等保2.0下高职院校智慧校园网络安全体系建设研究
——以深圳职业技术学院为例

◆莫民 曹璞

（深圳职业技术学院教育技术与信息中心 广东 518055）

随着物联网、人工智能、云计算、虚拟现实等为代表的新兴信息技术与高职教育深度融合，高职教育数字化校园建设已逐步走向智慧校园建设新阶段。智慧校园建设的目标是实现校园智慧化服务和管理，覆盖包括智慧教学、智慧管理、智慧环境、智慧安保等多种智慧化业务。在推进智慧校园建设中，保障智慧校园各业务系统安全可靠运行是首要任务，这对校园网络安全提出了更高的要求。建立全面的网络安全保障体系，加大对各类数据信息的保护，是目前高职院校智慧校园信息化建设中面临的新挑战。我校在智慧校园建设中，依据网络安全等级保护二级标准，开展校园网络安全体系的设计，并与各应用系统同步进行实施，为师生提供快速、安全可靠的网络环境，更好地为智慧校园提供服务。

1 智慧校园网络安全现状

校园网络是智慧校园各业务系统运行的基础。智慧校园建设过程中，大量的信息系统新建或系统升级改造，网络和应用规模更加庞大，系统结构更加复杂，校园网络面临着全新的安全隐患，无论是学校内部还是外部网络都面临着严峻的信息安全挑战。

校园网络架构不完善。高职院校校园网络大多存在分期建设的情况，在建设的初期，对网络安全的建设缺乏中、长期规划，安全设备多是后期通过打补丁的方式进行整改和新增，设备部署分散、管理复杂，难于协同管理。随着智慧校园建设工作的推进，网络平台规模的逐步扩大，校园网上提供的服务和加载的应用程序不断增多，涉及大量的信息数据、管理数据和师生敏感信息，对校园网络的规划与设计、以及网络安全提出了更高的安全等级要求。

应用防御手段不足。随着智慧校园建设的不断深化，新增业务系统不断增多，需求变得更复杂，应用功能多样，维护和管理难度增大，但相应的应用防御手段不足，网络安全隐患不断增加。

新技术应用给校园网络安全带来全新挑战。智慧校园是一种全新的校园信息化形态，物联网、云计算、虚拟化技术、移动互联网、数据挖掘、数据交换、应用集成等前沿信息技术已广泛应用到智慧校园中。学校采购了高性能大容量的服务器等硬件设备，搭配专业的虚拟化平台软件进行云数据中心建设，在其上部署各种应用系统。但是云数据中心、云平台、虚拟机架构缺乏立体安全防护，云平台下虚拟机东西向流量的安全也往往被忽视。而智慧校园建设中移动应用、虚拟现实和人工智能技术的应用，也离不开校园网络的发展，要求高职院校的网络更加安全和智能。

安全管理制度尚需完善。智慧校园建设中，网络用户群体复杂，有学校管理人员、勤务人员、教师、在校学生，还有大量的设备厂商开发和运维人员等，校园网用户的网络操作技能良莠不齐，相当一部分校园网用户存在“网络安全问题事不关己”“网络安全防护意识差”等现象。学校业务应用系统种类繁多，大多数管理员不是专业人员，缺乏安全意识，安全措施不到位。高职院校网络安全管理方面的制度还不够完善或制度执行不到位，不能对高校信息化建设、以及建设和使用人员形成有效的约束。以上问题，对校园网安全管理带来很大的困难。

2 网络安全等级保护制度

《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。网络安全等级保护制度是我国信息安全工作的基本制度和基本国策，是开展信息安全工作的基本方法。

在等级保护1.0 时代，信息化建设以信息系统为基本单位，等级保护以信息系统为基本单位进行定级、备案、测评、整改。随着近几年来一些新技术如云计算、移动互联、大数据、物联网、人工智能不断提出和实现，信息技术的业务目标、应用技术、应用场景等都发生了变化。为顺应新技术的发展，等级保护的相关标准也需要跟上新技术的发展，2019 年5 月，在等保1.0 的基础上，公安部发布《网络安全等级保护基本要求》（简称“等保2.0”）

等保2.0将等级保护的对象由单个的信息系统扩充至基础信息网络、信息系统（含移动应用系统）、云计算平台、大数据应用、物联网和工业控制系统等，将被动的防御审计方式转变为主动的安全监测、动态响应。提出由传统的分层防护，向综合防控和集中防护转变，并提出构建“一个中心，三重防护”的体系框架。一个中心是指安全管理中心，是将系统管理、审计管理、安全管理和集中管理等进行融合集中管控；三重防护是指安全通信环境、安全区域边界和安全计算环境。

等保2.0从技术和管理两大方面对网络与信息系统安全保障进行了全面描述与规范（如图1 所示），其是一部完整的以技术保障为基础、以管理运营为抓手、以监测 预警为核心、以协同响应为目标的网络安全防御体系框架性指导标准与规划建设指南。高职院智慧校园网络安全建设应从学校实际出发，结合国家信息安全等级保护相关要求，制定一体化安全保障策略。

图1 等保2.0 安全技术体系

3 网络安全技术体系设计

校园网络安全体系建设，一方面要考虑校园信息化发展现状，针对教学系统、应用管理系统、服务系统，大数据、辅助业务等应用系统对网络的要求；另一方面还要从校内核心用户，比如：教师、学生、服务人员的角度出发；充分结合各种网络构成部分，比如：一卡通专网、财务专网、校园骨干网、校园汇聚网、校园接入网等组成部分，综合评级并制定学校校园网安全保护且应满足等级保护二级要求，应从物理环境、通信网络、区域边界、计算环境和管理安全等方面进行设计。

3.1 物理环境安全设计与实现

网络物理环境安全是网络安全的前提，物理环境安全包括机房安全、网络设备安全、线路安全等。网络机房作为信息网络枢纽和数据采集、传输与处理中心，为智慧校园各种应用系统平台提供安全、可靠、稳定的运行环境。为提升机房的整体环境，学校将校园网机房进行改造升级。采用新一代模块化机房，将机架、制冷、配电、安防、监控和消防系统等基础设置集成到一个特殊设计的框架内，形成一个高度集成、多用途的机房模块，并可实现积木式扩展。机房中除提供稳定的电力供应、还配备UPS、温湿度控制、门禁、电磁防护、动环监控平台等软硬件设施来建立系统运行的物理保护架构。

3.2 校园网安全通信网络体系设计

构建校园网安全通信网络包含网络架构、通信传输和可信验证等控制点，可通过结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络设备防护等几个方面进行整体设计部署。

网络布局及架构。在网络建设中，校园网络架构以星型结构为主，将校园网络划分为核心层、汇聚层、接入层。遵照网络结构扁平化设计原则，利用核心设备的强大功能尽量减少汇聚层设备，接入层和楼宇汇聚以下以二层交换接入到核心设备，在核心上做路由。三层的相关设备都采用支持IPv6 协议和多协议标签交换MPLS 技术的设备，以迎接IPv6 的普及并提升安全性。学校有东、西、北三大主要校区，核心层采用三校区核心环形网络结构，在东校区部署两台核心交换机来确保实现双机热备功能，并与西、北校区形成环状结构。各校区之间的核心通过城域网互联，带宽40G 的骨干链路保证各校区的数据流量带宽。同时，在此基础上拓展校园无线网络的部署，将无线网络作为有线网络的延伸和补充，实施全校区统一覆盖和无缝衔接。校园网络建设实现“接入层千兆”“汇聚层万兆”“核心层十万兆”的高速三层网络构架。

网络安全区域划分。根据学校网络与信息系统各节点的网络结构、具体的应用，依据信息安全等级保护的需求，按照“分区隔离、整体防护、分层把守”的原则，采用逻辑隔离技术（VLAN 和防火墙技术）将整个学校的网络系统划分为互联网接入域、核心链路域、数据中心域、网络管理域、办公域等共五个区域，每个区域之下根据业务情况可细分不同的子域，如数据中心区域又划分为DMZ、运维管理、安全管理三个子域。在各区域部署相应的网络安全设备，设置相应的网络策略，实现不同安全域之间的隔离，形成区域边界，加强安全防护信息，防护来自域之外的安全风险。

安全区域边界控制。校园出口网络采用多条ISP 链路，通过负载均衡机制均衡多条链路之间的流量分布。部署出口防火墙、核心链路防火墙和数据中心防火墙，构成多层防火墙实现区域边界的安全防护策略。出口防火墙主要完成互联网域和校园网的访问控制，核心链路防火墙和数据中心防火墙主要完成校园网内部访问控制。部署抗 DDoS 攻击设备，就外部网络对校园网的 DDoS 攻击流量进行检测、报警和清理。对于互联网接入域的核心设备，如出口防火墙、DDoS 防御、流量控制、VPN 系统进行冗余设计，以保障学校关键业务系统的可用性与连续性。

安全策略的制定。在出口防火墙上部署安全防护策略，只允许互联网访问数据中心域部分开放服务端口，拒绝互联网主动访问核心链路域、网络管理域和办公域，允许办公域和网络管理域访问互联网，根据业务需求允许部分核心链路域和数据中心域设备访问互联网。在核心链路防火墙部署安全防护策略，允许网络管理域访问所有校园网区域，只允许办公域访问数据中心域业务服务端口，根据业务服务需求，允许部分办公域访问网络管理域服务。在数据中心防火墙部署安全防护策略，允许有业务关联服务器间互相访问服务端口，保障业务正常运行，禁止无业务关联服务器间访问。

校园网安全体系设计如图2 所示。

图2 校园网络安全体系拓扑图

3.3 安全计算环境

安全计算环境要求主要包括：用户身份鉴别、自主访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、数据备份恢复、入侵检测和恶意代码防范等方面内容。

用户认证及授权。采用统一身份认证系统为校园所有应用系统提供统一的用户管理、统一的身份认证服务，同时支持基于角色的用户权限管理。采用数字证书、数据加密技术以及基于角色访问控制技术，提高应用系统的安全性和用户信息的安全性。重要应用系统在管理后台添加应用程序认证模块功能，设置用户认证通过CA 证书和用户名口令进行身份鉴别，满足双因子身份鉴别方式。

主机安全设计与实现。智慧校园中采用的是云平台模式，虚拟化集群服务器安全主要考虑虚拟云平台安全策略。将云平台划分为计算域、服务域、维护域等不同的安全子域，通过部署虚拟化安全设备（如：虚拟化防火墙、虚拟化WAF、虚拟化IPS），将一台安全设备在逻辑上划分成多台虚拟的安全设备，每个虚拟安全设备都可以被看成是一台完全独立的安全设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等，从而进行有效的网络隔离和防护。

访问控制与安全审计。在网络管理域中部署堡垒机系统，实现对运维管理人员的统一安全审计；通过堡垒主机控制运维管理用户对网络设备、服务器的访问。在堡垒机上启用安全的远程管理协议，保证身份鉴别等敏感信息在传输过程中的安全。

恶意代码防范设计。在网络管理域中部署网络版防病毒软件的根服务器，在各业务系统中各部署一套级联服务器对安装网络版防毒软件的服务器进行管理和特征库同步更新。对经过网络传输的恶意代码进行检测，在恶意代码（蠕虫、木马和病毒等）未到达目标主机前完成查杀。

应用安全设计与实现。重要应用系统采用HTTPS 协议支撑后台服务或通过VPN 访问后台，对通信过程中数据的完整性进行验证，并对通信过程中报文或会话过程进行加密。在应用系统前部署 Web 应用防火墙，开启Web 防护策略、防扫描功能、DDoS 攻击防护策略等对来自应用层的攻击（如注入攻击、网页木马、HTTP 协议攻击等）进行检测及防范。在应用系统前部署防篡改设备，对相关应用系统进行恶意篡改监控和防护。部署 Web 安全扫描系统对相关Web应用系统安全进行扫描检测，及时发现安全问题。通过调整安全策略及添加审计功能，提高应用系统安全防护能力。

数据安全设计与实现。建立统一的数据中心和数据标准，对接入智慧校园各系统的所有数据进行统一管理，建立并完善数据访问控制机制。部署数据库审计系统，将信息系统的数据库服务器VLAN 中的数据以镜像方式发送至数据库审计引擎的采集端口，并发送至安全管理中心进行数据库日志审计。通过建立数据库账号密码策略、数据库访问控制策略、数据完整性校验及加密、数据备份与恢复等一系列的措施，加强对数据库的防护。

终端安全设计。在办公域中使用域控并开启组策略，安装终端安全管理系统和网络版防病毒软件。防病毒及统一终端安全管理系统服务器端部署在数据中心域中，办公域中所有办公终端安装终端安全管理系统客户端，所有的安全策略由终端安全管理系统服务端统一部署并下发策略。

3.4 管理安全中心

建立安全管理中心是等保2.0 新增的控制措施。安全管理中心建设可实现对所有设备和运维人员的统一集中管理，包括系统管理、安全管理、审计管理和集中管控四项要求。通过部署堡垒机系统进行网络设备、应用系统运维权限管控和信息安全审计，对所有运维人员的登录进行统一身份验证与审计，实现单点登录、账号管理、身份认证、统一资源授权管理、配置相应的安全策略，对运维操作进行集中管理和分析，实现对运维操作的安全监控与审计。使用堡垒机接管了运维终端对目标资源的直接访问，逻辑上将运维人员与目标设备进行了分离。

网络安全大数据平台设计建设。为实时监测校园网络安全状况，及时发现并处置安全事件，化被动为主动，为校园网络安全提供保障，因此充分利用数据融合、数据挖掘、智能分析和可视化等先进技术，建立校园网网络安全态势感知方案。平台架构设计为数据采集、大数据平台、检测分析、应用展示四层逻辑架构。通过全面采集全网流量数据、收集校内各类网络设备、安全设备、服务器操作系统、数据库以及各种应用系统的日志、事件、告警信息、审计信息等数据进行汇总和集中分析，对安全策略、恶意代码、补丁升级等事项进行集中管理，对整个校园网的线路、设备和服务状态进行监控。借助大数据采集、处理、存储、分析等相关技术，对海量网络安全信息进行自动分析处理和深度挖掘，对网络的安全状态进行分析评价，建立一个实时展示、识别、分析、预警安全威胁的统一的安全管理系统。随着该系统平台的部署实施，将整个校园网安全态势以可视化形式呈现，网络运维人员可非常直观地持续监控网络活动，检测、分析并判断异常事件，联动安全设备实现自动精准阻断，同时可以对网络攻击溯源进行取证。实现安全态势可感知、安全威胁可预警、异常行为可监控，切实做到事前有效预警、事中及时处理、事后查补漏洞的有效的信息安全防范手段，有效提高校园网络安全水平。

3.5 安全服务体系

网络安全是一个系统工程，单靠某一个人或部门无法把网络安全工作做好。学校要建立起运营商级、安全运维级和校级三级安全服务体系。学校是安全责任的主体，在网络安全运维过程中，学校采用人防和技防相结合的模式，一方面既要充分发挥网络安全设备的功能，还要学校网络技术人员起到主导作用，主要问题、关键环节要了然于胸，做好安全日常运维和事故处置。另一方面，加强与兄弟单位、公安机关、电信公司的合作与沟通，利用运营商和网络安全公司的技术力量，来弥补学校技术力量不足的问题，如引进漏洞检测设备、采用安全评估工具以及委托第三方安全检测机构，由专业安全运维团队开展人工渗透测试，定期对学校重要应用系统及数据库、虚拟机、移动APP 等进行漏洞检测和渗透测试，提前发现问题，对于存在高危漏洞的信息系统及时进行整改。

4 网络安全管理体系建立

在实施网络安全建设中，要管理先行。网络安全管理体系设计主要依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计：

安全管理机构。学校成立了网络安全与信息化领导小组，并由其制定信息安全工作的总体方针和安全策略，明确学校网络安全工作的总体目标、范围、原则和安全框架等。确立网络信息安全管理组织体系与岗位职责，通过网络安全系列文件颁布实施落实网络安全责任。建立分级安全责任体系，明确党委书记和部门负责人为各单位网络安全第一责任人；明确信息办为网络安全工作的统筹协调部门、信息中心为运维和技术支撑部门。各单位指定一名网络安全工作员，负责本单位网络安全日常管理和具体落实协调工作。

安全管理制度。学校从技术管理、运维管理、信息安全管理、信息化服务管理、信息化项目管理、信息化支撑管理等方面建立安全管理制度；对安全管理人员或操作人员执行的重要管理操作建立操作规程。制定学校信息安全标准规范，用于建立信息系统可靠的安全防御，指导信息系统在物理部署、网络设置、系统安全防治、应用平台安全等方面制定落实安全措施，明确信息系统可以获取的安全支撑环境，以及应用支撑平台对信息系统的安全要求。

人员安全管理。加强各单位系统管理人员的录用、考核和离岗管理。规范人员录用过程，对被录用人员的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核；与从事关键岗位的人员签署保密协议。定期对各个岗位的人员进行安全技能及安全认知的考核，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。规范系统管理人员离岗过程，及时终止离岗员工的所有访问权限。

加强系统建设和运维管理。实行信息系统全生命周期的管理。在系统方案设计之初，即要明确信息系统的边界和安全保护等级；选择基本安全措施，明确对系统的安全保护要求、策略和措施等内容，形成系统的安全方案；组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，经过批准后，才能正式实施。

5 结束语

安全的网络环境为智慧校园的建设提供极为强大的基础设施和助力作用。在推进智慧校园建设的同时，本文研究了将网络安全和应用系统建设统筹推进，以“等保2.0”的标准为抓手和依托，通过对学校网络安全、应用安全、数据安全、管理安全等各方面进行规划设计建设，部署相应的安全产品并进行相应的安全配置，结合安全服务体系的构建，建立起校园网络安全保障体系，提高高职院校信息安全防护水平及能力，为智慧校园各项应用保驾护航。