軟硬結合，打造教育城域網安全體系

◆白駿烈

軟硬結合，打造教育城域網安全體系

◆白駿烈

（溫州市甌海區教師發展中心 浙江 325000）

教育信息化的飛速發展，給教育教學工作帶來便利的同時，也給教育城域網管理者如何安全有效地管理規劃城域網帶來諸多挑戰。網絡設備安全、應用數據安全、接入終端安全等都是管理者需要面對的安全問題。為了解決上述問題，筆者通過多年實踐，分析城域網安全體系的優缺點，總結出一套教育城域網的網絡安全體系規劃建設與管理模式，為其他地區城域網建設提供經驗和借鑒。

網絡安全；城域網；建設；實踐

1 前言

我區教育城域網首建于2004年，初步建成于2006年，覆蓋全區100多所學校，采用“星型”組網方式，匯聚學校數據信息，實行區級統一出口管理。在教育城域網建設的初始階段，我們關注的重點是網絡的暢通，教育城域網內全體老師能否流暢上網是教育城域網建設程度高低的一項重要指標。

隨著計算機技術的不斷發展，各式各樣的入侵、病毒、漏洞每時每刻都在威脅著教育城域網的網絡安全。2014年2月，習近平同志在中央網絡安全和信息化領導小組第一次會議上指出：“沒有網絡安全就沒有國家安全”。隨著《中華人民共和國網絡安全法》的頒布和《浙江省教育信息化“十三五”發展規劃》的實施，對教育城域網的網絡安全有了更為具體的要求。教育城域網不再只是一個提供上網服務的簡單網絡，還要滿足穩定性、可靠性、安全性、保密性等要求。為此，我們在原有的教育城域網基礎上進行了深化改造，逐步對教育城域網各方面進行全面升級，以滿足城域網內核心設備安全可靠、應用服務安全可用、接入終端安全可控、用戶行為安全可信的新時期教育城域網。

2 網絡安全建設原則與目標

教育城域網是一張覆蓋面積廣、用戶多、業務類型雜的網絡系統。作為教育城域網的管理者，需要通過完整的規劃設計與建設部署，才能確保教育城域網內信息流通安全可靠、數據存儲機密有效、操作行為合法可查。

教育城域網的網絡安全建設工作將遵循“頂層設計、統籌規劃、分步實施”的原則，以“集中管理、安全可靠、多方互動”為目標，以“強中心，弱學校”為思路，通過規劃指引方向，通過應用引領發展，通過技術支撐服務，最終建成一個使用技術新穎、覆蓋范圍廣泛、管理方便快捷的教育城域網網絡安全管理體系。

3 網絡安全整體規劃

在網絡安全建設的實踐過程中，我們遵循頂層設計的指導，通過幾年時間的分步實施，逐步對教育城域網內的骨干核心設備、業務支撐設備、行為審計設備、用戶接入終端等進行改造升級，穩步提升了教育城域網網絡安全系數，有效提高了教育城域網用戶使用體驗。

3.1 骨干設備實現“雙主高可用”萬兆互聯

教育城域網中心機房骨干鏈路安全設備是城域網系統中最核心的設備，是城域網聯通互聯網的入口，同時也是城域網網絡安全的守門者。

為保證骨干鏈路核心設備的安全穩定與可靠，我們選用從下一代智能防火墻—>網絡入侵防護系統—>上網行為管理—>核心交換機，所有的骨干鏈路上的網絡安全設備，均以雙機“雙主高可用”萬兆互聯模式運行，所有同類設備之間的用戶、數據、策略、日志都實時同步。各類設備在守護教育城域網的過程中，同類設備中任何一臺或任何一條鏈路出現故障，都可以保證網絡穩定暢通和網絡安全可靠，不對在網用戶的上網行為產生任何影響。

在出口互聯網線路上，為保障負載均衡與線路冗余，我們配備了共計5.5G的多運營商出口，其中包括3000M中國電信出口，2000M中國移動出口、500M中國聯通出口。同時通過自動優先尋址和負載均衡技術，分配最快訪問路徑給每個用戶，單條鏈路故障不影響城域網業務。

3.2 應用業務支撐設備實現虛擬化運行

教育城域網的關鍵作用是為師生的教育教學工作提供基礎環境，優秀的應用業務是優質教育教學的促進劑。我區教育城域網通過服務器虛擬化與存儲虛擬化技術，為全區師生提供了一個安全穩定的應用業務支撐系統。

我區教育城域網數據中心通過對16臺服務器和3套不同類型存儲的虛擬化部署，形成教育虛擬化資源池，在池中同時運行了將近80個應用系統，是傳統部署模式的五倍。在成熟穩定的虛擬化技術的幫助下，不管是新應用業務的上架，還是原有應用業務的安全升級，都能在安全穩定的環境里飛速的展開。豐富而又便捷的維護工具，大大節約了維護的時間，有效節省了人力成本。

3.3 終端接入實現實名授權管理

自2013年起，我區就開始研究如何有效地做好接入終端的安全工作。通過多年的實踐與改進，我們總結出了一套行之有效的接入終端安全控制機制：有線無線一體化統一實名認證系統。

（1）“三方聯動”設計框架。

一體化認證系統設計部署在城域網數據中心，不改變學校原有的網絡結構，實現改動最小化，效益最大化。一體化認證系統主要功能通過“三方聯動”來實現，系統通過智慧教育云平臺認證系統進行用戶實名信息控制，通過迪訊CNS的DDI系統對終端設備進行準入控制，通過深信服的上網行為管理系統對用戶設備進行上網行為的準出控制與日志管理。三方系統進行有效聯動，完成對入網設備、用戶信息、上網日志的統一管理，實現對接入終端完整的安全控制管理。

（2）實行用戶自主管理。

為方便用戶自我管理和長期穩定運行，一體化認證系統根據組織層級分三級管理模式進行設計：個人用戶通過智慧教育云平臺系統進行自主設備管理和上網記錄的查看；學校管理員對本校用戶進行集中管理和上網行為統計分析；區級管理員對用戶的上線信息、身份分組、權限分組、系統日志、接口賬號、統計分析等進行全面管理。

（3）無感綁定終端信息

一體化認證系統采用WEB Portal的認證方式，在不安裝C/S端程序的情況下通過迪訊CNS的DDI系統跨三層獲取用戶終端設備的指紋信息，同時將設備、賬號、用戶、日志等進行關聯，確定終端的歸屬信息。

（4）私人設備自動認證

為保障應用業務安全，教育城域網內的設備在一定的時間內沒有訪問流量，認證系統體系會對其做離線操作，再次訪問互聯網則需要重新認證。針對教師的私人終端設備，我們提供了貼心的無感知認證服務。一體化認證系統將會通過無感知設備的指紋信息來確定設備的歸屬者，對其進行自動上線操作，在保證終端安全實名的前提下，最大程度優化用戶體驗。

3.4 應用系統實現集約部署

因學校人員、資金等各方面的限制，小規模學校較難開設一個完整的門戶網站，也無法對網站安全做出有效的管理。為此，我區于2017年對原有的網站集群系統進行了全面升級，全面接入了智慧教育云平臺統一管理，不僅在功能上更加豐富，同時在安全上也得到了全面的提升。

4 成效

經過多年的分步實施建設，我區教育城域網已基本構建完成了一整套的安全管理體系，針對教育城域網的各個組成部分都有了明確的安全規劃與管理制度，在提供穩定可靠的用戶訪問的同時，也保障了業務的安全運行。

4.1 核心設備安全可靠

“雙主高可用”萬兆互聯的骨干核心設備，上架至今四年時間里，曾出現過兩次單設備故障，但沒有對整體業務產生任何影響，充分體現了“雙主高可用”策略的安全可靠。

4.2 業務服務安全可用

虛擬化業務服務支撐系統，極大地方便了業務服務系統的開展與運行。在虛擬化技術的輔助下，我區業務服務系統長年穩定安全開放，有力地促進了我區教育信息化水平的提升。

4.3 接入終端安全可控

有線無線一體化統一實名認證系統現已在我區教育城域網全面投入使用，網內通過一體化認證系統進行認證的日常在線設備數超過10000臺，已經成為我區教育信息化不可或缺的一個重要組成部分。完善的統一認證體系，為教育城域網的網絡安全建設提供了強而有力的保障，也為泛在學習環境的建設打下了結實的安全基礎。

在現在的建設情況下，為了使教育城域網更加安全穩定，我們計劃就態勢感知系統和存儲虛擬化分層技術做進一步的深入研究。

[1]劉文.基于智慧校園的高校網絡安全優化分析[J]. 網絡安全技術與應用，2018（02）.

[2]王麗芳.計算機網絡的信息安全與管理研究[J]. 網絡安全技術與應用，2019（11）.

[3]劉庚.無線網絡安全風險研究及關鍵技術應用[J]. 網絡安全技術與應用，2019（11）.