公務(wù)員期刊網(wǎng) 論文中心 正文

教育城網(wǎng)絡(luò)安全管理實(shí)踐探究

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了教育城網(wǎng)絡(luò)安全管理實(shí)踐探究范文,希望能給你帶來靈感和參考,敬請閱讀。

教育城網(wǎng)絡(luò)安全管理實(shí)踐探究

教育城域網(wǎng)是區(qū)域教育信息化建設(shè)和教育現(xiàn)代化進(jìn)程中重要的基礎(chǔ)設(shè)施之一,對區(qū)域教育教學(xué)的發(fā)展具有重大的推動(dòng)作用。目前,我國絕大多數(shù)地區(qū)或城市都已建設(shè)了符合自身實(shí)際需求的教育城域網(wǎng)。隨著教育城域網(wǎng)的普遍使用,網(wǎng)絡(luò)節(jié)點(diǎn)的不斷增加,網(wǎng)絡(luò)帶寬的不斷擴(kuò)充,網(wǎng)絡(luò)承載的教育教學(xué)業(yè)務(wù)也越來越多,這對教育城域網(wǎng)的安全性及可靠性提出了更高的要求。作為教育城域網(wǎng)的管理人員,應(yīng)把網(wǎng)絡(luò)安全工作放在首要地位,及時(shí)排查安全風(fēng)險(xiǎn),采取有效策略與措施,筑牢安全防線,防患于未然,打造一個(gè)安全可靠的教育城域網(wǎng)絡(luò)。

一、教育城域網(wǎng)的特點(diǎn)

教育城域網(wǎng)是區(qū)域教育的專屬網(wǎng)絡(luò),是一個(gè)將當(dāng)?shù)亟逃謨?nèi)部網(wǎng)、各校園網(wǎng)連接起來的傳輸網(wǎng)絡(luò)。教育城域網(wǎng)具有以下特點(diǎn)。

1.教育專用性

教育城域網(wǎng)的基本結(jié)構(gòu)由網(wǎng)絡(luò)中心、接入分支、應(yīng)用與資源中心以及外聯(lián)網(wǎng)出口四個(gè)部分組成。網(wǎng)絡(luò)中心由當(dāng)?shù)亟逃衷O(shè)立,一般只允許學(xué)校、幼兒園及其他教育機(jī)構(gòu)通過光纖直連接入,或利用當(dāng)?shù)毓镁W(wǎng)信道通過虛擬組網(wǎng)方式形成邏輯獨(dú)立的通道接入。應(yīng)用與資源中心的各種應(yīng)用和資源都是專為教育教學(xué)服務(wù)的。外聯(lián)網(wǎng)出口接入的是中國教育科研網(wǎng),或是當(dāng)?shù)亟逃肿庥玫碾娦胚\(yùn)營商網(wǎng)絡(luò)帶寬專用出口。

2.網(wǎng)絡(luò)節(jié)點(diǎn)規(guī)模大

教育城域網(wǎng)一般采用“星形”組網(wǎng)結(jié)構(gòu),一個(gè)中心,許多個(gè)分支,每個(gè)分支下面又有很多個(gè)節(jié)點(diǎn)。例如,越秀區(qū)有公辦中小學(xué)、幼兒園、民辦學(xué)校以及教育局直屬單位共108個(gè)單位接入了教育城域網(wǎng),整個(gè)網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量非常之多。而對于一些相對較大的區(qū)域來說,接入教育城域網(wǎng)的單位可達(dá)千個(gè)以上,網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量就更龐大了。

3.用戶以師生為主

接入教育城域網(wǎng)的單位大部分是學(xué)校和幼兒園,所以用戶主要是教師與學(xué)生。教師與學(xué)生是兩個(gè)特殊的網(wǎng)絡(luò)參與群體,教師主要利用網(wǎng)絡(luò)來輔助教育教學(xué)工作,提高教育管理水平和教學(xué)質(zhì)量;學(xué)生主要利用網(wǎng)絡(luò)學(xué)習(xí)到更多的知識(shí),提高信息素養(yǎng)。

二、教育城域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

教育城域網(wǎng)雖然是教育的專用網(wǎng),但由于其內(nèi)部結(jié)構(gòu)、用戶群體、網(wǎng)絡(luò)應(yīng)用具有特殊性,故教育城域網(wǎng)一般存在以下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1.用戶安全防范意識(shí)薄弱

學(xué)生思維活躍,對互聯(lián)網(wǎng)充滿好奇,但是他們的社會(huì)閱歷尚淺,網(wǎng)絡(luò)鑒別能力較差,容易受騙或者無意中下載病毒。部分教師和管理人員保護(hù)信息安全的意識(shí)不強(qiáng),其中最突出的是使用弱口令問題。例如,在應(yīng)用與資源中心運(yùn)行的信息系統(tǒng)中,有不少教師用戶使用弱口令或默認(rèn)口令;有部分學(xué)校的網(wǎng)絡(luò)設(shè)備管理口令仍然使用默認(rèn)口令,甚至是空口令。這些往往是導(dǎo)致網(wǎng)絡(luò)安全事故發(fā)生的重要隱患。

2.部分學(xué)校

IP地址規(guī)劃不合理 管理不科學(xué)每個(gè)學(xué)校的終端規(guī)模、場所面積以及功能區(qū)域分布各不相同,故IP地址的劃分也應(yīng)不同,這要根據(jù)學(xué)校的實(shí)際情況而定。由于各校網(wǎng)絡(luò)管理員的技術(shù)和管理水平參差不齊,所以它們的IP地址規(guī)劃在合理性及管理的科學(xué)性上存在較大差異。部分學(xué)校沒有配備專職網(wǎng)絡(luò)管理員,而是由其他學(xué)科教師兼任,這些學(xué)校的IP地址往往沒有進(jìn)行VLAN劃分或者劃分不合理,更沒有做好IP地址的合理分配使用與回收,這樣極容易造成網(wǎng)絡(luò)風(fēng)暴、IP地址沖突等現(xiàn)象,導(dǎo)致整個(gè)校園網(wǎng)絡(luò)變得十分脆弱,特別容易癱瘓。

3.惡意應(yīng)用侵蝕網(wǎng)絡(luò)帶寬

教育城域網(wǎng)的網(wǎng)絡(luò)出口帶寬是有限的,合理分配利用尤為重要。目前,教育城域網(wǎng)中存在不少非教育教學(xué)的大流量上傳下載惡意應(yīng)用,這些應(yīng)用會(huì)嚴(yán)重?fù)p耗網(wǎng)絡(luò)帶寬,直接影響日常教育教學(xué)的上網(wǎng)體驗(yàn)。例如某些P2P應(yīng)用,其流量非常大,有時(shí)占到整個(gè)網(wǎng)絡(luò)帶寬的一半以上,這樣就會(huì)使正常上網(wǎng)應(yīng)用的流量得不到有效保障。

4.私設(shè)無線網(wǎng)絡(luò)問題嚴(yán)重

如今,移動(dòng)應(yīng)用越來越廣泛,越來越多的移動(dòng)設(shè)備需要接入校園網(wǎng),例如手機(jī)、平板電腦等。但不少學(xué)校沒有建設(shè)規(guī)范的無線網(wǎng)絡(luò),有些教師或管理人員為了一時(shí)方便,使用熱點(diǎn)或自行購買一些簡單的設(shè)備,私自架設(shè)無線網(wǎng)絡(luò)接入校園網(wǎng)。這些無線網(wǎng)絡(luò)并沒有經(jīng)過規(guī)范設(shè)計(jì),布局十分凌亂,接入密碼簡單,有些甚至連密碼都沒有設(shè)置,這樣非常容易讓不法分子入侵校園網(wǎng),存在嚴(yán)重的安全隱患。

5.對聯(lián)網(wǎng)的公共信息設(shè)施設(shè)備監(jiān)管不到位

一些學(xué)校對接入校園網(wǎng)的計(jì)算機(jī)、服務(wù)器、LED屏、教室電子班牌、教室一體機(jī)、監(jiān)控系統(tǒng)、廣播系統(tǒng)等缺少監(jiān)管,校內(nèi)無關(guān)人員可以隨意使用或進(jìn)行網(wǎng)絡(luò)訪問。特別是存在一些聯(lián)網(wǎng)的僵尸計(jì)算機(jī),長期開啟,無人管理,系統(tǒng)不更新,無防護(hù)措施,構(gòu)成極大隱患。

6.對內(nèi)部用戶的上網(wǎng)行為監(jiān)控不足

教育城域網(wǎng)內(nèi),用戶數(shù)量龐大,每時(shí)每刻都會(huì)產(chǎn)生大量的上網(wǎng)行為。學(xué)生的自制能力相對較差,經(jīng)常會(huì)做出一些不當(dāng)?shù)纳暇W(wǎng)行為,例如瀏覽一些非法網(wǎng)站,或者沉迷于網(wǎng)絡(luò)游戲等。一些不夠自律或法律意識(shí)不強(qiáng)的教師、管理人員也會(huì)在上班時(shí)間炒股、網(wǎng)上購物,或者利用翻墻軟件瀏覽境外網(wǎng)站等,更有甚者還可能發(fā)表不當(dāng)言論。由于部分學(xué)校沒有配備上網(wǎng)行為管理設(shè)備,或配備了但策略設(shè)置不恰當(dāng),所以對校內(nèi)用戶上網(wǎng)行為的監(jiān)控尤為不足。

7.應(yīng)用與資源中心部分信息系統(tǒng)向互聯(lián)網(wǎng)開放

應(yīng)用與資源中心中很多信息系統(tǒng)只允許用戶在教育城域網(wǎng)內(nèi)部訪問,但也有部分信息系統(tǒng)根據(jù)教育教學(xué)的特殊需求,需要向互聯(lián)網(wǎng)開放,以滿足教師、管理人員或?qū)W生、家長的遠(yuǎn)程訪問需要。另外,為方便運(yùn)維人員管理,某些信息系統(tǒng)或設(shè)備也需要實(shí)現(xiàn)遠(yuǎn)程管理功能。信息系統(tǒng)或設(shè)備一旦向互聯(lián)網(wǎng)開放,就會(huì)面臨各種安全威脅,例如SQL注入、DDOS攻擊等,所以必須做好相應(yīng)的防護(hù)措施。

三、教育城域網(wǎng)網(wǎng)絡(luò)安全管理策略與措施

上述這些問題很直接地?cái)[在教育城域網(wǎng)管理者的面前。筆者在進(jìn)行越秀區(qū)教育城域網(wǎng)網(wǎng)絡(luò)安全工作的過程中,根據(jù)實(shí)際情況積極采取了一系列有效策略與防御措施,保障了教育城域網(wǎng)的安全穩(wěn)定運(yùn)行。

1.人員管理方面

人具有主觀能動(dòng)性,是風(fēng)險(xiǎn)管理的關(guān)鍵,所以,要想做好網(wǎng)絡(luò)安全管理工作,第一步就是要把相關(guān)的人管理好。(1)提高師生網(wǎng)絡(luò)安全防范意識(shí)師生作為教育城域網(wǎng)中最主要的用戶群體,他們的上網(wǎng)行為是否規(guī)范直接影響整個(gè)教育城域網(wǎng)的網(wǎng)絡(luò)安全指數(shù)。因此要求學(xué)校根據(jù)自身實(shí)際開設(shè)網(wǎng)絡(luò)安全校本課程或開展網(wǎng)絡(luò)安全校本培訓(xùn),加強(qiáng)師生網(wǎng)絡(luò)安全教育,提高師生網(wǎng)絡(luò)安全與信息保護(hù)意識(shí)。倡導(dǎo)師生文明上網(wǎng)、安全上網(wǎng),不瀏覽非法網(wǎng)站信息,不參與非法網(wǎng)絡(luò)活動(dòng),不發(fā)表不當(dāng)言論,共同營造風(fēng)清氣正的教育城域網(wǎng)網(wǎng)絡(luò)環(huán)境。(2)提高學(xué)校網(wǎng)絡(luò)管理員技術(shù)水平與管理能力多渠道加大對學(xué)校網(wǎng)絡(luò)管理員和信息技術(shù)人員開展針對性較強(qiáng)的專業(yè)培訓(xùn)力度,如定期開展全區(qū)學(xué)校網(wǎng)絡(luò)管理員網(wǎng)絡(luò)安全培訓(xùn),邀請網(wǎng)絡(luò)安全專家進(jìn)行授課或舉辦講座。通過理論學(xué)習(xí)與攻防實(shí)操相結(jié)合,提高學(xué)校網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)技術(shù)水平。通過下校指導(dǎo),或組織校園網(wǎng)絡(luò)安全管理交流活動(dòng),分享經(jīng)驗(yàn),交流心得,提高學(xué)校網(wǎng)絡(luò)管理員的管理能力。

2.技術(shù)保障方面

(1)優(yōu)化IP地址分配與管理教育城域網(wǎng)IP地址統(tǒng)一由教育局信息中心分配給各接入單位使用,遵循“頂層規(guī)劃,按需分配,自主管理,一機(jī)一IP”原則。根據(jù)各單位用戶數(shù)量及終端規(guī)模大小,分別把有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)及視頻監(jiān)控專用的不同IP段分配給學(xué)校,指導(dǎo)學(xué)校進(jìn)行自主管理,要求三種類型網(wǎng)絡(luò)實(shí)行IP獨(dú)立組網(wǎng),并根據(jù)自身實(shí)際情況合理劃分VLAN,對辦公室、課室、電腦室等進(jìn)行邏輯隔離,做好一機(jī)一IP登記,合理分配使用與回收IP地址。在教育城域網(wǎng)的網(wǎng)絡(luò)中心做好各校之間、應(yīng)用與資源中心的各信息系統(tǒng)服務(wù)器之間的物理隔離,保證特殊鏈路的聯(lián)通。(2)合理使用硬件技術(shù)教育城域網(wǎng)的中心機(jī)房骨干鏈路安全設(shè)備是最核心的設(shè)備,是教育城域網(wǎng)聯(lián)通互聯(lián)網(wǎng)的入口,同時(shí)也是教育城域網(wǎng)網(wǎng)絡(luò)安全的守門者[1]。在教育城域網(wǎng)的中心機(jī)房部署合適的安全管理設(shè)備是非常必要和重要的。①在網(wǎng)絡(luò)中心連接互聯(lián)網(wǎng)的入口處部署兩套下一代萬兆防火墻、萬兆上網(wǎng)行為管理設(shè)備、萬兆核心交換機(jī),組成主備模式的雙鏈路,可以確保網(wǎng)絡(luò)的安全性與穩(wěn)定性。②設(shè)置網(wǎng)絡(luò)中心防火墻的安全防護(hù)策略,封閉不必要端口,有效阻擋外網(wǎng)的威脅與攻擊。陸續(xù)為各接入單位配備千兆防火墻,在每個(gè)分支中多增加一層防護(hù)屏障,以進(jìn)一步加強(qiáng)整個(gè)教育城域網(wǎng)的防護(hù)能力。③設(shè)置網(wǎng)絡(luò)中心上網(wǎng)行為管理設(shè)備訪問控制、流量控制以及安全審計(jì)策略,禁止訪問賭博、色情、暴力、網(wǎng)絡(luò)游戲等危害青少年健康的網(wǎng)站,禁止教職員工上班時(shí)間炒股、網(wǎng)上購物、看電視劇等非教育教學(xué)行為,禁止用戶使用翻墻軟件、惡意應(yīng)用、工具。④設(shè)置防共享上網(wǎng)機(jī)制,監(jiān)控移動(dòng)終端接入,禁止未授權(quán)無線網(wǎng)絡(luò)接入。限制單IP上傳下載網(wǎng)速,限制P2P流量,設(shè)置合理流量通道,保證正常的教育教學(xué)上網(wǎng)應(yīng)用流量帶寬。⑤對用戶發(fā)送的郵件(SMTP)、WebBBS發(fā)帖內(nèi)容及微博內(nèi)容等進(jìn)行審計(jì),設(shè)置關(guān)鍵字搜索黑名單,阻止非法的網(wǎng)絡(luò)活動(dòng)。⑥通過使用堡壘機(jī)、VPN等設(shè)備,采取安全認(rèn)證措施管理遠(yuǎn)程系統(tǒng)接入,實(shí)現(xiàn)網(wǎng)絡(luò)中心機(jī)房便捷、安全、高效的運(yùn)維。(3)合理使用軟件技術(shù)運(yùn)用成熟穩(wěn)定的虛擬技術(shù),將教育城域網(wǎng)應(yīng)用與資源中心的服務(wù)器和存儲(chǔ)進(jìn)行虛擬化部署管理,提高整體利用率,降低系統(tǒng)管理成本,提高數(shù)據(jù)安全性。通過使用全網(wǎng)上網(wǎng)態(tài)勢分析系統(tǒng),實(shí)現(xiàn)全網(wǎng)網(wǎng)絡(luò)流量以及網(wǎng)絡(luò)安全監(jiān)控,幫助管理人員實(shí)時(shí)監(jiān)控整體網(wǎng)絡(luò)流量狀態(tài),以及各個(gè)單位的流量狀態(tài),并發(fā)現(xiàn)各單位存在的不良上網(wǎng)行為,及時(shí)給予糾正。安裝正版網(wǎng)絡(luò)殺毒軟件,在應(yīng)用與資源中心部署殺毒軟件服務(wù)中心,各信息系統(tǒng)服務(wù)器以及重要辦公場所均安裝客戶端,以有效防止病毒傳播。

3.制度制訂與落實(shí)方面

(1)制訂合理的網(wǎng)絡(luò)安全管理制度通過制訂網(wǎng)絡(luò)安全管理制度,對教育城域網(wǎng)內(nèi)所有用戶上網(wǎng)行為進(jìn)行約束,是一種有效管理方式。從教育局管理層面出發(fā),制訂并完善教育城域網(wǎng)網(wǎng)絡(luò)安全管理制度、教育城域網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案等,指引學(xué)校制訂符合自身實(shí)際的更具體、更細(xì)化的校園網(wǎng)絡(luò)安全管理制度。要求教育城域網(wǎng)內(nèi)所有用戶均須在這些制度框架下進(jìn)行網(wǎng)絡(luò)活動(dòng),各校網(wǎng)絡(luò)管理員須盡職盡責(zé),若有違反制度或違規(guī)操作者,及時(shí)給予警示教育或合理懲罰。(2)落實(shí)等保測評相關(guān)制度等保測評(信息安全等級保護(hù)測評)是一項(xiàng)保證信息系統(tǒng)安全的非常重要的工作,通過等保測評,可發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險(xiǎn),經(jīng)過整改之后,可提高信息系統(tǒng)的安全防護(hù)能力,降低信息系統(tǒng)被攻擊的風(fēng)險(xiǎn)。根據(jù)信息安全等級保護(hù)相關(guān)要求,規(guī)定教育城域網(wǎng)內(nèi)所有對外開放的信息系統(tǒng)必須通過網(wǎng)絡(luò)安全等級保護(hù)二級測評方可上線運(yùn)行,沒有通過的不予上線運(yùn)行。認(rèn)真執(zhí)行等保測評相關(guān)制度,如人員管理制度、設(shè)施設(shè)備管理制度、信息系統(tǒng)運(yùn)維管理制度等。(3)落實(shí)重點(diǎn)時(shí)期網(wǎng)絡(luò)安全零報(bào)告制度要做好教育城域網(wǎng)網(wǎng)絡(luò)安全的管理工作,一方面需要管理部門的認(rèn)真落實(shí),另一方面更需要各接入單位的大力配合。教育城域網(wǎng)重點(diǎn)時(shí)期網(wǎng)絡(luò)安全零報(bào)告制度要求各接入單位在重點(diǎn)或特殊時(shí)期,每天準(zhǔn)時(shí)把單位的網(wǎng)絡(luò)安全情況(包括無問題)向教育局信息中心匯報(bào),如遇突發(fā)事件應(yīng)立即處理并及時(shí)上報(bào)。通過這樣的機(jī)制督促,各接入單位能更好地開展網(wǎng)絡(luò)安全管理工作,讓教育局信息中心更全面、更具體地掌握全區(qū)教育城域網(wǎng)網(wǎng)絡(luò)安全情況。

四、思考

多年來,越秀區(qū)教育城域網(wǎng)安全穩(wěn)定運(yùn)行,沒發(fā)生過網(wǎng)絡(luò)癱瘓、信息泄露等網(wǎng)絡(luò)安全事件,全區(qū)師生網(wǎng)絡(luò)安全意識(shí)逐步提高,各校網(wǎng)絡(luò)管理員技術(shù)水平和管理能力逐年提升。筆者在教育網(wǎng)城域網(wǎng)網(wǎng)絡(luò)安全管理實(shí)踐過程中雖積累了一定經(jīng)驗(yàn),但還遠(yuǎn)遠(yuǎn)不夠,面對新的問題,仍需不斷思考新的策略,不斷探索新的方式方法。第一,應(yīng)定期開展教育城域網(wǎng)網(wǎng)絡(luò)攻防演練,不定期到學(xué)校進(jìn)行抽查指導(dǎo),檢驗(yàn)學(xué)校對網(wǎng)絡(luò)應(yīng)急事件的處置能力,提升其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范能力。第二,應(yīng)在全區(qū)抽選一些優(yōu)秀的學(xué)校網(wǎng)絡(luò)管理員組成區(qū)級骨干團(tuán)隊(duì),通過點(diǎn)對點(diǎn)幫扶方式對區(qū)內(nèi)薄弱學(xué)校進(jìn)行指導(dǎo)幫助,提高薄弱學(xué)校網(wǎng)絡(luò)管理員的技術(shù)水平及管理能力,從而實(shí)現(xiàn)全區(qū)學(xué)校網(wǎng)絡(luò)安全管理水平的整體提升。第三,隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)中自然也會(huì)出現(xiàn)一些新的安全威脅。面對這些新的安全威脅,管理者的應(yīng)對策略與防御技術(shù)不能因循守舊,必須與時(shí)俱進(jìn),不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全技術(shù),創(chuàng)新管理方式方法。第四,隨著智慧校園的大規(guī)模建設(shè),接入教育城域網(wǎng)的移動(dòng)終端數(shù)量必將成倍增長,管理者應(yīng)對如何管理好這些數(shù)量越來越龐大的移動(dòng)終端,做好更具前瞻性的規(guī)劃。

五、結(jié)語

教育城域網(wǎng)網(wǎng)絡(luò)安全管理工作是一項(xiàng)重要而復(fù)雜的工作,看似是三級分層模式(教育局、學(xué)校、用戶)的分散管理,其實(shí)是一個(gè)有機(jī)整體的統(tǒng)一管理,這需要網(wǎng)內(nèi)所有網(wǎng)絡(luò)參與者,特別是網(wǎng)絡(luò)管理人員的高度重視與積極配合,嚴(yán)格執(zhí)行各種規(guī)章制度,運(yùn)用先進(jìn)的技術(shù)及防御手段,才能保證教育城域網(wǎng)的長久穩(wěn)定運(yùn)行。

參考文獻(xiàn)

[1]白駿烈.軟硬結(jié)合,打造教育城域網(wǎng)安全體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(5):92-93.

作者:馮巨恒 單位:廣州市越秀區(qū)教育信息中心