江蘇省泰州市姜堰區(qū)電化教育中心 孔志業(yè)

教育城域網(wǎng)是通過寬帶骨干網(wǎng)連接教育局內(nèi)部網(wǎng)和校園網(wǎng)的傳輸網(wǎng)絡(luò)，它以網(wǎng)絡(luò)技術(shù)為依托，以各種信息設(shè)施為支持，以教育軟件和資源為基礎(chǔ)，以實(shí)現(xiàn)現(xiàn)代化教育和管理為目的，為區(qū)域教育提供全方位信息化應(yīng)用服務(wù)。教育城域網(wǎng)在運(yùn)行管理中，普遍存在網(wǎng)絡(luò)管理質(zhì)量、方法和技術(shù)不夠完善的情況，使教育城域網(wǎng)的安全管理現(xiàn)狀不容樂觀。本文以教育城域網(wǎng)為分析對象，對其中的安全管理問題進(jìn)行初步探討，以尋求經(jīng)濟(jì)、有效的安全管理方法和建議。

教育城域網(wǎng)是各中小學(xué)校及教育機(jī)構(gòu)服務(wù)的教育專用網(wǎng)絡(luò)。我區(qū)共接入網(wǎng)絡(luò)節(jié)點(diǎn)190個，網(wǎng)點(diǎn)遍布全境，網(wǎng)內(nèi)計算機(jī)數(shù)逾萬臺。網(wǎng)內(nèi)業(yè)務(wù)有：網(wǎng)絡(luò)教學(xué)、網(wǎng)絡(luò)備課、學(xué)校管理、基礎(chǔ)教育資源庫、遠(yuǎn)程教育、教育管理等。

我們希望以業(yè)務(wù)分析為切入點(diǎn)，合理分解各項(xiàng)安全管理責(zé)任；但又能有機(jī)地組合成一體化的管理架構(gòu)。

1.區(qū)教育城域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)與組織架構(gòu)

1.1 評估業(yè)務(wù)流量，選擇接入模式

因?yàn)榻逃奶厥庑?，學(xué)校數(shù)量與規(guī)模呈金字塔和倒金字塔型結(jié)構(gòu)。幼兒園學(xué)校數(shù)最多，但校內(nèi)終端數(shù)量少，網(wǎng)絡(luò)流量小；往上，小學(xué)數(shù)量多，校內(nèi)終端數(shù)量較少，網(wǎng)絡(luò)流量也較??；直至高中，學(xué)校數(shù)少，但校內(nèi)終端數(shù)量多，網(wǎng)絡(luò)流量大。如：部分學(xué)校教師計算機(jī)數(shù)即逾300多套，學(xué)生機(jī)房7個，其它專用計算機(jī)30多套；而小如村級幼兒園，僅2套左右計算機(jī)；所以，在網(wǎng)絡(luò)接入時，由校內(nèi)終端數(shù)來測算流量，選擇不同網(wǎng)速的接入模式。

根據(jù)接入終端數(shù)量與網(wǎng)絡(luò)流量的大致測算，分為百兆光纖接入模式與ADSL接入專網(wǎng)模式，其中：光纖接入網(wǎng)絡(luò)節(jié)點(diǎn)82個，ADSL接入網(wǎng)絡(luò)節(jié)點(diǎn)108個。按當(dāng)時的網(wǎng)絡(luò)業(yè)務(wù)，給每臺計算機(jī)估算流量為512K，以平均75%的同時上網(wǎng)臺數(shù)測算，確定接入模式（如表1所示）。

因?yàn)槭褂昧薃DSL接入專網(wǎng)，使教育城域網(wǎng)服務(wù)網(wǎng)點(diǎn)的半徑得以較大擴(kuò)展。

1.2 合理分隔網(wǎng)絡(luò)，落實(shí)管理責(zé)任

姜堰教育城域網(wǎng)在初期規(guī)劃時，曾在建設(shè)三級交換網(wǎng)絡(luò)與VLAN分隔的交換網(wǎng)絡(luò)、路由分隔的互聯(lián)網(wǎng)絡(luò)等方案上做過選擇，如何能較好地落實(shí)管理責(zé)任也是考慮的重點(diǎn)。因網(wǎng)點(diǎn)分布較散，而維護(hù)實(shí)力較弱，三級交換網(wǎng)絡(luò)方案因多個學(xué)校在一個廣播域內(nèi)，增加了安全隱患，在第一時間被否決。考慮到VLAN的終端管理數(shù)量及其網(wǎng)絡(luò)安全方面的原因，最終我們選擇了路由分隔的互聯(lián)網(wǎng)絡(luò)方案，如圖1所示。

使用路由來分隔主干網(wǎng)與各終端另一方面也是基于對網(wǎng)絡(luò)安全的考慮，教育城域網(wǎng)內(nèi)存在著大量非信任網(wǎng)絡(luò)與不安全網(wǎng)絡(luò)，通過路由可以較好地分隔網(wǎng)絡(luò)。并且路由可阻隔一些基于二層協(xié)議的用戶攻擊行為和廣播風(fēng)暴、ARP欺騙等，減少非法流量對主干網(wǎng)的騷擾，對部分網(wǎng)絡(luò)蠕蟲的傳染也可以起到一定的阻隔作用，在發(fā)生網(wǎng)絡(luò)攻擊時，也便于對結(jié)點(diǎn)的分離。但其的缺點(diǎn)也是明顯的，降低了交換速度并容易形成流量瓶頸，限制了某些網(wǎng)絡(luò)應(yīng)用的使用。但根據(jù)普教網(wǎng)絡(luò)的應(yīng)用來看，這樣的缺點(diǎn)并不足以嚴(yán)重。

在設(shè)備維護(hù)人員的安排上，根據(jù)與電信局達(dá)成的協(xié)議，其中光纖接入的網(wǎng)絡(luò)節(jié)點(diǎn)由市教育信息中心與各接入單位負(fù)責(zé)保障，ADSL網(wǎng)絡(luò)節(jié)點(diǎn)的維護(hù)由電信安裝維護(hù)組負(fù)責(zé)保障。在光纖接入的網(wǎng)絡(luò)節(jié)點(diǎn)管理上，由市教育信息中心負(fù)責(zé)主干網(wǎng)的保障，由各接入單位負(fù)責(zé)其局域網(wǎng)內(nèi)的網(wǎng)絡(luò)安全。

這樣，較好地解決了設(shè)備保障方面的問題。最終落實(shí)了各單位管理責(zé)任，分解了管理任務(wù)。為實(shí)現(xiàn)安全管理打好基礎(chǔ)。

2.教育城域網(wǎng)面臨的安全問題與應(yīng)對策略

2.1 主要的安全風(fēng)險

因服務(wù)器群與普通網(wǎng)絡(luò)終端承擔(dān)的功能有較大的差異，服務(wù)器的安全風(fēng)險遠(yuǎn)高于普通的網(wǎng)絡(luò)終端。所以，服務(wù)器群的安全防護(hù)也應(yīng)高于對網(wǎng)絡(luò)終端的防護(hù)。下面對存在的安全現(xiàn)狀進(jìn)行簡單分析。

2.1.1 網(wǎng)絡(luò)安全現(xiàn)狀分析

教育城域網(wǎng)中的計算機(jī)系統(tǒng)管理比較復(fù)雜，要求所有的終端系統(tǒng)實(shí)施統(tǒng)一的安全策略是非常困難的，即使有計算機(jī)出現(xiàn)了安全問題，要追蹤查找用戶也比較困難。同時，網(wǎng)絡(luò)環(huán)境較為寬松，為適應(yīng)各種應(yīng)用，教育城域網(wǎng)主干網(wǎng)是充分開放的。在教育城域網(wǎng)內(nèi)面臨的主要威脅包括：計算機(jī)病毒、電子郵件病毒、蠕蟲病毒、特洛伊木馬、入侵攻擊等等。除此之外，對網(wǎng)內(nèi)發(fā)起的不良信息發(fā)布的控制也是比較重要的內(nèi)容。

同時，網(wǎng)絡(luò)資源的不良使用也很嚴(yán)重，往往一些非主要業(yè)務(wù)（如：迅雷、BT等）占據(jù)大量帶寬，造成網(wǎng)絡(luò)的涌堵。

2.1.2 服務(wù)器安全現(xiàn)狀分析

服務(wù)器為網(wǎng)絡(luò)內(nèi)各終端提供著各類網(wǎng)絡(luò)應(yīng)用，如：WEB、FTP、MAIL、VOD、BT等等各類應(yīng)用，都需要與服務(wù)器溝通。所以，服務(wù)器也成為網(wǎng)絡(luò)環(huán)境中，最容易引起攻擊的目標(biāo)。服務(wù)器的安全也直接影響著提供服務(wù)的質(zhì)量。

服務(wù)器的安全除了物理安全外，還存在著其它的安全威脅，如：機(jī)密數(shù)據(jù)的泄露、數(shù)據(jù)丟失和數(shù)據(jù)損壞、數(shù)據(jù)修改、拒絕服務(wù)、軟件錯誤等。

表1 網(wǎng)絡(luò)節(jié)點(diǎn)接入模式

我們一般使用硬件防火墻來阻擋拒絕服務(wù)，用冗余磁盤陣列（RAID）和備份措施來解決數(shù)據(jù)丟失和數(shù)據(jù)損壞，而用數(shù)據(jù)加密來防止機(jī)密數(shù)據(jù)的泄露，用充分的測試來發(fā)現(xiàn)軟件錯誤等。

當(dāng)然網(wǎng)絡(luò)上面最多的安全問題是數(shù)據(jù)修改，如：SQL注入、后門入侵等。這問題需要結(jié)合多種手段綜合處理，如：合理分配權(quán)限、使用防篡改程序等。

2.2 應(yīng)對策略

2.2.1 網(wǎng)絡(luò)安全的應(yīng)對策略

2.2.1.1 異常流量監(jiān)測

網(wǎng)絡(luò)中的安全攻擊、蠕蟲病毒以及垃圾流量等都會導(dǎo)致網(wǎng)絡(luò)流量的異常。所以，做好網(wǎng)絡(luò)的流量監(jiān)測是做好安全管理的一個手段，通過對異常流量的監(jiān)測與發(fā)現(xiàn)，能夠把網(wǎng)絡(luò)中的不穩(wěn)定因素給及時發(fā)現(xiàn)，并加以處理。

因我區(qū)教育城域網(wǎng)采用的是路由分隔的互聯(lián)網(wǎng)絡(luò)，我們在核心交換機(jī)處，能獲得各網(wǎng)絡(luò)節(jié)點(diǎn)的即時流量。同時，網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)量較少，監(jiān)控的范圍也能得到適當(dāng)控制。當(dāng)然，也可以配置交換機(jī)的SNMP，然后用prtg之類的軟件監(jiān)控端口，以觀察各網(wǎng)絡(luò)節(jié)點(diǎn)的流量。如果出現(xiàn)類似蠕蟲病毒大規(guī)模暴發(fā)等現(xiàn)象時，流量必然會出現(xiàn)異常，通過監(jiān)測就能較早發(fā)現(xiàn)問題的來源，及時介入。

2.2.1.2 上網(wǎng)行為管理

因教育城域網(wǎng)上面有著不同的業(yè)務(wù)平臺，在主干網(wǎng)絡(luò)上無法進(jìn)行過多的限制。如何規(guī)范上網(wǎng)行為，以保證正常業(yè)務(wù)的開展，但又能避免網(wǎng)絡(luò)資源的濫用，以及防范其它風(fēng)險。我們考慮在各中小學(xué)網(wǎng)絡(luò)節(jié)點(diǎn)出口處以及各ADSL接入后，布置上網(wǎng)行為管理類設(shè)備（如圖2所示），對各段網(wǎng)絡(luò)（即對校內(nèi)網(wǎng)絡(luò)的管理）分別進(jìn)行管理。

圖1 路由分隔的互聯(lián)網(wǎng)絡(luò)方

圖2 上網(wǎng)行為管理類設(shè)備布置

上網(wǎng)行為管理是指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、寬帶流量管理、信息收發(fā)審計、用戶行為分析。使用上網(wǎng)行為控制設(shè)備后，可有效防止：a.防止無關(guān)網(wǎng)絡(luò)行為影響工作效率；b.防止帶寬資源濫用；c.記錄上網(wǎng)軌跡滿足法規(guī)要求；d.管控外發(fā)信息，降低泄密風(fēng)險；e.防止病毒木馬等網(wǎng)絡(luò)風(fēng)險；

在使用上網(wǎng)行為管理設(shè)備的學(xué)校內(nèi)，要求：a.根據(jù)時段限制一些網(wǎng)絡(luò)應(yīng)用的使用，不能在上班時間內(nèi)進(jìn)行網(wǎng)絡(luò)游戲、炒股、網(wǎng)絡(luò)聊天等行為的發(fā)生，即對相關(guān)應(yīng)用進(jìn)行了封堵，上網(wǎng)行為管理設(shè)備可通過檢測網(wǎng)絡(luò)數(shù)據(jù)包中的特征碼來對常用的軟件和應(yīng)用進(jìn)行封堵。b.對各接入計算機(jī)進(jìn)行流量分配，限制如P2P之類的應(yīng)用大量擠占帶寬的情況。c.在全面管控用戶網(wǎng)絡(luò)行為的同時，要求詳細(xì)記錄用戶的網(wǎng)絡(luò)行為，如：訪問的網(wǎng)址、發(fā)布的信息、收發(fā)的郵件和QQ的聊天內(nèi)容等，并把它保存于日志服務(wù)器內(nèi)，以備事后的安全審計。d.使用了上網(wǎng)行為管理設(shè)備后，也減少了網(wǎng)絡(luò)病毒與木馬的感染。

2.2.1.3 安全審計

教育城域網(wǎng)絡(luò)在保證充分開放的基礎(chǔ)上，又要建立責(zé)任追查機(jī)制，所以，我們加入了安全審計方面的內(nèi)容。為上網(wǎng)行為管理設(shè)備增加日志服務(wù)器，用來保存一段時間內(nèi)的上網(wǎng)行為數(shù)據(jù)。以防在出現(xiàn)安全問題后，能通過審計的方式來還原問題的發(fā)生，以追查相關(guān)的責(zé)任人。

2.2.2 服務(wù)器安全

2.2.2.1 “最少權(quán)限原則”

最少權(quán)限原則可以用來提高計算機(jī)系統(tǒng)的安全性。它是一個基本的、但又是非常重要的而且容易為我們忽略的原則。該原則包含如下內(nèi)容：

一個用戶（或者一個進(jìn)程）應(yīng)該擁有能夠執(zhí)行分配給他的任務(wù)的最低級別的權(quán)限。

遵循該原則，我們在服務(wù)器群端接入網(wǎng)絡(luò)防火墻，以控制網(wǎng)絡(luò)對服務(wù)器的訪問。對提供網(wǎng)絡(luò)應(yīng)用的服務(wù)器僅開放了有網(wǎng)絡(luò)應(yīng)用的端口，在防火墻端進(jìn)行了訪問控制列表（ACL）設(shè)置。在服務(wù)器的設(shè)置中，根據(jù)應(yīng)用合理開設(shè)用戶與設(shè)定權(quán)限，盡可能的提供最小化權(quán)限，以盡可能減少黑客入侵的渠道。

2.2.2.2 容災(zāi)與備份技術(shù)

容災(zāi)備份技術(shù)是在引起系統(tǒng)非正常停機(jī)的事件后，保證生產(chǎn)系統(tǒng)的數(shù)據(jù)盡量少丟失的情況下，保持生存系統(tǒng)的業(yè)務(wù)不間斷地運(yùn)行的手段。對于數(shù)據(jù)丟失和數(shù)據(jù)損壞，只有一種真正的保護(hù)措施：備份。

我們針對服務(wù)器一般進(jìn)行本地容災(zāi)，雙機(jī)熱備技術(shù)能較好地解決單機(jī)故障引發(fā)的網(wǎng)絡(luò)服務(wù)中斷問題。同時，為保障數(shù)據(jù)的安全，對數(shù)據(jù)應(yīng)該進(jìn)行熱備與冷備相結(jié)合的方法，對重要數(shù)據(jù)定時定期進(jìn)行網(wǎng)絡(luò)備份。

2.2.2.3 網(wǎng)絡(luò)防火墻與入侵檢測技術(shù)

硬件防火墻與入侵檢測技術(shù)是保障系統(tǒng)安全的重要手段，硬件防火墻除了可以通過訪問控制列表（ACL）限制網(wǎng)絡(luò)訪問，還可以對高層協(xié)議的攻擊特征進(jìn)行識別以抵抗如：DOS等的能力。入侵檢測（IDS）則可以在各服務(wù)器端布署監(jiān)測點(diǎn)，以從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測是防火墻的合理補(bǔ)充。

安全管理是一個永恒的話題，網(wǎng)絡(luò)危害和安全防護(hù)總是在不斷地發(fā)展。我們在依賴人員職責(zé)落實(shí)的同時，也更應(yīng)依賴于管理制度及各類技術(shù)手段，以建立完整的安全管理體系，還網(wǎng)絡(luò)以平靜安寧。

[1]蘇秀強(qiáng),梁啟榮.中學(xué)校園網(wǎng)建設(shè)和應(yīng)用初探[J].

[2]張玉良.多媒體技術(shù)應(yīng)用[M].合肥:安徽大學(xué)出版社,2004(7).

[3]蘇小明.網(wǎng)絡(luò)校園發(fā)展前景初探[M].北京:中國人民大學(xué)出版社,2009,6.