等保2.0下高職院校智慧校園網絡安全體系建設研究
——以深圳職業技術學院為例

◆莫民 曹璞

（深圳職業技術學院教育技術與信息中心 廣東 518055）

隨著物聯網、人工智能、云計算、虛擬現實等為代表的新興信息技術與高職教育深度融合，高職教育數字化校園建設已逐步走向智慧校園建設新階段。智慧校園建設的目標是實現校園智慧化服務和管理，覆蓋包括智慧教學、智慧管理、智慧環境、智慧安保等多種智慧化業務。在推進智慧校園建設中，保障智慧校園各業務系統安全可靠運行是首要任務，這對校園網絡安全提出了更高的要求。建立全面的網絡安全保障體系，加大對各類數據信息的保護，是目前高職院校智慧校園信息化建設中面臨的新挑戰。我校在智慧校園建設中，依據網絡安全等級保護二級標準，開展校園網絡安全體系的設計，并與各應用系統同步進行實施，為師生提供快速、安全可靠的網絡環境，更好地為智慧校園提供服務。

1 智慧校園網絡安全現狀

校園網絡是智慧校園各業務系統運行的基礎。智慧校園建設過程中，大量的信息系統新建或系統升級改造，網絡和應用規模更加龐大，系統結構更加復雜，校園網絡面臨著全新的安全隱患，無論是學校內部還是外部網絡都面臨著嚴峻的信息安全挑戰。

校園網絡架構不完善。高職院校校園網絡大多存在分期建設的情況，在建設的初期，對網絡安全的建設缺乏中、長期規劃，安全設備多是后期通過打補丁的方式進行整改和新增，設備部署分散、管理復雜，難于協同管理。隨著智慧校園建設工作的推進，網絡平臺規模的逐步擴大，校園網上提供的服務和加載的應用程序不斷增多，涉及大量的信息數據、管理數據和師生敏感信息，對校園網絡的規劃與設計、以及網絡安全提出了更高的安全等級要求。

應用防御手段不足。隨著智慧校園建設的不斷深化，新增業務系統不斷增多，需求變得更復雜，應用功能多樣，維護和管理難度增大，但相應的應用防御手段不足，網絡安全隱患不斷增加。

新技術應用給校園網絡安全帶來全新挑戰。智慧校園是一種全新的校園信息化形態，物聯網、云計算、虛擬化技術、移動互聯網、數據挖掘、數據交換、應用集成等前沿信息技術已廣泛應用到智慧校園中。學校采購了高性能大容量的服務器等硬件設備，搭配專業的虛擬化平臺軟件進行云數據中心建設，在其上部署各種應用系統。但是云數據中心、云平臺、虛擬機架構缺乏立體安全防護，云平臺下虛擬機東西向流量的安全也往往被忽視。而智慧校園建設中移動應用、虛擬現實和人工智能技術的應用，也離不開校園網絡的發展，要求高職院校的網絡更加安全和智能。

安全管理制度尚需完善。智慧校園建設中，網絡用戶群體復雜，有學校管理人員、勤務人員、教師、在校學生，還有大量的設備廠商開發和運維人員等，校園網用戶的網絡操作技能良莠不齊，相當一部分校園網用戶存在“網絡安全問題事不關己”“網絡安全防護意識差”等現象。學校業務應用系統種類繁多，大多數管理員不是專業人員，缺乏安全意識，安全措施不到位。高職院校網絡安全管理方面的制度還不夠完善或制度執行不到位，不能對高校信息化建設、以及建設和使用人員形成有效的約束。以上問題，對校園網安全管理帶來很大的困難。

2 網絡安全等級保護制度

《中華人民共和國網絡安全法》第二十一條規定，國家實行網絡安全等級保護制度，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。網絡安全等級保護制度是我國信息安全工作的基本制度和基本國策，是開展信息安全工作的基本方法。

在等級保護1.0 時代，信息化建設以信息系統為基本單位，等級保護以信息系統為基本單位進行定級、備案、測評、整改。隨著近幾年來一些新技術如云計算、移動互聯、大數據、物聯網、人工智能不斷提出和實現，信息技術的業務目標、應用技術、應用場景等都發生了變化。為順應新技術的發展，等級保護的相關標準也需要跟上新技術的發展，2019 年5 月，在等保1.0 的基礎上，公安部發布《網絡安全等級保護基本要求》（簡稱“等保2.0”）

等保2.0將等級保護的對象由單個的信息系統擴充至基礎信息網絡、信息系統（含移動應用系統）、云計算平臺、大數據應用、物聯網和工業控制系統等，將被動的防御審計方式轉變為主動的安全監測、動態響應。提出由傳統的分層防護，向綜合防控和集中防護轉變，并提出構建“一個中心，三重防護”的體系框架。一個中心是指安全管理中心，是將系統管理、審計管理、安全管理和集中管理等進行融合集中管控；三重防護是指安全通信環境、安全區域邊界和安全計算環境。

等保2.0從技術和管理兩大方面對網絡與信息系統安全保障進行了全面描述與規范（如圖1 所示），其是一部完整的以技術保障為基礎、以管理運營為抓手、以監測 預警為核心、以協同響應為目標的網絡安全防御體系框架性指導標準與規劃建設指南。高職院智慧校園網絡安全建設應從學校實際出發，結合國家信息安全等級保護相關要求，制定一體化安全保障策略。

圖1 等保2.0 安全技術體系

3 網絡安全技術體系設計

校園網絡安全體系建設，一方面要考慮校園信息化發展現狀，針對教學系統、應用管理系統、服務系統，大數據、輔助業務等應用系統對網絡的要求；另一方面還要從校內核心用戶，比如：教師、學生、服務人員的角度出發；充分結合各種網絡構成部分，比如：一卡通專網、財務專網、校園骨干網、校園匯聚網、校園接入網等組成部分，綜合評級并制定學校校園網安全保護且應滿足等級保護二級要求，應從物理環境、通信網絡、區域邊界、計算環境和管理安全等方面進行設計。

3.1 物理環境安全設計與實現

網絡物理環境安全是網絡安全的前提，物理環境安全包括機房安全、網絡設備安全、線路安全等。網絡機房作為信息網絡樞紐和數據采集、傳輸與處理中心，為智慧校園各種應用系統平臺提供安全、可靠、穩定的運行環境。為提升機房的整體環境，學校將校園網機房進行改造升級。采用新一代模塊化機房，將機架、制冷、配電、安防、監控和消防系統等基礎設置集成到一個特殊設計的框架內，形成一個高度集成、多用途的機房模塊，并可實現積木式擴展。機房中除提供穩定的電力供應、還配備UPS、溫濕度控制、門禁、電磁防護、動環監控平臺等軟硬件設施來建立系統運行的物理保護架構。

3.2 校園網安全通信網絡體系設計

構建校園網安全通信網絡包含網絡架構、通信傳輸和可信驗證等控制點，可通過結構安全與網段劃分、網絡訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、網絡設備防護等幾個方面進行整體設計部署。

網絡布局及架構。在網絡建設中，校園網絡架構以星型結構為主，將校園網絡劃分為核心層、匯聚層、接入層。遵照網絡結構扁平化設計原則，利用核心設備的強大功能盡量減少匯聚層設備，接入層和樓宇匯聚以下以二層交換接入到核心設備，在核心上做路由。三層的相關設備都采用支持IPv6 協議和多協議標簽交換MPLS 技術的設備，以迎接IPv6 的普及并提升安全性。學校有東、西、北三大主要校區，核心層采用三校區核心環形網絡結構，在東校區部署兩臺核心交換機來確保實現雙機熱備功能，并與西、北校區形成環狀結構。各校區之間的核心通過城域網互聯，帶寬40G 的骨干鏈路保證各校區的數據流量帶寬。同時，在此基礎上拓展校園無線網絡的部署，將無線網絡作為有線網絡的延伸和補充，實施全校區統一覆蓋和無縫銜接。校園網絡建設實現“接入層千兆”“匯聚層萬兆”“核心層十萬兆”的高速三層網絡構架。

網絡安全區域劃分。根據學校網絡與信息系統各節點的網絡結構、具體的應用，依據信息安全等級保護的需求，按照“分區隔離、整體防護、分層把守”的原則，采用邏輯隔離技術（VLAN 和防火墻技術）將整個學校的網絡系統劃分為互聯網接入域、核心鏈路域、數據中心域、網絡管理域、辦公域等共五個區域，每個區域之下根據業務情況可細分不同的子域，如數據中心區域又劃分為DMZ、運維管理、安全管理三個子域。在各區域部署相應的網絡安全設備，設置相應的網絡策略，實現不同安全域之間的隔離，形成區域邊界，加強安全防護信息，防護來自域之外的安全風險。

安全區域邊界控制。校園出口網絡采用多條ISP 鏈路，通過負載均衡機制均衡多條鏈路之間的流量分布。部署出口防火墻、核心鏈路防火墻和數據中心防火墻，構成多層防火墻實現區域邊界的安全防護策略。出口防火墻主要完成互聯網域和校園網的訪問控制，核心鏈路防火墻和數據中心防火墻主要完成校園網內部訪問控制。部署抗 DDoS 攻擊設備，就外部網絡對校園網的 DDoS 攻擊流量進行檢測、報警和清理。對于互聯網接入域的核心設備，如出口防火墻、DDoS 防御、流量控制、VPN 系統進行冗余設計，以保障學校關鍵業務系統的可用性與連續性。

安全策略的制定。在出口防火墻上部署安全防護策略，只允許互聯網訪問數據中心域部分開放服務端口，拒絕互聯網主動訪問核心鏈路域、網絡管理域和辦公域，允許辦公域和網絡管理域訪問互聯網，根據業務需求允許部分核心鏈路域和數據中心域設備訪問互聯網。在核心鏈路防火墻部署安全防護策略，允許網絡管理域訪問所有校園網區域，只允許辦公域訪問數據中心域業務服務端口，根據業務服務需求，允許部分辦公域訪問網絡管理域服務。在數據中心防火墻部署安全防護策略，允許有業務關聯服務器間互相訪問服務端口，保障業務正常運行，禁止無業務關聯服務器間訪問。

校園網安全體系設計如圖2 所示。

圖2 校園網絡安全體系拓撲圖

3.3 安全計算環境

安全計算環境要求主要包括：用戶身份鑒別、自主訪問控制、系統安全審計、用戶數據完整性保護、用戶數據保密性保護、數據備份恢復、入侵檢測和惡意代碼防范等方面內容。

用戶認證及授權。采用統一身份認證系統為校園所有應用系統提供統一的用戶管理、統一的身份認證服務，同時支持基于角色的用戶權限管理。采用數字證書、數據加密技術以及基于角色訪問控制技術，提高應用系統的安全性和用戶信息的安全性。重要應用系統在管理后臺添加應用程序認證模塊功能，設置用戶認證通過CA 證書和用戶名口令進行身份鑒別，滿足雙因子身份鑒別方式。

主機安全設計與實現。智慧校園中采用的是云平臺模式，虛擬化集群服務器安全主要考慮虛擬云平臺安全策略。將云平臺劃分為計算域、服務域、維護域等不同的安全子域，通過部署虛擬化安全設備（如：虛擬化防火墻、虛擬化WAF、虛擬化IPS），將一臺安全設備在邏輯上劃分成多臺虛擬的安全設備，每個虛擬安全設備都可以被看成是一臺完全獨立的安全設備，可擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等，從而進行有效的網絡隔離和防護。

訪問控制與安全審計。在網絡管理域中部署堡壘機系統，實現對運維管理人員的統一安全審計；通過堡壘主機控制運維管理用戶對網絡設備、服務器的訪問。在堡壘機上啟用安全的遠程管理協議，保證身份鑒別等敏感信息在傳輸過程中的安全。

惡意代碼防范設計。在網絡管理域中部署網絡版防病毒軟件的根服務器，在各業務系統中各部署一套級聯服務器對安裝網絡版防毒軟件的服務器進行管理和特征庫同步更新。對經過網絡傳輸的惡意代碼進行檢測，在惡意代碼（蠕蟲、木馬和病毒等）未到達目標主機前完成查殺。

應用安全設計與實現。重要應用系統采用HTTPS 協議支撐后臺服務或通過VPN 訪問后臺，對通信過程中數據的完整性進行驗證，并對通信過程中報文或會話過程進行加密。在應用系統前部署 Web 應用防火墻，開啟Web 防護策略、防掃描功能、DDoS 攻擊防護策略等對來自應用層的攻擊（如注入攻擊、網頁木馬、HTTP 協議攻擊等）進行檢測及防范。在應用系統前部署防篡改設備，對相關應用系統進行惡意篡改監控和防護。部署 Web 安全掃描系統對相關Web應用系統安全進行掃描檢測，及時發現安全問題。通過調整安全策略及添加審計功能，提高應用系統安全防護能力。

數據安全設計與實現。建立統一的數據中心和數據標準，對接入智慧校園各系統的所有數據進行統一管理，建立并完善數據訪問控制機制。部署數據庫審計系統，將信息系統的數據庫服務器VLAN 中的數據以鏡像方式發送至數據庫審計引擎的采集端口，并發送至安全管理中心進行數據庫日志審計。通過建立數據庫賬號密碼策略、數據庫訪問控制策略、數據完整性校驗及加密、數據備份與恢復等一系列的措施，加強對數據庫的防護。

終端安全設計。在辦公域中使用域控并開啟組策略，安裝終端安全管理系統和網絡版防病毒軟件。防病毒及統一終端安全管理系統服務器端部署在數據中心域中，辦公域中所有辦公終端安裝終端安全管理系統客戶端，所有的安全策略由終端安全管理系統服務端統一部署并下發策略。

3.4 管理安全中心

建立安全管理中心是等保2.0 新增的控制措施。安全管理中心建設可實現對所有設備和運維人員的統一集中管理，包括系統管理、安全管理、審計管理和集中管控四項要求。通過部署堡壘機系統進行網絡設備、應用系統運維權限管控和信息安全審計，對所有運維人員的登錄進行統一身份驗證與審計，實現單點登錄、賬號管理、身份認證、統一資源授權管理、配置相應的安全策略，對運維操作進行集中管理和分析，實現對運維操作的安全監控與審計。使用堡壘機接管了運維終端對目標資源的直接訪問，邏輯上將運維人員與目標設備進行了分離。

網絡安全大數據平臺設計建設。為實時監測校園網絡安全狀況，及時發現并處置安全事件，化被動為主動，為校園網絡安全提供保障，因此充分利用數據融合、數據挖掘、智能分析和可視化等先進技術，建立校園網網絡安全態勢感知方案。平臺架構設計為數據采集、大數據平臺、檢測分析、應用展示四層邏輯架構。通過全面采集全網流量數據、收集校內各類網絡設備、安全設備、服務器操作系統、數據庫以及各種應用系統的日志、事件、告警信息、審計信息等數據進行匯總和集中分析，對安全策略、惡意代碼、補丁升級等事項進行集中管理，對整個校園網的線路、設備和服務狀態進行監控。借助大數據采集、處理、存儲、分析等相關技術，對海量網絡安全信息進行自動分析處理和深度挖掘，對網絡的安全狀態進行分析評價，建立一個實時展示、識別、分析、預警安全威脅的統一的安全管理系統。隨著該系統平臺的部署實施，將整個校園網安全態勢以可視化形式呈現，網絡運維人員可非常直觀地持續監控網絡活動，檢測、分析并判斷異常事件，聯動安全設備實現自動精準阻斷，同時可以對網絡攻擊溯源進行取證。實現安全態勢可感知、安全威脅可預警、異常行為可監控，切實做到事前有效預警、事中及時處理、事后查補漏洞的有效的信息安全防范手段，有效提高校園網絡安全水平。

3.5 安全服務體系

網絡安全是一個系統工程，單靠某一個人或部門無法把網絡安全工作做好。學校要建立起運營商級、安全運維級和校級三級安全服務體系。學校是安全責任的主體，在網絡安全運維過程中，學校采用人防和技防相結合的模式，一方面既要充分發揮網絡安全設備的功能，還要學校網絡技術人員起到主導作用，主要問題、關鍵環節要了然于胸，做好安全日常運維和事故處置。另一方面，加強與兄弟單位、公安機關、電信公司的合作與溝通，利用運營商和網絡安全公司的技術力量，來彌補學校技術力量不足的問題，如引進漏洞檢測設備、采用安全評估工具以及委托第三方安全檢測機構，由專業安全運維團隊開展人工滲透測試，定期對學校重要應用系統及數據庫、虛擬機、移動APP 等進行漏洞檢測和滲透測試，提前發現問題，對于存在高危漏洞的信息系統及時進行整改。

4 網絡安全管理體系建立

在實施網絡安全建設中，要管理先行。網絡安全管理體系設計主要依據《信息系統安全等級保護基本要求》中的管理要求而設計。分別從以下方面進行設計：

安全管理機構。學校成立了網絡安全與信息化領導小組，并由其制定信息安全工作的總體方針和安全策略，明確學校網絡安全工作的總體目標、范圍、原則和安全框架等。確立網絡信息安全管理組織體系與崗位職責，通過網絡安全系列文件頒布實施落實網絡安全責任。建立分級安全責任體系，明確黨委書記和部門負責人為各單位網絡安全第一責任人；明確信息辦為網絡安全工作的統籌協調部門、信息中心為運維和技術支撐部門。各單位指定一名網絡安全工作員，負責本單位網絡安全日常管理和具體落實協調工作。

安全管理制度。學校從技術管理、運維管理、信息安全管理、信息化服務管理、信息化項目管理、信息化支撐管理等方面建立安全管理制度；對安全管理人員或操作人員執行的重要管理操作建立操作規程。制定學校信息安全標準規范，用于建立信息系統可靠的安全防御，指導信息系統在物理部署、網絡設置、系統安全防治、應用平臺安全等方面制定落實安全措施，明確信息系統可以獲取的安全支撐環境，以及應用支撐平臺對信息系統的安全要求。

人員安全管理。加強各單位系統管理人員的錄用、考核和離崗管理。規范人員錄用過程，對被錄用人員的身份、背景和專業資格等進行審查，對其所具有的技術技能進行考核；與從事關鍵崗位的人員簽署保密協議。定期對各個崗位的人員進行安全技能及安全認知的考核，對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓。規范系統管理人員離崗過程，及時終止離崗員工的所有訪問權限。

加強系統建設和運維管理。實行信息系統全生命周期的管理。在系統方案設計之初，即要明確信息系統的邊界和安全保護等級；選擇基本安全措施，明確對系統的安全保護要求、策略和措施等內容，形成系統的安全方案；組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定，經過批準后，才能正式實施。

5 結束語

安全的網絡環境為智慧校園的建設提供極為強大的基礎設施和助力作用。在推進智慧校園建設的同時，本文研究了將網絡安全和應用系統建設統籌推進，以“等保2.0”的標準為抓手和依托，通過對學校網絡安全、應用安全、數據安全、管理安全等各方面進行規劃設計建設，部署相應的安全產品并進行相應的安全配置，結合安全服務體系的構建，建立起校園網絡安全保障體系，提高高職院校信息安全防護水平及能力，為智慧校園各項應用保駕護航。