如何構筑教育城域網絡安全防線的思考

◆羅 勇

(臺州市黃巖區教育局 浙江 318020)

1 教育城域網特點及問題分析

1.1 用戶規模大，群體活躍

我區有70多所公辦中小學、幼兒園和100多所民辦學校接入教育城域網。公辦學校通過 1000M 裸光纖，民辦學校通過1000M電信匯聚光纖跟教育局信息中心互聯。入網主機數量龐大，上網用戶數大。部分學生對網絡技術充滿好奇，會用網上學到的各種攻擊技術進行嘗試，可能對網絡產生一定的破壞和影響。

1.2 學校網絡布線凌亂，缺少合理規劃

我區大部分校園網始建于10幾年前，隨著學校的發展、建設需要，設備不斷擴充、改造，原有的網絡架構已經面目全非，不能適應目前復雜的應用。嚴重影響了網絡性能和安全，造成網速緩慢，安全、可靠性難以保證。

1.3 網絡環境開放，缺乏足夠的防護

教育城域網網內用戶為教師和學生，因此城域網承擔著教育、學習等方方面面的應用，它的特殊性決定了網絡環境的開放性，網絡出口面臨的安全風險是最大的，一旦受到攻擊或感染蠕蟲病毒，輕則引起網絡卡頓，重則導致骨干網癱瘓。

1.4 互聯網信息量大，管控難

互聯網是極度開放的信息空間，跨地域、跨時空，上面有著豐富的資源但也充斥著大量色情、暴力等危害性極強的信息，學生接收信息能力強，主觀分辨能力弱，極易模仿一些不良行為，對孩子造成極大傷害。有些教師在工作之余也存在瀏覽股票、網上購物等行為，這嚴重影響著正常的教學秩序。

1.5 非正常資源下載，侵蝕網絡帶寬

師生為了獲取網上資源，往往通過BT、迅雷、P2P等下載軟件，而這些軟件在結束下載任務后還駐留系統后臺，向外發送數據，嚴重消耗網絡帶寬，在不影響用戶體驗的情況下，有效的控流手段勢在必行。

1.6 手動設置IP地址，沖突嚴重

學校視規模大小都有幾十甚至幾百臺電腦。以前網管員會通過手動方式設定 IP地址，但隨著管理維護或其他人為原因，時間一長IP地址混亂，造成校園內IP沖突，輕則部分電腦不能上網，如果跟網絡核心設備沖突，會造成整個網絡癱瘓。

1.7 網管員專業知識缺乏，教師版權意識薄弱

學校網管員大都是從事信息技術教學的教師，沒有接受過網絡安全方面的專業培訓，因此很難具備相應的意識和技術手段。

多數教師版權意識淡薄，會使用一些盜版、試用的軟件，這些軟件可能攜帶病毒和惡意代碼，具有明顯的破壞性。

2 完善教育城域網網絡安全的幾點建議

2.1 三層骨干架構、校間網絡隔離

我區早期教育城域網骨干架構為二層三層混合模式，部分學校跟局信息中心二層對接。運行一段時間后出現學校獲取局DHCP服務器異常，通過Ping 局核心網關，發現網絡延時嚴重，甚至出現丟包現象。經過各方面排查始終找不到問題點，困惑了很長一段時間。到學校實地排查后，最終發現是一個辦公室的小交換機出問題，一拔掉網線骨干網恢復正常。這個學校當時是二層接入局核心交換機，分析原因可能是交換機故障向外發送異常廣播數據包，導致數據包透傳到核心交換機，影響整個骨干網。如果當時該學校采用三層交換路由方式對接，校內的異常數據包就不會廣播到局核心交換機，因為能夠避免此類問題的發生。后來對全區二層接入的學校進行了三層網絡改造。至今沒有發生類似情況，網絡正常運行。

為保障學校間數據安全，避免因病毒或人為攻擊造成的影響，在局核心層和學校匯聚層交換機上做ACL訪問控制列表，使學校之間不能數據互訪。如2018年爆發的“勒索病毒”利用TCP 445、135、138、139端口進行攻擊，通過配置ACL策略，阻斷這些敏感端口的數據包，防止病毒蔓延。假如此時病毒已經進入城域網內或由師生通過物理介質帶入網內，也使其只能在某個學校內部傳播，而不會在城域網內大范圍擴散。

2.2 合理規劃VLAN，特殊應用間鏈路物理隔離

目前 IP地址資源緊缺，科學規劃，合理分配是網絡設計的重要環節。學校根據局分配的IP地址段，切合自身實際，進行校內VLAN劃分，實現不同網段的邏輯隔離，抑制廣播風暴。

校園無線網、視頻監控網，跟教學辦公網脫離，進行物理鏈路獨立組網，對一些內部應用如門禁系統等要求不接入城域網。通過此種方式做到辦公、教學、應用互不影響，也減少因個別終端的安全問題影響整個校園網絡。

2.3 安全防護設備聯動、取長補短

教育城域網的建立，對教育起到了很好的輔助作用，但與此同時網絡安全問題也變得越發突出。一般的城域網絡都具備網絡安全措施，但大多數安全設備都屬于靜態安全技術范疇，如防火墻。在這種情況下，入侵檢測系統應運而生。它屬于動態安全技術，能夠彌補防火墻的缺陷，除了能夠檢測來自外網的入侵，也能檢測內網不被允許的動作行為。

2.4 管控黃、賭、毒網站，實行身份認證

當前網絡安全形勢非常嚴峻，上級安全部門對網絡安全有嚴格的要求。按照要求我區積極開展相應的工作。在信息中心部署了行為審計、身份認證系統。對一些涉及黃、賭、毒等的不良網站進行過濾阻斷，對師生上網日志進行記錄，當出現網絡安全事故做到有據可查。

同時啟用了有線、無線用戶實名身份認證系統，并且跟浙江省師訓平臺進行對接，共享教師賬號信息。這樣不僅減少了學校網管員管理教師賬號的工作量，而且有效防止教師隨意泄露無線賬號的風險。

目前我區無線城域網已經建成，在無線體驗上，為免去教師跨學校要重新登錄的麻煩，部署了無感知認證系統，登錄后在全區任何學校都無須重新認證。

2.5 點、面結合，多管齊下，優化網絡帶寬

網內用戶資源下載量非常大，而城域網出口帶寬畢竟有限。有些非正常帶寬是因為教師使用軟件不當造成的無謂浪費，如迅雷、BT、視頻播放器等。這些軟件在默認退出時會駐留內存，向外網繼續分享數據，作為普通教師根本毫無察覺。當網內存在眾多此類情況時，累計的網絡流量是巨大的，嚴重侵占帶寬資源。

對此，我區采用以下幾種方式進行帶寬優化：

（1）借校本培訓機會，指導教師進行此類軟件的使用，強調下載、瀏覽完資源后及時關閉軟件，并傳授通過軟件設置及手動退出后臺進程的方法。

（2）在局信息中心部署流控設備，根據實際情況限制單IP的下載上傳速率。

（3）在局信息中心部署內容緩存設備，當多個用戶下載相同資源時，這個資源會緩存到本地設備中，接下來的用戶會直接從本地下載此資源，節省出口帶寬。

2.6 使用DHCP服務，避免地址沖突，減輕網管員維護量

隨著信息技術的應用普及，學校內部的計算機數量極速增加，少則幾十臺，多的幾百臺，手動分配 IP地址的方式已經無法滿足需求。特別是由于管理維護或其他人為原因經常會造成 IP地址沖突現象，DHCP技術是解決問題的有效方式。

每個學校單獨設立DHCP服務器不僅增加設備投入，而且增加網管員維護量。我區采取的做法是在局信息中心設立兩臺DHCP服務器，一主一副，相互冗余備份，在各學校匯聚層交換機做DHCP中繼。考慮到學校各網段內有固定設備如打印機等，在DHCP配置中排除前10位地址供此類設備手工指定使用。

2.7 增強網管員安全管理技能，提高教師日常應用水平

學校網管員是落實網絡安全的主力軍，提升網管員的安全意識，是落實網絡安全的根本保障。教師是最終使用者，他們不具備深層次的安全技能，但要有適當的制約，有責任去維護好自身計算機的安全。網管員通過定期開展校本培訓，以服務教學為核心思想和宗旨，對校內教師進行簡單實用的使用指導。

3 結束語

綜上所述，當今時代教育城域網為我國的教育教學提供非常便利的使用條件，同時還為教師學生提供了信息化教學和學習的保障，本文結合自身在教育城域網中擔任網管的相關工作經驗，對城域網的使用和管理進行了深度的分析和總結、思考，希望通過本文可以為從事教育城域網管理的同行提供一些參考依據。