公务员期刊网 论文中心 正文

教育城网络安全管理实践探究

前言:想要写出一篇引人入胜的文章?我们特意为您整理了教育城网络安全管理实践探究范文,希望能给你带来灵感和参考,敬请阅读。

教育城网络安全管理实践探究

教育城域网是区域教育信息化建设和教育现代化进程中重要的基础设施之一,对区域教育教学的发展具有重大的推动作用。目前,我国绝大多数地区或城市都已建设了符合自身实际需求的教育城域网。随着教育城域网的普遍使用,网络节点的不断增加,网络带宽的不断扩充,网络承载的教育教学业务也越来越多,这对教育城域网的安全性及可靠性提出了更高的要求。作为教育城域网的管理人员,应把网络安全工作放在首要地位,及时排查安全风险,采取有效策略与措施,筑牢安全防线,防患于未然,打造一个安全可靠的教育城域网络。

一、教育城域网的特点

教育城域网是区域教育的专属网络,是一个将当地教育局内部网、各校园网连接起来的传输网络。教育城域网具有以下特点。

1.教育专用性

教育城域网的基本结构由网络中心、接入分支、应用与资源中心以及外联网出口四个部分组成。网络中心由当地教育局设立,一般只允许学校、幼儿园及其他教育机构通过光纤直连接入,或利用当地公用网信道通过虚拟组网方式形成逻辑独立的通道接入。应用与资源中心的各种应用和资源都是专为教育教学服务的。外联网出口接入的是中国教育科研网,或是当地教育局租用的电信运营商网络带宽专用出口。

2.网络节点规模大

教育城域网一般采用“星形”组网结构,一个中心,许多个分支,每个分支下面又有很多个节点。例如,越秀区有公办中小学、幼儿园、民办学校以及教育局直属单位共108个单位接入了教育城域网,整个网络的节点数量非常之多。而对于一些相对较大的区域来说,接入教育城域网的单位可达千个以上,网络节点数量就更庞大了。

3.用户以师生为主

接入教育城域网的单位大部分是学校和幼儿园,所以用户主要是教师与学生。教师与学生是两个特殊的网络参与群体,教师主要利用网络来辅助教育教学工作,提高教育管理水平和教学质量;学生主要利用网络学习到更多的知识,提高信息素养。

二、教育城域网网络安全风险分析

教育城域网虽然是教育的专用网,但由于其内部结构、用户群体、网络应用具有特殊性,故教育城域网一般存在以下网络安全风险。

1.用户安全防范意识薄弱

学生思维活跃,对互联网充满好奇,但是他们的社会阅历尚浅,网络鉴别能力较差,容易受骗或者无意中下载病毒。部分教师和管理人员保护信息安全的意识不强,其中最突出的是使用弱口令问题。例如,在应用与资源中心运行的信息系统中,有不少教师用户使用弱口令或默认口令;有部分学校的网络设备管理口令仍然使用默认口令,甚至是空口令。这些往往是导致网络安全事故发生的重要隐患。

2.部分学校

IP地址规划不合理 管理不科学每个学校的终端规模、场所面积以及功能区域分布各不相同,故IP地址的划分也应不同,这要根据学校的实际情况而定。由于各校网络管理员的技术和管理水平参差不齐,所以它们的IP地址规划在合理性及管理的科学性上存在较大差异。部分学校没有配备专职网络管理员,而是由其他学科教师兼任,这些学校的IP地址往往没有进行VLAN划分或者划分不合理,更没有做好IP地址的合理分配使用与回收,这样极容易造成网络风暴、IP地址冲突等现象,导致整个校园网络变得十分脆弱,特别容易瘫痪。

3.恶意应用侵蚀网络带宽

教育城域网的网络出口带宽是有限的,合理分配利用尤为重要。目前,教育城域网中存在不少非教育教学的大流量上传下载恶意应用,这些应用会严重损耗网络带宽,直接影响日常教育教学的上网体验。例如某些P2P应用,其流量非常大,有时占到整个网络带宽的一半以上,这样就会使正常上网应用的流量得不到有效保障。

4.私设无线网络问题严重

如今,移动应用越来越广泛,越来越多的移动设备需要接入校园网,例如手机、平板电脑等。但不少学校没有建设规范的无线网络,有些教师或管理人员为了一时方便,使用热点或自行购买一些简单的设备,私自架设无线网络接入校园网。这些无线网络并没有经过规范设计,布局十分凌乱,接入密码简单,有些甚至连密码都没有设置,这样非常容易让不法分子入侵校园网,存在严重的安全隐患。

5.对联网的公共信息设施设备监管不到位

一些学校对接入校园网的计算机、服务器、LED屏、教室电子班牌、教室一体机、监控系统、广播系统等缺少监管,校内无关人员可以随意使用或进行网络访问。特别是存在一些联网的僵尸计算机,长期开启,无人管理,系统不更新,无防护措施,构成极大隐患。

6.对内部用户的上网行为监控不足

教育城域网内,用户数量庞大,每时每刻都会产生大量的上网行为。学生的自制能力相对较差,经常会做出一些不当的上网行为,例如浏览一些非法网站,或者沉迷于网络游戏等。一些不够自律或法律意识不强的教师、管理人员也会在上班时间炒股、网上购物,或者利用翻墙软件浏览境外网站等,更有甚者还可能发表不当言论。由于部分学校没有配备上网行为管理设备,或配备了但策略设置不恰当,所以对校内用户上网行为的监控尤为不足。

7.应用与资源中心部分信息系统向互联网开放

应用与资源中心中很多信息系统只允许用户在教育城域网内部访问,但也有部分信息系统根据教育教学的特殊需求,需要向互联网开放,以满足教师、管理人员或学生、家长的远程访问需要。另外,为方便运维人员管理,某些信息系统或设备也需要实现远程管理功能。信息系统或设备一旦向互联网开放,就会面临各种安全威胁,例如SQL注入、DDOS攻击等,所以必须做好相应的防护措施。

三、教育城域网网络安全管理策略与措施

上述这些问题很直接地摆在教育城域网管理者的面前。笔者在进行越秀区教育城域网网络安全工作的过程中,根据实际情况积极采取了一系列有效策略与防御措施,保障了教育城域网的安全稳定运行。

1.人员管理方面

人具有主观能动性,是风险管理的关键,所以,要想做好网络安全管理工作,第一步就是要把相关的人管理好。(1)提高师生网络安全防范意识师生作为教育城域网中最主要的用户群体,他们的上网行为是否规范直接影响整个教育城域网的网络安全指数。因此要求学校根据自身实际开设网络安全校本课程或开展网络安全校本培训,加强师生网络安全教育,提高师生网络安全与信息保护意识。倡导师生文明上网、安全上网,不浏览非法网站信息,不参与非法网络活动,不发表不当言论,共同营造风清气正的教育城域网网络环境。(2)提高学校网络管理员技术水平与管理能力多渠道加大对学校网络管理员和信息技术人员开展针对性较强的专业培训力度,如定期开展全区学校网络管理员网络安全培训,邀请网络安全专家进行授课或举办讲座。通过理论学习与攻防实操相结合,提高学校网络管理员的网络技术水平。通过下校指导,或组织校园网络安全管理交流活动,分享经验,交流心得,提高学校网络管理员的管理能力。

2.技术保障方面

(1)优化IP地址分配与管理教育城域网IP地址统一由教育局信息中心分配给各接入单位使用,遵循“顶层规划,按需分配,自主管理,一机一IP”原则。根据各单位用户数量及终端规模大小,分别把有线网络、无线网络及视频监控专用的不同IP段分配给学校,指导学校进行自主管理,要求三种类型网络实行IP独立组网,并根据自身实际情况合理划分VLAN,对办公室、课室、电脑室等进行逻辑隔离,做好一机一IP登记,合理分配使用与回收IP地址。在教育城域网的网络中心做好各校之间、应用与资源中心的各信息系统服务器之间的物理隔离,保证特殊链路的联通。(2)合理使用硬件技术教育城域网的中心机房骨干链路安全设备是最核心的设备,是教育城域网联通互联网的入口,同时也是教育城域网网络安全的守门者[1]。在教育城域网的中心机房部署合适的安全管理设备是非常必要和重要的。①在网络中心连接互联网的入口处部署两套下一代万兆防火墙、万兆上网行为管理设备、万兆核心交换机,组成主备模式的双链路,可以确保网络的安全性与稳定性。②设置网络中心防火墙的安全防护策略,封闭不必要端口,有效阻挡外网的威胁与攻击。陆续为各接入单位配备千兆防火墙,在每个分支中多增加一层防护屏障,以进一步加强整个教育城域网的防护能力。③设置网络中心上网行为管理设备访问控制、流量控制以及安全审计策略,禁止访问赌博、色情、暴力、网络游戏等危害青少年健康的网站,禁止教职员工上班时间炒股、网上购物、看电视剧等非教育教学行为,禁止用户使用翻墙软件、恶意应用、工具。④设置防共享上网机制,监控移动终端接入,禁止未授权无线网络接入。限制单IP上传下载网速,限制P2P流量,设置合理流量通道,保证正常的教育教学上网应用流量带宽。⑤对用户发送的邮件(SMTP)、WebBBS发帖内容及微博内容等进行审计,设置关键字搜索黑名单,阻止非法的网络活动。⑥通过使用堡垒机、VPN等设备,采取安全认证措施管理远程系统接入,实现网络中心机房便捷、安全、高效的运维。(3)合理使用软件技术运用成熟稳定的虚拟技术,将教育城域网应用与资源中心的服务器和存储进行虚拟化部署管理,提高整体利用率,降低系统管理成本,提高数据安全性。通过使用全网上网态势分析系统,实现全网网络流量以及网络安全监控,帮助管理人员实时监控整体网络流量状态,以及各个单位的流量状态,并发现各单位存在的不良上网行为,及时给予纠正。安装正版网络杀毒软件,在应用与资源中心部署杀毒软件服务中心,各信息系统服务器以及重要办公场所均安装客户端,以有效防止病毒传播。

3.制度制订与落实方面

(1)制订合理的网络安全管理制度通过制订网络安全管理制度,对教育城域网内所有用户上网行为进行约束,是一种有效管理方式。从教育局管理层面出发,制订并完善教育城域网网络安全管理制度、教育城域网网络安全应急预案等,指引学校制订符合自身实际的更具体、更细化的校园网络安全管理制度。要求教育城域网内所有用户均须在这些制度框架下进行网络活动,各校网络管理员须尽职尽责,若有违反制度或违规操作者,及时给予警示教育或合理惩罚。(2)落实等保测评相关制度等保测评(信息安全等级保护测评)是一项保证信息系统安全的非常重要的工作,通过等保测评,可发现信息系统存在的安全风险,经过整改之后,可提高信息系统的安全防护能力,降低信息系统被攻击的风险。根据信息安全等级保护相关要求,规定教育城域网内所有对外开放的信息系统必须通过网络安全等级保护二级测评方可上线运行,没有通过的不予上线运行。认真执行等保测评相关制度,如人员管理制度、设施设备管理制度、信息系统运维管理制度等。(3)落实重点时期网络安全零报告制度要做好教育城域网网络安全的管理工作,一方面需要管理部门的认真落实,另一方面更需要各接入单位的大力配合。教育城域网重点时期网络安全零报告制度要求各接入单位在重点或特殊时期,每天准时把单位的网络安全情况(包括无问题)向教育局信息中心汇报,如遇突发事件应立即处理并及时上报。通过这样的机制督促,各接入单位能更好地开展网络安全管理工作,让教育局信息中心更全面、更具体地掌握全区教育城域网网络安全情况。

四、思考

多年来,越秀区教育城域网安全稳定运行,没发生过网络瘫痪、信息泄露等网络安全事件,全区师生网络安全意识逐步提高,各校网络管理员技术水平和管理能力逐年提升。笔者在教育网城域网网络安全管理实践过程中虽积累了一定经验,但还远远不够,面对新的问题,仍需不断思考新的策略,不断探索新的方式方法。第一,应定期开展教育城域网网络攻防演练,不定期到学校进行抽查指导,检验学校对网络应急事件的处置能力,提升其网络安全风险防范能力。第二,应在全区抽选一些优秀的学校网络管理员组成区级骨干团队,通过点对点帮扶方式对区内薄弱学校进行指导帮助,提高薄弱学校网络管理员的技术水平及管理能力,从而实现全区学校网络安全管理水平的整体提升。第三,随着网络信息技术的不断发展,网络中自然也会出现一些新的安全威胁。面对这些新的安全威胁,管理者的应对策略与防御技术不能因循守旧,必须与时俱进,不断学习新的网络安全技术,创新管理方式方法。第四,随着智慧校园的大规模建设,接入教育城域网的移动终端数量必将成倍增长,管理者应对如何管理好这些数量越来越庞大的移动终端,做好更具前瞻性的规划。

五、结语

教育城域网网络安全管理工作是一项重要而复杂的工作,看似是三级分层模式(教育局、学校、用户)的分散管理,其实是一个有机整体的统一管理,这需要网内所有网络参与者,特别是网络管理人员的高度重视与积极配合,严格执行各种规章制度,运用先进的技术及防御手段,才能保证教育城域网的长久稳定运行。

参考文献

[1]白骏烈.软硬结合,打造教育城域网安全体系[J].网络安全技术与应用,2020(5):92-93.

作者:冯巨恒 单位:广州市越秀区教育信息中心