上千所学校、200万在校师生，某市教育局如何构筑城域网安全防线？

• 首先是网络攻击手段层出不穷，令人防不胜防。伴随着近年来云计算、大数据、物联网、工业互联网等新兴技术的不断涌现和发展，网络攻击也开始发展成有组织的犯罪或者攻击行为，例如，病毒免杀、伪装、挂马、高仿网站等。另一方面，学校教职工、学生由于缺乏网络安全意识和不良信息的甄别能力，通常在使用网络的过程中，下载了含有恶意程序的文件，访问了钓鱼、挂马网站，主机一旦受控，会作为攻击者的跳板，很快将导致内网失陷，引起数据泄露或者严重影响业务系统的正常交付。所以，需要利用技术手段，给教职工和学生赋能，帮助用户去过滤网络中的威胁，发现内部的风险主机，以提高整体的网路安全防护水平和能力。
  

• 其次是勒索病毒、木马日益猖獗，对终端和数据威胁极大。该市教育局目前缺乏必要的企业级终端安全管理系统，导致大量境内/境外的终端木马、勒索病毒威胁严重，而且由于大量终端处于办公网内，造成交叉感染现象严重，又很难彻底清除某些感染性较强的病毒。许多变种的勒索病毒、木马会导致终端运行效率降低，对文件进行加密勒索以至于破坏企业核心数据。

• 第三是带宽资源屡被滥用，网络拥塞频发，严重影响正常业务。该市教育局为了业务发展进行了大量的IT设备与带宽资源投资，主旨是提升关键业务的使用质量，提升整体办公效率。但是宝贵的带宽资源却被各类P2P应用、在线视频、娱乐网站访问等挤占，这不仅造成带宽资源被大量浪费，还使得正常业务得不到应有的带宽保障，关键业务的质量降低，比如视频会议的停顿、OA访问速度慢、邮件无法正常收发等。在网络应用日益丰富的今天，出口带宽即使不断扩容也依然是杯水车薪，不能从根本上解决链路拥塞的问题。目前最有效方法就是实现对不同应用占用的带宽进行分类管理，对于P2P下载等无关应用进行带宽限制，对于OA等关键引用进行带宽保障，从而提升带宽资源使用率，保障关键业务的质量。

• 第四是网络行为亟待实时分析和有效管理。该市教育城域网的互联网出口流量较大，通过对下属县区教育局和学校的网络行为分析，能够做到事前预警，事中控制，事后溯源，是提升网络安全防护的必要手段。通过分析上网数据，可以感知上网行为热点，预先发现风险，以便提前干预引导，结合各项管理措施，形成有效的管理机制。

• 最后是缺乏统一安全管理与安全运营需求，网络安全效能无法充分发挥。该市教育局安全相关负责人表示，除了采用网络安全技术措施控制安全威胁外，安全管理措施也是必不可少的手段，健全的安全管理体系是各种安全防范措施得以有效实施、网络系统安全实现和维系的保证，安全技术措施和安全管理措施可以相互补充，共同构建完整、有效的网络安全保障体系。总之，安全运营体系的作用是支撑、连通技术体系和管理体系，使之真正发挥效能。

该市教育局拥有超过上千所学校，200万在校师生，分散各区域，互联网出口和信息系统数量更是十分庞大，漏洞、风险可能“潜伏”在教育局城域网的任何一个角落。因此，网络安全建设的第一件事，就是统一互联网出口、收敛暴露面、统一防护，避免太多的木桶短板直接暴露在攻击者面前。

据介绍，本项目在该教育城域网数据中建设了1套Q-SASE管理平台系统和1套Q-SASE安全资源池（CSMP），以及配套的Q-SASE安全网关。

图 Q-SASE平台实施方案

• 首先是通过部署Q-SASE，为统一安全管理运营和事件分析提供管理与运营能力。Q-SASE管理平台采用2台服务器部署，包括客户服务门户和运营服务门户，以及配套的上网行为分析系统。运营服务门户，为集中进行SASE系统的统一安全运营以及安全事件分析提供运营管理能力，包括为安全运营人员提供系统安全组件的威胁告警统一的研判、分析和预警管理；客户服务门户，提供客户的自服务界面，协助客户进行组织管理、服务管理、资源管理、安全事件管理等功能。上网行为分析系统主要作为上网行为管理设备的外置日志中心配套使用，支持接入上网行为管理安全组件的审计日志和审计附件，同时也支持接入终端杀毒软件的告警日志。

• 其次是通过安全资源池，实现了对安全组件的按需配置。安全资源池采用3台服务器配置成集群化部署，分布式安全资源池，将所有学校访问互联网、教育专网、政务外网应用等流量按需引导到安全资源池的POP点，安全资源池采用虚拟化安全组件的形式，按需配置安全组件如防火墙、上网行为管理、Web应用防火墙等，即可实现对教育城域网的应用流量进行安全检测、分析、防御和审计。同时，满足该市教育局数据中心机房网络设备的二级等保要求，在安全资源池中部署堡垒机、日志审计、漏洞扫描等等保测评所需的安全能力。

• 最后是通过部署高性能安全网关，实现对教育城域网，以及安全资源池的安全防护。在具体部署上，在数据中心出口防火墙采用两台高性能硬件设备，作为整个服务节点与数据中心内的互联网之间的边界，提供对安全资源池本身的安全防护。

为了兼顾高性能和安全两者兼得，交换机采用两台高性能交换机，作为整个服务节点的核心交换设备，用于服务节点内部的流量汇聚和路由控制。汇聚安全网关采用两台高性能安全网关设备，用于汇聚分布在各学校的安全网关通过教育城域网接入的所有流量，并将流量按照路由策略进行分流转发。

在组网和引流上，各学校的安全网关设备采用旁路方式部署在学校出口，并通过标准的组网策略和安全策略接入教育城域网，实现组网和引流。安全网关需注册到SD-WAN管控平台，学校出口安全网关与教育城域网数据中心的安全网关间建立加密隧道，通过安全资源池的安全防护之后访问互联网、教育专网和政务外网。

该项目实施之后，在出口收敛、安全运营、预警处置、统一管理等方面，取得了显著的效果。

• 第一是通过出口收敛减少了暴露面。Q-SASE在该市教育局实施部署后，实现了互联网出口的收敛，减少教育城域网信息化系统的暴露面，提升教育城域网安全防护能力,为网络安全运维保障工作的开展打好了基础。

• 第二是安全资源池开放实现了按需扩展。教育城域网具备安全可视、持续检测和协同防御等安全能力,满足合规要求的纵深防御体系，安全资源池对安全能力完全开放，可根据客户需求变化灵活扩展。

• 第三是安全能力的全网统一拉齐。彻底拉齐该市教育网内各县区局、学校的安全防护水平和安全运营水准，通过托管安全服务的形式助力客户实现统一的安全管理与运营，整体改善该市教育局对网络攻击地常态化监测和相应能力。

• 第四是安全运营进入常态化。通过定期安全运营报告，对攻击类型和安全事件的威胁进行分析，并提供安全处置建议帮助教育局和学校进行安全事件处置，减少重大网络安全事件发生概率，保证市教育城域网的安全运营。

• 第五是全面提升教育局网络安全监测预警及应急处置的能力。包括及时发现威胁教育城域网的网络攻击行为，及时检测存在的安全隐患，从而促进教育教学单位和重点领域网络空间安全防护水平提高，维护社会的安定和团结，促进全市的新型智慧城市建设。

• 第六是Q-SASE实现了统一的管理和运营。基于Q-SASE管理平台，教育局组建统一的安全管理和运营中心，通过本地运维与远程安全运营相结合的方式，支持对市教育局和所辖学校的安全告警日志的集中监测和分析，针对常态化的运营需求，统一运营中心提供了运营周报，针对每周的安全告警趋势进行详细分析和运营。同时，针对高危的安全告警日志经过Q-SASE管理平台进行规则过滤和归并后，提交给运营专家深度分析，并形成针对重点安全事件报告，提供给教育局和所辖学校进行处置参考，如以下针对某学校的终端被远控木马威胁的安全事件分析，有效的保障了教育城域网内终端及其所访问的各类应用的安全。

该市教育局为保障辖区内学校信息安全、上网安全，采用的奇安信Q-SASE安全访问服务化解决方案，荣获“安全访问服务边缘能力先进级”、“SASE优秀方案奖”、“SASE优秀服务奖”，该方案落地的标杆项目也已入选工信部2022年“网络安全技术应用试点示范项目”。

在项目典型性方面，该项目针对教育局互联网收口场景，提供恶意代码查杀、恶意网站防护、上网行为管理、上网日志审计、敏感信息泄露检测等安全防护能力，以及安全事件的应急响应服务；采用安全资源池集中部署方式，支持弹性扩缩容、组件镜像复制、升级迭代简便等特性，支持千所学校的横向扩展，无需重复建设；尤其是其采用的奇安信“安全运行闭环管理并持续监测响应为核心”的安全运营模式，也为教育局辖区学校提供了定期的安全运营分析，安全事件跟踪的运营服务，避免了各类网络安全风险隐患。