邵東縣教育城域網(wǎng)規(guī)劃

PAGEPAGE8邵東縣教育城域網(wǎng)解決方案建議書

目錄第1章教育城域網(wǎng)概述 31.1建設(shè)教育城域網(wǎng)意義 31.2教育城域網(wǎng)發(fā)展趨勢 4第2章邵東縣教育城域網(wǎng)建設(shè)需求 62.1邵東縣教育城域網(wǎng)設(shè)計原則 62.2用戶需求 62.3業(yè)務對網(wǎng)絡(luò)的需求 7第3章邵東縣教育城域網(wǎng)解決方案 83.1邵東縣網(wǎng)絡(luò)設(shè)計概要 83.1.1邵東縣教育城域網(wǎng)業(yè)務架構(gòu) 83.1.2邵東縣教育城域網(wǎng)拓撲結(jié)構(gòu) 93.2方案描述 93.2.1基礎(chǔ)網(wǎng)絡(luò)設(shè)計 93.2.2邵東縣城域網(wǎng)出口設(shè)計 123.2.3邵東縣城域網(wǎng)全局安全網(wǎng)絡(luò)解決方案 153.2.4融合安全的數(shù)據(jù)中心解決方案 273.2.5邵東縣教育城域網(wǎng)運維管理解決方案 30教育城域網(wǎng)概述建設(shè)教育城域網(wǎng)意義教育信息化是為實現(xiàn)教育現(xiàn)代化所必須的。其一，教育信息化有助于加快知識更新速度。書本化教材的知識落后于社會發(fā)展少則5年，多則10年或更長。而計算機網(wǎng)絡(luò)上的電子化課程知識更新可發(fā)生在一周之內(nèi)。其二，教育信息化有助于培養(yǎng)學生的高階思維能力。利用網(wǎng)絡(luò)和多媒體技術(shù)，可以構(gòu)建信息豐富的、反思性的學習環(huán)境和工具，允許學生進行自由探索，極大地有利于他們的批判性、創(chuàng)造性思維的形成和發(fā)展。值得指出，目前國內(nèi)許多學校應用多媒體CAI時，普遍的做法是為教學重點和難點提供演示3，把信息技術(shù)的使用權(quán)控制在教師手中，實際上并未擺脫以教師為中心的教學觀念的索縛?？梢哉f，計算機的最大教育價值在于讓學生獲得學習自由，為他們提供可以自由探索、嘗試和創(chuàng)造的條件。其三，教育信息化能夠突破教育環(huán)境的時空限制，有助于加強課堂與現(xiàn)實世界的聯(lián)系。利用計算機多媒體可以模擬大量的現(xiàn)實世界情境，把外部世界引入課堂，使學生獲得與現(xiàn)實世界較為接近的體驗。更進一步，利用計算機網(wǎng)絡(luò)使學校與校外社會連為一體，例如：美國宇航局通過聯(lián)網(wǎng)向中學生開放，允許他們與宇航員對話和收集關(guān)于太空的信息；在伯克利的勞倫斯國家級實驗室研制了一個網(wǎng)上虛擬實驗室軟件，允許學生通過遠程聯(lián)網(wǎng)獲取從專業(yè)天文望遠鏡收集的天文觀測數(shù)據(jù)。教育城域網(wǎng)的建設(shè)對于加快本地區(qū)教育信息化的步伐，以信息化帶動教育的現(xiàn)代化，全面提高教育管理水平和教學水平有深遠的意義。教育城域網(wǎng)的建設(shè)能推動以學生為中心的教學改革實踐和信息化平臺上的基礎(chǔ)教育實驗，更好地培養(yǎng)適應信息社會生存和發(fā)展需要的合格公民，從而達到“教會一個學生、帶動一個家庭、推動整個社會”的目的。其價值體現(xiàn)在為使用者帶來的服務體驗和應用效果中。1）通過為教育管理人員服務，使他們能夠充分利用網(wǎng)絡(luò)化辦公環(huán)境，快速便捷地處理大量的教育信息，提高工作效率和管理水平，減輕工作強度。比如教育系統(tǒng)內(nèi)同步的視頻會議召開，文件的批復，對下級單位的適時管理。2）通過為教學人員服務，不僅為他們提供與外界溝通的通信環(huán)境，而且為他們提供一個網(wǎng)絡(luò)備課授課的平臺、資源共建共享的平臺，使他們在更大范圍內(nèi)共享思想與資源，從而提高教學質(zhì)量與教學水平。并且集成了網(wǎng)內(nèi)網(wǎng)外的資源，比如電子圖書資源的共享，教學課件的共享。有調(diào)查顯示，教師每周使用計算機在2小時以上的占87%，而每周使用6小時以上的占55%。從使用的方式看，前三項分別是“在網(wǎng)上檢索各種電子教學資源”、“利用計算機演示文檔”和“自己制作課件”。從中我們可以發(fā)現(xiàn)，教師已經(jīng)能夠較好地利用信息技術(shù)所提供的功能來促進教學，能夠利用網(wǎng)絡(luò)提供的各種資源來支持教學。邵東縣教育城域網(wǎng)建設(shè)需求邵東縣教育城域網(wǎng)設(shè)計原則在進行整個教育城域網(wǎng)規(guī)劃和設(shè)計時，還需要遵循如下一些原則：高穩(wěn)定可靠性網(wǎng)絡(luò)設(shè)備穩(wěn)定性網(wǎng)絡(luò)架構(gòu)的冗余性操作系統(tǒng)及軟件的穩(wěn)定性高安全性全局安全網(wǎng)絡(luò)設(shè)計身份認證與主機認證實時網(wǎng)絡(luò)安全監(jiān)控與自動防范用戶上網(wǎng)行為管理易管理面向業(yè)務的管理平臺網(wǎng)絡(luò)設(shè)備統(tǒng)一管理集中監(jiān)控、分權(quán)管理網(wǎng)絡(luò)開放性及可擴展性網(wǎng)絡(luò)設(shè)備的開放設(shè)計網(wǎng)絡(luò)架構(gòu)的開放設(shè)計操作系統(tǒng)及軟件的模塊化設(shè)計用戶需求1、實現(xiàn)教育管理功能，進行無紙化辦公，免費網(wǎng)絡(luò)電話，視頻會議等；2、教師實現(xiàn)在線備課、布置作業(yè)。學生實現(xiàn)在線學習，充分打破學校和課堂的時間和空間界限，具備完善的視頻課堂直播和點播功能；3、所有學校安全監(jiān)控網(wǎng)絡(luò)將通過教育城域網(wǎng)形成統(tǒng)一的全區(qū)安全監(jiān)控網(wǎng)絡(luò)，進行時時監(jiān)控?？傊ǔ珊蟮慕逃怯蚓W(wǎng)，將充分整合各種資源，使資源中心和全縣各學校已有資源實現(xiàn)共享，充分利用，極大帶動全縣信息化建設(shè)，充分滿足社會、學校、教師、學生、家長對教育信息化的需求。業(yè)務對網(wǎng)絡(luò)的需求教育城域網(wǎng)常見應用大概有教學資源類、教育管理類、交流溝通類、教務教學類、視頻音頻類等等五大類應用。教學資源類主要包括教學資源庫學生資源庫、學科網(wǎng)站等。通過對這些應用分析，我們可以發(fā)現(xiàn)教學資源類應用中教學資源庫、學生資源庫等應用包含大量的語音、視頻、流媒體、flash等內(nèi)容，這些應用的運行需要消耗較高的網(wǎng)絡(luò)帶寬，同時需要網(wǎng)絡(luò)設(shè)備具備強大的交換處理能力，而且對于語音和視頻應用中，直接影響話音/視頻質(zhì)量的三個最重要因素是傳輸?shù)目倳r延、時延的抖動以及丟包率，為了保證視頻、語音類應用的正常展開，我們必須實現(xiàn)端到端的QoS來保證這類應用的正常運行。教育管理類主要包括：OA，教育報表，老師評價，教師進修等系統(tǒng)。這些應用大部分是文本，對網(wǎng)絡(luò)帶寬、性能、QoS等沒有明確的要求，最主要的就是系統(tǒng)的持續(xù)可用性、安全性和可靠性。交流溝通類主要包括：門戶網(wǎng)站，BBS，EMAIL,Blog等。這些應用是向大眾開發(fā)的，主要考慮服務的持續(xù)可用性，以及系統(tǒng)的安全性。教務教學類主要包括：在線考試，網(wǎng)上錄取，網(wǎng)上備課等。這些應用最主要的是網(wǎng)絡(luò)持續(xù)可運行和安全性。視頻音頻類主要包括：遠程教育，視頻會議，直播，點播，網(wǎng)上課堂，網(wǎng)上巡考等。這些應用對網(wǎng)絡(luò)時延、抖動、丟包率非常敏感，要保障此類應用的流暢運行，我們需要保障網(wǎng)絡(luò)有足夠的帶寬、網(wǎng)絡(luò)設(shè)備有足夠的處理能力、以及提供端到端的QoS服務質(zhì)量。通過上面的分析，我們總結(jié)教育城域網(wǎng)應用對網(wǎng)絡(luò)的要求如下：

邵東縣教育城域網(wǎng)解決方案邵東縣網(wǎng)絡(luò)設(shè)計概要邵東縣教育城域網(wǎng)業(yè)務架構(gòu)邵東縣教育城域網(wǎng)拓撲結(jié)構(gòu)方案描述基礎(chǔ)網(wǎng)絡(luò)設(shè)計核心層：網(wǎng)絡(luò)核心層交換機是教育城域網(wǎng)網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證7*24小時的穩(wěn)定運行，各種應用服務器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)阶罱K用戶，同時，還要協(xié)調(diào)各功能子網(wǎng)之間，功能子網(wǎng)和內(nèi)部外部資源之間的數(shù)據(jù)流量和訪問策略，在提供信息服務的同時，保證網(wǎng)絡(luò)中心自身的安全。因此邵東縣教育城域網(wǎng)核心采用2臺RG-S8610十萬兆高密度多業(yè)務路由交換機構(gòu)建高速路由交換中心。骨干和學校接入節(jié)點采用租用廣電的裸光纖線路方式，組建高速千兆廣域網(wǎng)絡(luò)，以承載融合的多業(yè)務，如網(wǎng)絡(luò)電話、視頻會議、教學資源、監(jiān)控數(shù)據(jù)等，并通過RG-S8610十萬兆的高性能、精細的QOS策略實現(xiàn)各種業(yè)務的穩(wěn)定運行。RG-S8610，擁有10個槽位，提供管理模塊冗余，支持萬兆、千兆和百兆模塊線速轉(zhuǎn)發(fā)。其高達3.2T的背板帶寬和1190Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的線速交換，強大的交換路由功能、為邵東縣教育城域網(wǎng)用戶提供超強的數(shù)據(jù)處理能力。同時支持負載均衡、冗余備份、ACL、防DDOS攻擊、防源IP欺騙等強大的功能，同時板卡支持分布式處理和熱插拔，是企業(yè)網(wǎng)核心交換機的理想選擇。在網(wǎng)絡(luò)的可靠性和穩(wěn)定性保障方面，兩臺RG-S8610之間通過千兆端口聚合互連，并在核心交換機中采用關(guān)鍵模塊冗余設(shè)計（如雙電源冗余等）。與匯聚層交換機之間通過動態(tài)路由協(xié)議（如OSPF、IS-IS等）互聯(lián)，不采用二層協(xié)議互聯(lián)是為了避免由于網(wǎng)絡(luò)規(guī)模過大而帶來的VLAN劃分復雜、管理難度增加以及廣播風暴等問題的出現(xiàn)，同時可以利用動態(tài)路由協(xié)議實現(xiàn)冗余備份和負載均衡，提高網(wǎng)絡(luò)的可靠性和運行性能。與數(shù)據(jù)中心服務器和部分接入層交換機采用雙鏈路連接，啟用VRRP及RSTP、MSTP協(xié)議等技術(shù)；保障數(shù)據(jù)的正常傳輸，提供冗余備份功能。匯聚層：綜合考慮線路、設(shè)備的價格比較比較以及各種業(yè)務對帶寬的需求，我們在邵東縣下屬的鄉(xiāng)鎮(zhèn)各部署1臺千兆匯聚交換機。。各學校網(wǎng)絡(luò)設(shè)計：邵東縣城域網(wǎng)下屬學校的接入?yún)^(qū)域主要是負責將各個學校接入到城域網(wǎng)中，提供訪問城域網(wǎng)和互聯(lián)網(wǎng)的路徑。各學校的基本可以滿足各學校接入城域網(wǎng)的最基本要求，如果相互之間的訪問控制不做限制的話，一旦有網(wǎng)絡(luò)病毒爆發(fā)將在整個城域網(wǎng)中傳播，嚴重影響城域網(wǎng)的正常運行。因此后期學校改造需要考慮在每個學校的出口放置一臺能夠防病毒防攻擊的出口路由器（或防火墻），在每個學校的出口啟用安全策略，嚴格限制各學校之間的相互訪問，嚴格控制對城域網(wǎng)的訪問，防止大量的攻擊流量攻擊城域網(wǎng)核心。每個學校的出口路由器（或防火墻）把學校的校園網(wǎng)和城域網(wǎng)完全隔離開了，校園網(wǎng)的病毒和攻擊將被限制在學校內(nèi)部，不會對城域網(wǎng)造成影響，從而保證城域網(wǎng)安全穩(wěn)定運行。各學校接入城域網(wǎng)的設(shè)備起著承上啟下的作用，根據(jù)各學校信息點和預算資金的不同，我們可以針對不同的學校做不同的設(shè)計方案，對于網(wǎng)絡(luò)信息點較多的學校，網(wǎng)絡(luò)流量會比較大，可以選擇性能較高的設(shè)備。對于信息點較少的學校，網(wǎng)絡(luò)流量相對會比較少，對于此類學校可以以滿足性能要求為前提，選擇較低檔次的網(wǎng)絡(luò)設(shè)備。通過對下屬學校網(wǎng)絡(luò)規(guī)模的初步統(tǒng)計，在方案設(shè)計中為下屬學校提供了幾種不同的建議方案，下屬學校可以根據(jù)學校自身的實際情況選擇不同的建議方案。邵東縣城域網(wǎng)出口設(shè)計出口是整個邵東縣教育城域網(wǎng)的門戶，所以出口的安全設(shè)計對全網(wǎng)的安全至關(guān)重要。目前城域網(wǎng)出口面臨的挑戰(zhàn)也是越來越大：學生的考試成績被篡改學生的資料被非法泄露，并被犯罪分子利用對家長進行敲詐學生或老師在網(wǎng)上發(fā)表一些不恰當言論，對他人進行人身攻擊學生經(jīng)常上一些黃色網(wǎng)站中心服務器被黑客控制對其他目標發(fā)動攻擊無法記錄或者記錄不全用戶的訪問日志，出了安全時間之后無法定位到人或單位，從而釀成安全事件關(guān)鍵應用質(zhì)量無法保證，如學籍管理、視頻會議、辦公OA、VoIP、電子郵件、網(wǎng)頁瀏覽。關(guān)鍵用戶的網(wǎng)絡(luò)帶寬無法得到有效的保障?！绾谓鉀Q上述問題，是每一個城域網(wǎng)規(guī)劃者必須要考慮的問題。切斷來自外界的安全威脅鏈接狀態(tài)檢測基于流的管理，非完整的數(shù)據(jù)流無法通過防火墻所有的半連接、廣播包和不完整的包等都被丟棄高效的安全過濾規(guī)則未明確為“允許”的訪問數(shù)據(jù)流無法通過防火墻默認從外網(wǎng)到內(nèi)網(wǎng)的訪問全部是禁止的連接數(shù)限制，防DDoS攻擊支持并發(fā)連接、新建連接數(shù)目限制能夠有效阻斷各種常見的DDoS攻擊有效抵御對服務器的安全威脅完善安全機制數(shù)據(jù)包過濾連接狀態(tài)檢測深度內(nèi)容檢測動態(tài)端口偵測全面抗DDoS攻擊SYN/SYNflood代理LandAttack/ArpSpoof/IPFragmentAttack等攻擊防護關(guān)鍵服務器保護基于源/目的協(xié)議速率限制SYNFlood攻擊防護完美的日志功能在城域網(wǎng)出口部署一套日志系統(tǒng)RG-eLog，通過跟防火墻或路由器的配合，能夠詳細記錄包過濾日志、NAT日志、代理日志、URL過濾日志、入侵檢測日志、設(shè)備工作狀況日志、用戶訪問統(tǒng)計日志、集群日志、設(shè)備管理日志，以及什么時間段、通過什么IP地址和端口訪問了什么目標IP地址和端口。如果在防火墻上啟用了NAT，則可以記錄轉(zhuǎn)換前的地址和轉(zhuǎn)換后的地址。如果在防火墻上啟用URL過濾，則可以記錄什么時間段、通過什么IP地址和端口訪問了什么目標URL。在城域網(wǎng)出口部署完以后，可以通過對出口安全策略的設(shè)置來控制整個城域網(wǎng)用戶的上網(wǎng)行為，并方便的對其進行管理和控制，保證了整個城域網(wǎng)的安全。精確的上網(wǎng)行為控制通過RG-WALL防火墻的URL過濾、WEB內(nèi)容過濾、訪問控制策略、RG-ACE的應用管理，實現(xiàn)精確的上網(wǎng)行為控制功能。禁止學生通過城域網(wǎng)瀏覽色情網(wǎng)站？禁止學生在機房或電子閱覽室玩網(wǎng)游？您能想到的，都能為您實現(xiàn)。用戶身份與網(wǎng)絡(luò)訪問聯(lián)動的URL記錄,使網(wǎng)絡(luò)管理人員隨時了解用戶的上網(wǎng)行為.定制化的顯示記錄,更多信息一目了然 有效的網(wǎng)絡(luò)應用管理網(wǎng)絡(luò)管理者要把好網(wǎng)絡(luò)的脈搏，清楚網(wǎng)絡(luò)的狀況，就有必要在出口區(qū)域：1）對應用進行識別，能夠看到具體的IM（即時通信）、P2P（BT、Edonkey等）、FTP等應用；2）掌控基于應用的和基于用戶的流量，這樣就能合理的分配資源、有計劃的規(guī)劃網(wǎng)絡(luò)的發(fā)展。在隊列管理方面，RG-WALL1600T充分借鑒了高端路由交換設(shè)備的隊列管理結(jié)構(gòu)，在物理接口上執(zhí)行流控制管理。在分類上，RG-WALL1600T能夠根據(jù)源MAC,TOS,數(shù)據(jù)包長,IP協(xié)議,源和目的IP地址,TCP標志(ACK,RST,SYN,FIN),TCP源和目的端口,VLAN標志,VLAN用戶優(yōu)先級等信息對數(shù)據(jù)流進行分類。RG-ACE應用控制引擎，能夠識別IM、P2P的應用，同時基于其僅5ms延遲的能力，先天具備對流量進行管理的基礎(chǔ)條件。讓應用完全可視。您想了解城域網(wǎng)出口到底承載了哪些應用？這些應用如何分布？或者，您還想了解城域網(wǎng)的某個IP在訪問哪些應用？城域網(wǎng)中某種應用到底有哪些用戶在使用，用得怎么樣,一切都能展現(xiàn)在您眼前!邵東縣城域網(wǎng)全局安全網(wǎng)絡(luò)解決方案城域網(wǎng)安全面臨形勢目前教育城域網(wǎng)面臨的安全形勢越來越嚴峻，對城域網(wǎng)的業(yè)務提出了極大的挑戰(zhàn)：CMIS、一卡通、網(wǎng)上巡考、網(wǎng)報志愿、安全監(jiān)控等關(guān)鍵應用中斷影響巨大關(guān)鍵的網(wǎng)絡(luò)應用比如數(shù)據(jù)中心、CMIS，高考巡查系統(tǒng)等，對網(wǎng)絡(luò)的穩(wěn)定和安全提出了越來越高的要求，一旦發(fā)生應用中斷，將嚴重影響正常的管理和教學工作的開展，比如無法進行正常的學籍登陸、考試成績填寫、課程安排和志愿填報，安全監(jiān)控將會中斷而得不到及時的響應和處理。CMIS、一卡通、網(wǎng)報志愿、公文流轉(zhuǎn)等系統(tǒng)中的關(guān)鍵信息安全一旦泄露將帶來嚴重后果比如學生的學籍信息中所包含的家庭背景信息、學生和老師的家庭住址信息，學生的課業(yè)成績和排名等隱私信息，在目前開放的城域網(wǎng)環(huán)境下，處理和存儲這些信息的計算機、服務器和網(wǎng)絡(luò)容易受到惡意攻擊，而一旦這些信息被別有用心的人獲取，將帶來嚴重后果，比如曾發(fā)生過利用學生家庭信息進行綁架勒索，以及學生將服務器中的他人成績信息盜出公布在網(wǎng)絡(luò)上的情況。再如目前有的城域網(wǎng)建立了遠程安防監(jiān)控系統(tǒng)，每天對學生考勤進行記錄，并通過“平安短信”通報給家長，如果該系統(tǒng)的終端或者服務器受到攻擊，則家長可能無法正常接收平安短信，反而會帶來大批家長的不安和詢問，學生也可以通過入侵該系統(tǒng)，偽造考勤信息，造成系統(tǒng)無法正常發(fā)揮效益。國家重大活動敏感時期網(wǎng)絡(luò)非法言論造成負面影響尤其是在比如高考、職考，教學評估和兩會等重大活動期間，城域網(wǎng)內(nèi)用戶發(fā)表違法言論和訪問非法網(wǎng)站等行為得不到有效控制和定位，出現(xiàn)問題難以追溯到個人，并會給整個教育城域網(wǎng)帶來負面的影響。在出現(xiàn)緊急事件時的應急響應難以得到網(wǎng)絡(luò)保證網(wǎng)絡(luò)是一個連接城域網(wǎng)各個單位老師，學生的重要基礎(chǔ)設(shè)施，本身可以作為應急響應的重要手段和平臺，然而網(wǎng)絡(luò)安全的問題將妨礙整個教育系統(tǒng)通過城域網(wǎng)對緊急事件的及時響應和重大事項的上傳和下達惡意網(wǎng)絡(luò)攻擊難以及時定位解決學生和教工應用各種未經(jīng)管理和許可的軟件和互聯(lián)網(wǎng)應用，由于現(xiàn)在惡意的木馬和病毒的泛濫，非常容易造成學校校園網(wǎng)中病毒、攻擊情況不時發(fā)生，這種校園網(wǎng)的安全問題也常有泛濫到城域網(wǎng)中，影響到整網(wǎng)的穩(wěn)定，但同時又由于城域網(wǎng)用戶的分散性讓故障定位難以進行，加重了網(wǎng)絡(luò)維護工作的負擔為了解決上述的問題，從國內(nèi)全局安全防控的實踐來看，最有效的辦法就是將對關(guān)鍵應用，用戶，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，網(wǎng)絡(luò)終端的管理統(tǒng)一考慮，整體規(guī)劃，建設(shè)一個跨教育信息中心和各個校園網(wǎng)的整體安全防護體系，以自動化、分布式、智能化的監(jiān)控和管理手段實現(xiàn)全面的安全防護和管理手段，達到標本兼治的效果。主要考慮以下幾點：建設(shè)網(wǎng)絡(luò)準入認證、終端管理和集中監(jiān)控相結(jié)合的完整普教城域網(wǎng)安全管理體系通過分布式部署，本地管理與集中策略和信息管理相結(jié)合，適應普教城域網(wǎng)的行政管理特點和各學校業(yè)務需求通過園區(qū)安全保障子系統(tǒng)和集中策略管理、集中用戶管理和集中監(jiān)控相結(jié)合，實現(xiàn)全局的統(tǒng)一管理和本地網(wǎng)獨立安全保障變被動的安全管理為主動的，持續(xù)的安全策略執(zhí)行和監(jiān)控，實現(xiàn)預防式的安全防控，并在出現(xiàn)安全問題時實現(xiàn)自動處理和修復通過圖形管理和預置安全策略提升校園網(wǎng)普通管理人員的本地管理能力，通過自動網(wǎng)絡(luò)監(jiān)控和安全策略實現(xiàn)7*24小時不間斷的網(wǎng)絡(luò)和終端安全監(jiān)控和管理兼容網(wǎng)絡(luò)中現(xiàn)有的各種網(wǎng)絡(luò)設(shè)備、終端類型和關(guān)鍵業(yè)務流程、關(guān)鍵應用邵東縣全局安全網(wǎng)絡(luò)解決方案統(tǒng)一身份策略管理中心（IPC）邵東縣教育城域網(wǎng)轄內(nèi)好幾十所中小學，以往使用一套安全系統(tǒng)對整個教育城域網(wǎng)的校園網(wǎng)安全進行統(tǒng)一管理幾乎是不可能的任務?，F(xiàn)在，通過IPC提供的分布式管理技術(shù)，在確保教育城域網(wǎng)信息中心對用戶和安全策略進行全局集中管理前提下，實現(xiàn)在各校結(jié)點進行分布式執(zhí)行用戶認證與安全策略，避免單點故障，減輕中心管理壓力，也有效保障了整網(wǎng)安全可靠運行。在分布式管理模式下，結(jié)合整個邵東縣城域網(wǎng)中的認證交換機和智能安全上網(wǎng)小助手，實現(xiàn)全網(wǎng)用戶的安全認證上網(wǎng)，從而實現(xiàn)實名制網(wǎng)絡(luò)。并能夠集中制定統(tǒng)一的用戶管理策略，和統(tǒng)一的安全管理策略，能夠?qū)ο聦俑鱾€學校的安全管理組件進行授權(quán)，能夠統(tǒng)一收集和同步全網(wǎng)的用戶身份信息。IPC作為邵東縣教育城域網(wǎng)的安全管理中心，部署在區(qū)信息中心；各學校結(jié)點分別部署一套SMP組件，與信息中心的IPC實行基于IP層協(xié)議的松散聯(lián)動。 系統(tǒng)功能介紹集中管理IPC作為邵東縣教育城域網(wǎng)的安全管理核心，對下屬所有校結(jié)點的SMP擁有管理權(quán)限，各校結(jié)點的用戶信息、安全策略都由IPC統(tǒng)一制訂，并下發(fā)到各校結(jié)點的SMP服務器執(zhí)行。分布式部署面對普教城域網(wǎng)這種分支結(jié)點地域分散較廣、物理距離較大的城域網(wǎng)絡(luò)應用，在常規(guī)的單一管理中心的模式下，身份認證、安全策略執(zhí)行都在中央結(jié)點進行，存在嚴重的性能瓶頸和單點故障問題。而在IPC的分布式部署模式下，用戶身份認證、安全策略執(zhí)行都在分支機構(gòu)結(jié)點本地的SMP服務器上進行，中央僅履行統(tǒng)一監(jiān)管以及關(guān)鍵策略的制訂的職責，解決了性能瓶頸與單點故障的問題。獨立授權(quán)普教城域網(wǎng)應用的另一個顯著特點是大量的校結(jié)點用戶與相對偏少的信息中心管理人員人數(shù)極度不成比例，很多區(qū)信息中心下轄近300所中小學結(jié)點，但信息管理人員只有3名，難以事無巨細的承擔城域網(wǎng)整體運維的巨大工作量。在IPC支持的分布式管理模式下，通過對分支結(jié)點的SMP進行獨立授權(quán)，有效的解決了這個問題。通常情況下，結(jié)點SMP的用戶必須接受總部IPC的管理，無法進行用戶、安全策略的修改、配置；但IPC管理員也可以通過對結(jié)點SMP服務器進行授權(quán)，將管理權(quán)限下放給分支SMP管理員，由學校的管理員來進行日常的用戶與策略管理，中央僅進行必要的監(jiān)管即可。通過集權(quán)與分治的結(jié)合，在保障中央對分支必要管理力度的同時，有效的減輕了中央的管理壓力，也保障了分支機構(gòu)的自由度。分時同步邵東縣普教城域網(wǎng)下屬的用戶結(jié)點數(shù)量眾多，即使是很小的日常管理流量的開銷，匯集到中央結(jié)點也具有幾何級數(shù)倍增的影響。而IPC與SMP之間的信息同步機制進行了專門的數(shù)據(jù)優(yōu)化，兩點之間無需建立實時的連接，只需定期進行小數(shù)據(jù)量的信息同步，對網(wǎng)絡(luò)帶寬與穩(wěn)定性的要求不高，也避免了大量分支結(jié)點給總部造成的“管理流量泛洪攻擊”的問題。安全管理組件（SMP）安全管理組件能夠與區(qū)信息中心的IPC和SMC進行協(xié)同，實現(xiàn)本地的用戶認證、用戶管理和安全策略管理、安全策略下發(fā)。能夠與學校一級的網(wǎng)絡(luò)殺毒軟件、補丁升級服務器、安全認證交換機、網(wǎng)絡(luò)入侵檢測系統(tǒng)、應用控制引擎聯(lián)動構(gòu)成一個整體的本地安全防護體系。可以實現(xiàn)24小時的安全策略執(zhí)行和安全狀態(tài)監(jiān)控，能夠確保對本地關(guān)鍵服務器（CMIS等）的合法訪問，能夠方便的查看本校的網(wǎng)絡(luò)和終端安全狀態(tài)，結(jié)合SU可以實現(xiàn)對終端用戶的遠程協(xié)助。從而幫助學校管理人員輕松的實現(xiàn)對ARP欺騙攻擊的防護、實現(xiàn)對學校的殺毒軟件安裝和升級的管理、實現(xiàn)對全校操作系統(tǒng)補丁的管理、實現(xiàn)不間斷的安全監(jiān)控和系統(tǒng)修復、能夠大幅度降低因為系統(tǒng)漏洞和病毒造成的維護工作量。通過用戶本地認證實現(xiàn)用戶實名制上網(wǎng)，避免網(wǎng)絡(luò)中的匿名攻擊、違法言論等行為。工作流程介紹系統(tǒng)功能介紹實名制身份認證SMP采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗證體系，通過與網(wǎng)絡(luò)交換機的聯(lián)動，實現(xiàn)了對于用戶訪問網(wǎng)絡(luò)的身份的控制。SMP通過嚴格的6元素（IP、MAC、交換機IP、交換機端口、用戶名、密碼）綁定措施，確保接入用戶身份的合法性。同時根據(jù)用戶身份的不同，SMP還可以限制不同用戶的不同訪問權(quán)限，讓用戶在接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務器，網(wǎng)絡(luò)區(qū)域等。提城域網(wǎng)整體穩(wěn)固性在校園網(wǎng)的日常管理中，用戶應用水平低，防范意識差是一個不可忽視的問題。常見的有：大量PC沒有安裝或沒有正常運行殺毒軟件，裸奔上路缺乏安全意識，Windows補丁從不更新，漏洞百出操作系統(tǒng)不設(shè)密碼、使用不設(shè)防，成為病毒、木馬熱衷的溫床用戶數(shù)量眾多，日常維護工作量和難度巨大由此帶來的各種問題占用了管理人員的大量維護工作量，成天忙于處理殺毒、重裝系統(tǒng)等大量耗時耗力也沒有價值的工作，無法把精力投入到能夠?qū)虒W產(chǎn)生幫助的常規(guī)工作中去。SMP系統(tǒng)通過和20余種殺毒軟件聯(lián)動，確保殺毒軟件能夠正確部署到校園網(wǎng)的每一臺PC機上，并且保證其處于正常工作、正常更新的狀態(tài)。通過與微軟WSUS補丁更新系統(tǒng)的聯(lián)動，可以實現(xiàn)對用戶端Windows補丁的檢測、下載、安裝等操作，無需客戶端參與，在后臺自助自動的完成全部更新過程。SMP通過幫助管理人員保障用戶PC的安全狀態(tài)，大量減輕日常工作的負擔。并且SMP能夠通過與交換機聯(lián)動實施安全隔離，確保不合規(guī)范的用戶被隔離到安全區(qū)域進行自動修復，不會對正常用戶帶來潛在威脅。三重立體的ARP防御體系1）網(wǎng)關(guān)防御。實現(xiàn)過程如下：SMP通過用戶的身份認證過程學習已通過認證的合法用戶的IP-MAC對應關(guān)系SMP將用戶的ARP信息通知相應網(wǎng)關(guān)網(wǎng)關(guān)生成對應用戶的可信任ARP表項ARP防御的第一重——網(wǎng)關(guān)防御網(wǎng)關(guān)防御過程如下：攻擊者冒充用戶IP對網(wǎng)關(guān)進行欺騙真正的用戶已經(jīng)在網(wǎng)關(guān)的可信任ARP表項中，欺騙行為失敗2）用戶端防御用戶端防御的實現(xiàn)方法如下：在SMP上設(shè)置網(wǎng)關(guān)的正確IP－MAC對應信息用戶認證通過，SMP將網(wǎng)關(guān)的ARP信息下傳至SUSU靜態(tài)綁定網(wǎng)關(guān)的ARPARP防御的第二重——用戶端防御用戶端防御的實現(xiàn)過程如下：攻擊者冒充網(wǎng)關(guān)欺騙合法用戶用戶已經(jīng)靜態(tài)綁定網(wǎng)關(guān)地址，欺騙攻擊無效3）交換機非法報文過濾交換機非法報文過濾，是通過S21和29系列交換機的安全功能來實現(xiàn)的，具體實現(xiàn)方法如下：用戶認證通過后，21交換機會在接入端口上綁定用戶的IP－MAC對應信息。21對報文的源地址進行檢查，對非法的攻擊報文一律丟棄處理。該操作不占用交換機CPU資源，直接由端口芯片處理。ARP防御的第三重——交換機非法報文過濾交換機非法報文過濾實現(xiàn)過程如下：攻擊者偽造源IP和MAC地址發(fā)起攻擊報文不符合綁定規(guī)則，被交換機丟棄。通過以上的三重立體ARP防護方法，解決了ARP欺騙中的網(wǎng)關(guān)型欺騙，中間人欺騙以及ARP泛洪攻擊，給我們的局域網(wǎng)帶來更加干凈的網(wǎng)絡(luò)環(huán)境。嚴格的軟件黑白名單控制校園網(wǎng)用戶在工作/學習時間進行聊天、網(wǎng)游、炒股等與教學無關(guān)的行為，常規(guī)手段難以進行約束；雖然頒布了PC使用行為規(guī)范，但也苦于沒有有效方法進行監(jiān)督，難以做到令行禁止。在部署了SMP之后，可以通過SMP對校園網(wǎng)用戶分組實施主機安全規(guī)則，基于用戶身份對PC使用規(guī)定進行嚴格約束，有效確保教育城域網(wǎng)PC管理政策的實施，幫助規(guī)范PC使用行為，杜絕工作/學習時間炒股、游戲等違規(guī)行為，保障教育城域網(wǎng)絡(luò)專網(wǎng)專用。通過對于軟件的安裝、進程的管理、后臺服務以及注冊表項的管理，GSN方便的實現(xiàn)了對于必備軟件的強制安裝、使用，違禁軟件的禁用等功能，有效的保障了辦公效率、網(wǎng)絡(luò)帶寬以及信息的安全。聯(lián)動的網(wǎng)絡(luò)通信防護體系通過SMP安全管理平臺與RG-IDS入侵檢測設(shè)備的聯(lián)動，實現(xiàn)了對網(wǎng)絡(luò)安全事件的檢測、分析、處理一條龍的自助服務，輔以嚴格的身份驗證，可以方便的將網(wǎng)絡(luò)安全事件定位到人，自動通知和處理。在防御的同時，還能夠?qū)Π踩录M行統(tǒng)計分析，為日后的安全報表做好準備。杜絕泛濫的U盤病毒U盤作為一種便利的文件傳遞工具，在校園網(wǎng)用戶內(nèi)部得到了廣泛的應用，但同時也成為了大量病毒提供了傳播的渠道。SMP通過兩個途徑解決U盤病毒泛濫的棘手問題。首先通過在全網(wǎng)制訂統(tǒng)一的安全策略，禁止U盤等移動存儲設(shè)備的自動運行功能，斷絕U盤病毒最主要的傳播渠道。其次，在病毒高發(fā)的時期，通過SMP集中向用戶下發(fā)U盤病毒專殺工具，幫助用戶直接有效的清理U盤病毒。流量和日志管理組件（eLOG）結(jié)合本地出口防火墻、應用控制引擎ACE和安全管理組件SMP等，可以實現(xiàn)對本地上網(wǎng)行為的日志記錄和分析。從而滿足公安部82號令的需求。實現(xiàn)基于身份的用戶行為管理，結(jié)合認證實現(xiàn)本地用戶的上網(wǎng)行為審計。智能安全上網(wǎng)軟件（SU）智能安全上網(wǎng)軟件SU由信息傳輸組件、資產(chǎn)管理組件、文件分發(fā)管理組件、遠程協(xié)助工具、系統(tǒng)補丁管理組件、防毒軟件管理組件、系統(tǒng)策略管理組件、分布式管理組件、自動升級管理器、身份認證組件等模塊組成，除了提供基本的上網(wǎng)認證功能外，還能為校園網(wǎng)管理人員和用戶提供雙向的上網(wǎng)協(xié)助，提供雙向?qū)崟r消息交流手段、遠程故障處理支持、文件分發(fā)支持，協(xié)助終端用戶對殺毒軟件和系統(tǒng)補丁進行及時科學的升級，結(jié)合安全交換機為終端用戶提供對ARP欺騙和病毒的自動全面防護，管理員還可以針對各種新出現(xiàn)的安全問題和管理需求，制定統(tǒng)一的本地安全策略下發(fā)并執(zhí)行。從而提高用戶的上網(wǎng)安全性、出現(xiàn)的問題能夠更方便及時地得到管理員解決，另一方面大幅降低管理員的管理和維護開銷。校園網(wǎng)安全管理基礎(chǔ)設(shè)施網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）網(wǎng)絡(luò)入侵檢測設(shè)備能夠?qū)崟r檢測網(wǎng)絡(luò)中的非法入侵和攻擊，并將發(fā)現(xiàn)的安全事件實時通報給SMP，實現(xiàn)聯(lián)動交換機和SU進行立體的安全防護。能夠?qū)Ψ钦J證用戶引起的安全威脅進行檢測。能夠聯(lián)動SMP實現(xiàn)對關(guān)鍵服務器區(qū)域的實時防護，防止未授權(quán)用戶訪問關(guān)鍵服務區(qū)的應用和數(shù)據(jù)資源。應用控制引擎（ACE）應用控制引擎是基于上網(wǎng)應用流量深度包檢測來實現(xiàn)應用流量分析和監(jiān)測的設(shè)備，不但可以直觀、圖形化的查看到網(wǎng)絡(luò)流量究竟是由哪些應用引起的，還能夠?qū)α髁窟M行精細化的控制和管理，比如針對P2P應用進行限制和管理，比如保障網(wǎng)上巡考、安全監(jiān)控等關(guān)鍵應用所必需的網(wǎng)絡(luò)帶寬等，能夠進一步結(jié)合SMP實現(xiàn)基于用戶身份的流量管理。安全認證交換機安全認證交換機通過其具備的802.1x認證、端口數(shù)據(jù)包安全檢測、可信任ARP和與SMP配合實現(xiàn)自動執(zhí)行安全策略的能力，為校園網(wǎng)安全提供實時的防護。應用效果分析RG-IDS以旁路工作模式部署在設(shè)備的鏡像端口上。RG-IDS根據(jù)設(shè)定的規(guī)則對所有從核心設(shè)備鏡像過來的數(shù)據(jù)包進行分析與過濾，從中檢查出違反既定規(guī)則的數(shù)據(jù)包，并生成安全事件。隨后將安全事件通過相關(guān)接口發(fā)送給RG-SMP。通過安全事件的學習功能，網(wǎng)絡(luò)管理員能夠清楚的了解當前網(wǎng)絡(luò)的安全狀況。如某段時間內(nèi)，網(wǎng)絡(luò)是否發(fā)生了新的安全事件，發(fā)生了多少次，最早發(fā)生時間和最近發(fā)生時間是什么時候。通過了解網(wǎng)絡(luò)中當前發(fā)生的安全事件，網(wǎng)絡(luò)管理員能夠制定相應的策略來處理當前網(wǎng)絡(luò)正在發(fā)生的問題，或者可能潛在的問題，作出相應的處理策略。如下發(fā)消息通知用戶升級病毒庫，下發(fā)修復程序（如某補丁或者病毒專殺工具）對發(fā)生安全事件的用戶進行修復。當網(wǎng)絡(luò)發(fā)生安全攻擊時，RG-SMP可以針對此安全事件自動下發(fā)相應的策略，同時進行系統(tǒng)修復，如安裝相應補丁、下發(fā)相應的警告信息等，以達到對已經(jīng)發(fā)生的安全行為進行自動化的防御措施。SMP提供手動和定期自動生成安全事件報表的功能，可以對一段時間發(fā)生的安全事件進行匯總和統(tǒng)計，方便管理員的查看和分析。同時，RG-SMP還提供無人職守的功能，該功能會在管理員離線期間，自動處理網(wǎng)絡(luò)安全事件，包括各種未知網(wǎng)絡(luò)安全事件和未被設(shè)置為自動處理的網(wǎng)絡(luò)安全事件，無需管理員進行手動干預，此功能是為了避免在無人職守時段網(wǎng)絡(luò)入侵造成的威脅。SMP對安全事件的處理主要包括下發(fā)警告消息，下發(fā)修復程序，下發(fā)阻斷或者隔離策略。根據(jù)不同等級的安全事件，網(wǎng)絡(luò)管理員能夠制定不同的處理方式。如針對安全等級較低，危害較小的攻擊（如掃描），管理員只下發(fā)警告消息對用戶進行警告。如果某些攻擊是由于某些補丁未打，或者運行某些程序能夠防止的。則可以下發(fā)修復程序給發(fā)生安全事件的用戶，由用戶進行修復。如果某安全事件危害很大（如蠕蟲病毒），則可以下發(fā)阻斷或者隔離策略，對發(fā)生該安全事件的用戶進行隔離，或者阻斷其攻擊報文的發(fā)送，避免該蠕蟲病毒在整個局域網(wǎng)中傳播。GSN“多兵種協(xié)同作戰(zhàn)”的全局安全設(shè)計，同時將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務器等），成為一個全局化的網(wǎng)絡(luò)安全綜合體系。GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求，同時也為今后可能發(fā)生的安全威脅做出了準備。融合安全的數(shù)據(jù)中心解決方案數(shù)據(jù)中心概述教育城域網(wǎng)是整個基礎(chǔ)教育信息化建設(shè)的重要基礎(chǔ)設(shè)施，面對數(shù)據(jù)爆炸性的膨脹，城域網(wǎng)正面臨前所未有的存儲挑戰(zhàn)。為了充分利用資源，減少重復投資，存儲作為構(gòu)成計算機系統(tǒng)的主要架構(gòu)和電子商務的基礎(chǔ)設(shè)施之一，不再僅是充當外圍設(shè)備的角色，逐步從系統(tǒng)中獨立出來，成為一個完整的系統(tǒng)。存儲虛擬化、存儲資源管理、數(shù)據(jù)遷移和災難恢復等存儲應用有了廣闊的發(fā)展空間，這些功能的實現(xiàn)，又都離不開存儲管理系統(tǒng)。城域網(wǎng)作為所有下屬學校信息的匯集地，不僅僅是為了保存信息，而是要使用信息，為學校體現(xiàn)“數(shù)字化”的價值。雖然我國信息化程度與發(fā)達國家相比有不小的差距，但日益蓬勃的信息化建設(shè)，使得國內(nèi)對存儲的需求量迅速增長。隨著教育城域網(wǎng)建設(shè)規(guī)模的擴展，用戶原有意識中的數(shù)據(jù)備份已經(jīng)無法滿足關(guān)鍵業(yè)務對系統(tǒng)的可用性、實時性、安全性的需要。更重要的是備份的數(shù)據(jù)往往會因為各種因素而遭到毀壞，如地震、火災、丟失等。如何保證數(shù)據(jù)中心的數(shù)據(jù)安全成為眾多城域網(wǎng)建設(shè)中的一個嚴峻挑戰(zhàn)。很多教委計劃采購高性能服務器，建立數(shù)據(jù)中心，實現(xiàn)數(shù)據(jù)的集中管理；采用網(wǎng)絡(luò)存儲技術(shù)，建立一個安全、高效、優(yōu)質(zhì)的網(wǎng)絡(luò)信息存儲系統(tǒng)；在保護現(xiàn)有投資的基礎(chǔ)上，實現(xiàn)數(shù)據(jù)的安全冗余和多級備份，保障城域網(wǎng)應用數(shù)據(jù)的安全可靠。邵東縣數(shù)據(jù)中心需求分析目前，在基礎(chǔ)教育信息化建設(shè)的浪潮中，幾乎所有的城域網(wǎng)都在大力進行資源庫建設(shè)，且具備了一定的數(shù)據(jù)存儲能力，但是根據(jù)各自的情況不同，各個城域網(wǎng)的存儲現(xiàn)狀可謂是參差不齊，一般有以下幾種情況：部分數(shù)據(jù)仍然采用直接存儲在服務器本地硬盤上的方式，這種方式存在眾多的問題：不同的數(shù)據(jù)存儲在不同服務器的硬盤上，造成有些服務器硬盤空間已滿，而有些服務器硬盤空間卻閑置，存儲空間的利用率極不均衡；由于服務器磁盤槽位有限，空間擴展比較困難；隨著應用的不斷豐富，訪問量的增加，辦公、教學、科研對網(wǎng)絡(luò)的依賴，服務器的性能受到強烈的考驗，最終將成為性能的瓶頸；部分服務器采用DAS存儲架構(gòu)，數(shù)據(jù)存放于直連的SCSI/FC盤陣中，存儲空間擴展成本很高，不能實現(xiàn)多服務器共享存儲空間，而且單臺磁盤陣列往往就成了核心系統(tǒng)的一個單點故障點，一旦磁盤陣列發(fā)生故障，則整個系統(tǒng)將發(fā)生中斷；部分服務器與磁盤陣列采用FCSAN/IPSAN存儲區(qū)域網(wǎng)絡(luò)架構(gòu)，雖然具備本地的備份、恢復措施，但是不能應對自然災難（比如：地震、雷擊、水災、火災、海嘯等）、基礎(chǔ)設(shè)施災難（比如：機房電力故障、磁盤陣列硬件故障等）和軟災難（比如：戰(zhàn)爭、蓄意破壞、嚴重的人為操作失誤、系統(tǒng)軟件BUG等）的中的任何一種，數(shù)據(jù)存在較大安全隱患，在災難發(fā)生時無法保證對業(yè)務系統(tǒng)7*24小時的不間斷訪問；存在多種存儲架構(gòu)和設(shè)備共存的局面，利用率低，擴展性差，缺乏對存儲的統(tǒng)一、集中式管理；邵東縣數(shù)據(jù)中心解決方案 方案特點：提供全網(wǎng)IPSAN解決方案成本低、管理簡易、擴展方便突破FCSAN的距離限制，消除SAN孤島靈活擴展存儲容量和前端應用服務器數(shù)量遠距離、跨校區(qū)享受存儲服務提供本地備份解決方案提供跨盤陣的卷鏡像、快照、復制等功能確保數(shù)據(jù)安全輕松實現(xiàn)跨盤陣數(shù)據(jù)遷移、應用服務遷移保護用戶投資可整合原有存儲容災功能不受存儲設(shè)備型號限制License-free（服務器連接存儲無License限制）提供遠程災備解決方案通過城域網(wǎng)的鏈路提供遠程災難備份恢復功能（GDR）確保數(shù)據(jù)安全可以在低帶寬環(huán)境下實現(xiàn)遠程數(shù)據(jù)災備數(shù)據(jù)中心應用效果邵東縣教育城域網(wǎng)運維管理解決方案問題解決思路 為了解決上述的問題，從國內(nèi)全局安全防控的實踐來看，最有效的辦法就是將對關(guān)鍵應用，用戶，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，網(wǎng)絡(luò)終端的管理統(tǒng)一考慮，整體規(guī)劃，建設(shè)一個跨教育信息中心和各個校園網(wǎng)的整體安全防護體系和管理體系，以自動化、分布式、智能化的監(jiān)控和管理手段實現(xiàn)全面的安全防護和管理手段，達到標本兼治的效果。主要考慮以下幾點：在系統(tǒng)設(shè)計中，面向城域網(wǎng)關(guān)鍵業(yè)務提供端到端統(tǒng)一管理視圖和策略執(zhí)行手段建設(shè)網(wǎng)絡(luò)準入認證、終端管理和集中監(jiān)控相結(jié)合的完整普教城域網(wǎng)運維管理體系通過分布式部署，本地管理與集中策略和信息管理相結(jié)合，適應普教城域網(wǎng)的行政管理特點和各學校業(yè)務需求通過園區(qū)安全保障子系統(tǒng)和集中策略管理、集中用戶管理和集中監(jiān)控相結(jié)合，實現(xiàn)全局的統(tǒng)一管理和本地網(wǎng)獨立安全保障變被動的安全管理為主動的，持續(xù)的安全策略執(zhí)行和監(jiān)控，實現(xiàn)預防式的安全防控，并在出現(xiàn)安全問題時實現(xiàn)自動處理和修復通過圖形管理和預置安全策略提升校園網(wǎng)普通管理人員的本地管理能力，通過自動網(wǎng)絡(luò)監(jiān)控和安全策略實現(xiàn)7*24小時不間斷的網(wǎng)絡(luò)和終端安全監(jiān)控和管理兼容網(wǎng)絡(luò)中現(xiàn)有的各種網(wǎng)絡(luò)設(shè)備、終端類型和關(guān)鍵業(yè)務流程、關(guān)鍵應用系統(tǒng)建設(shè)總體目標本系統(tǒng)通過建設(shè)邵東縣教育城域網(wǎng)安全管理系統(tǒng)實現(xiàn)下述的五大目標，將邵東縣教育城域網(wǎng)建設(shè)成為一個具備整體安全防御和控制手段、有著先進的網(wǎng)絡(luò)和系統(tǒng)管理維護能力、關(guān)鍵應用保障有力的全國示范城域網(wǎng)。 這五大建設(shè)目標是：實現(xiàn)全網(wǎng)關(guān)鍵應用的全局應用安全保障和實時監(jiān)控打造一個實名制的，用戶行為精細可控，安全問題可追溯的教育城域網(wǎng)實現(xiàn)數(shù)量眾多、地理分散的校園網(wǎng)的自動化安全管理和監(jiān)控，提高集中管理和監(jiān)控能力降低病毒、網(wǎng)絡(luò)攻擊對網(wǎng)絡(luò)安全穩(wěn)定運行的影響極大降低終端安全管理和維護的工作量，降低成本，提高效率，解決大量中小學校園網(wǎng)的遠程維護和管理難題實現(xiàn)全網(wǎng)統(tǒng)一的安全策略、上網(wǎng)帳號和權(quán)限管理，方便的進行集中的軟硬件資產(chǎn)管理，為統(tǒng)計和決策提供依據(jù)系統(tǒng)建設(shè)原則為了確保以上建設(shè)目標的落實，系統(tǒng)整體建設(shè)上要本著投資保護，充分利