軟硬結(jié)合，打造教育城域網(wǎng)安全體系

◆白駿烈

軟硬結(jié)合，打造教育城域網(wǎng)安全體系

◆白駿烈

（溫州市甌海區(qū)教師發(fā)展中心 浙江 325000）

教育信息化的飛速發(fā)展，給教育教學(xué)工作帶來便利的同時，也給教育城域網(wǎng)管理者如何安全有效地管理規(guī)劃城域網(wǎng)帶來諸多挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備安全、應(yīng)用數(shù)據(jù)安全、接入終端安全等都是管理者需要面對的安全問題。為了解決上述問題，筆者通過多年實踐，分析城域網(wǎng)安全體系的優(yōu)缺點，總結(jié)出一套教育城域網(wǎng)的網(wǎng)絡(luò)安全體系規(guī)劃建設(shè)與管理模式，為其他地區(qū)城域網(wǎng)建設(shè)提供經(jīng)驗和借鑒。

網(wǎng)絡(luò)安全；城域網(wǎng)；建設(shè)；實踐

1 前言

我區(qū)教育城域網(wǎng)首建于2004年，初步建成于2006年，覆蓋全區(qū)100多所學(xué)校，采用“星型”組網(wǎng)方式，匯聚學(xué)校數(shù)據(jù)信息，實行區(qū)級統(tǒng)一出口管理。在教育城域網(wǎng)建設(shè)的初始階段，我們關(guān)注的重點是網(wǎng)絡(luò)的暢通，教育城域網(wǎng)內(nèi)全體老師能否流暢上網(wǎng)是教育城域網(wǎng)建設(shè)程度高低的一項重要指標。

隨著計算機技術(shù)的不斷發(fā)展，各式各樣的入侵、病毒、漏洞每時每刻都在威脅著教育城域網(wǎng)的網(wǎng)絡(luò)安全。2014年2月，習(xí)近平同志在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上指出：“沒有網(wǎng)絡(luò)安全就沒有國家安全”。隨著《中華人民共和國網(wǎng)絡(luò)安全法》的頒布和《浙江省教育信息化“十三五”發(fā)展規(guī)劃》的實施，對教育城域網(wǎng)的網(wǎng)絡(luò)安全有了更為具體的要求。教育城域網(wǎng)不再只是一個提供上網(wǎng)服務(wù)的簡單網(wǎng)絡(luò)，還要滿足穩(wěn)定性、可靠性、安全性、保密性等要求。為此，我們在原有的教育城域網(wǎng)基礎(chǔ)上進行了深化改造，逐步對教育城域網(wǎng)各方面進行全面升級，以滿足城域網(wǎng)內(nèi)核心設(shè)備安全可靠、應(yīng)用服務(wù)安全可用、接入終端安全可控、用戶行為安全可信的新時期教育城域網(wǎng)。

2 網(wǎng)絡(luò)安全建設(shè)原則與目標

教育城域網(wǎng)是一張覆蓋面積廣、用戶多、業(yè)務(wù)類型雜的網(wǎng)絡(luò)系統(tǒng)。作為教育城域網(wǎng)的管理者，需要通過完整的規(guī)劃設(shè)計與建設(shè)部署，才能確保教育城域網(wǎng)內(nèi)信息流通安全可靠、數(shù)據(jù)存儲機密有效、操作行為合法可查。

教育城域網(wǎng)的網(wǎng)絡(luò)安全建設(shè)工作將遵循“頂層設(shè)計、統(tǒng)籌規(guī)劃、分步實施”的原則，以“集中管理、安全可靠、多方互動”為目標，以“強中心，弱學(xué)校”為思路，通過規(guī)劃指引方向，通過應(yīng)用引領(lǐng)發(fā)展，通過技術(shù)支撐服務(wù)，最終建成一個使用技術(shù)新穎、覆蓋范圍廣泛、管理方便快捷的教育城域網(wǎng)網(wǎng)絡(luò)安全管理體系。

3 網(wǎng)絡(luò)安全整體規(guī)劃

在網(wǎng)絡(luò)安全建設(shè)的實踐過程中，我們遵循頂層設(shè)計的指導(dǎo)，通過幾年時間的分步實施，逐步對教育城域網(wǎng)內(nèi)的骨干核心設(shè)備、業(yè)務(wù)支撐設(shè)備、行為審計設(shè)備、用戶接入終端等進行改造升級，穩(wěn)步提升了教育城域網(wǎng)網(wǎng)絡(luò)安全系數(shù)，有效提高了教育城域網(wǎng)用戶使用體驗。

3.1 骨干設(shè)備實現(xiàn)“雙主高可用”萬兆互聯(lián)

教育城域網(wǎng)中心機房骨干鏈路安全設(shè)備是城域網(wǎng)系統(tǒng)中最核心的設(shè)備，是城域網(wǎng)聯(lián)通互聯(lián)網(wǎng)的入口，同時也是城域網(wǎng)網(wǎng)絡(luò)安全的守門者。

為保證骨干鏈路核心設(shè)備的安全穩(wěn)定與可靠，我們選用從下一代智能防火墻—>網(wǎng)絡(luò)入侵防護系統(tǒng)—>上網(wǎng)行為管理—>核心交換機，所有的骨干鏈路上的網(wǎng)絡(luò)安全設(shè)備，均以雙機“雙主高可用”萬兆互聯(lián)模式運行，所有同類設(shè)備之間的用戶、數(shù)據(jù)、策略、日志都實時同步。各類設(shè)備在守護教育城域網(wǎng)的過程中，同類設(shè)備中任何一臺或任何一條鏈路出現(xiàn)故障，都可以保證網(wǎng)絡(luò)穩(wěn)定暢通和網(wǎng)絡(luò)安全可靠，不對在網(wǎng)用戶的上網(wǎng)行為產(chǎn)生任何影響。

在出口互聯(lián)網(wǎng)線路上，為保障負載均衡與線路冗余，我們配備了共計5.5G的多運營商出口，其中包括3000M中國電信出口，2000M中國移動出口、500M中國聯(lián)通出口。同時通過自動優(yōu)先尋址和負載均衡技術(shù)，分配最快訪問路徑給每個用戶，單條鏈路故障不影響城域網(wǎng)業(yè)務(wù)。

3.2 應(yīng)用業(yè)務(wù)支撐設(shè)備實現(xiàn)虛擬化運行

教育城域網(wǎng)的關(guān)鍵作用是為師生的教育教學(xué)工作提供基礎(chǔ)環(huán)境，優(yōu)秀的應(yīng)用業(yè)務(wù)是優(yōu)質(zhì)教育教學(xué)的促進劑。我區(qū)教育城域網(wǎng)通過服務(wù)器虛擬化與存儲虛擬化技術(shù)，為全區(qū)師生提供了一個安全穩(wěn)定的應(yīng)用業(yè)務(wù)支撐系統(tǒng)。

我區(qū)教育城域網(wǎng)數(shù)據(jù)中心通過對16臺服務(wù)器和3套不同類型存儲的虛擬化部署，形成教育虛擬化資源池，在池中同時運行了將近80個應(yīng)用系統(tǒng)，是傳統(tǒng)部署模式的五倍。在成熟穩(wěn)定的虛擬化技術(shù)的幫助下，不管是新應(yīng)用業(yè)務(wù)的上架，還是原有應(yīng)用業(yè)務(wù)的安全升級，都能在安全穩(wěn)定的環(huán)境里飛速的展開。豐富而又便捷的維護工具，大大節(jié)約了維護的時間，有效節(jié)省了人力成本。

3.3 終端接入實現(xiàn)實名授權(quán)管理

自2013年起，我區(qū)就開始研究如何有效地做好接入終端的安全工作。通過多年的實踐與改進，我們總結(jié)出了一套行之有效的接入終端安全控制機制：有線無線一體化統(tǒng)一實名認證系統(tǒng)。

（1）“三方聯(lián)動”設(shè)計框架。

一體化認證系統(tǒng)設(shè)計部署在城域網(wǎng)數(shù)據(jù)中心，不改變學(xué)校原有的網(wǎng)絡(luò)結(jié)構(gòu)，實現(xiàn)改動最小化，效益最大化。一體化認證系統(tǒng)主要功能通過“三方聯(lián)動”來實現(xiàn)，系統(tǒng)通過智慧教育云平臺認證系統(tǒng)進行用戶實名信息控制，通過迪訊CNS的DDI系統(tǒng)對終端設(shè)備進行準入控制，通過深信服的上網(wǎng)行為管理系統(tǒng)對用戶設(shè)備進行上網(wǎng)行為的準出控制與日志管理。三方系統(tǒng)進行有效聯(lián)動，完成對入網(wǎng)設(shè)備、用戶信息、上網(wǎng)日志的統(tǒng)一管理，實現(xiàn)對接入終端完整的安全控制管理。

（2）實行用戶自主管理。

為方便用戶自我管理和長期穩(wěn)定運行，一體化認證系統(tǒng)根據(jù)組織層級分三級管理模式進行設(shè)計：個人用戶通過智慧教育云平臺系統(tǒng)進行自主設(shè)備管理和上網(wǎng)記錄的查看；學(xué)校管理員對本校用戶進行集中管理和上網(wǎng)行為統(tǒng)計分析；區(qū)級管理員對用戶的上線信息、身份分組、權(quán)限分組、系統(tǒng)日志、接口賬號、統(tǒng)計分析等進行全面管理。

（3）無感綁定終端信息

一體化認證系統(tǒng)采用WEB Portal的認證方式，在不安裝C/S端程序的情況下通過迪訊CNS的DDI系統(tǒng)跨三層獲取用戶終端設(shè)備的指紋信息，同時將設(shè)備、賬號、用戶、日志等進行關(guān)聯(lián)，確定終端的歸屬信息。

（4）私人設(shè)備自動認證

為保障應(yīng)用業(yè)務(wù)安全，教育城域網(wǎng)內(nèi)的設(shè)備在一定的時間內(nèi)沒有訪問流量，認證系統(tǒng)體系會對其做離線操作，再次訪問互聯(lián)網(wǎng)則需要重新認證。針對教師的私人終端設(shè)備，我們提供了貼心的無感知認證服務(wù)。一體化認證系統(tǒng)將會通過無感知設(shè)備的指紋信息來確定設(shè)備的歸屬者，對其進行自動上線操作，在保證終端安全實名的前提下，最大程度優(yōu)化用戶體驗。

3.4 應(yīng)用系統(tǒng)實現(xiàn)集約部署

因?qū)W校人員、資金等各方面的限制，小規(guī)模學(xué)校較難開設(shè)一個完整的門戶網(wǎng)站，也無法對網(wǎng)站安全做出有效的管理。為此，我區(qū)于2017年對原有的網(wǎng)站集群系統(tǒng)進行了全面升級，全面接入了智慧教育云平臺統(tǒng)一管理，不僅在功能上更加豐富，同時在安全上也得到了全面的提升。

4 成效

經(jīng)過多年的分步實施建設(shè)，我區(qū)教育城域網(wǎng)已基本構(gòu)建完成了一整套的安全管理體系，針對教育城域網(wǎng)的各個組成部分都有了明確的安全規(guī)劃與管理制度，在提供穩(wěn)定可靠的用戶訪問的同時，也保障了業(yè)務(wù)的安全運行。

4.1 核心設(shè)備安全可靠

“雙主高可用”萬兆互聯(lián)的骨干核心設(shè)備，上架至今四年時間里，曾出現(xiàn)過兩次單設(shè)備故障，但沒有對整體業(yè)務(wù)產(chǎn)生任何影響，充分體現(xiàn)了“雙主高可用”策略的安全可靠。

4.2 業(yè)務(wù)服務(wù)安全可用

虛擬化業(yè)務(wù)服務(wù)支撐系統(tǒng)，極大地方便了業(yè)務(wù)服務(wù)系統(tǒng)的開展與運行。在虛擬化技術(shù)的輔助下，我區(qū)業(yè)務(wù)服務(wù)系統(tǒng)長年穩(wěn)定安全開放，有力地促進了我區(qū)教育信息化水平的提升。

4.3 接入終端安全可控

有線無線一體化統(tǒng)一實名認證系統(tǒng)現(xiàn)已在我區(qū)教育城域網(wǎng)全面投入使用，網(wǎng)內(nèi)通過一體化認證系統(tǒng)進行認證的日常在線設(shè)備數(shù)超過10000臺，已經(jīng)成為我區(qū)教育信息化不可或缺的一個重要組成部分。完善的統(tǒng)一認證體系，為教育城域網(wǎng)的網(wǎng)絡(luò)安全建設(shè)提供了強而有力的保障，也為泛在學(xué)習(xí)環(huán)境的建設(shè)打下了結(jié)實的安全基礎(chǔ)。

在現(xiàn)在的建設(shè)情況下，為了使教育城域網(wǎng)更加安全穩(wěn)定，我們計劃就態(tài)勢感知系統(tǒng)和存儲虛擬化分層技術(shù)做進一步的深入研究。

[1]劉文.基于智慧校園的高校網(wǎng)絡(luò)安全優(yōu)化分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（02）.

[2]王麗芳.計算機網(wǎng)絡(luò)的信息安全與管理研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（11）.

[3]劉庚.無線網(wǎng)絡(luò)安全風險研究及關(guān)鍵技術(shù)應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（11）.