中學(xué)校園網(wǎng)絡(luò)安全防御現(xiàn)狀及改進(jìn)研究

◆宋天華 李萍萍

中學(xué)校園網(wǎng)絡(luò)安全防御現(xiàn)狀及改進(jìn)研究

◆宋天華 李萍萍

（山東省臨沂市臨港實(shí)驗(yàn)中學(xué) 山東 276624）

中學(xué)校園網(wǎng)絡(luò)作為教育信息化的重要組成部分，承載著學(xué)校的許多應(yīng)用軟件，比如教務(wù)管理系統(tǒng)、網(wǎng)絡(luò)教學(xué)系統(tǒng)、圖書館系統(tǒng)、成績(jī)管理系統(tǒng)等，接入的用戶包括學(xué)生和教師，利用中學(xué)校園網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)傳輸和共享，提高了學(xué)校教學(xué)、辦公的效率。中學(xué)校園網(wǎng)絡(luò)在為人們提供便捷服務(wù)的同時(shí)也面臨著安全威脅，由于許多學(xué)生和教師都沒(méi)有接受計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用操作教育，因此使用網(wǎng)絡(luò)時(shí)容易受到病毒和木馬攻擊，導(dǎo)致中學(xué)校園網(wǎng)絡(luò)受到影響，阻礙用戶訪問(wèn)服務(wù)器，導(dǎo)致學(xué)校無(wú)法開展教學(xué)活動(dòng)。本文結(jié)合筆者多年的工作實(shí)踐，詳細(xì)地描述了中學(xué)校園網(wǎng)絡(luò)建設(shè)及采取的安全措施，分析當(dāng)前網(wǎng)絡(luò)安全防御存在的問(wèn)題及不足，引入深度包過(guò)濾、模式識(shí)別、自治網(wǎng)絡(luò)等技術(shù)，進(jìn)一步提高中學(xué)校園網(wǎng)絡(luò)安全防御能力。

中學(xué)校園網(wǎng)絡(luò)；安全防御；深度包過(guò)濾；模式識(shí)別；自治網(wǎng)絡(luò)

0 引言

云計(jì)算、大數(shù)據(jù)、互聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，有效提升了社會(huì)信息化、智能化和共享化水平，在智能旅游、電子商務(wù)、電子政務(wù)、交通運(yùn)輸、物流倉(cāng)儲(chǔ)等許多領(lǐng)域得到了廣泛應(yīng)用，尤其是教育信息化領(lǐng)域，誕生了許多的中學(xué)校園、在線教學(xué)、圖書科研、教務(wù)成績(jī)等自動(dòng)化軟件，能夠提高學(xué)校教務(wù)管理自動(dòng)化水平[1]。

中學(xué)校園網(wǎng)絡(luò)由交換機(jī)、路由器、服務(wù)器、臺(tái)式機(jī)、筆記本或移動(dòng)設(shè)備等共同構(gòu)成，承載著學(xué)校的教師、學(xué)生、課程、班級(jí)、財(cái)務(wù)等多類型數(shù)據(jù)信息，這些信息都比較重要，需要構(gòu)建一個(gè)嚴(yán)格的網(wǎng)絡(luò)安全防御系統(tǒng)，確保數(shù)據(jù)不會(huì)受到病毒或木馬的侵害，避免給中學(xué)校園帶來(lái)嚴(yán)重的經(jīng)濟(jì)財(cái)產(chǎn)損失。

1 中學(xué)校園網(wǎng)絡(luò)建設(shè)及安全防御現(xiàn)狀

中學(xué)校園網(wǎng)絡(luò)當(dāng)前引入了光纖技術(shù)、WiFi技術(shù)、移動(dòng)4G技術(shù)等，結(jié)合先進(jìn)的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，組建了一個(gè)功能強(qiáng)大的校園網(wǎng)絡(luò)，能夠?qū)崿F(xiàn)中學(xué)課程、教師、學(xué)生、班級(jí)等數(shù)據(jù)的共享與傳輸，比如中學(xué)校園網(wǎng)絡(luò)最大的應(yīng)用就是多媒體課堂、數(shù)字圖書館[2]。

（1）多媒體課堂。多媒體課堂是許多中學(xué)開展信息技術(shù)、素質(zhì)教育、精品課程教育的專業(yè)渠道，其可以為學(xué)生提供直播和點(diǎn)播服務(wù)，比如中學(xué)某優(yōu)秀教師開展點(diǎn)睛課程，此時(shí)就可以通過(guò)多媒體課堂直播軟件為全校學(xué)生和老師講解，讓更多的學(xué)生通過(guò)智能手機(jī)、平板電腦和投影儀觀看。

（2）數(shù)字圖書館。許多中學(xué)為了擴(kuò)展學(xué)生的知識(shí)面，建設(shè)了很多的圖書館，但是由于財(cái)力物力有限，無(wú)法購(gòu)買較多的圖書，因此利用互聯(lián)網(wǎng)建設(shè)了數(shù)字圖書館，可以通過(guò)互聯(lián)網(wǎng)接入到慕課等在線學(xué)習(xí)平臺(tái)，為學(xué)生提供豐富的學(xué)習(xí)資源，覆蓋語(yǔ)文、數(shù)學(xué)、英語(yǔ)、政治、生物、化學(xué)、物理等各科名師教學(xué)PPT，提供各類型高考真題講解，擴(kuò)展和豐富學(xué)生知識(shí)面和高考經(jīng)驗(yàn)。

中學(xué)校園網(wǎng)絡(luò)在使用中也面臨著海量的安全威脅，比如木馬或病毒等；由于許多學(xué)生和教師沒(méi)有接受過(guò)專業(yè)訓(xùn)練，所以許多人的網(wǎng)絡(luò)操作都不規(guī)范，非常容易導(dǎo)致中學(xué)校園網(wǎng)絡(luò)感染病毒陷入癱瘓[3]。中學(xué)校園網(wǎng)絡(luò)安全防御也采用了防火墻、殺毒軟件和訪問(wèn)控制列表等技術(shù)，一定程度起到了網(wǎng)絡(luò)安全防御作用。防火墻作為中學(xué)校園內(nèi)外部網(wǎng)絡(luò)之間部署的一個(gè)過(guò)濾器，可以設(shè)置一些網(wǎng)絡(luò)過(guò)濾規(guī)則，允許或阻止網(wǎng)絡(luò)中的數(shù)據(jù)通過(guò)防火墻，防火墻部署于中學(xué)校園網(wǎng)絡(luò)層，能夠過(guò)濾和分析IP數(shù)據(jù)協(xié)議，利用枚舉的規(guī)則分析所有的數(shù)據(jù)包，查看這些IP地址及傳輸數(shù)據(jù)內(nèi)容是否存在問(wèn)題，如果存在問(wèn)題則禁止其通過(guò)防火墻[4]。殺毒軟件也是一個(gè)程序代碼，其數(shù)據(jù)庫(kù)保存了很多的木馬或病毒的片段基因，這些片段基因可以與中學(xué)校園網(wǎng)絡(luò)中的病毒或木馬進(jìn)行匹配對(duì)比，然后分析中學(xué)校園網(wǎng)絡(luò)中是否存在病毒或木馬，如果存在則及時(shí)的將其清除[5]。殺毒軟件采用了很多的先進(jìn)技術(shù)識(shí)別和分析網(wǎng)絡(luò)中是否存在攻擊威脅，這些技術(shù)包括脫殼技術(shù)、修復(fù)技術(shù)、自我保護(hù)技術(shù)等。中學(xué)校園網(wǎng)絡(luò)目前采用的殺毒軟件包括卡巴斯基、瑞星殺毒、360安全衛(wèi)士等，殺毒軟件可以與防火墻集成在一起使用，查殺病毒或木馬。訪問(wèn)控制列表是一種非常重要的中學(xué)校園網(wǎng)絡(luò)安全保護(hù)工具，這個(gè)工具可以設(shè)置一個(gè)白名單和黑名單，白名單中收錄的IP地址可以通過(guò)訪問(wèn)控制列表的限制訪問(wèn)服務(wù)器資源；黑名單中收錄的IP地址無(wú)法訪問(wèn)服務(wù)器資源。訪問(wèn)控制列表的部署級(jí)別包括四個(gè)層次，分別是目錄級(jí)控制、入網(wǎng)訪問(wèn)控制、屬性控制和權(quán)限控制，訪問(wèn)控制列表應(yīng)用時(shí)也存在一些問(wèn)題，比如人工配置工作效率慢，無(wú)法實(shí)時(shí)提升訪問(wèn)控制列表性能。

2 中學(xué)校園網(wǎng)絡(luò)安全防御技術(shù)改進(jìn)

中學(xué)校園網(wǎng)絡(luò)僅僅使用防火墻、訪問(wèn)控制列表或殺毒軟件無(wú)法充分發(fā)揮效果，因此亟需改進(jìn)網(wǎng)絡(luò)安全防御技術(shù)，利用先進(jìn)的深度包過(guò)濾、模式識(shí)別和自治網(wǎng)絡(luò)等，這些都是利用主動(dòng)防御思想，構(gòu)建主動(dòng)防御模式，可提高中學(xué)校園網(wǎng)絡(luò)的安全防御能力。中學(xué)校園網(wǎng)絡(luò)安全防御措施包括以下幾個(gè)方面：

（1） 深度包過(guò)濾

傳統(tǒng)的包過(guò)濾技術(shù)類似于防火墻，簡(jiǎn)單的分析數(shù)據(jù)包的頭部IP地址，以便能夠發(fā)現(xiàn)這些數(shù)據(jù)包是否滿足通過(guò)規(guī)則，因此應(yīng)用非常簡(jiǎn)單。深度包過(guò)濾集成了軟硬件資源，利用先進(jìn)的數(shù)據(jù)包分析工具，穿透每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的包頭、包內(nèi)容等，能夠?yàn)橹袑W(xué)校園網(wǎng)絡(luò)提供一個(gè)開放的、深層次的網(wǎng)絡(luò)安全防御工具。深度包過(guò)濾最大的特點(diǎn)就是查看和分析數(shù)據(jù)包中每一個(gè)協(xié)議字段的內(nèi)容，這樣就可以更加準(zhǔn)確地檢測(cè)中學(xué)校園網(wǎng)絡(luò)中的威脅。深度包過(guò)濾引入了固件技術(shù)，該固件可以將軟件功能集成在硬件上，這樣就可以大幅度提升網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾的處理速度，適應(yīng)當(dāng)前中學(xué)校園網(wǎng)絡(luò)流量大、數(shù)據(jù)包多的特點(diǎn)。

（2） 模式識(shí)別技術(shù)

模式識(shí)別是當(dāng)前人工智能時(shí)代最為先進(jìn)的一種計(jì)算機(jī)技術(shù)，其可以從海量的數(shù)據(jù)中發(fā)現(xiàn)期望的知識(shí)，對(duì)這些數(shù)據(jù)進(jìn)行分類，進(jìn)一步提高數(shù)據(jù)的應(yīng)用性能。中學(xué)校園網(wǎng)絡(luò)是一個(gè)大型的互聯(lián)網(wǎng)數(shù)據(jù)中心，中心的數(shù)據(jù)流量非常大，關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備也非常多，包括DDOS監(jiān)控、網(wǎng)站防篡改監(jiān)控、漏洞監(jiān)控、態(tài)勢(shì)感知、攻擊溯源，比如DDOS監(jiān)控器可以分析中學(xué)校園網(wǎng)絡(luò)的流量狀態(tài)，發(fā)現(xiàn)中學(xué)校園網(wǎng)絡(luò)的流量是否存在異常，如果存在異常就可以及時(shí)地啟動(dòng)模式識(shí)別技術(shù)，利用模式識(shí)別技術(shù)發(fā)現(xiàn)非正常流量中潛藏的安全威脅。中學(xué)校園網(wǎng)絡(luò)承載的軟硬件資源非常多，這些軟硬件資源集成在一起產(chǎn)生了海量的數(shù)據(jù)，但是也存在一些漏洞，因此中學(xué)校園網(wǎng)絡(luò)安全管理需要加強(qiáng)漏洞監(jiān)控，進(jìn)一步感知中學(xué)校園網(wǎng)絡(luò)數(shù)據(jù)流量的態(tài)勢(shì)，追蹤攻擊源頭，進(jìn)一步提高數(shù)據(jù)防御能力。

（3） 自治網(wǎng)絡(luò)

自治網(wǎng)絡(luò)采用先進(jìn)的主動(dòng)網(wǎng)絡(luò)安全防御思想，構(gòu)建了一個(gè)功能完善的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，積極地適應(yīng)當(dāng)前中學(xué)校園網(wǎng)絡(luò)的應(yīng)用形式，調(diào)動(dòng)網(wǎng)絡(luò)安全防御資源，隔離中學(xué)校園網(wǎng)絡(luò)中的木馬或病毒，建立一個(gè)先進(jìn)的自我防御和免疫機(jī)制。自治網(wǎng)絡(luò)還可以與深度包過(guò)濾、數(shù)據(jù)挖掘技術(shù)等積極地結(jié)合在一起，形成一個(gè)多層次的防御規(guī)則，進(jìn)一步提高中學(xué)校園網(wǎng)絡(luò)通信性能保障能力，加強(qiáng)網(wǎng)絡(luò)病毒的可信計(jì)算服務(wù)能力，避免惡意代碼攻擊中學(xué)校園網(wǎng)絡(luò)，提高中學(xué)校園網(wǎng)絡(luò)的自我免疫能力。

3 結(jié)束語(yǔ)

中學(xué)校園網(wǎng)絡(luò)安全防御作為教育信息化的重要建設(shè)內(nèi)容，也是一個(gè)復(fù)雜的、系統(tǒng)的工程，其需要隨著網(wǎng)絡(luò)規(guī)模、用戶等的變化動(dòng)態(tài)改進(jìn)，以便更加有效地保護(hù)中學(xué)校園信息化應(yīng)用軟件，保護(hù)中學(xué)教師、學(xué)生的重要信息，避免學(xué)校網(wǎng)絡(luò)感染病毒或木馬，從而保證中學(xué)信息化教學(xué)的正常開展。

[1]叢榮華.吉林省中小學(xué)網(wǎng)絡(luò)資源應(yīng)用現(xiàn)狀調(diào)查與問(wèn)題分析[J]. 長(zhǎng)春師范大學(xué)學(xué)報(bào), 2012.

[2]李奇志.校園網(wǎng)絡(luò)安全運(yùn)行方面存在的問(wèn)題及其有效管理對(duì)策分析[J]. 電腦迷, 2016.

[3]李嘉熙.校園信息安全網(wǎng)絡(luò)防范問(wèn)題及對(duì)策淺析[J]. 信息系統(tǒng)工程, 2017.

[4]朱晨旭.信息化背景下的校園網(wǎng)絡(luò)安全問(wèn)題與對(duì)策[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2016.

[5]李賡曦,姚健, 牛晨. 基于等級(jí)保護(hù)制度的校園網(wǎng)絡(luò)安全建設(shè)實(shí)踐[J]. 信息安全與技術(shù), 2016.