智慧校园数字化安全解决方案

1、2021年智慧校园数字化安全解决方案118页2021年智慧校园数字化安全解决方案118页第 页2021年智慧校园数字化安全解决方案118页智慧校园数字化安全解决方案目录 TOC o 1-5 h z 第一章前言11.1高校教育信息化的发展11.2智慧校园的概念21.3智慧校园的建设目标4第二章安全设计思路61髙校网络安全防御体系现状62.2新安全体系设计思路81数据驱动安全92.2.2防护体系132.2.3运营体系14第三章安全建设思路171智慧校园建设系统架构171. 1智慧校园表现层171.2校园信息应用层183.1.3校园数据平台层191.4校园基础设施层203.2髙校校园网安全问题21第

2、四章智慧校园安全整体解决方案221方案构成224.2智慧校园基础架构安全解决方案241服务器虚拟化安全244.2.2边界安全324.2.3无线安全404.3智慧校园平台层安全解决方案473. 1代码安全473. 2安全服务544.4智慧校园应用层安全解决方案564. 1一卡通业务特点574. 4.2一卡通应用安全需求584. 4. 3一卡通安全整体解决方案594.5智慧校园表现层安全解决方案624. 5. 1终端一体化安全624. 5. 2WEB 安全704. 5.3远程接入系统756校园网态势感知及安全运营管理平台804. 6. 1产品组成824. 6.2方案功能架构844. 6.3功能模块

3、874. 6.4部署模式914. 6.5态势感知与智慧校园的结合93第五章优势特点941方案优势945.2公司优势955.3客户价值98第六章维护服务991维护服务组织机构-客户服务中心996.2维护服务内容1016.3维护服务手段1026.4维护服务流程1036.5顾客档案管理-服务管理系统1076.6服务响应时间108第七章产品清单109第 页第一章前言1.1高校教育信息化的发展教育信息化是一个发展过程。我国著名学者祝智庭教授 指出：“教育信息化指在教育领域全面深入地运用现代化信 息技术来促进教育改革和教育发展的过程，其结果必然是形 成一种全新的教育形态-信息化教育。”联合国教科文组织 把

4、信息技术应用于教育的过程分为四个阶段：起步、应用、 融合、创新。*0年，我国教育部发布了教育信息化十年 发展规划，为未来中国10年的教育改革和发展描绘了宏伟 蓝图。自上世纪90年代初期开始教育信息化的建设以来，校园信息化的发展大致可以分为如下阶段：从这张图中可以看出，校园信息化最早是小机和个人PC时代，然后是实现各业务系统的信息化和网络的互联互通建 设，这一阶段的关注重点是有无，解决业务系统的有无问题， 建立各种管理信息系统，建立基础数据库，提供门户网站、 OA. Mail等基础服务，基础设施的建设中重点关注网络带宽 和可靠性。第三阶段则是通过云计算实现应用与资源的整合, 建设较为丰富的数字教

5、学资源，实现资源的开放共享，同时 移动互联的建设也为校园移动化、个性化的服务提供了支撑。 第四阶段，也就是智慧校园建设阶段。在这一阶段的建设中， 需要运用不断涌现的云计算、大数据、新网络、物联网等新 技术，进一步完善基础设施的建设；深化信息化在教育教学 特别是课堂教学中的应用，通过应用来促进高校教育思想观 念的转变、教学模式与学习方式的变革，提高人才培养质量； 在教育信息化方面积极创新，探索信息技术成果在教育教学、 科研、管理等方面的有效应用模式。最终，构建一个智慧教 学、智慧科研、智慧管理和智慧校园生活为一体的新型智慧 校园。1.2智慧校园的概念智慧校园的具体定义究竟是什么呢？清华大学的蒋东

6、兴教授认为：“智慧校园是高校信息化 的高级形态，是对数字校园的进一步扩展与提升，它综合运 用云计算、物联网、移动互联、大数据、智能感知、商业智 能、知识管理、社交网络等新兴信息技术，全面感知校园物 理环境，智能识别师生个体特征和学习、工作情景，将学校 物理空间和数字空间有机衔接起来，为师生建立智能开放的 教育教学环境和便利舒适的生活环境，改变师生与学校资源、 环境的交互方式，实现以人为本的个性化创新服务。”北京师范大学黄荣怀教授认为：能够有效支持教与学, 丰富学校的校园文化，真正拓展学校的时空维度，以面向服 务为基本理念，基于新型通信网络技术构建业务流程、资源 共享、智能灵活的教育教学环境。”

7、周彤等（*1）认为，智慧校园是以物联网为基础的智 慧化的校园工作、学习和生活一体化环境，这个一体化环境 以各种应用服务系统为载体，将教学、科研、管理和校园生 活进行充分融合。可见智慧校园没有标准定义，不同的角色，不同的职能 部门，不同的视角，不同的需求，对于智慧校园都有不同 的理解。从基础设施的角度来看，H3C所理解的智慧校园应 该是：利用新IT的技术与基础设施，深度与教学、办 公、科研、管理、生活等业务耦合，从而改变校园IT建设 模式、服务模式，并为学校的发展建设、综合服务、竞争 力提供驱动”。同时，我们认为智慧校园的落地手段应该 是智慧应用，也就是智慧校园建设的关键点，应该是通过 一个个的

8、智慧应用来体现。例如，通过新型的教学模式， 如MOOC、翻转课堂等来实现智慧教学；通过评优系统、舆第4页情分析、失联告警、挂科预警、退学预警等等一系列的决 策应用，来提供更高质量的教学和科研，更好的服务，更 科学的管理。1.3智慧校园的建设目标智慧校园的建设包括包括网络基础设施、数据存储与管 理、平台和应用系统（共享资源）三个部分，可根据学院资 金预算情况分阶段实施。通过建设智慧校园平台提升学院教育教学的信息化水 平，基于大数据模式下的教育管理与教育教学实现形式，逐 步解决校园教学的全向交互、校园环境的全面感知、校园管 理的高效协同、校园生活的个性便捷，实现建成完整统一、 技术先进，覆盖全面、

9、应用深入，高效稳定、安全可靠的校 园信息化环境。具体目标包括：智慧教学构建先进实用的网络教学平台，整合、丰富智慧教学资 源，创造主动式、协同式、研究式的智慧学习环境，建立师 生互动的新型教学模式。智慧管理构建覆盖全校工作流程的、协同的管理信息体系，通过 管理信息的同步与共享，畅通学校的信息流，实现管理的科 学化、自动化、精细化，突出以人为本的理念，提高管理效 第 页率，降低管理成本。智慧教务构建综合教学管理的智慧环境，科学统一的配置教学资 源，提高教师、教室、实验室等教学资源的利用率，改革教 学模式、手段与方法，丰富教学资源，提高教学效率与质 量。智慧生活构建便捷、高效、高雅、健康的智慧生活环

10、境和电子 商务服务平台。智慧环境构建结构合理、使用方便、高速稳定、安全保密的基础 网络。在此基础上，建立高标准的数据共享中心和统一身份 认证及授权中心，统一门户平台以及集成应用软件平台，为 实现更科学合理的智慧环境打下坚实的基础。一站式服务实现教职工和学生的管理、教学、学习、生活等主要活 动的一站式服务，提高对师生服务的水平，提高对社会的 服务能力。第二章安全设计思路2.1高校网络安全防御体系现状长期以来，世界上的网络与信息安全系统在设计、建设 的过程中都遵循着三个重要的指导模型（PDR、P2DR、IATF）, 这些指导模型无一例外地强调检测与防御在安全系统中的 重要性，这三个模型唯一不同的是

11、在检测与防御手段、层次 上有所差别，如：PDR强调防御、检测、响应，P2DR则在PDR 基础上加上了灵活的安全策略，IATF则是强调深层次的立体 防御，上述三个模型无一例外都是在防御、检测这两个点上 做文章，受这三个模型的影响，以往我们的信息系统安全建 设也都在检测与防御上布重兵，希望通过实时的在线检测御 黑客于网络之外，这里面其实有一个今天看来并不成立的危 险假设：即现有的技术一定能够做到成功发现并阻断所有攻 击。但过去几年所发生的大量案例无不表明：现有的安全防 御体系在技术上并不足以彻底抵御千变万化的网络攻击，包 括伊朗核设施、美国国家电网、美国国家安全部、NASA等重 要组织虽然已经将传

12、统以检测、防御为主的网络安全体系建 设到了极致，但仍然被攻击者成功渗透，这些事实逼得美国 对自己的防御体系进行了深入反思，其中有一个很重要的共 识是：单纯靠检测与防御解决网络安全问题已经不切实际， 需要采用一种新的思路，在检测与防御系统被绕过或失效, 已经被攻陷的情况下，仍然能尽快发现入侵事件，并快速追 踪溯源，清晰掌握攻击过程全貌，为迅速采取动作，遏制攻 击扩散提供技术基础。而近几年来，随着云计算、大数据的兴起，对组织的信 息系统也带来了极大的冲击。自*0年开始，政府也加速出 台多项政策，鼓励云计算的发展。在此背景下，不少机构均 积极的基于大数据、云技术与移动互联网等新技术开发并拓 展自己的

13、服务渠道与业务渠道。近年云计算、大数据发展所 带来的突出特点主要体现在了以下几个方面：A机构的业务发展对网络与信息技术的依赖程度日益提 高；数据大集中、云中心的建设对业务连续性提出了更高 的要求；业务及专业细分增加了信息系统的关联性和复杂度。但近几年国际、国内的网络安全形式极为严峻，在日益 猖獗的Oday攻击、APT攻击面前，传统的安全手段已显得力 不从心。同时，随着云计算、大数据的兴起，组织的信息系 统将不再完全掌握在自己的管辖范围，仅仅强调防护手段已 不足以应对当前的安全威胁。2.2新安全体系设计思路无论是内部还是外部，变化正成为常态。安全体系正 从技术+管理的静态架构，向云+端+边界的整

14、体架构转变。防护管理策略协同防御 体系漏洞运营 、体系纵深防御 体系威胁运营 体系运营核心思想A数据驱动安全：以数据为核心，取代以技术为核 心；以云端分析取代设备分析，以威胁情报取代 技术对抗，以空间换时间取代单点检测。管理策略：A管理策略：成立安全职责部门，设置专职安全运 营岗位，完善信息安全管理制度、规定，组织安 全培训并监督安全制度的执行情情况，实施奖惩 制度，对安全策略的执行未纳入员工考核。防护：A纵深防御体系：应对内部基础架构变化带来的威 胁。分层次，有重点，差异化的防护体系。A协同防御体系：应对外部攻击规模变化带来的威 胁。结合自建或厂商的分布式云端防护，协同各 种力量，在信息系统

15、外部先行应对攻击。运营：A漏洞运营体系：应对内部应用快速变化带来的安 全威胁。以漏洞为核心，建立全生命周期的漏洞 管理体系，并将其常态化，运营化。A威胁运营体系：应对外部攻击方式多样化带来的 威胁。以威胁为核心，结合威胁情报感知、应急 响应和恢复过程流程，逐步摆脱被动应对方式， 建立能够主动感知和预警的威胁运营体系。2.2.1数据驱动安全以数据为核心取代以技术为核心新型安全体系本质上就是围绕数据为核心的数据驱动 安全”的技术思路，数据是新型安全体系最本质与最核心的 内容，具体来说就是依靠数据的大范围分析实现对威胁的感 知、发现、分析、溯源，而传统安全防御体系强调的是利用 攻防对抗技术在攻击的某

16、个片段发现攻击行为，相比之下, 传统安全防御体系的这种思路更局限于对攻击某一时刻的 行为发现，就好比攻击在某一时刻的照片，是静态的，局部 的，某一时刻的，无法对攻击的全貌有全面了解，而且一旦 错过了这个攻击片段，就无法再发现该攻击。而新型防御技术依靠数据为核心，相当于将整个攻击过 程都录制下来，而后对攻击的全过程进行回溯分析，不但能 够了解到攻击的全貌，而且有可能在攻击全过程的任意一个 环节、片段对攻击进行发现。除此之外，以数据为核心本质 上也是一种安全众酬”体系，即：在一个未知出现的攻击， 一旦被录入数据系统之中，对于其他尚未发生该攻击的位置 就会提前实现检测与防御能力，这是传统以技术为核心

17、的安 全体系所不具备的。简言之，通过单点检测技术，你只可能看到攻击过程某 一片段的快照，而透过数据的镜子，你却可以看到攻击的全 貌、攻击的历史、可以通过别人的被攻击数据做到提前预防, 可以看到更多的攻击。以云端分析取代设备分析传统安全防御体系几乎都是依靠单台检测或防御设备 对攻击进行发现与防御，检测与防御的能力取决于设备的计 算能力、存储能力，最典型的就是入侵检测、防病毒系统, 依靠特征库的规模、病毒库的规模、机器的计算性能对有限 的攻击进行实时的检测与防御。第口页今天的新型防御体系强调的是云端的海量存储与大规 模深度计算，存储规模的增大，意味着可以有更多的规则、 更多的样本、更多的数据作为检

18、测的基础与依据，而大规模 的云端计算资源意味着可以展开复杂度更高的算法对流量、 样本、行为进行深度分析与历史分析，云端的海量存储与计 算使得基于人工智能与数据挖掘的大数据分析成为可能，同 时云端的海量带宽也解决了 Anti-DDoS中由于带宽限制无法 接下全部待清洗流量的难题，公司公司用于恶意样本分析的 云端资源超过一万台，用于Anti-DDoS的带宽高达500Gbps, 这一切都将包括恶意样本分析、抗D的能力提高到了一个历 史高度，如果不采用云计算的基础设施，依靠传统的安全设 备，这一切都是不可能做到的。以情报线索取代技术对抗传统安全的防御思路是基于攻防技术对抗为基础的，攻 防技术对抗可以在

19、获得攻击细节的前提下有效对抗标准的 攻击行为，但是对于加入严重变形与绕过手段的攻击却无能 为力，回到前面提到的，攻防对抗是矛与盾的竞赛，现实中 从来都是先有矛后有盾，因此传统的对抗思路无法解决位置 威胁的问题，典型的如未知木马、未知漏洞就是传统安全防 御中最头疼的问题。新型防御技术中强调威胁情报的价值与使用，实际上就 第 页是放弃了单纯依靠功放对抗的秀技术肌肉的思维方式，转而 在整个网络活动中寻找有价值的可以线索，通过可疑线索结 合已有的海量历史数据，进一步深挖线索背后的一系列行为 活动，讲一次复杂的APT攻击检测分解为一个简单的线索发 现与深挖，既解决了 APT等复杂攻击无法检测的问题，又规

20、 避单纯依靠技术对抗难度过高的问题，同时实现了攻防倒 置”，即以往依靠技术对抗的思路，防守一侧只要有一次对抗 失败，攻击者就会成功渗透进来，攻击者1%的成功意味着100% 的战果；而依靠威胁情报线索的思路，防守一侧只要有一次 抓住线索，就能够以及线索捕获攻击，纵观整个防守过程， 1%的线索捕获，意味着100%的防守战果，这种“攻防倒置” 的实现，彻底扭转了以往功防双方不对等的较量，这一切都 归功于新型防御体系思路的转变。以空间换时间取代单点检测新型防御体系的关键点在于通过数据空间换取检测的 时间，攻防之间的本质是一场追逐赛，攻击一方先接触到目 标，就意味着攻击成功，反之则防守成功。如果在攻击一

21、方 接触到目标之前实现有效发现与拦截，秘密还是在于数据， 这种特定的高价值安全数据被我们称为威胁情报，通过提前 获取威胁情报，我们有可能做到提前预防，甚至在攻击者没 有展开攻击之前就已经做好预防、严阵以待，例如：对于匿 名者组织等一些黑客组织，经常在发起攻击的前几天会在某 个论坛上讨论攻击的目标与攻击方式，如果我们能够提前获 得这些情报，我们就可以针对攻击目标进行有针对性的监控 与防御，这种情报的利用是传统安全体系所不具备的，但这 确是新型防御体系的特点之一。2.2.2防护体系纵深防御体系：应对内部基础架构变化带来的威胁。分 层次，有重点，差异化的防护体系。建立从虚拟化安全到网络层安全、应用及

22、数据层安全的 多层安全防护。虚拟化安全主要进行虚拟化逃逸、虚拟化环 境下的虚机隔离、虚拟化环境的病毒及恶意代码防护；网络 安全层主要进行网络架构、网络的访问控制、网络入侵的监 控及阻断、拒绝服务、网络设备的安全；操作系统安全主要 考虑操作系统安全漏洞，账号及口令安全以及文件权限等安 全配置内容；应用及数据安全主要考虑所托管的web业务系统安全状 况，主要包括web攻击，编码安全、web管理账号及口令安 全、应用层拒绝服务攻击等。同时针对攻击的威胁来源，建立边界安全防护、内网安 全防护及终端安全防护的纵深防护体系。协同防御体系：应对外部攻击规模变化带来的威胁。结 合自建或厂商的分布式云端防护，协

23、同各种力量，在信息系 统外部先行应对攻击。仅仅依靠本身的安全防护系统，在特定条件下难以保证 信息系统安全运行，如遭遇到海里流量的拒绝服务攻击或者 遭受Oday及变种和新型的恶意代码攻击等。因此有必要协 同其他安全厂商结合云安全技术、大数据技术以及专业的安 全防护能力建立起协同防护体系。2.2.3运营体系漏洞运营体系：应对内部应用快速变化带来的安全威 胁。以漏洞为核心，建立全生命周期的漏洞管理体系， 并将其常态化，运营化。绝大部分安全事件的产生源于安全漏洞，安全漏洞的管 理对高校安全起到举足轻重的作用，因此高校应具有完整安 全漏洞运营体系。将漏洞管理的循环过程划分为漏洞预警、漏洞检测、风 险管理

24、、漏洞修复、漏洞审计五个阶段。漏洞管理理念贯穿 于运营体系，降低高校的安全风险。漏洞的类型不仅包括操作系统、网络设备、数据库、中 间件漏洞、更包括影响更为严重的应用层安全漏洞，如SQL 注入、XSS等严重影响网站安全的漏洞。漏洞审计.1漏洞检测安全漏洞运营体系，依托于完整的漏洞管理措施同时还 依托于多种技术措施辅助。基于业务部署环境的针对性安全漏洞预警、基于web和 承载环境的漏洞扫描、渗透测试和源代码审计技术的漏洞检 测机制，基于漏洞安全风险的专业风险评估措施，专业的漏 洞修复方案及建议，以及漏洞的修复验证和审计措施。形成 快速、完整和有效的漏洞管理运营体系。A威胁运营体系：应对外部攻击方式

25、多样化带来的威胁。 以威胁为核心，结合威胁情报感知、应急响应和恢复 过程流程，逐步摆脱被动应对方式，建立能够主动感 知和预警的威胁运营体系。将威胁运营体系划分为威胁感知、威胁预警、威胁应对 和威胁响应四个阶段。威胁运营体系，依托于完整的威胁管理措施同时还依托 于多种技术措施辅助。利用云端搜集海量安全相关的数据，使用机器学习、深 度学习、重沙箱集群、关联分析等分析手段，最终形成云端 威胁情报提供威胁感知。本地安全设备利用云端的威胁情报 数据，同时将所有镜像流量进行还原分析，使用静态检测、 半动态检测、沙箱检测等多种检测手段对文件中可能包含的 恶意行为进行捕捉分析以发现高级威胁。针对发现的安全威

26、胁通过和终端安全防护程序联动的方式，直接将所发现的安 全威胁进行清除或阻断。同时安全人员也可以根据威胁告警 信息，进行人工的干预，从而防止安全事件的产生。第三章安全建设思路智慧校园安全解决方案遵循智慧校园整体建设过程和系 统架构。3.1智慧校园建设系统架构信息采集塑邃濁列申空扌?邃巻_洌线遍_ i信息展示I 倉僂必古!移动终端 网站 大屏幕领导桌面校园仪表盘数字管理数字教学应用层数字监管校园一卡通教学研究远程教学数字学习数字图书ISV定制应用智慧校园系统集成框架开放网关（soap/parlay X/RMI/接入控制/安全控制/SLA控制）城市数据中心管理功能应用管理能力引擎消息引擎 语音引擎

27、视频引擎IT引擎WEB引擎Por-Q-空间地理职能部门系统管理能力组件城市公共城市应用能力管理引擎管理资源管理数据管理消息能力SMSMMSUSSDWAP语音能力MRSIVRCTIUAP视频能力视频存储媒体分发媒体服务器智能分析IT能力工作流知识库GIS搜索引擎WEB能力WEB引擎移动化引擎WidgetMashup应用模板协同办公数字教学数字课件数字图书车辆管理应用开发环境能力总线311智慧校园表现层表现层是师生访问校园应用，享受智慧校园服务的入口。 用户可通过PC、平板电脑、智能手机等多种终端，有线无线 等多种网络接入服务，并实现统一认证和单点登录，享受融 合的业务体验。高校以网络为基础的0A

28、、教务管理、财务管理、科研管 理、设备管理等系统为师生提供各类信息服务。通过对校园 网站群与各种系统、资源的有效集成整合，以门户的形式为 社会关注、学校教师、学生、供应商和合作伙伴提供其所需 的全部信息与服务，来提高校园核心竞争力，为在校学生的 学习、生活和娱乐提供便捷的信息化服务。移动门户、客户 端APP作为传统校园门户PC端在手机端的延伸和重要补充， 在原有门户功能的基础上，把与学生生活、学习和娱乐相关 的服务添加，真正实现校园门户服务对高校学生的全面覆盖。3.1.2校园信息应用层除了传统校园门户和业务系统，以及移动校园门户和各 类APP外，在智慧校园的建设中，新的智慧应用的建设至关 重要

29、。一方面，新型的基础设施可以产生的一些新的信息, 例如可以随时随地感知人、设备和资源的信息，如身份、位 置终端、轨迹等，能够识别个人的个体特征（行为特征、学 习风格等）和学习情景（学习时间、学习空间、学习伙伴、 学习活动等），利用这些信息可以有效支持一些新兴的智慧 应用，来实现教学过程分析和评价，智能的教育教学环境（课 堂自动点到等），便利舒适的生活环境。另一方面，利用大数 据等新兴的技术手段，对校园日常活动的行为数据，以及学 生学习行为数据，教师的教学行为数据进行整合，通过大数 据的数据分析、数据挖掘等技术，建设一批应用系统，得出 隐藏在其背后的数据信息。例如可以收集学生在线上学习平 台中知

30、识点学习的详细数据，构建知识模型，为学生提供个 性化的学习反馈和建议；收集学生行为数据，构建模型，预 测学习失败的可能性；通过分析教学系统中组件的使用数据, 学习者的表现数据，优化系统的组成模块和线上教学策略； 通过对图书馆的借阅记录、浏览终端的访问记录、以及师生 上网的查询和访问记录进行分析，为图书馆提供下一年的购 买决策建议；通过监测学生学习环境和状态，全面掌握学生 学习的全过程，发现学生的学习常态，通过数据流的变动分 析，总结教育规律、调整教学内容和教学模式，客观全面地 评价学生学习成果和自身的教学成果；通过学生学习和生活 各方面的数据，如学习成绩、借阅图书的种类，一-通消费 额度等信息

31、，定位数据和上网时长，给学生一个准确的画像， 为学生的成长提供个性化的建议等。这些新型的应用，使得 教学更加个性化，校园管理更加精细化，学校面向不同主题 的决策更为客观、科学、合理和有效。3.1.3校园数据平台层数据平台层包含两部分内容，一部分是校园的各种数据, 包括各类业务系统如教务系统、财务系统、资产系统、科研 系统等的数据，以及新IT基础设施直接面向业务提供的数 据信息，包括位置、身份、上网信息等。另一部分是信息协 同平台，在数字校园建设过程中的各类信息系统都是各机构 各自为战建设的，没有考虑到未来的需求，因此形成了一个 个的数据孤岛”。信息协同平台主要是为了解决这个问题， 把位于不同异

32、构信息源的数据合并起来，屏蔽异构差异，将 数据进行统一。信息协同平台是非常关键的，因为这是信息 集成的基础，只有把异构数据同源化，集成分析后的价值才 是有意义的。信息协同平台北向向信息集成层提供准确统一 格式的数据，南向与各业务系统和IAAS层连接。3.1.4校园基础设施层智慧校园的建设中，以统规、统建、统维”思想为指 导，以丰富的云基础设施，云存储，云网络，云安全和各类 云服务构件共同构建校园云服务平台：随需而得的IT资源分配：对IT基础设施如计算、存 储等实现按需自动分配，以及资源的智能化弹性扩展, 提高资源的利用率；随需而动的网络资源：可以实现网络资源的按需分配, 虚机迁移时网络策略的自

33、动迁移等；随需而安的安全：构建安全标准规范体系；实现安全 资源的按需分配，虚机迁移时安全策略的自动迁移， 以及不同租户的差异化安全需求；建设网络舆情监控 中心；全面实施信息系统安全等级保护制度；强化网 络安全监测预警和技术防护，建设校园网安全防护体 系，确保基础设施安全、系统安全、数据安全、应用 安全和资源安全等；建设数据容灾备份，确保学校重 要数据和应用系统具有抵抗灾难的能力；随需而联的无线校园：实现场景化、精细化、全覆盖 的无线互联网络建设，提供泛在的连接方式，为各种 新型的感知终端接入到无线校园提供通道；统一高效灵敏的IT基础平台运维管理系统：使用通用 语言来表述运维管理，从业务的角度去

34、描述业务的运行状况 和风险状况，而不是陷于设备管理的海洋中。建设网络、业 务、安全运维多维度的管理平台，降低管理运维的复杂度, 实现高效、自动化的管理。3.2高校校园网安全问题永恒之蓝：*7年5月12日晚间起，我国各大高校 的师生陆续发现自己电脑中的文件和程序被加密而无 法打开，弹出对话框要求支付比特币赎金后才能恢复。 一卡通安全问题：某高校技术男通过破解一卡通秘钥， 达到免费蹭饭”的目的。泄密：某高校教授U盘被隐藏轮渡”木马，致使办 公电脑文件外泄，造成重大泄密事件。 WEB安全：高考期间，大量高校门户及招生网站被黑客 攻击，网页挂马，造成考生电脑中毒变成肉机。永恒之蓝、WEB安全问题、一卡

35、通安全问题、内网泄密 事件，这些层出不穷的安全事件也提醒着高校的信息化建设 者，安全问题无处不在，尤其是智慧化校园的建设过程中， 网络的依赖、平台的建设、各个应用系统的关联等会带来越 来越多的安全风险和系统、应用的漏洞，所以在智慧校园的 建设中，网络安全、信息安全要更加关注。第四章 智慧校园安全整体解决方案4.1方案构成智慧校园安全整体解决方案是根据智慧校园整体方案架 构来进行构架：1、智慧校园基础架构层：高校校园网基础架构包括有线网络、 无线网络以及云计算架构，根据这些基础架构层的特征，会 有如下安全需求：服务器虚拟哈安全、网络边界安全以及无 线安全。2、智慧校园平台层是整个智慧校园系统集成

36、框架，包括各种 应用模板，开发环境、功能引擎等，智慧校园上层应用就在 此平台之上进行构架，这层我们强调的是代码安全以及平台 本身对威胁的防御能力，可以用安服的渗透测试来进行加强。3、上层应用层，应用层主要是智慧校园的各种应用系统，最 能体现智慧的部分就是各种智慧的应用了，所以在智慧校园 的平台上会有各种应用，这些应用的代码问题是我们需要重 点考虑的问题；同时，每个应用都可以作为独立的个体来进 行保护，这里拿一个每个高校都有的应用而且也是非常重要 的一个应用：一-通来诠释智慧校园中，重要的应用如何独 立进行安全防护。4、表现层分为信息采集层和信息展不层，信息的采集和展不 会用到各种各样的移动终端

37、，PC、摄像头、大屏幕等，所以 终端的安全、B/S架构应用的WEB安全以及移动终端的远程 接入安全都会在这一层体现。5、前面体现了智慧校园架构在各个层面的安全解决方案，在 智慧校园中，能否建设一个同样智慧的安全平台，通过此平 台可以感知到整个校园网资产的安全态势，所以在智慧校园 安全建设上，需要建设安全态势感知和安全运营平台系统。 这套系统可以和智慧校园结合，作为整个智慧校园应用系统 的一个应用模块。通过态势感知系统，通过上层表现层的大 屏幕，感知整个校园网的安全态势。智慧校园安全解决方案BMW伶一停化袂方察以亶乱陽r =I安全态势感知（化畫金*方 无養金袂方4.2智慧校园基础架构安全解决方案

38、L-力XMMSmsoWAF力Ml6UAF力”IUM1t# 力XS*JMUIG却为 I力引4.2.1服务器虚拟化安全服务器虚拟化遇到的问题云数据中心的虚拟化是把物理资源抽象成逻辑资源，在 一台宿主机服务器上运行几台甚至几百台互相隔离的虚拟 机，不再受限于物理上的界限隔离，让CPU、内存、磁盘这 些硬件资源变成可以动态管理的资源池。在虚拟化环境中， 系统应用都迁移到宿主机上的虚拟机操作系统里，既要保证 各自的稳定运行，又需要对各个虚拟机进行安全数据的隔离, 同时又要考虑资源的利用率和业务系统的高度集中，这使得 高校在评估虚拟化安全时要考虑诸多的安全风险：终端病毒木马问题数据中心虚拟化后，高校大部分

39、应用都根植在虚拟机环 境中，这些应用中包括了很多的对外应用，黑客可直接通过 这些应用侵入到虚拟机内部，遗留木马病毒。另外，虚拟机 和宿主机本身都有外部的接口，如USB接口、虚拟网卡与宿 主机物理网卡桥接等方式，使得虚拟机感染外界木马、病毒 的风险大大增加。这些病毒爆发时，将造成整体资源池负载 过高业务中断、高校敏感数据泄露、虚拟机逃逸等问题，对 高校带来灾难性的后果。虚拟化风暴引起的资源耗尽虚拟化弹性可变的优势在瞬息万变的互联网时代越来 越明显，而支撑该优势的前提是将服务器资源进行复用， 以提高资源利用率。传统的安全软件在应用到虚拟化环境 当中一定会遇到资源的消耗问题：“杀毒风暴”：传统杀毒软

40、件在部署完成后将默认对 所管辖终端或虚拟机进行完整扫描，而且还可以指定某一 时间进行重新完整病毒查杀，每一次病毒扫描将会消耗大 量的内存、CPU和磁盘10,当同一宿主机上多台虚拟机同 时启动病毒扫描时，很快将把宿主机的计算资源消耗殆 尽，并造成业务系统大面积停机，无法使用。.“更新风暴”：当安全软件控制中心更新完安全策略或 病毒码及补丁时将通过物理或虚拟网络推送到虚拟终端，由 于虚拟网络通道的带宽限制，很容易造成虚拟网络阻塞，从 而影响正常业务系统的访问和运营。核心的宿主机安全问题一直以来无论虚拟化厂商或安全厂商都将安全的关注 点放在虚拟机系统和应用层面，直到近期毒液”安全漏 洞的出现，才将人

41、们的目光转移到宿主机。由于宿主机系 统本身也都是基于Windows或Linux系统进行底层重建， 因此宿主机不可避免的会面对此类漏洞和风险问题，一旦 宿主机的安全防护被忽略，黑客可以直接攻破虚拟机，从 而造成虚拟机逃逸，即进程越过虚拟机范围，进入到宿主 机的操作系统中。所以，宿主机的安全问题是虚拟化安全 的根基。虚拟机之间的攻击问题虚拟化就是将现有资源进行重复利用和系统应用集中化 的过程，在向虚拟化迈进的过程中需要将原有物理服务器 中的系统和应用进行数据迁移，当把不同安全等级或不同 防护策略的虚拟机集中运行在同一台宿主机上时，就会出 现安全问题。虚拟机和虚拟机之间的通讯依靠虚拟机交换 机，由于

42、虚拟交换机的宽泛性，所有的虚拟机都可以随时 互相通讯，那么当其中一台虚拟机感染病毒或存在漏洞 时，攻击者便可以利用漏洞控制这台虚拟机，然后向宿主 机上其他虚拟机发起攻。由于传统的硬件安全设备无法对 虚拟机之间的交互进行检测防护，不能对其他虚拟机提供 安全防护能力，攻击者就可以无阻的攻击其他虚拟机。漂移导致的安全域混乱虚拟化技术带来了弹性扩展这一优秀特性，是通过虚拟 机漂移技术来实现，当宿主机资源消耗过高或者出现故障 时，为了保证虚拟机上的业务稳定，虚拟机会漂移到其他 的宿主机上。高校的数据中心在虚拟化后，一旦发生虚拟 机漂移，原有安全管理员配置好的安全域将被完全打破， 甚至会出现部分物理服务器

43、和虚拟机服务器处于同一个安 全域这样的情况。而依靠传统防火墙和VLAN的方式将没有 办法维持原来的安全域稳定，使得安全域混乱，安全管理 出现风险。公司虚拟化安全方案设计公司虚拟化安全管理系统v7. 0是一款针对于云数据中 心的虚拟化安全管理系统，可对物理资源池、虚拟资源 池、云资源池进行统一的安全防护与集中管理，对宿主机、虚拟机、虚拟机应用提供三层防护安全架构，具备对 混合虚拟化平台、混合操作系统、混合系统应用环境的兼 容防护能力。在虚拟化环境中出现的病毒风暴、安全域混 乱、宿主机安全、虚拟机之间攻击等问题，公司虚拟化安 全管理系统v7.0都可提供行之有效的解决办法。最终为用 户提供一套可跨多

44、种平台、防护无死角的综合虚拟化安全 解决方案。产品系统架构公司虚拟化安全管理系统v7.0主要由公司管控中心、 宿主机安全驱动及轻型代理客户端组成，产品架构图如下 图所示：企业内网TO防病樹安全茂 as,q私有云査杀私有云删化査杀引鑒控制台互联网病更新公有云查杀私有云私有云安全防护功能设计 多引擎病毒查杀公司依靠多年在杀毒领域的技术积累，自主开发出了 QVM人工智能引擎、云查杀引擎、AVE文件修复引擎、QEX 宏病毒检测引擎四大杀毒引擎，进行病毒的安全防御。四 大杀毒引擎在运行时可进行数据交互，对虚拟机及服务器 进行扫描结果缓存共享，在整个数据中心进行增量扫描从 而提高扫描效率。同时，本地查杀引

45、擎可增强不连接外网 情况下病毒查杀的效果，优化本地虚拟化环境支持。宿主机安全防护当前业界安全厂商都将安全防护的核心聚焦虚拟机安 全，随着互联网的飞速发展，越来越多的高校开始将注意 力集中在提供虚拟化服务的Hypervisor层，公司结合多年 的安全防护经验，在深入研究Hypervisor层系统架构与脆 弱性分析的基础上，提出针对KVM虚拟化平台的虚拟机逃 逸攻击的防护方案，根据需要开启或关闭该功能并配置开 启规则，通过虚拟化安全管理系统控制中心进行统一管理 和更新，为虚拟化环境提供自上而下，由内而外的整体安 全防护方案。高效的虚拟机超轻代理为实现管控中心对虚拟机策略的快速统一设置并减少 对虚拟

46、机本身的资源占用问题，公司虚拟化管理系统采用 独有的轻代理部署方式，在虚拟机中植入轻型代理客户 端，将原有每台虚拟机的杀毒引擎和病毒库统一放置在宿 主机虚拟化层，并在底层进行病毒查杀及病毒库的更新。 由于杀毒引擎与病毒库分层部署方式的特殊性，使得虚拟 化安全管理系统具有极大的杀毒优势。查杀病毒过程中的 枚举、扫描及病毒处理阶段分层进行，扫描的过程可统一 在宿主机进行，有效提升虚拟化计算资源使用率，真正意 义的实现虚拟机的超轻代理。灵活的虚拟机漂移绑定在虚拟化资源池中由于虚拟机资源的弹性可变，因此 经常发生由于资源枯竭等原因导致的虚拟机从不同的安全 域之间反复漂移的情况，而使用无代理方式无法保障

47、整体 资源池中都部署安全防护策略，因此无法保障在漂移后的 虚拟机安全策略随虚拟机绑定。公司虚拟化管理系统采用 独有的轻代理部署方式，在虚拟机中植入轻型代理，轻代 理安全策略和虚拟机无缝绑定，无论虚拟机漂移至虚拟化 资源池中的任何宿主机均可保证虚拟机防护策略稳定有 效，提供虚拟机对虚拟机之间的攻击防护能力。有效的虚拟机访问控制高校在虚拟化的过程中，得到了 一个高效资源利用率 的IT环境，这依靠的是虚拟机漂移这一优质特性，但是， 客户原本的安全域划分将随着虚拟机漂移将被完全打破， 而传统的安全设备无法对这一问题束手无策。公司虚拟化 安全管理系统v7. 0具有虚拟防火墙功能，它根植于轻代理 中，可依

48、据用户业务的需要，制定防火墙访问控制策略， 根据安全域规格批量下发给虚拟主机后，无论虚拟机漂移 到任何位置，虚拟机访问控制策略不变，原有安全域稳定 继承，极大方便了业务主机的安全管控工作。强大的跨平台防护能力公司虚拟化安全管理系统v7. 0支持VMware vSphere、 H3C CAS、 Huawei FusionCompute、 Citrix XenServer、 Hyper-V等多种国内、国外虚拟化平台，并可以对虚拟资源 池以外的物理资源池或者云端资源池进行统一的安全管 理，形成威胁统一管理平台，简化运维成本，提高安全运 维水平。全面的云主机加固策略随着网络黑客的攻击活动方式越来越多，

49、速度越来越 快，针对信息系统的漏洞研究和系统安全漏洞的修补，成 为云主机加固的主要内容。虚拟补丁技术是对已有系统通 过外围的方式，针对漏洞攻击的特征进行攻击行为发现和 拦截的安全防御手段。它使针对漏洞防御的实施更为轻 量，更为及时。此外还包括通过系统账户防暴力破解，通 过设置帐户锁定阀值，能很大程序上保障系统安全性，和 系统的基线扫描设置，通过最佳实践，公司虚拟化安全产 品提供一个信息系统的最小安全保证，即该信息系统最基 本需要满足的安全要求。信息系统安全往往需要在安全付 出成本与所能够承受的安全风险之间进行平衡，而安全基 线正是这个平衡的合理的分界线。4.2.2边界安全边界安全是高校校园网最

50、为重视也是建设的比较完善 的，主要需求如下：1、边界安全：保护校园由外至内，保障校园资源不受外部 攻击，由内向外，防止僵尸网络发起攻击，维护高校声誉。2、精细化用户访问控制：校园网是类运营商网络，策略不能仅仅是基于IP,而是要基于用户做访问控制。3、上网行为的统计分析，用来辅助教学及违法违规事件 的时候追溯。智慧校园一边界安全解决方案边界安全技术路线从市场上来看，目前边界防火墙主要有几类：一是性能 较强，而安全防护能力较弱，功能较单一，只能满足基本的 访问控制要求；二是功能强大，但功能全部开启的情况下, 性能衰减严重，导致高校的互联网出口堵塞；三是流处理技 术，即时检测，即时发现，无需完整的数

51、据包拆包分析，这 类技术对产品的稳定性、安全性要求较高。而未来的边界防护不仅靠本地的高性能、多功能的产品， 需要一个智慧的大脑，能够应对动态的安全威胁，复杂的攻 击手段。这样就必须拥抱互联网大数据，通过充分的接收互 联网安全数据，让边界防护产品有效应对各类安全威胁，提 升边界防护的能力。而高校用户对边界安全需求如下：边界合规传统安全防御体系的重点在于边界防御，在这种防御体 系中安全边界基本等同于网络的物理边界，虽然也有部分终 端防御的考虑，但基本仅限于访问控制、终端病毒查杀与终 端行为管控三个方面，这种防御体系存在着诸多问题：传统上的边界防御以FW、IDS、IPS、WAF、Anti-DDoS审

52、 计等产品组成，强调的重点是在高校网络出入口的位置对攻 击进行封堵，但事实上，网络的物理出入口并不是攻击者进 入到网络的唯一途径，通过对以往发生过的安全事件的复盘 分析发现，绝大多数安全事件的发生都不是由黑客突破网络 出入口的防御设备开始的，从安全的角度来看：网络的物理 边界并不是网络的安全边界，从攻击者角度来看，入侵到网 络内部有很多可选择的途径与突破口，这些黑客所选择的突 破口才是真正意义上的安全边界，因此与网络物理边界不同 的是：网络的安全边界是逻辑边界，这个边界的确定不是以 防守方的防御观点来确定，而是以攻击一方的攻击途径来确 定，从这一点上来说，我们将把PC、智能终端、高校教职工、

53、应用软件、高校对外开放的网络服务等攻击方可以作为攻击 入口与突破口的元素作为网络的防御边界。边界感知这个问题源于在传统安全防御体系之中过度强调边界防 御，缺乏通过多层防线的布控阻止、拖延攻击方的攻击过程, 在传统安全防御体系下，整个网络如同一个硬壳软糖”，一 旦外围防线（边界防御）失首，则攻击者如入无人之境，整 个安全防御体系随之瓦解，因此在本方案的设计中非常强调 主动防御的作用。但在此需要指出的是：多层安全防线设置的目的不是用于最 终阻挡住黑客的攻击，因为每层防线的检测与防御技术本质 是攻防对抗，如前所述，攻防对抗不是解决安全问题的根本, 单纯依靠对抗技术只能被动挨打，被攻破只是时间问题，因

54、 此，多层防线设置的真实意图是通过对抗延缓攻击方进攻成 功的时间，并使得攻击方在对抗的过程中尽可能多的暴露出 异常行为，留下异常线索，进而防守一方可以通过大数据分 析的方法，在过程中寻找出这些异常行为，深挖下去直至发 现攻击，继而采用措施对攻击进行防御，因此多层防线的设 置是攻防倒置，由被动转为主动的重要措施，但最终解决问 题的本质还是要依靠大数据分析来发现威胁线索。边界信息管理大量的安全事件证实，由于内部的违法言论或被恶意植 入后门，导致了信息外泄，这给高校带来了非常严重的数据 安全风险，也直接带来了财产的损失；为了解决敏感信息管 理上的风险，必须要提供内容过滤、URL过滤、网络行为管 理功

55、能，从而实现对用户的网络行为进行管控。行为管控策 略不仅支持精确到IP地址，更可精确到用户。避免敏感信息 泄露的防护。边界安全建设思路智能安全防护网络边界是基础的防护要求，为有效应对各类安全威胁, 应需具备以下要求：1、可靠性需要提供不间断服务，对高可靠性具有很高的需求，必 须考虑提供冗余、备份、负载等高可靠性功能。2、抗DDoS攻击能力作为目前主流攻击手段，针对防火墙发起的DDoS攻击 流量越来越大，安全防护功能必须要能有效的降低DDoS攻 击对数据中心的影响，并能阻断常见的异常攻击包。3、基于应用层的安全防护功能现在基于应用层的攻击越来越广泛，因此，安全防护功 能不仅要能防范来自网络层的攻

56、击，更要兼顾来自应用层的 攻击。4、智能动态策略快速拦截攻击智能动态的策略机制，当入侵防护、木马专项防护、防 弱口令扫描等模块对异常流量进行过滤识别后，防火墙会提 取攻击特征并生成智能动态策略，当攻击持续不断流入防火 墙时，攻击特征被记录的异常流量会直接命中动态策略，快 速拦截在防火墙之外。5、未知威胁行为关联分析能够基于用户的地域、身份、行为、应用进行动态实时 分析，动态实时防护设计。通过云端自动收集安全威胁信息 并快速寻找解决方案，及时更新攻击防护规则库并以动态的 方法实施部署到各用户设备中，保证用户的安全防护策略得 到及时、准确的动态更新。虚拟边界为适应虚拟化技术的应用，防火墙还应对虚拟

57、边界进行 有效管理，支持相应的管理功能，帮助高校网络安全管理人 员提升管理水平。1、虚拟安全域虚拟安全域功能支持虚拟二层安全域及虚拟三层安全 域功能，支持用户将服务通过VLAN进行划分之后，在防火墙 上创建相应的子接口，与虚拟安全域进行绑定，实现对不同 业务的分组与隔离。同时，针对每一个虚拟安全域配置独立 的安全防护策略。2、虚拟系统虚拟系统功能与虚拟安全域相比，提供了更加灵活、完 整的分组与隔离功能。虚拟系统可以工作在透明模式、混合 模式、路由模式，每一个虚拟系统都是一台独立的防火墙, 用户将数据中心的服务通过VLAN进行划分之后，能创建相 应的子接口，与虚拟系统进行绑定，不仅可以实现对不同

58、业 务的分组与隔离，为每一个虚拟系统配置独立的安全防护策 略，同时，还可以为每一个虚拟系统分配独立的防火墙资源, 当某一个服务访问量较大时，可以在虚拟系统中为其划分更 多的防火墙资源用来承载、保护相应的服务。3、分组隔离的安全防护策略由于虚拟化技术的引入，用户可以在内网虚拟出足够多 的服务。每一个服务都需要一系列独立的、区别于其他服务 的安全防护策略，同时要与其他服务进行隔离。网络边界监控由于安全是一直动态的变化着，仅靠规则库与特征行为 无法全面了解当前的威胁全貌，同时单靠边界一种设备的防 护，无法应对高级、持续的定向攻击，为有效防护边界的安 全性，需要将边界与互联网威胁情报联动，实时了解当前

59、的 安全风险。提供了全面的实时的风险信息展示，着重突出失 陷主机、威胁事件、重点关注对象，一键直达异常行为跟踪 界面。防火墙配置威胁分析模块，可通过自定义关键字模糊检索，定位异常行为踪迹，加之对漏洞、应用、会话、网络的 全方位监控与分析，确认异常行为风险系数。情报联动响应在新的安全防御体系中，云端的安全资源是整个安全防 御的核心，云端的安全资源主要体现在丰富的云计算资源、 海量的云存储资源、海量的安全情报与样本资源、海量的安 全信誉库等，这些资源在分析威胁、大数据挖掘与威胁预警 方面具有重要价值。传统的安全防御体系中没有云端安全的 概念，但随着云计算、虚拟化、分布式、大数据技术的发展， 现今云

60、端已经可以为安全提供从存储到分析预警的全方位 支撑，在我们的方案设计中，将着重体现云端在整个安全体 系中的价值。防火墙与云端威胁情报中心、本地安全管理分析中心进 行联动，构建基于全网网络数据检测与响应的安全体系，加 入检测、响应、处置维度，为防御未知威胁形成一个防御闭 环，将传统基于特征签名的初级检测防护层次升级到基于云 端及本地网络数据的检测、响应、处置、防护。在新的安全防御体系中，云、边界将作为一个整体形成完 整的安全解决方案，二者之间既相互依存，又相互协同，形 成纵深、立体的安全防御体系。智慧防火墙.0MB*、.saiH&i ffiffi&ACLBYOO识別与口運 应彌淤“AflHWUu