高校高职行业智慧校园解决方案课件

高校高职行业智慧校园解决方案高校高职行业智慧校园解决方案1教育行业需求索引高校/高职云计算数据中心建设网络安全/云计算实训教室等级保护（高校）AC行为感知PC替换（主要推学生机房、电子阅览室、教师办公、多媒体教室）普教教育城域网（教育局）/教育局自有云平台建设重点的中小学数字化校园云课堂校园无线覆盖黄色的是在未来需要长期关注的重点需求！教育行业需求索引高校/高职黄色的是在未来需要长期关注的重点需2高校高职行业高校高职行业3高校及高职-整体建设架构教育网/互联网出口安全区AF高性能业务高可靠业务低负载业务AFAF安全资源池桌面资源池存储及本地灾备区核心管理区vAFCoreCorevAFvAFvADvADvADvSSLvSSLvAC安全服务平台IP SANServer SANNASFC SAN FC SAN FC SANSATA ArraySATA Array生产卷灾备卷灾备卷云计算管理平台网络管理存储管理虚拟化管理堡垒机虚拟桌面控制器用户文件模板虚机用户文件用户文件用户文件用户桌面教育网安全接入平台认证服务器授权服务器网关管理服务器VPN 网关RRAF安全资源池AF接入区校园网访问远程用户访问外网用户访问高校云数据中心机房生产卷互联网业务分校区区域内其他高校核心业务区管理区数据区桌面资源池外联业务区出口区分为核心区，互联网出口，数据中心，运维管理区，桌面云资源池，安全资源池，以及道银行等的外连业务区我们重点关注的应该是标注颜色的这些区域高校及高职-整体建设架构教育网/互联网出口安全区AF高性能业4高校高职行业云计算数据中心高校高职行业云计算数据中心5高校及高职-云计算数据中心建设云计算数据中心建设“十三五”当中明确要进行云计算数据中心建设。但是目前，甘肃区域的高校和高职，还很少有用户能够建设起来真正的云计算数据中心，所以，大多数项目，都是以云计算数据中心的名义，在做底层的IAAS，也就是我们讲的数据中心的虚拟化。这种场景，我们主推超融合数据中心建设方案。超融合数据中心优势总结方案优势：1、数据中心全虚拟化，在硬件投资上，相比传统方案更加精简，成本优势明显。2、精简大量硬件设备的同时，节省了机房空间占用，同时硬件的运维工作大量减少。3、全WEB界面配置，网络架构灵活调整，“所画即所得”。4、数据中心服务器资源利用率高，未来扩容，只需要横向的增加服务器，就可以实现计算，存储，安全资源池同时扩容，无业务停机，简单便捷。5、未来用户需要建设真正的私有云的时候，可以依托于超融合的平台，平滑升级至私有云平台。高校及高职-云计算数据中心建设云计算数据中心建设6高校及高职-超融合数据中心建设方案超融合数据中心建设思路1、只需要部署服务器+交换机。额外购买超融合软件。2、网络建设的各种组件（二层交换机，三层交换机，网络安全设备等都软件化了），以虚拟机的形态运行在服务器平台上。3、通过不同的交换机搭建不同的私网：存储私网，数据通信网，集群管理网。每张网络的作用不同，将不同功能的流量合理规划开，互相不影响。1.集群管理网络：集群间心跳、管理、虚拟机克隆、迁移、备份都是通过集群管理网络来传输数据。（复用业务网络，图里未体现）2.存储通信网络：存储数据通信，全部的写磁盘数据及部分读磁盘数据要通过此网络传输。（不做存储虚拟化，利旧用户外置存储的话，可以不配置）3.数据通信（vxlan）网络：东西向流量传输。它在跟外部通信时，通过vxlan网络，再转到虚拟路由器或物理出口。（不做网络虚拟化可以不配置）高校及高职-超融合数据中心建设方案超融合数据中心建设思路1.7高校及高职-建设方案成本对比VSVSVSVS超融合传统架构超融合配置清单超融合配置清单名称数量备注说明交换机交换机2存储私网交换机，二层普通二层普通的以太网交换机即可，建议万兆存储虚拟化必配交换机交换机2数据通信网交换机，三层普通三层普通的以太网交换机即可，一般选择千兆网络虚拟化必配磁盘磁盘若干虚拟化软件若干服务器若干配置普通的千兆和万兆以太网卡传统配置清单传统配置清单名称数量备注说明FC交换机交换机2光纤交换机光纤交换机存储控制器存储控制器1-2建议双控磁盘阵列磁盘阵列1按用户容量来配虚拟化软件若干服务器若干需配置需配置HBA卡卡高校及高职-建设方案成本对比VS超融合传统架构超融合配置清单8所画即所得的数据中心高校及高职-建设方案运维对比所画即所得的数据中心高校及高职-建设方案运维对比9高校及高职-后期扩容方式对比传统方案扩容1、需要根据用户不同的需求，选择不同的扩容方式。计算资源不足（CPU，内存），需要扩容服务器。存储资源不足，需要购买所选存储厂商的磁盘，价格高。磁盘阵列插满的话，还需要购买新的磁盘阵列。对操作技能要求高，非专业人士无法完成，同时价格也更高。硬件安全设备性能不足，由于硬件不能升级，所以传统方案只能对安全设备进行淘汰，重新购买新的高性能硬件设备，资源浪费严重超融合扩容1、增加服务器可以同时对计算资源（CPU，内存），存储资源（插新的磁盘）进行扩容，所以只横向加服务器。2、安全设备性能不足，直接序列号升级。也不用考虑光电口问题。VSVSVSVS更简单更简单更简单更简单高校及高职-后期扩容方式对比传统方案扩容超融合扩容VS更简单10高校及高职-升级私有云职责：云平台整体资源的分配、运营、流程审批、计量策略等云运营管理员职责：云数据中心基础设施运维云数据中心硬件设备管理云运维管理员职责：租户资源的申请及使用业务拓扑的构建及变更业务安全策略的定义业务备份策略的定义租户云资源的维护租户管理员职责：使用云资源最终用户租户1租户2租户3租户4部门1部门2部门3部门1部门2部门3云管理员升级成私有云1、分级分权（系统和租户管理员，系统管理员可设置资源权限）。2、独自管理（部门管理员在资源权限下可以自主进行管理）。3、部门隔离（部门间独立管理并安全隔离，可延伸至项目管理）。高校及高职-升级私有云职责：云运营管理员职责：云运维管理员职11主机资源存储资源低配VM高配VM标配VMvDSwitchvRouter/vDRouter网络资源（2-4层）防火墙（4-7层）入门级标准级进阶级专家级vDFW桌面资源Windows 7负载均衡（4-7层）入门级标准级进阶级专家级存储资源服务计算资源服务网络及桌面资源服务安全资源服务最终用户资源申请资源审批租户管理员平台管理员配额申请配额审批Windows 10数据库资源备份资源OracleSQLServerMySQL高校及高职-升级私有云通过资源申请的方式，申请所需的计算，安全，桌面存储等资源。主机资源存储资源低配VM高配VM标配VMvDSwitchvR12高校及高职-实施案例甘肃省农业职业技术学院目前仅用2台高性能服务器就完成超融合部署，共承载包括老业务和新业务在内的总共11个系统。采用分布式存储方案，由这两台服务器构建了虚拟存储池，数据以双副本的方式，分别保存在两台服务器的磁盘上，保障数据的高可用性，即便其中一台服务器完全DOWN机，也不会造成数据丢失。开通了网络虚拟化功能，搭建出业务实际需求的虚拟网络，包括虚拟交换机、虚拟服务器、虚拟防火墙等等虚拟网络设备。综合考虑了数据中心的安全性需求，在数据中心出口部署了下一代防火墙，对用户访问数据中心的南北向流量进行过滤；同时超融合平台可以部署软件形态的虚拟防火墙，实现虚拟机和超融合平台之间，虚拟机和虚拟机之间的东西向安全防护。高校及高职-实施案例甘肃省农业职业技术学院目前仅用2台高性能13高校及高职-实施案例高校及高职-实施案例14高校高职行业网络安全/云计算实训室高校高职行业网络安全/云计算实训室15高校及高职-实训教室1、教育信息化“十三五”规划，首次提出加强安全学科建设与人才培养；2、中央网络安全与信息化办公室20164号文件，联合国家发改委、教育部、科技部、工信部、人社部发文鼓励企业深度参与高校信息安全人才培养，从教材编写、实验室建设等多个环节与高校合作；高校及高职-实训教室1、教育信息化“十三五”规划，首次提出加163、市场需求：随着国家对信息安全的重视，网络安全已经上升到国家战略高度，网络安全建设也逐步成为基础网络部分必须建设的内容，对专业的安全规划、建设、运维人才的需求也逐年增长，截止到2010年，信息安全行业的就业需求将以年均14%的速度递增。2012年，信息安全行业的就业总人数由目前的160万上升到300万，截止到2015年底，信息安全需求人数还在持续上涨。同时，随着业务应用的快速发展，数据量的爆炸式增长，云计算和虚拟化等技术的应用也越来越普及。从2010到2015年，国内云计算产业以60%的速度进行增长，包括十二五及十三五规划中很多都提到了对于国家云计算产业的发展扶持和专项资金。云计算环境，新型云安全人才更是匮乏，成为人才市场的紧俏。IDC预测，未来三年云计算相关的工作需求每年将会以26%的速度增长。2012年大约有170万云计算相关的工作岗位空缺，截止到2015年约有700万云计算相关的岗位空缺。求职者普遍缺乏在云计算方面的培训，资质以及经验。高校及高职-实训教室3、市场需求：高校及高职-实训教室174、教育现状：p1）、信息安全与云计算的实训教学是近年来高校面临的新课题，尤其是职业教育和应用型本科；p2）、已有的实训课程多趋于“学院派”，缺少企业引入行业应用经验，并转化为教学与实验；p3）、信息安全实训多集中于攻击入侵方面，缺乏系统全面的安全建设课程与实践；p4）、实训室只有一堆设备，无系统化的课程体系、师资培养、资格认证，导致无法正常开展教学；p5）、缺少专业的安全、虚拟化企业参与实训室建设；安全建设渗透攻击入侵检测网络攻防网页篡改恶意代码安全建设安全运维高校及高职-实训教室4、教育现状：1）、信息安全与云计算的实训教学是近年来高校面18实训室教学资源包实训教材实验手册电子教案授课视频题库资格认证认证推广资格证书ATAC平台资格认证考试认证考试师资培养教师培训在线学习讲师任课资格培训教室认证校企合作人才联盟一考多证共建深信服网络安全学院课题开发实训服务实训服务安全实训设备云实训设备安全攻防安全应用实训室VI设计外墙设计内墙设计桌椅设计布置图装饰海报实训实训室建设室建设高校及高职-实训教室整体规划实训室教学资源包实训教材实验手册电子教案授课视频题库资格认证19教室管理演示区教室管理演示区实验设备区实验设备区实验区实验区高校及高职-网络安全实训室教室管理演示区实验设备区实验区高校及高职-网络安全实训室20高校及高职-云计算实训室A组B组C组D组E组F组超融合一体机aserver虚拟化管理平台VMP桌面云一体机VDS虚拟桌面控制器VDC超融合一体机aserver虚拟化管理平台VMP虚拟机管理软件VMS教室管理演示区教室管理演示区实验设备区实验设备区实实验验区区A组B组C组D组E组F组高校及高职-云计算实训室A组B组C组D组E组F组超融合一体机21实训室依据业务属性，共分为3个功能区：1.实验区：学生学习实训室课程内容和实际操作实验课程的区域，根据每组学生数量配置PC终端或者桌面云瘦终端（云计算实训必选）；2.实验设备区：放置实训室实验设备的区域：u信息安全实训室：下一代防火墙（NGAF）、上网行为管理（AC）、VPN接入网关（VPN）、应用交付（AD）、广域网优化网关（WOC）【可选】、漏洞仿真平台（VEPC）【可选】，其他基础设备；u云 计 算 实 训 室：超 融 合 一 体 机（aserver）、云 管 交 换 机（asw）、虚 拟 化 软 件（asvasananet）、虚拟化管理平台（VMP）、网络功能虚拟化（NFV）【可选】、实验用云桌面控制器（VDC）、桌面云一体机（VDS），其他基础设备；所有的实验内容均运行在该实验设备区内；3.实验管理区：老师管理区和演示区，负责演示实验课程内容并对所有实验组的实验设备做监控和管理；高校及高职-实训室功能分布 实训室依据业务属性，共分为3个功能区：高校及高职-实训室功22实训室实训室模块模块建议数量建议数量单位单位产品型号产品型号备注备注信息安全信息安全安全设备1*N台AF-E1001*N台AC-E1001*N台VPN-E1001*N台AD-E1002*N台WOC-E100（可选）无线安全设备（可选）1*N台AP-E1001*N台WAC-E100安全攻防平台（可选）1*N台VEPC-V1006(低端)/VEPC-V1012(高端)云计算云计算计算、存储资源池2*N+2台Aserver1000/Aserver2000云计算实训平台（2*N+2）*1或2套ASV license（2*N+2）*1或2套ASAN license（2*N+2）*1或2套ANET license2*N+2套VMP软件云桌面一体机2台VDS-3550云桌面实验终端30-60台aDesk-EDU-50云桌面实验控制器N台VDC-2500NFV功能（可选）2*N+2套vSSL-1002*N+2套vAD-1002*N+2套vAF-1002*N+2套vWOC-100N为实验组数，每组支持6-8人实验。高校及高职-实训室配置实训室模块建议数量单位产品型号备注信息安全安全设备1*N台A23高校及高职-具体的教材和配置见附件广东省电教馆现场图片网络实训室建设交流方案高校及高职-具体的教材和配置见附件广东省电教馆现场图片网络实24高校行业等级保护高校行业等级保护25文号发文单位名称教技20144号教育部教育部关于加强教育行业网络与信息安全工作的指导意见教技厅函201474号教育部办公厅教育部办公厅关于印发教育行业信息系统安全等级保护定级工作指南(试行)的通知教技厅函201475号教育部办公厅教育部办公厅关于印发信息技术安全事件报告与处置流程(试行)的通知教技厅函20153号教育部办公厅教育部办公厅关于落实直属机关信息技术安全责任的通知教技厅函201517号教育部办公厅教育部办公厅关于开展部直属机关信息系统确认工作的通知教技厅函201545号教育部办公厅教育部办公厅关于开展国家级重要信息系统和重点网站安全检查工作的通知高校-等级保护国家政策文号发文单位名称教技20144号教育部教育部关于加强教育26高校-等级保护国家政策高校-等级保护国家政策27高校-安全定级依据信息系统部级省级地市(01)政务管理类普通高校招生网上录取管理第三级第三级第三级教育考试考务管理与服务、公文与信息交换第三级第三级第二级教育统计管理、应急指挥、舆情监测与管理、高等教育招生计划管理第三级第二级第二级办公与事务处理、人事管理、财务管理、资产管理、信访管理、档案管理、党务管理、科研管理、决策支持、评审表彰管理第二级第二级第二级(02)学校管理类学校管理、学科专业管理、教学改革管理、教学质量评估、校园安全与稳定管理、教育经费监管第三级第二级第二级(03)学生管理类招生录取管理第三级第三级第三级高校-安全定级依据信息系统部级省级地市(01)政务管理类普通28高校-安全定级依据信息系统部级省级地市(03)学生管理类招生录取管理第三级第三级第三级学生学籍管理、学位授予管理第三级第二级第二级学生资助管理第三级第二级第二级(04)教师管理类教师基本信息管理、教师资格认定管理、教师培训管理、教师教育管理、教师职称管理第三级第二级第二级(05)综合服务类门户网站第三级第二级第二级教育教学资源、毕业就业信息管理、视频服务、内网门户与身份认证、公共数据库、运维管理第三级第二级第二级论坛社区类网站、电子邮件、安防监控第二级第二级第二级高校-安全定级依据信息系统部级省级地市(03)学生管理类招生29高校-等保建设框架在等保三级的要求下，对核心节点建议按照双机去做，实现冗余高校-等保建设框架在等保三级的要求下，对核心节点建议按照双机30场景产品名称部署位置产品作用满足政策要求互联网出口NGAF互联网出口隔离互联网和校园网络防范网络入侵攻击网络层恶意代码过滤网络安全-访问控制网络安全-入侵防范网络安全-恶意代码过滤AC网页访问审计应用软件审计全面的邮件审计与过滤策略网络行为日志外发文件告警细致灵活的审计方式流量管理与控制内部非法无线热点发现网络安全-结构安全网络安全-安全审计网络安全-边界完整性AD链路负载均衡网络安全-结构安全高校-我们的硬件产品所对应的政策内容场景产品名称部署位置产品作用满足政策要求互联网出口NGAF互31高校-我们的硬件产品所对应的政策内容场景产品名称部署位置产品作用满足政策要求数据中心 NGAF数据中心的外联口隔离业务服务器区和其他区域增强业务系统的抗web攻击能力网络防病毒网关漏洞扫描网络安全-访问控制网络安全-入侵防范主机安全-恶意代码过滤主机安全-入侵防范AD应用负载均衡数据备份与恢复-避免单点故障SSLVPN通信过程加密；用户身份认证；用户权限控制；用户登录行为审计；应用安全-身份鉴别应用安全-访问控制应用安全-安全审计应用安全-通信保密性应用安全-通信完整性高校-我们的硬件产品所对应的政策内容场景产品名称部署位置产品32高校-我们的硬件产品所对应的政策内容场景产品名称部署位置产品作用满足政策要求校区互联 NGAF学校互联专网隔离主校区和分校区网络网络安全-访问控制WOC具有链路VPN加密功能；应用流量可视化，更好的保障带宽的可用性：数据优化，实现流量30-80%的削减，更好的实现网络设备处理能力的冗余，保障带宽满足业务高峰期的处理能力；应用优化和链路优化，提升用户访问速度；网络安全-结构安全网络安全-通信完整性网络安全-通信保密性数据安全-数据传输保密性高校-我们的硬件产品所对应的政策内容场景产品名称部署位置产品33高校高职行业云计算数据中心高校高职行业云计算数据中心34高校及高职-AC行为感知数据分析部分l数据汇总、建模、展示集中管理平台广域网XX分支XX分支XX分支XX分支支持大屏展示上网行为管理上网行为管理上网行为管理联通电信Internet行为感知系统数据采集部分l深信服AC、AF等日志l未来可汇总其他系统日志，如一卡通、门禁系统等高校及高职-AC行为感知数据分析部分集中管理平台广域网XX分35高校及高职-AC行为感知推广点各种分析方法形成一个个行为感知应用，用户随取所需，未来不断更新高校及高职-AC行为感知推广点各种分析方法形成一个个行为感知36应用背景l多起校园网贷事件影响恶劣l教育部多次发文防范校园网贷风险l深圳、广州、重庆等地出台规范校园网贷高校及高职-校园网贷应用背景 教育部多次发文防范校园网贷风险高校及高职-校37高校及高职-校园网贷高校及高职-校园网贷38高校及高职-校园网贷应用价值分析高危网贷人群，帮助学校及时发现网贷学生，尽早进行引导教育分析效果能够审计到学生网贷的具体内容和金额，准确率高于80%高校及高职-校园网贷应用价值39高校及高职-沉迷游戏应用背景l学生过度沉迷网络，影响学业及身心发展l多起高校大学生通宵玩游戏猝死新闻，引发社会和学校广泛关注应用价值及时发现沉迷网络的学生，便于开展有针对性的辅导和教育高校及高职-沉迷游戏应用背景应用价值40高校及高职-沉迷游戏高校及高职-沉迷游戏41高校及高职-事件感知应用背景学校人员集中，学生心智尚未成熟，易发生各类恶性事件，如（传染性疫情、暴恐事件、自杀事件等），一旦发生影响恶劣分析原理根据特定关键字组，分析某类事件是否发生或有潜在风险，用户可以根据自己的需求自定义关键字组高校及高职-事件感知应用背景42高校及高职-事件感知高校及高职-事件感知43高校及高职-在校生孕况分析背景故事西南地区女大学生在寝室产子，并扔出窗外，给个人、家庭、学校造成极恶劣影响应用价值尽早发现异常，提供相关辅导名单，避免事件的恶化高校及高职-在校生孕况分析背景故事44高校及高职-图书馆资源优化分析应用背景学校图书馆网络资源丰富，但利用情况不清楚，也无从管理应用价值l分析已有资源利用率并优化，减少资源浪费l统计恶意下载行为，维护全体师生利益高校及高职-图书馆资源优化分析应用背景45高校高职行业PC替换高校高职行业PC替换46高校及高职-桌面云推广思路桌面云建设思路主要在学生机房、电子阅览室、教师办公、多媒体教室等需求场景进行推广。教育行业推广的思路，主要是几点：1、简化运维管理，这些场景终端数量多，运维工作量大。2、节能环保，瘦客户机能耗低无噪音。3、教师移动备课。4、PC主机淘汰快，稳定性差，资产浪费严重。高校及高职-桌面云推广思路桌面云建设思路47高校及高职-桌面云推广思路桌面云建设思路1、只需要部署服务器+交换机。额外购买桌面云软件授权。2、桌面终端数量在300左右，需要配置硬件VDC设备（桌面云控制器）。3、桌面云数据全部保存在虚拟存储上，用户不需要再额外购买外置存储，一方面节省了用户在存储上的投入，另一方面，桌面数据可以得到高可靠性保障，不用担心因为某块磁盘或者某台服务器故障，导致桌面数据无法使用（平台资源需足够用）。相比传统桌面云虚拟存储是最重要的亮点，在和传统桌面云建设方案对比后，会发现桌面云的建设成本会有明显的下降。高校及高职-桌面云推广思路桌面云建设思路相比传统桌面云48高校及高职-桌面云运维桌面云运维全部围绕着模板来进行1、所有的配置工作，都在模板上进行，只要把用户模板调整合适，后续只要进行模板的分发，就可以完成桌面云运维工作。2、每个用户的桌面，都会分为系统盘和个人数据盘两块，系统盘为模板派生出来的镜像，个人数据盘为个人所有。当用户桌面出现问题以后，管理员，只需要重新派生一个系统模板出来，然后挂载上个人的数据盘，就可以立刻恢复桌面了。3、当用户终端出现损坏，丢失等问题的时候，并不会造成数据丢失，只要更换瘦客户机，就可以了，桌面始终只和个人登陆桌面的用户名和密码绑定，和所用的终端无关。4、考虑到学生机房U盘滥用，可能会导致桌面中毒等问题，可以适当增加安全策略，限制U盘的使用，比如说，限制U盘的单向或者双向传输，或者老师可以使用，学生不能使用等。高校及高职-桌面云运维桌面云运维全部围绕着模板来进行49汇报完毕感谢聆听汇报完毕 感谢聆听50