1.教育网发展现状 

教育网的发展以CERNET2 为核心网络技术,并支持开发包括网格计算、点到点视频语音综合通信、组播视频会议、大规模虚拟现实环境、远程教育等重大应用项目;同时教育城域网作为中小 学“校校通”工程支持主体,解决了教育资源共享、投资重复以及技术人员严重短缺等问题,为中小学信息化建设提供了共享平台。 

随着 网络技术在教育行业的迅猛发展和网络应用的广泛普及,各种新的网络应用也层出不穷,如:网络多媒体教学、VOIP应用、视频点播,视频监控数据等,也得到 了快速的发展。学生使用网络的热情也空前高涨,个人计算机的普及率在高校中逐年递增。网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入, 使得校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角 色。 

教育局(教委)和高校园区等网络如何寻找出最优化的方案和应用模式已经成为影响教育信息化能否顺利推进的“焦点”问题之一。 

2.教育网目前存在的问题 

教育网络作为数字化教学的最重要载体,当前存在着以下急待解决的问题: 

因操作不当频繁对系统及软件造成的损害 

教育网网络庞大,学生们对计算机的了解程度不同,在接受新知识的同时总是希望更多的尝试和实际操作,于是在使用过程中常常会出现很多误操作的问题;例 如,刚刚接触文件新建和删除的时候,可能会频繁的新建和删除文件,这样做的直接结果便是会出现大量的无用文件或者系统文件被删除而导致系统瘫痪。频繁的重 新安装大量的操作系统无疑是项庞大的工程,虽然目前很多学校采取还原卡或者还原软件来解决类似问题,但这种办法还远远不能降低机房管理人员的工作量以及维 护成本。采用还原卡投入很大,而且还原软件目前还存在一些BUG,比如,有的会出现桌面图标变花,有的会失去作用等。 

    系统安全维护及软件更新复杂 

在庞大的校园网内系统的安全管理变的异常困难,类如操作系统的补丁更新、防病毒软件的安装和升级等,虽然操作系统补丁或者防病毒软件都可以实现自动升级 但在实际环境中往往很难实现,通常需要网络管理人员亲自动手安装和更新。同时,这种分散的安全管理很难避免某些终端没有及时更新,而导致网络环境中出现安 全短板,从而使整个网络处于危险状态。 

另外,在规模庞大的网络中统一安装和更新软件也同样困难,传统的终端管理软件进行软件统一分发的时候对网络影响极大且成功率不可保证,如何解决以上问题成为越来越紧迫的问题。 

大量的P2P等非关键应用,无情的吞噬着校园网络有限的带宽资源 

大学生们的思维活跃,敢于尝试新鲜事物,这本是好事,但同时也给各个学校的网络管理人员带来了巨大的不便。到目前为止,校园网几乎可以说是P2P应用最 多的场所之一,其应用P2P种类之繁杂,P2P应用更新速度之迅猛,使得每个网络管理人员头痛不已。这些大量的P2P严重地侵占着校园的网络资源,如下图 1所示。 

图1.  北京某大学校园网流量分布图 

和信虚拟终端教育行业解决方案



  正如上图所示,在没有对校园P2P流量进行策略管理的时间段内(19:59— 20:21),P2P等非关键应用的流量达到近800M,而整个网络的带宽是1G,可以看出这些非关键性应用,对网络资源的肆意占用已到了相当严重的地 步。更为严重的是,在很多时候,P2P流量几乎占用了该校园网全部的出口带宽,造成许多学生和教师无法上网,严重的影响了教职员工、学生的正常工作和学 习。 

还有一些诸如:网络游戏、MP3下载、即时聊天等应用,也同样不断的侵占着有限的网络资源。 

存在大量的网络不安全因素,如ARP攻击、登录不良网站等 

现今的校园经常会受各种网络黑客的侵害,导致网络不能够正常的运行,如某大学网络中心做过的统计,该校主要的几个应用服务器平均一个星期会经受到数千次 甚至上万次的非法访问尝试;另外,如何避免学生登陆不良网站,防范网络非法攻击(如ARP攻击)等等,这些都是各个高校不可回避的紧迫问题。 

1.传统终端管理技术解决上述问题的局限性 

防病毒软件 

–  防病毒软件已经经过了几十年的发展,从管理角度来看,依然还是无法解决软件自身被随意卸载、病毒库没有及时更新、无法有效遏制蠕虫病毒传播。 

内网安全管理软件 

–  内网安全管理系统无法阻止用户自行安装软件导致出现的网络滥用行为,也无法防止各种最新病毒木马的侵入。同时,对于操作系统本身出现的驱动冲突更是无能为力。 

还原卡 

- 还原卡安装新软件很麻烦,需要逐一安装; 

- 还原卡和还原软件存在安全隐患,机器狗等病毒可以穿透; 

- 还原卡无法解决PC终端中用于学生保存教案资料,不被还原的硬盘分区可能感染病毒后大量传播的问题。 

桌面管理技术 

桌面管理系统侧重于对信息资产的管理,无法解决病毒、木马等问题,在终端应用的控制方面基于规则库进行,很难满足客户个性化的需求。 

NC、瘦客户机技术 

–  瘦客户机使用专业嵌入式处理器、小型本地闪存的基于PC工业标准设计的小型行业专用商用PC。但瘦客户机性能低下,通常采用精简版本的操作系统, 和人们日常使用的计算机大不相同,无法实现人性化的应用,只能适用于部分中小学教室、证券炒股终端这类对应用要求极低的场合。 

WSMS 

–  是微软公司用于解决终端计算机自动升级问题的软件,然而在实际使用过程中,终端计算机使用者总是由于操作不当等多种原因无法保持操作系统始终处于最新补丁状态。在计算机数量众多的单位,信息技术人员也无法及时发现。 

现有的终端管理技术都只解决了终端问题的一部分,导致许多单位花费大量资金购买了各种终端管理软件和设备进行部署。但由于各软件之间无法很好的兼容整合,终端管理问题始终是信息化建设中最大的风险因素。 

  方案原则及目标 

  1.方案原则 

为保证方案的能够最终达到教育行业规定的相关要求,在设计方案时遵循如下的设计原则: 

方案先进原则:教育网信息化办公环境的虚拟终端管理系统要求功能完善、技术先进、安全可靠、服务领先; 

系统安全原则:管理系统自身安全包括物理安全、系统安全、数据安全和运行安全等; 

可扩展原则:统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统的可扩展性,保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力; 

可靠性原则。执行ISO9002质量认证体系要求,确保安全保密设备的高可靠性和稳定性; 

经济性原则。虚拟终端管理系统的建设、运行维护以及将来的扩展建设,必须符合经济性原则; 

易操作原则。虚拟终端管理系统的使用、维护、管理、发行等方面要易操作; 

 高效原则。虚拟终端管理系统的处理能力要求能满足现阶段的实际需求,保证系统的高效运行,并能根据系统的发展进行不断提升; 

功能完整原则。虚拟终端管理系统的功能完整,应用安全扩展系统功能完整; 

灵活性原则。虚拟终端管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。 

2.方案目标 

教育网信息化环境要求最大可能的保护其网络和系统资源与数据可以得到充分的信任,获得良好的管理。 

本项目的总体目标是在不影响教育网信息化办公环境网络正常工作的前提下,从虚拟安全、桌面管理、行为控制等多个角度构建一套完整的终端系统管理体系,实现对网络和系统的全面安全加固,最终达到相关教育部门的要求。主要达到以下目标: 

保护网络系统的可用性 

保护网络系统服务的连续性 

防范入侵者的恶意攻击与破坏 

防范病毒的侵害 

实现网络的安全、便捷管理。 

 

  管理系统教育网解决方案


“虚拟终端管理系统是上海天苑科技有限公司基于云计算环境下全国首家推 出的全新终端管理系统,其整合最新的虚拟安全技术,以终端系统管理为中心出发点,从虚拟防护、桌面管理、行为控制等多个角度构建一套完整的终端系统管理体 系,防御各种终端异常事件,通过技术手段全面贯彻落实各单位的终端管理策略。 

1.  虚拟终端管理系统结构及部署 

针对教育网对终端管理及安全提出的功能和性能要求,和信创天科技有限公司为了有效的满足教育网环境的要求,提出以“和信”虚拟终端产品作为基础建设安全管理系统的构想,从系统、网络及管理三个方面为教育网提供终端管理解决方案。 

1.1 虚拟终端管理系统架构 

教育行业解决方案



  虚拟终端管理系统分为客户端和策略管理中心两个部分,其中策略管理中心为服务器端;通 过建立用户定制的操作系统镜像文件及提供虚拟防护、桌面管理及行为控制等的策略管理,为客户端提供多方面的系统及策略服务。客户端通过PXE网络启动的方 式通过网络加载服务及信息。 

1.2 系统功能 

1.2.1 虚拟防护: 

–  远程虚拟化管理 

–  网关控制 

–  病毒库同步 

–  防ARP欺骗 

–  恶意网站防护 

–  驱动防火墙 

–  个性化安全磁盘 

1.2.2 桌面管理 

–  资产管理 

–  补丁管理 

–  软件群发 

–  远程支持 

1.2.3 行为控制 

–  外设控制 

–  应用软件控制 

–  上网监控 

–  行为监控 

1.3 部署方式 

虚拟终端管理系统安装部署非常简单方便,只需要在服务器上安装好服务器端程序,建立用户定制的操作系统镜像文件,然后将所有客户机的开机启动顺序改为从网络启动即可管理,不需要逐一安装客户端代理软件。该方案的网络拓扑示意图如下所示: 

和信VEMS教育行业解决方案



  2.  虚拟终端管理系统工作模块功能分析 

本章将针对虚拟终端管理系统的虚拟防护、桌面管理、行为控制模块进行具体的功能分析。 

2.1 虚拟防护功能 

远程虚拟化管理 

虚拟终端管理系统能够控制工作主机在启动时从虚拟磁盘进行引导,由系统服务器上直接读取操作系统镜像文件,同时可以针对不同的院系、教学课程、 教学及工作需要指定专用的安全操作系统。工作主机对系统的所有操作都处于虚拟环境下,任何的误操作或者病毒感染、驱动冲突、软件不兼容等问题在重启后即可 快速全部恢复到正常状态。 

网关控制 

网关控制可以实现对终端访问外网的强制管理,可以限制终端用户访问外网时候的网关和DNS指向,可以限制终端用户访问外网的线路类型。 

病毒库同步 

支持包括赛门铁克、趋势、瑞星、江民、金山、卡巴斯基、McAfee、NOD32等所有防病毒软件厂商的网络版及个人版防毒产品。 

防ARP欺骗 

虚拟终端管理系统部署后,对工作机可以实现驱动级保护,当发生ARP病毒的攻击时,不会被虚假ARP攻击包欺骗,系统在底层直接限制了网卡发出 的数据包类型,可以完全杜绝本机中毒后发出虚拟ARP包。同时,驱动限制还能够实现对工作机数据包流量的控制,即使工作机中了类似冲击波等网络病毒,也无 法对整个网络造成危害。全面抑制了网络病毒的爆发。 

恶意网站防御 

当前,恶意网站攻击已经成为终端管理中 最为常见的威胁,传统的检测防护技术很难实现全面保护。虚拟终端管理系统基于云计算的恶意网站智能防护技术超越了传统防护模式。客户端无须频繁的 更新升级特征库,而是通过云端服务器集群24小时的在线检测,并将最新的检测数据和系统实时联动,有效阻挡恶意网站对客户端机器的威胁。 

驱动防火墙 

支持对客户端的驱动加载进行控制,只允许加载经过审核的驱动程序,有效的防御rootkit等内核级木马的侵入,避免隐蔽性极强的内核木马绕过杀毒软件的防护。 

个性化安全磁盘 

虚拟终端管理系统支持个性化安全磁盘,能够提供多种安全磁盘存储方式,用户可以自由的将个人资料存放在本地局域网存储服务器上。整个传输和存储过程都采 用了高强度加密,确保只有用户本人才可以打开。同时,在部署虚拟终端管理系统时,用户无需更换原来的工作主机,可以直接在原有的网络结构和主机硬件配置下 进行快速部署。 

2.2 桌面管理功能 

资产管理 

自动收集计算机的硬件资产信息,包括:网卡、内存、硬件、主板等;可以自动发现以上各类硬件资产的变化情况,生成告警信息,及时掌握每个终端用户硬件资产最新状态,避免资产流失,方便企业资产的统一管理。 

补丁管理 

无需和微软WSUS类的补丁管理系统联动,只需要在任何一台工作机上完成操作系统补丁的更新,就能够完成网络中所有终端的安全补丁升级,保证机器及时打上最新的安全补丁,防止安全漏洞被利用。 

软件群发 

各单位经常需要安装或者更新一些行业软件或者通用软件,实施时间较长,并经常出现软件冲突的情况,很难达到快速部署、统一管理。“和信”虚拟终端管理系 统能够实现真正意义上的快速安装。管理员只需要选择任意一台工作主机,以超级管理员权限进行软件安装并保存到操作系统镜像文件中,其他的所有工作主机重启 后就自动拥有了该软件,无需自行安装,不会出现软件冲突、无法安装的情况。 

远程支持 

管理员可以通过远程桌面连接到安装代理的终端进行管理和维护操作,支持远程访问强加密,确保系统安全性;支持信息服务功能,管理员可以及时快捷向终端发送各种通知信息。 

2.3 行为控制功能 

外设访问控制 

可以针对常见的外设端口类型(USB、串口、并口、软驱、光驱)进行控制,在安全控制方面,系统能够对Windows的“自动播放”进行控制,防止Autorun病毒木马传播与扩散。 

应用软件控制 

全面控制工作机终端上安装的应用软件类型,普通用户未经过许可而自行安装的软件在操作系统重启后将自动还原。 

上网监控 

支持记录员工的上网历史,包括HTTP上网URL连接信息以及IM聊天时间情况等, 

完全遵循国家监管部门的要求,保留60天的记录。 

 行为监控 

支持启动后台截屏监控,能够定时截取客户端屏幕内容,并上传到服务器。 

网络配置强制 

可以防止任意修改机器的IP、机器名、MAC等信息,根据系统策略设置自动恢复默认的配置信息;可以针对重点工作机IP采用特殊保护,保证重点工作机IP优先权,避免地址冲突,提高终端管理效率。 

3.  虚拟终端管理系统在教育网的应用 

3.1、确保全网系统及网络的安全 

虚拟终端管理系统教 育版将操作系统和所有服务都集中在服务器上,并设置适当的权限,可以完全杜绝个人对终端系统及应用程序的破坏。工作站重启后,学生在工作站安装的程序或修 改的资料便可立即被删除,系统瞬间恢复到管理者预设的纯净状态。使得学生在工作站任何的操作、删改都不会对系统造成破坏。 

另外,虚拟终端管理系统教育版针对终端管理有防ARP欺骗、恶意网站防护、驱动防火墙以及行为控制等功能,可以对整个校园网进行全面、有效的保护。 

3.2.高效、简便的运维和管理 

虚拟终端管理系统教育版对学生机和教师机的操作没有要求,教师和学生的误操作都不会破坏任何文件。而传统的终端管理方式,除服务器和教师机要按照正确操作程序进行外,连每一台工作站也要按照正确操作程序进行,一旦疏忽就会出现非法操作甚至需要重装系统。 

虚拟终端管理系统教育版只需对服务器进行维护,学生机和教师机都可以不考虑,并且维护方面非常简单、方便。传统的终端管理方式不但要对服务器和教师 机进行维护,而且每台学生机也都需要进行维护,工作量之大可想而知,例如定时为操作系统打补丁、升级防病毒软件以及统一安装软件等工作,在使用了虚拟终端管理系统后都只需要在服务器端进行便可。 

3.3、提供良好的灵活性及用户体验 

虚拟终端管理系统教育版支持个性化配置,教师可以将上课需要的课件存放在加密的个人磁盘空间中,无论在任何一个教室上课,都可以随时调用,安全可靠、方便快捷。 

可控制每个终端的上传及下载速度,保证关键应用的正常使用。 

可针对不同部门设置不同的策略。 

  专业快速的技术服务


在进行了虚拟终端管理系统的设计以后,要持续保障一个动态网络的安全性,持之以恒的安全管 理和专业的外部咨询顾问是必不可少的。一个固定的长期安全合作伙伴,就像企业的常年法律顾问和管理顾问一样,直接高效的帮助企业完成安全管理目标,降低安 全及管理代价,从而使企业能更专心地运行其主要业务,获得更好的收益。 

为了较好的保障持续性的网络服务,以合理的费用保障较高的安全支持级别,我公司提供了如下基本的服务方式和支持指标。 

主要内容包括: 

l  迅速和完备的现场和非现场服务支持 

本地紧急响应: 

远程应急响应:2小时内响应 

l  日常支持 

5x8小时热线支持 

无限次Email或传真支持 

定期的通告 

复查和外部监督 

每年提供服务报告汇总 

提供全方位的技术顾问与咨询 

提供不限次数的产品与技术问题咨询 

提供对技术人员的培训计划 

针对网管和技术人员的初级培训 

针对网管和技术人员的中级培训 

附件一 
主服务器推荐配置
CPU
Intel Xeon E5405
内存
4GB FBD PC2-5300 2x2GB
硬盘
3块72GB 15K SAS 3.5“热插拔硬盘
3块146GB 15K SAS 3.5"热插拔硬盘
1块160GB 7.2K SATA 3.5"热插拔硬盘
阵列
RAID0
网卡
Intel千兆网卡
服务器操作系统
Windows 2003Enterprise Edition SP2
终端数量建议
100台
服务器设置
SATA 160G*1做Windows系统盘;
SAS 146G*3做软raid0读盘;
SAS 72G*3做软raid0写盘。