马俊,Akamai大中华区企业事业部高级售前技术经理
随着新冠肺炎疫情在世界多地的持续蔓延,全球已有191个国家相继关闭学校,直接影响15亿学生和6300万教师 。为了确保疫情期间的教育连续性,绝大多数国家正在通过数字化技术开展远程教学和办公。在中国,教育部也已于一月末下发“利用网络平台,‘停课不停学’”的通知,以期学校和教育机构通过此次疫情展现“互联网+教育”的重要成果应用。诚然,在教育部2018年制定的《教育信息化2.0行动计划》下,近几年中国教育行业明确了IT建设方向,各级学校和培训机构在数字化转型的进程上取得了长足进展。然而,突如其来的疫情对整个行业的教育连续性仍是考验重重。由于学生的学习和教师的工作被一窝蜂转移到线上,措手不及的在线需求让整个行业面临两个重要问题。
首当其冲的是巨大的流量激增。来自全国乃至全球不同地区的流量在同一时间访问学校的在线教学系统和平台,给带宽等IT基础设施带来洪水猛兽般的压力。数据显示,某中国领先教育学习平台的日均活跃用户规模在春节后比平日增长了200% 。另一方面,疫情期间的社交隔离导致网络攻击量增加。更多的在线时间和账户为攻击者带来了更多的攻击目标和机会,而肆意传播的恐慌和谣言也成为了滋生钓鱼软件的温床。Akamai研究发现,今年一季度的网络攻击数量有增无减,其中最大的一起DDoS攻击规模超过400Gbps。而对于教育行业而言,在本就恶劣的环境下,通过不同网络连接环境和终端设备访问教学系统的学生和老师更是令学校和教育机构的网络安全防护雪上加霜。
互联网为疫情下的教育行业带来生的希望,虽然国内疫情形势已趋于平稳,但对于那些拥有海外教师和学生的学校和教育机构而言,如何在全球疫情蔓延的情况下,借互联网之机保证教育和运营连续性不受影响,仍然任重而道远。就此,中国“走出去”的学校和教育机构须重点关注以下三个方面。
最近的官方数据显示,2018年共有来自196个国家和地区的超过49万名各类外国留学人员在中国学习 。而随着《留学中国计划》的实施,2020年,中国将成为亚洲最大的留学目的地国家,在华留学生总数欲达50万。目前春季学期已经过半,国内的一些高校等教育机构正在接收国际学生的秋季入学网上申请。对于这些学校而言,官方网站是对外宣传、吸引海外申请者的有效“门面”。一项研究表明,国际学生更可能通过浏览学校官网来决定是否申请,而高达50%注册的国际学生甚至仅通过浏览学校官网就决定注册 。因此,这就意味着学校网站必须要时时为分散在世界各地、使用各种访问设备的申请者提供顺畅、及时响应的使用体验。
但要做到这点,学校就必须在世界各地部署足够多的服务器,这显然在时间和费用上,学校均负担不起。即使能够做到,Web性能、可靠性和可扩展性也无法确保达到所需水平,这是因为全球范围内的上万家互联网服务提供商是造成终端用户性能瓶颈的“罪魁祸首”。这些提供商相互独立,但互联网的路由和传送协议——边界网关协议(BGP)和传输控制协议(TCP)与Web核心传输协议(HTTP)的交互方式并不能对通信流进行最佳的路由。此外,边界网关协议和传输控制协议通常不能找到并将通信流绕过那些因为全球性灾难事件导致的拥堵和限流地点。因此,当海外的请求访问校内或国内的数据中心时,它会“跋山涉水”从千里而来,从而导致申请者遇到页面无法实时打开的情况。
为了避免上述情况,学校等教育机构应在当前这一特殊时期借助已在全球搭建好众多网络节点的CDN云服务。具体而言,CDN将网站内容直接缓存到其全球服务器中。由于服务器覆盖到全球各个角落,申请者无论身处何地,都会有距离他位置最近的服务器为其提供事先缓存的内容,因此CDN可以克服互联网的先天低效性、把网站和应用程序的内容更快和更可靠地交付至申请者处。通过部署CDN,学校等教育机构亦可卸载带宽、硬件、软件以及节省基础设施的高昂费用。
伴随疫情在全球的不断蔓延,网络攻击黑手也逐步伸向世界各国,越来越多的APT组织、黑产团伙等网络犯罪分子正在频繁地利用疫情热点来发起攻击活动,其中不乏以针对中国地区科研教育领域为主的进攻。就在三月,Akamai观察到DDoS的日均攻击量增加20%。而除了这种可以使网站瘫痪的流量型攻击外,互联网上还有相当多的应用层攻击,其中近三分之二为能够窃取数据和篡改网站的SQL注入攻击 。
疫情期间,国内绝大多数学校已采取远程模式以保证正常教学工作的进行。对于“走出去”的教育机构而言,分散在世界各地的教师和学生需要频繁远程访问学校的内部系统,从而完成资料查阅、作业提交、科学研究、课程选择等必要活动。一般学校和教育机构会采用VPN接入方式进行内部应用系统加密、访客身份验证和控制。从技术角度看,VPN架构是通过控制防火墙把学校的网络系统分为内、外两个部分——认定内网为安全域,外网(互联网)为不安全域,从而针对访客的所有安全控制均发生在防火墙和VPN的端口开放位置。认证一经通过,任何人即可访问内网应用和数据。然而,在网络环境“苦雨凄风”的当下,内部人员访问设备的复杂性以及机构应用环境的复杂性为攻击者带来更多的攻击面,攻击者不仅会轻而易举地利用内部人员的远程访问漏洞,在不经意间把恶意程序注入到内网,最终造成数据泄露等安全威胁,还可对VPN服务器发起DDoS攻击,通过耗尽资源致使服务器崩溃。
针对这种情况,学校等教育机构应使用“零信任网络访问”模式。该模式也称为软件定义边界,相当于一位信任中间人来调和应用和用户间的连接。它在默认情况下不信任内、外网络的任何访客,而是基于身份以及诸如时间、地理位置和访问设备的属性和环境来动态授予访问权限,并根据访客身份的不同授予不同的内容访问权限,从而达到将应用程序从公众视线中移除、大幅减少攻击面的效果。此外,目前的一些零信任网络访问解决方案还支持多因子验证,诸如短信、邮箱等一次性验证码可以进一步帮助教育机构管理访客身份、记录所有访问活动。
疫情期间,直播成为了中国“停课不停学”号召下的重要教学方式,与录播教学相比,直播旨在更好满足师生课上实时互动的即时性需求。然而,现实总是比理想更骨感。大量的学生和教师在相似时段进行直播以及不同的网络接入环境导致教学画面的延迟、缓冲和失真经常出现,而网络卡顿已成为困扰中国教师直播教学的主要问题 。直播流畅度与授课效果息息相关,Akamai和Sensum的研究发现,不管内容吸引力如何,频繁缓冲等低质量的传输过程会使观众从能够激发情感的故事情节中脱离出来、作出消极反应;这些糟糕的体验会使消极情绪增加16%、参与度下降近20% 。
三月末,中国教育部也要求各地各校做好境外来华留学生网上授课等线上教学活动。不过,由于传输距离更远、网络环境更为复杂,针对海外学生的教学直播更容易出现网络拥堵、延迟和丢包等现象。因此,学校等教育机构可以在准备阶段使用情境感知编码解决方案来优化针对目录中每一个标题的比特率阶梯,在直播阶段通过清单操纵(manifest manipulation)来降低峰值带宽,以及使用构建到视频播放器中的高级逻辑来增加比特率 。当然,更简单的方法是寻求针对直播流媒体的边缘计算解决方案。具体而言,当观看教学直播的学生数量瞬时增多时,直播平台的主站数据中心会承受非常大的计算与带宽压力,这时距离发出请求学生最近的边缘服务器便会分担压力。此外,当学生请求一个在线视频文件时,距离最近的边缘服务器会进行处理,从而避免长路径的访问传输引起的视频延迟、卡顿等不良状况。
另一方面,很多直播课程是学校等教育机构的精品或独家内容,但当前盗版犯罪分子正以此牟利,使用包括凭证共享(credential sharing)或链接共享(link sharing)、重新编码器(re-encoder)和流媒体劫持工具(stream ripping tool)等高级盗版工具偷取内容并重新发布。因此,教育行业还应通过用户身份验证、非法访问撤销和内容加密来防止内容被盗,通过使用水印解决方案检测原始语境泄露来保护访问,以及通过使用传输层安全协议对传输的数据进行加密来确保跨内容传递路径的通信安全。
人无远虑,必有近忧。世卫组织最新指出,新冠肺炎大流行远未结束。在有效药物和防治方法出现之前,疫情的发展不可预测,或许目前的远程教学和工作方式将成为一种新常态。“走出去”的中国教育行业应在此次全球疫情中顺势而为、化危为机,尽早借科技之力将数字化教学升入新阶段,以在任何情况下都能保持教学活动连续、稳定、安全的运行。
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面