《海南省教育城域網(wǎng)建設指南》征

DOCPROPERTYDocumentVersion01DOCPROPERTYProprietaryDeclaration版權所有?華為技術有限公司為深入貫徹《教育部等六部門關于推進教育信息基礎設施建設構建高質量教育支撐體系的指導意見》《海南省推進國家中小學智慧教育平臺深化應用行動計劃》等文件精神，推動各市縣高標準、高效率建成泛在互聯(lián)、綠色安全的海南省教育城域網(wǎng)，深化應用國家中小學智慧教育平臺,全面整合各級優(yōu)質教育資源，全方位多場景實現(xiàn)智能助力，強化全域全員全流程應用，著力建設海南全域智慧教育示范區(qū)，助力海南自由貿易港建設，特制定本建設指南。海南省教育城域網(wǎng)總體概述海南省教育城域網(wǎng)（下簡稱教育城域網(wǎng)）是由海南省教育廳統(tǒng)一規(guī)劃部署及管理，連接全省各類學校和各級教育機構，為全體師生和教育工作者提供“高速、便捷、綠色、安全”服務的教育行業(yè)專用網(wǎng)絡。教育城域網(wǎng)面向教育行業(yè)提供網(wǎng)絡服務，支撐教育行業(yè)的網(wǎng)絡應用。教育城域網(wǎng)根據(jù)安全策略與互聯(lián)網(wǎng)連接，可獨立于公眾互聯(lián)網(wǎng)運行。教育城域網(wǎng)架構圖1海南省教育城域網(wǎng)體系架構教育城域網(wǎng)由省級核心節(jié)點、市縣教育城域網(wǎng)和校園網(wǎng)三級架構。省級核心節(jié)點向上連接中國教育和科研計算機網(wǎng)，向下連接市縣教育城域網(wǎng)樞紐節(jié)點，同時高速連接省政務外網(wǎng)、省直屬教育機構、省直屬中學、高校和公眾互聯(lián)網(wǎng)。市縣教育城域網(wǎng)在教育城域網(wǎng)中起到承上啟下的作用，向上連接城域網(wǎng)省級核心節(jié)點，橫向連接公眾互聯(lián)網(wǎng)，向下連接市縣教育機構和學校，確保學校信息終端快速安全訪問教育城域網(wǎng)業(yè)務及資源。校園網(wǎng)是指在學校范圍內，以光纖、WiFi等新一代信息技術為基礎連接多媒體教室、計算機教室、實驗室、功能教室、辦公室等各功能區(qū)域信息終端的基礎承載網(wǎng)絡，用以支撐各類終端接入和信息服務。教育城域網(wǎng)建設目標教育城域網(wǎng)的建設旨在實現(xiàn)教育主管部門、學校、其他教育機構之間高速互聯(lián)，為各種教育教學數(shù)字化應用提供高帶寬、高效率、安全、穩(wěn)定的網(wǎng)絡支撐。（1）大帶寬接入保障為學校班級提供大帶寬的網(wǎng)絡接入能力，提供線上點播直播高清視頻課堂等業(yè)務，提升學校各類多媒體設施設備的利用率,實現(xiàn)智慧教育等新興數(shù)字化教學手段。（2）多個業(yè)務專用網(wǎng)絡教育城域網(wǎng)主要是一個傳輸網(wǎng)絡，承載多個功能網(wǎng)絡。包含互聯(lián)網(wǎng)服務、同步課堂和視頻監(jiān)控等網(wǎng)絡。實現(xiàn)各網(wǎng)絡隔離專網(wǎng)專用，根據(jù)用戶屬性配置對應業(yè)務的訪問權限。（3）網(wǎng)絡安全審計學校需要對師生的上網(wǎng)行為進行監(jiān)控和管理，屏蔽游戲、色情、購物等和學習無關的網(wǎng)絡訪問業(yè)務，加強教育城域網(wǎng)的信息安全管理能力，及時響應并快速處理各類安全問題。具備對各類安全事件的感知、管控、通報及監(jiān)督的能力，滿足公安部《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》《公安機關互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》等規(guī)定對于用戶統(tǒng)一認證和安全審計的標準。（4）統(tǒng)一運維管理教育城域網(wǎng)提供統(tǒng)一的可視化網(wǎng)絡運營管理平臺，融合先進的智慧運維手段及運營商服務方式。有效應對市縣及學校層面普遍存在的挑戰(zhàn)——即因專業(yè)網(wǎng)絡運維人員不足，導致網(wǎng)絡故障響應遲緩、修復不及時的問題，保障網(wǎng)絡應用的持續(xù)穩(wěn)定運行，為教育數(shù)字化的順暢推進奠定堅實基礎。教育城域網(wǎng)功能描述教育城域網(wǎng)具有帶寬大、速度快、延遲小等特點，可為高帶寬教育教學應用提供高質量的網(wǎng)絡支持，支撐全省教育各類業(yè)務訪問，包含中國教育和科研計算機網(wǎng)（CERNET）業(yè)務、政務外網(wǎng)業(yè)務、國家智慧教育公共服務平臺業(yè)務、各類教育服務業(yè)務、教育行業(yè)內部各類管理業(yè)務、校園安全視頻匯聚業(yè)務、考務應急指揮業(yè)務、教育視頻會議業(yè)務、同步課堂業(yè)務、辦公互聯(lián)網(wǎng)訪訪問業(yè)務等。IP地址和域名規(guī)劃根據(jù)《教育部辦公廳關于貫徹落實<推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃>的通知》（教技廳〔2018〕3號）要求，教育城域網(wǎng)建設過程，IP地址采用IPv4/IPv6雙棧覆蓋方式，由省級統(tǒng)一負責地址分配。各級各類教育機構統(tǒng)一使用域名，由省級統(tǒng)一負責域名申請及分配管理。（1）IP地址規(guī)劃原則教育城域網(wǎng)全面支持IPv6部署和應用，支持IPv6和IPv4雙棧協(xié)議。教育網(wǎng)IPv6使用教科網(wǎng)（CRENET）IPv6地址，由省教育廳統(tǒng)一規(guī)劃分配。教育城域網(wǎng)包含多個業(yè)務網(wǎng)絡，各業(yè)務網(wǎng)絡由相應管理部門統(tǒng)一規(guī)劃分配自主的IPv6/IPv4地址，并明確各級的網(wǎng)絡邊界。各業(yè)務網(wǎng)絡由省級核心節(jié)點制定統(tǒng)一的安全訪問策略。（2）域名規(guī)劃原則根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》《中國互聯(lián)網(wǎng)絡域名管理辦法》《中國教育和科研計算機網(wǎng)EDU.CN網(wǎng)絡域名注冊辦法》的要求，按行政區(qū)域編制教育城域網(wǎng)的域名規(guī)劃。各市縣教育行政部門申請注冊一級域名，所轄學校申請注冊一級域名下的二級域名。例如：?？谑械诰胖袑W為“”。（3）IPv4/v6雙棧改造教育城域網(wǎng)采用IPv4/IPv6雙棧改造策略，依托IPv6云網(wǎng)關技術，實現(xiàn)已有業(yè)務向IPv6的無縫遷移與平滑過渡，構建一個既兼容IPv4又支持IPv6的云網(wǎng)關環(huán)境，使得系統(tǒng)能夠同時處理來自IPv4和IPv6用戶的訪問請求，確保所有用戶都能順暢訪問所需資源。教育城域網(wǎng)網(wǎng)絡安全構建安全可靠的網(wǎng)絡與信息化環(huán)境，確保所有發(fā)布的信息內容合法合規(guī)，是遵循《網(wǎng)絡安全法》對信息服務提供者的核心要求。打造一個全方位、多層次的網(wǎng)絡安全防護體系，以應對日益復雜的網(wǎng)絡威脅。（1）網(wǎng)絡安全等級要求嚴格執(zhí)行國家網(wǎng)絡安全等級保護制度，確保省級核心節(jié)點的網(wǎng)絡安全等級達到三級標準，市縣教育城域網(wǎng)達到二級安全要求，全面提升各級網(wǎng)絡的安全防護能力。（2）安全防護對象安全防護范圍廣泛，包括但不限于基礎網(wǎng)絡架構、云計算平臺及系統(tǒng)、大數(shù)據(jù)應用平臺與資源、教育系統(tǒng)官方網(wǎng)站、各類業(yè)務信息系統(tǒng)、個人計算機系統(tǒng)、個人移動終端設備、智能化管理系統(tǒng)，以及采用移動互聯(lián)技術的各類系統(tǒng)等，實現(xiàn)安全防護的無死角覆蓋。（3）網(wǎng)絡安全建設要求在省級核心節(jié)點部署先進的安全能力平臺，集成多種安全技術和策略，為全省教育網(wǎng)絡提供強大的安全支撐。市縣教育城域網(wǎng)出口處，部署專業(yè)的安全設備，抵御來自外部的網(wǎng)絡攻擊。在校園網(wǎng)內部，為所有教學終端統(tǒng)一安裝高效的安全軟件，形成內外兼修的安全防護網(wǎng)。通過智能的情報關聯(lián)分析，實現(xiàn)安全策略的統(tǒng)一部署與快速響應，有效阻斷各類網(wǎng)絡攻擊。結合上網(wǎng)行為審計與安全態(tài)勢感知技術，實時監(jiān)測并預警潛在安全風險，為學校的網(wǎng)絡安全保駕護航。構建全省教育安全駕駛艙，提供包括訪問控制、上網(wǎng)審計、抗DDoS攻擊、網(wǎng)站安全防護、以及安全事件主動上報與溯源到終端等全方位的安全服務。（4）網(wǎng)絡節(jié)點運行監(jiān)測要求建立完善的網(wǎng)絡監(jiān)控體系，實時接收并分析網(wǎng)絡關鍵設備的運行日志及安全情報，利用大數(shù)據(jù)分析技術，及時發(fā)現(xiàn)并應對網(wǎng)絡異常狀況，確保整體網(wǎng)絡的健康穩(wěn)定運行。同時，快速感知并響應網(wǎng)絡安全事件，為教育系統(tǒng)的持續(xù)、安全、高效運行提供堅實保障。省級核心節(jié)點建設省級核心節(jié)點定義教育城域網(wǎng)省級核心節(jié)點是教育城域網(wǎng)的中樞神經(jīng)，向上無縫對接中國教育和科研計算機網(wǎng)，向下緊密連接市縣教育城域節(jié)點，同時高速連接省政務外網(wǎng)、省直屬教育機構、省直屬中學、高校和公眾互聯(lián)網(wǎng)，形成覆蓋全省的教育信息高速公路。網(wǎng)絡架構如下圖所示：圖2教育城域省級核心節(jié)點體系架構省級核心節(jié)點建設目標省級核心節(jié)點的建設旨在打造教育城域網(wǎng)的堅實基石與核心驅動力，通過高標準的規(guī)劃與部署，建成一個集高效、安全、穩(wěn)定、可靠于一體的教育城域網(wǎng)核心，為教育信息化的發(fā)展提供強有力的支撐與保障。（1）構建高效核心樞紐：作為城域網(wǎng)的核心，省級核心節(jié)點將承擔起數(shù)據(jù)高效流轉與交換的重任，確保教育信息在各級網(wǎng)絡間的無縫銜接與快速響應，為教育資源的廣泛共享與高效利用奠定堅實基礎。（2）部署統(tǒng)一認證體系：省級核心節(jié)點部署先進的統(tǒng)一認證平臺，實現(xiàn)用戶身份的統(tǒng)一管理與認證，提升網(wǎng)絡訪問的安全性與合規(guī)性，確保網(wǎng)絡安全與數(shù)據(jù)保護，為教育環(huán)境的健康發(fā)展保駕護航。（3）強化網(wǎng)絡管理能力：通過部署高效的網(wǎng)絡管理平臺，省級核心節(jié)點將實現(xiàn)對整個教育城域網(wǎng)的集中監(jiān)控、配置與故障排查，提升網(wǎng)絡運維的智能化與自動化水平，確保網(wǎng)絡的穩(wěn)定可靠運行。（4）構建全方位安全體系：省級核心節(jié)點構建包括防火墻、入侵檢測、數(shù)據(jù)加密等在內的全方位安全平臺，有效抵御各類網(wǎng)絡安全威脅，保障教育數(shù)據(jù)的安全傳輸與存儲，夯實教育城域網(wǎng)運行的安全基石。（5）追求卓越性能表現(xiàn)：省級核心節(jié)點致力于實現(xiàn)網(wǎng)絡的快速、穩(wěn)定與可靠。通過采用先進的網(wǎng)絡設備、優(yōu)化網(wǎng)絡架構與傳輸協(xié)議，確保教育信息傳輸?shù)母咝耘c穩(wěn)定性，為師生提供卓越的在線學習體驗。省級核心節(jié)點網(wǎng)絡安全省級核心節(jié)點的網(wǎng)絡安全標準提升至三級防護水平，以應對網(wǎng)絡威脅。核心節(jié)點全面部署安全能力平臺，與市縣教育城域網(wǎng)出口的安全設備緊密聯(lián)動，深度集成至校園網(wǎng)教育教學信息終端的安全體系，形成全方位、多層次的防護網(wǎng)。通過情報關聯(lián)分析技術，實時洞察網(wǎng)絡環(huán)境中的潛在威脅，結合統(tǒng)一策略的下發(fā)機制，迅速阻斷各類網(wǎng)絡攻擊，有效遏制安全事件的發(fā)生。通過上網(wǎng)行為審計功能，確保網(wǎng)絡活動的合規(guī)性與可追溯性，為網(wǎng)絡安全管理提供有力支持。構建安全態(tài)勢感知系統(tǒng)，通過實時收集、分析網(wǎng)絡流量與安全事件數(shù)據(jù)，形成全省教育網(wǎng)絡安全的“駕駛艙”，提供直觀、全面的安全態(tài)勢視圖，助力精準施策。省級核心節(jié)點的端口均采用10G/40G/100G高速以太網(wǎng)口，確保數(shù)據(jù)傳輸?shù)母咝耘c穩(wěn)定性。同時，配置安全防護設備，實現(xiàn)邊界的嚴格管控與威脅的有效攔截，為省級核心節(jié)點的安全穩(wěn)定運行筑起堅實的防線。5G雙域城域網(wǎng)構建策略部署5G雙域城域網(wǎng)，實現(xiàn)5G教育城域網(wǎng)與教育城域網(wǎng)無縫融合。在教育城域網(wǎng)的省級核心節(jié)點機房規(guī)劃并部署專屬的用戶平面功能（UPF）單元，或靈活利用服務商提供的共享UPF資源。確保教育用戶在完成專用數(shù)據(jù)網(wǎng)絡名稱（DNN）簽約后，能夠接入至專為教育定制的UPF，實現(xiàn)5G終端在全省乃至更廣范圍內的自由切換，無縫訪問教育城域網(wǎng)資源及互聯(lián)網(wǎng)內容。整合5G切片專線產(chǎn)品，借助VPDN等安全組網(wǎng)能力和UPF分流加速能力，滿足不同行業(yè)對業(yè)務不同的高可靠和安全性的訴求。市縣教育城域網(wǎng)建設市縣教育城域網(wǎng)定義市縣教育城域網(wǎng)是在市、縣級行政區(qū)域范圍內建設的教育專用網(wǎng)絡，由市縣教育城域網(wǎng)樞紐節(jié)點與轄區(qū)學校校園網(wǎng)及其他教育機構局域網(wǎng)等連接構成。各市縣（區(qū)）教育城域網(wǎng)樞紐節(jié)點向上連接教育城域網(wǎng)省級核心節(jié)點，橫向連接公眾互聯(lián)網(wǎng)，向下連接轄區(qū)學校校園網(wǎng)，建設內容必須全面支持IPv6。市縣級教育城域網(wǎng)架構見圖。圖3市縣級教育城域網(wǎng)架構市縣教育城域網(wǎng)建設模式通過購買運營商服務方式建設市縣教育城域網(wǎng)，采用云計算等新技術，降低投入與運維成本。建設內容包括城域網(wǎng)樞紐節(jié)點、傳輸網(wǎng)絡、校園網(wǎng)絡等。教育城域網(wǎng)樞紐節(jié)點由運營商提供場地及網(wǎng)絡、安全、服務器、存儲等設施和設備；傳輸網(wǎng)絡由運營商提供通信信道（OTN），向上通過高帶寬10G/40G/100G以太網(wǎng)接口鏈路，實現(xiàn)與教育城域網(wǎng)省級核心節(jié)點的無縫對接，橫向采用多出口策略連接互聯(lián)網(wǎng)，有效實現(xiàn)負載分擔；校園網(wǎng)絡采用光纖進班方式接入各類信息終端，確保每個終端接入的并行帶寬不低于100Mbps。市縣教育城域網(wǎng)業(yè)務功能描述市縣教育城域網(wǎng)具有帶寬大、速度快、延遲小等特點，可為高帶寬教育教學應用提供高質量的網(wǎng)絡支持，如國家中小學智慧教育平臺和海南省智慧教育平臺資源訪問、同步專遞課堂教學、在線直播教學、師資視頻培訓、教育視頻會議、遠程實時監(jiān)控等應用，為網(wǎng)上辦公、學籍管理、教師管理、招生考試管理、財務管理、智慧校園管理系統(tǒng)、教育裝備管理等系統(tǒng)提供安全可靠的網(wǎng)絡市縣教育城域網(wǎng)安全規(guī)則市縣教育城域網(wǎng)的建設應符合GB/T22240-2020的等保要求，需達到安全定級的二級標準。城域網(wǎng)出口部署10G安全審計、安全防護設備，作為互聯(lián)網(wǎng)出口和教育城域網(wǎng)邊界安全的設備，要實現(xiàn)對教育城域網(wǎng)和互聯(lián)網(wǎng)流量的安全審計、安全告警、安全事件溯源。（1）流量監(jiān)控與威脅管理引入流量監(jiān)控技術，精準識別并攔截惡意軟件、釣魚網(wǎng)站及礦池地址等安全威脅，同時對上網(wǎng)行為進行細致審計，確保對潛在安全風險的及時發(fā)現(xiàn)與有效管控。集成威脅感知系統(tǒng)，敏銳捕捉并深入分析新型網(wǎng)絡攻擊行為，實現(xiàn)快速響應與高效處置。（2）全量日志采集與分析借助網(wǎng)絡全協(xié)議識別與還原技術，結合網(wǎng)絡行為知識庫，實現(xiàn)對城域網(wǎng)內安全防護網(wǎng)關、審計網(wǎng)關等關鍵節(jié)點的全流量采集。確保網(wǎng)絡流量與事件的全面記錄，為網(wǎng)絡安全行為與事件檢測、深度分析、快速發(fā)現(xiàn)及有效追溯提供堅實的數(shù)據(jù)基礎。（3）網(wǎng)絡信息推送與共享建立信息推送機制，實時將關鍵網(wǎng)絡設備的運行日志及相關安全情報傳輸至教育城域網(wǎng)省級核心節(jié)點的安全平臺，實現(xiàn)安全信息的即時共享與協(xié)同處理，進一步提升整體安全防護水平。（4）網(wǎng)絡邊界安全與管理市縣教育城域網(wǎng)出口處部署防火墻系統(tǒng)，實施訪問控制與邊界隔離策略。根據(jù)業(yè)務需求動態(tài)調整安全控制策略，定期進行策略優(yōu)化與維護，確保網(wǎng)絡邊界的安全穩(wěn)固。市縣教育城域網(wǎng)服務質量要求運營商成立教育城域網(wǎng)運維小組，負責區(qū)域網(wǎng)絡的日常運維及應急處置。通過QoS對教育教學業(yè)務流量提供帶寬保證機制，保證網(wǎng)絡服務質量，避免網(wǎng)絡擁塞并在時延、抖動和減少數(shù)據(jù)包丟失方面進行控制。市縣教育城域網(wǎng)樞紐節(jié)點部署QoS監(jiān)測服務器，實時分析網(wǎng)絡流量情況，定期生成QoS監(jiān)測報告，有效監(jiān)測每條傳輸線路，當鏈路達到70%負載，且持續(xù)2小時，應在當前帶寬基礎上提升30%，保證網(wǎng)絡服務質量。校園網(wǎng)建設校園網(wǎng)定義校園網(wǎng)是在學校區(qū)域范圍內，以計算機網(wǎng)絡技術為基礎，以光纖、雙絞線、WiFi為傳輸方式，將學校各類信息終端連接起來，形成高帶寬的學校多媒體通訊網(wǎng)絡。校園網(wǎng)向上連接市縣（區(qū)）教育城域網(wǎng)樞紐節(jié)點，向下連接教學場所，為校園內所有終端提供快速、穩(wěn)定、安全、綠色的網(wǎng)絡接入服務。校園網(wǎng)功能