基于等級保護2.0的校園網(wǎng)絡(luò)體系設(shè)計與優(yōu)化——以甘肅工業(yè)職業(yè)技術(shù)學(xué)院為例

◆盧宏才

基于等級保護2.0的校園網(wǎng)絡(luò)體系設(shè)計與優(yōu)化——以甘肅工業(yè)職業(yè)技術(shù)學(xué)院為例

◆盧宏才

（甘肅工業(yè)職業(yè)技術(shù)學(xué)院 甘肅 741025）

校園網(wǎng)絡(luò)是支撐學(xué)校教育信息化的基礎(chǔ)，同時網(wǎng)絡(luò)安全保障體系作為高等學(xué)校信息化建設(shè)體系的重要組成部分，信息安全管理和信息安全技術(shù)是高校信息化的基礎(chǔ)保證，因此規(guī)劃部署一個安全的校園網(wǎng)絡(luò)顯得非常重要。本設(shè)計方案基于等級保護2.0要求，對傳統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)進行分析，充分利用現(xiàn)有的設(shè)備資源，增加購置必需的網(wǎng)絡(luò)安全產(chǎn)品，設(shè)計出一種安全、穩(wěn)定和可靠的網(wǎng)絡(luò)拓撲圖并且進行部署和測試。經(jīng)過驗證，本方案完全滿足等級保護2.0基本要求二級標準，提高了網(wǎng)絡(luò)的安全性和可靠性[1-2]。

等級保護2.0；信息安全；安全性；可靠性

1 引言

校園網(wǎng)絡(luò)是支撐學(xué)校教育信息化的基礎(chǔ)，隨之而來的是對網(wǎng)絡(luò)帶寬、軟硬件資源以及網(wǎng)絡(luò)安全的依賴，也對校園網(wǎng)絡(luò)的流暢、穩(wěn)定和安全性帶來一定程度的考驗，傳統(tǒng)的校園網(wǎng)絡(luò)體系結(jié)構(gòu)已不能滿足當(dāng)前師生的需求，且在一定程度上存在網(wǎng)絡(luò)安全風(fēng)險。網(wǎng)絡(luò)安全法明確要求，國家實行網(wǎng)絡(luò)安全等級保護制度，因此根據(jù)等級保護2.0的標準，設(shè)計出符合等級保護2.0二級要求的校園網(wǎng)絡(luò)體系[3-4]，本設(shè)計充分考慮物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算以及應(yīng)用和數(shù)據(jù)安全的基礎(chǔ)上，對現(xiàn)有校園網(wǎng)絡(luò)安全體系進行設(shè)計和優(yōu)化，從而有效地保障校園網(wǎng)絡(luò)安全[5]。

1.1 現(xiàn)有網(wǎng)絡(luò)拓撲

根據(jù)對甘肅工業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)調(diào)研分析可知，學(xué)校網(wǎng)絡(luò)主體分為服務(wù)、有線接入、無線網(wǎng)絡(luò)接入和網(wǎng)絡(luò)安全區(qū)域，如圖1所示。服務(wù)器區(qū)域從有線網(wǎng)絡(luò)核心層設(shè)備華為S9303下連迪普DXP8000-A12 WAF到服務(wù)器交換機，接入交換機加入了負載均衡；有線網(wǎng)絡(luò)區(qū)域迪普DXP8000-A12出口網(wǎng)關(guān)下連華為NE40E-X3作為認證路由器，認證路由器下連核心S9303后直接到樓宇接入交換機；無線網(wǎng)絡(luò)部署采用三層結(jié)構(gòu)，兩臺華為敏捷式交換機S12708堆疊作為核心層，核心層到樓宇匯聚層、匯聚到無線接入均采用雙鏈路，核心和出口網(wǎng)關(guān)之間使用華為ME60-X8作為無線認證網(wǎng)關(guān)BRAS；出口網(wǎng)關(guān)側(cè)的安全區(qū)域具有漏洞掃描、IPS、IDS、VPN和加速緩沖設(shè)備，對校園網(wǎng)絡(luò)進行安全防護[6]。

圖1 現(xiàn)有網(wǎng)絡(luò)拓撲圖

1.2 存在問題

（1）網(wǎng)絡(luò)結(jié)構(gòu)層次不清晰。有線網(wǎng)部分區(qū)域網(wǎng)絡(luò)邏輯仍然存在層次結(jié)構(gòu)不清晰、不合理之處。

（2）網(wǎng)絡(luò)鏈路單一。有線網(wǎng)絡(luò)區(qū)域的核心交換機到接入交換之間的連接鏈路均為單設(shè)備、單線路連接，存在網(wǎng)絡(luò)鏈路單一的隱患。

（3）網(wǎng)絡(luò)安全域劃分不明。IP規(guī)劃較為混亂，VLAN劃分不太合理，沒有進一步的VLAN劃分及其他防護措施的隔離，未進行分類隔離，缺乏統(tǒng)一安全策略。

（4）有線網(wǎng)部分采用核心到接入的方式接入網(wǎng)絡(luò)，出口網(wǎng)關(guān)、核心、接入交換機都是單一鏈路，缺少必要的網(wǎng)絡(luò)安全管理和運維設(shè)備。

2 改造內(nèi)容

在以等級保護2.0標準下的二級等級保護為參考標準，充分利用現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)備和網(wǎng)絡(luò)安全設(shè)備的前提下，采購等保二級必需的安全設(shè)備，如新購數(shù)據(jù)庫審計、日志審計和堡壘機等，建立符合等級保護2.0標準下的二級測評所需的網(wǎng)絡(luò)安全體系，具體設(shè)計內(nèi)容如下：

對現(xiàn)有網(wǎng)絡(luò)進行調(diào)研，排查隱患點，對數(shù)據(jù)中心所有應(yīng)用系統(tǒng)進行掃描檢測，對服務(wù)器進行全面漏掃和升級；比對等級保護2.0要求，對現(xiàn)有有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)進行整合和優(yōu)化，達到等級保護2.0二級測評要求。

2.1 設(shè)計網(wǎng)絡(luò)層次結(jié)構(gòu)清晰、線路穩(wěn)定可靠的網(wǎng)絡(luò)結(jié)構(gòu)

通過分析現(xiàn)有軟硬件資源，采用結(jié)構(gòu)清晰的三層網(wǎng)絡(luò)結(jié)構(gòu)[7]，核心交換機使用無線側(cè)現(xiàn)使用的2臺交換機，做堆疊，保證關(guān)鍵設(shè)備有冗余，核心交換機、匯聚交換機和接入設(shè)備之間都使用鏈路聚合，消除網(wǎng)絡(luò)聯(lián)絡(luò)單一的隱患。

2.2 IP地址統(tǒng)一規(guī)劃、VLAN統(tǒng)一劃分

現(xiàn)有校園網(wǎng)絡(luò)有線區(qū)域、無線區(qū)域和服務(wù)等區(qū)域IP地址規(guī)劃較亂，VLAN劃分不太合理，網(wǎng)絡(luò)管理混亂，網(wǎng)絡(luò)故障定位不準。根據(jù)現(xiàn)有網(wǎng)絡(luò)統(tǒng)一規(guī)劃符合學(xué)校情況的IP地址和VLAN統(tǒng)一規(guī)劃和劃分，對網(wǎng)絡(luò)資源進行統(tǒng)一調(diào)度和管理。

2.3 接入層交換機升級改造

目前學(xué)校校園網(wǎng)絡(luò)有線接入?yún)^(qū)域為接入交換機直接到核心交換機，部分接入層交換機最大支持百兆帶寬到桌面，不能滿足教學(xué)需求。對百兆接入交換機全部進行更換，使得用戶桌面接入網(wǎng)速到千兆。

2.4 構(gòu)建“技術(shù)+管理+服務(wù)”的安全防護體系

在現(xiàn)有設(shè)備的基礎(chǔ)上，購買必要的網(wǎng)絡(luò)安全產(chǎn)品和相關(guān)軟硬件資源，構(gòu)建技術(shù)、管理和服務(wù)的網(wǎng)絡(luò)安全防護體系，實現(xiàn)技術(shù)領(lǐng)先、管理和服務(wù)到位的網(wǎng)絡(luò)安全防護體系[8]。

3 網(wǎng)絡(luò)體系改造設(shè)計

根據(jù)對現(xiàn)有網(wǎng)絡(luò)存在的問題進行分析，設(shè)計了改造后網(wǎng)絡(luò)安全體系結(jié)構(gòu)拓撲圖，如圖2所示。

圖2 改造后網(wǎng)絡(luò)安全體系結(jié)構(gòu)拓撲圖

3.1 優(yōu)化設(shè)計方案

（1）核心層設(shè)計規(guī)劃

去掉原有線網(wǎng)絡(luò)設(shè)備NE40-X3和核心設(shè)備S9303，在無線區(qū)域匯聚交換機上接入有線網(wǎng)絡(luò)交換機，實現(xiàn)有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)整合，核心層設(shè)備使用兩臺華為S12708堆疊，吞吐量高，形成冗余，萬兆骨干，極大方便了運維和管理。

（2）匯聚層設(shè)計規(guī)劃

匯聚層以建筑樓宇為匯聚點，每一棟樓部署一個匯聚交換機，匯聚層到核心層采用萬兆鏈路，對各樓宇數(shù)據(jù)進行數(shù)據(jù)轉(zhuǎn)發(fā)，匯聚至核心鏈路使用鏈路聚合冗余部署，提高了網(wǎng)絡(luò)可靠性。

（3）接入層設(shè)計規(guī)劃

對百兆有線接入交換機全部進行更換，劃分VLAN，保證重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間實現(xiàn)隔離，接入交換機到匯聚層的通信線路進行聚合冗余。

（4）運維管理區(qū)域設(shè)計

運維管理區(qū)域管理整個通信網(wǎng)絡(luò)，提供集中管理功能，運維管理區(qū)使用深瀾無線認證軟件管理無線賬戶認證，使用華為esight管理網(wǎng)絡(luò)設(shè)備，實現(xiàn)對整個網(wǎng)絡(luò)的運維與管理。

（5）安全資源區(qū)域設(shè)計

安全資源區(qū)域主要部署網(wǎng)絡(luò)安全的軟硬件資源，主要包括數(shù)據(jù)庫審計、脆弱性掃描、日志設(shè)計和堡壘機等設(shè)備。將安全資源區(qū)域的相關(guān)網(wǎng)絡(luò)安全的軟硬件資源旁掛在核心交換機上，邏輯上劃成安全資源區(qū)域，做到可跟蹤、可溯源，對校園網(wǎng)絡(luò)安全起到了有效保護作用[9-10]。出口安全網(wǎng)關(guān)使用DPX8000-A12進行整體安全防護，內(nèi)置IPS、IDS防火墻和上網(wǎng)行為管理、漏洞掃描、VPN等模塊，對網(wǎng)絡(luò)安全進行防御和保護。

（6）數(shù)據(jù)中心區(qū)域設(shè)計

數(shù)據(jù)中心區(qū)域用兩臺數(shù)據(jù)中心網(wǎng)關(guān)（WAF）對數(shù)據(jù)中心進行防御和保護，兩臺設(shè)備實現(xiàn)冗余備份，保障鏈路的穩(wěn)定性[11]。

4 結(jié)束語

本設(shè)計方案基于等級保護2.0要求，充分利用現(xiàn)有的設(shè)備資源，增加購置必需的網(wǎng)絡(luò)安全產(chǎn)品，設(shè)計了一種安全、穩(wěn)定和可靠的網(wǎng)絡(luò)安全體系，并且進行了實際的部署，經(jīng)過驗證，本方案完全滿足等級保護2.0基本要求二級標準，同時也提高了網(wǎng)絡(luò)的安全性和可靠性。

[1]馬力，陳廣勇，祝國邦.網(wǎng)絡(luò)安全等級保護2.0國家標準解讀[J].保密科學(xué)技術(shù)，2019（07）：14-19.

[2]沈昌祥.按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》筑牢網(wǎng)絡(luò)空間安全底線[J].信息安全研究，2021，7（10）：890-893.

[3]胡鵬，王暉.基于等級保護2.0的政務(wù)信息系統(tǒng)安全保障體系設(shè)計思路[J].辦公自動化，2021，26（04）：15-17.

[4]林春艷，陳建云.基于網(wǎng)絡(luò)安全等級保護2.0的氣象信息網(wǎng)絡(luò)安全體系研究[J].信息記錄材料，2020，21（04）：101-102.

[5]馬玉州.等保2.0時代普通高校等級保護工作實踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（07）：97-98.

[6]盧宏才，程建峰.高可靠高安全的校園網(wǎng)絡(luò)優(yōu)化與設(shè)計——以甘肅工業(yè)職業(yè)技術(shù)學(xué)院為例[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（05）：97-98.

[7]姚少奕.計算機網(wǎng)絡(luò)可靠性優(yōu)化設(shè)計方法探索[J].電子技術(shù)與軟件工程，2019（05）．

[8]鄢翔.基于安全等級保護2.0的高校一卡通應(yīng)用系統(tǒng)安全方案設(shè)計[J].電子技術(shù)與軟件工程，2019（01）：192-195.

[9] 孫家翔，徐美玲.校園無線網(wǎng)絡(luò)智能優(yōu)化[J].福建電腦，2019（04）．

[10]鄒峰，陳興蜀，羅永剛.網(wǎng)絡(luò)安全交互式分析系統(tǒng)構(gòu)建方法[J].計算機工程與設(shè)計，2021，42（09）：2433-2438.

[11]金濤.數(shù)據(jù)安全分級劃分[J].信息安全研究，2021，7（10）：969-972.