教育网网络安全解决方案

一、概述

    目前，国际互连网络( Internet) 在全球迅猛发展，它从最初用于大学，政府， 研究机构之间共享资源和信息通讯发展至今天，已经成为一个拥有数千万用户和一个庞大信息资源库的网络，成为现代信息技术革命和信息产业的主要内容。

    随着集成电路技术的发展，计算机的价格不断下降，计算机已经不仅仅局限于实验室，正越来越普遍地走入广大市民的家庭、走入中小学校的教室。中小学教育用计算机市场发展迅速，已成为中国计算机市场重要的增长点之一。但是，由于教育软件的相对落后，往往不能使计算机充分发挥辅助教学的作用，在很多情况下流于游戏机、打字机；另一方面，中小学校的网络建设还很不完善，即使是在校园内部也不能实现很大程度的资源共享，更不用说校际的信息交流了。因此有了建设“XX市中小学教育信息系统”的设想。这一工程的实施，将充分地利用信息港丰富的网络资源，极大地推动对传统教育手段的革新，是现代化的教学手段与先进网络技术的有机结合，对XX市的中小学教育将起到重大的促进作用。

二、教育网的网络结构和应用

    中小学教育系统计算机网络系统总体上是一个星型结构的广域网，从管理的分工上可以分为二个层次：

    第一层次：X区中小学教委系统局域网，包括各部门局域网，如信息中心、各办公室等部门网络，该局域网是X区中小学教育系统网络的心脏部分。

    第二层次：各中小学网络。

主要应用包含：
?          基本Internet应用
?          教育信息库
?          管理信息库
?          多媒体课件
?          远程教育
?          网上学校
主要信息类型有：
?          文本：教育信息网中最主要的信息类型是文本型的，其中包括大量的文字，数据和表格等，基本涵盖所有应用类型，涉及教学信息，管理信息等方方面面。
?          图象：主要是大量多媒体课件，网管中的图表显示和管理信息中的图片资料等。
?          视频：涉及电视会议系统，远程教学，和视像点播（VOD）等应用。
?          音频：内部网络电话，独立的声音资料和上面两项中所附带的声音信息。
三、网络风险分析及安全方案设计

根据现有网络结构和应用情况，可能面对的安全风险有：

    当前出于政治目的和商业竞争目的的网络攻击日益增多。网络攻击和入侵对于获取其它目标国家或机构的机密信息是一种非常重要的手段。对于一个重要的部门，信息的安全尤为重要。具有优秀功能的防火墙也是网络安全防护体系的非常重要的一部分。

    鉴于当今的网络性质十分复杂，对于防止网络入侵、非法访问和防病毒来说，动态的防护体系是一个非常优秀的、安全系数最高的安全网路，所以，拥有入侵检测系统是使网络的安全性达到质的飞跃的必要手段。

    由于入侵者不仅可以对企业内部网上进行攻击、窃取或其它破坏，而且完全有可能在传输线路上安装窃听装置，窃取网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性；以上种种不安全因素都对网络构成严重的安全威胁。因此，对于政府这样带有重要信息传输的网络，数据在链路上传输必须加密，并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、可靠性及完整性。

    了解了攻击手段和安全隐患之后，国恒联合科技结合现有的网络技术，设计了如下图所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理内部的访问，尽量杜绝现存的安全隐患。
 

    1、在各网络出口处安装速通防火墙。速通防火墙在这里首先起到网络隔离、划分不同安全域，进行访问控制的功能。通过防火墙的多网口结构设计，控制授权合法用户可以访问到授权服务，而限制非授权的访问。同时速通防火墙自带的认证功能，可以实现内部用户认证，同时可以结合用户原有的域用户认证或者radius认证，实现用户级的访问控制。

    2、速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统，超越了传统防火墙中的基于统计异常的入侵检测功能，实现了可扩展的攻击检测库，真正实现了抵御目前已知的各种攻击方法，并通过升级入侵检测库的方法，不断抵御新的攻击方法。速通防火墙的入侵检测模块，可以自动检测网络数据流中潜在的入侵、攻击和滥用方式，并防火墙模块实现联动，自动调整控制规则，为整个网络提供动态的网络保护。速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测，可以在计算机病毒和蠕虫传输到宿主机之前检测出来，在网关上防止网络病毒的传播，防患于未然。真正实现了少花钱多办事的效果。

    3、利用速通防火墙自带的VPN功能，实现多级VPN系统。虚拟专用网技术（VPN，Virtual Private Network）是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定，政府网络可以通过现有公有平台搭建自己的内部网络，但必须通过认证和加密技术，保证数据传输的安全性。速通防火墙VPN模块支持两种用户模式：远程访问虚拟网（AccessVPN）和企业内部虚拟网（IntranetVPN）。如上图所示，在教委和有局域网的学校网络出口处安装速通防火墙，利用速通防火墙的VPN模块，实现他们之间的企业内部虚拟网（IntranetVPN），而对于一些规模比较小的学校或移动用户，通过安装VPN客户端，实现远程访问虚拟网（AccessVPN），整个构成一个安全的虚拟内部局域网，保障教育网络的数据安全传输。

    4、利用速通防火墙的DNS/URL过滤功能，限制内部用户访问一些不良站点，或者限制内部用户滥用网络资源，下载大量与工作无关的数据。

    本方案的特点在于：根据教育网络的实际需要，充分利用了速通防火墙的各功能模块，实现了各功能模块（防火墙模块、入侵检测模块、用户认证模块、VPN模块）的协同工作，构建了一个动态安全门户，以比较经济实惠的方式，实现了对教育网络的整体安全防护。

• ·惠普网络助力中小学校网络建设解决方案[图]
• ·广州高科通信校园网VoIP解决方案[图]
• ·安奈特中小学校园网解决方案[图]
• ·校园网络解决方案
• ·华为校园网解决方案[图]

• ·华胜天成数字校园框架方案
• ·联想多功能教室解决方案[图]
• ·东软集团教育行业全方面解决方案
• ·东软集团数字化校园解决方案[组图]
• ·蓝牙技术与移动校园网面临问题与解决方案