教育城域网安全管理研究.docVIP

教育城域网安全管理研究 　　【摘要】随着教育城域网的普及，安全问题越来越受到关注。本文对教育城域网的架构进行分析，分析其各部分可能面临的安全问题，结合我区教育城域网，提出经济、有效的安全管理方法和建议。 　　【关键词】安全管理；教育城域网；上网行为管理 　　教育城域网是通过宽带骨干网连接教育局内部网和校园网的传输网络，它以网络技术为依托，以各种信息设施为支持，以教育软件和资源为基础，以实现现代化教育和管理为目的，为区域教育提供全方位信息化应用服务。教育城域网在运行管理中，普遍存在网络管理质量、方法和技术不够完善的情况，使教育城域网的安全管理现状不容乐观。本文以教育城域网为分析对象，对其中的安全管理问题进行初步探讨，以寻求经济、有效的安全管理方法和建议。 　　教育城域网是各中小学校及教育机构服务的教育专用网络。我区共接入网络节点190个，网点遍布全境，网内计算机数逾万台。网内业务有：网络教学、网络备课、学校管理、基础教育资源库、远程教育、教育管理等。 　　我们希望以业务分析为切入点，合理分解各项安全管理责任；但又能有机地组合成一体化的管理架构。 　　1.区教育城域网的网络结构与组织架构 　　1.1 评估业务流量，选择接入模式 　　因为教育的特殊性，学校数量与规模呈金字塔和倒金字塔型结构。幼儿园学校数最多，但校内终端数量少，网络流量小；往上，小学数量多，校内终端数量较少，网络流量也较小；直至高中，学校数少，但校内终端数量多，网络流量大。如：部分学校教师计算机数即逾300多套，学生机房7个，其它专用计算机30多套；而小如村级幼儿园，仅2套左右计算机；所以，在网络接入时，由校内终端数来测算流量，选择不同网速的接入模式。 　　根据接入终端数量与网络流量的大致测算，分为百兆光纤接入模式与ADSL接入专网模式，其中：光纤接入网络节点82个，ADSL接入网络节点108个。按当时的网络业务，给每台计算机估算流量为512K，以平均75%的同时上网台数测算，确定接入模式（如表1所示）。 　　因为使用了ADSL接入专网，使教育城域网服务网点的半径得以较大扩展。 　　1.2 合理分隔网络，落实管理责任 　　姜堰教育城域网在初期规划时，曾在建设三级交换网络与VLAN分隔的交换网络、路由分隔的互联网络等方案上做过选择，如何能较好地落实管理责任也是考虑的重点。因网点分布较散，而维护实力较弱，三级交换网络方案因多个学校在一个广播域内，增加了安全隐患，在第一时间被否决。考虑到VLAN的终端管理数量及其网络安全方面的原因，最终我们选择了路由分隔的互联网络方案，如图1所示。 　　使用路由来分隔主干网与各终端另一方面也是基于对网络安全的考虑，教育城域网内存在着大量非信任网络与不安全网络，通过路由可以较好地分隔网络。并且路由可阻隔一些基于二层协议的用户攻击行为和广播风暴、ARP欺骗等，减少非法流量对主干网的骚扰，对部分网络蠕虫的传染也可以起到一定的阻隔作用，在发生网络攻击时，也便于对结点的分离。但其的缺点也是明显的，降低了交换速度并容易形成流量瓶颈，限制了某些网络应用的使用。但根据普教网络的应用来看，这样的缺点并不足以严重。 　　在设备维护人员的安排上，根据与电信局达成的协议，其中光纤接入的网络节点由市教育信息中心与各接入单位负责保障，ADSL网络节点的维护由电信安装维护组负责保障。在光纤接入的网络节点管理上，由市教育信息中心负责主干网的保障，由各接入单位负责其局域网内的网络安全。 　　这样，较好地解决了设备保障方面的问题。最终落实了各单位管理责任，分解了管理任务。为实现安全管理打好基础。 　　2.教育城域网面临的安全问题与应对策略 　　2.1 主要的安全风险 　　因服务器群与普通网络终端承担的功能有较大的差异，服务器的安全风险远高于普通的网络终端。所以，服务器群的安全防护也应高于对网络终端的防护。下面对存在的安全现状进行简单分析。 　　2.1.1 网络安全现状分析 　　教育城域网中的计算机系统管理比较复杂，要求所有的终端系统实施统一的安全策略是非常困难的，即使有计算机出现了安全问题，要追踪查找用户也比较困难。同时，网络环境较为宽松，为适应各种应用，教育城域网主干网是充分开放的。在教育城域网内面临的主要威胁包括：计算机病毒、电子邮件病毒、蠕虫病毒、特洛伊木马、入侵攻击等等。除此之外，对网内发起的不良信息发布的控制也是比较重要的内容。 　　同时，网络资源的不良使用也很严重，往往一些非主要业务（如：迅雷、BT等）占据大量带宽，造成网络的涌堵。 　　2.1.2 服务器安全现状分析 　　服务器为网络内各终端提供着各类网络应用，如：WEB、FTP、MAIL、VOD、BT等等各类应用，都需要与服务器沟通。所以，服务器也成为网络环