教育管理单位:
高等教育:部属高校、市属高校、职专等
普及教育:高中、初中、小学
客户群:教授、老师、学生、行政管理人员等
业务:互联网访问、校园应用系统访问、数字化校园、校务管理、教学实验、与相关单位互联等
特点:用户数庞大,数据量大,行为难以控制,带宽难以管理,访问内容需要过滤,易感染病毒,易受到攻击,需大量用户身份管理等
大多数学校已建校园网,且大多采用多互联网出口教育网和互联网(联通、电信、移动等)。
全国校舍系统:国务院于2009年启动了全国中小学校舍安全工程,对全国城市和农村、公立和民办、教育系统和非教育系统所有中小学,都要进行逐栋排查、鉴定、规划,对存在安全隐患的校舍进行加固改造或拆除重建,达到抗震设防标准,提高综合防灾能力。按照国务院相关指示,为配合“校安工程”的实施,建立“全国中小学校舍信息管理系统”,逐步建立起覆盖全国中小学校基于单体建筑物的校舍信息电子档案数据库,并在此基础上开发和完善中央、省、地市、县和学校各级“校舍系统”,满足各级政府和部门全面掌握中小学校舍安全信息,及时掌握工程进展情况,实现安全监控与预警、投资监管和统筹管理,为“校安工程”和安全管理提供服务,为未来中小学信息化建设提供支撑,提高政府的科学管理水平和教育现代化的水平。
数字化校园:数字化校园是以数字化信息和网络为基础,在计算机和网络技术上建立起来的对教学、科研、管理、技术服务、生活服务等校园信息的收集、处理、整合、存储、传输和应用,使数字资源得到充分优化利用的一种虚拟教育环境。通过实现从环境(包括设备,教室等)、资源(如图书、讲义、课件等)到应用(包括教、学、管理、服务、办公等)的全部数字化,在传统校园基础上构建一个数字空间,以拓展现实校园的时间和空间维度,提升传统校园的运行效率,扩展传统校园的业务功能,最终实现教育过程的全面信息化,从而达到提高管理水平和效率的目的。
安全实验室:如何将这些抽象的网络技术,采用实物化的网络实验教学,有效地加深学生对网络技术的理解,提高动手能力和实际环境中发现问题、解决问题的能力。在建立信息安全实验室,有助于学校在此领域教学和科研水平的较快提升,为学校信息安全人才培养体系注入新的活力。为在校的大学生搭建一个真正的实践操作演练平台,让大学生们不走出校园就可以捕捉到当前最先进的信息安全技术脉动、获取用人单位求才时要求具备的技术能力。
很多学校普遍采用多校园网出口方式,基本上70-80%以上学校都有2个校园网出口,相当比例的学校拥有三个以上的出口在技术实现上如何进行智能选路?如何进行多链路负载均衡?
伴随着数字化校园的建设、校园资源的整合,数据中心的建立已经是大势所趋,边界安全防护,已成为重点
校园网内部出现的网络威胁的种类也越来越多,不仅有非法入侵、网络渗透,还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等
校园网几乎可以说是P2P应用最多的场所之一,如果无策略管理,流量几乎占用了60-70%的网络带宽,无情地吞噬着校园网络有限的带宽资源,关键性应用却得不到保障。
无论是广大师生需要从校外远程访问校内的数字图书馆,还是领导、老师需要从校外远程使用校内的办公应用系统,不仅要实现其远程安全接入,而且需要针对访问者、使用者的身份进行认证并授权,为特定用户群分配特定的访问资源。
此外,同一高校多个校区之间的核心、敏感部门(财务、人事等部门)之间也必须实现安全互联。
一方面,由内网到外网的安全威胁比较严重。学生电脑管理松散,电脑中装有各种软件甚至感染病毒,有可能成为攻击的跳板,因此还需要监督、控制全网应用协议的情况(流量分布、会话数量)、校园网每用户的使用情况(上下行流量、会话数量)等作为辅助管理手段。
另外一方面,学生自制力较差。有必要对其上网行为进行一定程度的控制,例如:禁止其浏览成人、娱乐等不安全或政策、法律禁止的网站,以及其它的一些上网使用行为。
ARP欺骗攻击不仅导致校园网不稳定,极大影响数字校园业务的正常运行,更严重的是利用ARP欺骗攻击可进一步实施中间人攻击和网关仿冒攻击,导致用户无法正常和网关通信,攻击者可以凭借此攻击而独占上行带宽。
由于ARP欺骗攻击利用了ARP协议的设计缺陷,光靠包过滤、IP+MAC+端口绑定等传统办法是比较难解决的。
一方面,校园网的网络流量模型逐渐在发生着变化(小包报文比例增加,单个用户的并发连接数也在迅速增加、UDP报文在迅速增加等)
另外一方面,越来越大的流量需要处理,越来越多的功能需要开启,对于设备高处理性能的需求也是越来越迫切。
XXX校园网对内提供上网服务,保持与外界的联系的同时也是学校在CERNET、Internet中查找相关资料。因此,校园网的出入口安全是XXX校园网安全建设的重点之一。
为了保证XXX学校中心子网与服务器子网的安全,实现不同安全域之间访问的合理控制,因此需要在受保护子网与下属区县网络的联接处部署防火墙系统,以便根据不同安全要求设定相应的安全规则,实现实时的访问控制、身份认证、日志审计、黑客防范等目的,在保护内部网络安全的前提下,提供内外网络通讯,阻止来自其它安全域的非法用户对本安全域的入侵和破坏行为。
通过防火墙可以有效地监控非信任端接口和内部网之间的活动,形成保护内部网络的安全边界,保证内部网络和重要子网的安全。
在XXX学校网络中我们设计了硬件防火墙,其中2台将校园网与CERNET、Internet逻辑隔离,对其配置相应的访问控制策略,实现对校园网与CERNET、Internet之间的边界保护, 同在重点区域边界部署防火墙,如服务器区和管理区,加强对其边界的保护TopSec防火墙部署示意图5-1所示。
图5-1防火墙部署示意图
在防火墙上通过设置安全策略增加对服务器的保护,同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构,使用日志来对非法访问进行监控,使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。下面将从几个方面介绍防火墙在校园网的设计方案。
国务院于2009年启动了全国中小学校舍安全工程(以下简称“校安工程”),对全国城市和农村、公立和民办、教育系统和非教育系统所有中小学,都要进行逐栋排查、鉴定、规划,对存在安全隐患的校舍进行加固改造或拆除重建,达到抗震设防标准,提高综合防灾能力。按照国务院相关指示,为配合“校安工程”的实施,建立“全国中小学校舍信息管理系统”(以下简称“校舍系统”),逐步建立起覆盖全国中小学校基于单体建筑物的校舍信息电子档案数据库,并在此基础上开发和完善中央、省、地市、县和学校各级“校舍系统”,满足各级政府和部门全面掌握中小学校舍安全信息,及时掌握工程进展情况,实现安全监控与预警、投资监管和统筹管理,为“校安工程”和安全管理提供服务,为未来中小学信息化建设提供支撑,提高政府的科学管理水平和教育现代化的水平。
在利于政务外网形成中央-省-市-县四级网络系统,各级系统的网路边界安全防护、网络动态的安全检测,网络审计等安全方面的防护,与我们通常的安全基本一样,校舍系统目前重要的时维护者一个具有全国中小学的校舍情况的数据库,因此对数据库的审计必须强调。
