中學校園網絡安全防御現狀及改進研究

◆宋天華 李萍萍

中學校園網絡安全防御現狀及改進研究

◆宋天華 李萍萍

（山東省臨沂市臨港實驗中學 山東 276624）

中學校園網絡作為教育信息化的重要組成部分，承載著學校的許多應用軟件，比如教務管理系統、網絡教學系統、圖書館系統、成績管理系統等，接入的用戶包括學生和教師，利用中學校園網絡實現數據傳輸和共享，提高了學校教學、辦公的效率。中學校園網絡在為人們提供便捷服務的同時也面臨著安全威脅，由于許多學生和教師都沒有接受計算機網絡應用操作教育，因此使用網絡時容易受到病毒和木馬攻擊，導致中學校園網絡受到影響，阻礙用戶訪問服務器，導致學校無法開展教學活動。本文結合筆者多年的工作實踐，詳細地描述了中學校園網絡建設及采取的安全措施，分析當前網絡安全防御存在的問題及不足，引入深度包過濾、模式識別、自治網絡等技術，進一步提高中學校園網絡安全防御能力。

中學校園網絡；安全防御；深度包過濾；模式識別；自治網絡

0 引言

云計算、大數據、互聯網等技術的快速發展，有效提升了社會信息化、智能化和共享化水平，在智能旅游、電子商務、電子政務、交通運輸、物流倉儲等許多領域得到了廣泛應用，尤其是教育信息化領域，誕生了許多的中學校園、在線教學、圖書科研、教務成績等自動化軟件，能夠提高學校教務管理自動化水平[1]。

中學校園網絡由交換機、路由器、服務器、臺式機、筆記本或移動設備等共同構成，承載著學校的教師、學生、課程、班級、財務等多類型數據信息，這些信息都比較重要，需要構建一個嚴格的網絡安全防御系統，確保數據不會受到病毒或木馬的侵害，避免給中學校園帶來嚴重的經濟財產損失。

1 中學校園網絡建設及安全防御現狀

中學校園網絡當前引入了光纖技術、WiFi技術、移動4G技術等，結合先進的交換機、路由器等網絡設備，組建了一個功能強大的校園網絡，能夠實現中學課程、教師、學生、班級等數據的共享與傳輸，比如中學校園網絡最大的應用就是多媒體課堂、數字圖書館[2]。

（1）多媒體課堂。多媒體課堂是許多中學開展信息技術、素質教育、精品課程教育的專業渠道，其可以為學生提供直播和點播服務，比如中學某優秀教師開展點睛課程，此時就可以通過多媒體課堂直播軟件為全校學生和老師講解，讓更多的學生通過智能手機、平板電腦和投影儀觀看。

（2）數字圖書館。許多中學為了擴展學生的知識面，建設了很多的圖書館，但是由于財力物力有限，無法購買較多的圖書，因此利用互聯網建設了數字圖書館，可以通過互聯網接入到慕課等在線學習平臺，為學生提供豐富的學習資源，覆蓋語文、數學、英語、政治、生物、化學、物理等各科名師教學PPT，提供各類型高考真題講解，擴展和豐富學生知識面和高考經驗。

中學校園網絡在使用中也面臨著海量的安全威脅，比如木馬或病毒等；由于許多學生和教師沒有接受過專業訓練，所以許多人的網絡操作都不規范，非常容易導致中學校園網絡感染病毒陷入癱瘓[3]。中學校園網絡安全防御也采用了防火墻、殺毒軟件和訪問控制列表等技術，一定程度起到了網絡安全防御作用。防火墻作為中學校園內外部網絡之間部署的一個過濾器，可以設置一些網絡過濾規則，允許或阻止網絡中的數據通過防火墻，防火墻部署于中學校園網絡層，能夠過濾和分析IP數據協議，利用枚舉的規則分析所有的數據包，查看這些IP地址及傳輸數據內容是否存在問題，如果存在問題則禁止其通過防火墻[4]。殺毒軟件也是一個程序代碼，其數據庫保存了很多的木馬或病毒的片段基因，這些片段基因可以與中學校園網絡中的病毒或木馬進行匹配對比，然后分析中學校園網絡中是否存在病毒或木馬，如果存在則及時的將其清除[5]。殺毒軟件采用了很多的先進技術識別和分析網絡中是否存在攻擊威脅，這些技術包括脫殼技術、修復技術、自我保護技術等。中學校園網絡目前采用的殺毒軟件包括卡巴斯基、瑞星殺毒、360安全衛士等，殺毒軟件可以與防火墻集成在一起使用，查殺病毒或木馬。訪問控制列表是一種非常重要的中學校園網絡安全保護工具，這個工具可以設置一個白名單和黑名單，白名單中收錄的IP地址可以通過訪問控制列表的限制訪問服務器資源；黑名單中收錄的IP地址無法訪問服務器資源。訪問控制列表的部署級別包括四個層次，分別是目錄級控制、入網訪問控制、屬性控制和權限控制，訪問控制列表應用時也存在一些問題，比如人工配置工作效率慢，無法實時提升訪問控制列表性能。

2 中學校園網絡安全防御技術改進

中學校園網絡僅僅使用防火墻、訪問控制列表或殺毒軟件無法充分發揮效果，因此亟需改進網絡安全防御技術，利用先進的深度包過濾、模式識別和自治網絡等，這些都是利用主動防御思想，構建主動防御模式，可提高中學校園網絡的安全防御能力。中學校園網絡安全防御措施包括以下幾個方面：

（1） 深度包過濾

傳統的包過濾技術類似于防火墻，簡單的分析數據包的頭部IP地址，以便能夠發現這些數據包是否滿足通過規則，因此應用非常簡單。深度包過濾集成了軟硬件資源，利用先進的數據包分析工具，穿透每一個網絡數據包的包頭、包內容等，能夠為中學校園網絡提供一個開放的、深層次的網絡安全防御工具。深度包過濾最大的特點就是查看和分析數據包中每一個協議字段的內容，這樣就可以更加準確地檢測中學校園網絡中的威脅。深度包過濾引入了固件技術，該固件可以將軟件功能集成在硬件上，這樣就可以大幅度提升網絡數據包過濾的處理速度，適應當前中學校園網絡流量大、數據包多的特點。

（2） 模式識別技術

模式識別是當前人工智能時代最為先進的一種計算機技術，其可以從海量的數據中發現期望的知識，對這些數據進行分類，進一步提高數據的應用性能。中學校園網絡是一個大型的互聯網數據中心，中心的數據流量非常大，關聯的網絡設備也非常多，包括DDOS監控、網站防篡改監控、漏洞監控、態勢感知、攻擊溯源，比如DDOS監控器可以分析中學校園網絡的流量狀態，發現中學校園網絡的流量是否存在異常，如果存在異常就可以及時地啟動模式識別技術，利用模式識別技術發現非正常流量中潛藏的安全威脅。中學校園網絡承載的軟硬件資源非常多，這些軟硬件資源集成在一起產生了海量的數據，但是也存在一些漏洞，因此中學校園網絡安全管理需要加強漏洞監控，進一步感知中學校園網絡數據流量的態勢，追蹤攻擊源頭，進一步提高數據防御能力。

（3） 自治網絡

自治網絡采用先進的主動網絡安全防御思想，構建了一個功能完善的網絡拓撲結構，積極地適應當前中學校園網絡的應用形式，調動網絡安全防御資源，隔離中學校園網絡中的木馬或病毒，建立一個先進的自我防御和免疫機制。自治網絡還可以與深度包過濾、數據挖掘技術等積極地結合在一起，形成一個多層次的防御規則，進一步提高中學校園網絡通信性能保障能力，加強網絡病毒的可信計算服務能力，避免惡意代碼攻擊中學校園網絡，提高中學校園網絡的自我免疫能力。

3 結束語

中學校園網絡安全防御作為教育信息化的重要建設內容，也是一個復雜的、系統的工程，其需要隨著網絡規模、用戶等的變化動態改進，以便更加有效地保護中學校園信息化應用軟件，保護中學教師、學生的重要信息，避免學校網絡感染病毒或木馬，從而保證中學信息化教學的正常開展。

[1]叢榮華.吉林省中小學網絡資源應用現狀調查與問題分析[J]. 長春師范大學學報, 2012.

[2]李奇志.校園網絡安全運行方面存在的問題及其有效管理對策分析[J]. 電腦迷, 2016.

[3]李嘉熙.校園信息安全網絡防范問題及對策淺析[J]. 信息系統工程, 2017.

[4]朱晨旭.信息化背景下的校園網絡安全問題與對策[J]. 網絡安全技術與應用, 2016.

[5]李賡曦,姚健, 牛晨. 基于等級保護制度的校園網絡安全建設實踐[J]. 信息安全與技術, 2016.