《海南省教育城域网建设指南》征

DOCPROPERTYDocumentVersion01DOCPROPERTYProprietaryDeclaration版权所有©华为技术有限公司为深入贯彻《教育部等六部门关于推进教育信息基础设施建设构建高质量教育支撑体系的指导意见》《海南省推进国家中小学智慧教育平台深化应用行动计划》等文件精神，推动各市县高标准、高效率建成泛在互联、绿色安全的海南省教育城域网，深化应用国家中小学智慧教育平台,全面整合各级优质教育资源，全方位多场景实现智能助力，强化全域全员全流程应用，着力建设海南全域智慧教育示范区，助力海南自由贸易港建设，特制定本建设指南。海南省教育城域网总体概述海南省教育城域网（下简称教育城域网）是由海南省教育厅统一规划部署及管理，连接全省各类学校和各级教育机构，为全体师生和教育工作者提供“高速、便捷、绿色、安全”服务的教育行业专用网络。教育城域网面向教育行业提供网络服务，支撑教育行业的网络应用。教育城域网根据安全策略与互联网连接，可独立于公众互联网运行。教育城域网架构图1海南省教育城域网体系架构教育城域网由省级核心节点、市县教育城域网和校园网三级架构。省级核心节点向上连接中国教育和科研计算机网，向下连接市县教育城域网枢纽节点，同时高速连接省政务外网、省直属教育机构、省直属中学、高校和公众互联网。市县教育城域网在教育城域网中起到承上启下的作用，向上连接城域网省级核心节点，横向连接公众互联网，向下连接市县教育机构和学校，确保学校信息终端快速安全访问教育城域网业务及资源。校园网是指在学校范围内，以光纤、WiFi等新一代信息技术为基础连接多媒体教室、计算机教室、实验室、功能教室、办公室等各功能区域信息终端的基础承载网络，用以支撑各类终端接入和信息服务。教育城域网建设目标教育城域网的建设旨在实现教育主管部门、学校、其他教育机构之间高速互联，为各种教育教学数字化应用提供高带宽、高效率、安全、稳定的网络支撑。（1）大带宽接入保障为学校班级提供大带宽的网络接入能力，提供线上点播直播高清视频课堂等业务，提升学校各类多媒体设施设备的利用率,实现智慧教育等新兴数字化教学手段。（2）多个业务专用网络教育城域网主要是一个传输网络，承载多个功能网络。包含互联网服务、同步课堂和视频监控等网络。实现各网络隔离专网专用，根据用户属性配置对应业务的访问权限。（3）网络安全审计学校需要对师生的上网行为进行监控和管理，屏蔽游戏、色情、购物等和学习无关的网络访问业务，加强教育城域网的信息安全管理能力，及时响应并快速处理各类安全问题。具备对各类安全事件的感知、管控、通报及监督的能力，满足公安部《互联网安全保护技术措施规定》《公安机关互联网安全监督检查规定》等规定对于用户统一认证和安全审计的标准。（4）统一运维管理教育城域网提供统一的可视化网络运营管理平台，融合先进的智慧运维手段及运营商服务方式。有效应对市县及学校层面普遍存在的挑战——即因专业网络运维人员不足，导致网络故障响应迟缓、修复不及时的问题，保障网络应用的持续稳定运行，为教育数字化的顺畅推进奠定坚实基础。教育城域网功能描述教育城域网具有带宽大、速度快、延迟小等特点，可为高带宽教育教学应用提供高质量的网络支持，支撑全省教育各类业务访问，包含中国教育和科研计算机网（CERNET）业务、政务外网业务、国家智慧教育公共服务平台业务、各类教育服务业务、教育行业内部各类管理业务、校园安全视频汇聚业务、考务应急指挥业务、教育视频会议业务、同步课堂业务、办公互联网访访问业务等。IP地址和域名规划根据《教育部办公厅关于贯彻落实<推进互联网协议第六版（IPv6）规模部署行动计划>的通知》（教技厅〔2018〕3号）要求，教育城域网建设过程，IP地址采用IPv4/IPv6双栈覆盖方式，由省级统一负责地址分配。各级各类教育机构统一使用域名，由省级统一负责域名申请及分配管理。（1）IP地址规划原则教育城域网全面支持IPv6部署和应用，支持IPv6和IPv4双栈协议。教育网IPv6使用教科网（CRENET）IPv6地址，由省教育厅统一规划分配。教育城域网包含多个业务网络，各业务网络由相应管理部门统一规划分配自主的IPv6/IPv4地址，并明确各级的网络边界。各业务网络由省级核心节点制定统一的安全访问策略。（2）域名规划原则根据《互联网信息服务管理办法》《中国互联网络域名管理办法》《中国教育和科研计算机网EDU.CN网络域名注册办法》的要求，按行政区域编制教育城域网的域名规划。各市县教育行政部门申请注册一级域名，所辖学校申请注册一级域名下的二级域名。例如：海口市第九中学为“”。（3）IPv4/v6双栈改造教育城域网采用IPv4/IPv6双栈改造策略，依托IPv6云网关技术，实现已有业务向IPv6的无缝迁移与平滑过渡，构建一个既兼容IPv4又支持IPv6的云网关环境，使得系统能够同时处理来自IPv4和IPv6用户的访问请求，确保所有用户都能顺畅访问所需资源。教育城域网网络安全构建安全可靠的网络与信息化环境，确保所有发布的信息内容合法合规，是遵循《网络安全法》对信息服务提供者的核心要求。打造一个全方位、多层次的网络安全防护体系，以应对日益复杂的网络威胁。（1）网络安全等级要求严格执行国家网络安全等级保护制度，确保省级核心节点的网络安全等级达到三级标准，市县教育城域网达到二级安全要求，全面提升各级网络的安全防护能力。（2）安全防护对象安全防护范围广泛，包括但不限于基础网络架构、云计算平台及系统、大数据应用平台与资源、教育系统官方网站、各类业务信息系统、个人计算机系统、个人移动终端设备、智能化管理系统，以及采用移动互联技术的各类系统等，实现安全防护的无死角覆盖。（3）网络安全建设要求在省级核心节点部署先进的安全能力平台，集成多种安全技术和策略，为全省教育网络提供强大的安全支撑。市县教育城域网出口处，部署专业的安全设备，抵御来自外部的网络攻击。在校园网内部，为所有教学终端统一安装高效的安全软件，形成内外兼修的安全防护网。通过智能的情报关联分析，实现安全策略的统一部署与快速响应，有效阻断各类网络攻击。结合上网行为审计与安全态势感知技术，实时监测并预警潜在安全风险，为学校的网络安全保驾护航。构建全省教育安全驾驶舱，提供包括访问控制、上网审计、抗DDoS攻击、网站安全防护、以及安全事件主动上报与溯源到终端等全方位的安全服务。（4）网络节点运行监测要求建立完善的网络监控体系，实时接收并分析网络关键设备的运行日志及安全情报，利用大数据分析技术，及时发现并应对网络异常状况，确保整体网络的健康稳定运行。同时，快速感知并响应网络安全事件，为教育系统的持续、安全、高效运行提供坚实保障。省级核心节点建设省级核心节点定义教育城域网省级核心节点是教育城域网的中枢神经，向上无缝对接中国教育和科研计算机网，向下紧密连接市县教育城域节点，同时高速连接省政务外网、省直属教育机构、省直属中学、高校和公众互联网，形成覆盖全省的教育信息高速公路。网络架构如下图所示：图2教育城域省级核心节点体系架构省级核心节点建设目标省级核心节点的建设旨在打造教育城域网的坚实基石与核心驱动力，通过高标准的规划与部署，建成一个集高效、安全、稳定、可靠于一体的教育城域网核心，为教育信息化的发展提供强有力的支撑与保障。（1）构建高效核心枢纽：作为城域网的核心，省级核心节点将承担起数据高效流转与交换的重任，确保教育信息在各级网络间的无缝衔接与快速响应，为教育资源的广泛共享与高效利用奠定坚实基础。（2）部署统一认证体系：省级核心节点部署先进的统一认证平台，实现用户身份的统一管理与认证，提升网络访问的安全性与合规性，确保网络安全与数据保护，为教育环境的健康发展保驾护航。（3）强化网络管理能力：通过部署高效的网络管理平台，省级核心节点将实现对整个教育城域网的集中监控、配置与故障排查，提升网络运维的智能化与自动化水平，确保网络的稳定可靠运行。（4）构建全方位安全体系：省级核心节点构建包括防火墙、入侵检测、数据加密等在内的全方位安全平台，有效抵御各类网络安全威胁，保障教育数据的安全传输与存储，夯实教育城域网运行的安全基石。（5）追求卓越性能表现：省级核心节点致力于实现网络的快速、稳定与可靠。通过采用先进的网络设备、优化网络架构与传输协议，确保教育信息传输的高效性与稳定性，为师生提供卓越的在线学习体验。省级核心节点网络安全省级核心节点的网络安全标准提升至三级防护水平，以应对网络威胁。核心节点全面部署安全能力平台，与市县教育城域网出口的安全设备紧密联动，深度集成至校园网教育教学信息终端的安全体系，形成全方位、多层次的防护网。通过情报关联分析技术，实时洞察网络环境中的潜在威胁，结合统一策略的下发机制，迅速阻断各类网络攻击，有效遏制安全事件的发生。通过上网行为审计功能，确保网络活动的合规性与可追溯性，为网络安全管理提供有力支持。构建安全态势感知系统，通过实时收集、分析网络流量与安全事件数据，形成全省教育网络安全的“驾驶舱”，提供直观、全面的安全态势视图，助力精准施策。省级核心节点的端口均采用10G/40G/100G高速以太网口，确保数据传输的高效性与稳定性。同时，配置安全防护设备，实现边界的严格管控与威胁的有效拦截，为省级核心节点的安全稳定运行筑起坚实的防线。5G双域城域网构建策略部署5G双域城域网，实现5G教育城域网与教育城域网无缝融合。在教育城域网的省级核心节点机房规划并部署专属的用户平面功能（UPF）单元，或灵活利用服务商提供的共享UPF资源。确保教育用户在完成专用数据网络名称（DNN）签约后，能够接入至专为教育定制的UPF，实现5G终端在全省乃至更广范围内的自由切换，无缝访问教育城域网资源及互联网内容。整合5G切片专线产品，借助VPDN等安全组网能力和UPF分流加速能力，满足不同行业对业务不同的高可靠和安全性的诉求。市县教育城域网建设市县教育城域网定义市县教育城域网是在市、县级行政区域范围内建设的教育专用网络，由市县教育城域网枢纽节点与辖区学校校园网及其他教育机构局域网等连接构成。各市县（区）教育城域网枢纽节点向上连接教育城域网省级核心节点，横向连接公众互联网，向下连接辖区学校校园网，建设内容必须全面支持IPv6。市县级教育城域网架构见图。图3市县级教育城域网架构市县教育城域网建设模式通过购买运营商服务方式建设市县教育城域网，采用云计算等新技术，降低投入与运维成本。建设内容包括城域网枢纽节点、传输网络、校园网络等。教育城域网枢纽节点由运营商提供场地及网络、安全、服务器、存储等设施和设备；传输网络由运营商提供通信信道（OTN），向上通过高带宽10G/40G/100G以太网接口链路，实现与教育城域网省级核心节点的无缝对接，横向采用多出口策略连接互联网，有效实现负载分担；校园网络采用光纤进班方式接入各类信息终端，确保每个终端接入的并行带宽不低于100Mbps。市县教育城域网业务功能描述市县教育城域网具有带宽大、速度快、延迟小等特点，可为高带宽教育教学应用提供高质量的网络支持，如国家中小学智慧教育平台和海南省智慧教育平台资源访问、同步专递课堂教学、在线直播教学、师资视频培训、教育视频会议、远程实时监控等应用，为网上办公、学籍管理、教师管理、招生考试管理、财务管理、智慧校园管理系统、教育装备管理等系统提供安全可靠的网络市县教育城域网安全规则市县教育城域网的建设应符合GB/T22240-2020的等保要求，需达到安全定级的二级标准。城域网出口部署10G安全审计、安全防护设备，作为互联网出口和教育城域网边界安全的设备，要实现对教育城域网和互联网流量的安全审计、安全告警、安全事件溯源。（1）流量监控与威胁管理引入流量监控技术，精准识别并拦截恶意软件、钓鱼网站及矿池地址等安全威胁，同时对上网行为进行细致审计，确保对潜在安全风险的及时发现与有效管控。集成威胁感知系统，敏锐捕捉并深入分析新型网络攻击行为，实现快速响应与高效处置。（2）全量日志采集与分析借助网络全协议识别与还原技术，结合网络行为知识库，实现对城域网内安全防护网关、审计网关等关键节点的全流量采集。确保网络流量与事件的全面记录，为网络安全行为与事件检测、深度分析、快速发现及有效追溯提供坚实的数据基础。（3）网络信息推送与共享建立信息推送机制，实时将关键网络设备的运行日志及相关安全情报传输至教育城域网省级核心节点的安全平台，实现安全信息的即时共享与协同处理，进一步提升整体安全防护水平。（4）网络边界安全与管理市县教育城域网出口处部署防火墙系统，实施访问控制与边界隔离策略。根据业务需求动态调整安全控制策略，定期进行策略优化与维护，确保网络边界的安全稳固。市县教育城域网服务质量要求运营商成立教育城域网运维小组，负责区域网络的日常运维及应急处置。通过QoS对教育教学业务流量提供带宽保证机制，保证网络服务质量，避免网络拥塞并在时延、抖动和减少数据包丢失方面进行控制。市县教育城域网枢纽节点部署QoS监测服务器，实时分析网络流量情况，定期生成QoS监测报告，有效监测每条传输线路，当链路达到70%负载，且持续2小时，应在当前带宽基础上提升30%，保证网络服务质量。校园网建设校园网定义校园网是在学校区域范围内，以计算机网络技术为基础，以光纤、双绞线、WiFi为传输方式，将学校各类信息终端连接起来，形成高带宽的学校多媒体通讯网络。校园网向上连接市县（区）教育城域网枢纽节点，向下连接教学场所，为校园内所有终端提供快速、稳定、安全、绿色的网络接入服务。校园网功能