近日，教育部印發(fā)《高等學(xué)校數(shù)字校園建設(shè)規(guī)范（試行）》（以下簡(jiǎn)稱《規(guī)范》）。《規(guī)范》旨在貫徹落實(shí)《中國(guó)教育現(xiàn)代化2035》和《加快推進(jìn)教育現(xiàn)代化實(shí)施方案（2018-2022）》的要求，在教育信息化2.0發(fā)展中，指導(dǎo)我國(guó)廣大高校規(guī)范化開(kāi)展數(shù)字校園及智慧校園的規(guī)劃、設(shè)計(jì)、建設(shè)和實(shí)施，規(guī)定了基礎(chǔ)設(shè)施、信息資源、信息素養(yǎng)、應(yīng)用服務(wù)、網(wǎng)絡(luò)安全和保障體系的通用要求。

本文以某高校數(shù)字校園建設(shè)為例，重點(diǎn)對(duì)《規(guī)范》要求的數(shù)字校園基礎(chǔ)實(shí)施、網(wǎng)絡(luò)安全和保障體系方面進(jìn)行解讀。

數(shù)字校園網(wǎng)絡(luò)總體架構(gòu)要點(diǎn)分析

數(shù)字校園基礎(chǔ)設(shè)施主要為各類信息化應(yīng)用提供技術(shù)、設(shè)備和物理環(huán)境支持，主要包括校園網(wǎng)絡(luò)、數(shù)據(jù)中心、教學(xué)環(huán)境等?！兑?guī)范》提出在同等條件下，應(yīng)優(yōu)先選用國(guó)產(chǎn)化自主可控設(shè)備，在安全合規(guī)的前提下，使用云服務(wù)作為高等學(xué)校數(shù)字校園基礎(chǔ)設(shè)施的補(bǔ)充。

在校園網(wǎng)出口區(qū)域，根據(jù)《規(guī)范》要求，首先應(yīng)在校園網(wǎng)出口部署防火墻等安全防護(hù)設(shè)備；其次優(yōu)先選擇框式x86架構(gòu)的專用防火墻以適應(yīng)高校出口高帶寬、高并發(fā)特點(diǎn)，從而為后續(xù)校園網(wǎng)態(tài)勢(shì)感知監(jiān)測(cè)提供更多應(yīng)用層數(shù)據(jù)。

在校園主干網(wǎng)區(qū)域，這一區(qū)域包括校園網(wǎng)核心、校園無(wú)線網(wǎng)、校園有線網(wǎng)、校園物聯(lián)網(wǎng)（可選）、校園5G網(wǎng)（可選）、其他校園專網(wǎng)等，網(wǎng)絡(luò)環(huán)境復(fù)雜，安全要求各不一樣。首先，不同網(wǎng)絡(luò)區(qū)域應(yīng)劃分VLAN，不同區(qū)域之間至少采用ACL方式進(jìn)行流量訪問(wèn)控制，在重要的網(wǎng)絡(luò)區(qū)域之間建議部署防火墻進(jìn)行網(wǎng)絡(luò)區(qū)域間邏輯隔離，對(duì)于財(cái)務(wù)專網(wǎng)等特別重要的業(yè)務(wù)系統(tǒng)可部署網(wǎng)閘進(jìn)行網(wǎng)絡(luò)區(qū)域間物理隔離；其次，全校公用PC應(yīng)強(qiáng)制統(tǒng)一部署終端威脅防御軟件，師生自有PC建議統(tǒng)一部署終端威脅防御軟件，在無(wú)線網(wǎng)區(qū)域或有線網(wǎng)訪客區(qū)域等不適宜統(tǒng)一部署終端威脅防御軟件的區(qū)域，建議在連接校園網(wǎng)的邊界部署病毒過(guò)濾網(wǎng)關(guān)系統(tǒng)；最后，校園物聯(lián)網(wǎng)建設(shè)應(yīng)參照《物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求》（GB/T 37093-2018），而天融信作為該標(biāo)準(zhǔn)起草單位，可為廣大高?？蛻籼峁I(yè)建設(shè)指導(dǎo)與幫助。

在數(shù)據(jù)中心區(qū)域，云計(jì)算已然成為下一代高校數(shù)據(jù)中心建設(shè)的趨勢(shì)，但類似下一代互聯(lián)網(wǎng)建設(shè)存在IPv4和IPv6長(zhǎng)期共存的情況，傳統(tǒng)物理服務(wù)器集群與高校私有云集群也將長(zhǎng)期共存，此種情況下二者可選擇共用安全管理區(qū)內(nèi)的安全系統(tǒng)。首先，數(shù)據(jù)中心出口可根據(jù)帶寬要求靈活選用框式或盒式的x86架構(gòu)專用防火墻，為數(shù)據(jù)中心區(qū)域和校園主干網(wǎng)區(qū)域提供邊界隔離功能，同時(shí)開(kāi)啟入侵防護(hù)、病毒防護(hù)、數(shù)據(jù)防泄漏防護(hù)等應(yīng)用層檢測(cè)防護(hù)功能，為校園態(tài)勢(shì)感知系統(tǒng)提供數(shù)據(jù)源；其次，部署數(shù)據(jù)安全交換云支撐校園網(wǎng)內(nèi)、校園網(wǎng)內(nèi)外之間的文件安全傳輸；再次，非必要業(yè)務(wù)優(yōu)先部署在基于超融合的校園私有云上，而校園網(wǎng)私有云上的業(yè)務(wù)系統(tǒng)須采用安全網(wǎng)元的方式進(jìn)行部署防護(hù)，同時(shí)滿足合規(guī)要求；最后，從全局出發(fā)，建設(shè)覆蓋全校園網(wǎng)的態(tài)勢(shì)感知系統(tǒng)，從終端、網(wǎng)絡(luò)、數(shù)據(jù)中心多個(gè)層次進(jìn)行監(jiān)測(cè)、防護(hù)和預(yù)警。

數(shù)字校園建設(shè)三大關(guān)鍵點(diǎn)

國(guó)產(chǎn)化優(yōu)先，加速自主可控進(jìn)程

《規(guī)范》明確指出，“同等條件下，應(yīng)優(yōu)先選用國(guó)產(chǎn)自主可控設(shè)備”。天融信從自主ASIC芯片研究到國(guó)產(chǎn)CPU芯片應(yīng)用研究、從推出國(guó)內(nèi)首款具有自主知識(shí)產(chǎn)權(quán)的ASIC架構(gòu)防火墻到發(fā)布基于國(guó)產(chǎn)軟硬件的天融信昆侖系列產(chǎn)品，始終走在網(wǎng)絡(luò)安全自主創(chuàng)新的最前沿，將國(guó)產(chǎn)化基因印刻在每一款產(chǎn)品之中。

網(wǎng)絡(luò)安全防御前置，實(shí)現(xiàn)防范于未然

《規(guī)范》明確指出“構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，強(qiáng)化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的預(yù)測(cè)預(yù)判預(yù)警預(yù)防，實(shí)現(xiàn)網(wǎng)絡(luò)安全防御前置”。在高校數(shù)字校園建設(shè)中應(yīng)考慮將態(tài)勢(shì)感知平臺(tái)建設(shè)成學(xué)校網(wǎng)絡(luò)安全運(yùn)營(yíng)的重要工具，廣泛對(duì)接終端、網(wǎng)絡(luò)、應(yīng)用、安全等多維數(shù)字校園基礎(chǔ)設(shè)施，只有全面收集所有數(shù)據(jù)，才能構(gòu)建實(shí)現(xiàn)安全運(yùn)營(yíng)中研判網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)展趨勢(shì)的前瞻能力，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)演化呈現(xiàn)的疊加、聯(lián)動(dòng)、放大、誘導(dǎo)等效應(yīng)情況的出現(xiàn)進(jìn)行及時(shí)防御。

持續(xù)經(jīng)費(fèi)保障，立足當(dāng)下長(zhǎng)遠(yuǎn)布局

在數(shù)字經(jīng)濟(jì)時(shí)代，網(wǎng)絡(luò)與信息系統(tǒng)承接著數(shù)字校園公共服務(wù)體系的方方面面，其網(wǎng)絡(luò)安全更是重中之重。而安全運(yùn)營(yíng)絕非一時(shí)之事，持續(xù)性的安全運(yùn)營(yíng)遠(yuǎn)比一次性大量投入的安全設(shè)備采購(gòu)更重要，只有將持續(xù)性的安全運(yùn)營(yíng)經(jīng)費(fèi)保障與科學(xué)完善的評(píng)價(jià)標(biāo)準(zhǔn)結(jié)合起來(lái)，才可保障高校數(shù)字校園建設(shè)的可持續(xù)發(fā)展。

數(shù)字校園建設(shè)產(chǎn)品選用參考