1. 行業(yè)范圍

 教育管理單位：

 高等教育：部屬高校、市屬高校、職專(zhuān)等

 普及教育：高中、初中、小學(xué)

2. 客戶(hù)群、業(yè)務(wù)及特點(diǎn)

 客戶(hù)群：教授、老師、學(xué)生、行政管理人員等

 業(yè)務(wù)：互聯(lián)網(wǎng)訪問(wèn)、校園應(yīng)用系統(tǒng)訪問(wèn)、數(shù)字化校園、校務(wù)管理、教學(xué)實(shí)驗(yàn)、與相關(guān)單位互聯(lián)等

 特點(diǎn)：用戶(hù)數(shù)龐大，數(shù)據(jù)量大，行為難以控制，帶寬難以管理，訪問(wèn)內(nèi)容需要過(guò)濾，易感染病毒，易受到攻擊，需大量用戶(hù)身份管理等

3. 信息化建設(shè)情況

大多數(shù)學(xué)校已建校園網(wǎng)，且大多采用多互聯(lián)網(wǎng)出口教育網(wǎng)和互聯(lián)網(wǎng)（聯(lián)通、電信、移動(dòng)等）。

全國(guó)校舍系統(tǒng)：國(guó)務(wù)院于2009年啟動(dòng)了全國(guó)中小學(xué)校舍安全工程，對(duì)全國(guó)城市和農(nóng)村、公立和民辦、教育系統(tǒng)和非教育系統(tǒng)所有中小學(xué)，都要進(jìn)行逐棟排查、鑒定、規(guī)劃，對(duì)存在安全隱患的校舍進(jìn)行加固改造或拆除重建，達(dá)到抗震設(shè)防標(biāo)準(zhǔn)，提高綜合防災(zāi)能力。按照國(guó)務(wù)院相關(guān)指示，為配合“校安工程”的實(shí)施，建立“全國(guó)中小學(xué)校舍信息管理系統(tǒng)”，逐步建立起覆蓋全國(guó)中小學(xué)?；趩误w建筑物的校舍信息電子檔案數(shù)據(jù)庫(kù)，并在此基礎(chǔ)上開(kāi)發(fā)和完善中央、省、地市、縣和學(xué)校各級(jí)“校舍系統(tǒng)”，滿(mǎn)足各級(jí)政府和部門(mén)全面掌握中小學(xué)校舍安全信息，及時(shí)掌握工程進(jìn)展情況，實(shí)現(xiàn)安全監(jiān)控與預(yù)警、投資監(jiān)管和統(tǒng)籌管理，為“校安工程”和安全管理提供服務(wù)，為未來(lái)中小學(xué)信息化建設(shè)提供支撐,提高政府的科學(xué)管理水平和教育現(xiàn)代化的水平。

數(shù)字化校園：數(shù)字化校園是以數(shù)字化信息和網(wǎng)絡(luò)為基礎(chǔ)，在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)上建立起來(lái)的對(duì)教學(xué)、科研、管理、技術(shù)服務(wù)、生活服務(wù)等校園信息的收集、處理、整合、存儲(chǔ)、傳輸和應(yīng)用，使數(shù)字資源得到充分優(yōu)化利用的一種虛擬教育環(huán)境。通過(guò)實(shí)現(xiàn)從環(huán)境（包括設(shè)備，教室等）、資源（如圖書(shū)、講義、課件等）到應(yīng)用（包括教、學(xué)、管理、服務(wù)、辦公等）的全部數(shù)字化，在傳統(tǒng)校園基礎(chǔ)上構(gòu)建一個(gè)數(shù)字空間，以拓展現(xiàn)實(shí)校園的時(shí)間和空間維度，提升傳統(tǒng)校園的運(yùn)行效率，擴(kuò)展傳統(tǒng)校園的業(yè)務(wù)功能，最終實(shí)現(xiàn)教育過(guò)程的全面信息化，從而達(dá)到提高管理水平和效率的目的。

安全實(shí)驗(yàn)室：如何將這些抽象的網(wǎng)絡(luò)技術(shù)，采用實(shí)物化的網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)，有效地加深學(xué)生對(duì)網(wǎng)絡(luò)技術(shù)的理解，提高動(dòng)手能力和實(shí)際環(huán)境中發(fā)現(xiàn)問(wèn)題、解決問(wèn)題的能力。在建立信息安全實(shí)驗(yàn)室，有助于學(xué)校在此領(lǐng)域教學(xué)和科研水平的較快提升，為學(xué)校信息安全人才培養(yǎng)體系注入新的活力。為在校的大學(xué)生搭建一個(gè)真正的實(shí)踐操作演練平臺(tái)，讓大學(xué)生們不走出校園就可以捕捉到當(dāng)前最先進(jìn)的信息安全技術(shù)脈動(dòng)、獲取用人單位求才時(shí)要求具備的技術(shù)能力。

4. 教育行業(yè)面臨的問(wèn)題域挑戰(zhàn)

4.1. 越來(lái)越多的出口

很多學(xué)校普遍采用多校園網(wǎng)出口方式，基本上70-80%以上學(xué)校都有2個(gè)校園網(wǎng)出口，相當(dāng)比例的學(xué)校擁有三個(gè)以上的出口在技術(shù)實(shí)現(xiàn)上如何進(jìn)行智能選路？如何進(jìn)行多鏈路負(fù)載均衡？

4.2. 安全防護(hù)能力

伴隨著數(shù)字化校園的建設(shè)、校園資源的整合，數(shù)據(jù)中心的建立已經(jīng)是大勢(shì)所趨，邊界安全防護(hù)，已成為重點(diǎn)

校園網(wǎng)內(nèi)部出現(xiàn)的網(wǎng)絡(luò)威脅的種類(lèi)也越來(lái)越多，不僅有非法入侵、網(wǎng)絡(luò)滲透，還有網(wǎng)絡(luò)欺騙、DOS/DDOS攻擊、各種惡意軟件、垃圾郵件等

4.3. 流量控制

校園網(wǎng)幾乎可以說(shuō)是P2P應(yīng)用最多的場(chǎng)所之一，如果無(wú)策略管理，流量幾乎占用了60-70％的網(wǎng)絡(luò)帶寬，無(wú)情地吞噬著校園網(wǎng)絡(luò)有限的帶寬資源，關(guān)鍵性應(yīng)用卻得不到保障。

4.4. “無(wú)所不聯(lián)”的要求

無(wú)論是廣大師生需要從校外遠(yuǎn)程訪問(wèn)校內(nèi)的數(shù)字圖書(shū)館，還是領(lǐng)導(dǎo)、老師需要從校外遠(yuǎn)程使用校內(nèi)的辦公應(yīng)用系統(tǒng)，不僅要實(shí)現(xiàn)其遠(yuǎn)程安全接入，而且需要針對(duì)訪問(wèn)者、使用者的身份進(jìn)行認(rèn)證并授權(quán)，為特定用戶(hù)群分配特定的訪問(wèn)資源。

此外,同一高校多個(gè)校區(qū)之間的核心、敏感部門(mén)（財(cái)務(wù)、人事等部門(mén)）之間也必須實(shí)現(xiàn)安全互聯(lián)。

4.5. 對(duì)內(nèi)網(wǎng)的監(jiān)控以及上網(wǎng)行為控制

一方面，由內(nèi)網(wǎng)到外網(wǎng)的安全威脅比較嚴(yán)重。學(xué)生電腦管理松散，電腦中裝有各種軟件甚至感染病毒，有可能成為攻擊的跳板，因此還需要監(jiān)督、控制全網(wǎng)應(yīng)用協(xié)議的情況（流量分布、會(huì)話(huà)數(shù)量）、校園網(wǎng)每用戶(hù)的使用情況（上下行流量、會(huì)話(huà)數(shù)量）等作為輔助管理手段。

另外一方面，學(xué)生自制力較差。有必要對(duì)其上網(wǎng)行為進(jìn)行一定程度的控制，例如：禁止其瀏覽成人、娛樂(lè)等不安全或政策、法律禁止的網(wǎng)站，以及其它的一些上網(wǎng)使用行為。

4.6. ARP攻擊防御

ARP欺騙攻擊不僅導(dǎo)致校園網(wǎng)不穩(wěn)定，極大影響數(shù)字校園業(yè)務(wù)的正常運(yùn)行，更嚴(yán)重的是利用ARP欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊和網(wǎng)關(guān)仿冒攻擊，導(dǎo)致用戶(hù)無(wú)法正常和網(wǎng)關(guān)通信，攻擊者可以憑借此攻擊而獨(dú)占上行帶寬。

由于ARP欺騙攻擊利用了ARP協(xié)議的設(shè)計(jì)缺陷，光靠包過(guò)濾、IP＋MAC＋端口綁定等傳統(tǒng)辦法是比較難解決的。

4.7. 高性能、高可靠

一方面，校園網(wǎng)的網(wǎng)絡(luò)流量模型逐漸在發(fā)生著變化（小包報(bào)文比例增加，單個(gè)用戶(hù)的并發(fā)連接數(shù)也在迅速增加、UDP報(bào)文在迅速增加等）

另外一方面，越來(lái)越大的流量需要處理，越來(lái)越多的功能需要開(kāi)啟，對(duì)于設(shè)備高處理性能的需求也是越來(lái)越迫切。

5. 校園網(wǎng)出口安全解決方案

XXX校園網(wǎng)對(duì)內(nèi)提供上網(wǎng)服務(wù)，保持與外界的聯(lián)系的同時(shí)也是學(xué)校在CERNET、Internet中查找相關(guān)資料。因此，校園網(wǎng)的出入口安全是XXX校園網(wǎng)安全建設(shè)的重點(diǎn)之一。

為了保證XXX學(xué)校中心子網(wǎng)與服務(wù)器子網(wǎng)的安全，實(shí)現(xiàn)不同安全域之間訪問(wèn)的合理控制，因此需要在受保護(hù)子網(wǎng)與下屬區(qū)縣網(wǎng)絡(luò)的聯(lián)接處部署防火墻系統(tǒng)，以便根據(jù)不同安全要求設(shè)定相應(yīng)的安全規(guī)則，實(shí)現(xiàn)實(shí)時(shí)的訪問(wèn)控制、身份認(rèn)證、日志審計(jì)、黑客防范等目的，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊，阻止來(lái)自其它安全域的非法用戶(hù)對(duì)本安全域的入侵和破壞行為。

通過(guò)防火墻可以有效地監(jiān)控非信任端接口和內(nèi)部網(wǎng)之間的活動(dòng)，形成保護(hù)內(nèi)部網(wǎng)絡(luò)的安全邊界，保證內(nèi)部網(wǎng)絡(luò)和重要子網(wǎng)的安全。

在XXX學(xué)校網(wǎng)絡(luò)中我們?cè)O(shè)計(jì)了硬件防火墻，其中2臺(tái)將校園網(wǎng)與CERNET、Internet邏輯隔離，對(duì)其配置相應(yīng)的訪問(wèn)控制策略，實(shí)現(xiàn)對(duì)校園網(wǎng)與CERNET、Internet之間的邊界保護(hù)， 同在重點(diǎn)區(qū)域邊界部署防火墻，如服務(wù)器區(qū)和管理區(qū)，加強(qiáng)對(duì)其邊界的保護(hù)TopSec防火墻部署示意圖5-1所示。

圖5-1防火墻部署示意圖

在防火墻上通過(guò)設(shè)置安全策略增加對(duì)服務(wù)器的保護(hù)，同時(shí)必要時(shí)還可以啟用防火墻的NAT功能隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使用日志來(lái)對(duì)非法訪問(wèn)進(jìn)行監(jiān)控，使用防火墻與入侵檢測(cè)聯(lián)動(dòng)功能形成動(dòng)態(tài)、自適應(yīng)的安全防護(hù)平臺(tái)。下面將從幾個(gè)方面介紹防火墻在校園網(wǎng)的設(shè)計(jì)方案。

6. 校舍系統(tǒng)安全解決方案

6.1. 校舍系統(tǒng)概述

國(guó)務(wù)院于2009年啟動(dòng)了全國(guó)中小學(xué)校舍安全工程（以下簡(jiǎn)稱(chēng)“校安工程”），對(duì)全國(guó)城市和農(nóng)村、公立和民辦、教育系統(tǒng)和非教育系統(tǒng)所有中小學(xué)，都要進(jìn)行逐棟排查、鑒定、規(guī)劃，對(duì)存在安全隱患的校舍進(jìn)行加固改造或拆除重建，達(dá)到抗震設(shè)防標(biāo)準(zhǔn)，提高綜合防災(zāi)能力。按照國(guó)務(wù)院相關(guān)指示，為配合“校安工程”的實(shí)施，建立“全國(guó)中小學(xué)校舍信息管理系統(tǒng)”（以下簡(jiǎn)稱(chēng)“校舍系統(tǒng)”），逐步建立起覆蓋全國(guó)中小學(xué)?；趩误w建筑物的校舍信息電子檔案數(shù)據(jù)庫(kù)，并在此基礎(chǔ)上開(kāi)發(fā)和完善中央、省、地市、縣和學(xué)校各級(jí)“校舍系統(tǒng)”，滿(mǎn)足各級(jí)政府和部門(mén)全面掌握中小學(xué)校舍安全信息，及時(shí)掌握工程進(jìn)展情況，實(shí)現(xiàn)安全監(jiān)控與預(yù)警、投資監(jiān)管和統(tǒng)籌管理，為“校安工程”和安全管理提供服務(wù)，為未來(lái)中小學(xué)信息化建設(shè)提供支撐,提高政府的科學(xué)管理水平和教育現(xiàn)代化的水平。

6.2. 安全建設(shè)方案

在利于政務(wù)外網(wǎng)形成中央-省-市-縣四級(jí)網(wǎng)絡(luò)系統(tǒng)，各級(jí)系統(tǒng)的網(wǎng)路邊界安全防護(hù)、網(wǎng)絡(luò)動(dòng)態(tài)的安全檢測(cè)，網(wǎng)絡(luò)審計(jì)等安全方面的防護(hù)，與我們通常的安全基本一樣，校舍系統(tǒng)目前重要的時(shí)維護(hù)者一個(gè)具有全國(guó)中小學(xué)的校舍情況的數(shù)據(jù)庫(kù)，因此對(duì)數(shù)據(jù)庫(kù)的審計(jì)必須強(qiáng)調(diào)。