河南省教育招生办城域网综合安全防御

根据国家教育部下发的《教育部关于做好国家教育考试考务管理与服务平台相关工作的通知》，河南省招生办公室从2007年起，即在本省开展了教育考试平台的建设与开发工作，经过几年建设已取得一定的成效，根据项目计划在2014年需要完成覆盖全省各个考点学校的四级电子在线巡查监控系统，有效防范高、中考的各种作弊行为。

随着教育考试中心平台的建设，信息安全逐渐被重视起来，河南省教育厅对此提出了综合防御，积极防范的建设要求，而整合了多种安全功能的Hillstone企业安全设备，作为网络安全建设的重要内容，被部署在河南省各市级教育中心平台，主要用以保护高、中考电子在线巡查的视频监控，保障河南省教育厅正常的考务管理。

需求分析

利用电信MPLS VPN广域网链路，河南省教育考试中心将市、县招生办，以及各个考点院校的网络连接在一起，完成相关的业务访问和操作，其中省招办出口为100M、市县招办出口均为30M链路，而各个考点院校的出口大多为10M链路。电信MPLS VPN广域网链路的相对开放性，使得河南省教育考试中心的各类业务访问依然面临着较大的安全隐患，为此河南省教育考试中心提出了如下的安全建设需求：

● 更安全的数据传输保障：系统能够对广域网上传输的数据进行机密性和完整性的保护，能够有效对抗黑客非法的窃听或篡改行为，保护数据安全；

● 更有效的带宽控制：正如前面所述，各个区县节点链路上，既有与教育考试相关的业务应用，也有各个节点办公人员的上网访问，不同业务存在着对带宽资源的争夺，为此有效控制带宽的分配就显得非常重要；

● 有效的访问控制：限制河南省教育考试中心的纵向非法访问，并对关键的网上巡查业务进行有效保障。

解决方案

针对河南省教育考试中心提出的安全建设需求，Hillstone通过集成多种安全防护技术的企业安全设备可有效应对，在本期项目中，Hillstone企业安全设备部署在郑州、濮阳及下辖的各区县招生办，以及作为考点的院校，重点对网上巡查业务进行安全防护，并通过集成的VPN、QoS功能，保障了业务访问的安全性和稳定性。具体的配置部署示意如下：

● 保障数据安全传输

Hillstone企业安全设备提供的IPSecVPN，作用在河南省招生办、郑州及濮阳招生办，以及各个县级招生办和考点院校的广域网边界，通过加密、摘要等技术手段，有效保障了数据传输的机密性和完整性。Hillstone企业安全设备提供即插即用的VPN，部署时只需要进行预先的简单配置，即可在大规模多节点部署的Hillstone企业安全设备间实现VPN隧道的建立与通信，非常适合河南省教育考试中心类的场景使用。

● 智能带宽管理

Hillstone企业安全设备支持的带宽管理功能，从用户维度、应用维度制定更精准的QoS策略，在本项目中通过该功能，针对区县不同节点间，以及区县与上级的地市节点，以及省级节点间的业务访问，按照业务类型和等级定义不同的带宽控制策略，保障重要业务的资源配给。在此基础上，Hillstone企业安全设备提供的弹性带宽策略，还能够根据链路的忙闲状态，在一定范围内弹性增加或减少给不同业务分配的带宽，进一步提升各节点广域网链路带宽的利用率。

● 安全集中管理

在郑州市及濮阳市区县及各个考点院校大规模部署Hillstone企业安全设备的基础上，在省招生办节点部署了Hillstone安全管理平台，对各点部署的安全设备实施集中管理，包括安全日志、访问日志的集中分析，并通过深入的数据挖掘，有效分析出当前是否存在安全威胁，提升了网络安全事件的分析和响应能力。

运行效果

Hillstone企业安全设备提供的简单易用的IPSec VPN，在河南省教育考试城域网中部署非常方便，并且Hillstone企业安全设备运行稳定，在实施后的一段时间内没有出现一次中断性故障，在2012年河南省高考期间，为网上巡查系统的正常运行提供了有力支撑，通过严格的访问控制和带宽控制策略，杜绝了非法访问，保障了考试的顺利进行，为此用户感到非常满意。