1. 行業(yè)范圍

 教育管理單位：

 高等教育：部屬高校、市屬高校、職專等

 普及教育：高中、初中、小學

2. 客戶群、業(yè)務及特點

 客戶群：教授、老師、學生、行政管理人員等

 業(yè)務：互聯(lián)網(wǎng)訪問、校園應用系統(tǒng)訪問、數(shù)字化校園、校務管理、教學實驗、與相關(guān)單位互聯(lián)等

 特點：用戶數(shù)龐大，數(shù)據(jù)量大，行為難以控制，帶寬難以管理，訪問內(nèi)容需要過濾，易感染病毒，易受到攻擊，需大量用戶身份管理等

3. 信息化建設情況

大多數(shù)學校已建校園網(wǎng)，且大多采用多互聯(lián)網(wǎng)出口教育網(wǎng)和互聯(lián)網(wǎng)（聯(lián)通、電信、移動等）。

全國校舍系統(tǒng)：國務院于2009年啟動了全國中小學校舍安全工程，對全國城市和農(nóng)村、公立和民辦、教育系統(tǒng)和非教育系統(tǒng)所有中小學，都要進行逐棟排查、鑒定、規(guī)劃，對存在安全隱患的校舍進行加固改造或拆除重建，達到抗震設防標準，提高綜合防災能力。按照國務院相關(guān)指示，為配合“校安工程”的實施，建立“全國中小學校舍信息管理系統(tǒng)”，逐步建立起覆蓋全國中小學?；趩误w建筑物的校舍信息電子檔案數(shù)據(jù)庫，并在此基礎上開發(fā)和完善中央、省、地市、縣和學校各級“校舍系統(tǒng)”，滿足各級政府和部門全面掌握中小學校舍安全信息，及時掌握工程進展情況，實現(xiàn)安全監(jiān)控與預警、投資監(jiān)管和統(tǒng)籌管理，為“校安工程”和安全管理提供服務，為未來中小學信息化建設提供支撐,提高政府的科學管理水平和教育現(xiàn)代化的水平。

數(shù)字化校園：數(shù)字化校園是以數(shù)字化信息和網(wǎng)絡為基礎，在計算機和網(wǎng)絡技術(shù)上建立起來的對教學、科研、管理、技術(shù)服務、生活服務等校園信息的收集、處理、整合、存儲、傳輸和應用，使數(shù)字資源得到充分優(yōu)化利用的一種虛擬教育環(huán)境。通過實現(xiàn)從環(huán)境（包括設備，教室等）、資源（如圖書、講義、課件等）到應用（包括教、學、管理、服務、辦公等）的全部數(shù)字化，在傳統(tǒng)校園基礎上構(gòu)建一個數(shù)字空間，以拓展現(xiàn)實校園的時間和空間維度，提升傳統(tǒng)校園的運行效率，擴展傳統(tǒng)校園的業(yè)務功能，最終實現(xiàn)教育過程的全面信息化，從而達到提高管理水平和效率的目的。

安全實驗室：如何將這些抽象的網(wǎng)絡技術(shù)，采用實物化的網(wǎng)絡實驗教學，有效地加深學生對網(wǎng)絡技術(shù)的理解，提高動手能力和實際環(huán)境中發(fā)現(xiàn)問題、解決問題的能力。在建立信息安全實驗室，有助于學校在此領域教學和科研水平的較快提升，為學校信息安全人才培養(yǎng)體系注入新的活力。為在校的大學生搭建一個真正的實踐操作演練平臺，讓大學生們不走出校園就可以捕捉到當前最先進的信息安全技術(shù)脈動、獲取用人單位求才時要求具備的技術(shù)能力。

4. 教育行業(yè)面臨的問題域挑戰(zhàn)

4.1. 越來越多的出口

很多學校普遍采用多校園網(wǎng)出口方式，基本上70-80%以上學校都有2個校園網(wǎng)出口，相當比例的學校擁有三個以上的出口在技術(shù)實現(xiàn)上如何進行智能選路？如何進行多鏈路負載均衡？

4.2. 安全防護能力

伴隨著數(shù)字化校園的建設、校園資源的整合，數(shù)據(jù)中心的建立已經(jīng)是大勢所趨，邊界安全防護，已成為重點

校園網(wǎng)內(nèi)部出現(xiàn)的網(wǎng)絡威脅的種類也越來越多，不僅有非法入侵、網(wǎng)絡滲透，還有網(wǎng)絡欺騙、DOS/DDOS攻擊、各種惡意軟件、垃圾郵件等

4.3. 流量控制

校園網(wǎng)幾乎可以說是P2P應用最多的場所之一，如果無策略管理，流量幾乎占用了60-70％的網(wǎng)絡帶寬，無情地吞噬著校園網(wǎng)絡有限的帶寬資源，關(guān)鍵性應用卻得不到保障。

4.4. “無所不聯(lián)”的要求

無論是廣大師生需要從校外遠程訪問校內(nèi)的數(shù)字圖書館，還是領導、老師需要從校外遠程使用校內(nèi)的辦公應用系統(tǒng)，不僅要實現(xiàn)其遠程安全接入，而且需要針對訪問者、使用者的身份進行認證并授權(quán)，為特定用戶群分配特定的訪問資源。

此外,同一高校多個校區(qū)之間的核心、敏感部門（財務、人事等部門）之間也必須實現(xiàn)安全互聯(lián)。

4.5. 對內(nèi)網(wǎng)的監(jiān)控以及上網(wǎng)行為控制

一方面，由內(nèi)網(wǎng)到外網(wǎng)的安全威脅比較嚴重。學生電腦管理松散，電腦中裝有各種軟件甚至感染病毒，有可能成為攻擊的跳板，因此還需要監(jiān)督、控制全網(wǎng)應用協(xié)議的情況（流量分布、會話數(shù)量）、校園網(wǎng)每用戶的使用情況（上下行流量、會話數(shù)量）等作為輔助管理手段。

另外一方面，學生自制力較差。有必要對其上網(wǎng)行為進行一定程度的控制，例如：禁止其瀏覽成人、娛樂等不安全或政策、法律禁止的網(wǎng)站，以及其它的一些上網(wǎng)使用行為。

4.6. ARP攻擊防御

ARP欺騙攻擊不僅導致校園網(wǎng)不穩(wěn)定，極大影響數(shù)字校園業(yè)務的正常運行，更嚴重的是利用ARP欺騙攻擊可進一步實施中間人攻擊和網(wǎng)關(guān)仿冒攻擊，導致用戶無法正常和網(wǎng)關(guān)通信，攻擊者可以憑借此攻擊而獨占上行帶寬。

由于ARP欺騙攻擊利用了ARP協(xié)議的設計缺陷，光靠包過濾、IP＋MAC＋端口綁定等傳統(tǒng)辦法是比較難解決的。

4.7. 高性能、高可靠

一方面，校園網(wǎng)的網(wǎng)絡流量模型逐漸在發(fā)生著變化（小包報文比例增加，單個用戶的并發(fā)連接數(shù)也在迅速增加、UDP報文在迅速增加等）

另外一方面，越來越大的流量需要處理，越來越多的功能需要開啟，對于設備高處理性能的需求也是越來越迫切。

5. 校園網(wǎng)出口安全解決方案

XXX校園網(wǎng)對內(nèi)提供上網(wǎng)服務，保持與外界的聯(lián)系的同時也是學校在CERNET、Internet中查找相關(guān)資料。因此，校園網(wǎng)的出入口安全是XXX校園網(wǎng)安全建設的重點之一。

為了保證XXX學校中心子網(wǎng)與服務器子網(wǎng)的安全，實現(xiàn)不同安全域之間訪問的合理控制，因此需要在受保護子網(wǎng)與下屬區(qū)縣網(wǎng)絡的聯(lián)接處部署防火墻系統(tǒng)，以便根據(jù)不同安全要求設定相應的安全規(guī)則，實現(xiàn)實時的訪問控制、身份認證、日志審計、黑客防范等目的，在保護內(nèi)部網(wǎng)絡安全的前提下，提供內(nèi)外網(wǎng)絡通訊，阻止來自其它安全域的非法用戶對本安全域的入侵和破壞行為。

通過防火墻可以有效地監(jiān)控非信任端接口和內(nèi)部網(wǎng)之間的活動，形成保護內(nèi)部網(wǎng)絡的安全邊界，保證內(nèi)部網(wǎng)絡和重要子網(wǎng)的安全。

在XXX學校網(wǎng)絡中我們設計了硬件防火墻，其中2臺將校園網(wǎng)與CERNET、Internet邏輯隔離，對其配置相應的訪問控制策略，實現(xiàn)對校園網(wǎng)與CERNET、Internet之間的邊界保護， 同在重點區(qū)域邊界部署防火墻，如服務器區(qū)和管理區(qū)，加強對其邊界的保護TopSec防火墻部署示意圖5-1所示。

圖5-1防火墻部署示意圖

在防火墻上通過設置安全策略增加對服務器的保護，同時必要時還可以啟用防火墻的NAT功能隱藏網(wǎng)絡拓撲結(jié)構(gòu)，使用日志來對非法訪問進行監(jiān)控，使用防火墻與入侵檢測聯(lián)動功能形成動態(tài)、自適應的安全防護平臺。下面將從幾個方面介紹防火墻在校園網(wǎng)的設計方案。

6. 校舍系統(tǒng)安全解決方案

6.1. 校舍系統(tǒng)概述

國務院于2009年啟動了全國中小學校舍安全工程（以下簡稱“校安工程”），對全國城市和農(nóng)村、公立和民辦、教育系統(tǒng)和非教育系統(tǒng)所有中小學，都要進行逐棟排查、鑒定、規(guī)劃，對存在安全隱患的校舍進行加固改造或拆除重建，達到抗震設防標準，提高綜合防災能力。按照國務院相關(guān)指示，為配合“校安工程”的實施，建立“全國中小學校舍信息管理系統(tǒng)”（以下簡稱“校舍系統(tǒng)”），逐步建立起覆蓋全國中小學?；趩误w建筑物的校舍信息電子檔案數(shù)據(jù)庫，并在此基礎上開發(fā)和完善中央、省、地市、縣和學校各級“校舍系統(tǒng)”，滿足各級政府和部門全面掌握中小學校舍安全信息，及時掌握工程進展情況，實現(xiàn)安全監(jiān)控與預警、投資監(jiān)管和統(tǒng)籌管理，為“校安工程”和安全管理提供服務，為未來中小學信息化建設提供支撐,提高政府的科學管理水平和教育現(xiàn)代化的水平。

6.2. 安全建設方案

在利于政務外網(wǎng)形成中央-省-市-縣四級網(wǎng)絡系統(tǒng)，各級系統(tǒng)的網(wǎng)路邊界安全防護、網(wǎng)絡動態(tài)的安全檢測，網(wǎng)絡審計等安全方面的防護，與我們通常的安全基本一樣，校舍系統(tǒng)目前重要的時維護者一個具有全國中小學的校舍情況的數(shù)據(jù)庫，因此對數(shù)據(jù)庫的審計必須強調(diào)。