教育城域網安全管理研究

江蘇省泰州市姜堰區電化教育中心 孔志業

教育城域網是通過寬帶骨干網連接教育局內部網和校園網的傳輸網絡，它以網絡技術為依托，以各種信息設施為支持，以教育軟件和資源為基礎，以實現現代化教育和管理為目的，為區域教育提供全方位信息化應用服務。教育城域網在運行管理中，普遍存在網絡管理質量、方法和技術不夠完善的情況，使教育城域網的安全管理現狀不容樂觀。本文以教育城域網為分析對象，對其中的安全管理問題進行初步探討，以尋求經濟、有效的安全管理方法和建議。

教育城域網是各中小學校及教育機構服務的教育專用網絡。我區共接入網絡節點190個，網點遍布全境，網內計算機數逾萬臺。網內業務有：網絡教學、網絡備課、學校管理、基礎教育資源庫、遠程教育、教育管理等。

我們希望以業務分析為切入點，合理分解各項安全管理責任；但又能有機地組合成一體化的管理架構。

1.區教育城域網的網絡結構與組織架構

1.1 評估業務流量，選擇接入模式

因為教育的特殊性，學校數量與規模呈金字塔和倒金字塔型結構。幼兒園學校數最多，但校內終端數量少，網絡流量小；往上，小學數量多，校內終端數量較少，網絡流量也較小；直至高中，學校數少，但校內終端數量多，網絡流量大。如：部分學校教師計算機數即逾300多套，學生機房7個，其它專用計算機30多套；而小如村級幼兒園，僅2套左右計算機；所以，在網絡接入時，由校內終端數來測算流量，選擇不同網速的接入模式。

根據接入終端數量與網絡流量的大致測算，分為百兆光纖接入模式與ADSL接入專網模式，其中：光纖接入網絡節點82個，ADSL接入網絡節點108個。按當時的網絡業務，給每臺計算機估算流量為512K，以平均75%的同時上網臺數測算，確定接入模式（如表1所示）。

因為使用了ADSL接入專網，使教育城域網服務網點的半徑得以較大擴展。

1.2 合理分隔網絡，落實管理責任

姜堰教育城域網在初期規劃時，曾在建設三級交換網絡與VLAN分隔的交換網絡、路由分隔的互聯網絡等方案上做過選擇，如何能較好地落實管理責任也是考慮的重點。因網點分布較散，而維護實力較弱，三級交換網絡方案因多個學校在一個廣播域內，增加了安全隱患，在第一時間被否決。考慮到VLAN的終端管理數量及其網絡安全方面的原因，最終我們選擇了路由分隔的互聯網絡方案，如圖1所示。

使用路由來分隔主干網與各終端另一方面也是基于對網絡安全的考慮，教育城域網內存在著大量非信任網絡與不安全網絡，通過路由可以較好地分隔網絡。并且路由可阻隔一些基于二層協議的用戶攻擊行為和廣播風暴、ARP欺騙等，減少非法流量對主干網的騷擾，對部分網絡蠕蟲的傳染也可以起到一定的阻隔作用，在發生網絡攻擊時，也便于對結點的分離。但其的缺點也是明顯的，降低了交換速度并容易形成流量瓶頸，限制了某些網絡應用的使用。但根據普教網絡的應用來看，這樣的缺點并不足以嚴重。

在設備維護人員的安排上，根據與電信局達成的協議，其中光纖接入的網絡節點由市教育信息中心與各接入單位負責保障，ADSL網絡節點的維護由電信安裝維護組負責保障。在光纖接入的網絡節點管理上，由市教育信息中心負責主干網的保障，由各接入單位負責其局域網內的網絡安全。

這樣，較好地解決了設備保障方面的問題。最終落實了各單位管理責任，分解了管理任務。為實現安全管理打好基礎。

2.教育城域網面臨的安全問題與應對策略

2.1 主要的安全風險

因服務器群與普通網絡終端承擔的功能有較大的差異，服務器的安全風險遠高于普通的網絡終端。所以，服務器群的安全防護也應高于對網絡終端的防護。下面對存在的安全現狀進行簡單分析。

2.1.1 網絡安全現狀分析

教育城域網中的計算機系統管理比較復雜，要求所有的終端系統實施統一的安全策略是非常困難的，即使有計算機出現了安全問題，要追蹤查找用戶也比較困難。同時，網絡環境較為寬松，為適應各種應用，教育城域網主干網是充分開放的。在教育城域網內面臨的主要威脅包括：計算機病毒、電子郵件病毒、蠕蟲病毒、特洛伊木馬、入侵攻擊等等。除此之外，對網內發起的不良信息發布的控制也是比較重要的內容。

同時，網絡資源的不良使用也很嚴重，往往一些非主要業務（如：迅雷、BT等）占據大量帶寬，造成網絡的涌堵。

2.1.2 服務器安全現狀分析

服務器為網絡內各終端提供著各類網絡應用，如：WEB、FTP、MAIL、VOD、BT等等各類應用，都需要與服務器溝通。所以，服務器也成為網絡環境中，最容易引起攻擊的目標。服務器的安全也直接影響著提供服務的質量。

服務器的安全除了物理安全外，還存在著其它的安全威脅，如：機密數據的泄露、數據丟失和數據損壞、數據修改、拒絕服務、軟件錯誤等。

表1 網絡節點接入模式

我們一般使用硬件防火墻來阻擋拒絕服務，用冗余磁盤陣列（RAID）和備份措施來解決數據丟失和數據損壞，而用數據加密來防止機密數據的泄露，用充分的測試來發現軟件錯誤等。

當然網絡上面最多的安全問題是數據修改，如：SQL注入、后門入侵等。這問題需要結合多種手段綜合處理，如：合理分配權限、使用防篡改程序等。

2.2 應對策略

2.2.1 網絡安全的應對策略

2.2.1.1 異常流量監測

網絡中的安全攻擊、蠕蟲病毒以及垃圾流量等都會導致網絡流量的異常。所以，做好網絡的流量監測是做好安全管理的一個手段，通過對異常流量的監測與發現，能夠把網絡中的不穩定因素給及時發現，并加以處理。

因我區教育城域網采用的是路由分隔的互聯網絡，我們在核心交換機處，能獲得各網絡節點的即時流量。同時，網絡節點的數量較少，監控的范圍也能得到適當控制。當然，也可以配置交換機的SNMP，然后用prtg之類的軟件監控端口，以觀察各網絡節點的流量。如果出現類似蠕蟲病毒大規模暴發等現象時，流量必然會出現異常，通過監測就能較早發現問題的來源，及時介入。

2.2.1.2 上網行為管理

因教育城域網上面有著不同的業務平臺，在主干網絡上無法進行過多的限制。如何規范上網行為，以保證正常業務的開展，但又能避免網絡資源的濫用，以及防范其它風險。我們考慮在各中小學網絡節點出口處以及各ADSL接入后，布置上網行為管理類設備（如圖2所示），對各段網絡（即對校內網絡的管理）分別進行管理。

圖1 路由分隔的互聯網絡方

圖2 上網行為管理類設備布置

上網行為管理是指幫助互聯網用戶控制和管理對互聯網的使用，包括對網頁訪問過濾、網絡應用控制、寬帶流量管理、信息收發審計、用戶行為分析。使用上網行為控制設備后，可有效防止：a.防止無關網絡行為影響工作效率；b.防止帶寬資源濫用；c.記錄上網軌跡滿足法規要求；d.管控外發信息，降低泄密風險；e.防止病毒木馬等網絡風險；

在使用上網行為管理設備的學校內，要求：a.根據時段限制一些網絡應用的使用，不能在上班時間內進行網絡游戲、炒股、網絡聊天等行為的發生，即對相關應用進行了封堵，上網行為管理設備可通過檢測網絡數據包中的特征碼來對常用的軟件和應用進行封堵。b.對各接入計算機進行流量分配，限制如P2P之類的應用大量擠占帶寬的情況。c.在全面管控用戶網絡行為的同時，要求詳細記錄用戶的網絡行為，如：訪問的網址、發布的信息、收發的郵件和QQ的聊天內容等，并把它保存于日志服務器內，以備事后的安全審計。d.使用了上網行為管理設備后，也減少了網絡病毒與木馬的感染。

2.2.1.3 安全審計

教育城域網絡在保證充分開放的基礎上，又要建立責任追查機制，所以，我們加入了安全審計方面的內容。為上網行為管理設備增加日志服務器，用來保存一段時間內的上網行為數據。以防在出現安全問題后，能通過審計的方式來還原問題的發生，以追查相關的責任人。

2.2.2 服務器安全

2.2.2.1 “最少權限原則”

最少權限原則可以用來提高計算機系統的安全性。它是一個基本的、但又是非常重要的而且容易為我們忽略的原則。該原則包含如下內容：

一個用戶（或者一個進程）應該擁有能夠執行分配給他的任務的最低級別的權限。

遵循該原則，我們在服務器群端接入網絡防火墻，以控制網絡對服務器的訪問。對提供網絡應用的服務器僅開放了有網絡應用的端口，在防火墻端進行了訪問控制列表（ACL）設置。在服務器的設置中，根據應用合理開設用戶與設定權限，盡可能的提供最小化權限，以盡可能減少黑客入侵的渠道。

2.2.2.2 容災與備份技術

容災備份技術是在引起系統非正常停機的事件后，保證生產系統的數據盡量少丟失的情況下，保持生存系統的業務不間斷地運行的手段。對于數據丟失和數據損壞，只有一種真正的保護措施：備份。

我們針對服務器一般進行本地容災，雙機熱備技術能較好地解決單機故障引發的網絡服務中斷問題。同時，為保障數據的安全，對數據應該進行熱備與冷備相結合的方法，對重要數據定時定期進行網絡備份。

2.2.2.3 網絡防火墻與入侵檢測技術

硬件防火墻與入侵檢測技術是保障系統安全的重要手段，硬件防火墻除了可以通過訪問控制列表（ACL）限制網絡訪問，還可以對高層協議的攻擊特征進行識別以抵抗如：DOS等的能力。入侵檢測（IDS）則可以在各服務器端布署監測點，以從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測是防火墻的合理補充。

安全管理是一個永恒的話題，網絡危害和安全防護總是在不斷地發展。我們在依賴人員職責落實的同時，也更應依賴于管理制度及各類技術手段，以建立完整的安全管理體系，還網絡以平靜安寧。

[1]蘇秀強,梁啟榮.中學校園網建設和應用初探[J].

[2]張玉良.多媒體技術應用[M].合肥:安徽大學出版社,2004(7).

[3]蘇小明.網絡校園發展前景初探[M].北京:中國人民大學出版社,2009,6.