分布式的網絡安全部署在教育城域網中的應用

　　隨著網絡的普及和發展，我國的教育系統網絡建設也進入了一個高速發展的階段，但是由于種種原因，還存在著一些問題，主要有：
　　◆技術人員缺乏。在教育城域網中，特別是學校校園網絡的管理中，計算機核心技術的管理人員相對缺乏。由于病毒或網絡風暴的影響，學校網絡邊界安全部署及相關策略設置不合理，造成教育城域網主干流量普遍偏高、速度偏慢現象嚴重。
　　◆安全漏洞定位困難。學校終端用戶數量大，病毒感染的幾率高，學校網絡中心對病毒暴發源缺乏有效的探測與定位，終端病毒感染與傳播速度快，加上各類多線程或P2P的應用軟件無限制使用，造成學校網絡出口嚴重阻塞，學校網絡帶寬使用率低。
　　◆監控機制不完善。學校上網高峰期集中，師生上網行為復雜，監控機制不完善，造成城域網中心與學校網絡中心對師生上網行為安全的監管及時性不夠，不良信息的傳播很難得到有效的監控與防范。
　　
　　安全需求
　　
　　需要對教育城域網接入學校邊界進行統一的監管：學校分散面廣，接入Internet的類型不可控制，學校網絡管理員力量薄弱，使得安全隱患大，安全策略定制合理性不強。獨立的邊界防火墻在學校網絡中的部署不能達到預期安全防范的效果，因此采用分布式的學校邊界安全部署，可以充分發揮教育城域網絡管理人員的技術優勢來對學校邊界安全進行管理，有效控制教育城域網的主干安全與校園網內部的安全防范需求。
　　需要對師生上網行為進行統一的、有效的監管：由于學校終端數量多，師生上網行為復雜，任何人都可以通過Internet發布不良信息甚至非法信息，互聯網中大量的不良信息充斥整個校園網絡。為了加強對師生上網行為管理與監控，實現文明上網、安全上網，營造綠色網絡環境，應采用分布式的上網行為審計系統部署。
　　需要對終端病毒的感染與傳播進行有效的防范：學校缺乏對病毒的感染和傳播進行有效防范，因此采用統一的網絡防病毒軟件的部署，統一實時更新病毒庫，控制端實時監控終端感染病毒情況，及時對病毒的防殺，有效地防范了終端病毒的傳播，進一步優化網絡安全的管理機制，實現高速上網、放心上網。
　　
　　技術難點
　　
　　在當今這個信息化社會中，現代社會生活對網絡的高度依賴，保障網絡的通暢、可靠就顯得尤其重要，防火墻、VPN、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在網絡中得到了廣泛應用。但是這些產品大部分功能分散、各自為戰，形成了相互沒有關聯的、隔離的“安全孤島”；各種安全產品彼此之間沒有有效的統一管理調度機制，不能互相支撐、協同工作。因此需解決的技術難點主要包括：統一的工作業務界面、統一的控制平臺、統一的分布式部署連接方式、統一的用戶權限分配、統一的安全事件分析。
　　
　　部署架構
　　
　　分布式網絡安全中探測引擎的部署架構：分布式的網絡安全部署主要由兩部分組成，包括分布式邊界安全（防火墻）部署和分布式審計系統部署，部署形式主要由探測引擎、數據管理中心和分布式中心三個部分組成。
　　分布式防火墻和審計系統都采用三級管理架構，一個數據管理中心可以連接多個探測引擎。數據中心和探測引擎物理上可以分開安裝在兩個專用服務器上，也可以安裝在同一臺專用服務器上，一個探測引擎同時只能和一個數據管理中心連接。
　　數據管理中心主要包含以下幾個部分：數據庫管理、策略配置、人機界面、探測引擎管理、其他管理；安全審計的數據管理中心采用B/S架構，通過提供瀏覽器服務端，使管理人員很方便地通過網頁瀏覽器對數據管理中心進行操作管理；防火墻的數據管理中心采用C/S架構，最大限度確保邊界數據的安全。
　　分布式中心可以管理多個數據管理中心。分布式中心可以統一制定并下發控管策略，可以定制需要接收、集中的相應數據，并具有完善的報表統計功能，集中關聯處理網絡中的所有安全事件。
　　分布式網絡安全系統在教育城域網中的部署架構：分布式網絡安全系統在教育城域網中的具體部署（整體方案的部署適合未接入教育網的用戶，如采用ADSL的PPOE撥號用戶），分布式中心可以統一或者定制下發策略到每個學校，從而實現對整個教育城域網內學校的邊界安全和上網行為管理。
　　
　　現實應用
　　
　　我區采用分布式的網絡安全部署囊括了所有公辦中小學校，共部署91臺防火墻（清華比威）、91臺安全審計（網絡哨兵）設備和近12000個網絡防病毒點（卡巴斯基）。學校網絡安全的分布式部署、統一管理在我區實際應用中取得了很好的實效。統一管理的應用主要有以下幾方面：
　　
　　學校邊界防火墻分布式部署、統一管理在我區的應用
　　1.學校網絡狀態顯示及防火墻邊界的遠程協管分布式部署。在各學校的防火墻，采用內建VPN連入控管中心防火墻，控管中心SERVER按15秒輪巡的方式實時監控學校網絡的出口狀態，一目了然地了解學校網絡實時運行的健康狀況。在分布式的部署中，城域網中心根據學校網絡管理員的實際處理網絡安全事故的能力情況，下發相應的策略管理員權限給學校網絡管理員，學校網絡出現故障而學校網管員無法解決時，城域網中心可以通過控管平臺直接連入學校防火墻設備，進行遠程協管工作。
　　2.防火墻中心控管策略統一定制與下發。在充分調研學校網絡應用的情況下，城域網中心根據各類學校的實際需求，下發相關的防火墻控管策略，策略下發可單個學校進行，也可分批、分組進行。統一策略的管理，可以確保城域網主干網的干凈、暢通，可以及時避免網絡安全事故，十分有利于城域網主干安全的管理，節省大量的人力和物力。
　　3.網絡安全評估報表。網絡安全評估報表包括“安全日志報表”和“流量日志報表”，有目的調整相應策略和及時做好學校終端設備的管理，如及時的打補丁、病毒的防殺、安全隱患的消除等，更好地優化學校校園網絡環境，保證學校網絡的高速、暢通。
　　4.網絡安全日志及流量信息統計。分布式部署、統一管理可以對所有學校的上網日志進行統一的管理和存儲，確保了日志的完整性，也便于對全區學校網絡流量及相關數據的整體分析，為城域網中心全面了解學校網絡的運行情況提供必要的數據，如通過整體的安全日志的實時情況，可以充分了解各學校終端病毒暴發的情況、了解學校邊界防火墻策略設置的情況等。
　　
　　學校上網行為安全審計分布式部署、統一管理在我區的應用
　　通過使用網頁過濾庫，在校園內全方位阻擋不良網上信息對學生的毒害，通過調用內置的強大網頁分類過濾庫，針對每一類網站的訪問行為進行控制，過濾不良網頁，屏蔽不良信息（黃、賭、毒、邪等）。網管員可以自定義過濾庫，增加了管理的靈活性。
　　系統實現了對基于HTTP（WEB、POST）、FTP、BT、郵件（SMTP、POP3、WEBMAIL、LOTUS）、聊天（ICQ、QQ、MSN、網易泡泡、Yahoo Messenger、UC）、Telnet、游戲（反恐精英、星際爭霸、魔獸爭霸、暗黑破壞神等十幾種游戲）、音視頻等協議的行為進行審計及賬號報警。對通過SMTP、POP3協議以及通過網頁收發的郵件內容及附件，通過網頁發送的其他數據內容例如BBS內容，通過ICQ、MSN、網易泡泡、Yahoo Messenger等聊天工具發送的即時信息內容，以及FTP（等工具）上傳文件的內容進行審計及內容報警。
　　完善的審計信息查詢：為了方便查詢和使用，系統提供強大的查詢功能。用戶可以按照不同的協議、不同的審計內容以及通過相應關鍵字查詢所需要的審計信息。
　　學校上網行為安全審計中心策略的定制與下發：系統通過使用管理策略實現對各種上網行為進行的細粒度的審計和管理。分布式中心可以設置每個客戶端的數據上傳策略，實現對指定學校校園網信息的收集、統計和分析。
　　系統可自動解析所有審計對象的機器名、獲得對象的IP地址、MAC地址；手動綁定審計對象的IP與MAC
　　地址；根據用戶組織結構或IP地址分配特點劃分不同的審計對象組；通過使用“使用者”，系統管理員等可以以直觀的學校名來管理機器等信息；系統可以在全局、本地、審計組以及單個審計對象四個級別部署和下發對應審計控制策略。系統實現了對校園網內的上網流量進行管理，能實時顯示各個審計對象（組）、多種協議流量，并進行流量排名。
　　提供強大的報表分析功能：按照時間、網絡應用、操作結果、審計對象等條件生成報表；在已經生成的報表界面內，可以按照需要生成對應的圖形報表。報表可以導出為TXT、HTML、EXCEL等格式。根據學校流量、訪問量與網頁訪問的次數數值，作為衡量學校信息化應用情況的有效數據，根據站點訪問情況的站點排名，可以發現和推薦一些好的資源應用站點。
　　
　　結束語
　　
　　分布式的網絡安全部署有效解決了教育城域網面廣、用戶終端數量大、難管理的缺點，有效地整合了網絡管理員的人力資源，完善了城域網安全的管理機制，規范了師生的上網行為，優化了校園內外網絡環境。
　　分布式的網絡安全部署從技術解決層面上不僅可以大面積應用在教育城域網絡上，在很大程度上可以部署在網吧、酒店等復雜的公眾網絡環境，上級管理部門可以集中管理和監控各類上網行為，規范社會網絡行為。