定他们之间的共同语言，达到能够交流的目的。从19 世纪70 年代开始，网络使用TCP/IP 协议，即传输控制/ 网际协议，又叫网络通讯协议，这个协议是地球上任何计算机设备想要互联的协议族。TCP/IP 协议来源于OSI 参考模型，OSI 是什么？ OSI 是Open System Interconnect，即开放式系统互连参考模型。从名字也可得出，这是一个开放式的协议，而开放的必然无法做到完全安全。大家熟知的手机操作系统，苹果操作系统是较为安全的，苹果操作系统的安全性是由操作系统的封闭性所致；而安卓系统没有那么安全，这是由其开放性所导致。简单说来，苹果系统中的任何一个软件都需其后台审核后才能使用，而安卓系统的软件可能悄悄地就在你的手机中植入了木马。

而那些黑客又是如何利用网络协议的开放性进行攻击呢？具体如我们最常见的局域网网络监听，它根据局域网交换机收到信息后直接转发给局域网中的所有主机，主机网卡自行匹配MAC地址，合适的保留，不合适的丢弃，如果我们把MAC 地址核对这个过程改为保留所有收到的信息，即可轻松实现对同一网段主机的监听。又比如应用层协议族的HTTP 协议，就过于宽松，我们浏览网站时候可能会下载木马病毒，电脑黑客也可通过HTTP协议寻找网站的漏洞，上传木马病毒到网站服务器，实现对服务器的攻击[2]。

TCP/IP 协议在Internet 网络中残留了许多的网络漏洞，漏洞只能一个一个补，没办法一步到位。目前常见的安全手段有防火墙技术、安全扫描和入侵检测技术、数据备份技术、病毒防护技术、VPN 技术、VLAN 技术、加密解密技术、认证签名技术等等。

2 某职业学院网络安全现状

根据对内蒙古某职业学院的调研，该职业学院所有的教学楼、办公楼、实验实训楼、学生宿舍都实现了校园网接入，现有学生机3000 余台，教师机数百台，校园网接入联通网，出口带宽2．5个G，教师机学生机到户的下载带宽平均100M 左右，上载带宽超过100M，服务器则实现了光纤直接接入，带宽1G 左右，校园网中也根据用户和机房实现了VLAN 的划分。同时，该职业学院校内署了校园网站群、学生教务系统、校园一卡通系统、图书馆管理系统、各类考试系统、数字化资源系统等，而大量的教学数据、科研数据、考务数据也散布于校园各个角落的服务器、计算机中。

近几年，该职业学院先后引入了先进的网络安全设备，主网中使用了锐捷的防火墙，网神的入侵检测系统（集成了部分入侵防护功能），VPN 设备（暂未使用），网站服务器边缘部署安全防护体系（加强对内网的安全防护），网络服务器虚拟系统（实现服务器的相互备份），学生机噢易系统（实现学生机的管理及学生机病毒防护），学生机杀毒木马防护软件等[3]。

总体而言，该职业学院的校园网络安全现状处于较高水准，除了该学院对网络安全重视的提升和国家对安全违法行为打击力度加大外，网络设备的提升和网络设备相互配合起了很大的作用。但也存在一定的问题，如该职业学院的网络安全人员较紧张，对于技术人员需紧跟时代潮流，人员的再培训再提升无政策上的保证；安全防护很被动，对人员的依赖强，主网中缺乏与外界学习和沟通的模块，对于网络安全没有统一的管理平台，各安全组件之间没有主动协同，需要人为干预实现配合。

3 校园网络安全防护体系的进一步完善

上文中的职业学院各级各类在籍学生10000 余人，在校教职工200 余人。

学院人员是流动的，特别是学院的电大学员不是一直在校，但要保证这么多人的学习、考试、生活和日常工作的顺利运行，网络的稳定高速是必须的，网络的安全也是必不可少的。

结合调查分析，以及实际的使用测试，该职业学院的校园网络是稳定高速的，网络安全现状也处于较高水准。但由于网络本身的保密性，我们调查得到的信息并不细节，具体的网络安全策略笔者就更不清楚了。现根据笔者已有知识对该院校网络安全体系的构建和完善提出进一步的建议（可能有些措施他们已在使用中）：该职业学院入校网络为联通一条，建议在经济允许的条件下，采用电信、联通、移动网络中的任意两条网络进行双备份。校园内部网络以信息中心的网络机房为中心点，采用星形结构分散，核心路由器和校园内主干网络需都采用双备份，并采用网络协议约束避免形成环路，保证设备、线路万一损坏的情况下自动实现高速切换，校园内的路由表生成协议可用OSPF 动态路由协议，快速生成路由表，避免广播风暴[4]。

目前主流的网络安全防御体系为四个功能模块，包括有策略模块、防护模块、检测模块、响应恢复模块四个模块，笔者建议在原有四个功能模块的基础上增加预警和学习反馈两个模块，构建校园网络的动态安全防御体系，保障网络的高效实时安全。

3.1 策略模块

网络策略模块包括有路由器、交换机的配置协议，校园VLAN 的划分策略，防火墙的配置策略，数据库的备份策略，网络的认证口令等。校园网络是一个整体，从最初规划校园网络时就必须考虑到网络的可扩展性，网络策略也必须保证相互之间的兼容性和整体性，相关技术人员也需做好文书，为后期维护和升级提供保证。

3.2 防护模块

网络防护模块实现网络防御功能，360 安全卫士、360 杀毒即是最常见的防护模块，它通过扫描本地计算机系统寻找可能的木马病毒并匹配360 中心的终端病毒库，扫描杀毒，降低用户上网风险。校园网络的防火墙是外网进入内网的第一道关口，是很重要的内外网隔离工具，其合理的应用将大大提升安全性。防火墙访问权限策略主要为过滤进出两个方向的危险协议和协议的域[5]。

建议防火墙的基本配置策略为：

①允许从校园网内网访问外网，禁止外网访问内网；

②校园网内网中的网站群，允许外网通过授权访问。

具体的端口如TELENET 的23 号端口、 FTP 的20 和21 号端口、SNTP 的25 号端口、RIP 的520 端口、DNS 的53 号端口和UUCP 的119 号端口等危险端口建议阻塞掉，不允许外网访问。具体的配置细节还有很多，不一一描述了。

3.3 检测模块

目前检测模块主要的应用为入侵检测系统。入侵检测系，统是继防火墙之后的第二道安全阀门。远程口令暴力破解行为、非授权的漏洞扫描行为、木马蠕虫攻击行为等在一定程度上可被识别。入侵检测系统需部署在防火墙和第一道核心路由器之间，现在的入侵检测系统一般也集成了部分的入侵防御功能。入侵检测系统通过扫描网络中的数据流、主机日志等关键点的关键信息，分析有无异常行为和遭受攻击的迹象，主动预警报警，由技术人员采取对立措施或者由入侵防御系统主动应对。

目前，市面上有各类入侵检测系统，其使用是非常人性化的，一般也是可视化的界面，我们可以设置为定期自动扫描（如半夜）和不定时的人工扫描。

3.4 预警模块

预警模块是笔者构思的模块，预警模块基于全世界网络。安全的共同协作，收集分类各地的网络攻击，收集本地的网络设备安全日志和故障日志，实时研究分析，并根据风险级别，实时预警可能的风险，并推送到对应业务区域，驱动相应应对组件启动工作。

3.5 响应恢复模块

网络响应恢复模块是网络、设备已经遭受攻击后，需即时恢复为攻击前的状况。最常见的是服务器、主机的ghost 功能和数据库的备份功能。ghost 和备份功能可根据实时需要设置为定期自动备份，或工作人员的人工备份，其中需特别注意的是重要数据的异地备份，防止硬件的不可恢复性的损坏。同时，响应恢复模块可配合预警模块及早及时备份数据。

3.6 学习反馈模块

学习反馈模块也是笔者的一个构思，鉴于目前网络安全事故样本数据依然较为局限，建议可在校园网络的主干网络上建立一个组件，专用于连接类似国家网络安全中心的安全中心，当然也可由网络公司来搭建这个网络安全中心，通过该组件实时上传网络样本数据。网络安全中心对样本数据分类保存，进行研究分析，并实时下发有意义的危险网络行为，下发网络安全处理手段和防护方法。目前，360 安全中心的病毒库也是类似这个功能，但笔者希望进一步扩充安全中心的作用范围。

上文中，针对内蒙古某职业学院校园网络的安全防御体系的搭建和进一步完善开展了论述。首先，对网络的主干搭建提出了较为具体的建议；其实，为进一步提升校园网络安全防御功能的实时性，建议在主流四个模块的基础上增加两个模块，并对改进的六个模块的具体实施进行了详细论述。

4 论文小结和未来思考方向

本论文简单论述了什么是网络安全，现行条件下网络无法达到绝对安全，研究了内蒙古某职业学院的网络和网络安全现状，在此基础上提出了对该校园网络安全防护体系的构建和进一步完善的措施，同时提出了对主流网络安全防御体系的改进措施，建议在原有策略模块、防护模块、检测模块、响应恢复模块四个模块的基础上增加预警和学习反馈两个模块，构建校园网络的动态安全防御体系，保障网络的高效实时安全。

不过再优秀的防御平台，也还是防御，有没有可能在保留目前网络性能的基础上从根本上保证网络安全的绝对性，这就需要我们大家的深入思考了。