培训中心网络安全建设的思考

杨 飚

（石油化工管理干部学院，北京 100012）

1 背景

信息技术快速渗透进现实的生产生活中，甚至一夜之间就可能颠覆一个行业。在信息技术越来越体现出不可替代的价值同时，也产生出了诸如黑客、数据泄露、病毒、舆论操控等负面问题，小则影响个人信息安全，大则可能影响一个企业、行业，乃至国家的生存安全。

在网络安全问题日益突出的背景下，网络作为承载信息的载体，连通用户与服务端的连接器，其安全问题是基础网络建设中无法回避的急迫问题。培训中心网络属于园区网的细分行业分类，没有像企业网一样受到关注和深入研究，培训中心网络建设水平参差不齐，普遍水平不高。笔者以培训中心网络建设切入，希望抛砖引玉，引起大家的思考。

2 网络建构遵循的规律

园区网是指由一个诸如企业、学校等的机构独立管理运行、用户直接接入的内部网络（intranet）。园区网的规模差异巨大，与机构业务实际结合，形成了具有业务特点的网络方案，园区网接入互联网、广域网，具有与之不同的建设和运维规律。笔者认为，园区网的建设主要从通信、便捷性、业务性、安全性和认证等五个维度进行分析。

从通信维度看，园区网一般采用接入、汇聚、核心的典型三层结构。规模小的，会将汇聚和核心合并，形成二层结构；规模超大的，会将核心层进一步细化。无论规模大小，本质上都是通过路由、交换协议构成连通通信的基础设施体系。

从便捷性维度看，园区网的关键是给接入用户创设接入网络的技术载体。而由于一般用户的技术能力有限，所以给用户创设便捷的接入方式就成为园区网构建成功与否的重要因素。

从业务性维度看，园区网是支撑机构业务的基础设施，所以其设计必须从实际业务出发。例如，企业存在办公网、生产网等边界清晰的子网，安全性要求也更高；宾馆等公共环境单位的服务对象都是外来人员，必须要在考虑安全性的同时，也考虑用户接入便捷性的因素。

从安全性和认证维度看，安全性和认证是两个不可拆分的维度。狭义的安全性更侧重从防御的角度，审视整体网络；认证是从确定实名用户的角度，达到行为可管可控的目标。安全性和认证两个维度组合起来，构成完整的、广义的安全性概念。对安全性和认证两个维度，以前基本不考虑，而目前二者已成为园区网设计的核心维度。

上述五个维度共同作用，形成了各有特点的园区网方案。如果同时达到五个维度的目标，也必然形成高水准的园区网解决方案。体现出三个特征：

一是安全域和层次结构清晰的网络通信结构体系；

二是实名用户及用户行为管控；

三是多层次的分级安全防御体系。

培训中心网络属于园区网的细分子行业，也需要符合园区网设计和建设规律。

3 培训中心网络建设的难点

针对培训中心网络建设进行多维度因素分析，会发现其业务维度与企业、高校等机构都不相同，体现为极端的网络应用开放性要求。网络建设面临以下几个难点和矛盾。

3.1 学习环境开放性要求与安全域设计的矛盾

良好的网络设计都是以相应的安全域设计为基础，通过物理或VLAN、MPLS VPN等二层或三层逻辑技术手段隔离安全域，再设计相应安全域的访问安全策略，以此构成底层的通信结构体系。安全域设计是将相似用户访问行为相近的物理地点聚合在一起形成的访问区域。

企业网络是企业内部封闭性环境，办公、生产、物联网等业务访问和应用规律不同，访问目标不同。同时存在生产安全风险等客观隔离需求，因此网络有明确的实际需求的边界逻辑，可以相对容易地直接映射为安全域设计。

培训中心与企业环境完全不同。培训中心是典型的轻资产、知识型组织，一般存在教室、办公室、宿舍、餐厅、活动中心、图书馆等物理环境，强调的是用户有线/无线终端移动使用的学习环境开放性，以及网络资源访问的通达性，客观上没有使用行为的差异和安全域的边界，用户使用具有移动化、平面化、一致性的特点。培训中心的开放性要求，以及培训中心的教学业务客观上也不存在生产、生命等安全风险，因此决定了很难通过物理边界划分业务安全域的逻辑，进而导致网络设计失去了区域划分的基础条件。

3.2 用户的变动性、使用便捷性要求与网络认证、行为管控的矛盾

网络安全的重要前提是实名用户和用户行为管控。实名用户是通过用户认证，或者用户和终端绑定的方式；用户行为管控主要通过用户终端安装管控软件，以及网络行为管理、防火墙、各种安全策略配合的方式进行管控。

在企业网络环境中，用户一般是静态的内部业务用户。以前极端的做法是采取将接入交换机端口和MAC地址绑定，以及采用静态IP地址等方式；目前比较常用的是进行用户实名认证；同时用户终端上安装管控终端软件等各种管控方法。由于内部业务用户相对稳定，所以用户经过一段时间就可以习惯使用方式；同时维护人员一次性维护量较大，但长期的维护量还可以接受。这种方式也是目前广泛采取的安全措施。

培训中心情况不同，由于授课教师、学员等用户大多是外来人员，在培训中心的时间相对较短，所以若采取用户认证和终端安装管控软件的方式，一方面用户难以迅速适应认证使用方式，另一方面也导致维护人员无法快速、大面积地响应服务。这种矛盾使得学习成本和运维成本极高，进而导致用户无法忍受，维护人员无法应对，网络服务体系无法正常运作，严重干扰了正常的教学使用。

3.3 短期见效与长期安全运行的矛盾

培训中心网络建设的难点本质上是开放性的现实需求和精细化管理、资金投入、运维人员等多因素之间的矛盾，用户对网络的使用和意见是外显的表现，但却深刻地影响到培训中心的网络建设。

从短期看，网络简单设计，达到能够联通的结果并不存在技术难点，同时投入少、见效快、用户的访问没有限制，反而受到用户的欢迎；安全设计显性体现为投入大、技术要求高，影响用户的便捷性使用。而当安全设计导致用户使用不便，以及维护人员压力陡增时，只能将安全设计后退，最终形成培训中心网络建设没有安全防护的结果，这种现象是培训中心网络普遍面临的困境。

网络安全建设的动力来自客观压力，而非网络建设人员的主观意愿。目前国家所面临的严峻局面，已经形成了网络安全建设的客观压力和需求，所以目前是解决困境的较好时机。

4 培训中心网络安全建设的思路

网络使用的便捷性和网络安全始终是一对矛盾，正确地处理好这对矛盾，是网络建设长期的课题，尤其是具有开放性网络访问环境的培训中心，辩证地处理好矛盾关系，既能够支撑业务访问要求，又能够相对较好地做到网络安全，是其网络建设的客观要求。

4.1 以用户行为和网络设备为依据，划分安全域

企业网络设计可以办公、生产等业务物理边界划分安全域，培训中心没有这样的业务边界，因此只能根据业务特点，人为地创造安全域。可以分为三层逻辑。

第一层是严格界定服务器、互联网，以及用户的区域边界。因为服务器、互联网是安全设计重点防域的边界，并且相对稳定，划分安全域有利于设置安全设备，实施各种安全策略，也在总体上符合网络建设的基本技术规律。

第二层是在教室、智能终端等相对明确的用户使用区域，划分独立的安全域。例如，教室、一卡通等。

第三层是在大量无法明确界定用户安全域的一般用户上网地点，以二层交换机为边界，为每台二层交换机设置一个VLAN。一方面，可以建立网络规划设计的统一网络架构，另一方面，在出现问题时可以快速定位，易于运维。

安全域设计是培训中心网络设计架构的基础。

4.2 以用户认证为主、以静态地点为辅的行为管控体系

在安全域设计的基础上，采用以用户认证为主、以静态地点为辅的行为管控体系。其关键有三点。

第一，网络安全是以实名用户以及用户行为管控为前提条件，这一点是网络建设的基本规律，在培训中心网络建设中也需要遵守。总体上用户自用计算机需要进行认证，构成了管控主体逻辑，比较好的做法是Portal+MAC无感知认证，达到用户的便捷性与安全性的平衡。

第二，教室用计算机等公共访问区域，会面临大量临时授课教师等用户，而他们只会短暂停留，又要强调快速和访问通达性，否则会影响正常的教学秩序，此时强行要求认证不现实，因此只能采取前后端分离的措施。对前端用户开放访问，达到用户的便捷性；对后端的计算机终端进行MAC认证、静态IP等后端严格的措施，使得风险严格限定在局部范围内。同时采取摄像监控等管理措施保障，目的依然是要定位到用户及行为。

第三，针对智能终端、一卡通等设备，由于设备本来安全水平相对较低，容易被攻击，另外也要限制使用人的行为，因此在不认证的前提下，要设置严格的访问策略。

上述三点也是培训中心用户安全域设计的基本原则。

4.3 建立多级纵深防御体系

在安全域和用户认证管控体系的基础上，就可以设计多级纵深防御体系。主要体现在以下几方面。

一是安全对象。培训中心的安全对象管理，主要针对的是服务器、网络设备等后端设备，培训中心业务用户的终端很难采用安装桌面管控软件的方式进行管理。

二是二层通信。要重点防范二层广播通信、广播风暴以及生成树等风险，最好禁止二层通信，从而抑制大多数病毒在园区网的泛滥。

三是三层通信。主要针对不同安全域间的防御。例如，内网区与外网区边界、用户区与服务器区边界等，都要架构三层防火墙、应用防火墙、入侵检测系统等不同的安全设备。

四是四层及以上。主要通过WAF等应用级设备进行防护。

网络安全构筑在网络通信架构基础上，其本身是离散的、碎片化的。没有良好的网络通信架构设计，也就谈不上网络安全。同时网络安全需要通过多层级网络措施的相互配合，才能够做到相对的安全。

5 结束语

培训中心网络开放性的行业特点，与精细化网络管控要求之间，存在深刻的矛盾。在网络安全问题日益突出的背景下，无管控、放任的网络已经无法持续；但没有严谨的业务和技术逻辑分析，不深植于培训中心的业务特点，不能为培训业务提供便捷、安全的服务，仅仅为了安全而安全，培训中心的网络也同样失去了存在的价值。

习近平总书记指出，网络安全是整体的而不是割裂的，网络安全是动态的而不是静态的，网络安全是开放的而不是封闭的。培训中心网络建设是长期的、严谨的过程，辩证地分析便捷性与安全性矛盾关系，达到平衡关系，需要同行业的建设运维人员共同努力，不断完善。