◆胡俊峰

（廣州衛(wèi)生職業(yè)技術學院 廣東 510450）

對于教育網中網絡安全配置優(yōu)化的應用研究

◆胡俊峰

（廣州衛(wèi)生職業(yè)技術學院 廣東 510450）

隨著信息化經濟的高速發(fā)展，我國教育網安全建設也進入了一個快速發(fā)展的時期，教育網因其主干流量偏高、速度慢以及監(jiān)管制度不完善等方面影響，教育網的安全配置仍有待優(yōu)化，本文通過闡述我國教育網發(fā)展至今所遇到的一些問題以及對于他們的研究分析，梳理教育網配置優(yōu)化的安全需求與技術難點，并就其分布式結構的優(yōu)化應用做以詳細分析，以供讀者共同參考。

教育網安全；監(jiān)管制度；分布式結構

0 引言

在互聯網逐漸普及的當代社會，教育網絡安全建設也進入了一個快速發(fā)展的時期。在教育網中，特別是一些學校性質的教育網安全管理中，往往因其核心技術人員力量薄弱、教育網絡邊界部署協(xié)議不完善，容易產生病毒或者網絡癱瘓的現象。教育網是一個集教師、學生、教育管理者等多方的網絡平臺，對于其監(jiān)管很難做到盡善盡美，而由于監(jiān)管力度缺失導致不良信息也在逐漸的傳播，對于使用造成了一定的困擾。另外由于教育網的終端數目很多，一旦出現問題，相對難以定位安全漏洞的位點，這在一定成功程度上也給了病毒可乘之機，進而致使教育網絡出口阻塞、速度偏慢、使用率低等不良現象。

1 教育網中網絡的安全需求

教育網的網絡安全離不開三方面的需求，分別是對于網絡接入端的監(jiān)管、對于用戶用網的監(jiān)管以及對于終端病毒的監(jiān)管。

網絡接入端是教育網的網絡安全外部屏障，因教育機構一般分散面較廣，接入的互聯網類型不一，而核心計算機安全管理技術相對比較薄弱，致使其安全隱患較大。以往的設計中教育網獨立防火墻在部署中并不能起到顯著的作用，對于一些預期的安全防范工作依舊沒有做得很好，由此我們設想，利用分布式的網絡安全部署一方面可以充分的運用優(yōu)質的核心技術管理人才來管理教育網中的薄弱環(huán)節(jié)，另一方面也可以有效的防御主干教育網的安全、滿足其安全需求。

對于用戶使用的監(jiān)管則主要體現在用戶上網行為的監(jiān)管，運用較為分布式的網絡行為也可以使得監(jiān)管變得有效且統(tǒng)一，加大監(jiān)管力度可以有效地防止不良信息的滲入以及傳播。而對于終端病毒的監(jiān)管則需要更先進的殺毒引擎做以保障，運用統(tǒng)一的病毒數據庫，實時監(jiān)管終端病毒的傳播情況，及時的查殺、有效地預防，從而進一步使得整個教育網的環(huán)境得以凈化，對于其安全運行、高速運行提供了保障。

2 教育網中網絡安全配置的技術難點

教育網網絡服務器的安全與否，關系到整個網絡是否能夠安全運行的前提。優(yōu)化網絡服務器的防御性能對于構建安全的網絡環(huán)境起到很重要的作用。建立一個安全的網絡防護體系可以有效地阻擋黑客的侵入、病毒的侵染，完善自身安全漏洞的同時也維護了網絡安全的運轉。要加強對于網絡服務器、機房的管理方式，要對計算機修復漏洞的軟件及時升級，更新病毒庫數據，做到及時有效地對計算機系統(tǒng)全面清查。因此，在教育網中安全配置主要的技術難點有“四個統(tǒng)一化”，分別是：工作界面統(tǒng)一化、控制平臺統(tǒng)一化、部署分布式連接統(tǒng)一化以及事件安全分析統(tǒng)一化。

3 網絡安全配置的部署架構

上述“分布式部署架構”，在網絡安全配置中起著新型且有效的作用，所謂“分布式的網絡安全部署”主要由兩方面組成：以引擎探測、管理數據中心和分布點中心三部分構成的審計部署系統(tǒng)和邊界安全系統(tǒng)。

分布式的審計部署系統(tǒng)和邊界防御系統(tǒng)都使用三級管理的運營結構，級一個管理中心可以面對連接多個引擎探測，一個服務器可以分別連接數據中心和引擎探測中心。但是一個引擎探測只能與一個管理數據中心相連。分布式的管理中心可以同時管理多個管理數據中心，它可以統(tǒng)一制定并下發(fā)策略管理方案，在集中接收相應數據后能夠較為完善的統(tǒng)計并報表，集中處理關聯的網絡安全事件。管理數據中心主要容納管理數據、人機界面管理、引擎探測管理、配置策略管理等管理分布。在審計安全的應用中主要采用B/S的部署架構，而在邊界安全系統(tǒng)中主要應用C/S的部署架構，從而最大限度的保證數據安全。

4 教育網中網絡安全配置的現實應用

對于調研地區(qū)，我們采用上述分布式安全部署的方式，涵蓋所有中小學校，部署九十八臺防火墻安全管理系統(tǒng)、九十八臺安全審計管理設備以及近兩萬個網絡防范病毒點。根據調研結果顯示，該區(qū)域教育網的分布式部署取得了較為理想的成效。統(tǒng)一管理、協(xié)調發(fā)展主要應用在以下幾個方面：

4.1 網絡邊界安全系統(tǒng)的優(yōu)化應用

（1）教育機構相關網絡邊界運用分布式的部署方式，在學校防火墻內建VPN并且連入中心防火墻。這種分布式的部署可以使得管理人員可以一目了然的了解學校網絡的運行情況、并且在一些突發(fā)情況產生時，較為核心的計算機技術可以通過這種分布式部署迅速連入學校的網絡防火墻，通過遠程協(xié)管的方式有效的解決問題。

（2）構建更安全的“網絡墻壁”，也就是在數據傳輸的時候增加安全性能，保護數據采集和傳輸的安全。一些“網閘”由于沒有IP地址，在進行數據采集與傳輸的時候讓黑客無路可走，為網絡內環(huán)境構建了一道結實的“墻壁”，現今我國許多高校所使用的教育網絡服務器防護措施仍存在較多安全漏洞，在許多方面也都要做出相關調整才可以更安全化，比如物理防護和IP地址防護就可以作為阻擋入侵的一道有效“墻壁”，用戶在校園區(qū)域的校園網內也只有一部分人可以訪問校內服務器，而沒有經過訪問權限的用戶就不能訪問，這在一定程度上也保障了校內信息的安全性。構建安全的“網絡墻壁”，從而可以在數據、傳輸、清理上多方面的保證教育網絡服務器數據的安全。

（3）在充分調研教育網在教育機構的應用狀況之后，教育安全配置中心應根據不同機構的不同需求，下發(fā)相應的管理策略，重點在“四個統(tǒng)一”的建設，以確保教育網主干網絡干凈暢通。做好教育網絡安全評估表是日常管理與預防的重要舉措之一，包括“安全日志”與“流量日志”在內的相關評估標準提供了更好的隱患消除參考，為進一步優(yōu)化網絡環(huán)境提供了輔助。

4.2 分布式安全審計部署的應用

在安全審計方面，主要是通過篩選出網頁不良信息，進而全方位的阻擋黃、賭、毒、邪等不良信息在學生生活中的荼毒。教育網絡管理員可以自行定義網絡過濾，為其管理做輔助作用。系統(tǒng)可以實現對于HTTP、FTP、BT、郵件、聊天、Telnet、游戲、音視頻等協(xié)議的監(jiān)管審核、報警。對于QQ、網易泡泡、MSN等聊天窗口，以及反恐精英、魔獸爭霸、穿越火線等數十種游戲起到強有力的監(jiān)管作用。即時信息內容以及上傳文件內容都會包含在審計報警范疇之內。

通過審計信息強大的查詢功能可以對于各種網上行為進行細化的審查管理，從而對于各個客戶端口的數據審查，對于教育網內信息進行整合與分析。另外，系統(tǒng)可以自行解析審計對象的MAC地址以及IP地址，并在綁定其地址之后，可以根據用戶組織結構來將其劃分成不同的組分，直觀的通過“使用者”的上網流量信息，來管理各個審計對象以及相關協(xié)議應用狀況，發(fā)現有安全漏洞的網絡也可以及時有效的進行管理。另外按照時間、應用、操作、對象等標準生成報表分析，依據多方面的綜合數據可以生成出所需的圖形表，這作為衡量信息應用的數據、發(fā)現審核以及資源的綜合利用都有重要的意義。

5 小結

隨著教育網絡安全建設進入快速發(fā)展的時期。在教育網中，特別是一些學校性質的教育網安全管理中，往往因其核心技術人員力量薄弱、教育網絡邊界部署協(xié)議不完善，容易產生病毒或者網絡癱瘓的現象。教育網的網絡安全監(jiān)管優(yōu)化離不開對于網絡接入端的監(jiān)管、對于用戶用網的監(jiān)管以及對于終端病毒的監(jiān)管。并且通過網絡邊界安全系統(tǒng)的配置優(yōu)化、分布式安全審計部署的配置優(yōu)化可以有效地將分布式網絡安全結構應用于教育網的網絡安全改善中，從而為潔凈、高速的網絡環(huán)境夯實基礎。

[1]張寧，狄增如.復雜網絡實證研究[J].中國教育進展，2013.

[2]鄭先偉.2014年上半年教育網安全運行匯總[J].教育學報，2014.

[3]張朝清.分布式的網絡安全部署在教育城域網中的應用[J].網絡科學進展，2014.

圖1 P2DR模型示意圖

防火墻的作用是對不同網絡之間數據監(jiān)控的通道，可信任的內部網絡以及不可信任的公共網絡是不同網絡的統(tǒng)稱，還可以是不同網絡安全域之間的硬件設備。包過濾型防火墻以及代理型防火墻是防火墻系統(tǒng)的兩大類，包過濾規(guī)則的定義是通過包過濾防火墻，這種設置相對簡單，成本也低，然而規(guī)則要復雜很多。利用TCP/IP協(xié)議為用戶提供互聯網服務的代理服務器型防火墻，在新應用建立上存在弊端。防火墻的重要作用是網絡安全的保護屏，利用防火墻的應用協(xié)議之前，需要做好設置與選擇工作，這樣才能確保網絡環(huán)境的安全性。通常硬件防火墻是高校網絡安全建設所使用的，硬件防火墻是專業(yè)的網絡設備，因此，性能以及效率極高，同時具備安全性、獨立性。配置防火墻的過程中，要精細到每一個端口的服務器都要進行設置，這是因為windows服務器系統(tǒng)的開啟端口較多，因此，要關閉不使用的以及由安全隱患的端口，為外界網絡提供服務的DMZ進行的訪問，需要其外部地址以及內部服務器之間做好轉換，而這個轉換工作是在防火墻中設置的。入侵檢測系統(tǒng)策略中，防火墻的作用主要是防范，保護節(jié)點的網絡入口，確保非守群數據訪問的安全性，對內部網絡的檢測是入侵檢測系統(tǒng)，其作用是對內部上網行為進行監(jiān)視。

5 總結

高校網絡安全建設是一個漫長的工程，需要科學有效的網絡安全技術保駕護航，實現高校教育信息化，網絡安全技術中入侵檢測技術以及防火墻技術的應用，是高校校園網絡安全問題解決的有效途徑，因此，校園網網絡安全技術的應用是關鍵。

參考文獻：

[1]賈晶，陳元，王麗娜.信息系統(tǒng)的安全與保密[M].北京清華大學出版社，2015.

[2]董杰，揭金良.基于P KI的CA認證中心的搭建[J].成都理工大學學報(自然科學版)，2015.

[3]謝志堅，謝冬青，周洲儀.基于IP數據包加密的VPN虛擬專用網絡結構[J].計算機工程，2015.

[4]李志剛.校園網絡安全平臺的研究與建立[J].網絡安全技術與應用，2013.

[5]姚汝，肖堯.網絡安全技術在校園網中的應用研究[J].網絡安全技術與應用，2014.

[6]劉彥.網絡安全技術及其在校園網中的應用探析[J].科技傳播，2013.

[7]許榮生，吳海燕，畢學堯.網絡信息安全的關鍵技術[J].計算機世界，2012.