教育城域系统网络安全的建设目标是坚持安全技术与规范管理相结合的原则，明晰安全管理系统的体系结构、设计一套适合公安系统实际需求的安全管理机制并推行，保障公安系统信息资产的完整性、机密性和可靠性，保证公安综合应用的安全。

按照公安部和公安厅的要求，信息化应用支撑平台必须在健全安全管理制度的同时，同步建立起严密的安全技术措施。因此，在教育城域系统网络安全的方案设计中，我们针对信息化应用支撑平台所应具备的功能和所提供的服务，综合利用用户认证与访问控制（CA）、防火墙、入侵检测（IDS）、漏洞扫描、防病毒等技术，为平台建筑一个立体的、多层次的安全系统，以保障信息化应用支撑平台及数据的平台及数据的安全。

同时，除了采用上述技术措施之外，加强信息化应用平台安全管理，制定有关规章制度，对于确保平台的安全、可靠运行，也将起到十分有效的作用。

教育城域网概况

根据教育行业管理业务的结构、流量的分布等特殊性，将整个城域网划分为三个层次：核心骨干层(一级骨干)、汇聚骨干层(二级骨干)、校园接入层。

 
如此网络存在巨大隐患和风险，网络中没有防火墙设备保护本地局域网。本地局域网很容易被外部网络所侵害。

网络安全风险分析

网络给教育事业带来巨大便利的同时，也带来了许多挑战，其中安全问题尤为突出。加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险会日益加重。引起这些风险的原因有多种，其中网络系统结构和系统的应用等因素尤为重要。

教育城域网包括基础承载网络和业务管理平台。城域承载网是城域网业务接入、汇聚和交换的物理核心网，它由核心交换层、边缘汇聚层、综合接入层构成。业务管理平台由业务支撑平台、网管平台、认证计费平台等组成。

城域网的安全风险主要在于设备遭受攻击或病毒引发的网络流量突然增大对设备性能的冲击，与业务相关的数据库服务器受到病毒的攻击，影响业务的正常运行，因此其安全设计考虑的重点与企业网络不同，用户的管理难度很大，安全管理制度实施困难，安全建设应更多地采用技术来保证网络和设备安全，并以用户管理作为辅助手段。

城域网安全模型将宽带城域网分成三个区域：信任域、非信任域和隔离区域（非军事区）。信任域是网络中心的基础网络，通常采用防火墙等设备与电信业务网隔离，包括网管平台、智能业务平台、认证平台等设备；隔离区域是信任域和非信任域之间进行数据交互的平台，包括电信运营商提供的各种业务平台，如Web服务平台、FTP服务器、用户查询平台、Mail服务器等；非信任域是运营商面对客户的基础网络，它直接提供用户的接入和业务，同时也是Internet网络的一部分，包括基础用户接入、数据交换、媒体网关等设备，是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础，在城域网中起着至关重要的作用，作为安全模型中的非信任域，需要重点考虑。

随着计算机网络的发展，基于宽带城域网络的数据业务在社会经济生活中占有重要地位，网络安全性越来越重要。本文从网络互连七层协议、城域网的分层和网络安全管理体系三个方面来阐述城域网的安全性。

广域网风险分析

随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。宽带城域网作为城市主要的数据业务承载网络，特别是电子商务（E-Commerce）、企业数据专线、网络互联、虚拟专用网（VPN）、Internet接入服务等应用在社会经济生活的地位日益凸现。网络的安全性直接影响到社会的经济效益。例如，2003年1月份的SQL杀手蠕虫事件，中国有两万多台数据库服务器受到影响，使国内主要骨干网全部处于瘫痪或半瘫痪状态；2003年8月份的冲击波蠕虫，使成千上万的用户计算机变慢，被感染的计算机反复重启，有的还导致了系统崩溃，受到“冲击波”病毒感染的计算机反过来又会影响到网络的正常运行。

网络安全服务层次模型

国际标准化组织ISO在开放系统互连标准中定义了七个层次的网络互连参考模型，它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。不同的网络层次有不同的功能，例如链路层负责建立点到点通信，网络层负责路由，传输层负责建立端到端的进程通信信道。相应地，在各层需要提供不同的安全机制和安全服务。

在物理层要保证通信线路的可靠，不易被窃听。在链路层可以采用加密技术，保证通信的安全。在Internet、Intranet环境中，地域分布很广，物理层的安全难以保证，链路层的加密技术也不完全适用。

在网络层，可以采用传统的防火墙技术，如TCP/IP 网络中。采用IP过滤功能的路由器，以控制信息在内外网络边界的流动。还可使用IP加密传输信道技术IP SEC，在两个网络结点间建立透明的安全加密信道。这种技术对应用透明，提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的专用网。这种方法需要建立标准密钥管理，目前在产品兼容性和性能上尚存在较多问题。

在传输层可以实现进程到进程的安全通信，如现在流行的安全套接字层SSL技术，是在两个通信结点间建立安全的TCP连接。这种技术实现了基于进程对进程的安全服务和加密传输信道，采用公钥体系做身份认证；有高的安全强度。但这种技术对应用层不透明，需要证书授权中心，它本身不提供访问控制。

针对专门的应用，在应用层实施安全机制，对特定的应用是有效的，如基于SMTP电子邮件的安全增强型邮件PEM提供了安全服务的电子邮件。又如用于Web的安全增强型超文本传输协议S-HTTP提供了文件级的安全服务机制。由于它是针对特定应用的，缺乏通用性，且须修改应用程序。

宽带城域网的层次安全模型

对于宽带网络运营商而言，宽带城域网包括基础承载网络和业务管理平台。城域承载网是城域网业务接入、汇聚和交换的物理核心网，它由核心交换层、边缘汇聚层、综合接入层构成。业务管理平台由业务支撑平台、网管平台、认证计费平台等组成。

城域网的安全风险主要在于设备遭受攻击或病毒引发的网络流量突然增大对设备性能的冲击，与业务相关的数据库服务器受到病毒的攻击，影响业务的正常运行，因此其安全设计考虑的重点与企业网络不同，用户的管理难度很大，安全管理制度实施困难，安全建设应更多地采用技术来保证网络和设备安全，并以用户管理作为辅助手段。

安全模型将宽带城域网分成三个区域：信任域、非信任域和隔离区域（非军事区）。信任域是宽带运营商的基础网络，通常采用防火墙等设备与电信业务网隔离，包括网管平台、智能业务平台、认证平台等设备；隔离区域是信任域和非信任域之间进行数据交互的平台，包括电信运营商提供的各种业务平台，如Web服务平台、FTP服务器、用户查询平台、Mail服务器等；非信任域是运营商面对客户的基础网络，它直接提供用户的接入和业务，同时也是Internet网络的一部分，包括基础用户接入、数据交换、媒体网关等设备，是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础，在城域网中起着至关重要的作用，作为安全模型中的非信任域，需要重点考虑。

宽带城域网的层次安全分析

1. 信任域的安全

信任域由网络业务支撑系统、网管系统、用户认证计费系统等组成，是城域网安全运营的核心所在，因而，必须采取最严密的安全措施。在一般情况下，信任域可能面临的威胁包括网络攻击、网络入侵、病毒（造成拒绝服务攻击）等。为了避免这些威胁，保证信任域的安全，可采取以下手段：

（1）部署防火墙，制定严格的安全访问策略，严格限制对此区域的访问；
（2）认真配置好系统软件和应用软件，跟踪操作系统和应用系统的漏洞及补丁进展情况，严格限定系统和应用所服务对象的范围；
（3）部署网络入侵监测系统（IDS）,对核心服务实施监控，对网络攻击和病毒及时报警；
（4）建立网管系统和日志系统；
（5）对重要的主机系统应采用双机热备份方式，对重要的应用系统和数据做好完善的备份工作，根据具体情况和需要设置灾难恢复系统。

2. 隔离域的安全

隔离域是城域网对外业务服务的平台，包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等，所有业务必须对外开放，因而安全威胁最大，也是最容易受到攻击的区域。为保证安全，可采取以下手段：

（1）部署防火墙，制定安全访问策略，特别是拒绝服务攻击（DDOS）；
（2）及时修补服务器的安全漏洞，关闭不必要的网络服务等；
（3）系统备份和日志系统等等。

3. 非信任域的安全

非信任域是网络业务的传输网络，主要由各种网络交换机组成，它直接提供用户的接入和业务。非信任域网络安全的主要威胁来自各种攻击和病毒，其危害性主要表现在三个方面：

（1）网络攻击或病毒攻击会消耗网络设备的系统资源，特别是CPU的处理能力，使正常用户报文丢失，造成网络故障。
（2）攻击会大量消耗四层资源，如TCP连接数资源，对网络服务器和NAT设备的影响很大。
（3）黑客对设备访问控制权的攻击。

城域网需要重点考虑的是非信任域的安全问题，加强设备自身的安全和日常维护流程，从技术和流程两方面来保证。

下面阐述如何从城域网分层的角度来加强网络设备的安全措施：

（1）城域网核心设备的安全

核心交换层由核心交换节点构成，它将多个边缘汇聚层连接起来，提供穿透服务，进行数据的高速转发，同时实现与全国骨干网络的互联，提供城市高速IP数据出口。用户数据流可通过汇聚层上行到核心网络，通过核心网获取所需业务。威胁城域核心网安全的风险主要表现为核心设备遭受攻击或病毒引发网络流量激增，进而对设备性能产生冲击。

核心交换设备对安全性能的要求包括：

◆采用无阻塞交换设备；
◆采用逐包转发、分布处理、Wred等QoS技术，避免流Cache模型造成系统崩溃；
◆节点关键设备冗余备份，系统出现软硬件故障时，可迅速切换到备用模块；
◆网络设备采用多极安全密码体系，限制非法设备和用户登录；
◆实现路由认证，保证路由协议安全；
◆支持SNMP V3，安全网管；
◆流量监控。

（2）城域网汇聚层设备安全

汇聚层负责汇集分散的接入点进行数据交换，提供流量控制和用户管理（用户识别、授权、认证、计费）功能，作为城域网的业务提供层面，是可运营、可管理城域网最重要的组成部分。汇聚层设备是用户管理的基本设备，也是保证城域网承载网和业务安全的基本屏障，更是保障城域网安全性能的关键。

汇聚层设备的安全特性主要体现在以下几点：

◆用户接入网络的安全控制，包括加强口令、密码、智能卡等访问控制手段；
◆保证接入侧用户相互隔离，保证接入的安全性，防止IP地址被盗用或仿冒，防止用户间的相互攻击；
◆IP地址与MAC地址、卡号绑定，能够准确定位用户，包括端口或MAC地址，并可提供追查恶意用户的手段；
◆支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数，有效防止DOS、DDOS类的攻击；
◆支持访问控制列表（ACL），包括在虚拟路由器中创建ACL列表、采用多种过滤规则提供多层次对目标网络的保护，以及禁止部分用户访问或有选择地屏蔽网络服务；
◆可实现对用户带宽的控制CAR；
◆安全日志管理。

从长远看，BRAS产品也必须考虑用户的安全防护措施。如何提供病毒防治、集中安全管理和升级等手段，将成为提高通信网络安全的关键。

（3）城域网接入层设备安全

通过各种接入技术和线路资源实现用户覆盖，提供多业务用户的接入，并配合完成用户流量的控制功能，包括xDSL、LAN和WLAN等接入方式。

设备采用的安全手段包括：

◆用户隔离；
◆控制用户流量带宽。

方案设计

 
1．市教委在对外出口和下行到区县的方向上分贝架设防火墙设备，可有效防止市教委以外的网络对市教委内部局域网的侵扰和损害。
2．区县教委在上行至市教委线路和下行至区县学校线路上分别架设防火墙设备，可有效防止区县教委以外的网络对区县教委内部局域网的侵扰和损害。
3．区县学校在上行至区县教委的网络线路上架设防火墙设备，可有效防止区县学校以外的网络对区县学校内部局域网的侵扰和损害。

方案采用曙光信息产业有限公司网络提供的网络设备进行设计，充分遵循：

◆先进性：采用先进成熟的概念、技术和方法，能支撑各种现在与未来一段时期的主流网络应用，又具有发展潜力，包括基础方案、扩展方案和管理方案。
◆可行性：所设计的方案能够充分考虑网络教育的特点和应用对象的技术、资源、管理等方面的约束，并能很好地结合锐捷网络产品特点进行方案的设计。
◆灵活性：按照模块化、层次化的原则设计网络，网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展，具有能不断吸收新技术、新方法的功能。
◆实用性：网络易维护、易管理，可实施性好。
◆可靠性：能利用产品自身特色，保证网络系统运行稳定可靠、高效。充分显示先进性等。