一、教育城域網(wǎng)面臨的問題

  關(guān)于教育城域網(wǎng)建設(shè)，已經(jīng)不是一時(shí)之需。早在“十二五”期間，教育部就針對(duì)全國(guó)的教育事業(yè)發(fā)展，提出了“三通兩平臺(tái)”的戰(zhàn)略方針。“三通兩平臺(tái)”方案在實(shí)際實(shí)施過程中面臨種種困難，尤其在全國(guó)教育資源分布差異化嚴(yán)重的情況下，教育資源難共享以及統(tǒng)一管理難審計(jì)成為了大問題。

  二、“三通兩平臺(tái)”中心思想

  1、寬帶網(wǎng)絡(luò)校校通

  目標(biāo)是解決各級(jí)各類學(xué)校寬帶接入問題，本質(zhì)是信息化的硬環(huán)境建設(shè)。

  2、資源班班通

  目標(biāo)是形成豐富的各級(jí)各類教學(xué)資源，并且將這些資源送到每一個(gè)班級(jí)，在教學(xué)、學(xué)習(xí)過程中得到普遍使用。

  3、網(wǎng)絡(luò)學(xué)習(xí)空間人人通

  網(wǎng)絡(luò)空間就是學(xué)生和教師有一個(gè)基本的學(xué)習(xí)空間，可以自主學(xué)習(xí)，也可以互動(dòng)學(xué)習(xí)。

  4、教育資源公共服務(wù)平臺(tái)

  教育資源平臺(tái)是一個(gè)整合了學(xué)生學(xué)習(xí)資源、教師教學(xué)資源的資源云服務(wù)平臺(tái)，為了達(dá)到資源互通、優(yōu)勢(shì)互補(bǔ)的目的而建立。

  5、教育管理公共服務(wù)平臺(tái)

  教育管理平臺(tái)即目前學(xué)校中規(guī)模使用的信息化平臺(tái)，一般包括：辦公、門戶、教務(wù)等業(yè)務(wù)的整合，也在一定程度上有資源共享的作用。

  三、資源共享SD-WAN互聯(lián)解決方案

  目前，教育資源分配不均衡也已經(jīng)成為了需要解決的重點(diǎn)問題之一，在一、二線城市的學(xué)?？梢韵硎艿慕虒W(xué)服務(wù)，而在低一級(jí)的城市或是偏遠(yuǎn)地區(qū)，教育資源十分匱乏。目前派網(wǎng)針對(duì)“校校通”的實(shí)際需求，提出了適合部署的解決方案。

  該方案重要的特點(diǎn)為：能夠?qū)崿F(xiàn)偏遠(yuǎn)地區(qū)學(xué)校沒有專線只有ADSL的情況下，使該學(xué)校與省教育云進(jìn)行對(duì)接。與此同時(shí)，所有學(xué)校都可以通過省教育云進(jìn)行互通，這樣對(duì)于偏遠(yuǎn)的學(xué)校而言，可以通過SD-WAN的方式訪問具備教學(xué)資源的學(xué)校，實(shí)現(xiàn)教育資源的共享。

  派網(wǎng)通過SD-WAN的方式，將所有學(xué)校與省教育云進(jìn)行互聯(lián)，在互聯(lián)過程中，派網(wǎng)使用了自主研發(fā)的隧道協(xié)議iWAN。 

  相比較以前的VPN，iWAN優(yōu)勢(shì)明顯：

  1) 重連速度很快：比L2TP的要快一個(gè)數(shù)量級(jí)，L2TP要重連，需要有幾十次交互，而iWAN只需要一次即可。

  2) 客戶端不受底層承載線路IP變化影響：當(dāng)?shù)讓映休d線路(比如PPPOE撥號(hào)線路)的IP地址發(fā)生變化時(shí)，不會(huì)影響iWAN隧道，iWAN隧道不會(huì)中斷，保證通信正常進(jìn)行;因?yàn)楹芏嘤脩羰峭ㄟ^PPPOE撥號(hào)線路出去的，PPPOE撥號(hào)線路重?fù)軙r(shí)一般會(huì)改變IP地址，如果用L2TP的話，那么這個(gè)L2TP會(huì)話就要重建;而用iWAN的話，現(xiàn)有的會(huì)話可以照常使用，不需要做任何改變;

  3) 傳輸效率高：iWAN的包頭很小，只有8個(gè)字節(jié)，而且在后續(xù)版本里，我們會(huì)壓縮IP報(bào)文頭，這樣可以繼續(xù)減少額外報(bào)文頭的大小，所以能大幅度提升傳輸效率;

  4) 抗干擾：不像L2TP，中間人可以直接發(fā)包TERMINATE，iWAN控制命令有完整性檢查，可以避免中間人攻擊。

  不僅如此，Panabit還可以區(qū)分SD-WAN中每條業(yè)務(wù)的“客戶側(cè)時(shí)延”、“服務(wù)響應(yīng)時(shí)延”和“應(yīng)用時(shí)延”。

  客戶時(shí)延：指客戶內(nèi)網(wǎng)到Panabit的時(shí)延;如果此時(shí)延大，基本可以將問題定位在內(nèi)網(wǎng)中毒或者內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備故障等問題。

  服務(wù)時(shí)延：指業(yè)務(wù)經(jīng)過Panabit，從服務(wù)器上返回的時(shí)延;如果此時(shí)延過大，而服務(wù)時(shí)延很小，則說(shuō)明是運(yùn)營(yíng)商網(wǎng)絡(luò)側(cè)出現(xiàn)問題。

  應(yīng)用時(shí)延：指業(yè)務(wù)在服務(wù)器上停留和響應(yīng)的時(shí)延;如果此時(shí)延過大，則說(shuō)明提供業(yè)務(wù)的服務(wù)器負(fù)載或者故障等問題。

  對(duì)于大部分中小學(xué)來(lái)說(shuō)，并沒有專業(yè)的網(wǎng)絡(luò)維護(hù)人員，通過NPM功能，能夠快速的幫助用戶判斷故障范圍，讓問題定位更有針對(duì)性，更有效率。

  四、統(tǒng)一管理等保2.0審計(jì)解決方案

  對(duì)于教育省網(wǎng)來(lái)說(shuō)，重要的一點(diǎn)就是實(shí)現(xiàn)對(duì)全省所有學(xué)校的統(tǒng)一管理。我們通過在教育云平臺(tái)部署Panabit+Panalog，可實(shí)現(xiàn)對(duì)所轄區(qū)域范圍內(nèi)的所有學(xué)校的分析和管理。

  Panabit云平臺(tái)優(yōu)勢(shì)

  1、通過Panabit云平臺(tái)，可管理2000臺(tái)以上的校園的綜合網(wǎng)關(guān)設(shè)備，且在同一界面中實(shí)現(xiàn)。市級(jí)監(jiān)控平臺(tái)可以直接登錄至各學(xué)校出口網(wǎng)關(guān)Panabit上，進(jìn)行針對(duì)性的行為管理，達(dá)到對(duì)每一個(gè)學(xué)校網(wǎng)絡(luò)的控制;

  2、通過Panabit云平臺(tái)，可以對(duì)管理的綜合網(wǎng)關(guān)設(shè)備進(jìn)行統(tǒng)一的升級(jí)、策略分發(fā)等;

  3、通過Panabit云平臺(tái)，可以在地圖上顯示所有設(shè)備實(shí)時(shí)的網(wǎng)絡(luò)健康狀況圖，并用顏色來(lái)區(qū)分健康狀態(tài)，對(duì)所有在網(wǎng)設(shè)備的狀態(tài)一覽無(wú)余;

  4、Panabit云平臺(tái)支撐基于角色的用戶管理：可根據(jù)管理員角色設(shè)定平臺(tái)系統(tǒng)的管理權(quán)限，如市級(jí)管理員、校級(jí)管理員等;

  5、Panabit云平臺(tái)支持基于設(shè)備的權(quán)限管理：主管理員可為其他管理員創(chuàng)建可管理的設(shè)備分組，每個(gè)管理員可管理所屬域內(nèi)的設(shè)備，避免權(quán)限擴(kuò)散帶來(lái)的安全隱患;

  6、通過Panabit云平臺(tái)，不僅可以看到整體的網(wǎng)絡(luò)流量狀態(tài)、構(gòu)成情況，還可以精確定位至具體的每個(gè)用戶的IP，以及該IP下所登錄使用的賬號(hào)的具體行為信息、身份信息。實(shí)現(xiàn)教育行業(yè)的智能監(jiān)控、分析，為管理提供有效數(shù)據(jù)支撐。

  安全審計(jì)背景

  《網(wǎng)絡(luò)安全法》

  第二十四條 網(wǎng)絡(luò)運(yùn)營(yíng)者為用戶網(wǎng)絡(luò)接入提供服務(wù)時(shí)，要求用戶提供真實(shí)身份信息。

  第二十一條 采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施。

  第二十一條 按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

  《等級(jí)保護(hù)2.0》

  應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有獨(dú)一性，鑒別信息具有復(fù)雜度，應(yīng)強(qiáng)制用戶初次登錄時(shí)進(jìn)行身份鑒別;

  在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì);

  應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析;

  應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊，特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析。

  1.各中小學(xué)部署一套Panabit網(wǎng)關(guān)

  每個(gè)中小學(xué)部署一套Panabit網(wǎng)關(guān)，實(shí)現(xiàn)上網(wǎng)認(rèn)證、路由、NAT、流控、防火墻、上網(wǎng)行為管理、日志審計(jì)等功能;

  2. 在教委部署一套Panabit RAAS

  ★ 每個(gè)中小學(xué)有管理員，可對(duì)自己的終端使用者進(jìn)行賬號(hào)配置與管理;

  ★ 可配置超級(jí)管理權(quán)限，對(duì)所有接入單位的終端使用者賬號(hào)進(jìn)行管理;

  ★ 通過Panabit RAAS可以解決不同中小學(xué)內(nèi)網(wǎng)IP地址一致問題。

  3. 在教委部署一套/多套 Panalog

  ★ 進(jìn)行集中的日志收集和存儲(chǔ)，進(jìn)行上網(wǎng)數(shù)據(jù)審計(jì)、形成網(wǎng)絡(luò)訪問大數(shù)據(jù)分析;

  ★ 形成網(wǎng)絡(luò)運(yùn)營(yíng)態(tài)勢(shì)感知系統(tǒng)，實(shí)現(xiàn)對(duì)未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析。