方案设计目标 经济 符合校园特性 达到最佳性价比 可视 “ 主动防御” +“ 持续响应” 合规 产品 + 服务 符合网络安全法和等保 2.0 的要求 校园等保 2.0 方案设计原则 教育城域网 数据中心交换机 数据中心区 运维管理区 路由器 安全防御管理区 多业务 无线控制器 智慧防火墙 & 入侵防御系统 上网行为管理 WEB 应用防火墙 无线认证 网络核心区 智慧防火墙 •复杂环境组网、深度应用识别、精细化访问控制以及高性能应用层威胁防御能力 •集成了互联网威胁情报、异常行为分析、安全可视化等新一代安全技术 •与终端安全管理系统、云端威胁情报中心、沙箱检测系统实现智能化的协同联动 终端安全管理 •以大数据技术为支撑、以可靠服务为保障， •精确检测已知病毒木马、未知恶意代码，有效防御 APT 攻击， •提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审 •提供应用层的带宽管理功能，有效阻止、限制 P2P 等严重消耗带宽的应用，存储网络日志 WEB 应用防火墙 •以 Web 防护为主体功能，融入云端防御、威胁情报、网页防篡改等技术于一体化的网站安全防护产品。 并以“事件”为中心，提供 “事前预防、事中防御、事后补救”的一套完整防御措施。 校园等保 2.0 方案特色  提倡“持续保护、不止合规”的价值主张，满足国家法律法规和标准体系  一个中心、三重防护”的安全架构设计，帮助用户满足了等保

在教育城域网的建设过程中信息安全越来越受到重视，部署各种安 全硬件设备只能构建静态、被动的安全防御，安全风险依然存在。 由于缺乏好的工具对安全日志进行充分挖掘与利用，很难从海量的 日志里获得有用的信息，导致难以掌握全网的安全状态。 安全及监管 ( 立体防护、可视监管 ) 网络安全总体规划 • 防火墙划分安全域及边界安 全 • 关键路径入侵防御 • 网站 /web 全方位安全设计 • 网络与数据库安全审计

校园室外覆盖 多 出 口 负 载 均 衡 规 划 组播与 QoS 规 划 网络出口安全 远程访问互联安全 上网行为安全审计 综 合 网 管 统 一 规 划 应用入侵防御方案 校园网络建设规划 - 网络系统 对于湖北科技学院如此体量的网络架构，整体校园网络建议采用十万兆核心、万兆到楼宇，千兆到桌面的 三 级架构。网络核心为双核心 + 区域汇聚环网全冗余骨干，整 批 量 重 启 AP ， 恢复 AP 配置。通过网管快速完成 AP 替换， 替换后业务不变。 校园网络建设规划 - 网络安全规划 网络出口安全 上网行为安全审计 远程访问互联安全 应用入侵防御方案 校园网络建设规划 - 综合网管统一规划 v 网络管理 综合网管软件系统，可提供可视化图形界面，对网络中交换设备、服务器甚至终端进行性能指标、流量、链 路状态等信息的全面的监视和管理。方便管理人员操作。

理。信息发布系统满足学校各类信息的及时发布和循环展示等应用需求。 n 提供先进的安全保障系统 ，如 ：视频监控系统、 紧急呼救系统、 门禁系统等。 确保建筑内人身、 财产的高度安全 ， 并具 备 对灾害和突发事件的防御能力。 n 为确保整个智能化系统的良好、 稳定运行 ，要为中心机房设备提供一个符合《电子计算机机房设计规范》要求的环境 ，应 进行机房工程建设 ，包括 ：机房装修、 防雷接地、 机房布线、 抗静电地板、 停车场 重要室外设施设备 第一道防线 大楼主要出入口 大厅、各层电梯厅 楼层公共走廊 楼梯间 电梯轿厢 第二道防线 2.4.2 设计思路 基于 ‘一个中心 ， 三道防线 ，纵深防御’的设计思路 ， 即： 楼层重点房间 楼层重点区域； 安防监控中 心 第三道防线 本次设计于学校的中学和小学正大门口设置 液压一体升降柱， 用于界定区域 、 通道管 制 和反恐阻截等功能，

..........338 北京理工大学：人工智能驱动的数字化转型探索与实践 ....................................... 347 华中科技大学：闭环管理、纵深防御，构建高校主动式网络安全防护体系 ..........355 三、 校企合作创新篇......................................................... 90%高校应用了防火墙、日志审计系统等主流网 络安全技术措施，66.2%的高校建设了网络安全态势感知平台；87.2%高校建立 了数据安全管理相关的规范，84.9%的高校具有了系统灾备能力。网络安全工作 实现了由点向面，从被动防御向主动防护，从逐个应对向体系化发展的转变。 3. 信创应用部署初具规模 信创应用正加速部署，近 80%的高校部署了信创应用，部署各类信创应用的 高校比例均呈现快速增长，在应用软件、IT 基础设施、信息安全设施、基础软 的基础与保障。高校普遍重视网络安全管理工作，都实施了制定网络安全应急预 案、网络安全责任制落实到基层、实行网络安全等级保护测评等多项网络安全管 理措施。高校的网络安全防御体系广泛使用边界防火墙、WEB 应用防火墙、日 志审计系统等传统的被动防御技术；网络安全态势感知、安全威胁分析平台等主 动感知技术也在高校中得到较大范围的应用。和网络安全相比，高校对数据安全 的重视程度明显不足，制定了数据安全管理制度或安全规范的高校比例总体上不

行政楼 教学楼 科技楼 实训楼 智慧校园环境建设的基础， 要实现有线、无线网络全方位立体式覆盖校园，师生可以在学校区域随时随地、自由地连接网络。 其中，无线网络建设在网络互联、安全防御等方面与有线网络进行良好的兼容和互补。 建设内容 > 智慧环境建设 > 一卡通生活服务 职业教育信息化提升整体解决方案 聚合支付 校园卡 银行卡 支付宝

ARP 欺骗及 DDOS 攻击问题。 汇聚各楼层接入交换机，根据“千兆骨干、千兆桌面”设计理念，汇聚交换机需要高背板、高包 转发率性能。同时支持万兆端口，具备全面的三层交换功能，完善的 ARP 防御功能、端口安全功 能，及组播功能。  接入区域设计 根据我校信息点分布情况，除学校办公电脑的接入外，还需满足校园广播、校园监控及多媒体 教学等信息化建设要求，为实现各接入终端的高速、安全接入，我校将采用“千兆骨干、千兆接入” 在防火墙上实施以下功能： 1. 安全控制策略防：设置指定的内网用户只能访问指定的外网服务器的服务；设置外网用户只能 访问我内网固定某 ip 或某个端口，实现网络单向访问。 2. 外网安全防护：防御来自外网的 DDoS、冲击波、蠕虫病毒攻击。 2.1.2.2 核心区域设计 随着学校在 IP 网络上部署的各种应用系统增多，学校的学习生活、教学等对于网络依赖程度 越来越高，网络成为学校正常运 击的同时不影响转发速度。 4. ARP 欺骗防御：作为整网核心也是所有网段的网关设备，所有数据交换都会通过核心交换机， 如果网络存在如 arp 网关欺骗，则可能出现所有网络资源访问不可达，即造成网页打不开、应 用断线，直接影响上网应用访问。所有我们必须在核心交换机上实现 arp 防御功能。开启网关 防欺骗、IP+MAC+端口绑定等 arp 防御功能。前者能够实现汇聚交换机定时发送正确的信息告

行政楼 教学楼 科技楼 实训楼 智慧校园环境建设的基础， 要实现有线、无线网络全方位立体式覆盖校园，师生可以在学校区域随时随地、自由地连接网络。 其中，无线网络建设在网络互联、安全防御等方面与有线网络进行良好的兼容和互补。 建设内容 > 智慧环境建设 > 一卡通生活服务 职业教育信息化提升整体解决方案 聚合支付 校园卡 银行卡 支付宝

AP ， 恢复 AP 配置。通过网管快速完成 AP 替 换，替换后业务不变。 4. 校园网络 建设规划 4.5 网络安全规划 网络出口安全 上网行为安全审计 远程访问互联安全 应用入侵防御方案 4. 校园网络 建设规划 4.6 综合网管统一规划 v 网络管理 综合网管软件系统，可提供可视化图形界面，对网络中交换设备、服务器甚至终端进行性能指标、 流量、链路状态等信息的全面的监视和管理。方便管理人员操作。

安全总体架构 根据云平台要满足等保三级安全要求，从信息系统安全管理、信息系统安全技术和信息系 统安全运维三个方面构建的云服务平台的总体安全架构。建立终端、云端、网端三位一体的综 合协同联防的安全防御模型。 联通云服务平台安全体系结构图 云服务平台从安全域的角度，可以分为安全计算域、安全管理域、安全网络域和终端接入 域。安全计算域是相同安全保护等级的物理主机/服务器的集合，安全网络域是由通信网络和 每秒新增会话数：≥40万 整机接口不少于≥6个GE光口+12个GE电口+ 6个 10GE光口 台 2 13 等保2.0 等保2.0设备一套（网络安全审计*1，数据库安全 审计*1，抗DDOS*2，入侵防御及检测系统*2，WEB 应用防火墙*2，运维审计系统*2，防病毒网关*2， VPN设备*2，SOC管理平台*1，等保测评费用另计） 套 0 利旧 14 机架 标准48U机架 架 8 15 管理平 ，根据报文的属性信息对 报文进行转发控制和 DPI 深度安全检测的防控策略。 基于网络的检测与响应安全体系，在高性能和先进架构的支撑下，集成了防火墙、VPN、 入侵防御、虚拟系统、威胁情报等综合安全防御功能。在扩展了协同防御能力的基础上，在防 火墙上以分析中心、数据中心、处置中心三大中心为核心，实现了对威胁的分析、定位、处置 一体化过程。 防火墙为用户提供了全面的、实时的风险信息展示，着重突出失陷主机、威胁事件、重点