1、教育城域网解决方案建议书可行性研究报告XX工程咨询有限公司二零XX年XX月XX项目可行性研究报告建设单位：XX建筑工程有限公司建设地点：XX省XX市编制单位：XX工程咨询有限公司20XX年XX月57可行性研究报告编制单位及编制人员名单项目编制单位：XX工程咨询有限公司资格等级： 级证书编号：（发证机关：中华人民共和国住房和城乡建设部制）编制人员： XXX高级工程师XXX高级工程师XXX高级工程师XXXX有限公司二XX年XX月XX日目 录第1章 教育城域网概述31.1 建设教育城域网意义31.2 教育城域网发展趋势4第2章 XX县教育城域网建设需求62.1 xx县教育城域网设计原则62.2 用户2、需求62.3 业务对网络的需求7第3章 XX县教育城域网解决方案83.1 xx县网络设计概要83.1.1 xx县教育城域网业务架构83.1.2 xx县教育城域网拓扑结构93.2 方案描述103.2.1 基础网络设计103.2.2 xx县城域网出口设计123.2.3 xx县城域网全局安全网络解决方案163.2.4 融合安全的数据中心解决方案283.2.5 xx县教育城域网运维管理解决方案31第1章 教育城域网概述1.1 建设教育城域网意义教育信息化是为实现教育现代化所必须的。其一，教育信息化有助于加快知识更新速度。书本化教材的知识落后于社会发展少则5年，多则10年或更长。而计算机网络上的电子化课3、程知识更新可发生在一周之内。其二，教育信息化有助于培养学生的高阶思维能力。利用网络和多媒体技术，可以构建信息丰富的、反思性的学习环境和工具，允许学生进行自由探索，极大地有利于他们的批判性、创造性思维的形成和发展。值得指出，目前国内许多学校应用多媒体CAI时，普遍的做法是为教学重点和难点提供演示3，把信息技术的使用权控制在教师手中，实际上并未摆脱以教师为中心的教学观念的索缚。可以说，计算机的最大教育价值在于让学生获得学习自由，为他们提供可以自由探索、尝试和创造的条件。其三，教育信息化能够突破教育环境的时空限制，有助于加强课堂与现实世界的联系。利用计算机多媒体可以模拟大量的现实世界情境，把外部世界4、引入课堂，使学生获得与现实世界较为接近的体验。更进一步，利用计算机网络使学校与校外社会连为一体，例如：美国宇航局通过联网向中学生开放，允许他们与宇航员对话和收集关于太空的信息；在伯克利的劳伦斯国家级实验室研制了一个网上虚拟实验室软件，允许学生通过远程联网获取从专业天文望远镜收集的天文观测数据。 教育城域网的建设对于加快本地区教育信息化的步伐，以信息化带动教育的现代化，全面提高教育管理水平和教学水平有深远的意义。教育城域网的建设能推动以学生为中心的教学改革实践和信息化平台上的基础教育实验，更好地培养适应信息社会生存和发展需要的合格公民，从而达到“教会一个学生、带动一个家庭、推动整个社会”的目的。5、其价值体现在为使用者带来的服务体验和应用效果中。1）通过为教育管理人员服务，使他们能够充分利用网络化办公环境，快速便捷地处理大量的教育信息，提高工作效率和管理水平，减轻工作强度。比如教育系统内同步的视频会议召开，文件的批复，对下级单位的适时管理。2）通过为教学人员服务，不仅为他们提供与外界沟通的通信环境，而且为他们提供一个网络备课授课的平台、资源共建共享的平台，使他们在更大范围内共享思想与资源，从而提高教学质量与教学水平。并且集成了网内网外的资源，比如电子图书资源的共享，教学课件的共享。有调查显示，教师每周使用计算机在2小时以上的占87%，而每周使用6小时以上的占55%。从使用的方式看，前三项6、分别是“在网上检索各种电子教学资源”、“利用计算机演示文档”和“自己制作课件”。从中我们可以发现，教师已经能够较好地利用信息技术所提供的功能来促进教学，能够利用网络提供的各种资源来支持教学。3）通过为学生服务，使他们在网络支持下，以全新的学习模式与学习手段来学习学科教师精心准备的教学材料，或进行基于网络的自主式、协作式、研究探索式的学习，从而全面提高其自身素质与能力。同时，学生们能从小接触和掌握计算机网络理论知识和应用技能。为今后的发展提高了竞争能力。4）通过为家长服务，架设起学校和家庭之间的沟通桥梁，便于家长通过网络密码进入城域网及时了解学生在学校里的表现，学校安排的作业等。学校及时从家长处7、得到反馈信息。学校、教师、家长一道共同参与，通过网络促进学校教育和家庭教育的结合。在市场经济的大潮下，学生家长们越来越忙，往往无暇经常去学校了解子女的学习和在学校的表现；同时，家长们又非常担心孩子在自己的疏忽之下堕落。教育网络及时地，而且很好地解决了这个矛盾。不少学校为家长和老师开通了网上联络平台，定期主动用邮件和论坛形式进行沟通，解除了家长们的后顾之忧。同时，教育城域网支持新课程改革。新课程形态的建立和新课程计划的实施使教育模式面临着根本改变，教学方式和学习方式都将因为新课程改革的实施而发生变化。理念上的变化表现在从过于注重知识讲授向倡导全面、和谐发展转变；从过于强调接受学习向倡导建构的学习8、转变；从过于注重书本知识的结论向关注学生学习兴趣、经验和能力转变；从以教师为中心向师生互动转变；从统一规格的教学模式向个性化、多元化教学模式转变；从单一化评价模式向多元化评价模式转变。在这些转变过程中，教育城域网作为信息技术综合运用的载体为跨学科的合作教学提供了前所未有的可能性：学生按既定的教学目标，综合运用教育城域网提供的强大的资源等工具，利用网络查找、选择、下载最新的信息资料，并通过网络进行广泛交流。学生们尽显个性特长，表观出很强的求知欲，感受和分享各自的成功。充分体现“以人为本”在素质教育实施过程中的指导思想地位，响应第三次全国教育工作会议强调的“深化教育改革，全面推进素质教育”的倡导，9、实现新课程改革的根本目标。1.2 教育城域网发展趋势以下是未来城域网发展的一些趋势和要求具备的特征：数字化校园：数字化校园是以数字化信息和网络为基础，在计算机和网络技术上建立起来的对教学、科研、管理、技术服务、生活服务等校园信息的收集、处理、整合、存储、传输和应用，使数字资源得到充分优化利用的一种虚拟教育环境。通过实现从环境（包括设备，教室等）、资源（如图书、讲义、课件等）到应用（包括教、学、管理、服务、办公等）的全部数字化，在传统校园基础上构建一个数字空间，以拓展现实校园的时间和空间维度，提升传统校园的运行效率，扩展传统校园的业务功能，最终实现教育过程的全面信息化，从而达到提高管理水平和效率10、的目的。智能：智能化的校园从业务出发，依托智能管理以及智能安全，将不同业务类型、网络环境、业务需求、应用环境下的资源进行统一调配，在满足应用的同时，又能够在资源管理过程中进行有效的系统监控和动态的自动调整，对于网络中的各种安全事件和攻击行为能够自动进行识别并采取相应的安全策略进行防护，保证业务的不间断顺畅运行。融合：融合代表资源的融合以及业务的融合。现阶段各个学校所拥有的资源其实都是分散的，都有自己的应用系统，并且各个应用系统之间也是彼此独立。融合就要求各个系统、资源之间实现整合，整合成一个统一的业务系统，从而实现资源的统一调度、统一分配以及统一管理，从而提升管理效率。原来各学校的广播、电视、11、网络都有独立的一套网络，通过融合能够实现语音、数据、视频的三网合一，极大的节约了投资成本。借助统一IP网络平台，能够实现网络的融合视频、语音、数据的“三网融合”，有线与无线的融合以及IPv4与IPv6的融合。共享：共享就是实现资源利用最大化，最终实现教育公平。不同地区由于教育发展的阶段不同，教育水平也是差异很大，这就造成了不同地区之间教育的不公平现象。借助网络，则可以实现资源的充分共享，西部偏远地区可以通过网络共享东部发达地区的教育教学成果，解决发达地区好的教育理念和教学模式，各个学校原来彼此孤立的教学资源也能够实现交流和共享，提升教育质量。同时，借助网络学生还可以跟国外的学校师生间实现面对面12、的交流和讨论，方便获取国外的教学资源和教学理念，国外的老师直接可以通过网络给国内的学生上课，营造一个无边界的学习环境。开放：在面向参与时代的教育信息化这一背景下，21世纪的教育交流平台面临新的挑战，即如何通过庞大的互联网络在任何时间向任何人提供开放式的教育。老师师无论是在办公室、教室，还是在家，都可以方便获取学校的教学资源，进行在线办公，参加学习培训；学生在家里也能够访问学校的教学资源库，进行在线学习；家长可以随时通过网络，了解孩子在学校的学习及生活情况。一个没有围墙的开放的校园，还将引入新的社区学习模式，给学生提供终身学习计划。绿色：绿色不仅代表着节能环保，设备低功耗、低辐射、低噪声环境，为13、学生营造一个清新宁静的校园学习和生活环境，保证学生的健康成长，为建设节约型社会贡献一份力量；随着网络进入校园，互联网上各种不健康的内容也随时充斥着校园，影响着学生的身心健康，所以绿色还需要给学生营造一个洁净的网络生态环境，保证学生接收到的都是健康的东西，过滤对学生成长有害的不健康内容，比如黄色网站、暴力游戏、反动言论等等。第2章 xx县教育城域网建设需求2.1 xx县教育城域网设计原则在进行整个教育城域网规划和设计时，还需要遵循如下一些原则：l 高稳定可靠性 网络设备稳定性 网络架构的冗余性 操作系统及软件的稳定性l 高安全性 全局安全网络设计 身份认证与主机认证 实时网络安全监控与自动防范 14、用户上网行为管理l 易管理 面向业务的管理平台 网络设备统一管理 集中监控、分权管理l 网络开放性及可扩展性 网络设备的开放设计 网络架构的开放设计操作系统及软件的模块化设计2.2 用户需求1、实现教育管理功能，进行无纸化办公，免费网络电话，视频会议等；2、教师实现在线备课、布置作业。学生实现在线学习，充分打破学校和课堂的时间和空间界限，具备完善的视频课堂直播和点播功能；3、所有学校安全监控网络将通过教育城域网形成统一的全区安全监控网络，进行时时监控。总之建成后的教育城域网，将充分整合各种资源，使资源中心和全县各学校已有资源实现共享，充分利用，极大带动全县信息化建设，充分满足社会、学校、教师、15、学生、家长对教育信息化的需求。2.3 业务对网络的需求教育城域网常见应用大概有教学资源类、教育管理类、交流沟通类、教务教学类、视频音频类等等五大类应用。教学资源类主要包括教学资源库 学生资源库、学科网站等。通过对这些应用分析，我们可以发现教学资源类应用中教学资源库、学生资源库等应用包含大量的语音、视频、流媒体、flash等内容，这些应用的运行需要消耗较高的网络带宽，同时需要网络设备具备强大的交换处理能力，而且对于语音和视频应用中，直接影响话音/视频质量的三个最重要因素是传输的总时延、时延的抖动以及丢包率，为了保证视频、语音类应用的正常展开，我们必须实现端到端的QoS来保证这类应用的正常运行。教16、育管理类主要包括：OA，教育报表，老师评价，教师进修等系统。这些应用大部分是文本，对网络带宽、性能、QoS等没有明确的要求，最主要的就是系统的持续可用性、安全性和可靠性。交流沟通类主要包括：门户网站，BBS，EMAIL, Blog等。这些应用是向大众开发的，主要考虑服务的持续可用性，以及系统的安全性。教务教学类主要包括：在线考试，网上录取，网上备课等。这些应用最主要的是网络持续可运行和安全性。视频音频类主要包括：远程教育，视频会议，直播，点播，网上课堂，网上巡考等。这些应用对网络时延、抖动、丢包率非常敏感，要保障此类应用的流畅运行，我们需要保障网络有足够的带宽、网络设备有足够的处理能力、以及提17、供端到端的QoS服务质量。通过上面的分析，我们总结教育城域网应用对网络的要求如下：第3章 xx县教育城域网解决方案3.1 xx县网络设计概要3.1.1 xx县教育城域网业务架构3.1.2 xx县教育城域网拓扑结构3.2 方案描述3.2.1 基础网络设计核心层：网络核心层交换机是教育城域网网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输到最终用户，同时，还要协调各功能子网之间，功能子网和内部外部资源之间的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。因此xx县教育城域网核心采用2台RG-S8610十万兆高密度多业务路由交换机构建高速18、路由交换中心。骨干和学校接入节点采用租用广电的裸光纤线路方式，组建高速千兆广域网络，以承载融合的多业务，如网络电话、视频会议、教学资源、监控数据等，并通过RG-S8610十万兆的高性能、精细的QOS策略实现各种业务的稳定运行。RG-S8610，拥有10个槽位，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发。其高达3.2T的背板带宽和1190Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、为xx县教育城域网用户提供超强的数据处理能力。同时支持负载均衡、冗余备份、ACL、防DDOS攻击、防源IP欺骗等强大的功能，同时板卡支持分布式处理和热插拔，是企业网核心交换19、机的理想选择。在网络的可靠性和稳定性保障方面，两台 RG-S8610之间通过千兆端口聚合互连，并在核心交换机中采用关键模块冗余设计（如双电源冗余等）。与汇聚层交换机之间通过动态路由协议（如OSPF、IS-IS等）互联，不采用二层协议互联是为了避免由于网络规模过大而带来的VLAN划分复杂、管理难度增加以及广播风暴等问题的出现，同时可以利用动态路由协议实现冗余备份和负载均衡，提高网络的可靠性和运行性能。与数据中心服务器和部分接入层交换机采用双链路连接，启用VRRP及RSTP、MSTP协议等技术；保障数据的正常传输，提供冗余备份功能。汇聚层：综合考虑线路、设备的价格比较比较以及各种业务对带宽的需求，20、我们在xx县下属的乡镇各部署1台千兆汇聚交换机。各学校网络设计：xx县城域网下属学校的接入区域主要是负责将各个学校接入到城域网中，提供访问城域网和互联网的路径。各学校的基本可以满足各学校接入城域网的最基本要求，如果相互之间的访问控制不做限制的话，一旦有网络病毒爆发将在整个城域网中传播，严重影响城域网的正常运行。因此后期学校改造需要考虑在每个学校的出口放置一台能够防病毒防攻击的出口路由器（或防火墙），在每个学校的出口启用安全策略，严格限制各学校之间的相互访问，严格控制对城域网的访问，防止大量的攻击流量攻击城域网核心。每个学校的出口路由器（或防火墙）把学校的校园网和城域网完全隔离开了，校园网的病毒21、和攻击将被限制在学校内部，不会对城域网造成影响，从而保证城域网安全稳定运行。各学校接入城域网的设备起着承上启下的作用，根据各学校信息点和预算资金的不同，我们可以针对不同的学校做不同的设计方案，对于网络信息点较多的学校，网络流量会比较大，可以选择性能较高的设备。对于信息点较少的学校，网络流量相对会比较少，对于此类学校可以以满足性能要求为前提，选择较低档次的网络设备。通过对下属学校网络规模的初步统计，在方案设计中为下属学校提供了几种不同的建议方案，下属学校可以根据学校自身的实际情况选择不同的建议方案。3.2.2 xx县城域网出口设计出口是整个xx县教育城域网的门户，所以出口的安全设计对全网的安全至22、关重要。目前城域网出口面临的挑战也是越来越大： 学生的考试成绩被篡改 学生的资料被非法泄露，并被犯罪分子利用对家长进行敲诈 学生或老师在网上发表一些不恰当言论，对他人进行人身攻击 学生经常上一些黄色网站 中心服务器被黑客控制对其他目标发动攻击 无法记录或者记录不全用户的访问日志，出了安全时间之后无法定位到人或单位，从而酿成安全事件 关键应用质量无法保证，如学籍管理、视频会议、办公OA、VoIP、电子邮件、网页浏览。关键用户的网络带宽无法得到有效的保障。 如何解决上述问题，是每一个城域网规划者必须要考虑的问题。切断来自外界的安全威胁l 链接状态检测 基于流的管理，非完整的数据流无法通过防火墙 所23、有的半连接、广播包和不完整的包等都被丢弃l 高效的安全过滤规则 未明确为“允许”的访问数据流无法通过防火墙 默认从外网到内网的访问全部是禁止的l 连接数限制，防DDoS攻击 支持并发连接、新建连接数目限制 能够有效阻断各种常见的DDoS攻击有效抵御对服务器的安全威胁l 完善安全机制 数据包过滤 连接状态检测 深度内容检测 动态端口侦测 l 全面抗DDoS攻击 SYN/SYN flood 代理 Land Attack/ Arp Spoof/ IP Fragment Attack等攻击防护l 关键服务器保护 基于源/目的协议速率限制 SYN Flood攻击防护完美的日志功能在城域网出口部署一套日志24、系统RG-eLog，通过跟防火墙或路由器的配合，能够详细记录包过滤日志、NAT日志、代理日志、URL过滤日志、入侵检测日志、设备工作状况日志、用户访问统计日志、集群日志、设备管理日志，以及什么时间段、通过什么IP地址和端口访问了什么目标IP地址和端口。如果在防火墙上启用了NAT，则可以记录转换前的地址和转换后的地址。如果在防火墙上启用URL过滤，则可以记录什么时间段、通过什么IP地址和端口访问了什么目标URL。在城域网出口部署完以后，可以通过对出口安全策略的设置来控制整个城域网用户的上网行为，并方便的对其进行管理和控制，保证了整个城域网的安全。精确的上网行为控制通过RG-WALL防火墙的URL25、过滤、WEB内容过滤、访问控制策略、RG-ACE的应用管理，实现精确的上网行为控制功能。禁止学生通过城域网浏览色情网站？禁止学生在机房或电子阅览室玩网游？您能想到的，都能为您实现。 用户身份与网络访问联动的URL记录,使网络管理人员随时了解用户的上网行为. 定制化的显示记录,更多信息一目了然有效的网络应用管理网络管理者要把好网络的脉搏，清楚网络的状况，就有必要在出口区域：1）对应用进行识别，能够看到具体的IM（即时通信）、P2P（BT、Edonkey等）、FTP等应用；2）掌控基于应用的和基于用户的流量，这样就能合理的分配资源、有计划的规划网络的发展。在队列管理方面，RG-WALL1600T充26、分借鉴了高端路由交换设备的队列管理结构，在物理接口上执行流控制管理。在分类上， RG-WALL1600T能够根据源MAC, TOS, 数据包长, IP协议, 源和目的IP地址, TCP标志(ACK, RST, SYN, FIN), TCP源和目的端口, VLAN标志, VLAN用户优先级等信息对数据流进行分类。RG-ACE应用控制引擎，能够识别IM、P2P的应用，同时基于其仅5ms延迟的能力，先天具备对流量进行管理的基础条件。让应用完全可视。您想了解城域网出口到底承载了哪些应用？这些应用如何分布？或者，您还想了解城域网的某个IP在访问哪些应用？城域网中某种应用到底有哪些用户在使用，用得怎么样,27、一切都能展现在您眼前!3.2.3 xx县城域网全局安全网络解决方案3.2.3.1 城域网安全面临形势目前教育城域网面临的安全形势越来越严峻，对城域网的业务提出了极大的挑战：l CMIS、一卡通、网上巡考、网报志愿、安全监控等关键应用中断影响巨大 关键的网络应用比如数据中心、CMIS，高考巡查系统等，对网络的稳定和安全提出了越来越高的要求，一旦发生应用中断，将严重影响正常的管理和教学工作的开展，比如无法进行正常的学籍登陆、考试成绩填写、课程安排和志愿填报，安全监控将会中断而得不到及时的响应和处理。l CMIS、一卡通、网报志愿、公文流转等系统中的关键信息安全一旦泄露将带来严重后果 比如学生的学籍28、信息中所包含的家庭背景信息、学生和老师的家庭住址信息，学生的课业成绩和排名等隐私信息，在目前开放的城域网环境下，处理和存储这些信息的计算机、服务器和网络容易受到恶意攻击，而一旦这些信息被别有用心的人获取，将带来严重后果，比如曾发生过利用学生家庭信息进行绑架勒索，以及学生将服务器中的他人成绩信息盗出公布在网络上的情况。再如目前有的城域网建立了远程安防监控系统，每天对学生考勤进行记录，并通过“平安短信”通报给家长，如果该系统的终端或者服务器受到攻击，则家长可能无法正常接收平安短信，反而会带来大批家长的不安和询问，学生也可以通过入侵该系统，伪造考勤信息，造成系统无法正常发挥效益。l 国家重大活动敏感29、时期网络非法言论造成负面影响 尤其是在比如高考、职考，教学评估和两会等重大活动期间，城域网内用户发表违法言论和访问非法网站等行为得不到有效控制和定位，出现问题难以追溯到个人，并会给整个教育城域网带来负面的影响。l 在出现紧急事件时的应急响应难以得到网络保证 网络是一个连接城域网各个单位老师，学生的重要基础设施，本身可以作为应急响应的重要手段和平台，然而网络安全的问题将妨碍整个教育系统通过城域网对紧急事件的及时响应和重大事项的上传和下达l 恶意网络攻击难以及时定位解决 学生和教工应用各种未经管理和许可的软件和互联网应用，由于现在恶意的木马和病毒的泛滥，非常容易造成学校校园网中病毒、攻击情况不时发30、生，这种校园网的安全问题也常有泛滥到城域网中，影响到整网的稳定，但同时又由于城域网用户的分散性让故障定位难以进行，加重了网络维护工作的负担为了解决上述的问题，从国内全局安全防控的实践来看，最有效的办法就是将对关键应用，用户，网络设备，安全设备，网络终端的管理统一考虑，整体规划，建设一个跨教育信息中心和各个校园网的整体安全防护体系，以自动化、分布式、智能化的监控和管理手段实现全面的安全防护和管理手段，达到标本兼治的效果。主要考虑以下几点：l 建设网络准入认证、终端管理和集中监控相结合的完整普教城域网安全管理体系 l 通过分布式部署，本地管理与集中策略和信息管理相结合，适应普教城域网的行政管理特点31、和各学校业务需求l 通过园区安全保障子系统和集中策略管理、集中用户管理和集中监控相结合 ，实现全局的统一管理和本地网独立安全保障l 变被动的安全管理为主动的，持续的安全策略执行和监控，实现预防式的安全防控，并在出现安全问题时实现自动处理和修复l 通过图形管理和预置安全策略提升校园网普通管理人员的本地管理能力，通过自动网络监控和安全策略实现7*24小时不间断的网络和终端安全监控和管理l 兼容网络中现有的各种网络设备、终端类型和关键业务流程、关键应用3.2.3.2 xx县全局安全网络解决方案统一身份策略管理中心（IPC）xx县教育城域网辖内好几十所中小学，以往使用一套安全系统对整个教育城域网的校园32、网安全进行统一管理几乎是不可能的任务。现在，通过IPC提供的分布式管理技术，在确保教育城域网信息中心对用户和安全策略进行全局集中管理前提下，实现在各校结点进行分布式执行用户认证与安全策略，避免单点故障，减轻中心管理压力，也有效保障了整网安全可靠运行。在分布式管理模式下，结合整个xx县城域网中的认证交换机和智能安全上网小助手，实现全网用户的安全认证上网，从而实现实名制网络。并能够集中制定统一的用户管理策略，和统一的安全管理策略，能够对下属各个学校的安全管理组件进行授权，能够统一收集和同步全网的用户身份信息。IPC作为xx县教育城域网的安全管理中心，部署在区信息中心；各学校结点分别部署一套SMP组33、件，与信息中心的IPC实行基于IP层协议的松散联动。系统功能介绍集中管理IPC作为xx县教育城域网的安全管理核心，对下属所有校结点的SMP拥有管理权限，各校结点的用户信息、安全策略都由IPC统一制订，并下发到各校结点的SMP服务器执行。分布式部署面对普教城域网这种分支结点地域分散较广、物理距离较大的城域网络应用，在常规的单一管理中心的模式下，身份认证、安全策略执行都在中央结点进行，存在严重的性能瓶颈和单点故障问题。而在IPC的分布式部署模式下，用户身份认证、安全策略执行都在分支机构结点本地的SMP服务器上进行，中央仅履行统一监管以及关键策略的制订的职责，解决了性能瓶颈与单点故障的问题。独立授权34、普教城域网应用的另一个显著特点是大量的校结点用户与相对偏少的信息中心管理人员人数极度不成比例，很多区信息中心下辖近300所中小学结点，但信息管理人员只有3名，难以事无巨细的承担城域网整体运维的巨大工作量。在IPC支持的分布式管理模式下，通过对分支结点的SMP进行独立授权，有效的解决了这个问题。通常情况下，结点SMP的用户必须接受总部IPC的管理，无法进行用户、安全策略的修改、配置；但IPC管理员也可以通过对结点SMP服务器进行授权，将管理权限下放给分支SMP管理员，由学校的管理员来进行日常的用户与策略管理，中央仅进行必要的监管即可。通过集权与分治的结合，在保障中央对分支必要管理力度的同时，有效35、的减轻了中央的管理压力，也保障了分支机构的自由度。分时同步xx县普教城域网下属的用户结点数量众多，即使是很小的日常管理流量的开销，汇集到中央结点也具有几何级数倍增的影响。而IPC与SMP之间的信息同步机制进行了专门的数据优化，两点之间无需建立实时的连接，只需定期进行小数据量的信息同步，对网络带宽与稳定性的要求不高，也避免了大量分支结点给总部造成的“管理流量泛洪攻击”的问题。安全管理组件（SMP）安全管理组件能够与区信息中心的IPC和SMC进行协同，实现本地的用户认证、用户管理和安全策略管理、安全策略下发。能够与学校一级的网络杀毒软件、补丁升级服务器、安全认证交换机、网络入侵检测系统、应用控制引36、擎联动构成一个整体的本地安全防护体系。可以实现24小时的安全策略执行和安全状态监控，能够确保对本地关键服务器（CMIS等）的合法访问，能够方便的查看本校的网络和终端安全状态，结合SU可以实现对终端用户的远程协助。从而帮助学校管理人员轻松的实现对ARP欺骗攻击的防护、实现对学校的杀毒软件安装和升级的管理、实现对全校操作系统补丁的管理、实现不间断的安全监控和系统修复、能够大幅度降低因为系统漏洞和病毒造成的维护工作量。通过用户本地认证实现用户实名制上网，避免网络中的匿名攻击、违法言论等行为。工作流程介绍系统功能介绍实名制身份认证SMP采用了基于802.1X协议和Radius协议的身份验证体系，通过与37、网络交换机的联动，实现了对于用户访问网络的身份的控制。SMP通过严格的6元素（IP、MAC、交换机IP、交换机端口、用户名、密码）绑定措施，确保接入用户身份的合法性。 同时根据用户身份的不同，SMP还可以限制不同用户的不同访问权限，让用户在接入网络后，只能访问自己权限之内的服务器，网络区域等。提城域网整体稳固性在校园网的日常管理中，用户应用水平低，防范意识差是一个不可忽视的问题。常见的有：l 大量PC没有安装或没有正常运行杀毒软件，裸奔上路l 缺乏安全意识，Windows补丁从不更新，漏洞百出l 操作系统不设密码、使用不设防，成为病毒、木马热衷的温床l 用户数量众多，日常维护工作量和难度巨大由38、此带来的各种问题占用了管理人员的大量维护工作量，成天忙于处理杀毒、重装系统等大量耗时耗力也没有价值的工作，无法把精力投入到能够对教学产生帮助的常规工作中去。SMP系统通过和20余种杀毒软件联动，确保杀毒软件能够正确部署到校园网的每一台PC机上，并且保证其处于正常工作、正常更新的状态。通过与微软WSUS补丁更新系统的联动，可以实现对用户端Windows补丁的检测、下载、安装等操作，无需客户端参与，在后台自助自动的完成全部更新过程。SMP通过帮助管理人员保障用户PC的安全状态，大量减轻日常工作的负担。并且SMP能够通过与交换机联动实施安全隔离，确保不合规范的用户被隔离到安全区域进行自动修复，不会对39、正常用户带来潜在威胁。 三重立体的ARP防御体系1）网关防御。实现过程如下：l SMP通过用户的身份认证过程学习已通过认证的合法用户的IP-MAC对应关系l SMP将用户的ARP信息通知相应网关l 网关生成对应用户的可信任ARP表项ARP防御的第一重网关防御网关防御过程如下：l 攻击者冒充用户IP对网关进行欺骗l 真正的用户已经在网关的可信任ARP表项中，欺骗行为失败2）用户端防御用户端防御的实现方法如下：l 在SMP上设置网关的正确IPMAC对应信息l 用户认证通过，SMP将网关的ARP信息下传至SUl SU静态绑定网关的ARPARP防御的第二重用户端防御用户端防御的实现过程如下：l 攻击者40、冒充网关欺骗合法用户l 用户已经静态绑定网关地址，欺骗攻击无效3）交换机非法报文过滤交换机非法报文过滤，是通过S21和29系列交换机的安全功能来实现的，具体实现方法如下：l 用户认证通过后，21交换机会在接入端口上绑定用户的IPMAC对应信息。l 21对报文的源地址进行检查，对非法的攻击报文一律丢弃处理。l 该操作不占用交换机CPU资源，直接由端口芯片处理。ARP防御的第三重交换机非法报文过滤交换机非法报文过滤实现过程如下：l 攻击者伪造源IP和MAC地址发起攻击l 报文不符合绑定规则，被交换机丢弃。通过以上的三重立体ARP防护方法，解决了ARP欺骗中的网关型欺骗，中间人欺骗以及ARP泛洪攻击41、，给我们的局域网带来更加干净的网络环境。严格的软件黑白名单控制校园网用户在工作/学习时间进行聊天、网游、炒股等与教学无关的行为，常规手段难以进行约束；虽然颁布了PC使用行为规范，但也苦于没有有效方法进行监督，难以做到令行禁止。在部署了SMP之后，可以通过SMP对校园网用户分组实施主机安全规则，基于用户身份对PC使用规定进行严格约束，有效确保教育城域网PC管理政策的实施，帮助规范PC使用行为，杜绝工作/学习时间炒股、游戏等违规行为，保障教育城域网络专网专用。通过对于软件的安装、进程的管理、后台服务以及注册表项的管理，GSN方便的实现了对于必备软件的强制安装、使用，违禁软件的禁用等功能，有效的保障42、了办公效率、网络带宽以及信息的安全。 联动的网络通信防护体系通过SMP安全管理平台与RG-IDS入侵检测设备的联动，实现了对网络安全事件的检测、分析、处理一条龙的自助服务，辅以严格的身份验证，可以方便的将网络安全事件定位到人，自动通知和处理。在防御的同时，还能够对安全事件进行统计分析，为日后的安全报表做好准备。杜绝泛滥的U盘病毒U盘作为一种便利的文件传递工具，在校园网用户内部得到了广泛的应用，但同时也成为了大量病毒提供了传播的渠道。SMP通过两个途径解决U盘病毒泛滥的棘手问题。首先通过在全网制订统一的安全策略，禁止U盘等移动存储设备的自动运行功能，断绝U盘病毒最主要的传播渠道。其次，在病毒高发43、的时期，通过SMP集中向用户下发U盘病毒专杀工具，帮助用户直接有效的清理U盘病毒。流量和日志管理组件（eLOG）结合本地出口防火墙、应用控制引擎ACE和安全管理组件SMP等，可以实现对本地上网行为的日志记录和分析。从而满足公安部82号令的需求。实现基于身份的用户行为管理，结合认证实现本地用户的上网行为审计。智能安全上网软件（SU）智能安全上网软件SU由信息传输组件、资产管理组件 、文件分发管理组件 、远程协助工具 、系统补丁管理组件 、防毒软件管理组件 、系统策略管理组件 、分布式管理组件、自动升级管理器、身份认证组件等模块组成，除了提供基本的上网认证功能外，还能为校园网管理人员和用户提供双向44、的上网协助，提供双向实时消息交流手段、远程故障处理支持、文件分发支持，协助终端用户对杀毒软件和系统补丁进行及时科学的升级，结合安全交换机为终端用户提供对ARP欺骗和病毒的自动全面防护，管理员还可以针对各种新出现的安全问题和管理需求，制定统一的本地安全策略下发并执行。从而提高用户的上网安全性、出现的问题能够更方便及时地得到管理员解决，另一方面大幅降低管理员的管理和维护开销。校园网安全管理基础设施网络入侵检测系统（NIDS）网络入侵检测设备能够实时检测网络中的非法入侵和攻击，并将发现的安全事件实时通报给SMP，实现联动交换机和SU进行立体的安全防护。能够对非认证用户引起的安全威胁进行检测。能够联动45、SMP实现对关键服务器区域的实时防护，防止未授权用户访问关键服务区的应用和数据资源。应用控制引擎（ACE）应用控制引擎是基于上网应用流量深度包检测来实现应用流量分析和监测的设备，不但可以直观、图形化的查看到网络流量究竟是由哪些应用引起的，还能够对流量进行精细化的控制和管理，比如针对P2P应用进行限制和管理，比如保障网上巡考、安全监控等关键应用所必需的网络带宽等，能够进一步结合SMP实现基于用户身份的流量管理。安全认证交换机安全认证交换机通过其具备的802.1x认证、端口数据包安全检测、可信任ARP和与SMP配合实现自动执行安全策略的能力，为校园网安全提供实时的防护。3.2.3.3 应用效果分析46、RG-IDS以旁路工作模式部署在设备的镜像端口上。RG-IDS根据设定的规则对所有从核心设备镜像过来的数据包进行分析与过滤，从中检查出违反既定规则的数据包，并生成安全事件。随后将安全事件通过相关接口发送给RG-SMP。通过安全事件的学习功能，网络管理员能够清楚的了解当前网络的安全状况。如某段时间内，网络是否发生了新的安全事件，发生了多少次，最早发生时间和最近发生时间是什么时候。通过了解网络中当前发生的安全事件，网络管理员能够制定相应的策略来处理当前网络正在发生的问题，或者可能潜在的问题，作出相应的处理策略。如下发消息通知用户升级病毒库，下发修复程序（如某补丁或者病毒专杀工具）对发生安全事件的用47、户进行修复。当网络发生安全攻击时，RG-SMP可以针对此安全事件自动下发相应的策略，同时进行系统修复，如安装相应补丁、下发相应的警告信息等，以达到对已经发生的安全行为进行自动化的防御措施。SMP提供手动和定期自动生成安全事件报表的功能，可以对一段时间发生的安全事件进行汇总和统计，方便管理员的查看和分析。同时，RG-SMP还提供无人职守的功能，该功能会在管理员离线期间，自动处理网络安全事件，包括各种未知网络安全事件和未被设置为自动处理的网络安全事件，无需管理员进行手动干预，此功能是为了避免在无人职守时段网络入侵造成的威胁。SMP对安全事件的处理主要包括下发警告消息，下发修复程序，下发阻断或者隔离48、策略。根据不同等级的安全事件，网络管理员能够制定不同的处理方式。如针对安全等级较低，危害较小的攻击（如扫描），管理员只下发警告消息对用户进行警告。如果某些攻击是由于某些补丁未打，或者运行某些程序能够防止的。则可以下发修复程序给发生安全事件的用户，由用户进行修复。如果某安全事件危害很大（如蠕虫病毒），则可以下发阻断或者隔离策略，对发生该安全事件的用户进行隔离，或者阻断其攻击报文的发送，避免该蠕虫病毒在整个局域网中传播。GSN “多兵种协同作战” 的全局安全设计，同时将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户PC、服务器等），成为一个全局化的网络安全综合体系。GSN不仅49、能够满足现阶段网络安全环境的需求，同时也为今后可能发生的安全威胁做出了准备。3.2.4 融合安全的数据中心解决方案3.2.4.1 数据中心概述教育城域网是整个基础教育信息化建设的重要基础设施，面对数据爆炸性的膨胀，城域网正面临前所未有的存储挑战。为了充分利用资源，减少重复投资，存储作为构成计算机系统的主要架构和电子商务的基础设施之一，不再仅是充当外围设备的角色，逐步从系统中独立出来，成为一个完整的系统。存储虚拟化、存储资源管理、数据迁移和灾难恢复等存储应用有了广阔的发展空间，这些功能的实现，又都离不开存储管理系统。城域网作为所有下属学校信息的汇集地，不仅仅是为了保存信息，而是要使用信息，为学校50、体现“数字化”的价值。虽然我国信息化程度与发达国家相比有不小的差距，但日益蓬勃的信息化建设，使得国内对存储的需求量迅速增长。随着教育城域网建设规模的扩展，用户原有意识中的数据备份已经无法满足关键业务对系统的可用性、实时性、安全性的需要。更重要的是备份的数据往往会因为各种因素而遭到毁坏，如地震、火灾、丢失等。如何保证数据中心的数据安全成为众多城域网建设中的一个严峻挑战。很多教委计划采购高性能服务器，建立数据中心，实现数据的集中管理；采用网络存储技术，建立一个安全、高效、优质的网络信息存储系统；在保护现有投资的基础上，实现数据的安全冗余和多级备份，保障城域网应用数据的安全可靠。3.2.4.2 xx51、县数据中心需求分析目前，在基础教育信息化建设的浪潮中，几乎所有的城域网都在大力进行资源库建设，且具备了一定的数据存储能力，但是根据各自的情况不同，各个城域网的存储现状可谓是参差不齐，一般有以下几种情况：1. 部分数据仍然采用直接存储在服务器本地硬盘上的方式，这种方式存在众多的问题：a) 不同的数据存储在不同服务器的硬盘上，造成有些服务器硬盘空间已满，而有些服务器硬盘空间却闲置，存储空间的利用率极不均衡；b) 由于服务器磁盘槽位有限，空间扩展比较困难；c) 随着应用的不断丰富，访问量的增加，办公、教学、科研对网络的依赖，服务器的性能受到强烈的考验，最终将成为性能的瓶颈；2. 部分服务器采用DAS52、存储架构，数据存放于直连的SCSI/FC盘阵中，存储空间扩展成本很高，不能实现多服务器共享存储空间，而且单台磁盘阵列往往就成了核心系统的一个单点故障点，一旦磁盘阵列发生故障，则整个系统将发生中断；3. 部分服务器与磁盘阵列采用FC SAN/IP SAN存储区域网络架构，虽然具备本地的备份、恢复措施，但是不能应对自然灾难（比如：地震、雷击、水灾、火灾、海啸等）、基础设施灾难（比如：机房电力故障、磁盘阵列硬件故障等）和软灾难（比如：战争、蓄意破坏、严重的人为操作失误、系统软件BUG等）的中的任何一种，数据存在较大安全隐患，在灾难发生时无法保证对业务系统7*24小时的不间断访问；4. 存在多种存储架53、构和设备共存的局面，利用率低，扩展性差，缺乏对存储的统一、集中式管理；3.2.4.3 xx县数据中心解决方案方案特点：l 提供全网IP SAN解决方案 成本低、管理简易、扩展方便 突破FC SAN的距离限制，消除SAN孤岛 灵活扩展存储容量和前端应用服务器数量 远距离、跨校区享受存储服务l 提供本地备份解决方案 提供跨盘阵的卷镜像、快照、复制等功能确保数据安全 轻松实现跨盘阵数据迁移、应用服务迁移l 保护用户投资 可整合原有存储 容灾功能不受存储设备型号限制 License-free（服务器连接存储无License限制）l 提供远程灾备解决方案 通过城域网的链路提供远程灾难备份恢复功能（GDR54、）确保数据安全 可以在低带宽环境下实现远程数据灾备3.2.4.4 数据中心应用效果3.2.5 xx县教育城域网运维管理解决方案3.2.5.1 问题解决思路为了解决上述的问题，从国内全局安全防控的实践来看，最有效的办法就是将对关键应用，用户，网络设备，安全设备，网络终端的管理统一考虑，整体规划，建设一个跨教育信息中心和各个校园网的整体安全防护体系和管理体系，以自动化、分布式、智能化的监控和管理手段实现全面的安全防护和管理手段，达到标本兼治的效果。主要考虑以下几点：l 在系统设计中，面向城域网关键业务提供端到端统一管理视图和策略执行手段l 建设网络准入认证、终端管理和集中监控相结合的完整普教城域网55、运维管理体系 l 通过分布式部署，本地管理与集中策略和信息管理相结合，适应普教城域网的行政管理特点和各学校业务需求l 通过园区安全保障子系统和集中策略管理、集中用户管理和集中监控相结合 ，实现全局的统一管理和本地网独立安全保障l 变被动的安全管理为主动的，持续的安全策略执行和监控，实现预防式的安全防控，并在出现安全问题时实现自动处理和修复l 通过图形管理和预置安全策略提升校园网普通管理人员的本地管理能力，通过自动网络监控和安全策略实现7*24小时不间断的网络和终端安全监控和管理兼容网络中现有的各种网络设备、终端类型和关键业务流程、关键应用3.2.5.2 系统建设总体目标本系统通过建设xx县教育56、城域网安全管理系统实现下述的五大目标，将xx县教育城域网建设成为一个具备整体安全防御和控制手段、有着先进的网络和系统管理维护能力、关键应用保障有力的全国示范城域网。这五大建设目标是：l 实现全网关键应用的全局应用安全保障和实时监控l 打造一个实名制的，用户行为精细可控，安全问题可追溯的教育城域网l 实现数量众多、地理分散的校园网的自动化安全管理和监控，提高集中管理和监控能力l 降低病毒、网络攻击对网络安全稳定运行的影响l 极大降低终端安全管理和维护的工作量，降低成本，提高效率，解决大量中小学校园网的远程维护和管理难题l 实现全网统一的安全策略、上网帐号和权限管理，方便的进行集中的软硬件资产管理57、，为统计和决策提供依据3.2.5.3 系统建设原则为了确保以上建设目标的落实，系统整体建设上要本着投资保护，充分利用现有设备资源，与应用和管理密切结合，针对性充分调研的基本原则：l 与CMIS、学生一卡通系统、课改管理系统等关键应用密切结合，实现对这些业务的监控和保障l 结合现有的示范校、应用校、达标校和区域整体信息化规划，针对不同的学校环境实地调研，提供针对性的配套技术方案l 结合信息中心的管理流程和与学校的管理制度接口，建立分级管理的功能和安全策略规划l 基于与现有网络和安全设备兼容性好的成熟技术，密切结合城域网业务需求 需要针对现有的问题进行充分的实地调研 需要采用与网络设备兼容性好，成58、熟的技术作为基础l 咨询、建设和培训体系相结合 要基于教育信息中心和中小学的具体调研咨询来给出针对性的解决方案，让技术和业务流程实现最佳匹配 要将工程实施和对操作人员的在岗培训相结合，实现系统与人员技能的融合3.2.5.4 xx县城域网运维解决方案l 关键业务监控中心（BMC） xx县教育城域网部署一套BMC，实现对全网部署的各种关键应用，包括CMIS、网上志愿报考系统、远程巡考系统、安全监控系统、一卡通系统、教改管理系统等进行端到端的实时监控和可用性测量，一旦支撑应用的网络资源发生故障或者性能下降，或者应用所依赖的网络连接出现带宽瓶颈，则可以实时进行告警和问题定位。还能够面向网络业务提供关键59、应用的可用性报表和相关资源的性能报表，从而为有针对性地进行网络和系统优化提供决策依据。l 可视化设备管理组件（SNC）为城域网网络管理人员提供图形化、可视化的设备配置工具，能够所见即所得的看到设备端口、CPU、内存等关键信息的实时状态，能够通过图形菜单的方式对设备进行配置和管理。从而大大降低基层维护人员的管理强度和难度，有效地加强学校一级的网络维护能力，即时将问题在本地进行处理。n 系统主要价值和特点1、减少手动错误SNC基于界面的向导式的配置方式帮助减少配置更改过程中的手动错误。2、提高效率 SNC提供批量的任务式的管理方式，自动完成大多数配置任务。使管理员从多数重复性、非生产性工作中解放出60、来，提高工作的效率。3、快速灾难恢复配置块照定期收集配置信息，如果发生网络中断，则管理员可以方便地回滚到以前的已知好配置。这样可以大大减少网络停止时间。4、有效的报告SNC可定期/即时提供的连通性测试报告，使用户随时了解网络状况。n 关键技术和数据流程介绍n 软件系统体系结构软件功能总体架构n 各个子功能的详细介绍n 设备管理l 分组管理通过对设备进行分组管理，运维人员能够按照自己的需要对设备进行分组管理，提供对设备进行分组管理的功能，能添加、删除、修改设备分组信息，并以结点树的方式展现，当用户选中分组节点后以表格的形式展现设备分组中包含的全部设备的设备信息。用户一般有多台台设备，若手动一个个61、地添加设备，费力耗时，SNC提供设备分组导入工作，只需按照规则编辑文件后导入系统，即可将设备信息加载入系统。l 连通性测试能够为用户提供连通性报告，用户可以设置测试任务，定期生成对关心的设备的连通性测试报告，也可以根据用户需要即可生成当时的连通状况报告。l 面板管理提供了所见即所得的设备面板，并可以直接通过面板的变化了解设备实际的状态。n 设备配置l 设备软件管理通过收集设备软件可以得到设备软件清单，使用户详细的了解到所关心设备的软件信息，并提供批量下发功能，能够将指定的版本一次性的下发到设备。l 向导式的配置操作可能够以配置向导的方式引导用户选择要进行配置的设备对象，应用用户需要的配置模板，按照向导填选需要输入的信息，一次性执行对多个设备对象的配置，并能够实现定期的任务式的配置操作。l 任务式的配置管理当用户管理数量比较大的网络时，手动的执行配置备份和软件上传的操作非常困难。SNC提供了任务式的配置管理，通过创建任务，系统可以按照指定的设置定期/一次性的执行任务。可以定期的收集关键设备的配置信息，并进行保存，能够在出现问题的第一时间使系统恢复到正常状态。