作者:互联网域名系统国家工程研究中心(ZDNS)政教医行业部
关键词:普教专网、教育新基建、高校数字化转型
多部门印发《教育部等六部门关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》(以下简称“《意见》”),教育新型基础设施建设(以下简称“教育新基建”)背景下,IPv6部署的发展路径与创新融合,成为教育信息化工作者的关注重点。
两大关键任务:
普教专网建设升级迎来双重挑战
教育新型基础设施是以新发展理念为引领,以信息化为主导,面向教育高质量发展需要,聚焦信息网络、平台体系、数字资源、智慧校园、创新应用、可信安全等方面的新型基础设施体系。教育新基建是国家新基建的重要组成部分,是信息化时代教育变革的牵引力量,是加快推进教育现代化、建设教育强国的战略举措。为深入贯彻党的十九届五中全会精神,加快推进教育新基建,构建高质量教育支撑体系。
《意见》提出,到2025年,基本形成结构优化、集约高效、安全可靠的教育新型基础设施体系,并通过迭代升级、更新完善和持续建设,实现长期、全面的发展。建设教育专网和“互联网+教育”大平台,为教育高质量发展提供数字底座。并强调,要充分利用国家公共通信资源,畅通连接全国各级各类学校和教育机构间的教育网络。提升学校网络质量,提供高速、便捷、绿色、安全的网络服务。
针对教育新基建的背景和政策要点,普教专网建设升级迎来双重挑战。
1.推进IPv6规模部署,保障教育专网建设。充分依托国家电子政务外网和互联网已有建设基础,根据分级负责的原则,加强国家主干网、省市教育网和学校校园网的衔接,实现网络地址、域名和用户的统一管理。深入推进IPv6等新一代网络技术的规模部署和应用。
2.有效感知网络安全威胁。过滤网络不良信息,提升信息化供应链水平,强化在线教育监管,保障广大师生的切身利益。
普教专网IPv6改造核心:
核心网络服务演进,IP全面统一管理
DNS/DHCP/IPAM 三大核心设备是落实IPv6改造的重要基础设施,是普教专网中IPv6改造过程的重中之重,同时,IPv6规模部署也对DDI支撑系统提出了新的要求:
1.整体规划:IPv6海量地址数量需要提前规划,才能充分发挥其优势,包括各网段和各终端的地址编码规划、不同业务和设备的域名命名规则等。
2.网络管理:IPv6地址长而且复杂,难以记忆,让网络管理难度增加,服务器需要配置域名和动态更新的IP地址,DHCP和域名系统将更加紧密结合,DDI成为IPv6管理标配。
3.服务发现:DNS在IPv6网络中需要允许设备自动发现和注册服务。
4.智能服务:DNS要能提供更精准的智能解析优选服务。
5.安全高效:DNS要保护IPv6活跃地址信息,还要主动阻断非法外联解析,以及面对大量终端请求,需要更高性能解析服务。
互联网域名系统国家研究中心(ZDNS),通过灵活、智能、高效的IP资产管理系统,构建更健全的域名服务基础设施,助力普教专网实现对教育IP资产的全面统一管理。
资产全生命周期管理:通过IPv4和IPv6地址规划、地址分配、IP资产管理以及下线回收等,实现IP地址全生命周期管控;
资产主动探测识别:基于主动扫描和被动监听、联动网络设备发现等多种扫描采集技术对网络空间所有网络接入资产进行全面分析,自动收集终端MAC、IP地址、操作系统、接入交换机端口、VLAN等。并通过系统内置指纹特征库自动识别归类资产,形成动态、全面、精准的资产台账;
资产安全状态监测:对关键资产的IP/MAC绑定状、IP冲突监测和IP阻断。DHCP模块支持非法DHCP服务检测盒阻断。
有效感知网络安全威胁:
建设安全威胁管控系统,过滤不良信息
师生聚集的网络环境复杂,挖矿、木马、勒索病毒等利用隧道方式入侵校园网。
域名系统作为互联网关键基础设施,是所有线上服务访问的第一跳。对于普教专网的DNS安全防护来说,是一项系统化工程,需要综合考虑各层面因素,采用多样性的防护策略,巩固DNS安全。
ZDNS下一代DNS域名安全产品体系,突破传统DNS协议设计缺陷,基于自主域名系统红枫(maple),同步构建深度DNS协议防护能力及网络恶意攻击防护能力,抵御递归攻击、权威攻击及渗透威胁等各类风险,并结合大数据分析,构建下一代DNS完整体系,保证服务安全与数据安全。
威胁识别:IOC情报+行为分析,从源头阻断威胁IP访问,实现99.9%威胁拦截;
威胁阻断:将师生访问的恶意域名直接阻断或重定向跳转,保证威胁不出网,精准定位失陷终端;
威胁溯源:第一时间呈现恶意域名访问来源,快速定位失陷主机,形成立体画像。
往期推荐 ·