近日,教育部印发《高等学校数字校园建设规范(试行)》(以下简称《规范》)。《规范》旨在贯彻落实《中国教育现代化2035》和《加快推进教育现代化实施方案(2018-2022)》的要求,在教育信息化2.0发展中,指导我国广大高校规范化开展数字校园及智慧校园的规划、设计、建设和实施,规定了基础设施、信息资源、信息素养、应用服务、网络安全和保障体系的通用要求。
本文以某高校数字校园建设为例,重点对《规范》要求的数字校园基础实施、网络安全和保障体系方面进行解读。数字校园基础设施主要为各类信息化应用提供技术、设备和物理环境支持,主要包括校园网络、数据中心、教学环境等。《规范》提出在同等条件下,应优先选用国产化自主可控设备,在安全合规的前提下,使用云服务作为高等学校数字校园基础设施的补充。在校园网出口区域,根据《规范》要求,首先应在校园网出口部署防火墙等安全防护设备;其次优先选择框式x86架构的专用防火墙以适应高校出口高带宽、高并发特点,从而为后续校园网态势感知监测提供更多应用层数据。在校园主干网区域,这一区域包括校园网核心、校园无线网、校园有线网、校园物联网(可选)、校园5G网(可选)、其他校园专网等,网络环境复杂,安全要求各不一样。首先,不同网络区域应划分VLAN,不同区域之间至少采用ACL方式进行流量访问控制,在重要的网络区域之间建议部署防火墙进行网络区域间逻辑隔离,对于财务专网等特别重要的业务系统可部署网闸进行网络区域间物理隔离;其次,全校公用PC应强制统一部署终端威胁防御软件,师生自有PC建议统一部署终端威胁防御软件,在无线网区域或有线网访客区域等不适宜统一部署终端威胁防御软件的区域,建议在连接校园网的边界部署病毒过滤网关系统;最后,校园物联网建设应参照《物联网感知层接入通信网的安全要求》(GB/T 37093-2018),而天融信作为该标准起草单位,可为广大高校客户提供专业建设指导与帮助。在数据中心区域,云计算已然成为下一代高校数据中心建设的趋势,但类似下一代互联网建设存在IPv4和IPv6长期共存的情况,传统物理服务器集群与高校私有云集群也将长期共存,此种情况下二者可选择共用安全管理区内的安全系统。首先,数据中心出口可根据带宽要求灵活选用框式或盒式的x86架构专用防火墙,为数据中心区域和校园主干网区域提供边界隔离功能,同时开启入侵防护、病毒防护、数据防泄漏防护等应用层检测防护功能,为校园态势感知系统提供数据源;其次,部署数据安全交换云支撑校园网内、校园网内外之间的文件安全传输;再次,非必要业务优先部署在基于超融合的校园私有云上,而校园网私有云上的业务系统须采用安全网元的方式进行部署防护,同时满足合规要求;最后,从全局出发,建设覆盖全校园网的态势感知系统,从终端、网络、数据中心多个层次进行监测、防护和预警。
《规范》明确指出,“同等条件下,应优先选用国产自主可控设备”。天融信从自主ASIC芯片研究到国产CPU芯片应用研究、从推出国内首款具有自主知识产权的ASIC架构防火墙到发布基于国产软硬件的天融信昆仑系列产品,始终走在网络安全自主创新的最前沿,将国产化基因印刻在每一款产品之中。
《规范》明确指出“构建网络安全态势感知平台,强化网络安全风险的预测预判预警预防,实现网络安全防御前置”。在高校数字校园建设中应考虑将态势感知平台建设成学校网络安全运营的重要工具,广泛对接终端、网络、应用、安全等多维数字校园基础设施,只有全面收集所有数据,才能构建实现安全运营中研判网络安全风险发展趋势的前瞻能力,对网络安全风险演化呈现的叠加、联动、放大、诱导等效应情况的出现进行及时防御。
在数字经济时代,网络与信息系统承接着数字校园公共服务体系的方方面面,其网络安全更是重中之重。而安全运营绝非一时之事,持续性的安全运营远比一次性大量投入的安全设备采购更重要,只有将持续性的安全运营经费保障与科学完善的评价标准结合起来,才可保障高校数字校园建设的可持续发展。
