教育信息 化 2.0 满足安全的合规标准 等级保护 制度 2.0 · 加强 主动防范能力 提高 网络预警能力 提升 应急处置与恢复能力 完善 管理机制和工作能力 业务稳定与数据安全 校园等保 2.0 方案设计目标 经济 符合校园特性 达到最佳性价比 可视 “ 主动防御” +“ 持续响应” 合规 产品 + 服务 符合网络安全法和等保 2.0 的要求 校园等保 校园等保 2.0 方案设计原则 教育城域网 数据中心交换机 数据中心区 运维管理区 路由器 安全防御管理区 多业务 无线控制器 智慧防火墙 & 入侵防御系统 上网行为管理 WEB 应用防火墙 无线认证 网络核心区 汇聚交换机 无线管理区 网络接入区 互联网 核心业务系统 前端摄像头 接入交换机 有线和无线融合 有线和无线融合 有线和无线融合 用户终端 终端安全系统 智慧防火墙 •复杂环境组网、深度应用识别、精细化访问控制以及高性能应用层威胁防御能力 •集成了互联网威胁情报、异常行为分析、安全可视化等新一代安全技术 •与终端安全管理系统、云端威胁情报中心、沙箱检测系统实现智能化的协同联动 终端安全管理 •以大数据技术为支撑、以可靠服务为保障， •精确检测已知病毒木马、未知恶意代码，有效防御 APT 攻击， •提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审

......338 北京理工大学：人工智能驱动的数字化转型探索与实践 ....................................... 347 华中科技大学：闭环管理、纵深防御，构建高校主动式网络安全防护体系 ..........355 三、 校企合作创新篇............................................................. 90%高校应用了防火墙、日志审计系统等主流网 络安全技术措施，66.2%的高校建设了网络安全态势感知平台；87.2%高校建立 了数据安全管理相关的规范，84.9%的高校具有了系统灾备能力。网络安全工作 实现了由点向面，从被动防御向主动防护，从逐个应对向体系化发展的转变。 3. 信创应用部署初具规模 信创应用正加速部署，近 80%的高校部署了信创应用，部署各类信创应用的 高校比例均呈现快速增长，在应用软件、IT 基础设施、信息安全设施、基础软 的基础与保障。高校普遍重视网络安全管理工作，都实施了制定网络安全应急预 案、网络安全责任制落实到基层、实行网络安全等级保护测评等多项网络安全管 理措施。高校的网络安全防御体系广泛使用边界防火墙、WEB 应用防火墙、日 志审计系统等传统的被动防御技术；网络安全态势感知、安全威胁分析平台等主 动感知技术也在高校中得到较大范围的应用。和网络安全相比，高校对数据安全 的重视程度明显不足，制定了数据安全管理制度或安全规范的高校比例总体上不

在教育城域网的建设过程中信息安全越来越受到重视，部署各种安 全硬件设备只能构建静态、被动的安全防御，安全风险依然存在。 由于缺乏好的工具对安全日志进行充分挖掘与利用，很难从海量的 日志里获得有用的信息，导致难以掌握全网的安全状态。 安全及监管 ( 立体防护、可视监管 ) 网络安全总体规划 • 防火墙划分安全域及边界安 全 • 关键路径入侵防御 • 网站 /web 全方位安全设计 • 网络与数据库安全审计 智慧课堂是围绕教师和学生为主题 ， 贯穿教 师备课、 导学 、 授课、 课堂训练 、 课后作 业、 有效提分、 师生互动等各个教授环节； • 为学生提供多方位 、 开放性获取知识的途径， 利于学生对学习的主动参与 、 自主控制 ， 使 学生根据自身学习情况制定学习进程； • 为教师提供更为快捷方便 、 高效的移动式备 课、 授课 、 作业 、 提升等教学工具 ， 切实 提

工作者提供快捷、全面、权威的信息资 源，实现教学、科研和实训一体化，提 供开放、协同、高效的数字化产学研环 境，促进知识的产生、传播和管理。 构建先进实用的网络教学平台，整合、 丰富数字化教学资源，创造主动式、协 同式、研究式的数字化学习环境，建立 师生互动的新型教学模式。 构建便捷、高效、高雅、健康的数字化生 活环境和电子商务服务平台，利用一卡通 系统，实现校内外主要消费流通、学生入 学缴费、身份认证及门禁管理等。 校园室外覆盖 多 出 口 负 载 均 衡 规 划 组播与 QoS 规 划 网络出口安全 远程访问互联安全 上网行为安全审计 综 合 网 管 统 一 规 划 应用入侵防御方案 校园网络建设规划 - 网络系统 对于湖北科技学院如此体量的网络架构，整体校园网络建议采用十万兆核心、万兆到楼宇，千兆到桌面的 三 级架构。网络核心为双核心 + 区域汇聚环网全冗余骨干，整 批 量 重 启 AP ， 恢复 AP 配置。通过网管快速完成 AP 替换， 替换后业务不变。 校园网络建设规划 - 网络安全规划 网络出口安全 上网行为安全审计 远程访问互联安全 应用入侵防御方案 校园网络建设规划 - 综合网管统一规划 v 网络管理 综合网管软件系统，可提供可视化图形界面，对网络中交换设备、服务器甚至终端进行性能指标、流量、链 路状态等信息的全面的监视和管理。方便管理人员操作。

ARP 欺骗及 DDOS 攻击问题。 汇聚各楼层接入交换机，根据“千兆骨干、千兆桌面”设计理念，汇聚交换机需要高背板、高包 转发率性能。同时支持万兆端口，具备全面的三层交换功能，完善的 ARP 防御功能、端口安全功 能，及组播功能。  接入区域设计 根据我校信息点分布情况，除学校办公电脑的接入外，还需满足校园广播、校园监控及多媒体 教学等信息化建设要求，为实现各接入终端的高速、安全接入，我校将采用“千兆骨干、千兆接入” 在防火墙上实施以下功能： 1. 安全控制策略防：设置指定的内网用户只能访问指定的外网服务器的服务；设置外网用户只能 访问我内网固定某 ip 或某个端口，实现网络单向访问。 2. 外网安全防护：防御来自外网的 DDoS、冲击波、蠕虫病毒攻击。 2.1.2.2 核心区域设计 随着学校在 IP 网络上部署的各种应用系统增多，学校的学习生活、教学等对于网络依赖程度 越来越高，网络成为学校正常运 击的同时不影响转发速度。 4. ARP 欺骗防御：作为整网核心也是所有网段的网关设备，所有数据交换都会通过核心交换机， 如果网络存在如 arp 网关欺骗，则可能出现所有网络资源访问不可达，即造成网页打不开、应 用断线，直接影响上网应用访问。所有我们必须在核心交换机上实现 arp 防御功能。开启网关 防欺骗、IP+MAC+端口绑定等 arp 防御功能。前者能够实现汇聚交换机定时发送正确的信息告

储中 ，将无法在操作系统层面对其进行读取、 修 改或删除。不可变存储功能对于所有勒索病毒防御策略都至关重要； • 强制数据保留： 良好的备份是数据成功恢复的前提和关键。强制数据保留可防止攻击者覆盖 或 删除备份数据 ，即使攻击者更改系统时间也无法得逞； • Air-Gap ：单向连接主动拉取数据， 日常情况下无端口开放 ，基于策略可定时断开物理网卡， 构建隔离恢复环境； • 云资源质量评估：追溯云资源从创建到使用再到销毁的整个生命周期 ，分析其性能、稳定性等方面的表现 ，从而评估其服务质量 ，为后期的运营与运维提供数据支撑； • “ 僵尸”应用发现：基于预设的指标以及规则 ，主动发现云平台中的“僵尸”应用 ，助力清理与业务脱节、资源长期闲置、运维停止更新的“僵尸”应用 ，推动运维工作降本增效。 关键日志、指标数据可视化分析， 提升高校运维效率 增强智慧校园数字化韧性，提升服务水平（ 全链路追踪：通过关联日志、指标和调用链数据 ，实现端到端、跨平台、立体化的调用链路 ，展示用户请求的的成功率、耗时、 崩溃率等 ，快速发现不合理的微服务请求链路。帮助研发和运维人员理解服务间的依赖关系和应用程序交互的网络拓扑 ，主动 发现性能瓶颈和错误 ，包括 Web 服务器、应用和消息服务器等 ，显示代码执行的清晰路径 。 • 全息观测：无论从 AnyShare 的前端 ，从用户侧到应用侧 ，再到中间件、服务、底层的

AP ， 恢复 AP 配置。通过网管快速完成 AP 替 换，替换后业务不变。 4. 校园网络 建设规划 4.5 网络安全规划 网络出口安全 上网行为安全审计 远程访问互联安全 应用入侵防御方案 4. 校园网络 建设规划 4.6 综合网管统一规划 v 网络管理 综合网管软件系统，可提供可视化图形界面，对网络中交换设备、服务器甚至终端进行性能指标、 流量、链路状态等信息的全面的监视和管理。方便管理人员操作。 图形、文字、动画、声音等于一体，创设情境形象逼真、生动鲜明，能吸引学生注意力。在职业教学 中，利用多媒体辅助教学可以使静态的教学内容变为动态的画面，可使枯燥而抽象的知识和技术变得 生动又具体，使学生在轻松愉悦的状态下主动获取知识，从而优化教学效果。 遵循经济性、效益性原则，建设成为先进、可靠、稳定、智能、易扩展的多媒体教学环境系统，通 过建设多媒体教学环境系统，实现各系统有机融合、统一平台管理。 为教师提供便

理。信息发布系统满足学校各类信息的及时发布和循环展示等应用需求。 n 提供先进的安全保障系统 ，如 ：视频监控系统、 紧急呼救系统、 门禁系统等。 确保建筑内人身、 财产的高度安全 ， 并具 备 对灾害和突发事件的防御能力。 n 为确保整个智能化系统的良好、 稳定运行 ，要为中心机房设备提供一个符合《电子计算机机房设计规范》要求的环境 ，应 进行机房工程建设 ，包括 ：机房装修、 防雷接地、 机房布线、 抗静电地板、 停车场 重要室外设施设备 第一道防线 大楼主要出入口 大厅、各层电梯厅 楼层公共走廊 楼梯间 电梯轿厢 第二道防线 2.4.2 设计思路 基于 ‘一个中心 ， 三道防线 ，纵深防御’的设计思路 ， 即： 楼层重点房间 楼层重点区域； 安防监控中 心 第三道防线 本次设计于学校的中学和小学正大门口设置 液压一体升降柱， 用于界定区域 、 通道管 制 和反恐阻截等功能，

、线下活动评比经常化，促进“常态化应用”； 4 、建立成果分享机制，推动平台与教学深度融合； 5 、科研扶持，培育“研究型应用”骨干队伍； 6 、建立专项督导，促使激励考核制度化。 信息安全保障 加密传输与存储 全方位的主动安全防御 保障业务连续性 数据存储使用 AES-256 算法加密，数据通过 SSL/TLS 协议加 密传输， 2048 位 RSA 密钥，使用 KMS 管理密钥，密钥定 期轮换，一次一密高安全保证，账户登录多因素身份认证，客

安全总体架构 根据云平台要满足等保三级安全要求，从信息系统安全管理、信息系统安全技术和信息系 统安全运维三个方面构建的云服务平台的总体安全架构。建立终端、云端、网端三位一体的综 合协同联防的安全防御模型。 联通云服务平台安全体系结构图 云服务平台从安全域的角度，可以分为安全计算域、安全管理域、安全网络域和终端接入 域。安全计算域是相同安全保护等级的物理主机/服务器的集合，安全网络域是由通信网络和 低误报；将检测的点覆盖到每一台服务器，由点到面展开，可有效检测内部横向蔓延；自内而 第 29 页 共 157 页 外基于真实环境的恶意行为检测，比沙箱检测更有效 3、主机侧风险感知 主机安全解决方案会主动、持续性地监控所有主机上的软件漏洞、弱密码、应用风险、资 产暴露性风险等，并结合资产的重要程度进行风险分析，准确定位最急需处理的风险。全决策 者动态展示主机安全指标变化、安全走势分析，使安全状况的改进清晰可衡量；为安全运维人 模式。 2）自主模式。解决单点故障（SPoF）可以简单的使用每个节点自主工作，通过去主从关 系来减少主控节点失效带来的问题，比如nova-api只负责自己所在节点。 3）主备模式。常见的模式是主动-被动集群，active-passive，被动节点处于监听和备份 模式，故障时及时切换，比如mysql高可用集群、nova-使用Pacemaker和Heartbeat等来实现。 4）双主模式。这