中学校园网络安全防御现状及改进研究

◆宋天华 李萍萍

中学校园网络安全防御现状及改进研究

◆宋天华 李萍萍

（山东省临沂市临港实验中学 山东 276624）

中学校园网络作为教育信息化的重要组成部分，承载着学校的许多应用软件，比如教务管理系统、网络教学系统、图书馆系统、成绩管理系统等，接入的用户包括学生和教师，利用中学校园网络实现数据传输和共享，提高了学校教学、办公的效率。中学校园网络在为人们提供便捷服务的同时也面临着安全威胁，由于许多学生和教师都没有接受计算机网络应用操作教育，因此使用网络时容易受到病毒和木马攻击，导致中学校园网络受到影响，阻碍用户访问服务器，导致学校无法开展教学活动。本文结合笔者多年的工作实践，详细地描述了中学校园网络建设及采取的安全措施，分析当前网络安全防御存在的问题及不足，引入深度包过滤、模式识别、自治网络等技术，进一步提高中学校园网络安全防御能力。

中学校园网络；安全防御；深度包过滤；模式识别；自治网络

0 引言

云计算、大数据、互联网等技术的快速发展，有效提升了社会信息化、智能化和共享化水平，在智能旅游、电子商务、电子政务、交通运输、物流仓储等许多领域得到了广泛应用，尤其是教育信息化领域，诞生了许多的中学校园、在线教学、图书科研、教务成绩等自动化软件，能够提高学校教务管理自动化水平[1]。

中学校园网络由交换机、路由器、服务器、台式机、笔记本或移动设备等共同构成，承载着学校的教师、学生、课程、班级、财务等多类型数据信息，这些信息都比较重要，需要构建一个严格的网络安全防御系统，确保数据不会受到病毒或木马的侵害，避免给中学校园带来严重的经济财产损失。

1 中学校园网络建设及安全防御现状

中学校园网络当前引入了光纤技术、WiFi技术、移动4G技术等，结合先进的交换机、路由器等网络设备，组建了一个功能强大的校园网络，能够实现中学课程、教师、学生、班级等数据的共享与传输，比如中学校园网络最大的应用就是多媒体课堂、数字图书馆[2]。

（1）多媒体课堂。多媒体课堂是许多中学开展信息技术、素质教育、精品课程教育的专业渠道，其可以为学生提供直播和点播服务，比如中学某优秀教师开展点睛课程，此时就可以通过多媒体课堂直播软件为全校学生和老师讲解，让更多的学生通过智能手机、平板电脑和投影仪观看。

（2）数字图书馆。许多中学为了扩展学生的知识面，建设了很多的图书馆，但是由于财力物力有限，无法购买较多的图书，因此利用互联网建设了数字图书馆，可以通过互联网接入到慕课等在线学习平台，为学生提供丰富的学习资源，覆盖语文、数学、英语、政治、生物、化学、物理等各科名师教学PPT，提供各类型高考真题讲解，扩展和丰富学生知识面和高考经验。

中学校园网络在使用中也面临着海量的安全威胁，比如木马或病毒等；由于许多学生和教师没有接受过专业训练，所以许多人的网络操作都不规范，非常容易导致中学校园网络感染病毒陷入瘫痪[3]。中学校园网络安全防御也采用了防火墙、杀毒软件和访问控制列表等技术，一定程度起到了网络安全防御作用。防火墙作为中学校园内外部网络之间部署的一个过滤器，可以设置一些网络过滤规则，允许或阻止网络中的数据通过防火墙，防火墙部署于中学校园网络层，能够过滤和分析IP数据协议，利用枚举的规则分析所有的数据包，查看这些IP地址及传输数据内容是否存在问题，如果存在问题则禁止其通过防火墙[4]。杀毒软件也是一个程序代码，其数据库保存了很多的木马或病毒的片段基因，这些片段基因可以与中学校园网络中的病毒或木马进行匹配对比，然后分析中学校园网络中是否存在病毒或木马，如果存在则及时的将其清除[5]。杀毒软件采用了很多的先进技术识别和分析网络中是否存在攻击威胁，这些技术包括脱壳技术、修复技术、自我保护技术等。中学校园网络目前采用的杀毒软件包括卡巴斯基、瑞星杀毒、360安全卫士等，杀毒软件可以与防火墙集成在一起使用，查杀病毒或木马。访问控制列表是一种非常重要的中学校园网络安全保护工具，这个工具可以设置一个白名单和黑名单，白名单中收录的IP地址可以通过访问控制列表的限制访问服务器资源；黑名单中收录的IP地址无法访问服务器资源。访问控制列表的部署级别包括四个层次，分别是目录级控制、入网访问控制、属性控制和权限控制，访问控制列表应用时也存在一些问题，比如人工配置工作效率慢，无法实时提升访问控制列表性能。

2 中学校园网络安全防御技术改进

中学校园网络仅仅使用防火墙、访问控制列表或杀毒软件无法充分发挥效果，因此亟需改进网络安全防御技术，利用先进的深度包过滤、模式识别和自治网络等，这些都是利用主动防御思想，构建主动防御模式，可提高中学校园网络的安全防御能力。中学校园网络安全防御措施包括以下几个方面：

（1） 深度包过滤

传统的包过滤技术类似于防火墙，简单的分析数据包的头部IP地址，以便能够发现这些数据包是否满足通过规则，因此应用非常简单。深度包过滤集成了软硬件资源，利用先进的数据包分析工具，穿透每一个网络数据包的包头、包内容等，能够为中学校园网络提供一个开放的、深层次的网络安全防御工具。深度包过滤最大的特点就是查看和分析数据包中每一个协议字段的内容，这样就可以更加准确地检测中学校园网络中的威胁。深度包过滤引入了固件技术，该固件可以将软件功能集成在硬件上，这样就可以大幅度提升网络数据包过滤的处理速度，适应当前中学校园网络流量大、数据包多的特点。

（2） 模式识别技术

模式识别是当前人工智能时代最为先进的一种计算机技术，其可以从海量的数据中发现期望的知识，对这些数据进行分类，进一步提高数据的应用性能。中学校园网络是一个大型的互联网数据中心，中心的数据流量非常大，关联的网络设备也非常多，包括DDOS监控、网站防篡改监控、漏洞监控、态势感知、攻击溯源，比如DDOS监控器可以分析中学校园网络的流量状态，发现中学校园网络的流量是否存在异常，如果存在异常就可以及时地启动模式识别技术，利用模式识别技术发现非正常流量中潜藏的安全威胁。中学校园网络承载的软硬件资源非常多，这些软硬件资源集成在一起产生了海量的数据，但是也存在一些漏洞，因此中学校园网络安全管理需要加强漏洞监控，进一步感知中学校园网络数据流量的态势，追踪攻击源头，进一步提高数据防御能力。

（3） 自治网络

自治网络采用先进的主动网络安全防御思想，构建了一个功能完善的网络拓扑结构，积极地适应当前中学校园网络的应用形式，调动网络安全防御资源，隔离中学校园网络中的木马或病毒，建立一个先进的自我防御和免疫机制。自治网络还可以与深度包过滤、数据挖掘技术等积极地结合在一起，形成一个多层次的防御规则，进一步提高中学校园网络通信性能保障能力，加强网络病毒的可信计算服务能力，避免恶意代码攻击中学校园网络，提高中学校园网络的自我免疫能力。

3 结束语

中学校园网络安全防御作为教育信息化的重要建设内容，也是一个复杂的、系统的工程，其需要随着网络规模、用户等的变化动态改进，以便更加有效地保护中学校园信息化应用软件，保护中学教师、学生的重要信息，避免学校网络感染病毒或木马，从而保证中学信息化教学的正常开展。

[1]丛荣华.吉林省中小学网络资源应用现状调查与问题分析[J]. 长春师范大学学报, 2012.

[2]李奇志.校园网络安全运行方面存在的问题及其有效管理对策分析[J]. 电脑迷, 2016.

[3]李嘉熙.校园信息安全网络防范问题及对策浅析[J]. 信息系统工程, 2017.

[4]朱晨旭.信息化背景下的校园网络安全问题与对策[J]. 网络安全技术与应用, 2016.

[5]李赓曦,姚健, 牛晨. 基于等级保护制度的校园网络安全建设实践[J]. 信息安全与技术, 2016.