◆宋天華 李萍萍

中學(xué)校園網(wǎng)絡(luò)安全防御現(xiàn)狀及改進研究

◆宋天華 李萍萍

（山東省臨沂市臨港實驗中學(xué) 山東 276624）

中學(xué)校園網(wǎng)絡(luò)作為教育信息化的重要組成部分，承載著學(xué)校的許多應(yīng)用軟件，比如教務(wù)管理系統(tǒng)、網(wǎng)絡(luò)教學(xué)系統(tǒng)、圖書館系統(tǒng)、成績管理系統(tǒng)等，接入的用戶包括學(xué)生和教師，利用中學(xué)校園網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)傳輸和共享，提高了學(xué)校教學(xué)、辦公的效率。中學(xué)校園網(wǎng)絡(luò)在為人們提供便捷服務(wù)的同時也面臨著安全威脅，由于許多學(xué)生和教師都沒有接受計算機網(wǎng)絡(luò)應(yīng)用操作教育，因此使用網(wǎng)絡(luò)時容易受到病毒和木馬攻擊，導(dǎo)致中學(xué)校園網(wǎng)絡(luò)受到影響，阻礙用戶訪問服務(wù)器，導(dǎo)致學(xué)校無法開展教學(xué)活動。本文結(jié)合筆者多年的工作實踐，詳細地描述了中學(xué)校園網(wǎng)絡(luò)建設(shè)及采取的安全措施，分析當前網(wǎng)絡(luò)安全防御存在的問題及不足，引入深度包過濾、模式識別、自治網(wǎng)絡(luò)等技術(shù)，進一步提高中學(xué)校園網(wǎng)絡(luò)安全防御能力。

中學(xué)校園網(wǎng)絡(luò)；安全防御；深度包過濾；模式識別；自治網(wǎng)絡(luò)

0 引言

云計算、大數(shù)據(jù)、互聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，有效提升了社會信息化、智能化和共享化水平，在智能旅游、電子商務(wù)、電子政務(wù)、交通運輸、物流倉儲等許多領(lǐng)域得到了廣泛應(yīng)用，尤其是教育信息化領(lǐng)域，誕生了許多的中學(xué)校園、在線教學(xué)、圖書科研、教務(wù)成績等自動化軟件，能夠提高學(xué)校教務(wù)管理自動化水平[1]。

中學(xué)校園網(wǎng)絡(luò)由交換機、路由器、服務(wù)器、臺式機、筆記本或移動設(shè)備等共同構(gòu)成，承載著學(xué)校的教師、學(xué)生、課程、班級、財務(wù)等多類型數(shù)據(jù)信息，這些信息都比較重要，需要構(gòu)建一個嚴格的網(wǎng)絡(luò)安全防御系統(tǒng)，確保數(shù)據(jù)不會受到病毒或木馬的侵害，避免給中學(xué)校園帶來嚴重的經(jīng)濟財產(chǎn)損失。

1 中學(xué)校園網(wǎng)絡(luò)建設(shè)及安全防御現(xiàn)狀

中學(xué)校園網(wǎng)絡(luò)當前引入了光纖技術(shù)、WiFi技術(shù)、移動4G技術(shù)等，結(jié)合先進的交換機、路由器等網(wǎng)絡(luò)設(shè)備，組建了一個功能強大的校園網(wǎng)絡(luò)，能夠?qū)崿F(xiàn)中學(xué)課程、教師、學(xué)生、班級等數(shù)據(jù)的共享與傳輸，比如中學(xué)校園網(wǎng)絡(luò)最大的應(yīng)用就是多媒體課堂、數(shù)字圖書館[2]。

（1）多媒體課堂。多媒體課堂是許多中學(xué)開展信息技術(shù)、素質(zhì)教育、精品課程教育的專業(yè)渠道，其可以為學(xué)生提供直播和點播服務(wù)，比如中學(xué)某優(yōu)秀教師開展點睛課程，此時就可以通過多媒體課堂直播軟件為全校學(xué)生和老師講解，讓更多的學(xué)生通過智能手機、平板電腦和投影儀觀看。

（2）數(shù)字圖書館。許多中學(xué)為了擴展學(xué)生的知識面，建設(shè)了很多的圖書館，但是由于財力物力有限，無法購買較多的圖書，因此利用互聯(lián)網(wǎng)建設(shè)了數(shù)字圖書館，可以通過互聯(lián)網(wǎng)接入到慕課等在線學(xué)習(xí)平臺，為學(xué)生提供豐富的學(xué)習(xí)資源，覆蓋語文、數(shù)學(xué)、英語、政治、生物、化學(xué)、物理等各科名師教學(xué)PPT，提供各類型高考真題講解，擴展和豐富學(xué)生知識面和高考經(jīng)驗。

中學(xué)校園網(wǎng)絡(luò)在使用中也面臨著海量的安全威脅，比如木馬或病毒等；由于許多學(xué)生和教師沒有接受過專業(yè)訓(xùn)練，所以許多人的網(wǎng)絡(luò)操作都不規(guī)范，非常容易導(dǎo)致中學(xué)校園網(wǎng)絡(luò)感染病毒陷入癱瘓[3]。中學(xué)校園網(wǎng)絡(luò)安全防御也采用了防火墻、殺毒軟件和訪問控制列表等技術(shù)，一定程度起到了網(wǎng)絡(luò)安全防御作用。防火墻作為中學(xué)校園內(nèi)外部網(wǎng)絡(luò)之間部署的一個過濾器，可以設(shè)置一些網(wǎng)絡(luò)過濾規(guī)則，允許或阻止網(wǎng)絡(luò)中的數(shù)據(jù)通過防火墻，防火墻部署于中學(xué)校園網(wǎng)絡(luò)層，能夠過濾和分析IP數(shù)據(jù)協(xié)議，利用枚舉的規(guī)則分析所有的數(shù)據(jù)包，查看這些IP地址及傳輸數(shù)據(jù)內(nèi)容是否存在問題，如果存在問題則禁止其通過防火墻[4]。殺毒軟件也是一個程序代碼，其數(shù)據(jù)庫保存了很多的木馬或病毒的片段基因，這些片段基因可以與中學(xué)校園網(wǎng)絡(luò)中的病毒或木馬進行匹配對比，然后分析中學(xué)校園網(wǎng)絡(luò)中是否存在病毒或木馬，如果存在則及時的將其清除[5]。殺毒軟件采用了很多的先進技術(shù)識別和分析網(wǎng)絡(luò)中是否存在攻擊威脅，這些技術(shù)包括脫殼技術(shù)、修復(fù)技術(shù)、自我保護技術(shù)等。中學(xué)校園網(wǎng)絡(luò)目前采用的殺毒軟件包括卡巴斯基、瑞星殺毒、360安全衛(wèi)士等，殺毒軟件可以與防火墻集成在一起使用，查殺病毒或木馬。訪問控制列表是一種非常重要的中學(xué)校園網(wǎng)絡(luò)安全保護工具，這個工具可以設(shè)置一個白名單和黑名單，白名單中收錄的IP地址可以通過訪問控制列表的限制訪問服務(wù)器資源；黑名單中收錄的IP地址無法訪問服務(wù)器資源。訪問控制列表的部署級別包括四個層次，分別是目錄級控制、入網(wǎng)訪問控制、屬性控制和權(quán)限控制，訪問控制列表應(yīng)用時也存在一些問題，比如人工配置工作效率慢，無法實時提升訪問控制列表性能。

2 中學(xué)校園網(wǎng)絡(luò)安全防御技術(shù)改進

中學(xué)校園網(wǎng)絡(luò)僅僅使用防火墻、訪問控制列表或殺毒軟件無法充分發(fā)揮效果，因此亟需改進網(wǎng)絡(luò)安全防御技術(shù)，利用先進的深度包過濾、模式識別和自治網(wǎng)絡(luò)等，這些都是利用主動防御思想，構(gòu)建主動防御模式，可提高中學(xué)校園網(wǎng)絡(luò)的安全防御能力。中學(xué)校園網(wǎng)絡(luò)安全防御措施包括以下幾個方面：

（1） 深度包過濾

傳統(tǒng)的包過濾技術(shù)類似于防火墻，簡單的分析數(shù)據(jù)包的頭部IP地址，以便能夠發(fā)現(xiàn)這些數(shù)據(jù)包是否滿足通過規(guī)則，因此應(yīng)用非常簡單。深度包過濾集成了軟硬件資源，利用先進的數(shù)據(jù)包分析工具，穿透每一個網(wǎng)絡(luò)數(shù)據(jù)包的包頭、包內(nèi)容等，能夠為中學(xué)校園網(wǎng)絡(luò)提供一個開放的、深層次的網(wǎng)絡(luò)安全防御工具。深度包過濾最大的特點就是查看和分析數(shù)據(jù)包中每一個協(xié)議字段的內(nèi)容，這樣就可以更加準確地檢測中學(xué)校園網(wǎng)絡(luò)中的威脅。深度包過濾引入了固件技術(shù)，該固件可以將軟件功能集成在硬件上，這樣就可以大幅度提升網(wǎng)絡(luò)數(shù)據(jù)包過濾的處理速度，適應(yīng)當前中學(xué)校園網(wǎng)絡(luò)流量大、數(shù)據(jù)包多的特點。

（2） 模式識別技術(shù)

模式識別是當前人工智能時代最為先進的一種計算機技術(shù)，其可以從海量的數(shù)據(jù)中發(fā)現(xiàn)期望的知識，對這些數(shù)據(jù)進行分類，進一步提高數(shù)據(jù)的應(yīng)用性能。中學(xué)校園網(wǎng)絡(luò)是一個大型的互聯(lián)網(wǎng)數(shù)據(jù)中心，中心的數(shù)據(jù)流量非常大，關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備也非常多，包括DDOS監(jiān)控、網(wǎng)站防篡改監(jiān)控、漏洞監(jiān)控、態(tài)勢感知、攻擊溯源，比如DDOS監(jiān)控器可以分析中學(xué)校園網(wǎng)絡(luò)的流量狀態(tài)，發(fā)現(xiàn)中學(xué)校園網(wǎng)絡(luò)的流量是否存在異常，如果存在異常就可以及時地啟動模式識別技術(shù)，利用模式識別技術(shù)發(fā)現(xiàn)非正常流量中潛藏的安全威脅。中學(xué)校園網(wǎng)絡(luò)承載的軟硬件資源非常多，這些軟硬件資源集成在一起產(chǎn)生了海量的數(shù)據(jù)，但是也存在一些漏洞，因此中學(xué)校園網(wǎng)絡(luò)安全管理需要加強漏洞監(jiān)控，進一步感知中學(xué)校園網(wǎng)絡(luò)數(shù)據(jù)流量的態(tài)勢，追蹤攻擊源頭，進一步提高數(shù)據(jù)防御能力。

（3） 自治網(wǎng)絡(luò)

自治網(wǎng)絡(luò)采用先進的主動網(wǎng)絡(luò)安全防御思想，構(gòu)建了一個功能完善的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，積極地適應(yīng)當前中學(xué)校園網(wǎng)絡(luò)的應(yīng)用形式，調(diào)動網(wǎng)絡(luò)安全防御資源，隔離中學(xué)校園網(wǎng)絡(luò)中的木馬或病毒，建立一個先進的自我防御和免疫機制。自治網(wǎng)絡(luò)還可以與深度包過濾、數(shù)據(jù)挖掘技術(shù)等積極地結(jié)合在一起，形成一個多層次的防御規(guī)則，進一步提高中學(xué)校園網(wǎng)絡(luò)通信性能保障能力，加強網(wǎng)絡(luò)病毒的可信計算服務(wù)能力，避免惡意代碼攻擊中學(xué)校園網(wǎng)絡(luò)，提高中學(xué)校園網(wǎng)絡(luò)的自我免疫能力。

3 結(jié)束語

中學(xué)校園網(wǎng)絡(luò)安全防御作為教育信息化的重要建設(shè)內(nèi)容，也是一個復(fù)雜的、系統(tǒng)的工程，其需要隨著網(wǎng)絡(luò)規(guī)模、用戶等的變化動態(tài)改進，以便更加有效地保護中學(xué)校園信息化應(yīng)用軟件，保護中學(xué)教師、學(xué)生的重要信息，避免學(xué)校網(wǎng)絡(luò)感染病毒或木馬，從而保證中學(xué)信息化教學(xué)的正常開展。

[1]叢榮華.吉林省中小學(xué)網(wǎng)絡(luò)資源應(yīng)用現(xiàn)狀調(diào)查與問題分析[J]. 長春師范大學(xué)學(xué)報, 2012.

[2]李奇志.校園網(wǎng)絡(luò)安全運行方面存在的問題及其有效管理對策分析[J]. 電腦迷, 2016.

[3]李嘉熙.校園信息安全網(wǎng)絡(luò)防范問題及對策淺析[J]. 信息系統(tǒng)工程, 2017.

[4]朱晨旭.信息化背景下的校園網(wǎng)絡(luò)安全問題與對策[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2016.

[5]李賡曦,姚健, 牛晨. 基于等級保護制度的校園網(wǎng)絡(luò)安全建設(shè)實踐[J]. 信息安全與技術(shù), 2016.