考虑以上教育城域网组网特点，结合各地教育城域网在建设、运维过程中遇到的一些实际问题，其存在以下安全风险和其脆弱性：

    1. 事实上，目前教育城域网内部出现的网络威胁的种类也越来越多，不仅有非法入侵、网络渗透，还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。最严重的攻击是无法终止的攻击，DOS/DDOS攻击正是如此,尤其应受到重点关注。并且它还呈现出以下特点：攻击突发性强（攻击的突发性越来越强，很难预测和监控）、攻击随机性强（都可能成为攻击的目标, 同时攻击的频率和持续时间也很随意，很多的攻击持续时间并不长，当意识到攻击发生时，攻击可能已经结束了）、攻击的方向不确定、攻击复杂度在提高（攻击手段和涉及的协议也在不断的提高,对防御设备的性能及部署以后的升级潜力提出更高要求）。

    不仅教育城域网内部的资源中心(服务器群)可能遭受到恶意DOS/DDOS攻击，甚至出现了对城域网网络中心内部的传统网络设备(核心交换机)的恶意DOS/DDOS攻击行为。无论是资源中心(服务器群)、城域网网络中心内部的传统网络设备(核心交换机)都应成为安全防护的重点对象。

    2. 恶意应用消耗网络带宽（P2P等）。
    校园网、教育城域网几乎可以说是P2P应用最多的场所之一，大量的P2P等非关键应用无情地吞噬着教育城域网有限的带宽资源,使得网络管理人员头痛不已。在没有对P2P流量进行策略管理的时间段内，P2P等非关键应用的流量几乎占用了网络60-70％的带宽，使得关键性应用得不到保障。同时P2P软件也逐渐成为计算机病毒和木马传播的主要途径。可见，必须对特定用户或者某些特定应用进行流量的控制。

    3. 城域网上的各接入单位（学校、教育局、电教馆）内部网络频繁受到ARP欺骗攻击，导致内部网络不稳定，极大影响对城域网资源中心的正常访问，降低城域网的使用价值。由于ARP欺骗攻击利用了ARP协议的设计缺陷，光靠包过滤、IP＋MAC＋端口绑定等传统办法是比较难解决的。

    4. 老师、学生在家里，领导在外面出差也有访问城域网的办公应用系统、教学资源库的需要，不仅要实现其远程安全接入，而且需要针对访问者、使用者的身份进行认证并授权，为特定用户分配特定的访问资源。

    5. 对内网的监控以及内部用户上网行为进行有效控制。
    一方面，由内网到外网的安全威胁比较严重。学生用户电脑管理松散，电脑中装有各种软件甚至感染病毒，有可能成为攻击的跳板，因此还需要监督、控制全网应用协议的情况（流量分布、会话数量）、城域网每用户的使用情况（上下行流量、会话数量）等来作为辅助管理手段。

    另外一方面，学生自制力较差。有必要对其上网行为进行一定程度的控制，例如：禁止其浏览成人、娱乐等不安全或政策、法律禁止的网站，以及其他的一些上网使用行为。

    6. 高性能、高可靠
    一方面，现在教育城域网的网络流量模型逐渐在发生着变化（小包报文比例增加，单个用户的并发连接数也在迅速增加、UDP报文在迅速增加等），另外一方面，越来越大的流量需要处理，越来越多的功能需要开启，对于设备高处理性能的需求也是越来越迫切。

    维护网络在高安全环境下的长期稳定性和可用性是校园网用户所期望的。单设备、单链路的现象在城域网中还占据主要位置。对于设备的冗余、链路的备份，以及在出现设备或者链路故障下的自动切换，也仅仅是少数城域网达到这样的水平。那么，如何实现高可用性？如何实现自动调整对用户的透明性？即，用户无需理解复杂的技术，只需要体验最快的网速。

    这些问题都摆在了教育城域网的建设、管理者的面前。