前言:想要寫出一篇引人入勝的文章?我們特意為您整理了教育城網(wǎng)絡(luò)安全管理實踐探究范文,希望能給你帶來靈感和參考,敬請閱讀。
教育城域網(wǎng)是區(qū)域教育信息化建設(shè)和教育現(xiàn)代化進程中重要的基礎(chǔ)設(shè)施之一,對區(qū)域教育教學(xué)的發(fā)展具有重大的推動作用。目前,我國絕大多數(shù)地區(qū)或城市都已建設(shè)了符合自身實際需求的教育城域網(wǎng)。隨著教育城域網(wǎng)的普遍使用,網(wǎng)絡(luò)節(jié)點的不斷增加,網(wǎng)絡(luò)帶寬的不斷擴充,網(wǎng)絡(luò)承載的教育教學(xué)業(yè)務(wù)也越來越多,這對教育城域網(wǎng)的安全性及可靠性提出了更高的要求。作為教育城域網(wǎng)的管理人員,應(yīng)把網(wǎng)絡(luò)安全工作放在首要地位,及時排查安全風(fēng)險,采取有效策略與措施,筑牢安全防線,防患于未然,打造一個安全可靠的教育城域網(wǎng)絡(luò)。
一、教育城域網(wǎng)的特點
教育城域網(wǎng)是區(qū)域教育的專屬網(wǎng)絡(luò),是一個將當(dāng)?shù)亟逃謨?nèi)部網(wǎng)、各校園網(wǎng)連接起來的傳輸網(wǎng)絡(luò)。教育城域網(wǎng)具有以下特點。
1.教育專用性
教育城域網(wǎng)的基本結(jié)構(gòu)由網(wǎng)絡(luò)中心、接入分支、應(yīng)用與資源中心以及外聯(lián)網(wǎng)出口四個部分組成。網(wǎng)絡(luò)中心由當(dāng)?shù)亟逃衷O(shè)立,一般只允許學(xué)校、幼兒園及其他教育機構(gòu)通過光纖直連接入,或利用當(dāng)?shù)毓镁W(wǎng)信道通過虛擬組網(wǎng)方式形成邏輯獨立的通道接入。應(yīng)用與資源中心的各種應(yīng)用和資源都是專為教育教學(xué)服務(wù)的。外聯(lián)網(wǎng)出口接入的是中國教育科研網(wǎng),或是當(dāng)?shù)亟逃肿庥玫碾娦胚\營商網(wǎng)絡(luò)帶寬專用出口。
2.網(wǎng)絡(luò)節(jié)點規(guī)模大
教育城域網(wǎng)一般采用“星形”組網(wǎng)結(jié)構(gòu),一個中心,許多個分支,每個分支下面又有很多個節(jié)點。例如,越秀區(qū)有公辦中小學(xué)、幼兒園、民辦學(xué)校以及教育局直屬單位共108個單位接入了教育城域網(wǎng),整個網(wǎng)絡(luò)的節(jié)點數(shù)量非常之多。而對于一些相對較大的區(qū)域來說,接入教育城域網(wǎng)的單位可達千個以上,網(wǎng)絡(luò)節(jié)點數(shù)量就更龐大了。
3.用戶以師生為主
接入教育城域網(wǎng)的單位大部分是學(xué)校和幼兒園,所以用戶主要是教師與學(xué)生。教師與學(xué)生是兩個特殊的網(wǎng)絡(luò)參與群體,教師主要利用網(wǎng)絡(luò)來輔助教育教學(xué)工作,提高教育管理水平和教學(xué)質(zhì)量;學(xué)生主要利用網(wǎng)絡(luò)學(xué)習(xí)到更多的知識,提高信息素養(yǎng)。
二、教育城域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險分析
教育城域網(wǎng)雖然是教育的專用網(wǎng),但由于其內(nèi)部結(jié)構(gòu)、用戶群體、網(wǎng)絡(luò)應(yīng)用具有特殊性,故教育城域網(wǎng)一般存在以下網(wǎng)絡(luò)安全風(fēng)險。
1.用戶安全防范意識薄弱
學(xué)生思維活躍,對互聯(lián)網(wǎng)充滿好奇,但是他們的社會閱歷尚淺,網(wǎng)絡(luò)鑒別能力較差,容易受騙或者無意中下載病毒。部分教師和管理人員保護信息安全的意識不強,其中最突出的是使用弱口令問題。例如,在應(yīng)用與資源中心運行的信息系統(tǒng)中,有不少教師用戶使用弱口令或默認口令;有部分學(xué)校的網(wǎng)絡(luò)設(shè)備管理口令仍然使用默認口令,甚至是空口令。這些往往是導(dǎo)致網(wǎng)絡(luò)安全事故發(fā)生的重要隱患。
2.部分學(xué)校
IP地址規(guī)劃不合理 管理不科學(xué)每個學(xué)校的終端規(guī)模、場所面積以及功能區(qū)域分布各不相同,故IP地址的劃分也應(yīng)不同,這要根據(jù)學(xué)校的實際情況而定。由于各校網(wǎng)絡(luò)管理員的技術(shù)和管理水平參差不齊,所以它們的IP地址規(guī)劃在合理性及管理的科學(xué)性上存在較大差異。部分學(xué)校沒有配備專職網(wǎng)絡(luò)管理員,而是由其他學(xué)科教師兼任,這些學(xué)校的IP地址往往沒有進行VLAN劃分或者劃分不合理,更沒有做好IP地址的合理分配使用與回收,這樣極容易造成網(wǎng)絡(luò)風(fēng)暴、IP地址沖突等現(xiàn)象,導(dǎo)致整個校園網(wǎng)絡(luò)變得十分脆弱,特別容易癱瘓。
3.惡意應(yīng)用侵蝕網(wǎng)絡(luò)帶寬
教育城域網(wǎng)的網(wǎng)絡(luò)出口帶寬是有限的,合理分配利用尤為重要。目前,教育城域網(wǎng)中存在不少非教育教學(xué)的大流量上傳下載惡意應(yīng)用,這些應(yīng)用會嚴重損耗網(wǎng)絡(luò)帶寬,直接影響日常教育教學(xué)的上網(wǎng)體驗。例如某些P2P應(yīng)用,其流量非常大,有時占到整個網(wǎng)絡(luò)帶寬的一半以上,這樣就會使正常上網(wǎng)應(yīng)用的流量得不到有效保障。
4.私設(shè)無線網(wǎng)絡(luò)問題嚴重
如今,移動應(yīng)用越來越廣泛,越來越多的移動設(shè)備需要接入校園網(wǎng),例如手機、平板電腦等。但不少學(xué)校沒有建設(shè)規(guī)范的無線網(wǎng)絡(luò),有些教師或管理人員為了一時方便,使用熱點或自行購買一些簡單的設(shè)備,私自架設(shè)無線網(wǎng)絡(luò)接入校園網(wǎng)。這些無線網(wǎng)絡(luò)并沒有經(jīng)過規(guī)范設(shè)計,布局十分凌亂,接入密碼簡單,有些甚至連密碼都沒有設(shè)置,這樣非常容易讓不法分子入侵校園網(wǎng),存在嚴重的安全隱患。
5.對聯(lián)網(wǎng)的公共信息設(shè)施設(shè)備監(jiān)管不到位
一些學(xué)校對接入校園網(wǎng)的計算機、服務(wù)器、LED屏、教室電子班牌、教室一體機、監(jiān)控系統(tǒng)、廣播系統(tǒng)等缺少監(jiān)管,校內(nèi)無關(guān)人員可以隨意使用或進行網(wǎng)絡(luò)訪問。特別是存在一些聯(lián)網(wǎng)的僵尸計算機,長期開啟,無人管理,系統(tǒng)不更新,無防護措施,構(gòu)成極大隱患。
6.對內(nèi)部用戶的上網(wǎng)行為監(jiān)控不足
教育城域網(wǎng)內(nèi),用戶數(shù)量龐大,每時每刻都會產(chǎn)生大量的上網(wǎng)行為。學(xué)生的自制能力相對較差,經(jīng)常會做出一些不當(dāng)?shù)纳暇W(wǎng)行為,例如瀏覽一些非法網(wǎng)站,或者沉迷于網(wǎng)絡(luò)游戲等。一些不夠自律或法律意識不強的教師、管理人員也會在上班時間炒股、網(wǎng)上購物,或者利用翻墻軟件瀏覽境外網(wǎng)站等,更有甚者還可能發(fā)表不當(dāng)言論。由于部分學(xué)校沒有配備上網(wǎng)行為管理設(shè)備,或配備了但策略設(shè)置不恰當(dāng),所以對校內(nèi)用戶上網(wǎng)行為的監(jiān)控尤為不足。
7.應(yīng)用與資源中心部分信息系統(tǒng)向互聯(lián)網(wǎng)開放
應(yīng)用與資源中心中很多信息系統(tǒng)只允許用戶在教育城域網(wǎng)內(nèi)部訪問,但也有部分信息系統(tǒng)根據(jù)教育教學(xué)的特殊需求,需要向互聯(lián)網(wǎng)開放,以滿足教師、管理人員或?qū)W生、家長的遠程訪問需要。另外,為方便運維人員管理,某些信息系統(tǒng)或設(shè)備也需要實現(xiàn)遠程管理功能。信息系統(tǒng)或設(shè)備一旦向互聯(lián)網(wǎng)開放,就會面臨各種安全威脅,例如SQL注入、DDOS攻擊等,所以必須做好相應(yīng)的防護措施。
三、教育城域網(wǎng)網(wǎng)絡(luò)安全管理策略與措施
上述這些問題很直接地擺在教育城域網(wǎng)管理者的面前。筆者在進行越秀區(qū)教育城域網(wǎng)網(wǎng)絡(luò)安全工作的過程中,根據(jù)實際情況積極采取了一系列有效策略與防御措施,保障了教育城域網(wǎng)的安全穩(wěn)定運行。
1.人員管理方面
人具有主觀能動性,是風(fēng)險管理的關(guān)鍵,所以,要想做好網(wǎng)絡(luò)安全管理工作,第一步就是要把相關(guān)的人管理好。(1)提高師生網(wǎng)絡(luò)安全防范意識師生作為教育城域網(wǎng)中最主要的用戶群體,他們的上網(wǎng)行為是否規(guī)范直接影響整個教育城域網(wǎng)的網(wǎng)絡(luò)安全指數(shù)。因此要求學(xué)校根據(jù)自身實際開設(shè)網(wǎng)絡(luò)安全校本課程或開展網(wǎng)絡(luò)安全校本培訓(xùn),加強師生網(wǎng)絡(luò)安全教育,提高師生網(wǎng)絡(luò)安全與信息保護意識。倡導(dǎo)師生文明上網(wǎng)、安全上網(wǎng),不瀏覽非法網(wǎng)站信息,不參與非法網(wǎng)絡(luò)活動,不發(fā)表不當(dāng)言論,共同營造風(fēng)清氣正的教育城域網(wǎng)網(wǎng)絡(luò)環(huán)境。(2)提高學(xué)校網(wǎng)絡(luò)管理員技術(shù)水平與管理能力多渠道加大對學(xué)校網(wǎng)絡(luò)管理員和信息技術(shù)人員開展針對性較強的專業(yè)培訓(xùn)力度,如定期開展全區(qū)學(xué)校網(wǎng)絡(luò)管理員網(wǎng)絡(luò)安全培訓(xùn),邀請網(wǎng)絡(luò)安全專家進行授課或舉辦講座。通過理論學(xué)習(xí)與攻防實操相結(jié)合,提高學(xué)校網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)技術(shù)水平。通過下校指導(dǎo),或組織校園網(wǎng)絡(luò)安全管理交流活動,分享經(jīng)驗,交流心得,提高學(xué)校網(wǎng)絡(luò)管理員的管理能力。
2.技術(shù)保障方面
(1)優(yōu)化IP地址分配與管理教育城域網(wǎng)IP地址統(tǒng)一由教育局信息中心分配給各接入單位使用,遵循“頂層規(guī)劃,按需分配,自主管理,一機一IP”原則。根據(jù)各單位用戶數(shù)量及終端規(guī)模大小,分別把有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)及視頻監(jiān)控專用的不同IP段分配給學(xué)校,指導(dǎo)學(xué)校進行自主管理,要求三種類型網(wǎng)絡(luò)實行IP獨立組網(wǎng),并根據(jù)自身實際情況合理劃分VLAN,對辦公室、課室、電腦室等進行邏輯隔離,做好一機一IP登記,合理分配使用與回收IP地址。在教育城域網(wǎng)的網(wǎng)絡(luò)中心做好各校之間、應(yīng)用與資源中心的各信息系統(tǒng)服務(wù)器之間的物理隔離,保證特殊鏈路的聯(lián)通。(2)合理使用硬件技術(shù)教育城域網(wǎng)的中心機房骨干鏈路安全設(shè)備是最核心的設(shè)備,是教育城域網(wǎng)聯(lián)通互聯(lián)網(wǎng)的入口,同時也是教育城域網(wǎng)網(wǎng)絡(luò)安全的守門者[1]。在教育城域網(wǎng)的中心機房部署合適的安全管理設(shè)備是非常必要和重要的。①在網(wǎng)絡(luò)中心連接互聯(lián)網(wǎng)的入口處部署兩套下一代萬兆防火墻、萬兆上網(wǎng)行為管理設(shè)備、萬兆核心交換機,組成主備模式的雙鏈路,可以確保網(wǎng)絡(luò)的安全性與穩(wěn)定性。②設(shè)置網(wǎng)絡(luò)中心防火墻的安全防護策略,封閉不必要端口,有效阻擋外網(wǎng)的威脅與攻擊。陸續(xù)為各接入單位配備千兆防火墻,在每個分支中多增加一層防護屏障,以進一步加強整個教育城域網(wǎng)的防護能力。③設(shè)置網(wǎng)絡(luò)中心上網(wǎng)行為管理設(shè)備訪問控制、流量控制以及安全審計策略,禁止訪問賭博、色情、暴力、網(wǎng)絡(luò)游戲等危害青少年健康的網(wǎng)站,禁止教職員工上班時間炒股、網(wǎng)上購物、看電視劇等非教育教學(xué)行為,禁止用戶使用翻墻軟件、惡意應(yīng)用、工具。④設(shè)置防共享上網(wǎng)機制,監(jiān)控移動終端接入,禁止未授權(quán)無線網(wǎng)絡(luò)接入。限制單IP上傳下載網(wǎng)速,限制P2P流量,設(shè)置合理流量通道,保證正常的教育教學(xué)上網(wǎng)應(yīng)用流量帶寬。⑤對用戶發(fā)送的郵件(SMTP)、WebBBS發(fā)帖內(nèi)容及微博內(nèi)容等進行審計,設(shè)置關(guān)鍵字搜索黑名單,阻止非法的網(wǎng)絡(luò)活動。⑥通過使用堡壘機、VPN等設(shè)備,采取安全認證措施管理遠程系統(tǒng)接入,實現(xiàn)網(wǎng)絡(luò)中心機房便捷、安全、高效的運維。(3)合理使用軟件技術(shù)運用成熟穩(wěn)定的虛擬技術(shù),將教育城域網(wǎng)應(yīng)用與資源中心的服務(wù)器和存儲進行虛擬化部署管理,提高整體利用率,降低系統(tǒng)管理成本,提高數(shù)據(jù)安全性。通過使用全網(wǎng)上網(wǎng)態(tài)勢分析系統(tǒng),實現(xiàn)全網(wǎng)網(wǎng)絡(luò)流量以及網(wǎng)絡(luò)安全監(jiān)控,幫助管理人員實時監(jiān)控整體網(wǎng)絡(luò)流量狀態(tài),以及各個單位的流量狀態(tài),并發(fā)現(xiàn)各單位存在的不良上網(wǎng)行為,及時給予糾正。安裝正版網(wǎng)絡(luò)殺毒軟件,在應(yīng)用與資源中心部署殺毒軟件服務(wù)中心,各信息系統(tǒng)服務(wù)器以及重要辦公場所均安裝客戶端,以有效防止病毒傳播。
3.制度制訂與落實方面
(1)制訂合理的網(wǎng)絡(luò)安全管理制度通過制訂網(wǎng)絡(luò)安全管理制度,對教育城域網(wǎng)內(nèi)所有用戶上網(wǎng)行為進行約束,是一種有效管理方式。從教育局管理層面出發(fā),制訂并完善教育城域網(wǎng)網(wǎng)絡(luò)安全管理制度、教育城域網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案等,指引學(xué)校制訂符合自身實際的更具體、更細化的校園網(wǎng)絡(luò)安全管理制度。要求教育城域網(wǎng)內(nèi)所有用戶均須在這些制度框架下進行網(wǎng)絡(luò)活動,各校網(wǎng)絡(luò)管理員須盡職盡責(zé),若有違反制度或違規(guī)操作者,及時給予警示教育或合理懲罰。(2)落實等保測評相關(guān)制度等保測評(信息安全等級保護測評)是一項保證信息系統(tǒng)安全的非常重要的工作,通過等保測評,可發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險,經(jīng)過整改之后,可提高信息系統(tǒng)的安全防護能力,降低信息系統(tǒng)被攻擊的風(fēng)險。根據(jù)信息安全等級保護相關(guān)要求,規(guī)定教育城域網(wǎng)內(nèi)所有對外開放的信息系統(tǒng)必須通過網(wǎng)絡(luò)安全等級保護二級測評方可上線運行,沒有通過的不予上線運行。認真執(zhí)行等保測評相關(guān)制度,如人員管理制度、設(shè)施設(shè)備管理制度、信息系統(tǒng)運維管理制度等。(3)落實重點時期網(wǎng)絡(luò)安全零報告制度要做好教育城域網(wǎng)網(wǎng)絡(luò)安全的管理工作,一方面需要管理部門的認真落實,另一方面更需要各接入單位的大力配合。教育城域網(wǎng)重點時期網(wǎng)絡(luò)安全零報告制度要求各接入單位在重點或特殊時期,每天準時把單位的網(wǎng)絡(luò)安全情況(包括無問題)向教育局信息中心匯報,如遇突發(fā)事件應(yīng)立即處理并及時上報。通過這樣的機制督促,各接入單位能更好地開展網(wǎng)絡(luò)安全管理工作,讓教育局信息中心更全面、更具體地掌握全區(qū)教育城域網(wǎng)網(wǎng)絡(luò)安全情況。
四、思考
多年來,越秀區(qū)教育城域網(wǎng)安全穩(wěn)定運行,沒發(fā)生過網(wǎng)絡(luò)癱瘓、信息泄露等網(wǎng)絡(luò)安全事件,全區(qū)師生網(wǎng)絡(luò)安全意識逐步提高,各校網(wǎng)絡(luò)管理員技術(shù)水平和管理能力逐年提升。筆者在教育網(wǎng)城域網(wǎng)網(wǎng)絡(luò)安全管理實踐過程中雖積累了一定經(jīng)驗,但還遠遠不夠,面對新的問題,仍需不斷思考新的策略,不斷探索新的方式方法。第一,應(yīng)定期開展教育城域網(wǎng)網(wǎng)絡(luò)攻防演練,不定期到學(xué)校進行抽查指導(dǎo),檢驗學(xué)校對網(wǎng)絡(luò)應(yīng)急事件的處置能力,提升其網(wǎng)絡(luò)安全風(fēng)險防范能力。第二,應(yīng)在全區(qū)抽選一些優(yōu)秀的學(xué)校網(wǎng)絡(luò)管理員組成區(qū)級骨干團隊,通過點對點幫扶方式對區(qū)內(nèi)薄弱學(xué)校進行指導(dǎo)幫助,提高薄弱學(xué)校網(wǎng)絡(luò)管理員的技術(shù)水平及管理能力,從而實現(xiàn)全區(qū)學(xué)校網(wǎng)絡(luò)安全管理水平的整體提升。第三,隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)中自然也會出現(xiàn)一些新的安全威脅。面對這些新的安全威脅,管理者的應(yīng)對策略與防御技術(shù)不能因循守舊,必須與時俱進,不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全技術(shù),創(chuàng)新管理方式方法。第四,隨著智慧校園的大規(guī)模建設(shè),接入教育城域網(wǎng)的移動終端數(shù)量必將成倍增長,管理者應(yīng)對如何管理好這些數(shù)量越來越龐大的移動終端,做好更具前瞻性的規(guī)劃。
五、結(jié)語
教育城域網(wǎng)網(wǎng)絡(luò)安全管理工作是一項重要而復(fù)雜的工作,看似是三級分層模式(教育局、學(xué)校、用戶)的分散管理,其實是一個有機整體的統(tǒng)一管理,這需要網(wǎng)內(nèi)所有網(wǎng)絡(luò)參與者,特別是網(wǎng)絡(luò)管理人員的高度重視與積極配合,嚴格執(zhí)行各種規(guī)章制度,運用先進的技術(shù)及防御手段,才能保證教育城域網(wǎng)的長久穩(wěn)定運行。
參考文獻
[1]白駿烈.軟硬結(jié)合,打造教育城域網(wǎng)安全體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(5):92-93.
作者:馮巨恒 單位:廣州市越秀區(qū)教育信息中心