邵東縣教育城域網(wǎng)規(guī)劃

PAGEPAGE8邵東縣教育城域網(wǎng)解決方案建議書

目錄第1章教育城域網(wǎng)概述 31.1建設(shè)教育城域網(wǎng)意義 31.2教育城域網(wǎng)發(fā)展趨勢 4第2章邵東縣教育城域網(wǎng)建設(shè)需求 62.1邵東縣教育城域網(wǎng)設(shè)計(jì)原則 62.2用戶需求 62.3業(yè)務(wù)對網(wǎng)絡(luò)的需求 7第3章邵東縣教育城域網(wǎng)解決方案 83.1邵東縣網(wǎng)絡(luò)設(shè)計(jì)概要 83.1.1邵東縣教育城域網(wǎng)業(yè)務(wù)架構(gòu) 83.1.2邵東縣教育城域網(wǎng)拓?fù)浣Y(jié)構(gòu) 93.2方案描述 93.2.1基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì) 93.2.2邵東縣城域網(wǎng)出口設(shè)計(jì) 123.2.3邵東縣城域網(wǎng)全局安全網(wǎng)絡(luò)解決方案 153.2.4融合安全的數(shù)據(jù)中心解決方案 273.2.5邵東縣教育城域網(wǎng)運(yùn)維管理解決方案 30教育城域網(wǎng)概述建設(shè)教育城域網(wǎng)意義教育信息化是為實(shí)現(xiàn)教育現(xiàn)代化所必須的。其一，教育信息化有助于加快知識更新速度。書本化教材的知識落后于社會發(fā)展少則5年，多則10年或更長。而計(jì)算機(jī)網(wǎng)絡(luò)上的電子化課程知識更新可發(fā)生在一周之內(nèi)。其二，教育信息化有助于培養(yǎng)學(xué)生的高階思維能力。利用網(wǎng)絡(luò)和多媒體技術(shù)，可以構(gòu)建信息豐富的、反思性的學(xué)習(xí)環(huán)境和工具，允許學(xué)生進(jìn)行自由探索，極大地有利于他們的批判性、創(chuàng)造性思維的形成和發(fā)展。值得指出，目前國內(nèi)許多學(xué)校應(yīng)用多媒體CAI時，普遍的做法是為教學(xué)重點(diǎn)和難點(diǎn)提供演示3，把信息技術(shù)的使用權(quán)控制在教師手中，實(shí)際上并未擺脫以教師為中心的教學(xué)觀念的索縛?？梢哉f，計(jì)算機(jī)的最大教育價值在于讓學(xué)生獲得學(xué)習(xí)自由，為他們提供可以自由探索、嘗試和創(chuàng)造的條件。其三，教育信息化能夠突破教育環(huán)境的時空限制，有助于加強(qiáng)課堂與現(xiàn)實(shí)世界的聯(lián)系。利用計(jì)算機(jī)多媒體可以模擬大量的現(xiàn)實(shí)世界情境，把外部世界引入課堂，使學(xué)生獲得與現(xiàn)實(shí)世界較為接近的體驗(yàn)。更進(jìn)一步，利用計(jì)算機(jī)網(wǎng)絡(luò)使學(xué)校與校外社會連為一體，例如：美國宇航局通過聯(lián)網(wǎng)向中學(xué)生開放，允許他們與宇航員對話和收集關(guān)于太空的信息；在伯克利的勞倫斯國家級實(shí)驗(yàn)室研制了一個網(wǎng)上虛擬實(shí)驗(yàn)室軟件，允許學(xué)生通過遠(yuǎn)程聯(lián)網(wǎng)獲取從專業(yè)天文望遠(yuǎn)鏡收集的天文觀測數(shù)據(jù)。教育城域網(wǎng)的建設(shè)對于加快本地區(qū)教育信息化的步伐，以信息化帶動教育的現(xiàn)代化，全面提高教育管理水平和教學(xué)水平有深遠(yuǎn)的意義。教育城域網(wǎng)的建設(shè)能推動以學(xué)生為中心的教學(xué)改革實(shí)踐和信息化平臺上的基礎(chǔ)教育實(shí)驗(yàn)，更好地培養(yǎng)適應(yīng)信息社會生存和發(fā)展需要的合格公民，從而達(dá)到“教會一個學(xué)生、帶動一個家庭、推動整個社會”的目的。其價值體現(xiàn)在為使用者帶來的服務(wù)體驗(yàn)和應(yīng)用效果中。1）通過為教育管理人員服務(wù)，使他們能夠充分利用網(wǎng)絡(luò)化辦公環(huán)境，快速便捷地處理大量的教育信息，提高工作效率和管理水平，減輕工作強(qiáng)度。比如教育系統(tǒng)內(nèi)同步的視頻會議召開，文件的批復(fù)，對下級單位的適時管理。2）通過為教學(xué)人員服務(wù)，不僅為他們提供與外界溝通的通信環(huán)境，而且為他們提供一個網(wǎng)絡(luò)備課授課的平臺、資源共建共享的平臺，使他們在更大范圍內(nèi)共享思想與資源，從而提高教學(xué)質(zhì)量與教學(xué)水平。并且集成了網(wǎng)內(nèi)網(wǎng)外的資源，比如電子圖書資源的共享，教學(xué)課件的共享。有調(diào)查顯示，教師每周使用計(jì)算機(jī)在2小時以上的占87%，而每周使用6小時以上的占55%。從使用的方式看，前三項(xiàng)分別是“在網(wǎng)上檢索各種電子教學(xué)資源”、“利用計(jì)算機(jī)演示文檔”和“自己制作課件”。從中我們可以發(fā)現(xiàn)，教師已經(jīng)能夠較好地利用信息技術(shù)所提供的功能來促進(jìn)教學(xué)，能夠利用網(wǎng)絡(luò)提供的各種資源來支持教學(xué)。邵東縣教育城域網(wǎng)建設(shè)需求邵東縣教育城域網(wǎng)設(shè)計(jì)原則在進(jìn)行整個教育城域網(wǎng)規(guī)劃和設(shè)計(jì)時，還需要遵循如下一些原則：高穩(wěn)定可靠性網(wǎng)絡(luò)設(shè)備穩(wěn)定性網(wǎng)絡(luò)架構(gòu)的冗余性操作系統(tǒng)及軟件的穩(wěn)定性高安全性全局安全網(wǎng)絡(luò)設(shè)計(jì)身份認(rèn)證與主機(jī)認(rèn)證實(shí)時網(wǎng)絡(luò)安全監(jiān)控與自動防范用戶上網(wǎng)行為管理易管理面向業(yè)務(wù)的管理平臺網(wǎng)絡(luò)設(shè)備統(tǒng)一管理集中監(jiān)控、分權(quán)管理網(wǎng)絡(luò)開放性及可擴(kuò)展性網(wǎng)絡(luò)設(shè)備的開放設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)的開放設(shè)計(jì)操作系統(tǒng)及軟件的模塊化設(shè)計(jì)用戶需求1、實(shí)現(xiàn)教育管理功能，進(jìn)行無紙化辦公，免費(fèi)網(wǎng)絡(luò)電話，視頻會議等；2、教師實(shí)現(xiàn)在線備課、布置作業(yè)。學(xué)生實(shí)現(xiàn)在線學(xué)習(xí)，充分打破學(xué)校和課堂的時間和空間界限，具備完善的視頻課堂直播和點(diǎn)播功能；3、所有學(xué)校安全監(jiān)控網(wǎng)絡(luò)將通過教育城域網(wǎng)形成統(tǒng)一的全區(qū)安全監(jiān)控網(wǎng)絡(luò)，進(jìn)行時時監(jiān)控?？傊ǔ珊蟮慕逃怯蚓W(wǎng)，將充分整合各種資源，使資源中心和全縣各學(xué)校已有資源實(shí)現(xiàn)共享，充分利用，極大帶動全縣信息化建設(shè)，充分滿足社會、學(xué)校、教師、學(xué)生、家長對教育信息化的需求。業(yè)務(wù)對網(wǎng)絡(luò)的需求教育城域網(wǎng)常見應(yīng)用大概有教學(xué)資源類、教育管理類、交流溝通類、教務(wù)教學(xué)類、視頻音頻類等等五大類應(yīng)用。教學(xué)資源類主要包括教學(xué)資源庫學(xué)生資源庫、學(xué)科網(wǎng)站等。通過對這些應(yīng)用分析，我們可以發(fā)現(xiàn)教學(xué)資源類應(yīng)用中教學(xué)資源庫、學(xué)生資源庫等應(yīng)用包含大量的語音、視頻、流媒體、flash等內(nèi)容，這些應(yīng)用的運(yùn)行需要消耗較高的網(wǎng)絡(luò)帶寬，同時需要網(wǎng)絡(luò)設(shè)備具備強(qiáng)大的交換處理能力，而且對于語音和視頻應(yīng)用中，直接影響話音/視頻質(zhì)量的三個最重要因素是傳輸?shù)目倳r延、時延的抖動以及丟包率，為了保證視頻、語音類應(yīng)用的正常展開，我們必須實(shí)現(xiàn)端到端的QoS來保證這類應(yīng)用的正常運(yùn)行。教育管理類主要包括：OA，教育報表，老師評價，教師進(jìn)修等系統(tǒng)。這些應(yīng)用大部分是文本，對網(wǎng)絡(luò)帶寬、性能、QoS等沒有明確的要求，最主要的就是系統(tǒng)的持續(xù)可用性、安全性和可靠性。交流溝通類主要包括：門戶網(wǎng)站，BBS，EMAIL,Blog等。這些應(yīng)用是向大眾開發(fā)的，主要考慮服務(wù)的持續(xù)可用性，以及系統(tǒng)的安全性。教務(wù)教學(xué)類主要包括：在線考試，網(wǎng)上錄取，網(wǎng)上備課等。這些應(yīng)用最主要的是網(wǎng)絡(luò)持續(xù)可運(yùn)行和安全性。視頻音頻類主要包括：遠(yuǎn)程教育，視頻會議，直播，點(diǎn)播，網(wǎng)上課堂，網(wǎng)上巡考等。這些應(yīng)用對網(wǎng)絡(luò)時延、抖動、丟包率非常敏感，要保障此類應(yīng)用的流暢運(yùn)行，我們需要保障網(wǎng)絡(luò)有足夠的帶寬、網(wǎng)絡(luò)設(shè)備有足夠的處理能力、以及提供端到端的QoS服務(wù)質(zhì)量。通過上面的分析，我們總結(jié)教育城域網(wǎng)應(yīng)用對網(wǎng)絡(luò)的要求如下：

邵東縣教育城域網(wǎng)解決方案邵東縣網(wǎng)絡(luò)設(shè)計(jì)概要邵東縣教育城域網(wǎng)業(yè)務(wù)架構(gòu)邵東縣教育城域網(wǎng)拓?fù)浣Y(jié)構(gòu)方案描述基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)核心層：網(wǎng)絡(luò)核心層交換機(jī)是教育城域網(wǎng)網(wǎng)數(shù)據(jù)傳輸?shù)闹行模粌H要保證7*24小時的穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)阶罱K用戶，同時，還要協(xié)調(diào)各功能子網(wǎng)之間，功能子網(wǎng)和內(nèi)部外部資源之間的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時，保證網(wǎng)絡(luò)中心自身的安全。因此邵東縣教育城域網(wǎng)核心采用2臺RG-S8610十萬兆高密度多業(yè)務(wù)路由交換機(jī)構(gòu)建高速路由交換中心。骨干和學(xué)校接入節(jié)點(diǎn)采用租用廣電的裸光纖線路方式，組建高速千兆廣域網(wǎng)絡(luò)，以承載融合的多業(yè)務(wù)，如網(wǎng)絡(luò)電話、視頻會議、教學(xué)資源、監(jiān)控數(shù)據(jù)等，并通過RG-S8610十萬兆的高性能、精細(xì)的QOS策略實(shí)現(xiàn)各種業(yè)務(wù)的穩(wěn)定運(yùn)行。RG-S8610，擁有10個槽位，提供管理模塊冗余，支持萬兆、千兆和百兆模塊線速轉(zhuǎn)發(fā)。其高達(dá)3.2T的背板帶寬和1190Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的線速交換，強(qiáng)大的交換路由功能、為邵東縣教育城域網(wǎng)用戶提供超強(qiáng)的數(shù)據(jù)處理能力。同時支持負(fù)載均衡、冗余備份、ACL、防DDOS攻擊、防源IP欺騙等強(qiáng)大的功能，同時板卡支持分布式處理和熱插拔，是企業(yè)網(wǎng)核心交換機(jī)的理想選擇。在網(wǎng)絡(luò)的可靠性和穩(wěn)定性保障方面，兩臺RG-S8610之間通過千兆端口聚合互連，并在核心交換機(jī)中采用關(guān)鍵模塊冗余設(shè)計(jì)（如雙電源冗余等）。與匯聚層交換機(jī)之間通過動態(tài)路由協(xié)議（如OSPF、IS-IS等）互聯(lián)，不采用二層協(xié)議互聯(lián)是為了避免由于網(wǎng)絡(luò)規(guī)模過大而帶來的VLAN劃分復(fù)雜、管理難度增加以及廣播風(fēng)暴等問題的出現(xiàn)，同時可以利用動態(tài)路由協(xié)議實(shí)現(xiàn)冗余備份和負(fù)載均衡，提高網(wǎng)絡(luò)的可靠性和運(yùn)行性能。與數(shù)據(jù)中心服務(wù)器和部分接入層交換機(jī)采用雙鏈路連接，啟用VRRP及RSTP、MSTP協(xié)議等技術(shù)；保障數(shù)據(jù)的正常傳輸，提供冗余備份功能。匯聚層：綜合考慮線路、設(shè)備的價格比較比較以及各種業(yè)務(wù)對帶寬的需求，我們在邵東縣下屬的鄉(xiāng)鎮(zhèn)各部署1臺千兆匯聚交換機(jī)。。各學(xué)校網(wǎng)絡(luò)設(shè)計(jì)：邵東縣城域網(wǎng)下屬學(xué)校的接入?yún)^(qū)域主要是負(fù)責(zé)將各個學(xué)校接入到城域網(wǎng)中，提供訪問城域網(wǎng)和互聯(lián)網(wǎng)的路徑。各學(xué)校的基本可以滿足各學(xué)校接入城域網(wǎng)的最基本要求，如果相互之間的訪問控制不做限制的話，一旦有網(wǎng)絡(luò)病毒爆發(fā)將在整個城域網(wǎng)中傳播，嚴(yán)重影響城域網(wǎng)的正常運(yùn)行。因此后期學(xué)校改造需要考慮在每個學(xué)校的出口放置一臺能夠防病毒防攻擊的出口路由器（或防火墻），在每個學(xué)校的出口啟用安全策略，嚴(yán)格限制各學(xué)校之間的相互訪問，嚴(yán)格控制對城域網(wǎng)的訪問，防止大量的攻擊流量攻擊城域網(wǎng)核心。每個學(xué)校的出口路由器（或防火墻）把學(xué)校的校園網(wǎng)和城域網(wǎng)完全隔離開了，校園網(wǎng)的病毒和攻擊將被限制在學(xué)校內(nèi)部，不會對城域網(wǎng)造成影響，從而保證城域網(wǎng)安全穩(wěn)定運(yùn)行。各學(xué)校接入城域網(wǎng)的設(shè)備起著承上啟下的作用，根據(jù)各學(xué)校信息點(diǎn)和預(yù)算資金的不同，我們可以針對不同的學(xué)校做不同的設(shè)計(jì)方案，對于網(wǎng)絡(luò)信息點(diǎn)較多的學(xué)校，網(wǎng)絡(luò)流量會比較大，可以選擇性能較高的設(shè)備。對于信息點(diǎn)較少的學(xué)校，網(wǎng)絡(luò)流量相對會比較少，對于此類學(xué)校可以以滿足性能要求為前提，選擇較低檔次的網(wǎng)絡(luò)設(shè)備。通過對下屬學(xué)校網(wǎng)絡(luò)規(guī)模的初步統(tǒng)計(jì)，在方案設(shè)計(jì)中為下屬學(xué)校提供了幾種不同的建議方案，下屬學(xué)?？梢愿鶕?jù)學(xué)校自身的實(shí)際情況選擇不同的建議方案。邵東縣城域網(wǎng)出口設(shè)計(jì)出口是整個邵東縣教育城域網(wǎng)的門戶，所以出口的安全設(shè)計(jì)對全網(wǎng)的安全至關(guān)重要。目前城域網(wǎng)出口面臨的挑戰(zhàn)也是越來越大：學(xué)生的考試成績被篡改學(xué)生的資料被非法泄露，并被犯罪分子利用對家長進(jìn)行敲詐學(xué)生或老師在網(wǎng)上發(fā)表一些不恰當(dāng)言論，對他人進(jìn)行人身攻擊學(xué)生經(jīng)常上一些黃色網(wǎng)站中心服務(wù)器被黑客控制對其他目標(biāo)發(fā)動攻擊無法記錄或者記錄不全用戶的訪問日志，出了安全時間之后無法定位到人或單位，從而釀成安全事件關(guān)鍵應(yīng)用質(zhì)量無法保證，如學(xué)籍管理、視頻會議、辦公OA、VoIP、電子郵件、網(wǎng)頁瀏覽。關(guān)鍵用戶的網(wǎng)絡(luò)帶寬無法得到有效的保障?！绾谓鉀Q上述問題，是每一個城域網(wǎng)規(guī)劃者必須要考慮的問題。切斷來自外界的安全威脅鏈接狀態(tài)檢測基于流的管理，非完整的數(shù)據(jù)流無法通過防火墻所有的半連接、廣播包和不完整的包等都被丟棄高效的安全過濾規(guī)則未明確為“允許”的訪問數(shù)據(jù)流無法通過防火墻默認(rèn)從外網(wǎng)到內(nèi)網(wǎng)的訪問全部是禁止的連接數(shù)限制，防DDoS攻擊支持并發(fā)連接、新建連接數(shù)目限制能夠有效阻斷各種常見的DDoS攻擊有效抵御對服務(wù)器的安全威脅完善安全機(jī)制數(shù)據(jù)包過濾連接狀態(tài)檢測深度內(nèi)容檢測動態(tài)端口偵測全面抗DDoS攻擊SYN/SYNflood代理LandAttack/ArpSpoof/IPFragmentAttack等攻擊防護(hù)關(guān)鍵服務(wù)器保護(hù)基于源/目的協(xié)議速率限制SYNFlood攻擊防護(hù)完美的日志功能在城域網(wǎng)出口部署一套日志系統(tǒng)RG-eLog，通過跟防火墻或路由器的配合，能夠詳細(xì)記錄包過濾日志、NAT日志、代理日志、URL過濾日志、入侵檢測日志、設(shè)備工作狀況日志、用戶訪問統(tǒng)計(jì)日志、集群日志、設(shè)備管理日志，以及什么時間段、通過什么IP地址和端口訪問了什么目標(biāo)IP地址和端口。如果在防火墻上啟用了NAT，則可以記錄轉(zhuǎn)換前的地址和轉(zhuǎn)換后的地址。如果在防火墻上啟用URL過濾，則可以記錄什么時間段、通過什么IP地址和端口訪問了什么目標(biāo)URL。在城域網(wǎng)出口部署完以后，可以通過對出口安全策略的設(shè)置來控制整個城域網(wǎng)用戶的上網(wǎng)行為，并方便的對其進(jìn)行管理和控制，保證了整個城域網(wǎng)的安全。精確的上網(wǎng)行為控制通過RG-WALL防火墻的URL過濾、WEB內(nèi)容過濾、訪問控制策略、RG-ACE的應(yīng)用管理，實(shí)現(xiàn)精確的上網(wǎng)行為控制功能。禁止學(xué)生通過城域網(wǎng)瀏覽色情網(wǎng)站？禁止學(xué)生在機(jī)房或電子閱覽室玩網(wǎng)游？您能想到的，都能為您實(shí)現(xiàn)。用戶身份與網(wǎng)絡(luò)訪問聯(lián)動的URL記錄,使網(wǎng)絡(luò)管理人員隨時了解用戶的上網(wǎng)行為.定制化的顯示記錄,更多信息一目了然 有效的網(wǎng)絡(luò)應(yīng)用管理網(wǎng)絡(luò)管理者要把好網(wǎng)絡(luò)的脈搏，清楚網(wǎng)絡(luò)的狀況，就有必要在出口區(qū)域：1）對應(yīng)用進(jìn)行識別，能夠看到具體的IM（即時通信）、P2P（BT、Edonkey等）、FTP等應(yīng)用；2）掌控基于應(yīng)用的和基于用戶的流量，這樣就能合理的分配資源、有計(jì)劃的規(guī)劃網(wǎng)絡(luò)的發(fā)展。在隊(duì)列管理方面，RG-WALL1600T充分借鑒了高端路由交換設(shè)備的隊(duì)列管理結(jié)構(gòu)，在物理接口上執(zhí)行流控制管理。在分類上，RG-WALL1600T能夠根據(jù)源MAC,TOS,數(shù)據(jù)包長,IP協(xié)議,源和目的IP地址,TCP標(biāo)志(ACK,RST,SYN,FIN),TCP源和目的端口,VLAN標(biāo)志,VLAN用戶優(yōu)先級等信息對數(shù)據(jù)流進(jìn)行分類。RG-ACE應(yīng)用控制引擎，能夠識別IM、P2P的應(yīng)用，同時基于其僅5ms延遲的能力，先天具備對流量進(jìn)行管理的基礎(chǔ)條件。讓應(yīng)用完全可視。您想了解城域網(wǎng)出口到底承載了哪些應(yīng)用？這些應(yīng)用如何分布？或者，您還想了解城域網(wǎng)的某個IP在訪問哪些應(yīng)用？城域網(wǎng)中某種應(yīng)用到底有哪些用戶在使用，用得怎么樣,一切都能展現(xiàn)在您眼前!邵東縣城域網(wǎng)全局安全網(wǎng)絡(luò)解決方案城域網(wǎng)安全面臨形勢目前教育城域網(wǎng)面臨的安全形勢越來越嚴(yán)峻，對城域網(wǎng)的業(yè)務(wù)提出了極大的挑戰(zhàn)：CMIS、一卡通、網(wǎng)上巡考、網(wǎng)報志愿、安全監(jiān)控等關(guān)鍵應(yīng)用中斷影響巨大關(guān)鍵的網(wǎng)絡(luò)應(yīng)用比如數(shù)據(jù)中心、CMIS，高考巡查系統(tǒng)等，對網(wǎng)絡(luò)的穩(wěn)定和安全提出了越來越高的要求，一旦發(fā)生應(yīng)用中斷，將嚴(yán)重影響正常的管理和教學(xué)工作的開展，比如無法進(jìn)行正常的學(xué)籍登陸、考試成績填寫、課程安排和志愿填報，安全監(jiān)控將會中斷而得不到及時的響應(yīng)和處理。CMIS、一卡通、網(wǎng)報志愿、公文流轉(zhuǎn)等系統(tǒng)中的關(guān)鍵信息安全一旦泄露將帶來嚴(yán)重后果比如學(xué)生的學(xué)籍信息中所包含的家庭背景信息、學(xué)生和老師的家庭住址信息，學(xué)生的課業(yè)成績和排名等隱私信息，在目前開放的城域網(wǎng)環(huán)境下，處理和存儲這些信息的計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)容易受到惡意攻擊，而一旦這些信息被別有用心的人獲取，將帶來嚴(yán)重后果，比如曾發(fā)生過利用學(xué)生家庭信息進(jìn)行綁架勒索，以及學(xué)生將服務(wù)器中的他人成績信息盜出公布在網(wǎng)絡(luò)上的情況。再如目前有的城域網(wǎng)建立了遠(yuǎn)程安防監(jiān)控系統(tǒng)，每天對學(xué)生考勤進(jìn)行記錄，并通過“平安短信”通報給家長，如果該系統(tǒng)的終端或者服務(wù)器受到攻擊，則家長可能無法正常接收平安短信，反而會帶來大批家長的不安和詢問，學(xué)生也可以通過入侵該系統(tǒng)，偽造考勤信息，造成系統(tǒng)無法正常發(fā)揮效益。國家重大活動敏感時期網(wǎng)絡(luò)非法言論造成負(fù)面影響尤其是在比如高考、職考，教學(xué)評估和兩會等重大活動期間，城域網(wǎng)內(nèi)用戶發(fā)表違法言論和訪問非法網(wǎng)站等行為得不到有效控制和定位，出現(xiàn)問題難以追溯到個人，并會給整個教育城域網(wǎng)帶來負(fù)面的影響。在出現(xiàn)緊急事件時的應(yīng)急響應(yīng)難以得到網(wǎng)絡(luò)保證網(wǎng)絡(luò)是一個連接城域網(wǎng)各個單位老師，學(xué)生的重要基礎(chǔ)設(shè)施，本身可以作為應(yīng)急響應(yīng)的重要手段和平臺，然而網(wǎng)絡(luò)安全的問題將妨礙整個教育系統(tǒng)通過城域網(wǎng)對緊急事件的及時響應(yīng)和重大事項(xiàng)的上傳和下達(dá)惡意網(wǎng)絡(luò)攻擊難以及時定位解決學(xué)生和教工應(yīng)用各種未經(jīng)管理和許可的軟件和互聯(lián)網(wǎng)應(yīng)用，由于現(xiàn)在惡意的木馬和病毒的泛濫，非常容易造成學(xué)校校園網(wǎng)中病毒、攻擊情況不時發(fā)生，這種校園網(wǎng)的安全問題也常有泛濫到城域網(wǎng)中，影響到整網(wǎng)的穩(wěn)定，但同時又由于城域網(wǎng)用戶的分散性讓故障定位難以進(jìn)行，加重了網(wǎng)絡(luò)維護(hù)工作的負(fù)擔(dān)為了解決上述的問題，從國內(nèi)全局安全防控的實(shí)踐來看，最有效的辦法就是將對關(guān)鍵應(yīng)用，用戶，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，網(wǎng)絡(luò)終端的管理統(tǒng)一考慮，整體規(guī)劃，建設(shè)一個跨教育信息中心和各個校園網(wǎng)的整體安全防護(hù)體系，以自動化、分布式、智能化的監(jiān)控和管理手段實(shí)現(xiàn)全面的安全防護(hù)和管理手段，達(dá)到標(biāo)本兼治的效果。主要考慮以下幾點(diǎn)：建設(shè)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證、終端管理和集中監(jiān)控相結(jié)合的完整普教城域網(wǎng)安全管理體系通過分布式部署，本地管理與集中策略和信息管理相結(jié)合，適應(yīng)普教城域網(wǎng)的行政管理特點(diǎn)和各學(xué)校業(yè)務(wù)需求通過園區(qū)安全保障子系統(tǒng)和集中策略管理、集中用戶管理和集中監(jiān)控相結(jié)合，實(shí)現(xiàn)全局的統(tǒng)一管理和本地網(wǎng)獨(dú)立安全保障變被動的安全管理為主動的，持續(xù)的安全策略執(zhí)行和監(jiān)控，實(shí)現(xiàn)預(yù)防式的安全防控，并在出現(xiàn)安全問題時實(shí)現(xiàn)自動處理和修復(fù)通過圖形管理和預(yù)置安全策略提升校園網(wǎng)普通管理人員的本地管理能力，通過自動網(wǎng)絡(luò)監(jiān)控和安全策略實(shí)現(xiàn)7*24小時不間斷的網(wǎng)絡(luò)和終端安全監(jiān)控和管理兼容網(wǎng)絡(luò)中現(xiàn)有的各種網(wǎng)絡(luò)設(shè)備、終端類型和關(guān)鍵業(yè)務(wù)流程、關(guān)鍵應(yīng)用邵東縣全局安全網(wǎng)絡(luò)解決方案統(tǒng)一身份策略管理中心（IPC）邵東縣教育城域網(wǎng)轄內(nèi)好幾十所中小學(xué)，以往使用一套安全系統(tǒng)對整個教育城域網(wǎng)的校園網(wǎng)安全進(jìn)行統(tǒng)一管理幾乎是不可能的任務(wù)?，F(xiàn)在，通過IPC提供的分布式管理技術(shù)，在確保教育城域網(wǎng)信息中心對用戶和安全策略進(jìn)行全局集中管理前提下，實(shí)現(xiàn)在各校結(jié)點(diǎn)進(jìn)行分布式執(zhí)行用戶認(rèn)證與安全策略，避免單點(diǎn)故障，減輕中心管理壓力，也有效保障了整網(wǎng)安全可靠運(yùn)行。在分布式管理模式下，結(jié)合整個邵東縣城域網(wǎng)中的認(rèn)證交換機(jī)和智能安全上網(wǎng)小助手，實(shí)現(xiàn)全網(wǎng)用戶的安全認(rèn)證上網(wǎng)，從而實(shí)現(xiàn)實(shí)名制網(wǎng)絡(luò)。并能夠集中制定統(tǒng)一的用戶管理策略，和統(tǒng)一的安全管理策略，能夠?qū)ο聦俑鱾€學(xué)校的安全管理組件進(jìn)行授權(quán)，能夠統(tǒng)一收集和同步全網(wǎng)的用戶身份信息。IPC作為邵東縣教育城域網(wǎng)的安全管理中心，部署在區(qū)信息中心；各學(xué)校結(jié)點(diǎn)分別部署一套SMP組件，與信息中心的IPC實(shí)行基于IP層協(xié)議的松散聯(lián)動。 系統(tǒng)功能介紹集中管理IPC作為邵東縣教育城域網(wǎng)的安全管理核心，對下屬所有校結(jié)點(diǎn)的SMP擁有管理權(quán)限，各校結(jié)點(diǎn)的用戶信息、安全策略都由IPC統(tǒng)一制訂，并下發(fā)到各校結(jié)點(diǎn)的SMP服務(wù)器執(zhí)行。分布式部署面對普教城域網(wǎng)這種分支結(jié)點(diǎn)地域分散較廣、物理距離較大的城域網(wǎng)絡(luò)應(yīng)用，在常規(guī)的單一管理中心的模式下，身份認(rèn)證、安全策略執(zhí)行都在中央結(jié)點(diǎn)進(jìn)行，存在嚴(yán)重的性能瓶頸和單點(diǎn)故障問題。而在IPC的分布式部署模式下，用戶身份認(rèn)證、安全策略執(zhí)行都在分支機(jī)構(gòu)結(jié)點(diǎn)本地的SMP服務(wù)器上進(jìn)行，中央僅履行統(tǒng)一監(jiān)管以及關(guān)鍵策略的制訂的職責(zé)，解決了性能瓶頸與單點(diǎn)故障的問題。獨(dú)立授權(quán)普教城域網(wǎng)應(yīng)用的另一個顯著特點(diǎn)是大量的校結(jié)點(diǎn)用戶與相對偏少的信息中心管理人員人數(shù)極度不成比例，很多區(qū)信息中心下轄近300所中小學(xué)結(jié)點(diǎn)，但信息管理人員只有3名，難以事無巨細(xì)的承擔(dān)城域網(wǎng)整體運(yùn)維的巨大工作量。在IPC支持的分布式管理模式下，通過對分支結(jié)點(diǎn)的SMP進(jìn)行獨(dú)立授權(quán)，有效的解決了這個問題。通常情況下，結(jié)點(diǎn)SMP的用戶必須接受總部IPC的管理，無法進(jìn)行用戶、安全策略的修改、配置；但I(xiàn)PC管理員也可以通過對結(jié)點(diǎn)SMP服務(wù)器進(jìn)行授權(quán)，將管理權(quán)限下放給分支SMP管理員，由學(xué)校的管理員來進(jìn)行日常的用戶與策略管理，中央僅進(jìn)行必要的監(jiān)管即可。通過集權(quán)與分治的結(jié)合，在保障中央對分支必要管理力度的同時，有效的減輕了中央的管理壓力，也保障了分支機(jī)構(gòu)的自由度。分時同步邵東縣普教城域網(wǎng)下屬的用戶結(jié)點(diǎn)數(shù)量眾多，即使是很小的日常管理流量的開銷，匯集到中央結(jié)點(diǎn)也具有幾何級數(shù)倍增的影響。而IPC與SMP之間的信息同步機(jī)制進(jìn)行了專門的數(shù)據(jù)優(yōu)化，兩點(diǎn)之間無需建立實(shí)時的連接，只需定期進(jìn)行小數(shù)據(jù)量的信息同步，對網(wǎng)絡(luò)帶寬與穩(wěn)定性的要求不高，也避免了大量分支結(jié)點(diǎn)給總部造成的“管理流量泛洪攻擊”的問題。安全管理組件（SMP）安全管理組件能夠與區(qū)信息中心的IPC和SMC進(jìn)行協(xié)同，實(shí)現(xiàn)本地的用戶認(rèn)證、用戶管理和安全策略管理、安全策略下發(fā)。能夠與學(xué)校一級的網(wǎng)絡(luò)殺毒軟件、補(bǔ)丁升級服務(wù)器、安全認(rèn)證交換機(jī)、網(wǎng)絡(luò)入侵檢測系統(tǒng)、應(yīng)用控制引擎聯(lián)動構(gòu)成一個整體的本地安全防護(hù)體系。可以實(shí)現(xiàn)24小時的安全策略執(zhí)行和安全狀態(tài)監(jiān)控，能夠確保對本地關(guān)鍵服務(wù)器（CMIS等）的合法訪問，能夠方便的查看本校的網(wǎng)絡(luò)和終端安全狀態(tài)，結(jié)合SU可以實(shí)現(xiàn)對終端用戶的遠(yuǎn)程協(xié)助。從而幫助學(xué)校管理人員輕松的實(shí)現(xiàn)對ARP欺騙攻擊的防護(hù)、實(shí)現(xiàn)對學(xué)校的殺毒軟件安裝和升級的管理、實(shí)現(xiàn)對全校操作系統(tǒng)補(bǔ)丁的管理、實(shí)現(xiàn)不間斷的安全監(jiān)控和系統(tǒng)修復(fù)、能夠大幅度降低因?yàn)橄到y(tǒng)漏洞和病毒造成的維護(hù)工作量。通過用戶本地認(rèn)證實(shí)現(xiàn)用戶實(shí)名制上網(wǎng)，避免網(wǎng)絡(luò)中的匿名攻擊、違法言論等行為。工作流程介紹系統(tǒng)功能介紹實(shí)名制身份認(rèn)證SMP采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗(yàn)證體系，通過與網(wǎng)絡(luò)交換機(jī)的聯(lián)動，實(shí)現(xiàn)了對于用戶訪問網(wǎng)絡(luò)的身份的控制。SMP通過嚴(yán)格的6元素（IP、MAC、交換機(jī)IP、交換機(jī)端口、用戶名、密碼）綁定措施，確保接入用戶身份的合法性。同時根據(jù)用戶身份的不同，SMP還可以限制不同用戶的不同訪問權(quán)限，讓用戶在接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務(wù)器，網(wǎng)絡(luò)區(qū)域等。提城域網(wǎng)整體穩(wěn)固性在校園網(wǎng)的日常管理中，用戶應(yīng)用水平低，防范意識差是一個不可忽視的問題。常見的有：大量PC沒有安裝或沒有正常運(yùn)行殺毒軟件，裸奔上路缺乏安全意識，Windows補(bǔ)丁從不更新，漏洞百出操作系統(tǒng)不設(shè)密碼、使用不設(shè)防，成為病毒、木馬熱衷的溫床用戶數(shù)量眾多，日常維護(hù)工作量和難度巨大由此帶來的各種問題占用了管理人員的大量維護(hù)工作量，成天忙于處理殺毒、重裝系統(tǒng)等大量耗時耗力也沒有價值的工作，無法把精力投入到能夠?qū)虒W(xué)產(chǎn)生幫助的常規(guī)工作中去。SMP系統(tǒng)通過和20余種殺毒軟件聯(lián)動，確保殺毒軟件能夠正確部署到校園網(wǎng)的每一臺PC機(jī)上，并且保證其處于正常工作、正常更新的狀態(tài)。通過與微軟WSUS補(bǔ)丁更新系統(tǒng)的聯(lián)動，可以實(shí)現(xiàn)對用戶端Windows補(bǔ)丁的檢測、下載、安裝等操作，無需客戶端參與，在后臺自助自動的完成全部更新過程。SMP通過幫助管理人員保障用戶PC的安全狀態(tài)，大量減輕日常工作的負(fù)擔(dān)。并且SMP能夠通過與交換機(jī)聯(lián)動實(shí)施安全隔離，確保不合規(guī)范的用戶被隔離到安全區(qū)域進(jìn)行自動修復(fù)，不會對正常用戶帶來潛在威脅。三重立體的ARP防御體系1）網(wǎng)關(guān)防御。實(shí)現(xiàn)過程如下：SMP通過用戶的身份認(rèn)證過程學(xué)習(xí)已通過認(rèn)證的合法用戶的IP-MAC對應(yīng)關(guān)系SMP將用戶的ARP信息通知相應(yīng)網(wǎng)關(guān)網(wǎng)關(guān)生成對應(yīng)用戶的可信任ARP表項(xiàng)ARP防御的第一重——網(wǎng)關(guān)防御網(wǎng)關(guān)防御過程如下：攻擊者冒充用戶IP對網(wǎng)關(guān)進(jìn)行欺騙真正的用戶已經(jīng)在網(wǎng)關(guān)的可信任ARP表項(xiàng)中，欺騙行為失敗2）用戶端防御用戶端防御的實(shí)現(xiàn)方法如下：在SMP上設(shè)置網(wǎng)關(guān)的正確IP－MAC對應(yīng)信息用戶認(rèn)證通過，SMP將網(wǎng)關(guān)的ARP信息下傳至SUSU靜態(tài)綁定網(wǎng)關(guān)的ARPARP防御的第二重——用戶端防御用戶端防御的實(shí)現(xiàn)過程如下：攻擊者冒充網(wǎng)關(guān)欺騙合法用戶用戶已經(jīng)靜態(tài)綁定網(wǎng)關(guān)地址，欺騙攻擊無效3）交換機(jī)非法報文過濾交換機(jī)非法報文過濾，是通過S21和29系列交換機(jī)的安全功能來實(shí)現(xiàn)的，具體實(shí)現(xiàn)方法如下：用戶認(rèn)證通過后，21交換機(jī)會在接入端口上綁定用戶的IP－MAC對應(yīng)信息。21對報文的源地址進(jìn)行檢查，對非法的攻擊報文一律丟棄處理。該操作不占用交換機(jī)CPU資源，直接由端口芯片處理。ARP防御的第三重——交換機(jī)非法報文過濾交換機(jī)非法報文過濾實(shí)現(xiàn)過程如下：攻擊者偽造源IP和MAC地址發(fā)起攻擊報文不符合綁定規(guī)則，被交換機(jī)丟棄。通過以上的三重立體ARP防護(hù)方法，解決了ARP欺騙中的網(wǎng)關(guān)型欺騙，中間人欺騙以及ARP泛洪攻擊，給我們的局域網(wǎng)帶來更加干凈的網(wǎng)絡(luò)環(huán)境。嚴(yán)格的軟件黑白名單控制校園網(wǎng)用戶在工作/學(xué)習(xí)時間進(jìn)行聊天、網(wǎng)游、炒股等與教學(xué)無關(guān)的行為，常規(guī)手段難以進(jìn)行約束；雖然頒布了PC使用行為規(guī)范，但也苦于沒有有效方法進(jìn)行監(jiān)督，難以做到令行禁止。在部署了SMP之后，可以通過SMP對校園網(wǎng)用戶分組實(shí)施主機(jī)安全規(guī)則，基于用戶身份對PC使用規(guī)定進(jìn)行嚴(yán)格約束，有效確保教育城域網(wǎng)PC管理政策的實(shí)施，幫助規(guī)范PC使用行為，杜絕工作/學(xué)習(xí)時間炒股、游戲等違規(guī)行為，保障教育城域網(wǎng)絡(luò)專網(wǎng)專用。通過對于軟件的安裝、進(jìn)程的管理、后臺服務(wù)以及注冊表項(xiàng)的管理，GSN方便的實(shí)現(xiàn)了對于必備軟件的強(qiáng)制安裝、使用，違禁軟件的禁用等功能，有效的保障了辦公效率、網(wǎng)絡(luò)帶寬以及信息的安全。聯(lián)動的網(wǎng)絡(luò)通信防護(hù)體系通過SMP安全管理平臺與RG-IDS入侵檢測設(shè)備的聯(lián)動，實(shí)現(xiàn)了對網(wǎng)絡(luò)安全事件的檢測、分析、處理一條龍的自助服務(wù)，輔以嚴(yán)格的身份驗(yàn)證，可以方便的將網(wǎng)絡(luò)安全事件定位到人，自動通知和處理。在防御的同時，還能夠?qū)Π踩录M(jìn)行統(tǒng)計(jì)分析，為日后的安全報表做好準(zhǔn)備。杜絕泛濫的U盤病毒U盤作為一種便利的文件傳遞工具，在校園網(wǎng)用戶內(nèi)部得到了廣泛的應(yīng)用，但同時也成為了大量病毒提供了傳播的渠道。SMP通過兩個途徑解決U盤病毒泛濫的棘手問題。首先通過在全網(wǎng)制訂統(tǒng)一的安全策略，禁止U盤等移動存儲設(shè)備的自動運(yùn)行功能，斷絕U盤病毒最主要的傳播渠道。其次，在病毒高發(fā)的時期，通過SMP集中向用戶下發(fā)U盤病毒專殺工具，幫助用戶直接有效的清理U盤病毒。流量和日志管理組件（eLOG）結(jié)合本地出口防火墻、應(yīng)用控制引擎ACE和安全管理組件SMP等，可以實(shí)現(xiàn)對本地上網(wǎng)行為的日志記錄和分析。從而滿足公安部82號令的需求。實(shí)現(xiàn)基于身份的用戶行為管理，結(jié)合認(rèn)證實(shí)現(xiàn)本地用戶的上網(wǎng)行為審計(jì)。智能安全上網(wǎng)軟件（SU）智能安全上網(wǎng)軟件SU由信息傳輸組件、資產(chǎn)管理組件、文件分發(fā)管理組件、遠(yuǎn)程協(xié)助工具、系統(tǒng)補(bǔ)丁管理組件、防毒軟件管理組件、系統(tǒng)策略管理組件、分布式管理組件、自動升級管理器、身份認(rèn)證組件等模塊組成，除了提供基本的上網(wǎng)認(rèn)證功能外，還能為校園網(wǎng)管理人員和用戶提供雙向的上網(wǎng)協(xié)助，提供雙向?qū)崟r消息交流手段、遠(yuǎn)程故障處理支持、文件分發(fā)支持，協(xié)助終端用戶對殺毒軟件和系統(tǒng)補(bǔ)丁進(jìn)行及時科學(xué)的升級，結(jié)合安全交換機(jī)為終端用戶提供對ARP欺騙和病毒的自動全面防護(hù)，管理員還可以針對各種新出現(xiàn)的安全問題和管理需求，制定統(tǒng)一的本地安全策略下發(fā)并執(zhí)行。從而提高用戶的上網(wǎng)安全性、出現(xiàn)的問題能夠更方便及時地得到管理員解決，另一方面大幅降低管理員的管理和維護(hù)開銷。校園網(wǎng)安全管理基礎(chǔ)設(shè)施網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）網(wǎng)絡(luò)入侵檢測設(shè)備能夠?qū)崟r檢測網(wǎng)絡(luò)中的非法入侵和攻擊，并將發(fā)現(xiàn)的安全事件實(shí)時通報給SMP，實(shí)現(xiàn)聯(lián)動交換機(jī)和SU進(jìn)行立體的安全防護(hù)。能夠?qū)Ψ钦J(rèn)證用戶引起的安全威脅進(jìn)行檢測。能夠聯(lián)動SMP實(shí)現(xiàn)對關(guān)鍵服務(wù)器區(qū)域的實(shí)時防護(hù)，防止未授權(quán)用戶訪問關(guān)鍵服務(wù)區(qū)的應(yīng)用和數(shù)據(jù)資源。應(yīng)用控制引擎（ACE）應(yīng)用控制引擎是基于上網(wǎng)應(yīng)用流量深度包檢測來實(shí)現(xiàn)應(yīng)用流量分析和監(jiān)測的設(shè)備，不但可以直觀、圖形化的查看到網(wǎng)絡(luò)流量究竟是由哪些應(yīng)用引起的，還能夠?qū)α髁窟M(jìn)行精細(xì)化的控制和管理，比如針對P2P應(yīng)用進(jìn)行限制和管理，比如保障網(wǎng)上巡考、安全監(jiān)控等關(guān)鍵應(yīng)用所必需的網(wǎng)絡(luò)帶寬等，能夠進(jìn)一步結(jié)合SMP實(shí)現(xiàn)基于用戶身份的流量管理。安全認(rèn)證交換機(jī)安全認(rèn)證交換機(jī)通過其具備的802.1x認(rèn)證、端口數(shù)據(jù)包安全檢測、可信任ARP和與SMP配合實(shí)現(xiàn)自動執(zhí)行安全策略的能力，為校園網(wǎng)安全提供實(shí)時的防護(hù)。應(yīng)用效果分析RG-IDS以旁路工作模式部署在設(shè)備的鏡像端口上。RG-IDS根據(jù)設(shè)定的規(guī)則對所有從核心設(shè)備鏡像過來的數(shù)據(jù)包進(jìn)行分析與過濾，從中檢查出違反既定規(guī)則的數(shù)據(jù)包，并生成安全事件。隨后將安全事件通過相關(guān)接口發(fā)送給RG-SMP。通過安全事件的學(xué)習(xí)功能，網(wǎng)絡(luò)管理員能夠清楚的了解當(dāng)前網(wǎng)絡(luò)的安全狀況。如某段時間內(nèi)，網(wǎng)絡(luò)是否發(fā)生了新的安全事件，發(fā)生了多少次，最早發(fā)生時間和最近發(fā)生時間是什么時候。通過了解網(wǎng)絡(luò)中當(dāng)前發(fā)生的安全事件，網(wǎng)絡(luò)管理員能夠制定相應(yīng)的策略來處理當(dāng)前網(wǎng)絡(luò)正在發(fā)生的問題，或者可能潛在的問題，作出相應(yīng)的處理策略。如下發(fā)消息通知用戶升級病毒庫，下發(fā)修復(fù)程序（如某補(bǔ)丁或者病毒專殺工具）對發(fā)生安全事件的用戶進(jìn)行修復(fù)。當(dāng)網(wǎng)絡(luò)發(fā)生安全攻擊時，RG-SMP可以針對此安全事件自動下發(fā)相應(yīng)的策略，同時進(jìn)行系統(tǒng)修復(fù)，如安裝相應(yīng)補(bǔ)丁、下發(fā)相應(yīng)的警告信息等，以達(dá)到對已經(jīng)發(fā)生的安全行為進(jìn)行自動化的防御措施。SMP提供手動和定期自動生成安全事件報表的功能，可以對一段時間發(fā)生的安全事件進(jìn)行匯總和統(tǒng)計(jì)，方便管理員的查看和分析。同時，RG-SMP還提供無人職守的功能，該功能會在管理員離線期間，自動處理網(wǎng)絡(luò)安全事件，包括各種未知網(wǎng)絡(luò)安全事件和未被設(shè)置為自動處理的網(wǎng)絡(luò)安全事件，無需管理員進(jìn)行手動干預(yù)，此功能是為了避免在無人職守時段網(wǎng)絡(luò)入侵造成的威脅。SMP對安全事件的處理主要包括下發(fā)警告消息，下發(fā)修復(fù)程序，下發(fā)阻斷或者隔離策略。根據(jù)不同等級的安全事件，網(wǎng)絡(luò)管理員能夠制定不同的處理方式。如針對安全等級較低，危害較小的攻擊（如掃描），管理員只下發(fā)警告消息對用戶進(jìn)行警告。如果某些攻擊是由于某些補(bǔ)丁未打，或者運(yùn)行某些程序能夠防止的。則可以下發(fā)修復(fù)程序給發(fā)生安全事件的用戶，由用戶進(jìn)行修復(fù)。如果某安全事件危害很大（如蠕蟲病毒），則可以下發(fā)阻斷或者隔離策略，對發(fā)生該安全事件的用戶進(jìn)行隔離，或者阻斷其攻擊報文的發(fā)送，避免該蠕蟲病毒在整個局域網(wǎng)中傳播。GSN“多兵種協(xié)同作戰(zhàn)”的全局安全設(shè)計(jì)，同時將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個全局化的網(wǎng)絡(luò)安全綜合體系。GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求，同時也為今后可能發(fā)生的安全威脅做出了準(zhǔn)備。融合安全的數(shù)據(jù)中心解決方案數(shù)據(jù)中心概述教育城域網(wǎng)是整個基礎(chǔ)教育信息化建設(shè)的重要基礎(chǔ)設(shè)施，面對數(shù)據(jù)爆炸性的膨脹，城域網(wǎng)正面臨前所未有的存儲挑戰(zhàn)。為了充分利用資源，減少重復(fù)投資，存儲作為構(gòu)成計(jì)算機(jī)系統(tǒng)的主要架構(gòu)和電子商務(wù)的基礎(chǔ)設(shè)施之一，不再僅是充當(dāng)外圍設(shè)備的角色，逐步從系統(tǒng)中獨(dú)立出來，成為一個完整的系統(tǒng)。存儲虛擬化、存儲資源管理、數(shù)據(jù)遷移和災(zāi)難恢復(fù)等存儲應(yīng)用有了廣闊的發(fā)展空間，這些功能的實(shí)現(xiàn)，又都離不開存儲管理系統(tǒng)。城域網(wǎng)作為所有下屬學(xué)校信息的匯集地，不僅僅是為了保存信息，而是要使用信息，為學(xué)校體現(xiàn)“數(shù)字化”的價值。雖然我國信息化程度與發(fā)達(dá)國家相比有不小的差距，但日益蓬勃的信息化建設(shè)，使得國內(nèi)對存儲的需求量迅速增長。隨著教育城域網(wǎng)建設(shè)規(guī)模的擴(kuò)展，用戶原有意識中的數(shù)據(jù)備份已經(jīng)無法滿足關(guān)鍵業(yè)務(wù)對系統(tǒng)的可用性、實(shí)時性、安全性的需要。更重要的是備份的數(shù)據(jù)往往會因?yàn)楦鞣N因素而遭到毀壞，如地震、火災(zāi)、丟失等。如何保證數(shù)據(jù)中心的數(shù)據(jù)安全成為眾多城域網(wǎng)建設(shè)中的一個嚴(yán)峻挑戰(zhàn)。很多教委計(jì)劃采購高性能服務(wù)器，建立數(shù)據(jù)中心，實(shí)現(xiàn)數(shù)據(jù)的集中管理；采用網(wǎng)絡(luò)存儲技術(shù)，建立一個安全、高效、優(yōu)質(zhì)的網(wǎng)絡(luò)信息存儲系統(tǒng)；在保護(hù)現(xiàn)有投資的基礎(chǔ)上，實(shí)現(xiàn)數(shù)據(jù)的安全冗余和多級備份，保障城域網(wǎng)應(yīng)用數(shù)據(jù)的安全可靠。邵東縣數(shù)據(jù)中心需求分析目前，在基礎(chǔ)教育信息化建設(shè)的浪潮中，幾乎所有的城域網(wǎng)都在大力進(jìn)行資源庫建設(shè)，且具備了一定的數(shù)據(jù)存儲能力，但是根據(jù)各自的情況不同，各個城域網(wǎng)的存儲現(xiàn)狀可謂是參差不齊，一般有以下幾種情況：部分?jǐn)?shù)據(jù)仍然采用直接存儲在服務(wù)器本地硬盤上的方式，這種方式存在眾多的問題：不同的數(shù)據(jù)存儲在不同服務(wù)器的硬盤上，造成有些服務(wù)器硬盤空間已滿，而有些服務(wù)器硬盤空間卻閑置，存儲空間的利用率極不均衡；由于服務(wù)器磁盤槽位有限，空間擴(kuò)展比較困難；隨著應(yīng)用的不斷豐富，訪問量的增加，辦公、教學(xué)、科研對網(wǎng)絡(luò)的依賴，服務(wù)器的性能受到強(qiáng)烈的考驗(yàn)，最終將成為性能的瓶頸；部分服務(wù)器采用DAS存儲架構(gòu)，數(shù)據(jù)存放于直連的SCSI/FC盤陣中，存儲空間擴(kuò)展成本很高，不能實(shí)現(xiàn)多服務(wù)器共享存儲空間，而且單臺磁盤陣列往往就成了核心系統(tǒng)的一個單點(diǎn)故障點(diǎn)，一旦磁盤陣列發(fā)生故障，則整個系統(tǒng)將發(fā)生中斷；部分服務(wù)器與磁盤陣列采用FCSAN/IPSAN存儲區(qū)域網(wǎng)絡(luò)架構(gòu)，雖然具備本地的備份、恢復(fù)措施，但是不能應(yīng)對自然災(zāi)難（比如：地震、雷擊、水災(zāi)、火災(zāi)、海嘯等）、基礎(chǔ)設(shè)施災(zāi)難（比如：機(jī)房電力故障、磁盤陣列硬件故障等）和軟災(zāi)難（比如：戰(zhàn)爭、蓄意破壞、嚴(yán)重的人為操作失誤、系統(tǒng)軟件BUG等）的中的任何一種，數(shù)據(jù)存在較大安全隱患，在災(zāi)難發(fā)生時無法保證對業(yè)務(wù)系統(tǒng)7*24小時的不間斷訪問；存在多種存儲架構(gòu)和設(shè)備共存的局面，利用率低，擴(kuò)展性差，缺乏對存儲的統(tǒng)一、集中式管理；邵東縣數(shù)據(jù)中心解決方案 方案特點(diǎn)：提供全網(wǎng)IPSAN解決方案成本低、管理簡易、擴(kuò)展方便突破FCSAN的距離限制，消除SAN孤島靈活擴(kuò)展存儲容量和前端應(yīng)用服務(wù)器數(shù)量遠(yuǎn)距離、跨校區(qū)享受存儲服務(wù)提供本地備份解決方案提供跨盤陣的卷鏡像、快照、復(fù)制等功能確保數(shù)據(jù)安全輕松實(shí)現(xiàn)跨盤陣數(shù)據(jù)遷移、應(yīng)用服務(wù)遷移保護(hù)用戶投資可整合原有存儲容災(zāi)功能不受存儲設(shè)備型號限制License-free（服務(wù)器連接存儲無License限制）提供遠(yuǎn)程災(zāi)備解決方案通過城域網(wǎng)的鏈路提供遠(yuǎn)程災(zāi)難備份恢復(fù)功能（GDR）確保數(shù)據(jù)安全可以在低帶寬環(huán)境下實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)災(zāi)備數(shù)據(jù)中心應(yīng)用效果邵東縣教育城域網(wǎng)運(yùn)維管理解決方案問題解決思路 為了解決上述的問題，從國內(nèi)全局安全防控的實(shí)踐來看，最有效的辦法就是將對關(guān)鍵應(yīng)用，用戶，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，網(wǎng)絡(luò)終端的管理統(tǒng)一考慮，整體規(guī)劃，建設(shè)一個跨教育信息中心和各個校園網(wǎng)的整體安全防護(hù)體系和管理體系，以自動化、分布式、智能化的監(jiān)控和管理手段實(shí)現(xiàn)全面的安全防護(hù)和管理手段，達(dá)到標(biāo)本兼治的效果。主要考慮以下幾點(diǎn)：在系統(tǒng)設(shè)計(jì)中，面向城域網(wǎng)關(guān)鍵業(yè)務(wù)提供端到端統(tǒng)一管理視圖和策略執(zhí)行手段建設(shè)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證、終端管理和集中監(jiān)控相結(jié)合的完整普教城域網(wǎng)運(yùn)維管理體系通過分布式部署，本地管理與集中策略和信息管理相結(jié)合，適應(yīng)普教城域網(wǎng)的行政管理特點(diǎn)和各學(xué)校業(yè)務(wù)需求通過園區(qū)安全保障子系統(tǒng)和集中策略管理、集中用戶管理和集中監(jiān)控相結(jié)合，實(shí)現(xiàn)全局的統(tǒng)一管理和本地網(wǎng)獨(dú)立安全保障變被動的安全管理為主動的，持續(xù)的安全策略執(zhí)行和監(jiān)控，實(shí)現(xiàn)預(yù)防式的安全防控，并在出現(xiàn)安全問題時實(shí)現(xiàn)自動處理和修復(fù)通過圖形管理和預(yù)置安全策略提升校園網(wǎng)普通管理人員的本地管理能力，通過自動網(wǎng)絡(luò)監(jiān)控和安全策略實(shí)現(xiàn)7*24小時不間斷的網(wǎng)絡(luò)和終端安全監(jiān)控和管理兼容網(wǎng)絡(luò)中現(xiàn)有的各種網(wǎng)絡(luò)設(shè)備、終端類型和關(guān)鍵業(yè)務(wù)流程、關(guān)鍵應(yīng)用系統(tǒng)建設(shè)總體目標(biāo)本系統(tǒng)通過建設(shè)邵東縣教育城域網(wǎng)安全管理系統(tǒng)實(shí)現(xiàn)下述的五大目標(biāo)，將邵東縣教育城域網(wǎng)建設(shè)成為一個具備整體安全防御和控制手段、有著先進(jìn)的網(wǎng)絡(luò)和系統(tǒng)管理維護(hù)能力、關(guān)鍵應(yīng)用保障有力的全國示范城域網(wǎng)。 這五大建設(shè)目標(biāo)是：實(shí)現(xiàn)全網(wǎng)關(guān)鍵應(yīng)用的全局應(yīng)用安全保障和實(shí)時監(jiān)控打造一個實(shí)名制的，用戶行為精細(xì)可控，安全問題可追溯的教育城域網(wǎng)實(shí)現(xiàn)數(shù)量眾多、地理分散的校園網(wǎng)的自動化安全管理和監(jiān)控，提高集中管理和監(jiān)控能力降低病毒、網(wǎng)絡(luò)攻擊對網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的影響極大降低終端安全管理和維護(hù)的工作量，降低成本，提高效率，解決大量中小學(xué)校園網(wǎng)的遠(yuǎn)程維護(hù)和管理難題實(shí)現(xiàn)全網(wǎng)統(tǒng)一的安全策略、上網(wǎng)帳號和權(quán)限管理，方便的進(jìn)行集中的軟硬件資產(chǎn)管理，為統(tǒng)計(jì)和決策提供依據(jù)系統(tǒng)建設(shè)原則為了確保以上建設(shè)目標(biāo)的落實(shí)，系統(tǒng)整體建設(shè)上要本著投資保護(hù)，充分利