建设背景

网络的飞速发展促进了学校的信息化建设，近几年来我校走过了不断发展、完善的信息化历程，先后经过了几次网络升级和改造，构成了一个配置多样的综合性网络平台。另外，根据教育信息化“十三五”规划和教育部办公厅发布的2017年教育信息化工作要点。做好智慧校园网络安全建设，并积极开展等级保护建设工作，建立健全网络安全体系。

另外，网络安全是高校管理和信息化建设的重要组成部分，关系到高校教育、教学、科研、管理等核心业务，将构建一个行之有效的网络信息安全体系、全面营造安全可管理的校园网络生态环境纳入高校信息化顶层设计和高校发展规划的决策范畴，将为教育改革发展和人才培养模式创新奠定不可或缺的坚实基础。

建设方案

（1）系统网络拓扑设计

根据现有网络拓扑，此次安全网络设备拓扑设计如下：

（2）安全防御系统设计

当前，学校网络中包含DNS、DHCP、Web、数据库、存储服务器等多种类型的业务服务器，其安全保障意义重大。应用层攻击仍然能够穿透这些安全隔离的手段，从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成众多泄露事件的原因之一。风险分析有网页篡改、网页挂马、黑链、敏感信息泄露、设备性能分析等。

（3）内网安全感知平台设计

根据教育信息化“十三五”规划和教育部办公厅发布的2017年教育信息化工作要点，增强网络安全监测预警和应急响应能力。健全教育行业信息系统名录，通过公海555000kk线路检测首页的方式研究教育行业网络安全形势，探索建立教育行业态势感知工作机制。同时为了更好的建设智慧校园，为学校师生的信息安全报价护航。网络安全建设至关重要，但是传统的安全建设方式，是在防御阶段。然而现在随着网络攻击的不断更新和复杂多样，传统安全建设技术显得苍白无力，所以需要将安全建设偏向监测预警，与响应防御形成一个动态的安全状态。所以对内网安全非常重视，强调做好内网监测预警体检，提供内网安全管理。采用平台和探针的方式部署，不需要收集终端数据，防止数据的二次泄密。同时在用旁路数据镜像模式，不影响原有网络架构。

（4）核心业务配置模块

本模块获取信息采集模块采集的资产信息收集的结果以及资产访问的结果，建立业务资产数据库。通过用户配置的各种业务访问黑白名单，以及定义的违规访问引擎，检测内网攻击者与内网恶意用户发起的内网违规操作。

建设内容

南北校区各部署下一代防火墙：（建立入侵防御系统、WEB应用防御、僵尸网络识别、实时漏洞分析、WEB应用扫描、威胁情报预警与处置、综合风险报表功能。）

安全感知平台1台：（实现主动发现资产和业务访问关系可视、解决内网安全监测问题，通过旁路镜像及探针的方式实现，降低网络影响。）

潜伏威胁探针1台：（实现报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。）

项目建设价值

在智慧校园的建设中，健全并强化信息安全体系，规范管理制度，使用科学的管理策略，完善入侵防护、上网行为管理、网站内容保护、数据容灾备份等系统，做好信息系统安全等级保护，对业务系统进行等级测评、定级保护和系统加固，切实保障广东机电职业技术学院网络信息安全，确保各信息化应用系统安全稳定地运行。

结合广东机电职业技术学院网络的安全分析，确定广东机电职业技术学院网络安全建设需求，并且解决“服务器应用层安全防御”“内网安全风险发现缺失” “边界安全及僵尸网络发现”的网络现状，全面提升广东机电职业技术学院的网络安全保护及上网办公体验水平。同时通过网络改造和安全加固，使广东机电职业技术学院网络安全建设达到国家信息安全建设的标准。