隨著教育信息化的深入開展，教師對教育城域網(wǎng)的使用愈加頻繁，網(wǎng)絡(luò)安全性變得日益重要。因此，教育城域網(wǎng)在實現(xiàn)遠程接入功能的前提下，更需增強對遠程終端安全狀況的識別能力，精確控制遠程終端的訪問權(quán)限，在應(yīng)用層面上作相應(yīng)的識別、過濾，從而保障整個應(yīng)用系統(tǒng)的安全。目前，教育城域網(wǎng)的安全建設(shè)已取得一些成效，但面對有效保障各種網(wǎng)絡(luò)接入方式安全的問題，傳統(tǒng)的安全防護思路和技術(shù)面臨著諸如網(wǎng)絡(luò)邊界模糊導(dǎo)致防護難度劇增、攻擊與入侵的手段愈加隱蔽、網(wǎng)絡(luò)攻擊借“身”入侵合法及合法訪問方式被利用等問題。
　　● 遠程接入安全需求分析
　　在網(wǎng)絡(luò)接入方式復(fù)雜多變、新的安全問題日益凸顯的情況下，要使遠程網(wǎng)絡(luò)接入方式做到完全“可信”，就不能僅僅保證接入認證時的身份和狀態(tài)可信，還應(yīng)當確保接入后訪問過程中的行為可控，全面防范各種攻擊行為，即從接入發(fā)起開始，一直到整個網(wǎng)絡(luò)訪問完成的全過程的可信和可控。通常，教育城域網(wǎng)在對各種網(wǎng)絡(luò)接入進行保障時會部署多種類型的安全系統(tǒng)，這些系統(tǒng)大都各自為戰(zhàn)，因此，迫切需要一套有效的集中管理和分析系統(tǒng)。
　　● 遠程接入安全措施設(shè)計
　　1.安全措施的選擇
　　在可信接入防護中，對安全防護措施的需求情況具體分析如下：利用VPN技術(shù)實現(xiàn)網(wǎng)絡(luò)訪問通道安全；綜合利用VPN、終端管理系統(tǒng)和防火墻實現(xiàn)用戶身份認證和授權(quán)；利用防火墻、流量控制等多種技術(shù)實現(xiàn)接入行為控制；利用IPS、反病毒、Web過濾、郵件過濾等技術(shù)實現(xiàn)對網(wǎng)絡(luò)內(nèi)容的安全訪問。
　　2.安全措施的整合
　　根據(jù)“深度防護”的原則，安全防護設(shè)計不僅僅是孤立地采取安全措施來分別解決問題的不同方面，還應(yīng)當有效地將各類安全措施整合起來，對于可信接入，需要實現(xiàn)以下方面的安全措施整合。
　?。?）對于內(nèi)外部網(wǎng)絡(luò)間的可信接入方式可通過UTM設(shè)備來整合。通過UTM設(shè)備實現(xiàn)VPN、防火墻、入侵防御、網(wǎng)關(guān)防病毒、流量控制、Web過濾、日志審計等防護效果，實現(xiàn)內(nèi)外部網(wǎng)絡(luò)間訪問行為和流量的有效控制以及對惡意行為和病毒的有效防范，為分支結(jié)構(gòu)的遠程接入提供安全的VPN接入服務(wù)。
　?。?）在外部遠程辦公終端接入教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)時，通過與教育城域網(wǎng)邊界UTM設(shè)備聯(lián)動提供可信VPN接入服務(wù)。在外部遠程辦公終端接入教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)進行身份認證時，UTM系統(tǒng)防火墻模塊會實現(xiàn)用戶身份認證和準入控制，不符合關(guān)鍵安全策略的終端不允許接入，接入的終端根據(jù)用戶身份和終端狀態(tài)控制其可以訪問的網(wǎng)絡(luò)資源。
　?。?）UTM自身的日志審計與內(nèi)容行為審計模塊可對上述兩種接入方式進行全面檢測和審計，而通過集中安全管理平臺對UTM、內(nèi)容行為審計等系統(tǒng)進行全面的策略管理、設(shè)備狀態(tài)監(jiān)控以及安全事件的集中關(guān)聯(lián)分析和響應(yīng)。
　　● 遠程接入安全的實現(xiàn)
　　對于外部終端的可信接入，通過在教育城域網(wǎng)出口處部署UTM設(shè)備和綜合網(wǎng)管平臺來實現(xiàn)安全接入。對于有多節(jié)點的遠程機構(gòu)，可以采用IPSec方式來連接。對于內(nèi)部用戶來說應(yīng)用是透明的，可以在UTM設(shè)備上實施相應(yīng)的策略。單機移動用戶可以通過SSL VPN的方式來連接企業(yè)總部。企業(yè)總部可以通過安全策略來控制移動用戶的接入，以保障整個網(wǎng)絡(luò)的安全。外部終端接入全程可信可控的具體實現(xiàn)方式如下。
　　1.接入VPN保證通道可信
　　外部終端訪問教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)時，首先需要建立安全的VPN訪問通道，外部終端通過VPN（推薦采用便捷高效的SSLVPN接入方式）客戶端向UTM設(shè)備發(fā)起認證請求，由UTM設(shè)備的VPN模塊完成VPN發(fā)起終端的身份認證，認證通過則允許建立VPN隧道。建議采用數(shù)字證書+USBKey方式進行認證，沒有合法數(shù)字證書和USBKey的外部終端無法建立訪問通道。
　　2.確認外網(wǎng)接入者身份可信
　　VPN隧道建立后，由防火墻模塊結(jié)合身份認證模塊完成通過VPN隧道進行訪問的用戶的身份認證，采用OTP方式進行確認。
　　3.確保外部遠程終端接入時安全狀態(tài)可信
　　在VPN隧道建立后，接入網(wǎng)絡(luò)前，SSLVPN客戶端將對外部終端自身安全狀態(tài)進行檢測，以保證遠程終端接入時的安全狀態(tài)符合準入要求。檢查結(jié)果隨同OTP認證數(shù)據(jù)提交認證服務(wù)器，檢測策略遵循教育城域網(wǎng)制定的安全策略標準，檢測內(nèi)容可以涉及外部終端安全狀態(tài)的各個層面。身份認證通過后，UTM設(shè)備防火墻模塊根據(jù)安全檢查結(jié)果進行準入控制，存在關(guān)鍵不符合項的外部終端，不允許接入教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)，其他終端由防火墻授予相應(yīng)的訪問權(quán)限。
　　4.確保外部遠程終端行為可控
　　對外網(wǎng)終端的行為進行實時監(jiān)控，盡可能降低合法用戶非法竊取教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)重要信息資源的可能性，進一步提升外部終端內(nèi)訪問過程中行為的可信和可控。
　　利用UTM設(shè)備的防火墻模塊對外部終端的網(wǎng)絡(luò)訪問行為執(zhí)行嚴格的控制策略，包含源地址、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時間、用戶、帶寬等的訪問控制，確保外網(wǎng)終端對教育城域網(wǎng)內(nèi)部進行許可的訪問。此外，還可以通過UTM設(shè)備流量管理功能實現(xiàn)嚴格的QoS策略，對外網(wǎng)終端訪問流量和類型進行限制，節(jié)省寶貴的VPN鏈路帶寬，保障關(guān)鍵業(yè)務(wù)帶寬。
　　5.確保外部終端網(wǎng)絡(luò)內(nèi)訪內(nèi)容的可控
　　通過UTM設(shè)備的IPS、反病毒、Web過濾、郵件過濾等模塊可以實時對外部終端內(nèi)訪過程中的訪問數(shù)據(jù)進行病毒查殺、入侵防御，還可檢查是否存在不良Web內(nèi)容，是否屬于垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙等其他威脅，實現(xiàn)外部終端網(wǎng)絡(luò)內(nèi)訪流量的徹底檢測和防范。
　　6.確保外部終端的政策合規(guī)性
　　UTM設(shè)備可對多種網(wǎng)絡(luò)信息內(nèi)容進行實時監(jiān)測，以實現(xiàn)外部終端網(wǎng)絡(luò)內(nèi)訪行為的全面審計，如UTM設(shè)備提供豐富的終端行為、訪問行為日志記錄及審計功能，能夠?qū)崿F(xiàn)日志的分級管理、自動報表、自動報警功能，并且產(chǎn)生的日志能夠以多種方式導(dǎo)出，系統(tǒng)還提供了多種報表模板，支持管理員從不同方面進行網(wǎng)絡(luò)事件的可視化分析。
　　7.實現(xiàn)外部終端可信接入的立體保障
　　UTM系統(tǒng)大力提升了外部終端接入過程中的可信和可控，但對于外部終端接入環(huán)境下全程的安全事件還缺乏集中分析手段，不能很好把握全局的安全態(tài)勢，還缺乏全面的監(jiān)控和聯(lián)動防御體系以及安全事件的應(yīng)急處理流程和技術(shù)支撐平臺。
　　在技術(shù)層面，安全管理平臺集中管理不同位置的VPN設(shè)備，可對安全日志及安全事件信息進行集中審計，有效實現(xiàn)了外部終端接入環(huán)境下教育城域網(wǎng)網(wǎng)絡(luò)的安全預(yù)警、入侵行為的實時發(fā)現(xiàn)、入侵事件動態(tài)響應(yīng)，真正實現(xiàn)立體的動態(tài)防御。在運營層面，信息安全管理平臺幫助管理者準確分析現(xiàn)有系統(tǒng)面臨的威脅，并排列有限順序，理順安全事件的管理流程，制定合理的應(yīng)急響應(yīng)流程和規(guī)范。在決策層面，信息主管可以從業(yè)務(wù)風(fēng)險層面理解安全事件，通過風(fēng)險量化，實現(xiàn)對業(yè)務(wù)系統(tǒng)的風(fēng)險監(jiān)控和管理，同時幫助信息主管計算和跟蹤安全投資回報率，便于在后期優(yōu)化信息安全投資。
　　綜上，針對常見的網(wǎng)絡(luò)接入安全問題，引入邊界隔離與訪問控制技術(shù)、可信網(wǎng)關(guān)技術(shù)、VPN技術(shù)、終端管理技術(shù)、內(nèi)容與行為審計技術(shù)、安全管理平臺技術(shù)，建立了多層次、立體式的可信接入安全防護體系，有效整合了安全資源。