對(duì)于教育網(wǎng)中網(wǎng)絡(luò)安全配置優(yōu)化的應(yīng)用研究

◆胡俊峰

（廣州衛(wèi)生職業(yè)技術(shù)學(xué)院 廣東 510450）

對(duì)于教育網(wǎng)中網(wǎng)絡(luò)安全配置優(yōu)化的應(yīng)用研究

◆胡俊峰

（廣州衛(wèi)生職業(yè)技術(shù)學(xué)院 廣東 510450）

隨著信息化經(jīng)濟(jì)的高速發(fā)展，我國(guó)教育網(wǎng)安全建設(shè)也進(jìn)入了一個(gè)快速發(fā)展的時(shí)期，教育網(wǎng)因其主干流量偏高、速度慢以及監(jiān)管制度不完善等方面影響，教育網(wǎng)的安全配置仍有待優(yōu)化，本文通過(guò)闡述我國(guó)教育網(wǎng)發(fā)展至今所遇到的一些問(wèn)題以及對(duì)于他們的研究分析，梳理教育網(wǎng)配置優(yōu)化的安全需求與技術(shù)難點(diǎn)，并就其分布式結(jié)構(gòu)的優(yōu)化應(yīng)用做以詳細(xì)分析，以供讀者共同參考。

教育網(wǎng)安全；監(jiān)管制度；分布式結(jié)構(gòu)

0 引言

在互聯(lián)網(wǎng)逐漸普及的當(dāng)代社會(huì)，教育網(wǎng)絡(luò)安全建設(shè)也進(jìn)入了一個(gè)快速發(fā)展的時(shí)期。在教育網(wǎng)中，特別是一些學(xué)校性質(zhì)的教育網(wǎng)安全管理中，往往因其核心技術(shù)人員力量薄弱、教育網(wǎng)絡(luò)邊界部署協(xié)議不完善，容易產(chǎn)生病毒或者網(wǎng)絡(luò)癱瘓的現(xiàn)象。教育網(wǎng)是一個(gè)集教師、學(xué)生、教育管理者等多方的網(wǎng)絡(luò)平臺(tái)，對(duì)于其監(jiān)管很難做到盡善盡美，而由于監(jiān)管力度缺失導(dǎo)致不良信息也在逐漸的傳播，對(duì)于使用造成了一定的困擾。另外由于教育網(wǎng)的終端數(shù)目很多，一旦出現(xiàn)問(wèn)題，相對(duì)難以定位安全漏洞的位點(diǎn)，這在一定成功程度上也給了病毒可乘之機(jī)，進(jìn)而致使教育網(wǎng)絡(luò)出口阻塞、速度偏慢、使用率低等不良現(xiàn)象。

1 教育網(wǎng)中網(wǎng)絡(luò)的安全需求

教育網(wǎng)的網(wǎng)絡(luò)安全離不開(kāi)三方面的需求，分別是對(duì)于網(wǎng)絡(luò)接入端的監(jiān)管、對(duì)于用戶(hù)用網(wǎng)的監(jiān)管以及對(duì)于終端病毒的監(jiān)管。

網(wǎng)絡(luò)接入端是教育網(wǎng)的網(wǎng)絡(luò)安全外部屏障，因教育機(jī)構(gòu)一般分散面較廣，接入的互聯(lián)網(wǎng)類(lèi)型不一，而核心計(jì)算機(jī)安全管理技術(shù)相對(duì)比較薄弱，致使其安全隱患較大。以往的設(shè)計(jì)中教育網(wǎng)獨(dú)立防火墻在部署中并不能起到顯著的作用，對(duì)于一些預(yù)期的安全防范工作依舊沒(méi)有做得很好，由此我們?cè)O(shè)想，利用分布式的網(wǎng)絡(luò)安全部署一方面可以充分的運(yùn)用優(yōu)質(zhì)的核心技術(shù)管理人才來(lái)管理教育網(wǎng)中的薄弱環(huán)節(jié)，另一方面也可以有效的防御主干教育網(wǎng)的安全、滿(mǎn)足其安全需求。

對(duì)于用戶(hù)使用的監(jiān)管則主要體現(xiàn)在用戶(hù)上網(wǎng)行為的監(jiān)管，運(yùn)用較為分布式的網(wǎng)絡(luò)行為也可以使得監(jiān)管變得有效且統(tǒng)一，加大監(jiān)管力度可以有效地防止不良信息的滲入以及傳播。而對(duì)于終端病毒的監(jiān)管則需要更先進(jìn)的殺毒引擎做以保障，運(yùn)用統(tǒng)一的病毒數(shù)據(jù)庫(kù)，實(shí)時(shí)監(jiān)管終端病毒的傳播情況，及時(shí)的查殺、有效地預(yù)防，從而進(jìn)一步使得整個(gè)教育網(wǎng)的環(huán)境得以?xún)艋瑢?duì)于其安全運(yùn)行、高速運(yùn)行提供了保障。

2 教育網(wǎng)中網(wǎng)絡(luò)安全配置的技術(shù)難點(diǎn)

教育網(wǎng)網(wǎng)絡(luò)服務(wù)器的安全與否，關(guān)系到整個(gè)網(wǎng)絡(luò)是否能夠安全運(yùn)行的前提。優(yōu)化網(wǎng)絡(luò)服務(wù)器的防御性能對(duì)于構(gòu)建安全的網(wǎng)絡(luò)環(huán)境起到很重要的作用。建立一個(gè)安全的網(wǎng)絡(luò)防護(hù)體系可以有效地阻擋黑客的侵入、病毒的侵染，完善自身安全漏洞的同時(shí)也維護(hù)了網(wǎng)絡(luò)安全的運(yùn)轉(zhuǎn)。要加強(qiáng)對(duì)于網(wǎng)絡(luò)服務(wù)器、機(jī)房的管理方式，要對(duì)計(jì)算機(jī)修復(fù)漏洞的軟件及時(shí)升級(jí)，更新病毒庫(kù)數(shù)據(jù)，做到及時(shí)有效地對(duì)計(jì)算機(jī)系統(tǒng)全面清查。因此，在教育網(wǎng)中安全配置主要的技術(shù)難點(diǎn)有“四個(gè)統(tǒng)一化”，分別是：工作界面統(tǒng)一化、控制平臺(tái)統(tǒng)一化、部署分布式連接統(tǒng)一化以及事件安全分析統(tǒng)一化。

3 網(wǎng)絡(luò)安全配置的部署架構(gòu)

上述“分布式部署架構(gòu)”，在網(wǎng)絡(luò)安全配置中起著新型且有效的作用，所謂“分布式的網(wǎng)絡(luò)安全部署”主要由兩方面組成：以引擎探測(cè)、管理數(shù)據(jù)中心和分布點(diǎn)中心三部分構(gòu)成的審計(jì)部署系統(tǒng)和邊界安全系統(tǒng)。

分布式的審計(jì)部署系統(tǒng)和邊界防御系統(tǒng)都使用三級(jí)管理的運(yùn)營(yíng)結(jié)構(gòu)，級(jí)一個(gè)管理中心可以面對(duì)連接多個(gè)引擎探測(cè)，一個(gè)服務(wù)器可以分別連接數(shù)據(jù)中心和引擎探測(cè)中心。但是一個(gè)引擎探測(cè)只能與一個(gè)管理數(shù)據(jù)中心相連。分布式的管理中心可以同時(shí)管理多個(gè)管理數(shù)據(jù)中心，它可以統(tǒng)一制定并下發(fā)策略管理方案，在集中接收相應(yīng)數(shù)據(jù)后能夠較為完善的統(tǒng)計(jì)并報(bào)表，集中處理關(guān)聯(lián)的網(wǎng)絡(luò)安全事件。管理數(shù)據(jù)中心主要容納管理數(shù)據(jù)、人機(jī)界面管理、引擎探測(cè)管理、配置策略管理等管理分布。在審計(jì)安全的應(yīng)用中主要采用B/S的部署架構(gòu)，而在邊界安全系統(tǒng)中主要應(yīng)用C/S的部署架構(gòu)，從而最大限度的保證數(shù)據(jù)安全。

4 教育網(wǎng)中網(wǎng)絡(luò)安全配置的現(xiàn)實(shí)應(yīng)用

對(duì)于調(diào)研地區(qū)，我們采用上述分布式安全部署的方式，涵蓋所有中小學(xué)校，部署九十八臺(tái)防火墻安全管理系統(tǒng)、九十八臺(tái)安全審計(jì)管理設(shè)備以及近兩萬(wàn)個(gè)網(wǎng)絡(luò)防范病毒點(diǎn)。根據(jù)調(diào)研結(jié)果顯示，該區(qū)域教育網(wǎng)的分布式部署取得了較為理想的成效。統(tǒng)一管理、協(xié)調(diào)發(fā)展主要應(yīng)用在以下幾個(gè)方面：

4.1 網(wǎng)絡(luò)邊界安全系統(tǒng)的優(yōu)化應(yīng)用

（1）教育機(jī)構(gòu)相關(guān)網(wǎng)絡(luò)邊界運(yùn)用分布式的部署方式，在學(xué)校防火墻內(nèi)建VPN并且連入中心防火墻。這種分布式的部署可以使得管理人員可以一目了然的了解學(xué)校網(wǎng)絡(luò)的運(yùn)行情況、并且在一些突發(fā)情況產(chǎn)生時(shí)，較為核心的計(jì)算機(jī)技術(shù)可以通過(guò)這種分布式部署迅速連入學(xué)校的網(wǎng)絡(luò)防火墻，通過(guò)遠(yuǎn)程協(xié)管的方式有效的解決問(wèn)題。

（2）構(gòu)建更安全的“網(wǎng)絡(luò)墻壁”，也就是在數(shù)據(jù)傳輸?shù)臅r(shí)候增加安全性能，保護(hù)數(shù)據(jù)采集和傳輸?shù)陌踩Ｒ恍熬W(wǎng)閘”由于沒(méi)有IP地址，在進(jìn)行數(shù)據(jù)采集與傳輸?shù)臅r(shí)候讓黑客無(wú)路可走，為網(wǎng)絡(luò)內(nèi)環(huán)境構(gòu)建了一道結(jié)實(shí)的“墻壁”，現(xiàn)今我國(guó)許多高校所使用的教育網(wǎng)絡(luò)服務(wù)器防護(hù)措施仍存在較多安全漏洞，在許多方面也都要做出相關(guān)調(diào)整才可以更安全化，比如物理防護(hù)和IP地址防護(hù)就可以作為阻擋入侵的一道有效“墻壁”，用戶(hù)在校園區(qū)域的校園網(wǎng)內(nèi)也只有一部分人可以訪問(wèn)校內(nèi)服務(wù)器，而沒(méi)有經(jīng)過(guò)訪問(wèn)權(quán)限的用戶(hù)就不能訪問(wèn)，這在一定程度上也保障了校內(nèi)信息的安全性。構(gòu)建安全的“網(wǎng)絡(luò)墻壁”，從而可以在數(shù)據(jù)、傳輸、清理上多方面的保證教育網(wǎng)絡(luò)服務(wù)器數(shù)據(jù)的安全。

（3）在充分調(diào)研教育網(wǎng)在教育機(jī)構(gòu)的應(yīng)用狀況之后，教育安全配置中心應(yīng)根據(jù)不同機(jī)構(gòu)的不同需求，下發(fā)相應(yīng)的管理策略，重點(diǎn)在“四個(gè)統(tǒng)一”的建設(shè)，以確保教育網(wǎng)主干網(wǎng)絡(luò)干凈暢通。做好教育網(wǎng)絡(luò)安全評(píng)估表是日常管理與預(yù)防的重要舉措之一，包括“安全日志”與“流量日志”在內(nèi)的相關(guān)評(píng)估標(biāo)準(zhǔn)提供了更好的隱患消除參考，為進(jìn)一步優(yōu)化網(wǎng)絡(luò)環(huán)境提供了輔助。

4.2 分布式安全審計(jì)部署的應(yīng)用

在安全審計(jì)方面，主要是通過(guò)篩選出網(wǎng)頁(yè)不良信息，進(jìn)而全方位的阻擋黃、賭、毒、邪等不良信息在學(xué)生生活中的荼毒。教育網(wǎng)絡(luò)管理員可以自行定義網(wǎng)絡(luò)過(guò)濾，為其管理做輔助作用。系統(tǒng)可以實(shí)現(xiàn)對(duì)于HTTP、FTP、BT、郵件、聊天、Telnet、游戲、音視頻等協(xié)議的監(jiān)管審核、報(bào)警。對(duì)于QQ、網(wǎng)易泡泡、MSN等聊天窗口，以及反恐精英、魔獸爭(zhēng)霸、穿越火線(xiàn)等數(shù)十種游戲起到強(qiáng)有力的監(jiān)管作用。即時(shí)信息內(nèi)容以及上傳文件內(nèi)容都會(huì)包含在審計(jì)報(bào)警范疇之內(nèi)。

通過(guò)審計(jì)信息強(qiáng)大的查詢(xún)功能可以對(duì)于各種網(wǎng)上行為進(jìn)行細(xì)化的審查管理，從而對(duì)于各個(gè)客戶(hù)端口的數(shù)據(jù)審查，對(duì)于教育網(wǎng)內(nèi)信息進(jìn)行整合與分析。另外，系統(tǒng)可以自行解析審計(jì)對(duì)象的MAC地址以及IP地址，并在綁定其地址之后，可以根據(jù)用戶(hù)組織結(jié)構(gòu)來(lái)將其劃分成不同的組分，直觀的通過(guò)“使用者”的上網(wǎng)流量信息，來(lái)管理各個(gè)審計(jì)對(duì)象以及相關(guān)協(xié)議應(yīng)用狀況，發(fā)現(xiàn)有安全漏洞的網(wǎng)絡(luò)也可以及時(shí)有效的進(jìn)行管理。另外按照時(shí)間、應(yīng)用、操作、對(duì)象等標(biāo)準(zhǔn)生成報(bào)表分析，依據(jù)多方面的綜合數(shù)據(jù)可以生成出所需的圖形表，這作為衡量信息應(yīng)用的數(shù)據(jù)、發(fā)現(xiàn)審核以及資源的綜合利用都有重要的意義。

5 小結(jié)

隨著教育網(wǎng)絡(luò)安全建設(shè)進(jìn)入快速發(fā)展的時(shí)期。在教育網(wǎng)中，特別是一些學(xué)校性質(zhì)的教育網(wǎng)安全管理中，往往因其核心技術(shù)人員力量薄弱、教育網(wǎng)絡(luò)邊界部署協(xié)議不完善，容易產(chǎn)生病毒或者網(wǎng)絡(luò)癱瘓的現(xiàn)象。教育網(wǎng)的網(wǎng)絡(luò)安全監(jiān)管優(yōu)化離不開(kāi)對(duì)于網(wǎng)絡(luò)接入端的監(jiān)管、對(duì)于用戶(hù)用網(wǎng)的監(jiān)管以及對(duì)于終端病毒的監(jiān)管。并且通過(guò)網(wǎng)絡(luò)邊界安全系統(tǒng)的配置優(yōu)化、分布式安全審計(jì)部署的配置優(yōu)化可以有效地將分布式網(wǎng)絡(luò)安全結(jié)構(gòu)應(yīng)用于教育網(wǎng)的網(wǎng)絡(luò)安全改善中，從而為潔凈、高速的網(wǎng)絡(luò)環(huán)境夯實(shí)基礎(chǔ)。

[1]張寧，狄增如.復(fù)雜網(wǎng)絡(luò)實(shí)證研究[J].中國(guó)教育進(jìn)展，2013.

[2]鄭先偉.2014年上半年教育網(wǎng)安全運(yùn)行匯總[J].教育學(xué)報(bào)，2014.

[3]張朝清.分布式的網(wǎng)絡(luò)安全部署在教育城域網(wǎng)中的應(yīng)用[J].網(wǎng)絡(luò)科學(xué)進(jìn)展，2014.

圖1 P2DR模型示意圖

防火墻的作用是對(duì)不同網(wǎng)絡(luò)之間數(shù)據(jù)監(jiān)控的通道，可信任的內(nèi)部網(wǎng)絡(luò)以及不可信任的公共網(wǎng)絡(luò)是不同網(wǎng)絡(luò)的統(tǒng)稱(chēng)，還可以是不同網(wǎng)絡(luò)安全域之間的硬件設(shè)備。包過(guò)濾型防火墻以及代理型防火墻是防火墻系統(tǒng)的兩大類(lèi)，包過(guò)濾規(guī)則的定義是通過(guò)包過(guò)濾防火墻，這種設(shè)置相對(duì)簡(jiǎn)單，成本也低，然而規(guī)則要復(fù)雜很多。利用TCP/IP協(xié)議為用戶(hù)提供互聯(lián)網(wǎng)服務(wù)的代理服務(wù)器型防火墻，在新應(yīng)用建立上存在弊端。防火墻的重要作用是網(wǎng)絡(luò)安全的保護(hù)屏，利用防火墻的應(yīng)用協(xié)議之前，需要做好設(shè)置與選擇工作，這樣才能確保網(wǎng)絡(luò)環(huán)境的安全性。通常硬件防火墻是高校網(wǎng)絡(luò)安全建設(shè)所使用的，硬件防火墻是專(zhuān)業(yè)的網(wǎng)絡(luò)設(shè)備，因此，性能以及效率極高，同時(shí)具備安全性、獨(dú)立性。配置防火墻的過(guò)程中，要精細(xì)到每一個(gè)端口的服務(wù)器都要進(jìn)行設(shè)置，這是因?yàn)閣indows服務(wù)器系統(tǒng)的開(kāi)啟端口較多，因此，要關(guān)閉不使用的以及由安全隱患的端口，為外界網(wǎng)絡(luò)提供服務(wù)的DMZ進(jìn)行的訪問(wèn)，需要其外部地址以及內(nèi)部服務(wù)器之間做好轉(zhuǎn)換，而這個(gè)轉(zhuǎn)換工作是在防火墻中設(shè)置的。入侵檢測(cè)系統(tǒng)策略中，防火墻的作用主要是防范，保護(hù)節(jié)點(diǎn)的網(wǎng)絡(luò)入口，確保非守群數(shù)據(jù)訪問(wèn)的安全性，對(duì)內(nèi)部網(wǎng)絡(luò)的檢測(cè)是入侵檢測(cè)系統(tǒng)，其作用是對(duì)內(nèi)部上網(wǎng)行為進(jìn)行監(jiān)視。

5 總結(jié)

高校網(wǎng)絡(luò)安全建設(shè)是一個(gè)漫長(zhǎng)的工程，需要科學(xué)有效的網(wǎng)絡(luò)安全技術(shù)保駕護(hù)航，實(shí)現(xiàn)高校教育信息化，網(wǎng)絡(luò)安全技術(shù)中入侵檢測(cè)技術(shù)以及防火墻技術(shù)的應(yīng)用，是高校校園網(wǎng)絡(luò)安全問(wèn)題解決的有效途徑，因此，校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用是關(guān)鍵。

參考文獻(xiàn)：

[1]賈晶，陳元，王麗娜.信息系統(tǒng)的安全與保密[M].北京清華大學(xué)出版社，2015.

[2]董杰，揭金良.基于P KI的CA認(rèn)證中心的搭建[J].成都理工大學(xué)學(xué)報(bào)(自然科學(xué)版)，2015.

[3]謝志堅(jiān)，謝冬青，周洲儀.基于IP數(shù)據(jù)包加密的VPN虛擬專(zhuān)用網(wǎng)絡(luò)結(jié)構(gòu)[J].計(jì)算機(jī)工程，2015.

[4]李志剛.校園網(wǎng)絡(luò)安全平臺(tái)的研究與建立[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013.

[5]姚汝，肖堯.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.

[6]劉彥.網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用探析[J].科技傳播，2013.

[7]許榮生，吳海燕，畢學(xué)堯.網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)[J].計(jì)算機(jī)世界，2012.