高校高职行业智慧校园解决方案

高校高职行业智慧校园处理方案第1页教育行业需求索引高校/高职云计算数据中心建设网络安全/云计算实训教室等级保护（高校）AC行为感知PC替换（主要推学生机房、电子阅览室、教师办公、多媒体教室）普教教育城域网（教育局）/教育局自有云平台建设重点中小学数字化校园云课堂校园无线覆盖黄色是在未来需要长久关注重点需求！！！第2页高校高职行业第3页高校及高职-整体建设架构教育网/互联网出口安全区AF高性能业务高可靠业务低负载业务AFAF安全资源池桌面资源池存放及当地灾备区关键管理区vAFCoreCorevAFvAFvADvADvADvSSLvSSLvAC安全服务平台………IPSANServerSANNASFCSANFCSANFCSANSATAArraySATAArray生产卷灾备卷灾备卷云计算管理平台网络管理存放管理虚拟化管理堡垒机虚拟桌面控制器用户文件模板虚机用户文件用户文件用户文件用户桌面教育网安全接入平台认证服务器授权服务器网关管理服务器VPN网关…RRAF安全资源池AF接入区校园网访问远程用户访问外网用户访问高校云数据中心机房生产卷互联网业务分校区区域内其它高校关键业务区管理区数据区桌面资源池外联业务区出口区分为关键区，互联网出口，数据中心，运维管理区，桌面云资源池，安全资源池，以及道银行等外连业务区我们重点关注应该是标注颜色这些区域第4页高校高职行业

云计算数据中心第5页高校及高职-云计算数据中心建设云计算数据中心建设“十三五”当中明确要进行云计算数据中心建设。不过当前，甘肃区域高校和高职，还极少有用户能够建设起来真正云计算数据中心，所以，大多数项目，都是以云计算数据中心名义，在做底层IAAS，也就是我们讲数据中心虚拟化。这种场景，我们主推超融合数据中心建设方案。超融合数据中心优势总结方案优势：1、数据中心全虚拟化，在硬件投资上，相比传统方案愈加精简，成本优势显著。2、精简大量硬件设备同时，节约了机房空间占用，同时硬件运维工作大量降低。3、全WEB界面配置，网络架构灵活调整，“所画即所得”。4、数据中心服务器资源利用率高，未来扩容，只需要横向增加服务器，就能够实现计算，存放，安全资源池同时扩容，无业务停机，简单便捷。5、未来用户需要建设真正私有云时候，能够依靠于超融合平台，平滑升级至私有云平台。第6页高校及高职-超融合数据中心建设方案超融合数据中心建设思绪1、只需要布署服务器+交换机。额外购置超融合软件。2、网络建设各种组件（二层交换机，三层交换机，网络安全设备等都软件化了），以虚拟机形态运行在服务器平台上。3、经过不一样交换机搭建不一样私网：存放私网，数据通信网，集群管理网。每张网络作用不一样，将不一样功效流量合理规划开，相互不影响。1.集群管理网络：集群间心跳、管理、虚拟机克隆、迁移、备份都是经过集群管理网络来传输数据。（复用业务网络，图里未表达）2.存放通信网络：存放数据通信，全部写磁盘数据及部分读磁盘数据要经过此网络传输。（不做存放虚拟化，利旧用户外置存放话，能够不配置）3.数据通信（vxlan）网络：东西向流量传输。它在跟外部通信时，经过vxlan网络，再转到虚拟路由器或物理出口。（不做网络虚拟化能够不配置）第7页高校及高职-建设方案成本对比VS超融合传统架构超融合配置清单名称数量备注说明交换机2存放私网交换机，二层普通以太网交换机即可，提议万兆存放虚拟化必配交换机2数据通信网交换机，三层普通以太网交换机即可，普通选择千兆网络虚拟化必配磁盘若干虚拟化软件若干服务器若干配置普通千兆和万兆以太网卡传统配置清单名称数量备注说明FC交换机2光纤交换机存放控制器1-2提议双控磁盘阵列1按用户容量来配虚拟化软件若干服务器若干需配置HBA卡第8页所画即所得数据中心高校及高职-建设方案运维对比第9页高校及高职-后期扩容方式对比传统方案扩容1、需要依据用户不一样需求，选择不一样扩容方式。

计算资源不足（CPU，内存），需要扩容服务器。

存放资源不足，需要购置所选存放厂商磁盘，价格高。磁盘阵列插满话，还需要购置新磁盘阵列。对操作技能要求高，非专业人士无法完成，同时价格也更高。

硬件安全设备性能不足，因为硬件不能升级，所以传统方案只能对安全设备进行淘汰，重新购置新高性能硬件设备，资源浪费严重超融合扩容1、增加服务器能够同时对计算资源（CPU，内存），存放资源（插新磁盘）进行扩容，所以只横向加服务器。2、安全设备性能不足，直接序列号升级。也不用考虑光电口问题。VS更简单第10页高校及高职-升级私有云职责：云平台整体资源分配、运行、流程审批、计量策略等云运行管理员职责：云数据中心基础设施运维云数据中心硬件设备管理云运维管理员职责：租户资源申请及使用业务拓扑构建及变更业务安全策略定义业务备份策略定义租户云资源维护租户管理员职责：使用云资源最终用户租户1租户2租户3租户4部门1部门2部门3部门1部门2部门3云管理员升级成私有云1、分级分权（系统和租户管理员，系统管理员可设置资源权限）。2、独自管理（部门管理员在资源权限下能够自主进行管理）。3、部门隔离（部门间独立管理并安全隔离，可延伸至项目管理）。第11页主机资源存放资源低配VM高配VM标配VMvDSwitchvRouter/vDRouter网络资源（2-4层）防火墙（4-7层）入门级标准级进阶级教授级vDFW桌面资源Windows7负载均衡（4-7层）入门级标准级进阶级教授级存放资源服务计算资源服务网络及桌面资源服务安全资源服务最终用户资源申请资源审批租户管理员平台管理员配额申请配额审批Windows10数据库资源备份资源OracleSQLServerMySQL高校及高职-升级私有云经过资源申请方式，申请所需计算，安全，桌面存放等资源。第12页高校及高职-实施案例甘肃省农业职业技术学院当前仅用2台高性能服务器就完成超融合布署，共承载包含老业务和新业务在内总共11个系统。采取分布式存放方案，由这两台服务器构建了虚拟存放池，数据以双副本方式，分别保留在两台服务器磁盘上，保障数据高可用性，即便其中一台服务器完全DOWN机，也不会造成数据丢失。开通了网络虚拟化功效，搭建出业务实际需求虚拟网络，包含虚拟交换机、虚拟服务器、虚拟防火墙等等虚拟网络设备。综合考虑了数据中心安全性需求，在数据中心出口布署了下一代防火墙，对用户访问数据中心南北向流量进行过滤；同时超融合平台能够布署软件形态虚拟防火墙，实现虚拟机和超融合平台之间，虚拟机和虚拟机之间东西向安全防护。第13页高校及高职-实施案例第14页高校高职行业

网络安全/云计算实训室第15页高校及高职-实训教室1、教育信息化“十三五”规划，首次提出加强安全学科建设与人才培养；2、中央网络安全与信息化办公室[]4号文件，联合国家发改委、教育部、科技部、工信部、人社部发文勉励企业深度参加高校信息安全人才培养，从教材编写、试验室建设等多个步骤与高校合作；第16页3、市场需求：伴随国家对信息安全重视，网络安全已经上升到国家战略高度，网络安全建设也逐步成为基础网络部分必须建设内容，对专业安全规划、建设、运维人才需求也逐年增加，截止到，信息安全行业就业需求将以年均14%速度递增。年，信息安全行业就业总人数由当前160万上升到300万，截止到20底，信息安全需求人数还在连续上涨。

同时，伴随业务应用快速发展，数据量爆炸式增加，云计算和虚拟化等技术应用也越来越普及。从2010到20，国内云计算产业以60%速度进行增加，包含十二五及十三五规划中很多都提到了对于国家云计算产业发展扶持和专题资金。云计算环境，新型云安全人才更是匮乏，成为人才市场紧俏。IDC预测，未来三年云计算相关工作需求每年将会以26%速度增加。年大约有170万云计算相关工作岗位空缺，截止到20约有700万云计算相关岗位空缺。求职者普遍缺乏在云计算方面培训，资质以及经验。高校及高职-实训教室第17页4、教育现实状况：1）、信息安全与云计算实训教学是近年来高校面临新课题，尤其是职业教育和应用型本科；2）、已经有实训课程多趋于“学院派”，缺少企业引入行业应用经验，并转化为教学与实验；3）、信息安全实训多集中于攻击入侵方面，缺乏系统全方面安全建设课程与实践；4）、实训室只有一堆设备，无系统化课程体系、师资培养、资格认证，导致无法正常开展教学；5）、缺少专业安全、虚拟化企业参加实训室建设；安全建设安全建设安全运维渗透攻击入侵检测网络攻防网页篡改恶意代码高校及高职-实训教室第18页实训室教学资源包实训教材试验手册电子教案讲课视频题库资格认证认证推广资格证书ATAC平台资格认证考试认证考试师资培养教师培训在线学习讲师任课资格培训教室认证校企合作人才联盟一考多证共建深信服网络安全学院课题开发实训服务安全实训设备云实训设备安全攻防安全应用实训室VI设计外墙设计内墙设计桌椅设计布置图装饰海报实训室建设高校及高职-实训教室整体规划第19页教室管理演示区试验设备区试验区高校及高职-网络安全实训室第20页高校及高职-云计算实训室A组B组C组D组E组F组超融合一体机aserver虚拟化管理平台VMP桌面云一体机VDS虚拟桌面控制器VDC超融合一体机aserver虚拟化管理平台VMP虚拟机管理软件VMS教室管理演示区试验设备区试验区A组B组C组D组E组F组第21页

实训室依据业务属性，共分为3个功效区：试验区：学生学习实训室课程内容和实际操作试验课程区域，依据每组学生数量配置PC终端或者桌面云瘦终端（云计算实训必选）；试验设备区：放置实训室试验设备区域：信息安全实训室：下一代防火墙（NGAF）、上网行为管理（AC）、VPN接入网关（VPN）、应用交付（AD）、广域网优化网关（WOC）【可选】、漏洞仿真平台（VEPC）【可选】，其它基础设备；云计算实训室：超融合一体机（aserver）、云管交换机（asw）、虚拟化软件（asv\asan\anet）、虚拟化管理平台（VMP）、网络功效虚拟化（NFV）【可选】、试验用云桌面控制器（VDC）、桌面云一体机（VDS），其它基础设备；

全部试验内容均运行在该试验设备区内；3.试验管理区：老师管理区和演示区，负责演示试验课程内容并对全部试验组试验设备做监控和管理；高校及高职-实训室功效分布第22页实训室模块提议数量单位产品型号备注信息安全安全设备1*N台AF-E1001*N台AC-E1001*N台VPN-E1001*N台AD-E1002*N台WOC-E100（可选）无线安全设备（可选）1*N台AP-E1001*N台WAC-E100安全攻防平台（可选）1*N台VEPC-V1006(低端)/

VEPC-V1012(高端)云计算计算、存放资源池2*N+2台Aserver1000/Aserver云计算实训平台（2*N+2）*1或2套ASVlicense（2*N+2）*1或2套ASANlicense（2*N+2）*1或2套ANETlicense2*N+2套VMP软件云桌面一体机2台VDS-3550云桌面试验终端30-60台aDesk-EDU-50云桌面试验控制器N台VDC-2500NFV功效（可选）2*N+2套vSSL-1002*N+2套vAD-1002*N+2套vAF-1002*N+2套vWOC-100N为试验组数，每组支持6-8人试验。高校及高职-实训室配置第23页高校及高职-详细教材和配置见附件广东省电教馆现场图片网络实训室建设交流方案第24页高校行业

等级保护第25页文号发文单位名称教技[]4号教育部教育部关于加强教育行业网络与信息安全工作指导意见教技厅函[]74号教育部办公厅教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》通知教技厅函[]75号教育部办公厅教育部办公厅关于印发《信息技术安全事件汇报与处置流程(试行)》通知教技厅函[]3号教育部办公厅教育部办公厅关于落实直属机关信息技术安全责任通知教技厅函[]17号教育部办公厅教育部办公厅关于开展部直属机关信息系统确认工作通知教技厅函[]45号教育部办公厅教育部办公厅关于开展国家级主要信息系统和重点网站安全检验工作通知高校-等级保护国家政策第26页高校-等级保护国家政策第27页高校-安全定级依据信息系统部级省级地市(01)政务管理类普通高校招生网上录用管理第三级第三级第三级教育考试考务管理与服务、公文与信息交换第三级第三级第二级教育统计管理、应急指挥、舆情监测与管理、高等教育招生计划管理第三级第二级第二级办公与事务处理、人事管理、财务管理、资产管理、信访管理、档案管理、党务管理、科研管理、决议支持、评审表彰管理第二级第二级第二级(02)学校管理类学校管理、学科专业管理、教学改革管理、教学质量评定、校园安全与稳定管理、教育经费监管第三级第二级第二级(03)学生管理类招生录用管理第三级第三级第三级第28页高校-安全定级依据信息系统部级省级地市(03)学生管理类招生录用管理第三级第三级第三级学生学籍管理、学位授予管理第三级第二级第二级学生资助管理第三级第二级第二级(04)教师管理类教师基本信息管理、教师资格认定管理、教师培训管理、教师教育管理、教师职称管理第三级第二级第二级(05)综合服务类门户网站第三级第二级第二级教育教学资源、毕业就业信息管理、视频服务、内网门户与身份认证、公共数据库、运维管理第三级第二级第二级论坛小区类网站、电子邮件、安防监控第二级第二级第二级第29页高校-等保建设框架在等保三级要求下，对关键节点提议按照双机去做，实现冗余第30页场景产品名称布署位置产品作用满足政策要求互联网出口NGAF互联网出口隔离互联网和校园网络防范网络入侵攻击网络层恶意代码过滤网络安全-访问控制网络安全-入侵防范网络安全-恶意代码过滤AC网页访问审计应用软件审计全方面邮件审计与过滤策略网络行为日志外发文件告警细致灵活审计方式流量管理与控制内部非法无线热点发觉网络安全-结构安全网络安全-安全审计网络安全-边界完整性AD链路负载均衡网络安全-结构安全高校-我们硬件产品所对应政策内容第31页高校-我们硬件产品所对应政策内容场景产品名称布署位置产品作用满足政策要求数据中心NGAF数据中心外联口隔离业务服务器区和其它区域增强业务系统抗web攻击能力网络防病毒网关漏洞扫描网络安全-访问控制网络安全-入侵防范主机安全-恶意代码过滤主机安全-入侵防范AD应用负载均衡数据备份与恢复-防止单点故障SSLVPN通信过程加密；用户身份认证；用户权限控制；用户登录行为审计；应用安全-身份判别应用安全-访问控制应用安全-安全审计应用安全-通信保密性应用安全-通信完整性第32页高校-我们硬件产品所对应政策内容场景产品名称布署位置产品作用满足政策要求校区互联NGAF学校互联专网隔离主校区和分校区网络网络安全-访问控制WOC含有链路VPN加密功效；应用流量可视化，愈加好保障带宽可用性：数据优化，实现流量30-80%削减，愈加好实现网络设备处理能力冗余，保障带宽满足业务高峰期处理能力；应用优化和链路优化，提升用户访问速度；网络安全-结构安全网络安全-通信完整性网络安全-通信保密性数据安全-数据传输保密性第33页高校高职行业

云计算数据中心第34页高校及高职-AC行为感知数据分析部分数据汇总、建模、展示集中管理平台广域网XX分支XX分支XX分支XX分支支持大屏展示上网行为管理上网行为管理上网行为管理联通电信Internet行为感知系统数据采集部分深信服AC、AF等日志未来可汇总其它系统日志，如一卡通、门禁系统等第35页高校及高职-AC行为感知推广点各种分析方法形成一个个行为感知应用，用户随取所需，未来不停更新第36页应用背景多起校园网贷事件影响恶劣教育部屡次发文防范校园网贷风险深圳、广州、重庆等地出台规范校园网贷高校及高职-校园网贷第37页高校及高职-校园网贷第38页高校及高职-校园网贷应用价值分析高危网贷人群，帮助学校及时发觉网贷学生，尽早进行引导教育分析效果能够审计到学生网贷详细内容和金额，准确率高于80%第39页高校及高职-沉迷游戏应用背景学生过分沉迷网络，影响学业及身心发展多起高校大学生通宵玩游戏猝死新闻，引发社会和学校广泛关注应用价值及时发觉沉迷网络学生，便于开展有针对性辅导和教育第40页高校及高职-沉迷游戏第41页高校及高职-事件感知应用背景学校人员集中，学生心智还未成熟，易发生各类恶性事件，如（传染性疫情、暴恐事件、自杀事件等），一旦发生影响恶劣分析原理依据特定关键字组，分析某类事件是否发生或有潜在风险，用户能够依据自己需求自定义关键字组第42页高校及高职-事件感知第43页高校及高职-在校生孕况分析背景故事西南地域女大学生在寝室产子，并扔出窗外，给个人、家庭、学校造成极恶劣影响应用价值尽早发觉异常，提供相关辅导名单，防止事件恶化第44页高校及高职-图书馆