◆白骏烈

软硬结合，打造教育城域网安全体系

◆白骏烈

（温州市瓯海区教师发展中心 浙江 325000）

教育信息化的飞速发展，给教育教学工作带来便利的同时，也给教育城域网管理者如何安全有效地管理规划城域网带来诸多挑战。网络设备安全、应用数据安全、接入终端安全等都是管理者需要面对的安全问题。为了解决上述问题，笔者通过多年实践，分析城域网安全体系的优缺点，总结出一套教育城域网的网络安全体系规划建设与管理模式，为其他地区城域网建设提供经验和借鉴。

网络安全；城域网；建设；实践

1 前言

我区教育城域网首建于2004年，初步建成于2006年，覆盖全区100多所学校，采用“星型”组网方式，汇聚学校数据信息，实行区级统一出口管理。在教育城域网建设的初始阶段，我们关注的重点是网络的畅通，教育城域网内全体老师能否流畅上网是教育城域网建设程度高低的一项重要指标。

随着计算机技术的不断发展，各式各样的入侵、病毒、漏洞每时每刻都在威胁着教育城域网的网络安全。2014年2月，习近平同志在中央网络安全和信息化领导小组第一次会议上指出：“没有网络安全就没有国家安全”。随着《中华人民共和国网络安全法》的颁布和《浙江省教育信息化“十三五”发展规划》的实施，对教育城域网的网络安全有了更为具体的要求。教育城域网不再只是一个提供上网服务的简单网络，还要满足稳定性、可靠性、安全性、保密性等要求。为此，我们在原有的教育城域网基础上进行了深化改造，逐步对教育城域网各方面进行全面升级，以满足城域网内核心设备安全可靠、应用服务安全可用、接入终端安全可控、用户行为安全可信的新时期教育城域网。

2 网络安全建设原则与目标

教育城域网是一张覆盖面积广、用户多、业务类型杂的网络系统。作为教育城域网的管理者，需要通过完整的规划设计与建设部署，才能确保教育城域网内信息流通安全可靠、数据存储机密有效、操作行为合法可查。

教育城域网的网络安全建设工作将遵循“顶层设计、统筹规划、分步实施”的原则，以“集中管理、安全可靠、多方互动”为目标，以“强中心，弱学校”为思路，通过规划指引方向，通过应用引领发展，通过技术支撑服务，最终建成一个使用技术新颖、覆盖范围广泛、管理方便快捷的教育城域网网络安全管理体系。

3 网络安全整体规划

在网络安全建设的实践过程中，我们遵循顶层设计的指导，通过几年时间的分步实施，逐步对教育城域网内的骨干核心设备、业务支撑设备、行为审计设备、用户接入终端等进行改造升级，稳步提升了教育城域网网络安全系数，有效提高了教育城域网用户使用体验。

3.1 骨干设备实现“双主高可用”万兆互联

教育城域网中心机房骨干链路安全设备是城域网系统中最核心的设备，是城域网联通互联网的入口，同时也是城域网网络安全的守门者。

为保证骨干链路核心设备的安全稳定与可靠，我们选用从下一代智能防火墙—>网络入侵防护系统—>上网行为管理—>核心交换机，所有的骨干链路上的网络安全设备，均以双机“双主高可用”万兆互联模式运行，所有同类设备之间的用户、数据、策略、日志都实时同步。各类设备在守护教育城域网的过程中，同类设备中任何一台或任何一条链路出现故障，都可以保证网络稳定畅通和网络安全可靠，不对在网用户的上网行为产生任何影响。

在出口互联网线路上，为保障负载均衡与线路冗余，我们配备了共计5.5G的多运营商出口，其中包括3000M中国电信出口，2000M中国移动出口、500M中国联通出口。同时通过自动优先寻址和负载均衡技术，分配最快访问路径给每个用户，单条链路故障不影响城域网业务。

3.2 应用业务支撑设备实现虚拟化运行

教育城域网的关键作用是为师生的教育教学工作提供基础环境，优秀的应用业务是优质教育教学的促进剂。我区教育城域网通过服务器虚拟化与存储虚拟化技术，为全区师生提供了一个安全稳定的应用业务支撑系统。

我区教育城域网数据中心通过对16台服务器和3套不同类型存储的虚拟化部署，形成教育虚拟化资源池，在池中同时运行了将近80个应用系统，是传统部署模式的五倍。在成熟稳定的虚拟化技术的帮助下，不管是新应用业务的上架，还是原有应用业务的安全升级，都能在安全稳定的环境里飞速的展开。丰富而又便捷的维护工具，大大节约了维护的时间，有效节省了人力成本。

3.3 终端接入实现实名授权管理

自2013年起，我区就开始研究如何有效地做好接入终端的安全工作。通过多年的实践与改进，我们总结出了一套行之有效的接入终端安全控制机制：有线无线一体化统一实名认证系统。

（1）“三方联动”设计框架。

一体化认证系统设计部署在城域网数据中心，不改变学校原有的网络结构，实现改动最小化，效益最大化。一体化认证系统主要功能通过“三方联动”来实现，系统通过智慧教育云平台认证系统进行用户实名信息控制，通过迪讯CNS的DDI系统对终端设备进行准入控制，通过深信服的上网行为管理系统对用户设备进行上网行为的准出控制与日志管理。三方系统进行有效联动，完成对入网设备、用户信息、上网日志的统一管理，实现对接入终端完整的安全控制管理。

（2）实行用户自主管理。

为方便用户自我管理和长期稳定运行，一体化认证系统根据组织层级分三级管理模式进行设计：个人用户通过智慧教育云平台系统进行自主设备管理和上网记录的查看；学校管理员对本校用户进行集中管理和上网行为统计分析；区级管理员对用户的上线信息、身份分组、权限分组、系统日志、接口账号、统计分析等进行全面管理。

（3）无感绑定终端信息

一体化认证系统采用WEB Portal的认证方式，在不安装C/S端程序的情况下通过迪讯CNS的DDI系统跨三层获取用户终端设备的指纹信息，同时将设备、账号、用户、日志等进行关联，确定终端的归属信息。

（4）私人设备自动认证

为保障应用业务安全，教育城域网内的设备在一定的时间内没有访问流量，认证系统体系会对其做离线操作，再次访问互联网则需要重新认证。针对教师的私人终端设备，我们提供了贴心的无感知认证服务。一体化认证系统将会通过无感知设备的指纹信息来确定设备的归属者，对其进行自动上线操作，在保证终端安全实名的前提下，最大程度优化用户体验。

3.4 应用系统实现集约部署

因学校人员、资金等各方面的限制，小规模学校较难开设一个完整的门户网站，也无法对网站安全做出有效的管理。为此，我区于2017年对原有的网站集群系统进行了全面升级，全面接入了智慧教育云平台统一管理，不仅在功能上更加丰富，同时在安全上也得到了全面的提升。

4 成效

经过多年的分步实施建设，我区教育城域网已基本构建完成了一整套的安全管理体系，针对教育城域网的各个组成部分都有了明确的安全规划与管理制度，在提供稳定可靠的用户访问的同时，也保障了业务的安全运行。

4.1 核心设备安全可靠

“双主高可用”万兆互联的骨干核心设备，上架至今四年时间里，曾出现过两次单设备故障，但没有对整体业务产生任何影响，充分体现了“双主高可用”策略的安全可靠。

4.2 业务服务安全可用

虚拟化业务服务支撑系统，极大地方便了业务服务系统的开展与运行。在虚拟化技术的辅助下，我区业务服务系统长年稳定安全开放，有力地促进了我区教育信息化水平的提升。

4.3 接入终端安全可控

有线无线一体化统一实名认证系统现已在我区教育城域网全面投入使用，网内通过一体化认证系统进行认证的日常在线设备数超过10000台，已经成为我区教育信息化不可或缺的一个重要组成部分。完善的统一认证体系，为教育城域网的网络安全建设提供了强而有力的保障，也为泛在学习环境的建设打下了结实的安全基础。

在现在的建设情况下，为了使教育城域网更加安全稳定，我们计划就态势感知系统和存储虚拟化分层技术做进一步的深入研究。

[1]刘文.基于智慧校园的高校网络安全优化分析[J]. 网络安全技术与应用，2018（02）.

[2]王丽芳.计算机网络的信息安全与管理研究[J]. 网络安全技术与应用，2019（11）.

[3]刘庚.无线网络安全风险研究及关键技术应用[J]. 网络安全技术与应用，2019（11）.