教育城網絡安全管理實踐探究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了教育城網絡安全管理實踐探究范文，希望能給你帶來靈感和參考，敬請閱讀。

教育城域網是區域教育信息化建設和教育現代化進程中重要的基礎設施之一，對區域教育教學的發展具有重大的推動作用。目前，我國絕大多數地區或城市都已建設了符合自身實際需求的教育城域網。隨著教育城域網的普遍使用，網絡節點的不斷增加，網絡帶寬的不斷擴充，網絡承載的教育教學業務也越來越多，這對教育城域網的安全性及可靠性提出了更高的要求。作為教育城域網的管理人員，應把網絡安全工作放在首要地位，及時排查安全風險，采取有效策略與措施，筑牢安全防線，防患于未然，打造一個安全可靠的教育城域網絡。

一、教育城域網的特點

教育城域網是區域教育的專屬網絡，是一個將當地教育局內部網、各校園網連接起來的傳輸網絡。教育城域網具有以下特點。

1.教育專用性

教育城域網的基本結構由網絡中心、接入分支、應用與資源中心以及外聯網出口四個部分組成。網絡中心由當地教育局設立，一般只允許學校、幼兒園及其他教育機構通過光纖直連接入，或利用當地公用網信道通過虛擬組網方式形成邏輯獨立的通道接入。應用與資源中心的各種應用和資源都是專為教育教學服務的。外聯網出口接入的是中國教育科研網，或是當地教育局租用的電信運營商網絡帶寬專用出口。

2.網絡節點規模大

教育城域網一般采用“星形”組網結構，一個中心，許多個分支，每個分支下面又有很多個節點。例如，越秀區有公辦中小學、幼兒園、民辦學校以及教育局直屬單位共108個單位接入了教育城域網，整個網絡的節點數量非常之多。而對于一些相對較大的區域來說，接入教育城域網的單位可達千個以上，網絡節點數量就更龐大了。

3.用戶以師生為主

接入教育城域網的單位大部分是學校和幼兒園，所以用戶主要是教師與學生。教師與學生是兩個特殊的網絡參與群體，教師主要利用網絡來輔助教育教學工作，提高教育管理水平和教學質量；學生主要利用網絡學習到更多的知識，提高信息素養。

二、教育城域網網絡安全風險分析

教育城域網雖然是教育的專用網，但由于其內部結構、用戶群體、網絡應用具有特殊性，故教育城域網一般存在以下網絡安全風險。

1.用戶安全防范意識薄弱

學生思維活躍，對互聯網充滿好奇，但是他們的社會閱歷尚淺，網絡鑒別能力較差，容易受騙或者無意中下載病毒。部分教師和管理人員保護信息安全的意識不強，其中最突出的是使用弱口令問題。例如，在應用與資源中心運行的信息系統中，有不少教師用戶使用弱口令或默認口令；有部分學校的網絡設備管理口令仍然使用默認口令，甚至是空口令。這些往往是導致網絡安全事故發生的重要隱患。

2.部分學校

IP地址規劃不合理　管理不科學每個學校的終端規模、場所面積以及功能區域分布各不相同，故IP地址的劃分也應不同，這要根據學校的實際情況而定。由于各校網絡管理員的技術和管理水平參差不齊，所以它們的IP地址規劃在合理性及管理的科學性上存在較大差異。部分學校沒有配備專職網絡管理員，而是由其他學科教師兼任，這些學校的IP地址往往沒有進行VLAN劃分或者劃分不合理，更沒有做好IP地址的合理分配使用與回收，這樣極容易造成網絡風暴、IP地址沖突等現象，導致整個校園網絡變得十分脆弱，特別容易癱瘓。

3.惡意應用侵蝕網絡帶寬

教育城域網的網絡出口帶寬是有限的，合理分配利用尤為重要。目前，教育城域網中存在不少非教育教學的大流量上傳下載惡意應用，這些應用會嚴重損耗網絡帶寬，直接影響日常教育教學的上網體驗。例如某些P2P應用，其流量非常大，有時占到整個網絡帶寬的一半以上，這樣就會使正常上網應用的流量得不到有效保障。

4.私設無線網絡問題嚴重

如今，移動應用越來越廣泛，越來越多的移動設備需要接入校園網，例如手機、平板電腦等。但不少學校沒有建設規范的無線網絡，有些教師或管理人員為了一時方便，使用熱點或自行購買一些簡單的設備，私自架設無線網絡接入校園網。這些無線網絡并沒有經過規范設計，布局十分凌亂，接入密碼簡單，有些甚至連密碼都沒有設置，這樣非常容易讓不法分子入侵校園網，存在嚴重的安全隱患。

5.對聯網的公共信息設施設備監管不到位

一些學校對接入校園網的計算機、服務器、LED屏、教室電子班牌、教室一體機、監控系統、廣播系統等缺少監管，校內無關人員可以隨意使用或進行網絡訪問。特別是存在一些聯網的僵尸計算機，長期開啟，無人管理，系統不更新，無防護措施，構成極大隱患。

6.對內部用戶的上網行為監控不足

教育城域網內，用戶數量龐大，每時每刻都會產生大量的上網行為。學生的自制能力相對較差，經常會做出一些不當的上網行為，例如瀏覽一些非法網站，或者沉迷于網絡游戲等。一些不夠自律或法律意識不強的教師、管理人員也會在上班時間炒股、網上購物，或者利用翻墻軟件瀏覽境外網站等，更有甚者還可能發表不當言論。由于部分學校沒有配備上網行為管理設備，或配備了但策略設置不恰當，所以對校內用戶上網行為的監控尤為不足。

7.應用與資源中心部分信息系統向互聯網開放

應用與資源中心中很多信息系統只允許用戶在教育城域網內部訪問，但也有部分信息系統根據教育教學的特殊需求，需要向互聯網開放，以滿足教師、管理人員或學生、家長的遠程訪問需要。另外，為方便運維人員管理，某些信息系統或設備也需要實現遠程管理功能。信息系統或設備一旦向互聯網開放，就會面臨各種安全威脅，例如SQL注入、DDOS攻擊等，所以必須做好相應的防護措施。

三、教育城域網網絡安全管理策略與措施

上述這些問題很直接地擺在教育城域網管理者的面前。筆者在進行越秀區教育城域網網絡安全工作的過程中，根據實際情況積極采取了一系列有效策略與防御措施，保障了教育城域網的安全穩定運行。

1.人員管理方面

人具有主觀能動性，是風險管理的關鍵，所以，要想做好網絡安全管理工作，第一步就是要把相關的人管理好。(1)提高師生網絡安全防范意識師生作為教育城域網中最主要的用戶群體，他們的上網行為是否規范直接影響整個教育城域網的網絡安全指數。因此要求學校根據自身實際開設網絡安全校本課程或開展網絡安全校本培訓，加強師生網絡安全教育，提高師生網絡安全與信息保護意識。倡導師生文明上網、安全上網，不瀏覽非法網站信息，不參與非法網絡活動，不發表不當言論，共同營造風清氣正的教育城域網網絡環境。(2)提高學校網絡管理員技術水平與管理能力多渠道加大對學校網絡管理員和信息技術人員開展針對性較強的專業培訓力度，如定期開展全區學校網絡管理員網絡安全培訓，邀請網絡安全專家進行授課或舉辦講座。通過理論學習與攻防實操相結合，提高學校網絡管理員的網絡技術水平。通過下校指導，或組織校園網絡安全管理交流活動，分享經驗，交流心得，提高學校網絡管理員的管理能力。

2.技術保障方面

(1)優化IP地址分配與管理教育城域網IP地址統一由教育局信息中心分配給各接入單位使用，遵循“頂層規劃，按需分配，自主管理，一機一IP”原則。根據各單位用戶數量及終端規模大小，分別把有線網絡、無線網絡及視頻監控專用的不同IP段分配給學校，指導學校進行自主管理，要求三種類型網絡實行IP獨立組網，并根據自身實際情況合理劃分VLAN，對辦公室、課室、電腦室等進行邏輯隔離，做好一機一IP登記，合理分配使用與回收IP地址。在教育城域網的網絡中心做好各校之間、應用與資源中心的各信息系統服務器之間的物理隔離，保證特殊鏈路的聯通。(2)合理使用硬件技術教育城域網的中心機房骨干鏈路安全設備是最核心的設備，是教育城域網聯通互聯網的入口，同時也是教育城域網網絡安全的守門者[1]。在教育城域網的中心機房部署合適的安全管理設備是非常必要和重要的。①在網絡中心連接互聯網的入口處部署兩套下一代萬兆防火墻、萬兆上網行為管理設備、萬兆核心交換機，組成主備模式的雙鏈路，可以確保網絡的安全性與穩定性。②設置網絡中心防火墻的安全防護策略，封閉不必要端口，有效阻擋外網的威脅與攻擊。陸續為各接入單位配備千兆防火墻，在每個分支中多增加一層防護屏障，以進一步加強整個教育城域網的防護能力。③設置網絡中心上網行為管理設備訪問控制、流量控制以及安全審計策略，禁止訪問賭博、色情、暴力、網絡游戲等危害青少年健康的網站，禁止教職員工上班時間炒股、網上購物、看電視劇等非教育教學行為，禁止用戶使用翻墻軟件、惡意應用、工具。④設置防共享上網機制，監控移動終端接入，禁止未授權無線網絡接入。限制單IP上傳下載網速，限制P2P流量，設置合理流量通道，保證正常的教育教學上網應用流量帶寬。⑤對用戶發送的郵件(SMTP)、WebBBS發帖內容及微博內容等進行審計，設置關鍵字搜索黑名單，阻止非法的網絡活動。⑥通過使用堡壘機、VPN等設備，采取安全認證措施管理遠程系統接入，實現網絡中心機房便捷、安全、高效的運維。(3)合理使用軟件技術運用成熟穩定的虛擬技術，將教育城域網應用與資源中心的服務器和存儲進行虛擬化部署管理，提高整體利用率，降低系統管理成本，提高數據安全性。通過使用全網上網態勢分析系統，實現全網網絡流量以及網絡安全監控，幫助管理人員實時監控整體網絡流量狀態，以及各個單位的流量狀態，并發現各單位存在的不良上網行為，及時給予糾正。安裝正版網絡殺毒軟件，在應用與資源中心部署殺毒軟件服務中心，各信息系統服務器以及重要辦公場所均安裝客戶端，以有效防止病毒傳播。

3.制度制訂與落實方面

(1)制訂合理的網絡安全管理制度通過制訂網絡安全管理制度，對教育城域網內所有用戶上網行為進行約束，是一種有效管理方式。從教育局管理層面出發，制訂并完善教育城域網網絡安全管理制度、教育城域網網絡安全應急預案等，指引學校制訂符合自身實際的更具體、更細化的校園網絡安全管理制度。要求教育城域網內所有用戶均須在這些制度框架下進行網絡活動，各校網絡管理員須盡職盡責，若有違反制度或違規操作者，及時給予警示教育或合理懲罰。(2)落實等保測評相關制度等保測評(信息安全等級保護測評)是一項保證信息系統安全的非常重要的工作，通過等保測評，可發現信息系統存在的安全風險，經過整改之后，可提高信息系統的安全防護能力，降低信息系統被攻擊的風險。根據信息安全等級保護相關要求，規定教育城域網內所有對外開放的信息系統必須通過網絡安全等級保護二級測評方可上線運行，沒有通過的不予上線運行。認真執行等保測評相關制度，如人員管理制度、設施設備管理制度、信息系統運維管理制度等。(3)落實重點時期網絡安全零報告制度要做好教育城域網網絡安全的管理工作，一方面需要管理部門的認真落實，另一方面更需要各接入單位的大力配合。教育城域網重點時期網絡安全零報告制度要求各接入單位在重點或特殊時期，每天準時把單位的網絡安全情況(包括無問題)向教育局信息中心匯報，如遇突發事件應立即處理并及時上報。通過這樣的機制督促，各接入單位能更好地開展網絡安全管理工作，讓教育局信息中心更全面、更具體地掌握全區教育城域網網絡安全情況。

四、思考

多年來，越秀區教育城域網安全穩定運行，沒發生過網絡癱瘓、信息泄露等網絡安全事件，全區師生網絡安全意識逐步提高，各校網絡管理員技術水平和管理能力逐年提升。筆者在教育網城域網網絡安全管理實踐過程中雖積累了一定經驗，但還遠遠不夠，面對新的問題，仍需不斷思考新的策略，不斷探索新的方式方法。第一，應定期開展教育城域網網絡攻防演練，不定期到學校進行抽查指導，檢驗學校對網絡應急事件的處置能力，提升其網絡安全風險防范能力。第二，應在全區抽選一些優秀的學校網絡管理員組成區級骨干團隊，通過點對點幫扶方式對區內薄弱學校進行指導幫助，提高薄弱學校網絡管理員的技術水平及管理能力，從而實現全區學校網絡安全管理水平的整體提升。第三，隨著網絡信息技術的不斷發展，網絡中自然也會出現一些新的安全威脅。面對這些新的安全威脅，管理者的應對策略與防御技術不能因循守舊，必須與時俱進，不斷學習新的網絡安全技術，創新管理方式方法。第四，隨著智慧校園的大規模建設，接入教育城域網的移動終端數量必將成倍增長，管理者應對如何管理好這些數量越來越龐大的移動終端，做好更具前瞻性的規劃。

五、結語

教育城域網網絡安全管理工作是一項重要而復雜的工作，看似是三級分層模式(教育局、學校、用戶)的分散管理，其實是一個有機整體的統一管理，這需要網內所有網絡參與者，特別是網絡管理人員的高度重視與積極配合，嚴格執行各種規章制度，運用先進的技術及防御手段，才能保證教育城域網的長久穩定運行。

參考文獻

[1]白駿烈.軟硬結合,打造教育城域網安全體系[J].網絡安全技術與應用,2020(5):92-93.

作者:馮巨恒 單位:廣州市越秀區教育信息中心