如何構(gòu)筑教育城域網(wǎng)絡(luò)安全防線的思考

◆羅 勇

(臺(tái)州市黃巖區(qū)教育局 浙江 318020)

1 教育城域網(wǎng)特點(diǎn)及問題分析

1.1 用戶規(guī)模大，群體活躍

我區(qū)有70多所公辦中小學(xué)、幼兒園和100多所民辦學(xué)校接入教育城域網(wǎng)。公辦學(xué)校通過 1000M 裸光纖，民辦學(xué)校通過1000M電信匯聚光纖跟教育局信息中心互聯(lián)。入網(wǎng)主機(jī)數(shù)量龐大，上網(wǎng)用戶數(shù)大。部分學(xué)生對(duì)網(wǎng)絡(luò)技術(shù)充滿好奇，會(huì)用網(wǎng)上學(xué)到的各種攻擊技術(shù)進(jìn)行嘗試，可能對(duì)網(wǎng)絡(luò)產(chǎn)生一定的破壞和影響。

1.2 學(xué)校網(wǎng)絡(luò)布線凌亂，缺少合理規(guī)劃

我區(qū)大部分校園網(wǎng)始建于10幾年前，隨著學(xué)校的發(fā)展、建設(shè)需要，設(shè)備不斷擴(kuò)充、改造，原有的網(wǎng)絡(luò)架構(gòu)已經(jīng)面目全非，不能適應(yīng)目前復(fù)雜的應(yīng)用。嚴(yán)重影響了網(wǎng)絡(luò)性能和安全，造成網(wǎng)速緩慢，安全、可靠性難以保證。

1.3 網(wǎng)絡(luò)環(huán)境開放，缺乏足夠的防護(hù)

教育城域網(wǎng)網(wǎng)內(nèi)用戶為教師和學(xué)生，因此城域網(wǎng)承擔(dān)著教育、學(xué)習(xí)等方方面面的應(yīng)用，它的特殊性決定了網(wǎng)絡(luò)環(huán)境的開放性，網(wǎng)絡(luò)出口面臨的安全風(fēng)險(xiǎn)是最大的，一旦受到攻擊或感染蠕蟲病毒，輕則引起網(wǎng)絡(luò)卡頓，重則導(dǎo)致骨干網(wǎng)癱瘓。

1.4 互聯(lián)網(wǎng)信息量大，管控難

互聯(lián)網(wǎng)是極度開放的信息空間，跨地域、跨時(shí)空，上面有著豐富的資源但也充斥著大量色情、暴力等危害性極強(qiáng)的信息，學(xué)生接收信息能力強(qiáng)，主觀分辨能力弱，極易模仿一些不良行為，對(duì)孩子造成極大傷害。有些教師在工作之余也存在瀏覽股票、網(wǎng)上購物等行為，這嚴(yán)重影響著正常的教學(xué)秩序。

1.5 非正常資源下載，侵蝕網(wǎng)絡(luò)帶寬

師生為了獲取網(wǎng)上資源，往往通過BT、迅雷、P2P等下載軟件，而這些軟件在結(jié)束下載任務(wù)后還駐留系統(tǒng)后臺(tái)，向外發(fā)送數(shù)據(jù)，嚴(yán)重消耗網(wǎng)絡(luò)帶寬，在不影響用戶體驗(yàn)的情況下，有效的控流手段勢在必行。

1.6 手動(dòng)設(shè)置IP地址，沖突嚴(yán)重

學(xué)校視規(guī)模大小都有幾十甚至幾百臺(tái)電腦。以前網(wǎng)管員會(huì)通過手動(dòng)方式設(shè)定 IP地址，但隨著管理維護(hù)或其他人為原因，時(shí)間一長IP地址混亂，造成校園內(nèi)IP沖突，輕則部分電腦不能上網(wǎng)，如果跟網(wǎng)絡(luò)核心設(shè)備沖突，會(huì)造成整個(gè)網(wǎng)絡(luò)癱瘓。

1.7 網(wǎng)管員專業(yè)知識(shí)缺乏，教師版權(quán)意識(shí)薄弱

學(xué)校網(wǎng)管員大都是從事信息技術(shù)教學(xué)的教師，沒有接受過網(wǎng)絡(luò)安全方面的專業(yè)培訓(xùn)，因此很難具備相應(yīng)的意識(shí)和技術(shù)手段。

多數(shù)教師版權(quán)意識(shí)淡薄，會(huì)使用一些盜版、試用的軟件，這些軟件可能攜帶病毒和惡意代碼，具有明顯的破壞性。

2 完善教育城域網(wǎng)網(wǎng)絡(luò)安全的幾點(diǎn)建議

2.1 三層骨干架構(gòu)、校間網(wǎng)絡(luò)隔離

我區(qū)早期教育城域網(wǎng)骨干架構(gòu)為二層三層混合模式，部分學(xué)校跟局信息中心二層對(duì)接。運(yùn)行一段時(shí)間后出現(xiàn)學(xué)校獲取局DHCP服務(wù)器異常，通過Ping 局核心網(wǎng)關(guān)，發(fā)現(xiàn)網(wǎng)絡(luò)延時(shí)嚴(yán)重，甚至出現(xiàn)丟包現(xiàn)象。經(jīng)過各方面排查始終找不到問題點(diǎn)，困惑了很長一段時(shí)間。到學(xué)校實(shí)地排查后，最終發(fā)現(xiàn)是一個(gè)辦公室的小交換機(jī)出問題，一拔掉網(wǎng)線骨干網(wǎng)恢復(fù)正常。這個(gè)學(xué)校當(dāng)時(shí)是二層接入局核心交換機(jī)，分析原因可能是交換機(jī)故障向外發(fā)送異常廣播數(shù)據(jù)包，導(dǎo)致數(shù)據(jù)包透傳到核心交換機(jī)，影響整個(gè)骨干網(wǎng)。如果當(dāng)時(shí)該學(xué)校采用三層交換路由方式對(duì)接，校內(nèi)的異常數(shù)據(jù)包就不會(huì)廣播到局核心交換機(jī)，因?yàn)槟軌虮苊獯祟悊栴}的發(fā)生。后來對(duì)全區(qū)二層接入的學(xué)校進(jìn)行了三層網(wǎng)絡(luò)改造。至今沒有發(fā)生類似情況，網(wǎng)絡(luò)正常運(yùn)行。

為保障學(xué)校間數(shù)據(jù)安全，避免因病毒或人為攻擊造成的影響，在局核心層和學(xué)校匯聚層交換機(jī)上做ACL訪問控制列表，使學(xué)校之間不能數(shù)據(jù)互訪。如2018年爆發(fā)的“勒索病毒”利用TCP 445、135、138、139端口進(jìn)行攻擊，通過配置ACL策略，阻斷這些敏感端口的數(shù)據(jù)包，防止病毒蔓延。假如此時(shí)病毒已經(jīng)進(jìn)入城域網(wǎng)內(nèi)或由師生通過物理介質(zhì)帶入網(wǎng)內(nèi)，也使其只能在某個(gè)學(xué)校內(nèi)部傳播，而不會(huì)在城域網(wǎng)內(nèi)大范圍擴(kuò)散。

2.2 合理規(guī)劃VLAN，特殊應(yīng)用間鏈路物理隔離

目前 IP地址資源緊缺，科學(xué)規(guī)劃，合理分配是網(wǎng)絡(luò)設(shè)計(jì)的重要環(huán)節(jié)。學(xué)校根據(jù)局分配的IP地址段，切合自身實(shí)際，進(jìn)行校內(nèi)VLAN劃分，實(shí)現(xiàn)不同網(wǎng)段的邏輯隔離，抑制廣播風(fēng)暴。

校園無線網(wǎng)、視頻監(jiān)控網(wǎng)，跟教學(xué)辦公網(wǎng)脫離，進(jìn)行物理鏈路獨(dú)立組網(wǎng)，對(duì)一些內(nèi)部應(yīng)用如門禁系統(tǒng)等要求不接入城域網(wǎng)。通過此種方式做到辦公、教學(xué)、應(yīng)用互不影響，也減少因個(gè)別終端的安全問題影響整個(gè)校園網(wǎng)絡(luò)。

2.3 安全防護(hù)設(shè)備聯(lián)動(dòng)、取長補(bǔ)短

教育城域網(wǎng)的建立，對(duì)教育起到了很好的輔助作用，但與此同時(shí)網(wǎng)絡(luò)安全問題也變得越發(fā)突出。一般的城域網(wǎng)絡(luò)都具備網(wǎng)絡(luò)安全措施，但大多數(shù)安全設(shè)備都屬于靜態(tài)安全技術(shù)范疇，如防火墻。在這種情況下，入侵檢測系統(tǒng)應(yīng)運(yùn)而生。它屬于動(dòng)態(tài)安全技術(shù)，能夠彌補(bǔ)防火墻的缺陷，除了能夠檢測來自外網(wǎng)的入侵，也能檢測內(nèi)網(wǎng)不被允許的動(dòng)作行為。

2.4 管控黃、賭、毒網(wǎng)站，實(shí)行身份認(rèn)證

當(dāng)前網(wǎng)絡(luò)安全形勢非常嚴(yán)峻，上級(jí)安全部門對(duì)網(wǎng)絡(luò)安全有嚴(yán)格的要求。按照要求我區(qū)積極開展相應(yīng)的工作。在信息中心部署了行為審計(jì)、身份認(rèn)證系統(tǒng)。對(duì)一些涉及黃、賭、毒等的不良網(wǎng)站進(jìn)行過濾阻斷，對(duì)師生上網(wǎng)日志進(jìn)行記錄，當(dāng)出現(xiàn)網(wǎng)絡(luò)安全事故做到有據(jù)可查。

同時(shí)啟用了有線、無線用戶實(shí)名身份認(rèn)證系統(tǒng)，并且跟浙江省師訓(xùn)平臺(tái)進(jìn)行對(duì)接，共享教師賬號(hào)信息。這樣不僅減少了學(xué)校網(wǎng)管員管理教師賬號(hào)的工作量，而且有效防止教師隨意泄露無線賬號(hào)的風(fēng)險(xiǎn)。

目前我區(qū)無線城域網(wǎng)已經(jīng)建成，在無線體驗(yàn)上，為免去教師跨學(xué)校要重新登錄的麻煩，部署了無感知認(rèn)證系統(tǒng)，登錄后在全區(qū)任何學(xué)校都無須重新認(rèn)證。

2.5 點(diǎn)、面結(jié)合，多管齊下，優(yōu)化網(wǎng)絡(luò)帶寬

網(wǎng)內(nèi)用戶資源下載量非常大，而城域網(wǎng)出口帶寬畢竟有限。有些非正常帶寬是因?yàn)榻處熓褂密浖划?dāng)造成的無謂浪費(fèi)，如迅雷、BT、視頻播放器等。這些軟件在默認(rèn)退出時(shí)會(huì)駐留內(nèi)存，向外網(wǎng)繼續(xù)分享數(shù)據(jù)，作為普通教師根本毫無察覺。當(dāng)網(wǎng)內(nèi)存在眾多此類情況時(shí)，累計(jì)的網(wǎng)絡(luò)流量是巨大的，嚴(yán)重侵占帶寬資源。

對(duì)此，我區(qū)采用以下幾種方式進(jìn)行帶寬優(yōu)化：

（1）借校本培訓(xùn)機(jī)會(huì)，指導(dǎo)教師進(jìn)行此類軟件的使用，強(qiáng)調(diào)下載、瀏覽完資源后及時(shí)關(guān)閉軟件，并傳授通過軟件設(shè)置及手動(dòng)退出后臺(tái)進(jìn)程的方法。

（2）在局信息中心部署流控設(shè)備，根據(jù)實(shí)際情況限制單IP的下載上傳速率。

（3）在局信息中心部署內(nèi)容緩存設(shè)備，當(dāng)多個(gè)用戶下載相同資源時(shí)，這個(gè)資源會(huì)緩存到本地設(shè)備中，接下來的用戶會(huì)直接從本地下載此資源，節(jié)省出口帶寬。

2.6 使用DHCP服務(wù)，避免地址沖突，減輕網(wǎng)管員維護(hù)量

隨著信息技術(shù)的應(yīng)用普及，學(xué)校內(nèi)部的計(jì)算機(jī)數(shù)量極速增加，少則幾十臺(tái)，多的幾百臺(tái)，手動(dòng)分配 IP地址的方式已經(jīng)無法滿足需求。特別是由于管理維護(hù)或其他人為原因經(jīng)常會(huì)造成 IP地址沖突現(xiàn)象，DHCP技術(shù)是解決問題的有效方式。

每個(gè)學(xué)校單獨(dú)設(shè)立DHCP服務(wù)器不僅增加設(shè)備投入，而且增加網(wǎng)管員維護(hù)量。我區(qū)采取的做法是在局信息中心設(shè)立兩臺(tái)DHCP服務(wù)器，一主一副，相互冗余備份，在各學(xué)校匯聚層交換機(jī)做DHCP中繼?？紤]到學(xué)校各網(wǎng)段內(nèi)有固定設(shè)備如打印機(jī)等，在DHCP配置中排除前10位地址供此類設(shè)備手工指定使用。

2.7 增強(qiáng)網(wǎng)管員安全管理技能，提高教師日常應(yīng)用水平

學(xué)校網(wǎng)管員是落實(shí)網(wǎng)絡(luò)安全的主力軍，提升網(wǎng)管員的安全意識(shí)，是落實(shí)網(wǎng)絡(luò)安全的根本保障。教師是最終使用者，他們不具備深層次的安全技能，但要有適當(dāng)?shù)闹萍s，有責(zé)任去維護(hù)好自身計(jì)算機(jī)的安全。網(wǎng)管員通過定期開展校本培訓(xùn)，以服務(wù)教學(xué)為核心思想和宗旨，對(duì)校內(nèi)教師進(jìn)行簡單實(shí)用的使用指導(dǎo)。

3 結(jié)束語

綜上所述，當(dāng)今時(shí)代教育城域網(wǎng)為我國的教育教學(xué)提供非常便利的使用條件，同時(shí)還為教師學(xué)生提供了信息化教學(xué)和學(xué)習(xí)的保障，本文結(jié)合自身在教育城域網(wǎng)中擔(dān)任網(wǎng)管的相關(guān)工作經(jīng)驗(yàn)，對(duì)城域網(wǎng)的使用和管理進(jìn)行了深度的分析和總結(jié)、思考，希望通過本文可以為從事教育城域網(wǎng)管理的同行提供一些參考依據(jù)。