高校数字化校园网络安全优化解决方案

高校数字化校园网络安全优化解决方案

行业背景

高校与科研机构是互联网最早建设与推广使用的行业之一。各地高校信息化发展迅速，目前高校信息化应用系统已经涵盖到教学（占98%）、科研（占84.4%）、管理（占95.3%）等学校主要业务上，网络从管理向服务转型，中国教育正大力推进自己的信息化水平，教育骨干网、城域网、校园网、教育资源中心等项目正在全国各地如火如荼地规划与建设中。

高校校园网由于各类应用普与，用户群庞大且非常活跃，网络环境与流量组成都较为复杂，给整体网络的安全、体验与管理带来了较大的难题。

需求分析

网络的风险层出不穷，多样化的网络攻击以与应用层的攻击时间频频发生，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受网络黑客、病毒的侵害，并对学生的上网行为进行有效的管理，已经成为了各个学校不可回避的紧迫问题。另外，网络互联的健壮性要求也逐步在提升，单一链路所引起的单点故障问题给校园带来的损失已越来越不容忽视，不少学校会部署多链路来解决单点故障问题，但是这种传统的解决方案同样存在着缺陷。比如：对于出站访问，传统多链路部署方案无法判断哪条链路会比较快速的可以到达访问目标；而对于入站访问，也无法确定哪条链路在当前环境下是能

够更快更好的对外提供服务的。同时链路利用是否合理、链路的稳定性也无从得知。此外，目前学校、政府花费了巨大的精力进行校园网建设，国际教育网络资源对高校也有很大的优惠措施。学校的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利，但走出校园网这些资源便无法利用了。同时，随着智能终端的发展和普与，越来越多的用户已经将办公由原来的台式机、笔记本转向移动智能终端，移动互联网在给我们带来快速性和便捷性的同时，我们也面临着新的问题。如何在校园网外实现远程移动办公已经成为校园网深度建设必须面对的问题。

具体需求如下：

1.校园网出口链路负载均衡

出口链路的智能调度：目前绝大多数高校均有多条链路出口，如教育网、电信、联通等，如何实现内部用户访问互联网流量在多链路间的智能调度？如访问电信网站则通过电信出口流出？通过传统的路由器+策略路由方式显然无法满足多运营商、多链路的智能调度效果，策略路由的数量毕竟有限，且过多的路由条目还将影响路由器的性能

多出口链路的合理利用：学校花费巨资租赁的多条互联网宽带出口，如果无法得到最佳的、最有效的、最合理的利用，显然等同于浪费。因此合理利用多条互联网宽带出口链路不仅能够提升内部宽带用户的互联网访问速度，而且能够提升客户满意度、进而扩大宽带业务推广规模

多出口链路的互为备份：为了提升学校互联网宽带链路的稳定性，多条互联网出口链路应该互为备份

2.服务器负载均衡

高校的选课服务器、成绩查询服务器等业务系统每年均有学生访问高峰期，

导致服务器压力过大。由于业务系统的访问人数日益增多，单一网络服务设备的性能已经不能满足众多用户访问的需要，由此需要引入服务器的负载平衡，实现客户端可访问多台同时工作的服务器，动态分配每一个应用请求到后台的服务器，并即时按需动态检查各个服务器的状态，根据预设的规则将请求分配给最有效率的服务器。此外，针对选课等特殊时期，需要减轻服务器压力，避免产生由于访问量过载而导致服务器宕机的风险。

3.上网行为管理

流量管理：学生BT下载、在线视频、迅雷应用等P2P行为十分活跃，有限的带宽出口经常被堵塞，师生正常的网络应用经常被挤占。简单增加带宽，成本增加但无法显著提升用户体验

行为溯源：目前高校学生网络应用活跃，校内BBS言论、公网上知名论坛等经常语出惊人之举，时常给学校带宽世俗、法律上的诸多困扰。由于目前网络言论实行自由开放式，出现问题后很难查询当事人，最后给学校带来极大的负面影响

网络访问行为管控：不可否认，目前大学在校生所面对的网络信息、资源较前些年丰富很多，这其中也有一些色情、反动等类型的网站与其应用，如何从校园网建设上规避这些不良网站、应用的影响，将制度的规范强制施行在日常网络应用中，这对管理者是个不小的挑战

审计互联网访问行为，满足公安部82号令等要求：公安部33号令、公安部82号令、公安部《互联网公共上网场所相关规定》等法律法规纷纷对用户的上网行为提出记录和审计要求，因此作为宽带运营商，学校如果不对上网用户的互联网访问行为进行记录和审计，因此便于事后的行为溯源，满足监管部门的要求与合规性需求

无线管控：高校的无线热点覆盖越来越多，需要对校园部署的无线热点的上网行为进行管控

性能瓶颈：学校的出口带宽不断增加， IPV6网络也正兴起，早期的设备性能、功能已不能满足需求

4.校园网内网整体安全防护与网站安全防护

对外发布网站等系统安全防护：近几年高校网站被篡改、挂马的安全事件层出不穷，互联网各种蠕虫、病毒木马泛滥，各类基于应用的攻击手段层出不穷，针对重点高校的网站和服务器的攻击越来越多。传统防火墙工作在网络层，通过对IP地址、端口的识别，进而实现访问控制、安全防范和威胁防御。无法对应用层风险进行防护

内部教务教学管理系统安全：高校网络结构复杂，包含各类重要的数据，如高考录取信息、教学管理信息、学籍学分信息等，目前黑客窃取重要信息、篡改学籍学分非法牟利的事件屡屡发生，高校数据中心重要系统的安全状况令人担忧。各类系统漏洞、应用层安全风险一旦被黑客利用，会对学校甚至社会造成重大影响

师生上网安全：由于学生电脑普遍存在众多漏洞，不少学生甚至不安装杀毒软件，而互联网的各类木马病毒泛滥，一旦有电脑中病毒，还会对局域网内其他用户的电脑构成相应的危害，造成较大的影响。因此，学校师生的上网安全也是需要慎重考虑的问题

高性能需求：学校网络从千兆向万兆升级，早期的防火墙/IPS等设备无法满足需求

安全可视化：传统防火墙无法抵御来自应用层的威胁，无法提供给用户有效的安全策略制定依据，导致了用户对内网服务器和终端的安全状态没有直观