邵东县教育城域网规划

PAGEPAGE8邵东县教育城域网解决方案建议书

目录第1章教育城域网概述 31.1建设教育城域网意义 31.2教育城域网发展趋势 4第2章邵东县教育城域网建设需求 62.1邵东县教育城域网设计原则 62.2用户需求 62.3业务对网络的需求 7第3章邵东县教育城域网解决方案 83.1邵东县网络设计概要 83.1.1邵东县教育城域网业务架构 83.1.2邵东县教育城域网拓扑结构 93.2方案描述 93.2.1基础网络设计 93.2.2邵东县城域网出口设计 123.2.3邵东县城域网全局安全网络解决方案 153.2.4融合安全的数据中心解决方案 273.2.5邵东县教育城域网运维管理解决方案 30教育城域网概述建设教育城域网意义教育信息化是为实现教育现代化所必须的。其一，教育信息化有助于加快知识更新速度。书本化教材的知识落后于社会发展少则5年，多则10年或更长。而计算机网络上的电子化课程知识更新可发生在一周之内。其二，教育信息化有助于培养学生的高阶思维能力。利用网络和多媒体技术，可以构建信息丰富的、反思性的学习环境和工具，允许学生进行自由探索，极大地有利于他们的批判性、创造性思维的形成和发展。值得指出，目前国内许多学校应用多媒体CAI时，普遍的做法是为教学重点和难点提供演示3，把信息技术的使用权控制在教师手中，实际上并未摆脱以教师为中心的教学观念的索缚。可以说，计算机的最大教育价值在于让学生获得学习自由，为他们提供可以自由探索、尝试和创造的条件。其三，教育信息化能够突破教育环境的时空限制，有助于加强课堂与现实世界的联系。利用计算机多媒体可以模拟大量的现实世界情境，把外部世界引入课堂，使学生获得与现实世界较为接近的体验。更进一步，利用计算机网络使学校与校外社会连为一体，例如：美国宇航局通过联网向中学生开放，允许他们与宇航员对话和收集关于太空的信息；在伯克利的劳伦斯国家级实验室研制了一个网上虚拟实验室软件，允许学生通过远程联网获取从专业天文望远镜收集的天文观测数据。教育城域网的建设对于加快本地区教育信息化的步伐，以信息化带动教育的现代化，全面提高教育管理水平和教学水平有深远的意义。教育城域网的建设能推动以学生为中心的教学改革实践和信息化平台上的基础教育实验，更好地培养适应信息社会生存和发展需要的合格公民，从而达到“教会一个学生、带动一个家庭、推动整个社会”的目的。其价值体现在为使用者带来的服务体验和应用效果中。1）通过为教育管理人员服务，使他们能够充分利用网络化办公环境，快速便捷地处理大量的教育信息，提高工作效率和管理水平，减轻工作强度。比如教育系统内同步的视频会议召开，文件的批复，对下级单位的适时管理。2）通过为教学人员服务，不仅为他们提供与外界沟通的通信环境，而且为他们提供一个网络备课授课的平台、资源共建共享的平台，使他们在更大范围内共享思想与资源，从而提高教学质量与教学水平。并且集成了网内网外的资源，比如电子图书资源的共享，教学课件的共享。有调查显示，教师每周使用计算机在2小时以上的占87%，而每周使用6小时以上的占55%。从使用的方式看，前三项分别是“在网上检索各种电子教学资源”、“利用计算机演示文档”和“自己制作课件”。从中我们可以发现，教师已经能够较好地利用信息技术所提供的功能来促进教学，能够利用网络提供的各种资源来支持教学。邵东县教育城域网建设需求邵东县教育城域网设计原则在进行整个教育城域网规划和设计时，还需要遵循如下一些原则：高稳定可靠性网络设备稳定性网络架构的冗余性操作系统及软件的稳定性高安全性全局安全网络设计身份认证与主机认证实时网络安全监控与自动防范用户上网行为管理易管理面向业务的管理平台网络设备统一管理集中监控、分权管理网络开放性及可扩展性网络设备的开放设计网络架构的开放设计操作系统及软件的模块化设计用户需求1、实现教育管理功能，进行无纸化办公，免费网络电话，视频会议等；2、教师实现在线备课、布置作业。学生实现在线学习，充分打破学校和课堂的时间和空间界限，具备完善的视频课堂直播和点播功能；3、所有学校安全监控网络将通过教育城域网形成统一的全区安全监控网络，进行时时监控。总之建成后的教育城域网，将充分整合各种资源，使资源中心和全县各学校已有资源实现共享，充分利用，极大带动全县信息化建设，充分满足社会、学校、教师、学生、家长对教育信息化的需求。业务对网络的需求教育城域网常见应用大概有教学资源类、教育管理类、交流沟通类、教务教学类、视频音频类等等五大类应用。教学资源类主要包括教学资源库学生资源库、学科网站等。通过对这些应用分析，我们可以发现教学资源类应用中教学资源库、学生资源库等应用包含大量的语音、视频、流媒体、flash等内容，这些应用的运行需要消耗较高的网络带宽，同时需要网络设备具备强大的交换处理能力，而且对于语音和视频应用中，直接影响话音/视频质量的三个最重要因素是传输的总时延、时延的抖动以及丢包率，为了保证视频、语音类应用的正常展开，我们必须实现端到端的QoS来保证这类应用的正常运行。教育管理类主要包括：OA，教育报表，老师评价，教师进修等系统。这些应用大部分是文本，对网络带宽、性能、QoS等没有明确的要求，最主要的就是系统的持续可用性、安全性和可靠性。交流沟通类主要包括：门户网站，BBS，EMAIL,Blog等。这些应用是向大众开发的，主要考虑服务的持续可用性，以及系统的安全性。教务教学类主要包括：在线考试，网上录取，网上备课等。这些应用最主要的是网络持续可运行和安全性。视频音频类主要包括：远程教育，视频会议，直播，点播，网上课堂，网上巡考等。这些应用对网络时延、抖动、丢包率非常敏感，要保障此类应用的流畅运行，我们需要保障网络有足够的带宽、网络设备有足够的处理能力、以及提供端到端的QoS服务质量。通过上面的分析，我们总结教育城域网应用对网络的要求如下：

邵东县教育城域网解决方案邵东县网络设计概要邵东县教育城域网业务架构邵东县教育城域网拓扑结构方案描述基础网络设计核心层：网络核心层交换机是教育城域网网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输到最终用户，同时，还要协调各功能子网之间，功能子网和内部外部资源之间的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。因此邵东县教育城域网核心采用2台RG-S8610十万兆高密度多业务路由交换机构建高速路由交换中心。骨干和学校接入节点采用租用广电的裸光纤线路方式，组建高速千兆广域网络，以承载融合的多业务，如网络电话、视频会议、教学资源、监控数据等，并通过RG-S8610十万兆的高性能、精细的QOS策略实现各种业务的稳定运行。RG-S8610，拥有10个槽位，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发。其高达3.2T的背板带宽和1190Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、为邵东县教育城域网用户提供超强的数据处理能力。同时支持负载均衡、冗余备份、ACL、防DDOS攻击、防源IP欺骗等强大的功能，同时板卡支持分布式处理和热插拔，是企业网核心交换机的理想选择。在网络的可靠性和稳定性保障方面，两台RG-S8610之间通过千兆端口聚合互连，并在核心交换机中采用关键模块冗余设计（如双电源冗余等）。与汇聚层交换机之间通过动态路由协议（如OSPF、IS-IS等）互联，不采用二层协议互联是为了避免由于网络规模过大而带来的VLAN划分复杂、管理难度增加以及广播风暴等问题的出现，同时可以利用动态路由协议实现冗余备份和负载均衡，提高网络的可靠性和运行性能。与数据中心服务器和部分接入层交换机采用双链路连接，启用VRRP及RSTP、MSTP协议等技术；保障数据的正常传输，提供冗余备份功能。汇聚层：综合考虑线路、设备的价格比较比较以及各种业务对带宽的需求，我们在邵东县下属的乡镇各部署1台千兆汇聚交换机。。各学校网络设计：邵东县城域网下属学校的接入区域主要是负责将各个学校接入到城域网中，提供访问城域网和互联网的路径。各学校的基本可以满足各学校接入城域网的最基本要求，如果相互之间的访问控制不做限制的话，一旦有网络病毒爆发将在整个城域网中传播，严重影响城域网的正常运行。因此后期学校改造需要考虑在每个学校的出口放置一台能够防病毒防攻击的出口路由器（或防火墙），在每个学校的出口启用安全策略，严格限制各学校之间的相互访问，严格控制对城域网的访问，防止大量的攻击流量攻击城域网核心。每个学校的出口路由器（或防火墙）把学校的校园网和城域网完全隔离开了，校园网的病毒和攻击将被限制在学校内部，不会对城域网造成影响，从而保证城域网安全稳定运行。各学校接入城域网的设备起着承上启下的作用，根据各学校信息点和预算资金的不同，我们可以针对不同的学校做不同的设计方案，对于网络信息点较多的学校，网络流量会比较大，可以选择性能较高的设备。对于信息点较少的学校，网络流量相对会比较少，对于此类学校可以以满足性能要求为前提，选择较低档次的网络设备。通过对下属学校网络规模的初步统计，在方案设计中为下属学校提供了几种不同的建议方案，下属学校可以根据学校自身的实际情况选择不同的建议方案。邵东县城域网出口设计出口是整个邵东县教育城域网的门户，所以出口的安全设计对全网的安全至关重要。目前城域网出口面临的挑战也是越来越大：学生的考试成绩被篡改学生的资料被非法泄露，并被犯罪分子利用对家长进行敲诈学生或老师在网上发表一些不恰当言论，对他人进行人身攻击学生经常上一些黄色网站中心服务器被黑客控制对其他目标发动攻击无法记录或者记录不全用户的访问日志，出了安全时间之后无法定位到人或单位，从而酿成安全事件关键应用质量无法保证，如学籍管理、视频会议、办公OA、VoIP、电子邮件、网页浏览。关键用户的网络带宽无法得到有效的保障。……如何解决上述问题，是每一个城域网规划者必须要考虑的问题。切断来自外界的安全威胁链接状态检测基于流的管理，非完整的数据流无法通过防火墙所有的半连接、广播包和不完整的包等都被丢弃高效的安全过滤规则未明确为“允许”的访问数据流无法通过防火墙默认从外网到内网的访问全部是禁止的连接数限制，防DDoS攻击支持并发连接、新建连接数目限制能够有效阻断各种常见的DDoS攻击有效抵御对服务器的安全威胁完善安全机制数据包过滤连接状态检测深度内容检测动态端口侦测全面抗DDoS攻击SYN/SYNflood代理LandAttack/ArpSpoof/IPFragmentAttack等攻击防护关键服务器保护基于源/目的协议速率限制SYNFlood攻击防护完美的日志功能在城域网出口部署一套日志系统RG-eLog，通过跟防火墙或路由器的配合，能够详细记录包过滤日志、NAT日志、代理日志、URL过滤日志、入侵检测日志、设备工作状况日志、用户访问统计日志、集群日志、设备管理日志，以及什么时间段、通过什么IP地址和端口访问了什么目标IP地址和端口。如果在防火墙上启用了NAT，则可以记录转换前的地址和转换后的地址。如果在防火墙上启用URL过滤，则可以记录什么时间段、通过什么IP地址和端口访问了什么目标URL。在城域网出口部署完以后，可以通过对出口安全策略的设置来控制整个城域网用户的上网行为，并方便的对其进行管理和控制，保证了整个城域网的安全。精确的上网行为控制通过RG-WALL防火墙的URL过滤、WEB内容过滤、访问控制策略、RG-ACE的应用管理，实现精确的上网行为控制功能。禁止学生通过城域网浏览色情网站？禁止学生在机房或电子阅览室玩网游？您能想到的，都能为您实现。用户身份与网络访问联动的URL记录,使网络管理人员随时了解用户的上网行为.定制化的显示记录,更多信息一目了然 有效的网络应用管理网络管理者要把好网络的脉搏，清楚网络的状况，就有必要在出口区域：1）对应用进行识别，能够看到具体的IM（即时通信）、P2P（BT、Edonkey等）、FTP等应用；2）掌控基于应用的和基于用户的流量，这样就能合理的分配资源、有计划的规划网络的发展。在队列管理方面，RG-WALL1600T充分借鉴了高端路由交换设备的队列管理结构，在物理接口上执行流控制管理。在分类上，RG-WALL1600T能够根据源MAC,TOS,数据包长,IP协议,源和目的IP地址,TCP标志(ACK,RST,SYN,FIN),TCP源和目的端口,VLAN标志,VLAN用户优先级等信息对数据流进行分类。RG-ACE应用控制引擎，能够识别IM、P2P的应用，同时基于其仅5ms延迟的能力，先天具备对流量进行管理的基础条件。让应用完全可视。您想了解城域网出口到底承载了哪些应用？这些应用如何分布？或者，您还想了解城域网的某个IP在访问哪些应用？城域网中某种应用到底有哪些用户在使用，用得怎么样,一切都能展现在您眼前!邵东县城域网全局安全网络解决方案城域网安全面临形势目前教育城域网面临的安全形势越来越严峻，对城域网的业务提出了极大的挑战：CMIS、一卡通、网上巡考、网报志愿、安全监控等关键应用中断影响巨大关键的网络应用比如数据中心、CMIS，高考巡查系统等，对网络的稳定和安全提出了越来越高的要求，一旦发生应用中断，将严重影响正常的管理和教学工作的开展，比如无法进行正常的学籍登陆、考试成绩填写、课程安排和志愿填报，安全监控将会中断而得不到及时的响应和处理。CMIS、一卡通、网报志愿、公文流转等系统中的关键信息安全一旦泄露将带来严重后果比如学生的学籍信息中所包含的家庭背景信息、学生和老师的家庭住址信息，学生的课业成绩和排名等隐私信息，在目前开放的城域网环境下，处理和存储这些信息的计算机、服务器和网络容易受到恶意攻击，而一旦这些信息被别有用心的人获取，将带来严重后果，比如曾发生过利用学生家庭信息进行绑架勒索，以及学生将服务器中的他人成绩信息盗出公布在网络上的情况。再如目前有的城域网建立了远程安防监控系统，每天对学生考勤进行记录，并通过“平安短信”通报给家长，如果该系统的终端或者服务器受到攻击，则家长可能无法正常接收平安短信，反而会带来大批家长的不安和询问，学生也可以通过入侵该系统，伪造考勤信息，造成系统无法正常发挥效益。国家重大活动敏感时期网络非法言论造成负面影响尤其是在比如高考、职考，教学评估和两会等重大活动期间，城域网内用户发表违法言论和访问非法网站等行为得不到有效控制和定位，出现问题难以追溯到个人，并会给整个教育城域网带来负面的影响。在出现紧急事件时的应急响应难以得到网络保证网络是一个连接城域网各个单位老师，学生的重要基础设施，本身可以作为应急响应的重要手段和平台，然而网络安全的问题将妨碍整个教育系统通过城域网对紧急事件的及时响应和重大事项的上传和下达恶意网络攻击难以及时定位解决学生和教工应用各种未经管理和许可的软件和互联网应用，由于现在恶意的木马和病毒的泛滥，非常容易造成学校校园网中病毒、攻击情况不时发生，这种校园网的安全问题也常有泛滥到城域网中，影响到整网的稳定，但同时又由于城域网用户的分散性让故障定位难以进行，加重了网络维护工作的负担为了解决上述的问题，从国内全局安全防控的实践来看，最有效的办法就是将对关键应用，用户，网络设备，安全设备，网络终端的管理统一考虑，整体规划，建设一个跨教育信息中心和各个校园网的整体安全防护体系，以自动化、分布式、智能化的监控和管理手段实现全面的安全防护和管理手段，达到标本兼治的效果。主要考虑以下几点：建设网络准入认证、终端管理和集中监控相结合的完整普教城域网安全管理体系通过分布式部署，本地管理与集中策略和信息管理相结合，适应普教城域网的行政管理特点和各学校业务需求通过园区安全保障子系统和集中策略管理、集中用户管理和集中监控相结合，实现全局的统一管理和本地网独立安全保障变被动的安全管理为主动的，持续的安全策略执行和监控，实现预防式的安全防控，并在出现安全问题时实现自动处理和修复通过图形管理和预置安全策略提升校园网普通管理人员的本地管理能力，通过自动网络监控和安全策略实现7*24小时不间断的网络和终端安全监控和管理兼容网络中现有的各种网络设备、终端类型和关键业务流程、关键应用邵东县全局安全网络解决方案统一身份策略管理中心（IPC）邵东县教育城域网辖内好几十所中小学，以往使用一套安全系统对整个教育城域网的校园网安全进行统一管理几乎是不可能的任务。现在，通过IPC提供的分布式管理技术，在确保教育城域网信息中心对用户和安全策略进行全局集中管理前提下，实现在各校结点进行分布式执行用户认证与安全策略，避免单点故障，减轻中心管理压力，也有效保障了整网安全可靠运行。在分布式管理模式下，结合整个邵东县城域网中的认证交换机和智能安全上网小助手，实现全网用户的安全认证上网，从而实现实名制网络。并能够集中制定统一的用户管理策略，和统一的安全管理策略，能够对下属各个学校的安全管理组件进行授权，能够统一收集和同步全网的用户身份信息。IPC作为邵东县教育城域网的安全管理中心，部署在区信息中心；各学校结点分别部署一套SMP组件，与信息中心的IPC实行基于IP层协议的松散联动。 系统功能介绍集中管理IPC作为邵东县教育城域网的安全管理核心，对下属所有校结点的SMP拥有管理权限，各校结点的用户信息、安全策略都由IPC统一制订，并下发到各校结点的SMP服务器执行。分布式部署面对普教城域网这种分支结点地域分散较广、物理距离较大的城域网络应用，在常规的单一管理中心的模式下，身份认证、安全策略执行都在中央结点进行，存在严重的性能瓶颈和单点故障问题。而在IPC的分布式部署模式下，用户身份认证、安全策略执行都在分支机构结点本地的SMP服务器上进行，中央仅履行统一监管以及关键策略的制订的职责，解决了性能瓶颈与单点故障的问题。独立授权普教城域网应用的另一个显著特点是大量的校结点用户与相对偏少的信息中心管理人员人数极度不成比例，很多区信息中心下辖近300所中小学结点，但信息管理人员只有3名，难以事无巨细的承担城域网整体运维的巨大工作量。在IPC支持的分布式管理模式下，通过对分支结点的SMP进行独立授权，有效的解决了这个问题。通常情况下，结点SMP的用户必须接受总部IPC的管理，无法进行用户、安全策略的修改、配置；但IPC管理员也可以通过对结点SMP服务器进行授权，将管理权限下放给分支SMP管理员，由学校的管理员来进行日常的用户与策略管理，中央仅进行必要的监管即可。通过集权与分治的结合，在保障中央对分支必要管理力度的同时，有效的减轻了中央的管理压力，也保障了分支机构的自由度。分时同步邵东县普教城域网下属的用户结点数量众多，即使是很小的日常管理流量的开销，汇集到中央结点也具有几何级数倍增的影响。而IPC与SMP之间的信息同步机制进行了专门的数据优化，两点之间无需建立实时的连接，只需定期进行小数据量的信息同步，对网络带宽与稳定性的要求不高，也避免了大量分支结点给总部造成的“管理流量泛洪攻击”的问题。安全管理组件（SMP）安全管理组件能够与区信息中心的IPC和SMC进行协同，实现本地的用户认证、用户管理和安全策略管理、安全策略下发。能够与学校一级的网络杀毒软件、补丁升级服务器、安全认证交换机、网络入侵检测系统、应用控制引擎联动构成一个整体的本地安全防护体系。可以实现24小时的安全策略执行和安全状态监控，能够确保对本地关键服务器（CMIS等）的合法访问，能够方便的查看本校的网络和终端安全状态，结合SU可以实现对终端用户的远程协助。从而帮助学校管理人员轻松的实现对ARP欺骗攻击的防护、实现对学校的杀毒软件安装和升级的管理、实现对全校操作系统补丁的管理、实现不间断的安全监控和系统修复、能够大幅度降低因为系统漏洞和病毒造成的维护工作量。通过用户本地认证实现用户实名制上网，避免网络中的匿名攻击、违法言论等行为。工作流程介绍系统功能介绍实名制身份认证SMP采用了基于802.1X协议和Radius协议的身份验证体系，通过与网络交换机的联动，实现了对于用户访问网络的身份的控制。SMP通过严格的6元素（IP、MAC、交换机IP、交换机端口、用户名、密码）绑定措施，确保接入用户身份的合法性。同时根据用户身份的不同，SMP还可以限制不同用户的不同访问权限，让用户在接入网络后，只能访问自己权限之内的服务器，网络区域等。提城域网整体稳固性在校园网的日常管理中，用户应用水平低，防范意识差是一个不可忽视的问题。常见的有：大量PC没有安装或没有正常运行杀毒软件，裸奔上路缺乏安全意识，Windows补丁从不更新，漏洞百出操作系统不设密码、使用不设防，成为病毒、木马热衷的温床用户数量众多，日常维护工作量和难度巨大由此带来的各种问题占用了管理人员的大量维护工作量，成天忙于处理杀毒、重装系统等大量耗时耗力也没有价值的工作，无法把精力投入到能够对教学产生帮助的常规工作中去。SMP系统通过和20余种杀毒软件联动，确保杀毒软件能够正确部署到校园网的每一台PC机上，并且保证其处于正常工作、正常更新的状态。通过与微软WSUS补丁更新系统的联动，可以实现对用户端Windows补丁的检测、下载、安装等操作，无需客户端参与，在后台自助自动的完成全部更新过程。SMP通过帮助管理人员保障用户PC的安全状态，大量减轻日常工作的负担。并且SMP能够通过与交换机联动实施安全隔离，确保不合规范的用户被隔离到安全区域进行自动修复，不会对正常用户带来潜在威胁。三重立体的ARP防御体系1）网关防御。实现过程如下：SMP通过用户的身份认证过程学习已通过认证的合法用户的IP-MAC对应关系SMP将用户的ARP信息通知相应网关网关生成对应用户的可信任ARP表项ARP防御的第一重——网关防御网关防御过程如下：攻击者冒充用户IP对网关进行欺骗真正的用户已经在网关的可信任ARP表项中，欺骗行为失败2）用户端防御用户端防御的实现方法如下：在SMP上设置网关的正确IP－MAC对应信息用户认证通过，SMP将网关的ARP信息下传至SUSU静态绑定网关的ARPARP防御的第二重——用户端防御用户端防御的实现过程如下：攻击者冒充网关欺骗合法用户用户已经静态绑定网关地址，欺骗攻击无效3）交换机非法报文过滤交换机非法报文过滤，是通过S21和29系列交换机的安全功能来实现的，具体实现方法如下：用户认证通过后，21交换机会在接入端口上绑定用户的IP－MAC对应信息。21对报文的源地址进行检查，对非法的攻击报文一律丢弃处理。该操作不占用交换机CPU资源，直接由端口芯片处理。ARP防御的第三重——交换机非法报文过滤交换机非法报文过滤实现过程如下：攻击者伪造源IP和MAC地址发起攻击报文不符合绑定规则，被交换机丢弃。通过以上的三重立体ARP防护方法，解决了ARP欺骗中的网关型欺骗，中间人欺骗以及ARP泛洪攻击，给我们的局域网带来更加干净的网络环境。严格的软件黑白名单控制校园网用户在工作/学习时间进行聊天、网游、炒股等与教学无关的行为，常规手段难以进行约束；虽然颁布了PC使用行为规范，但也苦于没有有效方法进行监督，难以做到令行禁止。在部署了SMP之后，可以通过SMP对校园网用户分组实施主机安全规则，基于用户身份对PC使用规定进行严格约束，有效确保教育城域网PC管理政策的实施，帮助规范PC使用行为，杜绝工作/学习时间炒股、游戏等违规行为，保障教育城域网络专网专用。通过对于软件的安装、进程的管理、后台服务以及注册表项的管理，GSN方便的实现了对于必备软件的强制安装、使用，违禁软件的禁用等功能，有效的保障了办公效率、网络带宽以及信息的安全。联动的网络通信防护体系通过SMP安全管理平台与RG-IDS入侵检测设备的联动，实现了对网络安全事件的检测、分析、处理一条龙的自助服务，辅以严格的身份验证，可以方便的将网络安全事件定位到人，自动通知和处理。在防御的同时，还能够对安全事件进行统计分析，为日后的安全报表做好准备。杜绝泛滥的U盘病毒U盘作为一种便利的文件传递工具，在校园网用户内部得到了广泛的应用，但同时也成为了大量病毒提供了传播的渠道。SMP通过两个途径解决U盘病毒泛滥的棘手问题。首先通过在全网制订统一的安全策略，禁止U盘等移动存储设备的自动运行功能，断绝U盘病毒最主要的传播渠道。其次，在病毒高发的时期，通过SMP集中向用户下发U盘病毒专杀工具，帮助用户直接有效的清理U盘病毒。流量和日志管理组件（eLOG）结合本地出口防火墙、应用控制引擎ACE和安全管理组件SMP等，可以实现对本地上网行为的日志记录和分析。从而满足公安部82号令的需求。实现基于身份的用户行为管理，结合认证实现本地用户的上网行为审计。智能安全上网软件（SU）智能安全上网软件SU由信息传输组件、资产管理组件、文件分发管理组件、远程协助工具、系统补丁管理组件、防毒软件管理组件、系统策略管理组件、分布式管理组件、自动升级管理器、身份认证组件等模块组成，除了提供基本的上网认证功能外，还能为校园网管理人员和用户提供双向的上网协助，提供双向实时消息交流手段、远程故障处理支持、文件分发支持，协助终端用户对杀毒软件和系统补丁进行及时科学的升级，结合安全交换机为终端用户提供对ARP欺骗和病毒的自动全面防护，管理员还可以针对各种新出现的安全问题和管理需求，制定统一的本地安全策略下发并执行。从而提高用户的上网安全性、出现的问题能够更方便及时地得到管理员解决，另一方面大幅降低管理员的管理和维护开销。校园网安全管理基础设施网络入侵检测系统（NIDS）网络入侵检测设备能够实时检测网络中的非法入侵和攻击，并将发现的安全事件实时通报给SMP，实现联动交换机和SU进行立体的安全防护。能够对非认证用户引起的安全威胁进行检测。能够联动SMP实现对关键服务器区域的实时防护，防止未授权用户访问关键服务区的应用和数据资源。应用控制引擎（ACE）应用控制引擎是基于上网应用流量深度包检测来实现应用流量分析和监测的设备，不但可以直观、图形化的查看到网络流量究竟是由哪些应用引起的，还能够对流量进行精细化的控制和管理，比如针对P2P应用进行限制和管理，比如保障网上巡考、安全监控等关键应用所必需的网络带宽等，能够进一步结合SMP实现基于用户身份的流量管理。安全认证交换机安全认证交换机通过其具备的802.1x认证、端口数据包安全检测、可信任ARP和与SMP配合实现自动执行安全策略的能力，为校园网安全提供实时的防护。应用效果分析RG-IDS以旁路工作模式部署在设备的镜像端口上。RG-IDS根据设定的规则对所有从核心设备镜像过来的数据包进行分析与过滤，从中检查出违反既定规则的数据包，并生成安全事件。随后将安全事件通过相关接口发送给RG-SMP。通过安全事件的学习功能，网络管理员能够清楚的了解当前网络的安全状况。如某段时间内，网络是否发生了新的安全事件，发生了多少次，最早发生时间和最近发生时间是什么时候。通过了解网络中当前发生的安全事件，网络管理员能够制定相应的策略来处理当前网络正在发生的问题，或者可能潜在的问题，作出相应的处理策略。如下发消息通知用户升级病毒库，下发修复程序（如某补丁或者病毒专杀工具）对发生安全事件的用户进行修复。当网络发生安全攻击时，RG-SMP可以针对此安全事件自动下发相应的策略，同时进行系统修复，如安装相应补丁、下发相应的警告信息等，以达到对已经发生的安全行为进行自动化的防御措施。SMP提供手动和定期自动生成安全事件报表的功能，可以对一段时间发生的安全事件进行汇总和统计，方便管理员的查看和分析。同时，RG-SMP还提供无人职守的功能，该功能会在管理员离线期间，自动处理网络安全事件，包括各种未知网络安全事件和未被设置为自动处理的网络安全事件，无需管理员进行手动干预，此功能是为了避免在无人职守时段网络入侵造成的威胁。SMP对安全事件的处理主要包括下发警告消息，下发修复程序，下发阻断或者隔离策略。根据不同等级的安全事件，网络管理员能够制定不同的处理方式。如针对安全等级较低，危害较小的攻击（如扫描），管理员只下发警告消息对用户进行警告。如果某些攻击是由于某些补丁未打，或者运行某些程序能够防止的。则可以下发修复程序给发生安全事件的用户，由用户进行修复。如果某安全事件危害很大（如蠕虫病毒），则可以下发阻断或者隔离策略，对发生该安全事件的用户进行隔离，或者阻断其攻击报文的发送，避免该蠕虫病毒在整个局域网中传播。GSN“多兵种协同作战”的全局安全设计，同时将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户PC、服务器等），成为一个全局化的网络安全综合体系。GSN不仅能够满足现阶段网络安全环境的需求，同时也为今后可能发生的安全威胁做出了准备。融合安全的数据中心解决方案数据中心概述教育城域网是整个基础教育信息化建设的重要基础设施，面对数据爆炸性的膨胀，城域网正面临前所未有的存储挑战。为了充分利用资源，减少重复投资，存储作为构成计算机系统的主要架构和电子商务的基础设施之一，不再仅是充当外围设备的角色，逐步从系统中独立出来，成为一个完整的系统。存储虚拟化、存储资源管理、数据迁移和灾难恢复等存储应用有了广阔的发展空间，这些功能的实现，又都离不开存储管理系统。城域网作为所有下属学校信息的汇集地，不仅仅是为了保存信息，而是要使用信息，为学校体现“数字化”的价值。虽然我国信息化程度与发达国家相比有不小的差距，但日益蓬勃的信息化建设，使得国内对存储的需求量迅速增长。随着教育城域网建设规模的扩展，用户原有意识中的数据备份已经无法满足关键业务对系统的可用性、实时性、安全性的需要。更重要的是备份的数据往往会因为各种因素而遭到毁坏，如地震、火灾、丢失等。如何保证数据中心的数据安全成为众多城域网建设中的一个严峻挑战。很多教委计划采购高性能服务器，建立数据中心，实现数据的集中管理；采用网络存储技术，建立一个安全、高效、优质的网络信息存储系统；在保护现有投资的基础上，实现数据的安全冗余和多级备份，保障城域网应用数据的安全可靠。邵东县数据中心需求分析目前，在基础教育信息化建设的浪潮中，几乎所有的城域网都在大力进行资源库建设，且具备了一定的数据存储能力，但是根据各自的情况不同，各个城域网的存储现状可谓是参差不齐，一般有以下几种情况：部分数据仍然采用直接存储在服务器本地硬盘上的方式，这种方式存在众多的问题：不同的数据存储在不同服务器的硬盘上，造成有些服务器硬盘空间已满，而有些服务器硬盘空间却闲置，存储空间的利用率极不均衡；由于服务器磁盘槽位有限，空间扩展比较困难；随着应用的不断丰富，访问量的增加，办公、教学、科研对网络的依赖，服务器的性能受到强烈的考验，最终将成为性能的瓶颈；部分服务器采用DAS存储架构，数据存放于直连的SCSI/FC盘阵中，存储空间扩展成本很高，不能实现多服务器共享存储空间，而且单台磁盘阵列往往就成了核心系统的一个单点故障点，一旦磁盘阵列发生故障，则整个系统将发生中断；部分服务器与磁盘阵列采用FCSAN/IPSAN存储区域网络架构，虽然具备本地的备份、恢复措施，但是不能应对自然灾难（比如：地震、雷击、水灾、火灾、海啸等）、基础设施灾难（比如：机房电力故障、磁盘阵列硬件故障等）和软灾难（比如：战争、蓄意破坏、严重的人为操作失误、系统软件BUG等）的中的任何一种，数据存在较大安全隐患，在灾难发生时无法保证对业务系统7*24小时的不间断访问；存在多种存储架构和设备共存的局面，利用率低，扩展性差，缺乏对存储的统一、集中式管理；邵东县数据中心解决方案 方案特点：提供全网IPSAN解决方案成本低、管理简易、扩展方便突破FCSAN的距离限制，消除SAN孤岛灵活扩展存储容量和前端应用服务器数量远距离、跨校区享受存储服务提供本地备份解决方案提供跨盘阵的卷镜像、快照、复制等功能确保数据安全轻松实现跨盘阵数据迁移、应用服务迁移保护用户投资可整合原有存储容灾功能不受存储设备型号限制License-free（服务器连接存储无License限制）提供远程灾备解决方案通过城域网的链路提供远程灾难备份恢复功能（GDR）确保数据安全可以在低带宽环境下实现远程数据灾备数据中心应用效果邵东县教育城域网运维管理解决方案问题解决思路 为了解决上述的问题，从国内全局安全防控的实践来看，最有效的办法就是将对关键应用，用户，网络设备，安全设备，网络终端的管理统一考虑，整体规划，建设一个跨教育信息中心和各个校园网的整体安全防护体系和管理体系，以自动化、分布式、智能化的监控和管理手段实现全面的安全防护和管理手段，达到标本兼治的效果。主要考虑以下几点：在系统设计中，面向城域网关键业务提供端到端统一管理视图和策略执行手段建设网络准入认证、终端管理和集中监控相结合的完整普教城域网运维管理体系通过分布式部署，本地管理与集中策略和信息管理相结合，适应普教城域网的行政管理特点和各学校业务需求通过园区安全保障子系统和集中策略管理、集中用户管理和集中监控相结合，实现全局的统一管理和本地网独立安全保障变被动的安全管理为主动的，持续的安全策略执行和监控，实现预防式的安全防控，并在出现安全问题时实现自动处理和修复通过图形管理和预置安全策略提升校园网普通管理人员的本地管理能力，通过自动网络监控和安全策略实现7*24小时不间断的网络和终端安全监控和管理兼容网络中现有的各种网络设备、终端类型和关键业务流程、关键应用系统建设总体目标本系统通过建设邵东县教育城域网安全管理系统实现下述的五大目标，将邵东县教育城域网建设成为一个具备整体安全防御和控制手段、有着先进的网络和系统管理维护能力、关键应用保障有力的全国示范城域网。 这五大建设目标是：实现全网关键应用的全局应用安全保障和实时监控打造一个实名制的，用户行为精细可控，安全问题可追溯的教育城域网实现数量众多、地理分散的校园网的自动化安全管理和监控，提高集中管理和监控能力降低病毒、网络攻击对网络安全稳定运行的影响极大降低终端安全管理和维护的工作量，降低成本，提高效率，解决大量中小学校园网的远程维护和管理难题实现全网统一的安全策略、上网帐号和权限管理，方便的进行集中的软硬件资产管理，为统计和决策提供依据系统建设原则为了确保以上建设目标的落实，系统整体建设上要本着投资保护，充分利